本人認証のための方法、システム、判定装置、端末装置、サーバ装置、プログラムおよび記録媒体
【課題】 高い利便性と高い情報セキュリティとを兼ね備え、比較的低コストで実現可能な本人認証の技術を提供する。
【解決手段】 端末装置11には、端末装置11の正当な所有者である人物Aの生体情報が、サーバ装置13に記憶されている暗号鍵により暗号化された状態で記憶されている。判定装置12は端末装置11から端末識別情報と暗号化された生体情報を受信すると、受信した端末識別情報をサーバ装置13に転送する。サーバ装置13は判定装置12から受信した端末識別情報に対応付けて記憶している暗号鍵を判定装置12に送信する。判定装置12はサーバ装置13から受信した暗号鍵で端末装置11から受信した生体情報を復号化する。判定装置12は、復号化により得られた生体情報と、端末装置11の所持者の写真データから生成した生体情報とを比較することにより、端末装置11の所持者が人物Aであるか否かを判定する。
【解決手段】 端末装置11には、端末装置11の正当な所有者である人物Aの生体情報が、サーバ装置13に記憶されている暗号鍵により暗号化された状態で記憶されている。判定装置12は端末装置11から端末識別情報と暗号化された生体情報を受信すると、受信した端末識別情報をサーバ装置13に転送する。サーバ装置13は判定装置12から受信した端末識別情報に対応付けて記憶している暗号鍵を判定装置12に送信する。判定装置12はサーバ装置13から受信した暗号鍵で端末装置11から受信した生体情報を復号化する。判定装置12は、復号化により得られた生体情報と、端末装置11の所持者の写真データから生成した生体情報とを比較することにより、端末装置11の所持者が人物Aであるか否かを判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、本人認証のための方法、システム、判定装置、端末装置、サーバ装置、プログラムおよび記録媒体に関する。
【背景技術】
【0002】
本人認証は、入退室管理やATMにおける入出金管理など、私たちの生活の様々な場面で必要となる。本人認証を装置により行う方法として、古くから、認証対象の人物aが、人物Aしか知らない筈のユーザ名とパスワードを正しく装置に入力できた場合、人物aを人物Aであると認証する方法が用いられてきた。また、近年では、認証対象の人物aが、人物A固有の生体情報を有すると判定された場合、人物aを人物Aであると認証する方法(いわゆる生体認証)も提案され、実用化されつつある。
【0003】
生体認証を利用した本人認証の技術として、例えば特許文献1および2には、ICカード等の携帯デバイスに参照用の生体情報を予め記憶させておき、携帯デバイスの正当な所有者から直接取得した生体情報と携帯デバイスに記憶されている参照用の生体情報とを比較した結果に基づき、携帯デバイスの所持者の本人認証を行うシステムが提案されている。
【特許文献1】特開2007−148480号公報
【特許文献2】特開2008−181295号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
特許文献1や特許文献2において提案されている技術によれば、所持者が携帯するデバイスに参照用の生体情報が記憶されているため、例えば本人認証に際して、参照用の生体情報を遠隔地に配置されたサーバ装置から取得する場合と比較し、本人認証に要する時間の短縮が期待される等の利便性が得られる。その一方、特許文献1や特許文献2において提案されている技術による場合、サーバ装置等により参照用の生体情報が集中管理される場合と比較し、悪意ある所持者等により携帯デバイスに記憶されている参照用の生体情報が改ざんされてしまう危険性が高く、情報セキュリティが低くならざるを得ない。そのような改ざんを防止するため、携帯デバイスに高い耐タンパ性を持たせる等の対策を施す場合、携帯デバイスがコスト高となる。
【0005】
本発明は、上記の状況に鑑み、高い利便性と高い情報セキュリティとを兼ね備え、比較的低コストで実現可能な本人認証の技術を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記課題を達成するために、本発明は、自機もしくは自機の正当な所有者を識別する識別情報と前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを記憶している端末装置が、前記識別情報と前記暗号化固有情報とを判定装置に送信する第1の送信ステップと、前記判定装置が、前記第1の送信ステップにおいて前記端末装置から送信された前記識別情報を、複数の識別情報の各々に対応付けて復号鍵を記憶しているサーバ装置に送信する第2の送信ステップと、前記サーバ装置が、自機が記憶している複数の復号鍵のうち前記第2の送信ステップにおいて前記判定装置から送信された前記識別情報に対応付けて記憶している復号鍵を前記判定装置に送信する第3の送信ステップと、前記判定装置が、前記第1の送信ステップにおいて前記端末装置から送信された前記暗号化固有情報を前記第3の送信ステップにおいて前記サーバ装置から送信された前記復号鍵を用いて復号化することにより参照用固有情報を生成する復号化ステップと、前記判定装置が、前記端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する取得ステップと、前記判定装置が、前記復号化ステップにおいて生成した前記参照用固有情報と前記取得ステップにおいて取得した前記照合用固有情報との比較結果に基づき、前記所持者が前記正当な所有者と同一人物であるか否かを判定する判定ステップとを備える本人認証のための方法を提供する。
【0007】
上記方法によれば、判定装置において本人認証を行うに際し必要となる参照用固有情報が判定装置に通常近い位置にある端末装置に記憶されているため、判定装置が参照用固有情報を容易に取得でき利便性が高く、同時に端末装置に記憶されている参照用固有情報は暗号化されており、端末装置においては復号化することができないため、端末装置に耐タンパ等の高コストな対策を施すことなく、高い情報セキュリティを確保することが可能となる。
【0008】
また、本発明は、上記方法を実行するためのシステム、判定装置、端末装置、サーバ装置、プログラムおよび記録媒体を提供する。
【発明を実施するための最良の形態】
【0009】
[1.実施形態]
[1.1.概要]
本発明にかかる一実施形態である本人認証システムの詳細な説明に先立ち、本発明にかかる本人認証システムの概要を説明する。図1は、本発明の実施形態にかかる本人認証システム1の基本構成を示した図である。本人認証システム1は、正当な所有者である人物Aが携帯すべき端末装置11と、端末装置11を現在所持している人物aが人物Aであるか否かの判定を行う判定装置12と、判定に用いられる固有情報の暗号化を解くための復号鍵を管理するサーバ装置13とを備えている。
【0010】
固有情報とは、ある人物のみから取得可能な当該人物に固有の情報であり、その具体例は、(1)当該人物のみが知っているべきパスワードや、(2)当該人物のみがその身体に有している情報、いわゆる生体情報である。本人認証のために利用可能な生体情報として、例えば、指紋、掌形、網膜の毛細血管の形状、虹彩の濃淡値のヒストグラム、顔/姿の形状、静脈の形状、声紋、耳形、DNA、筆跡、キーストロークの特徴、唇の動きの特徴、まばたきの特徴などがある。
【0011】
本明細書において、端末装置を所持しているがその端末装置の正当な所有者であるか否かが不明である者を「所持者」と呼び、「正当な所有者」と区別する。
【0012】
端末装置11の備えるROM(Read Only Memory)111には、他の端末装置から端末装置11を識別する端末識別情報が記憶されている。また、端末装置11の備える不揮発性記憶部112には、人物Aのみから取得可能な情報である固有情報が暗号化された状態で記憶されている。以下、暗号化された固有情報を「暗号化固有情報」と呼ぶ。
【0013】
判定装置12は、書き込み可能な不揮発性記憶部を有さないシンクライアントであり、無線通信により端末装置11との間で通信可能であると同時に、インターネットを介してサーバ装置13との間で通信可能である。判定装置12とサーバ装置13との間の通信は、VPN(Virtual Private Network)により保護される。
【0014】
サーバ装置13の備える不揮発性記憶部131には、本人認証システム1の利用者全ての端末装置の各々に関し、当該端末装置の端末識別情報に対応付けて、当該端末装置に記憶されている暗号化固有情報を復号化するための復号鍵が記憶されている。復号鍵は端末装置ごとに異なる。サーバ装置13に記憶されている復号鍵はサーバ装置13により生成され、本人認証システム1の運用中にVPN通信を介して判定装置に送信され利用される他、外部に漏洩することがないように管理されている。
【0015】
本人認証システム1により端末装置11の所持者である人物aが本人認証を受ける際、端末装置11は端末識別情報と暗号化固有情報を判定装置12に送信する。判定装置12は、端末装置11から受信した端末識別情報をサーバ装置13に送信する。サーバ装置13は、判定装置12から受信した端末識別情報に対応付けて記憶されている復号鍵を不揮発性記憶部131から検索し、検索した復号鍵を判定装置12に送信する。
【0016】
判定装置12は、サーバ装置13から受信した復号鍵を用いて、端末装置11から受信した暗号化固有情報を復号化し、暗号化されていない固有情報を生成する。以下、そのように生成される固有情報を「参照用固有情報」と呼ぶ。
【0017】
判定装置12は、上述した端末装置11からの端末識別情報・暗号化固有情報の受信、サーバ装置13への端末識別情報の送信、サーバ装置13からの復号鍵の受信、そして復号鍵を用いた暗号化固有情報の復号化と並行して、判定装置12が備える固有情報取得部121を用いて、端末装置11の所持者である人物aのみから取得可能な固有情報を取得する。以下、そのように取得される固有情報を「照合用固有情報」と呼ぶ。
【0018】
判定装置12は、参照用固有情報と照合用固有情報とを比較し、それらの類似度が所定の閾値以上である場合、端末装置11の所持者である人物aが端末装置11の正当な所有者である人物Aであると判定する。その場合、人物aの本人認証が成功したことになる。一方、参照用固有情報と照合用固有情報との類似度が所定の閾値に満たない場合、人物aの本人認証が失敗したことになる。
【0019】
判定装置12は、人物aに関する上述した一連の本人認証処理を終えると、端末装置11に関する復号鍵、暗号化固有情報、参照用固有情報の全てを揮発性記憶部122から消去する。なお、判定装置12は端末装置11に関するこれらの情報を、上述したサーバ装置13との間の通信において送信する場合を除き、端末装置11を含む他の装置に一切送信することはない。以上が本発明にかかる本人認証システムの概要説明である。
【0020】
本発明にかかる本人認証システムによれば、端末装置11に暗号化された参照用固有情報である暗号化固有情報が記憶されているため、判定装置12は本人認証に際し参照用固有情報をサーバ装置13から受信する必要がなく、本人認証を短時間で行うことができる。
【0021】
また、端末装置11に記憶されている参照用固有情報は暗号化されており、暗号化されている参照用固有情報を復号化するための復号鍵は、サーバ装置13から判定装置12に一時的に送信される以外、端末装置11を含むいずれの装置に送信されることもない。従って、サーバ装置13のオペレータ以外による参照用固有情報の改ざんや盗用は不可能である。それゆえ、例えば本発明にかかる本人認証システムを用いてサーバ装置13のオペレータの本人認証を厳格に行うとともに、オペレータによる操作のログを記録する等の不正防止対策を施すことにより、本発明にかかる本人認証システムの情報セキュリティを高く保つことができる。
【0022】
[1.2.基本登録システム]
以下に、本発明の実施形態として、固有情報として生体情報を採用した本人認証システムの構成・動作を説明する。なお、以下の説明において、固有情報として採用される生体情報は顔/姿の形状および手のひらの静脈の形状であるものとする。顔/姿の形状および手のひらの静脈の形状は本人認証に利用される生体情報の例であって、上述したように、指紋、網膜の毛細血管の形状、虹彩の濃淡値のヒストグラムなど、他のいずれの生体情報が本発明における固有情報として利用されてもよい。
【0023】
本発明にかかる本人認証システムの運用には、事前に利用者は生体情報を参照用固有情報として登録しておく必要がある。参照用固有情報の初期登録は、高い信頼性の担保された登録専門機関により行われる。経年や怪我等により、登録専門機関により登録されている参照用固有情報と本人の現在の生体情報との間に一定程度以上の乖離が生じた場合には、登録専門機関において参照用固有情報の更新登録を行う必要がある。
【0024】
登録専門機関における更新登録の頻度を低減するために、日々の本人認証において取得される生体情報を補助的な参照用固有情報として追加登録し次の本人認証に利用することで、本発明にかかる本人認証システムの利便性を高めることができる。以下、登録専門機関において登録される参照用固有情報を「基本参照用固有情報」と呼び、日々の本人認証に伴い補助的に追加登録される参照用固有情報を「追加参照用固有情報」と呼ぶ。なお、追加参照用固有情報の利用については、後述の第2実施例において説明する。
【0025】
また、ある人物の本人認証に成功した場合、併せてその人物の氏名、住所等の個人情報が利用されることが多い。従って、予めそのような基本的な個人情報を登録しておくことで、本発明にかかる本人認証システムの利便性を高めることができる。基本的な個人情報は汎用性が高いため、高い信頼性が求められる。従って、基本的な個人情報の登録は、基本参照用固有情報の登録と同様に登録専門機関により行われることが望ましい。
【0026】
一方、銀行口座番号のように特定のシステムにおいてのみ利用される個人情報に関しては、その特定のシステムを利用する人物についてのみ追加的に登録可能とすることで、本発明にかかる本人認証システムの利便性をさらに高めることができる。以下、登録専門機関において登録される基本的な個人情報を「基本個人情報」と呼び、特定のシステムにおいて追加登録される個人情報を「追加個人情報」と呼ぶ。なお、追加個人情報の利用についても、後述の第2実施例において説明する。
【0027】
以下に、登録専門機関により管理され、基本参照用固有情報および基本個人情報の登録のためのシステムである基本登録システム2の構成および動作を説明する。
【0028】
[1.2.1.構成]
図2は、基本登録システム2の構成を模式的に示した図である。基本登録システム2は、端末装置21、登録用判定装置22およびサーバ装置23を備えている。基本登録システム2の端末装置21およびサーバ装置23は、それぞれ本人認証システム1の端末装置11およびサーバ装置13に相当する。
【0029】
図3は端末装置21の構成を模式的に示した図である。端末装置21は、例えばPHS(Personal Handy−phone System)の仕様に準拠した携帯通信デバイスであり、登録用判定装置22との間で無線通信を行う。端末装置21は、端末装置21の各構成部の動作を制御する制御部211と、端末識別情報を記憶するROM212と、制御部211がワークエリアとして使用する揮発性記憶部213と、暗号化された参照用固有情報(暗号化固有情報)および暗号化された個人情報(以下、「暗号化個人情報」と呼ぶ)を記憶可能な不揮発性記憶部214と、登録用判定装置22に対しデータを送信する送信部215と、登録用判定装置22からデータを受信する受信部216と、端末装置21の利用者の操作に従い制御部211に所定の信号を出力する操作部217(例えば、キーパッド)と、制御部211の制御に従い図形や文字等により情報を表示する表示部218とを備えている。制御部211の処理を指示するプログラムは、例えばROM212に記憶されている。
【0030】
図4は、登録用判定装置22の構成を模式的に示した図である。登録用判定装置22は、登録用判定装置22の各構成部の動作を制御する制御部221と、制御部221の処理を指示するプログラムを記憶するROM222と、制御部221がワークエリアとして使用する揮発性記憶部223と、登録用判定装置22のオペレータの操作に従い制御部221に所定の信号を出力する操作部224(例えば、キーボードやマウス)と、制御部221の制御に従い図形や文字等により情報を表示する表示部225とを備えている。
【0031】
制御部221は、プログラムに従った処理を行うことにより、顔/姿に関する生体情報である顔/姿特徴情報を生成する顔/姿特徴情報生成部と、手のひらの静脈に関する生体情報である静脈特徴情報を生成する静脈特徴情報生成部と、暗号化固有情報および暗号化個人情報を復号化する復号化部と、生体情報を比較することにより登録される参照用固有情報が所定の精度を有するか否かを判定する判定部として機能する。
【0032】
登録用判定装置22は、さらに、端末装置21との間で無線通信を行う対端末装置通信部226と、サーバ装置23との間でインターネットを介した通信を行う対インターネット通信部227とを備えている。対端末装置通信部226および対インターネット通信部227は、それぞれ、通信相手の装置に対しデータを送信する送信部と、通信相手の装置からデータを受信する受信部とを備えている。
【0033】
登録用判定装置22は、さらに、登録対象の人物の生体情報を取得する手段として、顔/姿写真撮影部228および静脈写真撮影部229を備えている。顔/姿写真撮影部228は、被写体の顔/身体に所定の波長および強さの光を照射する照明部と、照明部により光を照射された被写体の顔/姿を様々な角度から撮影するカメラ群とを備えている。顔/姿写真撮影部228のカメラ群を構成するカメラは、例えば半径5メートルの球面を4分割した形状のカメラ設置台上の例えば仰角10度、方位角10度ごとの格子点に、1台ずつ配置されている。
【0034】
図5は、顔/姿写真撮影部228のカメラ群が配置されるカメラ設置台の形状を模式的に示した図である。例えば、図5において、位置Pを基準点(方位角0度、仰角0度)とした場合、位置Cは(方位角30度、仰角60度)の格子点である。従って、被写体がカメラ設置台の球面の中心である位置Oに立ち、方位角90度の方角を向いた状態で位置Cに配置されたカメラにより撮影された顔/姿写真は、被写体の顔/身体を左上方から撮影したものとなる。顔/姿写真撮影部228が備えるカメラ群の各カメラは、制御部221の制御の下で同時に被写体を撮影する。そのような撮影により、被写体を様々な角度から撮影した顔/姿写真の集まりである顔/姿写真群が得られる。
【0035】
静脈写真撮影部229は、被写体の手のひらに所定の波長および強さの光を照射する照明部と、照明部により光を照射された被写体の手のひらの静脈を複数の角度から各々撮影するカメラ群とを備えている。静脈写真撮影部229の照明部とカメラ群は、被写体の手のひらを乗せるガラス台を挟んで互いに対向するように配置され、制御部221の制御の下で同時に被写体の手のひらの静脈を撮影する。そのような撮影により、被写体の手のひらの静脈を複数の角度から撮影した静脈写真の集まりである静脈写真群が得られる。
【0036】
顔/姿写真撮影部228および静脈写真撮影部229は、制御部221がプログラムに従った処理により実現する顔/姿特徴情報生成部および静脈特徴情報生成部とともに固有情報生成部を構成する。
【0037】
図6は、サーバ装置23の構成を模式的に示した図である。サーバ装置23は、サーバ装置23の各構成部の動作を制御する制御部231と、制御部231がワークエリアとして使用する揮発性記憶部232と、制御部231の処理を指示するプログラムを記憶している不揮発性記憶部233と、登録用判定装置22に対しデータを送信する送信部234と、登録用判定装置22からデータを受信する受信部235とを備えている。不揮発性記憶部233は、さらに、端末装置ごとに端末識別情報、暗号化固有情報および暗号化個人情報、そして暗号化固有情報および暗号化個人情報の暗号化・復号化に用いられる鍵を記憶可能である。
【0038】
制御部231は、プログラムに従った処理を行うことにより、暗号化・復号化に用いられる鍵を生成する鍵生成部と、参照用固有情報および個人情報を暗号化する暗号化部と、端末識別情報を検索キーとして特定の端末装置に関する復号鍵を検索する検索部として機能する。
【0039】
[1.2.2.動作]
図7〜図9は、基本登録システム2の動作を示したフロー図である。登録用判定装置22の対端末装置通信部226の送信部は、十分に短い所定の時間間隔で全ての端末装置に対する一斉呼出信号を送出している(ステップS101)。登録用判定装置22が送出する一斉呼出信号は、例えば約0.5メートルの範囲まで到達するように、電波の強度が調整されている。登録専門機関のオペレータは、端末装置21を対端末装置通信部226の送信部から0.5メートル以内の位置に置く。その結果、端末装置21は一斉呼出信号を受信すると、ROM212に記憶されている端末識別情報を登録用判定装置22に送信する(ステップS102)。
【0040】
登録用判定装置22は、端末装置21から端末識別情報を受信すると、個人情報の受信準備完了を示す信号を端末装置21に送信する(ステップS103)。端末装置21は、個人情報の受信準備完了を示す信号を受け取ると、表示部218に個人情報の入力を促す画面を表示する。基本登録システム2において登録される個人情報は基本個人情報であり、例えば端末装置21の正当な所有者(以下、「人物A」とする)の氏名、住所、生年月日、性別、国籍である。人物Aは操作部217を操作して自分の基本個人情報を端末装置21に入力し(ステップS104)、送信操作を行う。その送信操作に応じて、送信部215は入力された基本個人情報を登録用判定装置22に送信する(ステップS105)。
【0041】
登録用判定装置22は端末装置21から受信した基本個人情報を表示部225に表示し(ステップS106)、登録用判定装置22のオペレータによる確認を促す。オペレータは、例えば人物Aが所持する身分証明書等に記載の情報と、表示部225に表示された情報との整合性を確認した後、送信操作を行う。その送信操作に応じて、対インターネット通信部227の送信部は、ステップS102において受信した端末識別情報とステップS105において受信した基本個人情報とをサーバ装置23に送信する(ステップS107)。なお、登録用判定装置22とサーバ装置23との間の通信は全てVPNにより保護される。
【0042】
サーバ装置23は、登録用判定装置22から端末識別情報および基本個人情報を受信すると、固有情報の受信準備完了を示す信号を登録用判定装置22に送信する(ステップS108)。登録用判定装置22は、固有情報の受信準備完了を示す信号を受け取ると、表示部225に顔/姿写真撮影を促す画面を表示する(ステップS109)。登録用判定装置22のオペレータは、顔/姿写真撮影を促す画面の表示に応じて、人物Aに位置O(図5参照)に立つよう指示し、人物Aが位置Oに立ったことを確認の後、操作部224を操作して登録用判定装置22に対し顔/姿写真撮影の指示を行う。この指示に応じて、顔/姿写真撮影部228は顔/姿写真撮影を行い、様々な角度から見た人物Aの顔/姿を示す顔/姿データ群を生成する(ステップS110)。
【0043】
続いて、制御部221はステップS110において生成された顔/姿データ群に含まれる各々の顔/姿データに関し、当該顔/姿データが示す顔/姿の特徴を示す顔/姿特徴情報を生成する(ステップS111)。顔/姿特徴情報とは、例えば目、鼻、口等の顔の部位の相対的な位置関係を示す情報や顔および身体の輪郭の形状を示す情報である。
【0044】
続いて、登録用判定装置22は、表示部225に静脈写真撮影を促す画面を表示する(ステップS112)。登録用判定装置22のオペレータは、静脈写真撮影を促す画面の表示に応じて、人物Aに静脈写真撮影部229のガラス台の上に手のひらを置くよう指示し、人物Aが手のひらをガラス台の上に置いたことを確認の後、操作部224を操作して登録用判定装置22に対し静脈写真撮影の指示を行う。この指示に応じて、静脈写真撮影部229は静脈写真撮影を行い、人物Aの手のひらの静脈を示す静脈データ群を生成する(ステップS113)。
【0045】
続いて、制御部221はステップS113において生成された静脈データ群に含まれる各々の静脈データに関し、当該静脈データが示す静脈の特徴を示す静脈特徴情報を生成する(ステップS114)。静脈特徴情報とは、例えば所定の閾値以上の太さの静脈の形状を示す情報である。登録用判定装置22は、ステップS111で生成した顔/姿特徴情報群と、ステップS114で生成した静脈特徴情報群とを人物Aの基本参照用固有情報としてサーバ装置23に送信する(ステップS115)。
【0046】
