アイデンティティの秘密保護された生物測定学的検査
高いセキュリティの識別カードは、記憶された生物測定学的データのためのオンボードメモリと、生体の生物測定学的データを捕捉するオンボードセンサとを備えている。カード上のオンボードプロセッサは整合動作を行って、捕捉された生物測定学的データが局所的に記憶されている生物測定学的データに一致することを確認する。整合が肯定的であった場合にのみ、追加の検査を行いおよび、またはさらに処理するためにカードからデータが送信される。カードはISOスマートカードコンパチブルであることが好ましい。1実施形態において、ISOスマートカードは、保護された生物測定学的データを記憶し、処理するために使用されるセキュリティプロセッサを悪意のある外部アタックからISOスマートカードインターフェースによって保護するファイヤウォールとして機能する。別の実施形態においては、セキュリティプロセッサはISOスマートカードインターフェースと変更されていないISOスマートカードプロセッサとの間に挿入され、ユーザの指紋が前に登録された指紋と一致するまで任意の外部通信を阻止する。ユーザが彼の指を指紋センサ上で処理している期間中に実時間フィードバックが行われ、それによってそのセンサ上に指を最適に置くことを容易にする。カードは、取引ネットワークとの通信を可能にするために、あるいは安全な区域に物理的にアクセスするために使用されることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アイデンティティの秘密が保護された生物測定学的検査に関する。
【背景技術】
【0002】
本出願は、この明細書においてその全体が参考文献とされている暫定的な米国特許出願第60/409,716号(2002年9月10日出願)、米国特許出願第60/409,715号(2002年9月10日出願)、米国特許出願第60/429,919号(2002年11月27日出願)、米国特許出願第60/433,254号(2002年12月13日出願)および米国特許出願第60/484,692号(2003年7月3日出願)に基づいており、また、これらについて優先権を主張している。
【0003】
コンピュータ化、とくにインターネットテクノロジーは金融データ、医療データ、個人データを含むデータへの非常に高いアクセス性を、秘密データが更新され、あるいは交換される金融およびその他の取引を迅速に処理する手段により提供している。
【0004】
パスワードは一般に、このようなデータの機密性を保持するために使用されている。しかしながら、パスワードは、簡単に推測され、秘密保護について全く安全ではない誕生日または電話番号に基づいていることが多い。さらに、ランダムに発生された複雑なパスワードでさえ容易に盗まれることがしばしば可能である。したがって、パスワードベースのデータアクセスシステムは犯罪性のアタックを受け易く、その結果産業や経済、さらには人命にさえ危険およびダメージが及ぶことになる。したがって、データをその秘密について保護し、そのデータを許可されていないアクセスから保護する改良された方法が必要とされている。
【0005】
生物測定学的データは、捕捉は困難であるが、解析が容易な正確な詳細(一連の指紋の詳細のような)または捕捉は容易であるが解析が困難な全体的なパターン(隣接した指紋の渦巻きの空間的特性のような)を含むことができる。
【0006】
許可されたユーザだけが利用可能な1つのデジタル鍵を必要とする暗号化アルゴリズムが存在する。適切な鍵がなければ、かなりの量の時間と処理リソースを費やさない限り、その暗号化されたデータは使用可能なフォーマットに解読されることができず、それは暗号化されていないデータのある特性が知られている(あるいは少なくとも予測可能である)場合であってすら同様である。
【0007】
サイトウ氏による公開された日本国特開昭60-029868号(1985年2月15日)には、カード保持者から得られた暗号化された生物測定学的データを登録するために集積メモリを備えたアイデンティティカードを使用する個人識別システムが教示されている。生物測定学的データには、声紋、指紋、身体的外観および、または生物学的分析評価が含まれる。使用において、カード上のデータは読取られ、そのカードを提示した人物から捕捉された対応したデータとの比較のために解読される。このようなシステムは、登録された個人が高度の正確さで明確に識別されることを可能にする。しかしながら、生物測定学的データは外部装置によって獲得されて処理されるため、カード上に記憶されている情報を変更不可能にし、および、またはアイデンティティを窃盗から保護することが困難である。
【発明の開示】
【発明が解決しようとする課題】
【0008】
カード上に記憶されている生物測定学的データを暗号化すると共に隔離するハードウェアファイヤウォールを提供し、それによってその記憶されているデータを許可されていない変更から実質的にさらに高いセキュリティで保護するためにデータ駆動マルチプロセッサチップをカード上に含んでいる改良された識別カードが提案されている。しかしながら、実際の整合プロセスは、生体の生物測定学的データを捕捉した同じ外部読取端末上で行われ、したがって依然として潜在的に外部からの不正操作を受ける可能性を有している。
【課題を解決するための手段】
【0009】
高いセキュリティの識別カードの第1の実施形態は、記憶された生物測定学的データのためのオンボードメモリだけでなく、生の生物測定学的データを捕捉するオンボードセンサもまた備えている。遠隔認証システムは、生物測定学的データを含んでいる秘密保護された安全なデータベースを維持する。カード上のオンボードプロセッサは予備的な整合動作を行って、捕捉された生物測定学的データが局所的に記憶されている生物測定学的データに一致することを検査する。局所的な整合検査の結果が肯定的であった場合にのみ、追加の確認の検査を行い、さらに処理するために、捕捉されたデータまたは取り扱いに注意を要する記憶されているデータが遠隔認証システムに送信される。悪意のあるアタックからさらに保護するものとして、局所的に記憶されたデータは遠隔的に記憶されたデータと異なっていることが好ましく、異なった整合アルゴリズムを使用して局所的な整合および遠隔的な整合が行われることが好ましい。したがって、カード、局所的に記憶されたデータおよび、またはそのカードが接続されているローカル端末が危険にさらされた場合でさえ、遠隔認証システムが依然として侵害行為の試みを検出することが可能である確率は高い。
【0010】
第2の実施形態もまた、記憶された生物測定学的データのためのオンボードメモリと、生の生物測定学的データを捕捉するオンボードセンサと、およびオンボードプロセッサとを備えている。しかしながら、この実施形態においては、整合プロセス全体がオンボードプロセッサによって行われ、オンボードメモリ中に記憶されているオリジナルに捕捉されている生物測定学的データおよび任意の他の“秘密”情報は共に、如何なる外部処理に対しても利用可能にされていない。その代わり、新しく捕捉された生物測定学的データと前に捕捉された生物測定学的データとの間における整合の成功に応答して確認メッセージが発生されるだけである。確認メッセージにより、カードは通常の個人識別番号(PIN)の入力の成功/不成功時に通常のISOスマートカードに類似した方式で、しかし秘密保護に関してさらに安全な検査プロセスによって付加的なセキュリティを与えられて機能する。これらの両実施形態において、記憶されている生物測定学的データおよび任意の関連した局所的に記憶されている暗号化アルゴリズムまたは暗号化鍵は、カード所有者に最初に発行したときに任意の後続する外部アクセスを阻止する方式でカードにロードされ、それによって記憶されている生物測定学的データの完全性および検査プロセス全体の完全性をさらに強化することが好ましい。
【0011】
1実施形態において、ISOスマートカードは、保護された生物測定学的データの記憶および処理を行うために使用されるセキュリティプロセッサを悪意のある外部アタックからISOスマートカードインターフェースによって保護するファイヤウォールとして機能する。別の実施形態においては、セキュリティプロセッサはISOスマートカードインターフェースと変更されていないISOスマートカードプロセッサとの間に挿入され、ユーザの指紋が前に登録された指紋と一致するまで何等の外部通信も阻止する。
【0012】
オンボード指紋整合能力を備えた高いセキュリティの識別カードの好ましい1実施形態においては、ユーザが彼の指を指紋センサ上で操作している期間中に実時間フィードバックが行われ、それによってそのセンサ上に指を最適に位置させることを容易にする。このフィードバックは、計算上の複雑さを減少させるだけでなく、未経験のユーザと不正なユーザとを弁別する付加的な手段もまた提供し、それによって誤った否定および、または誤った肯定の確率をさらに減少させる。別の好ましい実施形態においては、付加的なスチフネスを提供する支持体内に指紋センサが保持される。
【0013】
1つの例示的な適用において、捕捉された生物測定学的データおよび、またはカード所有者のアイデンティティの表示は暗号化され、機密データへのオンラインアクセスの任意の許可または秘密保護された安全な取引を終了する任意の自動プロセスの前に、金融機関および分離した認証サーバを含む取引ネットワークに入力される。別の例示的な適用においては、カードからの出力は、秘密保護された安全な区域に物理的にアクセスするために使用される。いずれの適用においても、アクセスの試みの成功または不成功の記録は、カードまたは外部セキュリティサーバのいずれか、あるいは両方において保持されることができる。
【発明を実施するための最良の形態】
【0014】
スマートカード
“スマートカード”または“インテリジェントカード”という用語は、ここでは、手で把持され、首の回りに装着され、あるいは、そうでなければ、その人物により携帯されるように十分に小さく、また、ある個人のカード保持者に関する、あるいは、そうでなければ、その人物に関連したデジタル的に符号化された情報の記憶、処理および通信を行うことのできるマイクロプロセッサを含む任意の物理的な対象物を示すために一般的な意味で使用されている。このようなスマートカードの1つのよく知られている例はISO(国際標準化機構)スマートカードであり、これは通常のクレジットカードと同じ物理的寸法および形状を有しているが、しかし特定ユーザ向けデータを記憶するためのフラッシュメモリと、パワフルな暗号化アルゴリズムによりプログラムされることのできるマイクロプロセッサとを含んでおり、このマイクロプロセッサは、ユーザ端末から受信されたPIN(個人識別番号)がこのカード上に記憶されている暗号化されたPINに一致したか否かを示し、それによってこのカードを提示した人物が本当のカード所有者であることに関する信頼度は、署名および、または物理的な類似の視覚的な比較だけに依存する検査システムで可能であるよりも高いものとなる。
【0015】
以下、オンボード生物測定学的検査が行われるそのスマートカードの1実施形態を示している図1を参照とする。カード100は一般にプラスチック材料から形成され、ほぼ53.98×85.6mmのISO7816において指定されている近似的な大きさおよびほぼ0.76mm以上の厚さの通常のクレジットカードと同様の全体的外観を有している。
【0016】
通常のクレジットカードと同様に、カード100は磁気ストライプ(ISO7811−2&7811−6により指定されている)をカードの後面上に支持するためにカードの横幅全体に沿って延在するフリーの上方領域102を含んでおり、この磁気ストライプ上には、カード保持者および任意の関連した口座に関する通常符号化された英数字情報が記憶されることができ、それによってカード100が通常の磁気ストライプ読取装置において使用されることを可能にする。しかしながら、磁気ストライプに埋込まれた任意のデータは容易に変更されることができるため、このような磁気ストライプは、古い磁気ストライプベースの端末との逆適合の必要性が、磁気ストライプがシステムにもたらす潜在的なセキュリティの低下より重要なある適用での使用だけを意図されたものである。
【0017】
この上方領域102はまた、カード保持者の不正変更防止のカラー写真および、またはカード発行者のホログラフロゴのような種々の詐欺行為予防手段をサポートするために使用されてもよい。カード100の下方領域104は、カード保持者の氏名、数字による口座(またはカード)識別名および有効期限のような浮き彫りにされた情報(ISO7811−1により指定されている)のために慣例的なやり方で使用されることが可能であり、それによってカード100が通常のカード刻印機において使用されることが可能になる。
【0018】
上方領域102および下方領域104は、8個の可視ISOスマートカードコンタクトパッド108のセットが埋込まれた中間領域106によって分離され、これらコンタクトパッド108はカードとカード読取装置上の対応したコンタクトとの間に便利な電気接続を提供する。この手段により、読取装置とISO7816−3において指定されているカードとの間においてデータだけでなく、電力、タイミングおよび制御信号もまた交換されることができる。
【0019】
領域106の右側には、指紋データをカード保持者の指から捕捉するために使用されるセンサパッド110が認められる。カードは、たとえば、通常のIPおよび、またはMACアドレスのフォーマットでのコード等の、センサ110またはそのカードに埋込まれている他の電子コンポーネントに特有であるIDコードを備えていることが好ましい。
【0020】
図1には、コンタクトパッド108およびセンサ110と協同して、その他の方法で可能なもの優れた機能、とくに、良好なセキュリティを提供する複数の付加的な電子コンポーネントもまた概略的に示されている。
【0021】
1実施形態において、ISOスマートカード適合プロセッサ112は、ISOコンタクトパッド108に直接接続されて外部ISO適合カード読取装置(示されていない)との電気接続を提供し、それによって電力をオンボード電子装置に供給するだけでなく、カード読取装置上でまたはこのカード読取装置とネットワークされた任意の関連した計算装置上で実行中の任意の外部通信ソフトウェア、セキュリティソフトウェアおよび、またはその他のアプリケーションソフトウェアとカードとの間でデータのやり取りをする手段を提供する。
【0022】
示されている実施形態においては、カード100と外部カード読取装置との間のデータ路はISO指定スマートカードコンタクト装置を使用する配線式接続の形態であるが、別の実施形態では、USBまたはRS232CまたはSPI(直列)接続のような別の伝送技術もまた、おそらく無線RF(無線周波数)、マイクロ波および、またはIR(赤外線)通信リンクによって使用可能であることを理解すべきである。
【0023】
また、記載されている実施形態はカード読取装置から電力を受取るが、別の実施形態は太陽電池または電池のようなオンボード電源を有することができる。このようなオンボード電源は、たとえば、カード100と特定のタイプのカード読取装置との間の機械的インターフェースは、コンタクト108がカード読取装置内の対応した接続部に接続されたときにユーザが指紋センサ110にアクセスできず、したがってカード100がカード読取装置に直接接続されていないときはそのユーザの指紋データが捕捉されなければならないようなものである場合等に有効である。
【0024】
セキュリティプロセッサ
示されているように、セキュリティプロセッサはISOプロセッサ112とセンサ110との間に接続され、捕捉されたデータの秘密保護された安全な処理および記憶を行うと共に、以下に説明するように、秘密保護された安全な“ファイヤウォール”を提供して、その専用メモリ中に記憶されているデータおよびプログラムをISOプロセッサ112を介した不正アクセスの試みから保護する。このようなファイヤウォールは、前に記憶された指紋パターンから抽出されたデータあるいはCPU番号または指紋センサ番号のような特有に割当てられた装置番号のような、特有に割当てられたネットワークアドレスに基づいているか、あるいはそうでなければ特定のカードに特有である暗号化鍵を使用して暗号化されたデータだけを通過させるように設計されてもよい。別の実施形態において、ファイヤウォールは、前の伝送またはデータからの特有の識別データを含むデータだけを通過させる。さらに別の実施形態においては、ファイヤウォールは異なったアプリケーションに対して異なった鍵を保持し、これらの鍵を使用してデータを異なった各プロセッサまたはメモリ区分に送る。
【0025】
別の実施形態(示されていない)において、セキュリティプロセッサ114はISOコンタクト118に直接接続され、ISOプロセッサ112とISOコンタクト108との間の秘密保護された安全なゲートキーパーとして動作する。このような別の構成には、ISOプロセッサ112中にすでに組込まれている可能性のある如何なるセキュリティ特徴とも妥協することなしに、セキュリティプロセッサ114およびセンサ110により付加的なセキュリティが提供されるという利点がある。
【0026】
セキュリティプロセッサ114は、前に登録された指紋パターンおよび、またはその他の個人の生物測定学的情報を記憶するFRAM、OTP、E2PROM、MRAM、MROMのような不揮発性の半導体または非半導体メモリを含んでいることが好ましい。別の実施形態においては、セキュリティプロセッサ114の機能のいくつかまたは全てがISOプロセッサ112において実施されることが可能であり、および、またはISOプロセッサ112の機能のいくつかまたは全てがセキュリティプロセッサ114において実施されることが可能である。このような1つの組合せ構成は依然として種々の機能間のソフトウェアファイヤウォールを維持し、これは、とくに、記憶されているソフトウェアプログラムへの後続的な変更を許さないプロセスによりその装置が構成されていた場合に有効である。その代わりに、プロセッサ112および114の両者は、各プロセスを異なるプロセッサにおいて実行中の別のプロセスからの干渉から保護するように設計された単一のマルチプロセッサ装置内の別々のプロセッサであることができる。このようなマルチプロセッサ装置の一例は、日本のシャープ社製のDDMP(データ駆動マルチプルプロセッサ)である。
【0027】
