知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6774580
(24)【登録日】2020年10月6日
(45)【発行日】2020年10月28日
(54)【発明の名称】バイオメトリックテンプレートセキュリティおよびキー生成
(51)【国際特許分類】
G06T 7/00 20170101AFI20201019BHJP
G06F 21/32 20130101ALI20201019BHJP
G06F 21/62 20130101ALI20201019BHJP
H04L 9/32 20060101ALI20201019BHJP
【FI】
G06T7/00 510D
G06F21/32
G06F21/62 309
H04L9/00 673D
【請求項の数】36
【全頁数】36
(21)【出願番号】特願2020-8027(P2020-8027)
(22)【出願日】2020年1月22日
(62)【分割の表示】特願2018-52486(P2018-52486)の分割
【原出願日】2014年9月16日
(65)【公開番号】特開2020-74183(P2020-74183A)
(43)【公開日】2020年5月14日
【審査請求日】2020年1月22日
(31)【優先権主張番号】61/878,588
(32)【優先日】2013年9月16日
(33)【優先権主張国】US
(31)【優先権主張番号】61/902,911
(32)【優先日】2013年11月12日
(33)【優先権主張国】US
(31)【優先権主張番号】14/454,148
(32)【優先日】2014年8月7日
(33)【優先権主張国】US
【早期審査対象出願】
(73)【特許権者】
【識別番号】516076717
【氏名又は名称】アイベリファイ インコーポレイテッド
(74)【代理人】
【識別番号】100078282
【弁理士】
【氏名又は名称】山本 秀策
(74)【代理人】
【識別番号】100113413
【弁理士】
【氏名又は名称】森下 夏樹
(74)【代理人】
【識別番号】100181674
【弁理士】
【氏名又は名称】飯田 貴敏
(74)【代理人】
【識別番号】100181641
【弁理士】
【氏名又は名称】石川 大輔
(74)【代理人】
【識別番号】230113332
【弁護士】
【氏名又は名称】山本 健策
(72)【発明者】
【氏名】レザ アール. デラクシャニ
(72)【発明者】
【氏名】ビカス ゴッテムックラ
(72)【発明者】
【氏名】サシ カンス サリパッレ
(72)【発明者】
【氏名】ケイシー ヒューレット
【審査官】
新井 則和
(56)【参考文献】
【文献】
特開2012−256272(JP,A)
【文献】
特開2003−216584(JP,A)
【文献】
特表2007−500910(JP,A)
【文献】
特開平04−306096(JP,A)
【文献】
米国特許出願公開第2011/0123072(US,A1)
【文献】
特開2009−026235(JP,A)
【文献】
米国特許出願公開第2002/0120592(US,A1)
【文献】
韓国公開特許第10−2011−0076375(KR,A)
【文献】
韓国公開特許第10−2011−0065139(KR,A)
【文献】
大木 哲史 外3名,Fuzzy Fingerprint Vault Schemeによるバイオメトリック暗号のロック情報作成手法,情報処理学会論文誌 Vol.50 No.9,日本,社団法人情報処理学会,2009年 9月,第50巻 第9号,pp. 2077-2087
【文献】
Thi Hanh Nguyen et al.,A Fingerprint Fuzzy Vault Scheme Using A Fast Chaff Point Generation Algorithm,2013 IEEE International Conference on Signal Processing, Communication and Computing(ICSPCC 2013),IEEE,2013年
(58)【調査した分野】(Int.Cl.,DB名)
G06T 7/00
G06F 21/32
G06F 21/62
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
コンピュータに実装された方法であって、
1つ以上の画像を受信することと、
前記受信された画像に基づいて、複数の着目点を識別することと、
1つ以上の実記述子を各着目点に関連付けることであって、各実記述子は、対応する着目点を包囲する1つ以上の局所を記述する、ことと、
デバイス特有シグネチャを用いて、前記実記述子のうちの1つ以上をスクランブリングすることであって、前記スクランブリングすることは、前記デバイス特有シグネチャを用いることにより、(a)前記1つ以上の実記述子を改変するためのソルト付与プロセスと、(b)(a)において改変された前記1つ以上の実記述子の座標のシード変調並べ替えとをシードすることを含む、ことと、
前記複数の着目点に基づいて、複数の難読化データ点を生成することと、
前記複数の難読化データ点および前記複数の着目点のうちの少なくとも1つの部分集合を用いて、キーを生成しエンコードすることと、
前記複数の着目点と前記複数の難読化データ点と前記デバイス特有シグネチャとに基づいて、難読化されたテンプレートを作成することと、
前記難読化されたテンプレートを記憶することと
を含む、方法。
1つ以上の画像を受信することと、
前記受信された画像に基づいて、複数の着目点を識別することと、
1つ以上の実記述子を各着目点に関連付けることであって、各実記述子は、対応する着目点を包囲する1つ以上の局所を記述する、ことと、
デバイス特有シグネチャを用いて、前記実記述子のうちの1つ以上をスクランブリングすることであって、前記スクランブリングすることは、前記デバイス特有シグネチャを用いることにより、(a)前記1つ以上の実記述子を改変するためのソルト付与プロセスと、(b)(a)において改変された前記1つ以上の実記述子の座標のシード変調並べ替えとをシードすることを含む、ことと、
前記複数の着目点に基づいて、複数の難読化データ点を生成することと、
前記複数の難読化データ点および前記複数の着目点のうちの少なくとも1つの部分集合を用いて、キーを生成しエンコードすることと、
前記複数の着目点と前記複数の難読化データ点と前記デバイス特有シグネチャとに基づいて、難読化されたテンプレートを作成することと、
前記難読化されたテンプレートを記憶することと
を含む、方法。
【請求項2】
前記複数の難読化データ点は、前記複数の着目点の空間分布と前記複数の難読化データ点の空間分布とが実質的に類似するように生成される、請求項1に記載の方法。
【請求項3】
前記難読化されたテンプレート内のどの点が前記着目点であるかの記録を破棄することをさらに含む、請求項1に記載の方法。
【請求項4】
前記複数の難読化データ点のうちの1つ以上は、前記複数の着目点のうちの1つ以上によってタグ付けされ、前記キーを生成しエンコードすることは、前記タグ付けされた難読化データ点および前記複数の着目点のうちの少なくとも1つの部分集合を用いることを含む、請求項1に記載の方法。
【請求項5】
前記複数の着目点のうちの1つ以上は、前記複数の着目点のうちの1つ以上によってタグ付けされ、前記キーを生成しエンコードすることは、前記タグ付けされた難読化データ点および前記タグ付けされた複数の着目点のうちの少なくとも1つの部分集合を用いることを含む、請求項4に記載の方法。
【請求項6】
前記タグ付けされた難読化データ点の数は、前記タグ付けされた着目点の数よりも大きい、請求項5に記載の方法。
【請求項7】
前記部分集合内の各点は、前記複数の着目点のうちの異なる1つに基づいて決定される、請求項1に記載の方法。
【請求項8】
前記画像は、バイオメトリック像を含む、請求項1に記載の方法。
【請求項9】
前記画像は、眼の領域の画像を含み、各眼領域画像は、それぞれの眼領域の血管系のビューを含み、前記着目点は、血管の着目点を含む、請求項8に記載の方法。
【請求項10】
1つ以上の合成記述子を各難読化データ点に関連付けることをさらに含み、各合成記述子は、前記実記述子との統計的類似性を含む、請求項1に記載の方法。
【請求項11】
1つ以上の第2の画像を受信することと、
前記受信された第2の画像に基づいて、第2の複数の着目点を識別することと、
前記第2の複数の着目点に基づいて、確認テンプレートを作成することと、
前記確認テンプレートと前記難読化されたテンプレートとを比較することにより、複数の一致している着目点を識別することと、
前記複数の一致している着目点に基づいて、ユーザを認証することと
をさらに含む、請求項10に記載の方法。
前記受信された第2の画像に基づいて、第2の複数の着目点を識別することと、
前記第2の複数の着目点に基づいて、確認テンプレートを作成することと、
前記確認テンプレートと前記難読化されたテンプレートとを比較することにより、複数の一致している着目点を識別することと、
前記複数の一致している着目点に基づいて、ユーザを認証することと
をさらに含む、請求項10に記載の方法。
【請求項12】
前記比較することは、前記実記述子および前記合成記述子のうちの1つ以上に基づいて、前記複数の一致している着目点を識別することを含む、請求項11に記載の方法。
【請求項13】
前記実記述子および前記合成記述子の次元性を低減させることをさらに含む、請求項11に記載の方法。
【請求項14】
前記比較することは、次元性を低減させられた1つ以上の記述子に基づいて、前記複数の一致している着目点を識別することを含む、請求項11に記載の方法。
【請求項15】
前記スクランブリングすることは、前記デバイス特有シグネチャを用いて、前記実記述子のうちの1つ以上および前記合成記述子のうちの1つ以上を等長でスクランブリングすることを含む、請求項11に記載の方法。
【請求項16】
前記比較することは、前記スクランブリングされた記述子のうちの1つ以上に基づいて、前記複数の一致している着目点を識別することを含む、請求項15に記載の方法。
【請求項17】
前記複数の一致している着目点の少なくとも部分集合に基づいて、キーをデコードすることをさらに含む、請求項11に記載の方法。
【請求項18】
各着目点は、複数の近傍タイルのうちのそれぞれのタイル内に配置される、請求項1に記載の方法。
【請求項19】
1つ以上のコンピュータを備えているシステムであって、前記1つ以上のコンピュータは、
1つ以上の画像を受信することと、
前記受信された画像に基づいて、複数の着目点を識別することと、
1つ以上の実記述子を各着目点に関連付けることであって、各実記述子は、対応する着目点を包囲する1つ以上の局所を記述する、ことと、
デバイス特有シグネチャを用いて、前記実記述子のうちの1つ以上をスクランブリングすることであって、前記スクランブリングすることは、前記デバイス特有シグネチャを用いることにより、(a)前記1つ以上の実記述子を改変するためのソルト付与プロセスと、(b)(a)において改変された前記1つ以上の実記述子の座標のシード変調並べ替えとをシードすることを含む、ことと、
前記複数の着目点に基づいて、複数の難読化データ点を生成することと、
前記複数の難読化データ点および前記複数の着目点のうちの少なくとも1つの部分集合を用いて、キーを生成しエンコードすることと、
前記複数の着目点と前記複数の難読化データ点と前記デバイス特有シグネチャとに基づいて、難読化されたテンプレートを作成することと、
前記難読化されたテンプレートを記憶することと
を含む動作を行うようにプログラムされている、システム。
1つ以上の画像を受信することと、
前記受信された画像に基づいて、複数の着目点を識別することと、
1つ以上の実記述子を各着目点に関連付けることであって、各実記述子は、対応する着目点を包囲する1つ以上の局所を記述する、ことと、
デバイス特有シグネチャを用いて、前記実記述子のうちの1つ以上をスクランブリングすることであって、前記スクランブリングすることは、前記デバイス特有シグネチャを用いることにより、(a)前記1つ以上の実記述子を改変するためのソルト付与プロセスと、(b)(a)において改変された前記1つ以上の実記述子の座標のシード変調並べ替えとをシードすることを含む、ことと、
前記複数の着目点に基づいて、複数の難読化データ点を生成することと、
