WO2016051856A1 - 逐次バイオメトリック暗号システムおよび逐次バイオメトリック暗号処理方法 - Google Patents

Abstract

【課題】バイオメトリック暗号において、高い精度向上効果を持つ逐次マルチモーダル判定を実現し、暗号処理に関する安全性、精度、利便性を共に良好なものとする。 【解決手段】逐次バイオメトリック暗号システム１０において、ユーザごとに複数取得された生体情報の各々から特徴データを抽出し、これより、組合せ個数を逓増させて複数の特徴データの組を順次選択して各組ごとに保護テンプレートを作成して記憶装置１０１に格納する登録端末１００と、所定ユーザについてセンサを介して得た１つ以上の生体情報の組合せについて特徴データを抽出し、当該抽出した特徴データの組合せに対し、所定属性が同じ生体情報に由来する保護テンプレートを照合し、当該照合に成功した場合にユーザに関する所定処理を実行する処理を実行する認証端末１５０を含む構成とする。

Description

逐次バイオメトリック暗号システムおよび逐次バイオメトリック暗号処理方法

　本発明は、逐次バイオメトリック暗号システムおよび逐次バイオメトリック暗号処理方法に関する。

　指紋や静脈、顔、虹彩などの生体情報に基づいて個人を認証する生体認証技術が広く利用されている。従来の生体認証技術は、ユーザ登録時にユーザの生体情報から抽出した特徴データ（テンプレート）をシステムに登録しておき、ユーザ認証時に再びユーザの生体情報から抽出した特徴データをテンプレートと比較して、両者の類似度が十分大きい（距離が十分近い）ならば認証成功、そうでなければ認証失敗と判定する。

　しかし、生体情報は取り替えることのできない情報であるため、その漏洩の発生は大きな問題となる。こうした問題に対し、生体情報を秘匿したまま認証する、テンプレート保護型生体認証技術が研究開発されている。その中で、生体情報から鍵データを生成し、暗号学的な認証、暗号化、署名生成などの処理を行う、バイオメトリック暗号と呼ばれる技術が注目されている。

　上述のバイオメトリック暗号では、登録時に生体情報の特徴データＸを変換することで、保護テンプレートＴを作成する。その後、新たに取得した生体情報の特徴データＸ’と保護テンプレートＴを照合する。この照合に成功した場合、認証、暗号、署名などの処理を行うことができる。こうしたバイオメトリック暗号において、ＴからＸを復元または推定することは十分困難でなくてはならない（安全性の要件）。またＸ’がＸに十分類似している（距離が近い）ならば、その場合に限り認証、暗号、署名などの処理に成功しなくてはならない（完全性・健全性の要件）。更に、ＸとＸ’が、本人の同一の生体情報から抽出された特徴データであるなら、その場合に限り、十分高い確率でＸとＸ’が十分類似しなくては（距離が十分近くなくては）ならない（精度の要件）。

　以上のバイオメトリック暗号の具体的な実現方法として、例えば、登録時に秘密鍵Ｋをランダムに生成し、そのハッシュ値ｈ＝Ｈａｓｈ（Ｋ）を計算するとともに、生体情報Ｘに対してＫを不可分な形で埋め込み、補助情報Ｈ＝Ｆ（Ｘ，Ｋ）を作成し、Ｈとｈの組を保護テンプレートＴとする（Ｔ＝（Ｈ，ｈ））、技術が提案されている（非特許文献１参照）。この技術において、鍵復元時には、再び生体情報Ｘ’を取得し、補助情報Ｈを用いて秘密鍵Ｋ’＝Ｇ（Ｘ’，Ｈ）を復元する。Ｘ’がＸに十分近いならば、Ｋ’＝Ｋとなるよう、埋め込み関数Ｆ、復元関数Ｇには誤り訂正符号技術などを利用する。また、Ｈａｓｈ（Ｋ’）＝ｈが成立すれば照合成功とする。またこのとき、復元されたＫ（＝Ｋ’）を用いて認証、暗号化、署名生成などの処理を行うこともできる。

　一般に、生体認証システムの精度は、他人受入率（ＦＡＲ：　Ｆａｌｓｅ　Ａｃｃｅｐｔａｎｃｅ　Ｒａｔｅ）と本人拒否率（ＦＲＲ：　Ｆａｌｓｅ　Ｒｅｊｅｃｔｉｏｎ　Ｒａｔｅ）で評価される。ＦＡＲが大きいと他人によるなりすましの危険が高まり、ＦＲＲが大きいと真正な本人が認証できず可用性の低下につながる。一般にＦＡＲとＦＲＲは、認証しきい値ｔによってコントロールすることができるが、一方を小さくすると他方が大きくなるというトレードオフの関係にあり、両者をともに小さくすることは難しい。

　一般的な生体認証技術においては、この問題に対する解決策として、複数の生体情報、例えば両手の指１０本や、指紋・静脈・虹彩などを組み合わせて、ＦＡＲを十分小さくしつつＦＲＲも小さく抑える、マルチモーダル生体認証技術が提案されている。マルチモーダル生体認証においては、各生体情報をそれぞれテンプレートとして登録しておく。例えば両手の指１０本を使う場合は、１０本分のテンプレートを登録しておく。認証時にも各生体情報を取得して、対応するテンプレートと照合し、個々の照合結果を総合して最終的に認証成功とするか失敗とするかを判定する。

　しかし、認証時に全ての生体情報の入力を要求すると、利用者の操作が煩雑なものとなり、利便性の低下につながる。このため一つの生体情報を入力する度に照合・判定を行い、認証成功と判定された時点で処理を終了する、逐次判定技術も提案されている。

　例えば、単純に一つの生体情報を入力・照合し、それが十分類似していれば認証成功と判定する、ＯＲ判定方式がある。しかしながらＯＲ判定方式は、個々の生体情報の照合・判定を独立に行っているだけであり、各判定におけるＦＡＲを十分小さなものとするためには、各判定におけるしきい値を十分厳しくせざるをえず、結果として各判定におけるＦＲＲは大きくなってしまう。照合・判定を複数回繰り返すことでトータルとしてのＦＲＲはある程度下げられるものの、複数の生体情報の組み合わせが持つ情報を有効活用できず、トータルでの認証精度の向上効果は限定的なものとなる。

　一方、より高度な逐次判定方式として、逐次確率比検定を用いる方法（非特許文献２参照）も提案されている。この技術は、生体情報Ｘｋ（ｋ＝１，２，・・・，ｎ）を照合する度に、照合スコア（類似度または距離）Ｓｋを、それらが従う統計的分布を用いて尤度比Ｌｋに正規化し、Ｍｋ＝Ｌ１×Ｌ２×・・・×Ｌｋ　を、しきい値ｔと比較する手法である。この方法は、認証精度と平均照合回数の観点から最適な逐次判定方式であることが証明されている。逐次確率比検定は、照合スコアＳｋとして連続的、あるいは多値の類似度または距離が計算できる場合に有効な方法である。

