WO2006093238A1

WO2006093238A1 - 認証補助装置、認証主装置、集積回路及び認証方法

Info

Publication number: WO2006093238A1
Application number: PCT/JP2006/304016
Authority: WO
Inventors: Kazunori Inoue; Ken Naka
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2005-03-03
Filing date: 2006-03-02
Publication date: 2006-09-08
Also published as: JPWO2006093238A1

Abstract

　個人情報を保護することができ、多くの計算量を要する認証方式を低コストで提供することができ、生体認証の効果を認証者が直接的に得ることができるとともに、個人情報管理に伴うコスト及びリスク増大を回避することができる認証補助装置。この装置では、生体テンプレート保持手段（１０２）は、生体テンプレートを保持する。生体テンプレート埋め込み手段（１０４）は、生体テンプレートを埋め込む生体認証オブジェクト以外は判別できないように難読化した状態で生体テンプレートを生体認証オブジェクトに埋め込む。生体認証オブジェクト送信手段（１０７）は、生体テンプレートを埋め込んだ生体認証オブジェクトを送信する。

Description

明細書

認証補助装置、認証主装置、集積回路及び認証方法

技術分野

[0001] 本発明は、認証補助装置、認証主装置、集積回路及び認証方法に関し、特に、生体特徴を用いて使用者の正当性を証明する認証補助装置、認証主装置、集積回路及び認証方法に関する。

背景技術

[0002] インターネットなどの電気通信を介して情報処理装置の機能やサービスを使用する場合、もしくは銀行自動支払機や自動入退室管理装置などを利用する場合、使用者の正当性を認証する事 (ユーザ認証）が重要である。

[0003] ユーザ認証には大別して（1)知識に基づく認証、（2)所持物に基づく認証、（3)生体特徴に基づく認証、の 3種類がある。パスワードや暗証番号は（1)の代表例であり、 ICカードは（2)の代表例である。知識に基づく認証では、他人に知られた場合に容易になりすましが可能となり、所持物に基づく認証では紛失や盗難に際しての対策が必要である。

[0004] そこで近年注目されているのが（3)の生体特徴に基づく認証である。これは指紋、虹彩、顔貌、静脈、筆跡、行動の癖など、ある個人だけが持つ特定の特徴を電子情報的に抽出し、予め登録しておいた参照用特長データ（生体テンプレート）と比較照合する技術ある。生体特徴に基づく認証は、生物学的認証、バイオメトリタス認証とも呼ばれる。

[0005] 生体特徴を用いたユーザ認証において留意すべき点の一つは生体テンプレートの保護である。生体テンプレートは元来個人特有のものであり、他人が入手してもなりすまし等の不正利用は出来ないが、昨今の社会的、法的な要件として、生体テンプレートは「保護すべき個人情報」であり、提供者が許可しない限り二次利用や漏洩は許されないものである、というコンセンサスが確立しつつある。

[0006] 生体特徴を用いた認証における生体テンプレートの保護に関する従来技術としては、認証を実行する装置でのみ復号可能な状態に生体テンプレートを変換しておき、ユーザが保持する装置、サービス提供者の装置、もしくは信頼できる第三者装置のいずれかに保管するものがあった (例えば、特許文献 1参照）。

[0007] 図 1は前記特許文献 1に記載された従来のユーザ認証補助装置の構成図である。

[0008] 図 1において、ユーザ認証補助装置 1は、生体テンプレートを安全に保持する生体テンプレート保持手段 2を備え、生体テンプレート保持手段 2に格納された生体テンプレート 3と、認証時に使用者の生体特徴データを取得する生体特徴データ取得手段 4の取得結果とを、照合手段 5を用いて照合し、使用者の正当性を検証していた。

[0009] 図 2は前記特許文献 1に記載された従来のユーザ認証主装置の構成図である。

[0010] 図 2において、ユーザ認証主装置 6は、暗号化生体テンプレート取得手段 7が取得したデータを生体テンプレート復号手段 8が複号化し、生体テンプレート 9を得る一方で、生体特徴データ取得手段 10が使用者の生体特徴データと取得し、これらを照合手段 11が照合することにより、使用者の正当性を検証していた。なお、図 2に示す従来例では、暗号ィヒ生体テンプレートは信頼できる第三者期間から取得する力、あるいはユーザが所持する ICカードなどから取得していた。

特許文献 1 :特開 2002— 73568号公報（第 1頁、図 21)

発明の開示

発明が解決しょうとする課題

[0011] し力、しながら、前記従来の構成では下記に示す課題を有していた。

[0012] (1)生体特徴を用いた認証の利点が認証者にとって間接的。

[0013] 前記図 1に示した従来例では、生体テンプレートがユーザ機器の外に出さない利点があるが、その反面、主認証装置を扱う認証者（多くの場合はサービス提供者である）にとつては、認証補助装置 (ユーザ機器）の中でどのようにして照合処理が行われたか検証する術がなレ、。ワーストケースでは認証補助装置が持つ照合手段が何者かにより不正に改竄され、正しい照合処理を経ずに照合成功の信号を送付して来る場合もあり得る。

[0014] (2)ユーザ機器コストの増大、もしくは機器能力の限界。

[0015] 前記図 1に示した従来例では、例えば認証補助装置として ICカードなどを想定した場合、ごく限られた計算能力の中で生体特徴データの照合処理を行う必要がある。現在、指紋照合、静脈照合など幾つかの方式については市販レベルの ICカード内で処理できるようになつている力 s、今後社会的許容性等から普及が見込まれている顔貌照合などは扱うデータ量も計算量も多ぐ ICカード内で短時間に処理を行わせることは困難である。

[0016] (3)認証主装置からの生体テンプレート漏洩リスク。

[0017] 前記図 2に示した従来例では、喑号ィ匕されていない生体テンプレートが、たとえ一時的とは言え認証主装置の中に存在してしまう。従って、認証主装置を扱うサービス提供者に悪意がある場合や、セキュリティ管理が甘く悪意のある第三者から攻撃を受けてしまった場合には、生体テンプレートが漏洩してしまう危険性がある。ユーザ認証主装置を運営する側の立場から考慮しても、図 2に示す構成のユーザ認証主装置を運用する場合、運用者 (サービス提供者）は常に前記のリスクへの対策を講じる義務が生じ、サービス運用コストの増大に繋がる。

[0018] 本発明の目的は、ユーザ (被認証者）は自らの個人情報である生体テンプレートを難読化して生体認証オブジェクトに埋め込むとともに、生体テンプレートを埋め込んだ生体認証オブジェクトを送信することにより、生体認証オブジェクトを受信した認証者は生体テンプレートを解読することができないので、個人情報を保護することができる認証補助装置、認証主装置、集積回路及び認証方法を提供することである。また、本発明の目的は直接他者に手渡すことなぐ認証に必要な情報を認証者に渡すことが可能となる。さらに、認証者は、ユーザ認証補助装置は生体テンプレートと認証時の生体情報との照合を行わなくて良いのでため、多くの計算量を要する認証方式をにおいても低コストでの提供することができる認証補助装置、認証主装置、集積回路及び認証方法を提供することであるが可能となる。

[0019] また、本発明の目的はのユーザ認証主装置、認証者は照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行うことにより、生体認証の効果を認証者が直接的に得ることができる認証補助装置、認証主装置、集積回路及び認証方法を提供することである可能となる。またさらに、本発明の目的は、認証者は生体テンプレートを直接参照せずに認証を行うのでする必要がなぐ個人情報管理に伴うコスト及びリスク増大をが回避することができる認証補助装置、認証主装置、集積回路及び認証方法を提供することであるされる。

課題を解決するための手段

[0020] 本発明の認証補助装置は、生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持手段と、前記生体テンプレート保持手段が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに埋め込む生体テンプレート埋め込み手段と、前記生体テンプレートが埋め込まれた前記生体認証オブジェクトを送信する送信手段と、を具備する構成を採る。