サーバ装置23の制御部231は、基本参照用固有情報を受信すると、端末装置21に固有の暗号化・復号化のための鍵を生成する(ステップS116)。現在、暗号化方式としては大きく共通鍵方式(対称鍵方式)および公開鍵方式(非対称鍵方式)が広く用いられている。本発明にかかる本人認証システムにおいてはいずれの暗号化方式が採用されてもよい。共通鍵方式を採用する場合、ステップS116において共通鍵が生成される。共通鍵は暗号化のための暗号鍵と復号化のための復号鍵を兼ねる1つの鍵である。一方、公開鍵方式を採用する場合、ステップS116において秘密鍵と公開鍵のペアが生成される。通常、公開鍵は暗号化のための暗号鍵として用いられ、秘密鍵は復号化のための復号鍵として用いられる。
【0047】
制御部231は、生成した暗号鍵(共通鍵または公開鍵)を用いて、ステップS107において受信した基本個人情報と、ステップS115において受信した基本参照用固有情報とを各々暗号化する(ステップS117)。以下、暗号化された基本個人情報を「暗号化基本個人情報」、暗号化された基本参照用固有情報を「暗号化基本固有情報」と呼ぶ。送信部234は、暗号化基本個人情報および暗号化基本固有情報を登録用判定装置22に送信する(ステップS118)。本発明にかかる本人認証システムが公開鍵方式を採用する場合、送信部234はステップS118において、ステップS116において生成した公開鍵を併せて送信する。
【0048】
登録用判定装置22は、ステップS118においてサーバ装置23から受信した暗号化基本個人情報および暗号化基本固有情報(と公開鍵)を端末装置21に送信する(ステップS119)。端末装置21は、受信した暗号化基本個人情報および暗号化基本固有情報(と公開鍵)を不揮発性記憶部214に保存する(ステップS120)。
【0049】
続いて、基本登録システム2は端末装置21に保存された暗号化基本固有情報を用いた生体認証のテストを行う。端末装置21は、ROM212に記憶されている端末識別情報と、不揮発性記憶部214に保存した暗号化基本固有情報とを読み出し、それらを登録用判定装置22に送信する(ステップS121)。登録用判定装置22は、ステップS121において受信した端末識別情報をサーバ装置23に送信する(ステップS122)。
【0050】
サーバ装置23は、ステップS122において端末識別情報を受信すると、ステップS116において生成した復号鍵(共通鍵または秘密鍵)を登録用判定装置22に送信する(ステップS123)。登録用判定装置22の制御部221は、ステップS121において受信した暗号化基本固有情報を、ステップS123において受信した復号鍵を用いて復号化し、暗号化されていない基本参照用固有情報を生成する(ステップS124)。
【0051】
続いて、登録用判定装置22は上述したステップS109〜ステップS114と同様の処理を繰り返す(ステップS125〜ステップS130)。ステップS125〜ステップS130の処理において生成される固有情報、より詳しくはステップS127において生成される顔/姿特徴情報群およびステップS130において生成される静脈特徴情報群は、先に述べた照合用固有情報となる。
【0052】
続いて、登録用判定装置22の制御部221は、ステップS124で生成した基本参照用固有情報とステップS127およびステップS130において生成した照合用固有情報との比較を行い、それらの類似度を算出する(ステップS131)。制御部221は、算出した類似度が所定の閾値以上であるか否かを判定し(ステップS132)、類似度が所定の閾値以上であると判定した場合(ステップS132;Yes)、テスト認証成功を示す通知をサーバ装置23に送信する(ステップS133)。サーバ装置23は、テスト認証成功を示す通知を受信すると、ステップS107において受信した端末識別情報に対応付けて、ステップS116において生成した鍵(共通鍵または秘密鍵と公開鍵のペア)と、ステップS117において生成した暗号化基本固有情報および暗号化基本個人情報とを、不揮発性記憶部233に保存する(ステップS134)。
【0053】
サーバ装置23は、端末装置21に関し端末識別情報、鍵、暗号化基本固有情報および暗号化基本個人情報を新規に登録した旨を示すログを、ステップS134を実行した時刻情報とともに不揮発性記憶部233に保存する(ステップS135)。
【0054】
一方、ステップS132において、固有情報の類似度が所定の閾値に満たないと判定した場合(ステップS132;No)、基本登録システム2は処理をステップS109に戻し、暗号化基本固有情報の生成および生体認証のテストをやり直す。以上が、基本登録システム2の初期登録に関する動作説明である。
【0055】
基本登録システム2は、端末装置21に保存されている暗号化基本固有情報が経年等により古くなった場合などに、その暗号化基本固有情報を更新するための登録(更新登録)にも利用される。更新登録時の基本登録システム2の動作は上述した初期登録時の動作とほぼ同様であるが、更新登録時には個人情報に関しては新規に登録を行う必要はなく、既に保存されている個人情報が維持される。また、古い基本固有情報に関しては、更新登録時に破棄されてもよいが、データの整合性の検証時に用いる等の利用価値がある場合には、追加固有情報の一種として端末装置21およびサーバ装置23に残すようにしてもよい。
【0056】
[1.3.本人認証システムの第1実施例]
以下に、本発明にかかる本人認証システムの一実施例として、本発明にかかる本人認証システムを建物の開門の可否判定に利用した開門システム3の構成および動作を説明する。
【0057】
[1.3.1.構成]
図10は、開門システム3の構成を模式的に示した図である。開門システム3は、本人認証システム1の端末装置11、判定装置12およびサーバ装置13(図1参照)にそれぞれ相当する端末装置31、判定装置32およびサーバ装置33を備えている。ただし、開門システム3においては端末装置31を所持した複数の所持者が次々と建物のゲートに接近してくる可能性があり、図10においてはそれら複数の端末装置31が端末装置31a、端末装置31b、端末装置31cとして例示されている。また、端末装置31a、端末装置31b、端末装置31cの所持者は、それぞれ人物a、人物b、人物cである。
【0058】
開門システム3は、さらに、建物を使用している会社により管理され建物への入館が許可されている人物の氏名および住所のリスト(以下、「入館許可人物リスト」と呼ぶ)を記憶している社内サーバ装置34と、入館が許可されている人物が顔/姿写真による生体認証に成功した場合にゲート(以下、「メインゲート」と呼ぶ)を開放するメインゲート装置35と、入館が許可されている人物が静脈写真による生体認証に成功した場合にゲート(以下、「サブゲート」と呼ぶ)を開くサブゲート装置36を備えている。
【0059】
開門システム3の端末装置31およびサーバ装置33の構成は、それぞれ基本登録システム2の端末装置21およびサーバ装置23の構成と同様である。なお、開門システム3において、端末装置31およびサーバ装置33は基本登録システム2による初期登録を完了している。
【0060】
図11は、判定装置32の構成を模式的に示した図である。開門システム3において、判定装置32は、制御部320、ROM321、揮発性記憶部322、対インターネット通信部325を備えている。これらの構成部はそれぞれ、登録用判定装置22が備える制御部221、ROM222、揮発性記憶部223、対インターネット通信部227と同様のものである。ただし、対インターネット通信部325は、インターネットを介して、サーバ装置33に加え、社内サーバ装置34との間においても通信可能である。
【0061】
判定装置32はさらに、端末装置31と通信する対端末装置通信部324を備える。対端末装置通信部324は登録用判定装置22の対端末装置通信部226と類似しているが、対端末装置通信部324は第1送信部および第2送信部という2つの送信部を備えている。第1送信部はメインゲート付近に配置され、端末装置31に対する通常のデータ送信に加え、例えば到達距離が約5メートル、約3メートル、約0.5メートルと電波強度が異なる一斉呼出信号を所定の時間間隔で順次送出することができる。また、第2送信部はサブケート付近に配置され、端末装置31に対する通常のデータ送信に加え、例えば到達距離が約0.5メートルの電波強度の一斉呼出信号を所定の時間間隔で送出することができる。これらの一斉呼出信号のキャリアの周波数や信号の内容はいずれも登録用判定装置22が送出する一斉呼出信号と同じものである。以下、到達距離が約5メートル、約3メートル、約0.5メートルの一斉呼出信号をそれぞれ、「一斉呼出信号(5m)」、「一斉呼出信号(3m)」、「一斉呼出信号(0.5m)」と呼ぶ。
【0062】
判定装置32はさらに、顔/姿写真撮影部326を備える。顔/姿写真撮影部326はカメラ3261と、被写体までの距離を測定する距離センサ3262とを備えている。カメラ3261および距離センサ3262は、例えばメインゲートの上部中央に配置され、距離センサ3262の測定によりゲートから被写体までの距離が例えば5メートルとなった時点で、カメラ3261による被写体の顔/姿の撮影が行われる。
【0063】
判定装置32はさらに、静脈写真撮影部327を備える。静脈写真撮影部327はカメラ3271に加え、被写体の手のひらがガラス台に置かれたことを検出する赤外線センサ3272を備えている。赤外線センサ3272により被写体の手が検出された時点で、カメラ3271による手のひらの静脈の撮影が行われる。
【0064】
判定装置32はさらに、端末装置31の所持者に対し音声メッセージを発音する発音部323と、メインゲート装置35に対しメインゲートの開放指示を送信する対メインゲート装置送信部328と、サブゲート装置36に対しサブゲートの開放指示を送信する対サブゲート装置送信部329とを備えている。
【0065】
[1.3.2.動作]
図12〜図15は、開門システム3の動作を示したフロー図である。開門システム3においては、例として、共通鍵方式が採用されているものとする。まず、判定装置32は、社内サーバ装置34に対し入館許可人物リストの送信要求を送信する(ステップS201)。社内サーバ装置34は、入館許可人物リストの送信要求を受信すると、判定装置32に対し入館許可人物リストを送信する(ステップS202)。なお、判定装置32と社内サーバ装置34との間の通信はVPNにより保護されている。
【0066】
判定装置32は、入館許可人物リストを受信すると、対端末装置通信部324の第1送信部を用いて、所定の時間間隔で、例えば一斉呼出信号(5m)、一斉呼出信号(3m)、一斉呼出信号(0.5m)、一斉呼出信号(5m)、・・・という具合に順次一斉呼出信号の送出を開始する。ここで、対端末装置通信部324の第1送信部が送出する一斉呼出信号はいずれも、例えば方位角約30度の広がりをもつように電波の指向性が調整されている。また、対端末装置通信部324の第1送信部から送出される一斉呼出信号の時間間隔は、端末装置31からの応答がどの一斉呼出信号に対する応答であるかが区別可能であるという条件を満たす範囲内で十分に短い時間間隔である。
【0067】
今、人物aがメインゲートに正面から近づいているものとする。人物aが携帯する端末装置31aがメインゲートから約5メートル手前の位置に到達した時点で、端末装置31aは判定装置32から送信された一斉呼出信号(5m)(ステップS203)に応答して、ROM212に記憶されている端末識別情報を判定装置32に送信する(ステップS204)。
【0068】
判定装置32は一斉呼出信号(5m)の応答として端末装置31aから送信されてきた端末識別情報を受信すると、受信した端末識別情報が既に受信済みのものか否かを判定し、未受信のものであれば、その端末識別情報をサーバ装置33に送信する(ステップS205)。ステップS204において受信した端末識別情報が既に受信済みのものである場合、判定装置32はその端末識別情報を既にサーバ装置33に送信済みであるため、ステップS205の送信を繰り返すことはしない。
【0069】
サーバ装置33は、ステップS205において端末識別情報を受信すると、受信した端末識別情報に対応付けて記憶されている共通鍵を受信した端末識別情報とともに判定装置32に送信する(ステップS206)。判定装置32は、ステップS206においてサーバ装置33から受信した共通鍵を端末識別情報に対応付けて揮発性記憶部322に一時的に記憶する(ステップS207)。一斉呼出信号(5m)の到達する領域に複数の端末装置31が同時に入った場合、判定装置32の揮発性記憶部322には、それらの複数の端末装置31の端末識別情報の各々に対応付けて異なる共通鍵が記憶されることになる。判定装置32が揮発性記憶部322に一時記憶可能な端末識別情報と共通鍵のペアは、例えば30ペアに限られており、判定装置32がその数を超える端末識別情報と共通鍵のペアを受信した場合、最も先に受信したペアを破棄し、新たに受信したペアを一時記憶する。
【0070】
人物aがさらにメインゲートに近づき、端末装置31aがメインゲートから約3メートル手前の位置に到達した時点で、端末装置31aは判定装置32から送信された一斉呼出信号(3m)(ステップS208)に応答して、ROM212に記憶されている端末識別情報を再び判定装置32に送信する(ステップS209)。
【0071】
判定装置32は一斉呼出信号(3m)の応答として端末装置31aから送信されてきた端末識別情報を受信すると、受信した端末識別情報が一斉呼出信号(3m)の応答として既に受信済みのものか否かを判定し、未受信のものであれば、その端末識別情報の送信元の端末装置31aに対し、暗号化基本固有情報および暗号化基本個人情報の送信要求を送信する(ステップS210)。ステップS209において受信した端末識別情報が一斉呼出信号(3m)の応答として既に受信済みのものである場合、判定装置32はその端末識別情報の送信元の端末装置31aに対しを既に暗号化基本固有情報および暗号化基本個人情報の送信要求を送信済みであるため、ステップS210の送信を繰り返すことはしない。
【0072】
端末装置31aはステップS210において送信要求を受信すると、端末識別情報とともに暗号化基本固有情報および暗号化基本個人情報を判定装置32に送信する(ステップS211)。判定装置32は、ステップS207において一時記憶した共通鍵の中から、ステップS211において受信した端末識別情報に対応付けられている共通鍵を検索し、検索した共通鍵を用いて、ステップS211において受信した暗号化基本固有情報および暗号化基本個人情報を復号化する(ステップS212)。ステップS212の復号化により、基本参照用固有情報および基本個人情報が生成される。
【0073】
判定装置32は、ステップS212において生成した基本参照用固有情報および基本個人情報を、ステップS211において受信した端末識別情報に対応付けて揮発性記憶部322に一時記憶する(ステップS213)。一斉呼出信号(3m)の到達する領域に複数の端末装置31が同時に入った場合、判定装置32の揮発性記憶部322には、それらの複数の端末装置31の端末識別情報の各々に対応付けて異なる基本参照用固有情報および基本個人情報が記憶されることになる。判定装置32が揮発性記憶部322に一時記憶可能な端末識別情報と基本参照用固有情報および基本個人情報のペアは、例えば10ペアに限られており、判定装置32がその数を超える端末識別情報と基本参照用固有情報および基本個人情報のペアを受信した場合、最も先に受信したペアを破棄し、新たに受信したペアを一時記憶する。
【0074】
メインゲート前両側には、例えば、メインゲートに向かう人を一列に整列させるガイドポールが設置されている。そのガイドポールに従って人物aがさらにメインゲートに近づき、メインゲートに向かう人の列の先頭になり、端末装置31aがメインゲートから約0.5メートルの位置に到達した時点で、端末装置31aは判定装置32から送信された一斉呼出信号(0.5m)(ステップS214)に応答して、ROM212に記憶されている端末識別情報を再び判定装置32に送信する(ステップS215)。
【0075】
判定装置32は一斉呼出信号(0.5m)の応答として端末装置31aから送信されてきた端末識別情報を受信すると、受信した端末識別情報が一斉呼出信号(0.5m)の応答として既に受信済みのものか否かを判定し、未受信のものであれば、ステップS213において一時保存した基本参照用固有情報の中から、ステップS215において受信した端末識別情報を検索キーとして端末装置31aに対応する基本参照用固有情報を検索する(ステップS216)。ステップS215において受信した端末識別情報が一斉呼出信号(0.5m)の応答として既に受信済みのものである場合、判定装置32は既に端末装置31aに対応する基本参照用固有情報を検索済みであるため、ステップS216の処理を繰り返すことはしない。
【0076】
上述したステップS203〜ステップS216の一連の処理は、メインゲート装置35のゲート前に立つ人物が携帯する端末装置31に記憶されている暗号化基本固有情報を復号化して得られる基本参照用固有情報を取得するための処理である。開門システム3は、基本参照用固有情報を取得するための一連の処理と並行して、メインゲート前に立つ人物の顔/姿特徴情報を取得するための処理を行う。顔特徴情報は、先に述べた照合用固有情報の一種である。
【0077】
人物aがメインゲートに近づき、端末装置31aがメインゲートから約5メートル手前の位置に到達した時点で、距離センサ3262の距離測定に基づき、カメラ3261が人物aの顔/姿写真を撮影し、人物aの顔/姿データを生成する(ステップS221)。判定装置32の制御部221は、カメラ3261により生成された顔/姿データが示す顔/姿の特徴を示す顔/姿特徴情報を生成する(ステップS222)。
【0078】
判定装置32は、ステップS222において生成した顔/姿特徴情報を揮発性記憶部322に一時記憶する(ステップS223)。ステップS221〜ステップS223の処理は、メインゲートの手前約5メートルのラインを通過した全ての人物に関し行われる。判定装置32がステップS223において揮発性記憶部322に一時記憶可能な顔/姿特徴情報は、例えば30個に限られており、判定装置32がその数を超える顔/姿特徴情報を生成した場合、最も先に生成した顔/姿特徴情報を破棄し、新たに生成した顔/姿特徴情報を保存する。以下、揮発性記憶部322に一時記憶されている顔/姿特徴情報を「照合用顔/姿特徴情報」と呼ぶ。ステップS221〜ステップS223の処理が、基本参照用固有情報の取得処理と並行して行われる顔/姿特徴情報の取得処理である。
【0079】
判定装置32は、ステップS216およびステップS223の処理を完了すると、揮発性記憶部322に一時記憶されている複数の照合用顔/姿特徴情報と、ステップS216において検索した基本参照用固有情報に含まれる複数の顔/姿特徴情報(以下、「参照用顔/姿特徴情報」と呼ぶ)とを各々比較し、所定の閾値以上の類似度を有する照合用顔/姿特徴情報と参照用顔/姿特徴情報との組み合わせを特定する(ステップS231)。
【0080】
例えば、参照用顔/姿特徴情報群に172個の顔/姿特徴情報が含まれ、揮発性記憶部322に一時記憶されている照合用顔/姿特徴情報が30個である場合、ステップS231の処理を行うには、172×30=5160組の顔/姿特徴情報の組み合わせに関し比較処理を行う必要がある。これらの比較処理を全体として短時間で行うため、例えば、判定装置32は照合用顔/姿特徴情報に含まれる目および鼻の相対的な位置関係や身体の輪郭の形状等に基づき、まずその照合用顔/姿特徴情報の生成に用いられた顔/姿データが撮影された際の顔の方向を特定する。
【0081】
例えば、30個の照合用顔/姿特徴情報のうちの1番目の照合用顔/姿特徴情報に関し、その照合用顔/姿特徴情報の生成に用いられた顔/姿データの生成時に被写体が(方位角40度、仰角20度)を向いていたと特定された場合、続いて判定装置32は参照用顔/姿特徴情報群のうち(方位角40度、仰角20度)の顔/姿データより生成された参照用顔/姿特徴情報を抽出する。判定装置32はそのように抽出した参照用顔/姿特徴情報と、1番目の照合用顔/姿特徴情報との間に、所定の閾値以上の類似度が有るか否かを判定する。判定装置32は、所定の閾値以上の類似度を有する顔/姿特徴情報の組が見つかるまで、2〜30番目の照合用顔/姿特徴情報に関して方向の特定および参照用顔/姿特徴情報との比較の処理を繰り返す。
【0082】
このようにすれば、判定装置32は最大でも30組の顔/姿特徴情報に関し比較処理を行うことで、ステップS231の処理を完了することができる。なお、顔が身体の方向と異なる方向を向いた状態で被写体の写真が撮影された場合にも対応するため、顔と身体全体の各々につき、個別に上記の比較処理を行うようにしてもよい。
【0083】
判定装置32は、ステップS231において、端末装置31aの参照用顔/姿特徴情報との間で所定の閾値以上の類似度を有する照合用顔/姿特徴情報の特定に成功した場合(ステップS232;Yes)、人物aは端末装置31aの正当な所有者であると判断される。すなわち、人物aの本人認証が成功したことになる。従って、判定装置32は、ステップS213において一時記憶した基本個人情報の中から、ステップS215において受信した端末識別情報を検索キーとして人物aの基本個人情報を検索した後、人物aの基本個人情報に含まれる氏名・住所が、ステップS202において受信した入館許可人物リストに含まれるか否かを判定する(ステップS233)。
【0084】
人物aの氏名・住所が入館許可人物リストに含まれていた場合(ステップS233;Yes)、判定装置32はメインゲート装置35に対しメインゲートの開放指示を送信する(ステップS234)。この開放指示に応じてメインゲート装置35はメインゲートを開放し、人物aは建物に入ることができる。その場合、判定装置32は、人物aの氏名・住所とステップS234の処理を行った時刻情報とを入館許可情報として社内サーバ装置34に送信する(ステップS235)。
【0085】
一方、人物aの氏名・住所が入館許可人物リストに含まれていなかった場合(ステップS233;No)、判定装置32は発音部323を用いて、例えば「申し訳ございませんが入館が許可されておりません。本館にご用の方は係りの者にお尋ね下さい。」といった音声メッセージを発音する(ステップS236)。その場合、判定装置32は、人物aの氏名・住所とステップS236の処理を行った時刻情報とを入館拒否情報として社内サーバ装置34に送信する(ステップS237)。なお、ステップS235もしくはステップS237で社内サーバ装置34に送信される入館許可情報および入館拒否情報は、この建物の入館者管理に利用される。
【0086】
ステップS231において、端末装置31aの参照用顔/姿特徴情報との間で所定の閾値以上の類似度を有する照合用顔/姿特徴情報の特定に失敗した場合、顔/姿写真に基づく人物aの本人認証は失敗したことになる。ただし、顔/姿写真に基づく生体認証は服装等の影響を受けるため、その精度は必ずしも高くない。従って、判定装置32は、ステップS231における判定に失敗した場合(ステップS232;No)、発音部323を用いて、例えば「申し訳ございませんが本人認証に失敗しました。お手数ですがサブゲート横のボックスに手を入れて下さい。」といった音声メッセージを発音し、人物aに静脈写真に基づく本人認証を促す(ステップS238)。
【0087】
人物aがステップS238における音声メッセージに従いサブゲート横に配置された静脈写真撮影部327のガラス台の上に手のひらをのせると、赤外線センサ3272がそれを検出する。赤外線センサ3272の検出をトリガとしてカメラ3271が人物aの手のひらの静脈写真を撮影し、人物aの手のひらの静脈を示す静脈データを生成する(ステップS239)。判定装置32の制御部221は、カメラ3271により生成された静脈データが示す静脈の特徴を示す静脈特徴情報を生成する(ステップS240)。このように生成される静脈特徴情報は、照合用固有情報の一種である。
【0088】
ステップS239およびステップS240の処理と並行して、判定装置32の対端末装置通信部324が備える第2送信部は十分短い所定の時間間隔で一斉呼出信号(0.5m)を送出している(ステップS251)。人物aがステップS238における音声メッセージに従いサブゲート横に配置された静脈写真撮影部327へ近づき、端末装置31aが第2送信部から約0.5メートルの範囲内に入ると、端末装置31aは一斉呼出信号(0.5m)を受信し、その応答として端末識別情報を端末装置31に送信する(ステップS252)。
【0089】
判定装置32は端末装置31aから受信した端末識別情報をサーバ装置33に送信する(ステップS253)。サーバ装置33は判定装置32から受信した端末識別情報を検索キーとして端末装置31aに対応する共通鍵を検索し、検索した端末装置31aの共通鍵を判定装置32に送信する(ステップS254)。続いて、判定装置32は端末装置31aに暗号化基本個人情報および暗号化基本固有情報の送信要求を送信し(ステップS255)、端末装置31aはその送信要求に応じて暗号化基本固有情報および暗号化基本個人情報を判定装置32に送信する(ステップS256)。
【0090】
