人物認証装置
【課題】生体特徴を用いた認証の利点を活かし、かつ個々の認証結果の結合から被認証者の行動履歴を追跡されない、匿名性を確保した人物認証装置を提供する。
【解決手段】本発明の人物認証装置101は、人物の生体特徴を電子情報に変換した生体テンプレート105と、人物から採取した画像を電子情報に変換した生体情報106と、前記生体テンプレートと前記生体情報が同一人物から得られたものであるか否かを検査するプログラム107を一つの電子データに集合させた生体認証オブジェクト104を受信する生体認証オブジェクト受信手段102と、前記生体認証オブジェクトを保持する生体認証オブジェクト保持手段103と、前記生体認証オブジェクトを所定の計算規則に基づき変換し、前記変換の結果から前記人物を一意に識別するIDを生成するID生成手段108とを備える。
【解決手段】本発明の人物認証装置101は、人物の生体特徴を電子情報に変換した生体テンプレート105と、人物から採取した画像を電子情報に変換した生体情報106と、前記生体テンプレートと前記生体情報が同一人物から得られたものであるか否かを検査するプログラム107を一つの電子データに集合させた生体認証オブジェクト104を受信する生体認証オブジェクト受信手段102と、前記生体認証オブジェクトを保持する生体認証オブジェクト保持手段103と、前記生体認証オブジェクトを所定の計算規則に基づき変換し、前記変換の結果から前記人物を一意に識別するIDを生成するID生成手段108とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は人物の認証を行う電子情報処理装置に関する。特に、生体特徴を用いて該電子情報処理装置の使用者の正当性を検証する人物認証装置に関する。
【背景技術】
【0002】
インターネットなどの電気通信を介して情報処理装置の機能やサービスを使用する場合、もしくは銀行自動支払機、自動入退室管理装置、図書館、会員制レンタルサービスなどを利用する場合、使用者の正当性を認証する事(人物認証)が重要である。
【0003】
人物認証には大別して(1)知識に基づく認証、(2)所持物に基づく認証、(3)生体特徴に基づく認証、の3種類がある。パスワードや暗証番号は(1)の代表例であり、ICカードは(2)の代表例である。知識に基づく認証では、他人に知られた場合に容易になりすましが可能となり、所持物に基づく認証では紛失や盗難に際しての対策に難点がある。
【0004】
そこで近年注目されているのが(3)の生体特徴に基づく認証である。これは指紋、虹彩、顔貌、静脈、筆跡、行動の癖など、ある個人だけが持つ身体上の特徴を電子情報的に比較照合することにより使用者の正当性を確認する技術である。その際、まず予め参照用特徴データを採取、登録しておき、認証時に改めて採取した特長データを前記参照用特徴データと比較照合する。ただし、特徴データ同士の照合はパスワード照合などと異なり、照合対象となる両者が完全に一致することは極めて稀である。そのため、特徴データをベクトルとして扱い、照合対象となる2つのベクトルの近似度を内積や空間距離に基づいて計算し、予め定めた閾値以下の場合には一致、そうでない場合は不一致として処理することが多い。
【0005】
生体特徴に基づく認証は生体認証と呼ばれ、また、生物学的認証、バイオメトリクス認証とも呼ばれることもある。また、前記参照用特徴データを生体テンプレートと呼ぶ。
【0006】
生体認証では人体そのものを認証キーとして使用するため、容易に他人に成りすまされる危険性が低く、さらに本人が意識しなくとも忘却したり紛失したりする心配もない。しかしながらその一方で、認証キーの変更、無効化が出来ず、一度登録した生体テンプレートが長期に渡り登録者本人の行動を追跡する鍵となってしまう問題がある。
【0007】
あるサービスを利用する人間が、サービス提供者に身元を明かさずに正当な利用者(例えば会員登録した本人、対価を予め支払った本人)であることを示し、匿名性を維持したままサービスを受ける事が望まれる場合には、上記の生体認証の特性は基本的に障害となる。
【0008】
匿名性を確保した生体認証に関する従来技術としては、生体情報と識別ID生成ルールから人物を識別するIDを生成するものがあった(例えば、特許文献1参照)。
【0009】
図16は前記特許文献1に記載された従来の人物認証装置の構成図である。
【0010】
図16において、人物認証装置1は、生体情報取得手段2が得た生体情報を、識別ID生成ルール記憶手段3が保持するルールと照合し、同一人物に対して同一の識別IDが生成されるよう、識別ID生成手段4が作用していた。生成される識別IDには個人情報や元の生体情報を含まないことにより、匿名性を確保していた。
【0011】
匿名性を確保した生体認証に関する別の従来技術としては、認証される者と認証する者の間に、前記両者が信頼できる中立の第三者である、人物認証中継装置を設けるものがあった(例えば、特許文献2参照)。
【0012】
図17は前記特許文献2に記載された人物認証中継装置の構成図である。
【0013】
図17において、人物認証中継装置5は、被認証者9の生体情報を生体情報取得手段6で受け取り、生体情報データベース8が保持する情報から被認証者固有の匿名情報を生成し、認証中継手段7が認証者10に渡していた。
【0014】
認証者に対し、被認証者の生体情報、個人情報を直接渡さない事により匿名性を確保していた。
【特許文献1】特開2005−51463号公報(第1頁、図3)
【特許文献2】特開2002−269049号公報(第1頁、図1)
【発明の開示】
【発明が解決しようとする課題】
【0015】
しかしながら、前記従来の構成では以下の課題を有していた。
【0016】
前記図16に示した従来例では、識別ID生成手段4が生成するIDは、同一人物(厳密には同一の身体部位に基づく生体情報)に対してユニークである。従って、あるIDの利用履歴をトレースすると、そのIDの利用者が誰かを知ることは出来なくとも、ある同一の人物がどのような行動を行ったかを知ることが出来てしまう。この事は、匿名性の重要な要件である非結合性、即ち複数の利用結果を結合し行動履歴を得られないようにする性質を満足しない。
【0017】
また、前記図17に示した従来例では、認証中継装置5は信頼できる第三者として充分なセキュリティを確保しなければならない。本質的には、非認証者9は自らの個人情報を認証中継装置5に完全に開示しており、両者の間で匿名性確保は全く講じられていない。
【課題を解決するための手段】
【0018】
前記従来の課題を解決するために、本発明の人物認証装置は、人物の生体特徴を電子情報に変換した生体テンプレートと、人物から採取した画像を電子情報に変換した生体情報と、前記生体テンプレートと前記生体情報が同一人物から得られたものであるか否かを検査するプログラムを一つの電子データに集合させた生体認証オブジェクトを受信する生体認証オブジェクト受信手段と、前記生体認証オブジェクトを保持する生体認証オブジェクト保持手段と、前記生体認証オブジェクトを所定の計算規則に基づき変換し、前記変換の結果から前記人物を一意に識別するIDを生成するID生成手段とを備える。
【0019】
本構成によって、同一人物であっても撮像されるたびに内容が異なる生体画像を含む電子データからIDを得ることが可能となる。
【0020】
さらに本発明の人物認証装置は、生体情報を取得する生体情報取得手段と、前記生体認証オブジェクトを解釈実行する計算機である生体認証オブジェクト実行手段と、前記ID生成手段が得たIDが有効か否かを判定するID認証手段とを備え、前記生体認証オブジェクト実行手段は生体テンプレートを格納する生体テンプレート格納部と、生体情報を格納する生体情報格納部と、生体テンプレートと生体情報が同一人物から得られたものであるか否かを検査する照合部とを備え、前記照合部の検査結果が同一人物であれば、前記ID認証手段がIDを有効と判定する。
【0021】
本構成によって、同一のIDが同一人物によって使用されていることの確認が出来るとともに、同一人物から異なるIDを得ることが可能となり、匿名性が確保される。
【0022】
さらに本発明の人物認証装置は、前記生体認証オブジェクト実行手段が、前記生体情報取得手段が得た生体情報を前記生体情報格納部に格納するより前に仮に格納する生体情報仮格納部と、前記生体情報仮格納部に格納された生体情報と、前記生体テンプレート格納部に格納された生体テンプレートが同一人物から得られたものであるか否かを検査する仮照合部を備え、前記仮照合部の検査の結果が同一人物である場合に、前記生体情報仮格納部に格納された生体情報を、前記生体情報格納部にコピーまたは移動する。
【0023】
本構成によって不正な固定画像が格納されることがなくなり、固定ID導出による匿名性の喪失を防止することが出来る。
【0024】
さらに本発明の人物認証装置は、人物から採取された画像を電子情報に変換し、さらに前記生体認証オブジェクトが復号可能な状態に暗号化を施した暗号化生体情報を取得する暗号化生体情報取得手段と、前記暗号化生体情報の正当性を検証する暗号化生体情報検証手段を備え、前記生体認証オブジェクト実行手段が前記暗号化生体情報を復元する生体情報復元部を備える。
【0025】
本構成によって、画像からなる生体情報も秘匿化されるため、より高度な匿名性が得られる。
【0026】
さらに本発明の人物認証装置は、前記生体認証オブジェクトが少なくともその一部に解読困難な物理構造もしくは論理構造を有する耐タンパモジュールを含み、前記生体テンプレートを前記耐タンパモジュールの内部に含む。
【0027】
本構成によって、生体テンプレートの不正な読み出し、解読が困難となり、より高度な匿名性が得られる。
【0028】
さらに本発明の人物認証装置は、保持する電子データの解読を困難とする物理構造もしくは論理構造を有する耐タンパモジュールを備え、前期生体認証オブジェクト保持手段と、前記生体認証オブジェクトの実体である電子データを読み取り、不可逆な変換を行うダイジェスト生成手段とを、前記耐タンパモジュール内に備える。
【0029】
本構成によって、生体テンプレート、生体情報、照合プログラム全体が不正な読み出し、解読から保護され、より高度な匿名性が得られる。
【0030】
さらに本発明の人物認証装置は、暗号化された生体認証オブジェクトを受信する暗号化生体認証オブジェクト受信手段と、保持する電子データの解読を困難とする物理構造もしくは論理構造を有する耐タンパモジュールとを備え、前記耐タンパモジュール内部に前記暗号化された生体認証オブジェクトを復号化する生体認証オブジェクト復号化手段を備え、前記暗号化生体認証オブジェクト受信手段から得た前記暗号化された生体認証オブジェクトが有する電子データを用いて、前記ID生成手段が人物を一意に識別するIDを生成する。
