説明

生体認証方法及びシステム

【課題】生体情報データそのものの漏洩を防止すると共に、認証管理組織側主導での認証の安全性の迅速な確保及び認証強度のコントロールを可能とする。
【解決手段】変換コード管理サーバ103は、生体情報データを変換するための変換コードを管理し、生体情報の登録時に、抽出された生体情報データを登録用生体情報データと変換コードに基づいて変換済み登録用生体情報データを出力する。変換済み生体情報データベース管理サーバ104は、変換済み登録用生体情報データを記録管理する。生体認証サーバ102は、生体情報の照合時に、抽出された生体情報データを照合用生体情報データとして入力し、変換コード管理サーバ103にて管理される変換コードに基づいて変換処理を実行し、変換済み照合用生体情報データを出力し、その変換済み照合用生体情報データと変換済みサーバ104にて管理されている変換済み登録用生体情報データとを照合する。
【発明の詳細な説明】
【技術分野】
【0001】
開示する技術は、生体認証技術に関する。
【背景技術】
【0002】
コンピュータネットワークの商用利用の拡大に伴い、ネットワーク上でのデータアクセス、決済、伝票送付等に際しての本人確認技術が求められている。本人確認技術の1つとして、生体情報を利用した個人認証技術が普及し始めている。個人認証に各個人固有の生体情報を用いることにより、各個人の生体情報は本人以外は持つことはできないので、確実に本人であることが保証される。生体情報を用いた個人認証技術には、指紋、虹彩、血管パターン、声紋、網膜、顔等の、いわゆるバイオメトリクス認証技術がある。
【0003】
バイオメトリクス認証技術は、パスワードや所有物と異なり、本人への成り済ましが困難であるという特長がある。その反面、変えることができない個人の生体情報を計測して認証に使用することは、マスターキーの常時利用に当たり、認証用の生体情報が盗難・漏洩した場合の影響が大きい。
【0004】
図32は、従来の一般的な生体情報登録システムの構成図である。生体情報取得部3201が、センサを通じて利用者の登録用の生体情報を取得する。次に、特徴情報抽出部3202が、その取得された生体情報から特徴情報を抽出し、その特徴情報のデータを生体情報データとして出力する。次に、暗号化部3203が、上記生体情報データを暗号化する。そして、登録部3204が、その暗号化された生体情報データを、利用者によって入力されたユーザID情報(以下、単に「ID」という)をキーとして、データベースに登録する。
【0005】
図33は、従来の一般的な生体情報照合システムの構成図である。照合用生体情報取得部3301が、センサを通じて利用者の照合用の生体情報を取得する。次に、特徴情報抽出部3302が、その取得された照合用の生体情報から特徴情報を抽出し、その特徴情報のデータを照合用の生体情報データとして出力する。一方、登録済生体情報取得部3303が、利用者によって入力されたIDをキーとして、データベースからその利用者の登録済みの暗号化された生体情報データを抽出する。次に、暗号化データ復号処理部3304が、その暗号化された生体情報データから元の登録用の暗号化されていない生体情報データを復号する。続いて、照合処理部3305が、特徴情報抽出部3302が抽出した照合用の生体情報データと、暗号化データ復号処理部3304が復号した登録用の生体情報データとを照合する処理を実行し、両者の類似度を算出する。そして、一致不一致確認部3306が、その類似度の値が所定値以上のスコアとなった場合に、認証が成立したと判定し、特には図示しないログインシステム又はドアロック制御システムなどに通知する。
【0006】
図34は、図32に示される生体情報登録システムをベースとした、従来の一般的なクライアント・サーバ型生体情報登録システムの構成図である。
クライアント3401は、利用者が利用するコンピュータ又は入退室システム等である。クライアントは、生体情報センサ3404、テンキー3405、生体情報取得部3406、及び生体情報抽出部3407を含む。クライアント3401において、利用者はまず、テンキー3405等を用いてIDを入力する。これと共に、生体情報取得部3406が、生体情報センサ3404を通じて、利用者の生体情報を取得する。次に、生体情報抽出部3407が、その生体情報から登録用生体情報データを抽出する。クライアント3401は、その登録用生体情報データと、テンキー3405等から入力された利用者のIDを、生体認証サーバ3402に送信する。ここで、生体情報データは、生体情報取得部34
06にて取得された生体情報をそのままデータ化したものであってもよいし、図32のように生体情報から特徴情報を抽出して得られるデータであってもよい。
【0007】
生体認証サーバ3402は、生体認証を実施するサーバコンピュータであり、書込み処理部3408を含む。生体認証サーバ3402において、書込み処理部3408は、クライアント3401から受信した利用者のIDと登録用生体情報データを、必要に応じて暗号化するなどした後に、生体情報データベース管理サーバ3403に送信する。
【0008】
生体情報データベース管理サーバ3403は、生体情報データベース3409を管理するサーバであり、生体認証サーバ3402と同一のサーバコンピュータであってもよいし、別のサーバコンピュータであってもよい。生体情報データベース管理サーバ3403は、生体認証サーバ3402から利用者のIDと登録用生体情報データを受信すると、そのIDをキーとして登録用生体情報データを生体情報データベース3409に登録する。
【0009】
図35は、図33に示される生体情報照合システムをベースとした、従来の一般的なクライアント・サーバ型生体情報照合システムの構成図である。図35において、図34の場合と同じサーバ装置、及び同じ処理を行う部分には同じ番号が付されている。
【0010】
認証実行時に利用者は、クライアント3401において、テンキー3405等を用いてIDを入力する。これと共に、生体情報取得部3406が、生体情報センサ3404を通じて、利用者の生体情報を取得する。次に、生体情報抽出部3407が、その生体情報から照合用生体情報データを抽出する。クライアント3401は、その照合用生体情報データと、テンキー3405等から入力された利用者のIDを、生体認証サーバ3402に送信する。
【0011】
生体認証サーバ3402は、図34に示される書込み処理部3408のほかに、認証処理部3501を含む。この認証処理部3501は、図33の照合処理部3305及び一致不一致確認部3306に対応する。認証処理部3501は、クライアント3401から利用者のIDと照合用生体情報データを受信すると、IDを生体情報データベース管理サーバ3403に送信する。
【0012】
生体情報データベース管理サーバ3403は、生体認証サーバ3402からIDを受信すると、そのIDをキーとして生体情報データベース3409を検索し、そのIDに対応する利用者の登録用生体情報データを抽出する。そして、同サーバ3403は、その登録用生体情報データをIDと共に生体認証サーバ3402に送信する。
【0013】
生体認証サーバ3402の認証処理部3501は、生体情報データベース管理サーバ3403からIDと登録用生体情報データを受信すると、登録用生体情報データを必要に応じて復号処理等する。そして、認証処理部3501は、その登録用生体情報データと、クライアント3401から受信した上記IDに対応する照合用生体情報データとを照合する処理を実行し、両者の類似度を算出し、その類似度の値に基づいて認証を行う。
【0014】
上述した従来の一般的なクライアント・サーバ型の生体認証システムでは、認証処理部3501は、生体情報データを生データのままで、又は生体情報データに対して施された暗号を復号してメモリ上に展開した上で、照合認証処理を実行していた。また、生体情報データとしては、生の生体情報、又は元の生体情報が類推されやすい一次テンキーな特徴情報が用いられていた。
【0015】
上述した従来の一般的なクライアント・サーバ型の生体認証システムを改良したシステムとして、図36及び図37に示されるような生体情報登録/照合システムが知られてい
る。
【0016】
図36は、従来の生体情報変換機能付きクライアント・サーバ型生体情報登録システムの構成図である。図36において、図34の場合と同じサーバ装置、及び同じ処理を行う部分には同じ番号が付されている。
【0017】
図36の構成では、生体情報データが登録される際に、登録用生体情報データがそのままの形では登録されずに、クライアント3401内の生体情報変換部3601が、生体情報抽出部3407が抽出した登録用生体情報データを一度変換する。そして、クライアント3401は、その変換済み登録用生体情報データをIDと共に生体認証サーバ3402に送信する。
【0018】
生体認証サーバ3402において、書込み処理部3602は、クライアント3401から受信した利用者のIDと変換済み登録用生体情報データを、変換済み生体情報データベース管理サーバ3603に送信する。
