知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-01-06
(45)【発行日】2025-01-15
(54)【発明の名称】情報処理システム、情報処理方法、及び、記録媒体
(51)【国際特許分類】
G06F 21/32 20130101AFI20250107BHJP
H04L 9/32 20060101ALI20250107BHJP
【FI】
G06F21/32
H04L9/32 100D
【請求項の数】
9
(21)【出願番号】P 2023565732
(86)(22)【出願日】2021-12-07
(86)【国際出願番号】 JP2021044915
(87)【国際公開番号】W WO2023105628
(87)【国際公開日】2023-06-15
【審査請求日】2024-06-04
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100104765
【弁理士】
【氏名又は名称】江上 達夫
(74)【代理人】
【識別番号】100107331
【弁理士】
【氏名又は名称】中村 聡延
(74)【代理人】
【識別番号】100131015
【弁理士】
【氏名又は名称】三輪 浩誉
(72)【発明者】
【氏名】岡本 悠生
【審査官】青木 重徳
(56)【参考文献】
【文献】特開2009-009293(JP,A)
【文献】特開2011-022785(JP,A)
【文献】特開2021-129147(JP,A)
【文献】Siamak E. Shahandashti et al.,Private Fingerprint Matching,Cryptology ePrint Archive,[オンライン],2012年04月22日,2012/219,pp. 1-14,[2024.11.20 検索]、インターネット,<URL: https://eprint.iacr.org/2012/219>
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/32
H04L 9/32
JSTPlus/JMEDPlus/JST7580(JDreamIII)
IEEE Xplore
THE ACM DIGITAL LIBRARY
(57)【特許請求の範囲】
【請求項1】
第3秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第1符号化情報を生成するエッジ側生成手段と、
前記第1符号化情報を第1秘密情報としてクラウドサーバに送信する送信手段と
を備えるエッジサーバ、及び
前記第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させる記憶制御手段と、
第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成する生成手段と、
前記テンプレート情報と前記テスト情報とを照合する照合手段と
を備え、
前記記憶制御手段は、前記エッジサーバから前記第1秘密情報として送信された前記第1符号化情報に対して前記第1符号化パラメータとは異なる第2符号化パラメータを用いた第2符号化処理を行うことで生成した前記テンプレート情報を前記記憶手段に記憶させる、前記クラウドサーバ
を含む情報処理システム。
【請求項2】
前記エッジサーバは、第4秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第2符号化情報を生成するエッジ側生成手段と、
前記第2符号化情報を前記第2秘密情報として前記クラウドサーバに送信する送信手段と
を備え、
前記クラウドサーバは、前記記憶制御手段、前記生成手段、及び前記照合手段を備え、
前記生成手段は、前記エッジサーバから前記第2秘密情報として送信された前記第2符号化情報に対して、前記第1符号化パラメータとは異なる第2符号化パラメータを用いた第2符号化処理を行うことで、前記テスト情報を生成する
請求項1に記載の情報処理システム。
【請求項3】
前記エッジサーバは、第4秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第2符号化情報を生成するエッジ側生成手段を更に備え、
前記送信手段は、前記第2符号化情報を前記テスト情報として前記クラウドサーバに送信し、
前記記憶制御手段は、前記記憶手段に記憶されているテンプレート情報に対して、前記第2符号化パラメータを用いた復号化処理を行うことで、テンプレート情報としての前記第1符号化情報を生成する
請求項1又は2に記載の情報処理システム。
【請求項4】
前記第2符号化処理は、キャンセラブル変換処理を含む請求項1又は2に記載の情報処理システム。
【請求項5】
前記第1符号化処理は、キャンセラブル変換処理を含む請求項1又は2に記載の情報処理システム。
【請求項6】
前記第2符号化処理は、前記第2符号化パラメータと、前記第1符号化パラメータと、を用いた符号化処理を含む請求項1又は2に記載の情報処理システム。
【請求項7】
前記エッジサーバは、前記第1符号化パラメータを生成する第1符号化パラメータ生成手段を更に備える請求項1又は2に記載の情報処理システム。
【請求項8】
第3秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第1符号化情報を生成することと、
前記第1符号化情報を第1秘密情報としてクラウドサーバに送信することと
を含むエッジサーバが実行する方法、及び
前記第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させることと、
第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成することと、
前記テンプレート情報と前記テスト情報とを照合することと
を含み、前記エッジサーバから前記第1秘密情報として送信された前記第1符号化情報に対して前記第1符号化パラメータとは異なる第2符号化パラメータを用いた第2符号化処理を行うことで生成した前記テンプレート情報を前記記憶手段に記憶させる、前記クラウドサーバが実行する方法を含む情報処理方法。
【請求項9】
エッジサーバを、第3秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第1符号化情報を生成するエッジ側生成手段、及び
前記第1符号化情報を第1秘密情報としてクラウドサーバに送信する送信手段として機能させ、
前記クラウドサーバを、
前記第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させる記憶制御手段、
第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成する生成手段、及び
前記テンプレート情報と前記テスト情報とを照合する照合手段として機能させ、
前記記憶制御手段は、前記エッジサーバから前記第1秘密情報として送信された前記第1符号化情報に対して前記第1符号化パラメータとは異なる第2符号化パラメータを用いた第2符号化処理を行うことで生成した前記テンプレート情報を前記記憶手段に記憶させる
ためのコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
この開示は、情報処理システム、情報処理方法、及び、記録媒体の技術分野に関する。
【背景技術】
【0002】
第1の合成バイオメトリックデータに対応する第1の情報を取得し、第1の共通合成データと第2のバイオメトリックデータとを取得し、第1の情報および第2のバイオメトリックデータに基づいて第2の共通合成データを生成し、第1の共通合成データと第2の共通合成データの比較に基づいてアクセスを選択的に認証する技術が特許文献1に記載されている。また、ユーザの生体情報の特徴量をパラメータにより変換したテンプレートとIDとを対応付けて保管し、サーバから送られるIDに対応するテンプレートを変換して作成したワンタイムテンプレートと、クライアントから送られる変換特徴量及びサーバから送られるパラメータを用いたデータの一方とを照合して一致/不一致を判定する技術が特許文献2に記載されている。また、暗号鍵を用いてコンテンツが暗号化され、暗号鍵にクラウド・ストレージのアドレス情報を関連付けた管理情報が生成されており、端末装置は、管理情報を参照してクラウド・ストレージにユーザ認証なしでアクセスし、暗号化コンテンツをクラウド・ストレージからダウンロードし、暗号鍵を用いて暗号化コンテンツからコンテンツを復号する技術が特許文献3に記載されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特表2017-531237号公報
【文献】国際公開第2010/070787号
【文献】国際公開第2013/111174号
【発明の概要】
【発明が解決しようとする課題】
【0004】
この開示は、先行技術文献に記載された技術の改良を目的とする情報処理システム、情報処理方法、及び、記録媒体を提供することを課題とする。
【課題を解決するための手段】
【0005】
情報処理システムの一の態様は、第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させる記憶制御手段と、第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成する生成手段と、前記テンプレート情報と前記テスト情報とを照合する照合手段とを備える。
【0006】
情報処理方法の一の態様は、第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させ、第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成し、前記テンプレート情報と前記テスト情報とを照合する。
【0007】
記録媒体の一の態様は、コンピュータに、第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させ、第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成し、前記テンプレート情報と前記テスト情報とを照合する情報処理方法を実行させるためのコンピュータプログラムが記録された。
【図面の簡単な説明】
【0008】
【発明を実施するための形態】
【0009】
以下、図面を参照しながら、情報処理システム、情報処理方法、及び、記録媒体の実施形態について説明する。
[1:第1実施形態]
[1:第1実施形態]
【0010】
はじめに、情報処理システム、情報処理方法、及び、記録媒体の第1実施形態について説明する。以下では、情報処理システム、情報処理方法、及び記録媒体の第1実施形態が適用された情報処理システム1を用いて、情報処理システム、情報処理方法、及び記録媒体の第1実施形態について説明する。
[1-1:情報処理システム1の構成]
[1-1:情報処理システム1の構成]
【0011】
【0012】
記憶制御部11は、第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶装置に記憶させる。生成部12は、第2秘密情報に対して符号化パラメータを用いた符号化処理を行うことでテスト情報を生成する。照合部13は、テンプレート情報とテスト情報とを照合する。テンプレート情報、及びテスト情報は、同じ符号化パラメータを用いて同じ符号化処理が施されて生成された情報である。すなわち、照合部13は、符号化処理が施された情報同士を照合する。
[1-2:情報処理システム1の技術的効果]
[1-2:情報処理システム1の技術的効果]
【0013】
第1実施形態における情報処理システム1は、秘密情報に対して符号化処理を施し、符号化された情報を、記憶させたり、照合したりする。すなわち、第1実施形態における情報処理システム1は、符号化されていない平文の秘密情報を記憶させたり、照合したりすることがない。したがって、管理者であっても、平文の秘密情報に接触する機会が少なくなる。また、仮に、情報の漏洩が発生した場合にも、漏洩した情報は秘密情報そのものではないので、秘密を保つことができる。
[2:第2実施形態]
[2:第2実施形態]
【0014】
続いて、情報処理システム、情報処理方法、及び記録媒体の第2実施形態について説明する。以下では、情報処理システム、情報処理方法、及び記録媒体の第2実施形態が適用された情報処理システム2を用いて、情報処理システム、情報処理方法、及び記録媒体の第2実施形態について説明する。
[2-1:情報処理システム2の全体構成]
[2-1:情報処理システム2の全体構成]
【0015】
図2は、第2実施形態における情報処理システム2の概念図である。図2に示すように、情報処理システム2は、テナント10とクラウドサーバ20とを含む。テナント10は、1以上のエッジサーバ301,302,・・・,30Nを含んでいてよい。区別しない場合は、エッジサーバ301,302,・・・,30Nの夫々をエッジサーバ30と記載する。エッジサーバ30は、テナント10の一部であってよく、例えば、エッジサーバ30は、テナント10に備えられている複数の入場ゲート毎に設けられていてもよい。また、エッジサーバ30は、例えばテナント10としての小売店舗に設けれており、顔認証決済の端末として使用されてもよい。または、エッジサーバ30は、空港の搭乗ゲートに設けられていてもよい。また、エッジサーバ30は、空港の顔認証チェックイン端末として使用されてもよい。
