用于具有生物测量认证功能的ic卡的更新方法和更新设备的制作方法

专利名称：用于具有生物测量认证功能的ic卡的更新方法和更新设备的制作方法
技术领域：
本发明涉及用于具有生物测量认证功能的IC卡的更新方法和更新设备，所述生物测量认证功能利用个人身体的一部分的特征进行个人认证，并且具体来说，涉及适用于实现个人认证并且适用于防止生物测量信息泄漏的具有生物测量认证功能的IC卡的更新方法和更新设备。
背景技术：
有多种人体部位可区别个人，比如指纹和趾纹、眼睛的视网膜、面部特征和血管。随着近年来生物测量技术的发展，给出了多种多样的识别人体部分的生物测量特征以认证个人身份的设备。
例如，由于手的手掌和手指的指纹和血管提供了比较大量的个人特征数据，因此对于个人认证的可靠性而言，它们是比较适用的。尤其是血管(静脉)图案在从出生开始的整个生命历程中从不会改变，并且被认为是完全唯一的，所以很适合个人认证。在手掌认证方法中，当用户在登记或认证的时候把他的手靠近图像采集设备时，图像采集设备发出近红外线，该近红外线照射到手掌上。图像采集设备使用传感器采集从手掌上反射回来的近红外线。
在静脉中流动的红血球中的血红蛋白已经失去了氧气。这种血红蛋白(还原血红蛋白)吸收波长接近760纳米的近红外线。结果当近红外线照射到手掌上时，只有在有静脉的区域内减小了反射，反射回来的近红外线的强度可以用于确定静脉的位置。
用户首先使用图像采集设备将自己手掌的静脉图像数据登记到服务器中或卡上。然后，为了进行个人认证，用户采用图像采集设备来读取自己手掌的静脉图像数据。将使用用户的ID检索的已登记的静脉图像与这样读取的用于校验的血管图像的血管图案进行核对，以进行个人认证(例如见日本专利公开第2004-062826号)。
这样的生物测量认证系统必须确保生物测量特征数据不致泄漏给第三方。因此在指纹认证领域中，已经提出了这样一种方法预先将个人的指纹特征数据登记在具有生物测量认证功能的IC(集成电路)卡中，并且将从指纹传感器中读取的指纹特征数据与IC卡中的数据进行核对，以进行个人认证(日本专利公开第2000-293643号)。
按照这种方法，在个人认证的时候使用IC卡，从而可以防止生物测量特征数据泄漏给第三方，并且能够保证个人数据的安全。
另一方面，这样的IC卡还具有规定的有效期，有效期满后必须对IC卡进行更新。在磁条卡和IC卡不具有认证功能的情况下，采用了这样一种方法发卡人会发给用户一张记录了数据的新卡，而用户会毁掉旧卡。
然而，在IC卡具有认证功能的情况下，如上所述，生物测量特征数据仅存储在IC卡中，从而发卡人无法发行其中记录了生物测量特征数据的新卡。因此，如果用户不在新的IC卡中重新登记生物测量特征数据，就不能使用生物测量认证功能。
在将生物测量特征数据重新登记到新的IC卡中的过程中，如果允许带着由发卡人发行的新IC卡的人登记生物测量特征数据，而如果该人并不是所述的个人本人，那么就会登记了另一个个人的生物测量特征数据，就有了违法使用该卡的可能。反过来说，如果允许从IC卡中检索生物测量特征数据，那么就存在将生物测量特征数据可能泄漏给第三方的问题。

发明内容
因此，本发明的一个目的是提供一种用于具有生物测量认证功能的IC卡的更新方法和更新设备，以在安全环境下进行IC卡更新，同时保证生物测量特征数据的安全性。
本发明的另一个目的是提供一种用于具有生物测量认证功能的IC卡的更新方法和更新设备，以防止由本人之外的人进行生物测量信息的重新登记，同时保证生物测量特征数据的安全性。
本发明的又一个目的是提供一种用于具有生物测量认证功能的IC卡的更新方法和更新设备，以在安全环境下进行IC卡更新，同时防止生物测量特征数据泄漏给第三方。
为了实现这些目的，本发明的IC卡更新设备是一种用于具有生物测量认证功能的IC卡的更新设备，该设备进行其中登记有从人体上检测到的生物测量特征数据的IC卡的更新，将从所述人体检测到的生物测量特征数据与所述已登记的生物测量特征数据进行核对，从而进行生物测量认证。并且该IC卡更新设备具有检测装置，用于检测生物测量数据；IC卡读/写器，对将要更新的旧IC卡和新IC卡进行读/写；和控制单元，从所述检测装置的输出中提取所述生物测量特征数据并且将该生物测量特征数据传送给所述旧IC卡。并且所述控制单元使用所述旧IC卡的所述生物测量认证功能来对所述已登记生物测量特征数据与所传送过来的生物测量特征数据进行核对，并且当结果能够符合生物测量认证的要求时，将所提取的生物测量特征数据登记在所述新IC卡中。
此外，本发明的IC卡更新方法是一种具有生物测量认证功能的IC卡的更新方法，在该方法中，对从人体上检测到的生物测量特征数据进行登记、将从所述人体检测到的生物测量特征数据与所述已登记生物测量特征数据进行核对从而进行生物测量认证。该IC卡更新方法具有下述步骤检测生物测量数据并且提取生物测量特征数据；将所提取的生物测量特征数据传送给要被更新的旧IC卡；使用所述旧IC卡的所述生物测量认证功能来对已登记的生物测量特征数据与所传送过来的生物测量特征数据进行核对；和根据核对结果，响应于符合生物测量认证的要求，将所提取的生物测量特征数据登记在所述新IC卡中。
在本发明中，优选地，在将数据登记到所述新IC卡中之后，控制单元锁死所述旧IC卡的所述生物测量认证功能。
在本发明中，优选地，所述控制单元对由所述IC卡读/写器读取的所述旧IC卡和所述新IC卡的持有者信息进行核对，并且确认所述旧IC卡与所述新IC卡之间的相应关系的合法性。
