半導体素子および認証装置、認証システム
【課題】利便性を保ちつつ、セキュリティの高い半導体素子および認証装置を提供する。
【解決手段】半導体素子は、認証装置との間で通信可能な通信部101と、利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、無線通信装置を識別する識別情報を登録する第2のメモリと、生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリを格納するメモリ102と、生体認証処理を行う演算処理部103とを備える。半導体素子は、認証装置から生体情報と識別情報を受信すると、第1のメモリに登録された生体登録情報と受信した生体情報を用いて演算処理部103により生体認証処理を行う。演算処理部103は、生体認証処理に失敗した場合に、受信した識別情報が第2のメモリに登録されているか否かに応じて、第3のメモリに記憶された残り試行回数の減算を制御する。
【解決手段】半導体素子は、認証装置との間で通信可能な通信部101と、利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、無線通信装置を識別する識別情報を登録する第2のメモリと、生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリを格納するメモリ102と、生体認証処理を行う演算処理部103とを備える。半導体素子は、認証装置から生体情報と識別情報を受信すると、第1のメモリに登録された生体登録情報と受信した生体情報を用いて演算処理部103により生体認証処理を行う。演算処理部103は、生体認証処理に失敗した場合に、受信した識別情報が第2のメモリに登録されているか否かに応じて、第3のメモリに記憶された残り試行回数の減算を制御する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、生体認証を行う技術に関する。
【背景技術】
【0002】
従来、コンピュータ等の情報機器を利用し、金融取引や入退室管理を行う場合の本人確認の手段としては、暗証番号やパスワード等の本人のみ知り得る情報を確認することが一般的であった。しかし、この従来の本人確認方法には、暗証番号やパスワードが他人に盗まれてしまった場合に、なりすましが容易であるという欠点がある。そこで、近年、指紋や虹彩あるいは指静脈といった、他人が盗むのが困難であると共に各個人で異なっている生体情報を利用した生体認証が注目されている。
【0003】
例えば、特許文献1には、予め本人の生体情報をICカードに記録し、センサを用いて取得された生体情報が入力されると、ICカード内に記録された生体情報と入力された生体情報との照合を行い、本人か否かを確認することが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2001−344213号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
生体情報を用いた生体認証では、暗証番号やパスワードを用いた認証と異なり、予めICカード等に保存された生体情報(以下、生体登録データと呼ぶ)と、本人確認時に生体情報センサを用いて取得された生体情報(以下、生体照合データと呼ぶ)が完全に一致するか否かに基づいた二値的な判定を行うことはできず、生体登録データと生体照合データの類似度や不一致度を特定のアルゴリズムを用いて計算し、計算結果を予め設定した所定の基準値(閾値)と比較することで判定を行う。しかし、このように閾値により判定を行う場合であっても、例えば外乱等の原因により、生体情報センサで生体情報を正しく取得できず、利用者本人であっても生体認証に失敗してしまう可能性がある。
【0006】
このような問題に対して、試行回数の上限を設け、生体認証に失敗した場合であっても最大試行回数未満であれば再度の試行を許可し、生体認証の失敗が最大試行回数以上になった場合にICカードを閉鎖する、という解決方法が考えられる。しかし、最大試行回数の値が小さいと、不正利用されていなくてもICカードがすぐに閉塞してしまう可能性があり、利便性が著しく低下する。一方、最大試行回数の値を大きくすると、ICカードがなかなか閉塞しなくなるため、盗難や紛失時における不正利用のリスクを高めてしまう。このように、最適な最大試行回数の値を設定するのは難しいという問題がある。
【0007】
そこで、本発明は、利便性を保ちつつ、セキュリティの高い半導体素子および認証装置、認証システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明にかかる認証システムは、半導体素子と認証装置を有する。半導体素子は、認証装置との間で通信可能な通信部と、利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、無線通信装置を識別する識別情報を登録する第2のメモリと、生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリと、生体認証処理を行う演算処理部とを備える。認証装置は、利用者の生体情報を取得する生体情報センサと、半導体素子との間で通信可能な第1の通信部と、無線通信装置を識別する識別情報を受信する第2の通信部とを備える。半導体素子は、認証装置から生体情報と識別情報を受信すると、第1のメモリに登録された生体登録情報と受信した生体情報を用いて演算処理部により生体認証処理を行う。演算処理部は、生体認証処理に失敗した場合に、受信した識別情報が第2のメモリに登録されているか否かに応じて、第3のメモリに記憶された残り試行回数の減算を制御する。
【発明の効果】
【0009】
本発明によれば、利便性を保ちつつ、セキュリティの高い半導体素子および認証装置、認証システムを提供することができる。
【図面の簡単な説明】
【0010】
【図1】本人確認を行うための生体認証システムの構成例である。
【図2】ID番号リストの一例である。
【図3】ID登録テーブルの一例である。
【図4】ICチップと本人確認端末の間で行われる生体認証処理フローの一例である。
【図5】本人確認を行うための生体認証システムの構成である。
【図6】本人確認を行うための生体認証システムの構成である。
【図7】本人確認を行うための生体認証システムの構成である。
【図8】暗号化されたID番号をICチップに送信する処理フローの一例である。
【発明を実施するための形態】
【0011】
図1は、本人確認を行うための生体認証システムの構成例を示す図である。
【0012】
ICカード10は、利用者の指紋パターンや静脈パターンなどの生体情報に関するデータである生体情報データを格納し、生体認証を行う半導体素子(以下ICチップと称する)100を有している。なお、図1の例ではICチップ100がICカード10に搭載されているが、これに限定するものではなく、携帯電話等の携帯端末に搭載されていても良い。
【0013】
本人確認端末200は、利用者の生体情報を取得し、ICチップ100と通信することにより生体認証を行う認証装置である。なお、本人確認端末200は、生体認証を行う専用装置に限らず、ATM(自動現金預け入れ支払機)等の金融取引端末や、利用者が所有する携帯電話等の携帯端末や、入退出やネットワーク利用のアクセス管理を行う端末などに、機能の一部として搭載され、これら端末を利用する際の本人確認を実行するものであっても良い。
【0014】
無線タグ300A, 300B, 300Cは、任意の物品に貼付することが可能な小型の無線通信モジュールであり、ID番号を格納している。これら無線タグは、例えば利用者が所有している物品や周辺の建物や設置物に貼付されているものとする。なお、図1の例では3個の無線タグが用いられているが、任意の数の無線タグを用いても良い。
【0015】
通知サーバー500は、ネットワーク400を介して本人確認端末200と接続したり、電子メールなどにより通知を行ったりするコンピュータである。通知サーバー500は、例えば、ICチップ100と本人確認端末200を用いた生体認証処理が第三者によって不正に実行されたことを、利用者に通知する。
【0016】
次に、ICチップ100の内部構成について説明する。通信部101は本人認証端末200等の装置と通信する機能を有し、例えば国際標準規格であるISO/IEC 7816で規定されている接触通信やISO/IEC14443で規定されている非接触通信が用いられる。メモリ102は、プログラムやデータを格納する機能を有し、ROM(Read Only Memory)、 EEPROM(Electrical Erasable Programmable Read Only Memory)等の不揮発性半導体メモリ、あるいはRAM(Random Access Memory) 等の揮発性半導体メモリから構成される。演算処理103はICチップ100全体の制御を司る。例えば、通信部101により制御コマンドを受信すると、演算処理部103は、メモリ102に格納しているプログラムに基づいて、受信した制御コマンドに応じた処理を行い、対応するレスポンスを通信部101経由で外部に送信する処理を実行する。
【0017】
次に、本人確認端末200の内部構成について説明する。ICチップ通信部201はICチップ100と通信する機能を有し、例えば国際標準規格であるISO/IEC 7816で規定されている接触通信やISO/IEC14443で規定されている非接触通信が用いられる。メモリ202は、本人確認端末200が保持する端末制御プログラム211と端末制御データ212を格納しており、ハードディスクや半導体メモリ等から構成される。演算処理部207は本人確認端末200全体の制御を司る。例えば、メモリ202に格納されているプログラムに基づいて、演算処理部207はICチップ100を用いた生体認証処理を実施する。
