生物体认证控制方法

专利名称：生物体认证控制方法
技术领域：
本发明涉及在现金自动出纳装置(ATM)等中使用的生物体认证 系统。
背景技术：
以往，在由现金自动出纳装置(ATM)等进行的生物体认证系统 中，有如下系统。
在专利文献l (日本特开2000-215294号公报)中，记述了生物 体识别信息内置型IC卡及其本人认证方法。该技术为，在使用IC卡 的本人认证方法中，在IC卡中内置生物体识别信息，由IC卡内的生 物识别比对处理部对该生物体识别信息和本人原有的生物体信息识 别信息进行处理，进行本人认证。
在专利文献2 (日本特开2005-115800号公报)中，记述了使用 生物体信息的个人认证方法。该技术为，分割从使用者所取得的生物 体信息，分别把一部分存储于电子卡中，把另一部分存储于数据库中， 当进行认证时，从电子卡使用者取得生物体信息，从上述电子卡读出 一部分生物体信息，随后检索和该一部分生物体信息相关的另一部分 生物体信息是否存在于上述数据库中，存在时结合这些生物体信息，
4和前面所取得的电子卡使用者的生物体信息进行比较，进行认证判 断。
在专利文献3 (日本特开平10-312459号公报)中，记述了使用 便携式电子装置及生物体信息的个人认证方法。该技术为，事先在IC 卡等便携式电子装置中存储注册数据(生物体信息的特征量)，通过 在IC卡内比对认证时得到的特征数据(生物体信息的特征量)和注 册数据，来实施认证。
在专利文献1中，虽然在存储有生物体信息的IC卡内进行生物 体认证，但是因为在IC卡内按原状存储生物体信息，所以存在因IC 卡的失窃 遗失而使生物体信息泄漏的可能性。
在专利文献2中，虽然将生物体信息分开到电子卡和数据库这2 个中进行存储(注册)，在认证时将它们2个结合，但是还需要在数 据库中存储很多使用者的数据并且始终进行管理，处理较为麻烦。
在专利文献3中，在从生物体信息提取生物体特征量并作为注册 数据进行存储的IC卡内，对认证时新得到的生物体特征量和注册数 据进行比对，并用其进行生物体认证，但是因为在便携式电子装置(IC 卡)和数据处理装置(IC卡终端)之间传输了生物体特征量，所以 在该传输过程中存在作为个人信息的生物体特征量泄漏的可能性。

发明内容
本发明的目的为，在使用IC卡的生物体认证系统及其方法中， 实现生物体信息的高隐秘性。
为了解决上述课题，实施IC卡内认证方式，该IC卡内认证方式 通过便携式电子装置(IC卡)内的认证程序来进行生物体认证处理。 本发明的生物体认证控制方法进行如下动作，从便携式电子装置接收 由生物体信息得到的预处理数据，将上述预处理数据发送给生物体认 证机构部，从上述生物体认证机构部接收将通过上述生物体认证机构部所取得的生物体信息和上述预处理数据组合制成的认证数据，将所 接收到的上述认证数据发送给上述便携式电子装置，使预先存储在上 述便携式电子装置内的注册数据和上述认证数据，在上述便携式电子 装置内进行比对。
本发明为了对ic卡、认证装置进行数据的传输和认证处理指示
而采用了认证控制软件，由此可以提供一种安全性较高的生物体认证 方式。再者，通过使构成认证控制软件的认证控制应用程序和认证控 制中间件制成可以适应不同的多种认证方式，因而在多个认证中，在 终端中装载有对多个生物体的认证装置时，可以实现适应多个各种认 证装置的控制。


图1是本发明生物体信息注册处理系统的概要图例。
图2是本发明生物体信息注册处理系统的框图例。
图3是生物体信息注册处理的说明图。
图4是生物体信息注册处理的流程图例。
图5是生物体认证处理系统的概要图例。
图6是生物体认证处理系统的框图例。
图7是认证控制软件的结构图例。
图8是生物体认证处理的说明图。
图9是包括使用IC卡内认证方式的生物体认证处理在内的交易 流程图例。
图IO是认证交易开始处理的流程图例。 图11是生物体认证处理的流程图例。 图12是认证交易结束处理的流程图例。
具体实施方式
下面，对于使用本发明的一个实施方式进行说明。 (实施例1)
在本实施方式中，大致分为生物体信息注册处理和生物体认证处
理这2个进行说明，该生物体信息注册处理为，在金融机构的营业所 中，在操作员(窗口营业员)和使用者间，对使用者持有的便携式电 子装置、特别是IC卡，注册使用者的生物体信息(例如，手指静脉); 该生物体认证处理为，使用设置于金融机构、便利店等中的主要自动 进行涉及现金的交易的现金自动交易装置、现金自动出纳机(ATM)， 并使用使用者的生物体信息进行认证。用图1 4来说明生物体信息 注册处理，用图5 12来说明生物体认证处理。
首先，简单说明生物体信息的注册处理和认证处理的概要。 在生物体信息注册处理中，从使用者的手指静脉提取特征量，生 成预处理数据，并且还生成注册数据，注册在IC卡中。在该处理的 过程中使用的窗口终端和附带IC卡装置的生物体信息注册装置连 接，注册用的生物体信息(预处理数据、注册数据)被加密，并且不 经由窗口终端而从生物体信息注册装置直接向IC卡传送，并执行写 入。
另一方面，在生物体认证处理中，将来自使用者手指静脉的特征 量和IC卡中所注册的预处理数据、注册数据，基于特有的认证、比 对技术来执行其处理。在该处理的过程中以ATM为中心，利用通过 与ATM连接的生物体认证机构部新取得的生物体信息和从IC卡所读 出的预处理数据，生成认证数据，将其传输给IC卡，并在IC卡内进 行认证处理。
在本发明的说明中，虽然采用生物体信息的注册处理使用营业所 系统并且认证处理使用ATM的方式，来进行说明，但是也可以采用 在营业所系统中还进行认证处理并且在ATM中还进行注册处理的方 式。但是，生物体信息的注册处理即使在明确是本人的基础上，也最
7好在操作员在场的营业所系统中执行。另外，虽然作为预先注册生物
体信息的媒体，以IC卡为例进行了说明，但是不限于此，也可以是 移动电话或RFID (Radio-Frequency-Identification:无线射频识别) 标签等可携带的电子媒体(便携式电子装置)，而目前最好是在对使 用者最为普及的提款卡中装载了 IC芯片的IC卡，可以限制系统的变更。
