WO2021149632A1

WO2021149632A1 - 携帯可能な認証デバイス、ｉｃカードおよび認証システム

Info

Publication number: WO2021149632A1
Application number: PCT/JP2021/001453
Authority: WO
Inventors: 加藤　雅一
Original assignee: Toshiba Corp; Toshiba Infrastructure Systems and Solutions Corp
Current assignee: Toshiba Corp; Toshiba Infrastructure Systems and Solutions Corp
Priority date: 2020-01-20
Filing date: 2021-01-18
Publication date: 2021-07-29
Anticipated expiration: 2022-07-20
Also published as: EP4095751A4; JP7414545B2; EP4095751A1; US20220350873A1; JP2021114145A

Abstract

実施形態によれば、認証デバイスは、センサと通信インターフェースとメモリとプロセッサとを備える。センサは、生体情報を取得する。通信インターフェースは、機器と通信する。メモリは、生体認証に用いる登録者の生体情報の特徴点情報と登録者が利用権限を有する機器を示す管理情報とを記憶する。プロセッサは、センサが生体情報を取得したユーザが前記通信インターフェースにより通信する機器の利用権限を有する登録者であるかを認証し、認証の結果を通信インターフェースにより通信する機器へ送信する。

Description

携帯可能な認証デバイス、ＩＣカードおよび認証システム

　本発明の実施形態は、携帯可能な認証デバイス、ＩＣカードおよび認証システムに関する。

　従来、医療機器などの利用者を制限する必要がある機器を運用するためのシステムとして、予め設定（指定）された人物または有資格者だけに機器（以下、利用制限機器と称する）の操作を許可する認証システムがある。従来の認証システムでは、利用制限機器または利用制限機器に接続したサーバなどの上位装置に登録された人物であることを確認できた場合に、利用制限機器の利用を許可する。

　しかしながら、利用制限機器でユーザ認証を行う場合には、ユーザ認証を行うためのハードウエアを利用制限機器に設けなければならない。また、生体認証などでユーザ認証を行う場合、利用制限機器または利用制限機器の上位装置が、全ての登録者の生体情報などをセキュアに管理しなければならないという問題がある。

　一方、指紋認証を行うＩＣカードが実用化されている。ＩＣカードでは、セキュアに生体情報を管理でき、セキュリティ性が高い生体認証を実現している。しかしながら、従来のＩＣカードは、ユーザの生体情報と登録者との生体認証の結果を出力するだけであり、登録者が機器本体の利用権限を持っているか否かを確認することできない。

日本国特開平１１－１３４３０２公報

　上記の課題を解決するため、機器の利用権限を有する人物であるかを生体認証で認証した結果を前記機器へ供給できる携帯可能な認証デバイス、ＩＣカードおよび認証システムを提供する。

　実施形態によれば、認証デバイスは、センサと通信インターフェースとメモリとプロセッサとを備える。センサは、生体情報を取得する。通信インターフェースは、機器と通信する。メモリは、生体認証に用いる登録者の生体情報の特徴点情報（テンプレート）と登録者が利用権限を有する機器を示す管理情報とを記憶する。プロセッサは、センサが生体情報を取得したユーザが前記通信インターフェースにより通信する機器の利用権限を有する登録者であるかを認証し、認証の結果を通信インターフェースにより通信する機器へ送信する。

図１は、実施形態に係る携帯可能な認証デバイスとしてのＩＣカードおよびＩＣカードを含む認証システムの構成例を示すブロック図である。図２は、実施形態に係るＩＣカードが保持するデータの第１の構成例を示す図である。図３は、実施形態に係るＩＣカードが保持するデータの第１の構成例を示す図である。図４は、実施形態に係るＩＣカードが保持するデータの第１の構成例を示す図である。図５は、実施形態に係るＩＣカードが保持するデータの第２の構成例を示す図である。図６は、実施形態に係るＩＣカードが保持するデータの第２の構成例を示す図である。図７は、実施形態に係るＩＣカードが保持するデータの第２の構成例を示す図である。図８は、実施形態に係るＩＣカードが保持するデータの第３の構成例を示す図である。図９は、実施形態に係るＩＣカードおよびＩＣカードを含む認証システムの動作例を示すタイミングチャートである。図１０は、実施形態の変形例に係るＩＣカードが保持するデータの構成例を示す図である。

実施形態

　以下、実施形態について、図面を参照して説明する。　
　実施形態に係るＩＣカードなどの携帯可能電子装置は、ユーザから取得する生体情報を用いてセキュアに人物の認証処理を行う携帯可能な認証デバイスである。本実施形態において、ＩＣカードは、人物の指紋の画像（指紋画像）を取得する生体センサとしての指紋センサを具備し、指紋センサで取得する指紋画像を用いて認証処理を行う。

　図１は、実施形態に係るＩＣカード２を含む認証システム１０の構成例を示す。　
　図１が示すように、認証システム１０は、ＩＣカード２と複数種類の利用制限機器１（１Ａ、１Ｂ、１Ｃ、…）とを含むシステムである。利用制限機器１は、特定の人物に対して利用が許可される機器である。例えば、利用制限機器１は、予め設定した人物に対して利用が許可されるものであっても良いし、特定の資格を有する人物に対して利用が許可されるものであっても良い。

