更新可能かつプライベートなバイオメトリクス
本発明は、認証装置(311)において個体(321)を認証する方法および個体を認証するための認証システムに関する。本発明の基本的な発想は、個体が自分を認証したい装置またはシステムにおいて一つまたは複数のデータ構造を保存し、そのそれぞれが当該個体に属する識別子に基づく値および該識別子の暗号化されたコピーを含むというものである。個体が自らを認証したいとき、個体は認証装置にコンタクトし、それにより認証装置に保存されている特定のデータ構造に含まれる暗号化された識別子を入手する要求がなされる。その後、個体は実際に識別子を知っているという証明を認証装置に提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証装置において個体を認証する方法および個体を認証するための認証システムに関する。
【背景技術】
【0002】
物理的オブジェクトの認証は、セキュリティ管理されたビルへの条件付きアクセスもしくはデジタルデータ(たとえばコンピュータもしくはリムーバブル記憶媒体に保存されているもの)への条件付きアクセス、あるいは識別目的のため(たとえば特定の行動について識別された個人に課金するため)といった多くの用途において使用されうる。
【0003】
識別および/または認証のためにバイオメトリクスを使うことは、パスワードや暗証コードといった伝統的な識別手段に対するよりよい代替であるとますます考えられるようになってきている。パスワード/暗証コードの形の識別を要求するシステムの数は着実に増え続けており、その結果、ユーザーが暗記しなければならないパスワード/暗証コードの数も増え続けている。さらなる帰結として、パスワード/暗証コードを暗記するのが難しいため、ユーザーはそれをメモし、盗まれる危険にさらしている。従来技術では、この問題に対するトークンの使用を含む解決策が提案されている。しかし、トークンはなくしたり、および/または盗まれたりすることもある。この問題へのより好ましい解決策は、バイオメトリック認証の使用である。バイオメトリック認証では、指紋、虹彩、顔などといった特徴がユーザーの識別を提供するために使われる。明らかに、ユーザーはバイオメトリック特徴をなくしたり忘れたりすることはなく、書き留めたり暗記したりする必要もない。
【0004】
バイオメトリック特徴は参照データに比較される。一致が生じれば、ユーザーは識別され、アクセスが認められることができる。ユーザーについての参照データは先に入手されていて、たとえばセキュリティで保護されたデータベースまたはスマートカードに安全に保存されている。認証されるべき物理的オブジェクトは人間でなくてもよい。たとえば、オブジェクトは、保護されたデジタルコンテンツを含んでいるCD、DVDまたは半導体メモリのような記憶媒体であってもよい。その場合、バイオメトリクスは必ずしも使われないが、類似の仕方で、秘密に保たれるべき何らかの識別特徴(ビットシーケンスなどの形の)が提供され、対応する参照データと比較される。
【0005】
ハッカーがセキュリティシステム中の秘密を知るに至るなどしてシステムにおける秘密の破れが生じたときは常に、(期せずして)明かされた秘密を置き換える必要がある。典型的には、従来式の暗号システムにおいては、これは明かされた秘密の暗号鍵を失効させ、関係するユーザーに新しい鍵を配送することによって行われる。パスワードまたは暗証コードが暴かれた場合、それは新しいもので置き換えられる。バイオメトリックシステムでは、明らかに対応する身体部分は置き換えることはできないので、状況はもう少し複雑になる。この点で、多くのバイオメトリックは静的である。よって、バイオメトリック測定(一般にノイズがある)から秘密情報を導出する方法であって、必要であれば導出された秘密情報を更新することが可能であるものを開発することが重要である。バイオメトリックスは人間についての機微な情報を提供するので、バイオメトリックデータの保存、管理および使用に関係してプライバシーの問題がある。これらの問題を解決または少なくとも緩和するために、バイオメトリックデータはデータベース中に平文で保存されるべきではなく、プライバシーを提供し、データベース相互マッチング攻撃(database cross-matching attacks)を回避するために、暗号化された秘匿の形で保存されるべきである。バイオメトリクスに関するセキュリティ関係の問題を解決することによって、バイオメトリック識別についての受容レベルが向上するであろう。
【0006】
典型的には、バイオメトリクスに関係したプライバシー問題を解決する方法は、指紋などのバイオメトリック特徴をシステムに保存する前に暗号化することである。データベース相互マッチング攻撃を回避するため、異なるデータベースに含まれる指紋を暗号化するためには異なる鍵が使われるべきである。しかし、通常の暗号システムにおけるように、暗号鍵が破られればハッカーが指紋を入手できる。これは実際に指紋、すなわち個人の素性(identity)を「盗む」ことと等価である。その後はそのハッカーは素性を盗んだ人物になりすますことができる。上記した問題を克服するためには、暗号化されたバイオメトリック特徴を保存したり、悪意ある人物がバイオメトリック特徴またはセキュリティ上機微な暗号鍵を入手しうるような仕方で暗号化/復号操作を実行したりすることは回避されなければならない。
【0007】
米国特許出願第2002/0124176号はバイオメトリック情報に基づく認証およびアクセスコントロールのためのトークンデバイスを開示している。トークンデバイスは、権限のあるユーザーのバイオメトリック情報に基づく鍵の暗号化を含んでいる。セキュリティシステムはこのトークンデバイスと通信して、そのトークンの現在のユーザーが認可されたユーザーであるかどうかを判定する。トークンデバイスは、セキュリティシステムと安全に動作するために権限のあるユーザーからのバイオメトリック情報の存在を要求し、そのバイオメトリック情報をセキュリティシステムにおいて使用するための前述した鍵の復号のために使用する。こうして、バイオメトリック情報がトークンに呈示されている間にトークンがセキュリティシステムに呈示された場合にのみアクセスが認められることになる。トークンまたはバイオメトリック情報のいずれかがなければ、アクセスは阻まれる。よって、バイオメトリック情報のコピーはトークンがなければ用をなさず、バイオメトリック情報およびトークンの両方のセキュリティが破れた場合の影響は、破られたトークンを無効化することによって最小にできる。
【0008】
しかし、US2002/0124176についての問題は、ユーザーに属するトークンはその特定のユーザーに固有だということである。結果として、ユーザーはトークンを携行して、そのトークンをユーザーが認証プロセスを実行したいアプリケーション/セキュリティシステムのところに持っていかなければならない。
【発明の開示】
【発明が解決しようとする課題】
【0009】
本発明の第一の目的は、上に挙げた、暗号化されたバイオメトリック特徴の保存をいかにして回避するか、そして悪意ある人物がバイオメトリック特徴またはセキュリティ上機微な暗号鍵を入手しうるような仕方で暗号化/復号操作を実行することをいかにして回避するかというという問題を解決することである。
【0010】
本発明の第二の目的は、上に挙げた、ユーザー固有でなく、かつユーザーが携行する必要のない情報登録デバイスを提供する認証システムをいかにして提供するかという問題を解決することである。
【0011】
これらの目的は、請求項に記載される認証装置において個体を認証する方法および請求項に記載される個体を認証するための認証システムによって達成される。
【課題を解決するための手段】
【0012】
本発明の第一の側面によれば、認証装置において個体を認証する方法であって、該認証装置において、当該個体に属する識別子に基づくある値および該識別子の暗号化されたコピーを含む少なくとも一つのデータ構造を保存するステップを含む方法が提供される。ここで、暗号化鍵は当該個体の秘密に基づいている。本方法はさらに、前記認証装置において、当該個体から、前記認証装置に保存されている特定のデータ構造に含まれている暗号化された識別子を達成する要求を受け取り、前記認証装置から当該個体に、要求された暗号化された識別子を送るステップを有する。本方法にはさらに、前記認証装置において、当該個体から、当該個体がその識別子を知っていることの証明を受け取るステップが含まれる。該識別子は、当該個体において、前記暗号化された識別子を対応する秘密の復号鍵によって復号することによって得られたものである。
【0013】
本発明の第二の側面によれば、個体を認証するための認証システムであって、当該個体に属する識別子に基づくある値および該識別子の暗号化されたコピーを含む少なくとも一つのデータ構造を保存する手段であって、ここで暗号化鍵は当該個体の秘密に基づいているような手段と、当該個体から、当該認証装置に保存されている特定のデータ構造に含まれている暗号化された識別子を達成する要求を受け取る手段とを有するよう構成されシステムが提供される。本システムはさらに、当該個体に、要求された暗号化された識別子を送る手段を有している。ここで、前記受け取る手段はさらに、当該個体から、当該個体がその識別子を知っていることの証明を受け取るよう構成されている。前記識別子は、当該個体において、前記暗号化された識別子を対応する秘密復号鍵によって復号することによって得られたものである。
【0014】
本発明の基本的な発想は、個体が自分を認証したい装置またはシステムにおいて一つまたは複数のデータ構造を保存し、そのそれぞれが当該個体に属する識別子に基づく値および該識別子の暗号化されたコピーを含むというものである。識別子を暗号化するのに用いられる暗号化鍵は個体の秘密に基づいている。「個体(individual)」という用語は必ずしも人の個体(individual person)を意味するとは限らず、個別装置(individual device)を含意することもありうる。たとえば携帯電話、PDA、ラップトップ、携帯オーディオプレーヤーまたはその他コンピューティングおよび通信機能をもつ何らかの適切な装置といったものである。個別装置の用語はまた、スマートカードまたは携帯電話のような装置に含まれるその他何らかの耐タンパー性機器をも含意しうる。個体が自らを認証したいとき、個体は認証装置にコンタクトし、それにより認証装置に保存されている特定のデータ構造に含まれる暗号化された識別子を達成する要求がなされる。この要求を受け取ったところで、認証装置は要求された暗号化された識別子を個体に送る。個体は暗号化された識別子を、その識別子を暗号化するのに使われたその個体の暗号化鍵に対応する秘密復号鍵で復号し、認証装置に対してその識別子を実際に知っているという証明を提供する。
