專利名稱:生物體認(rèn)證系統(tǒng)及其方法
技術(shù)領(lǐng)域:
本發(fā)明涉及使用個(gè)人生物體信息認(rèn)證本人的生物體認(rèn)證系統(tǒng)及其方法���。
背景技術(shù):
基于生物體信息進(jìn)行個(gè)人認(rèn)證的生物體認(rèn)證�����,與基于卡片和口令的認(rèn)證相比����,具 有所謂的不丟失、不忘記��、不被盜的優(yōu)點(diǎn)�,能夠?qū)崿F(xiàn)便利性和防冒充性高的個(gè)人認(rèn)證。一般的生物體認(rèn)證系統(tǒng)在初始的登記時(shí)取得用戶的生物體信息�����,從其生物體信息 中提取被叫做特征量的信息進(jìn)行登記����。將該登記信息稱作模板。認(rèn)證時(shí)����,重新從用戶取得 生物體信息然后提取特征量,與先前已登記的模板進(jìn)行比對(duì)來(lái)確認(rèn)是否是本人�����。在客戶機(jī)和服務(wù)器通過(guò)網(wǎng)絡(luò)進(jìn)行連接的系統(tǒng)中����,在服務(wù)器對(duì)處于客戶機(jī)一側(cè)的用 戶進(jìn)行生物體認(rèn)證的情況下,典型的做法是由服務(wù)器保持模板��。客戶機(jī)在認(rèn)證時(shí)取得用戶 的生物體信息�����,提取其特征量后向服務(wù)器發(fā)送�,服務(wù)器將接收的特征量與模板進(jìn)行比對(duì)來(lái) 確認(rèn)是否是本人����。但是,由于模板是能夠確定個(gè)人的信息�����,因此��,作為個(gè)人信息而需要嚴(yán)格的管理�����, 需要高的管理成本���。即使進(jìn)行了嚴(yán)密的管理���,從隱私的觀點(diǎn)來(lái)說(shuō)�����,很多人還是對(duì)登記模板感 到心理上的抗拒�����。此外��,由于一個(gè)人所具有的一個(gè)種類(lèi)的生物體信息的數(shù)量是有限的(例 如指紋僅限于10根手指)���,因此,無(wú)法像口令或加密密鑰那樣很容易地變更模板�。假設(shè)模板 泄露而產(chǎn)生偽造的危險(xiǎn)時(shí),存在導(dǎo)致無(wú)法使用該生物體認(rèn)證的問(wèn)題���。另外���,在其他系統(tǒng)中登 記有相同的生物體信息的情況下,進(jìn)一步威脅到其他系統(tǒng)��。因此���,提出了一種在利用特殊的加密來(lái)保護(hù)生物體信息的特征量的狀態(tài)下進(jìn)行登 記和比對(duì)的生物體認(rèn)證����。具體地說(shuō),登記時(shí)使用秘密的變更參數(shù)(相當(dāng)于加密密鑰)來(lái)變 換模板(登記用的特征量)(相當(dāng)于加密)��,作為變換模板登記在服務(wù)器的DB (數(shù)據(jù)庫(kù))中���, 并且將變換參數(shù)保存在令牌(IC卡等)中發(fā)行給用戶����。認(rèn)證時(shí)���,用戶將變換參數(shù)同生物體 信息一起向客戶機(jī)(認(rèn)證終端)輸入?�?蛻魴C(jī)從用戶的生物體信息中提取特征量����,使用從 卡片中讀入的變換參數(shù)來(lái)變換特征量,作為變換特征量向服務(wù)器中發(fā)送�。服務(wù)器將從客戶 機(jī)接收到的變換特征量與DB內(nèi)的變換模板進(jìn)行比對(duì),若充分接近就判定為OK (受理)����,否則 判定為NG(拒絕)����。再有��,也可以從用戶記憶的秘密信息(口令)等中生成變換參數(shù)�����。將這 樣的認(rèn)證方法叫做可撤銷(xiāo)生物體認(rèn)證�����。根據(jù)該方法��,通過(guò)用戶秘密地保持變換參數(shù)��,服務(wù)器在認(rèn)證時(shí)也無(wú)法知道原始的 特征量�,從而保護(hù)了用戶的隱私。此外����,即使在模板泄露了的情況下,通過(guò)變更變換參數(shù)后 再次制作模板并登記����,從而能夠保證安全性�。另外����,在其他系統(tǒng)中使用相同的生物體信息的 情況下,通過(guò)各自登記用不同的參數(shù)變換后的模板�,即使一個(gè)模板泄露了,也能夠防止其他 系統(tǒng)的安全性降低���。
可撤銷(xiāo)生物體認(rèn)證的具體實(shí)現(xiàn)方法依存于生物體信息的種類(lèi)或比對(duì)算法�����。例如, 在專利文獻(xiàn)1和專利文獻(xiàn)2中示出了可撤銷(xiāo)指紋認(rèn)證的實(shí)現(xiàn)方法�����。此外�,在非專利文獻(xiàn)1 和非專利文獻(xiàn)2中示出了可撤銷(xiāo)虹膜認(rèn)證的實(shí)現(xiàn)方法。在非專利文獻(xiàn)3中示出了一種能適 用于特征量是用圖像���、特別是亮度值(整數(shù))的二維陣列進(jìn)行表現(xiàn)的數(shù)據(jù)并且基于考慮了 2幅圖像的位置偏差的最大相關(guān)值來(lái)判定一致/不一致的生物體認(rèn)證技術(shù)的實(shí)現(xiàn)方法?��,F(xiàn)有技術(shù)文獻(xiàn)專利文獻(xiàn)專利文獻(xiàn)1 美國(guó)專利No. 6836554專利文獻(xiàn)2 日本特開(kāi)2006-158851非專利文獻(xiàn)非專利文獻(xiàn) 1 :M. Braithwaite, U. Cahn von Seelen, J. Cambier, J. Daugman, R.Glass, R.Moore, and I.Scott.Application-specific biometrictemplates. In AutoID02, pp.167-171,2002. (Iridian)非專利文獻(xiàn)2 太田陽(yáng)基�����,清本晉作����,田中俊昭.虹彩二- K f秘匿t石虹彩認(rèn)証 方式乃提案·情報(bào)処理學(xué)會(huì)論文誌Vol. 45���,No. 8���,pp. 1845-1855,2004.非專利文獻(xiàn)3:比良田真史(等)����、「畫(huà)像7 7手> 7 (二基3 <生體認(rèn)証(二 適用可能& # ~ ,^才 > 卜〗J夕7 O提案」��、電子情報(bào)通信學(xué)會(huì)技術(shù)報(bào)告 2006-07-ISEC-SITE-IPSJ-CSEC
發(fā)明內(nèi)容
發(fā)明所要解決的問(wèn)題在上述的可撤銷(xiāo)生物體認(rèn)證中��,用戶必須要安全地管理變換參數(shù)�����。因此,用戶必須 要攜帶用于保存變換參數(shù)的令牌(IC卡等)���,或者記憶用于生成變換參數(shù)的秘密信息(口令 等)����。從而損害了所謂的不丟失�、不忘記的生物體認(rèn)證本來(lái)所具有的便利性。也可以在客戶機(jī)(認(rèn)證終端)中保管變換參數(shù)����,但是一般客戶機(jī)難以利用運(yùn)行管 理來(lái)?yè)?dān)保安全性。因此����,為了防止泄露而需要有使其具有防篡改性的追加成本。此外�����,在銀 行ATM或公用電話亭終端等不特定多數(shù)的用戶共用多個(gè)終端的情況下�,必須要在各客戶機(jī) 內(nèi)管理全部用戶的變換參數(shù)����,在安全性或運(yùn)行成本方面不現(xiàn)實(shí)。本發(fā)明的目的在于實(shí)現(xiàn)一種既確保安全性又不需要用戶攜帶持有物或記憶秘密 信息的便利性高的可撤銷(xiāo)生物體認(rèn)證系統(tǒng)。用于解決問(wèn)題的手段本發(fā)明的生物體認(rèn)證系統(tǒng)及其生物體認(rèn)證方法為了解決以上問(wèn)題而具有如下的結(jié)構(gòu)���。是一種具有經(jīng)由網(wǎng)絡(luò)進(jìn)行連接的客戶機(jī)��、第一服務(wù)器(參數(shù)服務(wù)器)和第二服務(wù) 器(認(rèn)證服務(wù)器)的生物體認(rèn)證系統(tǒng)和生物體認(rèn)證方法�?��?蛻魴C(jī)具有輸入裝置�,輸入預(yù)先 賦予給用戶的ID ��;第一傳感器��,取得用戶的生物體信息��;第一特征量提取部�,從由傳感器取 得的生物體信息中提取特征量;以及特征量變換部�,使用一次(one time)參數(shù)對(duì)特征量進(jìn) 行變換,制作變換特征量�����。第一服務(wù)器具有參數(shù)DB (數(shù)據(jù)庫(kù))��,將參數(shù)和ID相對(duì)應(yīng)地保管; 以及數(shù)據(jù)生成部��,使用與從客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的參數(shù)生成數(shù)據(jù)���。第二服務(wù)器具有模板DB�����,將利用參數(shù)變換了用戶的生物體信息的特征量后的模板與ID相對(duì)應(yīng)地保管����;模板變 換部�����,變換與從第一服務(wù)器送來(lái)的ID相對(duì)應(yīng)的模板����,來(lái)制作一次模板;以及比對(duì)判定部���,將 從客戶機(jī)送來(lái)的變換特征量和從第一服務(wù)器送來(lái)的數(shù)據(jù)中的一方與一次模板進(jìn)行比對(duì),來(lái)
