专利名称:生物体认证装置、静脉信息取得方法和装置的制作方法
技术领域:
本发明涉及使用生物体信息如指紋或静脉图形等的用于本人确认的生物 体认证装置和生物体认证方法。特别是涉及为了防止用认证装置取得的生物 体信息流出到装置之外后被第三者恶意使用而在认证装置内部进行生物体信 息的取得处理和认证处理的装置、方法。
技术背景在对金融机构的存款的提取或使用互联网的电子商务交易中,为了防止 他人的冒充,用来确认本人的生物体认证是极为重要的。作为一般的认证方 法,广泛进行的认证,是基于具有磁条的卡和密码输入的认证,或者基于对 照卡的背面的签名和商品购入时的签名的认证。但是,在这样的现有的个人认证方法中,人们指出了有关安全性方面存 在的问题。在具有磁条的现金提取卡和密码输入的组合的情况下, 一旦磁条 信息和密码被第三者盗窃,就可能存款很容易地被取走。或者,在签名的情 况下,第三者通过模仿签名也可能被盗用。作为这些情况的对策,提出了一种引入IC卡来取代具有磁条的卡的方 案。IC卡与磁条卡相比,卡的复制困难,同时,还能够确保内部信息不容易 被盗窃的安全性。此外,作为着眼于可以极大地增大可存储在卡内部的信息 量,将指紋或静脉图形等生物体信息保持在IC卡内,基于其对照的生物体认 证技术,有特开昭61-199162号公报或特开平10-312459号公报。按照上述的有关技术,例如, 一旦生物体信息从认证装置中流到外面, 就有可能被持有恶意的第三者盗窃并被恶意使用。基于生物体信息的个人认 证,与基于密码或签名的认证相比安全性高,另一方面,也存在不利的一面,即一旦流失掉不容易变更。因此,生物体信息以对第三者可容易利用的形式 不流失到外部的装置就特别重要。此外,确保对成为生物体信息的生物体特征量的提取、对照的生物体认 证程序的安全性也是必不可少的。如果不防止第三者解析、改变程序内部, 就有可能丧失掉作为生物体认证装置的功效。这就是说,如果在连接于生物 体认证装置的控制装置、如个人计算机上生物体认证程序以可解析的状态存 在,被第三者解析、盗窃处理程序的可能性高。即便假定生物体认证程序不 是存在于个人计算机上而是存在于生物体认证装置内,只要是以从外部可容 易解析的状态存在,仍有可能被持有恶意的第三者盗窃该信息。另外,还必须防止从生物体认证装置输出的生物体认证结果被泄露给第 三者。如果第三者伪造生物体认证装置接受了认证的信号,即使在装置认证 拒绝的情况下,认证认可的信号被传送到连接认证装置的控制装置,就有可 能进行非法交易。 发明内容本发明,就是为解决上述问题的至少一部分而形成的。本发明的第一目 的是防止个人的生物体信息以第三者可容易利用的形式从生物体认证装置流失到外部;本发明的第二目的是防止第三者盗窃、改变提取或对照生物体特 征量的生物认证程序;本发明的第三目的是防止生物体认证装置输出的生物 体认证结果泄露到外部。为实现上述目的,用个人的生物体信息进行本人确认的生物体认证装置, 取入生物体信息,从所取入的传感器信息中提取出用来进行认证的生物体特 征量,再将所提取出来的生物体特征量进行加密,以被加过密过的生物体特 征量作为用来本人确认的认证用基准数据,并输出到生物体认证装置外部。另外,在其他优选例中,用个人的生物体信息用来进行本人确认的生物 体认证装置,由传感器取入生物体信息,生物体认证装置从所取入的传感器 信息中提取出用来进行认证的生物体特征量,再将所提取出来的生物体特征 量进行加密,不经由连接在生物体认证装置上的控制计算机直接把作为用来 进行本人确认的认证用基准数据而被加过密的生物体特征量输出到IC卡上。另外,在其他优选例中,用个人的生物体信息用来进行本人确认的生物体认证装置,由传感器取入生物体信息,从所取入的传感器信息中提取出用 来进行认证的生物体特征量,以加过密的形式从生物体认证装置外部输入成 为认证用基准数据的生物体特征量,对所述成为认证用基准数据的加过密的 生物体特征量进行解密,将所述解了密的成为认证用基准数据的生物体特征量与所述被输入的生物体特征量进行对照,把所述对照结果的输出加密,将 所述加过密的生物体特征量对照结果的输出输出到装置外部。另外,在其他优选例中,是用个人的生物体信息用来进行本人确认的生 物体认证装置,首先取入生物体信息,从所取入的传感器信息中提取出用来 进行认证的生物体特征量,不经由连接在生物体认证装置上的控制计算机,量,再对上述成为上述认证用基准数据的加过密的生物体特征量进行解密, 将上述解了密的成为认证用基准数据的生物体特征量,与上述被输出的生物 体特征量进行对照,然后把上述对照结果的输出加密,最后将上述加过密的 对照结果的输出输出到装置外部。