説明

非接触型生体認証システムおよび認証方法

本発明は、複数の個人認証装置(3、4)および端末(2)を備えた認証システム(1)である。端末(2)は、ユーザの生体情報を生成する生体認証手段(5、6)と、個人認証装置(3、4)と端末(2)との間の接触なしに個人認証装置に生体情報を送信する無線通信手段(7)とを備えている。各個人認証装置(3、4)は、個人認証装置(3、4)の所有者の生体データを保存するメモリ(10)と、生体情報と生体データとを比較してユーザの認証を実行する処理手段(11)とを有する。無線通信手段(7)は複数の個人認証装置(3、4)に生体情報を送信するように構成されており、個人装置(3、4)は、生体情報と生体データとの比較がユーザの認証を可能にするポジティブ比較である場合に、接触せずに端末(2)にポジティブ認証データを送信する無線通信手段(8)を有しており、端末はポジティブ認証データを送信した個人装置のみと取引セッションを開始する。

【発明の詳細な説明】
【発明の詳細な説明】
【0001】
本発明は、複数の個人認証装置のうちの1つ、および、ユーザに関する生体情報を生成するように構成された生体認証手段と、生体情報を個人認証装置に送信するように構成された通信手段とを有する1つの端末を、備える認証システムであって、上記個人認証装置または各上記個人認証装置が、個人認証装置の所有者の生体データを保存するように構成されたメモリと、生体情報と生体データとを比較してユーザの認証を実行するように構成された処理手段とを有する構成の認証システムに関する。
【0002】
上記システムは、国際公開番号WO−A−2004/100083に示されている。当該PCT出願では、装置は認証カードであり、認証カードにおけるメモリに生体情報が送信される。当該PCT出願では、認証カードへの生体情報の送信方法が教示されていない。ここで、例えば端末が、端末にカードを挿入することによってカードに生体情報を送信するように構成されている場合、認証するために、ユーザにとって制約となるステップを必要とする。この場合では、ユーザがカードを取り出して接触読み取り装置に当該カードを挿入し、認証を実施できるようにする必要がある。
【0003】
本発明の目的は、上記システムにおけるユーザの認証を促進することにある。
【0004】
特許文献WO2005/078647は、上述したシステムを教示しており、当該システムにおいて、通信手段は、装置と端末との間にて接触せずに個人装置へ生体情報を送信するように構成された無線通信手段である。
【0005】
しかし、WO2005/078647は、複数の個人装置が無線通信手段の範囲内に配置され得るという事実を考慮していない。
【0006】
実際のところ、上記文献は、単一の個人装置と端末との間の1対1(1:1)タイプの連結に限定されているので、ユーザは単一の個人装置を装置の近傍に配置して当該方法を実施しなければならない。なお、当該方法には、複数の個人装置が端末の近傍にあるとき、特に通信手段の領域が例えば50cm〜300cmの範囲内であるなど相対的に広いときに実施できるという長所がある。
【0007】
より具体的には、例えば、複数の端末が同時に存在するデパートメントストアなどの環境下では、複数の端末が同時に1つの個人装置を選択することがある。同様に、端末が、自身の領域内に、異なる持ち主に属する、または属さない複数のカードを有することがある。
【0008】
本発明の目的は、無線通信手段が相対的に広い範囲に及ぶときに実行可能な認証方法およびシステムを提供することにあり、それによって、当該無線通信手段の領域内において複数の個人装置を特定することができる。
【0009】
本目的は、上述したシステムを用いた本発明によって達成される。当該システムにおいて、無線通信手段は、生体情報を複数の個人認証装置に送信するように構成されており、個人認証装置の各々が、生体情報と生体データとの比較が、ユーザを認証するポジティブ比較である場合に、端末にポジティブ認証データを非接触で送信することができるように構成された無線通信手段を有しており、上記端末が、ポジティブ認証データを送信した1つないし複数の個人装置のみと取引セッションを行うように構成されている。
【0010】
したがって、端末は、その無線通信手段の領域内にある全ての個人装置に生体情報を送信し、端末からのポーリングにポジティブな回答をする装置のみと取引セッションを開始することができる。そして、端末の無線通信手段の領域内に複数の装置が存在するが、生体認証取得を行ったユーザと一致しない場合、一致しない端末に対して取引セッションは開かれない。したがって、端末の領域内における複数の個人装置の存在を管理することができる。これによって、複数の装置が存在するとき、十分かつ安全な認証を行うことができる。
【0011】
したがって、ユーザは、自身の個人認証装置を操作せずに、端末の生体認証手段を用いて1つの身振りによって自身を認証することができる。例えば、個人認証装置が認証カードの形状をとるとき、ユーザは例えば財布などからカードを取り出さずに自身を認証することができ、カードは、持ち主が操作しなくても、生体情報とメモリ内の生体データとを比較することができる。そして、生体認証比較によって、認証を十分に安全なレベルに維持し、複数のユーザが端末の領域内に配置され得るという事実を考慮に入れつつ、認証を容易に行うことができる。したがって、本発明は、複数のユーザが同時に会計に行くデパートメントストアの場合、または1人以上のユーザが複数の個人装置を有する場合に特に好適である。
