WO2023127068A1

WO2023127068A1 - 照合システム、鍵生成装置、照合装置、第１変換装置、第２変換装置、およびそれらの方法

Info

Publication number: WO2023127068A1
Application number: PCT/JP2021/048720
Authority: WO
Inventors: 春菜福田; 寿幸一色; 健吾森
Original assignee: 日本電気株式会社
Priority date: 2021-12-27
Filing date: 2021-12-27
Publication date: 2023-07-06

Abstract

ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する照合装置とを備える照合システム。

Description

照合システム、鍵生成装置、照合装置、第１変換装置、第２変換装置、およびそれらの方法

　本発明は、照合システム、鍵生成装置、照合装置、第１変換装置、第２変換装置、およびそれらの方法に関するものである。

　個人認証の一例として、生体認証がある。生体認証は、被認証者の生体情報と、被認証者の生体情報とを照合することにより、被認証者と被認証者とが一致するか否かを確認する個人認証の手法である。ここで、生体情報とは、身体や行動に関する個人の一部の特徴から抽出されたデータである。例えば生体情報には、指紋や掌紋などの画像から特徴量を抽出したものや、声紋などのように音声データから特徴量を抽出したものなどが含まれる。

　生体認証では、被認証者の生体情報を事前に登録しておき、認証時には、登録されている生体情報と被認証者の生体情報とが一致するか否かを検証する。このとき、生体情報は高度な安全管理が求められている。なぜならば、生体情報は個人情報でもあり、漏洩自体が被害であることと、生体情報は漏洩したときに破棄・更新ができないので、同じ生体情報を用いる全ての認証システムの安全性を失うことになるからである。したがって、生体情報の保護基準として、サーバ管理者であっても元の生体情報を得ることができないことや、登録された生体情報を無効化できることなどが求められている。

　このような要求を充足する照合手法として、キャンセラブルバイオメトリクスがある。キャンセラブルバイオメトリクスとは、生体から抽出された特徴量を変換したまま照合を行う手法であり、登録時には、登録鍵Ｋを用いて特徴量ｘを変換Ｔ←Ｆ_Ｋ（ｘ）を行い、照合時には、照合鍵Ｋ’を用いて特徴量ｙを変換Ｔ’←Ｇ_Ｋ’（ｘ）を行い、変換後のＴとＴ’を照合することで、特徴量ｘと特徴量ｙの照合を行う手法である。

　このような仕組みを採用することにより、キャンセラブルバイオメトリクスでは、登録鍵Ｋおよび照合鍵Ｋ’を変更することで、登録データを無効化（キャンセル）し、新たな登録データに更新することが可能である。また、登録データや照合データは鍵を用いて特徴量を変換したものであるので、変換が十分な一方向性を有していればサーバ管理者であっても元の生体情報を得ることができず、生体認証にとって好適な性質を有している。このようなキャンセラブルバイオメトリクスの手法については各種のものが知られている（例えば、特許文献１，２および非特許文献１等参照）。

特許第４９６１２１４号公報特許第４９２９１３６号公報

Y. Saito, I. Nakamura, S. Shiota and H. Kiya, "An Efficient Random Unitary Matrix for Biometric Template Protection," 2016 Joint 8th International Conference on Soft Computing and Intelligent Systems (SCIS) and 17th International Symposium on Advanced Intelligent Systems (ISIS), 2016, pp. 366-370

　なお、上記先行技術文献の各開示を、本書に引用をもって組み込むものとする。以下の分析は、本発明者らによってなされたものである。

　ところで、キャンセラブルバイオメトリクスの手法についても、更なる安全性が求められている。その理由の一つに、従来技術におけるキャンセラブルバイオメトリクスには変換の一方向性が不十分なものがあることが挙げられる。一方向性の変換であれば、登録データや照合データから元の特徴量を一意に特定することはできないのであるが、登録データや照合データが元の特徴量に関する情報を漏らしていることがある。そのような場合、登録データや照合データから元の特徴量を推測されてしまうという脆弱性となってしまう。

　また、登録データや照合データと元の特徴量の組が漏洩してしまうという事態も想定され、そのような場合、登録データや照合データと元の特徴量の組から登録鍵ないし照合鍵が推定されてしまう虞もある。登録データや照合データと元の特徴量の組が漏洩してしまっても安全性が担保されていることが好ましい。また、一般的なキャンセラブルバイオメトリクスでは、登録鍵を照合鍵としても用いていることが多い。このことは、登録鍵および照合鍵のいずれかが漏洩した場合に他方の鍵も漏洩してしまうことになる。

　本発明の目的は、上述した課題を鑑み、キャンセラブルバイオメトリクスの安全性を向上させることに寄与する照合システム、鍵生成装置、照合装置、第１変換装置、第２変換装置、およびそれらの方法を提供することである。

　本発明の第１の視点では、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する照合装置と、を備える照合システムが提供される。

　本発明の第２の視点では、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと補助鍵行列とにおけるベクトルと行列の積を計算する照合装置とを用いて、前記登録情報と前記照合情報とを照合するための鍵を生成する鍵生成装置であって、ランダムに選んだ第１の正則行列を前記登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置が提供される。

　本発明の第３の視点では、登録鍵と照合鍵と補助鍵を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵とから登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵とから照合秘匿ベクトルを生成する第２変換装置とを用いて、前記登録情報と前記照合情報とを照合する照合装置であって、前記第１変換装置から受信した前記登録秘匿ベクトルと、前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵とから前記登録情報と前記照合情報との照合結果を計算する照合装置が提供される。

　本発明の第４の視点では、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置とを用いて、前記登録情報と前記照合情報とを照合する照合装置であって、
　前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する照合装置が提供される。

　本発明の第５の視点では、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第２変換装置から受信した照合秘匿ベクトルと登録秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記登録秘匿ベクトルを登録する第１変換装置であって、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより前記登録秘匿ベクトルを生成し、前記登録秘匿ベクトルを前記照合装置に送信する第１変換装置が提供される。

　本発明の第６の視点では、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと入力された照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記照合秘匿ベクトルを送信する第２変換装置であって、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより前記照合秘匿ベクトルを生成し、前記照合秘匿ベクトルを前記照合装置に送信する第２変換装置が提供される。

　本発明の第７の視点では、鍵生成装置が配布する鍵を用いて、第１変換装置に入力された登録情報と第２変換装置に入力された照合情報とを照合する照合方法であって、前記鍵生成装置が、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、前記鍵生成装置が、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記鍵生成装置が、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成し、前記第１変換装置が、前記登録情報から登録特徴量ベクトルを生成し、前記第１変換装置が、前記登録特徴量ベクトルと前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成し、前記第２変換装置が、前記照合情報から照合特徴量ベクトルを生成し、前記第２変換装置が、前記照合特徴量ベクトルと前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成し、前記照合装置が、前記登録秘匿ベクトルと前記照合秘匿ベクトルと前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する、照合方法が提供される。

　本発明の第８の視点では、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと補助鍵行列とにおけるベクトルと行列の積を計算する照合装置とを用いて、前記登録情報と前記照合情報とを照合するための鍵生成方法であって、ランダムに選んだ第１の正則行列を前記登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成方法が提供される。

　本発明の第９の視点では、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置とを用いて、前記登録情報と前記照合情報とを照合する照合方法であって、前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する照合方法が提供される。

　本発明の第１０の視点では、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第２変換装置から受信した照合秘匿ベクトルと登録秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記登録秘匿ベクトルを登録する第１変換方法であって、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより前記登録秘匿ベクトルを生成し、前記登録秘匿ベクトルを前記照合装置に送信する第１変換方法が提供される。

　本発明の第１１の視点では、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと入力された照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記照合秘匿ベクトルを送信する第２変換方法であって、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより前記照合秘匿ベクトルを生成し、前記照合秘匿ベクトルを前記照合装置に送信する第２変換方法が提供される。

　本発明の各視点によれば、キャンセラブルバイオメトリクスの安全性を向上させることに寄与する照合システム、鍵生成装置、照合装置、第１変換装置、第２変換装置、およびそれらの方法を提供することができる。

図１は、第１実施形態に係る照合システムの概略構成図である。図２は、第１実施形態に係る鍵生成方法を示すシステムフロー図である。図３は、第１実施形態に係る第１変換方法を示すシステムフロー図である。図４は、第１実施形態に係る第２変換方法を示すシステムフロー図である。図５は、実施形態に用いられる装置のハードウェア構成例を示す図である。図６は、第７実施形態に係る照合システムの概略構成図である。図７は、登録特徴量ベクトルと照合特徴量ベクトルの拡張例を示す図である。

　以下、図面を参照しながら、本発明の実施形態について説明する。ただし、以下に説明する実施形態により本発明が限定されるものではない。また、各図面において、同一または対応する要素には適宜同一の符号を付している。さらに、図面は模式的なものであり、各要素の寸法の関係、各要素の比率などは、現実のものとは異なる場合があることに留意する必要がある。図面の相互間においても、互いの寸法の関係や比率が異なる部分が含まれている場合がある。