判定装置32はステップS254において受信した共通鍵を用いて、ステップS256において受信した暗号化基本固有情報および暗号化基本個人情報を復号化し、参照用基本固有情報および基本個人情報を生成する(ステップS257)。判定装置32は、ステップS240で生成した静脈特徴情報(照合用静脈特徴情報)と、ステップS257で生成した参照用基本固有情報に含まれる複数の静脈特徴情報(参照用静脈特徴情報)の各々とを比較し、それらの類似度が所定の閾値以上であるか否かを判定する(ステップS261)。
【0091】
判定装置32は、ステップS261において、複数の参照用静脈特徴情報の中に照合用静脈特徴情報との間で所定の閾値以上の類似度を有するものが有ると判定した場合(ステップS262;Yes)、人物aは端末装置31aの正当な所有者であると判断される。すなわち、人物aの本人認証が成功したことになる。従って、判定装置32は、ステップS257において生成した人物aの基本個人情報に含まれる氏名・住所が、ステップS202において受信した入館許可人物リストに含まれるか否かを判定する(ステップS263)。
【0092】
人物aの氏名・住所が入館許可人物リストに含まれていた場合(ステップS263;Yes)、判定装置32はサブゲート装置36に対しサブゲートの開放指示を送信する(ステップS264)。この開放指示に応じてメインゲート装置35はメインゲートを開放し、人物aは建物に入ることができる。その場合、判定装置32は、人物aの氏名・住所とステップS264の処理を行った時刻情報とを入館許可情報として社内サーバ装置34に送信する(ステップS265)。
【0093】
一方、人物aの氏名・住所が入館許可人物リストに含まれていなかった場合(ステップS263;No)、判定装置32は発音部323を用いて、例えば「申し訳ございませんが入館が許可されておりません。本館にご用の方は係りの者にお尋ね下さい。」といった音声メッセージを発音する(ステップS266)。その場合、判定装置32は、人物aの氏名・住所とステップS266の処理を行った時刻情報とを入館拒否情報として社内サーバ装置34に送信する(ステップS267)。なお、ステップS265もしくはステップS267で社内サーバ装置34に送信される入館許可情報および入館拒否情報は、この建物の入館者管理に利用される。
【0094】
[1.4.本人認証システムの第2実施例]
以下に、本発明にかかる本人認証システムの他の一実施例として、本発明にかかる本人認証システムを入国審査に利用した入国審査システム5の構成および動作を説明する。
【0095】
[1.4.1.構成]
図16は入国審査システム5の全体構成を模式的に示した図である。入国審査システム5は入国審査を受ける人物が携帯する端末装置51と、入国審査を受ける人物の本人認証を行うとともに本人認証に成功した場合にその人物の個人情報を入国審査官に閲覧可能とする判定装置52と、あらゆる端末装置51の各々に関し固有情報および個人情報を暗号化・復号化する鍵を生成・管理するサーバ装置53と、入出国の履歴およびビザ(査証)の情報を管理する入出国管理サーバ装置54と、入国希望者の通過を制御するためのゲート装置55とを備えている。端末装置51と判定装置52は無線通信可能であり、判定装置52とサーバ装置53の間および判定装置52と入出国管理サーバ装置54の間は、インターネットを介して、VPNで保護された通信が可能である。
【0096】
開門システム3においては、例として、公開鍵方式が採用されているものとする。開門システム3において、端末装置51およびサーバ装置53は基本登録システム2による初期登録を完了している。
【0097】
端末装置51の構成およびサーバ装置53の構成は、基本登録システム2の端末装置21の構成(図3参照)およびサーバ装置23の構成(図6参照)と同様である。判定装置52の構成は、開門システム3の判定装置32の構成(図11参照)とほぼ同じであるが、判定装置52は判定装置32が備える発音部323を備えていない。入国審査においては、入国審査官が必要なメッセージを口頭で伝えることができるため発音部323は必要ないためである。また、判定装置52は判定装置32が備える対メインゲート装置送信部328および対サブゲート装置送信部329に代えて、対ゲート装置送信部を備えている。入国審査においては入国者が通過するゲートは1つでよいためである。
【0098】
また、判定装置52は、プログラムに従った処理により、端末装置51から受信した公開鍵を用いて追加個人情報および追加固有情報を暗号化する暗号部としても機能する。
【0099】
[1.4.2.動作]
以下に入国審査システム5の動作を説明する。例として、端末装置51Bを携帯する人物bがX国に入国予定であるものとする。人物bは、通常、予め自国内のX国大使館にてビザの発給を受けておく必要がある。X国大使館には、本発明にかかる本人認証システムを利用したビザ発給システムが設置されており、人物bは端末装置51Bに記憶されている暗号化基本固有情報を用いた本人認証を受ける。
【0100】
人物bが端末装置51Bの正当な所有者である人物Bであることが確認された後、X国大使館のビザ発給官は所定の審査を行い、人物BのX国への入国に問題がないと判断すると、ビザ発給システムを用いて、端末装置51Bに記憶されている暗号化基本個人情報より生成された人物Bの基本個人情報を、人物Bに対し発給するビザ番号とともに、入出国管理サーバ装置54に送信する。
【0101】
入出国管理サーバ装置54に対するビザ番号の送信に伴い、ビザ発給システムは、端末装置51Bに記憶されている公開鍵を用いて人物Bに発給したビザ番号を暗号化した後、端末装置51Bおよびサーバ装置53に送信する。端末装置51Bおよびサーバ装置53は、ビザ発給システムより受信した暗号化されたビザ番号を、端末装置51Bに関する暗号化された追加個人情報として登録する。以下、暗号化された追加個人情報を「暗号化追加個人情報」と呼ぶ。また、追加個人情報の種類を区別するため、例えばビザ番号に関する追加個人情報を「追加個人情報(ビザ番号)」のように呼び、それらが暗号化されたものを、「暗号化追加個人情報(ビザ番号)」のように呼ぶ。
【0102】
入国審査システム5においては、追加個人情報(ビザ番号)に加え、追加個人情報(犯罪歴)、追加個人情報(入出国履歴)が利用される。従って、端末装置51Bには、暗号化基本個人情報およびX国大使館にて登録を受けた暗号化追加個人情報(ビザ番号)に加え、人物Bの犯罪歴を示す暗号化追加個人情報(犯罪歴)と、人物Bの入出国履歴を示す暗号化追加個人情報(入出国履歴)が記憶されているものとする。
【0103】
人物Bは、X国大使館においてビザ発給を受けた後、X国に渡航し、X国の入国審査を受ける。人物Bが入国審査を受ける際の入国審査システム5の動作フローのうち、端末装置の所持者の本人認証に関する部分は、開門システム3に関し図12〜図15に示したフローのステップS203〜ステップS232およびステップS239〜ステップS262とほぼ同様である。入国審査システム5の本人認証の動作フローが、図12〜図15に示した動作フローと異なる点は、ステップS210〜ステップS213およびステップS255〜ステップS257において、暗号化基本個人情報に加え、暗号化追加個人情報(ビザ番号)、暗号化追加個人情報(犯罪歴)および暗号化追加個人情報(入出国履歴)が送受信・一時記憶される点のみである。
【0104】
入国審査システム5による本人認証が失敗し、端末装置51Bの所持者が端末装置51Bの正当な所有者でないと判定された場合、端末装置51Bの所持者は入国拒否をされるか、もしくは入国審査官等によりさらに詳しい調査を受けることになる。一方、入国審査システム5による本人認証が成功し、人物Bが端末装置51Bの正当な所有者であると判定された場合、入国審査システム5は人物Bの個人情報の表示、追加個人情報(入出国履歴)の更新などの処理を行う。
【0105】
図17は人物Bの本人認証が成功した後の入国審査システム5の動作を示したフロー図である。判定装置52は、人物Bの基本個人情報を入出国管理サーバ装置54に送信する(ステップS501)。入出国管理サーバ装置54は、受信した基本個人情報を検索キーとして人物Bに発給されているビザ番号を検索した後、検索したビザ番号を判定装置52に送信する(ステップS502)。判定装置52は入出国管理サーバ装置54から受信したビザ番号と、端末装置51Bから受信した暗号化追加個人情報(ビザ番号)を復号化して得られた追加個人情報(ビザ番号)により示されるビザ番号とを照合する(ステップS503)。
【0106】
判定装置52は、人物Bの基本個人情報、追加個人情報(ビザ番号)、追加個人情報(犯罪歴)、追加個人情報(入出国履歴)、およびステップS503の照合結果を表示部に表示する(ステップS504)。
【0107】
入国審査官は判定装置52の表示部に表示された情報に基づき、人物Bの入国を許可するか否かを判断する。入国審査官により人物Bの入国が拒否された場合(ステップS505;No)、判定装置52は人物Bの基本個人情報と現在の時刻情報を含む入国拒否情報を入出国管理サーバ装置54に送信する(ステップS506)。また、入国審査官により人物Bの入国が許可された場合(ステップS505;Yes)、判定装置52は人物Bの基本個人情報と現在の時刻情報を含む入国許可情報を入出国管理サーバ装置54に送信する(ステップS507)。入出国管理サーバ装置54に送信された入国許可情報および入国拒否情報は、現在の入国者を把握するために利用される他、例えばビザ発給システムに送信され、将来のビザ発給時に利用される。
【0108】
人物Bの入国が許可された場合、判定装置52は追加個人情報(入出国履歴)にX国への入国を示す情報を追加することにより、追加個人情報(入出国履歴)を更新する(ステップS508)。続いて、判定装置52は端末装置51Bに対し、公開鍵の送信要求を送信する(ステップS509)。端末装置51Bは、公開鍵の送信要求に応じて、公開鍵を判定装置52に送信する(ステップS510)。判定装置52は、端末装置51Bから公開鍵を受信すると、ステップS509で更新した追加個人情報(入出国履歴)を受信した公開鍵で暗号化し、暗号化追加個人情報(入出国履歴)を生成する(ステップS511)。
【0109】
さらに、判定装置52は人物Bの本人認証時に生成した照合用固有情報、すなわち現在の人物Bを撮影して得られた顔/姿写真および静脈写真から生成した顔/姿特徴情報および静脈特徴情報を、ステップS510において受信した公開鍵で暗号化する(ステップS512)。ステップS512で暗号化される固有情報は、将来の本人認証において参照用固有情報として利用される追加固有情報である。以下、暗号化された追加固有情報を暗号化追加固有情報と呼ぶ。
【0110】
追加固有情報は、登録専門機関以外の組織により管理されるシステムによって、本人認証の処理に伴い取得された生体情報であるため、基本固有情報と比べ信頼性が低いが、基本固有情報よりも新しい生体情報である。従って、例えば登録専門機関における登録時から経年により顔の輪郭等に変化が生じている場合など、本人であるのにしばしば顔/姿特徴情報に基づく本人認証に失敗するような場合に、追加固有情報を補助的に利用することで、そのような本人認証の失敗を低減することができる。
【0111】
例えば、駅の改札に要する本人認証においては高い信頼性よりも速い処理速度が求められる。従って、頻繁に顔/姿特徴情報に基づく本人認証に失敗し、静脈特徴情報を用いた本人認証の必要が生じる本人認証システムは実用的でない。従って、基本固有情報に含まれる顔/姿特徴情報による本人認証に失敗した場合でも、追加固有情報に含まれる顔/姿特徴情報による本人認証に成功した場合には改札を開くようにすることで、本発明にかかる本人認証システムの実用性を高めることができる。一方、入出国審査のように本人認証に高い信頼性が求められる場合には、追加固有情報は用いないなど、求められるセキュリティレベルに応じて基本固有情報と追加固有情報の使い分けが行われることが望ましい。
【0112】
判定装置52は、ステップS511で生成した暗号化追加個人情報(入出国履歴)およびステップS512で生成した暗号化追加固有情報を端末装置51Bに送信する(ステップS513)。端末装置51Bは受信した暗号化追加個人情報(入出国履歴)および暗号化追加固有情報を不揮発性記憶部に保存する(ステップS514)。
【0113】
また、判定装置52は、ステップS511で生成した暗号化追加個人情報(入出国履歴)およびステップS512で生成した暗号化追加固有情報をサーバ装置53に送信する(ステップS515)。サーバ装置53は受信した暗号化追加個人情報(入出国履歴)および暗号化追加固有情報を端末装置51Bの端末識別情報に対応付けて、不揮発性記憶部に保存する(ステップS516)。
【0114】
以上の一連の処理が完了すると、入国審査官は判定装置52の操作部を操作し、ゲートの開放を指示する。その操作に応じて、判定装置52はゲート装置55に対しゲートの開放指示を送信し(ステップS517)、ゲート装置55は判定装置52から受診した開放指示に従いゲートを開く。その結果、人物BはX国に入国することができる。
【0115】
[1.5.端末装置の情報の修復]
本発明にかかる本人認証システムにおいて本人認証を行うためには、暗号化固有情報および暗号化個人情報、そして公開鍵方式が採用される場合の公開鍵は、各々の端末装置に保存されていればよく、サーバ装置においてその複製を保存しておく必要はない。しかしながら、上述した基本登録システム2、開門システム3および入国審査システム5において示したように、サーバ装置に端末装置に記憶されている情報の複製を保存しておくと、何らかの理由で端末装置に保存されていた情報が破損・消失した場合に、容易にその情報の修復を行うことができ、本発明にかかる本人認証システムの利便性を高めることができる。
【0116】
[1.5.1.動作]
サーバ装置に保存されている情報を用いた端末装置の情報の修復は、登録専門機関において基本登録システム2を用いて実行可能である。ただし、情報修復に際して、サーバ装置23は、プログラムに従った処理により、不揮発性記憶部233に保存されている暗号化固有情報および暗号化個人情報を復号化する復号部としても機能する。以下、人物cにより登録専門機関に持ち込まれた端末装置21Cの情報修復が行われる場合の基本登録システム2の動作を説明する。
【0117】
図18〜図20は、端末装置21の情報を修復する際の基本登録システム2の動作を示したフロー図である。基本登録システム2のオペレータの操作に応じて、登録用判定装置22は端末装置21Cに対し、端末識別情報の送信要求を送信する(ステップS601)。端末装置21Cは登録用判定装置22からの送信要求に応じて、ROM212に保存されている端末識別情報を登録用判定装置22に送信する(ステップS602)。
【0118】
登録用判定装置22は、端末装置21から端末識別情報の受信に成功したか否かを判定する(ステップS603)。例えば端末装置21Cが落下等により故障し、端末識別情報の読み出し・送信が正しく行えない場合があるためである。端末装置21Cが端末装置21Cから端末識別情報の受信に失敗した場合(ステップS603;No)、登録用判定装置22の表示部225は端末装置21の所持者の氏名・住所の入力を促す画面を表示する(ステップS604)。オペレータはステップS604の表示に従い、人物cに氏名・住所を尋ね、人物cが答えた氏名・住所を登録用判定装置22に入力した後、入力完了操作を行う(ステップS605)。入力完了操作に応じて、登録用判定装置22は入力された氏名・住所をサーバ装置23に送信する(ステップS606)。
【0119】
端末装置21Cが端末装置21Cから端末識別情報の受信に成功した場合(ステップS603;Yes)、登録用判定装置22は受信した端末識別情報をサーバ装置23に送信する(ステップS607)。
【0120】
サーバ装置23は、既述のように、不揮発性記憶部233に複数の端末識別情報に対応付けて共通鍵もしくは秘密鍵・公開鍵のペアと、暗号化固有情報(暗号化基本固有情報と暗号化追加固有情報)と、暗号化個人情報(暗号化基本個人情報と暗号化追加個人情報)とを記憶している。以下、端末識別情報に対応付けて記憶されているこれらの情報の各々を「端末情報」と呼ぶ。
【0121】
サーバ装置23は、ステップS606もしくはステップS607で登録用判定装置22から受信した情報が端末識別情報であるか否かを判定する(ステップS608)。登録用判定装置22から受信した情報が端末識別情報であった場合(ステップS608;Yes)、サーバ装置23は不揮発性記憶部233に保存されている複数の端末情報の中から、受信した端末識別情報に対応する端末情報を検索する(ステップS609)。続いて、サーバ装置23は、ステップS609において検索した端末情報に含まれる暗号化基本固有情報を、同じく検索した端末情報に含まれる共通鍵または秘密鍵で復号化する(ステップS610)。ステップS609の復号化により、端末装置21Cに対応する参照用基本固有情報が得られる。
【0122】
一方、登録用判定装置22から受信した情報が端末識別情報でなかった場合(ステップS608;No)、サーバ装置23は不揮発性記憶部233に保存されている複数の端末情報の中から、例えば端末識別情報のアルファベット順の最初から順に1つ選択し、選択した端末情報に含まれる暗号化基本個人情報を、同じく選択した端末情報に含まれる秘密鍵で復号化する(ステップS611)。続いて、サーバ装置23は、ステップS611の復号により得られた基本個人情報に含まれる氏名・住所と、ステップS606で受信した氏名・住所とが一致するか否かを判定する(ステップS612)。
【0123】
ステップS612の判定で登録用判定装置22から受信した氏名・住所と復号化により得られた氏名・住所とが一致しなかった場合(ステップS612;No)、サーバ装置23は不揮発性記憶部233に保存されている複数の端末情報の中から次の端末情報を選択し、選択した端末情報に関しステップS611およびステップS612を繰り返す。
【0124】
ステップS612の判定で登録用判定装置22から受信した氏名・住所と復号化により得られた氏名・住所とが一致した場合(ステップS612;Yes)、その氏名・住所を含んでいた端末情報に含まれる暗号化基本固有情報を、同じくその端末情報に含まれる共通鍵もしくは秘密鍵で復号化する(ステップS613)。ステップS613の復号化により、人物cが述べた氏名・住所に対応する参照用基本固有情報が得られる。サーバ装置23は、ステップS610もしくはステップS613で復号化により得られた参照用基本固有情報を登録用判定装置22に送信する(ステップS614)。
【0125】
登録用判定装置22は、サーバ装置23から参照用基本固有情報を受信すると、人物cの顔/姿写真群および静脈写真群を撮影し、人物cの照合用固有情報を取得する。この照合用固有情報の取得の処理(ステップS615〜ステップS620)は、図7〜図9を用いて示した基本登録システム2による登録処理におけるステップS125〜ステップS130(もしくは、ステップS109〜ステップS114)と同様である。
【0126】
登録用判定装置22は、ステップS614においてサーバ装置23から受信した参照用基本固有情報と、ステップS617およびステップS620で生成した照合用固有情報(照合用の顔/姿特徴情報群と静脈特徴情報群)とを比較し、それらの情報間に所定の閾値以上の類似度が有るか否かを判定する(ステップS621)。
【0127】
ステップS621の判定において固有情報の間に所定の閾値以上の類似度がないと判定された場合(ステップS621;No)、人物cは端末装置21Cの正当な所有者ではないか、もしくは人物cが述べた氏名・住所に誤りがあることになり、基本登録システム2による情報の修復は行われない。一方、ステップS621の判定において固有情報の間に所定の閾値以上の類似度があると判定された場合(ステップS621;Yes)、人物cは端末装置21Cの正当な所有者であるか、もしくは人物cが述べた氏名・住所に誤りがなかったことが確認されたことになる。従って、登録用判定装置22は表示部225に本人認証成功を示す画面を表示する(ステップS622)。
【0128】
先のステップS604において氏名・住所の入力を促す画面の表示がなされた場合、端末装置21Cのハードウェアに何らかの故障があるため、登録用判定装置22のオペレータは故障している端末装置21Cを破棄し、それに変わる新しい端末装置21Cを準備する。
【0129】
端末装置21Cの交換が行われなかった場合(ステップS623;No)、基本登録システム2のオペレータの所定の操作に応じて、登録用判定装置22はステップS602で端末装置21Cから受信した端末識別情報をサーバ装置23に送信する(ステップS624)。
【0130】
一方、端末装置21Cの交換が行われた場合(ステップS623;Yes)、基本登録システム2のオペレータの所定の操作に応じて、登録用判定装置22は新しい端末装置21Cに対し端末識別情報の送信要求を送信し(ステップS625)、新しい端末装置21Cはその送信要求に応じて、ROM212に保存されている端末識別情報を登録用判定装置22に送信する(ステップS626)。登録用判定装置22はステップS626で新しい端末装置21Cから受信した端末識別情報を、ステップS605で入力された氏名・住所とともにサーバ装置23に送信する(ステップS627)。
【0131】
サーバ装置23は、ステップS624もしくはステップS627において登録用判定装置22から受信した情報に氏名・住所が含まれるか否かを判定する(ステップS628)。ステップS628において氏名・住所が含まれないと判定した場合(ステップS628;No)、サーバ装置23はステップS609において検索した端末情報の端末識別情報がステップS624において受信した端末識別情報と一致していることを確認した後、その端末情報に含まれる共通鍵もしくは秘密鍵を除く全ての情報を、登録用判定装置22に送信する(ステップS629)。
【0132】
一方、ステップS628において氏名・住所が含まれていると判定した場合(ステップS628;Yes)、サーバ装置23はステップS612において氏名・住所の一致をみた端末情報に含まれる氏名・住所がステップS627において受信した氏名・住所と一致することを確認した後、当該端末情報が対応付けられている端末識別情報(すなわち、古い端末装置21Cの端末識別情報)を、ステップS627において受信した端末識別情報(すなわち新しい端末装置21Cの端末識別情報)に書き換える(ステップS630)。そして、サーバ装置23は、書き換えた端末識別情報に対応付けられている端末情報に含まれる共通鍵もしくは秘密鍵を除く全ての情報を、登録用判定装置22に送信する(ステップS629)。
【0133】
登録用判定装置22は、ステップS629においてサーバ装置23から受信した情報を端末装置21Cに送信し(ステップS631)、端末装置21Cは登録用判定装置22から受信した情報を不揮発性記憶部214に保存する(ステップS632)。以上により、端末装置21Cの修復が完了する。
【0134】
以上のように、端末装置が個々に保存している暗号化固有情報および暗号化個人情報の複製をサーバ装置にも保存しておくことにより、本発明にかかる本人認証システムの利用者は、端末装置が故障した場合には新しい端末装置に、また端末装置には故障がないが保存されていた情報に破損等が生じた場合にはそれまで使用していた端末装置に、いつでも自分に関する暗号化固有情報および暗号化個人情報を復元することができる。
【0135】
[2.変形例]
上述した実施形態は、本発明の技術的思想の範囲で様々に変形することができる。また、上述した実施形態において用いられている具体的な数値は説明のための例示であって、それらの数値により本発明が限定的に解釈されるべきではない。以下に変形例を示す。
【0136】
上述した実施形態における動作フローに含まれる多くのステップは、その時間的な前後関係を入れ替えても同様の結果を得ることができ、それらの変更は本発明の技術的思想の範囲内である。例えば、図17のステップS513とステップS515はいずれが先であっても構わない。
【0137】
上述した実施形態で採用されている暗号化方式は例示であって、本発明の実施においていずれの暗号化方式が採用されてもよい。例えば共通鍵方式と公開鍵方式とが組み合わせて用いられてもよいし、鍵をさらに他の鍵で暗号化してセキュリティを高める方式、多段階の暗号化・復号化を行う方式等が採用されてもよい。また、暗号化の強度を高めるために、定期的に鍵を入れ替えたり、情報の更新時に以前に用いた鍵と異なる鍵を用いて暗号化のやり直しを行ったりしてもよい。
【0138】
上述した実施形態においては、1つの端末装置に関し用いられる共通鍵もしくは秘密鍵と公開鍵のペアは1つであるものとしたが、それに限られず、情報の種別に応じて異なる鍵または鍵ペアを用いるようにしてもよい。図21は、本発明にかかる本人認証システムにおいて公開鍵方式を採用し、情報の種別ごとに鍵を異ならせる場合の端末装置61およびサーバ装置63に保存される情報を模式的に示した図である。本発明にかかる本人認証システムにおいて共通鍵方式を採用する場合には、図21に示される端末装置61は公開鍵を記憶せず、サーバ装置63は秘密鍵・公開鍵のペアの代わりに共通鍵を記憶するように構成すればよい。