【0012】
ここで、本発明の好適な実施形態を説明する。
【0013】
好適には、端末無線通信手段は、50cm〜300cmの範囲内の距離に基づき、生体情報を個人認証装置に送信するように構成されている。
【0014】
したがって、ユーザは、数センチメートルにて1対1モードの通信のみが可能であるNFC「近距離無線通信」規格を用いた非接触型解決手段でそうであるように、自身の個人認証装置を近くに配置する必要がない。
【0015】
また同様に、個人認証装置の無線通信手段は、50cm〜300cmの範囲内の距離に基づき、端末と通信できるように構成されている。
【0016】
本発明の実施形態によると、生体認証手段は、ユーザの生体画像を取得するように構成された生体認証読み取り装置と、生体画像から生体情報を生成するように構成された処理手段とを有する。当該実施形態には、記憶装置に送信された生体情報と個人認証装置の計算能力とを適合させることができるという利点がある。より具体的には、処理手段は、サイズの小さい生体情報のみを個人認証装置に送信するように構成されているので、個人認証装置に保存されたデータとのポジティブ比較によって、十分な安全性をもって、生体読み取り装置を使用したユーザの同定を保証することができる。例えば本発明のアプリケーション、および端末によって承認された取引タイプに応じて、当該安全性レベルを選択することができる。
【0017】
本発明の特定の実施形態によると、より具体的には、処理手段は、生体画像から特徴点を抽出するように構成されており、生体情報は、特徴点の圧縮データを含む。当該圧縮は、例えば端末および個人認証装置において適用され得るハッシング関数を用いて実行される。
【0018】
好適には、生体読み取り装置は、ユーザの指または手の静脈網の画像を取得するように構成される。これによって、特に、ユーザの追跡記録が無くとも、生体特徴を提供することができる。
【0019】
本発明の或る実施形態によると、個人認証装置は、端末にデータを送信し得ない第一モードと、端末と通信し得る動作モードとを有していてもよい。
【0020】
上記のとき、生体情報と個人装置における生体データとの比較がネガティブである場合、当該個人装置は第一モードに切り替わるように構成されているので、端末と当該個人装置との間に通信セッションは開始されない。
【0021】
好適には、生体情報と個人装置における生体データとの比較がポジティブである場合、当該個人装置は動作モードに留まるように構成されているので、端末と個人装置との取引を実行することができない。
【0022】
個人装置は、端末から送信された信号を検知し得る受信モードと、単に時間遅延の実行のみをし得るスタンバイモードとをさらに有していてもよい。
【0023】
上記の場合、個人装置は、第一規定時間Tの経過後、スタンバイモードから受信モードに切り替わるように構成されていてもよい。
【0024】
さらに、個人装置は、第二規定時間Tの終了前に端末が送信した当該信号を検知したとき、受信モードから動作モードに切り替わるように構成されていてもよい。
【0025】
上述した全実施形態において、端末が、複数の個人装置からポジティブ認証データを受信する場合、端末は特定の個人装置を選択して取引を実行するように構成されていてもよい。
【0026】
上記の場合、個人装置はアプリケーションを含んでいてもよく、端末は、ポジティブ認証データを送信した複数の個人装置に含まれるアプリケーションに応じて特定の個人装置を選択するように構成されていてもよい。
【0027】
同様に、ポジティブ認証データを送信した個人装置は、複数のアプリケーションを含んでいてもよく、端末は、或る取引を実行する特定のアプリケーションを選択するように構成されていてもよい。
【0028】
上記の場合、端末は、優先規則に則して、または、当該端末が認識可能なアプリケーションに応じて、特定のアプリケーションを選択するように構成されていてもよい。
【0029】
上述した全実施形態において、端末無線通信手段、および個人装置または各個人装置の無線通信手段は、30cm〜300cmの範囲内の通信領域を有していてもよい。
【0030】
本発明は、上述したシステムを実行する認証方法であって、
−ユーザが、生体認証手段を使用して、生体情報を生成するステップ、
−無線通信手段が複数の個人認証装置に生体情報を送信するステップ、
−各個人装置の処理手段が、生体情報と生体データとを比較して、生体データと生体情報との比較がポジティブであった場合にポジティブ認証データを生成してユーザの認証を行うステップ、
−個人装置の無線通信手段を介して、データのポジティブ認証を端末に送信するステップ、
−個人装置がポジティブの認証データを送信した場合のみ、端末が取引セッションを開始するステップ
を有する、上述したシステムを実行する認証方法に関する。
【0031】
上述した方法の実施形態によると、個人認証装置は、個人認証装置によって実行されると見込まれるアプリケーションに関する識別子をさらに送信してもよい。
