生体情報が格納されたICカードおよびそのアクセス制御方法
【課題】柔軟に対応できるICカードシステムの構築。
【解決手段】ICカード所持者から予め取得しておいた既得生体情報と、ICカードに対するアクセス可否を判断するためのセキュリティステータスとを、ICカードに格納する。そのうえで、生体認証装置が、ICカード所持者から生体情報を取得するとともに、ICカードから既得生体情報を読み出す。そして、生体認証装置が、生体情報と既得生体情報とを照合したうえで、その照合結果をICカードに送信する。さらに、ICカードが、送信されてきた照合結果を検証して当該照合結果が不正に偽造または改竄されたものであるか否かを判断し、偽造または改竄されたものでないと判断すると、セキュリティステータスを更新する。
【解決手段】ICカード所持者から予め取得しておいた既得生体情報と、ICカードに対するアクセス可否を判断するためのセキュリティステータスとを、ICカードに格納する。そのうえで、生体認証装置が、ICカード所持者から生体情報を取得するとともに、ICカードから既得生体情報を読み出す。そして、生体認証装置が、生体情報と既得生体情報とを照合したうえで、その照合結果をICカードに送信する。さらに、ICカードが、送信されてきた照合結果を検証して当該照合結果が不正に偽造または改竄されたものであるか否かを判断し、偽造または改竄されたものでないと判断すると、セキュリティステータスを更新する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は生体情報が格納されたICカードと、そのICカードに対するアクセス制御方法に関する。
【背景技術】
【0002】
近年、交通,金融,パスポート,運転免許証等の様々な分野でICカードの普及が進んでいる。ICカードは不揮発性メモリを有し、そこにファイルやカード所持者の暗証番号等を格納することができる。ICカードの基本的な機能の一つとして、暗証番号のカード内照合がある。このカード内照合の機能は、次のように実現される。
【0003】
まず、ICカードの不揮発性メモリに格納された暗証番号と、外部から入力された暗証番号とを照合し、その照合結果をICカード内の揮発性メモリに保持する。この情報はセキュリティステータスと呼ばれる。一方、ICカード内のファイルには、例えばICカード所持者のみがこのファイルを読み出すことができる場合、読出しに先立ってICカード所持者の暗証番号の照合が必要であることを示す情報がこのファイルの属性情報として書き込まれている。これをセキュリティ属性と呼ぶ。先に述べたセキュリティステータスがこのセキュリティ属性で示される条件を満たしている場合に限り、このファイルの読出しが許可される。このようにICカード内部で暗証番号を照合し、ICカード自身でファイルへのアクセス可否を判断することにより、高いセキュリティを確保することができる。
【0004】
一方、本人確認の安全性および利便性を高める手段として、指紋や顔画像等による生体認証を用いたシステムが考案され(例えば特許文献1)、実用化されつつある。現状では、暗証番号のようにICカード内部で生体情報を照合することは処理時間等の点で実用的ではなく、外部で照合が行われるのが一般的である。また、外部装置としてセンサ等を備えた専用装置が必要であることから高度なセキュリティが要求される限られたシステムでのみ採用されているのが現状である。
【特許文献1】特開2000−215279号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、今後、より広くICカードを使用する場合、生体認証装置が備えられたシステムでは生体認証を行い、それ以外のシステムでは暗証番号による本人確認を行うといったように、生体認証と暗証番号認証との両用が必要となるが、従来技術では、生体認証を行ったにもかかわらず、暗証番号の入力が必要となり、使用者にとっての利便性が損なわれるといった課題(第1の課題)がある。
【0006】
これを前述の例で具体的に説明すると、生体認証がICカードの外部で行われ、その照合結果がICカード内のセキュリティステータスに反映されないため、生体認証を行っただけではファイルの読出しができない。すなわち、ファイルのセキュリティ属性を満たすためには暗証番号の照合が必要となり、ICカード所持者にとっては、生体認証によって本人であることが確認されたにもかかわらず、暗証番号の入力が必要になるといった利便性を損なったシステムとなってしまう。
【0007】
また、第2の課題として、生体認証特有の安全性(他人受入率)と利便性(本人拒否率)との間のトレードオフの問題がある。ICカードを用いた生体認証では、ICカードに格納された生体情報とICカード所持者の生体情報とを照合することにより本人確認を行うが、これらの情報の類似度に基づく判定値(閾値)が設定される。これにより、そのシステムに合った安全性と利便性を設定することが可能となる。しかしながら、その一方で、本人拒否率を低く抑えようとすれば他人受入率は高くなり、逆に、他人受入率を低く抑えようとすれば本人拒否率は高くなる。生体認証を行うICカードシステムでは、この特性に柔軟に対応できることが望まれる。
【課題を解決するための手段】
【0008】
上記課題を解決するため、本発明のアクセス制御方法は、
ICカードと生体認証装置との間におけるアクセス制御方法であって、
ICカード所持者から予め取得しておいた既得生体情報と、前記ICカードに対するアクセス可否を判断するためのセキュリティステータスとを、前記ICカードに格納する第1のステップと、
前記生体認証装置が、前記ICカード所持者から当該ICカード所持者の生体情報を取得するとともに、前記ICカードから前記既得生体情報を読み出す第2のステップと、
前記生体認証装置が、前記生体情報と前記既得生体情報とを照合したうえで、その照合結果を前記ICカードに送信する第3のステップと、
前記ICカードが、送信されてきた前記照合結果を検証して当該照合結果が不正に偽造または改竄されたものであるか否かを判断し、偽造または改竄されたものでないと判断すると、前記セキュリティステータスを更新する第4のステップと、
を含む。これにより、前述した第1の課題が解決される。
【0009】
また、本発明の態様として、次のものがある。すなわち、前記第3のステップでは、前記生体情報と前記既得生体情報との照合に基づいて、本人であることの確からしさの度合いを示す中間値を生成したうえで、当該中間値をアクセス制限の程度に応じて任意に設定可能な閾値と比較することで前記照合結果を作成する。これにより、前述した第2の課題が解決される。
【発明の効果】
【0010】
生体認証装置における生体認証結果が、安全性を確保しつつICカード内のセキュリティステータスに反映されるため、暗証番号のカード内での照合結果と同様に、外部での生体認証の結果をアクセス制御に使用することができる。この結果、生体認証さえ行えば、暗証番号の入力は不要となり、利便性に富んだシステムを構築することができる。
【0011】
また、照合結果として、「照合成功」、「照合失敗」の二値識別だけでなく、グレーゾーンの情報を送ることができ、本人であるかどうかを示す“確からしさ”のレベルに応じて、アクセス許容範囲を制限することができることとなり、生体認証の特性に柔軟に対応できるシステムの構築が可能となる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図1は本発明の実施の形態1によるアクセス制御方法を行うICカードの構成図である。図1において、1はICカードであり、2はICカード1の所持者を認証するための機器である。機器2としては生体認証装置がこれにあたるが、システムによって暗証番号入力装置が機器2として追加される。ICカード1はCPU3とRAM4とEEPROM5とを備える。CPU3は機器2との間のコマンドおよびレスポンスの送受信やアクセス制御を初めとするICカード1の処理全般を司る。RAM4は作業用に使用される揮発性メモリであって、セキュリティステータス6が順次格納される。また、EEPROM5は、ICカード所持者が予め設定しておいた暗証番号情報7,ICカード所持者から予め取得しておいた既得生体情報8,秘密鍵情報9,および各種のセキュリティファイル10,12等が格納された不揮発性メモリである。
【0013】
