CN101958795A - 密钥存储设备及管理方法与生物认证设备、系统及方法 - Google Patents

密钥存储设备及管理方法与生物认证设备、系统及方法 Download PDF

Info

Publication number
CN101958795A
CN101958795A CN2010102281355A CN201010228135A CN101958795A CN 101958795 A CN101958795 A CN 101958795A CN 2010102281355 A CN2010102281355 A CN 2010102281355A CN 201010228135 A CN201010228135 A CN 201010228135A CN 101958795 A CN101958795 A CN 101958795A
Authority
CN
China
Prior art keywords
key
template
service
authentication
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010102281355A
Other languages
English (en)
Other versions
CN101958795B (zh
Inventor
阿部博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Co Mo Fillia
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Publication of CN101958795A publication Critical patent/CN101958795A/zh
Application granted granted Critical
Publication of CN101958795B publication Critical patent/CN101958795B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本发明涉及一种密钥存储设备及管理方法与生物认证设备、系统及方法。该密钥存储设备包括:接收单元,用于接收包数据,该包数据包括用于对已加密模板解密的模板密钥和用于执行与使用模板密钥的终端的认证的认证密钥,并且包数据具有仅允许密钥存储设备复原的数据格式;密钥信息存储单元,用于复原模板密钥和认证密钥,以及用于将模板密钥和认证密钥存储在防篡改非易失性存储器中;认证单元,用于在从终端接收到模板密钥的使用请求的情况中,通过使用基于认证密钥的认证信息来执行与终端的认证;以及密钥状态管理单元,用于在认证成功的情况中,将模板密钥置于终端可用的状态。本发明还涉及一种程序。

Description

密钥存储设备及管理方法与生物认证设备、系统及方法
技术领域
本发明涉及一种密钥存储设备、一种生物认证设备、一种生物认证系统、一种密钥管理方法、一种生物认证方法以及一种程序。
背景技术
近年来,个人保持的信息的价值和重要性随着信息社会的发展而迅速增加。在这些环境下,生物认证技术(生物技术)作为实现安全信息管理的方法而引起注意。生物认证是使用人体(活体)的特征部分(在下文中被称为身体部位)的对本人或其他人的识别。例如,对于不同的活体,指纹是不同的,并且因此指纹可以用于生物认证。与指纹相似,对于不同的活体,人的声纹、面部形状、手的形状、虹膜图案、静脉图案等也具有不同的特征。因此,通过使用这些特征用于生物认证,可以识别个人或者执行认证处理、搜索处理等。
如所描述的,为了使用生物认证来识别个人或者执行认证处理、搜索处理等,有必要比较从身体部位获得的特征。因此,以可能进行比较的数据(例如,图像数据、音频数据、三维坐标数据、虹膜代码等)的形式获得身体部位的特征(例如,指纹、声纹、静脉图案等)。随后,通过某种方法比较预先以如此形式登记的“模板”和认证操作时输入的“输入数据”,并且测量相似性。随后,基于作为比较结果而获得的相似性来执行个人识别或者认证处理等。
对于生物认证,JP-A-2008-102780公开了一种用于在执行人的认证之前基于生物图案来区别生物认证传感器检测到的身体图案属于活体还是非活体的技术。具体地,该专利文献公开了一种用于通过掌握在活体图案中看到的独特统计趋势来区别活体和非活体的技术。例如,活体的血管图案倾向于沿某个方向对准。对于该趋势,该专利文献提出了一种如下方法:对于形成血管图案的每个部分,基于角度分布的分散、角度分布的强度等,区别活体图案和非活体图案,以及根据区别结果排除假的血管图案等。再者,JP-A-2009-75950公开了一种有效地管理用于生物认证的诸如模板的信息的方法。
发明内容
事实上,使用JP-A-2008-102780中描述的生物认证方法使得能够以较高的精度执行生物认证。再者,使用JP-A-2009-75950中描述的管理方法使得能够有效地管理用于生物认证的诸如模板的信息。然而,根据JP-A-2009-75950中描述的生物认证系统,模板被存储在执行生物认证时使用的生物认证设备中(例如,参照图1)。据此,当存在多个生物认证设备时,使用者必须将生物信息登记在每个生物认证设备中。当存在诸如金融服务、进入/退出管理服务等各种服务并且针对每种服务安装生物认证设备时,使用者必须将生物信息登记在用于各种服务的生物认证设备中。
将来,预见具有安全性高和认证精度高的特征的生物认证被广泛地用于各种服务。除了已提到的金融服务和进入/退出管理服务之外,其还可以用于使用作为服务在办公室中提供的影印机或自动贩卖机的使用者认证。然而,如果使用者要将生物信息登记在每个生物认证设备中,则使用者登记的负担将是过重的,并且实际上,利用将是非常困难的。作为解决该问题的方法,可以设想一种构造如下系统的方法,其中对模板加密并且将其存储在外部服务器等中,并且每当使用者要接受服务时,各生物认证设备就访问服务器等。
在应用该系统的情况中,自然需要一种安全地管理用于对模板进行解密的模板加密密钥的方法。例如,对于其中模板加密密钥由所有服务共享的系统配置,如果模板加密密钥通过一项服务的生物认证设备被暴露,则所有服务将被欺骗性地使用。如此,需要一种技术,用于在其中生物认证技术用于各种服务的情形中,在为使用者提供高度便利的同时,安全地管理用于生物认证的模板。
考虑到前文,所期望的是提供一种密钥存储设备、一种生物认证设备、一种生物认证系统、一种密钥管理方法、一种生物认证方法以及一种程序,它们是新的和改进的,并且通过使用由使用者持有的防篡改设备并且适当地管理用于每种服务的模板加密密钥,能够在维持在生物认证设备外部保持的已加密模板的安全性的同时改进使用者的便利。
根据本发明的实施例,提供了一种密钥存储设备,其包括:接收单元,用于接收包数据,该包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用模板加密密钥的终端之间的相互认证的认证密钥,相互认证是在将模板加密密钥置于可用状态时执行的并且包数据具有仅允许由其中存储模板加密密钥的密钥存储设备复原的数据格式;密钥信息存储单元,用于从接收单元接收到的包数据中复原模板加密密钥和认证密钥,以及用于将模板加密密钥和认证密钥存储在防篡改非易失性存储器中;相互认证单元,用于在从终端接收到模板加密密钥的使用请求的情况中,通过使用基于非易失性存储器中存储的认证密钥的认证信息来执行与终端的相互认证;以及密钥状态管理单元,用于在相互认证单元执行的相互认证成功的情况中,将非易失性存储器中存储的模板加密密钥置于终端可用的状态。