【0019】
そして、変換済み生体情報データベース管理サーバ3603が、上記IDをキーとして変換済み登録用生体情報データを、変換済み生体情報データベース3604に登録する。
図37は、図36に対応する従来の生体情報変換機能付きクライアント・サーバ型生体情報照合システムの構成図である。図37において、図34又は図36の場合と同じサーバ装置、及び同じ処理を行う部分には同じ番号が付されている。
【0020】
図37の構成では、認証実行時にも、クライアント3401において生体情報データが取得される際に、照合用生体情報データがそのままの形では登録されずに、クライアント3401内の生体情報変換部3601が、生体情報抽出部3407が抽出した照合用生体情報データを一度変換する。そして、クライアント3401は、その変換済み照合用生体情報データをIDと共に生体認証サーバ3402に送信する。
【0021】
生体認証サーバ3402は、図36に示される書込み処理部3602のほかに、認証処理部3701を含む。認証処理部3701は、クライアント3401から利用者のIDと変換済み照合用生体情報データを受信すると、IDを変換済み生体情報データベース管理サーバ3603に送信する。
【0022】
変換済み生体情報データベース管理サーバ3603は、生体認証サーバ3402からIDを受信すると、そのIDをキーとして変換済み生体情報データベース3604を検索し、そのIDに対応する利用者の変換済み登録用生体情報データを抽出する。そして、同サーバ3603は、その変換済み登録用生体情報データをIDと共に生体認証サーバ3402に送信する。
【0023】
生体認証サーバ3402の認証処理部3701は、変換済み生体情報データベース管理サーバ3603からの変換済み登録用生体情報データと、クライアント3401からの上記IDに対応する変換済み照合用生体情報データとを照合する処理を実行する。そして、認証処理部3701は、両者の類似度を算出し、その類似度の値に基づいて認証を行う。
【0024】
ここで、万一、生体認証サーバ3402又は変換済み生体情報データベース管理サーバ3603から、変換済み登録用生体情報データが盗まれた場合には、図36のシステムにおける利用者による生体情報の再登録時に、利用者がテンキー3405から変更された変換コードを入力する。この結果、生体情報の再登録時に、生体情報変換部3601での変換形式(変換パラメータ等)が変更される。このような方式により、過去に盗まれたデータにより成り済ましが行われることが防止される。
【0025】
この場合に、生体情報変換部3601における変換アルゴリズムや、変換テーブル、パラメータ等は、生体情報データの提供者である利用者が管理し、登録管理者側に生体情報若しくは生体情報から直接抽出された特徴情報等の生体情報データが渡されない。これにより、悪意のあるサーバ管理者による生体情報の悪用とプライバシーの保護が実現されている。
【先行技術文献】
【特許文献】
【0026】
【特許文献1】特開平2000−11176号公報
【発明の概要】
【発明が解決しようとする課題】
【0027】
しかし、図34及び図35の第1の従来技術では、悪意のあるサーバ管理者が例えばサーバ上のメモリダンプ操作により生の生体情報データを盗み出した場合、又はサーバから大量の生体情報データが漏洩しその暗号が解かれた場合に、大きな問題が発生する。即ち、生体情報データが生体情報から類推し易い性質がある場合が多いため、以後その生体情報自体の利用が困難になり、生体情報の再登録だけでは対応が不可能であるという問題点を有していた。また、情報を漏洩された利用者は、他のシステムでの同種の生体認証の利用を躊躇することも予想される。
【0028】
一方、図36及び図37に示される第2の従来技術では、生体情報が直接的な形では悪意のあるサーバ管理者に盗まれることはない。しかし、変換済み登録用生体情報データが盗まれた際には、利用者に対して、クライアント3401内の生体情報変換部3601における変換形式の変更を促さなければならない。これは、従来の単純なパスワードによる通常認証方式の場合にパスワードが盗まれたら利用者自らがパスワードを変更しなければならないのと同じことである。従って、上記第2の従来技術は本質的に、通常認証方式の問題点を内包していることになる。
【0029】
つまり、上記第2の従来技術では、変換済み登録用生体情報データが盗まれた際に、あくまでも利用者による生体情報変換形式の変更操作を待たなければならず、認証管理組織側で迅速に認証保護を行うことが困難であるという問題点を有していた。
【0030】
また、上記第2の従来技術では、生体情報の変換形式を定期的に変更したり、複数の変換形式の組合せ等のより複雑なものに変更する等の、認証強度のコントロール(有効期限・強度の直接的な管理)を行う場合も、利用者に変更を明示的に促す必要があった。このことはやはり、通常認証方式においてより複雑なパスワードの利用を利用者に明示的に促さない限り認証の安全性の制御ができないのと同じ問題であり、認証管理組織が主導で認証強度のコントロールを行うことが困難であった。
【0031】
特にクライアントを利用する利用者が複数の場合、生体情報変換処理を個別に行うための複数の変換キー(又は変換コード)を持つ必要があり、その変換キーは利用者自らが管理しなければならない。従って、認証強度のコントロールは、利用者が変換キーを適切に管理するか否かに依存してしまう。また、利用者は、変換キーを常時携帯しなければならず、変換キーを失念又は紛失したような場合に、認証管理組織委側によるコントロールが困難である。更に、ATMのような公共での共用端末装置でのサービスには不向きであるといった問題点を有していた。
【0032】
上記の問題点を解決するために、生体情報変換部をクライアント側ではなく生体認証サーバ側に設置して、変換形式の変更を認証管理組織側の主導で行えるようにすることが容
易に考えられる。しかしその場合には、悪意のあるサーバ管理者によって、変換済み登録用生体情報データと共に変換形式に関する情報がセットで盗まれる可能性があり、その場合には過去に盗まれたデータにより成り済ましができてしまい、認証の安全性が維持できない。
【0033】
開示する技術が解決しようとする課題は、生体情報データそのものの漏洩を防止すると共に、認証管理組織側主導での認証の安全性の迅速な確保及び認証強度のコントロールを可能とすることにある。
【課題を解決するための手段】
【0034】
上記課題を解決するために、開示する技術は、以下の構成を含む。
変換コード管理ステップは、生体情報データを変換するための変換コードを管理する。
変換登録処理ステップは、生体情報の登録時に入力された登録用生体情報データを、変換コードに基づいて変換した変換済み登録用生体情報データを出力する。
【0035】
変換済み生体情報データ管理ステップは、変換済み登録用生体情報データを記録管理する。
そして、変換照合処理ステップは、生体情報の照合時に入力された照合用生体情報データを、変換コードに基づいて変換した変換済み照合用生体情報データを出力し、その変換済み照合用生体情報データと変換済み登録用生体情報データとを照合する。
【発明の効果】
【0036】
開示する技術によれば、変換コード管理ステップが管理する変換コードに従って生体情報データが変換されて、変換登録処理ステップによる登録処理又は変換照合処理ステップによる照合処理が行われる。これによって、生体情報データが盗難・漏洩した場合には、変換コード管理ステップでの制御により、変換処理用の変換コードを、一括又は利用者ID毎に個別に、認証組織主導で迅速に変更し、盗難・漏洩した生体情報の暗号化処理が例え解読されたとしても再利用を防ぐことが可能となる。
【0037】
また、変換コード管理ステップ、変換済み生体情報データ管理ステップ等を、変換登録処理ステップや変換照合処理ステップから分離して管理されることで、1人の悪意のあるシステム管理者がいる場合でも、生体情報データを悪用するために必要なすべての情報が入手できてしまうことを阻止することが可能となる。
【図面の簡単な説明】
【0038】
【図1】生体情報認証システムの第1の実施形態における生体情報登録システム部分の構成図である。
【図2】生体情報認証システムの第1の実施形態における生体情報照合システム部分の構成図である。
【図3】生体情報認証システムの第1の実施形態における生体情報漏洩時再登録処理の説明図である。
【図4】生体情報データのパターン変換(変形)処理による変換例を示す図である。
【図5】静脈データでのパターン変換(変形)処理による変換登録例を示す図である。
【図6】静脈データでのパターン変換処理による照合例を示す図である。
【図7】生体情報データのランダム関数変換処理による変換例を示す図である。
【図8】静脈データでのランダム関数変換処理による変換登録例を示す図である。
【図9】静脈データでのランダム関数変換処理による照合例(その1)を示す図である。
