認証装置および方法
【課題】 生体認証データを任意のサイズに分割して記録しその分割単位で認証を行うことにより分割単位で認証結果を得、パフォーマンスの向上をはかる。
【解決手段】 生体認証に係わる生体認証データを任意のサイズに分割して登録し、登録された生体認証データとセンサを介して取り込まれた生体認証データとを分割単位で照合して認証を行う。また、分割単位のそれぞれに認証レベルを設定定義することで、部分的な認証、あるいは重点的に認証したい部分を指定することによる柔軟性の高い認証を行う。
【解決手段】 生体認証に係わる生体認証データを任意のサイズに分割して登録し、登録された生体認証データとセンサを介して取り込まれた生体認証データとを分割単位で照合して認証を行う。また、分割単位のそれぞれに認証レベルを設定定義することで、部分的な認証、あるいは重点的に認証したい部分を指定することによる柔軟性の高い認証を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば、顔、指紋、声紋、虹彩紋等の生体情報(バイオメトリクス)を用いて個人認証を行う認証装置およびその方法に関する。
【背景技術】
【0002】
キャッシュカード、クレジットカード等、取引決済時における個人認証、あるいはセキュリティエリアでの入退出における個人認証の際に、上記した生体情報を用いて実行する個人認証ステムが知られている。
例えば、ICカードに上記した顔、指紋、網膜等生体認証用の画像データを記録する場合、その容量制限から、間引くか圧縮した後にICカードに記録していた。また、ICカードが上位装置から上記した画像データをブロック毎に分割して受信し、圧縮してから生体認証データとして記録するICカードおよびICカードシステムも提案されている(例えば、特許文献1参照)。
【特許文献1】特開平10−124635号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上記した特許文献1に開示された技術によれば、画像データ等の大容量のデータを本人確認用の生体認証データとして用いることができ、また、この生体認証データをICカード内に持つことができるため、セキュリティ性の高いICカードおよびICカードシステムを提供することができる。
しかしなからICカードの容量制限に対する対応は満足しても、認証する側(ICカードまたは上位装置)からすれば、認証用の生体情報を全て採り終えてから本人であるか否かの判断がなされるため、本人か否かに係わらず認証処理時間に変化はなく、非常に効率の悪いものになっていた。すなわち、生体認証データを全て採り終えるまで認証結果を得ることができなかったため、認証処理に無駄な時間を要し、全体としてのパフォーマンスに悪影響を与えていた。
【0004】
本発明は上記事情に鑑みてなされたものであり、生体認証データを任意のサイズに分割して記録しその分割単位で認証を行うことにより分割単位で認証結果を得、全体としてのパフォーマンスの向上をはかった、認証装置および方法を提供することを目的とする。
【課題を解決するための手段】
【0005】
上記した課題を解決するために本発明は、生体認証を行う認証装置であって、前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録する生体認証データ登録部と、前記登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部と、を具備することを特徴とする。
【0006】
また、本発明において、前記生体認証に係わる生体認証データを暗号化して前記記憶装置に格納する暗号化処理部を更に具備することを特徴とする。
【0007】
また、本発明において、前記生体認証処理部は、前記生体認証データの種類、暗号化の有無、分割単位、認証レベルの少なくとも一つが登録される定義ファイルに従い認証を行うことを特徴とする。
【0008】
また、本発明において、前記定義ファイルを参照した結果、暗号化有りとなっていたときにそのサイズ分の生体認証データを復号処理する復号化処理部と、を更に具備することを特徴とする。
【0009】
また、本発明において、前記定義ファイルに生体認証データの種類が設定されていた場合、その生体認証データに従う認証を選択的に行う認証制御部と、を更に具備することを特徴とする。
【0010】
また、本発明において、前記定義ファイルに第1の認証レベルが設定されていた場合、その認証レベルに従い前記分割されたサイズ内における生体認証を成立させる認証レベル管理部と、を更に具備することを特徴とする。
【0011】
また、本発明において、前記認証レベル管理部は、前記定義ファイルに第2の認証レベルが設定されていた場合、その認証レベルに従い生体認証を成立させることを特徴とする。
また、本発明において、前記分割された生体認証データ毎に付加される電子署名データに基づき、前記登録された生体認証データの認証を行う署名認証部、を更に具備することを特徴とする。
【0012】
また、本発明は、生体認証を行う認証装置であって、前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録する生体認証データ登録部と、前記記憶装置に登録された、分割された生体認証データを外部からの指示に従って、分割された生体認証データ毎に出力する出力部と、を具備することを特徴とする。
【0013】
また、本発明は、生体認証を行う認証装置であって、任意のサイズに分割された前記生体認証に係わる生体認証データについて、分割された生体認証データ毎に外部に接続される記憶装置から読み出す読み出し部と前記読み出し部が読み出した生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部と、を具備することを特徴とする。
【0014】
また、本発明は、認証装置に用いられる生体認証方法であって、前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録するステップと、前記登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行うステップと、を有することを特徴とする。