【0032】
したがって、端末と個人装置との間で実行される取引が、アプリケーションによって規定される個人装置の能力に適合されることを保証できる。
【0033】
既存の保護通信チャネルを介して、端末無線通信手段が複数の個人認証装置に生体情報を送信することが好ましい。
【0034】
添付の図面を参照して、本発明に係る少なくとも1つの実施形態を説明する。
図1は、本発明に係る認証システムを示す。
図2は、図1の固定認証システム内に含まれる個人装置を示す。
図3は、図1の認証システムの機能図を示す。
図4は、図1のシステムの実施形態を示す機能図である。
【0035】
図1に示されたように、本発明に係る認証システム1は、例えば店内の売り場における端末2などに対応する端末2を有する。端末2は、ユーザの生体画像を取得することができる生体読み取り装置5を有する。当該読み取り装置は、ユーザの指または手の静脈系の画像を取得し、画像の特徴点を算出する。端末2は、計算機6を有しており、生体画像および得られた特徴点に処理を施す。当該処理は、例えばハッシング関数の適用などに対応し、特徴点の圧縮データが生成される。端末2は、個人認証装置3および4に情報を送信する無線通信手段7をさらに有する。下記に、装置3および4についてさらに詳述する。
【0036】
無線通信手段7は、ISO基準、具体的にはISO18000−6基準に基づく高周波モジュールを有する。当該基準によって、50cm〜3mの範囲内の距離における無線通信が可能になる。ISO基準18000−6に使用される周波数は、865MHz帯域以内の極超短波である。当該周波数は、50cm〜3mの範囲内の距離の通信に好適である。
【0037】
さらに、無線通信手段7は、衝突防止アルゴリズムを統合しているので、端末7は複数の装置3および4と通信することができる。
【0038】
ここで、図2を参照して、装置3についてさらに詳述する。装置3は、例えば、口座引き落しカード(payment card)の形状を有するカードである。カードは、マイクロプロセッサ11に接続される高周波インターフェース8、および、同じくマイクロプロセッサ11に接続される接触インターフェース12を有する。マイクロプロセッサ11は、EEPROMメモリ10に接続されている。バッテリ9によって、装置3が必要とする高周波放出力を供給することができ、端末2と通信することができる。バッテリ9は、接触型カード読み取り装置とインターフェース12とが接触すると、最終的にリロードされ得る。
【0039】
メモリ10は、カード3の所有者の生体データを保存する。当該生体データは、端末2が生成することができる情報に適合されてもよい。より具体的には、端末2が、ユーザの指の静脈網の画像を取得する読み取り装置を有する場合、メモリ10は、当該指の静脈網からの情報を装置3が受信したときにおけるユーザの認証に必要な生体データを含む。当該データは、静脈網の特徴点についてのデータ、または、端末2において適用されるのと同様のハッシング関数から得られる画像の圧縮データに対応していてもよい。
【0040】
上記データは、虹彩または顔の形に関する情報に対応していてもよく、このような生体要素や、他の生体要素、または複数の生体要素の組み合せについての認識を可能にする。
【0041】
顧客の申し込み、カードの更新、または既存の顧客のための新規カード作成にあたって、上記生体測定基準が顧客のカード3に記録される。
【0042】
マイクロプロセッサ11は、メモリ10内に保存された生体データと、端末2から高周波インターフェース8を介して受信された生体情報とを比較するように設定されている。
【0043】
定義によれば、当該比較は1対1(1:1)タイプである。当該比較は、提供された生体サンプルと、持ち主の有する個人認証装置3(チップカード、携帯電話のSIMカードなど)に存在する測定基準との対応を確実にすることのみに関する。これは、データベースにおいて、対応するゲージを検索する1対複数(1:N)などには適さない。
【0044】
メモリ10内に保存された生体データと高周波インターフェース8を介して端末2から受信された生体情報との比較がポジティブである場合、装置3は端末2にポジティブ認証データを送信し、生体読み取り装置を使用したユーザが実際に装置3の所有者であることを端末2に示す。
【0045】
図3を参照して、上述したシステム1の動作を説明する。次に、図4を参照して、本発明の特定の実施形態におけるユーザ認証を説明する。
【0046】
ユーザが会計13にて所定の金額を支払おうとするとき、会計システム13がその金額を端末2に送信する(20)。その後、端末2が例えばメッセージを表示するので、ユーザは指または手を生体読み取り装置上に置く。端末2が生体情報を生成すると、端末2は当該生体情報をその周囲の装置に送信する(30)。端末2の送信領域内にある全ての個人装置3および4が、当該生体情報を受信する。当該生体情報を受信すると直ちに、装置3が、受信した生体情報と、装置3のメモリ内に保存された生体データとを比較する(41)。また、装置4もそのような比較を実施する(42)。
【0047】
