指静脈登録方法、及び、指静脈登録装置
【課題】
生体認証に必要な生体特徴量や認証プログラムが第三者に解析可能な形で流出してしまうことを防止する。
【解決手段】
認証用の生体特徴量をICカードに登録する際には、生体認証装置で生体特徴量を取得して暗号化し、制御コンピュータを介することなく直接ICカード装置に格納する。また、認証時にはICカードに登録されている暗号化生体特徴量を生体認証装置に入力すると共に、生体認証装置内で生体特徴量を抽出して、入力された生体特徴量と照合して認証する。また、認証装置内の生体認証用プログラムを装置が起動していない時は暗号化して格納する。
生体認証に必要な生体特徴量や認証プログラムが第三者に解析可能な形で流出してしまうことを防止する。
【解決手段】
認証用の生体特徴量をICカードに登録する際には、生体認証装置で生体特徴量を取得して暗号化し、制御コンピュータを介することなく直接ICカード装置に格納する。また、認証時にはICカードに登録されている暗号化生体特徴量を生体認証装置に入力すると共に、生体認証装置内で生体特徴量を抽出して、入力された生体特徴量と照合して認証する。また、認証装置内の生体認証用プログラムを装置が起動していない時は暗号化して格納する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は生体情報、例えば、指紋や静脈パターン等を用いた本人確認のための生体認証装置、および、その生体認証に方法関わる。特に、認証装置で取得した生体情報が装置外に出て第三者に悪用されることを防止するために、生体情報の取得処理、並びに、認証処理を認証装置内部で実行する装置、方法に関するものである。
【背景技術】
【0002】
金融機関における預金の引き出しやインターネットを用いた電子商取引においては、他人の成りすましを防ぐために本人確認のための生体認証が極めて重要である。一般的な認証方法として、磁気ストライプを有するカードと暗証番号入力による認証や、カード裏面の署名と商品購入時の署名を照合することによる認証が広く行われている。
しかし、このような従来の個人認証方法にはセキュリティに関する問題点が指摘されている。磁気ストライプを有するキャッシュカードと暗証番号入力の組合せの場合、磁気情報と暗証番号とが第三者に盗難されると容易に預金を引き出すことが可能になる。あるいは、署名の場合は第三者が署名を真似ることで登用されることもありうる。
そこの対策として、磁気ストライプを有するカードに代えてICカードの導入が提案されている。ICカードは、磁気ストライプカードと比較しカードの複製が困難になると共に、内部情報が容易に盗難されないという安全性も確保できるようになる。加えて、カード内部に格納できる情報量を飛躍的に増大できることに着目し、指紋や静脈パターン等の生体情報をICカードに保持し、その照合による生体認証技術として、特許文献1,2がある。
【特許文献1】特開昭61−199162号公報
【特許文献2】特開平10−312459公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述の背景技術によると、例えば、認証する装置から生体情報が外部に出ると、悪意を持った第三者により盗難され悪用される可能性がある。生体情報による個人認証は、暗証番号や署名による認証に比べて安全性が高くなる一方、一度流出してしまうと容易には変更できないという負の側面もある。そのため、生体情報が第三者に容易に利用可能な形で外部に流出しないような仕掛けが特に重要となる。
加えて、生体情報となる生体特徴量の抽出、照合する生体認証プログラムに対するセキュリティ確保も不可欠である。プログラム内部を第三者による解析、改変を防止しなければ、生体認証装置としての効果が失われてしまう恐れがある。その意味で、生体認証装置が接続されている制御装置、例えば、パソコン上に生体認証プログラムが解析可能な状態で存在すると、第三者に処理手順を解析、盗難される可能性が高まる。仮にパソコンではなく生体認証装置内に生体認証プログラムが存在したとしても、外部から容易に解析可能な状態で存在していれば、やはり悪意を持った第三者にその情報を盗難される可能性がある。
また、生体認証装置から出力される生体認証結果が第三者に漏れることも防止する必要がある。生体認証装置が認証受入れした信号を第三者が偽造すると、装置による認証拒絶の場合でも認証装置が接続された制御装置に認証受入れの信号が伝わり、不正な取引が行われる可能性がある。
本発明は上記課題の少なくとも一部を解決するためになされたものである。本発明の第一の目的は個人の生体情報が生体認証装置から第三者が容易に利用可能な形で外部に流出するのを防止することである。本発明の第二の目的は、生体特徴量を抽出したり照合したりする生体認証プログラムを第三者が盗難、改変することを防止することである。本発明の第三の目的は、生体認証装置が出力する生体認証結果の外部の漏れを防止することにある。
【課題を解決するための手段】
【0004】
本発明は、個人の生体情報を用いて本人確認を行うための生体認証装置であって、生体情報を取り込むセンサと、取り込まれたセンサ情報から認証を行うための生体特徴量を抽出する特徴量抽出手段と、抽出された生体特徴量を暗号化するための暗号化手段と、暗号化された生体特徴量を本人確認のための認証用基準データとして生体認証装置外部に出力する手段と、を具備することを特徴とする生体認証装置である。
また、他の好ましい例では、個人の生体情報を用いて本人確認を行うための生体認証装置であって、生体情報を取り込むセンサと、取り込まれたセンサ情報から認証を行うための生体特徴量を抽出する特徴量抽出手段と、抽出された生体特徴量を暗号化するための暗号化手段と、本人確認のための認証用基準データとして暗号化された生体特徴量を、生体認証装置に接続された制御コンピュータを介さずに直接ICカードに出力する手段と、を具備することを特徴とする生体認証装置である。
また、他の好ましい例では、個人の生体情報を用いて本人確認を行うための生体認証装置であって、生体情報を取り込むセンサと、取り込まれたセンサ情報から認証を行うための生体特徴量を抽出する特徴量抽出手段と、認証用基準データとなる生体特徴量を暗号化された形で生体認証装置外部から入力する手段と、前記認証用基準データとなる暗号化された生体特徴量を復号する復号手段と、前記特徴量抽出手段から出力された生体特徴量と、前記復号された認証用基準データとなる生体特徴量を照合する生体特徴量照合手段と、前記生体特徴量照合手段の出力を暗号化する暗号化手段と、前記暗号化された生体特徴量照合手段の出力を装置外部に出力する手段と、を具備することを特徴とする生体認証装置である。
また、他の好ましい例では、個人の生体情報を用いて本人確認を行うための生体認証装置であって、生体情報を取り込むセンサと、取り込まれたセンサ情報から認証を行うための生体特徴量を抽出する特徴量抽出手段と、ICカードに格納された認証用基準データとなる暗号化された生体特徴量を、生体認証装置に接続された制御コンピュータを介さずに、直接ICカードから入力する手段と、前記認証用基準データとなる暗号化された生体特徴量を復号する復号手段と、前記特徴量抽出手段から出力された生体特徴量と、前記復号された認証用基準データとなる生体特徴量を照合する生体特徴量照合手段と、前記生体特徴量照合手段の出力を暗号化する暗号化手段と、前記暗号化された生体特徴量照合手段の出力を装置外部に出力する手段と、を具備することを特徴とする生体認証装置である。
また、他の好ましい例では、前記特徴量抽出手段と前記生体特徴量照合手段は、生体認証装置を起動する前は暗号化された形で装置内に格納され、装置が起動された後に復号されることを特徴とする生体認証装置である。
また、他の好ましい例では、前記特徴量抽出手段と前記生体特徴量照合手段は、生体認証装置が起動する前は、生体認証装置に接続された制御コンピュータと生体認証装置それぞれに分割して格納され、生体認証装置が起動された後に結合復号されて動作可能な状態になることを特徴とする生体認証装置である。
【発明の効果】
【0005】
本発明によれば、悪意を持った第三者が生体情報又は生体特徴量を盗み出すことを防止できる。また、生体認証に関わる生体特徴量抽出処理、生体特徴量の照合処理を行うプログラムの解析、改ざん、取得等を防止できる。また、仮に装置を分解し、解析しても改ざんを防止できる。
【発明を実施するための最良の形態】
【0006】
以下、図1〜8を参照して本発明の実施形態について説明する。
本実施形態では、ICカードを介した金融営業店における営業店窓口端末での生体情報登録処理とATM(現金自動預払機)での生体情報認証処理について説明する。ここで生体情報とは、個人を特定するために有効な生体特徴量であると想定する。
営業店窓口端末における生体特徴量の登録処理では、窓口端末でICカードに個人認証用の暗号化された生体特徴量を登録する。窓口端末にはICカード装置付き生体認証装置が接続されており、登録用の生体特徴量が暗号化されて、窓口端末を経由せずに生体認証装置からICカードに直接転送される。一方、ATM(現金自動預払機)では、ICカードから暗号化された生体特徴量が読み出されて、ATMに接続された生体認証装置に転送され装置内部で認証処理を行う。なお、ICカードに限らずRFIDタグなど、携帯可能な電子的媒体であれば、任意の媒体で良い。
図1は全体システムの構成例である。101は金融営業店であり、勘定系ホストコンピュータ109が設置してあるデータセンタ103とは、広域ネットワーク102を介して接続されている。金融営業店101では、営業店窓口端末105やATM107が営業店内のLAN108で接続されている。営業店窓口端末105にはICカード装置付き生体認証装置104を接続する。同様にATM107には生体認証装置106を接続し、ICカード装置はATM内部に組み込んでいる。