图1是在金融机构的营业所内操作员使用的营业所系统之中特 别选出与生物体信息注册有关的生物体信息注册处理系统的概要图。 将具备生物体信息读取装置102的下述生物体信息注册装置101和控 制该生物体信息注册装置101的注册用终端装置104连接来构成该生 物体信息注册系统。该系统由金融机构的操作员(窗口营业员)来操 作注册用终端装置104，在IC卡105中注册使用者的生物体信息。 具体而言，由窗口营业员对操作部107进行操作，通过显示于显示部 106上的各种菜单进行选择，并且除了生物体信息的注册之外，还可 以进行金融机构中各种各样的交易。
窗口营业员将IC卡105插入作为生物体信息注册装置101的一 个结构的IC卡装置103中，使IC卡105成为可写入的状态。另一方 面，使用者将使用者自己的手指沿着图示的形状放置于生物体信息读 取装置102上。通过窗口营业员的操作，生物体信息读取装置102使 近红外线透过所放置的手指，并由摄像机对手指的静脉图案进行拍 摄，获得其图像。从该图像提取生物体特征量，对所提取的生物体特 征量施以下述的处理，由IC卡装置103对IC卡105执行记录、写入 的处理。还有，生物体特征量是从手指静脉数据(静脉图案)所得到 的可以确定个人的数据。
IC卡装置103具有除了如上所述在IC卡105中写入信息的功能 之外，还具有对存储在IC卡105中的信息进行读取的功能。也就是 说，具有读取或写入功能，但是在下面将采用向IC卡105内写入生物体信息的例子，来进行说明。
图2是表示图1中所说明的生物体信息注册处理系统的一个实施 例的结构的框图。
生物体信息注册装置101包括CPU21，控制生物体信息注册装 置101整体；主存储部202,存储各种各样的信息；生物体信息读取 装置102，读取生物体信息；IC卡装置103，在IC卡105中写入生 物体信息；通信部215，和注册用终端装置104连接。
主存储部202分为存储各种程序的ROM203和主要存储数据并 且可重写所存储的数据的RAM204。这里，虽然作为由ROM203、 RAM204组成的主存储部(也简单称为存储部)202进行了说明，但 是也可以是分别由硬盘、各种半导体存储器构成的结构。ROM203具 备注册处理程序205，用来进行生物体信息的注册处理；注册数据 制作程序206，用来制作认证时使用的注册数据；生物体信息读取装 置控制程序207，用来控制生物体信息读取装置102; IC卡装置控制 程序208，用来对IC卡105进行信息的写入处理；通信控制程序209， 用来控制通信部215。
生物体信息读取装置102具备图像传感器(图像取得部)210， 取得生物体图像(手指静脉图案)，由CCD摄像机等构成；生物体有 无检测用照明LED211，检测是否在图像传感器210的图像可取得区 域上放置了手指；生物体取得用照明LED (生物体照射部)212，在 取得生物体图像(手指静脉图案)时对手指照射近红外线。IC卡装 置103具备IC卡写入部213，在IC卡105中写入信息；触点端子 214，用来和IC卡105进行连接。
IC卡105具备CPU221，控制IC卡105整体；存储部222，存 储与生物体信息相关的数据和涉及金融交易的程序等;触点端子223， 用来和生物体信息注册装置101连接。还有，IC卡装置103和IC卡 105并不限定于利用触点端子的接触式,也可以采用非接触式的结构。注册用终端装置104包括CPU231，控制注册用终端装置104 整体；主存储部232，存储有数据和程序；显示部106，由CRT或液 晶显示器等构成，显示操作指导；操作部107，由受理窗口营业员的 输入操作的键盘、鼠标等构成；通信部235,连接生物体信息注册装 置101和生物体注册用终端装置104。而且，主存储部232除了存储 有用来控制生物体信息注册装置101的生物体信息注册装置控制程 序233之外，还存储有在窗口交易的各种金融交易用的程序。
利用图3，说明在生物体信息注册处理中在IC卡105中注册的 注册数据的制作过程。其中，制作过程中的算法等的阐述由于安全方 面、即为了防止因信息泄漏等引起的伪造的关系，将其说明予以省略。 在生物体信息的认证处理中也相同。
首先，根据由图像传感器210所得到的生物体图像(手指静脉图 案)，使用某种算法来提取表现其特征的生物体特征量(步骤301)。 然后，根据该生物体特征量，再使用某种算法来制作预处理数据。接 着，将生物体特征量和预处理数据组合，来制作注册数据(步骤302)。
这里，所谓的预处理数据，也可以解释为制作注册数据所使用的 加密密钥。另外，注册数据如上面及附图所明确的那样，是不能从生 物体特征量直接制作的数据。另外，虽然预处理数据和注册数据是从 明确表现使用者本身的特征的生物体特征量制作出的数据，但是在该 制作过程中要使用不可逆转换处理的算法。因而，作为利用逆转换的 制作处理，不能根据注册数据制作生物体特征量或预处理数据，并且 不能根据预处理数据和注册数据这2个数据制作生物体特征量。还 有，预处理数据的形式最好是提取出不能确定使用者个人的部分后所 制作出的信息，并且注册数据的形式最好是提取出能确定个人的部分 后所制作出的信息。另外，预处理数据、注册数据都是只能由卡持有 者获得的专用信息。
最后，将所制作出的预处理数据和注册数据存储于IC卡105中
10(步骤303)。 IC卡105中所存储的这些数据在被加密的状态下存储, 并且如上所述，在无法进行利用逆转换的制作处理的状态下存储。因 而，假设预处理数据、注册数据被有恶意的人读出，且两个数据被译 码，也不可能生成生物体特征量。这样，其特征之一为，通过数据的 加密、生成无法逆转换的数据这样的双重安全化，来保护IC卡内的 数据。
下面，用数学公式来表达上述的数据制作算法。
假设生物体特征量为x，则预处理数据y使用某个函数f (相当 于算法)，作为"y = f (x)"来表达。
由于注册数据z是通过组合生物体特征量x和预处理数据y而制 成的，因而使用某个函数g表达为"x + y — z = g (x， y)"。
而且，因为该制作过程是不可逆的，所以不能象z-g (x， y) —x、 z = g (x， y) — y、 z = g (x， y) — x + y另卩样，从注册数据 还原生物体特征量和预处理数据。