図3では、装置4の所有者は端末2の生体読み取り装置を使用したユーザであり、装置3の所有者は端末2の生体読み取り装置を使用したユーザではないと考えられる。この場合、装置3が行った比較はネガティブの結果となり、装置3による端末2への認証データ送信は行われない。その後、装置3は、端末との取引に関して停止したままである。対照的に、装置4が行った比較はポジティブの結果となり、装置4はポジティブの認証データを端末2に送信し(50)、端末2の生体読み取り装置を使用したユーザが個人認証装置4の認証所有者であることを端末2に知らせる。
【0048】
認証が完了すると、端末2と装置4との間に保護された取引チャネルが開始される(60)。当該保護取引チャネル上において、保護取引を実行することができる。無線通信手段2および上記装置4を用いることによって、装置4を装置の所有者の財布、またはポケットに入れたままで認証を行うことができる。そして、例えばPKIタイプの認証、公開鍵の認証および秘密鍵の認証を用いて、端末2と装置4との間にてそれ自体は周知である保護取引を行う。
【0049】
例えばEMVタイプなどの電子決済取引に関して、端末2は電子決済認証サーバ14にポーリングを行い(70)、取引EMVを行う。その後、取引の実施が端末2に通知され(81)、続いて、端末2が装置4に取引の完了を通知する(82)。
【0050】
端末2は、会計システムにも取引の完了を通知する(90)。
【0051】
取引が完了すると、端末2と装置4との間の保護通信が完了する。
【0052】
上述した実施形態の他の解決手段を以下に説明する。
【0053】
同一のユーザが、例えば複数枚のカードのような個人装置3および4の所有者であってもよい。
【0054】
その後、図3に図示された上述の方法において、ユーザが所有者である全ての装置がポジティブの比較を行い、端末2にポジティブの認証データを送信する。この場合、端末2は、比較に対してポジティブの回答を行った種々の装置を選択することができるように構成されている。端末2と比較に対するポジティブの回答を行った装置との互換性に応じて、端末2が自動的にこの選択を行ってもよい。
【0055】
例えば、端末2がEMV型の端末であり、装置のうちの1つのみが標準EMVに従って取引を行い得る場合、端末2は自動的に当該装置を選択し、この装置を用いて保護取引チャネルを開始する。
【0056】
このため、比較に対してポジティブの回答を行った装置は、例えばポジティブの認証データとともに、装置が実行し得るアプリケーションの識別子を端末2に送信するように構成されている。同様に、端末2は、装置との情報交換の間に、装置が実行することのできるサービスの識別子を送信する。
【0057】
さらに、同一の個人認証装置が複数のアプリケーションを有する場合、当該アプリケーションの識別子がポジティブの認証データとともに送信され、それによって、端末が、装置において使用可能なアプリケーションに応じて提供されるサービスを決定できる。
【0058】
さらに、個人認証装置3および4が口座引き落しカードの形状をとるということが記載されている。当然のことながら、当該装置を携帯電話に挿入してもよく、より具体的には、当該携帯電話のSIMカードに挿入、あるいは、簡易のキーチェーンまたは他の支持体に挿入されてもよい。
【0059】
加えて、本発明の一実施形態によれば、端末2の生体読み取り装置5および無線通信手段7を、例えばUSBを用いてパーソナルコンピュータに接続するように構成されたケースに挿入してもよい。したがって、例えばインターネット上にて安全な決済を行いたいユーザが、当該ケースを自分のパーソナルコンピュータに接続し、ケースの生体読み取り装置7を用いて自身を認証することができる。このとき、端末2と個人認証装置3との間の無線通信のおかげで、自身の個人認証装置を取り出す必要がない。
【0060】
端末2を用いて、ユーザの認証を必要とするあらゆる種類の取引、具体的にはユーザによる決済、またはユーザへのサービスの配信を行うことができる。
【0061】
より具体的には、スーパーマーケットなどの店における会計システムに関する端末2の例について説明する。端末は、
−所望の処理を行うプロセッサ
−一時記憶メモリ
−英数字表示装置
−キーボード
−クレジットカード伝票印刷装置
−アプリケーションの選択、設定、およびアラームの送信などのソフトウエアモジュール
を有していてもよい。
【0062】
この端子2は、認証バンクサーバに接続されており、例えば下記のような会計に接続されている。
【0063】
この会計は、より具体的に、
−会計スタッフとのマンマシンインターフェース
−伝票印刷装置
−チケット印刷装置
−英数字表示装置
−バーコードスキャン
−金額の計算および支払い方法の選択のためのソフトウエアモジュール
−会計キーボード
を有する構成としてもよい。
【0064】
この会計は、端末2および店の中央処理系に接続されている。
【0065】
カード3の形状をとる個人装置3の具体例を説明する。本実施形態では、カード3は、
−CPUプロセッサ
−メモリ
−下記にその動作を説明する起動装置
−ユーザがカードの供給を完全に遮断することができる(プライバシーモード)、またはそれを再び供給することができる、いわゆるプライベート手動制御、すなわち「プライバシー」
−電源
