現金自動預払システム及び装置
【課題】本発明の課題は、ICカードを用いた生体認証システム及びその方法において、生体情報の高い秘匿性、認証処理時間の短縮の実現である。
【解決手段】上記課題の解決のため、個人の認証を行う生体認証システムにおいて、優先順位を付加した複数の前処理データを記憶する記憶部と、利用者の生体情報を取得する生体情報取得部と、前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体情報取得部により取得した生体情報とによって生成された認証データと、前記記憶部に予め記憶していた複数の登録データの中から優先順位に従う登録データと照合し、照合結果を得る生体情報照合部と、前記生体情報照合部により照合を実施する毎に、照合結果の成功回数を計数し、当該照合の成功回数に応じて、前記記憶部に予め記憶していた複数の前処理データに対して付加された優先順位を変更する制御部と、を有する。
【解決手段】上記課題の解決のため、個人の認証を行う生体認証システムにおいて、優先順位を付加した複数の前処理データを記憶する記憶部と、利用者の生体情報を取得する生体情報取得部と、前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体情報取得部により取得した生体情報とによって生成された認証データと、前記記憶部に予め記憶していた複数の登録データの中から優先順位に従う登録データと照合し、照合結果を得る生体情報照合部と、前記生体情報照合部により照合を実施する毎に、照合結果の成功回数を計数し、当該照合の成功回数に応じて、前記記憶部に予め記憶していた複数の前処理データに対して付加された優先順位を変更する制御部と、を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、現金自動預払装置(ATM)などで使用される生体認証システムに関する。
【背景技術】
【0002】
従来、現金自動預払装置(ATM)などで行われてきた生体認証システムには、以下のようなものがある。
【0003】
特許文献1には、バイオメトリックス式個人識別装置における優先処理装置が記載されている。この技術は予めデータベースに複数の個人識別情報を優先順位をつけて登録しておき、優先順位に従って照合していくものである。そして、前回使用された指が次回最も使われる可能性が高いとして、使用実績に基づいてこの優先順位を並び替えるので、固定された順序で照合を行うよりも本人認証の速度を向上することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2002−140707号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の方法では、前回使用された指が次回最も使われる可能性が高いとする使用実績に基づいてこの優先順位を並び替える優先順位の変更技術であるため、次の問題が発生する。
【0006】
5つの生体情報(5本の異なる指)を登録しておき、過去の認証成功回数が指ごとに異なる場合(認証成功回数:親指0回、人差し指70回、中指15回、薬指10回、小指5回)を想定すると、認証登録をしてあったものの過去に認証に用いたことのない親指で認証を行った場合、親指認証前の優先順位は1位人差し指、2位中指、3位薬指、4位小指、5位親指、であり、それが認証後には1位親指、2位人差し指、3位中指、4位薬指、5位小指と変更される。さらに、あまり認証に用いたことのない薬指で認証を行うと薬指認証後には1位薬指、2位親指、3位人差し指、4位中指、5位小指と変更される。そして、次に人差し指で認証したいとすれば、この状況では優先順位が3番に下がっているので、人差し指にたどりつくまでに過去に認証成功実績の少ない薬指、親指の照合を行うので時間がかかってしまう。
【0007】
つまり、特許文献1の方法は過去の認証成功回数が少ない指を一度認証に用いてしまうと、次回普段使うことの多い指を使う認証時に、普段使うことの多い指の照合前に必ず認証成功回数が少ない指の照合を行わなくてはならないので不便である。
【0008】
本発明は、上述の問題を解決し、ICカードを用いた生体認証システム及びその方法において、生体情報の高い秘匿性、認証処理時間の短縮を実現することを目的とする。
【課題を解決するための手段】
【0009】
本発明は上記の課題を解決するために次のような手段を採用した。
【0010】
個人の認証を行う生体認証システムにおいて、優先順位を付加した複数の前処理データを記憶する記憶部と、利用者の生体情報を取得する生体情報取得部と、前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体情報取得部により取得した生体情報とによって生成された認証データと、前記記憶部に予め記憶していた複数の登録データの中から優先順位に従う登録データと照合し、照合結果を得る生体情報照合部と、前記生体情報照合部により照合を実施する毎に、照合結果の成功回数を計数し、当該照合の成功回数に応じて、前記記憶部に予め記憶していた複数の前処理データに対して付加された優先順位を変更する制御部と、を有する。
【発明の効果】
【0011】
本発明はICカードを用いた生体認証システム、及び装置において、複数の生体情報に優先順位を付加し、優先順位の高い生体情報から認証処理を実施することでセキュリティを高く保ち、短い処理時間で本人認証を行うことができる。
【図面の簡単な説明】
【0012】
【図1】生体情報登録処理システムの概要図の例。
【図2】生体情報登録処理システムのブロック図の例。
【図3】生体情報登録処理の説明図。
【図4】生体情報登録処理のフローチャートの例。
【図5】生体認証処理システムの概要図の例。
【図6】生体認証処理システムのブロック図の例。
【図7】認証制御ソフトウェアの構成図の例。
【図8】生体認証処理の説明図。
【図9】ICカード内認証方式を用いた生体認証処理を含む取引のフローチャートの例。
【図10】認証取引開始処理のフローチャートの例。
【図11】生体認証処理のフローチャートの例。
【図12】認証取引終了処理のフローチャートの例。
【図13】優先順位と生体情報との関係を示すデータ例。
【発明を実施するための形態】
【0013】
以下、本発明を用いた実施の一形態について説明する。
【実施例1】
【0014】
本実施形態では、金融機関の営業店においてオペレータ(窓口担当者)と利用者間で、利用者が所有する携帯電子装置、特に、ICカードへ利用者の生体情報(例、指静脈)を登録する生体情報登録処理と、金融機関、コンビニ等に設置され、主に現金にかかる取引を自動的に取引する現金自動取引装置、現金自動預払機(ATM)を使用して利用者の生体情報を使用して認証する生体認証処理、との大きく2つに分けて説明する。図1〜4にて生体情報登録処理を説明し、図5〜12にて生体認証処理を説明する。
【0015】
最初に、生体情報の登録処理と、認証処理との概要を簡単に説明する。
【0016】
生体情報登録処理では、利用者の指静脈から特徴量を抽出して前処理データと生成すると共に、登録データも生成してICカードに登録する。この処理の過程で使用される窓口端末はICカード装置付生体情報登録装置と接続されており、登録用の生体情報(前処理データ、登録データ)が暗号化されて、窓口端末を経由せずに生体情報登録装置からICカードに直接転送、書き込みが実行される。
【0017】
一方、生体認証処理では、利用者の指静脈からの特徴量と、ICカードに登録された前処理データ、登録データとを特有の認証、照合技術に基づいてその処理を実行する。この処理の過程ではATMを中心として、ATMに接続された生体認証機構部により新たに取得した生体情報と、ICカードから読み出した前処理データにより認証データを生成し、これをICカードに転送してICカード内にて認証処理を行う。
【0018】
本発明の説明において、生体情報の登録処理は営業店システムを使用し、認証処理はATMを使用する態様で説明するが、営業店システムにおいても認証処理を、ATMにおいても登録処理を行う態様でも良い。但し、生体情報の登録処理は本人であることを確実にする上でも、オペレータが立ち会う営業店システムにおいて実行するのが望ましい。また、生体情報を登録しておく媒体としてICカードを例に挙げるがこれに限らず、携帯電話やRFID(Radio-Frequency-Identification)タグなど、携帯可能な電子媒体(携帯電子装置)であっても良いが、現在、利用者に最も普及しているキャッシュカードにICチップを搭載したICカードが望ましく、システムの変更を抑えることができる。
【0019】
図1は金融機関の営業店内においてオペレータが使用する営業店システムのうち、特に生体情報の登録に関係する生体情報登録処理システムを抜き出した概要図である。この生体情報登録システムは、生体情報読取装置102を備えた生体情報登録装置101と、この生体情報登録装置101を制御する登録用端末装置104とを接続して構成する。このシステムは金融機関のオペレータ(窓口担当者)が登録用端末装置104を操作して、ICカード105に利用者の生体情報を登録するものである。具体的には、操作部107を窓口担当者が操作し、表示部106に表示する種々のメニューより選択し、生体情報の登録の他、金融機関における様々な取引を可能とするものである。
【0020】
窓口担当者はICカード105を生体情報登録装置101の一構成であるICカード装置103に挿入し、ICカード105を書き込み可能な状態にする。一方、利用者は利用者自らの指を図示する形状に沿って生体情報読取装置102に置く。窓口担当者の操作により、生体情報読取装置102は近赤外線を置かれた指に透過し、カメラにより指の静脈パターンを撮影し、その画像を得る。この画像から生体特徴量を抽出し、抽出した生体特徴量に後述する処理を加えてICカード装置103によってICカード105に記録、書き込みの処理を実行する。なお、生体特徴量は指の静脈データ(静脈パターン)から得た個人を特定できるデータである。
【0021】
ICカード装置103は、上述したとおりICカード105に情報を書き込む機能を有している他、ICカード105に記憶されている情報を読み取る機能も有している。すなわち読取又は書込機能を有しているが、以下ではICカード105内に生体情報を書き込む例にて説明する。
【0022】
図2は図1で説明した生体情報登録処理システムの一実施例の構成を示すブロック図を示す。
【0023】
生体情報登録装置101は、生体情報登録装置101全体を制御するCPU201、様々な情報を記憶する主記憶部202、生体情報を読み取る生体情報読取装置102、ICカード105に生体情報を書き込むICカード装置103、及び登録用端末装置104と接続する通信部215とにより構成される。
【0024】
主記憶部202は、各種プログラムを記憶するROM203と、主にデータを記憶し、記憶したデータの書き換えが可能なRAM204とに分けられる。ここでは、ROM203、RAM204よる主記憶部(単に、記憶部とも言う)202として説明するが、それぞれハードディスク、種々の半導体メモリによる構成でも良い。ROM203は、生体情報の登録処理のための登録処理プログラム205、認証時に用いる登録データを作成するための登録データ作成プログラム206、生体情報読取装置102を制御するための生体情報読取装置制御プログラム207、ICカード105へ情報の書き込み処理のためのICカード装置制御プログラム208、及び通信部215を制御するための通信制御プログラム209を備えている。
【0025】
生体情報読取装置102は、生体画像(指静脈パターン)を取得し、CCDカメラなどで構成される画像センサ(画像取得部)210、画像センサ210の画像取得可能領域に指が置かれたか否かを検知する生体有無検知用照明LED211、生体画像(指静脈パターン)取得時に指に対し近赤外線を照射する生体取得用照明LED(生体照射部)212とを備えている。ICカード装置103は、ICカード105に情報を書き込むICカード書込部213、ICカード105と接続するための接点端子214を備えている。
【0026】
ICカード105は、ICカード105全体を制御するCPU221、生体情報に関連するデータや金融取引に係るプログラム等を記憶する記憶部222、生体情報登録装置101と接続するための接点端子223とを備えている。なお、ICカード装置103とICカード105とを接点端子による接触式に限らず、非接触式でも構成できる。
【0027】
登録用端末装置104は、登録用端末装置104全体を制御するCPU231、データやプログラムを記憶する主記憶部232、CRTや液晶ディスプレイなどで構成され、操作案内を表示する表示部106、窓口担当者の入力操作を受け付けるキーボード、マウスなどで構成された操作部107、生体情報登録装置101と生体登録用端末装置104と接続する通信部235により構成される。そして、主記憶部232は、生体情報登録装置101を制御するための生体情報登録装置制御プログラム233の他、窓口にて取引される種々の金融取引用のプログラムを格納している。
【0028】
図3により生体情報登録処理でICカード105に登録する登録データの作成過程について説明する。但し、作成過程におけるアルゴリズム等の開示はセキュリティ上、即ち、情報漏洩等による偽造を防止する関係から、その説明を省略する。生体情報の認証処理でも同様である。
【0029】
最初に、画像センサ210により得られた生体画像(指静脈パターン)に基づき、あるアルゴリズムを用いてその特徴をあらわす生体特徴量を抽出する(ステップ301)。そしてこの生体特徴量から更にあるアルゴリズムを用いて前処理データを作成する。更に、生体特徴量と前処理データとを組み合わせて登録データを作成する(ステップ302)。
【0030】
ここで、前処理データというものは、登録データを作成するために用いられる暗号鍵、という解釈もできる。また、登録データは上述及び図から明らかなように、生体特徴量から直接作成することが不可能なデータである。また、前処理データと登録データは利用者自身の特徴を明確にあらわす生体特徴量から作成したデータであるが、この作成過程では不可逆変換処理によるアルゴリズムを用いられる。従って、逆変換による作成処理として、登録データから生体特徴量又は前処理データを作成すること、前処理データと登録データとの2つのデータから生体特徴量を作成することはできない。なお、前処理データは利用者個人を特定できない部分を抜き出して作成した情報で、登録データは個人を特定できる部分を抜き出して作成した情報である態様が望ましい。また、前処理データ、登録データ共に、カード保有者しか得られない特有な情報である。後述するが、前処理データと登録データは指ごとに存在するもので、登録したい本数分の指に優先順位を付加し、ICカード105に記憶する。例を挙げると、3本の指(右手人差し指、右手中指、左手人差し指の順に優先順位をつける)の静脈を登録するならば、図13のように優先順位1の右手人差し指の前処理データ・認証データ、優先順位2の右手中指の前処理データ・認証データ、優先順位3の左手人差し指の前処理データ・認証データを登録することになる。
【0031】
図13に示すように、符号1301は利用者が生体情報をICカードに登録するときの優先順位を示し、各指の種類1302に対して設定される値(固定値)である。そして指の種類1302に対して前処理データ1303、登録データ1304がICカードにそれぞれ登録される。更に、他の例としてこの指の種類1302毎に後述の認証時における成功回数を累積して符号1305に記憶する。そしてこの認証成功回数1305によって優先順位を変更する優先順位変更データの設定値(変更値、図示せず)を追加してICカードに記憶する。
【0032】
最後に、作成した前処理データと登録データとをICカード105に記憶する(ステップ303)。ICカード105に記憶されたこれらのデータは暗号化された状態で記憶され、更に上述したとおり、逆変換による作成処理が不可能な状態で記憶されている。よって、仮に前処理データ、登録データが悪意のある者によって読み出され、且つ両データが解読されたとしても生体特徴量を生成することは不可能である。このように、データの暗号化、逆変換が不可能なデータ生成化、という二重のセキュリティ化によってICカード内のデータが守られていることも特徴の一つである。
【0033】
上記のデータ作成アルゴリズムを以下、数式で表す。
【0034】
生体特徴量をxとすると、前処理データyはある関数f(アルゴリズムに相当)を用いて「y = f(x)」として表せる。
【0035】
登録データzは生体特徴量xと前処理データyとの組み合わせにより、作成されるので、ある関数gを用いて「x + y → z = g(x,y)」と表せる。
【0036】
そして、この作成過程は不可逆的なものであることから、z = g(x,y) → x 、z = g(x,y) → y 、z = g(x,y) → x + y のように登録データから生体特徴量や前処理データを復元することはできない。
【0037】