【0015】
本発明は、当該個体に属する識別子に基づく値および該識別子の暗号化されたコピーを認証装置において保存することにより、当該個体がその後、保存されている識別子の知識を証明できるので有利である。識別子がその個体の暗号化鍵で暗号化されており、その暗号化鍵はその個体の秘密に基づいているという属性をもつが、その秘密は暗号化された識別子を解析することによって導出することはできないという事実のため、当該個体は自分の秘密を明かすことなく識別子を知っていることを証明できる。暗号化された識別子を復号するのに使われる、個体の秘密に基づく暗号化鍵に対応する復号鍵はその個体しか知らないので、その個体しか識別子を平文で持つことはできない。その個体が識別子を知っているという証明は、その識別子に基づく値を知っていることを証明することによって提供されうる。前記値は、その値から識別子そのものを導出するのは容易にはできないよう選ばれる。この値は、上述したように、認証装置において保存される。よって、認証装置は、その個体が主張するとおりのものであることを確信し、よってその個体は認証される。秘密はその個体に一意的な、その個体が明かすことを望まない任意の秘密であってよい。
【0016】
本発明のある実施形態によれば、暗号化/復号鍵は個体のバイオメトリックデータから導かれる。すなわち、前記個体の秘密は指紋、虹彩または網膜、顔もしくは手の幾何学形状、声の特徴などといったバイオメトリックデータを含む。指紋などの物理的特徴は量子化されてデジタルデータとなり、それが暗号鍵の生成に用いられる。鍵の生成はいくつかの方法で実施されうる。たとえば、暗号化鍵は量子化されたバイオメトリックデータの正確なコピーであってもよい。鍵生成のもう一つの方法は、バイオメトリックデータのハッシュ値を計算しそのハッシュ値を暗号化鍵として使うことである。個体の暗号化鍵および復号鍵は非対称鍵ペアとして生成されてもよい。代替として、個体の暗号化鍵および復号鍵は同じ秘密の対称鍵であってもよい。いずれにせよ、個体の復号鍵(およびバイオメトリックデータ自身)は秘密に保たれねばならない。
【0017】
本発明のもう一つの実施形態によれば、バイオメトリックデータはノイズ不変となるように処理され、暗号化/復号の鍵はそのノイズ不変なバイオメトリックデータから導出される。この実施形態は、測定されたバイオメトリックデータはノイズを含んでいることがあり、アナログのバイオメトリックデータの離散値への量子化の結果がノイズのランダム性のため測定によって異なることがあるので、有利である。バイオメトリックデータにおける小規模な食い違い、たとえばノイズによる破損によって引き起こされる食い違いは、量子化過程において拡大されうるので、該過程の実際の結果は期待される(ノイズのない)結果とほとんど、あるいは全く似ていないことになるのである。
【0018】
よって、ある組のバイオメトリックデータから導出される暗号鍵はこの特定の組のバイオメトリックデータについて有効である。暗号化された識別子が認証装置に保存されているとき、使用される特定の暗号化鍵は第一の組のバイオメトリックデータの結果である。この特定の暗号化された識別子がその後当該個体において認証装置から受け取られるとき、対応する秘密の復号鍵を導出するために使われるのは第二の組のバイオメトリックデータ、すなわち当該個体によって提供される現在のバイオメトリックデータである。しかしながら、ノイズのランダム性のため、この復号鍵は第一の組のバイオメトリックデータに属する復号鍵には似ていないことがありえ、結果として、当該個体は識別子を知っていることを証明できなくなる。
【0019】
量子化過程において期待されるノイズのない結果に似ていない結果を生じるリスクを減らすため、測定されたバイオメトリックデータから堅牢なデータの組が生成される。この堅牢なデータの組はノイズ不変であり、暗号化/復号鍵を生成するために使用されることになる。
【0020】
本発明のあるさらなる実施形態によれば、個体のバイオメトリックデータからの鍵の導出は、当該個体によって信頼される、安全な(secure)耐タンパー性の環境またはモジュールにおいて実行される。悪意の第三者が暗号鍵を破ること、またセキュリティ上機微な情報を入手する――これは最終的には、指紋などの個体の秘密が明かされるというきわめて望ましくない事実につながりうる――ことを妨げるため、機微な情報は慎重に扱わねばならない。
【0021】
本発明のさらにいま一つの実施形態によれば、当該個体が識別子を知っているという証明は、当該個体と任意の第三者との間で零知識プロトコルを用いることによって提供される。このことは、攻撃者が任意の第三者に対して当該個体であるとなりすますことはできないという利点を有している。このことはまた、個体のバイオメトリックデータがいかなるリンクを介しても通信されることがないという利点を有している。
【0022】
本発明のさらにいま一つの実施形態によれば、各識別子は、当該個体において生成された秘密のランダム情報を含んでおり、識別子に基づいたそれぞれの値は、やはり当該個体において計算される、対応する秘密のランダム情報の冪の関数を含む。このことは、秘密のランダム情報が平方根の計算が困難である数の群から選ばれることができるので有利である。識別子に基づく値は、よって、フィアット・シャミール・プロトコルに従って、秘密のランダム情報の2乗として表せる。代替的に、前記値は、前記秘密のランダム情報をギユー・キスケーター・プロトコルに従って、他の何らかの因子p乗したものとして表されてもよい。
【0023】
本発明のさらにいま一つの実施形態によれば、各データ構造は添え字を含み、認証装置に保存されている特定のデータ構造の暗号化された識別子を達成する前記要求は、該特定のデータ構造の添え字を含む。認証装置は多数のデータ構造を記憶中に有しうるので、個体が認証装置に対してどの暗号化された識別子を要求しているかを示すための方法がなければならない。前記の添え字は、ある既知の値をノイズのないバイオメトリックデータのハッシュ値を用いて暗号化したものとして計算されうる。ノイズのないバイオメトリックデータのハッシュ値が、ノイズのないバイオメトリックデータそのものの代わりに鍵として使用される場合、攻撃者が前記ノイズのないバイオメトリックデータを既知平文攻撃を通じて入手することは困難になる。
【0024】
本発明のさらなる特徴および利点は、付属の請求項および以下の記述を研究すると明らかになるであろう。当業者は本発明の異なる特徴を組み合わせて以下に記載されている以外の実施形態を創り出すことができることを認識するものである。
【0025】
本発明の好ましい実施形態について、付属の図面を参照しつつ詳細に述べる。
【発明を実施するための最良の形態】
【0026】
図1は、個体に関連付けられたバイオメトリックデータに基づく、個体の識別および認証のための基本的な従来技術のシステムを示している。個体の生のバイオメトリックデータ、たとえば指紋、虹彩または網膜、顔もしくは手の幾何学形状、声の特徴などがセンサー101で取得される。取得されたデータは典型的には、デジタル信号プロセッサ(DSP)のような処理装置102において処理される。このデータは次いで、サービス提供者の好ましくは暗号化された形でデータベース103に保存される。これは、その特定のシステムにアクセスしたい個体について該個体を登録するために一度実行される初期化手順である。暗号化は個体の素性、すなわちバイオメトリックデータを保護するために実行される。その後、個体は、そのサービスにアクセスしたいときにバイオメトリックデータをセンサー102に提供する。このデータは次いで、処理ののち、以前にデータベースに保存されたその個体のバイオメトリックデータと比較される。比較で一致があれば、その個体は提供されるそのサービスへのアクセスが与えられる。
【0027】
個体のバイオメトリックデータは、いくつかの異なるアプリケーションおよび/またはサービス提供者、たとえば銀行、デパート、フィットネスクラブ、図書館などによって使用されることがある。このことは、このシステムにセキュリティの問題をもたらす。保存されているバイオメトリックデータを入手しようとする攻撃がされうるからである。攻撃が成功すれば、ハッカーがあるアプリケーションからバイオメトリックデータを入手し、そのデータを使って別のアプリケーションでその個体になりすますという効果をもちうる。
【0028】
したがって、図2に示されるように、異なるアプリケーションに関係するデータベース中のバイオメトリックデータの暗号化は異なる鍵で実行されるべきである。個体のバイオメトリックデータがセンサー201で取得され、処理装置202において第一の暗号化鍵を用いて暗号化された上でデータベース203に保存される。データベース相互マッチング攻撃を避けるため、異なるデータベースに含まれるフィンガープリントを暗号化するためには異なる鍵が使われるべきである。よって、データベース204に保存されるバイオメトリックデータは、前記第一の鍵とは異なる第二の暗号化鍵で暗号化される。しかし、従来式の暗号システムと同様、暗号鍵が破られた場合には、ハッカーはフィンガープリントを入手できる。これは、フィンガープリント、すなわち個体の素性を実際に「盗む」ことと等価である。その後はそのハッカーは素性を盗んだ人物になりすますことができる。よって、暗号化されたバイオメトリック特徴を保存したり、悪意ある人物がバイオメトリック特徴またはセキュリティ上機微な暗号鍵を入手しうるような仕方で暗号化/復号操作を実行したりすることは回避されなければならない。
【0029】
もう一つの問題は鍵管理、すなわち暗号鍵をどこにどのようにして保存するかという問題である。好ましくは、これは、システムを攻撃にさらすリスクを最小化するような方法でされなければならない。鍵は、バイオメトリックデータも保存されているデータベース中に平文で保存することもできる。しかしながら、このストレートな解決策は攻撃の余地がある。攻撃者がセンサー201とデータベース203から暗号化鍵が転送される先の処理装置202との間の線を盗聴できれば、バイオメトリックデータを入手しうるのである。暗号鍵は代替的に、その個体の比較的安全な装置、たとえばスマートカード上に保存されてもよい。この場合、個体がシステムにアクセスしたいたびに、その個体は暗号鍵を処理装置202にスマートカード(図示せず)を介して提供しなければならない。しかしながら、線が盗聴されうるという問題は依然として残っている。盗聴者がスマートカードと該スマートカードから暗号化鍵が転送される先の処理装置202との間の線を盗聴すれば、バイオメトリックデータを入手しうるのである。
【0030】
