Nothing Special   »   [go: up one dir, main page]

JP5514200B2 - 改良された生体認証及び識別 - Google Patents

改良された生体認証及び識別 Download PDF

Info

Publication number
JP5514200B2
JP5514200B2 JP2011514181A JP2011514181A JP5514200B2 JP 5514200 B2 JP5514200 B2 JP 5514200B2 JP 2011514181 A JP2011514181 A JP 2011514181A JP 2011514181 A JP2011514181 A JP 2011514181A JP 5514200 B2 JP5514200 B2 JP 5514200B2
Authority
JP
Japan
Prior art keywords
user
biometric
electronic device
people
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011514181A
Other languages
English (en)
Other versions
JP2011525656A (ja
Inventor
ロベルト ピー コステル
アントニウス エイチ エム アッケルマンス
ラインソエフェル バルトロメウス ジェイ ファン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2011525656A publication Critical patent/JP2011525656A/ja
Application granted granted Critical
Publication of JP5514200B2 publication Critical patent/JP5514200B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Biomedical Technology (AREA)
  • Collating Specific Patterns (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、ネットワーク接続された家電デバイスのユーザの生体認証及び識別を改善する方法に関する。
家電(CE)デバイスに関しては、益々ネットワーク・オンラインサービスが可能にされる傾向にある。例えば、現代のゲーム端末は、オンラインサービスをサポートする(例えばXboxLive)。更に、すぐに、TVは、こうしたサービスにアクセスするためのウェブブラウジング機能といった機能を具備することになるであろう。通常、サービス対応CEデバイスは、実際のサービスに対するアクセスを提供するネットワークポータルを用いて補足される(例えば2008年1月15日のOpen IPTV Forum,Functional Architecture−V1.1において示された構成)。
CEデバイスは通常、限られたユーザ対話手段を持ち、ユーザは、デバイスが便利で使用が簡単であり、結果を得るのにあまり多くの操作を必要としないことを期待する。例えば、ユーザは通常嫌々ながら、ユーザ名/パスワードを用いて複雑な反復的なログイン処理を使用する。
デジタル識別(digital identity)に関して、例えば上記のような利便性の議論に合致するよう、CEデバイスは、限定された手法をとる。例えば、任天堂Wiiゲーム端末は、複数のキャラクタ(「Mii」)をサポートする。しかし、これらは、取引又はサービスへのアクセスに使用されるものではない。取引のためには、デバイスの所有者は、例えばダウンロード可能なゲームの購入といったオンライン取引を実行するのに使用されることになる1つのアカウントを端末毎にリンクすることができる。このアカウントの使用は、例えば、PINを用いて保護されることができる。
言うまでもなく、ゲーム端末といったCEデバイスは、複数の人々により使用されることが多い。即ち、ゲーム端末の所有者だけが端末を使用するわけではない。しかしながら、今まで、オンラインサービスは、個人化されておらず、又はせいぜい(例えば取引のために)固定されたシングルユーザに関連付けられる。
生体認証特徴、即ちバイオメトリクスの使用は、認証及び識別が必要とされる状況においてユーザ名、パスワード及びPINコードを置換する非常に便利な方法を提供する。バイオメトリクスは、人間に対してユニークであり、忘れられたり、盗まれたり、又は失われる可能性がない。そのようなものとして、生体認証は、アクセス制御及び電子商取引システムにおいて使用される有望な候補である。これらのシステムの多くで、バイオメトリクスは、便利でセキュアな1対1認証を実行するために用いられる。しかしながら、過去の10年の間に行われた多くの改善にもかかわらず、ほとんどすべての生体認証モダリティの認識性能は、大規模な1対多の識別目的に関してバイオメトリクスを信頼性が高いツールとするにはまだ十分でなく、この状態がしばらく続くことが予想される。
従来の生体認証システムに関する性能は、1%の等価誤差率(EER)のオーダーである。EERは、本人拒絶率(FRR)と他人受容率(FAR)とが等しい状態の生体認証システムの動作点として規定される。一般に、EERは、有益な性能尺度であり、この値が低いほど、より良好なシステムである。斯かるシステムを1%よりいくらか高いFFRへとわずかにチューニングすることにより、0.1%の最小FARが可能に見える。結果的に、所与の認識システムに対するFARが0.1%である場合、これは、詐称者が彼のバイオメトリクスが本物の人のバイオメトリクス「のように見える」という確率が0.1%であることを意味する。もし識別が実行されることになる場合、即ち1対多の比較が行われると、ある人が間違って認識されることになる確率は、FARtot=1−(1−FAR)になることが示されることができる。
例えば、生体認証認識システムのFARが0.1%であり、30人のデータベースから1人が識別されることになる場合、誤った人を見つける確率FARtotは、1−0.99930=0.03であり、これは、許容可能であろう。しかしながら、300人のデータベースが検索されなければならない場合、FARtotは26%になる。これは、この識別システムを本質的に役に立たなくする。
更に、バイオメトリクスは人間に関する機微な個人情報を提供するので、生体認証データの蓄積及び使用に関連付けられるプライバシー問題が通常は存在する。この問題を解決するため、生体認証データは、データベースにおいて決してクリアな形で格納されるべきではなく、プライバシーを保証し、及び悪意あるデータベースクロスマッチアタックを回避するため、暗号化された形式で格納されるべきである。この問題を解決することにより、バイオメトリクスの受容レベルは、増加されるであろう。しばしばテンプレート保護システムと呼ばれる斯かるプライバシー保護技術が、例えばWO2005/122467号といった従来技術に表される。