【0031】
本構成によって、暗号化された生体認証オブジェクトからIDが生成され、匿名性を高めると同時に生成されたIDの信頼性を高めることが出来る。
【発明の効果】
【0032】
本発明の人物認証装置によれば、生体認証による確実な本人確認を、匿名性を確保した上で実現できる効果を得ることができる。
【発明を実施するための最良の形態】
【0033】
以下本発明の実施の形態について、図面を参照しながら説明する。
【0034】
(実施の形態1)
図1は、本発明の実施の形態1における人物認証装置の構成図である。
【0035】
図1において、人物認証装置101は、生体認証オブジェクト受信手段102と、生体認証オブジェクト保持手段103と、ID生成手段106を備える。
【0036】
生体認証オブジェクト保持手段103は内部に生体認証オブジェクト104を保持し、生体認証オブジェクト104は内部に生体テンプレート105、生体情報106、照合プログラム107を含む。
【0037】
好適な例では、生体認証オブジェクト受信手段101は、他の装置から電気、電子的な信号を受け取り電子データを得る通信機であり、生体認証オブジェクト保持手段は電子データを格納し読み出すことが可能なRAM(Random Access Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等のメモリである。ID生成手段108は、人物認証装置101のハードウェア資源を利用して情報処理を行う情報処理機である。情報処理機はHDDやROM(Read Only Memory)に書き込まれたプログラムコードをCPU(Central Processing Unit)が解釈実行する形態であっても良い。
【0038】
生体認証オブジェクト104は、内部にデータとプログラムを含む電子データである。
【0039】
図2は、生体認証を行う際の基本的な入力データである生体情報の例を示したものである。図2において、201は認証対象人物の顔画像であり、カメラを用いて撮像する。
【0040】
202は、認証対象人物の顔画像2の一部を拡大したものである。撮像された顔画像からなる生体情報は、全ての領域で拡大図202に示すように縦横に格子状となった白黒情報、濃淡情報、もしくは色情報を持つ画素から構成される。
【0041】
顔画像を例とする生体情報は、生体認証オブジェクト104内部で生体情報106として保持される。
【0042】
なお、この例では生体情報として認証対象人物の顔をカメラで撮像した画像データを用いたが、他に指紋画像、虹彩画像、静脈パターンの画像など、認証対象人物を他の人物と識別し得る画像であっても良い。また、撮像はカメラに限定されるものではなく、距離センサ、静電容量センサなど物体の形状を得る装置により行っても良い。
【0043】
図3は、生体認証を行う際に本人を本人と識別するため予め作成しておく参照データである生体テンプレートの例を示した図である。
【0044】
図3において、301は生体テンプレートを構成する1番目の要素、302は2番目の要素、303は3番目の要素である。304は最後の要素であり、要素の数がnであればn番目の要素になる。
【0045】
生体テンプレートはn個の要素からなるベクトルデータであり、各要素は生体テンプレート作成時に認証対象人物から得た生体情報をもとに生成されるものである。
【0046】
生体情報から生体テンプレートを生成する方法の例としては、認証対象人物の認証対象部位(指紋、顔など)の画像を得て、特徴とする要素、例えば指紋であれば模様の分岐点や端点、顔であれば輪郭形状や目鼻の位置を画像処理によって抽出し、抽出されたデータ群を連結したものを生体テンプレートとする方法がある。
【0047】
その際、特徴とする要素の抽出方法及び抽出されたデータの連結方法は認証対象人物によらず同一にすることにより、任意の人物の生体テンプレートは同次元のベクトルデータとして生成される。
【0048】
前記ベクトルデータは、生体認証オブジェクト104内部で生体テンプレート105として保持される。
【0049】
照合プログラム107は、対象人物から再度顔画像を取得し、上記と同等の方法を用いて特徴要素を抽出し、得られたベクトルデータと予め生成しておいた生体テンプレートとを比較照合するプログラムコードである。比較照合方法の例としては、2つのベクトルの内積もしくは距離を測る方法がある。
【0050】
照合プログラム107は汎用的な計算機もしくは計算機上で動作する仮想計算機(バーチャルマシン;Virtual Machine)によって読み込まれ、解釈実行される。人物認証装置101は照合プログラム107を解釈実行するハードウェアを有する。
【0051】
図4は、照合プログラム107を解釈実行する人物認証装置101の動作フローの一例を示した図である。
【0052】
まず、新規の生体情報を取得し、生体情報106に格納する(ステップ401)。次に、生体情報106を読み出し(ステップ402)、特徴抽出を行う(ステップ403)。特徴抽出の結果は生体テンプレート105と同次元のベクトルデータとなる。
【0053】
続いて生体テンプレート105を読み出し(ステップ404)、前記特徴抽出の結果とベクトル同士の内積計算、距離計算等の所定の演算により照合を行う(ステップ405)。
【0054】
前記生体テンプレート105、生体情報106、及び照合プログラム107を含む生体認証オブジェクト104は、ひと塊の電子データとして当該装置内に存在する。
【0055】
ID生成手段108は、前記生体認証オブジェクト104を電子データとして読み込み、認証対象人物を識別するためのIDを生成する。IDの生成方法はSHA−1(Secure Hash Algorithm 1)、MD5(Message Digest 5)等、公知のハッシュアルゴリズムを用いる方法があるが、同一の電子データから同一のIDが生成され、かつ異なる電子データから実用上区別し得る個別のIDを生成することが可能なアルゴリズムであれば良く、特定の方法に限定されるものではない。
【0056】
生体情報106は、カメラ等の撮影装置から得るデジタル画像である。このため、撮影時の被写体の微妙な位置や向きの違い、背景の違い、光源状態の違い等、様々な変動要因に影響される。また、デジタル画像を得る際に含まれるノイズも、必ずしも一様とは言えない。このため、生体画像106は生成の度に異なる揺らぎを含んだデータとなり、意図して全く同一のデータを得る事は極めて困難と言える。
【0057】
従って、生体情報106を含む生体認証オブジェクト104は揺らぎを含み、生体認証オブジェクト104を基に生成されるIDにも揺らぎが含まれる。さらに、生体認証オブジェクト104内において、生体情報106は生体テンプレート105と比較してデータサイズが大きく、前記IDに含まれる揺らぎによって、生体テンプレート105の一意性を隠蔽することが可能となる。前記一意性の隠蔽によって匿名性の確保が成される。
【0058】
なお、データの揺らぎを得るために乱数を含ませる手法も考えられるが、一般に計算機上で生成される乱数は計算処理に基づいて生成される擬似乱数である。さらに、乱数発生器が不正を行った場合、容易に揺らぎを消失させることが可能である。
【0059】
その点、カメラ画像が得る揺らぎは真正乱数であり、不正により揺らぎを消失させることは困難である。
【0060】
以上実施の形態1によれば、同一人物であっても撮像されるたびに内容が異なる生体画像を含む電子データからIDを得るため、IDが特定個人と永続的に結びつく可能性が低い、匿名性のあるID獲得の効果が得られる。
【0061】
(実施の形態2)
図5は、本発明の実施の形態2における人物認証装置の構成図である。
【0062】
図5において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0063】
図5において、人物認証装置501は、生体情報取得手段502、生体認証オブジェクト実行手段503、ID認証手段507を備える。
【0064】
生体認証オブジェクト実行手段503は、生体認証オブジェクト104を実行する過程において使用する計算機と記憶装置を有し、内部に生体テンプレート格納部504、生体情報格納部505、及び照合部506を備える。
【0065】
生体情報取得手段502は認証対象人物の顔画像など、生体情報を取得する機器である。直接撮像を行うカメラ等を一体に備えても良いし、カメラ等は別の装置に備え、生体情報のみを取得しても良い。
【0066】
生体認証オブジェクト実行手段503は計算機もしくは仮想マシンである。
【0067】
生体テンプレート格納部504と生体情報格納部505は、生体認証オブジェクト実行手段503内に存在するデータ格納領域である。
【0068】
照合部506は、生体認証オブジェクト実行手段503内で生体テンプレートと生体情報の照合、即ち両者が同一の人物から得られたものであるか否かを判定する計算処理部である。
【0069】
ID認証手段507は、当該IDを用いている人物が正当であるか否かを判定する情報処理機である。
【0070】
人物認証装置501は、ある時点と別の時点における認証対象人物の同一性を検証するものである。好適な使用例としては、テーマパーク等の施設において、入場時に人物の登録を行い、施設利用時に登録された人物と同一であれば利用を許可する。あるいは、料金前払いの会員サービスで、入会時に人物の登録を行い、サービス利用時に同一人物であることを確認する使用法が挙げられる。
【0071】
図6は、人物認証装置501が生体認証オブジェクトからIDを生成する動作フローを示した図である。また、図7は認証対象人物であるユーザAから、人物認証装置501が受け取る生体認証オブジェクトの構造例を示した図である。
【0072】
生体認証オブジェクト受信手段502は、ユーザAから生体認証オブジェクト701を受け取る(ステップ601)。生体認証オブジェクト701はユーザAが所持するコンピュータ、携帯電話、メモリカードなどの記憶装置に保持された状態でユーザAが携帯しているものとする。もしくは、計算機ネットワーク上に備えられた記憶装置から遠隔取得しても良い。
【0073】
図7において、ユーザAの生体テンプレート702は前記ユーザの生体特徴から得た生体テンプレートであり、ユーザAの生体情報703が前記ユーザから得たものであれば両者の照合は成功、即ち同一人物から得られたものであると判別される。照合プログラム704が前記の照合を行う。
【0074】