−信号の検出、アプリケーションの管理など、カードにおいて実施するソフトウエアモジュール
を有する。
【0066】
カード3と端末2との間の送信チャネルについてさらに詳述する。
【0067】
送信チャネルは、より具体的には、
−カード3および端末2における高周波通信回路を有する非接触型通信チャネル
−カード3および端末2における接点をもつ通信インターフェース
−接点をもつ、またはもたない通信ドライブの形状をとるカード3および端末2において実行されるソフトウエアモジュール
を有する。
【0068】
当該送信チャネルがカード3を起動させ、データの送受信を行い、保護通信チャネルへのアクセス制御を行うことができる。
【0069】
本発明に係るシステムは、さらに、決済取引、より具体的にはあらゆるサービス取引を提供する電子決済サブシステムおよびサービスサブシステムを有する。さらに具体的には、このサブシステムは、バンクサーバとの関係を管理する。
【0070】
電子決済サブシステムおよびサービスサブシステムは、カード3および端末2において実施されるソフトウエア要素によって構成されている。
【0071】
さらに具体的には、当該サブシステムは、決済の認証または拒否機能を実施し、決済取引、特にサービス取引を実施する。
【0072】
好適には、本発明に係るシステムは、想定され得る不正行為、偽装、ならびに、承認、認証の機能、機密性の機能、整合性(不変)、および否認防止の機能なしに行われる取引から、顧客、小売店、およびサービス業者を保護することを目的としたセキュリティサブシステムを有する。当該セキュリティサブシステムは、カード3および端末2において実施されるソフトウエア要素、ならびに、必要に応じて専門暗号化回路を有する。
【0073】
サブシステムによって、以下のことが可能となる。
−生体データの暗号化、または解読
−端末2に対するカード3の認証
−カード3に対する端末2の認証の任意の実行
−交換の暗号化および解読
−交換の署名。
【0074】
さらに、他のサブシステムにおけるセキュリティ要件を考慮して、セキュリティサブシステムを設ける。
【0075】
カード3または4の動作について以下に詳述する。
【0076】
以下に説明するように、「非プライバシー」状態であるカードは、「スタンバイ」「受信」および「動作」と呼ばれる3つのモードのうちのいずれか1つであり得る。スタンバイモードでは、カードの電力消費量が、持続時間Tを有する時間遅延行うために必要最小に抑えられる。持続時間Tは、スタンバイモードの持続時間である。
【0077】
受信モードでは、カードは、適宜、外部からの既定の周波数または既定の範囲内の周波数をもつ高周波信号を受信している。
【0078】
当該受信周波数は、その後カードと端末との間の通信に使用される周波数と必ずしも同じでなくてもよい。
【0079】
カードにおいて電源供給されて起動されている回路は、信号の受信および検知、ならびに持続時間Tの時間遅延フローに関して要求されるもののみである。当該持続時間Tは、受信モードの最大持続時間である。
【0080】
動作モードでは、カードにおける全ての回路に電源供給される。
【0081】
スタンバイモード、受信モード、動作モードでのカードの各平均電力消費量をPv、Pe、およびPaと称する。それらは、不等式Pv<Pe<Paに適合される。
【0082】
持続時間TおよびTの時間遅延は、一方で、電力消費量を最小限に抑えるように、他方で、端末の要請に素早く答えることができるように調整されている。
【0083】
以下の場合、カードがスタンバイモードに切り替わる。
−カードが予め受信モードであったときに、時間遅延Tが経過して信号が検出されなかったとき、
−端末との通信セッションが異常終了したとき、
−通信セッションが下記の理由によって終了したとき、
−ユーザの生体認証フェーズ(カードにおける適合)がネガティブの結果となったとき、
−カードのフェーズ選択、およびアプリケーションの選択フェーズによって当該カードの放棄が生じたとき、
−例えばカードが領域の範囲外に出たときに取引エラーが生じ、当該取引エラーが回復不可能であると宣言されたとき。
【0084】
カードが予めスタンバイモードになっており、時間遅延Tが経過したとき、カードは受信モードに切り替わる。
【0085】
カードが予め受信モードになっており、当該モードにおいて端末の信号が検出されると直ちに、時間遅延Tが完了する前にカードは動作モードに切り替わる。その後、当該時間遅延が遮断される。
【0086】
また、カード読み取り装置にカードを挿入し、接触すると、カードが動作モードに切り替わる。
【0087】
外部からの電磁信号がない場合、カードは、持続時間Tのスタンバイモード、および持続時間Tの受信モードからなる周期を介して周期的に両者間で切り替わる。
【0088】
外部からの電磁信号がある場合、当該周期は遮断され、カードが動作モードに切り替わる。
【0089】
この動作モードには2つの目的がある。1つは、カードの消費電力を最小限に抑え、内部電源(バッテリ)の寿命を延ばすこと、もう1つは、ユーザに浴びせられる電磁放射を最小限に抑えることである。
【0090】
本発明に係るシステムの動作を下記に詳述する。動作時に、本発明に係るシステムを連続的に実施する。