　利用制限機器１は、携帯可能な認証デバイスとしてのＩＣカード２と通信する機能を有する。利用制限機器１は、ＩＣカード２によって自機の利用が許可されている人物であることが認証された場合、当該人物による利用が可能となる装置である。利用制限機器１は、予め設定した人物が操作可能となる医療機器などであっても良いし、有資格者である場合に操作可能となる装置であっても良い。
　図１に示す構成例において、利用制限機器１は、プロセッサ１１、ＲＯＭ１２、ＲＡＭ１３、データメモリ１４、リーダライタ１５および処理部１６を有する。　
　プロセッサ１１は、各部の制御および各種の処理などを実行する。プロセッサ１１は、例えば、ＣＰＵ（central processing unit）である。プロセッサ１１は、ＲＯＭ１１またはデータメモリ１４に記憶されたプログラムを実行することにより各部の制御および各種の処理を実現する。

　ＲＯＭ１２は、書き換え不可のデータを保存する不揮発性メモリである。ＲＯＭ１２は、プログラムまたは制御データなどを記憶する。ＲＡＭ１３は、データを一時的に記憶する揮発性メモリである。　
　データメモリ１４は、書き換え可能な不揮発性のメモリである。データメモリ１４は、ＨＤＤ（ハードディスクドライブデータ）あるいはＳＳＤ（ソリッドステートドライブ）などで実現される。

　リーダライタ１５は、ＩＣカード２と通信接続するためのインターフェースである。リーダライタ１５は、ＩＣカード２に対して電源供給、クロック供給、リセット制御、データの送受信が行う。リーダライタ１５は、ＩＣカード２の通信方式に応じたインターフェースにより構成される。

　例えば、ＩＣカード２が接触型のＩＣカードである場合、リーダライタ１５は、ＩＣカード２のコンタクト部と物理的かつ電気的に接続するための接触部などにより構成される。また、ＩＣカード２が非接触型のＩＣカードである場合、リーダライタ１５は、ＩＣカード２との無線通信を行うためのアンテナ及び通信制御部などにより構成される。

　処理部１６は、ＩＣカード２によって利用が許可された場合に処理を実行するものである。例えば、処理部１６は、ＩＣカード２において予め設定された人物であることが認証された場合に処理を実行するものであっても良いし、ＩＣカード２において所定の資格を有する人物であることが認証された場合に処理を実行するものであっても良い。具体例として、処理部１６は、医療行為を実行または補助するための処理機構を含むものであっても良いし、運転（操作）免許を有する人物（有資格者）の操作に応じて駆動する駆動機構を含むものであっても良い。

　次に、ＩＣカード２の構成について説明する。　
　ＩＣカード２は、生体情報による認証（生体認証）を実行する機能を有する携帯可能な認証デバイスである。実施形態に係る認証システムにおいて、ＩＣカード２は、利用制限機器１のリーダライタ１５から供給される電力によって動作し、リーダライタ１５からのコマンドに従って処理を実行する。また、ＩＣカード２は、リーダライタ１５からのコマンドに対する処理結果を示すレスポンスをリーダライタ１５へ供給する。

　図１に示す構成例において、ＩＣカード２は、プラスチックなどで形成されたカード状の本体Ｃを有する。ＩＣカード２は、本体Ｃ内にモジュールＭおよびモジュールＭに接続された生体センサ（指紋センサ）２７を内蔵する。モジュールＭは、ＩＣチップＣａ、通信インターフェース２５およびＭＰＵ２６が接続された状態で一体的に形成され、ＩＣカード２の本体Ｃ内に埋設される。

　さらに、ＩＣチップＣａは、プロセッサ２１、ＲＯＭ２２、ＲＡＭ２３及びデータメモリ２４などを備える。プロセッサ２１は、データバスなどを介してＲＯＭ２２、ＲＡＭ２３、データメモリ２４、通信インターフェース２５およびＭＰＵ２６に接続する。ＭＰＵ２６は、データバスなどを介して生体センサ２７に接続する。　
　なお、ＩＣカード２は、図１が示すような構成の他に必要に応じた構成を具備したり、ＩＣカード２から特定の構成が除外されたりしてもよい。

　プロセッサ２１は、ＩＣカード２全体の制御を司る制御部として機能する。プロセッサ２１は、ＲＯＭ２２またはデータメモリ２４に記憶される制御プログラム及び制御データに基づいて種々の処理を行う。例えば、プロセッサ２１は、ＲＯＭ２２に記憶されているプログラムを実行することにより、ＩＣカード２の動作制御またはＩＣカード２の運用形態に応じた種々の処理を行う。

　例えば、プロセッサ２１は、プログラムを実行することにより、ＩＣカード２内の各部の制御及び情報処理を実現するプロセッサであればよい。　
　なお、プロセッサ２１がプログラムを実行することにより実現する各種の機能のうちの一部は、ハードウエア回路により実現されるものであっても良い。この場合、プロセッサ２１は、ハードウエア回路により実行される機能を制御する。

