生体認証方法およびシステム
【課題】精度劣化が小さく、安全性(特徴量の秘匿性)が高い生体認証を実現する。
【解決手段】登録時にクライアントが取得した生体情報から登録用特徴量配列を作成し、これを変換した位置補正用テンプレートおよび照合テンプレートをサーバに登録する。
認証時には、クライアントが取得した生体情報から認証用特徴量配列を作成し、これを変換した位置補正用変換特徴量をサーバに送信する。サーバは位置補正テンプレートと位置補正用変換特徴量を用いて、登録用特徴量配列に対する認証用特徴量配列の位置補正量を検出し、クライアントに送信する。クライアントは位置補正量を用いて認証用特徴量配列を補正し、更に変換した照合用変換特徴量配列をサーバに送信する。サーバは照合テンプレートと、照合用変換特徴量配列との距離を計算し、これに基づいて認証成否を判定する。
【解決手段】登録時にクライアントが取得した生体情報から登録用特徴量配列を作成し、これを変換した位置補正用テンプレートおよび照合テンプレートをサーバに登録する。
認証時には、クライアントが取得した生体情報から認証用特徴量配列を作成し、これを変換した位置補正用変換特徴量をサーバに送信する。サーバは位置補正テンプレートと位置補正用変換特徴量を用いて、登録用特徴量配列に対する認証用特徴量配列の位置補正量を検出し、クライアントに送信する。クライアントは位置補正量を用いて認証用特徴量配列を補正し、更に変換した照合用変換特徴量配列をサーバに送信する。サーバは照合テンプレートと、照合用変換特徴量配列との距離を計算し、これに基づいて認証成否を判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人の生体情報を用いて本人を認証する生体認証方法およびシステムに関する。
【背景技術】
【0002】
生体情報を用いた個人認証システムは、登録時に個人の生体情報を取得し、その生体情報から特徴量と呼ばれる情報を抽出して登録する。この登録情報をテンプレートという。認証時には、再び個人から生体情報を取得して特徴量を抽出し、先に登録されたテンプレートと照合して本人か否かを確認する。
【0003】
クライアントとサーバがネットワークを介して接続されたシステムにおいて、サーバがクライアント側にいるユーザを生体認証する場合、典型的にはサーバがテンプレートを保持する。クライアントは認証時にユーザの生体情報を取得し、特徴量を抽出してサーバへ送信し、サーバは特徴量をテンプレートと照合して本人か否かを確認する。
【0004】
しかし、テンプレートは個人を特定することのできる情報であるため、個人情報として厳密な管理が必要とされ、高い管理コストが必要となる。例え厳密に管理されていても、プライバシの観点からテンプレートを登録することに心理的な抵抗を感じる人も多い。また、一人の個人が持つ一種類の生体情報の数には限りがある(例えば指紋は10本の指のみ)ため、パスワードや暗号鍵のように容易にテンプレートを変更することができない。仮にテンプレートが漏洩して偽造の危険が生じた場合、そのテンプレートを用いる生体認証を使用することができなくなるという問題がある。さらに、他のシステムに同じ生体情報を登録している場合には、他のシステムまで脅威にさらされることになる。
【0005】
そこで、生体情報の登録時に特徴量を一定の関数(一種の暗号化)とクライアントが持つ秘密のパラメータ(一種の暗号鍵)で変換し、元の情報を秘匿した状態でテンプレートとしてサーバに保管し、認証時にクライアントが新たに抽出した生体情報の特徴量を、同じ関数とパラメータで変換してサーバへ送信し、サーバは受信した特徴量とテンプレートを変換された状態のまま照合する方法(キャンセラブル生体認証という)が提案されている。
【0006】
この方法によれば、クライアントが変換パラメータを秘密に保持することで、サーバは認証時においても元の特徴量を知ることができず、個人のプライバシが保護される。またテンプレートが漏洩した場合にも、変換パラメータを変更して再度テンプレートを作成、登録することで、安全性を保つことができる。更に他のシステムに同じ生体情報を用いる場合に、各々異なるパラメータで変換したテンプレートを登録することで、一つのテンプレートが漏洩しても他のシステムの安全性が低下することを防止することができる。
【0007】
キャンセラブル生体認証の具体的な実現方法は、生体情報の種類や照合アルゴリズムに依存する。特許文献1は、キャンセラブル虹彩認証の実現方法を示している。
【0008】
特許文献2は、特徴量が画像、特に輝度値(整数)の二次元配列で表現されるデータであって、2枚の画像の位置ずれを考慮した最大相関値に基づき一致/不一致を判定するような生体認証技術に対して適用可能な実現方法(以下、相関不変ランダムフィルタリングと呼ぶ)を示している。
【0009】
特許文献3および非特許文献1は、虹彩認証における特徴量(虹彩コード)は単純なビット列のみでは表現できず、撮像時のまぶたや光が反射している部分などの、虹彩パターンを抽出できなかった部分を示すマスクパターンが必要となること、及び二つの虹彩コードを比較する際、単純にハミング距離を計算するのではなく、一方の虹彩コードを少しずつ巡回シフトしながら繰り返しハミング距離を計算し、その最小値(最小ハミング距離)をしきい値と比較して一致/不一致を判定することを示している。
【0010】
【特許文献1】特開2005−209018号公報
【特許文献2】特開2007−293807号公報
【特許文献3】特許第3307936号公報
【非特許文献1】J. Daugman, “How Iris Recognition Works”, IEEE TRANSACTIONS ON CIRCUITS AND SYSTEMS FOR VIDEO TECHNOLOGY, VOL. 14, NO. 1, JANUARY 2004.
【発明の開示】
【発明が解決しようとする課題】
【0011】
上記特許文献1は、任意のnビットのコードX1,X2に対し、ハミング距離(HD、一致しないビットの数)が不変となるような、パラメトリックな変換f(X,R)の構成方法を示している。つまり任意のパラメータRに対し、以下が成立する。
【0012】
HD(X1,X2)=HD(f(X1,R),f(X2,R))
具体的には、コードXに対して、Rから決まるランダムなコードをビット連結し(ビット連結ステップ)、Rから決まるランダムなパターンでビット位置を置換し(ビット置換ステップ)、更にRから決まるランダムなコードとの排他的論理和を取る(排他的論理和ステップ)。なお特許文献1では、上記排他的論理和ステップの代わりに「回転」処理を加えると記述されているが、これはビット置換ステップと排他的論理和ステップの組合せと等価である。
【0013】
しかし、上記変換関数fを用いてキャンセラブル虹彩認証を構成することには、以下に示す問題点がある。
【0014】
特許文献3および非特許文献1によれば、上記したように、虹彩認証における特徴量(虹彩コード)は単純なビット列のみでは表現できず、撮像時のまぶたや光が反射している部分などの、虹彩パターンを抽出できなかった部分を示すマスクパターンが必要となる。換言すれば{0,1}の2値のビット列ではなく、{0,1,*}から成る3値のビット列で表現する必要がある。ここで“*”は、虹彩パターンを抽出できなかった部分を示す値であり、ハミング距離の計算において0,1のいずれとも一致すると見なす特殊なビット(以下“Don’t care bit”と呼ぶ)である。特許文献1は、Don’t care bitの存在を考慮していない。
【0015】
また特許文献3および非特許文献1によれば、二つの虹彩コードを比較する際、単純にハミング距離を計算するのではなく、一方の虹彩コードを少しずつ巡回シフトしながら繰り返しハミング距離を計算し、その最小値(最小ハミング距離)をしきい値と比較して一致/不一致を判定する。虹彩コードの巡回シフトは、元の虹彩画像における回転変換に対応し、この操作によって、ユーザの姿勢変化などに起因する撮像時の虹彩の回転ずれを吸収する。特許文献1は、このようなシフト操作を考慮しておらず、回転ずれが全く存在しない場合にしか正しく照合することができず、認証精度が著しく劣化すると考えられる。
【0016】
更に、上記の変換関数fにおいて、ビット連結するコードはRによって決定的に決まるものであり、認証毎に変化するものではない。一方、元の虹彩コードは認証毎にずれやノイズによって変化し得る。このため変換後のビット列を認証毎に記録し比較することで、何回認証しても変化しないビット位置は、連結ビットが置換された位置であることがわかる。従ってビット連結は虹彩コードを秘匿する上で安全性向上に寄与はしていない。
【0017】
一方特許文献2は、特徴量画像(2次元配列)X1(i,j),X2(i,j)に対し、その相関関数(相関画像)
C(i,j)=X1(i,j)*X2(i,j)=ΣkΣl X1(k,l)X2(k−i,l−j) (1)
を、X1,X2自体を秘匿したまま照合する方法を示している。これは、X1に対して、あるランダムに生成した可逆フィルタRを畳み込むことで秘匿し、またX2を反転した画像に対してRの逆フィルタR’を畳み込むことで秘匿し、秘匿された状態の2枚の画像を畳み込むことでC=X1*X2を計算する、という方法である。より具体的には、特徴量画像を基底変換(フーリエ変換または数論変換)した上で、各要素に対しパラメータにより決定されるランダムな値を乗算(登録時)または除算(認証時)して秘匿する。照合の際は、これらの変換画像同士を要素毎に乗算し、逆基底変換することで、相関画像を正しく計算することができる。相関画像C(i,j)は、X1に対してX2を相対的に(i,j)だけずらして(巡回シフトして)内積を計算した値を並べた2次元配列である。所定の最大ずれ許容量(ΔW,ΔH)に対して、その範囲内のC(i,j)の最大値を、所定のしきい値と比較することで、X1,X2の一致/不一致を判定することができる。
【0018】
上記特許文献2の方法は、容易に1次元配列の特徴量(虹彩コードなど)にも適用することができ、これによって上記特許文献1の問題点の一つであった、巡回シフトを考慮しなくてはならない問題に対して、解決策を与えうる。しかし特許文献2の方法は特徴量配列同士の相関値を計算するものであり、特許文献3および非特許文献1に示される虹彩認証のように、本来Don’t care bitを考慮したハミングに基づいて判定すべき生体認証に適用した場合、認証精度が劣化する。
【0019】
本発明の目的は、特徴量がDon’t care bitを含む1次元配列(ビット列)または2次元配列(画像)で表現され、その間の距離が、シフトずれ(位置ずれ)を考慮した最小ハミング距離で定義される生体認証方法やシステムに対して、精度劣化が小さく、安全性(特徴量の秘匿性)が高いキャンセラブル生体認証方法やシステムを与えることにある。
【課題を解決するための手段】
【0020】
本発明は、次のような態様の生体認証方法及びそのシステムである。クライアントは、生体情報の登録時に、登録者の生体情報から登録用特徴量配列を抽出し、登録用特徴量配列を変換する第1の照合用変換パラメータを生成し、登録用特徴量配列から位置補正テンプレートを作成し、第1の照合用変換パラメータを用いて登録用特徴量配列を変換した照合テンプレートを作成し、位置補正テンプレートおよび照合テンプレートをサーバに送信する。認証時には、利用者の生体情報から認証用特徴量配列を抽出し、認証用特徴量配列を変換する第2の照合用変換パラメータを生成し、認証用特徴量配列から位置補正用変換特徴量を作成し、位置補正用変換特徴量をサーバに送信する。サーバは、位置補正テンプレートおよび照合テンプレートを接続するデータベースに格納し、位置補正テンプレートとクライアントから送信された位置補正用変換特徴量とを用いて、登録用特徴量配列と認証用特徴量配列との間の位置補正量を計算し、位置補正量をクライアントに送信する。クライアントはさらに、位置補正量に基づいて認証用特徴量配列を位置補正した補正特徴量配列を作成し、第2の照合用変換パラメータを用いて補正特徴量配列を変換した照合用変換特徴量配列を作成し、照合用変換特徴量配列をサーバに送信する。サーバは、データベースに格納された照合テンプレートとクライアントから送信された照合用変換特徴量配列との距離を計算し、距離と所定の認証閾値との比較に基づいて、利用者の登録者との認証成否を判定する。
【0021】
本発明の望ましい他の態様は、登録用特徴量配列および認証用特徴量配列の各々は、所定のサイズLのビット配列であり、第1の照合用変換パラメータの生成は、サイズLのランダムなマスク用ビット配列の生成を含み、第1の照合用変換パラメータは、マスク用ビット配列を含み、照合テンプレートは、登録用特徴量配列とマスク用ビット配列との排他的論理和を求めた配列であり、照合用変換特徴量配列は、補正特徴量配列とマスク用ビット配列との排他的論理和を求めた配列であり、距離としてハミング距離を用いる。
【0022】
本発明の望ましいさらに他の態様は、登録用特徴量配列および認証用特徴量配列の各々は、所定のサイズLのビット配列であり、第1の照合用変換パラメータの生成は、サイズMのランダムな連結配列の生成とサイズ(L+M)の配列に対してその要素同士の位置を置換する置換パターンの生成とを含み、照合テンプレートの作成は、登録用特徴量配列と連結配列とを連結したサイズ(L+M)の登録用連結配列の作成と、置換パターンに従って登録用連結配列を置換した照合テンプレートの作成とを含み、照合用変換特徴量配列の作成は、連結配列に対して所定のオフセットハミング距離δだけ離れたサイズMの修飾連結配列の生成と、認証用特徴量配列と修飾連結配列とを連結したサイズ(L+M)の認証用連結配列の作成と、置換パターンに従って認証用連結配列を置換した照合用変換特徴量配列の作成とを含み、照合テンプレートと照合用変換特徴量配列との距離の計算は、照合テンプレートと照合用変換特徴量配列とのハミング距離dから、オフセットハミング距離δを引いた補正ハミング距離(d−δ)の計算であり、認証成否の判定のための距離は、補正ハミング距離である。
【0023】
本発明の望ましいさらに他の態様は、位置補正テンプレートの作成は、登録用特徴量配列の部分を切り出した、登録用局所特徴量配列の作成を含み、位置補正用変換特徴量の作成は、認証用特徴量配列の部分を切り出た、認証用部分特徴量配列の作成を含み、位置補正量の計算は、登録用局所特徴量配列に対し、認証用部分特徴量配列を繰り返しシフトしながら距離を計算し、距離が最小となるシフト量を位置補正量とし、補正特徴量配列の作成は、認証用特徴量配列を位置補正量だけシフトする。
【0024】
本発明の望ましいさらに他の態様は、生体情報の登録時に、登録用特徴量配列を変換する位置補正用変換パラメータを生成し、位置補正テンプレートの作成は、登録用特徴量配列から登録用局所特徴量配列の切り出しと、登録用局所特徴量配列を位置補正用変換パラメータを用いて変換した位置補正テンプレートの作成とを含み、位置補正用変換特徴量の作成は、認証用特徴量配列から認証用部分特徴量配列の切り出しと、認証用部分特徴量配列を位置補正用変換パラメータを用いて変換した位置補正用変換特徴量の作成とを含む。