【0016】
テナント10とは、秘密情報を共有する単位であってよい。例えば、テナント10とは、店舗や建物の単位であってもよく、企業等の単位であってもよい。情報処理システム2は、1以上のテナント10と1のクラウドサーバ20とを含んでいてもよい。
小売店舗の本部に設けられるサーバを、テナントサーバとよんでもよい。情報システム2が空港に適用される場合は、テナントサーバは、航空会社の本部に設けられてもよい。テナントサーバは、クラウドサーバ20として使用されてもよい。
小売店舗の本部に設けられるサーバを、テナントサーバとよんでもよい。情報システム2が空港に適用される場合は、テナントサーバは、航空会社の本部に設けられてもよい。テナントサーバは、クラウドサーバ20として使用されてもよい。
【0017】
以下、情報処理システム2において生体情報を照合する生体認証処理を実施する場合について説明する。生体認証処理としては、顔画像を用いた顔認証、虹彩画像を用いた虹彩認証、指紋画像を用いた指紋認証、掌紋画像を用いた掌紋認証、掌等の静脈画像を用いた静脈認証、耳穴(外耳道)から反射した音を用いた耳音響認証等を挙げることができるが、以下、顔画像を用いた顔認証を行う場合について説明する。
[2-2-1:クラウドサーバ20の構成]
[2-2-1:クラウドサーバ20の構成]
【0018】
【0019】
図3に示すように、クラウドサーバ20は、演算装置21と、記憶装置22とを備えている。更に、クラウドサーバ20は、通信装置23と、入力装置24と、出力装置25とを備えていてもよい。但し、クラウドサーバ20は、通信装置23、入力装置24及び出力装置25のうちの少なくとも一つを備えていなくてもよい。演算装置21と、記憶装置22と、通信装置23と、入力装置24と、出力装置25とは、データバス26を介して接続されていてもよい。
【0020】
演算装置21は、例えば、CPU(Central Processing Unit)、GPU(Graphics Proecssing Unit)及びFPGA(Field Programmable Gate Array)のうちの少なくとも一つを含む。演算装置21は、コンピュータプログラムを読み込む。例えば、演算装置21は、記憶装置22が記憶しているコンピュータプログラムを読み込んでもよい。例えば、演算装置21は、コンピュータで読み取り可能であって且つ一時的でない記録媒体が記憶しているコンピュータプログラムを、クラウドサーバ20が備える図示しない記録媒体読み取り装置(例えば、後述する入力装置24)を用いて読み込んでもよい。演算装置21は、通信装置23(或いは、その他の通信装置)を介して、クラウドサーバ20の外部に配置される不図示の装置からコンピュータプログラムを取得してもよい(つまり、ダウンロードしてもよい又は読み込んでもよい)。演算装置21は、読み込んだコンピュータプログラムを実行する。その結果、演算装置21内には、クラウドサーバ20が行うべき動作を実行するための論理的な機能ブロックが実現される。つまり、演算装置21は、クラウドサーバ20が行うべき動作(言い換えれば、処理)を実行するための論理的な機能ブロックを実現するためのコントローラとして機能可能である。
【0021】
図3には、生体認証動作を実行するために演算装置21内に実現される論理的な機能ブロックの一例が示されている。図3に示すように、演算装置21内には、「記憶制御手段」の一具体例である記憶制御部211と、「生成手段」の一具体例であるクラウド側生成部212と、「照合手段」の一具体例である照合部213と、「第2符号化パラメータ生成手段」の一具体例であるテナントキー生成部214と、リキーパラメータ生成部215と、なりすまし判定部216とが実現される。
【0022】
尚、記憶制御部211、クラウド側生成部212、照合部213、テナントキー生成部214、リキーパラメータ生成部215、及びなりすまし判定部216の夫々の動作の詳細については、図6~図8を参照しながら後に詳述する。但し、演算装置21は、テナントキー生成部214、リキーパラメータ生成部215、及びなりすまし判定部216の少なくとも1つを備えていなくてもよい。
【0023】
テナントキー生成部214は、第2符号化パラメータとしてのテナントキーTKを生成する。テナントキー生成部214は、テナントキーTKをテナント10毎に生成する。テナントキー生成部214は、任意のタイミングでテナントキーTKを生成してもよい。テナントキー生成部214は、例えば所定の期間毎にテナントキーTKを生成してもよい。テナントキー生成部214は、生成したテナントキーTKを、例えば記憶装置22に記憶させてもよい。
【0024】
記憶装置22は、所望のデータを記憶可能である。例えば、記憶装置22は、演算装置21が実行するコンピュータプログラムを一時的に記憶していてもよい。記憶装置22は、演算装置21がコンピュータプログラムを実行している場合に演算装置21が一時的に使用するデータを一時的に記憶してもよい。記憶装置22は、クラウドサーバ20が長期的に保存するデータを記憶してもよい。尚、記憶装置22は、RAM(Random Access Memory)、ROM(Read Only Memory)、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)及びディスクアレイ装置のうちの少なくとも一つを含んでいてもよい。つまり、記憶装置22は、一時的でない記録媒体を含んでいてもよい。
【0025】
記憶装置22は、テナントキーTK、及びテンプレート情報CIが登録されているテンプレート情報CIのデータベース(DB)を記憶していてもよい。但し、記憶装置22が、テナントキーTK、及びテンプレート情報CIのDBの少なくとも一方を記憶していなくてもよい。
【0026】
記憶装置22は、記憶制御部211の制御により、テンプレート情報CI登録動作をしてもよい。尚、記憶制御部211の制御によるテンプレート情報CI登録動作の詳細については、図6及び図8を参照しながら後に詳述する。但し、記憶装置22が、記憶制御部211の制御によりテンプレート情報CI登録動作をしなくてもよい。
【0027】
通信装置23は、不図示の通信ネットワークを介して、クラウドサーバ20の外部の装置と通信可能である。
【0028】
入力装置24は、クラウドサーバ20の外部からのクラウドサーバ20に対する情報の入力を受け付ける装置である。例えば、入力装置24は、クラウドサーバ20のオペレータが操作可能な操作装置(例えば、キーボード、マウス及びタッチパネルのうちの少なくとも一つ)を含んでいてもよい。例えば、入力装置24はクラウドサーバ20に対して外付け可能な記録媒体にデータとして記録されている情報を読み取り可能な読取装置を含んでいてもよい。
【0029】
出力装置25は、クラウドサーバ20の外部に対して情報を出力する装置である。例えば、出力装置25は、情報を画像として出力してもよい。つまり、出力装置25は、出力したい情報を示す画像を表示可能な表示装置(いわゆる、ディスプレイ)を含んでいてもよい。例えば、出力装置25は、情報を音声として出力してもよい。つまり、出力装置25は、音声を出力可能な音声装置(いわゆる、スピーカ)を含んでいてもよい。例えば、出力装置25は、紙面に情報を出力してもよい。つまり、出力装置25は、紙面に所望の情報を印刷可能な印刷装置(いわゆる、プリンタ)を含んでいてもよい。
[2-2-2:エッジサーバ30の構成]
[2-2-2:エッジサーバ30の構成]
【0030】
次に、図3を参照しながら、第2実施形態における情報処理システム2に含まれるエッジサーバ30の構成について説明する。
【0031】
図3に示すように、エッジサーバ30は、演算装置31と、記憶装置32とを備えている。更に、エッジサーバ30は、通信装置33と、入力装置34と、出力装置35とを備えていてもよい。但し、エッジサーバ30は、通信装置33、入力装置34及び出力装置35のうちの少なくとも一つを備えていなくてもよい。演算装置31と、記憶装置32と、通信装置33と、入力装置34と、出力装置35とは、データバス36を介して接続されていてもよい。
【0032】
演算装置31は、例えば、CPU(Central Processing Unit)、GPU(Graphics Proecssing Unit)及びFPGA(Field Programmable Gate Array)のうちの少なくとも一つを含む。演算装置31は、コンピュータプログラムを読み込む。例えば、演算装置31は、記憶装置32が記憶しているコンピュータプログラムを読み込んでもよい。例えば、演算装置31は、コンピュータで読み取り可能であって且つ一時的でない記録媒体が記憶しているコンピュータプログラムを、エッジサーバ30が備える図示しない記録媒体読み取り装置(例えば、後述する入力装置34)を用いて読み込んでもよい。演算装置31は、通信装置33(或いは、その他の通信装置)を介して、エッジサーバ30の外部に配置される不図示の装置からコンピュータプログラムを取得してもよい(つまり、ダウンロードしてもよい又は読み込んでもよい)。演算装置31は、読み込んだコンピュータプログラムを実行する。その結果、演算装置31内には、エッジサーバ30が行うべき動作を実行するための論理的な機能ブロックが実現される。つまり、演算装置31は、エッジサーバ30が行うべき動作(言い換えれば、処理)を実行するための論理的な機能ブロックを実現するためのコントローラとして機能可能である。
【0033】
図3には、生体認証動作を実行するために演算装置31内に実現される論理的な機能ブロックの一例が示されている。図3に示すように、演算装置31内には、「エッジ側生成手段」の一具体例であるエッジ側生成部311と、「送信手段」の一具体例である送信制御部312と、「第1符号化パラメータ生成手段」の一具体例であるエッジキー生成部313と、顔画像取得部315と、特徴量抽出部316とが実現される。
【0034】
尚、エッジ側生成部311、送信制御部312、エッジキー生成部313、顔画像取得部315、及び特徴量抽出部316の夫々の動作の詳細については、図6~図8を参照しながら後に詳述する。但し、演算装置31は、エッジキー生成部313、顔画像取得部315、及び特徴量抽出部316の少なくとも1つを備えていなくてもよく、演算装置31が、生体の特徴量を取得できればよい。
【0035】
エッジキー生成部313は、第1符号化パラメータとしてのエッジキーEKを生成する。エッジキー生成部313は、任意のタイミングでエッジキーEKを生成してもよい。エッジキー生成部313は、例えば所定の期間毎にエッジキーEKを生成してもよい。エッジサーバ30は、エッジキー生成部313が新しいエッジキーEKを生成した場合に、クラウドサーバ20に対しエッジキーEKを送信してもよい。クラウドサーバ20は、エッジサーバ30から第1符号化情報又は第2符号化情報を受信する際に、第1符号化情報又は第2符号化情報の生成に用いられたエッジキーEKを知っている。
【0036】
記憶装置32は、所望のデータを記憶可能である。例えば、記憶装置22は、演算装置31が実行するコンピュータプログラムを一時的に記憶していてもよい。記憶装置32は、演算装置31がコンピュータプログラムを実行している場合に演算装置31が一時的に使用するデータを一時的に記憶してもよい。記憶装置32は、エッジサーバ30が長期的に保存するデータを記憶してもよい。尚、記憶装置32は、RAM(Random Access Memory)、ROM(Read Only Memory)、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)及びディスクアレイ装置のうちの少なくとも一つを含んでいてもよい。つまり、記憶装置32は、一時的でない記録媒体を含んでいてもよい。
【0037】
記憶装置32は、エッジキー生成部313が生成した第1符号化パラメータとしてのエッジキーEKを記憶していてもよい。但し、記憶装置22は、エッジキーEKを記憶していなくてもよい。例えば、エッジキーEKは、エッジ側生成部311の第3秘密情報又は第4秘密情報の生成動作毎に生成され、記憶されるものでなくてもよい。この場合、エッジサーバ30は、エッジ側生成部311の生成した第3秘密情報又は第4秘密情報とともに、第3秘密情報又は第4秘密情報の生成に用いたエッジキーEKをクラウドサーバ20に送信してもよい。
【0038】
通信装置33は、不図示の通信ネットワークを介して、エッジサーバ30の外部の装置と通信可能である。通信装置33は、送信制御部312の制御を受け、第1符号化情報、第2符号化情報、及びエッジキーEKの送信をしてもよい。
【0039】
入力装置34は、エッジサーバ30の外部からのエッジサーバ30に対する情報の入力を受け付ける装置である。また、出力装置35は、エッジサーバ30の外部に対して情報を出力する装置である。
