认证终端、认证服务器、认证系统、认证方法和认证程序 【技术领域】
本发明涉及一种使用个人的生物信息认证本人的生物认证的技术。
背景技术
使用生物信息(s15)的个人认证系统,在初始的登录时取得个人的生物信息,提取出被称为特征量的信息来进行登录。将该登录信息称为样板。在认证时,再次从个人取得生物信息来提取特征量,与之前登录的样板进行核对来确认是否为本人。
在经由网络连接的客户机和服务器的系统中,在服务器对处于客户机一侧的用户进行生物认证时,最为典型的是服务器保存有样板。客户机在认证时取得用户的生物信息,提取出特征量发送给服务器,服务器将特征量与样板进行核对来确认是否为本人。
但是,因为样板是可以确定个人的信息,所以作为个人信息需要进行严格的管理,需要较高的管理成本。即使进行严格的管理,但从个人隐私的观点出发,多数人对于登录样板有抵触心理。此外,生物信息在人的整个一生都不发生变化,无法像密码或加密密钥那样容易地进行变更。对此,考虑替换为其他的生物信息来进行应对,但是一个人所具有的一个种类的生物信息存在数量上的限制(例如指纹只是10个手指),所以不是根本的解决对策。因此,假设在样板泄露,产生伪造的危险时,存在以后无法安全地使用该生物认证的问题。并且,在对于不同的系统登录了相同的生物信息时,威胁还波及到其他的系统。
因此,提出了以下一种方法(称为可消除生物认证(S16)):在登录生物信息时,通过一定的函数(一种加密)和客户机具有的秘密的参数(一种加密密钥:变换参数)对特征量进行变换,在对原本的信息进行保密的状态下作为样板保存在服务器中,在认证时,通过相同的函数和参数对客户机新提取出的生物信息进行变换,然后发送给服务器,服务器在进行了变换的状态下将接收到的特征量与样板进行核对。
根据该方法,通过客户机秘密地保存变换参数,服务器即使在认证时也无法得知原本的特征量,可以保护个人的隐私。此外,即使在样板泄露时,通过变更变换参数再次生成并登录样板,可以确保安全性。并且,在对于不同的系统使用相同的生物信息时,登录使用各个不同的参数进行变换后的样板,由此即使一个样板泄露,也可以防止其他系统的安全性降低。
可撤销生物认证的具体的实现方法,依存于生物信息的种类和核对算法。在文献1中,对于静脉认证等,根据特征量(图像)的相关值判定相似度这样的生物认证技术,表示了可以适用的实现方法(以下称为相关不变随机过滤)。除此之外还具有文献2~4的实现方法。
【文献1】特开2007-293807号公报
【文献2】Okamoto,T.and Uchiyama,S.,“A New Public-Key Cryptosystemas Secure as Factoring”,Proc.EUROCRYPT’98,pp.308-318
【文献3】P.Paillier,“Public-Key Cryptosystem Based on Composite DegreeResiduosity Classes”,Proc.EUROCRYPT’99,pp.223-238
【文献4】比良田他,“画像マツチングに適用可能なキヤンセラブル生体認証方式の脆弱性分析と安全性向上”,SCIS2007
【发明内容】
根据所述文献1,在登录时,客户机对从用户的生物体提取出的特征量图像x进行基底变换(傅立叶变换,数论变换)来计算基底变换图像X,使随机生成的变换过滤器K作用于该基底变换图像X,对于每个第i的像素进行T[i]=X[i]/K[i]的计算来生成变换图像T,并登录在服务器中。变换过滤器K保存在IC卡等中,由用户持有。
在认证时,客户机重新从用户的生物体提取特征量图像y,在关于纵向以及横向按照相反的顺序对图像进行排序后,进行基底变换来计算基底变换图像Y,使从用户的IC卡(s17)读出地变换过滤器K作用于该基底变换图像Y,对每个第i像素进行V[i]=Y[i]×K[i]的计算来生成变换图像V,并发送给服务器。服务器对每个像素进行C[i]=T[i]×V[i](=X[i]×Y[i])的计算,通过对图像C进行逆基底变换(逆傅立叶变换、逆数论变换等),计算x和y的互相关