【0025】
本発明の望ましいさらに他の態様は、生体情報の登録用のクライアントと認証用のクライアントとを異にする。
【発明の効果】
【0026】
本発明によれば、サーバに対し特徴量を秘匿したまま、精度劣化が小さく、安全性(特徴量の秘匿性)が高い生体認証を実現できる。
【発明を実施するための最良の形態】
【0027】
以下、図面を参照して、本発明の実施形態について説明する。本実施形態では、生体情報の特徴量をクライアント内で変換してサーバに送信し、サーバは元の特徴量を知らずに照合を行う、サーバ/クライアント型のキャンセラブル生体認証システムを例にあげて説明する。
【0028】
図1に、キャンセラブル生体認証システムの構成例を示す。
本実施形態のキャンセラブル生体認証システムは、登録・認証時の生体情報取得、特徴量抽出、および特徴量の変換を行うクライアント端末(以下、クライアント)100と、テンプレートの保管と照合を行う認証サーバ(以下、サーバ)130が、インターネットやイントラネットなどのネットワークを介し接続して構成される。
【0029】
クライアント100は、ユーザ自身か又は信頼できる第三者によって管理され、生体情報(例えば虹彩や指紋、静脈など)を取得するセンサ110を有する共に、記録媒体120に対してデータを読み書きする。記録媒体120は、ICカードやUSBメモリなどの携帯型記録媒体としてユーザが管理するとしてもよいし、クライアントに固定して接続されたハードディスクなどの記録媒体でもよい。例えば自宅からインターネットバンキングを行う場合、クライアント100はユーザが管理する自宅のPCであり、サーバ130は銀行が管理するサーバマシンとするような構成も可能である。このインターネットバンキングシステムの例では、ユーザの自宅のPCは認証用クライアントとして用い、登録用クライアントとして銀行に備えた窓口端末などを用いる構成でも良い。以下、説明を簡略化するために、クライアント100を生体情報の登録及び認証に用いることを前提に説明する。
【0030】
クライアント100は、センサから取得した生体情報の特徴量を抽出する特徴量抽出部101と、擬似乱数生成部102と、位置補正用変換パラメータ作成部103と、位置補正用特徴量変換部104と、照合用変換パラメータ作成部105と、照合用特徴量変換部106と、記録媒体I/F部107と、サーバとの通信を行なう通信部108とから構成される。
【0031】
ここで生体情報とは、例えば指紋画像や静脈画像、虹彩画像といったデータであり、特徴量とは、例えば指紋や静脈の画像を強調処理した画像(2次元配列)や、虹彩画像から特許文献3および非特許文献1に記載の方法で作成した虹彩コード(1次元配列)などを含む。特徴量の配列の各値は、{0,1,*}(“*”はDon’t care bit)の3値のいずれかを取るものとする。また2つの特徴量間の距離は、位置ずれ(シフトずれ)を考慮して少しずつずらしながら重ね合わせたときの、ハミング距離の最小値、あるいはそれを正規化した値で与えられるものとする。
【0032】
サーバ130は、クライアント100と通信を行う通信部131、テンプレートを管理するデータベース133、クライアントから受信した位置補正テンプレートおよび照合テンプレートをデータベース133に登録する登録部132、元の特徴量を知ることなく、登録特徴量と認証特徴量の位置ずれを補正するための位置補正量を計算する位置補正量計算部134と、元の特徴量を知ることなく、登録特徴量と位置ずれ補正後の認証用特徴量のハミング距離を計算し、一致/不一致を判定する照合判定部135とから構成される。
【0033】
図2に、キャンセラブル生体認証システムを実現するクライアント100、サーバ130のハードウェア構成例を示す。クライアント100およびサーバ130の各々は、図のようにCPU200、メモリ201、HDD202、入力装置203、出力装置204、通信装置205とから構成することができる。クライアント100においても、サーバ130においても図1に示す各処理部に対応するプログラムおよび各種データをメモリ201やHDD202に格納し、それらのプログラムをCPU200が実行することにより、本実施形態の生体認証システムを実現する。入力装置203や出力装置204は、適宜ユーザやサーバの管理者により用いられ、通信装置205はネットワークに接続される。
【0034】
図3に、本実施形態における生体情報の登録処理フロー図を示す。クライアント100の擬似乱数生成部102が、時刻やオペレータのランダムなキーボード入力などをシードとして擬似乱数を生成し、以降の擬似乱数生成において用いる乱数シードをランダムに生成する。これを擬似乱数生成部102のシードとして設定する(S301)。
【0035】
位置補正用変換パラメータ作成部103が、擬似乱数生成部102を用いて、位置補正用変換パラメータをランダムに生成する(S302)。生成方法の詳細は後述する。
【0036】
照合用変換パラメータ作成部105が、擬似乱数生成部102を用いて、照合用変換パラメータをランダムに生成する(S303)。生成方法の詳細は後述する。
【0037】
センサ110がユーザ(登録者)の生体情報を取得する(S304)。
【0038】
特徴量抽出部101が、取得した生体情報から登録特徴量を抽出する(S305)。ここでは例として、特徴量がサイズW×Hの画像(2次元配列)であり、登録用特徴量配列と呼ぶ。前述のように、各要素(画素)の値は{0,1,*}のいずれかを取るものとする。
【0039】
位置補正用特徴量変換部104が、S302で生成した位置補正用変換パラメータを用いて、登録特徴量を変換し、位置補正テンプレートを作成する(S306)。変換方法の詳細は後述する。
【0040】
照合用特徴量変換部106が、S303で生成した照合用変換パラメータを用いて、登録特徴量を変換し、照合テンプレートを作成し、位置補正テンプレートと照合テンプレートをサーバ130に送信する(S307)。変換方法の詳細は後述する。
【0041】
サーバ130の登録部132が、受信した位置補正テンプレートと照合テンプレートを、データベース133に登録する(S308)。
【0042】
クライアント100の記録媒体I/F部107が、記録媒体120に、擬似乱数生成部102が設定した乱数シードを書き込む(S309)。記録媒体120はユーザが所持、管理する。
【0043】
なお、後述するマスクコードや連結コードなども記録媒体120に格納し、登録時にクライアント100内で生成した各種データやパラメータなどを削除しておくことにより、クライアント100に対する不正アクセスによる生体認証に係る情報の漏洩を防止することができる。また、認証用クライアントを登録用クライアントと異にするシステム構成においては、マスクコードや連結コードなどの記録媒体120への格納が必要となる。
【0044】
図4に、本実施形態における生体情報の認証フロー図を示す。
クライアント100の記録媒体I/F部107が、ユーザの記録媒体120から乱数シードを読み込み、擬似乱数生成部102のシードとして設定する(S401)。
【0045】
位置補正用変換パラメータ作成部103が、擬似乱数生成部102を用いて、位置補正用変換パラメータをランダムに生成する(S402)。
【0046】
照合用変換パラメータ作成部105が、擬似乱数生成部102を用いて、照合用変換パラメータをランダムに生成する(S403)。ここで、S401で設定した乱数シードが登録フローのS309で書き込んだ乱数シードと同一であれば、擬似乱数生成部102は全く同じ乱数列を出力するため、S302とS402は同一の位置補正用変換パラメータを生成し、S303とS403は同一の照合用変換パラメータを生成する。
【0047】
センサ110がユーザ(利用者)の生体情報を取得する(S404)。
特徴量抽出部101が、取得した生体情報から認証特徴量(認証用特徴量配列)を抽出する(S405)。
【0048】
位置補正用特徴量変換部104が、S402で生成した位置補正用変換パラメータを用いて、認証特徴量を変換し、位置補正用変換特徴量を作成し、作成した位置補正用変換特徴量をサーバ130に送信する(S406)。変換方法の詳細は後述する。
【0049】
サーバ130の位置補正量計算部134は、受信した位置補正用変換特徴量と、データベース133に登録してある位置補正テンプレートとを用いて、登録特徴量と認証特徴量の間の位置補正量を計算し、求めた位置補正量をクライアント100に送信する(S407)。
【0050】
クライアント100の照合用特徴量変換部106は、認証特徴量を、受信した位置補正量を用いて位置補正し、S403で生成した照合用変換パラメータを用いて、位置補正した認証特徴量(補正特徴量配列と呼ぶ)を変換し、照合用変換特徴量を作成し、サーバ130に送信する(S408)。
【0051】
サーバ130の照合判定部135は、受信した照合用変換特徴量と、データベース133に登録してある照合テンプレートとのハミング距離を計算し、所定のしきい値以下であれば、認証ユーザ(利用者)の登録ユーザ(登録者)との認証成功、そうでなければ認証失敗と判定(成否判定)する(S409)。
【0052】
このようにサーバ130は元の登録特徴量および認証特徴量を知ることなく、その一致/不一致を判定することができる。
【0053】
以下では、登録時、認証時における、位置補正用特徴量変換フローおよび、照合用特徴量変換フローを説明する。なお位置補正用特徴量変換は、たとえば特許文献2に記載の生体特徴量の変換方法を用いる。
【0054】
図5に、登録時の位置補正用変換パラメータ生成(S302)および位置補正用特徴量変換(S306)の詳細なフロー図を示す。
【0055】
位置補正用変換パラメータ生成(S302)では、まず擬似乱数生成部102が擬似乱数列を生成する(S501)。
次に位置補正用変換パラメータ作成部103が、ランダムフィルタを生成する(S502)。ランダムフィルタは、サイズがW2×H2の二次元配列であり、配列の各要素は所定の範囲で一様ランダムな整数値を取るよう作成する。
【0056】
位置補正用特徴量変換(S306)では、まず位置補正用特徴量変換部104が、登録特徴量の画像中心から、サイズW1×H1(W1≦W2、H1≦H2)の局所画像(登録用局所特徴量配列)を切り出す(S503)。ここでW1、H1は、登録特徴量と認証特徴量を重ね合わせる際の位置補正量(Δx,Δy)の許容範囲を、
−ΔW≦Δx≦ΔW、−ΔH≦Δy≦ΔHとした場合、
W1=W2−2×ΔW、H1=H2−2×ΔHとする。
【0057】
次に局所画像の各画素値を次の規則に従って符号化(数値化)する(S504)。符号化した配列(局所画像)を、登録用符号化局所特徴量配列と呼ぶ。
1→1、0→−1、*→0
符号化した局所画像の上下左右を反転する(S505)。
反転した画像(サイズW1×H1)を中心に、サイズをW2×H2まで拡張し、拡張領域を0でパディングする(S506)。
拡張およびパディングした画像を、基底変換(フーリエ変換または数論変換)する(S507)。
【0058】
基底変換した画像とS502で生成したランダムフィルタ(いずれもサイズW2×H2)を、対応する画素毎に乗算し、位置補正テンプレートとする(S508)。なお乗算は、基底変換の定義体(フーリエ変換であれば複素数体、数論変換であれば素体Z/pZなど)上の演算とする。このように要素毎にランダムな値を乗算することで、元の画像を秘匿することができる。
【0059】
図6に、認証時の位置補正用特徴量変換(S406)および位置補正量計算(S407)の詳細なフロー図を示す。
【0060】
位置補正用特徴量変換(S406)では、まずクライアント100の位置補正用特徴量変換部104が、認証特徴量の画像中心から、サイズW2×H2の部分画像(認証用部分特徴量配列)を切り出す(S601)。
【0061】
次に、この部分画像の各画素値を次の規則に従って符号化(数値化)する(S602)。符号化した配列(部分画像)を、認証用符号化部分特徴量配列と呼ぶ。
1→1、0→−1、*→0
符号化した部分画像を、基底変換(フーリエ変換または数論変換)する(S603)。
【0062】
基底変換した画像の各画素値に対し、登録時に作成したランダムフィルタの対応する画素値で除算して作成した画像を位置補正用変換特徴量とし、サーバ130に送信する(S604)。なお除算は、基底変換の定義体(フーリエ変換であれば複素数体、数論変換であれば素体Z/pZなど)上の演算とする。
【0063】
位置補正量計算(S407)では、サーバ130の位置補正量計算部134が、受信した位置補正用変換特徴量と、データベース133から読み出した位置補正テンプレートとを、対応する画素毎に乗算し、乗算画像を作成する(S605)。
【0064】
作成した乗算画像を逆基底変換(逆フーリエ変換または逆数論変換)し、相関画像700を計算する(S606)。相関画像は、登録特徴量から切り出した局所画像(登録用符号化部分特徴量配列)と、認証特徴量から切り出した部分画像(認証用符号化部分特徴量配列)の相関関数(相関画像、相関配列)(式(1))となる。
【0065】
相関画像700から、相関のピーク位置(最大値をとる配列要素の位置)を探索する(S607)。図7に相関画像700の模式図を示す。相関画像C(x,y)は、認証特徴量から切り出した部分画像に対して登録特徴量から切り出した局所画像を(x,y)だけずらして重ね合わせたときの、対応する画素毎の乗算値の和(内積値)を格納している。この内積値が大きいほど、ずれ量(x,y)における画像の一致度が高いことを意味する。ここで相関画像上の座標(x,y)は巡回的であり、相関画像700の、
左上(ΔW+1)×(ΔH+1)の領域は 0≦x≦ΔW、0≦y≦ΔH、
左下(ΔW+1)×ΔH の領域は 0≦x≦ΔW、−ΔH≦y<0、
右上ΔW×(ΔH+1) の領域は −ΔW≦x<0、0≦y≦ΔH、
右下ΔW×ΔH の領域は −ΔW≦x<0、−ΔH≦y<0
とする。それ以外の領域は参照しない。上記の領域中の相関画像700の画素値(内積値)の中の最大値を検索し、この最大値を達成する座標(図中、ピーク位置)を(Δx,Δy)とする。最大値を達成する座標が複数存在する場合は、そのうち1つを任意に選び(Δx,Δy)とする。(Δx,Δy)を位置補正量とする。
【0066】
このように本実施形態では、最大値を達成する座標(Δx,Δy)を、位置補正量としてクライアント100にフィードバックすることで、クライアント100がサーバ130に対し元の特徴量を秘匿したまま、特徴量の位置補正を行うことが可能となる。更に本実施形態によれば、位置補正処理においてクライアントは元の登録特徴量を知ることができない。このため、不正なクライアント利用者が元の登録特徴量を入手しようとする攻撃を防止することができる。