登録時には、ユーザA自身のユーザAの生体情報703は、ユーザA自身が取得したものであることが望ましい。即ち、ユーザ側の機器が持つカメラ等の画像取得手段により、ユーザの顔画像、指紋画像、掌紋画像などの生体情報を取り込み、ユーザAの生体情報703として生体認証オブジェクト701に格納する。カメラ等から得た画像は、撮像時の被写体の状態、光源、背景等の変動要因により、同一の人物を撮像した場合であっても得られるデータは通常同一でない。従ってユーザA管理下の機器で生体情報703を得ることにより、人物認証装置501が持つ生体情報取得手段502は前記と同一の生体情報を得ることが出来ない。
【0075】
ユーザAは、登録された自身の権利に基づきサービスを利用する際には、前記ユーザA自身が取得した生体情報703を含む生体認証オブジェクト701を提示することで登録時と同一人物であると主張できる。また、ユーザAが改めて生体情報を取得し直し、取得し直した生体情報を格納した生体認証オブジェクトを用いて、ユーザA’として登録を行った場合には、人物認証装置501はユーザAとユーザA’が同一人物であることを認識できず、匿名性が確保される。
【0076】
次に、ID生成手段108は、前記生体認証オブジェクト701のハッシュ値を計算し(ステップ602)、前記ハッシュ値からユーザAの人物識別のためのIDを得る(ステップ603)。ハッシュ値の計算は実施の形態1に示した方法で良い。
【0077】
次に、ID生成手段108は、生成した前記ユーザAのIDが既に登録済みであるか否かを調べ(ステップ604)、登録済みであれば既存IDを利用するID利用処理を行い(ステップ605)、登録済みでなければID登録処理を行う(ステップ606)。
【0078】
ID利用処理、ID登録処理ともに、ユーザAが正しい人物であることを認証する必要がある。以下にその手順を示す。
【0079】
図8は、人物認証装置501が生体認証オブジェクトからIDを認証する動作フローを示した図である。
【0080】
生体情報取得手段502は、ユーザAから生体情報を取得し(ステップ801)。生体認証オブジェクト701内にユーザAの生体情報703として格納する(ステップ802)。
【0081】
次に照合プログラム704が、ユーザAの生体テンプレート702と、前記ユーザAの生体情報703を照合する(ステップ803)。照合の方法は図4に示したものと同じで良い。
【0082】
次に、照合が成功したか否かを判定し(ステップ804)、成功であればID利用もしくは登録処理を許可し(ステップ805)、失敗であればID利用もしくは登録処理を中止する(ステップ806)。
【0083】
ID登録を許可されたユーザAは、登録済みIDを用いてサービスを受ける際、登録時に使用したものと同じ生体認証オブジェクト701を人物認証装置501に送信する。人物認証装置501は、上記のID認証処理により認証対象人物が、ID登録時と同一人物であるユーザAか否かを確認することが出来、別人物によるなり済ましを防ぐことが出来る。
【0084】
例えば、ユーザAがID登録時に使用した生体認証オブジェクトと同一のものを、ユーザAとは別人物であるユーザBが使用しようとした場合、前記ステップ805により不正なユーザであることが判定される。
【0085】
また、ユーザBが登録時からユーザAに成りすます意図を持ち、ユーザAの生体テンプレートを保持した生体認証オブジェクトを使用してID登録を行おうとした場合、同じく前記ステップ805により不正であることが判定され、登録は行われない。
【0086】
上記のようにして、ユーザA以外の人物に提供サービスを搾取されることが防止される。
【0087】
さらに、ユーザAは生体認証オブジェクト71に新たな生体情報703を格納して他の人物認証装置501に送信することにより、人物認証装置501は以前のものとは異なる、別のIDとしてユーザAを登録する事になる。同じユーザAに対してであってもIDが異なれば両者の結びつきは得られず、個人の行動履歴が暴露される恐れはない。
【0088】
以上実施の形態2によれば、ある人物に割り当てたIDが、以降に同一人物のみが使用できることが保証され、なおかつ別の時点では同一人物に対して別のIDが割り当てられ、ID間の独立性が保たれることにより、匿名性を確保する効果が得られる。
【0089】
なお、前記ステップ601の代わりとして、ユーザAがID登録を行う際、前記ステップ802で生体情報を新たに格納した生体認証オブジェクトを用いてIDを生成しても良い。この場合、生体情報を新たに格納した生体認証オブジェクトをユーザAに返却し、ユーザAは次回以降のID利用時に前記返却された生体認証オブジェクトを人物認証装置501に提示する。
【0090】
これにより、人物認証装置501は、自身が管理する生体情報取得手段を用いた得たユーザAの生体情報を用いてID生成が行えるため、生体特徴に基づいた信頼性の高いID管理が可能となる効果が得られる。
【0091】
(実施の形態3)
図9は、本発明の実施の形態3における人物認証装置の構成図である。
【0092】
図9において、図5と同じ構成要素については同じ符号を用い、説明を省略する。
【0093】
図9において、人物認証装置901は、生体認証オブジェクト503内に生体情報仮格納部902と、仮照合部903を備える。これらは生体認証オブジェクト104にプログラムとデータ領域を付加することにより実現される。
【0094】
図10は、生体情報格納の動作フローを示した図である。
【0095】
生体情報取得手段502はユーザから生体情報を取得し、生体情報オブジェクト実行手段に渡す(ステップ1001)。
【0096】
生体認証オブジェクト実行手段503は、生体情報取得手段502から受け取った生体情報を生体情報仮格納部902に格納する(ステップ1002)。
【0097】
次に仮照合部903が生体情報格納部902に格納された生体情報と、生体テンプレート格納部504に格納された生体テンプレートを仮照合する(ステップ1003)。仮照合の方法は図4に示したものと同じで良い。
【0098】
次に照合に成功したか否かを判定し(ステップ1004)、照合に成功した場合は生体情報を生体情報格納部505に生体情報を格納し(ステップ1005)、失敗した場合は生体情報格納処理を中止する(ステップ1006)。
【0099】
以上実施の形態3によれば、生体テンプレートと合致しない不正な生体情報を生体認証オブジェクトが受け入れることを防止できる。これにより、固定の画像を格納された状態でIDを生成され、匿名性が損なわれることを防止する効果が得られる。
【0100】
つまり、仮に人物認証装置を設計もしくは運用する者が不正を働き、取得した生体認証オブジェクトに、ユーザが取得した生体情報と称して固定された画像(もしくは内容が全て同一値で埋められた固定データ)を渡し、生体認証オブジェクトがこれを受け取ってしまった場合、生体認証オブジェクトから得られるIDは揺らぎを持たない生体テンプレートのみによって決定されてしまい、匿名性が喪失される。本実施の形態3によれば、前記の不正行為による匿名性の喪失を未然に防ぐことが可能となる。
【0101】
なお、匿名性の喪失を防ぐための生体情報の別の確認方法として、生体情報仮格納部902が格納されたデータが生体から取得したデータであるか否かを、生体認証オブジェクト実行手段503が調べる方法を採っても良い。具体的には、例えば顔認証であれば、生体情報仮格納部902に格納されたデータを公知の画像分析手法に基づき、人間の顔であるか否かを判定する。人間の顔であると判定された場合のみ、生体情報仮格納部902に格納されたデータを生体情報格納部505に格納する。
【0102】
あるいは、生体情報仮格納部902に格納されたデータの作成装置の署名と、作成日時を調べ、生体情報を取得する正当な装置が、最近(例えば過去1分以内など)に作成したデータであるか否かを判定し、最近作成された生体情報である事が確認できた場合のみ、生体情報仮格納部902に格納されたデータを生体情報格納部505に格納しても良い。
【0103】
なお、匿名性の喪失を防ぐための生体情報のさらに別の確認方法として、生体情報仮格納部902が格納されたデータの履歴を生体認証オブジェクト実行手段503が保持し、過去に保持されたデータと同一のデータでない事が確認された場合のみ、生体情報仮格納部902に格納されたデータを生体情報格納部505に格納しても良い。
【0104】
(実施の形態4)
図11は、本発明の実施の形態4における人物認証装置の構成図である。
【0105】
図11において、図5と同じ構成要素については同じ符号を用い、説明を省略する。
【0106】
図11において、人物認証装置1101は、暗号化生体情報取得手段1102、暗号化生体情報検証手段1103を備え、さらに生体認証オブジェクト実行手段503内に生体情報復号部1104を備える。
【0107】
図12は、暗号化された生体情報を格納する際の動作フローを示した図である。
【0108】
暗号化生体情報取得手段は1102は、カメラなどの撮像機を持つ他の装置から、暗号化された生体情報を取得する(ステップ1201)。
【0109】
次に暗号化生体情報検証手段1103は、前記暗号化された生体情報が正当なものであることを検証する(ステップ1202)。検証方法の例としては、生体情報を撮像した装置が、前記暗号化された生体情報に電子署名を付加し、暗号化生体情報検証手段1103が電子署名を検証する方法がある。電子署名の具体例としては、公開鍵暗号を用いた方法が公知である。また、撮像した生体情報の信憑性を向上させるため、生体情報がいつ撮像されたものであるかを示す時刻署名を含んでも良い。
【0110】
生体認証オブジェクト実行手段503内にある生体情報復号部1104は、前記暗号化された生体情報を復号し(ステップ1203)、生体情報格納部505に格納する(ステップ1204)。
【0111】
以上実施の形態4によれば、撮像を行った装置と、生体認証オブジェクト実行手段503以外は生体情報の内容を知ることが出来ない。これにより、生体テンプレートだけでなく、撮像した顔画像などの生体情報も秘匿した状態で認証を行うことが出来、匿名性をより向上させる効果が得られる。
【0112】
(実施の形態5)
図13は、本発明の実施の形態5における人物認証装置の構成図である。
【0113】
図13において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0114】
図13において、人物認証装置1301は、生体認証オブジェクト104内の生体テンプレート105を保護する耐タンパ(Tamper Resistant)モジュール1302を備える。
【0115】
耐タンパモジュールの実現方法は、物理的に不正な読み出し、改ざんを防ぐ耐タンパチップを用いる方法がある。耐タンパチップはICカード製品等に採用される公知の技術であり、この中に格納された生体テンプレートを不正に読み出すことは困難となる。
