生体情報認証装置および生体情報認証プログラム
【課題】生体情報認証において、生体情報を改竄する方法にかかわらず、本人以外の第三者が成りすまして認証されることを防止する。
【解決手段】CPU11は、指静脈取得装置30が撮像した指静脈画像と、照合用指静脈画像ファイル51に記録されている指静脈画像を照合して類似度(以下、現類似度という。)を求める。CPU11は、現類似度と所定の閾値を比較し、現類似度>閾値となる場合、照合成功と判定する。照合成功と判定された場合、次に、CPU11は、照合履歴ファイル52に“参照可”として記録されている過去に求められた類似度を参照し、過去の類似度の最大値を求める。そして、CPU11は、現類似度と過去の類似度の最大値を比較し、現類似度>過去の類似度の最大値となる場合、成りすましが行われたと判定する。
【解決手段】CPU11は、指静脈取得装置30が撮像した指静脈画像と、照合用指静脈画像ファイル51に記録されている指静脈画像を照合して類似度(以下、現類似度という。)を求める。CPU11は、現類似度と所定の閾値を比較し、現類似度>閾値となる場合、照合成功と判定する。照合成功と判定された場合、次に、CPU11は、照合履歴ファイル52に“参照可”として記録されている過去に求められた類似度を参照し、過去の類似度の最大値を求める。そして、CPU11は、現類似度と過去の類似度の最大値を比較し、現類似度>過去の類似度の最大値となる場合、成りすましが行われたと判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、生体情報を利用して本人か否かを認証する生体情報認証装置および生体情報認証プログラムに関する。
【背景技術】
【0002】
近年、ピッキングによる住宅等への不正侵入、パスワード盗撮等による他人の銀行口座への侵入、コンピュータネットワークへの不正侵入などの事件が増加している。
こうした不正行為に対応するため、より偽造が困難であり、本人であることの保証能力が高い「鍵」として、生体情報が使用されるようになってきている。
【0003】
例えば、住宅の鍵を電子錠にして、予め本人の指紋、虹彩、顔写真、血管パターンなどの生体情報を登録しておき、開錠要求者の生体情報を取得(以下「採取」と記載する場合もある。)して照合を行い、一致した場合に開錠するといった装置が実用化されている。同様の方法は、銀行のATMや、PC起動時の本人確認等においても使用されている。
【0004】
生体情報認証を行うためには、まず照合用原本としての生体情報を何らかの方法で採取して記録する必要がある。また、認証時においては、生体情報を取得する機能(生体情報取得機能)、および取得した生体情報を照合用原本と対比して一致しているかどうかを判定する機能(一致判定機能)が必要となる。
【0005】
生体情報取得機能に関しては、赤外線を指に照射して指静脈の血管像を撮影し、撮影結果の画像データを取得する装置が知られている。指紋、虹彩、顔写真等による生体情報認証についても、生体情報を取得するためのさまざまな装置や方法が知られている(例えば、特許文献1参照)。
【0006】
ここで、一致判定機能に関しては、生体情報認証に独特の問題が存在する。即ち、同一の生体情報を採取する場合でも、採取条件によって採取結果が異なるため、照合用原本として採取・記録した生体情報と、認証時に採取した生体情報を単純に比較しても、一致することはない。例えば、指静脈の血管の太さは一日の時間帯によって多少異なるし、成長によって変化する。
【0007】
このため、生体情報認証においては、照合用原本として採取・記録した生体情報と、認証時に採取した生体情報が類似しているかどうかを判定し、所定の基準以上に類似している場合には、一致しているとみなすことになる。
【0008】
具体的には、生体情報の類似度を計算し、類似度が一定値(以下「閾値」という。)以上であれば本人であると判定する方法が一般的に行われている。即ち、n人の生体情報が照合用原本として記録されている場合、認証時に採取された生体情報を、このn人の生体情報と照合して類似度を計算する。そして、そのうち類似度が最も高いものについて閾値と比較し、類似度が閾値以上であれば認証成功とする。以下、この方法を「1対N認証」と記載する。
【0009】
また、生体情報と対にして識別コードを登録しておき、認証時には生体情報を採取するほかに識別コードの入力を要求し、まず、識別コードの一致判定によって生体情報の照合用原本を決定し、採取した生体情報と比較して類似度が閾値以上であれば認証成功とする方法も行われている。以下、この方法を「1対1認証」と記載する。
【0010】
以上に説明した生体情報認証では、類似度が所定の閾値以上であれば本人であると判定されてしまう。従って、他人を誤って本人と判定しないためには、閾値を高めに設定する必要がある。しかしながら、閾値をいくら高く設定したとしても、意図的で巧妙な成りすましを防ぐことはできない。
【0011】
例えば、照合用原本が窃取されると、この照合用原本を、照合時に採取した生体情報に変えて類似判定させることで容易に本人に成りすますことができる。このような単純な成りすましは、照合用原本と判定対象の生体情報が完全に一致する場合には認証失敗とすることで防止することができるが、窃取した照合用原本の一部だけを改竄することによって、上記の防止策を潜り抜けることができる。
【0012】
このため、このような成りすましを防止する技術として、特許文献2は、生体情報を複数の部分に分割し、各部分ごとに一致判定を行い、一部分のみ異なり、他の部分は一致していれば照合用原本が改竄されたものとみなして認証失敗とする技術を開示する。
また、特許文献2は、生体情報を示す各部分のデータを一律に増加または減少させ、あるいはシフトさせて各部分ごとに一致判定を行い、各部分が一致していれば認証失敗とする技術を開示する。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】特開2003-187235号公報
【特許文献2】特開2001-283223号公報
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかし、例えば、生体情報を示す各部分のデータを増加または減少させる割合が部分ごとに異なるような改竄が行われた場合、特許文献2の技術によっては、成りすます行為を防止することはできない。この他にも生体情報を改竄するための様々な方法が考えられる。特許文献2の技術によっては、様々な方法で改竄された生体情報全てについて成りすます行為を防止することは困難である。
【0015】
本発明は、上記実情に鑑みてなされたものであり、生体情報を改竄する方法にかかわらず、本人以外の第三者が成りすまして認証されることを防止することができる生体情報認証装置および生体情報認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0016】
上記目的を達成するため、本発明に係る生体情報認証装置は、
照合用原本となる生体情報を記憶する原本記憶手段と、
認証対象の生体情報を取得する生体情報取得手段と、
前記原本記憶手段に記憶されている照合用原本となる生体情報と前記生体情報取得手段によって取得された認証対象の生体情報との類似度を求める類似度算出手段と、
前記類似度算出手段によって求められた類似度を記憶する類似度記憶手段と、
前記類似度記憶手段に記憶されている複数の類似度に基づいて基準値を求め、前記類似度算出手段によって求められた類似度が、当該基準値と、前記照合用原本となる生体情報と前記認証対象の生体情報が完全に一致する場合の類似度との間の値である場合に、前記生体情報取得手段によって取得された生体情報は成りすまされた生体情報と判定する判定手段と、
を備えることを特徴とする。
【0017】
好ましくは、本発明に係る生体情報認証装置は、
前記類似度算出手段によって求められた類似度に基づいて、前記生体情報取得手段によって取得された生体情報は本人と他人のいずれの生体情報かを認証する認証手段と、
前記類似度記憶手段に類似度が記憶されている生体情報のうち、前記判定手段によって成りすまされた生体情報と判定された生体情報について、当該生体情報が所定の条件を満たす場合に本人の生体情報と再判定する再判定手段と、
を備え、
前記判定手段は、前記類似度記憶手段に記憶されている各類似度のうち、前記認証手段によって本人の生体情報と認証された生体情報の類似度と、前記再判定手段によって本人の生体情報と再判定された生体情報の類似度とに基づいて前記基準値を求める、
ことを特徴とする。
【0018】
また、本発明に係る生体情報認証プログラムは、
コンピュータを、
照合用原本となる生体情報を記憶する原本記憶手段と、
認証対象の生体情報を取得する生体情報取得手段と、
前記原本記憶手段に記憶されている照合用原本となる生体情報と前記生体情報取得手段によって取得された認証対象の生体情報との類似度を求める類似度算出手段と、
前記類似度算出手段によって求められた類似度を記憶する類似度記憶手段と、
前記類似度記憶手段に記憶されている複数の類似度に基づいて基準値を求め、前記類似度算出手段によって求められた類似度が、当該基準値と、前記照合用原本となる生体情報と前記認証対象の生体情報が完全に一致する場合の類似度との間の値である場合に、前記生体情報取得手段によって取得された生体情報は成りすまされた生体情報と判定する判定手段と、
して機能させる。
【発明の効果】
【0019】
本発明によれば、生体情報認証において、生体情報を改竄する方法にかかわらず、本人以外の第三者が成りすまして認証されることを防止することができる。
【図面の簡単な説明】
【0020】
【図1】本発明の第1の実施形態に係る生体情報認証装置の構成の一例を示す図である。
【図2】照合用指静脈画像ファイルのデータ構成の一例を示す図である。
【図3】照合履歴ファイルのデータ構成の一例を示す図である。
【図4】本発明の第1の実施形態に係る生体情報認証処理のフローチャートの一例を示す図である。
【図5】本発明の第2の実施形態に係る生体情報認証システムの構成の一例を示す図である。
【図6】本発明の第3の実施形態に係る生体情報認証システム3の構成の一例を示す図である。
【図7】本発明の第3の実施形態に係る生体情報認証システムのクライアントにおける認証依頼処理のフローチャートの一例を示す図である。
【図8】本発明の第3の実施形態に係る生体情報認証システムの認証サーバにおける認証処理のフローチャートの一例を示す図である。
【図9】照合履歴ファイルのデータ構成の別の例を示す図である。
【発明を実施するための形態】
【0021】
まず、本発明の原理について説明する。
【0022】
同一の生体(例えば指静脈)であっても、採取条件によって採取した生体情報は異なる。このため、以前採取した生体情報と今回採取した生体情報が完全に一致することはありえないと考えて良い。従って、生体情報全体、あるいはある程度の範囲の生体情報の一部が完全に一致した場合には成りすましであると判定することができる。
【0023】
ここで、認証時に採取した生体情報全体が照合用原本と完全に一致することがありえないと考えて良いのであれば、認証時に採取した生体情報全体と照合用原本の一致度は、上記完全一致の場合の数値を100%としたとき、ある所定の判定基準値(例えば99.99%)を超える値になることはありえないと考えて良いはずである。
【0024】
従って、この所定の判定基準値を得ることができたならば、類似度が当該所定の判定基準値以上の場合は成りすましと判定することができる。
【0025】
以下、本発明の実施形態について図面を参照しながら説明する。
【0026】
図1は、本発明の第1の実施形態に係る生体情報認証装置1の構成の一例を示す図である。
第1の実施形態に係る生体情報認証装置1は、コンピュータ10と、入力装置20と、指静脈取得装置30と、表示装置40と、記憶装置50とで構成される。
【0027】
コンピュータ10は、CPU(Central Processing Unit)11、メモリ12、図示していない内部バス、外部インタフェース装置等を有する。生体情報認証装置1は、例えば、指静脈取得装置30を備えたPC(Personal Computer)等の一般的なコンピュータである。