【0067】
なお特許文献1では、クライアント側で特徴量の位置補正を行なうことができないため、登録特徴量と認証特徴量にずれが存在する場合、正しく距離計算を行なうことができず、認証精度が大幅に劣化してしまう問題があった。本実施例はこの問題に対する解決策を与える。
【0068】
図8に、登録時の照合用変換パラメータ生成(S303)および照合用特徴量変換(S307)の詳細なフロー図を示す。また図10に、認証特徴量の位置補正およびパディング処理を説明する図を示す。認証特徴量画像は図10に示すように、サイズW×Hの画像(2次元配列)で表現され、各画素値は{0,1,*}のいずれかの値をとる。
【0069】
照合用変換パラメータ生成(S303)では、まず擬似乱数生成部102が擬似乱数列を生成する(S801)。
【0070】
次に照合用パラメータ作成部105が、長さL=W×H(bit)の、Don’t care bitを含まないビット列(マスク用ビット配列)をランダムに作成し、マスクコードC1とする(S802)。
【0071】
また長さM(≧0)bitの、Don’t care bitを含むビット列(連結配列)をランダムに作成し、連結コードC2とする(S803)。
【0072】
更に、長さN=L+Mの置換
σ=(σ(1),σ(2),・・・,σ(N))
をランダムに生成し、置換パターンとする(S804)。ここで置換σは、自然数集合{1,2,…,N}の任意の並べ替え(順列)であり、長さNのビット列(配列)
b=(b(1),b(2),…,b(N))
に対して、
b’=σb=(b(σ(1)),b(σ(2)),・・・,b(σ(N)))
なるビット列b’を対応させる写像を表す。
【0073】
次に照合用特徴量変換(S307)では、まず照合用特徴量変換部106が、登録特徴量をビット列とみなした登録特徴量コードX(L bit)に対し、マスクコードC1との排他的論理和を計算する(S810)。
X1=X(+)C1 (“(+)”は排他的論理和(XOR)を表す)
なおここで、任意のビットとDon’t care bit“*”の排他的論理和は常に“*”である。つまり
*(+)0=0(+)*=*(+)1=1(+)*=*
である。(2値論理{0,1}における排他的論理和の演算条件(互いに異なれば1、同じならば0)に加えて、排他的論理和を求める少なくとも一方のビットが*であるならば、その排他的論理和を*とする。)
計算結果のビット列X1に対し、連結コードC2をビット連結する(S811)。
X2=X1‖C2 (“‖”はビット連結を表す)
計算結果のビット列X2(登録用連結配列)に対し、置換パターンσによりビット置換する(S812)。
X’=σ X2
置換後のビット列X’を、照合テンプレートとする。このように本実施形態によれば、登録特徴量に対してランダムなビット列との排他的論理和、ランダムなコードとの連結、ランダムなビット置換を施すことにより、元の特徴量を強固に秘匿した状態で、照合テンプレートとしてサーバ130に登録する。
【0074】
図9に、認証時の位置補正および照合用特徴量変換(S408)および、照合判定(S409)の詳細なフロー図を示す。
【0075】
位置補正および照合用特徴量変換(S408)では、まず擬似乱数生成部102が擬似乱数列を生成する(S901)。
【0076】
次に照合用特徴量変換部106が、図10に示すように、認証特徴量を位置補正量(Δx,Δy)だけシフトし、空いた領域をDon’t care bit“*”でパディングする(S902)。なおシフトにより元の画像領域(サイズW×H)からはみ出した領域は切り捨てる。
【0077】
シフトおよびパディングした画像(補正特徴量配列)をビット列とみなした補正特徴量コードY(L bit)に対し、マスクコードC1との排他的論理和を計算する(S903)。
Y1=Y(+)C1
連結コードC2に対し、所定のハミング距離δ(≦M)だけ離れた修飾連結コードC3(修飾連結配列)をランダムに作成する(S904)。修飾連結コードC3は、連結コードC2の中の0または1のビット位置からランダムにδ個を選択し、選択したビット位置のビットを反転するとともに、全ての*のビット位置について{0,1,*}の任意のビット値に置き換えることで作成する。
【0078】
ビット列Y1に対し、修飾連結コードC3をビット連結する(S905)。
Y2=Y1‖C3
計算結果のビット列Y2(認証用連結配列)に対し、前記置換パターンσによりビット置換し、置換後のビット列Y’を照合用変換特徴量とする(S906)。
Y’=σ Y2
照合判定(S409)では、まず照合判定部135が、照合用変換特徴量Y’と照合テンプレートX’のハミング距離を計算し、そこから所定のハミング距離δを引いて、距離値dを計算する(S910)。
d=HD(X’,Y’)−δ
ここで、任意のビット列A,Bに対して
HD(A,B)=HW(A(+)B),
(HW(C) はビット列Cにおける”1”のビット数(ハミング重み))
HW(σA)=HW(A),
HW(A‖B)=HW(A)+HW(B)
σA(+)σB=σ(A(+)B)
が成立するため、
HW(X’(+)Y’)
=HW(σ((X(+)C1)‖C2)(+)σ((Y(+)C1)‖C3))
=HW(σ(((X(+)C1)‖C2)(+)((Y(+)C1)‖C3)))
=HW(((X(+)C1)‖C2)(+)((Y(+)C1)‖C3))
=HW(((X(+)C1)(+)(Y(+)C1))‖(C2(+)C3))
=HW((X(+)C1)(+)(Y(+)C1))+HW(C2(+)C3)
=HW(X(+)Y)+δ
となり、従って
d=HW(X(+)Y)
=HD(X,Y)
となる。つまり距離値dは登録特徴量Xと認証特徴量Yのハミング距離に一致する。
【0079】
最後に距離値dを、所定の認証閾値tと比較し、
d≦t ならば認証成功(OK)
d>t ならば認証失敗(NG)
と判定する(S911)。
【0080】
なお非特許文献1では、ハミング距離dを、
Z=X(+)Y
における”0”または”1”のビット数nで割った正規化ハミング距離
d’=d/n
を用いて一致/不一致を判定する。
【0081】
本実施形態は、以下のような計算を行なうことで、正規化ハミング距離に基づく認証にも適用することができる。
HW2(C)を、ビット列Cにおける”0”または”1”のビット数を表すものとする。任意のビット列A,Bに対して
HW2(σA)=HW2(A),
HW2(A‖B)=HW2(A)+HW2(B)
が成立するため、
HW2(X’(+)Y’)
=HW2(σ((X(+)C1)‖C2)(+)σ((Y(+)C1)‖C3))
=HW2(σ(((X(+)C1)‖C2)(+)((Y(+)C1)‖C3)))
=HW2(((X(+)C1)‖C2)(+)((Y(+)C1)‖C3))
=HW2(((X(+)C1)(+)(Y(+)C1))‖(C2(+)C3))
=HW2((X(+)C1)(+)(Y(+)C1))+HW2(C2(+)C3)
=HW2(X(+)Y)+HW2(C2)
=n+δ2 (δ2=HW2(C2))
となる。従って登録時に予めδ2を計算し、サーバ130がテンプレートと共に記憶しておくことで、正規化ハミング距離の分母nを
n=HW2(X’(+)Y’)−δ2
と計算することができる。
【0082】
以上のように本実施形態によれば、認証特徴量に対してランダムなビット列との排他的論理和、ランダムなコードとの連結、ランダムなビット置換を施すことにより、元の特徴量を強固に秘匿した状態で、照合用変換特徴量としてサーバ130に送信する。特に認証用連結コードC3を認証の度にランダムに作成するため、仮に悪意のあるサーバが、同一ユーザの複数回の認証における照合用変換特徴量を比較する攻撃を行っても、連結コードから置換されたビット位置を特定することはできず、高いセキュリティを実現する。
【0083】
なお特許文献1の方法では、連結コードは認証の度に変化しない固定のコードであったため、攻撃により連結コードから置換されたビット位置を特定することが可能であり、連結コードの利用がセキュリティ向上に寄与しないという問題があった。本実施形態はこの問題に対する解決策を与える。
【0084】
また特許文献2の方法では、特徴量同士の相関値に基づいて照合スコアを定義していたため、ハミング距離に基づく従来の認証アルゴリズムに対して適用した場合に認証精度が劣化する可能性があった。本実施形態は最終的にハミング距離に基づいて判定するため、特許文献2の方法と比較して精度劣化が小さいという利点がある。
【0085】
本実施形態によれば、特徴量がDon’t care bitを含む1次元配列(ビット列)または2次元配列(画像)で表現され、その間の距離が、シフトずれ(位置ずれ)を考慮した最小ハミング距離で定義される生体認証方式を用いたクライアント/サーバ型の生体認証システムにおいて、従来の生体認証方式と同等の認証精度を保ったまま、クライアントがテンプレートを保持することなく、またサーバに対し特徴量を秘匿したまま、認証を受けることが可能な、キャンセラブル生体認証を実現することができる。これにより、多数のユーザを管理する大規模生体認証システムにおいて、サーバ管理者の不正やミスなどによる情報漏洩が発生しても、ユーザの生体情報(およびそこから抽出した特徴量)を安全に保護することが可能となる。
【図面の簡単な説明】
【0086】
【図1】キャンセラブル生体認証システムの構成例を示す図である。
【図2】キャンセラブル生体認証システムを実現するクライアント、サーバのハードウェア構成を示す図である。
【図3】生体情報の登録処理フロー図である。
【図4】生体情報の認証処理フロー図である。
【図5】登録時の位置補正用変換パラメータ生成および位置補正用特徴量変換の処理フロー図である。
【図6】認証時の位置補正用特徴量変換および位置補正量計算の処理フロー図である。
【図7】相関画像の模式図である。
【図8】登録時の照合用変換パラメータ生成および照合用特徴量変換の処理フロー図である。
【図9】認証時の位置補正および照合用特徴量変換、および照合判定の処理フロー図である。
【図10】認証特徴量の位置補正およびパディング処理を説明する図である。
【符号の説明】
【0087】
100:クライアント、101:特徴量抽出部、102:擬似乱数生成部、103:位置補正用変換パラメータ作成部、104:位置補正用特徴量変換部、105:照合用変換パラメータ作成部、106:照合用特徴量変換部、107:記録媒体I/F部、108:通信部、110:センサ、120:記録媒体、130:サーバ、131:通信部、132:登録部、133:データベース、134:位置補正量計算部、135:照合判定部、200:CPU、201:メモリ、202:HDD、203:入力装置、204:出力装置、
205:通信装置、700:相関画像。
【技術分野】
【0001】
本発明は、個人の生体情報を用いて本人を認証する生体認証方法およびシステムに関する。
【背景技術】
【0002】
生体情報を用いた個人認証システムは、登録時に個人の生体情報を取得し、その生体情報から特徴量と呼ばれる情報を抽出して登録する。この登録情報をテンプレートという。認証時には、再び個人から生体情報を取得して特徴量を抽出し、先に登録されたテンプレートと照合して本人か否かを確認する。
【0003】
クライアントとサーバがネットワークを介して接続されたシステムにおいて、サーバがクライアント側にいるユーザを生体認証する場合、典型的にはサーバがテンプレートを保持する。クライアントは認証時にユーザの生体情報を取得し、特徴量を抽出してサーバへ送信し、サーバは特徴量をテンプレートと照合して本人か否かを確認する。
【0004】
しかし、テンプレートは個人を特定することのできる情報であるため、個人情報として厳密な管理が必要とされ、高い管理コストが必要となる。例え厳密に管理されていても、プライバシの観点からテンプレートを登録することに心理的な抵抗を感じる人も多い。また、一人の個人が持つ一種類の生体情報の数には限りがある(例えば指紋は10本の指のみ)ため、パスワードや暗号鍵のように容易にテンプレートを変更することができない。仮にテンプレートが漏洩して偽造の危険が生じた場合、そのテンプレートを用いる生体認証を使用することができなくなるという問題がある。さらに、他のシステムに同じ生体情報を登録している場合には、他のシステムまで脅威にさらされることになる。
【0005】
そこで、生体情報の登録時に特徴量を一定の関数(一種の暗号化)とクライアントが持つ秘密のパラメータ(一種の暗号鍵)で変換し、元の情報を秘匿した状態でテンプレートとしてサーバに保管し、認証時にクライアントが新たに抽出した生体情報の特徴量を、同じ関数とパラメータで変換してサーバへ送信し、サーバは受信した特徴量とテンプレートを変換された状態のまま照合する方法(キャンセラブル生体認証という)が提案されている。
【0006】
この方法によれば、クライアントが変換パラメータを秘密に保持することで、サーバは認証時においても元の特徴量を知ることができず、個人のプライバシが保護される。またテンプレートが漏洩した場合にも、変換パラメータを変更して再度テンプレートを作成、登録することで、安全性を保つことができる。更に他のシステムに同じ生体情報を用いる場合に、各々異なるパラメータで変換したテンプレートを登録することで、一つのテンプレートが漏洩しても他のシステムの安全性が低下することを防止することができる。
【0007】
キャンセラブル生体認証の具体的な実現方法は、生体情報の種類や照合アルゴリズムに依存する。特許文献1は、キャンセラブル虹彩認証の実現方法を示している。
【0008】
特許文献2は、特徴量が画像、特に輝度値(整数)の二次元配列で表現されるデータであって、2枚の画像の位置ずれを考慮した最大相関値に基づき一致/不一致を判定するような生体認証技術に対して適用可能な実現方法(以下、相関不変ランダムフィルタリングと呼ぶ)を示している。
【0009】
特許文献3および非特許文献1は、虹彩認証における特徴量(虹彩コード)は単純なビット列のみでは表現できず、撮像時のまぶたや光が反射している部分などの、虹彩パターンを抽出できなかった部分を示すマスクパターンが必要となること、及び二つの虹彩コードを比較する際、単純にハミング距離を計算するのではなく、一方の虹彩コードを少しずつ巡回シフトしながら繰り返しハミング距離を計算し、その最小値(最小ハミング距離)をしきい値と比較して一致/不一致を判定することを示している。
【0010】
【特許文献1】特開2005−209018号公報
【特許文献2】特開2007−293807号公報
【特許文献3】特許第3307936号公報
【非特許文献1】J. Daugman, “How Iris Recognition Works”, IEEE TRANSACTIONS ON CIRCUITS AND SYSTEMS FOR VIDEO TECHNOLOGY, VOL. 14, NO. 1, JANUARY 2004.