【発明の効果】
【0015】
本発明によれば、生体認証に係わる生体認証データを任意のサイズに分割して登録し、登録された生体認証データとセンサを介して取り込まれた生体認証データとを分割単位で照合して認証を行わせることにより、例えば、本人確認を行う際に、明らかに本人でない場合に生体認証データの全てを認証することなく判断が可能となるため、認証処理にかかる時間を短縮することができ、全体としてのパフーマンスの向上をはかることができる。
【0016】
また本発明によれば分割単位で認証結果を得ることができるため、それぞれに認証レベルを設定定義することで部分的な認証、あるいは重点的に認証したい部分を指定することによる柔軟性の高い認証を行うことができる。
更に本発明によれば、認証装置内、例えば、ICカード内に参照用の生体認証データが記憶されるため、データの改竄、偽造を防止でき、上記した認証処理をICカード内で実行することにより、参照用の生体認証データを端末装置等システム側に残すことなく認証が可能となり、データの漏洩を防ぐことができセキュリティ性の高い認証を行うことができる。
【発明を実施するための最良の形態】
【0017】
図1は、本発明の認証装置を含む認証システムの構成の一例を示す図である。図1において、符号10は、本発明の認証装置としてのICカードであり、参照される認証対象者の分割生体認証データの他に、その認証定義ファイルが割付けられ記憶される。詳細は後述する。ここに示されたICカード10には、接触式と非接触式の2タイプがあり、接触式の場合このICカード10を読取装置11に挿入することで、非接触式の場合、読取装置11にかざす(近づける)だけでPC等上位装置13との通信が可能になる。
【0018】
また、符号13は、認証対象者の生体情報を読み取るセンサであり、ここで読み取られた生体情報はPC等の上位装置13によって取り込まれ、上位装置13自身が照合するか、ICカード10と通信を行ない、ICカード10によって照合される。なお、センサ13は、例えば、顔認証の場合、CCD(Charge Coupled Device)カメラや赤外線が想定され、また、指紋認証の場合、指紋をラインスキャンしながら順次取得するラインタイプや指紋全体を一度に取得するエリアタイプがあり、その中でも感熱式、静電容量時、感圧式等の各種方式がある。
【0019】
図6にICカード10のハードウエア構成が示されている。ICカード10は、CPU1を核に、ROM2、RAM3、EEPROM4、で構成される。ここで、EEPROM4は、データ書き替え可能な不揮発性メモリであり、ここでは参照用の分割生体認証データおよび認証定義ファイルが格納される。ROM2は、ICカード10の動作を規定するプログラムが格納されるメモリである。なお、ICカード10の動作を規定するプログラムはEEPROM4に格納されてもよい。RAM3は、データを一時的に格納する作業用のメモリである。
CPU1は、ROM2あるいはEEPROM4に格納されたプログラムに基づき、RAM3を用いてICカード10の動作を制御するが、ここでは、主に、パラメータの登録、認証操作、そして上位装置13との通信を行う。
【0020】
なお、図6中、Vccは電源、GNDはグランド、RSTはリセット、I/Oは通信(入出力)、CLKはクロックのそれぞれに関する端子を示す。また、ICカード10には、CPU1の動作を補助するコプロセッサ(図示せず)が内蔵されても良く、この場合、データの分割、暗号化、復号化、圧縮、伸長等を用いた高度な認証操作が可能になる。
【0021】
図2は、本発明の認証装置の内部構成を機能展開して示したブロック図である。
本発明の認証装置は、生体情報登録部101と、分割生体認証データ102と、生体認証処理部103と、認証定義ファイル104と、復号化処理部106と、認証制御部107と、認証レベル管理部108と、署名認証部109で構成される。
【0022】
生体情報登録部101は、任意のサイズに分割された生体認証に係わる生体認証データ外部(例えば、上位装置13)から取得し、EEPROM4等の記憶装置(分割生体認証データ102)に登録する機能を持つ。ここでは、分割された生体認証データが暗号化されている場合には、この暗号化された生体認証データを分割生体認証データ102に登録する。また、生体認証処理部103は、登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを分割されたサイズ単位で照合して認証を行う機能を持つ。
復号化処理部106は、認証定義ファイル104を参照した結果、暗号化有りとなっていたときにそのサイズ分の生体認証データを復号処理する機能を持つ。なお、認証定義ファイル104には、生体認証データの種類、暗号化の有無、分割単位、認証レベルの少なくとも一つが登録されている。詳細は後述する。
【0023】
認証制御部107は、認証定義ファイル104に生体認証データの種類が設定されていた場合、その生体認証データに従う認証を選択的に行う機能を持つ。また、認証レベル管理部108は、認証定義ファイル104に第1の認証レベルが設定されていた場合、その認証レベルに従い分割されたサイズ内における生体認証を成立させる機能を持つ。また、認証定義ファイル104に第2の認証レベルが設定されていた場合、その認証レベルに従い生体認証を成立させる機能も併せ持つ。
なお、署名認証部109は、分割生体認証データ毎に付加される電子署名データに基づき、記憶装置(分割生体認証データ102)に登録された生体認証データの署名認証を行う機能を持つ。
【0024】
ここでは、上記したICカード10に生体認証データが任意のサイズに分割して登録され、認証装置としてのICカード10、あるいは上位装置13が、ICカード10に登録された生体認証データとセンサを介して取り込まれた生体認証データとを分割単位で照合して認証を行うものであり、具体的には、図6に示すICカード10に内蔵されたCPU1が、RAM3を用い、ROM2もしくはEEPROM4に格納されたプログラムを逐次実行することにより上位装置13と協働してなされるものである。
【0025】