図4は生体情報登録装置101のCPU201が、又はCPU201からの指示に基づいて各機構、各部(プログラムも含む)が実行する生体情報の登録処理のフローチャート例である。
【0038】
ICカード装置103にはICカード105が挿入されており、ICカード接続状態(ICカード105へのデータの書き込みが可能な状態)になっている。ICカード接続を成立させるには、ICカード105の接点端子223にICカード装置103の接点端子214を接触させる必要がある。以下では、窓口担当者が登録用端末装置104を操作し利用者の生体情報をICカード105内に登録する過程を説明すると共にその操作に基づく各機構等が実行する処理、制御について説明する。また、図2で説明した通信制御プログラム209は特に生体情報登録装置101と生体登録用端末装置104との間でデータの送受信を制御するものであるが、以下では省略して説明する。
【0039】
登録用端末装置104は表示部106にメニュー画面(登録、認証、変更、終了などの処理の選択を案内する画面)を表示し、窓口担当者の入力操作を操作部107により受け付ける。表示された取引項目の中から登録処理が操作部107によって選択されると、登録用端末装置104のCPU231は登録処理プログラム205、生体情報登録装置制御プログラム233を実行し、生体情報登録装置101に登録処理開始の指示を出す。登録処理開始の指示を受けた生体情報登録装置101のCPU201は登録処理プログラム205を実行し、システム全体として登録処理を実施する。
【0040】
登録用端末装置104の表示部106に生体情報登録装置101にICカード105を挿入するよう案内が表示される。ICカード105がICカード装置103に挿入されると(ステップ401)、ICカード105の接点端子223とICカード装置103の接点端子214を接触させ、生体情報登録装置101とICカード105との接続を行う(ステップ402)。このとき挿入したICカード105の記憶部222における生体情報に関連するプログラムの有無を判断し(ステップ403)、プログラムがない場合(データを登録できないカードの場合)は、ICカード105を返却する(ステップ414)。一方、挿入したICカード105の記憶部222に生体情報に関連するプログラムがある場合(データを登録できるカードの場合)は、優先順位Nを「1」に設定し(ステップ404)、表示部106に登録する指を生体情報読取装置102に置くよう案内が表示される。それに応じて、利用者は登録する指を生体情報読取装置102におく。生体情報登録装置101のCPU201は、生体情報読取装置制御プログラム207を実行し、生体情報読取装置102に生体情報読取開始の指示を出す。生体情報読取装置102は、画像センサ210の画像取得可能領域に物体(指)が置かれると生体有無検知用照明LED211により物体(指)の進入を検知し(ステップ405)、物体(指)が生体であるか否かを調べる(ステップ406)。挿入された物体(指)が生体でなかった場合は、ICカード105に何の情報も書き込むことなくICカード105を返却する(ステップ414)。挿入された物体(指)が生体だった場合は、生体取得用照明LED212により物体(指)に近赤外線を照射し、画像センサ210で優先順位N(N=1)の生体画像(指静脈パターン)を取得し、RAM204に記憶する(ステップ407)。次に、優先順位N(N=1)の生体画像(指静脈パターン)から優先順位N(N=1)の生体特徴量を抽出する(ステップ408)。そして、登録データ作成プログラム206を実行することで、図3のように優先順位N(N=1)の生体特徴量から優先順位N(N=1)の前処理データを作成した後(ステップ409)、優先順位N(N=1)の生体特徴量と優先順位N(N=1)の前処理データから優先順位N(N=1)の登録データを作成する(ステップ410)。続いて、ICカード装置制御プログラム208を実行して、作成したRAM204内の優先順位N(N=1)の前処理データと優先順位N(N=1)の認証データをICカード書込部213、更にはICカード105内のCPU221によりICカード105の記憶部222に記憶する(ステップ411)。登録したい本数分の指の登録が終了したかを判断し(ステップ412)、終了していれば生体情報登録が完了し、ICカード105を返却する(ステップ414)。終了していなければ、優先順位N(N=1)に1を足して、優先順位N(N=2)とし(ステップ413)、再びステップ405〜411へと進んで、優先順位N(N=2)の指の前処理データと優先順位N(N=2)の指の認証データをICカード105の記憶部222に記憶する。このようにして、ステップ405〜411を繰り返し、登録したい本数が終了するまで登録を続ける。なお、登録したい指の本数は金融機関側、利用者側が自由に決められる態様で良い。
【0041】
また、優先順位は図4のように登録時に付加するのではなく、全ての指の登録後、利用者の申告により任意の順番で追加・変更することもできる。これにより、利用者に優先順位の順番を考える時間の余裕を与えることができる。
【0042】
さらに、事前登録では優先順位を付加していなくても、利用者が認証処理実施時に使用した指を使用頻度順に応じて自動的に付加・変更することも可能である。使用頻度を前処理データ、登録データに付随させて、ICカード内に登録しておく。使用頻度順ならば、優先順位を付加する手間が省ける上に、利用者にとって使い勝手がよくなる。優先順位の定義は、数値の降順・昇順や文字列を用いたものなど、様々なものが考えられる。なお、使用頻度というのは、図13のように単純に生体認証の成功回数を計数(勘定)しても良いし、生体認証の実施全体の回数における指ごとの使用率など、失敗回数を用いたものを含め、本発明の目的を達成可能であれば様々な統計が考えられる。
【0043】
以上、各CPU201,221,231や記憶部に記憶された各プログラムの処理、制御を基に、生体情報の登録処理、制御について説明したが、各プログラムは登録処理に移行する当初の段階で既に起動されていても良く、またこれらのハード及びソフトによる構成を制御部として捉え、上述の各種制御、処理はこの制御部の機能、手段であることは言うまでもない。また、次に説明する生体情報の認証処理についても同様である。
【0044】
生体情報の認証処理を実行するにあたり、上述した登録処理によって登録された情報、即ち、ICカード105に記憶、登録、書き込まれた前処理データと、登録データとを使用して、認証処理を行うことを前提として説明する。
【0045】
図5は生体認証処理システムの概要図である。生体認証システムは、生体情報を読み取る機能と、ICカード105の情報に対する読み取り(又は書き込み)機能とを備えた現金自動取引、又は預払装置(ATM)501と、金融商品に関係する取引に必要な情報を記憶するサーバ502とを接続して構成する。ATM501は入金、支払、振込など利用者の希望する種々な取引を自動的に実行する装置であり、利用者はカード/明細票機構部504にICカード105を挿入し、操作部503により希望する取引や金額などを入力し、生体認証機構508により認証が成功することにより取引を行うことが可能となる。特に、現金取引では、紙幣入出金機構部506による紙幣の入金又は出金、硬貨入出金機構部507による硬貨の入金又は出金が実行され、ATM501は利用者が希望する現金のやりとりを行う。また、利用者が通帳記入を希望する際には、通帳機構部505にて通帳に取引内容を記入、印字することができる。なお、本実施形態で説明する生体認証システムは現金自動取引、又は預払装置で用いられるので、全体として現金自動取引、又は預払システムということもできる。
【0046】
図6は生体認証処理システムの一実施例の構成を示すブロック図である。ATM501は、ATM全体を制御するCPU601、取引項目の画面表示やキー入力検知、具体的には利用者の操作や指で押下されたキー入力を受け付けるタッチパネルなどで構成された操作部503、カードの挿入及び排出動作、カードの磁気ストライプ又はICカード105へのリード/ライト動作、カードエンボス部分のイメージの読み取りや、取引した内容を明細票に印字し、装置内から排出する機能を有するカード/明細票機構部504、利用者の通帳の挿入/排出動作、磁気ストライプのリード/ライト動作、通帳への印字部による印字機能などを有する通帳機構部505を有する。
【0047】
さらに、紙幣の鑑別や搬送、収納機能などを有し、紙幣の入金又は出金処理を行う紙幣入出金機構部506、硬貨の鑑別や搬送、収納機能などを有し、硬貨の入金又は出金処理を行う硬貨入出金機構部507、生体情報を取得し、その認証をサポートする生体認証機構部508(生体情報取得部とも言う)、データやプログラムを記憶する主記憶部(単に記憶部とも言う)602、及びサーバ502と接続する通信部610により構成される。
【0048】
なお、図1、2で説明した登録用端末装置104の操作部107は窓口担当者が利用者の生体情報をICカード105に登録する際に入力操作を行うためのもので、キーボードやマウスなどで構成されており、一方、図5、6のATM501の操作部503は利用者がATM501で取引を行う際に入力操作するためのもので、タッチパネルなどで構成されており、この2つは同じ操作部でも構成・用途が異なるものである。
【0049】
カード/明細票機構部504は、ICカード105の情報を読み取るICカード読取部603と、明細票に取引内容を印字する明細票印字部604、及びICカード105と接続するための接点端子605を備えている。
【0050】
生体認証機構部508は、種々のデータ等を記憶する記憶部606と、利用者の生体画像(指静脈パターン)を取得し、CCDカメラなどで構成される画像センサ(画像取得部)607と、画像センサ607の画像取得可能領域に指が置かれたか否かを検知する生体有無検知用照明LED608と、生体画像(指静脈パターン)取得時に指に対し近赤外線を照射する照明LED(生体照射部)609とを備えている。つまり、生体認証機構部508は図1、2に示す生体情報読取装置102とほぼ同様な生体情報を取得する機能を有している。
【0051】
主記憶部(単に記憶部とも言う)602は、ハード的には、各種プログラムを記憶するROM620と、主にデータを記憶し、記憶したデータの書き換えが可能なRAM621とで構成される。上述の登録処理で説明したとおり、それぞれハードディスクや種々の半導体メモリによる構成でも良く、また第1,2記憶部とも言う。また、ROM620は、以下に説明する生体画像の取得、認証などの処理をCPU601等の指示に従って行い、生体認証機構部508を制御するための認証制御ソフトウェア622を備えている。この他、図示しないがATM501の操作部503への画面データ、ATM501における現金取引、振込取引等に必要なプログラム、ソフトウェアも記憶されている。ATM501と通信網を介して接続されたサーバ502は、サーバ502全体を制御するCPU611、記憶部612、及びATM501と接続する通信部613により構成される。
【0052】
図7はATM501における生体情報の認証に係る制御、特に、生体認証機構部508の制御するための認証制御ソフトウェア622を中心にした主記憶部602、生体認証機構部508、カード/明細票機構部504内のICカード105、に関連する制御ブロック(ソフトウェア構成)を図示したものである。
【0053】
認証制御ソフトウェア622は、大きく、認証制御アプリケーション701と、認証制御ミドルウェア702とに分けられ、それぞれ、ソフトウェアのことをソフト、アプリケーションのことをアプリ、ミドルウェアのことをミドルと称することができる。
認証制御アプリ701とは、生体認証機構部508を搭載するATM501を導入する金融機関などの個別の機能を有するプログラムであり、その認証の手順や方式、認証時における画面表示など金融機関個々でその仕様を作成し、また変更される。特に、本認証制御アプリ701は認証処理開始指示などを認証ミドル702に対して行う。
【0054】
認証制御ミドル702とは、金融機関が異なり、生体情報が異なっても認証処理に必要な共通機能を有するプログラムであり、生体認証機構部508を制御する生体認証機構部制御プログラム703、ICカード105からカードとデータのやり取り、ICカード105内のプログラムの実行を制御するICカード制御プログラム704といった生体情報の認証に係る各種プログラムの制御、処理を司るプログラムである。
【0055】
また、認証制御ミドル702によって実行され、得られるデータはRAM621に一時的に記憶される。RAM621は、生体認証機構部508とICカード105との間のデータをやり取りするためのバッファ領域である認証結果データバッファ705、認証データバッファ706、前処理データバッファ707といった各データバッファを有する。これらのデータはハード的にはRAM621に記憶されるが、ソフト的には認証制御ソフト622、特に認証制御ミドル702に記憶される、とも言える。
【0056】
また認証制御ミドル702は認証制御アプリ701からの指示によりドライバ(図示しない)を経由してカード/明細票機構部504や生体認証機構部508を動作させる。そして、上述のように、これらの各部位はATM501のCPU601によってその処理が制御される。なお、ドライバとはコンピュータ周辺機器・装置(デバイス)を利用するための制御用ソフトウェアある。
【0057】
認証制御ソフト622より制御される生体認証機構部508の記憶部606は、認証データを作成するための認証データ作成プログラム709、認証結果データから認証の成否を判定するための認証結果判定プログラム710を有する。またカード/明細票機構部504は認証処理を実施するための認証プログラム711を有する。
【0058】
図8により生体認証処理における認証の仕組み、データのやり取りについて説明する。後述の図11の生体認証フローの説明の補完としても用いる。以下の動作の主体は認証制御アプリ701から実行命令を受けた認証制御ミドル702であるが、認証制御アプリ701と認証制御ミドル702とが共同して行うことから認証制御ソフト622によって動作する、とも言える。また、受信、送信をそれぞれ入力、出力とも言える。
【0059】
ATM501の取引において生体情報の認証が実行されると、ICカード105に予め記憶されている前処理データ、登録データのうち、前処理データが認証制御ミドル702に送信される。認証制御ミドル702は、ICカード105から前処理データを受信し、RAM621(認証制御ソフト622、認証制御ミドル702を含む)の前処理データバッファ707に一時記憶してから、生体認証機構部508に送信する(ステップ801)。一方、生体認証機構部508は認証制御ソフト622から前処理データを受信し、その後又は並行して、利用者の生体情報を取得し、生体情報から生体特徴量を抽出する。そして、受信した前処理データと取得、抽出した生体特徴量とを組み合わせて認証データを作成する(ステップ802)。
【0060】
このように、生体情報の認証処理において、前処理データは、認証データを作成するための暗号鍵としての機能も有している。また、この認証データを仮に取得できたとしても、このデータから生体特徴量直接作成することはできない。認証データは生体特徴量から作成したデータであるが、この作成過程では不可逆変換処理によるアルゴリズムを用いていることから、逆に認証データから生体特徴量を作成することできず、更に、前処理データと認証データとの2つのデータから生体特徴量を作成することはできない。前処理データは個人を特定できない部分を抜き出して作成した情報で、認証データは個人を特定できる部分を抜き出して作成した情報である。
【0061】
ここで、上記のデータ作成アルゴリズムを生体情報登録時と同様に数式で表す。
【0062】
生体認証機構部508によって認証時に得る情報、即ち、新たに得た生体特徴量をx´とする。そして前処理データyは登録時と変わらないので、「y = f(x)」である。
【0063】
認証データz´は生体特徴量x´と前処理データyとの組み合わせにより作成されるので、ある関数gを用いて「x´ + y → z´ = g(x´,y)」と表せる。そして、この作成過程は不可逆過程なので、z´ → x´ 、z´ → y 、z´ → x´ + y のように登録データから生体特徴量や前処理データを復元することはできない。
【0064】
S802の認証データ作成後、生体認証機構部508で作成した認証データを認証制御ソフト622の指示、制御によって認証データバッファ706に一時記憶してから、ICカード105に送信する(ステップ803)。ICカード105は認証データを受信し、ICカード105に記憶しておいた登録データと認証データとをあるアルゴリズムによって照合し(生体認証処理とも言う)、認証結果データを作成する(ステップ804)。さらに作成した認証結果データを認証制御ミドル702に送信する。認証制御ミドル702はICカード105から認証結果データを受信し、認証制御ソフト622の認証結果データバッファ705に一時記憶してから、生体認証機構部508に送信する。そして、生体認証機構部508は生体認証機構部508内で認証結果データの判定(分析)を行い(ステップ805)、認証結果データと認証成功部位・認証失敗原因を認証制御ミドル702に通知し(ステップ806)、生体認証処理は終了する。