　ＲＯＭ２２は、予め制御用のプログラム及び制御データなどを記憶する不揮発性のメモリである。ＲＯＭ２２は、製造段階で制御プログラム及び制御データなどを記憶した状態でＩＣカード２に組み込まれる。例えば、ＲＯＭ２２に記憶される制御プログラム及び制御データは、予めＩＣカード２の仕様などに応じて組み込まれる。

　ＲＡＭ２３は、揮発性のメモリである。ＲＡＭ２３は、プロセッサ２１の処理中のデータなどを一時的に格納する。例えば、ＲＡＭ２３は、計算用バッファ、受信用バッファ及び送信用バッファとして機能する。計算用バッファは、プロセッサ２１が実行する種々の演算処理の結果などを一時的に保持する。受信用バッファは、通信インターフェース２５を介してリーダライタ１５から受信するコマンドデータなどを保持する。送信用バッファは、通信インターフェース２５を介してリーダライタ１５へ送信するメッセージ（レスポンスデータ）などを保持する。

　データメモリ２４は、フラッシュＲＯＭなどのデータの書き込み及び書換えが可能な不揮発性のメモリにより構成される。データメモリ２４は、ＩＣカード２の運用用途に応じて制御プログラム、アプリケーション及び種々のデータを格納する。例えば、データメモリ２４では、プログラムファイル及びデータファイルなどが作成される。作成された各ファイルは、制御プログラム及び種々のデータなどが書き込まれる。

　また、データメモリ２４は、生体（指紋）認証の辞書データとして登録者の生体情報から得られる生体情報の特徴点情報（テンプレート）２４ａを記憶する。生体情報の特徴点情報２４ａは、例えば、登録者の生体情報から抽出される特徴量としての特徴点情報である。データメモリ２４には、登録者ごとの生体情報の特徴点情報２４ａが記憶される。ＩＣカード２は、特定の１人の登録者に対する生体情報の特徴点情報２４ａを登録するものであっても良いし、複数の登録者に対応する複数の生体情報の特徴点情報２４ａ（２４ａ１、２４ａ２、４２ａ３、…）を登録するようにしても良い。

　また、データメモリ２４は、利用者（登録者）が使用できる利用制限機器１を示す管理テーブル２４ｂを有する。管理テーブル２４ｂは、生体情報の特徴点情報２４ａが登録される登録者に対して利用が許可されている利用制限機器との関係を示す情報が記憶される。管理テーブル２４ｂは、登録者と利用制限機器の利用権限との関係を示すデータを格納するものであれば良い。例えば、管理テーブル２４ｂは、登録者ごとに利用可能な利用制限機器を示す情報を格納しても良いし、利用制限機器ごとに利用権限を有する登録者を示す情報を格納しても良いし、複数の登録者と複数の利用制限機器の利用権限との対応づけを示す情報を格納しても良い。また、管理テーブル２４ｂは、登録者が有する資格と各種の資格に対する利用制限機器の利用権限とを対応づけて記憶するようにしても良い。

　通信インターフェース２５は、リーダライタ１５とデータを送受信するためのインターフェースである。すなわち、通信インターフェース２５は、リーダライタ１５を通じて利用制限機器１とデータを送受信するためのインターフェースである。

　ＩＣカード２が接触型のＩＣカードとして実現される場合、通信インターフェース２５は、リーダライタ１５と物理的かつ電気的に接触して信号の送受信を行うための通信制御部とコンタクト部とにより構成される。例えば、ＩＣカード２は、コンタクト部を介してリーダライタ１５からの動作電源及び動作クロックの供給を受けて活性化される。

　ＩＣカード２が非接触型のＩＣカードとしての実現される場合、通信インターフェース２５は、リーダライタ１５との無線通信を行うための変復調回路などの通信制御部とアンテナとにより構成される。例えば、ＩＣカード２は、アンテナ及び変復調回路などを介してリーダライタ１５からの電波を受信する。ＩＣカード２は、その電波から図示しない電源部により動作電源及び動作クロックを生成して活性化する。

　生体センサ２７は、操作者の生体情報を取得する。生体センサ２７は、例えば、指紋センサである。生体センサ２７としての指紋センサは、操作者の指から指紋画像を取得する。生体センサ２７としての指紋センサは、ＣＣＤセンサなどを備える。また、指紋センサ２７は、電気容量の変化を検出するセンサなどを備えるものであってもよい。指紋センサ２７は、指紋画像をＭＰＵ２６に送信する。
　以下、本実施形態では、一例としてＩＣカード２が接触型のＩＣカードである場合を想定して説明するものとするが、ＩＣカード２が非接触型のＩＣカードであっても同様に実現可能なものである。また、生体センサ２７は、指紋センサであるものとし、ＩＣカード２が利用制限機器１のリーダライタ１５にセットされた状態でユーザの指が指紋センサの読取位置に置けるようにするものとする。

　ＭＰＵ２６（Micro Processing Unit）は、指紋センサ２７からの指紋画像を処理する。ＭＰＵ２６は、プロセッサ、ＲＡＭおよびＲＯＭなどを含む構成を有する。本実施形態で説明するＭＰＵ２６が実現する処理は、ＩＣチップＣａ内のプロセッサ２１がＲＯＭ２２およびＲＡＭ２３などを用いて実現できるものである。このため、以下の説明するＭＰＵ２６の実行する処理は、プロセッサ２１が実行するようにしても良い。