これらの種々のセンサ、コンタクトおよびその他の電子コンポーネント、ならびにそれらが相互接続されている印刷回路その他の電気配線は全て、それらが侵蝕および外部汚染から保護されるようにカード100の本体内に完全に組込まれていることが好ましいが、それらは上方領域102と下方領域104との間の中間領域106内の好ましい位置によりそれらの別の領域と機械的にインターフェースする通常の磁気ストライプ読取装置、浮き彫り装置および刻印機から受ける可能性のある損傷からさらに保護される。
【0028】
LEDフィードバック
LED116aおよび116bはセキュリティプロセッサ114により制御され、ユーザに可視フィードバックを提供する。示されている実施形態においては、それらは下方領域104内の好ましくはカードの、コンタクトパッド108と反対側の、サイドエッジの位置に配置されている。いずれにしても、LED116a、116bは、それらが浮き彫りプロセス期間中に損傷を受けない場所であって、かつ、カードが通常のISOスマートカード読取装置中に挿入されたときおよび、またはユーザの指が指紋センサ上110に置かれているあいだ、それらが見える場所に配置されていることが好ましい。たとえば:
検査確認モードにおいて:
・赤色明滅:指を待っている
・明滅の停止:指がセンサ上に置かれた
・一度の赤色明滅:整合不可能、指を動かしてもよい
・一度の長い緑色明滅:整合された、指をどけてもよい
登録モードにおいて:
・緑色明滅:指を待っている
・明滅の停止:指がセンサ上に置かれた
・一度の赤色明滅:登録不可能、指を動かしてもよい
・一度の緑色明滅:登録された、指をどけてもよい
消去モードにおいて:
・緑色および赤色明滅:消去準備完了
・一度の緑色明滅:消去された
【0029】
ユーザは、否定的な報告が送信される前に、整合または登録の成功のために彼の指を位置する多くの機会を与えられることが好ましい。1実施形態においては、緑色のオーケー表示を受取る前にユーザが彼の指をどけた場合あるいは予め定められた時間限界を超えた場合にのみ、否定的な報告が認証サーバに送信される。このようなプロセスにより、ユーザはセンサ上で彼の指を最適に位置するように訓練され、それによって計算の複雑さが減少するだけでなく、もっと多くの弁別しきい値を使用することが可能になる。この可視フィードバックはまた、未経験のユーザ(典型的に彼が適切に位置させることができるまで試行し続ける)と不正ユーザ(典型的に注意を引くことを望まず、彼の悪意のある意図に気づかれないうちにその場を離れる)とを弁別するための心理的ベースを提供する。最終的な結果として、誤った否定および、または誤った肯定の確率は著しく減少する。
【0030】
図2は、ユーザが彼の指をセンサ110上に置くのを助ける例示的なプロセスを示している。ブロック150において、赤色LED116bは明滅している。指が検出される(ブロック152)と、LEDは明滅するのを止めて、イメージ品質(指の皮膚の先と付け根とに対応する規定された細長い領域)のテストが行われる(ブロック154)。その品質が不十分である場合(ノーの分枝156)、赤色LED116bは一度明滅することによりユーザに彼の指を別の位置に移動するように命令する(ブロック158);そうでない場合(イエス分枝160)、そのユーザを登録するために使用されたのと同じ指が同じ位置に置かれたか否かを決定するために第2のテストが行われ(ブロック162)、その結果、比較的簡単な整合アルゴリズムにより、生体のデータが記憶されているデータに予め定められたしきい値範囲内において一致することが確認され、それによって生体の指が初めに登録された指と同じである(イエス分枝164)ことを確認することができ(イエス分枝164)、緑色LEDが起動され(ブロック166)、それは整合が成功したのでユーザは彼の指をどけてもよいことを確認するのに十分な時間のあいだ行われる(ブロック168)。その代わり、整合しきい値は満足されない場合(ノー分枝170)、赤色LED116bは一度明滅することよりユーザに彼の指を別の位置に移動するように命令し(ブロック158)、このプロセスが繰返される。
【0031】
例示的なネットワークアーキテクチャ
次に、秘密保護された安全な識別カードを提示した人物のアイデンティティの局所的および遠隔的な両方の確認検査を行うことのできる生物測定学的検査システムの可能な1実施形態が示されている図3を参照する。それは、クライアント端末200、アプリケーションサーバ202および認証サーバ204の3つの主要なコンポーネントを含んでいる。クライアント端末200は、ユーザの指紋のライブ捕捉および局所的処理を行い、局所的に処理されたデータの暗号化を行い、アプリケーションサーバおよび認証サーバとの秘密保護された安全な通信を、好ましくはIP/TCPアドレス指定方式および伝送プロトコルを使用してインターネットによって行い、通常のIPファイヤウォール206により不正アクセスから保護される機能を備えている。別の実施形態において、ファイヤウォール206は、送信されたデータが許可されたデータであることを確認された後にそれを符号化し、受信されたデータが本当に許可されたデータであるか否かを、たとえば、DES128のような暗号化アルゴリズム使用して決定する前にそれを復号するフィルタおよび暗号化エンコーダ/デコーダを備えることができる。これによって、ファイヤウォール206は、メッセージヘッダだけでなくメッセージ内容にも基づいてデータを許可されたものまたは潜在的に悪意のあるものとして分類することができる。
【0032】
クライアント端末200は専用ウェブアプライアンスとして構成されてもよいし、あるいはWindows(R)XXX、OS X、SolarisXX、LinuxまたはFreeBSDのような汎用オペレーティングシステムによって制御されるプログラム可能なデスクトップ、ノートブックまたは他のワークステーションあるいはパーソナルコンピュータ上にインストールされたソフトウェアで構成されることができる。クライアント端末200は、セキュリティの付加的な手段を提供する最新“否定”データベース(たとえば、紛失した、あるいは盗まれたカードのアイデンティティ、または特定のカードまたはカードのグループに対する制限等)を含んでいることが好ましい。
【0033】
アプリケーションサーバ202は、認証サーバ204によってユーザのアイデンティティが確認された後に、取引を行うか、あるいは、そうでなければクライアント端末200における遠隔ユーザからの命令に応答する機能を備えている。認証サーバ204は、クライアント端末200およびアプリケーションサーバ202の両者と秘密保護された安全な通信を行い、認証指紋データおよび前に登録されたユーザに関する他の情報を記憶し、その記憶されたデータを、クライアント端末200から受信された暗号化された生のデータと比較して、特定された生のデータが特定された記憶された指紋データと一致するか否かをアプリケーションサーバ202に知らせる機能を備えている。
【0034】
とくに、クライアント端末200はさらに、インターネットブラウザ端末210とカード読取装置インターフェース108a(それはISOスマートカードコンタクトパッド108との各電気接続を形成する1組の電気コンタクトにおいて終端している簡単なUSBケーブルであってもよい)を含むコンポーネントである固定されたカード読取装置208と、ポータブルスマートカードコンポーネント100’の2つの主要なコンポーネントを備えている。1実施形態において、ポータブルコンポーネント100’は、指紋センサ110、セキュリティプロセッサ114およびISOスマートカードプロセッサ112を含んでいる上述したスマートカード100であってもよい。
【0035】
アプリケーションサーバ202はさらに、ファイヤウォール206およびインターネットブラウザ214ならびに取引アプリケーションモジュール216および妥当性検査モジュール218を含むインターネットサーバインターフェースを含んでいる。アプリケーションサーバおよびアプリケーションモジュール216がIP/TCPプロトコルにより外部と通信するようには設計されなかった継承(legacy)装置である場合、ファイヤウォール206は、妥当性検査モジュール218の組込みを行うと共に固定されたIPアドレスを有している適切なプロトコル変換装置で置換されてもよい。アプリケーションサービスサーバは、たとえば、サービスをインターネットによって許可されたユーザに自ら進んで提供する第3パーティによって動作されてもよい。
【0036】
認証サーバ204はさらに、インターネットサーバインターフェース220と、指紋整合アルゴリズム224を含む処理モジュール222と、個人がそのシステムに登録され、彼等のアイデンティティがそのシステムのオペレータを満足させるものであると保証されたときにそれら個人から収集された指紋およびその他の認識情報を記憶するデータベース226とを備えている。セキュリティをさらに強化するものとして、任意の特定の個人に対する記憶されたデータは情報の単一のシーケンスとしてアプリケーションサーバ上に記憶されるのではなく、むしろ各項目が分離して記憶されることが好ましく、これらの項目を結びつける任意の必要とされる索引または関係は、その個人の秘密データの一部として認証サーバ中に保持されている対応した鍵によってのみアクセス可能である。
【0037】
位置
ある実施形態においては、固定された読取装置208および、またはポータブルカード100’’はまた、ある特定の取引が行われた時の読取装置およびカードの現在の位置に関する有用な情報を提供することのできる集積ポジショニング衛星(GSP)受信機212を備えていてもよい。とくに、GPS受信機212からの位置データは、読取装置および、またはカードがその使用の許可されていない位置に移動された場合にその読取装置および、またはカードを動作不能にする(永久的にまたは一時的に)ために使用されてもよい。位置はまた、GPS以外の手段によって、たとえば、PHS(日本国のセルラー電話)発信元位置決定技術、または地球の電磁界のローカル変化に応答するロケーションセンサを使用して自動的に決定されることができる。GPSを備えたカードの特定の場合においては、アンテナ、信号増幅、AD変換器およびサンプリングおよび保持回路、ならびに位置を計算するためのデジタルプロセッサを含む種々のGPSコンポーネントは、カードの本体と統合され、そこに埋込まれ、あるいはその上に積層にされた単一の集積回路の、または単一の回路板上に取付けられたディスクリートな装置の全ての部分であることが好ましい。
【0038】
オンボード整合ISOプロセッサインターフェースを備えたISOカードに対するカードアーキテクチャ
図4は、カード保持者の生物測定学的データの最初のロード期間中および遠隔地アプリケーションへのカード保持者のアイデンティティの検査期間中に使用される異なった物理的データ路を備えた例示的なISOスマートカードコンパチブル生物測定学的検査カード100または100’の機能ブロック図である。
【0039】
とくに、上述したISOプロセッサ112、セキュリティプロセッサ114、指紋センサ110、LED116a、116bおよびオプションのGPS受信機212に加えて、ISOプロセッサ112だけがISOスマートカードコンタクトパッド108を介してカード読取装置208に直接接続された状態で、分離したロードモジュール300および関連した一時的接続302が示されており、この一時的接続302は最初のユーザ登録期間中にセキュリティプロセッサ114との直接的な通信を提供する。ISOプロセッサ112はI/Oポート304、306によってセキュリティプロセッサ114と通信し、一方一時的なロード接続302は分離したI/Oポート308に接続されていることが認められる。セキュリティプロセッサは、取り扱いに注意を要する任意のセキュリティ関連データまたはソフトウェアがポート304および306からではなくポート308からのみアクセス可能であり、それによって接続302がディスエーブルされた後、これらの取り扱いに注意を要するデータへの悪意のあるアクセスの可能性を回避するようにプログラムされることが好ましい。
【0040】
入手可能な大部分のISOプロセッサは少なくとも2つのI/Oポートを有しており、いくつかは少なくとも3つのI/Oポートを備えている。外部ISOコンパチブルカード読取装置208への通常のISOスマートカード直列データ接続108に対して、これらのポートの1つ(I/O1)だけが示されている。余分な1または2つのI/Oポートは、ISOプロセッサ112とセキュリティプロセッサ114との間に専用ハードワイヤード通信を提供することが好ましく、それは、セキュリティプロセッサ114を再プログラムしようとする、あるいはセンサ110によって前に捕捉された、あるいはそうでなければセキュリティプロセッサ114内に記憶されている取り扱いに注意を要する情報にアクセスしようとする悪意のある試みを阻止するハードウェアファイヤウォールとして働く。3つ以上のI/Oラインを備えたISOプロセッサの特定の場合においては、セキュリティプロセッサが完全にパワーダウンされているときでさえ、ISOプロセッサとセキュリティプロセッサとの間の専用通信路上における静的状態情報の、(1)準備完了、(2)ビジー、(3)失敗、および(4)合格のような3以上の状態を提供することが可能である。当然ながら、1つのI/Oポートしか利用できない場合でも、これら4つの状態は直列データとして動的に送信されることができる。
【0041】
ISO CPUとセキュリティCPUとの間においてISOインターフェースI/O2およびI/O3を介して送信されることのできる可能なコマンドおよびデータには、以下のものが含まれる:
・ユーザを登録し、あるいは認証するためのコマンドであって、これに対してセキュリティCPUは局所記憶および、または遠隔アプリケーションへの送信のために登録の結果または認証の結果を送る。
・テンプレート(基準)としての指紋情報は、遠隔アプリケーションへの送信のためにISOスマートカードメモリ中に記憶されるためにセキュリティCPUからISO CPUに送られることができる。取り扱いに注意を要する個人情報のセキュリティを高めるために、基準データはそれがISO CPUに送られる前にセキュリティCPUによって暗号化されることができる。
【0042】
ロード接続302は、セキュリティCPU114にもまたパワーを利用できるようにISO CPU112とISO読取装置208との間の通信をおそらく保持しながら、ファイヤウォール保護を与えられたISO接続および関連した専用I/O304および306をバイパスしてセキュリティCPU114への直接接続を提供する。それは主として特定のユーザへのカードの最初の登録期間中に使用され、許可されていないアクセスから保護されなければならない。
【0043】
図5は、変更されていないISOスマートカードCPUによる使用を意図された図4の例示的な生物測定学的検査カードの別の実施形態を示している。とくに、ISO CPU112’は、通常の使用中またはロード中のいずれの期間中も、もはやカード読取装置208とセキュリティCPU114’との間の如何なるゲートウェイ機能も行ってはならず、したがって、それは、何の変更もなされず、カード読取装置208および任意の外部アプリケーションの両者に対して絶対的に透明である方法でのみ使用される任意のISO認可チップであることができる。このような別の実施形態においては、セキュリティCPU114’は、捕捉された指紋が記憶されている指紋に一致した場合にはISO CPU112’と任意の外部アプリケーションとの間の透明なファイヤウォールとして動作し、また、捕捉された指紋が記憶されている指紋に一致しなかった場合にはこのような通信を全て阻止する。
【0044】
カード初期化および記憶されているデータの保護
ギロチン
1実施形態において、オリジナルな製造されたカードは、セキュリティCPUおよびISOインターフェースの少なくとも一部分および、またはディスクリートなオンボードメモリへの直接接続を提供する突出した印刷回路拡張部を有している。この直接接続インターフェースはカードのテストおよび指紋データの登録のためだけに使用され、登録プロセスをエネーブルする信号を含んでいる。この回路拡張部は、登録が完了した後、これ以上登録することが不可能であり、セキュリティCPUメモリがISO CPUおよびこのISO CPUとセキュリティCPUとの間の上述したファイヤウォールを介してのみアクセスできるように機械的に切断される。
【0045】
ヒューズ
別の実施形態において、セキュリティCPUは、登録された指紋パターンが一度書込まれるとアクセス不可能になる1つのタイプのメモリを有している。このようなメモリの一例は、構成がEEPROMに類似しているがUVには不透明であるため消去されることのできないワンタイムPROM(“OTP”)である。別の例は、登録が完了した後に、たとえば、エネーブルまたはアドレスあるいはデータ信号路の一部に物理的な破断(“ヒューズ”)を形成するように十分な電流をその信号路の一部分に与えることによって読取専用にされるフラッシュROMである。
【0046】
例示的な認証プロセス
1実施形態において、例示的な認証プロセスは、物理的な指紋データを、たとえば、アプリケーションサービスサーバに接続するためにアクセスする人物により使用されるクライアント端末において光学、圧力、導電性、容量性、音響的、弾性または写真技術等を使用して捕捉することを含んでおり、この物理的な指紋データはその後分離した指紋認証サーバに送られる(好ましくは、暗号化された形態で)。指紋認証サーバは捕捉された指紋データを認証ソフトウェアを使用して、登録されたユーザの指紋データを含む指紋ファイルと比較し、データが一致した場合は認証サーバはエネーブル命令をアプリケーションサービスサーバに送る。
【0047】
別の実施形態において、ユーザは、氏名、住所および誕生日のような個人データと共に全ての指紋がそこに予め登録される指紋のファイルを含んでいる指紋認証サーバの秘密保護された安全なウェブブラウザにアクセスする。HTTPSフォーマットのような秘密保護された安全なプロトコルによってユーザがアクセスしている秘密保護された安全な指紋認証サーバは、その後ユーザの指紋をクライアント端末で捕捉せよという命令をクライアント端末に送る。クライアント端末のブラウザにより表示された命令に応答して、ユーザは彼の選択した指を指紋センサ上に置き、クライアント端末内に存在する指紋捕捉ソフトウェアが、たとえば、25ミクロン乃至70ミクロンピッチ解像度および12.5mm2乃至25mm2の面積を有すると共にさらに8ビットグレースケールを有している画素ベースのイメージ等のデジタル指紋を捕捉する。
【0048】