[0021] 本発明の認証主装置は、生体特徴を示す固有のデータから成る生体テンプレートが難読化された状態で埋め込まれた生体認証オブジェ外を受信する受信手段と、前記生体認証オブジェクトの送信元と共通の誤り訂正符号を記憶する誤り訂正符号記憶手段と、前記誤り訂正符号記憶手段に記憶している誤り訂正符号に基づいて、受信した前記生体認証オブジェクトから前記生体テンプレートを含まない生体認証ォブジェクトを復元する生体認証オブジェクト復元手段と、前記生体認証オブジェクト復元手段で復元した前記生体認証オブジェクトの正当性を検証する生体認証オブジェタト検証手段と、前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行する生体認証オブジェクト実行手段と、を具備する構成を採る。

[0022] 本発明の集積回路は、生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持回路と、前記生体テンプレート保持回路が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに坦め込む生体テンプレート埋め込み回路と、前記生体テンプレートが埋め込まれた前記生体認証ォブジェクトを外部へ送出するインタフェース回路と、を具備する構成を採る。

[0023] 本発明の認証方法は、生体特徴を示す固有のデータから成る生体テンプレートを保持するステップと、保持する前記生体テンプレートを誤り訂正符号に基づいて分割するステップと、分割した前記生体テンプレートを誤り訂正符号に基づレ、て前記生体認証オブジェクトに埋め込むとともに、前記生体テンプレートを埋め込んだ前記生体認証オブジェクトを前記誤り訂正符号により符号化して前記生体テンプレートを難読化するステップと、前記生体テンプレートが坦め込まれた前記生体認証オブジェクトを認証補助装置が送信するステップと、前記認証補助装置が送信した前記生体認証オブジェクトを認証主装置が受信するステップと、前記認証補助装置と共通の誤り訂正符号に基づレ、て、受信した前記生体認証オブジェクトから前記生体テンプレートを含まなレ、生体認証オブジェクトを復元するステップと、復元した前記生体認証ォブジェタトの正当性を検証するステップと、前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行するステップと、を具備するようにした。

発明の効果

[0024] 本発明によれば、ユーザ (被認証者）は自らの個人情報である生体テンプレートを難読化して生体認証オブジェクトに埋め込むとともに、生体テンプレートを埋め込んだ生体認証オブジェクトを送信することにより、生体認証オブジェクトを受信した認証者は生体テンプレートを解読することができないので、個人情報を保護することができる。また、本発明によれば、認証者は、生体テンプレートと認証時の生体情報との照合を行わなくて良いので、多くの計算量を要する認証方式を低コストで提供することができる。また、本発明によれば、認証者は、照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行って、被認証者が本人であることを生物学的に判別することにより、他人による成り済ましを防ぐという生体認証の効果を認証者が直接的に得ることができる。また、本発明によれば、認証者は生体テンプレートを直接参照せずに認証を行うので、個人情報管理に伴うコスト及びリスク増大を回避すること力 Sできる。

図面の簡単な説明

[0025] [図 1]従来のユーザ認証補助装置の構成図

[図 2]従来のユーザ認証補助装置の構成図

[図 3]本発明の実施の形態 1におけるユーザ認証補助装置の構成図

[図 4]生体テンプレートのデータ構造例を示した図

[図 5]生体認証オブジェクトの構造例を示した図

[図 6]生体テンプレート埋め込み手段の動作フロー図

[図 7]データ書き込み機能を備えた生体認証オブジェ外の構造例を示した図

[図 8]本発明の実施の形態 2におけるユーザ認証補助装置の構成図

[図 9]訂正符号が付加された生体認証オブジェクトのデータ構造例を示した図 [図 10] (7, 4)ハミング符号を応用した誤り訂正符号の例を示した図

園 11]生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則の例を示した図

園 12]生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート坦め込み規則の例を示した図

園 13]分割された生体テンプレートの坦め込み順序を指定する場合の生体テンプレート埋め込み規則の例を示した図

園 14]生体テンプレート埋め込み後の生体認証オブジェクトのデータ構造例を示した図

園 15]本発明の実施の形態 3におけるユーザ認証補助装置の構成図

園 16]生体認証オブジェクト受信手段、生体認証オブジェクト復元手段、生体認証ォブジェクト検証手段の連携動作フロー図

[図 17]電子データ復元手段の動作フロー図

園 18]訂正出来ないビット誤りの例を示した図

園 19]訂正出来ないバイト誤りの例を示した図

[図 20]本発明の実施の形態 4におけるユーザ認証補助装置の構成図

[図 21]本発明の実施の形態 4における生体テンプレート及び生体特徴データ混合埋め込み手段の動作フロー図

園 22]本発明の実施の形態 5におけるユーザ認証主装置の構成図

園 23]生体認証オブジェクト受信手段、生体認証オブジェクト復元手段、生体認証ォブジェクト検証手段及び生体認証オブジェクト実行手段の連携動作フロー図園 24]本発明の実施の形態 6におけるユーザ認証主装置の構成図

園 25]本発明の実施の形態 7におけるユーザ認証主装置の構成図

園 26]本発明の実施の形態 8におけるユーザ認証主装置の構成図

園 27]チャレンジデータ書き込みに対応した生体認証オブジェクトの構造例を示した図

園 28]本発明の実施の形態 9における集積回路の構成図

発明を実施するための最良の形態 [0026] 以下本発明の実施の形態について、図面を参照しながら説明する。

[0027] (実施の形態 1)

図 3は、本発明の実施の形態 1におけるユーザ認証補助装置の構成図である。

[0028] 図 3において、ユーザ認証補助装置 101は、生体テンプレート保持手段 102と、生体テンプレート埋め込み手段 104と、生体認証オブジェクト保持手段 105と、生体認証オブジェクト送信手段 107を備える。

[0029] 生体テンプレート保持手段 102は生体テンプレート 103を保持し、生体認証ォブジェクト保持手段 105は生体認証オブジェクト 106を保持する。生体テンプレート保持手段 102が保持している生体認証オブジェクト 106は、事前に第三者が作成したものであり、誤り訂正符号を含んでいる。また、生体認証オブジェクト 106の作成の際に、生体認証オブジェクト 106に対する署名も作成される。ここで、生体テンプレートとは、顔画像等の生態的特徴を電子データの形で事前に取得して登録しておくものであり、縮減処理がなされている。

[0030] 好適な例では認証補助装置 101の概観は ICカード、 CPU (セントラルプロセシングユニット：中央処理装置； Central Processing Unit)付きメモリカード、 PDA (パー

； Personal Digital Assistant)、携帯電話などの容易に持ち運べる電子機器であり、内部にセキュリティ機能を確保した耐タンパ領域 (ta mper resistant memory)を围ること力 ^s ましい。

[0031] 同様に好適な例では、生体テンプレート保持手段 102、及び生体認証オブジェクト保持手段はフラッシュメモリ、 RAM (ランダムアクセスメモリ； Random Access Me mory)、 HDD (ノヽードディスクドライブ； Hard Disk Drive)などの記憶媒体を用いたメモリである。また、これらの内部に格納される生体テンプレート 103及び生体認証オブジェクト 106は電子データである。特に、生体テンプレート 103は認証補助装置 101の正当な使用者から取得した生体特徴をデジタルデータ化した電子データであり、生体認証オブジェクト 106は前記生体テンプレート 103と、別途使用者から取得した生体特徴とを比較照合する処理手順を含むプログラムコードである。さらに、前記生体認証オブジェクト 106は処理手順やデータ構造を外部から解析困難とするための難読化が施されてレ、ることが望ましレ、。 [0032] 生体テンプレート埋め込み手段 104は、認証補助装置 101のハードウェア資源を利用する情報処理機である。情報処理機は ROM (リードオンリーメモリ； Read Only