【0018】
無線タグ読取り部203は、無線タグ300A等と無線通信を行い、無線タグが保持しているID番号を読取る機能を有し、例えば国際標準規格であるISO/IEC 18000で規定されている無線タグ通信方式が用いられる。無線タグ読取り部203は、例えば、ID番号取得要求を無線で外部に所定期間あるいは所定回数送信し、ID番号取得要求を受信した無線タグからID番号を含む応答データを受信することにより、ID番号の読取りを行う。無線タグ読取り部203により読取られたID番号は演算処理部207に入力され、演算処理部207によりID番号を示すID番号リストが作成される。
【0019】
ネットワーク通信部204は、ネットワーク400に有線あるいは無線経由で接続する機能を有し、例えば電話やインターネット等の公衆回線網、有線LAN、無線LAN、携帯電話用の無線通信等が用いられる。生体情報センサ205は、指紋パターンや指静脈パターンなど、利用者の生体情報を読取る機能を有する。生体情報センサ205により取得された生体情報は生体照合データとして出力される。ユーザインタフェース部206は、本人確認端末200の利用者に対して、画像や文字等の視覚情報あるいは音声情報を提示するための出力機能と、利用者が必要な情報を入力することを可能にする入力機能を有する。出力機能は例えば液晶ディスプレイやスピーカにより構成され、入力機能は例えばキーボードやタッチパネルより構成される。
【0020】
次に、無線タグの詳細について、無線タグ300Aを例に説明する。アンテナ301Aは、本人確認端末200との間で電波を送受信する。RF回路302Aは、アンテナ301Aで受信した電波を復調してデジタル信号を取り出したり、デジタル信号を変調して無線出力したりするための回路である。また、RF回路302Aは、無線タグ300Aを駆動するための電力を、アンテナ301Aで受信した電波から得る機能を有する。制御回路303Aは、RF回路302Aにより復調されたデジタル信号から制御コマンドを復号化し、対応する制御を行う。例えば、制御コマンドがID番号取得要求コマンドである場合には、ID番号を読み出し、ID番号をデジタル信号に符号化して、RF回路302Aに出力するように制御する。メモリ304Aは、ROM(Read Only Memory)、 EEPROM(Electrical Erasable Programmable Read Only Memory)等の不揮発性半導体メモリ、あるいはRAM(Random Access Memory) 等の揮発性半導体メモリから構成される。制御回路303Aにより、メモリ304Aへのデータの読み書きが行われる。メモリ304Aには、例えば、無線タグ300Aの識別情報であるID番号311Aが保存されている。
【0021】
次に、ICチップ100のメモリ102に格納しているプログラムとデータについて説明する。
【0022】
生体認証プログラム111は、ICチップ100を用いた生体認証処理を実行するために使用されるアプリケーションプログラムである。生体登録データ112は、予めICチップ100に登録された利用者本人の生体情報である。
【0023】
残り試行回数データ113は、ICチップ100で実行する生体認証処理の失敗をあと何回許すかを表すデータである。残り試行回数データ113として例えば10回など所定の値(初期値)を設定し、演算処理部103は、生体認証処理が失敗するたびに値を減算し、もし値が0となった場合は、以降の生体認証処理を実行不可にする。
【0024】
ID番号リスト114は、図2に示すように無線タグのID番号を示すリストであり、生体認証を行う際に本人確認端末200から送信されたものである。本例では、3個の無線タグのID番号を本人確認端末200から受信した場合を示している。ID番号リスト114は、ICチップ100で生体認証を行う際に一時的にメモリ102に保存され、新たにID番号を本人確認端末200から受信した場合に上書き、あるいは所定時間経過した場合に消去する。また、本人確認端末200によりID番号リストを作成しているが、本人確認端末200からID番号を送信し、ICチップ100の演算処理部103でID番号リストを作成するようにしても良い。 ID登録テーブル115は、生体認証が成功した場合に、ID番号リスト114に記憶されているID番号を登録するテーブルであり、生体認証が成功した場合に本人確認端末200が読取った無線タグのID番号を示している。図3にID登録テーブル115の一例を示す。図3に示すID登録テーブル115では、ID番号120の他に、ID登録回数121及びID登録カウンタ122を対応づけて記憶している。
【0025】
ID登録回数121は、対応するID番号が何回登録されたかを表すものである。このように、ID登録回数121をID番号120と対応づけて記憶することにより、そのID番号が繰り返し取得されているかどうかを識別することができる。例えば、登録回数が多いID番号が検出された場合には、そのID番号は利用者が保持している物や利用者が繰り返し訪れている場所から検出されたものであるため、本人である可能性が高いと考えられる。
【0026】
ID登録カウンタ122は、ID登録テーブル115に新たな無線タグのID番号を登録あるいは既登録の無線タグのID登録回数を更新したのべ回数を示したものである。図3の例では、ID番号「0x2222」と「0x3333」のID登録カウンタは「0x0060」であり、他のID番号のID登録カウンタよりも多くなっており、他のID番号よりも最近更新されたものであることを示している。また、最新ののべ回数は、ID登録カウンタ116に記憶される。なお、のべ回数の代わりに、ID番号を登録あるいはID登録回数を更新したときの日付や日時をID登録カウンタ116、122に記憶するようにしても良い。このように、そのID番号が登録あるいは更新された時期を示す情報を記憶すること、登録されているID番号が最近も取得されているものなのか、だいぶ前に取得されたものであり最近は取得されていないものであるかを識別することができる。例えば、最後に取得されてから所定以上経過したID番号はID登録テーブル115から削除するようにしても良い。
【0027】
利用者通知アドレス117は、ICチップ100に生体情報を登録した利用者の連絡先を示す情報である。例えば、利用者の電子メールアドレスや、利用者が登録しているサーバーのIPアドレスなどが登録される。
【0028】
なお、図示していないが、メモリ102には、生体認証プログラム111以外に、例えばクレジット決済等の金融取引を行うプログラムなど、他のアプリケーションプログラムを格納していても良い。また、メモリ102には、実行するアプリケーションプログラムの管理を行うICチップ用オペレーティングシステムを格納することが望ましい。ICチップ用オペレーティングシステムとしては、例えばMULTOSやJava(登録商標) Cardを用いることが考えられる。
【0029】
次に、ICチップ100と本人確認端末200の間で行われる生体認証処理の一例を、図4を用いて説明する。以下の処理は、メモリ102およびメモリ202に格納されたプログラムに基づき、演算処理部103および演算処理部207によりそれぞれ実行される。
【0030】
ICチップ100が搭載されたICカード10が本人確認端末200に挿入されたり、所定の位置に設置されたりすると、本人確認端末200はICチップ100との間で通信の初期化処理を行う(ステップS1)。ステップS1の初期化処理では、例えば、メモリ102に格納される生体認証プログラム111の起動処理、ICチップ100と本人確認端末200の間の機器認証処理、通信路を流れるデータを暗号化するために用いる鍵データの共有処理などを行う。
【0031】
本人確認端末200は、ICチップ100の通信初期化処理を完了すると、無線タグ読取り部203により周辺にある無線タグのID番号を取得し、演算処理部207により生成されたID番号リストをICチップ100に送信する(ステップS2)。ここで、例えばID番号取得要求を所定時間あるいは所定回数送信してもID番号を含む応答データを受信しないなど、無線タグ読取り部203がID番号の読取りを行うことができなかった場合には、ステップS4に移行する。なお、この際に、ID番号の読取りができなかったことを示すデータをICチップ100に送信するようにしても良い。また、ID番号の読取りができない場合とは、利用者の所持品などが近くにない場合であり、不正利用である可能性がある。そのため、ICチップ100は、ID番号読取り不可を示すデータを受信した場合に、残り試行回数を所定数減らすように制御するようにしても良い。このように制御することにより、セキュリティを向上することができる。
【0032】
ICチップ100は、本人確認端末200からID番号リストを受信すると、メモリ102にID番号リスト114として保存する(ステップS3)。
【0033】
本人確認端末200は、ID番号リストをICチップ100に送信した後、あるいはID番号の読取りができなかった場合に、生体情報センサ205を用いて利用者の生体情報を取得し、取得した生体情報を生体照合データとしてICチップ100に送信する(ステップS4)。
【0034】
なお、図4の例では、ID番号リストをICチップ100に送信した後に生体照合データを送付しているがこれに限定するものではなく、ID番号リストとともに生体照合データを送付しても良いし、生体照合データを送付した後にID番号リストを送付するようにしても良い。
