生体認証システム、認証クライアント端末、及び生体認証方法
【課題】認証に必要な生体情報の入力回数の期待値を格段に低減するとともに、なりすま
しを効率的に排除することができる生体認証システム、認証クライアント端末、及び生体
認証システムを提供する。
【解決手段】生体認証システム1は、登録ユーザunの事前確率及び非登録ユーザu0の事
前確率を設定しておき、認証対象ユーザvの特徴量データと照合用特徴量データとの間で
1:N照合を行い、登録ユーザunの各々について照合スコアを求め、その照合スコアを
用いて、v=unである尤度とv≠unである尤度の比を登録ユーザunごとに求める。そ
して、求めた尤度比と設定されている登録ユーザunの事前確率及び非登録ユーザu0の事
前確率とを用いて、登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求め、各
事後確率を第1の閾値と比較して判定を行う。
しを効率的に排除することができる生体認証システム、認証クライアント端末、及び生体
認証システムを提供する。
【解決手段】生体認証システム1は、登録ユーザunの事前確率及び非登録ユーザu0の事
前確率を設定しておき、認証対象ユーザvの特徴量データと照合用特徴量データとの間で
1:N照合を行い、登録ユーザunの各々について照合スコアを求め、その照合スコアを
用いて、v=unである尤度とv≠unである尤度の比を登録ユーザunごとに求める。そ
して、求めた尤度比と設定されている登録ユーザunの事前確率及び非登録ユーザu0の事
前確率とを用いて、登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求め、各
事後確率を第1の閾値と比較して判定を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、生体情報を用いて本人確認を行う生体認証システムに関する。
【背景技術】
【0002】
生体認証は、パスワードやICカードなどに基づく認証と比べて認証のための入力情報(例えば、指紋など)の偽造が困難であり、認証のための入力情報を失念することもないといった利点を持つ認証部として知られている。
【0003】
生体認証では、予めユーザから生体情報を取得し、その生体情報から特徴量と呼ばれる情報を抽出して事前に登録しておく。この登録情報を登録テンプレートといい、事前登録を行ったユーザのことを登録ユーザという。そして、認証時には、ユーザから生体情報を取得し、その生体情報から抽出した特徴量と登録テンプレートとを照合することで認証(本人確認)を行なう。本人確認を行うユーザのことを認証対象ユーザという。
【0004】
生体認証のなかでも、認証対象ユーザとN人の登録ユーザのそれぞれとを照合(以下「:N照合」という)し、認証対象ユーザがどの登録ユーザと同一人物であるかを識別する生体認証を1:N認証という。従来の1:N認証においては、認証対象ユーザと同一人物であると識別された登録ユーザ(以下「識別ユーザ」という)が存在すれば、その識別ユーザを判定結果として認証成功とし、識別ユーザが存在しなければ認証失敗とする。1:N認証を利用した生体認証システムの例としては、勤怠管理システムや、クレジットカードを用いずに生体認証のみでクレジット決済を行なうシステム(以下「カードレスクレジット決済システム」という)が挙げられる。1:N認証には、認証対象ユーザがカードなどを提示する必要が無いため、利便性が高いという利点がある。
【0005】
図5は、1:N認証における認証誤り率の種類を示す。1:N認証における認証誤り率は、以下の3種類に分類される。
(1)事前に登録を行なった認証対象ユーザが本人以外の登録ユーザとして認証に成功してしまう誤り率(以下「Enrollee False Acceptance Rate;EFAR」という)、
(2)事前に登録を行なった認証対象ユーザが認証に失敗してしまう誤り率(以下「Enrollee False Rejection Rate;EFRR」という)、
(3)事前に登録を行なっていないユーザ(以下「非登録ユーザ」という)が認証に成功してしまう誤り率(以下「Non-Enrollee False Acceptance Rate;NFAR」という)。
【0006】
EFAR及びNFARが高いと、認証対象ユーザが他人として認証に成功する可能性が高まるので安全性が低下する。このように、他人として認証に成功してしまう認証誤りを誤識別と呼ぶ。一方、EFRRが高いと、登録されている認証対象ユーザが認証に失敗する可能性が高まるので、利便性が低下する。
【0007】
1:N認証における認証精度を高めるために、認証対象ユーザに複数の生体情報(例えば、指紋、虹彩、声紋などの異なる種類の生体情報や、人差指の指紋、中指の指紋及び薬指の指紋などの異なる部位から取得した同一種類の生体情報など)を入力させ、それらを融合して認証対象ユーザを判定する認証方式(以下「1:N複合認証」という)が提案されている。例えば、特許文献1では、1つ目の生体情報(例えば顔)で認証対象ユーザの候補者(認証対象ユーザと同一人物の可能性がある登録ユーザ)を絞り込み、2つ目の生体情報(例えば指紋)で候補者をさらに絞り込んで、最終的に絞り込まれた候補者を判定結果として出力する。
【0008】
しかし1:N複合認証では、認証対象ユーザが複数の生体情報を入力しなければならないため、認証手続きが煩雑になり、利便性が低下する。また、1つの生体情報だけで認証を行う場合と比較して、1つ目の生体情報を入力してから認証結果が得られるまでの時間(以下「認証時間」という)が長くなるため、利便性が一層低下する。特許文献1では、これらの問題に対して何の対策も施されていなかった。
【0009】
さらに、特許文献1では、システムが複数の候補者を出力することがあるため、例えばカードレスクレジット決済のように、認証対象ユーザを1名にまで絞り込む必要のある適用先においては、複数の候補者が出力された後、人手で1名の識別ユーザを選択することとなるため、利便性が一層低下する。
【0010】
これに対して非特許文献1では、声紋の特徴量xJ(J=1,2,…)が得られる度に、登録ユーザun(n=1,…,N)の特徴量の分布pn(xJ)、全登録ユーザの特徴量の分布p0(xJ)を用いて、以下の数式により、各登録ユーザに対して尤度比lnを算出する。
【0011】
【数1】
【0012】
閾値Aより大きい尤度比lnが得られた場合、その時点の登録ユーザunを識別ユーザとして認証成功とし、閾値Bより小さい尤度比lnが得られた場合、その尤度比lnに対応する1又は複数の登録ユーザunは、それ以降の照合対象から除外される(以下「枝刈り」という)。識別ユーザが得られなければ、新たな特徴量xJを取得し、識別ユーザが得られるまで判定を繰り返す。このように、特徴量が得られる度に、尤度比と閾値Aとの大小を比較して認証対象ユーザの判定を行なうことで、認証に必要な生体情報の入力回数を低減している。また、1:N照合にかかる時間は照合対象の登録ユーザ数Nに凡そ比例するが、尤度比と閾値Bとの大小の比較により登録ユーザの枝刈りを行ない、1:N照合にかかる時間を短縮することによって、認証時間を一層短縮している。
【0013】
【特許文献1】US7277891 B2 20071002
【非特許文献1】野田秀樹、“逐次確率比検定を用いた適応的話者識別”、電子情報通信学会論文誌 D-II Vol.J84-D-II No.1 pp.211-213 (2001)
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかしながら、非特許文献1に開示された技術では、特徴量が得られる度に尤度比と閾値とを比較して判定を行うことにより、認証に必要な生体情報の入力回数を低減しているようであるが、1:N認証において、特徴量の分布を用いて尤度比を求め、その尤度比と閾値とを比較する方法では、判定に必要な生体情報の入力回数の期待値が最小化されるという理論的な保証はない。すなわち、非特許文献1の技術には、認証に必要な生体情報の入力回数の期待値を低減するという観点において改善の余地があった。
【0015】
また、従来の1:N複合認証システムにおいては、悪意を持ったユーザが、事前登録を行なっていないにも拘らず何度も認証を繰り返し、いずれなりすましに成功してしまうという問題があった。
【0016】
本発明は、上記課題に鑑みてなされたものであり、その目的は、認証に必要な生体情報の入力回数の期待値を格段に低減するとともに、なりすましを効率的に排除することができる生体認証システム、認証クライアント端末、及び生体認証方法を提供することである。
【課題を解決するための手段】
【0017】
本発明の生体認証システムは、上記課題を解決するため、登録ユーザun(n=1,…,N)ごとに、該登録ユーザunの照合用特徴量データを保持するデータベースと、認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、前記登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部と、前記データベースに保持されている照合用特徴量データ及び前記抽出した認証対象ユーザ特徴量データに基づき、v=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求める尤度比算出部と、前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求める事後確率算出部と、前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率が前記登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記最大値を示す事後確率が前記非登録ユーザu0の事後確率であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定する判定部と、を備えることを特徴とする。
【0018】
本発明の他の実施形態では、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求める1:N照合部をさらに備え、前記尤度比算出部は、前記求めた照合スコアを用いて前記尤度比を求める。
【0019】
本発明のさらに他の実施形態では、前記判定部は、前記事後確率の最大値が前記第1の閾値以下の場合において、前記認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、前記認証対象ユーザvの生体情報の再取得を要求し、前記取得回数が規定値以上であれば「認証失敗」と判定する。この場合、前記判定部が前記生体情報の再取得を要求する場合に、前記事後確率算出部が求めた事後確率を第2の閾値と比較し、該第2の閾値より小さい事後確率に対応する登録ユーザunを前記認証対象ユーザvとの照合対象から除外する登録ユーザ枝刈り部をさらに備えることができる。
【0020】
本発明のさらに他の実施形態では、前記事後確率算出部は、今回の前記生体情報の取得において求めた前記非登録ユーザu0の事後確率を、前記取得の回数が1回であれば前記非登録ユーザu0の事前確率と、2回以上であれば前回の前記生体情報の取得において求めた前記非登録ユーザu0の事後確率と比較し、前記今回の取得において求めた前記非登録ユーザu0の事後確率の方が高い場合は、次回以降の前記生体情報の取得における事後確率算出において、今回の取得において抽出した前記特徴量データを使用しない。
【0021】
本発明のさらに他の実施形態では、前記データベースは、前記登録ユーザunの各々について、複数のモダリティに属する複数の異なる照合用特徴量データを保持し、前記生体情報の取得を1回のみ許容する生体情報入力センサをさらに備える。
【0022】
本発明のさらに他の実施形態では、前記データベースは、前記登録ユーザunの各々について、同一モダリティに属する複数の異なる照合用特徴量データを保持し、前記1:N照合部は、今回までの入力において、最も良い照合スコアが同一の生体情報に対して複数回得られた場合に認証失敗とする。
【0023】
本発明のさらに他の実施形態では、前記データベースは、前記登録ユーザunの各々について、同一モダリティに属する複数の異なる照合用特徴量データを保持し、前記1:N照合部は、今回までの入力において、最も良い照合スコアが同一の生体情報に対して複数回得られた場合、その中で最良の照合スコアを実現した入力以外で得た照合スコアは前記尤度比算出部による尤度比算出時に用いないようにする。
【0024】
本発明のさらに他の実施形態では、前記事前確率設定部は、前記判定部が、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定した場合に、前記非登録ユーザu0の事前確率を上げる。
【0025】
本発明のさらに他の実施形態では、前記第1の閾値は0.5より大きい値である。
【0026】
上記いずれかの実施形態において、前記判定部は、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定した場合に、なりすまし警告情報を出力することができる。
【0027】
本発明のさらに他の実施形態では、認証が行なわれる度に、前記認証対象ユーザvが登録ユーザであるときに、他の登録ユーザとして判定される場合の損失W1、及び前記認証対象ユーザvが非登録ユーザであるときに、ある登録ユーザと判定される場合の損失W0を算出する損失算出部をさらに備え、前記損失W1及び前記損失W0を用いて、EFRR及びn番目の登録ユーザであると判定したときの損失の期待値Rnがそれぞれ要求値以下となるように、各登録ユーザunの事前確率及び閾値、非登録ユーザu0の事前確率及び閾値を設定する事前確率・閾値設定部をさらに備える。
【0028】
本発明の他の生体認証システムは、登録ユーザun(n=1,…,N)ごとに、該登録ユーザunの照合用特徴量データを保持するデータベースと、認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求める1:N照合部と、前記求めた照合スコアを用いてv=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求める尤度比算出部と、前記求めた尤度比の各々を第1の閾値と比較し、前記尤度比の最大値が前記第1の閾値より大きい場合は、前記最大値を示す尤度比に対応する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記尤度比の最大値が前記第1の閾値以下の場合は、前記認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、前記認証対象ユーザvの生体情報の再取得を要求し、前記取得回数が規定値以上であれば「認証失敗」と判定する判定部と、を備えることを特徴とする。
【0029】
また、前記判定部が前記生体情報の再取得を要求する場合に、前記尤度比算出部が求めた尤度比を第2の閾値と比較し、該第2の閾値より小さい尤度比に対応する登録ユーunを前記認証対象ユーザvとの照合対象から除外する登録ユーザ枝刈り部をさらに備えることができる。
【0030】
本発明の認証クライアント端末は、前述の課題を解決するため、登録ユーザun(n=1,…,N)ごとに該登録ユーザunの照合用特徴量データを保持するデータベースと、前記登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部とを備えた認証サーバ端末に対し、通信可能に構成された端末であって、認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、前記認証サーバ端末に対し、前記抽出した認証対象ユーザ特徴量データを送信し、該認証対象ユーザ特徴量データ及び前記データベースに保持されている照合用特徴量データに基づき、v=unである尤度とv≠unである尤度の比を前記登録ユーザunごとに求め、前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求め、前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率に対応する前記登録ユーザun又は前記非登録ユーザu0の情報を送信することを要求し、該要求に応じて前記認証サーバ端末が送信した情報を取得する認証要求部と、前記取得した情報が前記登録ユーザunの情報であれば、該登録ユーザunと前記認証対象ユーザvが同一人物であると判定し、前記取得した情報が前記非登録ユーザu0の情報であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定する判定部と、を備えることを特徴とする。
【0031】
本発明の実施形態では、前記認証要求部は、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求め、前記照合スコアを用いて前記尤度比を求める。
【0032】
本発明の生体認証方法は、前述の課題を解決するため、認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出するステップと、登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部と、前記登録ユーザun(n=1,…,N)ごとに該登録ユーザunの照合用特徴量データを保持するデータベースに保持されている照合用特徴量データ及び前記抽出した認証対象ユーザ特徴量データに基づき、v=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求めるステップと、前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求めるステップと、前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率が前記登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記最大値を示す事後確率が前記非登録ユーザu0の事後確率であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定するステップと、を含むことを特徴とする。
【0033】
本発明の実施形態では、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求めるステップをさらに含み、前記尤度比を求めるステップでは、前記求めた照合スコアを用いて前記尤度比を求める。
【発明の効果】
【0034】
本発明によれば、v=unである尤度とv≠unである尤度の比を各登録ユーザunについて求め、その尤度比を登録ユーザunの事後確率と非登録ユーザu0の事後確率とに正規化し、事後確率と閾値とを比較して判定を行うため、認証に必要な生体情報の入力回数の期待値が格段に低減(理論的には最小化)される。
【0035】
また、各登録ユーザunの照合スコアを求め、その照合スコアを用いて各登録ユーザunの尤度比を求め、尤度比と閾値とを比較して判定を行う方法でも、認証に必要な生体情報の入力回数の期待値が格段に低減(理論的には最小化)される。
【0036】
さらに、登録ユーザunの事前確率と非登録ユーザu0の事前確率を設定しておき、登録ユーザunだけでなく非登録ユーザu0についても事後確率を算出することにより、認証対象ユーザvが非登録ユーザu0と同一人物であるケース(なりすまし)と、認証対象ユーザが誰なのかを判断できないケース(認証失敗)とを明確に区別することができる。なりすましのユーザを明確に把握できれば、そのような悪意のあるユーザによるなりすましを効率的に排除するための対策(例えば、警告メッセージを提示する措置や、センサの動作を停止する措置など)を講ずることができる。
【発明を実施するための最良の形態】
【0037】
以下、図面を参照して、本発明の実施形態を説明する。
【実施例1】