图4是生物体信息注册装置101的CPU201或者根据来自 CPU201的指示由各机构、各单元(也包括程序)所执行的生物体信 息注册处理的流程图例。
在IC卡装置103中插入IC卡105,成为IC卡连接状态(可向 IC卡105写入数据的状态)。为了使IC卡连接成立，需要使IC卡105 的触点端子223接触IC卡装置103的触点端子214。下面，说明窗 口营业员操作注册用终端装置104将使用者的生物体信息注册于IC 卡105内的过程，并且说明基于该操作的由各机构等执行的处理、控 制。另外，图2中所说明的通信控制程序209是特别在生物体信息注 册装置101和生物体注册用终端装置104之间控制数据收发的程序， 而在下面进行省略说明。
注册用终端装置104在显示部106上显示菜单画面(对选择注册、 认证、变更、结束等处理进行指导的画面)，通过操作部107来受理窗口营业员的输入操作。若从所显示的交易项目之中通过操作部107 选择注册处理，则注册用终端装置104的CPU231执行注册处理程序 205、生物体信息注册装置控制程序233，向生物体信息注册装置101 发出注册处理幵始的指示。收到注册处理开始指示后的生物体信息注 册装置101的CPU201执行注册处理程序205，并且作为系统整体实 施注册处理。
在注册用终端装置104的显示部106上显示指导，指导在生物体 信息注册装置101中插入IC卡105。若IC卡105插入到了 IC卡装 置103中(步骤401)，则使IC卡105的触点端子223和IC卡装置 103的触点端子214接触，连接生物体信息注册装置101和IC卡105 (步骤402)。此时，判断所插入的IC卡105的存储部222中是否有 与生物体信息相关的程序(步骤403)，在没有程序时(不能注册数 据的卡时)，返还IC卡105 (步骤411)。另一方面，在所插入的IC 卡105的存储部222中存在与生物体信息相关的程序时(能注册数据 的卡时)，在显示部106上显示指导，指导将要注册的手指放置于生 物体信息读取装置102上。与其相应，使用者把要注册的手指放置于 生物体信息读取装置102上。生物体信息注册装置101的CPU201执 行生物体信息读取装置控制程序207，向生物体信息读取装置102发 出生物体信息读取开始的指示。若在图像传感器210的图像可取得区 域上放置了物体(手指)，则生物体信息读取装置102通过生物体有 无检测用照明LED211检测到物体(手指)的进入(步骤404)，并调 査物体(手指)是否是生物体(步骤405)。在所插入的物体(手指) 不是生物体时，在IC卡105中不写入任何信息，将IC卡105返还(步 骤411)。在所插入的物体(手指)是生物体时，由生物体取得用照 明LED212对物体(手指)照射近红外线，并由图像传感器210取得 生物体图像(手指静脉图案)，存储于RAM204中(步骤406)。接着， 从生物体图像(手指静脉图案)提取生物体特征量(步骤407)。然后，在通过执行注册数据制作程序206，如图3所示根据生物体特征 量制作出预处理数据之后(步骤408)，根据生物体特征量和预处理 数据来制作注册数据(步骤409)。接着，执行IC卡装置控制程序208， 由IC卡写入部213以及IC卡105内的CPU221，将所制作出的 RAM204内的预处理数据和认证数据存储于IC卡105的存储部222 中，生物体信息注册结束(步骤410),返还IC卡105 (步骤411)。
以上，虽然基于各CPU201、 221、 231和存储部中所存储的各程 序的处理、控制，说明了生物体信息的注册处理、控制，但是不言而 喻，各程序也可以在转移到注册处理的最初阶段就已经启动，并且将 这些硬件及软件的结构作为控制部来掌握，上述的各种控制、处理是 该控制部的功能、单元。另外，对于下面说明的生物体信息认证处理 来说也相同。
在执行生物体信息的认证处理时，使用上述通过注册处理所注册 的信息，也就是IC卡105中所存储、注册及写入的预处理数据和注 册数据，将进行认证处理作为前提来进行说明。
图5是生物体认证处理系统的概要图。连接现金自动交易或出纳 装置(ATM) 501和服务器502来构成生物体认证系统，该现金自动 交易或出纳装置501具备读取生物体信息的功能和读取(或写入)IC 卡105的信息的功能，该服务器502存储有与金融商品有关的交易所 需要的信息。ATM501是自动执行存款、支付及转帐等使用者希望的 各种交易的装置，使用者可以在卡/明细单机构部504中插入IC卡 105，通过操作部503输入所希望的交易或金额等，通过生物体认证 机构508而成功认证，从而进行交易。特别是，在现金交易中，由纸 币存取机构部506执行纸币存款或取款，由硬币存取机构部507执行 硬币存款或取款，ATM501进行使用者所希望的现金交换。另外，当 使用者希望填写存折时，可以通过存折机构部505在存折中填写交易 内容，进行打印。
13图6是表示生物体认证处理系统的一个实施例结构的框图。 ATM501具有CPU601,控制ATM整体；操作部503,进行交易项 目的画面显示和按键输入检测，具体来说，受理使用者的操作或用手 指所按下的按键输入，并且由接触式面板等构成；卡/明细单机构部 504，具有卡的插入及吐出动作、对卡磁条或IC卡105的读/写动作、 卡凹凸部分的图像读取以及将所交易的内容打印在明细单上并将其 从装置内吐出的功能；存折机构部505,具有使用者的存折的插入/ 吐出动作、磁条的读/写动作以及利用打印部对存折打印的功能等。
再者，还包括纸币存取机构部506，具有纸币的鉴别、运送及 收纳功能等，进行纸币的存款或取款处理；硬币存取机构部507，具 有硬币的鉴别、运送及收纳功能等，进行硬币的存款或取款处理；生 物体认证机构部508，取得生物体信息，支持其认证；主存储部(也 简单称为存储部)602,存储有数据和程序；通信部610，和服务器 502连接。