従来技術に対する改善を提供するため、第1の側面によれば、通信ネットワークにおける電子デバイスに対してユーザを認証する方法が提供される。この方法は、上記ユーザの生体認証特徴を得るステップと、上記デバイスの少なくとも1人のプライマリユーザを特定する情報をソーシャルネットワーキングサービスに送信するステップと、上記少なくとも1人のプライマリユーザと社会的関係を持つ人のグループを特定する情報を上記ソーシャルネットワーキングサービスから受信するステップと、上記ユーザの生体認証特徴と上記特定された人のグループにおける人の生体認証特徴との生体認証マッチング処理からの結果を特定する情報を得るステップとを有し、上記結果が、上記ユーザが上記電子デバイスに対して認証されるか否かを示す。
言い換えると、ソーシャルネットワークにおける人のグループに関する情報を利用することにより、マッチング処理の間必要とされる検索スペースのサイズを狭めることにより、他人受容率が減らされ、これにより、例えばデバイスの所望の機能にアクセスする又は所望のサービスにアクセスするための、電子デバイスに対するユーザの生体認証が容易になる。
即ち、例えば、オンラインサービス、空港セキュリティシステム等を含む状況とは対照的に、例えばCEデバイスといった電子デバイスに関しては通常、人口全体のうちの特定の部分だけが関連する可能性がある。電子デバイスに対するゲスト及び新しいユーザは、彼らの識別及び生体認証プロファイルを用いて都合よく認証されることができる。これには、彼らの識別子といった情報を入力する必要もないし、デバイスに対して彼らのバイオメトリクスを登録する必要もない。
ある実施形態は、上記デバイスの少なくとも1人のプライマリユーザを特定する情報を送信するステップが、上記特定された人のグループにおける人の数を制限するための少なくとも1つの限定パラメータを送信するステップを有するものを含む。
上記少なくとも1つの限定パラメータを送信するステップが、上記特定された人のグループにおける人の最大数を特定する数を送信するステップを有することができる。
ある実施形態は、上記少なくとも1つの限定パラメータを送信するステップが、上記少なくとも1人のプライマリユーザと上記ユーザのソーシャルネットワークにおける人との間の関係のタイプを特定する情報を送信するステップを有するものを含む。
ある実施形態は、上記少なくとも1つの限定パラメータを送信するステップが、上記ユーザの生体認証特徴を得るとき上記デバイスの性能に関する少なくとも1つの特徴パラメータを特定する情報を送信するステップを有するものを含む。
上記ユーザの生体認証特徴を得るとき上記デバイスの性能に関する少なくとも1つの特徴パラメータを特定する情報を送信するステップが、他人受容率及び本人拒否率のいずれかに関連付けられる情報を送信するステップを有することができる。
ある実施形態はまた、上記特定された人のグループの情報を識別プロバイダに送信するステップと、上記特定された人のグループにおける上記人の生体認証特徴を上記識別プロバイダから受信するステップとを有し、上記生体認証マッチング処理からの結果を特定する情報を得るステップが、上記マッチング処理を実行するステップを有するものを含む。
上記ソーシャルネットワークにおける人の生体認証特徴を上記識別プロバイダから受信するステップが、上記セキュア生体認証テンプレートに関連付けられるセキュア生体認証テンプレート及びヘルパーデータを受信するステップを有し、上記マッチング処理は、上記セキュア生体認証テンプレート及び上記ヘルパーデータを利用するステップを有する。
ある実施形態はまた、上記特定された人のグループの情報を識別プロバイダに送信するステップを有し、上記生体認証マッチング処理からの結果を特定する情報を得るステップが、上記ユーザの生体認証特徴と上記特定された人のグループにおける人の生体認証特徴との生体認証マッチング処理からの結果を特定する情報を上記識別プロバイダから受信するステップを有するものを含む。
斯かる実施形態は、上記特定された人のグループにおける上記人に関連付けられる生体認証テンプレートに関連付けられるヘルパーデータを上記識別プロバイダから受信するステップと、上記ヘルパーデータ及び上記ユーザの上記生体認証特徴を用いて生体認証テンプレートを生成するステップと、上記生成された生体認証テンプレートを上記識別プロバイダに送信するステップとを有することもできる。
ある実施形態はまた、上記生体認証マッチングの結果から得られる情報に基づき、上記ユーザがユーザ所望のサービスにアクセスするために認証されるか否かを決定するステップを有するものを含む。即ち、サービスを使用するユーザの認証は、デバイスに対してユーザが認証される結果として実行されることができる。
斯かる実施形態において、上記少なくとも1つの限定パラメータを送信するステップが、上記所望のサービスのプロバイダから得られる少なくとも1つの限定パラメータを送信するステップを有することができる。
第2の側面によれば、通信ネットワークにおける電子デバイスに対してユーザを認証するよう構成される生体認証入力手段、処理及び通信回路を有する電子デバイスが提供される。この回路は、上記ユーザの生体認証特徴を得、上記デバイスの少なくとも1人のプライマリユーザを特定する情報をソーシャルネットワーキングサービスに送信し、上記少なくとも1人のプライマリユーザと社会的関係を持つ人のグループを特定する情報を上記ソーシャルネットワーキングサービスから受信し、上記ユーザの生体認証特徴と上記特定された人のグループにおける人の生体認証特徴との生体認証マッチング処理からの結果を特定する情報を得るよう構成され、上記結果が、上記ユーザが上記電子デバイスに対して認証されるか否かを示す。
第3の側面によれば、処理ユニットにおいて実行されるとき、上記した方法を実行するソフトウェア命令を有するコンピュータプログラムが提供される。
第4の側面によれば、通信ネットワークにおけるユーザの認証を可能にする方法が提供される。斯かる方法は、少なくとも1人のプライマリユーザを特定する情報を受信するステップと、上記ユーザの生体認証特徴を受信するステップと、上記少なくとも1人のプライマリユーザと社会的関係を持つ人のグループを特定する情報を得るステップと、上記ユーザの生体認証特徴と上記特定された人のグループにおける人の生体認証特徴との生体認証マッチング処理を実行するステップとを有し、上記結果が、上記ユーザが認証されるか否かを示す。
対応するように、第5及び第6の側面は、斯かる方法を実現する装置及びコンピュータプログラムを提供する。