【0116】
耐タンパモジュールの別の実現方法は、暗号技術、難読化技術を応用したソフトウェア耐タンパである。生体テンプレートを難読化することにより、不正に読み出すことが困難となる。
【0117】
また、生体テンプレートの一部を耐タンパチップに格納し、残りをソフトウェア耐タンパで保護したり、生体テンプレートを暗号化し、復号鍵を耐タンパチップに格納する複合的な方法により耐タンパモジュールを実現しても良い。
【0118】
以上実施の形態5によれば、生体テンプレートの不正な読み出し、解読が困難となり、匿名性をより向上させる効果が得られる。
【0119】
(実施の形態6)
図14は、本発明の実施の形態6における人物認証装置の構成図である。
【0120】
図14において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0121】
図14において、人物認証装置1401は、ダイジェスト生成手段1403を備え、さらに生体認証オブジェクト104と、前記ダイジェスト生成手段1403を保護する耐タンパモジュール1402を備える。
【0122】
耐タンパモジュール1402内に生体認証オブジェクト104を保持し、不正な読み出し、解読を防止する。
【0123】
耐タンパモジュール1402は、ICカード製品等に用いられる対タンパチップ、もしくは耐タンパチップとメモリ装置の組み合わせで実現すれば良い。
【0124】
ダイジェスト生成手段1403は耐タンパモジュール1402の内部に設けられ、生体認証オブジェクト保持手段103から生体認証オブジェクト104を読み出し、一方向変換によりダイジェストを生成する演算装置である。
【0125】
一方向変換には公知のダイジェスト生成技術を用い、生成したダイジェストから元の生体認証オブジェクト104のデータ内容が得られないようにする。ダイジェスト生成技術の例としては、前述したSHA−1、MD5等のハッシュアルゴリズムを用いたもの挙げられる。
【0126】
ID生成手段1404は、前記ダイジェスト生成手段1403が生成したダイジェストを読み取り、認証対象人物を識別するIDを生成する演算装置である。
【0127】
IDを生成する演算は、生成される各ダイジェストから対応IDを一意に得る方法であれば良い。最も単純な例は前記ダイジェストをそのままIDとして用いる方法である。
【0128】
以上実施の形態6によれば、生体テンプレート105、生体情報106、照合プログラム107を全て耐タンパモジュールで保護した上で、生体認証オブジェクト104からIDが生成される。対タンパモジュール1402の外に現れるダイジェストからは元の生体認証オブジェクト104は復元できないため、生体テンプレート105に関わる機密性を高めることが可能となり、より高度な匿名性を確保する効果が得られる。
【0129】
(実施の形態7)
図15は、本発明の実施の形態7における人物認証装置の構成図である。
【0130】
図15において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0131】
図15において、人物認証装置1501は、暗号化生体認証オブジェクト受信手段1502、耐タンパモジュール1503を備え、さらに耐タンパモジュール1503内に生体認証オブジェクト復号手段1504を備える。
【0132】
耐タンパモジュール1503の構成は、耐タンパモジュール1402と同様である。
【0133】
暗号化生体認証オブジェクト受信手段1502は他の機器から暗号化された生体認証オブジェクトを受け取り、耐タンパモジュール1503内の生体認証オブジェクト復号手段1504に渡す。
【0134】
生体認証オブジェクト復号手段1504は、前記暗号化された生体認証オブジェクトを復号化し、生体認証オブジェクト保持手段103に渡す。
【0135】
ID生成手段108は、暗号化生体認証オブジェクト受信手段1502から前記暗号化された生体認証オブジェクトの電子データを受け取り、IDを生成する。
【0136】
以上実施の形態7によれば、生体認証オブジェクト104を耐タンパモジュール外で強固に保護することが可能となり、機密性、匿名性を高める効果が得られる。
【産業上の利用可能性】
【0137】
本発明にかかるユーザ認証補助装置、及びユーザ認証主装置は、生体特徴を用いたユーザ認証に関わる汎用性を有し、両装置を計算機ネットワーク上の複数地点で用いる電子決済、コンテンツ配布、アクセス制御システムの他、両装置を近接した状態を用いる現金自動預払機、入退室管理装置、コンピュータやコンソールへのアクセス許可システム等に応用できる。
【図面の簡単な説明】
【0138】
【図1】本発明の実施の形態1における人物認証装置の構成図
【図2】生体情報の例を示した図
【図3】生体テンプレートの例を示した図
【図4】照合プログラムの動作フローを示した図
【図5】本発明の実施の形態2における人物認証装置の構成図
【図6】ID生成の動作フローを示した図
【図7】生体認証オブジェクトの構造例を示した図
【図8】ID認証の動作フローを示した図
【図9】本発明の実施の形態3における人物認証装置の構成図
【図10】生体情報格納の動作フローを示した図
【図11】本発明の実施の形態4における人物認証装置の構成図
【図12】暗号化された生体情報格納の動作フローを示した図
【図13】本発明の実施の形態5における人物認証装置の構成図
【図14】本発明の実施の形態6における人物認証装置の構成図
【図15】本発明の実施の形態7における人物認証装置の構成図
【図16】従来の人物認証装置の構成図
【図17】従来の人物認証装置の構成図
【符号の説明】
【0139】
1 従来の人物認証装置
2 生体情報取得手段
3 識別ID生成ルール記憶手段
4 識別ID生成手段
5 従来の人物認証装置
6 生体情報取得手段
7 認証中継手段
8 生体情報データベース
9 被認証者
10 認証者
101 人物認証装置
102 生体認証オブジェクト受信手段
103 生体認証オブジェクト保持手段
104 生体認証オブジェクト
105 生体テンプレート
106 生体情報
107 照合プログラム
108 ID生成手段
201 認証対象人物の顔画像
202 認証対象人物の顔画像の一部を拡大したもの
301〜304 生体テンプレートの要素データ
401〜405 照合プログラムの動作フローの各ステップ
501 人物認証装置
502 生体情報取得手段
503 生体認証オブジェクト実行手段
504 生体テンプレート格納部
505 生体情報格納部
506 照合部
601〜606 ID生成の動作フローの各ステップ
701 生体認証オブジェクト
702 ユーザAの生体テンプレート
703 ユーザAの生体情報
704 照合プログラム
801〜806 ID認証の動作フローの各ステップ
507 ID認証手段
901 人物認証装置
902 生体情報仮格納部
903 仮照合部
1001〜1006 生体情報格納の動作フローの各ステップ
1101 人物認証装置
1102 暗号化生体情報取得手段
1103 暗号化生体情報検証手段
1104 生体情報復号部
1201〜1204 暗号化された生体情報格納の動作フローの各ステップ
1301 人物認証装置
1302 耐タンパモジュール
1401 人物認証装置
1402 耐タンパモジュール
1403 ダイジェスト生成手段
1404 ID生成手段
1501 人物認証装置
1502 暗号化生体認証オブジェクト受信手段
1503 耐タンパモジュール
1504 生体認証オブジェクト復号手段
【技術分野】
【0001】
本発明は人物の認証を行う電子情報処理装置に関する。特に、生体特徴を用いて該電子情報処理装置の使用者の正当性を検証する人物認証装置に関する。
【背景技術】
【0002】
インターネットなどの電気通信を介して情報処理装置の機能やサービスを使用する場合、もしくは銀行自動支払機、自動入退室管理装置、図書館、会員制レンタルサービスなどを利用する場合、使用者の正当性を認証する事(人物認証)が重要である。
【0003】
人物認証には大別して(1)知識に基づく認証、(2)所持物に基づく認証、(3)生体特徴に基づく認証、の3種類がある。パスワードや暗証番号は(1)の代表例であり、ICカードは(2)の代表例である。知識に基づく認証では、他人に知られた場合に容易になりすましが可能となり、所持物に基づく認証では紛失や盗難に際しての対策に難点がある。
【0004】
そこで近年注目されているのが(3)の生体特徴に基づく認証である。これは指紋、虹彩、顔貌、静脈、筆跡、行動の癖など、ある個人だけが持つ身体上の特徴を電子情報的に比較照合することにより使用者の正当性を確認する技術である。その際、まず予め参照用特徴データを採取、登録しておき、認証時に改めて採取した特長データを前記参照用特徴データと比較照合する。ただし、特徴データ同士の照合はパスワード照合などと異なり、照合対象となる両者が完全に一致することは極めて稀である。そのため、特徴データをベクトルとして扱い、照合対象となる2つのベクトルの近似度を内積や空間距離に基づいて計算し、予め定めた閾値以下の場合には一致、そうでない場合は不一致として処理することが多い。
【0005】
生体特徴に基づく認証は生体認証と呼ばれ、また、生物学的認証、バイオメトリクス認証とも呼ばれることもある。また、前記参照用特徴データを生体テンプレートと呼ぶ。
【0006】
生体認証では人体そのものを認証キーとして使用するため、容易に他人に成りすまされる危険性が低く、さらに本人が意識しなくとも忘却したり紛失したりする心配もない。しかしながらその一方で、認証キーの変更、無効化が出来ず、一度登録した生体テンプレートが長期に渡り登録者本人の行動を追跡する鍵となってしまう問題がある。
【0007】
あるサービスを利用する人間が、サービス提供者に身元を明かさずに正当な利用者(例えば会員登録した本人、対価を予め支払った本人)であることを示し、匿名性を維持したままサービスを受ける事が望まれる場合には、上記の生体認証の特性は基本的に障害となる。
【0008】
匿名性を確保した生体認証に関する従来技術としては、生体情報と識別ID生成ルールから人物を識別するIDを生成するものがあった(例えば、特許文献1参照)。
【0009】
図16は前記特許文献1に記載された従来の人物認証装置の構成図である。
【0010】
図16において、人物認証装置1は、生体情報取得手段2が得た生体情報を、識別ID生成ルール記憶手段3が保持するルールと照合し、同一人物に対して同一の識別IDが生成されるよう、識別ID生成手段4が作用していた。生成される識別IDには個人情報や元の生体情報を含まないことにより、匿名性を確保していた。
