WO2022172491A1 - 認証装置及び認証方法 - Google Patents

Abstract

認証装置は、バイオメトリック暗号を用いて秘密鍵と生体情報とから生成された秘匿テンプレートと、本人確認情報が当該秘密鍵で暗号化された暗号化本人確認情報と、の組み合わせと、利用者の生体情報と、を保持し、当該利用者の生体情報を用いて、秘匿テンプレートから当該秘密鍵を抽出し、抽出した秘密鍵を用いて、暗号化本人確認情報を復号して本人確認情報を取得し、取得した本人確認情報に基づいて、当該利用者の本人性を確認する。

Description

認証装置及び認証方法 参照による取り込み

　本出願は、2021年2月12日に出願された日本特許出願第2021-020701号の優先権を主張し、その内容を参照することにより、本出願に取り込む。

　本発明は、認証装置及び認証方法に関する。

　個人認証は、利用者が予め登録された本人であることを確認する処理であり、様々なＩＴ（Ｉｎｆｏｒｍａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ）システムにおいて行われる基本的な処理である。例えば、キャッシュレス決済では、クレジットカードに代表されるカード及び暗証番号、又はスマートデバイス上に表示した２次元コード等を提示すること等により、個人認証が行われて決済が行われる。これらの仕組みは既に一般に普及しているが、不正決済等の事件も多々発生しており、複数の認証手段を組み合わせてセキュリティを向上させる２要素認証の導入が推奨されている。

　個人認証手段として、パスワードや暗証番号などを利用する知識認証、カードやスマートデバイスなどを利用する所有認証、及び指紋や顔などを利用する生体認証等がある。これらのような個人認証手段では、登録時に予め取得されたデータと認証時に本人から取得されたデータとを照合することで、本人であるかどうかを判定する。

　これらの個人認証手段の２種類以上を組み合わせることで不正が起きにくくする方式を２要素認証と呼ぶ。一般に２要素認証は、異なる２要素の組み合わせを意味し、例えば、カード認証と顔認証の両方に成功したときに、成功となる方式等がある。ただし、指紋と顔等の同じ種別の個人認証手段の組み合わせも不正防止に有効である。

　個人認証においては、登録データからの情報漏えいが課題となる。例えば、パスワードや暗証番号において、パスワードや暗証番号のハッシュ値が登録されることが典型的であるが、ハッシュ値を入手した攻撃者は典型的な平文や他のシステムから漏洩した平文に対するハッシュ値と突き合わせることで、元のパスワードや暗証番号を特定することができ、なりすまし攻撃を行うことができる。また、指紋や顔などの生体情報が用いられる場合、指紋や顔から抽出された特徴量（テンプレート）が登録されるが、これらは機微な個人情報であり強固に保護する必要がある。

　一方で、カードやスマートデバイスを利用する所有認証では、カードやスマートデバイスに秘密鍵を格納し、当該秘密鍵と対になる公開鍵を登録することで、登録データからの情報漏えいを防止できる。この所有認証を用いて、他の認証手段の登録データを暗号化すると、２要素認証における登録データからの情報漏えいを防止することができる。

　本発明の背景技術として、特開２０２０－００５０６４号公報（特許文献１）がある。この公報には、「各利用者の個人情報または生体認証情報を、ユーザ公開鍵で暗号化した状態で、ユーザ固有情報２２ｄとして車両側のサービス端末２０に保持しておく。サービス利用要求Ｒｕ２が入力された時に、サービス端末２０がユーザ秘密鍵Ｋｕｓを取得してユーザ固有情報２２ｄを復号し、復号結果を利用者の認証に利用する。サーバ機器３０と通信できない環境でもユーザ固有情報２２ｄを用いてサービス端末２０が利用者を認証できる。利用者権限情報２２ａは、サーバ機器３０が生成しサーバの電子署名２２ｂを付与した状態で暗号化してサービス端末２０に送信する。」と記載されている（要約参照）。

特開２０２０－００５０６４号公報

　特許文献１に記載の技術は、カードに秘密鍵が格納され、当該秘密鍵を認証時に用いることを前提としているため、利用者は、秘密鍵を格納したカードやスマートデバイス等を携帯する必要がある。従って、利用者がカードやスマートデバイスを携帯していない時には、認証を受けることができない。

　また、利用者がカードやスマートデバイスを紛失した場合、認証を受けることができなくなる上、カードやスマートデバイスが盗難された場合には第三者が秘密鍵を使ってテンプレートを復号するおそれがある。上記した問題点は、登録データの保護をカード等の所有物に依存していることに起因する。認証時に所有物を要求せず、手ぶらで２要素認証を行うことを実現すれば、いつでも認証を受けられる上、所有物の紛失や盗難に伴うリスクもなくなる。