通信ネットワークに接続される相互作用する実体のブロックダイアグラムを概略的に示す図である。 電子デバイスを概略的に示す図である。 認証方法のフローチャートである。 ソーシャルネットワークを示す図である。
実施形態が、添付の図面を参照して以下に表されることになる。
ソーシャルネットワークは、ユーザ間の社会的関係を特定する。こうして、ユーザのソーシャルネットワークは、彼の家族、友人、同僚、話し相手等を特定することができる。技術的な観点から言えば、ソーシャルネットワークは、何らかの種類のデータ構造又はデータフォーマットで現実の社会的関係を表すものである。ソーシャルネットワーキングサービスは、ユーザが自分達のソーシャルネットワークを管理することを支援し、幅広い目的のためそれを使用、開示及び共有することを支援する。後者は、ネットワーク全体、ネットワークの一部、又は特定のタイプの関係といった特殊な側面、ユーザのサブセット等の場合にあてはまる。
ソーシャルネットワークは、多数の異なる具体化を伴い増加的に普及している概念になった。例えばMySpace、Orkut、LinkedIn及びFaceBookといったソーシャルネットワーキングサイトが良く知られている。これらのサービスは通常、ユーザが、同様にアカウントを持つ他のユーザとの関係を含むパーソナルアイデンティティの一部をオンラインで公開することを可能にする。
ユーザのソーシャルネットワークは、単一のサービスの範囲外で使用されることもできる。例えば、OpenSocial Allianceは、特定の範囲に対してこれを可能にする。これは、開発者がソーシャルネットワーク参加者に関する以下のコア機能及び情報にアクセスすることを可能にするアプリケーション・プログラミング・インタフェース(API)のセットを規定する。こうした情報には、プロファイル情報(ユーザデータ)、友人情報(ソーシャルグラフ)及び活動(起きたこと、ニュースフィードタイプの素材)が含まれる。関連する競合ソーシャルネットワークのAPI及び特定化活動は、FaceBook API及びOpenSocialWebである。OpenSocialWebは、ソーシャルネットワークの相互運用性のためのソリューションを例えばマイクロフォーマットを介して規定する。
ソーシャルネットワーク情報は、FOAF(友人の友人)特定化を用いて特定されることができる。FOAFエントリは、ウェブページの埋め込みメタデータを含む種々のコンテキストで使用されることができる。こうして、この情報は、例えば検索エンジン及びアプリケーションに対して利用可能でありえる。GoogleSocialGraph APIは、人々の間の社会的関係を決定及び視覚化するため、他のソースと共にこの情報を利用する実験的なアプリケーションである。
以下は、斯かるソーシャルネットワークサービスがどのように生体認証に関連して使用されることができるかの例を示すことになる。
図1は、上述した方法が実現されることができるシステムを概略的に示す。図1は、例えばユーザ101との対話が可能なゲーム端末又はTVセットといった家電デバイス、言い換えるとCEデバイスである電子デバイス102を有する分散処理システムを表す。
デバイス102は、異なる種類のユーザを持つことができる。デバイス102に関連付けられる1人又は複数のプライマリユーザは通常、多かれ少なかれ定期的にこのデバイスを使用する。この目的のために、このデバイスは、これらのプライマリユーザに関するいくつかの情報、例えば識別子及び生体認証特徴を保持することができる。これは、何らかの登録、加入又は前の認証ステップの一部として学習されたものである。プライマリユーザの例は、デバイスの所有者だけでなく、例えば同じ家庭における家族メンバーといった他のレギュラーユーザである。プライマリユーザとは対照的に、ゲストユーザは、別のタイプのユーザであり、この別のタイプのユーザは、デバイス102をそれほど定期的又は付随的に利用するものではない。通常は、このデバイスは、以前に出会っていないゲストユーザに関する情報を持たない。
情報は、複数の通信相手を介して分散される。その通信相手とは、サービスプロバイダ104、ソーシャルネットワークサービス106及び識別プロバイダ108であり、これらはすべて、通信ネットワーク110を介して互いに接続される、及び互いに通信するよう構成される1つ又は複数のコンピュータサーバの形で実現される。図1は、分散処理システムを示すが、より基本的な形式では、サービスプロバイダ104自身が、識別及びソーシャルネットワークデータを保持し、これにより、ソーシャルネットワークサービス106及び識別プロバイダ108を有することができる。
サービスプロバイダ104は、例えばユーザ生成動画の投稿サイト又は写真共有サイトといった、ユーザに対して1つ又は複数のサービスを提供する通信相手である。サービスプロバイダ104は、サービスのユーザ毎にアカウントを保持する。アカウントには、プロファイルが関連付けられ、プロファイルには通常、サービスにおけるユーザ特有な側面、例えば公開されたコンテンツが格納される。このアカウントは、ユーザの認証に関して責任を負う識別プロバイダ108でのアカウントに関連付けられる。
ソーシャルネットワーキングサービス106は、ユーザ毎に、他のユーザに対する関係を保持する。オプションで、例えば「兄弟」、「姉妹」、「父」、「母」等の家族関係、又は例えば「同僚」、「仕事仲間」、「バディ」、「友人」等の他の関係といったタイプの関係も、ソーシャルネットワーキングサービス106で保持される。この情報に基づき、ソーシャルネットワーキングサービス106は、ユーザのソーシャルネットワークに含まれる人のグループを決定することができる。決定されることができる人の数は、任意のサイズまで効果的に上げられる。例えば、友人の友人の友人等と特定の程度まで上げられる。2人のユーザが相互的な関係を介して関係を持つか持たないか等を決定することも可能である。
既存のソーシャルネットワーキングサービスの例は、「MySpace」、「FaceBook」及び「Linkedln」を含む。しかしながら、他のオプションも可能である。例えば、ウェブに公表された情報といった他の情報ソースから関係を決定する専用サービスがある。別の例は、例えばゲーム端末といった複数のユーザにより使用される特定のデバイスを考慮し、その情報を取得し、及びデバイスを共有する関係に基づかれる社会的関係を想定することにより、デバイスポータルが自信のソーシャルネットワークに似た何かを構築することとすることができる。更に別の例は、ユーザに関するコンタクト又は「バディ」リストを保持するインスタントメッセージング通信サービスにより形成される。
識別プロバイダ108は、ユーザの識別情報を保持するシステム100における通信相手である。これは、ログイン証明書及び生体認証プロファイルを含むことができる。例えばサービスプロバイダ104といったサービスプロバイダがその認証に基づきそのサービスを提供することができるよう、識別プロバイダ108は、ユーザを認証することに関して責任を負う。識別プロバイダ108は、例えばLibertyAllianceアーキテクチャ、OpenID等の識別管理の分野において知られる識別プロバイダとすることができる。もちろん、これらは、斯かる場合、上述した方法をサポートするための機能をもって拡張される。