図3は、本発明のある実施形態に基づく認証システムを示している。「個体」は、ユーザー装置321の形で示されており、これはたとえば、携帯電話、PDA、ラップトップ、携帯オーディオプレーヤーまたはコンピューティングおよび通信機能をもつ他の何らかの適切な装置といった装置に配置されたスマートカードまたはUSBドングルでありうる。さらに、ユーザー装置が認証を望んでいる認証装置311が示されている。典型的には図3に示したようなシステムは複数のユーザー装置を含んでおり、認証装置もいくつか含みうる。複数の認証装置は典型的には異なるサービス提供者によって管理されるものである。
【0031】
装置、すなわちユーザー装置、認証装置は、たとえばインターネットのようなネットワーク340を介して相互接続されてもよいが、図のように通信チャネル341を介して直接的に相互接続されることもできる。よって、装置は物理的に遠く隔たっていてもよいが、一方で互いに近接したところにあっても、あるいは同じ物理装置内にあってもよい。コンピューティング機能は典型的には各装置内の処理ユニット312、322によって具現される。処理ユニットはプロセッサ313、323、メモリ314、324および可能性としては必要なその他の標準的な電子設備を含む。処理ユニットはたとえば、暗号化/復号の機能を扱う。装置311、321のそれぞれは、ネットワークから、あるいは他の装置から情報を受け取るための受信手段316、326および情報を送信するための送信手段317、327をもつよう構成される。
【0032】
システム中に含まれる装置は準拠装置であると想定される。これは、それらの装置が所与の規格に準拠しており、ある種の動作規則に従うということを意味する。これはまた、それらの装置が、呈された質問および要求に期待された仕方で答えるようある種のプロトコルによって通信するということをも意味している。当業者は装置311、321中の処理ユニット312、322は典型的には図4〜5との関連で述べるようなステップを遂行するための適切なソフトウェアを実行することを認識するものである。
【0033】
認証が可能であるためには、ユーザー装置321は認証装置311に登録しなければならない。個体は一つまたは複数の秘密の乱数RAN(m=1,2,...,MとしてRANm)を生成する。RANはそのユーザー装置の識別子と称される。秘密の乱数RAN∈Zn*の属性は、乗法群Zn*において平方根を計算するのが困難な問題であるというものである。
【0034】
次に、ユーザー装置は前記秘密の数をある暗号化鍵を用いて暗号化する。暗号化鍵は当該個体の秘密、たとえばその個体しか知らないコードに基づいており、その個体のみが暗号化された識別子を平文に変換できる。個体はその秘密の値をユーザー装置に供給し、ユーザー装置が暗号処理を実行する。ユーザー装置はその後秘密を破棄する。この暗号化鍵に対応する復号鍵は秘密であり、そのユーザー装置のみが知っている。暗号化鍵/復号鍵は対称鍵ペアをなすものでもよく、その場合、両鍵は同一で、秘密である。あるいはまた、暗号化鍵/復号鍵は非対称鍵ペアをなすものでもよく、その場合、少なくとも復号鍵(すなわち、ペアのうちの秘密鍵)は秘密である。本実施形態の以下の記述では、非対称鍵ペアが使われるものと想定する。その際、ユーザー装置はRANのすべてのMの値(すなわち、m=1,2,...,M)についてPK[RANm]を計算する。ここで、PK[RAN]はRANのPKによる暗号化で、PKはそのユーザー装置の公開鍵(public key)である。その鍵は個体の秘密に基づいている。ユーザー装置はまたRANm2も計算し、これが認証装置311に送られるデータ構造中に含められることになる。
【0035】
図4を参照すると、認証装置411におけるユーザー装置421の認証手順がタイムライン420に沿って示されている。ユーザー装置は認証装置に、
[RAN2, PK[RAN]]
の形のデータ構造をある数M個送る。つまり、認証装置は、ステップ431において、それぞれが当該ユーザー装置に属する識別子RANmに基づく値RANm2と識別子の少なくとも一つの暗号化されたコピーPK[RANm]とを含む複数M個のデータ構造を保存する。ここまでに述べた手順は登録手順であり、理想的には一回のみ実行されるのでよい。すなわち、認証装置421に保存されたデータ構造は、ユーザー装置411が自らの認証をしたいたびに何度でも使用されうる。システムにおいてより高度なセキュリティが要求される場合には、時折認証装置に保存されているデータ構造を更新することが必要となることもある。
【0036】
ユーザー装置の登録がすむと、ステップ432において、認証装置はユーザー装置から該ユーザー装置に属する特定の暗号化された識別子PK[RANm]を入手する要求を受け取る。この暗号化された識別子は、認証装置において保存されたデータ構造中に以前に含められたものである。この要求を受け取ると、認証装置はステップ433においてその特定の暗号化された識別子をユーザー装置に送り返す。識別子は、暗号化された識別子を公開鍵PKに対応する秘密鍵SKを用いて復号することによって、ユーザー装置において平文で入手される。これができるのは、その個体の秘密がユーザー装置に提供される場合にのみである。
【0037】
最後に、ステップ434において、認証装置は、そのユーザー装置が、以前に認証装置に送られたデータ構造中に含まれていた識別子RANを知っているという証明を受け取る。
【0038】
この証明は、ユーザー装置421と認証装置411との間の零知識プロトコルによって提供されうる。秘密の乱数RAN∈Zn*を知っていることを認証装置に対して証明するためには、よく知られたフィアット・シャミール(Fiat-Shamir)認証プロトコルを使うことができる。ここで、RANの二乗の値RAN2は前記データ構造から認証装置に利用可能となっている。前記プロトコルは、乗法群Zn*において平方根を計算することが困難な問題であるという事実に基づいている。通信コストが問題になる用途では、たとえばユーザー装置がスマートカードを使って実装される場合には、RANのより高次の冪(pを素数としてRANp)を用いるギユー・キスケーター(Guillou-Quisquater)認証プロトコルがより好適である。ユーザー装置と認証装置との間の交換を最小に保てるからである。値RANは、認証装置に保存されるそれぞれのデータ構造について異なる、ランダムに選ばれたZn*中の値であり、よって値RAN2もデータ構造ごとに一意的である。RAN値をユーザー装置中の記憶に保存しておくことが必要でないことに注意されたい。
【0039】
ユーザー装置復号鍵SKは明らかになっていない。該復号鍵SKは、所与のユーザー装置のすべてのデータ構造について同じであっても、あるいは少なくとも共通の鍵生成データに由来してはいるが異なる構造については異なっていてもよい。公開鍵PKに対応する秘密鍵SKへのアクセスを有するのはそのユーザー装置だけなので、そのユーザーのみがデータ構造からRANを取得できる。ユーザー認証のステップが起こるのは、暗黙的には、ユーザー装置が値RANを取得するときである。というのも、値RANを得るためにPK[RAN]を復号できるのは、ユーザー公開鍵PKに対応する秘密鍵SKを知っているユーザーだけだからである。
【0040】
認証装置においてユーザー装置に権限を与えるために本発明で使用される通信プロトコルは典型的にはカット・選択(cut and choose)型である。すなわち、ユーザー装置が特定の手順に従って計算されたいくつかの秘密の値を生成する。この所与の手順に従って計算された秘密は、その秘密が明かされなければ検証できない。したがって、認証装置はランダムにこれらの秘密の値のうちのいくつかを選択し、ユーザー装置はそれらの値を認証装置に明かす。これらの値のうち少なくとも一つが所与の手順に従って計算されていない場合には、認証装置は他のすべての値を拒否し、プロトコルは終了する。他方、これらの値のすべてが所与の手順に従って計算されていたら、認証装置は明かされなかった秘密の値も所与の手順に従って計算されていると確信できる。
【0041】
よって、零知識プロトコルに携わったあとでは、認証装置411はユーザー装置421が識別子RAN(そのユーザー装置しか知り得ない値)を知っていると確信するが、その識別子について認証装置には何も明かされていない。零知識プロトコルの間、ユーザー装置と認証装置との間では数ラウンドの情報交換があるが、それぞれのラウンドにおいて、ユーザー装置が実際に識別子RANを知っているという事実を与えられ、認証装置の確信は上昇する。認証装置が、そのユーザー装置が識別子RANを知っていると十分に確信した場合には、それはしかるべく行動する。認証装置がコンテンツ装置として行動する場合、それはユーザーに、たとえばMPEGもしくはMP3ファイルまたはその他のオーディオおよび/またはビデオコンテンツの形でのデジタルコンテンツへのアクセスを与えることができる。別の実施形態では、認証装置はその結果をコンテンツ装置として機能する別の装置に通信することができる。図4との関連で述べた手順を用いて、認証装置411は、ユーザー装置421が、暗号化されて保存されたデータ構造に含まれている識別子RANを暗号化するのに使われた公開鍵PKに対応する秘密鍵SKを知っていると確信できる。しかし、認証装置はその公開鍵について何も知ることはない。
【実施例】
【0042】
本発明のもう一つの実施形態では、バイオメトリックデータが個体を識別するために使われる認証システムが提供される。この特定の実施形態に基づくシステムの説明のため、再び図3を参照する。本実施形態の以下の記述では、これまでユーザー装置と称してきた321で表される装置は、センサー装置と称される。認証が可能であるためには、個体は、センサー装置321によって、認証装置311に登録する必要がある。
【0043】
まず、センサー装置は一つまたは複数の秘密の乱数RAN(m=1,2,...,MとしてRANm)を生成する。次に。センサー装置は前記秘密の数をある暗号化鍵を用いて暗号化する。本実施形態では、個体はセンサー装置321のところにあるシステムに物理的に近づき、センサー装置がその個体のバイオメトリックデータを取得する。物理的特徴、たとえば個人の指紋がセンサーによって量子化されてデジタルのバイオメトリックデータBとなる。これが暗号鍵を生成するために用いられる。鍵の生成はいくつかの方法で実施されうる。たとえば、暗号化鍵は量子化されたバイオメトリックデータBの正確なコピーであってもよい。鍵生成のもう一つの方法は、バイオメトリックデータのハッシュ値を計算しそのハッシュ値H(B)を暗号化鍵として使うことである。個体の暗号化鍵および復号鍵は非対称鍵ペアとして生成されてもよい。代替として、個体の暗号化鍵および復号鍵は同じ秘密の対称鍵であってもよい。この場合、ペアの両方の鍵を秘密に保たねばならない。暗号関係の処理を実行する多くの異なる方法が当業者には認識される。いずれにせよ、個体の復号鍵(およびバイオメトリックデータ自身)は秘密に保たれねばならない。本実施形態の以下の記述では、対称鍵ペアが使われるものと想定する。