判定一致/不一致�����。本發(fā)明的其他方式在于,第一服務(wù)器還具有隨機(jī)地生成追加參數(shù)的參數(shù)生成部����, 數(shù)據(jù)生成部使用與從客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的參數(shù)和追加參數(shù)制作一次參數(shù)作為數(shù)據(jù), 第二服務(wù)器的模板變換部使用從第一服務(wù)器送來(lái)的追加參數(shù)���,變換與從第一服務(wù)器送來(lái)的 ID相對(duì)應(yīng)的模板����,制作一次模板�,比對(duì)判定部將從客戶機(jī)送來(lái)的變換特征量與一次模板進(jìn) 行比對(duì),來(lái)判定一致/不一致�。本發(fā)明的另外的其他方式在于,客戶機(jī)還具有隨機(jī)地生成在特征量的變換中使用 的一次參數(shù)的參數(shù)生成部��,第一服務(wù)器的數(shù)據(jù)生成部使用參數(shù)�����,將從客戶機(jī)送來(lái)的變換特 征量再次變換成作為數(shù)據(jù)的再次變換特征量�����,第二服務(wù)器的模板變換部使用從客戶機(jī)送來(lái) 的一次參數(shù),變換與從客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的模板�,制作一次模板,比對(duì)判定部將從第 一服務(wù)器送來(lái)的作為數(shù)據(jù)的再次變換特征量與一次模板進(jìn)行比對(duì)��,來(lái)判定一致/不一致��。本發(fā)明的另外的其他方式在于����,客戶機(jī)還具有隨機(jī)地生成在特征量的變換中使用 的一次參數(shù)的參數(shù)生成部,第一服務(wù)器的數(shù)據(jù)生成部根據(jù)與從客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的 參數(shù)和從客戶機(jī)送來(lái)的一次參數(shù)��,計(jì)算參數(shù)差分作為數(shù)據(jù)���,第二服務(wù)器的模板變換部使用 從第一服務(wù)器經(jīng)由網(wǎng)絡(luò)送來(lái)的作為數(shù)據(jù)的參數(shù)差分�,變換與從第一服務(wù)器送來(lái)的ID相對(duì) 應(yīng)的模板�����,制作一次模板�,比對(duì)判定部將從客戶機(jī)送來(lái)的變換特征量與一次模板進(jìn)行比對(duì), 來(lái)判定一致/不一致����。本發(fā)明的另外的其他方式在于����,第一服務(wù)器還具有參數(shù)生成部�����,隨機(jī)地生成追加 參數(shù)�����,使用參數(shù)DB中保管的參數(shù)和追加參數(shù)生成新參數(shù)���;以及DB控制部,利用新參數(shù)��,更新 參數(shù)DB中保管的參數(shù)��,第二服務(wù)器還具有模板變換部��,使用從第一服務(wù)器送來(lái)的追加參 數(shù)�,對(duì)模板DB中保管的模板進(jìn)行變換,制作新模板��;以及DB控制部��,利用新模板,更新模板 DB中保管的模板��。本發(fā)明的另外的其他方式在于�����,生物體認(rèn)證系統(tǒng)經(jīng)由網(wǎng)絡(luò)還連接登記終端�����,登記 終端具有ID發(fā)行部��,將未使用的ID作為用戶的ID進(jìn)行發(fā)行�����;第二傳感器�����,取得用戶的生 物體信息����;第二特征量提取部,從由第二傳感器取得的生物體信息中提取特征量�;參數(shù)生 成部�����,隨機(jī)地生成參數(shù)���;以及模板制作部���,使用生成的參數(shù)對(duì)特征量進(jìn)行變換����,來(lái)制作模板�����, 第一服務(wù)器還具有將參數(shù)與從登記終端送來(lái)的ID相對(duì)應(yīng)地登記在參數(shù)DB中的DB控制部���, 第二服務(wù)器還具有將模板與從登記終端送來(lái)的ID相對(duì)應(yīng)地登記在模板DB中的DB控制部�。發(fā)明效果根據(jù)本發(fā)明����,在可撤銷(xiāo)生物體認(rèn)證系統(tǒng)中不需要在用戶一側(cè)管理變換參數(shù)。因此�����, 用戶不需要攜帶令牌或者記憶口令等秘密信息,能夠?qū)崿F(xiàn)便利性高的可撤銷(xiāo)生物體認(rèn)證���。
圖1是實(shí)施例1的生物體認(rèn)證系統(tǒng)的系統(tǒng)結(jié)構(gòu)圖�����。圖2是示出實(shí)施例1中的登記處理的流程圖�。圖3是示出實(shí)施例1中的認(rèn)證處理的流程圖��。
圖4是示出實(shí)施例1中的認(rèn)證事后處理的流程圖�。圖5是示出實(shí)施例1中的DB更新處理的流程圖。圖6是實(shí)施例2的生物體認(rèn)證系統(tǒng)的系統(tǒng)結(jié)構(gòu)圖���。圖7是示出實(shí)施例2中的認(rèn)證處理的流程圖�����。圖8是實(shí)施例3的生物體認(rèn)證系統(tǒng)的系統(tǒng)結(jié)構(gòu)圖����。圖9是示出實(shí)施例3中的認(rèn)證處理的流程圖。圖10是示出各實(shí)施例中的硬件結(jié)構(gòu)的框圖��。
具體實(shí)施例方式本實(shí)施方式為����,經(jīng)由網(wǎng)絡(luò)連接客戶機(jī)、作為第一服務(wù)器的參數(shù)服務(wù)器以及作為第 二服務(wù)器的認(rèn)證服務(wù)器��?���?蛻魴C(jī)具有輸入裝置��,輸入預(yù)先賦予給用戶的ID ���;傳感器����,取得 用戶的生物體信息����;特征量提取部,從由傳感器取得的生物體信息中提取特征量�;以及特 征量變換部,使用一次參數(shù)對(duì)特征量進(jìn)行變換,來(lái)制作變換特征量����。參數(shù)服務(wù)器具有參數(shù)DB,將參數(shù)和ID相對(duì)應(yīng)地保管�;以及數(shù)據(jù)生成部,生成使用 了與從客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的參數(shù)的數(shù)據(jù)����。認(rèn)證服務(wù)器具有模板DB,將利用參數(shù)變換了用戶的生物體信息的特征量后的模 板與ID相對(duì)應(yīng)地保管�;模板變換部,變換與從參數(shù)服務(wù)器送來(lái)的ID相對(duì)應(yīng)的模板�����,來(lái)制作 一次模板��;以及比對(duì)判定部�,將從客戶機(jī)送來(lái)的變換特征量和從參數(shù)服務(wù)器送來(lái)的數(shù)據(jù)中 的一方與一次模板進(jìn)行比對(duì),來(lái)判定一致/不一致���。在本實(shí)施方式的生物體認(rèn)證系統(tǒng)中�,為了安全地管理相當(dāng)于加密密鑰的參數(shù)而設(shè) 置有參數(shù)服務(wù)器�����。在參數(shù)服務(wù)器中,為了安全地管理參數(shù)在使認(rèn)證時(shí)不從參數(shù)服務(wù)器向網(wǎng) 絡(luò)上發(fā)送參數(shù)本身��。因此���,在參數(shù)服務(wù)器中�����,使用參數(shù)生成數(shù)據(jù)�����,向網(wǎng)絡(luò)上發(fā)送該數(shù)據(jù)��。以下,以參數(shù)服務(wù)器使用參數(shù)生成的數(shù)據(jù)是客戶機(jī)在特征量的變換中使用的一次 參數(shù)的例子作為實(shí)施例1����,以該數(shù)據(jù)是進(jìn)一步使用參數(shù)對(duì)已在客戶機(jī)中變換了特征量形成 的變換特征量進(jìn)行再次變換而成的再次變換特征量的例子作為實(shí)施例2,以該數(shù)據(jù)是參數(shù) 與在客戶機(jī)中生成的一次參數(shù)的差分的例子作為實(shí)施例3進(jìn)行說(shuō)明����。實(shí)施例1以下,參照附圖,關(guān)于實(shí)施例1進(jìn)行說(shuō)明���。本實(shí)施例是服務(wù)器認(rèn)證客戶機(jī)的用戶的���、服務(wù)器認(rèn)證型的生物體認(rèn)證系統(tǒng)。本實(shí) 施例能夠適用于例如對(duì)企業(yè)內(nèi)信息系統(tǒng)的存取控制以及網(wǎng)上銀行業(yè)務(wù)等中的基于Web的 用戶認(rèn)證等�����。