在本发明中，优选地，所述控制单元通过所述IC卡读/写器读取的旧IC卡和新IC卡的发卡人信息确认所述旧IC卡和所述新IC卡的合法性。
在本发明中，优选地，所述控制单元在将数据登记到所述新IC卡中之后，删除所述旧IC卡中的所述生物测量特征数据。
在本发明中，优选地，所述检测装置包括采集用户身体图像的图像采集装置。
在本发明中，优选地，所述图像采集装置包括采集所述用户的血管图像的单元。
在本发明中，优选地，所述IC卡读/写器包括第一IC卡读/写器，对所述旧IC卡进行读/写；和第二IC卡读/写器，对所述新IC卡进行读/写。
在本发明中，优选地，所述控制单元在将所述特征数据登记到所述新IC卡中之后，再次检测来自所述检测装置的生物测量数据，从所述检测装置的输出中提取所述生物测量特征数据，将所述生物测量特征数据传送给所述新IC卡，并且对所述新IC卡中登记的生物测量特征数据与所传送过来的生物测量特征数据进行核对。
在本发明中，优选地，在旧IC卡和新IC卡中，只有旧IC卡和新IC卡的生物测量认证功能访问其中登记的生物测量特征数据。
按照本发明，通过使用旧IC卡的生物测量认证功能进行生物测量认证确认个人的身份，从而能够使用具有生物测量认证功能的IC卡严格确认个人的身份，并且能够防止更新时的非法使用。具体地，当IC卡丢失或由第三方得到了遗失的IC卡时，能够防止所指用户之外的他人的生物测量数据登记在新发行的IC卡中。
此外，如果身份确认符合要求，则将在生物测量认证中得到的生物测量数据登记到合法性已经得到确认的新IC卡中。因此通过单独一次图像采集，就可以将已被确认为属于使用旧IC卡的本人的生物测量数据登记到新IC卡中，而不会泄漏给第三方，并且能够很容易地将生物测量数据移植到新IC卡中。


附图1示出了本发明的一个实施例的生物测量认证系统的结构；附图2示出了附图1的IC卡更新设备的结构；附图3示出了附图1和附图2的图像采集装置的结构；附图4是附图2的IC卡更新设备的框图；附图5示出了附图1到附图3的IC卡的结构；附图6解释说明了附图5的IC卡的认证数据；附图7解释说明了附图6的IC卡的认证方法；附图8是按照本发明的一个实施例的生物测量信息登记/核对处理的功能性框图；附图9解释说明了附图8中的血管图像；附图10解释说明了附图9的血管图像数据；附图11解释说明了附图8的特征数据A、B；附图12解释说明了按照本发明的一个实施例的IC卡更新处理；附图13是附图12的IC卡更新处理的(第一)流程图；附图14是附图12的IC卡更新处理的(第二)流程图；附图15是附图13和附图14的用于更新处理的引导屏幕的(第一)示意图；附图16是附图13和附图14的用于更新处理的引导屏幕的(第二)示意图；附图17示出了本发明的另一实施例的IC卡更新设备的结构；附图18是附图17中的IC卡更新设备的框图；附图19是用于附图17和附图18的更新处理的引导屏幕的(第一)示意图；和附图20是用于附图17和附图18的更新处理的引导屏幕的(第二)示意图。
具体实施例方式
下面，将以生物测量认证系统、生物测量认证处理、IC卡更新方法、IC卡更新处理、IC卡更新设备的其它实施例以及其它实施例的顺序对本发明的实施例进行解释说明。
生物测量认证系统附图1示出了本发明的一个实施例的生物测量认证系统的结构，附图2示出了附图1的IC卡更新设备的结构，附图3示出了附图1和附图2的图像采集装置的结构，附图4是附图2的IC卡更新设备的框图，而附图5示出了附图1到附图3的IC卡的结构。
附图1示出了金融机构中使用的手掌静脉认证系统，作为生物测量认证系统的一个示例。在金融机构的服务区2中，配备了在附图2和附图3中解释的手掌图像采集装置1和与其相连的分支机构终端(例如，个人计算机)3。请求静脉图案认证的用户将他的手放在手掌图像采集装置(下文中称为“图像采集装置”)1上方。图像采集装置1辨读手掌，并且由终端3进行血管图像提取处理，以提取出静脉图案，将其作为静脉数据登记在终端3中。
该静脉数据被记录在由用户携带的个人卡(例如IC卡)5中。服务器4与金融机构的服务区7中的服务区终端8相连接，并且服务区终端8与图像采集装置1相连接。
为了在金融机构的服务器7中进行提款或进行一些其它的金融交易，用户将IC卡插入到附图2和附图4中加以解释的IC卡读取器中，并且把他的手保持在配备在服务区7中的图像采集装置1上方。图像采集装置1辨读手掌，并且通过由服务区终端8进行的血管图像提取处理提取静脉图案。服务区终端8进行认证处理，以将静脉图案作为静脉数据与登记在IC卡5中的静脉数据进行核对，来认证该个人的身份。
服务器4与金融结构的ATM(自动现金存/取机)6相连接；在基于静脉认证的交易中可使用ATM 6。为了使用ATM 6进行提款或进行一些其它的金融交易，用户要将他的手保持在设置在ATM 6中的图像采集装置1-1上方。图像采集装置1-1辨读手掌。与服务区终端8类似，ATM 6提取静脉图案(血管图像)，并且将这个静脉数据与用户携带的IC卡5中已登记的静脉数据进行核对，来对个人进行认证。
服务器4还与附图2和附图4中加以解释的IC卡更新设备20相连接。
附图2示出了附图1的IC卡更新设备的结构。如附图2所示，IC卡更新设备20具有更新装置主单元22、认证装置26(具有IC卡读取器和手掌图像采集装置(静脉传感器))和IC卡读取器9-1。更新装置主单元22包括例如个人计算机，并且具有包括带有触摸屏的显示器的客户操作部分24。
IC卡读/写器9-1对用户的IC卡5的IC芯片和磁条进行读/写，下面将在附图5中对此进行介绍。在IC卡读/写器9中设置了安全应用模块(SAM)；只有经过认证的访问才被接受，以保障IC卡5的安全。
