本人確認方法、プログラムおよび取引処理装置
【課題】本人認証用の可搬媒体が改ざんまたは偽造された場合であっても、その不正使用を防止できるようにする。
【解決手段】利用者のバイオメトリクス情報を利用者カード10の第1保存部11、第2保存部12に第1テンプレート102、第2テンプレート103として保存し、センタ40の第3保存部に第2テンプレート103のハッシュ値105を保存する。取引処理装置30は、利用者のバイオメトリクス情報をサンプルとして取得し、そのサンプルと第1テンプレート102、第2テンプレート103とを照合し、そのいずれもがサンプルと同一人物のものと判定された場合には、さらに、第2テンプレート103のハッシュ値を算出し、そのハッシュ値とハッシュ値105と比較し、一致した場合に、本人の確認を認証する。そして、サンプルにより第2テンプレート103を更新し、サンプルから算出したハッシュ値によりハッシュ値105を更新する。
【解決手段】利用者のバイオメトリクス情報を利用者カード10の第1保存部11、第2保存部12に第1テンプレート102、第2テンプレート103として保存し、センタ40の第3保存部に第2テンプレート103のハッシュ値105を保存する。取引処理装置30は、利用者のバイオメトリクス情報をサンプルとして取得し、そのサンプルと第1テンプレート102、第2テンプレート103とを照合し、そのいずれもがサンプルと同一人物のものと判定された場合には、さらに、第2テンプレート103のハッシュ値を算出し、そのハッシュ値とハッシュ値105と比較し、一致した場合に、本人の確認を認証する。そして、サンプルにより第2テンプレート103を更新し、サンプルから算出したハッシュ値によりハッシュ値105を更新する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、バイオメトリクス情報が認証用情報として記録された可搬媒体を用いて本人確認をする本人確認方法、プログラムおよび取引処理装置に関する。
【背景技術】
【0002】
金融機関やコンビニエンスストアなどに設置されたATM(Automatic Teller Machine)などの取引処理装置では、利用者が本人であることを確認するために、知識(暗証番号など)または所持品(キャッシュカードなど)を利用した認証が広く行われている。しかしながら、近年、悪意ある第三者がスキミングなどの手段により、他人の認証用の可搬媒体(磁気カードなどによるキャッシュカードなど)から記録されている情報を不正に読み取り、本人の知らないうちに同様の可搬媒体を偽造し、その偽造可搬媒体により本人になりすまして取引を行う事件が頻発している。
【0003】
可搬媒体が偽造されるという問題に対して、特許文献1では、取引ごとに更新されるシリアル番号を可搬媒体とセンタの両方に記録し、取引処理装置で読み取った可搬媒体のシリアル番号とセンタ側のシリアル番号とを比較し、両者が一致しない場合には、偽造された可搬媒体が存在するとして、取引を中止する本人確認の方法が開示されている。
【0004】
この本人確認の方法によれば、認証用の可搬媒体に記録された情報が第三者に不正に読み取られ、その情報が丸ごとコピーされて別体の可搬媒体が偽造された場合には、センタは、同じシリアル番号を有する2つの可搬媒体から本人確認を求められ、一方に正規のシリアル番号を付与すると、他方のシリアル番号は一致しないことになる。従って、センタにおけるシリアル番号の確認において、シリアル番号が一致しない場合には、偽造された可搬媒体が存在することになるので、センタはその取引を即時中止するとしている。
【0005】
また、特許文献2には、バイオメトリクス情報(指紋、静脈、声紋、虹彩、筆跡などの情報)を利用した本人確認の方法が開示されている。その本人確認の方法によれば、あらかじめ認証装置側に利用者の基準となるバイオメトリクス情報を登録しておき、利用時に入力される本人のバイオメトリクス情報と照合することによって本人確認を行う。また、この本人確認の方法によれば、利用者が保持する認証用のICカードに利用者の基準となるバイオメトリクス情報を登録しておくことにより、認証用のICカードに認証装置の機能を持たせることができるとしている。
【特許文献1】特開2002−133498号公報
【特許文献2】特開2003−308302号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に開示されている本人確認の方法では、第三者が認証用の可搬媒体を偽造し、正規の利用者が正規の可搬媒体を用いて正規の取引を行う前に、偽造した可搬媒体を用いて取引が行われた場合には、その取引を防止することができない。また、特許文献2に開示されているような認証用のICカードを用いた本人確認の方法では、第三者が認証用のICカードに記録されている情報を丸ごとコピーし、基準となるバイオメトリクス情報を改ざんして、認証用のICカードを偽造した場合には、その偽造されたICカードによる取引を防止することができない。
【0007】
以上のように、従来技術においては、バイオメトリクス情報を認証用情報として用いる場合であっても、その認証の基準となる情報が可搬媒体に記録される限りは、その可搬媒体が窃盗され改ざんされた場合には、その不正使用を防止することができなかった。
【0008】
そこで、本発明の目的は、本人認証用の可搬媒体にバイオメトリクス情報を認証用情報として記録する場合に、その認証用可搬媒体が窃盗され、または、その認証用可搬媒体に記録されている情報が不正に読み取られ、認証用可搬媒体が改ざん、または、偽造された場合であっても、その不正使用を防止することが可能な本人確認方法、プログラムおよび取引処理装置を提供することにある。
【課題を解決するための手段】
【0009】
本発明は、利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段および第2の保存手段にそれぞれ保存された第1の認証用情報および第2の認証用情報と、センタに設けられた第3の保存手段に保存された第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置であり、その処理装置における本人確認方法であり、プログラムである。そして、前記取引処理装置は、前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、前記第1の保存手段および前記第2の保存手段からそれぞれ前記第1の認証用情報および前記第2の認証用情報を読み出すとともに、前記第2の保存手段へ前記サンプルを書き込む認証用情報読み書き手段とを備え、前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報および前記第2の認証用情報とそれぞれ照合し、その照合の結果、前記第1の認証用情報および前記第2の認証用情報のいずれもが前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第2の認証用情報のハッシュ値を算出し、その算出したハッシュ値を前記第3の保存手段から読み出した前記第3の認証用情報と比較し、その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第2の保存手段に書き込むことにより前記第2の認証用情報を更新し、前記所定のハッシュ関数に基づき前記更新した第2の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新することを特徴とする。
【0010】
本発明によれば、認証用可搬媒体の第1の保存手段および第2の保存手段に保存された第1の認証用情報および第2の認証用情報の一方または両方が悪意ある第三者によって改ざんされた場合であっても、センタの第3保存部には、改ざん前の正規の利用者のバイオメトリクス情報から算出されたハッシュ値が保存されている。そこで、そのハッシュ値と改ざんされたハッシュ値が比較されるので、その改ざんを検知することができ、その改ざんされた認証用可搬媒体の不正使用を防止することができる。
【発明の効果】
【0011】
本発明により、本人認証用の可搬媒体が窃盗され、または、その認証用可搬媒体に記録されている情報が不正に読み取られ、認証用可搬媒体が改ざん、または、偽造された場合であっても、その不正使用を防止することができるようになる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施形態について、適宜、図面を参照しながら詳しく説明する。
【0013】
図1は、本発明の実施形態に係る本人確認システムの全体構成を示した図である。図1に示すように、本人確認システム1は、利用者カード10、登録処理装置20、取引処理装置30、センタ40、管理者カード60を含んで構成され、登録処理装置20および取引処理装置30は、ネットワーク50を介してセンタ40に接続される。なお、本人確認システム1は、例えば、金融機関のオンラインATMシステムなどに適用される。
【0014】
ここで、利用者カード10は、本人確認システム1が適用されるアプリケーションシステム(例えば、オンラインATMシステムなど)の利用者に配布され、その利用者それぞれが所持する小型かつ軽量の情報記憶媒体であり、その情報記憶媒体としては、通常、IC(Integrated Circuits)カードや磁気カードなどが使用される。
【0015】
利用者カード10には、記憶領域として、第1保存部11と第2保存部12とが設けられ、その第1保存部11には、利用者を一意に特定する利用者識別子101と、第1テンプレート102として利用者のバイオメトリクス情報が保持される。また、第2保存部12には、取引処理のたびに更新される第2テンプレート103が保持される。これら第1のテンプレート102および第2テンプレート103は、その利用者カード10の利用者であることを認証する認証用情報である。
【0016】
なお、本実施形態では、利用者カード10は、盗難されたり、スキミングされたりした場合には、第1テンプレート102、第2テンプレート103などの認証用情報を改ざんまたは偽造され得るものとみなす。
【0017】
管理者カード60は、登録処理装置20を操作する権限を持つ者(登録管理者)だけに配布される小型かつ軽量の情報記憶媒体であり、その情報記憶媒体としては、利用者カード10と同様に、通常、ICカードや磁気カードなどが使用される。管理者カード60には、記憶領域として、保存部61が設けられ、保存部61には、テンプレート106として、登録管理者のバイオメトリクス情報が保持される。
【0018】
登録処理装置20は、利用者カード10の第1保存部11に第1テンプレート102として利用者のバイオメトリクス情報を登録するための装置であり、例えば、金融機関の窓口などに設置され、窓口の職員(すなわち、登録の管理者)によって操作される端末装置である。
【0019】
また、取引処理装置30は、利用者カード10から認証用情報の提供を受け、センタ40と連携して、その利用者があらかじめ登録された利用者であるか否かを確認する。そして、利用者本人であることを確認した場合には、本人確認システム1のアプリケーションとしての所定の取引処理を行う。取引処理装置30は、例えば、金融機関やコンビニエンスストアなどに設置されているATM端末装置であり、利用者に対し現金預け入れや引き出しなどの取引処理を提供する。
【0020】
また、センタ40は、図示しないCPU(Central Processing Unit)と記憶装置とを少なくとも備えたコンピュータであり、その記憶装置には第3保存部42が設けられる。そして、第3保存部42には、利用者を一意に特定するための利用者識別子104と、利用者カード10の第2保存部12に保持されている第2テンプレート103に対して計算されたハッシュ値105との情報が組にして保持される。この利用者識別子104とハッシュ値105との組の情報は、登録処理装置20によって登録された利用者の人数分だけ保持され、センタ40は、ハッシュ値105を用いて利用者カード10に記憶されている第2テンプレート103の有効性をチェックする。
【0021】
なお、センタ40の制御部41は、登録処理装置20からの要求に応じて、第3保存部42に保持されているハッシュ値105の読み出しや更新処理などを実行する。なお、このような制御部41の機能は、前記図示しないCPUが記憶装置に格納されている所定のプログラムを実行することによって実現される。
【0022】
図2は、本実施形態に係る取引処理装置のブロック構成を示した図である。図2に示すように、取引処理装置30は、CPU301、メモリ302、補助記憶装置303、センタ通信部304、カード読み書き部305、表示部306、操作部307、キャッシュモジュール部308、セキュリティチップ309などを含み、さらに、それらがバス310を介して相互に接続されて構成される。
【0023】
ここで、メモリ302は、半導体メモリのRAM(Random Access Memory)などで構成され、CPU301が実行するプログラムなどがロードされる。また、補助記憶装置303は、電源をオフにしても記憶されたデータが保存されるハードディスクなどによって構成される。また、センタ通信部304は、TCP/IP(Transmission Control Protocol/Internet Protocol)や独自のプロトコルなどを利用し、専用回線またはISDN(Integrated Services Digital Network)回線などによるネットワーク50を介してセンタ40と通信する通信装置によって構成される。
【0024】
また、カード読み書き部305は、利用者カード10(または管理者カード60)が保持するデータを読み取るとともに、利用者カード10(または管理者カード60)に対してデータを書き込む装置である。また、表示部306は、LCD(Liquid Crystal Display)などで構成され、CPU301が処理した結果などを表示する装置である。
【0025】
また、操作部307は、暗証番号や取引額を入力するためのキーパッド、取引の種類などを指示するための各種ボタン、前記表示部306上に構成されるタッチパネル、さらには、利用者のバイオメトリクス情報を入力するためのバイオメトリクス入力装置などによって構成される装置である。また、キャッシュモジュール部308は、入金または出金に係る紙幣や硬貨を保管し、入金口または出金口を備え、利用者の要求する取引に応じて紙幣や硬貨を入金口から搬入または出金口へ搬送する装置である。