【0044】
その際、センサー装置321はRANのすべてのMの値(すなわち、m=1,2,...,M)についてB[RANm]を計算する。ここで、B[RAN]はRANのBによる暗号化で、Bはその個体のデジタルバイオメトリックデータである。センサー装置はまたRANm2も計算し、これが認証装置311に送られるデータ構造中に含められることになる。センサー装置は、バイオメトリックデータBも秘密の乱数RANも開示したり保存したりしないという点で信頼される。センサー装置は、センサー装置への攻撃が妨げられるよう耐タンパー性機器に納められるべきでもある。
【0045】
図5を参照すると、認証装置511におけるセンサー装置521による個体の認証手順がタイムライン520に沿って示されている。センサー装置521は認証装置に、
[RAN2, B[RAN]]
の形のデータ構造をある数M個送る。つまり、認証装置は、ステップ531において、それぞれが識別子RANmに基づく値RANm2と識別子の少なくとも一つの暗号化されたコピーB[RANm]とを含む複数M個のデータ構造を保存する。個体の登録ののち、ステップ532において、認証装置はセンサー装置から特定の暗号化された識別子B[RANm]を入手する要求を受け取る。この暗号化された識別子は、認証装置において保存されたデータ構造中に以前に含められたものである。この要求を受け取ると、認証装置はステップ533においてその特定の暗号化された識別子を返す。識別子は、暗号化された識別子を暗号化鍵Bに対応する対称な復号鍵Bを用いて復号することによって、ユーザー装置において平文で入手される。識別子が入手できるのは、その個体がセンサー装置に正しいバイオメトリックデータを提供する、すなわちセンサー装置にフィンガープリントを供給する場合のみである。
【0046】
最後に、ステップ534において、認証装置は、そのユーザー装置が、以前に認証装置に送られたデータ構造中に含まれていた識別子RANを知っているという証明を零知識プロトコルによって受け取る。ここでもまた、復号鍵Bへのアクセスを有するのはその個体だけなので、そのユーザーのみがデータ構造からRANを取得できる。個体認証のステップが起こるのは、暗黙的には、ユーザー装置が値RANを取得するときである。というのも、値RANを得るためにB[RAN]を復号できるのは、鍵Bを知っている個体だけだからである。
【0047】
装置/個体が上記のように認証装置に保存されている特定の暗号化された識別子を入手する要求をするとき、個体が認証装置に対して、どの特定の暗号化された識別子を要求しているのかを示す方法がなくてはならない。よって、添え字Indを各データ構造中に含めることができる。
【0048】
[RAN2, B[RAN], Ind]
IndはInd=H(B)[N]として計算されうる。ここでNはある標準的な値で、これがバイオメトリックデータのハッシュ値H(B)を用いて暗号化される。バイオメトリックデータそのものの代わりにハッシュ値を使うことによって、既知平文攻撃(Nが秘密でないという事実により既知平文である)を妨げることができる。認証装置は多数のデータ構造を記憶中に有しうるので、前記の添え字は、個体が認証装置に対してどの暗号化された識別子を要求しているかを示すことを可能にする。
【0049】
本発明のもう一つの実施形態によれば、測定されたバイオメトリックデータはノイズを含んでいることがありうるので、アナログのバイオメトリックデータから離散値への量子化の結果がノイズのランダム性のため測定によって異なることがあるので、バイオメトリックデータはノイズ不変となるように処理され、暗号化/復号の鍵はそのノイズ不変なバイオメトリックデータから導出される。暗号鍵を生成するために用いられるデジタルバイオメトリックデータに量子化される指紋などの物理的特徴について何回かの測定を実行することによって、比較的ノイズのないバイオメトリックデータを得ることができる。
【0050】
本発明について特定の例示的な実施形態を参照しつつ述べてきたが、当業者には数多くの異なる変更、修正などが明らかとなるであろう。したがって、記載された実施形態は、付属の請求項において定義される本発明の範囲を限定することを意図したものではない。
【図面の簡単な説明】
【0051】
【図1】個体に関連付けられたバイオメトリックデータに基づく、個体の識別および認証のための基本的な従来技術のシステムを示す図である。
【図2】異なるデータベースに保存されたバイオメトリックデータの暗号化が異なる鍵で実行されるべきである従来技術のシステムを示す図である。
【図3】本発明のある実施形態に基づく認証システムを示す図である。
【図4】認証装置におけるユーザー装置の認証手順を示す図である。
【図5】認証装置における個体の認証手順を示す図である。
【技術分野】
【0001】
本発明は、認証装置において個体を認証する方法および個体を認証するための認証システムに関する。
【背景技術】
【0002】
物理的オブジェクトの認証は、セキュリティ管理されたビルへの条件付きアクセスもしくはデジタルデータ(たとえばコンピュータもしくはリムーバブル記憶媒体に保存されているもの)への条件付きアクセス、あるいは識別目的のため(たとえば特定の行動について識別された個人に課金するため)といった多くの用途において使用されうる。
【0003】
識別および/または認証のためにバイオメトリクスを使うことは、パスワードや暗証コードといった伝統的な識別手段に対するよりよい代替であるとますます考えられるようになってきている。パスワード/暗証コードの形の識別を要求するシステムの数は着実に増え続けており、その結果、ユーザーが暗記しなければならないパスワード/暗証コードの数も増え続けている。さらなる帰結として、パスワード/暗証コードを暗記するのが難しいため、ユーザーはそれをメモし、盗まれる危険にさらしている。従来技術では、この問題に対するトークンの使用を含む解決策が提案されている。しかし、トークンはなくしたり、および/または盗まれたりすることもある。この問題へのより好ましい解決策は、バイオメトリック認証の使用である。バイオメトリック認証では、指紋、虹彩、顔などといった特徴がユーザーの識別を提供するために使われる。明らかに、ユーザーはバイオメトリック特徴をなくしたり忘れたりすることはなく、書き留めたり暗記したりする必要もない。
【0004】
バイオメトリック特徴は参照データに比較される。一致が生じれば、ユーザーは識別され、アクセスが認められることができる。ユーザーについての参照データは先に入手されていて、たとえばセキュリティで保護されたデータベースまたはスマートカードに安全に保存されている。認証されるべき物理的オブジェクトは人間でなくてもよい。たとえば、オブジェクトは、保護されたデジタルコンテンツを含んでいるCD、DVDまたは半導体メモリのような記憶媒体であってもよい。その場合、バイオメトリクスは必ずしも使われないが、類似の仕方で、秘密に保たれるべき何らかの識別特徴(ビットシーケンスなどの形の)が提供され、対応する参照データと比較される。
【0005】
ハッカーがセキュリティシステム中の秘密を知るに至るなどしてシステムにおける秘密の破れが生じたときは常に、(期せずして)明かされた秘密を置き換える必要がある。典型的には、従来式の暗号システムにおいては、これは明かされた秘密の暗号鍵を失効させ、関係するユーザーに新しい鍵を配送することによって行われる。パスワードまたは暗証コードが暴かれた場合、それは新しいもので置き換えられる。バイオメトリックシステムでは、明らかに対応する身体部分は置き換えることはできないので、状況はもう少し複雑になる。この点で、多くのバイオメトリックは静的である。よって、バイオメトリック測定(一般にノイズがある)から秘密情報を導出する方法であって、必要であれば導出された秘密情報を更新することが可能であるものを開発することが重要である。バイオメトリックスは人間についての機微な情報を提供するので、バイオメトリックデータの保存、管理および使用に関係してプライバシーの問題がある。これらの問題を解決または少なくとも緩和するために、バイオメトリックデータはデータベース中に平文で保存されるべきではなく、プライバシーを提供し、データベース相互マッチング攻撃(database cross-matching attacks)を回避するために、暗号化された秘匿の形で保存されるべきである。バイオメトリクスに関するセキュリティ関係の問題を解決することによって、バイオメトリック識別についての受容レベルが向上するであろう。
【0006】
典型的には、バイオメトリクスに関係したプライバシー問題を解決する方法は、指紋などのバイオメトリック特徴をシステムに保存する前に暗号化することである。データベース相互マッチング攻撃を回避するため、異なるデータベースに含まれる指紋を暗号化するためには異なる鍵が使われるべきである。しかし、通常の暗号システムにおけるように、暗号鍵が破られればハッカーが指紋を入手できる。これは実際に指紋、すなわち個人の素性(identity)を「盗む」ことと等価である。その後はそのハッカーは素性を盗んだ人物になりすますことができる。上記した問題を克服するためには、暗号化されたバイオメトリック特徴を保存したり、悪意ある人物がバイオメトリック特徴またはセキュリティ上機微な暗号鍵を入手しうるような仕方で暗号化/復号操作を実行したりすることは回避されなければならない。
【0007】
米国特許出願第2002/0124176号はバイオメトリック情報に基づく認証およびアクセスコントロールのためのトークンデバイスを開示している。トークンデバイスは、権限のあるユーザーのバイオメトリック情報に基づく鍵の暗号化を含んでいる。セキュリティシステムはこのトークンデバイスと通信して、そのトークンの現在のユーザーが認可されたユーザーであるかどうかを判定する。トークンデバイスは、セキュリティシステムと安全に動作するために権限のあるユーザーからのバイオメトリック情報の存在を要求し、そのバイオメトリック情報をセキュリティシステムにおいて使用するための前述した鍵の復号のために使用する。こうして、バイオメトリック情報がトークンに呈示されている間にトークンがセキュリティシステムに呈示された場合にのみアクセスが認められることになる。トークンまたはバイオメトリック情報のいずれかがなければ、アクセスは阻まれる。よって、バイオメトリック情報のコピーはトークンがなければ用をなさず、バイオメトリック情報およびトークンの両方のセキュリティが破れた場合の影響は、破られたトークンを無効化することによって最小にできる。