另外,在其他优选例中,生物体认证装置,在启动生物体认证装置之前, 将进行上述特征量提取处理的程序和进行上述生物体特征量对照的程序以加 过密的形式存储在装置内,启动装置之后,进行解密。另外,在其他优选例中,生物体认证装置,在启动生物体认证装置之前, 将进行上述特征量提取处理的程序和进行上述生物体特征量对照的程序,分 割存储在连接在生物体认证装置上的控制计算机和生物体认证装置内,生物 体认证装置被启动之后,结合解密而成为可动作的状态。为了实现上述目的,本发明还提供了一种静脉信息取得方法,由静脉信 息取得装置执行,该静脉信息取得装置与窗口终端连接,取得静脉信息后写入IC卡,该方法包括从窗口终端接受静脉信息取得请求,将已取得静脉信 息的事实发送向窗口终端,从窗口终端接收登录到IC卡的请求,根据取得的 静脉信息将用于认证的信息写入到IC卡,由此不与窗口终端收发静脉信息。另外,在其他优选例中,从上述窗口终端接收密钥,用上述密钥加密上 述用于认证的信息并写入IC卡。另外,在其他优选例中,从上述窗口终端接收密钥,用上述密钥加密上述用于认证的信息并生成加密信息,在删除上述取得的静脉信息后将上述加 密信息写入上述IC卡。本发明还提供了 一种静脉信息取得装置,其取得静脉信息并写入IC卡, 具有取得静脉信息的取得单元;将静脉信息写入IC卡的写入单元;与窗口 终端收发数据的收发单元;和控制部,在通过收发单元从窗口终端接收到静 脉信息取得请求后,由取得单元取得静脉信息,并且,将取得静脉信息这一 事实通过收发单元发送到窗口终端,并且,在通过收发单元从窗口终端接收 到登录到IC卡的请求后,根据已取得的静脉信息,通过写入单元将用于认证 的信息写入IC卡,由此,不与窗口终端收发静脉信息。另外,在其他优选例中,上述控制部通过上述收发单元从上述窗口终端 接收密钥,用上述密钥加密上述用于认证的信息并写入IC卡。另外,在其他优选例中,上述控制部通过上述收发单元从上述窗口终端 接收密钥,用上述密钥加密上述用于认证的信息并生成加密信息,在删除上 述取得的静脉信息后将上述加密信息写入上述IC卡。本发明还提供了 一种生物体认证装置,其用来用个人的静脉信息进行本 人确认,包括取得单元、读取单元、收发单元和控制单元,其中,取得单元, 其取得利用者的静脉信息;读取单元,其从IC卡读取登录静脉信息;收发单 元,其与窗口终端或者自动交易装置收发数据;控制单元,在通过上述收发 单元从上述窗口终端或者自动交易装置接收到认证请求后,由上述读取单元 读取登录静脉信息,并且,由上述取得单元取得利用者的静脉信息,并且, 进行上述登录静脉信息与上述静脉信息的对照,通过上述收发单元将对照结 果发送到上述窗口终端或者自动交易装置,通过使上述取得单元、上述读取 单元、上述收发单元以及上述控制单元位于同一框体内,从而不与上述窗口 终端或者自动交易装置收发静脉信息。另外,在其他优选例中,上述控制部通过上述收发单元从上述窗口终端 或者自动交易装置接收密钥,用上述密钥加密上述对照结果并发送到上述窗 口终端或者自动交易装置。另外,在其他优选例中,上述控制部通过上述收发单元从上述窗口终端 或者自动交易装置接收密钥,用上述密钥加密上述对照结果并生成加密对照结果,在删除上述登录静脉信息以及上述静脉信息后,将上述加密对照结果发送到上述窗口终端或者自动交易装置。
图1是生物体认证的金融营业店系统的整体构成示例图;图2是连接在营业窗口终端的带有IC卡装置生物体认证装置的构成示例图;图3是营业窗口终端的构成示例图;图4是用营业窗口终端和带有IC卡装置生物体认证装置把生物体认证用的特征量登录在IC卡上的处理流程图;图5是ATM (自动拒员机)的构成示例图; 图6是连接在ATM上的生物体认证装置的构成示例图; 图7是在ATM上包含生物体认证处理的交易业务流程图; 图8是连接在ATM上的生物体认证装置的处理流程图;具体实施方式