【図10】静脈データでのランダム関数変換処理による照合例(その2)を示す図である。
【図11】生体情報データの座標系変換処理による変換例を示す図である。
【図12】生体情報データのパターン変換(変形)処理+ランダム関数変換処理による変換例を示す図である。
【図13】静脈データでのパターン変換(変形)処理+ランダム関数変換処理による変換登録例を示す図である。
【図14】静脈データでのパターン変換(変形)処理+ランダム関数変換処理による照合例(その1)を示す図である。
【図15】静脈データでのパターン変換(変形)処理+ランダム関数変換処理による照合例(その2)を示す図である。
【図16】複数の変換処理の組合せ方式における変換コードデータベースの例を示す図である。
【図17】生体情報データの品質により変換強度が変更されるパターン変換処理の例を示す図である。
【図18】生体情報データの品質により変換強度が変更されるランダム関数変換処理の例を示す図である。
【図19】生体情報データ漏洩検出手段の第1の構成例を示す図である。
【図20】生体情報データ漏洩検出手段の第2の構成例を示す図である。
【図21】生体情報認証システムの第2の実施形態の構成図である。
【図22】生体情報認証システムの第3の実施形態の構成図である。
【図23】生体情報認証システムの第4の実施形態における生体情報登録システム部分の構成図である。
【図24】生体情報認証システムの第4の実施形態における生体情報照合システム部分の構成図である。
【図25】生体情報認証システムの第5の実施形態における生体情報登録システム部分の構成図である。
【図26】生体情報認証システムの第5の実施形態における生体情報照合システム部分の構成図である。
【図27】変換コードの世代管理を行う変換コード生成・チェック処理部の構成例を示す図である。
【図28】生体情報認証システムの第6の実施形態の構成図である。
【図29】生体情報認証システムの第7の実施形態の構成図である。
【図30】日付(曜日)毎に異なる変換コードによる変換済み登録用生体情報データを用いて照合する例を示す図である。
【図31】各実施形態を実現するハードウェア構成図である。
【図32】従来の一般的な生体情報登録処理システムの構成図である。
【図33】従来の一般的な生体情報照合システムの構成図である。
【図34】従来の一般的なクライアント・サーバ型生体情報登録システムの構成図である。
【図35】従来の一般的なクライアント・サーバ型生体情報照合システムの構成図である。
【図36】従来の生体情報変換機能付きクライアント・サーバ型生体情報登録システムの構成図である。
【図37】従来の生体情報変換機能付きクライアント・サーバ型生体情報照合システムの構成図である。
【発明を実施するための形態】
【0039】
以下、実施形態について詳細に説明する。
図1は、生体情報認証システムの第1の実施形態における生体情報登録システム部分の構成図である。この構成は、照合用生体情報データと登録用生体情報データとの照合結果
に基づいて本人認証を行う、クライアント・サーバ型の生体認証システムの実施形態である。クライアント101は例えば、利用者が利用するコンピュータ又は入退室システム等である。
【0040】
図1の構成では、クライアント101、生体認証サーバ102、変換コード管理サーバ103、及び変換済み生体情報データベース管理サーバ104が連携して動作する。クライアント101は、生体情報センサ105から生体情報を取得する生体情報取得部107、生体情報から生体情報データを抽出する生体情報抽出部108を含む。生体認証サーバ102は、変換登録処理部109を含む。変換コード管理サーバ103は、変換コード生成・チェック処理部110、及び変換コードデータベース111を含む。
【0041】
図1の生体情報登録システムにおける生体情報の登録手順は、以下の通りである。
クライアント101において、利用者はまず、テンキー106等を用いてIDを入力する。これと共に、生体情報取得部107が、生体情報センサ105を通じて、利用者の生体情報を取得する。次に、生体情報抽出部108が、その生体情報から登録用生体情報データを抽出する。クライアント101は、その登録用生体情報データと、テンキー1065等から入力された利用者のIDを、生体認証サーバ102に送信する。このとき利用者は、ICカードや磁気カード等、何らかの媒体に格納された利用者のIDを用いてもよい。また、第三者がIDの代行入力を行っても良い。
【0042】
生体認証サーバ102において、変換登録処理部109が、クライアント101から利用者のIDと登録用生体情報データを受信する。
変換登録処理部109は、受信したIDを変換コード管理サーバ103へ送信する。変換コード管理サーバ103において、変換コード生成・チェック処理部110は、IDを受信すると、そのIDに対応させて変換コードを生成する。そして、同処理部110は、その変換コードを、上記IDと共に生体認証サーバ102に送信すると共に、そのIDをキーとして変換コードを変換コードデータベース111に登録する。
【0043】
生体認証サーバ102の変換登録処理部109は、変換コード管理サーバ103からIDと変換コードを受信すると、そのIDに対応してクライアント101から受信している登録用生体情報データに対して、変換コードに基づく変換処理を実行する。その結果、同処理部109は、変換済み登録用生体情報データを生成する。ここでいう生体情報データの変換とは、詳しくは後述するが、生体情報からの特徴抽出や暗号化を示すものではなく、例えば生体情報データの不可逆な変形や、ランダム化関数処理、或いは、生体特徴データの座標変換処理を示すものである。その後、変換登録処理部109は、変換済み登録用生体情報データを、変換済み生体情報データベース管理サーバ104に送信する。
【0044】
変換済み生体情報データベース管理サーバ104は、変換済み生体情報データベース112を管理するサーバである。同サーバ104は、生体認証サーバ102から利用者のIDと変換済み登録用生体情報データを受信すると、そのIDをキーとして変換済み登録用生体情報データを変換済み生体情報データベース112に登録する。
【0045】
図2は、生体情報認証システムの第1の実施形態における生体情報照合システム部分の構成図である。図2において、図1の場合と同じサーバ装置、及び同じ処理を行う部分には同じ番号が付されている。
【0046】
図2の構成では、生体認証サーバ102が新たに変換照合処理部201を含む。
図2の生体情報登録システムにおける生体情報の登録手順は、以下の通りである。
認証実行時に利用者は、クライアント101において、テンキー106等を用いてIDを入力する。これと共に、生体情報取得部107が、生体情報センサ105を通じて、利
用者の生体情報を取得する。次に、生体情報抽出部108が、その生体情報から照合用生体情報データを抽出する。クライアント101は、その照合用生体情報データと、テンキー106等から入力された利用者のIDを、生体認証サーバ102に送信する。
【0047】
生体認証サーバ102において、変換照合処理部201が、クライアント101から利用者のIDと照合用生体情報データを受信する。
変換照合処理部201は、受信したIDを、変換コード管理サーバ103と変換済み生体情報データベース管理サーバ104へ送信する。
【0048】
変換コード管理サーバ103において、変換コード生成・チェック処理部110は、IDを受信すると、そのIDをキーとして変換コードデータベース111を検索し、そのIDに対応する変換コードを抽出する。そして、同処理部110は、その変換コードを、上記IDと共に生体認証サーバ102に送信する。
【0049】
変換済み生体情報データベース管理サーバ104は、生体認証サーバ102からIDを受信すると、そのIDをキーとして変換済み生体情報データベース112を検索し、そのIDに対応する利用者の変換済み登録用生体情報データを抽出する。そして、同サーバ104は、その登録用生体情報データをIDと共に生体認証サーバ102に送信する。
【0050】
生体認証サーバ102の変換照合処理部201は、変換コード管理サーバ103からIDと変換コードを受信すると、そのIDに対応してクライアント101から受信している照合用生体情報データに対して、変換コードに基づく変換処理を実行する。その結果、同処理部201は、変換済み照合用生体情報データを生成する。
【0051】
更に、変換照合処理部201は、上記IDに対応して変換済み生体情報データベース管理サーバ104から受信している変換済み登録用生体情報データと、上記へ照合用生体情報データとを照合する処理を実行する。そして、同処理部201は、両者の類似度を算出し、その類似度の値に基づいて認証を行う。
【0052】
上述した図1及び図2に示されるシステム構成における具体的なハードウェア構成としては、下記1)から4)の何れかの構成を採用することができる。