［第１実施形態］
　図１は、第１実施形態に係る照合システムの概略構成図である。図１に示すように照合システム１００は、鍵生成装置１４０が配布する鍵を用いて、第１変換装置１１０に入力された登録情報と第２変換装置１２０に入力された照合情報とを照合装置１３０を用いて照合する。なお、第１変換装置１１０と第２変換装置１２０は、同一装置に共通化することが可能であるが、第１変換装置１１０と第２変換装置１２０を独立の装置とすることも可能である。ここでは機能の説明を容易にするために第１変換装置１１０と第２変換装置１２０を別の装置として説明する。

　鍵生成装置１４０は、ランダムに選んだｎ×ｎ次元の正則行列を第１の正則行列とし、この第１の正則行列を登録鍵行列Ａとして第１変換装置１１０に送信する。さらに鍵生成装置１４０は、ランダムに選んだもう一つのｎ×ｎ次元の正則行列を第２の正則行列とし、この第２の正則行列を照合鍵行列Ｂとして第２変換装置１２０に送信する。そして、鍵生成装置１４０は、登録鍵行列の逆行列と照合鍵行列の逆行列との行列積から補助鍵行列Ｍを生成し、補助鍵行列を照合装置１３０に送信する。

　ここで、ランダムな正則行列の選び方は、ｎ×ｎ次元の正則行列のリストを用意しておきその中から一様ランダムに一つ選択して得る方法がある。また例えば、自然数ｎの２乗個の乱数を各要素に割り当てた正方行列から非正則行列を除外したものとする方法もある。非正則行列を除外するには、例えば行列式がゼロとなるものを除外すればよい。また、各要素に割り当てる乱数は、いわゆる疑似乱数列としてもよい。疑似乱数列ａ_１，ａ_２，…，ａ_ｍは、一般にシードの入力に対して確定的な計算によって生成されるが、ａ_１，ａ_２，…，ａ_ｍ－１からａ_ｍを予測することが実質的に不可能となるように構成する。

　また、補助鍵行列のみから登録鍵行列及び照合鍵行列の情報を漏洩することはないことに注意する。すなわち、補助鍵行列が分かっていても、登録鍵行列や照合鍵行列の候補はｎ×ｎ次元の全ての正則行列のままである。

　第１変換装置１１０は、登録情報から所定の自然数ｎの次数の登録特徴量ベクトルを生成する。例えば登録情報には、顔や虹彩、指紋、掌紋、指や掌の静脈などの画像から特徴量を抽出したものや、声紋などのように音声データから特徴量を抽出したものなどがある。指紋や掌紋などの紋様にはマニューシャと呼ばれる特徴的紋様がある。これらを数値したものを用いて第１変換装置１１０は登録特徴量ベクトルを生成してもよい。なお、登録特徴量ベクトルは、登録情報から抽出した特徴量を単純に並べることで生成してもよいが、後述するように登録特徴量ベクトルの構成に工夫をすることが可能である。

　第１変換装置１１０は、登録特徴量ベクトルと登録鍵行列Ａとの積を計算することにより登録秘匿ベクトルを生成する。ここで、登録特徴量ベクトルと登録鍵行列Ａとの積とは、線形代数としての行列とベクトルの積のことである。なお、正則行列の次数は、登録特徴量ベクトルの次数と同じであり、登録特徴量ベクトルの次数が自然数ｎであれば、正則行列はｎ×ｎ行列である。

　なお、特徴量及び行列の各値には実数を用いることが可能である。すなわち、元の特徴量が実数の場合、実数のまま計算することができるので、精度をほとんど落とさずに特徴量の内積を計算可能である。また、特徴量及び行列の各値としてある範囲の整数を用いることも可能である。法が素数であるモジュラ計算では、足し算、引き算、掛け算は通常の足し算、引き算、掛け算の結果をｐで割った余りとなり、掛け算した結果をｐで割った余りが１となる数を逆数と定義でき、逆行列の計算もすることができるからである。このようにある範囲の整数を用いる場合、特徴量の各値を定数倍してから整数に丸め、法ｐとして丸めた特徴量の内積の取りうる値の最大値以上にすれば、内積を少ない精度劣化で計算可能である。

　第１変換装置１１０は、上記のように生成した登録秘匿ベクトルを照合装置１３０へ送信し、照合装置１３０における記憶装置１３１に登録する。なお、記憶装置１３１は照合装置１３０の内部に備えていても良いが、記憶装置１３１が照合装置１３０の外部にあってもよい。

　第２変換装置１２０は、照合情報から照合特徴量ベクトルを生成する。照合情報から照合特徴量ベクトルを生成する方法は、登録情報から登録特徴量ベクトルを生成する方法と同じである。すなわち、照合情報から抽出した特徴量から照合特徴量ベクトルを生成する。

　第２変換装置１２０は、照合特徴量ベクトルと照合鍵行列Ｂとの積を計算することにより照合秘匿ベクトルを生成する。このときの照合特徴量ベクトルと照合鍵行列Ｂとの積も、登録特徴量ベクトルと登録鍵行列との積と同じで、線形代数としての行列とベクトルの積のことである。つまり、第２変換装置１２０は、登録秘匿ベクトルを生成する場合に用いた登録鍵行列Ａの代わりに、照合鍵行列Ｂを用いるという点で第１変換装置１１０とは異なっている。したがって、先述したように、第１変換装置１１０と第２変換装置１２０は、同一装置に共通化することが可能である。

　第２変換装置１２０は、上記のように生成した照合秘匿ベクトルを照合装置１３０へ送信する。

　照合装置１３０は、第２変換装置１２０から受信した照合秘匿ベクトルと記憶装置１３１に登録されている登録秘匿ベクトルと補助鍵行列Ｍとにおけるベクトルと行列の積を計算する。後述するように、この内積の計算は、登録特徴量ベクトルと照合特徴量ベクトルとの内積に一致する。登録特徴量ベクトルと照合特徴量ベクトルとの内積は、登録情報と照合情報との類似度になっているので、この類似度が所定の範囲内になっていれば、登録情報と照合情報が一致していると判断することができる。なお、登録情報と照合情報の照合結果は、照合装置１３０が第２変換装置１２０へ送信しても良いが、別の処理のトリガーとして用いることも可能である。

　ここで、上記説明した照合システム１００が機能する原理について説明する。

　まず、登録鍵行列Ａは、ランダムに選んだｎ×ｎ正則行列である。一方、照合鍵行列Ｂも、ランダムに選んだｎ×ｎ正則行列である。また、補助鍵行列Ｍは、登録鍵行列Ａと照合鍵行列Ｂとの行列積ＢＡの逆行列（ＢＡ）^-1とする。なお、登録鍵行列Ａと照合鍵行列Ｂが正則行列であるので、補助鍵行列Ｍも正則行列である。

　登録情報から生成した登録特徴量ベクトルをｘとし、照合情報から生成した照合特徴量ベクトルをｙとする。すると、登録秘匿ベクトルｔは、登録特徴量ベクトルｘと登録鍵行列Ａとの積であるので、ｔ＝Ａ^Ｔｘであり、照合秘匿ベクトルｓは、照合特徴量ベクトルと照合鍵行列Ｂとの積であるので、ｓ＝Ｂｘである。なお、添え字Ｔは転置行列であることを意味する。これは、内積の計算を行列の積にするときに行列を転置する必要があるので事前に転置をしているものである。

　照合時には、登録秘匿ベクトルと補助鍵行列と照合秘匿ベクトルとにおけるベクトルと行列の積の計算が行われる。ここでの積の計算は、登録秘匿ベクトルｔ、補助鍵行列Ｍ、及び照合秘匿ベクトルｓに対し、ｔ^ＴＭｓを計算すればよい。ここで、補助鍵行列Ｍは（ＢＡ）^-1であることに注意すると、以下のように、この計算結果は、登録特徴量ベクトルｘと照合特徴量ベクトルｙとの内積に一致する。
（Ａ^Ｔｘ）^ＴＭ（Ｂｙ）＝ｘ^Ｔ（Ａ（ＢＡ）^-1Ｂ）ｙ＝ｘ^Ｔ（ＡＡ^-1Ｂ^-1Ｂ）ｙ＝ｘ^Ｔｙ＝＜ｘ，ｙ＞

　そして、登録特徴量ベクトルｘと照合特徴量ベクトルｙの内積＜ｘ，ｙ＞は、類似度を示す指標である。例えば、正規化相関は、ベクトルの類似度の指標としてよく用いられる。二つのベクトルｘ＝（ｘ_１，ｘ_２，…，ｘ_ｎ）^Ｔとｙ＝（ｙ_１，ｙ_２，…，ｙ_ｎ）^Ｔの正規化相関は次式で定義される。この正規化相関は大きければ似ている、小さければ似ていないことを表している。次式で与えられる定義から解るように、二つのベクトルｘとｙが正規化されている場合、正規化相関は内積そのものである。したがって、登録特徴量ベクトルｘと照合特徴量ベクトルｙを正規化しておけば、登録特徴量ベクトルｘと照合特徴量ベクトルｙの内積＜ｘ，ｙ＞は、類似度（すなわち、元の二つのベクトルの正規化相関）を示す指標として用いることができる。