−通信セッションを開始し、周囲にあるカードを起動させ、
−ユーザを認証し、
−使用するカードまたはアプリケーションを選択し、
−決済取引またはサービス取引を行い、
−通信セッションを終了する。
【0091】
これらのステップについて以下に詳述する。
【0092】
カードの所有者が端末に対して特定の制御(例えばキーボードのキーを押すなど)を行う、あるいは、カードの所有者が自らの手、または指を提示して生体読み取り装置に置く、または両方の動作の組み合せなどの既定のジェスチャーをし、会計スタッフが端末に対して特定の制御を行うことによって、本発明に係る通信セッションが開始される。
【0093】
この開始によって、端末2が起動信号とも称される無線信号を発信する。
【0094】
端末の周囲に配置され、受信モードにあるカードがこの信号を受信し、その後、動作モードに切り替わる。
【0095】
そのとき、プライバシーモードではない、読み取り装置の範囲内にある全てのカードを起動させるために、上記端末は、Tよりも大きい最小持続時間の間、当該信号を発信する。
【0096】
2つの選択肢が考えられる。
−この信号が、特に生体認証ゲージから算出された生体認証を伝達する。当該生体認証ゲージ自体は、ユーザの生体認証取得ステップの間に得られた生体情報から算出される。この選択肢では、信号発信の前に生体情報を取得させる必要がある。
−この信号が、何の情報も伝達せず、単にカードを起動させることを目的とする。続いて、生体認証が送信される。
【0097】
図4を参照し、以下のようにユーザ認証が生じる。
【0098】
端末2によって算出された生体認証取得からの生体認証ゲージと、カード3、3A、3Bに存在する生体認証ゲージとを比較して、認証を行う。カード上にて当該比較を行う(カードにおける適合)。
【0099】
安全上およびプライバシー上の理由により、暗号化方法を用いて端末2からカード3、3A、3Bに生体認証ゲージを送信する。
【0100】
任意に、生体認証ゲージ送信の前ステップを実施する。このステップは、端末が、符号化されていない生体認証を周囲のカードに送信するステップである。
【0101】
端末が予め作動させた生体読み取り装置にユーザの手または指を示すなどの持ち主の既定の身ぶりによって、ユーザの認証が開始される。
【0102】
当該動作を行うと、使用される生体認証技術に対応する生体認証装置による生体情報の取得が生じる。当該生体情報は、例えば指の指紋、あるいは手または指の静脈網の画像であってもよい。
【0103】
また、その結果、取得された生体情報から生成された、生体認証装置または端末による生体認証ゲージの算出が行われる。当該ステップの目的は、生体情報よりも縮小された持ち主の生体特徴を得ることにあり、当該特徴によって、要求される信頼性のレベルにて持ち主を識別することができる。
【0104】
任意に、端末は、とりわけ生体認証ゲージから生体認証を算出してもよい。当該任意ステップは、上記工程に続く過程のために、符号化されていない生体認証ゲージを送信することなしに、非適格カードの大部分を除外することを目的とする。非適格カードとは、メモリ内に保存された生体認証ゲージの認証が、端末が算出したものと一致しないカードである。
【0105】
生体認証を算出する上記任意ステップを実施した場合、端末2は、符号化されていない生体認証を周囲3、3A、3Bにおけるカードに放出する(100、101、102)。
【0106】
周囲の端末に配置されたカード3、3A、3Bが、信号によって情報なしに予め起動されていた場合、それらのカードは動作モードに切り替わり、生体認証を含む端末からの新しい信号を受信することができる。
【0107】
端末の環境領域に配置されたカードが、端末からの信号によって情報なしに予め起動されていた場合、生体認証を含む信号が起動信号の一部を担う。したがって、T以上の持続時間(スタンバイ期間の持続時間)の間、信号を繰り返し送信し、カードが受信モードに切り替わるのを待ち、その後、カードが動作モードに切り替わるのを待つ必要がある。
【0108】
その後、起動して領域内に配置されたカード3、3A、3Bが、受信した生体認証と、カードのメモリ内に保存された生体認証ゲージから算出された生体認証とを比較する、または、カードのメモリ内に保存された生体認証とを比較する。
【0109】
当該比較がネガティブであった、すなわち、両認証が適合しなかったカードは反応せず、スタンバイモードに戻る。図4では、カード3Bがネガティブの比較を行い、ポジティブの比較信号が返信されないと考えられる。
【0110】
当該比較がポジティブであったカード3、3A、すなわち、両認証が適合したカードは動作モードに留まり、比較がポジティブであることを示す、符号化されていない回答を端末2に送信する(110、111)。
【0111】
端末2と、第一ステップの間にポジティブの回答を出したカード3、3Aの各々との間にて、公開鍵120、121の交換を行う。全てのカードおよび全ての端末が、各カードと端末との保護通信端末を開始するように、それぞれのメモリ内に秘密鍵/公開鍵の対を有する必要がある。
【0112】
その後、前段階の間に回答した全てのカード3、3Aに、生体認証取得から算出された生体認証ゲージを送信する(130、131)。
