生体認証システム
【課題】ユーザのプライバシ侵害の発生を防止するためには、情報漏洩を防止する必要があるデータの数に依存してコストがかかるが、コストを抑えつつユーザのプライバシが侵害されることを回避し容易に生体認証システムへ組み込むことを可能にする。
【解決手段】クライアント端末40は、ユーザの生体情報を取得し、アプリケーションサーバ21は、生体認証サーバ10にユーザの認証を要求し、生体認証サーバ10によって認証されたユーザの外部IDを取得し、外部IDに対応するユーザ情報を取得し、ユーザ情報に基づいてアプリケーションを提供し、生体認証サーバ10は、生体認証装置内で管理される内部IDと、アプリケーションサーバ21内で管理される外部IDとを、保管された鍵を用いて対応づけ、鍵を保管する耐タンパと、予め登録された生体情報と取得された生体情報とを照合し、ユーザの認証を行い、認証の結果を応答する生体認証システム。
【解決手段】クライアント端末40は、ユーザの生体情報を取得し、アプリケーションサーバ21は、生体認証サーバ10にユーザの認証を要求し、生体認証サーバ10によって認証されたユーザの外部IDを取得し、外部IDに対応するユーザ情報を取得し、ユーザ情報に基づいてアプリケーションを提供し、生体認証サーバ10は、生体認証装置内で管理される内部IDと、アプリケーションサーバ21内で管理される外部IDとを、保管された鍵を用いて対応づけ、鍵を保管する耐タンパと、予め登録された生体情報と取得された生体情報とを照合し、ユーザの認証を行い、認証の結果を応答する生体認証システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、生体認証システムにおける生体情報の管理方法に関する。
【背景技術】
【0002】
生体認証システムは、ユーザがアプリケーションを利用するための認証をうけるシステムであり、一般的に3つの装置を含む。3つの装置とは、ユーザからの生体情報入力を受け付けるクライアント端末と、入力された生体情報と予め登録された生体情報を照合し、ユーザの認証をおこなう生体認証装置と、認証が成功し、かつ予め登録されたユーザのユーザ情報に基づいて利用が許可されたユーザにアプリケーションを提供するアプリケーションシステムとである。
【0003】
従来、生体認証システムでは、複数あるアプリケーションシステムの生体認証を、生体認証装置で一括して請け負っている。生体認証装置とアプリケーションシステムが連携する場合、生体認証装置によって管理されるIDと複数のアプリケーションサーバによって管理されるIDとを対応付けるデータベースを管理する必要がある。
【0004】
特許文献1に記載の生体認証システムは、クライアント端末と生体認証装置とアプリケーションシステムとの他にID変換装置を備える。クライアント端末はユーザの生体情報取得手段を備え、アプリケーションシステムにはID1とユーザ情報の対と、ID変換装置にはID1とID2の対と、生体認証装置にはID2と予め登録された生体情報との対が保管されている。ID変換装置を備えたことにより、アプリケーションシステムで管理されるIDを生体認証装置で関連付ける必要がなくなり、容易にシステムに生体認証装置を組み込むことが可能となる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−278941号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1に記載の技術では、アプリケーションシステムに保管されているID1とユーザ情報の対と、ID変換装置に保管されているID1とID2の対と、生体認証装置に保管されているID2と生体情報との対のデータベースが漏れた場合、第三者はユーザ情報と生体情報との関連付けが可能になる。そこで、ユーザのプライバシ侵害の発生を防止するため、データベースのセキュリティレベルを上げて情報漏洩を防止する必要がある。
【0007】
しかしながら、データベースのセキュリティレベルを上げようとすると、情報漏洩を防止する必要があるデータの数に依存してコストがかかるため、生体認証装置で多数のユーザを扱う場合データ量が多く大幅なコストがかかる。そのため、セキュリティレベルを上げにくいという問題が発生する。
【課題を解決するための手段】
【0008】
上記課題を解決するため、本発明の一態様は以下の構成を備える。即ち、本発明の生体認証システムは、クライアント端末と、アプリケーションサーバと、生体認証サーバとを備え、クライアント端末は、ユーザの生体情報を取得する生体情報取得手段を備え、アプリケーションサーバは、生体認証サーバにユーザの認証を要求する手段と、生体認証サーバによって認証されたユーザの外部IDを取得する手段と、外部IDに対応するユーザ情報を取得する手段と、ユーザ情報に基づいてアプリケーションを提供する手段を備え、生体認証サーバは、生体認証サーバ内で管理される内部IDと、アプリケーションサーバ内で管理される外部IDとを、保管された鍵を用いて対応づける変換手段と、鍵を保管する耐タンパ記憶手段と、予め登録された生体情報とクライアント端末によって取得された生体情報とを照合し、ユーザの認証を行い、認証の結果を応答する手段と、を備えることを特徴とする。
【発明の効果】
【0009】
本発明によれば、コストを抑えつつ、ユーザのプライバシが侵害されることを回避し、容易に生体認証システムへ組み込むことが可能になる。
【図面の簡単な説明】
【0010】
【図1】各実施例に係る生体認証適用アプリケーションシステムの一例を示すシステム構成図である。
【図2】図1における登録用生体情報111の一例を示す図である。
【図3】図1における認証履歴112の一例を示す図である。
【図4】図1における鍵113の一例を示す図である。
【図5】図1におけるユーザ情報205の一例を示す図である。
【図6】各実施例に係る登録用生体情報バックアップシステムの一例を示すシステム構成図である。
【図7】図6における登録用生体情報バックアップ711の一例を示す図である。
【図8】各実施例のユーザ登録処理手順の一例を示すシーケンス図である。
【図9】実施例1の認証処理手順の一例を示すシーケンス図である。
【図10】実施例2の識別処理手順の一例を示すシーケンス図である。
【図11】各実施例のユーザ削除処理手順の一例を示すシーケンス図である。
【図12】各実施例の内部ID&鍵更新処理手順の一例を示すシーケンス図である。
【図13】各実施例の登録用生体情報バックアップ処理手順の一例を示すシーケンス図である。
【図14】各実施例の端末やサーバの構成の一例を示すハードウェア構成図である。
【発明を実施するための形態】
【0011】
以下、本発明の実施形態を実施例1と実施例2に詳細に説明する。
【0012】
実施例1では取得された生体情報と予め登録された生体情報について1:1の照合(Match)を行い、ユーザの検証(Verification)を行う。実施例2では取得された生体情報と予め登録された生体情報について1:Nの照合(Match)を行い、ユーザの識別(Identification)を行う。ここで、検証と識別とを総称して認証(Authentication)という。
【実施例1】
【0013】
以下、本発明の実施の形態を詳細に説明する。
【0014】
図1は、本実施例をリモートアプリケーションに適用した場合のシステム構成図である。
【0015】
登録用クライアント端末30と認証用クライアント端末40は、ネットワーク60を介してアプリケーションサーバ20、アプリケーションサーバ21と接続しており、アプリケーションサーバ20とアプリケーションサーバ21は、ネットワーク50を介して生体認証サーバ10と接続している。
【0016】
生体認証サーバ10は、生体情報照合機能100と、外部ID−内部ID変換機能101と、内部ID発行機能102と、アプリケーションサーバ20用データ110と、アプリケーションサーバ21用データ120と、から構成される。
【0017】
アプリケーションサーバ20とアプリケーションサーバ21は、生体認証サーバ10内で管理しても良い。
【0018】
以下、その構成要素について説明する。生体情報照合機能100は、登録用生体情報111に保管された一つの登録用生体情報とユーザが入力した一つの検証用生体情報とを照合する1対1照合の機能を有する。ここで、登録用生体情報とはユーザが初めに登録する生体情報である(詳細は図8のS113で後述)。
【0019】
検証用生体情報とは、ユーザが検証を受ける度に入力する生体情報である(詳細は図9のS202、S203で後述)。
【0020】
外部ID−内部ID変換機能101は、外部IDから内部IDへ、また、内部IDから外部IDへの変換を行う機能である。実施例1では、外部IDから内部IDに変換を行う。
【0021】
本変換は、秘密情報にあたる鍵113(通常運用鍵1131あるいは更新時用鍵1132あるいはバックアップ用鍵1133)を用いて変換処理を行う機能であり、例えば、共通鍵暗号方式を利用してこれを実現する。鍵を厳密に管理することで、第三者は外部IDと内部IDとの間の変換が困難になり、登録用生体情報とユーザ情報の情報とを関連付けられることの防止ができる。鍵113は、変換処理を第三者が行うことを防ぐために、ハードウェア暗号モジュールなどを利用して厳密に管理する。本実施の形態では、厳密に管理すべき対象は、データサイズの小さい情報である鍵(例えば暗号標準Advanced Encryption Standardにおいて256ビットの鍵)であり、ハードウェア暗号モジュールなどの利用により、厳密かつ容易に管理可能である。また、鍵113にアクセス権限を設定することによって厳密に管理しても良い。なお、鍵113は、複数のアプリケーションサーバは、全て同じ鍵を用いる必要はなく、少なくとも1つの鍵は他のアプリケーションサーバと異なる鍵を用いても良い。同じ鍵を用いない場合の変換処理はアプリケーションサーバ毎に異なる。アプリケーションサーバ毎に異なる鍵を用いることで、よりセキュリティレベルを上げることが出来る。また、内部ID発行機能102は、内部IDを発行する機能である。
【0022】
ユーザ情報と登録用生体情報の登録(図8の処理)を繰り返す場合に、第三者によって、その登録順序から推測出来ないように、生体認証サーバが発行する内部IDは、例えば乱数に基づき発行することが望ましい。そうすると、ユーザ情報と内部IDの対応を推測することが困難になる。また、乱数に基づき発行するため、アプリケーションサーバ20向けの内部IDとアプリケーションサーバ21向けの内部IDの関連性を持たせるのは困難である。同一人物が複数のアプリケーションサーバを利用する場合には、生体情報が、アプリケーションサーバごとに異なる内部IDに対応して管理されても良い。
【0023】
アプリケーションサーバ20用データ110はアプリケーションサーバ20用の情報を管理し、アプリケーションサーバ21用データ120は、アプリケーションサーバ21用の情報を管理する。
【0024】
登録用生体情報111は、アプリケーションサーバ20用の内部IDと登録用生体情報の対を保管し、認証履歴112は、アプリケーションサーバ20用の外部IDと認証履歴の対を保管する。鍵113は、外部ID−内部ID変換機能101で使われるアプリケーションサーバ20用の鍵を保管する。
【0025】
このように、生体認証サーバ10は、登録用生体情報111(内部IDと生体情報の対)と、認証履歴112(外部IDと認証履歴の対)と、鍵113とを保管する。
【0026】
また、外部IDと内部IDの対応関係は、生体認証サーバ10の外部ID−内部ID変換機能101が鍵113を利用した場合に知ることができる。
【0027】
したがって、仮に第三者が登録用生体情報111(内部IDと生体情報の対)と、認証履歴112(外部IDと認証履歴の対)と、を入手したとしても、第三者は鍵113を入手しない限り、生体情報と認証履歴の対応関係を知ることはできない。第三者が生体情報と認証履歴を関連付けをすることは困難であるため、ユーザのプライバシ侵害リスクを回避できる。
【0028】
