説明

生体認証システムにおける、生体情報の登録方法、テンプレートの利用申請の方法、および、認証方法

【課題】生体認証サービスシステムにおいて登録局が匿名IDを付与する場合、ユーザがアプリケーション事業者に対して生体認証の利用申請をする際に、アプリケーション事業者に対して匿名IDと実際のユーザIDの紐付けの正当性を保証する。
【解決手段】生体認証サーバ、アプリケーションサーバ、登録局、クライアントを含む生体認証サービスシステムにおいて、登録局での生体情報登録時にユーザの個人情報のハッシュ値のみを保管させる。アプリケーションサーバに対するテンプレートの利用申請時には、個人情報を再度入力し、そのハッシュを先に登録局に保管していたハッシュと照合し、利用申請しているユーザと登録局で生体情報を登録したユーザが同一であることを確認する。また、ユーザごとに異なる秘密情報を個人情報に追加することで、ユーザごとに一意のデータを作成し、そのハッシュの照合によってユーザを正しく識別する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人の生体情報を用いて本人を認証する生体認証方法およびシステムに関する。
【背景技術】
【0002】
生体情報を用いた個人認証システムは、初期の登録時に個人の生体情報を取得し、特徴量と呼ばれる情報を抽出して登録する。この登録される特徴量をテンプレートという。認証時には、再び個人から生体情報を取得して特徴量を抽出し、先に登録されたテンプレートと照合して本人か否かを確認する。
【0003】
クライアント装置(クライアントという)とサーバ装置(サーバという)がネットワークを介して接続されたシステムにおいて、サーバがクライアント側にいるユーザを生体認証する場合、典型的にはサーバがテンプレートを保持する(以下、生体認証サーバと呼ぶ)。クライアントは認証時にユーザの生体情報を取得し、特徴量を抽出して生体認証サーバへ送信し、生体認証サーバは特徴量をテンプレートと照合して本人か否かを確認する。
【0004】
ここで、テンプレートは個人を特定することのできる情報であるため、個人情報として厳密な管理が必要とされる。よって、テンプレートを保持する生体認証サーバも厳密な管理が必要となり、高いコストを要する。このため、このコストを賄えないアプリケーション事業者は、生体認証サーバを導入できず、生体認証を利用することが困難な場合がある。
【0005】
このような問題に対し、アプリケーション事業者が生体認証の機能を外部委託することで、生体認証の導入を容易にする方法が考えられる。具体的には、生体認証の機能をサービスとして提供する事業者(生体認証サービス事業者と呼ぶ)が生体認証サーバを運用し、アプリケーション事業者は生体認証サービス事業者が運用する生体認証サーバにテンプレートを預けて管理させ、生体認証の処理を代行させる。アプリケーション事業者は生体認証サーバの運用やテンプレートの管理が不要なため、生体認証を低コストで利用することができる。
【0006】
このような方法の例として、特許文献1に記載のシステムがある。特許文献1では、さらに、生体認証サービス事業者は、アプリケーション事業者の保持するエンドユーザに関する個人情報を持たず、テンプレートのみを管理する。個人情報の管理には相応のコストが掛かるが、これを低減するためである。またエンドユーザのIDも個人情報の一種と考えられるため、生体認証サービス事業者はIDを直接に知ることができない構成となっている。具体的には、アプリケーション事業者で使用されているエンドユーザのID(ID1)は、アプリケーションシステムにおいて別のID(ID2)に変換されたのち、生体認証サービス事業者に渡される。生体認証サービス事業者は、ID1を知ること無く、ID2に対応したテンプレートを用いた照合処理によってID2に対する照合結果を返却し、アプリケーション事業者はID2に対応するID1のエンドユーザの本人確認を可能となる。
【0007】
上記方法では、エンドユーザが利用するアプリケーションが複数存在する場合、エンドユーザは生体情報の登録をアプリケーションごとに実施する必要がある。しかし、生体情報の登録は対面での本人確認とともに実施する必要があり、アプリケーションごとの登録では、エンドユーザおよびアプリケーション事業者の双方の負担が増大してしまう問題がある。
【0008】
この問題に対し、特許文献2に記載の方法は、生体情報の登録とテンプレートの発行を行う登録局を設置することで、アプリケーションの数によらず登録が基本的に1回とし、エンドユーザおよびアプリケーション事業者への登録の負荷を低減することが可能である。以下、生体認証サービスの文脈に置き換えて具体的な方法を記載する。まず生体情報の登録時、登録局はエンドユーザの本人確認を実施したのち、生体情報を取得してテンプレートを作成する。生体認証サーバは、ネットワークなどを介して登録局にアクセスし、テンプレートを取得する。またエンドユーザは、生体認証サービスを利用可能とするために、事前にアプリケーション事業者に対しテンプレートに割り当てられたID(テンプレートID)を申請しておく。この際、アプリケーションでの生体情報の登録は不要となる。認証時は、ユーザはアプリケーションに対しテンプレートIDと生体情報を入力することで、生体認証サービス事業者による生体認証を利用できる。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2002-278941号公報
【特許文献2】特許3943897号
【特許文献3】米国特許出願公開第2008/0037833号明細書
【非特許文献】
【0010】
【非特許文献1】N. K. Ratha, J. H. Connell, R. M. Bolle, ‘Enhancing security and privacy in biometric-based authentication systems.’ IBM System Journal 40(3) (2001)
【非特許文献2】N. Miura, A. Nagasaka, T. Miyatake, “Feature extraction of finger-vein patterns based on repeated line tracking and its application to personal identification.” Machine Vision and Applications 15(4) (2004) 194-203
【発明の概要】
【発明が解決しようとする課題】
【0011】
アプリケーション事業者が生体認証サービスを享受する場合、従来は、生体情報の登録作業はアプリケーション事業者に委ねられており、アプリケーション事業者やエンドユーザにおいて登録作業に関する負荷が増大してしまう問題がある。
【0012】
これに対し、登録局を設置することで登録作業を一括し簡略化することが可能であるが、登録局や生体認証サービス事業者における個人情報の管理コストを低減させるためには、テンプレートに対して匿名IDを付与する必要がある。しかし登録局で匿名IDを付与する場合、ユーザがアプリケーション事業者に対して生体認証の利用申請をする際に、アプリケーション事業者が匿名IDと実際のユーザIDの紐付けの正当性を確認できない問題がある。
【課題を解決するための手段】
【0013】
本明細書では、生体認証サービスシステムにおいて登録局が匿名IDを付与する場合、ユーザがアプリケーション事業者に対して生体認証の利用申請をする際に、アプリケーション事業者に対して匿名IDと実際のユーザIDの紐付けの正当性を保証する技術が開示される。
【0014】
一例として、生体認証サーバ、アプリケーションサーバ、登録局サーバ、クライアントを含み、登録局サーバでの生体情報登録時にユーザの個人情報の、ハッシュ値などの特徴値を保管させ、アプリケーションサーバでのテンプレートの利用申請時には個人情報を再度入力し、その特徴値を先に登録局サーバに保管していた特徴値と照合し、テンプレートの利用申請しているユーザと登録局サーバで生体情報を登録したユーザが同一であることを確認する、ことを特徴とする生体認証サービスシステムが開示される。
【0015】