以下参照附图详细说明本发明的优选实施方式,其中并不以此来限定本 发明。在本实施方式中,说明经IC卡的在金融营业店中的营业窗口终端的生物 体信息登录处理和在ATM (自动拒员机)上的生物体认证处理。这里,所谓 生物体信息假定为特定个人而有效的生物体特征量。在营业窗口终端中的生物体特征量的登录处理中在窗口终端把个人认证 用的加密过的生物体特征量登录在IC卡上。在窗口终端上连接着带有IC卡 装置的生物体认证装置,把登录用的生物体特征量加密之后,不经由窗口终 端而从生物体认证装置直接传送给IC卡。另一方面,在ATM(自动柜员机) 上,从IC卡读出加密过的生物体特征量,并传送给连接在ATM上的生物体 认证装置,在装置内部进行认证处理。另外,并不限于IC卡,只要是RFID 等可携带的电子媒体,任何媒体都可以。图l是整个系统的构成例。101是金融营业店,经广域网102连接在结 算系统主计算机109设置的数据中心103。金融营业店101中,由金融营业 店内的LAN108连接着营业窗口终端105和ATM107。在营业窗口终端105上连接带有IC卡装置的生物体认证装置104。同样,在ATM107上连接生物 体认证装置106, IC卡装置被组装在ATM107内部。首先,用图2、图3、图4说明营业窗口终端105中的生物体特征量的登 录处理。图2所表示的是带有IC卡装置的生物体认证装置104的构成例。 CPU201是承担装置的数据处理的处理器,负责后述的各种程序、数据的控制 和处理。外围设备I/0装置202,是用来连接生物体认证装置104与营业窗口 终端105的接口; 203是用来取得生物体图像的照明LED,例如,如果是手 指静脉认证,采用适于取得手指的静脉图形的近红外光LED;图像传感器204 是用来取得生物体图像的传感器,例如CCD等器件,取得用LED203照射的 手指静脉图形;IC卡装置205是用来把加过密的登录用生物体特征量写入到 IC卡的装置。主存储装置207由挥发性存储器(DRAM等)构成, 一旦认证装置的电 源被切断,所存储的数据就消失。这里确保有用来使装置动作的各种程序或 数据区域。被存储在主存储装置207内的程序、数据是从后述的快速存储器 217读出进行存储的存储部、存储单元。装置整体控制程序208是还包含IC 卡装置205的控制而控制认证装置104整体的程序。外围设备I/O控制程序 209控制外围设备I/O装置202。加密/解密程序210进行两个处理, 一个处理是对存储在快速存储器(下 称非挥发性存储器)217内的加密认证程序219进行解密,并作为认证程序 存储在211的区域内。另一个是在把认证程序211生成的登录用的生物体特 征量在写入到IC卡之前进行加密。IC卡装置控制程序212是控制IC卡装置 205的程序。这样,程序具有各种功能并进行种种处理,如上所述,由CPU201的硬 件构成进行控制。在本发明中,以程序为中心作了说明,但是这些程序的种 种功能,例如,也可以叫做控制单元、加密单元、认证单元、登录单元、对 照单元等,当然也可以把各单元表述为各部。图像緩冲存储器213是用来存储由图像传感器204取得的生物体图像数 据(生物体数据)的区域。生物体特征量214,是用来存储由认证程序211 从存储在图像緩冲存储器213内的生物体图像数据、例如仅提取出静脉图形而生成的生物体特征量的区域;加密生物体特征量215,是存储由加密/解密 程序210对生物体特征量214的数据加密过的数据的区域;215的数据(加 密状态的生物体特征量)经IC卡装置205作为生物体登录特征量被存储在IC 卡内。即使在IC卡装置205与认证装置之间连接、插入营业窗口终端105的 情况下,在窗口终端105内也不存储(不保留)由认证装置取得的加密状态 的生物体特征量,而是由IC卡装置205登录在IC卡内。密钥216是加密/解 密程序210对数据进行加密、解密时所必要的密钥数据。该密钥数据从连接 着生物体认证装置的营业窗口终端105或ATM107经外围I/O装置取得也是 特征之一。206是连接认证装置内的处理器或各装置的总线。217是即使认证 装置的电源断掉也不会丢失内容的非挥发性存储器,在其内部存储着加过密 的认证程序218。 一旦认证装置被启动,加密/解密程序210就用密钥216对 加密认证程序218解密,并存储到211区域内。图3表示的是营业窗口终端105的构成例。营业窗口终端105被设置在 金融机构的拒台上,是操作员进行存款、取款、汇兌等处理业务的计算机, 此外还是进行生物体认证的登录处理的终端装置。CPU301是承担终端的数据处理、各种控制的处理器。LAN装置302是 用来连接营业店内的LAN108与终端的装置,经LAN108连接在结算系统主 计算机109上。外围设备I/O装置303是用来与带有IC卡装置的生物体认证 装置104连接的接口。