WO2018012321A1

WO2018012321A1 - Ｉｃモジュール、ｉｃカード、及び照合装置

Info

Publication number: WO2018012321A1
Application number: PCT/JP2017/024151
Authority: WO
Inventors: 昭紀志賀
Original assignee: Toshiba Corp; Toshiba Infrastructure Systems and Solutions Corp
Current assignee: Toshiba Corp; Toshiba Infrastructure Systems and Solutions Corp
Priority date: 2016-07-15
Filing date: 2017-06-30
Publication date: 2018-01-18
Anticipated expiration: 2019-01-15
Also published as: CN109154955B; KR102231954B1; EP3486819A4; CN109154955A; TWI654565B; KR20190019162A; JP2018010590A; EA201892492A1; US10915616B2; US20190073466A1; JP6753713B2; EP3486819A1; TW201804376A; EP3486819B1

Abstract

実施形態のＩＣモジュールは、記憶部と、通信部と、処理部とを備える。前記記憶部は、参照データを記憶する。前記通信部は、検証データを受信する。前記処理部は、前記参照データと前記検証データの類似度を検出する。さらに、前記処理部は、前記類似度が第１の閾値以上の場合に照合成功と判定し、前記類似度が第１の閾値未満の場合に照合失敗と判定し、前記類似度に応じた重み付けにより照合失敗履歴を更新する。

Description

ＩＣモジュール、ＩＣカード、及び照合装置

　本発明の実施形態は、ＩＣ（Integrated Circuit）モジュール、ＩＣカード、及び照合装置に関する。

　接触式ＩＣカードの国際標準であるISO/IEC7816-4において、VERIFYコマンドが規定されている。本規程によれば、端末からＩＣカードに送信された検証データと、ＩＣカード内に格納されている参照データが不一致であった場合、ＩＣカードは照合の失敗を記録しても良いとされている。例えば、ＩＣカードは、照合の失敗の記録に基づき、参照データの使用回数を制限することができる。しかしながら、本規程には、どのように使用回数を制限するかは明記されていない。

　ＰＩＮ（Personal Identification Number）による照合を例にすると、ＩＣカードは、参照データの使用回数の上限を保持し、検証データと参照データが不一致であった場合、照合失敗として累計失敗回数を１ずつカウントアップする。ＩＣカードは、参照データの使用回数の上限と累計失敗回数とを比較し、参照データの使用回数を制限する。

日本国特開２０１６－５７８９０号公報

　ＰＩＮによる照合のように完全一致により照合の成功又は失敗が判定される場合だけでなく、生体認証のように類似度により照合の成功又は失敗が判定される場合がある。前者と後者では照合失敗の意味が異なる。

　後者、即ち、類似度により照合の成功又は失敗が判定される場合、正しい照合者（本人）による照合失敗時の類似度と、不正者による照合失敗時の類似度は異なると考えられる。このように、類似度に応じて照合失敗を区別して管理する技術が要望されている。

　本発明の目的は、類似度に応じた重み付けにより照合失敗履歴を更新することが可能なＩＣモジュール、ＩＣカード、及び照合装置を提供することである。

実施形態に係る照合システムの一例を示す図である。実施形態に係るＩＣカード処理装置からＩＣカードに送信されるコマンドの一例を示す図である。実施形態に係る照合管理情報の一例を示す図である。実施形態に係るＩＣカードによる類似度に応じた照合失敗履歴（累計失敗回数）の更新処理の一例を示す図である。実施形態に係る照合処理の一例を示すフローチャートである。実施形態に係るレスポンスのデータ構造の一例を示す図である。実施形態に係る照合システムの別例を示す図である。

　以下、図面を参照して実施形態について説明する。

　図１は、実施形態に係る照合システムの一例を示す図である。図１に示すように、照合システムは、ＩＣカード１、ＩＣカードと通信するＩＣカード処理装置２、及び生体情報を読み取る生体情報読取装置３を備える。なお、ＩＣカードは、スマートカードとも呼ばれる。