1)生体認証サーバ102、変換コード管理サーバ103、変換済み生体情報データベース管理サーバ104を、個別のサーバコンピュータ、及び個別のハードディスクで構成する2)生体認証サーバ102、変換コード管理サーバ103、変換済み生体情報データベース管理サーバ104を、同一のサーバコンピュータ、個別のハードディスクで構成する。
3)生体認証サーバ102、変換コード管理サーバ103、変換済み生体情報データベース管理サーバ104を、物理的に離れた場所におく。
3)生体認証サーバ102、変換コード管理サーバ103、変換済み生体情報データベース管理サーバ104の管理者を個別に設定する。
【0053】

図1及び図2のシステム構成において、変換済み生体情報データベース管理サーバ104に登録されるIDは、社会生活上の個人情報、例えば銀行の口座番号やクレジットカード番号とは結びつかないIDとすることも可能である。
【0054】
また、図1及び図2のシステム構成において、変換コードは、1つのデータではなく、複数のデータから構成されたり、マトリックス上の変換テーブルとして扱ってもよい。
図1及び図2のシステム構成において、変換済み登録用生体情報データ又は変換コードの盗難・漏洩が判明した後の生体情報データの再登録処理について、図3の説明図を用い
て説明する。図3において、図1の場合と同じサーバ装置、及び同じ処理を行う部分には同じ番号が付されている。
【0055】
クライアント101において、利用者は、テンキー106等を用いてIDを入力する。これと共に、生体情報取得部107が、生体情報センサ105を通じて、利用者の生体情報を取得する。次に、生体情報抽出部108が、その生体情報から再登録用生体情報データを抽出する。クライアント101は、その再登録用生体情報データと、テンキー1065等から入力された利用者のIDを、生体認証サーバ102に送信する。
【0056】
生体認証サーバ102において、変換登録処理部109が、クライアント101から利用者のIDと再登録用生体情報データを受信する。
変換登録処理部109は、受信したIDを変換コード管理サーバ103へ送信する。変換コード管理サーバ103において、変換コード生成・チェック処理部110は、IDを受信すると、そのIDに対応させて新たな変換コードを生成し、その変換コードを、上記IDと共に生体認証サーバ102に送信する。また、同処理部109は、そのIDをキーとして変換コードデータベース111を検索し、検索されたレコード上の古い変換コードを新たに生成した変換コードに置き換えて再登録する。
【0057】
生体認証サーバ102の変換登録処理部109は、変換コード管理サーバ103からIDと新たに生成された変換コードを受信すると、そのIDに対応してクライアント101から受信している再登録用生体情報データに対して、新たな変換コードに基づく再変換処理を実行する。その結果、同処理部109は、再変換済み登録用生体情報データを生成する。その後、変換登録処理部109は、再変換済み登録用生体情報データを、変換済み生体情報データベース管理サーバ104に送信する。
【0058】
変換済み生体情報データベース管理サーバ104は、生体認証サーバ102から利用者のIDと再変換済み登録用生体情報データを受信すると、そのIDをキーとして変換済み生体情報データベース112を検索する。そして、同サーバ104は、検索されたレコードに登録されている古い変換済み登録用生体情報データを、新たに受信した再変換済み登録用生体情報データに置き換えて再登録する。
【0059】
図1又は図2の第1の実施形態の構成により、変換コード管理サーバ103が管理する変換コードに従って生体情報データが変換されて登録・照合処理が行われる。これによって、生体情報データが盗難・漏洩した場合には変換処理用の変換コードを一括又は利用者ID毎に個別に迅速な変更を実施し、盗難・漏洩した生体情報の暗号化処理が例え解読されたとしても再利用を防ぐことが可能である。
【0060】
また、生体認証サーバ102、変換コード管理サーバ103、及び変換済み生体情報データベース管理サーバ104が分離して管理されることで、1人の悪意のあるシステム管理者がいる場合でも、生体情報データを悪用するために必要なすべての情報が入手できないため再利用が困難であるという特徴を有する。
【0061】
図1の変換登録処理部109又は図2の変換照合処理部201における生体情報データの変換例を、図4に示す。この例では、生体情報データの変換処理として、パターン変換(変形)が行われる。この変換のために、図1の変換コードとして、パターン変換コードが使用され、このコードに基づいてパターン変換(変形)が行われる。この変換例は、変形前の生体情報データを類推することが困難で、不可逆性を有することが特徴である。
【0062】
図5に、生体情報データが静脈データである場合における、パターン変換(変形)処理(S501)による図1の変換登録処理部109での図4に基づく変換登録例を示す。
また図6に、静脈データでのパターン変換処理による、図2の変換照合処理部201での図4に基づく変換照合例を示す。この例では、照合用生体情報データに対して、パターン変換コードによるパターン変換処理が実行され(S601)、その変換された照合用生体情報データと変換済み登録用生体情報データの変換データ同士が照合される(S602)。このように、照合処理は、変換されたままの状態で実施される。パターン変換の単位は、1ドットだけではなく、複数ドットのブロック単位での適用も可能である。1ドットの場合は、より滑らかな変換が行える。
【0063】
図1の変換登録処理部109又は図2の変換照合処理部201における生体情報データの他の変換例を、図7に示す。この例では、生体情報データの変換処理として、生体情報データに所定の単位(パターンブロックもしくは画素単位)でランダム関数による変換処理が実施される。この変換のために、図1の変換コードとして、ランダム化テーブルが用いられる。この結果、図1の変換済み登録用生体情報データとして、ランダム化登録用生体情報データが得られる。ランダム化の単位は、1ドットだけではなく、ブロック単位での適用も可能である。1ドットの場合は、最も類推が困難である。
【0064】
図8に、静脈データでの1ドット単位のランダム関数変換処理(S801)による、図1の変換登録処理部109での図7に基づく変換登録例を示す。
また、図9に、静脈データでの1ドット単位のランダム関数変換処理による、図2の変換照合処理部201での図6に基づく照合例(その1)を示す。この例では、照合用生体情報データが、ランダム関数変換処理によって所定単位毎にランダム化され(S901)、そのランダム化領域毎に、そのランダム化された照合用生体情報データとランダム化登録用生体情報データとが照合される(S902)。この照合処理が、所定単位毎に繰り返される(S903)。この場合、両者の照合位置がずれないように、事前に位置ずれや拡大縮小の補正が行われる。
【0065】
更に、図10に、静脈データでの1ドット単位のランダム関数変換処理による、図2の変換照合処理部201での図6に基づく照合例(その2)を示す。この例では、ランダム化登録用生体情報データに対して、そのデータがランダム化された所定単位で、逆ランダム関数による変換処理が実行される(S1001)。そして、そのランダム化領域毎に、逆ランダム化された登録用生体情報データとクライアント101から受信された照合用生体情報データとが照合される(S1002)。この照合処理が、所定単位毎に繰り返される(S1003)。この場合に、ランダム化登録用生体情報データデータの全てが一度には逆ランダム化されないことにより、メモリ上に全ての登録用生体情報データが逆ランダム化されて展開されることが防止され、登録用生体情報データそのものの漏洩が阻止される。この例では、登録用生体情報データと照合用生体情報データの間に位置ずれがあっても適用することができる。
【0066】
上記図9又は図10において、変換コード管理サーバ103から、変換コードであるランダム化テーブルが一括して送られずに、図2の変換照合処理部201での照合処理と連動するランダム化単位毎のランダム化テーブルが送付されることで、照合時に図2の生体認証サーバ102に全ての情報が揃ってしまうことを抑止することができる。
【0067】
図1の変換登録処理部109又は図2の変換照合処理部201における生体情報データの更に他の変換例を、図11に示す。この例では、生体情報データの変換処理として、座標系変換が用いられる。生体情報から固有の符号化された特徴情報、例えば指紋認証での特徴点座標や、虹彩認証での1次元のアイリスパターン(0:無し/1:有り)を抽出できる場合には、座標変換を用いることが可能である。また、顔画像においては、パーツ(目、鼻、口)毎に基準座標系を持たせることも可能である。
【0068】
図1の変換登録処理部109又は図2の変換照合処理部201における生体情報データの更に他の変換例を、図12に示す。この例では、生体情報データの変換処理として、図4に示されるパターン変換処理と図7に示されるランダム関数変換処理とが組み合わせて実施される。2つの方式が併用されることで、パターン変換(変形)による不可逆性の利点と、ランダム化により照合時に生体認証サーバ102内で登録用生体情報データデータの一部しか同時にメモリに展開されない利点の両方を満足することができる。
【0069】
図13に、静脈データでの1ドット単位のパターン変換処理(S1301)+ランダム関数変換処理(S1302)による、図1の変換登録処理部109での図13に基づく変換登録例を示す。
【0070】
また、図14に、静脈データでの1ドット単位のパターン変換処理+ランダム関数変換処理による、図2の変換照合処理部201での図13に基づく照合例(その1)を示す。この例は、図5と図9の組合せである。照合用生体情報データが、パターン変換された後に(S1401)、所定単位毎にランダム関数変換され(S1402)、そのランダム化領域毎に、そのランダム化された照合用生体情報データとランダム化登録用生体情報データとが照合される(S1403)。この照合処理が、所定単位毎に繰り返される(S1404)。
【0071】
更に、図15に、静脈データでの1ドット単位のパターン変換処理+ランダム関数変換処理による、図2の変換照合処理部201での図13に基づく照合例(その2)を示す。この例は、図6と図10の組合せである。即ちこの例では、ランダム化登録用生体情報データに対して、そのデータがランダム化された所定単位で、逆ランダム関数による変換処理が実行される(S1501)。一方、照合用生体情報データはパターン変換される(S1502)。そして、そのランダム化領域毎に、逆ランダム化された登録用生体情報データとパターン変換された照合用生体情報データとが照合される(S1503)。この照合処理が、所定単位毎に繰り返される(S1504)。