【0026】
また、セキュリティチップ309は、耐タンパ性を備えた記憶装置であり、セキュリティチップ309ごとに固有の識別子が記録され、当該セキュリティチップ309と同等のチップを偽造することが困難なものである。
【0027】
以上のように構成された取引処理装置30は、さらに、サンプル取得部31、照合部32、テンプレート更新部33などの機能ブロックを備える。これらの機能ブロックの機能は、CPU301が補助記憶装置303から所定のプログラムをメモリ302にロードし、実行することによって実現される。ここで、サンプル取得部31は、操作部307のバイオメトリクス入力装置によって利用者のバイオメトリクス情報(サンプル)を読み取るなどの機能を備える。また、照合部32は、利用者カード10に保持されている第1テンプレート102または第2テンプレート103と、サンプル取得部31によって取得されたサンプルとを照合するなどの機能を備える。また、テンプレート更新部33は、所定の取引処理成立後に、サンプル取得部31によって取得されたサンプルにより利用者カード10の第2テンプレート103を更新する機能などを備える。なお、これらの機能ブロックの機能として、CPU301が実行する処理の詳細については、別途、図4を用いて説明する。
【0028】
なお、詳細な説明を省略するが、登録処理装置20も、図2に示した取引処理装置30と同様の構成となる。ただし、相違点として、登録処理装置20は、キャッシュモジュール部308を含まない。そして、前記登録処理装置20は、自らを操作する者が権限を有するかどうかを判定する管理者確認部21、利用者のバイオメトリクス情報を読み取るサンプル取得部22、サンプル取得部22が読み取った利用者のバイオメトリクス情報を利用者カード10の第1テンプレート102およびを第2テンプレート103に保存して初期化するテンプレート初期化部23などの機能を備える。なお、これらの機能は、登録処理装置20のCPU301が補助記憶装置303から所定のプログラムをメモリ302にロードし、実行することによって実現される。
【0029】
次に、図3および図4を参照(適宜、図1および図2も参照)して本人確認システム1における本人確認処理の流れについて説明する。ここで、図3は、本実施形態に係る登録処理装置における利用者カードの登録処理の流れを示した図、図4は、本実施形態に係る取引処理装置おける本人確認処理の流れを示した図である。
【0030】
図3において、登録処理装置20は、まず、管理者確認部21の処理として、管理者カード60をカード読み書き部305に挿入するのを促すメッセージを表示部306に表示し、利用者(この場合は、登録の管理者)に対し管理者カード60の挿入を要求する(ステップS201)。管理者がカードを挿入すると、登録処理装置20は、挿入されたカードの情報を読み取り、そのカードが所定の管理者カード60であるか否かを判定する(ステップS202)。その判定の結果、挿入されたカードが管理者カード60でなかった場合には(ステップS202でNo)、登録処理装置20は、挿入されたカードを返却し(ステップS204)、登録処理を終了する。また、挿入されたカードが管理者カード60であった場合には(ステップS202でYes)、管理者カード60の保存部61からテンプレート106を読み込み(ステップS203)、管理者カード60を返却する(ステップS205)。
【0031】
次に、登録処理装置20は、サンプル取得部22の処理として、管理者に対しバイオメトリクス情報を入力するよう促すメッセージを表示部306に表示し、管理者が操作部307を介して自身のバイオメトリクス情報を入力すると、入力されたバイオメトリクス情報をサンプルとして読み取る(ステップS206)。そして、読み取ったサンプルとテンプレート106とを照合し、管理者本人であるか否かを判定する(ステップS207)。その判定の結果、管理者本人でなかった場合には(ステップS207でNo)、登録処理を終了する。一方、管理者本人であった場合には(ステップS207でYes)、登録処理装置20は、次に、テンプレート初期化部23の処理を行う。
【0032】
なお、ステップS207においては、2つの指紋などのバイオメトリクス情報を照合するが、その照合において、例えば、2つのバイオメトリクス情報について公知のパターンマッチング処理などを行い、その処理によって得られるのパターンの一致度などの値が所定値以上であれば、同一人物のバイオメトリクス情報とみなす。
【0033】
登録処理装置20は、テンプレート初期化部23の処理として、利用者カード10をカード読み書き部305に挿入するよう促すメッセージを表示部306に表示し、利用者に対し利用者カード10の挿入を要求する(ステップS208)。利用者がカードを挿入すると、登録処理装置20は、挿入されたカードの情報を読み取り、そのカードが所定の利用者カード10であるか否かを判定する(ステップS209)。その判定の結果、挿入されたカードが利用者カード10でなかった場合には(ステップS209でNo)、登録処理装置20は、挿入されたカードを返却し(ステップS217)、登録処理を終了する。また、挿入されたカードが利用者カード10であった場合には(ステップS209でYes)、登録処理装置20は、操作部307から利用者のバイオメトリクス情報を入力するよう表示部306に表示し、利用者が操作部307を介して自身のバイオメトリクス情報を入力すると、入力されたバイオメトリクス情報を利用者のサンプルとして読み取る(ステップS210)。
【0034】
続いて、登録処理装置20は、読み取った利用者のサンプルをもとに第1テンプレート102を作成し(ステップS211)、利用者カード10の第1保存部11に保存し(ステップS212)、さらに、第1テンプレート102と同じデータを第2テンプレート103として利用者カード10の第2保存部12に保存する(ステップS213)。また、さらに、登録処理装置20は、所定のハッシュ関数に基づき第2テンプレート103のハッシュ値を算出し(ステップS214)、算出したハッシュ値と、登録処理装置20のセキュリティチップ309に保管されている識別子の情報とをセンタ40へ送信する。
【0035】
センタ40は、制御部41の処理として、送信されてきた識別子の情報に基づき、それらの情報を送信した装置が正当な装置であるか否かを判定する(ステップS215)。その判定の結果、正当な装置でなかった場合には(ステップS215でNo)、「装置が正当でない」旨を登録処理装置20へ通知する。また、正当な装置であった場合には(ステップS215でYes)、センタ40は、送信されてきたハッシュ値を第3保存部42に保存し(ステップS216)、「ハッシュ値を保存した」旨を登録処理装置20へ通知する。
【0036】
登録処理装置20は、これらの通知を受けると、利用者に利用者カード10を返却し(ステップS217)、登録処理を終了する。ただし、「装置が正当でない」旨の通知を受けた場合には、登録処理は完了せず、返却された利用者カード10は、有効な利用者カード10として使用できるようにはならない。一方、「ハッシュ値を保存した」旨の通知を受けた場合には、利用者カード10の登録が完了したことになり、返却された利用者カード10は、有効な利用者カード10として使用することができるようになる。
【0037】
なお、以上に説明した登録処理装置20における登録処理は、利用者カード10の第1テンプレート102を更新する場合にも利用することができる。
【0038】
次に、図4を参照し、取引処理装置30が実行する本人確認処理について説明する。すなわち、取引処理装置30は、利用者カード10によって自らを利用しようとしている者が、その利用者カード10に登録されている者に相違ないことを確認する。
【0039】
まず、取引処理装置30は、サンプル取得部31の処理として、利用者カード10をカード読み書き部305に挿入するよう促すメッセージを表示部306に表示し、利用者に対し利用者カード10の挿入を要求する(ステップS501)。さらに、取引処理装置30は、利用者に対しバイオメトリクス情報の入力を促すメッセージを表示部306に表示する。そして、利用者が操作部307を介して自身のバイオメトリクス情報を入力すると、取引処理装置30は、入力されたバイオメトリクス情報をサンプルとして読み取る(ステップS502)。
【0040】
次に、取引処理装置30は、照合部32の処理として、利用者カード10の第1保存部11から第1テンプレート102を、第2保存部12から第2テンプレート103を読み出し(ステップS503)、その読み出した第1テンプレート102および第2テンプレート103をそれぞれ、ステップS502で読み取った利用者のバイオメトリクス情報のサンプルと照合する(ステップS504)。
【0041】
なお、ステップS504においては、2つのバイオメトリクス情報を照合するが、その照合において、例えば、2つのバイオメトリクス情報について公知のパターンマッチング処理などを行い、その処理によって得られるパターンの一致度などの値が所定値以上であれば、同一人物のバイオメトリクス情報とみなす。
【0042】
そこで、その照合の結果、第1テンプレート102および第2テンプレート103の少なくとも一方がサンプルと同一人物のものでないと判定された場合には(ステップS505でNo)、取引処理装置30は、「利用者カード10の登録者と利用者とが相違する」と判断し、利用者カード10を返却して(ステップS518)、本人確認処理を終了する。また、第1テンプレート102および第2テンプレート103のいずれもサンプルと同一人物のものであると判定された場合には(ステップS505でYes)、取引処理装置30は、所定のハッシュ関数に基づき、ステップS503で読み出した第2テンプレート103のハッシュ値を算出する(ステップS506)。また、取引処理装置30は、センタ40からその第3保存部42に保存されているハッシュ値105を読み出し(ステップS507)、そのハッシュ値105がステップ506で算出したハッシュ値と一致するか否かを判定する(ステップS508)。
【0043】
その判定の結果、これらのハッシュ値が一致しなかった場合には(ステップS508でNo)、取引処理装置30は、「利用者カード10の登録者と利用者とが相違する」と判断し、利用者カード10を返却して(ステップS518)、本人確認処理を終了する。
【0044】
また、ハッシュ値が一致した場合には(ステップS508でYes)、取引処理装置30は、テンプレート更新部33の処理として、ステップS502で読み取った利用者のバイオメトリクス情報のサンプルによって第2テンプレート103を更新し(ステップS509)、さらに、更新した第2テンプレート103を利用者カード10の第2保存部12に上書きする(ステップS510)。そして、第2保存部12への上書きの更新が成功したか否かをチェックし(ステップS511)、その更新に成功していなかった場合には(ステップS511でNo)、第2保存部12に保存する第2テンプレートのデータを元に戻す(ステップS517)。
【0045】
また、更新に成功していた場合には(ステップS511でYes)、所定のハッシュ関数に基づき更新した第2テンプレート103のハッシュ値を算出し(ステップS512)、算出したハッシュ値と、取引処理装置30のセキュリティチップ309に保管されている識別子の情報とをセンタ40へ送信する。
【0046】
センタ40は、制御部41の処理として、取引処理装置30から送信されてきた識別子の情報に基づき、それらの情報を送信した装置が正当な装置であるか否かを判定する(ステップS513)。その判定の結果、正当な装置でなかった場合には(ステップS513でNo)、「装置が正当でない」旨を取引処理装置30へ通知する。また、正当な装置であった場合には(ステップS513でYes)、取引処理装置30から送信されてきたハッシュ値を第3保存部42に上書きし(ステップS514)、さらに、その上書きの更新が成功したか否かをチェックする(ステップS515)。そして、その更新に成功していなかった場合には(ステップS515でNo)、「更新失敗」の旨を取引処理装置30へ通知する。また、更新に成功していた場合には(ステップS515でYes)、「更新成功」の旨を取引処理装置30へ通知する。
【0047】
取引処理装置30は、センタ40から「装置が正当でない」または「更新失敗」の旨の通知を受けた場合には、利用者カード10の第2保存部12に保存する第2テンプレート103のデータを元に戻し(ステップS517)、利用者カード10を返却して(ステップS518)、本人確認処理を「確認失敗」として終了する。また、取引処理装置30は、センタ40から「更新成功」の旨の通知を受けた場合には、所定の取引処理(例えば、現金の預け入れや、引き出しなどの処理)の実行を開始する(ステップS516)とともに、利用者カード10を返却して(ステップS518)、本人確認処理を終了する。
【0048】
続いて、以上に説明した本人確認システム1における本人確認のセキュリティの効果について、図5および図6を参照して説明する。ここで、図5は、本実施形態に係る取引処理装置により、利用者本人が利用者カードを用い、利用者カード登録後N回目までの取引処理を行う場合について、サンプルとテンプレートとの照合の様子を示した図である。また、図6は、本実施形態に係る取引処理装置における本人確認において、N回目の取引後に悪意ある第三者が利用者カードを改ざんした場合について、サンプルとテンプレートとの照合の様子を示した図であり、(a)は、第1テンプレートが改ざんされた場合、(b)は、第1テンプレートおよび第2テンプレートの両方が改ざんされた場合を説明する図である。
【0049】
図5に示すように、本人確認システム1は、1回目の本人確認において、当該利用者カード10の利用者Aを認証するために、利用者Aのバイオメトリクス情報のサンプル(以下、単にサンプルという)「S(1)」と第1テンプレート「T(1)」とを照合し、第2テンプレート「U(1)(初回は、T(1)と同じ)」のハッシュ値とセンタ40に保存されているハッシュ値「C(1)」とを照合し、さらに、サンプル「S(1)」と第2テンプレート「U(1)」とを照合する。そして、これらの照合がすべて成功したときに、当該利用者カード10の利用者Aが本人であることを認証するとともに、次回の認証のために、第2テンプレート「U(1)」をサンプル「S(1)」によって「U(2)」に更新し、ハッシュ値「C(1)」を「U(2)」から算出されるハッシュ値「C(2)」に更新する。以上で1回目の本人確認を完了する。