【0035】
ICチップ100は、本人確認端末200から生体照合データを受信すると、残り試行回数データ113の値を判定し(ステップS5)、残り試行回数データ113の値が0ならば、生体認証処理の実行は不可であるとしてステップS17に進み、所定のエラー処理を実施後、生体認証処理の実行は不可である事を表す情報を本人確認端末200に送信する。一方、残り試行回数データ113が0より大きければ、生体認証処理の実行は可能であるとしてステップS6に進む。
【0036】
ステップS6において、ICチップ100は、メモリ102に予め保持されている生体登録データ112と、本人確認端末200から送信された生体照合データを、所定のアルゴリズムを用いて比較し、不一致度を計算する。次にICチップ100は、ステップS6で計算された不一致度を所定の閾値と比較する(ステップS7)。不一致度が所定の閾値より小さい場合は生体認証の成功とし、閾値以上の場合は生体認証の失敗とする。なお、本例では、生体登録データ112と生体照合データの不一致度を計算しているが、一致度を計算しても良い。この場合、一致度が所定の閾値より大きければ生体認証は成功となり、一致度が所定の閾値以下であれば生体認証は失敗とする。
【0037】
ICチップ100は、ステップS7の判定処理の結果、生体認証に成功したら、残り試行回数データ113を初期値に戻す(ステップS8)。なお、初期値に戻さずに、残り試行回数データ113が初期値を越えない範囲で、所定の値だけ加算するようにしても良い。次にICチップ100は、ID登録カウンタ116の値を加算し(ステップS9)、メモリ102に一時保存したID番号リスト114に含まれる全てのID番号をID登録テーブル115のID番号120に登録し、ID登録回数121およびID登録カウンタ122を更新する(ステップS10)。なお、ID番号リスト114にID番号が含まれていない場合は、ID登録テーブル115への登録処理は実施しない。
【0038】
ステップS10でID登録テーブル115への登録処理が完了すると、メモリ102に一時保存したID番号リスト114を消去する。その後、ICチップ100は、本人確認が成功したことを表す応答を本人確認端末200に送信する(ステップS11)。
【0039】
ICチップ100は、生体認証に失敗すると(ステップS7 NO)、残り試行回数データ113を1減算する(ステップS12)。その後、メモリ102に一時保存したID番号リスト114に含まれるID番号が、ID登録テーブル115に登録されているか否かを確認する(ステップS13)。ステップS13による確認処理が完了したら、メモリ102に一時保存したID番号リスト114を消去しておく。
【0040】
ステップS13の処理の結果、ID番号リスト114に含まれるID番号が、既にID登録テーブル115に登録されている場合、利用者の所持品や、利用者が以前に本人確認を行った場所のID番号を検出したことになるため、なりすましによる不正利用の可能性は低く、利用者本人による生体認証が、外乱など何らかの理由で失敗した可能性が高い。このため、ICチップ100は、残り試行回数データ113をさらに減算することなく、本人確認が失敗した結果を本人確認端末200に返信する(ステップS14)。
【0041】
一方で、ステップS13の処理の結果、ID番号リスト114に含まれるID番号が、ID登録テーブル115に登録されていなければ、利用者の所持品等のID番号が検出されていないため、なりすましによる不正利用の可能性が高いと判断し、ICチップ100は、残り試行回数データ113をさらに所定の値だけ減算する(ステップS15)。これにより、不正使用の可能性が高い場合には、少ない試行回数でICチップ100を用いた生体認証を実施不可能にできる。なお、ステップS15において、残り試行回数データ113を0に設定し、以降の生体認証を実行できないようにしても良い。
【0042】
次に、ICチップ100は、所定のエラー処理を実施後、本人確認が失敗した結果と共に、利用者通知アドレス117を、本人確認端末200に返信する(ステップS16)。本人確認端末200は、ICチップ100から、本人確認が失敗した結果と共に、利用者通知アドレス117を取得すると、不正利用の可能性があることを知らせるメッセージを作成し、送信先として利用者通知アドレス117を指定して、通知サーバー500に送信する(ステップS18)。例えば、利用者通知アドレス117が電子メールアドレスであれば、通知サーバー500は利用者宛に、不正利用の可能性があることを知らせる電子メールを送付する。これにより、利用者にICチップ100が不正利用されていることを、いち早く通知することが可能になり、セキュリティを向上することができる。
【0043】
以上説明にしたように、本例によれば、認証に失敗した場合にID番号がID登録テーブルに登録されているか否かにより、不正使用の可能性が高いか、正当利用の可能性が高いかを判断し、残り試行回数データ113の減算を変化させることができるため、利便性を保ちつつ、セキュリティを向上することができる。
【0044】
なお、図4の例では、S13において、ID番号リスト114のID番号がID登録テーブル115に登録されているか否かのみを判定しているが、これに限定するものではない。例えば、ID番号テーブル115にID番号が登録されている場合であっても、例えば登録回数が1回など、登録回数が少ない場合や、例えば1年以上前に登録回数が更新されたままになっている場合は、利用者が通常訪れている場所とは限らない。そのため、ID番号がID登録テーブル115に登録されている場合であっても、ID登録回数やID登録カウンタに応じて、残り試行回数データ113をさらに減算するようにしても良い。この場合、ID番号が登録されていない場合に比べて、少ない数を減算することが望ましい。
【0045】
なお、図1の例では、ICチップ100はICカード10に搭載されているが、ICチップ100を本人確認端末200に内蔵するように構成しても良い。この場合、本人確認端末200は、図4のステップS1の初期化処理を、電源投入直後に行う本人確認端末200自身の初期化処理の一部として、あるいは本人確認端末200に利用者から生体認証の実施要求が入力された時に実施する。
【0046】
また、ICチップ100と本人確認端末200が別体であるもの限定するものではなく、本人確認端末200として携帯端末などを用いる場合に、例えば図5に示すように、ICチップ100を別に設けずに、生体登録データ112、残り試行回数データ113、ID番号リスト114、ID登録テーブル115、ID登録カウンタ117、利用者通知アドレス117を本人確認端末200のメモリ202に格納するようにしても良い。図5の例の場合、図4の生体認証処理は全て、本人確認端末200の演算処理部207で実行される。
【0047】
なお、後述する図6,7の例においても、図1の例と同様にICチップ100はICカード10に搭載されているが、ICチップ100を本人確認端末200に内蔵するように構成しても良いし、図5に示すように一体化して本人確認端末200内にICチップ100の機能を持たせるようにしても良い。
【0048】
また、以上の例では、不正利用の可能性を判断するために、無線タグから読取ったID番号を用いていたが、これに限定するものではない。例えば、ID番号などの識別情報を送信する無線通信装置として無線タグを用いる代わりに無線基地局を用い、無線基地局からID番号を取得するようにしても良い。例えば図6に示す生体認証システムでは、本人確認端末200に無線通信部220を備え、無線基地局600と無線通信を行うことによりIDを取得する。
【0049】
無線基地局600は、例えば携帯電話の基地局や無線LANのアクセスポイントなど、本人確認端末200と無線通信を行う装置である。無線基地局600は、無線基地局600を識別するためのID番号311を有する。例えば無線基地局600が携帯電話の基地局である場合は基地局IDを、無線基地局600が無線LANのアクセスポイントである場合はSSID(Service Set Identity)やMACアドレス(Media Access Control Address)をID番号として用いる。無線基地局600は、ネットワーク400を介して通知サーバー500と接続されている。
【0050】
なお、図6の例では、図4に示す認証処理のステップS2において、本人確認端末200は、無線通信部220を用いて、無線基地局600のID番号311を取得する。また、ステップS18において、無線基地局600を介して通知メッセージを通知サーバー500に送信する。
【0051】
なお、本人確認端末200に、無線通信部220とともに無線タグ読取り部203を備え、無線基地局のID番号とともに無線タグのID番号を用いて、残り試行回数データを減算するか否かの判定を行うようにしても良い。
また、無線通信装置は、無線タグや無線基地局に限らず、GPS衛星などの他の装置であっても良い。例えば、本人確認端末200にGPS情報取得手段を備え、ID番号の代わり、あるいはID番号に追加して、GPS情報取得手段により取得したGPS情報を残り試行回数データ113の減算を行うか否かの判定に用いるようにしても良い。但し、無線基地局のID番号の取得は、生体認証を行うか否かに関わらず行われているものであるため、無線タグのID番号やGPS情報を用いる場合に比べて少ない消費電力により処理を実行することができる。
【0052】