此外�,也能夠適用在提供模板的管理和認(rèn)證處理作為外包服務(wù)的生物體認(rèn)證 服務(wù)系統(tǒng)中。圖1示出本實(shí)施例中的生物體認(rèn)證系統(tǒng)的系統(tǒng)結(jié)構(gòu)��。本系統(tǒng)包括在用戶的生物體信息登記時(shí)取得生物體信息并制作模板的登記終端 100����、認(rèn)證時(shí)用戶所利用的客戶機(jī)110、進(jìn)行模板的保管和比對(duì)的認(rèn)證服務(wù)器120�����、在可撤銷(xiāo) 生物體認(rèn)證中管理用于變換生物體信息(相當(dāng)于加密)的參數(shù)(相當(dāng)于加密密鑰)的參數(shù) 服務(wù)器130����、以及連接它們的網(wǎng)絡(luò)140����。登記終端100包括與取得指紋或靜脈等生物體信息的傳感器101連接并從取得的 登記用戶的生物體信息中提取特征量的特征量提取部102�����、生成用于變換特征量的參數(shù)的參數(shù)生成部103�����、使用上述參數(shù)變換上述特征量并制作登記用變換特征量(在背景技術(shù)中 叫做變換模板�����,以下叫做模板)的模板制作部104�����、以及發(fā)行用戶ID的ID發(fā)行部105���。客戶機(jī)110包括與傳感器111連接并受理用戶ID的輸入的ID輸入部����、特征量提 取部113和特征量變換部114��。認(rèn)證服務(wù)器120包括將每個(gè)用戶的用戶ID和模板相對(duì)應(yīng)地進(jìn)行管理的模板 DB121�、控制DB的檢索或數(shù)據(jù)的登記·更新等的DB控制部122�����、模板變換部123����、將變換特 征量與模板進(jìn)行匹配并計(jì)算出距離(或者類(lèi)似度)來(lái)判定一致(OK)/不一致(NG)的比對(duì) 判定部1 。參數(shù)服務(wù)器130包括將每個(gè)用戶的用戶ID與參數(shù)相對(duì)應(yīng)地進(jìn)行管理的參數(shù) DB13UDB控制部132���、參數(shù)生成部133和參數(shù)變換部134�����。再有���,在以下說(shuō)明的處理流程中,也可以使用SSL等對(duì)全部或者部分通信進(jìn)行加
滋
Γ t [ O例如�����,在某個(gè)企業(yè)中公司職員從公司外的PC向公司內(nèi)的信息系統(tǒng)進(jìn)行登陸時(shí)的 存取控制中使用生物體認(rèn)證時(shí)���,有時(shí)將模板管理和生物體認(rèn)證處理外包給公司外的生物體 認(rèn)證服務(wù)提供者(以下稱作生物體認(rèn)證SP)����。該情況下,客戶機(jī)110是公司職員所利用的公 司外的PC���,認(rèn)證服務(wù)器120由生物體認(rèn)證SP進(jìn)行運(yùn)行管理�����。登記終端100和參數(shù)服務(wù)器 130可以在企業(yè)一側(cè)進(jìn)行管理�����,也可以由生物體認(rèn)證SP進(jìn)行管理����。但是����,在生物體認(rèn)證SP 管理參數(shù)服務(wù)器130的情況下,期望將其管理者 管理場(chǎng)所與認(rèn)證服務(wù)器120的管理者 管 理場(chǎng)所分離���。其理由在于�����,一般在可撤銷(xiāo)生物體認(rèn)證方式中����,若參數(shù)和模板(用參數(shù)變換后 的生物體特征量)同時(shí)泄露的話���,原始的生物體特征量就會(huì)被復(fù)原���。在本實(shí)施例的生物體 認(rèn)證系統(tǒng)中,通過(guò)分散管理(秘密分散)認(rèn)證服務(wù)器120和參數(shù)服務(wù)器130來(lái)使原始的生 物體信息的泄露風(fēng)險(xiǎn)最小化��。圖10中示出本實(shí)施例中的登記終端100���、客戶機(jī)110�����、認(rèn)證服務(wù)器120�、參數(shù)服務(wù) 器130的硬件結(jié)構(gòu)����?����?梢匀鐖D所示地利用具有CPU1000���、存儲(chǔ)器1001、HDD1002�、輸入裝置 1003、輸出裝置1004和通信裝置1005的PC或服務(wù)器計(jì)算機(jī)來(lái)實(shí)現(xiàn)它們�����。再有�����,圖10所示 的硬件結(jié)構(gòu)在后述的其他實(shí)施例中也同樣��。在此���,關(guān)于本實(shí)施例中的特征量的變換函數(shù)F和參數(shù)P應(yīng)該滿足的數(shù)學(xué)條件進(jìn)行 說(shuō)明����。在此設(shè)特征量的空間為&c,參數(shù)的空間為Sp��。一表示變換����,變換函數(shù)F如下定義��。F =SxXSp ^ Sx條件相對(duì)于任意2個(gè)參數(shù)P��、Q e Sp�,存在某個(gè)參數(shù)R e Sp,對(duì)于任意的特征量 X e Sx��,以下等式成立����。F(F(X,P)����,Q) =F(X,R)S卩��,假設(shè)存在參數(shù)R����,使得用P�����、Q連續(xù)變換了 X后的特征量(左邊)等于僅用某個(gè) 參數(shù)R對(duì)X變換了一次后的特征量(右邊)����。規(guī)定將這樣的參數(shù)R表現(xiàn)為P+Q��。即�����,參數(shù)空 間Sp關(guān)于某個(gè)二項(xiàng)式運(yùn)算+是封閉的��。再有����,若使參數(shù)P、Q e Sp固定��,分別將f ( . ) = F ( · , P)g( · ) = F( · , Q)看作成為— Sx的函數(shù)�����,則P+Q就可以看作是與合成函數(shù)
f O g( · ) ^ f(g( ·))相對(duì)應(yīng)的參數(shù)。由于合成函數(shù)滿足結(jié)合律(f O g)〇 h = f 〇(g 〇 h)因此���,對(duì)于任意的參數(shù)P���、Q、R e Sp����,結(jié)合律(P+Q) +R = P+ (Q+R)成立�。這意味著參數(shù)空間Sp關(guān)于運(yùn)算+構(gòu)成半群。專利文獻(xiàn)1 2�、非專利文獻(xiàn)1 3中記載的可撤銷(xiāo)生物體認(rèn)證方式滿足該性質(zhì)。 例如�,在非專利文獻(xiàn)1的可撤銷(xiāo)虹膜認(rèn)證方式中,Sx, Sp都是η(例如2048)位空間�,用F (X,P) ^X⑴P (+)是異或邏輯進(jìn)行定義��。這時(shí)�����,由于F(F(X���,P)����,Q)= (X (+) P) (+) Q= X (+) (P (+) Q)因此,若定義為R = P+Q ξ ρ (+) Q則成為F(F(X����,P),Q) =F(X�,R),可知滿足上述條件���。下面���,使用圖2說(shuō)明本實(shí)施例中的登記處理流程。登記終端100通過(guò)傳感器101 取得登記用戶的生物體信息(指紋圖像或靜脈圖像等)(S200)�。特征量提取部102從取得 的生物體信息中提取特征量X(S201)。參數(shù)生成部103隨機(jī)地生成參數(shù)P e Sp 620 ��。模 板制作部104使用參數(shù)P����,對(duì)提取的特征量X進(jìn)行變換,制作模板T = F(X���,P) (S203)�����。ID發(fā)行部105決定一個(gè)還未使用的ID(例如號(hào)碼或字符串等)發(fā)行給登記用戶����, 并且,將決定的ID和制作的模板T建立關(guān)聯(lián)后發(fā)送給認(rèn)證服務(wù)器120��,此外����,將該ID和參 數(shù)P建立關(guān)聯(lián)后發(fā)送給參數(shù)服務(wù)器130(S204)����。ID是可以公開(kāi)的信息,不需要像密碼號(hào)那 樣地由用戶秘密地記憶���。也可以將用戶的姓名或郵箱地址��、公司職員號(hào)碼等作為ID��。認(rèn)證服務(wù)器120從登記終端100接收ID和模板T的組��,DB控制部122將其登記 到模板DB121中(S205)���。參數(shù)服務(wù)器130從登記終端100接收ID和參數(shù)P的組�,DB控制部132將其登記 到模板DB131中(S206)����。最后,登記終端100從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除上述特征量X和上述參數(shù) P(S207)。下面�,使用圖3說(shuō)明本實(shí)施例中的認(rèn)證處理流程(前半)?���?蛻魴C(jī)110的ID輸入 部112從用戶受理ID的輸入����,將受理到的ID發(fā)送給參數(shù)服務(wù)器130(S300)。參數(shù)服務(wù)器130的DB控制部132將從客戶機(jī)110接收到的ID作為關(guān)鍵字�����,從參 數(shù)DB131中檢索參數(shù)P(S301)����。