【発明の開示】
【発明が解決しようとする課題】
【0011】
上記特許文献1は、任意のnビットのコードX1,X2に対し、ハミング距離(HD、一致しないビットの数)が不変となるような、パラメトリックな変換f(X,R)の構成方法を示している。つまり任意のパラメータRに対し、以下が成立する。
【0012】
HD(X1,X2)=HD(f(X1,R),f(X2,R))
具体的には、コードXに対して、Rから決まるランダムなコードをビット連結し(ビット連結ステップ)、Rから決まるランダムなパターンでビット位置を置換し(ビット置換ステップ)、更にRから決まるランダムなコードとの排他的論理和を取る(排他的論理和ステップ)。なお特許文献1では、上記排他的論理和ステップの代わりに「回転」処理を加えると記述されているが、これはビット置換ステップと排他的論理和ステップの組合せと等価である。
【0013】
しかし、上記変換関数fを用いてキャンセラブル虹彩認証を構成することには、以下に示す問題点がある。
【0014】
特許文献3および非特許文献1によれば、上記したように、虹彩認証における特徴量(虹彩コード)は単純なビット列のみでは表現できず、撮像時のまぶたや光が反射している部分などの、虹彩パターンを抽出できなかった部分を示すマスクパターンが必要となる。換言すれば{0,1}の2値のビット列ではなく、{0,1,*}から成る3値のビット列で表現する必要がある。ここで“*”は、虹彩パターンを抽出できなかった部分を示す値であり、ハミング距離の計算において0,1のいずれとも一致すると見なす特殊なビット(以下“Don’t care bit”と呼ぶ)である。特許文献1は、Don’t care bitの存在を考慮していない。
【0015】
また特許文献3および非特許文献1によれば、二つの虹彩コードを比較する際、単純にハミング距離を計算するのではなく、一方の虹彩コードを少しずつ巡回シフトしながら繰り返しハミング距離を計算し、その最小値(最小ハミング距離)をしきい値と比較して一致/不一致を判定する。虹彩コードの巡回シフトは、元の虹彩画像における回転変換に対応し、この操作によって、ユーザの姿勢変化などに起因する撮像時の虹彩の回転ずれを吸収する。特許文献1は、このようなシフト操作を考慮しておらず、回転ずれが全く存在しない場合にしか正しく照合することができず、認証精度が著しく劣化すると考えられる。
【0016】
更に、上記の変換関数fにおいて、ビット連結するコードはRによって決定的に決まるものであり、認証毎に変化するものではない。一方、元の虹彩コードは認証毎にずれやノイズによって変化し得る。このため変換後のビット列を認証毎に記録し比較することで、何回認証しても変化しないビット位置は、連結ビットが置換された位置であることがわかる。従ってビット連結は虹彩コードを秘匿する上で安全性向上に寄与はしていない。
【0017】
一方特許文献2は、特徴量画像(2次元配列)X1(i,j),X2(i,j)に対し、その相関関数(相関画像)
C(i,j)=X1(i,j)*X2(i,j)=ΣkΣl X1(k,l)X2(k−i,l−j) (1)
を、X1,X2自体を秘匿したまま照合する方法を示している。これは、X1に対して、あるランダムに生成した可逆フィルタRを畳み込むことで秘匿し、またX2を反転した画像に対してRの逆フィルタR’を畳み込むことで秘匿し、秘匿された状態の2枚の画像を畳み込むことでC=X1*X2を計算する、という方法である。より具体的には、特徴量画像を基底変換(フーリエ変換または数論変換)した上で、各要素に対しパラメータにより決定されるランダムな値を乗算(登録時)または除算(認証時)して秘匿する。照合の際は、これらの変換画像同士を要素毎に乗算し、逆基底変換することで、相関画像を正しく計算することができる。相関画像C(i,j)は、X1に対してX2を相対的に(i,j)だけずらして(巡回シフトして)内積を計算した値を並べた2次元配列である。所定の最大ずれ許容量(ΔW,ΔH)に対して、その範囲内のC(i,j)の最大値を、所定のしきい値と比較することで、X1,X2の一致/不一致を判定することができる。
【0018】
上記特許文献2の方法は、容易に1次元配列の特徴量(虹彩コードなど)にも適用することができ、これによって上記特許文献1の問題点の一つであった、巡回シフトを考慮しなくてはならない問題に対して、解決策を与えうる。しかし特許文献2の方法は特徴量配列同士の相関値を計算するものであり、特許文献3および非特許文献1に示される虹彩認証のように、本来Don’t care bitを考慮したハミングに基づいて判定すべき生体認証に適用した場合、認証精度が劣化する。
【0019】
本発明の目的は、特徴量がDon’t care bitを含む1次元配列(ビット列)または2次元配列(画像)で表現され、その間の距離が、シフトずれ(位置ずれ)を考慮した最小ハミング距離で定義される生体認証方法やシステムに対して、精度劣化が小さく、安全性(特徴量の秘匿性)が高いキャンセラブル生体認証方法やシステムを与えることにある。
【課題を解決するための手段】
【0020】
本発明は、次のような態様の生体認証方法及びそのシステムである。クライアントは、生体情報の登録時に、登録者の生体情報から登録用特徴量配列を抽出し、登録用特徴量配列を変換する第1の照合用変換パラメータを生成し、登録用特徴量配列から位置補正テンプレートを作成し、第1の照合用変換パラメータを用いて登録用特徴量配列を変換した照合テンプレートを作成し、位置補正テンプレートおよび照合テンプレートをサーバに送信する。認証時には、利用者の生体情報から認証用特徴量配列を抽出し、認証用特徴量配列を変換する第2の照合用変換パラメータを生成し、認証用特徴量配列から位置補正用変換特徴量を作成し、位置補正用変換特徴量をサーバに送信する。サーバは、位置補正テンプレートおよび照合テンプレートを接続するデータベースに格納し、位置補正テンプレートとクライアントから送信された位置補正用変換特徴量とを用いて、登録用特徴量配列と認証用特徴量配列との間の位置補正量を計算し、位置補正量をクライアントに送信する。クライアントはさらに、位置補正量に基づいて認証用特徴量配列を位置補正した補正特徴量配列を作成し、第2の照合用変換パラメータを用いて補正特徴量配列を変換した照合用変換特徴量配列を作成し、照合用変換特徴量配列をサーバに送信する。サーバは、データベースに格納された照合テンプレートとクライアントから送信された照合用変換特徴量配列との距離を計算し、距離と所定の認証閾値との比較に基づいて、利用者の登録者との認証成否を判定する。
【0021】
本発明の望ましい他の態様は、登録用特徴量配列および認証用特徴量配列の各々は、所定のサイズLのビット配列であり、第1の照合用変換パラメータの生成は、サイズLのランダムなマスク用ビット配列の生成を含み、第1の照合用変換パラメータは、マスク用ビット配列を含み、照合テンプレートは、登録用特徴量配列とマスク用ビット配列との排他的論理和を求めた配列であり、照合用変換特徴量配列は、補正特徴量配列とマスク用ビット配列との排他的論理和を求めた配列であり、距離としてハミング距離を用いる。
【0022】
本発明の望ましいさらに他の態様は、登録用特徴量配列および認証用特徴量配列の各々は、所定のサイズLのビット配列であり、第1の照合用変換パラメータの生成は、サイズMのランダムな連結配列の生成とサイズ(L+M)の配列に対してその要素同士の位置を置換する置換パターンの生成とを含み、照合テンプレートの作成は、登録用特徴量配列と連結配列とを連結したサイズ(L+M)の登録用連結配列の作成と、置換パターンに従って登録用連結配列を置換した照合テンプレートの作成とを含み、照合用変換特徴量配列の作成は、連結配列に対して所定のオフセットハミング距離δだけ離れたサイズMの修飾連結配列の生成と、認証用特徴量配列と修飾連結配列とを連結したサイズ(L+M)の認証用連結配列の作成と、置換パターンに従って認証用連結配列を置換した照合用変換特徴量配列の作成とを含み、照合テンプレートと照合用変換特徴量配列との距離の計算は、照合テンプレートと照合用変換特徴量配列とのハミング距離dから、オフセットハミング距離δを引いた補正ハミング距離(d−δ)の計算であり、認証成否の判定のための距離は、補正ハミング距離である。
【0023】
本発明の望ましいさらに他の態様は、位置補正テンプレートの作成は、登録用特徴量配列の部分を切り出した、登録用局所特徴量配列の作成を含み、位置補正用変換特徴量の作成は、認証用特徴量配列の部分を切り出た、認証用部分特徴量配列の作成を含み、位置補正量の計算は、登録用局所特徴量配列に対し、認証用部分特徴量配列を繰り返しシフトしながら距離を計算し、距離が最小となるシフト量を位置補正量とし、補正特徴量配列の作成は、認証用特徴量配列を位置補正量だけシフトする。
【0024】
本発明の望ましいさらに他の態様は、生体情報の登録時に、登録用特徴量配列を変換する位置補正用変換パラメータを生成し、位置補正テンプレートの作成は、登録用特徴量配列から登録用局所特徴量配列の切り出しと、登録用局所特徴量配列を位置補正用変換パラメータを用いて変換した位置補正テンプレートの作成とを含み、位置補正用変換特徴量の作成は、認証用特徴量配列から認証用部分特徴量配列の切り出しと、認証用部分特徴量配列を位置補正用変換パラメータを用いて変換した位置補正用変換特徴量の作成とを含む。
【0025】
本発明の望ましいさらに他の態様は、生体情報の登録用のクライアントと認証用のクライアントとを異にする。
【発明の効果】
【0026】
本発明によれば、サーバに対し特徴量を秘匿したまま、精度劣化が小さく、安全性(特徴量の秘匿性)が高い生体認証を実現できる。
【発明を実施するための最良の形態】
【0027】
以下、図面を参照して、本発明の実施形態について説明する。本実施形態では、生体情報の特徴量をクライアント内で変換してサーバに送信し、サーバは元の特徴量を知らずに照合を行う、サーバ/クライアント型のキャンセラブル生体認証システムを例にあげて説明する。
【0028】
図1に、キャンセラブル生体認証システムの構成例を示す。
本実施形態のキャンセラブル生体認証システムは、登録・認証時の生体情報取得、特徴量抽出、および特徴量の変換を行うクライアント端末(以下、クライアント)100と、テンプレートの保管と照合を行う認証サーバ(以下、サーバ)130が、インターネットやイントラネットなどのネットワークを介し接続して構成される。
【0029】
クライアント100は、ユーザ自身か又は信頼できる第三者によって管理され、生体情報(例えば虹彩や指紋、静脈など)を取得するセンサ110を有する共に、記録媒体120に対してデータを読み書きする。記録媒体120は、ICカードやUSBメモリなどの携帯型記録媒体としてユーザが管理するとしてもよいし、クライアントに固定して接続されたハードディスクなどの記録媒体でもよい。例えば自宅からインターネットバンキングを行う場合、クライアント100はユーザが管理する自宅のPCであり、サーバ130は銀行が管理するサーバマシンとするような構成も可能である。このインターネットバンキングシステムの例では、ユーザの自宅のPCは認証用クライアントとして用い、登録用クライアントとして銀行に備えた窓口端末などを用いる構成でも良い。以下、説明を簡略化するために、クライアント100を生体情報の登録及び認証に用いることを前提に説明する。
【0030】
クライアント100は、センサから取得した生体情報の特徴量を抽出する特徴量抽出部101と、擬似乱数生成部102と、位置補正用変換パラメータ作成部103と、位置補正用特徴量変換部104と、照合用変換パラメータ作成部105と、照合用特徴量変換部106と、記録媒体I/F部107と、サーバとの通信を行なう通信部108とから構成される。
【0031】
ここで生体情報とは、例えば指紋画像や静脈画像、虹彩画像といったデータであり、特徴量とは、例えば指紋や静脈の画像を強調処理した画像(2次元配列)や、虹彩画像から特許文献3および非特許文献1に記載の方法で作成した虹彩コード(1次元配列)などを含む。特徴量の配列の各値は、{0,1,*}(“*”はDon’t care bit)の3値のいずれかを取るものとする。また2つの特徴量間の距離は、位置ずれ(シフトずれ)を考慮して少しずつずらしながら重ね合わせたときの、ハミング距離の最小値、あるいはそれを正規化した値で与えられるものとする。
【0032】
サーバ130は、クライアント100と通信を行う通信部131、テンプレートを管理するデータベース133、クライアントから受信した位置補正テンプレートおよび照合テンプレートをデータベース133に登録する登録部132、元の特徴量を知ることなく、登録特徴量と認証特徴量の位置ずれを補正するための位置補正量を計算する位置補正量計算部134と、元の特徴量を知ることなく、登録特徴量と位置ずれ補正後の認証用特徴量のハミング距離を計算し、一致/不一致を判定する照合判定部135とから構成される。
【0033】
図2に、キャンセラブル生体認証システムを実現するクライアント100、サーバ130のハードウェア構成例を示す。クライアント100およびサーバ130の各々は、図のようにCPU200、メモリ201、HDD202、入力装置203、出力装置204、通信装置205とから構成することができる。クライアント100においても、サーバ130においても図1に示す各処理部に対応するプログラムおよび各種データをメモリ201やHDD202に格納し、それらのプログラムをCPU200が実行することにより、本実施形態の生体認証システムを実現する。入力装置203や出力装置204は、適宜ユーザやサーバの管理者により用いられ、通信装置205はネットワークに接続される。
【0034】
図3に、本実施形態における生体情報の登録処理フロー図を示す。クライアント100の擬似乱数生成部102が、時刻やオペレータのランダムなキーボード入力などをシードとして擬似乱数を生成し、以降の擬似乱数生成において用いる乱数シードをランダムに生成する。これを擬似乱数生成部102のシードとして設定する(S301)。
【0035】
位置補正用変換パラメータ作成部103が、擬似乱数生成部102を用いて、位置補正用変換パラメータをランダムに生成する(S302)。生成方法の詳細は後述する。
【0036】
照合用変換パラメータ作成部105が、擬似乱数生成部102を用いて、照合用変換パラメータをランダムに生成する(S303)。生成方法の詳細は後述する。
【0037】
センサ110がユーザ(登録者)の生体情報を取得する(S304)。
【0038】
特徴量抽出部101が、取得した生体情報から登録特徴量を抽出する(S305)。ここでは例として、特徴量がサイズW×Hの画像(2次元配列)であり、登録用特徴量配列と呼ぶ。前述のように、各要素(画素)の値は{0,1,*}のいずれかを取るものとする。
【0039】
位置補正用特徴量変換部104が、S302で生成した位置補正用変換パラメータを用いて、登録特徴量を変換し、位置補正テンプレートを作成する(S306)。変換方法の詳細は後述する。
【0040】
照合用特徴量変換部106が、S303で生成した照合用変換パラメータを用いて、登録特徴量を変換し、照合テンプレートを作成し、位置補正テンプレートと照合テンプレートをサーバ130に送信する(S307)。変換方法の詳細は後述する。
【0041】
サーバ130の登録部132が、受信した位置補正テンプレートと照合テンプレートを、データベース133に登録する(S308)。
【0042】
クライアント100の記録媒体I/F部107が、記録媒体120に、擬似乱数生成部102が設定した乱数シードを書き込む(S309)。記録媒体120はユーザが所持、管理する。
【0043】