Memory)に書き込まれたプログラムコード力 CPUを駆動する形態であっても良レ、。

[0033] 生体認証オブジェクト送信手段 107は、公知の通信技術を用いてデジタル信号を外部の機器に送信する通信機を含む情報処理機である。

[0034] 図 4は生体テンプレート 103のデータ構造例を示した図である。

[0035] 図 4において、データ部 201はヘッダ情報であり、生体テンプレートの種類、パージヨン、データ長などを示すデータが格納される。データ部 202は HD情報であり、生体テンプレートの識別用固有データが格納される。データ部 203は特徴ベクトル情報であり、デジタル化された生体画像から変換された値が格納される。変換の例としては、画像データの主成分分析に基づくべ外ルデータ、不特定多数の人間から得たサンプノレを用いて本人固有の特徴を抽出したベクトルデータ、などが挙げられる。データ部 204は署名情報であり、生体テンプレートが改竄されていないことを示す証明データが格納される。

[0036] なお、生体テンプレートデータとして最も重要な役割を持つのはデータ部 203の特徴ベクトル情報であり、それ以外のデータ部は必ずしも必要ではなレ、。

[0037] 図 5は生体認証オブジェクト 106の構造例を示した図である。基本的に、生体認証オブジェクト 106は特定の CPU (セントラルプロセシングユニット：中央処理装置）もしくは VM (バーチャルマシン：仮想計算機； Virtual Machine)の命令コードと、前記命令コードが参照したり書換えたりするデータの集合力成り立つている。

[0038] 図 5において、生体テンプレート格納データ領域 301は生体認証オブジェクト 106 の内部にあって、生体テンプレート 103を一時的に格納するためのデータ領域である。照合及び判定プログラムコード 302は同じく生体認証オブジェクト 106の内部にあって、前記生体テンプレート 103と、認証補助装置 101を提示したユーザ自身から認証時に取得する生体データである認証時生体データを比較照合し、ユーザの正当性を検証する手順を示した命令コード群である。ただし、前記照合及び判定プログラムコード 302は、生体認証オブジェクト 101内で実行されなくても良い。 [0039] 図 6は生体テンプレート坦め込み手段 104の動作フロー図である。

[0040] 生体テンプレート埋め込み手段 104は、まず始めに生体テンプレート保持手段 10 2から生体テンプレート 103を読み込む（ステップ 401)。次に生体認証オブジェクト保持手段 105が保持する生体認証オブジェクト 106の中の、生体テンプレート格納データ領域 302に前記生体テンプレート 103を書き込む（ステップ 402)。続いて、生体認証オブジェクト送信手段 107に処理を進める（ステップ 403)。

[0041] 生体認証オブジェクト送信手段 107は、生体テンプレート 103が埋め込まれた生体認証オブジェクト 106を外部に送出する。好適には、送出先は後述するユーザ認証主装置である。

[0042] 前記ステップ 402における生体テンプレート 103書き込みは、単なるメモリ間データコピーによって実現しても良レ、が、以下に示す様に生体認証オブジェクト 106自身にデータ書き込み機能を持たせても良レ、。

[0043] 図 7は、データ書き込み機能を備えた生体認証オブジェクト 106の構造例を示した図である。この例では生体テンプレートだけでなぐ認証時生体データを書き込む機能も備える。

[0044] 図 7において、インタフェースプログラムコード（A) 501は、認証補助装置 101内で生体認証オブジェクト 106の機能が呼び出される際に使用される命令コード群である。生体テンプレート格納プログラムコード 502は生体テンプレートを生体認証オブジェタト 106内部に格納するための命令コード群であり、生体テンプレート格納データ領域 503は生体テンプレート格納先となるデータ領域である。

[0045] インタフェースプログラムコード（A) 501はユーザ認証補助装置 101に処理の呼出口を提供するものであり、主として生体テンプレート埋め込み手段 104から呼び出される。生体テンプレート埋め込み手段 104は、生体テンプレート保持手段 102から生体テンプレート 103を読み出し、生体認証オブジェクト保持手段 105に格納された生体認証オブジェクト 106のインタフェースプログラムコード（A) 501を介して生体テンプレート格納プログラムコード 502に引き渡す。

[0046] 引き渡された生体テンプレート 103は、生体テンプレート格納データ領域 503に格納される。ここで、生体テンプレート格納データ領域の具体的なデータ構造、存在箇所は、生体認証オブジェクト 106以外には判別されないよう、難読化されていることが望ましい。難読化の具体例としては、生体テンプレート格納データ領域を複数個所に分散させ、ダミーのデータと混ぜ合わせる方法などが挙げられる。

[0047] 認証時生体データ格納プログラムコード 504は、認証が行われるタイミングで使用者から取得した生体データを生体認証オブジェクト 106内部に格納するための命令コード群であり、認証時生体データ格納データ領域 505は前記生体データ格納先となるデータ領域である。ここで、前記生体データの構造は図 4に示した生体テンプレートのデータ構造例のうちの特徴ベクトル 203と同一であることが望ましいが、指紋画像、顔画像など、センサやカメラから取得した画像データであっても良い。

[0048] 照合及び判定プログラムコード 506は、生体テンプレート格納データ領域 503と、認証時生体データ格納データ領域 505からデータを読み出し、両者を照合し類似度を測定した判定結果を得るための命令コード群である。具体的な照合方法の例としては、まず認証時生体データが画像データ、もしくは画像データを加工したデータである場合には、生体テンプレート生成時と同じ処理に基づき特徴ベクトル 503と同一のフォーマットになるよう変換し、認証時生体特徴ベクトルを得る。前記認証時生体特徴ベクトルと、生体テンプレート格納データ領域 503に格納された生体テンプレートのうち特徴ベクトル 203を抽出したものは同次元のベクトルデータとなるため、内積演算、距離演算等により両者の類似度を算出することが出来る。類似度がある閾値以下である場合は判定結果は「正当」であり、閾値を超える場合は「不当」である。

[0049] インタフェースプログラムコード（B) 507は後述するユーザ認証装置に処理の呼び出し口を提供するものであり、主として照合及び判定プログラムコード 506を呼び出す際に使用する。なお、認証時生体データ格納プログラムコードは、インタフェースプログラムコード（A) 501からもインタフェースプログラムコード（B) 507からも呼び出され得る。

[0050] 難読化用ダミーコード 508は、格納された生体テンプレートを外部からの解析によつて読み出されにくくするためのコードもしくはデータ群である。

[0051] 因みに、ユーザが所持する ICカードの中で生体認証を行い、生体認証の結果を認証者に伝える従来技術の場合、認証者はユーザが所持する機器の生物学的判定結果を間接的に信用することになる。このような生物学的判定結果を間接的に信用するようなシステムを、携帯電話、 PDA及びパソコン等のように、処理能力は高いが 10 0%の信用のおけない機器に適用する場合には、充分なセキュリティを確保することができない。これに対して、本実施の形態 1では、認証者は、照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行って、被認証者が本人であることを生物学的に判別することができるので、他人による成り済ましを防ぐという生体認証の効果を認証者が直接的に得ることができる。

[0052] 以上実施の形態 1によれば、ユーザ (被認証者）は自らの個人情報である生体テンプレートを生体認証オブジェクト内に隠した形で他者 (認証者）に渡すことが可能となり、個人情報を保護する効果が得られる。さらに、ユーザ認証補助装置は生体テンプレートと認証時の生体情報の照合処理を行う必要がなレ、ため、例えばユーザ認証補助装置として個々のユーザが所持する携帯端末や ICカードを想定した場合、低コストでの提供が可能となる効果も得られる。

[0053] (実施の形態 2)

図 8は、本発明の実施の形態 2におけるユーザ認証補助装置の構成図である。

[0054] 図 8において、図 3と同じ構成要素については同じ符号を用い、説明を省略する。

[0055] 図 8において、ユーザ認証補助装置 601は、生体テンプレート分割手段 602と、生体テンプレート埋め込み手段 603と、生体テンプレート分割坦め込み規則保持手段 604を備える。生体テンプレート分割坦め込み規則保持手段 604は、生体認証ォブジェタトの誤り訂正符号に基づく生体テンプレート分割規貝 IJ605と、生体認証ォブジェタトの誤り訂正符号に基づく生体テンプレート埋め込み規則 606を保持する。

[0056] 生体テンプレート埋め込み手段 602および生体テンプレート坦め込み手段 603は情報処理機であり、生体テンプレート分割埋め込み規則保持手段 604はメモリである