図2は暗証暗号による本人確認を行ってICカード1を用いたアプリケーションを利用する場合における、暗証番号の照合の処理手順を示したものである。このシステムでは、図1の機器2は暗証番号入力装置となる。暗証番号入力装置2はキーパッドからなる入力部(図示せず)を備えており、ICカード所持者はこの入力部から自身の暗証番号を入力する(ステップS21)。これを受けて暗証番号入力装置2は、入力された暗証番号入力情報とともに暗証番号照合要求をICカード1に送る(ステップS22)。この要求を受けたICカード1は、EEPROM5に格納されている暗証番号情報7と送られてきた暗証番号入力情報とを照合する(ステップS23)。ステップS23における照合結果が正しければ、暗証番号入力情報が正しく照合された証として、RAM4のセキュリティステータス6を更新する(ステップS24)。セキュリティステータス6は図3に示す通り8ビットで構成されており、そのうち最上位ビット(b8)は使用されず、下位7ビット(b1〜b7)にあたる照合情報31が使用される。照合情報31の各ビットはそれぞれ一つのキー(暗証番号や機器認証鍵など)に対応しており、本実施の形態では、最下位ビット(b1)がICカード所持者の暗証番号に対応している。すなわち、暗証番号入力情報が正しく照合された場合、このビット(b1)が値‘1’に設定される。
【0014】
ICカード1に格納されるファイルのセキュリティ属性は図4に示す構造を有する。図4ではファイル10のセキュリティ属性11の場合で説明するが、ファイル12のセキュリティ属性13も同様の構造を持つ。セキュリティ属性11はアクセスモード41とセキュリティ条件42とで構成される。アクセスモード41には、当該ファイルに対するアクセスの種別(例えば、読出し機能)を識別する情報が格納される。また、セキュリティ条件42には、アクセスモード41で指定された機能を実行するに先立って照合すべきキーに関する情報が格納される。このセキュリティ条件42は8ビットで構成され、下位7ビットにあたるキー条件44の各ビット(b1〜b7)は、セキュリティステータス6の照合情報31の各ビット(b1〜b7)に対応している。すなわち、ファイル10を読み出すために暗証番号入力情報の照合が必要である場合は、キー条件の最下位ビット(b1)が値‘1’に設定されており、ファイル10を読み出す際には、ICカード1のCPU3がキー条件44と照合情報31とを比較し、照合情報31の内容がキー条件44で示される条件を満たしている場合に限り、読出しを許可する。
【0015】
セキュリティ条件42の最上位ビット(b8)にあたる論理条件43は、キー条件44の複数のビットに‘1’が設定されている場合に意味を持つもので、この論理条件43は、複数のキーの全てが照合されなければならない状態(AND論理)と、複数のキーのいずれか一つのキーが照合されればよい(OR論理)状態とを識別するために使用される。なお、図4では、読出し機能を例にとって説明したが、書込み等の他の機能についても同様で、機能の数だけ同じ構造の情報を有する。
【0016】
セキュリティステータス6はRAM4(揮発性メモリ)内の情報であるため、ICカード1への電源供給が切断されると、その情報は失われる。また、ICカード1に電源が供給された際には、ICカード1のCPU3はセキュリティステータス6をクリアする。したがって、ICカード1を次に使用する際、ICカード所持者は新たに暗証番号を入力することが必要となる。
【0017】
図5は生体認証による本人確認を行ってICカード1を用いたアプリケーションを利用する場合における、生体認証の処理手順を示したものである。このシステムでは、図1の機器2は生体認証装置となる。
【0018】
まず、第1フェーズとして機器認証、すなわちICカード1による生体認証装置2の認証が行われる。生体認証装置2がICカード1に乱数の生成を要求すると(ステップS51)、ICカード1は乱数を生成して生体認証装置2に送信する(ステップS52)。生体認証装置2はこの乱数を、予め取得して記録しておいた秘密鍵情報で暗号化することで機器認証情報を生成してICカード1に送信する。これがICカード1への機器認証要求である(ステップS53,S54)。ICカード1のEEPROOM5には生体認証装置2の秘密鍵情報と同じ秘密鍵情報9が予め格納されており、この秘密鍵情報9により、暗号化された機器認証情報を復号する。その復号結果とICカード1自身が生成した乱数とを比較することにより検証する(ステップS55)。この比較結果が同一を示す場合、機器認証情報が正しい秘密鍵で暗号化されており生体認証装置2は不正なものでないとみなすことができる。また、この時、生体認証装置2とICカード1とは二組のセッション鍵を生成して共有する(ステップS56A,S56B;以降の説明では、これらを第1のセッション鍵および第2のセッション鍵と呼ぶ)。
【0019】
セッション鍵の生成方法は、例えば、前述した秘密鍵と乱数とに特定の演算を施すことで実施される。この演算に、第1のセッション鍵と第2のセッション鍵とを区別するためのパラメータを入力すれば、二組のセッション鍵を生成することができる。このようにして、生体認証装置2とICカード1とが同じ演算を行うことにより、双方が同じセッション鍵を共有することができる。
【0020】
次に第2フェーズとして、生体認証装置2が、ICカード1のEEPROM5に格納されている既得生体情報8を読み出す(ステップS57,S58,S59)。この際、生体情報8は第1フェーズで生成された第1のセッション鍵によって暗号化した後に送信される。生体認証装置2は同じセッション鍵に基づいて既得生体情報8を復号した後、生体認証処理を行う(ステップS60)。すなわち、ICカード所持者から生体情報を取得し、特徴抽出を行った後、抽出した生体情報の特徴とICカード1から読み出した既得生体情報8とを照合する。照合結果は、両情報の類似度として数値化される。さらにその照合結果(類似度)は、本システムに予め設定されている閾値とさらに照合される。そして、照合結果(類似度)が閾値より高い場合に本人であると判断される。ここでいう閾値とは、ICカード所持者が本人であることをどの程度の確度で確かめる必要があるかの判断基準となるデータであって、アクセス制限の程度に応じて種々設定される。
【0021】
次に第3フェーズとして、ICカード1のセキュリティステータス6の更新が行われる(ステップS61,S62,S63)。この処理は生体認証装置2からICカード1に、図6に示すセキュリティステータス更新コマンドを送信する(ステップS61の処理)ことにより開始される。セキュリティステータス更新コマンドにおいて、コマンドクラス61はコマンドのセキュリティレベルを示すものであり、後述するMAC64によって本コマンドが保護されていることを示す。コマンドコード62は本コマンドがセキュリティステータス更新コマンドであることを識別するためのものである。パラメータ63は更新の対象となるセキュリティステータス6のビット番号を示す。本実施の形態では、暗証番号用に割り当てられたものと同じ最下位ビット(b1)を示す情報を設定する。MAC64は改竄を防止するためのメッセージ認証コード(Message Authentication Code)である。
【0022】
具体的には、生体認証装置2とICカード1とは、コマンドクラス61とコマンドコード62とパラメータ63とを連結したうえで、その連結体を前述した第2のセッション鍵で暗号化した後、8バイトに圧縮することでMAC64を生成する。
【0023】
ICカード1はセキュリティステータス更新コマンドを受信すると、同じセッション鍵によりMACを生成し、これが受信したMAC64と同じであれば、本コマンドが不正に偽造あるいは改竄されたものでないと判断する。ICカード1は改竄なしを確認するすると、機器(生体認証装置)2での生体認証が正しく行われたものとみなし、パラメータ63で指定されるセキュリティステータス6の最下位ビット(b1)を‘1’に設定する(ステップS63)。
【0024】
このようにして、機器(生体認証装置)2で生体認証が行われた場合も、ICカード1内で暗証番号が照合された場合と同様に、セキュリティステータス6の最下位ビット(b1)が設定されるため、その後、ファイル10の読出しが可能となる。すなわち、生体認証を行えば、暗証番号を入力する必要がなくなるため、ICカード所持者にとっての利便性が向上する。また、セキュリティステータス更新コマンドは第1フェーズの機器認証において正当と認められた生体認証装置2しか生成できないため、セキュリティは確保される。
【0025】
なお、前述した例では、ファイル10,12に対するアクセス制御に関して、暗証番号の照合と生体認証の影響範囲が等価である場合について説明したが、暗証番号の照合に比べて生体認証はより確実な本人確認手段であるため、暗証番号の照合後に実行できる機能と、生体認証後に実行できる機能とを別々に設定できれば、より柔軟性を増すことができる。これは、暗証番号の照合と生体認証とで、照合情報31およびキー条件44において異なるビットを割当てることにより実現することができる。
【0026】
一例として、ファイル10の読出しは暗証番号の照合後もしくは生体認証後に実行でき、ファイル12の読出しは生体認証後のみ実行できるようにする方法について、以下、図7を参照して説明する。これを実現するために、照合情報31およびキー条件44について、暗証番号の照合用にb1を割り当て、生体認証用にb2を割り当てる。そのうえで、