[2-3:キャンセラブル生体認証の概要]
[2-3:キャンセラブル生体認証の概要]
【0040】
次に、図4を参照しながら、キャンセラブル生体認証の概要について説明する。
生体認証においては、顔画像、虹彩画像、指紋画像、及び静脈画像等、被認証対象者の生体情報を予め登録しておき、認証に際し入力された被認証対象者の生体情報との比較結果に基づいて認証可否が判断される。しかし、生体情報は生涯不変といわれており、生体情報が漏洩してしまうと、パスワードのように変更できない。このため、一度漏えいすると二度と認証に使用できないという問題がある。また、漏洩した生体情報に係る生体の個人情報に関する問題だけではなく、漏洩した生体情報に係る生体の生体情報を用いる認証システムのセキュリティ性を損なうという問題がある。このような問題に対して、被認証対象者の生体情報の保護を目的として、本実施形態では、生体情報を秘匿した登録情報を用いて認証を行い、登録情報が漏洩した場合には漏洩した登録情報を無効化することが可能な「キャンセラブル生体認証」と呼ばれる手法が用いられている。
[2-3-1:キャンセラブル生体認証における生体情報の登録の流れ]
生体認証においては、顔画像、虹彩画像、指紋画像、及び静脈画像等、被認証対象者の生体情報を予め登録しておき、認証に際し入力された被認証対象者の生体情報との比較結果に基づいて認証可否が判断される。しかし、生体情報は生涯不変といわれており、生体情報が漏洩してしまうと、パスワードのように変更できない。このため、一度漏えいすると二度と認証に使用できないという問題がある。また、漏洩した生体情報に係る生体の個人情報に関する問題だけではなく、漏洩した生体情報に係る生体の生体情報を用いる認証システムのセキュリティ性を損なうという問題がある。このような問題に対して、被認証対象者の生体情報の保護を目的として、本実施形態では、生体情報を秘匿した登録情報を用いて認証を行い、登録情報が漏洩した場合には漏洩した登録情報を無効化することが可能な「キャンセラブル生体認証」と呼ばれる手法が用いられている。
[2-3-1:キャンセラブル生体認証における生体情報の登録の流れ]
【0041】
図4は、キャンセラブル生体認証の概要を示す図であり、図4(a)は、キャンセラブル生体認証の情報登録の際の流れの概要を示す図である。
キャンセラブル生体認証における情報の登録では、まず、生体情報を取得し、取得した生体情報から特徴量xが抽出される。例えば、生体情報から、ベクトルである特徴量xを抽出してもよい。特徴量xは、第3秘密情報の一例であってよい。続いて、符号化パラメータとしての例えばベクトルである変換キーKを用いて変換することにより、ベクトルである特徴量xを符号化し、ベクトルである符号化情報EIを生成する。以後、ベクトルである特徴量xを単に「特徴量x」と記載し、ベクトルである変換キーKを単に「変換キーK」と記載し、ベクトルである符号化情報EIを単に「符号化情報EI」と記載する場合がある。変換キーKは、ランダムに生成されたベクトル値であってもよい。符号化情報EIは、照合において用いられる登録情報のひとつであり、記憶装置22等に備わるデータベース等に記憶されてもよい。この符号化情報EIは、テンプレート情報CIの一例であってよい。
[2-3-2:キャンセラブル生体認証における生体情報の照合の流れ]
キャンセラブル生体認証における情報の登録では、まず、生体情報を取得し、取得した生体情報から特徴量xが抽出される。例えば、生体情報から、ベクトルである特徴量xを抽出してもよい。特徴量xは、第3秘密情報の一例であってよい。続いて、符号化パラメータとしての例えばベクトルである変換キーKを用いて変換することにより、ベクトルである特徴量xを符号化し、ベクトルである符号化情報EIを生成する。以後、ベクトルである特徴量xを単に「特徴量x」と記載し、ベクトルである変換キーKを単に「変換キーK」と記載し、ベクトルである符号化情報EIを単に「符号化情報EI」と記載する場合がある。変換キーKは、ランダムに生成されたベクトル値であってもよい。符号化情報EIは、照合において用いられる登録情報のひとつであり、記憶装置22等に備わるデータベース等に記憶されてもよい。この符号化情報EIは、テンプレート情報CIの一例であってよい。
[2-3-2:キャンセラブル生体認証における生体情報の照合の流れ]
【0042】
図4(b)は、キャンセラブル生体認証の情報照合の際の流れの概要を示す図である。
キャンセラブル生体認証における情報の照合では、まず、生体情報を取得し、取得した生体情報から特徴量yを抽出する。例えば、生体情報から、ベクトルである特徴量yを抽出してもよい。特徴量yは、第4秘密情報の一例であってよい。続いて、例えばベクトルである変換キーKを用いた変換により、ベクトルである特徴量yを符号化し、ベクトルである符号化情報EI´を生成する。この符号化情報EI´は、テスト情報TIの一例であってよい。
キャンセラブル生体認証における情報の照合では、まず、生体情報を取得し、取得した生体情報から特徴量yを抽出する。例えば、生体情報から、ベクトルである特徴量yを抽出してもよい。特徴量yは、第4秘密情報の一例であってよい。続いて、例えばベクトルである変換キーKを用いた変換により、ベクトルである特徴量yを符号化し、ベクトルである符号化情報EI´を生成する。この符号化情報EI´は、テスト情報TIの一例であってよい。
【0043】
符号化情報EI´は、符号化情報EIと同じ変換キーKを用いた変換により、特徴量yが変換された情報である。また、符号化情報EI´は、符号化情報EIに対して照合される情報である。キャンセラブル生体認証では、特徴量xが符号化された符号化情報EIと、特徴量yが符号化された符号化情報EI´とを、符号化したままの状態で照合することができる。
【0044】
キャンセラブル生体認証では、情報登録の際及び情報照合の際において、同じ変換キーKを用いた変換によって特徴量の符号化を行う。これにより、特徴量xと特徴量yとの類似度は、変換キーKを用いた符号化の後にも保存される。
【0045】
例えば、生体情報としての同一人物の顔画像から、特徴量xと特徴量yとを抽出した場合であり、特徴量xと特徴量yとが近い場合を考える。符号化情報EIは、特徴量xを変換することにより生成され、符号化情報EI´は、特徴量xに近い特徴量yを変換することにより生成される。したがって、符号化情報EIと符号化情報EI´との類似度は、特徴量xと特徴量yとの類似度に相当し、符号化情報EIと符号化情報EI´とは、互いに近い情報である。
【0046】
一方で、例えば、同じ特徴量xに対して、変換キーK1と、変換キーK1とは異なる変換キーK2とを用いた変換を行う場合を考える。特徴量xに対して、変換キーK1を用いた変換を用いた変換を行うことで、符号化情報EI1を生成することができる。また、特徴量xに対して、変換キーK2を用いた変換を用いた変換を行うことで、符号化情報EI2を生成することができる。変換キーK1と変換キーK2とは異なる変換キーであるので、生成された符号化情報EI1と符号化情報EI2とは異なる情報になる。
【0047】
つまり、符号化情報EI1に対して符号化情報EI2を照合すると、いずれの符号化情報も同じ特徴量xを変換して生成された符号化情報であるにも関わらず、符号化情報EI1と符号化情報EI2との類似度は、特徴量x同士の類似度とは一致しない。このように、キャンセラブル生体認証では、同じ特徴量xに対して、異なる変換キーK1及び変換キーK2を用いた変換をすることにより、異なる符号化情報EI1と符号化情報EI2が生成される。このような特性を用いて、キャンセラブル生体認証では、変換キーKを変更することにより、データベース等に記憶された登録情報を無効化することができる。また、キャンセラブル生体認証では、照合の際に用いるのは、符号化情報EIと、符号化情報EI´とであり、特徴量x、特徴量y、及び変換キーKを直接的には用いない。
【0048】
このように、キャンセラブル生体認証では、秘密情報である生体情報を符号化した状態で管理、及び照合ができる。また、キャンセラブル生体認証では、秘密情報を符号化処理した符号化情報、及び符号化処理に用いる符号化パラメータの少なくとも一方が漏洩した場合にも、符号化パラメータさえ交換すれば生体認証に使用する情報を何度でも変更することができる。
[2-4:リキー処理の概要]
[2-4:リキー処理の概要]
【0049】
次に、図5を参照しながら、符号化パラメータである変換キーKが、ベクトルである特徴量xに含まれる各次元の要素の並び順を置換する置換キーである場合を例に挙げて、リキー処理の概要について説明する。
【0050】
図5では、特徴量xが、4次元(次元数が4)のデータセットである場合を例に挙げて説明する。また、変換キーKAには、例えば、特徴量xの0次元目の要素(x[0])を2次元目に並べ、特徴量xの1次元目の要素(x[1])を0次元目に並べ替え、特徴量xの2次元目の要素(x[2])を1次元目に並べ替え、特徴量xの3次元目の要素(x[3])を3次元目に並べ替えるためのパラメータが定義されているとする。
【0051】
エッジ側生成部311は、図5(a)の上から1~2段目に示すように、変換キーKAを用いて特徴量xを符号化処理し、符号化情報EIAを生成してもよい。一方で、記憶制御部211及びクラウド側生成部212の少なくとも一方は、変換キーKAとは異なる変換キーKBを用いて特徴量xを符号化処理することにより、図5(a)の上から4段目に示す符号化情報EIBを生成してもよい。変換キーKBには、例えば、特徴量xの0次元目の要素(x[0])を1次元目に並べ、特徴量xの1次元目の要素(x[1])を1次元目に並べ替え、特徴量xの2次元目の要素(x[2])を3次元目に並べ替え、特徴量xの3次元目の要素(x[3])を0次元目に並べ替えるためのパラメータが定義されているとする。
【0052】
この場合、記憶制御部211及びクラウド側生成部212の少なくとも一方は、(1)まず、図5(a)の上から2~3段目に示すように、符号化情報EIAに変換キーKAを用いた逆変換をすることにより、特徴量xに復号し、(2)次に、図5(a)の上から3~4段目に示すように、復号した特徴量xに変換キーKBを用いた変換をすることにより、符号化情報EIBを生成してもよい。
【0053】
或いは、記憶制御部211及びクラウド側生成部212の少なくとも一方は、符号化情報EIAを特徴量xに逆変換することなく、符号化情報EIAを変換してもよい。具体的に、リキーパラメータ生成部215は、変換キーKAと、変換キーKBとを用いて、リキーパラメータRKPを生成してもよい。リキーパラメータRKPは、符号化情報EIAを復号化し、符号化情報EIBを用いた変換することに相当する処理ができるパラメータであってもよい。
【0054】
図5(b)の上から2~3段目に示すように、記憶制御部211及びクラウド側生成部212の少なくとも一方は、リキーパラメータRKPを用いて符号化情報EIAを変換することにより、符号化情報EICを生成する。図5に示すように、符号化情報EICに含まれる要素の並び順は、符号化情報EIBに含まれる要素の並び順と同じである。つまり、記憶制御部211及びクラウド側生成部212の少なくとも一方は、リキーパラメータRKPを用いて符号化情報EIAを変換することにより、変換キーKBを用いて特徴量xを暗号化した符号化情報EIBに相当するデータセットを生成することができる。このように、第2実施形態では、クラウドサーバ20において符号化情報EIAを特徴量xに復号化することなく、符号化情報EIBに相当するデータセットを生成することができる。つまり、符号化されていない平文である特徴量xが漏洩するリスクがなくなる。
【0055】
クラウドサーバ20がエッジサーバ30からエッジキーEKを用いた符号化処理が施された符号化情報EIAを受信すると、リキーパラメータ生成部215は、記憶装置22に記憶されしいるテナントキーTKと、エッジサーバ30から受信したエッジキーEKとに基づいてリキーパラメータRKPを生成してもよい。記憶制御部211及びクラウド側生成部212の少なくとも一方は、当該リキーパラメータRKPを用いて、受信した符号化情報EIAにリキー処理を施すことができる。
【0056】
また、図5(a)の上から2及び4段目に示すように、特徴量xに対して変換キーKBを用いて生成した符号化情報EIBの要素の並び順は、特徴量xに対して変換キーKAを用いて生成した符号化情報EIAの要素の並び順とは異なる。したがって、リキー処理では、特徴量xに対して変換キーKAを用いて生成した符号化情報EIAを、特徴量xに対して変換キーKBを用いて生成した符号化情報EIBに相当する符号化情報EICに変換することによって、符号化情報EIAを無効化することができる。
【0057】
また、テナントキーTK及びテンプレート情報CIの少なくとも一方が漏洩した場合には、リキーパラメータ生成部215は、テナントキー生成部214が生成した新しいテナントキーTKと、記憶装置22に記憶されている古いテナントキーTKとに基づいてリキーパラメータRKPを生成してもよい。そして、記憶制御部211は、当該リキーパラメータRKPを用いて、記憶装置22に記憶されているテンプレート情報CIにリキー処理を施し、テンプレート情報CIを更新してもよい。