【0011】
匿名性を確保した生体認証に関する別の従来技術としては、認証される者と認証する者の間に、前記両者が信頼できる中立の第三者である、人物認証中継装置を設けるものがあった(例えば、特許文献2参照)。
【0012】
図17は前記特許文献2に記載された人物認証中継装置の構成図である。
【0013】
図17において、人物認証中継装置5は、被認証者9の生体情報を生体情報取得手段6で受け取り、生体情報データベース8が保持する情報から被認証者固有の匿名情報を生成し、認証中継手段7が認証者10に渡していた。
【0014】
認証者に対し、被認証者の生体情報、個人情報を直接渡さない事により匿名性を確保していた。
【特許文献1】特開2005−51463号公報(第1頁、図3)
【特許文献2】特開2002−269049号公報(第1頁、図1)
【発明の開示】
【発明が解決しようとする課題】
【0015】
しかしながら、前記従来の構成では以下の課題を有していた。
【0016】
前記図16に示した従来例では、識別ID生成手段4が生成するIDは、同一人物(厳密には同一の身体部位に基づく生体情報)に対してユニークである。従って、あるIDの利用履歴をトレースすると、そのIDの利用者が誰かを知ることは出来なくとも、ある同一の人物がどのような行動を行ったかを知ることが出来てしまう。この事は、匿名性の重要な要件である非結合性、即ち複数の利用結果を結合し行動履歴を得られないようにする性質を満足しない。
【0017】
また、前記図17に示した従来例では、認証中継装置5は信頼できる第三者として充分なセキュリティを確保しなければならない。本質的には、非認証者9は自らの個人情報を認証中継装置5に完全に開示しており、両者の間で匿名性確保は全く講じられていない。
【課題を解決するための手段】
【0018】
前記従来の課題を解決するために、本発明の人物認証装置は、人物の生体特徴を電子情報に変換した生体テンプレートと、人物から採取した画像を電子情報に変換した生体情報と、前記生体テンプレートと前記生体情報が同一人物から得られたものであるか否かを検査するプログラムを一つの電子データに集合させた生体認証オブジェクトを受信する生体認証オブジェクト受信手段と、前記生体認証オブジェクトを保持する生体認証オブジェクト保持手段と、前記生体認証オブジェクトを所定の計算規則に基づき変換し、前記変換の結果から前記人物を一意に識別するIDを生成するID生成手段とを備える。
【0019】
本構成によって、同一人物であっても撮像されるたびに内容が異なる生体画像を含む電子データからIDを得ることが可能となる。
【0020】
さらに本発明の人物認証装置は、生体情報を取得する生体情報取得手段と、前記生体認証オブジェクトを解釈実行する計算機である生体認証オブジェクト実行手段と、前記ID生成手段が得たIDが有効か否かを判定するID認証手段とを備え、前記生体認証オブジェクト実行手段は生体テンプレートを格納する生体テンプレート格納部と、生体情報を格納する生体情報格納部と、生体テンプレートと生体情報が同一人物から得られたものであるか否かを検査する照合部とを備え、前記照合部の検査結果が同一人物であれば、前記ID認証手段がIDを有効と判定する。
【0021】
本構成によって、同一のIDが同一人物によって使用されていることの確認が出来るとともに、同一人物から異なるIDを得ることが可能となり、匿名性が確保される。
【0022】
さらに本発明の人物認証装置は、前記生体認証オブジェクト実行手段が、前記生体情報取得手段が得た生体情報を前記生体情報格納部に格納するより前に仮に格納する生体情報仮格納部と、前記生体情報仮格納部に格納された生体情報と、前記生体テンプレート格納部に格納された生体テンプレートが同一人物から得られたものであるか否かを検査する仮照合部を備え、前記仮照合部の検査の結果が同一人物である場合に、前記生体情報仮格納部に格納された生体情報を、前記生体情報格納部にコピーまたは移動する。
【0023】
本構成によって不正な固定画像が格納されることがなくなり、固定ID導出による匿名性の喪失を防止することが出来る。
【0024】
さらに本発明の人物認証装置は、人物から採取された画像を電子情報に変換し、さらに前記生体認証オブジェクトが復号可能な状態に暗号化を施した暗号化生体情報を取得する暗号化生体情報取得手段と、前記暗号化生体情報の正当性を検証する暗号化生体情報検証手段を備え、前記生体認証オブジェクト実行手段が前記暗号化生体情報を復元する生体情報復元部を備える。
【0025】
本構成によって、画像からなる生体情報も秘匿化されるため、より高度な匿名性が得られる。
【0026】
さらに本発明の人物認証装置は、前記生体認証オブジェクトが少なくともその一部に解読困難な物理構造もしくは論理構造を有する耐タンパモジュールを含み、前記生体テンプレートを前記耐タンパモジュールの内部に含む。
【0027】
本構成によって、生体テンプレートの不正な読み出し、解読が困難となり、より高度な匿名性が得られる。
【0028】
さらに本発明の人物認証装置は、保持する電子データの解読を困難とする物理構造もしくは論理構造を有する耐タンパモジュールを備え、前期生体認証オブジェクト保持手段と、前記生体認証オブジェクトの実体である電子データを読み取り、不可逆な変換を行うダイジェスト生成手段とを、前記耐タンパモジュール内に備える。
【0029】
本構成によって、生体テンプレート、生体情報、照合プログラム全体が不正な読み出し、解読から保護され、より高度な匿名性が得られる。
【0030】
さらに本発明の人物認証装置は、暗号化された生体認証オブジェクトを受信する暗号化生体認証オブジェクト受信手段と、保持する電子データの解読を困難とする物理構造もしくは論理構造を有する耐タンパモジュールとを備え、前記耐タンパモジュール内部に前記暗号化された生体認証オブジェクトを復号化する生体認証オブジェクト復号化手段を備え、前記暗号化生体認証オブジェクト受信手段から得た前記暗号化された生体認証オブジェクトが有する電子データを用いて、前記ID生成手段が人物を一意に識別するIDを生成する。
【0031】
本構成によって、暗号化された生体認証オブジェクトからIDが生成され、匿名性を高めると同時に生成されたIDの信頼性を高めることが出来る。
【発明の効果】
【0032】
本発明の人物認証装置によれば、生体認証による確実な本人確認を、匿名性を確保した上で実現できる効果を得ることができる。
【発明を実施するための最良の形態】
【0033】
以下本発明の実施の形態について、図面を参照しながら説明する。
【0034】
(実施の形態1)
図1は、本発明の実施の形態1における人物認証装置の構成図である。
【0035】
図1において、人物認証装置101は、生体認証オブジェクト受信手段102と、生体認証オブジェクト保持手段103と、ID生成手段106を備える。
【0036】
生体認証オブジェクト保持手段103は内部に生体認証オブジェクト104を保持し、生体認証オブジェクト104は内部に生体テンプレート105、生体情報106、照合プログラム107を含む。
【0037】
好適な例では、生体認証オブジェクト受信手段101は、他の装置から電気、電子的な信号を受け取り電子データを得る通信機であり、生体認証オブジェクト保持手段は電子データを格納し読み出すことが可能なRAM(Random Access Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等のメモリである。ID生成手段108は、人物認証装置101のハードウェア資源を利用して情報処理を行う情報処理機である。情報処理機はHDDやROM(Read Only Memory)に書き込まれたプログラムコードをCPU(Central Processing Unit)が解釈実行する形態であっても良い。
【0038】
生体認証オブジェクト104は、内部にデータとプログラムを含む電子データである。
【0039】
図2は、生体認証を行う際の基本的な入力データである生体情報の例を示したものである。図2において、201は認証対象人物の顔画像であり、カメラを用いて撮像する。
【0040】
202は、認証対象人物の顔画像2の一部を拡大したものである。撮像された顔画像からなる生体情報は、全ての領域で拡大図202に示すように縦横に格子状となった白黒情報、濃淡情報、もしくは色情報を持つ画素から構成される。
【0041】
顔画像を例とする生体情報は、生体認証オブジェクト104内部で生体情報106として保持される。
【0042】
なお、この例では生体情報として認証対象人物の顔をカメラで撮像した画像データを用いたが、他に指紋画像、虹彩画像、静脈パターンの画像など、認証対象人物を他の人物と識別し得る画像であっても良い。また、撮像はカメラに限定されるものではなく、距離センサ、静電容量センサなど物体の形状を得る装置により行っても良い。
【0043】
図3は、生体認証を行う際に本人を本人と識別するため予め作成しておく参照データである生体テンプレートの例を示した図である。
【0044】
図3において、301は生体テンプレートを構成する1番目の要素、302は2番目の要素、303は3番目の要素である。304は最後の要素であり、要素の数がnであればn番目の要素になる。
【0045】
生体テンプレートはn個の要素からなるベクトルデータであり、各要素は生体テンプレート作成時に認証対象人物から得た生体情報をもとに生成されるものである。
【0046】
生体情報から生体テンプレートを生成する方法の例としては、認証対象人物の認証対象部位(指紋、顔など)の画像を得て、特徴とする要素、例えば指紋であれば模様の分岐点や端点、顔であれば輪郭形状や目鼻の位置を画像処理によって抽出し、抽出されたデータ群を連結したものを生体テンプレートとする方法がある。
【0047】
その際、特徴とする要素の抽出方法及び抽出されたデータの連結方法は認証対象人物によらず同一にすることにより、任意の人物の生体テンプレートは同次元のベクトルデータとして生成される。
【0048】
前記ベクトルデータは、生体認証オブジェクト104内部で生体テンプレート105として保持される。
【0049】
照合プログラム107は、対象人物から再度顔画像を取得し、上記と同等の方法を用いて特徴要素を抽出し、得られたベクトルデータと予め生成しておいた生体テンプレートとを比較照合するプログラムコードである。比較照合方法の例としては、2つのベクトルの内積もしくは距離を測る方法がある。
【0050】
照合プログラム107は汎用的な計算機もしくは計算機上で動作する仮想計算機(バーチャルマシン;Virtual Machine)によって読み込まれ、解釈実行される。人物認証装置101は照合プログラム107を解釈実行するハードウェアを有する。