また、図1の例等に記載のように、無線タグのID番号を送受信する際に、ID番号を暗号化することが望ましい。暗号化することにより、通信路上でのID番号の偽造を防止することができる。暗号処理を行うためには、例えば図7に記載のように、ICチップ100は、暗号処理を行う暗号処理部104を備えるとともに、メモリ102に暗号鍵118を格納する。また、無線タグ300には、暗号処理を行う暗号回路305を備えるとともに、メモリ304に暗号鍵312を格納する。
【0053】
図8は、本人確認端末200が無線タグ300から取得した暗号化されたID番号をICチップ100に送信する処理フローの一例である。このフローは、図4のステップS2およびステップS3で実行されるものである。まず、本人確認端末200は、無線タグ読取り部203を制御して、ID番号取得要求を無線で外部に送信する(ステップS30)。ID番号取得要求を受信した無線タグ300は、ID番号311に改ざん検出用データを付加してから暗号鍵304で暗号化し、暗号化したID番号を出力する(ステップS32)。ここで、ID番号311の暗号化方法は特に限定はしない。たとえば、共通鍵暗号方式であるDES暗号を用いる。また、ID番号が改ざんされていないかどうかを検出するためのチェックコードである改ざん検出用データの生成アルゴリズムについても、特に限定はしない。たとえばCRC (Cyclic Redundancy Check)を用いて改ざん検出用データを生成する。 本人確認端末200は、暗号化されたID番号を受信すると(S31)、取得した全てのID番号を格納したID番号リストをICチップ100に送信する(ステップS33)。
【0054】
ICチップ100は、本人確認端末200からID番号リストを受信すると、ID番号リストに含まれている暗号化されたID番号に対して、暗号鍵118を用いて、復号化処理を行う。そして復号化したID番号に付加されている改ざん検出用データの検証を行う(ステップS34)。ここで、無線タグ300が暗号化したID番号をICチップ100で復号化できるように、暗号鍵312と暗号鍵118の値を予め定めておく。たとえば暗号化方式として共通鍵暗号方式を用いる場合は、暗号鍵312と暗号鍵118を同じ値に設定しておく。また、ICチップ100と無線タグ300の間で、暗号鍵312と暗号鍵118を用いた機器認証とセッション鍵の共有処理を行い、共有したセッション鍵を用いて、ID番号の暗号化と復号化を行っても良い。機器認証とセッション鍵の共有処理に用いるアルゴリズムについては特に限定はしない。
【0055】
ICチップ100は、ステップS34で行う改ざん検出用データの検証処理に成功したID番号のみをID番号リスト114として、メモリ102に保存する(ステップS35)。ここで、ステップS34で行う改ざん検出用データの検証処理に失敗した場合は、不正利用されている可能性が高いため、残り試行回数データ113をさらに所定の値だけ減算する。あるいは残り試行回数データ113を0に設定し、以降の生体認証を実施しないように制御しても良い。
【0056】
このような処理を行うことで、無線タグ300が格納しているID番号を、安全にICチップ100に送信することが可能になり、改ざんされたID番号がID登録テーブル115に登録されることを防止できる。
【符号の説明】
【0057】
10…ICカード、100…ICチップ、200…本人確認端末、300A…無線タグ
400…ネットワーク、500…通知サーバー
【技術分野】
【0001】
本発明は、生体認証を行う技術に関する。
【背景技術】
【0002】
従来、コンピュータ等の情報機器を利用し、金融取引や入退室管理を行う場合の本人確認の手段としては、暗証番号やパスワード等の本人のみ知り得る情報を確認することが一般的であった。しかし、この従来の本人確認方法には、暗証番号やパスワードが他人に盗まれてしまった場合に、なりすましが容易であるという欠点がある。そこで、近年、指紋や虹彩あるいは指静脈といった、他人が盗むのが困難であると共に各個人で異なっている生体情報を利用した生体認証が注目されている。
【0003】
例えば、特許文献1には、予め本人の生体情報をICカードに記録し、センサを用いて取得された生体情報が入力されると、ICカード内に記録された生体情報と入力された生体情報との照合を行い、本人か否かを確認することが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2001−344213号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
生体情報を用いた生体認証では、暗証番号やパスワードを用いた認証と異なり、予めICカード等に保存された生体情報(以下、生体登録データと呼ぶ)と、本人確認時に生体情報センサを用いて取得された生体情報(以下、生体照合データと呼ぶ)が完全に一致するか否かに基づいた二値的な判定を行うことはできず、生体登録データと生体照合データの類似度や不一致度を特定のアルゴリズムを用いて計算し、計算結果を予め設定した所定の基準値(閾値)と比較することで判定を行う。しかし、このように閾値により判定を行う場合であっても、例えば外乱等の原因により、生体情報センサで生体情報を正しく取得できず、利用者本人であっても生体認証に失敗してしまう可能性がある。
【0006】
このような問題に対して、試行回数の上限を設け、生体認証に失敗した場合であっても最大試行回数未満であれば再度の試行を許可し、生体認証の失敗が最大試行回数以上になった場合にICカードを閉鎖する、という解決方法が考えられる。しかし、最大試行回数の値が小さいと、不正利用されていなくてもICカードがすぐに閉塞してしまう可能性があり、利便性が著しく低下する。一方、最大試行回数の値を大きくすると、ICカードがなかなか閉塞しなくなるため、盗難や紛失時における不正利用のリスクを高めてしまう。このように、最適な最大試行回数の値を設定するのは難しいという問題がある。
【0007】
そこで、本発明は、利便性を保ちつつ、セキュリティの高い半導体素子および認証装置、認証システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明にかかる認証システムは、半導体素子と認証装置を有する。半導体素子は、認証装置との間で通信可能な通信部と、利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、無線通信装置を識別する識別情報を登録する第2のメモリと、生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリと、生体認証処理を行う演算処理部とを備える。認証装置は、利用者の生体情報を取得する生体情報センサと、半導体素子との間で通信可能な第1の通信部と、無線通信装置を識別する識別情報を受信する第2の通信部とを備える。半導体素子は、認証装置から生体情報と識別情報を受信すると、第1のメモリに登録された生体登録情報と受信した生体情報を用いて演算処理部により生体認証処理を行う。演算処理部は、生体認証処理に失敗した場合に、受信した識別情報が第2のメモリに登録されているか否かに応じて、第3のメモリに記憶された残り試行回数の減算を制御する。
【発明の効果】
【0009】
本発明によれば、利便性を保ちつつ、セキュリティの高い半導体素子および認証装置、認証システムを提供することができる。
【図面の簡単な説明】
【0010】
【図1】本人確認を行うための生体認証システムの構成例である。
【図2】ID番号リストの一例である。
【図3】ID登録テーブルの一例である。
【図4】ICチップと本人確認端末の間で行われる生体認証処理フローの一例である。
【図5】本人確認を行うための生体認証システムの構成である。
【図6】本人確認を行うための生体認証システムの構成である。
【図7】本人確認を行うための生体認証システムの構成である。
【図8】暗号化されたID番号をICチップに送信する処理フローの一例である。
【発明を実施するための形態】
【0011】
図1は、本人確認を行うための生体認証システムの構成例を示す図である。
【0012】
ICカード10は、利用者の指紋パターンや静脈パターンなどの生体情報に関するデータである生体情報データを格納し、生体認証を行う半導体素子(以下ICチップと称する)100を有している。なお、図1の例ではICチップ100がICカード10に搭載されているが、これに限定するものではなく、携帯電話等の携帯端末に搭載されていても良い。
【0013】
本人確認端末200は、利用者の生体情報を取得し、ICチップ100と通信することにより生体認証を行う認証装置である。なお、本人確認端末200は、生体認証を行う専用装置に限らず、ATM(自動現金預け入れ支払機)等の金融取引端末や、利用者が所有する携帯電話等の携帯端末や、入退出やネットワーク利用のアクセス管理を行う端末などに、機能の一部として搭載され、これら端末を利用する際の本人確認を実行するものであっても良い。
【0014】
無線タグ300A, 300B, 300Cは、任意の物品に貼付することが可能な小型の無線通信モジュールであり、ID番号を格納している。これら無線タグは、例えば利用者が所有している物品や周辺の建物や設置物に貼付されているものとする。なお、図1の例では3個の無線タグが用いられているが、任意の数の無線タグを用いても良い。
【0015】
通知サーバー500は、ネットワーク400を介して本人確認端末200と接続したり、電子メールなどにより通知を行ったりするコンピュータである。通知サーバー500は、例えば、ICチップ100と本人確認端末200を用いた生体認証処理が第三者によって不正に実行されたことを、利用者に通知する。
【0016】