　ＭＰＵ２６は、指紋センサ２７からの指紋画像から特徴点情報（特徴点の座標及び特徴量など示す情報）を抽出する。ＭＰＵ２６は、抽出した特徴点情報をプロセッサ２１に送信する。上述したような指紋センサ２７が取得する指紋画像から特徴点情報を抽出する処理は、プロセッサ２１が実施するようにしても良い。

　プロセッサ２１は、ＭＰＵ２６から送信される指紋センサ２７で取得した指紋画像から抽出した特徴点情報とデータメモリ２４などに登録されている指紋画像の特徴点情報とを照合する。例えば、プロセッサ２１は、所定のアルゴリズムに従って、指紋画像同士の類似度として、指紋センサ２７で取得した指紋画像から抽出した特徴点情報と登録されている指紋画像の特徴点情報との類似度を算出する。ここで、類似度は、高いほど指紋画像同士の類似性が高いことを示す指標である。
　プロセッサ２１は、データメモリ２４などに登録されている指紋画像の特徴点情報を読み込んで保持する。プロセッサ２１は、ＭＰＵ２６から送られる特徴点情報とプロセッサ２１内に保持した特徴点情報とを照合して両者の類似度を算出する。　
　類似度を算出すると、プロセッサ２１は、照合処理（認証処理）として、算出した類似度と認証用の閾値とを比較することにより認証の成否を判定する。例えば、プロセッサ２１は、算出した類似度が認証用の閾値以上であれば同一人物である（認証成功）とし、類似度が認証用の閾値未満であれば同一人物と認めない（認証失敗）とすることにより認証処理の結果を得る。

　なお、指紋センサ２７が取得した指紋画像と登録されている指紋画像との照合処理は、ＭＰＵ２６が実施しても良い。例えば、ＭＰＵ２６は、照合処理によって指紋センサ２７で取得した指紋画像と登録されている指紋画像と類似度を算出し、算出した類似度をプロセッサ２１に送信するようにしても良い。また、ＭＰＵ２６は、算出した類似度と認証用の閾値とを比較することにより認証の成否をプロセッサ２１に送信するようにしてもよい。

　なお、ＩＣカード２は、プロセッサ２１からの制御に従って種々の情報を表示する表示部を具備するものであっても良い。例えば、表示部は、プロセッサ２１からの制御に従って点灯するライト（例えば、ＬＥＤ（Light Emitting Diode）ライト）などであってもよい。

　次に、実施形態に係る携帯可能な認証デバイスとしてのＩＣカード２が記憶する情報について説明する。　
　上述した構成例によれば、ＩＣカード２は、データメモリ２４において、登録者ごとの生体情報の特徴点情報２４ａと管理テーブル２４ｂと記憶する。上述したように、ＩＣカード２は、１人の登録者の生体情報の特徴点情報２４ａを登録するようにしても良いし、複数の登録者に対する生体情報の特徴点情報２４ａ１、２４ａ２、…を登録するようにしても良い。また、管理テーブル２４ｂは、登録者と利用権限を有する利用制限機器との関係を示す情報を記憶するものであれば良い。

　以下、実施形態に係る携帯可能な認証デバイスとしてのＩＣカード２に登録する登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの構成例について説明する。ここでは、具体例として、３人の登録者（ユーザ１、ユーザ２、ユーザ３）と３つの利用制限機器（機器Ａ、機器Ｂ、機器Ｃ）とがある場合を想定して説明するものとする。

　図２乃至図４は、個々のユーザ（登録者）ごとに発行するＩＣカード２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの構成例を示す図である。　
　図２は、ユーザ１に対して発行されるＩＣカード（ユーザ１用のＩＣカード）２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの例を示す。図３は、ユーザ２に対して発行されるＩＣカード（ユーザ２用のＩＣカード）２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの例を示す。図４は、ユーザ３に対して発行されるＩＣカード（ユーザ３用のＩＣカード）２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの例を示す。

　図２に示す例において、ＩＣカード２のデータメモリ２４には、ユーザ１の生体認証用の辞書データである登録者の生体情報の特徴点情報２４ａとユーザ１が利用権限を有している利用制限機器１を示す情報を格納する管理テーブル２４ｂとが記憶される。図２に示す管理テーブル２４ｂでは、登録者の生体情報の特徴点情報２４ａを用いて生体認証が可能なユーザ１が機器Ａと機器Ｃとの利用権限を有することが示される。

　図３に示す例において、ＩＣカード２のデータメモリ２４には、ユーザ２の生体認証用の辞書データである生体情報の特徴点情報２４ａとユーザ２が利用権限を有している利用制限機器１を示す情報を格納する管理テーブル２４ｂとが記憶される。図３に示す管理テーブル２４ｂでは、生体情報の特徴点情報２４ａを用いて生体認証が可能なユーザ２が機器Ｂと機器Ｃとの利用権限を有することが示される。