なお、後述するマスクコードや連結コードなども記録媒体120に格納し、登録時にクライアント100内で生成した各種データやパラメータなどを削除しておくことにより、クライアント100に対する不正アクセスによる生体認証に係る情報の漏洩を防止することができる。また、認証用クライアントを登録用クライアントと異にするシステム構成においては、マスクコードや連結コードなどの記録媒体120への格納が必要となる。
【0044】
図4に、本実施形態における生体情報の認証フロー図を示す。
クライアント100の記録媒体I/F部107が、ユーザの記録媒体120から乱数シードを読み込み、擬似乱数生成部102のシードとして設定する(S401)。
【0045】
位置補正用変換パラメータ作成部103が、擬似乱数生成部102を用いて、位置補正用変換パラメータをランダムに生成する(S402)。
【0046】
照合用変換パラメータ作成部105が、擬似乱数生成部102を用いて、照合用変換パラメータをランダムに生成する(S403)。ここで、S401で設定した乱数シードが登録フローのS309で書き込んだ乱数シードと同一であれば、擬似乱数生成部102は全く同じ乱数列を出力するため、S302とS402は同一の位置補正用変換パラメータを生成し、S303とS403は同一の照合用変換パラメータを生成する。
【0047】
センサ110がユーザ(利用者)の生体情報を取得する(S404)。
特徴量抽出部101が、取得した生体情報から認証特徴量(認証用特徴量配列)を抽出する(S405)。
【0048】
位置補正用特徴量変換部104が、S402で生成した位置補正用変換パラメータを用いて、認証特徴量を変換し、位置補正用変換特徴量を作成し、作成した位置補正用変換特徴量をサーバ130に送信する(S406)。変換方法の詳細は後述する。
【0049】
サーバ130の位置補正量計算部134は、受信した位置補正用変換特徴量と、データベース133に登録してある位置補正テンプレートとを用いて、登録特徴量と認証特徴量の間の位置補正量を計算し、求めた位置補正量をクライアント100に送信する(S407)。
【0050】
クライアント100の照合用特徴量変換部106は、認証特徴量を、受信した位置補正量を用いて位置補正し、S403で生成した照合用変換パラメータを用いて、位置補正した認証特徴量(補正特徴量配列と呼ぶ)を変換し、照合用変換特徴量を作成し、サーバ130に送信する(S408)。
【0051】
サーバ130の照合判定部135は、受信した照合用変換特徴量と、データベース133に登録してある照合テンプレートとのハミング距離を計算し、所定のしきい値以下であれば、認証ユーザ(利用者)の登録ユーザ(登録者)との認証成功、そうでなければ認証失敗と判定(成否判定)する(S409)。
【0052】
このようにサーバ130は元の登録特徴量および認証特徴量を知ることなく、その一致/不一致を判定することができる。
【0053】
以下では、登録時、認証時における、位置補正用特徴量変換フローおよび、照合用特徴量変換フローを説明する。なお位置補正用特徴量変換は、たとえば特許文献2に記載の生体特徴量の変換方法を用いる。
【0054】
図5に、登録時の位置補正用変換パラメータ生成(S302)および位置補正用特徴量変換(S306)の詳細なフロー図を示す。
【0055】
位置補正用変換パラメータ生成(S302)では、まず擬似乱数生成部102が擬似乱数列を生成する(S501)。
次に位置補正用変換パラメータ作成部103が、ランダムフィルタを生成する(S502)。ランダムフィルタは、サイズがW2×H2の二次元配列であり、配列の各要素は所定の範囲で一様ランダムな整数値を取るよう作成する。
【0056】
位置補正用特徴量変換(S306)では、まず位置補正用特徴量変換部104が、登録特徴量の画像中心から、サイズW1×H1(W1≦W2、H1≦H2)の局所画像(登録用局所特徴量配列)を切り出す(S503)。ここでW1、H1は、登録特徴量と認証特徴量を重ね合わせる際の位置補正量(Δx,Δy)の許容範囲を、
−ΔW≦Δx≦ΔW、−ΔH≦Δy≦ΔHとした場合、
W1=W2−2×ΔW、H1=H2−2×ΔHとする。
【0057】
次に局所画像の各画素値を次の規則に従って符号化(数値化)する(S504)。符号化した配列(局所画像)を、登録用符号化局所特徴量配列と呼ぶ。
1→1、0→−1、*→0
符号化した局所画像の上下左右を反転する(S505)。
反転した画像(サイズW1×H1)を中心に、サイズをW2×H2まで拡張し、拡張領域を0でパディングする(S506)。
拡張およびパディングした画像を、基底変換(フーリエ変換または数論変換)する(S507)。
【0058】
基底変換した画像とS502で生成したランダムフィルタ(いずれもサイズW2×H2)を、対応する画素毎に乗算し、位置補正テンプレートとする(S508)。なお乗算は、基底変換の定義体(フーリエ変換であれば複素数体、数論変換であれば素体Z/pZなど)上の演算とする。このように要素毎にランダムな値を乗算することで、元の画像を秘匿することができる。
【0059】
図6に、認証時の位置補正用特徴量変換(S406)および位置補正量計算(S407)の詳細なフロー図を示す。
【0060】
位置補正用特徴量変換(S406)では、まずクライアント100の位置補正用特徴量変換部104が、認証特徴量の画像中心から、サイズW2×H2の部分画像(認証用部分特徴量配列)を切り出す(S601)。
【0061】
次に、この部分画像の各画素値を次の規則に従って符号化(数値化)する(S602)。符号化した配列(部分画像)を、認証用符号化部分特徴量配列と呼ぶ。
1→1、0→−1、*→0
符号化した部分画像を、基底変換(フーリエ変換または数論変換)する(S603)。
【0062】
基底変換した画像の各画素値に対し、登録時に作成したランダムフィルタの対応する画素値で除算して作成した画像を位置補正用変換特徴量とし、サーバ130に送信する(S604)。なお除算は、基底変換の定義体(フーリエ変換であれば複素数体、数論変換であれば素体Z/pZなど)上の演算とする。
【0063】
位置補正量計算(S407)では、サーバ130の位置補正量計算部134が、受信した位置補正用変換特徴量と、データベース133から読み出した位置補正テンプレートとを、対応する画素毎に乗算し、乗算画像を作成する(S605)。
【0064】
作成した乗算画像を逆基底変換(逆フーリエ変換または逆数論変換)し、相関画像700を計算する(S606)。相関画像は、登録特徴量から切り出した局所画像(登録用符号化部分特徴量配列)と、認証特徴量から切り出した部分画像(認証用符号化部分特徴量配列)の相関関数(相関画像、相関配列)(式(1))となる。
【0065】
相関画像700から、相関のピーク位置(最大値をとる配列要素の位置)を探索する(S607)。図7に相関画像700の模式図を示す。相関画像C(x,y)は、認証特徴量から切り出した部分画像に対して登録特徴量から切り出した局所画像を(x,y)だけずらして重ね合わせたときの、対応する画素毎の乗算値の和(内積値)を格納している。この内積値が大きいほど、ずれ量(x,y)における画像の一致度が高いことを意味する。ここで相関画像上の座標(x,y)は巡回的であり、相関画像700の、
左上(ΔW+1)×(ΔH+1)の領域は 0≦x≦ΔW、0≦y≦ΔH、
左下(ΔW+1)×ΔH の領域は 0≦x≦ΔW、−ΔH≦y<0、
右上ΔW×(ΔH+1) の領域は −ΔW≦x<0、0≦y≦ΔH、
右下ΔW×ΔH の領域は −ΔW≦x<0、−ΔH≦y<0
とする。それ以外の領域は参照しない。上記の領域中の相関画像700の画素値(内積値)の中の最大値を検索し、この最大値を達成する座標(図中、ピーク位置)を(Δx,Δy)とする。最大値を達成する座標が複数存在する場合は、そのうち1つを任意に選び(Δx,Δy)とする。(Δx,Δy)を位置補正量とする。
【0066】
このように本実施形態では、最大値を達成する座標(Δx,Δy)を、位置補正量としてクライアント100にフィードバックすることで、クライアント100がサーバ130に対し元の特徴量を秘匿したまま、特徴量の位置補正を行うことが可能となる。更に本実施形態によれば、位置補正処理においてクライアントは元の登録特徴量を知ることができない。このため、不正なクライアント利用者が元の登録特徴量を入手しようとする攻撃を防止することができる。
【0067】
なお特許文献1では、クライアント側で特徴量の位置補正を行なうことができないため、登録特徴量と認証特徴量にずれが存在する場合、正しく距離計算を行なうことができず、認証精度が大幅に劣化してしまう問題があった。本実施例はこの問題に対する解決策を与える。
【0068】
図8に、登録時の照合用変換パラメータ生成(S303)および照合用特徴量変換(S307)の詳細なフロー図を示す。また図10に、認証特徴量の位置補正およびパディング処理を説明する図を示す。認証特徴量画像は図10に示すように、サイズW×Hの画像(2次元配列)で表現され、各画素値は{0,1,*}のいずれかの値をとる。
【0069】
照合用変換パラメータ生成(S303)では、まず擬似乱数生成部102が擬似乱数列を生成する(S801)。
【0070】
次に照合用パラメータ作成部105が、長さL=W×H(bit)の、Don’t care bitを含まないビット列(マスク用ビット配列)をランダムに作成し、マスクコードC1とする(S802)。
【0071】
また長さM(≧0)bitの、Don’t care bitを含むビット列(連結配列)をランダムに作成し、連結コードC2とする(S803)。
【0072】
更に、長さN=L+Mの置換
σ=(σ(1),σ(2),・・・,σ(N))
をランダムに生成し、置換パターンとする(S804)。ここで置換σは、自然数集合{1,2,…,N}の任意の並べ替え(順列)であり、長さNのビット列(配列)
b=(b(1),b(2),…,b(N))
に対して、
b’=σb=(b(σ(1)),b(σ(2)),・・・,b(σ(N)))
なるビット列b’を対応させる写像を表す。
【0073】
次に照合用特徴量変換(S307)では、まず照合用特徴量変換部106が、登録特徴量をビット列とみなした登録特徴量コードX(L bit)に対し、マスクコードC1との排他的論理和を計算する(S810)。
X1=X(+)C1 (“(+)”は排他的論理和(XOR)を表す)
なおここで、任意のビットとDon’t care bit“*”の排他的論理和は常に“*”である。つまり
*(+)0=0(+)*=*(+)1=1(+)*=*
である。(2値論理{0,1}における排他的論理和の演算条件(互いに異なれば1、同じならば0)に加えて、排他的論理和を求める少なくとも一方のビットが*であるならば、その排他的論理和を*とする。)
計算結果のビット列X1に対し、連結コードC2をビット連結する(S811)。
X2=X1‖C2 (“‖”はビット連結を表す)
計算結果のビット列X2(登録用連結配列)に対し、置換パターンσによりビット置換する(S812)。
X’=σ X2
置換後のビット列X’を、照合テンプレートとする。このように本実施形態によれば、登録特徴量に対してランダムなビット列との排他的論理和、ランダムなコードとの連結、ランダムなビット置換を施すことにより、元の特徴量を強固に秘匿した状態で、照合テンプレートとしてサーバ130に登録する。
【0074】
図9に、認証時の位置補正および照合用特徴量変換(S408)および、照合判定(S409)の詳細なフロー図を示す。
【0075】
位置補正および照合用特徴量変換(S408)では、まず擬似乱数生成部102が擬似乱数列を生成する(S901)。
【0076】
次に照合用特徴量変換部106が、図10に示すように、認証特徴量を位置補正量(Δx,Δy)だけシフトし、空いた領域をDon’t care bit“*”でパディングする(S902)。なおシフトにより元の画像領域(サイズW×H)からはみ出した領域は切り捨てる。
【0077】
シフトおよびパディングした画像(補正特徴量配列)をビット列とみなした補正特徴量コードY(L bit)に対し、マスクコードC1との排他的論理和を計算する(S903)。
Y1=Y(+)C1
連結コードC2に対し、所定のハミング距離δ(≦M)だけ離れた修飾連結コードC3(修飾連結配列)をランダムに作成する(S904)。修飾連結コードC3は、連結コードC2の中の0または1のビット位置からランダムにδ個を選択し、選択したビット位置のビットを反転するとともに、全ての*のビット位置について{0,1,*}の任意のビット値に置き換えることで作成する。
【0078】
ビット列Y1に対し、修飾連結コードC3をビット連結する(S905)。
Y2=Y1‖C3
計算結果のビット列Y2(認証用連結配列)に対し、前記置換パターンσによりビット置換し、置換後のビット列Y’を照合用変換特徴量とする(S906)。
Y’=σ Y2
照合判定(S409)では、まず照合判定部135が、照合用変換特徴量Y’と照合テンプレートX’のハミング距離を計算し、そこから所定のハミング距離δを引いて、距離値dを計算する(S910)。
d=HD(X’,Y’)−δ
ここで、任意のビット列A,Bに対して
HD(A,B)=HW(A(+)B),
(HW(C) はビット列Cにおける”1”のビット数(ハミング重み))
HW(σA)=HW(A),
HW(A‖B)=HW(A)+HW(B)
σA(+)σB=σ(A(+)B)
が成立するため、
HW(X’(+)Y’)
=HW(σ((X(+)C1)‖C2)(+)σ((Y(+)C1)‖C3))
=HW(σ(((X(+)C1)‖C2)(+)((Y(+)C1)‖C3)))
=HW(((X(+)C1)‖C2)(+)((Y(+)C1)‖C3))
=HW(((X(+)C1)(+)(Y(+)C1))‖(C2(+)C3))
=HW((X(+)C1)(+)(Y(+)C1))+HW(C2(+)C3)
=HW(X(+)Y)+δ
となり、従って
d=HW(X(+)Y)
=HD(X,Y)
となる。つまり距離値dは登録特徴量Xと認証特徴量Yのハミング距離に一致する。
【0079】
最後に距離値dを、所定の認証閾値tと比較し、
d≦t ならば認証成功(OK)
d>t ならば認証失敗(NG)
と判定する(S911)。
【0080】
なお非特許文献1では、ハミング距離dを、
Z=X(+)Y
における”0”または”1”のビット数nで割った正規化ハミング距離
d’=d/n
を用いて一致/不一致を判定する。
【0081】
本実施形態は、以下のような計算を行なうことで、正規化ハミング距離に基づく認証にも適用することができる。
HW2(C)を、ビット列Cにおける”0”または”1”のビット数を表すものとする。任意のビット列A,Bに対して
HW2(σA)=HW2(A),
HW2(A‖B)=HW2(A)+HW2(B)
が成立するため、
HW2(X’(+)Y’)
=HW2(σ((X(+)C1)‖C2)(+)σ((Y(+)C1)‖C3))
=HW2(σ(((X(+)C1)‖C2)(+)((Y(+)C1)‖C3)))
=HW2(((X(+)C1)‖C2)(+)((Y(+)C1)‖C3))
=HW2(((X(+)C1)(+)(Y(+)C1))‖(C2(+)C3))
=HW2((X(+)C1)(+)(Y(+)C1))+HW2(C2(+)C3)
=HW2(X(+)Y)+HW2(C2)
=n+δ2 (δ2=HW2(C2))
となる。従って登録時に予めδ2を計算し、サーバ130がテンプレートと共に記憶しておくことで、正規化ハミング距離の分母nを
n=HW2(X’(+)Y’)−δ2
と計算することができる。
【0082】
以上のように本実施形態によれば、認証特徴量に対してランダムなビット列との排他的論理和、ランダムなコードとの連結、ランダムなビット置換を施すことにより、元の特徴量を強固に秘匿した状態で、照合用変換特徴量としてサーバ130に送信する。特に認証用連結コードC3を認証の度にランダムに作成するため、仮に悪意のあるサーバが、同一ユーザの複数回の認証における照合用変換特徴量を比較する攻撃を行っても、連結コードから置換されたビット位置を特定することはできず、高いセキュリティを実現する。