また、仮に登録用生体情報111が第三者に漏えいした場合でも、第三者は認証履歴を元に関連付けをたどり生体情報がだれのものであるか推定することができないため、漏えいした生体情報を用いた本生体認証システムあるいは他の生体認証システムへの攻撃の脅威を低減することができる。
【0029】
このように内部ID発行機能102は、乱数に基づき発行するため、アプリケーションサーバ20向けの内部ID体系とアプリケーションサーバ21向けの内部ID体系の関連性をもたせるのは困難であり、鍵113は、アプリケーションサーバ毎に異なるものを用いた場合、変換処理はアプリケーションサーバ毎に異なる。
【0030】
したがって、アプリケーションサーバ20用データ110の認証履歴の外部IDの体系と、アプリケーションサーバ21用データ120の認証履歴の外部IDの体系と、は異なる。第三者は、双方の認証履歴を入手したとしても、異なるアプリケーションサーバ間で同一ユーザに関して認証履歴情報を関連付けることができず、ユーザの行動トレース等のプライバシ侵害リスクを低減出来る。
【0031】
また、アプリケーションサーバ20用データ110の登録用生体情報の内部IDの体系と、アプリケーションサーバ21用データ120の登録用生体情報の内部IDの体系と、は異なることから、第三者は、双方の登録用生体情報を入手したとしても、異なるアプリケーションサーバ間で内部IDに基づいて生体情報と他のアプリケーションサーバに登録されている生体情報を関連付けをすることが困難であり、ユーザのプライバシ侵害リスクを低減できると共に、異なるアプリケーションサーバ間で生体情報同士が関連付けられることから発生する本生体認証システムあるいは他生体認証システムへの攻撃の脅威(例えば、アプリケーションサーバ20用データ110に顔画像(生体情報)が保管され、アプリケーションサーバ21用データ120に指紋情報(生体情報)が保管されている場合を想定する。双方の登録用生体情報が漏えいした場合、顔画像が目視により個人特定され、顔画像と指紋情報が関連付けをされると、指紋情報が個人特定され、アプリケーションサーバ21へのなりすまし攻撃のリスクが高まる)を低減することができる。
【0032】
さらに、アプリケーションサーバ20用データ110の登録用生体情報の内部IDの体系と、アプリケーションサーバ21用データ120の登録用生体情報の内部IDの体系と、は異なる場合があり、鍵113も、アプリケーションサーバ毎に異なる場合もあることから、アプリケーションサーバ20用データ110の登録用生体情報や鍵113が漏えいしたとしても、アプリケーションサーバ21用データ120の登録用生体情報や鍵は影響を受けにくく、生体認証サーバ10は、アプリケーションサーバ21向けに処理を安全に継続することができる。すなわち生体認証サーバ10は、各アプリケーションサーバ向けの処理に独立性を持っており、高い可用性を保つことができる。
【0033】
アプリケーションサーバ20は、ユーザの登録又は削除機能をもつユーザ登録/削除機能201(「/」は「又は」を意味するものとする。)と、生体認証サーバ10にユーザ検証又はユーザ識別を要求するユーザ検証/識別要求機能202と、ユーザ検証やユーザ識別結果に基づきアプリケーションの利用認可を行うユーザ認可機能203と、ネットワーク60を介して認証用クライアント端末40のアプリケーションクライアント機能403にアプリケーションを提供するアプリケーションサーバ機能204と、ユーザ情報を保管するユーザ情報205と、から構成される。
【0034】
上記のように生体認証サーバ10は、登録用生体情報111(内部IDと生体情報の対)を管理し、アプリケーションサーバ20は、ユーザ情報205(外部IDとユーザ情報の対)を管理する。また、外部IDと内部IDの対応関係は、生体認証サーバ10の外部ID−内部ID変換機能101が鍵113を利用した場合に知ることができる。
【0035】
したがって、仮に第三者が登録用生体情報111(内部IDと生体情報の対)と、ユーザ情報205(外部IDとユーザ情報の対)と、を入手したとしても、第三者は鍵113を入手しない限り、生体情報とユーザ情報の対応関係を知ることはできない。第三者が生体情報とユーザ情報を関連付けることは困難であるため、ユーザのプライバシ侵害リスクを低減できる。
【0036】
また、仮に登録用生体情報111が第三者に漏えいした場合でも、第三者はその生体情報とユーザ情報との対応付けが困難であり、だれのものであるか知ることができないため、漏えいした生体情報を用いた本生体認証システムあるいは他生体認証システムへの攻撃の脅威を低減することができる。
【0037】
登録用クライアント端末30は、登録用生体情報をユーザから取得する生体情報取得機能301と、ユーザ情報205に登録するユーザ情報をユーザの入力やユーザ所有のカード情報の読み込みなどにより、取得するユーザ情報取得機能302と、ユーザ登録処理結果を表示する登録結果表示機能303と、を含んで構成される。
【0038】
認証用クライアント端末40は、検証用生体情報あるいは、識別用生体情報をユーザから取得する生体情報取得機能401と、検証に用いる外部IDをユーザの入力やユーザ所有のカード情報の読み込みなどにより取得する外部ID入力機能402と、アプリケーションサーバ20のアプリケーションサーバ機能204からネットワーク60を介してアプリケーション提供を受けるアプリケーションクライアント機能403と、を含んで構成される。
【0039】
図14は、図1のシステムを実現するための装置である。
【0040】
図14の各装置は、CPUと記憶装置とを備える一般的な計算機を用いて実現することができる。さらに、各装置を構成するそれぞれの機能は、CPUが記憶装置に格納されているプログラムを実行することにより、上記計算機上に具現化される。各プログラムは、あらかじめ、上記計算機内の記憶装置に格納されていても良いし、必要なときに、入出力インタフェースと上記計算機が利用可能な媒体を介して、他の装置から上記記憶装置に導入されてもよい。媒体とは、たとえば、入出力インタフェースに着脱可能な記憶媒体、または通信媒体(すなわち有線、無線、光などのネットワーク、または当該ネットワークを伝搬する搬送波やディジタル信号)を指す。
【0041】
図14は、本実施形態における生体認証サーバ10、アプリケーションサーバ20、アプリケーションサーバ21、登録用クライアント端末30、認証用クライアント端末40のハードウェア構成を示す。これらは図のようにCPU800、第1次記憶装置801、第2次記憶装置802、入力装置803、出力装置804、通信装置805とを含んで構成することができる。
【0042】
例えば、生体認証サーバ10の、生体情報認証機能100と、外部ID−内部ID変換機能101と、内部ID発行機能102と、アプリケーションサーバ20の、ユーザ登録/削除機能201と、ユーザ検証/識別要求機能202と、ユーザ認可機能203と、アプリケーションサーバ機能204と、認証用クライアント端末40の、アプリケーションクライアント機能403とは、第2次記憶装置802のデータを第1次記憶装置801に読み込みCPU800で計算処理を行うことで実現する。
【0043】
生体認証サーバ10の、アプリケーションサーバ20用データ110と、アプリケーションサーバ21用データ120と、アプリケーションサーバ20の、ユーザ情報205とは、第2次記憶装置802に保管することで実現する。
【0044】
登録用クライアント端末30の、生体情報取得機能301と、ユーザ情報取得機能302と、認証用クライアント端末40の、生体情報取得機能401と、外部ID入力機能402とは、入力装置803により実現し、登録用クライアント端末30の、登録結果表示機能303は、出力装置804で実現する。
【0045】
図2は、図1における登録用生体情報111の一例を示す図である。
【0046】
登録用生体情報111は、内部ID発行機能102により発行された内部IDと、図8のS113により登録される登録用生体情報と、を含んで構成される。
【0047】
図3は、図1における認証履歴112の一例を示す図である。
【0048】
認証履歴112は、外部IDと、認証種別と、認証結果と、日時と、を含んで構成される。
【0049】
図4は、図1における鍵113の一例を示す図である。
【0050】
鍵113は、通常運用鍵1131と、図12に示す内部IDと鍵の更新に利用される更新時用鍵1132と、図6に示す登録用生体情報バックアップに利用されるバックアップ用鍵1133と、を含んで構成される。
【0051】
図5は、図1におけるユーザ情報205の一例を示す図である。
【0052】
ユーザ情報205には、ユーザの個人情報を保管する。例えば、氏名、住所を保管する。加えて、これらの個人情報に対応して、外部IDを保管する。
【0053】
図6は、生体認証サーバ10の登録用生体情報111のバックアップを保管する登録用生体情報バックアップストレージ70の一例である。登録用生体情報バックアップストレージ70は、アプリケーション毎に独立して登録用生体情報バックアップを保管する(アプリケーションサーバ20用データ710、アプリケーションサーバ21用データ720)。
【0054】
図7は、登録用生体情報バックアップ711の一例を示す図である。
【0055】
登録用生体情報バックアップ711は、バックアップ内部IDと登録用生体情報の対を保管する。
【0056】
登録用生体情報111が何らかの理由により壊れた場合には、生体認証サーバ10は生体認証のサービスを提供することが困難になる。そこで、あらかじめ登録用生体情報111のバックアップを登録用生体情報バックアップストレージ70に作成し、必要に応じて、登録用生体情報111をバックアップストレージ70から復元することができ、生体認証サーバの可用性(availability:システム全体をダウンさせることなく、継続稼働させる能力)を高く保つことができる。
【0057】
図8、図9、図11について説明する。ユーザの認証用クライアント端末40を介したアプリケーションサーバ20のアプリケーション利用に関連し、以下のステップを行う。
【0058】
(1)図8の処理により、ユーザ情報と登録用生体情報を登録。
【0059】
(2)図9の処理により生体情報を利用したユーザの認証を行い、認証成功かつ許可の場合、ユーザにアプリケーション利用を許可する。
【0060】
(3)図11の処理により、ユーザ情報と登録用生体情報を削除。
【0061】
以下、それぞれの処理について説明する。
【0062】
図8は、ユーザ情報と登録用生体情報をそれぞれアプリケーションサーバ20と生体認証サーバ10に登録するシーケンスである。本シーケンスは、アプリケーションサーバ毎に独立して行う。すなわち、図8では、アプリケーションサーバ20向けのユーザ情報と登録用生体情報の登録を行う例を示すが、アプリケーションサーバ21向けに図8と同様のシーケンスを行うことによりアプリケーションサーバ21向けにユーザ情報と登録用生体情報の登録を行うことができる。
【0063】
以下処理手順を説明する。
【0064】
本シーケンスを開始する前提として、通常運用鍵1131が保管されているものとする。
【0065】
ユーザ情報取得機能302は、タッチパネル、キーボード、カードとカードリーダなどにより、ユーザからユーザ情報を取得する(S100)。ここで、ユーザ情報とは、ユーザ情報205に示す会員番号や氏名や住所である。登録用クライアント端末30は、S100で取得したユーザ情報を含むユーザ情報登録要求をアプリケーションサーバ20に送信し、アプリケーションサーバ20がこれを受信する(S101)。ユーザ登録/削除機能201は、受信したユーザ情報をユーザ情報205の会員番号、氏名、住所の項目に保管し(S102)、登録用クライアント端末30に登録完了を通知する(S103)。
【0066】
生体情報取得機能301は、ユーザの登録用生体情報を取得し(S104)、登録用クライアント端末30は、取得した登録用生体情報を含む生体情報登録要求をユーザ登録/削除機能201に送信する(S105)。
