(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-04-01
(45)【発行日】2022-04-11
(54)【発明の名称】生体認証装置保有者の自律的な登録方法及びシステム
(51)【国際特許分類】
G06F 21/32 20130101AFI20220404BHJP
G06K 7/00 20060101ALI20220404BHJP
G06K 19/077 20060101ALI20220404BHJP
G06K 19/07 20060101ALI20220404BHJP
G06Q 20/40 20120101ALI20220404BHJP
A61B 5/1171 20160101ALI20220404BHJP
【FI】
G06F21/32
G06K7/00 021
G06K19/077 168
G06K19/07 180
G06Q20/40
A61B5/1171
(21)【出願番号】P 2020564210
(86)(22)【出願日】2019-05-13
(86)【国際出願番号】 EP2019062155
(87)【国際公開番号】W WO2019219575
(87)【国際公開日】2019-11-21
【審査請求日】2020-12-04
(32)【優先日】2018-05-15
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】519283417
【氏名又は名称】タレス ディアイエス フランス エスアー
(74)【代理人】
【識別番号】100086368
【氏名又は名称】萩原 誠
(72)【発明者】
【氏名】ピエール スーション
(72)【発明者】
【氏名】ローラン レループ
(72)【発明者】
【氏名】フレデリク マルティネス
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特表2006-501583(JP,A)
【文献】特開2009-169809(JP,A)
【文献】特開2008-176435(JP,A)
【文献】米国特許出願公開第2014/0052630(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/32
G06K 7/00
G06K 19/077
G06K 19/07
G06Q 20/40
A61B 5/1171
(57)【特許請求の範囲】
【請求項1】
生体認証トランザクション装置(3)の保有者を登録する方法であって、
a)電源を供給する携帯モバイル電源コネクタ(2)に前記装置(3)を接続するステップであって、前記装置(3)は、前記コネクタ(2)の特定の構成の検出に応答して生体パターンの記憶をトリガするように構成されているステップと、
b)前記装置(3)に前記生体パターンを記憶するステップであって、前記生体パターンにはステータスが関連付けられ、前記ステータスは「無効」に初期化され、前記装置(3)は、前記生体パターンに関連付けられた前記ステータスが「有効」に変更された場合にのみ、前記生体パターンを使用して前記保有者を認証するように構成されているステップと、
c)前記生体パターンに関連付けられた前記ステータスを「有効」に変更することによって前記生体パターン(N1~N7)をアクティブ化(E10、E10a、Al)するステップであって、前記アクティブ化は、前記保有者の認証の成功に応答して又は関連付けて前記装置(3)によって行われるステップと、
を含む方法。
【請求項2】
前記特定の構成は、前記コネクタ(2)が、ISO7816に準拠していないピンの極性及び/又は接続を有する
ことである、請求項1に記載の方法。
【請求項3】
前記記憶(60)が、前記装置
(3)と
前記コネクタ(2)との間の情報(N1~N7)の交
換の第1のセッション
(P1)中に行われ、前記アクティブ化(E10、E10a、A1)が、前記第1のセッションと異なる、前記装置
(3)と
端末との間の情報の交換の第2のセッション(P2)中に行われ
る、請求項1又は2に記載の方法。
【請求項4】
前記コネクタ(2)が、ISO7816規格により規定されたものと異なるピン(RESET、CLK)で前記記憶をトリガするための電圧又は信号(GND、VCC)、ISO7816規格により規定された期間外に放出されるリセット信号、論理又はアナログ信号を伝送するように構成され
る、請求項2又は3のいずれか一項に記載の方法。
【請求項5】
前記アクティブ化(E10、E10a、A1)が、
前記保有者の生体認証ステップ(210)及
び非生体認証ステップ
が成功した電子トランザクション(P2)の際に行われ
る、請求項1乃至4のいずれか一項に記載の方法。
【請求項6】
前記認証(210、PIN)が、トランザクションサービスプロバイダ(POS)により承認されたトランザクション端末
に連結された前記装置(3)によって行われる、請求項1
、2、又は5のいずれか一項に記載の方法。
【請求項7】
前記アクティブ化(E10、E10a、A1)が、
-生体データの提示(200)及び前記保有者のPINコードの提示(260)を伴う、トランザクション端末(POS)を使用する標準化された(EMV)トランザクションセッションの際に行われ、
-前記認証に応答して、前記認証を表すコード(A1)を生成する遠隔サービスサーバにリンクされたモバイルソフトウェアアプリケーション(APA)を実行し、
-トランザクション端末をエミュレートするモバイルアプリケーションを実行し、
-前記保有者の生体データの有無にかかわらず、前記保有者が後に前記装置
(3)に入力することが意図されたシークレットコードの発行をトリガす
る、請求項1乃至6のいずれか一項に記載の方法。
【請求項8】
生体認証トランザクション装置(3)の保有者を登録するためのシステム(1A、1B)であって、前記システムが、前記装置
(3)への生体パターン(N1~N7)
の記憶を実行するように構成され(8、14、P20、P26)、
a)
前記システムは、前記装置(3)に電源を供給するように構成され
た携帯電源コネクタ(2)を備え
、前記装置(3)は、前記コネクタ(2)の特定の構成の検出に応答して前記記憶をトリガするように構成され、前記装置(3)は、前記生体パターンにステータスを関連付けるように構成され、前記ステータスは「無効」に初期化され、前記装置(3)は、前記生体パターンに関連付けられた前記ステータスが「有効」に変更された場合にのみ、前記生体パターンを使用して前記保有者を認証するように構成され、
b)
前記装置(3)は、前記保有者の認証の成
功に応答して又は関連付けて、
前記生体パターン(N1~N7)
のアクティブ化
を実行するように構成され
、前記アクティブ化は、前記生体パターンに関連付けられた前記ステータスを「有効」に変更することによって行われる、システム。
【請求項9】
前記記憶を、前記装置(3)と
前記コネクタ(2)との間の情
報の交換の第1のセッション(P1)中に行い、前記アクティブ化(E10、E10a、A1)を、前記第1のセッションと異なる、
前記装置(3)と端末との間の情報の交換の第2のセッション(P2)中に行うように構成され
る、請求項8に記載のシステム。
【請求項10】
前
記コネクタ
(2)が、接地ピン(GND)をカードのゼロ調整ピン(RST)に接続し、電源ピン(VCC)をクロックピン(CLK)に接続する接続を備え
る、請求項
8又は9に記載のシステム。
【請求項11】
前記装置
(3)が、
-生体認証の成功(210)及び
他の認証の成功(260)を検出すると、前記生体パターン(N1~N7)の
前記アクティブ化(E10、E10a)をトリガ又はチェックするステップ、
を実行するためのソフトウェアエージェン
トマネージャを備え
る、請求項8乃至10のいずれか一項に記載のシステム。
【請求項12】
前記装置(3)が、
-記憶されている生体データがないことを検出したとき、トランザクションアプリケーション(P20)にPIN認証を用いてトランザクションを継続するように通知する(4)ステップ、
-記憶されているがアクティブ化されていない生体データを検出したとき、前記トランザクションアプリケーションにPIN認証を用いてトランザクションを継続するように通知する(11)ステップ、
-生体認証の成功(210)及び/又は他
の認証の成功(260)を検出すると、まだアクティブ化されていない生体データの前記アクティブ化(E10、A1)をチェック/制御する(E10、E10a)ステップ、
のうちの少なくとも1つを実行するためのソフトウェアエージェント(P26)マネージャを備え
る、請求項8乃至11のいずれか一項に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は生体認証装置保有者の自律的な登録方法及びシステムに関する。
【0002】
本発明は、特に指紋センサが搭載されたスマートカードを備えた生体認証装置に関する。このようなカードに搭載されたチップは、電気接点を用いてリーダと通信するためのISO7816接触式通信インタフェース、及び/又は非接触モードでリーダと通信するためのアンテナで構成することができる。また、チップは、センサ(指紋センサ、ディスプレイ、マスストレージ、リアルタイムクロック)などの他の内部周辺部品と通信するための少なくとも1つの他のインタフェースを有することがある。
【0003】