　そこで本発明の一態様は、登録データからの情報漏えいを防止する２要素認証を、認証時に所有物を要求しない手ぶら認証で実現する。

　上記課題を解決するため本発明の一態様は以下の構成を採用する。認証装置であって、プロセッサとメモリとを有し、前記メモリは、バイオメトリック暗号を用いて秘密鍵と生体情報とから生成された秘匿テンプレートと、本人確認情報が前記秘密鍵で暗号化された暗号化本人確認情報と、の組み合わせと、利用者の生体情報と、を保持し、前記プロセッサは、前記利用者の生体情報を用いて、前記秘匿テンプレートから前記秘密鍵を抽出し、前記抽出した秘密鍵を用いて、前記暗号化本人確認情報を復号して本人確認情報を取得し、前記取得した本人確認情報に基づいて、前記利用者の本人性を確認する、認証装置。

　本発明の一態様によれば、登録データからの情報漏えいを防止する２要素認証を、認証時に所有物を要求しない手ぶら認証で実現することができる。

　上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

第一の実施形態における認証端末、認証サーバ、及び登録端末の構成例を示すブロック図である。 第一の実施形態における認証端末、認証サーバ、及び登録端末それぞれを構成する計算機のハードウェア構成の一例を示すブロック図である 第一の実施形態における初期登録処理の一例を示すシーケンス図である。 第一の実施形態における認証処理の一例を示すシーケンス図である。 第一の実施形態における鍵抽出処理の一例を示すフローチャートである。 第一の実施形態における本人確認処理の一例を示すフローチャートである。 第二の実施形態における認証処理の一例を示すフローチャートである。 第三の実施形態における本人確認処理の一例を示すフローチャートである。

　以下、本発明の実施形態を図面に基づいて詳細に説明する。本実施形態において、同一の構成には原則として同一の符号を付け、繰り返しの説明は省略する。なお、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。

＜第一の実施形態＞
　第一の実施形態では、第一の認証要素としてバイオメトリック暗号に基づく生体認証を用い、認証成功時に秘密鍵を復元し、当該秘密鍵で本人確認情報と秘密情報を復号し、当該本人確認情報を用いて第二の認証要素の確認を行い、当該秘密情報を用いてトランザクションを生成し、当該トランザクションを実行する生体認証システムを説明する。

　図１は、認証端末、認証サーバ、及び登録端末の構成例を示すブロック図である。認証端末１０００、認証サーバ１１００、及び登録端末１２００は、例えばインターネット等のネットワークで互いに接続されている。なお、認証端末１０００と登録端末１２００は互いに接続されていなくてもよい。

　認証端末１０００は、例えば、識別子取得部１０１０、生体情報取得部１０２０、秘密鍵抽出部１０３０、データ復号部１０４０、本人確認情報出力部１０５０、確認結果取得部１０６０、及びトランザクション生成部１０７０を含む。

　識別子取得部１０１０は、利用者を一意に識別する識別子を取得する。識別子取得部１０１０は、例えば、キーボードなどの入力装置を介して、ユーザ名及びメールアドレスなどの文字列を識別子として取得する。本実施形態では、識別子取得部１０１０は、利用者が指定した識別子を取得する例を主に説明しているが、それに限定されない。例えば、識別子取得部１０１０は、認証サーバ１１００が自動的に付与した識別子を取得してもよいし、予め別の手段で付与された識別子を読み込んでもよい。

　生体情報取得部１０２０は、利用者から指紋、顔、虹彩、静脈、掌紋、網膜、及び声紋などの生体情報を取得する。生体情報取得部１０２０は、例えば、指紋センサ及び静脈センサなどの専用デバイスから生体情報を取得してもよいし、カメラ及びマイクなどの汎用デバイスから生体情報を取得してもよい。

　秘密鍵抽出部１０３０は、バイオメトリック暗号に基づき、秘匿テンプレートと生体情報から、秘密鍵を抽出する。バイオメトリック暗号とは、登録時に生体情報と秘密鍵から秘匿テンプレートが生成され、認証時に秘匿テンプレートと生体情報から秘密鍵が抽出される、テンプレート保護技術の一例である。秘匿テンプレートは、攻撃者が秘匿テンプレートを入手したとしても生体情報や秘密鍵に関する情報が漏洩しないように設計されており、生体情報や秘密鍵を秘匿テンプレートに変換することで安全な生体認証システムを構築することができる。

　データ復号部１０４０は、暗号化されたデータを、秘密鍵を使って復号する。秘密鍵を使ってデータを暗号化する共通鍵暗号、及び秘密鍵と対になる公開鍵を使ってデータを暗号化する公開鍵暗号などはいずれも、データの暗号化方法の一例である。

　本人確認情報出力部１０５０は、本人確認情報を出力する。顔写真、氏名、免許証画像、パスポート画像、自分しか知らない秘密の画像、及び秘密の質問と回答などはいずれも本人確認情報の一例である。なお、本人確認情報は、指紋、顔、虹彩、静脈、掌紋、網膜、及び声紋などの利用者の生体情報、又は生体情報の変化を示すデータであってもよい。本人確認情報出力部１０５０は、例えば、上記のような本人確認情報を、ディスプレイ及びスマートデバイスなどに利用者本人又は店員などの確認者が視認可能な形式で表示する。