ファイル10のセキュリティ条件を図7(a)に示すように、
・論理条件43をOR条件に設定しておけば、
暗証番号の照合後もしくは生体認証後にファイル10の読出しが可能となる。
【0027】
また、ファイル12のセキュリティ条件を図7(b)に示すように、
・論理条件43をAND条件に設定し、
・生体認証に対応するb2に‘1’を設定し、
・暗証番号照合に対応するb1に’0’を設定しておけば、
暗証番号を照合してもこのファイルの読出しは実行できず、生体認証を行って初めて読出しが可能となる。なお、このケースでは‘1’に設定されるビット数が1ビットのみであるため、論理条件43はAND論理あるいはOR論理のどちらに設定しても構わない。
【0028】
ファイル12のセキュリティ条件を図7(c)に示すように、
・論理条件43をAND条件に設定し、
・生体認証に対応するb2に‘1’を設定し、
・暗証番号照合に対応するb1に’1’を設定しておけば、
暗証番号の照合と生体認証の両方が必要となり、さらに強固なアクセス権設定が可能となる。
(実施の形態2)
実施の形態1では、生体認証装置2からICカード1に送られる照合結果として、本人であることが確認できたか否かの二値識別の情報しか与えていない。しかしながら、実際には、特徴抽出されたデータは湿度や気温等の環境条件により異なるため、ICカード1から読み出したデータと完全に一致することはない。そのため、生体認証装置2がICカード所持者から直接取得した生体情報とICカード1から読み出された既得生体情報8との類似度が、予め設定された閾値と比較され、本人との一致/不一致が判定される。したがって、本人拒否率を低く抑えようとすれば他人受入率は高くなり、逆に、他人受入率を低く抑えようとすれば本人拒否率は高くなる。すなわち、設定した閾値によって判定が覆る可能性がある。
【0029】
このような生体認証の特徴を考慮すれば、本人であることの“確からしさ”のレベルに応じて実行できる機能の範囲を制限できることは実用上メリットがある。例えば、本人であることが通常レベルで“確からしい”と判断できる場合は、特定の機能を除いて実行可能とし、この特定の機能に関しては、極めて高い精度の本人確認を必要とすることが考えられる。これは、照合情報31およびキー条件44において、生体認証用に複数のビットを割当てることにより実現することができる。
【0030】
一例として、ファイル10に格納されるデータは通常の個人データであり、ファイル12に格納されるデータはプライバシー性が極めて高い個人データである場合を考える。具体的には、ファイル10の読出しは暗証番号の照合後、あるいは通常レベルの生体認証後に可能であり、ファイル12の読出しは高レベルの生体認証後のみ可能であるものとする。これを実現するため、照合情報31およびキー条件44において、生体認証用にb3とb4の2ビットを割り当てる。ここで、キー条件44のb3の値が‘1’に設定されているとき、そのファイルを読み出すために通常レベルの生体認証が必要であることを意味し、b4の値が‘1’に設定されているとき、そのファイルを読み出すために高レベルの生体認証が必要であることを意味する。暗証番号の照合用にも便宜上b1とb2の2ビットを割り当てるが、暗証番号の照合の有無は1ビットで表現できるため、b2は使用しない。
【0031】
一方、生体認証装置2は高低の二つの閾値を設け、生体認証の特徴データが一致する率が二つの閾値の間にある場合は通常レベルの生体認証に成功したものと判断し、高い方の閾値を上回っている場合は、高レベルの生体認証に成功したものとみなす。低い方の閾値を下回った場合は、生体認証に失敗したものと判断する。そして、生体認証装置2から送信されるセキュリティステータス更新コマンドは実施の形態1と同じく図6に示す構成を有するが、パラメータ63には前述した生体認証の照合結果のレベルを識別できる情報が設定される。
【0032】
例えば、簡単な例として、キー条件44のビット割当てに対応させ、パラメータ63の値が‘00000100’(2進数)の時、通常レベルの生体認証に成功したことを示し、‘00001000’(2進数)の時、高レベルの生体認証に成功したことを示す。
【0033】
図8(a)はファイル10のセキュリティ条件を示す。本実施の形態では、論理条件43はb1〜b7の各ビット間の論理条件ではなく、暗証番号の照合に関する条件(すなわちb1およびb2)と生体認証に関する条件(すなわちb3およびb4)との間の論理条件(AND論理又はOR論理)を意味する。すなわち、例えばOR論理であれば、暗証番号の照合に関する条件あるいは生体認証に関する条件のいずれか一方を満たしていればよいことを意味する。図8(a)はb8がOR論理を示し、b3およびb1に‘1’が設定されているため、通常レベルの生体認証後か、あるいは暗証番号の照合後に、ファイル10の読出しが可能となる。
【0034】
一方、ファイル12のセキュリティ条件は図8(b)のように設定される。ここではb4だけに‘1’が設定されているため、高レベルの生体認証後のみファイル12の読出しが可能となる。通常レベルの生体認証では、このファイルを読み出すことができない。
【0035】
このように、生体認証装置2から送信されるセキュリティステータス更新コマンドのパラメータに、生体認証の照合結果のレベルを識別できる情報を設定し、キー条件として生体認証用に複数のビットを割り当てることにより、本人である“確からしさ”のレベルに応じて、アクセス許容範囲を制限することができることとなり、生体認証の特性に柔軟に対応できるシステムの構築が可能となる。
【0036】
なお、上述した例では、暗証番号照合用のb2を使用していないが、b2を使用することによって、生体認証と同様、暗証番号の照合にもレベル分けの概念を導入することも可能である。例えば、暗証番号の桁数がこれに相当する。すなわち、キー条件44のb1に‘1’が設定されている場合は4桁の暗証番号の照合によってアクセス権が得られ、b2に‘1’が設定されている場合は8桁以上の暗証番号の照合を必要とするといった応用が考えられる。図8(c)は上述した桁の相違に基づく照合のレベル分け処理の一例である。この場合は、通常レベルの生体認証後か、あるいは8桁以上の暗証番号の照合後のみファイルの読出しが可能となる。
【0037】
また、前述の例では、ファイルごとにアクセス条件を変える場合で説明したが、機能(例えば、読出しと書込み)ごとにアクセス条件を変えることもできる。前述した通り、アクセスモード41とセキュリティ条件42との組合せは一つのファイル内に機能の数の分だけ存在する。したがって、例えば読出し機能を示すアクセスモード41におけるセキュリティ条件42と、書込み機能を示すアクセスモード41におけるセキュリティ条件42とに、互いに異なる条件を設定することにより、読出しと書込みに対するアクセス条件を変えることが可能となる。
(実施の形態3)
前述した実施の形態1,2では、セキュリティステータス更新コマンドのパラメータ63によって、変更対象となるセキュリティステータス6のビット番号を示す方法を説明した。しかしながら、実施の形態1,2では、生体認証装置2がどのビットでも操作可能となるため、関係のないビット(例えば、実施の形態2の場合で言えばb5〜b7)も変更することが可能となってしまう。これらのビットは生体認証装置2以外の機器用等に割り当てられるケースもあり、この場合は、生体認証装置2に操作権限が与えられないのが通常であるため、生体認証装置2が自由にこれらのビットを操作できるのはセキュリティ上好ましくない。
【0038】
この対策として、実施の形態3では、既得生体情報8の格納部として図9に示す構造を持たせる。図9において、特徴データ91は既得生体情報8の本体(特徴データ)であり、キー属性92は、この既得生体情報8に紐付けられた情報で、セキュリティステータス6のビット番号を示す。
【0039】
まずは実施の形態1の構成においてさらにセキュリティを向上させる構成について説明する。セキュリティステータス更新コマンドのパラメータ63には、生体認証に成功したことのみを示す情報(固定値でよい)が設定される。そして、実施の形態1と同じ方法によって、セキュリティステータス更新コマンドが偽造または改竄されたものでないことを確認した後、セキュリティステータス6が変更される。この時、既得生体情報8のキー属性92が参照される。すなわち、セキュリティステータス6の複数ビットのうち、キー属性92に設定されている番号に相当するビットに‘1’が設定される。
【0040】
次に実施の形態2に対してセキュリティを向上させる方法について説明する。セキュリティステータス更新コマンドのパラメータ63には、生体認証のレベルを示す情報が設定される。例えば値‘1’が設定されている時は通常レベルの生体認証が行われたことを示し、値‘2’が設定されている時は高レベルの生体認証が行われたことを示す。キー属性92は、通常レベルに対応したビット番号‘3’と高レベルに対応したビット番号‘4’という二つの情報を有しており、セキュリティステータス更新コマンドのパラメータ63で示される生体認証のレベルに応じて、セキュリティステータス6の対応するビットが‘1’に設定される。