[0057] 生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則 605及び、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート坦め込み規則 606 はレ、ずれも電子データである。

[0058] 生体認証オブジェクト 607は、実施の形態 1に示した生体認証オブジェクト 106と同様に生体テンプレート 103と、別途使用者力取得した生体特徴とを比較照合する処理手順を含むプログラムコードを含む電子データであるが、さらに、誤り訂正符号力成る電子データが付加されてレ、る。

[0059] 図 9は、前記誤り訂正符号が付加された生体認証オブジェクト 607のデータ構造例を示した図である。

[0060] 図 9において、データブロック 701は電子データの本体であるプログラムコード、データを論理的に分割された複数のブロック l〜mで構成されている。ここで図 9の例ではデータ本体として機械語コード（マイクロプロセッサ上で動作するネイティブ機械語コード、仮想マシン上で動作するバイトコード等）を用いている。

[0061] データブロック 701中に示される「P0」の記号部は、電子データ中に配置された書換え可能領域である。

[0062] ECC (エラーコレクションコード：誤り訂正符号； Error Correction Code)ブロック 702は、論理的に分割された複数のブロック l〜mで構成され、 EC1がデータプロック 1を、 EC2がデータブロック 2を、以下同様に番号 mまで、 ECCiがデータブロック i の誤り訂正符号となるよう構成されている。

[0063] ECCブロック 702は、先に示した書換え前電子データに対する誤り訂正符号と同一のものを使用する。

[0064] 誤り訂正符号の一例として、誤り訂正の基本方式に公知の技術である「（7, 4)ハミング符号」を用いる。

[0065] なお、本発明に用いる誤り訂正符合は（7, 4)ハミング符号に限定されるものではなぐ公知の誤り訂正符号を任意に適用することができる。

[0066] また ECCはデータブロック直後に位置する必然性はなぐ分離されていても良い。

あるいはデータブロック内に含まれていても良い。

[0067] (7, 4)ハミング符号では、データビット 4つ（XI , X2, X3, X4)に対して冗長ビット 3 つ（PI , P2, P3)を付加し、 X1〜X4がいかなる値の場合でも、誤冗長ビットを付加した合計 7ビットからなる符号力必ずハミング距離 3以上離れるようにする。

[0068] 上記についてより詳細に説明すると、 X1〜X4に対して、下記の論理式が成立するよう冗長ビット P1〜P3の値を定める。 [0069] XI xor X3 xor X4 xor PI = 0

XI xor X2 xor X4 xor P2 = 0 XI xor X2 xor X3 xor P3 =

0

(xorは排他的論理和を意味する演算子である）

このようにして得られたビット集合 XI， X2, X3, X4, PI , P2, P3は全ての組み合わせがハミング距離が 3以上離れた関係とり、 7ビット中 1ビットが誤り（ビット反転）であつた場合にはハミング距離 1であるビット集合への訂正が可能であり、 2ビットが誤りである場合には誤りの存在を検出することが可能である。

[0070] 図 10は、前記（7, 4)ハミング符号を応用した誤り訂正符号の例を示した図である。

[0071] データブロック iはオフセット k=0〜3の 4バイトで構成され、各バイトはビットオフセッ

H = 0〜7の 8ビットで構成される。データブロック内の任意のビット 801は i， j, kをパラメータとした記号 Xijkで表現される。

[0072] 一方、 ECCiはオフセット k=0〜2の 3バイトで構成され、各バイトはビットオフセット j

=0〜7の 8ビットで構成される。 ECCi内の任意のビット 802は i, j, kをパラメータとした記号 Pijkで表現される。

[0073] Xij l xor Xij3 xor Xij4 xor Pij l (式 1)

Xij l xor Xij2 xor Xij4 xor Pij2 (式 2)

Xij l xor Xij2 xor Xij3 xor Pij3 (式 3)とした B寺、式 1、式 2、式 3全て力 0となるように Pij l〜3を定める。値の決定は下記の論理式に従えば良い。

[0074] Pij l = Xij l xor Xij3 xor Xij4

Pij2 = Xij l xor Xij2 xor Xij4

Pij3 = Xij l xor Xij2 xor Xij3

図 11は、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート分割規則の例を示した図である。前記（7, 4)ハミング符号を応用した誤り訂正符号を用いる場合、個々のデータブロックに埋め込むことが出来るデータ長は最大で 1バイトとなる。従って、生体テンプレート分割規則データ 901は、最大データ長が 1バイトであることを示すデータとなる。

[0075] 図 12は、生体認証オブジェクトの誤り訂正符号に基づく生体テンプレート埋め込み規則の例を示した図である。図 9に示した生体認証オブジェクトの構造を例に取ると、データブロック 2、 4及び m (mは整数の抽象表記）に各 1バイトずつの書換え可能領域が存在し、分割された生体テンプレートはこれらの領域に埋め込まれる。ここで、ブロック 2、 4、 mそれぞれの書換え可能領域のオフセット、即ちブロックの先頭バイトを 0 とした存在位置を、それぞれ 2、 1、 3とした場合、生体テンプレート坦め込み規則データ 1001は下記の内容を示す。

[0076] ブロック番号 2の、オフセット 2の位置に分割された生体テンプレートを埋め込む。

[0077] ブロック番号 4の、オフセット 1の位置に分割された生体テンプレートを埋め込む。

[0078] ブロック番号 mの、オフセット 3の位置に分割された生体テンプレートを坦め込む。

[0079] 生体テンプレート埋め込み手段 603は、上記規則が指定するブロックの指定位置に、分割された生体テンプレートを坦め込む。例えば、生体テンプレート埋め込み規貝 IJとして、図 12のブロック番号 2のオフセット 2が選択された場合は、生体テンプレート埋め込み手段 603は、図 9のデータブロック 2の先頭から 2バイト後ろにずれた部分、即ちデータブロック 2の先頭から 3バイト目に、分割された生体テンプレートを坦め込む。また、この場合、図 10では、 i= 2であり、生体テンプレート埋め込み手段 603 は、データブロック 2のバイトオフセット k= 2の部分に、分割された生体テンプレートを坦め込む。このように、生体テンプレート坦め込み規則に従ってデータを坦め込んだ場合、本来はデータブロック全体の署名が変わってしまうが、誤り訂正符号に基づいて、分割された生体テンプレートを埋め込むことにより、誤り訂正符号の許容範囲内に収まるので、誤り訂正後の署名は不変になる。

[0080] なお、分割された生体テンプレートの埋め込み順序を別途指定する規則を設けても良い。

[0081] 図 13は、生体テンプレート分割埋め込み規則保持手段 604が保持している分割された生体テンプレートの埋め込み順序を指定する場合の生体テンプレート埋め込み規則 606の例を示した図である。

[0082] 図 13において、生体テンプレート坦め込み規則 606は、分割された生体テンプレートの番号を示すデータを有する。この例では分割された生体テンプレートの 1番目の要素を、ブロック番号 2、オフセット 2の位置に、 3番目の要素を、ブロック番号 4、ォフセット 1の位置に、 2番目の要素を、ブロック番号 m、オフセット 3の位置にそれぞれ坦め込む規則となる。分割された生体テンプレートの断片を入れ替えることにより、元の生体テンプレートの解読を困難にする効果が得られる。

[0083] また、図 11、図 12、図 13に示したものと同様の分割、坦め込み規則を、生体認証オブジェクト 607が有し、併せて生体テンプレート分割手段 602及び生体テンプレート埋め込み 603と同様の機能を、生体認証オブジェクト 607内に備えても良い。

[0084] その場合、図 7に示した生体テンプレート格納プログラムコード 502に前記機能を実装し、ユーザ認証補助装置 601は、生体テンプレートの分割、坦め込みの際にィンタフエースプログラムコード (A) 501を介して前記機能を呼び出せば良い。

[0085] 生体テンプレートの分割、埋め込み機能を生体認証オブジェクト 607に持たせる事により、分割、坦め込み規則の内容がユーザ認証補助装置 601にも知り得ないものとなるため、元の生体テンプレートの解読を困難にする効果が得られる。