また、上記技術は、ユーザごとに異なる秘密情報を個人情報に追加することで、ユーザごとに一意のデータを作成し、その特徴値の照合によってユーザを正しく識別できる、ことを特徴とする。
【発明の効果】
【0016】
開示によれば、登録局でテンプレートに匿名IDを付与する場合に、アプリケーション事業者に対して匿名IDと実際のユーザIDの紐付けの正当性を保証することができる。
【図面の簡単な説明】
【0017】
【図1】第一の実施形態のシステム構成を例示するブロック図である。
【図2】実施形態における生体認証サーバの機能構成を例示するブロック図である。
【図3】実施形態における登録局サーバの機能構成を例示するブロック図である。
【図4】実施形態におけるクライアントの機能構成を例示するブロック図である。
【図5】実施形態におけるアプリケーションサーバの機能構成を例示するブロック図である。
【図6】実施形態におけるパラメータサーバの機能構成を例示するブロック図である。
【図7】実施形態における生体情報の登録処理を例示する流れ図である。S201からS209までを示す。
【図8】実施形態における生体情報の登録処理を例示する流れ図であり、図7の続きを示す。S210からS213までを示す。
【図9】実施形態におけるアプリケーションでテンプレートの利用申請をする処理を例示する流れ図である。S301からS306までを示す。
【図10】実施形態におけるアプリケーションでテンプレートの利用申請をする処理を例示する流れ図であり、図9の続きを示す。S307からS309までを示す。
【図11】実施形態におけるアプリケーションでテンプレートの利用申請をする処理を例示する流れ図であり、図10の続きを示す。S310からS314までを示す。
【図12】実施形態におけるID変換情報の内容を例示する図である。
【図13】実施形態における認証処理を例示する流れ図である。S501からS506までを示す。
【図14】実施形態における認証処理を例示する流れ図である。S507からS510までを示す。
【図15】実施形態におけるハードウェア構成を例示するブロック図である。
【図16】実施形態における個人情報が複数の項目を持つ場合のハッシュ作成方法を例示する図である。
【発明を実施するための形態】
【0018】
以下、図面を参照して、本発明の実施形態について説明する。
【0019】
本実施形態では、アプリケーション事業者が生体認証の機能を外部委託し、生体認証サービス事業者がアプリケーションに対して生体認証の機能を提供する、生体認証サービスシステムを例にあげて説明する。また、ここでは特に、特徴量を保護する目的で、パラメータを用いて特徴量を変換し、変換した特徴量を登録するキャンセラブル生体認証を適用した場合のシステムについて説明する。
【0020】
図1に、生体認証サービスシステムのシステム構成を示す。
【0021】
本実施例の生体認証サービスシステムは、テンプレートの保管と照合などを行う認証サーバ装置(以下、生体認証サーバという)100と、生体情報登録や匿名IDの割り当てなどを行う登録局サーバ装置(以下、登録局サーバという)110と、生体認証の結果に応じたアプリケーション提供などを行うアプリケーションサーバ装置(以下、アプリケーションサーバという)120と、認証時に照合データ作成などを行うクライアント装置(以下、クライアントという)130と、キャンセラブル生体認証のパラメータを管理するパラメータサーバ装置(以下、パラメータサーバという)140が、インターネットやイントラネットなどのネットワークを介し接続して構成される。
【0022】
図2に、生体認証サーバ100の機能構成を示す。
【0023】
生体認証サーバ100は、登録局サーバ110から発行されたテンプレートを登録する機能を持つ登録部103、登録されたテンプレートを保管するDBであるテンプレートDB101、認証時にテンプレートDB101から読み出したテンプレートとクライアント130から送信されてきた照合データの照合処理を行う照合部102、登録局サーバが生体情報登録時にユーザごとに決定する秘密情報を保管しておくDBである秘密情報DB105、前記秘密情報を管理する機能を持つ秘密情報管理部106、ネットワークとの通信機能を持つ通信部104から構成される。
【0024】
ここで、秘密情報はランダムな値であり、登録局サーバ110が生体情報登録の際にユーザごとに作成する。たとえば、擬似乱数生成器によって生成した乱数を秘密情報とする。秘密情報は個人情報の粒度を補完する機能をもつ。具体的には、次のとおりである。
【0025】
まず本実施形態では、生体情報の登録時に、個人情報とテンプレートをアプリケーションのテンプレートの利用申請時に、個人情報を取得し、取得した個人情報の特徴値を照合することによって、テンプレートの利用申請しているユーザと登録局サーバ110で生体情報登録したユーザが同一であることを確認する。これによって、匿名IDとユーザIDの紐付けの正当性を保証することができる。しかし、個人情報が細かい粒度を持っていない場合、個人情報の特徴値だけを照合に用いても、ユーザ間で重複し、ユーザを正しく識別できない可能性がある。
【0026】
この問題に対し、本実施形態では、ユーザごとに異なる秘密情報を個人情報に追加することで、ユーザごとに一意のデータを作成し、このデータの照合によってユーザを正しく識別することを実現できる。他方、個人情報がユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報は不要となる。したがって、この場合、秘密情報DB105と秘密情報管理部106は不要であるため、省いても良い。
【0027】
また、ここで、個人情報とは、住所、氏名、電話番号、生年月日など一般的に個人情報と考えられている情報から、パスポート、免許証などの公的身分証明書の番号や、銀行口座、クレジットカードなど特定のサービスのアカウント番号などまで含めて考え、広義の個人情報を指すものとする。なお、個人情報として、パスワードを用いても良い。パスワードを登録局サーバ110での生体情報登録時に作成するものとすれば、ユーザは事前に身分証明書などを発行しておく手続きを省くことができ、ユーザの負担を軽減できる。
【0028】
また、ここで匿名IDとは、匿名ID自身からはユーザを特定できないような、たとえば乱数などであり、アプリケーションのユーザアカウントのIDとして実際に使われているIDとは異なる。本実施形態では、登録局サーバ110が匿名IDを作成および発行し、テンプレートのインデックスとする。生体認証サーバ100は匿名IDを用いてテンプレートを管理するため、認証処理が実行されるなどしても匿名IDしか分からず、実際のユーザを特定することはできない。これによって、生体認証サーバ100は個人情報の管理に関する負担を軽減することができる。
【0029】
また、以下の説明においては、特徴値の一例として、暗号学的な一方向性ハッシュ関数を用いて算出するハッシュ値を用いる。
【0030】
図3に、登録局サーバ110の機能構成を示す。
【0031】
登録局サーバ110は、ユーザの生体情報を取得する機能を持つセンサ115、取得した生体情報から特徴量を抽出しテンプレートを作成する機能を持つテンプレート作成部111、ユーザに自身の個人情報を提示あるいは入力させて個人情報をデジタルデータとして作成する機能を持つ個人情報作成部113、作成した個人情報のハッシュを計算する機能を持つハッシュ作成部114、作成した個人情報のハッシュを格納するDBであるハッシュDB116、ハッシュDBに保管されているハッシュを読み出し、アプリケーションサーバ120から送信されてくるハッシュと照合を行う機能を持つハッシュ照合部117、ユーザに付与する匿名のID(以下、匿名ID)を作成する機能を持つ匿名ID作成部112、ネットワークとの通信機能を持つ通信部118、から構成される。ただし、先述のように、個人情報がユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報は不要となる。したがって、この場合、秘密情報作成部113は不要であるため、省いても良い。
【0032】