还有，图1、 2中所说明的注册用终端装置104的操作部107用 来在窗口营业员将使用者的生物体信息向IC卡105注册时进行输入 操作，由键盘或鼠标等构成，另一方面，图5、 6的ATM501的操作 部503用来在使用者通过ATM501进行交易时进行输入操作，由接触 式面板等构成，虽然着两个都是操作部，但是结构、用途不同。
卡/明细单机构部504具备IC卡读取部603，读取IC卡105的 信息；明细单打印部604，在明细单上打印交易内容；触点端子605, 用来和IC卡105连接。
生物体认证机构部508具备存储部606，存储有各种数据等； 图像传感器(图像取得部)607，取得使用者的生物体图像(手指静 脉图案)，由CCD摄像机等构成；生物体有无检测用照明LED608， 检测是否在图像传感器607的图像可取得区域上放置了手指；照明 LED (生物体照射部)609，在取得生物体图像(手指静脉图案)时对手指照射近红外线。也就是说，生物体认证机构部508具有和图1、 2所示的生物体信息读取装置102大致相同的取得生物体信息的功 能。
主存储部(也简单称为存储部)602在硬件上包括ROM620, 存储有各种程序；RAM621，主要存储有数据，并且可重写所存储的 数据。如同上述注册处理中所说明的那样，也可以分别由硬盘或各种 半导体存储器构成，并且还称为第l、 2存储部。另外，ROM620具 备认证控制软件622，该认证控制软件622用来按照CPU601等的指 示，进行下面说明的生物体图像取得、认证等处理，控制生物体认证 机构部508。此外，虽然没有图示，但是还存储有对ATM501的操作 部503的画面数据以及ATM501中现金交易、转帐交易等所需的程序、 软件。经由通信网和ATM501连接的服务器502包括CPU611，控 制服务器502整体；存储部612;通信部613，和ATM501连接。
图7图示出，ATM501中的生物体信息的认证所涉及的控制、特 别是以用于控制生物体认证机构部508的认证控制软件622为中心的 与主存储部602、生物体认证机构部508、卡/明细单机构部504内的 IC卡105相关的控制块(软件结构)。
认证控制软件622可以大致分为认证控制应用程序701和认证控 制中间件702，并且分别将软件称为软件、应用程序称为应用程序， 中间件称为中间件。所谓的认证控制应用程序701指的是，具有将装 载有生物体认证机构部508的ATM501导入的金融机构等的个别功 能的程序，并且对每个金融机构制作或变更其认证的顺序或方式、认 证时的画面显示等其规格。特别是，本认证控制应用程序701对认证 中间件702进行认证处理开始指示等。
所谓认证控制中间件702指的是，具有即使金融机构不同并且生 物体信息不同而认证处理所需的通用功能的程序，是如控制生物体认 证机构部508的生物体认证机构部控制程序703、以及从IC卡105对与卡交换数据、执行IC卡105内的程序进行控制的IC卡控制程序 704那样的、负责控制、处理生物体信息认证所涉及的各种程序的程 序。
另外，由认证控制中间件701执行并获得的数据暂时存储于 RAM621中。RAM621具有用于在生物体认证机构部508和IC卡105 之间交换数据的缓存区域即认证结果数据缓存器705、认证数据缓存 器706及预处理数据缓存器707之类的各数据缓存器。这些数据虽然 在硬件上存储于RAM621中，但是在软件上还能认为存储于认证控 制软件622中，特别是认证控制中间件702中。
另外，认证控制中间件702根据来自认证控制应用程序701的指 示，经由驱动器(未图示)使卡/明细单机构部504和生物体认证机 构部508动作。而且，如上所述，这些各部位由ATM501的CPU601 来控制其处理。还有，所谓驱动器指的是，用来利用计算机外围设 备 装置(设备)的控制用软件。
由认证控制软件622控制的生物体认证机构部508的存储部606 具有认证数据制作程序709，用来制作认证数据；认证结果判断程 序710，用来根据认证结果数据判断认证成功与否。另外，卡/明细 单机构部504具有用来实施认证处理的认证程序711。
利用图8，说明生物体认证处理中认证的构成、数据的交换。也 用于作为对下述图11的生物体认证流程的说明的补充。以下的动作 主体是从认证控制应用程序701接收执行指令的认证控制中间件 702，但是因为认证控制应用程序701和认证控制中间件702共同执 行，所以还能认为通过认证控制软件622进行动作。另外，还能将接 收、发送分别称为输入、输出。
若在ATM501的交易中执行生物体信息的认证，则向认证控制中 间件702发送预先存储在IC卡105中的预处理数据、注册数据之中 的预处理数据。认证控制中间件702从IC卡105接收预处理数据，
16暂时存储于RAM621 (包括认证控制软件622、认证控制中间件702) 的预处理数据缓存器707中，之后发送给生物体认证机构部508 (步 骤801)。另一方面，生物体认证机构部508从认证控制软件622接 收预处理数据，随后或者并行地，取得使用者的生物体信息，从生物 体信息提取生物体特征量。然后，将所接收到的预处理数据和所取得 并提取的生物体特征量组合，来制作认证数据(步骤802)。
这样，在生物体信息的认证处理中，预处理数据还具有作为用于 制作认证数据加密密钥的功能。另外，假使取得了该认证数据，也不 能根据该数据直接制作生物体特征量。虽然认证数据是从生物体特征 量制作出的数据，但是因为在其制作过程中使用了不可逆转换处理的 算法，所以不能反向地从认证数据制作生物体特征量，并且不能根据 预处理数据和认证数据这2个数据制作生物体特征量。预处理数据是 将不能确定个人的部分提取后所制作出的信息，认证数据是将能确定 个人的部分提取后所制作出的信息。
这里，和生物体信息注册时相同，用数学公式来表达上述数据制 作算法。
将通过生物体认证机构部508在认证时得到的信息，也就是新得 到的生物体特征量设为x'。而且，由于预处理数据y和注册时没有变 化，因而是"y-f(x)"。
由于认证数据z'是利用生物体特征量x'和预处理数据y的组合制 成的，因而使用某个函数g表达为"x' + y — z' = g (x'， y)"。而且， 由于该制作过程是不可逆过程，因而不能象z' — x'、 z' — y、 z'— x' + y那样从注册数据还原生物体特征量和预处理数据。