【0038】
本実施例の生体認証システム1は、複数の生体情報を用いて認証対象ユーザvとN人の登録ユーザun(n=1,…,N)との1:N認証を行なう生体認証システムである。認証対象ユーザとは、認証クライアント端末100を介して本人確認を行うユーザのことであり、登録ユーザとは、予め生体情報の照合用特徴量データを登録したユーザのことである。
【0039】
図1に、生体認証システム1の構成例を示す。この生体認証システム1は、認証対象ユーザvの生体情報から特徴量データを取得したり、認証結果等の情報を認証対象ユーザvに対して提示する認証クライアント端末100と、1:N認証などの処理を行なう認証サーバ端末110とを含んで構成される。また、認証クライアント端末100と認証サーバ端末110は、ネットワーク140を介してデータ通信可能に接続されている。
【0040】
生体認証システム1は、例えば、カードレスクレジット決済システムに適用することができる。この場合、認証クライアント端末100は加盟店に設置される認証装置に相当し、認証サーバ端末110はデータセンタに設置されるサーバに相当し、ネットワーク140はインターネットに相当する。また、企業内の勤怠管理システムに適用することもできる。この場合、認証クライアント端末100は居室内に置かれた認証装置に相当し、認証サーバ端末110はサーバ室に置かれたサーバに相当し、ネットワーク140は社内イントラネットに相当する。
【0041】
なお、ネットワーク140の例としては、WANやLANなどで構成されるネットワークに限らず、USBやIEEE1394などを用いて構成される有線通信回線、あるいは携帯電話網やBlueToothなどを用いて構成される無線通信回線、さらにはこれらを組み合わせて構成される通信回線を用いることができる。
【0042】
認証クライアント端末100は、特徴量抽出部102及び認証要求部104を含んで構成される。特徴量抽出部102及び認証要求部104は、認証クライアント端末100の中央処理装置(CPU)が所定のプログラム(図示省略)を実行することで機能的に実現されてもよいし、後述のこれらの処理部の機能を有するハードウェアを備えることで実現されてもよい。
【0043】
また、認証クライアント端末100には、複数(M個)の生体情報入力センサ101が接続されている。生体情報入力センサ101は、認証対象ユーザvから複数の生体情報1〜Mを取得するための装置である。
【0044】
なお、生体情報には、指紋、声紋、虹彩、筆跡、所定の文字列をキーボードで入力する際のキーストローク(キーの押し込み量)、動的署名(Dynamic Signature)、歩き方など、人に由来する様々な種類の情報が含まれる。同的署名とは、例えば、筆跡の形状(静的署名)に関する情報だけでなく、署名時のペンの動作速度などの動的特徴に関する情報も含む生体情報のことである。
【0045】
ここで、1つのセンサで取得できる生体情報の種類のことをモダリティという。例えば指紋を採取する場合のように、異なる部位(例えば、人差し指と中指など)からそれぞれ異なる生体情報を取得することができる場合があるので、1個のセンサ101によって、同一モダリティに属する複数の生体情報を取得することができる場合がある。本実施例では、複数のモダリティに属する複数の異なる生体情報を用いて認証を行うものとする。
【0046】
特徴量抽出部102は、認証対象ユーザvから取得した生体情報に基づき、その認証対象ユーザvの特徴量データを抽出する。なお、特徴量データは、従来の任意の方法で抽出することができる。
【0047】
認証要求部104は、認証サーバ端末110に対し、認証対象ユーザvに関する判定を行うことを要求する。判定方法の具体的内容は図3を参照して後述する。
【0048】
また、認証サーバ端末110から上記判定の結果に関する判定結果情報を受信すると、該判定結果情報に応じた処理を行う。この処理の具体例については後述する。
【0049】
認証サーバ端末110は、記憶部117、事前確率設定部111、1:N照合部112、尤度比算出部118、事後確率算出部113、判定部114、及び登録ユーザ枝刈り部115を含んで構成される。なお、事前確率設定部111、1:N照合部112、尤度比算出部118、事後確率算出部113、判定部114、及び登録ユーザ枝刈り部115は、認証サーバ端末110の中央処理装置(CPU)が所定のプログラム(図示省略)を実行することで機能的に実現されてもよいし、当該機能を有するハードウェアを備えることで実現されてもよい。また、これらの各処理部は個別に存在する必要はなく、任意の複数の処理部をひとまとめにして構成してもよい。
【0050】
記憶部117は、登録ユーザunごとに、該登録ユーザunのID及び該登録ユーザunの複数の生体情報1〜Mから抽出したそれぞれの照合用特徴量データ(以下、「生体情報登録テンプレート」という)122を保持する登録ユーザデータベース120と、過去D(Dは1以上の整数)回の最終判定結果(「認証成功」、「なりすまし」、又は「認証失敗」)を表す判定履歴情報130とを格納する。記憶部117は、RAMやハードディスクドライブ等の記憶装置によって実現される。
【0051】
事前確率設定部111は、登録ユーザunの事前確率及び非登録ユーザu0の事前確率を初期設定する。本実施例では、図4に示すように、なりすましを検出するために非登録ユーザu0という概念を導入し、非登録ユーザu0に対しても事前確率を設定する。登録ユーザunの事前確率及び非登録ユーザu0の事後確率とは、データ(本実施例では照合スコア)が得られていない状態で、各登録ユーザun及び非登録ユーザu0ついて設定される確率である。具体的には、照合スコアが不明の状態で、ある認証対象ユーザvが本人確認を行う場合に、v=u1である確率、v=u2である確率、…、v=uNである確率、及びv=u0である確率をいう。なお、事前確率の設定には、予め決められた固定値(例えば、プログラムのソースコード内に組み込まれている値)を事前確率として用いる態様や、事前確率算出式を予め定めておき、登録ユーザデータベース120内のデータ数や判定履歴情報130の内容等の各種のデータに応じて事前確率を算出する態様を含む。事前確率の設定方法の具体例については後述する。
【0052】
また、事前確率設定部111は、認証処理を繰り返す過程で事前確率を更新する。具体的には、後述の判定部114が、認証対象ユーザvが登録ユーザun以外のユーザ(なりすましのユーザ)であると判定した場合に、非登録ユーザu0の事前確率を上げ、これに応じて非登録ユーザu0の事前確率と各登録ユーザunの事前確率の合計が1になるように、各登録ユーザunの事前確率を下げる。この処理は、判定部114が「なりすまし」と判定した直後に行ってもよいし、次回の認証処理の際(例えば、後述の図3のステップS302を実行する際)に行ってもよい。非登録ユーザu0の事前確率を上げることで得られる効果については後述する。
【0053】
1:N照合部112は、認証クライアント端末100の特徴量抽出部102が抽出した認証対象ユーザvの特徴量データと登録ユーザデータベース120に保持されている生体情報登録テンプレート122との間で1:N照合を行い、登録ユーザunの各々について照合スコアを求める。照合スコアは、従来の任意の方法を用いて求めればよい。
【0054】
尤度比算出部118は、1:N照合部112が求めた照合スコアに基づき、v=unである尤度とv≠unである尤度の比を、登録ユーザunごとに求める。
【0055】
事後確率算出部113は、尤度比算出部113が求めた尤度比と事前確率設定部11が設定した登録ユーザunの事前確率及び非登録ユーザu0の事前確率とを用いて、登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求める。登録ユーザunの事後確率及び非登録ユーザu0の事後確率とは、データ(本実施例では、照合スコア)が得られた状態で、そのデータを考慮に入れたうえで、各登録ユーザun及び非登録ユーザu0ついて設定される条件付確率である。具体的には、各登録ユーザunの事前確率及び非登録ユーザu0の事前確率と尤度比とを用いて、登録ユーザunの事後確率及び非登録ユーザu0の事後確率のそれぞれが算出される。事後確率の算出方法の具体例については後述する。
【0056】
判定部114は、事後確率算出部113が求めた事後確率の各々を第1の閾値(閾値A)と比較し、以下の基準に従って認証対象ユーザvについて本人確認を行う。具体的には、事後確率の最大値が予め決められた閾値Aより大きい場合において、最大値を示す事後確率が登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと認証対象ユーザvが同一人物である(認証成功)と判定し、認証成功を表す判定結果情報を出力する。一方、最大値を示す事後確率が非登録ユーザu0の事後確率であれば、認証対象ユーザvが登録ユーザun以外のユーザ(なりすましのユーザ)であると判定し、その旨を表す情報(なりすまし警告情報)を出力する。また、事後確率の最大値が閾値A以下の場合(判定不能の場合)において、認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、本人確認をもう一度行う必要があることを表す判定結果情報として、認証対象ユーザvの生体情報の再取得を要求する情報を出力する。一方、生体情報の取得回数が規定値以上であれば、認証対象ユーザvが登録ユーザunのいずれかに該当するかどうかが不明である(認証失敗)と判定し、認証失敗を表す判定結果情報を出力する。
【0057】
登録ユーザ枝刈り部115は、判定部114が認証対象ユーザvからの生体情報の再取得を要求する場合に、事後確率算出部113が求めた事後確率を第2の閾値(閾値B)と比較し、該閾値Bより小さい事後確率に対応する登録ユーザun及び非登録ユーザu0を認証対象ユーザvとの照合対象から除外する。所定の登録ユーザun及び非登録ユーザu0を認証対象ユーザvとの照合対象から除外することを、登録ユーザun及び非登録ユーザu0の枝刈りという。枝刈りされた登録ユーザun及び非登録ユーザu0については、その後の認証過程において、照合スコア、尤度比、及び事後確率等の所定の値が算出されない。なお、枝刈りの対象を登録ユーザunに限定してもよい。
【0058】
図2は、本実施例における認証クライアント端末100及び認証サーバ端末110のハードウェア構成を示す。認証クライアント端末100及び認証サーバ端末110は、図に示すように、CPU200、メモリ(RAMなど)201、HDD202、入力装置(キーボード及びマウスなど)203、出力装置(ディスプレイ及びスピーカなど)204、及び通信装置(LANアダプタや赤外線アダプタなど)205を備える一般的な情報処理装置を用いて構成することができる。
【0059】
図3は、本実施例の生体認証システム1による認証処理の手順及び認証処理に伴うデータの流れを示す。
【0060】
まず、認証サーバ端末110は、認証対象ユーザvからの生体情報の入力回数Jを初期化(J=0)する(ステップS301)。この処理は、例えば判定部114が行うものとする。
【0061】
そして、認証サーバ端末110の事前確率設定部111は、各登録ユーザunの事前確率P(v=un)、及び非登録ユーザu0の事前確率P(v=u0)を初期設定する(ステップS302)。以下、事前確率の設定方法について説明する。
【0062】
例えば、登録ユーザun(n=1,…,N)の事前確率P(v=un)、及び非登録ユーザu0の事前確率P(v=u0)を、次のように同じ値に設定することができる。
P(v=un)=1/(N+1)
P(v=u0)=1/(N+1)
或いは、登録ユーザun(n=1,…,N)の事前確率P(v=un)を、
P(v=un)=1/N
と設定し、非登録ユーザu0の事前確率P(v=u0)を、
P(v=u0)=0
と設定してもよい。
【0063】
非登録ユーザu0の事前確率を0に設定することは、認証対象ユーザvが必ずN人の登録ユーザunのいずれかであると仮定することを意味し、このように設定した場合には、認証対象ユーザvが非登録ユーザu0であると判定されることはない。
【0064】
例えば、ICカードの情報を読み取ってドアの開錠及び施錠を制御する入室管理装置を居室の入口ドアの外側に設け、入室する人を制限するための1:N認証に基づく入退管理システムを構築した場合において、入り口のドアを開錠しようとする人が登録ユーザunのみであり、他人になりすまして開錠しようとする人が殆どいないと思われれば、上記のように非登録ユーザu0の事前確率を0とすることで、認証対象ユーザvが非登録ユーザu0と誤って判定されることはなくなる。
【0065】
また、認証サーバ端末110の事前確率設定部111は、記憶部117に格納されている判定履歴情報130に基づき、非登録ユーザu0の事前確率を上げ、これに応じて非登録ユーザu0の事前確率と各登録ユーザunの事前確率の合計が1になるように、各登録ユーザunの事前確率を下げるようにしても良い。具体的には、ステップS302において、記憶部117内の判定履歴情報130を参照し、直近の認証処理における判定手段114による判定結果が「なりすまし」であれば、過去D回の認証処理において「なりすまし」と判定された回数をD0回とし、過去D回の最終判定結果(「認証成功」、「なりすまし」、又は「認証失敗」)を用いてD0を求め、登録ユーザunの事前確率P(v=un)及び非登録ユーザu0の事前確率P(v=u0)を以下のように設定することができる。
P(v=un)=(1−D0/D)/(N+1)
P(v=u0)=(N×D0/D+1)/(N+1)
このように、事前確率設定部111が事前確率の値を更新することで、事前に登録を行なっていないにも拘らず、なりすましに成功するまで何度も認証を繰り返すという悪意のある認証対象ユーザvがいても、「なりすまし」と判定される度に非登録ユーザu0の事前確率P(v=u0)が上昇し、その結果、非登録ユーザu0の事後確率P(v=u0|S)も後述のように上昇することになるため、認証に成功するのは一層困難になる。これにより、システムの安全性が一層向上するという効果も得られる。
【0066】
なお、悪意のあるユーザによるなりすまし行為が発生する可能性が高いと考えられる適用先においては、非登録ユーザu0の事前確率を高めに設定することで、高い安全性を実現することができる。
【0067】
このように、本実施例の生体認証システムでは、なりすまし行為が発生する可能性を考慮した上で、非登録ユーザu0の事前確率を柔軟に制御し、システムの適用先の状況に応じて利便性・安全性の両面において適切な運用を実現することができる。
【0068】
認証クライアント端末100の生体情報入力センサ101は、認証対象ユーザvからの生体情報の入力(例えば、生体情報1入力センサ101に人差し指を置いて指紋を提示すること)に応じて、該認証対象ユーザvの生体情報を取得する(ステップS303)。ここで、生体情報入力センサ101は生体情報の取得を1回のみ許容するようにしても良い。本実施例では、他人の生体情報と似た生体情報を持つユーザがいる場合、その似た生体情報を何度も入力することで、その他人の事後確率を徐々に高めていき、いずれその他人として認証に成功し、その結果、安全性が低下する恐れがある。これに対して、上述したように、一度入力したモダリティは二度と入力できないようにすることで、同一の生体情報を何度も入力することによるなりすましを防ぐことができる。これにより、安全性の低下を防ぐことができる。
【0069】
認証クライアント端末100の特徴量抽出部102は、生体情報入力センサ101が認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する(ステップS304)。
【0070】
認証クライアント端末100の認証要求部104は、認証サーバ端末110に対し、特徴量抽出部102が抽出した認証対象ユーザ特徴量データを通信装置205を介して送信するとともに、認証対象ユーザvに関する判定を行うことを要求する(ステップS305)。
【0071】
認証サーバ端末110側では、認証クライアント端末100から認証対象ユーザ特徴量データを受信すると、認証対象ユーザvからの生体情報の入力回数Jをインクリメント(J=J+1)する(ステップS306)。この処理は、例えば判定部114が行うものとする。
【0072】
次に、認証サーバ端末110の1:N照合部112は、認証クライアント端末100の特徴量抽出部102が抽出した認証対象ユーザ特徴量データと、登録ユーザデータベース120に保持されているN人の登録ユーザunの登録テンプレート122との間で1:N照合を行ない、登録ユーザunの各々について照合スコアsJnを求める(ステップS307)。照合スコアの算出方法の例としては、特徴空間での距離を求める方法を採用することができるが、他の任意の算出方法を採用することができる。なお、既に枝刈りされている登録ユーザunについては、照合を行わず、照合スコアの値を計算しないため、処理が高速化される。
【0073】
そして、認証サーバ端末110の尤度比算出部118は、1:N照合部112が求めた照合スコアを用いて、v=unである尤度とv≠unである尤度の比(尤度比)を登録ユーザunごとに求める(ステップS308)。尤度比を求める際には、全登録ユーザunの照合スコアを求めておく必要があるが、既に枝刈りされている登録ユーザunについては尤度比の値を計算しないため、照合スコアも不要である。枝刈りされた登録ユーザunの尤度比を計算しないことにより、認証処理の高速化を図ることができる。
【0074】
認証サーバ端末110の事後確率算出部113は、尤度比算出部118が求めた尤度比と事前確率設定部111が設定した登録ユーザunの事前確率及び非登録ユーザu0の事前確率とを用いて、登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)を求める(ステップS309)。ここで、S=[sjn|j=1,…,J n=1,…,N]である。このとき、今回の生体情報の取得において求めた非登録ユーザu0の事後確率P(v=u0|S)が、前回(J−1回目)の生体情報の取得における事後確率(J=1の場合は事前確率)よりも高くなった場合、今回の取得において抽出した特徴量データを用いて求めたN個の照合スコア(sJ1、sJ2,…,sJN)を、J+1回目以降の取得において求める事後確率の算出では用いないようにしても良い。本実施例では、登録ユーザが認証を試みる場合において、生体情報を入力するときの姿勢(指の置き方、顔の向きなど)、照明環境などの条件が劣悪なときに、生体情報を入力する度に、その登録ユーザの事後確率が低下し、かえって正しく認証されにくくなり、その結果、かえって利便性が低下するという問題がある。姿勢、照明環境などの条件が劣悪な場合、入力された生体情報はどの登録ユーザの生体情報とも類似しないため、非登録ユーザの事後確率が高くなる。従って、上述したように、非登録ユーザの事後確率が前回よりも高くなった場合は、そのときの取得において抽出した特徴量データを用いて求めた照合スコアを以降の事後確率の算出に用いないようにすることで、生体情報を入力するときの姿勢、照明環境などの条件が劣悪なときにおける利便性の低下を防ぐことができる。以下、尤度比と登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)の算出方法について説明する。
【0075】
各登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)は、ベイズの定理を用いて、それぞれ以下の数式に変形できる。
【0076】
【数2】
【0077】
【数3】
【0078】
ここで、本人と本人の照合スコアsの分布(本人分布)をf(s)とし、本人と他人の照合スコアsの分布(他人分布)をg(s)とする。f(s)及びg(s)は、下記参考文献1に記載されているように、正規分布を仮定した最尤推定やベイズ推定やロジスティック回帰などによって求めることができる。参考文献1は、参照により本願に組み込まれる。f(s)及びg(s)は登録ユーザ毎に求めても良いし、全登録ユーザ共通のものを求めても良い。