　生体情報読取装置３は、生体情報を読み取り、読み取った生体情報に基づく検証データをＩＣカード処理装置２へ送信する。例えば、生体情報読取装置３は、生体情報として、指紋、虹彩、血管パターン、声紋、又は署名等を読み取り、読み取った生体情報に基づく検証データをＩＣカード処理装置２へ送信する。また、生体情報読取装置３は、検証データと共に、生体情報（検証データ）の種別（例えば右手又は左手の親指、人差し指、中指、薬指、又は小指の何れか）を示す情報を送信することができる。例えば、生体情報読取装置３は、右手親指を読取部へ押し当てる旨の案内を表示し、この案内表示に対応して押し当てられた指から読み取られた情報を右手親指の検証データとして出力することができる。或いは、生体情報読取装置３は、生体情報の種別入力部（例えばタッチパネル）を備え、種別入力部を介して右手親指が指定された上で、指から読み取られた情報を右手親指の検証データとして出力することができる。

　ＩＣカード処理装置２は、接触又は非接触でＩＣカード１と通信する。ＩＣカード処理装置２は、特定のプロトコルに従ってコマンドをＩＣカード１へ送信し、ＩＣカード１内の情報を読み出したり、書き換えたりする。例えば、ＩＣカード処理装置２は、生体情報を基に生成された検証データ及び検証データの種別情報（識別子）を含むコマンドをＩＣカード１へ送信する。

　ＩＣカード１は接触式タイプ又は非接触式タイプのＩＣカードである。接触式タイプＩＣカードの場合、ＩＣカード１は、ＩＣカード処理装置（リーダライタ）２と接触して通信する。非接触式タイプＩＣカードの場合、ＩＣカード１は、ＩＣカード処理装置２と非接触で通信する。なお、ＩＣカード１は、接触式と非接触式の両タイプをサポートするコンビ型ＩＣカードであってもよい。この場合、ＩＣカード１は、接触式のＩＣカード処理装置２に対しては接触で通信し、非接触式のＩＣカード処理装置２に対しては非接触で通信することができる。

　ＩＣカード１は、例えばプラスティックカード（基材）１ａとＩＣモジュール（ＩＣチップ）１０とを備え、ＩＣモジュール１０は、プログラムメモリ（例えばROM : Read Only Memory）１１、メインメモリ（例えばRAM : Random Access Memory ）１２、不揮発性メモリ（例えばEEPROM（登録商標）: Electrically Erasable and Programmable Read Only Memory）１３、データ処理部（例えばCPU : Central Processing Unit）１４、通信部（例えばUART : Universal Asynchronous Receiver Transmitter）１５を備える。例えば、メインメモリ１２は、受信用バッファ１２１を備える。

　メインメモリ１２は、ワーキングメモリとして機能する。プログラムメモリ１１は、データ処理部１４により実行されるＩＣカードプログラムを保持する。データ処理部１４は、プログラムメモリ１１に記憶されたＩＣカードプログラム等に基づき動作する。また、ＩＣカード１はＵＡＲＴ１５を介して受信したコマンドを受信用バッファ１２１に保持する。その後、データ処理部１４は、受信用バッファ１２１に保持したコマンドを解釈し、コマンドに応じた処理を実施する。例えば、データ処理部１４は、受信したコマンドに基づき、不揮発性メモリ１３又はメインメモリ１２に記憶されたデータを読み出したり、不揮発性メモリ１３又はメインメモリ１２に対してデータを書き込んだり、さらには、ＵＡＲＴ１５を介してコマンド実行結果を返信（ＩＣカード処理装置２へコマンド実行結果を送信）したりする。