在S802的认证数据制作之后，根据认证控制软件622的指示、 控制，将由生物体认证机构部508所制作出的认证数据暂时存储于认 证数据缓存器706中，之后发送给IC卡105 (步骤803)。 IC卡105 接收认证数据，并使用某个算法对预先存储在IC卡105中的注册数据和认证数据进行比对(也称为生物体认证处理)，来制作认证结果
数据(步骤804)。再将所制作出的认证结果数据发送给认证控制中 间件702。认证控制中间件702从IC卡105接收认证结果数据，暂 时存储在认证控制软件622的认证结果数据缓存器705中，之后发送 给生物体认证机构部508。然后，生物体认证机构部508在生物体认 证机构部508内进行认证结果数据的判断(分析)(步骤805)，将认 证结果数据和认证成功部位 认证失败原因通知给认证控制中间件 702 (步骤806)，生物体认证处理结束。
这样，在生物体认证处理中，虽然与使用者的生物体信息本身最 为接近的生物体特征量没有存储于IC卡105内，而通过生物体认证 机构部508来取得并提取生物体特征量，但是具有不会从生物体认证 机构部泄露到外面的特征。
另外，通过认证控制软件622并且在其控制之下在IC卡105和 生物体认证机构部508之间所交换的数据是预处理数据、认证数据及 认证结果数据这3个，但具有无论怎样如上所述组合这些数据都不能 制作出生物体特征量的特征。
另外，在生成生物体信息所涉及的各数据等的生物体认证处理 中，具有分别由IC卡105、生物体认证机构部508进行分担来取得 认证结果的特征。因此，其设计为，即使IC卡或生物体认证机构部 被盗并且对其内部进行了译码，也不能执行生物体认证处理。也就是 说，虽然在理论上，也可以在认证时从由生物体认证机构部508所取 得的生物体特征量新制作预处理数据，并且根据该预处理数据和生物 体特征量制作认证数据，但是在本实施方式中，由于没有那样做，而 是利用预先存储在IC卡105中的预处理数据和生物体特征量来制作 认证数据，因而安全性提高。
另外，最好是，认证控制中间件702将预处理数据存储于生物体 认证机构部508内，并且在制作认证数据后将其删除，优选的是，当需要认证时，随时从预处理数据缓存器707发送给生物体认证机构部 508。也就是说，在利用ATM501的交易结束之前，在认证控制软件 622内的预处理数据缓存器707中预先存储预处理数据。这样一来， 有下述效果，即与从IC卡105发送预处理数据相比，如果从认证控 制软件622内的预处理数据缓存器707发送,则可以实现更快的处理。
利用图9 12,说明在现金自动交易装置、现金自动出纳装置 (ATM) 501上使用IC卡105来实施包含利用IC卡内认证方式的生 物体认证处理的支付交易时的处理。
图9是表示由ATM501的CPU601、认证控制软件622等(控制 部)所执行的、特别是使用IC卡内认证方式的生物体认证处理中的 ATM上的交易的流程图例。
在进行生物体认证处理之前，进行交易选择或密码输入、卡插入 等执行ATM501上的交易所需的处理。从ROM620读取存款、支付、 余额査询及转帐等交易选择指导，显示于操作部503上，从使用者受 理交易的选择(步骤901)。在选择出需要生物体认证的交易如支付 交易等时，在操作部503上显示将IC卡插入的指导，催促插入IC卡 105。若由使用者在卡/明细单机构部504中插入了 IC卡105,则对 其进行检测(步骤902)，由卡/明细单机构部504的IC卡读取部603 从IC卡105读取帐号。还有，IC卡105也可以是具备磁条的卡，此 时，也可以从IC卡105的磁条读取除生物体信息之外的帐号等数据。
接着，将输入密码的指导显示于操作部503上。若由使用者在操 作部503上输入了密码，则对其进行检测(步骤903)，将所读取的 帐号和所输入的密码经由通信部610、 613发送给服务器502。另一 方面，服务器502的CPU611经由通信部610、 613接收所输入的密 码，对所输入的密码和预先注册在存储部612中的与帐号对应的密码 进行比对，将该比对结果经由通信部610、 613发送给ATM501。 ATM501经由通信部610、 613接收比对结果，并检査密码正确与否(步骤904)，在所输入的密码不正确时，对密码的输入次数进行计 数(步骤905)。如果此时密码的输入次数在规定次数以内，则对使 用者催促再次输入密码。如果密码的输入次数超过了规定次数，则中 止交易(步骤906)。
在S904中所输入的密码正确时，判断所插入的IC卡105是否是 生物体认证对象卡(步骤907)。此时生物体认证对象卡指的是，具 有实施生物体认证所需的信息和程序的卡。
然后，在所插入的IC卡105不是生物体认证对象卡时，不进行 生物体认证处理，而接着执行支付等交易(步骤915)。在所插入的 IC卡105是生物体认证对象卡时，作为生物体认证处理的事前准备， 进行认证交易开始处理(步骤908)。有关认证交易开始处理，利用 下述的图IO详细说明。
认证交易开始处理结束后，ATM501的CPU601在RAM621中 取得并展开认证控制软件622。接着，ATM501的CPU601执行认证 控制应用程序701。接收该情况，认证控制应用程序701对认证控制 中间件702发出注册信息取得指示。收到注册信息取得指示后的认证 控制中间件702执行IC卡控制程序704，从IC卡105取得由认证控 制应用程序701所指示的处理所需的信息(注册者信息)(步骤909)。 在处理所需的信息中，包含帐号、营业所号码、项目等交易信息以及 使用者姓名、有无驾驶证或保险证等可确认本人的证明书之类的使用 者信息等。另外，此时认证控制中间件702除了取得被认证控制应用 程序701指示取得的信息之外，还取得预先注册在IC卡105中的预 处理数据，存储于预处理数据缓存器707中。原因是，通过和认证控 制应用程序701所指定的信息一起取得预处理数据，可以减少访问IC 卡105的次数，加快处理时间。该数据发送给认证控制中间件702， 并存储于预处理数据缓存器707中。这样，虽然ATM501的CPU501 成为主体，执行认证控制软件622内的各种程序，并进行各自的处理，