Ｙ．　Ｄｏｄｉｓ，　ｅｔ．ａｌ．，　"Ｆｕｚｚｙ　ｅｘｔｒａｃｔｏｒｓ：　Ｈｏｗ　ｔｏ　ｇｅｎｅｒａｔｅ　ｓｔｒｏｎｇ　ｋｅｙｓ"，　Ｉｎ　Ｅｕｒｏｃｒｙｐｔ　２００４，　Ｖｏｌ．　３０２７　ｏｆ　ＬＮＣＳ，　ｐｐ．　５２３－５４０，　２００４． Ｋ．Ｔａｋａｈａｓｈｉ，　ｅｔ．ａｌ．，　"Ａ　Ｓｅｃｕｒｅ　ａｎｄ　Ｕｓｅｒ－Ｆｒｉｅｎｄｌｙ　Ｍｕｌｔｉ　Ｍｏｄａｌ　Ｂｉｏｍｅｔｒｉｃ　Ｓｙｓｔｅｍ"，　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｓｙｍｐｏｓｉｕｍ　ｏｎ　Ｄｅｆｅｎｃｅ　ａｎｄ　Ｓｅｃｕｒｉｔｙ　２００４，　２０１４．

　上述の通り、バイオメトリック暗号において、保護テンプレートＴから特徴データＸを復元または推定することは十分困難でなくてはならない（安全性の要件）。しかし、仮に保護テンプレートＴと特徴データＸ’を照合する際に、何らかの照合スコア（類似度や距離値）が計算できてしまうとすると、攻撃者は適当な初期値Ｘ０に対して様々な微小な摂動を加えつつ照合し、類似度がより大きくなる（距離がより小さくなる）方向の摂動を採用する、といった処理を繰り返すことで、最終的に類似度がしきい値ｔを超える特徴データＸ’を見つける可能性がある。こうした事態を防ぐためには、バイオメトリック暗号において、その照合結果は１（一致）、０（不一致）の２値でなければならない。更に同様の理由により、バイオメトリック暗号におけるしきい値は、認証時に変更できてはならない。実際、バイオメトリック暗号は、保護テンプレートＴを作成する際にしきい値ｔが設定され、以降はｔを変更できない仕組みとなっている。例えば非特許文献１の技術においては、補助情報を作成する際に誤り訂正符号を用いた符号化処理を行うが、その際に設定する訂正能力（何ビットまでのエラーを許容するか等）がしきい値ｔに相当する。

　以上の理由から、逐次マルチモーダル生体認証の手法を適用して精度と利便性を向上しようとした場合、照合スコアを利用する精度向上効果の高い手法（例えば逐次確率比検定）は適用することができない。ＯＲ判定は適用可能であるが、精度向上の効果は限定的なものとなる。

　そこで本発明の目的は、バイオメトリック暗号において、高い精度向上効果を持つ逐次マルチモーダル判定を実現し、暗号処理に関する安全性、精度、利便性を共に良好なものとする技術を提供することにある。

　上記課題を解決する本発明の逐次バイオメトリック暗号システムは、ユーザごとに複数取得された生体情報の各々から特徴データを抽出し、当該抽出した複数個の特徴データから、組合せ個数を逓増させて複数の特徴データの組を順次選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成して記憶装置に格納する登録処理と、所定ユーザについてセンサを介して取得した、該当ユーザの１つ以上の生体情報の組合せについて特徴データを抽出し、当該抽出した特徴データの組合せに対し、所定属性が同じ生体情報に由来する前記保護テンプレートを照合し、当該照合に成功した場合に前記ユーザに関する所定処理を実行する照合処理を実行する演算装置を含む。

　また、本発明の逐次バイオメトリック暗号処理方法は、情報処理装置が、ユーザごとに複数取得された生体情報の各々から特徴データを抽出し、当該抽出した複数個の特徴データから、組合せ個数を逓増させて複数の特徴データの組を順次選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成して記憶装置に格納する登録処理と、所定ユーザについてセンサを介して取得した、該当ユーザの１つ以上の生体情報の組合せについて特徴データを抽出し、当該抽出した特徴データの組合せに対し、所定属性が同じ生体情報に由来する前記保護テンプレートを照合し、当該照合に成功した場合に前記ユーザに関する所定処理を実行する照合処理を実行することを特徴とする。

　本発明によれば、バイオメトリック暗号において、高い精度向上効果を持つ逐次マルチモーダル判定を実現し、暗号処理に関する安全性、精度、利便性を共に良好なものと出来る。

本実施形態の逐次バイオメトリック暗号システムを含むネットワーク構成図である。 本実施形態の逐次バイオメトリック暗号システムを構成する登録端末のハードウェア構成例を示す図である。 本実施形態の逐次バイオメトリック暗号システムを構成する認証端末のハードウェア構成例を示す図である。 本実施形態のテンプレートデータベースの構成例を示す図である。 本実施形態の逐次バイオメトリック暗号処理方法の処理手順例１を示すフロー図である。 本実施形態の逐次バイオメトリック暗号処理方法の処理手順例２を示すフロー図である。

－－－システム構成－－－
　以下に本発明の実施形態について図面を用いて詳細に説明する。図１は、本実施形態の逐次バイオメトリック暗号システム１０を含むネットワーク構成図である。図１に示す　逐次バイオメトリック暗号システム１０は、バイオメトリック暗号において、高い精度向上効果を持つ逐次マルチモーダル判定を実現し、暗号処理に関する安全性、精度、利便性を共に良好なものとするコンピュータシステムである。

　本実施形態における逐次バイオメトリック暗号システム１０は、登録端末１００、認証端末１５０、およびテンプレートデータベース１２０をネットワーク１４０で接続した構成を想定する。このうち、登録端末１００は、ユーザの生体情報から保護テンプレートを作成して登録する端末であり、認証端末１５０は、認証処理等の実行時にユーザの生体情報を複数取得して所定の特徴データを抽出し、これをテンプレートデータベース１２０における保護テンプレートと照合して、ユーザ認証、データの暗号化、復号化、および電子署名の作成といった所定の処理を行う端末である。また、テンプレートデータベース１２０は、上述の登録端末１００が生成した保護テンプレートをユーザＩＤと紐づけて保存するデータベースである。

　なお、テンプレートデータベース１２０は、独立したサーバマシン上に実装してもよいが、登録端末１００または認証端末１５０に実装する構成を採用してもよい。また、こうしたテンプレートデータベース１２０は、ユーザ毎に異なる実装形態を採用する状況を想定するとしてもよい。例えば、各ユーザが所持するカード、ＵＳＢメモリ、携帯端末などの可搬媒体や個人管理の装置にテンプレートデータベース１２０が保持されるとしてもよい。また、登録端末１００、認証端末１５０、およびテンプレートデータベース１２０の少なくとも２つ以上が同じ装置に実装される構成であってもよい。登録端末１００、認証端末１５０、およびテンプレートデータベース１２０の全てが同じ装置内に実装される構成とした場合、ネットワーク１４０は無くてもよい。
－－－ハードウェア構成の例－－－
　続いて、本実施形態の逐次バイオメトリック暗号システム１０を構成する上述の装置類について、そのハードウェア構成の例について説明する。図２は本実施形態の逐次バイオメトリック暗号システム１０を構成する登録端末１００のハードウェア構成例を示す図である。

　本実施形態の登録端末１００は、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）やハードディスクドライブなど適宜な不揮発性記憶素子で構成される記憶装置１０１、ＲＡＭなど揮発性記憶素子で構成されるメモリ１０３、記憶装置１０１に保持されるプログラム１０２をメモリ１０３に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうＣＰＵ１０４、生体情報のセンサ１０５１を含む入力装置１０５、処理データの表示を行うディスプレイ等の出力装置１０６、ネットワーク１４０と接続し他装置との通信処理を担う通信装置１０７、を備える。