【0028】
CPU11は、起動時等の所定タイミングで、認証プログラム13を、図示していない磁気ディスク等の記憶装置からメモリ12にローディングする。そして、CPU11は、認証プログラム13の命令コードを実行し、生体情報認証機能を実現する。
メモリ12は、RAM(Random Access Memory)やROM(Read Only Memory)等を含む。メモリ12には、認証プログラム13の他に、文書作成プログラム等のプログラムがローディングされる。
【0029】
入力装置20は、キーボードやマウス等を含む。入力装置20は、利用者の操作指示を受け付ける。
【0030】
指静脈取得装置30は、利用者の指静脈を赤外線等によって撮像し、指静脈の画像データを作成する。
【0031】
表示装置40は、ディスプレイ、プリンタ等を含む。表示装置40は、認証プログラム13の処理結果等を表示する。
【0032】
記録装置50は、磁気ディスク装置や光ディスク装置等で構成される。記録装置50は、照合用指静脈画像ファイル51と照合履歴ファイル52を記録している。
【0033】
照合用指静脈画像ファイル51には、後述するように全ての認証対象者の照合用生体情報等が記録される。照合用指静脈画像ファイル51は、CPU11が、認証プログラム13を実行するために参照する。なお、照合用指静脈画像ファイル51を作成する処理については、本発明の目的と直接関係がないため、特に説明しない。
【0034】
照合履歴ファイル52には、認証処理を行った日時、その際の類似度等の認証履歴が記録される。後述するように、CPU11は、照合履歴ファイル52を参照して、成りすましの判定基準とする閾値を決定する。また、CPU11は、認証日時、認証時に計算した類似度等を照合履歴ファイル52に記録する。
【0035】
生体情報認証装置1は、利用者が文書作成等を行うためにPCを使用する際、使用に先立って、利用者の利用権限を認証するために使用される。即ち、認証成功した場合には、利用者はPCを使用することができ、認証失敗した場合には、利用者はPCを使用することができない。
【0036】
例えば、会社内でPCを共同で使用する場合、利用者が参照・更新可能なファイルや、使用可能なアプリケーション等を、利用者に応じて変える必要がある。このような場合、当該PCに、後述するような生体情報認証機能を組み込むことで、生体情報認証装置1として使用することができる。例えばPCにログインする際に生体情報認証によって利用権限の有無を判定するとともに、利用者を一意に識別するID(Identifier)を取得し、取得したIDをファイルの参照や更新権限の判定のために使用することができる。
【0037】
また、家庭内において、例えば子供が両親に成りすましてPCにログインし、WEBのアクセス禁止サイトにアクセスするような行為を防ぐ必要がある。その場合、家族が使用するPCに生体情報認証機能を組み込むことで、当該PCを生体情報認証装置1として使用することができる。
【0038】
図2は、照合用指静脈画像ファイル51のデータ構成の一例を示す図である。
照合用指静脈画像ファイル51は、認証対象者すなわち生体情報認証装置1の利用者(m人)分の照合用レコード510から構成される。各照合用レコード510は、識別コード511、および指静脈画像512から構成される。
【0039】
識別コード511は、生体情報認証装置1の各利用者に対応するコードであり、生体情報認証装置1の各利用者を一意に識別するIDである。識別コード511によって各照合用レコード510を一意に識別することができる。識別コード511は、例えば照合用レコード510の作成順に連続通番を付与しても良いし、利用者を登録する処理において、利用者が入力したコードを付与しても良い。
指静脈画像512は、生体情報認証装置1の利用者を照合するための照合用原本であり、照合用レコード510の作成時に、利用者の静脈パターンを赤外線等によって撮影し、指静脈パターン画像として記録したものである。
【0040】
図3は、照合履歴ファイル52のデータ構成の一例を示す図である。
照合履歴ファイル52は、認証対象者(m人)分の照合履歴レコード520から構成される。各照合履歴レコード520は、識別コード521、およびn回分の認証履歴522から構成される。
【0041】
識別コード521は、照合用レコード510の識別コード511と同じく、生体情報認証装置1の各利用者に対応するコードである。識別コード521によって各照合履歴レコード520を一意に識別することができる。認証履歴522は、認証日時523、類似度524、認証成否525、および参照可否526のデータ項目から構成される。認証履歴522は、認証プログラム13による認証結果等を記録するためのデータ項目である。一度も認証したことがない認証対象者について、認証履歴522は記録されていない。このとき、n=0である。
【0042】
認証日時523には、CPU11が認証処理を行った年月日時刻が、例えば、”20090630140943”(2009年6月30日14時9分43秒)のように記録されている。
【0043】
類似度524には、当該認証において指静脈取得装置30が撮像した利用者の指静脈画像が、当該利用者の指静脈画像512とどの程度類似していたかを示す値が設定される。なお、以降の説明では類似度524には0から100までの値が設定されるものとする。100が設定された場合は完全に一致しており、100に近いほど類似しているものとする。ただし、類似度を数値として示す方法はこれに限られるわけではない。
【0044】
認証成否525には、当該認証において認証が成功したことを示す値(利用者が本人であると認証されたか)、あるいは認証が成功しなかったことを示す値が設定される。以降の説明では、成功した場合“成功”が、成功しなかった場合“失敗”が設定されているものとする。
【0045】
参照可否526には、当該類似度524を本人の過去の認証結果として参照して良いことを示す値、あるいは本人の過去の認証結果として参照してはいけないことを示す値が設定される。以降の説明では、参照して良い場合“参照可”、あるいは参照してはいけない場合“参照不可”が設定されているものとする。詳しくは後述するが、CPU11が認証処理を行ったとき、認証に成功した場合には“参照可”、成功しなかった場合は“参照不可”が設定される。従って認証処理終了直後には、認証成否525の設定値(“成功”または“失敗”)と参照可否526の設定値(“参照可”または“参照不可”)はそれぞれ対応している。
【0046】
ただし、例えば、成りすましと判定した認証の直後に認証が成功した場合は、実は成りすましではなかったと判断可能である(詳細については、後述する)。
このような場合、誤って成りすましと判定されたため、認証成否525は“失敗”となっている。この場合、CPU11は、成りすましではなかったと判断した生体情報を本人の生体情報であると再判定する。CPU11は、参照可否526を“参照不可”から“参照可”に変更し、認証成否525を“失敗”としたまま、次回以降の認証処理時に、当該類似度524を本人の類似度として参照する。
【0047】
なお、認証履歴522の数(n)は特に制限を設けず、認証処理を行うたびに認証履歴522が増えるようにしても良い。ただし、現実には記憶装置5の容量による制約があるので、例えば所定数(例えば100回)の最近の認証履歴を残すようにしても良いし、あるいは、所定期間、例えば最近数か月分の認証履歴を残すようにしても良い。
【0048】
次に、生体情報認証装置1を使用した生体情報認証における処理の流れについて説明する。
なお、認証処理の前提として、各認証対象者について照合用レコード510を作成する処理(認証対象者について識別コード511を付与し、識別コード511と指静脈画像512を設定する処理)が行われる。ただし、当該処理の内容は本発明とは直接関係がないので説明を省略する。以降は、照合用レコード510が作成済みであるという前提で説明する。
【0049】
図4は、本発明の第1の実施形態に係る生体情報認証処理のフローチャートの一例を示す図である。
例えば、PCが起動されると、CPU11は、認証プログラム13をローディングし、生体情報認証処理を開始する。CPU11は、生体情報認証装置1の利用者に認証操作を促すメッセージを表示装置40に表示する。なお、PCの起動時でなく、特定のプログラム(例えば文書作成プログラム)が起動されたタイミングで認証プログラム13をローディングするようにしても良い。
【0050】
次に、CPU11は、指静脈取得装置30に利用者の指静脈画像を撮像するように指示する。利用者が指静脈取得装置30に指をかざす等の操作を行うと、指静脈取得装置30は指静脈画像を撮像する。CPU11は、撮像された指静脈画像を取得し、認証対象の生体情報としてメモリ12に記憶する。(S101)
なお、CPU11が情報をメモリ12に記憶するのは周知技術であるので、以降の説明ではこのような処理についての記載を省略する。
【0051】
CPU11は、認証対象の生体情報と、全ての照合用レコード510の指静脈画像512を照合し、それぞれの類似度を計算する。指静脈パターンの照合方法、類似度の計算方法については、周知技術であるのでここでは説明を省略する。
CPU11は、得られた各類似度のうち最大値を選択し、当該最大類似度(以下、現最大類似度という。)を得ることができた照合用レコード510を認証候補とする。(S102)。
【0052】
次に、CPU11は、現最大類似度と所定の閾値を比較する(S103)。CPU11は、現最大類似度>閾値となる場合(なお、現最大類似度≧閾値と判定しても良い。)、照合成功とする(S103:YES)。この場合、認証プログラム13は、成りすまし行為が行われているかを判定する(S104)。
【0053】
具体的には、CPU11は、認証候補とした照合用レコード510の識別コード511を参照し、当該利用者の照合履歴レコード520(識別コード521に識別コード511と同一値が設定されている照合履歴レコード520)を取得する。次に、CPU11は、参照可否526に“参照可”が設定されている認証履歴522の類似度524を全て参照し、類似度524の最大値を求める(以下「過去の最大類似度」という。)。
【0054】
そして、CPU11は、現最大類似度と過去の最大類似度を比較し、現最大類似度>過去の最大類似度となる場合(なお、現最大類似度≧過去の最大類似度と判定しても良い)、成りすましが行われたと判定する。つまり、CPU11は、過去の類似度を超えている場合は成りすましであると判定する。
逆に現最大類似度≦過去の最大類似度(又は、現最大類似度<過去の最大類似度)の場合、CPU11は、成りすましではなく本人による認証が行われたと判定する。
なお、初回の認証時(認証履歴522が存在しない場合)、CPU11は、上述の成りすまし判定を行うことなく、認証成功とする。
【0055】
ここで、前述したように、類似度の数値化方法は完全一致の場合の値を100として0から100の範囲内とする方法に限られるものではなく、例えば、完全一致の場合の値を0として1から0の範囲とすることもできる。このように類似度を表す数値が小さいほど類似しているような場合には、例えば現最大類似度<閾値の場合に照合成功とする等、判定方法を変更する必要がある。
これは成りすましの判定基準値との比較判定も同じであり、一般化して言えば、類似度が完全一致を示す値と成りすましの判定基準値の間にある場合に、成りすましと判定すれば良い。
【0056】
CPU11は、本人による認証が行われたと判定した場合(S104:YES)、最終的に認証成功と判定し、照合履歴レコード520に、認証履歴522を追加する(S105)。このとき、CPU11は、認証日時523には認証を行った年月日時刻を、類似度524には前述した現最大類似度を、認証成否525には“成功”を、参照可否526には“参照可”を設定する。
【0057】