20以下，为了简化说明而将该过程省略，以认证控制中间件702为主体 进行说明。另外，如上所述，还将这些总体称为由控制部(单元)进 行的控制、处理。
在从IC卡105取得注册信息后，认证控制中间件702执行生物 体认证机构部控制程序703,进行生物体认证处理(步骤910)。也就 是说，将预处理数据缓存器707中所存储的预处理数据发送给生物体 认证机构部508，并且对生物体认证机构部508指示取得生物体信息。 对于该生物体认证处理，虽然利用图8进行了说明，但是在下述的图 11中也进行详细说明。
接着，检查生物体认证成功与否(步骤911),在此，在生物体 认证失败时，对生物体认证的实施次数进行计数(步骤912)。如果 此时生物体认证的实施次数在规定次数以内，则将在RAM621或程 序中存储、保存的预处理数据再次发送给生物体认证机构部508，对 使用者催促生物体认证的再次实施。如果生物体认证的实施次数超过 了规定次数，则中止交易(步骤913)。还有，此时，为了提高安全 性，将RAM621中所存储的预处理数据等删除。并且，在S911中， 在生物体认证成功时，作为生物体认证处理的事后处理，进行认证交 易结束处理(步骤914)。对于该认证交易结束处理，将利用下述的 图12进行详细说明。
认证交易结束处理结束后，执行使用者所希望的交易，也就是执 行在S901中进行过交易选择的交易(步骤915)。具体而言，如果使 用者所希望的交易是支付交易，则通过操作部503受理支付金额的输 入。若由使用者进行了支付金额输入，则在操作部503上显示所输入 的金额以及按下催促金额是否正确的确认按键的消息。若按下了操作 部503的确认按键，则和服务器502进行交易数据的相互通信。在相 互通信后，ATM501的CPU601将所要求的金额量的纸币、硬币从纸 币存取机构部506、硬币存取机构部507分别吐出，并使卡/明细单机构部504的明细单打印部604打印交易数据。然后，从卡./明细单 机构部504返还IC卡105，并将交易数据打印于明细单上并送出， 交易得以结束(步骤916)。
另外，如果使用者所希望的交易是余额査询，则和服务器502进 行交易数据的相互通信，相互通信后，在操作部503上显示存款或借 款余额。在显示后，对使用者指导是想结束交易还是想继续实施其他 交易。在想结束交易时，从卡/明细单机构部504返还IC卡105，并 且按照使用者的要求将交易数据打印于明细单上并送出，交易得以结 束(步骤916)。在使用者希望进行其他交易实施时，进行以下处理。
在余额查询后接着希望进行上述支付交易等需要生物体认证的 交易时，再次实施生物体认证，并且只在生物体认证成功时执行交易。 由于考虑到在使用者通过余额査询确认了存款*借款余额后没有收取 IC卡105而离开了 ATM时由第3人执行交易的情形，通过在每次交 易都实施生物体认证，可以消除这样的危险，实现安全性较高的ATM 系统。
还有，在该流程中，虽然在密码输入之后，实施了生物体认证， 但是也可以使该顺序相反，在生物体认证实施之后输入密码。在先实 施密码输入时存在下述优点，即由于和一般的交易相同，使用者插入 卡后，在最初的交易选择后立刻输入密码，因而即便随后进行生物体 认证，操作流程也易于处理接近现状的装置。另一方面，在与利用密 码进行认证相比、先实施生物体认证时，存在下述优点，即，由于如 果在本人以外的人进行生物体认证并且生物体认证失败而拒绝交易 时，不经过密码输入就结束交易，因而不用为了无用的密码比对而与 服务器进行通信即可，可以减轻对服务器的负担。
利用图10,说明图9的S908中的认证交易开始处理。从认证控 制应用程序701收到认证交易开始指示后的认证控制中间件702执行 IC卡控制程序704，进行和IC卡105之间的连接(步骤1001)。这形成如上所述可从IC卡105读取数据的状态。但是，在IC卡105中 没有与生物体认证有关的数据并且是不适应IC卡内认证的IC卡时， 例如希望即使只通过上述利用密码的认证处理也可以进行ATM上所 希望的交易，并且最好在和图9的S902等卡插入大致相同的定时， 利用认证控制中间件702之外的其他ATM软件，来执行IC卡控制程 序704,至少在S908的处理前完成与IC卡105的连接。
另夕卜，在插入到卡/明细单机构部504中的IC卡105内，通过图 1的生物体信息注册装置101预先注册有使用者固有的注册数据及预 处理数据，并且装载、存储有用来在IC卡105内进行认证的认证程 序711。该认证程序711是在IC卡105中预先或者以不可重写的形式 写入的应用程序，是用来根据特定的算法对IC卡中预先注册的注册 数据和由ATM的控制部所得到的认证数据进行匹配及比对的程序。
若在S1001中卡/明细单机构部504和IC卡105之间的连接成功， 则认证控制中间件702取得注册在IC卡105中的支持认证方式(或 是支持认证信息)(步骤1002)。所谓支持认证方式指的是，预先注 册在IC卡105中的方式，是可以唯一决定能将认证数据或生物体特 征量等的息按哪种控制顺序实施认证处理的信息。例如，在手指静脉 认证中，支持在生物体认证机构部508内进行认证(比对)的装置内 认证处理和在IC卡105内进行认证的IC卡内认证处理，通过从IC 卡105取得支持认证方式，能够切换认证控制顺序，用1个认证控制 程序来实现2种认证方式。
使用该支持认证方式取得那样的、使用IC卡等中所注册认证方 式、唯一决定认证控制顺序的信息来切换认证控制顺序或方式的方 法，在ATM等生物体认证装置装载终端中装载了多个认证装置(例 如，手指、手掌之类的静脉认证装置或眼睛的虹膜认证装置等)时， 可以通过切换认证控制程序的控制方式，来适应多个生物体认证装置 的控制。