例えばゲーム端末又はTVセットの形のCEデバイスといった電子デバイス102が、ユーザの生体認証を処理することができるよう構成される。この目的のため、このデバイスは、生体認証測定を解釈及びマッチさせるための生体認証センサ及び論理回路を具備する。電子デバイス102は、例えばデバイスに対して既知の関連プライマリユーザ又は他のユーザといったユーザに関する情報を例えばキャッシュを用いてローカルに保持することができる。このキャッシュに、このデバイスは、このデバイスにより使用されるユーザに関するいくつかの情報、識別プロバイダでのユーザの識別へのリファレンス、及びユーザの生体認証プロファイルのコピーを格納することができる。
図2は、例えば図1におけるデバイス102といった電子デバイス202を概略的に説明する。デバイス202は、ゲーム端末及びテレビセットといったデバイスを含むCEデバイスとすることができる。処理ユニット204は、上述した方法を実現するソフトウェア命令だけでなくデータも格納するメモリユニット206に接続される。メモリ206に格納されるデータは、例えばデバイス102に関連付けられる1人又は複数のプライマリユーザの1つ又は複数の生体認証プロファイルの形でデータを含むことができる。処理ユニット204は、入力/出力インターフェースユニット208を介して、ディスプレイ210、ユーザ入力キー212、音声出力ユニット214及び生体認証検出ユニット216に接続される。生体認証検出ユニット216を含むこれらのユニットがどのように作動し、互いに通信するかに関する情報は、従来技術において知られており、従ってここでは詳細に論じられることはない。
ここで図3に進むと、サービスプロバイダでユーザが所望するサービスにアクセスするため、通信ネットワークにおける電子デバイスを使用するユーザを認証する方法が、フローチャートを用いて説明されることになる。上述した個別の実体102、104、106及び108に対応する電子デバイス、サービスプロバイダ、ソーシャルネットワーキングサービス及び識別プロバイダに関しては、図1及び図2が参照されることになる。
生体認証測定ステップ301において、電子デバイス102は、ユーザの生体認証測定を行う。この測定は、従来技術において知られる任意の生体認証特徴とすることができる。この特徴としては、例えば、顔の形、指紋、虹彩、音声等を含む。
チェックステップ303では、デバイス102は、そのローカルキャッシュメモリに格納される任意の生体認証プロファイル、例えばデバイス102に関連付けられる1人又は複数のプライマリユーザのプロファイルに対して生体認証測定をマッチさせようと試みる。これが成功する場合、ユーザは認証され、処理はログインステップ315へ続く。
チェックステップ303において、デバイス102にローカルに既に存在するプロファイルに生体認証測定が対応しないことが発見される場合、このデバイスは、デバイス102に関連付けられる1人又は複数のプライマリユーザのソーシャルネットワークに含まれる人のグループに関する問合せを、ソーシャルネットワークサービス106に送信する。問合せのパラメータは、1人又は複数のプライマリユーザを特定する情報である。この問合せは、人のグループの所望の最大サイズ、即ち電子デバイス102に返信するユーザの数を示すことができる1つ又は複数のセキュリティパラメータを含むこともできる。
セキュリティパラメータは、サービスプロバイダ104により規定されるセキュリティポリシー、デバイス102の特徴、及び包含戦略を規定する情報に基づかれることができる。サービスプロバイダ104は、例えば詐称者が100の試み中1回成功することが可能にされる確率に対応するレベルといった特定のセキュリティレベルを要求することができる。デバイス102は、センサ及び生体認証アルゴリズムを具備することができる。このアルゴリズムとは即ち、例えば図2の処理ユニット204といった処理ユニットにおいて実行されるソフトウェアコードである。これは、0.01%の偽陰性レートを持つ。これは、その特徴を与えられるデバイス102が、100人のユーザ母集団に対するマッチを行うことができ、サービスプロバイダの104の要件を満たすことができることを意味する。
包含戦略は、この限られた母集団にどのユーザを含むべきかを定める。図4は、斯かる処理を表し、例えば、ユーザの同僚の友人を介する遠い家族にプリファレンスを与える包含戦略を説明する。即ち、図4において、ユーザ401は、人の母集団のサブセットの中央に配置される。ここには、境界420、421、422及び423が示される。最も外部の境界423は、例えば世界の総人口といった人々の完全な母集団を囲み、例示的な人406及び407を含む。中間境界422は、ユーザ401の完全なソーシャルネットワークを規定する。最も内部の境界420は、第1の度合いの関係に基づかれるユーザ401に関連付けられる人のグループを囲む。例えば、最も内部の境界420内部の人のグループは、ユーザ401の親402及び同僚403を有する。破線の境界421は、ユーザ401の限定されたソーシャルネットワークを囲む。この限定は、例えばユーザ401に対する人及び/又は関係の最大数といった1つ又は複数のセキュリティパラメータにより規定される。例えば、叔父404は、境界421により規定される限定されたソーシャルネットワークに含まれることができる。
図3のフローチャートを続けると、1つ又は複数のプライマリユーザ及びセキュリティパラメータに基づき、組み合わされたソーシャルネットワークを決定するため、問合せステップ305において、ソーシャルネットワークサービスは問合せを受ける。
単一のプライマリユーザに対するソーシャルネットワークを決定することは、図4に関連して述べられたソーシャルネットワーク境界の輪郭に従う。デバイス102が複数のプライマリユーザを持つ場合、これらのユーザは一緒に考慮されることができ、それらの組み合わされた第1及びより高い度合いの境界が決定され、包含戦略がソーシャルネットワークからの人のグループに含める人の数を限定するために適用される。
その後、受信ステップ307において、ソーシャルネットワークサービス106は、限定されたソーシャルネットワークの人のグループの決定の結果をデバイス102に提供する。受信ステップ307において、ユーザ識別子のリストが、デバイス102により効果的に提供及び受信される。
その後、デバイス102は、ステップ307においてデバイスに対して特定及び提供される限定されたソーシャルネットワークの人のグループに関する生体認証プロファイルのリストを提供するため、要求ステップ309において、識別プロバイダ108に要求を送信する。このリストは、受信ステップ311においてデバイス102により受信される。