　図２は、実施形態に係るＩＣカード処理装置からＩＣカードに送信されるコマンドの一例を示す図である。図２に示すように、例えば、ＩＣカード処理装置２からＩＣカード１に送信されるコマンドは、ISO/IEC 7816-3に規定されているCommand Application Data Unit(C-APDU)の形式である。コマンドは、コマンドヘッダ及びコマンドボディを含む。コマンドヘッダはコマンドの種別を表すCLA(1Byte)、及びINS（1Byte）と、パラメータを表すP1（1Byte）、及びP2（1Byte）を含む。コマンドボディは、Dataの長さを表すLc（1Byte）と、Data(mBytes)を含む。例えば、Dataが格納されるData部には、本人（ＩＣカードの正当な使用者）の生体情報を基に生成された検証データが格納される。

　例えば、コマンドに含まれるP1又はP2が識別子を含み、識別子は指の種類（例えば右手又は左手の親指、人差し指、中指、薬指、又は小指の何れか）を示す。例えば、識別子が右手の親指を示す場合、このコマンドに含まれるData部の検証データは右手の親指の生体情報を示すことになる。

　図３は、実施形態に係る照合管理情報の一例を示す図である。例えば、図３に示すように、不揮発性メモリ１３は、本人の生体情報を基に生成された参照データ（第１の生体情報）と、参照データごとの累計失敗回数と、参照データごとの失敗回数の上限（再試行条件）と、各参照データを識別するための識別子を保持する。例えば、識別子は指の種類（右手又は左手の親指、人差し指、中指、薬指、又は小指の何れか）を示す。例えば、識別子が右手の親指を示す場合、この識別子に対応する参照データは右手の親指の生体情報を示すことになる。

　図４は、実施形態に係るＩＣカードによる類似度に応じた照合失敗履歴（累計失敗回数）の更新処理の一例を示す図である。ＩＣカード１のデータ処理部１４は、検証データ（第２の生体情報）と参照データ（第１の生体情報）を照合し類似度（Ｓ）を算出（検出）し、算出された類似度に応じて照合失敗履歴（例えば累計失敗回数）を更新（変更）する。

　例えば、データ処理部１４は、類似度が第１の閾値（例えば９０％）以上の場合に照合成功と判定し、類似度が第１の閾値未満の場合に照合失敗と判定する。さらに、データ処理部１４は、類似度が第１の閾値未満の場合、つまり、照合失敗と判定した場合には、類似度に応じた重みづけにより照合失敗履歴を更新する。

　例えば、データ処理部１４は、類似度が第１の閾値未満であり且つ第１の閾値より小さい第２の閾値（例えば７０％）以上であるという第１の条件が満たされる場合に第１の重み付けにより照合失敗履歴を更新する。例えば、データ処理部１４は、累計失敗回数に＋１（第１の値）を加算する。

　また、データ処理部１４は、類似度が第２の閾値未満であり且つ第２の閾値より小さい第３の閾値（例えば３０％）以上であるという第２の条件が満たされる場合に第２の重み付けにより照合失敗履歴を更新する。例えば、データ処理部１４は、累計失敗回数に＋２（第２の値）を加算する。

　また、データ処理部１４は、類似度が第３の閾値未満であり且つ第３の閾値より小さい第４の閾値（例えば０％）以上であるという第３の条件が満たされる場合に第３の重み付けにより照合失敗履歴を更新する。例えば、データ処理部１４は、累計失敗回数に＋３（第３の値）を加算する。或いは、データ処理部１４は、累計失敗回数に失敗回数の上限又は失敗回数の上限＋１を加算するようにしてもよい。この場合、第３の条件を満たせば、即、累計失敗回数が失敗回数の上限又は失敗回数の上限＋１に達することになる。

　なお、第１、第２、第３の値は、それぞれ、＋１、＋２、＋３に限られるものではなく、例えば、それぞれ、＋１、＋３、＋５でもよい。

　例えば、第１の識別子の第１の参照データに対応付けられた累計失敗回数が０回であり失敗回数の上限（再試行条件）が５回の場合を仮定する。累計失敗回数が５回以下であれば照合再試行を許容し、５回を越える場合に照合再試行を拒否する。