まず、図2、図3、図4を用いて営業店窓口端末105における生体特徴量の登録処理について説明する。図2はICカード装置付生体認証装置104の構成例を示す図である。CPU201は装置のデータ処理を担うプロセッサであり、後述する各種のプログラム、データの制御、処理を司る。周辺装置I/Oデバイス202は、生体認証装置104と営業店窓口端末105を接続するためのインタフェースである。203は生体画像を取得するための照明LEDであり、例えば、指静脈認証であれば指の静脈パターンの取得に好適な近赤外光LEDを用いる。画像センサ204は生体画像を取得するためのセンサであり、CCDなどのデバイスが挙げられ、LED203によって照射された指の静脈パターンを取得する。ICカード装置205は暗号化された登録用生体特徴量をICカードに書き込むための装置である。
主記憶装置207は揮発性メモリ(DRAM等)で構成されており、認証装置の電源が切断されると格納されているデータが消滅する。ここには装置を動作させるための各種プログラムやデータ領域が確保されている。主記憶装置207に記憶されるプログラム、データは後述のフラッシュメモリ217から読み出して記憶する記憶部、記憶手段である。装置全体制御プログラム208はICカード装置205の制御も含めて認証装置104全体を制御するプログラムである。周辺装置I/O制御プログラム209は周辺装置I/Oデバイス202を制御する。
暗号/復号プログラム210は2つの処理を行う。
一つはフラッシュメモリ(以下、不揮発性メモリと言う)217に格納された暗号化認証プログラム219を復号し、211の領域に認証プログラムとして格納することである。
もう一つは、認証プログラム211が生成した登録用の生体特徴量をICカードに書き込む前に暗号化することである。ICカード装置制御プログラム212はICカード装置205を制御するプログラムである。
【0007】
このように、プログラムは各種の機能を有し、また種々の処理を行い、上述の通り、CPU201のハード構成によって制御される。本発明においてはプログラムを中心として説明するが、これら各プログラムの様々な機能、例えば、制御手段、暗号化手段、認証手段、登録手段、照合手段などとも言え、各手段を各部とも表現できることは言うまでもない。
画像バッファ213は画像センサ204で取得した生体画像データ(生データ)を格納するための領域である。生体特徴量214は、画像バッファ213に格納された生体画像データから認証プログラム211によって例えば、静脈パターンのみを抽出して生成された生体特徴量を格納するための領域である。暗号化生体特徴量215は、生体特徴量214のデータを暗号/復号プログラム210によって暗号化されたデータを格納する領域である。215のデータ(暗号化状態の生体特徴量)はICカード装置205を介してICカードに生体登録特徴量として格納される。なお、ICカード装置205と認証装置との間に営業店窓口端末105を接続、介在させる場合でも、認証装置で取得した暗号化状態の生体特徴量を窓口端末105に記憶せずに(残さずに)、ICカード装置205によってICカード内に登録する。暗号鍵216は暗号/復号プログラム210がデータを暗号化したり、復号したりする際に必要な鍵データである。本鍵データは生体認証装置が接続されている営業店窓口端末105やATM107から周辺I/Oデバイスを介して取得することも特徴の一つである。206は認証装置内のプロセッサや各デバイスを接続するバスである。217は認証装置の電源を落としても内容が消去されない不揮発性メモリであり、その内部に暗号化された認証プログラム218が格納されている。認証装置が起動されると、暗号/復号プログラム210が暗号鍵216を用いて暗号化認証プログラム218を復号し、211の領域に格納する。
図3は営業店窓口端末105の構成例を示す図である。窓口端末105は金融機関のカウンタに設置され、オペレータが入金、出金、為替等の処理業務を行うコンピュータであり、加えて生体認証の登録処理も行う端末装置である。
CPU301は端末のデータ処理、各種の制御を担うプロセッサである。LANデバイス302は営業店内のLAN108と端末を接続するためのデバイスであり、LAN108を介して勘定系ホストコンピュータ109に接続されている。周辺装置I/Oデバイス303は、ICカード装置付生体認証装置104とを接続するためのインタフェースである。表示装置304は生体特徴量の登録結果(成功か、失敗かのステータスであって、生体特徴量は含まず)や、顧客の取引情報、取引に必要な項目などを、窓口端末を操作するオペレータに表示するモニタであり、キー入力装置305はオペレータのキー入力装置である。現金処理装置306は端末における現金処理を行うための装置である。主記憶装置308には、各種プログラムやデータが格納されている。309は窓口端末全体を制御する全体制御プログラムであり、310には窓口で行う業務に関する業務アプリケーションプログラムが格納されている。周辺装置I/O制御プログラム311は周辺装置I/Oデバイス303を制御する。生体認証装置制御プログラム312は、周辺装置I/Oデバイス303を介して接続されているICカード装置付生体認証装置104を制御するプログラムである。暗号鍵313はICカード装置付生体認証装置104を起動したり、ICカードに登録する生体特徴量を暗号化するために使用される。307は端末内の各装置をつなぐバスである。
図4を用いてICカード装置付生体認証装置104、ならびに、営業店窓口端末105の動作を説明する。ステップ401、406、407、408は、営業店窓口端末105が出力する指示に基づきICカード装置付生体認証装置104が処理する内容である。
窓口端末105の表示装置304に表示する生体認証登録の項目を入力装置305で選択すると、全体制御プログラム309が生体認証に関する機能を生体認証装置104に展開する。ステップ401では、営業店窓口端末105に格納された生体認証装置制御プログラム312が生体特徴量登録処理の起動信号、ならびに、暗号鍵313をICカード装置付生体認証装置104に送信する。生体認証装置104では、受信した起動信号によりCPU201を中心として起動し、受信した暗号鍵313を装置全体制御プログラム208が216の領域に格納する。その後、装置全体制御プログラム208は暗号/復号プログラム210を起動し、暗号鍵216を用いて不揮発性メモリ217内の暗号化認証プログラム218を復号し、211に格納してプログラムを起動する。そのため次のような耐タンパ性を有している。
上述の通り、不揮発性メモリ217内に暗号化された状態で認証プログラム218を格納し、起動時に主記憶装置207内の211に展開している。生体認証装置に電源が入って正常に動作している場合は、装置外部との通信は暗号鍵216を用いて暗号化されているので、正規に接続された端末でなければ生体認証装置の内部を参照することはできない。そのため、認証プログラム211が主記憶装置207に解析可能な状態で格納されていても、外部からの不正アクセスから保護されている。一方、生体認証装置に電源が入っていない状態では、不揮発性メモリ217にのみ暗号化された認証プログラム218が格納されている。このように、プログラムを暗号化することで第三者が装置を分解して不揮発性メモリ217を解析、その偽造、改ざんが困難になるとの効果がある。
上述の例では不揮発性メモリ217に暗号化認証プログラムを、揮発性メモリ207に復号して展開した認証プログラムを格納、記憶する方式1について説明した。
この他、暗号化認証プログラムを揮発性メモリ217に記憶する方式2と、不揮発性メモリ217内にて暗号化認証プログラム218を展開して認証プログラムを記憶する方式3とが考えられる。ただし、方式2では認証装置の電源断にて暗号化認証プログラムが消去されてしまうことから現実的ではない。また方式3では認証装置が不揮発メモリ217内の復号された認証プログラムを消去する前に認証装置の電源を切断されると、そのまま不揮発メモリ217内に復号されてしまった認証プログラムが残存してしまう。それゆえ、セキュリティの面で適切ではない。
以上から方式1は他の方式2,3に比較して現実的でもあり、安全性の高いものである。なお、本実施例では、認証装置が起動した時に不揮発メモリ217の暗号化認証プログラムが主記憶装置207に復号され、以降認証装置が電源を切断されるまで主記憶装置207に復号された認証プログラムが存在し続ける。更に望ましい例としては、生体特徴量を抽出/認証する度に、暗号化されたプログラムを復号して主記憶装置に展開し、処理が終わると主記憶装置上の認証プログラムを消去する例がある。この場合、装置内で認証プログラムが解析可能(実行可能)な状態で存在する時間がより短くなるので、安全性をさらに高められることが期待できる。
続いて、主記憶装置207に正しく認証プログラム211が復号されて起動すれば、営業店窓口端末105、ならびに、ICカード装置付生体認証装置104は暗号鍵を通じて相互に機器認証を確立する。第三者が生体認証装置を盗難して不正な制御コンピュータに接続したとしても、認証プログラムが起動しないので認証装置を動作させることが不可能である。また、認証プログラムは上述の通り、不揮発性メモリ217にて暗号化されるので、第三者が認証装置を分解して解析したとしても認証プログラムの内容を知ることは極めて困難である。このように起動について説明したが、窓口端末105のシャットダウン、電源断等に基づく認証装置104の終了においては、211に格納した復号化された認証プログラムをクリア(又は不活性化)することでプログラムの解析を困難なものとすることができる。