參數(shù)生成部133隨機(jī)地生成追加參數(shù)ΔΡ1 e Sp,同ID —起發(fā)送給認(rèn)證服務(wù)器 120(S302)�����。再有���,也可以取代發(fā)送給認(rèn)證服務(wù)器120,而使用認(rèn)證服務(wù)器120的公鑰�、或者 認(rèn)證服務(wù)器120和參數(shù)服務(wù)器130中預(yù)先共用的通用密鑰,對(duì)生成的追加參數(shù)ΔΡ1加密�,在下述步驟S303中與一次參數(shù)Pl共同發(fā)送給客戶機(jī)110。該情況下�����,在下述步驟S306中�, 客戶機(jī)110將加密后的追加參數(shù)ΔPl同ID和下述變換特征量U—起發(fā)送給認(rèn)證服務(wù)器 120,認(rèn)證服務(wù)器120使用私鑰或通用密鑰對(duì)上述追加參數(shù)ΔΡ1進(jìn)行解密�。這樣就不需要 參數(shù)服務(wù)器130和認(rèn)證服務(wù)器120直接通信�����,能夠削減通信次數(shù)����。參數(shù)變換部134使用參數(shù)P和追加參數(shù)Δ Pl制作一次參數(shù)Pl = P+Δ Pl�����,發(fā)送給 客戶機(jī) 110(S303)��?����?蛻魴C(jī)110通過(guò)傳感器111取得用戶的生物體信息(S304)����。特征量提取部113從 取得的生物體信息中提取特征量Y (S30O�����。特征量變換部114使用從參數(shù)服務(wù)器130接收 到的一次參數(shù)P1����,對(duì)特征量Y進(jìn)行變換,制作變換特征量U = F(Y���,Pl)后��,同ID —起發(fā)送 給認(rèn)證服務(wù)器120(S306)�。認(rèn)證服務(wù)器120將從參數(shù)服務(wù)器130接收到的ID作為關(guān)鍵字,從模板DB121中檢 索模板T(S307)���。模板變換部123使用從參數(shù)服務(wù)器130接收到的追加參數(shù)ΔΡ1��,對(duì)模板 T進(jìn)行變換��,制作一次模板Tl = F(T�,Δ PI) (S308)�����。比對(duì)判定部124在確認(rèn)了從客戶機(jī)110接收到的ID與從參數(shù)服務(wù)器130接收到 的ID之間的對(duì)應(yīng)關(guān)系之后�,對(duì)一次模板Tl和變換特征量U進(jìn)行匹配,計(jì)算出類(lèi)似度(或 者距離)�,判定一致(OK)/不一致(NG),將認(rèn)證結(jié)果(0K/NG)送回給客戶機(jī)100(S309)��。再 有��,在將本實(shí)施例適用于生物體認(rèn)證服務(wù)系統(tǒng)時(shí)����,向委托生物體認(rèn)證處理一側(cè)的系統(tǒng)���、例如 進(jìn)行企業(yè)內(nèi)信息系統(tǒng)的存取控制的服務(wù)器等發(fā)送認(rèn)證結(jié)果�。認(rèn)證服務(wù)器120從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除所制作的一次模板Tl和接收 到的變換特征量U (S310)。再有���,在認(rèn)證服務(wù)器120從參數(shù)服務(wù)器130接收到了 ID��、Δ Pl (步 驟30 之后經(jīng)過(guò)了一定時(shí)間也沒(méi)有來(lái)自客戶機(jī)110的通信(步驟S306)的情況下���,也可以 作為超時(shí)處理而刪除一次模板Tl?���?蛻魴C(jī)110從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除上述特征量Y和上述一次參數(shù) P1(S311)。參數(shù)服務(wù)器130從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除上述追加參數(shù)Δ Pl和一次參 數(shù) P1(S312)����。在上述步驟S309中能正確地進(jìn)行比對(duì)判定的理由如下。一次模板Tl根據(jù)其制作方法���,為T(mén)l = F(T, ΔΡ1)= F(F(X��,P)���,ΔΡ1)=F(X���,P+AP1)。另一方面�����,變換特征量U根據(jù)其制作方法�,為U = F(Y,P1)=F(Y����,P+AP1)。BP, TUU是用通用的參數(shù)P+Δ Pl分別對(duì)X����、Y進(jìn)行變換而形成的,因此����,通過(guò)匹配 Tl、U�����,能夠正確地進(jìn)行比對(duì)判定��。將上述步驟S300到S312定義為認(rèn)證對(duì)話���。也可以在認(rèn)證對(duì)話結(jié)束后��,進(jìn)一步進(jìn) 行圖4所示的認(rèn)證事后處理����。以下說(shuō)明該認(rèn)證事后處理流程����。參數(shù)服務(wù)器130的參數(shù)生成部133隨機(jī)地生成追加參數(shù)ΔΡ2 e Sp,向認(rèn)證服務(wù)器120發(fā)送(S400)。再有��,為了減少通信次數(shù)��,也可以同時(shí)進(jìn)行步驟400和步驟302���,同時(shí) 發(fā)送ID�、追加參數(shù)Δ Pl及追加參數(shù)ΔΡ2�����。參數(shù)變換部134使用參數(shù)P和追加參數(shù)八?2制作新參數(shù)�?2 = +八?2(3401)����。DB 控制部132將參數(shù)DB131中登記的與ID相對(duì)應(yīng)的參數(shù)P更新為新參數(shù)Ρ2 (S402)。參數(shù)服 務(wù)器130從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除參數(shù)P和追加參數(shù)Δ Ρ2 (S403)�。認(rèn)證服務(wù)器120的模板變換部123使用從參數(shù)服務(wù)器130接收到的追加參數(shù) Δ Ρ2,對(duì)模板T進(jìn)行變換��,制作新模板Τ2 = F(T����,ΔΡ2) (S404)。DB控制部122將模板DB121 中登記的與ID相對(duì)應(yīng)的模板T更新為新模板T2 (S405)��。認(rèn)證服務(wù)器120從存儲(chǔ)器或HDD 等存儲(chǔ)裝置中刪除模板T和追加參數(shù)AP2(S406)���?����!阍诳沙蜂N(xiāo)生物體認(rèn)證中�,若參數(shù)P和模板T = F(X���,P)兩者泄露���,則原始的特 征量X就會(huì)被復(fù)原或者推斷出來(lái)���。因此���,在以前提出的可撤銷(xiāo)生物體認(rèn)證系統(tǒng)中���,通過(guò)由認(rèn) 證服務(wù)器管理模板,由用戶或客戶機(jī)管理參數(shù)P來(lái)?yè)?dān)保安全性����。但是,由于是用戶管理參 數(shù)����,因此必須要攜帶令牌或者記憶秘密信息。此外���,在客戶機(jī)中進(jìn)行管理的模式無(wú)法適用于 客戶機(jī)不安全的情況和不知道不特定多數(shù)的用戶利用多臺(tái)客戶機(jī)中的哪一個(gè)的情況等��。對(duì) 此���,在本實(shí)施例的可撤銷(xiāo)生物體認(rèn)證系統(tǒng)中�����,通過(guò)由參數(shù)服務(wù)器管理用戶的參數(shù)�,而沒(méi)有用 戶或客戶機(jī)進(jìn)行管理的必要�。從而,用戶不必?cái)y帶或記憶任何東西就能夠接受認(rèn)證����,能夠?qū)?現(xiàn)便利性高的可撤銷(xiāo)生物體認(rèn)證。此外��,根據(jù)認(rèn)證處理流程��,參數(shù)服務(wù)器130針對(duì)來(lái)自客戶機(jī)的參數(shù)的詢問(wèn)����,公開(kāi)一 次參數(shù)Pl。該一次參數(shù)在認(rèn)證對(duì)話�、即步驟S300到步驟S312之間有效,在認(rèn)證對(duì)話結(jié)束 后�,或者經(jīng)過(guò)了一定時(shí)間成為超時(shí)時(shí)而被無(wú)效(即,對(duì)應(yīng)的一次模板Tl被從認(rèn)證服務(wù)器內(nèi) 刪除)���。從而�����,即使在客戶機(jī)脆弱或被非法利用的情況下�,也能夠防御冒充的威脅或復(fù)原或 推斷特征量X的威脅。特別是��,通過(guò)在每次認(rèn)證對(duì)話之后進(jìn)行認(rèn)證事后處理(步驟S400 S406)���,各DB 中管理的真正的參數(shù)P和真正的模板T就在每次認(rèn)證時(shí)被丟棄 更新。即使假設(shè)P���、T的一 方泄露而被攻擊者掌握��,只要在另一方泄露之前認(rèn)證對(duì)話被執(zhí)行��,先前泄露的信息就被無(wú) 效化���,能夠?qū)踩曰謴?fù)到泄露前的狀態(tài)。但是��,在有很少進(jìn)行認(rèn)證的用戶的情況下��,其用 戶的模板T和參數(shù)P長(zhǎng)期間不被更新,從而因?yàn)棣?