显示装置304是将生物体特征量的登录结构(是成功 或失败的状态,不包含生物体特征量)或顾客的交易信息、交易所必要的项 目等显示给操作窗口终端的操作员的监视器,键入装置305是操作员的键输 入装置;现金处理装置306是用来进行终端中的现金处理的装置;在主存储 装置308中存储着各种程序、数据;309是控制窗口终端整体的整体控制程 序,在310中存储着有关在窗口进行的业务的业务应用程序。外围设备I/O 控制程序311控制外围设备I/0装置303。生物体认证装置控制程序312是控 制经外围设备I/0装置303连接的带有IC卡装置的生物体认证装置104的程 序。密钥313用来启动带有IC卡装置的生物体认证装置104,或对登录在IC 卡上的生物体特征量进行加密。307是连接终端内各装置的总线。用图4说明带有IC卡装置的生物体认证装置104以及营业窗口终端105的动作。步骤401、 406、 407、 408,是根据营业窗口终端105输出的指示带 有IC卡装置的生物体认证装置104处理的内容。当由输入装置305选择显示在营业窗口终端105的显示装置304上的生 物体认证登录的项目时,整体控制程序309把有关生物体认证的功能展开到 生物体i人证装置104中。在步骤401,存储在营业窗口终端105内的生物体 认证装置控制程序312把生物体特征量登录处理的启动信号和密钥313发送 到带有IC卡装置的生物体认证装置104。在生物体认证装置104中以CPU201 为中心根据接收到的启动信号进行启动,装置整体控制程序208把接收到的 密钥313存储到216的区域内;之后,装置整体控制程序208启动加密/解密 程序210,用密钥216对非挥发性存储器217内的加密认证程序218进行解 密,并存储在211内,启动程序。因此,具有下面的抗篡改性。如上所述,认证程序218在加过密的状态下被存储在非挥发性存储器217 内,并在启动时在主存储装置207内的211展开。在4巴电源接入生物体认证 装置并正常动作的情况下,与装置外部的通信使用密钥216进行了加密,所 以,如果不是是合法连接的终端,就不能参照生物体认证装置的内部。因此, 即使认证程序211以可解析的状态被存储在主存储装置207内,也可以防止 来自外部的非法访问。另一方面,在电源未接入生物体认证装置的状态下, 仅在非挥发性存储器217内存储有加过密的认证程序218。这样,通过把程 序加密就有使第三者很难分解装置来解析非挥发性存储器217,难以伪造和 篡改的效果。在上述例子中说明了把对加密认证程序进行解密后展开在挥发性存储器 207中的认证程序,保存、存储在非挥发性存储器217内的方式1。此外,要考虑把加密认证程序存储在非挥发性存储器217内的方式2、 和在非挥发性存储器217内展开加密认证程序218并存储认证程序的方式3。 但是,在方式2中,因为在切断认证装置电源时加密认证程序会消失掉,所 以这是不现实的。另外,在方式3中,如果在认证装置削掉非挥发性存储器 217内的解了密的认证程序之前切断认证装置的电源,被解了密的认证程序 就会原样残留在非挥发性存储器217内。因此,在安全性方面是不适宜的。由上述可知,与方式2和方式3相比,方式l是现实的,且安全性高。另外,本实施例中,认证装置启动了时,在主存储器207内解密非挥发性存 储器217的加密认证程序,直到以后认证装置被切断电源为止被解密过的认 证程序继续存在于主存储器207内。另外,作为更期望的例子,还有每当提 取/认证生物体特征量时对加过密的程序进行解密并在主存储装置内展开,一 结束处理,就把主存储装置上的认证程序削掉的例子。这种情况下,在装置 内认证程序以可解析(可执行)的状态存在的时间就更短,所以可望进一步 提高安全性。接下来,如果在主存储器207中正确地解密并启动认证程序211,营业 窗口终端105和带有IC卡装置的生物体认证装置104通过密钥相互确立机器 认证。即使第三者偷窃生物体认证装置后连接在非法的控制计算机上,由于 认证程序不启动,所以也不可能使认证装置动作。另外,认证程序,如上所 述,由于在非挥发性存储器217内被加密,所以即使第三者分解认证装置并 进行了解析,要知道认证程序的内容也是极为困难的。虽然对启动作了如此 说明,但是在基于窗口终端105的关断、关断电源等认证装置104终止运行 时,通过清除存储在211内的解密过的认证程序(或不激活),可使程序的解 析很困难。认证程序211控制照明LED203和图象传感器204,取得生物体图像的特 征量并存储在图像緩沖存储器213内(402)。