認証プログラム211は、照明LED203、ならびに、画像センサ204を制御して生体画像の特徴量を取得して画像バッファ213に格納する(402)。その後、認証プログラム211は画像バッファ213に格納された生体画像を読み出し、画像からICカードに登録するための生体特徴量、ならびに、登録特徴量を選択するための特性データを抽出して結果を生体特徴量214に格納する(403)。なお、登録特徴量の選択とは後述のステップ406にて繰り返し登録されるデータから選択することを言う。ここで、特性データとは例えば指静脈認証の場合、指の傾きなど登録に適した生体特徴量を選択するための基準となるデータである。なお、生体特徴量は単に生体情報とも言い、生体認証装置は生体情報を取得する取得手段、取得部を有している。
装置全体制御プログラム208は暗号/復号プログラム210を再度起動する。つまり、上述では認証プログラムの起動、復号化(活性化)の機能を有しているが、次の説明では取得した生体特徴量の暗号化の機能に用いるために再起動する。プログラム210の再起動によって、暗号鍵216により生体特徴量214を暗号化して、結果を暗号化生体特徴量215に格納する(404)。その後、データが流出するのを防ぐために、画像バッファ213、生体特徴量214の領域をメモリクリアする(405)。
営業店窓口端末105は規定回数に達するまでステップ402から405の処理をICカード装置付生体認証装置104に繰り返し実行させ、結果を暗号化生体特徴量215に格納する(406)。そして、営業店窓口端末105からの指示で、認証プログラム211はステップ403で抽出した特性データ(基準データ)を基に、ICカードに登録すべき暗号化登録特徴量を215のデータの中から選択する(407)。
装置全体制御プログラム208は、窓口端末105からの指示の下、ICカード装置制御プログラム212を介して、選択された暗号化登録特徴量をICカード装置205に書き込む(408)。その後、装置内に暗号化登録特徴量が残存するのを防止するため、暗号化生体特徴量215の領域をメモリクリアする(409)。なお、上述では窓口端末105の指示によって各種の処理が行われる例を説明したが、認証装置内部のみでこれらの処理を自動的に行っても良い。また、S409のクリア時にS405のクリアを同時にする例もあるが、上述の406の繰り返し処理前に行うのが良い。つまり、繰り返し実行によってそのデータサイズが大きくなり、結局、画像バッファ213のサイズも大きくする必要があるためである。またS409の暗号化データのクリアに比較して、S405のデータは暗号化されていないデータのため使用後はできるだけ早くクリアした方がセキュリティ向上になるためである。
以上のステップ401から409の処理により、営業店窓口端末105に生体特徴量が出力されることなく、生体認証装置内部で暗号化されてICカードに格納される。
次に、図5、図6、図7、図8を用いてICカード内に格納された生体特徴量を用いてATMにおける認証処理について説明する。ATMとは金融機関に設置され、エンドユーザによって入金、出金、振込処理等を自動的に行い、現金自動取引装置とも言う。ATMの例にて説明するが、利用者の個人認証に用いられる端末、コンピュータに応用可能であり、自動取引装置とも称す。
図5はATM107の構成例を示す図である。CPU501はATMのデータ処理を担い、各種のプログラムの制御やコマンドの発生など種々の処理、制御を行うプロセッサである。LANデバイス502は営業店内のLAN108と端末を接続するためのデバイスであり、LAN108を介して勘定系ホストコンピュータ109に接続されている。周辺装置I/Oデバイス503は、生体認証装置106とを接続するためのインタフェースである。ICカード装置504はATMのカード挿入口に組み込まれており、ATMでは本人確認に用いる生体認証装置106と分離されている。表示装置505は取引情報や生体認証結果を利用者に表示するモニタであり、キー入力装置506は利用者が取引メニューや暗証番号をキー入力するための装置である。現金処理装置507はATMにおける現金処理を行うための装置である。主記憶装置509には、各種プログラムやデータが格納されている。
510はATM全体を制御する全体制御プログラムであり、511にはATM取引で行う業務に関する業務アプリケーションプログラムが格納されている。周辺装置I/O制御プログラム512は周辺装置I/Oデバイス503を制御する。生体認証装置制御プログラム513は、周辺装置I/Oデバイス503を介して接続されている生体認証装置106を制御するプログラムである。暗号/復号プログラム515は暗号鍵516を用いて、生体認証装置106から送信される暗号化された認証結果(生体特徴量は含まない)を復号する。517は生体認証装置106から送信される暗号化された認証結果を格納する領域であり、518は暗号鍵516を用いてそれを復号した結果を格納する領域である。
ATMに接続されている認証用の生体認証装置106の構成例を図6に示す。601から604はそれぞれ図2における201から204と同様の機能を有するため説明を省略する。主記憶装置605には装置を動作させるための各種プログラムやデータ領域が確保されている。装置全体制御プログラム607は生体認証装置全体を制御するプログラムである。608から612は、それぞれ図2における209から211、ならびに、213から214と同様で説明を省略する。613は周辺装置I/Oデバイス602を介して生体認証装置がICカードに登録された暗号化生体登録特徴量をATMから受信して格納するための領域である。生体登録特徴量614は613の暗号化特徴量を暗号/復号プログラム609が暗号鍵617を用いて復号し格納する領域である。照合結果615は生体特徴量612と生体登録特徴量614を認証プログラム610が照合した結果を格納する領域である。暗号化照合結果616は、暗号/復号プログラム609が暗号鍵617を用いて照合結果615を暗号化して格納する領域である。暗号鍵617は生体認証装置が接続されているATM107から取得する。606はプロセッサや各デバイスを接続するバスである。618、619はそれぞれ図2の217、218と同様である。
ここでは、ATMが電源ON、又は起動した時に生体認証装置106も同時に起動されたと仮定する。具体的には、認証装置106は起動時にATM107から暗号鍵を受信して617に格納する。それと同時に、不揮発性メモリ618に格納された暗号化認証プログラム619を、暗号鍵617を用いて復号し主記憶装置605の610に格納されていることを想定している。更に、ATMの正常閉局又は異常時のシャットダウン、電源断によって認証装置106も終了するが、その終了と共に認証プログラム610はクリアされる。これらの認証プログラムの復号化によるATMの制御部と生体認証装置との確立処理などや、不揮発メモリ618と主記憶装置(揮発メモリ)605との構成にした理由については上述の営業店システムの例において説明したので省略する。
図7を用いてATM107ならびに生体認証装置106の動作について説明する。ATMはCPU(制御手段、部)501の指示で、表示装置505に初期画面として預入、支払、振込等の各種項目(メニュー)を表示する。ATMの利用者は表示装置505に表示されている取引メニューから、キー入力装置506を用いて取引項目を選択する(701)。なお、表示装置505とキー入力装置506はタッチパネルであり、単に表示装置(手段、部)とも言う。例えば、ここでは預金の支払取引を選択したと仮定する。その後、表示装置505に表示される「カードを挿入して下さい」とのガイダンスに従い、利用者はICカードをATMのカード挿入口に挿入すると、挿入されたICカードはICカード装置504に取り込まれて内容を読取られる(702)。引き続き、表示部505にはテンキーと共に暗証番号入力のガイダンスを表示し、利用者はガイダンスに従いキー入力装置506を用いて暗証番号を入力する(703)。入力された暗証番号はホスト109に送信され、ホストで照合された結果(正否)を受信する。暗証番号の送信において、暗号鍵516にてデータを暗号化するのが望ましい。暗証番号入力による照合結果が間違いであれば、表示装置505に「もう一度入力してください」とのガイダンスを表示して、暗証番号の再入力を促す。一方、照合結果が正しければ、ICカード内の登録された生体情報を読み出す又は「生体装置に指を置いて下さい」などのガイダンスを表示装置505に表示する。それと共に、ATM内の生体認証装置制御プログラム513の制御、処理が生体認証装置106の装置全体制御プログラム607に移行され、生体認証処理を実行する(704)。このように、暗証認証処理はATM側で実行され、生体認証処理は次に示す生体認証装置側で実行することもセキュリティ向上の一つの特徴でもある。
ステップ704の生体認証処理の詳細について図8、および、図6を用いて説明する。まず、ATM107がICカード内に格納されている暗号化された生体登録特徴量を、ICカード装置504によって読み出して(読出処理)、ダイレクトに生体認証装置106に送信する。つまり、暗号化された生体情報の暗号状態を維持したまま、生体認証装置に送信する処理をATM(制御部)が実行する。このように、ATM107にも暗号鍵516を有しているが、ICカードから読み出した暗号化生体登録特徴量を復号しない。認証装置106はその暗号化された特徴量を受信して、図6における暗号化生体登録特徴量613に格納する(801)。次に、装置全体制御プログラム607は暗号/復号プログラム609を起動し、暗号鍵617を用いて613に格納された暗号データを復号した(復号処理、復号部)後、その結果を生体登録特徴量614に格納する(802)。