秘密保護された安全な指紋認証サーバは、ユーザIDおよびインターネットIPアドレスおよび、または指紋センサ個人コード(MACアドレス)および、またはクッキーおよび、または任意の固有コードあるいは特定の個人または端末を識別する他の情報(たとえば、クライアント端末と秘密保護された安全な指紋認証サーバとの間の前の会話からの詳細)と共に指紋データを受取り、その後それはその受取られた指紋データを、認証ソフトウェアを使用して、ユーザIDを、氏名、住所、誕生日、犯罪暦、運転免許証、社会保証番号のような個人情報と共に予め登録された指紋データである指紋ファイルと比較し、これは詳細(minutiae)比較であることが可能であり、および、または高速フーリエ変換比較であることができる。
【0049】
認証プロセスの始まりにおいて、関連したアプリケーションに対してウェブサーバ214は視覚的または聴覚的にユーザに彼の指を指紋捕捉センサ110上に置いて彼のマウスボタンをクリックするか、あるいはキーボードキーを押し、それによってセキュリティプロセッサ114中の指紋捕捉ソフトウェアに知らせるように命令する。そのあと、ユーザの捕捉された指紋データは暗号化されたフォーマット(たとえば、秘密保護された安全なRAS暗号化伝送プロトコルHTTPSを使用して)でクライアント端末200のISOプロセッサ112およびウェブブラウザ210を介して指紋認証サーバ204のウェブサーバ220に送られる。捕捉されたデータがデータベース226中の対応したデータと成功的に一致した場合、指紋認証サーバ204はそのユーザのアイデンティティをクライアント端末200およびアプリケーションサーバ202の両者に対して有効なものにする。
【0050】
以下、図3を参照として3ウェイ認証プロトコルおよびワンタイムパスワードをハッシュ文字符号化シーケンスとして使用する例示的な好ましい実施形態を説明する。
・クライアント端末200のウェブブラウザ210は、アプリケーションプロセス216にアクセスするリクエストによりアプリケーションサーバ202の対応したウェブインターフェース214にアクセスする。
・アプリケーションサーバ202のウェブインターフェース214は、アプリケーションプロセス216にアクセスするためのログインスクリーン情報および関連した命令で応答する。
・クライアント端末200はISOプロセッサ112にセキュリティプロセッサ114を起動するように命令する。
・ISOプロセッサ112はセキュリティプロセッサ114をトリガーする。
・セキュリティプロセッサ114は指紋センサ110からの指紋データを待機し、有効なデータが受信されたとき、ISOプロセッサ112を介してウェブブラウザ210に転送されたデジタル指紋パターンを抽出する。
・ウェブブラウザ210は、ユーザID、クライアント端末200のIPアドレス、および、またはセンサ110のハードワイヤードIDコード(MACアドレス)のような関与するカード100’およびカード読取装置208に関する関連情報を伴って(あるいは、それにより暗号化されて)、抽出された指紋パターンの暗号化されたバージョンを認証サーバ204に送信する。
・認証サーバ204のウェブインターフェース220は、抽出された指紋パターンをクライアント端末200からその他の情報と共に受取るとき、その情報を指紋整合プロセッサ222に転送する。
・整合ソフトウェア224の制御の下で、指紋整合プロセッサ222は受信されたユーザIDまたはその他のユーザに特定の関連情報を使用して対応した基準指紋パターンをデータベース226から検索し、捕捉された指紋パターンをその基準指紋パターンと比較する。
・その結果(一致した、あるいは一致しなかった)は端末200、ユーザIDカード100’およびリクエストしたアプリケーション216を識別する関連情報と共にアクセス履歴ログ中に記憶され、制御が認証サーバウェブインターフェース220に戻される。
・結果が一致であった場合、認証サーバウェブインターフェース220は、クライアント端末200に送信されるワンタイムパスワードをチャレンジ文字シーケンスの形態で発生し、また、そのチャレンジ文字シーケンスをハッシュコードとして使用して、それが将来可能性のある参照基準に備えて対応したチャレンジ応答として保存する関連情報を暗号化する。
・クライアント端末200は受信されたチャレンジ文字シーケンスをハッシュコードとして使用して、前に記憶された暗号化されていない実行依頼された関連情報のコピーを暗号化し、その後これをアプリケーションサーバ202のウェブインターフェース214にアプリケーションログインプロセスへのその応答の一部として転送する。
・アプリケーションサーバ202のウェブインターフェース214は、ハッシュ変換された関連情報を受信すると、それをアプリケーションサービス216に転送し、このアプリケーションサービス216がこれをクライアントサーバからの進行中のログオンの試みと関連付け、また、その一致した結果を確認するために、認証サーバによりチャレンジ応答として提供されたチャレンジシーケンスを使用してクライアント端末によりハッシュされたその受信された関連情報を転送する。
・認証サーバ204のウェブインターフェース220は、チャレンジ応答をアプリケーションサーバから受信すると、その応答を認証プロセス222に転送し、この認証プロセス222がこれを、予測されたチャレンジ応答の前に保存されたその基準コピーと比較し、そのユーザアイデンティティが実際に認証されているか否かを決定する。
・この比較から結果的に得られた認証されたユーザアイデンティティ情報はその後、アプリケーションサーバ202のアプリケーションサーバウェブインターフェース220および有効化インターフェース218を介してアプリケーションプロセス216に戻される。
・有効化インターフェース218はその認証を使用して、オリジナルなログオンの試みで設定されるそのユーザのアイデンティティが有効なものにされていることを確認する。
・ユーザのアイデンティティが確認されると、認証プロセス216はその後アプリケーションサーバ202のウェブインターフェース214を介してクライアント端末200のウェブブラウザ210と直接通信し始める。
【0051】
図6は、全ての整合がセキュリティCPU114によって図4のISOコンパチブルカードに関して行われ、外部認証サーバ204は使用されない別の認証プロセスを示している。図6の左側には認証サーバ202により行われる機能が示されており、一方右側にはISOスマートカード100によって行われる機能が示されている。
【0052】
スマートカード100がカード読取装置208中に挿入されたとき、リセット信号RSTがカード読取装置からISO CPU(スタートブロック502)および指紋CPU114(指紋検査ブロック504)の両者に送られ、両者はカード読取装置208からパワーVCCを受取る。その後、ISO CPUはATR(リセットに対する応え)メッセージで応答し、必要とされたときPPS(プロトコルおよびパラメータ選択)を送る(ブロック506)。同時に、指紋CPUは指紋データを受信するために待機状態になり、データがセンサ110から受取られたときに認証プロセスを行う(ブロック504)。
【0053】
アプリケーション216によって最初のリクエストコマンドがISO CPU112に送られたとき(ブロック508)、ISO CPUは認証状態をセキュリティCPUに問合せる(ブロック510)。応答が肯定的であった場合、ISO CPUはリクエストされたコマンドを実行することによりそのアプリケーションに応答する(ブロック512)。そうでない場合(セキュリティCPU114からエラーメッセージまたは応答なしのいずれか)、それはリクエストされたコマンドに応答せず、むしろ新しい第1のリクエストを待機する(ブロック508b)。
【0054】
指紋は検査されて確認され、第1の応答がアプリケーション216によってタイムリーに受信され、応答していると決定された(ブロック514)と仮定すると、アプリケーションから1つのリクエストも受信されなかった予め定められた検査タイムアウトを超えるか(ブロック522)、あるいはアプリケーションが予測された応答の受信に失敗する(ブロック524)まで、リクエスト/応答プロセスは続行する(ブロック516、518、520)。
【0055】
図7は図6のフローチャートに類似しているが、しかし図5の例示的な生物測定学的検査カードによる使用のために修正されたフローチャートである。図7の左端にはアプリケーションサーバ202によって行われる機能が示され、次の列は読取装置208に対応し、その次の列はISOコンタクト108を表し、次の列はセキュリティCPU114によって行われる機能を示し、右端には変更されていないISOスマートカードCPU112によって行われる機能が示されている:
・スマートカードがカード読取装置中に挿入されたとき、あるいはアプリケーションソフトウェアがカード読取装置の動作を開始させたいずれかのときに、リセット信号550がカード読取装置208からセキュリティCPU114に送られる。
・セキュリティCPUがリセット信号550を受信した後すぐに対応したリセット信号552をISO CPU112に送る。同時に、セキュリティCPUは指紋センサからの指紋データを待機する。
・ISO CPUはリセット信号552を受信すると、ATR(リセットに対する応え)応答554を行って、その後必要とされたときにPPS(プロトコルおよびパラメータ選択)を送る。
・セキュリティCPU114はISO CPUからATR(リセットに対する応え)を受信するとすぐに、これをカード読取装置に転送し(ブロック556)、これには任意の関連したPPSコマンドが含まれている。
・その期間中に、セキュリティCPUが指紋データを受信した場合、それは上述した認証プロセスを実行する。認証テストの結果が合格であった場合、その合格状態が特定の時間期間中保持される。結果が失敗であった場合、セキュリティCPU114は新しい指紋データを待機する。
・アプリケーションの実行時に、コマンドリクエスト558はセキュリティCPUに送られ、このセキュリティCPUはコマンドリクエスト560をISO CPUに転送すると共に、セキュリティCPUが依然として上述の合格状態であるか、あるいは最後の正しい応答がもっと多くのデータビットセットを有している(テストブロック564)場合にのみ、その正しい応答562をカード読取装置に転送する。
・そうでない場合(ノー分枝566)、指紋CPUはダミーリクエスト568を発生し、それをISO CPUに転送すると共に結果的に得られたERR応答570をカード読取装置216に転送し、それによってリクエストと応答におけるシーケンス番号の間の適切な同期を維持する。
【0056】
暗号化およびセキュリティ
任意の外部ネットワークによる送信の前に、取り扱いに注意を要する任意のデータおよび、または認証結果は、おそらくDESまたはツーフィッシュ暗号化を使用して暗号化されることが好ましい。暗号化鍵は、捕捉されたまたは記憶されている指紋データ、ユーザIDコード、センサの特有に割当てられたコード、メモリアドレス、メモリ中の隣接したデータ、別の機能的に関連したデータ、前の会話(取引)、IPアドレス、端末コードまたは割当てられたパスワードに基づくことができる。その代わり、取り扱いに注意を要するデータは、秘密保護された安全なHTTPSプロトコルを使用してインターネットによって送信されることができる。
【0057】
さらに高いセキュリティを提供するために、ハードウェアDES暗号化および解読のような仮想秘密ゲートウェイが秘密保護された安全な指紋認証サーバとネットワーク接続との間に挿入されると共に、対応的にアプリケーションサービスサーバとネットワーク接続との間にも挿入されることができる。このような仮想ゲートウェイまたは仮想秘密ネットワーク(“VPN”)を使用してそのようにすることにより、取り扱いに注意を要するデータは暗号化の付加的な層、たとえば、DES128(典型的にVPNにおいて使用される)およびRSA(HTTPSにより使用される)の両者等、によってさらに保護される。
【0058】
とくに、秘密保護されて安全なアプリケーションについて、全ての通信はセキュリティの付加的な層によりラップされてもよい。とくに、下位層中のメッセージヘッダは上位層において暗号化されることができる。
【0059】
無線通信
別の実施形態は、コンタクト(ISO7816)および無線(ISO1443AまたはB)の両動作に対する二重インターフェースを含んでおり、全てが1枚のカード上にある(とくに)ISO7816コンタクト、ISO1443A、ISO1443B、ISO15693およびHID継承無線システム間における共同利用を可能にするマルチインターフェースパワーユニットを組込んでいることが好ましい。その代わり、カードは、ブルートゥース(短距離)またはセルラー(中距離)あるいはマイクロ波(長距離)のような別の無線通信テクノロジーに備えた構成を含んでいてもよい。
【0060】
次に図8を参照すると、無線または電気コネクタのいずれかによってローカル端末に接続されることのできる、オンボード生物測定学的検査を行われているスマートカードが示されている。主要な部分について、その構成およびアーキテクチャは上述された図1の実施形態のものに類似しており、同じ参照符号(おそらくシングルクォーテーションマークによって区別される)は類似した素子を示している。とくに、ISO CPU112は異なった位置(コンタクト108の片側ではなくその下方)に示されているが、しかし上述したものと同じ機能を有している。
【0061】
ISOアンテナ132は、ほぼカード100の周囲に沿うように配置された2つのループを備え、配線式の電気インターフェース108により提供されるものに類似したデータおよびパワーの両方のためのISO CPU112へのISOコンパチブル無線インターフェースを提供する。さらに、セキュリティアンテナ134(示されている例では、内側アンテナ132であり、ただ1つのループから構成されている)は、DC−DC電力調整装置120を介したセキュリティCPU114への分離した電源を提供する。ISO CPU112による以外に無線データへの直接的な接続は存在しないため、セキュリティCPU114内に記憶されている取り扱いに注意を要するデータは、このような無線インターフェースにより危険にさらされない。その代わり、外部読取装置および外部ネットワークへの配線接続だけを有する実施形態に関して上述したように、2個のプロセッサの機能は結合されることが可能であり、あるいは外部インターフェースがISO CPU112ではなくセキュリティCPU114を介するものであることが可能であり、このとき、適切な無線セキュリティ手段がこのように変更されたアーキテクチャに組込まれなければならない。
【0062】
図9は図8のカードの断面図である。示されているコンポーネントの大部分は中心コア126内に含まれており、コンタクトパッド108だけが上部保護層122を貫通していることに注意しなければならない。センサ110の動作領域は、上部層122中の上部ウインドウおよび上部層122と中心コア126との間に配置されたPCB134中の下部ウインドウを通ってアクセス可能であり、このPCB134は、種々の電気コンポーネントの間において必要とされる電気接続およびセンサ110の活動領域を取囲む包囲静電放電接地コンタクトを提供する。
【0063】
下部層124および磁気ストライプ128もまた示されている。
【0064】
指紋センサ
図10はセンサ110の例示的な概略回路図であり、センサセル402のアレイ400が行404および列406に配列されている。示されているように、各セル402は起動ゲート410およびトランスデューサ412を備えている。指紋は指の皮膚リッジとバレーから形成されている。各センサセルトランスデューサ412は、これらのリッジの1つがアレイ400内のセル402のすぐ近くに触れたときに機械的および、または電気的な変化を経験し、実際に、指先上のリッジおよびバレーによって発生されたセンサ表面を横切るマイクロ圧力変化に基づいてデジタル指紋イメージを提供する。各トランスデューサ412は単一の可変キャパシタとして示されているが、種々のタイプのトランスデューサが人間の皮膚のこれらのリッジの1つの存在に応答することができることに注意すべきである。圧力感応性の圧電薄膜トランスデューサの特定の例においては、その薄膜がセルの付近で変形されて変化を生じさせ、それがそのセルに接続されているキャパシタ中に記憶される。したがって、キャパシタ上の電圧は圧電材料の変形により生じた機械的応力の関数であり、それ故、これは、山または谷がセルより上方にあるか否かの関数である。関連した列ドライバ414からの1つの信号がそのセルのゲート410をオンに切替え、関連した行ドライバ416が接地されたとき、その電圧が行の出力ライン418上に出現し、出力ドライバ420において8ビットデジタル信号に変換される。圧電材料の変形の検出を最大化するために、圧電材料がポリイミドのような弾性材料上に形成されてもよいし、あるいはそれがポリイミド圧電材料であってもよい。類似したアレイ組織により構成されることできる別の例示的なアナログトランスデューサ技術は、可変抵抗および可変キャパシタンスを含んでいる。その代わり、各セルは、情報の単一のビットだけを提供する簡単なデジタルスイッチから構成されることができる。その場合、情報の付加的なビットは、同じ領域内にもっと多くのセルを設けることにより、あるいはもっと高い周波数で各セルをサンプリングすることにより発生されることができる。このような別の実施形態により、A/D変換器は必要なくなる。
【0065】
例示的な実施形態において、センサはわずか0.33mmの薄さであり、スマートカード中に埋込まれるように十分な耐性を有しており、静電気、素子またはユーザの皮膚の状態(湿っている、乾燥している、暖かい、冷たい)により影響を与えられない。センサ110の典型的な単位セルのサイズは25ミクロン乃至70ミクロンであり、典型的なピッチは25ミクロン乃至70ミクロンである。例示的なセンサは、12.5mm2乃至25mm2の感知領域と8ビットのマルチレベルの感度を有している。このようなセンサは、TFT(薄膜トランジスタ)のアレイと、チタンバリウム酸化物またはストロンチウムバリウム酸化物のような薄膜圧電材料により形成されたもののような圧力感応キャパシタとによって製造されることが可能であり、感知領域全体をカバーして保護する上部電極を含んでいる。機械的な応力が与えられた場合、対応した電荷が発生され、薄膜圧電キャパシタ中に記憶される。その代わり、圧力ベースのセンサは、薄膜キャパシタと、炭素繊維が分散されたゴムシートのような圧力伝導性材料のシート、金属(銅または錫あるいは銀のような)めっきされた炭素繊維またはガラス繊維ベースの紙、あるいは金属が分散された弾性材料(シリコーンのような)により形成されるもののような圧力感応キャパシタと、および感知領域全体をカバーする上部電極シートと共にTFT(薄膜トランジスタ)のアレイとして製造されることができる。