(数学式1)
x⊗y]]>
根据该互相关计算x、y的相似度,判定一致/不一致。
如此,通过使用秘密的变换过滤器K在对x、y进行变换后发送给服务器,由此可以在对服务器保密x、y的状态下,由服务器执行核对处理。
但是,在服务器管理者恶意地推定出x、y时,即使无法唯一地确定x、y,也有可能某种程度地缩小其候补。例如,服务器可以计算所述互相关,而如果假定x、y分别为N像素的图像,则所述互相关也是N像素的图像,由此可以建立以x、y的各像素(总共2N个的值)为未知数的N元连立方程式。虽然该连立方程式的未知数多而无法唯一地对该连立方程式求解,但是可以将解空间从2N维缩小到N维。
此外,在一个用户反复进行认证时,根据发送给服务器的数据之间的关系,同样可以建立关于基底变换图像Y的各个像素值的连立方程式。具体地说,例如假设重复进行了m次认证,把在各次认证中提取出的特征量图像设为y1、y2、……ym。当把针对各个特征量的逆序排序的基底变换图像设为Y1、Y2、……Ym时,发送给服务器的数据为V1=Y1×K、V2=Y2×K、……、Vm=Ym×K。因此,服务器可以计算V1/V2、V1/V3、……、V1/Vm。V1/Vi=Y1/Yi,可以将该式看作左边为已知的常数,右边为未知的变量的连立方程式。当关于i=2、3……、m进行汇总时,作为整体成为关于mN个未知数的(m-1)N元连立方程式。虽然也由于未知数多无法对其唯一地求解,但是可以将解空间从nN维缩小到(m-1)N维。
此外,文献2~3没有言及具有这样的恶意的服务器管理者所管理的服务器(以下称为具有恶意的服务器)的攻击。
本发明在可撤销生物认证的相关不变随机过滤中,针对具有恶意的服务器尝试要推定特征量的攻击,使通过所述推定来缩小解的范围变得困难,使安全性提高。
本发明为了解决以上课题,在根据个人的生物信息的特征量阵列彼此间的互相关认证个人的生物认证中,在生物信息的登录时,从登录者的生物信息提取登录用特征量阵列,对于每个元素生成具有随机值的变换过滤器阵列,用所述变换过滤器阵列对所述登录用特征量阵列进行变换,计算登录用变换特征量阵列。而后,在认证时,从利用者的生物信息提取认证用特征量阵列,用所述变换过滤器阵列对所述认证用特征量阵列进行变换,计算认证用变换特征量阵列。而后,在不复原该变换的情况下,计算在所述登录用特征量阵列和所述认证用特征量阵列间的互相关的阵列中将阵列元素混洗过的阵列(叫做混洗互相关阵列),根据所述混洗互相关,计算所述登录用特征量阵列和所述认证用特征量阵列的类似度,来判定一致/不一致。
细节将在后面叙述。
根据本发明,在可撤销生物认证的相关不变随机过滤(s18)中,针对具有恶意的服务器尝试要推定特征量的攻击,使通过所述推定来缩小解的范围变得困难,使安全性提高。
【附图说明】
图1是举例表示本实施方式的可撤销生物认证系统的功能结构的方框图。
图2是举例表示本实施方式的生物信息的登录处理的流程图。
图3是举例表示本实施方式的生物信息的认证处理的流程图。
图4举例表示本实施方式的特征量阵列x、y、y’。
图5举例表示本实施方式的变换过滤器阵列K。
图6是举例表示本实施方式的客户机100以及服务器130的硬件结构的方框图。
【具体实施方式】
以下参照附图对本发明的实施方式进行说明。在本实施方式中,举例说明变换生物信息的特征量,在对于服务器保密的状态下,在服务器内进行生物信息的核对的可撤销生物认证系统。
(结构)
图1表示了本实施方式的可撤销生物认证系统的功能结构。
本实施方式的可撤销生物认证系统,经由因特网或企业内部网等网络,连接认证终端(以下称为客户机)100和认证服务器(以下称为服务器)130来构成,认证终端100进行登录和认证时的生物信息取得、特征量的提取、以及特征量的变换,认证服务器130保管样板以及进行与样板的核对。