図3は、ICカードに記憶される認証定義ファイルおよび分割生体認証データのデータ構造の一例を示す図である。
図3に示されるように、ICカード10の、例えばEEPROM4に書き込まれる分割生体認証データ102は、任意のサイズxバイトに分割されたn個のブロックで構成され、各ブロックの最後に、BCC(Block Checking Code)あるいはCRC(Cyclic Redundancy Check Code)等の誤り検出訂正符号が付加される。例えば、顔、指紋、虹彩等の特徴点データの一つをnブロックに分割してICカード10内蔵のEEPROM4に書き込む。分割して書き込むデータは、暗号化処理部15でブロック毎に暗号化して書き込むことにより、データの改竄または偽造を防止することができる。
なお、この生体認証データ(分割生体認証データ102)に、第三者機関による署名認証コードが付加されてもよい。この場合、署名認証部109による署名認証が行なわれ、一層セキュリティ性の高い認証装置を提供することができる。
【0026】
また、認証定義ファイル104は、生体認証データ毎その属性が定義され記憶された諸データであり、ここでは、「認証データの種類」、「暗号化の有無」、「ブロックサイズ」、「認証レベル(閾値1、閾値2)」等の属性が記述される。
「認証データの種類」とは、指紋、虹彩等、生体認証データを識別する識別情報であり、「暗号化の有無」とは、分割生体情報が暗号化されているか否かを示す情報、「ブロックサイズ」とは、例えば、100バイトの生体認証データを10バイトずつ分割する等、分割する際の単位サイズを示す情報である。また、「認証レベル(閾値1)」とは、1ブロックの分割生体認証データを比較した場合に認証成立させるための閾値(例えば、80%一致したら認証成立)をいい、「認証レベル(閾値2)」とは、生体認証データのうち認証を成立させるためのブロック数の閾値(例えば、10個のブロックから成る生体認証データのうち8個のブロックが一致したら認証成立)をいう。なお、上記した識別情報が複数ある場合、選択的にその認証方法を指定できるようにしてもよい。
【0027】
以下、本発明実施形態の動作について詳細に説明する。本発明実施形態では、認証に先立ち、分割された生体認証データをICカード10へ書き込むために、センサ12から取得した参照用の生体認証データを、読取装置11を介して取り込み、ICカード10に登録してあるものとする。
ここでは、認証時にICカード10から出力される照合用の分割生体認証データを取り込んで、この取り込んだ照合用の分割生体認証データと、上位装置13が上記した参照用の分割生体認証データとを比較する形態と、上位装置13が照合用の分割生体認証データをICカード10に送信してICカード10で比較照合を行う形態の2種類存在する。前者による処理手順を図4に、後者による処理手順を図5にそれぞれフローチャートで示してある。ここでは、前者(図4)における実施形態において、ICカード10には、分割生体認証データ102に登録された、分割された生体認証データを外部(上位装置13)からの指示に従って、分割された生体認証データ毎に出力する出力部が設けられ、外部装置13には、ICカード10の出力部から出力される生体認証データを読み出す読み出し部が設けられる。また、この場合、外部装置13は、読み出し部が読み出した生体認証データとセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部が設けられる。
【0028】
図4において、まず、上位装置13は、センサ12を介して取得した照合データAの特徴点を抽出し(S41、S42)、設定定義ファイル104に定義されたブロックサイズに従い、任意のブロックにn分割して内部(上位装置13)に保持しておく(S43、S44)。続いて、ICカード10から参照用の分割生体認証データBnを1ブロックずつ読み出す(S45、46)。
なお、ICカード10に登録済みの参照用分割生体認証データが暗号化されている場合は上位装置13において復号化処理が実行される(S47)。
【0029】
次に、センサ12から分割して取得した照合用の分割生体認証データAnと、ICカード10から読み出した分割生体認証データBnとを1ブロックずつ上位装置13で比較照合する(S48)。結果、認証定義ファイル104にあらかじめ定義された認証レベル(閾値1)との関係で規定値以下となっていた場合は(S49“No”)、他人と判断して認証処理を終了する(S52)。
一方、規定値以上となっていた場合、更に、認証定義ファイル14に定義された認証レベル(閾値2)とのチェックが行われ(S50)、ここで規定のブロック数以上一致したことが確認されると全てのブロック終了と判断され、認証が成立する(S51:本人と判断)。なお、規定のブロック数に達しない場合はS46以降の処理を繰り返す。
【0030】
図5において、図4に示す形態との差異は、S65のAn暗号化処理において照合用の分割生体認証データAnを暗号化した後(S65)、その照合用の分割生体認証データAnを上位装置13に保持することなく、ICカード10に1ブロックずつ書き込むことにある(S66)。S61〜S64の処理は、図4におけるS41〜S44のそれぞれの処理と同じである。
そして、ICカード10内部では、上位装置13から受信した照合用の生体認証データAnと、登録済みの参照用の生体認証データBnとを生体認証処理部13で認証を行う(S70)。このとき、認証定義ファイル104を参照し、登録済みの生体認証データ、あるいは照合用の生体認証データが暗号化されている場合には、それぞれ復号化処理部106で復号処理が行なわれた後に、認証を行う必要がある(S69)。
【0031】
上記の処理を1ブロックずつ実行し、図4に示す実施形態同様、認証定義ファイル104にあらかじめ定義された認証レベル(閾値1)との関係で規定値以下となっていた場合は(S71“No”)、他人と判断して認証処理を終了する(S74)。
一方、規定値以上となっていた場合、更に、認証定義ファイル104に定義された認証レベル(閾値2)とのチェックが行われ(S72)、ここで規定のブロック数以上一致したことが確認されると全てのブロック終了と判断され、認証が成立するため認証処理を終了する(S73:本人と判断)。規定のブロック数に達しない場合はS66以降の処理を繰り返す。