在模板加密密钥和认证密钥由密钥信息存储单元存储时用于执行与终端的相互认证的系统认证密钥可以预先存储在非易失性存储器中。该密钥存储设备可以进一步包括:系统相互认证单元,用于通过使用预先存储在非易失性存储器中的系统认证密钥来执行与终端的相互认证。在系统相互认证单元执行的相互认证成功的情况中,密钥信息存储单元可以从包数据中复原模板加密密钥和认证密钥并且将模板加密密钥和认证密钥存储在非易失性存储器中。
该密钥存储设备可以进一步包括:系统退化密钥生成单元,用于通过使用特定的系统退化密钥生成函数从系统认证密钥生成系统退化密钥。系统相互认证单元可以通过使用系统退化密钥生成单元生成的系统退化密钥来执行与终端的相互认证。
该密钥存储设备可以进一步包括:退化密钥生成单元,用于通过使用特定的退化密钥生成函数从认证密钥生成退化密钥。相互认证单元可以通过使用退化密钥生成单元生成的退化密钥来执行与终端的相互认证。
在以下状态中从终端接收到多个模板加密密钥的使用请求的情况中:其中存在多个服务,其中针对每个服务设定了模板加密密钥,并且其中对应于多个服务的模板加密密钥和认证密钥被存储在非易失性存储器中,退化密钥生成单元可以通过使用与已接收到使用请求的多个服务相对应的认证密钥来生成一个退化密钥,相互认证单元可以通过使用退化密钥生成单元生成的一个退化密钥来执行与终端的相互认证,并且在相互认证单元执行的相互认证成功的情况中,密钥状态管理单元可以将对应于已接收到使用请求的多个服务并且被存储在非易失性存储器中的多个模板加密密钥置于终端可用的状态。
在相互认证单元执行的相互认证成功的情况中,密钥状态管理单元可以在易失性存储器中复制存储在非易失性存储器中的模板加密密钥,并且在建立与终端的会话的同时将易失性存储器中的模板加密密钥置于终端可用的状态。
根据本发明的另一实施例,提供了一种生物认证设备,其包括:生物信息获取单元,用于拍摄生物图案的图像,以及用于获取用于生物认证的生物信息;已加密模板获取单元,用于获取已加密的用于生物认证的模板;相互认证单元,用于获取在执行与密钥存储设备的相互认证时使用的认证信息,该密钥存储设备将用于对已加密的用于生物认证的模板进行解密的模板加密密钥存储在防篡改非易失性存储器中并且管理模板加密密钥,以及用于通过使用认证信息来执行与密钥存储设备的相互认证;模板解密单元,用于在相互认证单元执行的相互认证成功并且模板加密密钥通过密钥存储设备被置于可用状态的情况中,通过使用模板加密密钥对已加密的用于生物认证的模板进行解密;以及生物认证单元,用于通过彼此对比地检查模板解密单元解密的用于生物认证的模板和生物信息获取单元获取的生物信息来执行生物认证处理。
生物认证设备可以进一步包括:系统相互认证单元,用于获取要用于相互认证的系统认证信息,该相互认证是在将模板加密密钥存储在密钥存储设备的非易失性存储器中时执行的,以及用于通过使用系统认证信息来执行与密钥存储设备的相互认证;以及包数据提供单元,用于在系统相互认证单元的相互认证成功的情况中获取包数据以及用于将包数据提供给密钥存储设备,该包数据包括模板加密密钥以及用于在密钥存储设备将模板加密密钥置于可用状态时执行的相互认证的认证密钥并且具有仅允许密钥存储设备复原的数据格式。
根据本发明的另一实施例,提供了一种生物认证系统,其包括密钥存储设备和生物认证设备。该密钥存储设备包括:接收单元,用于接收包数据,该包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用模板加密密钥的生物认证设备的相互认证的认证密钥,相互认证是在将模板加密密钥置于可用状态时执行的并且包数据具有仅允许由其中存储模板加密密钥的密钥存储设备复原的数据格式;密钥信息存储单元,用于从接收单元接收到的包数据中复原模板加密密钥和认证密钥,以及用于将模板加密密钥和认证密钥存储在防篡改非易失性存储器中;第一相互认证单元,用于在从生物认证设备接收到模板加密密钥的使用请求的情况中,通过使用基于非易失性存储器中存储的认证密钥的认证信息来执行与生物认证设备的相互认证;以及密钥状态管理单元,用于在第一相互认证单元执行的相互认证成功的情况中,将非易失性存储器中存储的模板加密密钥置于生物认证设备可用的状态。该生物认证设备包括:生物信息获取单元,用于拍摄生物图案的图像,以及用于获取用于生物认证的生物信息;已加密模板获取单元,用于获取已加密的用于生物认证的模板;第二相互认证单元,用于获取在执行与密钥存储设备的相互认证时使用的认证信息,以及用于通过使用认证信息执行与密钥存储设备的相互认证;模板解密单元,用于在第二相互认证单元执行的相互认证成功并且模板加密密钥通过密钥存储设备被置于可用状态的情况中,通过使用模板加密密钥对已加密的用于生物认证的模板进行解密;以及生物认证单元,用于通过彼此对比地检查模板解密单元解密的用于生物认证的模板和生物信息获取单元获取的生物信息来执行生物认证处理。
根据本发明的另一实施例,提供了一种密钥管理方法,其包括步骤:接收包数据,该包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用模板加密密钥的终端的相互认证的认证密钥,相互认证是在将模板加密密钥置于可用状态时执行的并且包数据具有仅允许由其中存储模板加密密钥的密钥存储设备复原的数据格式;从接收步骤中接收到的包数据中复原模板加密密钥和认证密钥,以及将模板加密密钥和认证密钥存储在防篡改非易失性存储器中;在从终端接收到模板加密密钥的使用请求的情况中,通过使用基于非易失性存储器中存储的认证密钥的认证信息来执行与终端的相互认证;以及在执行相互认证的步骤中的相互认证成功的情况中,将非易失性存储器中存储的模板加密密钥置于终端可用的状态。
根据本发明的另一实施例,提供了一种生物认证方法,其包括步骤:拍摄生物图案的图像,以及获取用于生物认证的生物信息;获取已加密的用于生物认证的模板;获取在执行与密钥存储设备的相互认证时使用的认证信息,该密钥存储设备将用于对已加密的用于生物认证的模板进行解密的模板加密密钥存储在防篡改非易失性存储器中并且管理模板加密密钥,以及通过使用认证信息来执行与密钥存储设备的相互认证;在执行相互认证的步骤中的相互认证成功并且模板加密密钥通过密钥存储设备被置于可用状态的情况中,通过使用模板加密密钥对已加密的用于生物认证的模板进行解密;以及通过彼此对比地检查解密步骤中解密的用于生物认证的模板和获取生物信息的步骤中获取的生物信息来执行生物认证处理。
根据本发明的另一实施例,提供了一种生物认证方法,其包括步骤:由配备有其中存储模板加密密钥的防篡改非易失性存储器的密钥存储设备接收包数据,该包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用模板加密密钥的生物认证设备的相互认证的认证密钥,相互认证是在将模板加密密钥置于可用状态时执行的并且包数据具有仅允许由密钥存储设备复原的数据格式;由密钥存储设备从接收步骤中接收到的包数据中复原模板加密密钥和认证密钥,以及由密钥存储设备将模板加密密钥和认证密钥存储在防篡改非易失性存储器中;在从生物认证设备接收到模板加密密钥的使用请求的情况中,由密钥存储设备通过使用基于非易失性存储器中存储的认证密钥的认证信息来执行与生物认证设备的相互认证;在执行与生物认证设备的相互认证的步骤中的相互认证成功的情况中,由密钥存储设备将非易失性存储器中存储的模板加密密钥置于生物认证设备可用的状态;由生物认证设备拍摄生物图案的图像,以及由生物认证设备获取用于生物认证的生物信息;由生物认证设备获取已加密的用于生物认证的模板;由生物认证设备获取在执行与密钥存储设备的相互认证时使用的认证信息,以及由生物认证设备通过使用认证信息来执行与密钥存储设备的相互认证;在执行与密钥存储设备的相互认证的步骤中的相互认证成功并且模板加密密钥通过密钥存储设备被置于可用状态的情况中,由生物认证设备通过使用模板加密密钥对已加密的用于生物认证的模板进行解密;以及由生物认证设备通过彼此对比地检查解密步骤中解密的用于生物认证的模板和获取生物信息的步骤中获取的生物信息来执行生物认证处理。