一方、CPU11は、認証が成功しなかった場合(S103:NO)、又は成りすましが行われたと判定した場合(S104:NO)、最終的に認証失敗と判定し、照合履歴レコード520に、認証履歴522を追加する(S106)。このとき、CPU11は、認証日時523には認証を行った年月日時刻を、類似度524には前述した現最大類似度を、認証成否525には“失敗”を、参照可否526には“参照不可”を設定する。
【0058】
次に、CPU11は、認証結果を表示装置40に表示して処理を終了する(S107)。
なお、処理を終了するのでなく、CPU11は、ステップS101に戻り、表示装置40に、生体情報認証装置1の利用者に認証操作を促すメッセージを表示しても良い。このようにすることで、本人でありながらたまたま認証失敗したような場合に、再度認証を試みることができる。
また、CPU11は、連続して認証に失敗した回数をカウンタにより数えておき、所定回数以上に達したときは処理を終了するようにしても良い。このようにすることで、成りすまそうとしている者が際限なく認証操作を行うことを防止することができる。
なお、当然ながら、認証が最終的に成功した場合には利用者は認証対象となった操作(例えばPCの使用、文書作成プログラムの操作)等を行うことができ、失敗した場合は当該操作を行うことができない。
【0059】
ここで、上述した本人かどうかの判定処理(S104の処理)は、次のような前提によるものである。
すなわち、生体情報の照合用原本を登録する場合、会社等での認証に使用するためであれば、生体情報の登録に熟練した者の立会い・指導の下、何度かの撮像を行い、その中からできるだけ鮮明な撮像結果を選んで照合用原本とするはずである。また、家庭内で生体情報の照合用原本を登録する場合であっても、十分な注意を行い、できるだけ鮮明な撮像結果を照合用原本として登録するはずである。
【0060】
一方、PCを使用する際には、できるだけ手間をかけずに認証を行いたいという心理が働き、指の置き位置・撮像用カメラと指との距離等に十分な注意を払うことなく、撮像を行いがちである。また、指をどのような向きにして撮像を行うか等の撮像条件には個人の癖がある。
以上の結果、PCを使用する際に撮像した生体情報を照合用原本と照合すると、類似度は、完全一致を意味する100%を下回る値を平均値として平均値周辺に分布することになるはずである。従って、過去の類似度の最大値を成りすまし判定のための基準値(所定の判定基準値)として使用することができる。
【0061】
ところで、上述した本人かどうかの判定処理(S104の処理)には、次のような注意すべき点がある。
まず、上述した処理においては過去において認証成功した際の類似度524をそのまま使用しているため、本人によって過去の最大類似度を上回る指静脈画像が取得できた場合にも成りすましと判断されてしまう点である。
特に認証履歴522が十分に蓄積されていない場合(例えば2回目の認証時)には本人であっても成りすましと判定される可能性が高い。
従って、常に成りすましの判定を行うのでなく、認証履歴522が十分に蓄積されていない場合、例えば、認証履歴522の数が10以下である場合には、成りすましの判定を行うことなく、認証成功としても良い。
【0062】
このようにすることで、照合用原本を作成してから所定期間は成りすまし判定が行われないというデメリットは生ずるが、そもそも照合用原本が窃取されるのは照合用原本が作成されてからいくばくかの期間が経過してからのことが多いはずである。このため、大きな問題にはならない。さらに、照合用原本作成直後に、試験的認証を10回行うことで、成りすまし判定が行われないという問題は実質的に解消する。
【0063】
また、上記の処理に加え、あるいは上記の処理は行わずに、過去において認証成功した際の類似度524をそのまま使用するのでなく、ある程度の誤差の幅を持たせて過去の最大類似度を計算しても良い。
例えば、過去において認証成功した際の類似度524の統計的平均値と分散値を計算し、平均値+3×分散値を、成りすまし判定のための基準値(所定の判定基準値)とすれば良い。
【0064】
次に、成りすましと判定した場合でも、その後の再度の認証によって成りすましではなかったことが分かる場合がある。例えば、成りすましと判定した認証の直後に認証が成功した場合は、実は成りすましではなかったと判断可能である。
このような場合を考慮に入れるなら、認証成否525に“失敗”が設定されている各認証履歴522に対して、その認証履歴522に記録されている認証日時523から所定時間(例えば2分)が経過する前の認証日時523であって、認証成否525に“成功”が設定されている認証履歴522が存在している場合は、当該認証履歴522(認証成否525に“失敗”が設定されている認証履歴522)の参照可否526を“参照可”に修正する修正処理を行うことができる。
参照可否526に“参照可”が設定されている認証履歴522の類似度524を全て参照するという処理の前に、上記修正処理を行うことにより、認証成否を事後的に再度判定しなおすことができる。
【0065】
また、類似度が所定の閾値以上でありながら認証成否525が“失敗”かつ参照可否526が“参照不可”となっている認証履歴522を抽出することで、成りすまし行為が行われた日時等を一覧表示することも可能である。
【0066】
このように、生体情報認証装置1を備えることで、成りすましを効果的に防止できるだけでなく、成りすまし行為の事後的発見も効果的に行うことができる。
【0067】
以上では、PC等の一般的なコンピュータを使用する場合を例にして、本発明の第1の実施形態に係る成りすまし防止技術を説明したが、本発明は第1の実施形態に留まらず、その他の実施形態においても実施することができる。
【0068】
図5は、本発明の第2の実施形態に係る生体情報認証システム2の構成の一例を示す図である。
第2の実施形態に係る生体情報認証システム2は、入力装置20と、指静脈取得装置30と、表示装置40と、記憶装置50と、クライアント60と、認証サーバ70と、ネットワーク80とで構成される。
クライアント60と認証サーバ70は、ネットワーク80に接続されている。クライアント60と認証サーバ70は、ネットワーク80を介して相互に通信する。
なお、図1と図5の同一の構成要素には、同一の符号を付し、説明を省略する。
【0069】
クライアント60は、生体情報認証装置1と同様にCPU、メモリ、記憶装置等を備えている。クライアント60は、生体情報認証装置1と同様に、指静脈取得装置30を備えたPC等の一般的なコンピュータであっても良い。また、クライアント60は、携帯電話機であっても良い。
クライアント60のCPUは、起動時等の所定タイミングで、認証依頼プログラム61Aを、図示していない磁気ディスク等の記憶装置からメモリにローディングする。そして、クライアント60のCPUは、認証依頼プログラム61Aの命令コードを実行する。
【0070】
認証サーバ70も、生体情報認証装置1と同様にCPUとメモリ等を備えている。なお、以下の説明では必要がないため図示していないが、認証サーバ70にサーバの管理者等が操作するための入力装置、表示装置等を接続しても良い。
認証サーバ70のCPUは、起動時等の所定タイミングで、認証プログラム71Aを、図示していない磁気ディスク等の記憶装置からメモリにローディングする。そして、認証サーバ70のCPUは、認証プログラム71Aの命令コードを実行する。
【0071】
生体情報認証システム2は、生体情報認証装置1と同様に、利用者が文書作成等を行うためにPCであるクライアント60を使用したい場合、あるいは、通話を行うために携帯電話であるクライアント60を使用したい場合、使用に先立って、利用者の利用権限を認証するために使用される。即ち、認証成功した場合には、利用者はクライアント60を使用することができ、認証失敗した場合には、利用者はクライアント60を使用することができない。
【0072】
認証処理を行うために、生体情報認証システム2は、利用者が利用する機器であるクライアント60と利用者を認証するための機器である認証サーバ70をネットワーク80(有線、無線等によりクライアント60と認証サーバ70を相互に通信可能に接続可能であれば、どのようなネットワークであっても良い)で接続している。生体情報認証システム2では、クライアント60でなく、認証サーバ70が認証処理を行う。
【0073】
クライアント60のCPUは、認証依頼プログラム61Aを実行するとき、まず、表示装置40に、クライアント60の利用者に認証操作を促すメッセージを表示する。次に、クライアント60のCPUは、指静脈取得装置3に利用者の指静脈画像を撮像するように指示する。利用者が指静脈取得装置30に指をかざす等の操作を行うと、指静脈取得装置30は指静脈画像を撮像する。クライアント60のCPUは、撮像された指静脈画像を取得して、認証サーバ70に送信する。そして、クライアント60のCPUは、認証サーバ70から認証結果を受信し、認証結果を表示装置40に表示し、処理を終了する。
なお、当然ながら、認証が成功した場合には利用者は認証対象となった操作(例えばクライアント60の使用)等を行うことができ、失敗した場合は当該操作を行うことができない。
【0074】
認証サーバ70のCPUは、認証プログラム71Aを実行するとき、認証依頼プログラム61Aから受信した指静脈画像を、照合用指静脈画像ファイル51に記録されている照合用原本である指静脈画像512と照合し、また照合履歴ファイル52の認証履歴522を参照して成りすましの判定を行う。
すなわち、生体情報認証システム2では、生体情報認証装置1における認証プログラム13の処理が、認証依頼プログラム61Aの処理と認証プログラム71Aの処理に分配されている。具体的には、クライアント60のCPUは、認証依頼プログラム61Aを実行することにより図4のステップS101とステップS107の処理を行う。また、認証サーバ70のCPUは、認証プログラム71Aを実行することにより図4のステップS102〜S106の処理を行う。
【0075】
このように、認証サーバ70を備えることで、成りすましの監視を集中的に行うことができる。従って、クライアント60の利用者が意識することなく、認証サーバ70の管理者が認証履歴522を参照して成りすましの形跡を発見し、当該認証用原本の使用停止等の処置をいち早く行うことができる。
【0076】
ただし、このように生体情報の照合用原本をいずこかに設置された認証サーバ70の記憶装置50に集めてしまうと、生体情報認証装置1のように会社内や自宅内で保管されている場合に比べて、照合用原本の漏洩リスクは高くなるし、生体情報がまとまって漏洩するリスクも発生する。従って、生体情報認証システム2においては、照合用原本である指静脈画像512を暗号化して記録するといった生体情報漏洩リスクを最小限にする仕組みを備えることが望ましい。
【0077】
図6は、本発明の第3の実施形態に係る生体情報認証システム3の構成の一例を示す図である。
第3の実施形態に係る生体情報認証システム3は、入力装置20と、指静脈取得装置30と、表示装置40と、記憶装置50と、クライアント60と、認証サーバ70と、ネットワーク80と、カード読取装置90と、ICカード91で構成される。
なお、図5と図6の同一の構成要素には、同一の符号を付し、説明を省略する。
【0078】
クライアント60には入力装置20と、指静脈取得装置30と、表示装置40と、カード読取装置90とが接続されている。
クライアント60のCPUは、起動時等の所定タイミングで、認証依頼プログラム61Bを、図示していない磁気ディスク等の記憶装置からメモリにローディングする。そして、クライアント60のCPUは、認証依頼プログラム61Bの命令コードを実行する。
生体情報認証システム3における認証依頼プログラム61Bの機能は、生体情報認証システム2における認証依頼プログラム61Aの機能と、やや異なっており、後述するように認証処理の一部も行う。
【0079】
カード読取装置90は、利用者の指静脈画像92(すなわち照合用原本)を記録したICカード91から指静脈画像92を取得する。なお、ICカード91には指静脈画像92の他、当該利用者(すなわちICカード91の正当な所持者)を識別するIDである、識別コード93が記録されている。
【0080】