　図４に示す例において、ＩＣカード２のデータメモリ２４には、ユーザ３の生体認証用の辞書データである生体情報の特徴点情報２４ａとユーザ３が利用権限を有している利用制限機器１を示す情報を格納する管理テーブル２４ｂとが記憶される。図３に示す管理テーブル２４ｂでは、生体情報の特徴点情報２４ａを用いて生体認証が可能なユーザ３が機器Ａと機器Ｃとの利用権限を有することが示される。

　図２乃至図４に示す例によれば、個々のユーザ（登録者）が所持するＩＣカード２に、所持者であるユーザの生体情報の特徴点情報２４ａと、当該ユーザが利用可能な機器を示す情報とを登録する。これにより、所持者である登録者に対する生体認証だけでなく、当該登録者（ユーザ）が利用可能な機器を確認できるＩＣカード２を提供できる。例えば、各ユーザにＩＤカードなどとして生体認証機能付きのＩＣカードを発行する運用とする場合、図２乃至図４に示すような登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとをＩＣカード２に登録すれば、後述するようなＩＣカード２における利用機器の確認とユーザの生体認証とを実現できる。

　図５乃至図７は、個々の利用制限機器ごとに発行するＩＣカード２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの構成例を示す図である。　
　図５は、機器Ａに対して発行されるＩＣカード（機器Ａ用のＩＣカード）２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの例を示す。図６は、機器Ｂに対して発行されるＩＣカード（機器Ｂ用のＩＣカード）２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの例を示す。図７は、機器Ｃに対して発行されるＩＣカード（機器Ｃ用のＩＣカード）２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの例を示す。

　図５に示す例において、ＩＣカード２のデータメモリ２４には、機器Ａの利用権限を有するユーザ１の生体情報の特徴点情報２４ａ１およびユーザ２の生体情報の特徴点情報２４ａ２とともに、機器Ａの利用権限を有するユーザを示す情報を格納する管理テーブル２４ｂとが記憶される。図５に示す管理テーブル２４ｂでは、機器Ａの利用権限を有するユーザが、生体情報の特徴点情報２４ａ１のユーザ１と生体情報の特徴点情報２４ａ２のユーザ２とであることが示される。

　図６に示す例において、ＩＣカード２のデータメモリ２４には、機器Ｂの利用権限を有するユーザ２の生体情報の特徴点情報２４ａ２とともに、機器Ｂの利用権限を有するユーザを示す情報を格納する管理テーブル２４ｂとが記憶される。図６に示す管理テーブル２４ｂでは、機器Ｂの利用権限を有するユーザが、生体情報の特徴点情報２４ａ２のユーザ２であることが示される。

　図７に示す例において、ＩＣカード２のデータメモリ２４には、機器Ｃの利用権限を有するユーザ１の生体情報の特徴点情報２４ａ１、ユーザ２の生体情報の特徴点情報２４ａ２およびユーザ３の生体情報の特徴点情報２４ａ３とともに、機器Ｃの利用権限を有するユーザを示す情報を格納する管理テーブル２４ｂとが記憶される。図７に示す管理テーブル２４ｂでは、機器Ｃの利用権限を有するユーザが、生体情報の特徴点情報２４ａ１のユーザ１と生体情報の特徴点情報２４ａ２のユーザ２と生体情報の特徴点情報２４ａ３のユーザ３とであることが示される。

　図５乃至図７に示す例によれば、個々の利用制限機器ごとに発行（設定）するＩＣカード２に、当該利用制限機器が利用可能なユーザと各ユーザの生体情報の特徴点情報とが登録される。これにより、各登録者に対する生体認証だけでなく、当該機器を利用可能なユーザを確認できるＩＣカード２を提供できる。例えば、利用制限機器ごとにＩＣカードを発行する運用とする場合、図５乃至図７に示すような登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとを各機器用のＩＣカード２に登録すれば、後述するようなＩＣカード２における利用機器の確認とユーザの生体認証とを実現できる。

　図８は、１つのシステムに対して発行するＩＣカード２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの構成例を示す図である。　
　図８は、３つの機器Ａ、Ｂ、Ｃを有するシステム全体に対して発行されるＩＣカード（マスタ用のＩＣカード）２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの例を示す。　
　図８に示す例において、ＩＣカード２のデータメモリ２４には、３人分の生体情報の特徴点情報２４ａ１、２４ａ２、２４ａ３と、３つの各機器に対して利用権限を有するユーザを示す情報を格納する管理テーブル２４ｂとが記憶される。

　図８に示す生体情報の特徴点情報２４ａ１、２４ａ２、２４ａ３は、それぞれユーザ１、ユーザ２、ユーザ３の生体認証用の辞書データである。また、図８に示す管理テーブル２４ｂでは、機器Ａの利用権限を有するユーザがユーザ１とユーザ２とであり、機器Ｂの利用権限を有するユーザがユーザ２であり、機器Ｃの利用権限を有するユーザがユーザ１とユーザ２とユーザ３とであることが示される。