【0083】
なお特許文献1の方法では、連結コードは認証の度に変化しない固定のコードであったため、攻撃により連結コードから置換されたビット位置を特定することが可能であり、連結コードの利用がセキュリティ向上に寄与しないという問題があった。本実施形態はこの問題に対する解決策を与える。
【0084】
また特許文献2の方法では、特徴量同士の相関値に基づいて照合スコアを定義していたため、ハミング距離に基づく従来の認証アルゴリズムに対して適用した場合に認証精度が劣化する可能性があった。本実施形態は最終的にハミング距離に基づいて判定するため、特許文献2の方法と比較して精度劣化が小さいという利点がある。
【0085】
本実施形態によれば、特徴量がDon’t care bitを含む1次元配列(ビット列)または2次元配列(画像)で表現され、その間の距離が、シフトずれ(位置ずれ)を考慮した最小ハミング距離で定義される生体認証方式を用いたクライアント/サーバ型の生体認証システムにおいて、従来の生体認証方式と同等の認証精度を保ったまま、クライアントがテンプレートを保持することなく、またサーバに対し特徴量を秘匿したまま、認証を受けることが可能な、キャンセラブル生体認証を実現することができる。これにより、多数のユーザを管理する大規模生体認証システムにおいて、サーバ管理者の不正やミスなどによる情報漏洩が発生しても、ユーザの生体情報(およびそこから抽出した特徴量)を安全に保護することが可能となる。
【図面の簡単な説明】
【0086】
【図1】キャンセラブル生体認証システムの構成例を示す図である。
【図2】キャンセラブル生体認証システムを実現するクライアント、サーバのハードウェア構成を示す図である。
【図3】生体情報の登録処理フロー図である。
【図4】生体情報の認証処理フロー図である。
【図5】登録時の位置補正用変換パラメータ生成および位置補正用特徴量変換の処理フロー図である。
【図6】認証時の位置補正用特徴量変換および位置補正量計算の処理フロー図である。
【図7】相関画像の模式図である。
【図8】登録時の照合用変換パラメータ生成および照合用特徴量変換の処理フロー図である。
【図9】認証時の位置補正および照合用特徴量変換、および照合判定の処理フロー図である。
【図10】認証特徴量の位置補正およびパディング処理を説明する図である。
【符号の説明】
【0087】
100:クライアント、101:特徴量抽出部、102:擬似乱数生成部、103:位置補正用変換パラメータ作成部、104:位置補正用特徴量変換部、105:照合用変換パラメータ作成部、106:照合用特徴量変換部、107:記録媒体I/F部、108:通信部、110:センサ、120:記録媒体、130:サーバ、131:通信部、132:登録部、133:データベース、134:位置補正量計算部、135:照合判定部、200:CPU、201:メモリ、202:HDD、203:入力装置、204:出力装置、
205:通信装置、700:相関画像。
【特許請求の範囲】
【請求項1】
クライアントは、生体情報の登録時に、
登録者の生体情報から登録用特徴量配列を抽出し、
前記登録用特徴量配列を変換する第1の照合用変換パラメータを生成し、
前記登録用特徴量配列から位置補正テンプレートを作成し、
前記第1の照合用変換パラメータを用いて、前記登録用特徴量配列を変換した照合テンプレートを作成し、
前記位置補正テンプレートおよび前記照合テンプレートをサーバに送信し、
認証時に、
利用者の生体情報から認証用特徴量配列を抽出し、
前記認証用特徴量配列を変換する第2の照合用変換パラメータを生成し、
前記認証用特徴量配列から位置補正用変換特徴量を作成し、
前記位置補正用変換特徴量を前記サーバに送信し、
前記サーバは、前記クライアントから送信された前記位置補正テンプレートおよび前記照合テンプレートを接続するデータベースに格納し、
前記データベースに格納された前記位置補正テンプレートと前記クライアントから送信された前記位置補正用変換特徴量とを用いて、前記登録用特徴量配列と前記認証用特徴量配列との間の位置補正量を計算し、
前記位置補正量を前記クライアントに送信し、
前記クライアントは、前記位置補正量に基づいて、前記認証用特徴量配列を位置補正した補正特徴量配列を作成し、
前記第2の照合用変換パラメータを用いて、前記補正特徴量配列を変換した照合用変換特徴量配列を作成し、
前記照合用変換特徴量配列を前記サーバに送信し、
前記サーバは、前記データベースに格納された前記照合テンプレートと前記クライアントから送信された前記照合用変換特徴量配列との距離を計算し、
前記距離と所定の認証閾値との比較に基づいて、前記利用者の前記登録者との認証成否を判定することを特徴とする生体認証方法。
【請求項2】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記第1の照合用変換パラメータの生成は、サイズLのランダムなマスク用ビット配列の生成を含み、
前記第1の照合用変換パラメータは、前記マスク用ビット配列を含み、
前記照合テンプレートは、前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記照合用変換特徴量配列は、前記補正特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記距離はハミング距離であることを特徴とする請求項1記載の生体認証方法。
【請求項3】
前記登録用特徴量配列、前記補正特徴量配列、及び前記マスク用ビット配列の各々は、ドントケアビット“*”を含むビット配列であり、
前記照合テンプレートを求める前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和、及び前記照合用変換特徴量配列を求める前記補正特徴量配列と前記マスク用ビット配列との排他的論理和の各々は、互いのビットの少なくとも一方がドントケアビット“*”であるならば、その排他的論理和をドントケアビット“*”とする規則に従って計算し、
前記照合テンプレートと前記照合用変換特徴量配列との前記ハミング距離は、前記照合テンプレートと前記照合用変換特徴量配列との排他的論理和を求めたビット配列に含まれるビット“1”の数であることを特徴とする請求項2記載の生体認証方法。
【請求項4】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記第1の照合用変換パラメータの生成は、サイズMのランダムな連結配列の生成と、サイズ(L+M)の配列に対して、その要素同士の位置を置換する置換パターンの生成とを含み、
前記照合テンプレートの作成は、前記登録用特徴量配列と前記連結配列とを連結したサイズ(L+M)の登録用連結配列の作成と、前記置換パターンに従って前記登録用連結配列を置換した前記照合テンプレートの作成とを含み、
前記照合用変換特徴量配列の作成は、前記連結配列に対して所定のオフセットハミング距離δだけ離れたサイズMの修飾連結配列の生成と、前記認証用特徴量配列と前記修飾連結配列とを連結したサイズ(L+M)の認証用連結配列の作成と、前記置換パターンに従って前記認証用連結配列を置換した前記照合用変換特徴量配列の作成とを含み、
前記照合テンプレートと前記照合用変換特徴量配列との距離の計算は、前記照合テンプレートと前記照合用変換特徴量配列とのハミング距離dから、前記オフセットハミング距離δを引いた補正ハミング距離(d−δ)の計算であり、
前記認証成否の判定のための前記距離は、前記補正ハミング距離であることを特徴とする請求項1記載の生体認証方法。
【請求項5】
前記位置補正テンプレートの作成は、前記登録用特徴量配列の部分を切り出した、登録用局所特徴量配列の作成を含み、
前記位置補正用変換特徴量の作成は、前記認証用特徴量配列の部分を切り出した、認証用部分特徴量配列の作成を含み、
前記位置補正量の計算は、前記登録用局所特徴量配列に対し、前記認証用部分特徴量配列を繰り返しシフトしながら距離を計算し、距離が最小となるシフト量を前記位置補正量とし、
前記補正特徴量配列の作成は、前記認証用特徴量配列を、前記位置補正量だけシフトすることを特徴とする請求項1〜4のいずれか1項に記載の生体認証方法。
【請求項6】
前記生体情報の登録時に、
前記登録用特徴量配列を変換する位置補正用変換パラメータを生成し、
前記位置補正テンプレートの作成は、前記登録用特徴量配列から登録用局所特徴量配列の切り出しと、前記登録用局所特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正テンプレートの作成とを含み、
前記位置補正用変換特徴量の作成は、前記認証用特徴量配列から認証用部分特徴量配列の切り出しと、前記認証用部分特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正用変換特徴量の作成とを含むことを特徴とする、請求項1〜5のいずれか1項に記載の生体認証方法。
【請求項7】
前記位置補正用変換パラメータは、ランダムに作成した可逆なフィルタであり、
前記位置補正用変換パラメータを用いた前記登録用局所特徴量配列の変換は、前記登録用局所特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a,b,cに置き換える登録用符号化局所特徴量配列の作成と、前記登録用符号化局所特徴量配列の逆順に並べ替える逆順ソートと、前記逆順ソートした配列に対する前記フィルタの畳み込みとを含み、
前記位置補正用変換パラメータを用いた前記認証用部分特徴量配列の変換は、前記認証用部分特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a’,b’,c’に置き換える認証用符号化部分特徴量配列の作成と、前記認証用符号化部分特徴量配列に対する前記フィルタの逆畳み込みとを含み、
前記位置補正量の計算は、前記位置補正テンプレートと前記位置補正用変換特徴量とからの、前記登録用符号化部分特徴量配列と前記認証用符号化部分特徴量配列との相関配列の計算と、前記相関配列中で、最大値をとる配列要素の位置の検索と、前記位置に基づいて前記位置補正量の決定とを含むことを特徴とする請求項6に記載の生体認証方法。
【請求項8】
生体情報の登録時に登録者の生体情報から登録用特徴量配列を抽出し、認証時に、利用者の生体情報から認証用特徴量配列を抽出する特徴量抽出部、
前記登録時に前記登録用特徴量配列を変換する第1の照合用変換パラメータを生成し、前記認証時に前記認証用特徴量配列を変換する第2の照合用変換パラメータを生成する照合用変換パラメータ作成部、
前記登録時に前記登録用特徴量配列を変換し位置補正テンプレートを作成する位置補正用変換パラメータ作成部、
前記認証時に前記認証用特徴量配列から位置補正用変換特徴量を作成する位置補正用特徴量変換部、および
前記登録時に前記第1の照合用変換パラメータを用いて、前記登録用特徴量配列を変換した照合テンプレートを作成し、前記認証時に位置補正量に基づいて、前記認証用特徴量配列を位置補正した補正特徴量配列を作成し、前記第2の照合用変換パラメータを用いて、前記補正特徴量配列を変換した照合用変換特徴量配列を作成する照合用特徴量変換部を有するクライアントと、
前記位置補正テンプレートと前記位置補正用変換特徴量とを用いて、前記登録用特徴量配列と前記認証用特徴量配列との間の前記位置補正量を計算する位置補正量計算部、および
前記照合テンプレートと前記照合用変換特徴量配列との距離を計算し、前記距離と所定の認証閾値との比較に基づいて、前記利用者の前記登録者との認証成否を判定する照合判定部を有する、前記クライアントと接続するサーバを設けることを特徴とする生体認証システム。
【請求項9】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記照合用変換パラメータ作成部が生成する前記第1の照合用変換パラメータは、サイズLのランダムなマスク用ビット配列を含み、
前記照合テンプレートは、前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記照合用変換特徴量配列は、前記補正特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記距離はハミング距離であることを特徴とする請求項8記載の生体認証システム。
【請求項10】
前記登録用特徴量配列、前記補正特徴量配列、及び前記マスク用ビット配列の各々は、ドントケアビット“*”を含むビット配列であり、
前記照合テンプレートを求める前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和、及び前記照合用変換特徴量配列を求める前記補正特徴量配列と前記マスク用ビット配列との排他的論理和の各々は、互いのビットの少なくとも一方がドントケアビット“*”であるならば、その排他的論理和をドントケアビット“*”とする規則に従って計算し、
前記照合テンプレートと前記照合用変換特徴量配列との前記ハミング距離は、前記照合テンプレートと前記照合用変換特徴量配列との排他的論理和を求めたビット配列に含まれるビット“1”の数であることを特徴とする請求項9記載の生体認証システム。
【請求項11】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記照合用変換パラメータ作成部による前記第1の照合用変換パラメータの生成は、サイズMのランダムな連結配列の生成と、サイズ(L+M)の配列に対して、その要素同士の位置を置換する置換パターンの生成とを含み、
前記照合用特徴量変換部による前記照合テンプレートの作成は、前記登録用特徴量配列と前記連結配列とを連結したサイズ(L+M)の登録用連結配列の作成と、前記置換パターンに従って前記登録用連結配列を置換した前記照合テンプレートの作成とを含み、
前記照合用特徴量変換部による前記照合用変換特徴量配列の作成は、前記連結配列に対して所定のオフセットハミング距離δだけ離れたサイズMの修飾連結配列の生成と、前記認証用特徴量配列と前記修飾連結配列とを連結したサイズ(L+M)の認証用連結配列の作成と、前記置換パターンに従って前記認証用連結配列を置換した前記照合用変換特徴量配列の作成とを含み、
前記位置補正量計算部による前記照合テンプレートと前記照合用変換特徴量配列との距離の計算は、前記照合テンプレートと前記照合用変換特徴量配列とのハミング距離dから、前記オフセットハミング距離δを引いた補正ハミング距離(d−δ)の計算であり、
前記照合判定部による前記認証成否の判定のための前記距離は、前記補正ハミング距離であることを特徴とする請求項8記載の生体認証システム。
【請求項12】
前記位置補正用特徴量変換部による前記位置補正テンプレートの作成は、
前記登録用特徴量配列の部分を切り出した、登録用局所特徴量配列の作成を含み、
前記位置補正用特徴量変換部による前記位置補正用変換特徴量の作成は、前記認証用特徴量配列の部分を切り出た、認証用部分特徴量配列の作成を含み、
位置補正量計算部による前記位置補正量の計算は、前記登録用局所特徴量配列に対し、前記認証用部分特徴量配列を繰り返しシフトしながら距離を計算し、距離が最小となるシフト量を前記位置補正量とし、
前記補正特徴量配列の作成は、前記認証用特徴量配列を、前記位置補正量だけシフトすることを特徴とする請求項8〜11のいずれか1項に記載の生体認証システム。
【請求項13】
前記位置補正用変換パラメータ作成部は、前記登録時に前記登録用特徴量配列を変換する位置補正用変換パラメータを生成し、
前記位置補正用変換パラメータ作成部による前記位置補正テンプレートの作成は、前記登録用特徴量配列から登録用局所特徴量配列の切り出しと、前記登録用局所特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正テンプレートの作成とを含み、