ここで、生体情報とは、例えば指紋画像や静脈画像、虹彩画像といったデータであり、特徴量とは、例えば指紋や静脈の画像を強調処理して2値化した画像や、あるいは虹彩画像から作成するアイリスコード(虹彩コード)と呼ばれるビット列などを含む。2つの特徴量の間の類似度は、たとえば相互相関により計算されるものなどがある。
【0033】
図4に、クライアント130の機能構成を示す。クライアント130は、ユーザの生体情報を取得する機能を持つセンサ131、取得した生体情報から特徴量を抽出し照合データを作成する機能を持つ照合データ作成部134、ユーザに自身の個人情報を提示あるいは入力させて個人情報をデジタルデータとして作成する機能を持つ個人情報作成部136、ユーザに自身の匿名IDを提示あるいは入力させ匿名IDをデジタルデータとして作成する機能を持つ匿名ID作成部135、アプリケーションのユーザアカウントのID(以下、ユーザID)をユーザに提示あるいは入力させユーザIDをデジタルデータとして作成する機能を持つユーザID作成部132、ネットワークとの通信機能を持つ通信部133、から構成される。
【0034】
図5に、アプリケーションサーバ120の機能構成を示す。アプリケーションサーバ120は、クライアント130から送信されてきた個人情報のハッシュを作成する機能を持つハッシュ作成部124、クライアント130でユーザIDと匿名IDの対応表であるID変換テーブルを作成する機能を持つID変換テーブル作成部122、ID変換テーブルを格納するDBであるID変換テーブルDB121、認証時にID変換テーブルを読み出し、ユーザIDから匿名IDに変換する機能を持つID変換部126、ユーザに対しアプリケーションのサービスを提供する機能を持つアプリケーション提供部123、ネットワークとの通信機能を持つ通信部125、とから構成される。
【0035】
図6に、パラメータサーバ140の機能構成を示す。パラメータサーバ140は、キャンセラブル生体認証の変換処理に用いる鍵に相当するパラメータを作成・管理するサーバで、パラメータを作成する機能を持つパラメータ作成部142、パラメータを保管するDBであるパラメータDB141、パラメータの送信など管理機能を持つパラメータ管理部143、ネットワークとの通信機能を持つ通信部133、から構成される。ただし、ユーザがパラメータを管理する場合、たとえば記録媒体に保持あるいはパスワードとして記憶するなどの場合には、パラメータサーバ140は不要となるため、これを省いてもよい。また、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無いため、パラメータは不要であり、パラメータの作成や管理などを行うパラメータサーバ140を省いてもよい。
【0036】
ここで、キャンセラブル生体認証とは、テンプレートを保護できる効果を持つ生体認証の方法であり、生体情報の登録時に特徴量を一定の関数(一種の暗号化)と秘密のパラメータ(一種の暗号鍵)で変換し、元の情報を秘匿した状態でテンプレートとしてサーバに保管し、認証時にクライアントが新たに抽出した生体情報の特徴量を、同じ関数とパラメータで変換してサーバへ送信し、サーバは受信した特徴量とテンプレートを変換された状態のまま照合する方法である。この方法によれば、変換パラメータを秘密に保持することで、サーバは認証時においても元の特徴量を知ることができず、個人のプライバシが保護される。またテンプレートが漏洩した場合にも、変換パラメータを変更して再度テンプレートを作成、登録することで、安全性を保つことができる。更に異なるシステムに対して同じ生体情報を用いる場合に、各々異なるパラメータで変換したテンプレートを登録することで、一つのテンプレートが漏洩しても他のシステムの安全性が低下することを防止することができる。なお、キャンセラブル生体認証の概念は、たとえば非特許文献1にて述べられている。また、キャンセラブル生体認証の具体的な実現方法としては、たとえば指静脈認証など画像マッチングに基づく生体認証のように、2つの画像の類似度を相互相関により計算できるものの場合、特許文献3に記載の方法が利用できる。
【0037】
本実施形態では、生体認証サービスシステムにキャンセラブル生体認証を適用することで、ユーザは生体情報を生体認証サーバ100に預けるうえでプライバシの観点で安心感を得ることができ、同時に、生体認証サーバ100は生体情報の漏洩リスクを低減することができる。ただし、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要は無い。
【0038】
図15に、本実施形態における、生体認証サーバ100、登録局サーバ110、アプリケーションサーバ120、クライアント130、のハードウェア構成を示す。これらは図のようにCPU600、メモリ601、HDD602、入力装置603、出力装置604、通信装置605とから構成することができる。
【0039】
生体認証サーバ100、登録局サーバ110、アプリケーションサーバ120、クライアント130、パラメータサーバ140の上記機能構成や、以下に説明する各処理は、それぞれのCPU600がメモリ601またはHDD602に格納されたプログラムを実行することにより、具現化される。また、各プログラムは、予めそれぞれのメモリ601、HDD602に格納されていても良いし、必要に応じて、当該装置が利用可能な、着脱可能な記憶媒体や、通信媒体である通信ネットワークまたは通信ネットワーク上を伝搬する搬送波やデジタル信号を介して、他の装置から導入されても良い。
【0040】
次に、図7および図8を用いて、本実施形態における生体情報登録のフローを説明する。
【0041】
個人情報作成部113は、ユーザが提示あるいは入力した個人情報を取得し、デジタルデータとしてメモリ601上に一時保存する(S201)。
【0042】
秘密情報作成部119は、ユーザごとに異なる秘密情報Sを作成する(S202)。ここで、秘密情報Sはランダムな値であり、登録局サーバ110が生体情報登録する際にユーザごとに作成する。たとえば、擬似乱数生成器によって生成した乱数を秘密情報Sとする。なお、秘密情報Sの機能と効果は、先述の本実施形態のシステム構成における生体認証サーバ100の説明に記載されているとおりである。ただし、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要となり、本ステップを省いても良い。
【0043】
ハッシュ作成部114は、S201で作成した個人情報PとS202で作成した秘密情報Sを組み合わせたデータのハッシュ値h(P、S)を作成する(S203)。ここで、個人情報Pと秘密情報Sとを組み合わせる方法はたとえば、単純なビット連結でよい。また、ハッシュ作成の方法には暗号学的な一方向性ハッシュ関数、たとえばSHA-2などを用いることにより、ハッシュ値から個人情報Pや秘密情報Sを推定することは困難なものとする。
【0044】
生体認証サーバ100や登録局サーバ110が、個人情報Pと秘密情報Sの組み合わせのハッシュ値を持ち、個人情報そのものを持たないことにより、アプリケーションサーバ120は、アプリケーションのテンプレートの利用申請時に、個人情報Pのハッシュ値を照合することによって、テンプレートの利用申請しているユーザと登録局サーバ110で生体情報登録したユーザが同一であることを確認できる。
【0045】
これによって、登録局サーバ110は、個人情報そのものを持たずに、アプリケーションサーバ120に対して匿名IDとユーザIDの紐付けの正当性を保証することができる。ただし、S202において述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、本ステップでは、秘密情報Sと組み合わせることなく、個人情報Pの単なるハッシュ値h(P)を作成するとしてもよい。
【0046】
なお、個人情報Pが複数の項目を持っている場合、項目ごとに秘密情報Sと組み合わせてもよい。図16を用いて、項目ごとに組み合わせる例を説明する。個人情報Pの項目としてたとえば、氏名、住所などがある場合、項目ごとにそれぞれ秘密情報Sと組み合わせてハッシュを計算する。秘密情報Sは項目ごとに異なっていても良いし、同じであってもよい。