　確認結果取得部１０６０は、本人確認情報出力部１０５０が出力した本人確認情報を利用者本人又は確認者が確認した結果を取得する。典型的には、店員などの確認者が、顔写真、免許証画像、及びパスポート画像などの内容と、利用者と、を比較して、確かに本人であるかどうかを示す結果を、マウス、キーボード、音声、及びタッチパネルなどの入力装置を用いて入力し、確認結果取得部１０６０は当該結果を取得する。

　トランザクション生成部１０７０は、認証成功時にトランザクションを生成する。トランザクションとは、２要素認証（本人確認情報及び秘密情報による認証）の後に実行される処理に相当し、例えば、システムへのログインにおけるチャレンジレスポンス、決済システムにおける支払い処理などに対応する。

　認証サーバ１１００は、例えば、テンプレート検索部１１１０、トランザクション実行部１１２０、及びテンプレート格納部１１９０を含む。テンプレート検索部１１１０は、識別子に対応するテンプレートセットをテンプレート格納部１１９０から検索して取得する。

　トランザクション実行部１１２０は、トランザクション生成部１０７０が生成したトランザクションを実行する。テンプレート格納部１１９０は、登録時に生成したテンプレートセットを保持し、当該テンプレートセットが認証時に読み出されて用いられる。

　登録端末１２００は、例えば、本人確認情報取得部１２１０、秘密情報取得部１２２０、生体情報取得部１２３０、秘匿テンプレート生成部１２４０、データ暗号化部１２５０、及び識別子取得部１２６０を含む。

　本人確認情報取得部１２１０は、例えば、カメラ、キーボード、及びスキャナなどの入力装置を介して、本人確認情報を利用者から取得する。秘密情報取得部１２２０は、例えば、キーボードやスマートデバイスなどの入力装置を介して、クレジットカード番号、及びブロックチェーンのトランザクション生成に用いる署名鍵などの秘密情報を取得する。なお、秘密情報が署名鍵などである場合、秘密情報取得部１２２０は、秘密情報を外部から取得せずに内部で生成することもできる。

　生体情報取得部１２３０は、認証端末１０００の生体情報取得部１０２０と同様の方法で、利用者の生体情報を取得する。秘匿テンプレート生成部１２４０は、生体情報取得部１２３０が取得した生体情報から、秘匿テンプレートを生成する。データ暗号化部１２５０は、本人確認情報及び秘密情報などを、秘密鍵を用いて暗号化する。識別子取得部１２６０は、認証端末１０００の識別子取得部１０１０と同様の方法で識別子を取得する。

　図２は、認証端末１０００、認証サーバ１１００、及び登録端末１２００それぞれを構成する計算機のハードウェア構成の一例を示すブロック図である。

　ＣＰＵ２０１０は、プロセッサを含み、メモリ２０２０に格納されたプログラムを実行する。メモリ２０２０は、不揮発性の記憶素子であるＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）及び揮発性の記憶素子であるＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）を含む。ＲＯＭは、不変のプログラム（例えば、ＢＩＯＳ（Ｂａｓｉｃ　Ｉｎｐｕｔ／Ｏｕｔｐｕｔ　Ｓｙｓｔｅｍ））などを格納する。ＲＡＭは、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）のような高速かつ揮発性の記憶素子であり、ＣＰＵ２０１０が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。

　補助記憶装置２０３０は、例えば、磁気記憶装置（ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ））、フラッシュメモリ（ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ））等の大容量かつ不揮発性の記憶装置であり、ＣＰＵ２０１０が実行するプログラム及びプログラムの実行時に使用されるデータを格納する。すなわち、プログラムは、補助記憶装置２０３０から読み出されて、メモリ２０２０にロードされて、ＣＰＵ２０１０によって実行される。

　入力装置２０４０は、キーボードやマウスなどの、オペレータからの入力を受ける装置である。また、入力装置２０４０は、生体センサ、タッチパネル、スマートデバイス、スキャナ、及びカメラ等の生体情報を取得するためのデバイスを含んでもよい。

　出力装置２０５０は、ディスプレイやプリンタなどの、プログラムの実行結果をオペレータが視認可能な形式で出力する装置である。特に、例えば、認証端末１０００を構成する計算機２０００の出力装置２０５０は、本人確認情報出力部１０５０が出力する情報を表示する。

　通信装置２０６０は、所定のプロトコルに従って、他の装置との通信を制御するネットワークインターフェース装置である。また、通信装置２０６０は、例えば、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）等のシリアルインターフェースを含んでもよい。

　ＣＰＵ２０１０が実行するプログラムは、非一時的な記憶媒体であるリムーバブルメディア（ＣＤ－ＲＯＭ、フラッシュメモリなど）又は非一時的な記憶装置を備える他の計算機からネットワークを介して計算機２０００に提供され、非一時的記憶媒体である不揮発性の補助記憶装置２０３０に格納される。このため、計算機２０００は、リムーバブルメディアからデータを読み込むインターフェースを有するとよい。

　認証端末１０００、認証サーバ１１００、及び登録端末１２００は、それぞれ、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。