本発明はまた、生体認証セキュリティエレメントを使用する電子製品又は装置、例えばUSBキー、ウォッチ、ブレスレット、ウェアラブルデバイスなどにも関する。
【背景技術】
【0004】
生体認証センサカードとは、ユーザ(カード保有者)からの高い期待と銀行からの関心を生み出す新世代の決済カードを意味する。
【0005】
この関心の原因は、このようなカードの利便性(PINコードを記憶する必要がないこと)と、カードに組み込まれ、カード保有者/カードユーザの認証に使用される指紋センサのおかげで提供されるセキュリティとにある。
【0006】
しかしながら、ユーザ体験における重大な局面の1つは、カード保有者の指紋の基準テンプレートが収集され、パーソナル化が可能なようにカードに記憶される登録/加入プロセスである。
【0007】
本出願人は現在、銀行支店での完全かつ最終的な登録のために、指紋リーダ及びスマートカードリーダを備える生体認証タブレットを提供している。しかしながら、この解決策は、銀行支店の数又はそのような支店に通う人数の減少を理由として大多数の銀行が明確に示している、顧客が自分の指紋の登録を自ら行えるようにする解決策が必要である限りにおいて十分でない。
【0008】
また、スマートフォン及び電池式の生体認証カードを使用した競合する登録方法も知られている。しかしながら、この解決策は、カード内に電池が必要であり、電池寿命という欠点が加わるために非常に制限される。
【0009】
(本出願人が提案してきたように)ユーザを認証するためにコンピュータ処理ユニット(コンピュータ、スマートフォン又はPDA)に(USB又はブルートゥース(登録商標)を介して)接続されたカードリーダを使用した登録方法も知られている。これには、コンピュータに特定のソフトウェアアプリケーションをインストールすること、及び/又は生体認証装置とコンピュータ(又は電話機)との間のペアリング/カップリングが必要となり、処理ユニットを用いた登録及び(例えばシークレットコードを介した)装置の所有者の本人確認を可能にするために、上述のアプリケーションからの不慣れな指示に従う義務がある。
【0010】
専用タブレット(又はキオスクや他のソリューションなど)を使用した銀行の地方支店での登録の提案も知られているが、これはユーザが所定の場所に赴くことが必要である。
【0011】
人の指紋の登録を支援し得る「スリーブ」装置も知られている。基本的に、この装置は内蔵電池を有するカードホルダの形態をしている。スリーブに生体認証カードが挿入され、カードに電力が伝送される。
【0012】
初めてスリーブが使用されるとき、人は指を3回指紋リーダ上に置き、登録が行われる。指紋はその物理的画像としてではなく暗号化された数のテンプレートとして記憶され、スリーブは決してインターネットに接続しない。
【0013】
これによって、人々が自宅に居ながらにして簡単便利に指紋を生体認証カードに登録することができる手段が提案される。
【0014】
しかしながら、そのような装置がどのように具体的に動作し得るのかを明確かつ具体的に示すものはない。このカードホルダ装置が具体的に構成されているか否かを示すもの、又はどのように構成されているかを示すものはない。
【0015】
この装置は単にカードに電力を供給しているように思われ、このことは、とりわけセキュリティに関するいくつかの問題を提起する可能性がある。
【発明の概要】
【発明が解決しようとする課題】
【0016】
本発明は、上述の欠点を解決することを意図したものである。
【0017】
本発明は、銀行カード保有者がより容易に、及び/又は最小限の制約若しくは義務で登録できるようにする(すなわち、保有者に可能な限り最高のユーザ体験を提供する)解決策を提供しようとする。
【0018】
本発明は、好ましくは時間のロスが最小限で、可能なセキュリティレベルが様々なユーザに透過的又は準透過的な登録プロセスを促進しようとする。
【課題を解決するための手段】
【0019】
第1の態様によれば、本発明は、好適な実施形態において、好ましくはユーザ自身によって自律的にどこでも登録プロセスを開始できるようにすることによってこれらの問題を解決する。
【0020】
第2の態様によれば、本発明はまた、上記第1の態様と関連して、又はこれとは独立に、前の交換セッション(トランザクション)中に開始された登録を、セッションが好ましいケースで完了したか否かにかかわらず、ユーザに準透過的又はほぼ知られている方法で確定/ロックすることを可能にする。
【0021】
本発明は、一方で生体データの記憶を含み、他方でこれらの生体データの安全な確定(又はロック/アクティブ化)を含む(確定プロセスは、データが確定を完了するトランザクション装置の保有者に割り当てられることを確実にする)登録の様々な段階を互いに分離することから構成されることがある。
【0022】
安全な確定は、例えばシークレットコード(PIN又はその他のコード・・・)を入力することなどによって認証しなければならない第1の標準化されたトランザクションの際に、ユーザに透過的な方法で、又はひそかな時間に完了することができる。
【0023】
したがって、ユーザは、登録を完了すること又は特定の場所(銀行支店・・・)に行くことで時間を無駄にしない。ユーザは、どこでもどんな時も登録を開始する、及び/又はどこでもどんな時も、より具体的にかつ好ましくは、標準化されたトランザクション認証の経過中に登録を確定/ロックすることができる。
【0024】
したがって、本発明は、登録の少なくとも1つの段階、すなわち、開始及び/又は確定(ロック又はアクティブ化)段階をスピードアップ/促進することを可能にする。本発明は、必要ならば開始段階を確定段階から分離/独立させることを可能にし、これによりこれらの段階をいくつかの異なる場所(自宅、銀行支店、商店)で完了する/これらの場所の間に分けること、及び/又はこれらの段階を一定期間(数時間あるいは数日)にわたってシフトさせることが可能になる。
【0025】
本発明はまた、生体データの開始(又は記憶)を、必要ならば、あるときは2回又は数回異なる場所で、又は異なるトランザクション中に完了可能にすることもある。
【0026】
このために、本発明は、生体認証トランザクション装置の保有者を登録する方法であって、
-装置に少なくとも1つの生体パターンを記憶するステップを含み、
a)保有者に上記記憶をトリガするように構成された携帯モバイル電源コネクタを供給するステップ、及び/又は
b)保有者の認証の成功に応答して又は関連付けて行われる生体パターンをアクティブ化するステップ、を含むことを特徴とする方法に関する。
【0027】
他の特徴によれば、
-電源コネクタは、ISO7816に準拠していない又は少なくとも完全には準拠していないピンの極性及び/又は接続を有する構成を有し、この特定の構成は生体認証装置(カード)によって検出することができる。
【0028】
-上記記憶は、装置との第1の情報交換セッション中に行われ、上記アクティブ化は、第1のセッションと異なる、装置との第2の情報交換セッション中に行われる。
【0029】
-上記コネクタは、ISO7816規格により規定されたものと異なるピンで上記記憶をトリガするための電圧又は信号、ISO7816規格により規定された期間外に放出されるリセット信号、論理又はアナログ信号を伝送するように構成される。
【0030】
-上記アクティブ化は、生体認証ステップ及び/又は非生体認証ステップを実行する電子トランザクションの際に行われる。
【0031】
-トランザクションサービスプロバイダにより承認されたトランザクション端末が上記認証に使用され、ユーザ処理ユニットが、サーバ又はトランザクションサービスプロバイダからの委任によって安全なトランザクションアプリケーションを含む。
【0032】
-上記アクティブ化は、
〇生体データの提示及び保有者のPINコードの提示を伴う、トランザクション端末を使用する標準化されたトランザクションセッションの際に行われ、
〇上記認証に応答して、上記認証を表すコードを生成する遠隔サービスサーバにリンクされたモバイルソフトウェアアプリケーションを実行し、
○トランザクション端末をエミュレートするモバイルアプリケーションを実行し、
〇保有者の生体データの有無にかかわらず、保有者が後に装置に入力することが意図されたシークレットコードの発行をトリガする。
【0033】
本発明はまた、生体認証トランザクション装置の保有者を登録するためのシステムであって、上記システムが、装置に少なくとも1つの生体パターンを記憶するように構成され、
a)上記生体データの記憶をトリガするように構成された携帯電源コネクタを備える、及び/又は
b)保有者の認証の成功に応答して又は関連付けて、少なくとも1つの生体パターンをアクティブ化するように構成されたことを特徴とするシステムにも関する。
【0034】
他の特徴によれば、
-上記装置は、
-生体認証の成功及び/又は別の認証の成功を検出すると、生体パターンのアクティブ化をトリガ又はチェックするステップ、
を実行するためのソフトウェアエージェントマネージャを備える。
【0035】
-上記装置は、
○生体認証の成功及び/又は別の認証の成功を検出すると、生体パターンのアクティブ化をトリガ又はチェックするステップ、
を実行するためのソフトウェアエージェントマネージャを備える。
【0036】
-上記装置は、