[0086] 図 14は、生体テンプレート埋め込み後の生体認証オブジェクトのデータ構造例を示した図である。データブロック 1201は、前記図 9で示した生体認証オブジェクトのデータブロック 701中に配置されたデータ「P0」力分割された生体テンプレートの各データ「P1」「P2」及び「P3」に書換えられたものとなる。 ECC1202は、 ECC702と同一である。

[0087] 以上実施の形態 2によれば、ユーザ認証補助装置は生体テンプレートを分割して生体認証オブジェクトに埋め込むため、生体テンプレートの解読をより困難にする効果が得られる。さらに、前記分割と埋め込みに際して、誤り訂正符号の訂正能力に準じた規則を設けることにより、生体認証オブジェ外を随時原本の状態に戻すことが可能となり、これにより生体認証オブジェクトが有する照合手順等のロジックの正当性を検証する作業が、生体テンプレート埋め込み後でも容易に可能となる効果が得られる。

[0088] (実施の形態 3)

図 15は、本発明の実施の形態 3におけるユーザ認証補助装置の構成図である。

[0089] 図 15において、図 3と同じ構成要素については同じ符号を用レ、、説明を省略する。

[0090] 図 15において、ユーザ認証補助装置 1301は、生体認証オブジェクト受信手段 13 02、生体認証オブジェクト復元手段 1303、生体認証オブジェクト検証手段 1304を備える。

[0091] 図 16は、前記 3つの手段が相互に関連して機能する際の動作フロー図である。

[0092] 生体認証オブジェクト受信手段 1302は、外部の機器から生体認証オブジェクト 10 6を受信して保持する（ステップ 1401)。そして、生体認証オブジェクト受信手段 130 2は、生体認証オブジェクト検証手段 1304で検証が成功した場合に、保持している生体認証オブジェクト 106を生体認証オブジェクト保持手段 105へ出力する。生体認証オブジェクト 106は、実施の形態 2に示したものと同様、 ECCと書換え可能領域を含むものとする。

[0093] 受信した生体認証オブジェクトの書換え可能領域に、既に初期値以外のデータが坦め込まれている場合には生体認証オブジェクト復元手段 1303に処理を進め、そうでない場合には生体認証オブジェクト検証手段 1304に処理を進める（ステップ 140 2)。

[0094] 生体認証オブジェクト復元手段 1303は、 ECCを用いてデータ坦め込み前の生体認証オブジェクトを復元し、生体認証オブジェクトの原本を得る。ここで、原本とは、生体テンプレートが坦め込まれていない生体認証オブジェクトである。データ復元方法の詳細は後述する（ステップ 1403)。復元に成功したか否かを判断し (ステップ 1404 )、成功した場合は生体認証オブジェクト検証手段 1304に処理を進め、失敗した場合は受信した生体認証オブジェクトは不正であると判断し、処理を中止する（ステップ 1409)。

[0095] 前記ステップ 1404において、復元失敗と判断する場合に例を以下に示す。

[0096] 図 18は、訂正出来ないビット誤りの例である。

[0097] 前記式 1〜式 3の演算結果がビットパターン 1601に含まれる場合は、ビット Xij：!〜 Xij4のいずれかに 2ビット以上の誤りが存在するため、生体認証オブジェクト復元手段 1303は受信した生体認証オブジェクトの復元失敗 (復元不能）と判断する。

[0098] 図 19は、訂正出来ないバイト誤りの例である。

[0099] 図 19の例では、訂正対象となるビット 1701〜 1704がバイトオフセット 0に、ビット 17 05がバイトオフセット 1に存在する。このように、訂正対象ビットが複数のバイトオフセットに跨っている場合は、生体認証オブジェクト復元手段 1303は受信した生体認証オブジェクトの復元失敗 (復元不能）と判断する。

[0100] 生体認証オブジェクト検証手段 1304は、公知の技術である電子署名検証などの方法を持ちて生体認証オブジェクトの正当性を検証する（ステップ 1405)。検証に成功したか否かを判断し (ステップ 1406)、成功した場合は生体認証オブジェクトを生体認証オブジェクト保持手段 105に格納する。ここで、格納する生体認証オブジェクトは復元前のもの、即ち生体認証オブジェクト受信手段 1302が受信したものと同一である（ステップ 1407)。

[0101] 復元前の生体認証オブジェクトを格納した後は、生体テンプレート坦め込み手段 1 04に処理を進める（ステップ 1408)。ステップ 1406において検証に失敗したと判断された場合は、受信した生体認証オブジェクトは不正であると判断し、処理を中止する（ステップ 1409)。

[0102] 図 17は電子データ復元手段 1303の動作フロー図である。

[0103] ノレープ 1として、ブロック番号 iを 0から最終ブロックまで繰り返し処理を行う（ステップ 1501)。ループ 1内の処理は下記の通りである。

[0104] データブロック i、 ECCiを読み込む（ステップ 1502)。ここでデータブロック iは書換え後電子データのデータブロックであり、電子データ保持手段 102が保持していたデータである。続いてループ 2として、ビットオフセット jを 0力も 7まで繰り返し処理を行う (ステップ 1503)。ループ 2内の処理は下記の通りである。

[0105] 前記の式 1、式 2、式 3を演算する（ステップ 1504)。続いてこれら 3式とも演算結果力 SOになるか否かを判定する（ステップ 1505)。判定が YESであれば、ステップ 1503 に戻り、ビットオフセット jを 1増加してループ 2を継続する。判定が N〇であれば、（7， 4)ハミング符号誤り訂正の原理に基づいて Xij l、 Xij2、 Xij3、 Xij4いずれかを訂正（ビットを反転）する（ステップ 1506)。その後ステップ 1503に戻り、ビットオフセット jを 1 増加してループ 2を継続する。

[0106] ビットオフセット 0〜7の処理が全て終了した場合は、ステップ 1501に戻り、ブロック番号 iを 1増加してループ 1を継続する。最終ブロックまで処理が終了した場合に電子データ復元手段は処理を終了し、復元後電子データ検証手段の処理に進む。 [0107] 上記の例では、各々のデータブロックに対して最大 8ビット、好適にはバイト境界内に位置する連続する 8ビットからなる最大 1つのデータバイトを、書換え前電子データと同じ状態に復元することが出来る。

[0108] なお、前記ステップ 1506において、 2ビット以上の誤りがあった場合、もしくはバイト境界を跨って複数の誤りがあった場合は、復元失敗と判断できるため電子データ復元手段の動作を中止して良い。

[0109] 以上実施の形態 3によれば、ユーザ認証補助装置は外部の機器から生体認証ォブジェクトを受け取ることが可能となる。さらに、受け取った生体認証オブジェクトに何力、しらの情報が坦め込まれていた場合でも、埋め込み処理が誤り訂正符号が許す正当な範囲あれば、原本状態を復元し、正当性を検証することが可能となる効果が得られる。

[0110] (実施の形態 4)

図 20は、本発明の実施の形態 4におけるユーザ認証補助装置の構成図である。

[0111] 図 20において、図 3と同じ構成要素については同じ符号を用レ、、説明を省略する。

[0112] 図 20において、ユーザ認証補助装置 1801は、生体特徴データ取得手段 1802と、生体特徴分割手段 1803と、生体テンプレート分割手段 1804と、生体テンプレート及び生体特徴データ混合坦め込み手段 1805を備える。

[0113] さらに、生体認証オブジェクト保持手段 105が保持する生体認証オブジェクト 1807 は、内部に秘匿化された乱数 1808を有している。

[0114] 生体特徴データ取得手段 1802は、ユーザ認証補助装置 1801を使用しているュ一ザの生体特徴 (指紋、虹彩など）をデジタル化して取り込むセンサ機器である。もしくは、外部のセンサ機器から得た入力データを処理する情報処理機であっても良い。生体特徴分割手段 1803、生体テンプレート分割手段 1804、生体テンプレート及び生体特徴データ混合坦め込み手段 1805はいずれも情報処理機である。