根据本发明的另一实施例,提供了一种用于使计算机实现如下功能的程序:接收功能,接收包数据,该包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用模板加密密钥的终端的相互认证的认证密钥,相互认证是在将模板加密密钥置于可用状态时执行的并且包数据具有仅允许由其中存储模板加密密钥的密钥存储设备复原的数据格式;密钥信息存储功能,从通过接收功能接收到的包数据中复原模板加密密钥和认证密钥,以及将模板加密密钥和认证密钥存储在防篡改非易失性存储器中;相互认证功能,在从终端接收到模板加密密钥的使用请求的情况中,通过使用基于非易失性存储器中存储的认证密钥的认证信息来执行与终端的相互认证;以及密钥状态管理功能,在相互认证功能执行的相互认证成功的情况中,将非易失性存储器中存储的模板加密密钥置于终端可用的状态。
根据本发明的另一实施例,提供了一种用于使计算机实现如下功能的程序:生物信息获取功能,拍摄生物图案的图像,以及获取用于生物认证的生物信息;已加密模板获取功能,获取已加密的用于生物认证的模板;相互认证功能,获取在执行与密钥存储设备的相互认证时使用的认证信息,该密钥存储设备将用于对已加密的用于生物认证的模板进行解密的模板加密密钥存储在防篡改非易失性存储器中并且管理模板加密密钥,以及通过使用认证信息来执行与密钥存储设备的相互认证;模板解密功能,在相互认证功能执行的相互认证成功并且模板加密密钥通过密钥存储设备被置于可用状态的情况中,通过使用模板加密密钥对已加密的用于生物认证的模板进行解密;以及生物认证功能,用于通过彼此对比地检查通过模板解密功能解密的用于生物认证的模板和通过生物信息获取功能获取的生物信息来执行生物认证处理。
根据本发明的另一实施例,提供了一种其中记录程序的记录介质,该记录介质能够由计算机读取。
根据以上描述的本发明的实施例,通过使用由使用者持有的防篡改设备并且适当地管理用于每个服务的模板加密密钥,能够维持在生物认证设备外部保持的已加密模板的安全性,并且同时,能够改进使用者的便利。
附图说明
图1是示出一般的生物认证设备的配置示例的说明性示图;
图2是示出根据本发明的实施例的生物认证系统的整体系统配置的示例的说明性示图;
图3是示出根据本实施例的修改示例的生物认证系统的整体系统配置的示例的说明性示图;
图4是示意性示出根据本实施例的存储在安全芯片上的非易失性存储器中的服务数据的配置的说明性示图;
图5是示意性示出根据本实施例的存储在安全芯片上的非易失性存储器中的服务数据的数据配置的说明性示图;
图6是示出根据本实施例的PC(服务登记终端、生物认证设备)的功能配置的示例的说明性示图;
图7是示出根据本实施例的安全设备的功能配置的示例的说明性示图;
图8是示出根据本实施例的服务数据管理系统的功能配置的示例的说明性示图;
图9是示出根据本实施例的服务登记处理的流程的说明性示图;
图10是示出根据实施例的系统服务的激活处理的流程的说明性示图;
图11是示出根据本实施例的系统服务的激活处理的具体内容的说明性示图;
图12是以表格格式示出根据本实施例的系统服务的激活处理的具体内容,该处理中使用的认证密钥的类型和关于执行该处理时使用的参数的信息的说明性示图;
图13是以表格格式示出根据本实施例的用于系统服务的激活处理的信号处理函数的具体配置的说明性示图;
图14是示出根据本实施例的一般服务的激活处理的流程的说明性示图;
图15是示出根据本实施例的一般服务的激活处理的具体内容的说明性示图;
图16是示出根据本实施例的多个服务的同时激活处理的流程的说明性示图;
图17是示出根据本实施例的多个服务的同时激活处理的流程的具体内容的说明性示图;
图18是示出根据本实施例的同时激活多个版本的服务的处理的具体内容的说明性示图;
图19是以表格格式示出根据本实施例的一般服务的激活处理的具体内容、该处理中使用的认证密钥的类型和关于执行该处理时使用的参数的信息的说明性示图;
图20是以表格格式示出根据本实施例的用于一般服务的激活处理的信号处理功能的具体配置的说明性示图;
图21是示出根据本实施例的生物认证设备的功能配置的示例的说明性示图;
图22是示出根据本实施例的模板管理系统的功能配置的示例的说明性示图;
图23是示出根据本实施例的生物认证处理的整体流程的说明性示图;
图24是示出根据本实施例的服务改变处理的具体内容的说明性示图;
图25是示出根据本实施例的服务改变处理的流程的说明性示图;
图26是示出根据本实施例的服务删除处理的流程的说明性示图;
图27是示出根据本实施例的模板登记终端的功能配置的示例的说明性示图;
图28是示出根据本实施例的模板登记处理的流程的说明性示图;
图29是示出根据本实施例的模板加密密钥交换处理的流程的说明性示图;以及
图30是示出能够实现根据本实施例的各设备和系统的功能的信息处理装置的硬件配置的示例的说明性示图。
具体实施方式
在下文中,将参照附图详细描述本发明的优选实施例。应当注意,在本说明书和附图中,具有基本上相同的功能和结构的结构元件被标注有相同的附图标记,并且这些结构元件的重复说明被省略。
<描述流程>
这里将简要叙述以下描述的本发明的实施例的描述流程。首先,将参照图1描述一般的生物认证设备的配置。随后,将比较图1中示出的生物认证设备的配置,参照图2描述根据本实施例的生物认证系统的整体系统配置。此外,将参照图3描述根据本实施例的修改示例的生物认证系统的整体系统配置。
随后,将参照图4和5描述根据本实施例的生物认证系统中包括的安全设备的配置。其中,将参照图4给出关于用于从已加密模板解密原始模板的模板加密密钥的管理方法的说明。此外,将参照图5给出关于在安全设备中提供的非易失性存储器中存储的服务数据的内容以及服务数据的数据结构的说明。
接着,将参照图6描述用作本实施例的生物认证系统中的服务登记终端并且还用作生物认证设备的PC的功能配置。然而,这里将仅详细描述用于提供服务登记终端的功能的主要结构元件。随后,将参照图7描述在本实施例的生物认证系统中包括的安全设备的功能配置。然而,这里将仅详细描述用于提供在服务登记时使用的功能的主要结构元件。接着,将参照图8描述在本实施例的生物认证系统中包括的服务数据管理系统的功能配置。然而,这里将仅详细描述用于提供在服务登记时使用的功能的主要结构元件。接着,将参照图9至13描述根据本实施例的服务登记处理的流程。
随后,再次参照图6,将描述与在本实施例的生物认证系统中包括的PC的功能配置相关的用于提供服务激活功能的主要结构元件的功能。接着,再次参照图7,将描述与在本实施例的生物认证系统中包括的安全设备的功能配置相关的用于提供服务激活功能的主要结构元件的功能。接着,再次参照图8,将描述与在本实施例的生物认证系统中包括的服务数据管理系统相关的用于提供服务激活功能的主要结构元件的功能。接着,将参照图14、15、19和20描述根据本实施例的服务激活处理的流程。接着,将参照图16至20描述根据本实施例的多个服务的同时激活处理(组合激活)的流程。
接着,再次参照图6,将描述与在本实施例的生物认证系统中包括的PC的功能配置相关的用于提供生物认证设备的功能的主要结构元件的功能。接着,将参照图21描述在本实施例的生物认证系统中包括的生物认证设备的功能配置。随后,将参照图22描述在本实施例的生物认证系统中包括的模板管理系统的功能配置。随后,将参照图23描述根据本实施例的生物认证处理的流程。随后,将参照图24和25描述根据本实施例的服务改变处理的流程。随后,将参照图26描述根据本实施例的服务删除处理的流程。