○記憶されている生体データがないことを検出したとき、トランザクションアプリケーションにPIN認証を用いてトランザクションを継続するように通知するステップ、
○記憶されているがアクティブ化されていない生体データを検出したとき、トランザクションアプリケーションにPIN認証を用いてトランザクションを継続するように通知するステップ、
○生体認証の成功及び/又は別の認証の成功を検出すると、まだアクティブ化されていない生体データのアクティブ化をチェック又は制御するステップ、
のうちの少なくとも1つを実行するためのソフトウェアエージェントマネージャを備える。
【0037】
したがって、本発明のおかげで、ユーザは、物理的な場所(銀行支店など)に行ったり、接続された処理ユニット及び個別の不慣れな指示を含むソフトウェアアプリケーションを使ったりする必要なく、生体認証センサカードに自律的に指紋を記憶することができる。
【0038】
コネクタは、ISO7816と部分的に異なるピンを接続するだけで製造されるため、特に簡単で安価である。
【0039】
本発明は、生体データを銀行支店から離れた、特に自宅や他のどこかで完全に自律的に、かつ完全に静かに記憶(又は入力)することを可能にする。本発明はまた、登録プロセスを銀行支店から離れたところで後から、可能であれば、通常のトランザクション手続又はユーザに身近なものにおける普通の、好ましくは標準化されたトランザクション中又はトランザクションの際に確定(ロック)することを可能にする。
【図面の簡単な説明】
【0040】
【
図1A】本発明の好適な実施形態に基づくトランザクション生体認証カードを有する登録開始システムを示す図。
【
図1B】本発明の好適な実施形態に基づくトランザクション生体認証カードを有する登録開始システムを示す図。
【
図1C】登録の開始に寄与し得る電気的ツール及びソフトウェアツールを示す図。
【
図1D】登録の開始に寄与し得る電気的ツール及びソフトウェアツールを示す図。
【
図1E】登録の開始に寄与し得る電気的ツール及びソフトウェアツールを示す図。
【
図2】アプリケーションプログラムが内蔵されたカード(MCU及びSE)のマイクロコントローラと、登録が行われておらずアクティブ化されていない場合の相互作用(すなわち、動作ステップ)を示す図。
【
図3】登録(記憶)が行われているがアクティブ化されていない場合の動作に関する前図と類似した図。
【
図4】登録が行われアクティブ化されている場合の動作に関する前図と類似した図。
【
図5】指紋の登録(記憶)の開始における様々なステップを示す図。
【
図6】好適な実施形態における、生体データが一旦記憶され、EMVなどの標準化されたバンキングトランザクション中の確定プロセス(ロック/アクティブ化)の様々な段階を示す図。
【
図7】(いくつかの指紋部分から再構成された)基準指紋を表現するために生体認証装置のメモリ25内で並べられる(又は組み立て/組み合わせられる)7つの指紋の取得を示す図。
【
図8】場合によりサーバ及び認証データベースに接続されるNFC携帯電話を使用した、装置に記憶されている生体データのアクティブ化を示す(やや好ましさが劣る実施形態における)図。
【発明を実施するための形態】
【0041】
図1Aには、本発明の第1の好ましい実施形態又はその方法の実装形態に基づく、生体認証トランザクション装置3の保有者を登録するための1Aシステムが示されている。
【0042】
トランザクションは、好ましくは電子バンキングトランザクション、特に標準化されたEMV電子バンキングトランザクション、又は生体認証トランザクション装置と外界[売場専用(POS)端末、現金自動支払機(ATM)、建物、輸送手段、決済サービスへのアクセスを可能にする端末・・・]との間の任意の他の電子交換のうちの1つと理解される。
【0043】
生体パターンは、指紋パターン、目の虹彩、DNA,声などのユーザに固有の生体データと理解される。本明細書では、生体パターンはまた、特徴点又は指紋、より一般的にはあらゆる種類の生体データと同じであるか、又はこれを指すこともある。
【0044】
十分なパターン(特徴点又は指紋)が記憶されると、その全体が、ある程度の類似度を有する別の新たに捕捉されたパターンとの比較によって認証目的で参照され得る基準テンプレートを形成する。
【0045】
基準テンプレートは、基準テンプレート又は基準パターン(又は特徴点や指紋)と呼ばれることがある。同様に、ロック、アクティブ化、有効化、確定という用語は同義語である。それらは本発明によりもたらされるプロセスにおけるステップ、異なる条件、環境又はセキュリティレベル下で完了されるステップを表す。
【0046】
トランザクション装置は、特に電気的接点5を介して、及び/又は近距離無線通信技術(NFC)若しくはRFID(無線自動識別装置)、ブルートゥース(登録商標)又はUHFに基づいてカード本体10内のアンテナ9を介して非接触モードで通信する電子スマートカード3、電子スマートウォッチ、電子ブレスレットなどの携帯通信装置と理解される。生体認証装置はまた、USBキー、スマートフォン、コンピュータ、タブレット、又はPDAを含む又は構成することもある。
【0047】
従来、この1Aシステムは、センサ14、このケースでは指紋センサを介して、装置3のメモリ25又はレジスタに少なくとも1つのN1~N7生体パターンを記憶するように構成される。
【0048】
本発明の第1の態様の好ましい実施形態によれば、システム1Aは、基準生体認証テンプレート40が、特に指紋の各部分が組み立てられた結果として形成されるまで、少なくとも1つのN1~N7生体パターン(
図7)又はいくつかの一連の生体パターンの記憶をトリガするように構成された携帯電源コネクタ2を備える。
【0049】
コネクタ2は、好ましくはセル/電池又は電池8を使用する独立型のクリーン電源を備えるか、又は電源及び/又はUSBケーブルなどの通信コネクタを有することがある。
【0050】
好ましくは、コネクタ2は、装置電池の陰極を装置基板コネクタの接地(GND)ピンだけでなく同時にRSTピンにも接続可能にする内部電気接続構成を備える。必要ならば、GNDピンはI/Oピンに接続されることもある。
【0051】
したがって、本発明は、ISO7816に完全には準拠していないコネクタ2のピンの極性及び/又は接続を有するコネクタ2の構成を提供する。
【0052】
電池の陽極は、装置のISO7816コネクタの電源(VCC)ピン(
図1C)と、カード接触パッド(CLK)に対応する装置コネクタピン(CLK)の両方に接続される。しかしながら、本発明は、非接触手段(例えば、誘導充電器、非接触リーダ・・・)を含むが、それと同時にリーダ2及び/又は装置3にコンデンサが存在する電源を確保する方法も提供する。
【0053】
コネクタ又はリーダ2は、特定の信号をカードに送信するための機構を有していない。特別なのは専らその内部配線である。そして、登録の開始をトリガするようにこの特別な配線を検出するように構成されるのはカード(少なくともSEチップ4のOSオペレーティングシステム)である。
【0054】
この例では、P60チップ(カードに使用されるNXPのSEチップ)について、本発明者らは、スマートカードコネクタ2のVCCピン及びCLKピンを「+」に配線することを決定した(実際、このチップで信号を検出することはより簡単である)。
【0055】
一方、別のSEチップでは、コネクタのVCCピン及びRSTピンは、例えば電池の陽極に配線される可能性がある(これはチップのタイプに依存する可能性があり、使用されるチップによって、特別な配線その他を検出することがより容易なことがある)。
【0056】
したがって、本発明は、標準的なピンを有しているが、その内部接続又は配線が電池の陽極とコネクタのVCCピンとの間、及び電池の陰極とコネクタのGNDピンとの間の標準的な一致のみを確保するスマートカードコネクタを提供する。(ピンの形態、構成又は幾何学的位置に関して標準的な)コネクタ2のその他のRSTピン、I/Oピン、CLKピンは、ISO7816とは異なる方法で互いに配線される、特にVCCピン又はGNDピンの一方と並列に配線されることがある。
【0057】
上記の以前のものから独立した、又はこれに追加的な代替的な好ましい実施形態の第2の態様によれば、システム1A、1B、3は、保有者の認証の成功に応答して又は関連付けて、少なくとも1つの生体パターンの好ましくは安全なアクティブ化を実行するように構成される。好ましくは基準テンプレート40が十分なN1~N7生体パターン又はデータで構成されている場合に有効化が行われる。
【0058】
代替的に、好ましさが劣るが可能な方法では、カードは、少なくとも、少なくとも記憶を含む部分的又は完全な登録を確実にするために電池(全体寸法が小さい、及び/又は再充電可能な電池又はコンデンサ)を備えることがある。
【0059】
上記の目的のために、装置は、コンデンサ又は電池が生体データを捕捉し記憶できるだけ十分に充電されていることをユーザに教えるためのLED又はその他のインジケータを備えることがある。一次電池の場合、スイッチボタンが追加されることがある。再充電可能な電源の場合、LEDインジケータが適切な場合がある。
【0060】