【0066】
行および列ドライバ416および414は、特定の指定された指紋センサ素子402が電気データを出力回路420に出力し、それによってユーザの指紋を表す物理的な入力をアナログ電気データに変換するためのものである。その後、出力回路420内のA/D変換器はアナログ電気信号をデジタル電気信号に変換する。各薄膜トランジスタは、共用される行相互接続をその関連したキャパシタ上の電圧に選択的に切替え、したがって各キャパシタ上の電圧が読取られることができ、また、それによって各セルの変形が測定されることができる。薄膜トランジスタの1つの全体的な列が同時に切替えられることが好ましく、したがって1つの選択された列中の複数(たとえば、8個)のセルが異なって行相互接続上において並列に読取られることができる。行および列のような多数のゲートの相互接続により、相互接続の数は減少し、一方同じ列の異なった行からの多数のセルの並列読取りにより全体的なアレイの読取り時間が減少する。センサからの出力電圧は、差動増幅器によって増幅されることができる。このような増幅器の出力はサンプリングされ、アナログデジタル変換(A/D変換器)のために保持されることができる。
【0067】
基板はガラス(非アルカリ族ガラスのような)、ステンレス鋼、アルミニウム、セラミックス(アルミニウム酸化物のような)、紙、ガラス樹脂であることができるが、しかし結晶シリコンの薄いシートであることが好ましい。薄膜半導体材料は、アモルファスシリコン、ポリシリコン、ダイヤモンド、または任意の別の半導体薄膜であることができる。圧電材料は、厚さの範囲が0.1乃至50.0ミクロンであることが好ましいジルコン酸チタン酸鉛(PZT)薄膜のような圧電セラミックスであるか、あるいは圧電ポリマーポリイミド薄膜材料であることができる。相互接続材料は、Ti/Ni/Cu、Al、Cr/Ni/Au、Ti/Ni/Au、Al/Au、W/Cu、W/Auであってもよい。
【0068】
図11は、結晶シリコンの薄い基板上に形成されたセンサのための支持装置を示している。結晶シリコンは優れた電気特性を有しており、また、必要とされるドライバおよび出力回路とのセンサアレイの集積を容易にするが、しかしながら、シリコーンの比較的広くて薄いシートは、局所化された表面圧力にさらされたときに曲がって折れる。示されている支持体は、同じ全体的な厚さを有するシリコンのシートにより提供されるものよりはるかに堅牢な構造を提供する。
【0069】
示されているように、シリコンのモノリシックシート430はその厚さが約0.1mmであり、バッキングプレート434上に取付けられたガラスエポキシの同じ厚さのフレーム432によって取囲まれており、このバッキングプレート434もまたガラスエポキシ構造であり、その厚さは約0.05mmである。フレーム432およびバッキングプレート434は、通常の印刷回路板(PCB)技術を使用して容易に構成されることができる。とくに、バッキングプレート434の上面および下面は、ガラスエポキシコアにより分離された薄い銅の層436によってカバーされている。フレーム432は、セキュリティプロセッサ114に接続するための多数のはんだパッド440をその外周に沿って備えている。薄いシリコンチップ430は、フレーム432およびプレート434にエポキシで接着され、そのアクチブな領域は、上部保護電極446を取囲むシリコン430の露出された外端部444における通常のワイヤボンディング442によってフレーム432内の各電気トレースに電気的に結合されている。
【0070】
整合アルゴリズム
処理電力が制限され、単一の基準サンプルとの簡単な1:1の整合だけが試みられる局所オンボード処理のために、指紋整合ソフトウェアは、2つのパターンから得られた詳細の比較的簡単な比較に基づくことができる。たとえば、1つの指紋のグレースケールのイメージは白および黒の2つの値に減少されることができ、3次元リッジは2次元の細いライン(ベクトル)に変換される。したがって、この方法の正確さは、数ある問題の中でもとくに、ぼやけ、膠着、歪、ラインセグメントの部分的欠如およびその他の効果の影響を受け易い。詳細方法は、原則的にその正確さは低いが、それに必要とされる計算リソースは少なく、また、多数の既存のデータベースに適合する可能性が生じる。
【0071】
多くの処理パワーが利用可能であり、さらに精確な弁別が要求される可能性のある遠隔認証サーバにおける処理に対して、たとえば、“POC”(フェーズオンリー相関)整合アルゴリズムが使用される。POCは、イメージ全体のマクロスコピックな整合に基づいた識別アルゴリズムである。逆に言えば、POCは広範囲にわたる、すなわち、細部から全体的なイメージまでの構造的情報を整合する。したがって、POCは膠着および部分的隙間のような雑音に強い正確さを提供することができる。原理的に、POC方法は、位置シフトおよび輝度の差の悪影響を受けず、高速であり(オフライン整合に対して約0.1秒)、非常に正確である。たとえば、POCソフトウェアは、2次元高速フーリエ変換(“2DFFT”)を使用して2つの指紋パターンの空間周波数比較を行うことができる。2DFFTは、指紋の物理的な2次元分布を表すデジタル化されたデータのアレイを周波数空間に変換し、換言すると、逆空間分布に変換し、ここでは高い密度のパターンが高い空間周波数を有する。回転変換は、周波数空間パターン整合を整合るために使用されることができる。POCパターン整合は詳細ベクトル整合を有しており、それは、POCは雑音として認識するが詳細解析は意味のあるデータとして解釈する記録された指紋パターン中の共通の欠陥によって誤って導かれないため、さらに有効である。
【0072】
とくに要求の厳しいアプリケーションに対して、ハイブリッド方法は、いずれか1つの方法だけよりも高い正確さおよびセキュリティを提供することができる。たとえば、捕捉する時に詳細方法を使用することができ、一方POC方法は遠隔サーバにおいて使用されることができる。別の例として、整合プロセスは、詳細および空間的関係の両者を解析し、両者の結果を考慮して1つの組合せられたスコアを生成することができる。
【0073】
アプリケーション
上述した技術は、民間および政府用の両方において多くのアプリケーションに対して高レベルのセキュリティを提供する。各アプリケーションの要求に応じて、多数の秘密保護された安全なアプリケーションが同じカードおよび、または同じ認証サーバ上に共存して動作することが可能である。1実施形態において、ある単一のカードは24個までの無関係の秘密保護された安全なアプリケーションを含むことができる。たとえば、この技術は、アクセス(物理的および、または論理的)の許可/拒否を行い、個人および、またはウォッチリストパーティの正確な位置および、または動きを識別すると同時に一方において別の秘密保護された安全なアプリケーションを動作させており、それらはそれぞれ互いから完全に、かつ秘密保護されて安全に隔離されている。
【0074】
ここで考慮されているアプリケーションには以下のものがある:
・空港ID/アクセス
・建物のセキュリティ
・ホテルの客室のアクセス/料金請求
・病院
・オンラインゲーム
・ダウンロードされたエンターテイメント
・出生証明書
・コンピュータアクセス
・運転免許証−TWIC
・電子財布
・緊急医学情報
・爆発物取扱い免許証
・政府および軍用ファシリティアクセス
・HAZMAT免許証
・メディケアおよび給付金カード
・駐車場アクセス
・パスポート
・パイロットの免許証
・港ID/アクセス
・保険の証明
・社会保障カード
・信頼できる旅行者カード
・ビザまたは入国/出国許可証
・投票者登録カード
・福祉および食糧スタンプカード
【0075】
これらのアプリケーションの多くに対して、カードのオンボードメモリはまた、登録されたカード保持者が彼のアイデンティティを証明してアクセスを許可したときにのみこのようなアクセスが可能である種々の種類の個人秘密情報の秘密保護された安全な記憶を行うことが好ましい。このような秘密情報の例を以下に示す:
・氏名、住所、生年月日、出生地、国籍、宗教、組織における地位、社会保障番号、運転免許証の番号、パスポート番号のような管理用情報、およびビザのタイプ、ビザの期限、市民権等のような入国管理情報
・電子財布のような金融情報、ビザ、マスターカード、アメリカンエクスプレス等のクレジットカード情報、銀行の名称、銀行のバランス、マネートランスファー情報、IRS番号、倒産記録等のような銀行情報
・身長、体重、指紋、虹彩、網膜、手の大きさ、骨格、声、DNAのような個人を識別するための生物測定学的情報、血液型、医学的診断テスト結果、病歴、薬物、保険情報、ある刺激に対する心理的および生理学的反応等のような生理学的または健康情報
・犯罪暦、重罪、軽犯罪、違反のような事件情報
・共同墓地、親類およびその他の連絡情報、弁護士情報、宗教情報のような緊急情報
・通学した学校、学位、FDDに関連する勤務していた会社を含む学歴や職歴
・データアクセス履歴(アクセス履歴のデータをカードに記憶すると共にカードから記憶する)
・指紋パターン、処理された指紋パターン、指紋パターンの結果のようなID関連情報
・永久パスワード、一時的パスワードおよび、またはワンタイムパスワードのようなパスワード
・公開キー、パーソネル(personnel)キーおよび、またはワンタイムキーのような暗号化キー
【0076】
以下、例示的なカード登録システムを説明する。
【0077】
希望者は、申込書に記入してそれを提出し、写真および指紋がそれに含まれていることが好ましい。大部分の希望者について、彼等の養育者の書類の検査および1以上の入手可能な政府および民間データベースに対する提出された情報の簡単なクロスチェックは、その個人の本当のアイデンティティを確定するのに十分なものでなければならない。
【0078】
彼のアイデンティティがそのようにして検査され確認された後、希望者は発行局に進み、ここでカード発行者により必要だと考えられた任意の情報がカードにロードされる。希望者は、カード上のセンサの上に彼の指紋を置く。指紋がセンサ上に満足できるように置かれてカードにロードされると、カード上のタブは、誰かがカードのある定まった領域に二度と書込まないようにするそのある定まったヒューズの機能を果たさなくする電気衝撃が与えられる。その後、小さいタブは切断/ギロチンをオフにする(臍の緒のように)。その時点で、カードはISOコンタクト読取装置またはISO無線システムによって読取りまたは書込みのいずれかだけを行うことができる。
【0079】
ネットワークされた認証サーバの場合、カードにロードされた同じデータの一部または全てはまた暗号化された形態で遠隔サーバに送信される。このデータは、おそらく、通常カード上に記憶されておらず、ある定まった高度のセキュリティのアプリケーションに対して必要とされる可能性のある付加的なデータで補われる。
【図面の簡単な説明】
【0080】
【図1】スマートカードを提示した人物のアイデンティティのオンボード生物測定学的検査が行われるそのスマートカードの1実施形態を示す概略図。
【図2】ユーザが指を指紋センサ上に最適に位置させるのを助ける例示的なプロセスを示すフローチャート。
【図3】秘密保護された安全な識別カードを提示した人物のアイデンティティの局所的検査および遠隔的な検査の両方を行うことのできる生物測定学的検査システムの機能ブロック図。
【図4】カード保持者の生物測定学的データの最初のロード期間中および遠隔地アプリケーションに対するカード保持者のアイデンティティの検査期間中に使用される異なった物理的データ路を備えた例示的な生物測定学的検査カードの機能ブロック図。
【図5】変更されていないISOスマートカードCPUによる使用を意図された図4の例示的な生物測定学的検査カードの別の実施形態を示す概略図。
【図6】カード保持者のアイデンティティのローカル的な検査だけが行われる、例示的なアプリケーションと例示的な検査カードとの間における通信を示すフローチャート。
【図7】図6のフローチャートに類似しているが、しかし図5の例示的な生物測定学的検査カードによる使用のために修正されたフローチャート。
【図8】ローカル端末に対して無線または電気コネクタのいずれかによって接続されることのできる、オンボード生物測定学的検査を行われているスマートカードの第2の実施形態を示す概略図。
【図9】図8のカードの断面図。
【図10】例示的な指紋センサの回路図。
【図11】図10のセンサのための支持装置の1実施形態を示す斜視図。
【技術分野】
【0001】
本発明は、アイデンティティの秘密が保護された生物測定学的検査に関する。
【背景技術】
【0002】
本出願は、この明細書においてその全体が参考文献とされている暫定的な米国特許出願第60/409,716号(2002年9月10日出願)、米国特許出願第60/409,715号(2002年9月10日出願)、米国特許出願第60/429,919号(2002年11月27日出願)、米国特許出願第60/433,254号(2002年12月13日出願)および米国特許出願第60/484,692号(2003年7月3日出願)に基づいており、また、これらについて優先権を主張している。
【0003】
コンピュータ化、とくにインターネットテクノロジーは金融データ、医療データ、個人データを含むデータへの非常に高いアクセス性を、秘密データが更新され、あるいは交換される金融およびその他の取引を迅速に処理する手段により提供している。
【0004】
パスワードは一般に、このようなデータの機密性を保持するために使用されている。しかしながら、パスワードは、簡単に推測され、秘密保護について全く安全ではない誕生日または電話番号に基づいていることが多い。さらに、ランダムに発生された複雑なパスワードでさえ容易に盗まれることがしばしば可能である。したがって、パスワードベースのデータアクセスシステムは犯罪性のアタックを受け易く、その結果産業や経済、さらには人命にさえ危険およびダメージが及ぶことになる。したがって、データをその秘密について保護し、そのデータを許可されていないアクセスから保護する改良された方法が必要とされている。
【0005】
生物測定学的データは、捕捉は困難であるが、解析が容易な正確な詳細(一連の指紋の詳細のような)または捕捉は容易であるが解析が困難な全体的なパターン(隣接した指紋の渦巻きの空間的特性のような)を含むことができる。
【0006】
許可されたユーザだけが利用可能な1つのデジタル鍵を必要とする暗号化アルゴリズムが存在する。適切な鍵がなければ、かなりの量の時間と処理リソースを費やさない限り、その暗号化されたデータは使用可能なフォーマットに解読されることができず、それは暗号化されていないデータのある特性が知られている(あるいは少なくとも予測可能である)場合であってすら同様である。
【0007】
サイトウ氏による公開された日本国特開昭60-029868号(1985年2月15日)には、カード保持者から得られた暗号化された生物測定学的データを登録するために集積メモリを備えたアイデンティティカードを使用する個人識別システムが教示されている。生物測定学的データには、声紋、指紋、身体的外観および、または生物学的分析評価が含まれる。使用において、カード上のデータは読取られ、そのカードを提示した人物から捕捉された対応したデータとの比較のために解読される。このようなシステムは、登録された個人が高度の正確さで明確に識別されることを可能にする。しかしながら、生物測定学的データは外部装置によって獲得されて処理されるため、カード上に記憶されている情報を変更不可能にし、および、またはアイデンティティを窃盗から保護することが困難である。
【発明の開示】
【発明が解決しようとする課題】
【0008】
カード上に記憶されている生物測定学的データを暗号化すると共に隔離するハードウェアファイヤウォールを提供し、それによってその記憶されているデータを許可されていない変更から実質的にさらに高いセキュリティで保護するためにデータ駆動マルチプロセッサチップをカード上に含んでいる改良された識別カードが提案されている。しかしながら、実際の整合プロセスは、生体の生物測定学的データを捕捉した同じ外部読取端末上で行われ、したがって依然として潜在的に外部からの不正操作を受ける可能性を有している。
【課題を解決するための手段】
【0009】
高いセキュリティの識別カードの第1の実施形態は、記憶された生物測定学的データのためのオンボードメモリだけでなく、生の生物測定学的データを捕捉するオンボードセンサもまた備えている。遠隔認証システムは、生物測定学的データを含んでいる秘密保護された安全なデータベースを維持する。カード上のオンボードプロセッサは予備的な整合動作を行って、捕捉された生物測定学的データが局所的に記憶されている生物測定学的データに一致することを検査する。局所的な整合検査の結果が肯定的であった場合にのみ、追加の確認の検査を行い、さらに処理するために、捕捉されたデータまたは取り扱いに注意を要する記憶されているデータが遠隔認証システムに送信される。悪意のあるアタックからさらに保護するものとして、局所的に記憶されたデータは遠隔的に記憶されたデータと異なっていることが好ましく、異なった整合アルゴリズムを使用して局所的な整合および遠隔的な整合が行われることが好ましい。したがって、カード、局所的に記憶されたデータおよび、またはそのカードが接続されているローカル端末が危険にさらされた場合でさえ、遠隔認証システムが依然として侵害行為の試みを検出することが可能である確率は高い。
【0010】
第2の実施形態もまた、記憶された生物測定学的データのためのオンボードメモリと、生の生物測定学的データを捕捉するオンボードセンサと、およびオンボードプロセッサとを備えている。しかしながら、この実施形態においては、整合プロセス全体がオンボードプロセッサによって行われ、オンボードメモリ中に記憶されているオリジナルに捕捉されている生物測定学的データおよび任意の他の“秘密”情報は共に、如何なる外部処理に対しても利用可能にされていない。その代わり、新しく捕捉された生物測定学的データと前に捕捉された生物測定学的データとの間における整合の成功に応答して確認メッセージが発生されるだけである。確認メッセージにより、カードは通常の個人識別番号(PIN)の入力の成功/不成功時に通常のISOスマートカードに類似した方式で、しかし秘密保護に関してさらに安全な検査プロセスによって付加的なセキュリティを与えられて機能する。これらの両実施形態において、記憶されている生物測定学的データおよび任意の関連した局所的に記憶されている暗号化アルゴリズムまたは暗号化鍵は、カード所有者に最初に発行したときに任意の後続する外部アクセスを阻止する方式でカードにロードされ、それによって記憶されている生物測定学的データの完全性および検査プロセス全体の完全性をさらに強化することが好ましい。