ATMの表示装置505に表示されるガイダンスに従い、利用者は生体認証装置106の上に例えば指を置くと、装置106内の認証プログラム610は、照明LED603、ならびに、画像センサ604を制御して生体画像を取得して画像バッファ611に格納する(803)。認証プログラム610は画像バッファ611に格納された生体画像を読み出し、画像から認証用の生体特徴量を抽出して結果を生体特徴量612に格納する(804)。このように、利用者の生体画像、情報、特徴量を取得する機能を単に取得処理(手段、部)とも言う。
次に、認証プログラム610は生体特徴量612と生体登録特徴量614を読み出してそれらの間の距離値を計算し(マッチング、照合処理、部)、距離値が閾値未満であれば照合受入れ、閾値以上であれば照合拒絶として結果を615に格納する。さらに、615には受入れや拒絶といった照合結果に付随して状態コードを合わせて格納する(805)。例えば、照合拒絶の場合、生体を装置に置く位置が悪かったのか、生体を押し付ける力が極端に強くて生体情報が取得できなかったか、等を表すコードを添付する。認証装置はこのコードをATM107に送信し、ATM107が本コードを利用することで、例えば照合拒絶の場合、コードに合わせた生体の置き方等のガイダンスをATM利用者に対して表示することが可能になる。この結果、生体認証のやり方に関する的確なガイダンスができるので、利用者が必要以上に生体認証を繰り返すという煩わしさを低減することが可能になる。
暗号/復号プログラム609は、615に格納した照合結果に対して暗号鍵617を用いて暗号化し結果を616に格納する(806)。その後、外部にデータが流出する可能性を無くすために、装置全体制御プログラム607は611から617に格納されているデータをクリアする(807)。これにより、ATMは生体認証装置106内に残存している生体特徴量を削除する必要がなくなると共に、装置内に残存する生体特徴量が外部に漏洩するのを防止することが可能になる。最後に、220に格納された暗号化照合結果をATMに対して送信する(生体情報自身は含まず)と共に装置内に存在する暗号化照合結果を消去する(808)。もし、認証結果が拒絶の場合、ATMは規定回数に達するまでステップ801から808の処理を繰り返す。以上説明した図7の処理によりステップ704の生体認証処理が完了する。ここで、ステップ808にて照合結果を暗号化したものをATMに送信しているが、その理由は以下の通りである。
認証装置は基本的にATMに対して認証受入れか、認証拒絶かのデータを送信すればよい。しかし、そのデータフォーマットが第三者に漏れると、正規の生体認証装置を外して、認証受入れのデータを常に送信する不正な機器を、ATMに接続する可能性が出てくる。この場合、生体認証を行わずとも認証受入れのデータをATMは受け取るので、生体認証装置の不正防止効果が失われる恐れがあるためである。
ステップ704の生体認証の結果、認証受入れでOKであればステップ706に進み、NGであればステップ710の取引中止に進む(705)。
利用者はキー入力装置506を用いて払戻し金額をATM107に入力し(706)、ATM107は入力された金額に基づき勘定系ホストコンピュータ109と通信して勘定処理を行う(707)。その後、ATMはICカードをICカード挿入口から排出すると共に、取引結果を記載した明細書を印刷する(708)。最後にATMは現金処理装置507から入力された金額分の紙幣が出金され、現金取出口から現金を排出して一連の処理を終了する(709)。
以上のステップ701から709の処理により、生体認証装置106から生体特徴量が外部に出力されることなく認証処理が完了する。なお、ICカード装置504と生体認証装置106とを別体で構成する例を説明したが、図2のように一体と形成されたものであっても良い。この場合、ICカードから読み出す登録、暗号化された生体情報はATM内を一切通ることはなく、更にセキュリティの安全を確保できる。
上記実施例では営業店窓口端末で生体特徴量をICカードに登録し、ATMで生体認証を行う方式について説明したが、生体特徴量の登録もATMに接続されている生体認証装置で行ってもよいし、営業店端末で生体認証を行っても良く、上述と同様に登録生体情報は営業店端末を介する必要がない。なお、登録と認証を1台の生体認証装置で兼用する場合は、図6における613から616のデータを図2の主記憶装置207に追加すれば可能となる。
また、上記実施例では暗号化のための暗号鍵を1種類しか持たせなかったが、認証プログラムを復号するための暗号鍵と認証結果を暗号化/復号するための暗号鍵を分けてもよく、暗号化方式は任意の方法を用いてもよい。
さらに、上記実施例では生体認証装置内の認証プログラムは装置が起動していない時は暗号化された状態で不揮発性メモリに格納されて、装置の起動時に復号される方式について説明した。この暗号化による認証プログラムのセキュリティ確保以外にも、認証プログラムを分割し、プログラムの一部を装置外に格納し、残りを生体認証装置内の不揮発性メモリに格納する方法も有効である。すなわち、認証装置の起動時に装置外部に格納された認証プログラムの一部と、装置内の不揮発性メモリに格納された認証プログラムの一部を結合し、元の認証プログラムに復元することができる。あるいは、認証プログラムの暗号化と分割を組み合わせることも可能である。
また、ATMにおける認証において、暗証番号による認証処理の後に、生体認証処理を実行する例で説明した。暗証番号を先に入力する方式の利点として以下の点が挙げられる。生体認証を用いない取引では「取引メニュー選択」、「キャッシュカード挿入」、「暗証番号入力」の形で処理が進む。そのため、ATM利用者はこのような順番の手順に慣れており、生体認証が後であればその手順は変わらないために操作の戸惑いがない。一方、生体認証処理後に暗証番号認証処理を行う例は、暗証番号入力後のホストとの電文タイミング、表示する画面の遷移など一切変更する必要がない点で有利である。このとき、生体認証装置から送信される照合結果がOKのときに初めて暗証番号の入力画面を表示し、暗証番号認証処理に移行することで利用者に対して2重のセキュリティを確保できる。
上記実施例では、窓口端末やATMに暗号鍵が存在し、その鍵を用いて生体特徴量を暗号化してICカードに登録した。生体特徴量を暗号化する鍵は必ずしも窓口端末やATMに存在する必要はなく、生体認証装置内のみに存在してもよい。この場合、窓口端末やATM経由でICカード生体認証装置の間で暗号化された生体特徴量を読み書きする際には、鍵が窓口端末やATMに存在しないので暗号化生体特徴量を解読することが原理的に困難になり、セキュリティを向上させることが可能になる。
【図面の簡単な説明】
【0008】
【図1】生体認証を用いた金融営業店システムの全体構成例を示す図。
【図2】営業店窓口端末に接続されるICカード装置付生体認証装置の構成例を示す図。
【図3】営業店窓口端末の構成例を示す図。
【図4】営業店窓口端末とICカード装置付生体認証装置を用いて生体認証用の特徴量をICカードに登録する処理フローを示す図。
【図5】ATM(自動現金預払機)の構成例を示す。
【図6】ATMに接続される生体認証装置の構成例を示す図。
【図7】ATMにおいて生体認証処理を含む取引業務フローを示す図。
【図8】ATMに接続される生体認証装置の処理フローを示す図。
【符号の説明】
【0009】
101…金融営業店、102…広域ネットワーク、103…データセンタ、104…ICカード装置付生体認証装置、105…営業店窓口端末、106…生体認証装置、107…ATM(現金自動預払機)、108…営業店内LAN、109…勘定系ホストコンピュータ
【技術分野】
【0001】
本発明は生体情報、例えば、指紋や静脈パターン等を用いた本人確認のための生体認証装置、および、その生体認証に方法関わる。特に、認証装置で取得した生体情報が装置外に出て第三者に悪用されることを防止するために、生体情報の取得処理、並びに、認証処理を認証装置内部で実行する装置、方法に関するものである。
【背景技術】
【0002】
金融機関における預金の引き出しやインターネットを用いた電子商取引においては、他人の成りすましを防ぐために本人確認のための生体認証が極めて重要である。一般的な認証方法として、磁気ストライプを有するカードと暗証番号入力による認証や、カード裏面の署名と商品購入時の署名を照合することによる認証が広く行われている。
しかし、このような従来の個人認証方法にはセキュリティに関する問題点が指摘されている。磁気ストライプを有するキャッシュカードと暗証番号入力の組合せの場合、磁気情報と暗証番号とが第三者に盗難されると容易に預金を引き出すことが可能になる。あるいは、署名の場合は第三者が署名を真似ることで登用されることもありうる。
そこの対策として、磁気ストライプを有するカードに代えてICカードの導入が提案されている。ICカードは、磁気ストライプカードと比較しカードの複製が困難になると共に、内部情報が容易に盗難されないという安全性も確保できるようになる。加えて、カード内部に格納できる情報量を飛躍的に増大できることに着目し、指紋や静脈パターン等の生体情報をICカードに保持し、その照合による生体認証技術として、特許文献1,2がある。
【特許文献1】特開昭61−199162号公報
【特許文献2】特開平10−312459公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述の背景技術によると、例えば、認証する装置から生体情報が外部に出ると、悪意を持った第三者により盗難され悪用される可能性がある。生体情報による個人認証は、暗証番号や署名による認証に比べて安全性が高くなる一方、一度流出してしまうと容易には変更できないという負の側面もある。そのため、生体情報が第三者に容易に利用可能な形で外部に流出しないような仕掛けが特に重要となる。