好ましくは、システム1A、1B,3は、限定的ではないが、装置3との第1の情報交換セッション(当該第1のセッションは休みがない)、及び第1のセッションと異なる、装置との第2の情報交換セッション時の安全なアクティブ化の間に、基準テンプレート40を形成するのに十分なN1~N7生体データの全(又は完全)記憶を行うように構成することができる。
【0061】
ユーザには、捕捉/記憶された生体データが登録のために完全であることを、好ましくは装置からの信号によって通知することができる。代替的に、「n」よりも多い(2、3又は5・・・)異なるパターンが記憶されている場合、装置3(このケースではカード)は、パターン入力カウンタを用いて、基準テンプレート40を構成するのにこれで十分と判断することがある。
【0062】
このシステム1A、1B、3はまた、少なくとも基準生体認証テンプレート40を確定/アクティブ化するために第2のリーダ31(好ましくはコネクタ2と異なり、POS端末、NFCモバイル、ATM現金自動支払機・・・)を備える又は実装することもある(
図8で後述)。
【0063】
システムは、任意選択的に、確定を行うための本発明に従って適応された適切な遠隔認証サーバ及び/又はカード3を備えることがある。上記の確定手段は、保有者の認証に応答して装置3が受信した有効化信号を用いて記憶されている生体データをロック/アクティブ化するように構成される。
【0064】
本発明によれば、装置は次のステップを実行するように構成することができる:
a)生体データの記憶をトリガするように構成されたポータブルモバイル電源コネクタ2、7を保有者に供給するステップ、及び/又は
b)保有者の少なくとも1つの認証成功に応答して又は関連付けて行われる、少なくとも1つの生体パターンをアクティブ化するステップ。
【0065】
上記で言及した第1の態様は、少なくとも上記(a)のステップを含み、第2の態様は、少なくとも上記(b)のステップを含むことがある。
【0066】
まずは上記a)の要素を説明し、次にb)の要素を説明する。
【0067】
この例では、装置3は、トランザクション、特にバンキングトランザクションのためのスマートカードである。装置は、好ましくは非接触機能、例えばISO14443準拠の近接無線周波数インタフェース(アンテナ9)と、無線周波数通信フレームを復号及び/又は伝送することができるSE無線周波数マイクロコントローラとを備える。
【0068】
この例では、スマートカードは、接点5(又はISO7816バス)を有する通信インタフェースを備えるが、代替的にウォッチやブレスレットなどの任意のウェアラブルであったり、USBなどの異なるタイプのインタフェースを有したりする場合もある。カードは、好ましくは、ISO7816接点5を有し、カード本体10にアンテナ9を有するISO14443非接触なハイブリッドインタフェースカードとなる。
【0069】
装置は、(SE又は4)マイクロチップを備えたセキュリティマイクロコントローラ、(SE,4)セキュリティマイクロコントローラに接続された第1のインタフェース5/通信ポート(特にISO7816)、第2のインタフェース/通信ポートを介してセキュリティエレメント4に接続された少なくとも1つの(MCU,11)周辺電子コンポーネントを備える。
【0070】
必要ならば、MCUコンポーネント11の機能の一部又は全部が、セキュリティコンポーネントに組み込まれることがあり、逆の場合もありうる。
【0071】
カードは、このケースでは標準的な通信バスISO7816-3を介してSEチップ4に接続された接点5の端子台(規格ISO7810に準拠した参照符号C1~C8)を備える(
図1Cには(RST)ライン及び(CLK)ラインのみが示されている)。カード3は、標準的なスマートカードマイクロチップの形態を取るμP2マイクロコントローラ又はマイクロプロセッサ(
図1E)を含むSEセキュアエレメント4を内蔵する。SEチップ4は、このケースでは、例えばNXP社製のハイブリッド接触/非接触チップ、参照コードP60D081であるが、単に接触チップの場合もある。
【0072】
カードは、SEマイクロコントローラ4の二次マイクロコントローラ又はコプロセッサ、スレーブであることも、そうでないこともある周辺MCUコンポーネント11を有する。SEマイクロコントローラ4は銀行[カード]チップであってよい。MCUコンポーネントは、μP1マイクロコントローラ又はマイクロプロセッサ(
図1D)、WTP生成器(使い捨て番号)又はその他の機能(動的DCV暗号専用の暗号文生成)などを備えることがある。MCUコンポーネント11は、カード本体の表面と同一平面の指紋センサ14に接続される。
【0073】
カードは、その特性に応じて、専用の外部電源コネクタ2を用いて自律的に生体パターン記憶を開始するように構成することができる。
【0074】
システム1Aは、好ましくはスマートカードコネクタ2を備える。好ましくはユーザにカードが供給される。このコネクタは、電源8(電池)又は電源及び/又は通信源に延びる電源ケーブル7を備えることがある。このケースでは、ケーブルはUSBタイプのケーブルである。1Aシステムは、好ましくはユーザのコンピュータであり得るコンピュータ6を含むことがある。必要に応じ、本発明の特別に構成されたコネクタは、カードのための電圧整合機能を備えることがある。USBタイプのデータケーブルは、コネクタ2から機能しなくなることがある。本発明は、USBケーブルの電力及び接地(GND)接続をコネクタ2でのみ使用することを規定することがある。したがって、コンピュータに接続される場合、コンピュータからのハッキングの危険はない。
【0075】
代替的に、コンピュータ6は、任意の他のコンピュータ、特にカードに含まれたトランザクションサービス(すなわち、ソフトウェアアプリケーション)にリンクされたサーバに接続されたアクセス端末又はキオスクであってよい。
【0076】
コンピュータは、生体指紋の記憶を開始/トリガするためのAP2ソフトウェアを含むことがある。ソフトウェアは、記憶を開始するための何らかの信号をカードに向けて送信することができる。
【0077】
AP2ソフトウェアに代わる手段として、キーボード上のいずれかのキーが押下されることが、カードに信号を送信し、カードによる検出が行われて登録を開始するのに十分なことがある。カードは、PINコードの使用を要求するウィンドウをコンピュータ画面に開き、PINコードが正しい場合に指紋記憶を開始する安全な開始プログラムを(特にP26に)含むことがある。
【0078】
コネクタ2は、登録に使用される専用コネクタであってよく、好ましくはSEセキュリティチップ4の「非ISO」起動を可能にするように構成されることがある。このケースでは、チップは、特にEMV規格に準拠したP20バンキングトランザクションアプリケーションを含む。すなわち、PINコード、又は専用サーバ、特に銀行サーバ上に遠隔PINコード検証アプリケーションを含むことができる。
【0079】
コネクタ/リーダ2の構成の好ましい実施形態の例によれば、後者はSEチップ4のコールド起動及びゼロ調整を可能にするように修正されることがある(
図1C)。
【0080】
この例によれば、リーダ/コネクタ2は、GNDピン(又は電池の陰極)が(カードのGND接触パッドに加えて)カードのRESET(RST)ピン(さらにI/Oピンも)を接続できるように変更され、カードもまた、リーダのVCCが(チップのVCCピンに加えて)チップのクロック信号CLKピンを接続できるように変更される。したがって、カードがリーダに接続されるとき、チップが直ちに起動し、バトンをオペレーティングシステム(OS)に渡す。これはP60チップを使用した実施モードである。しかしながら、これはもう1つの「SE」チップと異なる可能性がある。
【0081】
SEチップ4は、この登録環境の好ましい検出モードによれば、VCC電圧が上昇した後の時間を測り、RST信号の受信のTR時間を検知するソフトウェアアプリケーションP1を含むことができる。TR時間が、例えば400/F(Fはヘルツ単位の周波数である)未満で、カードのCLKピンに信号が存在しない場合には、アプリケーションP1は、例えばMCUコントローラ11において、生体パターンの記憶(1回以上所定の割合)を含む登録開始手続(P2)をトリガする。
【0082】
したがって、本発明によれば、リーダ/コネクタ2は、コネクタのコスト又はあらゆる変更を減らすために、カード受容体2、カードに電力を供給するためのセル/電池8(又はケーブル7)、カードと通信するためのピンを実質的に又はこれらのみを含むことがある。
【0083】
リーダ/コネクタ2は、このようにインテリジェントマイクロ回路又はプログラム/ドライバ、特にカードリーダ、マイクロコントローラを省くことがある。したがって、本発明は、このコネクタを用いて、自律的な登録プロセスを、特に自宅で無視できるコストで開始することを可能にする。
【0084】
代替的に、より高性能(かつ高価)なレベルでは、リーダは、マイクロ回路(又はマイクロコントローラ)と、リーダ2とカード3との間の第1の交換時に特定の信号(デジタル又はアナログ)をカード3に送信するソフトウェアアプリケーションとを含むことがある。この信号は、装置保有者の生体データの捕捉又は記憶の開始をトリガする。
【0085】
代替的に、リーダ2は、カードにより検出及び認識可能な特定の電圧/電流又はクロック周波数レベルを生成するように構成することができる。これは、リーダに埋め込まれた特定のソフトウェアが、リーダ、上記の機能をハードウェア形態で実行する等価回路、又は有線回路を用いて交換信号を変調することを意味することがある。