前記位置補正用特徴量変換部による前記位置補正用変換特徴量の作成は、前記認証用特徴量配列から認証用部分特徴量配列の切り出しと、前記認証用部分特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正用変換特徴量の作成とを含むことを特徴とする、請求項8〜12のいずれか1項に記載の生体認証システム。
【請求項14】
前記位置補正用変換パラメータは、ランダムに作成した可逆なフィルタであり、
前記位置補正用変換パラメータを用いた前記登録用局所特徴量配列の変換は、前記登録用局所特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a,b,cに置き換える登録用符号化局所特徴量配列の作成と、前記登録用符号化局所特徴量配列の逆順に並べ替える逆順ソートと、前記逆順ソートした配列に対する前記フィルタの畳み込みとを含み、
前記位置補正用変換パラメータを用いた前記認証用部分特徴量配列の変換は、前記認証用部分特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a’,b’,c’に置き換える認証用符号化部分特徴量配列の作成と、前記認証用符号化部分特徴量配列に対する前記フィルタの逆畳み込みとを含み、
前記位置補正量の計算は、前記位置補正テンプレートと前記位置補正用変換特徴量とからの、前記登録用符号化部分特徴量配列と前記認証用符号化部分特徴量配列との相関配列の計算と、前記相関配列中で、最大値をとる配列要素の位置の検索と、前記位置に基づいて前記位置補正量の決定とを含むことを特徴とする請求項13に記載の生体認証システム。
【請求項15】
生体情報の登録時に登録者の生体情報から登録用特徴量配列を抽出する第1の特徴量抽出部、前記登録用特徴量配列を変換する第1の照合用変換パラメータを生成する第1の照合用変換パラメータ作成部、前記登録用特徴量配列を変換し位置補正テンプレートを作成する位置補正用変換パラメータ作成部、および前記第1の照合用変換パラメータを用いて、前記登録用特徴量配列を変換した照合テンプレートを作成する第1の照合用特徴量変換部を有する登録用クライアントと、
認証時に、利用者の生体情報から認証用特徴量配列を抽出する第2の特徴量抽出部、前記認証用特徴量配列を変換する第2の照合用変換パラメータを生成する第2の照合用変換パラメータ作成部、前記認証用特徴量配列から位置補正用変換特徴量を作成する位置補正用特徴量変換部、および位置補正量に基づいて、前記認証用特徴量配列を位置補正した補正特徴量配列を作成し、前記第2の照合用変換パラメータを用いて、前記補正特徴量配列を変換した照合用変換特徴量配列を作成する第2の照合用特徴量変換部を有する認証用クライアントと、
前記位置補正テンプレートと前記位置補正用変換特徴量とを用いて、前記登録用特徴量配列と前記認証用特徴量配列との間の前記位置補正量を計算する位置補正量計算部、および前記照合テンプレートと前記照合用変換特徴量配列との距離を計算し、前記距離と所定の認証閾値との比較に基づいて、前記利用者の前記登録者との認証成否を判定する照合判定部を有する、前記登録用クライアント及び前記認証用クライアントと接続するサーバを設けることを特徴とする生体認証システム。
【請求項16】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記第1の照合用変換パラメータ作成部が生成する前記第1の照合用変換パラメータは、サイズLのランダムなマスク用ビット配列を含み、
前記照合テンプレートは、前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記照合用変換特徴量配列は、前記補正特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記距離はハミング距離であることを特徴とする請求項15記載の生体認証システム。
【請求項17】
前記登録用特徴量配列、前記補正特徴量配列、及び前記マスク用ビット配列の各々は、ドントケアビット“*”を含むビット配列であり、
前記照合テンプレートを求める前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和、及び前記照合用変換特徴量配列を求める前記補正特徴量配列と前記マスク用ビット配列との排他的論理和の各々は、互いのビットの少なくとも一方がドントケアビット“*”であるならば、その排他的論理和をドントケアビット“*”とする規則に従って計算し、
前記照合テンプレートと前記照合用変換特徴量配列との前記ハミング距離は、前記照合テンプレートと前記照合用変換特徴量配列との排他的論理和を求めたビット配列に含まれるビット“1”の数であることを特徴とする請求項16記載の生体認証システム。
【請求項18】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記第1の照合用変換パラメータ作成部による前記第1の照合用変換パラメータの生成は、サイズMのランダムな連結配列の生成と、サイズ(L+M)の配列に対して、その要素同士の位置を置換する置換パターンの生成とを含み、
前記第1の照合用特徴量変換部による前記照合テンプレートの作成は、前記登録用特徴量配列と前記連結配列とを連結したサイズ(L+M)の登録用連結配列の作成と、前記置換パターンに従って前記登録用連結配列を置換した前記照合テンプレートの作成とを含み、
前記第2の照合用特徴量変換部による前記照合用変換特徴量配列の作成は、前記連結配列に対して所定のオフセットハミング距離δだけ離れたサイズMの修飾連結配列の生成と、前記認証用特徴量配列と前記修飾連結配列とを連結したサイズ(L+M)の認証用連結配列の作成と、前記置換パターンに従って前記認証用連結配列を置換した前記照合用変換特徴量配列の作成とを含み、
前記位置補正量計算部による前記照合テンプレートと前記照合用変換特徴量配列との距離の計算は、前記照合テンプレートと前記照合用変換特徴量配列とのハミング距離dから、前記オフセットハミング距離δを引いた補正ハミング距離(d−δ)の計算であり、
前記照合判定部による前記認証成否の判定のための前記距離は、前記補正ハミング距離であることを特徴とする請求項15記載の生体認証システム。
【請求項19】
前記位置補正用特徴量変換部による前記位置補正テンプレートの作成は、前記登録用特徴量配列の部分を切り出した、登録用局所特徴量配列の作成を含み、
前記位置補正用特徴量変換部による前記位置補正用変換特徴量の作成は、前記認証用特徴量配列の部分を切り出た、認証用部分特徴量配列の作成を含み、
位置補正量計算部による前記位置補正量の計算は、前記登録用局所特徴量配列に対し、前記認証用部分特徴量配列を繰り返しシフトしながら距離を計算し、距離が最小となるシフト量を前記位置補正量とし、
前記補正特徴量配列の作成は、前記認証用特徴量配列を、前記位置補正量だけシフトすることを特徴とする請求項15〜18のいずれか1項に記載の生体認証方法。
【請求項20】
前記位置補正用変換パラメータ作成部は、前記登録時に前記登録用特徴量配列を変換する位置補正用変換パラメータを生成し、
前記位置補正用変換パラメータ作成部による前記位置補正テンプレートの作成は、前記登録用特徴量配列から登録用局所特徴量配列の切り出しと、前記登録用局所特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正テンプレートの作成とを含み、
前記位置補正用特徴量変換部による前記位置補正用変換特徴量の作成は、前記認証用特徴量配列から認証用部分特徴量配列の切り出しと、前記認証用部分特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正用変換特徴量の作成とを含むことを特徴とする、請求項15〜19のいずれか1項に記載の生体認証システム。
【請求項21】
前記位置補正用変換パラメータは、ランダムに作成した可逆なフィルタであり、
前記位置補正用変換パラメータを用いた前記登録用局所特徴量配列の変換は、前記登録用局所特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a,b,cに置き換える登録用符号化局所特徴量配列の作成と、前記登録用符号化局所特徴量配列の逆順に並べ替える逆順ソートと、前記逆順ソートした配列に対する前記フィルタの畳み込みとを含み、
前記位置補正用変換パラメータを用いた前記認証用部分特徴量配列の変換は、前記認証用部分特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a’,b’,c’に置き換える認証用符号化部分特徴量配列の作成と、前記認証用符号化部分特徴量配列に対する前記フィルタの逆畳み込みとを含み、
前記位置補正量の計算は、前記位置補正テンプレートと前記位置補正用変換特徴量とからの、前記登録用符号化部分特徴量配列と前記認証用符号化部分特徴量配列との相関配列の計算と、前記相関配列中で、最大値をとる配列要素の位置の検索と、前記位置に基づいて前記位置補正量の決定とを含むことを特徴とする請求項20に記載の生体認証システム。
【請求項1】
クライアントは、生体情報の登録時に、
登録者の生体情報から登録用特徴量配列を抽出し、
前記登録用特徴量配列を変換する第1の照合用変換パラメータを生成し、
前記登録用特徴量配列から位置補正テンプレートを作成し、
前記第1の照合用変換パラメータを用いて、前記登録用特徴量配列を変換した照合テンプレートを作成し、
前記位置補正テンプレートおよび前記照合テンプレートをサーバに送信し、
認証時に、
利用者の生体情報から認証用特徴量配列を抽出し、
前記認証用特徴量配列を変換する第2の照合用変換パラメータを生成し、
前記認証用特徴量配列から位置補正用変換特徴量を作成し、
前記位置補正用変換特徴量を前記サーバに送信し、
前記サーバは、前記クライアントから送信された前記位置補正テンプレートおよび前記照合テンプレートを接続するデータベースに格納し、
前記データベースに格納された前記位置補正テンプレートと前記クライアントから送信された前記位置補正用変換特徴量とを用いて、前記登録用特徴量配列と前記認証用特徴量配列との間の位置補正量を計算し、
前記位置補正量を前記クライアントに送信し、
前記クライアントは、前記位置補正量に基づいて、前記認証用特徴量配列を位置補正した補正特徴量配列を作成し、
前記第2の照合用変換パラメータを用いて、前記補正特徴量配列を変換した照合用変換特徴量配列を作成し、
前記照合用変換特徴量配列を前記サーバに送信し、
前記サーバは、前記データベースに格納された前記照合テンプレートと前記クライアントから送信された前記照合用変換特徴量配列との距離を計算し、
前記距離と所定の認証閾値との比較に基づいて、前記利用者の前記登録者との認証成否を判定することを特徴とする生体認証方法。
【請求項2】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記第1の照合用変換パラメータの生成は、サイズLのランダムなマスク用ビット配列の生成を含み、
前記第1の照合用変換パラメータは、前記マスク用ビット配列を含み、
前記照合テンプレートは、前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記照合用変換特徴量配列は、前記補正特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記距離はハミング距離であることを特徴とする請求項1記載の生体認証方法。
【請求項3】
前記登録用特徴量配列、前記補正特徴量配列、及び前記マスク用ビット配列の各々は、ドントケアビット“*”を含むビット配列であり、
前記照合テンプレートを求める前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和、及び前記照合用変換特徴量配列を求める前記補正特徴量配列と前記マスク用ビット配列との排他的論理和の各々は、互いのビットの少なくとも一方がドントケアビット“*”であるならば、その排他的論理和をドントケアビット“*”とする規則に従って計算し、
前記照合テンプレートと前記照合用変換特徴量配列との前記ハミング距離は、前記照合テンプレートと前記照合用変換特徴量配列との排他的論理和を求めたビット配列に含まれるビット“1”の数であることを特徴とする請求項2記載の生体認証方法。
【請求項4】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記第1の照合用変換パラメータの生成は、サイズMのランダムな連結配列の生成と、サイズ(L+M)の配列に対して、その要素同士の位置を置換する置換パターンの生成とを含み、
前記照合テンプレートの作成は、前記登録用特徴量配列と前記連結配列とを連結したサイズ(L+M)の登録用連結配列の作成と、前記置換パターンに従って前記登録用連結配列を置換した前記照合テンプレートの作成とを含み、
前記照合用変換特徴量配列の作成は、前記連結配列に対して所定のオフセットハミング距離δだけ離れたサイズMの修飾連結配列の生成と、前記認証用特徴量配列と前記修飾連結配列とを連結したサイズ(L+M)の認証用連結配列の作成と、前記置換パターンに従って前記認証用連結配列を置換した前記照合用変換特徴量配列の作成とを含み、
前記照合テンプレートと前記照合用変換特徴量配列との距離の計算は、前記照合テンプレートと前記照合用変換特徴量配列とのハミング距離dから、前記オフセットハミング距離δを引いた補正ハミング距離(d−δ)の計算であり、
前記認証成否の判定のための前記距離は、前記補正ハミング距離であることを特徴とする請求項1記載の生体認証方法。
【請求項5】
前記位置補正テンプレートの作成は、前記登録用特徴量配列の部分を切り出した、登録用局所特徴量配列の作成を含み、
前記位置補正用変換特徴量の作成は、前記認証用特徴量配列の部分を切り出した、認証用部分特徴量配列の作成を含み、
前記位置補正量の計算は、前記登録用局所特徴量配列に対し、前記認証用部分特徴量配列を繰り返しシフトしながら距離を計算し、距離が最小となるシフト量を前記位置補正量とし、
前記補正特徴量配列の作成は、前記認証用特徴量配列を、前記位置補正量だけシフトすることを特徴とする請求項1〜4のいずれか1項に記載の生体認証方法。
【請求項6】
前記生体情報の登録時に、
前記登録用特徴量配列を変換する位置補正用変換パラメータを生成し、
前記位置補正テンプレートの作成は、前記登録用特徴量配列から登録用局所特徴量配列の切り出しと、前記登録用局所特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正テンプレートの作成とを含み、
前記位置補正用変換特徴量の作成は、前記認証用特徴量配列から認証用部分特徴量配列の切り出しと、前記認証用部分特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正用変換特徴量の作成とを含むことを特徴とする、請求項1〜5のいずれか1項に記載の生体認証方法。
【請求項7】
前記位置補正用変換パラメータは、ランダムに作成した可逆なフィルタであり、
前記位置補正用変換パラメータを用いた前記登録用局所特徴量配列の変換は、前記登録用局所特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a,b,cに置き換える登録用符号化局所特徴量配列の作成と、前記登録用符号化局所特徴量配列の逆順に並べ替える逆順ソートと、前記逆順ソートした配列に対する前記フィルタの畳み込みとを含み、
前記位置補正用変換パラメータを用いた前記認証用部分特徴量配列の変換は、前記認証用部分特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a’,b’,c’に置き換える認証用符号化部分特徴量配列の作成と、前記認証用符号化部分特徴量配列に対する前記フィルタの逆畳み込みとを含み、