加えて、生体情報となる生体特徴量の抽出、照合する生体認証プログラムに対するセキュリティ確保も不可欠である。プログラム内部を第三者による解析、改変を防止しなければ、生体認証装置としての効果が失われてしまう恐れがある。その意味で、生体認証装置が接続されている制御装置、例えば、パソコン上に生体認証プログラムが解析可能な状態で存在すると、第三者に処理手順を解析、盗難される可能性が高まる。仮にパソコンではなく生体認証装置内に生体認証プログラムが存在したとしても、外部から容易に解析可能な状態で存在していれば、やはり悪意を持った第三者にその情報を盗難される可能性がある。
また、生体認証装置から出力される生体認証結果が第三者に漏れることも防止する必要がある。生体認証装置が認証受入れした信号を第三者が偽造すると、装置による認証拒絶の場合でも認証装置が接続された制御装置に認証受入れの信号が伝わり、不正な取引が行われる可能性がある。
本発明は上記課題の少なくとも一部を解決するためになされたものである。本発明の第一の目的は個人の生体情報が生体認証装置から第三者が容易に利用可能な形で外部に流出するのを防止することである。本発明の第二の目的は、生体特徴量を抽出したり照合したりする生体認証プログラムを第三者が盗難、改変することを防止することである。本発明の第三の目的は、生体認証装置が出力する生体認証結果の外部の漏れを防止することにある。
【課題を解決するための手段】
【0004】
本発明は、個人の生体情報を用いて本人確認を行うための生体認証装置であって、生体情報を取り込むセンサと、取り込まれたセンサ情報から認証を行うための生体特徴量を抽出する特徴量抽出手段と、抽出された生体特徴量を暗号化するための暗号化手段と、暗号化された生体特徴量を本人確認のための認証用基準データとして生体認証装置外部に出力する手段と、を具備することを特徴とする生体認証装置である。
また、他の好ましい例では、個人の生体情報を用いて本人確認を行うための生体認証装置であって、生体情報を取り込むセンサと、取り込まれたセンサ情報から認証を行うための生体特徴量を抽出する特徴量抽出手段と、抽出された生体特徴量を暗号化するための暗号化手段と、本人確認のための認証用基準データとして暗号化された生体特徴量を、生体認証装置に接続された制御コンピュータを介さずに直接ICカードに出力する手段と、を具備することを特徴とする生体認証装置である。
また、他の好ましい例では、個人の生体情報を用いて本人確認を行うための生体認証装置であって、生体情報を取り込むセンサと、取り込まれたセンサ情報から認証を行うための生体特徴量を抽出する特徴量抽出手段と、認証用基準データとなる生体特徴量を暗号化された形で生体認証装置外部から入力する手段と、前記認証用基準データとなる暗号化された生体特徴量を復号する復号手段と、前記特徴量抽出手段から出力された生体特徴量と、前記復号された認証用基準データとなる生体特徴量を照合する生体特徴量照合手段と、前記生体特徴量照合手段の出力を暗号化する暗号化手段と、前記暗号化された生体特徴量照合手段の出力を装置外部に出力する手段と、を具備することを特徴とする生体認証装置である。
また、他の好ましい例では、個人の生体情報を用いて本人確認を行うための生体認証装置であって、生体情報を取り込むセンサと、取り込まれたセンサ情報から認証を行うための生体特徴量を抽出する特徴量抽出手段と、ICカードに格納された認証用基準データとなる暗号化された生体特徴量を、生体認証装置に接続された制御コンピュータを介さずに、直接ICカードから入力する手段と、前記認証用基準データとなる暗号化された生体特徴量を復号する復号手段と、前記特徴量抽出手段から出力された生体特徴量と、前記復号された認証用基準データとなる生体特徴量を照合する生体特徴量照合手段と、前記生体特徴量照合手段の出力を暗号化する暗号化手段と、前記暗号化された生体特徴量照合手段の出力を装置外部に出力する手段と、を具備することを特徴とする生体認証装置である。
また、他の好ましい例では、前記特徴量抽出手段と前記生体特徴量照合手段は、生体認証装置を起動する前は暗号化された形で装置内に格納され、装置が起動された後に復号されることを特徴とする生体認証装置である。
また、他の好ましい例では、前記特徴量抽出手段と前記生体特徴量照合手段は、生体認証装置が起動する前は、生体認証装置に接続された制御コンピュータと生体認証装置それぞれに分割して格納され、生体認証装置が起動された後に結合復号されて動作可能な状態になることを特徴とする生体認証装置である。
【発明の効果】
【0005】
本発明によれば、悪意を持った第三者が生体情報又は生体特徴量を盗み出すことを防止できる。また、生体認証に関わる生体特徴量抽出処理、生体特徴量の照合処理を行うプログラムの解析、改ざん、取得等を防止できる。また、仮に装置を分解し、解析しても改ざんを防止できる。
【発明を実施するための最良の形態】
【0006】
以下、図1〜8を参照して本発明の実施形態について説明する。
本実施形態では、ICカードを介した金融営業店における営業店窓口端末での生体情報登録処理とATM(現金自動預払機)での生体情報認証処理について説明する。ここで生体情報とは、個人を特定するために有効な生体特徴量であると想定する。
営業店窓口端末における生体特徴量の登録処理では、窓口端末でICカードに個人認証用の暗号化された生体特徴量を登録する。窓口端末にはICカード装置付き生体認証装置が接続されており、登録用の生体特徴量が暗号化されて、窓口端末を経由せずに生体認証装置からICカードに直接転送される。一方、ATM(現金自動預払機)では、ICカードから暗号化された生体特徴量が読み出されて、ATMに接続された生体認証装置に転送され装置内部で認証処理を行う。なお、ICカードに限らずRFIDタグなど、携帯可能な電子的媒体であれば、任意の媒体で良い。
図1は全体システムの構成例である。101は金融営業店であり、勘定系ホストコンピュータ109が設置してあるデータセンタ103とは、広域ネットワーク102を介して接続されている。金融営業店101では、営業店窓口端末105やATM107が営業店内のLAN108で接続されている。営業店窓口端末105にはICカード装置付き生体認証装置104を接続する。同様にATM107には生体認証装置106を接続し、ICカード装置はATM内部に組み込んでいる。
まず、図2、図3、図4を用いて営業店窓口端末105における生体特徴量の登録処理について説明する。図2はICカード装置付生体認証装置104の構成例を示す図である。CPU201は装置のデータ処理を担うプロセッサであり、後述する各種のプログラム、データの制御、処理を司る。周辺装置I/Oデバイス202は、生体認証装置104と営業店窓口端末105を接続するためのインタフェースである。203は生体画像を取得するための照明LEDであり、例えば、指静脈認証であれば指の静脈パターンの取得に好適な近赤外光LEDを用いる。画像センサ204は生体画像を取得するためのセンサであり、CCDなどのデバイスが挙げられ、LED203によって照射された指の静脈パターンを取得する。ICカード装置205は暗号化された登録用生体特徴量をICカードに書き込むための装置である。
主記憶装置207は揮発性メモリ(DRAM等)で構成されており、認証装置の電源が切断されると格納されているデータが消滅する。ここには装置を動作させるための各種プログラムやデータ領域が確保されている。主記憶装置207に記憶されるプログラム、データは後述のフラッシュメモリ217から読み出して記憶する記憶部、記憶手段である。装置全体制御プログラム208はICカード装置205の制御も含めて認証装置104全体を制御するプログラムである。周辺装置I/O制御プログラム209は周辺装置I/Oデバイス202を制御する。
暗号/復号プログラム210は2つの処理を行う。
一つはフラッシュメモリ(以下、不揮発性メモリと言う)217に格納された暗号化認証プログラム219を復号し、211の領域に認証プログラムとして格納することである。
もう一つは、認証プログラム211が生成した登録用の生体特徴量をICカードに書き込む前に暗号化することである。ICカード装置制御プログラム212はICカード装置205を制御するプログラムである。
【0007】
このように、プログラムは各種の機能を有し、また種々の処理を行い、上述の通り、CPU201のハード構成によって制御される。本発明においてはプログラムを中心として説明するが、これら各プログラムの様々な機能、例えば、制御手段、暗号化手段、認証手段、登録手段、照合手段などとも言え、各手段を各部とも表現できることは言うまでもない。
画像バッファ213は画像センサ204で取得した生体画像データ(生データ)を格納するための領域である。生体特徴量214は、画像バッファ213に格納された生体画像データから認証プログラム211によって例えば、静脈パターンのみを抽出して生成された生体特徴量を格納するための領域である。暗号化生体特徴量215は、生体特徴量214のデータを暗号/復号プログラム210によって暗号化されたデータを格納する領域である。215のデータ(暗号化状態の生体特徴量)はICカード装置205を介してICカードに生体登録特徴量として格納される。なお、ICカード装置205と認証装置との間に営業店窓口端末105を接続、介在させる場合でも、認証装置で取得した暗号化状態の生体特徴量を窓口端末105に記憶せずに(残さずに)、ICカード装置205によってICカード内に登録する。暗号鍵216は暗号/復号プログラム210がデータを暗号化したり、復号したりする際に必要な鍵データである。本鍵データは生体認証装置が接続されている営業店窓口端末105やATM107から周辺I/Oデバイスを介して取得することも特徴の一つである。206は認証装置内のプロセッサや各デバイスを接続するバスである。217は認証装置の電源を落としても内容が消去されない不揮発性メモリであり、その内部に暗号化された認証プログラム218が格納されている。認証装置が起動されると、暗号/復号プログラム210が暗号鍵216を用いて暗号化認証プログラム218を復号し、211の領域に格納する。