　また例えば、ユークリッド距離もベクトルの類似度の指標としてよく用いられる。二つのベクトルｘ＝（ｘ_１，ｘ_２，…，ｘ_ｎ）^Ｔとｙ＝（ｙ_１，ｙ_２，…，ｙ_ｎ）^Ｔのユークリッド距離は次式で定義される。この正規化相関は小さければ似ている、大きければ似ていないことを表している。次式で与えられる定義から解るように、二つのベクトルｘ’＝（Σｘ_ｉ ^２，１，ｘ_１，ｘ_２，…，ｘ_ｎ）^Ｔとｙ’＝（１，Σｙ_ｉ ^２，－２ｙ_１，－２ｙ_２，…，－２ｙ_ｎ）^Ｔの内積はユークリッド距離そのものである。したがって、ユークリッド距離を計算したい二つのベクトルｘとｙに対し、登録特徴量ベクトルと照合特徴量ベクトルをそれぞれｘ’とｙ’とすれば、登録特徴量ベクトルｘ’と照合特徴量ベクトルｙ’の内積＜ｘ’，ｙ’＞は、類似度（すなわち、二つのベクトルｘとｙのユークリッド距離）を示す指標として用いることができる。

　また例えば、ハミング距離は二値ベクトル（すなわち、各成分が０または１であるベクトル）の類似度の指標としてよく用いられる。二つのベクトルｘ＝（ｘ_１，ｘ_２，…，ｘ_ｎ）^Ｔとｙ＝（ｙ_１，ｙ_２，…，ｙ_ｎ）^Ｔのハミング距離は次式で定義される。この正規化相関は小さければ似ている、大きければ似ていないことを表している。次式で与えられる定義から解るように、二つのベクトルｘ’＝（１，ｘ_１，ｘ_２，…，ｘ_ｎ）^Ｔとｙ’＝（Σｙ_ｉ，１－２ｙ_１，１－２ｙ_２，…，１－２ｙ_ｎ）^Ｔの内積はハミング距離そのものである。したがって、ハミング距離を計算したい二つのベクトルｘとｙに対し、登録特徴量ベクトルと照合特徴量ベクトルをそれぞれｘ’とｙ’とすれば、登録特徴量ベクトルｘ’と照合特徴量ベクトルｙ’の内積＜ｘ’，ｙ’＞は、類似度（すなわち、二つのベクトルｘとｙのハミング距離）を示す指標として用いることができる。

　次に、上記説明した照合システム１００では鍵を更新することができることを説明する。

　ランダムに選んだ別の２つの正則行列Δ_Ａ、Δ_Ｂを用意する。この正則行列Δ_Ａ、Δ_Ｂも登録鍵行列と照合鍵行列と同じくｎ×ｎ行列である。鍵の更新では、この別の正則行列Δ_Ａ、Δ_Ｂを登録鍵行列Ａと照合鍵行列Ｂに掛ける。具体的には、元の登録鍵行列Ａに対して、新しい登録鍵行列をＡΔ_Ａとし、元の照合鍵行列Ｂに対して、新しい照合鍵行列をΔ_ＢＢとする。また、元の補助鍵行列Ｍ＝（ＢＡ）^－１に対して、新しい補助鍵行列をΔ_Ａ ^－１ＭΔ_Ｂ ^－１＝Δ_Ａ ^－１（ＢＡ）^－１Δ_Ｂ ^－１とする。

　このように更新をした新しい登録鍵行列ＡΔ_Ａと照合鍵行列Δ_ＢＢとを用いても、登録秘匿ベクトル（ＡΔ_Ａ）^Ｔｘと新しい補助鍵行列Δ_Ａ ^－１ＭΔ_Ｂ ^－１と照合秘匿ベクトルΔ_ＢＢｙにおけるベクトルと行列の積の計算をすれば、登録特徴量ベクトルｘと照合特徴量ベクトルｙとの内積に一致する。
（（ＡΔ_Ａ）^Ｔｘ）^Ｔ（Δ_Ａ ^－１ＭΔ_Ｂ ^－１）（Δ_ＢＢｙ）＝ｘ^Ｔ（ＡΔ_Ａ（Δ_Ａ ^－１ＭΔ_Ｂ ^－１）Δ_ＢＢ）ｙ＝ｘ^Ｔ（ＡＭＢ）ｙ＝ｘ^Ｔ（ＡＡ^－１Ｂ^－１Ｂ）ｙ＝ｘ^Ｔｙ＝＜ｘ，ｙ＞

　さらに、鍵の更新では、既に登録されている登録秘匿ベクトルも更新する。つまり、既に登録されている登録特徴量ベクトルは、元の登録鍵行列Ａを用いて秘匿化されているので、新しい照合鍵行列Δ_ＢＢを用いて照合することができるように、既に登録されている登録秘匿ベクトルを更新する。具体的には、元の登録鍵行列Ａを用いて秘匿化された登録秘匿ベクトルがＡ^Ｔｘであるとすると、Δ_Ａ ^Ｔ（Ａ^Ｔｘ）が更新された登録秘匿ベクトルである。この更新された登録秘匿ベクトルΔ_Ａ ^Ｔ（Ａ^Ｔｘ）が新しい登録鍵行列ＡΔ_Ａを用いて秘匿化したものと同じであることは、Δ_Ａ ^Ｔ（Ａ^Ｔｘ）＝Δ_Ａ ^ＴＡ^Ｔｘ＝（ＡΔ_Ａ）^Ｔｘであることから解る。

　このようにして、照合システム１００における鍵の更新では、既に登録されている登録特徴量ベクトルＡ^Ｔｘに、ランダムに選んだ別の正則行列Δ_Ａ ^Ｔを掛けることにより、新しい照合鍵行列Δ_ＢＢを用いて照合できるように元の登録特徴量ベクトルを更新する。このように、本実施形態の照合システム１００では、情報漏洩などの不測の事態で既に登録されている登録特徴量ベクトルを無効化する必要がある場合に、元の登録特徴量ベクトルを更新し、新しい照合鍵行列を用いなければ照合できないようにすることができる。なお、ここで言う無効化とは、異なる鍵を用いて生成された登録秘匿ベクトルや照合秘匿ベクトルが同じ特徴量から作られたか否かの判別は、他の情報漏洩がなければ不可能ということである。

（照合方法）
　図２から図４は、第１実施形態に係る照合方法を示すシステムフロー図である。図２から図４に示す照合方法は、鍵生成装置１４０が配布する鍵を用いて、第１変換装置１１０に入力された登録情報と第２変換装置１２０に入力された照合情報とを照合装置１３０を用いて照合する照合システムであるが、第１変換装置１１０と第２変換装置１２０は、同一装置に共通化することが可能である。また、図３に示される第１変換方法と図４に示される第２変換方法は、独立に任意の順番で繰り返して実施することが可能である。すなわち、図３に示される第１変換方法は、登録すべき登録情報の数だけ繰り返して実施することが可能であり、図４に示される照合方法は、照合情報の認証を必要とする任意のタイミングで実施することが可能である。

　図２に示すように、鍵生成時には、ステップＳ１からステップＳ３を行う。ステップＳ１では、鍵生成装置１４０が登録鍵行列を生成し、登録鍵行列を第１変換装置１１０へ送信する。ステップＳ２では、鍵生成装置１４０が照合鍵行列を生成し、照合鍵行列を第２変換装置１２０へ送信する。ステップＳ３では、鍵生成装置１４０が補助鍵行列を生成し、補助鍵行列を照合装置１３０へ送信する。これら鍵行列は各装置が記憶しておく。

　図３に示すように、ステップＳ４では、第１変換装置１１０が、登録情報から登録特徴量ベクトルを生成する。登録情報から登録特徴量ベクトルを生成する方法は、登録情報から抽出した特徴量を単純に並べることで生成してもよいが、前述したように登録特徴量ベクトルの構成に工夫をすることで正規化相関やユークリッド距離やハミング距離を得るように構成することが可能である。

　次に、ステップＳ５では、第１変換装置１１０が、登録特徴量ベクトルと登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する。登録鍵行列の構成などは既に説明した通りである。第１変換装置１１０は、生成した登録秘匿ベクトルを照合装置１３０へ送信する。

　次に、ステップＳ６では、照合装置１３０が、第１変換装置１１０から受信した登録秘匿ベクトルを記憶装置１３１に登録する。先述したように、ここまでのステップＳ４からステップＳ６は、登録すべき登録情報の数だけ繰り返して実施することが可能である。

　一方、図４に示すように、第１実施形態に係る照合方法の実施時には、ステップＳ７からステップＳ９を行う。ステップＳ７では、第２変換装置１２０が、照合情報から照合特徴量ベクトルを生成する。照合情報から照合特徴量ベクトルを生成する方法は、登録情報から登録特徴量ベクトルを生成する方法と同様に、照合情報から抽出した特徴量を単純に並べることで生成してもよいが、照合特徴量ベクトルの構成に工夫をすることで正規化相関やユークリッド距離やハミング距離を得るように構成することが可能である。

　次に、ステップＳ８では、第２変換装置１２０が、照合特徴量ベクトルと照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する。登録鍵行列と照合鍵行列の関係および照合鍵行列の構成などは既に説明した通りである。第２変換装置１２０は、生成した照合秘匿ベクトルを照合装置１３０へ送信する。

　最後に、ステップＳ９では、照合装置１３０が、第２変換装置１２０から受信した照合秘匿ベクトルと記憶装置１３１に登録されている登録秘匿ベクトルと鍵生成装置１４０から送信された補助鍵行列とにおけるベクトルと行列の積を計算することで、登録情報と照合情報とを照合する。