【0051】
図4は、照合プログラム107を解釈実行する人物認証装置101の動作フローの一例を示した図である。
【0052】
まず、新規の生体情報を取得し、生体情報106に格納する(ステップ401)。次に、生体情報106を読み出し(ステップ402)、特徴抽出を行う(ステップ403)。特徴抽出の結果は生体テンプレート105と同次元のベクトルデータとなる。
【0053】
続いて生体テンプレート105を読み出し(ステップ404)、前記特徴抽出の結果とベクトル同士の内積計算、距離計算等の所定の演算により照合を行う(ステップ405)。
【0054】
前記生体テンプレート105、生体情報106、及び照合プログラム107を含む生体認証オブジェクト104は、ひと塊の電子データとして当該装置内に存在する。
【0055】
ID生成手段108は、前記生体認証オブジェクト104を電子データとして読み込み、認証対象人物を識別するためのIDを生成する。IDの生成方法はSHA−1(Secure Hash Algorithm 1)、MD5(Message Digest 5)等、公知のハッシュアルゴリズムを用いる方法があるが、同一の電子データから同一のIDが生成され、かつ異なる電子データから実用上区別し得る個別のIDを生成することが可能なアルゴリズムであれば良く、特定の方法に限定されるものではない。
【0056】
生体情報106は、カメラ等の撮影装置から得るデジタル画像である。このため、撮影時の被写体の微妙な位置や向きの違い、背景の違い、光源状態の違い等、様々な変動要因に影響される。また、デジタル画像を得る際に含まれるノイズも、必ずしも一様とは言えない。このため、生体画像106は生成の度に異なる揺らぎを含んだデータとなり、意図して全く同一のデータを得る事は極めて困難と言える。
【0057】
従って、生体情報106を含む生体認証オブジェクト104は揺らぎを含み、生体認証オブジェクト104を基に生成されるIDにも揺らぎが含まれる。さらに、生体認証オブジェクト104内において、生体情報106は生体テンプレート105と比較してデータサイズが大きく、前記IDに含まれる揺らぎによって、生体テンプレート105の一意性を隠蔽することが可能となる。前記一意性の隠蔽によって匿名性の確保が成される。
【0058】
なお、データの揺らぎを得るために乱数を含ませる手法も考えられるが、一般に計算機上で生成される乱数は計算処理に基づいて生成される擬似乱数である。さらに、乱数発生器が不正を行った場合、容易に揺らぎを消失させることが可能である。
【0059】
その点、カメラ画像が得る揺らぎは真正乱数であり、不正により揺らぎを消失させることは困難である。
【0060】
以上実施の形態1によれば、同一人物であっても撮像されるたびに内容が異なる生体画像を含む電子データからIDを得るため、IDが特定個人と永続的に結びつく可能性が低い、匿名性のあるID獲得の効果が得られる。
【0061】
(実施の形態2)
図5は、本発明の実施の形態2における人物認証装置の構成図である。
【0062】
図5において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0063】
図5において、人物認証装置501は、生体情報取得手段502、生体認証オブジェクト実行手段503、ID認証手段507を備える。
【0064】
生体認証オブジェクト実行手段503は、生体認証オブジェクト104を実行する過程において使用する計算機と記憶装置を有し、内部に生体テンプレート格納部504、生体情報格納部505、及び照合部506を備える。
【0065】
生体情報取得手段502は認証対象人物の顔画像など、生体情報を取得する機器である。直接撮像を行うカメラ等を一体に備えても良いし、カメラ等は別の装置に備え、生体情報のみを取得しても良い。
【0066】
生体認証オブジェクト実行手段503は計算機もしくは仮想マシンである。
【0067】
生体テンプレート格納部504と生体情報格納部505は、生体認証オブジェクト実行手段503内に存在するデータ格納領域である。
【0068】
照合部506は、生体認証オブジェクト実行手段503内で生体テンプレートと生体情報の照合、即ち両者が同一の人物から得られたものであるか否かを判定する計算処理部である。
【0069】
ID認証手段507は、当該IDを用いている人物が正当であるか否かを判定する情報処理機である。
【0070】
人物認証装置501は、ある時点と別の時点における認証対象人物の同一性を検証するものである。好適な使用例としては、テーマパーク等の施設において、入場時に人物の登録を行い、施設利用時に登録された人物と同一であれば利用を許可する。あるいは、料金前払いの会員サービスで、入会時に人物の登録を行い、サービス利用時に同一人物であることを確認する使用法が挙げられる。
【0071】
図6は、人物認証装置501が生体認証オブジェクトからIDを生成する動作フローを示した図である。また、図7は認証対象人物であるユーザAから、人物認証装置501が受け取る生体認証オブジェクトの構造例を示した図である。
【0072】
生体認証オブジェクト受信手段502は、ユーザAから生体認証オブジェクト701を受け取る(ステップ601)。生体認証オブジェクト701はユーザAが所持するコンピュータ、携帯電話、メモリカードなどの記憶装置に保持された状態でユーザAが携帯しているものとする。もしくは、計算機ネットワーク上に備えられた記憶装置から遠隔取得しても良い。
【0073】
図7において、ユーザAの生体テンプレート702は前記ユーザの生体特徴から得た生体テンプレートであり、ユーザAの生体情報703が前記ユーザから得たものであれば両者の照合は成功、即ち同一人物から得られたものであると判別される。照合プログラム704が前記の照合を行う。
【0074】
登録時には、ユーザA自身のユーザAの生体情報703は、ユーザA自身が取得したものであることが望ましい。即ち、ユーザ側の機器が持つカメラ等の画像取得手段により、ユーザの顔画像、指紋画像、掌紋画像などの生体情報を取り込み、ユーザAの生体情報703として生体認証オブジェクト701に格納する。カメラ等から得た画像は、撮像時の被写体の状態、光源、背景等の変動要因により、同一の人物を撮像した場合であっても得られるデータは通常同一でない。従ってユーザA管理下の機器で生体情報703を得ることにより、人物認証装置501が持つ生体情報取得手段502は前記と同一の生体情報を得ることが出来ない。
【0075】
ユーザAは、登録された自身の権利に基づきサービスを利用する際には、前記ユーザA自身が取得した生体情報703を含む生体認証オブジェクト701を提示することで登録時と同一人物であると主張できる。また、ユーザAが改めて生体情報を取得し直し、取得し直した生体情報を格納した生体認証オブジェクトを用いて、ユーザA’として登録を行った場合には、人物認証装置501はユーザAとユーザA’が同一人物であることを認識できず、匿名性が確保される。
【0076】
次に、ID生成手段108は、前記生体認証オブジェクト701のハッシュ値を計算し(ステップ602)、前記ハッシュ値からユーザAの人物識別のためのIDを得る(ステップ603)。ハッシュ値の計算は実施の形態1に示した方法で良い。
【0077】
次に、ID生成手段108は、生成した前記ユーザAのIDが既に登録済みであるか否かを調べ(ステップ604)、登録済みであれば既存IDを利用するID利用処理を行い(ステップ605)、登録済みでなければID登録処理を行う(ステップ606)。
【0078】
ID利用処理、ID登録処理ともに、ユーザAが正しい人物であることを認証する必要がある。以下にその手順を示す。
【0079】
図8は、人物認証装置501が生体認証オブジェクトからIDを認証する動作フローを示した図である。
【0080】
生体情報取得手段502は、ユーザAから生体情報を取得し(ステップ801)。生体認証オブジェクト701内にユーザAの生体情報703として格納する(ステップ802)。
【0081】
次に照合プログラム704が、ユーザAの生体テンプレート702と、前記ユーザAの生体情報703を照合する(ステップ803)。照合の方法は図4に示したものと同じで良い。
【0082】
次に、照合が成功したか否かを判定し(ステップ804)、成功であればID利用もしくは登録処理を許可し(ステップ805)、失敗であればID利用もしくは登録処理を中止する(ステップ806)。
【0083】
ID登録を許可されたユーザAは、登録済みIDを用いてサービスを受ける際、登録時に使用したものと同じ生体認証オブジェクト701を人物認証装置501に送信する。人物認証装置501は、上記のID認証処理により認証対象人物が、ID登録時と同一人物であるユーザAか否かを確認することが出来、別人物によるなり済ましを防ぐことが出来る。
【0084】
例えば、ユーザAがID登録時に使用した生体認証オブジェクトと同一のものを、ユーザAとは別人物であるユーザBが使用しようとした場合、前記ステップ805により不正なユーザであることが判定される。
【0085】
また、ユーザBが登録時からユーザAに成りすます意図を持ち、ユーザAの生体テンプレートを保持した生体認証オブジェクトを使用してID登録を行おうとした場合、同じく前記ステップ805により不正であることが判定され、登録は行われない。
【0086】
上記のようにして、ユーザA以外の人物に提供サービスを搾取されることが防止される。
【0087】
さらに、ユーザAは生体認証オブジェクト71に新たな生体情報703を格納して他の人物認証装置501に送信することにより、人物認証装置501は以前のものとは異なる、別のIDとしてユーザAを登録する事になる。同じユーザAに対してであってもIDが異なれば両者の結びつきは得られず、個人の行動履歴が暴露される恐れはない。
【0088】
以上実施の形態2によれば、ある人物に割り当てたIDが、以降に同一人物のみが使用できることが保証され、なおかつ別の時点では同一人物に対して別のIDが割り当てられ、ID間の独立性が保たれることにより、匿名性を確保する効果が得られる。
【0089】
なお、前記ステップ601の代わりとして、ユーザAがID登録を行う際、前記ステップ802で生体情報を新たに格納した生体認証オブジェクトを用いてIDを生成しても良い。この場合、生体情報を新たに格納した生体認証オブジェクトをユーザAに返却し、ユーザAは次回以降のID利用時に前記返却された生体認証オブジェクトを人物認証装置501に提示する。
【0090】
これにより、人物認証装置501は、自身が管理する生体情報取得手段を用いた得たユーザAの生体情報を用いてID生成が行えるため、生体特徴に基づいた信頼性の高いID管理が可能となる効果が得られる。