【0032】
以上説明のように本発明は、生体認証に係わる生体認証データを任意のサイズに分割して登録し、登録された生体認証データとセンサを介して取り込まれた生体認証データとを分割単位で照合して認証を行わせるものであり、このことにより、例えば、本人確認を行う際に、明らかに本人でない場合に生体認証データの全てを認証することなく判断が可能となるため、全体としてのパフーマンスの向上をはかるものである。
【0033】
また本発明によれば、分割単位で認証結果を得ることができるため、それぞれに認証レベルを設定定義することで部分的な認証、あるいは重点的に認証したい部分を指定することによる柔軟性の高い認証を行うことができる。更に、認証装置内、例えば、ICカード内に参照用の生体認証データが記憶されるため、データの改竄、偽造を防止でき、上記した認証処理をICカード内で実行することにより、参照用の生体認証データを端末装置等システム側に残すことなく認証が可能となり、データの漏洩を防ぐことができセキュリティ性の高い認証を行うことができる。
【0034】
なお、ICカード10内に、登録すべき生体認証データを任意のサイズに分割する分割部を設けるようにしてもよく、また、分割生体認証に係わる生体認証データを暗号化して記憶装置(分割生体認証データ102)に格納する暗号化処理部を設けるようにし、ICカード10内でこれらの処理を行うようにしてもよい。
なお、本発明は、認証装置として、ICカード10の他に、PDA(personal digital assistance)、携帯電話等の携帯端末を想定しており、キャッシュカード、クレジットカード、デビットカード等を使用した取引決済時における個人認証や、パスポート、運転免許証、印鑑照明等本人認証の用途に応用が可能である。
また、本発明において、生体情報は、指紋、顔、虹彩の他に、静脈、DNA、声紋、網膜等を適用することも可能である。
【図面の簡単な説明】
【0035】
【図1】本発明の認証装置を含む認証システムの構成の一例を示す図である。
【図2】本発明の認証装置の内部構成を機能展開して示したブロック図である。
【図3】ICカードに記憶される認証定義ファイルおよび分割生体認証データのデータ構造の一例を示す図である。
【図4】本発明の一実施形態の動作を説明するために引用したフローチャートである。
【図5】本発明の他の実施形態の動作を説明するために引用したフローチャートである。
【図6】図1に示したICカードのハードウエア構成を示すブロック図である。
【符号の説明】
【0036】
1…CPU、2…ROM、3…RAM、4…EEPROM、10…ICカード、11…読取装置、12…センサ、13…上位装置、101…生体情報登録部、102…分割生体認証データ、103…生体認証処理部、104…認証定義ファイル、106…復号化処理部、107…認証制御部、108…認証レベル管理部、109…署名認証部
【技術分野】
【0001】
本発明は、例えば、顔、指紋、声紋、虹彩紋等の生体情報(バイオメトリクス)を用いて個人認証を行う認証装置およびその方法に関する。
【背景技術】
【0002】
キャッシュカード、クレジットカード等、取引決済時における個人認証、あるいはセキュリティエリアでの入退出における個人認証の際に、上記した生体情報を用いて実行する個人認証ステムが知られている。
例えば、ICカードに上記した顔、指紋、網膜等生体認証用の画像データを記録する場合、その容量制限から、間引くか圧縮した後にICカードに記録していた。また、ICカードが上位装置から上記した画像データをブロック毎に分割して受信し、圧縮してから生体認証データとして記録するICカードおよびICカードシステムも提案されている(例えば、特許文献1参照)。
【特許文献1】特開平10−124635号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上記した特許文献1に開示された技術によれば、画像データ等の大容量のデータを本人確認用の生体認証データとして用いることができ、また、この生体認証データをICカード内に持つことができるため、セキュリティ性の高いICカードおよびICカードシステムを提供することができる。
しかしなからICカードの容量制限に対する対応は満足しても、認証する側(ICカードまたは上位装置)からすれば、認証用の生体情報を全て採り終えてから本人であるか否かの判断がなされるため、本人か否かに係わらず認証処理時間に変化はなく、非常に効率の悪いものになっていた。すなわち、生体認証データを全て採り終えるまで認証結果を得ることができなかったため、認証処理に無駄な時間を要し、全体としてのパフォーマンスに悪影響を与えていた。
【0004】
本発明は上記事情に鑑みてなされたものであり、生体認証データを任意のサイズに分割して記録しその分割単位で認証を行うことにより分割単位で認証結果を得、全体としてのパフォーマンスの向上をはかった、認証装置および方法を提供することを目的とする。
【課題を解決するための手段】
【0005】
上記した課題を解決するために本発明は、生体認証を行う認証装置であって、前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録する生体認証データ登録部と、前記登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部と、を具備することを特徴とする。
【0006】
また、本発明において、前記生体認証に係わる生体認証データを暗号化して前記記憶装置に格納する暗号化処理部を更に具備することを特徴とする。
【0007】
また、本発明において、前記生体認証処理部は、前記生体認証データの種類、暗号化の有無、分割単位、認証レベルの少なくとも一つが登録される定義ファイルに従い認証を行うことを特徴とする。
【0008】
また、本発明において、前記定義ファイルを参照した結果、暗号化有りとなっていたときにそのサイズ分の生体認証データを復号処理する復号化処理部と、を更に具備することを特徴とする。