整合ステップ313において、デバイス102は、それがステップ301において得た生体認証測定、受信ステップ307において得られたユーザ識別子のリスト、及び受信ステップ311において得られたこれらの人に対応する生体認証プロファイルのリストを共に持つ。ステップ301において得られた生体認証測定と受信される生体認証プロファイルとのマッチングが行われる。失敗する場合、生体認証識別は失敗し、例えばユーザ名/パスワードの手動入力といった、認証のためのあまり便利でない方法がユーザに提供されることができる。マッチが成功する場合、デバイス102は、適切なユーザ識別子を選択し、サービスログインステップ315を続ける。
サービスログインステップ315において、デバイス102は、特定されたユーザのため、サービスプロバイダ104のサービスにログインする。これが認証と共にどのように正確に機能するかについては、この明細書では記載しない。
上記の方法は、電子デバイスに対してユーザを認証する。ここでは、この認証は、ユーザがサービスプロバイダでのサービスにアクセスすることを可能にするために適用される。このため、生体認証プロファイルが、デバイス自身のメモリにおいて得られ、及び保たれる(ステップ311参照)。これは、いくつかの状況及び環境では、安全ではなく、プライバシーリスクがあると考えられることができる。これは、後述するように2つの方法で対処されることができた。
デバイス102自身で行われる代わりに、生体認証検証、即ちマッチングが、識別プロバイダ108で実行されることができる。これは、電子デバイス102が実際の生体認証プロファイルを処理する必要性を不要にする。このことが、より良好なプライバシーを提供する。この変形例は、上記のステップ309〜313で行われる処理を、プライマリユーザの限定されたソーシャルネットワークの人のグループを特定する情報と共にユーザの生体認証測定を識別プロバイダ108に送信することを含むステップに変更することで可能となる。その後、識別プロバイダ108は、限定されたソーシャルネットワークにおける人の生体認証プロファイルと生体認証測定とのマッチングを行い、例えばユーザ識別子の形でマッチングの結果を電子デバイス102に提供する。斯かる変形例の追加的な変形例は、例えばソーシャルネットワーキングサービスを利用することにより、プライマリユーザを特定する受信情報に基づき、限定されたソーシャルネットワークの人のグループを特定する情報を識別プロバイダ108に取得させることである。
更に、マッチングに成功する際識別プロバイダからユーザ識別子を返信するステップは、(例えばSecurity Assertion Markup Language、SAMLを用いて)ユーザがバイオメトリクスを用いて認証に成功したことを示す認証表明を電子デバイスに返すことにより強化されることができる。電子デバイス102は、その後この表明を使用することができ、ログインステップ315においてサービスに対してこの表明を示すことができる。
電子デバイス102が生体認証プロファイルを格納する必要性を不要にする別の方法は、テンプレート保護である。これは、より良好なプライバシーを提供する。生体認証プロファイルの代わりに、電子デバイス102は、生体認証ヘルパーデータ及びセキュア生体認証テンプレートを格納する。これは有利である。なぜなら、ヘルパーデータ及びセキュア生体認証テンプレートからは元の生体認証プロファイルを再構成することができないからである。この変形例は、上記のステップ309〜313で行われる処理を、ユーザの限定されたソーシャルネットワークの人のグループを特定する情報を提供した後、限定されたソーシャルネットワークにおける人に対応するヘルパーデータ及びセキュア生体認証テンプレートを識別プロバイダ108から受信することを含むステップに変更することで行われる。電子デバイス102は、その後、すべての利用可能なヘルパーデータを使用することによりテンプレート保護方法においてユーザから得られる生体認証測定と共にこの情報を使用し、この結果が対応するセキュア生体認証テンプレートとマッチするかどうかを確認する。成功する場合、対応するユーザ識別子が選択され、処理はログインステップ315に続く。
テンプレート保護方法を適用するステップは、Nの複雑さを持つ点に留意されたい。ここで、Nは、限定された組み合わされたソーシャルネットワークにおける人の数を表す。テンプレート保護方法が比較的軽いと想定すれば、これは小さな数のNに対して、例えば100のオーダーに対して可能であるとみなされる。ユーザの生体認証測定からの特徴の計算は、最も処理の重いステップであり、これは一度だけ実行されなければならない。
テンプレート保護方法を使用することの代替的な方法は、識別プロバイダ108に検証を実行させることである。この変形例は、上記のステップ309〜313で行われる処理を、ユーザの限定されたソーシャルネットワークを特定する情報を提供した後、ヘルパーデータを識別プロバイダ108から受信することを含むステップに変更することで行われる。その後、このヘルパーデータは、限定されたソーシャルネットワークにおけるすべての人に対して個別のテンプレートを生み出すテンプレート保護方法におけるユーザの生体認証測定と共に処理される。これは、識別プロバイダ108にその後提供される。その後、これらのテンプレートは、それらが対応するセキュア生体認証テンプレートとマッチするか否かがチェックされ、成功する場合、適切なユーザ識別子が、選択され、電子デバイス102に提供される。また、テンプレートを利用することのこの代替的な方法において、識別プロバイダ108は、追加的な使用のため(SAMLを用いた)認証表明を返すことができる。
こうして、短く要約すると、通信ネットワークにおける電子デバイスに対するユーザの認証が本書に記載される。この方法は、ユーザの生体認証特徴を得るステップと、デバイスの少なくとも1人のプライマリユーザを特定する情報をソーシャルネットワーキングサービスに送信するステップと、上記少なくとも1人のプライマリユーザと社会的関係を持つ人のグループを特定する情報を上記ソーシャルネットワーキングサービスから受信するステップと、上記ユーザの上記生体認証特徴と上記特定された人のグループにおける人の生体認証特徴との生体認証マッチング処理からの結果を特定する情報を得るステップとを有し、上記結果は、上記ユーザが上記電子デバイスに対して認証されるか否かを示す。ソーシャルネットワークにおける人のグループに関する情報を利用することにより、マッチング処理の間必要とされる検索スペースのサイズを狭めることにより、他人受容率が減らされ、これにより、例えばデバイスの所望の機能にアクセスする又は所望のサービスにアクセスするための、電子デバイスに対するユーザの生体認証が容易にされる。