　なお、プログラム１０２の実行によって当該登録端末１００に実装される機能部としては、センサ部１１０、特徴抽出部１１１、ＩＤ入力部１１２、および保護テンプレート作成部１１３が含まれている。これら機能部１１０～１１３の詳細については後述する。

　一方、上述の登録端末１００と共に本実施形態の逐次バイオメトリック暗号システム１０を構成する認証端末１５０は、図３にて例示するように、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）やハードディスクドライブなど適宜な不揮発性記憶素子で構成される記憶装置１５１、ＲＡＭなど揮発性記憶素子で構成されるメモリ１５３、記憶装置１５１に保持されるプログラム１５２をメモリ１５３に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうＣＰＵ１５４、生体情報のセンサ１５５１を含む入力装置１５５、処理データの表示を行うディスプレイ等の出力装置１５６、ネットワーク１４０と接続し他装置との通信処理を担う通信装置１５７、を備える。

　なお、プログラム１５２の実行によって当該認証端末１５０に実装される機能部としては、ＩＤ入力部１６０、保護テンプレート取得部１６１、センサ部１６２、特徴抽出部１６３、および認証・暗号・署名部１６４から構成される。これら機能部１６０～１６４の詳細については後述する。
－－－機能の例－－－
　続いて、本実施形態の逐次バイオメトリック暗号システム１０を構成する各装置が備える機能について説明する。上述したように、以下に説明する機能は、例えば逐次バイオメトリック暗号システム１０を構成する各装置がプログラムを実行することで実装される機能と言える。ここでは上述の登録端末１００および認証端末１５０の備える各機能部について説明するものとする。

　まず、本実施形態の登録端末１００におけるセンサ部１１０は、入力装置１０５に備わるセンサ１０５１を介し、このセンサ１０５１に身体の所定部位を提示したユーザ（以下、登録対象ユーザ）から、指紋や静脈などの複数の登録用生体情報を取得する機能を備えている。センサ１０５１は、指紋、静脈、虹彩など生体情報の種類ごとに入力装置１０５に備わっているとしてもよい。また、手指の指紋など同一種類の異なる生体情報を処理対象とする場合、センサ１０５１は一つのみであってもよい。

　また、登録端末１００における特徴抽出部１１１は、上述のセンサ部１１０が登録対象ユーザについて得た複数の登録用生体情報から、複数の登録用特徴データを抽出する機能を備えている。

　また、登録端末１００におけるＩＤ入力部１１２は、入力装置１０５におけるタッチパネルやキーボード等のインターフェイスを介して、上述の登録対象ユーザによるユーザＩＤの入力を受け付ける機能を備えている。

　また、登録端末１００における保護テンプレート作成部１１３は、上述の特徴抽出部１１１が抽出した、登録対象ユーザごとの複数の登録用特徴データをから、組合せ個数を逓増させて複数の特徴データの組を順次選択し、当該選択した各特徴データの組ごとに、所定の他人受入率を達成する保護テンプレートを作成し、これを該当登録対象ユーザのユーザＩＤと少なくとも対応付けてテンプレートデータベース１２０に格納する機能を備えている。

　なお、この保護テンプレート作成部１１３は、保護テンプレートの作成に際し、上述の複数個の登録用特徴データから、予め登録対象ユーザ毎に決められた生体情報の入力順序に従って、組合せ個数を逓増させて複数の登録用特徴データの組を順次選択し、当該選択した各登録用特徴データの組ごとに、所定の他人受入率を達成する保護テンプレートを作成する機能も備えている。

　更に、この保護テンプレート作成部１１３は、保護テンプレートの作成に際し、上述の複数個の登録用特徴データから、上述の組合せ個数の登録用特徴データの組を選択するにあたり、該当組合せ個数内で取り得る全ての登録用特徴データの組合せを選択し、当該選択した各登録用特徴データの組ごとに、所定の他人受入率を達成する保護テンプレートを作成する機能も備えている。

　一方、認証端末１５０におけるＩＤ入力部１６０は、入力装置１５５におけるタッチパネルやキーボード等のインターフェイスを介して、本人認証等の所定処理を行う希望のあるユーザ（以下、認証対象ユーザ）によるユーザＩＤの入力を受け付ける機能を備えている。

　また、認証端末１５０における保護テンプレート取得部１６１は、上述のＩＤ入力部１６０が得たユーザＩＤをキーにして、テンプレートデータベース１２０で検索を実行し、該当ユーザＩＤに紐づいた保護テンプレートを取得する機能を備えている。

　また、認証端末１５０におけるセンサ部１６２は、入力装置１５５に備わるセンサ１５５１を介し、このセンサ１５５１に身体の所定部位を提示した上述の認証対象ユーザから、指紋や静脈などの、１つまたは複数の生体情報を取得する機能を備えている。なお、このセンサ部１６２は、上述の認証対象ユーザに対する処理の開始以降、センサ１５５１に対する、該当認証対象ユーザによる身体部位（例：各手指のいずれか）の読み取らせ動作の毎に、異なる部位の生体情報を取得する。つまり、センサ部１６２は、認証対象ユーザに対する処理の開始以降、該当ユーザにおける互いに異なる身体部位の生体情報を、（ユーザの動作に伴って）逐次的に取得することとなる。

　また、認証端末１５０における特徴抽出部１６３は、上述のセンサ部１６２が得た、認証対象ユーザの１つ以上の生体情報の組合せについて特徴データを抽出する機能を備えている。

　また、認証端末１５０における認証・暗号・署名部１６４は、上述の特徴抽出部１６３が抽出した特徴データを、テンプレートデータベース１２０の保護テンプレートのうち該当ユーザＩＤ（ＩＤ入力部１６０が得たもの）と紐付いたもので、所定属性が同じ、すなわち同じ身体部位の生体情報に由来する前記保護テンプレートと照合し、その結果に応じて、上述の認証対象ユーザに関する認証、データの暗号化・復号化、電子署名の作成など所定処理を行う機能を備えている。

　なお、本実施形態の認証・暗号・署名部１６４は、センサ部１６２による生体情報取得開始から或る時点までに得た全ての生体情報（例：人差し指と中指の各生体情報）から特徴データを抽出して組合せ、当該特徴データの組合せに対し、該当ユーザＩＤと紐付いており、所定属性が同じ生体情報（例：人差し指と中指の各生体情報）に由来する保護テンプレートを照合し、当該照合に成功した場合に、上述の認証対象ユーザに関する上述の所定処理を実行するものとする。

　この場合、認証・暗号・署名部１６４は、上述の特徴データと保護テンプレートとの照合に失敗した場合、上述の生体情報取得開始からの生体情報の取得数が規定数に達しているか判定し、この判定の結果、生体情報の取得数が規定数に達していないならば、センサ部１６２による、互いに異なる生体情報の逐次的な取得の処理と、特徴データの組合せに対する保護テンプレートの照合以降の処理を繰り返し実行する機能を備えている。また、認証・暗号・署名部１６４は、上述の判定の結果、生体情報の取得数が規定数に達しているならば、照合処理に失敗したと判断し以降の処理を終了する機能を更に備えている。
－－－データ構造例－－－
　次に、本実施形態の逐次バイオメトリック暗号システム１０が用いるテンプレートデータベース１２０におけるデータ構造例について説明する。図４は本実施形態のテンプレートデータベース１２０の構成例を示す図である。本実施形態におけるテンプレートデータベース１２０は、図４にて例示するように、ユーザＩＤ毎に、部位の識別情報をキーとして保護テンプレートのデータを対応付けたレコードの集合体となっている。図４のテンプレートデータベース１２０の例では、ユーザＩＤ：００００１なるユーザについて、その身体部位のうち「Ａ」の生体情報から生成した保護テンプレート、「Ａ」および「Ｂ」の生体情報から生成した保護テンプレート、「Ａ」、「Ｂ」、「Ｃ」の生体情報から生成した保護テンプレート、「Ａ」、「Ｂ」、「Ｃ」、「Ｄ」の生体情報から生成した保護テンプレート、が含まれるデータベースとなっている。