【0086】
リーダ/コネクタ2は、電磁(RF)場を放出することによって電力を装置3に供給することができる。リーダは、電磁場を介して伝送されたデータの有無にかかわらず、この無線周波数場電源の機能しか有しないことがある。記憶トリガ検出は、事前に設定された周波数判定又は特定の波列(又は信号振幅レベル)を提供することができ、装置3は、電気接点とのインタフェースを省くことができる。
【0087】
したがって、本発明は、特定のリーダ/コネクタ2を検出して生体パターンの登録又は記憶を開始するカード3を提供する。カードは特に、特定の登録開始環境になく、むしろ、例えばバンキング(POSとの交換による)トランザクション環境にあることを検出するように構成することができ、これは既知の所定のトランザクション手続、すなわち、この手続のためのAPDUコマンドの存在及びカードによる検出に起因する。デフォルトでは、カードは、そのようなトランザクション環境が検出されないときはいつでも、生体データ記憶を含む登録手順を開始することができ、逆もまた同様である。
【0088】
代替的に、カードは、標準的な、特にEMVトランザクション環境にないことを検出するように構成することができる。このように、本発明は、カードが記憶専用のリーダ2以外のトランザクションリーダ、特にバンキング(POS)トランザクションリーダに挿入された後に電力供給された場合に、指紋登録/記憶プロセスが誤って開始されることを防ぐ。
【0089】
(特に、自宅外での支店や店頭での登録のための専用コネクタ2,7がないことがある)上記b)で規定されたケースでは、本発明は、伝統的なスマートカードリーダ(ISO)を提供することがあり、登録の開始は従来のAPDUコマンドによってトリガされることがある。
【0090】
(上記a)を含む)好ましい実施形態に代わる手段として、コネクタ/リーダ2は電池8を含まないが、パーソナルコンピュータ6に接続するためのケーブルを有することがある(
図1A)。前記の電池8と同様に、SEチップは、コネクタ2における上述のリンク(RST,CLK)の配列によってコールド起動及びゼロ調整を検出することができる。利点はAP2プログラムを追加することによりコンピュータ6を変更しないことにある。
【0091】
代替的に、パーソナルコンピュータ6は、カードにより認識される所定の登録トリガ信号をカードに送信する特定のAP2ソフトウェアアプリケーションを備えることができる。
【0092】
装置3は、好ましくは所定のプロトコルに従ってユーザと通信するように構成されたインジケータ/警告要素(音、光、色彩・・・)を含むことがある。例えば、装置3は、カード内の電気回路により作動し、SEセキュリティエレメント4やMCU生体捕捉マイクロコントローラ11などのカードのマイクロコントローラの1つにより駆動される2つのLEDライト(L1,L2)をカード本体10又は表面上に備えることがある。
【0093】
代替的に、リーダ/コネクタ2は、カードからの信号により駆動されるこれらのL1、L2インジケータを備えることがある。回路は、チップのI/Oポートからの出力レベルの検出器と、検出器により駆動されてLEDをVCC及びGNDピンに接続するLEDの電力供給トラック上に配置された論理/アナログスイッチを開閉するリレーとを備えることがある。
【0094】
2つのLEDはまた、LED電源回路の2つのトランジスタスイッチ(MOSFET)をトリガする、MCU11の2つの「GPIO」ポートによって駆動することもできる。しかしながら、MCUマイクロコントローラ11が処理している間はLEDに電力供給しないことが好ましい。LEDはプロセスの終わりにのみ切り換えることができる。セッションに応じた、LEDの1つの動作方法は次のとおりである。
【0095】
登録動作では、ユーザが装置上に指を置くこと、又は指紋を捕捉することができることをユーザに知らせるために緑色LEDを点滅させる(例えば、100ms/秒)。指が検知されると、LEDは消える可能性がある。
【0096】
生体データ検証動作では、検証が完了するまでLEDは点灯しない。マッチ/比較テストが成功した場合、緑色LEDが点灯する可能性がある(例えば、1/2秒間)。比較が失敗した場合、赤色LEDが点灯する可能性がある。別の動作モード:LEDは、指が装置上に置かれると、検証段階中は点滅することがあり、やがて点灯に変わる(緑=OK、赤=OKでない)。
【0097】
生体データの獲得/抽出プロセスの終わりに、品質が登録にOKである(基準テンプレート40が作成される)場合は、緑色LEDが1秒間「点灯」し続け、そうでない場合は赤色LEDが1秒間「点灯」し続ける。(ユーザを不安にし得る赤色LEDを表示することなく)直ちに点滅を再開することもできる。
【0098】
次に、緑色LEDは再び点滅し始め、少し速く(例えば、100ms/800ms)点滅する。登録の終わりに、登録を有効化するのに十分な生体データが捕捉された場合、次のステータス「登録(又は記憶)完了-ただしアクティブ化されていない」を示すLED信号を送信することができる。
【0099】
これから上記で言及した第2のポイント(b)を説明する。
【0100】
このケースでは、保有者にコネクタ2が供給されないことがある(例えばPOSの場合)。
【0101】
装置(このケースではカード)は、本発明の好ましい実施形態によれば、基準生体パターンのアクティブ化(代替的に又はポイントaと同時に)を行うように構成される。アクティブ化は、好ましくは保有者の少なくとも1回の認証の成功、あるいはセキュリティをより高めるための2つの認証因子に応答して又は関連付けて行われる。
【0102】
本発明に依存して、1つ又は2つの認証因子を含む又は含まないアクティブ化を、ユーザ体験を向上させるために可能な限り容易かつ透過的に実施することができる。
【0103】
このアクティブ化を含む登録の確定は、好ましくは標準化されたトランザクション、特にユーザが定期的に行うEMVタイプのバンキングトランザクションなどのバンキングトランザクションの間に行うことができる。アクティブ化は、装置と装置の外の世界との交換の間いつでも行うことができる。
【0104】
実際、本発明の好ましい実施形態によれば、ユーザは家で登録(生体パターンの記憶)を開始した後、外界とのデータ交換の最初の機会に登録(記憶されたパターンのアクティブ化)を確定する。これは、標準化されたトランザクションの際に、ユーザに透過的(又は準透過的)な方法で行われることがある。
【0105】
装置は、その特性に応じて、確定(アクティブ化)ステップのために事前に電子バンキングトランザクション環境を検出するように構成することができる。デフォルトでは、カードは、コネクタ2に接続されていないという事実を検出し、アクティブ化に切り替わることができる(例えば、カードが(例えば
図1Cに示されたプロセスと異なる)通常のISO7816読み取りプロセスを検出した場合)。
【0106】
カードは、好ましくは認証が行われたことを示す信号を受信した場合(今回のケースでは、PINがPOSで提示された場合)にアクティブ化に切り替わる。使用されたリーダのタイプは必ずしも検出されない。
【0107】
この例について、カードのハードウェア及びソフトウェアアーキテクチャ要素が以下で説明される。カードは、ソフトウェアアプリケーション(アプリケーションプログラム)、例えば、特に決済(P20)のための生体認証バンキングアプリケーションを含むことがあることが知られており(
図1D、1E、2~4)、これは、自身のPINの提示又は生体認証(例えば、指紋の認証)によりユーザ認証できるようにする、決済スキームにより特定されたアプリケーションであってよく、逆の場合もあり得る。
【0108】
カードは次のものを備えることが知られている(
図2~4):
‐特にMCUチップで登録/記憶された生体データを管理するためのP21アプリケーション(生体データマネージャとも呼ばれる);
‐生体認証センサ14による画像又は生体データの取得をトリガするプロセスを実行するF22「捕捉」機能(又はアプリケーション);
‐認証をスピードアップするために生データ(画像)を圧縮データ(すなわち特徴部)に変換するプロセスを実行するF23「抽出」機能(又はアプリケーション);
‐新たに取得又は捕捉した画像を認識し、これを以前に記憶した登録画像(すなわち、基準テンプレート40)と比較するプロセスを実行するF24「比較」機能(又はアプリケーション);
‐アクティブ化された又はアクティブ化されていない登録生体データのレジスタ25又はバックアップメモリ。
【0109】
この例において、本発明は、好ましい実施形態によれば、カード3がさらにP26アプリケーション(生体データ登録マネージャ、すなわち「バイオマネージャ」)を備えるべきであることを提案する。このP26登録マネージャは、P20バンキングアプリケーション(このケースでは、SEマイクロコントローラ4にあるが、他の場所、特にMCU,11内にある可能性がある)と連動する又は緊密に連携するという利点を有する。特に、P26アプリケーションプログラムは、トランザクションが登録ステータス、すなわち利用可能である(又は利用可能になった)という情報に基づいて(PINの有無にかかわらず)どのように進行すべきかを決定するためにP20と連携するように構成することができる。