　図８に示す例によれば、複数の利用制限機器を含むシステム全体に対して発行（設定）するＩＣカード２に、それぞれ利用制限機器が利用可能なユーザと各ユーザの生体情報の特徴点情報とが登録される。これにより、複数の登録者に対する生体認証だけでなく、複数の機器について各機器が利用可能なユーザを確認できる１つのＩＣカード２を提供できる。例えば、複数の利用制限機器を含むシステム全体で１つのＩＣカードを発行する運用とする場合、図８に示すような登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとをＩＣカード２に登録すれば、後述するようなＩＣカード２における利用機器の確認とユーザの生体認証とを実現できる。

　なお、実施形態においては、利用制限機器を利用するごとにＩＣカード２による生体認証で人物認証を行うものであるから、図２乃至４の構成を有するＩＣカード、図５乃至７の構成を有するＩＣカード、図８の構成を有するＩＣカードを、それぞれ発行する運用としても良い。例えば、図２乃至４に示すような個人ごとのＩＣカードだけでなく、図８に示すようにシステム全体のＩＣカード（マスタ用のＩＣカード）を発行することで、個々のユーザ用のＩＣカードに不具合が生じた場合あるいは個々のユーザ用のＩＣカード紛失した場合にも、マスタ用のＩＣカードで利用制限機器を利用することができるような運用が実現できる。

　次に、実施形態に係る携帯可能な認証デバイスとしてのＩＣカード２を含む認証システム１０の動作例について説明する。　
　図９は、実施形態に係る認証システム１０の動作例について説明するためのタイミングチャートである。　
　ある利用制限機器１を利用しようとするユーザは、生体（指紋）認証を行うＩＣカード２を利用制限機器１のリーダライタ１５にセットする。利用制限機器１は、リーダライタ１５にセットされたＩＣカード２へ動作用の電力を供給する（ＳＴ１０）。ＩＣカード２は、通信インターフェース２５を介してリーダライタ１５から供給される電力を受けて活性化（起動）する（ＳＴ１１）。

　ＩＣカード２のプロセッサ２１は、リーダライタ１５からの電力によって起動すると、初期応答をリーダライタ１５へ送信する。リーダライタ１５は、セットされたＩＣカード２へ動作用の電力を供給するとともに、ＩＣカード２からの初期応答を受信する。初期応答を受信すると、リーダライタ１５は、ＩＣカード２との相互認証を行って通信状態を確立する。利用制限機器１のプロセッサ１１は、リーダライタ１５を介したＩＣカード２との通信状態が確立すると、当該利用制限機器１の識別情報としての機器ＩＤを送信するとともに、ＩＣカード２におけるユーザの認証を要求するコマンドを送信する（ＳＴ１２）。

　利用制限機器の機器ＩＤを受信すると、ＩＣカード２のプロセッサ２１は、受信した機器ＩＤが示す利用制限機器１の利用権限を有する人物の生体情報の特徴点情報が当該ＩＣカード２に登録されているかを確認する（ＳＴ１３）。プロセッサ２１は、管理テーブル２４ｂを参照して、当該機器ＩＤの利用制限機器に対して利用権限を有する人物の生体情報が登録されているか否かを確認することにより、当該利用制限機器１が当該ＩＣカード２を用いて利用可能な機器であるか否かを判断する（ＳＴ１４）。

　例えば、受信した機器ＩＤの機器に対する利用権限を有する人物の生体情報が登録されている場合、プロセッサ２１は、当該ＩＣカード２がセットされた利用制限機器１が利用可能な機器であるとする。また、受信した機器ＩＤの機器に対する利用権限を有する人物の生体情報が登録されていない場合、プロセッサ２１は、当該ＩＣカード２がセットされた利用制限機器１が利用できない機器であるとする。

　すなわち、利用制限機器１の利用権限を有する登録者がＩＣカード２に登録されていないと判断した場合（ＳＴ１４、ＮＯ）、プロセッサ２１は、利用制限機器１が利用不可な機器である旨を利用制限機器１へ応答する（ＳＴ２０）。この場合、ＩＣカード２がセットされた利用制限機器１は、上述のような利用不可な機器である旨の応答を受けて処理部１６による処理を実行不可な状態とする。

　利用制限機器１の利用権限を有する登録者がＩＣカード２に登録されていると判断した場合（ＳＴ１４、ＹＥＳ）、プロセッサ２１は、ＭＰＵ２６を通じて生体センサとしての指紋センサ２７を起動させ、指紋センサ２７によりユーザの生体情報としての指紋画像を取得させる（ＳＴ１５）。ここで、ユーザは、認証に用いる指紋がある指を指紋センサ２７の読取位置に置くものとする。また、ＭＰＵ２６は、指紋センサ２７の読取位置に指が置かれたのを検知して指紋センサ２７によって指紋画像を読取るようにしても良い。

　指紋センサ２７が指紋画像を取得すると、プロセッサ２１およびＭＰＵ２６は、取得した指紋画像を用いて生体（指紋）認証を行う（ＳＴ１６）。例えば、ＭＰＵ２６は、指紋センサ２７が取得した指紋画像から特徴点情報を抽出し、抽出した特徴点情報をプロセッサ２１に送信する。これにより、プロセッサ２１は、ＭＰＵ２６から指紋センサ２７で読み取ったユーザの指紋画像の特徴点情報を取得する。