【0009】
また、本発明において、前記定義ファイルに生体認証データの種類が設定されていた場合、その生体認証データに従う認証を選択的に行う認証制御部と、を更に具備することを特徴とする。
【0010】
また、本発明において、前記定義ファイルに第1の認証レベルが設定されていた場合、その認証レベルに従い前記分割されたサイズ内における生体認証を成立させる認証レベル管理部と、を更に具備することを特徴とする。
【0011】
また、本発明において、前記認証レベル管理部は、前記定義ファイルに第2の認証レベルが設定されていた場合、その認証レベルに従い生体認証を成立させることを特徴とする。
また、本発明において、前記分割された生体認証データ毎に付加される電子署名データに基づき、前記登録された生体認証データの認証を行う署名認証部、を更に具備することを特徴とする。
【0012】
また、本発明は、生体認証を行う認証装置であって、前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録する生体認証データ登録部と、前記記憶装置に登録された、分割された生体認証データを外部からの指示に従って、分割された生体認証データ毎に出力する出力部と、を具備することを特徴とする。
【0013】
また、本発明は、生体認証を行う認証装置であって、任意のサイズに分割された前記生体認証に係わる生体認証データについて、分割された生体認証データ毎に外部に接続される記憶装置から読み出す読み出し部と前記読み出し部が読み出した生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部と、を具備することを特徴とする。
【0014】
また、本発明は、認証装置に用いられる生体認証方法であって、前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録するステップと、前記登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行うステップと、を有することを特徴とする。
【発明の効果】
【0015】
本発明によれば、生体認証に係わる生体認証データを任意のサイズに分割して登録し、登録された生体認証データとセンサを介して取り込まれた生体認証データとを分割単位で照合して認証を行わせることにより、例えば、本人確認を行う際に、明らかに本人でない場合に生体認証データの全てを認証することなく判断が可能となるため、認証処理にかかる時間を短縮することができ、全体としてのパフーマンスの向上をはかることができる。
【0016】
また本発明によれば分割単位で認証結果を得ることができるため、それぞれに認証レベルを設定定義することで部分的な認証、あるいは重点的に認証したい部分を指定することによる柔軟性の高い認証を行うことができる。
更に本発明によれば、認証装置内、例えば、ICカード内に参照用の生体認証データが記憶されるため、データの改竄、偽造を防止でき、上記した認証処理をICカード内で実行することにより、参照用の生体認証データを端末装置等システム側に残すことなく認証が可能となり、データの漏洩を防ぐことができセキュリティ性の高い認証を行うことができる。
【発明を実施するための最良の形態】
【0017】
図1は、本発明の認証装置を含む認証システムの構成の一例を示す図である。図1において、符号10は、本発明の認証装置としてのICカードであり、参照される認証対象者の分割生体認証データの他に、その認証定義ファイルが割付けられ記憶される。詳細は後述する。ここに示されたICカード10には、接触式と非接触式の2タイプがあり、接触式の場合このICカード10を読取装置11に挿入することで、非接触式の場合、読取装置11にかざす(近づける)だけでPC等上位装置13との通信が可能になる。
【0018】
また、符号13は、認証対象者の生体情報を読み取るセンサであり、ここで読み取られた生体情報はPC等の上位装置13によって取り込まれ、上位装置13自身が照合するか、ICカード10と通信を行ない、ICカード10によって照合される。なお、センサ13は、例えば、顔認証の場合、CCD(Charge Coupled Device)カメラや赤外線が想定され、また、指紋認証の場合、指紋をラインスキャンしながら順次取得するラインタイプや指紋全体を一度に取得するエリアタイプがあり、その中でも感熱式、静電容量時、感圧式等の各種方式がある。
【0019】
図6にICカード10のハードウエア構成が示されている。ICカード10は、CPU1を核に、ROM2、RAM3、EEPROM4、で構成される。ここで、EEPROM4は、データ書き替え可能な不揮発性メモリであり、ここでは参照用の分割生体認証データおよび認証定義ファイルが格納される。ROM2は、ICカード10の動作を規定するプログラムが格納されるメモリである。なお、ICカード10の動作を規定するプログラムはEEPROM4に格納されてもよい。RAM3は、データを一時的に格納する作業用のメモリである。
CPU1は、ROM2あるいはEEPROM4に格納されたプログラムに基づき、RAM3を用いてICカード10の動作を制御するが、ここでは、主に、パラメータの登録、認証操作、そして上位装置13との通信を行う。
【0020】
なお、図6中、Vccは電源、GNDはグランド、RSTはリセット、I/Oは通信(入出力)、CLKはクロックのそれぞれに関する端子を示す。また、ICカード10には、CPU1の動作を補助するコプロセッサ(図示せず)が内蔵されても良く、この場合、データの分割、暗号化、復号化、圧縮、伸長等を用いた高度な認証操作が可能になる。
【0021】
図2は、本発明の認証装置の内部構成を機能展開して示したブロック図である。
本発明の認証装置は、生体情報登録部101と、分割生体認証データ102と、生体認証処理部103と、認証定義ファイル104と、復号化処理部106と、認証制御部107と、認証レベル管理部108と、署名認証部109で構成される。
【0022】