　このように、図３に示される第１変換方法と図４に示される第２変換方法を組み合わせて、第１実施形態を照合方法として実施することも可能である。

（ハードウェア構成例）
　図５は、実施形態に用いられる装置のハードウェア構成例を示す図である。すなわち、第１変換装置１１０、第２変換装置１２０、照合装置１３０は、図５に示すハードウェア構成を採用した情報処理装置（コンピュータ）にて、上記説明した照合方法をプログラムとして実行させることで、第１変換装置１１０、第２変換装置１２０、照合装置１３０における各機能を実現することを可能にする。ただし、図５に示すハードウェア構成例は、第１変換装置１１０、第２変換装置１２０、照合装置１３０の各機能を実現するハードウェア構成の一例であり、第１変換装置１１０、第２変換装置１２０、照合装置１３０のハードウェア構成を限定する趣旨ではない。第１変換装置１１０、第２変換装置１２０、照合装置１３０は、図５に示さないハードウェアを含むことができる。

　図５に示すように、第１変換装置１１０、第２変換装置１２０、照合装置１３０が採用し得るハードウェア構成１０は、例えば内部バスにより相互に接続される、ＣＰＵ（Central Processing Unit）１１、主記憶装置１２、補助記憶装置１３、およびＩＦ（Interface）部１４を備える。

　ＣＰＵ１１は、第１変換装置１１０、第２変換装置１２０、照合装置１３０が実行するプログラムに含まれる各指令を実行する。主記憶装置１２は、例えばＲＡＭ（Random Access Memory）であり、第１変換装置１１０、第２変換装置１２０、照合装置１３０が実行するプログラムなどの各種プログラムなどをＣＰＵ１１が処理するために一時記憶する。

　補助記憶装置１３は、例えば、ＨＤＤ（Hard Disk Drive）であり、第１変換装置１１０、第２変換装置１２０、照合装置１３０が実行するプログラムなどの各種プログラムなどを中長期的に記憶しておくことが可能である。プログラムなどの各種プログラムは、非一時的なコンピュータ可読記録媒体（non-transitory computer-readable storage medium）に記録されたプログラム製品として提供することができる。

　ＩＦ部１４は、例えば第１変換装置１１０、第２変換装置１２０、照合装置１３０の間の入出力に関するインターフェイスを提供する。

　上記のようなハードウェア構成１０を採用した情報処理装置は、先述した照合方法をプログラムとして実行することで、例えば第１変換装置１１０、第２変換装置１２０、照合装置１３０の各機能を実現する。

［第２実施形態］
　第２実施形態では、鍵の更新方法を工夫し、補助鍵行列を不変となるように構成する。ここでも第１実施形態と同じように、元の登録鍵行列をＡとし、元の照合鍵行列をＢとし、元の補助鍵行列をＭ＝（ＢＡ）^－１とする。また、第１実施形態における鍵の更新の説明において示したように、ランダムに選んだ別の２つの正則行列Δ_Ａ、Δ_Ｂを用意し、新しい登録鍵行列をＡΔ_Ａとし、新しい照合鍵行列をΔ_ＢＢとし、新しい補助鍵行列をΔ_Ａ ^－１ＭΔ_Ｂ ^－１とすることで、鍵の更新をすることができる。

　第２実施形態では、例えば、一方の正則行列Δ_Ａの要素を乱数とし、もう一方の正則行列をΔ_B＝Ｍ^－１Δ_Ａ ^－１Ｍとする。すると、新しい補助鍵行列はΔ_Ａ ^－１ＭΔ_Ｂ ^－１＝Δ_Ａ ^－１Ｍ（Ｍ^－１Δ_Ａ ^－１Ｍ）^－１＝Δ_Ａ ^－１ＭＭ^－１Δ_ＡＭ＝Ｍとなり、補助鍵行列Ｍは不変になる。なお、新しい登録鍵行列をＡΔ_Ａであり、新しい照合鍵行列はΔ_ＢＢ＝Ｍ^－１Δ_Ａ ^－１ＭＢである。

　このように鍵の更新をすれば、登録鍵行列および照合鍵行列が漏洩などの可能性で更新をする必要が生じても補助鍵行列Ｍを不変にしたままで脆弱性を塞ぐことができる。

［第３実施形態］
　第３実施形態では、鍵の更新方法を工夫し、登録鍵行列を不変となるように構成する。ここでも第１実施形態と同じように、元の登録鍵行列をＡとし、元の照合鍵行列をＢとし、元の補助鍵行列をＭ＝（ＢＡ）^－１とする。また、第１実施形態における鍵の更新の説明において示したように、ランダムに選んだ別の２つの正則行列Δ_Ａ、Δ_Ｂを用意し、新しい登録鍵行列をＡΔ_Ａとし、新しい照合鍵行列をΔ_ＢＢとし、新しい補助鍵行列をΔ_Ａ ^－１ＭΔ_Ｂ ^－１とすることで、鍵の更新をすることができる。

　第３実施形態では、一方の正則行列Δ_Bの要素を乱数とし、新しい照合鍵行列をΔ_ＢＢとし、新しい補助鍵行列をＭΔ_Ｂ ^－１＝（ＢＡ）^－１Δ_Ｂ ^－１＝（Δ_ＢＢＡ）^－１とする一方で、正則行列Δ_Ａを単位行列とする。すると、元の登録鍵行列Ａを更新する必要がない。実際、以下のように、元の登録鍵行列Ａと新しい照合鍵行列Δ_ＢＢと新しい補助鍵行列ＭΔ_Ｂ ^－１を用いて積の計算をしても、登録特徴量ベクトルｘと照合特徴量ベクトルｙとの内積＜ｘ，ｙ＞を正しく得ることができる。
（Ａ^Ｔｘ）^Ｔ（ＭΔ_Ｂ ^－１）（Δ_ＢＢｙ）＝ｘ^Ｔ（ＡＭΔ_Ｂ ^－１Δ_ＢＢ）ｙ＝ｘ^Ｔ（ＡＭＢ）ｙ＝ｘ^Ｔ（ＡＡ^-1Ｂ^-1Ｂ）ｙ＝ｘ^Ｔｙ＝＜ｘ，ｙ＞

　このように、登録鍵行列Ａを不変としながら鍵の更新をすることで、照合装置１３０に記憶されている登録秘匿ベクトルＡ^Ｔｘを更新する必要がなくなる。照合装置１３０に記憶されている登録秘匿ベクトルＡ^Ｔｘは大量となることもあり、照合鍵行列Ｂおよび補助鍵行列Ｍよりも更新頻度を減らすことで鍵の更新をするために必要な処理量を低減することが可能になる。

［第４実施形態］
　第４実施形態では、鍵の更新方法を工夫し、照合鍵行列を不変となるように構成する。ここでも第１実施形態と同じように、元の登録鍵行列をＡとし、元の照合鍵行列をＢとし、元の補助鍵行列をＭ＝（ＢＡ）^－１とする。また、第１実施形態における鍵の更新の説明において示したように、ランダムに選んだ別の２つの正則行列Δ_Ａ、Δ_Ｂを用意し、新しい登録鍵行列をＡΔ_Ａとし、新しい照合鍵行列をΔ_ＢＢとし、新しい補助鍵行列をΔ_Ａ ^－１ＭΔ_Ｂ ^－１とすることで、鍵の更新をすることができる。

　第４実施形態では、一方の正則行列Δ_Ａの要素を乱数とし、新しい登録鍵行列をＡΔ_Ａとし、新しい補助鍵行列をΔ_Ａ ^－１Ｍ＝Δ_Ａ ^－１（ＢＡ）^－１＝（ＢＡΔ_Ａ）^－１とする一方で、正則行列Δ_Ａを単位行列とする。すると、元の照合鍵行列Ｂを更新する必要がない。実際、以下のように、新しい登録鍵行列ＡΔ_Ａと元の照合鍵行列Ｂと新しい補助鍵行列Δ_Ａ ^－１Ｍを用いて積の計算をしても、登録特徴量ベクトルｘと照合特徴量ベクトルｙとの内積＜ｘ，ｙ＞を正しく得ることができる。
（（ＡΔ_Ａ）^Ｔｘ）^Ｔ（Δ_Ａ ^－１Ｍ）（Ｂｙ）＝ｘ^Ｔ（ＡΔ_Ａ（Δ_Ａ ^－１Ｍ）Ｂ）ｙ＝ｘ^Ｔ（ＡＭＢ）ｙ＝ｘ^Ｔ（ＡＡ^-1Ｂ^-1Ｂ）ｙ＝ｘ^Ｔｙ＝＜ｘ，ｙ＞

　例として、次のような利用形態を考える。登録は店舗などの特定の場所に置かれた専用端末で実行され、認証は各自のスマートフォン等を利用して生体情報を抽出し、登録された情報との照合はサービス提供者のサーバ上で行われる利用形態を想定する。この場合、サービスプロバイダの管理下にある登録鍵と補助鍵の更新は容易であるが、スマートフォン用アプリ等に埋め込まれる形で広く配布される照合鍵は、各ユーザの協力なしに更新することが困難である。このような利用形態では、照合鍵行列Ｂを不変としながら鍵の更新をすることにより、鍵の更新可能性を高めることができる。