　指紋画像の特徴点情報を取得すると、プロセッサ２１は、取得したユーザの指紋画像の特徴点情報とデータメモリ２４に登録している登録者の指紋画像の特徴点情報とを照合する。プロセッサ２１は、ユーザの指紋画像の特徴点情報と登録者の指紋画像の特徴点情報との類似度を算出し、算出した類似度が認証用の閾値以上であるか否かによりユーザが登録者であるか否かを判定する。

　指紋認証によってユーザが登録者であると認められた場合（生体認証が成功した場合）、プロセッサ２１は、登録者と一致したユーザ（つまり、登録者）が機器ＩＤで示される利用制限機器１の利用権限を有するか否かを判定する（ＳＴ１７）。ユーザが当該利用制限機器１の利用権限を有する登録者であると認証された場合（ＳＴ１７、ＹＥＳ）、プロセッサ２１は、指紋センサ２７に指を置いたユーザが機器ＩＤで示される利用制限機器１を利用できる登録者であることが認証された旨を通信インターフェース２５により利用制限機器１のリーダライタ１５へ応答する（ＳＴ１８）。

　リーダライタ１５によってユーザが登録者であることが認証された旨の応答をＩＣカード２から受信した場合、利用制限機器１のプロセッサ１１は、処理部１６の動作を許可し、ユーザが要求する処理を実行可能な状態とする（ＳＴ１９）。この場合、利用制限機器１のプロセッサ１１は、ＩＣカード２における認証の結果によって利用を許可したユーザを示す情報とともに、当該ユーザが実行した利用内容を示す履歴情報をメモリ１４に記録する（ＳＴ２０）。

　また、ユーザが当該利用制限機器１の利用権限を有する登録者であると判定できなかった場合（ＳＴ１７、ＮＯ）、プロセッサ２１は、利用権限を有するユーザであることが確認できなかった旨、又は、利用制限機器１が利用不可である旨を利用制限機器１へ応答とする（ＳＴ２１）。

　ユーザが登録者であることが認証できなかった旨、又は、利用制限機器１が利用不可な機器である旨の応答をＩＣカード２から受信した場合、利用制限機器１のプロセッサ１１は、処理部１６の動作を不可として、当該ユーザが利用制限機器１を利用できない状態とする（ＳＴ２２）。この場合、利用制限機器１のプロセッサ１１は、ＩＣカード２における認証の結果によって利用を不可とした旨の履歴情報をメモリ１４に記録するようにしても良い。

　以上のような処理によれば、生体センサを具備する携帯可能な認証デバイスとしてのＩＤカードは、利用制限機器との通信接続した場合、当該ＩＣカードに登録されている登録者が当該利用制限機器の利用権限を有するかを確認し、ユーザが利用制限機器の利用権限を有する登録者であるかを生体センサが取得する生体認証よって確認する。

　これにより、利用制限機器または利用制限機器の上位装置が各ユーザの利用権限を管理しなくても、ＩＣカードが、利用権限がない人物による利用を防止でき、かつ、生体認証によってユーザが利用権限を有する人物であることを確認できる。この結果として、ＩＣカードが、機器の利用確認を確実に行えるとともに、生体認証によるなりすまし防止できるため、利用権限がある人物の確実な利用制限機器の使用が実現できる。

　例えば、利用制限機器が処理部で医療行為（医療処理）を行う医療機器である場合、ＩＣカードは、ユーザの当該機器に対する利用権限の確認と、ユーザが利用権限を有する登録者（患者又は特定の操作者）本人であることを生体情報で確認する生体認証とを実行する。これにより、ＩＣカードが、利用制限機器に対して利用権限がある人物との生体認証が成功した場合に利用制限機器による医療処理を実行することを許可することでき、登録者に対応づけられた正しい利用制限機器による医療処理を確実に提供するようにできる。

　（変形例）
　上述した実施形態では、ＩＣカードに生体情報の特徴点情報が登録されている登録者が機器ＩＤで特定される機器の利用権限を有するか否かを確認したが、機器ＩＤで特定される機器を利用する資格を登録者が有しているか否かを確認するようにしても良い。この場合、ＩＣカード２の管理テーブル２４ｂには、登録者が有する資格を示す情報と各利用制限機器の利用が許可される資格を示す情報とが記憶される。　
　以下、上述した実施形態の変形例として、ユーザが有する資格に基づいて利用制限機器が利用可能な否かを確認する例について説明する。　
　なお、変形例に係る認証システム１０は、管理テーブル２４ｂ以外の構成は上述した実施形態と同様な構成で実現できるため、詳細な説明を省略するものとする。

　図１０は、資格情報を基に利用制限機器の利用権限を確認する場合のＩＣカード２における登録者の生体情報の特徴点情報２４ａと管理テーブル２４ｂとの構成例を示す図である。　
　図１０に示す構成例において、ＩＣカード２のデータメモリ２４には、３人分の生体情報の特徴点情報２４ａ１、２４ａ２、２４ａ３と、第１テーブル２４ｂ１および第２テーブル２４ｂ２からなる管理テーブル２４ｂとが記憶される。第１テーブル２４ｂ１は、各利用制限機器（機器Ａ、Ｂ、Ｃ）を利用する場合に必要な資格を示す情報が格納される。第２テーブル２４ｂ２は、各登録者（ユーザ１、２、３）が有する資格を示す情報が格納される。