���、P的泄露而特征量X的危機(jī)風(fēng)險(xiǎn)增高。 該問(wèn)題可以通過(guò)定期地執(zhí)行以下說(shuō)明的DB更新處理來(lái)應(yīng)對(duì)�����。以下��,使用圖5說(shuō)明本實(shí)施例中的DB更新流程�����。參數(shù)服務(wù)器130的DB控制部132讀入?yún)?shù)DB131中登記的全部ID����,參數(shù)生成部 133對(duì)各ID分別隨機(jī)地生成追加參數(shù)ΔΡ e Sp,制作使ID和追加參數(shù)ΔP相對(duì)應(yīng)的參數(shù) 列表500��,并發(fā)送給認(rèn)證服務(wù)器120 (S501)���。再有�,為了削減通信量,也可以取代發(fā)送參數(shù)列 表���,而發(fā)送固定長(zhǎng)度的隨機(jī)數(shù)種子�。該情況下����,在按照規(guī)定的基準(zhǔn)排列ID的基礎(chǔ)上,基于上 述隨機(jī)數(shù)種子生成偽隨機(jī)數(shù)系列�����,依次生成各ID的追加參數(shù)ΔΡ���,從而能夠在兩個(gè)服務(wù)器 間共用參數(shù)列表500。對(duì)于全部ID�����,DB控制部132從參數(shù)DB131讀入?yún)?shù)P�����,使用追加參數(shù)Δ P制作新 參數(shù)P����,=P+AP(S502)���。對(duì)于全部ID,DB控制部132取代參數(shù)P而將新參數(shù)P��,寫(xiě)入到參 數(shù)DB131中(進(jìn)行更新)(S50;3)��。參數(shù)服務(wù)器130將上述參數(shù)列表500從存儲(chǔ)器或HDD等 存儲(chǔ)裝置中刪除(S504)��。
認(rèn)證服務(wù)器120接收參數(shù)列表500�,對(duì)于全部ID,DB控制部122從模板DB121讀 入模板T���,使用追加參數(shù)Δ P變換上述模板T�����,制作新模板T’ =F(T�����,Δ P) (S505)��。對(duì)于全部ID�����,上述DB控制部122取代模板T而將上述新模板T’寫(xiě)入到模板DB121 中(進(jìn)行更新)(S506)����。認(rèn)證服務(wù)器120將上述參數(shù)列表500從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除(S507)。實(shí)施例2下面關(guān)于實(shí)施例2進(jìn)行說(shuō)明��。圖6中示出本實(shí)施例中的生物體認(rèn)證系統(tǒng)的系統(tǒng)結(jié) 構(gòu)��。本系統(tǒng)與實(shí)施例1同樣地包括登記終端100和與其連接的傳感器101���、客戶機(jī)600和與 其連接的傳感器111�、認(rèn)證服務(wù)器120�、參數(shù)服務(wù)器610、以及網(wǎng)絡(luò)140���。但是,與第一實(shí)施例 不同��,客戶機(jī)600具有參數(shù)生成部601�����,參數(shù)服務(wù)器610具有特征量變換部611。與實(shí)施例1同樣�,也可以在以下說(shuō)明的處理流程中,使用SSL等對(duì)全部或者部分通 信進(jìn)行加密���。在此�����,說(shuō)明本實(shí)施例中的特征量的變換函數(shù)F和參數(shù)P應(yīng)該滿足的數(shù)學(xué)條件����。在 本實(shí)施例中��,除了實(shí)施例1中的條件����、即(Sp,+)構(gòu)成半群之外�,還滿足以下條件。條件對(duì)于任意2個(gè)參數(shù)P��、Q e Sp和任意的特征量X e Sx,以下等式成立�。F (F (X,P)����,Q) = F (F (X�,Q)���,P)該條件也可以如下表現(xiàn)��。P+Q = Q+PS卩����,以半群(Sp����,+)可換為條件。例如實(shí)施例1中舉出的非專利文獻(xiàn)1的可撤銷(xiāo)虹膜認(rèn)證方式��,因?yàn)榛趩渭兊漠?或邏輯而滿足上述條件���,但非專利文獻(xiàn)2中記載的包括位置換的方式不滿足上述條件��。實(shí) 際上公知的是�����,位置換的全體所構(gòu)成的群(置換群)是非可換的�。本實(shí)施例的登記處理流程�、認(rèn)證事后處理流程、DB更新流程與實(shí)施例1相同�����。以下�����,使用圖7說(shuō)明本實(shí)施例中的認(rèn)證處理流程�����?�?蛻魴C(jī)600的ID輸入部112從 用戶受理ID的輸入(S701)���?����?蛻魴C(jī)600通過(guò)傳感器111取得用戶的生物體信息(S702)����。 特征量提取部113從上述生物體信息中提取特征量Y (S703)。參數(shù)生成部601隨機(jī)地生成一次參數(shù)Q e Sp�����,和受理的ID —起發(fā)送給認(rèn)證服務(wù)器 120(S704)�����。再有��,也可以取代將一次參數(shù)Q發(fā)送給認(rèn)證服務(wù)器120��,而使用認(rèn)證服務(wù)器120 的公鑰或者認(rèn)證服務(wù)器120與客戶機(jī)600之間預(yù)先共用的通用密鑰來(lái)對(duì)一次參數(shù)Q加密�����, 在下述步驟S705中與ID和變換特征量U —起向參數(shù)服務(wù)器610發(fā)送�。該情況下��,在下述 步驟S707中����,參數(shù)服務(wù)器610將加密后的一次參數(shù)Q同ID和變換特征量V —起向認(rèn)證服 務(wù)器120發(fā)送。認(rèn)證服務(wù)器120使用私鑰或通用密鑰來(lái)對(duì)一次參數(shù)Q進(jìn)行解密�。這樣就不 需要客戶機(jī)600與認(rèn)證服務(wù)器120進(jìn)行通信��,能夠削減通信次數(shù)。特征量變換部114使用一次參數(shù)Q��,對(duì)特征量Y進(jìn)行變換�,制作變換特征量U = F (Y,Q)�����,同ID 一起向參數(shù)服務(wù)器610發(fā)送(S705)�����。參數(shù)服務(wù)器610接收ID和變換特征量U����,DB控制部132將ID作為關(guān)鍵字,從參數(shù) DB131中檢索參數(shù)P(S706)���。特征量變換部611用參數(shù)P對(duì)變換特征量U進(jìn)行再次變換�,制 作再次變換特征量V = F(U����,P)�,同ID —起向認(rèn)證服務(wù)器120發(fā)送(S707)����。認(rèn)證服務(wù)器120的DB控制部122將從客戶機(jī)600接收到的ID作為關(guān)鍵字,從模板DB121中檢索模板T(S708)�����。模板變換部123使用從客戶機(jī)600接收到的參數(shù)Q��,對(duì)模板 T進(jìn)行變換�,制作一次模板Tl = F(T,Q) (S709)�����。比對(duì)判定部IM在確認(rèn)了從客戶機(jī)接收 到的ID與從參數(shù)服務(wù)器接收到的ID之間的對(duì)應(yīng)關(guān)系的基礎(chǔ)上�,對(duì)一次模板Tl和再次變換 特征量V進(jìn)行匹配,計(jì)算出類(lèi)似度(或者距離)����,判定一致(OK)/不一致(NG),將認(rèn)證結(jié)果 (0K/NG)送回給客戶機(jī)600 (S710)�。認(rèn)證服務(wù)器120從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除一次模板Tl和再次變換特征 量V(S711)。再有,在認(rèn)證服務(wù)器120從參數(shù)服務(wù)器130接收到了 ID����、ΔΡ1之后經(jīng)過(guò)了一 定時(shí)間也沒(méi)有來(lái)自客戶機(jī)600的通信(步驟S306)的情況下,也可以作為超時(shí)處理而刪除 一次模板Tl�。客戶機(jī)600從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除特征量Y��、一次參數(shù)Q及變換特征量 U(S712)�。參數(shù)服務(wù)器610從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除特征量U和特征量V(S713)���。在上述步驟S710中能正確地進(jìn)行比對(duì)判定的理由如下�。一次模板Tl根據(jù)其制作方法��,為T(mén)l = F(T, Q)=F(F(X����,P),Q)=F(X���,P+Q)�。另一方面���,變換特征量V根據(jù)其制作方法���,為U = F(U, P)=F(F(Y���,Q),P)= F (Y, Q+P) ο根據(jù)本實(shí)施例中的變換函數(shù)的數(shù)學(xué)條件�,由于P+Q = Q+P,因此����,通過(guò)匹配Tl、V���,就 能夠正確地進(jìn)行比對(duì)判定�����。