【0072】
上記図14及び図15の何れでも、少なくともパターン変換された領域で照合が行われるため、漏洩に対する耐性が強い。図14の構成は、更にランダム化領域での照合が行われるため漏洩に対する耐性は更に強くなるが、位置ずれ等に対する安定性は図15の構成のほうが高い。
【0073】
図16は、複数の変換処理の組合せ方式が採用された場合における、図1の変換コード管理サーバ103内の変換コードデータベース111の例を示す図である。このように同データベース111では、利用者のID毎に、各変換処理の変換コードが管理される。例えば、上述のようにパターン変換(変形)処理とランダム関数変換処理の両方が組み合わされる場合には、ID毎に、2種類の変換コードが管理される。
【0074】
図17は、登録用生体情報データの品質判定を行う手段を含んだパターン変換処理(図4、図5等参照)による図1の変換登録処理部109の処理例を示す図である。品質値の高い生体情報データは、生体情報に対するノイズが少なく照合しやすいため、変換の強度(変形の大きさ)を強く(元の生体情報の類推をより困難に)しても本人認証性能低下への影響が少ないことが想定される。そこで、図17では、登録用の原生体情報データに対して品質判定が行われ(S1701)、その結果得られる品質値に対応して変換強度が判定され(S1702)、図1の変換コード管理サーバ103においてパターン変換コードが選択される(S1703)。そして、新たに登録用生体情報データが取得されて、上記選択されたパターン変換コードを用いたパターン変換処理が実行され(S1704)、変換済み登録用生体情報データが得られる。
【0075】
図18は、登録用生体情報データの品質判定を行う手段を含んだランダム関数変換処理(図7、図8等参照)による図1の変換登録処理部109の処理例を示す図である。この例ではまず、登録用の原生体情報データに対して品質判定が行われる(S1801)。次に、その結果得られる品質値に対応してランダム関数変換の細かさを示すランダム化単位が決定され(S1802)、図1の変換コード管理サーバ103において変換コードとしてのランダム化テーブルが選択される(S1803)。生体情報データの品質値が高い場合には、より細かいランダム化テーブルが選択される。そして、新たに登録用生体情報データが取得されて、上記選択されたランダム化テーブルを用いたランダム関数変換処理が実行され(S1804)、ランダム化登録用生体情報データが得られる。
【0076】
次に、図2に示される生体情報照合システムにおいて、生体情報データ漏洩検出手段を含み、生体情報の漏洩を検出した場合に変換コードと登録用生体情報データの更新若しくは変換コードの更新を行わせることも可能である。情報漏洩を検知することで、利用者IDの停止、登録用生体情報データの再登録要求の通知等が可能になる。
【0077】
図19は、生体情報データ漏洩検出手段の第1の構成例を示す図である。
まず、図19(a)の構成は、例えば図1の変換登録処理部109内に実現される。変換済み登録用生体情報データが変換済み生体情報データベース管理サーバ104に送信される際に、変換済み登録用生体情報データに対してハッシュ関数処理が実行される(S1901)。その結果得られるハッシュ値が、変換済み登録用生体情報データと共に変換済み生体情報データベース管理サーバ104に送信される。変換済み生体情報データベース管理サーバ104は、上記変換済み登録用生体情報データ+ハッシュ値を、変換済み生体情報データベース112(図1)に登録する。
【0078】
次に、図19(b)の構成は、例えば図2の変換照合処理部201内に実現される。変換済み照合用生体情報データに対してハッシュ関数処理が実行される(S1902)。一方、変換済み生体情報データベース管理サーバ104からは、利用者のIDに対応する変換済み登録用生体情報データと共に、図19(a)にて登録されたハッシュ値が併せて受信される。そして、上記照合用生体情報データのハッシュ値と上記登録用生体情報データのハッシュ値が一致するか否かが比較され(S1903)、両者が一致した場合に、漏洩が判定される。
【0079】
上記図19(a)及び(b)の構成では、登録用生体情報データと照合用生体情報データは完全には一致しないため、それらに対して変換処理を実行した後の変換済み登録用生体情報データと変換済み照合用生体情報データの各ハッシュ値も一致しない。従って、もし両者が一致した場合には、変換済み登録用生体情報データと変換済み照合用生体情報データとが同一であることになり、変換済み照合用生体情報データは漏洩された登録用生体情報データであるということになる。このようにして漏洩判定を行うことができる。
【0080】
図19(b)の構成において更に、過去に照合に用いられた変換済み照合用生体情報データのハッシュ値が保存され、新たに入力された変換済み照合用生体情報データのハッシュ値と保存されているハッシュ値とが一致した場合に、漏洩を判定する構成も採用することができる。この構成は、システム管理者が生体認証サーバ102上で過去の変換済み照合用生体情報データを盗み、それを再利用するような不正利用を検知できる。
【0081】
図20は、生体情報データ漏洩検出手段の第2の構成例を示す図である。この例では、図1又は図2の生体認証サーバ102、変換コード管理サーバ103、及び変換済み生体情報データベース管理サーバ104でのそれぞれの認証関連処理ログが取得され(S2001)、これらのログ内容に基づいて各サーバ間の処理時間差が計測される(S2002)。この結果、各サーバにおいてそれぞれ関連する処理ログの同期に所定時間以上のずれ
があるような特異ログが抽出されることにより(S2003)、漏洩が判定される。このような場合は、悪意のある者、特にシステム管理者がサーバ上で何らかの不正操作を行ったと見なすことができる。複数のサーバに情報を分けて管理している事を利用し、ログに不整合が見られた場合は、システムは漏洩・盗難の可能性があるとしてアラームを通知する。
【0082】
図21は、生体情報認証システムの第2の実施形態の構成図である。図21において、図1及び図2の第1の実施形態の構成の場合と同じ処理を行う部分には同じ番号が付されている。図21の構成が図1及び図2の構成と異なる点は、変換登録処理部109及び変換照合処理部201が、1台の生体認証サーバ102ではなく、それぞれ個別の生体認証登録サーバ2101及び生体認証照合サーバ2102に設置される点である。2つのサーバが分離されることにより、登録と照合に携わるサーバの管理者を別々の人物に設定することが可能である。
【0083】
図22は、生体情報認証システムの第3の実施形態の構成図である。図22において、図21の第2の実施形態の構成の場合と同じ処理を行う部分には同じ番号が付されている。
【0084】
図22では、変換済み生体情報データベース管理サーバ104と生体認証登録サーバ2101及び生体認証照合サーバ2102との間に、ID変換管理サーバ2201が置かれる。同サーバ2201により、ID変換が行われることにより、変換済み生体情報データベース管理サーバ104では、クレジットカード番号や預金口座番号など利用者の特定につながるIDではなく、IDからは本人の個人情報を推定できないIDで変換済み登録用生体情報データを管理できる。生体情報は変換されて管理されているが、更に、管理するIDを個人を特定できないものとすることで、より安全性を高めることができる。
【0085】
図22において、ID変換管理サーバ2201は、生体認証登録サーバ2101又は生体認証照合サーバ2102から通知される利用者IDを一度、利用者IDと一意に関連付けられた生体情報データ管理IDに変換し、その生体情報データ管理IDが変換済み登録用生体情報データと対で、変換済み生体情報データベース112に記録される。
【0086】
このように、個人情報と生体情報データの分離管理を可能にすることで、変換済み登録用生体情報データデータが漏洩した場合でも、意味のある利用者IDと同時に流出させないことで、より安全性を確保することができる。
【0087】
図23及び図24は、生体情報認証システムの第4の実施形態の構成図であり、それぞれ図1及び図2の第1の実施形態の構成に対応している。図1及び図2の第1の実施形態の構成の場合と同じ処理を行う部分には同じ番号が付されている。
【0088】
図23及び図24では、図1及び図2における生体認証サーバ102は設けられず、変換登録処理部109及び変換照合処理部201が、生体認証クライアント2301内に設置される。
【0089】
生体認証クライアント2301内の変換登録処理部109及び変換照合処理部201が、変換コード管理サーバ103及び変換済み生体情報データベース管理サーバ104と個別に通信を行うことにより、安全性の高い認証管理を実現できる。
【0090】
また、変換登録処理部109及び変換照合処理部201における変換処理は、利用者が主導で行うのではなく、変換コード管理サーバ103からの通信指示に基づいて自動的に行われるため、認証管理組織の主導で各利用者の認証強度等を管理することができる。
【0091】
図25及び図26は、生体情報認証システムの第5の実施形態の構成図であり、それぞれ図1及び図2の第1の実施形態の構成に対応している。図1及び図2の第1の実施形態の構成の場合と同じ処理を行う部分には同じ番号が付されている。
【0092】
図25及び図26では、図1及び図2における生体認証サーバ102及び変換済み生体情報データベース管理サーバ104は設けられず、変換登録処理部109、変換照合処理部201、及び変換済み生体情報データベース112が、生体認証クライアント2301内に設置される。
【0093】
変換コード管理サーバ103のみが、生体認証クライアント2501から分離されることで、安全かつ最低限のデータ分離が行われる。
図27は、上記第1から第5の実施形態のシステムにおける変換コード管理サーバ103内の変換コード生成・チェック処理部110の構成例を示す図である。
【0094】
この構成例では、変換コード生成・チェック処理部110(図1等参照)が、変換コード世代管理番号を管理し、変換コードを生成するにあたり、システムの利用者ID若しくは該IDに対応して一意に設定されたIDと上記変換コード世代管理番号とに基づいて、変換コードを作成する。変換コード世代管理番号は、漏洩等によって変換コードの変更が必要になったことの履歴を管理する番号であり、いわば漏洩世代管理番号ともいえる。
【0095】
例えば、変化コードの生成にハッシュ関数SHA−1によるハッシュ関数処理が行われた場合には(S2701)、20バイトの一意のデータが生成される。このデータ又はそれから生成されるデータが変換コードとして作成される(S2702)。
【0096】