前記位置補正量の計算は、前記位置補正テンプレートと前記位置補正用変換特徴量とからの、前記登録用符号化部分特徴量配列と前記認証用符号化部分特徴量配列との相関配列の計算と、前記相関配列中で、最大値をとる配列要素の位置の検索と、前記位置に基づいて前記位置補正量の決定とを含むことを特徴とする請求項6に記載の生体認証方法。
【請求項8】
生体情報の登録時に登録者の生体情報から登録用特徴量配列を抽出し、認証時に、利用者の生体情報から認証用特徴量配列を抽出する特徴量抽出部、
前記登録時に前記登録用特徴量配列を変換する第1の照合用変換パラメータを生成し、前記認証時に前記認証用特徴量配列を変換する第2の照合用変換パラメータを生成する照合用変換パラメータ作成部、
前記登録時に前記登録用特徴量配列を変換し位置補正テンプレートを作成する位置補正用変換パラメータ作成部、
前記認証時に前記認証用特徴量配列から位置補正用変換特徴量を作成する位置補正用特徴量変換部、および
前記登録時に前記第1の照合用変換パラメータを用いて、前記登録用特徴量配列を変換した照合テンプレートを作成し、前記認証時に位置補正量に基づいて、前記認証用特徴量配列を位置補正した補正特徴量配列を作成し、前記第2の照合用変換パラメータを用いて、前記補正特徴量配列を変換した照合用変換特徴量配列を作成する照合用特徴量変換部を有するクライアントと、
前記位置補正テンプレートと前記位置補正用変換特徴量とを用いて、前記登録用特徴量配列と前記認証用特徴量配列との間の前記位置補正量を計算する位置補正量計算部、および
前記照合テンプレートと前記照合用変換特徴量配列との距離を計算し、前記距離と所定の認証閾値との比較に基づいて、前記利用者の前記登録者との認証成否を判定する照合判定部を有する、前記クライアントと接続するサーバを設けることを特徴とする生体認証システム。
【請求項9】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記照合用変換パラメータ作成部が生成する前記第1の照合用変換パラメータは、サイズLのランダムなマスク用ビット配列を含み、
前記照合テンプレートは、前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記照合用変換特徴量配列は、前記補正特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記距離はハミング距離であることを特徴とする請求項8記載の生体認証システム。
【請求項10】
前記登録用特徴量配列、前記補正特徴量配列、及び前記マスク用ビット配列の各々は、ドントケアビット“*”を含むビット配列であり、
前記照合テンプレートを求める前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和、及び前記照合用変換特徴量配列を求める前記補正特徴量配列と前記マスク用ビット配列との排他的論理和の各々は、互いのビットの少なくとも一方がドントケアビット“*”であるならば、その排他的論理和をドントケアビット“*”とする規則に従って計算し、
前記照合テンプレートと前記照合用変換特徴量配列との前記ハミング距離は、前記照合テンプレートと前記照合用変換特徴量配列との排他的論理和を求めたビット配列に含まれるビット“1”の数であることを特徴とする請求項9記載の生体認証システム。
【請求項11】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記照合用変換パラメータ作成部による前記第1の照合用変換パラメータの生成は、サイズMのランダムな連結配列の生成と、サイズ(L+M)の配列に対して、その要素同士の位置を置換する置換パターンの生成とを含み、
前記照合用特徴量変換部による前記照合テンプレートの作成は、前記登録用特徴量配列と前記連結配列とを連結したサイズ(L+M)の登録用連結配列の作成と、前記置換パターンに従って前記登録用連結配列を置換した前記照合テンプレートの作成とを含み、
前記照合用特徴量変換部による前記照合用変換特徴量配列の作成は、前記連結配列に対して所定のオフセットハミング距離δだけ離れたサイズMの修飾連結配列の生成と、前記認証用特徴量配列と前記修飾連結配列とを連結したサイズ(L+M)の認証用連結配列の作成と、前記置換パターンに従って前記認証用連結配列を置換した前記照合用変換特徴量配列の作成とを含み、
前記位置補正量計算部による前記照合テンプレートと前記照合用変換特徴量配列との距離の計算は、前記照合テンプレートと前記照合用変換特徴量配列とのハミング距離dから、前記オフセットハミング距離δを引いた補正ハミング距離(d−δ)の計算であり、
前記照合判定部による前記認証成否の判定のための前記距離は、前記補正ハミング距離であることを特徴とする請求項8記載の生体認証システム。
【請求項12】
前記位置補正用特徴量変換部による前記位置補正テンプレートの作成は、
前記登録用特徴量配列の部分を切り出した、登録用局所特徴量配列の作成を含み、
前記位置補正用特徴量変換部による前記位置補正用変換特徴量の作成は、前記認証用特徴量配列の部分を切り出た、認証用部分特徴量配列の作成を含み、
位置補正量計算部による前記位置補正量の計算は、前記登録用局所特徴量配列に対し、前記認証用部分特徴量配列を繰り返しシフトしながら距離を計算し、距離が最小となるシフト量を前記位置補正量とし、
前記補正特徴量配列の作成は、前記認証用特徴量配列を、前記位置補正量だけシフトすることを特徴とする請求項8〜11のいずれか1項に記載の生体認証システム。
【請求項13】
前記位置補正用変換パラメータ作成部は、前記登録時に前記登録用特徴量配列を変換する位置補正用変換パラメータを生成し、
前記位置補正用変換パラメータ作成部による前記位置補正テンプレートの作成は、前記登録用特徴量配列から登録用局所特徴量配列の切り出しと、前記登録用局所特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正テンプレートの作成とを含み、
前記位置補正用特徴量変換部による前記位置補正用変換特徴量の作成は、前記認証用特徴量配列から認証用部分特徴量配列の切り出しと、前記認証用部分特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正用変換特徴量の作成とを含むことを特徴とする、請求項8〜12のいずれか1項に記載の生体認証システム。
【請求項14】
前記位置補正用変換パラメータは、ランダムに作成した可逆なフィルタであり、
前記位置補正用変換パラメータを用いた前記登録用局所特徴量配列の変換は、前記登録用局所特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a,b,cに置き換える登録用符号化局所特徴量配列の作成と、前記登録用符号化局所特徴量配列の逆順に並べ替える逆順ソートと、前記逆順ソートした配列に対する前記フィルタの畳み込みとを含み、
前記位置補正用変換パラメータを用いた前記認証用部分特徴量配列の変換は、前記認証用部分特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a’,b’,c’に置き換える認証用符号化部分特徴量配列の作成と、前記認証用符号化部分特徴量配列に対する前記フィルタの逆畳み込みとを含み、
前記位置補正量の計算は、前記位置補正テンプレートと前記位置補正用変換特徴量とからの、前記登録用符号化部分特徴量配列と前記認証用符号化部分特徴量配列との相関配列の計算と、前記相関配列中で、最大値をとる配列要素の位置の検索と、前記位置に基づいて前記位置補正量の決定とを含むことを特徴とする請求項13に記載の生体認証システム。
【請求項15】
生体情報の登録時に登録者の生体情報から登録用特徴量配列を抽出する第1の特徴量抽出部、前記登録用特徴量配列を変換する第1の照合用変換パラメータを生成する第1の照合用変換パラメータ作成部、前記登録用特徴量配列を変換し位置補正テンプレートを作成する位置補正用変換パラメータ作成部、および前記第1の照合用変換パラメータを用いて、前記登録用特徴量配列を変換した照合テンプレートを作成する第1の照合用特徴量変換部を有する登録用クライアントと、
認証時に、利用者の生体情報から認証用特徴量配列を抽出する第2の特徴量抽出部、前記認証用特徴量配列を変換する第2の照合用変換パラメータを生成する第2の照合用変換パラメータ作成部、前記認証用特徴量配列から位置補正用変換特徴量を作成する位置補正用特徴量変換部、および位置補正量に基づいて、前記認証用特徴量配列を位置補正した補正特徴量配列を作成し、前記第2の照合用変換パラメータを用いて、前記補正特徴量配列を変換した照合用変換特徴量配列を作成する第2の照合用特徴量変換部を有する認証用クライアントと、
前記位置補正テンプレートと前記位置補正用変換特徴量とを用いて、前記登録用特徴量配列と前記認証用特徴量配列との間の前記位置補正量を計算する位置補正量計算部、および前記照合テンプレートと前記照合用変換特徴量配列との距離を計算し、前記距離と所定の認証閾値との比較に基づいて、前記利用者の前記登録者との認証成否を判定する照合判定部を有する、前記登録用クライアント及び前記認証用クライアントと接続するサーバを設けることを特徴とする生体認証システム。
【請求項16】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記第1の照合用変換パラメータ作成部が生成する前記第1の照合用変換パラメータは、サイズLのランダムなマスク用ビット配列を含み、
前記照合テンプレートは、前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記照合用変換特徴量配列は、前記補正特徴量配列と前記マスク用ビット配列との排他的論理和を求めた配列であり、
前記距離はハミング距離であることを特徴とする請求項15記載の生体認証システム。
【請求項17】
前記登録用特徴量配列、前記補正特徴量配列、及び前記マスク用ビット配列の各々は、ドントケアビット“*”を含むビット配列であり、
前記照合テンプレートを求める前記登録用特徴量配列と前記マスク用ビット配列との排他的論理和、及び前記照合用変換特徴量配列を求める前記補正特徴量配列と前記マスク用ビット配列との排他的論理和の各々は、互いのビットの少なくとも一方がドントケアビット“*”であるならば、その排他的論理和をドントケアビット“*”とする規則に従って計算し、
前記照合テンプレートと前記照合用変換特徴量配列との前記ハミング距離は、前記照合テンプレートと前記照合用変換特徴量配列との排他的論理和を求めたビット配列に含まれるビット“1”の数であることを特徴とする請求項16記載の生体認証システム。
【請求項18】
前記登録用特徴量配列および前記認証用特徴量配列の各々は、所定のサイズLのビット配列であり、
前記第1の照合用変換パラメータ作成部による前記第1の照合用変換パラメータの生成は、サイズMのランダムな連結配列の生成と、サイズ(L+M)の配列に対して、その要素同士の位置を置換する置換パターンの生成とを含み、
前記第1の照合用特徴量変換部による前記照合テンプレートの作成は、前記登録用特徴量配列と前記連結配列とを連結したサイズ(L+M)の登録用連結配列の作成と、前記置換パターンに従って前記登録用連結配列を置換した前記照合テンプレートの作成とを含み、
前記第2の照合用特徴量変換部による前記照合用変換特徴量配列の作成は、前記連結配列に対して所定のオフセットハミング距離δだけ離れたサイズMの修飾連結配列の生成と、前記認証用特徴量配列と前記修飾連結配列とを連結したサイズ(L+M)の認証用連結配列の作成と、前記置換パターンに従って前記認証用連結配列を置換した前記照合用変換特徴量配列の作成とを含み、
前記位置補正量計算部による前記照合テンプレートと前記照合用変換特徴量配列との距離の計算は、前記照合テンプレートと前記照合用変換特徴量配列とのハミング距離dから、前記オフセットハミング距離δを引いた補正ハミング距離(d−δ)の計算であり、
前記照合判定部による前記認証成否の判定のための前記距離は、前記補正ハミング距離であることを特徴とする請求項15記載の生体認証システム。
【請求項19】
前記位置補正用特徴量変換部による前記位置補正テンプレートの作成は、前記登録用特徴量配列の部分を切り出した、登録用局所特徴量配列の作成を含み、
前記位置補正用特徴量変換部による前記位置補正用変換特徴量の作成は、前記認証用特徴量配列の部分を切り出た、認証用部分特徴量配列の作成を含み、
位置補正量計算部による前記位置補正量の計算は、前記登録用局所特徴量配列に対し、前記認証用部分特徴量配列を繰り返しシフトしながら距離を計算し、距離が最小となるシフト量を前記位置補正量とし、
前記補正特徴量配列の作成は、前記認証用特徴量配列を、前記位置補正量だけシフトすることを特徴とする請求項15〜18のいずれか1項に記載の生体認証方法。
【請求項20】
前記位置補正用変換パラメータ作成部は、前記登録時に前記登録用特徴量配列を変換する位置補正用変換パラメータを生成し、
前記位置補正用変換パラメータ作成部による前記位置補正テンプレートの作成は、前記登録用特徴量配列から登録用局所特徴量配列の切り出しと、前記登録用局所特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正テンプレートの作成とを含み、
前記位置補正用特徴量変換部による前記位置補正用変換特徴量の作成は、前記認証用特徴量配列から認証用部分特徴量配列の切り出しと、前記認証用部分特徴量配列を、前記位置補正用変換パラメータを用いて変換した前記位置補正用変換特徴量の作成とを含むことを特徴とする、請求項15〜19のいずれか1項に記載の生体認証システム。
【請求項21】
前記位置補正用変換パラメータは、ランダムに作成した可逆なフィルタであり、
前記位置補正用変換パラメータを用いた前記登録用局所特徴量配列の変換は、前記登録用局所特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a,b,cに置き換える登録用符号化局所特徴量配列の作成と、前記登録用符号化局所特徴量配列の逆順に並べ替える逆順ソートと、前記逆順ソートした配列に対する前記フィルタの畳み込みとを含み、
前記位置補正用変換パラメータを用いた前記認証用部分特徴量配列の変換は、前記認証用部分特徴量配列の要素の値0,1,*をそれぞれ所定の整数および実数のいずれか一方の値a’,b’,c’に置き換える認証用符号化部分特徴量配列の作成と、前記認証用符号化部分特徴量配列に対する前記フィルタの逆畳み込みとを含み、
前記位置補正量の計算は、前記位置補正テンプレートと前記位置補正用変換特徴量とからの、前記登録用符号化部分特徴量配列と前記認証用符号化部分特徴量配列との相関配列の計算と、前記相関配列中で、最大値をとる配列要素の位置の検索と、前記位置に基づいて前記位置補正量の決定とを含むことを特徴とする請求項20に記載の生体認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−108365(P2010−108365A)
【公開日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願番号】特願2008−281588(P2008−281588)
【出願日】平成20年10月31日(2008.10.31)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願日】平成20年10月31日(2008.10.31)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]