[0115] 生体認証オブジェクト 1807は実施の形態 1に示したものと同様な電子データであるが、さらに内部に秘匿化された乱数 1808を保持している。秘匿化された乱数 1808 は生体認証オブジェクト自身が解読できるよう喑号ィ匕されている。また、生体テンプレート及び生体特徴データ混合埋め込み手段が解読出来ても良い。 [0116] 秘匿化された乱数 1808は一回の認証毎に値が変化する。乱数の生成は生体認証ォブジェクト 1807自身が行つても良いし、ユーザ認証補助装置 1801が行つても良い。図 21は、生体テンプレート及び生体特徴データ混合埋め込み手段 1805の動作の例を示したフロー図である。

[0117] 前提としてまず、生体テンプレート分割手段 1804は、生体テンプレート 103を n個の断片 Tl〜Tnに分割し、生体特徴データ分割手段は生体特徴データ取得手段 18 02が得た生体特徴データを m個の断片 Xl〜Xmに分割する。生体テンプレート及び生体特徴データ混合坦め込み手段はまず、前記断片 Tl〜Tn、 X：!〜 Xmを取得する。もしくは、取得できる状態にする（ステップ 1901)。ここで、生体特徴データは、顔画像等の生体的特徴をそのまま電子データとしたものであるため、データのサイズが大きいとともにノイズが多いものである。

[0118] 次に、生体認証オブジェクト 1807から、秘匿化された乱数 1808を取得する。この乱数を rとする（ステップ 1902)。

[0119] 次に、ループ用変数 i及び jを 1にセットする（ステップ 1903)。

[0120] 次に、生体特徴データ断片 Ti〜Ti+rを結合し、その後に Xjを結合する（ステップ 1 904)。

[0121] 次に、ループ用変数 iに rを加算し、 jに 1を加算する (ステップ 1905)。

[0122] 次に、ループ用変数 jが nを超過したか否かを判定し (ステップ 1906)、達していれば結合されたデータを生体認証オブジェクト 1807に坦め込む（ステップ 1907)。達していなければステップ 1904に戻る。

[0123] なお、 jが nを超過した際、生体特徴データ断片の残り Xi〜Xmは、前記結合されたデータの末尾に結合してから生体認証オブジェクト 1807に埋め込んでも良いし、別のデータとして埋め込んでも良い。

[0124] また、 jが nを超過する前に mを超過した場合、即ち生体特徴データ断片の残りが無くなってしまつた場合は、残りの生体テンプレート断片 Tj〜Tnを前記結合されたデータの末尾に結合しても良いし、各生体テンプレート断片の間に任意のダミーデータを結合しても良い。

[0125] 以上実施の形態 4によれば、生体テンプレートと認証時の生体特徴データを混合させて生体認証オブジェクトに坦め込むことが可能となる。一般に生体テンプレートは長期間不変のデータであるが、毎回カメラ画像等から取得する変動データである認証時の生体特徴データと混合させることにより、生体テンプレートの解読をより困難にする効果が得られる。

[0126] (実施の形態 5)

図 22は、本発明の実施の形態 5におけるユーザ認証主装置の構成図である。

[0127] 図 22において、ユーザ認証主装置 2001は、生体認証オブジェクト受信手段 2002 と、誤り訂正符号保持手段 2002と、生体認証オブジェクト復元手段 2005と、生体ォブジェクト検証手段 2006と、生体認証オブジェクト実行手段 2007を備える。誤り訂正符号保持手段 2003は、誤り訂正符号 2004を保持する。

[0128] 生体認証オブジェクト受信手段 2002は、有線通信、無線通信など公知の通信技術を用いて外部の機器力電気信号を受け取り、デジタルデータに変換する通信機を含む情報処理機である。好適には生体認証オブジェクト受信手段 2002は、前述したユーザ認証補助装置と通信を行って、生体認証オブジェクトを受信する。そして、受信した生体認証オブジェクトに含まれる誤り訂正符号を誤り訂正符号保持手段 20 03へ出力するとともに、受信した生体認証オブジェクトを生体認証オブジェクト実行手段 2007へ出力する。

[0129] 誤り訂正符号保持手段 2003はメモリであり。誤り訂正符号 2004は電子データである。

[0130] 生体認証オブジェクト復元手段 2005、生体認証オブジェクト検証手段 2006、及び生体認証オブジェクト実行手段 2007はいずれも情報処理機である。

[0131] 図 23は、前記各手段が連携して動作する際の動作フロー図である。

[0132] 生体認証オブジェクト受信手段 2002が受信するデータの構造例は、図 14に示したものと同一で良い。さらに、生体認証オブジェクト受信手段 2002は受信した生体認証オブジェクトに含まれる誤り訂正符号を誤り訂正符号保持手段 2003に格納する (ステップ 2101)。

[0133] 誤り訂正符号 2004のデータ構造例は、図 14に示す ECC1202と同一で良レ、。 EC C1202はデータブロック 1201と結合されていても、分離されていても良い。 [0134] 生体認証オブジェクト復元手段 2005は、誤り訂正符号 2004を用いて生体認証ォブジエタトの原本を復元する（ステップ 2102)。生体認証オブジェクト復元手段の動作フローは図 17と同一で良レ、。具体的には、生体テンプレートが坦め込まれた生体認証オブジェクトは、生体テンプレートが坦め込まれることにより、原本とは異なる構造になるため、生体テンプレートが坦め込まれたデータブロック全体の署名は、原本の対応するデータブロック全体の署名とは異なるものになる。しかし、生体認証ォブジェタト復元手段 2005は、誤り訂正が可能な誤り訂正符号の許容範囲内であれば、誤り訂正符号を用いて誤り訂正を行うことにより原本を復元することができる。この際に、原本に坦め込まれていた生体テンプレートは、依然として分割されたままであり、ユーザ認証主装置 2001は、生体テンプレート分割規則及び生体テンプレート埋め込み規則を知らないので、分割された生体テンプレートを結合することはできない。従って、ユーザは、ユーザ認証主装置 2001に対して、自分の生体テンプレートを秘匿した状態にすることができる。

[0135] 次に、生体認証オブジェクト復元手段 2005は、復元に成功したか否か、即ち原本が改ざんされていないか否かを判断し (ステップ 2103)、成功した場合、即ち原本が改ざんされていない場合は生体認証オブジェクト検証手段 2006に処理を進め、失敗した場合、即ち原本が改ざんされてレ、る場合は生体認証オブジェクトを送信した相手機器 (好適な例ではユーザ認証補助装置）を使用しているユーザは不正である、と判断する（ステップ 2109)。

[0136] 生体認証オブジェクト検証手段 2006は、公知の技術である電子署名検証などの方法を用いて生体認証オブジェクトの正当性を検証する（ステップ 2104)。生体認証オブジェクトの原本を作成、発行、もしくは保証する信頼できる機関等が予め作成し配布する生体認証オブジェクト原本に対する電子署名を用いて、復元された生体認証オブジェクトの検証に成功した場合は、生体認証オブジェクトの正当性が確認されたことになる。続いて検証に成功したか否力、を判断し (ステップ 2105)、成功した場合は生体認証オブジェクト実行手段 2007に処理を進める。

[0137] 生体認証オブジェクト実行手段 2007は、復元前の生体認証オブジェクトを実行する（ステップ 2106)。より詳細には、例えば生体認証オブジェクトが図 5に示した構造を持つ場合、照合及び判定プログラムコード 302を呼び出す。また、例えば生体認証オブジェクトが図 7に示した構造を持つ場合は、インタフェースプログラムコード（B) 5 07を介して内部の照合及び判定プログラムコート 506を呼び出す。照合及び判定方法の例としては、生体テンプレートが持つベクトル情報と、認証時生体データから得られるべ外ル情報とを照らし合わせ、両者の内積値、距離値などを閾値と比較して判定結果を得れば良い。即ち、生体テンプレートと認証時生体データがある閾値を境として類似性が認められれば判定結果は「一致」であり、類似性が認められなければ「不一致」である。