【0008】
しかし、US2002/0124176についての問題は、ユーザーに属するトークンはその特定のユーザーに固有だということである。結果として、ユーザーはトークンを携行して、そのトークンをユーザーが認証プロセスを実行したいアプリケーション/セキュリティシステムのところに持っていかなければならない。
【発明の開示】
【発明が解決しようとする課題】
【0009】
本発明の第一の目的は、上に挙げた、暗号化されたバイオメトリック特徴の保存をいかにして回避するか、そして悪意ある人物がバイオメトリック特徴またはセキュリティ上機微な暗号鍵を入手しうるような仕方で暗号化/復号操作を実行することをいかにして回避するかというという問題を解決することである。
【0010】
本発明の第二の目的は、上に挙げた、ユーザー固有でなく、かつユーザーが携行する必要のない情報登録デバイスを提供する認証システムをいかにして提供するかという問題を解決することである。
【0011】
これらの目的は、請求項に記載される認証装置において個体を認証する方法および請求項に記載される個体を認証するための認証システムによって達成される。
【課題を解決するための手段】
【0012】
本発明の第一の側面によれば、認証装置において個体を認証する方法であって、該認証装置において、当該個体に属する識別子に基づくある値および該識別子の暗号化されたコピーを含む少なくとも一つのデータ構造を保存するステップを含む方法が提供される。ここで、暗号化鍵は当該個体の秘密に基づいている。本方法はさらに、前記認証装置において、当該個体から、前記認証装置に保存されている特定のデータ構造に含まれている暗号化された識別子を達成する要求を受け取り、前記認証装置から当該個体に、要求された暗号化された識別子を送るステップを有する。本方法にはさらに、前記認証装置において、当該個体から、当該個体がその識別子を知っていることの証明を受け取るステップが含まれる。該識別子は、当該個体において、前記暗号化された識別子を対応する秘密の復号鍵によって復号することによって得られたものである。
【0013】
本発明の第二の側面によれば、個体を認証するための認証システムであって、当該個体に属する識別子に基づくある値および該識別子の暗号化されたコピーを含む少なくとも一つのデータ構造を保存する手段であって、ここで暗号化鍵は当該個体の秘密に基づいているような手段と、当該個体から、当該認証装置に保存されている特定のデータ構造に含まれている暗号化された識別子を達成する要求を受け取る手段とを有するよう構成されシステムが提供される。本システムはさらに、当該個体に、要求された暗号化された識別子を送る手段を有している。ここで、前記受け取る手段はさらに、当該個体から、当該個体がその識別子を知っていることの証明を受け取るよう構成されている。前記識別子は、当該個体において、前記暗号化された識別子を対応する秘密復号鍵によって復号することによって得られたものである。
【0014】
本発明の基本的な発想は、個体が自分を認証したい装置またはシステムにおいて一つまたは複数のデータ構造を保存し、そのそれぞれが当該個体に属する識別子に基づく値および該識別子の暗号化されたコピーを含むというものである。識別子を暗号化するのに用いられる暗号化鍵は個体の秘密に基づいている。「個体(individual)」という用語は必ずしも人の個体(individual person)を意味するとは限らず、個別装置(individual device)を含意することもありうる。たとえば携帯電話、PDA、ラップトップ、携帯オーディオプレーヤーまたはその他コンピューティングおよび通信機能をもつ何らかの適切な装置といったものである。個別装置の用語はまた、スマートカードまたは携帯電話のような装置に含まれるその他何らかの耐タンパー性機器をも含意しうる。個体が自らを認証したいとき、個体は認証装置にコンタクトし、それにより認証装置に保存されている特定のデータ構造に含まれる暗号化された識別子を達成する要求がなされる。この要求を受け取ったところで、認証装置は要求された暗号化された識別子を個体に送る。個体は暗号化された識別子を、その識別子を暗号化するのに使われたその個体の暗号化鍵に対応する秘密復号鍵で復号し、認証装置に対してその識別子を実際に知っているという証明を提供する。
【0015】
本発明は、当該個体に属する識別子に基づく値および該識別子の暗号化されたコピーを認証装置において保存することにより、当該個体がその後、保存されている識別子の知識を証明できるので有利である。識別子がその個体の暗号化鍵で暗号化されており、その暗号化鍵はその個体の秘密に基づいているという属性をもつが、その秘密は暗号化された識別子を解析することによって導出することはできないという事実のため、当該個体は自分の秘密を明かすことなく識別子を知っていることを証明できる。暗号化された識別子を復号するのに使われる、個体の秘密に基づく暗号化鍵に対応する復号鍵はその個体しか知らないので、その個体しか識別子を平文で持つことはできない。その個体が識別子を知っているという証明は、その識別子に基づく値を知っていることを証明することによって提供されうる。前記値は、その値から識別子そのものを導出するのは容易にはできないよう選ばれる。この値は、上述したように、認証装置において保存される。よって、認証装置は、その個体が主張するとおりのものであることを確信し、よってその個体は認証される。秘密はその個体に一意的な、その個体が明かすことを望まない任意の秘密であってよい。
【0016】
本発明のある実施形態によれば、暗号化/復号鍵は個体のバイオメトリックデータから導かれる。すなわち、前記個体の秘密は指紋、虹彩または網膜、顔もしくは手の幾何学形状、声の特徴などといったバイオメトリックデータを含む。指紋などの物理的特徴は量子化されてデジタルデータとなり、それが暗号鍵の生成に用いられる。鍵の生成はいくつかの方法で実施されうる。たとえば、暗号化鍵は量子化されたバイオメトリックデータの正確なコピーであってもよい。鍵生成のもう一つの方法は、バイオメトリックデータのハッシュ値を計算しそのハッシュ値を暗号化鍵として使うことである。個体の暗号化鍵および復号鍵は非対称鍵ペアとして生成されてもよい。代替として、個体の暗号化鍵および復号鍵は同じ秘密の対称鍵であってもよい。いずれにせよ、個体の復号鍵(およびバイオメトリックデータ自身)は秘密に保たれねばならない。
【0017】
本発明のもう一つの実施形態によれば、バイオメトリックデータはノイズ不変となるように処理され、暗号化/復号の鍵はそのノイズ不変なバイオメトリックデータから導出される。この実施形態は、測定されたバイオメトリックデータはノイズを含んでいることがあり、アナログのバイオメトリックデータの離散値への量子化の結果がノイズのランダム性のため測定によって異なることがあるので、有利である。バイオメトリックデータにおける小規模な食い違い、たとえばノイズによる破損によって引き起こされる食い違いは、量子化過程において拡大されうるので、該過程の実際の結果は期待される(ノイズのない)結果とほとんど、あるいは全く似ていないことになるのである。
【0018】
よって、ある組のバイオメトリックデータから導出される暗号鍵はこの特定の組のバイオメトリックデータについて有効である。暗号化された識別子が認証装置に保存されているとき、使用される特定の暗号化鍵は第一の組のバイオメトリックデータの結果である。この特定の暗号化された識別子がその後当該個体において認証装置から受け取られるとき、対応する秘密の復号鍵を導出するために使われるのは第二の組のバイオメトリックデータ、すなわち当該個体によって提供される現在のバイオメトリックデータである。しかしながら、ノイズのランダム性のため、この復号鍵は第一の組のバイオメトリックデータに属する復号鍵には似ていないことがありえ、結果として、当該個体は識別子を知っていることを証明できなくなる。
【0019】
量子化過程において期待されるノイズのない結果に似ていない結果を生じるリスクを減らすため、測定されたバイオメトリックデータから堅牢なデータの組が生成される。この堅牢なデータの組はノイズ不変であり、暗号化/復号鍵を生成するために使用されることになる。
【0020】
本発明のあるさらなる実施形態によれば、個体のバイオメトリックデータからの鍵の導出は、当該個体によって信頼される、安全な(secure)耐タンパー性の環境またはモジュールにおいて実行される。悪意の第三者が暗号鍵を破ること、またセキュリティ上機微な情報を入手する――これは最終的には、指紋などの個体の秘密が明かされるというきわめて望ましくない事実につながりうる――ことを妨げるため、機微な情報は慎重に扱わねばならない。
【0021】
本発明のさらにいま一つの実施形態によれば、当該個体が識別子を知っているという証明は、当該個体と任意の第三者との間で零知識プロトコルを用いることによって提供される。このことは、攻撃者が任意の第三者に対して当該個体であるとなりすますことはできないという利点を有している。このことはまた、個体のバイオメトリックデータがいかなるリンクを介しても通信されることがないという利点を有している。
【0022】
本発明のさらにいま一つの実施形態によれば、各識別子は、当該個体において生成された秘密のランダム情報を含んでおり、識別子に基づいたそれぞれの値は、やはり当該個体において計算される、対応する秘密のランダム情報の冪の関数を含む。このことは、秘密のランダム情報が平方根の計算が困難である数の群から選ばれることができるので有利である。識別子に基づく値は、よって、フィアット・シャミール・プロトコルに従って、秘密のランダム情報の2乗として表せる。代替的に、前記値は、前記秘密のランダム情報をギユー・キスケーター・プロトコルに従って、他の何らかの因子p乗したものとして表されてもよい。
【0023】
本発明のさらにいま一つの実施形態によれば、各データ構造は添え字を含み、認証装置に保存されている特定のデータ構造の暗号化された識別子を達成する前記要求は、該特定のデータ構造の添え字を含む。認証装置は多数のデータ構造を記憶中に有しうるので、個体が認証装置に対してどの暗号化された識別子を要求しているかを示すための方法がなければならない。前記の添え字は、ある既知の値をノイズのないバイオメトリックデータのハッシュ値を用いて暗号化したものとして計算されうる。ノイズのないバイオメトリックデータのハッシュ値が、ノイズのないバイオメトリックデータそのものの代わりに鍵として使用される場合、攻撃者が前記ノイズのないバイオメトリックデータを既知平文攻撃を通じて入手することは困難になる。
【0024】
本発明のさらなる特徴および利点は、付属の請求項および以下の記述を研究すると明らかになるであろう。当業者は本発明の異なる特徴を組み合わせて以下に記載されている以外の実施形態を創り出すことができることを認識するものである。