【0110】
P26プログラムはまた、適切な時期に(特に全ての必要なセキュリティが満たされたとき。例えば、複合認証の後)記憶されている生体データをロック/アクティブ化するためにP20と連携することもできる。
【0111】
P26「バイオマネージャ」アプリケーションは、このケースでは決済アプリケーションP20と緊密に通信又は連携している。
【0112】
‐具体的には、P26「バイオマネージャ」アプリケーションは、P20生体認証決済アプリケーションが生体収集チップ、このケースではMCUチップ、すなわちマイクロコントローラ11により実行された生体認証の結果(OK、又は認証中に捕捉された生体データの認識スコア)を取得することを許可することがある。
【0113】
‐本発明の好ましい実施形態の特定の構成によれば、SEチップ4は、PINが決済アプリケーションP20における「EMV」タイプのトランザクション中に検証されるときはいつでも、情報(又はコマンド)を生体データ登録マネージャ「バイオマネージャ」P26に送信可能にする機能(アプリケーション又はステップ)9を備える。
【0114】
‐決済アプリケーションP20はまた、基準テンプレート40がまだアクティブ化又は有効化されていないことを示すE4情報をバイオマネージャP26から受信することもある(P26はこのステータスをP21により通知されている)。
【0115】
‐同様に、P20は、生体データが記憶(登録)されているが未だアクティブ化されていないこと、及びこれらのデータがトランザクションセッション中に新たに取得されたデータと一致するか否かを示すE7情報を受信することがある(P26はMCUによって通知されている)。
【0116】
‐本発明はまた、PINが検証され(260)、同じ交換セッション中に生体認証の成功があった(270、E6)場合に(記憶がまだアクティブ化されていない場合にのみ)登録された生体データをマネージャプログラムP21に通知して登録をアクティブ化する(E10、E10a)、このケースではP26によりトリガされる、
図3の機能(アプリケーション又はステップ)E10又は
図6の260を提供することもある。このE10機能は「バイオマネージャ」P26によって管理される。
【0117】
本発明はまた、これらの生体データに対する登録マネージャP26(バイオマネージャ)が発行したアクティブ化コマンドE10をマネージャP21が受け取ったときに、メモリ25に登録/記憶されている生体データを更新する(E10a)ことができる機能(アプリケーション又はステップ)を提供することもある。
【0118】
一般に、MCUのアプリケーションの全て又は一部はSEチップにおいて利用可能にすることができ、逆の場合もあり得る。同様に、2つのマイクロコントローラ間で分配された全ての機能を実行する単一のセキュアマイクロコントローラのみを有することが可能である。好ましくは、SEチップはMCUのマスタであるが、代替的に、それぞれが順番に他方のマスタとなってもよい。
【0119】
これから、
図5に示される、装置がカード3であるシステム1Aに関連したプロセスのステップを検討することによって本発明の動作(登録開始)を説明する。
【0120】
【0121】
-ステップ10(図示せず)において、カードは専用のリーダ2に挿入され、SEマイクロコントローラ4によって非ISO信号が検出されると、これに応答して非ISO信号は、生体パターンの登録(登録又は記憶)の手続の開始をトリガする(例えば、
図1cに示されるVCC信号の上昇又はコールド起動及びゼロ調整の後の、ISOにより要求される最低期間前のRST信号の上昇の検出)。
【0122】
-MCUチップ又はSEチップの一方の「10a」テストが、特にレジスタ25(
図2)の参照によって、登録された生体データについてP21(バイオマネージャ)マネージャに問い合わせを行い、登録された指の数が最大数に達したかどうかを確認する。
【0123】
-ステップ20/30において、(上記のテストが否定的)、カードのLEDが(例えば、緑色LEDを低頻度で点滅させることによって)登録段階が開始したことを示す。このために、交互の高及び低信号又は電位が、LEDに通じる1つのGPIOピン上のSE又はMCUによって置かれることがある。
【0124】
ステップ40において、一定期間後に、待機段階中に装置上に指が置かれない(又は認識されない)場合、登録/記憶手続が中断され、信号がユーザに送信される(例えば、赤色LEDは2秒間点灯し続ける)。
【0125】
そして、(期間を経過していない)ステップ50において、ユーザは、(連続画像(N1~N7、
図7)を再構成することによって)指紋の十分に広い範囲をカバーするために、指を指紋センサ上に数回置くことができる。
【0126】
登録が正しく行われるたびに、ユーザに(例えば、緑色LEDを500ms間点灯したままにすることによって)信号を送ることができ、そしてLEDは、別の指紋捕捉を行うべきことなどを示すために再び点滅することができる。
【0127】
-ステップ60において、ユーザは、各登録が成功した後、カードのLEDによって(例えば、LEDが点滅する頻度の加速又は減少に気付くことによって)手続の経過を追跡する。
【0128】
-ステップ70において、生体パターンの必要捕捉数に達する。
【0129】
-後続のステップ80において、緑色LEDはユーザに手続が完了したことを示す(例えば、緑色LEDは2秒間点灯し続ける)。
【0130】
-ステップ110において、カードの電源が切れる可能性がある。
【0131】
ユーザは、カードを専用のリーダから抜き取り、これを再挿入する(同じ手続が繰り返される)ことによって、第2の指を登録する(又は失敗した第1の指の登録を再開する)ことができる。
【0132】
-ステップ10aに戻って(分岐yes)、ステップ10aにおいて登録/記憶に成功した指の最大数に達した場合、カードのLEDは、ステップ100において定数に達したことを(例えば、緑色LED及び赤色LEDを2秒間交互に点滅させることによって)知らせる。
【0133】
カードが専用のリーダから抜き取られ再挿入された場合、同じ定数到達信号がユーザの目に見えるであろう。そして登録が完了する。
【0134】
本発明は、次のような記憶に関連した2つの機能を提供することがある。
【0135】
-カードは、いったん指紋記憶限界に達すると、(必要ならばリセット機構を用いて:具体的には、センサ14上での指のダブルタップ、又は長押し、特定パターンの提示などの何らかの他のオプション)記憶を遮断することができる。
【0136】
-あるいは、カードは、ユーザがコネクタを使用する限り、ユーザが指を再登録できるようにする(例えば、記憶可能な指の数の限度が3である場合には、カードは最後の3本の指の登録を維持する(古い指紋は周期的に記憶することができる))。
【0137】
好ましくは、セキュリティ上の理由により、本発明は一度に1つの指紋のみをロックすることを規定することがある。いくつかの登録可能な指(例えば「n」本)が存在する場合、この好ましい実施形態によれば、ユーザは全く同じセッションで指1から指nを登録しなければならないだろう。このとき、全ての登録された指は、認証されたPINコードを用いた第1のトランザクションのときにアクティブ化されるであろう。
【0138】
しかしながら、セキュリティを高めるために、本発明は、「n」本の指の登録を規定することがある。そして、認証されたPINコードを用いた第1のトランザクションのとき、指「x」(nの中に含まれる)も認証される場合に、この指のみがアクティブ化される。同じ指が装置に後日再び置かれる場合、PINコードはもはや必要なくなる。
【0139】
しかしながら、指「x」とは異なる別の指「x1」が装置に置かれる場合、この別の指「x1」をアクティブ化するためにPINコードを再入力しなければならない。
【0140】
一般的に言えば、登録をアクティブ化/ロックするために、認証された指の定数に達する必要はない。少なくとも1本の登録に成功した指があれば足りる。
【0141】
登録リセット(任意選択)。
【0142】
登録された指がロックされていない限り、本発明は、全ての登録された指が消去されること、及び特定の信号をセンサに送信することによって(例えば、登録プロセスが進行していない場合に、生体認証センサを500ms未満に2回タップすることによって)手続が繰り返されることを規定することがある。
【0143】
そしてユーザに、LEDによって(例えば、2秒間点滅する赤色LEDによって)消去が通知されることになる。
【0144】
ロック/確定/アクティブ化登録(ステップ80)
【0145】
少なくとも1本の指の登録/記憶が成功したとき、(
図4又は
図6に従って)登録をロックすることができる。
【0146】
検証されたPINを用いたPOS端末におけるトランザクションを介して登録ロックを行うための本発明の好ましい実施形態に係る動作原理(
図6)。
【0147】
-ステップ200において、トランザクションの前にPOSで支払いを行う際、プログラムは、記憶されている指紋の数がゼロでないことを確かめる試験を行い、ゼロでない場合は、テストステップ210に進む。
【0148】