[0138] 最後に、判定結果から認証成功もしくは失敗の判断を行い（ステップ 2107)、「一致」であればユーザは正当であると判断し (ステップ 2108)、「不一致」であればユーザは不正であると判断する（ステップ 2109)。

[0139] 以上実施の形態 5によれば、ユーザ認証主装置は照合の手順が正しいことを検証した上で、認証者自らの計算機を用いて認証を行うことにより、生体認証の効果を認証者が直接的に得ることが可能となる。さらに、認証者は生体テンプレートを直接参照する必要がなぐ個人情報管理に伴うコスト及びリスク増大を回避する効果が得られる。

[0140] (実施の形態 6)

図 24は、本発明の実施の形態 6におけるユーザ認証主装置の構成図である。

[0141] 図 24において、図 22と同じ構成要素については同じ符号を用レ、、説明を省略する

[0142] 図 24において、ユーザ認証主装置 2201は、使用者識別 DB (データベース)保持手段 2202と、使用者識別データ照合手段 2204を備える。使用者識別 DB保持手段 2202は使用者識別 DB2203を保持する。使用者識別 DB2203は、ユーザ認証主装置 2201に登録された正当なユーザの識別データを含むユーザ情報を管理するデータベースである。使用者識別 DB保持手段 2202はメモリ、もしくはメモリと情報処理機のセットであり、使用者識別データ照合手段 2204は情報処理機である。

[0143] 生体認証オブジェクト実行手段 2007の動作結果からユーザは正当であると判断した際、使用者識別データ照合手段 2204は、生体認証オブジェ外から、正当と判断されたユーザを一意に識別する識別データを抽出する。識別データの例としては、生体テンプレートが図 4に示すデータ構造を持つ場合には、 m情報 202を用いれば良い。好適には、生体認証オブジェクトが判定結果と併せて前記 ro情報を出力することが望ましい。また、特徴ベクトル 203もユーザを一意に識別し得るデータであるが、特徴ベクトル 203は保護すべき個人情報であるため識別データとしては使用されなレ、。

[0144] 使用者識別データ照合手段 2204は、前記識別データを用いて、使用者識別 DB 保持手段 2202に問い合わせを行レ、、使用者識別 DB2203から該当ユーザの情報を引き出す。ユーザの情報の例として、ファイルへのアクセス権に関連付けられたュ一ザ IDが挙げられる。

[0145] 前記引き出されたユーザ情報をもとに、ユーザ認証主装置 2201は正当と認められたユーザに然るべき機能や権限を供与する。

[0146] 以上実施の形態 6によれば、ユーザ認証主装置は正当と認められたユーザを然るべき識別データと結びつけることにより、ユーザに適切な機能や権限を容易に与えることが可能となる。

[0147] (実施の形態 7)

図 25は、本発明の実施の形態 7におけるユーザ認証主装置の構成図である。

[0148] 図 25において、図 22と同じ構成要素については同じ符号を用レ、、説明を省略する

[0149] 図 25において、ユーザ認証主装置 2301は、生体特徴データ取得手段 2302を備える。

[0150] 生体特徴データ取得手段 2302は、ユーザ認証主装置 2301を使用しているユーザの生体特徴 (指紋、虹彩など）をデジタル化して取り込むセンサ機器である。もしくは、外部のセンサ機器から得た入力データを処理する情報処理機であっても良い。

[0151] 生体認証オブジェクトの好適な例は図 7に示したものと同一である。生体特徴データ取得手段 2302は、生体認証オブジェクトのインタフェースプログラムコード（B) 50 7を介して内部の認証時生体データ格納プログラムコード 504を呼び出し、センサから取得した情報を復元前の認証時生体データ格納データ領域 505に格納する。然る後に、生体認証オブジェクト実行手段 2006の処理を行う。

[0152] 以上実施の形態 7によれば、ユーザ認証主装置は生体特徴データを自ら取得し、生体認証オブジェクトに与えることにより、生体テンプレートを取得することなく生体認証の特性をより直接的に得ることが可能となる。

[0153] (実施の形態 8)

図 26は、本発明の実施の形態 8におけるユーザ認証主装置の構成図である。

[0154] 図 26において、図 22と同じ構成要素については同じ符号を用レ、、説明を省略する

[0155] 図 26において、ユーザ認証主装置 2401は、チャレンジデータ坦め込み手段 240 2と、生体認証オブジェクト送信手段 2403と、生体認証オブジェクト実行手段 2404 を備える。

[0156] チャレンジデータ坦め込み手段 2402は情報処理機である。

[0157] 生体認証オブジェクト送信手段 2403は、公知の通信技術を用いてデジタル信号を外部の機器に送信する通信機を含む情報処理機である。

[0158] 生体認証オブジェクト実行手段 2404は情報処理機である。

[0159] 図 27は、チャレンジデータ書き込みに対応した生体認証オブジェクトの構造例を示した図である。

[0160] 図 27において、図 7と同じ構成要素については同じ符号を用レ、、説明を省略する。

[0161] 生体認証オブジェクトは、チヤレジデータ格納プログラムコード 2501と、レスポンスデータ生成プログラムコード 2502、チャレンジデータ格納データ領域 2503及びインタフエースプログラムコード（B) 2504を含む。

[0162] チャレンジデータ格納プログラムコード 2501は、ユーザ認証主装置 2401が任意に指定する値、もしくは乱数力成るチャレンジデータを格納する命令コード群である。チャレンジデータ格納データ領域 2503は生体認証オブジェクト内にあって、前記チャレンジデータを格納するためのデータ領域である。

[0163] レスポンスデータ生成プログラムコード 2502は、前記チャレンジデータをチャレンジデータ格納データ領域 2503から読み出し、所定の演算を行った結果を出力するプログラムコードである。所定の演算の例としては、チャレンジデータを秘密鍵で喑号ィ匕する演算が挙げられ、別の例としてはチャレンジデータそのものを結果とする例が挙げられる。前者の例では生体認証オブジェクトが正しい秘密鍵を持っていることを証明し、後者の例では生体認証オブジェクトの同一性が証明される。

[0164] インタフェースプログラムコード（B) 2504は、ユーザ認証主装置 2401に呼び出し口を提供する命令コード群である。

[0165] チャレンジデータ坦め込み手段 2402は、生体認証オブジェクトのインタフェースプログラムコード（B) 2504を介してチャレンジデータ格納プログラムコードを呼び出し、所望のチャレンジコードをチャレンジデータ格納データ領域 2503に書き込む。

[0166] 然る後に生体認証オブジェクト送信手段 2403は、生体認証オブジェクトを外部の機器に送信する。好適には、送信の相手先は前述したユーザ認証補助装置である。

[0167] ユーザ認証補助装置にて生体テンプレートが埋め込まれた生体情報オブジェクトを、再度ユーザ認証主装置 2401が受け取った後、ユーザ認証主装置 2401の生体認証オブジェクト実行手段 2404は、生体認証オブジェクトのインタフェースプログラムコード（B) 2504を介してレスポンスデータ生成プログラムコード 2502を呼び出し、チヤレンジとレスポンスの関係性を調べることにより、生体認証オブジェクトの同一性を確認することが出来る。

[0168] 図 26の認証主装置と連動して認証を行うユーザ認証補助装置は、上記実施の形態 3の図 15と同一構成であるので、詳細な説明は省略する。図 15の生体認証ォブジェタト受信手段 1302は、ユーザ認証主装置 2401の生体認証オブジェクト送信手段 2403が送信した、チャレンジデータが坦め込まれた生体認証オブジェクトを受信し、生体認証オブジェクト復元手段 1303は、受信した生体認証オブジェクトに坦め込まれているチャレンジデータを復号することにより生体認証オブジェクトの復元を試みる。

[0169] 以上実施の形態 8によれば、ユーザ認証主装置は生体認証オブジェクトに任意の符号を埋め込んだ状態にして、ユーザ認証補助装置に送信することが可能となる。これにより、ユーザ認証時補助装置から返送された生体認証オブジェクトの識別性を向上し、さらにその正当性をより確実に検証する事が可能となる。