生体情報登録部101は、任意のサイズに分割された生体認証に係わる生体認証データ外部(例えば、上位装置13)から取得し、EEPROM4等の記憶装置(分割生体認証データ102)に登録する機能を持つ。ここでは、分割された生体認証データが暗号化されている場合には、この暗号化された生体認証データを分割生体認証データ102に登録する。また、生体認証処理部103は、登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを分割されたサイズ単位で照合して認証を行う機能を持つ。
復号化処理部106は、認証定義ファイル104を参照した結果、暗号化有りとなっていたときにそのサイズ分の生体認証データを復号処理する機能を持つ。なお、認証定義ファイル104には、生体認証データの種類、暗号化の有無、分割単位、認証レベルの少なくとも一つが登録されている。詳細は後述する。
【0023】
認証制御部107は、認証定義ファイル104に生体認証データの種類が設定されていた場合、その生体認証データに従う認証を選択的に行う機能を持つ。また、認証レベル管理部108は、認証定義ファイル104に第1の認証レベルが設定されていた場合、その認証レベルに従い分割されたサイズ内における生体認証を成立させる機能を持つ。また、認証定義ファイル104に第2の認証レベルが設定されていた場合、その認証レベルに従い生体認証を成立させる機能も併せ持つ。
なお、署名認証部109は、分割生体認証データ毎に付加される電子署名データに基づき、記憶装置(分割生体認証データ102)に登録された生体認証データの署名認証を行う機能を持つ。
【0024】
ここでは、上記したICカード10に生体認証データが任意のサイズに分割して登録され、認証装置としてのICカード10、あるいは上位装置13が、ICカード10に登録された生体認証データとセンサを介して取り込まれた生体認証データとを分割単位で照合して認証を行うものであり、具体的には、図6に示すICカード10に内蔵されたCPU1が、RAM3を用い、ROM2もしくはEEPROM4に格納されたプログラムを逐次実行することにより上位装置13と協働してなされるものである。
【0025】
図3は、ICカードに記憶される認証定義ファイルおよび分割生体認証データのデータ構造の一例を示す図である。
図3に示されるように、ICカード10の、例えばEEPROM4に書き込まれる分割生体認証データ102は、任意のサイズxバイトに分割されたn個のブロックで構成され、各ブロックの最後に、BCC(Block Checking Code)あるいはCRC(Cyclic Redundancy Check Code)等の誤り検出訂正符号が付加される。例えば、顔、指紋、虹彩等の特徴点データの一つをnブロックに分割してICカード10内蔵のEEPROM4に書き込む。分割して書き込むデータは、暗号化処理部15でブロック毎に暗号化して書き込むことにより、データの改竄または偽造を防止することができる。
なお、この生体認証データ(分割生体認証データ102)に、第三者機関による署名認証コードが付加されてもよい。この場合、署名認証部109による署名認証が行なわれ、一層セキュリティ性の高い認証装置を提供することができる。
【0026】
また、認証定義ファイル104は、生体認証データ毎その属性が定義され記憶された諸データであり、ここでは、「認証データの種類」、「暗号化の有無」、「ブロックサイズ」、「認証レベル(閾値1、閾値2)」等の属性が記述される。
「認証データの種類」とは、指紋、虹彩等、生体認証データを識別する識別情報であり、「暗号化の有無」とは、分割生体情報が暗号化されているか否かを示す情報、「ブロックサイズ」とは、例えば、100バイトの生体認証データを10バイトずつ分割する等、分割する際の単位サイズを示す情報である。また、「認証レベル(閾値1)」とは、1ブロックの分割生体認証データを比較した場合に認証成立させるための閾値(例えば、80%一致したら認証成立)をいい、「認証レベル(閾値2)」とは、生体認証データのうち認証を成立させるためのブロック数の閾値(例えば、10個のブロックから成る生体認証データのうち8個のブロックが一致したら認証成立)をいう。なお、上記した識別情報が複数ある場合、選択的にその認証方法を指定できるようにしてもよい。
【0027】
以下、本発明実施形態の動作について詳細に説明する。本発明実施形態では、認証に先立ち、分割された生体認証データをICカード10へ書き込むために、センサ12から取得した参照用の生体認証データを、読取装置11を介して取り込み、ICカード10に登録してあるものとする。
ここでは、認証時にICカード10から出力される照合用の分割生体認証データを取り込んで、この取り込んだ照合用の分割生体認証データと、上位装置13が上記した参照用の分割生体認証データとを比較する形態と、上位装置13が照合用の分割生体認証データをICカード10に送信してICカード10で比較照合を行う形態の2種類存在する。前者による処理手順を図4に、後者による処理手順を図5にそれぞれフローチャートで示してある。ここでは、前者(図4)における実施形態において、ICカード10には、分割生体認証データ102に登録された、分割された生体認証データを外部(上位装置13)からの指示に従って、分割された生体認証データ毎に出力する出力部が設けられ、外部装置13には、ICカード10の出力部から出力される生体認証データを読み出す読み出し部が設けられる。また、この場合、外部装置13は、読み出し部が読み出した生体認証データとセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部が設けられる。
【0028】
図4において、まず、上位装置13は、センサ12を介して取得した照合データAの特徴点を抽出し(S41、S42)、設定定義ファイル104に定義されたブロックサイズに従い、任意のブロックにn分割して内部(上位装置13)に保持しておく(S43、S44)。続いて、ICカード10から参照用の分割生体認証データBnを1ブロックずつ読み出す(S45、46)。
なお、ICカード10に登録済みの参照用分割生体認証データが暗号化されている場合は上位装置13において復号化処理が実行される(S47)。
【0029】