組み合わせの方法をビット連結とする。氏名がhogehogeの場合、秘密情報Sとの組み合わせのハッシュをh氏名とすると、h氏名=h(hogehoge|S)となる。住所がfooの場合、秘密情報Sとの組み合わせのハッシュをh住所とすると、h住所=h(foo|S)となる。項目ごとのハッシュの一覧をテーブルとする。また、個人情報のうち必要な項目がアプリケーションによって異なるため、ハッシュの照合では、必要な項目のハッシュのみを取り出して項目ごとに照合する。
【0047】
センサ115は、ユーザが提示した生体情報を取得する(S204)。
【0048】
パラメータ作成部142は、登録局サーバ110からの要求に応じて、パラメータRを作成する(S205)。パラメータとは、キャンセラブル生体認証における特徴量の変換に用いるデータである。パラメータRの作成方法であるが、たとえば指静脈画像の場合、特許文献3に記載の方法を用いることができる。具体的には、各要素の値が乱数となるような2次元のランダムフィルタを作成すればよい。乱数は、疑似乱数生成器などを用いて発生させる。作成したパラメータRを登録局サーバ100に送信する。
【0049】
ただし、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無いため、パラメータは不要であり、本ステップを省いてもよい。
【0050】
また、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、本ステップで、パラメータはユーザごとに異ならず、ユーザに共通のデータを用いるとしてもよい。なお、1:Nキャンセラブル照合を適用した場合、認証時にユーザはIDを入力することなく本人確認を行うことができるため、ユーザはIDを記憶あるいは媒体に記録しておく必要が無く、ユーザの利便性を向上させることができる。
【0051】
なお、ユーザがパラメータを管理する場合、たとえば記録媒体に保持あるいはパスワードとして記憶するなどの場合には、パラメータサーバ140は不要となるため、本ステップにおいて、登録局サーバ110がパラメータ作成を行ってもよい。
【0052】
テンプレート作成部111は、まずS204で取得した生体情報から特徴量を抽出し、次に特徴量をS205で得たパラメータを用いて変換し、そしてテンプレートTを作成する(S206)。ここで、特徴量抽出の方法は、たとえば指静脈画像の場合、非特許文献2に記載の方法などを用いることができる。
【0053】
また、パラメータを用いた変換の方法としては、たとえば指静脈認証など画像マッチングに基づく生体認証のように2つの画像の類似度を相互相関により計算できるアルゴリズムの場合、2つの画像に特殊な変換を施して秘匿したまま、それらを元に戻すことなく類似度を計算するアルゴリズム(相関不変ランダムフィルタリング)が知られている(詳細については特許文献3を参照)。この場合、変換処理では、まず画像xを基底変換(数論変換やフーリエ変換など)し(基底変換後のデータをXとする)、つぎにXに対してランダムフィルタを画素ごとに乗算する。以上が代表的な変換処理の例であるが、そのほかの方法を用いてもよい。
【0054】
ただし、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無いため、パラメータを用いた変換は不要であり、本ステップでは、変換を省き、特徴量から直接にテンプレートを作成してもよい。
【0055】
匿名ID作成部112は、ハッシュ値h(P、S)やテンプレートTに割り当てるインデックスとして匿名ID(AIDと言う)を作成する(S207)。匿名ID(AID)はランダムに生成する。暗号学的な擬似乱数生成器などを用いて乱数を生成し、これを用いる。なお、匿名IDの機能と効果は、先述の本実施形態のシステム構成における生体認証サーバ100の説明に記載されているとおりである。
【0056】
登録局サーバ110は、S203にて作成したハッシュ値h(P、S)をハッシュDB116に保存する(S208)。このとき、ハッシュ値h(P、S)は匿名ID(AID)とともに保存し、後でAIDをキーとしてハッシュ値h(P、S)を読み出すことができるようにする。ただし、S202において述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、本ステップでは、個人情報Pの単なるハッシュ値h(P)を保存すればよい。
【0057】
パラメータ管理部143は、S205で作成したパラメータRをパラメータDB141に保存する(S209)。ただし、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無いため、パラメータは不要であり、本ステップを省いてもよい。
【0058】
また、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、本ステップで、パラメータはユーザごとに異ならず、ユーザに共通のデータを用いるとしてもよい。
【0059】
なお、ユーザがパラメータを管理する場合、たとえば記録媒体に保持あるいはパスワードとして記憶するなどの場合には、パラメータサーバ140は不要となるため、本ステップにおいて、パラメータを記録媒体に書き込む、あるいはパスワードとしてユーザに渡すものとしてもよい。
【0060】
登録局サーバ110は、S206にて作成したテンプレートT、S202にて作成した秘密情報S、S207にて作成したAIDを、生体認証サーバ100に対して発行する(S210)。ただし、S202において述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、本ステップでは、秘密情報Sの発行は省くことができる。
【0061】
登録部103は、S210にて登録局サーバ110より取得したテンプレートTをテンプレートDB101に登録する(S211)。このとき、AIDをキーとして検索できるようにテンプレートDB101のテーブルを設定しておく。
【0062】
秘密情報管理部106は、S210にて登録局サーバ110より取得した秘密情報Sを秘密情報DB105に保存する(S212)。このとき、AIDをキーとして検索できるように秘密情報DB105のテーブルを設定しておく。ただし、S202において述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、本ステップは必要無く、省くことができる。
【0063】
登録局サーバ110は、生体認証サーバ100がテンプレートTを登録したことを確認したあと、メモリ601上に保持しておいた個人情報P、テンプレートT、秘密情報Sを削除する(S213)。これにより、生体認証サーバ100や登録局サーバ110が個人情報そのものを持つ必要がなくなる。ただし、S202において述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、本ステップでは、秘密情報Sを削除する処理は省くことができる。
【0064】
次に、図9、図10、および図11を用いて、本実施形態における、アプリケーションのテンプレートの利用申請のフローを説明する。
【0065】
匿名ID作成部135は、ユーザの提示あるいは入力した情報にもとづき、匿名ID(以下、AID)をデジタルデータとして作成し、メモリ601上に一時的に保存する(S301)。匿名IDはランダムに生成する。たとえば擬似乱数生成器により生成した乱数を用いる。なお、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、ユーザは匿名ID(AID)を提示あるいは入力する必要が無いため、本ステップを省いてもよい。また、1:Nキャンセラブル照合を適用した場合の効果は、S205の説明に記載したとおりである。
【0066】
ユーザID作成部132は、ユーザの提示あるいは入力した情報にもとづき、ユーザID(以下、UID)をデジタルデータとして作成し、メモリ601上に一時的に保存する(S302)。
【0067】
個人情報作成部136は、ユーザの提示あるいは入力した情報にもとづき、個人情報P‘をデジタルデータとして作成し、メモリ601上に一時的に保存する(S303)。
【0068】