これらの変換コードは、変換コードデータベース111(図1等参照)において、一連のコードとして管理されても良いし、ある関数f(x)のパラメータとして保管されても良い。また、これらの変換コードは、参照テーブルの形式で保管されてもよい。また、上記データは、変換コードを最終的に生成するためのパラメータ群を管理するためのインデックスとして用いられてもよい。
【0097】
図28は、上記図27の構成をベースとする生体情報認証システムの第6の実施形態の構成図である。この構成は、図21に示される第2の実施形態の構成をベースとしているが、他の実施形態の構成をベースとしてもよい。図21の第2の実施形態の構成の場合と同じ処理を行う部分には同じ番号が付されている。
【0098】
第6の実施形態では、変換コード管理サーバ103が、変換コード生成・チェック処理部110及び変換コードデータベース111に加えて、変換コード世代管理部2801及び変換コード世代管理番号データベース2802を有する。変換コード世代管理部2801は、図27のハッシュ関数処理を行う部分であり、変換コード世代管理番号データベース2802に記録された変換コード世代管理番号及びシステム番号に基づいて、図27のハッシュ情報を生成する。そして、変換コード生成・チェック処理部110が、そのハッシュ情報に基づいて、変換コードを生成する。
【0099】
このような構成により、複数のシステムに対応した変換コードの管理が可能になる。変換コード世代管理番号データベース2802は、利用者ID又はそれに一意に対応するIDをキーとして、変換コード世代管理番号及びシステム番号を管理する。この変換コード世代管理番号は、漏洩の事実又は管理期間の長さ等に基づいて更新され、それに基づいて変換コードデータベース111内の対応する変換コードも更新されてゆく。
【0100】
また、変換コード世代管理番号データベース2802は、変換コード世代管理番号(及びシステム番号)と共に、アプリケーション番号を管理するように構成することもできる。変換コード世代管理部2801は、アプリケーション番号も合わせた番号によってハッシュ情報を生成し、それに基づいて変換コードが作成される。同一の生体情報データに対してアプリケーション毎に個別の変換コードを用いて管理されるため、セキュリティの高いアプリケーションとそれ程高くないアプリケーションでの変換コードを変えることにより、セキュリティの高いアプリケーションの安全性を確保できる。
【0101】
図29は、生体情報認証システムの第7の実施形態の構成図である。図28の第6の実施形態の構成の場合と同じ処理を行う部分には同じ番号が付されている。この構成では、変換コードの世代管理を行う変換コード世代管理部2801及び変換コード世代管理番号データベース2802が、変換コード管理サーバ103とは異なる変換コード世代管理サーバ2901内に独立して設置される。この構成により、変換コードの世代管理と変換コード自体の管理とを、異なるサーバ管理者に割り当てることができる。
【0102】
図30は、日付(曜日)毎に異なる変換コードによる変換済み登録用生体情報データを用いて照合が行われる場合の例を示す図である。この例では、同一の登録用生体情報データに対して、日付(曜日)毎に異なる変換コードにより変換された複数の変換済み登録用生体情報データデータが、変換済み生体情報データベース112(図1等参照)に保存される。例えば、同じ右手の人差し指の指紋を毎日使っているが、システムの内部では曜日毎に別の変換コードで変換されて登録されている人差し指の指紋データが用いられている場合などである。事前に複数の変換コードで変換した登録情報を保持しておくことで、時間帯、日、曜日、月により、異なる変換コードで変換された変換済み登録用生体情報データを自動的にシステム内部で利用することが可能である。これにより、変換コードや変換アルゴリズムの類推をより困難にすることができる。
【0103】
図31は、上記第1から第7の実施形態のシステムを実現できるコンピュータ(生体認証サーバ102、変換コード管理サーバ103、変換済み生体情報データベース管理サーバ104、ID変換管理サーバ2201、変換コード世代管理サーバ2901、生体認証クライアント2301、2501等)のハードウェア構成の一例を示す図である。
【0104】
図31に示されるコンピュータは、CPU3101、メモリ3102、入力装置3103、出力装置3104、外部記憶装置3105、可搬記録媒体3109が挿入される可搬記録媒体駆動装置3106、及びネットワーク接続装置3107を有し、これらがバス3108によって相互に接続された構成を有する。同図に示される構成は上記システムを実現できるコンピュータの一例であり、そのようなコンピュータはこの構成に限定されるものではない。
【0105】
CPU3101は、当該コンピュータ全体の制御を行う。メモリ3102は、プログラムの実行、データ更新等の際に、外部記憶装置3105(或いは可搬記録媒体3109)に記憶されているプログラム又はデータを一時的に格納するRAM等のメモリである。CUP3101は、プログラムをメモリ3102に読み出して実行することにより、全体の制御を行う。
【0106】
入力装置3103は、例えば、キーボード、マウス等及びそれらのインタフェース制御装置とからなる。入力装置3103は、ユーザによるキーボードやマウス等による入力操作を検出し、その検出結果をCPU3101に通知する。
【0107】
出力装置3104は、表示装置、印刷装置等及びそれらのインタフェース制御装置とからなる。出力装置3104は、CPU3101の制御によって送られてくるデータを表示
装置や印刷装置に出力する。
【0108】
外部記憶装置3105は、例えばハードディスク記憶装置である。主に各種データやプログラムの保存に用いられる。
可搬記録媒体駆動装置3106は、光ディスクやSDRAM、コンパクトフラッシュ等の可搬記録媒体3109を収容するもので、外部記憶装置3105の補助の役割を有する。
【0109】
ネットワーク接続装置3107は、例えばLAN(ローカルエリアネットワーク)又はWAN(ワイドエリアネットワーク)の通信回線を接続するための装置である。
前述した第1から第7の実施形態によるシステムは、それに必要な機能を搭載したプログラムをCPU3101が実行することで実現される。そのプログラムは、例えば外部記憶装置3105や可搬記録媒体3109に記録して配布してもよく、或いはネットワーク接続装置3107によりネットワークから取得できるようにしてもよい。
【0110】
以上説明した実施形態により、変換コード管理サーバ103が管理する変換コードに従って生体情報データが変換されて、生体認証サーバ102内の変換登録処理部109による登録処理又は変換照合処理部201による照合処理が行われる。これによって、生体情報データが盗難・漏洩した場合には、変換コード管理サーバ103での制御により、変換処理用の変換コードを、一括又は利用者ID毎に個別に、認証組織主導で迅速に変更できる。従って、盗難・漏洩した生体情報の暗号化処理が例え解読されたとしても再利用を防ぐことが可能となる。
【0111】
また、各サーバが分離して管理されることで、1人の悪意のあるシステム管理者がいる場合でも、生体情報データを悪用するために必要なすべての情報が入手できてしまうことを阻止することが可能となる。
【0112】
また、変換コードが利用者ID毎に設定されることで、よりセキュアなシステムを実現することができる。
更に、変換コードの世代管理も利用者ID毎に行うことで、よりセキュアなシステムを実現することができる。
【0113】
また、生体情報データの漏洩検出手段により、生体情報の漏洩検出時に変換コードと登録用生体情報データの更新若しくは変換コードの更新を行い、利用者による変換コードの変更等を待たずに、認証組織主導による確実な漏洩の検知と迅速な対応が可能となる。
【0114】
この場合の漏洩検知は、変換済み登録用生体情報データと変換済み照合用生体情報データの各ハッシュ値の比較により、簡単に検出することができる。或いは、各サーバ間の処理ログの同期ずれを検出することによっても、漏洩を簡単に検出することができる。
【0115】
また、過去に照合に用いた変換済み照合用生体情報データのハッシュ値を保存し、新たに得られた変換済み照合用生体情報データのハッシュ値と比較することで、システム管理者等が悪意をもってサーバ上で過去の照合データを盗み再利用したことを検知できる。
【0116】
本実施形態における変換処理として、生体情報データのパターン変形を採用した場合、変形前の生体情報データを類推することが困難で、不可逆性を持つのが特徴である。また、変換処理として、生体情報データに所定の単位(パターンブロックもしくは画素単位)でランダム化変換を行うことで、元の登録用生体情報データを類推されることを防止できる。また、これらを組み合わせることにより、両者の特徴を併せ持った変形処理が可能となる。
この場合、変換コード管理サーバ103上の変換コードデータベース111にて、変換方式毎に変換コードを記録させることで、認証強度の細かい制御が可能となる。
【0117】
本実施形態では、登録用生体情報データデータの品質判定を行う品質判定手段を備えている。品質値の高い生体情報データは、生体情報データに対するノイズが少なく照合しやすいため、変換の強度(変形の大きさ)を強く(元の生体情報の類推をより困難に)しても本人認証性能低下への影響が少ないことが想定される。品質値に対応した変換の強さの選択と、個々の強度に応じた変換コードを持つことにより、生体情報データの品質値が高い場合にはより強い変換を選択するような制御が可能となる。また、品質値に応じてランダム変換の細かさを決定してそれに応じたランダム化テーブルを選択することで、生体情報データの品質値が高い場合にはより細かい変換を選択させることが可能となる。
【0118】
本実施形態では、変換コード管理サーバ103が変換コードだけでなく、変換コード世代管理番号も管理することで、生体情報データが漏洩した場合には、生体認証システムが一律で管理する変換コードの変換コード世代管理番号を更新すると共に新しい変換コードの生成することを、容易に行うことが可能となる。また、この世代管理を利用者ID毎に行うことで、更に細かい管理が可能となる。また、変換コードの生成を、変換コード世代管理番号と、利用者ID、システム番号、アプリケーション番号などと組み合わせることで、使用期間毎、利用者毎、システム毎、アプリケーション毎の認証強度の管理が可能となる。
【0119】
本実施形態では、ID変換管理サーバ2201が利用者IDを変換することにより、個人情報と生体情報データの分離管理が可能となる。これにより、変換済み登録用生体情報データデータが漏洩した場合でも、例えば、預金口座のような意味のある利用者IDと同時に流出させないことで、より安全性を確保することができる。
【0120】