此后,认证程序211读出存储 在图像緩冲存储器213内的生物体图像,从图像中提取出用来登录在IC卡内 的生物体特征量和用来选择登录特征量的特性数据,再把结果保存到生物体 特征量214内(403 )。另外,所谓登录特征量的选择是指在后述的步骤406 中从重复登录的数据内进行选择。这里,所谓特性数据是指例如在进行手指 静脉认证的情况下,成为用来选择手指倾斜等适宜于登录的生物体特征量的 数据。生物体特征量也简单地叫做生物体信息,生物体认证装置具有取得生 物体信息的取得单元、取得部。装置整体控制程序208再次启动加密/解密程序210。即,在上述中,具 有认证程序的启动、解密(激活)功能,但是在下面的说明中,为了用于所 取得的生物体特征量的加密功能而再次启动。通过程序210的再次启动,用 密钥216将生物体特征量214加密,并把结果纳入到加密生物体特征量215内(404)。然后,为了防止数据流出,将图像緩冲存储器213和生物体特征 量214的区域清零(405 )。营业窗口终端105在带有IC卡装置的生物体认证装置104内重复进行从 步骤402到步骤405的处理,直到达到规定次数为止,并将结果纳入到加密 生物体特征量215内(406)。而后,按照来自营业窗口终端105的指示,认 证程序211根据在步骤403所提取出的特性数据(基准数据)从215的数据 中选择应登录在IC卡内的加密登录特征量(407)。装置整体控制程序208在来自窗口终端105的指示下,经IC卡装置控制 程序212把所选择出来的加密登录特征量写入到IC卡装置205内(408)。此 后,为了防止加密登录特征量残存在装置内,把生物体特征量215的区域清 零(409)。在上述中,说明了按照窗口终端105的指示进行各种处理的例子, 但是也可以仅在认证装置内自动进行这些处理。另外,也有在步骤409的清 零时,同时进行步骤405的清零的例子,但是也可以在上述的步骤406的重 复处理之前进行。即,由于重复执行就使其数据量大,结果,图像緩冲存储 器213的大小也必须要做大。另外,与步骤409的加密数据的清零相比较, 由于步骤405的数据是未加密的的数据,所以使用之后尽可能早地清零以提 高安全性。按照上述的步骤401到409的处理,不是把生物体特征量输出到营业窗 口终端105,而是在生物体认证装置内部加密之后存储在IC卡内。下面,用图5、图6、图7、图8说明使用存储在IC卡内的生物体特征 量在ATM中的认证处理。所谓ATM是设置在金融机构内、由终端用户自动 进行存款、取款、转账等,也叫做现金自动交易装置。将以ATM为例进行说 明,但可应用于用于利用者的个人认证的终端、计算机,也叫做自动交易装 置。图5是ATM107的构成示例图。CPU501负责ATM的数据处理,是进行 各种程序的控制或命令的产生等种种处理、控制的处理器。LAN装置502是 用来连接营业店内的LAN108和终端的装置,经由LAN108连接到结算系统 主计算机109。外围设备I/O装置503是用来连接生物体认证装置106的接口 ; IC卡装置504被组装在ATM的卡插入口内,在ATM中,与用于本人确认的生物体认证装置106分离开来;显示装置505是把交易信息或生物体认证结 果显示给利用者的监视器,键入装置506是用来利用者键入交易菜单或密码 的装置;现金处理装置507是用来进行ATM中的现金处理的装置;在主存储 装置509保存有各种程序或数据。510是控制ATM整体的整体控制程序,在511内存储着有关在ATM交 易进行的业务的业务应用程序,外围设备I/0控制程序512控制外围设备I/0 装置503;生物体认证装置控制程序513,是控制经外围设备I/O装置503连 接的生物体认证装置106的程序。加密/解密程序515用密铜516解密从生物 体认证装置106发送来的加过密的认证结果(不包含生物体特征量)。517是 存储从生物体认证装置106发送来的加过密的认证结果的区域,518是存储 用密钥516将其解密过的结果的区域。图6所表示的是连接到ATM的认证用的生物体认证装置106。因为从601 到604分别具有与图2中的从201到204同样的功能,所以省略说明。在主 存储装置605内确保有用来使装置动作的各种程序或数据,装置整体控制程 序607是控制生物体认证装置整体的程序。从608到612分别与图2中的209 到211和213到214相同,所以省略说明。