-テストステップ210において、新たに取得した新しい指紋(又は生体パターン)は、レジスタ25に以前に登録又は記憶された少なくとも1つの指紋と、後者がロックされている(特に、アクティブ化インジケータでアクティブ化されている)か否かにかかわらず比較される。
【0149】
-210テストが否定的である場合(分岐NO)、指紋は認証されず、本発明のP2プログラムは、PINを用いるEMVトランザクション動作モードにループする(ステップ250)。
【0150】
-テストステップ210が肯定的である場合(分岐YES)、指紋認証は成功し、プログラムは次のテストステップ220につながる。
【0151】
-ステップ220(分岐YES)において、プログラムは登録された指紋が既にロック(アクティブ化)されているかをチェックし、テストが成功した場合、プログラムはステップ230につながる。
【0152】
-ステップ230において、決済トランザクションは、アクティブ化/有効化された基準テンプレートがカードに既にセットアップされているために、(決済スキームの仕様に記載されているように)ユーザが自身のPINコードを入力する必要なく行われる。
【0153】
好ましくは、本発明は、(例えば、ある人が所有者の知らないうちにカードを奪い、カード所有者の指の中に自分の指の1本を登録するなど)セキュリティ上の理由から、一度に1本の指のみをロックする可能性を規定する。
【0154】
-しかしながら、テスト220は新しい指紋が認証されたにもかかわらずロックを検出しない場合(分岐NO)(テスト220が否定的)には、P2プログラムは、ユーザが(指紋を提示していなかった、又は指紋が認証されていなかったかのように)自身のPINを提示しなければならない次のステップ240につながる。
【0155】
(ステップ240に続く)テストステップ260において、決済アプリケーション(P20-
図3)はトランザクション中にPINの検証に成功し(PIN OK)、ステップ270(
図6)に対応する専用のコマンド(E10-
図3)が、ユーザ認証を知らせるために登録された指紋のロックを管理するP21アプリケーションに送信される。このコマンドE10は、P21を介してレジスタ25(
図3)内の登録/記憶されているデータE10のアクティブ化を引き起こす。MCUのP21マネージャは、(以前の非アクティブ化状態ではなく)レジスタ25内の登録された特徴部と関連付けられたアクティブ化状態を記憶する。
【0156】
テストステップ260(分岐NO)において、入力されたPINが正しくない場合には、本発明のプログラムは、その後(例えば、PINを再入力するように求める、又はトランザクションを拒否することによって)標準として展開するステップ280のEMVトランザクションに進む。
【0157】
図5及び6において、様々なステップは、本発明のプロセスにおいて可能なステップ、及び/又はSE及び/又はMCUマイクロコントローラの一方により実行されるソフトウェアオペレーティングプログラムのステップに対応する。
図2~4も同様である。P2プロセスにおけるステップは、バイオマネージャP26プログラムにおけるステップに一致又は相当することがある。
【0158】
登録を確定又はアクティブ化するステップを、以下に起こり得る3つの状況をそれぞれ示す
図2~4と密接に関連付けてこれから説明する。
-
図2:指紋は登録もアクティブ化もされていない
-
図3:指紋は登録されているがアクティブ化されていない
-
図4:指紋は登録され、アクティブ化されている。
【0159】
図2に関する状況(登録もアクティブ化もされていない)について。
【0160】
-トランザクション、このケースでは店頭(POS)において決済端末を使用するEMVバンキングトランザクション手順の始まりのステップE1において、SEチップ4は、登録ステータス、具体的には生体データがレジスタ25に記憶されているかどうかを確認するために、MCUマイクロコントローラに問い合わせる又は相談する。
【0161】
-例えば、SEチップは、センサ14で捕捉された生体データの比較要求などのE1コマンドを、P20アプリケーションを介してMCUマイクロコントローラ11に直接送信することができる。コマンドは、P26(バイオマネージャ)マネージャを介して開始することもできる。
【0162】
-ステップE2において、MCUは、(特に登録マネージャP26を介して)登録又は記憶されている比較可能な特徴部があるかどうかを確認するために、登録されている特徴部のレジスタ25に対してチェック、読み出し又は問い合わせを行う。
【0163】
-ステップE3において、MCUのP21特徴部マネージャは、レジスタ25に特徴部が登録されていないことが分かると、P26生体データ登録マネージャ(バイオマネージャ)にこの旨を知らせる。
【0164】
-ステップE4において、P26登録マネージャ「バイオマネージャ」は、この旨(特徴部が登録されていないこと)をP20決済アプリケーションに知らせ、その結果、EMVトランザクションがP20アプリケーションで継続し、生体データではなくPINコードを用いて認証が実行される。
【0165】
図3に関する状況(登録されている特徴部がアクティブ化されていない)について(部分的に
図6のステップに対応する場合もある)。
【0166】
-E1ステップは前のケースと同じである。
【0167】
-ステップE2aにおいて、特徴部マネージャP21は、そのレジスタ25への要求から、特徴部がレジスタ25に登録/記憶されているがアクティブ化されていない(すなわち、登録が確定されていない)ことが分かる。
【0168】
-したがって、次のステップE5において、MCUすなわち登録された特徴部のP21マネージャは、捕捉アプリケーション22を介して新しい生体データを捕捉するプロセスを誘発した後、新しい特徴部の抽出、及びレジスタ25に既に含まれている記憶されておりアクティブ化されていない特徴部との比較24が続く。
【0169】
-次のステップE6において、比較の肯定的な結果(FP OK)がP26登録マネージャアプリケーション「バイオマネージャ」に送られる。
【0170】
-次に、ステップE7において、バイオマネージャP26は、(記憶がアクティブ化されていないために)トランザクションをまだPINを用いて行う必要があることを決済アプリケーション20に知らせる。この認証はまた、有利には生体データのアクティブ化/有効化を可能にする、ユーザに透過的なセキュリティ対策を構成する。
【0171】
-次のステップE8において、決済アプリケーションP20は、(特徴部がアクティブ化されていない、又は登録が確定されていないために)PINを実装することによってEMVトランザクションを進める-(E8は
図6のステップ240に対応することがある)。
【0172】
-次のステップE9において、PINがEMVトランザクション中に検証されると、これ、例えば「PIN OK」を表す情報が、決済アプリケーション20によって、又はセキュアSEチップ4によってP26生体データ登録マネージャ「バイオマネージャ」に送信される。
【0173】
次のステップE10において、P26生体データマネージャが、(このケースでは同じトランザクションセッションに)生体比較の肯定的な結果及びPINコードの肯定的な結果を含む2つの情報E6及びE9(FP OK及びPIN OK)を有するとすぐに、P26は、登録の(制御又は確定の)アクティブ化要求E10をMCUマイクロコントローラ、具体的には登録された特徴部のP21マネージャに送信する。
【0174】
次のステップ11において、MCU、すなわちP21マネージャは、登録されている([ただし]アクティブ化されていない)特徴部のための情報を、これをアクティブ化することによって(例えば、特徴部に関連付けられたレジスタに、アクティブ化若しくは確定通知又はアクティブ化フラグを記憶することによって)更新する。
【0175】
このアクティブ化の結果、次のトランザクションは、即時に捕捉した生体データを使用し、PINを用いることなく実行することができる(
図4参照)。
【0176】
図4に関する状況(特徴部が登録及びアクティブ化されている)について。
【0177】
-ステップは、ステップE2b以降が前のケースと、P21マネージャがそのレジスタ25への要求に、特徴部がレジスタ25に登録(又は記憶)され、アクティブ化(又はロック)されていることを記述する点で異なる。
【0178】
-次のステップE5では、既に述べたように、MCUすなわち登録された特徴部のP21マネージャは、捕捉アプリケーションF22を介して新しい生体データを捕捉するプロセスを誘発した後、新しい特徴部の抽出F23、及びレジスタ25に既に記憶されている基準特徴部との比較F24が続く。
【0179】
-次のステップE6において、新しい特徴部とアクティブ化された基準特徴部との比較の結果「FPアクティブ化OK」(指紋アクティブ化OKを意味する)は、P26生体データ登録マネージャ「バイオマネージャ」アプリケーションに送られる。
【0180】
-ステップE11において、P26バイオマネージャマネージャは、決済アプリケーション20に、トランザクションをPINを用いることなく直接実行するように通知し、生体認証は、アクティブ化/有効化された基準生体テンプレートに対して正しく実行されている。(これらのステップは、
図6のステップ230につながるステップに対応することがある)。
【0181】
NFCスマートフォン及びアプリケーションを使用して登録をロック(確定又はアクティブ化)すること。