【0067】
ユーザ登録/削除機能201は、外部ID発行要求を生体認証サーバ10に送信し、生体認証サーバ10がこれを受信する(S106)。
【0068】
内部ID発行機能102は、内部IDを、図2の登録用生体情報111のこれまでに発行された内部ID一覧を参照することにより、同一の内部IDを2度発行しないようにしつつ、ユーザ情報と登録用生体情報の登録(図8の処理)を繰り返す場合にアプリケーションサーバがその登録順序からユーザ情報と内部IDの対応を推測することを防ぐために乱数をもとに生成し、図2の登録用生体情報111に一行追加し、内部ID欄にこれを保管する。(S107)。
【0069】
外部ID−内部ID変換機能101は、通常運用鍵1131を利用して、生成した内部IDを外部IDに変換する(S108)。
【0070】
生体認証サーバ10は、アプリケーションサーバ20に外部IDを応答する(S109)。
【0071】
ユーザ登録/削除機能201は、ユーザ情報205のS102で保管したユーザ情報に対応する外部ID欄に受信した外部IDを保管する(S110)。
【0072】
ユーザ登録/削除機能201は、外部IDとS105で受信した登録用生体情報とを含む生体情報登録要求を、生体認証サーバ10に送信し、生体認証サーバ10がこれを受信する(S111)。
【0073】
外部ID−内部ID変換機能101は、受信した登録用生体情報を受信した外部IDと通常運用鍵1131を利用して内部IDに変換する(S112)。
【0074】
生体認証サーバ10は、受信した登録用生体情報を、登録用生体情報111の変換した内部IDに対応する登録用生体情報欄に登録し(S113)、
登録が完了した旨ユーザ登録/削除機能201に通知する(S114)。
【0075】
ユーザ登録/削除機能201は、登録用生体情報の登録完了を外部IDを添付して登録用クライアント端末30に通知し、登録用クライアント端末30がこれを受信し、登録結果表示機能303がその結果をユーザに表示する(S115)。なお、本ステップでユーザに通知した外部IDは、図9のS202で利用する。
【0076】
なお、図8における別の実施形態として、既にS102に相当するユーザ情報登録が完了している場合には、S100からS103をスキップし、S104から処理を開始してもよい。
【0077】
図9は、ユーザが認証用クライアント端末40を利用して生体認証を受け、アプリケーションサーバ20のアプリケーションを利用するシーケンスである。本シーケンスでは、ユーザは外部IDと生体情報を認証用クライアント端末40に入力し、入力した情報は生体認証サーバ10に送られ、生体認証サーバ10は、受信した検証用生体情報と自身が保持する外部IDに対応する一つの登録用生体情報と1対1の照合を行うことで、ユーザの検証(Verification)を行う。
【0078】
以降、図9に示す処理手順について説明する。
【0079】
認証用クライアント端末40は、アプリケーションサーバ20に対し、アプリケーション利用を要求する(S200)。
【0080】
アプリケーションサーバ20は、ユーザの検証に必要な外部IDと検証用生体情報を認証用クライアント端末40に要求する(S201)。
【0081】
認証用クライアント端末40は、外部ID入力機能402(例えば、タッチパネル、あるいはキーボード、あるいはカードとカードリーダなどにより実現される)により、ユーザから外部IDを取得し、
生体情報取得機能401により検証用生体情報をユーザから取得し、アプリケーションサーバ20にこれを送信し、アプリケーションサーバ20がこれを受信する(S202)。
【0082】
ユーザ検証/識別要求機能202は、受信した外部IDと検証用生体情報を、ユーザ検証要求として生体認証サーバ10に送信し、生体認証サーバ10がこれを受信する(S203)。
【0083】
外部ID−内部ID変換機能101は、受信した外部IDを通常運用鍵1131を利用して内部IDに変換する(S204)。このとき受信した外部IDに対応する内部IDが存在しない場合は、アプリケーションサーバにエラーを通知する。
【0084】
生体情報照合機能100は、変換した内部IDに対応する登録用生体情報を登録用生体情報111より取得し、ユーザ検証/識別要求機能202から受信した検証用生体情報と1対1の照合を行い、登録用生体情報と検証用生体情報が同一人物のものであるか否かを判定する(S205)。
【0085】
生体認証サーバ10は、S203で受信した外部IDとS205の判定結果を、図3の認証履歴112に保管する。
【0086】
認証履歴112には、外部IDと、認証種別に検証、認証結果に判定結果(成功あるいは失敗)、認証日時が保管される(S206)。
【0087】
生体認証サーバ10は、検証結果(成功あるいは失敗)をユーザ検証/識別要求機能202に応答する(S207)。
【0088】
ユーザ認可機能203は、検証結果が成功の場合に、あらかじめ定めた認可判定基準に基づき、アプリケーション提供を認可するか否かを判定し(S208)、検証結果が失敗の場合には、判定は行わずに認証用クライアント端末40に検証失敗を通知し、図9の処理を終了する。
【0089】
S208の認可判定の結果が認可の場合には、アプリケーションサーバ機能204は、ネットワーク60を介してアプリケーションクライアント機能403にアプリケーションを提供し(S209)、アプリケーションクライアント機能403は、その提供を受ける(S210)。S208の認可判定の結果が否の場合には、アプリケーションサーバ20は認証用クライアント端末40に認可判定結果を通知し、図9の処理を終了する。
【0090】
図11は、図8の処理で登録したユーザ情報や登録用生体情報と、図9のS206や図10のS306で記録されたユーザの認証履歴を削除するシーケンスである。ユーザがアプリケーションサーバ20の利用を終了するタイミングで行われる。
【0091】
ユーザ登録/削除機能201は、外部IDを含むユーザの登録用生体情報と認証履歴の削除要求を生体認証サーバ10に送信し、生体認証サーバ10はこれを受信する(S400)。
【0092】
外部ID−内部ID変換機能101は、通常運用鍵1131を利用して外部IDを内部IDに変換する(S401)。
【0093】
生体認証サーバ10は、登録用生体情報111におけるS401で変換した内部IDに対応する一行を削除し(S402)、認証履歴112のS400で受信した外部IDに対応する行を削除し(S403)、削除した旨ユーザ登録/削除機能201に応答する(S404)。
【0094】
ユーザ登録/削除機能201は、ユーザ情報205の中の削除対象のユーザ情報を削除する(S405)。
【0095】
図12は、通常運用鍵1131を更新するシーケンスである。
【0096】
以降、図12に示す処理手順について説明する。
【0097】
生体認証サーバ10は、通常運用鍵1131(旧鍵)を更新時用鍵1132にコピーし、更新用の新しく生成した鍵を通常運用鍵1131(新鍵)として上書きする。(S501)。
【0098】
生体認証サーバ10は、図2の登録用生体情報111における全内部IDを読み出し(S502)、外部ID−内部ID変換機能101が更新時用鍵1132(旧鍵)を利用して、内部IDを外部IDに変換し(S503)、外部ID−内部ID変換機能101が通常運用鍵1131(新鍵)を利用して、外部IDを内部IDに変換し(S504)、生体認証サーバ10が登録用生体情報111の内部IDを更新する(S505)。
【0099】
生体認証サーバ10は、更新時用鍵1132を消去することで旧鍵を廃棄する(S506)。
【0100】
以上の、図12の処理により、通常運用鍵1131が更新されると同時に、登録用生体情報111の内部IDが更新される。
【0101】
外部ID−内部ID変換機能101は、通常運用鍵1131を利用しており、通常運用鍵1131をハードウェア暗号モジュールなどを利用して厳密に管理することで、第三者が外部ID−内部ID変換機能101を実現することを防ぎ、内部IDと外部IDの情報が関連付けられることを防ぐ。仮に、通常運用鍵1131と登録用生体情報111が第三者に渡ってしまった場合には、外部IDが内部IDを介して生体情報と関連付けされてしまう恐れがあるため、危険である。
【0102】
図12の処理により、仮に、通常運用鍵1131あるいは登録用生体情報111が第三者に渡ってしまった場合にも、通常運用鍵1131と登録用生体情報111における内部IDを更新することができ、内部IDと外部IDの情報が関連付けられることを引き続き防ぐことができる。
【0103】
図12の処理は、生体認証サーバ10単体で行うことができ、アプリケーションサーバ20や登録用クライアント端末30や認証用クライアント端末40での処理は必要なく、運用面での負荷が小さいというメリットもある。
【0104】
図13は、生体認証サーバ10の登録用生体情報111のバックアップ711を生成し、登録用生体情報バックアップストレージ70に保管するシーケンスである。
【0105】
以降、図13に示す処理手順について説明する。
【0106】
生体認証サーバ10は、外部ID−内部ID変換機能101が利用するバックアップ用の新たな鍵を生成し、バックアップ用鍵1133に保管する(S600)。
【0107】
生体認証サーバ10は、登録用生体情報111からアプリケーションサーバ20用の全内部IDを取得し(S601)、外部ID−内部ID変換機能101が通常運用鍵1131を利用して内部IDをで外部IDに変換し(S602)、外部ID−内部ID変換機能101がバックアップ用鍵1133を利用して外部IDを登録用生体情報バックアップストレージ70向けのバックアップ内部IDに変換する(S603)。
【0108】
生体認証サーバ10は、変換したバックアップ内部IDと登録用生体情報との全対情報を、バックアップデータとして、登録用生体情報バックアップストレージ70に送信し、登録用生体情報バックアップストレージ70がこれを受信し(S604)、受信したバックアップデータを登録用生体情報バックアップ711に保管し(S605)、バックアップ完了を生体認証サーバ10に通知する(S606)。
【0109】
図13の処理により、登録用生体情報111の内部IDをバックアップ内部IDに置き換えた登録用生体情報のバックアップが登録用生体情報バックアップ711に作られる。
【0110】
このような処理により、登録用生体情報バックアップ711は、バックアップ内部IDと登録用生体情報の対を保管する。また、外部ID−内部IDの対応関係と外部ID−バックアップ内部IDの対応関係は、生体認証サーバ10の外部ID−内部ID変換機能101が通常運用鍵1131とバックアップ用鍵1133を利用した場合にのみ知ることができる。よって、第三者が通常運用鍵1131とバックアップ用鍵1133を入手しなければ、第三者は、内部IDとバックアップ内部IDの関連付けをすることが困難である。
【0111】
したがって、登録用生体情報バックアップ711が漏えいしたとしても、バックアップ元である登録用生体情報111における内部ID−生体情報の関連付けの情報は漏えいしたことにはならず、生体認証サーバ10は登録用生体情報111を利用して運用を継続することができ、可用性を高く保つことができる。
【0112】
さらに、登録用生体情報バックアップ711が漏えいした場合には、バックアップ用鍵1133を更新して、バックアップを再生成することにより、漏えいした旧登録用生体情報バックアップ711のバックアップ内部ID−生体情報の関連付けの情報を事実上無効化できる。
【0113】
また、第三者が、登録用生体情報バックアップ711(バックアップ内部IDと生体情報の対)と、認証履歴112(外部IDと認証履歴の対)を入手したとしても、バックアップ用鍵1133を入手しない限り、生体情報と認証履歴の対応関係を知ることは困難である。第三者が生体情報と認証履歴を関連付けることは困難であるため、ユーザのプライバシ侵害リスクを回避できる。また、仮に登録用生体情報バックアップ711が第三者に漏えいした場合でも、第三者は認証履歴を元に関連付けをたどり生体情報がだれのものであるか推定することができないため、漏えいした生体情報を用いた本生体認証システムあるいは他生体認証システムへの攻撃の脅威を低減することができる。