【0113】
これらのカードは、受信した生体認証ゲージを解読し、それを自身のメモリ内の生体認証ゲージと比較する。
【0114】
比較結果がネガティブであったカードは反応せず(または、端末にネガティブの比較信号を送信してもよい)、スタンバイモードに戻る。図4では、カード3Aがネガティブの比較を実行したため、ポジティブの比較信号を返信しないと考えられる。
【0115】
逆に、比較結果がポジティブであったカードは、端末にポジティブ比較の信号を送信し、動作モードに留まる。図4では、カード3が当該ポジティブ比較を実行すると考えられる。カードおよびアプリケーション選択という次のステップを準備するために、それらはポジティブ比較の信号と同時に候補アプリケーションのリストを返信してもよい(140)。
【0116】
ゲージの送信のために開かれた保護通信チャネルは、続いて、端末2とポジティブ比較を実行したカード3との間のセッション完了のために使用されてもよい。
【0117】
1人のユーザが複数のカードを持っていてもよく、各カードが複数のアプリケーションを有していてもよい。同様に、各アプリケーションが複数のサービスを提供することができる。この場合、使用するカード、および当該カードのアプリケーションを選択できる必要がある。以下のように、カードの選択およびアプリケーションの選択は同時である。当該ステップは、その「候補リスト」すなわちカードが所有するアプリケーションリストの生体比較に対してポジティブの回答を出した各カード3による送信によって開始される。
【0118】
例えば互いに排他的ではない下記の異なる方法を用いて、当該リストから選択することができる。
−端末によって認識されないアプリケーションの排除
−端末内部、または「候補リスト」に存在する優先規則の適用
−ユーザまたはスタッフによるアプリケーションの選択操作。
【0119】
上述したカードおよびアプリケーションの選択ステップが完了するとすぐに、1つのアプリケーションのみが選択され、場合によっては、当該アプリケーションに関する1つのサービスのみが連結される。
【0120】
上述したカードおよびアプリケーションの選択ステップに続いて、当該アプリケーションがサービスである場合、当該サービスを実行する必要がある。
【0121】
アプリケーションが決済サービスである場合、国際的な金融規格(international prevailing bank standards)、より具体的には現時点ではEMV:ユーロペイ、マスターカード、ビザに従って実行する。
【0122】
アプリケーションがサービス取引である場合、取引の実行は、想定するサービスに特有のものである。
【0123】
同一の保護取引端末内にて複数のアプリケーション取引を連結させることができる。例えば、特約取引に従って決済を実行することができる。
【0124】
何らかの理由でサービス取引が完了できなかった場合、取引前の初期状態に戻る可能性が考えられる。
【0125】
決済取引またはサービス取引が完了すると直ちに、カードはスタンバイモードに切り替わる。
【図面の簡単な説明】
【0126】
【図1】図1は、本発明に係る認証システムを示す。
【図2】図2は、図1の固定認証システム内に含まれる個人装置を示す。
【図3】図3は、図1の認証システムの機能図を示す。
【図4】図4は、図1のシステムの実施形態を示す機能図である。

【特許請求の範囲】
【請求項1】
複数の個人認証装置(3、4)および端末(2)を備え、
上記端末(2)は、
ユーザの生体情報を生成するように構成された生体認証手段(5、6)と、
各上記個人認証装置(3、4)と上記端末(2)との間の接触なしに、各上記個人認証装置(3、4)に生体情報を送信するように構成された無線通信手段(7)とを備え、
各上記個人認証装置(3、4)は、
上記個人認証装置(3、4)の所有者の生体データを保存するように構成されたメモリ(10)と、
上記生体情報と上記生体データとを比較してユーザの認証を実行するように構成された処理手段(11)とを備えている認証システム(1)であって、
上記無線通信手段(7)は、上記複数の個人認証装置に生体情報を送信するように構成されており、
各上記個人認証装置(3、4)は、上記生体情報と上記生体データとの比較が上記ユーザの認証を可能にするポジティブ比較である場合に、接触せずに上記端末(2)にポジティブ認証データを送信するように構成された無線通信手段(8)を備えており、
上記端末は、上記ポジティブ認証データを送信した上記個人装置のみと取引を開始するように構成されていることを特徴とする認証システム。
【請求項2】
上記個人認証装置が、上記端末(2)にデータを送信し得ない第一モードと、上記端末と通信し得る動作モードとを有することを特徴とする請求項1に記載の認証システム。
【請求項3】
上記生体情報と上記個人装置における生体データとの比較がネガティブである場合、当該個人装置が第一モードに切り替わり、上記端末と当該個人装置との間に通信セッションが開始されないことを特徴とする請求項1または2に記載のシステム。
【請求項4】
上記生体情報と上記個人装置における生体データとの比較がポジティブである場合、当該個人装置が動作モードに留まり、上記端末と個人装置との取引が実行され得ることを特徴とする請求項2または3に記載のシステム。