【0079】
[参考文献1]C.M.Bishop, "Pattern Recognition and Machine Learning," Springer-Verlag; New Ed版 (2006)
これらを用いると、P(S|v=un)及びP(S|v=u0)は、それぞれ以下の数式で表わされる。
【0080】
【数4】
【0081】
【数5】
【0082】
従って、これらを上式(数2、数3)に代入することで、各登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)は、以下の数式(事後確率算出関数)で表わされる。
【0083】
【数6】
【0084】
【数7】
【0085】
ここで、上記事後確率算出関数に含まれる以下の数式は、登録ユーザunに対する照合スコアs1n,…,sJnが得られた場合における尤度比(v=unであるという尤度とv≠unであるという尤度の比)を求めるための数式(尤度比関数)である。
【0086】
【数8】
【0087】
尤度比算出部118は、ステップS308において、上記尤度比関数を用いて尤度比を算出する。
【0088】
そして、事後確率算出部113は、上記事後確率算出関数によって尤度比算出部118が求めた尤度比の値を用いて各登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求める。なお、枝刈りされた登録ユーザun及び非登録ユーザunについては、事後確率を算出しないことにより、認証処理の高速化を図ることができる。また、事後確率を求める際には、全登録ユーザunに関する照合スコア及び尤度比を求めておく必要があるが、既に枝刈りされている登録ユーザunの照合スコアについては前述のとおり算出せず、既に枝刈りされている登録ユーザunの尤度比については0としてもよいし、枝刈りされる直前の尤度比算出処理(ステップS308)で求めた尤度比の値を重複して用いてもよい。枝刈りされた登録ユーザun(及び非登録ユーザunを枝刈りの対象としている場合は枝刈りされた非登録ユーザun)の照合スコア、尤度比、事後確率を算出しないことにより、認証処理の高速化を図ることができる。
【0089】
また、下記参考文献には、L(≧2)個の仮説のうちのどれが成立するかを判定する検定において、観測データがi.i.d.(独立に同じ分布に従う)であり、かつ判定誤り率が十分に小さいという仮定の下、各仮説に対する尤度比を各仮説が成立するという確率値に正規化し、閾値Aとの大小の比較により判定を行なうことにより、判定終了までに必要な平均観測回数が最小化されることが示されている。参考文献2は、参照により本願に組み込まれる。
【0090】
[参考文献2]Vladimir P. Dragalin, et al., "Multihypothesis Sequential Probability Ratio Tests, PART I: Asymptotic Optimality," IEEE Trans. Information Theory, Volume 45, Issue 7, pp.2448-2461 (1999)]。
【0091】
本実施例では、v=unである尤度とv≠unである尤度の比を各登録ユーザunについて求め、その尤度比を登録ユーザun及び非登録ユーザu0の事後確率に正規化し、事後確率と閾値Aとを比較して判定を行うため、認証に必要な生体情報の入力回数の期待値が最小化されることになる。
【0092】
認証サーバ端末110の判定部114は、図4(生体情報入力1回目の図)に示すように、ステップS309で事後確率算出部113が求めた事後確率の各々を閾値Aと比較し、前述の基準(図1における判定部114の説明内容)に従って認証対象ユーザvについて本人の判定を行う(ステップS310)。
【0093】
本実施例では、判定処理に用いる閾値Aを0.5より大きい値に設定するものとする。このように閾値Aを設定することで、閾値Aを超える事後確率が必ず1つ以下となるようにすることができる。閾値Aを超える事後確率が最大で1つになることにより、事後確率の最大値と2番目に大きい値との間に必ず差が生じ、誤識別の発生を低減する(安全性を高める)ことができる。この効果は、閾値Aの値をさらに大きくすることで増大する。
【0094】
なお、本実施例の生体認証システム1では、前述のように、照合スコアの本人分布と他人分布を用いて尤度比、及び事後確率を求める。照合スコアの本人分布f(s)と他人分布g(s)は、1名の登録ユーザunではなく、全登録ユーザunの照合スコアを用いて推定するため、あらかじめ収集した各登録ユーザunの照合スコアのデータが少量であっても信頼性高く推定することができる。従って、尤度比及び事後確率を信頼性高く推定することができ、EFAR、EFRR、NFARを低減することができる。その結果、システムの安全性が向上し、利便性も一層向上するという効果が得られる。
【0095】
次に、認証サーバ端末110の判定部114は、ステップS310の判定結果に応じて以下のように処理を分岐する(ステップS311)。
【0096】
具体的には、ステップS310において、認証対象ユーザvが登録ユーザunのいずれかと同一人物である(認証成功)と判定された場合には、認証成功を表す判定結果情報を、通信装置205(図2)を介して認証クライアント端末100へ送信する(ステップS312)。また、生体認証システム1がカードレスクレジット決済システムに適用されている場合には決済処理などが行われ、勤怠管理システムに適用される場合にはドアの開錠処理及び出勤時刻の自動入力処理などが行われる。
【0097】
ステップS310において、認証対象ユーザvが非登録ユーザu0(なりすましのユーザ)であると判定された場合には、なりすまし警告情報を、通信装置205(図2)を介して認証クライアント端末100へ送信する(ステップS313)。
【0098】
ステップS310において、判定不能の場合には、認証対象ユーザvからの生体情報の取得回数Jが規定値未満(J<Jmax)であるかどうかを判定する(ステップS314)。
【0099】
上記ステップS314の判定の結果が“Yes”、即ち生体情報の取得回数Jが未だ規定値に達していなければ、登録ユーザ枝刈り部115は、ステップS309で事後確率算出部113が求めた事後確率を閾値Bと比較し、該閾値Bより小さい事後確率に対応する登録ユーザun及び非登録ユーザu0の枝刈りを行う(ステップS315)。
【0100】
例えば、上記ステップS315で枝刈りされた登録ユーザunのIDがメモリ上に保持されるように認証サーバ端末110を構成しておくことにより、認証サーバ端末110内の各処理部は枝刈りされた登録ユーザunを認識することができる。登録ユーザunの枝刈りを行うと、例えば図4において、生体情報入力1回目では全ての登録ユーザun及び非対象ユーザu0が照合対象となっているところ、生体情報入力2回目ではn=1,n=Nの登録ユーザun、及び非登録ユーザu0だけが照合対象となる。
【0101】
本実施例の生体認証システム1によれば、正規化されている各登録ユーザunの事後確率の値及び非登録ユーザu0の事後確率の値と、閾値Bとの大小を基準として枝刈りを行なうことにより、参考文献2に示されているように、各登録ユーザun及び非登録ユーザu0の枝刈りに必要な生体情報の入力回数Jの期待値を最小化することができる。このことは、入力回数Jがある値のときに枝刈りされる登録ユーザun及び非登録ユーザu0の数の期待値を最大化することと同義である。従って、1:N照合にかかる時間を短く抑えることができるため、利便性が一層向上するという効果が得られる。
【0102】
枝刈り処理(ステップS315)の後、認証サーバ端末110(具体的には、例えば判定部114)は、本人確認をもう一度行う必要があることを表す判定結果情報として、認証対象ユーザvの生体情報の再取得を要求する情報を出力し、通信装置205(図2)を介して認証クライアント端末100へ送信する(ステップS316)。
【0103】
その後、認証サーバ110は、認証クライアント端末100から次の判定の要求があるまで、すなわち認証対象ユーザ特徴量データが送信されるまで待機し(ステップS317)、認証クライアント端末100から認証対象ユーザ特徴量データを受信するとステップS306以降の処理を実行する。
【0104】
一方、ステップS314の判定の結果が“No”、即ち生体情報の取得回数Jが規定値に達していれば、認証失敗を表す判定結果情報を出力し、通信装置(図2)を介して認証クライアント端末100へ送信する(ステップS318)。
【0105】
認証クライアント端末100の認証要求部104は、認証サーバ端末110から送信された判定結果情報に応じて、例えば次のような処理を行う(ステップS319)。
【0106】
認証成功を表す判定結果情報を受信した場合、認証要求部104は、出力部100を介して「認証に成功しました。」といった内容のメッセージを認証対象ユーザvに対して提示(表示や発音など)する。
【0107】
なりすまし警告情報を受信した場合、認証要求部104は、生体情報入力センサ101の動作を停止して認証を拒んだり、出力装置204を介して警報を鳴らすなどの方法により、なりすましのユーザに対する罰則を設ける。
【0108】
生体情報の再取得を要求する判定結果情報を受信した場合、認証要求部104は、出力装置204を介して、「センサに人差し指の指紋をかざしてください。」などのように、認証対象ユーザvに対して生体情報の入力を促すメッセージを提示(表示や発音など)する。
【0109】
認証失敗を表す判定結果情報を受信した場合、認証要求部104は、出力装置204を介して、「認証に失敗しました。もう一度はじめから認証をやり直してください。」などのように、認証対象ユーザvに対して本人確認の再試行を促すメッセージを提示(表示や発音など)する。
【0110】
認証サーバ端末110では、判定部114は、最終判定結果(「認証成功」、「なりすまし」、又は「認証失敗」)が得られた場合、その最終判定結果を、記憶部117に格納されている判定履歴情報130に記録する(ステップS320)。
【0111】
本実施例の生体認証システム1では、登録ユーザunの事前確率だけでなく、非登録ユーザu0の事前確率を予め設定しておき、事前確率と尤度比を用いて、登録ユーザunの事後確率だけでなく、非登録ユーザu0の事後確率も算出し、認証対象ユーザvが非登録ユーザu0であると判定したときは「なりすまし」、認証対象ユーザvが誰なのかを判断できない(登録ユーザunとも非登録ユーザu0とも判断できない)ときは「認証失敗」とする。この2つを明確に区別することで、事前に登録を行なっていない認証対象ユーザvがなりすましを試みていると判定したときにのみ、ステップS319の処理のような罰則を設けることが出来る。これによって、悪意のあるなりすましのユーザを効果的に排除することができ、システムの安全性を向上させることができる。
【実施例2】
【0112】
本実施例では、同一モダリティに属する複数の異なる生体情報を用いて認証を行う。以下、本実施例を、実施例1と異なる点を中心に説明する。
【0113】
図3のステップS307において、認証サーバ端末110の1:N照合部112は、認証クライアント端末100の特徴量抽出部102が抽出した認証対象ユーザ特徴量データと、登録ユーザデータベース120に保持されているN人の登録ユーザunのM個の登録テンプレート122との間で1:N照合を行ない、登録ユーザunのm番目の登録テンプレートの各々について照合スコアsjnmを求める。以下、照合スコアの算出方法として特徴空間での距離を用いる。この場合、照合スコアは小さいほど良い、即ち照合スコアが小さいほど二つの生体情報は同一のものらしいということになる。このとき、今回(J回目)までの入力において、最も小さい照合スコアが同一ユーザの同一の生体情報に対して複数回得られた場合、認証失敗とする。たとえば、複数回を2回として、ある回の最も小さい照合スコアを示す生体情報が、他の回の最も小さい照合スコアを示す生体情報と同じである場合に、認証失敗とする。
【0114】
他人の生体情報と似た生体情報を持つユーザがいた場合、その生体情報を何度も入力することで、その他人の事後確率を徐々に高めていき、いずれその他人として認証に成功し、その結果、安全性が低下する恐れがある。本実施例においては、モダリティは一つであるので、一度入力したモダリティは二度と入力できないように対策することができない。これに対して、上述したように、最も小さい照合スコアが同一の生体情報に対して複数回得られた場合、認証失敗とすることで、同一の生体情報を何度も入力することによるなりすましを防ぐことができる。これにより、安全性の低下を防ぐことができる。
【0115】
しかしながら、上述の場合、認証対象ユーザが同一の生体情報を複数回入力すると必ず認証失敗となってしまうため、その結果、利便性が低下してしまう問題がある。そこで、今回(J回目)までの入力において、最も小さい照合スコアが同一の生体情報に対して複数回(K回とする)得られた場合、その中で最小の照合スコアを実現した入力以外で得た照合スコア((K−1)×N×M個)はステップS308における尤度比算出時に用いないようにする。このようにすることで、同一の生体情報を何度も入力して事後確率を徐々に高めていくことによるなりすましを防ぐと同時に、認証対象ユーザが同一の生体情報を複数回入力すると必ず認証失敗となってしまう問題を防ぐことができる。これにより、安全性の低下、及び利便性の低下を防ぐことができる。
【0116】
ステップS308及びステップS309では、それぞれ以下のようにして尤度比と登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)を算出する。ここで、S=[sjnm|j=1,…,J n=1,…,N m=1,…,M]である。
【0117】
各登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v
=u0|S)は、ベイズの定理を用いて、それぞれ以下の数式に変形できる。
【0118】
【数9】
【0119】
【数10】
【0120】
ここで、認証対象ユーザがm番目(m=1,2,・・・M)の生体情報を入力する確率はそれぞれ等しく1/Mであるとすると、P(S|v=un)及びP(S|v=u0)は、それぞれ以下の数式で表わされる。
【0121】
【数11】
【0122】
【数12】
【0123】
従って、これらを上式(数9、数10)に代入することで、各登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)は、以下の数式(事後確率算出関数)で表わされる。
【0124】
【数13】
【0125】
【数14】
【0126】
ここで、上記事後確率算出関数に含まれる以下の数式は、登録ユーザunのm番目の生体情報に対する照合スコアs1nm,…,sJnmが得られた場合における尤度比(v=unであるという尤度とv≠unであるという尤度の比)を求めるための数式(尤度比関数)である。
【0127】
【数15】
【0128】
尤度比算出部118は、ステップS308において、上記尤度比関数を用いて尤度比を算出する。そして、事後確率算出部113は、上記事後確率算出関数によって尤度比算出部118が求めた尤度比の値を用いて各登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求める。
【実施例3】
【0129】
本実施例の生体認証システム2は、カードレスクレジット決済システムである。以下、本実施例を、実施例1と異なる点を中心に説明する。
【0130】
図7に、生体認証システム2の構成例を示す。
【0131】
損失算出部102aは、認証対象ユーザvが購入した品物の金額Qに基づき、vが登録ユーザであるときに、他の登録ユーザとして判定される場合の損失W1、vが非登録ユーザであるときに、ある登録ユーザと判定される場合の損失W0を算出する。
【0132】
事前確率初期設定部111aは、登録ユーザunの事前確率及び非登録ユーザu0の事前確率を初期設定する。
【0133】
事前確率・閾値設定部111bは、損失W1、損失W0を用いて、EFRR及びn番目の登録ユーザであると判定したときの損失の期待値Rnが、それぞれ要求値EFRR’、Rn’以下となるように、各登録ユーザunの事前確率及び閾値、非登録ユーザu0の事前確率及び閾値を設定する。本実施例では、閾値は各登録ユーザ及び非登録ユーザ毎に設定する。
【0134】
図8は、本実施例の生体認証システム2による認証処理の手順及び認証処理に伴うデータの流れを示す。
【0135】
ステップS302では、認証サーバ端末110の事前確率初期設定部111aは、各登録ユーザunの事前確率P(v=un)、及び非登録ユーザu0の事前確率P(v=u0)を初期設定する。この事前確率P(v=un)、P(v=u0)の初期値をそれぞれπn、π0とする。
【0136】
ステップS302aでは、認証クライアント端末100の損失算出部102aは、認証対象ユーザvが購入した品物の金額Qに基づき、vが登録ユーザであるときに、他の登録ユーザとして判定される場合の損失W1、vが非登録ユーザであるときに、ある登録ユーザと判定される場合の損失W0を算出する。金額Qについては、例えば店員がキーボードを介して入力する。損失W1及びW0については、例えばこれらが金額Qに比例するものとし、下の数式を用いてW1及びW0を算出する。α、βは定数である。
【0137】
【数16】
【0138】
【数17】
【0139】
ステップS305では、認証クライアント端末100の認証要求部104は、認証サーバ端末110に対し、特徴量抽出部102が抽出した認証対象ユーザ特徴量データ、損失算出部102aが算出した損失W1及びW0を、通信装置205を介して送信するとともに、認証対象ユーザvに関する判定を行うことを要求する。
【0140】
ステップS306aでは、認証サーバ端末110の事前確率・閾値設定部111bは、認証クライアント端末100から受信した損失W1、損失W0を用いて、EFRR及びn番目の登録ユーザであると判定したときの損失の期待値Rnが、それぞれ要求値EFRR’、Rn’以下となるように、N人の登録ユーザの各登録ユーザunの事前確率P(v=un)及び閾値An、非登録ユーザu0の事前確率P(v=u0)及び閾値A0を設定する。事前確率及び閾値の設定は、以下の数式を用いて行なう。
【0141】
【数18】
【0142】
【数19】
【0143】
【数20】
【0144】
【数21】
【0145】
但し、an及びa0は、以下の数式で表される変数である。
【0146】
【数22】
【0147】
【数23】
【0148】
上記のように事前確率及び閾値を設定すれば、EFRR及びRnが、要求値EFRR’、Rn’以下となる。その証明方法を簡単に説明する。
【0149】
参考文献2によれば、i番目の登録ユーザであると判定したときの損失の期待値Riは、v=ujのときにv=uiと判定してしまう確率αji、そのときの損失W(j,i)を用いて、以下のように表すことができる。
【0150】
【数24】
【0151】
ここで、確率αji、損失W(j,i)として以下の式を用いることで、参考文献2を参照しつつ、EFRR及びRnが、要求値EFRR’、Rn’以下となることを導くことができる。
【0152】
【数25】
【0153】
【数26】
【0154】
上述のように、認証が行なわれる度に、損失W1及びW0を算出し、それを基に事前確率及び閾値を設定することで、EFRRは常に要求値EFRR’以下に、及びn番目の登録ユーザであると判定したときの損失の期待値Rnは常に要求値Rn’以下に抑えることができる。その結果、常に要求通りの利便性および安全性を実現することができる。
【0155】
以上、本発明の実施例について説明したが、以下のような変形例を採用することも可能である。
[変形例]