【0025】
本発明の好ましい実施形態について、付属の図面を参照しつつ詳細に述べる。
【発明を実施するための最良の形態】
【0026】
図1は、個体に関連付けられたバイオメトリックデータに基づく、個体の識別および認証のための基本的な従来技術のシステムを示している。個体の生のバイオメトリックデータ、たとえば指紋、虹彩または網膜、顔もしくは手の幾何学形状、声の特徴などがセンサー101で取得される。取得されたデータは典型的には、デジタル信号プロセッサ(DSP)のような処理装置102において処理される。このデータは次いで、サービス提供者の好ましくは暗号化された形でデータベース103に保存される。これは、その特定のシステムにアクセスしたい個体について該個体を登録するために一度実行される初期化手順である。暗号化は個体の素性、すなわちバイオメトリックデータを保護するために実行される。その後、個体は、そのサービスにアクセスしたいときにバイオメトリックデータをセンサー102に提供する。このデータは次いで、処理ののち、以前にデータベースに保存されたその個体のバイオメトリックデータと比較される。比較で一致があれば、その個体は提供されるそのサービスへのアクセスが与えられる。
【0027】
個体のバイオメトリックデータは、いくつかの異なるアプリケーションおよび/またはサービス提供者、たとえば銀行、デパート、フィットネスクラブ、図書館などによって使用されることがある。このことは、このシステムにセキュリティの問題をもたらす。保存されているバイオメトリックデータを入手しようとする攻撃がされうるからである。攻撃が成功すれば、ハッカーがあるアプリケーションからバイオメトリックデータを入手し、そのデータを使って別のアプリケーションでその個体になりすますという効果をもちうる。
【0028】
したがって、図2に示されるように、異なるアプリケーションに関係するデータベース中のバイオメトリックデータの暗号化は異なる鍵で実行されるべきである。個体のバイオメトリックデータがセンサー201で取得され、処理装置202において第一の暗号化鍵を用いて暗号化された上でデータベース203に保存される。データベース相互マッチング攻撃を避けるため、異なるデータベースに含まれるフィンガープリントを暗号化するためには異なる鍵が使われるべきである。よって、データベース204に保存されるバイオメトリックデータは、前記第一の鍵とは異なる第二の暗号化鍵で暗号化される。しかし、従来式の暗号システムと同様、暗号鍵が破られた場合には、ハッカーはフィンガープリントを入手できる。これは、フィンガープリント、すなわち個体の素性を実際に「盗む」ことと等価である。その後はそのハッカーは素性を盗んだ人物になりすますことができる。よって、暗号化されたバイオメトリック特徴を保存したり、悪意ある人物がバイオメトリック特徴またはセキュリティ上機微な暗号鍵を入手しうるような仕方で暗号化/復号操作を実行したりすることは回避されなければならない。
【0029】
もう一つの問題は鍵管理、すなわち暗号鍵をどこにどのようにして保存するかという問題である。好ましくは、これは、システムを攻撃にさらすリスクを最小化するような方法でされなければならない。鍵は、バイオメトリックデータも保存されているデータベース中に平文で保存することもできる。しかしながら、このストレートな解決策は攻撃の余地がある。攻撃者がセンサー201とデータベース203から暗号化鍵が転送される先の処理装置202との間の線を盗聴できれば、バイオメトリックデータを入手しうるのである。暗号鍵は代替的に、その個体の比較的安全な装置、たとえばスマートカード上に保存されてもよい。この場合、個体がシステムにアクセスしたいたびに、その個体は暗号鍵を処理装置202にスマートカード(図示せず)を介して提供しなければならない。しかしながら、線が盗聴されうるという問題は依然として残っている。盗聴者がスマートカードと該スマートカードから暗号化鍵が転送される先の処理装置202との間の線を盗聴すれば、バイオメトリックデータを入手しうるのである。
【0030】
図3は、本発明のある実施形態に基づく認証システムを示している。「個体」は、ユーザー装置321の形で示されており、これはたとえば、携帯電話、PDA、ラップトップ、携帯オーディオプレーヤーまたはコンピューティングおよび通信機能をもつ他の何らかの適切な装置といった装置に配置されたスマートカードまたはUSBドングルでありうる。さらに、ユーザー装置が認証を望んでいる認証装置311が示されている。典型的には図3に示したようなシステムは複数のユーザー装置を含んでおり、認証装置もいくつか含みうる。複数の認証装置は典型的には異なるサービス提供者によって管理されるものである。
【0031】
装置、すなわちユーザー装置、認証装置は、たとえばインターネットのようなネットワーク340を介して相互接続されてもよいが、図のように通信チャネル341を介して直接的に相互接続されることもできる。よって、装置は物理的に遠く隔たっていてもよいが、一方で互いに近接したところにあっても、あるいは同じ物理装置内にあってもよい。コンピューティング機能は典型的には各装置内の処理ユニット312、322によって具現される。処理ユニットはプロセッサ313、323、メモリ314、324および可能性としては必要なその他の標準的な電子設備を含む。処理ユニットはたとえば、暗号化/復号の機能を扱う。装置311、321のそれぞれは、ネットワークから、あるいは他の装置から情報を受け取るための受信手段316、326および情報を送信するための送信手段317、327をもつよう構成される。
【0032】
システム中に含まれる装置は準拠装置であると想定される。これは、それらの装置が所与の規格に準拠しており、ある種の動作規則に従うということを意味する。これはまた、それらの装置が、呈された質問および要求に期待された仕方で答えるようある種のプロトコルによって通信するということをも意味している。当業者は装置311、321中の処理ユニット312、322は典型的には図4〜5との関連で述べるようなステップを遂行するための適切なソフトウェアを実行することを認識するものである。
【0033】
認証が可能であるためには、ユーザー装置321は認証装置311に登録しなければならない。個体は一つまたは複数の秘密の乱数RAN(m=1,2,...,MとしてRANm)を生成する。RANはそのユーザー装置の識別子と称される。秘密の乱数RAN∈Zn*の属性は、乗法群Zn*において平方根を計算するのが困難な問題であるというものである。
【0034】
次に、ユーザー装置は前記秘密の数をある暗号化鍵を用いて暗号化する。暗号化鍵は当該個体の秘密、たとえばその個体しか知らないコードに基づいており、その個体のみが暗号化された識別子を平文に変換できる。個体はその秘密の値をユーザー装置に供給し、ユーザー装置が暗号処理を実行する。ユーザー装置はその後秘密を破棄する。この暗号化鍵に対応する復号鍵は秘密であり、そのユーザー装置のみが知っている。暗号化鍵/復号鍵は対称鍵ペアをなすものでもよく、その場合、両鍵は同一で、秘密である。あるいはまた、暗号化鍵/復号鍵は非対称鍵ペアをなすものでもよく、その場合、少なくとも復号鍵(すなわち、ペアのうちの秘密鍵)は秘密である。本実施形態の以下の記述では、非対称鍵ペアが使われるものと想定する。その際、ユーザー装置はRANのすべてのMの値(すなわち、m=1,2,...,M)についてPK[RANm]を計算する。ここで、PK[RAN]はRANのPKによる暗号化で、PKはそのユーザー装置の公開鍵(public key)である。その鍵は個体の秘密に基づいている。ユーザー装置はまたRANm2も計算し、これが認証装置311に送られるデータ構造中に含められることになる。
【0035】
図4を参照すると、認証装置411におけるユーザー装置421の認証手順がタイムライン420に沿って示されている。ユーザー装置は認証装置に、
[RAN2, PK[RAN]]
の形のデータ構造をある数M個送る。つまり、認証装置は、ステップ431において、それぞれが当該ユーザー装置に属する識別子RANmに基づく値RANm2と識別子の少なくとも一つの暗号化されたコピーPK[RANm]とを含む複数M個のデータ構造を保存する。ここまでに述べた手順は登録手順であり、理想的には一回のみ実行されるのでよい。すなわち、認証装置421に保存されたデータ構造は、ユーザー装置411が自らの認証をしたいたびに何度でも使用されうる。システムにおいてより高度なセキュリティが要求される場合には、時折認証装置に保存されているデータ構造を更新することが必要となることもある。
【0036】
ユーザー装置の登録がすむと、ステップ432において、認証装置はユーザー装置から該ユーザー装置に属する特定の暗号化された識別子PK[RANm]を入手する要求を受け取る。この暗号化された識別子は、認証装置において保存されたデータ構造中に以前に含められたものである。この要求を受け取ると、認証装置はステップ433においてその特定の暗号化された識別子をユーザー装置に送り返す。識別子は、暗号化された識別子を公開鍵PKに対応する秘密鍵SKを用いて復号することによって、ユーザー装置において平文で入手される。これができるのは、その個体の秘密がユーザー装置に提供される場合にのみである。
【0037】
最後に、ステップ434において、認証装置は、そのユーザー装置が、以前に認証装置に送られたデータ構造中に含まれていた識別子RANを知っているという証明を受け取る。
【0038】
この証明は、ユーザー装置421と認証装置411との間の零知識プロトコルによって提供されうる。秘密の乱数RAN∈Zn*を知っていることを認証装置に対して証明するためには、よく知られたフィアット・シャミール(Fiat-Shamir)認証プロトコルを使うことができる。ここで、RANの二乗の値RAN2は前記データ構造から認証装置に利用可能となっている。前記プロトコルは、乗法群Zn*において平方根を計算することが困難な問題であるという事実に基づいている。通信コストが問題になる用途では、たとえばユーザー装置がスマートカードを使って実装される場合には、RANのより高次の冪(pを素数としてRANp)を用いるギユー・キスケーター(Guillou-Quisquater)認証プロトコルがより好適である。ユーザー装置と認証装置との間の交換を最小に保てるからである。値RANは、認証装置に保存されるそれぞれのデータ構造について異なる、ランダムに選ばれたZn*中の値であり、よって値RAN2もデータ構造ごとに一意的である。RAN値をユーザー装置中の記憶に保存しておくことが必要でないことに注意されたい。
【0039】