【0050】
次に、2回目の本人確認においてにおいて、同様に、利用者Aのサンプル「S(2)」と第1テンプレート「T(1)」とを照合し、第2テンプレート「U(2)」のハッシュ値とセンタ40に保存されているハッシュ値「C(2)」とを照合し、さらに、サンプル「S(2)」と第2テンプレート「U(2)」とを照合することによって、利用者Aが本人であることを認証する。そして、第2テンプレート「U(2)」をサンプル「S(2)」によって「U(3)」に更新し、ハッシュ値「C(2)」を「U(3)」から算出されるハッシュ値「C(3)」に更新する。
【0051】
さらに、同様に、N回目の本人確認において、利用者Aのサンプル「S(N)」と第1テンプレート「T(1)」とを照合し、第2テンプレート「U(N)」のハッシュ値とセンタ40に保存されているハッシュ値「C(N)」とを照合し、さらに、サンプル「S(N)」と第2テンプレート「U(N)」とを照合することによって、利用者Aが本人であることを認証する。そして、第2テンプレート「U(N)」をサンプル「S(N)」によって「U(N+1)」に更新し、ハッシュ値「C(N)」を「U(N+1)」から算出されるハッシュ値「C(N+1)」に更新する。
【0052】
なお、以上の照合の過程において、サンプルがバイメトリクス情報である場合、サンプル「S(i)」と前記テンプレート「T(1)」とが完全に一致することはほとんどあり得ず、また、i回目の取引におけるサンプル「S(i)」と、i+1回目の取引におけるサンプル「S(i+1)」とが完全に一致することもほとんどあり得ない。例えば、指紋情報がサンプルとなる場合、利用者が同一であっても、指を操作部307に指を当てるときの角度や接触面への押し付け具合が違ったり、手指の荒れ具合が違ったりすると、サンプル取得部31によって取得される指紋情報は、その都度、異なった情報となる。
【0053】
しかしながら、取得される指紋情報が完全に一致しなくても、同一の利用者から取得される指紋情報は一致すると判断する必要がある。そこで、本実施形態では、指紋情報などバイオメトリクス情報の照合を行う場合には、照合対象のバイオメトリクス情報の画像情報などに対し、公知のパターンマッチング処理を施し、画像の一致度などの情報を求める。そして、その一致度などの情報が所定の値以上であれば、2つのバイオメトリクス情報は一致している、つまり、それら2つのバイオメトリクスの情報は同一人物のものであると判定する。
【0054】
一方、バイオメトリクス情報の場合、取得されるサンプル「S(i)」はその都度異なるため、i回目の第2テンプレート「U(i)」とi+1回目の第2テンプレート「U(i+1)」とが同じになることはほとんどあり得ない。従って、第2テンプレート「U(i)」から算出されるハッシュ値「C(i)」は、その都度異なった値となる。すなわち、C(i)≠C(i+1)となる。この事実を利用して、次に説明するように、利用者カード10の安全性を高めることができる。
【0055】
次に、悪意ある第三者(利用者B)が、利用者Aの利用者カード10を窃盗、または、スキミングなどによりその記録情報を入手した場合を想定する。この場合、利用者カード10に記録されている第1テンプレート102は、利用者Aのバイオメトリクス情報なので、当然ながら利用者Bは使用することができない。そこで、利用者Bは、利用者Aの利用者カード10を改ざんし、その第1テンプレート102を自分のバイオメトリクス情報で置き換える。
【0056】
すなわち、図6(a)に示すように、利用者Aが所定の取引にN回使用した利用者カード10を、利用者Bがその第1テンプレートの内容を「T(1)」から「T(2)」に改ざんし、N+1回目の取引に使用する。この場合、利用者Bのサンプル「S(N+1)」は、第1テンプレート「T(2)」と一致する。しかしながら、利用者Bのサンプル「S(N+1)」は第2テンプレート「U(N+1)」と一致しない。従って、その改ざんされた利用者カード10による利用者Bの本人確認は成功しないので、利用者Bは、所定の取引を行うことができない。
【0057】
また、利用者Bが第2テンプレート103を自分のバイオメトリクス情報に置き換え、利用者Aの利用者カード10を改ざんして使用した場合にも、同様に、改ざんされた利用者カード10による利用者Bの本人確認は成功しない。従って、利用者Bは、所定の取引を行うことができない。
【0058】
次に、利用者Bは、利用者Aの利用者カード10を改ざんし、第1テンプレート102、第2テンプレート103のいずれも自分のバイオメトリクス情報に置き換える。すなわち、図6(b)に示すように、利用者AによるN回の取引が行われた後に、利用者Bは、第1テンプレートの内容を「T(1)」から「T(2)」へ、また、第2テンプレートの内容を「U(N+1)」から「U(N+2)」へ改ざんし、N+1回目の取引に使用する。この場合、利用者Bのサンプル「S(N+1)」は、第1テンプレート「T(2)」ととも、第2テンプレート「U(N+2)」ととも一致する。
【0059】
しかしながら、第2テンプレート「U(N+2)」から算出されるハッシュ値は、センタ40の第3保存部42に保存されているハッシュ値「C(N+1)」と一致しない。ハッシュ値「C(N+1)」は、前回(N回目)の取引のときに入力された利用者Aのバイオメトリクス情報をもとに算出された値だからである。従って、この場合にも、改ざんされた利用者カード10による利用者Bの本人確認は成功せず、利用者Bは、所定の取引を行うことができない。
【0060】
以上のように、本実施形態によれば、利用者カード10に記録されている第1テンプレート102および第2テンプレート103の一方または両方が改ざんされたとしても、本人確認処理においてその利用者カード10による本人確認を失敗させることができるので、利用者カード10の改ざんまたは偽造によって本人になりすました不正な取引を防止することができる。
【0061】
また、本実施形態において取引処理装置30とセンタ40との間でネットワーク50を介して送受信される情報は、バイオメトリクス情報のハッシュ値であり、利用者のサンプルつまり利用者のバイオメトリクス情報が送受信されることはない。バイオメトリクス情報は、画像情報など情報量の大きい情報であるとともに、個人のプライバシに係る個人情報である。従って、情報量の大きい情報がネットワーク50を介して送受信されないことにより、ネットワーク50の通信負荷をかけずに済む。また、個人情報がネットワーク50を介して送受信されないことにより、ネットワーク50上で盗聴などにより個人情報が第三者に不正に取得されるのを防ぐことができる。
【0062】
(実施形態の変形例)
次に、図7〜図10を参照して、以上に説明した実施形態で、利用者カード10の第1保存部11または第2保存部12のいずれか一方を使用しないようにした実施形態の変形例について説明する。ここで、図7は、本実施形態および本実施形態の変形例における第1保存部、第2保存部および第3保存部の使用方法を示した図であり、図8は、本実施形態の変形例の第1のケースにおけるサンプルとテンプレートとの照合の様子を示した図である。また、図9は、本実施形態の変形例の第1のケースに係る取引処理装置おける本人確認処理の流れを示した図、図10は、本実施形態の変形例の第2のケースに係る取引処理装置おける本人確認処理の流れを示した図である。
【0063】
実施形態の変形例の第1のケースでは、図7の(b)の欄に示すように、第1テンプレートを第1保存部11に保存し、第2テンプレートを第3保存部42に保存し、第2保存部およびハッシュ値を使用しない。また、実施形態の変形例の第2のケースでは、図7の(c)の欄に示すように、第2テンプレートを第2保存部12に保存し、第1テンプレートおよびハッシュ値を第3保存部42に保存し、第1保存部を使用しない。なお、図7の(a)の欄は、今まで説明してきた実施形態における第1テンプレート、第2テンプレートおよびハッシュ値の保存先を、参考のために示したものである。
【0064】
(実施形態の変形例の第1のケース)
次に、実施形態の変形例の第1のケースについて、図8を用いて、改ざんされた利用者カード10では本人確認ができないことを示す。
【0065】
まず、図8(a)に示すように利用者AがN回目までの取引を行うときには、取引処理装置30は、利用者Aのバイオメトリクス情報であるサンプル「S(i)」と第1テンプレート「T(1)」とを照合し、さらに、サンプル「S(i)」と第2テンプレート「U(i)」とを照合し、両者の照合が成功したときに利用者本人であると判定し、所定の取引処理を開始するとともに、第2テンプレート「U(i)」をサンプル「S(i)」によって「U(i+1)」に更新する(ここで、i=1,…,N)。
【0066】
このようにして、利用者AによってN回目の取引が行われた後に、利用者Bを改ざんして、第1テンプレート「T(1)」を自分のバイオメトリクス情報に置き換え、「T(2)」とし、その改ざんした利用者カード10を使用する。この場合、図8(b)に示すように、利用者Bのサンプル「S(N+1)」は、第1テンプレート「T(2)」と一致するが、センタ40の第3保存部42に保存されている第2テンプレート「U(N+1)」とは一致しない。従って、改ざんされた利用者カード10による利用者Bの本人確認は成功せず、利用者Bは、所定の取引を行うことができない。
【0067】
次に、図9を参照し(適宜、図1および図2も参照)、実施形態の変形例の第1のケースにおける本人確認処理の流れについて説明する。なお、本ケースでは、図1の利用者カード10の第2保存部12は、使用されないので、物理的に設けられていないものとしてもよい。また、第2テンプレート103は第3保存部42に保存されるものとし、ハッシュ値105は使用されない。
【0068】
まず、取引処理装置30は、サンプル取得部31の処理として、利用者カード10をカード読み書き部305に挿入するよう促すメッセージを表示部306に表示し、利用者に対し利用者カード10の挿入を要求する(ステップS901)。さらに、取引処理装置30は、利用者に対しバイオメトリクス情報の入力を促すメッセージを表示部306に表示する。そして、利用者が操作部307を介して自身のバイオメトリクス情報を入力すると、取引処理装置30は、入力されたバイオメトリクス情報をサンプルとして読み取る(ステップS902)。
【0069】
次に、取引処理装置30は、照合部32の処理として、利用者カード10の第1保存部11から第1テンプレート102を読み出す(ステップS903)とともに、一方では、センタ40へ問い合わせて(ステップS904)、センタ40の第3保存部42から第2テンプレート103を読み出す(ステップS905)。そして、これら読み出した第1テンプレート102および第2テンプレート103それぞれを、ステップS902で読み取った利用者のバイオメトリクス情報のサンプルと照合し、第1テンプレート102および第2テンプレート103の少なくとも一方がサンプルと同一人物のものでないと判定された場合には(ステップS906でNo)、取引処理装置30は、「利用者カード10の登録者と利用者とが相違する」と判断し、利用者カード10を返却して(ステップS913)、本人確認処理を終了する。
【0070】
また、前記照合において、第1テンプレート102および第2テンプレート103のいずれもサンプルと同一人物のものであると判定された場合には(ステップS906でYes)、取引処理装置30は、ステップS903で読み取った利用者のバイオメトリクス情報のサンプルをもとに新たなテンプレートを作成し、センタ40に対し、その新たなテンプレートにより第2テンプレートを更新することを要求する(ステップS907)。
【0071】
センタ40は、制御部41の処理として、前記利用者のバイオメトリクス情報のテンプレートに付して取引処理装置30から送信されてきた取引処理装置30のセキュリティチップ309の識別子の情報に基づき、その情報を送信した装置が正当な装置であるか否かを判定する(ステップS908)。その判定の結果、正当な装置でなかった場合には(ステップS908でNo)、「装置が正当でない」旨を取引処理装置30へ通知する。また、正当な装置であった場合には(ステップS908でYes)、取引処理装置30から送信されてきた利用者のバイオメトリクス情報を第3保存部42に上書きし(ステップS909)、さらに、その上書きの更新が成功したか否かをチェックする(ステップS910)。そして、その更新に成功していた場合には(ステップS910でYes)、「更新成功」の旨を取引処理装置30へ通知する。また、更新に成功していなかった場合には(ステップS910でNo)、第3保存部42の第2テンプレートのデータを元に戻し(ステップS912)、「更新失敗」の旨を取引処理装置30へ通知する。
【0072】
取引処理装置30は、センタ40から「装置が正当でない」または「更新失敗」の旨の通知を受けた場合には、利用者カード10を返却して(ステップS913)、本人確認処理を「確認失敗」として終了する。また、取引処理装置30は、センタ40から「更新成功」の旨の通知を受けた場合には、所定の取引処理(例えば、現金の預け入れや、引き出しなどの処理)の実行を開始する(ステップS911)とともに、利用者カード10を返却して(ステップS913)、本人確認処理を終了する。
【0073】
(変形例の第2のケース)
変形例の第2のケースにおいて、改ざんされた利用者カード10が検知される原理は、図6での説明と同じである。ただし、本ケースの場合には、第1テンプレート102は、カード10ではなくセンタ40に保存される。従って、図7の(c)では、カード10の第1保存部11は使用されず、第1テンプレート102は、ハッシュ値とともにセンタ40の第3保存部42に保存されるとしているが、第1保存部12がカード10ではなくセンタ40にあるとすると、図6の説明は本ケースにそのまま適用できる。すなわち、本ケースにおいても、改ざんされた利用者カード10による本人確認は成功せず、改ざんした第三者は、所定の取引を行うことができない。
【0074】
次に、図10を参照し(適宜、図1および図2も参照)、実施形態の変形例の第2のケースにおける本人確認処理の流れについて説明する。なお、ここでは、第1保存部11は、カード10ではなくセンタ40にあるとして説明する。
【0075】