上記実施例では、判定処理に用いる閾値Aを0.5より大きい値に設定しているが、0.5以下の値に設定してもよい。閾値Aを0.5以下に設定する場合において、閾値Aを超える事後確率が複数存在していれば、判定部114は、それらの事後確率のうち最大値を示す事後確率に基づいて判定を行えばよい。
【0156】
また、上記実施例の生体認証システムは、認証クライアント端末100と認証サーバ端末110とをネットワーク140で接続して構成されているが、生体認証システムは、それぞれの端末100,110の構成を一纏めにして成る一つの装置であってもよい。この場合、上記実施例の認証クライアント端末100に備えられた認証要求手段104は省略することができる。さらに、認証クライアント端末100及び認証サーバ端末110は、図1や図7に示す構成に限定されず、例えば、CPUがプログラムを実行することで実現される処理部102,111〜115,118については、認証クライアント端末100と認証サーバ端末110のどちらに備えられていてもよい。さらにまた、上記処理部は、全部又は幾つかを一纏めに構成してもよいし、さらに細分化されてもよい。
【0157】
上記実施例では、尤度比算出部118は、1:N照合部112が図3のステップS307で求めた照合スコアを用いて登録ユーザunごとに尤度比を算出している(ステップS308)が、登録ユーザデータベース120に保持されている生体情報登録テンプレート122及び認証クライアント端末100の特徴量抽出部102が抽出した認証対象ユーザ特徴量データに基づき、登録ユーザunごとに尤度比を求めるように構成してもよい。具体的には、各登録ユーザunの尤度lnは、認証対象ユーザ特徴量データxJ(J=1,2,…)が得られる度に、登録ユーザun(n=1,…,N)の特徴量の分布pn(xJ)及び全登録ユーザの特徴量の分布p0(xJ)を用いて、以下の数式により算出される。
【0158】
【数27】
【0159】
そして、各登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求める場合は、上記求めた尤度比を、前述の実施例で説明した事後確率算出関数で用いた尤度比と置き換えればよい。
【0160】
上記実施例では、認証サーバ端末110が認証対象ユーザvに関する判定を行っているが、この判定を認証クライアント端末100で行うように構成することができる。例えば、図6に示すように、認証クライアント端末100に判定部106を備え、認証サーバ端末110には判定部114(図1)に替えて送信情報決定部116を備える。認証クライアント端末100及び認証サーバ端末110のその他の構成、生体情報入力センサ101の構成、及びネットワーク140の構成は、上記実施例における各々の構成と基本的には同じであるため、同じ符号が付されている。以下、この構成における認証処理の手順を説明する。
【0161】
まず、認証クライアント端末100の認証要求部104は、認証サーバ端末110に対し、特徴量抽出部102が抽出した認証対象ユーザ特徴量データを送信するとともに、該認証対象ユーザ特徴量データ及び登録ユーザデータベース120に保持されている照合用特徴量データに基づき、v=unである尤度とv≠unである尤度の比を登録ユーザunごとに求め、求めた尤度比と認証サーバ端末110の事前確率設定部111が設定した登録ユーザunの事前確率及び非登録ユーザu0の事前確率とを用いて、登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求め、求めた事後確率の各々を閾値Aと比較し、事後確率の最大値が閾値Aより大きい場合において、最大値を示す事後確率に対応する登録ユーザun又は非登録ユーザu0の情報を送信することを要求する。
【0162】
認証サーバ端末110では、認証クライアント端末100からの要求に応じて、事前確率設定部111、1:N照合部112、尤度比算出部118、及び事後確率算出手段113が上記実施例と同様の処理を行って事後確率を求める。そして、送信情報決定部116は、事後確率算出部113が求めた事後確率の各々を閾値Aと比較し、事後確率の最大値が閾値Aより大きい場合において、最大値を示す事後確率に対応する登録ユーザun又は非登録ユーザu0の情報を決定し、該情報を認証クライアント端末100へ送信する。
【0163】
認証クライアント端末100の認証要求部104は、認証サーバ端末110が送信した情報を受信すると、認証対象ユーザvに関する判定を行うことを判定部106に依頼する。
【0164】
認証クライアント端末100の判定部106は、認証要求部104が取得した情報が登録ユーザunの情報であれば、該登録ユーザunと認証対象ユーザvが同一人物であると判定し、認証要求部104が取得した情報が非登録ユーザu0の情報であれば、認証対象ユーザvが登録ユーザun以外のユーザであると判定する。
【0165】
そして、認証要求部104は、判定部106による判定の結果に基づいて上記実施例と同様の処理(図3のステップS319)を行うのがよい。
【0166】
さらに別の実施例として、認証サーバ110内の判定部114又は認証クライアント端末100内の判定部106は、事後確率を利用せず、図3のステップS308で尤度比算出部118が登録ユーザunごとに求めた尤度比(v=unである尤度とv≠unである尤度の比)を、所定の閾値Cと比較することにより認証を行うように構成されてもよい。具体的には、尤度比の最大値が閾値Cより大きい場合は、最大値を示す尤度比に対応する登録ユーザと認証対象ユーザvが同一人物である(認証成功)と判定し、尤度比の最大値が閾値C以下の場合は、認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、認証対象ユーザvの生体情報の再取得を要求し、認証対象ユーザvからの生体情報の取得回数が規定値以上であれば「認証失敗」と判定することができる。
【0167】
上記のケースでは、事前確率及び事後確率という概念を用いないため、図3のフローチャートにおけるステップS302及びS309は実行されない。また、非登録ユーザU0という概念も用いないため、ステップS313も実行されない。
【0168】
上記のケースにおいて枝刈り処理を行うには、登録ユーザ枝刈り部115は、例えば、判定部114,106が生体情報の再取得を要求する場合に、尤度比算出部118が求めた尤度比を所定の閾値Dと比較し、閾値Dより小さい尤度比に対応する登録ユーザunを認証対象ユーザvとの照合対象から除外すればよい。なお、枝刈りのタイミングは、図3のステップS314からステップS315(判定部114,106が生体情報の再取得を要求する時)の間と、ステップS315の後のどちらでもよい。
【0169】
上記のように、各登録ユーザunの照合スコアに基づいて各登録ユーザunの尤度比を求め、該尤度比と閾値Cとを比較して判定を行うことによっても、認証に必要な生体情報の入力回数の期待値が最小化される。また、特徴量の分布を用いて尤度比を求める従来の手法では、一般に特徴量の次元数が大きく(例えば、虹彩の場合は2048〜4096次元)、特徴量の分布を推定するためには非常に大規模な学習サンプルが必要になるため、実用化が困難であるという問題がある。それに対して、照合スコアを用いて尤度比を求める場合、照合スコアの次元数は常に1であるため、照合スコアの本人分布及び他人分布を必ず推定することができる。
【0170】
以上説明した本実施形態によれば、v=unである尤度とv≠unである尤度の比を各登録ユーザunについて求め、その尤度比を登録ユーザunの事後確率と非登録ユーザu0の事後確率とに正規化し、事後確率と閾値とを比較して判定を行うため、認証に必要な生体情報の入力回数の期待値が格段に低減(理論的には最小化)される。
【0171】
また、各登録ユーザunの照合スコアを求め、その照合スコアを用いて各登録ユーザunの尤度比を求め、尤度比と閾値とを比較して判定を行う方法でも、認証に必要な生体情報の入力回数の期待値が格段に低減(理論的には最小化)される。
【0172】
さらに、登録ユーザunの事前確率と非登録ユーザu0の事前確率を設定しておき、登録ユーザunだけでなく非登録ユーザu0についても事後確率を算出することにより、認証対象ユーザvが非登録ユーザu0と同一人物であるケース(なりすまし)と、認証対象ユーザが誰なのかを判断できないケース(認証失敗)とを明確に区別することができる。なりすましのユーザを明確に把握できれば、そのような悪意のあるユーザによるなりすましを効率的に排除するための対策(例えば、警告メッセージを提示する措置や、センサの動作を停止する措置など)を講ずることができる。
【産業上の利用可能性】
【0173】
本発明は、1:N認証に基づいて本人確認を行なう任意の生体認証システムに対して適用可能である。例えば、勤怠管理システム、クレジットカード決済を行うための個人認証システム、入退室管理システムへの適用が可能である。
【図面の簡単な説明】
【0174】
【図1】生体認証システムの構成例を示す図である。
【図2】認証クライアント端末及び認証サーバ端末のハードウェア構成を示す図である。
【図3】生体認証システムによる認証処理の手順を示す図である。
【図4】生体認証システムに採用されている認証アルゴリズムの概念を示す図である。
【図5】1:N認証における認証誤り率の概念を示す図である。
【図6】他の生体認証システムの構成を示す図である。
【図7】さらに他の生体認証システムの構成を示す図である。
【図8】さらに他の生体認証システムによる認証処理の手順を示す図である。
【符号の説明】
【0175】
1:生体認証システム、100:認証クライアント端末、101:生体情報入力センサ、102:特徴量抽出部、102a:損失算出部、104:認証要求部、110:認証サーバ端末、111:事前確率設定部、111a:事前確率初期設定部、111b:事前確率・閾値設定部、112:1:N照合部、113:事後確率算出部、114:判定部、115:登録ユーザ枝刈り部、117:記憶部、118:尤度比算出部、120:登録ユーザデータベース、121:ユーザID、122:生体情報登録テンプレート、130:判定履歴情報、140:ネットワーク、200:CPU、201:メモリ、202:HDD、203:入力装置、204:出力装置、205:通信装置。
【技術分野】
【0001】
本発明は、生体情報を用いて本人確認を行う生体認証システムに関する。
【背景技術】
【0002】
生体認証は、パスワードやICカードなどに基づく認証と比べて認証のための入力情報(例えば、指紋など)の偽造が困難であり、認証のための入力情報を失念することもないといった利点を持つ認証部として知られている。
【0003】
生体認証では、予めユーザから生体情報を取得し、その生体情報から特徴量と呼ばれる情報を抽出して事前に登録しておく。この登録情報を登録テンプレートといい、事前登録を行ったユーザのことを登録ユーザという。そして、認証時には、ユーザから生体情報を取得し、その生体情報から抽出した特徴量と登録テンプレートとを照合することで認証(本人確認)を行なう。本人確認を行うユーザのことを認証対象ユーザという。
【0004】
生体認証のなかでも、認証対象ユーザとN人の登録ユーザのそれぞれとを照合(以下「:N照合」という)し、認証対象ユーザがどの登録ユーザと同一人物であるかを識別する生体認証を1:N認証という。従来の1:N認証においては、認証対象ユーザと同一人物であると識別された登録ユーザ(以下「識別ユーザ」という)が存在すれば、その識別ユーザを判定結果として認証成功とし、識別ユーザが存在しなければ認証失敗とする。1:N認証を利用した生体認証システムの例としては、勤怠管理システムや、クレジットカードを用いずに生体認証のみでクレジット決済を行なうシステム(以下「カードレスクレジット決済システム」という)が挙げられる。1:N認証には、認証対象ユーザがカードなどを提示する必要が無いため、利便性が高いという利点がある。
【0005】
図5は、1:N認証における認証誤り率の種類を示す。1:N認証における認証誤り率は、以下の3種類に分類される。
(1)事前に登録を行なった認証対象ユーザが本人以外の登録ユーザとして認証に成功してしまう誤り率(以下「Enrollee False Acceptance Rate;EFAR」という)、
(2)事前に登録を行なった認証対象ユーザが認証に失敗してしまう誤り率(以下「Enrollee False Rejection Rate;EFRR」という)、
(3)事前に登録を行なっていないユーザ(以下「非登録ユーザ」という)が認証に成功してしまう誤り率(以下「Non-Enrollee False Acceptance Rate;NFAR」という)。
【0006】
EFAR及びNFARが高いと、認証対象ユーザが他人として認証に成功する可能性が高まるので安全性が低下する。このように、他人として認証に成功してしまう認証誤りを誤識別と呼ぶ。一方、EFRRが高いと、登録されている認証対象ユーザが認証に失敗する可能性が高まるので、利便性が低下する。
【0007】
1:N認証における認証精度を高めるために、認証対象ユーザに複数の生体情報(例えば、指紋、虹彩、声紋などの異なる種類の生体情報や、人差指の指紋、中指の指紋及び薬指の指紋などの異なる部位から取得した同一種類の生体情報など)を入力させ、それらを融合して認証対象ユーザを判定する認証方式(以下「1:N複合認証」という)が提案されている。例えば、特許文献1では、1つ目の生体情報(例えば顔)で認証対象ユーザの候補者(認証対象ユーザと同一人物の可能性がある登録ユーザ)を絞り込み、2つ目の生体情報(例えば指紋)で候補者をさらに絞り込んで、最終的に絞り込まれた候補者を判定結果として出力する。
【0008】
しかし1:N複合認証では、認証対象ユーザが複数の生体情報を入力しなければならないため、認証手続きが煩雑になり、利便性が低下する。また、1つの生体情報だけで認証を行う場合と比較して、1つ目の生体情報を入力してから認証結果が得られるまでの時間(以下「認証時間」という)が長くなるため、利便性が一層低下する。特許文献1では、これらの問題に対して何の対策も施されていなかった。
【0009】
さらに、特許文献1では、システムが複数の候補者を出力することがあるため、例えばカードレスクレジット決済のように、認証対象ユーザを1名にまで絞り込む必要のある適用先においては、複数の候補者が出力された後、人手で1名の識別ユーザを選択することとなるため、利便性が一層低下する。
【0010】
これに対して非特許文献1では、声紋の特徴量xJ(J=1,2,…)が得られる度に、登録ユーザun(n=1,…,N)の特徴量の分布pn(xJ)、全登録ユーザの特徴量の分布p0(xJ)を用いて、以下の数式により、各登録ユーザに対して尤度比lnを算出する。
【0011】
【数1】
【0012】
閾値Aより大きい尤度比lnが得られた場合、その時点の登録ユーザunを識別ユーザとして認証成功とし、閾値Bより小さい尤度比lnが得られた場合、その尤度比lnに対応する1又は複数の登録ユーザunは、それ以降の照合対象から除外される(以下「枝刈り」という)。識別ユーザが得られなければ、新たな特徴量xJを取得し、識別ユーザが得られるまで判定を繰り返す。このように、特徴量が得られる度に、尤度比と閾値Aとの大小を比較して認証対象ユーザの判定を行なうことで、認証に必要な生体情報の入力回数を低減している。また、1:N照合にかかる時間は照合対象の登録ユーザ数Nに凡そ比例するが、尤度比と閾値Bとの大小の比較により登録ユーザの枝刈りを行ない、1:N照合にかかる時間を短縮することによって、認証時間を一層短縮している。
【0013】
【特許文献1】US7277891 B2 20071002
【非特許文献1】野田秀樹、“逐次確率比検定を用いた適応的話者識別”、電子情報通信学会論文誌 D-II Vol.J84-D-II No.1 pp.211-213 (2001)
【発明の開示】
【発明が解決しようとする課題】
【0014】
しかしながら、非特許文献1に開示された技術では、特徴量が得られる度に尤度比と閾値とを比較して判定を行うことにより、認証に必要な生体情報の入力回数を低減しているようであるが、1:N認証において、特徴量の分布を用いて尤度比を求め、その尤度比と閾値とを比較する方法では、判定に必要な生体情報の入力回数の期待値が最小化されるという理論的な保証はない。すなわち、非特許文献1の技術には、認証に必要な生体情報の入力回数の期待値を低減するという観点において改善の余地があった。
【0015】
また、従来の1:N複合認証システムにおいては、悪意を持ったユーザが、事前登録を行なっていないにも拘らず何度も認証を繰り返し、いずれなりすましに成功してしまうという問題があった。
【0016】
本発明は、上記課題に鑑みてなされたものであり、その目的は、認証に必要な生体情報の入力回数の期待値を格段に低減するとともに、なりすましを効率的に排除することができる生体認証システム、認証クライアント端末、及び生体認証方法を提供することである。
【課題を解決するための手段】
【0017】
本発明の生体認証システムは、上記課題を解決するため、登録ユーザun(n=1,…,N)ごとに、該登録ユーザunの照合用特徴量データを保持するデータベースと、認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、前記登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部と、前記データベースに保持されている照合用特徴量データ及び前記抽出した認証対象ユーザ特徴量データに基づき、v=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求める尤度比算出部と、前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求める事後確率算出部と、前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率が前記登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記最大値を示す事後確率が前記非登録ユーザu0の事後確率であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定する判定部と、を備えることを特徴とする。
【0018】
本発明の他の実施形態では、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求める1:N照合部をさらに備え、前記尤度比算出部は、前記求めた照合スコアを用いて前記尤度比を求める。
【0019】
本発明のさらに他の実施形態では、前記判定部は、前記事後確率の最大値が前記第1の閾値以下の場合において、前記認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、前記認証対象ユーザvの生体情報の再取得を要求し、前記取得回数が規定値以上であれば「認証失敗」と判定する。この場合、前記判定部が前記生体情報の再取得を要求する場合に、前記事後確率算出部が求めた事後確率を第2の閾値と比較し、該第2の閾値より小さい事後確率に対応する登録ユーザunを前記認証対象ユーザvとの照合対象から除外する登録ユーザ枝刈り部をさらに備えることができる。
【0020】
本発明のさらに他の実施形態では、前記事後確率算出部は、今回の前記生体情報の取得において求めた前記非登録ユーザu0の事後確率を、前記取得の回数が1回であれば前記非登録ユーザu0の事前確率と、2回以上であれば前回の前記生体情報の取得において求めた前記非登録ユーザu0の事後確率と比較し、前記今回の取得において求めた前記非登録ユーザu0の事後確率の方が高い場合は、次回以降の前記生体情報の取得における事後確率算出において、今回の取得において抽出した前記特徴量データを使用しない。
【0021】
本発明のさらに他の実施形態では、前記データベースは、前記登録ユーザunの各々について、複数のモダリティに属する複数の異なる照合用特徴量データを保持し、前記生体情報の取得を1回のみ許容する生体情報入力センサをさらに備える。