613是经外围设备I/O装置602生 物体认证装置用来从ATM接收并存储被登录在IC卡内的加过密的生物体登 录特征量的存储区;生物体登录特征量614是加密/解密程序609用密钥617 解密并存储613的加密特征量的存储区。对照结果615是存储认证程序610 对照生物体特征量612与生物体登录特征量614的结果的存储区;加密对照 结果616是加密/解密程序609用密钥617加密并存储对照结果615的存储区。 从连接生物体认证装置的ATM107取得密钥617。 606是连接处理器或各装置 的总线;618、 619分别与图2的217、 218—样。这里,假定ATM接通电源或已启动时生物体认证装置106也同时被启动 了 。具体地说,生物体认证装置106启动时从ATM107接收密钥并存储在617 内。与此同时,假定用密钥617解密存储在非挥发性存储器618内的加密认 证程序619,并存储在了主存储装置605的610内。另外,虽然由于ATM的 正常关机或异常时的宕机、电源关断认证装置106也结束,但是与其结束的 同时认证程序610被清除。关于做成为基于这些认证程序的解密的ATM的控制部和生物体认证装置间的确立处理等、或非挥发性存储器618和主存储装 置(挥发性存储器)605间的构成的理由,在上述的营业店系统的例子中已 经作了说明,所以在此省略。用图7说明ATM107和生物体认证装置106的动作。ATM按CPU (控制 单元、部)501的指示,作为初始画面,将存入、支付、转账等各种项目(菜 单)显示在显示装置505上。ATM的利用者用键入装置506从被显示在显示 装置505上的交易菜单中选择交易项目(701 )。显示装置505和键入装置506 是触摸板,也可以简单地称为显示装置(单元、部)。例如,这里假定选择了 存款的支付交易。此后,根据显示在显示装置505上的"请插入卡"的提示, 当利用者把IC卡插入到ATM的卡插入口中时,被插入的IC卡就被取入到IC 卡装置504内,把内容读取出来(702)。接着,在显示部505上与数字键盘 一起显示密码输入的提示,利用者根据提示用键入装置506输入密码(703 )。 所输入的密码被发送到主机109,接收在主机对照的结果(非法与否)在密 码的发送中,最好用密钥516对数据进行加密。如果密码输入的对照结果是 错误的,在显示装置505上显示出"请再次输入"的提示,催促再次输入密 码。另一方面,如果对照结果正确,就读出被登录在IC卡内的生物体信息或 在显示装置505上显示出"请把手指放在生物体装置上"的提示。与此同时, 把ATM内的生物体认证装置控制程序513的控制、处理转移到生物体认证装 置106的装置整体控制程序607,进行生物体认证处理(704 )。这样,在ATM 侧进行加密认证处理,而在后面示出的在生物体认证装置侧进行生物体认证 处理,这也是提高安全性的一个特征。用图6和图8来说明步骤704的生物体认证处理的细节。首先,ATM107 用IC卡装置504读出被存储在IC卡内的加过密的生物体登录特征量(读出 处理),并直接发送到生物体认证装置106。即,维持加过密的生物体信息的 加密状态不变,ATM (控制部)进行发送到生物体认证装置的处理。这样, 虽然在ATM107内也有密钥516,但是并不对从IC卡读出来的加密生物体登 录特征量进行解密。认证装置106接收该加过密的特征量后,存储在图6中 的加密生物体登录特征量613内(801)。然后,装置整体控制程序607启动 加密/解密程序609,用密钥617把存储在613内的加密数据解密(解密处理、解密部)之后,将其结果存储在生物体登录特征量614内(802)。根据显示在ATM的显示装置505上的提示,利用者例如当把手指放在生 物体认证装置106上时,装置106内的认证程序610,控制照明603和图象 传感器604取得生物体图像,并存储在图象緩冲存储器611内(803 )。认证 程序610,读出存储在图象緩冲存储器611内的生物体图像,从图像中提取 出认证用的生物体特征量,并把结果保存在生物体特征量612 (804)。这样, 也把取得利用者的生物体图像、信息、特征量的功能简称为取得处理(单元、 部)。然后,认证程序610读出生物体特征量612和生物体登录特征量614, 计算其间的距离值(匹配、对照处理、部),如果距离值低于阈值,设为接受 对照,如果距离值超过阈值,设为拒绝对照,并将结果存储在615内。另夕卜, 在615中付随接受或拒绝的对照结果加上状态代码进行存储(805 )。