本実施形態では、事前に複数の変換コードで変換した登録情報を保持しておくことで、時間帯、日、曜日、月等により、異なる変換コードで変換された変換済み登録用生体情報データを自動的にシステム内部で利用することが可能となる。これにより、変換コードや変換アルゴリズムの類推をより困難にすることができる。
【0121】
以上の各実施形態に関して、更に以下の付記を開示する。
(付記1)
生体情報データを変換するための変換コードを管理する変換コード管理ステップと、
前記生体情報の登録時に入力された登録用生体情報データを、前記変換コードに基づいて変換した変換済み登録用生体情報データを出力する変換登録処理ステップと、
該変換済み登録用生体情報データを記録管理する変換済み生体情報データ管理ステップと、
前記生体情報の照合時に入力された照合用生体情報データを、前記変換コードに基づいて変換した変換済み照合用生体情報データを出力し、該変換済み照合用生体情報データと前記変換済み登録用生体情報データとを照合する変換照合処理ステップと、
を含むことを特徴とする生体認証方法。
(付記2)
前記変換登録処理ステップにて管理される変換コードの世代を示す変換コード世代管理情報を管理する変換コード世代管理ステップを更に含み、
前記変換コード管理ステップは、前記変換コード世代管理ステップにて管理される変換コード世代管理情報に基づいて前記変換コードを生成又は更新し、
前記変換登録処理ステップは、前記変換コードが生成又は更新されたタイミングで、前記変換済み登録用生体情報データを生成し直して、前記変換済み生体情報データ管理ステップに記録し直す、
ことを特徴とする付記1に記載の生体認証方法。
(付記3)
前記変換済み登録用生体情報データ、前記変換済み照合用生体情報データ、又は前記変換コードの何れかが漏洩したことが判明した場合に、前記変換コード世代管理ステップは前記変換コード世代管理情報を更新し、前記変換コード管理ステップは該更新された変換コード世代管理情報に基づいて前記変換コードを生成又は更新する、
ことを特徴とする付記2に記載の生体認証方法。
(付記4)
利用者の生体情報を取得する生体情報データ抽出ステップと、
変換コードにより登録に用いられた生体情報データが変換された変換済み登録用生体情報データと、前記変換コードにより前記抽出された生体情報データが変換された変換済み照合用生体情報データとを照合する変換照合処理ステップと、
を含むことを特徴とする生体認証方法。
(付記5)
生体情報データを変換するための変換コードを利用者ID毎に管理する変換コード管理ステップと、
前記生体情報の登録時に、入力された登録用生体情報データに対応して取得された利用者IDに関連付けて前記変換コード管理ステップに変換コードを生成及び記録させると共に、該変換コードに基づいて前記登録用生体情報データを変換した変換済み登録用生体情報データを出力する変換登録処理ステップと、
該変換済み登録用生体情報データを前記登録用生体情報データに対応して取得された利用者IDと関連付けて記録管理する変換済み生体情報データ管理ステップと、
前記生体情報の照合時に、入力された照合用生体情報データを、該照合用生体情報データに対応して取得された利用者IDに対応する前記変換コードに基づいて変換した変換済み照合用生体情報データを出力し、該変換済み照合用生体情報データと該照合用生体情報データに対応して取得された利用者IDと同一の利用者IDに対応する前記変換済み登録用生体情報データとを照合する変換照合処理ステップと、
を含むことを特徴とする生体認証方法。
(付記6)
前記変換登録処理ステップにて管理される変換コードの世代を示す変換コード世代管理情報を前記利用者IDに関連付けて管理する変換コード世代管理ステップを更に含み、
前記変換コード管理ステップは、前記変換コード世代管理ステップにて管理される変換コード世代管理情報に基づいて前記変換コードを前記利用者ID毎に生成又は更新し、
前記変換登録処理ステップは、前記変換コードが生成又は更新されたタイミングで、前記変換済み登録用生体情報データを生成し直して、前記変換済み生体情報データ管理ステップに記録し直す、
ことを特徴とする付記5に記載の生体認証方法。
(付記7)
何れかの前記利用者IDについて、前記変換済み登録用生体情報データ、前記変換済み照合用生体情報データ、又は前記変換コードの何れかが漏洩したことが判明した場合に、前記変換コード世代管理ステップは前記漏洩が判明した利用者IDに対応する前記変換コード世代管理情報を更新し、前記変換コード管理ステップは該更新された変換コード世代管理情報に基づいて前記漏洩が判明した利用者IDに対応する変換コードを生成又は更新する、
ことを特徴とする付記6に記載の生体認証方法。
(付記8)
前記変換コード管理ステップは、前記変換コード世代管理ステップにて管理される変換コード世代管理情報及び前記利用者ID又は該利用者IDに対応して一意に設定される識別情報に基づいて前記変換コードを前記利用者ID毎に生成又は更新する、
ことを特徴とする付記6又は7の何れか1項に記載の生体認証方法。
(付記9)
前記変換コード世代管理情報は、世代を示す番号情報である変換コード世代管理番号と、生体認証のシステムを識別するためのシステム識別情報とを含む、
ことを特徴とする付記2、3、6、7、又は8の何れか1項に記載の生体認証方法。
(付記10)
前記変換コード世代管理情報は、生体認証が利用されるアプリケーションを識別するためのアプリケーション識別情報を更に含む、
ことを特徴とする付記2、3、6、7、8、又は9の何れか1項に記載の生体認証方法。
(付記11)
前記変換コード管理ステップが実行される装置と、前記変換登録処理ステップ及び前記変換照合処理ステップが実行される装置と、前記変換済み生体情報データ管理ステップが実行される装置は、それぞれ個別の装置である、
ことを特徴とする付記1乃至3、又は5乃至10の何れか1項に記載の生体認証方法。(付記12)
前記変換登録処理ステップが実行される装置と前記変換照合処理ステップが実行される装置は、それぞれ個別の装置である、
ことを特徴とする付記1乃至3、又は5乃至11の何れか1項に記載の生体認証方法。(付記13)
前記変換登録処理ステップ及び前記変換照合処理ステップは、同一又は個別のサーバコンピュータにて実行され、前記生体情報データを、利用者が利用するクライアントコンピュータから受信する、
ことを特徴とする付記1乃至3,又は5乃至12の何れか1項に記載の生体認証方法。(付記14)
前記変換済み登録用生体情報データ又は前記変換済み照合用生体情報データの漏洩を検出する生体情報データ漏洩検出ステップを更に含み、
該漏洩が検出された場合に、前記変換コード管理ステップは、前記変換コードを生成し直し、
該変換コードに基づいて、前記変換登録処理ステップは、前記変換済み登録用生体情報データを生成し直して、前記変換済み生体情報データ管理ステップに記録し直す、
ことを特徴とする付記1乃至12の何れか1項に記載の生体認証方法。
(付記15)
前記生体情報データ漏洩検出ステップは、前記変換済み登録用生体情報データのハッシュ値と前記変換済み照合用生体情報データのハッシュ値をそれぞれ計算し、該両方のハッシュ値が一致したときに前記漏洩を検出する、
ことを特徴とする付記14に記載の生体認証方法。
(付記16)
前記生体情報データ漏洩検出ステップは、前記変換済み照合用生体情報データのハッシュ値を順次計算して記録しておき、新たに生成された前記変換済み照合用生体情報データについて計算したハッシュ値が前記記録しておいたハッシュ値と一致したときに前記漏洩を検出する、
ことを特徴とする付記14又は15の何れか1項に記載の生体認証方法。
(付記17)
前記生体情報データ漏洩検出ステップは、前記変換コード管理ステップ、前記変換済み生体情報データ管理ステップ、又は前記変換照合処理ステップにおける処理ログを取得し、該各ステップにおける処理ログの同期に所定時間以上のずれが検出されたときに前記漏洩を検出する、
ことを特徴とする付記14に記載の生体認証方法。
(付記18)
前記変換処理は、前記登録用生体情報データ又は前記照合用生体情報データのパターン
を変形するパターン変換処理である、
ことを特徴とする付記1乃至17の何れか1項に記載の生体認証方法。
(付記19)
前記変換処理は、前記登録用生体情報データ又は前記照合用生体情報データをランダム関数変換する処理である、
ことを特徴とする付記1乃至17の何れか1項に記載の生体認証方法。
(付記20)
前記変換処理は、前記登録用生体情報データ又は前記照合用生体情報データを座標変換する処理である、
ことを特徴とする付記1乃至17の何れか1項に記載の生体認証方法。
(付記21)
前記変換処理は、前記登録用生体情報データ又は前記照合用生体情報データのパターンを変形するパターン変換処理を行った後に、その出力をランダム関数変換する処理である、
ことを特徴とする付記1乃至17の何れか1項に記載の生体認証方法。
(付記22)
前記変換処理は、前記登録用生体情報データ又は前記照合用生体情報データをランダム化する単位毎に、前記変換コード管理ステップにて管理される変換コードを順次取得して前記ランダム関数変更を実行する、
ことを特徴とする付記19又は21の何れか1項に記載の生体認証方法。
(付記23)
前記変換コード管理ステップは、前記変換処理が複数の変換方式による変換である場合に、該各変換方式毎の変換コードを組で管理する、
ことを特徴とする付記1乃至22の何れか1項に記載の生体認証方法。
(付記24)
前記登録用生体情報データの品質を判定する品質判定ステップと、
該品質の判定の結果に基づいて、該品質に対応した前記変換処理の強度に対応する変換コードを前記変換コード管理ステップにて選択させる、
ことを特徴とする付記1乃至23の何れか1項に記載の生体認証方法。
(付記25)
前記登録用生体情報データの品質を判定する品質判定ステップと、
該品質の判定の結果に基づいて、該品質に対応した前記ランダム関数変換の細かさに対応するランダム化テーブルを前記変換コードとして前記変換コード管理ステップにて選択させる、
ことを特徴とする付記1乃至23の何れか1項に記載の生体認証方法。
(付記26)
前記利用者IDを変換するID変換ステップを更に含み、
前記変換済み生体情報データ管理ステップは、前記利用者IDに対応して前記ID変換ステップにて変換されたIDを用いて、前記変換済み登録用生体情報データを管理する、
ことを特徴とする付記5乃至10の何れか1項に記載の生体認証方法。
(付記27)
前記変換登録処理ステップは、同一の前記登録用生体情報データに対して所定の日時情報毎に異なる前記変換コードを用いて前記変換処理を実行して、複数の前記変換済み登録用生体情報データを出力して前記変換済み生体情報データ管理ステップに管理させ、