［第５実施形態］
　以下に説明する第４実施形態は、第１実施形態の安全性をより高めた実施形態である。具体的には、第４実施形態は、第１実施形態よりも鍵の漏洩耐性を高めることができる。例えば不測の事態によって、登録特徴量ベクトルとこれに対応する登録秘匿ベクトルの組が複数漏洩した場合、漏洩した複数の登録特徴量ベクトルと登録秘匿ベクトルから登録鍵行列を推測されてしまう虞がある。なお、このことは照合特徴量ベクトルと照合秘匿ベクトルの組が漏洩した場合も同じである。

　このような漏洩した複数の登録特徴量ベクトルと登録秘匿ベクトルから登録鍵行列を特定することができてしまう条件は、連立方程式が解ける条件に帰着することができる。つまり、登録特徴量ベクトルｘと登録秘匿ベクトルｔと登録鍵行列Ａの関係は、連立方程式Ａ^Ｔｘ＝ｔであるので、連立方程式が解ける条件に帰着することができ、既知制約式の個数≧未知変数の個数となる。

　ここで、連立方程式Ａ^Ｔｘ＝ｔは、制約式がｎ個であり、変数はｎ^２＋２ｎ個である。なお、変数はｎ^２＋２ｎ個は、登録特徴量ベクトルｘにｎ個、登録秘匿ベクトルｔにｎ個、登録鍵行列Ａにｎ^２個の合計である。

　これらｎ^２＋２ｎ個の変数うち、登録特徴量ベクトルｘが１個漏洩すると、ｎ個の変数が未知変数から既知変数へ変わり、また、登録秘匿ベクトルｘが１個漏洩すると、ｎ個の変数が未知変数から既知変数へ変わる。さらに、登録特徴量ベクトルｘと登録秘匿ベクトルｔの組がｋ組漏洩する場合、既知制約式の個数がｋｎ個（Ａ^Ｔｘ＝ｔの式がｋ個分）に対し、未知変数は共通で用いられる登録鍵行列Ａのｎ^２個分となる。この関係をまとめると以下のような表になる。

　上記関係から解るように、漏洩する登録特徴量ベクトルと登録秘匿ベクトルの組の数ｋがｋ＜ｎなら登録鍵行列は特定されない。

　しかしながら、漏洩する登録特徴量ベクトルと登録秘匿ベクトルの組がｎ個以上であると、登録鍵行列の特定が可能であるともいえる。そこで、第４実施形態では、そのような事態が生じないように以下のように工夫をする。

　まず、同じ登録鍵行列Ａを用いて登録秘匿ベクトルを生成するのは、ｎ組未満とし、ｎ組以上の場合は新たな登録鍵行列Ａを用いる。そして、照合時には、各登録鍵行列に対応する照合鍵行列を用いて、照合秘匿ベクトルを生成し、各照合秘匿ベクトルについて登録秘匿ベクトルとの照合を行う。さらに、同一の照合鍵行列を用いて照合を行う回数がｎ回以上となると、照合特徴量ベクトルと照合秘匿ベクトルの組から照合鍵行列Ｂが漏洩する可能性があるので、n－１回ごとに照合鍵行列Ｂを更新する。

　ここで、登録鍵行列や登録特徴量ベクトルの次数がｎ＝１１の場合に、１００個の登録特徴量ベクトルを登録し、これを照合する場合を例示する。

　まず、１個目から１０個目の登録特徴量ベクトルに用いる登録鍵行列をA_１とし、１１個目から２０個目の登録特徴量ベクトルに用いる登録鍵行列をA_２とし、以下同様に、９１個目から１００個目の登録特徴量ベクトルに用いる登録鍵行列をA_１０とする。これらの登録鍵行列を用いて生成される登録秘匿ベクトルは以下の通りである。
A_１ ^Tｘ_１，A_１ ^Tｘ_２，…，A_１ ^Tｘ_１０，A_２ ^Tｘ_１１，A_２ ^Tｘ_１２，…，A_２ ^Tｘ_２０，…，A_１０ ^Tｘ_９１，A_１０ ^Tｘ_９２，…，A_１０ ^Tｘ_１００

　照合時には、一つの照合特徴量ベクトルに対して、各登録鍵行列A_１，…，A_１０に対応する照合鍵行列Ｂ_１，…，Ｂ_１０を用いて照合秘匿ベクトルを生成する。すなわち、照合特徴量ベクトルｙから生成される照合秘匿ベクトルはＢ_１ｙ，Ｂ_２ｙ，…，Ｂ_１０ｙである。そして、これら照合秘匿ベクトルＢ_ｉｙと各登録秘匿ベクトルＡ_ｉ ^Ｔｘ_ｊとを各々照合する。

　ただし、上記照合を１１回以上繰り返すと鍵が漏洩する可能性があるので、照合を１０回繰り返すごとに、更新用の正則行列Δ_１，…，Δ_１０を生成し、各照合鍵行列Ｂ_ｉをΔ_ｉＢ_ｉに更新する。

　第５実施形態では、上記のように同一の登録鍵行列を用いる登録秘匿ベクトルの数を、所定の自然数ｎよりも少なくし、第２変換装置は、同一の照合鍵行列を用いて照合を行う回数が前記所定の自然数ｎより超えないように、照合鍵行列を更新することで、同じ登録鍵行列に対する登録特徴量ベクトルと登録秘匿ベクトルの組または同じ照合鍵行列に対する照合特徴量ベクトルと照合秘匿情報ベクトルの組がｎ個以上漏洩することによる脆弱性を防ぐことができる。

［第６実施形態］
　以下に説明する第６実施形態も安全性をより高めた実施形態である。上記説明した照合システムでは、登録特徴量ベクトルの次数ｎと登録鍵行列の次数ｎは同一である。したがって、登録特徴量ベクトルの構成として、単純に特徴量を並べる構成を採用した場合、鍵の漏洩耐性などの安全性が特徴量の個数に制約されてしまう。そこで、第６実施形態では、特徴量の個数に制約されず、安全性を向上させることができるように工夫をする。

　互いに直交する２つベクトルをｘ’＝（ｒ_１，ｒ_２，…，ｒ_ｐ）とｙ’＝（ｑ_１，ｑ_２，…，ｑ_ｐ）とすると、ｘ＝（ｘ_１，ｘ_２，…，ｘ_ｍ，ｒ_１，ｒ_２，…，ｒ_ｐ）とｙ＝（ｙ_１，ｙ_２，…，ｙ_ｍ，ｑ_１，ｑ_２，…，ｑ_ｐ）の内積は、ｘ’’＝（ｘ_１，ｘ_２，…，ｘ_ｍ）とｙ’’＝（ｙ_１，ｙ_２，…，ｙ_ｍ）の内積に等しい。

　そこで、ｘ’’＝（ｘ_１，ｘ_２，…，ｘ_ｍ）とｙ’’＝（ｙ_１，ｙ_２，…，ｙ_ｍ）を特徴量で構成し、これに互いに直交する２つベクトルをｘ’＝（ｒ_１，ｒ_２，…，ｒ_ｐ）とｙ’＝（ｑ_１，ｑ_２，…，ｑ_ｐ）を付加して、登録特徴量ベクトルｘ＝（ｘ_１，ｘ_２，…，ｘ_ｍ，ｒ_１，ｒ_２，…，ｒ_ｐ）と照合特徴量ベクトルｙ＝（ｙ_１，ｙ_２，…，ｙ_ｍ，ｑ_１，ｑ_２，…，ｑ_ｐ）を構成しても、内積の値は変わらない。

　例えば、付加する互いに直交する２つベクトルｘ’とｙ’は例えば次のように構成することができる。１つ目の方法は、ｘ’とｙ’の一方はすべての要素が乱数であり、他方は１つの要素を除いて乱数で構成し、残りの１つの要素を２つのベクトルｘ’とｙ’が互いに直交するように調整するものである。この方法の場合、鍵生成時にｘ’とｙ’が決められ、登録フローでは毎度同じｘ’とｙ’が用いられる。

　２つ目の方法は、０以上ｐ以下であるｐ’に対し、ｘ’はｐ’個の乱数とｐ－ｐ’個の０を並べたベクトルとし、ｙ’はｐ’個の０とｐ－ｐ’個の乱数を並べたベクトルとする。この方法の場合、鍵生成時や事前のセットアップ時にｑが決められ、ｘ’とｙ’に含まれる乱数は秘匿ベクトル生成時に独立に選ばれる。