　図１０に示す例によれば、機器Ａは、利用に必要な資格がαであることが第１テーブル２４ｂ１から判別でき、資格αを有するユーザがユーザ１とユーザ３であることが第２テーブル２４ｂ２から判別できる。つまり、図１０に示すＩＣカード２のプロセッサ２１は、管理テーブル２４ｂを参照することにより、ユーザ１およびユーザ３が機器Ａの利用権限を有することが特定できる。

　図１０に示す例において、機器Ｂは、利用に必要な資格がβであることが第１テーブル２４ｂ１から判別でき、資格βを有するユーザがユーザ２であることが第２テーブル２４ｂ２から判別できる。つまり、図１０に示すＩＣカード２のプロセッサ２１は、管理テーブル２４ｂを参照することにより、ユーザ２が機器Ｂの利用権限を有することが特定できる。

　図１０に示す例において、機器Ｃは、利用に必要な資格がα又はβであることが第１テーブル２４ｂ１から判別でき、資格αを有するユーザがユーザ１およびユーザ３で資格βを有するユーザがユーザ３であることが第２テーブル２４ｂ２から判別できる。つまり、図１０に示すＩＣカード２のプロセッサ２１は、管理テーブル２４ｂを参照することにより、ユーザ１、２、３が機器Ｃの利用権限を有することが特定できる。

　また、変形例に係る認証システムは、上述した図９に示す処理と同様な流れで同様な処理が実現できる。ただし、図９におけるＳＴ１３の処理は、上述したように、図１０に示すような管理テーブル２４ｂに登録される情報を参照して、ＩＣカードがセットされた利用制限機器が利用可能な機器であるかを登録者の資格に基づいて確認するようにすればよい。　
　以上のような変形例によれば、複数の登録者に対する生体認証だけでなく、各登録者が有する資格に基づいて各機器が利用可能なユーザを確認できる携帯可能な認証デバイスとしてのＩＣカードを提供できる。

　本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

Claims

　生体情報を取得するセンサと、
　機器と通信する通信インターフェースと、
　生体認証に用いる登録者の生体情報の特徴点情報と前記登録者が利用権限を有する機器を示す管理情報とを記憶するメモリと、
　前記センサが生体情報を取得したユーザが前記通信インターフェースにより通信する機器の利用権限を有する前記登録者であるかを認証し、前記認証の結果を前記通信インターフェースにより通信する前記機器へ送信するプロセッサと、
　を備える携帯可能な認証デバイス。
　前記メモリは、特定の登録者の生体情報の特徴点情報と、前記特定の登録者に利用権限が与えられている機器を示す管理情報と、を記憶する、
　請求項１に記載の携帯可能な認証デバイス。
　前記メモリは、複数の登録者の生体情報の特徴点情報と、特定の機器に対して利用権限を有する登録者を示す管理情報と、を記憶する、
　請求項１に記載の携帯可能な認証デバイス。
　前記メモリは、複数の登録者の生体情報の特徴点情報と、複数の機器に対して利用権限を有する登録者を示す管理情報と、を記憶する、
　請求項１に記載の携帯可能な認証デバイス。
　前記センサは、生体情報としての指紋画像を取得する指紋センサである、
　請求項１乃至４の何れか１項に記載の携帯可能な認証デバイス。
　指紋情報を取得する指紋センサと、
　機器と通信する通信インターフェースと、指紋認証に用いる登録者の指紋画像の特徴点情報と前記登録者が利用権限を有する機器を示す管理情報とを記憶するメモリと、前記指紋センサが指紋情報を取得したユーザが前記通信インターフェースにより通信する機器の利用権限を有する前記登録者であるかを認証し、前記認証の結果を前記通信インターフェースにより通信する前記機器へ送信するプロセッサと、を備えるモジュールと、
　前記指紋センサと前記モジュールとを接続した状態を内蔵した本体と、
　を備えるＩＣカード。
　利用制限機器と携帯可能な認証デバイスとを有する認証システムであって、
　前記利用制限機器は、
　前記携帯可能な認証デバイスと通信するリーダライタと、
　前記リーダライタを介して通信する前記携帯可能な認証デバイスにユーザが利用権限を有する人物であるかの認証を要求し、前記携帯可能な認証デバイスによる認証結果に応じて当該利用制限機器の動作を制限するプロセッサと、を備え、
　前記携帯可能な認証デバイスは、
　生体情報を取得するセンサと、
　前記利用制限機器と通信する通信インターフェースと、
　生体認証に用いる登録者の生体情報の特徴点情報と前記登録者が利用権限を有する機器を示す管理情報とを記憶するメモリと、
　前記センサが生体情報を取得したユーザが前記通信インターフェースにより通信する前記利用制限機器の利用権限を有する前記登録者であるかを認証し、前記認証の結果を前記通信インターフェースにより通信する前記利用制限機器へ送信するプロセッサと、を備える、
　認証システム。