　認証端末１０００を構成する計算機２０００のＣＰＵ２０１０は、識別子取得部１０１０、生体情報取得部１０２０、秘密鍵抽出部１０３０、データ復号部１０４０、本人確認情報出力部１０５０、確認結果取得部１０６０、及びトランザクション生成部１０７０を含む。認証サーバ１１００を構成する計算機２０００のＣＰＵ２０１０は、テンプレート検索部１１１０、トランザクション実行部１１２０、及びテンプレート格納部１１９０を含む。

　登録端末１２００を構成する計算機２０００のＣＰＵ２０１０は、本人確認情報取得部１２１０、秘密情報取得部１２２０、生体情報取得部１２３０、秘匿テンプレート生成部１２４０、データ暗号化部１２５０、及び識別子取得部１２６０を含む。

　例えば、認証端末１０００を構成する計算機２０００のＣＰＵ２０１０は、当該計算機２０００のメモリ２０２０にロードされた識別子取得プログラムに従って動作することで、識別子取得部１０１０として機能し、当該計算機２０００のメモリ２０２０にロードされた生体情報取得プログラムに従って動作することで、生体情報取得部１０２０として機能する。当該計算機２０００のＣＰＵ２０１０に含まれる他の機能部についても、プログラムと機能部の関係は同様である。また、認証サーバ１１００及び登録端末１２００それぞれを構成する計算機２０００が有するＣＰＵ２０１０に含まれる機能部についても、プログラムと機能部の関係は同様である。

　なお、認証端末１０００、認証サーバ１１００、及び登録端末１２００それぞれを構成する計算機２０００のＣＰＵ２０１０に含まれる機能部による機能の一部又は全部が、例えば、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）やＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）等のハードウェアによって実現されてもよい。

　認証サーバ１１００を構成する計算機２０００の補助記憶装置２０３０は、テンプレート格納部１１９０を保持する。なお、認証端末１０００、認証サーバ１１００、及び登録端末１２００それぞれを構成する計算機２０００の補助記憶装置２０３０に格納されている一部又は全部の情報は、当該計算機２０００のメモリ２０２０に格納されていてもよいし、当該計算機２０００に接続されているデータベースに格納されていてもよい。

　なお、本実施形態において、認証端末１０００、認証サーバ１１００、及び登録端末１２００が使用する情報は、データ構造に依存せずどのようなデータ構造で表現されていてもよい。本実施形態ではテーブル形式で情報が表現されているが、例えば、リスト、データベース又はキューから適切に選択したデータ構造体が、情報を格納することができる。
　図３は、初期登録処理の一例を示すシーケンス図である。登録端末１２００と認証サーバ１１００が、初期登録処理を行う。

　まず、登録端末１２００の識別子取得部１２６０は、利用者から識別子２２０を取得する（Ｓ３０１０）。利用者は初期登録を行う対象者である。識別子は、利用者を一意に識別可能な情報であり、例えば英数字の文字列で構成される。本人確認情報取得部１２１０は、利用者から本人確認情報２２１を取得する（Ｓ３０２０）。

　秘密情報取得部１２２０は、利用者から、秘密情報２２２を取得する（Ｓ３０３０）。秘密情報２２２は、トランザクションの生成に必要となる情報であり、例えばクレジットカード番号、及びブロックチェーントランザクション生成に用いられる署名鍵などを含む。なお、秘密情報２２２は前述した情報だけでなく、トランザクション生成時に参照される補助情報を含むことができる。補助情報は、例えば、決済の限度金額、決済が利用可能な地域、及び決済の目的などを含む。

　生体情報取得部１２３０は、利用者から生体情報２２３を取得する（Ｓ３０４０）。生体情報２２３は、指紋、顔、虹彩、静脈、掌紋、網膜、及び声紋などを含む、利用者の身体的特徴及び／又は行動的特徴を示す情報である。

　秘匿テンプレート生成部１２４０は、ステップＳ３０４０で得られた生体情報２２３を用いて、秘匿テンプレートを生成する（Ｓ３０５０）。秘匿テンプレート生成部１２４０は、例えば、Ｆｕｚｚｙ　Ｅｘｔｒａｃｔｏｒ、Ｆｕｚｚｙ　Ｖａｕｌｔなどに代表されるバイオメトリック暗号を用いて、秘匿テンプレートを生成する。具体的には、例えば、秘匿テンプレート生成部１２４０は、秘密鍵２２５をランダムに生成し、秘密鍵２２５と生体情報２２３から秘匿テンプレートを生成する。また、秘密鍵２２５は、例えば、登録端末１２００を構成する計算機２０００の補助記憶装置２０３０に予め格納されていてもよい。

　この秘匿テンプレートは、万が一第三者の手に渡っても、秘密鍵２２５や生体情報２２３を推定することが困難になるよう設計されており、認証サーバ１１００は、生体情報２２３に代えて秘匿テンプレートを管理することで、情報漏えいやなりすましのリスクを抑えた安全な生体認証システムを構築することができる。