【0139】
情報の種別ごとに異なる鍵が割り当てられる場合、端末装置61およびサーバ装置63において、各情報および鍵はそれらを他の情報および鍵から識別するための情報種別識別情報に対応付けられて保存されている。図21の例において、例えば暗号化静脈特徴情報とその情報に割り当てられた公開鍵(もしくは秘密鍵・公開鍵のペア)は、情報種別識別情報「002」により識別される。
【0140】
情報の種別ごとに異なる鍵が割り当てられる場合、判定装置62を、その判定装置62の処理に必要最小限の種別の情報のみを端末装置61から受信し、それらの情報を復号化するための鍵のみをサーバ装置63から受信するように構成することで、不要な情報が不用意に判定装置62において復号化される不都合を回避することができる。
【0141】
例えば、判定装置62が基本固有情報の顔/姿特徴情報のみを用いて本人認証を行い、個人情報として氏名、年齢、性別および既往歴の閲覧を必要とする場合、判定装置62は端末装置61およびサーバ装置63に、情報種別識別情報として001、003、005、006、208を送信する。端末装置61は判定装置62から受信した情報種別識別情報を検索キーとして検索される情報を判定装置62に送信する。サーバ装置63は判定装置62から受信した情報種別識別情報を検索キーとして検索される秘密鍵を判定装置62に送信する。判定装置62は端末装置61から受信した情報をサーバ装置63から受信した秘密鍵で復号化し、処理に必要な情報を得る。
【0142】
なお、情報の種別ごとに異なる鍵が割り当てられる場合、新たな種別の追加個人情報の登録を要する場合や、新たに追加固有情報の登録を行う場合等において、それらの情報が判定装置62において暗号化される場合、判定装置62はサーバ装置63に対し情報種別識別情報および鍵生成の要求を行う。サーバ装置63はその要求に応じて、新たな情報種別識別情報および鍵(または鍵ペア)を生成し、生成した情報種別識別情報と暗号鍵(公開鍵もしくは共通鍵)を判定装置62に送信する。公開鍵方式を採用したシステムにおいて、端末装置61において追加個人情報等の暗号化が行われる場合においても、同様に、端末装置61は判定装置62を介してサーバ装置63から情報種別識別情報と公開鍵を取得する。判定装置62もしくは端末装置61は、そのようにサーバ装置63から取得した暗号鍵を用いて、追加個人情報等の暗号化を行う。以上が情報の種別ごとに異なる鍵の割り当てを行う本発明の実施形態の変形例の説明である。
【0143】
さらに、他の変形例を示す。上述した実施形態における動作フローに含まれる一部のステップは、技術的な意義を失うことなく他の処理で代替可能であり、それらの変更もまた、本発明の技術的思想の範囲内である。
【0144】
例えば、上述した実施形態においては、サーバ装置に記憶される固有情報および個人情報は暗号化された状態で保存されているものとして説明したが、暗号化されない状態で保存しておき、端末装置の情報修復等のために暗号化を要する際に暗号化するように構成してもよい。また、固有情報または個人情報が暗号化される場所は判定装置であってもサーバ装置であってもよい。さらに、公開鍵方式が採用される場合には、固有情報または個人情報が端末装置において公開鍵により暗号化されてもよい。その場合、端末装置の制御部は、プログラムに従った処理により、暗号化部としても機能する。また、固有情報または個人情報が復号化される場所は判定装置であってもサーバ装置であってもよい。また、端末装置とサーバ装置がともに公開鍵を保存している場合、判定装置はいずれの装置から公開鍵を取得してもよい。
【0145】
本発明においては、端末装置に保存される個人情報を復号化可能な復号鍵を端末装置には一切渡さないことを原則としている。しかしながら、例えば端末装置の所有者の趣味情報など、第三者による確認を要さない個人情報については、仮に端末装置において復号化がなされても問題はない。従って、サーバ装置は個人情報の種類ごとに異なる共通鍵を生成し、第三者による確認を要さない個人情報については、サーバ装置から送信された共通鍵を用いて、端末装置がその個人情報を暗号化してもよい。そのように暗号化された個人情報は、サーバ装置に送信され保存される。
【0146】
上述した実施形態においては、ある人物の鍵、固有情報、個人情報等を他の人物のそれらから識別するための識別情報として、端末装置のROMに予め記憶されている識別情報が利用されているが、本発明において利用可能な識別情報はそれに限られない。例えば、端末装置の本体に着脱可能に接続されるフラッシュメモリカード等の記録媒体に暗号化固有情報、暗号化個人情報等を記憶させるようにして、当該記録媒体に固有の識別情報を端末識別情報に代えて用いてもよい。
【0147】
また、例えばサーバ装置が初期登録時に任意の識別情報を端末装置もしくは端末装置の所有者に割り当て、端末装置が割り当てられた識別情報を不揮発性記憶部に記憶し、端末識別情報に代えて用いてもよい。その場合、もしユーザ等により識別情報が書き換えられると、そのユーザは本発明にかかる本人認証システムを利用できなくなるが、固有情報や個人情報が他に漏洩することはなく、そのユーザでない者がそのユーザになりすますこともできないので、端末装置のROM等に書き換え不可能な状態で記憶されている識別情報を用いる場合と比べ、セキュリティレベルが下がることはない。
【0148】
上述した実施形態において、端末装置はPHSの仕様に準拠した無線携帯端末であるものとしたが、それに限られない。例えば利便性が多少損なわれるが、端末装置を通信ケーブルにて判定装置に接続し、端末装置と判定装置との間で有線通信を行わせる構成としてもよい。また、判定装置とサーバ装置との間の通信方式もインターネットを介したものに限られない。例えば、それらの装置が専用線で通信接続されていてもよい。
【0149】
上述した実施形態においては、複数の端末装置の中から本人認証の対象となる人物が所持している端末装置を特定する方法として、電波強度の異なる一斉呼出信号を用いる方法が採用されているが、それに限られない。例えば、ゲート前の最前列に立った者が自分の所持する端末装置を操作して、識別情報を判定装置に送信させるようにしてもよい。
【0150】
本発明にかかる本人認証システムを構成する端末装置、判定装置およびサーバ装置は、各々の装置が有する制御部がプログラムに従った処理を行うことにより本発明にかかる本人認証システムの構成装置として機能するものとして説明したが、制御部により実現される機能構成部の各々をハードウェアにより各装置に実装させるようにしてもよい。
【0151】
上述した実施形態においては、判定装置(または登録用判定装置)は顔/姿写真撮影部および静脈写真撮影部を構成要素として備えるものとしたが、本発明にかかる判定装置はそれらの手段を構成要素として備えず、外部の撮影装置から顔/姿データや静脈データといった情報を取得し、それらの取得した情報を用いて顔/姿特徴情報や静脈特徴情報といった固有情報を生成するようにしてもよいし、外部装置により生成された顔/姿特徴情報や静脈特徴情報といった固有情報を受信部により単に取得するようにしてもよい。
【0152】
上述した実施形態においては、参照用固有情報と照合用固有情報との比較による本人認証に成功した場合、その人物の基本個人情報(氏名および住所)を用いてその後の処理(具体的にはゲートの開放)の是非判定を行うものとした。しかしながら、本人認証に成功した後の処理において必ずしも個人情報(基本個人情報を含む)が利用される必要はない。例えば第1実施例において、入館許可人物リストに入館の許可された人物の氏名・住所に代えて、それらの人物の端末識別情報を含めるようにし、本人認証に成功した人物の端末識別情報が入館許可人物リストに含まれるか否かによりゲートの開放の是非を判定する構成としてもよい。そのような構成とする場合、個人情報は不要となる。本人認証後の処理において個人情報を用いない場合、何らかの事故による個人情報の漏洩を防止することができる。
【0153】
上述した実施形態においては、固有情報として生体情報が利用される例を示した。しかしながら、本発明において利用可能な固有情報は生体情報に限られず、例えば正当な所有者のみが知るパスワードを生体情報に代えて、もしくは生体情報に加えて、本発明において利用してもよい点は既述のとおりである。パスワードは生体情報と比較し漏洩すると他人のなりすましが可能であるが、生体情報を用いる場合よりも参照用固有情報および照合用固有情報の生成が容易、それらの情報のサイズが一般的に小さくて済む、それらの情報の比較が容易かつ正確に行える、といったメリットがある。従って、本人認証の精度が低くてもさほど問題とならない実施例においては、生体情報に代えてパスワードを固有情報として利用する方が望ましい場合がある。また、生体情報を用いた本人認証の精度の低さを補完するため、パスワードによる本人認証を併用する方が望ましい場合もある。
【0154】
本発明においてパスワードを固有情報として用いる場合、予め端末装置に暗号化されて記憶されているパスワードと、端末装置の所持者が入力するパスワードとの一致が判定装置により判定され、その判定結果に基づき本人認証の成功・不成功が決することになる。端末装置の所持者がパスワードを入力するための操作手段は、例えば端末装置が備えるキーパッド等の操作部であってもよいし、判定装置に接続もしくは内蔵されているキーボード等の操作部であってもよい。
【0155】
例えば、第1実施例において生体情報の代わりにパスワードを用いる場合の一例を説明する。端末装置の所持者は、例えばゲートに近づくかなり手前から、端末装置に対しパスワードを入力しておくことができる。所持者によるパスワードの入力があった場合、端末装置は入力されたパスワードを所定の期間(例えば3分間)、揮発性記憶部に一時的に記憶する。端末装置が例えばゲートの手前約5メートルの位置に達すると、端末装置は判定装置から送出される一斉呼出信号(5m)に応答し、揮発性記憶部にパスワードが記憶されていれば、そのパスワードを判定装置に送信する。一方、揮発性記憶部にパスワードが記憶されていない場合、端末装置は表示部にパスワードの入力を促すメッセージを表示する。端末装置の所持者がそのメッセージに応じて端末装置にパスワードを入力すると、入力されたパスワードが端末装置から判定装置に送信される。判定装置はそのように端末装置から送信されたパスワードを取得し、照合用固有情報として利用する。
【0156】
また、ゲート前には判定装置に接続されたキーボードが配置されている。端末装置の所持者は、上述したように端末装置へパスワードを入力する代わりに、ゲート前のキーボードにパスワードを入力することもできる。端末装置の所持者がゲート前のキーボードを用いて入力したパスワードは判定装置において照合用固有情報として利用される。このような構成とした場合、ユーザは端末装置にパスワードを入力して、スムーズにゲートを通過することもできるし、ゲート前のキーボードにパスワードを入力して、例えば鞄から端末装置を取り出す手間を省くこともできる。
【0157】
本発明にかかる端末装置およびサーバ装置は通信機能を有する一般的なコンピュータにプログラムを実行させることにより実現されてもよい。また、本発明にかかる判定装置は、通信機能を有する一般的なコンピュータに顔/姿写真撮影部および静脈写真撮影部等の固有情報取得のための装置を接続し、そのコンピュータにプログラムを実行させることにより実現されてもよい。本発明は、そのようにコンピュータにより実行され、本発明にかかる端末装置、判定装置、サーバ装置を実現するためのプログラムも提供する。また、本発明は、そのようにコンピュータにより実行され、本発明にかかる端末装置、判定装置、サーバ装置を実現するためのプログラムをコンピュータに読み取り可能に記録した記録媒体も提供する。さらに、本発明は、上述した本人認証システムにより実行される本人認証のための方法も提供する。
【0158】
[3.補足説明]
本発明は、端末装置の保持者と端末装置との組み合わせが正当であるか否かを、端末装置の正当な所有者の固有情報を用いて認証する技術に関する。従って、本発明において、ある人物の鍵、固有情報、個人情報等を他の人物のそれらから識別するための識別情報は、端末装置に固有の識別情報であると同時に端末装置の正当な保有者に固有の識別情報でもある。すなわち、本発明において、そのような識別情報を端末装置を識別する端末識別情報と捉えても、端末装置の所有者を識別するユーザ識別情報と捉えても、それらの間に技術的な差異はない。仮に一人のユーザが複数の端末装置を所有する場合、データの整合性を保つためにはそれら複数の端末装置に関する鍵、固有情報、個人情報等は同期される必要があり、それらの端末装置ごとに異なる端末識別情報が割り当てられ、それらが関連付けられていることと、同じユーザが所有する異なる端末装置に対し同じユーザ識別情報が割り当てられていることとは、等価である。
【図面の簡単な説明】
【0159】
【図1】本発明の実施形態にかかる本人認証システムの基本構成を示した図である。
【図2】本発明の実施形態にかかる基本登録システムの構成を模式的に示した図である。
【図3】本発明の実施形態にかかる端末装置の構成を模式的に示した図である。
【図4】本発明の実施形態にかかる登録用判定装置の構成を模式的に示した図である。
【図5】本発明の実施形態にかかる顔/姿写真撮影部のカメラ群が配置されるカメラ設置台の形状を模式的に示した図である。
【図6】本発明の実施形態にかかるサーバ装置の構成を模式的に示した図である。
【図7】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図8】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図9】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図10】本発明の実施形態にかかる開門システムの構成を模式的に示した図である。
【図11】本発明の実施形態にかかる判定装置の構成を模式的に示した図である。
【図12】本発明の実施形態にかかる開門システムの動作を示したフロー図である。
【図13】本発明の実施形態にかかる開門システムの動作を示したフロー図である。
【図14】本発明の実施形態にかかる開門システムの動作を示したフロー図である。
【図15】本発明の実施形態にかかる開門システムの動作を示したフロー図である。
【図16】本発明の実施形態にかかる入国審査システムの全体構成を模式的に示した図である。
【図17】本発明の実施形態にかかる入国審査システムの動作を示したフロー図である。
【図18】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図19】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図20】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図21】本発明の実施形態の一変形例において端末装置およびサーバ装置に保存される情報を模式的に示した図である。
【符号の説明】
【0160】
1…本人認証システム、2…基本登録システム、3…開門システム、5…入国審査システム、11…端末装置、12…判定装置、13…サーバ装置、21…端末装置、22…登録用判定装置、23…サーバ装置、31…端末装置、32…判定装置、33…サーバ装置、34…社内サーバ装置、35…メインゲート装置、36…サブゲート装置、51…端末装置、52…判定装置、53…サーバ装置、54…入出国管理サーバ装置、55…ゲート装置、61…端末装置、62…判定装置、63…サーバ装置、111…ROM、112…不揮発性記憶部、121…固有情報取得部、122…揮発性記憶部、131…不揮発性記憶部、211…制御部、212…ROM、213…揮発性記憶部、214…不揮発性記憶部、215…送信部、216…受信部、217…操作部、218…表示部、221…制御部、222…ROM、223…揮発性記憶部、224…操作部、225…表示部、226…対端末装置通信部、227…対インターネット通信部、228…顔/姿写真撮影部、229…静脈写真撮影部、231…制御部、232…揮発性記憶部、233…不揮発性記憶部、234…送信部、235…受信部、320…制御部、321…ROM、322…揮発性記憶部、323…発音部、324…対端末装置通信部、325…対インターネット通信部、326…顔/姿写真撮影部、327…静脈写真撮影部、328…対メインゲート装置送信部、329…対サブゲート装置送信部、3261…カメラ、3262…距離センサ、3271…カメラ、3272…赤外線センサ。
【技術分野】
【0001】
本発明は、本人認証のための方法、システム、判定装置、端末装置、サーバ装置、プログラムおよび記録媒体に関する。
【背景技術】
【0002】
本人認証は、入退室管理やATMにおける入出金管理など、私たちの生活の様々な場面で必要となる。本人認証を装置により行う方法として、古くから、認証対象の人物aが、人物Aしか知らない筈のユーザ名とパスワードを正しく装置に入力できた場合、人物aを人物Aであると認証する方法が用いられてきた。また、近年では、認証対象の人物aが、人物A固有の生体情報を有すると判定された場合、人物aを人物Aであると認証する方法(いわゆる生体認証)も提案され、実用化されつつある。
【0003】
生体認証を利用した本人認証の技術として、例えば特許文献1および2には、ICカード等の携帯デバイスに参照用の生体情報を予め記憶させておき、携帯デバイスの正当な所有者から直接取得した生体情報と携帯デバイスに記憶されている参照用の生体情報とを比較した結果に基づき、携帯デバイスの所持者の本人認証を行うシステムが提案されている。
【特許文献1】特開2007−148480号公報
【特許文献2】特開2008−181295号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
特許文献1や特許文献2において提案されている技術によれば、所持者が携帯するデバイスに参照用の生体情報が記憶されているため、例えば本人認証に際して、参照用の生体情報を遠隔地に配置されたサーバ装置から取得する場合と比較し、本人認証に要する時間の短縮が期待される等の利便性が得られる。その一方、特許文献1や特許文献2において提案されている技術による場合、サーバ装置等により参照用の生体情報が集中管理される場合と比較し、悪意ある所持者等により携帯デバイスに記憶されている参照用の生体情報が改ざんされてしまう危険性が高く、情報セキュリティが低くならざるを得ない。そのような改ざんを防止するため、携帯デバイスに高い耐タンパ性を持たせる等の対策を施す場合、携帯デバイスがコスト高となる。
【0005】
本発明は、上記の状況に鑑み、高い利便性と高い情報セキュリティとを兼ね備え、比較的低コストで実現可能な本人認証の技術を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記課題を達成するために、本発明は、自機もしくは自機の正当な所有者を識別する識別情報と前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを記憶している端末装置が、前記識別情報と前記暗号化固有情報とを判定装置に送信する第1の送信ステップと、前記判定装置が、前記第1の送信ステップにおいて前記端末装置から送信された前記識別情報を、複数の識別情報の各々に対応付けて復号鍵を記憶しているサーバ装置に送信する第2の送信ステップと、前記サーバ装置が、自機が記憶している複数の復号鍵のうち前記第2の送信ステップにおいて前記判定装置から送信された前記識別情報に対応付けて記憶している復号鍵を前記判定装置に送信する第3の送信ステップと、前記判定装置が、前記第1の送信ステップにおいて前記端末装置から送信された前記暗号化固有情報を前記第3の送信ステップにおいて前記サーバ装置から送信された前記復号鍵を用いて復号化することにより参照用固有情報を生成する復号化ステップと、前記判定装置が、前記端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する取得ステップと、前記判定装置が、前記復号化ステップにおいて生成した前記参照用固有情報と前記取得ステップにおいて取得した前記照合用固有情報との比較結果に基づき、前記所持者が前記正当な所有者と同一人物であるか否かを判定する判定ステップとを備える本人認証のための方法を提供する。
【0007】
上記方法によれば、判定装置において本人認証を行うに際し必要となる参照用固有情報が判定装置に通常近い位置にある端末装置に記憶されているため、判定装置が参照用固有情報を容易に取得でき利便性が高く、同時に端末装置に記憶されている参照用固有情報は暗号化されており、端末装置においては復号化することができないため、端末装置に耐タンパ等の高コストな対策を施すことなく、高い情報セキュリティを確保することが可能となる。
【0008】
また、本発明は、上記方法を実行するためのシステム、判定装置、端末装置、サーバ装置、プログラムおよび記録媒体を提供する。
【発明を実施するための最良の形態】
【0009】
[1.実施形態]
[1.1.概要]
本発明にかかる一実施形態である本人認証システムの詳細な説明に先立ち、本発明にかかる本人認証システムの概要を説明する。図1は、本発明の実施形態にかかる本人認証システム1の基本構成を示した図である。本人認証システム1は、正当な所有者である人物Aが携帯すべき端末装置11と、端末装置11を現在所持している人物aが人物Aであるか否かの判定を行う判定装置12と、判定に用いられる固有情報の暗号化を解くための復号鍵を管理するサーバ装置13とを備えている。
【0010】
固有情報とは、ある人物のみから取得可能な当該人物に固有の情報であり、その具体例は、(1)当該人物のみが知っているべきパスワードや、(2)当該人物のみがその身体に有している情報、いわゆる生体情報である。本人認証のために利用可能な生体情報として、例えば、指紋、掌形、網膜の毛細血管の形状、虹彩の濃淡値のヒストグラム、顔/姿の形状、静脈の形状、声紋、耳形、DNA、筆跡、キーストロークの特徴、唇の動きの特徴、まばたきの特徴などがある。
【0011】
本明細書において、端末装置を所持しているがその端末装置の正当な所有者であるか否かが不明である者を「所持者」と呼び、「正当な所有者」と区別する。
【0012】
端末装置11の備えるROM(Read Only Memory)111には、他の端末装置から端末装置11を識別する端末識別情報が記憶されている。また、端末装置11の備える不揮発性記憶部112には、人物Aのみから取得可能な情報である固有情報が暗号化された状態で記憶されている。以下、暗号化された固有情報を「暗号化固有情報」と呼ぶ。
【0013】
判定装置12は、書き込み可能な不揮発性記憶部を有さないシンクライアントであり、無線通信により端末装置11との間で通信可能であると同時に、インターネットを介してサーバ装置13との間で通信可能である。判定装置12とサーバ装置13との間の通信は、VPN(Virtual Private Network)により保護される。
【0014】
サーバ装置13の備える不揮発性記憶部131には、本人認証システム1の利用者全ての端末装置の各々に関し、当該端末装置の端末識別情報に対応付けて、当該端末装置に記憶されている暗号化固有情報を復号化するための復号鍵が記憶されている。復号鍵は端末装置ごとに異なる。サーバ装置13に記憶されている復号鍵はサーバ装置13により生成され、本人認証システム1の運用中にVPN通信を介して判定装置に送信され利用される他、外部に漏洩することがないように管理されている。
【0015】
本人認証システム1により端末装置11の所持者である人物aが本人認証を受ける際、端末装置11は端末識別情報と暗号化固有情報を判定装置12に送信する。判定装置12は、端末装置11から受信した端末識別情報をサーバ装置13に送信する。サーバ装置13は、判定装置12から受信した端末識別情報に対応付けて記憶されている復号鍵を不揮発性記憶部131から検索し、検索した復号鍵を判定装置12に送信する。
【0016】
判定装置12は、サーバ装置13から受信した復号鍵を用いて、端末装置11から受信した暗号化固有情報を復号化し、暗号化されていない固有情報を生成する。以下、そのように生成される固有情報を「参照用固有情報」と呼ぶ。
【0017】
判定装置12は、上述した端末装置11からの端末識別情報・暗号化固有情報の受信、サーバ装置13への端末識別情報の送信、サーバ装置13からの復号鍵の受信、そして復号鍵を用いた暗号化固有情報の復号化と並行して、判定装置12が備える固有情報取得部121を用いて、端末装置11の所持者である人物aのみから取得可能な固有情報を取得する。以下、そのように取得される固有情報を「照合用固有情報」と呼ぶ。
【0018】
判定装置12は、参照用固有情報と照合用固有情報とを比較し、それらの類似度が所定の閾値以上である場合、端末装置11の所持者である人物aが端末装置11の正当な所有者である人物Aであると判定する。その場合、人物aの本人認証が成功したことになる。一方、参照用固有情報と照合用固有情報との類似度が所定の閾値に満たない場合、人物aの本人認証が失敗したことになる。