【0022】
本発明のさらに他の実施形態では、前記データベースは、前記登録ユーザunの各々について、同一モダリティに属する複数の異なる照合用特徴量データを保持し、前記1:N照合部は、今回までの入力において、最も良い照合スコアが同一の生体情報に対して複数回得られた場合に認証失敗とする。
【0023】
本発明のさらに他の実施形態では、前記データベースは、前記登録ユーザunの各々について、同一モダリティに属する複数の異なる照合用特徴量データを保持し、前記1:N照合部は、今回までの入力において、最も良い照合スコアが同一の生体情報に対して複数回得られた場合、その中で最良の照合スコアを実現した入力以外で得た照合スコアは前記尤度比算出部による尤度比算出時に用いないようにする。
【0024】
本発明のさらに他の実施形態では、前記事前確率設定部は、前記判定部が、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定した場合に、前記非登録ユーザu0の事前確率を上げる。
【0025】
本発明のさらに他の実施形態では、前記第1の閾値は0.5より大きい値である。
【0026】
上記いずれかの実施形態において、前記判定部は、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定した場合に、なりすまし警告情報を出力することができる。
【0027】
本発明のさらに他の実施形態では、認証が行なわれる度に、前記認証対象ユーザvが登録ユーザであるときに、他の登録ユーザとして判定される場合の損失W1、及び前記認証対象ユーザvが非登録ユーザであるときに、ある登録ユーザと判定される場合の損失W0を算出する損失算出部をさらに備え、前記損失W1及び前記損失W0を用いて、EFRR及びn番目の登録ユーザであると判定したときの損失の期待値Rnがそれぞれ要求値以下となるように、各登録ユーザunの事前確率及び閾値、非登録ユーザu0の事前確率及び閾値を設定する事前確率・閾値設定部をさらに備える。
【0028】
本発明の他の生体認証システムは、登録ユーザun(n=1,…,N)ごとに、該登録ユーザunの照合用特徴量データを保持するデータベースと、認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求める1:N照合部と、前記求めた照合スコアを用いてv=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求める尤度比算出部と、前記求めた尤度比の各々を第1の閾値と比較し、前記尤度比の最大値が前記第1の閾値より大きい場合は、前記最大値を示す尤度比に対応する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記尤度比の最大値が前記第1の閾値以下の場合は、前記認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、前記認証対象ユーザvの生体情報の再取得を要求し、前記取得回数が規定値以上であれば「認証失敗」と判定する判定部と、を備えることを特徴とする。
【0029】
また、前記判定部が前記生体情報の再取得を要求する場合に、前記尤度比算出部が求めた尤度比を第2の閾値と比較し、該第2の閾値より小さい尤度比に対応する登録ユーunを前記認証対象ユーザvとの照合対象から除外する登録ユーザ枝刈り部をさらに備えることができる。
【0030】
本発明の認証クライアント端末は、前述の課題を解決するため、登録ユーザun(n=1,…,N)ごとに該登録ユーザunの照合用特徴量データを保持するデータベースと、前記登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部とを備えた認証サーバ端末に対し、通信可能に構成された端末であって、認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、前記認証サーバ端末に対し、前記抽出した認証対象ユーザ特徴量データを送信し、該認証対象ユーザ特徴量データ及び前記データベースに保持されている照合用特徴量データに基づき、v=unである尤度とv≠unである尤度の比を前記登録ユーザunごとに求め、前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求め、前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率に対応する前記登録ユーザun又は前記非登録ユーザu0の情報を送信することを要求し、該要求に応じて前記認証サーバ端末が送信した情報を取得する認証要求部と、前記取得した情報が前記登録ユーザunの情報であれば、該登録ユーザunと前記認証対象ユーザvが同一人物であると判定し、前記取得した情報が前記非登録ユーザu0の情報であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定する判定部と、を備えることを特徴とする。
【0031】
本発明の実施形態では、前記認証要求部は、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求め、前記照合スコアを用いて前記尤度比を求める。
【0032】
本発明の生体認証方法は、前述の課題を解決するため、認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出するステップと、登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部と、前記登録ユーザun(n=1,…,N)ごとに該登録ユーザunの照合用特徴量データを保持するデータベースに保持されている照合用特徴量データ及び前記抽出した認証対象ユーザ特徴量データに基づき、v=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求めるステップと、前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求めるステップと、前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率が前記登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記最大値を示す事後確率が前記非登録ユーザu0の事後確率であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定するステップと、を含むことを特徴とする。
【0033】
本発明の実施形態では、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求めるステップをさらに含み、前記尤度比を求めるステップでは、前記求めた照合スコアを用いて前記尤度比を求める。
【発明の効果】
【0034】
本発明によれば、v=unである尤度とv≠unである尤度の比を各登録ユーザunについて求め、その尤度比を登録ユーザunの事後確率と非登録ユーザu0の事後確率とに正規化し、事後確率と閾値とを比較して判定を行うため、認証に必要な生体情報の入力回数の期待値が格段に低減(理論的には最小化)される。
【0035】
また、各登録ユーザunの照合スコアを求め、その照合スコアを用いて各登録ユーザunの尤度比を求め、尤度比と閾値とを比較して判定を行う方法でも、認証に必要な生体情報の入力回数の期待値が格段に低減(理論的には最小化)される。
【0036】
さらに、登録ユーザunの事前確率と非登録ユーザu0の事前確率を設定しておき、登録ユーザunだけでなく非登録ユーザu0についても事後確率を算出することにより、認証対象ユーザvが非登録ユーザu0と同一人物であるケース(なりすまし)と、認証対象ユーザが誰なのかを判断できないケース(認証失敗)とを明確に区別することができる。なりすましのユーザを明確に把握できれば、そのような悪意のあるユーザによるなりすましを効率的に排除するための対策(例えば、警告メッセージを提示する措置や、センサの動作を停止する措置など)を講ずることができる。
【発明を実施するための最良の形態】
【0037】
以下、図面を参照して、本発明の実施形態を説明する。
【実施例1】
【0038】
本実施例の生体認証システム1は、複数の生体情報を用いて認証対象ユーザvとN人の登録ユーザun(n=1,…,N)との1:N認証を行なう生体認証システムである。認証対象ユーザとは、認証クライアント端末100を介して本人確認を行うユーザのことであり、登録ユーザとは、予め生体情報の照合用特徴量データを登録したユーザのことである。
【0039】
図1に、生体認証システム1の構成例を示す。この生体認証システム1は、認証対象ユーザvの生体情報から特徴量データを取得したり、認証結果等の情報を認証対象ユーザvに対して提示する認証クライアント端末100と、1:N認証などの処理を行なう認証サーバ端末110とを含んで構成される。また、認証クライアント端末100と認証サーバ端末110は、ネットワーク140を介してデータ通信可能に接続されている。
【0040】
生体認証システム1は、例えば、カードレスクレジット決済システムに適用することができる。この場合、認証クライアント端末100は加盟店に設置される認証装置に相当し、認証サーバ端末110はデータセンタに設置されるサーバに相当し、ネットワーク140はインターネットに相当する。また、企業内の勤怠管理システムに適用することもできる。この場合、認証クライアント端末100は居室内に置かれた認証装置に相当し、認証サーバ端末110はサーバ室に置かれたサーバに相当し、ネットワーク140は社内イントラネットに相当する。
【0041】
なお、ネットワーク140の例としては、WANやLANなどで構成されるネットワークに限らず、USBやIEEE1394などを用いて構成される有線通信回線、あるいは携帯電話網やBlueToothなどを用いて構成される無線通信回線、さらにはこれらを組み合わせて構成される通信回線を用いることができる。
【0042】
認証クライアント端末100は、特徴量抽出部102及び認証要求部104を含んで構成される。特徴量抽出部102及び認証要求部104は、認証クライアント端末100の中央処理装置(CPU)が所定のプログラム(図示省略)を実行することで機能的に実現されてもよいし、後述のこれらの処理部の機能を有するハードウェアを備えることで実現されてもよい。
【0043】
また、認証クライアント端末100には、複数(M個)の生体情報入力センサ101が接続されている。生体情報入力センサ101は、認証対象ユーザvから複数の生体情報1〜Mを取得するための装置である。
【0044】
なお、生体情報には、指紋、声紋、虹彩、筆跡、所定の文字列をキーボードで入力する際のキーストローク(キーの押し込み量)、動的署名(Dynamic Signature)、歩き方など、人に由来する様々な種類の情報が含まれる。同的署名とは、例えば、筆跡の形状(静的署名)に関する情報だけでなく、署名時のペンの動作速度などの動的特徴に関する情報も含む生体情報のことである。
【0045】
ここで、1つのセンサで取得できる生体情報の種類のことをモダリティという。例えば指紋を採取する場合のように、異なる部位(例えば、人差し指と中指など)からそれぞれ異なる生体情報を取得することができる場合があるので、1個のセンサ101によって、同一モダリティに属する複数の生体情報を取得することができる場合がある。本実施例では、複数のモダリティに属する複数の異なる生体情報を用いて認証を行うものとする。
【0046】
特徴量抽出部102は、認証対象ユーザvから取得した生体情報に基づき、その認証対象ユーザvの特徴量データを抽出する。なお、特徴量データは、従来の任意の方法で抽出することができる。
【0047】
認証要求部104は、認証サーバ端末110に対し、認証対象ユーザvに関する判定を行うことを要求する。判定方法の具体的内容は図3を参照して後述する。
【0048】
また、認証サーバ端末110から上記判定の結果に関する判定結果情報を受信すると、該判定結果情報に応じた処理を行う。この処理の具体例については後述する。
【0049】
認証サーバ端末110は、記憶部117、事前確率設定部111、1:N照合部112、尤度比算出部118、事後確率算出部113、判定部114、及び登録ユーザ枝刈り部115を含んで構成される。なお、事前確率設定部111、1:N照合部112、尤度比算出部118、事後確率算出部113、判定部114、及び登録ユーザ枝刈り部115は、認証サーバ端末110の中央処理装置(CPU)が所定のプログラム(図示省略)を実行することで機能的に実現されてもよいし、当該機能を有するハードウェアを備えることで実現されてもよい。また、これらの各処理部は個別に存在する必要はなく、任意の複数の処理部をひとまとめにして構成してもよい。
【0050】
記憶部117は、登録ユーザunごとに、該登録ユーザunのID及び該登録ユーザunの複数の生体情報1〜Mから抽出したそれぞれの照合用特徴量データ(以下、「生体情報登録テンプレート」という)122を保持する登録ユーザデータベース120と、過去D(Dは1以上の整数)回の最終判定結果(「認証成功」、「なりすまし」、又は「認証失敗」)を表す判定履歴情報130とを格納する。記憶部117は、RAMやハードディスクドライブ等の記憶装置によって実現される。
【0051】
事前確率設定部111は、登録ユーザunの事前確率及び非登録ユーザu0の事前確率を初期設定する。本実施例では、図4に示すように、なりすましを検出するために非登録ユーザu0という概念を導入し、非登録ユーザu0に対しても事前確率を設定する。登録ユーザunの事前確率及び非登録ユーザu0の事後確率とは、データ(本実施例では照合スコア)が得られていない状態で、各登録ユーザun及び非登録ユーザu0ついて設定される確率である。具体的には、照合スコアが不明の状態で、ある認証対象ユーザvが本人確認を行う場合に、v=u1である確率、v=u2である確率、…、v=uNである確率、及びv=u0である確率をいう。なお、事前確率の設定には、予め決められた固定値(例えば、プログラムのソースコード内に組み込まれている値)を事前確率として用いる態様や、事前確率算出式を予め定めておき、登録ユーザデータベース120内のデータ数や判定履歴情報130の内容等の各種のデータに応じて事前確率を算出する態様を含む。事前確率の設定方法の具体例については後述する。
【0052】
また、事前確率設定部111は、認証処理を繰り返す過程で事前確率を更新する。具体的には、後述の判定部114が、認証対象ユーザvが登録ユーザun以外のユーザ(なりすましのユーザ)であると判定した場合に、非登録ユーザu0の事前確率を上げ、これに応じて非登録ユーザu0の事前確率と各登録ユーザunの事前確率の合計が1になるように、各登録ユーザunの事前確率を下げる。この処理は、判定部114が「なりすまし」と判定した直後に行ってもよいし、次回の認証処理の際(例えば、後述の図3のステップS302を実行する際)に行ってもよい。非登録ユーザu0の事前確率を上げることで得られる効果については後述する。
【0053】
1:N照合部112は、認証クライアント端末100の特徴量抽出部102が抽出した認証対象ユーザvの特徴量データと登録ユーザデータベース120に保持されている生体情報登録テンプレート122との間で1:N照合を行い、登録ユーザunの各々について照合スコアを求める。照合スコアは、従来の任意の方法を用いて求めればよい。
【0054】
尤度比算出部118は、1:N照合部112が求めた照合スコアに基づき、v=unである尤度とv≠unである尤度の比を、登録ユーザunごとに求める。
【0055】
事後確率算出部113は、尤度比算出部113が求めた尤度比と事前確率設定部11が設定した登録ユーザunの事前確率及び非登録ユーザu0の事前確率とを用いて、登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求める。登録ユーザunの事後確率及び非登録ユーザu0の事後確率とは、データ(本実施例では、照合スコア)が得られた状態で、そのデータを考慮に入れたうえで、各登録ユーザun及び非登録ユーザu0ついて設定される条件付確率である。具体的には、各登録ユーザunの事前確率及び非登録ユーザu0の事前確率と尤度比とを用いて、登録ユーザunの事後確率及び非登録ユーザu0の事後確率のそれぞれが算出される。事後確率の算出方法の具体例については後述する。
【0056】
判定部114は、事後確率算出部113が求めた事後確率の各々を第1の閾値(閾値A)と比較し、以下の基準に従って認証対象ユーザvについて本人確認を行う。具体的には、事後確率の最大値が予め決められた閾値Aより大きい場合において、最大値を示す事後確率が登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと認証対象ユーザvが同一人物である(認証成功)と判定し、認証成功を表す判定結果情報を出力する。一方、最大値を示す事後確率が非登録ユーザu0の事後確率であれば、認証対象ユーザvが登録ユーザun以外のユーザ(なりすましのユーザ)であると判定し、その旨を表す情報(なりすまし警告情報)を出力する。また、事後確率の最大値が閾値A以下の場合(判定不能の場合)において、認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、本人確認をもう一度行う必要があることを表す判定結果情報として、認証対象ユーザvの生体情報の再取得を要求する情報を出力する。一方、生体情報の取得回数が規定値以上であれば、認証対象ユーザvが登録ユーザunのいずれかに該当するかどうかが不明である(認証失敗)と判定し、認証失敗を表す判定結果情報を出力する。
【0057】
登録ユーザ枝刈り部115は、判定部114が認証対象ユーザvからの生体情報の再取得を要求する場合に、事後確率算出部113が求めた事後確率を第2の閾値(閾値B)と比較し、該閾値Bより小さい事後確率に対応する登録ユーザun及び非登録ユーザu0を認証対象ユーザvとの照合対象から除外する。所定の登録ユーザun及び非登録ユーザu0を認証対象ユーザvとの照合対象から除外することを、登録ユーザun及び非登録ユーザu0の枝刈りという。枝刈りされた登録ユーザun及び非登録ユーザu0については、その後の認証過程において、照合スコア、尤度比、及び事後確率等の所定の値が算出されない。なお、枝刈りの対象を登録ユーザunに限定してもよい。
【0058】
図2は、本実施例における認証クライアント端末100及び認証サーバ端末110のハードウェア構成を示す。認証クライアント端末100及び認証サーバ端末110は、図に示すように、CPU200、メモリ(RAMなど)201、HDD202、入力装置(キーボード及びマウスなど)203、出力装置(ディスプレイ及びスピーカなど)204、及び通信装置(LANアダプタや赤外線アダプタなど)205を備える一般的な情報処理装置を用いて構成することができる。
【0059】
図3は、本実施例の生体認証システム1による認証処理の手順及び認証処理に伴うデータの流れを示す。
【0060】
まず、認証サーバ端末110は、認証対象ユーザvからの生体情報の入力回数Jを初期化(J=0)する(ステップS301)。この処理は、例えば判定部114が行うものとする。
【0061】
そして、認証サーバ端末110の事前確率設定部111は、各登録ユーザunの事前確率P(v=un)、及び非登録ユーザu0の事前確率P(v=u0)を初期設定する(ステップS302)。以下、事前確率の設定方法について説明する。
【0062】
例えば、登録ユーザun(n=1,…,N)の事前確率P(v=un)、及び非登録ユーザu0の事前確率P(v=u0)を、次のように同じ値に設定することができる。
P(v=un)=1/(N+1)
P(v=u0)=1/(N+1)
或いは、登録ユーザun(n=1,…,N)の事前確率P(v=un)を、
P(v=un)=1/N