本實(shí)施例與實(shí)施例1同樣地不需要在用戶或客戶機(jī)一側(cè)管理參數(shù)���,能夠?qū)崿F(xiàn)便利 性高的可撤銷(xiāo)生物體認(rèn)證。另一方面����,與實(shí)施例1不同��,客戶機(jī)600不能夠從參數(shù)服務(wù)器130接到任何信息���。 因此,即使在客戶機(jī)脆弱的情況下��,對(duì)于利用客戶機(jī)的攻擊���,也能夠?qū)崿F(xiàn)更高的安全性����。另外���,在實(shí)施例1中,認(rèn)證處理流程中的全體的通信次數(shù)是5次(若對(duì)追加參數(shù) Δ Pl加密后經(jīng)由客戶機(jī)110發(fā)送給認(rèn)證服務(wù)器120�,則是4次),對(duì)此����,本實(shí)施例中的通信次 數(shù)是4次(若對(duì)參數(shù)Q加密后經(jīng)由參數(shù)服務(wù)器610發(fā)送給認(rèn)證服務(wù)器120,則是3次)�,第 二實(shí)施例具有通信次數(shù)少的優(yōu)點(diǎn)。實(shí)施例3下面關(guān)于實(shí)施例3進(jìn)行說(shuō)明�。圖8中示出本實(shí)施例中的生物體認(rèn)證系統(tǒng)的系統(tǒng)結(jié) 構(gòu)。本系統(tǒng)與實(shí)施例2同樣地包括登記終端100和與其連接的傳感器101、客戶機(jī)600和與 其連接的傳感器111�、認(rèn)證服務(wù)器120、參數(shù)服務(wù)器800����、以及網(wǎng)絡(luò)140。但是��,與實(shí)施例2不 同�����,參數(shù)服務(wù)器800不具有特征量變換部611��,改為具有參數(shù)差分計(jì)算部801�����。與實(shí)施例1�、2同樣,也可以在以下說(shuō)明的處理流程中��,使用SSL等對(duì)全部或者部分 通信進(jìn)行加密���。在此����,關(guān)于本實(shí)施例中的特征量的變換函數(shù)F和參數(shù)P應(yīng)該滿足的數(shù)學(xué)條件進(jìn)行說(shuō)明。在本實(shí)施例中����,除了實(shí)施例1中的條件之后,還滿足以下條件��。條件對(duì)于任意的參數(shù)P e Sp����,存在參數(shù)-P e Sp,使以下等式對(duì)于任意的特征量 X e Sx成立���。F(F(X, P), -P) =X這意味著對(duì)于用P決定的特征量變換函數(shù),存在與其逆函數(shù)相對(duì)應(yīng)的參數(shù)-P�。這 時(shí),若定義為O = P+ (-P)則0 e Sp成為與恒等映射相對(duì)應(yīng)的參數(shù)���。這時(shí)容易確認(rèn)�,對(duì)于任意的P e Sp,0+P = P+0 = P成立�。S卩,上述條件與在(Sp����,+)中存在零元0并且對(duì)于任意的P e Sp存在逆 元-P e Sp的情況等價(jià)���,換言之,條件是(Sp����,+)構(gòu)成群。例如����,實(shí)施例1中舉出的非專利文獻(xiàn)1中記載的基于異或邏輯的方式和非專利文 獻(xiàn)2中記載的基于位置換的方式滿足上述條件。但是�,例如專利文獻(xiàn)1中記載的、基于塊加 擾(block scramble)的可撤銷(xiāo)指紋認(rèn)證方式是單向性函數(shù)���,由于不存在逆函數(shù)而不滿足上 述條件�。以下�����,使用圖9說(shuō)明本實(shí)施例中的認(rèn)證處理流程�����。客戶機(jī)600的ID輸入部112從 用戶受理ID的輸入(S901)�����?����?蛻魴C(jī)600通過(guò)傳感器111取得用戶的生物體信息(S902)�。 特征量提取部113從上述生物體信息中提取特征量Y (S903)。參數(shù)生成部601隨機(jī)地生成一次參數(shù)Q e Sp�,和受理的ID —起發(fā)送給參數(shù)服務(wù)器 800(S904)。如后所述���,ID和一次參數(shù)Q也可以在步驟S905中發(fā)送給認(rèn)證服務(wù)器120�。特征量變換部114使用一次參數(shù)Q�����,對(duì)特征量Y進(jìn)行變換����,制作變換特征量U = F(Y����,Q)����,同ID—起向認(rèn)證服務(wù)器120發(fā)送(S9(^)�。再有,也可以取代將變換信息U發(fā)送給 認(rèn)證服務(wù)器120�,而使用認(rèn)證服務(wù)器120的公鑰或者認(rèn)證服務(wù)器120與客戶機(jī)600間預(yù)先共 用的通用密鑰,對(duì)變換信息U加密�,同ID和一次參數(shù)Q—起向參數(shù)服務(wù)器800發(fā)送。該情 況下�,在下述步驟S907中,參數(shù)服務(wù)器800將加密后的變換特征量U同ID和參數(shù)差分Δ P 一起向認(rèn)證服務(wù)器120發(fā)送����。認(rèn)證服務(wù)器120使用私鑰或通用密鑰來(lái)解密變換特征量U。 這樣就不需要客戶機(jī)600與認(rèn)證服務(wù)器120進(jìn)行通信�,能夠削減通信次數(shù)。參數(shù)服務(wù)器800接收ID和一次參數(shù)Q�,DB控制部132將ID作為關(guān)鍵字,從參數(shù) DB131中檢索參數(shù)P(S906)�����。參數(shù)差分計(jì)算部801根據(jù)上述參數(shù)P和上述一次參數(shù)Q制作 參數(shù)差分ΔΡ = (-P)+Q,同ID —起發(fā)送給認(rèn)證服務(wù)器120(S907)。認(rèn)證服務(wù)器120的DB控制部122將從客戶機(jī)600接收到的ID作為關(guān)鍵字�,從模 板DB121中檢索模板T(S908)。模板變換部123使用從參數(shù)服務(wù)器800接收到的參數(shù)差分 Δ P�����,對(duì)模板T進(jìn)行變換����,制作一次模板Tl =F (Τ,Δ P) (S909)��。比對(duì)判定部1 在確認(rèn)了從客戶機(jī)600接收到的ID與從參數(shù)服務(wù)器800接收到的 ID之間的對(duì)應(yīng)關(guān)系的基礎(chǔ)上�,對(duì)一次模板Tl和變換特征量U進(jìn)行匹配,計(jì)算出類(lèi)似度(或 者距離)�����,判定一致(OK)/不一致(NG)�,將認(rèn)證結(jié)果(0K/NG)送回給客戶機(jī)600(S910)。認(rèn)證服務(wù)器120從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除一次模板Tl和變換特征量 U(SQll)0再有�,在認(rèn)證服務(wù)器120從參數(shù)服務(wù)器130接收到了 ID、ΔΡ之后經(jīng)過(guò)了一定時(shí) 間也沒(méi)有來(lái)自客戶機(jī)600的通信(步驟S905)的情況下����,也可以作為超時(shí)處理而刪除一次模板Tl��。客戶機(jī)600從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除特征量Y�、上述一次參數(shù)Q及變換特 征量U(S9U)。參數(shù)服務(wù)器800從存儲(chǔ)器或HDD等存儲(chǔ)裝置中刪除一次參數(shù)Q和參數(shù)差分 AP(S913)�。在上述步驟S910中能正確地進(jìn)行比對(duì)判定的理由如下。一次模板Tl根據(jù)其制作方法�,為T(mén)l = F(T, Δ P)= F(F(X,P)�����,(_P)+Q)= F(Χ, P+((-P)+Q))= F(X, (P+(-P))+Q)=F(X����,0+Q)=F(X,Q)����。另一方面,變換特征量U根據(jù)其制作方法����,為U = F(Y,Q)�����。因此,通過(guò)匹配Tl���、U���,能夠正確地進(jìn)行比對(duì)判定。本實(shí)施例與實(shí)施例1���、2同樣地不需要在用戶或客戶機(jī)一側(cè)管理參數(shù)�����,能夠?qū)崿F(xiàn)便 利性高的可撤銷(xiāo)生物體認(rèn)證��。此外��,與實(shí)施例2同樣地�,客戶機(jī)600不能夠從參數(shù)服務(wù)器130接到任何信息�����。因 此�����,即使在客戶機(jī)脆弱的情況下,對(duì)于利用客戶機(jī)的攻擊�����,也能夠?qū)崿F(xiàn)更高的安全性�����。另外���,與實(shí)施例2同樣地,認(rèn)證處理流程中的全體的通信次數(shù)是4次(若對(duì)變換特 征量U加密后經(jīng)由參數(shù)服務(wù)器800發(fā)送給認(rèn)證服務(wù)器120��,則是3次)����,具有與實(shí)施例1相 比通信次數(shù)少的優(yōu)點(diǎn)。