【0019】
判定装置12は、人物aに関する上述した一連の本人認証処理を終えると、端末装置11に関する復号鍵、暗号化固有情報、参照用固有情報の全てを揮発性記憶部122から消去する。なお、判定装置12は端末装置11に関するこれらの情報を、上述したサーバ装置13との間の通信において送信する場合を除き、端末装置11を含む他の装置に一切送信することはない。以上が本発明にかかる本人認証システムの概要説明である。
【0020】
本発明にかかる本人認証システムによれば、端末装置11に暗号化された参照用固有情報である暗号化固有情報が記憶されているため、判定装置12は本人認証に際し参照用固有情報をサーバ装置13から受信する必要がなく、本人認証を短時間で行うことができる。
【0021】
また、端末装置11に記憶されている参照用固有情報は暗号化されており、暗号化されている参照用固有情報を復号化するための復号鍵は、サーバ装置13から判定装置12に一時的に送信される以外、端末装置11を含むいずれの装置に送信されることもない。従って、サーバ装置13のオペレータ以外による参照用固有情報の改ざんや盗用は不可能である。それゆえ、例えば本発明にかかる本人認証システムを用いてサーバ装置13のオペレータの本人認証を厳格に行うとともに、オペレータによる操作のログを記録する等の不正防止対策を施すことにより、本発明にかかる本人認証システムの情報セキュリティを高く保つことができる。
【0022】
[1.2.基本登録システム]
以下に、本発明の実施形態として、固有情報として生体情報を採用した本人認証システムの構成・動作を説明する。なお、以下の説明において、固有情報として採用される生体情報は顔/姿の形状および手のひらの静脈の形状であるものとする。顔/姿の形状および手のひらの静脈の形状は本人認証に利用される生体情報の例であって、上述したように、指紋、網膜の毛細血管の形状、虹彩の濃淡値のヒストグラムなど、他のいずれの生体情報が本発明における固有情報として利用されてもよい。
【0023】
本発明にかかる本人認証システムの運用には、事前に利用者は生体情報を参照用固有情報として登録しておく必要がある。参照用固有情報の初期登録は、高い信頼性の担保された登録専門機関により行われる。経年や怪我等により、登録専門機関により登録されている参照用固有情報と本人の現在の生体情報との間に一定程度以上の乖離が生じた場合には、登録専門機関において参照用固有情報の更新登録を行う必要がある。
【0024】
登録専門機関における更新登録の頻度を低減するために、日々の本人認証において取得される生体情報を補助的な参照用固有情報として追加登録し次の本人認証に利用することで、本発明にかかる本人認証システムの利便性を高めることができる。以下、登録専門機関において登録される参照用固有情報を「基本参照用固有情報」と呼び、日々の本人認証に伴い補助的に追加登録される参照用固有情報を「追加参照用固有情報」と呼ぶ。なお、追加参照用固有情報の利用については、後述の第2実施例において説明する。
【0025】
また、ある人物の本人認証に成功した場合、併せてその人物の氏名、住所等の個人情報が利用されることが多い。従って、予めそのような基本的な個人情報を登録しておくことで、本発明にかかる本人認証システムの利便性を高めることができる。基本的な個人情報は汎用性が高いため、高い信頼性が求められる。従って、基本的な個人情報の登録は、基本参照用固有情報の登録と同様に登録専門機関により行われることが望ましい。
【0026】
一方、銀行口座番号のように特定のシステムにおいてのみ利用される個人情報に関しては、その特定のシステムを利用する人物についてのみ追加的に登録可能とすることで、本発明にかかる本人認証システムの利便性をさらに高めることができる。以下、登録専門機関において登録される基本的な個人情報を「基本個人情報」と呼び、特定のシステムにおいて追加登録される個人情報を「追加個人情報」と呼ぶ。なお、追加個人情報の利用についても、後述の第2実施例において説明する。
【0027】
以下に、登録専門機関により管理され、基本参照用固有情報および基本個人情報の登録のためのシステムである基本登録システム2の構成および動作を説明する。
【0028】
[1.2.1.構成]
図2は、基本登録システム2の構成を模式的に示した図である。基本登録システム2は、端末装置21、登録用判定装置22およびサーバ装置23を備えている。基本登録システム2の端末装置21およびサーバ装置23は、それぞれ本人認証システム1の端末装置11およびサーバ装置13に相当する。
【0029】
図3は端末装置21の構成を模式的に示した図である。端末装置21は、例えばPHS(Personal Handy−phone System)の仕様に準拠した携帯通信デバイスであり、登録用判定装置22との間で無線通信を行う。端末装置21は、端末装置21の各構成部の動作を制御する制御部211と、端末識別情報を記憶するROM212と、制御部211がワークエリアとして使用する揮発性記憶部213と、暗号化された参照用固有情報(暗号化固有情報)および暗号化された個人情報(以下、「暗号化個人情報」と呼ぶ)を記憶可能な不揮発性記憶部214と、登録用判定装置22に対しデータを送信する送信部215と、登録用判定装置22からデータを受信する受信部216と、端末装置21の利用者の操作に従い制御部211に所定の信号を出力する操作部217(例えば、キーパッド)と、制御部211の制御に従い図形や文字等により情報を表示する表示部218とを備えている。制御部211の処理を指示するプログラムは、例えばROM212に記憶されている。
【0030】
図4は、登録用判定装置22の構成を模式的に示した図である。登録用判定装置22は、登録用判定装置22の各構成部の動作を制御する制御部221と、制御部221の処理を指示するプログラムを記憶するROM222と、制御部221がワークエリアとして使用する揮発性記憶部223と、登録用判定装置22のオペレータの操作に従い制御部221に所定の信号を出力する操作部224(例えば、キーボードやマウス)と、制御部221の制御に従い図形や文字等により情報を表示する表示部225とを備えている。
【0031】
制御部221は、プログラムに従った処理を行うことにより、顔/姿に関する生体情報である顔/姿特徴情報を生成する顔/姿特徴情報生成部と、手のひらの静脈に関する生体情報である静脈特徴情報を生成する静脈特徴情報生成部と、暗号化固有情報および暗号化個人情報を復号化する復号化部と、生体情報を比較することにより登録される参照用固有情報が所定の精度を有するか否かを判定する判定部として機能する。
【0032】
登録用判定装置22は、さらに、端末装置21との間で無線通信を行う対端末装置通信部226と、サーバ装置23との間でインターネットを介した通信を行う対インターネット通信部227とを備えている。対端末装置通信部226および対インターネット通信部227は、それぞれ、通信相手の装置に対しデータを送信する送信部と、通信相手の装置からデータを受信する受信部とを備えている。
【0033】
登録用判定装置22は、さらに、登録対象の人物の生体情報を取得する手段として、顔/姿写真撮影部228および静脈写真撮影部229を備えている。顔/姿写真撮影部228は、被写体の顔/身体に所定の波長および強さの光を照射する照明部と、照明部により光を照射された被写体の顔/姿を様々な角度から撮影するカメラ群とを備えている。顔/姿写真撮影部228のカメラ群を構成するカメラは、例えば半径5メートルの球面を4分割した形状のカメラ設置台上の例えば仰角10度、方位角10度ごとの格子点に、1台ずつ配置されている。
【0034】
図5は、顔/姿写真撮影部228のカメラ群が配置されるカメラ設置台の形状を模式的に示した図である。例えば、図5において、位置Pを基準点(方位角0度、仰角0度)とした場合、位置Cは(方位角30度、仰角60度)の格子点である。従って、被写体がカメラ設置台の球面の中心である位置Oに立ち、方位角90度の方角を向いた状態で位置Cに配置されたカメラにより撮影された顔/姿写真は、被写体の顔/身体を左上方から撮影したものとなる。顔/姿写真撮影部228が備えるカメラ群の各カメラは、制御部221の制御の下で同時に被写体を撮影する。そのような撮影により、被写体を様々な角度から撮影した顔/姿写真の集まりである顔/姿写真群が得られる。
【0035】
静脈写真撮影部229は、被写体の手のひらに所定の波長および強さの光を照射する照明部と、照明部により光を照射された被写体の手のひらの静脈を複数の角度から各々撮影するカメラ群とを備えている。静脈写真撮影部229の照明部とカメラ群は、被写体の手のひらを乗せるガラス台を挟んで互いに対向するように配置され、制御部221の制御の下で同時に被写体の手のひらの静脈を撮影する。そのような撮影により、被写体の手のひらの静脈を複数の角度から撮影した静脈写真の集まりである静脈写真群が得られる。
【0036】
顔/姿写真撮影部228および静脈写真撮影部229は、制御部221がプログラムに従った処理により実現する顔/姿特徴情報生成部および静脈特徴情報生成部とともに固有情報生成部を構成する。
【0037】
図6は、サーバ装置23の構成を模式的に示した図である。サーバ装置23は、サーバ装置23の各構成部の動作を制御する制御部231と、制御部231がワークエリアとして使用する揮発性記憶部232と、制御部231の処理を指示するプログラムを記憶している不揮発性記憶部233と、登録用判定装置22に対しデータを送信する送信部234と、登録用判定装置22からデータを受信する受信部235とを備えている。不揮発性記憶部233は、さらに、端末装置ごとに端末識別情報、暗号化固有情報および暗号化個人情報、そして暗号化固有情報および暗号化個人情報の暗号化・復号化に用いられる鍵を記憶可能である。
【0038】
制御部231は、プログラムに従った処理を行うことにより、暗号化・復号化に用いられる鍵を生成する鍵生成部と、参照用固有情報および個人情報を暗号化する暗号化部と、端末識別情報を検索キーとして特定の端末装置に関する復号鍵を検索する検索部として機能する。
【0039】
[1.2.2.動作]
図7〜図9は、基本登録システム2の動作を示したフロー図である。登録用判定装置22の対端末装置通信部226の送信部は、十分に短い所定の時間間隔で全ての端末装置に対する一斉呼出信号を送出している(ステップS101)。登録用判定装置22が送出する一斉呼出信号は、例えば約0.5メートルの範囲まで到達するように、電波の強度が調整されている。登録専門機関のオペレータは、端末装置21を対端末装置通信部226の送信部から0.5メートル以内の位置に置く。その結果、端末装置21は一斉呼出信号を受信すると、ROM212に記憶されている端末識別情報を登録用判定装置22に送信する(ステップS102)。
【0040】
登録用判定装置22は、端末装置21から端末識別情報を受信すると、個人情報の受信準備完了を示す信号を端末装置21に送信する(ステップS103)。端末装置21は、個人情報の受信準備完了を示す信号を受け取ると、表示部218に個人情報の入力を促す画面を表示する。基本登録システム2において登録される個人情報は基本個人情報であり、例えば端末装置21の正当な所有者(以下、「人物A」とする)の氏名、住所、生年月日、性別、国籍である。人物Aは操作部217を操作して自分の基本個人情報を端末装置21に入力し(ステップS104)、送信操作を行う。その送信操作に応じて、送信部215は入力された基本個人情報を登録用判定装置22に送信する(ステップS105)。
【0041】
登録用判定装置22は端末装置21から受信した基本個人情報を表示部225に表示し(ステップS106)、登録用判定装置22のオペレータによる確認を促す。オペレータは、例えば人物Aが所持する身分証明書等に記載の情報と、表示部225に表示された情報との整合性を確認した後、送信操作を行う。その送信操作に応じて、対インターネット通信部227の送信部は、ステップS102において受信した端末識別情報とステップS105において受信した基本個人情報とをサーバ装置23に送信する(ステップS107)。なお、登録用判定装置22とサーバ装置23との間の通信は全てVPNにより保護される。
【0042】
サーバ装置23は、登録用判定装置22から端末識別情報および基本個人情報を受信すると、固有情報の受信準備完了を示す信号を登録用判定装置22に送信する(ステップS108)。登録用判定装置22は、固有情報の受信準備完了を示す信号を受け取ると、表示部225に顔/姿写真撮影を促す画面を表示する(ステップS109)。登録用判定装置22のオペレータは、顔/姿写真撮影を促す画面の表示に応じて、人物Aに位置O(図5参照)に立つよう指示し、人物Aが位置Oに立ったことを確認の後、操作部224を操作して登録用判定装置22に対し顔/姿写真撮影の指示を行う。この指示に応じて、顔/姿写真撮影部228は顔/姿写真撮影を行い、様々な角度から見た人物Aの顔/姿を示す顔/姿データ群を生成する(ステップS110)。
【0043】
続いて、制御部221はステップS110において生成された顔/姿データ群に含まれる各々の顔/姿データに関し、当該顔/姿データが示す顔/姿の特徴を示す顔/姿特徴情報を生成する(ステップS111)。顔/姿特徴情報とは、例えば目、鼻、口等の顔の部位の相対的な位置関係を示す情報や顔および身体の輪郭の形状を示す情報である。
【0044】
続いて、登録用判定装置22は、表示部225に静脈写真撮影を促す画面を表示する(ステップS112)。登録用判定装置22のオペレータは、静脈写真撮影を促す画面の表示に応じて、人物Aに静脈写真撮影部229のガラス台の上に手のひらを置くよう指示し、人物Aが手のひらをガラス台の上に置いたことを確認の後、操作部224を操作して登録用判定装置22に対し静脈写真撮影の指示を行う。この指示に応じて、静脈写真撮影部229は静脈写真撮影を行い、人物Aの手のひらの静脈を示す静脈データ群を生成する(ステップS113)。
【0045】
続いて、制御部221はステップS113において生成された静脈データ群に含まれる各々の静脈データに関し、当該静脈データが示す静脈の特徴を示す静脈特徴情報を生成する(ステップS114)。静脈特徴情報とは、例えば所定の閾値以上の太さの静脈の形状を示す情報である。登録用判定装置22は、ステップS111で生成した顔/姿特徴情報群と、ステップS114で生成した静脈特徴情報群とを人物Aの基本参照用固有情報としてサーバ装置23に送信する(ステップS115)。
【0046】
サーバ装置23の制御部231は、基本参照用固有情報を受信すると、端末装置21に固有の暗号化・復号化のための鍵を生成する(ステップS116)。現在、暗号化方式としては大きく共通鍵方式(対称鍵方式)および公開鍵方式(非対称鍵方式)が広く用いられている。本発明にかかる本人認証システムにおいてはいずれの暗号化方式が採用されてもよい。共通鍵方式を採用する場合、ステップS116において共通鍵が生成される。共通鍵は暗号化のための暗号鍵と復号化のための復号鍵を兼ねる1つの鍵である。一方、公開鍵方式を採用する場合、ステップS116において秘密鍵と公開鍵のペアが生成される。通常、公開鍵は暗号化のための暗号鍵として用いられ、秘密鍵は復号化のための復号鍵として用いられる。
【0047】
制御部231は、生成した暗号鍵(共通鍵または公開鍵)を用いて、ステップS107において受信した基本個人情報と、ステップS115において受信した基本参照用固有情報とを各々暗号化する(ステップS117)。以下、暗号化された基本個人情報を「暗号化基本個人情報」、暗号化された基本参照用固有情報を「暗号化基本固有情報」と呼ぶ。送信部234は、暗号化基本個人情報および暗号化基本固有情報を登録用判定装置22に送信する(ステップS118)。本発明にかかる本人認証システムが公開鍵方式を採用する場合、送信部234はステップS118において、ステップS116において生成した公開鍵を併せて送信する。
【0048】
登録用判定装置22は、ステップS118においてサーバ装置23から受信した暗号化基本個人情報および暗号化基本固有情報(と公開鍵)を端末装置21に送信する(ステップS119)。端末装置21は、受信した暗号化基本個人情報および暗号化基本固有情報(と公開鍵)を不揮発性記憶部214に保存する(ステップS120)。
【0049】
続いて、基本登録システム2は端末装置21に保存された暗号化基本固有情報を用いた生体認証のテストを行う。端末装置21は、ROM212に記憶されている端末識別情報と、不揮発性記憶部214に保存した暗号化基本固有情報とを読み出し、それらを登録用判定装置22に送信する(ステップS121)。登録用判定装置22は、ステップS121において受信した端末識別情報をサーバ装置23に送信する(ステップS122)。
【0050】
サーバ装置23は、ステップS122において端末識別情報を受信すると、ステップS116において生成した復号鍵(共通鍵または秘密鍵)を登録用判定装置22に送信する(ステップS123)。登録用判定装置22の制御部221は、ステップS121において受信した暗号化基本固有情報を、ステップS123において受信した復号鍵を用いて復号化し、暗号化されていない基本参照用固有情報を生成する(ステップS124)。
【0051】
続いて、登録用判定装置22は上述したステップS109〜ステップS114と同様の処理を繰り返す(ステップS125〜ステップS130)。ステップS125〜ステップS130の処理において生成される固有情報、より詳しくはステップS127において生成される顔/姿特徴情報群およびステップS130において生成される静脈特徴情報群は、先に述べた照合用固有情報となる。
【0052】
続いて、登録用判定装置22の制御部221は、ステップS124で生成した基本参照用固有情報とステップS127およびステップS130において生成した照合用固有情報との比較を行い、それらの類似度を算出する(ステップS131)。制御部221は、算出した類似度が所定の閾値以上であるか否かを判定し(ステップS132)、類似度が所定の閾値以上であると判定した場合(ステップS132;Yes)、テスト認証成功を示す通知をサーバ装置23に送信する(ステップS133)。サーバ装置23は、テスト認証成功を示す通知を受信すると、ステップS107において受信した端末識別情報に対応付けて、ステップS116において生成した鍵(共通鍵または秘密鍵と公開鍵のペア)と、ステップS117において生成した暗号化基本固有情報および暗号化基本個人情報とを、不揮発性記憶部233に保存する(ステップS134)。
【0053】
サーバ装置23は、端末装置21に関し端末識別情報、鍵、暗号化基本固有情報および暗号化基本個人情報を新規に登録した旨を示すログを、ステップS134を実行した時刻情報とともに不揮発性記憶部233に保存する(ステップS135)。
【0054】
一方、ステップS132において、固有情報の類似度が所定の閾値に満たないと判定した場合(ステップS132;No)、基本登録システム2は処理をステップS109に戻し、暗号化基本固有情報の生成および生体認証のテストをやり直す。以上が、基本登録システム2の初期登録に関する動作説明である。
【0055】
基本登録システム2は、端末装置21に保存されている暗号化基本固有情報が経年等により古くなった場合などに、その暗号化基本固有情報を更新するための登録(更新登録)にも利用される。更新登録時の基本登録システム2の動作は上述した初期登録時の動作とほぼ同様であるが、更新登録時には個人情報に関しては新規に登録を行う必要はなく、既に保存されている個人情報が維持される。また、古い基本固有情報に関しては、更新登録時に破棄されてもよいが、データの整合性の検証時に用いる等の利用価値がある場合には、追加固有情報の一種として端末装置21およびサーバ装置23に残すようにしてもよい。
【0056】
[1.3.本人認証システムの第1実施例]
以下に、本発明にかかる本人認証システムの一実施例として、本発明にかかる本人認証システムを建物の開門の可否判定に利用した開門システム3の構成および動作を説明する。
【0057】
[1.3.1.構成]
図10は、開門システム3の構成を模式的に示した図である。開門システム3は、本人認証システム1の端末装置11、判定装置12およびサーバ装置13(図1参照)にそれぞれ相当する端末装置31、判定装置32およびサーバ装置33を備えている。ただし、開門システム3においては端末装置31を所持した複数の所持者が次々と建物のゲートに接近してくる可能性があり、図10においてはそれら複数の端末装置31が端末装置31a、端末装置31b、端末装置31cとして例示されている。また、端末装置31a、端末装置31b、端末装置31cの所持者は、それぞれ人物a、人物b、人物cである。
【0058】
開門システム3は、さらに、建物を使用している会社により管理され建物への入館が許可されている人物の氏名および住所のリスト(以下、「入館許可人物リスト」と呼ぶ)を記憶している社内サーバ装置34と、入館が許可されている人物が顔/姿写真による生体認証に成功した場合にゲート(以下、「メインゲート」と呼ぶ)を開放するメインゲート装置35と、入館が許可されている人物が静脈写真による生体認証に成功した場合にゲート(以下、「サブゲート」と呼ぶ)を開くサブゲート装置36を備えている。
【0059】
開門システム3の端末装置31およびサーバ装置33の構成は、それぞれ基本登録システム2の端末装置21およびサーバ装置23の構成と同様である。なお、開門システム3において、端末装置31およびサーバ装置33は基本登録システム2による初期登録を完了している。
【0060】
図11は、判定装置32の構成を模式的に示した図である。開門システム3において、判定装置32は、制御部320、ROM321、揮発性記憶部322、対インターネット通信部325を備えている。これらの構成部はそれぞれ、登録用判定装置22が備える制御部221、ROM222、揮発性記憶部223、対インターネット通信部227と同様のものである。ただし、対インターネット通信部325は、インターネットを介して、サーバ装置33に加え、社内サーバ装置34との間においても通信可能である。
【0061】
判定装置32はさらに、端末装置31と通信する対端末装置通信部324を備える。対端末装置通信部324は登録用判定装置22の対端末装置通信部226と類似しているが、対端末装置通信部324は第1送信部および第2送信部という2つの送信部を備えている。第1送信部はメインゲート付近に配置され、端末装置31に対する通常のデータ送信に加え、例えば到達距離が約5メートル、約3メートル、約0.5メートルと電波強度が異なる一斉呼出信号を所定の時間間隔で順次送出することができる。また、第2送信部はサブケート付近に配置され、端末装置31に対する通常のデータ送信に加え、例えば到達距離が約0.5メートルの電波強度の一斉呼出信号を所定の時間間隔で送出することができる。これらの一斉呼出信号のキャリアの周波数や信号の内容はいずれも登録用判定装置22が送出する一斉呼出信号と同じものである。以下、到達距離が約5メートル、約3メートル、約0.5メートルの一斉呼出信号をそれぞれ、「一斉呼出信号(5m)」、「一斉呼出信号(3m)」、「一斉呼出信号(0.5m)」と呼ぶ。
【0062】
判定装置32はさらに、顔/姿写真撮影部326を備える。顔/姿写真撮影部326はカメラ3261と、被写体までの距離を測定する距離センサ3262とを備えている。カメラ3261および距離センサ3262は、例えばメインゲートの上部中央に配置され、距離センサ3262の測定によりゲートから被写体までの距離が例えば5メートルとなった時点で、カメラ3261による被写体の顔/姿の撮影が行われる。
【0063】
判定装置32はさらに、静脈写真撮影部327を備える。静脈写真撮影部327はカメラ3271に加え、被写体の手のひらがガラス台に置かれたことを検出する赤外線センサ3272を備えている。赤外線センサ3272により被写体の手が検出された時点で、カメラ3271による手のひらの静脈の撮影が行われる。
【0064】
判定装置32はさらに、端末装置31の所持者に対し音声メッセージを発音する発音部323と、メインゲート装置35に対しメインゲートの開放指示を送信する対メインゲート装置送信部328と、サブゲート装置36に対しサブゲートの開放指示を送信する対サブゲート装置送信部329とを備えている。
【0065】
[1.3.2.動作]
図12〜図15は、開門システム3の動作を示したフロー図である。開門システム3においては、例として、共通鍵方式が採用されているものとする。まず、判定装置32は、社内サーバ装置34に対し入館許可人物リストの送信要求を送信する(ステップS201)。社内サーバ装置34は、入館許可人物リストの送信要求を受信すると、判定装置32に対し入館許可人物リストを送信する(ステップS202)。なお、判定装置32と社内サーバ装置34との間の通信はVPNにより保護されている。
【0066】