【0011】
1実施形態において、ISOスマートカードは、保護された生物測定学的データの記憶および処理を行うために使用されるセキュリティプロセッサを悪意のある外部アタックからISOスマートカードインターフェースによって保護するファイヤウォールとして機能する。別の実施形態においては、セキュリティプロセッサはISOスマートカードインターフェースと変更されていないISOスマートカードプロセッサとの間に挿入され、ユーザの指紋が前に登録された指紋と一致するまで何等の外部通信も阻止する。
【0012】
オンボード指紋整合能力を備えた高いセキュリティの識別カードの好ましい1実施形態においては、ユーザが彼の指を指紋センサ上で操作している期間中に実時間フィードバックが行われ、それによってそのセンサ上に指を最適に位置させることを容易にする。このフィードバックは、計算上の複雑さを減少させるだけでなく、未経験のユーザと不正なユーザとを弁別する付加的な手段もまた提供し、それによって誤った否定および、または誤った肯定の確率をさらに減少させる。別の好ましい実施形態においては、付加的なスチフネスを提供する支持体内に指紋センサが保持される。
【0013】
1つの例示的な適用において、捕捉された生物測定学的データおよび、またはカード所有者のアイデンティティの表示は暗号化され、機密データへのオンラインアクセスの任意の許可または秘密保護された安全な取引を終了する任意の自動プロセスの前に、金融機関および分離した認証サーバを含む取引ネットワークに入力される。別の例示的な適用においては、カードからの出力は、秘密保護された安全な区域に物理的にアクセスするために使用される。いずれの適用においても、アクセスの試みの成功または不成功の記録は、カードまたは外部セキュリティサーバのいずれか、あるいは両方において保持されることができる。
【発明を実施するための最良の形態】
【0014】
スマートカード
“スマートカード”または“インテリジェントカード”という用語は、ここでは、手で把持され、首の回りに装着され、あるいは、そうでなければ、その人物により携帯されるように十分に小さく、また、ある個人のカード保持者に関する、あるいは、そうでなければ、その人物に関連したデジタル的に符号化された情報の記憶、処理および通信を行うことのできるマイクロプロセッサを含む任意の物理的な対象物を示すために一般的な意味で使用されている。このようなスマートカードの1つのよく知られている例はISO(国際標準化機構)スマートカードであり、これは通常のクレジットカードと同じ物理的寸法および形状を有しているが、しかし特定ユーザ向けデータを記憶するためのフラッシュメモリと、パワフルな暗号化アルゴリズムによりプログラムされることのできるマイクロプロセッサとを含んでおり、このマイクロプロセッサは、ユーザ端末から受信されたPIN(個人識別番号)がこのカード上に記憶されている暗号化されたPINに一致したか否かを示し、それによってこのカードを提示した人物が本当のカード所有者であることに関する信頼度は、署名および、または物理的な類似の視覚的な比較だけに依存する検査システムで可能であるよりも高いものとなる。
【0015】
以下、オンボード生物測定学的検査が行われるそのスマートカードの1実施形態を示している図1を参照とする。カード100は一般にプラスチック材料から形成され、ほぼ53.98×85.6mmのISO7816において指定されている近似的な大きさおよびほぼ0.76mm以上の厚さの通常のクレジットカードと同様の全体的外観を有している。
【0016】
通常のクレジットカードと同様に、カード100は磁気ストライプ(ISO7811−2&7811−6により指定されている)をカードの後面上に支持するためにカードの横幅全体に沿って延在するフリーの上方領域102を含んでおり、この磁気ストライプ上には、カード保持者および任意の関連した口座に関する通常符号化された英数字情報が記憶されることができ、それによってカード100が通常の磁気ストライプ読取装置において使用されることを可能にする。しかしながら、磁気ストライプに埋込まれた任意のデータは容易に変更されることができるため、このような磁気ストライプは、古い磁気ストライプベースの端末との逆適合の必要性が、磁気ストライプがシステムにもたらす潜在的なセキュリティの低下より重要なある適用での使用だけを意図されたものである。
【0017】
この上方領域102はまた、カード保持者の不正変更防止のカラー写真および、またはカード発行者のホログラフロゴのような種々の詐欺行為予防手段をサポートするために使用されてもよい。カード100の下方領域104は、カード保持者の氏名、数字による口座(またはカード)識別名および有効期限のような浮き彫りにされた情報(ISO7811−1により指定されている)のために慣例的なやり方で使用されることが可能であり、それによってカード100が通常のカード刻印機において使用されることが可能になる。
【0018】
上方領域102および下方領域104は、8個の可視ISOスマートカードコンタクトパッド108のセットが埋込まれた中間領域106によって分離され、これらコンタクトパッド108はカードとカード読取装置上の対応したコンタクトとの間に便利な電気接続を提供する。この手段により、読取装置とISO7816−3において指定されているカードとの間においてデータだけでなく、電力、タイミングおよび制御信号もまた交換されることができる。
【0019】
領域106の右側には、指紋データをカード保持者の指から捕捉するために使用されるセンサパッド110が認められる。カードは、たとえば、通常のIPおよび、またはMACアドレスのフォーマットでのコード等の、センサ110またはそのカードに埋込まれている他の電子コンポーネントに特有であるIDコードを備えていることが好ましい。
【0020】
図1には、コンタクトパッド108およびセンサ110と協同して、その他の方法で可能なもの優れた機能、とくに、良好なセキュリティを提供する複数の付加的な電子コンポーネントもまた概略的に示されている。
【0021】
1実施形態において、ISOスマートカード適合プロセッサ112は、ISOコンタクトパッド108に直接接続されて外部ISO適合カード読取装置(示されていない)との電気接続を提供し、それによって電力をオンボード電子装置に供給するだけでなく、カード読取装置上でまたはこのカード読取装置とネットワークされた任意の関連した計算装置上で実行中の任意の外部通信ソフトウェア、セキュリティソフトウェアおよび、またはその他のアプリケーションソフトウェアとカードとの間でデータのやり取りをする手段を提供する。
【0022】
示されている実施形態においては、カード100と外部カード読取装置との間のデータ路はISO指定スマートカードコンタクト装置を使用する配線式接続の形態であるが、別の実施形態では、USBまたはRS232CまたはSPI(直列)接続のような別の伝送技術もまた、おそらく無線RF(無線周波数)、マイクロ波および、またはIR(赤外線)通信リンクによって使用可能であることを理解すべきである。
【0023】
また、記載されている実施形態はカード読取装置から電力を受取るが、別の実施形態は太陽電池または電池のようなオンボード電源を有することができる。このようなオンボード電源は、たとえば、カード100と特定のタイプのカード読取装置との間の機械的インターフェースは、コンタクト108がカード読取装置内の対応した接続部に接続されたときにユーザが指紋センサ110にアクセスできず、したがってカード100がカード読取装置に直接接続されていないときはそのユーザの指紋データが捕捉されなければならないようなものである場合等に有効である。
【0024】
セキュリティプロセッサ
示されているように、セキュリティプロセッサはISOプロセッサ112とセンサ110との間に接続され、捕捉されたデータの秘密保護された安全な処理および記憶を行うと共に、以下に説明するように、秘密保護された安全な“ファイヤウォール”を提供して、その専用メモリ中に記憶されているデータおよびプログラムをISOプロセッサ112を介した不正アクセスの試みから保護する。このようなファイヤウォールは、前に記憶された指紋パターンから抽出されたデータあるいはCPU番号または指紋センサ番号のような特有に割当てられた装置番号のような、特有に割当てられたネットワークアドレスに基づいているか、あるいはそうでなければ特定のカードに特有である暗号化鍵を使用して暗号化されたデータだけを通過させるように設計されてもよい。別の実施形態において、ファイヤウォールは、前の伝送またはデータからの特有の識別データを含むデータだけを通過させる。さらに別の実施形態においては、ファイヤウォールは異なったアプリケーションに対して異なった鍵を保持し、これらの鍵を使用してデータを異なった各プロセッサまたはメモリ区分に送る。
【0025】
別の実施形態(示されていない)において、セキュリティプロセッサ114はISOコンタクト118に直接接続され、ISOプロセッサ112とISOコンタクト108との間の秘密保護された安全なゲートキーパーとして動作する。このような別の構成には、ISOプロセッサ112中にすでに組込まれている可能性のある如何なるセキュリティ特徴とも妥協することなしに、セキュリティプロセッサ114およびセンサ110により付加的なセキュリティが提供されるという利点がある。
【0026】
セキュリティプロセッサ114は、前に登録された指紋パターンおよび、またはその他の個人の生物測定学的情報を記憶するFRAM、OTP、E2PROM、MRAM、MROMのような不揮発性の半導体または非半導体メモリを含んでいることが好ましい。別の実施形態においては、セキュリティプロセッサ114の機能のいくつかまたは全てがISOプロセッサ112において実施されることが可能であり、および、またはISOプロセッサ112の機能のいくつかまたは全てがセキュリティプロセッサ114において実施されることが可能である。このような1つの組合せ構成は依然として種々の機能間のソフトウェアファイヤウォールを維持し、これは、とくに、記憶されているソフトウェアプログラムへの後続的な変更を許さないプロセスによりその装置が構成されていた場合に有効である。その代わりに、プロセッサ112および114の両者は、各プロセスを異なるプロセッサにおいて実行中の別のプロセスからの干渉から保護するように設計された単一のマルチプロセッサ装置内の別々のプロセッサであることができる。このようなマルチプロセッサ装置の一例は、日本のシャープ社製のDDMP(データ駆動マルチプルプロセッサ)である。
【0027】
これらの種々のセンサ、コンタクトおよびその他の電子コンポーネント、ならびにそれらが相互接続されている印刷回路その他の電気配線は全て、それらが侵蝕および外部汚染から保護されるようにカード100の本体内に完全に組込まれていることが好ましいが、それらは上方領域102と下方領域104との間の中間領域106内の好ましい位置によりそれらの別の領域と機械的にインターフェースする通常の磁気ストライプ読取装置、浮き彫り装置および刻印機から受ける可能性のある損傷からさらに保護される。
【0028】
LEDフィードバック
LED116aおよび116bはセキュリティプロセッサ114により制御され、ユーザに可視フィードバックを提供する。示されている実施形態においては、それらは下方領域104内の好ましくはカードの、コンタクトパッド108と反対側の、サイドエッジの位置に配置されている。いずれにしても、LED116a、116bは、それらが浮き彫りプロセス期間中に損傷を受けない場所であって、かつ、カードが通常のISOスマートカード読取装置中に挿入されたときおよび、またはユーザの指が指紋センサ上110に置かれているあいだ、それらが見える場所に配置されていることが好ましい。たとえば:
検査確認モードにおいて:
・赤色明滅:指を待っている
・明滅の停止:指がセンサ上に置かれた
・一度の赤色明滅:整合不可能、指を動かしてもよい
・一度の長い緑色明滅:整合された、指をどけてもよい
登録モードにおいて:
・緑色明滅:指を待っている
・明滅の停止:指がセンサ上に置かれた
・一度の赤色明滅:登録不可能、指を動かしてもよい
・一度の緑色明滅:登録された、指をどけてもよい
消去モードにおいて:
・緑色および赤色明滅:消去準備完了
・一度の緑色明滅:消去された
【0029】
ユーザは、否定的な報告が送信される前に、整合または登録の成功のために彼の指を位置する多くの機会を与えられることが好ましい。1実施形態においては、緑色のオーケー表示を受取る前にユーザが彼の指をどけた場合あるいは予め定められた時間限界を超えた場合にのみ、否定的な報告が認証サーバに送信される。このようなプロセスにより、ユーザはセンサ上で彼の指を最適に位置するように訓練され、それによって計算の複雑さが減少するだけでなく、もっと多くの弁別しきい値を使用することが可能になる。この可視フィードバックはまた、未経験のユーザ(典型的に彼が適切に位置させることができるまで試行し続ける)と不正ユーザ(典型的に注意を引くことを望まず、彼の悪意のある意図に気づかれないうちにその場を離れる)とを弁別するための心理的ベースを提供する。最終的な結果として、誤った否定および、または誤った肯定の確率は著しく減少する。
【0030】
図2は、ユーザが彼の指をセンサ110上に置くのを助ける例示的なプロセスを示している。ブロック150において、赤色LED116bは明滅している。指が検出される(ブロック152)と、LEDは明滅するのを止めて、イメージ品質(指の皮膚の先と付け根とに対応する規定された細長い領域)のテストが行われる(ブロック154)。その品質が不十分である場合(ノーの分枝156)、赤色LED116bは一度明滅することによりユーザに彼の指を別の位置に移動するように命令する(ブロック158);そうでない場合(イエス分枝160)、そのユーザを登録するために使用されたのと同じ指が同じ位置に置かれたか否かを決定するために第2のテストが行われ(ブロック162)、その結果、比較的簡単な整合アルゴリズムにより、生体のデータが記憶されているデータに予め定められたしきい値範囲内において一致することが確認され、それによって生体の指が初めに登録された指と同じである(イエス分枝164)ことを確認することができ(イエス分枝164)、緑色LEDが起動され(ブロック166)、それは整合が成功したのでユーザは彼の指をどけてもよいことを確認するのに十分な時間のあいだ行われる(ブロック168)。その代わり、整合しきい値は満足されない場合(ノー分枝170)、赤色LED116bは一度明滅することよりユーザに彼の指を別の位置に移動するように命令し(ブロック158)、このプロセスが繰返される。
【0031】
例示的なネットワークアーキテクチャ
次に、秘密保護された安全な識別カードを提示した人物のアイデンティティの局所的および遠隔的な両方の確認検査を行うことのできる生物測定学的検査システムの可能な1実施形態が示されている図3を参照する。それは、クライアント端末200、アプリケーションサーバ202および認証サーバ204の3つの主要なコンポーネントを含んでいる。クライアント端末200は、ユーザの指紋のライブ捕捉および局所的処理を行い、局所的に処理されたデータの暗号化を行い、アプリケーションサーバおよび認証サーバとの秘密保護された安全な通信を、好ましくはIP/TCPアドレス指定方式および伝送プロトコルを使用してインターネットによって行い、通常のIPファイヤウォール206により不正アクセスから保護される機能を備えている。別の実施形態において、ファイヤウォール206は、送信されたデータが許可されたデータであることを確認された後にそれを符号化し、受信されたデータが本当に許可されたデータであるか否かを、たとえば、DES128のような暗号化アルゴリズム使用して決定する前にそれを復号するフィルタおよび暗号化エンコーダ/デコーダを備えることができる。これによって、ファイヤウォール206は、メッセージヘッダだけでなくメッセージ内容にも基づいてデータを許可されたものまたは潜在的に悪意のあるものとして分類することができる。
【0032】
クライアント端末200は専用ウェブアプライアンスとして構成されてもよいし、あるいはWindows(R)XXX、OS X、SolarisXX、LinuxまたはFreeBSDのような汎用オペレーティングシステムによって制御されるプログラム可能なデスクトップ、ノートブックまたは他のワークステーションあるいはパーソナルコンピュータ上にインストールされたソフトウェアで構成されることができる。クライアント端末200は、セキュリティの付加的な手段を提供する最新“否定”データベース(たとえば、紛失した、あるいは盗まれたカードのアイデンティティ、または特定のカードまたはカードのグループに対する制限等)を含んでいることが好ましい。
【0033】
アプリケーションサーバ202は、認証サーバ204によってユーザのアイデンティティが確認された後に、取引を行うか、あるいは、そうでなければクライアント端末200における遠隔ユーザからの命令に応答する機能を備えている。認証サーバ204は、クライアント端末200およびアプリケーションサーバ202の両者と秘密保護された安全な通信を行い、認証指紋データおよび前に登録されたユーザに関する他の情報を記憶し、その記憶されたデータを、クライアント端末200から受信された暗号化された生のデータと比較して、特定された生のデータが特定された記憶された指紋データと一致するか否かをアプリケーションサーバ202に知らせる機能を備えている。
【0034】
とくに、クライアント端末200はさらに、インターネットブラウザ端末210とカード読取装置インターフェース108a(それはISOスマートカードコンタクトパッド108との各電気接続を形成する1組の電気コンタクトにおいて終端している簡単なUSBケーブルであってもよい)を含むコンポーネントである固定されたカード読取装置208と、ポータブルスマートカードコンポーネント100’の2つの主要なコンポーネントを備えている。1実施形態において、ポータブルコンポーネント100’は、指紋センサ110、セキュリティプロセッサ114およびISOスマートカードプロセッサ112を含んでいる上述したスマートカード100であってもよい。