【0041】
このようにセキュリティステータス更新コマンドの実行によって操作されるセキュリティステータス6のビット番号は、コマンドによって与えられるのではなく、ICカード1自身で決定することになる。このため、生体認証装置2が権限のないビットを不正に操作することができなくなり、セキュリティが向上することとなる。
【0042】
なお、この目的を実現するための方法は上記に限ったものではなく、様々な実現方法が考えられる。例えば、セキュリティステータス更新コマンドのパラメータ63に生体認証を成功した閾値そのものを設定し、その値によりICカード1側で操作するビットを決定するといった方法等でもよい。
(実施の形態4)
これまで述べてきた実施の形態では、図5で示した3つのフェーズで処理を行う場合で説明したが、生体情報を暗号化して送信する必要がない場合は、より少ないステップ数で同じ目的を達成することができる。これを図10を参照して説明する。
【0043】
まず、生体認証装置2からの要求(ステップS101)に応じて、ICカード1は格納されている既得生体情報8を送信する(ステップS102)。生体認証装置2はIC所持者から直接取得した生体情報とICカード1から読み出した既得生体情報8とを照合する(ステップS103)。ステップS103における照合において本人であると確認できた場合、ICカード1に乱数を要求し(ステップS104)、ICカード1はその要求に応じて乱数を生成して生体認証装置2に送る(ステップS105)。その後、生体認証装置2はICカード1から取得した乱数と、更新の対象となるセキュリティステータス6のビット番号とを連結したものを秘密鍵で暗号化して機器認証情報を生成してICカード1に送る(ステップS106,S107)。ICカード1は送られてきた機器認証情報を、ICカード1と同じ秘密鍵で復号して、自身が生成した乱数と一致するものが含まれていれば、
・生体認証装置2が正当なものであり、
・前記ビット番号が信頼できるものである、
と判断してセキュリティステータスを更新する(ステップS108)。それ以降の処理内容は、これまでの実施の形態と同じである。
【0044】
この手順に従えば、生体認証装置2の認証と、セキュリティステータスの更新指示とを同時に行えるため、トータル的に少ない処理量および伝送量で処理を実施することができる。
【0045】
なお、前述した例では、更新の対象となるセキュリティステータス6のビット番号を乱数と組み合わせることとしたが、実施の形態3と同様に、生体認証が成功したことのみを示す情報あるいは成功した生体認証のレベルを示す情報を乱数と組み合わせても同じ目的を達成できることは言うまでもない。
【産業上の利用可能性】
【0046】
本発明にかかる方法は、暗証番号および生体認証を用いたICカードシステムに有用である。
【図面の簡単な説明】
【0047】
【図1】本実施の形態1におけるICカードの構成図
【図2】本実施の形態1における暗証番号の照合処理手順
【図3】本実施の形態1におけるセキュリティステータスの構成図
【図4】本実施の形態1におけるセキュリティ属性の構成図
【図5】本実施の形態1における生体認証の照合処理手順
【図6】本実施の形態1におけるセキュリティステータス更新コマンドの構成図
【図7】本実施の形態1におけるセキュリティ条件の構成図
【図8】本実施の形態2におけるセキュリティ条件の構成図
【図9】本実施の形態3における生体情報の構成図
【図10】本実施の形態4における生体認証の照合処理手順
【符号の説明】
【0048】
1 ICカード
2 機器(暗証番号入力装置又は生体認証装置)
6 セキュリティステータス
7 暗証番号
8 生体情報
9 秘密鍵
11 セキュリティ属性
13 セキュリティ属性
31 照合情報
41 アクセスモード
42 セキュリティ条件
43 論理条件
44 キー条件
91 特徴データ
92 キー属性
【技術分野】
【0001】
本発明は生体情報が格納されたICカードと、そのICカードに対するアクセス制御方法に関する。
【背景技術】
【0002】
近年、交通,金融,パスポート,運転免許証等の様々な分野でICカードの普及が進んでいる。ICカードは不揮発性メモリを有し、そこにファイルやカード所持者の暗証番号等を格納することができる。ICカードの基本的な機能の一つとして、暗証番号のカード内照合がある。このカード内照合の機能は、次のように実現される。
【0003】
まず、ICカードの不揮発性メモリに格納された暗証番号と、外部から入力された暗証番号とを照合し、その照合結果をICカード内の揮発性メモリに保持する。この情報はセキュリティステータスと呼ばれる。一方、ICカード内のファイルには、例えばICカード所持者のみがこのファイルを読み出すことができる場合、読出しに先立ってICカード所持者の暗証番号の照合が必要であることを示す情報がこのファイルの属性情報として書き込まれている。これをセキュリティ属性と呼ぶ。先に述べたセキュリティステータスがこのセキュリティ属性で示される条件を満たしている場合に限り、このファイルの読出しが許可される。このようにICカード内部で暗証番号を照合し、ICカード自身でファイルへのアクセス可否を判断することにより、高いセキュリティを確保することができる。
【0004】
一方、本人確認の安全性および利便性を高める手段として、指紋や顔画像等による生体認証を用いたシステムが考案され(例えば特許文献1)、実用化されつつある。現状では、暗証番号のようにICカード内部で生体情報を照合することは処理時間等の点で実用的ではなく、外部で照合が行われるのが一般的である。また、外部装置としてセンサ等を備えた専用装置が必要であることから高度なセキュリティが要求される限られたシステムでのみ採用されているのが現状である。
【特許文献1】特開2000−215279号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、今後、より広くICカードを使用する場合、生体認証装置が備えられたシステムでは生体認証を行い、それ以外のシステムでは暗証番号による本人確認を行うといったように、生体認証と暗証番号認証との両用が必要となるが、従来技術では、生体認証を行ったにもかかわらず、暗証番号の入力が必要となり、使用者にとっての利便性が損なわれるといった課題(第1の課題)がある。
【0006】
これを前述の例で具体的に説明すると、生体認証がICカードの外部で行われ、その照合結果がICカード内のセキュリティステータスに反映されないため、生体認証を行っただけではファイルの読出しができない。すなわち、ファイルのセキュリティ属性を満たすためには暗証番号の照合が必要となり、ICカード所持者にとっては、生体認証によって本人であることが確認されたにもかかわらず、暗証番号の入力が必要になるといった利便性を損なったシステムとなってしまう。
【0007】
また、第2の課題として、生体認証特有の安全性(他人受入率)と利便性(本人拒否率)との間のトレードオフの問題がある。ICカードを用いた生体認証では、ICカードに格納された生体情報とICカード所持者の生体情報とを照合することにより本人確認を行うが、これらの情報の類似度に基づく判定値(閾値)が設定される。これにより、そのシステムに合った安全性と利便性を設定することが可能となる。しかしながら、その一方で、本人拒否率を低く抑えようとすれば他人受入率は高くなり、逆に、他人受入率を低く抑えようとすれば本人拒否率は高くなる。生体認証を行うICカードシステムでは、この特性に柔軟に対応できることが望まれる。
【課題を解決するための手段】
【0008】
上記課題を解決するため、本発明のアクセス制御方法は、
ICカードと生体認証装置との間におけるアクセス制御方法であって、
ICカード所持者から予め取得しておいた既得生体情報と、前記ICカードに対するアクセス可否を判断するためのセキュリティステータスとを、前記ICカードに格納する第1のステップと、
前記生体認証装置が、前記ICカード所持者から当該ICカード所持者の生体情報を取得するとともに、前記ICカードから前記既得生体情報を読み出す第2のステップと、
前記生体認証装置が、前記生体情報と前記既得生体情報とを照合したうえで、その照合結果を前記ICカードに送信する第3のステップと、
前記ICカードが、送信されてきた前記照合結果を検証して当該照合結果が不正に偽造または改竄されたものであるか否かを判断し、偽造または改竄されたものでないと判断すると、前記セキュリティステータスを更新する第4のステップと、
を含む。これにより、前述した第1の課題が解決される。
【0009】