【0065】
このように、生体認証処理では、利用者の生体情報そのものに最も近い生体特徴量はICカード105内に記憶しておらず、また生体認証機構部508によって生体特徴量を取得、抽出するものの、生体認証機構部から外には出さない特徴を有している。
【0066】
また、認証制御ソフト622を介して、またその制御の基に、ICカード105と生体認証機構部508との間でやり取りするデータは前処理データ、認証データ、認証結果データの3つであるが、上述のとおりこれらのデータを如何様に組み合わせても生体特徴量を作成することはできない特徴も有している。
【0067】
また、生体情報に係る各データの作成など生体認証処理において、ICカード105、生体認証機構部508のそれぞれに分担して認証結果を得る特徴を有している。そのため、ICカードまたは生体認証機構部が盗まれ、またその内部を解読したとしても生体認証処理を実行することができないように工夫されている。つまり、認証時に生体認証機構部508で取得した生体特徴量から新たに前処理データを作成し、この前処理データと生体特徴量から認証データを作成することも理論上可能であるが、本実施形態ではそのようにはせず、ICカード105に記憶しておいた前処理データと生体特徴量により認証データを作成するので、セキュリティが高く保たれている。
【0068】
また、認証制御ミドル702は前処理データを生体認証機構部508内に記憶し、認証データが作成されてから削除するのが良く、認証が必要な際に、随時、前処理データバッファ707から生体認証機構部508に送信する態様が望ましい。つまり、ATM501による取引が終わるまで認証制御ソフト622内の前処理データバッファ707に前処理データを記憶しておくことである。こうすることで、前処理データをICカード105から送信するよりも、認証制御ソフト622内の前処理データバッファ707から送信した方が早い処理が可能になる、との効果がある。
【0069】
なお、上述のようにICカード105内にて生体認証処理を実施しているので、ICカード105自体、又はICカード105のCPU221を生体情報照合部、又は生体認証処理部とも言う。
【0070】
図9〜12を用いて現金自動取引装置、現金自動預払装置(ATM)501でICカード105を使用してICカード内認証方式による生体認証処理を含む支払取引を実施するときの処理を説明する。
【0071】
図9はATM501のCPU601、認証制御ソフト622等(制御部)が実行し、特にICカード内認証方式を用いた生体認証処理によるATM上での取引を示すフローチャート例である。
【0072】
生体認証処理を行う前に、取引選択や暗証番号入力、カード挿入などATM501での取引を実行するために必要な処理を行う。操作部503に入金、支払、残高照会、振込などの取引選択案内をROM620より読み出して表示し、利用者から取引の選択を受け付ける(ステップ901)。生体認証が必要な取引、例えば支払取引等が選択された場合は操作部503にICカードを挿入する旨の案内を表示しICカード105の挿入を促す。利用者によりカード/明細票機構部504にICカード105が挿入されるとそれを検知し(ステップ902)、カード/明細票機構部504のICカード読取部603よりICカード105から口座番号を読み取る。なお、ICカード105は磁気ストライプを備えたものでも良く、そのときは生体情報以外の、口座番号などのデータをICカード105の磁気ストライプから読み取ることも可能である。
【0073】
次に暗証番号を入力する旨の案内を操作部503に表示する。利用者により操作部503に暗証番号が入力されると、それを検知し(ステップ903)、読み取った口座番号と入力された暗証番号とを通信部610、613を介してサーバ502に送信する。一方、サーバ502のCPU611は、入力された暗証番号を通信部610、613を介して受信し、入力された暗証番号と事前に記憶部612に登録しておいた口座番号に対応する暗証番号との照合を行い、その照合結果をATM501に通信部610、613を介して送信する。ATM501は通信部610、613を介して照合結果を受信して、暗証番号の正否をチェックし(ステップ904)、入力された暗証番号が正しくなかった場合は、暗証番号の入力回数をカウントする(ステップ905)。このときの暗証番号の入力回数が規定回数以内であれば利用者に対し、暗証番号の再入力を促す。暗証番号の入力回数が規定回数を超えていれば、取引を中止する(ステップ906)。
【0074】
S904において、入力された暗証番号が正しかった場合は、挿入されたICカード105が生体認証対象カードであるか否かを判断する(ステップ907)。このときの生体認証対象カードとは、生体認証を実施するために必要な情報やプログラムを持つカードである。
【0075】
そして、挿入されたICカード105が生体認証対象カードではなかった場合は生体認証処理を行わず、続いて支払等の取引を実行する(ステップ915)。挿入されたICカード105が生体認証対象カードであった場合、生体認証処理の事前準備として認証取引開始処理を行う(ステップ908)。認証取引開始処理については後述の図10を用いて詳細に説明する。
【0076】
認証取引開始処理が終了すると、ATM501のCPU601は認証制御ソフト622をRAM621に取り込み、展開する。次にATM501のCPU601は認証制御アプリ701を実行する。それを受けて認証制御アプリ701は認証制御ミドル702に対し登録情報取得指示を出す。登録情報取得指示を受けた認証制御ミドル702はICカード制御プログラム704を実行して、認証制御アプリ701から指示された処理に必要な情報(登録者情報)をICカード105から取得する(ステップ909)。処理に必要な情報には口座番号、店番、科目などの取引情報や利用者氏名、運転免許証や保険証などの本人確認が可能な証明書の有無といった利用者情報などが含まれる。また、このとき認証制御ミドル702は認証制御アプリ701に取得を指示された情報の他に、ICカード105に予め登録されていた前処理データを取得し、前処理データバッファ707に格納する。これは、認証制御アプリ701が指定している情報と同時に前処理データも取得することでICカード105にアクセスする回数を減らし、処理時間を向上するためである。このデータは認証制御ミドル702に送信され、前処理データバッファ707に格納される。このようにATM501のCPU501が主体になって認証制御ソフト622内の各種プログラムを実行してそれぞれの処理を行うが、以下では、説明を簡略化するためにこの過程を省略し、認証制御ミドル702を主体として説明する。また、上述してきたように、これらを纏めて制御部(手段)による制御、処理とも言う。
【0077】
ICカード105から登録情報を取得後、認証制御ミドル702は生体認証機構部制御プログラム703を実行して生体認証処理を行う(ステップ910)。即ち、前処理データバッファ707に格納された前処理データを生体認証機構部508へ送信すると同時に、生体認証機構部508に生体情報取得を指示する。この生体認証処理については図8を用いて説明したが、後述の図11においても詳細に説明する。
【0078】
次に生体認証の成否をチェックし(ステップ911)、ここで生体認証が失敗だった場合は、生体認証の実施回数をカウントする(ステップ912)。このときの生体認証の実施回数が規定回数以内であればRAM621又はプログラムに記憶、格納していた前処理データを生体認証機構部508に再送信し、ATM501の操作部503に再認証開始画面を表示するなどして、利用者に再度、生体認証を実施させるようにする(ステップ917)。生体認証の実施回数が規定回数を超えていれば、取引を中止する(ステップ913)。なお、このとき、RAM621に記憶された前処理データ等はセキュリティを高めるため削除する。そしてS911において、生体認証が成功だった場合は、生体認証処理の事後処理として認証取引終了処理を行う(ステップ914)。この認証取引終了処理については後述の図12を用いて詳細に説明する。
【0079】
認証取引終了処理が終了すると、利用者の希望する取引、つまりS901で取引選択された取引を実行する(ステップ915)。具体的には、利用者の希望する取引が支払取引ならば、操作部503により、支払金額の入力を受け付ける。利用者により支払金額入力が行われると、入力された金額及び金額が正しいか否かの確認キー押下を促すメッセージを操作部503に表示する。操作部503の確認キーが押下されると、サーバ502と取引データの交信を行う。交信後、ATM501のCPU601は要求された金額分の紙幣、硬貨を紙幣入出金機構部506、硬貨入出金機構部507からそれぞれ排出し、カード/明細票機構部504の明細票印字部604に取引データの印字を行わせる。そして、カード/明細票機構部504からICカード105を返却するとともに、取引データを明細票に印字・送出し、取引が終了する(ステップ916)。
【0080】
また、利用者の希望する取引が残高照会ならば、サーバ502と取引データの交信を行い、交信後、操作部503に預金又は借入残高を表示する。表示後、利用者に対し、取引を終了したいか、続けて別の取引を実施したいかの案内を行う。取引を終了したい場合には、カード/明細票機構部504からICカード105を返却するとともに、利用者の要望に応じて取引データを明細票に印字・送出し、取引が終了する(ステップ916)。利用者が別の取引実施を希望する場合には、以下の処理を行う。
【0081】
残高照会後に続けて、上述の支払取引などの生体認証が必要な取引が希望された場合、再び生体認証を実施して、生体認証が成功した場合にのみ取引を実行する。生体認証を取引ごとに実施することにより、利用者が残高照会で預金・借入残高を確認したがICカード105を受け取らずにATMから離れてしまった場合、第3者により取引を行われてしまう場面も考えられるので、そのような危険を排除し、セキュリティの高いATMシステムを実現することができる。
【0082】
なお、このフローでは、暗証番号入力の後に、生体認証を実施しているが、この順番を逆にして、生体認証実施の後に暗証番号を入力させても良い。暗証番号入力を先に実施する場合には、一般的な取引と同様に利用者はカード挿入後、最初の取引選択後すぐに暗証番号を入力するので、その後に生体認証を行っても操作フローが現状に近く装置を扱い易いという利点がある。一方、暗証番号による認証よりも生体認証を先に実施する場合には、もしも本人以外が生体認証を行い生体認証が失敗となり取引を拒否するときに、暗証番号入力を経ずに取引を終了するので無駄な暗証番号照合のためのサーバとの通信をしなくて済み、サーバへの負担を軽減できるという利点がある。
【0083】
図10により、図9のS908における認証取引開始処理について説明する。認証制御アプリ701から認証取引開始指示を受けた認証制御ミドル702は、ICカード制御プログラム704を実行して、ICカード105との接続を行う(ステップ1001)。これは前述したようにICカード105からのデータの読み取りを可能な状態にするものである。但し、ICカード105には生体情報に関するデータがなく、ICカード内認証に対応していないICカードの場合は、例えば上述の暗証番号による認証処理のみでもATMでの所望の取引ができるようにするのが望ましく、図9のS902などのカード挿入とほぼ同タイミングでICカード制御プログラム704を認証制御ミドル702以外の他のATMソフトウェアによって実行し、少なくともS908の処理前にICカード105との接続を完了させておく方が良い。
【0084】
また、カード/明細票機構部504に挿入されているICカード105には、図1の生体情報登録装置101により予め利用者固有の登録データ及び前処理データが登録されており、ICカード105内で認証を行うための認証プログラム711が搭載、記憶されている。この認証プログラム711はICカード105に事前に、また書き換え不可能な形式で書き込まれたアプリケーションであり、ICカードに事前登録された登録データと、ATMの制御部によって得られた認証データとを特定のアルゴリズムに従ってマッチング、照合を行うプログラムである。
【0085】
S1001にてカード/明細票機構部504とICカード105との接続が成功すると、認証制御ミドル702はICカード105に登録されているサポート認証方式(又はサポート認証情報)を取得する(ステップ1002)。サポート認証方式とは、予めICカード105に登録されているもので、認証データや生体特徴量などの情報をどの制御手順で認証処理が実施できるかを一意に決定できる情報である。例えば、指静脈認証では生体認証機構部508内において認証(照合)する装置内認証処理と、ICカード105内において認証するICカード内認証処理をサポートしており、ICカード105からサポート認証方式を取得することで、認証制御手順を切り替え1つの認証制御プログラムで2つの認証方式を可能にしている。
【0086】
このサポート認証方式取得のような、ICカードなどに登録された認証方式、認証制御手順を一意に決定する情報を用いて認証制御の手順や方式を切り替える方法は、ATMなどの生体認証装置搭載端末に複数の認証装置(例えば指、手のひらといった静脈認証装置や目の虹彩認証装置など)が搭載されている場合にも、認証制御プログラムの制御方式を切り替えることで複数の生体認証装置の制御に対応できることになる。
【0087】
次に、ステップ1002で得た認証方式が、ICカード内認証か否かを判断し(ステップ1003)、ICカード内認証でない場合は取引処理を行わずにICカード105を返却する(ステップ916)。一方、ICカード内認証方式である場合はATM501とICカード105との間の相互認証を行い、認証取引開始処理は終了する(ステップ1004)。相互認証とは、生体認証機構部508にある認証データ作成プログラム709や、ICカード105に搭載された認証プログラム711などが不正なプログラムに改ざんされていないか、ATM501とICカード105とで相互のプログラムの正当性を確認するための処理である。
【0088】
図11により図9のS908の生体認証処理について説明する。図8で説明したように、この生体認証処理は、最終的には、予めICカード105内に記録しておいた登録データと、生体認証処理時に新たに作成した認証データとの認証(照合)を行い、その照合結果を得る処理であり、認証自身の根幹に係る処理はICカード105内で行うことを特徴とする。
【0089】
図9のS909においてICカード105よりデータを受信するが、それと共にこの生体認証時には、ICカード105から予め記憶していた登録本数分の前処理データを認証制御ミドル702に送信する。認証制御ミドル702はICカード105に記憶していた前処理データを受信し、前処理データバッファ707に格納する。さらに、前処理データバッファ707に格納されたこの登録本数分の前処理データを生体認証機構部508へ送信する(ステップ1101)。生体認証機構部508は登録本数分の前処理データを受信すると、次にまた並行処理として、利用者の生体情報を読み取る。
【0090】
図11のステップ1102〜ステップ1106の処理は、図4のステップ405〜ステップ408とほぼ同じ処理を実行して生体特徴量を得る。画像センサ607の画像取得可能領域に指が置かれると生体有無検知用照明LED608により物体(指)が置かれたことを検知し(ステップ1102)、物体(指)が生体であるか否かを調べる(ステップ1103)。挿入された物体(指)が生体でなかった場合は、生体認証が失敗となる(ステップ1104)。挿入された物体(指)が生体だった場合は、生体取得用照明LED609により生体に近赤外線を照射し、画像センサ607で生体画像(指静脈パターン)を取得し、記憶部606に記憶する(ステップ1105)。
【0091】
次に、生体画像(指静脈パターン)から特徴的なデータをあらわす生体特徴量を抽出する(ステップ1106)。ここで優先順位Nを「1」に設定する(ステップ1107)。そして、認証制御ミドル702の指示で認証データ作成プログラム709を実行することで、図8にて説明した優先順位N(N=1)の認証データを作成する(ステップ1108)。そして作成された優先順位N(N=1)の認証データを認証制御ミドル702に送信し、認証データバッファ706に格納する。
【0092】
認証制御ミドル702はICカード制御プログラム704を実行して、認証データバッファ706に格納した優先順位N(N=1)の認証データをICカード105に送信すると同時にICカード105内の認証プログラム711に生体認証指示を出す(ステップ1109)。一方、ICカード105はカード内に記憶された認証プログラム711を実行して、ICカード105に予め登録された優先順位N(N=1)の登録データと、上述の認証制御ミドル702の認証データバッファ706に格納された優先順位N(N=1)の認証データとを照合して生体認証処理を行い、優先順位N(N=1)の認証結果データを作成する。