また、定期メンテナンス等、エッジキーEK及びテナントキーTKの少なくとも一方が更新されるタイミングで、リキーパラメータ生成部215によるリキーパラメータRKPの生成処理、及び記憶制御部211によるテンプレート情報CIの更新処理が実施されてもよい。
また、定期メンテナンス等、エッジキーEK及びテナントキーTKの少なくとも一方が更新されるタイミングで、リキーパラメータ生成部215によるリキーパラメータRKPの生成処理、及び記憶制御部211によるテンプレート情報CIの更新処理が実施されてもよい。
【0058】
尚、上記では、リキー処理として、変換キーKとして置換キーを用いた変換処理を適用する例を挙げて説明したが、第2実施形態に適用するリキー処理として、別の変換処理を適用してもよい。適用可能な変換処理は、例えば、画像同士の照合(exact match)の場合に用いられる、画像をブロックに分割し、その位置をシャッフルする変換処理であってもよい。指紋の照合のように特徴点、特徴ベクトルを用いる照合の場合、画像全体を、位置や方向を維持した歪んだ平面に投影するマニューシャの幾何的変換処理であってもよい。虹彩の照合のようにハミング距離を用いる照合の場合、ハミング距離が不変になる変換処理を行ってもよい。また、照合対象が画像である場合、変換キーKは、ブロックに分割された画像の位置をシャッフルするシャッフルキーであってよい。
【0059】
以下、符号化パラメータは、キャンセラブル生体認証における情報の変換処理に用いる変換キーであってよく、符号化処理は、キャンセラブル生体認証における情報の変換処理であってよい。また、キャンセラブル生体認証における情報の変換処理を、キャンセラブル変換処理と称する場合がある。
[2-5:情報処理システム2が行うテンプレート情報CI登録動作]
[2-5:情報処理システム2が行うテンプレート情報CI登録動作]
【0060】
続いて、図6を参照しながら、第2実施形態における情報処理システム2が行うテンプレート情報CI登録動作について説明する。図6は、第2実施形態における情報処理システム2が行うテンプレート情報CI登録動作の流れを示す図である。
【0061】
図6に示すように、顔画像取得部315は、生体情報として個体の顔画像を取得する(ステップS11)。顔画像取得部315は、例えば、顔画像を撮像可能な撮像装置であってもよい。また、顔画像取得部315は、複数の顔画像を連続して取得可能な動画撮像装置であってもよい。また、顔画像取得部315は、入力装置34を介して、顔画像を取得してもよい。例えば、顔画像取得部315は、スマートフォン等の携帯端末から、当該携帯端末に格納されている顔画像を、ブルートゥース等の無線技術により取得する機構であってもよい。
【0062】
特徴量抽出部316は、顔画像の特徴量を抽出する(ステップS12)。この特徴量は、第3秘密情報の一例であってよい。
【0063】
エッジ側生成部311は、特徴量に対して第1符号化パラメータとしてのエッジキーEKを用いた第1符号化処理を行うことで、第1符号化情報を生成する(ステップS13)。第1符号化処理は、キャンセラブル変換処理を含んでいてもよい。
送信制御部312は、第1符号化情報を第1秘密情報としてクラウドサーバ20に送信する(ステップS14)。
送信制御部312は、第1符号化情報を第1秘密情報としてクラウドサーバ20に送信する(ステップS14)。
【0064】
以上、ステップS11~ステップS14の動作は、エッジサーバ30にて行われる。また、以下、ステップS15~ステップS17の動作は、クラウドサーバ20にて行われる。
リキーパラメータ生成部215は、エッジキーEKと、第1符号化パラメータとは異なる第2符号化パラメータとしてのテナントキーTKとからリキーパラメータRKPを生成する(ステップS15)。
リキーパラメータ生成部215は、エッジキーEKと、第1符号化パラメータとは異なる第2符号化パラメータとしてのテナントキーTKとからリキーパラメータRKPを生成する(ステップS15)。
【0065】
記憶制御部211は、エッジサーバ30から第1秘密情報として送信された第1符号化情報に対して、テナントキーTKを用いた第2符号化処理を行うことでテンプレート情報CIを生成する(ステップS16)。第2符号化処理は、テナントキーTKとエッジキーEKとを用いた符号化処理を含んでいてもよい。第2符号化処理は、テナントキーTKに加えてエッジキーEKを用いた符号化処理を含んでいてもよい。第2符号化処理は、キャンセラブル変換処理を含んでいるリキー処理であってよい。記憶制御部211は、エッジキーEKとテナントキーTKとを用いたキャンセラブル変換処理をしてもよい。また、記憶制御部211は、リキーパラメータRKPを用いたキャンセラブル変換処理をしてもよい。すなわち、記憶制御部211は、エッジキーEKを用いて符号化処理されている第1秘密情報を、復号して平文に戻す必要がない。
記憶制御部211は、生成したテンプレート情報CIを、記憶装置22に構築されているテンプレート情報CIのDBに登録する(ステップS17)。
[2-6:情報処理システム2が行うテスト情報TI照合動作]
記憶制御部211は、生成したテンプレート情報CIを、記憶装置22に構築されているテンプレート情報CIのDBに登録する(ステップS17)。
[2-6:情報処理システム2が行うテスト情報TI照合動作]
【0066】
続いて、図7を参照しながら、第2実施形態における情報処理システム2が行うテスト情報TI照合動作について説明する。図7は、第2実施形態における情報処理システム2が行うテスト情報TI照合動作の流れを示す図である。
【0067】
図7に示すように、顔画像取得部315は、生体情報として個体の顔画像を取得する(ステップS21)。特徴量抽出部316は、顔画像の特徴量を抽出する(ステップS22)。この特徴量は、第4秘密情報の一例であってよい。
【0068】
エッジ側生成部311は、特徴量に対して第1符号化パラメータとしてのエッジキーEKを用いた第1符号化処理を行うことで、第2符号化情報を生成する(ステップS23)。第1符号化処理は、キャンセラブル変換処理であってよい。
【0069】
送信制御部312は、第2符号化情報を第2秘密情報としてクラウドサーバ20に送信する(ステップS24)。
以上、ステップS21~ステップS24の動作は、エッジサーバ30にて行われる。また、以下、ステップS25~ステップS27の動作は、クラウドサーバ20にて行われる。
以上、ステップS21~ステップS24の動作は、エッジサーバ30にて行われる。また、以下、ステップS25~ステップS27の動作は、クラウドサーバ20にて行われる。
【0070】
なりすまし判定部216は、被認証対象者に対応する複数の第2秘密情報から、被認証対象者が「なりすまし」であるか否かを判定する(ステップS25)。ここで、被認証対象者が「なりすまし」である場合とは、なりすまし判定部216が、被認証対象者に対応する複数の第2秘密情報が、特定の生きている個体に由来しないと判定できる場合であってもよい。被認証対象者に対応する複数の第2秘密情報は、同じ符号化パラメータによりキャンセラブル変換処理されているので、複数の第2秘密情報を符号化されたままの状態で、照合等の処理に用いられることができる。すなわち、なりすまし判定部216は、秘密情報を平文に戻すことなく、「なりすまし」か否かの判定を行うことができる。また、なりすまし判定部216は、テナントキーTKによるキャンセラブル変換処理が施されることなく、「なりすまし」か否かの判定を行うことができる。例えば、顔画像取得部315が動画を取得する際に、被認証対象者に動作指示が出されており、なりすまし判定部216は、被認証対象者が動作指示に応じた動作をしていると判定した場合に、被認証対象が「なりすまし」でないと判定してもよい。第2実施形態において、「なりすまし」判定は、どのような技術が適用されてもよい。
【0071】
被認証対象者が「なりすまし」ではない場合(ステップS25:No)、リキーパラメータ生成部215は、エッジキーEKと、テナントキーTKとからリキーパラメータRKPを生成する(ステップS26)。
【0072】
クラウド側生成部212は、エッジサーバ30から第2秘密情報として送信された第2符号化情報に対して、第1符号化パラメータとは異なる第2符号化パラメータとしてのテナントキーTKを用いた第2符号化処理を行うことで、テスト情報TIを生成する(ステップS27)。第2符号化処理は、キャンセラブル変換処理を含んでいるリキー処理であってよい。クラウド側生成部212は、エッジキーEKとテナントキーTKとを用いたキャンセラブル変換処理をしてもよい。また、クラウド側生成部212は、リキーパラメータRKPを用いたキャンセラブル変換処理をしてもよい。すなわち、クラウド側生成部212は、エッジキーEKを用いて符号化処理されている第2秘密情報を、復号して平文に戻す必要がない。
【0073】
照合部213は、テンプレート情報CIとテスト情報TIとを照合する(ステップS28)。照合部213は、テスト情報TIと、記憶装置22に登録されている複数のテンプレート情報CIの何れかとが、所定以上の類似しているかを判定してもよい。すなわち、情報処理システム2は1対N照合をしてもよい。
【0074】
照合部213は、照合結果を、通信装置23及び通信装置33を介してエッジサーバ30に送信してよい。エッジサーバ30は、受信した照合結果に応じた動作を実行してもよい。例えば、エッジサーバ30がテナント10のゲートに対応している場合であれば、照合結果がOKである場合は、ゲートが開き、照合結果がNGの場合は、ゲートが開かない等の動作を実行してもよい。
【0075】
被認証対象者が「なりすまし」である場合(ステップS25:No)、テスト情報TI照合動作が終了する。
【0076】
なお、上記では、被認証対象者が「なりすまし」ではない場合に、被認証対象者の照合動作を実施している。すなわち、クラウドサーバ20は、「なりすまし」かの判定動作の後に照合動作を実施しているが、これに限らない。例えば、クラウドサーバ20は、「なりすまし」かの判定動作と、照合動作とを並行して実施し、両方の動作結果がOKの場合に、エッジサーバ30は、テナント10のゲートを開いてもよい。
【0077】
また、上記では、被認証対象者の動作に基づいて、「なりすまし」の判定をしているが、これに限らない。「なりすまし」の判定動作は、顔の立体情報を用いる手法を採用してもよい。例えば、赤外線を用いて撮像した画像、深度画像、サーマル画像等を用いてもよいし、発光機構による光照射の条件が異なった複数枚の画像を用いてもよい。発光機構による光照射の条件が異なった複数枚の画像は、例えば、携帯デバイスのディスプレイの色、レイアウト等を変更して、複数回画面フラッシュを実行して、携帯デバイスが搭載するカメラによる撮像により取得してもよい。
[2-7:情報処理システム2が行うリカバリ動作]
[2-7:情報処理システム2が行うリカバリ動作]
【0078】
続いて、図8を参照しながら、第2実施形態における情報処理システム2が行うリカバリ動作について説明する。図8は、第2実施形態における情報処理システム2が行うリカバリ動作の流れを示すフローチャートである。情報処理システム2は、テナントキーTK、及びテンプレート情報CIの少なくとも一方が漏出した場合に、リカバリ動作を実行してもよい。
【0079】
テナントキー生成部214は、新しいテナントキーTKを生成する(ステップS31)。リキーパラメータ生成部215は、古いテナントキーTKと、新しいテナントキーTKとからリキーパラメータRKPを生成する(ステップS32)。リキーパラメータ生成部215は、古いテナントキーTKを例えば記憶装置22から読み出し、ステップS31で生成した新しいテナントキーTKとともにリキーパラメータRKPを生成してもよい。テナントキー生成部214は、リキーパラメータRKPの生成後に、古いテナントキーTKを破棄し、生成したテナントキーTKを、例えば記憶装置22に記憶させてもよい。
【0080】
記憶制御部211は、古いテンプレート情報CIに対し、リキーパラメータRKPを用いたリキー処理を行い、新しテンプレート情報CIを生成する(ステップS33)。記憶制御部211は、生成したテンプレート情報CIを、例えば記憶装置22に記憶させて、新しいテンプレート情報CIを再登録させる(ステップS34)。また、記憶制御部211は、古いテンプレート情報CIを破棄する。記憶制御部211は、例えば記憶装置22に記憶されている古いテンプレート情報CIを破棄してもよい。
【0081】
このように、テナントキーTK、及びテンプレート情報CIの少なくとも一方が漏出した場合のリカバリ動作においては、エッジサーバ30における処理は発生しない。
他方で、エッジキーEKが漏出した場合のリカバリ動作においては、エッジキーEKが交換されれば十分である。その結果、クラウドサーバ20における処理は発生しない。
他方で、エッジキーEKが漏出した場合のリカバリ動作においては、エッジキーEKが交換されれば十分である。その結果、クラウドサーバ20における処理は発生しない。
【0082】