随后,将参照图27描述在本实施例的生物认证系统中包括的模板登记终端的功能配置。随后,将参照图28描述根据本实施例的模板登记处理的流程。随后,将参照图29描述根据本实施例的模板加密密钥交换处理的流程。随后,将参照图30描述能够实现在根据本实施例的生物认证系统中包括的各个设备和该系统的功能的信息处理装置的硬件配置的示例。
(描述项目)
1:生物认证系统的整体系统配置
1-1:系统配置示例1(用于将模板存储在服务器中的配置)
1-2:系统配置示例2(用于将模板存储在PC中的配置)
2:安全设备的配置
2-1:非易失性存储器内的数据结构
3:服务登记
3-1:PC的功能配置(服务登记功能部分)
3-2:安全设备的功能配置(服务登记功能部分)
3-3:服务数据管理系统的功能配置(服务登记功能部分)
3-4:服务登记处理的流程
3-4-1:整体处理流程
3-4-2:系统服务激活处理的流程
4:服务激活
4-1:PC的功能配置(服务激活功能部分)
4-2:安全设备的功能配置(服务激活功能部分)
4-3:服务数据管理系统的功能配置(服务激活功能部分)
4-4:服务激活处理的流程
4-5:多个服务的同时激活
4-5-1:不同服务的同时激活
4-5-2:不同版本的同时激活
5:生物认证
5-1:PC的功能配置(生物认证功能部分)
5-2:生物认证设备的功能配置
5-3:模板管理系统的功能配置(生物认证功能部分)
5-4:生物认证处理的流程
6:服务的改变/删除
6-1:服务改变处理的流程
6-2:服务删除处理的流程
7:模板登记
7-1:模板登记终端的功能配置
7-2:模板登记处理的流程
8:模板加密密钥的交换
9:硬件配置
<实施例>
将描述本发明的实施例。本实施例提出了一种生物认证系统的配置,其通过管理在为各个服务提供的生物认证设备外部的用于生物认证的模板,在使用者不必将模板登记在每个生物认证设备中的情况下,允许使用者接受所期望的服务。
为了更详细的描述,本实施例提供了一种生物认证系统,其以如下方式考虑安全性:即使服务的模板加密密钥变为暴露的,通过为每个服务准备模板加密密钥,将不会影响其他服务。特别地,其涉及一种如下技术:将可用的服务登记在个人使用者持有的安全设备中,以及通过使用所登记的信息执行控制以便于允许用于提供所期望服务的生物认证设备使用模板加密密钥。下面将使用具体示例给出更详细的说明。
<1:生物认证系统的整体系统配置>
首先,将描述根据本实施例的生物认证系统的整体系统配置。这里将示出作为具体示例的两种类型的系统配置示例。然而,应当注意,根据本实施例的技术的适用范围不限于这两种类型的系统配置示例。
<1-1:系统配置示例1(用于将模板存储在服务器中的配置)>
作为第一示例,图2中示出了被设计用于把模板存储在生物认证设备外部提供的服务器(模板管理系统26)中的生物认证系统10的系统配置。图2是示出根据本实施例的生物认证系统10的系统配置的示例的说明性示图。
如图2中所示,生物认证系统10主要包括PC 12、安全设备14、影印机16、进入/退出管理设备18、自动贩卖机20、服务数据管理系统24、模板管理系统26和模板登记终端28。
此外,PC 12、影印机16、进入/退出管理设备18和自动贩卖机20是提供生物认证服务的设备的示例,并且配备有生物认证设备的功能。再者,假设除了生物认证设备的功能之外,PC 12还配备有服务登记终端的功能。此外,在下面的说明中,PC 12、影印机16、进入/退出管理设备18和自动贩卖机20可以被表述为生物认证设备。再者,PC 12可以被表述为服务登记终端。服务登记终端的功能将在后面描述。
假设PC 12、影印机16、进入/退出管理设备18、自动贩卖机20、服务数据管理系统24和模板管理系统26经由网络30连接。还假设PC 12配备有用于与安全设备14无线通信的读取器/写入器(R/W)。因此,PC 12可以经由读取器/写入器将数据写入安全设备14或者从安全设备14读出数据。此外,安全设备14是存储模板加密密钥的密钥存储设备的示例。模板加密密钥和密钥存储设备的配置将在后面描述。
在图2中示出的生物认证系统10中,由模板管理系统26管理用于生物认证的模板。通过使用模板登记终端28创建模板,并且模板被存储在模板管理系统26中。此时,利用特定的模板加密密钥对模板进行加密。在下面的说明中,已被加密的模板将被称为已加密模板。此外,在根据本实施例的生物认证系统10中,为每个服务创建已加密模板。
图2的示例假设由PC 12提供的万维网(Web)服务、由影印机16提供的影印服务、由进入/退出管理设备18提供的进入/退出管理服务、和由自动贩卖机20提供的自动贩卖服务。据此,用于万维网服务的已加密模板、用于影印服务的已加密模板、用于进入/退出管理服务的已加密模板和用于自动贩卖服务的已加密模板被存储在模板管理系统26中。例如,通过利用对于每个服务是不同的模板加密密钥对从模板登记终端28输入的模板进行加密,创建了各个已加密模板。
用于各个服务的模板加密密钥由服务数据管理系统24管理。因此,模板加密密钥不是保存在PC 12、影印机16、进入/退出管理设备18和自动贩卖机20中,以便于总是能够使用。就是说,利用生物认证系统10,在生物认证设备外部提供的系统中管理已加密模板和模板加密密钥。
这里,将参照图1。如图1中所示,利用已被广泛使用的一般的生物认证设备,在生物认证设备内的安全设备中管理已加密模板和模板加密密钥。因此,使用者必须去往其中安装用于各个服务的生物认证设备的场所并登记生物图案,并且存在如下问题:随着服务类型的增加,使用者的负担增加。
考虑到该问题,提出了一种如下方法:利用生物认证系统10管理服务数据管理系统24中的模板加密密钥并且管理模板管理系统26中的已加密模板(外部提供模板管理)。当使用该方法时,使用者不必去往对应于各个服务的生物认证设备的安装位置以登记模板。然而,为了使生物认证系统10有效地发挥作用,需要一种在维持使用者便利的同时适当地控制对已加密模板和模板加密密钥的访问的机制。
根据本实施例,使用一种如下方法:利用安全设备14中存储的对应于所期望服务的模板加密密钥,通过使用各个生物认证设备和安全设备14之间的相互认证来控制对用于每个服务的模板加密密钥的访问。在下文中,将详细地描述该方法,但是首先,将介绍生物认证系统10的修改示例。
<1-2:系统配置示例2(用于将模板存储在PC中的配置)>
根据上文描述的生物认证系统10,由模板管理系统26管理已加密模板。然而,本实施例涉及一种如下技术:利用安全设备14中存储的对应于所期望服务的模板加密密钥,通过使用各生物认证设备和安全设备14之间的相互认证来控制对用于每个服务的模板加密密钥的访问。
因此,如图3中所示,系统配置修改也是可能的,根据该修改,在PC 52中管理已加密模板和模板加密密钥并且允许适当地从另一生物认证设备访问PC 52。就是说,在图2中所示的生物认证系统10中,PC 12的功能、模板管理系统26的功能和模板登记终端28的功能可以合并在PC 52中。该配置允许使用者通过使用由作为使用者的个人财产的PC 52管理的已加密模板,通过例如影印机16、进入/退出管理设备18、自动贩卖机20等接受生物认证服务。
如所描述的,可以适当地修改系统配置,只要它处于本实施例的技术思想内。例如,还可以使用配备有PC 12和安全设备14的功能的移动电话、移动信息终端等代替PC 12。在下文中,将详细地描述根据本实施例的关于模板加密密钥的管理方法。此外,为了说明,将对所设想的图2中所示的生物认证系统10的系统配置进行说明。
<2:安全设备的配置>