【0093】
そして、ICカード105は優先順位N(N=1)の認証結果データを認証制御ミドル702に送信し、認証制御ミドル702は認証制御ミドル702内(ハードとしてはRAM内)の認証結果データバッファ705に格納する。このように認証制御ミドル702が実施する生体認証機構部508とICカード105と間のデータの送受信制御では、生体画像(指静脈パターン)から取得した生体特徴量は生体認証機構部508の外部に出ることがなく、またICカード105に登録されている認証データも外部に出ることがない。よって個人情報が装置の外部に漏洩するのを防ぐことができるので、個人情報の秘匿性が守りセキュリティが向上する。
【0094】
認証制御ミドル702は生体認証機構部制御プログラム703を実行して認証結果データバッファ705に格納された優先順位N(N=1)の認証結果データを生体認証機構部508へ送信する(ステップ1110)と共に認証結果判定プログラム710に認証結果判定指示を出す。次に認証結果判定プログラム710を実行してICカード105内で行った認証の結果である認証結果データバッファ705に格納された優先順位N(N=1)の認証結果データから生体認証が成功か失敗かを判断する。
【0095】
ここで出力として、生体認証機構部508は認証が成功した場合は、生体のどの部位で認証が成功したかを認証制御ミドル702に通知する。例えば、生体認証の部位が指静脈や、指紋などであれば、どの指(例、右手、中指等)で認証が成功したか、手ひらの静脈であれば右手か左手か、目の虹彩であれば、右目か左目のどちらで認証が成功したかが認証制御ミドル702に通知されることになる。一方、認証が失敗した場合は、認証結果判定プログラム710でICカード内認証に失敗した原因を判断し認証制御ミドル702に通知する。原因として、例えば指の置き方が悪かったのか、登録されていた別の指を置いてしまったか、などの情報を付随させて認証制御ミドル702に通知し、それに基づいて認証制御アプリ701によって操作部503にその原因を表示するのが望ましく、これにより操作性の良い装置を提供できる。このように、生体認証機構部508が認証結果を判別する例にて説明したが、ICカード内の認証プログラム711、または、認証結果データを取得した認証制御ミドル702でも認証処理の成否や認証成功部位、認証失敗原因などの認証結果の判別ができる形態でも良い。
【0096】
次に、認証制御ミドル702は優先順位N(N=1)の登録データと優先順位N(N=1)の認証データとのマッチング、照合結果である優先順位N(N=1)の認証結果データを認証制御アプリ701へ送信する。認証制御アプリ701は優先順位N(N=1)の認証結果データが成功か失敗かを判断する(ステップ1111)。認証結果データが成功であれば、生体認証処理を終了する。認証結果データが失敗であれば、ICカード105に登録してあった本数分の生体認証が終了したか否かを判断する(ステップ1112)。登録してあった本数分の生体認証が終了していれば、生体認証処理を終了する。登録してあった本数分の生体認証が終了していなければ、優先順位N(N=1)に1を足して、優先順位N(N=2)とし(ステップ1113)、再びステップ1108〜ステップ1112へと進んで、優先順位N(N=2)の指の認証結果データが成功か失敗かを判断して、失敗ならば、登録してあった本数分の生体認証が終了したか否かを判断する。このようにして、ステップ1108〜ステップ1112を繰り返し、優先順位が高い順に、登録しておいた本数が終了するまで認証を続ける。このとき、認証制御ミドル702は、ICカード105の登録情報取得処理で取得した前処理データを前処理データバッファ707に保持し続けるのが望ましく、ICカード105の登録情報取得処理を省略することができるので、認証処理時間が向上する。これは、残高照会から支払取引というような1回の来店で連続した本人確認が必要な取引を行うため複数回の認証処理を実行する場合にも、同様にICカード105から取得した前処理データを前処理データバッファ707から削除しないことで、ICカード105の登録情報取得処理を省略し、連続取引にての認証処理を実行することが可能である。
【0097】
ここで、上記ステップ1111にて認証結果データが成功であったときの例として、図13の優先順位が変更されない例について説明した。更に、生体登録処理でも説明したとおり、図13のデータに認証成功回数を示すデータも付加しても良い。その際、上記認証結果データが成功であったときはこの成功回数を1回の計数としてカウント(計数、勘定)し、それを図13の認証成功回数1305に追加し、優先順位を変更する変更処理を認証制御ミドル702の指示に応じて実行、制御する。これにより優先順位が全く変更しない例(図13の1301のみ使用する場合)に対して、更に、使い勝手が良い装置、システムを構築することが可能となる。但し、認証成功回数が全く同じ状態になったときは、最初に登録しておいた方の優先順位1301に基づいて認証処理を行う。
【0098】
なお、本実施形態では、「右手人差し指を入れてください。」、「右手人差し指で認証に成功しました。」、「右手人差し指で認証に失敗しました。次は右手中指を入れてください。」など、指の種類を指定した指示・結果ではなく、「指を入れてください。」「認証に成功しました。」「認証に失敗しました。もう一度指を入れてください。」など、指の種類に言及しない指示・結果を表示して認証を実施している。そして、認証制御アプリ701が認証失敗の結果を受け取った場合には、優先順位の高い順に自動的に異なる登録指を指定して再び認証制御ミドル702に認証処理を要求し、すべての登録指の認証が失敗した場合に初めて利用者に認証失敗の通知を出している。これにより、認証に用いる指の種類を操作部503の画面上に表示しないので、万が一カードの持ち主でない第3者が偽造などの犯罪目的のためにどの指が登録してあったのかを知ろうとした場合にそれを防ぐことができる。
【0099】
しかし、指の種類含めた指示、認証結果を操作部503の画面上に表示しても良い。このようにすれば、どの指が登録してあって、認証にはどの指を用いるのかを利用者は常に確認しながら操作できるので、利用者にとっては使いやすく、心理的に安心できる構成となる。
【0100】
図12により、図9のS914に示す認証取引終了処理について説明する。
【0101】
認証制御アプリ701は認証結果データが認証成功であれば、認証制御ミドル702に対して認証取引終了指示を出す。認証制御ミドル702は、ICカード制御プログラム704を実行しICカード105との切断処理を実行する。ICカード105との切断とはICカード105にアクセスすることができなくなる状態である。ICカード105との切断後、認証制御ミドル702からの指示で生体認証装置制御プログラム703は、生体認証機構部508にある生体特徴量など、生体認証に使用した個人情報やそれを元に作成された認証に係わる情報を全て記憶部から削除する。
【0102】
これは個人情報などが外部に漏洩することを防ぎ、セキュリティを向上させるために有効な特徴でもある。生体認証機構508内のデータをクリアした後、認証制御ミドル702は、自身が持つ認証結果データバッファ705、認証データバッファ706、前処理データバッファ707に格納された情報を削除し(連続取引は除く)、情報漏洩を防止している。認証取引終了処理が終了すると、支払金額の入力、サーバ502との交信などを行い、支払取引を終了する。
【0103】
以上、図1〜4を用いて生体情報の登録処理、図5〜12を用いて生体情報の認証処理を説明したように、例えば、ハード的にはCPU601、主記憶部602の制御、処理によって行われ、ソフト的には認証制御ソフト622、認証制御アプリ701、認証制御ミドル702の制御、処理によって生体情報の認証が実行される。よって、上述したとおり、これらを纏めて制御部、制御手段による制御、処理ということができるし、また各プログラムの機能をLSI等のハード的にも達成できる。また図7の各種プログラムはその処理に必要なときに初めて起動、実行されるだけでなく、ATM起動時に各プログラムを起動させておき、各処理で必要なプログラムを実行させる方が処理時間は短縮できる。
【0104】
また、図3において、前処理データを生体特徴量から作成し、その作成した前処理データと生体特徴量から認証時に使用される登録データを作成する形態にて説明したが、前処理データの作成に関して生体特徴量とは全く関連なく、また独立に作成してもよい。上述したとおり、生体情報の登録時において前処理データは登録データを作成するための暗号鍵(またはアルゴリズム)の機能を有し、生体認証時には認証データを作成するための暗号鍵の機能、役割を有している。従って、生体特徴量から前処理データを作成すれば、即ち利用者それぞれに対応したデータとなりセキュリティの高いデータ作成アルゴリズムを構成できるが、一方、前処理データを生体特徴量とは独立に作成すれば、事前に暗号鍵としての役目である前処理データ自身を作成しておくこともでき、全体として簡易なプログラム構成となるので手間が省け、登録、認証の処理時間が短くなる。
【0105】
また、前処理データを生体特徴量から一段階で作成したが、何段階か踏まえた上で作成するようにしてもよい。これにより、第3者が前処理データ作成過程を解析しようとしても、作成過程が複雑なので解析しにくい、また、解析に時間がかかるという効果がある。
【0106】
また、前処理データ、登録データ、認証データ(認証失敗時や連続取引時に作成する認証データを含む)は元々利用者の指などの生体特徴量(画像パターン含む)から作成、生成された情報であることから、第1、2、…(生体)情報と言うこができる。即ち、これら第1、2…(生体情報)は生体特徴量を含んだ概念である生体情報から得られる情報とも言える。
【0107】
以上、本発明のICカード内認証方式ではICカード内に登録された個人を特定できる情報と認証装置で取得した生体情報(生体特徴量)そのものは、認証装置搭載端末に取り込まれることがないので、個人情報の秘匿性が守られ、セキュリティの高い生体認証が可能となる。
【0108】
そして、本発明の登録生体情報優先順位付加認証方式では、利用者は予め登録した複数の生体情報に対して優先順位を付加し、優先順位の高い順に認証処理を実行することで認証処理を短縮することができる。
【0109】
また、これまでの生体情報に優先順位を付加する生体認証には、前回使用された指が次回最も使われる可能性が高いとする使用実績に基づいてこの優先順位を並び替える優先順位の変更技術があった。しかし、この変更技術では5つの生体情報(5本の異なる指)を登録しておき、過去の認証成功回数が指ごとに異なる場合(認証成功回数:親指0回、人差し指70回、中指15回、薬指10回、小指5回)に、過去の認証成功回数が少ない指(親指等)を一度認証に用いてしまうと、次回普段使うことの多い指(人差し指等)を使う認証時に、普段使うことの多い指の照合前に必ず認証成功回数が少ない指の照合を行わなくてはならないので不便であった。
【0110】
それに対し本発明は、前述の課題で挙げたものと同様の状況(認証成功回数:親指0回、人差し指70回、中指15回、薬指10回、小指5回)であっても、認証成功回数に基づいて優先順位を付加しているため、親指認証前後、薬指認証前後、常に1位人差し指、2位中指、3位薬指、4位小指、5位親指、である。ここで、次に人差し指で認証したいとすれば、優先順位は1番なので、無駄な指の照合を行わずに済み、認証を短時間で実施することができる。
【符号の説明】
【0111】
101…生体情報登録装置、102…生体情報読取装置、103…ICカード装置、104…登録用端末装置、105…ICカード、201…CPU(生体情報登録装置)、202…主記憶部(生体情報登録装置)、203…ROM(生体情報登録装置)、204…RAM(生体情報登録装置)、205…登録処理プログラム、206…登録データ作成プログラム、207…生体情報読取装置制御プログラム、208…ICカード装置制御プログラム、209…通信制御プログラム、210…画像センサ(生体情報登録装置)、221…CPU(ICカード)、222…記憶部(ICカード)、231…CPU(登録用端末装置)、232…主記憶部(登録用端末装置)、233…生体情報登録装置制御プログラム、501…現金自動預払装置、502…サーバ、503…操作部(現金自動預払装置)、504…カード/明細票機構部、508…生体認証機構部、601…CPU(現金自動預払装置)、602…主記憶部(現金自動預払装置)、607…画像センサ(現金自動預払装置)、611…CPU(サーバ)、612…記憶部(サーバ)、620…ROM(現金自動預払装置)、621…RAM(現金自動預払装置)、622…認証制御ソフトウェア、701…認証制御アプリケーション、702…認証制御ミドルウェア、703…生体認証機構部制御プログラム、704…ICカード制御プログラム、705…認証結果データバッファ、706…認証データバッファ、707…前処理データバッファ、709…認証データ作成プログラム、710…認証結果判定プログラム、711…認証プログラム
【技術分野】
【0001】
本発明は、現金自動預払装置(ATM)などで使用される生体認証システムに関する。
【背景技術】
【0002】
従来、現金自動預払装置(ATM)などで行われてきた生体認証システムには、以下のようなものがある。
【0003】
特許文献1には、バイオメトリックス式個人識別装置における優先処理装置が記載されている。この技術は予めデータベースに複数の個人識別情報を優先順位をつけて登録しておき、優先順位に従って照合していくものである。そして、前回使用された指が次回最も使われる可能性が高いとして、使用実績に基づいてこの優先順位を並び替えるので、固定された順序で照合を行うよりも本人認証の速度を向上することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2002−140707号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の方法では、前回使用された指が次回最も使われる可能性が高いとする使用実績に基づいてこの優先順位を並び替える優先順位の変更技術であるため、次の問題が発生する。
【0006】
5つの生体情報(5本の異なる指)を登録しておき、過去の認証成功回数が指ごとに異なる場合(認証成功回数:親指0回、人差し指70回、中指15回、薬指10回、小指5回)を想定すると、認証登録をしてあったものの過去に認証に用いたことのない親指で認証を行った場合、親指認証前の優先順位は1位人差し指、2位中指、3位薬指、4位小指、5位親指、であり、それが認証後には1位親指、2位人差し指、3位中指、4位薬指、5位小指と変更される。さらに、あまり認証に用いたことのない薬指で認証を行うと薬指認証後には1位薬指、2位親指、3位人差し指、4位中指、5位小指と変更される。そして、次に人差し指で認証したいとすれば、この状況では優先順位が3番に下がっているので、人差し指にたどりつくまでに過去に認証成功実績の少ない薬指、親指の照合を行うので時間がかかってしまう。
【0007】
つまり、特許文献1の方法は過去の認証成功回数が少ない指を一度認証に用いてしまうと、次回普段使うことの多い指を使う認証時に、普段使うことの多い指の照合前に必ず認証成功回数が少ない指の照合を行わなくてはならないので不便である。
【0008】
本発明は、上述の問題を解決し、ICカードを用いた生体認証システム及びその方法において、生体情報の高い秘匿性、認証処理時間の短縮を実現することを目的とする。
【課題を解決するための手段】
【0009】
本発明は上記の課題を解決するために次のような手段を採用した。
【0010】
個人の認証を行う生体認証システムにおいて、優先順位を付加した複数の前処理データを記憶する記憶部と、利用者の生体情報を取得する生体情報取得部と、前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体情報取得部により取得した生体情報とによって生成された認証データと、前記記憶部に予め記憶していた複数の登録データの中から優先順位に従う登録データと照合し、照合結果を得る生体情報照合部と、前記生体情報照合部により照合を実施する毎に、照合結果の成功回数を計数し、当該照合の成功回数に応じて、前記記憶部に予め記憶していた複数の前処理データに対して付加された優先順位を変更する制御部と、を有する。
【発明の効果】
【0011】
本発明はICカードを用いた生体認証システム、及び装置において、複数の生体情報に優先順位を付加し、優先順位の高い生体情報から認証処理を実施することでセキュリティを高く保ち、短い処理時間で本人認証を行うことができる。
【図面の簡単な説明】
【0012】
【図1】生体情報登録処理システムの概要図の例。