センサ131は、ユーザの生体情報を取得する(S304)。ただし、S202において述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、キャンセラブル生体認証の処理が必要無くなる。したがって、この場合には、本ステップは省くことができる。
【0069】
パラメータ管理部143は、クライアント130の要求に応じて、匿名ID(AID)をキーとしてパラメータDB141を検索し、該当するパラメータRを読み出し、クライアント130に送信する(S305)。ただし、S304で述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、キャンセラブル生体認証の処理が必要無くなる。したがって、この場合には、本ステップは省くことができる。
【0070】
また、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無く、通常の生体認証を実行すればよいため、パラメータは不要であり、本ステップを省いてもよい。
【0071】
また、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、パラメータをユーザに共通のデータとすることも可能であるため、本ステップで、匿名ID(AID)をキーとしたパラメータDB141の検索を省いてもよい。なお、1:Nキャンセラブル照合を適用した場合の効果は、S205の説明に記載したとおりである。
【0072】
なお、ユーザがパラメータを管理する場合、たとえば記録媒体に保持あるいはパスワードとして記憶するなどの場合には、パラメータサーバ140は不要となるため、本ステップにおいて、クライアント130でユーザが記録媒体を提示あるいはパスワード入力をするものとしてもよい。
【0073】
照合データ作成部134は、まずS304で取得した生体情報から特徴量を抽出し、次に特徴量をS305で得たパラメータRを用いて変換し、そして照合データVを作成する(S306)。作成した照合データVを生体認証サーバ100に送信する。ここで、特徴量抽出の方法は、たとえば指静脈画像の場合、非特許文献2に記載の方法などを用いることができる。また、パラメータを用いた変換の方法としては、たとえば指静脈認証の場合、特許文献3に記載の方法などを用いることができる。
【0074】
ただし、S304で述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、キャンセラブル生体認証の処理が必要無くなる。したがって、この場合には、本ステップは省くことができる。また、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無く、通常の生体認証を実行すればよいため、本ステップでは、パラメータを用いた変換は不要であり、特徴量から直接に照合データVを作成するとしてもよい。
【0075】
生体認証サーバ100は、クライアント130から送信された照合データVを受信し、匿名ID(AID)をキーとしてテンプレートDB101を検索し、該当するテンプレートTを読み出し、テンプレートTと照合データVと照合する(S307)。キャンセラブル生体認証における照合の方法は、たとえば指静脈認証などの場合、特許文献3に記載の方法が利用できる。ただし、S304で述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、キャンセラブル生体認証の処理が必要無くなる。したがって、この場合には、本ステップは省くことができる。また、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無く、通常の生体認証を実行すればよいため、本ステップでは、上述のようなキャンセラブル生体認証に特有の照合方法ではなく、通常の生体認証の照合方法を用いるとしてもよい。指静脈認証の場合にはたとえば、非特許文献2などの方法がある。また、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、逐次的な照合を繰り返す方法などにより、テンプレートDB101の全体に対して照合を実行することができるため、本ステップで、匿名ID(AID)をキーとしたテンプレートDB101の検索は省いてもよい。なお、1:Nキャンセラブル照合を適用した場合の効果は、S205の説明に記載したとおりである。また、1:Nキャンセラブル照合を適用した場合には、照合結果は匿名ID(AID)となる。
【0076】
照合結果がOKの場合(照合に成功した場合)、秘密情報管理部106は、匿名ID(AID)をキーとして秘密情報DB105を検索し、該当する秘密情報Sを読み出し、これをアプリケーションサーバ120に送信する(S308)。ただし、S304で述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、本ステップは省くことができる。また、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、照合結果が匿名ID(AID)となるため、本ステップで、これをキーとして秘密情報DB105を検索するとしてもよい。なお、1:Nキャンセラブル照合を適用した場合の効果は、S205の説明に記載したとおりである。
【0077】
照合結果がNGの場合(照合に失敗した場合)、生体認証サーバ100は、エラーをアプリケーションサーバ120に送信し、終了する(S309)。ただし、S304で述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、本ステップは省くことができる。
【0078】
ハッシュ作成部124は、クライアント130から受信した個人情報P‘と生体認証サーバ100から受信した秘密情報Sを組み合わせたデータのハッシュ値h(P’、S)を作成する(S310)。ここで、個人情報P‘と秘密情報Sとを組み合わせる方法はたとえば、単純なビット連結でよい。また、ハッシュ作成の方法は、S203の説明に記載したとおりである。ただし、S304において述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、本ステップでは、秘密情報Sとの組み合わせではなく、個人情報P’の単なるハッシュ値h(P‘)を作成すればよい。
【0079】
なお、個人情報Pが複数の項目を持っている場合、項目ごとに秘密情報Sと組み合わせてもよい。詳細はS203の説明に述べたとおりである。
【0080】
ハッシュ照合部117は、アプリケーションサーバ120から受信した匿名ID(AID)をキーとしてハッシュDB116を検索し、該当するハッシュ値h(P、S)を読み出し、アプリケーションサーバ120から受信した個人情報P‘のハッシュ値h(P’、S)とハッシュ値h(P、S)とを照合する(S311)。ただし、S304において述べたとおり、個人情報Pがユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報Sは不要であるため、本ステップでは、秘密情報Sとの組み合わせではなく、個人情報PとP’の単なるハッシュ値h(P)とh(P‘)を照合すればよい。
【0081】
なお、個人情報Pが複数の項目を持っている場合、項目ごとにハッシュを照合しても良い。詳細はS203に述べたとおり。
【0082】
ハッシュ値の照合結果がNGの場合、ID変換部126は、クライアント130に対してエラーを送信して終了する(S312)。
【0083】
ハッシュ値の照合結果がOKの場合、ID変換部126は、ID変換情報を作成し、作成したID変換情報をID変換DB121に保存する(S313)。ここで、ID変換情報とはユーザID(UID)と匿名ID(AID)の対応表であり、アプリケーションサーバ120がUIDからAIDへ変換する(あるいはAIDからUIDに変換する)際に参照するテーブルである。図12を用いて、ID変換情報の例をしめす。ここではユーザIDの例としてメールアドレスを使用しており、匿名IDは登録局サーバ110にてS205のステップでテンプレートに割り当てられた乱数である。本テーブルを参照することで、匿名IDとユーザIDを相互に変換可能となる。
【0084】