此外����,在實(shí)施例2中必須要參數(shù)服務(wù)器610接收變換特征量U = F(Y,Q)�����。雖然無(wú) 法從U復(fù)原Y,但是使以特征量Y為基礎(chǔ)所制作的信息U泄露了的情況下�,有可能要擔(dān)負(fù)某 些責(zé)任。因此�,根據(jù)參數(shù)服務(wù)器610的安全性策略,認(rèn)為不能夠適用實(shí)施例2�����。對(duì)此���,在實(shí)施例3中��,參數(shù)服務(wù)器800不需要知道以特征量X或Y為基礎(chǔ)所制作的 信息��,不產(chǎn)生上述問(wèn)題�。以上��,如使用各實(shí)施例所說(shuō)明地�����,根據(jù)本實(shí)施方式��,在變換生物體信息的特征量且 相對(duì)服務(wù)器隱匿地進(jìn)行比對(duì)的可撤銷(xiāo)生物體認(rèn)證中,在參數(shù)服務(wù)器中管理用于變換和隱秘 生物體信息的參數(shù)���,用戶不需要進(jìn)行管理�,能夠?qū)崿F(xiàn)便利性和安全性高的可撤銷(xiāo)生物體認(rèn) 證��。此外���,利用參數(shù)服務(wù)器的參數(shù)的管理中,在認(rèn)證時(shí)不將參數(shù)本身發(fā)送到網(wǎng)絡(luò)上���,因此能 夠防止參數(shù)泄露到網(wǎng)絡(luò)上����。符號(hào)說(shuō)明100 登記終端�����、101 傳感器����、102特征量提取部、103參數(shù)生成部����、104 模板制作 部���、105 =ID發(fā)行部、110 客戶機(jī)�����、111 傳感器���、112 :ID輸入部��、113 特征量提取部���、114 特 征量變換部、120 認(rèn)證服務(wù)器����、121 模板DB、122 :DB控制部���、123 模板變換部����、1 比對(duì)判 定部、130 參數(shù)服務(wù)器����、131 參數(shù)DB、132 :DB控制部�����、133 參數(shù)生成部���、134 參數(shù)變換部���、 140 網(wǎng)絡(luò)��、600 客戶機(jī)�����、601 參數(shù)生成部��、610 參數(shù)服務(wù)器�����、611 特征量變換部、800 參數(shù) 服務(wù)器�����、801 參數(shù)差分計(jì)算部���、1000 :CPUU001 存儲(chǔ)器��、1002 :HDD�����、1003 輸入裝置����、1004 輸出裝置���、1005 通信裝置���。
權(quán)利要求
1.一種生物體認(rèn)證系統(tǒng),其特征在于���,設(shè)置有經(jīng)由網(wǎng)絡(luò)連接的客戶機(jī)����、第一服務(wù)器和第 二服務(wù)器,上述客戶機(jī)具有輸入裝置����,輸入預(yù)先賦予給用戶的ID ;第一傳感器����,取得上述用戶的 生物體信息;第一特征量提取部�,從由上述傳感器取得的生物體信息中提取特征量;以及 特征量變換部���,使用一次參數(shù)對(duì)上述特征量進(jìn)行變換���,來(lái)制作變換特征量�;上述第一服務(wù)器具有參數(shù)DB,將參數(shù)和上述ID相對(duì)應(yīng)地保管�;以及數(shù)據(jù)生成部,使用 與從上述客戶機(jī)經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述ID相對(duì)應(yīng)的上述參數(shù)生成數(shù)據(jù)�����;上述第二服務(wù)器具有模板DB,將利用上述參數(shù)變換了上述用戶的生物體信息的特征 量而形成的模板與上述ID相對(duì)應(yīng)地保管���;模板變換部�����,變換與從上述第一服務(wù)器經(jīng)由上述 網(wǎng)絡(luò)送來(lái)的ID相對(duì)應(yīng)的上述模板�,來(lái)制作一次模板����;以及比對(duì)判定部,將從上述客戶機(jī)經(jīng) 由上述網(wǎng)絡(luò)送來(lái)的上述變換特征量和從上述第一服務(wù)器送來(lái)的上述數(shù)據(jù)中的一方與上述 一次模板進(jìn)行比對(duì)�,來(lái)判定一致/不一致。
2.根據(jù)權(quán)利要求1所述的生物體認(rèn)證系統(tǒng)����,其特征在于,上述第一服務(wù)器還具有隨機(jī)地生成追加參數(shù)的參數(shù)生成部���,上述數(shù)據(jù)生成部使用與從 上述客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的上述參數(shù)和上述追加參數(shù)�,制作上述一次參數(shù)作為上述數(shù) 據(jù)����,上述第二服務(wù)器的上述模板變換部使用從上述第一服務(wù)器送來(lái)的上述追加參數(shù)���,變換 與從上述第一服務(wù)器送來(lái)的ID相對(duì)應(yīng)的上述模板,來(lái)制作上述一次模板�,上述比對(duì)判定部 將從上述客戶機(jī)送來(lái)的上述變換特征量與上述一次模板進(jìn)行比對(duì),來(lái)判定一致/不一致�。
3.根據(jù)權(quán)利要求1所述的生物體認(rèn)證系統(tǒng),其特征在于��,上述客戶機(jī)還具有隨機(jī)地生成在上述特征量的變換中使用的上述一次參數(shù)的參數(shù)生 成部����,上述第一服務(wù)器的上述數(shù)據(jù)生成部使用上述參數(shù),將從上述客戶機(jī)經(jīng)由上述網(wǎng)絡(luò)送來(lái) 的上述變換特征量再次變換成作為上述數(shù)據(jù)的再次變換特征量���,上述第二服務(wù)器的上述模板變換部使用從上述客戶機(jī)經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述一次 參數(shù)���,變換與從上述客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的上述模板,來(lái)制作上述一次模板�����,上述比對(duì) 判定部將從上述第一服務(wù)器送來(lái)的作為上述數(shù)據(jù)的上述再次變換特征量與上述一次模板 進(jìn)行比對(duì)����,來(lái)判定一致/不一致。
4.根據(jù)權(quán)利要求1所述的生物體認(rèn)證系統(tǒng)���,其特征在于��,上述客戶機(jī)還具有隨機(jī)地生成在上述特征量的變換中使用的上述一次參數(shù)的參數(shù)生 成部��,上述第一服務(wù)器的上述數(shù)據(jù)生成部根據(jù)與從上述客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的上述參數(shù) 和從上述客戶機(jī)經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述一次參數(shù)��,計(jì)算參數(shù)差分作為上述數(shù)據(jù)���,上述第二服務(wù)器的上述模板變換部使用從上述第一服務(wù)器經(jīng)由上述網(wǎng)絡(luò)送來(lái)的作為 上述數(shù)據(jù)的上述參數(shù)差分,變換與從上述第一服務(wù)器送來(lái)的ID相對(duì)應(yīng)的上述模板���,來(lái)制作 上述一次模板����,上述比對(duì)判定部將從上述客戶機(jī)送來(lái)的上述變換特征量與上述一次模板進(jìn) 行比對(duì)���,來(lái)判定一致/不一致��。
5.根據(jù)權(quán)利要求1所述的生物體認(rèn)證系統(tǒng)����,其特征在于,上述第一服務(wù)器還具有參數(shù)生成部����,隨機(jī)地生成追加參數(shù),使用上述參數(shù)DB中保管的上述參數(shù)和上述追加參數(shù)生成新參數(shù)��;以及第一 DB控制部����,利用上述新參數(shù),更新上述 參數(shù)DB中保管的上述參數(shù)���,上述第二服務(wù)器還具有模板變換部�����,使用從上述第一服務(wù)器經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上 述追加參數(shù)��,對(duì)上述模板DB中保管的上述模板進(jìn)行變換����,來(lái)制作新模板�����;以及第二 DB控制 部���,利用上述新模板��,更新上述模板DB中保管的上述模板���。