　３つ目の方法は、図７に示すように、２以上ｐ－２以下であるｐ’に対し、ｘ’はｐ’個の固定の乱数とｐ－ｐ’－１個の毎回独立に選ばれる乱数と帳尻合わせ用の値１個を並べたベクトルとし、ｙ’はｐ’ －１個毎回独立に選ばれる乱数と帳尻合わせ用の値１個とｐ－ｐ’個の固定の乱数を並べたベクトルとする。この方法の場合、鍵生成時や事前のセットアップ時に固定の乱数ベクトル（ｒ_１，ｒ_２，…，ｒ_ｐ’）と（ｑ_ｐ’＋１，ｑ_ｐ’＋２，…，ｑ_ｐ）が決められる。秘匿ベクトル生成時にはその都度独立に乱数ベクトル（ｒ_ｐ’＋１，ｒ_ｐ’＋２，…，ｒ_ｐ－１）と（ｑ_１，ｑ_２，…，ｑ_ｐ’－１）が選ばれ、さらに、二つの内積値＜（ｒ_１，ｒ_２，…，ｒ_ｐ’），（ｑ_１，ｑ_２，…，ｑ_ｐ’）＞及び＜（ｒ_ｐ’＋１，ｒ_ｐ’＋２，…，ｒ_ｐ），（ｑ_ｐ’＋１，ｑ_ｐ’＋２，…，ｑ_ｐ）＞がそれぞれｓと－ｓとなるようなｒ_ｐ及びｑ_ｐ’を選ぶ。すなわち、登録特徴量ベクトルｘ＝（ｘ_１，ｘ_２，…，ｘ_ｍ，ｒ_１，ｒ_２，…，ｒ_ｐ）と照合特徴量ベクトルｙ＝（ｙ_１，ｙ_２，…，ｙ_ｍ，ｑ_１，ｑ_２，…，ｑ_ｐ）の内積は、ｘ’’＝（ｘ_１，ｘ_２，…，ｘ_ｍ）とｙ’’＝（ｙ_１，ｙ_２，…，ｙ_ｍ）の内積に一致する。

　すなわち、特徴量の次数がｍであっても、次数がｐの直交ベクトルを付加すれば、登録鍵行列および照合鍵行列の次数ｎをｍ＋ｐに拡大することができる。さらに、登録特徴量ベクトルと照合特徴量ベクトルのいずれに対しても毎回独立に選ばれる乱数成分が付加されている。これにより、鍵及び元の特徴量ベクトルの漏洩耐性を向上させることができる。以下の表は鍵の漏洩耐性を示したものである。

　上記関係から解るように、漏洩する登録特徴量ベクトルと登録秘匿ベクトルの組の数ｋがｋ＜ｍ＋ｐなら登録鍵行列は特定されない。つまり、特徴量の個数がｐであっても、次数がｐの直交ベクトルを付加すれば、漏洩する登録特徴量ベクトルと登録秘匿ベクトルの組の数がｋまでの漏洩耐性を得ることができる。なお、本実施形態の工夫を第２～４実施形態に組み合わせれば、より効率的に脆弱性を防ぐことが可能である。

［第７実施形態］
　第７実施形態では、登録特徴量ベクトルと照合特徴量ベクトルの構成を工夫し、登録特徴量ベクトルと照合特徴量ベクトルの内積が、スコア表を参照した登録情報と照合情報とのスコアとなるように構成する。

　特徴量の値に対するスコアが単純な多項式では表現できない場合、スコア表を参照してスコアを与える手法が採用されることがある。特徴量のベクトルに対して、スコア表は、ベクトルの各要素の各値についてスコアが割り当てられており、全ての要素に関するスコアの総和を最終的なスコアとする。

　例えば、下記のようなスコア表では、登録特徴量ベクトルが（０，０，０）であり、照合特徴量ベクトルが（０，１，１）の場合、第１次元の表引き結果がｃｈａｒｔ（０，０）＝１であり、第２および第３次元の表引き結果がｃｈａｒｔ（０，１）＝－１であり、スコアｓｃｏｒｅ（（０，０，０），（０，１，１））＝１－１－１＝－１となる。

　このようなスコア表を用いたスコア付けでも、特徴量の各値を要素に１が格納されている位置に変換したベクトル表現することにより、計算によりスコア値を求めることができる。特徴量の各値のベクトル表現とは、特徴量の各成分ｉ∈［０，Ｌ］を、第ｉ次元が１であり他が０であるＬ＋１次元のベクトルに表現するものである。例えば、Ｌ＝１の場合、０を（１，０）（つまり、０番目の要素を１としそれ以外を０とする）、１を（０，１）と表現する。すると、上記表を用いた表引き計算は以下のように行列の演算を用いて表現することができる。

　上記関係を用いれば、多成分の表引きをまとめてベクトルと行列の積によって計算することも可能である。例えば、登録特徴量ベクトルｘが（０，０，０）の場合、各成分の登録特徴量ベクトル（０，０，０）における各成分０を上記関係で（１，０）とベクトル表現し、これらを連結したものをｘ’＝（１，０，１，０，１，０）とする。また、例えば、照合特徴量ベクトルｙが（０，１，１）の場合、同様にｙ’＝（１，０，０，１，０，１）とする。

　このように、登録特徴量ベクトルｘおよび照合特徴量ベクトルｙをｘ’＝（１，０，１，０，１，０）とｙ’＝（１，０，０，１，０，１）に表現した場合、上記スコア表を以下のように行列Ｃに表現すると、ｓｃｏｒｅ（（０，０，０），（０，１，１））
＜ｘ’，Ｃｙ’＞となる。

　実際、以下のように、＜ｘ’，Ｃｙ’＞を計算するとｓｃｏｒｅ（（０，０，０），（０，１，１））を得ることができる。

　第７実施形態に係る照合システムは、上記関係を用いてスコア表を参照して登録情報と照合情報とを照合する。図６は、第７実施形態に係る照合システムの概略構成図である。なお、第７実施形態に係る照合システム２００は、第１実施形態に係る照合システム１００と共通の構成も多い。したがって、第７実施形態に係る照合システム２００の説明では適宜説明を省略するが、省略した説明は第１実施形態に係る照合システム１００と共通であるものとする。

　図６に示すように照合システム２００は、鍵生成装置２４０が配布する鍵を用いて、第１変換装置２１０に入力された登録情報と第２変換装置２２０に入力された照合情報とを照合装置２３０を用いて照合する。

　鍵生成装置２４０は、ランダムに選んだ所定の自然数ｎの次数の第１の正則行列を生成し、この第１の正則行列を登録鍵行列Ａとして第１変換装置２１０に送信する。さらに鍵生成装置２４０は、ランダムに選んだ所定の自然数ｎの次数の第２の正則行列を生成し、この第２の正則行列を照合鍵行列Ｂとして第２変換装置２２０に送信する。そして、鍵生成装置２４０は、登録鍵行列と照合鍵行列との行列積から補助鍵行列Ｍを生成し、補助鍵行列を照合装置２３０に送信する。

　ここで、補助鍵行列Ｍは、登録鍵行列Ａと照合鍵行列Ｂとの間にスコア表を行列表現したスコア表行列Cを挿入した行列積である。すなわち、補助鍵行列はＭ＝Ａ^－１ＣＢ^－１である。スコア表行列Ｃは、上記説明したように、参照すべきスコア表を対角線上に並べて構成したものである。

　第１変換装置２１０は、登録情報から登録特徴量ベクトルｘ’を生成する。ここで、第１変換装置２１０は、上述したように、登録情報における各成分ｉ∈［０，Ｌ］を第ｉ次元が１であり他が０であるＬ＋１次元のベクトルに表現する。登録情報自体がベクトルである場合は、各成分をベクトルに表現し、これらを連結することで登録特徴量ベクトルｘ’を生成する。

　第１変換装置２１０は、登録特徴量ベクトルと登録鍵行列Ａとの積を計算することにより登録秘匿ベクトルを生成する。第１変換装置２１０は、生成した登録秘匿ベクトルを照合装置２３０へ送信し、照合装置２３０における記憶装置２３１に登録する。なお、記憶装置２３１は照合装置２３０の内部に備えていても良いが、記憶装置２３１が照合装置２３０の外部にあってもよい。

　第２変換装置２２０は、上述した登録情報の場合と同様に、照合情報から照合特徴量ベクトルｙ’を生成し、照合特徴量ベクトルと照合鍵行列Ｂとの積を計算することにより照合秘匿ベクトルを生成する。第２変換装置２２０は、生成した照合秘匿ベクトルを照合装置２３０へ送信する。

　照合装置２３０は、第２変換装置２２０から受信した照合秘匿ベクトルと記憶装置２３１に登録されている登録秘匿ベクトルと補助鍵行列Ｍとにおけるベクトルと行列の積を計算する。ここでの積の計算は、登録秘匿ベクトルｘ’と補助鍵行列Ｍと照合秘匿ベクトルｙ’に対し、ｘ’^ＴＭｙ’を計算すればよい。この計算結果は、スコア表行列Cに組み入れられたスコア表を参照して計算した登録情報ｘと照合情報ｙとのスコアｓｃｏｒｅ（ｘ，ｙ）に一致する。
（Ａ^Ｔｘ’）^ＴＭ（Ｂｙ’）＝ｘ’^Ｔ（ＡＡ^－１ＣＢ^－１Ｂ）ｙ’＝ｘ’^ＴＣｙ’＝＜ｘ’，Ｃｙ’＞＝ｓｃｏｒｅ（ｘ，ｙ）

　以上のように、第７実施形態に係る照合システム２００は、スコア表を参照した登録情報と照合情報の照合を行うことができる。なお、鍵生成装置２４０は、ランダムに選んだ登録鍵行列Ａと照合鍵行列Ｂとの間にスコア表の情報を挿入した行列積の形式で照合装置２３０に送信するので、実質的に暗号化されている。つまり、スコア表の情報自体も秘匿化した状態で登録情報と照合情報の照合を行うことができる。