図3は営業店窓口端末105の構成例を示す図である。窓口端末105は金融機関のカウンタに設置され、オペレータが入金、出金、為替等の処理業務を行うコンピュータであり、加えて生体認証の登録処理も行う端末装置である。
CPU301は端末のデータ処理、各種の制御を担うプロセッサである。LANデバイス302は営業店内のLAN108と端末を接続するためのデバイスであり、LAN108を介して勘定系ホストコンピュータ109に接続されている。周辺装置I/Oデバイス303は、ICカード装置付生体認証装置104とを接続するためのインタフェースである。表示装置304は生体特徴量の登録結果(成功か、失敗かのステータスであって、生体特徴量は含まず)や、顧客の取引情報、取引に必要な項目などを、窓口端末を操作するオペレータに表示するモニタであり、キー入力装置305はオペレータのキー入力装置である。現金処理装置306は端末における現金処理を行うための装置である。主記憶装置308には、各種プログラムやデータが格納されている。309は窓口端末全体を制御する全体制御プログラムであり、310には窓口で行う業務に関する業務アプリケーションプログラムが格納されている。周辺装置I/O制御プログラム311は周辺装置I/Oデバイス303を制御する。生体認証装置制御プログラム312は、周辺装置I/Oデバイス303を介して接続されているICカード装置付生体認証装置104を制御するプログラムである。暗号鍵313はICカード装置付生体認証装置104を起動したり、ICカードに登録する生体特徴量を暗号化するために使用される。307は端末内の各装置をつなぐバスである。
図4を用いてICカード装置付生体認証装置104、ならびに、営業店窓口端末105の動作を説明する。ステップ401、406、407、408は、営業店窓口端末105が出力する指示に基づきICカード装置付生体認証装置104が処理する内容である。
窓口端末105の表示装置304に表示する生体認証登録の項目を入力装置305で選択すると、全体制御プログラム309が生体認証に関する機能を生体認証装置104に展開する。ステップ401では、営業店窓口端末105に格納された生体認証装置制御プログラム312が生体特徴量登録処理の起動信号、ならびに、暗号鍵313をICカード装置付生体認証装置104に送信する。生体認証装置104では、受信した起動信号によりCPU201を中心として起動し、受信した暗号鍵313を装置全体制御プログラム208が216の領域に格納する。その後、装置全体制御プログラム208は暗号/復号プログラム210を起動し、暗号鍵216を用いて不揮発性メモリ217内の暗号化認証プログラム218を復号し、211に格納してプログラムを起動する。そのため次のような耐タンパ性を有している。
上述の通り、不揮発性メモリ217内に暗号化された状態で認証プログラム218を格納し、起動時に主記憶装置207内の211に展開している。生体認証装置に電源が入って正常に動作している場合は、装置外部との通信は暗号鍵216を用いて暗号化されているので、正規に接続された端末でなければ生体認証装置の内部を参照することはできない。そのため、認証プログラム211が主記憶装置207に解析可能な状態で格納されていても、外部からの不正アクセスから保護されている。一方、生体認証装置に電源が入っていない状態では、不揮発性メモリ217にのみ暗号化された認証プログラム218が格納されている。このように、プログラムを暗号化することで第三者が装置を分解して不揮発性メモリ217を解析、その偽造、改ざんが困難になるとの効果がある。
上述の例では不揮発性メモリ217に暗号化認証プログラムを、揮発性メモリ207に復号して展開した認証プログラムを格納、記憶する方式1について説明した。
この他、暗号化認証プログラムを揮発性メモリ217に記憶する方式2と、不揮発性メモリ217内にて暗号化認証プログラム218を展開して認証プログラムを記憶する方式3とが考えられる。ただし、方式2では認証装置の電源断にて暗号化認証プログラムが消去されてしまうことから現実的ではない。また方式3では認証装置が不揮発メモリ217内の復号された認証プログラムを消去する前に認証装置の電源を切断されると、そのまま不揮発メモリ217内に復号されてしまった認証プログラムが残存してしまう。それゆえ、セキュリティの面で適切ではない。
以上から方式1は他の方式2,3に比較して現実的でもあり、安全性の高いものである。なお、本実施例では、認証装置が起動した時に不揮発メモリ217の暗号化認証プログラムが主記憶装置207に復号され、以降認証装置が電源を切断されるまで主記憶装置207に復号された認証プログラムが存在し続ける。更に望ましい例としては、生体特徴量を抽出/認証する度に、暗号化されたプログラムを復号して主記憶装置に展開し、処理が終わると主記憶装置上の認証プログラムを消去する例がある。この場合、装置内で認証プログラムが解析可能(実行可能)な状態で存在する時間がより短くなるので、安全性をさらに高められることが期待できる。
続いて、主記憶装置207に正しく認証プログラム211が復号されて起動すれば、営業店窓口端末105、ならびに、ICカード装置付生体認証装置104は暗号鍵を通じて相互に機器認証を確立する。第三者が生体認証装置を盗難して不正な制御コンピュータに接続したとしても、認証プログラムが起動しないので認証装置を動作させることが不可能である。また、認証プログラムは上述の通り、不揮発性メモリ217にて暗号化されるので、第三者が認証装置を分解して解析したとしても認証プログラムの内容を知ることは極めて困難である。このように起動について説明したが、窓口端末105のシャットダウン、電源断等に基づく認証装置104の終了においては、211に格納した復号化された認証プログラムをクリア(又は不活性化)することでプログラムの解析を困難なものとすることができる。
認証プログラム211は、照明LED203、ならびに、画像センサ204を制御して生体画像の特徴量を取得して画像バッファ213に格納する(402)。その後、認証プログラム211は画像バッファ213に格納された生体画像を読み出し、画像からICカードに登録するための生体特徴量、ならびに、登録特徴量を選択するための特性データを抽出して結果を生体特徴量214に格納する(403)。なお、登録特徴量の選択とは後述のステップ406にて繰り返し登録されるデータから選択することを言う。ここで、特性データとは例えば指静脈認証の場合、指の傾きなど登録に適した生体特徴量を選択するための基準となるデータである。なお、生体特徴量は単に生体情報とも言い、生体認証装置は生体情報を取得する取得手段、取得部を有している。
装置全体制御プログラム208は暗号/復号プログラム210を再度起動する。つまり、上述では認証プログラムの起動、復号化(活性化)の機能を有しているが、次の説明では取得した生体特徴量の暗号化の機能に用いるために再起動する。プログラム210の再起動によって、暗号鍵216により生体特徴量214を暗号化して、結果を暗号化生体特徴量215に格納する(404)。その後、データが流出するのを防ぐために、画像バッファ213、生体特徴量214の領域をメモリクリアする(405)。
営業店窓口端末105は規定回数に達するまでステップ402から405の処理をICカード装置付生体認証装置104に繰り返し実行させ、結果を暗号化生体特徴量215に格納する(406)。そして、営業店窓口端末105からの指示で、認証プログラム211はステップ403で抽出した特性データ(基準データ)を基に、ICカードに登録すべき暗号化登録特徴量を215のデータの中から選択する(407)。
装置全体制御プログラム208は、窓口端末105からの指示の下、ICカード装置制御プログラム212を介して、選択された暗号化登録特徴量をICカード装置205に書き込む(408)。その後、装置内に暗号化登録特徴量が残存するのを防止するため、暗号化生体特徴量215の領域をメモリクリアする(409)。なお、上述では窓口端末105の指示によって各種の処理が行われる例を説明したが、認証装置内部のみでこれらの処理を自動的に行っても良い。また、S409のクリア時にS405のクリアを同時にする例もあるが、上述の406の繰り返し処理前に行うのが良い。つまり、繰り返し実行によってそのデータサイズが大きくなり、結局、画像バッファ213のサイズも大きくする必要があるためである。またS409の暗号化データのクリアに比較して、S405のデータは暗号化されていないデータのため使用後はできるだけ早くクリアした方がセキュリティ向上になるためである。
以上のステップ401から409の処理により、営業店窓口端末105に生体特徴量が出力されることなく、生体認証装置内部で暗号化されてICカードに格納される。
次に、図5、図6、図7、図8を用いてICカード内に格納された生体特徴量を用いてATMにおける認証処理について説明する。ATMとは金融機関に設置され、エンドユーザによって入金、出金、振込処理等を自動的に行い、現金自動取引装置とも言う。ATMの例にて説明するが、利用者の個人認証に用いられる端末、コンピュータに応用可能であり、自動取引装置とも称す。