【0182】
図8は、NFC携帯電話機31を使用した装置3に記憶されている生体データのA1アクティブ化を示している。電話機は、指紋センサ34などの生体捕捉手段や任意の他の手段(カメラ/顔の写真・・・)を備える。電話機は、場合により電気通信ネットワーク、及びユーザの以前に捕捉された生体(又は代表)データを含む認証データベースを介してサーバに接続されることがある。
【0183】
ユーザは、スマートフォン31を使用して近距離無線通信(NFC)でオンラインストアから専用の「APA」認証/アクティブ化アプリケーションをダウンロードする。次に、ユーザは、任意の手段によって、特に、例えば顔の写真やセンサ34を使用した指紋などの生体データを入力することによって、専用のAPAアプリケーションにおいて自身の認証を進める。
【0184】
電話機は、新たに捕捉されたデータ(又は安全な代表値)をデータベースに記憶されている捕捉された特徴部(又は特徴部を表す値)と比較するために、APAアプリケーションを介してデータベースに問い合わせる。
【0185】
必要ならば生体データ(又は同等の代表値)は、直接ライブ認証及びアクティブ化のために専用のAPAアプリケーションを使用して電話機に記憶されることがある。
【0186】
認証に成功すると、ユーザはトランザクションスマートカードを自身のNFC対応の電話機の下に置く。「APA」電話アプリケーションは、生体認証カードとの通信が確立されたことをユーザに示し、ユーザが生体認証カードをアクティブ化することを望んでいるかどうかを尋ねる。
【0187】
そしてユーザは、登録された指紋のロックを有効化し、対話式表示領域の「YES」を押すことによって自身の電話機上のアプリケーションを使用して登録を確定することができる。
【0188】
カードは、ユーザにロック/アクティブ化手続の成功を知らせる信号を専用のモバイルAPAアプリケーションに送り返すことができる。
【0189】
一度登録がロック/アクティブ化されると、(好ましくは)もはや登録された指を変更又は追加することは不可能である。こうして、支払いを許可するために指紋を使用することが可能である。
【0190】
この確定手続(
図8)は可能な代替手段であるが、ロックされた指紋が認証されたユーザのものと専用のアプリケーションで必ずしも確認されないことから、セキュリティ上の理由で好ましくない。
【0191】
代替的に、信頼性の高いNFC接続の場合、カード内で指紋認証を行うことが可能である。
【0192】
本発明は、ひそかな時間に、特に情報の交換若しくは取得、又は生体データの記憶の装置との初めてのセッション中に、ユーザの自宅で平穏に生体データの取得を可能にするという利点を有する。
【0193】
本発明は、いくつかの連続したパターン/指紋/特徴部を、十分な割合又は全取得が達成されるまで、特に分散して取得することを可能にし、その結果、任意の生体認証の効果的な運用が確保される。異なる記憶セッションが、例えば新しいRESET信号によって、又はカードによる記憶の初期化を示す信号の新たな検出によって開始されることがあり、又はカードへの最初の電力供給と電力供給の終わりとの間に確立されることがある。
【0194】
好ましくは、本発明は、単一のセッションで同じ指を装置に置くことを数回(約4回~6回)しか必要としない登録アルゴリズム又はプログラムを提供する。したがって、プログラムは、例えば、記憶の開始から数分(特に3又は5分未満)のうちに、全く同じ指が一気に装置に置かれることを規定する。偶然であろうとなかろうと、この期間中に中断(カードの切断、所定の期間内に指が装置に置かれた回数の不足)があった場合、本発明は、好ましくは4~6個の指紋の記憶を最初から再開することを規定することがある。
【0195】
例えば、現在のスマートカードの指紋センサは、必要な指紋領域を捕捉できるほど大きくない。したがって、互いに補完するいくつかの指紋を取得して、可能な限り大きい領域をカバーすることが必要である(
図7)。
【0196】
したがって、
図7は、例として(所定の閾値を考慮した十分に大きい領域をカバーする)基準指紋を表現するために装置メモリ内で並べられる(又は組み立て/組み合わせられる)7個の指紋の取得を示している。
【0197】
本発明は、好ましくは所定の割合以下の指紋パターンを組み立て再構成するためのアルゴリズムを備え、また備えることが知られている。本発明を実施するために単一のパターン(あるいは2つ)を捕捉及びアクティブ化することを排除しない。
【0198】
そして本発明は、パターン取得を、装置との後続の情報交換セッションによって安全かつユーザに透過的に有効化(アクティブ化、ロック、又は確定)することを可能にする。セッションはいかなる認証(PIN、指紋、その他の認証形態)も含む。
【0199】
好ましくは、パターンの取得を有効化するための、ひいては登録を確定するためのセッションは、(第1のセッションとは異なる)装置とのデータ交換(又は通信)の第2のセッション中に行われる。この第2のセッションは、標準化されたトランザクション又はトランザクションサービス(輸送、決済、アクセス、認証・・・)を実施するトランザクションに関連する。
【0200】
この例では、確定はEMVタイプのバンキングトランザクション中に行われる。
【0201】
換言すれば、本発明は、第1の取得/記憶セッション中に生体データを取得する(1回又は複数回)ステップ、及び(第1のセッションと異なる)第2の交換セッション中にロックする第2のステップを含む。第2のセッションは、好ましくはユーザ認証を含むことがある。
【0202】
これがひそかな時間に行われる、又はユーザに透過的であるために、登録以外の目的に有用な認証が行われることが好ましい。この認証は、例えば装置との電子トランザクションを実行するため、及び登録の有効化又は確定(すなわち、取得した生体データのアクティブ化)のために認証の結果を有効に利用するために行われる場合に有用である。
【0203】
確定については、本発明は、指紋の取得及び記憶されている指紋との比較を含む段階を通じて、確定が間違いなく同一のユーザについて行われることを確実にすることができる。実際、パターンは比較の結果が肯定的である場合にのみアクティブ化される(生体認証)。
【0204】
代替的に、PINコード認証を用いたアクティブ化が行われる可能性もある。認証が有用な電子トランザクション処理の間に行われる可能性もある。
【0205】
代替的に、好ましい実施形態では、アクティブ化/確定に複合認証が用いられる。特にこの例では、生体指紋とPINコードとにより認証を行うことができる。
【0206】
生体指紋認証は、別個の期間(時間、日)に行われた、又は空間(異なる場所、自宅と銀行支店)、さらには[別々の]制御により隔てられた可能性がある2つの異なる(不連続の)交換セッション間にリンクを確立することを可能にする。認証によって、取得を行ったユーザがロックしているものと同じユーザであることが保証される。
【0207】
ロックは、二要素認証に加えて、追加のPIN認証成功を用いる。
【0208】
本発明は、有利には次世代の認証手段(指紋)と、やがて必要でなくなる現在の手段(PIN)とを使用する複合認証を用いる。
【0209】
本発明は、有利にはP26ソフトウェアエージェント(アプリケーションプログラム)「バイオマネージャ」登録マネージャを追加する。このプログラムは、このケースでは、電子トランザクションアプリケーションを含む(例えば、トランザクションアプリケーションと生体データマネージャとの間の)SEセキュリティエレメント4に配置される。P26「バイオマネージャ」マネージャは、生体認証のための(及び/又は、何か他の方法、例えばこのケースではPINにより行われる認証のための)情報を受け取る(検出する、傍受する、又は制御する)ことに関与する。
【0210】
MCU(例えば、特徴部マネージャ)からの生体認証及び/又はトランザクションアプリケーションP20からの他の認証(例えば、PINによる)の成功通知は、P26「バイオマネージャ」登録マネージャによって受け取られる。これは、(このケースではP21生体データ登録マネージャを介して)生体データのロック又はアクティブ化をトリガする。
【0211】
P26バイオマネージャ登録マネージャはまた、MCUにより記憶されている登録された生体データがないことについての情報を受信/検出し、これに応答して、通常の方法で、このケースではPINコード認証を用いてトランザクションを継続するようにP20トランザクションアプリケーションに通知する機能も有する。
【0212】
「バイオマネージャ」登録マネージャはまた、特にMCUからの、記憶されているがアクティブ化されていない生体データがあることについての情報を受信し、これに応答して、登録が確定されていない(生体データがアクティブ化されていない)ために、通常の方法で、ここではPINコードを使用した認証を用いてトランザクションを継続するようにP20トランザクションアプリケーションに通知する機能も有する。
【0213】
P26「バイオマネージャ」登録マネージャはまた、生体認証成功情報及び/又はPINコード認証成功情報をトランザクションアプリケーションから受信/検出し、これに応答して、まだアクティブ化されていない生体データをアクティブ化する機能(特に、この例では上記の機能の実行に続く)も有する。