Claims (9)

  1. 通信ネットワークにおける電子デバイスに対してユーザを認証する方法において、
    前記電子デバイスが、前記ユーザの生体認証特徴を得るステップと、
    前記電子デバイスが、前記電子デバイスの少なくとも1人のプライマリユーザを特定する情報をソーシャルネットワーキングサービスに送信するステップと、
    前記電子デバイスが、前記少なくとも1人のプライマリユーザと社会的関係を持つ人のグループのユーザ識別子のリストを前記ソーシャルネットワーキングサービスから受信するステップと、
    前記電子デバイスが、前記ユーザ識別子のリストに対応する人の生体認証特徴のリストを識別プロバイダから受信するステップと、
    前記電子デバイスが、前記ユーザの生体認証特徴と前記生体認証特徴のリストに含まれる生体認証特徴との生体認証マッチング処理からの結果を特定する情報を得るステップとを有し、
    前記結果が、前記ユーザが前記電子デバイスに対して認証されるか否かを示す、方法。
  2. 前記電子デバイスの少なくとも1人のプライマリユーザを特定する情報を送信するステップが、前記特定された人のグループにおける人の数を制限するための少なくとも1つの限定パラメータを送信するステップを有する、請求項1に記載の方法。
  3. 前記少なくとも1つの限定パラメータを送信するステップが、前記特定された人のグループにおける人の最大数を特定する数を送信するステップを有する、請求項2に記載の方法。
  4. 前記少なくとも1つの限定パラメータを送信するステップが、前記少なくとも1人のプライマリユーザと前記ユーザのソーシャルネットワークにおける人との間の関係のタイプを特定する情報を送信するステップを有する、請求項2又は3に記載の方法。
  5. 前記特定された人のグループ内の人に関連付けられ生体認証テンプレートに関連付けられヘルパーデータを前記識別プロバイダから受信するステップと、
    前記ヘルパーデータ及び前記ユーザの前記生体認証特徴を用いて生体認証テンプレートを生成するステップと、
    前記生成された生体認証テンプレートを前記識別プロバイダに送信するステップとを有する、請求項1乃至4のいずれかに記載の方法。
  6. 前記生体認証マッチングの結果から得られる情報に基づき、前記ユーザがユーザ所望のサービスにアクセスするために認証されるか否かを決定するステップを有する、請求項1乃至のいずれかに記載の方法。
  7. 前記少なくとも1つの限定パラメータを送信するステップが、前記所望のサービスのプロバイダから得られる少なくとも1つの限定パラメータを送信するステップを有する、請求項2乃至のいずれかに従属させときの請求項に記載の方法。
  8. 生体認証入力手段と、処理及び通信回路とを有する電子デバイスであって、通信ネットワークにおける前記電子デバイスに対してユーザを認証するよう構成される、電子デバイスにおいて、前記回路が、
    前記ユーザの生体認証特徴を得、
    前記電子デバイスの少なくとも1人のプライマリユーザを特定する情報をソーシャルネットワーキングサービスに送信し、
    前記少なくとも1人のプライマリユーザと社会的関係を持つ人のグループのユーザ識別子のリストを前記ソーシャルネットワーキングサービスから受信し、
    前記ユーザ識別子のリストに対応する人の生体認証特徴のリストを識別プロバイダから受信し、
    前記ユーザの生体認証特徴と前記生体認証特徴のリストに含まれる生体認証特徴との生体認証マッチング処理からの結果を特定する情報を得るよう構成され、
    前記結果が、前記ユーザが前記電子デバイスに対して認証されるか否かを示す、電子デバイス。
  9. 処理ユニットにおいて実行されるとき、請求項1乃至のいずれかに記載の方法を実行するソフトウェア命令を有するコンピュータプログラム。
JP2011514181A 2008-06-20 2009-06-17 改良された生体認証及び識別 Active JP5514200B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP08158651 2008-06-20
EP08158651.3 2008-06-20
PCT/IB2009/052579 WO2009153742A2 (en) 2008-06-20 2009-06-17 Improved biometric authentication and identification