例如, 在对照拒绝的情况下,添加表示将生物体放置在装置上的位置不对、或按压 生物体的力极端强烈而无法取得生物体信息等的代码。认证装置将该代码发 送到ATM107, ATM107利用该代码,例如在对照拒绝的情况下,就可以把 与代码符合的生物体的置放方法等的提示显示给ATM的利用者。结果,由于 能够进行有关生物体认证的做法的准确的提示,所以能够减轻利用者不必要 地反复进行生物体认证的烦恼。加密/解密程序609,用密钥617对存储在615内的对照结果加密并将结 果存储在616内(806)。然后,为了使数据不可能流出到外部,装置整体控 制程序607把存储在611至617内的数据清除(807 )。这样,ATM就不必把 残存在生物体认证装置106内的生物体特征量削除掉,同时也可以防止残存 在装置内的生物体特征量泄露到外部。最后,把存储在220内的加密对照结 果(不包含生物体信息本身)发送到ATM,同时削除掉装置内存在的加密对照 结果(808 )。若在认证结果为拒绝的情况下,ATM重复进行步骤801到808 的处理,直到达到规定次数为止。通过以上说明的图7的处理步骤704的生 物体认证处理结束。这里,在步骤808,把对照结果加密过的结果发送到ATM, 其理由如下。认证装置基本上是对ATM发送认证接受或认证拒绝的数据即可。但是,一旦该数据格式被泄露给第三者,就会避开合法的生物体认证装置,而出现将始终发送认证接受的数据的非法机器连接在ATM上的可能性。这时,即便 不进行生物体认证,ATM也接受认证接受的数据,所以就可能丧失生物体认 证装置的防止非法的效果。如果步骤704的生物体认证结果,若是认证接受OK,就进到步骤706, 如果是NG,就进到步骤710的交易中止(705 )。利用者用键入装置506把提取金额输入到ATM107 (706), ATM107根 据所输入的金额与结算系统主计算机109通信,进行结算处理(707)。此后, ATM从IC卡插入口排出IC卡,同时打印记载交易结果的明细表(708 )。最 后,ATM从现金处理装置507调出所输入的金额量的纸币,从现金取出口排 出现金后,结束一连串的处理(709)。按照以上的从步骤701到709的处理,生物体认证装置106不把生物体 特征量输出到外部,就完成了认证处理。另外,所说明的是IC卡装置504与 生物体认证装置106分体构成的例子,但是如图2所示,也可以形成为一体。 这种情况下,从IC卡读出的登录、加密过的生物体信息并不是全部通过ATM 内部,从而可以进一步确保安全性。在上述的实施例中所说明的是在营业窗口终端把生物体特征量登录在IC 卡内,再由ATM进行认证的方式,但是生物体特征量的登录既可以由连接在 ATM上的生物体认证装置来进行,也可以由营业终端进行生物体认证,与上 述一样,登录生物体信息不必经由营业终端。再者,在由一台生物体认证装 置兼用登录和认"〖正的情况下,只要^l巴从613到616的数据追加到图2的主存 储装置207内就可以。另外,在上述的实施例中,只具有一种用来加密的密钥,但是也可以分 为用来解密认证程序的密钥和用来加密/解密认证结果的密钥,加密方式也可 以使用任意的方法。另外,上述实施例中,所说明的方式,是物体认证装置内的认证程序在 未启动装置时以加密过的状态被存储在非挥发性存储器内、而在装置启动时 被解密的方式。除基于这种加密的认证程序的安全性确保之外,还有分割认 证程序,将程序的一部分存储在装置以外,其余的存储在生物体认证装置内的非挥发性存储器中的方法,这种方法也是有效的。即,可以将存储在装置 内的非挥发性存储器中的认证程序的 一部分与认证装置的启动时存储在装置 外部的认证程序的一部分结合起来,复原成为原认证程序。或者,也可以把 认证程序的加密与分割组合起来。另外,在ATM内的认证中,以在基于密码的处理之后,再进行生物体认 证处理的例子进行了说明。先输入密码的方式的优点列举如下。在不使用生 物体认证的交易中,按"交易菜单选择"、"现金提取卡插入"、"密码输入" 的形式进行处理。因此,ATM的利用者习惯于这种顺序的步骤,如果在生物 体认证之后,由于并未改变其步骤,所以不会有操作的不知所措。另一方面, 在生物体认证之后进行密码认证处理的例子,在完全不必变更密码输入后的 与主机的电文定时和显示画面的迁移等方面是有利的。此时,在从生物体认 证装置发送的对照结果为OK时,才显示密码的输入画面,然后再转移至密 码认证处理,由此,对利用者可以确保双重的安全性。在上述实施例中,密钥存在于窗口终端或ATM内,用该密钥对生物体特 征量进行加密后登录在了 IC卡内。对生物体特征量进行加密的密钥未必一定 存在于窗口终端或ATM内,也可以仅存在于生物体认证装置内。这种情况下, 经由窗口终端或ATM在IC卡生物体认证装置之间读写加密过的生物体特征 量时,由于密钥不存在于窗口终端或ATM内,所以原理上很难解读加密生物 体特征量,从而可以提高安全性。按照上述实施例,可以防止怀有恶意的第三者盗取生物体信息或生物体 特征量。另外,可以防止进行有关生物体认证的生物体特征量提取处理、生 物体特征量的对照处理的程序的解析、篡改、获取等。假定即使分解、解析 装置也可以防止篡改。