まず、取引処理装置30は、サンプル取得部31の処理として、利用者カード10をカード読み書き部305に挿入するよう促すメッセージを表示部306に表示し、利用者に対し利用者カード10の挿入を要求する(ステップS101)。さらに、取引処理装置30は、利用者に対しバイオメトリクス情報の入力を促すメッセージを表示部306に表示する。そして、利用者が操作部307を介して自身のバイオメトリクス情報を入力すると、取引処理装置30は、入力されたバイオメトリクス情報をサンプルとして読み取る(ステップS102)。
【0076】
次に、取引処理装置30は、照合部32の処理として、利用者カード10の第2保存部12から第2テンプレート103を読み出す(ステップS103)とともに、一方では、センタ40へ問い合わせて(ステップS104)、センタ40の第3保存部42から第1テンプレート102を読み出す(ステップS105)。そして、これら読み出した第1テンプレート102および第2テンプレート103それぞれを、ステップS102で読み取った利用者のバイオメトリクス情報のサンプルと照合し、第1テンプレート102および第2テンプレート103の少なくとも一方がサンプルと同一人物のものでないと判定された場合には(ステップS106でNo)、取引処理装置30は、「利用者カード10の登録者と利用者とが相違する」と判断し、利用者カード10を返却して(ステップS119)、本人確認処理を終了する。
【0077】
また、前記照合において、第1テンプレート102および第2テンプレートのいずれもサンプルと同一人物のものであると判定された場合には(ステップS106でYes)、取引処理装置30は、所定のハッシュ関数に基づき、ステップS103で読み出した第2テンプレート103のハッシュ値を算出する(ステップS107)。また、取引処理装置30は、センタ40からその第3保存部42に保存されているハッシュ値105を読み出し(ステップS108)、そのハッシュ値105がステップS107で算出したハッシュ値と一致するか否かを判定する(ステップS109)。
【0078】
以下、ステップS109〜ステップS119までの処理は、それぞれ、図4のステップS508〜ステップS518までの処理と同じであるので、説明を省略する。
【0079】
実施形態は、このほかにも、さらに、種々変更することが可能である。例えば、以上の実施形態においては、登録処理装置20は、ネットワーク50を介して、センタ40に接続されているとしているが、センタ40の機能が登録処理装置20に含まれる構成であっても構わない。また、以上の実施形態では、第2テンプレート103に基づきハッシュ値105を算出し、算出したハッシュ値105をセンタ40の第3保存部42に保存するとしているが、第2テンプレート103に基づき算出する値は、ハッシュ値105に代え、データ通信などの分野で用いられている剰余符号やチェックサムとしてもよい。
【図面の簡単な説明】
【0080】
【図1】本発明の実施形態に係る本人確認システムの全体構成を示した図である。
【図2】本発明の実施形態に係る取引処理装置のブロック構成を示した図である。
【図3】本発明の実施形態に係る登録処理装置における利用者カードの登録処理の流れを示した図である。
【図4】本発明の実施形態に係る取引処理装置おける本人確認処理の流れを示した図である。
【図5】本発明の実施形態に係る取引処理装置により、利用者本人が利用者カードを用い、利用者カード登録後N回目までの取引処理を行う場合について、テンプレートの照合の様子を示した図である。
【図6】本発明の実施形態に係る取引処理装置に係る本人確認において、N回目の取引後に悪意ある第三者が利用者カードを改ざんした場合について、サンプルとテンプレートとの照合の様子を示した図であり、(a)は、第1テンプレートが改ざんされた場合、(b)は、第1テンプレートおよび第2テンプレートの両方が改ざんされた場合を説明する図である。
【図7】本発明の実施形態および実施形態の変形例における第1保存部、第2保存部および第3保存部の使用方法を示した図である。
【図8】本発明の実施形態の変形例の第1のケースにおけるサンプルとテンプレートとの照合の様子を示した図である。
【図9】本実施形態の変形例の第1のケースに係る取引処理装置おける本人確認処理の流れを示した図である。
【図10】本実施形態の変形例の第2のケースに係る取引処理装置おける本人確認処理の流れを示した図である。
【符号の説明】
【0081】
1 本人確認システム
10 利用者カード
11 第1保存部
12 第2保存部
20 登録処理装置
21 管理者確認部
22 サンプル取得部
23 テンプレート初期化部
30 取引処理装置
31 サンプル取得部
32 照合部
33 テンプレート更新部
40 センタ
41 制御部
42 第3保存部
50 ネットワーク
60 管理者カード
61 保存部
101 利用者識別子
102 第1テンプレート
103 第2テンプレート
104 利用者識別子
105 ハッシュ値
106 テンプレート
301 CPU
302 メモリ
303 補助記憶装置
304 センタ通信部
305 カード読み書き部
306 表示部
307 操作部
308 キャッシュモジュール部
309 セキュリティチップ
310 バス
【技術分野】
【0001】
本発明は、バイオメトリクス情報が認証用情報として記録された可搬媒体を用いて本人確認をする本人確認方法、プログラムおよび取引処理装置に関する。
【背景技術】
【0002】
金融機関やコンビニエンスストアなどに設置されたATM(Automatic Teller Machine)などの取引処理装置では、利用者が本人であることを確認するために、知識(暗証番号など)または所持品(キャッシュカードなど)を利用した認証が広く行われている。しかしながら、近年、悪意ある第三者がスキミングなどの手段により、他人の認証用の可搬媒体(磁気カードなどによるキャッシュカードなど)から記録されている情報を不正に読み取り、本人の知らないうちに同様の可搬媒体を偽造し、その偽造可搬媒体により本人になりすまして取引を行う事件が頻発している。
【0003】
可搬媒体が偽造されるという問題に対して、特許文献1では、取引ごとに更新されるシリアル番号を可搬媒体とセンタの両方に記録し、取引処理装置で読み取った可搬媒体のシリアル番号とセンタ側のシリアル番号とを比較し、両者が一致しない場合には、偽造された可搬媒体が存在するとして、取引を中止する本人確認の方法が開示されている。
【0004】
この本人確認の方法によれば、認証用の可搬媒体に記録された情報が第三者に不正に読み取られ、その情報が丸ごとコピーされて別体の可搬媒体が偽造された場合には、センタは、同じシリアル番号を有する2つの可搬媒体から本人確認を求められ、一方に正規のシリアル番号を付与すると、他方のシリアル番号は一致しないことになる。従って、センタにおけるシリアル番号の確認において、シリアル番号が一致しない場合には、偽造された可搬媒体が存在することになるので、センタはその取引を即時中止するとしている。
【0005】
また、特許文献2には、バイオメトリクス情報(指紋、静脈、声紋、虹彩、筆跡などの情報)を利用した本人確認の方法が開示されている。その本人確認の方法によれば、あらかじめ認証装置側に利用者の基準となるバイオメトリクス情報を登録しておき、利用時に入力される本人のバイオメトリクス情報と照合することによって本人確認を行う。また、この本人確認の方法によれば、利用者が保持する認証用のICカードに利用者の基準となるバイオメトリクス情報を登録しておくことにより、認証用のICカードに認証装置の機能を持たせることができるとしている。
【特許文献1】特開2002−133498号公報
【特許文献2】特開2003−308302号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に開示されている本人確認の方法では、第三者が認証用の可搬媒体を偽造し、正規の利用者が正規の可搬媒体を用いて正規の取引を行う前に、偽造した可搬媒体を用いて取引が行われた場合には、その取引を防止することができない。また、特許文献2に開示されているような認証用のICカードを用いた本人確認の方法では、第三者が認証用のICカードに記録されている情報を丸ごとコピーし、基準となるバイオメトリクス情報を改ざんして、認証用のICカードを偽造した場合には、その偽造されたICカードによる取引を防止することができない。
【0007】
以上のように、従来技術においては、バイオメトリクス情報を認証用情報として用いる場合であっても、その認証の基準となる情報が可搬媒体に記録される限りは、その可搬媒体が窃盗され改ざんされた場合には、その不正使用を防止することができなかった。
【0008】
そこで、本発明の目的は、本人認証用の可搬媒体にバイオメトリクス情報を認証用情報として記録する場合に、その認証用可搬媒体が窃盗され、または、その認証用可搬媒体に記録されている情報が不正に読み取られ、認証用可搬媒体が改ざん、または、偽造された場合であっても、その不正使用を防止することが可能な本人確認方法、プログラムおよび取引処理装置を提供することにある。
【課題を解決するための手段】
【0009】
本発明は、利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段および第2の保存手段にそれぞれ保存された第1の認証用情報および第2の認証用情報と、センタに設けられた第3の保存手段に保存された第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置であり、その処理装置における本人確認方法であり、プログラムである。そして、前記取引処理装置は、前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、前記第1の保存手段および前記第2の保存手段からそれぞれ前記第1の認証用情報および前記第2の認証用情報を読み出すとともに、前記第2の保存手段へ前記サンプルを書き込む認証用情報読み書き手段とを備え、前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報および前記第2の認証用情報とそれぞれ照合し、その照合の結果、前記第1の認証用情報および前記第2の認証用情報のいずれもが前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第2の認証用情報のハッシュ値を算出し、その算出したハッシュ値を前記第3の保存手段から読み出した前記第3の認証用情報と比較し、その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第2の保存手段に書き込むことにより前記第2の認証用情報を更新し、前記所定のハッシュ関数に基づき前記更新した第2の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新することを特徴とする。
【0010】
本発明によれば、認証用可搬媒体の第1の保存手段および第2の保存手段に保存された第1の認証用情報および第2の認証用情報の一方または両方が悪意ある第三者によって改ざんされた場合であっても、センタの第3保存部には、改ざん前の正規の利用者のバイオメトリクス情報から算出されたハッシュ値が保存されている。そこで、そのハッシュ値と改ざんされたハッシュ値が比較されるので、その改ざんを検知することができ、その改ざんされた認証用可搬媒体の不正使用を防止することができる。
【発明の効果】
【0011】
本発明により、本人認証用の可搬媒体が窃盗され、または、その認証用可搬媒体に記録されている情報が不正に読み取られ、認証用可搬媒体が改ざん、または、偽造された場合であっても、その不正使用を防止することができるようになる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施形態について、適宜、図面を参照しながら詳しく説明する。
【0013】
図1は、本発明の実施形態に係る本人確認システムの全体構成を示した図である。図1に示すように、本人確認システム1は、利用者カード10、登録処理装置20、取引処理装置30、センタ40、管理者カード60を含んで構成され、登録処理装置20および取引処理装置30は、ネットワーク50を介してセンタ40に接続される。なお、本人確認システム1は、例えば、金融機関のオンラインATMシステムなどに適用される。
【0014】
ここで、利用者カード10は、本人確認システム1が適用されるアプリケーションシステム(例えば、オンラインATMシステムなど)の利用者に配布され、その利用者それぞれが所持する小型かつ軽量の情報記憶媒体であり、その情報記憶媒体としては、通常、IC(Integrated Circuits)カードや磁気カードなどが使用される。
【0015】
利用者カード10には、記憶領域として、第1保存部11と第2保存部12とが設けられ、その第1保存部11には、利用者を一意に特定する利用者識別子101と、第1テンプレート102として利用者のバイオメトリクス情報が保持される。また、第2保存部12には、取引処理のたびに更新される第2テンプレート103が保持される。これら第1のテンプレート102および第2テンプレート103は、その利用者カード10の利用者であることを認証する認証用情報である。
【0016】
なお、本実施形態では、利用者カード10は、盗難されたり、スキミングされたりした場合には、第1テンプレート102、第2テンプレート103などの認証用情報を改ざんまたは偽造され得るものとみなす。
【0017】
管理者カード60は、登録処理装置20を操作する権限を持つ者(登録管理者)だけに配布される小型かつ軽量の情報記憶媒体であり、その情報記憶媒体としては、利用者カード10と同様に、通常、ICカードや磁気カードなどが使用される。管理者カード60には、記憶領域として、保存部61が設けられ、保存部61には、テンプレート106として、登録管理者のバイオメトリクス情報が保持される。
【0018】
登録処理装置20は、利用者カード10の第1保存部11に第1テンプレート102として利用者のバイオメトリクス情報を登録するための装置であり、例えば、金融機関の窓口などに設置され、窓口の職員(すなわち、登録の管理者)によって操作される端末装置である。
【0019】