　データ暗号化部１２５０は、本人確認情報２２１を秘密鍵２２５で暗号化し（Ｓ３０６０）、秘密情報２２２を秘密鍵２２５で暗号化する（Ｓ２０７０）。データ暗号化部１２５０は、ステップＳ３０１０で取得された識別子、ステップＳ３０５０で生成された秘匿テンプレート、ステップＳ３０６０で生成された暗号化本人確認情報、及びステップＳ３０７０で生成された暗号化秘密情報を含む登録データを、認証サーバ１１００へ送信する（Ｓ３０８０）。

　認証サーバ１１００のテンプレート検索部１１１０は、ステップＳ２０８０で送信された登録データを受信する（Ｓ３１１０）。テンプレート検索部１１１０は、Ｓ３０５０で生成された秘匿テンプレート、ステップＳ３０６０で生成された暗号化本人確認情報、及びステップＳ３０７０で生成された暗号化秘密情報を含むテンプレートセット２２４を、識別子２２０と紐付けてテンプレート格納部１１９０へ登録する（Ｓ３１２０）。以上により、登録端末１２００と認証サーバ１１００による初期登録処理が完了し、利用者は認証を受けることができるようになる。

　図４は、認証端末１０００と認証サーバ１１００による認証処理の一例を示すシーケンス図である。認証端末１０００の識別子取得部１０１０は利用者から識別子２２０を取得して、認証サーバ１１００へ送信する（Ｓ４０１０）。認証サーバ１１００のテンプレート検索部１１１０は受信した識別子２２０に対応するテンプレートセットを、テンプレート格納部１１９０から検索して取得する（４１１０）。

　テンプレート検索部１１１０は、ステップＳ４１１０で取得したテンプレートセット２２４を、認証端末１０００へ送信する（Ｓ４１２０）。認証端末１０００の秘密鍵抽出部１０３０は、ステップＳ４１２０で送信されたテンプレートセット２２４を受信する（Ｓ４０２０）。

　生体情報取得部１０２０は利用者から生体情報２２３を取得し、秘密鍵抽出部１０３０は、当該生体情報２２３とステップＳ４０２０で受信された秘匿テンプレートとを用いて秘密鍵を抽出する（Ｓ４０３０）。秘密鍵抽出部１０３０は、バイオメトリック暗号を用いて秘密鍵を抽出する。具体的には、秘密鍵抽出部１０３０は、利用者から取得した生体情報２２３と秘匿テンプレート登録時の生体情報との誤差が所定値未満である、つまり２つの生体情報が同一人物のものと判定したとき、登録時に生成された正しい秘密鍵２２５を抽出することができる。鍵抽出処理の詳細は、図５を参照して後述する。

　秘密鍵抽出部１０３０がステップＳ４０３０において秘密鍵の抽出に成功したときには、本人確認情報出力部１０５０は暗号化本人確認情報を復号することで本人確認情報２１１を取得して、本人確認情報２２１を出力装置２０５０に出力し、確認結果取得部１０６０は、例えば確認者からの入力に基づいて確認結果３２０を取得する（Ｓ４０４０）。本人確認処理の詳細については、図６を参照して後述する。

　なお、秘密鍵抽出部１０３０がステップＳ４０３０において秘密鍵の抽出に失敗しても、ステップＳ４０４０に進んでもよい。この場合、秘密鍵抽出部１０３０は正しくない秘密鍵を取得しているため、本人確認情報出力部１０５０が暗号化本人確認情報を復号することができず、ステップＳ４０４０の処理がタイムアウトして、図４の処理が終了する。

　本人確認情報出力部１０５０がステップＳ４０４０において本人確認に成功したときには、データ復号部１０４０は、ステップＳ４０２０で受信された暗号化秘密情報を、ステップＳ４０３０で抽出された秘密鍵で復号することで、秘密情報２２２を取得する（Ｓ４０５０）。

　トランザクション生成部１０７０は、ステップＳ４０５０で取得された秘密情報２２２を用いて、トランザクションを生成する（Ｓ４０６０）。トランザクションの生成に必要となるクレジットカード番号や署名鍵などは、秘密情報２２２の一例である。

　トランザクションは、認証成功時に利用者が行いたい処理をす。例えば、利用者の目的がサーバへの認証であれば、トランザクションは、乱数に署名鍵で電子署名を付与したチャレンジレスポンスを含む。また、利用者の目的が決済であれば、トランザクションは、クレジットカード番号、決済金額、及び費目などを含む。また、利用者の目的がブロックチェーンのトランザクション生成である場合には、任意のブロックチェーントランザクションの一部又は全てに、署名鍵で電子署名を付与することで、トランザクションが生成される。

　トランザクション生成部１０７０は、ステップＳ４０６０で生成したトランザクション３２１を、認証サーバ１１００へ送信する（Ｓ４０７０）。認証サーバ１１００のトランザクション実行部１１２０は、ステップＳ４０７０で送信されたトランザクション３２１を受信する（Ｓ４１３０）。トランザクション実行部１１２０は、ステップＳ４１３０で受信したトランザクション３２１を実行する（Ｓ４１４０）。