【請求項5】
上記個人装置が、上記端末から送信された信号を検知し得る受信モードと、単に時間遅延の実行のみをし得るスタンバイモードとを有することを特徴とする請求項1〜4のいずれか1項に記載のシステム。
【請求項6】
上記個人装置が、第一規定時間Tの経過後、上記スタンバイモードから上記受信モードに切り替わるように構成されていることを特徴とする請求項1〜5のいずれか1項に記載のシステム。
【請求項7】
上記個人装置が、第二規定時間Tの終了前に、上記端末が送信した上記信号を検知したとき、上記受信モードから上記動作モードに切り替わるように構成されていることを特徴とする請求項5または6に記載のシステム。
【請求項8】
上記生体認証手段(5、6)が、ユーザの生体画像を取得するように構成された生体認証読み取り装置(5)と、上記生体画像から生体情報を生成するように構成された処理手段(6)とを有することを特徴とする請求項1〜7のいずれか1項に記載のシステム。
【請求項9】
上記処理手段(6)が、上記生体画像から特徴点を抽出するように構成されており、上記生体情報が上記特徴点の圧縮データを含むことを特徴とする請求項1〜8のいずれか1項に記載のシステム。
【請求項10】
上記生体読み取り装置が、上記ユーザの指または手の静脈網の画像を取得するように構成されていることを特徴とする請求項8または9に記載のシステム。
【請求項11】
上記端末が、複数の個人装置からポジティブ認証データを受信した場合、上記端末は特定の個人装置を選択して取引を実行するように構成されていることを特徴とする請求項1〜10のいずれか1項に記載のシステム。
【請求項12】
上記個人装置がアプリケーションを含み、上記端末が、ポジティブ認証データを送信した複数の個人装置に含まれるアプリケーションに応じて特定の個人装置を選択するように構成されていることを特徴とする請求項1〜11のいずれか1項に記載のシステム。
【請求項13】
上記ポジティブ認証データを送信した上記個人装置が、複数のアプリケーションを含み、上記端末が、取引を実行する特定のアプリケーションを選択するように構成されていることを特徴とする請求項1〜12のいずれか1項に記載のシステム。
【請求項14】
上記端末が、優先規則に則して、上記特定のアプリケーションを選択するように構成されていることを特徴とする請求項1〜13のいずれか1項に記載のシステム。
【請求項15】
上記端末が、当該端末が認識可能なアプリケーションに応じて、上記特定のアプリケーションを選択するように構成されていることを特徴とする請求項13または14のいずれか1項に記載のシステム。
【請求項16】
上記端末(2)における無線通信手段(7)が、50cm〜300cmの範囲内の距離に応じて、上記個人認証装置または各個人装置に上記生体情報を送信するように構成されていることを特徴とする請求項1〜15のいずれか1項に記載のシステム。
【請求項17】
上記個人装置または各個人装置における上記無線通信手段が、50cm〜300cmの範囲内の距離に応じて、上記端末と通信することができることを特徴とする請求項1〜16のいずれか1項に記載のシステム。
【請求項18】
請求項1〜17のいずれか1項に記載のシステムを実行する認証方法であって、
−ユーザが、生体認証手段を使用して生体情報を生成するステップ、
−端末における無線通信手段が複数の個人認証装置に上記生体情報を送信するステップ、
−各個人装置の処理手段が、上記生体情報と生体データとを比較して、上記生体データと上記生体情報との比較がポジティブであった場合にポジティブ認証データを生成し、ユーザの認証を行うステップ、
−比較がポジティブであった場合、上記個人装置の無線通信手段(8)を介して、上記データのポジティブ認証を上記端末(2)に送信するステップ、
−個人装置がポジティブの認証データを送信した場合のみ、上記端末が取引セッションを開始するステップ
を有する方法。
【請求項19】
上記個人認証装置が、上記個人認証装置によって実行され得るアプリケーションに関する識別子をさらに送信することを特徴とする請求項18に記載の方法。
【請求項20】
既存の保護通信チャネルを介して、上記端末における上記無線通信手段が上記複数の個人認証装置に上記生体情報を送信することを特徴とする請求項18または19に記載の方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate


【公表番号】特表2011−501285(P2011−501285A)
【公表日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願番号】特願2010−529428(P2010−529428)
【出願日】平成20年10月17日(2008.10.17)
【国際出願番号】PCT/FR2008/001470
【国際公開番号】WO2009/087311
【国際公開日】平成21年7月16日(2009.7.16)
【出願人】(510109811)
【氏名又は名称原語表記】P1G
【住所又は居所原語表記】Eurotechnologie,165,avenue de Bretagne,F−59044 Lille,France
【Fターム(参考)】