尚、生成部311による符号化処理は、キャンセブル変換処理でなくてもよく、例えば共通鍵方式、公開鍵方式等を用いた暗号化処理であってもよい。
また、第2実施形態では、エッジサーバ30において、顔画像を取得し、特徴量を抽出し、符号化して、第1秘密情報又は第2秘密情報をクラウドサーバ20に送信する場合を例に挙げて説明した。例えば、エッジサーバ30における処理を、例えばスマートフォン等の被認証対象者が携帯する携帯装置において実現してもよい。例えば、被認証対象者が携帯するスマートフォン等の端末装置に、生体認証するための専用のアプリをインストールしてもよい。この専用のアプリは、顔画像の撮像、特徴量の抽出、符号化処理、クラウドサーバ20への第1秘密情報又は第2秘密情報の送信、クラウドサーバ20から認証結果の受信等、目的の一連の動作をサポートしてもよい。この専用のアプリは、インターネットを通じて取得できてもよい。
また、第2実施形態では、エッジサーバ30において、顔画像を取得し、特徴量を抽出し、符号化して、第1秘密情報又は第2秘密情報をクラウドサーバ20に送信する場合を例に挙げて説明した。例えば、エッジサーバ30における処理を、例えばスマートフォン等の被認証対象者が携帯する携帯装置において実現してもよい。例えば、被認証対象者が携帯するスマートフォン等の端末装置に、生体認証するための専用のアプリをインストールしてもよい。この専用のアプリは、顔画像の撮像、特徴量の抽出、符号化処理、クラウドサーバ20への第1秘密情報又は第2秘密情報の送信、クラウドサーバ20から認証結果の受信等、目的の一連の動作をサポートしてもよい。この専用のアプリは、インターネットを通じて取得できてもよい。
【0083】
次に、テナントキーTKの更新処理、及びテンプレート情報CIの更新処理が実施されるタイミングで、クラウドサーバ20が第1符号化情報、及びエッジキーEKを受信する場合について説明する。
【0084】
エッジサーバ30は、第1符号化情報、及びエッジキーEKを送信する際に、当該送信の時刻情報を送信してもよい。時刻情報が更新処理の完了以前の時刻を示す場合、リキーパラメータ生成部215は古いテナントキーTKを用いてリキーパラメータRKPを生成し、クラウド側生成部212は当該リキーパラメータRKPをを用いてテスト情報TIを生成し、照合部213は当該テスト情報TIと古いテンプレート情報CIとを照合してもよい。一方、時刻情報が更新処理の終了後の時刻を示す場合、リキーパラメータ生成部215は新しいテナントキーTKを用いてリキーパラメータRKPを生成し、クラウド側生成部212は当該リキーパラメータRKPをを用いてテスト情報TIを生成し、照合部213は当該テスト情報TIと新しいテンプレート情報CIとを照合してもよい。
【0085】
具体的に、クラウドサーバ20が時刻10:00:10にテナントキーTKの更新を決定し、時刻10:01:30にテナントキーTK及びテンプレート情報CIの更新が完了した場合を例に挙げて説明する。クラウドサーバ20が受信した時刻情報が、時刻10:00:10~時刻10:01:30の間を示す場合、リキーパラメータ生成部215は古いテナントキーTKを用いてリキーパラメータRKPを生成し、照合部213は古いテンプレート情報CIを用いた照合をする。一方、クラウドサーバ20が受信した時刻情報が、時刻10:01:31以後を示す場合、リキーパラメータ生成部215は新しいテナントキーTKを用いてリキーパラメータRKPを生成し、照合部213は新しいテンプレート情報CIを用いた照合をする。
【0086】
または、テナントキーTKの更新処理、及びテンプレート情報CIの更新処理が実施されるタイミングで、クラウドサーバ20が第1符号化情報、及びエッジキーEKを受信した場合は、クラウドサーバ20における照合動作を停止してもよい。上記の例の場合であれば、クラウドサーバ20が受信した時刻情報が、時刻10:00:10~時刻10:01:30の間を示す場合、クラウドサーバ20は、照合動作が不可である旨をエッジサーバ30に送信してもよい。クラウドサーバ20は、照合結果がNGの場合と異なる情報をエッジサーバ30に送信してもよい。クラウドサーバ20は、照合動作が不可であることに関する情報、及び第1符号化情報、及びエッジキーEKの再送信依頼をエッジサーバ30に送信してもよい。
[2-8:情報処理システム2の技術的効果]
[2-8:情報処理システム2の技術的効果]
【0087】
第2実施形態における情報処理システム2によれば、エッジサーバ30で用いたエッジキーEKと異なる符号化パラメータであるテナントキーTKを用いて符号化された情報同士を照合することができる。また、第2実施形態における情報処理システム2によれば、エッジサーバ30で用いた符号化パラメータと異なる符号化パラメータを用いて符号化された情報を、クラウドサーバ20が記憶する。したがって、例えば、エッジサーバ30、及び情報の送受信路等において情報漏洩があった場合も、クラウドサーバ20に記憶されている情報は、安全な状態に保たれている。また、クラウドサーバ20は、エッジキーEKとテナントキーTKとの両方から生成されたリキーパラメータRKPを用いて秘密情報を符号化するので、秘密情報は平文に戻ることがなく、秘密を保つことができる。
【0088】
また、例えば、クラウドサーバ20においてテナントキーTK、及びテンプレート情報CIの少なくとも一方が漏洩した場合にも、クラウドサーバ20において、クラウドサーバ20が第2符号化パラメータとしてのテナントキーTKを生成できるので、テナントキーTKの交換、及びリキー処理を行うの対応をすればよい。クラウドサーバ20においてテナントキーTKを交換、及びリキー処理を行う対応を行えばよいので、対応の労力が比較的小さい。また、例えば、エッジサーバ30、及び情報の送受信路等において、エッジキーEKの漏洩があった場合にも、第1符号化パラメータとしてのエッジキーEKを新たに生成し、交換することができる。
また、エッジキーEKを用いた変換処理がキャンセラブル変換処理である場合、秘密情報が平文でない符号化情報のままで、「なりすまし」であるかの判定をすることができる。
[3:第3実施形態]
続いて、情報処理システム、情報処理方法、及び記録媒体の第3実施形態について説明する。以下では、情報処理システム、情報処理方法、及び記録媒体の第3実施形態が適用された情報処理システム3を用いて、情報処理システム、情報処理方法、及び記録媒体の第3実施形態について説明する。
また、エッジキーEKを用いた変換処理がキャンセラブル変換処理である場合、秘密情報が平文でない符号化情報のままで、「なりすまし」であるかの判定をすることができる。
[3:第3実施形態]
続いて、情報処理システム、情報処理方法、及び記録媒体の第3実施形態について説明する。以下では、情報処理システム、情報処理方法、及び記録媒体の第3実施形態が適用された情報処理システム3を用いて、情報処理システム、情報処理方法、及び記録媒体の第3実施形態について説明する。
【0089】
第3実施形態が適用された情報処理システム3は、例えばテナントにおいて被認証対象者が支払をする際の本人認証動作に適用されてもよい。例えば、被認証対象者が、テナントにおいて、飲食の会計、物品の購入等の支払が必要な行動をした際に、情報処理システム3は、被認証対象者が本人であることが確認できた場合に、本人の口座からの決済、クレジットカードによる決済等の顔認証決済動作を許可してもよい。但し、情報処理システム3が適用される場面が、ここで例示した場面に限定されることはない。
【0090】
また、例えば、テナントの入場の際に、被認証対象者が所持するスマートフォン等のブルートゥース機能を搭載した携帯端末(以下、「BT端末」と呼ぶ)から被認証対象者のID情報を取得し、認証に先立ち、ID情報に対応するテンプレート情報CIがエッジサーバ30のDBに登録されているかを確認してもよい。ID情報に対応するテンプレート情報CIがエッジサーバ30のDBに登録されていない場合、クラウドサーバ20にID情報に対応するテンプレート情報CIを要求し、認証のタイミングで、エッジサーバ30において、ID情報に対応するテンプレート情報CIが利用できる状態にしておくことができる。これにより、エッジサーバ30は、認証動作をスムーズに実施することができる。すなわち、第3実施形態が適用された情報処理システム3は、1対1照合をしてもよい。
【0091】
エッジサーバ30のDBに登録されたテンプレート情報CIは、前回の利用の際から、例えば1か月間等の所定期間の間において、エッジサーバ30のDBに登録されたままであってもよい。こうすることで、エッジサーバ30が設置されているテナントへの来場回数が多い被認証対象者のテンプレート情報CIを、毎回クラウドサーバ20に要求する必要がない。このように、同じテナントに対応するエッジサーバ30であっても、エッジサーバ30毎に、DBに登録されているテンプレート情報CIは異なっていてもよい。
【0092】
図9を参照しながら、第3実施形態における情報処理システム3の構成について説明する。図9は、第3実施形態における情報処理システム3の構成を示すブロック図である。尚、以下の説明では、既に説明済みの構成要素については、同一の参照符号を付することで、その詳細な説明を省略する。
[3-1:クラウドサーバ20の構成]
[3-1:クラウドサーバ20の構成]
【0093】
図9には、生体認証動作を実行するために演算装置21内に実現される論理的な機能ブロックの一例が示されている。図9に示すように、演算装置21内には、「記憶制御手段」の一具体例である記憶制御部211と、「第3符号化パラメータ生成手段」の一具体例であるテナントキー生成部214と、リキーパラメータ生成部215と、ID取得部414と、顔画像取得部415と、特徴量抽出部416とが実現される。尚、記憶制御部211、テナントキー生成部214、ID取得部414、顔画像取得部415、及び特徴量抽出部416の夫々の動作の詳細については、図10~図12を参照しながら後に詳述する。但し、演算装置21は、テナントキー生成部214、ID取得部414、リキーパラメータ生成部215、顔画像取得部415、及び特徴量抽出部416の少なくとも1つを備えていなくてもよい。
【0094】
テナントキー生成部214は、第3符号化パラメータとしてのテナントキーTKを生成する。第3実施形態においても、テナントキー生成部214は、テナント毎にテナントキーTKを生成する。テナントキー生成部214は、任意のタイミングでテナントキーTKを生成してもよい。テナントキー生成部214は、例えば所定の期間毎にテナントキーTKを生成してもよい。クラウドサーバ20は、エッジサーバ30の要求に応じ、例えば一日の始業の際に、エッジサーバ30に対しテナントキーTKを送信してもよい。クラウドサーバ20は、エッジサーバ30が対応するテナントのテナントキーTKを送信する。また、クラウドサーバ20は、テナントキー生成部214が新しいテナントキーTKを生成した場合に、エッジサーバ30に対しテナントキーTKを送信してもよい。クラウドサーバ20が送信するテナントキーTKは、エッジサーバ30の記憶装置32に登録されているテンプレート情報CIのDBのテンプレート情報CIの符号化処理に用いられたテナントキーTKと同一であってもよい。
【0095】
[3-2:エッジサーバ30の構成]
図9には、生体認証動作を実行するために演算装置31内に実現される論理的な機能ブロックの一例が示されている。図9に示すように、演算装置31内には、「生成手段」の一具体例である生成部311と、「秘密計算手段」の一具体例である秘密計算部517と、「照合手段」の一具体例である照合部518と、ID取得部314と、顔画像取得部315と、特徴量抽出部316が実現される。
図9には、生体認証動作を実行するために演算装置31内に実現される論理的な機能ブロックの一例が示されている。図9に示すように、演算装置31内には、「生成手段」の一具体例である生成部311と、「秘密計算手段」の一具体例である秘密計算部517と、「照合手段」の一具体例である照合部518と、ID取得部314と、顔画像取得部315と、特徴量抽出部316が実現される。
【0096】
尚、生成部311、ID取得部314、顔画像取得部315、特徴量抽出部316、秘密計算部517、及び照合部518の夫々の動作の詳細については、図10~図12を参照しながら後に詳述する。但し、演算装置31は、ID取得部314、顔画像取得部315、特徴量抽出部316、秘密計算部517、及び照合部518の少なくとも1つを備えていなくてもよい。
【0097】
秘密計算部517は、情報を暗号化したままで計算を行う。秘密計算部517は、暗号化された情報を復号化して元の情報に戻すことなく、そのまま処理することができる。秘密計算部517は、クラウドサーバ20から受信した第3符号化パラメータとしてのテナントキーTKを格納し、当該テナントキーTKを用いた符号化処理を行う。秘密計算部517は、例えば一日の始業の際に、クラウドサーバ20からテナントキーTKを受信してもよい。また、秘密計算部517は、テナントキー生成部214が新しいテナントキーTKを生成した場合に、クラウドサーバ20からテナントキーTKを受信してもよい。
【0098】