　トランザクションの実行とは、例えば利用者の目的が認証であれば、アクセスを許可してアクセス制限付きコンテンツへアクセスさせることを含む。また、利用者の目的が決済であれば、トランザクションの実行とは、クレジットカード会社へトランザクションを転送して、利用者のクレジットカードからの支払い処理を完了させることを含む。また、利用者の目的がブロックチェーンのトランザクション生成であれば、トランザクションの実行とは、当該トランザクションをブロックチェーンネットワーク上にシェアして、必要に応じて承認やマイニングなどの処理を行い、トランザクションを完了させることを含む。

　以上により、認証端末１０００が２要素認証を要求し、認証サーバ１１００はトランザクション処理を完了させることができる。利用者は、識別子２２０及び生体情報２２３を入力するだけで、本人確認情報の復号、及び確認者による確認を受けることが可能となり、利用者がカードなどを所持することなく手ぶらで安全な２要素認証を行うことが可能となる。

　図５は、ステップＳ３０３０における鍵抽出処理の一例を示すフローチャートである。認証端末１０００の生体情報取得部１０２０は、利用者から生体情報２２３を取得する（Ｓ５０１０）。この生体情報は、初期登録時にステップＳ３０４０で取得された生体情報と同種のものであり、例えば、指紋、顔、虹彩、静脈、掌紋、網膜、及び声紋などである。

　秘密鍵抽出部１０３０は、ステップＳ４０２０で受信されたテンプレートセット２２４に含まれる秘匿テンプレートと、ステップＳ５０１０で取得された生体情報２２３とを使ってバイオメトリック暗号の鍵抽出処理を実施する（Ｓ５０２０）。登録時のステップＳ３０４０で取得された生体情報２２３と、認証時のステップＳ５０１０で取得された生体情報２２３との誤差が所定値未満である場合に限り、秘密鍵抽出部１０３０は、正しい秘密鍵を抽出することができる。

　生体情報間の誤差が当該所定値以上となる場合には、秘密鍵抽出部１０３０は、秘密鍵の抽出に失敗するか、正しくない秘密鍵を抽出する。これにより、秘密鍵抽出部１０３０は、登録された利用者と同一人物が認証した時に限り秘密鍵を得ることができ、以降のデータ復号を行うことができる。このため、本実施形態では本人確認情報や秘密情報を強固に保護し、本人しかアクセスできない安全性を実現している。

　秘密鍵抽出部１０３０は、ステップＳ５０２０における秘密鍵の抽出結果が成功であるかを判定する（Ｓ５０３０）。秘密鍵抽出部１０３０は、秘密鍵の抽出結果が失敗であると判定した場合（Ｓ５０３０：失敗）、ステップＳ４０１０に戻る。秘密鍵抽出部１０３０は、秘密鍵の抽出結果が成功であると判定した場合（Ｓ５０３０：成功）、鍵抽出処理を終了する。以上の処理により、利用者が手ぶらであっても安全に秘密鍵の抽出を行うことができる。

　なお、秘密鍵抽出部１０３０は、上記したように正しい秘密鍵を抽出した場合にのみ秘密鍵抽出処理を終了してもよいし、秘密鍵を所定回数生成したものの正しい秘密鍵を抽出できなかった場合に、正しくない秘密鍵を抽出した状態で秘密鍵抽出処理を終了してもよい。

　図６は、ステップＳ４０４０における本人確認処理の一例を示すフローチャートである。認証端末１０００は、本人確認処理において、本人確認情報を復号した上で確認者へ提示し、確認結果を受け取ることで、生体認証に続く２要素目の認証を実現する。

　まず、データ復号部１０４０は、ステップＳ５０２０で抽出された秘密鍵を用いて、ステップＳ４０２０で受信されたテンプレートセット２２４に含まれる暗号化本人確認情報を復号する（Ｓ６０１０）。

　本人確認情報出力部１０５０は、復号された本人確認情報２２１を入力装置２０４０に出力して、確認者へ確認を求める（Ｓ６０２０）。この確認者は、例えば、認証端末１０００が設置された店舗の店員のような第三者である。例えば、確認者が第三者であり、２要素目の認証として顔写真、免許証画像、又はパスポート画像などが用いられる場合には、本人確認情報出力部１０５０は、これらの本人確認情報を出力装置２０５０へ表示して、確認者は、認証を試みている利用者が本人であるかどうかを目視確認する。

　認証端末１０００の入力装置２０４０は、確認者から確認結果３２０の入力を受け付け（Ｓ６０３０）、本人確認情報出力部１０５０は、当該確認結果に対する判定を行う（Ｓ６０４０）。確認者が第三者である場合には、例えば、確認結果を「一致」「不一致」のような値で確認者に選択させ、本人確認情報出力部１０５０は、当該確認結果を取得して確認結果の値を判定する。なお、本人確認の判定結果が「不一致」であった場合には、ステップＳ４０５０へと遷移することなく、処理が終了してもよい。

　これらの２要素目の認証に用いられる本人確認情報は、ステップＳ６０１０で復号されるまでは暗号化されており、他者が本人確認情報の内容を確認することができない。このため、登録データからの情報漏洩を防止し、安全な２要素認証システムを実現することができる。