如附图2所示，认证装置26装备有基本上位于主单元10中央的传感器单元18。在传感器单元18向前的部分(用户一侧)上，设置有前导板14；在向后的部分上设置有后导板19。前导板14包括一透明或基本透明的合成树脂板。
前导板14用于在前部引导用户的手和支撑手腕。因此前导板14对用户进行引导，以将手腕对准和支撑在传感器单元18上方。结果，手掌在传感器单元18上方的姿态(即位置、倾斜度和大小)可以得到控制。前导板14的截面形状具有垂直体，并且在顶部具有水平部分14-1，用于支撑手腕。在水平部分14-1的中央连续地形成了凹部14-2，以帮助手腕定位。后导板19用于支撑手指的目的。
如附图3所示，传感器单元18在中央处配备有红外线传感器(CMOS传感器)与聚焦透镜16和距离传感器15；在它们周围设置了多个近红外光发射元件(LED)12。例如，在周围八个位置上设置了近红外光发射元件，用以向上发射近红外线。
该传感器18的可读区域V是通过传感器、聚焦透镜和近红外光发射区域之间的关系调节的。因此将前导板14的位置和高度设置成使得所支撑的手腕位于可读区域V之内。
当手52手掌伸平地伸开时，手掌具有最大的面积，而且是平坦的，从而当在传感器单元18的图像采集区域V中对手掌进行图像采集时，能够得到可在登记和认证中使用的精确静脉图案。当从传感器单元18到手掌的距离处于预定的范围之内时，可由传感器单元18的传感器16得到清晰的聚焦图像。
因此如附图3所示，通过用前导板14将手腕52支撑在传感器单元18之上，使得手掌在传感器单元18上方的位置、倾斜度和高度相对于传感器单元18的图像采集范围都很精准，并且用户的手可以得到引导和支撑。
附图1中的手掌图像采集装置1和1-1具有类似的结构。除了手掌图像采集装置1之外，附图2的认证装置26还具有为主单元10设置的IC卡读/写器9。
如附图4所示，更新装置主单元22与客户操作单元24协同工作，并且具有对IC卡5进行更新处理的更新应用程序30和用于静脉认证处理的静脉认证库(程序)34。更新应用程序30与主机(服务器)4相连接，并且发送更新状态的通知。
认证装置26具有IC卡读/写器9、静脉传感器1和控制器(安全应用模块)32。IC卡读/写器28具有IC卡读/写器9-1和控制器(安全应用模块)36。
附图5是附图1到附图4中的具有生物测量认证功能的IC卡的框图。如附图5所示，IC卡5具有CPU(中央处理器单元)50、ROM(只读存储器)54、RAM(随机存取存储器)56和EEPROM 58。ROM 54存储着OS(操作系统)和类似的程序。
静脉认证应用程序51的程序510、防火墙53、金融应用程序55、用于该金融应用程序55的防火墙57和其它应用程序59及文件520存储在EEPROM 58中。静脉认证应用程序51的程序510具有读取记录处理逻辑、更新记录处理逻辑和核对处理逻辑。核对处理逻辑包括静脉认证逻辑(次级认证算法)512。
另一方面，在静脉登记的时候，从终端写入的静脉A部分数据(后面使用附图9介绍)和静脉B部分数据(后面使用附图9介绍)存储在文件520中。静脉A部分数据在静脉认证(初级认证)的时候由来自终端的读取记录处理逻辑引用。静脉B部分数据在进行核对命令处理(次级认证)的时候由静脉认证逻辑512引用，用于静脉认证逻辑512进行的次级认证。
其它数据526是IC现金卡中使用的公知的RSA(私钥/公钥)格式的数据，并且在卡认证(SDA处理)期间由来自终端的读取记录处理逻辑引用。
就是说，如附图6所示，其它数据526包括SDA数据和账号以及携带者的其它信息。SDA数据包括静态认证数据、使用发卡人密钥加密静态认证数据得到的带符号应用数据和发卡人公钥证书。发卡人公钥证书是使用认证机构(CA)100的CA私钥加密的发卡人公钥，并且由认证机构100发行。终端3、6、8、22进行离线认证，以确认该SDA数据是由卡的合法发卡人发行的。
如附图7所示，由终端3、6、8或22使用CA公钥对从IC卡5中读取的使用CA私钥加密的发卡人公钥证书进行解密，以重新获得发卡人公钥。接着，由终端3、6、8或22使用所重新获得的发卡人公钥对使用发卡人私钥加密的带符号应用数据(从IC卡5中读取出来)进行解密，以取回静态认证数据。并且，将从IC卡5中读取的静态认证数据与解密出来的静态认证数据进行比较，以核实合法性。用这种方法，终端在离线处理中确认了卡是由合法发卡人发行的。
另一方面，在IC卡5和终端(或主机)的相互认证的DES认证方法中使用了共享密钥；为了认证终端，由终端使用共享密钥对认证数据加密，以获得认证代码，并且将这一认证代码传送给IC卡5。在IC卡5上，使用共享密钥对认证数据进行加密，并且将结果与认证代码进行比较，以核实认证代码的合法性。
为了认证IC卡，由IC卡使用共享密钥对认证数据进行加密，以获得认证代码，将该认证代码发送给终端；在终端中，将该认证代码与使用共享密钥加密认证数据得到的认证代码进行比较，以核实该认证代码的合法性。
生物测量认证处理方法附图8是本发明的一个实施例的生物测量认证处理的框图，附图9解释说明了附图8中检测到的血管图像，附图10解释说明了附图8的认证处理，而附图11解释说明用于认证处理的静脉登记数据A、B。
如附图8所示，与图像采集装置1和IC卡更新设备20的认证数据库34相连接的服务区终端3和8执行一系列登记和认证处理34-1到34-6。如下所述，IC卡5中的IC芯片的CPU 50也进行认证处理(次级认证)34-3。