第3実施形態において、テナントキーTKは、秘密計算部517に格納されているので、外部から覗き見ることができない。仮に、エッジサーバ30自身が物理的に盗まれた場合にも、クラウドサーバ20において、テナントキーTKを再生成し、盗まれたテナントキーTKを無効にしてしまうので、安全を保つことができる。
【0099】
第3実施形態において、被認証対象者は、テンプレート情報CIの登録の際、及びテスト情報TIの照合の際には、BT端末を所持していてもよい。BT端末は、被認証対象者のID情報を格納していてもよい。つまり、クラウドサーバ20は、テンプレート情報CIの登録の際には、被認証対象者の顔画像を取得するとともに、ID情報を取得し、テンプレート情報CIである顔画像の特徴量を符号化処理した情報と、ID情報とを紐づけて登録してもよい。また、クラウドサーバ20は、テスト情報TIの照合の際には、BT端末からID情報を取得し、ID情報と紐づけて登録されているテンプレート情報CIと、テスト情報TIである取得した顔画像の特徴量を符号化処理した情報とを照合してもよい。
[3-3:情報処理システム3が行うテンプレート情報CI登録動作]
[3-3:情報処理システム3が行うテンプレート情報CI登録動作]
【0100】
続いて、図10を参照しながら、第3実施形態における情報処理システム3が行うテンプレート情報CI登録動作について説明する。図10は、第3実施形態における情報処理システム3が行うテンプレート情報CI登録動作の流れを示すフローチャートである。
【0101】
図10に示すように、ID取得部414は、BT端末から、被認証対象者のID情報を取得する(ステップS41)。続いて、顔画像取得部415は、生体情報として個体の顔画像を取得する(ステップS42)。特徴量抽出部416は、顔画像の特徴量を抽出する(ステップS43)。この特徴量は、第1秘密情報の一例であってよい。また、BT端末は、被認証対象者のID情報、及び被認証対象者の顔画像に加え、被認証対象者がよく利用するテナントに関する情報をクラウドサーバ20へ送信してもよい。
【0102】
記憶制御部211は、特徴量に対して第3符号化パラメータとしてのテナントキーTKを用いた第3符号化処理を行うことでテンプレート情報CIを生成する(ステップS44)。第3符号化処理は、キャンセラブル変換処理を含んでもよい。
【0103】
記憶制御部211は、生成したテンプレート情報CIを、記憶装置22に構築されているテンプレート情報CIのDBに登録する(ステップS45)。また、記憶制御部211は、生成したテンプレート情報CIのうち送付先のエッジサーバ30に関係するテンプレート情報CIを、通信装置23を介しエッジサーバ30へ送信する(ステップS46)。記憶制御部211は、BT端末から受信した被認証対象者がよく利用するテナントの情報をもとに、エッジサーバ30が設置されているテナントへの来場回数が多い被認証対象者のテンプレート情報CIをエッジサーバ30へ送信してもよい。
【0104】
以上、ステップS41~ステップS46の動作は、クラウドサーバ20にて行われる。また、以下、ステップS47の動作は、エッジサーバ30にて行われる。
エッジサーバ30は、通信装置33を介して受信したテンプレート情報CIを、記憶装置32に構築されているテンプレート情報CIのDBに登録する(ステップS47)。
エッジサーバ30は、通信装置33を介して受信したテンプレート情報CIを、記憶装置32に構築されているテンプレート情報CIのDBに登録する(ステップS47)。
【0105】
尚、記憶装置22には、テナントごとのテンプレート情報CIのDBが構築されていてもよい。つまり、あるテナントを利用する被認証対象者のテンプレート情報CIが登録されたDBが、該当のテナントごとに記憶装置22に構築されていてもよい。また、記憶装置32には、該当するエッジサーバ30に対応する場所をよく利用する被認証対象者のテンプレート情報CIが登録されたDBが構築されていてもよい。
[3-4:情報処理システム3が行うテスト情報TI照合動作]
[3-4:情報処理システム3が行うテスト情報TI照合動作]
【0106】
続いて、図11を参照しながら、第3実施形態における情報処理システム3が行うテスト情報TI照合動作について説明する。図11は、第3実施形態における情報処理システム3が行うテスト情報TI照合動作の流れを示す図である。
【0107】
図11に示すように、ID取得部314は、BT端末から、被認証対象者のID情報を取得する(ステップS51)。続いて、顔画像取得部315は、生体情報として個体の顔画像を取得する(ステップS52)。特徴量抽出部316は、顔画像の特徴量を抽出する(ステップS53)。この特徴量は、第2秘密情報の一例であってよい。
【0108】
生成部311は、秘密計算部517を用い、特徴量に対して第3符号化処理を行うことでテスト情報TIを生成する(ステップS54)。尚、ステップS54の動作の前に、平文の特徴量を用いたなりすまし判定をし、ステップS54以降の処理を行うか否かを判定してもよい。
【0109】
照合部518は、テンプレート情報CIとテスト情報TIとを照合する(ステップS55)。エッジサーバ30は、照合部518による照合結果に応じた動作を実行してもよい。例えば、エッジサーバ30がテナント10の決済動作に対応している場合であれば、照合結果がOKである場合は、決済を実施し、照合結果がNGの場合は、決済を実施しない等の動作を実行してもよい。
[3-5:情報処理システム3が行うリカバリ動作]
[3-5:情報処理システム3が行うリカバリ動作]
【0110】
続いて、図12を参照しながら、第3実施形態における情報処理システム3が行うリカバリ動作について説明する。図12は、第3実施形態における情報処理システム3が行うリカバリ動作の流れを示すフローチャートである。情報処理システム3は、テナントキーTK、及びテンプレート情報CIの少なくとも一方が漏出した場合に、リカバリ動作を実行してもよい。
【0111】
テナントキー生成部214は、新しいテナントキーTKを生成する(ステップS61)。リキーパラメータ生成部215は、古いテナントキーTKと、新しいテナントキーTKとからリキーパラメータRKPを生成する(ステップS62)。リキーパラメータ生成部215は、古いテナントキーTKを例えば記憶装置22から読み出し、ステップS61で生成した新しいテナントキーTKとともにリキーパラメータRKPを生成してもよい。テナントキー生成部214は、リキーパラメータRKPの生成後に、古いテナントキーTKを破棄し、生成したテナントキーTKを例えば記憶装置22に記憶させてもよい。
【0112】
記憶制御部211は、古いテンプレート情報CIに対し、リキーパラメータRKPを用いたリキー処理を行い、新しいテンプレート情報CIを生成する(ステップS63)。記憶制御部211は、生成したテンプレート情報CIを、例えば記憶装置22に記憶させて、新しいテンプレート情報CIを再登録させる(ステップS64)。また、記憶制御部211は、古いテンプレート情報CIを破棄してもよい。記憶制御部211は、例えば記憶装置22に記憶されている古いテンプレート情報CIを破棄してもよい。
【0113】
以下、ステップS65~ステップS66の処理は、エッジサーバ30の安全が確認されてから実施される。
記憶制御部211は、生成したテンプレート情報CIを、通信装置23を介しエッジサーバ30へ送信する(ステップS65)。
記憶制御部211は、生成したテンプレート情報CIを、通信装置23を介しエッジサーバ30へ送信する(ステップS65)。
【0114】
以上、ステップS61~ステップS65の動作は、クラウドサーバ20にて行われる。また、以下、ステップS66の動作は、エッジサーバ30にて行われる。
エッジサーバ30は、通信装置33を介して受信したテンプレート情報CIを、記憶装置32に構築されているDBに登録する(ステップS66)。
[3-6:情報処理システム3の技術的効果]
エッジサーバ30は、通信装置33を介して受信したテンプレート情報CIを、記憶装置32に構築されているDBに登録する(ステップS66)。
[3-6:情報処理システム3の技術的効果]
【0115】
第3実施形態における情報処理システム3によれば、情報を暗号化したままで計算を行うので、情報の漏洩を防ぐことができる。クラウドサーバ20から受信した第3符号化パラメータとしてのテナントキーTKは、秘密計算部517に格納されるので、秘密計算部517以外にさらされることない。また、テナントキーTKを用いて符号化処理されたテンプレート情報CI及びテスト情報TIは、秘密計算部517以外に存在するので、テナントキーTK及び符号化処理の安全を保つことができる。また、例えば同じテナント内に、複数のエッジサーバ30が含まれる場合、複数のエッジサーバ30は、テンプレート情報CIのDBを共有できるので、テナントにおける情報保持負荷を小さくすることができる。また、例えば、クラウドサーバ20においてテナントキーTK、及びテンプレート情報CIの少なくとも一方が漏洩した場合にも、クラウドサーバ20において、テナントキー生成部214が第3符号化パラメータとしてのテナントキーTKを生成できるので、テナントキーTKの交換、及びリキー処理を行うのみの対応をすればよい。クラウドサーバ20においてテナントキーTKの交換、及びリキー処理を行うのみの対応なので、対応の労力が比較的小さい。
[4:第4実施形態]
[4:第4実施形態]
【0116】
続いて、情報処理システム、情報処理方法、及び記録媒体の第4実施形態について説明する。以下では、情報処理システム、情報処理方法、及び記録媒体の第4実施形態が適用された情報処理システム4を用いて、情報処理システム、情報処理方法、及び記録媒体の第4実施形態について説明する。
【0117】
第4実施形態が適用された情報処理システム4は、第3実施形態が適用された情報処理システム3と同様に、例えばテナントにおいて被認証対象者が支払をする際の本人認証動作に適用されてもよい。
【0118】
図13を参照しながら、第3実施形態における情報処理システム4の構成について説明する。図13は、第4実施形態における情報処理システム4の構成を示すブロック図である。尚、以下の説明では、既に説明済みの構成要素については、同一の参照符号を付することで、その詳細な説明を省略する。
[4-1:クラウドサーバ20の構成]
[4-1:クラウドサーバ20の構成]
【0119】
図13には、生体認証動作を実行するために演算装置21内に実現される論理的な機能ブロックの一例が示されている。図13に示すように、演算装置21内には、「第3符号化パラメータ生成手段」の一具体例であるテナントキー生成部214と、ID取得部414と、顔画像取得部415と、特徴量抽出部416とが実現される。
【0120】
【0121】
図13には、生体認証動作を実行するために演算装置31内に実現される論理的な機能ブロックの一例が示されている。図9に示すように、演算装置31内には、「生成手段」の一具体例である生成部311と、「秘密計算手段」の一具体例である秘密計算部517と、「照合手段」の一具体例である照合部518と、「記憶制御手段」の一具体例である記憶制御部619と、ID取得部314と、顔画像取得部315と、特徴量抽出部316が実現される。
【0122】
尚、生成部311、ID取得部314、顔画像取得部315、特徴量抽出部316、秘密計算部517、照合部518及び記憶制御部619の夫々の動作の詳細については、図14~図15を参照しながら後に詳述する。
[4-3:情報処理システム4が行うテンプレート情報CI登録動作]
[4-3:情報処理システム4が行うテンプレート情報CI登録動作]
【0123】
続いて、図14を参照しながら、第4実施形態における情報処理システム4が行うテンプレート情報CI登録動作について説明する。図14は、第4実施形態における情報処理システム4が行うテンプレート情報CI登録動作の流れを示すフローチャートである。
【0124】
第4実施形態においても、被認証対象者は、テンプレート情報CIの登録の際、及びテスト情報TI照合の際には、被認証者は、BT端末を所持していてもよい。BT端末は、被認証対象者のID情報を格納していてもよい。
【0125】
図14に示すように、ID取得部414は、BT端末から、被認証対象者のID情報を取得する(ステップS71)。続いて、顔画像取得部415は、生体情報として個体の顔画像を取得する(ステップS72)。特徴量抽出部416は、顔画像の特徴量Cを抽出する(ステップS73)。
【0126】
記憶制御部211は、抽出した顔画像の特徴量Cを、記憶装置22に構築されている特徴量CのDBに登録する(ステップS74)。また、記憶制御部211は、抽出した顔画像の特徴量を、通信装置23を介しエッジサーバ30へ送信する(ステップS75)。
【0127】
以上、ステップS71~ステップS75の動作は、クラウドサーバ20にて行われる。また、以下、ステップS76~ステップS77の動作は、エッジサーバ30にて行われる。
記憶制御部619は、秘密計算部517を用い、通信装置33を介して受信した特徴量に対してテナントキーTKを用いた符号化処理を行うことでテンプレート情報CIを生成する(ステップS76)。また、記憶制御部619は、テンプレート情報CIを、記憶装置32に構築されているテンプレート情報CIのDBに登録させる(ステップS77)。