这里,将描述安全设备14的配置。如上文所述,本实施例的特征在于通过使用PC 12和安全设备14之间的相互认证来控制对安全设备14中存储的模板加密密钥的访问的方法。因此,将详细地描述存储在安全设备14中的模板加密密钥的配置和要用于控制对模板加密密钥的访问的访问认证密钥信息的配置。
<2-1:非易失性存储器内的数据结构>
首先,将参照图4和5描述存储在安全设备14中的模板加密密钥的配置和要用于控制对模板加密密钥的访问的访问认证密钥的配置。这里还将描述根据本实施例的关于模板加密密钥的管理方法。图4是示出存储在安全设备14中的模板加密密钥的配置示例的说明性示图。图5是示出安全设备14中存储的服务数据的数据结构的说明性示图。此外,后面将描述服务数据。
首先,将参照图4。如图4中所示,针对各个服务设定的模板加密密钥被存储在安全设备14中。在如本实施例中假设使用多个服务的情况中,多个模板加密密钥将被存储在安全设备14中。例如,系统服务(服务1)、进入/退出管理服务(服务2)、...、万维网服务(服务N)等被存储在安全设备14的非易失性存储器中。此外,其中存储模板加密密钥的非易失性存储器是防篡改的。再者,系统服务是在发货时预先设定的特别服务。另一方面,进入/退出管理服务、...、万维网服务是使用者适当地登记在安全设备14中的一般服务。
接着,将参照图5。图5示出了存储在安全设备14的非易失性存储器中的服务数据的数据结构。此外,服务数据是由用于识别每个服务的服务代码(sc)、用于控制对模板加密密钥的访问的访问认证密钥信息(Iauth sc)、包括模板加密密钥的模板加密密钥信息(Itemp sc)和复合许可标志(fcomp sc)形成的数据。此外,这些数据片段被彼此链接地管理。
服务代码(sc)是用于识别服务之间的差异和版本之间的差异的代码。服务代码由服务ID(scid)和版本信息(scver)形成。服务ID是用于识别服务的身份信息。版本信息是用于识别版本的信息。访问认证密钥信息(Iauth sc)是为了访问对应于各服务的模板加密密钥而进行的相互认证所使用的用于认证的数据。访问认证密钥信息由加密方案(tauth sc)和服务认证密钥(Kauth sc)形成。
模板加密密钥信息(Itemp sc)是用于对为每个服务创建的加密模板进行解密的加密密钥数据。模板加密密钥信息由加密方案(ttemp sc)和模板加密密钥(Ktemp sc)形成。复合许可标志(fcomp sc)是指示访问认证是否可以与关于对应于其他服务的模板加密密钥的其他访问认证同时执行的许可信息。在复合许可标志被设定为有效的情况中,可以通过单次相互认证一起建立关于对应于其他服务的模板加密密钥的访问认证。
如上文所述,为每个服务设定的服务数据被存储在安全设备14中。再者,将篡改检测代码添加到各段服务数据。通过添加篡改检测代码,在服务数据出于某种原因而被破坏的情况中,可以检测破坏。此外,系统服务的服务数据和一般服务的服务数据基本上具有相同的数据结构。然而,存在如下差异,在系统服务的情况中,例如,对服务代码和复合许可标志设置了限制。再者,系统服务的服务代码的预期用途和一般服务的服务代码的预期用途是不同的。这些差异将在后面描述。
<3:服务登记>
如上文所述,服务数据被存储在安全设备14中。系统服务的服务数据预先在发货等时被存储在安全设备14的非易失性存储器中。另一方面,必须使用PC 12(服务登记终端)登记一般服务的服务数据。这里将描述用于将一般服务的服务数据存储在安全设备14的非易失性存储器中的服务登记方法。
<3-1:PC的功能配置(服务登记功能部分)>
首先,将参照图6描述PC 12的功能配置中的用于提供服务登记功能的结构元件。图6是示出PC 12的功能配置的示例的说明性示图。
如图6中所示,PC 12包括用于安全设备的通信单元102、系统服务退化密钥获取单元104、用于网络的通信单元106、系统服务状态控制单元108、以及包服务数据传输单元110,作为用于提供服务登记功能的主要结构元件。此外,用于安全设备的通信单元102和包服务数据传输单元110是包数据提供单元的示例。再者,用于安全设备的通信单元102、系统服务退化密钥获取单元104和系统服务状态控制单元108是系统相互认证单元的示例。
用于安全设备的通信单元102是用于与安全设备14通信的部件。系统服务退化密钥获取单元104是用于从服务数据管理系统24获取系统服务认证退化密钥的部件,该系统服务认证退化密钥将用于在一般服务的服务数据的登记时执行的与安全设备14的相互认证。系统服务认证退化密钥是基于在系统服务的服务数据中包括的服务认证密钥而生成的(在下文中,服务认证密钥和服务数据被分别称为“系统服务认证密钥”和“系统服务数据”)。
这里,系统服务认证退化密钥由管理服务提供权威的服务管理权威(服务数据管理系统24)生成或者由服务管理权威批准许可的安全设备14生成。例如,基于系统服务认证密钥(Kauth scsys)和系统服务认证退化密钥函数d0,通过下面示出的式(1)来生成对应于系统服务的服务ID(scsys)的系统服务认证退化密钥(Kdege scsys)。系统服务认证退化密钥函数d0是在服务管理权威批准许可之后提供的。
[等式1]
Kdege scsys=d0(Kauth scsys)    ...(1)
系统服务退化密钥获取单元104经由用于网络的通信单元106获取上文描述的系统服务认证退化密钥。用于网络的通信单元106是用于向/从服务数据管理系统24、模板管理系统26和连接到网络30的其他生物认证设备传送/接收数据的部件。系统服务退化密钥获取单元104获取的系统服务认证退化密钥被输入到系统服务状态控制单元108。系统服务状态控制单元108是用于经由用于安全设备的通信单元102与安全设备14通信以及用于执行相互认证和会话建立的部件。
当系统服务认证退化密钥被输入时,系统服务状态控制单元108尝试经由用于安全设备的通信单元102进行与安全设备14的相互认证。当相互认证成功时,系统服务状态控制单元108建立会话,并且将指示相互认证成功的通知信息(在下文中将被称为认证完成通知)输入到包服务数据传输单元110。其中系统服务认证退化密钥的相互认证已成功并且会话被建立的这种状态将被称为其中系统服务被激活的状态。
使用者期望登记的服务信息被输入到包服务数据传输单元110。当认证完成通知被输入时,包服务数据传输单元110经由用于网络的通信单元106访问服务数据管理系统24,并且获取使用者所期望的服务的服务数据。这里,将由包服务数据传输单元110获取的服务数据被打包为如下格式:仅可能在安全设备14处解密。该打包处理仅由服务管理权威执行或者由服务管理权威批准许可的实体执行。这里,假设服务管理权威(服务数据管理系统24)执行该处理。
此外,打包处理是基于服务打包函数p1执行的。例如,使用者期望登记的一般服务的服务代码被取为sc。再者,在将对应于服务代码sc的访问认证密钥信息取为Iauth sc,将模板加密密钥信息取为Itemp sc,并且将复合许可标志取为fcomp sc时,如下式(2)和(3)获得打包的服务数据(在下文中将被称为服务包数据)Psc
[等式2]
Ssc=[sc,Iauth sc,Itemp sc,fcomp sc]    ...(2)
Psc=p1(Ssc)                            ...(3)
上文所述的服务包数据是由包服务数据传输单元110从服务数据管理系统24获取的,并且经由用于安全设备的通信单元102提供给安全设备14。
如所描述的,PC 12通过使用系统服务认证退化密钥来执行与安全设备14的相互认证并且建立会话,并且向安全设备14提供服务包数据。此时,由于服务数据被打包为PC 12不能够解密的格式,因此服务数据的内容对于PC 12将是未知的。据此,可以防止在服务数据的登记时通过PC12泄漏服务数据的内容。再者,通过PC 12和安全设备14之间执行的相互认证,可以防止恶意第三方将未授权的服务数据存储在有效数据存储位置。