なお、IDの変換方法の別の例として、暗号化関数を用いる方法としてもよい。暗号化関数としてはたとえば、AESなどの標準的な共通鍵暗号アルゴリズムを用いる。暗号化関数をEnc(・)、復号化関数をDec(・)、鍵をKとしたばあい、匿名ID=Enc(ユーザID、K)、ユーザID=Dec(匿名ID、K)とする。暗号化関数の性質から、生成される匿名IDは乱数となるため、匿名IDの満たすべき要件を満たす。この場合には、ID変換情報として鍵KをID変換DB121に保存すればよい。
【0085】
ユーザ管理部127は、ユーザの個人情報P‘にもとづき、ユーザ管理情報を作成し、作成したユーザ管理情報をユーザ管理DB128に保存する(S314)。ここで、ユーザ管理情報とはアプリケーションサーバ120がユーザを管理するために用いる情報であり、氏名などの個人情報やアプリケーション利用履歴などを含む。
【0086】
次に、図13および図14を用いて、本実施形態における認証時のフローを説明する。
【0087】
ユーザID作成部132は、ユーザの提示あるいは入力した情報にもとづき、ユーザID(以下、UID)をデジタルデータとして作成し、メモリ601上に一時的に保存する(S501)。ただし、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、ユーザIDの提示あるいは入力が不要であるため、本ステップを省いてもよい。なお、1:Nキャンセラブル照合を適用した場合の効果は、S205の説明に記載したとおりである。
【0088】
センサ131は、ユーザから生体情報を取得する(S502)。
【0089】
クライアント130は、ユーザIDとともに認証要求をアプリケーションサーバ120に送信する(S503)。ただし、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、ユーザIDの提示あるいは入力が不要であるため、本ステップで、ユーザIDのアプリケーションサーバ120への送信を省いてもよい。
【0090】
ID変換部126は、ID変換DB121からID変換情報を読み出し、ユーザID(UID)を匿名ID(AID)に変換する(S504)。ただし、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、ユーザIDの提示あるいは入力が不要であり、IDの変換も不要となることから、本ステップを省いてもよい。
【0091】
アプリケーションサーバ120は、パラメータを要求する通知を匿名ID(AID)とともにパラメータサーバ140に送信する(S505)。ただし、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無く、通常の生体認証を実行すればよいため、パラメータの要求は不要となり、本ステップを省いてもよい。
【0092】
また、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、パラメータはユーザごとに異ならずユーザに共通のデータを用いても良いため、本ステップで、匿名ID(AID)のパラメータサーバ140への送信を省いてもよい。
【0093】
なお、ユーザがパラメータを管理する場合、たとえば記録媒体に保持あるいはパスワードとして記憶するなどの場合には、パラメータサーバ140は不要となるため、本ステップを省いてもよい。
【0094】
パラメータ管理部143は、アプリケーションサーバ120の要求に応じて、匿名ID(AID)をキーとしてパラメータDB141を検索し、該当するパラメータRを読み出し、クライアント130に送信する(S506)。ただし、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無く、通常の生体認証を実行すればよいため、パラメータは不要であることから、本ステップを省いてもよい。
【0095】
また、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、パラメータはユーザごとに異ならずユーザに共通のデータを用いても良いため、本ステップにおける、匿名ID(AID)をキーとしたパラメータDB141の検索を省いてもよい。
【0096】
なお、ユーザがパラメータを管理する場合、たとえば記録媒体に保持あるいはパスワードとして記憶するなどの場合には、パラメータサーバ140は不要となるため、本ステップにおいて、ユーザの記録媒体からパラメータを読み込む、あるいは入力されたパスワードからパラメータを生成するなどとしてもよい。
【0097】
照合データ作成部134は、まずS502で取得した生体情報から特徴量を抽出し、次に特徴量をS506で得たパラメータRを用いて変換し、そして照合データVを作成する(S507)。作成した照合データVをアプリケーションサーバ120に送信する。ここで、特徴量抽出の方法は、たとえば指静脈画像の場合、非特許文献2に記載の方法などを用いることができる。また、パラメータを用いた変換の方法としては、たとえば指静脈認証の場合、特許文献3に記載の方法などを用いることができる。ただし、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無く、通常の生体認証を実行すればよいため、本ステップでは、パラメータを用いた変換は不要であり、特徴量から直接に照合データVを作成するとしてもよい。
【0098】
アプリケーションサーバ120は、クライアント130から受信した照合データVを、S504で得た匿名ID(AID)とともに、生体認証サーバ100に転送する(S508)。ただし、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、ユーザIDの提示あるいは入力が不要であるため、本ステップにおける、匿名IDの生体認証サーバ100への送信を省いてもよい。
【0099】
照合部102は、匿名ID(AID)をキーとしてテンプレートDB101を検索し、該当するテンプレートTを読み出し、S508で受信した照合データVと照合する(S509)。キャンセラブル生体認証における照合の方法は、たとえば指静脈認証などでは、特許文献3に記載の方法が利用できる。ただし、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要が無く、通常の生体認証を実行すればよいため、本ステップでは、上述のようなキャンセラブル生体認証に特有の照合方法ではなく、通常の生体認証の照合方法を用いるとしてもよい。指静脈認証の場合たとえば、非特許文献2の方法が利用できる。また、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、たとえば逐次的な照合を繰り返す方法などにより、テンプレートDB101の全体に対して照合を実行することができるため、本ステップにおける、匿名ID(AID)をキーとしたテンプレートDB101の検索は省いてもよい。なお、1:Nキャンセラブル照合を適用した場合の効果は、S205の説明に記載したとおりである。また、1:Nキャンセラブル照合を適用した場合には、照合結果は匿名ID(AID)となる。
【0100】
アプリケーション提供部123は、生体認証サーバ100から照合結果を受信し、照合結果がOKならば、アプリケーションをクライアント130に対して提供する(S510)。ただし、本実施例は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができ、その場合には、照合結果が匿名ID(AID)となるため、本ステップで、アプリケーション提供部123は、ID変換部126が匿名ID(AID)を変換した結果のユーザID(UID)に基づきユーザを特定し、アプリケーションを提供するとしてもよい。
【0101】
照合結果がNGの場合、クライアント130に対してエラーを送信して終了する(S511)。
【0102】
上記、本実施形態によれば、登録局サーバ110は、個人情報そのものを持たずに、アプリケーションサーバ120に対して匿名IDとユーザIDの紐付けの正当性を保証することができる。これは、登録局サーバ110に個人情報Pのハッシュ値のみを保管させ、その照合で、テンプレートの利用申請しているユーザと登録局サーバ110で生体情報登録したユーザが同一であることを確認することによって実現できる。このとき、登録局サーバ110は、個人情報を持たないため、個人情報管理に関する負担を軽減できる。