【0114】
さらに、仮に第三者が登録用生体情報バックアップ711(バックアップ内部IDと生体情報の対)と、ユーザ情報205(外部IDとユーザ情報の対)と、を入手したとしても、第三者はバックアップ用鍵1133を入手しない限り、生体情報とユーザ情報の対応関係を知ることは困難である。第三者が生体情報とユーザ情報を関連付けることは困難であるため、ユーザのプライバシ侵害リスクを低減できる。
【0115】
また、仮に登録用生体情報バックアップ711が第三者に漏えいした場合でも、第三者はその生体情報がだれのものであるか知ることが困難であるため、漏えいした生体情報を用いた本生体認証システムあるいは他生体認証システムへの攻撃の脅威を低減することができる。
【0116】
実施例1は、ユーザが外部IDと検証用生体情報を入力して、予め登録されたユーザの内部IDに対応する登録用生体情報と一致するか照合する認証システムの実施例であり、厳密かつ容易に管理できる。実施例1は実施例2と比較して、検証用生体情報とユーザの内部IDに対応する特定の登録用生体情報を照合する、いわゆる1:1照合を行うため、実施例2よりもより高い精度で照合でき、より高い認証精度を実現でき、さらに照合処理の計算が一回でよいため処理時間が短くてすむ。
【実施例2】
【0117】
以下、本発明の実施の形態を詳細に説明する。
【0118】
図1について生体情報照合機能100は、登録用生体情報111に保管された全登録用生体情報と与えられた一つの識別用生体情報とを照合する1対N照合の機能を有する。識別用生体情報とは、ユーザが認証機能を利用する度に入力する生体情報であり、生体情報取得機能401で取得され生体認証サーバ10に送信される生体情報である(詳細は図10のS302、S303で後述)。外部ID−内部ID変換機能101は、外部IDから内部IDへ、また、内部IDから外部IDへの変換を行う機能であり、実施例2では、内部IDから外部IDに変換を行う。
【0119】
図1のその他の機能については、実施例1と同一である。また、実施例1の図9の検証方法が、実施例2では図10の識別方法にあたるため、図2から図8、図11から図14についても実施例1と同一である。
【0120】
以下、図10の処理について説明する。
【0121】
図10は、ユーザが認証用クライアント端末40を利用して生体認証を受け、アプリケーションサーバ20のアプリケーションを利用するシーケンスである。本シーケンスでは、ユーザは、生体情報を認証用クライアント端末40に入力し、入力した生体情報は生体認証サーバ10に送られ、生体認証サーバ10は、受信した識別用生体情報と自身が保持する全登録用生体情報と1対Nの照合を行うことで、識別(Identification)を行う。
【0122】
以降、図10に示す処理手順について説明する。
【0123】
認証用クライアント端末40は、アプリケーションサーバ20に対し、アプリケーション利用を要求する(S300)。
【0124】
アプリケーションサーバ20は、ユーザ識別に必要な識別用生体情報を認証用クライアント端末40に要求する(S301)。
【0125】
認証用クライアント端末40は、生体情報取得機能401により識別用生体情報をユーザから取得し、アプリケーションサーバ20にこれを送信し、アプリケーションサーバ20がこれを受信する(S302)。
【0126】
ユーザ検証/識別要求機能202は、受信した識別用生体情報を、ユーザ識別要求として生体認証サーバ10に送信し、生体認証サーバ10がこれを受信する(S303)。
【0127】
生体情報照合機能100は、受信した識別用生体情報と登録用生体情報111に登録された全生体情報との1対Nの照合を行い、受信した識別用生体情報と同一人物の生体情報に対応する内部IDを取得する(S304)。同一人物の生体情報がなければ識別失敗としてS306へ進む。
【0128】
外部ID−内部ID変換機能101は、取得した内部IDを通常運用鍵1131を利用して外部IDに変換する(S305)。
【0129】
生体認証サーバ10は、S305で変換した外部IDを識別結果として、認証履歴112に保管する。
【0130】
S304で内部IDを取得した場合には、認証履歴112には、S305で変換した外部IDと、認証種別に識別、認証結果に成功と外部ID、認証日時が保管され、S304で識別失敗の場合には、認証履歴112には、外部IDが空欄、認証種別に識別、認証結果に失敗、認証日時が保管される(S306)。
【0131】
生体認証サーバ10は、識別結果(成功と外部ID、あるいは失敗)をユーザ検証/識別要求機能202に応答する(S307)。
【0132】
ユーザ認可機能203は、識別結果が成功の場合に、あらかじめ定めた認可判定基準に基づき、アプリケーション提供を認可するか否かを判定し(S308)、識別結果が失敗の場合には、判定は行わずに認証用クライアント端末40に識別失敗を通知し、図10の処理を終了する。
【0133】
S308の認可判定の結果が認可の場合には、アプリケーションサーバ機能204は、ネットワーク60を介してアプリケーションクライアント機能403にアプリケーションを提供し(S309)、アプリケーションクライアント機能403は、その提供を受ける(S310)。
【0134】
S308の認可判定の結果が否の場合には、アプリケーションサーバ20は認証用クライアント端末40に認可判定結果を通知し、図10の処理を終了する。
【0135】
なお、図10の処理の別の適用方法もある。あらかじめ、登録用生体情報111にアプリケーションサーバの利用を認可しないユーザを登録しておく。図10のS300からS307は上記と同様の処理を行う。
【0136】
ユーザ認可機能203は、識別結果が失敗の場合に(アプリケーションサーバ利用不認可ユーザリストに該当しない場合に)アプリケーション提供認可と判定し(S308)、アプリケーションサーバ機能204は、アプリケーションクライアント機能403にアプリケーションを提供し(S309)、アプリケーションクライアント機能403は、その提供を受ける(S310)。
【0137】
S308において、ユーザ認可機能203は、識別結果として成功と外部IDを得た場合に、(アプリケーションサーバ利用不認可ユーザリストに該当した場合に)アプリケーション提供不認可と判定し(S308)、アプリケーションサーバ20は認証用クライアント端末40に認可判定結果を通知し、図10の処理を終了する。
【0138】
実施例2は、ユーザが識別用生体情報を入力して、その生体情報が予め登録された登録用生体情報からユーザ識別を行う認証システムの実施例であり、厳密かつ容易に管理ができる。
【0139】
実施例2は実施例1と比較して、ユーザが外部IDを入力する必要がなく、ユーザの利便性が実施例1と比較してより高い。
【0140】
なお、実施例1と実施例2において、認証履歴112は、アプリケーションサーバ20用の外部IDと認証履歴の対を保管するとしているが、アプリケーションサーバ20用の内部IDと認証履歴の対を保管することもできる。この場合、図9の処理ではS206において外部IDに代わり内部IDが保管され、図11の処理ではS403において、内部IDに対応する行が削除され、図10の処理ではS306において外部IDに代わり内部IDが保管される。
【0141】
本実施形態は、生体認証サーバの内部者不正の脅威を重視する場合に有効である。生体認証サーバの内部者が内部者権限により認証履歴112を参照し、さらに別の手段によりユーザ情報205を入手したとしても、認証履歴とユーザ情報との関連付けを行うことができず、ユーザのプライバシが侵害されることを回避できる。
【符号の説明】
【0142】
10 生体認証サーバ
20 アプリケーションサーバ
21 アプリケーションサーバ
30 登録用クライアント端末
40 認証用クライアント端末
50 ネットワーク
60 ネットワーク
70 登録用生体情報バックアップストレージ
【技術分野】
【0001】
本発明は、生体認証システムにおける生体情報の管理方法に関する。
【背景技術】
【0002】
生体認証システムは、ユーザがアプリケーションを利用するための認証をうけるシステムであり、一般的に3つの装置を含む。3つの装置とは、ユーザからの生体情報入力を受け付けるクライアント端末と、入力された生体情報と予め登録された生体情報を照合し、ユーザの認証をおこなう生体認証装置と、認証が成功し、かつ予め登録されたユーザのユーザ情報に基づいて利用が許可されたユーザにアプリケーションを提供するアプリケーションシステムとである。
【0003】
従来、生体認証システムでは、複数あるアプリケーションシステムの生体認証を、生体認証装置で一括して請け負っている。生体認証装置とアプリケーションシステムが連携する場合、生体認証装置によって管理されるIDと複数のアプリケーションサーバによって管理されるIDとを対応付けるデータベースを管理する必要がある。
【0004】
特許文献1に記載の生体認証システムは、クライアント端末と生体認証装置とアプリケーションシステムとの他にID変換装置を備える。クライアント端末はユーザの生体情報取得手段を備え、アプリケーションシステムにはID1とユーザ情報の対と、ID変換装置にはID1とID2の対と、生体認証装置にはID2と予め登録された生体情報との対が保管されている。ID変換装置を備えたことにより、アプリケーションシステムで管理されるIDを生体認証装置で関連付ける必要がなくなり、容易にシステムに生体認証装置を組み込むことが可能となる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−278941号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1に記載の技術では、アプリケーションシステムに保管されているID1とユーザ情報の対と、ID変換装置に保管されているID1とID2の対と、生体認証装置に保管されているID2と生体情報との対のデータベースが漏れた場合、第三者はユーザ情報と生体情報との関連付けが可能になる。そこで、ユーザのプライバシ侵害の発生を防止するため、データベースのセキュリティレベルを上げて情報漏洩を防止する必要がある。
【0007】
しかしながら、データベースのセキュリティレベルを上げようとすると、情報漏洩を防止する必要があるデータの数に依存してコストがかかるため、生体認証装置で多数のユーザを扱う場合データ量が多く大幅なコストがかかる。そのため、セキュリティレベルを上げにくいという問題が発生する。
【課題を解決するための手段】
【0008】
上記課題を解決するため、本発明の一態様は以下の構成を備える。即ち、本発明の生体認証システムは、クライアント端末と、アプリケーションサーバと、生体認証サーバとを備え、クライアント端末は、ユーザの生体情報を取得する生体情報取得手段を備え、アプリケーションサーバは、生体認証サーバにユーザの認証を要求する手段と、生体認証サーバによって認証されたユーザの外部IDを取得する手段と、外部IDに対応するユーザ情報を取得する手段と、ユーザ情報に基づいてアプリケーションを提供する手段を備え、生体認証サーバは、生体認証サーバ内で管理される内部IDと、アプリケーションサーバ内で管理される外部IDとを、保管された鍵を用いて対応づける変換手段と、鍵を保管する耐タンパ記憶手段と、予め登録された生体情報とクライアント端末によって取得された生体情報とを照合し、ユーザの認証を行い、認証の結果を応答する手段と、を備えることを特徴とする。
【発明の効果】
【0009】
本発明によれば、コストを抑えつつ、ユーザのプライバシが侵害されることを回避し、容易に生体認証システムへ組み込むことが可能になる。
【図面の簡単な説明】
【0010】
【図1】各実施例に係る生体認証適用アプリケーションシステムの一例を示すシステム構成図である。
【図2】図1における登録用生体情報111の一例を示す図である。