　また、第７実施形態では、スコア表の情報が補助鍵行列Ｍにのみ含まれているので、スコア表が複数ある場合であっても、同じ登録秘匿ベクトルｘ’と照合秘匿ベクトルｙ’を用いることができる。つまり、スコア表が複数ある場合であっても、別々の登録秘匿ベクトルｘ’を照合装置２３０に記憶する必要がない。また、スコア表が複数ある場合であっても、同じ登録秘匿ベクトルｘ’および照合秘匿ベクトルとｙ’を計算すればよいので、スコア表の個数に依存しない時間で生成することができる。

　次に、上記説明した照合システム２００でも第１実施形態と同様に鍵を更新することができることを説明する。

　ランダムに選んだ別の２つの正則行列Δ_Ａ、Δ_Ｂを用意する。元の登録鍵行列Ａに対して、新しい登録鍵行列をＡΔ_Ａとし、元の照合鍵行列Ｂに対して、新しい照合鍵行列をΔ_ＢＢとする。また、元の補助鍵行列Ｍ＝Ａ^－１ＣＢ^－１に対して、新しい補助鍵行列をΔ_Ａ ^－１ＭΔ_Ｂ ^－１＝Δ_Ａ ^－１Ａ^－１ＣＢ^－１Δ_Ｂ ^－１＝（ＡΔ_Ａ）^－１Ｃ（Δ_ＢＢ）^－１とする。

　このように更新をした新しい登録鍵行列ＡΔ_Ａと照合鍵行列Δ_ＢＢとを用いても、登録秘匿ベクトル（ＡΔ_Ａ）^Ｔｘ’と新しい補助鍵行列Δ_Ａ ^－１ＭΔ_Ｂ ^－１と照合秘匿ベクトルΔ_ＢＢｙ’とにおけるベクトルと行列の積の計算をすれば、スコア表行列Cに組み入れられたスコア表を参照して計算した登録情報ｘと照合情報ｙとのスコアｓｃｏｒｅ（ｘ，ｙ）に一致する。
（（ＡΔ_Ａ）^Ｔｘ’）^Ｔ（Δ_Ａ ^－１ＭΔ_Ｂ ^－１）（Δ_ＢＢｙ’）＝ｘ’^Ｔ（ＡΔ_Ａ（Δ_Ａ ^－１ＭΔ_Ｂ ^－１）Δ_ＢＢ）ｙ’＝ｘ’^Ｔ（ＡＭＢ）ｙ’＝ｘ’^Ｔ（ＡＡ^－１ＣＢ^－１Ｂ）ｙ’＝ｘ’^ＴＣｙ’＝＜ｘ’，Ｃｙ’＞＝ｓｃｏｒｅ（ｘ，ｙ）

　さらに、既に登録されている登録秘匿ベクトルも更新する。具体的には、元の登録鍵行列Ａを用いて秘匿化された登録秘匿ベクトルがＡ^Ｔｘであるとすると、Δ_Ａ ^Ｔ（Ａ^Ｔｘ’）が更新された登録秘匿ベクトルである。この更新された登録秘匿ベクトルΔ_Ａ ^Ｔ（Ａ^Ｔｘ’）が新しい登録鍵行列ＡΔ_Ａを用いて秘匿化したものと同じであることは、Δ_Ａ ^Ｔ（Ａ^Ｔｘ’）＝Δ_Ａ ^ＴＡ^Ｔｘ’＝（ＡΔ_Ａ）^Ｔｘ’であることから解る。

　なお、更新された登録秘匿ベクトル（ＡΔ_Ａ）^Ｔｘ’と新しい補助鍵行列Δ_Ａ ^－１ＭΔ_Ｂ ^－１に対して、更新前の照合鍵行列Ｂを用いて生成された照合秘匿ベクトルＢｙ’を用いて照合しようとしても、以下のようにｓｃｏｒｅ（ｘ，ｙ）を得ることはできない。
（（ＡΔ_Ａ）^Ｔｘ’）^Ｔ（Δ_Ａ ^－１ＭΔ_Ｂ ^－１）（Ｂｙ’）＝ｘ’^Ｔ（ＡΔ_ＡΔ_Ａ ^－１ＭΔ_Ｂ ^－１Ｂ）ｙ’＝ｘ’^Ｔ（ＡＭΔ_ＢＢ）ｙ’＝ｘ’^Ｔ（ＣＢ^－１Δ_ＢＢ）ｙ’≠ｓｃｏｒｅ（ｘ，ｙ）

　なお、本実施形態における鍵の更新においても、第２実施形態および第３実施形態および第４実施形態のように、補助鍵行列Ｍを不変にした鍵の更新および登録鍵行列Ａを不変にした鍵の更新をすることができる。

［第８実施形態］
　本実施形態は、第５実施形態のように、登録秘匿ベクトルｘ’と照合秘匿ベクトルｙ’を、乱数を要素に持つベクトルで拡張することで安全性を高める。

　具体的には、（ｒ_１，ｒ_２，…，ｒ_ｐ）および（ｓ_１，ｓ_２，…，ｓ_ｐ）を乱数を要素に持つベクトルとし、登録秘匿ベクトルｘ’に（ｒ_１，ｒ_２，…，ｒ_ｐ）を結合したものを（ｘ’||（ｒ_１，ｒ_２，…，ｒ_ｐ））とし、照合秘匿ベクトルｙ’に（ｓ_１，ｓ_２，…，ｓ_ｐ）を結合したものを（ｙ’||（ｓ_１，ｓ_２，…，ｓ_ｐ））とする。すると、以下のようにスコア表行列Cを拡張することで、スコアの値を不変にしながら登録鍵行列および照合鍵行列の次元を増加させることができる。このことは、登録鍵行列および照合鍵行列が特定される可能性を小さくすることができることを意味している。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、
　入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、
　前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する照合装置と、
　を備える照合システム。
［付記２］
　前記鍵生成装置は、前記補助鍵行列を不変にしながら、前記登録鍵行列と前記照合鍵行列を更新する付記１に記載の照合システム。
［付記３］
　前記鍵生成装置は、前記登録鍵行列を不変にしながら、前記照合鍵行列と前記補助鍵行列を更新する付記１に記載の照合システム。
［付記４］
　前記登録特徴量ベクトルと前記照合特徴量ベクトルは、乱数を要素に持つベクトルを用いて拡張されている、付記１から付記３のいずれか１つに記載の照合システム。
［付記５］
　前記登録特徴量ベクトルおよび前記照合特徴量ベクトルは、前記登録特徴量ベクトルと前記照合特徴量ベクトルの内積が前記登録情報と前記照合情報とのユークリッド距離の２乗となるように構成されている、付記１から付記４のいずれか１つに記載の照合システム。
［付記６］
　前記補助鍵行列は、前記登録鍵行列と前記照合鍵行列との間に、スコア表を行列表現したスコア表行列を挿入した行列積から得られる、付記１から付記４のいずれか１つに記載の照合システム。
［付記７］
　前記登録特徴量ベクトルおよび前記照合特徴量ベクトルは、特徴量の各値の要素に１が格納されている位置に変換したベクトル表現である、付記６に記載の照合システム。
［付記８］
　前記鍵生成装置は、全ての要素に乱数を割り当てた正方行列から非正則行列を除外して前記登録鍵行列および前記照合鍵行列を生成する、付記１から付記７のいずれか１つに記載の照合システム。
［付記９］
　前記照合装置は、前記第１変換装置から受信した前記登録秘匿ベクトルを記憶しておく記憶装置を備えている、付記１から付記８のいずれか１つに記載の照合システム。
［付記１０］
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと補助鍵行列とにおけるベクトルと行列の積を計算する照合装置とを用いて、前記登録情報と前記照合情報とを照合するための鍵を生成する鍵生成装置であって、
　ランダムに選んだ第１の正則行列を前記登録鍵行列として生成し、
　ランダムに選んだ第２の正則行列を照合鍵行列として生成し、
　前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置。
［付記１１］
　前記補助鍵行列を不変にしながら、前記登録鍵行列と前記照合鍵行列を更新する付記１０に記載の鍵生成装置。
［付記１２］
　前記登録鍵行列を不変にしながら、前記照合鍵行列と前記補助鍵行列を更新する付記１０に記載の鍵生成装置。
［付記１３］
　前記登録鍵行列と前記照合鍵行列との間に、スコア表を行列表現したスコア表行列を挿入した行列積から補助鍵行列を生成する、付記１０から付記１２のいずれか１つに記載の鍵生成装置。
［付記１４］
　登録鍵と照合鍵と補助鍵を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵とから登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵とから照合秘匿ベクトルを生成する第２変換装置とを用いて、前記登録情報と前記照合情報とを照合する照合装置であって、
　前記第１変換装置から受信した前記登録秘匿ベクトルと、前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵とから前記登録情報と前記照合情報との照合結果を計算する照合装置。
［付記１５］
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置とを用いて、前記登録情報と前記照合情報とを照合する照合装置であって、
　前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する照合装置。
［付記１６］
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第２変換装置から受信した照合秘匿ベクトルと登録秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記登録秘匿ベクトルを登録する第１変換装置であって、
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより前記登録秘匿ベクトルを生成し、前記登録秘匿ベクトルを前記照合装置に送信する第１変換装置。
［付記１７］
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと、入力された照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記照合秘匿ベクトルを送信する第２変換装置であって、
　入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより前記照合秘匿ベクトルを生成し、前記照合秘匿ベクトルを前記照合装置に送信する第２変換装置。
［付記１８］
　鍵生成装置が配布する鍵を用いて、第１変換装置に入力された登録情報と第２変換装置に入力された照合情報とを照合する照合方法であって、
　前記鍵生成装置が、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、
　前記鍵生成装置が、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、
　前記鍵生成装置が、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成し、
　前記第１変換装置が、前記登録情報から登録特徴量ベクトルを生成し、
　前記第１変換装置が、前記登録特徴量ベクトルと前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成し、
　前記第２変換装置が、前記照合情報から照合特徴量ベクトルを生成し、
　前記第２変換装置が、前記照合特徴量ベクトルと前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成し、
　照合装置が、前記登録秘匿ベクトルと前記照合秘匿ベクトルと前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する、照合方法。
［付記１９］
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルとにおけるベクトルと行列の積を計算する照合装置とを用いて、前記登録情報と前記照合情報とを照合するための鍵生成方法であって、
　ランダムに選んだ第１の正則行列を前記登録鍵行列として生成し、
　ランダムに選んだ第２の正則行列を照合鍵行列として生成し、
　前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成方法。
［付記２０］
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置とを用いて、前記登録情報と前記照合情報とを照合する照合方法であって、
　前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置とから受信した前記補助鍵行列第１変換を計算することにより、前記登録情報と前記照合情報とを照合する照合方法。
［付記２１］
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第２変換装置から受信した照合秘匿ベクトルと登録秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記登録秘匿ベクトルを登録する第１変換方法であって、
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより前記登録秘匿ベクトルを生成し、前記登録秘匿ベクトルを前記照合装置に送信する第１変換方法。
［付記２２］
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと入力された照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記照合秘匿ベクトルを送信する第２変換方法であって、
　入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより前記照合秘匿ベクトルを生成し、前記照合秘匿ベクトルを前記照合装置に送信する第２変換方法。

　なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし、選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。さらに、上記引用した文献の各開示事項は、必要に応じ、本発明の趣旨に則り、本発明の開示の一部として、その一部又は全部を、本書の記載事項と組み合わせて用いることも、本願の開示事項に含まれるものと、みなされる。

　１０　ハードウェア構成
　１１　ＣＰＵ
　１２　主記憶装置
　１３　補助記憶装置
　１４　ＩＦ部
　１００，２００　照合システム
　１１０，２１０　第１変換装置
　１２０，２２０　第２変換装置
　１３０，２３０　照合装置
　１３１，２３１　記憶装置
　１４０，２４０　鍵生成装置

Claims

　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、
　入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、
　前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する照合装置と、
　を備える照合システム。
　前記鍵生成装置は、前記補助鍵行列を不変にしながら、前記登録鍵行列と前記照合鍵行列と登録秘匿ベクトルを更新する請求項１に記載の照合システム。
　前記鍵生成装置は、前記登録鍵行列を不変にしながら、前記照合鍵行列と前記補助鍵行列を更新する請求項１に記載の照合システム。
　前記登録特徴量ベクトルと前記照合特徴量ベクトルは、乱数を要素に持つベクトルを用いて拡張されている、請求項１から請求項３のいずれか１項に記載の照合システム。
　前記登録特徴量ベクトルおよび前記照合特徴量ベクトルは、前記登録特徴量ベクトルと前記照合特徴量ベクトルの内積が前記登録情報と前記照合情報とのユークリッド距離の２乗となるように構成されている、請求項１から請求項４のいずれか１項に記載の照合システム。
　前記補助鍵行列は、前記登録鍵行列と前記照合鍵行列との間に、スコア表を行列表現したスコア表行列を挿入した行列積から得られる、請求項１から請求項４のいずれか１項に記載の照合システム。
　前記登録特徴量ベクトルおよび前記照合特徴量ベクトルは、特徴量の各値の要素に１が格納されている位置に変換したベクトル表現である、請求項６に記載の照合システム。
　前記鍵生成装置は、全ての要素に乱数を割り当てた正方行列から非正則行列を除外して前記登録鍵行列および前記照合鍵行列を生成する、請求項１から請求項７のいずれか１項に記載の照合システム。
　前記照合装置は、前記第１変換装置から受信した前記登録秘匿ベクトルを記憶しておく記憶装置を備えている、請求項１から請求項８のいずれか１項に記載の照合システム。
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと補助鍵行列とにおけるベクトルと行列の積を計算する照合装置とを用いて、前記登録情報と前記照合情報とを照合するための鍵を生成する鍵生成装置であって、
　ランダムに選んだ第１の正則行列を前記登録鍵行列として生成し、
　ランダムに選んだ第２の正則行列を照合鍵行列として生成し、
　前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置。
　前記補助鍵行列を不変にしながら、前記登録鍵行列と前記照合鍵行列を更新する請求項１０に記載の鍵生成装置。
　前記登録鍵行列を不変にしながら、前記照合鍵行列と前記補助鍵行列を更新する請求項１０に記載の鍵生成装置。
　前記登録鍵行列と前記照合鍵行列との間に、スコア表を行列表現したスコア表行列を挿入した行列積から補助鍵行列を生成する、請求項１０から請求項１２のいずれか１項に記載の鍵生成装置。
　登録鍵と照合鍵と補助鍵を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵とから登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵とから照合秘匿ベクトルを生成する第２変換装置とを用いて、前記登録情報と前記照合情報とを照合する照合装置であって、
　前記第１変換装置から受信した前記登録秘匿ベクトルと、前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵とから前記登録情報と前記照合情報との照合結果を計算する照合装置。
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置とを用いて、前記登録情報と前記照合情報とを照合する照合装置であって、
　前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する照合装置。
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第２変換装置から受信した照合秘匿ベクトルと登録秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記登録秘匿ベクトルを登録する第１変換装置であって、
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより前記登録秘匿ベクトルを生成し、前記登録秘匿ベクトルを前記照合装置に送信する第１変換装置。
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと、入力された照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記照合秘匿ベクトルを送信する第２変換装置であって、
　入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより前記照合秘匿ベクトルを生成し、前記照合秘匿ベクトルを前記照合装置に送信する第２変換装置。
　鍵生成装置が配布する鍵を用いて、第１変換装置に入力された登録情報と第２変換装置に入力された照合情報とを照合する照合方法であって、
　前記鍵生成装置が、ランダムに選んだ第１の正則行列を登録鍵行列として生成し、
　前記鍵生成装置が、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、
　前記鍵生成装置が、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成し、
　前記第１変換装置が、前記登録情報から登録特徴量ベクトルを生成し、
　前記第１変換装置が、前記登録特徴量ベクトルと前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成し、
　前記第２変換装置が、前記照合情報から照合特徴量ベクトルを生成し、
　前記第２変換装置が、前記照合特徴量ベクトルと前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成し、
　照合装置が、前記登録秘匿ベクトルと前記照合秘匿ベクトルと前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する、照合方法。
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと補助鍵行列とにおけるベクトルと行列の積を計算する照合装置とを用いて、前記登録情報と前記照合情報とを照合するための鍵生成方法であって、
　ランダムに選んだ第１の正則行列を前記登録鍵行列として生成し、
　ランダムに選んだ第２の正則行列を前記照合鍵行列として生成し、
　前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成方法。
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置とを用いて、前記登録情報と前記照合情報とを照合する照合方法であって、
　前記第１変換装置から受信した前記登録秘匿ベクトルと前記第２変換装置から受信した照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算することにより、前記登録情報と前記照合情報とを照合する照合方法。
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより照合秘匿ベクトルを生成する第２変換装置と、前記第２変換装置から受信した照合秘匿ベクトルと登録秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記登録秘匿ベクトルを登録する第１変換方法であって、
　入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより前記登録秘匿ベクトルを生成し、前記登録秘匿ベクトルを前記照合装置に送信する第１変換方法。
　ランダムに選んだ第１の正則行列を登録鍵行列として生成し、ランダムに選んだ第２の正則行列を照合鍵行列として生成し、前記登録鍵行列と前記照合鍵行列との行列積から補助鍵行列を生成する鍵生成装置と、入力された登録情報から登録特徴量ベクトルを生成し、前記登録特徴量ベクトルと前記鍵生成装置から受信した前記登録鍵行列との積を計算することにより登録秘匿ベクトルを生成する第１変換装置と、前記第１変換装置から受信した前記登録秘匿ベクトルと入力された照合秘匿ベクトルと前記鍵生成装置から受信した前記補助鍵行列とにおけるベクトルと行列の積を計算する照合装置と、を用いた照合方法のために前記照合装置に前記照合秘匿ベクトルを送信する第２変換方法であって、
　入力された照合情報から照合特徴量ベクトルを生成し、前記照合特徴量ベクトルと前記鍵生成装置から受信した前記照合鍵行列との積を計算することにより前記照合秘匿ベクトルを生成し、前記照合秘匿ベクトルを前記照合装置に送信する第２変換方法。