【図2】生体情報登録処理システムのブロック図の例。
【図3】生体情報登録処理の説明図。
【図4】生体情報登録処理のフローチャートの例。
【図5】生体認証処理システムの概要図の例。
【図6】生体認証処理システムのブロック図の例。
【図7】認証制御ソフトウェアの構成図の例。
【図8】生体認証処理の説明図。
【図9】ICカード内認証方式を用いた生体認証処理を含む取引のフローチャートの例。
【図10】認証取引開始処理のフローチャートの例。
【図11】生体認証処理のフローチャートの例。
【図12】認証取引終了処理のフローチャートの例。
【図13】優先順位と生体情報との関係を示すデータ例。
【発明を実施するための形態】
【0013】
以下、本発明を用いた実施の一形態について説明する。
【実施例1】
【0014】
本実施形態では、金融機関の営業店においてオペレータ(窓口担当者)と利用者間で、利用者が所有する携帯電子装置、特に、ICカードへ利用者の生体情報(例、指静脈)を登録する生体情報登録処理と、金融機関、コンビニ等に設置され、主に現金にかかる取引を自動的に取引する現金自動取引装置、現金自動預払機(ATM)を使用して利用者の生体情報を使用して認証する生体認証処理、との大きく2つに分けて説明する。図1〜4にて生体情報登録処理を説明し、図5〜12にて生体認証処理を説明する。
【0015】
最初に、生体情報の登録処理と、認証処理との概要を簡単に説明する。
【0016】
生体情報登録処理では、利用者の指静脈から特徴量を抽出して前処理データと生成すると共に、登録データも生成してICカードに登録する。この処理の過程で使用される窓口端末はICカード装置付生体情報登録装置と接続されており、登録用の生体情報(前処理データ、登録データ)が暗号化されて、窓口端末を経由せずに生体情報登録装置からICカードに直接転送、書き込みが実行される。
【0017】
一方、生体認証処理では、利用者の指静脈からの特徴量と、ICカードに登録された前処理データ、登録データとを特有の認証、照合技術に基づいてその処理を実行する。この処理の過程ではATMを中心として、ATMに接続された生体認証機構部により新たに取得した生体情報と、ICカードから読み出した前処理データにより認証データを生成し、これをICカードに転送してICカード内にて認証処理を行う。
【0018】
本発明の説明において、生体情報の登録処理は営業店システムを使用し、認証処理はATMを使用する態様で説明するが、営業店システムにおいても認証処理を、ATMにおいても登録処理を行う態様でも良い。但し、生体情報の登録処理は本人であることを確実にする上でも、オペレータが立ち会う営業店システムにおいて実行するのが望ましい。また、生体情報を登録しておく媒体としてICカードを例に挙げるがこれに限らず、携帯電話やRFID(Radio-Frequency-Identification)タグなど、携帯可能な電子媒体(携帯電子装置)であっても良いが、現在、利用者に最も普及しているキャッシュカードにICチップを搭載したICカードが望ましく、システムの変更を抑えることができる。
【0019】
図1は金融機関の営業店内においてオペレータが使用する営業店システムのうち、特に生体情報の登録に関係する生体情報登録処理システムを抜き出した概要図である。この生体情報登録システムは、生体情報読取装置102を備えた生体情報登録装置101と、この生体情報登録装置101を制御する登録用端末装置104とを接続して構成する。このシステムは金融機関のオペレータ(窓口担当者)が登録用端末装置104を操作して、ICカード105に利用者の生体情報を登録するものである。具体的には、操作部107を窓口担当者が操作し、表示部106に表示する種々のメニューより選択し、生体情報の登録の他、金融機関における様々な取引を可能とするものである。
【0020】
窓口担当者はICカード105を生体情報登録装置101の一構成であるICカード装置103に挿入し、ICカード105を書き込み可能な状態にする。一方、利用者は利用者自らの指を図示する形状に沿って生体情報読取装置102に置く。窓口担当者の操作により、生体情報読取装置102は近赤外線を置かれた指に透過し、カメラにより指の静脈パターンを撮影し、その画像を得る。この画像から生体特徴量を抽出し、抽出した生体特徴量に後述する処理を加えてICカード装置103によってICカード105に記録、書き込みの処理を実行する。なお、生体特徴量は指の静脈データ(静脈パターン)から得た個人を特定できるデータである。
【0021】
ICカード装置103は、上述したとおりICカード105に情報を書き込む機能を有している他、ICカード105に記憶されている情報を読み取る機能も有している。すなわち読取又は書込機能を有しているが、以下ではICカード105内に生体情報を書き込む例にて説明する。
【0022】
図2は図1で説明した生体情報登録処理システムの一実施例の構成を示すブロック図を示す。
【0023】
生体情報登録装置101は、生体情報登録装置101全体を制御するCPU201、様々な情報を記憶する主記憶部202、生体情報を読み取る生体情報読取装置102、ICカード105に生体情報を書き込むICカード装置103、及び登録用端末装置104と接続する通信部215とにより構成される。
【0024】
主記憶部202は、各種プログラムを記憶するROM203と、主にデータを記憶し、記憶したデータの書き換えが可能なRAM204とに分けられる。ここでは、ROM203、RAM204よる主記憶部(単に、記憶部とも言う)202として説明するが、それぞれハードディスク、種々の半導体メモリによる構成でも良い。ROM203は、生体情報の登録処理のための登録処理プログラム205、認証時に用いる登録データを作成するための登録データ作成プログラム206、生体情報読取装置102を制御するための生体情報読取装置制御プログラム207、ICカード105へ情報の書き込み処理のためのICカード装置制御プログラム208、及び通信部215を制御するための通信制御プログラム209を備えている。
【0025】
生体情報読取装置102は、生体画像(指静脈パターン)を取得し、CCDカメラなどで構成される画像センサ(画像取得部)210、画像センサ210の画像取得可能領域に指が置かれたか否かを検知する生体有無検知用照明LED211、生体画像(指静脈パターン)取得時に指に対し近赤外線を照射する生体取得用照明LED(生体照射部)212とを備えている。ICカード装置103は、ICカード105に情報を書き込むICカード書込部213、ICカード105と接続するための接点端子214を備えている。
【0026】
ICカード105は、ICカード105全体を制御するCPU221、生体情報に関連するデータや金融取引に係るプログラム等を記憶する記憶部222、生体情報登録装置101と接続するための接点端子223とを備えている。なお、ICカード装置103とICカード105とを接点端子による接触式に限らず、非接触式でも構成できる。
【0027】
登録用端末装置104は、登録用端末装置104全体を制御するCPU231、データやプログラムを記憶する主記憶部232、CRTや液晶ディスプレイなどで構成され、操作案内を表示する表示部106、窓口担当者の入力操作を受け付けるキーボード、マウスなどで構成された操作部107、生体情報登録装置101と生体登録用端末装置104と接続する通信部235により構成される。そして、主記憶部232は、生体情報登録装置101を制御するための生体情報登録装置制御プログラム233の他、窓口にて取引される種々の金融取引用のプログラムを格納している。
【0028】
図3により生体情報登録処理でICカード105に登録する登録データの作成過程について説明する。但し、作成過程におけるアルゴリズム等の開示はセキュリティ上、即ち、情報漏洩等による偽造を防止する関係から、その説明を省略する。生体情報の認証処理でも同様である。
【0029】
最初に、画像センサ210により得られた生体画像(指静脈パターン)に基づき、あるアルゴリズムを用いてその特徴をあらわす生体特徴量を抽出する(ステップ301)。そしてこの生体特徴量から更にあるアルゴリズムを用いて前処理データを作成する。更に、生体特徴量と前処理データとを組み合わせて登録データを作成する(ステップ302)。
【0030】
ここで、前処理データというものは、登録データを作成するために用いられる暗号鍵、という解釈もできる。また、登録データは上述及び図から明らかなように、生体特徴量から直接作成することが不可能なデータである。また、前処理データと登録データは利用者自身の特徴を明確にあらわす生体特徴量から作成したデータであるが、この作成過程では不可逆変換処理によるアルゴリズムを用いられる。従って、逆変換による作成処理として、登録データから生体特徴量又は前処理データを作成すること、前処理データと登録データとの2つのデータから生体特徴量を作成することはできない。なお、前処理データは利用者個人を特定できない部分を抜き出して作成した情報で、登録データは個人を特定できる部分を抜き出して作成した情報である態様が望ましい。また、前処理データ、登録データ共に、カード保有者しか得られない特有な情報である。後述するが、前処理データと登録データは指ごとに存在するもので、登録したい本数分の指に優先順位を付加し、ICカード105に記憶する。例を挙げると、3本の指(右手人差し指、右手中指、左手人差し指の順に優先順位をつける)の静脈を登録するならば、図13のように優先順位1の右手人差し指の前処理データ・認証データ、優先順位2の右手中指の前処理データ・認証データ、優先順位3の左手人差し指の前処理データ・認証データを登録することになる。
【0031】
図13に示すように、符号1301は利用者が生体情報をICカードに登録するときの優先順位を示し、各指の種類1302に対して設定される値(固定値)である。そして指の種類1302に対して前処理データ1303、登録データ1304がICカードにそれぞれ登録される。更に、他の例としてこの指の種類1302毎に後述の認証時における成功回数を累積して符号1305に記憶する。そしてこの認証成功回数1305によって優先順位を変更する優先順位変更データの設定値(変更値、図示せず)を追加してICカードに記憶する。
【0032】
最後に、作成した前処理データと登録データとをICカード105に記憶する(ステップ303)。ICカード105に記憶されたこれらのデータは暗号化された状態で記憶され、更に上述したとおり、逆変換による作成処理が不可能な状態で記憶されている。よって、仮に前処理データ、登録データが悪意のある者によって読み出され、且つ両データが解読されたとしても生体特徴量を生成することは不可能である。このように、データの暗号化、逆変換が不可能なデータ生成化、という二重のセキュリティ化によってICカード内のデータが守られていることも特徴の一つである。
【0033】
上記のデータ作成アルゴリズムを以下、数式で表す。
【0034】
生体特徴量をxとすると、前処理データyはある関数f(アルゴリズムに相当)を用いて「y = f(x)」として表せる。
【0035】
登録データzは生体特徴量xと前処理データyとの組み合わせにより、作成されるので、ある関数gを用いて「x + y → z = g(x,y)」と表せる。
【0036】
そして、この作成過程は不可逆的なものであることから、z = g(x,y) → x 、z = g(x,y) → y 、z = g(x,y) → x + y のように登録データから生体特徴量や前処理データを復元することはできない。
【0037】
図4は生体情報登録装置101のCPU201が、又はCPU201からの指示に基づいて各機構、各部(プログラムも含む)が実行する生体情報の登録処理のフローチャート例である。
【0038】
ICカード装置103にはICカード105が挿入されており、ICカード接続状態(ICカード105へのデータの書き込みが可能な状態)になっている。ICカード接続を成立させるには、ICカード105の接点端子223にICカード装置103の接点端子214を接触させる必要がある。以下では、窓口担当者が登録用端末装置104を操作し利用者の生体情報をICカード105内に登録する過程を説明すると共にその操作に基づく各機構等が実行する処理、制御について説明する。また、図2で説明した通信制御プログラム209は特に生体情報登録装置101と生体登録用端末装置104との間でデータの送受信を制御するものであるが、以下では省略して説明する。
【0039】
登録用端末装置104は表示部106にメニュー画面(登録、認証、変更、終了などの処理の選択を案内する画面)を表示し、窓口担当者の入力操作を操作部107により受け付ける。表示された取引項目の中から登録処理が操作部107によって選択されると、登録用端末装置104のCPU231は登録処理プログラム205、生体情報登録装置制御プログラム233を実行し、生体情報登録装置101に登録処理開始の指示を出す。登録処理開始の指示を受けた生体情報登録装置101のCPU201は登録処理プログラム205を実行し、システム全体として登録処理を実施する。
【0040】
登録用端末装置104の表示部106に生体情報登録装置101にICカード105を挿入するよう案内が表示される。ICカード105がICカード装置103に挿入されると(ステップ401)、ICカード105の接点端子223とICカード装置103の接点端子214を接触させ、生体情報登録装置101とICカード105との接続を行う(ステップ402)。このとき挿入したICカード105の記憶部222における生体情報に関連するプログラムの有無を判断し(ステップ403)、プログラムがない場合(データを登録できないカードの場合)は、ICカード105を返却する(ステップ414)。一方、挿入したICカード105の記憶部222に生体情報に関連するプログラムがある場合(データを登録できるカードの場合)は、優先順位Nを「1」に設定し(ステップ404)、表示部106に登録する指を生体情報読取装置102に置くよう案内が表示される。それに応じて、利用者は登録する指を生体情報読取装置102におく。生体情報登録装置101のCPU201は、生体情報読取装置制御プログラム207を実行し、生体情報読取装置102に生体情報読取開始の指示を出す。生体情報読取装置102は、画像センサ210の画像取得可能領域に物体(指)が置かれると生体有無検知用照明LED211により物体(指)の進入を検知し(ステップ405)、物体(指)が生体であるか否かを調べる(ステップ406)。挿入された物体(指)が生体でなかった場合は、ICカード105に何の情報も書き込むことなくICカード105を返却する(ステップ414)。挿入された物体(指)が生体だった場合は、生体取得用照明LED212により物体(指)に近赤外線を照射し、画像センサ210で優先順位N(N=1)の生体画像(指静脈パターン)を取得し、RAM204に記憶する(ステップ407)。次に、優先順位N(N=1)の生体画像(指静脈パターン)から優先順位N(N=1)の生体特徴量を抽出する(ステップ408)。そして、登録データ作成プログラム206を実行することで、図3のように優先順位N(N=1)の生体特徴量から優先順位N(N=1)の前処理データを作成した後(ステップ409)、優先順位N(N=1)の生体特徴量と優先順位N(N=1)の前処理データから優先順位N(N=1)の登録データを作成する(ステップ410)。続いて、ICカード装置制御プログラム208を実行して、作成したRAM204内の優先順位N(N=1)の前処理データと優先順位N(N=1)の認証データをICカード書込部213、更にはICカード105内のCPU221によりICカード105の記憶部222に記憶する(ステップ411)。登録したい本数分の指の登録が終了したかを判断し(ステップ412)、終了していれば生体情報登録が完了し、ICカード105を返却する(ステップ414)。終了していなければ、優先順位N(N=1)に1を足して、優先順位N(N=2)とし(ステップ413)、再びステップ405〜411へと進んで、優先順位N(N=2)の指の前処理データと優先順位N(N=2)の指の認証データをICカード105の記憶部222に記憶する。このようにして、ステップ405〜411を繰り返し、登録したい本数が終了するまで登録を続ける。なお、登録したい指の本数は金融機関側、利用者側が自由に決められる態様で良い。
【0041】
また、優先順位は図4のように登録時に付加するのではなく、全ての指の登録後、利用者の申告により任意の順番で追加・変更することもできる。これにより、利用者に優先順位の順番を考える時間の余裕を与えることができる。
【0042】
さらに、事前登録では優先順位を付加していなくても、利用者が認証処理実施時に使用した指を使用頻度順に応じて自動的に付加・変更することも可能である。使用頻度を前処理データ、登録データに付随させて、ICカード内に登録しておく。使用頻度順ならば、優先順位を付加する手間が省ける上に、利用者にとって使い勝手がよくなる。優先順位の定義は、数値の降順・昇順や文字列を用いたものなど、様々なものが考えられる。なお、使用頻度というのは、図13のように単純に生体認証の成功回数を計数(勘定)しても良いし、生体認証の実施全体の回数における指ごとの使用率など、失敗回数を用いたものを含め、本発明の目的を達成可能であれば様々な統計が考えられる。