[4-4:情報処理システム4が行うテスト情報TI照合動作]
記憶制御部619は、秘密計算部517を用い、通信装置33を介して受信した特徴量に対してテナントキーTKを用いた符号化処理を行うことでテンプレート情報CIを生成する(ステップS76)。また、記憶制御部619は、テンプレート情報CIを、記憶装置32に構築されているテンプレート情報CIのDBに登録させる(ステップS77)。
[4-4:情報処理システム4が行うテスト情報TI照合動作]
【0128】
第4実施形態における情報処理システム4は、第3実施形態における情報処理システム3と同じ動作でテスト情報TI照合を行うので、その詳細な説明を省略する。
[4-5:情報処理システム4が行うリカバリ動作]
[4-5:情報処理システム4が行うリカバリ動作]
【0129】
続いて、図15を参照しながら、第4実施形態における情報処理システム4が行うリカバリ動作について説明する。図15は、第4実施形態における情報処理システム4が行うリカバリ動作の流れを示すフローチャートである。情報処理システム4は、リカバリ動作を、テナントキーTK、及びテンプレート情報CIの少なくとも一方が漏出した場合に実行してもよい。
【0130】
テナントキー生成部214は、新しいテナントキーTKを生成する(ステップS81)。テナントキー生成部214は、新しいテナントキーTKを古いテナントキーTKと交換する(ステップS82)。テナントキー生成部214は、生成したテナントキーTKを例えば記憶装置22に記憶させてもよい。また、テナントキー生成部214は、古いテナントキーTKを破棄してもよい。テナントキー生成部214は、例えば記憶装置22に記憶されている古いテナントキーTKを破棄してもよい。
エッジサーバ30の安全が確認された後、クラウドサーバ20からエッジサーバ30に新しいテナントキーTKが送信されてもよい。
エッジサーバ30の安全が確認された後、クラウドサーバ20からエッジサーバ30に新しいテナントキーTKが送信されてもよい。
【0131】
尚、第3実施形態における情報処理システム3及び第4実施形態における情報処理システム4は、テナントにおける支払処理に適用する場合を例を挙げて説明したが、第2実施形態のようにテナントのゲートの開閉処理に適用されていもよい。第3実施形態における情報処理システム3及び第4実施形態における情報処理システム4は、空港の搭乗ゲート、建物の入館ゲート等に適用することができる。
[4-5:情報処理システム4の技術的効果]
[4-5:情報処理システム4の技術的効果]
【0132】
第4実施形態における情報処理システム4によれば、テンプレート情報CIは、秘密計算部517においてテナントキーTKを用いて生成されるので、エッジサーバ30以外に対して独立しており、エッジサーバ30から情報漏洩があった場合も、クラウドサーバ20等の該当エッジサーバ30以外に被害が及ぶことはない。
【0133】
尚、第2実施形態においても、顔画像取得部315は、登録動作のステップS11において、BT端末から被認証対象者のIDを取得し、記憶制御部211は、ステップS16において、当該IDとテンプレート情報CIとを紐づけて登録してもよい。この場合、顔画像取得部315は、照合動作のステップS21において、BT端末から被認証対象者のIDを取得し、照合部213は、ステップS28において、当該IDとテンプレート情報CIとを紐づけて照合してもよい。すなわち、第2実施形態においても、1対1照合を行ってもよい。また、第2実施形態においても、情報処理システム2は、口座決済等の顔認証決済の第3実施形態の情報処理システム3及び第4実施形態の情報処理システム4の少なくとも一方が適用される場面に適用されてもよい。
[5:第5実施形態]
[5:第5実施形態]
【0134】
続いて、情報処理システム、情報処理方法、及び記録媒体の第5実施形態について説明する。以下では、情報処理システム、情報処理方法、及び記録媒体の第5実施形態が適用された情報処理システム5を用いて、情報処理システム、情報処理方法、及び記録媒体の第5実施形態について説明する。
【0135】
第5実施形態における情報処理システム5は、上述した第2実施形態の情報処理システム2と同一の構成を有していてもよい。第5実施形態における情報処理システム5が備える記憶装置22は、テナント用のテンプレート情報DBと、エッジサーバ30毎のテンプレート情報DBとを記憶していてもよい。
【0136】
第5実施形態が適用された情報処理システム5は、例えば小売店において被認証対象者が支払をする際の本人認証動作に適用されてもよい。エッジサーバ30は、小売店の店舗毎に設けられていてもよい。記憶装置22に記憶されるエッジサーバ30毎のテンプレート情報DBには、該当エッジサーバ30をよく利用する被認証対象者のテンプレート情報CIが登録されていてもよい。記憶装置22に記憶されるテナント用のテンプレート情報DBに登録されているテンプレート情報CIは、同じテナントに対応する全てのエッジサーバ30のテンプレート情報DBに登録されているテンプレート情報CIを含んでいてもよい。
[5-1:情報処理システム5が行うテンプレート情報CI登録動作]
[5-1:情報処理システム5が行うテンプレート情報CI登録動作]
【0137】
続いて、図16を参照しながら、第5実施形態における情報処理システム5が行うテンプレート情報CI登録動作について説明する。図16は、第5実施形態における情報処理システム5が行うテンプレート情報CI登録動作の流れを示す図である。第5実施形態における情報処理システム5は、テナント用のテンプレート情報DBと、エッジサーバ30毎のテンプレート情報DBとの両方に、テンプレート情報CIを登録してもよい。
【0138】
ステップS11~ステップS17の動作は、図6に示す第2実施形態のステップS11~ステップS17の動作と同様であってもよい。
ステップS11において、エッジサーバ30は、生体情報として個体の顔画像を取得するとともに、BT端末から、被認証対象者のID情報を取得してもよい。
また、ステップS17において、記憶制御部211は、生成したテンプレート情報CIを、記憶装置22に構築されているテナント用のDBに登録してもよい。これにより、記憶制御部211は、テナント用のDBに、テナントに対応する全てのエッジサーバ30用のDBに登録されているテンプレート情報CIを登録することができる。
記憶制御部211は、エッジサーバ30から送信された第1符号化情報を、エッジサーバ30用のDBに、テンプレート情報CIとして登録する(ステップS90)。これにより、記憶制御部211は、エッジサーバ30用のDBに、該当エッジサーバ30をよく利用する被認証対象者のテンプレート情報CIを登録することができる。
[5-2:情報処理システム5が行うテスト情報TI照合動作]
ステップS11において、エッジサーバ30は、生体情報として個体の顔画像を取得するとともに、BT端末から、被認証対象者のID情報を取得してもよい。
また、ステップS17において、記憶制御部211は、生成したテンプレート情報CIを、記憶装置22に構築されているテナント用のDBに登録してもよい。これにより、記憶制御部211は、テナント用のDBに、テナントに対応する全てのエッジサーバ30用のDBに登録されているテンプレート情報CIを登録することができる。
記憶制御部211は、エッジサーバ30から送信された第1符号化情報を、エッジサーバ30用のDBに、テンプレート情報CIとして登録する(ステップS90)。これにより、記憶制御部211は、エッジサーバ30用のDBに、該当エッジサーバ30をよく利用する被認証対象者のテンプレート情報CIを登録することができる。
[5-2:情報処理システム5が行うテスト情報TI照合動作]
【0139】
続いて、図17を参照しながら、第5実施形態における情報処理システム5が行うテスト情報TI照合動作について説明する。図17は、第5実施形態における情報処理システム5が行うテスト情報TI照合動作の流れを示す図である。
【0140】
図17に示すように、エッジサーバ30は、BT端末から、被認証対象者のID情報を取得する(ステップS91)。例えば、被認証対象者が、エッジサーバ30が設けられている店舗Aに入店する際に、エッジサーバ30は、被認証対象者のID情報を取得してもよい。続いて、エッジサーバ30は、BT端末から取得した被認証対象者のID情報をクラウドサーバ20へ送信する(ステップS92)。エッジサーバ30は、被認証対象者のID情報とともに、エッジキーEKを送信してもよい。
【0141】
記憶制御部211は、ID情報を送信したエッジサーバ30用のDBに、ID情報に対応するテンプレート情報CIが登録されているか否かを判定する(ステップS93)。ID情報に対応するテンプレート情報CIが登録されていない場合(ステップS93:No)、記憶制御部211は、記憶装置22に記憶されているテナント用のテンプレート情報C1に対して、第2符号化パラメータを用いた復号化処理を行うことで、テンプレート情報としての第1符号化情報を生成する(ステップS94)。記憶制御部211は、テナントキーTKとエッジキーEKとを用いたキャンセラブル変換処理をして、テンプレート情報としての第1符号化情報を生成してもよい。記憶制御部211は、生成した第1符号化情報を、テンプレート情報C1として、ID情報を送信したエッジサーバ30用のDBに登録する。ID情報に対応するテンプレート情報CIが登録されている場合(ステップS93:Yes)、ステップS99へ移行する。
【0142】
例えば、被認証対象者が、店舗Aに入店する前に、同じテナントに対応する店舗Bにてテンプレート情報CIの登録処理をしていたとする。記憶制御部211は、テナント用のDB、及び店舗Bに設けられているエッジサーバ30B用のDBに被認証対象者のテンプレート情報CIを登録するが、店舗Aに設けられているエッジサーバ30A用のDBには、被認証対象者のテンプレート情報CIを登録しない。店舗Aにおける顔認証決済は、店舗AのエッジキーEKを用いて生成したテスト情報と、エッジサーバ30A用のDBに登録されているテンプレート情報CIの照合結果に基づき実行される。
【0143】
店舗Aに入店する前に、同じテナントに対応する店舗Bにてテンプレート情報CIの登録処理をしていた場合、記憶制御部211は、テナント用のDBに被認証対象者のテンプレート情報を登録している。これを用いて、記憶制御部211は、テナント用のDBに登録されているテンプレート情報をキャンセラブル変換処理して、エッジサーバ30A用のDBに店舗Aにおける顔認証決済用のテンプレート情報を登録することができる。記憶制御部211はこの処理を、被認証対象者が店舗Aに入店したタイミングで行うので、顔認証決済のための照合処理を高速化することができる。
【0144】
例えば、被認証対象者が、エッジサーバ30が設けられている店舗Aにおいて顔認証決済を行う場面において、顔画像取得部315は、生体情報として個体の顔画像を取得する(ステップS95)。特徴量抽出部316は、顔画像の特徴量を抽出する(ステップS96)。この特徴量は、第4秘密情報の一例であってよい。
【0145】
エッジ側生成部311は、特徴量に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第2符号化情報を生成する(ステップS97)。送信制御部312は、生成された第2符号化情報を、テスト情報としてクラウドサーバ20に送信する(ステップS98)。
【0146】
照合部213は、エッジサーバ30用のテンプレート情報CIと、エッジサーバ30から送信されたテスト情報TIとを照合する(ステップS99)。クラウドサーバ20は、エッジサーバ30に照合結果を送信する(ステップS100)。エッジサーバ30は、照合部213による照合結果に応じた動作を実行してもよい。例えば、エッジサーバ30がテナント10の決済動作に対応している場合であれば、照合結果がOKである場合は、決済を実施し、照合結果がNGの場合は、決済を実施しない等の動作を実行してもよい。
[5-3:情報処理システム5の技術的効果]
[5-3:情報処理システム5の技術的効果]
【0147】
第5実施形態が適用された情報処理システム5によれば、ID情報を送信したエッジサーバ30用のDBに、ID情報に対応するテンプレート情報CIが登録されていない場合、テナント用のテンプレート情報C1に対してキャンセラブル変換処理を行って第1符号化情報を生成できる。照合処理に先だって、テンプレート情報CIとしての第1符号化情報を生成できるので、照合処理をより高速化することができる。
[6:付記]
[6:付記]
【0148】
以上説明した実施形態に関して、更に以下の付記を開示する。
[付記1]
第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させる記憶制御手段と、
第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成する生成手段と、
前記テンプレート情報と前記テスト情報とを照合する照合手段と
を備えた情報処理システム。
[付記2]
前記情報処理システムは、エッジサーバと、クラウドサーバとを含み、