　このテンプレートデータベース１２０における部位に関する識別情報は、ユーザが登録動作の対象とする身体部位の登録順序に対応した文字列であるとしてもよい。従ってこの場合、当該テンプレートデータベース１２０における或るレコードにて、部位の識別情報が「Ａ、Ｂ，Ｃ」であれば、該当ユーザは、登録端末１００における生体情報の登録動作を、部位「Ａ」→部位「Ｂ」→部位「Ｃ」の順で行ったことを示すことになる。また、該当ユーザが後に照合処理の対象となる場合にも、この文字列が示す身体部位の順序にて、自身の該当部位を認証端末１５０のセンサ１５５１に順次読み取らせることになる。
－－－処理手順例１－－－
　以下、本実施形態における逐次バイオメトリック暗号処理方法の実際手順について図に基づき説明する。以下で説明する逐次バイオメトリック暗号処理方法に対応する各種動作は、逐次バイオメトリック暗号システム１０を構成する登録端末１００、認証端末１５０らがメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。

　図５は、本実施形態における逐次バイオメトリック暗号処理方法の処理手順例１を示すフロー図であり、具体的には逐次バイオメトリック暗号処理方法における登録処理を示すフロー図である。例えば、或る金融機関のユーザが、該当金融機関でのサービスを受けるべく、自身の生体情報登録を行おうと、この金融機関に設置された登録端末１００を操作する状況を想定する。

　ここではまず、登録端末１００のＩＤ入力部１１２が、タッチパネル等の入力装置１０５において、上述のユーザ、すなわち登録対象ユーザによるユーザＩＤの入力を受け付けて、このユーザＩＤをメモリ１０３に一旦格納する（Ｓ２００）。この登録対象ユーザは、ユーザＩＤの入力に引き続き、登録端末１００が出力装置１０６に表示する所定の誘導メッセージ等に応じて、自身の手指をセンサ１０５１にかざしたとする。

　この時、登録端末１００のセンサ部１１０は、入力装置１０５のセンサ１０５１を通して、この登録対象ユーザが逐次かざした手指、例えば人差し指、中指、薬指、小指、のそれぞれから指静脈等の生体情報を取得し、例えばメモリ１０３に一旦格納する（Ｓ２０１）。この場合、４本の手指からそれぞれ生体情報を取得することになるため、得られる登録用生体情報の総数Ｎは、４個となる。

　なお本実施形態では、登録対象ユーザに関してＮ個（Ｎ＞１）の異なる生体情報を取得するものとする。例えば、片手の人差し指、中指、薬指、小指の静脈を取得するならばＮ＝４、両手の人差し指、中指、薬指の静脈を取得するならばＮ＝６、更に同じ指の指紋をあわせて取得するならばＮ＝１２、更に両目の虹彩をあわせて取得するならＮ＝１４となる。このように登録対象ユーザの登録時には、Ｎ個全ての生体情報を取得して、保護テンプレート作成に用いるものとする。

　また、登録対象ユーザが、センサ１０５１にて自身の身体部位をかざす順序、すなわち入力順序は、予め決められたものを出力装置１０６で該当ユーザに指示するケースや、或いは、該当ユーザが任意に決めて入力装置１０５で入力するケースが想定出来る。この場合、いずれにしても、登録時と認証時とで上述の入力順序は同一ユーザである限りは固定されるため、これを「順序固定」と呼ぶことにする。いずれの場合でも、入力順序が規定する身体部位と登録用特徴データとは対応付くことになり、登録端末１００は、センサ１０５１より得た生体情報を、入力順序が規定する身体部位の識別情報と対応付けてメモリ１０３に格納することとなる。

　なお、登録時の入力順序は固定である一方、認証時には、認証対象ユーザが自由に入力順序を選択するとしてもよく、これを「順序選択」と呼ぶことにする。また他の順序決定方法、例えば指紋６つ、静脈６つ、虹彩２つの順で入力することは固定されているが、指紋の６つの中では順序を選択することができる、など「順序固定」と「順序選択」を組み合わせて採用するとしてもよい。

　次に、登録端末１００の特徴抽出部１１１が、上述のＮ個の登録用生体情報からＮ個の登録用特徴データＸ＿１，Ｘ＿２，…，Ｘ＿Ｎを抽出し、一旦メモリ１０３に格納する（Ｓ２０２）。ここで、登録端末１００の保護テンプレート作成部１１３は、メモリ１０３に設けた適宜なワーク領域にて、以降の手順で用いる変数ｋ、ｊについて、ｋ＝１、ｊ＝１の各値を格納する（Ｓ２０３）。

　続いて登録端末１００の保護テンプレート作成部１１３は、メモリ１０３に保持している上述のＮ個の登録用特徴データから、ｋ個の登録用特徴データの組み合わせＳ＿ｊ＝（Ｘ＿ｉ＿１，　Ｘ＿ｉ＿２，　…，　Ｘ＿ｉ＿ｋ）を選択する（Ｓ２０４）。ここで、上述した順序固定の場合、Ｓ＿ｊは入力順序の先頭からｋ個の登録用特徴データとする。一方、上述した順序選択の場合、保護テンプレート作成部１１３は、Ｎ個からｋ個を選択する全ての組み合わせについて、以降のステップＳ２０４～Ｓ２０７を繰り返すものとする。

　続いて保護テンプレート作成部１１３は、上述で選択したｋ個の登録用特徴データの組Ｓ＿ｊから、合成特徴データを作成する（Ｓ２０５）。ｋ個の登録用特徴データを合成する方法は任意であるが、例えば各登録用特徴データＸ＿ｉ＿ｌ（ｌ＝１，２，…，ｋ）がベクトル形式（ビット列を含む）で表現されている場合、それぞれを適宜な定数倍して連結したベクトル形式のデータを合成特徴データとして求めるとしてもよい。また、各登録用特徴データＸ＿ｉ＿ｌそれぞれを適宜な定数倍して互いに加減算などの演算を施したものを合成特徴データとしてもよい。

　次に、保護テンプレート作成部１１３は、上述のステップＳ２０５で得た合成特徴データから、保護テンプレートＴ＿ｊを作成し、これをテンプレートデータベース１２０に格納する（Ｓ２０６）。図４に関して既に例示したように、保護テンプレート作成部１１３が作成、格納する保護テンプレートは、合成特徴データの起源となっている登録用特徴データに紐付いている身体部位の識別情報と対応付けられている。

　なお、本実施例においては、認証・暗号・署名の際に逐次的に判定を行うが、このとき各判定において許容できるＦＡＲ値（許容ＦＡＲ値）をあらかじめ定めておき、登録端末１００はこれを保持するものとする。こうした保護テンプレート作成部１１３は、この許容ＦＡＲ値を達成するように、しきい値ｔ（例えば誤り訂正符号の訂正能力）を設定して保護テンプレートの作成を行う。