前記複数の難読化データ点および前記複数の着目点のうちの少なくとも1つの部分集合を用いて、キーを生成しエンコードすることと、
前記複数の着目点と前記複数の難読化データ点と前記デバイス特有シグネチャとに基づいて、難読化されたテンプレートを作成することと、
前記難読化されたテンプレートを記憶することと
を含む動作を行うようにプログラムされている、システム。
【請求項20】
前記複数の難読化データ点は、前記複数の着目点の空間分布と前記複数の難読化データ点の空間分布とが実質的に類似するように生成される、請求項19に記載のシステム。
【請求項21】
前記動作は、前記難読化されたテンプレート内のどの点が前記着目点であるかの記録を破棄することをさらに含む、請求項19に記載のシステム。
【請求項22】
前記複数の難読化データ点のうちの1つ以上は、前記複数の着目点のうちの1つ以上によってタグ付けされ、前記キーを生成しエンコードすることは、前記タグ付けされた難読化データ点および前記複数の着目点のうちの少なくとも1つの部分集合を用いることを含む、請求項19に記載のシステム。
【請求項23】
前記複数の着目点のうちの1つ以上は、前記複数の着目点のうちの1つ以上によってタグ付けされ、前記キーを生成しエンコードすることは、前記タグ付けされた難読化データ点および前記タグ付けされた複数の着目点のうちの少なくとも1つの部分集合を用いることを含む、請求項22に記載のシステム。
【請求項24】
前記タグ付けされた難読化データ点の数は、前記タグ付けされた着目点の数よりも大きい、請求項23に記載のシステム。
【請求項25】
前記部分集合内の各点は、前記複数の着目点のうちの異なる1つに基づいて決定される、請求項19に記載のシステム。
【請求項26】
前記画像は、バイオメトリック像を含む、請求項19に記載のシステム。
【請求項27】
前記画像は、眼の領域の画像を含み、各眼領域画像は、それぞれの眼領域の血管系のビューを含み、前記着目点は、血管の着目点を含む、請求項26に記載のシステム。
【請求項28】
前記動作は、1つ以上の合成記述子を各難読化データ点に関連付けることをさらに含み、各合成記述子は、前記実記述子との統計的類似性を含む、請求項19に記載のシステム。
【請求項29】
前記動作は、
1つ以上の第2の画像を受信することと、
前記受信された第2の画像に基づいて、第2の複数の着目点を識別することと、
前記第2の複数の着目点に基づいて、確認テンプレートを作成することと、
前記確認テンプレートと前記難読化されたテンプレートとを比較することにより、複数の一致している着目点を識別することと、
前記複数の一致している着目点に基づいて、ユーザを認証することと
をさらに含む、請求項28に記載のシステム。
1つ以上の第2の画像を受信することと、
前記受信された第2の画像に基づいて、第2の複数の着目点を識別することと、
前記第2の複数の着目点に基づいて、確認テンプレートを作成することと、
前記確認テンプレートと前記難読化されたテンプレートとを比較することにより、複数の一致している着目点を識別することと、
前記複数の一致している着目点に基づいて、ユーザを認証することと
をさらに含む、請求項28に記載のシステム。
【請求項30】
前記比較することは、前記実記述子および前記合成記述子のうちの1つ以上に基づいて、前記複数の一致している着目点を識別することを含む、請求項29に記載のシステム。
【請求項31】
前記動作は、前記実記述子および前記合成記述子の次元性を低減させることをさらに含む、請求項29に記載のシステム。
【請求項32】
前記比較することは、次元性を低減させられた1つ以上の記述子に基づいて、前記複数の一致している着目点を識別することを含む、請求項29に記載のシステム。
【請求項33】
前記スクランブリングすることは、前記デバイス特有シグネチャを用いて、前記実記述子のうちの1つ以上および前記合成記述子のうちの1つ以上を等長でスクランブリングすることを含む、請求項29に記載のシステム。
【請求項34】
前記比較することは、前記スクランブリングされた記述子のうちの1つ以上に基づいて、前記複数の一致している着目点を識別することを含む、請求項33に記載のシステム。
【請求項35】
前記動作は、前記複数の一致している着目点の少なくとも部分集合に基づいて、キーをデコードすることをさらに含む、請求項29に記載のシステム。
【請求項36】
各着目点は、複数の近傍タイルのうちのそれぞれのタイル内に配置される、請求項19に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の引用)本願は、米国特許出願第14/454,148号(2014年8月7日出願、名称「Biometric Template Security and Key Generation」)に基づく優先権および利益を主張し、該特許出願は、米国仮特許出願第61/878,588号(2013年9月16日出願、名称「Image Detection,Authentication,and Information Hiding」)、米国仮特許出願第61/902,911号(2013年11月12日出願、名称「Detection,Authentication,and Information Hiding」)に基づく優先権および利益を主張する。上記出願の全体は、参照により本明細書に引用される。
【0002】
本開示は、概して、バイオメトリック認証に関し、より具体的には、バイオメトリックテンプレートをセキュア化し、バイオメトリックテンプレートを使用して、キーをエンコードおよびデコードするためのシステムおよび方法に関する。
【背景技術】
【0003】
多くの場合、所有物またはリソースへのアクセスを特定の個人に制限することが、望ましい。バイオメトリックシステムは、個人の識別を認証し、リソースへのアクセスの許可または拒否のいずれかを行うために使用されることができる。例えば、虹彩スキャナが、バイオメトリックセキュリティシステムによって使用され、個人の虹彩内の独特の構造に基づいて、個人を識別することができる。登録プロセスの際等に個人から捕捉されるバイオメトリックデータは、後に個人の識別を確認するために使用される、テンプレートとして記憶されることができる。テンプレートは、例えば、認証サーバ上に遠隔で、またはカメラを伴う携帯電話等、バイオメトリック読み取り値を捕捉する能力を有するデバイス上にローカルに記憶されることができる。しかしながら、テンプレートをそのオリジナル形態またはそこからオリジナルテンプレートが導出され得る形態に維持することは、テンプレートのセキュリティが損なわれるであろうリスクをもたらす。
【発明の概要】
【課題を解決するための手段】
【0004】
バイオメトリックテンプレートをセキュア化し、バイオメトリックテンプレートを使用して、キーをエンコードおよびデコードするためのシステムおよび方法が、開示される。一側面では、コンピュータ実装方法は、1つ以上の画像を受信することと、受信された画像に基づいて、複数の着目点を識別することと、着目点に基づいて、複数の難読化データ点を生成することと、着目点および難読化データ点に基づいて、難読化されたテンプレートを生成することと、難読化されたテンプレートを記憶することとを含む。本側面の他の実施形態は、対応するシステムおよびコンピュータプログラムを含む。
【0005】
一実装では、難読化データ点は、着目点の空間分布および難読化データ点の空間分布が実質的に類似するように、生成される。
【0006】
別の実装では、本方法はさらに、1つ以上の実記述子を各着目点に関連付けることを含み、各実記述子は、対応する着目点を包囲する1つ以上の局所を記述する。
【0007】
さらなる実装では、本方法はさらに、難読化されたテンプレート内のどの点が着目点であるかの記録を破棄することを含む。
【0008】
さらに別の実装では、本方法はさらに、難読化データ点および着目点のうちの少なくとも1つの部分集合を使用して、キーをエンコードすることを含む。部分集合内の各点は、着目点のうちの異なる1つに基づいて、決定されることができる。
【0009】
別の実装では、画像は、バイオメトリック像を備えている。画像は、眼の領域の画像を備えていることができ、各眼領域画像は、それぞれの眼領域の血管系のビューを備えている。着目点は、血管の着目点を備えていることができる。
【0010】
一実装では、本方法はさらに、1つ以上の合成記述子を各難読化データ点に関連付けることを含み、各合成記述子は、実記述子との統計的類似性を備えている。
【0011】
別の実装では、本方法はさらに、1つ以上の第2の画像を受信することと、受信された第2の画像に基づいて、第2の複数の着目点を識別することと、第2の複数の着目点に基づいて、確認テンプレートを作成することと、確認テンプレートと難読化されたバイオメトリックテンプレートを比較し、複数の一致している着目点を識別することと、一致している着目点に基づいて、ユーザを認証することとを含む。比較することは、実記述子および合成記述子のうちの1つ以上に基づいて、一致している着目点を識別することを含むことができる。
【0012】
さらなる実装では、本方法はさらに、実記述子および合成記述子の次元性を低減させることを含む。比較することは、次元性が低減された記述子のうちの1つ以上に基づいて、一致している着目点を識別することを含むことができる。
【0013】
さらなる実装では、本方法はさらに、実記述子および合成記述子を等長でスクランブリングすることを含む。比較することはさらに、スクランブリングされた記述子の1つ以上に基づいて、一致している着目点を識別することを含むことができる。
【0014】
さらに別の実装では、本方法はさらに、一致している着目点の少なくとも部分集合に基づいて、キーをデコードすることを含む。
【0015】
本明細書に説明される主題の1つ以上の実装の詳細は、付随の図面および以下の説明に記載される。本主題の他の特徴、側面、および利点は、説明、図面、および請求項から明白となるであろう。本願明細書は、例えば、以下の項目も提供する。
(項目1)
コンピュータ実装方法であって、
1つ以上の画像を受信することと、
前記受信された画像に基づいて、複数の着目点を識別することと、
前記着目点に基づいて、複数の難読化データ点を生成することと、
前記着目点および前記難読化データ点に基づいて、難読化されたテンプレートを生成することと、
前記難読化されたテンプレートを記憶することと
を含む、方法。
(項目2)
前記難読化データ点は、前記着目点の空間分布および前記難読化データ点の空間分布が実質的に類似するように、生成される、項目1に記載の方法。
(項目3)
前記難読化されたテンプレート内のどの点が前記着目点であるかの記録を破棄することをさらに含む、項目1に記載の方法。
(項目4)
前記難読化データ点および前記着目点のうちの少なくとも1つの部分集合を使用して、キーをエンコードすることをさらに含む、項目1に記載の方法。
(項目5)
前記部分集合内の各点は、前記着目点のうちの異なる1つに基づいて、決定される、項目4に記載の方法。
(項目6)
前記画像は、バイオメトリック像を備えている、項目1に記載の方法。
(項目7)
前記画像は、眼の領域の画像を備え、各眼領域画像は、それぞれの眼領域の血管系のビューを備え、前記着目点は、血管の着目点を備えている、項目6に記載の方法。
(項目8)
1つ以上の実記述子を各着目点に関連付けることをさらに含み、各実記述子は、対応する着目点を包囲する1つ以上の局所を記述する、項目1に記載の方法。
(項目9)
1つ以上の合成記述子を各難読化データ点に関連付けることをさらに含み、各合成記述子は、前記実記述子との統計的類似性を備えている、項目8に記載の方法。
(項目10)
1つ以上の第2の画像を受信することと、
前記受信された第2の画像に基づいて、第2の複数の着目点を識別することと、
前記第2の複数の着目点に基づいて、確認テンプレートを作成することと、
前記確認テンプレートを前記難読化されたテンプレートと比較し、複数の一致している着目点を識別することと、
前記一致している着目点に基づいて、ユーザを認証することと
をさらに含む、項目9に記載の方法。
(項目11)
前記比較することは、前記実記述子および合成記述子のうちの1つ以上に基づいて、前記一致している着目点を識別することを含む、項目10に記載の方法。
(項目12)
前記実記述子および前記合成記述子の次元性を低減させることをさらに含む、項目10に記載の方法。
(項目13)