＜第二の実施形態＞
　第二の実施形態では、第一の実施形態において行っていたステップＳ３０１０の識別子取得処理が行われず、全ての登録データを対象に鍵抽出処理が行われる。第一の実施形態における認証が識別子に対応する登録データを１件に抽出した上で照合を行うため１：１認証と呼ばれるのに対し、第二の実施形態における認証は識別子が入力されることなくＮ件の登録データ全件と照合を行うため、１：Ｎ認証と呼ばれる。

　１：Ｎ認証では、識別子が入力されずに生体情報が入力されるのみで認証が完了するため、１：１認証よりも利便性が高いシステムを実現することができる。ただし、１：１認証よりも速度や精度が落ちる。実システムが構築される際には、利便性と性能のトレードオフを意識しつつ、どちらを採用するかが検討される必要がある。

　図７は認証処理の一例を示すフローチャートである。図４との相違点を説明し、同様の点については説明を省略する。図７では、図４のステップＳ４０１０、ステップＳ４１１０、ステップＳ４１２０、ステップＳ４０２０の処理は行わず、認証端末１０００は、予めテンプレート格納部１１９０を保持する。

　認証端末１０００がこのテンプレート格納部１１９０を管理して登録及び認証を行うスタンドアローンの運用を行うこともできるし、認証サーバ１１００に対して登録が行われ、認証サーバ１１００上のテンプレート格納部１１９０と認証端末１０００上のテンプレート格納部１１９０との同期をとる運用を行うこともできる。前述したようにステップＳ７０３０の鍵抽出処理は、全ての秘匿テンプレートに対して行われる。ステップＳ７０３０の鍵抽出処理より後の処理は、図４と同様である。
　これにより、第二の実施形態では第一の実施形態における識別子入力の手間がなくなり、より利用者の利便性が高い認証システムを実現することができる。

＜第三の実施形態＞
　第三の実施形態は、第一の実施形態において行われるステップＳ４０４０の本人確認処理を、図８の処理へ置き換えたものである。第一の実施形態では、認証端末１０００は、第三者の確認者へ本人確認情報を出力し、確認者が入力した確認結果を取得して認証を行う。

　第三の実施形態では、確認者に代わり、利用者本人が第二の認証を行う。第一の実施形態の認証端末１０００は第二の認証を第三者である確認者に依存していたため、例えば店舗のレジなどで利用されることが想定される。第三の実施形態の認証端末１０００は、第三者に依存せず利用者本人のみで認証行為を完結させることができるため、利用者の自宅における手続きや、セルフレジなどに適用することができる。

　図８は、ステップＳ４０４０における本人確認処理の一例を示すフローチャートである。データ復号部１０４０は、本人確認情報を復号する（Ｓ８０１０）。ステップＳ８０１０の復号で得られる本人確認情報は、パスワード又はパスワードのハッシュ値、生体情報又は生体情報を加工したデータ、秘密の画像、及び秘密の質問など、のように文字列又は文字列から変換されたデータであり、利用者に問い合わせてレスポンスを取得することで本人かどうかを確認可能な情報である。

　本人確認情報出力部１０５０は、利用者から認証情報８２０を取得する（Ｓ８０２０）。認証情報８２０は、例えば、パスワード、生体情報、秘密の画像の選択結果、及び秘密の質問に対する回答など本人確認情報と同種の情報を含む。

　本人確認情報出力部１０５０は、ステップＳ８０２０で取得した認証情報と本人確認情報とを照合して、利用者が本人であるかどうかを判定する（Ｓ８０４０）。本人確認情報出力部１０５０が、ステップＳ８０４０における認証に成功した場合は、図４のステップＳ４０５０以降の処理に進み、第一の実施形態と同様の処理が進行する。本人確認情報出力部１０５０がステップＳ８０４０における認証に失敗した場合は、ステップＳ８０４０の処理を中止してもよい。

　なお、ステップＳ８０１０～Ｓ８０４０の処理は、ステップＳ４０３０における鍵抽出が成功した時にのみ実行されるようにしてもよいし、ステップＳ４０３０における鍵抽出に失敗したときにも実行されるようにしてもよい。ステップＳ４０３０の鍵抽出に失敗したときに、認証失敗の結果を返すようなアルゴリズムを採用した場合には、ステップＳ８０１０～ステップＳ８０４０の手順を行っても２要素認証には成功できないため、Ｓ３０３０で処理を打ち切ることができる。

　一方で、ステップＳ４０３０の鍵抽出に失敗したときに、認証失敗が判定されずに誤った秘密鍵が抽出されるようなアルゴリズムを採用した場合には、生体認証の失敗を検知できないため、ステップＳ８０１０～Ｓ８０４０の処理が行われる。