<3-2:安全设备的功能配置(服务登记功能部分)>
接着,将参照图7描述安全设备14的功能配置中的用于提供服务登记功能的结构元件。图7是示出安全设备14的功能配置的示例的说明性示图。
如图7中所示,安全设备14包括通信单元202、非易失性存储器204、系统服务退化密钥生成单元206、系统服务状态控制单元208和服务包数据解密单元210,作为用于提供服务登记功能的主要结构元件。此外,通信单元202是接收单元的示例。再者,服务包数据解密单元210是密钥信息存储单元的示例。再者,系统服务退化密钥生成单元206和系统服务状态控制单元208是系统相互认证单元的示例。再者,系统服务退化密钥生成单元206是系统退化密钥生成单元的示例。
通信单元202是用于与PC 12通信的部件。非易失性存储器204是防篡改的存储部件。此外,系统服务数据被预先存储在非易失性存储器204中。当一般服务的登记处理开始时,系统服务退化密钥生成单元206从非易失性存储器204获取系统服务数据中包括的系统服务认证密钥。随后,系统服务退化密钥生成单元206从系统服务认证密钥生成系统服务认证退化密钥。系统服务认证退化密钥是基于上文描述的式(1)生成的。这里,假设服务管理权威已经提供了系统服务认证退化密钥函数d0。
系统服务退化密钥生成单元206生成的系统服务认证退化密钥被输入到系统服务状态控制单元208。系统服务状态控制单元208是用于在一般服务的登记时执行与PC 12的相互认证以及用于建立会话的部件。当系统服务认证退化密钥被输入时,系统服务状态控制单元208通过使用所输入的系统服务认证退化密钥来执行与PC 12的相互认证,并且在认证已成功的情况中,经由通信单元202建立会话。当以这种方式激活系统服务时,从PC 12提供包服务数据。
安全设备14通过使用通信单元202获取PC 12提供的包服务数据。通过通信单元202获取的包服务数据被输入到服务包数据解密单元210。服务包数据解密单元210从已输入的包服务数据解密原始服务数据。随后,服务包数据解密单元210将已被解密的服务数据存储在非易失性存储器204中。一般服务的服务数据以这种方式存储在非易失性存储器204中,并且构造如图5中所示的数据结构。
通过这种方式,安全设备14通过使用系统服务认证退化密钥来执行与PC 12的相互认证,建立会话,并且从PC 12获取服务包数据。此时,由于服务数据被打包为PC 12不能够解密的格式,因此服务数据的内容对于PC 12将是未知的。因此,可以防止在服务数据的登记时通过PC 12泄漏服务数据的内容。再者,通过PC 12和安全设备14之间执行的相互认证,可以防止恶意第三方将未授权的服务数据存储在有效数据存储位置。
<3-3:服务数据管理系统的功能配置(服务登记功能部分)>
接着,将参照图8描述服务数据管理系统24的功能配置中的用于提供服务登记功能的结构元件。图8是示出服务数据管理系统24的功能配置的示例的说明性示图。
如图8中所示,服务数据管理系统24包括通信单元302、存储单元304、模板加密密钥管理单元306、包服务数据生成单元308和系统服务退化密钥生成单元310,作为用于提供服务登记功能的主要结构元件。系统服务和一般服务的服务数据被存储在存储单元304中。此外,模板加密密钥管理单元306是用于管理模板加密密钥的部件,该部件提供模板管理系统26处的模板加密时的模板加密密钥或者向包服务数据生成单元308适当地输入模板加密密钥。
当一般服务的登记处理开始时,系统服务退化密钥生成单元310从存储单元304中存储的系统服务数据获取系统服务认证密钥,并且基于上文描述的式(1)生成系统服务认证退化密钥。随后,经由通信单元302将系统服务退化密钥生成单元310生成的系统服务认证退化密钥提供给PC12。再者,当PC 12提供关于使用者所期望的服务的信息时,包服务数据生成单元308从存储单元304中存储的服务数据片段获取相应的服务数据。随后,包服务数据生成单元308基于上文描述的式(2)和(3)对所获取的服务数据进行打包,并且生成包服务数据。随后,经由通信单元302将包服务数据生成单元308生成的包服务数据提供给PC 12。
如所描述的,所提供的服务数据被打包为PC 12不能够解密的格式。因此,在一般服务的登记时,服务数据的内容对于PC 12将是未知的。结果,可以防止在服务数据的登记时通过PC 12泄漏服务数据的内容。
<3-4:服务登记处理的流程>
接着,将参照图9和10描述生物认证系统10的服务登记处理的流程。图9是示出生物认证系统10的服务登记处理的整体流程的说明性示图。图10是详细示出生物认证系统10的服务登记处理中的系统服务激活处理的流程的说明性示图。此外,在图9和10中,PC 12被表述为服务登记终端。
(3-4-1:整体处理流程)
首先,将参照图9描述服务登记处理的整体流程。如图9中所示,使用者开始一般服务的登记处理,并且在PC 12上选择所期望的服务(S102)。然而,也可以由PC 12自动地选择特定服务(S102)。当选择要被登记的服务(在下文中将被称为所选择的服务)时,PC 12获取对应于所选择的服务的服务包数据(S104)。随后,PC 12和安全设备14执行系统服务的激活处理(S106)。系统服务的激活处理将在后面描述。
接着,判定系统服务的激活处理是否已成功(S108)。在系统服务的激活已成功的情况中,PC 12基于添加到包服务数据的篡改检测代码来评估包服务数据的有效性(S110),并且判定包服务数据的有效性(S112)。在包数据有效的情况中,PC 12前往步骤S114的处理。另一方面,在包数据是已被篡改的数据的情况中,PC 12输出错误并且结束与服务登记相关的系列处理。在前往步骤S114的处理的情况中,PC 12向安全设备14输入服务包数据(S114)。
随后,安全设备14从PC 12输入的服务包数据解密原始服务数据(S116)。随后,安全设备14将已被解密的服务数据存储在非易失性存储器204中(S118)。随后,PC 12和安全设备14使系统服务失活(S120),并且结束与服务登记相关的系列处理。此外,其中建立PC 12和安全设备14之间的会话的状态被维持,直至系统服务失活,并且因此可以选择另一一般服务并且继续将其登记在安全设备14中。
(3-4-2:系统服务激活处理的流程)
这里,将参照图10描述系统服务的激活处理的流程。图10是示出系统服务的激活处理的流程的说明性示图。
如图10中所示,当系统服务的激活处理开始时,PC 12获取对应于系统服务的系统服务认证退化密钥(S122)。随后,安全设备14搜索非易失性存储器204以寻找对应于系统服务的服务数据,并且获取系统服务认证密钥(S124)。随后,安全设备14基于上文描述的式(1)从所获取的系统服务认证密钥生成系统服务认证退化密钥(S126;参照图13)。
随后,PC 12和安全设备14通过使用各自已准备好的系统服务认证退化密钥(参照图12)执行相互认证(S128、S130)。在相互认证成功的情况中,它们前往步骤S132的处理,建立PC 12和安全设备14之间的会话(S132),并且激活系统服务。另一方面,在相互认证失败的情况中,输出错误并且结束与系统服务激活相关的系列处理。通过这种方式执行系统服务的激活处理。
图10中示出的系统服务的激活处理可以被总结为图11中示出的简单的示意图。图11是示意性地示出存储在安全设备14的非易失性存储器204中的服务数据的内容的说明性示图。如图11中所示,包括系统服务数据的多个服务数据片段被存储在非易失性存储器204中。当系统服务的激活处理开始时,安全设备14利用系统服务的服务代码scsys作为搜索密钥来搜索系统服务数据。当检测到服务代码scsys的服务数据时,安全设备14提取服务数据中包括的访问认证密钥信息Iauth scsys