　上述のｋが所定値より小さい場合、例えばｋ＝１のときは、上述の許容ＦＡＲ値を達成する保護テンプレートは、ＦＲＲが相対的に大きくなるが、ｋが大きくなるに従って、同じ許容ＦＡＲ値を達成する保護テンプレートであってもＦＲＲは相対的に小さくなる。これは生体情報を複数組み合わせることで情報量が増えるため、より良い精度での照合が可能となり、同じＦＡＲに対してＦＲＲを小さくすることができるためである。

　続いて、保護テンプレート作成部１１３は、上述の変数ｊ＝ｊ＋１とし（Ｓ２０７）、この段階にて、（上述の順序選択の場合）Ｎ個からｋ個の登録用特徴データを選択する全ての組み合わせについて保護テンプレートを作成し終えているか判定し（Ｓ２０８）、作成し終えていない場合（Ｓ２０８：ｎ）、処理をステップＳ２０４へ戻す。

　他方、Ｎ個からｋ個の登録用特徴データを選択する全ての組み合わせについて保護テンプレートを作成し終えていた場合（Ｓ２０８：ｙ）、保護テンプレート作成部１１３は、上述の変数ｋ＝ｋ＋１とする（Ｓ２０９）。ここで、ｋ＝Ｎなら（Ｓ２１０：ｙ）、保護テンプレート作成部１１３は、ｍ＝ｊとして、作成したｍ個全ての保護テンプレートの組Ｔ＝（Ｔ＿１，…，Ｔ＿ｍ）を、上述のユーザＩＤとともにテンプレートデータベース１２０に送信する（Ｓ２１１）。一方、ｋ＜Ｎならば（Ｓ２１０：ｎ）、保護テンプレート作成部１１３は、所定りをステップＳ２０４に戻す。ここで、上述の順序固定ならばｍ＝Ｎ、順序選択ならばｍ＝２＾Ｎ－１（２＾Ｎは、２のＮ乗）である。

　一方、テンプレートＤＢ１２０は、ネットワーク１４０を介して登録端末１００の保護テンプレート作成部１１３から送信されてきた、上述のｍ個の保護テンプレートを該当ユーザＩＤと紐づけて保存し（Ｓ２１２）、処理を終了する。こうした一連の処理によりテンプレートデータベース１２０が生成されることとなる。

　以上のように、登録処理の際、認証・暗号・署名の際に逐次的に入力されるであろう生体情報の全ての組み合わせに対して保護テンプレートを作成しつつ、各保護テンプレートの要求ＦＡＲ値を一定に保つことで、総当たり攻撃による生体情報の復元や推定、なりすましを防止することができる。
－－－処理手順例２－－－
　次に、ユーザの生体情報に関する照合処理について図に基づき説明する。図６は、本実施形態の逐次バイオメトリック暗号処理方法の処理手順例２を示すフロー図であり、具体的には本実施形態の逐次バイオメトリック暗号処理方法における照合処理を示すフロー図である。ここでの「照合処理」とは、認証対象ユーザから読み取って取得した生体情報に由来する特徴データと、テンプレートデータベース１２０にて該当ユーザについて予め登録済みの保護テンプレートとを照合する処理と、その結果に応じて行う認証、データの暗号化、復号化、電子署名といった処理も含む一連のものとする。

　また、上述の図５で例示した登録端末１００での処理を受けた登録対象ユーザが、その後、該当金融機関でのサービスを実際に受けるべく、ＡＴＭ等の認証端末１５０を操作する状況を想定する。ここでは、上述の登録対象ユーザが、認証対象ユーザとなったものとする。

　ここ場合まず、認証端末１５０のＩＤ入力部１６０が、タッチパネル等の入力装置１５５において、上述のユーザ、すなわち認証対象ユーザのＩＤ入力を受け付ける（Ｓ３００）。　次に、認証端末１５０の保護テンプレート取得部１６１は、上述のステップＳ３００で受けたユーザＩＤをキーにテンプレートデータベース１２０で検索を実行し、該当ユーザＩＤに紐づいた保護テンプレートの集合、Ｔ＿１，…，Ｔ＿ｍを取得する（Ｓ３０１、Ｓ３０２）。

　ここで認証端末１５０のセンサ部１６２は、メモリ１０３に設けた適宜なワーク領域にて、以降の手順で用いる変数ｋ、Ｓについて、ｋ＝１、Ｓ＝｛｝（｛｝は空集合）の各値を格納する（Ｓ３０３）。このうち「Ｓ」を取得済み特徴データ集合とする。

　続いて認証端末１５０のセンサ部１６２は、センサ１５５１に認証対象ユーザがかざした部位について生体情報を取得する（Ｓ３０４）。なお、認証対象ユーザは、後述する照合結果が失敗であった場合、その時点までに当該ステップＳ３０４で生体情報を取得させた部位とは異なる身体部位を、センサ１５５１にかざす動作を行うことになる。

　このように、当該ステップＳ３０４の繰り返しを踏まえて、本実施形態では、上述の変数ｋの値を、ステップＳ３０４すなわち生体情報取得動作の回数としてカウントする。よって、センサ部１６２は、認証対象ユーザからｉ＿ｋ番目の生体情報を取得したとする。今の時点では、当該ステップＳ３０４の初回実行に該当しており、上述のステップＳ３０３で示したように、ｋ＝１すなわち１番目の生体情報を取得したことになる。例えば、ユーザによる入力順序が、右手人差し指→右手中指→左手人差し指→左手中指→右手薬指→左手薬指だとしたならば、まずは入力順序１番目すなわちｉ＿１の生体情報として右手人差し指の生体情報を取得することとなる。

　次に、認証端末１５０の特徴抽出部１６３は、上述のステップＳ３０４で得たｉ＿ｋ番目の生体情報から特徴データＸ’＿ｉ＿ｋを抽出する（Ｓ３０５）。上述の例では、入力順序１番目すなわちｉ＿１の生体情報である右手人差し指の生体情報から特徴データを抽出することとなる。生体情報からの特徴データの抽出手法自体は既存技術を適宜採用すればよい。

　また、認証端末１５０の特徴抽出部１６３は、上述のステップＳ３０５で得た特徴データＸ’＿ｉ＿ｋを、上述の取得済み特徴データ集合Ｓに加える（Ｓ３０６）。この時点における取得済み特徴データ集合Ｓは、Ｓ＝Ｓ∪｛Ｘ’＿ｉ＿ｋ｝となっている。

　続いて認証端末１５０の特徴抽出部１６３は、上述の取得済み特徴データ集合Ｓから、合成特徴データＵを作成する（Ｓ３０７）。ここでの合成の方法は、登録処理時のステップＳ２０５と同様とする。上述してきた具体例において、現時点までで認証対象ユーザから得た生体情報は、入力順序１番目すなわちｉ＿１の生体情報である右手人差し指の生体情報のみであるから、取得済み特徴データ集合Ｓが含む特徴データも特徴データＸ’＿ｉ＿１のみで、合成特徴データＵもこの特徴データＸ’＿ｉ＿１にのみ基づくものとなる。