次に、ICチップ100の内部構成について説明する。通信部101は本人認証端末200等の装置と通信する機能を有し、例えば国際標準規格であるISO/IEC 7816で規定されている接触通信やISO/IEC14443で規定されている非接触通信が用いられる。メモリ102は、プログラムやデータを格納する機能を有し、ROM(Read Only Memory)、 EEPROM(Electrical Erasable Programmable Read Only Memory)等の不揮発性半導体メモリ、あるいはRAM(Random Access Memory) 等の揮発性半導体メモリから構成される。演算処理103はICチップ100全体の制御を司る。例えば、通信部101により制御コマンドを受信すると、演算処理部103は、メモリ102に格納しているプログラムに基づいて、受信した制御コマンドに応じた処理を行い、対応するレスポンスを通信部101経由で外部に送信する処理を実行する。
【0017】
次に、本人確認端末200の内部構成について説明する。ICチップ通信部201はICチップ100と通信する機能を有し、例えば国際標準規格であるISO/IEC 7816で規定されている接触通信やISO/IEC14443で規定されている非接触通信が用いられる。メモリ202は、本人確認端末200が保持する端末制御プログラム211と端末制御データ212を格納しており、ハードディスクや半導体メモリ等から構成される。演算処理部207は本人確認端末200全体の制御を司る。例えば、メモリ202に格納されているプログラムに基づいて、演算処理部207はICチップ100を用いた生体認証処理を実施する。
【0018】
無線タグ読取り部203は、無線タグ300A等と無線通信を行い、無線タグが保持しているID番号を読取る機能を有し、例えば国際標準規格であるISO/IEC 18000で規定されている無線タグ通信方式が用いられる。無線タグ読取り部203は、例えば、ID番号取得要求を無線で外部に所定期間あるいは所定回数送信し、ID番号取得要求を受信した無線タグからID番号を含む応答データを受信することにより、ID番号の読取りを行う。無線タグ読取り部203により読取られたID番号は演算処理部207に入力され、演算処理部207によりID番号を示すID番号リストが作成される。
【0019】
ネットワーク通信部204は、ネットワーク400に有線あるいは無線経由で接続する機能を有し、例えば電話やインターネット等の公衆回線網、有線LAN、無線LAN、携帯電話用の無線通信等が用いられる。生体情報センサ205は、指紋パターンや指静脈パターンなど、利用者の生体情報を読取る機能を有する。生体情報センサ205により取得された生体情報は生体照合データとして出力される。ユーザインタフェース部206は、本人確認端末200の利用者に対して、画像や文字等の視覚情報あるいは音声情報を提示するための出力機能と、利用者が必要な情報を入力することを可能にする入力機能を有する。出力機能は例えば液晶ディスプレイやスピーカにより構成され、入力機能は例えばキーボードやタッチパネルより構成される。
【0020】
次に、無線タグの詳細について、無線タグ300Aを例に説明する。アンテナ301Aは、本人確認端末200との間で電波を送受信する。RF回路302Aは、アンテナ301Aで受信した電波を復調してデジタル信号を取り出したり、デジタル信号を変調して無線出力したりするための回路である。また、RF回路302Aは、無線タグ300Aを駆動するための電力を、アンテナ301Aで受信した電波から得る機能を有する。制御回路303Aは、RF回路302Aにより復調されたデジタル信号から制御コマンドを復号化し、対応する制御を行う。例えば、制御コマンドがID番号取得要求コマンドである場合には、ID番号を読み出し、ID番号をデジタル信号に符号化して、RF回路302Aに出力するように制御する。メモリ304Aは、ROM(Read Only Memory)、 EEPROM(Electrical Erasable Programmable Read Only Memory)等の不揮発性半導体メモリ、あるいはRAM(Random Access Memory) 等の揮発性半導体メモリから構成される。制御回路303Aにより、メモリ304Aへのデータの読み書きが行われる。メモリ304Aには、例えば、無線タグ300Aの識別情報であるID番号311Aが保存されている。
【0021】
次に、ICチップ100のメモリ102に格納しているプログラムとデータについて説明する。
【0022】
生体認証プログラム111は、ICチップ100を用いた生体認証処理を実行するために使用されるアプリケーションプログラムである。生体登録データ112は、予めICチップ100に登録された利用者本人の生体情報である。
【0023】
残り試行回数データ113は、ICチップ100で実行する生体認証処理の失敗をあと何回許すかを表すデータである。残り試行回数データ113として例えば10回など所定の値(初期値)を設定し、演算処理部103は、生体認証処理が失敗するたびに値を減算し、もし値が0となった場合は、以降の生体認証処理を実行不可にする。
【0024】
ID番号リスト114は、図2に示すように無線タグのID番号を示すリストであり、生体認証を行う際に本人確認端末200から送信されたものである。本例では、3個の無線タグのID番号を本人確認端末200から受信した場合を示している。ID番号リスト114は、ICチップ100で生体認証を行う際に一時的にメモリ102に保存され、新たにID番号を本人確認端末200から受信した場合に上書き、あるいは所定時間経過した場合に消去する。また、本人確認端末200によりID番号リストを作成しているが、本人確認端末200からID番号を送信し、ICチップ100の演算処理部103でID番号リストを作成するようにしても良い。 ID登録テーブル115は、生体認証が成功した場合に、ID番号リスト114に記憶されているID番号を登録するテーブルであり、生体認証が成功した場合に本人確認端末200が読取った無線タグのID番号を示している。図3にID登録テーブル115の一例を示す。図3に示すID登録テーブル115では、ID番号120の他に、ID登録回数121及びID登録カウンタ122を対応づけて記憶している。
【0025】
ID登録回数121は、対応するID番号が何回登録されたかを表すものである。このように、ID登録回数121をID番号120と対応づけて記憶することにより、そのID番号が繰り返し取得されているかどうかを識別することができる。例えば、登録回数が多いID番号が検出された場合には、そのID番号は利用者が保持している物や利用者が繰り返し訪れている場所から検出されたものであるため、本人である可能性が高いと考えられる。
【0026】
ID登録カウンタ122は、ID登録テーブル115に新たな無線タグのID番号を登録あるいは既登録の無線タグのID登録回数を更新したのべ回数を示したものである。図3の例では、ID番号「0x2222」と「0x3333」のID登録カウンタは「0x0060」であり、他のID番号のID登録カウンタよりも多くなっており、他のID番号よりも最近更新されたものであることを示している。また、最新ののべ回数は、ID登録カウンタ116に記憶される。なお、のべ回数の代わりに、ID番号を登録あるいはID登録回数を更新したときの日付や日時をID登録カウンタ116、122に記憶するようにしても良い。このように、そのID番号が登録あるいは更新された時期を示す情報を記憶すること、登録されているID番号が最近も取得されているものなのか、だいぶ前に取得されたものであり最近は取得されていないものであるかを識別することができる。例えば、最後に取得されてから所定以上経過したID番号はID登録テーブル115から削除するようにしても良い。
【0027】
利用者通知アドレス117は、ICチップ100に生体情報を登録した利用者の連絡先を示す情報である。例えば、利用者の電子メールアドレスや、利用者が登録しているサーバーのIPアドレスなどが登録される。
【0028】
なお、図示していないが、メモリ102には、生体認証プログラム111以外に、例えばクレジット決済等の金融取引を行うプログラムなど、他のアプリケーションプログラムを格納していても良い。また、メモリ102には、実行するアプリケーションプログラムの管理を行うICチップ用オペレーティングシステムを格納することが望ましい。ICチップ用オペレーティングシステムとしては、例えばMULTOSやJava(登録商標) Cardを用いることが考えられる。
【0029】
次に、ICチップ100と本人確認端末200の間で行われる生体認証処理の一例を、図4を用いて説明する。以下の処理は、メモリ102およびメモリ202に格納されたプログラムに基づき、演算処理部103および演算処理部207によりそれぞれ実行される。
【0030】
ICチップ100が搭載されたICカード10が本人確認端末200に挿入されたり、所定の位置に設置されたりすると、本人確認端末200はICチップ100との間で通信の初期化処理を行う(ステップS1)。ステップS1の初期化処理では、例えば、メモリ102に格納される生体認証プログラム111の起動処理、ICチップ100と本人確認端末200の間の機器認証処理、通信路を流れるデータを暗号化するために用いる鍵データの共有処理などを行う。
【0031】