访问认证密钥信息Iauth scsys中包括系统服务认证密钥Kauth scsys和加密方案tauth scsys。安全设备14首先通过使用系统服务认证密钥Kauth scsys来生成系统服务认证退化密钥Kdege scsys。系统服务认证退化密钥Kdege scsys的生成方法如上文描述的式(1)中所示。当系统服务认证退化密钥Kdege scsys被生成时,安全设备14通过使用所生成的系统服务认证退化密钥Kdege scsys并且根据加密方案tauth scsys执行与PC 12的相互认证。随后,当相互认证被建立时,可以建立PC 12和安全设备14之间的会话(可以激活系统服务)。
当系统服务以这种方式被激活时,可以通过执行图9中示出的服务登记处理来将一般服务登记在安全设备14中。此外,当一般服务的登记处理完成时,使系统服务失活,并且取消PC 12和安全设备14之间的会话。在系统服务处于激活状态时,可以登记两个或更多个一般服务。另一方面,当系统服务失活时,不能登记一般服务,并且在登记一般服务时必须再次执行图10中示出的系统服务的激活处理。
(补充描述)
这里将补充系统服务的描述。如已描述的,系统服务是在安全设备14的在发货时预先登记的特别服务。如上文所述,系统服务是在一般服务的登记时被激活的,并且承担防止未授权的服务登记终端将未授权的数据写入安全设备14的非易失性存储器204或者防止非易失性存储器204的内容被非有意地读取的任务。据此,不存在将由使用者执行的系统服务的登记处理(参照图12)。
此外,系统服务的服务ID被固定到特定值(例如,0)。再者,多个不同版本的服务数据片段将不会存储在非易失性存储器204中。此外,不能删除系统服务(参照图12)。然而,系统服务可以改变(版本更新)。然而,多个系统服务不出现在非易失性存储器204中,并且因此改变之前的系统服务将被擦除。改变系统服务的方法与改变一般服务的方法有如此之多的相同点,并且因此在描述改变一般服务的方法时将进行详细描述。
到此为止,已描述了生物认证系统10的服务登记方法。如上文所述,通过生物认证系统10,在登记一般服务时,系统服务的激活变得有必要。因此,可以防止恶意第三方将未授权的数据登记在安全设备14中。再者,在向安全设备14提供一般服务的服务数据时,服务数据被打包为服务登记终端和生物认证设备不能够解密的格式。因此,可以防止服务数据内容被泄漏到其他服务提供商和恶意第三方。
<4:服务激活>
接着,将描述一般服务的激活处理。如上文所述,在登记一般服务时执行系统服务的激活处理。另一方面,执行一般服务的激活处理以将一般服务置于可用状态。就是说,下面将描述的一般服务的激活处理是在例如激活生物认证服务时执行的,该生物认证服务是在接受一般服务时执行的。然而,应当注意,在改变或删除一般服务时也执行一般服务的激活处理。这将在后面描述。
<4-1:PC的功能配置(服务激活功能部分)>
首先,将参照图6描述PC 12的功能配置中的用于提供服务激活功能的结构元件。图6是示出PC 12的功能配置的示例的说明性示图。
如图6中所示,PC 12包括用于安全设备的通信单元102、用于网络的通信单元106、一般服务退化密钥获取单元112和一般服务状态控制单元114,作为用于提供服务激活功能的主要结构元件。此外,用于安全设备的通信单元102、一般服务退化密钥获取单元112和一般服务状态控制单元114是相互认证单元的示例。
一般服务退化密钥获取单元112是用于从服务数据管理系统24获取用于在激活一般服务时执行与安全设备14的相互认证的一般服务认证退化密钥的部件。一般服务认证退化密钥是基于一般服务的服务数据中包括的服务认证密钥而生成的(在下文中,服务认证密钥和服务数据被分别称为“一般服务认证密钥”和“一般服务数据”)。
这里,一般服务认证退化密钥由管理服务提供权威的服务管理权威(服务数据管理系统24)生成或者由服务管理权威批准许可的安全设备14生成。例如,基于一般服务认证密钥(Kauth sc)和一般服务认证退化密钥函数d1,通过下面示出的式(4)来生成对应于一般服务的服务ID(sc)的一般服务认证退化密钥(Kdege sc)。一般服务认证退化密钥函数d1是在服务管理权威批准许可之后提供的。
[等式3]
Kdege sc=d1(Kauth sc)    ...(4)
一般服务退化密钥获取单元112经由用于网络的通信单元106获取上文描述的一般服务认证退化密钥。一般服务退化密钥获取单元112获取的一般服务认证退化密钥被输入到一般服务状态控制单元114。一般服务状态控制单元114是用于经由用于安全设备的通信单元102与安全设备14通信以及用于执行相互认证和会话建立的部件。
当一般服务认证退化密钥被输入时,一般服务状态控制单元114尝试经由用于安全设备的通信单元102进行与安全设备14的相互认证。当相互认证成功时,一般服务状态控制单元114建立会话,并且将指示相互认证成功的通知信息(在下文中将被称为认证完成通知)输入到已加密模板获取单元116。其中一般服务认证退化密钥的相互认证已成功并且会话被建立的这种状态将被称为其中一般服务被激活的状态。
此外,当一般服务被激活时,一般服务状态控制单元114从安全设备14获取对应于一般服务的模板加密密钥。随后,一般服务状态控制单元114获取的模板加密密钥被输入到模板解密单元118。在使用一般服务时使用该模板加密密钥并且提供生物认证服务。然而,在一般服务改变处理或者一般服务删除处理时执行的一般服务的激活处理中,认证完成通知不被输入到已加密模板获取单元116,也不获取模板加密密钥。
PC 12以这种方式通过使用一般服务认证退化密钥来执行与安全设备14的相互认证并且建立会话,并且获取模板加密密钥或者访问安全设备14的非易失性存储器204。通过以这种方式执行PC 12和安全设备14之间的相互认证,可以防止恶意第三方对模板加密密钥的未授权的获取或者对非易失性存储器204的未授权的访问。
<4-2:安全设备的功能配置(服务激活功能部分)>
接着,将参照图7描述安全设备14的功能配置中的用于提供服务激活功能的结构元件。图7是示出安全设备14的功能配置的示例的说明性示图。
如图7中所示,安全设备14包括作为用于提供服务激活功能的主要结构元件的通信单元202、非易失性存储器204、一般服务退化密钥生成单元212、和一般服务状态控制单元214。此外,一般服务退化密钥生成单元212和一般服务状态控制单元214是相互认证单元的示例。再者,一般服务退化密钥生成单元212是退化密钥生成单元的示例。此外,一般服务数据被假设存储在非易失性存储器204中。
当一般服务的激活处理开始时,要被激活的一般服务的服务代码被从PC 12输入到安全设备14。该服务代码经由通信单元202被输入到一般服务退化密钥生成单元212。一般服务退化密钥生成单元212基于输入的服务代码从非易失性存储器204获取一般服务数据中包括的一般服务认证密钥。随后,一般服务退化密钥生成单元212从一般服务认证密钥生成一般服务认证退化密钥。一般服务认证退化密钥是基于上文提及的式(4)生成的。这里假设服务管理权威已经提供了一般服务认证退化密钥函数d1
一般服务退化密钥生成单元212生成的一般服务认证退化密钥被输入到一般服务状态控制单元214。一般服务状态控制单元214是用于执行与PC 12的相互认证以激活一般服务以及用于建立会话的部件。当一般服务认证退化密钥被输入时,一般服务状态控制单元214通过使用所输入的一般服务认证退化密钥来执行与PC 12的相互认证,并且在认证成功的情况中,经由通信单元202建立会话。