　次に、認証端末１５０の認証・暗号・署名部１６４は、上述のステップＳ３０７で得た合成特徴データＵに対応する保護テンプレートＴ＿ｊを、上述の保護テンプレートの組Ｔ（ステップＳ３０１、Ｓ３０２で得ているもの）の中から選択する（Ｓ３０８）。ここで「Ｕに対応する保護テンプレート」とは、合成特徴データＵと、同じ身体部位の生体情報の組から生成された保護テンプレートのことを指している。従って、上述の場合、今のｋの値すなわちｋ＝１に対応する入力順序で得ている「右手人差し指」に関して登録済みの保護テンプレートを選択することとなる。図４で例示するテンプレートデータベース１２０の場合、例えば、最初のレコード、すなわち入力順序１番であり、１つの部位「Ａ」のみに関する保護テンプレートが該当する。

　次に認証端末１５０の認証・暗号・署名部１６４は、 上述の合成特徴データＵと、ステップＳ３０８で選択した保護テンプレートＴ＿ｊとを照合する（Ｓ３０９）。ここでの照合処理は、例えば非特許文献１の方法を適用する場合、補助情報から秘密鍵を復元し、その秘密鍵のハッシュ値を照合する処理などに相当する。

　上述の照合に成功した場合（Ｓ３１０：ｙ）、認証端末１５０の認証・暗号・署名部１６４は、予め定めた認証、データの暗号化、復号化、電子署名等の処理を上述の認証対象ユーザに関して実行する（Ｓ３１１）。例えば、ステップＳ３０９において秘密鍵を復元した場合は、当該ステップＳ３１１における認証・暗号・署名部１６４は、該当秘密鍵に基づいて所定の認証サーバとの間でチャレンジレスポンス認証を実行してもよいし、何らかの電子データに対して秘密鍵を用いて暗号化や署名処理を施してもよいし、暗号化されたデータを秘密鍵で復号化するなどしてもよい。

　他方、上述の照合に失敗した場合（Ｓ３１０：ｎ）、認証端末１５０の認証・暗号・署名部１６４は、所定の上限入力回数ｎに対してｋ＜ｎであるか判定する（Ｓ３１２）。この判定の結果、ｋ＜ｎであれば（Ｓ３１２：ｎ）、更に追加的な生体情報読み取りと以降の判定を同様に実行出来ると認識し、ｋを逓増すなわちｋ＝ｋ＋１として（Ｓ３１３）、上述のステップＳ３０４に処理を戻す。ただしｎ≦Ｎ、つまり、上限入力回数ｎは、登録用生体情報の総数Ｎを越えない。なおｎ＜Ｎの場合、上述の登録処理時のステップＳ２０４～Ｓ２０５の処理は、ｋ＝１，２，…，ｎのみで繰り返せばよい。

　上述のように、更に追加的な生体情報読み取りと以降の判定を同様に実行出来ると認識し、ステップＳ３０４に処理を戻した場合、当該ステップＳ３０４における認証端末１５０のセンサ部１６２は、変数ｋ＝２、Ｓ＝｛特徴データＸ’＿ｉ＿１｝の状態において、センサ１５５１に認証対象ユーザが次にかざした部位、すなわち入力順序２番目ｉ＿２の生体情報として、例えば「右手中指」について生体情報を取得する。

　また続くステップＳ３０５における特徴抽出部１６３は、上述のステップＳ３０４で得たｉ＿２番目の生体情報たる、右手中指の生体情報から特徴データＸ’＿ｉ＿２を抽出する。

　また同様に、ステップＳ３０６における特徴抽出部１６３は、上述のステップＳ３０５で得た特徴データＸ’＿ｉ＿２を、上述の取得済み特徴データ集合Ｓに加える。この時点における取得済み特徴データ集合Ｓは、Ｓ＝Ｓ∪｛Ｘ’＿ｉ＿１，Ｘ’＿ｉ＿２｝となっている。

　続いてステップＳ３０７における特徴抽出部１６３は、上述の取得済み特徴データ集合Ｓから、合成特徴データＵを作成する。ここまでの時点で上述の認証対象ユーザから得ている生体情報は、入力順序１番目および２番目、すなわちｉ＿１、ｉ＿２、の生体情報である右手人差し指、右手中指の各生体情報であるから、これらから合成特徴データＵを作成することとなる。

　次にステップＳ３０８における認証・暗号・署名部１６４は、上述のステップＳ３０７で得た合成特徴データＵに対応する保護テンプレートＴ＿ｊを、上述の保護テンプレートの組Ｔ（ステップＳ３０１、Ｓ３０２で得ているもの）の中から選択する。上述の場合、今のｋの値すなわちｋ＝２に対応する入力順序で得ている「右手人差し指」、「右手中指」の組に関して登録済みの保護テンプレートを選択することとなる。図４で例示するテンプレートデータベース１２０の場合、例えば、２番目のレコード、すなわち入力順序２番であり、２つの部位「Ａ」、「Ｂ」に関する保護テンプレートが該当する。

　続いてステップＳ３０９における認証・暗号・署名部１６４は、 上述の合成特徴データＵと、ステップＳ３０８で選択した保護テンプレートＴ＿ｊとを照合し、以降、この照合結果に応じて、上述のステップＳ３１０～Ｓ３１１、或いはステップＳ３１０～Ｓ３１３を同様に実行する。

　ここで上述のステップＳ３１２に関する説明に戻る。照合に失敗し（Ｓ３１０：ｎ）、かつｋ＝ｎの場合（Ｓ３１２：ｙ）、認証・暗号・署名部１６４は、認証失敗のメッセージを出力装置１５６に表示させるなどの所定処理を実行し（Ｓ３１４）、以降のフローを終了する。

　以上のように、本実施例ではユーザに逐次的に生体情報を入力させながら、逐次バイオメトリック暗号システム１０の認証端末１５０は、これまでに入力された生体情報を組み合わせ、合成特徴データを作成した上で、これに対応する保護テンプレートと照合を行う。逐次処理が進むごとに生体情報が増えるため、合成特徴データの情報量は増え、より確実に本人を認証することができるようになる、つまり本人が受理される確率が高まっていく。このようにして、照合スコアが計算できないバイオメトリック暗号においても、照合スコアを用いる逐次判定手法と同等の精度向上効果を達成することができる。更に本実施形態では、他人が誤って受理される確率は各逐次判定処理において常にＦＡＲ以下に制御されているため、総当たり攻撃による生体情報の復元や推定、なりすましを防止することもできる。

　なお、上述した図６のフローすなわち照合処理において、ユーザＩＤの取得（Ｓ３００）のステップを実行しない形態を採用してもよい。この場合、認証端末１５０においてＩＤ入力部１６０は不要となる。ユーザＩＤの取得を行わない場合は、該当ユーザの存在認識の処理を行う状況に対応しており、ステップＳ３０１において、可能性のある全てのユーザＩＤに対する保護テンプレートの組Ｔを取得することになる。

　またステップＳ３０８において、認証・暗号・署名部１６４は、上述の可能性のある全てのユーザＩＤに対する保護テンプレートの組Ｔのそれぞれに対し、その中から、合成特徴データＵに対応する保護テンプレートＴ＿ｊを選択し、ステップＳ３０９において合成特徴データＵと保護テンプレートＴ＿ｊとを照合する。

　またステップＳ３１０で、可能性のある全てのユーザＩＤに対する保護テンプレートの組Ｔのいずれかと、合成特徴データＵとの間で照合成功したならば、ステップＳ３１１において該当ユーザＩＤを出力装置１５６に出力したり、ステップＳ３０９において秘密鍵を復元した場合は、該当ユーザＩＤと秘密鍵とに基づいて所定の認証サーバとの間でチャレンジレスポンス認証を実行してもよいし、何らかの電子データに対して秘密鍵を用いて暗号化や署名処理を施してもよいし、暗号化されたデータを秘密鍵で復号化してもよい。