判定装置32は、入館許可人物リストを受信すると、対端末装置通信部324の第1送信部を用いて、所定の時間間隔で、例えば一斉呼出信号(5m)、一斉呼出信号(3m)、一斉呼出信号(0.5m)、一斉呼出信号(5m)、・・・という具合に順次一斉呼出信号の送出を開始する。ここで、対端末装置通信部324の第1送信部が送出する一斉呼出信号はいずれも、例えば方位角約30度の広がりをもつように電波の指向性が調整されている。また、対端末装置通信部324の第1送信部から送出される一斉呼出信号の時間間隔は、端末装置31からの応答がどの一斉呼出信号に対する応答であるかが区別可能であるという条件を満たす範囲内で十分に短い時間間隔である。
【0067】
今、人物aがメインゲートに正面から近づいているものとする。人物aが携帯する端末装置31aがメインゲートから約5メートル手前の位置に到達した時点で、端末装置31aは判定装置32から送信された一斉呼出信号(5m)(ステップS203)に応答して、ROM212に記憶されている端末識別情報を判定装置32に送信する(ステップS204)。
【0068】
判定装置32は一斉呼出信号(5m)の応答として端末装置31aから送信されてきた端末識別情報を受信すると、受信した端末識別情報が既に受信済みのものか否かを判定し、未受信のものであれば、その端末識別情報をサーバ装置33に送信する(ステップS205)。ステップS204において受信した端末識別情報が既に受信済みのものである場合、判定装置32はその端末識別情報を既にサーバ装置33に送信済みであるため、ステップS205の送信を繰り返すことはしない。
【0069】
サーバ装置33は、ステップS205において端末識別情報を受信すると、受信した端末識別情報に対応付けて記憶されている共通鍵を受信した端末識別情報とともに判定装置32に送信する(ステップS206)。判定装置32は、ステップS206においてサーバ装置33から受信した共通鍵を端末識別情報に対応付けて揮発性記憶部322に一時的に記憶する(ステップS207)。一斉呼出信号(5m)の到達する領域に複数の端末装置31が同時に入った場合、判定装置32の揮発性記憶部322には、それらの複数の端末装置31の端末識別情報の各々に対応付けて異なる共通鍵が記憶されることになる。判定装置32が揮発性記憶部322に一時記憶可能な端末識別情報と共通鍵のペアは、例えば30ペアに限られており、判定装置32がその数を超える端末識別情報と共通鍵のペアを受信した場合、最も先に受信したペアを破棄し、新たに受信したペアを一時記憶する。
【0070】
人物aがさらにメインゲートに近づき、端末装置31aがメインゲートから約3メートル手前の位置に到達した時点で、端末装置31aは判定装置32から送信された一斉呼出信号(3m)(ステップS208)に応答して、ROM212に記憶されている端末識別情報を再び判定装置32に送信する(ステップS209)。
【0071】
判定装置32は一斉呼出信号(3m)の応答として端末装置31aから送信されてきた端末識別情報を受信すると、受信した端末識別情報が一斉呼出信号(3m)の応答として既に受信済みのものか否かを判定し、未受信のものであれば、その端末識別情報の送信元の端末装置31aに対し、暗号化基本固有情報および暗号化基本個人情報の送信要求を送信する(ステップS210)。ステップS209において受信した端末識別情報が一斉呼出信号(3m)の応答として既に受信済みのものである場合、判定装置32はその端末識別情報の送信元の端末装置31aに対しを既に暗号化基本固有情報および暗号化基本個人情報の送信要求を送信済みであるため、ステップS210の送信を繰り返すことはしない。
【0072】
端末装置31aはステップS210において送信要求を受信すると、端末識別情報とともに暗号化基本固有情報および暗号化基本個人情報を判定装置32に送信する(ステップS211)。判定装置32は、ステップS207において一時記憶した共通鍵の中から、ステップS211において受信した端末識別情報に対応付けられている共通鍵を検索し、検索した共通鍵を用いて、ステップS211において受信した暗号化基本固有情報および暗号化基本個人情報を復号化する(ステップS212)。ステップS212の復号化により、基本参照用固有情報および基本個人情報が生成される。
【0073】
判定装置32は、ステップS212において生成した基本参照用固有情報および基本個人情報を、ステップS211において受信した端末識別情報に対応付けて揮発性記憶部322に一時記憶する(ステップS213)。一斉呼出信号(3m)の到達する領域に複数の端末装置31が同時に入った場合、判定装置32の揮発性記憶部322には、それらの複数の端末装置31の端末識別情報の各々に対応付けて異なる基本参照用固有情報および基本個人情報が記憶されることになる。判定装置32が揮発性記憶部322に一時記憶可能な端末識別情報と基本参照用固有情報および基本個人情報のペアは、例えば10ペアに限られており、判定装置32がその数を超える端末識別情報と基本参照用固有情報および基本個人情報のペアを受信した場合、最も先に受信したペアを破棄し、新たに受信したペアを一時記憶する。
【0074】
メインゲート前両側には、例えば、メインゲートに向かう人を一列に整列させるガイドポールが設置されている。そのガイドポールに従って人物aがさらにメインゲートに近づき、メインゲートに向かう人の列の先頭になり、端末装置31aがメインゲートから約0.5メートルの位置に到達した時点で、端末装置31aは判定装置32から送信された一斉呼出信号(0.5m)(ステップS214)に応答して、ROM212に記憶されている端末識別情報を再び判定装置32に送信する(ステップS215)。
【0075】
判定装置32は一斉呼出信号(0.5m)の応答として端末装置31aから送信されてきた端末識別情報を受信すると、受信した端末識別情報が一斉呼出信号(0.5m)の応答として既に受信済みのものか否かを判定し、未受信のものであれば、ステップS213において一時保存した基本参照用固有情報の中から、ステップS215において受信した端末識別情報を検索キーとして端末装置31aに対応する基本参照用固有情報を検索する(ステップS216)。ステップS215において受信した端末識別情報が一斉呼出信号(0.5m)の応答として既に受信済みのものである場合、判定装置32は既に端末装置31aに対応する基本参照用固有情報を検索済みであるため、ステップS216の処理を繰り返すことはしない。
【0076】
上述したステップS203〜ステップS216の一連の処理は、メインゲート装置35のゲート前に立つ人物が携帯する端末装置31に記憶されている暗号化基本固有情報を復号化して得られる基本参照用固有情報を取得するための処理である。開門システム3は、基本参照用固有情報を取得するための一連の処理と並行して、メインゲート前に立つ人物の顔/姿特徴情報を取得するための処理を行う。顔特徴情報は、先に述べた照合用固有情報の一種である。
【0077】
人物aがメインゲートに近づき、端末装置31aがメインゲートから約5メートル手前の位置に到達した時点で、距離センサ3262の距離測定に基づき、カメラ3261が人物aの顔/姿写真を撮影し、人物aの顔/姿データを生成する(ステップS221)。判定装置32の制御部221は、カメラ3261により生成された顔/姿データが示す顔/姿の特徴を示す顔/姿特徴情報を生成する(ステップS222)。
【0078】
判定装置32は、ステップS222において生成した顔/姿特徴情報を揮発性記憶部322に一時記憶する(ステップS223)。ステップS221〜ステップS223の処理は、メインゲートの手前約5メートルのラインを通過した全ての人物に関し行われる。判定装置32がステップS223において揮発性記憶部322に一時記憶可能な顔/姿特徴情報は、例えば30個に限られており、判定装置32がその数を超える顔/姿特徴情報を生成した場合、最も先に生成した顔/姿特徴情報を破棄し、新たに生成した顔/姿特徴情報を保存する。以下、揮発性記憶部322に一時記憶されている顔/姿特徴情報を「照合用顔/姿特徴情報」と呼ぶ。ステップS221〜ステップS223の処理が、基本参照用固有情報の取得処理と並行して行われる顔/姿特徴情報の取得処理である。
【0079】
判定装置32は、ステップS216およびステップS223の処理を完了すると、揮発性記憶部322に一時記憶されている複数の照合用顔/姿特徴情報と、ステップS216において検索した基本参照用固有情報に含まれる複数の顔/姿特徴情報(以下、「参照用顔/姿特徴情報」と呼ぶ)とを各々比較し、所定の閾値以上の類似度を有する照合用顔/姿特徴情報と参照用顔/姿特徴情報との組み合わせを特定する(ステップS231)。
【0080】
例えば、参照用顔/姿特徴情報群に172個の顔/姿特徴情報が含まれ、揮発性記憶部322に一時記憶されている照合用顔/姿特徴情報が30個である場合、ステップS231の処理を行うには、172×30=5160組の顔/姿特徴情報の組み合わせに関し比較処理を行う必要がある。これらの比較処理を全体として短時間で行うため、例えば、判定装置32は照合用顔/姿特徴情報に含まれる目および鼻の相対的な位置関係や身体の輪郭の形状等に基づき、まずその照合用顔/姿特徴情報の生成に用いられた顔/姿データが撮影された際の顔の方向を特定する。
【0081】
例えば、30個の照合用顔/姿特徴情報のうちの1番目の照合用顔/姿特徴情報に関し、その照合用顔/姿特徴情報の生成に用いられた顔/姿データの生成時に被写体が(方位角40度、仰角20度)を向いていたと特定された場合、続いて判定装置32は参照用顔/姿特徴情報群のうち(方位角40度、仰角20度)の顔/姿データより生成された参照用顔/姿特徴情報を抽出する。判定装置32はそのように抽出した参照用顔/姿特徴情報と、1番目の照合用顔/姿特徴情報との間に、所定の閾値以上の類似度が有るか否かを判定する。判定装置32は、所定の閾値以上の類似度を有する顔/姿特徴情報の組が見つかるまで、2〜30番目の照合用顔/姿特徴情報に関して方向の特定および参照用顔/姿特徴情報との比較の処理を繰り返す。
【0082】
このようにすれば、判定装置32は最大でも30組の顔/姿特徴情報に関し比較処理を行うことで、ステップS231の処理を完了することができる。なお、顔が身体の方向と異なる方向を向いた状態で被写体の写真が撮影された場合にも対応するため、顔と身体全体の各々につき、個別に上記の比較処理を行うようにしてもよい。
【0083】
判定装置32は、ステップS231において、端末装置31aの参照用顔/姿特徴情報との間で所定の閾値以上の類似度を有する照合用顔/姿特徴情報の特定に成功した場合(ステップS232;Yes)、人物aは端末装置31aの正当な所有者であると判断される。すなわち、人物aの本人認証が成功したことになる。従って、判定装置32は、ステップS213において一時記憶した基本個人情報の中から、ステップS215において受信した端末識別情報を検索キーとして人物aの基本個人情報を検索した後、人物aの基本個人情報に含まれる氏名・住所が、ステップS202において受信した入館許可人物リストに含まれるか否かを判定する(ステップS233)。
【0084】
人物aの氏名・住所が入館許可人物リストに含まれていた場合(ステップS233;Yes)、判定装置32はメインゲート装置35に対しメインゲートの開放指示を送信する(ステップS234)。この開放指示に応じてメインゲート装置35はメインゲートを開放し、人物aは建物に入ることができる。その場合、判定装置32は、人物aの氏名・住所とステップS234の処理を行った時刻情報とを入館許可情報として社内サーバ装置34に送信する(ステップS235)。
【0085】
一方、人物aの氏名・住所が入館許可人物リストに含まれていなかった場合(ステップS233;No)、判定装置32は発音部323を用いて、例えば「申し訳ございませんが入館が許可されておりません。本館にご用の方は係りの者にお尋ね下さい。」といった音声メッセージを発音する(ステップS236)。その場合、判定装置32は、人物aの氏名・住所とステップS236の処理を行った時刻情報とを入館拒否情報として社内サーバ装置34に送信する(ステップS237)。なお、ステップS235もしくはステップS237で社内サーバ装置34に送信される入館許可情報および入館拒否情報は、この建物の入館者管理に利用される。
【0086】
ステップS231において、端末装置31aの参照用顔/姿特徴情報との間で所定の閾値以上の類似度を有する照合用顔/姿特徴情報の特定に失敗した場合、顔/姿写真に基づく人物aの本人認証は失敗したことになる。ただし、顔/姿写真に基づく生体認証は服装等の影響を受けるため、その精度は必ずしも高くない。従って、判定装置32は、ステップS231における判定に失敗した場合(ステップS232;No)、発音部323を用いて、例えば「申し訳ございませんが本人認証に失敗しました。お手数ですがサブゲート横のボックスに手を入れて下さい。」といった音声メッセージを発音し、人物aに静脈写真に基づく本人認証を促す(ステップS238)。
【0087】
人物aがステップS238における音声メッセージに従いサブゲート横に配置された静脈写真撮影部327のガラス台の上に手のひらをのせると、赤外線センサ3272がそれを検出する。赤外線センサ3272の検出をトリガとしてカメラ3271が人物aの手のひらの静脈写真を撮影し、人物aの手のひらの静脈を示す静脈データを生成する(ステップS239)。判定装置32の制御部221は、カメラ3271により生成された静脈データが示す静脈の特徴を示す静脈特徴情報を生成する(ステップS240)。このように生成される静脈特徴情報は、照合用固有情報の一種である。
【0088】
ステップS239およびステップS240の処理と並行して、判定装置32の対端末装置通信部324が備える第2送信部は十分短い所定の時間間隔で一斉呼出信号(0.5m)を送出している(ステップS251)。人物aがステップS238における音声メッセージに従いサブゲート横に配置された静脈写真撮影部327へ近づき、端末装置31aが第2送信部から約0.5メートルの範囲内に入ると、端末装置31aは一斉呼出信号(0.5m)を受信し、その応答として端末識別情報を端末装置31に送信する(ステップS252)。
【0089】
判定装置32は端末装置31aから受信した端末識別情報をサーバ装置33に送信する(ステップS253)。サーバ装置33は判定装置32から受信した端末識別情報を検索キーとして端末装置31aに対応する共通鍵を検索し、検索した端末装置31aの共通鍵を判定装置32に送信する(ステップS254)。続いて、判定装置32は端末装置31aに暗号化基本個人情報および暗号化基本固有情報の送信要求を送信し(ステップS255)、端末装置31aはその送信要求に応じて暗号化基本固有情報および暗号化基本個人情報を判定装置32に送信する(ステップS256)。
【0090】
判定装置32はステップS254において受信した共通鍵を用いて、ステップS256において受信した暗号化基本固有情報および暗号化基本個人情報を復号化し、参照用基本固有情報および基本個人情報を生成する(ステップS257)。判定装置32は、ステップS240で生成した静脈特徴情報(照合用静脈特徴情報)と、ステップS257で生成した参照用基本固有情報に含まれる複数の静脈特徴情報(参照用静脈特徴情報)の各々とを比較し、それらの類似度が所定の閾値以上であるか否かを判定する(ステップS261)。
【0091】
判定装置32は、ステップS261において、複数の参照用静脈特徴情報の中に照合用静脈特徴情報との間で所定の閾値以上の類似度を有するものが有ると判定した場合(ステップS262;Yes)、人物aは端末装置31aの正当な所有者であると判断される。すなわち、人物aの本人認証が成功したことになる。従って、判定装置32は、ステップS257において生成した人物aの基本個人情報に含まれる氏名・住所が、ステップS202において受信した入館許可人物リストに含まれるか否かを判定する(ステップS263)。
【0092】
人物aの氏名・住所が入館許可人物リストに含まれていた場合(ステップS263;Yes)、判定装置32はサブゲート装置36に対しサブゲートの開放指示を送信する(ステップS264)。この開放指示に応じてメインゲート装置35はメインゲートを開放し、人物aは建物に入ることができる。その場合、判定装置32は、人物aの氏名・住所とステップS264の処理を行った時刻情報とを入館許可情報として社内サーバ装置34に送信する(ステップS265)。
【0093】
一方、人物aの氏名・住所が入館許可人物リストに含まれていなかった場合(ステップS263;No)、判定装置32は発音部323を用いて、例えば「申し訳ございませんが入館が許可されておりません。本館にご用の方は係りの者にお尋ね下さい。」といった音声メッセージを発音する(ステップS266)。その場合、判定装置32は、人物aの氏名・住所とステップS266の処理を行った時刻情報とを入館拒否情報として社内サーバ装置34に送信する(ステップS267)。なお、ステップS265もしくはステップS267で社内サーバ装置34に送信される入館許可情報および入館拒否情報は、この建物の入館者管理に利用される。
【0094】
[1.4.本人認証システムの第2実施例]
以下に、本発明にかかる本人認証システムの他の一実施例として、本発明にかかる本人認証システムを入国審査に利用した入国審査システム5の構成および動作を説明する。
【0095】
[1.4.1.構成]
図16は入国審査システム5の全体構成を模式的に示した図である。入国審査システム5は入国審査を受ける人物が携帯する端末装置51と、入国審査を受ける人物の本人認証を行うとともに本人認証に成功した場合にその人物の個人情報を入国審査官に閲覧可能とする判定装置52と、あらゆる端末装置51の各々に関し固有情報および個人情報を暗号化・復号化する鍵を生成・管理するサーバ装置53と、入出国の履歴およびビザ(査証)の情報を管理する入出国管理サーバ装置54と、入国希望者の通過を制御するためのゲート装置55とを備えている。端末装置51と判定装置52は無線通信可能であり、判定装置52とサーバ装置53の間および判定装置52と入出国管理サーバ装置54の間は、インターネットを介して、VPNで保護された通信が可能である。
【0096】
開門システム3においては、例として、公開鍵方式が採用されているものとする。開門システム3において、端末装置51およびサーバ装置53は基本登録システム2による初期登録を完了している。
【0097】
端末装置51の構成およびサーバ装置53の構成は、基本登録システム2の端末装置21の構成(図3参照)およびサーバ装置23の構成(図6参照)と同様である。判定装置52の構成は、開門システム3の判定装置32の構成(図11参照)とほぼ同じであるが、判定装置52は判定装置32が備える発音部323を備えていない。入国審査においては、入国審査官が必要なメッセージを口頭で伝えることができるため発音部323は必要ないためである。また、判定装置52は判定装置32が備える対メインゲート装置送信部328および対サブゲート装置送信部329に代えて、対ゲート装置送信部を備えている。入国審査においては入国者が通過するゲートは1つでよいためである。
【0098】
また、判定装置52は、プログラムに従った処理により、端末装置51から受信した公開鍵を用いて追加個人情報および追加固有情報を暗号化する暗号部としても機能する。
【0099】
[1.4.2.動作]
以下に入国審査システム5の動作を説明する。例として、端末装置51Bを携帯する人物bがX国に入国予定であるものとする。人物bは、通常、予め自国内のX国大使館にてビザの発給を受けておく必要がある。X国大使館には、本発明にかかる本人認証システムを利用したビザ発給システムが設置されており、人物bは端末装置51Bに記憶されている暗号化基本固有情報を用いた本人認証を受ける。
【0100】
人物bが端末装置51Bの正当な所有者である人物Bであることが確認された後、X国大使館のビザ発給官は所定の審査を行い、人物BのX国への入国に問題がないと判断すると、ビザ発給システムを用いて、端末装置51Bに記憶されている暗号化基本個人情報より生成された人物Bの基本個人情報を、人物Bに対し発給するビザ番号とともに、入出国管理サーバ装置54に送信する。
【0101】
入出国管理サーバ装置54に対するビザ番号の送信に伴い、ビザ発給システムは、端末装置51Bに記憶されている公開鍵を用いて人物Bに発給したビザ番号を暗号化した後、端末装置51Bおよびサーバ装置53に送信する。端末装置51Bおよびサーバ装置53は、ビザ発給システムより受信した暗号化されたビザ番号を、端末装置51Bに関する暗号化された追加個人情報として登録する。以下、暗号化された追加個人情報を「暗号化追加個人情報」と呼ぶ。また、追加個人情報の種類を区別するため、例えばビザ番号に関する追加個人情報を「追加個人情報(ビザ番号)」のように呼び、それらが暗号化されたものを、「暗号化追加個人情報(ビザ番号)」のように呼ぶ。
【0102】
入国審査システム5においては、追加個人情報(ビザ番号)に加え、追加個人情報(犯罪歴)、追加個人情報(入出国履歴)が利用される。従って、端末装置51Bには、暗号化基本個人情報およびX国大使館にて登録を受けた暗号化追加個人情報(ビザ番号)に加え、人物Bの犯罪歴を示す暗号化追加個人情報(犯罪歴)と、人物Bの入出国履歴を示す暗号化追加個人情報(入出国履歴)が記憶されているものとする。
【0103】
人物Bは、X国大使館においてビザ発給を受けた後、X国に渡航し、X国の入国審査を受ける。人物Bが入国審査を受ける際の入国審査システム5の動作フローのうち、端末装置の所持者の本人認証に関する部分は、開門システム3に関し図12〜図15に示したフローのステップS203〜ステップS232およびステップS239〜ステップS262とほぼ同様である。入国審査システム5の本人認証の動作フローが、図12〜図15に示した動作フローと異なる点は、ステップS210〜ステップS213およびステップS255〜ステップS257において、暗号化基本個人情報に加え、暗号化追加個人情報(ビザ番号)、暗号化追加個人情報(犯罪歴)および暗号化追加個人情報(入出国履歴)が送受信・一時記憶される点のみである。
【0104】
入国審査システム5による本人認証が失敗し、端末装置51Bの所持者が端末装置51Bの正当な所有者でないと判定された場合、端末装置51Bの所持者は入国拒否をされるか、もしくは入国審査官等によりさらに詳しい調査を受けることになる。一方、入国審査システム5による本人認証が成功し、人物Bが端末装置51Bの正当な所有者であると判定された場合、入国審査システム5は人物Bの個人情報の表示、追加個人情報(入出国履歴)の更新などの処理を行う。
【0105】
図17は人物Bの本人認証が成功した後の入国審査システム5の動作を示したフロー図である。判定装置52は、人物Bの基本個人情報を入出国管理サーバ装置54に送信する(ステップS501)。入出国管理サーバ装置54は、受信した基本個人情報を検索キーとして人物Bに発給されているビザ番号を検索した後、検索したビザ番号を判定装置52に送信する(ステップS502)。判定装置52は入出国管理サーバ装置54から受信したビザ番号と、端末装置51Bから受信した暗号化追加個人情報(ビザ番号)を復号化して得られた追加個人情報(ビザ番号)により示されるビザ番号とを照合する(ステップS503)。
【0106】
判定装置52は、人物Bの基本個人情報、追加個人情報(ビザ番号)、追加個人情報(犯罪歴)、追加個人情報(入出国履歴)、およびステップS503の照合結果を表示部に表示する(ステップS504)。
【0107】
入国審査官は判定装置52の表示部に表示された情報に基づき、人物Bの入国を許可するか否かを判断する。入国審査官により人物Bの入国が拒否された場合(ステップS505;No)、判定装置52は人物Bの基本個人情報と現在の時刻情報を含む入国拒否情報を入出国管理サーバ装置54に送信する(ステップS506)。また、入国審査官により人物Bの入国が許可された場合(ステップS505;Yes)、判定装置52は人物Bの基本個人情報と現在の時刻情報を含む入国許可情報を入出国管理サーバ装置54に送信する(ステップS507)。入出国管理サーバ装置54に送信された入国許可情報および入国拒否情報は、現在の入国者を把握するために利用される他、例えばビザ発給システムに送信され、将来のビザ発給時に利用される。
【0108】
人物Bの入国が許可された場合、判定装置52は追加個人情報(入出国履歴)にX国への入国を示す情報を追加することにより、追加個人情報(入出国履歴)を更新する(ステップS508)。続いて、判定装置52は端末装置51Bに対し、公開鍵の送信要求を送信する(ステップS509)。端末装置51Bは、公開鍵の送信要求に応じて、公開鍵を判定装置52に送信する(ステップS510)。判定装置52は、端末装置51Bから公開鍵を受信すると、ステップS509で更新した追加個人情報(入出国履歴)を受信した公開鍵で暗号化し、暗号化追加個人情報(入出国履歴)を生成する(ステップS511)。
【0109】