前記比較することは、前記次元性低減記述子のうちの1つ以上に基づいて、前記一致している着目点を識別することを含む、項目12に記載の方法。
(項目14)
前記実記述子および前記合成記述子を等長でスクランブリングすることをさらに含む、項目10に記載の方法。
(項目15)
前記比較することは、前記スクランブリングされた記述子のうちの1つ以上に基づいて、前記一致している着目点を識別することを含む、項目14に記載の方法。
(項目16)
前記一致している着目点の少なくとも部分集合に基づいて、キーをデコードすることをさらに含む、項目10に記載の方法。
(項目17)
1つ以上のコンピュータを備えているシステムであって、前記コンピュータは、
1つ以上の画像を受信することと、
前記受信された画像に基づいて、複数の着目点を識別することと、
前記着目点に基づいて、複数の難読化データ点を生成することと、
前記着目点および前記難読化データ点に基づいて、難読化されたテンプレートを生成することと、
前記難読化されたテンプレートを記憶することと
を含む動作を行うようにプログラムされている、システム。
(項目18)
前記難読化データ点は、前記着目点の空間分布および前記難読化データ点の空間分布が実質的に類似するように、生成されている、項目17に記載のシステム。
(項目19)
前記動作は、前記難読化されたテンプレート内のどの点が前記着目点であるかの記録を破棄することをさらに含む、項目17に記載のシステム。
(項目20)
前記動作は、前記難読化データ点および前記着目点のうちの少なくとも1つの部分集合を使用して、キーをエンコードすることをさらに含む、項目17に記載のシステム。
(項目21)
前記部分集合内の各点は、前記着目点のうちの異なる1つに基づいて、決定されている、項目20に記載のシステム。
(項目22)
前記画像は、バイオメトリック像を備えている、項目17に記載のシステム。
(項目23)
前記画像は、眼の領域の画像を備え、各眼領域画像は、前記それぞれの眼領域の血管系のビューを備え、前記着目点は、血管の着目点を備えている、項目22に記載のシステム。
(項目24)
前記動作は、1つ以上の実記述子を各着目点に関連付けることをさらに含み、各実記述子は、対応する着目点を包囲する1つ以上の局所を記述する、項目17に記載のシステム。
(項目25)
前記動作は、1つ以上の合成記述子を各難読化データ点に関連付けることをさらに含み、各合成記述子は、前記実記述子との統計的類似性を備えている、項目24に記載のシステム。
(項目26)
前記動作は、
1つ以上の第2の画像を受信することと、
前記受信された第2の画像に基づいて、第2の複数の着目点を識別することと、
前記第2の複数の着目点に基づいて、確認テンプレートを作成することと、
前記確認テンプレートを前記難読化されたテンプレートと比較し、複数の一致している着目点を識別することと、
前記一致している着目点に基づいて、ユーザを認証することと
をさらに含む、項目25に記載のシステム。
(項目27)
前記比較することは、前記実記述子および合成記述子のうちの1つ以上に基づいて、前記一致している着目点を識別することを含む、項目26に記載のシステム。
(項目28)
前記動作は、前記実記述子および前記合成記述子の次元性を低減させることをさらに含み、前記比較することは、前記次元性低減記述子のうちの1つ以上に基づいて、前記一致している着目点を識別することを含む、項目26に記載のシステム。
(項目29)
前記動作は、前記実記述子および前記合成記述子を等長でスクランブリングすることをさらに含み、前記比較することは、前記スクランブリングされた記述子のうちの1つ以上に基づいて、前記一致している着目点を識別することを含む、項目26に記載のシステム。
(項目30)
前記動作は、前記一致している着目点の少なくとも部分集合に基づいて、キーをデコードすることをさらに含む、項目26に記載のシステム。
【0016】
図面中、同様の参照文字は、概して、異なる図全体を通して、同一部分を指す。また、図面は、必ずしも、正確な縮尺ではなく、代わりに、概して実装の原理の例証に強調が置かれる。以下の説明では、種々の実装は、以下の図面を参照して説明される。
【図面の簡単な説明】
【0017】
【発明を実施するための形態】
【0018】
白眼内の個人の可視血管系の固有の特徴は、個人を識別または認証するために使用されることができる。例えば、ユーザの白眼の画像が、ユーザを認証し、リソースへのユーザアクセスを許可または拒否するために、取得および分析され、眼の特徴をバイオメトリックテンプレートと比較することができる。白眼内の血管の撮像およびパターンマッチングならびに特徴抽出およびマッチングのための解決策の実装は、2013年2月5日発行の米国特許第8,369,595号「Texture Features for Biometric Authentication」、および2014年5月9日出願の米国特許出願第14/274,385号「Feature Extraction and Matching for Biometric Authentication」に説明され、その全体は、参照することによって本明細書に組み込まれる。
【0019】
例えば、個人の可視血管系の独特の構造は、個人の白眼の画像のテクスチャ特徴に反映されることができる。画像は、テクスチャ分析のための白眼上の領域を識別するためにセグメント化されることができ、これらの領域内の個人血管系のテクスチャ特徴の記述子を決定するために、一組のフィルタが適用されることができる。フィルタ出力から導出される記述子のベクトルは、記述子ベクトルに組み立てられることができる。次いで、認証または識別動作中に、ユーザに対して決定される記述子ベクトルは、ユーザと登録された個人との間の一致の可能性を決定するために、登録された個人に対して記憶されたバイオメトリック記録からの対応する記述子ベクトルと比較されることができる。
【0020】
本明細書に説明されるテンプレートセキュリティおよびキー生成技法の種々の実装は、多数または十分な数の「チャフ」、すなわち、判別不能雑音要素を使用する、バイオメトリックテンプレートのステガノグラフィ難読化に基づく。デバイス特定のスクランブリング空間内における確認成功に応じて識別されるチャフ要素の部分集合が、エンコードされた秘密をもたらす方程式系を解くために利用される。これらのトークンは、高エントロピかつ取り消し可能であり、ユーザの生物学的特徴に関して何も明らかにしない。
【0021】
図1は、セキュアなバイオメトリックテンプレートを生成し、ユーザ確認を行い、バイオメトリックテンプレートに基づいて、秘密キーをエンコードおよびデコードするための局所的なシステムの一実装を図示する。ユーザデバイス100は、画像センサ130と、プロセッサ140と、メモリ150と、バイオメトリックハードウェアおよび/またはソフトウェア160と、システムバスとを含むことができ、システムバスは、メモリ150を含む種々のシステム構成要素をプロセッサ140に連結する。ユーザデバイス100は、限定ではないが、スマートフォン、スマートウォッチ、スマートグラス、タブレットコンピュータ、ポータブルコンピュータ、テレビ、ゲームデバイス、音楽プレーヤ、携帯電話、ラップトップ、パームトップ、スマートまたはダム端末、ネットワークコンピュータ、携帯情報端末、ワイヤレスデバイス、情報機器、ワークステーション、ミニコンピュータ、メインフレームコンピュータ、または本明細書に説明される機能性を実行することができる、汎用コンピュータもしくは特殊目的ハードウェアデバイスとして動作させられる他のコンピューティングデバイスを含むことができる。
【0022】
バイオメトリックハードウェアおよび/またはソフトウェア160は、画像センサ130による画像捕捉に関する動作を行うための画像処理モジュール162を含む。例えば、画像処理モジュール162は、ユーザ110の眼の画像に対してセグメント化および強調を行い、血管構造の分離を補助することができる。テンプレートセキュリティモジュール166は、血管系像に基づいて、バイオメトリックテンプレートを作成し、本明細書に説明されるように、テンプレートに対して種々の難読化およびスクランブリング動作を行い、有用性を維持しながら、テンプレートセキュリティを増加させる。確認モジュール174は、バイオメトリック読み取り値の捕捉に応じて形成されたバイオメトリック確認テンプレートと以前に記憶された登録テンプレートとの間でマッチング動作を行うことによって、ユーザ110の識別を検証する。キーモジュール178は、バイオメトリック登録テンプレートに基づいて、ユーザ110のための秘密キーをエンコードし、確認テンプレートを使用して、ユーザの識別の確認成功に応じて、キーをデコードすることができる。
【0023】
本明細書に説明されるシステムの実装は、適切なハードウェアまたはソフトウェアを使用することができる。例えば、システムは、Microsoft Windows(登録商標)オペレーティングシステム、Apple OS X(登録商標)オペレーティングシステム、Apple iOS(登録商標)プラットフォーム、Google AndroidTMプラットフォーム、Linux(登録商標)オペレーティングシステム、およびUNIX(登録商標)オペレーティングシステムの他のバリアント等のオペレーティングシステムを起動可能なソフトウェア上で実行することができる。システムは、メモリ150内に記憶され、プロセッサ140上で実行される複数のソフトウェア処理モジュール(例えば、画像処理モジュール162、テンプレートセキュリティモジュール166、確認モジュール174、およびキーモジュール178)を含むことができる。例証として、プログラムモジュールは、機械言語またはオブジェクトコードに変換され、プロセッサまたはプロセッサが命令を実行することを可能にする、1つ以上の好適なプログラミング言語の形態であることができる。ソフトウェアは、好適なプログラミング言語またはフレームワークで実装される、スタンドアロンアプリケーションの形態であることができる。
【0024】
加えて、または代替として、機能性の一部または全部は、遠隔で、クラウド内で、またはサービスとしてのソフトウェア(software−as−a−service)を介して、行われることができる。例えば、ある機能(例えば、画像処理、テンプレート作成、テンプレートマッチング等)は、1つ以上の遠隔サーバまたはユーザデバイスと通信する他のデバイス上で行われることができる。遠隔機能性は、十分なメモリ、データ記憶、および処理能力を有し、サーバクラスオペレーティングシステム(例えば、Oracle(登録商標)Solaris(登録商標)、GNU/Linux(登録商標)、およびMicrosoft(登録商標)Windows(登録商標)系のオペレーティングシステム)を起動させる、サーバクラスコンピュータ上で実行することができる。サーバとユーザデバイスとの間の通信は、例えば、標準的電話回線、LANまたはWANリンク(例えば、Tl、T3、56kb、X.25)、ブロードバンド接続(ISDN、フレームリレー、ATM)、ワイヤレスリンク(802.11(Wi−Fi)、Bluetooth(登録商標)、GSM(登録商標)、CDMA等)等の媒体を経由して生じることができる。他の通信媒体も考えられる。ネットワークは、TCP/IPプロトコル通信およびウェブブラウザによって行われるHTTP/HTTPS要求を伝えることができ、ユーザデバイスとサーバとの間の接続は、そのようなTCP/IPネットワークを経由して通信されることができる。他の通信プロトコルも、考えられる。
【0025】
本明細書に説明される技法の方法ステップは、入力データに基づいて動作することによって、1つ以上のコンピュータプログラムを実行し、機能を果たし、出力を生成する1つ以上のプログラマブルプロセッサによって行われることができる。方法ステップはまた、特殊目的論理回路、例えば、FPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路)によって行われることができ、モジュールは、そのようなものとして実装されることができる。モジュールは、コンピュータプログラムおよび/またはその機能性を実装するプロセッサ/特殊回路の一部を指すことができる。
【0026】