距离/手轮廓检测处理34-1接收由图像采集装置1、1-1的距离传感器15测得的距离、判断手掌或其它物体是否处于距传感器单元18预定范围之内的距离上，并且还从由传感器单元18采集的图像中检测手的轮廓，并根据该轮廓判断该图像是否可用于登记和核对处理。例如，图像中手掌可能没有充分显现出来。
当距离传感器15测得的距离表明手处于图像采集范围之外时，或者当手轮廓提取结果表明图像不能用于登记和核对处理时，引导信息输出处理34-5向服务区终端3、8的显示器和IC卡更新设备20的客户操作单元24输出向左或向右、向前或向后、向上或向下引导手掌的信息。使用这种方法，引导用户的手进入图像采集装置1上方的位置。
当手轮廓检测处理34-1判定已经在手正确摆放的情况下采集到了图像的时候，血管图像提取处理34-2从手的图像中提取静脉图像。就是说，按照上面参照现有技术解释说明的那样，通过反射率的差异获得比如附图10中所示的那样的手掌图像的灰度级数据。静脉图案图像是例如附图9中所示的那样的图像；数据是例如如附图10中所示的那样的灰度级数据。
已登记血管图像检索处理34-4从附图1、附图4和附图5中所示的IC卡5中的IC芯片的存储部分中检索与个人ID(账号)相对应的已登记血管图像数据A。核对处理34-3将如附图10中所示对血管图像检测处理34-2中提取的血管图像数据N1与已登记血管图像数据N2进行比较，进行核对处理，并且输出核对结果。
如附图11所示，并且可由附图9看出，素材数据(血管图像数据)R可分类为干管Aa、粗支管Ab和与粗支管相连的细支管Ac。将干管A1和粗支管A2分为相对粗糙的特征数据A，而将细支管Ac分为相对精细的特征数据B，以创建已登记数据A、B。已登记数据A是相对粗糙的，所以不表现精细特征，而是代表粗略特征。已登记数据B是相对精细的，所以代表精细特征。
登记处理34-6将检测到的血管图像数据划分成相对粗糙级别的血管图像数据A和相对精细级别的血管图像数据B，并且经IC卡读/写器9将这些数据存储在IC卡5的IC芯片50上。
就是说，终端的认证数据库34引用附图5中解释说明的IC卡5的静脉A部分数据，并且进行核对(称为初级核对)。另一方面，附图5中解释说明的IC卡5的静脉认证应用程序510的静脉认证逻辑512引用IC卡5上的B部分数据，并且进行核对(称为次级核对)。
在该血管图像认证系统中，对于具有生物测量认证功能的IC卡的安全更新，有效地同时保持了血管图像数据的安全性和IC卡更新的可靠性。
IC卡更新方法附图12解释说明了在本发明的一个实施例中的IC卡更新方法的处理过程，并且给出了使用附图1、附图2和附图4中的IC卡更新设备20的示例。
(1)用户分别将过了有效期的具有生物测量认证功能的IC卡5(称为旧IC卡)和新发行的具有生物测量认证功能的IC卡5-1(称为新IC卡)插入IC卡读/写器9和9-1。各个IC卡读/写器9和9-1在IC卡插入之后到完成重新登记处理之前监测IC卡的取出，如果取出了任何一张IC卡，则中断处理。
(2)首先，终端22的更新应用程序30借助IC卡读/写器9使用前面使用附图6和附图7解释的RSA方法执行旧IC卡5的卡认证，以确认该卡的合法性。同样，终端22借助IC卡读/写器9-1使用前面使用附图6和附图7解释的RSA方法进行新IC卡5-1的卡认证，以确认该卡的合法性。
(3)接下来，终端22的更新应用程序30借助IC卡读/写器9、9-1读取并比较旧IC卡5中的个人信息(附图5中的持有者的账号和类似数据)和新IC卡5-1中的个人信息(附图5中的持有者的账号和类似数据)。用这种方法，确认新IC卡5-1是替换旧IC卡5而新发行的卡。还由终端22通过IC卡读/写器9确认了生物测量数据还没有登记到新IC卡5-1中。
(4)接下来，终端22的更新应用程序30使用认证设备26的用于生物测量数据的图像采集的静脉传感器1获取手掌血管图像数据C。终端22的更新应用程序30使用认证数据库(分析和核对)34来对血管图像数据C与旧IC卡5的静脉数据A进行核对。如果核对结果是符合要求的，则将根据血管图像数据C创建的静脉数据B’传送给旧IC卡5，并且旧IC卡5的静脉认证逻辑对数据B’与旧IC卡5中的静脉B部分数据B进行核对。通过这种方法，使用旧IC卡5进行了生物测量认证。
(5)当通过使用旧IC卡5的生物测量认证完成了个人认证时，基于(4)中采集到的血管图像数据C，将生物测量数据登记到新IC卡5-1中。就是说，将根据血管图像数据C创建的静脉数据A’、B’传送给IC卡读/写器9-1，并且通过新IC卡5-1的更新记录处理将其写入到文件520的区域522、524中。
(6)为了进行核对，终端22的更新应用程序30使用认证装置26的静脉传感器1进行生物测量数据的图像采集，以获得手掌血管图像数据C。终端22的更新应用程序30使用认证数据库(分析和核对)34来对根据血管图像数据C创建的静脉数据A与新IC卡5-1的静脉数据A’进行核对。如果核对结果是符合要求的，则将根据血管图像数据C创建的静脉数据B’传送给新IC卡5-1，并且借助新IC卡5的静脉认证逻辑512将其与新IC卡5-1中的静脉B部分数据进行核对。通过这种方法，进行了使用新IC卡5-1的生物测量认证处理。
(7)当通过使用新IC卡5-1的生物测量认证进行的个人认证成功时，终端22的更新应用程序30通过IC卡读/写器9删除旧IC卡5上的生物测量数据A、B。例如，通过旧IC卡5的更新记录处理，将空位(全部为“1”)写入到文件520的区域522、524中。此外，终端22的更新应用程序30通过IC卡读/写器9使旧IC卡5的静脉认证功能无效。就是说，将静脉认证应用程序51锁死。通过这种方法，从旧IC卡5中删除了生物测量数据，而且致使静脉认证功能无效。结果，旧IC卡5变成了不再具有生物测量认证功能的卡。