また、本発明の態様として、次のものがある。すなわち、前記第3のステップでは、前記生体情報と前記既得生体情報との照合に基づいて、本人であることの確からしさの度合いを示す中間値を生成したうえで、当該中間値をアクセス制限の程度に応じて任意に設定可能な閾値と比較することで前記照合結果を作成する。これにより、前述した第2の課題が解決される。
【発明の効果】
【0010】
生体認証装置における生体認証結果が、安全性を確保しつつICカード内のセキュリティステータスに反映されるため、暗証番号のカード内での照合結果と同様に、外部での生体認証の結果をアクセス制御に使用することができる。この結果、生体認証さえ行えば、暗証番号の入力は不要となり、利便性に富んだシステムを構築することができる。
【0011】
また、照合結果として、「照合成功」、「照合失敗」の二値識別だけでなく、グレーゾーンの情報を送ることができ、本人であるかどうかを示す“確からしさ”のレベルに応じて、アクセス許容範囲を制限することができることとなり、生体認証の特性に柔軟に対応できるシステムの構築が可能となる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態について、図面を参照しながら説明する。
(実施の形態1)
図1は本発明の実施の形態1によるアクセス制御方法を行うICカードの構成図である。図1において、1はICカードであり、2はICカード1の所持者を認証するための機器である。機器2としては生体認証装置がこれにあたるが、システムによって暗証番号入力装置が機器2として追加される。ICカード1はCPU3とRAM4とEEPROM5とを備える。CPU3は機器2との間のコマンドおよびレスポンスの送受信やアクセス制御を初めとするICカード1の処理全般を司る。RAM4は作業用に使用される揮発性メモリであって、セキュリティステータス6が順次格納される。また、EEPROM5は、ICカード所持者が予め設定しておいた暗証番号情報7,ICカード所持者から予め取得しておいた既得生体情報8,秘密鍵情報9,および各種のセキュリティファイル10,12等が格納された不揮発性メモリである。
【0013】
図2は暗証暗号による本人確認を行ってICカード1を用いたアプリケーションを利用する場合における、暗証番号の照合の処理手順を示したものである。このシステムでは、図1の機器2は暗証番号入力装置となる。暗証番号入力装置2はキーパッドからなる入力部(図示せず)を備えており、ICカード所持者はこの入力部から自身の暗証番号を入力する(ステップS21)。これを受けて暗証番号入力装置2は、入力された暗証番号入力情報とともに暗証番号照合要求をICカード1に送る(ステップS22)。この要求を受けたICカード1は、EEPROM5に格納されている暗証番号情報7と送られてきた暗証番号入力情報とを照合する(ステップS23)。ステップS23における照合結果が正しければ、暗証番号入力情報が正しく照合された証として、RAM4のセキュリティステータス6を更新する(ステップS24)。セキュリティステータス6は図3に示す通り8ビットで構成されており、そのうち最上位ビット(b8)は使用されず、下位7ビット(b1〜b7)にあたる照合情報31が使用される。照合情報31の各ビットはそれぞれ一つのキー(暗証番号や機器認証鍵など)に対応しており、本実施の形態では、最下位ビット(b1)がICカード所持者の暗証番号に対応している。すなわち、暗証番号入力情報が正しく照合された場合、このビット(b1)が値‘1’に設定される。
【0014】
ICカード1に格納されるファイルのセキュリティ属性は図4に示す構造を有する。図4ではファイル10のセキュリティ属性11の場合で説明するが、ファイル12のセキュリティ属性13も同様の構造を持つ。セキュリティ属性11はアクセスモード41とセキュリティ条件42とで構成される。アクセスモード41には、当該ファイルに対するアクセスの種別(例えば、読出し機能)を識別する情報が格納される。また、セキュリティ条件42には、アクセスモード41で指定された機能を実行するに先立って照合すべきキーに関する情報が格納される。このセキュリティ条件42は8ビットで構成され、下位7ビットにあたるキー条件44の各ビット(b1〜b7)は、セキュリティステータス6の照合情報31の各ビット(b1〜b7)に対応している。すなわち、ファイル10を読み出すために暗証番号入力情報の照合が必要である場合は、キー条件の最下位ビット(b1)が値‘1’に設定されており、ファイル10を読み出す際には、ICカード1のCPU3がキー条件44と照合情報31とを比較し、照合情報31の内容がキー条件44で示される条件を満たしている場合に限り、読出しを許可する。
【0015】
セキュリティ条件42の最上位ビット(b8)にあたる論理条件43は、キー条件44の複数のビットに‘1’が設定されている場合に意味を持つもので、この論理条件43は、複数のキーの全てが照合されなければならない状態(AND論理)と、複数のキーのいずれか一つのキーが照合されればよい(OR論理)状態とを識別するために使用される。なお、図4では、読出し機能を例にとって説明したが、書込み等の他の機能についても同様で、機能の数だけ同じ構造の情報を有する。
【0016】
セキュリティステータス6はRAM4(揮発性メモリ)内の情報であるため、ICカード1への電源供給が切断されると、その情報は失われる。また、ICカード1に電源が供給された際には、ICカード1のCPU3はセキュリティステータス6をクリアする。したがって、ICカード1を次に使用する際、ICカード所持者は新たに暗証番号を入力することが必要となる。
【0017】
図5は生体認証による本人確認を行ってICカード1を用いたアプリケーションを利用する場合における、生体認証の処理手順を示したものである。このシステムでは、図1の機器2は生体認証装置となる。
【0018】
まず、第1フェーズとして機器認証、すなわちICカード1による生体認証装置2の認証が行われる。生体認証装置2がICカード1に乱数の生成を要求すると(ステップS51)、ICカード1は乱数を生成して生体認証装置2に送信する(ステップS52)。生体認証装置2はこの乱数を、予め取得して記録しておいた秘密鍵情報で暗号化することで機器認証情報を生成してICカード1に送信する。これがICカード1への機器認証要求である(ステップS53,S54)。ICカード1のEEPROOM5には生体認証装置2の秘密鍵情報と同じ秘密鍵情報9が予め格納されており、この秘密鍵情報9により、暗号化された機器認証情報を復号する。その復号結果とICカード1自身が生成した乱数とを比較することにより検証する(ステップS55)。この比較結果が同一を示す場合、機器認証情報が正しい秘密鍵で暗号化されており生体認証装置2は不正なものでないとみなすことができる。また、この時、生体認証装置2とICカード1とは二組のセッション鍵を生成して共有する(ステップS56A,S56B;以降の説明では、これらを第1のセッション鍵および第2のセッション鍵と呼ぶ)。
【0019】
セッション鍵の生成方法は、例えば、前述した秘密鍵と乱数とに特定の演算を施すことで実施される。この演算に、第1のセッション鍵と第2のセッション鍵とを区別するためのパラメータを入力すれば、二組のセッション鍵を生成することができる。このようにして、生体認証装置2とICカード1とが同じ演算を行うことにより、双方が同じセッション鍵を共有することができる。
【0020】
次に第2フェーズとして、生体認証装置2が、ICカード1のEEPROM5に格納されている既得生体情報8を読み出す(ステップS57,S58,S59)。この際、生体情報8は第1フェーズで生成された第1のセッション鍵によって暗号化した後に送信される。生体認証装置2は同じセッション鍵に基づいて既得生体情報8を復号した後、生体認証処理を行う(ステップS60)。すなわち、ICカード所持者から生体情報を取得し、特徴抽出を行った後、抽出した生体情報の特徴とICカード1から読み出した既得生体情報8とを照合する。照合結果は、両情報の類似度として数値化される。さらにその照合結果(類似度)は、本システムに予め設定されている閾値とさらに照合される。そして、照合結果(類似度)が閾値より高い場合に本人であると判断される。ここでいう閾値とは、ICカード所持者が本人であることをどの程度の確度で確かめる必要があるかの判断基準となるデータであって、アクセス制限の程度に応じて種々設定される。
【0021】
次に第3フェーズとして、ICカード1のセキュリティステータス6の更新が行われる(ステップS61,S62,S63)。この処理は生体認証装置2からICカード1に、図6に示すセキュリティステータス更新コマンドを送信する(ステップS61の処理)ことにより開始される。セキュリティステータス更新コマンドにおいて、コマンドクラス61はコマンドのセキュリティレベルを示すものであり、後述するMAC64によって本コマンドが保護されていることを示す。コマンドコード62は本コマンドがセキュリティステータス更新コマンドであることを識別するためのものである。パラメータ63は更新の対象となるセキュリティステータス6のビット番号を示す。本実施の形態では、暗証番号用に割り当てられたものと同じ最下位ビット(b1)を示す情報を設定する。MAC64は改竄を防止するためのメッセージ認証コード(Message Authentication Code)である。