と設定し、非登録ユーザu0の事前確率P(v=u0)を、
P(v=u0)=0
と設定してもよい。
【0063】
非登録ユーザu0の事前確率を0に設定することは、認証対象ユーザvが必ずN人の登録ユーザunのいずれかであると仮定することを意味し、このように設定した場合には、認証対象ユーザvが非登録ユーザu0であると判定されることはない。
【0064】
例えば、ICカードの情報を読み取ってドアの開錠及び施錠を制御する入室管理装置を居室の入口ドアの外側に設け、入室する人を制限するための1:N認証に基づく入退管理システムを構築した場合において、入り口のドアを開錠しようとする人が登録ユーザunのみであり、他人になりすまして開錠しようとする人が殆どいないと思われれば、上記のように非登録ユーザu0の事前確率を0とすることで、認証対象ユーザvが非登録ユーザu0と誤って判定されることはなくなる。
【0065】
また、認証サーバ端末110の事前確率設定部111は、記憶部117に格納されている判定履歴情報130に基づき、非登録ユーザu0の事前確率を上げ、これに応じて非登録ユーザu0の事前確率と各登録ユーザunの事前確率の合計が1になるように、各登録ユーザunの事前確率を下げるようにしても良い。具体的には、ステップS302において、記憶部117内の判定履歴情報130を参照し、直近の認証処理における判定手段114による判定結果が「なりすまし」であれば、過去D回の認証処理において「なりすまし」と判定された回数をD0回とし、過去D回の最終判定結果(「認証成功」、「なりすまし」、又は「認証失敗」)を用いてD0を求め、登録ユーザunの事前確率P(v=un)及び非登録ユーザu0の事前確率P(v=u0)を以下のように設定することができる。
P(v=un)=(1−D0/D)/(N+1)
P(v=u0)=(N×D0/D+1)/(N+1)
このように、事前確率設定部111が事前確率の値を更新することで、事前に登録を行なっていないにも拘らず、なりすましに成功するまで何度も認証を繰り返すという悪意のある認証対象ユーザvがいても、「なりすまし」と判定される度に非登録ユーザu0の事前確率P(v=u0)が上昇し、その結果、非登録ユーザu0の事後確率P(v=u0|S)も後述のように上昇することになるため、認証に成功するのは一層困難になる。これにより、システムの安全性が一層向上するという効果も得られる。
【0066】
なお、悪意のあるユーザによるなりすまし行為が発生する可能性が高いと考えられる適用先においては、非登録ユーザu0の事前確率を高めに設定することで、高い安全性を実現することができる。
【0067】
このように、本実施例の生体認証システムでは、なりすまし行為が発生する可能性を考慮した上で、非登録ユーザu0の事前確率を柔軟に制御し、システムの適用先の状況に応じて利便性・安全性の両面において適切な運用を実現することができる。
【0068】
認証クライアント端末100の生体情報入力センサ101は、認証対象ユーザvからの生体情報の入力(例えば、生体情報1入力センサ101に人差し指を置いて指紋を提示すること)に応じて、該認証対象ユーザvの生体情報を取得する(ステップS303)。ここで、生体情報入力センサ101は生体情報の取得を1回のみ許容するようにしても良い。本実施例では、他人の生体情報と似た生体情報を持つユーザがいる場合、その似た生体情報を何度も入力することで、その他人の事後確率を徐々に高めていき、いずれその他人として認証に成功し、その結果、安全性が低下する恐れがある。これに対して、上述したように、一度入力したモダリティは二度と入力できないようにすることで、同一の生体情報を何度も入力することによるなりすましを防ぐことができる。これにより、安全性の低下を防ぐことができる。
【0069】
認証クライアント端末100の特徴量抽出部102は、生体情報入力センサ101が認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する(ステップS304)。
【0070】
認証クライアント端末100の認証要求部104は、認証サーバ端末110に対し、特徴量抽出部102が抽出した認証対象ユーザ特徴量データを通信装置205を介して送信するとともに、認証対象ユーザvに関する判定を行うことを要求する(ステップS305)。
【0071】
認証サーバ端末110側では、認証クライアント端末100から認証対象ユーザ特徴量データを受信すると、認証対象ユーザvからの生体情報の入力回数Jをインクリメント(J=J+1)する(ステップS306)。この処理は、例えば判定部114が行うものとする。
【0072】
次に、認証サーバ端末110の1:N照合部112は、認証クライアント端末100の特徴量抽出部102が抽出した認証対象ユーザ特徴量データと、登録ユーザデータベース120に保持されているN人の登録ユーザunの登録テンプレート122との間で1:N照合を行ない、登録ユーザunの各々について照合スコアsJnを求める(ステップS307)。照合スコアの算出方法の例としては、特徴空間での距離を求める方法を採用することができるが、他の任意の算出方法を採用することができる。なお、既に枝刈りされている登録ユーザunについては、照合を行わず、照合スコアの値を計算しないため、処理が高速化される。
【0073】
そして、認証サーバ端末110の尤度比算出部118は、1:N照合部112が求めた照合スコアを用いて、v=unである尤度とv≠unである尤度の比(尤度比)を登録ユーザunごとに求める(ステップS308)。尤度比を求める際には、全登録ユーザunの照合スコアを求めておく必要があるが、既に枝刈りされている登録ユーザunについては尤度比の値を計算しないため、照合スコアも不要である。枝刈りされた登録ユーザunの尤度比を計算しないことにより、認証処理の高速化を図ることができる。
【0074】
認証サーバ端末110の事後確率算出部113は、尤度比算出部118が求めた尤度比と事前確率設定部111が設定した登録ユーザunの事前確率及び非登録ユーザu0の事前確率とを用いて、登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)を求める(ステップS309)。ここで、S=[sjn|j=1,…,J n=1,…,N]である。このとき、今回の生体情報の取得において求めた非登録ユーザu0の事後確率P(v=u0|S)が、前回(J−1回目)の生体情報の取得における事後確率(J=1の場合は事前確率)よりも高くなった場合、今回の取得において抽出した特徴量データを用いて求めたN個の照合スコア(sJ1、sJ2,…,sJN)を、J+1回目以降の取得において求める事後確率の算出では用いないようにしても良い。本実施例では、登録ユーザが認証を試みる場合において、生体情報を入力するときの姿勢(指の置き方、顔の向きなど)、照明環境などの条件が劣悪なときに、生体情報を入力する度に、その登録ユーザの事後確率が低下し、かえって正しく認証されにくくなり、その結果、かえって利便性が低下するという問題がある。姿勢、照明環境などの条件が劣悪な場合、入力された生体情報はどの登録ユーザの生体情報とも類似しないため、非登録ユーザの事後確率が高くなる。従って、上述したように、非登録ユーザの事後確率が前回よりも高くなった場合は、そのときの取得において抽出した特徴量データを用いて求めた照合スコアを以降の事後確率の算出に用いないようにすることで、生体情報を入力するときの姿勢、照明環境などの条件が劣悪なときにおける利便性の低下を防ぐことができる。以下、尤度比と登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)の算出方法について説明する。
【0075】
各登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)は、ベイズの定理を用いて、それぞれ以下の数式に変形できる。
【0076】
【数2】
【0077】
【数3】
【0078】
ここで、本人と本人の照合スコアsの分布(本人分布)をf(s)とし、本人と他人の照合スコアsの分布(他人分布)をg(s)とする。f(s)及びg(s)は、下記参考文献1に記載されているように、正規分布を仮定した最尤推定やベイズ推定やロジスティック回帰などによって求めることができる。参考文献1は、参照により本願に組み込まれる。f(s)及びg(s)は登録ユーザ毎に求めても良いし、全登録ユーザ共通のものを求めても良い。
【0079】
[参考文献1]C.M.Bishop, "Pattern Recognition and Machine Learning," Springer-Verlag; New Ed版 (2006)
これらを用いると、P(S|v=un)及びP(S|v=u0)は、それぞれ以下の数式で表わされる。
【0080】
【数4】
【0081】
【数5】
【0082】
従って、これらを上式(数2、数3)に代入することで、各登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)は、以下の数式(事後確率算出関数)で表わされる。
【0083】
【数6】
【0084】
【数7】
【0085】
ここで、上記事後確率算出関数に含まれる以下の数式は、登録ユーザunに対する照合スコアs1n,…,sJnが得られた場合における尤度比(v=unであるという尤度とv≠unであるという尤度の比)を求めるための数式(尤度比関数)である。
【0086】
【数8】
【0087】
尤度比算出部118は、ステップS308において、上記尤度比関数を用いて尤度比を算出する。
【0088】
そして、事後確率算出部113は、上記事後確率算出関数によって尤度比算出部118が求めた尤度比の値を用いて各登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求める。なお、枝刈りされた登録ユーザun及び非登録ユーザunについては、事後確率を算出しないことにより、認証処理の高速化を図ることができる。また、事後確率を求める際には、全登録ユーザunに関する照合スコア及び尤度比を求めておく必要があるが、既に枝刈りされている登録ユーザunの照合スコアについては前述のとおり算出せず、既に枝刈りされている登録ユーザunの尤度比については0としてもよいし、枝刈りされる直前の尤度比算出処理(ステップS308)で求めた尤度比の値を重複して用いてもよい。枝刈りされた登録ユーザun(及び非登録ユーザunを枝刈りの対象としている場合は枝刈りされた非登録ユーザun)の照合スコア、尤度比、事後確率を算出しないことにより、認証処理の高速化を図ることができる。
【0089】
また、下記参考文献には、L(≧2)個の仮説のうちのどれが成立するかを判定する検定において、観測データがi.i.d.(独立に同じ分布に従う)であり、かつ判定誤り率が十分に小さいという仮定の下、各仮説に対する尤度比を各仮説が成立するという確率値に正規化し、閾値Aとの大小の比較により判定を行なうことにより、判定終了までに必要な平均観測回数が最小化されることが示されている。参考文献2は、参照により本願に組み込まれる。
【0090】
[参考文献2]Vladimir P. Dragalin, et al., "Multihypothesis Sequential Probability Ratio Tests, PART I: Asymptotic Optimality," IEEE Trans. Information Theory, Volume 45, Issue 7, pp.2448-2461 (1999)]。
【0091】
本実施例では、v=unである尤度とv≠unである尤度の比を各登録ユーザunについて求め、その尤度比を登録ユーザun及び非登録ユーザu0の事後確率に正規化し、事後確率と閾値Aとを比較して判定を行うため、認証に必要な生体情報の入力回数の期待値が最小化されることになる。
【0092】
認証サーバ端末110の判定部114は、図4(生体情報入力1回目の図)に示すように、ステップS309で事後確率算出部113が求めた事後確率の各々を閾値Aと比較し、前述の基準(図1における判定部114の説明内容)に従って認証対象ユーザvについて本人の判定を行う(ステップS310)。
【0093】
本実施例では、判定処理に用いる閾値Aを0.5より大きい値に設定するものとする。このように閾値Aを設定することで、閾値Aを超える事後確率が必ず1つ以下となるようにすることができる。閾値Aを超える事後確率が最大で1つになることにより、事後確率の最大値と2番目に大きい値との間に必ず差が生じ、誤識別の発生を低減する(安全性を高める)ことができる。この効果は、閾値Aの値をさらに大きくすることで増大する。
【0094】
なお、本実施例の生体認証システム1では、前述のように、照合スコアの本人分布と他人分布を用いて尤度比、及び事後確率を求める。照合スコアの本人分布f(s)と他人分布g(s)は、1名の登録ユーザunではなく、全登録ユーザunの照合スコアを用いて推定するため、あらかじめ収集した各登録ユーザunの照合スコアのデータが少量であっても信頼性高く推定することができる。従って、尤度比及び事後確率を信頼性高く推定することができ、EFAR、EFRR、NFARを低減することができる。その結果、システムの安全性が向上し、利便性も一層向上するという効果が得られる。
【0095】
次に、認証サーバ端末110の判定部114は、ステップS310の判定結果に応じて以下のように処理を分岐する(ステップS311)。
【0096】
具体的には、ステップS310において、認証対象ユーザvが登録ユーザunのいずれかと同一人物である(認証成功)と判定された場合には、認証成功を表す判定結果情報を、通信装置205(図2)を介して認証クライアント端末100へ送信する(ステップS312)。また、生体認証システム1がカードレスクレジット決済システムに適用されている場合には決済処理などが行われ、勤怠管理システムに適用される場合にはドアの開錠処理及び出勤時刻の自動入力処理などが行われる。
【0097】
ステップS310において、認証対象ユーザvが非登録ユーザu0(なりすましのユーザ)であると判定された場合には、なりすまし警告情報を、通信装置205(図2)を介して認証クライアント端末100へ送信する(ステップS313)。
【0098】
ステップS310において、判定不能の場合には、認証対象ユーザvからの生体情報の取得回数Jが規定値未満(J<Jmax)であるかどうかを判定する(ステップS314)。
【0099】
上記ステップS314の判定の結果が“Yes”、即ち生体情報の取得回数Jが未だ規定値に達していなければ、登録ユーザ枝刈り部115は、ステップS309で事後確率算出部113が求めた事後確率を閾値Bと比較し、該閾値Bより小さい事後確率に対応する登録ユーザun及び非登録ユーザu0の枝刈りを行う(ステップS315)。
【0100】
例えば、上記ステップS315で枝刈りされた登録ユーザunのIDがメモリ上に保持されるように認証サーバ端末110を構成しておくことにより、認証サーバ端末110内の各処理部は枝刈りされた登録ユーザunを認識することができる。登録ユーザunの枝刈りを行うと、例えば図4において、生体情報入力1回目では全ての登録ユーザun及び非対象ユーザu0が照合対象となっているところ、生体情報入力2回目ではn=1,n=Nの登録ユーザun、及び非登録ユーザu0だけが照合対象となる。
【0101】
本実施例の生体認証システム1によれば、正規化されている各登録ユーザunの事後確率の値及び非登録ユーザu0の事後確率の値と、閾値Bとの大小を基準として枝刈りを行なうことにより、参考文献2に示されているように、各登録ユーザun及び非登録ユーザu0の枝刈りに必要な生体情報の入力回数Jの期待値を最小化することができる。このことは、入力回数Jがある値のときに枝刈りされる登録ユーザun及び非登録ユーザu0の数の期待値を最大化することと同義である。従って、1:N照合にかかる時間を短く抑えることができるため、利便性が一層向上するという効果が得られる。
【0102】
枝刈り処理(ステップS315)の後、認証サーバ端末110(具体的には、例えば判定部114)は、本人確認をもう一度行う必要があることを表す判定結果情報として、認証対象ユーザvの生体情報の再取得を要求する情報を出力し、通信装置205(図2)を介して認証クライアント端末100へ送信する(ステップS316)。
【0103】
その後、認証サーバ110は、認証クライアント端末100から次の判定の要求があるまで、すなわち認証対象ユーザ特徴量データが送信されるまで待機し(ステップS317)、認証クライアント端末100から認証対象ユーザ特徴量データを受信するとステップS306以降の処理を実行する。
【0104】
一方、ステップS314の判定の結果が“No”、即ち生体情報の取得回数Jが規定値に達していれば、認証失敗を表す判定結果情報を出力し、通信装置(図2)を介して認証クライアント端末100へ送信する(ステップS318)。
【0105】
認証クライアント端末100の認証要求部104は、認証サーバ端末110から送信された判定結果情報に応じて、例えば次のような処理を行う(ステップS319)。
【0106】
認証成功を表す判定結果情報を受信した場合、認証要求部104は、出力部100を介して「認証に成功しました。」といった内容のメッセージを認証対象ユーザvに対して提示(表示や発音など)する。
【0107】
なりすまし警告情報を受信した場合、認証要求部104は、生体情報入力センサ101の動作を停止して認証を拒んだり、出力装置204を介して警報を鳴らすなどの方法により、なりすましのユーザに対する罰則を設ける。
【0108】
生体情報の再取得を要求する判定結果情報を受信した場合、認証要求部104は、出力装置204を介して、「センサに人差し指の指紋をかざしてください。」などのように、認証対象ユーザvに対して生体情報の入力を促すメッセージを提示(表示や発音など)する。
【0109】
認証失敗を表す判定結果情報を受信した場合、認証要求部104は、出力装置204を介して、「認証に失敗しました。もう一度はじめから認証をやり直してください。」などのように、認証対象ユーザvに対して本人確認の再試行を促すメッセージを提示(表示や発音など)する。
【0110】
認証サーバ端末110では、判定部114は、最終判定結果(「認証成功」、「なりすまし」、又は「認証失敗」)が得られた場合、その最終判定結果を、記憶部117に格納されている判定履歴情報130に記録する(ステップS320)。
【0111】
本実施例の生体認証システム1では、登録ユーザunの事前確率だけでなく、非登録ユーザu0の事前確率を予め設定しておき、事前確率と尤度比を用いて、登録ユーザunの事後確率だけでなく、非登録ユーザu0の事後確率も算出し、認証対象ユーザvが非登録ユーザu0であると判定したときは「なりすまし」、認証対象ユーザvが誰なのかを判断できない(登録ユーザunとも非登録ユーザu0とも判断できない)ときは「認証失敗」とする。この2つを明確に区別することで、事前に登録を行なっていない認証対象ユーザvがなりすましを試みていると判定したときにのみ、ステップS319の処理のような罰則を設けることが出来る。これによって、悪意のあるなりすましのユーザを効果的に排除することができ、システムの安全性を向上させることができる。
【実施例2】
【0112】
本実施例では、同一モダリティに属する複数の異なる生体情報を用いて認証を行う。以下、本実施例を、実施例1と異なる点を中心に説明する。
【0113】
図3のステップS307において、認証サーバ端末110の1:N照合部112は、認証クライアント端末100の特徴量抽出部102が抽出した認証対象ユーザ特徴量データと、登録ユーザデータベース120に保持されているN人の登録ユーザunのM個の登録テンプレート122との間で1:N照合を行ない、登録ユーザunのm番目の登録テンプレートの各々について照合スコアsjnmを求める。以下、照合スコアの算出方法として特徴空間での距離を用いる。この場合、照合スコアは小さいほど良い、即ち照合スコアが小さいほど二つの生体情報は同一のものらしいということになる。このとき、今回(J回目)までの入力において、最も小さい照合スコアが同一ユーザの同一の生体情報に対して複数回得られた場合、認証失敗とする。たとえば、複数回を2回として、ある回の最も小さい照合スコアを示す生体情報が、他の回の最も小さい照合スコアを示す生体情報と同じである場合に、認証失敗とする。