　ＩＣカード１が、図２に示すコマンド（１回目）を受信し、このコマンドに含まれるP1又はP2が第１の識別子を示す場合、データ処理部１４は、このコマンド（１回目）に含まれる第１の検証データと第１の識別子に対応付けられた第１の参照データとを比較し類似度を算出する。例えば、データ処理部１４は、第２の条件が満たされる場合に、累計失敗回数に＋２を加算し、累計失敗回数を２回に更新する。累計失敗回数が２回の場合、失敗回数の上限５回を越えず、再試行条件を満たす。従って、データ処理部１４は、図２に示すコマンドに基づく照合再試行を許容する。

　さらに、ＩＣカード１が、図２に示すコマンド（２回目）を受信し、このコマンドに含まれるP1又はP2が第１の識別子を示す場合、データ処理部１４は、このコマンド（２回目）に含まれる第１の検証データと第１の識別子に対応付けられた第１の参照データとを比較し類似度を算出する。データ処理部１４は、第２の条件が満たされる場合に、累計失敗回数に＋２を加算し、累計失敗回数を４回に更新する。累計失敗回数が４回の場合、失敗回数の上限５回を越えず、再試行条件を満たす。従って、データ処理部１４は、図２に示すコマンドに基づく照合再試行を許容する。

　さらに、ＩＣカード１が、図２に示すコマンド（３回目）を受信し、このコマンドに含まれるP1又はP2が第１の識別子を示す場合、データ処理部１４は、このコマンド（３回目）に含まれる第１の検証データと第１の識別子に対応付けられた第１の参照データとを比較し類似度を算出する。データ処理部１４は、第３の条件が満たされた場合に、累計失敗回数に＋３を加算し、累計失敗回数を７回に更新する。累計失敗回数が７回の場合、失敗回数の上限５回を越えており、再試行条件を満たさない。従って、データ処理部１４は、図２に示すコマンドに基づく照合再試行を拒否する。

　このように、類似度に応じて失敗回数のカウントに重み付けすることにより、類似度に応じた安全性を確保することができる。即ち、類似度が比較的高い場合は本人による照合である確率が比較的高いことから照合再試行回数を厳しく制限せずに利便性を確保する。また、類似度が比較的低い場合は本人による照合である確率が比較的低いことから照合再試行回数を厳しく制限し不正防止を図る。

　なお、１回目の照合失敗又は２回目の照合失敗の後、コマンド（２回目又は３回目）を受信し、照合に成功した場合、データ処理部１４は、照合失敗履歴をリセットする。つまり、累計失敗回数の２回又は４回を０回に設定する。

　また、例えば、第２の識別子の第２の参照データに対応付けられた失敗回数の上限を３回に設定したり、又は第３の識別子の第３の参照データに対応付けられた失敗回数の上限を１回に設定したりすることにより、照合再試行回数を厳しく制限し不正防止を図ることもできる。

　図５は、実施形態に係る照合処理の一例を示すフローチャートである。

　ＩＣカード１は、通信部１５を介してＩＣカード処理装置から送信されるコマンド（図２参照）を受信する（Ｓ１）。ＩＣカード１は、受信したコマンドを受信用バッファ１２１に格納する。

　データ処理部１４は、受信したコマンドを解釈し、コマンドに含まれる検証データと、不揮発性メモリ１３に含まれる参照データとの類似度を算出する（Ｓ２）。例えば、データ処理部１４は、このコマンドに含まれるP1又はP2から第１の識別子を解釈し、コマンドに含まれる検証データと第１の識別子に対応付けられた第１の参照データとの類似度を算出する。