本人確認端末200は、ICチップ100の通信初期化処理を完了すると、無線タグ読取り部203により周辺にある無線タグのID番号を取得し、演算処理部207により生成されたID番号リストをICチップ100に送信する(ステップS2)。ここで、例えばID番号取得要求を所定時間あるいは所定回数送信してもID番号を含む応答データを受信しないなど、無線タグ読取り部203がID番号の読取りを行うことができなかった場合には、ステップS4に移行する。なお、この際に、ID番号の読取りができなかったことを示すデータをICチップ100に送信するようにしても良い。また、ID番号の読取りができない場合とは、利用者の所持品などが近くにない場合であり、不正利用である可能性がある。そのため、ICチップ100は、ID番号読取り不可を示すデータを受信した場合に、残り試行回数を所定数減らすように制御するようにしても良い。このように制御することにより、セキュリティを向上することができる。
【0032】
ICチップ100は、本人確認端末200からID番号リストを受信すると、メモリ102にID番号リスト114として保存する(ステップS3)。
【0033】
本人確認端末200は、ID番号リストをICチップ100に送信した後、あるいはID番号の読取りができなかった場合に、生体情報センサ205を用いて利用者の生体情報を取得し、取得した生体情報を生体照合データとしてICチップ100に送信する(ステップS4)。
【0034】
なお、図4の例では、ID番号リストをICチップ100に送信した後に生体照合データを送付しているがこれに限定するものではなく、ID番号リストとともに生体照合データを送付しても良いし、生体照合データを送付した後にID番号リストを送付するようにしても良い。
【0035】
ICチップ100は、本人確認端末200から生体照合データを受信すると、残り試行回数データ113の値を判定し(ステップS5)、残り試行回数データ113の値が0ならば、生体認証処理の実行は不可であるとしてステップS17に進み、所定のエラー処理を実施後、生体認証処理の実行は不可である事を表す情報を本人確認端末200に送信する。一方、残り試行回数データ113が0より大きければ、生体認証処理の実行は可能であるとしてステップS6に進む。
【0036】
ステップS6において、ICチップ100は、メモリ102に予め保持されている生体登録データ112と、本人確認端末200から送信された生体照合データを、所定のアルゴリズムを用いて比較し、不一致度を計算する。次にICチップ100は、ステップS6で計算された不一致度を所定の閾値と比較する(ステップS7)。不一致度が所定の閾値より小さい場合は生体認証の成功とし、閾値以上の場合は生体認証の失敗とする。なお、本例では、生体登録データ112と生体照合データの不一致度を計算しているが、一致度を計算しても良い。この場合、一致度が所定の閾値より大きければ生体認証は成功となり、一致度が所定の閾値以下であれば生体認証は失敗とする。
【0037】
ICチップ100は、ステップS7の判定処理の結果、生体認証に成功したら、残り試行回数データ113を初期値に戻す(ステップS8)。なお、初期値に戻さずに、残り試行回数データ113が初期値を越えない範囲で、所定の値だけ加算するようにしても良い。次にICチップ100は、ID登録カウンタ116の値を加算し(ステップS9)、メモリ102に一時保存したID番号リスト114に含まれる全てのID番号をID登録テーブル115のID番号120に登録し、ID登録回数121およびID登録カウンタ122を更新する(ステップS10)。なお、ID番号リスト114にID番号が含まれていない場合は、ID登録テーブル115への登録処理は実施しない。
【0038】
ステップS10でID登録テーブル115への登録処理が完了すると、メモリ102に一時保存したID番号リスト114を消去する。その後、ICチップ100は、本人確認が成功したことを表す応答を本人確認端末200に送信する(ステップS11)。
【0039】
ICチップ100は、生体認証に失敗すると(ステップS7 NO)、残り試行回数データ113を1減算する(ステップS12)。その後、メモリ102に一時保存したID番号リスト114に含まれるID番号が、ID登録テーブル115に登録されているか否かを確認する(ステップS13)。ステップS13による確認処理が完了したら、メモリ102に一時保存したID番号リスト114を消去しておく。
【0040】
ステップS13の処理の結果、ID番号リスト114に含まれるID番号が、既にID登録テーブル115に登録されている場合、利用者の所持品や、利用者が以前に本人確認を行った場所のID番号を検出したことになるため、なりすましによる不正利用の可能性は低く、利用者本人による生体認証が、外乱など何らかの理由で失敗した可能性が高い。このため、ICチップ100は、残り試行回数データ113をさらに減算することなく、本人確認が失敗した結果を本人確認端末200に返信する(ステップS14)。
【0041】
一方で、ステップS13の処理の結果、ID番号リスト114に含まれるID番号が、ID登録テーブル115に登録されていなければ、利用者の所持品等のID番号が検出されていないため、なりすましによる不正利用の可能性が高いと判断し、ICチップ100は、残り試行回数データ113をさらに所定の値だけ減算する(ステップS15)。これにより、不正使用の可能性が高い場合には、少ない試行回数でICチップ100を用いた生体認証を実施不可能にできる。なお、ステップS15において、残り試行回数データ113を0に設定し、以降の生体認証を実行できないようにしても良い。
【0042】
次に、ICチップ100は、所定のエラー処理を実施後、本人確認が失敗した結果と共に、利用者通知アドレス117を、本人確認端末200に返信する(ステップS16)。本人確認端末200は、ICチップ100から、本人確認が失敗した結果と共に、利用者通知アドレス117を取得すると、不正利用の可能性があることを知らせるメッセージを作成し、送信先として利用者通知アドレス117を指定して、通知サーバー500に送信する(ステップS18)。例えば、利用者通知アドレス117が電子メールアドレスであれば、通知サーバー500は利用者宛に、不正利用の可能性があることを知らせる電子メールを送付する。これにより、利用者にICチップ100が不正利用されていることを、いち早く通知することが可能になり、セキュリティを向上することができる。
【0043】
以上説明にしたように、本例によれば、認証に失敗した場合にID番号がID登録テーブルに登録されているか否かにより、不正使用の可能性が高いか、正当利用の可能性が高いかを判断し、残り試行回数データ113の減算を変化させることができるため、利便性を保ちつつ、セキュリティを向上することができる。
【0044】
なお、図4の例では、S13において、ID番号リスト114のID番号がID登録テーブル115に登録されているか否かのみを判定しているが、これに限定するものではない。例えば、ID番号テーブル115にID番号が登録されている場合であっても、例えば登録回数が1回など、登録回数が少ない場合や、例えば1年以上前に登録回数が更新されたままになっている場合は、利用者が通常訪れている場所とは限らない。そのため、ID番号がID登録テーブル115に登録されている場合であっても、ID登録回数やID登録カウンタに応じて、残り試行回数データ113をさらに減算するようにしても良い。この場合、ID番号が登録されていない場合に比べて、少ない数を減算することが望ましい。
【0045】
なお、図1の例では、ICチップ100はICカード10に搭載されているが、ICチップ100を本人確認端末200に内蔵するように構成しても良い。この場合、本人確認端末200は、図4のステップS1の初期化処理を、電源投入直後に行う本人確認端末200自身の初期化処理の一部として、あるいは本人確認端末200に利用者から生体認証の実施要求が入力された時に実施する。
【0046】
また、ICチップ100と本人確認端末200が別体であるもの限定するものではなく、本人確認端末200として携帯端末などを用いる場合に、例えば図5に示すように、ICチップ100を別に設けずに、生体登録データ112、残り試行回数データ113、ID番号リスト114、ID登録テーブル115、ID登録カウンタ117、利用者通知アドレス117を本人確認端末200のメモリ202に格納するようにしても良い。図5の例の場合、図4の生体認証処理は全て、本人確認端末200の演算処理部207で実行される。
【0047】
なお、後述する図6,7の例においても、図1の例と同様にICチップ100はICカード10に搭載されているが、ICチップ100を本人確認端末200に内蔵するように構成しても良いし、図5に示すように一体化して本人確認端末200内にICチップ100の機能を持たせるようにしても良い。
【0048】
また、以上の例では、不正利用の可能性を判断するために、無線タグから読取ったID番号を用いていたが、これに限定するものではない。例えば、ID番号などの識別情報を送信する無線通信装置として無線タグを用いる代わりに無線基地局を用い、無線基地局からID番号を取得するようにしても良い。例えば図6に示す生体認証システムでは、本人確認端末200に無線通信部220を備え、無線基地局600と無線通信を行うことによりIDを取得する。
【0049】
無線基地局600は、例えば携帯電話の基地局や無線LANのアクセスポイントなど、本人確認端末200と無線通信を行う装置である。無線基地局600は、無線基地局600を識別するためのID番号311を有する。例えば無線基地局600が携帯電話の基地局である場合は基地局IDを、無線基地局600が無線LANのアクセスポイントである場合はSSID(Service Set Identity)やMACアドレス(Media Access Control Address)をID番号として用いる。無線基地局600は、ネットワーク400を介して通知サーバー500と接続されている。
【0050】