【0114】
他人の生体情報と似た生体情報を持つユーザがいた場合、その生体情報を何度も入力することで、その他人の事後確率を徐々に高めていき、いずれその他人として認証に成功し、その結果、安全性が低下する恐れがある。本実施例においては、モダリティは一つであるので、一度入力したモダリティは二度と入力できないように対策することができない。これに対して、上述したように、最も小さい照合スコアが同一の生体情報に対して複数回得られた場合、認証失敗とすることで、同一の生体情報を何度も入力することによるなりすましを防ぐことができる。これにより、安全性の低下を防ぐことができる。
【0115】
しかしながら、上述の場合、認証対象ユーザが同一の生体情報を複数回入力すると必ず認証失敗となってしまうため、その結果、利便性が低下してしまう問題がある。そこで、今回(J回目)までの入力において、最も小さい照合スコアが同一の生体情報に対して複数回(K回とする)得られた場合、その中で最小の照合スコアを実現した入力以外で得た照合スコア((K−1)×N×M個)はステップS308における尤度比算出時に用いないようにする。このようにすることで、同一の生体情報を何度も入力して事後確率を徐々に高めていくことによるなりすましを防ぐと同時に、認証対象ユーザが同一の生体情報を複数回入力すると必ず認証失敗となってしまう問題を防ぐことができる。これにより、安全性の低下、及び利便性の低下を防ぐことができる。
【0116】
ステップS308及びステップS309では、それぞれ以下のようにして尤度比と登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)を算出する。ここで、S=[sjnm|j=1,…,J n=1,…,N m=1,…,M]である。
【0117】
各登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v
=u0|S)は、ベイズの定理を用いて、それぞれ以下の数式に変形できる。
【0118】
【数9】
【0119】
【数10】
【0120】
ここで、認証対象ユーザがm番目(m=1,2,・・・M)の生体情報を入力する確率はそれぞれ等しく1/Mであるとすると、P(S|v=un)及びP(S|v=u0)は、それぞれ以下の数式で表わされる。
【0121】
【数11】
【0122】
【数12】
【0123】
従って、これらを上式(数9、数10)に代入することで、各登録ユーザunの事後確率P(v=un|S)及び非登録ユーザu0の事後確率P(v=u0|S)は、以下の数式(事後確率算出関数)で表わされる。
【0124】
【数13】
【0125】
【数14】
【0126】
ここで、上記事後確率算出関数に含まれる以下の数式は、登録ユーザunのm番目の生体情報に対する照合スコアs1nm,…,sJnmが得られた場合における尤度比(v=unであるという尤度とv≠unであるという尤度の比)を求めるための数式(尤度比関数)である。
【0127】
【数15】
【0128】
尤度比算出部118は、ステップS308において、上記尤度比関数を用いて尤度比を算出する。そして、事後確率算出部113は、上記事後確率算出関数によって尤度比算出部118が求めた尤度比の値を用いて各登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求める。
【実施例3】
【0129】
本実施例の生体認証システム2は、カードレスクレジット決済システムである。以下、本実施例を、実施例1と異なる点を中心に説明する。
【0130】
図7に、生体認証システム2の構成例を示す。
【0131】
損失算出部102aは、認証対象ユーザvが購入した品物の金額Qに基づき、vが登録ユーザであるときに、他の登録ユーザとして判定される場合の損失W1、vが非登録ユーザであるときに、ある登録ユーザと判定される場合の損失W0を算出する。
【0132】
事前確率初期設定部111aは、登録ユーザunの事前確率及び非登録ユーザu0の事前確率を初期設定する。
【0133】
事前確率・閾値設定部111bは、損失W1、損失W0を用いて、EFRR及びn番目の登録ユーザであると判定したときの損失の期待値Rnが、それぞれ要求値EFRR’、Rn’以下となるように、各登録ユーザunの事前確率及び閾値、非登録ユーザu0の事前確率及び閾値を設定する。本実施例では、閾値は各登録ユーザ及び非登録ユーザ毎に設定する。
【0134】
図8は、本実施例の生体認証システム2による認証処理の手順及び認証処理に伴うデータの流れを示す。
【0135】
ステップS302では、認証サーバ端末110の事前確率初期設定部111aは、各登録ユーザunの事前確率P(v=un)、及び非登録ユーザu0の事前確率P(v=u0)を初期設定する。この事前確率P(v=un)、P(v=u0)の初期値をそれぞれπn、π0とする。
【0136】
ステップS302aでは、認証クライアント端末100の損失算出部102aは、認証対象ユーザvが購入した品物の金額Qに基づき、vが登録ユーザであるときに、他の登録ユーザとして判定される場合の損失W1、vが非登録ユーザであるときに、ある登録ユーザと判定される場合の損失W0を算出する。金額Qについては、例えば店員がキーボードを介して入力する。損失W1及びW0については、例えばこれらが金額Qに比例するものとし、下の数式を用いてW1及びW0を算出する。α、βは定数である。
【0137】
【数16】
【0138】
【数17】
【0139】
ステップS305では、認証クライアント端末100の認証要求部104は、認証サーバ端末110に対し、特徴量抽出部102が抽出した認証対象ユーザ特徴量データ、損失算出部102aが算出した損失W1及びW0を、通信装置205を介して送信するとともに、認証対象ユーザvに関する判定を行うことを要求する。
【0140】
ステップS306aでは、認証サーバ端末110の事前確率・閾値設定部111bは、認証クライアント端末100から受信した損失W1、損失W0を用いて、EFRR及びn番目の登録ユーザであると判定したときの損失の期待値Rnが、それぞれ要求値EFRR’、Rn’以下となるように、N人の登録ユーザの各登録ユーザunの事前確率P(v=un)及び閾値An、非登録ユーザu0の事前確率P(v=u0)及び閾値A0を設定する。事前確率及び閾値の設定は、以下の数式を用いて行なう。
【0141】
【数18】
【0142】
【数19】
【0143】
【数20】
【0144】
【数21】
【0145】
但し、an及びa0は、以下の数式で表される変数である。
【0146】
【数22】
【0147】
【数23】
【0148】
上記のように事前確率及び閾値を設定すれば、EFRR及びRnが、要求値EFRR’、Rn’以下となる。その証明方法を簡単に説明する。
【0149】
参考文献2によれば、i番目の登録ユーザであると判定したときの損失の期待値Riは、v=ujのときにv=uiと判定してしまう確率αji、そのときの損失W(j,i)を用いて、以下のように表すことができる。
【0150】
【数24】
【0151】
ここで、確率αji、損失W(j,i)として以下の式を用いることで、参考文献2を参照しつつ、EFRR及びRnが、要求値EFRR’、Rn’以下となることを導くことができる。
【0152】
【数25】
【0153】
【数26】
【0154】
上述のように、認証が行なわれる度に、損失W1及びW0を算出し、それを基に事前確率及び閾値を設定することで、EFRRは常に要求値EFRR’以下に、及びn番目の登録ユーザであると判定したときの損失の期待値Rnは常に要求値Rn’以下に抑えることができる。その結果、常に要求通りの利便性および安全性を実現することができる。
【0155】
以上、本発明の実施例について説明したが、以下のような変形例を採用することも可能である。
[変形例]
上記実施例では、判定処理に用いる閾値Aを0.5より大きい値に設定しているが、0.5以下の値に設定してもよい。閾値Aを0.5以下に設定する場合において、閾値Aを超える事後確率が複数存在していれば、判定部114は、それらの事後確率のうち最大値を示す事後確率に基づいて判定を行えばよい。
【0156】
また、上記実施例の生体認証システムは、認証クライアント端末100と認証サーバ端末110とをネットワーク140で接続して構成されているが、生体認証システムは、それぞれの端末100,110の構成を一纏めにして成る一つの装置であってもよい。この場合、上記実施例の認証クライアント端末100に備えられた認証要求手段104は省略することができる。さらに、認証クライアント端末100及び認証サーバ端末110は、図1や図7に示す構成に限定されず、例えば、CPUがプログラムを実行することで実現される処理部102,111〜115,118については、認証クライアント端末100と認証サーバ端末110のどちらに備えられていてもよい。さらにまた、上記処理部は、全部又は幾つかを一纏めに構成してもよいし、さらに細分化されてもよい。
【0157】
上記実施例では、尤度比算出部118は、1:N照合部112が図3のステップS307で求めた照合スコアを用いて登録ユーザunごとに尤度比を算出している(ステップS308)が、登録ユーザデータベース120に保持されている生体情報登録テンプレート122及び認証クライアント端末100の特徴量抽出部102が抽出した認証対象ユーザ特徴量データに基づき、登録ユーザunごとに尤度比を求めるように構成してもよい。具体的には、各登録ユーザunの尤度lnは、認証対象ユーザ特徴量データxJ(J=1,2,…)が得られる度に、登録ユーザun(n=1,…,N)の特徴量の分布pn(xJ)及び全登録ユーザの特徴量の分布p0(xJ)を用いて、以下の数式により算出される。
【0158】
【数27】
【0159】
そして、各登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求める場合は、上記求めた尤度比を、前述の実施例で説明した事後確率算出関数で用いた尤度比と置き換えればよい。
【0160】
上記実施例では、認証サーバ端末110が認証対象ユーザvに関する判定を行っているが、この判定を認証クライアント端末100で行うように構成することができる。例えば、図6に示すように、認証クライアント端末100に判定部106を備え、認証サーバ端末110には判定部114(図1)に替えて送信情報決定部116を備える。認証クライアント端末100及び認証サーバ端末110のその他の構成、生体情報入力センサ101の構成、及びネットワーク140の構成は、上記実施例における各々の構成と基本的には同じであるため、同じ符号が付されている。以下、この構成における認証処理の手順を説明する。
【0161】
まず、認証クライアント端末100の認証要求部104は、認証サーバ端末110に対し、特徴量抽出部102が抽出した認証対象ユーザ特徴量データを送信するとともに、該認証対象ユーザ特徴量データ及び登録ユーザデータベース120に保持されている照合用特徴量データに基づき、v=unである尤度とv≠unである尤度の比を登録ユーザunごとに求め、求めた尤度比と認証サーバ端末110の事前確率設定部111が設定した登録ユーザunの事前確率及び非登録ユーザu0の事前確率とを用いて、登録ユーザunの事後確率及び非登録ユーザu0の事後確率を求め、求めた事後確率の各々を閾値Aと比較し、事後確率の最大値が閾値Aより大きい場合において、最大値を示す事後確率に対応する登録ユーザun又は非登録ユーザu0の情報を送信することを要求する。
【0162】
認証サーバ端末110では、認証クライアント端末100からの要求に応じて、事前確率設定部111、1:N照合部112、尤度比算出部118、及び事後確率算出手段113が上記実施例と同様の処理を行って事後確率を求める。そして、送信情報決定部116は、事後確率算出部113が求めた事後確率の各々を閾値Aと比較し、事後確率の最大値が閾値Aより大きい場合において、最大値を示す事後確率に対応する登録ユーザun又は非登録ユーザu0の情報を決定し、該情報を認証クライアント端末100へ送信する。
【0163】
認証クライアント端末100の認証要求部104は、認証サーバ端末110が送信した情報を受信すると、認証対象ユーザvに関する判定を行うことを判定部106に依頼する。
【0164】
認証クライアント端末100の判定部106は、認証要求部104が取得した情報が登録ユーザunの情報であれば、該登録ユーザunと認証対象ユーザvが同一人物であると判定し、認証要求部104が取得した情報が非登録ユーザu0の情報であれば、認証対象ユーザvが登録ユーザun以外のユーザであると判定する。
【0165】
そして、認証要求部104は、判定部106による判定の結果に基づいて上記実施例と同様の処理(図3のステップS319)を行うのがよい。
【0166】
さらに別の実施例として、認証サーバ110内の判定部114又は認証クライアント端末100内の判定部106は、事後確率を利用せず、図3のステップS308で尤度比算出部118が登録ユーザunごとに求めた尤度比(v=unである尤度とv≠unである尤度の比)を、所定の閾値Cと比較することにより認証を行うように構成されてもよい。具体的には、尤度比の最大値が閾値Cより大きい場合は、最大値を示す尤度比に対応する登録ユーザと認証対象ユーザvが同一人物である(認証成功)と判定し、尤度比の最大値が閾値C以下の場合は、認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、認証対象ユーザvの生体情報の再取得を要求し、認証対象ユーザvからの生体情報の取得回数が規定値以上であれば「認証失敗」と判定することができる。
【0167】
上記のケースでは、事前確率及び事後確率という概念を用いないため、図3のフローチャートにおけるステップS302及びS309は実行されない。また、非登録ユーザU0という概念も用いないため、ステップS313も実行されない。
【0168】
上記のケースにおいて枝刈り処理を行うには、登録ユーザ枝刈り部115は、例えば、判定部114,106が生体情報の再取得を要求する場合に、尤度比算出部118が求めた尤度比を所定の閾値Dと比較し、閾値Dより小さい尤度比に対応する登録ユーザunを認証対象ユーザvとの照合対象から除外すればよい。なお、枝刈りのタイミングは、図3のステップS314からステップS315(判定部114,106が生体情報の再取得を要求する時)の間と、ステップS315の後のどちらでもよい。
【0169】
上記のように、各登録ユーザunの照合スコアに基づいて各登録ユーザunの尤度比を求め、該尤度比と閾値Cとを比較して判定を行うことによっても、認証に必要な生体情報の入力回数の期待値が最小化される。また、特徴量の分布を用いて尤度比を求める従来の手法では、一般に特徴量の次元数が大きく(例えば、虹彩の場合は2048〜4096次元)、特徴量の分布を推定するためには非常に大規模な学習サンプルが必要になるため、実用化が困難であるという問題がある。それに対して、照合スコアを用いて尤度比を求める場合、照合スコアの次元数は常に1であるため、照合スコアの本人分布及び他人分布を必ず推定することができる。
【0170】
以上説明した本実施形態によれば、v=unである尤度とv≠unである尤度の比を各登録ユーザunについて求め、その尤度比を登録ユーザunの事後確率と非登録ユーザu0の事後確率とに正規化し、事後確率と閾値とを比較して判定を行うため、認証に必要な生体情報の入力回数の期待値が格段に低減(理論的には最小化)される。
【0171】
また、各登録ユーザunの照合スコアを求め、その照合スコアを用いて各登録ユーザunの尤度比を求め、尤度比と閾値とを比較して判定を行う方法でも、認証に必要な生体情報の入力回数の期待値が格段に低減(理論的には最小化)される。
【0172】
さらに、登録ユーザunの事前確率と非登録ユーザu0の事前確率を設定しておき、登録ユーザunだけでなく非登録ユーザu0についても事後確率を算出することにより、認証対象ユーザvが非登録ユーザu0と同一人物であるケース(なりすまし)と、認証対象ユーザが誰なのかを判断できないケース(認証失敗)とを明確に区別することができる。なりすましのユーザを明確に把握できれば、そのような悪意のあるユーザによるなりすましを効率的に排除するための対策(例えば、警告メッセージを提示する措置や、センサの動作を停止する措置など)を講ずることができる。
【産業上の利用可能性】
【0173】
本発明は、1:N認証に基づいて本人確認を行なう任意の生体認証システムに対して適用可能である。例えば、勤怠管理システム、クレジットカード決済を行うための個人認証システム、入退室管理システムへの適用が可能である。
【図面の簡単な説明】
【0174】
【図1】生体認証システムの構成例を示す図である。
【図2】認証クライアント端末及び認証サーバ端末のハードウェア構成を示す図である。
【図3】生体認証システムによる認証処理の手順を示す図である。
【図4】生体認証システムに採用されている認証アルゴリズムの概念を示す図である。
【図5】1:N認証における認証誤り率の概念を示す図である。
【図6】他の生体認証システムの構成を示す図である。
【図7】さらに他の生体認証システムの構成を示す図である。
【図8】さらに他の生体認証システムによる認証処理の手順を示す図である。
【符号の説明】
【0175】
1:生体認証システム、100:認証クライアント端末、101:生体情報入力センサ、102:特徴量抽出部、102a:損失算出部、104:認証要求部、110:認証サーバ端末、111:事前確率設定部、111a:事前確率初期設定部、111b:事前確率・閾値設定部、112:1:N照合部、113:事後確率算出部、114:判定部、115:登録ユーザ枝刈り部、117:記憶部、118:尤度比算出部、120:登録ユーザデータベース、121:ユーザID、122:生体情報登録テンプレート、130:判定履歴情報、140:ネットワーク、200:CPU、201:メモリ、202:HDD、203:入力装置、204:出力装置、205:通信装置。
【特許請求の範囲】
【請求項1】
登録ユーザun(n=1,…,N)ごとに、該登録ユーザunの照合用特徴量データを保持するデータベースと、
認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、
前記登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部と、
前記データベースに保持されている照合用特徴量データ及び前記抽出した認証対象ユーザ特徴量データに基づき、v=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求める尤度比算出部と、
前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求める事後確率算出部と、
前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率が前記登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記最大値を示す事後確率が前記非登録ユーザu0の事後確率であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定する判定部と、
を備えることを特徴とする生体認証システム。
【請求項2】
前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求める1:N照合部をさらに備え、
前記尤度比算出部は、前記求めた照合スコアを用いて前記尤度比を求める、請求項1に記載の生体認証システム。
【請求項3】