また、取引処理装置30は、利用者カード10から認証用情報の提供を受け、センタ40と連携して、その利用者があらかじめ登録された利用者であるか否かを確認する。そして、利用者本人であることを確認した場合には、本人確認システム1のアプリケーションとしての所定の取引処理を行う。取引処理装置30は、例えば、金融機関やコンビニエンスストアなどに設置されているATM端末装置であり、利用者に対し現金預け入れや引き出しなどの取引処理を提供する。
【0020】
また、センタ40は、図示しないCPU(Central Processing Unit)と記憶装置とを少なくとも備えたコンピュータであり、その記憶装置には第3保存部42が設けられる。そして、第3保存部42には、利用者を一意に特定するための利用者識別子104と、利用者カード10の第2保存部12に保持されている第2テンプレート103に対して計算されたハッシュ値105との情報が組にして保持される。この利用者識別子104とハッシュ値105との組の情報は、登録処理装置20によって登録された利用者の人数分だけ保持され、センタ40は、ハッシュ値105を用いて利用者カード10に記憶されている第2テンプレート103の有効性をチェックする。
【0021】
なお、センタ40の制御部41は、登録処理装置20からの要求に応じて、第3保存部42に保持されているハッシュ値105の読み出しや更新処理などを実行する。なお、このような制御部41の機能は、前記図示しないCPUが記憶装置に格納されている所定のプログラムを実行することによって実現される。
【0022】
図2は、本実施形態に係る取引処理装置のブロック構成を示した図である。図2に示すように、取引処理装置30は、CPU301、メモリ302、補助記憶装置303、センタ通信部304、カード読み書き部305、表示部306、操作部307、キャッシュモジュール部308、セキュリティチップ309などを含み、さらに、それらがバス310を介して相互に接続されて構成される。
【0023】
ここで、メモリ302は、半導体メモリのRAM(Random Access Memory)などで構成され、CPU301が実行するプログラムなどがロードされる。また、補助記憶装置303は、電源をオフにしても記憶されたデータが保存されるハードディスクなどによって構成される。また、センタ通信部304は、TCP/IP(Transmission Control Protocol/Internet Protocol)や独自のプロトコルなどを利用し、専用回線またはISDN(Integrated Services Digital Network)回線などによるネットワーク50を介してセンタ40と通信する通信装置によって構成される。
【0024】
また、カード読み書き部305は、利用者カード10(または管理者カード60)が保持するデータを読み取るとともに、利用者カード10(または管理者カード60)に対してデータを書き込む装置である。また、表示部306は、LCD(Liquid Crystal Display)などで構成され、CPU301が処理した結果などを表示する装置である。
【0025】
また、操作部307は、暗証番号や取引額を入力するためのキーパッド、取引の種類などを指示するための各種ボタン、前記表示部306上に構成されるタッチパネル、さらには、利用者のバイオメトリクス情報を入力するためのバイオメトリクス入力装置などによって構成される装置である。また、キャッシュモジュール部308は、入金または出金に係る紙幣や硬貨を保管し、入金口または出金口を備え、利用者の要求する取引に応じて紙幣や硬貨を入金口から搬入または出金口へ搬送する装置である。
【0026】
また、セキュリティチップ309は、耐タンパ性を備えた記憶装置であり、セキュリティチップ309ごとに固有の識別子が記録され、当該セキュリティチップ309と同等のチップを偽造することが困難なものである。
【0027】
以上のように構成された取引処理装置30は、さらに、サンプル取得部31、照合部32、テンプレート更新部33などの機能ブロックを備える。これらの機能ブロックの機能は、CPU301が補助記憶装置303から所定のプログラムをメモリ302にロードし、実行することによって実現される。ここで、サンプル取得部31は、操作部307のバイオメトリクス入力装置によって利用者のバイオメトリクス情報(サンプル)を読み取るなどの機能を備える。また、照合部32は、利用者カード10に保持されている第1テンプレート102または第2テンプレート103と、サンプル取得部31によって取得されたサンプルとを照合するなどの機能を備える。また、テンプレート更新部33は、所定の取引処理成立後に、サンプル取得部31によって取得されたサンプルにより利用者カード10の第2テンプレート103を更新する機能などを備える。なお、これらの機能ブロックの機能として、CPU301が実行する処理の詳細については、別途、図4を用いて説明する。
【0028】
なお、詳細な説明を省略するが、登録処理装置20も、図2に示した取引処理装置30と同様の構成となる。ただし、相違点として、登録処理装置20は、キャッシュモジュール部308を含まない。そして、前記登録処理装置20は、自らを操作する者が権限を有するかどうかを判定する管理者確認部21、利用者のバイオメトリクス情報を読み取るサンプル取得部22、サンプル取得部22が読み取った利用者のバイオメトリクス情報を利用者カード10の第1テンプレート102およびを第2テンプレート103に保存して初期化するテンプレート初期化部23などの機能を備える。なお、これらの機能は、登録処理装置20のCPU301が補助記憶装置303から所定のプログラムをメモリ302にロードし、実行することによって実現される。
【0029】
次に、図3および図4を参照(適宜、図1および図2も参照)して本人確認システム1における本人確認処理の流れについて説明する。ここで、図3は、本実施形態に係る登録処理装置における利用者カードの登録処理の流れを示した図、図4は、本実施形態に係る取引処理装置おける本人確認処理の流れを示した図である。
【0030】
図3において、登録処理装置20は、まず、管理者確認部21の処理として、管理者カード60をカード読み書き部305に挿入するのを促すメッセージを表示部306に表示し、利用者(この場合は、登録の管理者)に対し管理者カード60の挿入を要求する(ステップS201)。管理者がカードを挿入すると、登録処理装置20は、挿入されたカードの情報を読み取り、そのカードが所定の管理者カード60であるか否かを判定する(ステップS202)。その判定の結果、挿入されたカードが管理者カード60でなかった場合には(ステップS202でNo)、登録処理装置20は、挿入されたカードを返却し(ステップS204)、登録処理を終了する。また、挿入されたカードが管理者カード60であった場合には(ステップS202でYes)、管理者カード60の保存部61からテンプレート106を読み込み(ステップS203)、管理者カード60を返却する(ステップS205)。
【0031】
次に、登録処理装置20は、サンプル取得部22の処理として、管理者に対しバイオメトリクス情報を入力するよう促すメッセージを表示部306に表示し、管理者が操作部307を介して自身のバイオメトリクス情報を入力すると、入力されたバイオメトリクス情報をサンプルとして読み取る(ステップS206)。そして、読み取ったサンプルとテンプレート106とを照合し、管理者本人であるか否かを判定する(ステップS207)。その判定の結果、管理者本人でなかった場合には(ステップS207でNo)、登録処理を終了する。一方、管理者本人であった場合には(ステップS207でYes)、登録処理装置20は、次に、テンプレート初期化部23の処理を行う。
【0032】
なお、ステップS207においては、2つの指紋などのバイオメトリクス情報を照合するが、その照合において、例えば、2つのバイオメトリクス情報について公知のパターンマッチング処理などを行い、その処理によって得られるのパターンの一致度などの値が所定値以上であれば、同一人物のバイオメトリクス情報とみなす。
【0033】
登録処理装置20は、テンプレート初期化部23の処理として、利用者カード10をカード読み書き部305に挿入するよう促すメッセージを表示部306に表示し、利用者に対し利用者カード10の挿入を要求する(ステップS208)。利用者がカードを挿入すると、登録処理装置20は、挿入されたカードの情報を読み取り、そのカードが所定の利用者カード10であるか否かを判定する(ステップS209)。その判定の結果、挿入されたカードが利用者カード10でなかった場合には(ステップS209でNo)、登録処理装置20は、挿入されたカードを返却し(ステップS217)、登録処理を終了する。また、挿入されたカードが利用者カード10であった場合には(ステップS209でYes)、登録処理装置20は、操作部307から利用者のバイオメトリクス情報を入力するよう表示部306に表示し、利用者が操作部307を介して自身のバイオメトリクス情報を入力すると、入力されたバイオメトリクス情報を利用者のサンプルとして読み取る(ステップS210)。
【0034】
続いて、登録処理装置20は、読み取った利用者のサンプルをもとに第1テンプレート102を作成し(ステップS211)、利用者カード10の第1保存部11に保存し(ステップS212)、さらに、第1テンプレート102と同じデータを第2テンプレート103として利用者カード10の第2保存部12に保存する(ステップS213)。また、さらに、登録処理装置20は、所定のハッシュ関数に基づき第2テンプレート103のハッシュ値を算出し(ステップS214)、算出したハッシュ値と、登録処理装置20のセキュリティチップ309に保管されている識別子の情報とをセンタ40へ送信する。
【0035】
センタ40は、制御部41の処理として、送信されてきた識別子の情報に基づき、それらの情報を送信した装置が正当な装置であるか否かを判定する(ステップS215)。その判定の結果、正当な装置でなかった場合には(ステップS215でNo)、「装置が正当でない」旨を登録処理装置20へ通知する。また、正当な装置であった場合には(ステップS215でYes)、センタ40は、送信されてきたハッシュ値を第3保存部42に保存し(ステップS216)、「ハッシュ値を保存した」旨を登録処理装置20へ通知する。
【0036】
登録処理装置20は、これらの通知を受けると、利用者に利用者カード10を返却し(ステップS217)、登録処理を終了する。ただし、「装置が正当でない」旨の通知を受けた場合には、登録処理は完了せず、返却された利用者カード10は、有効な利用者カード10として使用できるようにはならない。一方、「ハッシュ値を保存した」旨の通知を受けた場合には、利用者カード10の登録が完了したことになり、返却された利用者カード10は、有効な利用者カード10として使用することができるようになる。
【0037】
なお、以上に説明した登録処理装置20における登録処理は、利用者カード10の第1テンプレート102を更新する場合にも利用することができる。
【0038】
次に、図4を参照し、取引処理装置30が実行する本人確認処理について説明する。すなわち、取引処理装置30は、利用者カード10によって自らを利用しようとしている者が、その利用者カード10に登録されている者に相違ないことを確認する。
【0039】
まず、取引処理装置30は、サンプル取得部31の処理として、利用者カード10をカード読み書き部305に挿入するよう促すメッセージを表示部306に表示し、利用者に対し利用者カード10の挿入を要求する(ステップS501)。さらに、取引処理装置30は、利用者に対しバイオメトリクス情報の入力を促すメッセージを表示部306に表示する。そして、利用者が操作部307を介して自身のバイオメトリクス情報を入力すると、取引処理装置30は、入力されたバイオメトリクス情報をサンプルとして読み取る(ステップS502)。
【0040】
次に、取引処理装置30は、照合部32の処理として、利用者カード10の第1保存部11から第1テンプレート102を、第2保存部12から第2テンプレート103を読み出し(ステップS503)、その読み出した第1テンプレート102および第2テンプレート103をそれぞれ、ステップS502で読み取った利用者のバイオメトリクス情報のサンプルと照合する(ステップS504)。
【0041】
なお、ステップS504においては、2つのバイオメトリクス情報を照合するが、その照合において、例えば、2つのバイオメトリクス情報について公知のパターンマッチング処理などを行い、その処理によって得られるパターンの一致度などの値が所定値以上であれば、同一人物のバイオメトリクス情報とみなす。
【0042】
そこで、その照合の結果、第1テンプレート102および第2テンプレート103の少なくとも一方がサンプルと同一人物のものでないと判定された場合には(ステップS505でNo)、取引処理装置30は、「利用者カード10の登録者と利用者とが相違する」と判断し、利用者カード10を返却して(ステップS518)、本人確認処理を終了する。また、第1テンプレート102および第2テンプレート103のいずれもサンプルと同一人物のものであると判定された場合には(ステップS505でYes)、取引処理装置30は、所定のハッシュ関数に基づき、ステップS503で読み出した第2テンプレート103のハッシュ値を算出する(ステップS506)。また、取引処理装置30は、センタ40からその第3保存部42に保存されているハッシュ値105を読み出し(ステップS507)、そのハッシュ値105がステップ506で算出したハッシュ値と一致するか否かを判定する(ステップS508)。
【0043】
その判定の結果、これらのハッシュ値が一致しなかった場合には(ステップS508でNo)、取引処理装置30は、「利用者カード10の登録者と利用者とが相違する」と判断し、利用者カード10を返却して(ステップS518)、本人確認処理を終了する。
【0044】
また、ハッシュ値が一致した場合には(ステップS508でYes)、取引処理装置30は、テンプレート更新部33の処理として、ステップS502で読み取った利用者のバイオメトリクス情報のサンプルによって第2テンプレート103を更新し(ステップS509)、さらに、更新した第2テンプレート103を利用者カード10の第2保存部12に上書きする(ステップS510)。そして、第2保存部12への上書きの更新が成功したか否かをチェックし(ステップS511)、その更新に成功していなかった場合には(ステップS511でNo)、第2保存部12に保存する第2テンプレートのデータを元に戻す(ステップS517)。