　このようにすると、ステップＳ８０１０において誤った本人確認情報が復号されるため、利用者が正しい認証情報８２０を入力した場合にもステップＳ８０４０において認証に失敗する。このようなシステムは、不正な認証を試みる攻撃者がなりすましを行った際に、第一の生体認証と第二の本人確認との両方を同時に成功させる必要があり、個々の認証に対して独立な攻撃を行うことができないため、生体認証失敗時にステップＳ３０３０で処理を打ち切る場合に比べて、高い安全性を持つ。

　なお、本人確認情報として、生体情報が登録されている場合には、鍵抽出処理において、既に生体情報が取得されているため、ステップＳ８０３０の認証情報取得処理を省略して、ステップＳ８０４０における認証結果判定処理において、既に取得されている生体情報と、復号された本人確認情報とを比較して、判定を行ってもよい。

　以上により、第三の実施形態における認証端末１０００は、第一の実施形態で必要であった第三者による認証に代わり、利用者自身による認証を実施し、２要素認証に基づく様々なサービスを受けることができるようになる。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることも可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記録装置、または、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置くことができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

Claims (8)

1. 　認証装置であって、
   　プロセッサとメモリとを有し、
   　前記メモリは、
   　バイオメトリック暗号を用いて秘密鍵と生体情報とから生成された秘匿テンプレートと、本人確認情報が前記秘密鍵で暗号化された暗号化本人確認情報と、の組み合わせと、
   　利用者の生体情報と、を保持し、
   　前記プロセッサは、
   　前記利用者の生体情報を用いて、前記秘匿テンプレートから前記秘密鍵を抽出し、
   　前記抽出した秘密鍵を用いて、前記暗号化本人確認情報を復号して本人確認情報を取得し、
   　前記取得した本人確認情報に基づいて、前記利用者の本人性を確認する、認証装置。
2. 　請求項１に記載の認証装置であって、
   　入力装置と出力装置とを有し、
   　前記プロセッサは、
   　前記取得した本人確認情報を前記出力装置に出力し、
   　前記入力装置を介して前記利用者の本人性の確認結果を取得し、
   　前記取得した確認結果に基づいて、前記利用者の本人性を確認する、認証装置。
3. 　請求項１に記載の認証装置であって、
   　入力装置を有し、
   　前記本人確認情報は文字列又は文字列が変換されたデータを含み、
   　前記プロセッサは、
   　前記入力装置を介して文字列の入力を受け付け、
   　前記入力を受け付けた文字列と、前記データと、に基づいて、前記利用者の本人性を確認する、認証装置。
4. 　請求項１に記載の認証装置であって、
   　前記本人確認情報は、生体情報又は生体情報が変換されたデータを含み、
   　前記プロセッサは、前記利用者の生体情報と、前記データと、に基づいて、前記利用者の本人性を確認する、認証装置。
5. 　請求項１に記載の認証装置であって、
   　前記プロセッサは、前記秘密鍵の抽出において正しい秘密鍵を抽出した場合であっても、正しくない秘密鍵を抽出した場合であっても、当該抽出した鍵を用いて、前記暗号化本人確認情報を復号して本人確認情報を取得する、認証装置。
6. 　請求項１に記載の認証装置であって、
   　入力装置を備え、
   　前記メモリは、
   　それぞれ異なる識別子に対応付けられた、前記秘匿テンプレートと前記暗号化本人確認情報との複数の組み合わせを保持し、
   　前記プロセッサは、
   　前記入力装置を介して、識別子の入力を受け付け、
   　前記入力を受け付けた識別子に対応する秘匿テンプレートと暗号化本人確認情報とを特定し、
   　前記利用者の生体情報を用いて、前記特定した秘匿テンプレートから前記秘密鍵を抽出し、
   　前記抽出した秘密鍵を用いて、前記特定した暗号化本人確認情報を復号して本人確認情報を取得する、認証装置。
7. 　請求項１に記載の認証装置であって、
   　前記メモリは、前記秘匿テンプレートと前記暗号化本人確認情報との複数の組み合わせを保持し、
   　前記プロセッサは、
   　前記複数の組み合わせそれぞれに対して、前記利用者の生体情報を用いて、前記秘匿テンプレートから前記秘密鍵の抽出処理を行い、
   　前記抽出処理において抽出に成功した秘密鍵を用いて、当該秘密鍵に対応する秘匿テンプレートと同じ組み合わせに属する暗号化本人確認情報を復号して本人確認情報を取得する、認証装置。
8. 　認証装置による認証方法であって、
   　前記認証装置は、プロセッサとメモリとを有し、
   　前記メモリは、
   　バイオメトリック暗号を用いて秘密鍵と生体情報とから生成された秘匿テンプレートと、本人確認情報が前記秘密鍵で暗号化された暗号化本人確認情報と、の組み合わせと、
   　利用者の生体情報と、を保持し、
   　前記認証方法は、
   　前記プロセッサが、前記利用者の生体情報を用いて、前記秘匿テンプレートから前記秘密鍵を抽出し、
   　前記プロセッサが、前記抽出した秘密鍵を用いて、前記暗号化本人確認情報を復号して本人確認情報を取得し、
   　前記プロセッサが、前記取得した本人確認情報に基づいて、前記利用者の本人性を確認する、認証方法。 

Images