【0091】
(実施の形態3)
図9は、本発明の実施の形態3における人物認証装置の構成図である。
【0092】
図9において、図5と同じ構成要素については同じ符号を用い、説明を省略する。
【0093】
図9において、人物認証装置901は、生体認証オブジェクト503内に生体情報仮格納部902と、仮照合部903を備える。これらは生体認証オブジェクト104にプログラムとデータ領域を付加することにより実現される。
【0094】
図10は、生体情報格納の動作フローを示した図である。
【0095】
生体情報取得手段502はユーザから生体情報を取得し、生体情報オブジェクト実行手段に渡す(ステップ1001)。
【0096】
生体認証オブジェクト実行手段503は、生体情報取得手段502から受け取った生体情報を生体情報仮格納部902に格納する(ステップ1002)。
【0097】
次に仮照合部903が生体情報格納部902に格納された生体情報と、生体テンプレート格納部504に格納された生体テンプレートを仮照合する(ステップ1003)。仮照合の方法は図4に示したものと同じで良い。
【0098】
次に照合に成功したか否かを判定し(ステップ1004)、照合に成功した場合は生体情報を生体情報格納部505に生体情報を格納し(ステップ1005)、失敗した場合は生体情報格納処理を中止する(ステップ1006)。
【0099】
以上実施の形態3によれば、生体テンプレートと合致しない不正な生体情報を生体認証オブジェクトが受け入れることを防止できる。これにより、固定の画像を格納された状態でIDを生成され、匿名性が損なわれることを防止する効果が得られる。
【0100】
つまり、仮に人物認証装置を設計もしくは運用する者が不正を働き、取得した生体認証オブジェクトに、ユーザが取得した生体情報と称して固定された画像(もしくは内容が全て同一値で埋められた固定データ)を渡し、生体認証オブジェクトがこれを受け取ってしまった場合、生体認証オブジェクトから得られるIDは揺らぎを持たない生体テンプレートのみによって決定されてしまい、匿名性が喪失される。本実施の形態3によれば、前記の不正行為による匿名性の喪失を未然に防ぐことが可能となる。
【0101】
なお、匿名性の喪失を防ぐための生体情報の別の確認方法として、生体情報仮格納部902が格納されたデータが生体から取得したデータであるか否かを、生体認証オブジェクト実行手段503が調べる方法を採っても良い。具体的には、例えば顔認証であれば、生体情報仮格納部902に格納されたデータを公知の画像分析手法に基づき、人間の顔であるか否かを判定する。人間の顔であると判定された場合のみ、生体情報仮格納部902に格納されたデータを生体情報格納部505に格納する。
【0102】
あるいは、生体情報仮格納部902に格納されたデータの作成装置の署名と、作成日時を調べ、生体情報を取得する正当な装置が、最近(例えば過去1分以内など)に作成したデータであるか否かを判定し、最近作成された生体情報である事が確認できた場合のみ、生体情報仮格納部902に格納されたデータを生体情報格納部505に格納しても良い。
【0103】
なお、匿名性の喪失を防ぐための生体情報のさらに別の確認方法として、生体情報仮格納部902が格納されたデータの履歴を生体認証オブジェクト実行手段503が保持し、過去に保持されたデータと同一のデータでない事が確認された場合のみ、生体情報仮格納部902に格納されたデータを生体情報格納部505に格納しても良い。
【0104】
(実施の形態4)
図11は、本発明の実施の形態4における人物認証装置の構成図である。
【0105】
図11において、図5と同じ構成要素については同じ符号を用い、説明を省略する。
【0106】
図11において、人物認証装置1101は、暗号化生体情報取得手段1102、暗号化生体情報検証手段1103を備え、さらに生体認証オブジェクト実行手段503内に生体情報復号部1104を備える。
【0107】
図12は、暗号化された生体情報を格納する際の動作フローを示した図である。
【0108】
暗号化生体情報取得手段は1102は、カメラなどの撮像機を持つ他の装置から、暗号化された生体情報を取得する(ステップ1201)。
【0109】
次に暗号化生体情報検証手段1103は、前記暗号化された生体情報が正当なものであることを検証する(ステップ1202)。検証方法の例としては、生体情報を撮像した装置が、前記暗号化された生体情報に電子署名を付加し、暗号化生体情報検証手段1103が電子署名を検証する方法がある。電子署名の具体例としては、公開鍵暗号を用いた方法が公知である。また、撮像した生体情報の信憑性を向上させるため、生体情報がいつ撮像されたものであるかを示す時刻署名を含んでも良い。
【0110】
生体認証オブジェクト実行手段503内にある生体情報復号部1104は、前記暗号化された生体情報を復号し(ステップ1203)、生体情報格納部505に格納する(ステップ1204)。
【0111】
以上実施の形態4によれば、撮像を行った装置と、生体認証オブジェクト実行手段503以外は生体情報の内容を知ることが出来ない。これにより、生体テンプレートだけでなく、撮像した顔画像などの生体情報も秘匿した状態で認証を行うことが出来、匿名性をより向上させる効果が得られる。
【0112】
(実施の形態5)
図13は、本発明の実施の形態5における人物認証装置の構成図である。
【0113】
図13において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0114】
図13において、人物認証装置1301は、生体認証オブジェクト104内の生体テンプレート105を保護する耐タンパ(Tamper Resistant)モジュール1302を備える。
【0115】
耐タンパモジュールの実現方法は、物理的に不正な読み出し、改ざんを防ぐ耐タンパチップを用いる方法がある。耐タンパチップはICカード製品等に採用される公知の技術であり、この中に格納された生体テンプレートを不正に読み出すことは困難となる。
【0116】
耐タンパモジュールの別の実現方法は、暗号技術、難読化技術を応用したソフトウェア耐タンパである。生体テンプレートを難読化することにより、不正に読み出すことが困難となる。
【0117】
また、生体テンプレートの一部を耐タンパチップに格納し、残りをソフトウェア耐タンパで保護したり、生体テンプレートを暗号化し、復号鍵を耐タンパチップに格納する複合的な方法により耐タンパモジュールを実現しても良い。
【0118】
以上実施の形態5によれば、生体テンプレートの不正な読み出し、解読が困難となり、匿名性をより向上させる効果が得られる。
【0119】
(実施の形態6)
図14は、本発明の実施の形態6における人物認証装置の構成図である。
【0120】
図14において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0121】
図14において、人物認証装置1401は、ダイジェスト生成手段1403を備え、さらに生体認証オブジェクト104と、前記ダイジェスト生成手段1403を保護する耐タンパモジュール1402を備える。
【0122】
耐タンパモジュール1402内に生体認証オブジェクト104を保持し、不正な読み出し、解読を防止する。
【0123】
耐タンパモジュール1402は、ICカード製品等に用いられる対タンパチップ、もしくは耐タンパチップとメモリ装置の組み合わせで実現すれば良い。
【0124】
ダイジェスト生成手段1403は耐タンパモジュール1402の内部に設けられ、生体認証オブジェクト保持手段103から生体認証オブジェクト104を読み出し、一方向変換によりダイジェストを生成する演算装置である。
【0125】
一方向変換には公知のダイジェスト生成技術を用い、生成したダイジェストから元の生体認証オブジェクト104のデータ内容が得られないようにする。ダイジェスト生成技術の例としては、前述したSHA−1、MD5等のハッシュアルゴリズムを用いたもの挙げられる。
【0126】
ID生成手段1404は、前記ダイジェスト生成手段1403が生成したダイジェストを読み取り、認証対象人物を識別するIDを生成する演算装置である。
【0127】
IDを生成する演算は、生成される各ダイジェストから対応IDを一意に得る方法であれば良い。最も単純な例は前記ダイジェストをそのままIDとして用いる方法である。
【0128】
以上実施の形態6によれば、生体テンプレート105、生体情報106、照合プログラム107を全て耐タンパモジュールで保護した上で、生体認証オブジェクト104からIDが生成される。対タンパモジュール1402の外に現れるダイジェストからは元の生体認証オブジェクト104は復元できないため、生体テンプレート105に関わる機密性を高めることが可能となり、より高度な匿名性を確保する効果が得られる。
【0129】
(実施の形態7)
図15は、本発明の実施の形態7における人物認証装置の構成図である。
【0130】
図15において、図1と同じ構成要素については同じ符号を用い、説明を省略する。
【0131】
図15において、人物認証装置1501は、暗号化生体認証オブジェクト受信手段1502、耐タンパモジュール1503を備え、さらに耐タンパモジュール1503内に生体認証オブジェクト復号手段1504を備える。
【0132】
耐タンパモジュール1503の構成は、耐タンパモジュール1402と同様である。
【0133】
暗号化生体認証オブジェクト受信手段1502は他の機器から暗号化された生体認証オブジェクトを受け取り、耐タンパモジュール1503内の生体認証オブジェクト復号手段1504に渡す。
【0134】
生体認証オブジェクト復号手段1504は、前記暗号化された生体認証オブジェクトを復号化し、生体認証オブジェクト保持手段103に渡す。
【0135】
ID生成手段108は、暗号化生体認証オブジェクト受信手段1502から前記暗号化された生体認証オブジェクトの電子データを受け取り、IDを生成する。
【0136】
以上実施の形態7によれば、生体認証オブジェクト104を耐タンパモジュール外で強固に保護することが可能となり、機密性、匿名性を高める効果が得られる。
【産業上の利用可能性】
【0137】
本発明にかかるユーザ認証補助装置、及びユーザ認証主装置は、生体特徴を用いたユーザ認証に関わる汎用性を有し、両装置を計算機ネットワーク上の複数地点で用いる電子決済、コンテンツ配布、アクセス制御システムの他、両装置を近接した状態を用いる現金自動預払機、入退室管理装置、コンピュータやコンソールへのアクセス許可システム等に応用できる。
【図面の簡単な説明】
【0138】