这样，首先确认旧IC卡和新IC卡是由合法发卡人发给的IC卡，并且确认IC卡更新自己的合法性。接着，通过使用旧IC卡进行生物测量认证，在生物测量认证的基础上确认该人为所指的个人。因此可以严格地实现使用具有生物测量认证功能的IC卡进行的个人确认，并且可以防止更新时的非法行为。具体地，当IC卡被盗或由第三者得到了遗失的IC卡时，能够防止在新发行的IC卡中登记用户本人之外的他人的生物测量数据。
如果个人确认成功，则将生物测量认证中获得的生物测量数据登记到合法性已经得到了确认的新IC卡中。通过这种方法，通过单独一次图像采集，并且使用旧IC卡，可以在不将被确认为是本人的生物测量数据泄漏给第三方的前提下将该生物测量数据登记到新IC卡中，从而能够轻松可靠地进行生物测量数据向新IC卡的移植。
进行试验性认证来检验登记在新IC卡中的生物测量数据，并且核实更新过的新IC卡的生物测量认证功能。如果这一核实令人满意，则删除旧IC卡中的生物测量数据并且使旧IC卡的静脉认证功能无效，从而旧IC卡5变成了一张不再具有生物测量认证功能的卡，并且不能再使用。
因此，防止了IC卡更新造成的生物测量数据泄漏。具体地，如果生物测量数据或静脉认证功能遗留在旧IC卡上，就会有泄漏生物测量数据或对认证功能进行反向工程的机会，消除这些机会是非常有益的。
IC卡更新处理接下来，将使用附图13到附图16对附图12中解释的IC卡更新方法的处理过程进行解释说明。附图13和附图14是IC卡更新处理流程图，而附图15和附图16解释说明了这些处理的引导屏幕。
(S10)在IC卡更新设备20的客户操作单元24上显示附图15的更新选择屏G1。为了请求更新，用户触摸选择屏G1上的开始图标。由此，更新处理开始。用户依照附图15的旧IC卡插入引导屏G2将具有生物测量认证功能的过期IC卡5(旧IC卡)插入到IC卡读/写器9中。IC卡读/写器9读取所插入的旧IC卡5的内容(受生物测量认证应用程序保护的生物测量状态除外)，并且显示附图15的现在正在读取屏G3。IC卡读/写器9从插入IC卡开始直到完成重新登记处理为止一直监测IC卡的取出。如果IC卡被取出，则处理中止。
(S12)接下来，用户依照附图15的新IC卡插入引导屏G4将具有生物测量认证功能的IC卡5-1(新IC卡)插入到IC卡读/写器9-1中。IC卡读/写器9-1读取所插入的新IC卡5-1的内容(文件520的区域526、528)，并且显示附图15的现在正在读取屏G5。IC卡读/写器9从插入IC卡开始直到完成重新登记处理为止一直监测IC卡的取出。如果IC卡被取出，则处理中止。
(S14)接下来，终端22的更新应用程序30借助IC卡读/写器9使用前面使用附图6和附图7解释的RSA方法执行旧IC卡5的卡认证，以确认卡的合法性。如果认证结果不符合要求，则在客户操作单元24上显示错误信息，并且处理结束。
(S16)如果确认旧IC卡5的合法性符合要求，则由终端22借助IC卡读/写器9-1使用前面使用附图6和附图7解释的RSA方法类似地进行新IC卡5-1的卡认证，以确认卡的合法性。如果认证结果不符合要求，则在客户操作单元24上显示错误信息，并且处理结束。
(S18)接着，终端22的更新应用程序30根据IC卡读/写器9读取的个人信息(附图5的持有者数据中的有效期)确认旧IC卡5已经过期或即将过期。此外，更新应用程序30比较旧IC卡5中的个人信息(账号和类似数据)和新IC卡5-1中的个人信息(附图5的持有者数据中的账号和类似数据)。用这种方法，确认新IC卡5-1是替换旧IC卡5而新发行的卡。如果确认结果不符合要求，则在客户操作单元24上显示错误信息，并且处理结束。
(S20)另一方面，如果确认结果是符合要求的，则处理前进到附图14，并且终端22通过IC卡读/写器9确认生物测量数据还没有登记到新IC卡5-1中。如果数据已经登记了，则在客户操作单元24上显示错误信息，并且处理结束。
(S22)接着，如果没有已登记的数据，则终端22的更新应用程序30显示附图15的手掌引导屏G6，引导用户将他的手掌放在认证装置26的静脉传感器1上方。然后由静脉传感器1采集手掌的图像，执行附图8中解释过的图像采集处理34-1，并且如果图像采集结果不符合要求，则通过引导信息处理34-5进行图像采集引导。
(S24)如果图像采集结果是符合要求的，则通过附图8的血管图像提取处理34-2获取手掌血管图像数据C。终端22的更新应用程序30使用认证数据库(分析和核对)34来对根据血管图像数据C创建的静脉数据A’与旧IC卡5的静脉数据A进行核对。如果核对结果是符合要求的，则将根据血管图像数据C创建的静脉数据B’传送给旧IC卡5，并且使用旧IC卡5的静脉认证逻辑512对数据B’与旧IC卡5中的静脉B部分数据B进行核对。通过这种方法，使用旧IC卡5进行生物测量认证。如果认证结果不符合要求，则在客户操作单元24上显示错误信息，并且处理结束。
(S26)如果使用旧IC卡5通过生物测量认证能够确认所指的个人，则在客户操作单元24上显示个人确认屏G8，并且根据在步骤S24中采集到的血管图像数据C，将生物测量数据登记到新IC卡5-1中。就是说，将根据血管图像数据C创建的静脉数据A’、B’传送给IC卡读/写器9-1，并且通过新IC卡5-1的更新记录处理进行对文件520的区域522、524的写入。