【図3】図1における認証履歴112の一例を示す図である。
【図4】図1における鍵113の一例を示す図である。
【図5】図1におけるユーザ情報205の一例を示す図である。
【図6】各実施例に係る登録用生体情報バックアップシステムの一例を示すシステム構成図である。
【図7】図6における登録用生体情報バックアップ711の一例を示す図である。
【図8】各実施例のユーザ登録処理手順の一例を示すシーケンス図である。
【図9】実施例1の認証処理手順の一例を示すシーケンス図である。
【図10】実施例2の識別処理手順の一例を示すシーケンス図である。
【図11】各実施例のユーザ削除処理手順の一例を示すシーケンス図である。
【図12】各実施例の内部ID&鍵更新処理手順の一例を示すシーケンス図である。
【図13】各実施例の登録用生体情報バックアップ処理手順の一例を示すシーケンス図である。
【図14】各実施例の端末やサーバの構成の一例を示すハードウェア構成図である。
【発明を実施するための形態】
【0011】
以下、本発明の実施形態を実施例1と実施例2に詳細に説明する。
【0012】
実施例1では取得された生体情報と予め登録された生体情報について1:1の照合(Match)を行い、ユーザの検証(Verification)を行う。実施例2では取得された生体情報と予め登録された生体情報について1:Nの照合(Match)を行い、ユーザの識別(Identification)を行う。ここで、検証と識別とを総称して認証(Authentication)という。
【実施例1】
【0013】
以下、本発明の実施の形態を詳細に説明する。
【0014】
図1は、本実施例をリモートアプリケーションに適用した場合のシステム構成図である。
【0015】
登録用クライアント端末30と認証用クライアント端末40は、ネットワーク60を介してアプリケーションサーバ20、アプリケーションサーバ21と接続しており、アプリケーションサーバ20とアプリケーションサーバ21は、ネットワーク50を介して生体認証サーバ10と接続している。
【0016】
生体認証サーバ10は、生体情報照合機能100と、外部ID−内部ID変換機能101と、内部ID発行機能102と、アプリケーションサーバ20用データ110と、アプリケーションサーバ21用データ120と、から構成される。
【0017】
アプリケーションサーバ20とアプリケーションサーバ21は、生体認証サーバ10内で管理しても良い。
【0018】
以下、その構成要素について説明する。生体情報照合機能100は、登録用生体情報111に保管された一つの登録用生体情報とユーザが入力した一つの検証用生体情報とを照合する1対1照合の機能を有する。ここで、登録用生体情報とはユーザが初めに登録する生体情報である(詳細は図8のS113で後述)。
【0019】
検証用生体情報とは、ユーザが検証を受ける度に入力する生体情報である(詳細は図9のS202、S203で後述)。
【0020】
外部ID−内部ID変換機能101は、外部IDから内部IDへ、また、内部IDから外部IDへの変換を行う機能である。実施例1では、外部IDから内部IDに変換を行う。
【0021】
本変換は、秘密情報にあたる鍵113(通常運用鍵1131あるいは更新時用鍵1132あるいはバックアップ用鍵1133)を用いて変換処理を行う機能であり、例えば、共通鍵暗号方式を利用してこれを実現する。鍵を厳密に管理することで、第三者は外部IDと内部IDとの間の変換が困難になり、登録用生体情報とユーザ情報の情報とを関連付けられることの防止ができる。鍵113は、変換処理を第三者が行うことを防ぐために、ハードウェア暗号モジュールなどを利用して厳密に管理する。本実施の形態では、厳密に管理すべき対象は、データサイズの小さい情報である鍵(例えば暗号標準Advanced Encryption Standardにおいて256ビットの鍵)であり、ハードウェア暗号モジュールなどの利用により、厳密かつ容易に管理可能である。また、鍵113にアクセス権限を設定することによって厳密に管理しても良い。なお、鍵113は、複数のアプリケーションサーバは、全て同じ鍵を用いる必要はなく、少なくとも1つの鍵は他のアプリケーションサーバと異なる鍵を用いても良い。同じ鍵を用いない場合の変換処理はアプリケーションサーバ毎に異なる。アプリケーションサーバ毎に異なる鍵を用いることで、よりセキュリティレベルを上げることが出来る。また、内部ID発行機能102は、内部IDを発行する機能である。
【0022】
ユーザ情報と登録用生体情報の登録(図8の処理)を繰り返す場合に、第三者によって、その登録順序から推測出来ないように、生体認証サーバが発行する内部IDは、例えば乱数に基づき発行することが望ましい。そうすると、ユーザ情報と内部IDの対応を推測することが困難になる。また、乱数に基づき発行するため、アプリケーションサーバ20向けの内部IDとアプリケーションサーバ21向けの内部IDの関連性を持たせるのは困難である。同一人物が複数のアプリケーションサーバを利用する場合には、生体情報が、アプリケーションサーバごとに異なる内部IDに対応して管理されても良い。
【0023】
アプリケーションサーバ20用データ110はアプリケーションサーバ20用の情報を管理し、アプリケーションサーバ21用データ120は、アプリケーションサーバ21用の情報を管理する。
【0024】
登録用生体情報111は、アプリケーションサーバ20用の内部IDと登録用生体情報の対を保管し、認証履歴112は、アプリケーションサーバ20用の外部IDと認証履歴の対を保管する。鍵113は、外部ID−内部ID変換機能101で使われるアプリケーションサーバ20用の鍵を保管する。
【0025】
このように、生体認証サーバ10は、登録用生体情報111(内部IDと生体情報の対)と、認証履歴112(外部IDと認証履歴の対)と、鍵113とを保管する。
【0026】
また、外部IDと内部IDの対応関係は、生体認証サーバ10の外部ID−内部ID変換機能101が鍵113を利用した場合に知ることができる。
【0027】
したがって、仮に第三者が登録用生体情報111(内部IDと生体情報の対)と、認証履歴112(外部IDと認証履歴の対)と、を入手したとしても、第三者は鍵113を入手しない限り、生体情報と認証履歴の対応関係を知ることはできない。第三者が生体情報と認証履歴を関連付けをすることは困難であるため、ユーザのプライバシ侵害リスクを回避できる。
【0028】
また、仮に登録用生体情報111が第三者に漏えいした場合でも、第三者は認証履歴を元に関連付けをたどり生体情報がだれのものであるか推定することができないため、漏えいした生体情報を用いた本生体認証システムあるいは他の生体認証システムへの攻撃の脅威を低減することができる。
【0029】
このように内部ID発行機能102は、乱数に基づき発行するため、アプリケーションサーバ20向けの内部ID体系とアプリケーションサーバ21向けの内部ID体系の関連性をもたせるのは困難であり、鍵113は、アプリケーションサーバ毎に異なるものを用いた場合、変換処理はアプリケーションサーバ毎に異なる。
【0030】
したがって、アプリケーションサーバ20用データ110の認証履歴の外部IDの体系と、アプリケーションサーバ21用データ120の認証履歴の外部IDの体系と、は異なる。第三者は、双方の認証履歴を入手したとしても、異なるアプリケーションサーバ間で同一ユーザに関して認証履歴情報を関連付けることができず、ユーザの行動トレース等のプライバシ侵害リスクを低減出来る。
【0031】
また、アプリケーションサーバ20用データ110の登録用生体情報の内部IDの体系と、アプリケーションサーバ21用データ120の登録用生体情報の内部IDの体系と、は異なることから、第三者は、双方の登録用生体情報を入手したとしても、異なるアプリケーションサーバ間で内部IDに基づいて生体情報と他のアプリケーションサーバに登録されている生体情報を関連付けをすることが困難であり、ユーザのプライバシ侵害リスクを低減できると共に、異なるアプリケーションサーバ間で生体情報同士が関連付けられることから発生する本生体認証システムあるいは他生体認証システムへの攻撃の脅威(例えば、アプリケーションサーバ20用データ110に顔画像(生体情報)が保管され、アプリケーションサーバ21用データ120に指紋情報(生体情報)が保管されている場合を想定する。双方の登録用生体情報が漏えいした場合、顔画像が目視により個人特定され、顔画像と指紋情報が関連付けをされると、指紋情報が個人特定され、アプリケーションサーバ21へのなりすまし攻撃のリスクが高まる)を低減することができる。
【0032】
さらに、アプリケーションサーバ20用データ110の登録用生体情報の内部IDの体系と、アプリケーションサーバ21用データ120の登録用生体情報の内部IDの体系と、は異なる場合があり、鍵113も、アプリケーションサーバ毎に異なる場合もあることから、アプリケーションサーバ20用データ110の登録用生体情報や鍵113が漏えいしたとしても、アプリケーションサーバ21用データ120の登録用生体情報や鍵は影響を受けにくく、生体認証サーバ10は、アプリケーションサーバ21向けに処理を安全に継続することができる。すなわち生体認証サーバ10は、各アプリケーションサーバ向けの処理に独立性を持っており、高い可用性を保つことができる。
【0033】
アプリケーションサーバ20は、ユーザの登録又は削除機能をもつユーザ登録/削除機能201(「/」は「又は」を意味するものとする。)と、生体認証サーバ10にユーザ検証又はユーザ識別を要求するユーザ検証/識別要求機能202と、ユーザ検証やユーザ識別結果に基づきアプリケーションの利用認可を行うユーザ認可機能203と、ネットワーク60を介して認証用クライアント端末40のアプリケーションクライアント機能403にアプリケーションを提供するアプリケーションサーバ機能204と、ユーザ情報を保管するユーザ情報205と、から構成される。
【0034】
上記のように生体認証サーバ10は、登録用生体情報111(内部IDと生体情報の対)を管理し、アプリケーションサーバ20は、ユーザ情報205(外部IDとユーザ情報の対)を管理する。また、外部IDと内部IDの対応関係は、生体認証サーバ10の外部ID−内部ID変換機能101が鍵113を利用した場合に知ることができる。
【0035】
したがって、仮に第三者が登録用生体情報111(内部IDと生体情報の対)と、ユーザ情報205(外部IDとユーザ情報の対)と、を入手したとしても、第三者は鍵113を入手しない限り、生体情報とユーザ情報の対応関係を知ることはできない。第三者が生体情報とユーザ情報を関連付けることは困難であるため、ユーザのプライバシ侵害リスクを低減できる。
【0036】
また、仮に登録用生体情報111が第三者に漏えいした場合でも、第三者はその生体情報とユーザ情報との対応付けが困難であり、だれのものであるか知ることができないため、漏えいした生体情報を用いた本生体認証システムあるいは他生体認証システムへの攻撃の脅威を低減することができる。
【0037】
登録用クライアント端末30は、登録用生体情報をユーザから取得する生体情報取得機能301と、ユーザ情報205に登録するユーザ情報をユーザの入力やユーザ所有のカード情報の読み込みなどにより、取得するユーザ情報取得機能302と、ユーザ登録処理結果を表示する登録結果表示機能303と、を含んで構成される。
【0038】
認証用クライアント端末40は、検証用生体情報あるいは、識別用生体情報をユーザから取得する生体情報取得機能401と、検証に用いる外部IDをユーザの入力やユーザ所有のカード情報の読み込みなどにより取得する外部ID入力機能402と、アプリケーションサーバ20のアプリケーションサーバ機能204からネットワーク60を介してアプリケーション提供を受けるアプリケーションクライアント機能403と、を含んで構成される。
【0039】
図14は、図1のシステムを実現するための装置である。
【0040】