【0022】
具体的には、生体認証装置2とICカード1とは、コマンドクラス61とコマンドコード62とパラメータ63とを連結したうえで、その連結体を前述した第2のセッション鍵で暗号化した後、8バイトに圧縮することでMAC64を生成する。
【0023】
ICカード1はセキュリティステータス更新コマンドを受信すると、同じセッション鍵によりMACを生成し、これが受信したMAC64と同じであれば、本コマンドが不正に偽造あるいは改竄されたものでないと判断する。ICカード1は改竄なしを確認するすると、機器(生体認証装置)2での生体認証が正しく行われたものとみなし、パラメータ63で指定されるセキュリティステータス6の最下位ビット(b1)を‘1’に設定する(ステップS63)。
【0024】
このようにして、機器(生体認証装置)2で生体認証が行われた場合も、ICカード1内で暗証番号が照合された場合と同様に、セキュリティステータス6の最下位ビット(b1)が設定されるため、その後、ファイル10の読出しが可能となる。すなわち、生体認証を行えば、暗証番号を入力する必要がなくなるため、ICカード所持者にとっての利便性が向上する。また、セキュリティステータス更新コマンドは第1フェーズの機器認証において正当と認められた生体認証装置2しか生成できないため、セキュリティは確保される。
【0025】
なお、前述した例では、ファイル10,12に対するアクセス制御に関して、暗証番号の照合と生体認証の影響範囲が等価である場合について説明したが、暗証番号の照合に比べて生体認証はより確実な本人確認手段であるため、暗証番号の照合後に実行できる機能と、生体認証後に実行できる機能とを別々に設定できれば、より柔軟性を増すことができる。これは、暗証番号の照合と生体認証とで、照合情報31およびキー条件44において異なるビットを割当てることにより実現することができる。
【0026】
一例として、ファイル10の読出しは暗証番号の照合後もしくは生体認証後に実行でき、ファイル12の読出しは生体認証後のみ実行できるようにする方法について、以下、図7を参照して説明する。これを実現するために、照合情報31およびキー条件44について、暗証番号の照合用にb1を割り当て、生体認証用にb2を割り当てる。そのうえで、
ファイル10のセキュリティ条件を図7(a)に示すように、
・論理条件43をOR条件に設定しておけば、
暗証番号の照合後もしくは生体認証後にファイル10の読出しが可能となる。
【0027】
また、ファイル12のセキュリティ条件を図7(b)に示すように、
・論理条件43をAND条件に設定し、
・生体認証に対応するb2に‘1’を設定し、
・暗証番号照合に対応するb1に’0’を設定しておけば、
暗証番号を照合してもこのファイルの読出しは実行できず、生体認証を行って初めて読出しが可能となる。なお、このケースでは‘1’に設定されるビット数が1ビットのみであるため、論理条件43はAND論理あるいはOR論理のどちらに設定しても構わない。
【0028】
ファイル12のセキュリティ条件を図7(c)に示すように、
・論理条件43をAND条件に設定し、
・生体認証に対応するb2に‘1’を設定し、
・暗証番号照合に対応するb1に’1’を設定しておけば、
暗証番号の照合と生体認証の両方が必要となり、さらに強固なアクセス権設定が可能となる。
(実施の形態2)
実施の形態1では、生体認証装置2からICカード1に送られる照合結果として、本人であることが確認できたか否かの二値識別の情報しか与えていない。しかしながら、実際には、特徴抽出されたデータは湿度や気温等の環境条件により異なるため、ICカード1から読み出したデータと完全に一致することはない。そのため、生体認証装置2がICカード所持者から直接取得した生体情報とICカード1から読み出された既得生体情報8との類似度が、予め設定された閾値と比較され、本人との一致/不一致が判定される。したがって、本人拒否率を低く抑えようとすれば他人受入率は高くなり、逆に、他人受入率を低く抑えようとすれば本人拒否率は高くなる。すなわち、設定した閾値によって判定が覆る可能性がある。
【0029】
このような生体認証の特徴を考慮すれば、本人であることの“確からしさ”のレベルに応じて実行できる機能の範囲を制限できることは実用上メリットがある。例えば、本人であることが通常レベルで“確からしい”と判断できる場合は、特定の機能を除いて実行可能とし、この特定の機能に関しては、極めて高い精度の本人確認を必要とすることが考えられる。これは、照合情報31およびキー条件44において、生体認証用に複数のビットを割当てることにより実現することができる。
【0030】
一例として、ファイル10に格納されるデータは通常の個人データであり、ファイル12に格納されるデータはプライバシー性が極めて高い個人データである場合を考える。具体的には、ファイル10の読出しは暗証番号の照合後、あるいは通常レベルの生体認証後に可能であり、ファイル12の読出しは高レベルの生体認証後のみ可能であるものとする。これを実現するため、照合情報31およびキー条件44において、生体認証用にb3とb4の2ビットを割り当てる。ここで、キー条件44のb3の値が‘1’に設定されているとき、そのファイルを読み出すために通常レベルの生体認証が必要であることを意味し、b4の値が‘1’に設定されているとき、そのファイルを読み出すために高レベルの生体認証が必要であることを意味する。暗証番号の照合用にも便宜上b1とb2の2ビットを割り当てるが、暗証番号の照合の有無は1ビットで表現できるため、b2は使用しない。
【0031】
一方、生体認証装置2は高低の二つの閾値を設け、生体認証の特徴データが一致する率が二つの閾値の間にある場合は通常レベルの生体認証に成功したものと判断し、高い方の閾値を上回っている場合は、高レベルの生体認証に成功したものとみなす。低い方の閾値を下回った場合は、生体認証に失敗したものと判断する。そして、生体認証装置2から送信されるセキュリティステータス更新コマンドは実施の形態1と同じく図6に示す構成を有するが、パラメータ63には前述した生体認証の照合結果のレベルを識別できる情報が設定される。
【0032】
例えば、簡単な例として、キー条件44のビット割当てに対応させ、パラメータ63の値が‘00000100’(2進数)の時、通常レベルの生体認証に成功したことを示し、‘00001000’(2進数)の時、高レベルの生体認証に成功したことを示す。
【0033】
図8(a)はファイル10のセキュリティ条件を示す。本実施の形態では、論理条件43はb1〜b7の各ビット間の論理条件ではなく、暗証番号の照合に関する条件(すなわちb1およびb2)と生体認証に関する条件(すなわちb3およびb4)との間の論理条件(AND論理又はOR論理)を意味する。すなわち、例えばOR論理であれば、暗証番号の照合に関する条件あるいは生体認証に関する条件のいずれか一方を満たしていればよいことを意味する。図8(a)はb8がOR論理を示し、b3およびb1に‘1’が設定されているため、通常レベルの生体認証後か、あるいは暗証番号の照合後に、ファイル10の読出しが可能となる。
【0034】
一方、ファイル12のセキュリティ条件は図8(b)のように設定される。ここではb4だけに‘1’が設定されているため、高レベルの生体認証後のみファイル12の読出しが可能となる。通常レベルの生体認証では、このファイルを読み出すことができない。
【0035】
このように、生体認証装置2から送信されるセキュリティステータス更新コマンドのパラメータに、生体認証の照合結果のレベルを識別できる情報を設定し、キー条件として生体認証用に複数のビットを割り当てることにより、本人である“確からしさ”のレベルに応じて、アクセス許容範囲を制限することができることとなり、生体認証の特性に柔軟に対応できるシステムの構築が可能となる。
【0036】
なお、上述した例では、暗証番号照合用のb2を使用していないが、b2を使用することによって、生体認証と同様、暗証番号の照合にもレベル分けの概念を導入することも可能である。例えば、暗証番号の桁数がこれに相当する。すなわち、キー条件44のb1に‘1’が設定されている場合は4桁の暗証番号の照合によってアクセス権が得られ、b2に‘1’が設定されている場合は8桁以上の暗証番号の照合を必要とするといった応用が考えられる。図8(c)は上述した桁の相違に基づく照合のレベル分け処理の一例である。この場合は、通常レベルの生体認証後か、あるいは8桁以上の暗証番号の照合後のみファイルの読出しが可能となる。