23接着，判断在步骤1002中所得到的认证方式是否是IC卡内认证 (步骤1003)，在不是IC卡内认证时不进行交易处理，返还IC卡105 (步骤916)。另一方面，在是IC卡内认证方式时，进行ATM501和 IC卡105之间的相互认证，并且认证交易开始处理结束(步骤1004)。 所谓相互认证指的是下述处理，g卩，用来确认在生物体认证机构部 508中的认证数据制作程序709和装载于IC卡105中的认证程序711 等是否已被篡改成非法的程序，或者在ATM501和IC卡105之间确 认相互程序合法性。
利用图11，对于图9的S908的生物体认证处理进行说明。如同 图8中所说明的那样，该生物体认证处理是最终进行预先记录在IC 卡105内的注册数据和生物体认证处理时新制作的认证数据之间的 认证(比对)并获得其比对结果的处理，其特征为，在IC卡105内 进行认证本身的实质所涉及的处理。
虽然在图9的S909中通过IC卡105接收数据，但是与此同时， 在该生物体认证时，从IC卡105将预先存储的预处理数据发送给认 证控制中间件702。认证控制中间件702接收存储在IC卡105中的 预处理数据，存储于预处理数据缓存器707中。再者，将预处理数据 缓存器707中所存储的该预处理数据发送给生物体认证机构部508 (步骤1101)。生物体认证机构部508若接收到预处理数据，则作为 下来的处理或并行处理，读取使用者的生物体信息。
图11的步骤U02 步骤1105的处理执行和图4的步骤404 步 骤407大致相同的处理，获得生物体特征量。若在图像传感器607的 图像可取得区域上放置了手指，则由生物体有无检测用照明LED608 检测放置了物体(手指)的情况(步骤1102)，检査物体(手指)是 否是生物体(步骤1103)。在所插入的物体(手指)不是生物体时， 生物体认证失败(步骤1104)。在所插入的物体(手指)是生物体时， 由生物体取得用照明LED609对生物体照射近红外线，由图像传感器607放德生物汰图像r丰指静脉图室v衣储干衣儲就由r先骤
1105)。
接着，从生物体图像(手指静脉图案)提取表现特征数据的生物 体特征量(步骤1106)。然后，在认证控制中间件702的指示下执行 认证数据制作程序709，由此来制作图8中所说明的认证数据(步骤 1107)。然后，将所制作出的认证数据发送给认证控制中间件702, 存储于认证数据缓存器706中。
认证控制中间件702执行IC卡控制程序704，将认证数据缓存 器706中所存储的认证数据发送给IC卡105,并且对IC卡105内的 认证程序711发出生物体认证指示(步骤1108)。另一方面，IC卡105 执行卡内所存储的认证程序711，对IC卡105中预先注册的注册数 据和上述认证控制中间件702的认证数据缓存器706中所存储的认证 数据进行比对，进行生物体认证处理，并制作认证结果数据。
然后，IC卡105将认证结果数据发送给认证控制中间件702，认 证控制中间件702将其存储于认证控制中间件701内(作为硬件是 RAM内)的认证结果数据缓存器705中。这样，在认证控制中间件 702所实施的生物体认证机构部508和IC卡105之间的数据的收发 控制过程中，从生物体图像(手指静脉图案)所取得的生物体特征量 不会到生物体认证机构部508的外部，并且注册在IC卡105中的认 证数据也不到外部。因而，可以防止个人信息泄漏到装置的外部，因 此使个人信息的隐秘性得到保护，提高安全性。
认证控制中间件702执行生物体认证机构部控制程序703，将认 证结果数据缓存器705中所存储的认证结果数据发送给生物体认证 机构部508，并且对认证结果判断程序710发出认证结果判断指示。 接着，执行认证结果判断程序710，根据在IC卡105内所进行的认 证结果即存储于认证结果数据缓存器705中的认证结果数据，判断生 物体认证是成功还是失败。这里作为输出，生物体认证机构部508在
25认证成功时，将在生物体的哪个部位上认证成功通知给认证控制中间
件702 (步骤1109)。例如，如果生物体认证的部位是手指静脉或指 纹等，则将在哪个手指(如右手、中指等)上认证成功通知给认证控 制中间件702，如果是手掌的静脉，则将是右手还是左手通知给认证 控制中间件702，如果是眼睛的虹膜，则将是右眼还是左眼上认证成 功通知给认证控制中间件702。
在认证结果失败时，由认证结果判断程序710判断IC卡内认证 失败的原因，将其通知给认证控制中间件702。作为原因，最好例如 附带有是手指的放置方法不对或者放置了与注册过的手指不同的其 他手指等信息，通知给认证控制中间件702，据此由认证控制应用程 序701在操作部503上显示该原因，因此可以提供操作性优良的装置。 这样，以生物体认证机构部508判别认证结果为例，进行了说明，但 是也可以是下述方式，该方式为，可以通过IC卡内的认证程序711 或取得认证结果数据后的认证控制中间件702判断认证处理的成功 与否和认证成功部位、认证失败原因等认证结果。
认证控制中间件702将注册数据和认证数据的匹配、比对结果即 判断结果数据发送给认证控制应用程序701。如果判断结果数据是认 证失败，则认证控制应用程序701使ATM501的操作部503显示出认 证再次开始画面等，让使用者再次实施认证。此时，认证控制中间件 702最好将通过IC卡105的注册信息取得处理所取得的预处理数据 持续保持于预处理数据缓存器707中，由于可以省略IC卡105的注 册信息取得处理，因而加快认证处理时间。这还可以在为了进行余额 查询到支付交易这类在1次光顾中连续的需要本人确认的交易而执 行多次认证处理时，也同样通过不从预处理数据缓存器707将由IC 卡105所取得的预处理数据删除，来省略IC卡105的注册信息取得 处理，执行连续交易中的认证处理。
利用图12，来说明图9的S914所示的认证交易结束处理。如果判断结果数据是认证成功，则认证控制应用程序701对认证 控制中间件702发出认证交易结束指示。认证控制中间件702执行IC 卡控制程序704，并执行和IC卡105之间的断开处理。所谓和IC卡 105之间的断开指的是不能访问IC卡105的状态。在和IC卡105断 开后，按照来自认证控制中间件702的指示，生物体认证装置控制程 序703将在生物体认证机构部508中的生物体特征量等生物体认证中 所使用的个人信息及据此所制作出的认证所涉及的信息，从存储部全 部删除。