【0045】
また、更新に成功していた場合には(ステップS511でYes)、所定のハッシュ関数に基づき更新した第2テンプレート103のハッシュ値を算出し(ステップS512)、算出したハッシュ値と、取引処理装置30のセキュリティチップ309に保管されている識別子の情報とをセンタ40へ送信する。
【0046】
センタ40は、制御部41の処理として、取引処理装置30から送信されてきた識別子の情報に基づき、それらの情報を送信した装置が正当な装置であるか否かを判定する(ステップS513)。その判定の結果、正当な装置でなかった場合には(ステップS513でNo)、「装置が正当でない」旨を取引処理装置30へ通知する。また、正当な装置であった場合には(ステップS513でYes)、取引処理装置30から送信されてきたハッシュ値を第3保存部42に上書きし(ステップS514)、さらに、その上書きの更新が成功したか否かをチェックする(ステップS515)。そして、その更新に成功していなかった場合には(ステップS515でNo)、「更新失敗」の旨を取引処理装置30へ通知する。また、更新に成功していた場合には(ステップS515でYes)、「更新成功」の旨を取引処理装置30へ通知する。
【0047】
取引処理装置30は、センタ40から「装置が正当でない」または「更新失敗」の旨の通知を受けた場合には、利用者カード10の第2保存部12に保存する第2テンプレート103のデータを元に戻し(ステップS517)、利用者カード10を返却して(ステップS518)、本人確認処理を「確認失敗」として終了する。また、取引処理装置30は、センタ40から「更新成功」の旨の通知を受けた場合には、所定の取引処理(例えば、現金の預け入れや、引き出しなどの処理)の実行を開始する(ステップS516)とともに、利用者カード10を返却して(ステップS518)、本人確認処理を終了する。
【0048】
続いて、以上に説明した本人確認システム1における本人確認のセキュリティの効果について、図5および図6を参照して説明する。ここで、図5は、本実施形態に係る取引処理装置により、利用者本人が利用者カードを用い、利用者カード登録後N回目までの取引処理を行う場合について、サンプルとテンプレートとの照合の様子を示した図である。また、図6は、本実施形態に係る取引処理装置における本人確認において、N回目の取引後に悪意ある第三者が利用者カードを改ざんした場合について、サンプルとテンプレートとの照合の様子を示した図であり、(a)は、第1テンプレートが改ざんされた場合、(b)は、第1テンプレートおよび第2テンプレートの両方が改ざんされた場合を説明する図である。
【0049】
図5に示すように、本人確認システム1は、1回目の本人確認において、当該利用者カード10の利用者Aを認証するために、利用者Aのバイオメトリクス情報のサンプル(以下、単にサンプルという)「S(1)」と第1テンプレート「T(1)」とを照合し、第2テンプレート「U(1)(初回は、T(1)と同じ)」のハッシュ値とセンタ40に保存されているハッシュ値「C(1)」とを照合し、さらに、サンプル「S(1)」と第2テンプレート「U(1)」とを照合する。そして、これらの照合がすべて成功したときに、当該利用者カード10の利用者Aが本人であることを認証するとともに、次回の認証のために、第2テンプレート「U(1)」をサンプル「S(1)」によって「U(2)」に更新し、ハッシュ値「C(1)」を「U(2)」から算出されるハッシュ値「C(2)」に更新する。以上で1回目の本人確認を完了する。
【0050】
次に、2回目の本人確認においてにおいて、同様に、利用者Aのサンプル「S(2)」と第1テンプレート「T(1)」とを照合し、第2テンプレート「U(2)」のハッシュ値とセンタ40に保存されているハッシュ値「C(2)」とを照合し、さらに、サンプル「S(2)」と第2テンプレート「U(2)」とを照合することによって、利用者Aが本人であることを認証する。そして、第2テンプレート「U(2)」をサンプル「S(2)」によって「U(3)」に更新し、ハッシュ値「C(2)」を「U(3)」から算出されるハッシュ値「C(3)」に更新する。
【0051】
さらに、同様に、N回目の本人確認において、利用者Aのサンプル「S(N)」と第1テンプレート「T(1)」とを照合し、第2テンプレート「U(N)」のハッシュ値とセンタ40に保存されているハッシュ値「C(N)」とを照合し、さらに、サンプル「S(N)」と第2テンプレート「U(N)」とを照合することによって、利用者Aが本人であることを認証する。そして、第2テンプレート「U(N)」をサンプル「S(N)」によって「U(N+1)」に更新し、ハッシュ値「C(N)」を「U(N+1)」から算出されるハッシュ値「C(N+1)」に更新する。
【0052】
なお、以上の照合の過程において、サンプルがバイメトリクス情報である場合、サンプル「S(i)」と前記テンプレート「T(1)」とが完全に一致することはほとんどあり得ず、また、i回目の取引におけるサンプル「S(i)」と、i+1回目の取引におけるサンプル「S(i+1)」とが完全に一致することもほとんどあり得ない。例えば、指紋情報がサンプルとなる場合、利用者が同一であっても、指を操作部307に指を当てるときの角度や接触面への押し付け具合が違ったり、手指の荒れ具合が違ったりすると、サンプル取得部31によって取得される指紋情報は、その都度、異なった情報となる。
【0053】
しかしながら、取得される指紋情報が完全に一致しなくても、同一の利用者から取得される指紋情報は一致すると判断する必要がある。そこで、本実施形態では、指紋情報などバイオメトリクス情報の照合を行う場合には、照合対象のバイオメトリクス情報の画像情報などに対し、公知のパターンマッチング処理を施し、画像の一致度などの情報を求める。そして、その一致度などの情報が所定の値以上であれば、2つのバイオメトリクス情報は一致している、つまり、それら2つのバイオメトリクスの情報は同一人物のものであると判定する。
【0054】
一方、バイオメトリクス情報の場合、取得されるサンプル「S(i)」はその都度異なるため、i回目の第2テンプレート「U(i)」とi+1回目の第2テンプレート「U(i+1)」とが同じになることはほとんどあり得ない。従って、第2テンプレート「U(i)」から算出されるハッシュ値「C(i)」は、その都度異なった値となる。すなわち、C(i)≠C(i+1)となる。この事実を利用して、次に説明するように、利用者カード10の安全性を高めることができる。
【0055】
次に、悪意ある第三者(利用者B)が、利用者Aの利用者カード10を窃盗、または、スキミングなどによりその記録情報を入手した場合を想定する。この場合、利用者カード10に記録されている第1テンプレート102は、利用者Aのバイオメトリクス情報なので、当然ながら利用者Bは使用することができない。そこで、利用者Bは、利用者Aの利用者カード10を改ざんし、その第1テンプレート102を自分のバイオメトリクス情報で置き換える。
【0056】
すなわち、図6(a)に示すように、利用者Aが所定の取引にN回使用した利用者カード10を、利用者Bがその第1テンプレートの内容を「T(1)」から「T(2)」に改ざんし、N+1回目の取引に使用する。この場合、利用者Bのサンプル「S(N+1)」は、第1テンプレート「T(2)」と一致する。しかしながら、利用者Bのサンプル「S(N+1)」は第2テンプレート「U(N+1)」と一致しない。従って、その改ざんされた利用者カード10による利用者Bの本人確認は成功しないので、利用者Bは、所定の取引を行うことができない。
【0057】
また、利用者Bが第2テンプレート103を自分のバイオメトリクス情報に置き換え、利用者Aの利用者カード10を改ざんして使用した場合にも、同様に、改ざんされた利用者カード10による利用者Bの本人確認は成功しない。従って、利用者Bは、所定の取引を行うことができない。
【0058】
次に、利用者Bは、利用者Aの利用者カード10を改ざんし、第1テンプレート102、第2テンプレート103のいずれも自分のバイオメトリクス情報に置き換える。すなわち、図6(b)に示すように、利用者AによるN回の取引が行われた後に、利用者Bは、第1テンプレートの内容を「T(1)」から「T(2)」へ、また、第2テンプレートの内容を「U(N+1)」から「U(N+2)」へ改ざんし、N+1回目の取引に使用する。この場合、利用者Bのサンプル「S(N+1)」は、第1テンプレート「T(2)」ととも、第2テンプレート「U(N+2)」ととも一致する。
【0059】
しかしながら、第2テンプレート「U(N+2)」から算出されるハッシュ値は、センタ40の第3保存部42に保存されているハッシュ値「C(N+1)」と一致しない。ハッシュ値「C(N+1)」は、前回(N回目)の取引のときに入力された利用者Aのバイオメトリクス情報をもとに算出された値だからである。従って、この場合にも、改ざんされた利用者カード10による利用者Bの本人確認は成功せず、利用者Bは、所定の取引を行うことができない。
【0060】
以上のように、本実施形態によれば、利用者カード10に記録されている第1テンプレート102および第2テンプレート103の一方または両方が改ざんされたとしても、本人確認処理においてその利用者カード10による本人確認を失敗させることができるので、利用者カード10の改ざんまたは偽造によって本人になりすました不正な取引を防止することができる。
【0061】
また、本実施形態において取引処理装置30とセンタ40との間でネットワーク50を介して送受信される情報は、バイオメトリクス情報のハッシュ値であり、利用者のサンプルつまり利用者のバイオメトリクス情報が送受信されることはない。バイオメトリクス情報は、画像情報など情報量の大きい情報であるとともに、個人のプライバシに係る個人情報である。従って、情報量の大きい情報がネットワーク50を介して送受信されないことにより、ネットワーク50の通信負荷をかけずに済む。また、個人情報がネットワーク50を介して送受信されないことにより、ネットワーク50上で盗聴などにより個人情報が第三者に不正に取得されるのを防ぐことができる。
【0062】
(実施形態の変形例)
次に、図7〜図10を参照して、以上に説明した実施形態で、利用者カード10の第1保存部11または第2保存部12のいずれか一方を使用しないようにした実施形態の変形例について説明する。ここで、図7は、本実施形態および本実施形態の変形例における第1保存部、第2保存部および第3保存部の使用方法を示した図であり、図8は、本実施形態の変形例の第1のケースにおけるサンプルとテンプレートとの照合の様子を示した図である。また、図9は、本実施形態の変形例の第1のケースに係る取引処理装置おける本人確認処理の流れを示した図、図10は、本実施形態の変形例の第2のケースに係る取引処理装置おける本人確認処理の流れを示した図である。
【0063】
実施形態の変形例の第1のケースでは、図7の(b)の欄に示すように、第1テンプレートを第1保存部11に保存し、第2テンプレートを第3保存部42に保存し、第2保存部およびハッシュ値を使用しない。また、実施形態の変形例の第2のケースでは、図7の(c)の欄に示すように、第2テンプレートを第2保存部12に保存し、第1テンプレートおよびハッシュ値を第3保存部42に保存し、第1保存部を使用しない。なお、図7の(a)の欄は、今まで説明してきた実施形態における第1テンプレート、第2テンプレートおよびハッシュ値の保存先を、参考のために示したものである。
【0064】
(実施形態の変形例の第1のケース)
次に、実施形態の変形例の第1のケースについて、図8を用いて、改ざんされた利用者カード10では本人確認ができないことを示す。
【0065】
まず、図8(a)に示すように利用者AがN回目までの取引を行うときには、取引処理装置30は、利用者Aのバイオメトリクス情報であるサンプル「S(i)」と第1テンプレート「T(1)」とを照合し、さらに、サンプル「S(i)」と第2テンプレート「U(i)」とを照合し、両者の照合が成功したときに利用者本人であると判定し、所定の取引処理を開始するとともに、第2テンプレート「U(i)」をサンプル「S(i)」によって「U(i+1)」に更新する(ここで、i=1,…,N)。
【0066】
このようにして、利用者AによってN回目の取引が行われた後に、利用者Bを改ざんして、第1テンプレート「T(1)」を自分のバイオメトリクス情報に置き換え、「T(2)」とし、その改ざんした利用者カード10を使用する。この場合、図8(b)に示すように、利用者Bのサンプル「S(N+1)」は、第1テンプレート「T(2)」と一致するが、センタ40の第3保存部42に保存されている第2テンプレート「U(N+1)」とは一致しない。従って、改ざんされた利用者カード10による利用者Bの本人確認は成功せず、利用者Bは、所定の取引を行うことができない。
【0067】
次に、図9を参照し(適宜、図1および図2も参照)、実施形態の変形例の第1のケースにおける本人確認処理の流れについて説明する。なお、本ケースでは、図1の利用者カード10の第2保存部12は、使用されないので、物理的に設けられていないものとしてもよい。また、第2テンプレート103は第3保存部42に保存されるものとし、ハッシュ値105は使用されない。
【0068】
まず、取引処理装置30は、サンプル取得部31の処理として、利用者カード10をカード読み書き部305に挿入するよう促すメッセージを表示部306に表示し、利用者に対し利用者カード10の挿入を要求する(ステップS901)。さらに、取引処理装置30は、利用者に対しバイオメトリクス情報の入力を促すメッセージを表示部306に表示する。そして、利用者が操作部307を介して自身のバイオメトリクス情報を入力すると、取引処理装置30は、入力されたバイオメトリクス情報をサンプルとして読み取る(ステップS902)。
【0069】
次に、取引処理装置30は、照合部32の処理として、利用者カード10の第1保存部11から第1テンプレート102を読み出す(ステップS903)とともに、一方では、センタ40へ問い合わせて(ステップS904)、センタ40の第3保存部42から第2テンプレート103を読み出す(ステップS905)。そして、これら読み出した第1テンプレート102および第2テンプレート103それぞれを、ステップS902で読み取った利用者のバイオメトリクス情報のサンプルと照合し、第1テンプレート102および第2テンプレート103の少なくとも一方がサンプルと同一人物のものでないと判定された場合には(ステップS906でNo)、取引処理装置30は、「利用者カード10の登録者と利用者とが相違する」と判断し、利用者カード10を返却して(ステップS913)、本人確認処理を終了する。