客户机100由用户自身或可以信赖的第三者管理,具有取得生物信息(例如指纹或静脉等)的传感器110,并且对记录介质120写入数据。记录介质120可以作为IC(Intergrated Circuit)卡或USB(Universal Serial Bus)存储器等便携式记录介质,由用户进行管理,也可以是固定与客户机100连接的硬盘等记录介质。例如,在从自家进行网上银行业务时,也可以是客户机100为用户管理的自家的PC(Personal Computer),服务器130为银行管理的服务器设备这样的结构。
客户机100由以下各部分构成:特征量提取部101,其作为排列了规定个数的元素的特征量阵列(关于元素和阵列以后进行叙述),提取从传感器110取得的生物信息的特征量;基底变换部102,其进行特征量阵列的基底变换;变换过滤器生成部103,其作为排列了规定个数的元素的变换过滤器阵列,生成例如随机地变换特征量的变换过滤器;记录介质I/F(Interface)104,其对于记录介质120进行读写来记录变换过滤器阵列;特征量变换部105,其对特征量进行变换,生成登录用特征量(样板)或认证用特征量;混洗(shuffle)互相关计算部106,其在保密特征量的状态下,在特征量彼此间的互相关的阵列中对于每个元素计算混洗后互相关的阵列(混洗互相关(阵列)),以便对服务器130进行公开;以及通信部107,其与服务器130进行通信。
在此,所谓生物信息,例如是指纹图像或静脉图像、虹膜图像等的数据,所谓特征量,例如包含对指纹或静脉的图像进行强调处理二值化后的图像、或者根据虹膜图像生成的被称为虹膜代码的位串等。
此外,假设两个特征量之间的相似度是根据互相关计算的。对于根据互相关计算相似度的核对算法,已知有在对两个特征量实施特殊的变换使其保密的状态下,无需使它们还原地计算相似度的算法(相关不变随机过滤)。本实施方式对相关不变随机过滤进行改良,具有进一步提高特征量保密性的效果。关于相关不变随机过滤的详细内容,参照文献1和文献4。
服务器130由以下部分构成:通信部131,其与客户机100进行通信;数据库133,其存储并管理样板;登录部132,其把从客户机100接收到的样板登录到数据库133中;混洗互相关计算部134,其无需得知客户机100提取出的认证用特征量,计算该认证用特征量和成为样板基础的登录用特征量的混洗互相关;以及判定部135,其根据所述混洗互相关,将登录用特征量与认证用特征量进行核对,判定特征量彼此间的一致/不一致。
将在数据库133中管理的样板,与该用户为了进行认证进行登录时的登录ID(Identification)以及密码对应起来进行了登录。当用户在认证时,从客户机100的输入部(例如键盘)输入了登录ID以及密码时,在服务器130中,将登录ID以及密码作为检索键对数据库133进行检索,读出相应的样板,来执行本实施方式的可撤销认证。在以后的说明中,省略与登录ID以及密码有关的说明。
(处理:登录处理流程)
然后,使用图2说明本实施方式的生物信息的登录处理流程。
首先,传感器110取得用户的生物信息(步骤S201)。
然后,客户机100的特征量提取部101,从取得的生物信息中提取特征量(步骤S202)。在此,作为例子,设特征量为由N个像素(元素)构成的二维的图像(特征量图像)的亮度值。如图4的符号400所示,特征量图像的周边部分通过规定的宽度Δ将亮度值设置为0(进行0填充)。这是因为在使用离散傅立叶变换或数论变换等基底变换计算互相关时,要计算线性卷积(循环卷积)。根据在认证时在特征量图像之间进行核对时的、纵向横向的偏移允许量(s19)来决定Δ。例如在上下左右分别允许±4个像素的偏移,则设Δ=4。这样一来,就将进行0填充后的图像的特征量、且按照规定的顺序排列了N个像素的图像的特征量设为特征量阵列x。为了使说明简单,设通过一维阵列x[i](i=0~N-1)来表示x的各个元素,在将进行了0填充后的图像的尺寸设为W×H时,设坐标(w,h)(0≤w<W,0≤h<H)的亮度值为x(h×W+w)。设亮度值取0以上不满θ的整数值。由此,特征量图像的像素数量为N,而构成0填充后的生物信息的部分的像素数量为W×H。