Publications (2)

Publication Number Publication Date
JP2011525656A JP2011525656A (ja) 2011-09-22
JP5514200B2 true JP5514200B2 (ja) 2014-06-04

Family

ID=41434506

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011514181A Active JP5514200B2 (ja) 2008-06-20 2009-06-17 改良された生体認証及び識別

Country Status (7)

Country Link
US (1) US8572397B2 (ja)
EP (1) EP2291978B1 (ja)
JP (1) JP5514200B2 (ja)
KR (1) KR101613233B1 (ja)
CN (1) CN102067555B (ja)
ES (1) ES2607218T3 (ja)
WO (1) WO2009153742A2 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130007149A1 (en) * 2011-02-22 2013-01-03 Harris Scott C Social network with secret statuses and Verifications
US9141779B2 (en) * 2011-05-19 2015-09-22 Microsoft Technology Licensing, Llc Usable security of online password management with sensor-based authentication
US9100453B2 (en) * 2011-10-08 2015-08-04 Broadcom Corporation Social device security in a social network
JP5891421B2 (ja) * 2012-01-23 2016-03-23 パナソニックIpマネジメント株式会社 センターサーバ、インターホンシステムおよび来訪者報知方法
CN102665215B (zh) * 2012-05-04 2014-12-03 重庆邮电大学 一种基于社交网络的智能手机轻型安全认证方法及系统
US8959358B2 (en) 2012-05-08 2015-02-17 Qualcomm Incorporated User-based identification system for social networks
KR101292326B1 (ko) * 2012-11-22 2013-07-31 (주)원더피플 인간관계 정보를 이용하여 사용자를 인증하는 방법 및 서버
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9396320B2 (en) 2013-03-22 2016-07-19 Nok Nok Labs, Inc. System and method for non-intrusive, privacy-preserving authentication
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
DE102014100463A1 (de) * 2014-01-16 2015-07-16 Bundesdruckerei Gmbh Verfahren zum Identifizieren eines Benutzers unter Verwendung eines Kommunikationsgerätes
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US10291610B2 (en) * 2015-12-15 2019-05-14 Visa International Service Association System and method for biometric authentication using social network
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
KR102397812B1 (ko) 2016-08-23 2022-05-13 비자 인터네셔널 서비스 어소시에이션 로컬 저장된 생체인식 인증 데이터의 원격 사용
US10931676B2 (en) 2016-09-21 2021-02-23 Fyfo Llc Conditional delivery of content over a communication network including social sharing and video conference applications using facial recognition
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US10091195B2 (en) * 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
EP3410330B1 (en) * 2017-05-31 2021-07-21 Mastercard International Incorporated Improvements in biometric authentication
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
CN110321758B (zh) * 2018-03-29 2024-03-15 斑马智行网络(香港)有限公司 生物特征识别的风险管控方法及装置
JP6699828B2 (ja) * 2018-07-26 2020-05-27 株式会社応用電子 認証システム
US12041039B2 (en) 2019-02-28 2024-07-16 Nok Nok Labs, Inc. System and method for endorsing a new authenticator
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
US12126613B2 (en) 2021-09-17 2024-10-22 Nok Nok Labs, Inc. System and method for pre-registration of FIDO authenticators