【0070】
また、前記照合において、第1テンプレート102および第2テンプレート103のいずれもサンプルと同一人物のものであると判定された場合には(ステップS906でYes)、取引処理装置30は、ステップS903で読み取った利用者のバイオメトリクス情報のサンプルをもとに新たなテンプレートを作成し、センタ40に対し、その新たなテンプレートにより第2テンプレートを更新することを要求する(ステップS907)。
【0071】
センタ40は、制御部41の処理として、前記利用者のバイオメトリクス情報のテンプレートに付して取引処理装置30から送信されてきた取引処理装置30のセキュリティチップ309の識別子の情報に基づき、その情報を送信した装置が正当な装置であるか否かを判定する(ステップS908)。その判定の結果、正当な装置でなかった場合には(ステップS908でNo)、「装置が正当でない」旨を取引処理装置30へ通知する。また、正当な装置であった場合には(ステップS908でYes)、取引処理装置30から送信されてきた利用者のバイオメトリクス情報を第3保存部42に上書きし(ステップS909)、さらに、その上書きの更新が成功したか否かをチェックする(ステップS910)。そして、その更新に成功していた場合には(ステップS910でYes)、「更新成功」の旨を取引処理装置30へ通知する。また、更新に成功していなかった場合には(ステップS910でNo)、第3保存部42の第2テンプレートのデータを元に戻し(ステップS912)、「更新失敗」の旨を取引処理装置30へ通知する。
【0072】
取引処理装置30は、センタ40から「装置が正当でない」または「更新失敗」の旨の通知を受けた場合には、利用者カード10を返却して(ステップS913)、本人確認処理を「確認失敗」として終了する。また、取引処理装置30は、センタ40から「更新成功」の旨の通知を受けた場合には、所定の取引処理(例えば、現金の預け入れや、引き出しなどの処理)の実行を開始する(ステップS911)とともに、利用者カード10を返却して(ステップS913)、本人確認処理を終了する。
【0073】
(変形例の第2のケース)
変形例の第2のケースにおいて、改ざんされた利用者カード10が検知される原理は、図6での説明と同じである。ただし、本ケースの場合には、第1テンプレート102は、カード10ではなくセンタ40に保存される。従って、図7の(c)では、カード10の第1保存部11は使用されず、第1テンプレート102は、ハッシュ値とともにセンタ40の第3保存部42に保存されるとしているが、第1保存部12がカード10ではなくセンタ40にあるとすると、図6の説明は本ケースにそのまま適用できる。すなわち、本ケースにおいても、改ざんされた利用者カード10による本人確認は成功せず、改ざんした第三者は、所定の取引を行うことができない。
【0074】
次に、図10を参照し(適宜、図1および図2も参照)、実施形態の変形例の第2のケースにおける本人確認処理の流れについて説明する。なお、ここでは、第1保存部11は、カード10ではなくセンタ40にあるとして説明する。
【0075】
まず、取引処理装置30は、サンプル取得部31の処理として、利用者カード10をカード読み書き部305に挿入するよう促すメッセージを表示部306に表示し、利用者に対し利用者カード10の挿入を要求する(ステップS101)。さらに、取引処理装置30は、利用者に対しバイオメトリクス情報の入力を促すメッセージを表示部306に表示する。そして、利用者が操作部307を介して自身のバイオメトリクス情報を入力すると、取引処理装置30は、入力されたバイオメトリクス情報をサンプルとして読み取る(ステップS102)。
【0076】
次に、取引処理装置30は、照合部32の処理として、利用者カード10の第2保存部12から第2テンプレート103を読み出す(ステップS103)とともに、一方では、センタ40へ問い合わせて(ステップS104)、センタ40の第3保存部42から第1テンプレート102を読み出す(ステップS105)。そして、これら読み出した第1テンプレート102および第2テンプレート103それぞれを、ステップS102で読み取った利用者のバイオメトリクス情報のサンプルと照合し、第1テンプレート102および第2テンプレート103の少なくとも一方がサンプルと同一人物のものでないと判定された場合には(ステップS106でNo)、取引処理装置30は、「利用者カード10の登録者と利用者とが相違する」と判断し、利用者カード10を返却して(ステップS119)、本人確認処理を終了する。
【0077】
また、前記照合において、第1テンプレート102および第2テンプレートのいずれもサンプルと同一人物のものであると判定された場合には(ステップS106でYes)、取引処理装置30は、所定のハッシュ関数に基づき、ステップS103で読み出した第2テンプレート103のハッシュ値を算出する(ステップS107)。また、取引処理装置30は、センタ40からその第3保存部42に保存されているハッシュ値105を読み出し(ステップS108)、そのハッシュ値105がステップS107で算出したハッシュ値と一致するか否かを判定する(ステップS109)。
【0078】
以下、ステップS109〜ステップS119までの処理は、それぞれ、図4のステップS508〜ステップS518までの処理と同じであるので、説明を省略する。
【0079】
実施形態は、このほかにも、さらに、種々変更することが可能である。例えば、以上の実施形態においては、登録処理装置20は、ネットワーク50を介して、センタ40に接続されているとしているが、センタ40の機能が登録処理装置20に含まれる構成であっても構わない。また、以上の実施形態では、第2テンプレート103に基づきハッシュ値105を算出し、算出したハッシュ値105をセンタ40の第3保存部42に保存するとしているが、第2テンプレート103に基づき算出する値は、ハッシュ値105に代え、データ通信などの分野で用いられている剰余符号やチェックサムとしてもよい。
【図面の簡単な説明】
【0080】
【図1】本発明の実施形態に係る本人確認システムの全体構成を示した図である。
【図2】本発明の実施形態に係る取引処理装置のブロック構成を示した図である。
【図3】本発明の実施形態に係る登録処理装置における利用者カードの登録処理の流れを示した図である。
【図4】本発明の実施形態に係る取引処理装置おける本人確認処理の流れを示した図である。
【図5】本発明の実施形態に係る取引処理装置により、利用者本人が利用者カードを用い、利用者カード登録後N回目までの取引処理を行う場合について、テンプレートの照合の様子を示した図である。
【図6】本発明の実施形態に係る取引処理装置に係る本人確認において、N回目の取引後に悪意ある第三者が利用者カードを改ざんした場合について、サンプルとテンプレートとの照合の様子を示した図であり、(a)は、第1テンプレートが改ざんされた場合、(b)は、第1テンプレートおよび第2テンプレートの両方が改ざんされた場合を説明する図である。
【図7】本発明の実施形態および実施形態の変形例における第1保存部、第2保存部および第3保存部の使用方法を示した図である。
【図8】本発明の実施形態の変形例の第1のケースにおけるサンプルとテンプレートとの照合の様子を示した図である。
【図9】本実施形態の変形例の第1のケースに係る取引処理装置おける本人確認処理の流れを示した図である。
【図10】本実施形態の変形例の第2のケースに係る取引処理装置おける本人確認処理の流れを示した図である。
【符号の説明】
【0081】
1 本人確認システム
10 利用者カード
11 第1保存部
12 第2保存部
20 登録処理装置
21 管理者確認部
22 サンプル取得部
23 テンプレート初期化部
30 取引処理装置
31 サンプル取得部
32 照合部
33 テンプレート更新部
40 センタ
41 制御部
42 第3保存部
50 ネットワーク
60 管理者カード
61 保存部
101 利用者識別子
102 第1テンプレート
103 第2テンプレート
104 利用者識別子
105 ハッシュ値
106 テンプレート
301 CPU
302 メモリ
303 補助記憶装置
304 センタ通信部
305 カード読み書き部
306 表示部
307 操作部
308 キャッシュモジュール部
309 セキュリティチップ
310 バス
【特許請求の範囲】
【請求項1】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段および第2の保存手段にそれぞれ保存された第1の認証用情報および第2の認証用情報と、センタに設けられた第3の保存手段に保存された第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置における本人確認方法であって、
前記取引処理装置が、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段および前記第2の保存手段からそれぞれ前記第1の認証用情報および前記第2の認証用情報を読み出すとともに、前記第2の保存手段へ前記サンプルを書き込む認証用情報読み書き手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報および前記第2の認証用情報とそれぞれ照合し、
その照合の結果、前記第1の認証用情報および前記第2の認証用情報のいずれもが前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第2の認証用情報のハッシュ値を算出し、その算出したハッシュ値を前記第3の保存手段から読み出した前記第3の認証用情報と比較し、
その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第2の保存手段に書き込むことにより前記第2の認証用情報を更新し、前記所定のハッシュ関数に基づき前記更新した第2の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新すること
を特徴とする本人確認方法。
【請求項2】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段に保存された利用者のバイオメトリクス情報に基づく第1の認証用情報と、センタに設けられた第2の保存手段に保存された第2の認証用情報とを用いて、利用者の本人確認を行う取引処理装置における本人確認方法であって、
前記取引処理装置が、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段から前記第1の認証用情報を読み出す認証用情報読み出し手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報と照合し、
その照合の結果、前記第1の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、前記サンプルを前記センタの前記第2の保存手段から読み出した前記第2の認証用情報と照合し、
その照合の結果、前記第2の認証用情報が前記サンプルと同一人物のものと判定された場合には、前記サンプルを前記第2の保存手段に書き込むことによって前記第2の認証用情報を更新すること
を特徴とする本人確認方法。
【請求項3】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段に保存された第1の認証用情報と、センタに設けられた第2の保存手段および第3の保存手段にそれぞれ保存された第2の認証用情報および第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置における本人確認方法であって、
前記取引処理装置が、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段から前記第1の認証用情報を読み出すとともに、前記第1の保存手段へ前記サンプルを書き込む認証用情報読み書き手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報と照合し、
その照合の結果、前記第1の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、前記サンプルを前記センタの前記第2の保存手段から読み出した前記第2の認証用情報と照合し、
その照合の結果、前記第2の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第1の認証用情報のハッシュ値を算出し、その算出したハッシュ値を、前記第3の保存手段から読み出した前記第3の認証用情報と比較し、
その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第1の保存手段に書き込むことにより前記第1の認証用情報を更新し、前記所定のハッシュ関数により前記更新した第1の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新すること
を特徴とする本人確認方法。
【請求項4】
請求項1ないし請求項3のいずれか1項に記載の本人確認方法をコンピュータに実行させるためのプログラム。
【請求項5】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段および第2の保存手段にそれぞれ保存された第1の認証用情報および第2の認証用情報と、センタに設けられた第3の保存手段に保存された第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置であって、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段および前記第2の保存手段からそれぞれ前記第1の認証用情報および前記第2の認証用情報を読み出すとともに、前記第2の保存手段へ前記サンプルを書き込む認証用情報読み書き手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報および前記第2の認証用情報とそれぞれ照合し、