さらに、判定装置52は人物Bの本人認証時に生成した照合用固有情報、すなわち現在の人物Bを撮影して得られた顔/姿写真および静脈写真から生成した顔/姿特徴情報および静脈特徴情報を、ステップS510において受信した公開鍵で暗号化する(ステップS512)。ステップS512で暗号化される固有情報は、将来の本人認証において参照用固有情報として利用される追加固有情報である。以下、暗号化された追加固有情報を暗号化追加固有情報と呼ぶ。
【0110】
追加固有情報は、登録専門機関以外の組織により管理されるシステムによって、本人認証の処理に伴い取得された生体情報であるため、基本固有情報と比べ信頼性が低いが、基本固有情報よりも新しい生体情報である。従って、例えば登録専門機関における登録時から経年により顔の輪郭等に変化が生じている場合など、本人であるのにしばしば顔/姿特徴情報に基づく本人認証に失敗するような場合に、追加固有情報を補助的に利用することで、そのような本人認証の失敗を低減することができる。
【0111】
例えば、駅の改札に要する本人認証においては高い信頼性よりも速い処理速度が求められる。従って、頻繁に顔/姿特徴情報に基づく本人認証に失敗し、静脈特徴情報を用いた本人認証の必要が生じる本人認証システムは実用的でない。従って、基本固有情報に含まれる顔/姿特徴情報による本人認証に失敗した場合でも、追加固有情報に含まれる顔/姿特徴情報による本人認証に成功した場合には改札を開くようにすることで、本発明にかかる本人認証システムの実用性を高めることができる。一方、入出国審査のように本人認証に高い信頼性が求められる場合には、追加固有情報は用いないなど、求められるセキュリティレベルに応じて基本固有情報と追加固有情報の使い分けが行われることが望ましい。
【0112】
判定装置52は、ステップS511で生成した暗号化追加個人情報(入出国履歴)およびステップS512で生成した暗号化追加固有情報を端末装置51Bに送信する(ステップS513)。端末装置51Bは受信した暗号化追加個人情報(入出国履歴)および暗号化追加固有情報を不揮発性記憶部に保存する(ステップS514)。
【0113】
また、判定装置52は、ステップS511で生成した暗号化追加個人情報(入出国履歴)およびステップS512で生成した暗号化追加固有情報をサーバ装置53に送信する(ステップS515)。サーバ装置53は受信した暗号化追加個人情報(入出国履歴)および暗号化追加固有情報を端末装置51Bの端末識別情報に対応付けて、不揮発性記憶部に保存する(ステップS516)。
【0114】
以上の一連の処理が完了すると、入国審査官は判定装置52の操作部を操作し、ゲートの開放を指示する。その操作に応じて、判定装置52はゲート装置55に対しゲートの開放指示を送信し(ステップS517)、ゲート装置55は判定装置52から受診した開放指示に従いゲートを開く。その結果、人物BはX国に入国することができる。
【0115】
[1.5.端末装置の情報の修復]
本発明にかかる本人認証システムにおいて本人認証を行うためには、暗号化固有情報および暗号化個人情報、そして公開鍵方式が採用される場合の公開鍵は、各々の端末装置に保存されていればよく、サーバ装置においてその複製を保存しておく必要はない。しかしながら、上述した基本登録システム2、開門システム3および入国審査システム5において示したように、サーバ装置に端末装置に記憶されている情報の複製を保存しておくと、何らかの理由で端末装置に保存されていた情報が破損・消失した場合に、容易にその情報の修復を行うことができ、本発明にかかる本人認証システムの利便性を高めることができる。
【0116】
[1.5.1.動作]
サーバ装置に保存されている情報を用いた端末装置の情報の修復は、登録専門機関において基本登録システム2を用いて実行可能である。ただし、情報修復に際して、サーバ装置23は、プログラムに従った処理により、不揮発性記憶部233に保存されている暗号化固有情報および暗号化個人情報を復号化する復号部としても機能する。以下、人物cにより登録専門機関に持ち込まれた端末装置21Cの情報修復が行われる場合の基本登録システム2の動作を説明する。
【0117】
図18〜図20は、端末装置21の情報を修復する際の基本登録システム2の動作を示したフロー図である。基本登録システム2のオペレータの操作に応じて、登録用判定装置22は端末装置21Cに対し、端末識別情報の送信要求を送信する(ステップS601)。端末装置21Cは登録用判定装置22からの送信要求に応じて、ROM212に保存されている端末識別情報を登録用判定装置22に送信する(ステップS602)。
【0118】
登録用判定装置22は、端末装置21から端末識別情報の受信に成功したか否かを判定する(ステップS603)。例えば端末装置21Cが落下等により故障し、端末識別情報の読み出し・送信が正しく行えない場合があるためである。端末装置21Cが端末装置21Cから端末識別情報の受信に失敗した場合(ステップS603;No)、登録用判定装置22の表示部225は端末装置21の所持者の氏名・住所の入力を促す画面を表示する(ステップS604)。オペレータはステップS604の表示に従い、人物cに氏名・住所を尋ね、人物cが答えた氏名・住所を登録用判定装置22に入力した後、入力完了操作を行う(ステップS605)。入力完了操作に応じて、登録用判定装置22は入力された氏名・住所をサーバ装置23に送信する(ステップS606)。
【0119】
端末装置21Cが端末装置21Cから端末識別情報の受信に成功した場合(ステップS603;Yes)、登録用判定装置22は受信した端末識別情報をサーバ装置23に送信する(ステップS607)。
【0120】
サーバ装置23は、既述のように、不揮発性記憶部233に複数の端末識別情報に対応付けて共通鍵もしくは秘密鍵・公開鍵のペアと、暗号化固有情報(暗号化基本固有情報と暗号化追加固有情報)と、暗号化個人情報(暗号化基本個人情報と暗号化追加個人情報)とを記憶している。以下、端末識別情報に対応付けて記憶されているこれらの情報の各々を「端末情報」と呼ぶ。
【0121】
サーバ装置23は、ステップS606もしくはステップS607で登録用判定装置22から受信した情報が端末識別情報であるか否かを判定する(ステップS608)。登録用判定装置22から受信した情報が端末識別情報であった場合(ステップS608;Yes)、サーバ装置23は不揮発性記憶部233に保存されている複数の端末情報の中から、受信した端末識別情報に対応する端末情報を検索する(ステップS609)。続いて、サーバ装置23は、ステップS609において検索した端末情報に含まれる暗号化基本固有情報を、同じく検索した端末情報に含まれる共通鍵または秘密鍵で復号化する(ステップS610)。ステップS609の復号化により、端末装置21Cに対応する参照用基本固有情報が得られる。
【0122】
一方、登録用判定装置22から受信した情報が端末識別情報でなかった場合(ステップS608;No)、サーバ装置23は不揮発性記憶部233に保存されている複数の端末情報の中から、例えば端末識別情報のアルファベット順の最初から順に1つ選択し、選択した端末情報に含まれる暗号化基本個人情報を、同じく選択した端末情報に含まれる秘密鍵で復号化する(ステップS611)。続いて、サーバ装置23は、ステップS611の復号により得られた基本個人情報に含まれる氏名・住所と、ステップS606で受信した氏名・住所とが一致するか否かを判定する(ステップS612)。
【0123】
ステップS612の判定で登録用判定装置22から受信した氏名・住所と復号化により得られた氏名・住所とが一致しなかった場合(ステップS612;No)、サーバ装置23は不揮発性記憶部233に保存されている複数の端末情報の中から次の端末情報を選択し、選択した端末情報に関しステップS611およびステップS612を繰り返す。
【0124】
ステップS612の判定で登録用判定装置22から受信した氏名・住所と復号化により得られた氏名・住所とが一致した場合(ステップS612;Yes)、その氏名・住所を含んでいた端末情報に含まれる暗号化基本固有情報を、同じくその端末情報に含まれる共通鍵もしくは秘密鍵で復号化する(ステップS613)。ステップS613の復号化により、人物cが述べた氏名・住所に対応する参照用基本固有情報が得られる。サーバ装置23は、ステップS610もしくはステップS613で復号化により得られた参照用基本固有情報を登録用判定装置22に送信する(ステップS614)。
【0125】
登録用判定装置22は、サーバ装置23から参照用基本固有情報を受信すると、人物cの顔/姿写真群および静脈写真群を撮影し、人物cの照合用固有情報を取得する。この照合用固有情報の取得の処理(ステップS615〜ステップS620)は、図7〜図9を用いて示した基本登録システム2による登録処理におけるステップS125〜ステップS130(もしくは、ステップS109〜ステップS114)と同様である。
【0126】
登録用判定装置22は、ステップS614においてサーバ装置23から受信した参照用基本固有情報と、ステップS617およびステップS620で生成した照合用固有情報(照合用の顔/姿特徴情報群と静脈特徴情報群)とを比較し、それらの情報間に所定の閾値以上の類似度が有るか否かを判定する(ステップS621)。
【0127】
ステップS621の判定において固有情報の間に所定の閾値以上の類似度がないと判定された場合(ステップS621;No)、人物cは端末装置21Cの正当な所有者ではないか、もしくは人物cが述べた氏名・住所に誤りがあることになり、基本登録システム2による情報の修復は行われない。一方、ステップS621の判定において固有情報の間に所定の閾値以上の類似度があると判定された場合(ステップS621;Yes)、人物cは端末装置21Cの正当な所有者であるか、もしくは人物cが述べた氏名・住所に誤りがなかったことが確認されたことになる。従って、登録用判定装置22は表示部225に本人認証成功を示す画面を表示する(ステップS622)。
【0128】
先のステップS604において氏名・住所の入力を促す画面の表示がなされた場合、端末装置21Cのハードウェアに何らかの故障があるため、登録用判定装置22のオペレータは故障している端末装置21Cを破棄し、それに変わる新しい端末装置21Cを準備する。
【0129】
端末装置21Cの交換が行われなかった場合(ステップS623;No)、基本登録システム2のオペレータの所定の操作に応じて、登録用判定装置22はステップS602で端末装置21Cから受信した端末識別情報をサーバ装置23に送信する(ステップS624)。
【0130】
一方、端末装置21Cの交換が行われた場合(ステップS623;Yes)、基本登録システム2のオペレータの所定の操作に応じて、登録用判定装置22は新しい端末装置21Cに対し端末識別情報の送信要求を送信し(ステップS625)、新しい端末装置21Cはその送信要求に応じて、ROM212に保存されている端末識別情報を登録用判定装置22に送信する(ステップS626)。登録用判定装置22はステップS626で新しい端末装置21Cから受信した端末識別情報を、ステップS605で入力された氏名・住所とともにサーバ装置23に送信する(ステップS627)。
【0131】
サーバ装置23は、ステップS624もしくはステップS627において登録用判定装置22から受信した情報に氏名・住所が含まれるか否かを判定する(ステップS628)。ステップS628において氏名・住所が含まれないと判定した場合(ステップS628;No)、サーバ装置23はステップS609において検索した端末情報の端末識別情報がステップS624において受信した端末識別情報と一致していることを確認した後、その端末情報に含まれる共通鍵もしくは秘密鍵を除く全ての情報を、登録用判定装置22に送信する(ステップS629)。
【0132】
一方、ステップS628において氏名・住所が含まれていると判定した場合(ステップS628;Yes)、サーバ装置23はステップS612において氏名・住所の一致をみた端末情報に含まれる氏名・住所がステップS627において受信した氏名・住所と一致することを確認した後、当該端末情報が対応付けられている端末識別情報(すなわち、古い端末装置21Cの端末識別情報)を、ステップS627において受信した端末識別情報(すなわち新しい端末装置21Cの端末識別情報)に書き換える(ステップS630)。そして、サーバ装置23は、書き換えた端末識別情報に対応付けられている端末情報に含まれる共通鍵もしくは秘密鍵を除く全ての情報を、登録用判定装置22に送信する(ステップS629)。
【0133】
登録用判定装置22は、ステップS629においてサーバ装置23から受信した情報を端末装置21Cに送信し(ステップS631)、端末装置21Cは登録用判定装置22から受信した情報を不揮発性記憶部214に保存する(ステップS632)。以上により、端末装置21Cの修復が完了する。
【0134】
以上のように、端末装置が個々に保存している暗号化固有情報および暗号化個人情報の複製をサーバ装置にも保存しておくことにより、本発明にかかる本人認証システムの利用者は、端末装置が故障した場合には新しい端末装置に、また端末装置には故障がないが保存されていた情報に破損等が生じた場合にはそれまで使用していた端末装置に、いつでも自分に関する暗号化固有情報および暗号化個人情報を復元することができる。
【0135】
[2.変形例]
上述した実施形態は、本発明の技術的思想の範囲で様々に変形することができる。また、上述した実施形態において用いられている具体的な数値は説明のための例示であって、それらの数値により本発明が限定的に解釈されるべきではない。以下に変形例を示す。
【0136】
上述した実施形態における動作フローに含まれる多くのステップは、その時間的な前後関係を入れ替えても同様の結果を得ることができ、それらの変更は本発明の技術的思想の範囲内である。例えば、図17のステップS513とステップS515はいずれが先であっても構わない。
【0137】
上述した実施形態で採用されている暗号化方式は例示であって、本発明の実施においていずれの暗号化方式が採用されてもよい。例えば共通鍵方式と公開鍵方式とが組み合わせて用いられてもよいし、鍵をさらに他の鍵で暗号化してセキュリティを高める方式、多段階の暗号化・復号化を行う方式等が採用されてもよい。また、暗号化の強度を高めるために、定期的に鍵を入れ替えたり、情報の更新時に以前に用いた鍵と異なる鍵を用いて暗号化のやり直しを行ったりしてもよい。
【0138】
上述した実施形態においては、1つの端末装置に関し用いられる共通鍵もしくは秘密鍵と公開鍵のペアは1つであるものとしたが、それに限られず、情報の種別に応じて異なる鍵または鍵ペアを用いるようにしてもよい。図21は、本発明にかかる本人認証システムにおいて公開鍵方式を採用し、情報の種別ごとに鍵を異ならせる場合の端末装置61およびサーバ装置63に保存される情報を模式的に示した図である。本発明にかかる本人認証システムにおいて共通鍵方式を採用する場合には、図21に示される端末装置61は公開鍵を記憶せず、サーバ装置63は秘密鍵・公開鍵のペアの代わりに共通鍵を記憶するように構成すればよい。
【0139】
情報の種別ごとに異なる鍵が割り当てられる場合、端末装置61およびサーバ装置63において、各情報および鍵はそれらを他の情報および鍵から識別するための情報種別識別情報に対応付けられて保存されている。図21の例において、例えば暗号化静脈特徴情報とその情報に割り当てられた公開鍵(もしくは秘密鍵・公開鍵のペア)は、情報種別識別情報「002」により識別される。
【0140】
情報の種別ごとに異なる鍵が割り当てられる場合、判定装置62を、その判定装置62の処理に必要最小限の種別の情報のみを端末装置61から受信し、それらの情報を復号化するための鍵のみをサーバ装置63から受信するように構成することで、不要な情報が不用意に判定装置62において復号化される不都合を回避することができる。
【0141】
例えば、判定装置62が基本固有情報の顔/姿特徴情報のみを用いて本人認証を行い、個人情報として氏名、年齢、性別および既往歴の閲覧を必要とする場合、判定装置62は端末装置61およびサーバ装置63に、情報種別識別情報として001、003、005、006、208を送信する。端末装置61は判定装置62から受信した情報種別識別情報を検索キーとして検索される情報を判定装置62に送信する。サーバ装置63は判定装置62から受信した情報種別識別情報を検索キーとして検索される秘密鍵を判定装置62に送信する。判定装置62は端末装置61から受信した情報をサーバ装置63から受信した秘密鍵で復号化し、処理に必要な情報を得る。
【0142】
なお、情報の種別ごとに異なる鍵が割り当てられる場合、新たな種別の追加個人情報の登録を要する場合や、新たに追加固有情報の登録を行う場合等において、それらの情報が判定装置62において暗号化される場合、判定装置62はサーバ装置63に対し情報種別識別情報および鍵生成の要求を行う。サーバ装置63はその要求に応じて、新たな情報種別識別情報および鍵(または鍵ペア)を生成し、生成した情報種別識別情報と暗号鍵(公開鍵もしくは共通鍵)を判定装置62に送信する。公開鍵方式を採用したシステムにおいて、端末装置61において追加個人情報等の暗号化が行われる場合においても、同様に、端末装置61は判定装置62を介してサーバ装置63から情報種別識別情報と公開鍵を取得する。判定装置62もしくは端末装置61は、そのようにサーバ装置63から取得した暗号鍵を用いて、追加個人情報等の暗号化を行う。以上が情報の種別ごとに異なる鍵の割り当てを行う本発明の実施形態の変形例の説明である。
【0143】
さらに、他の変形例を示す。上述した実施形態における動作フローに含まれる一部のステップは、技術的な意義を失うことなく他の処理で代替可能であり、それらの変更もまた、本発明の技術的思想の範囲内である。
【0144】
例えば、上述した実施形態においては、サーバ装置に記憶される固有情報および個人情報は暗号化された状態で保存されているものとして説明したが、暗号化されない状態で保存しておき、端末装置の情報修復等のために暗号化を要する際に暗号化するように構成してもよい。また、固有情報または個人情報が暗号化される場所は判定装置であってもサーバ装置であってもよい。さらに、公開鍵方式が採用される場合には、固有情報または個人情報が端末装置において公開鍵により暗号化されてもよい。その場合、端末装置の制御部は、プログラムに従った処理により、暗号化部としても機能する。また、固有情報または個人情報が復号化される場所は判定装置であってもサーバ装置であってもよい。また、端末装置とサーバ装置がともに公開鍵を保存している場合、判定装置はいずれの装置から公開鍵を取得してもよい。
【0145】
本発明においては、端末装置に保存される個人情報を復号化可能な復号鍵を端末装置には一切渡さないことを原則としている。しかしながら、例えば端末装置の所有者の趣味情報など、第三者による確認を要さない個人情報については、仮に端末装置において復号化がなされても問題はない。従って、サーバ装置は個人情報の種類ごとに異なる共通鍵を生成し、第三者による確認を要さない個人情報については、サーバ装置から送信された共通鍵を用いて、端末装置がその個人情報を暗号化してもよい。そのように暗号化された個人情報は、サーバ装置に送信され保存される。
【0146】
上述した実施形態においては、ある人物の鍵、固有情報、個人情報等を他の人物のそれらから識別するための識別情報として、端末装置のROMに予め記憶されている識別情報が利用されているが、本発明において利用可能な識別情報はそれに限られない。例えば、端末装置の本体に着脱可能に接続されるフラッシュメモリカード等の記録媒体に暗号化固有情報、暗号化個人情報等を記憶させるようにして、当該記録媒体に固有の識別情報を端末識別情報に代えて用いてもよい。
【0147】
また、例えばサーバ装置が初期登録時に任意の識別情報を端末装置もしくは端末装置の所有者に割り当て、端末装置が割り当てられた識別情報を不揮発性記憶部に記憶し、端末識別情報に代えて用いてもよい。その場合、もしユーザ等により識別情報が書き換えられると、そのユーザは本発明にかかる本人認証システムを利用できなくなるが、固有情報や個人情報が他に漏洩することはなく、そのユーザでない者がそのユーザになりすますこともできないので、端末装置のROM等に書き換え不可能な状態で記憶されている識別情報を用いる場合と比べ、セキュリティレベルが下がることはない。
【0148】
上述した実施形態において、端末装置はPHSの仕様に準拠した無線携帯端末であるものとしたが、それに限られない。例えば利便性が多少損なわれるが、端末装置を通信ケーブルにて判定装置に接続し、端末装置と判定装置との間で有線通信を行わせる構成としてもよい。また、判定装置とサーバ装置との間の通信方式もインターネットを介したものに限られない。例えば、それらの装置が専用線で通信接続されていてもよい。
【0149】
上述した実施形態においては、複数の端末装置の中から本人認証の対象となる人物が所持している端末装置を特定する方法として、電波強度の異なる一斉呼出信号を用いる方法が採用されているが、それに限られない。例えば、ゲート前の最前列に立った者が自分の所持する端末装置を操作して、識別情報を判定装置に送信させるようにしてもよい。
【0150】
本発明にかかる本人認証システムを構成する端末装置、判定装置およびサーバ装置は、各々の装置が有する制御部がプログラムに従った処理を行うことにより本発明にかかる本人認証システムの構成装置として機能するものとして説明したが、制御部により実現される機能構成部の各々をハードウェアにより各装置に実装させるようにしてもよい。
【0151】
上述した実施形態においては、判定装置(または登録用判定装置)は顔/姿写真撮影部および静脈写真撮影部を構成要素として備えるものとしたが、本発明にかかる判定装置はそれらの手段を構成要素として備えず、外部の撮影装置から顔/姿データや静脈データといった情報を取得し、それらの取得した情報を用いて顔/姿特徴情報や静脈特徴情報といった固有情報を生成するようにしてもよいし、外部装置により生成された顔/姿特徴情報や静脈特徴情報といった固有情報を受信部により単に取得するようにしてもよい。
【0152】
上述した実施形態においては、参照用固有情報と照合用固有情報との比較による本人認証に成功した場合、その人物の基本個人情報(氏名および住所)を用いてその後の処理(具体的にはゲートの開放)の是非判定を行うものとした。しかしながら、本人認証に成功した後の処理において必ずしも個人情報(基本個人情報を含む)が利用される必要はない。例えば第1実施例において、入館許可人物リストに入館の許可された人物の氏名・住所に代えて、それらの人物の端末識別情報を含めるようにし、本人認証に成功した人物の端末識別情報が入館許可人物リストに含まれるか否かによりゲートの開放の是非を判定する構成としてもよい。そのような構成とする場合、個人情報は不要となる。本人認証後の処理において個人情報を用いない場合、何らかの事故による個人情報の漏洩を防止することができる。
【0153】
上述した実施形態においては、固有情報として生体情報が利用される例を示した。しかしながら、本発明において利用可能な固有情報は生体情報に限られず、例えば正当な所有者のみが知るパスワードを生体情報に代えて、もしくは生体情報に加えて、本発明において利用してもよい点は既述のとおりである。パスワードは生体情報と比較し漏洩すると他人のなりすましが可能であるが、生体情報を用いる場合よりも参照用固有情報および照合用固有情報の生成が容易、それらの情報のサイズが一般的に小さくて済む、それらの情報の比較が容易かつ正確に行える、といったメリットがある。従って、本人認証の精度が低くてもさほど問題とならない実施例においては、生体情報に代えてパスワードを固有情報として利用する方が望ましい場合がある。また、生体情報を用いた本人認証の精度の低さを補完するため、パスワードによる本人認証を併用する方が望ましい場合もある。
【0154】
本発明においてパスワードを固有情報として用いる場合、予め端末装置に暗号化されて記憶されているパスワードと、端末装置の所持者が入力するパスワードとの一致が判定装置により判定され、その判定結果に基づき本人認証の成功・不成功が決することになる。端末装置の所持者がパスワードを入力するための操作手段は、例えば端末装置が備えるキーパッド等の操作部であってもよいし、判定装置に接続もしくは内蔵されているキーボード等の操作部であってもよい。
【0155】
例えば、第1実施例において生体情報の代わりにパスワードを用いる場合の一例を説明する。端末装置の所持者は、例えばゲートに近づくかなり手前から、端末装置に対しパスワードを入力しておくことができる。所持者によるパスワードの入力があった場合、端末装置は入力されたパスワードを所定の期間(例えば3分間)、揮発性記憶部に一時的に記憶する。端末装置が例えばゲートの手前約5メートルの位置に達すると、端末装置は判定装置から送出される一斉呼出信号(5m)に応答し、揮発性記憶部にパスワードが記憶されていれば、そのパスワードを判定装置に送信する。一方、揮発性記憶部にパスワードが記憶されていない場合、端末装置は表示部にパスワードの入力を促すメッセージを表示する。端末装置の所持者がそのメッセージに応じて端末装置にパスワードを入力すると、入力されたパスワードが端末装置から判定装置に送信される。判定装置はそのように端末装置から送信されたパスワードを取得し、照合用固有情報として利用する。