なお、図6の例では、図4に示す認証処理のステップS2において、本人確認端末200は、無線通信部220を用いて、無線基地局600のID番号311を取得する。また、ステップS18において、無線基地局600を介して通知メッセージを通知サーバー500に送信する。
【0051】
なお、本人確認端末200に、無線通信部220とともに無線タグ読取り部203を備え、無線基地局のID番号とともに無線タグのID番号を用いて、残り試行回数データを減算するか否かの判定を行うようにしても良い。
また、無線通信装置は、無線タグや無線基地局に限らず、GPS衛星などの他の装置であっても良い。例えば、本人確認端末200にGPS情報取得手段を備え、ID番号の代わり、あるいはID番号に追加して、GPS情報取得手段により取得したGPS情報を残り試行回数データ113の減算を行うか否かの判定に用いるようにしても良い。但し、無線基地局のID番号の取得は、生体認証を行うか否かに関わらず行われているものであるため、無線タグのID番号やGPS情報を用いる場合に比べて少ない消費電力により処理を実行することができる。
【0052】
また、図1の例等に記載のように、無線タグのID番号を送受信する際に、ID番号を暗号化することが望ましい。暗号化することにより、通信路上でのID番号の偽造を防止することができる。暗号処理を行うためには、例えば図7に記載のように、ICチップ100は、暗号処理を行う暗号処理部104を備えるとともに、メモリ102に暗号鍵118を格納する。また、無線タグ300には、暗号処理を行う暗号回路305を備えるとともに、メモリ304に暗号鍵312を格納する。
【0053】
図8は、本人確認端末200が無線タグ300から取得した暗号化されたID番号をICチップ100に送信する処理フローの一例である。このフローは、図4のステップS2およびステップS3で実行されるものである。まず、本人確認端末200は、無線タグ読取り部203を制御して、ID番号取得要求を無線で外部に送信する(ステップS30)。ID番号取得要求を受信した無線タグ300は、ID番号311に改ざん検出用データを付加してから暗号鍵304で暗号化し、暗号化したID番号を出力する(ステップS32)。ここで、ID番号311の暗号化方法は特に限定はしない。たとえば、共通鍵暗号方式であるDES暗号を用いる。また、ID番号が改ざんされていないかどうかを検出するためのチェックコードである改ざん検出用データの生成アルゴリズムについても、特に限定はしない。たとえばCRC (Cyclic Redundancy Check)を用いて改ざん検出用データを生成する。 本人確認端末200は、暗号化されたID番号を受信すると(S31)、取得した全てのID番号を格納したID番号リストをICチップ100に送信する(ステップS33)。
【0054】
ICチップ100は、本人確認端末200からID番号リストを受信すると、ID番号リストに含まれている暗号化されたID番号に対して、暗号鍵118を用いて、復号化処理を行う。そして復号化したID番号に付加されている改ざん検出用データの検証を行う(ステップS34)。ここで、無線タグ300が暗号化したID番号をICチップ100で復号化できるように、暗号鍵312と暗号鍵118の値を予め定めておく。たとえば暗号化方式として共通鍵暗号方式を用いる場合は、暗号鍵312と暗号鍵118を同じ値に設定しておく。また、ICチップ100と無線タグ300の間で、暗号鍵312と暗号鍵118を用いた機器認証とセッション鍵の共有処理を行い、共有したセッション鍵を用いて、ID番号の暗号化と復号化を行っても良い。機器認証とセッション鍵の共有処理に用いるアルゴリズムについては特に限定はしない。
【0055】
ICチップ100は、ステップS34で行う改ざん検出用データの検証処理に成功したID番号のみをID番号リスト114として、メモリ102に保存する(ステップS35)。ここで、ステップS34で行う改ざん検出用データの検証処理に失敗した場合は、不正利用されている可能性が高いため、残り試行回数データ113をさらに所定の値だけ減算する。あるいは残り試行回数データ113を0に設定し、以降の生体認証を実施しないように制御しても良い。
【0056】
このような処理を行うことで、無線タグ300が格納しているID番号を、安全にICチップ100に送信することが可能になり、改ざんされたID番号がID登録テーブル115に登録されることを防止できる。
【符号の説明】
【0057】
10…ICカード、100…ICチップ、200…本人確認端末、300A…無線タグ
400…ネットワーク、500…通知サーバー
【特許請求の範囲】
【請求項1】
生体認証処理を実行する半導体素子であって、
情報を受信可能な通信部と、
利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、
無線通信装置を識別する識別情報を登録する第2のメモリと、
生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリと、
生体認証処理を行う演算処理部と、を備え、
前記通信部により生体情報および無線通信装置を識別する識別情報を受信し、
前記第1のメモリに登録された前記生体登録情報と前記通信部により受信した生体情報を用いて前記演算処理部により生体認証処理を行い、
前記演算処理部は、前記生体認証処理に失敗した場合に、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第3のメモリに記憶された残り試行回数の減算を制御することを特徴とする半導体素子。
【請求項2】
前記演算処理部により前記生体認証処理に成功した場合、前記通信部により受信した識別情報を前記第2のメモリに登録することを特徴とする請求項1に記載の半導体素子。
【請求項3】
前記演算処理部は、前記生体認証処理に失敗したとき、前記通信部により受信した識別情報が前記第2のメモリに登録されている場合に比べて、前記識別情報が前記第2のメモリに登録されていない場合に前記第3のメモリに記憶された残り試行回数をより多く減算することを特徴とする請求項1に記載の半導体素子。
【請求項4】
前記第2のメモリは、識別情報とともに、前記第2のメモリに前記識別情報を登録または更新を行った回数あるいは時期を示す情報を記憶し、
前記演算処理部は、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かとともに、前記回数あるいは時期を示す情報に応じて、前記第3のメモリに記憶された残り試行回数の減算を制御することを特徴とする請求項1に記載の半導体素子。
【請求項5】
請求項1ないし4のいずれかに記載の半導体素子は、前記利用者へ通知を行うための宛先を示す宛先情報を記憶する第4のメモリを備え、
前記演算処理部は、前記生体認証処理に失敗した場合に、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第4のメモリに記憶された前記宛先情報を前記通信部により出力することを特徴とする半導体素子。
【請求項6】
生体認証処理を実行する半導体素子であって、
情報を受信可能な通信部と、
利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、
無線通信装置を識別する識別情報を登録する第2のメモリと、
前記利用者へ通知を行うための宛先を示す宛先情報を記憶する第4のメモリと、
生体認証処理を行う演算処理部と、を備え、
前記通信部により生体情報および無線通信装置を識別する識別情報を受信し、
前記第1のメモリに登録された前記生体登録情報と前記通信部により受信した生体情報を用いて前記演算処理部により生体認証処理を行い、
前記演算処理部は、前記生体認証処理に失敗した場合に、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第4のメモリに記憶された前記宛先情報を前記通信部により出力することを特徴とする半導体素子。
【請求項7】
生体認証を行う半導体素子と通信を行う認証装置であって、
前記半導体素子と通信を行う第1の通信部と、
利用者の生体情報を取得する生体情報センサと、
無線通信装置と無線で通信して前記無線通信装置を識別する識別情報を受信する第2の通信部と、
ネットワーク経由でメッセージを送信可能なネットワーク通信部と、
前記第1の通信部、前記生体情報センサ、前記第2の通信部及び前記ネットワーク通信部を制御する制御部と、を備え、
前記制御部は、前記第2の通信部を用いて取得された識別情報と、前記生体情報センサを用いて取得された前記生体情報を、前記第1の通信部により前記半導体素子に送信し、
前記第1の通信部が前記半導体素子から生体認証に失敗したことを示す情報と前記利用者へ通知を行うための宛先を示す宛先情報を受信すると、不正利用を検出したことを通知するメッセージを、前記宛先情報を用いて前記ネットワーク通信部から送出するように制御することを特徴とする認証装置。
【請求項8】
前記無線通信装置は無線タグあるいは携帯電話基地局あるいはGPS衛星であることを特徴とする請求項7に記載の認証装置。
【請求項9】
生体認証処理を実行する認証装置であって、
利用者の生体情報を取得する生体情報センサと、
無線通信装置と無線で通信して前記無線通信装置を識別する識別情報を受信する無線通信部と、
前記生体情報センサにより取得された生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、
前記無線通信部により受信した識別情報を登録する第2のメモリと、
生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリと、