然后,基底变换部102使函数F发挥作用对特征量阵列x进行基底变换(步骤S203)。通过该基底变换(F(x)),生成基底变换特征量阵列X。
基底变换可以是离散傅立叶变换或数论变换等、任何具有循环卷积的性质的变换,在此使用数论变换。将数论变换的定义域设为有限域GF(p)(p为素数)。基板变换的详细内容参照文献1或文献4。基底变换特征量阵列X的尺寸(元素数量)为N。
然后,变换过滤器生成部103生成与基底变换特征量阵列X相同的尺寸N的变换过滤器(步骤S204)。生成的变换过滤器是按照规定的顺序排列了N个元素的的变换过滤器阵列K。如图5所示,作为有限域GF(p)上的不是0的随机的整数(1以上p-1以下的均匀随机数),生成变换过滤器阵列K(符号500)的各个要素K[i](i=0~N-1)。作为生成随机数序列的方法,具有对未图示的伪随机数生成器给予适当的种(seed)值(例如时刻、从键盘(输入部)的随机的按键输入等从外部输入的值),来计算为随机数列的方法。
然后,记录介质I/F部104把变换过滤器阵列K写入记录介质120中(步骤S205)。
然后,特征量变换部105使用变换过滤器阵列K对基底变换特征量阵列X进行变换(登录用特征量变换)(步骤S206)。将变换生成后的、作为登录用特征量的样板的阵列(登录用变换特征量阵列)作为样板阵列T,将样板阵列T发送给服务器130。具体地说,在阵列的各个元素中,按照以下的计算式生成样板阵列T。
(数学式2)
T[i]=X[i]×(K[i])-1(i=0,1,…,N-1) (式1)
在此,设(K[i])-1表示有限域GF(p)中的K[i]的乘法逆元[s20],在有限域GF(p)上还进行乘法。因为变换过滤器阵列K的各个元素是随机的值,所以服务器130无法根据样板阵列T得知基底变换特征量阵列X。
然后,服务器130从客户机100接收样板阵列T,登录部132在数据库133中作为样板登录样板阵列T(步骤S207)。
至此,关于本实施方式的生物信息的登录处理流程的说明结束。
(处理:认证处理流程)
然后,使用图3说明本实施方式的生物信息的认证处理流程。
首先,服务器130的混洗互相关计算部134,按照规定的公开密钥加密方式,生成由加密用公共密钥PK以及解密用秘密密钥SK构成的密钥对(步骤S300)。其中,作为公开密钥加密方式,假设使用加密函数Enc(·)满足以下的同态性的方式(同态加密)。
(数学式3)
Enc(m1)×Enc(m2)=Enc(m1+m2) (式2)
在此,m1、m2例如是向量。
作为同态加密方式的例子,具有冈本-内山加密(文献2)或Paillier加密(文献3)等。
然后,传感器110取得用户的生物信息(步骤S301)。
然后,客户机的特征量提取部101从取得的生物信息中提取特征量(步骤S302)。与登录时相同,特征量图像的周边部分进行0填充(图4的符号401)。把进行了该0填充的特征量图像的特征量、且按照规定的顺序排列了N个像素的特征量图像的特征量作为特征量阵列y。
然后,对特征量阵列y的各个要素顺序相反地进行排序,生成阵列y’(符号402)(步骤S303)。注意:特征量阵列x和阵列y’的卷积成为x和y的互相关。
然后,基底变换部102使函数F发挥作用对阵列y’进行基底变换(步骤S304)。通过该基底变换(F(y’)),生成基底变换特征量阵列Y。设Y的尺寸与登录时的基底变换特征量阵列X的尺寸相同为N。
然后,记录介质I/F部104,从记录介质120读入变换滤波器阵列K。
然后,特征量变换部105,使用变换过滤器阵列K对基底变换特征量阵列Y进行变换(认证用特征量变换)(步骤S306)。把变换生成的认证用特征量的阵列(认证用变换特征量阵列)设为认证用特征量阵列V,将认证用特征量阵列V发送给服务器130。具体地说,在阵列的各个元素中,按照以下的式子进行计算。在有限域GF(p)上进行乘法。
(数学式4)
V[i]=Y[i]×K[i](i=0,1,…,N-1) (式3)