ユーザー装置復号鍵SKは明らかになっていない。該復号鍵SKは、所与のユーザー装置のすべてのデータ構造について同じであっても、あるいは少なくとも共通の鍵生成データに由来してはいるが異なる構造については異なっていてもよい。公開鍵PKに対応する秘密鍵SKへのアクセスを有するのはそのユーザー装置だけなので、そのユーザーのみがデータ構造からRANを取得できる。ユーザー認証のステップが起こるのは、暗黙的には、ユーザー装置が値RANを取得するときである。というのも、値RANを得るためにPK[RAN]を復号できるのは、ユーザー公開鍵PKに対応する秘密鍵SKを知っているユーザーだけだからである。
【0040】
認証装置においてユーザー装置に権限を与えるために本発明で使用される通信プロトコルは典型的にはカット・選択(cut and choose)型である。すなわち、ユーザー装置が特定の手順に従って計算されたいくつかの秘密の値を生成する。この所与の手順に従って計算された秘密は、その秘密が明かされなければ検証できない。したがって、認証装置はランダムにこれらの秘密の値のうちのいくつかを選択し、ユーザー装置はそれらの値を認証装置に明かす。これらの値のうち少なくとも一つが所与の手順に従って計算されていない場合には、認証装置は他のすべての値を拒否し、プロトコルは終了する。他方、これらの値のすべてが所与の手順に従って計算されていたら、認証装置は明かされなかった秘密の値も所与の手順に従って計算されていると確信できる。
【0041】
よって、零知識プロトコルに携わったあとでは、認証装置411はユーザー装置421が識別子RAN(そのユーザー装置しか知り得ない値)を知っていると確信するが、その識別子について認証装置には何も明かされていない。零知識プロトコルの間、ユーザー装置と認証装置との間では数ラウンドの情報交換があるが、それぞれのラウンドにおいて、ユーザー装置が実際に識別子RANを知っているという事実を与えられ、認証装置の確信は上昇する。認証装置が、そのユーザー装置が識別子RANを知っていると十分に確信した場合には、それはしかるべく行動する。認証装置がコンテンツ装置として行動する場合、それはユーザーに、たとえばMPEGもしくはMP3ファイルまたはその他のオーディオおよび/またはビデオコンテンツの形でのデジタルコンテンツへのアクセスを与えることができる。別の実施形態では、認証装置はその結果をコンテンツ装置として機能する別の装置に通信することができる。図4との関連で述べた手順を用いて、認証装置411は、ユーザー装置421が、暗号化されて保存されたデータ構造に含まれている識別子RANを暗号化するのに使われた公開鍵PKに対応する秘密鍵SKを知っていると確信できる。しかし、認証装置はその公開鍵について何も知ることはない。
【実施例】
【0042】
本発明のもう一つの実施形態では、バイオメトリックデータが個体を識別するために使われる認証システムが提供される。この特定の実施形態に基づくシステムの説明のため、再び図3を参照する。本実施形態の以下の記述では、これまでユーザー装置と称してきた321で表される装置は、センサー装置と称される。認証が可能であるためには、個体は、センサー装置321によって、認証装置311に登録する必要がある。
【0043】
まず、センサー装置は一つまたは複数の秘密の乱数RAN(m=1,2,...,MとしてRANm)を生成する。次に。センサー装置は前記秘密の数をある暗号化鍵を用いて暗号化する。本実施形態では、個体はセンサー装置321のところにあるシステムに物理的に近づき、センサー装置がその個体のバイオメトリックデータを取得する。物理的特徴、たとえば個人の指紋がセンサーによって量子化されてデジタルのバイオメトリックデータBとなる。これが暗号鍵を生成するために用いられる。鍵の生成はいくつかの方法で実施されうる。たとえば、暗号化鍵は量子化されたバイオメトリックデータBの正確なコピーであってもよい。鍵生成のもう一つの方法は、バイオメトリックデータのハッシュ値を計算しそのハッシュ値H(B)を暗号化鍵として使うことである。個体の暗号化鍵および復号鍵は非対称鍵ペアとして生成されてもよい。代替として、個体の暗号化鍵および復号鍵は同じ秘密の対称鍵であってもよい。この場合、ペアの両方の鍵を秘密に保たねばならない。暗号関係の処理を実行する多くの異なる方法が当業者には認識される。いずれにせよ、個体の復号鍵(およびバイオメトリックデータ自身)は秘密に保たれねばならない。本実施形態の以下の記述では、対称鍵ペアが使われるものと想定する。
【0044】
その際、センサー装置321はRANのすべてのMの値(すなわち、m=1,2,...,M)についてB[RANm]を計算する。ここで、B[RAN]はRANのBによる暗号化で、Bはその個体のデジタルバイオメトリックデータである。センサー装置はまたRANm2も計算し、これが認証装置311に送られるデータ構造中に含められることになる。センサー装置は、バイオメトリックデータBも秘密の乱数RANも開示したり保存したりしないという点で信頼される。センサー装置は、センサー装置への攻撃が妨げられるよう耐タンパー性機器に納められるべきでもある。
【0045】
図5を参照すると、認証装置511におけるセンサー装置521による個体の認証手順がタイムライン520に沿って示されている。センサー装置521は認証装置に、
[RAN2, B[RAN]]
の形のデータ構造をある数M個送る。つまり、認証装置は、ステップ531において、それぞれが識別子RANmに基づく値RANm2と識別子の少なくとも一つの暗号化されたコピーB[RANm]とを含む複数M個のデータ構造を保存する。個体の登録ののち、ステップ532において、認証装置はセンサー装置から特定の暗号化された識別子B[RANm]を入手する要求を受け取る。この暗号化された識別子は、認証装置において保存されたデータ構造中に以前に含められたものである。この要求を受け取ると、認証装置はステップ533においてその特定の暗号化された識別子を返す。識別子は、暗号化された識別子を暗号化鍵Bに対応する対称な復号鍵Bを用いて復号することによって、ユーザー装置において平文で入手される。識別子が入手できるのは、その個体がセンサー装置に正しいバイオメトリックデータを提供する、すなわちセンサー装置にフィンガープリントを供給する場合のみである。
【0046】
最後に、ステップ534において、認証装置は、そのユーザー装置が、以前に認証装置に送られたデータ構造中に含まれていた識別子RANを知っているという証明を零知識プロトコルによって受け取る。ここでもまた、復号鍵Bへのアクセスを有するのはその個体だけなので、そのユーザーのみがデータ構造からRANを取得できる。個体認証のステップが起こるのは、暗黙的には、ユーザー装置が値RANを取得するときである。というのも、値RANを得るためにB[RAN]を復号できるのは、鍵Bを知っている個体だけだからである。
【0047】
装置/個体が上記のように認証装置に保存されている特定の暗号化された識別子を入手する要求をするとき、個体が認証装置に対して、どの特定の暗号化された識別子を要求しているのかを示す方法がなくてはならない。よって、添え字Indを各データ構造中に含めることができる。
【0048】
[RAN2, B[RAN], Ind]
IndはInd=H(B)[N]として計算されうる。ここでNはある標準的な値で、これがバイオメトリックデータのハッシュ値H(B)を用いて暗号化される。バイオメトリックデータそのものの代わりにハッシュ値を使うことによって、既知平文攻撃(Nが秘密でないという事実により既知平文である)を妨げることができる。認証装置は多数のデータ構造を記憶中に有しうるので、前記の添え字は、個体が認証装置に対してどの暗号化された識別子を要求しているかを示すことを可能にする。
【0049】
本発明のもう一つの実施形態によれば、測定されたバイオメトリックデータはノイズを含んでいることがありうるので、アナログのバイオメトリックデータから離散値への量子化の結果がノイズのランダム性のため測定によって異なることがあるので、バイオメトリックデータはノイズ不変となるように処理され、暗号化/復号の鍵はそのノイズ不変なバイオメトリックデータから導出される。暗号鍵を生成するために用いられるデジタルバイオメトリックデータに量子化される指紋などの物理的特徴について何回かの測定を実行することによって、比較的ノイズのないバイオメトリックデータを得ることができる。
【0050】
本発明について特定の例示的な実施形態を参照しつつ述べてきたが、当業者には数多くの異なる変更、修正などが明らかとなるであろう。したがって、記載された実施形態は、付属の請求項において定義される本発明の範囲を限定することを意図したものではない。
【図面の簡単な説明】
【0051】
【図1】個体に関連付けられたバイオメトリックデータに基づく、個体の識別および認証のための基本的な従来技術のシステムを示す図である。
【図2】異なるデータベースに保存されたバイオメトリックデータの暗号化が異なる鍵で実行されるべきである従来技術のシステムを示す図である。
【図3】本発明のある実施形態に基づく認証システムを示す図である。
【図4】認証装置におけるユーザー装置の認証手順を示す図である。
【図5】認証装置における個体の認証手順を示す図である。
【特許請求の範囲】
【請求項1】
認証装置において個体を認証する方法であって:
・前記認証装置において、当該個体に属する識別子に基づく値および該識別子の暗号化されたコピーを含む少なくとも一つのデータ構造を保存し、ここで、暗号化鍵は当該個体の秘密に基づいており、
・前記認証装置において、当該個体から、前記認証装置に保存されている特定のデータ構造に含まれている暗号化された識別子を達成する要求を受け取り、
・前記認証装置から当該個体に、要求された暗号化された識別子を送り、
・前記認証装置において、当該個体から、当該個体がその識別子を知っていることの証明を受け取り、該識別子は、当該個体において、前記暗号化された識別子を対応する秘密の復号鍵によって復号することによって得られたものである、
ステップを有することを特徴とする方法。
【請求項2】
前記鍵が当該個体のバイオメトリックデータから導出されることを特徴とする、請求項1記載の方法。
【請求項3】
前記バイオメトリックデータがノイズ不変となるよう処理され、そのノイズ不変なバイオメトリックデータから前記鍵が導出されることを特徴とする、請求項2記載の方法。
【請求項4】
当該個体の前記バイオメトリックデータの取得および当該個体の前記バイオメトリックデータからの前記鍵の導出が安全な環境において実行されることを特徴とする、請求項2記載の方法。
【請求項5】
当該個体が前記識別子を知っていることの証明が、零知識プロトコルを用いることによって提供されることを特徴とする、請求項1記載の方法。