生体認証処理を行う演算処理部と、を備え、
前記演算処理部は、前記生体情報センサにより利用者の生体情報が取得されると、取得された生体情報と前記第1のメモリに登録された前記生体登録情報を用いて生体認証処理を行い、前記生体認証処理に失敗した場合に、前記無線通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第3のメモリに記憶された残り試行回数の減算を制御することを特徴とする認証装置。
【請求項10】
半導体素子と認証装置を有する認証システムであって、
前記半導体素子は、前記認証装置との間で通信可能な通信部と、利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、無線通信装置を識別する識別情報を登録する第2のメモリと、生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリと、生体認証処理を行う演算処理部と、を備え、
前記認証装置は、利用者の生体情報を取得する生体情報センサと、前記半導体素子との間で通信可能な第1の通信部と、無線通信装置と無線で通信して前記無線通信装置を識別する識別情報を受信する第2の通信部と、を備え、
前記認証装置は、前記第2の通信部を用いて取得された識別情報と、前記生体情報センサを用いて取得された前記生体情報を、前記第1の通信部により前記半導体素子に送信し、
前記半導体素子は、前記通信部により前記生体情報および前記識別情報を受信すると、前記第1のメモリに登録された前記生体登録情報と前記通信部により受信した生体情報を用いて前記演算処理部により生体認証処理を行い、
前記演算処理部は、前記生体認証処理に失敗した場合に、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第3のメモリに記憶された残り試行回数の減算を制御することを特徴とする認証システム。
【請求項1】
生体認証処理を実行する半導体素子であって、
情報を受信可能な通信部と、
利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、
無線通信装置を識別する識別情報を登録する第2のメモリと、
生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリと、
生体認証処理を行う演算処理部と、を備え、
前記通信部により生体情報および無線通信装置を識別する識別情報を受信し、
前記第1のメモリに登録された前記生体登録情報と前記通信部により受信した生体情報を用いて前記演算処理部により生体認証処理を行い、
前記演算処理部は、前記生体認証処理に失敗した場合に、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第3のメモリに記憶された残り試行回数の減算を制御することを特徴とする半導体素子。
【請求項2】
前記演算処理部により前記生体認証処理に成功した場合、前記通信部により受信した識別情報を前記第2のメモリに登録することを特徴とする請求項1に記載の半導体素子。
【請求項3】
前記演算処理部は、前記生体認証処理に失敗したとき、前記通信部により受信した識別情報が前記第2のメモリに登録されている場合に比べて、前記識別情報が前記第2のメモリに登録されていない場合に前記第3のメモリに記憶された残り試行回数をより多く減算することを特徴とする請求項1に記載の半導体素子。
【請求項4】
前記第2のメモリは、識別情報とともに、前記第2のメモリに前記識別情報を登録または更新を行った回数あるいは時期を示す情報を記憶し、
前記演算処理部は、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かとともに、前記回数あるいは時期を示す情報に応じて、前記第3のメモリに記憶された残り試行回数の減算を制御することを特徴とする請求項1に記載の半導体素子。
【請求項5】
請求項1ないし4のいずれかに記載の半導体素子は、前記利用者へ通知を行うための宛先を示す宛先情報を記憶する第4のメモリを備え、
前記演算処理部は、前記生体認証処理に失敗した場合に、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第4のメモリに記憶された前記宛先情報を前記通信部により出力することを特徴とする半導体素子。
【請求項6】
生体認証処理を実行する半導体素子であって、
情報を受信可能な通信部と、
利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、
無線通信装置を識別する識別情報を登録する第2のメモリと、
前記利用者へ通知を行うための宛先を示す宛先情報を記憶する第4のメモリと、
生体認証処理を行う演算処理部と、を備え、
前記通信部により生体情報および無線通信装置を識別する識別情報を受信し、
前記第1のメモリに登録された前記生体登録情報と前記通信部により受信した生体情報を用いて前記演算処理部により生体認証処理を行い、
前記演算処理部は、前記生体認証処理に失敗した場合に、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第4のメモリに記憶された前記宛先情報を前記通信部により出力することを特徴とする半導体素子。
【請求項7】
生体認証を行う半導体素子と通信を行う認証装置であって、
前記半導体素子と通信を行う第1の通信部と、
利用者の生体情報を取得する生体情報センサと、
無線通信装置と無線で通信して前記無線通信装置を識別する識別情報を受信する第2の通信部と、
ネットワーク経由でメッセージを送信可能なネットワーク通信部と、
前記第1の通信部、前記生体情報センサ、前記第2の通信部及び前記ネットワーク通信部を制御する制御部と、を備え、
前記制御部は、前記第2の通信部を用いて取得された識別情報と、前記生体情報センサを用いて取得された前記生体情報を、前記第1の通信部により前記半導体素子に送信し、
前記第1の通信部が前記半導体素子から生体認証に失敗したことを示す情報と前記利用者へ通知を行うための宛先を示す宛先情報を受信すると、不正利用を検出したことを通知するメッセージを、前記宛先情報を用いて前記ネットワーク通信部から送出するように制御することを特徴とする認証装置。
【請求項8】
前記無線通信装置は無線タグあるいは携帯電話基地局あるいはGPS衛星であることを特徴とする請求項7に記載の認証装置。
【請求項9】
生体認証処理を実行する認証装置であって、
利用者の生体情報を取得する生体情報センサと、
無線通信装置と無線で通信して前記無線通信装置を識別する識別情報を受信する無線通信部と、
前記生体情報センサにより取得された生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、
前記無線通信部により受信した識別情報を登録する第2のメモリと、
生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリと、
生体認証処理を行う演算処理部と、を備え、
前記演算処理部は、前記生体情報センサにより利用者の生体情報が取得されると、取得された生体情報と前記第1のメモリに登録された前記生体登録情報を用いて生体認証処理を行い、前記生体認証処理に失敗した場合に、前記無線通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第3のメモリに記憶された残り試行回数の減算を制御することを特徴とする認証装置。
【請求項10】
半導体素子と認証装置を有する認証システムであって、
前記半導体素子は、前記認証装置との間で通信可能な通信部と、利用者の生体情報に関する情報を生体登録情報として予め登録する第1のメモリと、無線通信装置を識別する識別情報を登録する第2のメモリと、生体認証処理の失敗可能回数を示す残り試行回数情報を記憶する第3のメモリと、生体認証処理を行う演算処理部と、を備え、
前記認証装置は、利用者の生体情報を取得する生体情報センサと、前記半導体素子との間で通信可能な第1の通信部と、無線通信装置と無線で通信して前記無線通信装置を識別する識別情報を受信する第2の通信部と、を備え、
前記認証装置は、前記第2の通信部を用いて取得された識別情報と、前記生体情報センサを用いて取得された前記生体情報を、前記第1の通信部により前記半導体素子に送信し、
前記半導体素子は、前記通信部により前記生体情報および前記識別情報を受信すると、前記第1のメモリに登録された前記生体登録情報と前記通信部により受信した生体情報を用いて前記演算処理部により生体認証処理を行い、
前記演算処理部は、前記生体認証処理に失敗した場合に、前記通信部により受信した識別情報が前記第2のメモリに登録されているか否かに応じて、前記第3のメモリに記憶された残り試行回数の減算を制御することを特徴とする認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−286936(P2010−286936A)
【公開日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願番号】特願2009−138777(P2009−138777)
【出願日】平成21年6月10日(2009.6.10)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願日】平成21年6月10日(2009.6.10)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]