コンピュータプログラムの実行のために好適なプロセッサは、一例として、汎用および特殊目的マイクロプロセッサの両方を含む。概して、プロセッサは、読み取り専用メモリまたはランダムアクセスメモリまたは両方から命令およびデータを受信するであろう。コンピュータの必須要素は、命令を実行するためのプロセッサと、命令およびデータを記憶するための1つ以上のメモリデバイスである。コンピュータプログラム命令およびデータを具現化するために好適な情報担体は、一例として、半導体メモリデバイス、例えば、EPROM、EEPROM、およびフラッシュメモリデバイス、磁気ディスク、例えば、内部ハードディスクまたは取り外し可能なディスク、光磁気ディスク、ならびにCD−ROMおよびDVD−ROMディスクを含む、あらゆる形態の不揮発性メモリを含む。1つ以上のメモリは、プロセッサによって実行されると、モジュールおよび本明細書に説明される他の構成要素を形成し、構成要素に関連付けられた機能性を果たす命令を記憶することができる。プロセッサおよびメモリは、特殊目的論理回路によって補完されるか、またはその中に組み込まれることができる。
【0027】
システムはまた、分散型コンピューティング環境において実践されることができ、タスクは、通信ネットワークを通してリンクされる遠隔処理デバイスによって行われる。分散型コンピューティング環境では、プログラムモジュールは、メモリ記憶デバイスを含む、ローカルおよび遠隔両方のコンピュータ記憶媒体内に位置することができる。本明細書に説明されるもの以外のタイプのシステムハードウェアおよびソフトウェアもまた、デバイスの容量および要求されるデータ処理能力の量に応じて、使用されることができる。システムはまた、前述のもの等の仮想化されたオペレーティングシステムを実行し、本明細書に説明されるもの等のハードウェアを有する1つ以上のコンピュータ上で動作する、1つ以上の仮想機械上に実装されることができる。
【0028】
また、システムおよび方法の実装は、1つ以上の製造品上もしくはその中に具現化される1つ以上のコンピュータ読み取り可能なプログラムとして提供されることができることに留意されたい。プログラム命令は、データ処理装置による実行のために好適な受信機装置への伝送のために、情報をエンコードするために生成される、人工的に生成される伝搬信号、例えば、機械生成電気、光学、または電磁信号上にエンコードされることができる。コンピュータ記憶媒体は、コンピュータ読み取り可能な記憶デバイス、コンピュータ読み取り可能な記憶基板、ランダムまたはシリアルアクセスメモリアレイもしくはデバイス、またはそれらのうちの1つ以上の組み合わせであるか、またはその中に含まれることができる。さらに、コンピュータ記憶媒体は、伝搬信号ではないが、コンピュータ記憶媒体は、人工的に生成される伝搬信号内にエンコードされるコンピュータプログラム命令の源またはその宛先であることができる。コンピュータ記憶媒体はまた、1つ以上の別個の物理的構成要素もしくは媒体(例えば、複数のCD、ディスク、または他の記憶デバイス)である、またはその中に含まれることができる。
【0029】
図2を参照すると、一実装では、バイオメトリックテンプレートをセキュア化する方法が、ユーザの眼の画像、および/またはそれの1つ以上の領域を受信することによって開始する(ステップ202)。画像は、画像センサ130を有するデバイス100、例えば、正面に面したカメラを伴う電話またはタブレットを使用して捕捉されることができる。複数の画像が受信される場合、単一画像が、バイオメトリック識別のためにその好適性に基づいて自動的に選択されることができるか、または、画像の一部もしくは全部が自動的に選択され、平均化されて単一の組み合わせ画像をもたらすことができる(ステップ206)。強膜、すなわち、白眼を含む画像領域は、画像処理モジュール162によって、セグメント化、鮮明化、コントラスト強調され、および/またはいくつかの青色−緑色層でフィルタ処理され、白眼内で可視の血管パターンの最適描写を提供する(ステップ212)。
【0030】
ステップ218では、血管パターンの描写に基づいて、テンプレートセキュリティモジュール166が、血管の着目点を識別し、ステップ222において、モジュール166は、各局所において一連の画像記述子を対応する血管の着目点に関連付け、各着目点に対して、場所−記述子構造を作成する。この段階において、眼画像は、破棄されることができる(ステップ226)。結果として生じる組の血管の着目点とそれらの関連付けられた局所画像記述子は、基本バイオメトリックテンプレートを形成する(ステップ230)。テンプレートが、ユーザを登録するために意図されている場合、テンプレートは、以下に説明されるように、プライベートかつセキュアな様式においてデバイス100上にローカルに保存されることができる(例えば、メモリ150内に)。
【0031】
バイオメトリックテンプレートをセキュア化するために、テンプレートセキュリティモジュール166は、場所−記述子構造を、いくつかの生成された「チャフ」要素、すなわち、難読化データ点内に「秘匿」し、それらは、同様に構造化され、実際の血管の着目点と統計的に判別不能であり得る(ステップ234)。ステップ242において、チャフ対非チャフ(すなわち、真正血管の着目点)要素の全記録を破棄する前に、各血管の着目点は、チャフ点(または、別の血管の着目点)を「タグ」付けする(ステップ238)。具体的には、キーモジュール178が、血管の着目点をセキュアな一方向関数に入力し、タグ付けされるべきチャフ点(または、血管の着目点)を出力として指定する。これらのタグ付けされた点は、以下にさらに説明されるように、長いランダムなキーの線形投影を取り入れ、エンコードし(ステップ250)、かつユーザの識別の確認成功に応じてキーをデコードするキーモジュール178によって使用されることができる。
【0032】
これらのチャフデリゲート型動作(chaff−deligated operation)はさらに、さらなるプライバシー、セキュリティ、および取り消し可能性のために、種々の機能性(サロゲートバイオメトリック確認およびキー生成等)を真正テンプレート要素から切り離す。テンプレートセキュリティモジュール166はさらに、ステップ246において、例えば、統計的脱相関および正規化、および/または、デバイス特定の等長ソルト付与(isometric salting)および次元リシャッフリングにより、記述子をスクランブリングすることによって、チャフ難読化テンプレートをセキュア化し、それによって、特に、デバイス100から伝送される場合、生物測定的に導出された情報があらわにされないことを確実にする。確認モジュール174は、この独特のデバイス特有かつスクランブリングされた空間における識別確認の間に、バイオメトリックテンプレートマッチングを行い、さらに別の層のセキュリティ、プライバシー、および取り消し可能性を局所的マッチングおよびキー生成ルーチンに追加することができる。ステップ254では、チャフで難読化され、スクランブリングされた記述子テンプレートは、デバイス上に局所的に記憶される(または、他の実装では、テンプレートは、遠隔で記憶される)。
【0033】
ユーザの識別の確認の間、同一または類似の画像捕捉、セグメント化、および強調ステップが、画像処理モジュール162によって実施される。同様に、血管の着目点が、登録中に使用された独特のデバイスおよびソフトウェア特有シグネチャを使用して、テンプレートセキュリティモジュール166によって、見出され、その局所記述子が、計算され、次いで、スクランブリングされ(ステップ258)、それによって、確認テンプレートを作成する(ステップ262)。これは、登録および確認が同一デバイスおよびソフトウェアインスタンス上においてのみ生じ得ることを確実にする。ステップ266において、確認モジュール174によって、スクランブリングされた空間内で完了される、マッチングプロセスは、真正確認成功の場合、確認テンプレートを難読化されたテンプレートと比較することによって、最小数の真正血管の着目点を識別する。識別された真正血管の着目点は、順に、登録プロセスにおいて前もってタグ付けされた十分な大きさの情報担持チャフ点の部分集合をあらわにする(ステップ268)。この最小数の真正点、したがって、タグ付けされたチャフ点は、キーエンコード方程式系と同じ順序である。キーモジュール178は、次いで、タグ付けされたチャフ点からの情報を使用して、方程式系を解き、デコードされたキーを得ることができる(ステップ272)。一実装では、キーは、不変512ビット長であって、少なくとも64ビットのエントロピを有する。
【0034】
本明細書に提示される種々のシステムおよび方法は、バイオメトリック眼像および可視血管系から導出される着目点を利用するが、開示される技法の他の実装および用途も、検討されることを理解されたい。例えば、他の実装では、特徴および/または着目点は、指紋または顔スキャン等の他のバイオメトリック像データ内で識別される。類似の撮像処理手技が、像内の着目特徴/点を強調および分離するために行われることができ、特徴/点が識別されると、本明細書に説明されるものと同一または実質的に同様の難読化、スクランブリング、確認、および/またはキーエンコード/デコード技法が、適用されることができる。さらに、本明細書に提示される種々のシステムおよび方法は、バイオメトリック撮像および認証と併せて使用される必要はないことに留意されたい。むしろ、本明細書に開示される技法は、他のタイプの画像、ビデオフレーム等にも等しく適用可能である。
【0035】
(登録)(画像捕捉)
一実装では、1つ以上の眼画像(および/または眼領域画像)は、720p、1080p、または同等/より高い分解能等、本明細書に説明される画像処理機能性のために好適な画質において、画像センサを用いて捕捉される。画像センサは、概して、携帯電話およびタブレットにおいて見出される、正面に面したカメラ等、例えば、1メガ画素またはより優れた画像センサであることができる。ユーザの眼は、例えば、ヴィオラジョーンズ法を使用して検出されることができ、ユーザの視線方向は、リアルタイムで全て検出されることができる。安定した視線および少なくとも片眼の検出に応じて、ユーザの眼の画像のスタックが、捕捉される。
【0036】
入力スタックから空間的に位置合わせされた画像は、センサ雑音を低下させるために平均化され、最良の結果として生じる平均化されたショットは、無参照画質測定基準を使用して選択される。低または無光条件において、デバイス画面の背面照明と、前述の平均化に起因するマルチフレーム雑音低減とは、本明細書に説明されるバイオメトリック処理動作が実施されることを可能にする。一実施例では、容認可能量の相違(例えば、動きおよび瞬きに起因する)を超えないいくつかの連続画像フレーム(例えば、3つ、4つ、5つ、またはそれ以上)が、リアルタイムで位置合わせされ、平均化される。画像スタックは、ラプラシアンガウシアン(LoG)ベースの品質測定基準((鮮明化画像−オリジナル)の標準偏差)を使用してランク付けされることができ、上位n個は、さらなる処理のために留保される(例えば、確認のために最大2つ、登録のために最大4〜6つ)。
【0037】
(セグメント化および強調)画像捕捉(および、行われる場合、平均化)に続いて、選択された画像は、緑色−青色スペクトルで血管をより良好に表すようにカラー処理され、以下、着目領域(ROI)と称される眼の白色部分の輪郭を描くようにセグメント化されることができる。一実装では、画像は、複数の円錐断面曲線を眼瞼および角膜縁境界に合わせることによってセグメント化される。セグメント化有効性が、チェックされる(例えば、マスクは、ROIの境界ボックスの少なくとも40%であるべきである)。一連の血管分布強調画像フィルタ処理、鮮明化、および適応コントラスト操作が、より特定のバイオメトリックテンプレートのために必要とされる改善された画像を提供する。例えば、画像の緑色(無赤色)層は、LoGにオリジナルを掛けたもののコントラスト制限付適応ヒストグラム均一化(CLAHE)ならびに特別に調整された偶数ガボールフィルタバンクを使用して、強調されることができる。強調された画像の一連のマルチスケールかつ特別にフィルタ処理された適応物は、次いで、次のステップのために使用されることができる。
【0038】
(着目点検出および特徴抽出)各ROIに対して、着目点の場所(xi、yi)が、識別され、その数は、画質に応じて、典型的には、100〜400に及ぶ。図3は、眼300の血管系315の識別される着目点320を伴う、例示的眼内画像を描写する。着目点320は、2014年5月9日に出願された米国出願第14/274,385号「Feature Extraction and Matching for Biometric Authentication」(その全体は、参照することによって本明細書に組み込まれる)に説明されるもの等の血管点検出器を使用して識別されることができる。着目点を検出する他の方法も、可能性である。