[0170] (実施の形態 9) 図 28は、本発明の実施の形態 9における集積回路の構成図である。

[0171] 図 28において、 2601はユーザ認証補助装置を構成する集積回路である。前記集積回路は、内部に生体テンプレート保持部 2602と、生体テンプレート埋め込み部 26 04と、生体認証オブジェクト保持部 2605と、インタフェース部 2607とを備える。

[0172] 生体テンプレート保持部 2602と生体認証オブジェクト保持部 2605は EEPROM ( エレクトロニカリ .ィレーサブル*プログラマブル ·リード ·オンリ.メモリ：電気的消去及び書き込み可能な読み出し専用メモリ）などの不揮発性メモリで構成することが望ましレ、。

[0173] 生体テンプレート保持部 2602は生体テンプレート 2603を保持し、生体認証ォブジェクト保持部 2605は生体認証オブジェクト 2606を保持する。

[0174] 生体テンプレート埋め込み部 2604は定められた処理を行うロジックを構成する半導体であるか、もしくは CPU (セントラルプロセシングユニット：中央処理装置）と CPU 上で実行されるプログラムコードを格納した ROM (リード'オンリ 'メモリ'読み出し専用メモリ）などの不揮発性メモリで構成しても良い。

[0175] インタフェース部 2607は集積回路外部とのデータの送受を行う部分であり、信号処理を行う半導体と電気信号を伝える端子などで構成する。

[0176] 前記各部の役割は実施の形態 1の各構成要素と同様である。以下にその対応関係を示す。

[0177] 生体テンプレート保持部 2602は、生体テンプレート 102に対応する。

[0178] 生体テンプレート 2603は、生体テンプレート 103に対応する。

[0179] 生体テンプレート埋め込み部 2604は、生体テンプレート埋め込み手段 104に対応する。

[0180] 生体認証オブジェクト保持部 2605は、生体認証オブジェクト保持手段 105に対応する。

[0181] 生体認証オブジェクト 2606は、生体認証オブジェクト 106に対応する。

[0182] インタフェース部 2607は、生体認証オブジェクト 107に対応する。

[0183] 以上実施の形態 9によれば、実施の形態 1に示したユーザ認証補助装置と同等な効果を得られる集積回路を提供できる。 [0184] 本明糸田書は、 2005年 3月 3曰出願の特願 2005— 58567に基づく。この内容はすベてここに含めておく。

産業上の利用可能性

[0185] 本発明にかかる認証補助装置、認証主装置、集積回路及び認証方法は、生体特徴を用いたユーザ認証に関わる汎用性を有し、両装置を計算機ネットワーク上の複数地点で用いる電子決済、コンテンツ配布、アクセス制御システムの他、両装置を近接した状態を用いる ATM (自動取引機； Automatic Teller Machine) , 自動販売機、入退室管理装置、コンピュータやコンソールへのアクセス許可システム等に応用できる。

Claims

請求の範囲

[1] 生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持手段と、

前記生体テンプレート保持手段が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに埋め込む生体テンプレート坦め込み手段と、

前記生体テンプレートが坦め込まれた前記生体認証オブジェクトを送信する送信手段と、

を具備する認証補助装置。

[2] 前記生体テンプレート保持手段が保持する前記生体テンプレートを誤り訂正符号に基づいて分割する生体テンプレート分割手段を具備し、

前記生体テンプレート埋め込み手段は、前記生体テンプレート分割手段で分割した前記生体テンプレートを前記誤り訂正符号に基づいて前記生体認証オブジェクトに埋め込むことにより前記生体テンプレートを難読化し、

前記送信手段は、前記生体テンプレートが埋め込まれた前記誤り訂正符号を含む前記生体認証オブジェクトを送信する請求項 1記載の認証補助装置。

[3] 前記生体認証オブジェクトを受信する受信手段と、

受信した前記生体認証オブジェクトの原本を復元する生体認証オブジェクト復元手段と、

復元した前記原本の正当性を検証する生体認証オブジェクト検証手段とを具備し、前記生体テンプレート埋め込み手段は、前記復元が成功した場合で且つ前記検証が成功した場合に前記復元前の前記生体認証オブジェクトに前記生体テンプレートを埋め込む請求項 1記載の認証補助装置。

[4] 生体特徴データを取得する生体特徴データ取得手段と、

取得した前記生体特徴データを分割する生体特徴データ分割手段と、前記生体テンプレート保持手段が保持する前記生体テンプレートを誤り訂正符号に基づいて分割する生体テンプレート分割手段とを具備し、

前記生体テンプレート埋め込み手段は、分割した前記生体特徴データと分割した前記生体テンプレートとを前記生体認証オブジェクトが解読できる秘匿化された乱数で決定できる結合順序で各々結合することにより前記生体テンプレートを難読化する請求項 1記載の認証補助装置。

[5] 生体特徴を示す固有のデータから成る生体テンプレートが難読化された状態で埋め込まれた生体認証オブジェクトを受信する受信手段と、

前記受信手段で受信した前記生体認証オブジェクトに含まれる誤り訂正符号に基づいて、受信した前記生体認証オブジェクトから前記生体テンプレートを含まない生体認証オブジェクトを復元する生体認証オブジェクト復元手段と、

前記生体認証オブジェクト復元手段で復元した前記生体認証オブジェクトの正当性を検証する生体認証オブジェクト検証手段と、

前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行する生体認証オブジェクト実行手段と、

を具備する認証主装置。

[6] ユーザを識別するための使用者識別データを記憶する使用者識別データ保持手段と、

前記生体認証オブジェクト実行手段が前記実行によりユーザが正当であると判断した場合に前記生体認証オブジェクトに含まれる前記ユーザの識別データと前記使用者識別データ保持手段に記憶している前記使用者識別データとを照合する使用者識別データ照合手段と、

を具備する請求項 5記載の認証主装置。

[7] 生体特徴データを取得する生体特徴データ取得手段を具備し、

前記生体認証オブジェクト実行手段は、前記検証が成功した場合に、前記生体特徴データ取得手段で取得した前記生体特徴データと前記復元した前記生体認証ォブジエタトとの同一性を判定する請求項 5記載の認証主装置。

[8] 請求項 3記載の認証補助装置と通信する認証主装置であって、

前記認証主装置は、

前記生体テンプレートを含まない前記生体認証オブジェクトに前記生体認証ォブジェタト復元手段で前記生体認証オブジェクトの原本を復元するためのチャレンジデ一タを坦め込むチャレンジデータ埋め込み手段と、前記チャレンジデータ坦め込み手段で前記チャレンジデータが埋め込まれた前記生体認証オブジェクトを送信する生体認証オブジェクト送信手段とを具備する認証主装置。

[9] 生体特徴を示す固有のデータから成る生体テンプレートを保持する生体テンプレート保持回路と、

前記生体テンプレート保持回路が保持する前記生体テンプレートを難読化した状態で生体認証オブジェクトに埋め込む生体テンプレート坦め込み回路と、

前記生体テンプレートが坦め込まれた前記生体認証オブジェクトを外部へ送出するインタフェース回路と、

を具備する集積回路。

[10] 生体特徴を示す固有のデータから成る生体テンプレートを保持するステップと、保持する前記生体テンプレートを誤り訂正符号に基づいて分割するステップと、分割した前記生体テンプレートを誤り訂正符号に基づいて前記生体認証オブジェタトに坦め込むことにより前記生体テンプレートを難読化するステップと、

前記生体テンプレートが坦め込まれた前記誤り訂正符号を含む前記生体認証ォブジェ外を認証補助装置が送信するステップと、

前記認証補助装置が送信した前記生体認証オブジェクトを認証主装置が受信するステップと、

受信した前記生体認証オブジェクトに含まれる前記誤り訂正符号に基づレ、て、受信した前記生体認証オブジェクトから前記生体テンプレートを含まない生体認証ォブジェクトを復元するステップと、

復元した前記生体認証オブジェクトの正当性を検証するステップと、

前記検証が成功した場合に前記復元前の前記生体認証オブジェクトを実行するステツプと、

を具備する認証方法。