【図1】本発明の実施の形態1における人物認証装置の構成図
【図2】生体情報の例を示した図
【図3】生体テンプレートの例を示した図
【図4】照合プログラムの動作フローを示した図
【図5】本発明の実施の形態2における人物認証装置の構成図
【図6】ID生成の動作フローを示した図
【図7】生体認証オブジェクトの構造例を示した図
【図8】ID認証の動作フローを示した図
【図9】本発明の実施の形態3における人物認証装置の構成図
【図10】生体情報格納の動作フローを示した図
【図11】本発明の実施の形態4における人物認証装置の構成図
【図12】暗号化された生体情報格納の動作フローを示した図
【図13】本発明の実施の形態5における人物認証装置の構成図
【図14】本発明の実施の形態6における人物認証装置の構成図
【図15】本発明の実施の形態7における人物認証装置の構成図
【図16】従来の人物認証装置の構成図
【図17】従来の人物認証装置の構成図
【符号の説明】
【0139】
1 従来の人物認証装置
2 生体情報取得手段
3 識別ID生成ルール記憶手段
4 識別ID生成手段
5 従来の人物認証装置
6 生体情報取得手段
7 認証中継手段
8 生体情報データベース
9 被認証者
10 認証者
101 人物認証装置
102 生体認証オブジェクト受信手段
103 生体認証オブジェクト保持手段
104 生体認証オブジェクト
105 生体テンプレート
106 生体情報
107 照合プログラム
108 ID生成手段
201 認証対象人物の顔画像
202 認証対象人物の顔画像の一部を拡大したもの
301〜304 生体テンプレートの要素データ
401〜405 照合プログラムの動作フローの各ステップ
501 人物認証装置
502 生体情報取得手段
503 生体認証オブジェクト実行手段
504 生体テンプレート格納部
505 生体情報格納部
506 照合部
601〜606 ID生成の動作フローの各ステップ
701 生体認証オブジェクト
702 ユーザAの生体テンプレート
703 ユーザAの生体情報
704 照合プログラム
801〜806 ID認証の動作フローの各ステップ
507 ID認証手段
901 人物認証装置
902 生体情報仮格納部
903 仮照合部
1001〜1006 生体情報格納の動作フローの各ステップ
1101 人物認証装置
1102 暗号化生体情報取得手段
1103 暗号化生体情報検証手段
1104 生体情報復号部
1201〜1204 暗号化された生体情報格納の動作フローの各ステップ
1301 人物認証装置
1302 耐タンパモジュール
1401 人物認証装置
1402 耐タンパモジュール
1403 ダイジェスト生成手段
1404 ID生成手段
1501 人物認証装置
1502 暗号化生体認証オブジェクト受信手段
1503 耐タンパモジュール
1504 生体認証オブジェクト復号手段
【特許請求の範囲】
【請求項1】
人物の生体特徴を電子情報に変換した生体テンプレートと、人物から採取した画像を電子情報に変換した生体情報と、前記生体テンプレートと前記生体情報が同一人物から得られたものであるか否かを検査するプログラムを一つの電子データに集合させた生体認証オブジェクトを他の装置から受信する生体認証オブジェクト受信手段と、
前記生体認証オブジェクトを保持する生体認証オブジェクト保持手段と、
前記生体認証オブジェクトを所定の計算規則に基づき変換し、前記変換の結果から前記人物を一意に識別するIDを生成するID生成手段と、
を備えた人物認証装置。
【請求項2】
生体情報を取得する生体情報取得手段と、前記生体認証オブジェクトを解釈実行する計算機である生体認証オブジェクト実行手段と、前記ID生成手段が得たIDが有効か否かを判定するID認証手段とを備え、
前記生体認証オブジェクト実行手段は生体テンプレートを格納する生体テンプレート格納部と、生体情報を格納する生体情報格納部と、生体テンプレートと生体情報が同一人物から得られたものであるか否かを検査する照合部とを備え、
前記照合部の検査結果が同一人物であれば、前記ID認証手段がIDを有効と判定することを特徴とする、
請求項1に記載の人物認証装置。
【請求項3】
前記生体認証オブジェクト実行手段が、前記生体情報取得手段が得た生体情報を前記生体情報格納部に格納するより前に仮に格納する生体情報仮格納部と、前記生体情報仮格納部に格納された生体情報と、前記生体テンプレート格納部に格納された生体テンプレートが同一人物から得られたものであるか否かを検査する仮照合部を備え、
前記仮照合部の検査の結果が同一人物である場合に、前記生体認証オブジェクト実行手段が、前記生体情報仮格納部に格納された生体情報を、前記生体情報格納部にコピーまたは移動することを特徴とする、
請求項2に記載の人物認証装置。
【請求項4】
人物から採取された画像を電子情報に変換し、さらに前記生体認証オブジェクトが復号可能な状態に暗号化を施した暗号化生体情報を取得する暗号化生体情報取得手段と、
前記暗号化生体情報の正当性を検証する暗号化生体情報検証手段を備え、
前記生体認証オブジェクト実行手段が前記暗号化生体情報を復元する生体情報復元部を備えることを特徴とする、
請求項2に記載の人物認証装置。
【請求項5】
前記生体認証オブジェクトが少なくともその一部に解読困難な物理構造もしくは論理構造を有する耐タンパモジュールを含み、前記生体テンプレートが前記耐タンパモジュールの内部に含まれることを特徴とする、
請求項1に記載の人物認証装置。
【請求項6】
保持する電子データの解読を困難とする物理構造もしくは論理構造を有する耐タンパモジュールを備え、前記生体認証オブジェクト保持手段と、前記生体認証オブジェクトの実体である電子データを読み取り、不可逆な変換を行うダイジェスト生成手段とを、前記耐タンパモジュール内に備えることを特徴とする、
請求項1に記載の人物認証装置。
【請求項7】
暗号化された生体認証オブジェクトを受信する暗号化生体認証オブジェクト受信手段と、
保持する電子データの解読を困難とする物理構造もしくは論理構造を有する耐タンパモジュールとを備え、
前記耐タンパモジュール内部に前記暗号化された生体認証オブジェクトを復号化する生体認証オブジェクト復号化手段を備え、
前記暗号化生体認証オブジェクト受信手段から得た前記暗号化された生体認証オブジェクトが有する電子データを用いて、前記ID生成手段が人物を一意に識別するIDを生成することを特徴とする、
請求項1に記載の人物認証装置。
【請求項1】
人物の生体特徴を電子情報に変換した生体テンプレートと、人物から採取した画像を電子情報に変換した生体情報と、前記生体テンプレートと前記生体情報が同一人物から得られたものであるか否かを検査するプログラムを一つの電子データに集合させた生体認証オブジェクトを他の装置から受信する生体認証オブジェクト受信手段と、
前記生体認証オブジェクトを保持する生体認証オブジェクト保持手段と、
前記生体認証オブジェクトを所定の計算規則に基づき変換し、前記変換の結果から前記人物を一意に識別するIDを生成するID生成手段と、
を備えた人物認証装置。
【請求項2】
生体情報を取得する生体情報取得手段と、前記生体認証オブジェクトを解釈実行する計算機である生体認証オブジェクト実行手段と、前記ID生成手段が得たIDが有効か否かを判定するID認証手段とを備え、
前記生体認証オブジェクト実行手段は生体テンプレートを格納する生体テンプレート格納部と、生体情報を格納する生体情報格納部と、生体テンプレートと生体情報が同一人物から得られたものであるか否かを検査する照合部とを備え、
前記照合部の検査結果が同一人物であれば、前記ID認証手段がIDを有効と判定することを特徴とする、
請求項1に記載の人物認証装置。
【請求項3】
前記生体認証オブジェクト実行手段が、前記生体情報取得手段が得た生体情報を前記生体情報格納部に格納するより前に仮に格納する生体情報仮格納部と、前記生体情報仮格納部に格納された生体情報と、前記生体テンプレート格納部に格納された生体テンプレートが同一人物から得られたものであるか否かを検査する仮照合部を備え、
前記仮照合部の検査の結果が同一人物である場合に、前記生体認証オブジェクト実行手段が、前記生体情報仮格納部に格納された生体情報を、前記生体情報格納部にコピーまたは移動することを特徴とする、
請求項2に記載の人物認証装置。
【請求項4】
人物から採取された画像を電子情報に変換し、さらに前記生体認証オブジェクトが復号可能な状態に暗号化を施した暗号化生体情報を取得する暗号化生体情報取得手段と、
前記暗号化生体情報の正当性を検証する暗号化生体情報検証手段を備え、
前記生体認証オブジェクト実行手段が前記暗号化生体情報を復元する生体情報復元部を備えることを特徴とする、
請求項2に記載の人物認証装置。
【請求項5】
前記生体認証オブジェクトが少なくともその一部に解読困難な物理構造もしくは論理構造を有する耐タンパモジュールを含み、前記生体テンプレートが前記耐タンパモジュールの内部に含まれることを特徴とする、
請求項1に記載の人物認証装置。
【請求項6】
保持する電子データの解読を困難とする物理構造もしくは論理構造を有する耐タンパモジュールを備え、前記生体認証オブジェクト保持手段と、前記生体認証オブジェクトの実体である電子データを読み取り、不可逆な変換を行うダイジェスト生成手段とを、前記耐タンパモジュール内に備えることを特徴とする、
請求項1に記載の人物認証装置。
【請求項7】
暗号化された生体認証オブジェクトを受信する暗号化生体認証オブジェクト受信手段と、
保持する電子データの解読を困難とする物理構造もしくは論理構造を有する耐タンパモジュールとを備え、
前記耐タンパモジュール内部に前記暗号化された生体認証オブジェクトを復号化する生体認証オブジェクト復号化手段を備え、
前記暗号化生体認証オブジェクト受信手段から得た前記暗号化された生体認証オブジェクトが有する電子データを用いて、前記ID生成手段が人物を一意に識別するIDを生成することを特徴とする、
請求項1に記載の人物認証装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2006−350683(P2006−350683A)
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願番号】特願2005−175952(P2005−175952)
【出願日】平成17年6月16日(2005.6.16)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願日】平成17年6月16日(2005.6.16)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]