前記判定部は、前記事後確率の最大値が前記第1の閾値以下の場合において、前記認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、前記認証対象ユーザvの生体情報の再取得を要求し、前記取得回数が規定値以上であれば「認証失敗」と判定する、請求項1又は2に記載の生体認証システム。
【請求項4】
前記判定部が前記生体情報の再取得を要求する場合に、前記事後確率算出部が求めた事後確率を第2の閾値と比較し、該第2の閾値より小さい事後確率に対応する登録ユーザunを前記認証対象ユーザvとの照合対象から除外する登録ユーザ枝刈り部をさらに備える、請求項3に記載の生体認証システム。
【請求項5】
前記事後確率算出部は、今回の前記生体情報の取得において求めた前記非登録ユーザu0の事後確率を、前記取得の回数が1回であれば前記非登録ユーザu0の事前確率と、2回以上であれば前回の前記生体情報の取得において求めた前記非登録ユーザu0の事後確率と比較し、前記今回の取得において求めた前記非登録ユーザu0の事後確率の方が高い場合は、次回以降の前記生体情報の取得における事後確率算出において、前記今回の取得において抽出した前記特徴量データを使用しない、請求項3又は4に記載の生体認証システム。
【請求項6】
前記データベースは、前記登録ユーザunの各々について、複数のモダリティに属する複数の異なる照合用特徴量データを保持し、
前記生体情報の取得を1回のみ許容する生体情報入力センサをさらに備えた、請求項3乃至5のいずれか1項に記載の生体認証システム。
【請求項7】
前記データベースは、前記登録ユーザunの各々について、同一モダリティに属する複数の異なる照合用特徴量データを保持し、
前記1:N照合部は、今回までの前記生体情報の取得において、最も良い照合スコアが同一の生体情報に対して複数回得られた場合に認証失敗とする、請求項3乃至5のいずれか1項に記載の生体認証システム。
【請求項8】
前記データベースは、前記登録ユーザunの各々について、同一モダリティに属する複数の異なる照合用特徴量データを保持し、
前記1:N照合部は、今回までの前記生体情報の取得において、最も良い照合スコアが同一の生体情報に対して複数回得られた場合、その中で最良の照合スコアを実現した取得以外で得た照合スコアは前記尤度比算出部による尤度比算出時に用いないようにする請求項3乃至5のいずれか1項に記載の生体認証システム。
【請求項9】
前記事前確率設定部は、前記判定部が、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定した場合に、前記非登録ユーザu0の事前確率を上げる、請求項1乃至8のいずれか1項に記載の生体認証システム。
【請求項10】
前記第1の閾値は0.5より大きい値である、請求項1乃至9のいずれか1項に記載の生体認証システム。
【請求項11】
前記判定部は、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定した場合に、なりすまし警告情報を出力する、請求項1乃至10のいずれか1項に記載の生体認証システム。
【請求項12】
認証が行なわれる度に、前記認証対象ユーザvが登録ユーザであるときに、他の登録ユーザとして判定される場合の損失W1、及び前記認証対象ユーザvが非登録ユーザであるときに、ある登録ユーザと判定される場合の損失W0を算出する損失算出部をさらに備え、
前記損失W1及び前記損失W0を用いて、EFRR及びn番目の登録ユーザであると判定したときの損失の期待値Rnがそれぞれ要求値以下となるように、各登録ユーザunの事前確率及び閾値、非登録ユーザu0の事前確率及び閾値を設定する事前確率・閾値設定部をさらに備えた、請求項1乃至11のいずれか1項に記載の生体認証システム。
【請求項13】
登録ユーザun(n=1,…,N)ごとに、該登録ユーザunの照合用特徴量データを保持するデータベースと、
認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、
前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求める1:N照合部と、
前記求めた照合スコアを用いてv=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求める尤度比算出部と、
前記求めた尤度比の各々を第1の閾値と比較し、前記尤度比の最大値が前記第1の閾値より大きい場合は、前記最大値を示す尤度比に対応する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記尤度比の最大値が前記第1の閾値以下の場合は、前記認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、前記認証対象ユーザvの生体情報の再取得を要求し、前記取得回数が規定値以上であれば「認証失敗」と判定する判定部と、
を備えることを特徴とする生体認証システム。
【請求項14】
前記判定部が前記生体情報の再取得を要求する場合に、前記尤度比算出部が求めた尤度比を第2の閾値と比較し、該第2の閾値より小さい尤度比に対応する登録ユーザunを前記認証対象ユーザvとの照合対象から除外する登録ユーザ枝刈り部をさらに備える、請求項13に記載の生体認証システム。
【請求項15】
登録ユーザun(n=1,…,N)ごとに該登録ユーザunの照合用特徴量データを保持するデータベースと、前記登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部とを備えた認証サーバ端末に対し、通信可能に構成された認証クライアント端末であって、
認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、
前記認証サーバ端末に対し、前記抽出した認証対象ユーザ特徴量データを送信し、該認証対象ユーザ特徴量データ及び前記データベースに保持されている照合用特徴量データに基づき、v=unである尤度とv≠unである尤度の比を前記登録ユーザunごとに求め、前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求め、前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率に対応する前記登録ユーザun又は前記非登録ユーザu0の情報を送信することを要求し、該要求に応じて前記認証サーバ端末が送信した情報を取得する認証要求部と、
前記取得した情報が前記登録ユーザunの情報であれば、該登録ユーザunと前記認証対象ユーザvが同一人物であると判定し、前記取得した情報が前記非登録ユーザu0の情報であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定する判定部と、
を備えることを特徴とする認証クライアント端末。
【請求項16】
前記認証要求部は、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求め、前記照合スコアを用いて前記尤度比を求めることを要求することを特徴とする請求項15に記載の認証クライアント端末。
【請求項17】
認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出するステップと、
登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部
と、
前記登録ユーザun(n=1,…,N)ごとに該登録ユーザunの照合用特徴量データを保持するデータベースに保持されている照合用特徴量データ及び前記抽出した認証対象ユーザ特徴量データに基づき、v=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求めるステップと、
前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求めるステップと、
前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率が前記登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記最大値を示す事後確率が前記非登録ユーザu0の事後確率であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定するステップと、
を含むことを特徴とする生体認証方法。
【請求項18】
前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求めるステップをさらに含み、
前記尤度比を求めるステップでは、前記求めた照合スコアを用いて前記尤度比を求めることを特徴とする請求項17に記載の生体認証方法。
【請求項1】
登録ユーザun(n=1,…,N)ごとに、該登録ユーザunの照合用特徴量データを保持するデータベースと、
認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、
前記登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部と、
前記データベースに保持されている照合用特徴量データ及び前記抽出した認証対象ユーザ特徴量データに基づき、v=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求める尤度比算出部と、
前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求める事後確率算出部と、
前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率が前記登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記最大値を示す事後確率が前記非登録ユーザu0の事後確率であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定する判定部と、
を備えることを特徴とする生体認証システム。
【請求項2】
前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求める1:N照合部をさらに備え、
前記尤度比算出部は、前記求めた照合スコアを用いて前記尤度比を求める、請求項1に記載の生体認証システム。
【請求項3】
前記判定部は、前記事後確率の最大値が前記第1の閾値以下の場合において、前記認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、前記認証対象ユーザvの生体情報の再取得を要求し、前記取得回数が規定値以上であれば「認証失敗」と判定する、請求項1又は2に記載の生体認証システム。
【請求項4】
前記判定部が前記生体情報の再取得を要求する場合に、前記事後確率算出部が求めた事後確率を第2の閾値と比較し、該第2の閾値より小さい事後確率に対応する登録ユーザunを前記認証対象ユーザvとの照合対象から除外する登録ユーザ枝刈り部をさらに備える、請求項3に記載の生体認証システム。
【請求項5】
前記事後確率算出部は、今回の前記生体情報の取得において求めた前記非登録ユーザu0の事後確率を、前記取得の回数が1回であれば前記非登録ユーザu0の事前確率と、2回以上であれば前回の前記生体情報の取得において求めた前記非登録ユーザu0の事後確率と比較し、前記今回の取得において求めた前記非登録ユーザu0の事後確率の方が高い場合は、次回以降の前記生体情報の取得における事後確率算出において、前記今回の取得において抽出した前記特徴量データを使用しない、請求項3又は4に記載の生体認証システム。
【請求項6】
前記データベースは、前記登録ユーザunの各々について、複数のモダリティに属する複数の異なる照合用特徴量データを保持し、
前記生体情報の取得を1回のみ許容する生体情報入力センサをさらに備えた、請求項3乃至5のいずれか1項に記載の生体認証システム。
【請求項7】
前記データベースは、前記登録ユーザunの各々について、同一モダリティに属する複数の異なる照合用特徴量データを保持し、
前記1:N照合部は、今回までの前記生体情報の取得において、最も良い照合スコアが同一の生体情報に対して複数回得られた場合に認証失敗とする、請求項3乃至5のいずれか1項に記載の生体認証システム。
【請求項8】
前記データベースは、前記登録ユーザunの各々について、同一モダリティに属する複数の異なる照合用特徴量データを保持し、
前記1:N照合部は、今回までの前記生体情報の取得において、最も良い照合スコアが同一の生体情報に対して複数回得られた場合、その中で最良の照合スコアを実現した取得以外で得た照合スコアは前記尤度比算出部による尤度比算出時に用いないようにする請求項3乃至5のいずれか1項に記載の生体認証システム。
【請求項9】
前記事前確率設定部は、前記判定部が、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定した場合に、前記非登録ユーザu0の事前確率を上げる、請求項1乃至8のいずれか1項に記載の生体認証システム。
【請求項10】
前記第1の閾値は0.5より大きい値である、請求項1乃至9のいずれか1項に記載の生体認証システム。
【請求項11】
前記判定部は、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定した場合に、なりすまし警告情報を出力する、請求項1乃至10のいずれか1項に記載の生体認証システム。
【請求項12】
認証が行なわれる度に、前記認証対象ユーザvが登録ユーザであるときに、他の登録ユーザとして判定される場合の損失W1、及び前記認証対象ユーザvが非登録ユーザであるときに、ある登録ユーザと判定される場合の損失W0を算出する損失算出部をさらに備え、
前記損失W1及び前記損失W0を用いて、EFRR及びn番目の登録ユーザであると判定したときの損失の期待値Rnがそれぞれ要求値以下となるように、各登録ユーザunの事前確率及び閾値、非登録ユーザu0の事前確率及び閾値を設定する事前確率・閾値設定部をさらに備えた、請求項1乃至11のいずれか1項に記載の生体認証システム。
【請求項13】
登録ユーザun(n=1,…,N)ごとに、該登録ユーザunの照合用特徴量データを保持するデータベースと、
認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、
前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求める1:N照合部と、
前記求めた照合スコアを用いてv=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求める尤度比算出部と、
前記求めた尤度比の各々を第1の閾値と比較し、前記尤度比の最大値が前記第1の閾値より大きい場合は、前記最大値を示す尤度比に対応する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記尤度比の最大値が前記第1の閾値以下の場合は、前記認証対象ユーザvからの生体情報の取得回数が規定値未満であれば、前記認証対象ユーザvの生体情報の再取得を要求し、前記取得回数が規定値以上であれば「認証失敗」と判定する判定部と、
を備えることを特徴とする生体認証システム。
【請求項14】
前記判定部が前記生体情報の再取得を要求する場合に、前記尤度比算出部が求めた尤度比を第2の閾値と比較し、該第2の閾値より小さい尤度比に対応する登録ユーザunを前記認証対象ユーザvとの照合対象から除外する登録ユーザ枝刈り部をさらに備える、請求項13に記載の生体認証システム。
【請求項15】
登録ユーザun(n=1,…,N)ごとに該登録ユーザunの照合用特徴量データを保持するデータベースと、前記登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部とを備えた認証サーバ端末に対し、通信可能に構成された認証クライアント端末であって、
認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出する特徴量抽出部と、
前記認証サーバ端末に対し、前記抽出した認証対象ユーザ特徴量データを送信し、該認証対象ユーザ特徴量データ及び前記データベースに保持されている照合用特徴量データに基づき、v=unである尤度とv≠unである尤度の比を前記登録ユーザunごとに求め、前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求め、前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率に対応する前記登録ユーザun又は前記非登録ユーザu0の情報を送信することを要求し、該要求に応じて前記認証サーバ端末が送信した情報を取得する認証要求部と、
前記取得した情報が前記登録ユーザunの情報であれば、該登録ユーザunと前記認証対象ユーザvが同一人物であると判定し、前記取得した情報が前記非登録ユーザu0の情報であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定する判定部と、
を備えることを特徴とする認証クライアント端末。
【請求項16】
前記認証要求部は、前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求め、前記照合スコアを用いて前記尤度比を求めることを要求することを特徴とする請求項15に記載の認証クライアント端末。
【請求項17】
認証対象ユーザvから取得した生体情報に基づき、該認証対象ユーザvの特徴量データを抽出するステップと、
登録ユーザunの事前確率及び非登録ユーザu0の事前確率を設定する事前確率設定部
と、
前記登録ユーザun(n=1,…,N)ごとに該登録ユーザunの照合用特徴量データを保持するデータベースに保持されている照合用特徴量データ及び前記抽出した認証対象ユーザ特徴量データに基づき、v=unである尤度とv≠unである尤度の比を、前記登録ユーザunごとに求めるステップと、
前記求めた尤度比と前記設定した登録ユーザunの事前確率と前記設定した非登録ユーザu0の事前確率とを用いて、前記登録ユーザunの事後確率及び前記非登録ユーザu0の事後確率を求めるステップと、
前記求めた事後確率の各々を第1の閾値と比較し、前記事後確率の最大値が前記第1の閾値より大きい場合において、前記最大値を示す事後確率が前記登録ユーザunのいずれかの事後確率であれば、該当する登録ユーザと前記認証対象ユーザvが同一人物であると判定し、前記最大値を示す事後確率が前記非登録ユーザu0の事後確率であれば、前記認証対象ユーザvが前記登録ユーザun以外のユーザであると判定するステップと、
を含むことを特徴とする生体認証方法。
【請求項18】
前記抽出した認証対象ユーザ特徴量データと前記データベースに保持されている前記照合用特徴量データとの間で1:N照合を行い、前記登録ユーザunの各々について照合スコアを求めるステップをさらに含み、
前記尤度比を求めるステップでは、前記求めた照合スコアを用いて前記尤度比を求めることを特徴とする請求項17に記載の生体認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2009−289253(P2009−289253A)
【公開日】平成21年12月10日(2009.12.10)
【国際特許分類】
【出願番号】特願2008−312411(P2008−312411)
【出願日】平成20年12月8日(2008.12.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年12月10日(2009.12.10)
【国際特許分類】
【出願日】平成20年12月8日(2008.12.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]