【0039】
次に、血管の着目点場所(xi、yi)の周囲の局所画像パッチを統計的に(但し、正確または一意にではない)記述する、一組の【数101】
記述子ベクトルが、算出される。画像パッチ記述子の例は、限定ではないが、高速化ロバスト特徴(SURF)、マルチ半径拡張型パターンローカルバイナリパターン(HLBP)(のヒストグラム)、およびマルチ半径拡張型パターン中心対称ローカルバイナリパターン(H CS LBP)(のヒストグラム)を含む。各ROIに対して、検出された血管の着目点VPDを含む、未処理(非保護)バイオメトリックテンプレートTVPDが、次いで、以下のように定義される。
【数102】
【0040】
確認時、主張される識別に対して記憶された登録テンプレートが、提示される確認テンプレートに対してマッチングされる。一実装では、類似性スコアが、登録テンプレートと確認テンプレートとをまたがる、ある最小数の要素の対もまた必要とする事前に設定された閾値を上回る場合、主張者は、容認され、一致の決定が発行される。眼画像は、テンプレートの作成後、直ちに破棄され、登録テンプレートのみ記憶され得ることに留意されたい。
【0041】
(難読化およびエンコード)(チャフ点の追加およびタグ付け)
一実装では、バイオメトリックテンプレートをセキュア化の初期ステップは、TVPDからの記憶されるべき登録テンプレート要素を、真正血管の着目点と同じまたは実質的に類似するように見える多数の人工的に合成された要素間に秘匿することを含む。これらの合成された要素は、本明細書では、「チャフ」と称される。一実装では、チャフの数は、実テンプレート要素n(TVPD)の数の約3〜7倍である。しかしながら、他の倍数も、考えられる。例えば、より高いチャフ密度は、さらにより高いレベルの難読化を提供することができる(但し、さらなる算出負荷を犠牲にする)。
【0042】
チャフ要素は、全データ点、すなわち、チャフおよび非チャフ(すなわち、実際の血管の着目点)の空間分布が、均一であるか、または血管の着目点と同一もしくは実質的に類似するパターンまたは分布に従うことを確実にするアルゴリズムによって挿入されることができる。一実施例では、(xi、yi)の局所空間密度は、所与の面積の微小区域またはタイルに至るまでほぼ同一であり、記述子のコンテンツまたは空間関係は、空間粒子内において実非チャフ(実際の血管の着目点)からチャフをあらわにしない。図4Aは、約3倍のチャフ対非チャフ配置に関する、チャフ点(正方形)内に埋め込まれた図3からの血管の着目点(円形)を描写する。図4Bは、図3からのオリジナル眼画像上に重ねられた図4Aからの難読化点の可視化である。しかしながら、眼画像は、この難読化段階に先立って、かつTVPDの計算直後に破棄され得ることに留意されたい。
【0043】
各テンプレート点tiは、実(血管の着目点)か合成(チャフ)かにかかわらず、2つのタイプの情報、すなわち、場所(x、y)およびパッチ統計Vを含むことができる。チャフデータ点の判別不能性のためのチャフ注入テンプレートの空間均一性は、いくつかの手段によって達成されることができる。一実装では、以下の2ステップチャフ(x、y)場所生成プロセスが、使用される。ステップ1(粗チャフ配置)では:登録テンプレートの空間スパンにわたる典型的タイリング(例えば、4×5)が与えられると、タイルあたりの合計テンプレート点(チャフおよび非チャフ)の平均を均等にするために必要なチャフの第1の部分を配置することから開始し、目標数は、任意のタイルにおいて、VPD点の最大数を上回る。タイルあたりの血管の着目点VPD+チャフ点密度目標の約50%に到達するまで継続する。この粗チャフ化ステップのために、全データ点(チャフまたは血管の着目点)間に初期最小距離要件(例えば、3画素)を使用する。ステップ2(細チャフ配置)では:チャフの残りの挿入を継続し、タイルあたりの所望の均一血管の着目点VPD+チャフ点密度目標の100%を達成するまで、最小距離閾値を低減させる(例えば、1画素まで)。
【0044】
一実装では、1.2MPカメラによって作成されるデータ点場所に対する(x、y)範囲の低端は、約80×100画素+/−20である。しかしながら、この数は、カメラの視野、被写体距離、および他の要因に基づいて、変化し得ることに留意されたい。本方法および他の代替方法の詳細は、以下の「サンプルチャフ生成およびタグ付け関数実装」と題されたセクションに説明される。
【0045】
チャフ配置に続いて、チャフ記述子ベクトル【数103】
が、真正血管の着目点VPDに関連付けられた記述子と同様に合成される。すなわち、チャフ点に割り当てられる記述子のコンテンツは、実着目点VPDのために導出されるものと統計的に類似し、それと判別不能であるように形成される。チャフ記述子と実血管記述子の前述の判別不能性は、種々の様式において達成されることができる。一実装では、登録中に種々のチャフ記述子を生成するために、小ランダム循環シフトおよび追加の雑音が、その実対応物のものと同一の統計的分布に従うチャフ記述子を得るように、実血管記述子に適用される。これらの特徴は、以下に説明されるように、後に、「スクランブリング」されることができる。
【0046】
登録テンプレート作成時、チャフ点およびその合成記述子は、テンプレートの実VPDスパン部分のように構造化される。【数104】
チャフ注入難読化テンプレートは、したがって、以下によって与えられる(順不同)集合の形態となる。
【数105】
【0047】
「タグ付け」機能は、1つのテンプレート要素の別のものへの一方向マッピングである。具体的には、タグ付け関数は、チャフ難読化テンプレート内のテンプレート点に、そのテンプレートからの所与の任意の他のデータ点を見出す、または「タグ」付けするために使用されることができる。一実装では、タグ付け関数fTは、以下の特性を満たす:(1)そのドメインは、【数106】
を含む:(2)非自明かつ多対一である(または、別様に不可逆的または既知もしくは事実上の逆数を伴わない)(例えば、スクランブリングおよびエンコード/デコード状態において、ならびにタグ付けのために使用され得る、SHA512ハッシュ関数に基づいて):および(3)所与の登録テンプレートにわたって、範囲が、血管の着目点の集合と最小限に交差すること(すなわち、テンプレートの血管の着目点の部分集合内に最小限の自己タグ付けが存在する):
【数107】
【0048】
そのような関数の本実装および代替実装は、「サンプルチャフ生成およびタグ付け関数実装」と題されたセクションに説明される。テンプレートのVPD部分に対する公称値が与えられると、これらのタグ付け関数は、概して、それらの入力時における各血管の着目点あたり、それらの出力時における約1つの点をタグ付けする。一実装では、タグ付け関数は、チャフのキーエンコード部分集合(以下参照)とチャフの信頼サーバシグネチャ担持部分集合(以下の「信頼サーバ機能性」参照)とをタグ付けするために使用されることができる。これらの2つのタグ付け関数は、その範囲においてわずかな重複を含み得る。
【0049】
本明細書に説明されるようなタグ付け関数fKは、テンプレートの実TVPD部分がマップするテンプレート点TK(タグ付け関数の第3の特性を前提とすると、大部分はチャフ)を見出すために使用されることができ、TK=fK(ΤVΡΒ)である。図5は、タグ付けされた点の部分集合(塗り潰された円形および正方形)とともに、図4Aからの実点(円形)および難読化点(正方形)を描写する。随意に、テンプレートの別の類似する(但し、同じではない)部分集合が、設計またはメタパラメータにおける差異だけfKと異なる、第2のタグ付け関数fsを使用してタグ付けされ、随意の信頼サーバ機能性のために使用され得る、TS=fS(TVPD)をもたらすことができる。
【0050】
TKは、次いで、秘密キーをエンコードするために使用されることができる。TVPDは、登録プロセスの間、かつTCHFにおけるその難読化の前のみ既知であることに留意されたい。TVPDの記録は、保持されず、TVPDの部分集合のみ、真正バイオメトリック確認成功の際にあらわにされる。
【0051】
(記述子のスクラングリング)一実装では、次元性を低減させ、マッチングの正確度およびスピードを改善し、脱相関し、したがって、チャフ難読化登録テンプレートの均一性をさらに「平坦化」および強化するために、異なる特徴ベクトル
【数108】
の主成分分析(PCA)投影のための負荷が、大量の代表的訓練集合を使用して事前に計算され、記憶される。次に、チャフ注入テンプレート内の記述子は、スクリーグラフ分析を使用して、それらのオリジナルの説明される変化の有意性(例えば、80%を上回る)を保ちながら、そのオリジナル長さのある割合、例えば、約30%まで低減される。平均減算法後のPCA投影の随意の分散正規化は、全てのその特徴にわたって対角正規化共分散行列を有する、白色化され記憶されるテンプレートを作成する。PCAの特性を与えられると、結果は、マッチングのために必要なほとんどのユークリッド距離情報を保存する。最後に、スクランブリングプロセスが、異なるソフトウェアおよびデバイスハードウェアシグネチャのハッシュを使用して、(a)全記述子に追加されるSHA512導出バイアスベクトルを使用して、PCA短縮特徴を改変するためのソルト付与プロセス(登録および確認テンプレートの両方に対して、登録テンプレートのための保存に先立って)と、(b)結果として生じる特徴ベクトルの座標のシード変調並べ替え(登録テンプレートのための保存に先立って)とをシードすることができる。
【0052】
ロッシーPCA投影に加え、(a)および(b)は両方とも、ユークリッド距離を保存し、ユーザのデバイスに結び付けられたスクランブリングされた空間内でマッチングを行うことを可能にすることに留意されたい。これは、等長(距離保存)かつ取り消し可能なサロゲート空間内のマッチングが、セキュアかつプライベートなバイオメトリックパターンマッチングに重要であるため、特に着目に値する属性であり、かつデバイスおよび真正ユーザの両方が、前述のバイオメトリック認証を成功させるために必要とされるであろうため、2要因認証につながる。マッチング中、記述子のスクランブリング解除が不要である(したがって、露出のリスクを回避する)だけではなく、独特のソフトウェア取り消し可能かつデバイス特定のスクランブリング空間が、バイオメトリック認証アプリケーションの各インストールに対して及ぼされることができる。
【0053】
(キーエンコード)キー生成(すなわち、バイオメトリックマッチの副産物として秘密キーを算出すること)のための拡張テンプレート構造の一実装が、ここで説明される。次数kの線形方程式系があり、その係数は、秘密の数値
【数109】
と見なされると仮定する。確認中、kは、経験的0%誤受入率(FAR)閾値(すなわち、利用可能な最大バイオメトリック眼読み取りデータ集合を使用した、いかなる偽物も受け入れない決定閾値)で動作する、真正ユーザの登録テンプレートと確認テンプレートとの間のマッチングプロセスの成功中に見出される最小数の血管の着目点である。線形方程式系は、順序付けされた組のデータ点が、そのキーを解くために要求されないため、キーをエンコードするために使用されることができる(キーは、その複雑、難解、かつ高エントロピの構造から生じる、眼静脈パターンマッチングの高感度および特有性を前提として正確に解かれる、線形方程式系に直接エンコードされることができる)。
【0054】
したがって、一組のデータ点【数110】
が、キーを構成するk個の未知数を解くために必要とされるk個の方程式の復元につながる真正確認成功によって可能にされる、線形方程式系を一意に解き、エンコードされた秘密の数値ベクトル
【数111】
を読み出すために必要される(キービット列フローの観点から、標準的長さおよび強度をさらに強化するために、SHA512が、パターン予測不能512ビットプライベートキー列を有するように、このキーの演算子バージョンに適用され得る)。復元されるマッチング点の順序、したがって、方程式の順序は、問題ではないことに留意されたい。キー生成情報は、チャフ難読化登録テンプレートの拡張(関数適合のための記述子投影値を伴う)要素の部分集合にわたって内部分散される。チャフ難読化登録テンプレートは、以下TAKと称され、以下のように定義される。