然后,服务器130的混洗互相关计算部134,从数据库133读入所述样板阵列T,使用所述公开密钥Pk如下式那样,生成对样板阵列T的各元素进行了加密的加密样板阵列e,然后发送给客户机100(步骤S307)。
(数学式5)
e[i]=Enc(T[i])(i=0,1,…,N-1)
然后,客户机100接收所述加密样板阵列e,混洗互相关计算部106按照以下的式子计算(保密计算)阵列e’(步骤S308)。
(数学式6)
e′[i]=Πj=0N-1e[j]v[j]a-ij(i=0,1,···,N-1)]]>
a是有限域GF(p)上的1的原始N次方根,是具有从有限域GF(p)上规定的某个基底变换为其他基底的作用的基底变换常数。在此,根据加密函数Enc(·)的同态性(数学式2)、数学式1以及数学式3,以下的计算成立。
(数学式7)
e′[i]=Πj=0N-1e[j]v[j]a-ij(i=0,1,···,N-1)]]>
=Πj=0N-1Enc(T[j]V[j]a-ij)]]>
=Enc(Σj=0N-1T[j]V[j]a--ij)]]>
=Enc(Σj=0N-1X[j]Y[j]a--ij)]]>(式4)
此外,原本的特征量x和y的互相关的阵列c,在各个元素中由以下的式子来表示。
(数学式8)
c[i]=Σj=0N-1X[j]Y[j]a-ij]]>
因此,以下的式子成立。
e′[i]=Enc(c[i])
根据该式,可以说阵列e’是对互相关的阵列c进行加密后的值。
然后,客户机100的混洗互相关计算部106,对每个元素混洗阵列e’(步骤S309)。在此,例如,可以通过反复进行与阵列的每个元素的随机置换,来实现混洗。客户机100把对阵列e’进行混洗后的阵列eδ’发送给服务器130。
注意:使混洗的规则为对每个认证不同的规则,并且为临时的规则。在客户机100中具有未图示的伪随机数生成器,对该伪随机数生成器给予适当的种(seed)值,来计算可以实现上述规则的伪随机数列。实现的规则将期限设定为只是在该认证处理结束之前的期间有效。在其有效期过期时,废弃该规则以及该伪随机数列。
在此,客户机100因为不知道所述秘密密钥SK,所以无法对密文进行解码,无法得知T[i]和X[i]。因此,即使假设攻击者非法使用客户机100与服务器130进行通信,分析通信日志,也无法得到样板阵列T或原本的特征量阵列x。
然后,服务器130接收所述阵列eδ’,混洗互相关计算部134使用所述秘密密钥SK,如下式那样对每个元素进行解码,得到混洗后的互相关阵列eδ(步骤S310)。在此,Dec(·)表示解码函数。
(数学式10)
cσ[i]=Dec(eσ′[i])(i=0,1,…,N-1)
服务器130可以得知对每个元素进行混洗后的状态的互相关,但是无法得知按照正确的顺序排列元素的互相关。因此,无法建立以原本的特征量x和y为未知变量的基于互相关的连立方程式,无法缩小解空间。
最后,判定部135根据混洗互相关阵列cδ,判定原本的特征量x,y的一致/不一致(步骤S311)。此时,对混洗互相关阵列cδ进行定义了有限域GF(p)的逆数论变换,将基底变换特征量阵列X、Y返回原本的特征量阵列x、y。也可以不是你数论变换,而是可以进行循环卷积的逆离散傅立叶变换。因为可以从混洗互相关阵列cδ取得互相关的最大值,所以判定例如可以通过该最大值是否超过阈值的这样公知的方法来进行。
至此,有关本实施方式的生物信息的认证处理流程的说明结束。
根据所述处理,服务器130可以正确地进行认证,但是无法得知原本的特征量x、y。实际上,即使具有恶意的服务器130根据x、y的互相关函数建立并求解与x、y相关的连立方程式(s21),服务器130能够得知的信息仅是混洗互相关阵列cδ。因此,无法建立关于x、y的连立方程式,具有恶意的服务器难以推定x、y。由此,对于服务器管理者的非法行为,安全性提高。