　データ処理部１４は、類似度が第１の閾値（例えば９０％）以上の場合に照合成功と判定し（Ｓ３、ＹＥＳ）、不揮発性メモリ１３に保存された累計失敗回数をリセットし（Ｓ４）、受信したコマンドのレスポンスとして照合成功を示す正常終了をＩＣカード処理装置２へ送信する（Ｓ５）。

　また、データ処理部１４は、類似度が第１の閾値（例えば９０％）未満の場合に照合失敗と判定し（Ｓ３、ＮＯ）、類似度に応じた重み付けで累計失敗回数をカウントアップし（Ｓ６）、受信したコマンドのレスポンスとして照合失敗を示す異常終了をＩＣカード処理装置２へ送信する（Ｓ７）。

　図６は、実施形態に係るレスポンスのデータ構造の一例を示す図である。図６に示すように、レスポンスはステータスワードＳＷ１及びＳＷ２を含む。例えば、正常終了を示すレスポンス、照合失敗（照合不一致）を示すレスポンス、照合失敗及び残り回数ｎを示すレスポンスがある。例えば、照合失敗及び残り回数が４回を示す第１のレスポンスが送信された後の照合再試行において、第２の条件が満たされ、第２の重み付けにより累計失敗回数に＋２が加算されるケースを想定する。このようなケースでは、第１のレスポンスが送信された後、照合失敗及び残り回数が２回を示す第２のレスポンスが送信される。つまり、１回の照合再試行後に、残り回数が２回減少する。

　図７は、実施形態に係る照合システムの別例を示す図である。図７に示すように、照合システムは、ＩＣカード１、ＩＣカード１と通信するＩＣカード処理装置２、生体情報を読み取る生体情報読取装置３、及びサーバ４を備える。サーバ４は、記憶部４１、データ処理部４２、及び通信部４３等を備える。

　図１～図６を参照し、ＩＣカード１による照合処理について説明したが、サーバ４により照合処理を実行してもよい。例えば、ＩＣカード１のプログラムメモリ１１又は不揮発性メモリ１３はカード識別情報を保持する。ＩＣカード処理装置２は、生体情報読取装置３からの生体情報及び生体情報の種別と、ＩＣカード１から読み取ったカード識別情報とをサーバ４へ送信する。

　サーバ４の記憶部４１は、カード識別情報に対応付けて図３に示す照合管理情報を記憶する。サーバ４の通信部４３は、ＩＣカード処理装置２からの検証データ及び検証データの種別とカード識別情報とを受信し、データ処理部４２は、受信したカード識別情報に対応付けられた照合管理情報を読み出す。さらに、データ処理部４２は、読み出した照合管理情報から、受信した検証データの種別に対応する参照データを選択し、受信した検証データと選択した参照データとを照合し類似度（Ｓ）を算出（検出）し、算出された類似度に応じて照合失敗履歴（例えば累計失敗回数）を更新（変更）する。照合失敗履歴の更新については上記説明した通りである。このように、ＩＣカード１に替えてサーバ４で照合処理を実行するようにしてもよい。

　本実施形態のＩＣカード１又はサーバ４は、照合失敗時の累計失敗回数のカウントアップにおいて、検証データと参照データの類似度に応じて累計失敗回数の増加量を決定する。正しい照合者(本人)による照合失敗の原因として、体調不良や生体情報をセンシング時の環境などの偶発的な理由が挙げられる。正しい照合者(本人)による照合失敗時に得られる類似度は、比較的高いと推測される。類似度が比較的高い場合、累計失敗回数の増加量を比較的小さく設定する。逆に、不正者（他人）による照合失敗時に得られる類似度は、比較的低いと推測される。類似度が比較的低い場合、累計失敗回数の増加量を比較的大きく設定する。これにより、正しい照合者（本人）が照合を失敗したときには照合回数制限への早期到達リスクを低減することができる。また、不正者による照合に対しては照合回数制限へ早期に到達させることにより安全性を高めることができる。即ち、利便性と安全性を両立することができる。