【0043】
以上、各CPU201,221,231や記憶部に記憶された各プログラムの処理、制御を基に、生体情報の登録処理、制御について説明したが、各プログラムは登録処理に移行する当初の段階で既に起動されていても良く、またこれらのハード及びソフトによる構成を制御部として捉え、上述の各種制御、処理はこの制御部の機能、手段であることは言うまでもない。また、次に説明する生体情報の認証処理についても同様である。
【0044】
生体情報の認証処理を実行するにあたり、上述した登録処理によって登録された情報、即ち、ICカード105に記憶、登録、書き込まれた前処理データと、登録データとを使用して、認証処理を行うことを前提として説明する。
【0045】
図5は生体認証処理システムの概要図である。生体認証システムは、生体情報を読み取る機能と、ICカード105の情報に対する読み取り(又は書き込み)機能とを備えた現金自動取引、又は預払装置(ATM)501と、金融商品に関係する取引に必要な情報を記憶するサーバ502とを接続して構成する。ATM501は入金、支払、振込など利用者の希望する種々な取引を自動的に実行する装置であり、利用者はカード/明細票機構部504にICカード105を挿入し、操作部503により希望する取引や金額などを入力し、生体認証機構508により認証が成功することにより取引を行うことが可能となる。特に、現金取引では、紙幣入出金機構部506による紙幣の入金又は出金、硬貨入出金機構部507による硬貨の入金又は出金が実行され、ATM501は利用者が希望する現金のやりとりを行う。また、利用者が通帳記入を希望する際には、通帳機構部505にて通帳に取引内容を記入、印字することができる。なお、本実施形態で説明する生体認証システムは現金自動取引、又は預払装置で用いられるので、全体として現金自動取引、又は預払システムということもできる。
【0046】
図6は生体認証処理システムの一実施例の構成を示すブロック図である。ATM501は、ATM全体を制御するCPU601、取引項目の画面表示やキー入力検知、具体的には利用者の操作や指で押下されたキー入力を受け付けるタッチパネルなどで構成された操作部503、カードの挿入及び排出動作、カードの磁気ストライプ又はICカード105へのリード/ライト動作、カードエンボス部分のイメージの読み取りや、取引した内容を明細票に印字し、装置内から排出する機能を有するカード/明細票機構部504、利用者の通帳の挿入/排出動作、磁気ストライプのリード/ライト動作、通帳への印字部による印字機能などを有する通帳機構部505を有する。
【0047】
さらに、紙幣の鑑別や搬送、収納機能などを有し、紙幣の入金又は出金処理を行う紙幣入出金機構部506、硬貨の鑑別や搬送、収納機能などを有し、硬貨の入金又は出金処理を行う硬貨入出金機構部507、生体情報を取得し、その認証をサポートする生体認証機構部508(生体情報取得部とも言う)、データやプログラムを記憶する主記憶部(単に記憶部とも言う)602、及びサーバ502と接続する通信部610により構成される。
【0048】
なお、図1、2で説明した登録用端末装置104の操作部107は窓口担当者が利用者の生体情報をICカード105に登録する際に入力操作を行うためのもので、キーボードやマウスなどで構成されており、一方、図5、6のATM501の操作部503は利用者がATM501で取引を行う際に入力操作するためのもので、タッチパネルなどで構成されており、この2つは同じ操作部でも構成・用途が異なるものである。
【0049】
カード/明細票機構部504は、ICカード105の情報を読み取るICカード読取部603と、明細票に取引内容を印字する明細票印字部604、及びICカード105と接続するための接点端子605を備えている。
【0050】
生体認証機構部508は、種々のデータ等を記憶する記憶部606と、利用者の生体画像(指静脈パターン)を取得し、CCDカメラなどで構成される画像センサ(画像取得部)607と、画像センサ607の画像取得可能領域に指が置かれたか否かを検知する生体有無検知用照明LED608と、生体画像(指静脈パターン)取得時に指に対し近赤外線を照射する照明LED(生体照射部)609とを備えている。つまり、生体認証機構部508は図1、2に示す生体情報読取装置102とほぼ同様な生体情報を取得する機能を有している。
【0051】
主記憶部(単に記憶部とも言う)602は、ハード的には、各種プログラムを記憶するROM620と、主にデータを記憶し、記憶したデータの書き換えが可能なRAM621とで構成される。上述の登録処理で説明したとおり、それぞれハードディスクや種々の半導体メモリによる構成でも良く、また第1,2記憶部とも言う。また、ROM620は、以下に説明する生体画像の取得、認証などの処理をCPU601等の指示に従って行い、生体認証機構部508を制御するための認証制御ソフトウェア622を備えている。この他、図示しないがATM501の操作部503への画面データ、ATM501における現金取引、振込取引等に必要なプログラム、ソフトウェアも記憶されている。ATM501と通信網を介して接続されたサーバ502は、サーバ502全体を制御するCPU611、記憶部612、及びATM501と接続する通信部613により構成される。
【0052】
図7はATM501における生体情報の認証に係る制御、特に、生体認証機構部508の制御するための認証制御ソフトウェア622を中心にした主記憶部602、生体認証機構部508、カード/明細票機構部504内のICカード105、に関連する制御ブロック(ソフトウェア構成)を図示したものである。
【0053】
認証制御ソフトウェア622は、大きく、認証制御アプリケーション701と、認証制御ミドルウェア702とに分けられ、それぞれ、ソフトウェアのことをソフト、アプリケーションのことをアプリ、ミドルウェアのことをミドルと称することができる。
認証制御アプリ701とは、生体認証機構部508を搭載するATM501を導入する金融機関などの個別の機能を有するプログラムであり、その認証の手順や方式、認証時における画面表示など金融機関個々でその仕様を作成し、また変更される。特に、本認証制御アプリ701は認証処理開始指示などを認証ミドル702に対して行う。
【0054】
認証制御ミドル702とは、金融機関が異なり、生体情報が異なっても認証処理に必要な共通機能を有するプログラムであり、生体認証機構部508を制御する生体認証機構部制御プログラム703、ICカード105からカードとデータのやり取り、ICカード105内のプログラムの実行を制御するICカード制御プログラム704といった生体情報の認証に係る各種プログラムの制御、処理を司るプログラムである。
【0055】
また、認証制御ミドル702によって実行され、得られるデータはRAM621に一時的に記憶される。RAM621は、生体認証機構部508とICカード105との間のデータをやり取りするためのバッファ領域である認証結果データバッファ705、認証データバッファ706、前処理データバッファ707といった各データバッファを有する。これらのデータはハード的にはRAM621に記憶されるが、ソフト的には認証制御ソフト622、特に認証制御ミドル702に記憶される、とも言える。
【0056】
また認証制御ミドル702は認証制御アプリ701からの指示によりドライバ(図示しない)を経由してカード/明細票機構部504や生体認証機構部508を動作させる。そして、上述のように、これらの各部位はATM501のCPU601によってその処理が制御される。なお、ドライバとはコンピュータ周辺機器・装置(デバイス)を利用するための制御用ソフトウェアある。
【0057】
認証制御ソフト622より制御される生体認証機構部508の記憶部606は、認証データを作成するための認証データ作成プログラム709、認証結果データから認証の成否を判定するための認証結果判定プログラム710を有する。またカード/明細票機構部504は認証処理を実施するための認証プログラム711を有する。
【0058】
図8により生体認証処理における認証の仕組み、データのやり取りについて説明する。後述の図11の生体認証フローの説明の補完としても用いる。以下の動作の主体は認証制御アプリ701から実行命令を受けた認証制御ミドル702であるが、認証制御アプリ701と認証制御ミドル702とが共同して行うことから認証制御ソフト622によって動作する、とも言える。また、受信、送信をそれぞれ入力、出力とも言える。
【0059】
ATM501の取引において生体情報の認証が実行されると、ICカード105に予め記憶されている前処理データ、登録データのうち、前処理データが認証制御ミドル702に送信される。認証制御ミドル702は、ICカード105から前処理データを受信し、RAM621(認証制御ソフト622、認証制御ミドル702を含む)の前処理データバッファ707に一時記憶してから、生体認証機構部508に送信する(ステップ801)。一方、生体認証機構部508は認証制御ソフト622から前処理データを受信し、その後又は並行して、利用者の生体情報を取得し、生体情報から生体特徴量を抽出する。そして、受信した前処理データと取得、抽出した生体特徴量とを組み合わせて認証データを作成する(ステップ802)。
【0060】
このように、生体情報の認証処理において、前処理データは、認証データを作成するための暗号鍵としての機能も有している。また、この認証データを仮に取得できたとしても、このデータから生体特徴量直接作成することはできない。認証データは生体特徴量から作成したデータであるが、この作成過程では不可逆変換処理によるアルゴリズムを用いていることから、逆に認証データから生体特徴量を作成することできず、更に、前処理データと認証データとの2つのデータから生体特徴量を作成することはできない。前処理データは個人を特定できない部分を抜き出して作成した情報で、認証データは個人を特定できる部分を抜き出して作成した情報である。
【0061】
ここで、上記のデータ作成アルゴリズムを生体情報登録時と同様に数式で表す。
【0062】
生体認証機構部508によって認証時に得る情報、即ち、新たに得た生体特徴量をx´とする。そして前処理データyは登録時と変わらないので、「y = f(x)」である。
【0063】
認証データz´は生体特徴量x´と前処理データyとの組み合わせにより作成されるので、ある関数gを用いて「x´ + y → z´ = g(x´,y)」と表せる。そして、この作成過程は不可逆過程なので、z´ → x´ 、z´ → y 、z´ → x´ + y のように登録データから生体特徴量や前処理データを復元することはできない。
【0064】
S802の認証データ作成後、生体認証機構部508で作成した認証データを認証制御ソフト622の指示、制御によって認証データバッファ706に一時記憶してから、ICカード105に送信する(ステップ803)。ICカード105は認証データを受信し、ICカード105に記憶しておいた登録データと認証データとをあるアルゴリズムによって照合し(生体認証処理とも言う)、認証結果データを作成する(ステップ804)。さらに作成した認証結果データを認証制御ミドル702に送信する。認証制御ミドル702はICカード105から認証結果データを受信し、認証制御ソフト622の認証結果データバッファ705に一時記憶してから、生体認証機構部508に送信する。そして、生体認証機構部508は生体認証機構部508内で認証結果データの判定(分析)を行い(ステップ805)、認証結果データと認証成功部位・認証失敗原因を認証制御ミドル702に通知し(ステップ806)、生体認証処理は終了する。
【0065】
このように、生体認証処理では、利用者の生体情報そのものに最も近い生体特徴量はICカード105内に記憶しておらず、また生体認証機構部508によって生体特徴量を取得、抽出するものの、生体認証機構部から外には出さない特徴を有している。
【0066】
また、認証制御ソフト622を介して、またその制御の基に、ICカード105と生体認証機構部508との間でやり取りするデータは前処理データ、認証データ、認証結果データの3つであるが、上述のとおりこれらのデータを如何様に組み合わせても生体特徴量を作成することはできない特徴も有している。
【0067】
また、生体情報に係る各データの作成など生体認証処理において、ICカード105、生体認証機構部508のそれぞれに分担して認証結果を得る特徴を有している。そのため、ICカードまたは生体認証機構部が盗まれ、またその内部を解読したとしても生体認証処理を実行することができないように工夫されている。つまり、認証時に生体認証機構部508で取得した生体特徴量から新たに前処理データを作成し、この前処理データと生体特徴量から認証データを作成することも理論上可能であるが、本実施形態ではそのようにはせず、ICカード105に記憶しておいた前処理データと生体特徴量により認証データを作成するので、セキュリティが高く保たれている。
【0068】
また、認証制御ミドル702は前処理データを生体認証機構部508内に記憶し、認証データが作成されてから削除するのが良く、認証が必要な際に、随時、前処理データバッファ707から生体認証機構部508に送信する態様が望ましい。つまり、ATM501による取引が終わるまで認証制御ソフト622内の前処理データバッファ707に前処理データを記憶しておくことである。こうすることで、前処理データをICカード105から送信するよりも、認証制御ソフト622内の前処理データバッファ707から送信した方が早い処理が可能になる、との効果がある。
【0069】
なお、上述のようにICカード105内にて生体認証処理を実施しているので、ICカード105自体、又はICカード105のCPU221を生体情報照合部、又は生体認証処理部とも言う。
【0070】
図9〜12を用いて現金自動取引装置、現金自動預払装置(ATM)501でICカード105を使用してICカード内認証方式による生体認証処理を含む支払取引を実施するときの処理を説明する。
【0071】
図9はATM501のCPU601、認証制御ソフト622等(制御部)が実行し、特にICカード内認証方式を用いた生体認証処理によるATM上での取引を示すフローチャート例である。
【0072】
生体認証処理を行う前に、取引選択や暗証番号入力、カード挿入などATM501での取引を実行するために必要な処理を行う。操作部503に入金、支払、残高照会、振込などの取引選択案内をROM620より読み出して表示し、利用者から取引の選択を受け付ける(ステップ901)。生体認証が必要な取引、例えば支払取引等が選択された場合は操作部503にICカードを挿入する旨の案内を表示しICカード105の挿入を促す。利用者によりカード/明細票機構部504にICカード105が挿入されるとそれを検知し(ステップ902)、カード/明細票機構部504のICカード読取部603よりICカード105から口座番号を読み取る。なお、ICカード105は磁気ストライプを備えたものでも良く、そのときは生体情報以外の、口座番号などのデータをICカード105の磁気ストライプから読み取ることも可能である。
【0073】
次に暗証番号を入力する旨の案内を操作部503に表示する。利用者により操作部503に暗証番号が入力されると、それを検知し(ステップ903)、読み取った口座番号と入力された暗証番号とを通信部610、613を介してサーバ502に送信する。一方、サーバ502のCPU611は、入力された暗証番号を通信部610、613を介して受信し、入力された暗証番号と事前に記憶部612に登録しておいた口座番号に対応する暗証番号との照合を行い、その照合結果をATM501に通信部610、613を介して送信する。ATM501は通信部610、613を介して照合結果を受信して、暗証番号の正否をチェックし(ステップ904)、入力された暗証番号が正しくなかった場合は、暗証番号の入力回数をカウントする(ステップ905)。このときの暗証番号の入力回数が規定回数以内であれば利用者に対し、暗証番号の再入力を促す。暗証番号の入力回数が規定回数を超えていれば、取引を中止する(ステップ906)。
【0074】
S904において、入力された暗証番号が正しかった場合は、挿入されたICカード105が生体認証対象カードであるか否かを判断する(ステップ907)。このときの生体認証対象カードとは、生体認証を実施するために必要な情報やプログラムを持つカードである。
【0075】
そして、挿入されたICカード105が生体認証対象カードではなかった場合は生体認証処理を行わず、続いて支払等の取引を実行する(ステップ915)。挿入されたICカード105が生体認証対象カードであった場合、生体認証処理の事前準備として認証取引開始処理を行う(ステップ908)。認証取引開始処理については後述の図10を用いて詳細に説明する。
【0076】