【0035】
アプリケーションサーバ202はさらに、ファイヤウォール206およびインターネットブラウザ214ならびに取引アプリケーションモジュール216および妥当性検査モジュール218を含むインターネットサーバインターフェースを含んでいる。アプリケーションサーバおよびアプリケーションモジュール216がIP/TCPプロトコルにより外部と通信するようには設計されなかった継承(legacy)装置である場合、ファイヤウォール206は、妥当性検査モジュール218の組込みを行うと共に固定されたIPアドレスを有している適切なプロトコル変換装置で置換されてもよい。アプリケーションサービスサーバは、たとえば、サービスをインターネットによって許可されたユーザに自ら進んで提供する第3パーティによって動作されてもよい。
【0036】
認証サーバ204はさらに、インターネットサーバインターフェース220と、指紋整合アルゴリズム224を含む処理モジュール222と、個人がそのシステムに登録され、彼等のアイデンティティがそのシステムのオペレータを満足させるものであると保証されたときにそれら個人から収集された指紋およびその他の認識情報を記憶するデータベース226とを備えている。セキュリティをさらに強化するものとして、任意の特定の個人に対する記憶されたデータは情報の単一のシーケンスとしてアプリケーションサーバ上に記憶されるのではなく、むしろ各項目が分離して記憶されることが好ましく、これらの項目を結びつける任意の必要とされる索引または関係は、その個人の秘密データの一部として認証サーバ中に保持されている対応した鍵によってのみアクセス可能である。
【0037】
位置
ある実施形態においては、固定された読取装置208および、またはポータブルカード100’’はまた、ある特定の取引が行われた時の読取装置およびカードの現在の位置に関する有用な情報を提供することのできる集積ポジショニング衛星(GSP)受信機212を備えていてもよい。とくに、GPS受信機212からの位置データは、読取装置および、またはカードがその使用の許可されていない位置に移動された場合にその読取装置および、またはカードを動作不能にする(永久的にまたは一時的に)ために使用されてもよい。位置はまた、GPS以外の手段によって、たとえば、PHS(日本国のセルラー電話)発信元位置決定技術、または地球の電磁界のローカル変化に応答するロケーションセンサを使用して自動的に決定されることができる。GPSを備えたカードの特定の場合においては、アンテナ、信号増幅、AD変換器およびサンプリングおよび保持回路、ならびに位置を計算するためのデジタルプロセッサを含む種々のGPSコンポーネントは、カードの本体と統合され、そこに埋込まれ、あるいはその上に積層にされた単一の集積回路の、または単一の回路板上に取付けられたディスクリートな装置の全ての部分であることが好ましい。
【0038】
オンボード整合ISOプロセッサインターフェースを備えたISOカードに対するカードアーキテクチャ
図4は、カード保持者の生物測定学的データの最初のロード期間中および遠隔地アプリケーションへのカード保持者のアイデンティティの検査期間中に使用される異なった物理的データ路を備えた例示的なISOスマートカードコンパチブル生物測定学的検査カード100または100’の機能ブロック図である。
【0039】
とくに、上述したISOプロセッサ112、セキュリティプロセッサ114、指紋センサ110、LED116a、116bおよびオプションのGPS受信機212に加えて、ISOプロセッサ112だけがISOスマートカードコンタクトパッド108を介してカード読取装置208に直接接続された状態で、分離したロードモジュール300および関連した一時的接続302が示されており、この一時的接続302は最初のユーザ登録期間中にセキュリティプロセッサ114との直接的な通信を提供する。ISOプロセッサ112はI/Oポート304、306によってセキュリティプロセッサ114と通信し、一方一時的なロード接続302は分離したI/Oポート308に接続されていることが認められる。セキュリティプロセッサは、取り扱いに注意を要する任意のセキュリティ関連データまたはソフトウェアがポート304および306からではなくポート308からのみアクセス可能であり、それによって接続302がディスエーブルされた後、これらの取り扱いに注意を要するデータへの悪意のあるアクセスの可能性を回避するようにプログラムされることが好ましい。
【0040】
入手可能な大部分のISOプロセッサは少なくとも2つのI/Oポートを有しており、いくつかは少なくとも3つのI/Oポートを備えている。外部ISOコンパチブルカード読取装置208への通常のISOスマートカード直列データ接続108に対して、これらのポートの1つ(I/O1)だけが示されている。余分な1または2つのI/Oポートは、ISOプロセッサ112とセキュリティプロセッサ114との間に専用ハードワイヤード通信を提供することが好ましく、それは、セキュリティプロセッサ114を再プログラムしようとする、あるいはセンサ110によって前に捕捉された、あるいはそうでなければセキュリティプロセッサ114内に記憶されている取り扱いに注意を要する情報にアクセスしようとする悪意のある試みを阻止するハードウェアファイヤウォールとして働く。3つ以上のI/Oラインを備えたISOプロセッサの特定の場合においては、セキュリティプロセッサが完全にパワーダウンされているときでさえ、ISOプロセッサとセキュリティプロセッサとの間の専用通信路上における静的状態情報の、(1)準備完了、(2)ビジー、(3)失敗、および(4)合格のような3以上の状態を提供することが可能である。当然ながら、1つのI/Oポートしか利用できない場合でも、これら4つの状態は直列データとして動的に送信されることができる。
【0041】
ISO CPUとセキュリティCPUとの間においてISOインターフェースI/O2およびI/O3を介して送信されることのできる可能なコマンドおよびデータには、以下のものが含まれる:
・ユーザを登録し、あるいは認証するためのコマンドであって、これに対してセキュリティCPUは局所記憶および、または遠隔アプリケーションへの送信のために登録の結果または認証の結果を送る。
・テンプレート(基準)としての指紋情報は、遠隔アプリケーションへの送信のためにISOスマートカードメモリ中に記憶されるためにセキュリティCPUからISO CPUに送られることができる。取り扱いに注意を要する個人情報のセキュリティを高めるために、基準データはそれがISO CPUに送られる前にセキュリティCPUによって暗号化されることができる。
【0042】
ロード接続302は、セキュリティCPU114にもまたパワーを利用できるようにISO CPU112とISO読取装置208との間の通信をおそらく保持しながら、ファイヤウォール保護を与えられたISO接続および関連した専用I/O304および306をバイパスしてセキュリティCPU114への直接接続を提供する。それは主として特定のユーザへのカードの最初の登録期間中に使用され、許可されていないアクセスから保護されなければならない。
【0043】
図5は、変更されていないISOスマートカードCPUによる使用を意図された図4の例示的な生物測定学的検査カードの別の実施形態を示している。とくに、ISO CPU112’は、通常の使用中またはロード中のいずれの期間中も、もはやカード読取装置208とセキュリティCPU114’との間の如何なるゲートウェイ機能も行ってはならず、したがって、それは、何の変更もなされず、カード読取装置208および任意の外部アプリケーションの両者に対して絶対的に透明である方法でのみ使用される任意のISO認可チップであることができる。このような別の実施形態においては、セキュリティCPU114’は、捕捉された指紋が記憶されている指紋に一致した場合にはISO CPU112’と任意の外部アプリケーションとの間の透明なファイヤウォールとして動作し、また、捕捉された指紋が記憶されている指紋に一致しなかった場合にはこのような通信を全て阻止する。
【0044】
カード初期化および記憶されているデータの保護
ギロチン
1実施形態において、オリジナルな製造されたカードは、セキュリティCPUおよびISOインターフェースの少なくとも一部分および、またはディスクリートなオンボードメモリへの直接接続を提供する突出した印刷回路拡張部を有している。この直接接続インターフェースはカードのテストおよび指紋データの登録のためだけに使用され、登録プロセスをエネーブルする信号を含んでいる。この回路拡張部は、登録が完了した後、これ以上登録することが不可能であり、セキュリティCPUメモリがISO CPUおよびこのISO CPUとセキュリティCPUとの間の上述したファイヤウォールを介してのみアクセスできるように機械的に切断される。
【0045】
ヒューズ
別の実施形態において、セキュリティCPUは、登録された指紋パターンが一度書込まれるとアクセス不可能になる1つのタイプのメモリを有している。このようなメモリの一例は、構成がEEPROMに類似しているがUVには不透明であるため消去されることのできないワンタイムPROM(“OTP”)である。別の例は、登録が完了した後に、たとえば、エネーブルまたはアドレスあるいはデータ信号路の一部に物理的な破断(“ヒューズ”)を形成するように十分な電流をその信号路の一部分に与えることによって読取専用にされるフラッシュROMである。
【0046】
例示的な認証プロセス
1実施形態において、例示的な認証プロセスは、物理的な指紋データを、たとえば、アプリケーションサービスサーバに接続するためにアクセスする人物により使用されるクライアント端末において光学、圧力、導電性、容量性、音響的、弾性または写真技術等を使用して捕捉することを含んでおり、この物理的な指紋データはその後分離した指紋認証サーバに送られる(好ましくは、暗号化された形態で)。指紋認証サーバは捕捉された指紋データを認証ソフトウェアを使用して、登録されたユーザの指紋データを含む指紋ファイルと比較し、データが一致した場合は認証サーバはエネーブル命令をアプリケーションサービスサーバに送る。
【0047】
別の実施形態において、ユーザは、氏名、住所および誕生日のような個人データと共に全ての指紋がそこに予め登録される指紋のファイルを含んでいる指紋認証サーバの秘密保護された安全なウェブブラウザにアクセスする。HTTPSフォーマットのような秘密保護された安全なプロトコルによってユーザがアクセスしている秘密保護された安全な指紋認証サーバは、その後ユーザの指紋をクライアント端末で捕捉せよという命令をクライアント端末に送る。クライアント端末のブラウザにより表示された命令に応答して、ユーザは彼の選択した指を指紋センサ上に置き、クライアント端末内に存在する指紋捕捉ソフトウェアが、たとえば、25ミクロン乃至70ミクロンピッチ解像度および12.5mm2乃至25mm2の面積を有すると共にさらに8ビットグレースケールを有している画素ベースのイメージ等のデジタル指紋を捕捉する。
【0048】
秘密保護された安全な指紋認証サーバは、ユーザIDおよびインターネットIPアドレスおよび、または指紋センサ個人コード(MACアドレス)および、またはクッキーおよび、または任意の固有コードあるいは特定の個人または端末を識別する他の情報(たとえば、クライアント端末と秘密保護された安全な指紋認証サーバとの間の前の会話からの詳細)と共に指紋データを受取り、その後それはその受取られた指紋データを、認証ソフトウェアを使用して、ユーザIDを、氏名、住所、誕生日、犯罪暦、運転免許証、社会保証番号のような個人情報と共に予め登録された指紋データである指紋ファイルと比較し、これは詳細(minutiae)比較であることが可能であり、および、または高速フーリエ変換比較であることができる。
【0049】
認証プロセスの始まりにおいて、関連したアプリケーションに対してウェブサーバ214は視覚的または聴覚的にユーザに彼の指を指紋捕捉センサ110上に置いて彼のマウスボタンをクリックするか、あるいはキーボードキーを押し、それによってセキュリティプロセッサ114中の指紋捕捉ソフトウェアに知らせるように命令する。そのあと、ユーザの捕捉された指紋データは暗号化されたフォーマット(たとえば、秘密保護された安全なRAS暗号化伝送プロトコルHTTPSを使用して)でクライアント端末200のISOプロセッサ112およびウェブブラウザ210を介して指紋認証サーバ204のウェブサーバ220に送られる。捕捉されたデータがデータベース226中の対応したデータと成功的に一致した場合、指紋認証サーバ204はそのユーザのアイデンティティをクライアント端末200およびアプリケーションサーバ202の両者に対して有効なものにする。
【0050】
以下、図3を参照として3ウェイ認証プロトコルおよびワンタイムパスワードをハッシュ文字符号化シーケンスとして使用する例示的な好ましい実施形態を説明する。
・クライアント端末200のウェブブラウザ210は、アプリケーションプロセス216にアクセスするリクエストによりアプリケーションサーバ202の対応したウェブインターフェース214にアクセスする。
・アプリケーションサーバ202のウェブインターフェース214は、アプリケーションプロセス216にアクセスするためのログインスクリーン情報および関連した命令で応答する。
・クライアント端末200はISOプロセッサ112にセキュリティプロセッサ114を起動するように命令する。
・ISOプロセッサ112はセキュリティプロセッサ114をトリガーする。
・セキュリティプロセッサ114は指紋センサ110からの指紋データを待機し、有効なデータが受信されたとき、ISOプロセッサ112を介してウェブブラウザ210に転送されたデジタル指紋パターンを抽出する。
・ウェブブラウザ210は、ユーザID、クライアント端末200のIPアドレス、および、またはセンサ110のハードワイヤードIDコード(MACアドレス)のような関与するカード100’およびカード読取装置208に関する関連情報を伴って(あるいは、それにより暗号化されて)、抽出された指紋パターンの暗号化されたバージョンを認証サーバ204に送信する。
・認証サーバ204のウェブインターフェース220は、抽出された指紋パターンをクライアント端末200からその他の情報と共に受取るとき、その情報を指紋整合プロセッサ222に転送する。
・整合ソフトウェア224の制御の下で、指紋整合プロセッサ222は受信されたユーザIDまたはその他のユーザに特定の関連情報を使用して対応した基準指紋パターンをデータベース226から検索し、捕捉された指紋パターンをその基準指紋パターンと比較する。
・その結果(一致した、あるいは一致しなかった)は端末200、ユーザIDカード100’およびリクエストしたアプリケーション216を識別する関連情報と共にアクセス履歴ログ中に記憶され、制御が認証サーバウェブインターフェース220に戻される。
・結果が一致であった場合、認証サーバウェブインターフェース220は、クライアント端末200に送信されるワンタイムパスワードをチャレンジ文字シーケンスの形態で発生し、また、そのチャレンジ文字シーケンスをハッシュコードとして使用して、それが将来可能性のある参照基準に備えて対応したチャレンジ応答として保存する関連情報を暗号化する。
・クライアント端末200は受信されたチャレンジ文字シーケンスをハッシュコードとして使用して、前に記憶された暗号化されていない実行依頼された関連情報のコピーを暗号化し、その後これをアプリケーションサーバ202のウェブインターフェース214にアプリケーションログインプロセスへのその応答の一部として転送する。
・アプリケーションサーバ202のウェブインターフェース214は、ハッシュ変換された関連情報を受信すると、それをアプリケーションサービス216に転送し、このアプリケーションサービス216がこれをクライアントサーバからの進行中のログオンの試みと関連付け、また、その一致した結果を確認するために、認証サーバによりチャレンジ応答として提供されたチャレンジシーケンスを使用してクライアント端末によりハッシュされたその受信された関連情報を転送する。
・認証サーバ204のウェブインターフェース220は、チャレンジ応答をアプリケーションサーバから受信すると、その応答を認証プロセス222に転送し、この認証プロセス222がこれを、予測されたチャレンジ応答の前に保存されたその基準コピーと比較し、そのユーザアイデンティティが実際に認証されているか否かを決定する。
・この比較から結果的に得られた認証されたユーザアイデンティティ情報はその後、アプリケーションサーバ202のアプリケーションサーバウェブインターフェース220および有効化インターフェース218を介してアプリケーションプロセス216に戻される。
・有効化インターフェース218はその認証を使用して、オリジナルなログオンの試みで設定されるそのユーザのアイデンティティが有効なものにされていることを確認する。
・ユーザのアイデンティティが確認されると、認証プロセス216はその後アプリケーションサーバ202のウェブインターフェース214を介してクライアント端末200のウェブブラウザ210と直接通信し始める。
【0051】
図6は、全ての整合がセキュリティCPU114によって図4のISOコンパチブルカードに関して行われ、外部認証サーバ204は使用されない別の認証プロセスを示している。図6の左側には認証サーバ202により行われる機能が示されており、一方右側にはISOスマートカード100によって行われる機能が示されている。
【0052】
スマートカード100がカード読取装置208中に挿入されたとき、リセット信号RSTがカード読取装置からISO CPU(スタートブロック502)および指紋CPU114(指紋検査ブロック504)の両者に送られ、両者はカード読取装置208からパワーVCCを受取る。その後、ISO CPUはATR(リセットに対する応え)メッセージで応答し、必要とされたときPPS(プロトコルおよびパラメータ選択)を送る(ブロック506)。同時に、指紋CPUは指紋データを受信するために待機状態になり、データがセンサ110から受取られたときに認証プロセスを行う(ブロック504)。
【0053】