【0156】
また、ゲート前には判定装置に接続されたキーボードが配置されている。端末装置の所持者は、上述したように端末装置へパスワードを入力する代わりに、ゲート前のキーボードにパスワードを入力することもできる。端末装置の所持者がゲート前のキーボードを用いて入力したパスワードは判定装置において照合用固有情報として利用される。このような構成とした場合、ユーザは端末装置にパスワードを入力して、スムーズにゲートを通過することもできるし、ゲート前のキーボードにパスワードを入力して、例えば鞄から端末装置を取り出す手間を省くこともできる。
【0157】
本発明にかかる端末装置およびサーバ装置は通信機能を有する一般的なコンピュータにプログラムを実行させることにより実現されてもよい。また、本発明にかかる判定装置は、通信機能を有する一般的なコンピュータに顔/姿写真撮影部および静脈写真撮影部等の固有情報取得のための装置を接続し、そのコンピュータにプログラムを実行させることにより実現されてもよい。本発明は、そのようにコンピュータにより実行され、本発明にかかる端末装置、判定装置、サーバ装置を実現するためのプログラムも提供する。また、本発明は、そのようにコンピュータにより実行され、本発明にかかる端末装置、判定装置、サーバ装置を実現するためのプログラムをコンピュータに読み取り可能に記録した記録媒体も提供する。さらに、本発明は、上述した本人認証システムにより実行される本人認証のための方法も提供する。
【0158】
[3.補足説明]
本発明は、端末装置の保持者と端末装置との組み合わせが正当であるか否かを、端末装置の正当な所有者の固有情報を用いて認証する技術に関する。従って、本発明において、ある人物の鍵、固有情報、個人情報等を他の人物のそれらから識別するための識別情報は、端末装置に固有の識別情報であると同時に端末装置の正当な保有者に固有の識別情報でもある。すなわち、本発明において、そのような識別情報を端末装置を識別する端末識別情報と捉えても、端末装置の所有者を識別するユーザ識別情報と捉えても、それらの間に技術的な差異はない。仮に一人のユーザが複数の端末装置を所有する場合、データの整合性を保つためにはそれら複数の端末装置に関する鍵、固有情報、個人情報等は同期される必要があり、それらの端末装置ごとに異なる端末識別情報が割り当てられ、それらが関連付けられていることと、同じユーザが所有する異なる端末装置に対し同じユーザ識別情報が割り当てられていることとは、等価である。
【図面の簡単な説明】
【0159】
【図1】本発明の実施形態にかかる本人認証システムの基本構成を示した図である。
【図2】本発明の実施形態にかかる基本登録システムの構成を模式的に示した図である。
【図3】本発明の実施形態にかかる端末装置の構成を模式的に示した図である。
【図4】本発明の実施形態にかかる登録用判定装置の構成を模式的に示した図である。
【図5】本発明の実施形態にかかる顔/姿写真撮影部のカメラ群が配置されるカメラ設置台の形状を模式的に示した図である。
【図6】本発明の実施形態にかかるサーバ装置の構成を模式的に示した図である。
【図7】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図8】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図9】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図10】本発明の実施形態にかかる開門システムの構成を模式的に示した図である。
【図11】本発明の実施形態にかかる判定装置の構成を模式的に示した図である。
【図12】本発明の実施形態にかかる開門システムの動作を示したフロー図である。
【図13】本発明の実施形態にかかる開門システムの動作を示したフロー図である。
【図14】本発明の実施形態にかかる開門システムの動作を示したフロー図である。
【図15】本発明の実施形態にかかる開門システムの動作を示したフロー図である。
【図16】本発明の実施形態にかかる入国審査システムの全体構成を模式的に示した図である。
【図17】本発明の実施形態にかかる入国審査システムの動作を示したフロー図である。
【図18】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図19】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図20】本発明の実施形態にかかる基本登録システムの動作を示したフロー図である。
【図21】本発明の実施形態の一変形例において端末装置およびサーバ装置に保存される情報を模式的に示した図である。
【符号の説明】
【0160】
1…本人認証システム、2…基本登録システム、3…開門システム、5…入国審査システム、11…端末装置、12…判定装置、13…サーバ装置、21…端末装置、22…登録用判定装置、23…サーバ装置、31…端末装置、32…判定装置、33…サーバ装置、34…社内サーバ装置、35…メインゲート装置、36…サブゲート装置、51…端末装置、52…判定装置、53…サーバ装置、54…入出国管理サーバ装置、55…ゲート装置、61…端末装置、62…判定装置、63…サーバ装置、111…ROM、112…不揮発性記憶部、121…固有情報取得部、122…揮発性記憶部、131…不揮発性記憶部、211…制御部、212…ROM、213…揮発性記憶部、214…不揮発性記憶部、215…送信部、216…受信部、217…操作部、218…表示部、221…制御部、222…ROM、223…揮発性記憶部、224…操作部、225…表示部、226…対端末装置通信部、227…対インターネット通信部、228…顔/姿写真撮影部、229…静脈写真撮影部、231…制御部、232…揮発性記憶部、233…不揮発性記憶部、234…送信部、235…受信部、320…制御部、321…ROM、322…揮発性記憶部、323…発音部、324…対端末装置通信部、325…対インターネット通信部、326…顔/姿写真撮影部、327…静脈写真撮影部、328…対メインゲート装置送信部、329…対サブゲート装置送信部、3261…カメラ、3262…距離センサ、3271…カメラ、3272…赤外線センサ。
【特許請求の範囲】
【請求項1】
自機もしくは自機の正当な所有者を識別する識別情報と前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを記憶している端末装置が、前記識別情報と前記暗号化固有情報とを判定装置に送信する第1の送信ステップと、
前記判定装置が、前記第1の送信ステップにおいて前記端末装置から送信された前記識別情報を、複数の識別情報の各々に対応付けて復号鍵を記憶しているサーバ装置に送信する第2の送信ステップと、
前記サーバ装置が、自機が記憶している複数の復号鍵のうち前記第2の送信ステップにおいて前記判定装置から送信された前記識別情報に対応付けて記憶している復号鍵を前記判定装置に送信する第3の送信ステップと、
前記判定装置が、前記第1の送信ステップにおいて前記端末装置から送信された前記暗号化固有情報を前記第3の送信ステップにおいて前記サーバ装置から送信された前記復号鍵を用いて復号化することにより参照用固有情報を生成する復号化ステップと、
前記判定装置が、前記端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する取得ステップと、
前記判定装置が、前記復号化ステップにおいて生成した前記参照用固有情報と前記取得ステップにおいて取得した前記照合用固有情報との比較結果に基づき、前記所持者が前記正当な所有者と同一人物であるか否かを判定する判定ステップと
を備える本人認証のための方法。
【請求項2】
複数の端末装置と、判定装置と、サーバ装置とを備え、
前記複数の端末装置の各々は、自機もしくは自機の正当な所有者を識別する識別情報と自機の正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを記憶する記憶手段と、自機の前記記憶手段に記憶されている前記識別情報と前記暗号化固有情報とを前記判定装置に送信する送信手段とを備え、
前記判定装置は、前記複数の端末装置のうちの一の端末装置から前記一の端末装置もしくは前記一の端末装置の正当な所有者を識別する識別情報と前記一の端末装置の正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを受信する対端末装置受信手段と、前記対端末装置受信手段により受信した前記識別情報を前記サーバ装置に送信する対サーバ装置送信手段と、前記対サーバ装置送信手段による前記識別情報の送信に応答して前記サーバ装置から送信される復号鍵を受信する対サーバ装置受信手段と、前記対サーバ装置受信手段により受信された前記復号鍵を用いて前記対端末装置受信手段により受信された前記暗号化固有情報を復号化することにより前記一の端末装置の正当な所有者のみから取得可能な所有者に固有の情報である前記参照用固有情報を生成する復号化手段と、前記一の端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する取得手段と、前記一の端末装置の正当な所有者のみから取得可能な所有者に固有の情報である前記参照用固有情報と前記照合用固有情報との比較結果に基づき前記所持者が前記一の端末装置の正当な所有者と同一人物であるか否かを判定する判定手段とを備え、
前記サーバ装置は、前記複数の端末装置を各々識別する複数の識別情報の各々に対応付けて復号鍵を記憶する記憶手段と、前記判定装置から一の識別情報を受信する受信手段と、自機の前記記憶手段に記憶されている複数の復号鍵のうち前記一の識別情報に対応付けて記憶されている復号鍵を前記判定装置に送信する送信手段とを備える
本人認証のためのシステム。
【請求項3】
端末装置から、前記端末装置もしくは前記端末装置の正当な所有者を識別する識別情報と、前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを受信する対端末装置受信手段と、
前記識別情報をサーバ装置に送信する対サーバ装置送信手段と、
前記対サーバ装置送信手段による前記識別情報の送信に応答して前記サーバ装置から送信される復号鍵を受信する対サーバ装置受信手段と、
前記復号鍵を用いて前記暗号化固有情報を復号化することにより前記参照用固有情報を生成する復号化手段と、
前記端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する取得手段と、
前記参照用固有情報と前記照合用固有情報との比較結果に基づき前記所持者が前記正当な所有者と同一人物であるか否かを判定する判定手段と
を備える判定装置。
【請求項4】
前記対端末装置受信手段は、前記端末装置から前記正当な所有者の個人情報を暗号化して得られる暗号化個人情報を受信し、
前記復号化手段は、前記サーバ装置から送信され前記対サーバ装置受信手段により受信された復号鍵を用いて前記暗号化個人情報を復号化することにより前記個人情報を生成する
請求項3に記載の判定装置。
【請求項5】
前記対サーバ装置送信手段による前記識別情報の送信に応答して前記サーバ装置から送信される前記復号鍵は公開鍵方式の秘密鍵であり、
前記対端末装置受信手段は、前記端末装置から、前記秘密鍵と対をなす公開鍵を受信し、
前記公開鍵を用いて情報を暗号化する暗号化手段を備える
請求項3および4のいずれかに記載の判定装置。
【請求項6】
自機もしくは自機の正当な所有者を識別する識別情報と、前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを記憶する記憶手段と、
前記識別情報と前記暗号化固有情報とを判定装置に送信する送信手段と
を備える端末装置。
【請求項7】
前記記憶手段は、前記正当な所有者の個人情報を暗号化して得られる暗号化個人情報を記憶し、
前記送信手段は、前記暗号化個人情報を前記判定装置に送信する
請求項6に記載の端末装置。
【請求項8】
前記記憶手段は、前記参照用固有情報を暗号化して前記暗号化固有情報を生成する際に用いられた秘密鍵と対をなす公開鍵を記憶し、
前記送信手段は、前記公開鍵を前記判定装置に送信する
請求項6および7のいずれかに記載の端末装置。
【請求項9】
複数の識別情報と、前記複数の識別情報の各々に対応する共通鍵方式の共通鍵と、前記複数の識別情報の各々に関し当該識別情報により識別される端末装置の正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報もしくは当該参照用固有情報を当該識別情報に対応する前記共通鍵で暗号化して得られる暗号化固有情報とを対応付けて記憶する記憶手段と、
判定装置から、一の識別情報を受信する受信手段と、
前記記憶手段に記憶されている複数の共通鍵のうち前記一の識別情報に対応付けて記憶されている共通鍵を前記判定装置に送信する送信手段と
を備えるサーバ装置。
【請求項10】
前記記憶手段は、前記複数の識別情報の各々に関し、当該識別情報により識別される端末装置の正当な所有者の個人情報もしくは当該個人情報を当該識別情報に対応する前記共通鍵で暗号化して得られる暗号化個人情報を、当該識別情報に対応付けて記憶する
請求項9に記載のサーバ装置。
【請求項11】
複数の識別情報と、前記複数の識別情報の各々に対応する公開鍵方式の秘密鍵と、前記複数の識別情報の各々に関し当該識別情報により識別される端末装置の正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報もしくは当該参照用固有情報を当該識別情報に対応する前記秘密鍵と対をなす公開鍵で暗号化して得られる暗号化固有情報とを対応付けて記憶する記憶手段と、
判定装置から、一の識別情報を受信する受信手段と、
前記記憶手段に記憶されている複数の秘密鍵のうち前記一の識別情報に対応付けて記憶されている秘密鍵を前記判定装置に送信する送信手段と
を備えるサーバ装置。
【請求項12】
前記記憶手段は、前記複数の識別情報の各々に関し、当該識別情報により識別される端末装置の正当な所有者の個人情報もしくは当該個人情報を当該識別情報に対応する前記秘密鍵と対をなす公開鍵で暗号化して得られる暗号化個人情報を、当該識別情報に対応付けて記憶する
請求項11に記載のサーバ装置。
【請求項13】
端末装置から、前記端末装置もしくは前記端末装置の正当な所有者を識別する識別情報と、前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを受信する処理と、
前記識別情報をサーバ装置に送信する処理と、
前記サーバ装置に対する前記識別情報の送信に応答して前記サーバ装置から送信される復号鍵を受信する処理と、
前記復号鍵を用いて前記暗号化固有情報を復号化することにより前記参照用固有情報を生成する処理と、
前記端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する処理と、
前記参照用固有情報と前記照合用固有情報との比較結果に基づき前記所持者が前記正当な所有者と同一人物であるか否かを判定する処理と
をコンピュータに実行させるプログラム。
【請求項14】
請求項13に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
【請求項1】
自機もしくは自機の正当な所有者を識別する識別情報と前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを記憶している端末装置が、前記識別情報と前記暗号化固有情報とを判定装置に送信する第1の送信ステップと、
前記判定装置が、前記第1の送信ステップにおいて前記端末装置から送信された前記識別情報を、複数の識別情報の各々に対応付けて復号鍵を記憶しているサーバ装置に送信する第2の送信ステップと、
前記サーバ装置が、自機が記憶している複数の復号鍵のうち前記第2の送信ステップにおいて前記判定装置から送信された前記識別情報に対応付けて記憶している復号鍵を前記判定装置に送信する第3の送信ステップと、
前記判定装置が、前記第1の送信ステップにおいて前記端末装置から送信された前記暗号化固有情報を前記第3の送信ステップにおいて前記サーバ装置から送信された前記復号鍵を用いて復号化することにより参照用固有情報を生成する復号化ステップと、
前記判定装置が、前記端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する取得ステップと、
前記判定装置が、前記復号化ステップにおいて生成した前記参照用固有情報と前記取得ステップにおいて取得した前記照合用固有情報との比較結果に基づき、前記所持者が前記正当な所有者と同一人物であるか否かを判定する判定ステップと
を備える本人認証のための方法。
【請求項2】
複数の端末装置と、判定装置と、サーバ装置とを備え、
前記複数の端末装置の各々は、自機もしくは自機の正当な所有者を識別する識別情報と自機の正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを記憶する記憶手段と、自機の前記記憶手段に記憶されている前記識別情報と前記暗号化固有情報とを前記判定装置に送信する送信手段とを備え、
前記判定装置は、前記複数の端末装置のうちの一の端末装置から前記一の端末装置もしくは前記一の端末装置の正当な所有者を識別する識別情報と前記一の端末装置の正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを受信する対端末装置受信手段と、前記対端末装置受信手段により受信した前記識別情報を前記サーバ装置に送信する対サーバ装置送信手段と、前記対サーバ装置送信手段による前記識別情報の送信に応答して前記サーバ装置から送信される復号鍵を受信する対サーバ装置受信手段と、前記対サーバ装置受信手段により受信された前記復号鍵を用いて前記対端末装置受信手段により受信された前記暗号化固有情報を復号化することにより前記一の端末装置の正当な所有者のみから取得可能な所有者に固有の情報である前記参照用固有情報を生成する復号化手段と、前記一の端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する取得手段と、前記一の端末装置の正当な所有者のみから取得可能な所有者に固有の情報である前記参照用固有情報と前記照合用固有情報との比較結果に基づき前記所持者が前記一の端末装置の正当な所有者と同一人物であるか否かを判定する判定手段とを備え、
前記サーバ装置は、前記複数の端末装置を各々識別する複数の識別情報の各々に対応付けて復号鍵を記憶する記憶手段と、前記判定装置から一の識別情報を受信する受信手段と、自機の前記記憶手段に記憶されている複数の復号鍵のうち前記一の識別情報に対応付けて記憶されている復号鍵を前記判定装置に送信する送信手段とを備える
本人認証のためのシステム。
【請求項3】
端末装置から、前記端末装置もしくは前記端末装置の正当な所有者を識別する識別情報と、前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを受信する対端末装置受信手段と、
前記識別情報をサーバ装置に送信する対サーバ装置送信手段と、
前記対サーバ装置送信手段による前記識別情報の送信に応答して前記サーバ装置から送信される復号鍵を受信する対サーバ装置受信手段と、
前記復号鍵を用いて前記暗号化固有情報を復号化することにより前記参照用固有情報を生成する復号化手段と、
前記端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する取得手段と、
前記参照用固有情報と前記照合用固有情報との比較結果に基づき前記所持者が前記正当な所有者と同一人物であるか否かを判定する判定手段と
を備える判定装置。
【請求項4】
前記対端末装置受信手段は、前記端末装置から前記正当な所有者の個人情報を暗号化して得られる暗号化個人情報を受信し、
前記復号化手段は、前記サーバ装置から送信され前記対サーバ装置受信手段により受信された復号鍵を用いて前記暗号化個人情報を復号化することにより前記個人情報を生成する
請求項3に記載の判定装置。
【請求項5】
前記対サーバ装置送信手段による前記識別情報の送信に応答して前記サーバ装置から送信される前記復号鍵は公開鍵方式の秘密鍵であり、
前記対端末装置受信手段は、前記端末装置から、前記秘密鍵と対をなす公開鍵を受信し、
前記公開鍵を用いて情報を暗号化する暗号化手段を備える
請求項3および4のいずれかに記載の判定装置。
【請求項6】
自機もしくは自機の正当な所有者を識別する識別情報と、前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを記憶する記憶手段と、
前記識別情報と前記暗号化固有情報とを判定装置に送信する送信手段と
を備える端末装置。
【請求項7】
前記記憶手段は、前記正当な所有者の個人情報を暗号化して得られる暗号化個人情報を記憶し、
前記送信手段は、前記暗号化個人情報を前記判定装置に送信する
請求項6に記載の端末装置。
【請求項8】
前記記憶手段は、前記参照用固有情報を暗号化して前記暗号化固有情報を生成する際に用いられた秘密鍵と対をなす公開鍵を記憶し、
前記送信手段は、前記公開鍵を前記判定装置に送信する
請求項6および7のいずれかに記載の端末装置。
【請求項9】
複数の識別情報と、前記複数の識別情報の各々に対応する共通鍵方式の共通鍵と、前記複数の識別情報の各々に関し当該識別情報により識別される端末装置の正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報もしくは当該参照用固有情報を当該識別情報に対応する前記共通鍵で暗号化して得られる暗号化固有情報とを対応付けて記憶する記憶手段と、
判定装置から、一の識別情報を受信する受信手段と、
前記記憶手段に記憶されている複数の共通鍵のうち前記一の識別情報に対応付けて記憶されている共通鍵を前記判定装置に送信する送信手段と
を備えるサーバ装置。
【請求項10】
前記記憶手段は、前記複数の識別情報の各々に関し、当該識別情報により識別される端末装置の正当な所有者の個人情報もしくは当該個人情報を当該識別情報に対応する前記共通鍵で暗号化して得られる暗号化個人情報を、当該識別情報に対応付けて記憶する
請求項9に記載のサーバ装置。
【請求項11】
複数の識別情報と、前記複数の識別情報の各々に対応する公開鍵方式の秘密鍵と、前記複数の識別情報の各々に関し当該識別情報により識別される端末装置の正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報もしくは当該参照用固有情報を当該識別情報に対応する前記秘密鍵と対をなす公開鍵で暗号化して得られる暗号化固有情報とを対応付けて記憶する記憶手段と、
判定装置から、一の識別情報を受信する受信手段と、
前記記憶手段に記憶されている複数の秘密鍵のうち前記一の識別情報に対応付けて記憶されている秘密鍵を前記判定装置に送信する送信手段と
を備えるサーバ装置。
【請求項12】
前記記憶手段は、前記複数の識別情報の各々に関し、当該識別情報により識別される端末装置の正当な所有者の個人情報もしくは当該個人情報を当該識別情報に対応する前記秘密鍵と対をなす公開鍵で暗号化して得られる暗号化個人情報を、当該識別情報に対応付けて記憶する
請求項11に記載のサーバ装置。
【請求項13】
端末装置から、前記端末装置もしくは前記端末装置の正当な所有者を識別する識別情報と、前記正当な所有者のみから取得可能な所有者に固有の情報である参照用固有情報を暗号化して得られる暗号化固有情報とを受信する処理と、
前記識別情報をサーバ装置に送信する処理と、
前記サーバ装置に対する前記識別情報の送信に応答して前記サーバ装置から送信される復号鍵を受信する処理と、
前記復号鍵を用いて前記暗号化固有情報を復号化することにより前記参照用固有情報を生成する処理と、
前記端末装置の所持者のみから取得可能な所持者に固有の情報である照合用固有情報を取得する処理と、
前記参照用固有情報と前記照合用固有情報との比較結果に基づき前記所持者が前記正当な所有者と同一人物であるか否かを判定する処理と
をコンピュータに実行させるプログラム。
【請求項14】
請求項13に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2010−92442(P2010−92442A)
【公開日】平成22年4月22日(2010.4.22)
【国際特許分類】
【出願番号】特願2008−264702(P2008−264702)
【出願日】平成20年10月13日(2008.10.13)
【出願人】(508308271)株式会社高度情報技術研究所 (2)
【Fターム(参考)】
【公開日】平成22年4月22日(2010.4.22)
【国際特許分類】
【出願日】平成20年10月13日(2008.10.13)
【出願人】(508308271)株式会社高度情報技術研究所 (2)
【Fターム(参考)】
[ Back to top ]