　以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。

　こうした本実施形態によれば、生体情報を秘匿しつつ認証や暗号、署名などの処理を行うバイオメトリック暗号において、複数の生体情報を組み合わせることで高い認証精度を達成しつつ、認証、暗号、署名などの処理の際に、ユーザが入力する必要のある生体情報の数を最低限に抑え、利便性を高めることができる。ひいては、バイオメトリック暗号において、高い精度向上効果を持つ逐次マルチモーダル判定を実現し、暗号処理に関する安全性、精度、利便性を共に良好なものと出来る。

　本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の逐次バイオメトリック暗号システムにおいて、前記演算装置は、前記照合処理における前記ユーザに関する所定処理として、ユーザ認証成功、所定データの暗号化、所定データの復号化、および、電子署名生成、の少なくともいずれかを実行するものである、としてもよい。

　これによれば、バイオメトリック暗号処理に伴うユーザ認証、データの暗号化、復号化、電子署名の各処理を、良好な安全性、精度、および利便性の下で実行できることになる。

　また、本実施形態の逐次バイオメトリック暗号システムにおいて、前記演算装置は、前記照合処理に際し、当該照合処理の開始から、前記所定ユーザについてセンサを介し、互いに異なる生体情報を逐次的に取得し、照合処理開始時点から現時点までに得ている全ての生体情報から特徴データを抽出して組合せ、当該特徴データの組合せに対し、所定属性が同じ生体情報に由来する前記保護テンプレートを照合し、当該照合に成功した場合に前記ユーザに関する所定処理を実行するものである、としてもよい。

　これによれば、照合処理開始時にユーザがセンサに読み取らせた部位、例えば人差し指に関して上述の照合に失敗した場合でも、続いて読み取らせた中指と既に読み取っている人差し指の各生体情報から特徴データを抽出して組合せ、これに対して、該当ユーザの人差し指と中指に関して保持する保護テンプレートを照合するといった処理が行われることとなり、逐次的な生体情報取得の処理が進むごとに生体情報が増えることで特徴データの情報量も増加し、より確実な本人認証が可能となる。つまり真正な本人の認証に成功する確率が上述の逐次的な処理の進行に応じて高まっていく（本人拒否率が低下していくと同義）。

　また、本実施形態の逐次バイオメトリック暗号システムにおいて、前記演算装置は、前記照合処理に際し、前記照合に失敗した場合、前記照合処理開始時点からの生体情報の取得数が規定数に達しているか判定し、前記判定の結果、前記取得数が前記規定数に達していないならば、前記互いに異なる生体情報の逐次的な取得の処理と、前記特徴データの組合せに対する前記保護テンプレートの照合以降の処理を繰り返し実行し、前記判定の結果、前記取得数が前記規定数に達しているならば、前記照合処理に失敗したと判断し以降の処理を終了するものである、としてもよい。

　これによれば、上述した逐次的な生体情報取得の処理が進むに従って、真正な本人の認証に成功する確率が高まっていく効果と共に、例えば、単にセンサに対するユーザの体勢等に応じた照合失敗の事態から（上述の規定数到達までの）早期に脱し、あらためて照合処理を再実行させて全体の処理効率を高めることが可能となる。

　また、本実施形態の逐次バイオメトリック暗号システムにおいて、前記演算装置は、前記登録処理に際し、所定の他人受入率を達成する保護テンプレートを作成するものである、としてもよい。

　これによれば、上述のごとき本人拒否率（ＦＲＲ）低下と併せて、他人受入率（ＦＡＲ）を所定基準以下として、他人によるなりすましの発生を回避する効果が更に高まる。

　また、本実施形態の逐次バイオメトリック暗号システムにおいて、前記演算装置は、前記登録処理に際し、前記抽出した複数個の特徴データから、予めユーザ毎に決められた生体情報の入力順序に従って、組合せ個数を逓増させて複数の特徴データの組を順次選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成するものである、としてもよい。

　これによれば、ユーザがセンサに各部位を読み取らせた順番、例えば人差し指、中指、薬指、小指、といった順番に従って、組合せ個数を１からインクリメントさせた複数の特徴データの組を、例えば、人差し指のみの組み、人差し指と中指の組み、人差し指と中指と薬指の組み、人差し指と中指と薬指と小指の組み、などと順次選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成することになる。この場合、予め定められた順番での生体情報読み取りと、これに応じた保護テンプレートとの照合が効率的に実行されることとなり、全体の処理効率も更に向上する。

　また、本実施形態の逐次バイオメトリック暗号システムにおいて、前記演算装置は、前記登録処理に際し、前記抽出した複数個の特徴データから前記組合せ個数の特徴データの組を選択するにあたり、該当組合せ個数内で取り得る全ての特徴データの組合せを選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成するものである、としてもよい。

　これによれば、ユーザがセンサに各部位を読み取らせる順番に規定が無い状況にも対応した、保護テンプレートを作成することになる。この場合、ユーザの随意の順番での生体情報読み取りと、これに応じた保護テンプレートとの照合が確実に実行可能となる。

　また、本実施形態の逐次バイオメトリック暗号システムが、前記登録処理を実行する登録端末と、前記照合処理を実行する認証端末から構成されるとしてもよい。

　これによれば、例えば金融機関における窓口端末など、ユーザの生体情報登録を行う端末と、金融機関におけるＡＴＭ端末など、ユーザの生体情報に基づく認証を行う端末とが別の装置構成となっている状況に対応して、逐次バイオメトリック暗号の処理を行うことが可能となる。

　また、本実施形態の逐次バイオメトリック暗号処理方法において、前記情報処理装置が、前記照合処理における前記ユーザに関する所定処理として、ユーザ認証成功、所定データの暗号化、所定データの復号化、および、電子署名生成、の少なくともいずれかを実行するとしてもよい。

　また、本実施形態の逐次バイオメトリック暗号処理方法において、前記情報処理装置が、前記照合処理に際し、当該照合処理の開始から、前記所定ユーザについてセンサを介し、互いに異なる生体情報を逐次的に取得し、照合処理開始時点から現時点までに得ている全ての生体情報から特徴データを抽出して組合せ、当該特徴データの組合せに対し、所定属性が同じ生体情報に由来する前記保護テンプレートを照合し、当該照合に成功した場合に前記ユーザに関する所定処理を実行するとしてもよい。

　また、本実施形態の逐次バイオメトリック暗号処理方法において、前記情報処理装置が、前記照合処理に際し、前記照合に失敗した場合、前記照合処理開始時点からの生体情報の取得数が規定数に達しているか判定し、前記判定の結果、前記取得数が前記規定数に達していないならば、前記互いに異なる生体情報の逐次的な取得の処理と、前記特徴データの組合せに対する前記保護テンプレートの照合以降の処理を繰り返し実行し、前記判定の結果、前記取得数が前記規定数に達しているならば、前記照合処理に失敗したと判断し以降の処理を終了する、としてもよい。

　また、本実施形態の逐次バイオメトリック暗号処理方法において、前記情報処理装置が、前記登録処理に際し、所定の他人受入率を達成する保護テンプレートを作成するとしてもよい。

　また、本実施形態の逐次バイオメトリック暗号処理方法において、前記情報処理装置が、前記登録処理に際し、前記抽出した複数個の特徴データから、予めユーザ毎に決められた生体情報の入力順序に従って、組合せ個数を逓増させて複数の特徴データの組を順次選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成するとしてもよい。　　　