図14の各装置は、CPUと記憶装置とを備える一般的な計算機を用いて実現することができる。さらに、各装置を構成するそれぞれの機能は、CPUが記憶装置に格納されているプログラムを実行することにより、上記計算機上に具現化される。各プログラムは、あらかじめ、上記計算機内の記憶装置に格納されていても良いし、必要なときに、入出力インタフェースと上記計算機が利用可能な媒体を介して、他の装置から上記記憶装置に導入されてもよい。媒体とは、たとえば、入出力インタフェースに着脱可能な記憶媒体、または通信媒体(すなわち有線、無線、光などのネットワーク、または当該ネットワークを伝搬する搬送波やディジタル信号)を指す。
【0041】
図14は、本実施形態における生体認証サーバ10、アプリケーションサーバ20、アプリケーションサーバ21、登録用クライアント端末30、認証用クライアント端末40のハードウェア構成を示す。これらは図のようにCPU800、第1次記憶装置801、第2次記憶装置802、入力装置803、出力装置804、通信装置805とを含んで構成することができる。
【0042】
例えば、生体認証サーバ10の、生体情報認証機能100と、外部ID−内部ID変換機能101と、内部ID発行機能102と、アプリケーションサーバ20の、ユーザ登録/削除機能201と、ユーザ検証/識別要求機能202と、ユーザ認可機能203と、アプリケーションサーバ機能204と、認証用クライアント端末40の、アプリケーションクライアント機能403とは、第2次記憶装置802のデータを第1次記憶装置801に読み込みCPU800で計算処理を行うことで実現する。
【0043】
生体認証サーバ10の、アプリケーションサーバ20用データ110と、アプリケーションサーバ21用データ120と、アプリケーションサーバ20の、ユーザ情報205とは、第2次記憶装置802に保管することで実現する。
【0044】
登録用クライアント端末30の、生体情報取得機能301と、ユーザ情報取得機能302と、認証用クライアント端末40の、生体情報取得機能401と、外部ID入力機能402とは、入力装置803により実現し、登録用クライアント端末30の、登録結果表示機能303は、出力装置804で実現する。
【0045】
図2は、図1における登録用生体情報111の一例を示す図である。
【0046】
登録用生体情報111は、内部ID発行機能102により発行された内部IDと、図8のS113により登録される登録用生体情報と、を含んで構成される。
【0047】
図3は、図1における認証履歴112の一例を示す図である。
【0048】
認証履歴112は、外部IDと、認証種別と、認証結果と、日時と、を含んで構成される。
【0049】
図4は、図1における鍵113の一例を示す図である。
【0050】
鍵113は、通常運用鍵1131と、図12に示す内部IDと鍵の更新に利用される更新時用鍵1132と、図6に示す登録用生体情報バックアップに利用されるバックアップ用鍵1133と、を含んで構成される。
【0051】
図5は、図1におけるユーザ情報205の一例を示す図である。
【0052】
ユーザ情報205には、ユーザの個人情報を保管する。例えば、氏名、住所を保管する。加えて、これらの個人情報に対応して、外部IDを保管する。
【0053】
図6は、生体認証サーバ10の登録用生体情報111のバックアップを保管する登録用生体情報バックアップストレージ70の一例である。登録用生体情報バックアップストレージ70は、アプリケーション毎に独立して登録用生体情報バックアップを保管する(アプリケーションサーバ20用データ710、アプリケーションサーバ21用データ720)。
【0054】
図7は、登録用生体情報バックアップ711の一例を示す図である。
【0055】
登録用生体情報バックアップ711は、バックアップ内部IDと登録用生体情報の対を保管する。
【0056】
登録用生体情報111が何らかの理由により壊れた場合には、生体認証サーバ10は生体認証のサービスを提供することが困難になる。そこで、あらかじめ登録用生体情報111のバックアップを登録用生体情報バックアップストレージ70に作成し、必要に応じて、登録用生体情報111をバックアップストレージ70から復元することができ、生体認証サーバの可用性(availability:システム全体をダウンさせることなく、継続稼働させる能力)を高く保つことができる。
【0057】
図8、図9、図11について説明する。ユーザの認証用クライアント端末40を介したアプリケーションサーバ20のアプリケーション利用に関連し、以下のステップを行う。
【0058】
(1)図8の処理により、ユーザ情報と登録用生体情報を登録。
【0059】
(2)図9の処理により生体情報を利用したユーザの認証を行い、認証成功かつ許可の場合、ユーザにアプリケーション利用を許可する。
【0060】
(3)図11の処理により、ユーザ情報と登録用生体情報を削除。
【0061】
以下、それぞれの処理について説明する。
【0062】
図8は、ユーザ情報と登録用生体情報をそれぞれアプリケーションサーバ20と生体認証サーバ10に登録するシーケンスである。本シーケンスは、アプリケーションサーバ毎に独立して行う。すなわち、図8では、アプリケーションサーバ20向けのユーザ情報と登録用生体情報の登録を行う例を示すが、アプリケーションサーバ21向けに図8と同様のシーケンスを行うことによりアプリケーションサーバ21向けにユーザ情報と登録用生体情報の登録を行うことができる。
【0063】
以下処理手順を説明する。
【0064】
本シーケンスを開始する前提として、通常運用鍵1131が保管されているものとする。
【0065】
ユーザ情報取得機能302は、タッチパネル、キーボード、カードとカードリーダなどにより、ユーザからユーザ情報を取得する(S100)。ここで、ユーザ情報とは、ユーザ情報205に示す会員番号や氏名や住所である。登録用クライアント端末30は、S100で取得したユーザ情報を含むユーザ情報登録要求をアプリケーションサーバ20に送信し、アプリケーションサーバ20がこれを受信する(S101)。ユーザ登録/削除機能201は、受信したユーザ情報をユーザ情報205の会員番号、氏名、住所の項目に保管し(S102)、登録用クライアント端末30に登録完了を通知する(S103)。
【0066】
生体情報取得機能301は、ユーザの登録用生体情報を取得し(S104)、登録用クライアント端末30は、取得した登録用生体情報を含む生体情報登録要求をユーザ登録/削除機能201に送信する(S105)。
【0067】
ユーザ登録/削除機能201は、外部ID発行要求を生体認証サーバ10に送信し、生体認証サーバ10がこれを受信する(S106)。
【0068】
内部ID発行機能102は、内部IDを、図2の登録用生体情報111のこれまでに発行された内部ID一覧を参照することにより、同一の内部IDを2度発行しないようにしつつ、ユーザ情報と登録用生体情報の登録(図8の処理)を繰り返す場合にアプリケーションサーバがその登録順序からユーザ情報と内部IDの対応を推測することを防ぐために乱数をもとに生成し、図2の登録用生体情報111に一行追加し、内部ID欄にこれを保管する。(S107)。
【0069】
外部ID−内部ID変換機能101は、通常運用鍵1131を利用して、生成した内部IDを外部IDに変換する(S108)。
【0070】
生体認証サーバ10は、アプリケーションサーバ20に外部IDを応答する(S109)。
【0071】
ユーザ登録/削除機能201は、ユーザ情報205のS102で保管したユーザ情報に対応する外部ID欄に受信した外部IDを保管する(S110)。
【0072】
ユーザ登録/削除機能201は、外部IDとS105で受信した登録用生体情報とを含む生体情報登録要求を、生体認証サーバ10に送信し、生体認証サーバ10がこれを受信する(S111)。
【0073】
外部ID−内部ID変換機能101は、受信した登録用生体情報を受信した外部IDと通常運用鍵1131を利用して内部IDに変換する(S112)。
【0074】
生体認証サーバ10は、受信した登録用生体情報を、登録用生体情報111の変換した内部IDに対応する登録用生体情報欄に登録し(S113)、
登録が完了した旨ユーザ登録/削除機能201に通知する(S114)。
【0075】
ユーザ登録/削除機能201は、登録用生体情報の登録完了を外部IDを添付して登録用クライアント端末30に通知し、登録用クライアント端末30がこれを受信し、登録結果表示機能303がその結果をユーザに表示する(S115)。なお、本ステップでユーザに通知した外部IDは、図9のS202で利用する。
【0076】
なお、図8における別の実施形態として、既にS102に相当するユーザ情報登録が完了している場合には、S100からS103をスキップし、S104から処理を開始してもよい。
【0077】
図9は、ユーザが認証用クライアント端末40を利用して生体認証を受け、アプリケーションサーバ20のアプリケーションを利用するシーケンスである。本シーケンスでは、ユーザは外部IDと生体情報を認証用クライアント端末40に入力し、入力した情報は生体認証サーバ10に送られ、生体認証サーバ10は、受信した検証用生体情報と自身が保持する外部IDに対応する一つの登録用生体情報と1対1の照合を行うことで、ユーザの検証(Verification)を行う。
【0078】
以降、図9に示す処理手順について説明する。
【0079】
認証用クライアント端末40は、アプリケーションサーバ20に対し、アプリケーション利用を要求する(S200)。
【0080】
アプリケーションサーバ20は、ユーザの検証に必要な外部IDと検証用生体情報を認証用クライアント端末40に要求する(S201)。
【0081】
認証用クライアント端末40は、外部ID入力機能402(例えば、タッチパネル、あるいはキーボード、あるいはカードとカードリーダなどにより実現される)により、ユーザから外部IDを取得し、
生体情報取得機能401により検証用生体情報をユーザから取得し、アプリケーションサーバ20にこれを送信し、アプリケーションサーバ20がこれを受信する(S202)。
【0082】
ユーザ検証/識別要求機能202は、受信した外部IDと検証用生体情報を、ユーザ検証要求として生体認証サーバ10に送信し、生体認証サーバ10がこれを受信する(S203)。
【0083】
外部ID−内部ID変換機能101は、受信した外部IDを通常運用鍵1131を利用して内部IDに変換する(S204)。このとき受信した外部IDに対応する内部IDが存在しない場合は、アプリケーションサーバにエラーを通知する。
【0084】
生体情報照合機能100は、変換した内部IDに対応する登録用生体情報を登録用生体情報111より取得し、ユーザ検証/識別要求機能202から受信した検証用生体情報と1対1の照合を行い、登録用生体情報と検証用生体情報が同一人物のものであるか否かを判定する(S205)。
【0085】
生体認証サーバ10は、S203で受信した外部IDとS205の判定結果を、図3の認証履歴112に保管する。
【0086】
認証履歴112には、外部IDと、認証種別に検証、認証結果に判定結果(成功あるいは失敗)、認証日時が保管される(S206)。
【0087】
生体認証サーバ10は、検証結果(成功あるいは失敗)をユーザ検証/識別要求機能202に応答する(S207)。
【0088】
ユーザ認可機能203は、検証結果が成功の場合に、あらかじめ定めた認可判定基準に基づき、アプリケーション提供を認可するか否かを判定し(S208)、検証結果が失敗の場合には、判定は行わずに認証用クライアント端末40に検証失敗を通知し、図9の処理を終了する。
【0089】
S208の認可判定の結果が認可の場合には、アプリケーションサーバ機能204は、ネットワーク60を介してアプリケーションクライアント機能403にアプリケーションを提供し(S209)、アプリケーションクライアント機能403は、その提供を受ける(S210)。S208の認可判定の結果が否の場合には、アプリケーションサーバ20は認証用クライアント端末40に認可判定結果を通知し、図9の処理を終了する。