(S28)为进行核对，终端22的更新应用程序30显示附图15的手掌引导屏G9，以引导用户将手掌放在图像采集装置26的静脉传感器1上方。由静脉传感器1采集手掌的图像，进行附图8中解释过的图像采集处理34-1，并且如果图像采集结果不符合要求，则由引导信息处理34-5进行图像采集引导。
(S30)如果图像采集结果符合要求，则通过附图8的血管图像提取处理34-2获取手掌血管图像数据C。终端22的更新应用程序30在客户操作单元24上显示附图16的认证处理屏G10，并且通过认证数据库(分析和核对)34来对根据血管图像数据C创建的静脉数据A’与新IC卡5-1的静脉数据A’进行核对。如果核对结果是符合要求的，则将根据血管图像数据C创建的静脉数据B’传送给新IC卡5-1，并且新IC卡5的静脉认证逻辑512将传送过来的数据与新IC卡5-1中登记的静脉B部分数据B’进行核对。通过这种方法，进行了使用新IC卡5-1的生物测量认证处理。如果认证结果不符合要求，则在客户操作单元24上显示错误信息，并且处理结束。
(S32)通过使用新IC卡5-1的生物测量认证，确认了个人的身份，之后终端22的更新应用程序30在客户操作单元24上显示附图16的登记结束屏G11，然后通过IC卡读/写器9从旧IC卡5中删除生物测量数据A、B。例如，由旧IC卡5进行的更新记录处理将空位(全部为“1”)写入到文件520的区域522、524中。
(S34)IC卡5和5-1可用于该人以外的得到该人同意的代理人的生物测量认证；因此可以登记代理人的手掌血管图像。当必须进行这样的登记时，通过触摸客户操作单元24上的生物测量数据登记图标，显示附图16的登记继续屏G14，并且处理过程返回到步骤S22。
(S36)另一方面，当没有更多的生物测量数据要进行登记时，终端22的更新应用程序30借助IC卡读/写器9使旧IC卡5的静脉认证功能无效。就是说，锁死了静脉认证应用程序51。通过这种方法，从旧IC卡5中删除了生物测量数据，而且致使静脉认证功能无效。结果，旧IC卡5变成了不再具有生物测量认证功能的卡。然后在客户操作单元24上显示新IC卡退还屏G12，并且从IC卡读/写器9-1中退还新IC卡5-1。接下来，在客户操作单元24上显示旧IC卡5退还屏G13，并且从IC卡读/写器9中退还旧IC卡5。然后处理结束。
这样，进行了旧IC卡是否过期或即将过期的判断，将该卡确认为是由发卡人合法发行的IC卡，并且根据旧IC卡和新IC卡中的持有者信息确认了与用于更新的IC卡的连续性。
接下来，采用了使用旧IC卡的生物测量认证来通过生物测量认证确认个人的身份。通过这种方法，可以使用具有生物测量认证功能的IC卡严格地进行个人确认。因此，当IC卡被盗或由第三者得到了遗失的IC卡时，能够防止所指的用户之外的他人将生物测量数据登记在新发行的IC卡中。
如果个人确认符合要求，则将生物测量认证中获得的生物测量数据登记到合法性已经得到了确认的新IC卡中。通过这种方法，通过单独一次图像采集，并且使用旧IC卡，将确认为是本人的生物测量数据的生物测量数据登记到新IC卡中，而不会将生物测量数据泄漏给第三方，从而能够轻松可靠地将生物测量数据移植到新IC卡中。
此外，为了检验登记在新IC卡中的生物测量数据，进行了试验性认证，并且核实更新过的新IC卡的生物测量认证功能。如果该核实进行得令人满意，则删除旧IC卡中的生物测量数据并且使旧IC卡的静脉认证功能无效，从而旧IC卡5变成了一张不再具有生物测量认证功能的卡，并且不能再使用。
因此，防止了由于IC卡更新造成的生物测量数据泄漏。具体地，如果生物测量数据或静脉认证功能遗留在旧IC卡上，就会有泄漏生物测量数据或对认证功能进行反向工程的机会，并且这些机会的消除是非常有益的。
IC卡更新设备的其它实施例接下来，将解释说明使用附图1中的自动交易机6的IC卡更新的其它实施例。附图17是附图1的自动交易机的外观，而附图18是附图17的自动交易机的框图。
如附图17所示，在ATM 6的前面具有卡插入/退出口6-4；存折插入/退出口6-5；纸币插入/发放口6-3；硬币插入/发放口6-2；和用于操作和显示的客户操作板6-1。
在这个例子中，图像采集装置1-1设置在客户操作显示屏6-1的旁边。附图2和附图3中解释过的传感器单元18安装在图像采集装置1的主单元10的前侧。在传感器单元18的前部(在用户一侧)上设置有前导板14。前导板14包括透明或基本透明的合成树脂板。为了起到在前面引导用户的手和支撑手腕的作用，前导板14的横截面形状具有垂直体，并且在顶部具有水平部分14-1，用于支撑手腕。在水平部分14-1的中央连续形成了凹部14-2，以帮助定位手腕。
此外，主单元10的传感器单元18面向后并且向上倾斜，并且在其后面设置了平坦部分11。IC卡读/写器9-1设置在图像采集装置1-1的主单元10上。
如附图18所示，ATM 6具有CIP(卡读取器打印机)单元60，该单元具有卡插入/退出口6-4；存折单元64，该单元具有存折插入/退出口6-5；纸币/硬币计数器单元66，该单元具有纸币插入/发放口6-3和硬币插入/发放口6-2；维护人员操作单元65；控制单元67；用于操作和显示的客户操作显示屏(UOP)6-1；和图像采集装置(静脉传感器)1-1，包括IC卡读/写器9。
CIP单元60具有IC卡读/写器61，对IC卡5的磁条和IC芯片进行读/写；收据打印机63，在收据上记录交易情况；日志打印机62，在日志表格上打印交易历史；和安全使用模块(SAM)70。