認証サーバ70には記憶装置50が接続されており、記憶装置50には、照合履歴ファイル52が記録されている。照合履歴ファイル52のデータ構造は、生体情報認証装置1と同じである。
認証サーバ70のCPUは、起動時等の所定タイミングで、認証プログラム71Bを、図示していない磁気ディスク等の記憶装置からメモリにローディングする。そして、認証サーバ70のCPUは、認証プログラム71Bの命令コードを実行する。
生体情報認証システム3における認証プログラム71Bの機能は、生体情報認証システム2における認証プログラム71Aの機能と、やや異なっており、後述するように照合用原本との照合は行わず、成りすましの判定を行う。
【0081】
生体情報認証システム3は、例えば、利用者が預金を引き出すためにATM(Automated Teller Machine)端末であるクライアント60を使用したい場合によく用いられる構成であり、預金引き出し等の操作に先立って、利用者の操作権限を認証するために使用される。即ち、認証成功した場合には、利用者はクライアント60を操作して預金の引き出し等を行うことができ、認証失敗した場合には、利用者はクライアント60を操作して預金の引き出し等を行うことができない。
【0082】
認証処理を行うために、生体情報認証システム3では、利用者が利用する機器であるクライアント60と利用者を認証するための機器である認証サーバ70はネットワーク80に接続されている。第1の実施形態で説明した成りすまし判定処理は、クライアント60でなく、認証サーバ70で行われる。
なお、本発明とは直接関係がないため図示していないが、ネットワーク80には預金管理を行うサーバ等、利用者への各種サービスを提供するサーバも接続され、認証成功した利用者は当該サービスの提供を受けることができる。
【0083】
すなわち、生体情報認証システム3では、生体情報認証システム2と同様に、認証機能が認証依頼プログラム61Bと認証プログラム71Bに分配されているが、生体情報認証システム2と異なり、照合用原本との照合は認証依頼プログラム61Bが行い、成りすましの判定は認証プログラム71Bが行う。
【0084】
このような認証サーバ70を備えることで、生体情報認証システム2と同様に、成りすましの監視を集中的に行うことができる。また、生体情報認証システム2とは異なり、照合用原本は認証サーバ70の記憶装置50に保管されず、さらに生体情報がネットワーク80に送信されることもないので、生体情報がまとまって漏洩するリスクが存在しない。
【0085】
ただし、利用者に照合用原本を記録したICカード91を発行しなければならず、また各クライアント60にICカード読取装置90を備えなければならないため、システム構築・運用上のコストは増加する。従って、生体情報認証システム2のようなシステム構成にするか、生体情報認証システム3のようなシステム構成にするかは、情報漏洩のリスクとシステム構築・運用等に係るコストとを勘案して決めるべきである。
【0086】
以下、生体情報認証システム3における、認証依頼プログラム61Bおよび認証プログラム71Bの処理について、クライアント60がATM端末である場合を例にして、フローチャートを使用して説明する。
【0087】
図7は、本発明の第3の実施形態に係る生体情報認証システム3のクライアント60における認証依頼処理のフローチャートの一例を示す図である。
利用者がタッチパネル等の入力装置2を操作して取引開始を指示すると、クライアント60のCPUは、クライアント60の利用者に認証操作を促すメッセージを、表示装置40に表示する。次に、クライアント60のCPUは、指静脈取得装置30に利用者の指静脈画像を撮像するように指示する。利用者が指静脈取得装置3に指をかざす等の操作を行い、指静脈取得装置3が指静脈画像を撮像すると、クライアント60のCPUは撮像された指静脈画像を取得する(S201)。
【0088】
クライアント60のCPUは、ICカード91をカード読取装置9に挿入するように指示するメッセージを表示装置40に表示する。そして、クライアント60のCPUは、利用者が挿入したICカード91に記録されている指静脈画像92および識別コード93を取得する。クライアント60のCPUは、指静脈取得装置30が撮像した指静脈画像と、指静脈画像92を照合して類似度を計算する(S202)。
【0089】
次に、クライアント60のCPUは、当該類似度と所定の閾値を比較し、当該類似度>閾値となる場合(なお、当該類似度≧閾値と判定しても良い)、照合成功とする(S203)。
照合が成功した場合(S203:YES)、クライアント60のCPUは、認証サーバ70に、照合“成功”のコードとともに、識別コード93、認証日時および類似度を送信する(S204)。一方、照合が失敗した場合(S703:NO)、クライアント60のCPUは、認証サーバ70に、照合“失敗”のコードとともに、識別コード93、認証日時および類似度を送信する(S205)。
【0090】
認証依頼プログラム71Bは、認証サーバ70から最終的に認証が成功したか失敗したかの認証結果を受信し(S206)、認証結果を表示装置40に表示し処理を終了する(S207)。
なお、当然ながら、認証が成功した場合には利用者は認証対象となった操作(例えば預金の引き出し)等を行うことができ、失敗した場合は当該操作を行うことができない。
【0091】
図8は、本発明の第3の実施形態に係る生体情報認証システム3の認証サーバ70における認証処理のフローチャートの一例を示す図である。
認証サーバ70のCPUは、クライアント60が送信した、照合が“成功”したか“失敗”したかのコードとともに識別コード93、認証日時および類似度を受信する(S301)。当該コードが“成功”の場合(S302:YES)、認証サーバ70のCPUは、成りすまし行為が行われているか否かを判定する(S303)。
具体的な判定方法は、第1の実施形態の説明で述べたとおり、クライアント60から受信した識別コード93と識別コード521が一致する照合履歴レコード520を参照して行う。
【0092】
そして、認証サーバ70のCPUは、成りすましではなく本人であると判定した場合(S303:YES)、最終的に認証成功と判定し、照合履歴レコード520に、認証履歴522を追加する。このとき、認証サーバ70のCPUは、認証日時523および類似度524にはそれぞれ受信した年月日時刻、類似度を、認証成否525には“成功”を、参照可否526には“参照可”を設定する(S304)。
【0093】
一方、認証サーバ70のCPUは、受信したコードが“失敗”の場合(S302:NO)、又は成りすましが行われたと判定した場合(S303:NO)、最終的に認証失敗と判定し、照合履歴レコード520に、認証履歴522を追加する。このとき、認証サーバ70のCPUは、認証日時523および類似度524にはそれぞれ受信した年月日時刻、類似度を、認証成否525には“失敗”を、参照可否526には“参照不可”を設定する(S305)。
認証サーバ70のCPUは、認証結果をクライアント60に送信し処理を終了する(S306)。
【0094】
ところで、生体情報認証システム2および生体情報認証システム3のように、認証サーバ70において成りすましの判定を行う場合、一般的に認証サーバ70は複数のクライアント60から認証要求等を受信する。
例えば、利用者は設置されている場所の異なる複数のATM端末を利用する。このため、預金の引き出しに先立つ成りすまし判定要求は、利用者が同一であっても異なるATM端末から送信されてくる。この場合、ATM端末によって指静脈取得装置30の取り付け位置や高さなどが異なると、利用者の指の置き方が変わってしまい、ATM端末によって類似度が高くなったり低くなったりすることがある。そして、その結果、特定のATM端末で認証を行う場合には類似度が高くなって常に成りすましと判定されてしまうといった現象が発生しうる。
【0095】
そこで、このような現象が顕著な場合には、図9に示すように、認証履歴522に認証機器識別527を含めれば良い。そして、クライアント60が認証サーバ70に認証要求等を送信する場合、クライアント60を一意に識別可能な装置ID(例えばクライアント60の製造番号)を送信し、認証履歴522を追加する際に、認証機器識別527に当該装置IDを設定すれば良い。このようにすることで、認証サーバ70のCPUが成りすましの判定を行う際、認証機器識別527にクライアント60から送信された装置IDと同一の値が設定されている認証履歴522のみを参照することができ、クライアント60が異なることによる類似度の変動に影響されずに成りすましを判定することができる。
【0096】
なお、上記各実施形態では、PCの起動時、携帯電話機および銀行のATM端末における認証について説明したが、これらに限らず、本発明はネットワークへのログイン、自動車のドアロック解除、自宅の電気錠開錠等、さまざまな場面における認証に適用することができる。
また、上記各実施形態では、生体情報として指静脈パターンを用いる例について説明したが、本発明は指静脈パターンに限らず、指以外の部位(例えば掌、網膜等)における血管パターン、指紋、虹彩、声紋、顔画像等の生体情報認証に適用することも可能である。
【0097】
以上説明したように、本発明によれば、生体情報認証において、生体情報を改竄する方法にかかわらず、本人以外の第三者が成りすまして認証されることを防止することができる。
【0098】
以上、本発明の実施形態について説明したが、設計上の都合やその他の要因によって必要となる様々な修正や組み合わせは、請求項に記載されている発明や発明の実施形態に記載されている具体例に対応する発明の範囲に含まれると理解されるべきである。
【符号の説明】
【0099】
1…生体情報認証装置、2、3…生体情報認証システム、10…コンピュータ、11…CPU、12…メモリ、13…認証プログラム、20…入力装置、30…指静脈取得装置、40…表示装置、50…記憶装置、51…照合用指静脈画像ファイル、52…照合履歴ファイル、60…クライアント、61A、61B…認証依頼プログラム、70…認証サーバ、71A、71B…認証プログラム、80…ネットワーク、90…カード読取装置、91…ICカード、92…指静脈画像、93…識別コード
【技術分野】
【0001】
本発明は、生体情報を利用して本人か否かを認証する生体情報認証装置および生体情報認証プログラムに関する。
【背景技術】
【0002】
近年、ピッキングによる住宅等への不正侵入、パスワード盗撮等による他人の銀行口座への侵入、コンピュータネットワークへの不正侵入などの事件が増加している。
こうした不正行為に対応するため、より偽造が困難であり、本人であることの保証能力が高い「鍵」として、生体情報が使用されるようになってきている。
【0003】
例えば、住宅の鍵を電子錠にして、予め本人の指紋、虹彩、顔写真、血管パターンなどの生体情報を登録しておき、開錠要求者の生体情報を取得(以下「採取」と記載する場合もある。)して照合を行い、一致した場合に開錠するといった装置が実用化されている。同様の方法は、銀行のATMや、PC起動時の本人確認等においても使用されている。
【0004】
生体情報認証を行うためには、まず照合用原本としての生体情報を何らかの方法で採取して記録する必要がある。また、認証時においては、生体情報を取得する機能(生体情報取得機能)、および取得した生体情報を照合用原本と対比して一致しているかどうかを判定する機能(一致判定機能)が必要となる。
【0005】
生体情報取得機能に関しては、赤外線を指に照射して指静脈の血管像を撮影し、撮影結果の画像データを取得する装置が知られている。指紋、虹彩、顔写真等による生体情報認証についても、生体情報を取得するためのさまざまな装置や方法が知られている(例えば、特許文献1参照)。
【0006】
ここで、一致判定機能に関しては、生体情報認証に独特の問題が存在する。即ち、同一の生体情報を採取する場合でも、採取条件によって採取結果が異なるため、照合用原本として採取・記録した生体情報と、認証時に採取した生体情報を単純に比較しても、一致することはない。例えば、指静脈の血管の太さは一日の時間帯によって多少異なるし、成長によって変化する。
【0007】