【0090】
図11は、図8の処理で登録したユーザ情報や登録用生体情報と、図9のS206や図10のS306で記録されたユーザの認証履歴を削除するシーケンスである。ユーザがアプリケーションサーバ20の利用を終了するタイミングで行われる。
【0091】
ユーザ登録/削除機能201は、外部IDを含むユーザの登録用生体情報と認証履歴の削除要求を生体認証サーバ10に送信し、生体認証サーバ10はこれを受信する(S400)。
【0092】
外部ID−内部ID変換機能101は、通常運用鍵1131を利用して外部IDを内部IDに変換する(S401)。
【0093】
生体認証サーバ10は、登録用生体情報111におけるS401で変換した内部IDに対応する一行を削除し(S402)、認証履歴112のS400で受信した外部IDに対応する行を削除し(S403)、削除した旨ユーザ登録/削除機能201に応答する(S404)。
【0094】
ユーザ登録/削除機能201は、ユーザ情報205の中の削除対象のユーザ情報を削除する(S405)。
【0095】
図12は、通常運用鍵1131を更新するシーケンスである。
【0096】
以降、図12に示す処理手順について説明する。
【0097】
生体認証サーバ10は、通常運用鍵1131(旧鍵)を更新時用鍵1132にコピーし、更新用の新しく生成した鍵を通常運用鍵1131(新鍵)として上書きする。(S501)。
【0098】
生体認証サーバ10は、図2の登録用生体情報111における全内部IDを読み出し(S502)、外部ID−内部ID変換機能101が更新時用鍵1132(旧鍵)を利用して、内部IDを外部IDに変換し(S503)、外部ID−内部ID変換機能101が通常運用鍵1131(新鍵)を利用して、外部IDを内部IDに変換し(S504)、生体認証サーバ10が登録用生体情報111の内部IDを更新する(S505)。
【0099】
生体認証サーバ10は、更新時用鍵1132を消去することで旧鍵を廃棄する(S506)。
【0100】
以上の、図12の処理により、通常運用鍵1131が更新されると同時に、登録用生体情報111の内部IDが更新される。
【0101】
外部ID−内部ID変換機能101は、通常運用鍵1131を利用しており、通常運用鍵1131をハードウェア暗号モジュールなどを利用して厳密に管理することで、第三者が外部ID−内部ID変換機能101を実現することを防ぎ、内部IDと外部IDの情報が関連付けられることを防ぐ。仮に、通常運用鍵1131と登録用生体情報111が第三者に渡ってしまった場合には、外部IDが内部IDを介して生体情報と関連付けされてしまう恐れがあるため、危険である。
【0102】
図12の処理により、仮に、通常運用鍵1131あるいは登録用生体情報111が第三者に渡ってしまった場合にも、通常運用鍵1131と登録用生体情報111における内部IDを更新することができ、内部IDと外部IDの情報が関連付けられることを引き続き防ぐことができる。
【0103】
図12の処理は、生体認証サーバ10単体で行うことができ、アプリケーションサーバ20や登録用クライアント端末30や認証用クライアント端末40での処理は必要なく、運用面での負荷が小さいというメリットもある。
【0104】
図13は、生体認証サーバ10の登録用生体情報111のバックアップ711を生成し、登録用生体情報バックアップストレージ70に保管するシーケンスである。
【0105】
以降、図13に示す処理手順について説明する。
【0106】
生体認証サーバ10は、外部ID−内部ID変換機能101が利用するバックアップ用の新たな鍵を生成し、バックアップ用鍵1133に保管する(S600)。
【0107】
生体認証サーバ10は、登録用生体情報111からアプリケーションサーバ20用の全内部IDを取得し(S601)、外部ID−内部ID変換機能101が通常運用鍵1131を利用して内部IDをで外部IDに変換し(S602)、外部ID−内部ID変換機能101がバックアップ用鍵1133を利用して外部IDを登録用生体情報バックアップストレージ70向けのバックアップ内部IDに変換する(S603)。
【0108】
生体認証サーバ10は、変換したバックアップ内部IDと登録用生体情報との全対情報を、バックアップデータとして、登録用生体情報バックアップストレージ70に送信し、登録用生体情報バックアップストレージ70がこれを受信し(S604)、受信したバックアップデータを登録用生体情報バックアップ711に保管し(S605)、バックアップ完了を生体認証サーバ10に通知する(S606)。
【0109】
図13の処理により、登録用生体情報111の内部IDをバックアップ内部IDに置き換えた登録用生体情報のバックアップが登録用生体情報バックアップ711に作られる。
【0110】
このような処理により、登録用生体情報バックアップ711は、バックアップ内部IDと登録用生体情報の対を保管する。また、外部ID−内部IDの対応関係と外部ID−バックアップ内部IDの対応関係は、生体認証サーバ10の外部ID−内部ID変換機能101が通常運用鍵1131とバックアップ用鍵1133を利用した場合にのみ知ることができる。よって、第三者が通常運用鍵1131とバックアップ用鍵1133を入手しなければ、第三者は、内部IDとバックアップ内部IDの関連付けをすることが困難である。
【0111】
したがって、登録用生体情報バックアップ711が漏えいしたとしても、バックアップ元である登録用生体情報111における内部ID−生体情報の関連付けの情報は漏えいしたことにはならず、生体認証サーバ10は登録用生体情報111を利用して運用を継続することができ、可用性を高く保つことができる。
【0112】
さらに、登録用生体情報バックアップ711が漏えいした場合には、バックアップ用鍵1133を更新して、バックアップを再生成することにより、漏えいした旧登録用生体情報バックアップ711のバックアップ内部ID−生体情報の関連付けの情報を事実上無効化できる。
【0113】
また、第三者が、登録用生体情報バックアップ711(バックアップ内部IDと生体情報の対)と、認証履歴112(外部IDと認証履歴の対)を入手したとしても、バックアップ用鍵1133を入手しない限り、生体情報と認証履歴の対応関係を知ることは困難である。第三者が生体情報と認証履歴を関連付けることは困難であるため、ユーザのプライバシ侵害リスクを回避できる。また、仮に登録用生体情報バックアップ711が第三者に漏えいした場合でも、第三者は認証履歴を元に関連付けをたどり生体情報がだれのものであるか推定することができないため、漏えいした生体情報を用いた本生体認証システムあるいは他生体認証システムへの攻撃の脅威を低減することができる。
【0114】
さらに、仮に第三者が登録用生体情報バックアップ711(バックアップ内部IDと生体情報の対)と、ユーザ情報205(外部IDとユーザ情報の対)と、を入手したとしても、第三者はバックアップ用鍵1133を入手しない限り、生体情報とユーザ情報の対応関係を知ることは困難である。第三者が生体情報とユーザ情報を関連付けることは困難であるため、ユーザのプライバシ侵害リスクを低減できる。
【0115】
また、仮に登録用生体情報バックアップ711が第三者に漏えいした場合でも、第三者はその生体情報がだれのものであるか知ることが困難であるため、漏えいした生体情報を用いた本生体認証システムあるいは他生体認証システムへの攻撃の脅威を低減することができる。
【0116】
実施例1は、ユーザが外部IDと検証用生体情報を入力して、予め登録されたユーザの内部IDに対応する登録用生体情報と一致するか照合する認証システムの実施例であり、厳密かつ容易に管理できる。実施例1は実施例2と比較して、検証用生体情報とユーザの内部IDに対応する特定の登録用生体情報を照合する、いわゆる1:1照合を行うため、実施例2よりもより高い精度で照合でき、より高い認証精度を実現でき、さらに照合処理の計算が一回でよいため処理時間が短くてすむ。
【実施例2】
【0117】
以下、本発明の実施の形態を詳細に説明する。
【0118】
図1について生体情報照合機能100は、登録用生体情報111に保管された全登録用生体情報と与えられた一つの識別用生体情報とを照合する1対N照合の機能を有する。識別用生体情報とは、ユーザが認証機能を利用する度に入力する生体情報であり、生体情報取得機能401で取得され生体認証サーバ10に送信される生体情報である(詳細は図10のS302、S303で後述)。外部ID−内部ID変換機能101は、外部IDから内部IDへ、また、内部IDから外部IDへの変換を行う機能であり、実施例2では、内部IDから外部IDに変換を行う。
【0119】
図1のその他の機能については、実施例1と同一である。また、実施例1の図9の検証方法が、実施例2では図10の識別方法にあたるため、図2から図8、図11から図14についても実施例1と同一である。
【0120】
以下、図10の処理について説明する。
【0121】
図10は、ユーザが認証用クライアント端末40を利用して生体認証を受け、アプリケーションサーバ20のアプリケーションを利用するシーケンスである。本シーケンスでは、ユーザは、生体情報を認証用クライアント端末40に入力し、入力した生体情報は生体認証サーバ10に送られ、生体認証サーバ10は、受信した識別用生体情報と自身が保持する全登録用生体情報と1対Nの照合を行うことで、識別(Identification)を行う。
【0122】
以降、図10に示す処理手順について説明する。
【0123】
認証用クライアント端末40は、アプリケーションサーバ20に対し、アプリケーション利用を要求する(S300)。
【0124】
アプリケーションサーバ20は、ユーザ識別に必要な識別用生体情報を認証用クライアント端末40に要求する(S301)。
【0125】
認証用クライアント端末40は、生体情報取得機能401により識別用生体情報をユーザから取得し、アプリケーションサーバ20にこれを送信し、アプリケーションサーバ20がこれを受信する(S302)。
【0126】
ユーザ検証/識別要求機能202は、受信した識別用生体情報を、ユーザ識別要求として生体認証サーバ10に送信し、生体認証サーバ10がこれを受信する(S303)。
【0127】
生体情報照合機能100は、受信した識別用生体情報と登録用生体情報111に登録された全生体情報との1対Nの照合を行い、受信した識別用生体情報と同一人物の生体情報に対応する内部IDを取得する(S304)。同一人物の生体情報がなければ識別失敗としてS306へ進む。
【0128】
外部ID−内部ID変換機能101は、取得した内部IDを通常運用鍵1131を利用して外部IDに変換する(S305)。
【0129】
生体認証サーバ10は、S305で変換した外部IDを識別結果として、認証履歴112に保管する。
【0130】
S304で内部IDを取得した場合には、認証履歴112には、S305で変換した外部IDと、認証種別に識別、認証結果に成功と外部ID、認証日時が保管され、S304で識別失敗の場合には、認証履歴112には、外部IDが空欄、認証種別に識別、認証結果に失敗、認証日時が保管される(S306)。
【0131】
生体認証サーバ10は、識別結果(成功と外部ID、あるいは失敗)をユーザ検証/識別要求機能202に応答する(S307)。
【0132】
ユーザ認可機能203は、識別結果が成功の場合に、あらかじめ定めた認可判定基準に基づき、アプリケーション提供を認可するか否かを判定し(S308)、識別結果が失敗の場合には、判定は行わずに認証用クライアント端末40に識別失敗を通知し、図10の処理を終了する。
【0133】
S308の認可判定の結果が認可の場合には、アプリケーションサーバ機能204は、ネットワーク60を介してアプリケーションクライアント機能403にアプリケーションを提供し(S309)、アプリケーションクライアント機能403は、その提供を受ける(S310)。
【0134】
S308の認可判定の結果が否の場合には、アプリケーションサーバ20は認証用クライアント端末40に認可判定結果を通知し、図10の処理を終了する。