存折单元64将交易记录在存折的页上，并且在需要时进行换页。维护人员操作单元65用于由维护人员进行的操作，该单元可以显示状态并且在出现故障时或在检修期间进行操作。纸币/硬币计数单元66检验、计数并储存所插入的纸币和硬币，并且计数和发放所需数量的纸币和硬币。
控制单元67与服务器4进行通信，并且具有控制ATM操作的ATM应用程序68和用于认证处理的认证数据库(程序)69。这个ATM应用程序68的一部分与认证数据库69协同作用，以控制UOP 6-1的生物测量认证引导屏。
在附图17和附图18与附图2和附图4之间的关系中，附图18的IC卡读/写器61相当于附图2的IC卡读/写器9，并且附图17和附图18的IC卡读/写器9-1相当于附图2的IC卡读/写器9-1。并且，附图4的更新应用程序30设置在附图18的ATM应用程序68中。
此外，附图17和附图18的UOP 6-1相当于附图2和附图4的客户操作单元24，附图17和附图18的认证数据库69相当于附图2和附图4的认证数据库34。
附图19和附图20解释了用于IC卡更新处理的引导屏幕，该IC卡更新处理包括由自动交易机进行的生物测量认证处理。IC卡更新处理与附图13和附图14中的相同。
附图19的交易选择屏G20显示在ATM 6的UOP 6-1上。这里，可以选择四种交易类型，它们是存折结转(bankbook carry-over)、余额查询、支付和IC卡更新。因为希望更新，所以用户触摸选择屏G20上的IC卡更新图标。通过这种方法，开始更新处理。类似于步骤S10，用户依照附图19的旧IC卡插入引导屏G2、G3将具有生物测量认证功能的过期IC卡5插入到IC卡读/写器9中。
接下来，类似于步骤S12，用户依照附图19的新IC卡插入引导屏G4、G5将具有生物测量认证功能的IC卡5-1(新IC卡)插入到IC卡读/写器9-1中。
在步骤S14、S16、S18和S20之后，类似于步骤S22，显示附图19的手掌引导屏G6，并且将用户的手掌引导到认证装置26的静脉传感器1上。然后，在步骤S24之后，显示指明认证正在进行的屏G7，并且在步骤S26中，显示代表个人身份已经确认的附图19的屏G8。
在步骤S28中，为了进行核对，显示附图19的手掌引导屏G9，并且将用户的手掌引导到图像采集装置26的静脉传感器1上。然后，如果在步骤S30中图像采集结果是符合要求的，则获取手掌血管图像数据C，并且显示附图20的认证处理屏G10。
然后，如果在步骤S32中使用新IC卡5-1通过生物测量认证确认了个人的身份，则显示附图20中表示登记结束的屏G11，并且如果为了对得到个人许可的代理人进行生物测量认证而要登记代理人的手掌血管图像，则通过触摸UOP 6-1上的下一个生物测量数据登记图标，显示附图20的登记继续屏G14，并且处理返回到步骤S22。
此外，当在步骤S36中不再登记下一组生物测量数据时，则使旧IC卡5的静脉认证功能无效，显示附图20的新IC卡5-1退还屏G12，并且将新IC卡5-1从IC卡读/写器61中退还。而且，显示附图20的旧IC卡5退还屏G13，并且将旧IC卡5从IC卡读/写器9-1中退还。
其它实施例在上述的实施例中，针对手掌静脉图案认证的情况介绍了生物测量认证；但是对使用手指静脉图案、掌纹和手的其它特征以及使用指纹、面部特征以及其它生物测量特征的应用都是可行的。此外，解释说明了在金融操作中使用的IC卡更新装置和自动设备；但是对自动出票设备、自动售货设备和其它区域中的自动机器和计算机、以及代替钥匙的门禁设备和对需要个人认证的其它设备的应用都是可能的。
此外，在对终端和IC卡的检验中使用了两个检验数据组；但是检验可以对IC卡自己进行，并且可以使用仅一种类型的检验数据。类似地，解释说明了使用两个IC卡读/写器的例子，但是也可以使用单独一个IC卡读/写器来进行更新。例如，可以采用这样的结构在插入旧的IC卡和进行读取之后，暂时保存旧卡，并且将新卡插入并进行读取。
此外，旧卡可以回收，采用这样一种使用模式不删除旧IC卡中的生物测量数据，而是锁死生物测量生物认证功能。
在上面，已经解释说明了本发明的实施例；但是在本发明的范围之内，可以对本发明进行各种各样的改造，并且这些实施例不会超出本发明的范围。
因为采用了使用旧IC卡的生物测量认证来通过生物测量认证确认个人的身份，所以可以使用具有生物测量认证功能的IC卡严格地进行个人身份的确认，从而能够防止在更新时的非法使用；此外，如果个人确认是符合要求的，则可以将在生物测量认证中获得的生物测量数据登记在已经确认了合法性的新IC卡中。通过这种方式，通过单独一次图像采集，可以将已经通过使用旧IC卡被确认为属于所指的个人的生物测量数据的生物测量数据登记到新的IC卡中，而不会有泄漏给第三方的危险，并且可以容易地将生物测量数据移植到新IC卡中。
在先申请的交叉引用本申请基于2005年1月11日提交的在先日本专利申请第2005-004516号并且要求其优先权，该在先申请的全部内容以引用的方式并入本文。
权利要求
1.一种用于具有生物测量认证功能的IC卡的更新设备，该设备进行其中登记了从人体上检测到的生物测量特征数据的IC卡的更新并且具有将针对所述人体检测到的生物测量特征数据与所述已登记生物测量特征数据进行核对并且进行生物测量认证的功能，包括检测装置，从所述人体检测数据；IC卡读/写器，对要更新的旧IC卡和新IC卡进行读/写；和控制单元，从所述检测装置的输出中提取所述生物测量特征数据并且将该特征数据传送给所述旧IC卡，其中，所述控制单元使用所述旧IC卡的所述生物测量认证功能来对所述已登记生物测量特征数据与所传送过来的生物测量特征数据进行核对，并且依照基于该核对结果的生物测量认证是否符合要求，将所提取的生物测量特征数据登记在所述新IC卡中。