このため、生体情報認証においては、照合用原本として採取・記録した生体情報と、認証時に採取した生体情報が類似しているかどうかを判定し、所定の基準以上に類似している場合には、一致しているとみなすことになる。
【0008】
具体的には、生体情報の類似度を計算し、類似度が一定値(以下「閾値」という。)以上であれば本人であると判定する方法が一般的に行われている。即ち、n人の生体情報が照合用原本として記録されている場合、認証時に採取された生体情報を、このn人の生体情報と照合して類似度を計算する。そして、そのうち類似度が最も高いものについて閾値と比較し、類似度が閾値以上であれば認証成功とする。以下、この方法を「1対N認証」と記載する。
【0009】
また、生体情報と対にして識別コードを登録しておき、認証時には生体情報を採取するほかに識別コードの入力を要求し、まず、識別コードの一致判定によって生体情報の照合用原本を決定し、採取した生体情報と比較して類似度が閾値以上であれば認証成功とする方法も行われている。以下、この方法を「1対1認証」と記載する。
【0010】
以上に説明した生体情報認証では、類似度が所定の閾値以上であれば本人であると判定されてしまう。従って、他人を誤って本人と判定しないためには、閾値を高めに設定する必要がある。しかしながら、閾値をいくら高く設定したとしても、意図的で巧妙な成りすましを防ぐことはできない。
【0011】
例えば、照合用原本が窃取されると、この照合用原本を、照合時に採取した生体情報に変えて類似判定させることで容易に本人に成りすますことができる。このような単純な成りすましは、照合用原本と判定対象の生体情報が完全に一致する場合には認証失敗とすることで防止することができるが、窃取した照合用原本の一部だけを改竄することによって、上記の防止策を潜り抜けることができる。
【0012】
このため、このような成りすましを防止する技術として、特許文献2は、生体情報を複数の部分に分割し、各部分ごとに一致判定を行い、一部分のみ異なり、他の部分は一致していれば照合用原本が改竄されたものとみなして認証失敗とする技術を開示する。
また、特許文献2は、生体情報を示す各部分のデータを一律に増加または減少させ、あるいはシフトさせて各部分ごとに一致判定を行い、各部分が一致していれば認証失敗とする技術を開示する。
【先行技術文献】
【特許文献】
【0013】
【特許文献1】特開2003-187235号公報
【特許文献2】特開2001-283223号公報
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかし、例えば、生体情報を示す各部分のデータを増加または減少させる割合が部分ごとに異なるような改竄が行われた場合、特許文献2の技術によっては、成りすます行為を防止することはできない。この他にも生体情報を改竄するための様々な方法が考えられる。特許文献2の技術によっては、様々な方法で改竄された生体情報全てについて成りすます行為を防止することは困難である。
【0015】
本発明は、上記実情に鑑みてなされたものであり、生体情報を改竄する方法にかかわらず、本人以外の第三者が成りすまして認証されることを防止することができる生体情報認証装置および生体情報認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0016】
上記目的を達成するため、本発明に係る生体情報認証装置は、
照合用原本となる生体情報を記憶する原本記憶手段と、
認証対象の生体情報を取得する生体情報取得手段と、
前記原本記憶手段に記憶されている照合用原本となる生体情報と前記生体情報取得手段によって取得された認証対象の生体情報との類似度を求める類似度算出手段と、
前記類似度算出手段によって求められた類似度を記憶する類似度記憶手段と、
前記類似度記憶手段に記憶されている複数の類似度に基づいて基準値を求め、前記類似度算出手段によって求められた類似度が、当該基準値と、前記照合用原本となる生体情報と前記認証対象の生体情報が完全に一致する場合の類似度との間の値である場合に、前記生体情報取得手段によって取得された生体情報は成りすまされた生体情報と判定する判定手段と、
を備えることを特徴とする。
【0017】
好ましくは、本発明に係る生体情報認証装置は、
前記類似度算出手段によって求められた類似度に基づいて、前記生体情報取得手段によって取得された生体情報は本人と他人のいずれの生体情報かを認証する認証手段と、
前記類似度記憶手段に類似度が記憶されている生体情報のうち、前記判定手段によって成りすまされた生体情報と判定された生体情報について、当該生体情報が所定の条件を満たす場合に本人の生体情報と再判定する再判定手段と、
を備え、
前記判定手段は、前記類似度記憶手段に記憶されている各類似度のうち、前記認証手段によって本人の生体情報と認証された生体情報の類似度と、前記再判定手段によって本人の生体情報と再判定された生体情報の類似度とに基づいて前記基準値を求める、
ことを特徴とする。
【0018】
また、本発明に係る生体情報認証プログラムは、
コンピュータを、
照合用原本となる生体情報を記憶する原本記憶手段と、
認証対象の生体情報を取得する生体情報取得手段と、
前記原本記憶手段に記憶されている照合用原本となる生体情報と前記生体情報取得手段によって取得された認証対象の生体情報との類似度を求める類似度算出手段と、
前記類似度算出手段によって求められた類似度を記憶する類似度記憶手段と、
前記類似度記憶手段に記憶されている複数の類似度に基づいて基準値を求め、前記類似度算出手段によって求められた類似度が、当該基準値と、前記照合用原本となる生体情報と前記認証対象の生体情報が完全に一致する場合の類似度との間の値である場合に、前記生体情報取得手段によって取得された生体情報は成りすまされた生体情報と判定する判定手段と、
して機能させる。
【発明の効果】
【0019】
本発明によれば、生体情報認証において、生体情報を改竄する方法にかかわらず、本人以外の第三者が成りすまして認証されることを防止することができる。
【図面の簡単な説明】
【0020】
【図1】本発明の第1の実施形態に係る生体情報認証装置の構成の一例を示す図である。
【図2】照合用指静脈画像ファイルのデータ構成の一例を示す図である。
【図3】照合履歴ファイルのデータ構成の一例を示す図である。
【図4】本発明の第1の実施形態に係る生体情報認証処理のフローチャートの一例を示す図である。
【図5】本発明の第2の実施形態に係る生体情報認証システムの構成の一例を示す図である。
【図6】本発明の第3の実施形態に係る生体情報認証システム3の構成の一例を示す図である。
【図7】本発明の第3の実施形態に係る生体情報認証システムのクライアントにおける認証依頼処理のフローチャートの一例を示す図である。
【図8】本発明の第3の実施形態に係る生体情報認証システムの認証サーバにおける認証処理のフローチャートの一例を示す図である。
【図9】照合履歴ファイルのデータ構成の別の例を示す図である。
【発明を実施するための形態】
【0021】
まず、本発明の原理について説明する。
【0022】
同一の生体(例えば指静脈)であっても、採取条件によって採取した生体情報は異なる。このため、以前採取した生体情報と今回採取した生体情報が完全に一致することはありえないと考えて良い。従って、生体情報全体、あるいはある程度の範囲の生体情報の一部が完全に一致した場合には成りすましであると判定することができる。
【0023】
ここで、認証時に採取した生体情報全体が照合用原本と完全に一致することがありえないと考えて良いのであれば、認証時に採取した生体情報全体と照合用原本の一致度は、上記完全一致の場合の数値を100%としたとき、ある所定の判定基準値(例えば99.99%)を超える値になることはありえないと考えて良いはずである。
【0024】
従って、この所定の判定基準値を得ることができたならば、類似度が当該所定の判定基準値以上の場合は成りすましと判定することができる。
【0025】
以下、本発明の実施形態について図面を参照しながら説明する。
【0026】
図1は、本発明の第1の実施形態に係る生体情報認証装置1の構成の一例を示す図である。
第1の実施形態に係る生体情報認証装置1は、コンピュータ10と、入力装置20と、指静脈取得装置30と、表示装置40と、記憶装置50とで構成される。
【0027】
コンピュータ10は、CPU(Central Processing Unit)11、メモリ12、図示していない内部バス、外部インタフェース装置等を有する。生体情報認証装置1は、例えば、指静脈取得装置30を備えたPC(Personal Computer)等の一般的なコンピュータである。
【0028】
CPU11は、起動時等の所定タイミングで、認証プログラム13を、図示していない磁気ディスク等の記憶装置からメモリ12にローディングする。そして、CPU11は、認証プログラム13の命令コードを実行し、生体情報認証機能を実現する。
メモリ12は、RAM(Random Access Memory)やROM(Read Only Memory)等を含む。メモリ12には、認証プログラム13の他に、文書作成プログラム等のプログラムがローディングされる。
【0029】
入力装置20は、キーボードやマウス等を含む。入力装置20は、利用者の操作指示を受け付ける。
【0030】
指静脈取得装置30は、利用者の指静脈を赤外線等によって撮像し、指静脈の画像データを作成する。
【0031】
表示装置40は、ディスプレイ、プリンタ等を含む。表示装置40は、認証プログラム13の処理結果等を表示する。
【0032】
記録装置50は、磁気ディスク装置や光ディスク装置等で構成される。記録装置50は、照合用指静脈画像ファイル51と照合履歴ファイル52を記録している。
【0033】
照合用指静脈画像ファイル51には、後述するように全ての認証対象者の照合用生体情報等が記録される。照合用指静脈画像ファイル51は、CPU11が、認証プログラム13を実行するために参照する。なお、照合用指静脈画像ファイル51を作成する処理については、本発明の目的と直接関係がないため、特に説明しない。
【0034】
照合履歴ファイル52には、認証処理を行った日時、その際の類似度等の認証履歴が記録される。後述するように、CPU11は、照合履歴ファイル52を参照して、成りすましの判定基準とする閾値を決定する。また、CPU11は、認証日時、認証時に計算した類似度等を照合履歴ファイル52に記録する。
【0035】
生体情報認証装置1は、利用者が文書作成等を行うためにPCを使用する際、使用に先立って、利用者の利用権限を認証するために使用される。即ち、認証成功した場合には、利用者はPCを使用することができ、認証失敗した場合には、利用者はPCを使用することができない。
【0036】
例えば、会社内でPCを共同で使用する場合、利用者が参照・更新可能なファイルや、使用可能なアプリケーション等を、利用者に応じて変える必要がある。このような場合、当該PCに、後述するような生体情報認証機能を組み込むことで、生体情報認証装置1として使用することができる。例えばPCにログインする際に生体情報認証によって利用権限の有無を判定するとともに、利用者を一意に識別するID(Identifier)を取得し、取得したIDをファイルの参照や更新権限の判定のために使用することができる。
【0037】
また、家庭内において、例えば子供が両親に成りすましてPCにログインし、WEBのアクセス禁止サイトにアクセスするような行為を防ぐ必要がある。その場合、家族が使用するPCに生体情報認証機能を組み込むことで、当該PCを生体情報認証装置1として使用することができる。
【0038】
図2は、照合用指静脈画像ファイル51のデータ構成の一例を示す図である。
照合用指静脈画像ファイル51は、認証対象者すなわち生体情報認証装置1の利用者(m人)分の照合用レコード510から構成される。各照合用レコード510は、識別コード511、および指静脈画像512から構成される。
【0039】
識別コード511は、生体情報認証装置1の各利用者に対応するコードであり、生体情報認証装置1の各利用者を一意に識別するIDである。識別コード511によって各照合用レコード510を一意に識別することができる。識別コード511は、例えば照合用レコード510の作成順に連続通番を付与しても良いし、利用者を登録する処理において、利用者が入力したコードを付与しても良い。