アプリケーション216によって最初のリクエストコマンドがISO CPU112に送られたとき(ブロック508)、ISO CPUは認証状態をセキュリティCPUに問合せる(ブロック510)。応答が肯定的であった場合、ISO CPUはリクエストされたコマンドを実行することによりそのアプリケーションに応答する(ブロック512)。そうでない場合(セキュリティCPU114からエラーメッセージまたは応答なしのいずれか)、それはリクエストされたコマンドに応答せず、むしろ新しい第1のリクエストを待機する(ブロック508b)。
【0054】
指紋は検査されて確認され、第1の応答がアプリケーション216によってタイムリーに受信され、応答していると決定された(ブロック514)と仮定すると、アプリケーションから1つのリクエストも受信されなかった予め定められた検査タイムアウトを超えるか(ブロック522)、あるいはアプリケーションが予測された応答の受信に失敗する(ブロック524)まで、リクエスト/応答プロセスは続行する(ブロック516、518、520)。
【0055】
図7は図6のフローチャートに類似しているが、しかし図5の例示的な生物測定学的検査カードによる使用のために修正されたフローチャートである。図7の左端にはアプリケーションサーバ202によって行われる機能が示され、次の列は読取装置208に対応し、その次の列はISOコンタクト108を表し、次の列はセキュリティCPU114によって行われる機能を示し、右端には変更されていないISOスマートカードCPU112によって行われる機能が示されている:
・スマートカードがカード読取装置中に挿入されたとき、あるいはアプリケーションソフトウェアがカード読取装置の動作を開始させたいずれかのときに、リセット信号550がカード読取装置208からセキュリティCPU114に送られる。
・セキュリティCPUがリセット信号550を受信した後すぐに対応したリセット信号552をISO CPU112に送る。同時に、セキュリティCPUは指紋センサからの指紋データを待機する。
・ISO CPUはリセット信号552を受信すると、ATR(リセットに対する応え)応答554を行って、その後必要とされたときにPPS(プロトコルおよびパラメータ選択)を送る。
・セキュリティCPU114はISO CPUからATR(リセットに対する応え)を受信するとすぐに、これをカード読取装置に転送し(ブロック556)、これには任意の関連したPPSコマンドが含まれている。
・その期間中に、セキュリティCPUが指紋データを受信した場合、それは上述した認証プロセスを実行する。認証テストの結果が合格であった場合、その合格状態が特定の時間期間中保持される。結果が失敗であった場合、セキュリティCPU114は新しい指紋データを待機する。
・アプリケーションの実行時に、コマンドリクエスト558はセキュリティCPUに送られ、このセキュリティCPUはコマンドリクエスト560をISO CPUに転送すると共に、セキュリティCPUが依然として上述の合格状態であるか、あるいは最後の正しい応答がもっと多くのデータビットセットを有している(テストブロック564)場合にのみ、その正しい応答562をカード読取装置に転送する。
・そうでない場合(ノー分枝566)、指紋CPUはダミーリクエスト568を発生し、それをISO CPUに転送すると共に結果的に得られたERR応答570をカード読取装置216に転送し、それによってリクエストと応答におけるシーケンス番号の間の適切な同期を維持する。
【0056】
暗号化およびセキュリティ
任意の外部ネットワークによる送信の前に、取り扱いに注意を要する任意のデータおよび、または認証結果は、おそらくDESまたはツーフィッシュ暗号化を使用して暗号化されることが好ましい。暗号化鍵は、捕捉されたまたは記憶されている指紋データ、ユーザIDコード、センサの特有に割当てられたコード、メモリアドレス、メモリ中の隣接したデータ、別の機能的に関連したデータ、前の会話(取引)、IPアドレス、端末コードまたは割当てられたパスワードに基づくことができる。その代わり、取り扱いに注意を要するデータは、秘密保護された安全なHTTPSプロトコルを使用してインターネットによって送信されることができる。
【0057】
さらに高いセキュリティを提供するために、ハードウェアDES暗号化および解読のような仮想秘密ゲートウェイが秘密保護された安全な指紋認証サーバとネットワーク接続との間に挿入されると共に、対応的にアプリケーションサービスサーバとネットワーク接続との間にも挿入されることができる。このような仮想ゲートウェイまたは仮想秘密ネットワーク(“VPN”)を使用してそのようにすることにより、取り扱いに注意を要するデータは暗号化の付加的な層、たとえば、DES128(典型的にVPNにおいて使用される)およびRSA(HTTPSにより使用される)の両者等、によってさらに保護される。
【0058】
とくに、秘密保護されて安全なアプリケーションについて、全ての通信はセキュリティの付加的な層によりラップされてもよい。とくに、下位層中のメッセージヘッダは上位層において暗号化されることができる。
【0059】
無線通信
別の実施形態は、コンタクト(ISO7816)および無線(ISO1443AまたはB)の両動作に対する二重インターフェースを含んでおり、全てが1枚のカード上にある(とくに)ISO7816コンタクト、ISO1443A、ISO1443B、ISO15693およびHID継承無線システム間における共同利用を可能にするマルチインターフェースパワーユニットを組込んでいることが好ましい。その代わり、カードは、ブルートゥース(短距離)またはセルラー(中距離)あるいはマイクロ波(長距離)のような別の無線通信テクノロジーに備えた構成を含んでいてもよい。
【0060】
次に図8を参照すると、無線または電気コネクタのいずれかによってローカル端末に接続されることのできる、オンボード生物測定学的検査を行われているスマートカードが示されている。主要な部分について、その構成およびアーキテクチャは上述された図1の実施形態のものに類似しており、同じ参照符号(おそらくシングルクォーテーションマークによって区別される)は類似した素子を示している。とくに、ISO CPU112は異なった位置(コンタクト108の片側ではなくその下方)に示されているが、しかし上述したものと同じ機能を有している。
【0061】
ISOアンテナ132は、ほぼカード100の周囲に沿うように配置された2つのループを備え、配線式の電気インターフェース108により提供されるものに類似したデータおよびパワーの両方のためのISO CPU112へのISOコンパチブル無線インターフェースを提供する。さらに、セキュリティアンテナ134(示されている例では、内側アンテナ132であり、ただ1つのループから構成されている)は、DC−DC電力調整装置120を介したセキュリティCPU114への分離した電源を提供する。ISO CPU112による以外に無線データへの直接的な接続は存在しないため、セキュリティCPU114内に記憶されている取り扱いに注意を要するデータは、このような無線インターフェースにより危険にさらされない。その代わり、外部読取装置および外部ネットワークへの配線接続だけを有する実施形態に関して上述したように、2個のプロセッサの機能は結合されることが可能であり、あるいは外部インターフェースがISO CPU112ではなくセキュリティCPU114を介するものであることが可能であり、このとき、適切な無線セキュリティ手段がこのように変更されたアーキテクチャに組込まれなければならない。
【0062】
図9は図8のカードの断面図である。示されているコンポーネントの大部分は中心コア126内に含まれており、コンタクトパッド108だけが上部保護層122を貫通していることに注意しなければならない。センサ110の動作領域は、上部層122中の上部ウインドウおよび上部層122と中心コア126との間に配置されたPCB134中の下部ウインドウを通ってアクセス可能であり、このPCB134は、種々の電気コンポーネントの間において必要とされる電気接続およびセンサ110の活動領域を取囲む包囲静電放電接地コンタクトを提供する。
【0063】
下部層124および磁気ストライプ128もまた示されている。
【0064】
指紋センサ
図10はセンサ110の例示的な概略回路図であり、センサセル402のアレイ400が行404および列406に配列されている。示されているように、各セル402は起動ゲート410およびトランスデューサ412を備えている。指紋は指の皮膚リッジとバレーから形成されている。各センサセルトランスデューサ412は、これらのリッジの1つがアレイ400内のセル402のすぐ近くに触れたときに機械的および、または電気的な変化を経験し、実際に、指先上のリッジおよびバレーによって発生されたセンサ表面を横切るマイクロ圧力変化に基づいてデジタル指紋イメージを提供する。各トランスデューサ412は単一の可変キャパシタとして示されているが、種々のタイプのトランスデューサが人間の皮膚のこれらのリッジの1つの存在に応答することができることに注意すべきである。圧力感応性の圧電薄膜トランスデューサの特定の例においては、その薄膜がセルの付近で変形されて変化を生じさせ、それがそのセルに接続されているキャパシタ中に記憶される。したがって、キャパシタ上の電圧は圧電材料の変形により生じた機械的応力の関数であり、それ故、これは、山または谷がセルより上方にあるか否かの関数である。関連した列ドライバ414からの1つの信号がそのセルのゲート410をオンに切替え、関連した行ドライバ416が接地されたとき、その電圧が行の出力ライン418上に出現し、出力ドライバ420において8ビットデジタル信号に変換される。圧電材料の変形の検出を最大化するために、圧電材料がポリイミドのような弾性材料上に形成されてもよいし、あるいはそれがポリイミド圧電材料であってもよい。類似したアレイ組織により構成されることできる別の例示的なアナログトランスデューサ技術は、可変抵抗および可変キャパシタンスを含んでいる。その代わり、各セルは、情報の単一のビットだけを提供する簡単なデジタルスイッチから構成されることができる。その場合、情報の付加的なビットは、同じ領域内にもっと多くのセルを設けることにより、あるいはもっと高い周波数で各セルをサンプリングすることにより発生されることができる。このような別の実施形態により、A/D変換器は必要なくなる。
【0065】
例示的な実施形態において、センサはわずか0.33mmの薄さであり、スマートカード中に埋込まれるように十分な耐性を有しており、静電気、素子またはユーザの皮膚の状態(湿っている、乾燥している、暖かい、冷たい)により影響を与えられない。センサ110の典型的な単位セルのサイズは25ミクロン乃至70ミクロンであり、典型的なピッチは25ミクロン乃至70ミクロンである。例示的なセンサは、12.5mm2乃至25mm2の感知領域と8ビットのマルチレベルの感度を有している。このようなセンサは、TFT(薄膜トランジスタ)のアレイと、チタンバリウム酸化物またはストロンチウムバリウム酸化物のような薄膜圧電材料により形成されたもののような圧力感応キャパシタとによって製造されることが可能であり、感知領域全体をカバーして保護する上部電極を含んでいる。機械的な応力が与えられた場合、対応した電荷が発生され、薄膜圧電キャパシタ中に記憶される。その代わり、圧力ベースのセンサは、薄膜キャパシタと、炭素繊維が分散されたゴムシートのような圧力伝導性材料のシート、金属(銅または錫あるいは銀のような)めっきされた炭素繊維またはガラス繊維ベースの紙、あるいは金属が分散された弾性材料(シリコーンのような)により形成されるもののような圧力感応キャパシタと、および感知領域全体をカバーする上部電極シートと共にTFT(薄膜トランジスタ)のアレイとして製造されることができる。
【0066】
行および列ドライバ416および414は、特定の指定された指紋センサ素子402が電気データを出力回路420に出力し、それによってユーザの指紋を表す物理的な入力をアナログ電気データに変換するためのものである。その後、出力回路420内のA/D変換器はアナログ電気信号をデジタル電気信号に変換する。各薄膜トランジスタは、共用される行相互接続をその関連したキャパシタ上の電圧に選択的に切替え、したがって各キャパシタ上の電圧が読取られることができ、また、それによって各セルの変形が測定されることができる。薄膜トランジスタの1つの全体的な列が同時に切替えられることが好ましく、したがって1つの選択された列中の複数(たとえば、8個)のセルが異なって行相互接続上において並列に読取られることができる。行および列のような多数のゲートの相互接続により、相互接続の数は減少し、一方同じ列の異なった行からの多数のセルの並列読取りにより全体的なアレイの読取り時間が減少する。センサからの出力電圧は、差動増幅器によって増幅されることができる。このような増幅器の出力はサンプリングされ、アナログデジタル変換(A/D変換器)のために保持されることができる。
【0067】
基板はガラス(非アルカリ族ガラスのような)、ステンレス鋼、アルミニウム、セラミックス(アルミニウム酸化物のような)、紙、ガラス樹脂であることができるが、しかし結晶シリコンの薄いシートであることが好ましい。薄膜半導体材料は、アモルファスシリコン、ポリシリコン、ダイヤモンド、または任意の別の半導体薄膜であることができる。圧電材料は、厚さの範囲が0.1乃至50.0ミクロンであることが好ましいジルコン酸チタン酸鉛(PZT)薄膜のような圧電セラミックスであるか、あるいは圧電ポリマーポリイミド薄膜材料であることができる。相互接続材料は、Ti/Ni/Cu、Al、Cr/Ni/Au、Ti/Ni/Au、Al/Au、W/Cu、W/Auであってもよい。
【0068】
図11は、結晶シリコンの薄い基板上に形成されたセンサのための支持装置を示している。結晶シリコンは優れた電気特性を有しており、また、必要とされるドライバおよび出力回路とのセンサアレイの集積を容易にするが、しかしながら、シリコーンの比較的広くて薄いシートは、局所化された表面圧力にさらされたときに曲がって折れる。示されている支持体は、同じ全体的な厚さを有するシリコンのシートにより提供されるものよりはるかに堅牢な構造を提供する。
【0069】
示されているように、シリコンのモノリシックシート430はその厚さが約0.1mmであり、バッキングプレート434上に取付けられたガラスエポキシの同じ厚さのフレーム432によって取囲まれており、このバッキングプレート434もまたガラスエポキシ構造であり、その厚さは約0.05mmである。フレーム432およびバッキングプレート434は、通常の印刷回路板(PCB)技術を使用して容易に構成されることができる。とくに、バッキングプレート434の上面および下面は、ガラスエポキシコアにより分離された薄い銅の層436によってカバーされている。フレーム432は、セキュリティプロセッサ114に接続するための多数のはんだパッド440をその外周に沿って備えている。薄いシリコンチップ430は、フレーム432およびプレート434にエポキシで接着され、そのアクチブな領域は、上部保護電極446を取囲むシリコン430の露出された外端部444における通常のワイヤボンディング442によってフレーム432内の各電気トレースに電気的に結合されている。
【0070】
整合アルゴリズム
処理電力が制限され、単一の基準サンプルとの簡単な1:1の整合だけが試みられる局所オンボード処理のために、指紋整合ソフトウェアは、2つのパターンから得られた詳細の比較的簡単な比較に基づくことができる。たとえば、1つの指紋のグレースケールのイメージは白および黒の2つの値に減少されることができ、3次元リッジは2次元の細いライン(ベクトル)に変換される。したがって、この方法の正確さは、数ある問題の中でもとくに、ぼやけ、膠着、歪、ラインセグメントの部分的欠如およびその他の効果の影響を受け易い。詳細方法は、原則的にその正確さは低いが、それに必要とされる計算リソースは少なく、また、多数の既存のデータベースに適合する可能性が生じる。
【0071】
多くの処理パワーが利用可能であり、さらに精確な弁別が要求される可能性のある遠隔認証サーバにおける処理に対して、たとえば、“POC”(フェーズオンリー相関)整合アルゴリズムが使用される。POCは、イメージ全体のマクロスコピックな整合に基づいた識別アルゴリズムである。逆に言えば、POCは広範囲にわたる、すなわち、細部から全体的なイメージまでの構造的情報を整合する。したがって、POCは膠着および部分的隙間のような雑音に強い正確さを提供することができる。原理的に、POC方法は、位置シフトおよび輝度の差の悪影響を受けず、高速であり(オフライン整合に対して約0.1秒)、非常に正確である。たとえば、POCソフトウェアは、2次元高速フーリエ変換(“2DFFT”)を使用して2つの指紋パターンの空間周波数比較を行うことができる。2DFFTは、指紋の物理的な2次元分布を表すデジタル化されたデータのアレイを周波数空間に変換し、換言すると、逆空間分布に変換し、ここでは高い密度のパターンが高い空間周波数を有する。回転変換は、周波数空間パターン整合を整合るために使用されることができる。POCパターン整合は詳細ベクトル整合を有しており、それは、POCは雑音として認識するが詳細解析は意味のあるデータとして解釈する記録された指紋パターン中の共通の欠陥によって誤って導かれないため、さらに有効である。
【0072】
とくに要求の厳しいアプリケーションに対して、ハイブリッド方法は、いずれか1つの方法だけよりも高い正確さおよびセキュリティを提供することができる。たとえば、捕捉する時に詳細方法を使用することができ、一方POC方法は遠隔サーバにおいて使用されることができる。別の例として、整合プロセスは、詳細および空間的関係の両者を解析し、両者の結果を考慮して1つの組合せられたスコアを生成することができる。
【0073】
アプリケーション
上述した技術は、民間および政府用の両方において多くのアプリケーションに対して高レベルのセキュリティを提供する。各アプリケーションの要求に応じて、多数の秘密保護された安全なアプリケーションが同じカードおよび、または同じ認証サーバ上に共存して動作することが可能である。1実施形態において、ある単一のカードは24個までの無関係の秘密保護された安全なアプリケーションを含むことができる。たとえば、この技術は、アクセス(物理的および、または論理的)の許可/拒否を行い、個人および、またはウォッチリストパーティの正確な位置および、または動きを識別すると同時に一方において別の秘密保護された安全なアプリケーションを動作させており、それらはそれぞれ互いから完全に、かつ秘密保護されて安全に隔離されている。
【0074】
ここで考慮されているアプリケーションには以下のものがある:
・空港ID/アクセス
・建物のセキュリティ