認証取引開始処理が終了すると、ATM501のCPU601は認証制御ソフト622をRAM621に取り込み、展開する。次にATM501のCPU601は認証制御アプリ701を実行する。それを受けて認証制御アプリ701は認証制御ミドル702に対し登録情報取得指示を出す。登録情報取得指示を受けた認証制御ミドル702はICカード制御プログラム704を実行して、認証制御アプリ701から指示された処理に必要な情報(登録者情報)をICカード105から取得する(ステップ909)。処理に必要な情報には口座番号、店番、科目などの取引情報や利用者氏名、運転免許証や保険証などの本人確認が可能な証明書の有無といった利用者情報などが含まれる。また、このとき認証制御ミドル702は認証制御アプリ701に取得を指示された情報の他に、ICカード105に予め登録されていた前処理データを取得し、前処理データバッファ707に格納する。これは、認証制御アプリ701が指定している情報と同時に前処理データも取得することでICカード105にアクセスする回数を減らし、処理時間を向上するためである。このデータは認証制御ミドル702に送信され、前処理データバッファ707に格納される。このようにATM501のCPU501が主体になって認証制御ソフト622内の各種プログラムを実行してそれぞれの処理を行うが、以下では、説明を簡略化するためにこの過程を省略し、認証制御ミドル702を主体として説明する。また、上述してきたように、これらを纏めて制御部(手段)による制御、処理とも言う。
【0077】
ICカード105から登録情報を取得後、認証制御ミドル702は生体認証機構部制御プログラム703を実行して生体認証処理を行う(ステップ910)。即ち、前処理データバッファ707に格納された前処理データを生体認証機構部508へ送信すると同時に、生体認証機構部508に生体情報取得を指示する。この生体認証処理については図8を用いて説明したが、後述の図11においても詳細に説明する。
【0078】
次に生体認証の成否をチェックし(ステップ911)、ここで生体認証が失敗だった場合は、生体認証の実施回数をカウントする(ステップ912)。このときの生体認証の実施回数が規定回数以内であればRAM621又はプログラムに記憶、格納していた前処理データを生体認証機構部508に再送信し、ATM501の操作部503に再認証開始画面を表示するなどして、利用者に再度、生体認証を実施させるようにする(ステップ917)。生体認証の実施回数が規定回数を超えていれば、取引を中止する(ステップ913)。なお、このとき、RAM621に記憶された前処理データ等はセキュリティを高めるため削除する。そしてS911において、生体認証が成功だった場合は、生体認証処理の事後処理として認証取引終了処理を行う(ステップ914)。この認証取引終了処理については後述の図12を用いて詳細に説明する。
【0079】
認証取引終了処理が終了すると、利用者の希望する取引、つまりS901で取引選択された取引を実行する(ステップ915)。具体的には、利用者の希望する取引が支払取引ならば、操作部503により、支払金額の入力を受け付ける。利用者により支払金額入力が行われると、入力された金額及び金額が正しいか否かの確認キー押下を促すメッセージを操作部503に表示する。操作部503の確認キーが押下されると、サーバ502と取引データの交信を行う。交信後、ATM501のCPU601は要求された金額分の紙幣、硬貨を紙幣入出金機構部506、硬貨入出金機構部507からそれぞれ排出し、カード/明細票機構部504の明細票印字部604に取引データの印字を行わせる。そして、カード/明細票機構部504からICカード105を返却するとともに、取引データを明細票に印字・送出し、取引が終了する(ステップ916)。
【0080】
また、利用者の希望する取引が残高照会ならば、サーバ502と取引データの交信を行い、交信後、操作部503に預金又は借入残高を表示する。表示後、利用者に対し、取引を終了したいか、続けて別の取引を実施したいかの案内を行う。取引を終了したい場合には、カード/明細票機構部504からICカード105を返却するとともに、利用者の要望に応じて取引データを明細票に印字・送出し、取引が終了する(ステップ916)。利用者が別の取引実施を希望する場合には、以下の処理を行う。
【0081】
残高照会後に続けて、上述の支払取引などの生体認証が必要な取引が希望された場合、再び生体認証を実施して、生体認証が成功した場合にのみ取引を実行する。生体認証を取引ごとに実施することにより、利用者が残高照会で預金・借入残高を確認したがICカード105を受け取らずにATMから離れてしまった場合、第3者により取引を行われてしまう場面も考えられるので、そのような危険を排除し、セキュリティの高いATMシステムを実現することができる。
【0082】
なお、このフローでは、暗証番号入力の後に、生体認証を実施しているが、この順番を逆にして、生体認証実施の後に暗証番号を入力させても良い。暗証番号入力を先に実施する場合には、一般的な取引と同様に利用者はカード挿入後、最初の取引選択後すぐに暗証番号を入力するので、その後に生体認証を行っても操作フローが現状に近く装置を扱い易いという利点がある。一方、暗証番号による認証よりも生体認証を先に実施する場合には、もしも本人以外が生体認証を行い生体認証が失敗となり取引を拒否するときに、暗証番号入力を経ずに取引を終了するので無駄な暗証番号照合のためのサーバとの通信をしなくて済み、サーバへの負担を軽減できるという利点がある。
【0083】
図10により、図9のS908における認証取引開始処理について説明する。認証制御アプリ701から認証取引開始指示を受けた認証制御ミドル702は、ICカード制御プログラム704を実行して、ICカード105との接続を行う(ステップ1001)。これは前述したようにICカード105からのデータの読み取りを可能な状態にするものである。但し、ICカード105には生体情報に関するデータがなく、ICカード内認証に対応していないICカードの場合は、例えば上述の暗証番号による認証処理のみでもATMでの所望の取引ができるようにするのが望ましく、図9のS902などのカード挿入とほぼ同タイミングでICカード制御プログラム704を認証制御ミドル702以外の他のATMソフトウェアによって実行し、少なくともS908の処理前にICカード105との接続を完了させておく方が良い。
【0084】
また、カード/明細票機構部504に挿入されているICカード105には、図1の生体情報登録装置101により予め利用者固有の登録データ及び前処理データが登録されており、ICカード105内で認証を行うための認証プログラム711が搭載、記憶されている。この認証プログラム711はICカード105に事前に、また書き換え不可能な形式で書き込まれたアプリケーションであり、ICカードに事前登録された登録データと、ATMの制御部によって得られた認証データとを特定のアルゴリズムに従ってマッチング、照合を行うプログラムである。
【0085】
S1001にてカード/明細票機構部504とICカード105との接続が成功すると、認証制御ミドル702はICカード105に登録されているサポート認証方式(又はサポート認証情報)を取得する(ステップ1002)。サポート認証方式とは、予めICカード105に登録されているもので、認証データや生体特徴量などの情報をどの制御手順で認証処理が実施できるかを一意に決定できる情報である。例えば、指静脈認証では生体認証機構部508内において認証(照合)する装置内認証処理と、ICカード105内において認証するICカード内認証処理をサポートしており、ICカード105からサポート認証方式を取得することで、認証制御手順を切り替え1つの認証制御プログラムで2つの認証方式を可能にしている。
【0086】
このサポート認証方式取得のような、ICカードなどに登録された認証方式、認証制御手順を一意に決定する情報を用いて認証制御の手順や方式を切り替える方法は、ATMなどの生体認証装置搭載端末に複数の認証装置(例えば指、手のひらといった静脈認証装置や目の虹彩認証装置など)が搭載されている場合にも、認証制御プログラムの制御方式を切り替えることで複数の生体認証装置の制御に対応できることになる。
【0087】
次に、ステップ1002で得た認証方式が、ICカード内認証か否かを判断し(ステップ1003)、ICカード内認証でない場合は取引処理を行わずにICカード105を返却する(ステップ916)。一方、ICカード内認証方式である場合はATM501とICカード105との間の相互認証を行い、認証取引開始処理は終了する(ステップ1004)。相互認証とは、生体認証機構部508にある認証データ作成プログラム709や、ICカード105に搭載された認証プログラム711などが不正なプログラムに改ざんされていないか、ATM501とICカード105とで相互のプログラムの正当性を確認するための処理である。
【0088】
図11により図9のS908の生体認証処理について説明する。図8で説明したように、この生体認証処理は、最終的には、予めICカード105内に記録しておいた登録データと、生体認証処理時に新たに作成した認証データとの認証(照合)を行い、その照合結果を得る処理であり、認証自身の根幹に係る処理はICカード105内で行うことを特徴とする。
【0089】
図9のS909においてICカード105よりデータを受信するが、それと共にこの生体認証時には、ICカード105から予め記憶していた登録本数分の前処理データを認証制御ミドル702に送信する。認証制御ミドル702はICカード105に記憶していた前処理データを受信し、前処理データバッファ707に格納する。さらに、前処理データバッファ707に格納されたこの登録本数分の前処理データを生体認証機構部508へ送信する(ステップ1101)。生体認証機構部508は登録本数分の前処理データを受信すると、次にまた並行処理として、利用者の生体情報を読み取る。
【0090】
図11のステップ1102〜ステップ1106の処理は、図4のステップ405〜ステップ408とほぼ同じ処理を実行して生体特徴量を得る。画像センサ607の画像取得可能領域に指が置かれると生体有無検知用照明LED608により物体(指)が置かれたことを検知し(ステップ1102)、物体(指)が生体であるか否かを調べる(ステップ1103)。挿入された物体(指)が生体でなかった場合は、生体認証が失敗となる(ステップ1104)。挿入された物体(指)が生体だった場合は、生体取得用照明LED609により生体に近赤外線を照射し、画像センサ607で生体画像(指静脈パターン)を取得し、記憶部606に記憶する(ステップ1105)。
【0091】
次に、生体画像(指静脈パターン)から特徴的なデータをあらわす生体特徴量を抽出する(ステップ1106)。ここで優先順位Nを「1」に設定する(ステップ1107)。そして、認証制御ミドル702の指示で認証データ作成プログラム709を実行することで、図8にて説明した優先順位N(N=1)の認証データを作成する(ステップ1108)。そして作成された優先順位N(N=1)の認証データを認証制御ミドル702に送信し、認証データバッファ706に格納する。
【0092】
認証制御ミドル702はICカード制御プログラム704を実行して、認証データバッファ706に格納した優先順位N(N=1)の認証データをICカード105に送信すると同時にICカード105内の認証プログラム711に生体認証指示を出す(ステップ1109)。一方、ICカード105はカード内に記憶された認証プログラム711を実行して、ICカード105に予め登録された優先順位N(N=1)の登録データと、上述の認証制御ミドル702の認証データバッファ706に格納された優先順位N(N=1)の認証データとを照合して生体認証処理を行い、優先順位N(N=1)の認証結果データを作成する。
【0093】
そして、ICカード105は優先順位N(N=1)の認証結果データを認証制御ミドル702に送信し、認証制御ミドル702は認証制御ミドル702内(ハードとしてはRAM内)の認証結果データバッファ705に格納する。このように認証制御ミドル702が実施する生体認証機構部508とICカード105と間のデータの送受信制御では、生体画像(指静脈パターン)から取得した生体特徴量は生体認証機構部508の外部に出ることがなく、またICカード105に登録されている認証データも外部に出ることがない。よって個人情報が装置の外部に漏洩するのを防ぐことができるので、個人情報の秘匿性が守りセキュリティが向上する。
【0094】
認証制御ミドル702は生体認証機構部制御プログラム703を実行して認証結果データバッファ705に格納された優先順位N(N=1)の認証結果データを生体認証機構部508へ送信する(ステップ1110)と共に認証結果判定プログラム710に認証結果判定指示を出す。次に認証結果判定プログラム710を実行してICカード105内で行った認証の結果である認証結果データバッファ705に格納された優先順位N(N=1)の認証結果データから生体認証が成功か失敗かを判断する。
【0095】
ここで出力として、生体認証機構部508は認証が成功した場合は、生体のどの部位で認証が成功したかを認証制御ミドル702に通知する。例えば、生体認証の部位が指静脈や、指紋などであれば、どの指(例、右手、中指等)で認証が成功したか、手ひらの静脈であれば右手か左手か、目の虹彩であれば、右目か左目のどちらで認証が成功したかが認証制御ミドル702に通知されることになる。一方、認証が失敗した場合は、認証結果判定プログラム710でICカード内認証に失敗した原因を判断し認証制御ミドル702に通知する。原因として、例えば指の置き方が悪かったのか、登録されていた別の指を置いてしまったか、などの情報を付随させて認証制御ミドル702に通知し、それに基づいて認証制御アプリ701によって操作部503にその原因を表示するのが望ましく、これにより操作性の良い装置を提供できる。このように、生体認証機構部508が認証結果を判別する例にて説明したが、ICカード内の認証プログラム711、または、認証結果データを取得した認証制御ミドル702でも認証処理の成否や認証成功部位、認証失敗原因などの認証結果の判別ができる形態でも良い。
【0096】
次に、認証制御ミドル702は優先順位N(N=1)の登録データと優先順位N(N=1)の認証データとのマッチング、照合結果である優先順位N(N=1)の認証結果データを認証制御アプリ701へ送信する。認証制御アプリ701は優先順位N(N=1)の認証結果データが成功か失敗かを判断する(ステップ1111)。認証結果データが成功であれば、生体認証処理を終了する。認証結果データが失敗であれば、ICカード105に登録してあった本数分の生体認証が終了したか否かを判断する(ステップ1112)。登録してあった本数分の生体認証が終了していれば、生体認証処理を終了する。登録してあった本数分の生体認証が終了していなければ、優先順位N(N=1)に1を足して、優先順位N(N=2)とし(ステップ1113)、再びステップ1108〜ステップ1112へと進んで、優先順位N(N=2)の指の認証結果データが成功か失敗かを判断して、失敗ならば、登録してあった本数分の生体認証が終了したか否かを判断する。このようにして、ステップ1108〜ステップ1112を繰り返し、優先順位が高い順に、登録しておいた本数が終了するまで認証を続ける。このとき、認証制御ミドル702は、ICカード105の登録情報取得処理で取得した前処理データを前処理データバッファ707に保持し続けるのが望ましく、ICカード105の登録情報取得処理を省略することができるので、認証処理時間が向上する。これは、残高照会から支払取引というような1回の来店で連続した本人確認が必要な取引を行うため複数回の認証処理を実行する場合にも、同様にICカード105から取得した前処理データを前処理データバッファ707から削除しないことで、ICカード105の登録情報取得処理を省略し、連続取引にての認証処理を実行することが可能である。
【0097】
ここで、上記ステップ1111にて認証結果データが成功であったときの例として、図13の優先順位が変更されない例について説明した。更に、生体登録処理でも説明したとおり、図13のデータに認証成功回数を示すデータも付加しても良い。その際、上記認証結果データが成功であったときはこの成功回数を1回の計数としてカウント(計数、勘定)し、それを図13の認証成功回数1305に追加し、優先順位を変更する変更処理を認証制御ミドル702の指示に応じて実行、制御する。これにより優先順位が全く変更しない例(図13の1301のみ使用する場合)に対して、更に、使い勝手が良い装置、システムを構築することが可能となる。但し、認証成功回数が全く同じ状態になったときは、最初に登録しておいた方の優先順位1301に基づいて認証処理を行う。
【0098】