【数112】
式中、(xi、yi)は、TA内の着目およびチャフ点iの場所である。テンプレートの拡張部分は、
【数113】
であり、ベクトルの集団は、次元性において
【数114】
に類似するが、Yの各要素は、k方向ベクトル化関数(以下の「ベクトル化関数」参照)を使用したVからの対応する要素の投影であり、次いで、
【数115】
との内積演算は、前述の方程式系の右側を提供する。(
【数116】
の各要素は、異なる
【数117】
をエンコードすることに留意されたい)。秘密ベクトル
【数118】
(の集合)は、後に、真正ユーザによって、バイオメトリック認証成功に応じて読み出される。前述のプロセスは、以下のエンコードおよびデコードステップを通して説明され、それらのステップは、数値安定性を維持しながら、セキュリティおよびプライバシーを向上させるためのタグ付けおよびベクトル化関数によって可能にされる。
【0055】
(エンコードプロセス)一実装では、キー生成機能性は、判別不能チャフによって難読化されたときでも、登録テンプレートと確認テンプレートとの間に少なくともk個の一致した点をもたらす真正受入成功(真の正確認)に基づく。したがって、k個の未知数を伴うk個の方程式系は、このマッチングプロセスの上に成り立ち、方程式のためのk個のデータ点は、事実上、真正マッチング成功を通してのみ既知となり得、方程式、したがって、キーは、真の一致が生じた場合のみ、一意に解かれることができる。
【0056】
kは、画質およびマッチャ強度の関数であり、いずれかに対する改善に伴って増加されることができること、または、複数のROI/テンプレート(登録および確認バンクからの)と複数の登録テンプレート内の同一のエンコードされたキーをマッチングし、方程式を解法し、秘密キーを復元する前に、見出されたタグ付け点の和集合をとることによって、増加されることができることに留意されたい。
【0057】
一実施例では、経験的FAR=0閾値において収集されたデータ集合にわたる観測を前提として、単一視、単一比較、2−ROIマッチングに対して、k=40である。一致した点は、テンプレートエントリであり、テンプレートエントリは、それらの記述子の近接性を通して、それらの対応する確認対応物と比較された後、かつランダムサンプルコンセンサス(RANSAC)をアフィン変換仮説(または、類似物)とともに使用して、外れ値の拒否後に選択される。そのような一致したテンプレートエントリの数が、kまたはそれより大きい場合、誤受入は、生じない(すなわち、生成または公開される秘密は、観測の境界内のその閾値において、各ロック解除ユーザに対して独特である)。感受性が低いアプリケーションに対して、マッチャが破損または侵害されていないと仮定される場合、マッチャが要求を拒否していることを前提として、キー生成段階における誤受入イベントは進行しないであろうと仮定し(すなわち、マッチスコアが一致した点の数より高い感度および特有性を有すると仮定して、一致した点の数が、kをわずかに下回るが、マッチスコアが一致を示す場合)、より小さいkが、キー生成誤拒否率を低減させるために使用されることができる。
【0058】
キー生成を継続すると、チャフ難読化テンプレート作成時、【数119】
が、もたらされる(TVPD、TS、およびTK間にわずかな重複が存在し得る)。fK(ΤVPΒ)によってタグ付けされたチャフのTK部分集合が、TKのコンテンツおよび線形方程式系を使用して、1つ以上の(ランダム)秘密キー
【数120】
をエンコードする関数(例えば、線形投影)に提供される。VPD部分集合
【数120-1】
からの各タグ付け血管要素あたり(約)1つのタグ付けされた点
【数121】
が存在すると仮定する。キーエンコードプロセスは、全ての異なる記述子集合(例えば、SURF、LBPのヒストグラム等)に対して類似し得るため、プロセスは、1つの一般的タイプのそのような特徴に対して実証されることができる。
【0059】
簡略化されてはいるが、拡張された形態の【数122】
(単一タイプの記述子を使用し、チャフ注入される)を仮定すると、Tは、以下となる。
【数123】
Viの次元性がDである場合、以下のように、秘密キーの行列WD×k=[Wjd]としてD×k個の数値(実数またはその他であり、各行は、異なるキーベクトル
【数124】
と見なされ得る)から成る任意のキー行列Wをエンコードすることができる。
【数124-1】
内の特徴ベクトルViのVPD部分集合の各スカラー要素は、非自明かつ不可逆的ベクトル化関数を使用して、k個の特定の値にベクトル化(分割)される。ベクトル化(スプリッタ)関数は、したがって、以下を行う。
【数125】
【0060】
ベクトル化関数を伴わない簡易バージョンも、可能であり、その場合、D≧k(したがって、Dではなく、各拡張された【数126】
あたり1つのYi)であるとすると、最大次元性Dのキーベクトルは、各
【数127】
の線形組み合わせとして直接エンコードされる。しかしながら、デコードプロセスのためのk個の並置された
【数128】
の行列は、特異であるべきではない。
【0061】
最後に、対応するyi,dが、【数129】
によって
【数130】
(kの長さを伴う秘密キー行列Wの行d)をエンコードする入力vi,dに関連付けられ、追加される。
【0062】
前述の列は、【数131】
拡張
【数132】
を求めるために、記述子/キー集合
【数133】
の全D次元、およびキー生成のためのテンプレートの全n(TK)fk−タグ付け要素に対して繰り返される。次に、Wが、Wcに達するように改変され(わずかな雑音を追加することによって最小限に)、同様の適用が、yi,dを含むその構成要素が、タグ付け、非タグ付け、チャフ、および血管要素にわたって一緒に完全に混合するような完全{yi,d}−拡張Tを求めるために、テンプレートのfk−非タグ付け部分に行われる。複数の偽Wが、もたらされ、各々は、TAKの部分集合(さらなるセキュリティのために推奨されるn(TVPD)数の要素を伴う部分集合)に適用される。
【0063】
前述のプロセスは、不可逆的、すなわち、yi,dを所与とすると、vi,dおよび【数134】
に戻ることができないことに留意されたい(一例を挙げると、
【数135】
およびyd,iの計算は、多対一関数かつ不可逆的であって、さらに、正の真正確認時まで、TAKのどの部分集合が、タグ付けされたデータ、したがって、それを解くためにW−エンコードされたデータを含むかが分からない)。
【0064】
一観測実施例では、k=40(単一視、単一比較、2ROI)の閾値を伴うデータ集合内には、誤受入は、もたらされることはなかった。すなわち、観測限界内では、2人の異なるユーザは、同一キーを生成せず、したがって、エントロピは、表面上、キー長に等しいと思われる。しかしながら、これは、はるかに大量のユーザデータベースに対して、k=40における衝突(誤受入)が生じる可能性がないことを含意するものではなく、その場合、単に、kを増加させてもよい(但し、より高い閾値を与えると、おそらくより高い誤拒否率を犠牲にする)。経験的誤受入率評価に関して、地球上の全70億人の人口を使用して、最大わずか約36ビットに対するバイオメトリックキー空間の一意性を実験的に保証することができる(log2(7×10e9)=36.03)。前述を前提として、kに対するある任意の厳密な閾値では、TAKのチャフ誘発難読化のレベルは、最終的に、キーエントロピに対する限界を構成するであろう。
【0065】
エンコードされたキーは、Wまたは対応する{Yi}のコンテンツの変更から、ベクトル化関数の変更まで、複数の異なる方法において、変更、置換、または取り消されることができる。タグ付け関数およびチャフコンテンツもまた、前述を達成するために変更されることができる。これらの方法のうちのいくつかは、登録時に適用可能である一方、その他は、随時、適用されることができる。例えば、随時、各ベクトルキー【数136】
は、iにわたりyd,iの少なくともn(TA)−k+1個の要素に摂動を与えることによって、例えば、小雑音ベクトルを{Yi}の全てのd番目の要素に追加することによって、プライベート、セキュア、かつ便宜的方法において、取り消しまたは変更されることができる。これは、その新しいまたは古いコンテンツをあらわにせずに、解
【数137】
を変更し、解は、真正ユーザの確認成功によって可能になるTkの少なくともk個の要素の発見に応じてのみ既知となり得る。複数の登録テンプレートおよびROIの場合、同一キーWが、各テンプレートにおいてエンコードされることができ、その結果、最良/組み合わせ比較から公開されるキーは、同一のままである。タグ付けされたテンプレート要素は、これらの登録にわたって異なるので、対応する{Vi、Yi}もまた、異なり、したがって、同一のエンコードされたWを有する複数のテンプレートの比較から生じる攻撃ベクトルは、存在しないことに留意されたい。
【0066】
(確認およびデコード)一実装では、バイオメトリックテンプレート確認は、登録プロセスに関して前述のものと同一または実質的に同一様式における、画像捕捉、セグメント化および強調、着目点検出および特徴抽出、ならびに記述子スクランブリングから開始する。一方、チャフの追加およびタグ付けならびにキーエンコードは、登録プロセスにのみ適用される。
【0067】
(マッチング)マッチング中、記憶された登録テンプレートによって表されるような主張される識別は、登録テンプレートを同一スクランブリング空間内の確認テンプレートに対してマッチングすることによって、確認されることができる。成功する場合、登録テンプレートからの少なくともk個の血管の着目点が、正の真正一致の結果として、正しく見出される。これは、キーエンコードの逆であるが、それに類似する、キーデコードプロセスを可能にする。デコードは、Wを算出するためのkまたはそれより大きい濃度(cardinality)を伴うTAKの部分集合の発見を可能にする。
【0068】
テンプレート間攻撃を抑制するために、機略に優れた攻撃者が、デバイス、そのコード、および論理を侵害し、複数の登録テンプレートへのアクセスを得て、それらをクロスマッチングしようとする場合、攻撃は、互のマッチング距離内に異なるテンプレートにわたりチャフコンテンツ(または、登録テンプレートに追加されるべきそれぞれのチャフ記述子を合成するときの、以前のテンプレートの任意の有意な部分)を有することによって、阻止されることができる。
【0069】
テンプレートマッチングアルゴリズムの一実装は、以下のように簡単に説明される。(1)画像ピラミッドが、マルチスケールマッチングプロセスのために形成される。(2)着目点が、血管点検出器を使用して見出される。(3)特徴が、前述の点の周囲のマルチ半径LBP(ローカルバイナリパターン)、マルチ半径CS−LBP(中心対称LBP)、SURF、H−LBP(LBPのヒストグラム)、およびH−CS−LBP(CS−LBPのヒストグラム)を使用して、計算される。結果は、未処理登録テンプレート(前述のように、一組の(x、y)血管点座標に加え、それらの周囲の画像パッチのための記述子ベクトル)として保存される。(4)記述子が、事前に計算されたPCA負荷を使用して、短縮および脱相関され、等長でスクランブリングされる(デバイス特定のソルト付与および次元のリシャッフリング)。マッチングが、このサロゲートプライベート空間内で行われる。(5)登録および確認テンプレート点間の最近傍マッチが、加重和を使用して、登録−確認点対の周囲の全記述子のユークリッド距離に基づいて、見出される。候補対は、以下の外れ値拒否ステップに渡される。(6)アフィン/無反射相似仮説を伴うRANSACは、仮定される幾何学的変換仮定ならびに関連変換行列に従って、外れ値を見つけるために行われる。(7)最終マッチスコアが、外れ値が除外された登録−確認一致対のxおよびy座標、見出された対の数(k)、およびRANSACから復元されたスケールおよび回転(または、合理的値以外の識別からの変換行列の偏差を合計する他の測定基準)の相関の非線形関数として見出される。
【0070】