指静脈画像512は、生体情報認証装置1の利用者を照合するための照合用原本であり、照合用レコード510の作成時に、利用者の静脈パターンを赤外線等によって撮影し、指静脈パターン画像として記録したものである。
【0040】
図3は、照合履歴ファイル52のデータ構成の一例を示す図である。
照合履歴ファイル52は、認証対象者(m人)分の照合履歴レコード520から構成される。各照合履歴レコード520は、識別コード521、およびn回分の認証履歴522から構成される。
【0041】
識別コード521は、照合用レコード510の識別コード511と同じく、生体情報認証装置1の各利用者に対応するコードである。識別コード521によって各照合履歴レコード520を一意に識別することができる。認証履歴522は、認証日時523、類似度524、認証成否525、および参照可否526のデータ項目から構成される。認証履歴522は、認証プログラム13による認証結果等を記録するためのデータ項目である。一度も認証したことがない認証対象者について、認証履歴522は記録されていない。このとき、n=0である。
【0042】
認証日時523には、CPU11が認証処理を行った年月日時刻が、例えば、”20090630140943”(2009年6月30日14時9分43秒)のように記録されている。
【0043】
類似度524には、当該認証において指静脈取得装置30が撮像した利用者の指静脈画像が、当該利用者の指静脈画像512とどの程度類似していたかを示す値が設定される。なお、以降の説明では類似度524には0から100までの値が設定されるものとする。100が設定された場合は完全に一致しており、100に近いほど類似しているものとする。ただし、類似度を数値として示す方法はこれに限られるわけではない。
【0044】
認証成否525には、当該認証において認証が成功したことを示す値(利用者が本人であると認証されたか)、あるいは認証が成功しなかったことを示す値が設定される。以降の説明では、成功した場合“成功”が、成功しなかった場合“失敗”が設定されているものとする。
【0045】
参照可否526には、当該類似度524を本人の過去の認証結果として参照して良いことを示す値、あるいは本人の過去の認証結果として参照してはいけないことを示す値が設定される。以降の説明では、参照して良い場合“参照可”、あるいは参照してはいけない場合“参照不可”が設定されているものとする。詳しくは後述するが、CPU11が認証処理を行ったとき、認証に成功した場合には“参照可”、成功しなかった場合は“参照不可”が設定される。従って認証処理終了直後には、認証成否525の設定値(“成功”または“失敗”)と参照可否526の設定値(“参照可”または“参照不可”)はそれぞれ対応している。
【0046】
ただし、例えば、成りすましと判定した認証の直後に認証が成功した場合は、実は成りすましではなかったと判断可能である(詳細については、後述する)。
このような場合、誤って成りすましと判定されたため、認証成否525は“失敗”となっている。この場合、CPU11は、成りすましではなかったと判断した生体情報を本人の生体情報であると再判定する。CPU11は、参照可否526を“参照不可”から“参照可”に変更し、認証成否525を“失敗”としたまま、次回以降の認証処理時に、当該類似度524を本人の類似度として参照する。
【0047】
なお、認証履歴522の数(n)は特に制限を設けず、認証処理を行うたびに認証履歴522が増えるようにしても良い。ただし、現実には記憶装置5の容量による制約があるので、例えば所定数(例えば100回)の最近の認証履歴を残すようにしても良いし、あるいは、所定期間、例えば最近数か月分の認証履歴を残すようにしても良い。
【0048】
次に、生体情報認証装置1を使用した生体情報認証における処理の流れについて説明する。
なお、認証処理の前提として、各認証対象者について照合用レコード510を作成する処理(認証対象者について識別コード511を付与し、識別コード511と指静脈画像512を設定する処理)が行われる。ただし、当該処理の内容は本発明とは直接関係がないので説明を省略する。以降は、照合用レコード510が作成済みであるという前提で説明する。
【0049】
図4は、本発明の第1の実施形態に係る生体情報認証処理のフローチャートの一例を示す図である。
例えば、PCが起動されると、CPU11は、認証プログラム13をローディングし、生体情報認証処理を開始する。CPU11は、生体情報認証装置1の利用者に認証操作を促すメッセージを表示装置40に表示する。なお、PCの起動時でなく、特定のプログラム(例えば文書作成プログラム)が起動されたタイミングで認証プログラム13をローディングするようにしても良い。
【0050】
次に、CPU11は、指静脈取得装置30に利用者の指静脈画像を撮像するように指示する。利用者が指静脈取得装置30に指をかざす等の操作を行うと、指静脈取得装置30は指静脈画像を撮像する。CPU11は、撮像された指静脈画像を取得し、認証対象の生体情報としてメモリ12に記憶する。(S101)
なお、CPU11が情報をメモリ12に記憶するのは周知技術であるので、以降の説明ではこのような処理についての記載を省略する。
【0051】
CPU11は、認証対象の生体情報と、全ての照合用レコード510の指静脈画像512を照合し、それぞれの類似度を計算する。指静脈パターンの照合方法、類似度の計算方法については、周知技術であるのでここでは説明を省略する。
CPU11は、得られた各類似度のうち最大値を選択し、当該最大類似度(以下、現最大類似度という。)を得ることができた照合用レコード510を認証候補とする。(S102)。
【0052】
次に、CPU11は、現最大類似度と所定の閾値を比較する(S103)。CPU11は、現最大類似度>閾値となる場合(なお、現最大類似度≧閾値と判定しても良い。)、照合成功とする(S103:YES)。この場合、認証プログラム13は、成りすまし行為が行われているかを判定する(S104)。
【0053】
具体的には、CPU11は、認証候補とした照合用レコード510の識別コード511を参照し、当該利用者の照合履歴レコード520(識別コード521に識別コード511と同一値が設定されている照合履歴レコード520)を取得する。次に、CPU11は、参照可否526に“参照可”が設定されている認証履歴522の類似度524を全て参照し、類似度524の最大値を求める(以下「過去の最大類似度」という。)。
【0054】
そして、CPU11は、現最大類似度と過去の最大類似度を比較し、現最大類似度>過去の最大類似度となる場合(なお、現最大類似度≧過去の最大類似度と判定しても良い)、成りすましが行われたと判定する。つまり、CPU11は、過去の類似度を超えている場合は成りすましであると判定する。
逆に現最大類似度≦過去の最大類似度(又は、現最大類似度<過去の最大類似度)の場合、CPU11は、成りすましではなく本人による認証が行われたと判定する。
なお、初回の認証時(認証履歴522が存在しない場合)、CPU11は、上述の成りすまし判定を行うことなく、認証成功とする。
【0055】
ここで、前述したように、類似度の数値化方法は完全一致の場合の値を100として0から100の範囲内とする方法に限られるものではなく、例えば、完全一致の場合の値を0として1から0の範囲とすることもできる。このように類似度を表す数値が小さいほど類似しているような場合には、例えば現最大類似度<閾値の場合に照合成功とする等、判定方法を変更する必要がある。
これは成りすましの判定基準値との比較判定も同じであり、一般化して言えば、類似度が完全一致を示す値と成りすましの判定基準値の間にある場合に、成りすましと判定すれば良い。
【0056】
CPU11は、本人による認証が行われたと判定した場合(S104:YES)、最終的に認証成功と判定し、照合履歴レコード520に、認証履歴522を追加する(S105)。このとき、CPU11は、認証日時523には認証を行った年月日時刻を、類似度524には前述した現最大類似度を、認証成否525には“成功”を、参照可否526には“参照可”を設定する。
【0057】
一方、CPU11は、認証が成功しなかった場合(S103:NO)、又は成りすましが行われたと判定した場合(S104:NO)、最終的に認証失敗と判定し、照合履歴レコード520に、認証履歴522を追加する(S106)。このとき、CPU11は、認証日時523には認証を行った年月日時刻を、類似度524には前述した現最大類似度を、認証成否525には“失敗”を、参照可否526には“参照不可”を設定する。
【0058】
次に、CPU11は、認証結果を表示装置40に表示して処理を終了する(S107)。
なお、処理を終了するのでなく、CPU11は、ステップS101に戻り、表示装置40に、生体情報認証装置1の利用者に認証操作を促すメッセージを表示しても良い。このようにすることで、本人でありながらたまたま認証失敗したような場合に、再度認証を試みることができる。
また、CPU11は、連続して認証に失敗した回数をカウンタにより数えておき、所定回数以上に達したときは処理を終了するようにしても良い。このようにすることで、成りすまそうとしている者が際限なく認証操作を行うことを防止することができる。
なお、当然ながら、認証が最終的に成功した場合には利用者は認証対象となった操作(例えばPCの使用、文書作成プログラムの操作)等を行うことができ、失敗した場合は当該操作を行うことができない。
【0059】
ここで、上述した本人かどうかの判定処理(S104の処理)は、次のような前提によるものである。
すなわち、生体情報の照合用原本を登録する場合、会社等での認証に使用するためであれば、生体情報の登録に熟練した者の立会い・指導の下、何度かの撮像を行い、その中からできるだけ鮮明な撮像結果を選んで照合用原本とするはずである。また、家庭内で生体情報の照合用原本を登録する場合であっても、十分な注意を行い、できるだけ鮮明な撮像結果を照合用原本として登録するはずである。
【0060】
一方、PCを使用する際には、できるだけ手間をかけずに認証を行いたいという心理が働き、指の置き位置・撮像用カメラと指との距離等に十分な注意を払うことなく、撮像を行いがちである。また、指をどのような向きにして撮像を行うか等の撮像条件には個人の癖がある。
以上の結果、PCを使用する際に撮像した生体情報を照合用原本と照合すると、類似度は、完全一致を意味する100%を下回る値を平均値として平均値周辺に分布することになるはずである。従って、過去の類似度の最大値を成りすまし判定のための基準値(所定の判定基準値)として使用することができる。
【0061】
ところで、上述した本人かどうかの判定処理(S104の処理)には、次のような注意すべき点がある。
まず、上述した処理においては過去において認証成功した際の類似度524をそのまま使用しているため、本人によって過去の最大類似度を上回る指静脈画像が取得できた場合にも成りすましと判断されてしまう点である。
特に認証履歴522が十分に蓄積されていない場合(例えば2回目の認証時)には本人であっても成りすましと判定される可能性が高い。
従って、常に成りすましの判定を行うのでなく、認証履歴522が十分に蓄積されていない場合、例えば、認証履歴522の数が10以下である場合には、成りすましの判定を行うことなく、認証成功としても良い。
【0062】
このようにすることで、照合用原本を作成してから所定期間は成りすまし判定が行われないというデメリットは生ずるが、そもそも照合用原本が窃取されるのは照合用原本が作成されてからいくばくかの期間が経過してからのことが多いはずである。このため、大きな問題にはならない。さらに、照合用原本作成直後に、試験的認証を10回行うことで、成りすまし判定が行われないという問題は実質的に解消する。
【0063】
また、上記の処理に加え、あるいは上記の処理は行わずに、過去において認証成功した際の類似度524をそのまま使用するのでなく、ある程度の誤差の幅を持たせて過去の最大類似度を計算しても良い。