【請求項6】
各識別子が当該個体において生成された秘密のランダム情報であることを特徴とする、請求項1記載の方法。
【請求項7】
識別子に基づくそれぞれの値が、対応する秘密のランダム情報の冪の関数を含んでいることを特徴とする、請求項6記載の方法。
【請求項8】
前記認証装置が一つの個体に属する複数の異なるデータ構造を保存することを特徴とする、請求項1記載の方法。
【請求項9】
各データ構造が添え字を有し、前記認証装置に保存されている特定のデータ構造の暗号化された識別子を達成する前記要求が前記特定のデータ構造の添え字を含むことを特徴とする、請求項1記載の方法。
【請求項10】
前記添え字がある数をノイズ不変なバイオメトリックデータのハッシュ値で暗号化したものであることを特徴とする、請求項9記載の方法。
【請求項11】
当該個体の前記暗号化鍵および前記復号鍵が非対称鍵ペアをなすものであることを特徴とする、請求項1記載の方法。
【請求項12】
当該個体の前記暗号化鍵および前記復号鍵が同じ秘密の対称鍵であることを特徴とする、請求項1記載の方法。
【請求項13】
個体を認証するための認証システムであって:
・当該個体に属する識別子に基づく値および該識別子の暗号化されたコピーを含む少なくとも一つのデータ構造を保存する手段であって、ここで暗号化鍵は当該個体の秘密に基づいているような手段と、
・当該個体から、当該認証装置に保存されている特定のデータ構造に含まれている暗号化された識別子を達成する要求を受け取る手段と、
・当該個体に、要求された暗号化された識別子を送る手段、
とを有するよう構成された認証装置を有しており、
前記受け取る手段はさらに、当該個体から、当該個体がその識別子を知っていることの証明を受け取るよう構成されており、前記識別子は、当該個体において、前記暗号化された識別子を対応する秘密の復号鍵によって復号することによって得られたものである、
ことを特徴とする認証システム。
【請求項14】
当該個体のバイオメトリックデータから前記鍵を導出する手段を有するよう構成されたセンサー装置をさらに有することを特徴とする、請求項13記載の認証システム。
【請求項15】
前記センサー装置が、前記バイオメトリックデータを、該バイオメトリックデータがノイズ不変となり、そのノイズ不変なバイオメトリックデータから前記鍵が導出されるよう処理する手段をさらに有することを特徴とする、請求項14記載の認証システム。
【請求項16】
当該個体の前記バイオメトリックデータを取得し、当該個体の前記バイオメトリックデータから前記鍵を導出する手段が、安全な環境に含まれていることを特徴とする、請求項14記載の認証システム。
【請求項17】
当該個体が前記識別子を知っていることの証明を、零知識プロトコルを用いることによって提供する手段をさらに有することを特徴とする、請求項13記載の認証システム。
【請求項18】
各識別子が当該個体において生成された秘密のランダム情報であることを特徴とする、請求項13記載の認証システム。
【請求項19】
識別子に基づくそれぞれの値が、対応する秘密のランダム情報の冪の関数を含んでいることを特徴とする、請求項18記載の認証システム。
【請求項20】
前記認証装置の前記保存する手段が、ある個体に属する複数の異なるデータ構造を保存するよう構成されていることを特徴とする、請求項13記載の認証システム。
【請求項21】
各データ構造が添え字を有し、前記認証装置に保存されている特定のデータ構造の暗号化された識別子を達成する前記要求が前記特定のデータ構造の添え字を含むことを特徴とする、請求項13記載の認証システム。
【請求項22】
前記添え字がある数をノイズ不変なバイオメトリックデータのハッシュ値で暗号化したものであることを特徴とする、請求項21記載の認証システム。
【請求項23】
当該個体の前記暗号化鍵および前記復号鍵が非対称鍵ペアをなすものであることを特徴とする、請求項13記載の認証システム。
【請求項24】
当該個体の前記暗号化鍵および前記復号鍵が同じ秘密の対称鍵であることを特徴とする、請求項13記載の認証システム。
【請求項1】
認証装置において個体を認証する方法であって:
・前記認証装置において、当該個体に属する識別子に基づく値および該識別子の暗号化されたコピーを含む少なくとも一つのデータ構造を保存し、ここで、暗号化鍵は当該個体の秘密に基づいており、
・前記認証装置において、当該個体から、前記認証装置に保存されている特定のデータ構造に含まれている暗号化された識別子を達成する要求を受け取り、
・前記認証装置から当該個体に、要求された暗号化された識別子を送り、
・前記認証装置において、当該個体から、当該個体がその識別子を知っていることの証明を受け取り、該識別子は、当該個体において、前記暗号化された識別子を対応する秘密の復号鍵によって復号することによって得られたものである、
ステップを有することを特徴とする方法。
【請求項2】
前記鍵が当該個体のバイオメトリックデータから導出されることを特徴とする、請求項1記載の方法。
【請求項3】
前記バイオメトリックデータがノイズ不変となるよう処理され、そのノイズ不変なバイオメトリックデータから前記鍵が導出されることを特徴とする、請求項2記載の方法。
【請求項4】
当該個体の前記バイオメトリックデータの取得および当該個体の前記バイオメトリックデータからの前記鍵の導出が安全な環境において実行されることを特徴とする、請求項2記載の方法。
【請求項5】
当該個体が前記識別子を知っていることの証明が、零知識プロトコルを用いることによって提供されることを特徴とする、請求項1記載の方法。
【請求項6】
各識別子が当該個体において生成された秘密のランダム情報であることを特徴とする、請求項1記載の方法。
【請求項7】
識別子に基づくそれぞれの値が、対応する秘密のランダム情報の冪の関数を含んでいることを特徴とする、請求項6記載の方法。
【請求項8】
前記認証装置が一つの個体に属する複数の異なるデータ構造を保存することを特徴とする、請求項1記載の方法。
【請求項9】
各データ構造が添え字を有し、前記認証装置に保存されている特定のデータ構造の暗号化された識別子を達成する前記要求が前記特定のデータ構造の添え字を含むことを特徴とする、請求項1記載の方法。
【請求項10】
前記添え字がある数をノイズ不変なバイオメトリックデータのハッシュ値で暗号化したものであることを特徴とする、請求項9記載の方法。
【請求項11】
当該個体の前記暗号化鍵および前記復号鍵が非対称鍵ペアをなすものであることを特徴とする、請求項1記載の方法。
【請求項12】
当該個体の前記暗号化鍵および前記復号鍵が同じ秘密の対称鍵であることを特徴とする、請求項1記載の方法。
【請求項13】
個体を認証するための認証システムであって:
・当該個体に属する識別子に基づく値および該識別子の暗号化されたコピーを含む少なくとも一つのデータ構造を保存する手段であって、ここで暗号化鍵は当該個体の秘密に基づいているような手段と、
・当該個体から、当該認証装置に保存されている特定のデータ構造に含まれている暗号化された識別子を達成する要求を受け取る手段と、
・当該個体に、要求された暗号化された識別子を送る手段、
とを有するよう構成された認証装置を有しており、
前記受け取る手段はさらに、当該個体から、当該個体がその識別子を知っていることの証明を受け取るよう構成されており、前記識別子は、当該個体において、前記暗号化された識別子を対応する秘密の復号鍵によって復号することによって得られたものである、
ことを特徴とする認証システム。
【請求項14】
当該個体のバイオメトリックデータから前記鍵を導出する手段を有するよう構成されたセンサー装置をさらに有することを特徴とする、請求項13記載の認証システム。
【請求項15】
前記センサー装置が、前記バイオメトリックデータを、該バイオメトリックデータがノイズ不変となり、そのノイズ不変なバイオメトリックデータから前記鍵が導出されるよう処理する手段をさらに有することを特徴とする、請求項14記載の認証システム。
【請求項16】
当該個体の前記バイオメトリックデータを取得し、当該個体の前記バイオメトリックデータから前記鍵を導出する手段が、安全な環境に含まれていることを特徴とする、請求項14記載の認証システム。
【請求項17】
当該個体が前記識別子を知っていることの証明を、零知識プロトコルを用いることによって提供する手段をさらに有することを特徴とする、請求項13記載の認証システム。
【請求項18】
各識別子が当該個体において生成された秘密のランダム情報であることを特徴とする、請求項13記載の認証システム。
【請求項19】
識別子に基づくそれぞれの値が、対応する秘密のランダム情報の冪の関数を含んでいることを特徴とする、請求項18記載の認証システム。
【請求項20】
前記認証装置の前記保存する手段が、ある個体に属する複数の異なるデータ構造を保存するよう構成されていることを特徴とする、請求項13記載の認証システム。
【請求項21】
各データ構造が添え字を有し、前記認証装置に保存されている特定のデータ構造の暗号化された識別子を達成する前記要求が前記特定のデータ構造の添え字を含むことを特徴とする、請求項13記載の認証システム。
【請求項22】
前記添え字がある数をノイズ不変なバイオメトリックデータのハッシュ値で暗号化したものであることを特徴とする、請求項21記載の認証システム。
【請求項23】
当該個体の前記暗号化鍵および前記復号鍵が非対称鍵ペアをなすものであることを特徴とする、請求項13記載の認証システム。
【請求項24】
当該個体の前記暗号化鍵および前記復号鍵が同じ秘密の対称鍵であることを特徴とする、請求項13記載の認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2008−504595(P2008−504595A)
【公表日】平成20年2月14日(2008.2.14)
【国際特許分類】
【出願番号】特願2007−517622(P2007−517622)
【出願日】平成17年6月22日(2005.6.22)
【国際出願番号】PCT/IB2005/052037
【国際公開番号】WO2006/000989
【国際公開日】平成18年1月5日(2006.1.5)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成20年2月14日(2008.2.14)
【国際特許分類】
【出願日】平成17年6月22日(2005.6.22)
【国際出願番号】PCT/IB2005/052037
【国際公開番号】WO2006/000989
【国際公開日】平成18年1月5日(2006.1.5)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]