(キーデコード)一実装では、確認テンプレートは、最初に、真正マッチ成功に応じて、TVPDのk個以上の元を見つけるために、拡張および難読化された登録テンプレートに対してマッチングされる。各バイオメトリックトランザクションに対して複数のROIまたは登録/確認テンプレートを使用する場合、k個以上の一致した点にヒットした第1の比較が、エンコードされたWを算出するために使用されることができる。より多くのkを達成するために、そのような複数の比較を通して見出される、タグ付けされ、拡張された登録要素の和集合をとることもできる。
【0071】
次に、タグ付け関数fkを使用して、TKからの点のうちのk個以上の点が、識別される。これらの点は、設計上、W−エンコード関数fencode上にある。k個の点のみ、結果として生じる方程式系の厳密解のために必要とされ、したがって、確認成功プロセスからの第1のk個(または、復元されたTKの任意の他のk個の元)が、使用されることができる。TKの前述のk個の元の各々に対して、それぞれのvi,dが、以下の「ベクトル化関数」に説明されるものと同一ベクトル化(スプリッタ)関数を使用して、k個の構成要素にベクトル化される。それらの対応するYd=[yi,d]に沿って、k−方向にベクトル化されたvi,d(i=1,2,・・・k)は、以下のように、それらの対応するエンコードされたキー【数138】
を見出すための十分な情報を有する。すなわち、各行dに対して、vi,dのk個のサンプル(i=1,2,・・・kにわたって反復される)が、前述のベクトル化関数φによって、k方向に分割され、[φ]k×kを生じさせる。キーベクトル
【数139】
が、次いで、以下のエンコードファクトを使用して見出される。
【数140】
したがって、以下となる。
【数141】
再び、k個のデータ点が、方程式解法のために使用されるため、順序は、問題ではなく、kの濃度を伴うTKの任意の部分集合で十分となるであろうことに留意されたい。前述の簡易バージョンを使用するデコードは、同様の論理に従うが、ベクトル化関数を伴わない。
【0072】
初期セキュリティ分析が、ここで説明される。以下は、テンプレートが解読され、バイオメトリック認証コードが逆コンパイルされた、侵害されたデバイスを仮定する。秘密キー担持チャフTK(約n(TVPD)個の元を伴う)が、テンプレート要素の残りと判別不能であるとすると、TKの元を表す当たりくじを引く可能性は、約n(TK)/n(TA)である。全ての要求されるk個の点を推測するための総当たり攻撃は、盗まれ、暗号化されていない登録テンプレートおよびプログラム論理を仮定して方程式系を解くためのそのような推測の独立し、同じく分布された性質に加え、成功手段の可用性を考慮すると、ほぼ、【数142】
である。何故なら:
【数143】
【0073】
したがって、有効エントロピは、以下のように計算され得る。【数144】
例として、k=40の最小真正一致点と、1/5(血管の着目点あたり約4つのチャフ点)の合計テンプレート点に対する典型的数のチャフの比率とを用いると、エントロピは、92ビットより大きい。
【0074】
系の容量、すなわち、キーWのサイズは、D×k×Lビットであって、式中、Lは、Wをエンコードするために使用される数系の長さ(ビット単位)であることに留意されたい。例えば、SURF−128特徴(SURFの128次元バージョン)のみを使用し、かつWを表すための符号なしの64ビット整数フォーマット(切り捨て誤差を抑制するためにLSBを破棄した後、63有効ビット)を使用すると、キー容量(長さ)は、128×36×63=290,304ビット、すなわち、約35KBである。しかしながら、これは、前述で計算されるような系のエントロピではない。キービット列フローの観点から、標準的長さおよび強度を強化するために、SHA512は、各エンコードされるキーWDに適用されることができる。したがって、WDのサイズにかかわらず、パターン予測不能な512ビットプライベートキー列が存在する。
【0075】
(サンプルチャフ生成およびタグ付け関数実装)タグ付けおよびチャフの使用は、続く機能性を、血管系によって及ぼされた(すでにスクランブリングおよび難読化された)実テンプレート点および記述子から切り離し、さらなるセキュリティ、プライバシー、および取り消し可能性を提供する。以下は、チャフ、その生成、およびタグ付けの種々の実装に関するより具体的詳細を提供する。
【0076】
(チャフの空間配置)空間的に均一または別様に血管着目点と判別不能な「チャフ注入」は、記憶されたテンプレートを保護するためのいくつかの方法で達成されることができる(概して、確認テンプレートとしての登録テンプレートは、マッチング中に瞬間的に生成される)。一実施例では、実(非チャフ)着目点間の最小(外れ値が拒否される)空間距離が、決定される。チャフ点は、任意の2つの点(チャフおよび/または血管の着目点)間の距離がほぼ同一最小距離となるまで挿入される。高密度にチャフ注入されたテンプレートは、複数の前線(front)により強固なセキュリティをもたらすであろう。不都合な点は、チャフ難読化テンプレートのより大きいサイズであり、これは、マッチャを減速させ得る。
【0077】
別のあまり極端ではない実装は、2ステップチャフ挿入である。より具体的には、登録テンプレートの空間スパンにわたる典型的タイリングを所与として、粗チャフ挿入として知られる、このステップのための最小距離要件(例えば、3画素)を使用して、チャフの第1の部分の配置から開始する(面積微粒子、すなわち、チャフおよび非チャフあたりの合計テンプレート点の平均をほぼ等しくするために必要とされる)。プロセスは、最小距離閾値を緩和する(例えば、1画素まで)ことによって、所望のチャフと非チャフの比率、典型的には、3x対7xを達成するまで、チャフの残りの挿入を継続する(細チャフ挿入ステップ)。
【0078】
チャフ配置のためのさらなる方法は、既存のテンプレートを使用し、チャフを空の場所/近傍に挿入しながら、非(または、ほぼ非)血管タイルの上に血管タイルにおける血管点の空間パターンを複製し(ある場合には、わずかな自然に生じた幾何学的歪曲を伴う)、タイル境界におけるチャフが投入されたテンプレートのx、y座標の空間分布の連続性ならびにタイルあたりの全体的均一空間密度を観察することを含む。
【0079】
さらに別の方法は、最近傍ドットが近すぎる場合、L−システム(ツリー状構造のためのリンデンマイヤー文法)を使用して、同一血管ツリー状構造に従うことを含む。次いで、チャフが、タイル境界における連続性を観察しながら、テンプレートにわたる均一タイル密度に達するまで、L−システム生成空間パターンに従って、あまり血管がないタイルに追加される。
【0080】
(チャフ記述子コンテンツ)一実装では、テンプレート内の記述子特徴ベクトルは、信号として見なされる場合、非エルゴード的プロセスである。チャフ注入された登録テンプレート内の各特徴要素の統計的特性はまた、空間および特徴空間内において、どれがその前後に来るかに関しても、チャフ対非チャフ記述子に対して同一であるべきである。記述子間距離の分布ならびにチャフおよび非チャフ内とそれらにわたるその平均および共分散行列もまた、類似すべきである。前述は、記述子(チャフおよび非チャフ)をゼロ平均および非相関にする、PCA投影によって達成されることができる。前述の境界内では、血管点により近い場所のチャフ記述子は、互に対して一致する可能性が低く、したがって、マッチング正確度が損なわれない(VPD記述子分布特性内に残りながら)ように選定されることができる。チャフ記述子コンテンツを既存の実点記述子から作成すること(例えば、VPDに関連付けられた特徴ベクトルへのわずかな循環シフトとわずかな雑音の適用)に加え、PCA投影およびスクランブリング関数はさらに、チャフと真正記述子との間の任意の差異を平坦化するであろう。スクランブリングは、デバイス特定の様式において、ソルトを付与し、座標を並べ替え、所与の独特のソフトウェアおよびハードウェア環境内においてのみ、スクランブリングされた空間内に、マッチング目的のために、ユークリッド距離を保存し、単一バイオメトリック眼スキャントランザクション中の2要因認証を可能にすることに留意されたい。PCAステップの固有ベクトル投影後の随意の固有値正規化は、さらなるセキュリティのために、全てのその特徴にわたって、識別に近い共分散行列を有する、白色化され、記憶されるテンプレートを作成する。
【0081】
(タグ付け)タグ付け関数は、ハッシュ関数等を使用することによって、多くの異なる方法で実装されることができる。例えば、着目点のx、y座標およびその対応する特徴ベクトルを仮定すると、(1)x、y座標は、それぞれの着目点に対応する局所特徴ベクトルVの最初の8つの要素で追加される。(2)結果はSHA512を用いてハッシュ化される。結果として生じるビットストリングは、64バイトにグループ化される。(3)タグ付けされた(出力)座標を導出するために、2組の列が、全奇数バイト場所を1つの列(Seql、32バイト)および全偶数場所を第2の列(Seq2、32バイト)として見なすことによって、前述のバイトストリングから抽出される。(4)Seql内の全バイトは、タグ付けされたx座標のための単一バイトを得るために、ビットXOR演算される。同様に、Seq2内の全バイトは、タグ付けされたy座標として単一バイトを得るために、XOR演算される。(5)前述の場所にチャフ点が存在する場合、「タグ付け」されるであろう。そうでなく、最近傍チャフが、r個の画素(例えば、1画素)の半径にある場合、選択は、計算された場所に移動し、タグ付けされる。前述のいずれも生じない場合、タグ付けされたチャフ点が、本場所において作成される。SeqlおよびSeq2の異なる再ハッシュ化は、x、y範囲が、0−255を越える場合に実装されることができる。
【0082】
別のアプローチは、タグ付け場所のための数学関数を使用することである。カスケード式に適用される3ステッププロセス(以下のTl、T2、およびT3)を仮定する。入力テンプレート点の(x、y)座標は、以下のように変換される。Tl:
【数145】
T2:
【数146】
xmaxおよびymaxは、チャフが投入されたテンプレート内の空間座標に対する最大値である。
T3:
【数147】
【0083】
タグ付け関数は、バイオメトリック認証アプリケーションの異なるインスタンス化にわたって、挙動を変更するためにカスケード化または再パラメータ化されることができることに留意されたい。チャフ配置は、ROIマスク(より具体的には、個人の眼瞼輪郭を秘匿するために、全ROIマスクの和集合)に限定されることができる。
【0084】
(チャフ場所およびコンテンツ合成のための例示的アルゴリズム)チャフ場所およびコンテンツ合成のためのアルゴリズムの一実装は、以下の通りである。それらのそれぞれの記述子(一般に、HLBP、H CS LBP、およびSURF)に沿ったN個のオリジナル(VPD)点が存在し、サイズR×C画素(式中、Rは、行の数であり、Cは、列の数である)の画像からテンプレートを作成することを検討する。一実装では、チャフおよびタグを計算するためのステップは、以下の通りである。
1.チャフと血管の着目点の「比率」パラメータ(例えば、約3.5対4.5)を定義する。
2.キー生成(キータグ)のために使用される各オリジナル点に対してタグ付けされた点を挿入する。
a.オリジナル点の場所および記述子情報をその入力として受け取る第1のタグ付け関数を使用して、R×Cウィンドウ内にタグ点を生成する
b.タグ付けされた場所が、オリジナル点のものであるかどうかチェックする
i.該当する場合、何もしない
ii.該当しないが、1画素半径内にチャフ点が存在する場合、チャフをタグ付けされた場所に移動させる
iii.その他の場合
1.第1のタグ付け関数から生成される場所にチャフ点を作成する
2.最近傍オリジナル点を使用して、前述の点のための記述子を生成する
(記述子(FineChaffDescrptor):)
3.Server HandShake(ServerTag)のために使用される各オリジナル点に対してタグ付けされた点を挿入する。
a.第2のタグ付け関数をオリジナル点の場所および記述子情報とともに使用して、R×Cウィンドウ内にタグ点を生成する
b.タグ付けされた点場所が、オリジナル点またはKeyTagであるかどうかチェックする
i.該当する場合、何もしない
ii.該当しないが、1画素半径内にチャフ点が存在する場合、チャフをタグ付けされた場所に移動させる
iii.その他の場合
1.第2のタグ付け関数から生成される点を作成する
2.最近傍オリジナル点を使用して、前述の点のための記述子を生成する
(記述子(FineChaffDescrptor):)