前記変換照合処理ステップは、前記照合用生体情報データに対して現在の日時情報に対応する前記変換コードを用いて前記変換処理を実行して前記変換済み照合用生体情報データを出力し、該変換済み照合用生体情報データと前記変換済み生体情報データ管理ステップにて管理されている現在の日時に対応する前記変換済み登録用生体情報データとを照合する、
ことを特徴とする付記1乃至3、又は5乃至26の何れか1項に記載の生体認証方法。
(付記28)
生体情報データを変換するための変換コードを管理する変換コード管理部と、
前記生体情報の登録時に入力された登録用生体情報データを、前記変換コードに基づいて変換した変換済み登録用生体情報データを出力する変換登録処理部と、
該変換済み登録用生体情報データを記録管理する変換済み生体情報データ管理部と、
前記生体情報の照合時に入力された照合用生体情報データを、前記変換コードに基づいて変換した変換済み照合用生体情報データを出力し、該変換済み照合用生体情報データと前記変換済み登録用生体情報データとを照合する変換照合処理部と、
を含むことを特徴とする生体認証システム。
(付記29)
生体情報データを変換するための変換コードを利用者ID毎に管理する変換コード管理部と、
前記生体情報の登録時に、入力された登録用生体情報データに対応して取得された利用者IDに関連付けて前記変換コード管理部に変換コードを生成及び記録させると共に、該変換コードに基づいて前記登録用生体情報データを変換した変換済み登録用生体情報データを出力する変換登録処理部と、
該変換済み登録用生体情報データを前記登録用生体情報データに対応して取得された利用者IDと関連付けて記録管理する変換済み生体情報データ管理部と、
前記生体情報の照合時に、入力された照合用生体情報データを、該照合用生体情報データに対応して取得された利用者IDに対応する前記変換コードに基づいて変換した変換済み照合用生体情報データを出力し、該変換済み照合用生体情報データと該照合用生体情報データに対応して取得された利用者IDと同一の利用者IDに対応する前記変換済み登録用生体情報データとを照合する変換照合処理部と、
を含むことを特徴とする生体認証システム。
【産業上の利用可能性】
【0122】
開示する技術は、音声、顔、指紋、掌紋、血管パターン、虹彩、網膜、署名等の生体情報を用いたバイオメトリクス認証において、ユーザ(登録者)の生体情報の悪用や流出、それによる被害の発生を抑止するために利用することができる。
【符号の説明】
【0123】
101 クライアント
102 生体認証サーバ
103 変換コード管理サーバ
104 変換済み生体情報データベース管理サーバ
105 生体情報センサ
106 テンキー
107 生体情報取得部
108 生体情報抽出部
109 変換登録処理部
110 変換コード生成・チェック処理部
111 変換コードデータベース
112 変換済み生体情報データベース
201 変換照合処理部
2101 生体認証登録サーバ
2102 生体認証照合サーバ
2201 ID変換管理サーバ
2301、2501 生体認証クライアント
2801 変換コード世代管理部
2802 変換コード世代管理番号データベース
2901 変換コード世代管理サーバ
3101 CPU
3102 メモリ
3103 入力装置
3104 出力装置
3105 外部記憶装置
3106 可搬記録媒体駆動装置
3107 ネットワーク接続装置
3108 バス
3109 可搬記録媒体
【特許請求の範囲】
【請求項1】
生体情報データを変換するための変換コードを管理する変換コード管理ステップと、
前記生体情報の登録時に入力された登録用生体情報データを、前記変換コードに基づいて変換した変換済み登録用生体情報データを出力する変換登録処理ステップと、
該変換済み登録用生体情報データを記録管理する変換済み生体情報データ管理ステップと、
前記生体情報の照合時に入力された照合用生体情報データを、前記変換コードに基づいて変換した変換済み照合用生体情報データを出力し、該変換済み照合用生体情報データと前記変換済み登録用生体情報データとを照合する変換照合処理ステップと、
を含むことを特徴とする生体認証方法。
【請求項2】
前記変換登録処理ステップにて管理される変換コードの世代を示す変換コード世代管理情報を管理する変換コード世代管理ステップを更に含み、
前記変換コード管理ステップは、前記変換コード世代管理ステップにて管理される変換コード世代管理情報に基づいて前記変換コードを生成又は更新し、
前記変換登録処理ステップは、前記変換コードが生成又は更新されたタイミングで、前記変換済み登録用生体情報データを生成し直して、前記変換済み生体情報データ管理ステップに記録し直す、
ことを特徴とする請求項1に記載の生体認証方法。
【請求項3】
前記変換コード管理ステップが実行される装置と、前記変換登録処理ステップ及び前記変換照合処理ステップが実行される装置と、前記変換済み生体情報データ管理ステップが実行される装置は、それぞれ個別の装置である、
ことを特徴とする請求項1又は2の何れか1項に記載の生体認証方法。
【請求項4】
前記変換済み登録用生体情報データ又は前記変換済み照合用生体情報データの漏洩を検出する生体情報データ漏洩検出ステップを更に含み、
該漏洩が検出された場合に、前記変換コード管理ステップは、前記変換コードを生成し直し、
該変換コードに基づいて、前記変換登録処理ステップは、前記変換済み登録用生体情報データを生成し直して、前記変換済み生体情報データ管理ステップに記録し直す、
ことを特徴とする請求項1乃至3の何れか1項に記載の生体認証方法。
【請求項5】
前記生体情報データ漏洩検出ステップは、前記変換済み登録用生体情報データのハッシュ値と前記変換済み照合用生体情報データのハッシュ値をそれぞれ計算し、該両方のハッシュ値が一致したときに前記漏洩を検出する、
ことを特徴とする請求項4に記載の生体認証方法。
【請求項6】
前記生体情報データ漏洩検出ステップは、前記変換コード管理ステップ、前記変換済み生体情報データ管理ステップ、又は前記変換照合処理ステップにおける処理ログを取得し、該各ステップにおける処理ログの同期に所定時間以上のずれが検出されたときに前記漏洩を検出する、
ことを特徴とする請求項4に記載の生体認証方法。
【請求項7】
前記登録用生体情報データの品質を判定する品質判定ステップと、
該品質の判定の結果に基づいて、該品質に対応した前記変換処理の強度に対応する変換コードを前記変換コード管理ステップにて選択させる、
ことを特徴とする請求項1乃至6の何れか1項に記載の生体認証方法。
【請求項8】
前記変換登録処理ステップは、同一の前記登録用生体情報データに対して所定の日時情報毎に異なる前記変換コードを用いて前記変換処理を実行して、複数の前記変換済み登録用生体情報データを出力して前記変換済み生体情報データ管理ステップに管理させ、
前記変換照合処理ステップは、前記照合用生体情報データに対して現在の日時情報に対応する前記変換コードを用いて前記変換処理を実行して前記変換済み照合用生体情報データを出力し、該変換済み照合用生体情報データと前記変換済み生体情報データ管理ステップにて管理されている現在の日時に対応する前記変換済み登録用生体情報データとを照合する、
ことを特徴とする請求項1乃至7の何れか1項に記載の生体認証方法。
【請求項9】
生体情報データを変換するための変換コードを管理する変換コード管理部と、
前記生体情報の登録時に入力された登録用生体情報データを、前記変換コードに基づいて変換した変換済み登録用生体情報データを出力する変換登録処理部と、
該変換済み登録用生体情報データを記録管理する変換済み生体情報データ管理部と、
前記生体情報の照合時に入力された照合用生体情報データを、前記変換コードに基づいて変換した変換済み照合用生体情報データを出力し、該変換済み照合用生体情報データと前記変換済み登録用生体情報データとを照合する変換照合処理部と、
を含むことを特徴とする生体認証システム。
【請求項10】
生体情報データを変換するための変換コードを利用者ID毎に管理する変換コード管理部と、
前記生体情報の登録時に、入力された登録用生体情報データに対応して取得された利用者IDに関連付けて前記変換コード管理部に変換コードを生成及び記録させると共に、該変換コードに基づいて前記登録用生体情報データを変換した変換済み登録用生体情報データを出力する変換登録処理部と、
該変換済み登録用生体情報データを前記登録用生体情報データに対応して取得された利用者IDと関連付けて記録管理する変換済み生体情報データ管理部と、
前記生体情報の照合時に、入力された照合用生体情報データを、該照合用生体情報データに対応して取得された利用者IDに対応する前記変換コードに基づいて変換した変換済み照合用生体情報データを出力し、該変換済み照合用生体情報データと該照合用生体情報データに対応して取得された利用者IDと同一の利用者IDに対応する前記変換済み登録用生体情報データとを照合する変換照合処理部と、
を含むことを特徴とする生体認証システム。
【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図11】
image rotate

【図12】
image rotate

【図16】
image rotate

【図17】
image rotate

【図18】
image rotate

【図19】
image rotate

【図20】
image rotate

【図21】
image rotate

【図22】
image rotate

【図23】
image rotate

【図24】
image rotate

【図25】
image rotate

【図26】
image rotate

【図27】
image rotate

【図28】
image rotate

【図29】
image rotate

【図30】
image rotate

【図31】
image rotate

【図32】
image rotate

【図33】
image rotate

【図34】
image rotate

【図35】
image rotate

【図36】
image rotate

【図37】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate

【公開番号】特開2010−165323(P2010−165323A)
【公開日】平成22年7月29日(2010.7.29)
【国際特許分類】
【出願番号】特願2009−9378(P2009−9378)
【出願日】平成21年1月19日(2009.1.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.コンパクトフラッシュ
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】

[ Back to top ]