2.根据权利要求1所述的用于具有生物测量认证功能的IC卡的更新设备，其中所述控制单元在将数据登记到所述新IC卡中之后，锁死所述旧IC卡的所述生物测量认证功能。
3.根据权利要求1所述的用于具有生物测量认证功能的IC卡的更新设备，其中所述控制单元对由所述IC卡读/写器读取的所述旧IC卡和所述新IC卡的持有者信息进行核对，并且确认所述旧IC卡与所述新IC卡之间的相应关系的合法性。
4.根据权利要求1所述的用于具有生物测量认证功能的IC卡的更新设备，其中所述控制单元通过由所述IC卡读/写器从所述旧IC卡和所述新IC卡中读取的发卡人信息确认所述旧IC卡和所述新IC卡的合法性。
5.根据权利要求1所述的用于具有生物测量认证功能的IC卡的更新设备，其中所述控制单元在将数据登记到所述新IC卡中之后，删除所述旧IC卡中的所述生物测量特征数据。
6.根据权利要求1所述的用于具有生物测量认证功能的IC卡的更新设备，其中所述检测装置包括采集用户身体的图像的图像采集装置。
7.根据权利要求6所述的用于具有生物测量认证功能的IC卡的更新设备，其中所述图像采集装置包括采集所述用户的血管的图像的单元。
8.根据权利要求1所述的用于具有生物测量认证功能的IC卡的更新设备，其中所述IC卡读/写器包括第一IC卡读/写器，对所述旧IC卡进行读/写；和第二IC卡读/写器，对所述新IC卡进行读/写。
9.根据权利要求1所述的用于具有生物测量认证功能的IC卡的更新设备，其中所述控制单元在将所述特征数据登记到所述新IC卡中之后，再次使用所述检测装置从所述人体上检测数据，从所述检测装置的输出中提取所述生物测量特征数据，将所述生物测量特征数据传送给所述新IC卡，并且使所述新IC卡进行对所述已登记生物测量特征数据与所传送过来的生物测量特征数据的核对。
10.根据权利要求1所述的用于具有生物测量认证功能的IC卡的更新设备，其中所述旧IC卡和所述新IC卡的所述生物测量认证功能单独访问所述已登记生物测量特征数据。
11.一种具有生物测量认证功能的IC卡的更新方法，在该方法中对从人体上检测到的生物测量特征数据进行登记、将针对所述人体检测到的生物测量特征数据与所述已登记生物测量特征数据进行核对从而进行生物测量认证，包括下述步骤从所述人体检测数据并且提取所述生物测量特征数据；将所提取的生物测量特征数据传送给要进行更新的旧IC卡；使用所述旧IC卡的所述生物测量认证功能来对所述已登记生物测量特征数据与所传送过来的生物测量特征数据进行核对；和依照所述核对结果，响应于符合要求的生物测量认证，将所提取的生物测量特征数据登记在所述新IC卡中。
12.根据权利要求11所述的具有生物测量认证功能的IC卡的更新方法，还包括步骤将数据登记到所述新IC卡中之后，锁死所述旧IC卡的所述生物测量认证功能。
13.根据权利要求11所述的具有生物测量认证功能的IC卡的更新方法，此外还包括步骤在所述生物测量检测之前，对由所述IC卡读/写器从所述旧IC卡和所述新IC卡中读取的持有者信息进行核对，并且确认所述旧IC卡与所述新IC卡之间的相应关系的合法性。
14.根据权利要求11所述的具有生物测量认证功能的IC卡的更新方法，还包括步骤在所述生物测量检测之前，根据所述IC卡读/写器读取的所述旧IC卡和所述新IC卡的发卡人信息确认所述旧IC卡和所述新IC卡的合法性。
15.根据权利要求11所述的具有生物测量认证功能的IC卡的更新方法，此外还包括步骤在将数据登记到所述新IC卡中之后，删除所述旧IC卡中的所述生物测量特征数据。
16.根据权利要求11所述的具有生物测量认证功能的IC卡的更新方法，其中所述检测步骤包括使用图像采集装置采集用户身体的图像的步骤。
17.根据权利要求16所述的具有生物测量认证功能的IC卡的更新方法，其中所述图像采集步骤包括采集所述用户的血管的图像的步骤。
18.根据权利要求13所述的具有生物测量认证功能的IC卡的更新方法，其中所述确认步骤包括由对所述旧IC卡进行读/写的第一IC卡读/写器读取所述持有者信息的步骤；和由对所述新IC卡进行读/写的第二IC卡读/写器读取所述持有者信息的步骤。
19.根据权利要求11所述的具有生物测量认证功能的IC卡的更新方法，还包括步骤，在将所述特征数据登记到所述新IC卡中之后；再次从所述检测装置中检测所述生物测量数据的步骤；从所述检测装置的输出中提取所述生物测量特征数据的步骤；将所述生物测量特征数据传送给所述新IC卡的步骤；和对已登记在所述新IC卡中的所述生物测量特征数据与所传送过来的生物测量特征数据进行核对的步骤。
全文摘要
用于具有生物测量认证功能的IC卡的更新方法和更新设备。该用于IC卡的更新设备利用生物测量信息来进行个人认证，防止了在更新期间泄漏生物测量数据，同时严格地确认个人的身份。控制单元在借助旧IC卡的生物测量认证功能进行的生物测量认证中确认个人的身份，并且使用具有生物测量认证功能的IC卡严格进行个人身份的确认。如果个人身份的确认符合要求，则将生物测量认证中获得的生物测量数据登记到新IC卡中。该更新可以通过仅仅单独一次图像采集操作来完成，并且防止了生物测量信息的泄漏。
文档编号G06K17/00GK1804872SQ20051008419
公开日2006年7月19日 申请日期2005年7月14日 优先权日2005年1月11日
发明者粟津洁贵, 工藤高弘, 今村洋, 藤原正子 申请人:富士通株式会社, 富士通先端科技株式会社