4.R×Cを等サイズのk個のタイルに分割する(例えば、4×5タイルおよびR=80、C=100、+/−20に対しては、k=20)。前述の値は、実施例の目的のためのものであり、他の可能な値も考えられることに留意されたい。ある値は、例えば、画像センサ(結果として生じる画像分解能)に基づいて、変化し得る。
5.各タイル内の点の数(Original+KeyTags+ServerTags)を計算し、最大(MaxPoints)を見出す。
6.要求される点を計算し、タイルあたりのタイプを変更する。
a.タイル内の点の数が、MaxPoints/2未満である場合、MaxPoints/2になるまで、CoarseChaffを行い、その後、合計点がMaxPoints+/−5%に等しくなるまで、FineChaffを行う。(本例示的アルゴリズムで使用されるように、+/−X%は、−X〜+Xの範囲内の乱数を指し得る)
b.タイル内の点の数が、MaxPoints/2以上の場合、合計点がMaxPoints+/−5%に等しくなるまで、FineChaffを行う
7.ステップ6において生成されたチャフのランダムな20%(より高いチャフカウントに対して増加され得る)に対して、CaffTagChaffを作成する。
a.第3のタグ付け関数をオリジナル点の場所および記述子情報とともに使用することによって、R×Cウィンドウ内にタグ点を生成する
b.タグ付けされた点場所が、オリジナル点またはKeyTagまたはServerTagまたはChaffであるかどうかチェックする
i.該当する場合、何もしない
ii.該当しないが、1画素半径内にチャフ点が存在する場合、チャフをタグ付けされた場所に移動させる
iii.その他の場合
1.第3のタグ付け関数から生成される点を作成する
2.最近傍オリジナル点記述子(FineChaffDescrptor)を使用して、前述の点のための記述子を生成する
8.(KeyTag+ServerTag+CoarseChaff+FineChaff+CaffTagChaff)/Original点の数が、比率未満である場合、FineChaffを作成する。
(CoarseChaff)
1.タイル内に、全点から少なくとも3画素離れたランダムチャフ点を生成する。
2.CoarseChaffDescrptor:最近傍OriginalDescriptor(OrigDesc)をとる。
3.SURF記述子に対して:
a.NewSURFDescrptor=CircularShift(OrigDesc、+/−30%長)+(0.01%ガウス雑音)
b.(OrigDesc、NewSURFDescrptor)の正規化されたSSDが、<0.1の場合、3.aに進む
4.HLBP記述子に対して:
a.NewHLBPDescrptor=CircularShift(OrigDesc、+/−30%長)+(20%ガウス雑音)
b.(OrigDesc、NewHLBPDescrptor)の正規化されたSSDが、<0.1である場合、4.aに進む
5.HDLBPDescrptorに対して:
a.NewHCSLBPDescrptor=CircularShift(OrigDesc、+/−30%長)+(20%ガウス雑音)
b.(OrigDesc、NewHCSLBPPDescrptor)の正規化されたSSDが、<0.1である場合、5.aに進む
(FineChaff)
1.タイル内に、全点から少なくとも1画素離れたランダム点を生成する。
2.FineChaffDescrptor:最近傍OriginalDescriptor(OrigDesc)をとる。
3.SURF記述子に対して:
3.1.NewSURFDescriptor=CircularShift(OrigDesc、+/−30%長)+(0.01%ガウス雑音)
3.2.(OrigDesc、NewSURFDescriptor)の正規化されたSSDが、<0.2である場合、3.1に進む
4.HLBP記述子に対して:
4.1.NewHLBPDescriptor=CircularShift(OrigDesc、+/−30%長)+(20%ガウス雑音)
4.2.(OrigDesc、NewHLBPDescriptor)の正規化されたSSDが、<0.225である場合、4.1に進む
5.HDLBP記述子に対して:
5.1.NewHCSLBPDescriptor=CircularShift(OrigDesc、+/−30%長)+(20%ガウス雑音)
5.2.(OrigDesc、NewHCSLBPDescriptor)の正規化されたSSDが、<0.225である場合、5.1に進む
【0085】
(ベクトル化関数)vi,d等のスカラーをk方向に分割するための単純ではあるが、セキュアかつ効率的方法は、スカラー(または、その関数)をSHA512等のハッシュ関数に提供し、もたらされるビットストリングのグループを所望の一連の数として使用するものである。ベクトル化関数を使用する理由は、以下の通りである。(1)記述子コンテンツ(例えば、それは、特に、特徴ベクトル内のいくつかの場所に対する所与の数値精度の制約内で、ゼロに非常に近くなり得る)にかかわらず、スパンされた線形方程式系の数値安定性、(2)各ベクトル要素が、それ自身の線形混合方程式線にスパンし得るため、複数のまたはより大きいキーコンテンツのためのより大きい容量、および(3)さらなるセキュリティのために、その記憶された値から単に呼び出されるのではなく、方程式係数が、ランタイム時、テンプレート要素によって計算される必要がある。
【0086】
ベクトル化関数の別の実施例は、以下の通りである。デコードプロセスのための安定した非特異解をもたらす、他の決定論的かつセキュアなベクトル化関数もまた、容認可能である。
【0087】
疑似乱数生成器(PRNG)にvi,dの関数をシードし、k個の疑似乱数の列を作成する。例えば、fmd_num_genによって示される暗号法論的にセキュアなPRNGアルゴリズムを使用して、以下をそれにシードする。【数148】
【0088】
本プロセスにおいて、2つ以上のvi,dを使用し、例えば、さらなる数値安定性および不可逆性のために、vi,d+vi,d+1(またはそれを上回って、事実上、Wの容量の低減を犠牲にして、Dを低下させる)を1つに組み合わせることができる。
【0089】
次に、結果として生じる最初のk個の疑似乱数rnd_seqi、i=1,2,…kをベクトル化された出力としてとる。したがって、ベクトル化関数は、以下となる。【数149】
【0090】
随意に、さらなるセキュリティおよびダイナミックレンジ制御のために、前述のvi,dスパンベクトルを非自明かつ不可逆的関数φ(χ)に通すことができる。一実施例は、以下の通りである。md_seqi={rnd_seqi−0.5}×8を適用する(ランダム列を[−4,4]に線形に投影し、以下の【数150】
を用いてより予測不能な変動をもたらすために)。φ(以下に描写される)に対する一実施例は、以下である。
【数151】
【0091】
最後に、入力vi,dのための対応するyi,dおよびその関連付けられ/エンコードされた【数152】
(秘密キー行列Wの行d)は、以下によって与えられる。
【数153】
前述のように、前述のSHAベースのベクトル化の使用は、これらのタイプのベクトル化の必要性をなくす。
【0092】
(信頼サーバ機能性)一実装では、信頼サーバは、局所キーアプローチとともに使用され得る、セキュリティの随意の追加層である。信頼サーバに対する別の追加利点は、サロゲート遠隔確認およびテンプレート/アクセス取り消し可能性である。例えば、サーバが、デバイスによって送信されるトークン(確認時のバイオメトリック眼スキャンマッチングの一意であるが、再発行可能な副産物)を認識しない場合、特定の要求されるトランザクションを受け取るのではなく、信号を、例えば、バイオメトリック認証を使用する当該オンライン銀行業務サービスまたは他のサービスに送信することができる。本実装の詳細は、前述のチャフタグ付けおよびテンプレートマッチングプロセスの大部分と同等である。
【0093】
【数154】
の記述子部分のハッシュH(.)であるSCHFは、登録時、信頼サーバ上に記録および記憶されるマスタチャフ(例えば、マルチ登録システムにおける登録あたり1つのマスタチャフ記録)として指定されると仮定する。バイオメトリック確認時、信頼サーバ検証が所望される場合、以下の「ハンドシェイク」プロセスが生じ得る。すなわち、テンプレート要素TVERの一致した部分集合が、fKに類似するが信頼サーバ機能性のための第2のチャフタグ付け関数fsに提供され、SVER=H(TVER)をもたらし、これは、確認時、信頼サーバに送信される。マッチャの特性から、真正マッチング成功に対して、以下であることが分かっている。
【数155】
、および
【数156】
【0094】
すなわち、マッチ成功は、少なくともk個の実血管の着目点を見出し、マッチ失敗(例えば、偽物)は、見出さない。したがって、以下の条件が、デバイス側マッチの完全性を確認するために、サーバ側で満たされる必要があるということになる。【数157】
【0095】
例えば、SVERに対するn回のSHA512のネスト化反復によって、SVERの時変ハッシュを伝送することもでき、nは、汎用タイムスタンプ(例えば、係数)の関数であることに留意されたい。信頼サーバは、任意の比較前に、そのSCHFの同一時変ハッシュを行うであろう。
【0096】
信頼サーバの他の可能性な機能性は、新しいデバイス上の新しい登録が異なるSVERおよびSCHFを作成するであろうため、遠隔サービスへのアクセスの取り消し(例えば、盗難デバイスの場合)を含む。サーバチャフは、キー生成チャフと同じではなく、したがって、この分離は、部分的に独立し、したがって、いくつかの仮説上の攻撃ベクトルにわたるさらなるセキュリティを提供することに留意されたい。それ以外の点では、プライベートキー対サーバチャフの確認正確度および検証セキュリティは、同一と考えられ得る。
【0097】
初期セキュリティ分析は、以下の通りである。以下のシナリオは、侵害されたデバイスを仮定し、テンプレートは、解読され、バイオメトリック認証コードは、逆コンパイルされ、したがって、デバイス−サーバハンドシェイク論理とテンプレート構造は、攻撃者に既知である。チャフおよび実血管の着目点の判別不能性を前提とすると、テンプレートから最初に当たりくじを引く確率は、以下であるため、せいぜい【数158】
であり、すなわち、テンプレート要素の合計数によって除算される、fs((VPD)とほぼ同一)別のタグ付けされたチャフの比率である。
【数159】
そのような推測は、独立し、同じように分布されることを仮定する。
【0098】
攻撃者が、推測によって全ての要求される最小k個のTs元を収集可能な可能性は、極めて低い。各血管の着目点に対して約1つのタグ付けされたチャフ、および各血管の着目点に対して4つの合計挿入チャフの典型的値、および単一2−ROIスキャンに対するk=40を使用すると、最初の試みにおける成功の可能性は、以下となる。【数160】
信頼サーバが、試みの失敗回数を限定する場合、そのような攻撃に対する成功の全体的可能性は、非常に低いままとなる。さらに、攻撃者が、信頼サーバおよびユーザのデバイスの両方に侵害し、全ての要求されるコンテンツを解読する場合、Tsは、TCHFの唯一の部分集合であるため、サーバマスタチャフ記録をユーザデバイステンプレートから減算することによって、ユーザテンプレートの血管の着目点部分にアクセスすることができなくなる。
【0099】
本明細書に採用される用語および表現は、限定ではなく、説明の用語および表現として使用され、そのような用語および表現の使用において、図示および説明される特徴の任意の均等物またはその一部を除外することを意図するものではない。加えて、本開示においてある実装が説明されたが、本明細書に開示される概念を組み込む他の実装も、本発明の精神および範囲から逸脱することなく、使用されることができることが当業者に明白となるであろう。種々の実装の特徴および機能は、種々の組み合わせおよび順列において配列されることができ、全て、開示される発明の範囲内にあると見なされる。故に、説明される実装は、あらゆる点において、制限ではなく、例証であると見なされるものとする。本明細書に説明される構成、材料、および寸法もまた、いかようにも限定として意図されず、例証として意図される。同様に、物理的説明が、説明目的のために提供されたが、任意の特定の理論または機構によって境界される、またはそれに従って請求項を限定するように意図されない。