【0103】
また、ユーザは、生体認証サーバ100に対しては匿名IDしか開示せず、アプリケーションにおけるユーザIDは秘匿したまま、認証を受けることができる。これは、アプリケーションサーバ120においてユーザIDから匿名IDへ変換し、生体認証サーバ100におけるテンプレートの管理を匿名IDでのみ行うことによって実現できる。これにより、生体認証サーバ100は、個人情報を持たないため、個人情報管理に関する負担を軽減できる。
【0104】
また、生体認証サービスシステムにキャンセラブル生体認証を適用することで、ユーザは生体情報を生体認証サーバ100に預けるうえでプライバシの観点で安心感を得ることができ、同時に、生体認証サーバ100は生体情報の漏洩リスクを低減することができる。ただし、テンプレートの漏洩リスクが低いと想定できる場合には、キャンセラブル生体認証を適用する必要は無い。
【0105】
また、個人情報のハッシュ値の照合において、ユーザごとに異なる秘密情報を個人情報に追加することで、ユーザごとに一意のデータを作成し、そのハッシュ値の照合によってユーザを正しく識別できる。個人情報Pが細かい粒度を持っていない場合、ユーザ間でハッシュ値が重複する可能性があるため、ユーザを正しく識別できない問題を解決する。
【0106】
なお、個人情報がユーザを識別できるほど十分に高い粒度を持っている場合には、秘密情報は不要となる。
【0107】
また、本実施形態は1:1キャンセラブル照合の適用例であるが、そのほかの例として1:Nキャンセラブル照合を適用することができる。その場合には、ユーザIDの提示あるいは入力が不要である。なお、1:Nキャンセラブル照合を適用した場合、ユーザIDを入力することなく本人確認を行うことができるため、ユーザはユーザIDを記憶あるいは媒体に記録しておく必要が無く、ユーザの利便性を向上させることができる。
【符号の説明】
【0108】
100:生体認証サーバ、101:テンプレートDB、102:照合部、103:登録部、104:通信部、105:秘密情報DB、106:秘密情報管理部、110:登録局サーバ、111:テンプレート作成部、112:匿名ID作成部、113:個人情報作成部、114:ハッシュ作成部、115:センサ、116:ハッシュDB、117:ハッシュ照合部、118:通信部、119:秘密情報作成部、120:アプリケーションサーバ、121:ID変換DB、123:アプリケーション提供部、124:ハッシュ作成部、125:通信部、126:ID変換部、127:ユーザ管理部、128:ユーザ管理DB、130:クライアント、131:センサ、132:ユーザID作成部、133:通信部、134:照合データ作成部、135:匿名ID作成部、136:個人情報作成部、140:パラメータサーバ、141:パラメータDB、142:パラメータ作成部、143:パラメータ管理部、144:通信部、600:CPU、601:メモリ、602:HDD、603:入力装置、604:出力装置、605:通信装置。

【特許請求の範囲】
【請求項1】
登録局サーバ装置と生体認証サーバ装置とを含む生体認証システムにおける、生体情報の登録方法において、
前記登録局サーバ装置における、
個人を特定するための個人情報をユーザから取得するステップと、
前記個人情報の特徴値を作成するステップと、
前記ユーザの生体情報を取得するステップと、
前記ユーザから取得した生体情報からテンプレートを作成するステップと、
前記個人の識別子となる匿名IDを作成するステップと、
特徴値データベースに、前記匿名IDをキーとして、前記個人情報の特徴値を保存するステップと、
前記匿名IDと前記テンプレートを前記生体認証サーバ装置に送信するステップと、
前記生体認証サーバ装置における、
前記匿名IDをキーとして、テンプレートデータベースに、前記テンプレートを登録するステップと、
前記登録局サーバ装置における、
取得した前記個人情報と作成した前記テンプレートとを削除するステップと、を含む
ことを特徴とする生体情報の登録方法。
【請求項2】
請求項1に記載の生体情報の登録方法において、
前記個人情報として、前記登録局サーバ装置にて生成したパスワードを用いる
ことを特徴とする生体情報の登録方法。
【請求項3】
請求項1または2に記載の生体情報の登録方法において、
前記個人情報の特徴値を作成するステップの前に、
前記登録局サーバ装置における、
前記個人情報の特徴値がユーザ間で一意となるように、前記個人情報の特徴値を作成する際に前記ユーザごとに異なる秘密情報を作成するステップを含み、
前記特徴値を作成するステップは、
前記個人情報と前記秘密情報を組み合わせたデータの特徴値を作成するステップを含み、
前記テンプレートを発行するステップは、
前記秘密情報を発行するステップを含み、
前記生体認証サーバ装置における、
秘密情報データベースに前記秘密情報を登録するステップを含む
ことを特徴とする生体情報の登録方法。
【請求項4】
請求項3に記載の生体情報の登録方法において、
前記個人情報の特徴値を作成するステップは、
前記個人情報と前記秘密情報とをビット連結して組み合わせて、ハッシュ関数に入力して、前記特徴値を作成するステップを含む
ことを特徴とする生体情報の登録方法。
【請求項5】
請求項3に記載の生体情報の登録方法において、
前記個人情報の特徴値を作成するステップは、
前記個人情報に複数の項目が存在する場合に、項目ごとに秘密情報と組み合わせてハッシュ関数に入力して、前記特徴値を作成するステップを含む
ことを特徴とする生体情報の登録方法。
【請求項6】
請求項1に記載の生体情報の登録方法において、
前記テンプレートを作成するステップは、
前記生体情報から特徴量を抽出するステップと、
前記特徴量を変換するために取得したパラメータを用いて、抽出した前記特徴量を変換し、前記テンプレートを作成するステップと、を含む
ことを特徴とする生体情報の登録方法。
【請求項7】
請求項6に記載の生体情報の登録方法において、
前記パラメータを登録局サーバ装置が作成し、記録媒体に格納して前記ユーザに配付するステップを含む
ことを特徴とする生体情報の登録方法。
【請求項8】
クライアント装置とアプリケーションサーバ装置と登録局サーバ装置とを含む生体認証システムにおける、個人を認証するためのテンプレートの利用申請の方法において、
前記クライアント装置における、
前記個人の識別子となる匿名IDをユーザから取得するステップと、
アプリケーションを利用するためのアカウントのユーザIDを作成するステップと、
前記個人を特定するための個人情報を前記ユーザから取得するステップと、
前記匿名IDと、前記ユーザIDと、前記個人情報とを前記アプリケーションサーバ装置に送信するステップと、
前記アプリケーションサーバ装置における、
前記個人情報の特徴値を作成するステップと、
前記匿名IDと前記個人情報の特徴値を、前記登録局サーバ装置に送信するステップと、
前記登録局サーバ装置における、
特徴値データベースに登録されている個人情報の特徴値と、前記アプリケーションサーバ装置から受信した前記個人情報の特徴値を照合するステップと、
前記照合結果を、前記アプリケーションサーバ装置に送信するステップと、
前記アプリケーションサーバ装置における、
前記照合に成功した場合に、前記ユーザIDを前記匿名IDに変換するためのID変換情報を作成するステップと、
ID変換データベースに前記ID変換情報を登録するステップと、
前記ユーザを管理するための情報を作成し保存するステップと、を含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項9】
請求項8に記載のテンプレートの利用申請の方法において、
前記ID変換情報を作成するステップは、
前記ID変換情報として、前記匿名IDと前記ユーザIDとを対応づけたテーブルを作成するステップを含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項10】
請求項8に記載のテンプレートの利用申請の方法において、
前記ID変換情報を作成するステップは、