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088802A (en) * 1997-06-04 2000-07-11 Spyrus, Inc. Peripheral device with integrated security functionality
US6003135A (en) * 1997-06-04 1999-12-14 Spyrus, Inc. Modular security device
US6928547B2 (en) * 1998-07-06 2005-08-09 Saflink Corporation System and method for authenticating users in a computer network
US7961917B2 (en) 1999-02-10 2011-06-14 Pen-One, Inc. Method for identity verification
JP3755342B2 (ja) * 1999-06-09 2006-03-15 三菱電機株式会社 データ複合識別装置
JP3825222B2 (ja) * 2000-03-24 2006-09-27 松下電器産業株式会社 本人認証装置および本人認証システムならびに電子決済システム
US20020112177A1 (en) * 2001-02-12 2002-08-15 Voltmer William H. Anonymous biometric authentication
IES20020190A2 (en) * 2002-03-13 2003-09-17 Daon Ltd a biometric authentication system and method
JP4374904B2 (ja) * 2003-05-21 2009-12-02 株式会社日立製作所 本人認証システム
US20050181618A1 (en) * 2004-02-17 2005-08-18 Northrop Grumman Space & Mission Systems Corporation Polymer via etching process
WO2005089291A2 (en) * 2004-03-15 2005-09-29 Yahoo Inc. Search system and methods with integration of user annotations from a trust network
JP2008502071A (ja) 2004-06-09 2008-01-24 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ バイオメトリック・テンプレートの保護および特徴処理
JP4492945B2 (ja) * 2004-07-07 2010-06-30 ソニー・エリクソン・モバイルコミュニケーションズ株式会社 ソーシャルネットワークサービスシステム、サーバ、およびソーシャルネットワークサービス提供方法
JP4652833B2 (ja) * 2005-01-31 2011-03-16 富士通株式会社 個人認証装置および個人認証方法
JP2007052720A (ja) * 2005-08-19 2007-03-01 Fujitsu Ltd 生体認証による情報アクセス方法及び生体認証による情報処理システム
US8433983B2 (en) * 2005-09-29 2013-04-30 Koninklijke Philips Electronics N.V. Secure protection of biometric templates
JP2007142834A (ja) * 2005-11-18 2007-06-07 Ikuya Yamada ネットワークと連携した相手検出方法および装置
US20080082667A1 (en) 2006-09-28 2008-04-03 Microsoft Corporation Remote provisioning of information technology
JP2008108035A (ja) * 2006-10-25 2008-05-08 Fujitsu Ltd 生体認証のためのシステム、クライアント、サーバ、その制御方法及び制御プログラム
JP2008134786A (ja) 2006-11-28 2008-06-12 Hitachi Omron Terminal Solutions Corp 認証システム及び認証装置及び認証方法
JP5012092B2 (ja) * 2007-03-02 2012-08-29 富士通株式会社 生体認証装置、生体認証プログラムおよび複合型生体認証方法

Also Published As

Publication number Publication date
ES2607218T3 (es) 2017-03-29
KR20110020921A (ko) 2011-03-03
CN102067555A (zh) 2011-05-18
US20110093942A1 (en) 2011-04-21
WO2009153742A2 (en) 2009-12-23
EP2291978B1 (en) 2016-10-05
US8572397B2 (en) 2013-10-29
KR101613233B1 (ko) 2016-04-18
WO2009153742A3 (en) 2010-04-22
JP2011525656A (ja) 2011-09-22
EP2291978A2 (en) 2011-03-09
CN102067555B (zh) 2014-11-05

Similar Documents

Publication Publication Date Title
JP5514200B2 (ja) 改良された生体認証及び識別
US11068575B2 (en) Authentication system
US11271926B2 (en) System and method for temporary password management
US10735407B2 (en) System and method for temporary password management
TWI717728B (zh) 身份校驗、登錄方法、裝置及電腦設備
US9491155B1 (en) Account generation based on external credentials
US9473494B2 (en) Access credentials using biometrically generated public/private key pairs
US20130298215A1 (en) Single sign-on user registration for online or client account services
US11044244B2 (en) Authenticating devices via one or more pseudorandom sequences and one or more tokens
CN110768968A (zh) 基于可验证声明的授权方法、装置、设备及系统
US20140053251A1 (en) User account recovery
US9576135B1 (en) Profiling user behavior through biometric identifiers
JP6742907B2 (ja) 識別および/または認証のシステムおよび方法
US9697346B2 (en) Method and apparatus for identifying and associating devices using visual recognition
US20220014509A1 (en) Systems and methods for securing login access
US11176238B2 (en) Credential for a service
Houhamdi et al. Identity identification and management in the internet of things
WO2021255821A1 (ja) 認証サーバ、顔画像更新勧告方法及び記憶媒体
JP2017060097A (ja) 継承システム、サーバ装置、端末装置、継承方法及び継承プログラム
US20240106823A1 (en) Sharing a biometric token across platforms and devices for authentication
Houhamdi et al. User Identification Algorithm based-on Devices Recognition

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120612

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131022

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140227

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140328

R150 Certificate of patent or registration of utility model

Ref document number: 5514200

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250