　以上説明したように、本実施形態によれば、類似度に応じた重み付けにより照合失敗履歴を更新することが可能なＩＣモジュール、ＩＣカード、及び照合装置を提供することができる。

　また、本実施形態のＩＣカードにおける照合処理は、ＩＳＯ準拠のカードにおいて実現でき、ＩＣカード処理装置２は汎用のカードリーダライタで実現することができる。また、本実施形態の照合処理によれば、類似度が比較的低い照合結果が得られる場合には、不揮発性メモリ１３の書き換え回数が少ないうちに照合再試行が拒否される。不揮発性メモリ１３には書き換え回数に上限（限界）があるため、メモリ使用の観点でも有利である。

　なお、上記説明した照合処理はソフトウェアによって実行することが可能である。このため、上記処理の手順を実行するプログラムを記憶したプログラムメモリ１１を備えたＩＣカード１により、上記処理を実現することができる。或いは、上記処理の手順を実行するプログラムをＩＣカード処理装置２からＩＣカード１へ送信し、ＩＣカード１が送信されるプログラムを記憶することにより、ＩＣカード１において上記処理を実現することができる。或いは、上記処理の手順を実行するプログラムをサーバ４が記憶することにより、サーバ４において上記処理を実現することができる。

　本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。

Claims

　参照データを記憶する記憶部と、
　検証データを受信する通信部と、
　前記参照データと前記検証データの類似度を検出する処理部と、
　を備え、
　前記処理部は、
　前記類似度が第１の閾値以上の場合に照合成功と判定し、
　前記類似度が第１の閾値未満の場合に照合失敗と判定し、前記類似度に応じた重み付けにより照合失敗履歴を更新する
　ＩＣモジュール。
　前記処理部は、
　前記類似度が前記第１の閾値未満であり且つ前記第１の閾値より小さい第２の閾値以上であるという第１の条件が満たされる場合に第１の重み付けにより前記照合失敗履歴を更新し、
　前記類似度が前記第２の閾値未満であるという第２の条件が満たされる場合に前記第１の重み付けより重い第２の重み付けにより前記照合失敗履歴を更新する
　請求項１のＩＣモジュール。
　前記照合失敗履歴は照合失敗回数である、
　請求項２のＩＣモジュール。
　前記処理部は、
　前記第１の条件が満たされる場合に前記照合失敗回数に第１の値を加算し、
　前記第２の条件が満たされる場合に前記照合失敗回数に第２の値を加算する
　請求項３のＩＣモジュール。
　前記記憶部は、再試行条件を記憶し、
　前記処理部は、前記照合失敗履歴に基づき、前記再試行条件が満たされる場合に照合再試行を許容し、前記再試行条件が満たされない場合に照合再試行を拒否する請求項１乃至４の何れか１つのＩＣモジュール。
　前記記憶部は、前記照合失敗の上限回数を記憶し、
　前記処理部は、前記照合失敗回数が前記上限回数以下の場合に照合再試行を許容し、前記照合失敗回数が前記上限回数を越える場合に照合再試行を拒否する請求項３又は４のＩＣモジュール。
　前記処理部は、前記照合成功に基づき、前記照合失敗履歴をリセットする請求項１乃至６の何れか１つのＩＣモジュール。
　前記参照データ及び前記検証データは、それぞれ生体情報に基づき生成されたデータである請求項１乃至７の何れか１つのＩＣモジュール。
　請求項１乃至８の何れか１つのＩＣモジュールを備えるＩＣカード。
　参照データを記憶する記憶部と、
　検証データを受信する通信部と、
　前記参照データと前記検証データの類似度を検出する処理部と、
　を備え、
　前記処理部は、
　前記類似度が第１の閾値以上の場合に照合成功と判定し、
　前記類似度が第１の閾値未満の場合に照合失敗と判定し、前記類似度に応じた重み付けにより照合失敗履歴を更新する
　照合装置。