前記ID変換情報を共通鍵暗号の暗号鍵とし、前記共通鍵暗号を用いて前記匿名IDを暗号化したデータを前記ユーザIDとするステップを含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項11】
請求項8から10のいずれか一に記載のテンプレートの利用申請の方法において、
前記個人情報の特徴値を作成するステップは、
前記個人情報として、前記登録局サーバ装置にて生成したパスワードを用いるステップを含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項12】
請求項8から11のいずれか一に記載のテンプレートの利用申請の方法において、
前記生体認証システムは、テンプレートデータベースと、秘密情報データベースと、を備える生体認証サーバ装置を備え、
前記匿名IDと、前記ユーザIDと、前記個人情報とを前記アプリケーションサーバ装置に送信するステップの前に実行する、
前記クライアント装置における、
前記ユーザの生体情報を取得するステップと、
前記ユーザから取得した生体情報から、照合データを作成するステップと、
前記匿名IDと前記照合データを生体認証サーバ装置に送信するステップと、
前記生体認証サーバ装置における、
前記匿名IDをキーとして前記テンプレートデータベースから読み出したテンプレートと前記照合データとを照合するステップと、
前記照合に成功した場合に、前記匿名IDをキーとして前記秘密情報データベースから読み出した秘密情報を、前記アプリケーションサーバ装置に送信するステップと、を含み
前記アプリケーションサーバ装置における前記個人情報の特徴値を作成するステップは、
前記個人情報と前記秘密情報を組み合わせたデータの特徴値を作成するステップを含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項13】
請求項8から12のいずれか一に記載のテンプレートの利用申請の方法において、
前記個人情報の特徴値を作成するステップは、
前記個人情報と前記秘密情報とをビット連結して組み合わせて、ハッシュ関数に入力して前記特徴値を作成するステップを含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項14】
請求項8から12のいずれか一に記載のテンプレートの利用申請の方法において、
前記個人情報の特徴値を作成するステップは、
前記個人情報に複数の項目が存在する場合に、項目ごとに秘密情報と組み合わせてハッシュ関数に入力して、前記特徴値を作成するステップを含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項15】
請求項12に記載のテンプレートの利用申請の方法において、
前記照合データを作成するステップは、
前記生体情報から特徴量を抽出するステップと、
前記特徴量を変換するために取得したパラメータを用いて、抽出した前記特徴量を変換し、前記照合データを作成するステップを含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項16】
請求項15に記載のテンプレートの利用申請の方法において、
前記照合データを作成するステップは、
前記パラメータを、前記ユーザに配付された記録媒体から読み出し、取得するステップを含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項17】
請求項8から16のいずれか一に記載のテンプレートの利用申請の方法において、
前記クライアント装置における、
前記匿名IDを前記ユーザから取得するステップの代わりに、
前記ユーザの生体情報を取得し、取得した前記生体情報から特徴量を抽出し、抽出した前記特徴量に基づき照合データを作成するステップと、
前記照合データを、前記生体認証サーバ装置に送信するステップと、を含み、
前記生体認証サーバ装置における、
前記匿名IDをキーとして、前記テンプレートデータベースから、前記照合データと最も類似したテンプレートのキーとなる前記匿名IDを検索するステップと、
検索した前記匿名IDをキーとして前記秘密情報データベースから読み出した秘密情報を、前記アプリケーションサーバ装置に送信するステップと、を含む
ことを特徴とするテンプレートの利用申請の方法。
【請求項18】
クライアント装置と、アプリケーションサーバ装置と、テンプレートデータベースを備える生体認証サーバ装置と、を含む生体認証システムにおける認証方法において、
前記クライアント装置における、
ユーザからユーザIDを取得するステップと、
前記ユーザから生体情報を取得するステップと、
前記ユーザIDと認証要求とを前記アプリケーションサーバ装置に送信するステップと、
前記アプリケーションサーバ装置における、
前記ユーザIDを前記匿名IDに変換するためのID変換情報を用いて、前記ユーザIDを前記匿名IDに変換するステップと、
前記クライアント装置における、
前記生体情報から照合データを作成するステップと、
前記照合データをアプリケーションサーバ装置に送信するステップと、
前記アプリケーションサーバ装置における、
前記匿名IDと前記照合データを生体認証サーバ装置に送信するステップと、
前記生体認証サーバ装置における、
前記匿名IDをキーとして前記テンプレートデータベースから読み出したテンプレートと前記照合データとを照合するステップと、
前記アプリケーションサーバ装置における、
前記照合に成功した場合に、前記ユーザに対してアプリケーションの提供を行うステップと、を含む
ことを特徴とする認証方法。
【請求項19】
請求項18に記載の認証方法において、
前記アプリケーションサーバ装置における、
前記ID変換情報として、前記匿名IDと前記ユーザIDとを対応づけたテーブルを作成するステップを含む
ことを特徴とする認証方法。
【請求項20】
請求項18に記載の認証方法において、
前記アプリケーションサーバ装置における、
前記ID変換情報を共通鍵暗号の暗号鍵とし、前記共通鍵暗号を用いて前記匿名IDを暗号化したデータを前記ユーザIDとするステップを含む
ことを特徴とする認証方法。
【請求項21】
請求項18から20のいずれか一に記載の認証方法において、
前記生体認証システムは、パラメータサーバ装置を含み、
前記クライアント装置における前記照合データを作成するステップは、
前記生体情報から特徴量を抽出するステップと、
前記特徴量を変換するために前記パラメータサーバ装置から取得したパラメータを用いて、抽出した前記特徴量を変換し、前記照合データを作成するステップと、を含む
ことを特徴とする認証方法。
【請求項22】
請求項18に記載の認証の方法において、
前記クライアント装置における、
前記ユーザIDを前記ユーザから取得するステップの代わりとなる、
前記ユーザの生体情報を取得し、取得した前記生体情報から特徴量を抽出し、抽出した前記特徴量に基づき照合データを作成するステップと、
前記照合データを、前記生体認証サーバ装置に送信するステップと、
前記生体認証サーバ装置における、
前記匿名IDをキーとして、テンプレートが登録されているテンプレートデータベースから、前記照合データと最も類似したテンプレートのキーとなる前記匿名IDを検索するステップと、
検索した前記匿名IDをキーとして前記秘密情報データベースから読み出した秘密情報を、前記アプリケーションサーバ装置に送信するステップと、
前記アプリケーションサーバ装置における、
検索した前記匿名IDを前記ID変換情報を用いて前記ユーザIDに変換し、前記ユーザIDに該当するユーザに対してアプリケーションを提供するステップと、を含む
ことを特徴とする認証方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate

【図16】
image rotate


【公開番号】特開2012−3648(P2012−3648A)
【公開日】平成24年1月5日(2012.1.5)
【国際特許分類】
【出願番号】特願2010−140106(P2010−140106)
【出願日】平成22年6月21日(2010.6.21)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】