次に、センサ12から分割して取得した照合用の分割生体認証データAnと、ICカード10から読み出した分割生体認証データBnとを1ブロックずつ上位装置13で比較照合する(S48)。結果、認証定義ファイル104にあらかじめ定義された認証レベル(閾値1)との関係で規定値以下となっていた場合は(S49“No”)、他人と判断して認証処理を終了する(S52)。
一方、規定値以上となっていた場合、更に、認証定義ファイル14に定義された認証レベル(閾値2)とのチェックが行われ(S50)、ここで規定のブロック数以上一致したことが確認されると全てのブロック終了と判断され、認証が成立する(S51:本人と判断)。なお、規定のブロック数に達しない場合はS46以降の処理を繰り返す。
【0030】
図5において、図4に示す形態との差異は、S65のAn暗号化処理において照合用の分割生体認証データAnを暗号化した後(S65)、その照合用の分割生体認証データAnを上位装置13に保持することなく、ICカード10に1ブロックずつ書き込むことにある(S66)。S61〜S64の処理は、図4におけるS41〜S44のそれぞれの処理と同じである。
そして、ICカード10内部では、上位装置13から受信した照合用の生体認証データAnと、登録済みの参照用の生体認証データBnとを生体認証処理部13で認証を行う(S70)。このとき、認証定義ファイル104を参照し、登録済みの生体認証データ、あるいは照合用の生体認証データが暗号化されている場合には、それぞれ復号化処理部106で復号処理が行なわれた後に、認証を行う必要がある(S69)。
【0031】
上記の処理を1ブロックずつ実行し、図4に示す実施形態同様、認証定義ファイル104にあらかじめ定義された認証レベル(閾値1)との関係で規定値以下となっていた場合は(S71“No”)、他人と判断して認証処理を終了する(S74)。
一方、規定値以上となっていた場合、更に、認証定義ファイル104に定義された認証レベル(閾値2)とのチェックが行われ(S72)、ここで規定のブロック数以上一致したことが確認されると全てのブロック終了と判断され、認証が成立するため認証処理を終了する(S73:本人と判断)。規定のブロック数に達しない場合はS66以降の処理を繰り返す。
【0032】
以上説明のように本発明は、生体認証に係わる生体認証データを任意のサイズに分割して登録し、登録された生体認証データとセンサを介して取り込まれた生体認証データとを分割単位で照合して認証を行わせるものであり、このことにより、例えば、本人確認を行う際に、明らかに本人でない場合に生体認証データの全てを認証することなく判断が可能となるため、全体としてのパフーマンスの向上をはかるものである。
【0033】
また本発明によれば、分割単位で認証結果を得ることができるため、それぞれに認証レベルを設定定義することで部分的な認証、あるいは重点的に認証したい部分を指定することによる柔軟性の高い認証を行うことができる。更に、認証装置内、例えば、ICカード内に参照用の生体認証データが記憶されるため、データの改竄、偽造を防止でき、上記した認証処理をICカード内で実行することにより、参照用の生体認証データを端末装置等システム側に残すことなく認証が可能となり、データの漏洩を防ぐことができセキュリティ性の高い認証を行うことができる。
【0034】
なお、ICカード10内に、登録すべき生体認証データを任意のサイズに分割する分割部を設けるようにしてもよく、また、分割生体認証に係わる生体認証データを暗号化して記憶装置(分割生体認証データ102)に格納する暗号化処理部を設けるようにし、ICカード10内でこれらの処理を行うようにしてもよい。
なお、本発明は、認証装置として、ICカード10の他に、PDA(personal digital assistance)、携帯電話等の携帯端末を想定しており、キャッシュカード、クレジットカード、デビットカード等を使用した取引決済時における個人認証や、パスポート、運転免許証、印鑑照明等本人認証の用途に応用が可能である。
また、本発明において、生体情報は、指紋、顔、虹彩の他に、静脈、DNA、声紋、網膜等を適用することも可能である。
【図面の簡単な説明】
【0035】
【図1】本発明の認証装置を含む認証システムの構成の一例を示す図である。
【図2】本発明の認証装置の内部構成を機能展開して示したブロック図である。
【図3】ICカードに記憶される認証定義ファイルおよび分割生体認証データのデータ構造の一例を示す図である。
【図4】本発明の一実施形態の動作を説明するために引用したフローチャートである。
【図5】本発明の他の実施形態の動作を説明するために引用したフローチャートである。
【図6】図1に示したICカードのハードウエア構成を示すブロック図である。
【符号の説明】
【0036】
1…CPU、2…ROM、3…RAM、4…EEPROM、10…ICカード、11…読取装置、12…センサ、13…上位装置、101…生体情報登録部、102…分割生体認証データ、103…生体認証処理部、104…認証定義ファイル、106…復号化処理部、107…認証制御部、108…認証レベル管理部、109…署名認証部
【特許請求の範囲】
【請求項1】
生体認証を行う認証装置であって、
前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録する生体認証データ登録部と、
前記登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部と、
を具備することを特徴とする認証装置。
【請求項2】
前記生体認証に係わる生体認証データを暗号化して前記記憶装置に格納する暗号化処理部を更に具備することを特徴とする請求項1に記載の認証装置。
【請求項3】
前記生体認証処理部は、
前記生体認証データの種類、暗号化の有無、分割単位、認証レベルの少なくとも一つが登録される認証定義ファイルに従い認証を行うことを特徴とする請求項1または2に記載の認証装置。
【請求項4】
前記認証定義ファイルを参照した結果、暗号化有りとなっていたときにそのサイズ分の生体認証データを復号処理する復号化処理部と、
を更に具備することを特徴とする請求項3に記載の認証装置。