权利要求
1.一种静脉信息取得方法,由静脉信息取得装置执行,该静脉信息取得装置与窗口终端连接,取得静脉信息后写入IC卡,该方法包括从所述窗口终端接受静脉信息取得请求,将已取得静脉信息的事实发送向所述窗口终端,从所述窗口终端接收登录到IC卡的请求,根据取得的静脉信息将用于认证的信息写入到IC卡,由此不与窗口终端收发静脉信息。
2. 如权利要求1所述的静脉信息取得方法,其特征在于从所述窗口终端接收密钥,用所述密钥加密所述用于认证的信息并写入 IC卡。
3. 如权利要求1所述的静脉信息取得方法,其特征在于从所述窗口终端接收密钥,用所述密钥加密所述用于认证的信息并生成 加密信息,在删除所述取得的静脉信息后将所述加密信息写入所述IC卡。
4. 一种静脉信息取得装置,其取得静脉信息并写入IC卡,其特征在于 具有取得静脉信息的取得单元; 将静脉信息写入IC卡的写入单元; 与窗口终端收发数据的收发单元;和控制部,在通过所述收发单元从所述窗口终端接收到静脉信息取得请求 后,由所述取得单元取得静脉信息,并且,将取得静脉信息这一事实通过所 述收发单元发送到所述窗口终端,并且,在通过所述收发单元从所述窗口终 端接收到登录到IC卡的请求后,根据已取得的静脉信息,通过所述写入单元 将用于认证的信息写入IC卡,由此,不与窗口终端收发静脉信息。
5. 如权利要求4所述的静脉信息取得装置,其特征在于 所述控制部通过所述收发单元从所述窗口终端接收密钥,用所述密钥加密所述用于认证的信息并写入IC卡。
6. 如权利要求4所述的静脉信息取得装置,其特征在于 所述控制部通过所述收发单元从所述窗口终端接收密钥,用所述密钥加密所述用于认证的信息并生成加密信息,在删除所述取得的静脉信息后将所 述加密信息写入所述IC卡。
7. —种生物体认证装置,其用来用个人的静脉信息进行本人确认,其特 征在于包括取得单元、读,取单元、收发单元和控制单元,其中, 取得单元,其取得利用者的静脉信息; 读取单元,其从IC卡读取登录静脉信息; 收发单元,其与窗口终端或者自动交易装置收发数据; 控制单元,在通过所述收发单元从所述窗口终端或者自动交易装置接收 到认证请求后,由所述读取单元读取登录静脉信息,并且,由所述取得单元 取得利用者的静脉信息,并且,进行所述登录静脉信息与所述静脉信息的对 照,通过所述收发单元将对照结果发送到所述窗口终端或者自动交易装置,通过使所述取得单元、所述读取单元、所述收发单元以及所述控制单元 位于同一框体内,从而不与所述窗口终端或者自动交易装置收发静脉信息。
8. 如权利要求7所述的生物体认证装置,其特征在于 所述控制部通过所述收发单元从所述窗口终端或者自动交易装置接收密钥,用所述密钥加密所述对照结果并发送到所述窗口终端或者自动交易装置。
9. 如权利要求7所述的生物体认证装置,其特征在于 所述控制部通过所述收发单元从所述窗口终端或者自动交易装置接收密钥,用所述密钥加密所述对照结果并生成加密对照结果,在删除所述登录静 脉信息以及所述静脉信息后,将所述加密对照结果发送到所述窗口终端或者 自动交易装置。
全文摘要
本发明提供了一种静脉信息取得方法、静脉信息取得装置和生物体认证装置。静脉信息取得方法,由静脉信息取得装置执行,静脉信息取得装置与窗口终端连接,取得静脉信息后写入IC卡,静脉信息取得方法包括从窗口终端接受静脉信息取得请求,将已取得静脉信息的事实发送向窗口终端,从窗口终端接收登录到IC卡的请求,根据取得的静脉信息将用于认证的信息写入到IC卡,由此不与窗口终端收发静脉信息。
文档编号H04L9/32GK101334915SQ20081013035
公开日2008年12月31日 申请日期2005年10月28日 优先权日2005年2月21日
发明者今泉敦博, 卷本英二, 永田幸平, 绪方日佐男 申请人:日立欧姆龙金融系统有限公司