【0135】
なお、図10の処理の別の適用方法もある。あらかじめ、登録用生体情報111にアプリケーションサーバの利用を認可しないユーザを登録しておく。図10のS300からS307は上記と同様の処理を行う。
【0136】
ユーザ認可機能203は、識別結果が失敗の場合に(アプリケーションサーバ利用不認可ユーザリストに該当しない場合に)アプリケーション提供認可と判定し(S308)、アプリケーションサーバ機能204は、アプリケーションクライアント機能403にアプリケーションを提供し(S309)、アプリケーションクライアント機能403は、その提供を受ける(S310)。
【0137】
S308において、ユーザ認可機能203は、識別結果として成功と外部IDを得た場合に、(アプリケーションサーバ利用不認可ユーザリストに該当した場合に)アプリケーション提供不認可と判定し(S308)、アプリケーションサーバ20は認証用クライアント端末40に認可判定結果を通知し、図10の処理を終了する。
【0138】
実施例2は、ユーザが識別用生体情報を入力して、その生体情報が予め登録された登録用生体情報からユーザ識別を行う認証システムの実施例であり、厳密かつ容易に管理ができる。
【0139】
実施例2は実施例1と比較して、ユーザが外部IDを入力する必要がなく、ユーザの利便性が実施例1と比較してより高い。
【0140】
なお、実施例1と実施例2において、認証履歴112は、アプリケーションサーバ20用の外部IDと認証履歴の対を保管するとしているが、アプリケーションサーバ20用の内部IDと認証履歴の対を保管することもできる。この場合、図9の処理ではS206において外部IDに代わり内部IDが保管され、図11の処理ではS403において、内部IDに対応する行が削除され、図10の処理ではS306において外部IDに代わり内部IDが保管される。
【0141】
本実施形態は、生体認証サーバの内部者不正の脅威を重視する場合に有効である。生体認証サーバの内部者が内部者権限により認証履歴112を参照し、さらに別の手段によりユーザ情報205を入手したとしても、認証履歴とユーザ情報との関連付けを行うことができず、ユーザのプライバシが侵害されることを回避できる。
【符号の説明】
【0142】
10 生体認証サーバ
20 アプリケーションサーバ
21 アプリケーションサーバ
30 登録用クライアント端末
40 認証用クライアント端末
50 ネットワーク
60 ネットワーク
70 登録用生体情報バックアップストレージ
【特許請求の範囲】
【請求項1】
生体情報を利用してユーザの認証を行う生体認証システムにおいて、
クライアント端末と、アプリケーションサーバと、生体認証サーバとを備え、
前記クライアント端末は、
ユーザの生体情報を取得する生体情報取得手段を備え、
前記アプリケーションサーバは、
前記生体認証サーバに前記ユーザの認証を要求する手段と、
前記生体認証サーバによって認証された前記ユーザの外部IDを取得する手段と、
前記外部IDに対応するユーザ情報を取得する手段と、
前記ユーザ情報に基づいてアプリケーションを提供する手段を備え、
前記生体認証サーバは、
前記生体認証装置内で管理される前記内部IDと、前記アプリケーションサーバ内で管理される前記外部IDとを、保管された鍵を用いて対応づける変換手段と、
前記鍵を保管する耐タンパ記憶手段と、
前記予め登録された生体情報と前記クライアント端末によって取得された生体情報とを照合し、前記ユーザの認証を行い、前記認証の結果を応答する手段と、を備える
ことを特徴とする生体認証システム。
【請求項2】
請求項1に記載の生体認証システムにおいて、
前記クライアント端末は、
前記クライアント端末によって取得された生体情報の他にユーザの前記外部IDを取得する手段を備え、
前記生体認証サーバは、
前記クライアント端末で取得された生体情報と前記外部IDとを取得し、前記外部IDを前記内部IDに、前記鍵を用いて変換する手段と、
前記登録用生体情報データベースで管理される前記内部IDに対応する前記予め登録された生体情報を取得する手段とを備え、
前記応答する手段は、前記生体情報を取得する手段で取得した、前記内部IDに対応する前記予め登録された生体情報と、前記クライアント端末によって取得された生体情報とを照合し、前記照合の結果を送信する ことを特徴とする生体認証システム。
【請求項3】
請求項2に記載の生体認証システムにおいて、
前記生体認証サーバは、
前記外部IDから前記内部IDへの変換が失敗の場合、エラーを前記アプリケーションサーバに通知する手段を備えることを特徴とする生体認証システム。
【請求項4】
請求項1に記載の生体認証システムにおいて、
前記生体認証サーバは、
前記クライアント端末で取得された生体情報を取得する手段と、
前記登録用生体情報データベースに管理された複数の前記予め登録された生体情報を用いて、前記クライアント端末によって取得された生体情報を識別し、前記識別に成功した場合は、対応する前記予め登録された生体情報を取得し、取得した前記生体情報に対応した前記内部IDを取得する手段と、
前記内部IDを前記外部IDに前記鍵を用いて変換する手段と、を備え、
前記応答する手段は、前記識別が成功した場合は成功したことと外部IDとを応答し、失敗した場合は失敗したことを応答することを特徴とする生体認証システム。
【請求項5】
請求項1乃至4のいずれか一つに記載の生体認証システムにおいて、
複数のアプリケーションサーバを有し、
少なくとも一つの前記鍵は他のアプリケーションサーバと異なる前記鍵を用いることを特徴とする生体認証システム。
【請求項6】
請求項1乃至5のいずれか一つに記載の生体認証システムにおいて、
前記鍵と前記内部IDとは、それぞれ異なるバックアップ用鍵とバックアップ内部IDを記憶する手段を備える登録用生体情報バックアップストレージを備え、
前記生体認証サーバは、
前記鍵とは異なるバックアップ用鍵を生成する手段と、
前記鍵を用いて前記内部IDを前記外部IDに変換する手段と、
前記バックアップ用鍵を用いて前記外部IDを前記バックアップ内部IDに変換する手段と、
前記予め登録された生体情報と前記バックアップ内部IDとの対を前記登録用生体情報バックアップストレージに送信する手段と、を備えることを特徴とする生体認証システム。
【請求項7】
請求項1乃至6のいずれか一つに記載の生体認証システムにおいて、
前記生体認証サーバは、
前記鍵とは異なる新鍵を生成する手段と、
取得した前記内部IDを前記鍵で前記外部IDに変換する手段と、
前記新鍵で前記外部IDを新内部IDに変換する手段と、
前記内部IDを、前記新鍵によって変換された前記新内部IDに更新する手段と、を備えることを特徴とする生体認証システム。
【請求項8】
請求項7に記載の生体認証システムにおいて、
前記生体認証サーバは、
前記内部IDを前記新内部IDに更新した後、
前記鍵は破棄する手段を備えることを特徴とする生体認証システム。
【請求項1】
生体情報を利用してユーザの認証を行う生体認証システムにおいて、
クライアント端末と、アプリケーションサーバと、生体認証サーバとを備え、
前記クライアント端末は、
ユーザの生体情報を取得する生体情報取得手段を備え、
前記アプリケーションサーバは、
前記生体認証サーバに前記ユーザの認証を要求する手段と、
前記生体認証サーバによって認証された前記ユーザの外部IDを取得する手段と、
前記外部IDに対応するユーザ情報を取得する手段と、
前記ユーザ情報に基づいてアプリケーションを提供する手段を備え、
前記生体認証サーバは、
前記生体認証装置内で管理される前記内部IDと、前記アプリケーションサーバ内で管理される前記外部IDとを、保管された鍵を用いて対応づける変換手段と、
前記鍵を保管する耐タンパ記憶手段と、
前記予め登録された生体情報と前記クライアント端末によって取得された生体情報とを照合し、前記ユーザの認証を行い、前記認証の結果を応答する手段と、を備える
ことを特徴とする生体認証システム。
【請求項2】
請求項1に記載の生体認証システムにおいて、
前記クライアント端末は、
前記クライアント端末によって取得された生体情報の他にユーザの前記外部IDを取得する手段を備え、
前記生体認証サーバは、
前記クライアント端末で取得された生体情報と前記外部IDとを取得し、前記外部IDを前記内部IDに、前記鍵を用いて変換する手段と、
前記登録用生体情報データベースで管理される前記内部IDに対応する前記予め登録された生体情報を取得する手段とを備え、
前記応答する手段は、前記生体情報を取得する手段で取得した、前記内部IDに対応する前記予め登録された生体情報と、前記クライアント端末によって取得された生体情報とを照合し、前記照合の結果を送信する ことを特徴とする生体認証システム。
【請求項3】
請求項2に記載の生体認証システムにおいて、
前記生体認証サーバは、
前記外部IDから前記内部IDへの変換が失敗の場合、エラーを前記アプリケーションサーバに通知する手段を備えることを特徴とする生体認証システム。
【請求項4】
請求項1に記載の生体認証システムにおいて、
前記生体認証サーバは、
前記クライアント端末で取得された生体情報を取得する手段と、
前記登録用生体情報データベースに管理された複数の前記予め登録された生体情報を用いて、前記クライアント端末によって取得された生体情報を識別し、前記識別に成功した場合は、対応する前記予め登録された生体情報を取得し、取得した前記生体情報に対応した前記内部IDを取得する手段と、
前記内部IDを前記外部IDに前記鍵を用いて変換する手段と、を備え、
前記応答する手段は、前記識別が成功した場合は成功したことと外部IDとを応答し、失敗した場合は失敗したことを応答することを特徴とする生体認証システム。
【請求項5】
請求項1乃至4のいずれか一つに記載の生体認証システムにおいて、
複数のアプリケーションサーバを有し、
少なくとも一つの前記鍵は他のアプリケーションサーバと異なる前記鍵を用いることを特徴とする生体認証システム。
【請求項6】
請求項1乃至5のいずれか一つに記載の生体認証システムにおいて、
前記鍵と前記内部IDとは、それぞれ異なるバックアップ用鍵とバックアップ内部IDを記憶する手段を備える登録用生体情報バックアップストレージを備え、
前記生体認証サーバは、
前記鍵とは異なるバックアップ用鍵を生成する手段と、
前記鍵を用いて前記内部IDを前記外部IDに変換する手段と、
前記バックアップ用鍵を用いて前記外部IDを前記バックアップ内部IDに変換する手段と、
前記予め登録された生体情報と前記バックアップ内部IDとの対を前記登録用生体情報バックアップストレージに送信する手段と、を備えることを特徴とする生体認証システム。
【請求項7】
請求項1乃至6のいずれか一つに記載の生体認証システムにおいて、
前記生体認証サーバは、
前記鍵とは異なる新鍵を生成する手段と、
取得した前記内部IDを前記鍵で前記外部IDに変換する手段と、
前記新鍵で前記外部IDを新内部IDに変換する手段と、
前記内部IDを、前記新鍵によって変換された前記新内部IDに更新する手段と、を備えることを特徴とする生体認証システム。
【請求項8】
請求項7に記載の生体認証システムにおいて、
前記生体認証サーバは、
前記内部IDを前記新内部IDに更新した後、
前記鍵は破棄する手段を備えることを特徴とする生体認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2011−134030(P2011−134030A)
【公開日】平成23年7月7日(2011.7.7)
【国際特許分類】
【出願番号】特願2009−291687(P2009−291687)
【出願日】平成21年12月24日(2009.12.24)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成23年7月7日(2011.7.7)
【国際特許分類】
【出願日】平成21年12月24日(2009.12.24)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]