【0037】
また、前述の例では、ファイルごとにアクセス条件を変える場合で説明したが、機能(例えば、読出しと書込み)ごとにアクセス条件を変えることもできる。前述した通り、アクセスモード41とセキュリティ条件42との組合せは一つのファイル内に機能の数の分だけ存在する。したがって、例えば読出し機能を示すアクセスモード41におけるセキュリティ条件42と、書込み機能を示すアクセスモード41におけるセキュリティ条件42とに、互いに異なる条件を設定することにより、読出しと書込みに対するアクセス条件を変えることが可能となる。
(実施の形態3)
前述した実施の形態1,2では、セキュリティステータス更新コマンドのパラメータ63によって、変更対象となるセキュリティステータス6のビット番号を示す方法を説明した。しかしながら、実施の形態1,2では、生体認証装置2がどのビットでも操作可能となるため、関係のないビット(例えば、実施の形態2の場合で言えばb5〜b7)も変更することが可能となってしまう。これらのビットは生体認証装置2以外の機器用等に割り当てられるケースもあり、この場合は、生体認証装置2に操作権限が与えられないのが通常であるため、生体認証装置2が自由にこれらのビットを操作できるのはセキュリティ上好ましくない。
【0038】
この対策として、実施の形態3では、既得生体情報8の格納部として図9に示す構造を持たせる。図9において、特徴データ91は既得生体情報8の本体(特徴データ)であり、キー属性92は、この既得生体情報8に紐付けられた情報で、セキュリティステータス6のビット番号を示す。
【0039】
まずは実施の形態1の構成においてさらにセキュリティを向上させる構成について説明する。セキュリティステータス更新コマンドのパラメータ63には、生体認証に成功したことのみを示す情報(固定値でよい)が設定される。そして、実施の形態1と同じ方法によって、セキュリティステータス更新コマンドが偽造または改竄されたものでないことを確認した後、セキュリティステータス6が変更される。この時、既得生体情報8のキー属性92が参照される。すなわち、セキュリティステータス6の複数ビットのうち、キー属性92に設定されている番号に相当するビットに‘1’が設定される。
【0040】
次に実施の形態2に対してセキュリティを向上させる方法について説明する。セキュリティステータス更新コマンドのパラメータ63には、生体認証のレベルを示す情報が設定される。例えば値‘1’が設定されている時は通常レベルの生体認証が行われたことを示し、値‘2’が設定されている時は高レベルの生体認証が行われたことを示す。キー属性92は、通常レベルに対応したビット番号‘3’と高レベルに対応したビット番号‘4’という二つの情報を有しており、セキュリティステータス更新コマンドのパラメータ63で示される生体認証のレベルに応じて、セキュリティステータス6の対応するビットが‘1’に設定される。
【0041】
このようにセキュリティステータス更新コマンドの実行によって操作されるセキュリティステータス6のビット番号は、コマンドによって与えられるのではなく、ICカード1自身で決定することになる。このため、生体認証装置2が権限のないビットを不正に操作することができなくなり、セキュリティが向上することとなる。
【0042】
なお、この目的を実現するための方法は上記に限ったものではなく、様々な実現方法が考えられる。例えば、セキュリティステータス更新コマンドのパラメータ63に生体認証を成功した閾値そのものを設定し、その値によりICカード1側で操作するビットを決定するといった方法等でもよい。
(実施の形態4)
これまで述べてきた実施の形態では、図5で示した3つのフェーズで処理を行う場合で説明したが、生体情報を暗号化して送信する必要がない場合は、より少ないステップ数で同じ目的を達成することができる。これを図10を参照して説明する。
【0043】
まず、生体認証装置2からの要求(ステップS101)に応じて、ICカード1は格納されている既得生体情報8を送信する(ステップS102)。生体認証装置2はIC所持者から直接取得した生体情報とICカード1から読み出した既得生体情報8とを照合する(ステップS103)。ステップS103における照合において本人であると確認できた場合、ICカード1に乱数を要求し(ステップS104)、ICカード1はその要求に応じて乱数を生成して生体認証装置2に送る(ステップS105)。その後、生体認証装置2はICカード1から取得した乱数と、更新の対象となるセキュリティステータス6のビット番号とを連結したものを秘密鍵で暗号化して機器認証情報を生成してICカード1に送る(ステップS106,S107)。ICカード1は送られてきた機器認証情報を、ICカード1と同じ秘密鍵で復号して、自身が生成した乱数と一致するものが含まれていれば、
・生体認証装置2が正当なものであり、
・前記ビット番号が信頼できるものである、
と判断してセキュリティステータスを更新する(ステップS108)。それ以降の処理内容は、これまでの実施の形態と同じである。
【0044】
この手順に従えば、生体認証装置2の認証と、セキュリティステータスの更新指示とを同時に行えるため、トータル的に少ない処理量および伝送量で処理を実施することができる。
【0045】
なお、前述した例では、更新の対象となるセキュリティステータス6のビット番号を乱数と組み合わせることとしたが、実施の形態3と同様に、生体認証が成功したことのみを示す情報あるいは成功した生体認証のレベルを示す情報を乱数と組み合わせても同じ目的を達成できることは言うまでもない。
【産業上の利用可能性】
【0046】
本発明にかかる方法は、暗証番号および生体認証を用いたICカードシステムに有用である。
【図面の簡単な説明】
【0047】
【図1】本実施の形態1におけるICカードの構成図
【図2】本実施の形態1における暗証番号の照合処理手順
【図3】本実施の形態1におけるセキュリティステータスの構成図
【図4】本実施の形態1におけるセキュリティ属性の構成図
【図5】本実施の形態1における生体認証の照合処理手順
【図6】本実施の形態1におけるセキュリティステータス更新コマンドの構成図
【図7】本実施の形態1におけるセキュリティ条件の構成図
【図8】本実施の形態2におけるセキュリティ条件の構成図
【図9】本実施の形態3における生体情報の構成図
【図10】本実施の形態4における生体認証の照合処理手順
【符号の説明】
【0048】
1 ICカード
2 機器(暗証番号入力装置又は生体認証装置)
6 セキュリティステータス
7 暗証番号
8 生体情報
9 秘密鍵
11 セキュリティ属性
13 セキュリティ属性
31 照合情報
41 アクセスモード
42 セキュリティ条件
43 論理条件
44 キー条件
91 特徴データ
92 キー属性
【特許請求の範囲】
【請求項1】
ICカードと生体認証装置との間におけるアクセス制御方法であって、
ICカード所持者から予め取得しておいた既得生体情報と、前記ICカードに対するアクセス可否を判断するためのセキュリティステータスとを、前記ICカードに格納する第1のステップと、
前記生体認証装置が、前記ICカード所持者から当該ICカード所持者の生体情報を取得するとともに、前記ICカードから前記既得生体情報を読み出す第2のステップと、
前記生体認証装置が、前記生体情報と前記既得生体情報とを照合したうえで、その照合結果を前記ICカードに送信する第3のステップと、
前記ICカードが、送信されてきた前記照合結果を検証して当該照合結果が不正に偽造または改竄されたものであるか否かを判断し、偽造または改竄されたものでないと判断すると、前記セキュリティステータスを更新する第4のステップと、
を含むことを特徴とするアクセス制御方法。
【請求項2】
請求項1記載のアクセス制御方法において、
前記第3のステップでは、前記照合結果を暗号演算してなる暗号情報を前記ICカードに送信し、
前記第4のステップでは、前記ICカードが、送信されてきた前記暗号情報を復号検証して当該暗号情報が不正に偽造または改竄されたものであるか否かを判断する、
ことを特徴とするアクセス制御方法。
【請求項3】
請求項1記載のアクセス制御方法において、
前記ICカード保持者による暗証番号入力を受け付ける入力部を有する暗証番号入力装置をさらに用意し、
前記第1のステップでは、前記ICカードに、前記ICカード所持者が予め設定しておいた暗証番号情報を格納し、
前記暗証番号入力装置が、前記ICカード所持者が前記入力部に入力する暗証番号入力情報を前記ICカードに送信する第5のステップと、
前記ICカードが、前記暗証番号入力情報と前記暗証番号情報とを照合する第6のステップと、
をさらに含むことを特徴とするアクセス制御方法。
【請求項4】
請求項3記載のアクセス制御方法において、