その照合の結果、前記第1の認証用情報および前記第2の認証用情報のいずれもが前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第2の認証用情報のハッシュ値を算出し、その算出したハッシュ値を前記第3の保存手段から読み出した前記第3の認証用情報と比較し、
その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第2の保存手段に書き込むことにより前記第2の認証用情報を更新し、前記所定のハッシュ関数に基づき前記更新した第2の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新すること
を特徴とする取引処理装置。
【請求項6】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段に保存された利用者のバイオメトリクス情報に基づく第1の認証用情報と、センタに設けられた第2の保存手段に保存された第2の認証用情報とを用いて、利用者の本人確認を行う取引処理装置であって、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段から前記第1の認証用情報を読み出す認証用情報読み出し手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報と照合し、
その照合の結果、前記第1の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、前記サンプルを前記センタの前記第2の保存手段から読み出した前記第2の認証用情報と照合し、
その照合の結果、前記第2の認証用情報が前記サンプルと同一人物のものと判定された場合には、前記サンプルを前記第2の保存手段に書き込むことによって前記第2の認証用情報を更新すること
を特徴とする取引処理装置。
【請求項7】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段に保存された第1の認証用情報と、センタに設けられた第2の保存手段および第3の保存手段にそれぞれ保存された第2の認証用情報および第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置であって、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段から前記第1の認証用情報を読み出すとともに、前記第1の保存手段へ前記サンプルを書き込む認証用情報読み書き手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報と照合し、
その照合の結果、前記第1の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、前記サンプルを前記センタの前記第2の保存手段から読み出した前記第2の認証用情報と照合し、
その照合の結果、前記第2の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第1の認証用情報のハッシュ値を算出し、その算出したハッシュ値を、前記第3の保存手段から読み出した前記第3の認証用情報と比較し、
その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第1の保存手段に書き込むことにより前記第1の認証用情報を更新し、前記所定のハッシュ関数により前記更新した第1の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新すること
を特徴とする取引処理装置。
【請求項8】
前記取引処理装置は前記センタにネットワークを介して接続されること
を特徴とする請求項5ないし請求項7のいずれか1項に記載の取引処理装置。
【請求項9】
前記取引処理装置は前記センタを含む構成であること
を特徴とする請求項5ないし請求項7のいずれか1項に記載の取引処理装置。
【請求項1】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段および第2の保存手段にそれぞれ保存された第1の認証用情報および第2の認証用情報と、センタに設けられた第3の保存手段に保存された第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置における本人確認方法であって、
前記取引処理装置が、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段および前記第2の保存手段からそれぞれ前記第1の認証用情報および前記第2の認証用情報を読み出すとともに、前記第2の保存手段へ前記サンプルを書き込む認証用情報読み書き手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報および前記第2の認証用情報とそれぞれ照合し、
その照合の結果、前記第1の認証用情報および前記第2の認証用情報のいずれもが前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第2の認証用情報のハッシュ値を算出し、その算出したハッシュ値を前記第3の保存手段から読み出した前記第3の認証用情報と比較し、
その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第2の保存手段に書き込むことにより前記第2の認証用情報を更新し、前記所定のハッシュ関数に基づき前記更新した第2の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新すること
を特徴とする本人確認方法。
【請求項2】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段に保存された利用者のバイオメトリクス情報に基づく第1の認証用情報と、センタに設けられた第2の保存手段に保存された第2の認証用情報とを用いて、利用者の本人確認を行う取引処理装置における本人確認方法であって、
前記取引処理装置が、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段から前記第1の認証用情報を読み出す認証用情報読み出し手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報と照合し、
その照合の結果、前記第1の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、前記サンプルを前記センタの前記第2の保存手段から読み出した前記第2の認証用情報と照合し、
その照合の結果、前記第2の認証用情報が前記サンプルと同一人物のものと判定された場合には、前記サンプルを前記第2の保存手段に書き込むことによって前記第2の認証用情報を更新すること
を特徴とする本人確認方法。
【請求項3】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段に保存された第1の認証用情報と、センタに設けられた第2の保存手段および第3の保存手段にそれぞれ保存された第2の認証用情報および第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置における本人確認方法であって、
前記取引処理装置が、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段から前記第1の認証用情報を読み出すとともに、前記第1の保存手段へ前記サンプルを書き込む認証用情報読み書き手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報と照合し、
その照合の結果、前記第1の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、前記サンプルを前記センタの前記第2の保存手段から読み出した前記第2の認証用情報と照合し、
その照合の結果、前記第2の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第1の認証用情報のハッシュ値を算出し、その算出したハッシュ値を、前記第3の保存手段から読み出した前記第3の認証用情報と比較し、
その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第1の保存手段に書き込むことにより前記第1の認証用情報を更新し、前記所定のハッシュ関数により前記更新した第1の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新すること
を特徴とする本人確認方法。
【請求項4】
請求項1ないし請求項3のいずれか1項に記載の本人確認方法をコンピュータに実行させるためのプログラム。
【請求項5】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段および第2の保存手段にそれぞれ保存された第1の認証用情報および第2の認証用情報と、センタに設けられた第3の保存手段に保存された第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置であって、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段および前記第2の保存手段からそれぞれ前記第1の認証用情報および前記第2の認証用情報を読み出すとともに、前記第2の保存手段へ前記サンプルを書き込む認証用情報読み書き手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報および前記第2の認証用情報とそれぞれ照合し、
その照合の結果、前記第1の認証用情報および前記第2の認証用情報のいずれもが前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第2の認証用情報のハッシュ値を算出し、その算出したハッシュ値を前記第3の保存手段から読み出した前記第3の認証用情報と比較し、
その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第2の保存手段に書き込むことにより前記第2の認証用情報を更新し、前記所定のハッシュ関数に基づき前記更新した第2の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新すること
を特徴とする取引処理装置。
【請求項6】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段に保存された利用者のバイオメトリクス情報に基づく第1の認証用情報と、センタに設けられた第2の保存手段に保存された第2の認証用情報とを用いて、利用者の本人確認を行う取引処理装置であって、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段から前記第1の認証用情報を読み出す認証用情報読み出し手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報と照合し、
その照合の結果、前記第1の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、前記サンプルを前記センタの前記第2の保存手段から読み出した前記第2の認証用情報と照合し、
その照合の結果、前記第2の認証用情報が前記サンプルと同一人物のものと判定された場合には、前記サンプルを前記第2の保存手段に書き込むことによって前記第2の認証用情報を更新すること
を特徴とする取引処理装置。
【請求項7】
利用者のバイオメトリクス情報と、認証用可搬媒体に設けられた第1の保存手段に保存された第1の認証用情報と、センタに設けられた第2の保存手段および第3の保存手段にそれぞれ保存された第2の認証用情報および第3の認証用情報とを用いて、利用者の本人確認を行う取引処理装置であって、
前記利用者からその利用者のバイオメトリクス情報をサンプルとして取得するサンプル取得手段と、
前記第1の保存手段から前記第1の認証用情報を読み出すとともに、前記第1の保存手段へ前記サンプルを書き込む認証用情報読み書き手段と
を備え、
前記サンプル取得手段によって取得した前記サンプルを、前記認証用可搬媒体から読み出した前記第1の認証用情報と照合し、
その照合の結果、前記第1の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、前記サンプルを前記センタの前記第2の保存手段から読み出した前記第2の認証用情報と照合し、
その照合の結果、前記第2の認証用情報が前記サンプルと同一人物のものと判定された場合には、さらに、所定のハッシュ関数に基づき前記第1の認証用情報のハッシュ値を算出し、その算出したハッシュ値を、前記第3の保存手段から読み出した前記第3の認証用情報と比較し、
その比較の結果、前記算出したハッシュ値と前記第3の認証用情報とが一致した場合には、前記サンプルを前記第1の保存手段に書き込むことにより前記第1の認証用情報を更新し、前記所定のハッシュ関数により前記更新した第1の認証用情報のハッシュ値を算出し、前記算出したハッシュ値を前記第3の保存手段に書き込むことにより前記第3の認証用情報を更新すること
を特徴とする取引処理装置。
【請求項8】
前記取引処理装置は前記センタにネットワークを介して接続されること
を特徴とする請求項5ないし請求項7のいずれか1項に記載の取引処理装置。
【請求項9】
前記取引処理装置は前記センタを含む構成であること
を特徴とする請求項5ないし請求項7のいずれか1項に記載の取引処理装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2007−108832(P2007−108832A)
【公開日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願番号】特願2005−296093(P2005−296093)
【出願日】平成17年10月11日(2005.10.11)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願日】平成17年10月11日(2005.10.11)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]