前記エッジサーバは、
第3秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第1符号化情報を生成するエッジ側生成手段と、
前記第1符号化情報を前記第1秘密情報として前記クラウドサーバに送信する送信手段と
を備え、
前記クラウドサーバは、前記記憶制御手段、前記生成手段、及び前記照合手段を備え、
前記記憶制御手段は、前記エッジサーバから前記第1秘密情報として送信された前記前記第1符号化情報に対して前記第1符号化パラメータとは異なる第2符号化パラメータを用いた第2符号化処理を行うことで生成した前記テンプレート情報を前記記憶手段に記憶させる
付記1に記載の情報処理システム。
[付記3]
前記情報処理システムは、エッジサーバと、クラウドサーバとを含み、
前記エッジサーバは、
第4秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第2符号化情報を生成するエッジ側生成手段と、
前記第2符号化情報を前記第2秘密情報として前記クラウドサーバに送信する送信手段と
を備え、
前記クラウドサーバは、前記記憶制御手段、前記生成手段、及び前記照合手段を備え、
前記生成手段は、前記エッジサーバから前記第2秘密情報として送信された前記第2符号化情報に対して、前記第1符号化パラメータとは異なる第2符号化パラメータを用いた第2符号化処理を行うことで、前記テスト情報を生成する
付記1又は2に記載の情報処理システム。
[付記4]
前記エッジサーバは、
第4秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第2符号化情報を生成するエッジ側生成手段を更に備え、
前記送信手段は、前記第2符号化情報を前記テスト情報として前記クラウドサーバに送信し、
前記記憶制御手段は、前記記憶手段に記憶されているテンプレート情報に対して、前記第2符号化パラメータを用いた復号化処理を行うことで、テンプレート情報としての前記第1符号化情報を生成する
請求項2に記載の情報処理システム。
[付記5]
前記第2符号化処理は、キャンセラブル変換処理を含む
付記2~4の何れか1項に記載の情報処理システム。
[付記6]
前記第1符号化処理は、キャンセラブル変換処理を含む
付記2~5の何れか1項に記載の情報処理システム。
[付記7]
前記第2符号化処理は、前記第2符号化パラメータと、前記第1符号化パラメータと、を用いた符号化処理を含む
付記2~6の何れか1項に記載の情報処理システム。
[付記8]
前記エッジサーバは、
前記第1符号化パラメータを生成する第1符号化パラメータ生成手段を更に備える付記2~7の何れか1項に記載の情報処理システム。
[付記9]
前記クラウドサーバは、
前記第2符号化パラメータを生成する第2符号化パラメータ生成手段を更に備える付記2~8の何れか1項に記載の情報処理システム。
[付記10]
前記情報処理システムは、エッジサーバと、クラウドサーバとを含み、
前記エッジサーバは、
情報を暗号化したままで計算を行う秘密計算手段であって、前記クラウドサーバから受信した第3符号化パラメータを格納し、当該第3符号化パラメータを用いた第3符号化処理を行う秘密計算手段と、
前記記憶手段と、
前記生成手段と、
前記照合手段と
を備え、
前記記憶制御手段は、前記第1秘密情報に対して前記第3符号化処理を行うことで生成した前記テンプレート情報を前記記憶手段に記憶させ、
前記生成手段は、前記秘密計算手段を用い、前記第2秘密情報に対して前記第3符号化処理を行うことで前記テスト情報を生成する
付記1に記載の情報処理システム。
[付記11]
前記情報処理システムは、複数のエッジサーバを含み、
前記複数のエッジサーバは、同一の前記記憶手段が記憶している前記テンプレート情報を用いて照合する
付記10に記載の情報処理システム。
[付記12]
前記クラウドサーバは、前記記憶制御手段を備え、
前記記憶制御手段は、前記第1秘密情報に対して前記第3符号化処理を行うことでで生成した前記テンプレート情報を前記記憶手段に記憶させる付記10又は11に記載の情報処理システム。
[付記13]
前記エッジサーバは、前記記憶制御手段を備え、
前記記憶制御手段は、前記秘密計算手段を用い、前記第1秘密情報に対して前記第3符号化処理を行うことで生成した前記テンプレート情報を前記記憶手段に記憶させる付記10又は11に記載の情報処理システム。
[付記14]
前記クラウドサーバは、
前記第3符号化パラメータを生成する第3符号化パラメータ生成手段を更に備える付記10~13の何れか1項に記載の情報処理システム。
[付記15]
第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させ、
第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成し、
前記テンプレート情報と前記テスト情報とを照合する
情報処理方法。
[付記16]
コンピュータに、
第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させ、
第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成し、
前記テンプレート情報と前記テスト情報とを照合する
情報処理方法を実行させるためのコンピュータプログラムが記録された記録媒体。
[付記1]
第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させる記憶制御手段と、
第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成する生成手段と、
前記テンプレート情報と前記テスト情報とを照合する照合手段と
を備えた情報処理システム。
[付記2]
前記情報処理システムは、エッジサーバと、クラウドサーバとを含み、
前記エッジサーバは、
第3秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第1符号化情報を生成するエッジ側生成手段と、
前記第1符号化情報を前記第1秘密情報として前記クラウドサーバに送信する送信手段と
を備え、
前記クラウドサーバは、前記記憶制御手段、前記生成手段、及び前記照合手段を備え、
前記記憶制御手段は、前記エッジサーバから前記第1秘密情報として送信された前記前記第1符号化情報に対して前記第1符号化パラメータとは異なる第2符号化パラメータを用いた第2符号化処理を行うことで生成した前記テンプレート情報を前記記憶手段に記憶させる
付記1に記載の情報処理システム。
[付記3]
前記情報処理システムは、エッジサーバと、クラウドサーバとを含み、
前記エッジサーバは、
第4秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第2符号化情報を生成するエッジ側生成手段と、
前記第2符号化情報を前記第2秘密情報として前記クラウドサーバに送信する送信手段と
を備え、
前記クラウドサーバは、前記記憶制御手段、前記生成手段、及び前記照合手段を備え、
前記生成手段は、前記エッジサーバから前記第2秘密情報として送信された前記第2符号化情報に対して、前記第1符号化パラメータとは異なる第2符号化パラメータを用いた第2符号化処理を行うことで、前記テスト情報を生成する
付記1又は2に記載の情報処理システム。
[付記4]
前記エッジサーバは、
第4秘密情報に対して第1符号化パラメータを用いた第1符号化処理を行うことで、第2符号化情報を生成するエッジ側生成手段を更に備え、
前記送信手段は、前記第2符号化情報を前記テスト情報として前記クラウドサーバに送信し、
前記記憶制御手段は、前記記憶手段に記憶されているテンプレート情報に対して、前記第2符号化パラメータを用いた復号化処理を行うことで、テンプレート情報としての前記第1符号化情報を生成する
請求項2に記載の情報処理システム。
[付記5]
前記第2符号化処理は、キャンセラブル変換処理を含む
付記2~4の何れか1項に記載の情報処理システム。
[付記6]
前記第1符号化処理は、キャンセラブル変換処理を含む
付記2~5の何れか1項に記載の情報処理システム。
[付記7]
前記第2符号化処理は、前記第2符号化パラメータと、前記第1符号化パラメータと、を用いた符号化処理を含む
付記2~6の何れか1項に記載の情報処理システム。
[付記8]
前記エッジサーバは、
前記第1符号化パラメータを生成する第1符号化パラメータ生成手段を更に備える付記2~7の何れか1項に記載の情報処理システム。
[付記9]
前記クラウドサーバは、
前記第2符号化パラメータを生成する第2符号化パラメータ生成手段を更に備える付記2~8の何れか1項に記載の情報処理システム。
[付記10]
前記情報処理システムは、エッジサーバと、クラウドサーバとを含み、
前記エッジサーバは、
情報を暗号化したままで計算を行う秘密計算手段であって、前記クラウドサーバから受信した第3符号化パラメータを格納し、当該第3符号化パラメータを用いた第3符号化処理を行う秘密計算手段と、
前記記憶手段と、
前記生成手段と、
前記照合手段と
を備え、
前記記憶制御手段は、前記第1秘密情報に対して前記第3符号化処理を行うことで生成した前記テンプレート情報を前記記憶手段に記憶させ、
前記生成手段は、前記秘密計算手段を用い、前記第2秘密情報に対して前記第3符号化処理を行うことで前記テスト情報を生成する
付記1に記載の情報処理システム。
[付記11]
前記情報処理システムは、複数のエッジサーバを含み、
前記複数のエッジサーバは、同一の前記記憶手段が記憶している前記テンプレート情報を用いて照合する
付記10に記載の情報処理システム。
[付記12]
前記クラウドサーバは、前記記憶制御手段を備え、
前記記憶制御手段は、前記第1秘密情報に対して前記第3符号化処理を行うことでで生成した前記テンプレート情報を前記記憶手段に記憶させる付記10又は11に記載の情報処理システム。
[付記13]
前記エッジサーバは、前記記憶制御手段を備え、
前記記憶制御手段は、前記秘密計算手段を用い、前記第1秘密情報に対して前記第3符号化処理を行うことで生成した前記テンプレート情報を前記記憶手段に記憶させる付記10又は11に記載の情報処理システム。
[付記14]
前記クラウドサーバは、
前記第3符号化パラメータを生成する第3符号化パラメータ生成手段を更に備える付記10~13の何れか1項に記載の情報処理システム。
[付記15]
第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させ、
第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成し、
前記テンプレート情報と前記テスト情報とを照合する
情報処理方法。
[付記16]
コンピュータに、
第1秘密情報に対して符号化パラメータを用いた符号化処理を行うことで生成したテンプレート情報を記憶手段に記憶させ、
第2秘密情報に対して前記符号化パラメータを用いた前記符号化処理を行うことでテスト情報を生成し、
前記テンプレート情報と前記テスト情報とを照合する
情報処理方法を実行させるためのコンピュータプログラムが記録された記録媒体。
【0149】
上述の各実施形態の構成要件の少なくとも一部は、上述の各実施形態の構成要件の少なくとも他の一部と適宜組み合わせることができる。上述の各実施形態の構成要件のうちの一部が用いられなくてもよい。また、法令で許容される限りにおいて、上述のこの開示で引用した全ての文献(例えば、公開公報)の開示を援用してこの開示の記載の一部とする。
【0150】
この開示は、請求の範囲及び明細書全体から読み取るこのできる技術的思想に反しない範囲で適宜変更可能である。そのような変更を伴う情報処理システム、情報処理方法、及び、記録媒体もまた、この開示の技術的思想に含まれる。
【符号の説明】
【0151】
情報処理システム1,2,3,4
テナント10
クラウドサーバ20
エッジサーバ30
記憶制御部11,211,619
生成部12
照合部13,213,518
クラウド側生成部212
テナントキー生成部214
リキーパラメータ生成部215
なりすまし判定部216
エッジ側生成部311
送信制御部312
エッジキー生成部313
ID取得部314,414
顔画像取得部315,415
特徴量抽出部316,416
秘密計算部517
エッジキーEK
テナントキーTK
リキーパラメータRKP
テンプレート情報CI
テスト情報TI
テナント10
クラウドサーバ20
エッジサーバ30
記憶制御部11,211,619
生成部12
照合部13,213,518
クラウド側生成部212
テナントキー生成部214
リキーパラメータ生成部215
なりすまし判定部216
エッジ側生成部311
送信制御部312
エッジキー生成部313
ID取得部314,414
顔画像取得部315,415
特徴量抽出部316,416
秘密計算部517
エッジキーEK
テナントキーTK
リキーパラメータRKP
テンプレート情報CI
テスト情報TI
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】