　
　また、本実施形態の逐次バイオメトリック暗号処理方法において、前記情報処理装置が、前記登録処理に際し、前記抽出した複数個の特徴データから前記組合せ個数の特徴データの組を選択するにあたり、該当組合せ個数内で取り得る全ての特徴データの組合せを選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成するとしてもよい。

１０　逐次バイオメトリック暗号システム
１００　登録端末
１０１、１５１　記憶装置
１０２、１５２　プログラム
１０３、１５３　メモリ
１０４、１５４　ＣＰＵ
１０５、１５５　入力装置
１０６、１５６　出力装置
１０７、１５７　通信装置
１１０　センサ部
１１１　特徴量抽出部
１１２　ＩＤ入力部
１１３　保護テンプレート作成部
１２０　テンプレートＤＢ
１４０　ネットワーク
１５０　認証端末
１６０　ＩＤ入力部
１６１　保護テンプレート取得部
１６２　センサ部
１６３　特徴抽出部
１６４　認証・暗号・署名部

Claims (15)

1. 　ユーザごとに複数取得された生体情報の各々から特徴データを抽出し、当該抽出した複数個の特徴データから、組合せ個数を逓増させて複数の特徴データの組を順次選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成して記憶装置に格納する登録処理と、
   　所定ユーザについてセンサを介して取得した、該当ユーザの１つ以上の生体情報の組合せについて特徴データを抽出し、当該抽出した特徴データの組合せに対し、所定属性が同じ生体情報に由来する前記保護テンプレートを照合し、当該照合に成功した場合に前記ユーザに関する所定処理を実行する照合処理と、
   　を実行する演算装置を含むことを特徴とする逐次バイオメトリック暗号システム。
2. 　前記演算装置は、
   　前記照合処理における前記ユーザに関する所定処理として、ユーザ認証成功、所定データの暗号化、所定データの復号化、および、電子署名生成、の少なくともいずれかを実行するものである、
   　ことを特徴とする請求項１に記載の逐次バイオメトリック暗号システム。
3. 　前記演算装置は、
   　前記照合処理に際し、当該照合処理の開始から、前記所定ユーザについてセンサを介し、互いに異なる生体情報を逐次的に取得し、照合処理開始時点から現時点までに得ている全ての生体情報から特徴データを抽出して組合せ、当該特徴データの組合せに対し、所定属性が同じ生体情報に由来する前記保護テンプレートを照合し、当該照合に成功した場合に前記ユーザに関する所定処理を実行するものである、
   　ことを特徴とする請求項２に記載の逐次バイオメトリック暗号システム。
4. 　前記演算装置は、
   　前記照合処理に際し、前記照合に失敗した場合、前記照合処理開始時点からの生体情報の取得数が規定数に達しているか判定し、
   　前記判定の結果、前記取得数が前記規定数に達していないならば、前記互いに異なる生体情報の逐次的な取得の処理と、前記特徴データの組合せに対する前記保護テンプレートの照合以降の処理を繰り返し実行し、
   　前記判定の結果、前記取得数が前記規定数に達しているならば、前記照合処理に失敗したと判断し以降の処理を終了する、
   　ものであることを特徴とする請求項３に記載の逐次バイオメトリック暗号システム。
5. 　前記演算装置は、
   　前記登録処理に際し、所定の他人受入率を達成する保護テンプレートを作成するものである、
   　ことを特徴とする請求項１に記載の逐次バイオメトリック暗号システム。
6. 　前記演算装置は、
   　前記登録処理に際し、前記抽出した複数個の特徴データから、予めユーザ毎に決められた生体情報の入力順序に従って、組合せ個数を逓増させて複数の特徴データの組を順次選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成するものである、
   　ことを特徴とする請求項１に記載の逐次バイオメトリック暗号システム。
7. 　前記演算装置は、
   　前記登録処理に際し、前記抽出した複数個の特徴データから前記組合せ個数の特徴データの組を選択するにあたり、該当組合せ個数内で取り得る全ての特徴データの組合せを選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成するものである、
   　ことを特徴とする請求項１に記載の逐次バイオメトリック暗号システム。
8. 　前記登録処理を実行する登録端末と、前記照合処理を実行する認証端末から構成されることを特徴とする請求項１に記載の逐次バイオメトリック暗号システム。
9. 　情報処理装置が、
   　ユーザごとに複数取得された生体情報の各々から特徴データを抽出し、当該抽出した複数個の特徴データから、組合せ個数を逓増させて複数の特徴データの組を順次選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成して記憶装置に格納する登録処理と、
   　所定ユーザについてセンサを介して取得した、該当ユーザの１つ以上の生体情報の組合せについて特徴データを抽出し、当該抽出した特徴データの組合せに対し、所定属性が同じ生体情報に由来する前記保護テンプレートを照合し、当該照合に成功した場合に前記ユーザに関する所定処理を実行する照合処理と、
   　を実行することを特徴とする逐次バイオメトリック暗号処理方法。
10. 　前記情報処理装置が、
    　前記照合処理における前記ユーザに関する所定処理として、ユーザ認証成功、所定データの暗号化、所定データの復号化、および、電子署名生成、の少なくともいずれかを実行することを特徴とする請求項９に記載の逐次バイオメトリック暗号処理方法。
11. 　前記情報処理装置が、
    　前記照合処理に際し、当該照合処理の開始から、前記所定ユーザについてセンサを介し、互いに異なる生体情報を逐次的に取得し、照合処理開始時点から現時点までに得ている全ての生体情報から特徴データを抽出して組合せ、当該特徴データの組合せに対し、所定属性が同じ生体情報に由来する前記保護テンプレートを照合し、当該照合に成功した場合に前記ユーザに関する所定処理を実行することを特徴とする請求項１０に記載の逐次バイオメトリック暗号処理方法。
12. 　前記情報処理装置が、
    　前記照合処理に際し、前記照合に失敗した場合、前記照合処理開始時点からの生体情報の取得数が規定数に達しているか判定し、
    　前記判定の結果、前記取得数が前記規定数に達していないならば、前記互いに異なる生体情報の逐次的な取得の処理と、前記特徴データの組合せに対する前記保護テンプレートの照合以降の処理を繰り返し実行し、
    　前記判定の結果、前記取得数が前記規定数に達しているならば、前記照合処理に失敗したと判断し以降の処理を終了する、
    　ことを特徴とする請求項１１に記載の逐次バイオメトリック暗号処理方法。
13. 　前記情報処理装置が、
    　前記登録処理に際し、所定の他人受入率を達成する保護テンプレートを作成することを特徴とする請求項９に記載の逐次バイオメトリック暗号処理方法。
14. 　前記情報処理装置が、
    　前記登録処理に際し、前記抽出した複数個の特徴データから、予めユーザ毎に決められた生体情報の入力順序に従って、組合せ個数を逓増させて複数の特徴データの組を順次選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成することを特徴とする請求項９に記載の逐次バイオメトリック暗号処理方法。
15. 　前記情報処理装置が、
    　前記登録処理に際し、前記抽出した複数個の特徴データから前記組合せ個数の特徴データの組を選択するにあたり、該当組合せ個数内で取り得る全ての特徴データの組合せを選択し、当該選択した各特徴データの組ごとに保護テンプレートを作成することを特徴とする請求項９に記載の逐次バイオメトリック暗号処理方法。

Images