例えば、過去において認証成功した際の類似度524の統計的平均値と分散値を計算し、平均値+3×分散値を、成りすまし判定のための基準値(所定の判定基準値)とすれば良い。
【0064】
次に、成りすましと判定した場合でも、その後の再度の認証によって成りすましではなかったことが分かる場合がある。例えば、成りすましと判定した認証の直後に認証が成功した場合は、実は成りすましではなかったと判断可能である。
このような場合を考慮に入れるなら、認証成否525に“失敗”が設定されている各認証履歴522に対して、その認証履歴522に記録されている認証日時523から所定時間(例えば2分)が経過する前の認証日時523であって、認証成否525に“成功”が設定されている認証履歴522が存在している場合は、当該認証履歴522(認証成否525に“失敗”が設定されている認証履歴522)の参照可否526を“参照可”に修正する修正処理を行うことができる。
参照可否526に“参照可”が設定されている認証履歴522の類似度524を全て参照するという処理の前に、上記修正処理を行うことにより、認証成否を事後的に再度判定しなおすことができる。
【0065】
また、類似度が所定の閾値以上でありながら認証成否525が“失敗”かつ参照可否526が“参照不可”となっている認証履歴522を抽出することで、成りすまし行為が行われた日時等を一覧表示することも可能である。
【0066】
このように、生体情報認証装置1を備えることで、成りすましを効果的に防止できるだけでなく、成りすまし行為の事後的発見も効果的に行うことができる。
【0067】
以上では、PC等の一般的なコンピュータを使用する場合を例にして、本発明の第1の実施形態に係る成りすまし防止技術を説明したが、本発明は第1の実施形態に留まらず、その他の実施形態においても実施することができる。
【0068】
図5は、本発明の第2の実施形態に係る生体情報認証システム2の構成の一例を示す図である。
第2の実施形態に係る生体情報認証システム2は、入力装置20と、指静脈取得装置30と、表示装置40と、記憶装置50と、クライアント60と、認証サーバ70と、ネットワーク80とで構成される。
クライアント60と認証サーバ70は、ネットワーク80に接続されている。クライアント60と認証サーバ70は、ネットワーク80を介して相互に通信する。
なお、図1と図5の同一の構成要素には、同一の符号を付し、説明を省略する。
【0069】
クライアント60は、生体情報認証装置1と同様にCPU、メモリ、記憶装置等を備えている。クライアント60は、生体情報認証装置1と同様に、指静脈取得装置30を備えたPC等の一般的なコンピュータであっても良い。また、クライアント60は、携帯電話機であっても良い。
クライアント60のCPUは、起動時等の所定タイミングで、認証依頼プログラム61Aを、図示していない磁気ディスク等の記憶装置からメモリにローディングする。そして、クライアント60のCPUは、認証依頼プログラム61Aの命令コードを実行する。
【0070】
認証サーバ70も、生体情報認証装置1と同様にCPUとメモリ等を備えている。なお、以下の説明では必要がないため図示していないが、認証サーバ70にサーバの管理者等が操作するための入力装置、表示装置等を接続しても良い。
認証サーバ70のCPUは、起動時等の所定タイミングで、認証プログラム71Aを、図示していない磁気ディスク等の記憶装置からメモリにローディングする。そして、認証サーバ70のCPUは、認証プログラム71Aの命令コードを実行する。
【0071】
生体情報認証システム2は、生体情報認証装置1と同様に、利用者が文書作成等を行うためにPCであるクライアント60を使用したい場合、あるいは、通話を行うために携帯電話であるクライアント60を使用したい場合、使用に先立って、利用者の利用権限を認証するために使用される。即ち、認証成功した場合には、利用者はクライアント60を使用することができ、認証失敗した場合には、利用者はクライアント60を使用することができない。
【0072】
認証処理を行うために、生体情報認証システム2は、利用者が利用する機器であるクライアント60と利用者を認証するための機器である認証サーバ70をネットワーク80(有線、無線等によりクライアント60と認証サーバ70を相互に通信可能に接続可能であれば、どのようなネットワークであっても良い)で接続している。生体情報認証システム2では、クライアント60でなく、認証サーバ70が認証処理を行う。
【0073】
クライアント60のCPUは、認証依頼プログラム61Aを実行するとき、まず、表示装置40に、クライアント60の利用者に認証操作を促すメッセージを表示する。次に、クライアント60のCPUは、指静脈取得装置3に利用者の指静脈画像を撮像するように指示する。利用者が指静脈取得装置30に指をかざす等の操作を行うと、指静脈取得装置30は指静脈画像を撮像する。クライアント60のCPUは、撮像された指静脈画像を取得して、認証サーバ70に送信する。そして、クライアント60のCPUは、認証サーバ70から認証結果を受信し、認証結果を表示装置40に表示し、処理を終了する。
なお、当然ながら、認証が成功した場合には利用者は認証対象となった操作(例えばクライアント60の使用)等を行うことができ、失敗した場合は当該操作を行うことができない。
【0074】
認証サーバ70のCPUは、認証プログラム71Aを実行するとき、認証依頼プログラム61Aから受信した指静脈画像を、照合用指静脈画像ファイル51に記録されている照合用原本である指静脈画像512と照合し、また照合履歴ファイル52の認証履歴522を参照して成りすましの判定を行う。
すなわち、生体情報認証システム2では、生体情報認証装置1における認証プログラム13の処理が、認証依頼プログラム61Aの処理と認証プログラム71Aの処理に分配されている。具体的には、クライアント60のCPUは、認証依頼プログラム61Aを実行することにより図4のステップS101とステップS107の処理を行う。また、認証サーバ70のCPUは、認証プログラム71Aを実行することにより図4のステップS102〜S106の処理を行う。
【0075】
このように、認証サーバ70を備えることで、成りすましの監視を集中的に行うことができる。従って、クライアント60の利用者が意識することなく、認証サーバ70の管理者が認証履歴522を参照して成りすましの形跡を発見し、当該認証用原本の使用停止等の処置をいち早く行うことができる。
【0076】
ただし、このように生体情報の照合用原本をいずこかに設置された認証サーバ70の記憶装置50に集めてしまうと、生体情報認証装置1のように会社内や自宅内で保管されている場合に比べて、照合用原本の漏洩リスクは高くなるし、生体情報がまとまって漏洩するリスクも発生する。従って、生体情報認証システム2においては、照合用原本である指静脈画像512を暗号化して記録するといった生体情報漏洩リスクを最小限にする仕組みを備えることが望ましい。
【0077】
図6は、本発明の第3の実施形態に係る生体情報認証システム3の構成の一例を示す図である。
第3の実施形態に係る生体情報認証システム3は、入力装置20と、指静脈取得装置30と、表示装置40と、記憶装置50と、クライアント60と、認証サーバ70と、ネットワーク80と、カード読取装置90と、ICカード91で構成される。
なお、図5と図6の同一の構成要素には、同一の符号を付し、説明を省略する。
【0078】
クライアント60には入力装置20と、指静脈取得装置30と、表示装置40と、カード読取装置90とが接続されている。
クライアント60のCPUは、起動時等の所定タイミングで、認証依頼プログラム61Bを、図示していない磁気ディスク等の記憶装置からメモリにローディングする。そして、クライアント60のCPUは、認証依頼プログラム61Bの命令コードを実行する。
生体情報認証システム3における認証依頼プログラム61Bの機能は、生体情報認証システム2における認証依頼プログラム61Aの機能と、やや異なっており、後述するように認証処理の一部も行う。
【0079】
カード読取装置90は、利用者の指静脈画像92(すなわち照合用原本)を記録したICカード91から指静脈画像92を取得する。なお、ICカード91には指静脈画像92の他、当該利用者(すなわちICカード91の正当な所持者)を識別するIDである、識別コード93が記録されている。
【0080】
認証サーバ70には記憶装置50が接続されており、記憶装置50には、照合履歴ファイル52が記録されている。照合履歴ファイル52のデータ構造は、生体情報認証装置1と同じである。
認証サーバ70のCPUは、起動時等の所定タイミングで、認証プログラム71Bを、図示していない磁気ディスク等の記憶装置からメモリにローディングする。そして、認証サーバ70のCPUは、認証プログラム71Bの命令コードを実行する。
生体情報認証システム3における認証プログラム71Bの機能は、生体情報認証システム2における認証プログラム71Aの機能と、やや異なっており、後述するように照合用原本との照合は行わず、成りすましの判定を行う。
【0081】
生体情報認証システム3は、例えば、利用者が預金を引き出すためにATM(Automated Teller Machine)端末であるクライアント60を使用したい場合によく用いられる構成であり、預金引き出し等の操作に先立って、利用者の操作権限を認証するために使用される。即ち、認証成功した場合には、利用者はクライアント60を操作して預金の引き出し等を行うことができ、認証失敗した場合には、利用者はクライアント60を操作して預金の引き出し等を行うことができない。
【0082】
認証処理を行うために、生体情報認証システム3では、利用者が利用する機器であるクライアント60と利用者を認証するための機器である認証サーバ70はネットワーク80に接続されている。第1の実施形態で説明した成りすまし判定処理は、クライアント60でなく、認証サーバ70で行われる。
なお、本発明とは直接関係がないため図示していないが、ネットワーク80には預金管理を行うサーバ等、利用者への各種サービスを提供するサーバも接続され、認証成功した利用者は当該サービスの提供を受けることができる。
【0083】
すなわち、生体情報認証システム3では、生体情報認証システム2と同様に、認証機能が認証依頼プログラム61Bと認証プログラム71Bに分配されているが、生体情報認証システム2と異なり、照合用原本との照合は認証依頼プログラム61Bが行い、成りすましの判定は認証プログラム71Bが行う。
【0084】
このような認証サーバ70を備えることで、生体情報認証システム2と同様に、成りすましの監視を集中的に行うことができる。また、生体情報認証システム2とは異なり、照合用原本は認証サーバ70の記憶装置50に保管されず、さらに生体情報がネットワーク80に送信されることもないので、生体情報がまとまって漏洩するリスクが存在しない。
【0085】
ただし、利用者に照合用原本を記録したICカード91を発行しなければならず、また各クライアント60にICカード読取装置90を備えなければならないため、システム構築・運用上のコストは増加する。従って、生体情報認証システム2のようなシステム構成にするか、生体情報認証システム3のようなシステム構成にするかは、情報漏洩のリスクとシステム構築・運用等に係るコストとを勘案して決めるべきである。
【0086】
以下、生体情報認証システム3における、認証依頼プログラム61Bおよび認証プログラム71Bの処理について、クライアント60がATM端末である場合を例にして、フローチャートを使用して説明する。
【0087】
図7は、本発明の第3の実施形態に係る生体情報認証システム3のクライアント60における認証依頼処理のフローチャートの一例を示す図である。
利用者がタッチパネル等の入力装置2を操作して取引開始を指示すると、クライアント60のCPUは、クライアント60の利用者に認証操作を促すメッセージを、表示装置40に表示する。次に、クライアント60のCPUは、指静脈取得装置30に利用者の指静脈画像を撮像するように指示する。利用者が指静脈取得装置3に指をかざす等の操作を行い、指静脈取得装置3が指静脈画像を撮像すると、クライアント60のCPUは撮像された指静脈画像を取得する(S201)。