なお、本実施形態では、「右手人差し指を入れてください。」、「右手人差し指で認証に成功しました。」、「右手人差し指で認証に失敗しました。次は右手中指を入れてください。」など、指の種類を指定した指示・結果ではなく、「指を入れてください。」「認証に成功しました。」「認証に失敗しました。もう一度指を入れてください。」など、指の種類に言及しない指示・結果を表示して認証を実施している。そして、認証制御アプリ701が認証失敗の結果を受け取った場合には、優先順位の高い順に自動的に異なる登録指を指定して再び認証制御ミドル702に認証処理を要求し、すべての登録指の認証が失敗した場合に初めて利用者に認証失敗の通知を出している。これにより、認証に用いる指の種類を操作部503の画面上に表示しないので、万が一カードの持ち主でない第3者が偽造などの犯罪目的のためにどの指が登録してあったのかを知ろうとした場合にそれを防ぐことができる。
【0099】
しかし、指の種類含めた指示、認証結果を操作部503の画面上に表示しても良い。このようにすれば、どの指が登録してあって、認証にはどの指を用いるのかを利用者は常に確認しながら操作できるので、利用者にとっては使いやすく、心理的に安心できる構成となる。
【0100】
図12により、図9のS914に示す認証取引終了処理について説明する。
【0101】
認証制御アプリ701は認証結果データが認証成功であれば、認証制御ミドル702に対して認証取引終了指示を出す。認証制御ミドル702は、ICカード制御プログラム704を実行しICカード105との切断処理を実行する。ICカード105との切断とはICカード105にアクセスすることができなくなる状態である。ICカード105との切断後、認証制御ミドル702からの指示で生体認証装置制御プログラム703は、生体認証機構部508にある生体特徴量など、生体認証に使用した個人情報やそれを元に作成された認証に係わる情報を全て記憶部から削除する。
【0102】
これは個人情報などが外部に漏洩することを防ぎ、セキュリティを向上させるために有効な特徴でもある。生体認証機構508内のデータをクリアした後、認証制御ミドル702は、自身が持つ認証結果データバッファ705、認証データバッファ706、前処理データバッファ707に格納された情報を削除し(連続取引は除く)、情報漏洩を防止している。認証取引終了処理が終了すると、支払金額の入力、サーバ502との交信などを行い、支払取引を終了する。
【0103】
以上、図1〜4を用いて生体情報の登録処理、図5〜12を用いて生体情報の認証処理を説明したように、例えば、ハード的にはCPU601、主記憶部602の制御、処理によって行われ、ソフト的には認証制御ソフト622、認証制御アプリ701、認証制御ミドル702の制御、処理によって生体情報の認証が実行される。よって、上述したとおり、これらを纏めて制御部、制御手段による制御、処理ということができるし、また各プログラムの機能をLSI等のハード的にも達成できる。また図7の各種プログラムはその処理に必要なときに初めて起動、実行されるだけでなく、ATM起動時に各プログラムを起動させておき、各処理で必要なプログラムを実行させる方が処理時間は短縮できる。
【0104】
また、図3において、前処理データを生体特徴量から作成し、その作成した前処理データと生体特徴量から認証時に使用される登録データを作成する形態にて説明したが、前処理データの作成に関して生体特徴量とは全く関連なく、また独立に作成してもよい。上述したとおり、生体情報の登録時において前処理データは登録データを作成するための暗号鍵(またはアルゴリズム)の機能を有し、生体認証時には認証データを作成するための暗号鍵の機能、役割を有している。従って、生体特徴量から前処理データを作成すれば、即ち利用者それぞれに対応したデータとなりセキュリティの高いデータ作成アルゴリズムを構成できるが、一方、前処理データを生体特徴量とは独立に作成すれば、事前に暗号鍵としての役目である前処理データ自身を作成しておくこともでき、全体として簡易なプログラム構成となるので手間が省け、登録、認証の処理時間が短くなる。
【0105】
また、前処理データを生体特徴量から一段階で作成したが、何段階か踏まえた上で作成するようにしてもよい。これにより、第3者が前処理データ作成過程を解析しようとしても、作成過程が複雑なので解析しにくい、また、解析に時間がかかるという効果がある。
【0106】
また、前処理データ、登録データ、認証データ(認証失敗時や連続取引時に作成する認証データを含む)は元々利用者の指などの生体特徴量(画像パターン含む)から作成、生成された情報であることから、第1、2、…(生体)情報と言うこができる。即ち、これら第1、2…(生体情報)は生体特徴量を含んだ概念である生体情報から得られる情報とも言える。
【0107】
以上、本発明のICカード内認証方式ではICカード内に登録された個人を特定できる情報と認証装置で取得した生体情報(生体特徴量)そのものは、認証装置搭載端末に取り込まれることがないので、個人情報の秘匿性が守られ、セキュリティの高い生体認証が可能となる。
【0108】
そして、本発明の登録生体情報優先順位付加認証方式では、利用者は予め登録した複数の生体情報に対して優先順位を付加し、優先順位の高い順に認証処理を実行することで認証処理を短縮することができる。
【0109】
また、これまでの生体情報に優先順位を付加する生体認証には、前回使用された指が次回最も使われる可能性が高いとする使用実績に基づいてこの優先順位を並び替える優先順位の変更技術があった。しかし、この変更技術では5つの生体情報(5本の異なる指)を登録しておき、過去の認証成功回数が指ごとに異なる場合(認証成功回数:親指0回、人差し指70回、中指15回、薬指10回、小指5回)に、過去の認証成功回数が少ない指(親指等)を一度認証に用いてしまうと、次回普段使うことの多い指(人差し指等)を使う認証時に、普段使うことの多い指の照合前に必ず認証成功回数が少ない指の照合を行わなくてはならないので不便であった。
【0110】
それに対し本発明は、前述の課題で挙げたものと同様の状況(認証成功回数:親指0回、人差し指70回、中指15回、薬指10回、小指5回)であっても、認証成功回数に基づいて優先順位を付加しているため、親指認証前後、薬指認証前後、常に1位人差し指、2位中指、3位薬指、4位小指、5位親指、である。ここで、次に人差し指で認証したいとすれば、優先順位は1番なので、無駄な指の照合を行わずに済み、認証を短時間で実施することができる。
【符号の説明】
【0111】
101…生体情報登録装置、102…生体情報読取装置、103…ICカード装置、104…登録用端末装置、105…ICカード、201…CPU(生体情報登録装置)、202…主記憶部(生体情報登録装置)、203…ROM(生体情報登録装置)、204…RAM(生体情報登録装置)、205…登録処理プログラム、206…登録データ作成プログラム、207…生体情報読取装置制御プログラム、208…ICカード装置制御プログラム、209…通信制御プログラム、210…画像センサ(生体情報登録装置)、221…CPU(ICカード)、222…記憶部(ICカード)、231…CPU(登録用端末装置)、232…主記憶部(登録用端末装置)、233…生体情報登録装置制御プログラム、501…現金自動預払装置、502…サーバ、503…操作部(現金自動預払装置)、504…カード/明細票機構部、508…生体認証機構部、601…CPU(現金自動預払装置)、602…主記憶部(現金自動預払装置)、607…画像センサ(現金自動預払装置)、611…CPU(サーバ)、612…記憶部(サーバ)、620…ROM(現金自動預払装置)、621…RAM(現金自動預払装置)、622…認証制御ソフトウェア、701…認証制御アプリケーション、702…認証制御ミドルウェア、703…生体認証機構部制御プログラム、704…ICカード制御プログラム、705…認証結果データバッファ、706…認証データバッファ、707…前処理データバッファ、709…認証データ作成プログラム、710…認証結果判定プログラム、711…認証プログラム
【特許請求の範囲】
【請求項1】
個人の認証を行う生体認証システムにおいて、
優先順位を付加した複数の前処理データを記憶する記憶部と、
利用者の生体情報を取得する生体情報取得部と、
前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体情報取得部により取得した生体情報とによって生成された認証データと、前記記憶部に予め記憶していた複数の登録データの中から優先順位に従う登録データと照合し、照合結果を得る生体情報照合部と、
前記生体情報照合部により照合を実施する毎に、照合結果の成功回数を計数し、当該照合の成功回数に応じて、前記記憶部に予め記憶していた複数の前処理データに対して付加された優先順位を変更する制御部と、
を有することを特徴とする生体認証システム。
【請求項2】
請求項1記載の生体認証システムにおいて、
前記記憶部及び前記生体情報照合部をICカードに備えることを特徴とする生体認証システム。
【請求項3】
請求項2記載の生体認証システムにおいて、
紙幣入出金を行う紙幣入出金部と、
利用者に操作内容を表示し、利用者からの入力を受け付ける操作部とを有し、
前記制御部は、前記操作部により利用者が希望する支払取引を受け付け、前記ICカードの生体情報照合部による照合処理に応答してその結果が成功であった場合に、前記紙幣入出金部から紙幣を出金することを特徴とする生体認証システム。
【請求項4】
現金の取引を自動的に行う現金自動取引装置において、
ICカードに記憶された優先順位を付加した複数の前処理データを読み取るカード機構部と、
利用者の生体特徴量を取得する生体認証機構部と、
前記カード機構部により読み取った前記優先順位を付加した複数の前処理データを受信し、且つ、受信した前記優先順位を付加した複数の前処理データを前記生体認証機構部に送信すると共に、送信した前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体認証機構部より取得した生体特徴量とによって生成された第1の認証データを受信し、且つ、受信した前記認証データを前記カード機構部を介して前記ICカードに送信することにより、前記第1の認証データと、前記ICカードに予め記憶された複数の登録データのうち優先順位の高い登録データとの照合を実行させる制御部と、を有し、
前記制御部は、前記照合の結果が成功だった場合は利用者が希望する取引を処理し、前記照合の結果が失敗だった場合は、送信した前記優先順位を付加した複数の前処理データのうち優先順位が次に高い前処理データと前記生体認証機構部より取得した生体特徴量とによって生成された第2の認証データを受信し、且つ、前記第2の認証データを前記カード機構部を介して前記ICカードに送信することにより、当該第2の認証データと前記ICカードに予め記憶された複数の登録データのうち優先順位が次に高い登録データとの照合を実行させることを特徴とする現金自動取引装置。
【請求項5】
現金の取引を自動的に行う自動取引装置において、
ICカードに記憶された優先順位を付加した複数の前処理データを読み取るカード機構部と、
利用者の生体特徴量を取得する生体認証機構部と、
前記カード機構部により読み取った前記優先順位を付加した複数の前処理データを受信し、且つ、受信した前記優先順位を付加した複数の前処理データを前記生体認証機構部に送信すると共に、送信した前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体認証機構部より取得した生体特徴量とによって生成された第1の認証データを受信し、且つ、受信した前記第1の認証データを前記カード機構部を介して前記ICカードに送信することにより、前記第1の認証データと前記ICカードに予め記憶された複数の登録データのうち優先順位の高い登録データとの照合を実行させる制御部と、を有し
前記制御部は、前記照合を実行すると、生体の種類毎に照合結果が成功であった回数を勘定し、当該成功回数に応じて前記ICカード内に予め記憶していた前処理データ及び登録データに対し付加する優先順位を設定変更することを特徴とする自動取引装置。
【請求項1】
個人の認証を行う生体認証システムにおいて、
優先順位を付加した複数の前処理データを記憶する記憶部と、
利用者の生体情報を取得する生体情報取得部と、
前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体情報取得部により取得した生体情報とによって生成された認証データと、前記記憶部に予め記憶していた複数の登録データの中から優先順位に従う登録データと照合し、照合結果を得る生体情報照合部と、
前記生体情報照合部により照合を実施する毎に、照合結果の成功回数を計数し、当該照合の成功回数に応じて、前記記憶部に予め記憶していた複数の前処理データに対して付加された優先順位を変更する制御部と、
を有することを特徴とする生体認証システム。
【請求項2】
請求項1記載の生体認証システムにおいて、
前記記憶部及び前記生体情報照合部をICカードに備えることを特徴とする生体認証システム。
【請求項3】
請求項2記載の生体認証システムにおいて、
紙幣入出金を行う紙幣入出金部と、
利用者に操作内容を表示し、利用者からの入力を受け付ける操作部とを有し、
前記制御部は、前記操作部により利用者が希望する支払取引を受け付け、前記ICカードの生体情報照合部による照合処理に応答してその結果が成功であった場合に、前記紙幣入出金部から紙幣を出金することを特徴とする生体認証システム。
【請求項4】
現金の取引を自動的に行う現金自動取引装置において、
ICカードに記憶された優先順位を付加した複数の前処理データを読み取るカード機構部と、
利用者の生体特徴量を取得する生体認証機構部と、
前記カード機構部により読み取った前記優先順位を付加した複数の前処理データを受信し、且つ、受信した前記優先順位を付加した複数の前処理データを前記生体認証機構部に送信すると共に、送信した前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体認証機構部より取得した生体特徴量とによって生成された第1の認証データを受信し、且つ、受信した前記認証データを前記カード機構部を介して前記ICカードに送信することにより、前記第1の認証データと、前記ICカードに予め記憶された複数の登録データのうち優先順位の高い登録データとの照合を実行させる制御部と、を有し、
前記制御部は、前記照合の結果が成功だった場合は利用者が希望する取引を処理し、前記照合の結果が失敗だった場合は、送信した前記優先順位を付加した複数の前処理データのうち優先順位が次に高い前処理データと前記生体認証機構部より取得した生体特徴量とによって生成された第2の認証データを受信し、且つ、前記第2の認証データを前記カード機構部を介して前記ICカードに送信することにより、当該第2の認証データと前記ICカードに予め記憶された複数の登録データのうち優先順位が次に高い登録データとの照合を実行させることを特徴とする現金自動取引装置。
【請求項5】
現金の取引を自動的に行う自動取引装置において、
ICカードに記憶された優先順位を付加した複数の前処理データを読み取るカード機構部と、
利用者の生体特徴量を取得する生体認証機構部と、
前記カード機構部により読み取った前記優先順位を付加した複数の前処理データを受信し、且つ、受信した前記優先順位を付加した複数の前処理データを前記生体認証機構部に送信すると共に、送信した前記優先順位を付加した複数の前処理データのうち優先順位の高い前処理データと前記生体認証機構部より取得した生体特徴量とによって生成された第1の認証データを受信し、且つ、受信した前記第1の認証データを前記カード機構部を介して前記ICカードに送信することにより、前記第1の認証データと前記ICカードに予め記憶された複数の登録データのうち優先順位の高い登録データとの照合を実行させる制御部と、を有し
前記制御部は、前記照合を実行すると、生体の種類毎に照合結果が成功であった回数を勘定し、当該成功回数に応じて前記ICカード内に予め記憶していた前処理データ及び登録データに対し付加する優先順位を設定変更することを特徴とする自動取引装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2011−96270(P2011−96270A)
【公開日】平成23年5月12日(2011.5.12)
【国際特許分類】
【出願番号】特願2010−275233(P2010−275233)
【出願日】平成22年12月10日(2010.12.10)
【分割の表示】特願2005−315626(P2005−315626)の分割
【原出願日】平成17年10月31日(2005.10.31)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成23年5月12日(2011.5.12)
【国際特許分類】
【出願日】平成22年12月10日(2010.12.10)
【分割の表示】特願2005−315626(P2005−315626)の分割
【原出願日】平成17年10月31日(2005.10.31)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]