前記第1のステップでは、前記セキュリティステータスとして、前記生体情報と前記既得生体情報との間の照合結果に基づいて更新される第1のフィールドと、前記暗証番号入力情報と前記暗証番号情報との間の照合結果に基づいて更新される第2のフィールドとを有するセキュリティステータスを前記ICカードに格納し、
前記第4のステップでは、前記生体情報と前記既得生体情報との間の照合結果が不正に偽造または改竄されたものでないと判断すると、前記第1のフィールドを更新し、
前記第6のステップでは、前記暗証番号入力情報と前記暗証番号情報との間の照合結果が正しいと判断すると、前記第2のフィールドを更新する、
ことを特徴とするアクセス制御方法。
【請求項5】
請求項1記載のアクセス制御方法において、
前記第1のステップでは、前記既得生体情報として属性情報を有する情報を、前記セキュリティステータスとして複数のフィールドを有するセキュリティステータスを、それぞれ前記ICカードに格納し、
前記第4のステップでは、前記ICカードは、前記属性情報に基づいて、更新すべきセキュリティステータスのフィールドを選択する、
ことを特徴とするアクセス制御方法。
【請求項6】
請求項1記載のアクセス制御方法において、
前記第3のステップでは、前記生体情報と前記既得生体情報との照合に基づいて、本人であることの確からしさの度合いを示す中間値を生成したうえで、当該中間値をアクセス制限の程度に応じて任意に設定可能な閾値と比較することで前記照合結果を作成する、
ことを特徴とするアクセス制御方法。
【請求項7】
請求項1記載のアクセス制御方法において、
前記第3のステップでは、前記照合結果として、本人であることの確からしさの度合いに応じて3種類以上に段階分けされた照合結果を作成する、
ことを特徴とするアクセス制御方法。
【請求項8】
請求項7記載のアクセス制御方法において、
前記第3のステップでは、前記生体情報と前記既得生体情報との照合に基づいて、本人であることの確からしさの度合いを示す中間値を生成したうえで、当該中間値と、アクセス制限の程度に応じて互いに異なる複数の閾値とをそれぞれ比較することで、前記照合結果として、3種類以上に段階分けされた照合結果を作成する、
アクセス制御方法。
【請求項9】
ICカード所持者から予め取得しておいた既得生体情報を格納する不揮発性メモリと、
外部の生体認証装置との間のアクセス可否を判断するためのセキュリティステータスを有する揮発性メモリと、
CPUと、
を有し、
前記CPUは、
前記不揮発性メモリから前記既得生体情報を読み出して、前記生体認証装置に送信する手段と、
前記ICカード所持者から当該ICカード所持者の生体情報を取得しかつ前記既得生体情報を受信した前記生体認証装置が、前記生体情報と前記既得生体情報とを照合して暗号演算したうえで送信する照合結果を受信する手段と、
受信した前記照合結果を復号検証することで当該照合結果が不正に偽造または改竄されたものであるか否かを判断し、偽造または改竄されたものでないと判断すると、前記揮発性メモリの前記セキュリティステータスを更新する手段と、
を有する、
ことを特徴とするICカード。
【請求項1】
ICカードと生体認証装置との間におけるアクセス制御方法であって、
ICカード所持者から予め取得しておいた既得生体情報と、前記ICカードに対するアクセス可否を判断するためのセキュリティステータスとを、前記ICカードに格納する第1のステップと、
前記生体認証装置が、前記ICカード所持者から当該ICカード所持者の生体情報を取得するとともに、前記ICカードから前記既得生体情報を読み出す第2のステップと、
前記生体認証装置が、前記生体情報と前記既得生体情報とを照合したうえで、その照合結果を前記ICカードに送信する第3のステップと、
前記ICカードが、送信されてきた前記照合結果を検証して当該照合結果が不正に偽造または改竄されたものであるか否かを判断し、偽造または改竄されたものでないと判断すると、前記セキュリティステータスを更新する第4のステップと、
を含むことを特徴とするアクセス制御方法。
【請求項2】
請求項1記載のアクセス制御方法において、
前記第3のステップでは、前記照合結果を暗号演算してなる暗号情報を前記ICカードに送信し、
前記第4のステップでは、前記ICカードが、送信されてきた前記暗号情報を復号検証して当該暗号情報が不正に偽造または改竄されたものであるか否かを判断する、
ことを特徴とするアクセス制御方法。
【請求項3】
請求項1記載のアクセス制御方法において、
前記ICカード保持者による暗証番号入力を受け付ける入力部を有する暗証番号入力装置をさらに用意し、
前記第1のステップでは、前記ICカードに、前記ICカード所持者が予め設定しておいた暗証番号情報を格納し、
前記暗証番号入力装置が、前記ICカード所持者が前記入力部に入力する暗証番号入力情報を前記ICカードに送信する第5のステップと、
前記ICカードが、前記暗証番号入力情報と前記暗証番号情報とを照合する第6のステップと、
をさらに含むことを特徴とするアクセス制御方法。
【請求項4】
請求項3記載のアクセス制御方法において、
前記第1のステップでは、前記セキュリティステータスとして、前記生体情報と前記既得生体情報との間の照合結果に基づいて更新される第1のフィールドと、前記暗証番号入力情報と前記暗証番号情報との間の照合結果に基づいて更新される第2のフィールドとを有するセキュリティステータスを前記ICカードに格納し、
前記第4のステップでは、前記生体情報と前記既得生体情報との間の照合結果が不正に偽造または改竄されたものでないと判断すると、前記第1のフィールドを更新し、
前記第6のステップでは、前記暗証番号入力情報と前記暗証番号情報との間の照合結果が正しいと判断すると、前記第2のフィールドを更新する、
ことを特徴とするアクセス制御方法。
【請求項5】
請求項1記載のアクセス制御方法において、
前記第1のステップでは、前記既得生体情報として属性情報を有する情報を、前記セキュリティステータスとして複数のフィールドを有するセキュリティステータスを、それぞれ前記ICカードに格納し、
前記第4のステップでは、前記ICカードは、前記属性情報に基づいて、更新すべきセキュリティステータスのフィールドを選択する、
ことを特徴とするアクセス制御方法。
【請求項6】
請求項1記載のアクセス制御方法において、
前記第3のステップでは、前記生体情報と前記既得生体情報との照合に基づいて、本人であることの確からしさの度合いを示す中間値を生成したうえで、当該中間値をアクセス制限の程度に応じて任意に設定可能な閾値と比較することで前記照合結果を作成する、
ことを特徴とするアクセス制御方法。
【請求項7】
請求項1記載のアクセス制御方法において、
前記第3のステップでは、前記照合結果として、本人であることの確からしさの度合いに応じて3種類以上に段階分けされた照合結果を作成する、
ことを特徴とするアクセス制御方法。
【請求項8】
請求項7記載のアクセス制御方法において、
前記第3のステップでは、前記生体情報と前記既得生体情報との照合に基づいて、本人であることの確からしさの度合いを示す中間値を生成したうえで、当該中間値と、アクセス制限の程度に応じて互いに異なる複数の閾値とをそれぞれ比較することで、前記照合結果として、3種類以上に段階分けされた照合結果を作成する、
アクセス制御方法。
【請求項9】
ICカード所持者から予め取得しておいた既得生体情報を格納する不揮発性メモリと、
外部の生体認証装置との間のアクセス可否を判断するためのセキュリティステータスを有する揮発性メモリと、
CPUと、
を有し、
前記CPUは、
前記不揮発性メモリから前記既得生体情報を読み出して、前記生体認証装置に送信する手段と、
前記ICカード所持者から当該ICカード所持者の生体情報を取得しかつ前記既得生体情報を受信した前記生体認証装置が、前記生体情報と前記既得生体情報とを照合して暗号演算したうえで送信する照合結果を受信する手段と、
受信した前記照合結果を復号検証することで当該照合結果が不正に偽造または改竄されたものであるか否かを判断し、偽造または改竄されたものでないと判断すると、前記揮発性メモリの前記セキュリティステータスを更新する手段と、
を有する、
ことを特徴とするICカード。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2009−151528(P2009−151528A)
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願番号】特願2007−328622(P2007−328622)
【出願日】平成19年12月20日(2007.12.20)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願日】平成19年12月20日(2007.12.20)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]