【請求項5】
前記認証定義ファイルに生体認証データの種類が設定されていた場合、その生体認証データに従う認証を選択的に行う認証制御部と、
を更に具備することを特徴とする請求項3に記載の認証装置。
【請求項6】
前記認証定義ファイルに第1の認証レベルが設定されていた場合、その認証レベルに従い前記分割されたサイズ内における生体認証を成立させる認証レベル管理部と、
を更に具備することを特徴とする請求項3に記載の認証装置。
【請求項7】
前記認証レベル管理部は、
前記認証定義ファイルに第2の認証レベルが設定されていた場合、その認証レベルに従い生体認証を成立させることを特徴とする請求項3に記載の認証装置。
【請求項8】
前記分割された生体認証データ毎に付加される電子署名データに基づき、前記登録された生体認証データの認証を行う署名認証部、
を更に具備することを特徴とする請求項1に記載の認証装置。
【請求項9】
生体認証を行う認証装置であって、
前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録する生体認証データ登録部と、
前記記憶装置に登録された、分割された生体認証データを外部からの指示に従って、分割された生体認証データ毎に出力する出力部と、
を具備することを特徴とする認証装置。
【請求項10】
生体認証を行う認証装置であって、
任意のサイズに分割された前記生体認証に係わる生体認証データについて、分割された生体認証データ毎に外部に接続される記憶装置から読み出す読み出し部と、
前記読み出し部が読み出した生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部と、
を具備することを特徴とする認証装置。
【請求項11】
認証装置に用いられる生体認証方法であって、
前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録するステップと、
前記登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行うステップと、
を有することを特徴とする認証装置における生体認証方法。
【請求項1】
生体認証を行う認証装置であって、
前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録する生体認証データ登録部と、
前記登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部と、
を具備することを特徴とする認証装置。
【請求項2】
前記生体認証に係わる生体認証データを暗号化して前記記憶装置に格納する暗号化処理部を更に具備することを特徴とする請求項1に記載の認証装置。
【請求項3】
前記生体認証処理部は、
前記生体認証データの種類、暗号化の有無、分割単位、認証レベルの少なくとも一つが登録される認証定義ファイルに従い認証を行うことを特徴とする請求項1または2に記載の認証装置。
【請求項4】
前記認証定義ファイルを参照した結果、暗号化有りとなっていたときにそのサイズ分の生体認証データを復号処理する復号化処理部と、
を更に具備することを特徴とする請求項3に記載の認証装置。
【請求項5】
前記認証定義ファイルに生体認証データの種類が設定されていた場合、その生体認証データに従う認証を選択的に行う認証制御部と、
を更に具備することを特徴とする請求項3に記載の認証装置。
【請求項6】
前記認証定義ファイルに第1の認証レベルが設定されていた場合、その認証レベルに従い前記分割されたサイズ内における生体認証を成立させる認証レベル管理部と、
を更に具備することを特徴とする請求項3に記載の認証装置。
【請求項7】
前記認証レベル管理部は、
前記認証定義ファイルに第2の認証レベルが設定されていた場合、その認証レベルに従い生体認証を成立させることを特徴とする請求項3に記載の認証装置。
【請求項8】
前記分割された生体認証データ毎に付加される電子署名データに基づき、前記登録された生体認証データの認証を行う署名認証部、
を更に具備することを特徴とする請求項1に記載の認証装置。
【請求項9】
生体認証を行う認証装置であって、
前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録する生体認証データ登録部と、
前記記憶装置に登録された、分割された生体認証データを外部からの指示に従って、分割された生体認証データ毎に出力する出力部と、
を具備することを特徴とする認証装置。
【請求項10】
生体認証を行う認証装置であって、
任意のサイズに分割された前記生体認証に係わる生体認証データについて、分割された生体認証データ毎に外部に接続される記憶装置から読み出す読み出し部と、
前記読み出し部が読み出した生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行う生体認証処理部と、
を具備することを特徴とする認証装置。
【請求項11】
認証装置に用いられる生体認証方法であって、
前記生体認証に係わる生体認証データを任意のサイズに分割して記憶装置に登録するステップと、
前記登録された生体認証データと、外部接続されるセンサを介して取り込まれた生体認証データとを前記分割されたサイズ単位で照合して認証を行うステップと、
を有することを特徴とする認証装置における生体認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−85249(P2006−85249A)
【公開日】平成18年3月30日(2006.3.30)
【国際特許分類】
【出願番号】特願2004−266815(P2004−266815)
【出願日】平成16年9月14日(2004.9.14)
【出願人】(000003193)凸版印刷株式会社 (10,630)
【Fターム(参考)】
【公開日】平成18年3月30日(2006.3.30)
【国際特許分類】
【出願日】平成16年9月14日(2004.9.14)
【出願人】(000003193)凸版印刷株式会社 (10,630)
【Fターム(参考)】
[ Back to top ]