・ホテルの客室のアクセス/料金請求
・病院
・オンラインゲーム
・ダウンロードされたエンターテイメント
・出生証明書
・コンピュータアクセス
・運転免許証−TWIC
・電子財布
・緊急医学情報
・爆発物取扱い免許証
・政府および軍用ファシリティアクセス
・HAZMAT免許証
・メディケアおよび給付金カード
・駐車場アクセス
・パスポート
・パイロットの免許証
・港ID/アクセス
・保険の証明
・社会保障カード
・信頼できる旅行者カード
・ビザまたは入国/出国許可証
・投票者登録カード
・福祉および食糧スタンプカード
【0075】
これらのアプリケーションの多くに対して、カードのオンボードメモリはまた、登録されたカード保持者が彼のアイデンティティを証明してアクセスを許可したときにのみこのようなアクセスが可能である種々の種類の個人秘密情報の秘密保護された安全な記憶を行うことが好ましい。このような秘密情報の例を以下に示す:
・氏名、住所、生年月日、出生地、国籍、宗教、組織における地位、社会保障番号、運転免許証の番号、パスポート番号のような管理用情報、およびビザのタイプ、ビザの期限、市民権等のような入国管理情報
・電子財布のような金融情報、ビザ、マスターカード、アメリカンエクスプレス等のクレジットカード情報、銀行の名称、銀行のバランス、マネートランスファー情報、IRS番号、倒産記録等のような銀行情報
・身長、体重、指紋、虹彩、網膜、手の大きさ、骨格、声、DNAのような個人を識別するための生物測定学的情報、血液型、医学的診断テスト結果、病歴、薬物、保険情報、ある刺激に対する心理的および生理学的反応等のような生理学的または健康情報
・犯罪暦、重罪、軽犯罪、違反のような事件情報
・共同墓地、親類およびその他の連絡情報、弁護士情報、宗教情報のような緊急情報
・通学した学校、学位、FDDに関連する勤務していた会社を含む学歴や職歴
・データアクセス履歴(アクセス履歴のデータをカードに記憶すると共にカードから記憶する)
・指紋パターン、処理された指紋パターン、指紋パターンの結果のようなID関連情報
・永久パスワード、一時的パスワードおよび、またはワンタイムパスワードのようなパスワード
・公開キー、パーソネル(personnel)キーおよび、またはワンタイムキーのような暗号化キー
【0076】
以下、例示的なカード登録システムを説明する。
【0077】
希望者は、申込書に記入してそれを提出し、写真および指紋がそれに含まれていることが好ましい。大部分の希望者について、彼等の養育者の書類の検査および1以上の入手可能な政府および民間データベースに対する提出された情報の簡単なクロスチェックは、その個人の本当のアイデンティティを確定するのに十分なものでなければならない。
【0078】
彼のアイデンティティがそのようにして検査され確認された後、希望者は発行局に進み、ここでカード発行者により必要だと考えられた任意の情報がカードにロードされる。希望者は、カード上のセンサの上に彼の指紋を置く。指紋がセンサ上に満足できるように置かれてカードにロードされると、カード上のタブは、誰かがカードのある定まった領域に二度と書込まないようにするそのある定まったヒューズの機能を果たさなくする電気衝撃が与えられる。その後、小さいタブは切断/ギロチンをオフにする(臍の緒のように)。その時点で、カードはISOコンタクト読取装置またはISO無線システムによって読取りまたは書込みのいずれかだけを行うことができる。
【0079】
ネットワークされた認証サーバの場合、カードにロードされた同じデータの一部または全てはまた暗号化された形態で遠隔サーバに送信される。このデータは、おそらく、通常カード上に記憶されておらず、ある定まった高度のセキュリティのアプリケーションに対して必要とされる可能性のある付加的なデータで補われる。
【図面の簡単な説明】
【0080】
【図1】スマートカードを提示した人物のアイデンティティのオンボード生物測定学的検査が行われるそのスマートカードの1実施形態を示す概略図。
【図2】ユーザが指を指紋センサ上に最適に位置させるのを助ける例示的なプロセスを示すフローチャート。
【図3】秘密保護された安全な識別カードを提示した人物のアイデンティティの局所的検査および遠隔的な検査の両方を行うことのできる生物測定学的検査システムの機能ブロック図。
【図4】カード保持者の生物測定学的データの最初のロード期間中および遠隔地アプリケーションに対するカード保持者のアイデンティティの検査期間中に使用される異なった物理的データ路を備えた例示的な生物測定学的検査カードの機能ブロック図。
【図5】変更されていないISOスマートカードCPUによる使用を意図された図4の例示的な生物測定学的検査カードの別の実施形態を示す概略図。
【図6】カード保持者のアイデンティティのローカル的な検査だけが行われる、例示的なアプリケーションと例示的な検査カードとの間における通信を示すフローチャート。
【図7】図6のフローチャートに類似しているが、しかし図5の例示的な生物測定学的検査カードによる使用のために修正されたフローチャート。
【図8】ローカル端末に対して無線または電気コネクタのいずれかによって接続されることのできる、オンボード生物測定学的検査を行われているスマートカードの第2の実施形態を示す概略図。
【図9】図8のカードの断面図。
【図10】例示的な指紋センサの回路図。
【図11】図10のセンサのための支持装置の1実施形態を示す斜視図。
【特許請求の範囲】
【請求項1】
基準データを記憶するオンボードメモリと、
生の生物測定学的データを捕捉するオンボードセンサと、
捕捉された生物測定学的データを対応した記憶されている基準データと予め定められたしきい値の範囲内で比較し、この予め定められたしきい値範囲内に一致が存在する場合にのみ確認メッセージを発生するオンボードマイクロプロセッサと、
確認メッセージを外部ネットワークに伝送する手段とを備えているインテリジェント識別カード。
【請求項2】
確認メッセージは少なくとも、記憶されている基準データからの抜粋を含んでいる請求項1記載の識別カード。
【請求項3】
確認メッセージは少なくとも、捕捉された生物測定学的データからの抜粋を含んでいる請求項2記載の識別カード。
【請求項4】
確認メッセージは、追加の確認検査のために遠隔認証システムに送られる請求項3記載の識別カード。
【請求項5】
遠隔認証システムは、局所的に記憶された基準データとは異なった遠隔的に記憶された基準データを含んでいる請求項4記載の識別カード。
【請求項6】
オンボードマイクロプロセッサは、遠隔認証システムにおいて使用されるものとは異なった整合アルゴリズムを使用する請求項4記載の識別カード。
【請求項7】
全体的な整合プロセスはオンボードプロセッサによって行われ、捕捉された生物測定学的データはネットワークに送られない請求項2記載の識別カード。
【請求項8】
オンボードメモリ中に記憶されているオリジナルに捕捉された生物測定学的データおよび任意の他の“秘密”情報は共に、如何なる外部処理に対しても利用可能にされない請求項2記載の識別カード。
【請求項9】
カードはISOスマートカードコンパチブルである請求項2記載の識別カード。
【請求項10】
さらに、ISOスマートカードプロセッサを備えている請求項9記載の識別カード。
【請求項11】
秘密保護された生物測定学的データを記憶し、処理するために使用されるセキュリティプロセッサは、ファイヤウォールによってISOスマートカードプロセッサから機能的に分離されている請求項10記載の識別カード。
【請求項12】
セキュリティプロセッサとの間でやり取りされる外部データは全て、ISOスマートカードプロセッサを通過する請求項10記載の識別カード。
【請求項13】
ISOスマートカードプロセッサとの間でやり取りされる外部データは全て、セキュリティプロセッサを通過する請求項10記載の識別カード。
【請求項14】
セキュリティプロセッサはロードプロセス中にデータをロードするために使用される第1の接続と、外部ネットワークに接続された第2の接続とを有している請求項10記載の識別カード。
【請求項15】
ロードプロセスが終了した後、第1の接続は永久にディスエーブルされる請求項10記載の識別カード。
【請求項16】
秘密保護された生物測定学的データを記憶し、処理するために使用されるセキュリティプロセッサは、ファイヤウォールによってISOスマートカードプロセッサから機能的に分離されている請求項10記載の識別カード。
【請求項17】
カードは上方磁気ストライプ領域と下方浮き彫り領域とを備え、
生物測定学的センサは指紋センサであり、
セキュリティプロセッサと、ISOスマートカードプロセッサと、指紋センサとは全て、前記上方領域と前記下方領域との間の中間領域内に配置されている請求項10記載の識別カード。
【請求項18】
生物測定学的データは指紋データを含み、センサは、そのセンサ上に置かれたユーザの指からデータを捕捉する指紋センサである請求項2記載の識別カード。
【請求項19】
ユーザが指紋センサ上の彼の指を操作しているときに実時間フィードバックが行われてセンサ上の指を最適に位置させるようにする請求項18記載の識別カード。
【請求項20】
整合プロセスは、捕捉された生物測定学的データ中の細部および全体的な空間的関係の両方を考慮するハイブリッド整合アルゴリズムを使用する請求項18記載の識別カード。
【請求項21】
指紋センサは、バッキングプレートによって支持された結晶シリコンのシートを含んでいる請求項18記載の識別カード。
【請求項22】
バッキングプレートは、2つの金属層に挟まれたガラスエポキシ層を含んでいる請求項21記載の識別カード。
【請求項23】
バッキングプレートは、シリコンのシートを取囲む支持体フレームによって補強されている請求項18記載の識別カード。
【請求項24】
カードはさらに、カードの使用を予め定められた位置に制限する手段を備えている請求項1記載の識別カード。
【請求項25】
ユーザが関与している秘密保護された安全な金融取引の処理を行うアプリケーションサーバへのオンラインアクセスの許可の前に、そのユーザのアイデンティティの秘密保護されて安全な確認検査のために、捕捉された生物測定学的データおよび基準データの少なくともいくつかが分離した認証サーバに送られる請求項1記載の識別カード。
【請求項26】
認証サーバにおいて肯定的な一致が生じる特定のアプリケーションサーバにおける特定のログオンの試みに関する整合リクエストに応答して、秘密保護された安全な3ウェイ認証プロトコルが実行され、このプロトコルにおいてチャレンジ文字シーケンスが認証サーバから識別カードに送られ、その後この識別カードがチャレンジ文字シーケンスと整合リクエストとを使用してチャレンジ応答を発生し、それはその後このチャレンジ応答をアプリケーションサーバに転送し、その後このアプリケーションサーバはチャレンジ応答を認証サーバに転送し、その後この認証サーバは、このチャレンジ応答が有効であるか否かを検査する請求項25記載の識別カード。
【請求項27】
カードからの出力は、秘密保護された安全な区域に物理的にアクセスするために使用される請求項1記載の識別カード。
【請求項28】
アクセスの試みの成功および不成功の記録は、カード上に保持される請求項27記載の識別カード。
【請求項1】
基準データを記憶するオンボードメモリと、
生の生物測定学的データを捕捉するオンボードセンサと、
捕捉された生物測定学的データを対応した記憶されている基準データと予め定められたしきい値の範囲内で比較し、この予め定められたしきい値範囲内に一致が存在する場合にのみ確認メッセージを発生するオンボードマイクロプロセッサと、
確認メッセージを外部ネットワークに伝送する手段とを備えているインテリジェント識別カード。
【請求項2】
確認メッセージは少なくとも、記憶されている基準データからの抜粋を含んでいる請求項1記載の識別カード。
【請求項3】
確認メッセージは少なくとも、捕捉された生物測定学的データからの抜粋を含んでいる請求項2記載の識別カード。
【請求項4】
確認メッセージは、追加の確認検査のために遠隔認証システムに送られる請求項3記載の識別カード。
【請求項5】
遠隔認証システムは、局所的に記憶された基準データとは異なった遠隔的に記憶された基準データを含んでいる請求項4記載の識別カード。
【請求項6】
オンボードマイクロプロセッサは、遠隔認証システムにおいて使用されるものとは異なった整合アルゴリズムを使用する請求項4記載の識別カード。
【請求項7】
全体的な整合プロセスはオンボードプロセッサによって行われ、捕捉された生物測定学的データはネットワークに送られない請求項2記載の識別カード。
【請求項8】
オンボードメモリ中に記憶されているオリジナルに捕捉された生物測定学的データおよび任意の他の“秘密”情報は共に、如何なる外部処理に対しても利用可能にされない請求項2記載の識別カード。
【請求項9】
カードはISOスマートカードコンパチブルである請求項2記載の識別カード。
【請求項10】
さらに、ISOスマートカードプロセッサを備えている請求項9記載の識別カード。
【請求項11】
秘密保護された生物測定学的データを記憶し、処理するために使用されるセキュリティプロセッサは、ファイヤウォールによってISOスマートカードプロセッサから機能的に分離されている請求項10記載の識別カード。
【請求項12】
セキュリティプロセッサとの間でやり取りされる外部データは全て、ISOスマートカードプロセッサを通過する請求項10記載の識別カード。
【請求項13】
ISOスマートカードプロセッサとの間でやり取りされる外部データは全て、セキュリティプロセッサを通過する請求項10記載の識別カード。
【請求項14】
セキュリティプロセッサはロードプロセス中にデータをロードするために使用される第1の接続と、外部ネットワークに接続された第2の接続とを有している請求項10記載の識別カード。
【請求項15】
ロードプロセスが終了した後、第1の接続は永久にディスエーブルされる請求項10記載の識別カード。
【請求項16】
秘密保護された生物測定学的データを記憶し、処理するために使用されるセキュリティプロセッサは、ファイヤウォールによってISOスマートカードプロセッサから機能的に分離されている請求項10記載の識別カード。
【請求項17】
カードは上方磁気ストライプ領域と下方浮き彫り領域とを備え、
生物測定学的センサは指紋センサであり、
セキュリティプロセッサと、ISOスマートカードプロセッサと、指紋センサとは全て、前記上方領域と前記下方領域との間の中間領域内に配置されている請求項10記載の識別カード。
【請求項18】
生物測定学的データは指紋データを含み、センサは、そのセンサ上に置かれたユーザの指からデータを捕捉する指紋センサである請求項2記載の識別カード。
【請求項19】
ユーザが指紋センサ上の彼の指を操作しているときに実時間フィードバックが行われてセンサ上の指を最適に位置させるようにする請求項18記載の識別カード。
【請求項20】
整合プロセスは、捕捉された生物測定学的データ中の細部および全体的な空間的関係の両方を考慮するハイブリッド整合アルゴリズムを使用する請求項18記載の識別カード。
【請求項21】
指紋センサは、バッキングプレートによって支持された結晶シリコンのシートを含んでいる請求項18記載の識別カード。
【請求項22】
バッキングプレートは、2つの金属層に挟まれたガラスエポキシ層を含んでいる請求項21記載の識別カード。
【請求項23】
バッキングプレートは、シリコンのシートを取囲む支持体フレームによって補強されている請求項18記載の識別カード。
【請求項24】
カードはさらに、カードの使用を予め定められた位置に制限する手段を備えている請求項1記載の識別カード。
【請求項25】
ユーザが関与している秘密保護された安全な金融取引の処理を行うアプリケーションサーバへのオンラインアクセスの許可の前に、そのユーザのアイデンティティの秘密保護されて安全な確認検査のために、捕捉された生物測定学的データおよび基準データの少なくともいくつかが分離した認証サーバに送られる請求項1記載の識別カード。
【請求項26】
認証サーバにおいて肯定的な一致が生じる特定のアプリケーションサーバにおける特定のログオンの試みに関する整合リクエストに応答して、秘密保護された安全な3ウェイ認証プロトコルが実行され、このプロトコルにおいてチャレンジ文字シーケンスが認証サーバから識別カードに送られ、その後この識別カードがチャレンジ文字シーケンスと整合リクエストとを使用してチャレンジ応答を発生し、それはその後このチャレンジ応答をアプリケーションサーバに転送し、その後このアプリケーションサーバはチャレンジ応答を認証サーバに転送し、その後この認証サーバは、このチャレンジ応答が有効であるか否かを検査する請求項25記載の識別カード。
【請求項27】
カードからの出力は、秘密保護された安全な区域に物理的にアクセスするために使用される請求項1記載の識別カード。
【請求項28】
アクセスの試みの成功および不成功の記録は、カード上に保持される請求項27記載の識別カード。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公表番号】特表2006−501583(P2006−501583A)
【公表日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願番号】特願2004−571994(P2004−571994)
【出願日】平成15年9月10日(2003.9.10)
【国際出願番号】PCT/US2003/028602
【国際公開番号】WO2004/025545
【国際公開日】平成16年3月25日(2004.3.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
FRAM
Linux
【出願人】(505090344)アイブイアイ・スマート・テクノロジーズ、インコーポレイテッド (1)
【Fターム(参考)】
【公表日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願日】平成15年9月10日(2003.9.10)
【国際出願番号】PCT/US2003/028602
【国際公開番号】WO2004/025545
【国際公開日】平成16年3月25日(2004.3.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
FRAM
Linux
【出願人】(505090344)アイブイアイ・スマート・テクノロジーズ、インコーポレイテッド (1)
【Fターム(参考)】
[ Back to top ]