図5はATM107の構成例を示す図である。CPU501はATMのデータ処理を担い、各種のプログラムの制御やコマンドの発生など種々の処理、制御を行うプロセッサである。LANデバイス502は営業店内のLAN108と端末を接続するためのデバイスであり、LAN108を介して勘定系ホストコンピュータ109に接続されている。周辺装置I/Oデバイス503は、生体認証装置106とを接続するためのインタフェースである。ICカード装置504はATMのカード挿入口に組み込まれており、ATMでは本人確認に用いる生体認証装置106と分離されている。表示装置505は取引情報や生体認証結果を利用者に表示するモニタであり、キー入力装置506は利用者が取引メニューや暗証番号をキー入力するための装置である。現金処理装置507はATMにおける現金処理を行うための装置である。主記憶装置509には、各種プログラムやデータが格納されている。
510はATM全体を制御する全体制御プログラムであり、511にはATM取引で行う業務に関する業務アプリケーションプログラムが格納されている。周辺装置I/O制御プログラム512は周辺装置I/Oデバイス503を制御する。生体認証装置制御プログラム513は、周辺装置I/Oデバイス503を介して接続されている生体認証装置106を制御するプログラムである。暗号/復号プログラム515は暗号鍵516を用いて、生体認証装置106から送信される暗号化された認証結果(生体特徴量は含まない)を復号する。517は生体認証装置106から送信される暗号化された認証結果を格納する領域であり、518は暗号鍵516を用いてそれを復号した結果を格納する領域である。
ATMに接続されている認証用の生体認証装置106の構成例を図6に示す。601から604はそれぞれ図2における201から204と同様の機能を有するため説明を省略する。主記憶装置605には装置を動作させるための各種プログラムやデータ領域が確保されている。装置全体制御プログラム607は生体認証装置全体を制御するプログラムである。608から612は、それぞれ図2における209から211、ならびに、213から214と同様で説明を省略する。613は周辺装置I/Oデバイス602を介して生体認証装置がICカードに登録された暗号化生体登録特徴量をATMから受信して格納するための領域である。生体登録特徴量614は613の暗号化特徴量を暗号/復号プログラム609が暗号鍵617を用いて復号し格納する領域である。照合結果615は生体特徴量612と生体登録特徴量614を認証プログラム610が照合した結果を格納する領域である。暗号化照合結果616は、暗号/復号プログラム609が暗号鍵617を用いて照合結果615を暗号化して格納する領域である。暗号鍵617は生体認証装置が接続されているATM107から取得する。606はプロセッサや各デバイスを接続するバスである。618、619はそれぞれ図2の217、218と同様である。
ここでは、ATMが電源ON、又は起動した時に生体認証装置106も同時に起動されたと仮定する。具体的には、認証装置106は起動時にATM107から暗号鍵を受信して617に格納する。それと同時に、不揮発性メモリ618に格納された暗号化認証プログラム619を、暗号鍵617を用いて復号し主記憶装置605の610に格納されていることを想定している。更に、ATMの正常閉局又は異常時のシャットダウン、電源断によって認証装置106も終了するが、その終了と共に認証プログラム610はクリアされる。これらの認証プログラムの復号化によるATMの制御部と生体認証装置との確立処理などや、不揮発メモリ618と主記憶装置(揮発メモリ)605との構成にした理由については上述の営業店システムの例において説明したので省略する。
図7を用いてATM107ならびに生体認証装置106の動作について説明する。ATMはCPU(制御手段、部)501の指示で、表示装置505に初期画面として預入、支払、振込等の各種項目(メニュー)を表示する。ATMの利用者は表示装置505に表示されている取引メニューから、キー入力装置506を用いて取引項目を選択する(701)。なお、表示装置505とキー入力装置506はタッチパネルであり、単に表示装置(手段、部)とも言う。例えば、ここでは預金の支払取引を選択したと仮定する。その後、表示装置505に表示される「カードを挿入して下さい」とのガイダンスに従い、利用者はICカードをATMのカード挿入口に挿入すると、挿入されたICカードはICカード装置504に取り込まれて内容を読取られる(702)。引き続き、表示部505にはテンキーと共に暗証番号入力のガイダンスを表示し、利用者はガイダンスに従いキー入力装置506を用いて暗証番号を入力する(703)。入力された暗証番号はホスト109に送信され、ホストで照合された結果(正否)を受信する。暗証番号の送信において、暗号鍵516にてデータを暗号化するのが望ましい。暗証番号入力による照合結果が間違いであれば、表示装置505に「もう一度入力してください」とのガイダンスを表示して、暗証番号の再入力を促す。一方、照合結果が正しければ、ICカード内の登録された生体情報を読み出す又は「生体装置に指を置いて下さい」などのガイダンスを表示装置505に表示する。それと共に、ATM内の生体認証装置制御プログラム513の制御、処理が生体認証装置106の装置全体制御プログラム607に移行され、生体認証処理を実行する(704)。このように、暗証認証処理はATM側で実行され、生体認証処理は次に示す生体認証装置側で実行することもセキュリティ向上の一つの特徴でもある。
ステップ704の生体認証処理の詳細について図8、および、図6を用いて説明する。まず、ATM107がICカード内に格納されている暗号化された生体登録特徴量を、ICカード装置504によって読み出して(読出処理)、ダイレクトに生体認証装置106に送信する。つまり、暗号化された生体情報の暗号状態を維持したまま、生体認証装置に送信する処理をATM(制御部)が実行する。このように、ATM107にも暗号鍵516を有しているが、ICカードから読み出した暗号化生体登録特徴量を復号しない。認証装置106はその暗号化された特徴量を受信して、図6における暗号化生体登録特徴量613に格納する(801)。次に、装置全体制御プログラム607は暗号/復号プログラム609を起動し、暗号鍵617を用いて613に格納された暗号データを復号した(復号処理、復号部)後、その結果を生体登録特徴量614に格納する(802)。
ATMの表示装置505に表示されるガイダンスに従い、利用者は生体認証装置106の上に例えば指を置くと、装置106内の認証プログラム610は、照明LED603、ならびに、画像センサ604を制御して生体画像を取得して画像バッファ611に格納する(803)。認証プログラム610は画像バッファ611に格納された生体画像を読み出し、画像から認証用の生体特徴量を抽出して結果を生体特徴量612に格納する(804)。このように、利用者の生体画像、情報、特徴量を取得する機能を単に取得処理(手段、部)とも言う。
次に、認証プログラム610は生体特徴量612と生体登録特徴量614を読み出してそれらの間の距離値を計算し(マッチング、照合処理、部)、距離値が閾値未満であれば照合受入れ、閾値以上であれば照合拒絶として結果を615に格納する。さらに、615には受入れや拒絶といった照合結果に付随して状態コードを合わせて格納する(805)。例えば、照合拒絶の場合、生体を装置に置く位置が悪かったのか、生体を押し付ける力が極端に強くて生体情報が取得できなかったか、等を表すコードを添付する。認証装置はこのコードをATM107に送信し、ATM107が本コードを利用することで、例えば照合拒絶の場合、コードに合わせた生体の置き方等のガイダンスをATM利用者に対して表示することが可能になる。この結果、生体認証のやり方に関する的確なガイダンスができるので、利用者が必要以上に生体認証を繰り返すという煩わしさを低減することが可能になる。
暗号/復号プログラム609は、615に格納した照合結果に対して暗号鍵617を用いて暗号化し結果を616に格納する(806)。その後、外部にデータが流出する可能性を無くすために、装置全体制御プログラム607は611から617に格納されているデータをクリアする(807)。これにより、ATMは生体認証装置106内に残存している生体特徴量を削除する必要がなくなると共に、装置内に残存する生体特徴量が外部に漏洩するのを防止することが可能になる。最後に、220に格納された暗号化照合結果をATMに対して送信する(生体情報自身は含まず)と共に装置内に存在する暗号化照合結果を消去する(808)。もし、認証結果が拒絶の場合、ATMは規定回数に達するまでステップ801から808の処理を繰り返す。以上説明した図7の処理によりステップ704の生体認証処理が完了する。ここで、ステップ808にて照合結果を暗号化したものをATMに送信しているが、その理由は以下の通りである。
認証装置は基本的にATMに対して認証受入れか、認証拒絶かのデータを送信すればよい。しかし、そのデータフォーマットが第三者に漏れると、正規の生体認証装置を外して、認証受入れのデータを常に送信する不正な機器を、ATMに接続する可能性が出てくる。この場合、生体認証を行わずとも認証受入れのデータをATMは受け取るので、生体認証装置の不正防止効果が失われる恐れがあるためである。
ステップ704の生体認証の結果、認証受入れでOKであればステップ706に進み、NGであればステップ710の取引中止に進む(705)。