图6表示本实施方式的客户机100以及服务器130的硬件结构。如图所示,它们由以下的硬件资源构成:CPU(Central Processing Unit:控制部)600;作为RAM(Random Access Memory)来实现的存储器601(存储部),该RAM作为存储区域工作;作为外部存储装置来实现的HDD(Hard Disk Drive:存储部)602,该外部存储装置存储为了CPU600执行信息处理(特别是登录处理流程以及认证处理流程所需要的信息处理)而读取的程序和在执行所述信息处理时使用的数据库等;由键盘、鼠标等实现的输入装置603(输入部);由显示器等实现的输出装置604(输出部);以及通信装置605。
控制部可以从存储有所述程序的ROM(Read Only Memory:记录介质)读出该程序,来执行规定的信息处理。还可以把记录介质中存储的程序安装在存储部中,控制部通过硬件实现由安装的程序命令的处理。
(总结)
根据本实施方式,在根据生物信息的特征量彼此间的互相关认证个人时,可以在对认证服务器保密用户的生物信息的状态下进行认证,在可以防止从认证服务器泄露生物信息的可消除生物认证系统中,针对认证服务器的管理者进行非法操作,想要推定用户的生物特征量的高度攻击,也可以确保较高的安全性。
(其他)
所述方式是用于实施本发明的最佳的方式,但本发明并不限于该实施方式。因此,在不变更本发明的主旨的范围内,可以对该实施方式进行各种变更。
(变形例1)
例如,在本实施方式中,在登录时,在客户机100的记录介质120中写入变换过滤器阵列K(参照步骤S205)。但是,在记录介质120中写入的也可以是为了生成变换过滤器阵列K向伪随机数生成器输入的种(seed)值。通过写入种(seed)值,可以大幅削减在记录介质120中记录的数据量。
此时,在认证时,在从记录介质120读出种(seed)值之后,根据变换过滤器生成部103使用该种(seed)值生成变换过滤器阵列K,通过变换过滤器阵列K对基底变换特征量阵列Y进行变换(参照步骤S306)。
(变形例2)
此外,在本实施方式中,在客户机100的记录介质120中存储变换过滤器阵列K,在服务器130的数据库133中存储样板阵列T(参照步骤S205、步骤S207)。但是,还可以相反地在记录介质120中存储样板阵列T,在服务器130的数据库133中存储变换过滤器阵列K。如此通过使存储的内容相反,在服务器130中登录的数据成为完全随机的数据,可以使服务器130完全不具有关于原本的特征量阵列x的信息。
此时,在认证时,从客户机100的记录介质120读出样板阵列T,另一方面,在服务器130中,使生成的公开密钥PK作用于从数据库133读出的变换过滤器阵列K,对变换过滤器阵列K进行加密(参照步骤S307′)。当客户机100接收到该加密后的变换过滤器阵列K时,使用样板阵列T将基底变换特征量阵列Y转换为认证用特征量阵列V。因为使用同态加密方式,所以在之后进行的保密计算中没有特别的变化(参照步骤S308、参照式4)。
再者,此时,在服务器130的数据库133中代替变换过滤器阵列K,如上所述,还可以存储为了生成变换过滤器阵列K向伪随机数生成器输入的种(seed)值。
(变形例3)
此外,在本实施方式中,在登录时,对于基底变换特征量阵列X的各元素X[i]乘以变换过滤器阵列K的各元素K[i]的乘法逆元(K[i])-1(参照步骤S206),在认证时,对基底变换特征量阵列Y直接乘以变换过滤器阵列K的各元素K[i](步骤S306)。但是,还可以相反地对基底变换特征量阵列X的各元素X[i]乘以变换过滤器阵列K的各元素K[i],而对基底变换特征量阵列Y乘以变换过滤器阵列K的各元素K[i]的乘法逆元(K[i])-1。
另外,关于硬件、软件、各个流程图等具体的结构,在不超出本发明的主旨的范围内可进行适当的变更。
本发明可以用于根据生物信息进行用户认证的任意的应用。例如,可以用于公司内部网络的信息访问控制、网上银行系统或ATM(Automated TellerMachine)的本人确认、向面向会员的Web站点的登录、进入保护区域时的个人认证、个人电脑的登录等。