这是防止个人信息等泄漏到外部使安全性得到提高的有效特征。 在将生物体认证机构部508内的数据清除之后，认证控制中间件702 将本身具有的认证结果数据缓存器705、认证数据缓存器706及预处 理数据缓存器707中所存储的信息删除(连续交易除外)，防止了信 息泄漏。认证交易结束处理结束后，进行支付金额的输入、与服务器 502之间的相互通信等，支付交易结束。
上面，如同利用图1 图4说明生物体信息的注册处理并利用图 5 图12说明生物体信息的认证处理那样，例如在硬件上通过 CPU601、主存储部602的控制、处理来进行，在软件上通过认证控 制软件622、认证控制应用程序701、认证控制中间件702的控制、 处理来执行生物体信息的认证。因而，如上所述，既可以将它们总称 为由控制部、控制机构进行的控制、处理，也可以在LSI等硬件上实 现各程序的功能。另外，图7的各种程序不仅仅是在其处理中需要时 首次启动、执行，如果在ATM启动时使各程序预先启动，来执行各 处理中需要的程序，则可以縮短处理时间。
另外，虽然在图3中，说明了根据生物体特征量制作预处理数据 并从该所制作出的预处理数据和生物体特征量制作认证时使用的注 册数据的方式，但是有关预处理数据的制作，也可以和生物体特征量 完全无关，并且独立进行制作。如上所述，在注册生物体信息时预处理数据具有用来制作注册数据的加密密钥(或算法)的功能，在生物 体认证时具有用来制作认证数据的加密密钥的功能、作用。因而，如 果根据生物体特征量来制作预处理数据，则可以成为与使用者分别对 应的数据，构成安全性较高的数据制作算法，另一方面，如果和生物 体特征量相独立的制作预处理数据，也可以预先制作作为加密密钥发 挥作用的预处理数据本身，并且在整体上成为简单的程序结构，所以 节省人工和时间，注册、认证的处理时间变短。
另外，虽然根据生物体特征量一步制作出预处理数据，但是也可
以分几步进行制作。据此，存在下述这样的效果，也就是假使第3人 想要解析预处理数据制作过程，也因制作过程较为复杂，而难以解析， 并且解析需要时间。
另外，因为预处理数据、注册数据、认证数据(包括在认证失败 时或连续交易时制作的认证数据)原本是根据使用者的手指等生物体 特征量(包括图像图案)所制作、生成的信息，所以能够称为第l、 2、(生物)信息。也就是说，也可以认为这些第1、 2、(生物 体信息)是从包含生物体特征量在内的概念及生物体信息中得到的信 息。
上面，由于不用在认证装置装载终端中装入在本发明的IC卡内 认证方式中可以对IC卡内所注册的个人进行确定的信息和由认证装 置所取得的生物体信息(生物体特征量)其本身，因而能够保护个人 信息的隐秘性，实现安全性较高的生物体认证。
权利要求
1. 一种生物体认证控制方法，对生物体认证进行控制，其特征在于，进行如下动作从便携式电子装置接收由生物体特征量生成的第1信息，并且存储于存储器中，将上述存储器中所存储的上述第1信息发送给生物体认证机构部，从上述生物体认证机构部接收由通过上述生物体认证机构部提取的生物体特征量和上述第1信息所制成的第2信息，将所接收到的上述第2信息发送给上述便携式电子装置，使预先存储在上述便携式电子装置内的注册数据和上述第2信息在上述便携式电子装置内进行比对，还进行如下动作在因该比对的失败或者使用者希望连续进行交易而需要再次比对时，将上述存储器中所存储的上述第1信息发送给上述生物体认证机构部，从上述生物体认证机构部接收由通过上述生物体认证机构部取得的新的生物体特征量和上述第1信息所制成的第3信息，并且发送给上述便携式电子装置，在上述便携式电子装置内使上述注册数据和上述第3信息进行再次比对。
2. 根据权利要求1所述的生物体认证控制方法，其特征在于， 上述第1信息包含不能确定个人的信息，上述第2信息及上述第3信息包含能够确定个人的信息。
3. 根据权利要求1所述的生物体认证控制方法，其特征在于， 上述第2信息及上述第3信息包含以上述第1信息作为加密密钥对生物体信息加密后的信息。
4. 根据权利要求1所述的生物体认证控制方法，其特征在于， 上述便携式电子装置包括IC卡，在上述IC卡内进行生物体认证。
5. 根据权利要求1所述的生物体认证控制方法，其特征在于， 进行如下动作对应已与上述便携式电子装置连接的情况，判断上述便携式电子装置中所预先存储的辅助认证方式是否是便携式电 子装置内认证方式，如果是便携式电子装置内认证方式，则使上述注册数据和上述第2信息或上述第3信息进行比对。
6. 根据权利要求1所述的生物体认证控制方法，其特征在于， 通过上述生物体认证机构部所具有的生物体有无检测用照明，来判断上述生物体认证机构部上所放置的手指是否是生物体，如果是生 物体，则取得生物体图像，提取上述生物体特征量。
7. 根据权利要求1所述的生物体认证控制方法，其特征在于， 若上述比对的结果为成功，并且使用者所希望的全部交易结束，则将上述存储器中所存储的上述第1信息擦除。
8. 根据权利要求1所述的生物体认证控制方法，其特征在于， 将发送给上述生物体认证机构部的上述第1信息存储于上述生物体认证机构部中，随后，若上述第2信息的制作结束，则将所存储 的上述第1信息擦除。
全文摘要
本发明的目的为，在使用IC卡的生物体认证系统及其方法中，实现生物体信息的高隐秘性。本发明的生物体认证控制方法进行如下动作从便携式电子装置接收第1信息并存储于存储器中，将第1信息发送给生物体认证机构部，从上述生物体认证机构部接收生物体特征量和第2信息，将第2信息发送给便携式电子装置，使预先存储在便携式电子装置内的注册数据和第2信息在便携式电子装置内进行比对，在因该比对的失败或者使用者希望连续进行交易而需要再次比对时，将第1信息发送给生物体认证机构部，从生物体认证机构部接收新的生物体特征量和第1信息所制成的第3信息，并且发送给便携式电子装置，在便携式电子装置内使注册数据和第3信息进行再次比对。
文档编号G06Q40/00GK101504784SQ200910008208
公开日2009年8月12日 申请日期2006年10月19日 优先权日2005年10月19日
发明者今井启允, 佐川大介, 山口章 申请人:日立欧姆龙金融系统有限公司