【0088】
クライアント60のCPUは、ICカード91をカード読取装置9に挿入するように指示するメッセージを表示装置40に表示する。そして、クライアント60のCPUは、利用者が挿入したICカード91に記録されている指静脈画像92および識別コード93を取得する。クライアント60のCPUは、指静脈取得装置30が撮像した指静脈画像と、指静脈画像92を照合して類似度を計算する(S202)。
【0089】
次に、クライアント60のCPUは、当該類似度と所定の閾値を比較し、当該類似度>閾値となる場合(なお、当該類似度≧閾値と判定しても良い)、照合成功とする(S203)。
照合が成功した場合(S203:YES)、クライアント60のCPUは、認証サーバ70に、照合“成功”のコードとともに、識別コード93、認証日時および類似度を送信する(S204)。一方、照合が失敗した場合(S703:NO)、クライアント60のCPUは、認証サーバ70に、照合“失敗”のコードとともに、識別コード93、認証日時および類似度を送信する(S205)。
【0090】
認証依頼プログラム71Bは、認証サーバ70から最終的に認証が成功したか失敗したかの認証結果を受信し(S206)、認証結果を表示装置40に表示し処理を終了する(S207)。
なお、当然ながら、認証が成功した場合には利用者は認証対象となった操作(例えば預金の引き出し)等を行うことができ、失敗した場合は当該操作を行うことができない。
【0091】
図8は、本発明の第3の実施形態に係る生体情報認証システム3の認証サーバ70における認証処理のフローチャートの一例を示す図である。
認証サーバ70のCPUは、クライアント60が送信した、照合が“成功”したか“失敗”したかのコードとともに識別コード93、認証日時および類似度を受信する(S301)。当該コードが“成功”の場合(S302:YES)、認証サーバ70のCPUは、成りすまし行為が行われているか否かを判定する(S303)。
具体的な判定方法は、第1の実施形態の説明で述べたとおり、クライアント60から受信した識別コード93と識別コード521が一致する照合履歴レコード520を参照して行う。
【0092】
そして、認証サーバ70のCPUは、成りすましではなく本人であると判定した場合(S303:YES)、最終的に認証成功と判定し、照合履歴レコード520に、認証履歴522を追加する。このとき、認証サーバ70のCPUは、認証日時523および類似度524にはそれぞれ受信した年月日時刻、類似度を、認証成否525には“成功”を、参照可否526には“参照可”を設定する(S304)。
【0093】
一方、認証サーバ70のCPUは、受信したコードが“失敗”の場合(S302:NO)、又は成りすましが行われたと判定した場合(S303:NO)、最終的に認証失敗と判定し、照合履歴レコード520に、認証履歴522を追加する。このとき、認証サーバ70のCPUは、認証日時523および類似度524にはそれぞれ受信した年月日時刻、類似度を、認証成否525には“失敗”を、参照可否526には“参照不可”を設定する(S305)。
認証サーバ70のCPUは、認証結果をクライアント60に送信し処理を終了する(S306)。
【0094】
ところで、生体情報認証システム2および生体情報認証システム3のように、認証サーバ70において成りすましの判定を行う場合、一般的に認証サーバ70は複数のクライアント60から認証要求等を受信する。
例えば、利用者は設置されている場所の異なる複数のATM端末を利用する。このため、預金の引き出しに先立つ成りすまし判定要求は、利用者が同一であっても異なるATM端末から送信されてくる。この場合、ATM端末によって指静脈取得装置30の取り付け位置や高さなどが異なると、利用者の指の置き方が変わってしまい、ATM端末によって類似度が高くなったり低くなったりすることがある。そして、その結果、特定のATM端末で認証を行う場合には類似度が高くなって常に成りすましと判定されてしまうといった現象が発生しうる。
【0095】
そこで、このような現象が顕著な場合には、図9に示すように、認証履歴522に認証機器識別527を含めれば良い。そして、クライアント60が認証サーバ70に認証要求等を送信する場合、クライアント60を一意に識別可能な装置ID(例えばクライアント60の製造番号)を送信し、認証履歴522を追加する際に、認証機器識別527に当該装置IDを設定すれば良い。このようにすることで、認証サーバ70のCPUが成りすましの判定を行う際、認証機器識別527にクライアント60から送信された装置IDと同一の値が設定されている認証履歴522のみを参照することができ、クライアント60が異なることによる類似度の変動に影響されずに成りすましを判定することができる。
【0096】
なお、上記各実施形態では、PCの起動時、携帯電話機および銀行のATM端末における認証について説明したが、これらに限らず、本発明はネットワークへのログイン、自動車のドアロック解除、自宅の電気錠開錠等、さまざまな場面における認証に適用することができる。
また、上記各実施形態では、生体情報として指静脈パターンを用いる例について説明したが、本発明は指静脈パターンに限らず、指以外の部位(例えば掌、網膜等)における血管パターン、指紋、虹彩、声紋、顔画像等の生体情報認証に適用することも可能である。
【0097】
以上説明したように、本発明によれば、生体情報認証において、生体情報を改竄する方法にかかわらず、本人以外の第三者が成りすまして認証されることを防止することができる。
【0098】
以上、本発明の実施形態について説明したが、設計上の都合やその他の要因によって必要となる様々な修正や組み合わせは、請求項に記載されている発明や発明の実施形態に記載されている具体例に対応する発明の範囲に含まれると理解されるべきである。
【符号の説明】
【0099】
1…生体情報認証装置、2、3…生体情報認証システム、10…コンピュータ、11…CPU、12…メモリ、13…認証プログラム、20…入力装置、30…指静脈取得装置、40…表示装置、50…記憶装置、51…照合用指静脈画像ファイル、52…照合履歴ファイル、60…クライアント、61A、61B…認証依頼プログラム、70…認証サーバ、71A、71B…認証プログラム、80…ネットワーク、90…カード読取装置、91…ICカード、92…指静脈画像、93…識別コード
【特許請求の範囲】
【請求項1】
照合用原本となる生体情報を記憶する原本記憶手段と、
認証対象の生体情報を取得する生体情報取得手段と、
前記原本記憶手段に記憶されている照合用原本となる生体情報と前記生体情報取得手段によって取得された認証対象の生体情報との類似度を求める類似度算出手段と、
前記類似度算出手段によって求められた類似度を記憶する類似度記憶手段と、
前記類似度記憶手段に記憶されている複数の類似度に基づいて基準値を求め、前記類似度算出手段によって求められた類似度が、当該基準値と、前記照合用原本となる生体情報と前記認証対象の生体情報が完全に一致する場合の類似度との間の値である場合に、前記生体情報取得手段によって取得された生体情報は成りすまされた生体情報と判定する判定手段と、
を備えることを特徴とする生体情報認証装置。
【請求項2】
前記類似度算出手段によって求められた類似度に基づいて、前記生体情報取得手段によって取得された生体情報は本人と他人のいずれの生体情報かを認証する認証手段と、
前記類似度記憶手段に類似度が記憶されている生体情報のうち、前記判定手段によって成りすまされた生体情報と判定された生体情報について、当該生体情報が所定の条件を満たす場合に本人の生体情報と再判定する再判定手段と、
を備え、
前記判定手段は、前記類似度記憶手段に記憶されている各類似度のうち、前記認証手段によって本人の生体情報と認証された生体情報の類似度と、前記再判定手段によって本人の生体情報と再判定された生体情報の類似度とに基づいて前記基準値を求める、
ことを特徴とする請求項1に記載の生体情報認証装置。
【請求項3】
コンピュータを、
照合用原本となる生体情報を記憶する原本記憶手段と、
認証対象の生体情報を取得する生体情報取得手段と、
前記原本記憶手段に記憶されている照合用原本となる生体情報と前記生体情報取得手段によって取得された認証対象の生体情報との類似度を求める類似度算出手段と、
前記類似度算出手段によって求められた類似度を記憶する類似度記憶手段と、
前記類似度記憶手段に記憶されている複数の類似度に基づいて基準値を求め、前記類似度算出手段によって求められた類似度が、当該基準値と、前記照合用原本となる生体情報と前記認証対象の生体情報が完全に一致する場合の類似度との間の値である場合に、前記生体情報取得手段によって取得された生体情報は成りすまされた生体情報と判定する判定手段と、
して機能させるための生体情報認証プログラム。
【請求項1】
照合用原本となる生体情報を記憶する原本記憶手段と、
認証対象の生体情報を取得する生体情報取得手段と、
前記原本記憶手段に記憶されている照合用原本となる生体情報と前記生体情報取得手段によって取得された認証対象の生体情報との類似度を求める類似度算出手段と、
前記類似度算出手段によって求められた類似度を記憶する類似度記憶手段と、
前記類似度記憶手段に記憶されている複数の類似度に基づいて基準値を求め、前記類似度算出手段によって求められた類似度が、当該基準値と、前記照合用原本となる生体情報と前記認証対象の生体情報が完全に一致する場合の類似度との間の値である場合に、前記生体情報取得手段によって取得された生体情報は成りすまされた生体情報と判定する判定手段と、
を備えることを特徴とする生体情報認証装置。
【請求項2】
前記類似度算出手段によって求められた類似度に基づいて、前記生体情報取得手段によって取得された生体情報は本人と他人のいずれの生体情報かを認証する認証手段と、
前記類似度記憶手段に類似度が記憶されている生体情報のうち、前記判定手段によって成りすまされた生体情報と判定された生体情報について、当該生体情報が所定の条件を満たす場合に本人の生体情報と再判定する再判定手段と、
を備え、
前記判定手段は、前記類似度記憶手段に記憶されている各類似度のうち、前記認証手段によって本人の生体情報と認証された生体情報の類似度と、前記再判定手段によって本人の生体情報と再判定された生体情報の類似度とに基づいて前記基準値を求める、
ことを特徴とする請求項1に記載の生体情報認証装置。
【請求項3】
コンピュータを、
照合用原本となる生体情報を記憶する原本記憶手段と、
認証対象の生体情報を取得する生体情報取得手段と、
前記原本記憶手段に記憶されている照合用原本となる生体情報と前記生体情報取得手段によって取得された認証対象の生体情報との類似度を求める類似度算出手段と、
前記類似度算出手段によって求められた類似度を記憶する類似度記憶手段と、
前記類似度記憶手段に記憶されている複数の類似度に基づいて基準値を求め、前記類似度算出手段によって求められた類似度が、当該基準値と、前記照合用原本となる生体情報と前記認証対象の生体情報が完全に一致する場合の類似度との間の値である場合に、前記生体情報取得手段によって取得された生体情報は成りすまされた生体情報と判定する判定手段と、
して機能させるための生体情報認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−59791(P2011−59791A)
【公開日】平成23年3月24日(2011.3.24)
【国際特許分類】
【出願番号】特願2009−206142(P2009−206142)
【出願日】平成21年9月7日(2009.9.7)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
【公開日】平成23年3月24日(2011.3.24)
【国際特許分類】
【出願日】平成21年9月7日(2009.9.7)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
[ Back to top ]