6.根據(jù)權(quán)利要求1所述的生物體認(rèn)證系統(tǒng),其特征在于�,經(jīng)由上述網(wǎng)絡(luò)連接有登記終端,上述登記終端具有ID發(fā)行部��,將未使用的ID作為上 述用戶的上述ID進(jìn)行發(fā)行���;第二傳感器�,取得上述用戶的生物體信息��;第二特征量提取部�����, 從由上述第二傳感器取得的生物體信息中提取特征量�����;參數(shù)生成部,隨機(jī)地生成上述參數(shù)�����; 以及模板制作部���,使用上述參數(shù)對(duì)上述特征量進(jìn)行變換����,來(lái)制作上述模板�,上述第一服務(wù)器還具有將上述參數(shù)與從上述登記終端經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述ID相 對(duì)應(yīng)地登記在上述參數(shù)DB中的第一 DB控制部,上述第二服務(wù)器還具有將上述模板與從上述登記終端經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述ID相 對(duì)應(yīng)地登記在上述模板DB中的第二 DB控制部�����。
7.—種生物體認(rèn)證方法���,是具有經(jīng)由網(wǎng)絡(luò)連接的客戶機(jī)�����、第一服務(wù)器和第二服務(wù)器的 生物體認(rèn)證系統(tǒng)中的生物體認(rèn)證方法����,其特征在于,上述客戶機(jī)從輸入裝置輸入預(yù)先賦予給用戶的ID��,從第一傳感器取得上述用戶的生物 體信息�,從取得的上述生物體信息中提取特征量�,使用一次參數(shù)對(duì)上述特征量進(jìn)行變換,來(lái) 制作變換特征量��,上述第一服務(wù)器具有將參數(shù)與上述ID相對(duì)應(yīng)地保管的參數(shù)DB���,使用與從上述客戶機(jī) 經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述ID相對(duì)應(yīng)的上述參數(shù)生成數(shù)據(jù)�,第二服務(wù)器具有將利用上述參數(shù)變換了上述用戶的生物體信息的特征量而形成的模 板與上述ID相對(duì)應(yīng)地保管的模板DB�,變換與從上述第一服務(wù)器經(jīng)由上述網(wǎng)絡(luò)送來(lái)的ID相 對(duì)應(yīng)的上述模板,來(lái)制作一次模板��,將從上述客戶機(jī)經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述變換特征量 和從上述第一服務(wù)器送來(lái)的上述數(shù)據(jù)中的一方與上述一次模板進(jìn)行比對(duì)�,來(lái)判定一致/不 一致。
8.根據(jù)權(quán)利要求7所述的生物體認(rèn)證方法��,其特征在于�����, 上述第一服務(wù)器還隨機(jī)地生成追加參數(shù),使用與從上述客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的上 述參數(shù)和上述追加參數(shù)�,制作上述一次參數(shù)作為上述數(shù)據(jù),上述第二服務(wù)器使用從上述第一服務(wù)器送來(lái)的上述追加參數(shù)��,變換與從上述第一服務(wù) 器送來(lái)的ID相對(duì)應(yīng)的上述模板�����,來(lái)制作上述一次模板��,將從上述客戶機(jī)送來(lái)的上述變換特 征量與上述一次模板進(jìn)行比對(duì)�,來(lái)判定一致/不一致。
9.根據(jù)權(quán)利要求7所述的生物體認(rèn)證方法�����,其特征在于�����,上述客戶機(jī)還隨機(jī)地生成在上述特征量的變換中使用的上述一次參數(shù)�����, 上述第一服務(wù)器使用上述參數(shù),將從上述客戶機(jī)經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述變換特征量 再次變換成作為上述數(shù)據(jù)的再次變換特征量�,上述第二服務(wù)器使用從上述客戶機(jī)經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述一次參數(shù),變換與從上述 客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的上述模板�����,來(lái)制作上述一次模板����,將從上述第一服務(wù)器送來(lái)的作 為上述數(shù)據(jù)的上述再次變換特征量與上述一次模板進(jìn)行比對(duì),來(lái)判定一致/不一致����。
10.根據(jù)權(quán)利要求7所述的生物體認(rèn)證方法��,其特征在于�,上述客戶機(jī)還隨機(jī)地生成在上述特征量的變換中使用的上述一次參數(shù), 上述第一服務(wù)器根據(jù)與從上述客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的上述參數(shù)和從上述客戶機(jī)經(jīng) 由上述網(wǎng)絡(luò)送來(lái)的上述一次參數(shù)����,計(jì)算參數(shù)差分作為上述數(shù)據(jù),上述第二服務(wù)器使用從上述第一服務(wù)器經(jīng)由上述網(wǎng)絡(luò)送來(lái)的作為上述數(shù)據(jù)的上述參 數(shù)差分����,變換與從上述第一服務(wù)器送來(lái)的ID相對(duì)應(yīng)的上述模板,來(lái)制作上述一次模板,將 從上述客戶機(jī)送來(lái)的上述變換特征量與上述一次模板進(jìn)行比對(duì)����,來(lái)判定一致/不一致。
11.根據(jù)權(quán)利要求7所述的生物體認(rèn)證方法���,其特征在于����,上述第一服務(wù)器還隨機(jī)地生成追加參數(shù)����,使用上述參數(shù)DB中保管的上述參數(shù)和上述 追加參數(shù)生成新參數(shù),利用上述新參數(shù)����,更新上述參數(shù)DB中保管的上述參數(shù),上述第二服務(wù)器還使用從上述第一服務(wù)器經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述追加參數(shù)����,對(duì)上述 模板DB中保管的上述模板進(jìn)行變換,來(lái)制作新模板��,利用上述新模板�,更新上述模板DB中 保管的上述模板���。
12.根據(jù)權(quán)利要求7所述的生物體認(rèn)證方法,其特征在于����, 上述生物體認(rèn)證系統(tǒng)經(jīng)由上述網(wǎng)絡(luò)還連接有登記終端,上述登記終端將未使用的ID作為上述用戶的上述ID進(jìn)行發(fā)行����,從第二傳感器取得上 述用戶的生物體信息,從上述第二傳感器取得的生物體信息中提取特征量�����,隨機(jī)地生成上 述參數(shù)�,使用上述參數(shù)對(duì)上述特征量進(jìn)行變換�,來(lái)制作上述模板,上述第一服務(wù)器將上述參數(shù)與從上述登記終端經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述ID相對(duì)應(yīng)地 登記在上述參數(shù)DB中�����,上述第二服務(wù)器將上述模板與從上述登記終端經(jīng)由上述網(wǎng)絡(luò)送來(lái)的上述ID相對(duì)應(yīng)地 登記在上述模板DB中���。
全文摘要
本發(fā)明是一種具有經(jīng)由網(wǎng)絡(luò)連接的客戶機(jī)����、第一服務(wù)器和第二服務(wù)器的生物體認(rèn)證系統(tǒng)?�?蛻魴C(jī)具有特征量提取部��,從生物體信息中提取特征量��;以及特征量變換部�����,使用一次參數(shù)對(duì)特征量進(jìn)行變換����,來(lái)制作變換特征量。第一服務(wù)器具有參數(shù)DB�����,將參數(shù)和ID相對(duì)應(yīng)地保管��;以及數(shù)據(jù)生成部�����,生成使用了與從客戶機(jī)送來(lái)的ID相對(duì)應(yīng)的參數(shù)的數(shù)據(jù)。第二服務(wù)器具有模板DB�,將利用參數(shù)變換了用戶的生物體信息的特征量而形成的模板與ID相對(duì)應(yīng)地保管;模板變換部����,變換與從第一服務(wù)器送來(lái)的ID相對(duì)應(yīng)的模板,來(lái)制作一次模板���;以及比對(duì)判定部�,將從客戶機(jī)送來(lái)的變換特征量和從第一服務(wù)器送來(lái)的數(shù)據(jù)中的一方與一次模板進(jìn)行比對(duì)���,來(lái)判定一致/不一致�。
文檔編號(hào)H04L9/32GK102132288SQ20098013229
公開(kāi)日2011年7月20日 申請(qǐng)日期2009年9月4日 優(yōu)先權(quán)日2008年12月18日
發(fā)明者比良田真史, 高橋健太 申請(qǐng)人:株式會(huì)社日立制作所