利用者はキー入力装置506を用いて払戻し金額をATM107に入力し(706)、ATM107は入力された金額に基づき勘定系ホストコンピュータ109と通信して勘定処理を行う(707)。その後、ATMはICカードをICカード挿入口から排出すると共に、取引結果を記載した明細書を印刷する(708)。最後にATMは現金処理装置507から入力された金額分の紙幣が出金され、現金取出口から現金を排出して一連の処理を終了する(709)。
以上のステップ701から709の処理により、生体認証装置106から生体特徴量が外部に出力されることなく認証処理が完了する。なお、ICカード装置504と生体認証装置106とを別体で構成する例を説明したが、図2のように一体と形成されたものであっても良い。この場合、ICカードから読み出す登録、暗号化された生体情報はATM内を一切通ることはなく、更にセキュリティの安全を確保できる。
上記実施例では営業店窓口端末で生体特徴量をICカードに登録し、ATMで生体認証を行う方式について説明したが、生体特徴量の登録もATMに接続されている生体認証装置で行ってもよいし、営業店端末で生体認証を行っても良く、上述と同様に登録生体情報は営業店端末を介する必要がない。なお、登録と認証を1台の生体認証装置で兼用する場合は、図6における613から616のデータを図2の主記憶装置207に追加すれば可能となる。
また、上記実施例では暗号化のための暗号鍵を1種類しか持たせなかったが、認証プログラムを復号するための暗号鍵と認証結果を暗号化/復号するための暗号鍵を分けてもよく、暗号化方式は任意の方法を用いてもよい。
さらに、上記実施例では生体認証装置内の認証プログラムは装置が起動していない時は暗号化された状態で不揮発性メモリに格納されて、装置の起動時に復号される方式について説明した。この暗号化による認証プログラムのセキュリティ確保以外にも、認証プログラムを分割し、プログラムの一部を装置外に格納し、残りを生体認証装置内の不揮発性メモリに格納する方法も有効である。すなわち、認証装置の起動時に装置外部に格納された認証プログラムの一部と、装置内の不揮発性メモリに格納された認証プログラムの一部を結合し、元の認証プログラムに復元することができる。あるいは、認証プログラムの暗号化と分割を組み合わせることも可能である。
また、ATMにおける認証において、暗証番号による認証処理の後に、生体認証処理を実行する例で説明した。暗証番号を先に入力する方式の利点として以下の点が挙げられる。生体認証を用いない取引では「取引メニュー選択」、「キャッシュカード挿入」、「暗証番号入力」の形で処理が進む。そのため、ATM利用者はこのような順番の手順に慣れており、生体認証が後であればその手順は変わらないために操作の戸惑いがない。一方、生体認証処理後に暗証番号認証処理を行う例は、暗証番号入力後のホストとの電文タイミング、表示する画面の遷移など一切変更する必要がない点で有利である。このとき、生体認証装置から送信される照合結果がOKのときに初めて暗証番号の入力画面を表示し、暗証番号認証処理に移行することで利用者に対して2重のセキュリティを確保できる。
上記実施例では、窓口端末やATMに暗号鍵が存在し、その鍵を用いて生体特徴量を暗号化してICカードに登録した。生体特徴量を暗号化する鍵は必ずしも窓口端末やATMに存在する必要はなく、生体認証装置内のみに存在してもよい。この場合、窓口端末やATM経由でICカード生体認証装置の間で暗号化された生体特徴量を読み書きする際には、鍵が窓口端末やATMに存在しないので暗号化生体特徴量を解読することが原理的に困難になり、セキュリティを向上させることが可能になる。
【図面の簡単な説明】
【0008】
【図1】生体認証を用いた金融営業店システムの全体構成例を示す図。
【図2】営業店窓口端末に接続されるICカード装置付生体認証装置の構成例を示す図。
【図3】営業店窓口端末の構成例を示す図。
【図4】営業店窓口端末とICカード装置付生体認証装置を用いて生体認証用の特徴量をICカードに登録する処理フローを示す図。
【図5】ATM(自動現金預払機)の構成例を示す。
【図6】ATMに接続される生体認証装置の構成例を示す図。
【図7】ATMにおいて生体認証処理を含む取引業務フローを示す図。
【図8】ATMに接続される生体認証装置の処理フローを示す図。
【符号の説明】
【0009】
101…金融営業店、102…広域ネットワーク、103…データセンタ、104…ICカード装置付生体認証装置、105…営業店窓口端末、106…生体認証装置、107…ATM(現金自動預払機)、108…営業店内LAN、109…勘定系ホストコンピュータ
【特許請求の範囲】
【請求項1】
窓口端末と接続して静脈情報を取得してICカードに書き込む静脈情報取得装置が実行する静脈情報登録方法であって、
前記窓口端末から静脈情報取得要求を受け、
静脈情報を取得したことを前記窓口端末へ送信し、
前記窓口端末からICカードへの登録要求を受信し、取得した静脈情報に基づいて認証に用いる情報をICカードに書き込むことで静脈情報を窓口端末と送受信しないことを特徴とする静脈情報登録方法。
【請求項2】
請求項1記載の静脈情報取得方法であって、
前記窓口端末から暗号鍵を受信し、前記認証に用いる情報を前記暗号鍵により暗号化してICカードに書き込むことを特徴とする静脈情報登録方法。
【請求項3】
請求項1記載の静脈情報取得方法であって、
前記認証に用いる情報をICカードに書き込むと、前記取得した静脈情報を削除することを特徴とする静脈情報登録方法。
【請求項4】
静脈情報を取得してICカードに書き込む静脈情報取得装置であって、
静脈情報を取得する取得手段と、
静脈情報をICカードに書き込む書込手段と、
窓口端末とデータを送受信する送受信と、
前記窓口端末から静脈情報取得要求を前記送受信部を介して受信すると前記取得手段により静脈情報を取得し、かつ、静脈情報を取得したことを前記送受信部を介して前記窓口端末へ送信し、かつ、前記窓口端末からICカードへの登録要求を前記送受信部を介して受信すると取得した静脈情報に基づいて認証に用いる情報を前記書込手段によりICカードに書き込む制御部とを有することで、静脈情報を窓口端末と送受信しないことを特徴とする静脈情報登録装置。
【請求項5】
請求項4記載の静脈情報取得装置であって、
前記制御部は、前記窓口端末から暗号鍵を前記送受信部を介して受信し、前記認証に用いる情報を前記暗号鍵により暗号化してICカードに書き込むことを特徴とする静脈情報取得装置。
【請求項6】
請求項4記載の静脈情報取得装置であって、
前記制御部は、前記認証に用いる情報をICカードに書き込むと、前記取得した静脈情報を削除することを特徴とする静脈情報登録装置。
【請求項1】
窓口端末と接続して静脈情報を取得してICカードに書き込む静脈情報取得装置が実行する静脈情報登録方法であって、
前記窓口端末から静脈情報取得要求を受け、
静脈情報を取得したことを前記窓口端末へ送信し、
前記窓口端末からICカードへの登録要求を受信し、取得した静脈情報に基づいて認証に用いる情報をICカードに書き込むことで静脈情報を窓口端末と送受信しないことを特徴とする静脈情報登録方法。
【請求項2】
請求項1記載の静脈情報取得方法であって、
前記窓口端末から暗号鍵を受信し、前記認証に用いる情報を前記暗号鍵により暗号化してICカードに書き込むことを特徴とする静脈情報登録方法。
【請求項3】
請求項1記載の静脈情報取得方法であって、
前記認証に用いる情報をICカードに書き込むと、前記取得した静脈情報を削除することを特徴とする静脈情報登録方法。
【請求項4】
静脈情報を取得してICカードに書き込む静脈情報取得装置であって、
静脈情報を取得する取得手段と、
静脈情報をICカードに書き込む書込手段と、
窓口端末とデータを送受信する送受信と、
前記窓口端末から静脈情報取得要求を前記送受信部を介して受信すると前記取得手段により静脈情報を取得し、かつ、静脈情報を取得したことを前記送受信部を介して前記窓口端末へ送信し、かつ、前記窓口端末からICカードへの登録要求を前記送受信部を介して受信すると取得した静脈情報に基づいて認証に用いる情報を前記書込手段によりICカードに書き込む制御部とを有することで、静脈情報を窓口端末と送受信しないことを特徴とする静脈情報登録装置。
【請求項5】
請求項4記載の静脈情報取得装置であって、
前記制御部は、前記窓口端末から暗号鍵を前記送受信部を介して受信し、前記認証に用いる情報を前記暗号鍵により暗号化してICカードに書き込むことを特徴とする静脈情報取得装置。
【請求項6】
請求項4記載の静脈情報取得装置であって、
前記制御部は、前記認証に用いる情報をICカードに書き込むと、前記取得した静脈情報を削除することを特徴とする静脈情報登録装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2007−207273(P2007−207273A)
【公開日】平成19年8月16日(2007.8.16)
【国際特許分類】
【出願番号】特願2007−103410(P2007−103410)
【出願日】平成19年4月11日(2007.4.11)
【分割の表示】特願2005−43371(P2005−43371)の分割
【原出願日】平成17年2月21日(2005.2.21)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成19年8月16日(2007.8.16)
【国際特許分類】
【出願日】平成19年4月11日(2007.4.11)
【分割の表示】特願2005−43371(P2005−43371)の分割
【原出願日】平成17年2月21日(2005.2.21)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]