在使用一般服务时执行激活处理的情况中,一般服务状态控制单元214从非易失性存储器204获取模板加密密钥,并且将其存储在可以由PC12读取的易失性存储器216中。随后,在从PC 12接收到对模板加密密钥的获取请求的情况中,存储在易失性存储器216中的模板加密密钥被读出并且经由通信单元202被提供给PC 12。另一方面,在改变或删除一般服务时执行激活处理的情况中,一般服务状态控制单元214不执行将模板加密密钥存储在易失性存储器216中的处理。
通过这种方式,安全设备14通过使用一般服务认证退化密钥执行与PC 12的相互认证并且建立会话,并且随后提供模板加密密钥或者接受对非易失性存储器204的访问。通过以这种方式执行PC 12和安全设备14之间的相互认证,可以防止恶意第三方对模板加密密钥的未授权的获取或者对非易失性存储器204的未授权的访问。
<4-3:服务数据管理系统的功能配置(服务激活功能部分)>
接着,将参照图8描述服务数据管理系统24的功能配置中的用于提供服务激活功能的结构元件。图8是示出服务数据管理系统24的功能配置的示例的说明性示图。
如图8中所示,服务数据管理系统24包括作为用于提供服务激活功能的主要结构元件的通信单元302、存储单元304、和一般服务退化密钥生成单元312。系统服务和一般服务的服务数据被存储在存储单元304中。
当一般服务的激活处理开始时,从PC 12输入一般服务的服务代码。经由通信单元302将该服务代码输入到一般服务退化密钥生成单元312。一般服务退化密钥生成单元312基于所输入的服务代码从存储单元304中存储的一般服务数据获取一般服务认证密钥,并且基于上文提及的式(4)生成一般服务认证退化密钥。随后,经由通信单元302将一般服务退化密钥生成单元312生成的一般服务认证退化密钥提供给PC 12。
<4-4:服务激活处理的流程>
接着,将参照图14描述一般服务的激活处理的流程。图14是示出一般服务的激活处理的流程的说明性示图。另外,在图14中,PC 12被称为服务登记终端。
如图14中所示,当一般服务的激活处理开始时,选择所期望的服务,并且PC 12获取对应于所选择的一般服务的一般服务认证退化密钥(S142)。随后,PC 12向安全设备14提供所选择的服务的服务代码(S144)。随后,安全设备14搜索非易失性存储器204以寻找对应于所提供的服务代码的一般服务的服务数据,并且获取一般服务认证密钥(S146)。随后,安全设备14基于上文提及的式(4)从所获取的一般服务认证密钥生成一般服务认证退化密钥(S148;参照图20)。
接着,PC 12和安全设备14通过使用各自已准备好的一般服务认证退化密钥(参照图19)执行相互认证(S150、S152)。在相互认证成功的情况中,它们前往步骤S154的处理,建立PC 12和安全设备14之间的会话(S154),并且激活一般服务。另一方面,在相互认证失败的情况中,输出错误并且结束与一般服务激活相关的系列处理。通过这种方式执行一般服务的激活处理。
图14中示出的一般服务的激活处理可以被总结为图15中示出的简单的示意图。图15是示意性地示出存储在安全设备14的非易失性存储器204中的服务数据的内容的说明性示图。如图15中所示,包括系统服务数据的多个服务数据片段被存储在非易失性存储器204中。当一般服务的激活处理开始时,安全设备14利用所输入的服务代码,例如sc2作为搜索密钥来搜索一般服务数据。当检测到服务代码sc2的服务数据时,安全设备14提取服务数据中包括的访问认证密钥信息Iauth sc2
访问认证密钥信息Iauth sc2中包括一般服务认证密钥Kauth sc2和加密方案tauth sc2。安全设备14首先通过使用一般服务认证密钥Kauth sc2来生成一般服务认证退化密钥Kdege sc2。一般服务认证退化密钥Kdege sc2的生成方法如上文提及的式(4)中所示。当一般服务认证退化密钥Kdege sc2被生成时,安全设备14通过使用所生成的一般服务认证退化密钥Kdege sc2并且根据加密方案tauth sc2执行与PC 12的相互认证。随后,当相互认证成立时,可以建立PC 12和安全设备14之间的会话(可以激活一般服务)。
如此,通过图14和15中示出的方法可以激活一般服务。这里,根据图14和15中示出的激活处理,通过一个处理激活了一个服务。然而,当使大量的服务可用时,针对每个服务执行图14和15中示出的处理是过于麻烦的。因此,期望一种同时激活多个服务的方法。还期望在存在多个不同版本的服务的情况中同时激活服务。因此,还将给出关于同时激活多个服务(在下文中将被称为组合激活)的方法的说明。
<4-5:多个服务的同时激活>
这里将描述同时激活多个服务的方法。此外,在组合激活时,改变一般服务认证退化密钥的生成方法。因此,改变安全设备14的一般服务退化密钥生成单元212和服务数据管理系统24的一般服务退化密钥生成单元312的功能。首先,将描述改变的细节。
基于上文提及的式(4),通过向一般服务认证退化密钥函数d1输入一般服务认证密钥,获得了与单个服务相关的一般服务认证退化密钥。然而,在同时激活多个服务的情况中,使用下式(5)和(6)中示出的用于服务合成的退化密钥函数d2和复合服务认证退化密钥函数d3(参照图20)。同样,通过下式(6)获得的复合服务认证退化密钥用于PC 12和安全设备14之间执行的相互认证。
例如,将考虑从对应于服务代码sc1和sc2的一般服务认证密钥Kauth sc1和Kauth sc2生成复合服务认证退化密钥Kdege sc1,sc2的方法。这里,假设存在对应于服务代码sc1和sc2的服务之间的主次关系,并且具有服务代码sc1的服务是主要的,而具有服务代码sc2的服务是次要的。
首先,对应于主要服务的一般服务认证密钥Kauth sc1被输入到服务认证退化密钥函数d1,并且如上文提及的式(4)中所示生成服务认证退化密钥Kdege sc1。随后,对应于次要服务的一般服务认证密钥Kauth sc2被输入到用于服务合成的退化密钥函数d2,并且如下式(5)中所示生成用于服务合成的退化密钥Kcomp sc2。随后,将对应于主要服务的服务认证退化密钥Kdege sc1和对应于次要服务的用于服务合成的退化密钥Kcomp sc2输入到复合服务认证退化密钥函数d3,并且如下式(6)中所示生成复合服务认证退化密钥Kdege sc1,sc2
[等式4]
Kcomp sc2=d2(Kauth sc2)                  ...(5)
Kdege sc1,sc2=d3(Kdege sc1,Kcomp sc2)   ...(6)
这里,用于服务合成的退化密钥和复合服务认证退化密钥由管理服务提供权限的服务管理权威(服务数据管理系统24)生成或者由服务管理权威批准许可的安全设备14生成。此外,系统被配置为,使得提供次要服务的提供商承担生成用于服务合成的退化密钥的任务,而提供主要服务的提供商承担生成复合服务认证退化密钥的任务。
此时,次要服务的提供商仅向主要服务的提供商提供用于服务合成的退化密钥,不提供关于与次要服务相关的一般服务认证密钥的信息。该机制使得能够在其中服务提供商彼此不了解服务认证密钥的状态中生成复合服务认证密钥。然而,作为前提,将提供如下机制,根据该机制,不能从用于服务合成的退化密钥反向计算原始一般服务认证密钥。
到此为止,已描述了用于组合激活处理的复合服务认证退化密钥的生成方法。在提供组合激活的功能的情况中,基于上文提及的式(5)和(6)生成复合服务认证退化密钥的功能被添加到安全设备14的一般服务退化密钥生成单元212和服务数据管理系统24的一般服务退化密钥生成单元312。
(4-5-1:不同服务的同时激活)
接着,将参照图16描述通过使用上文描述的复合服务认证退化密钥执行组合激活时的处理的流程。图16是示出组合激活处理的流程的说明性示图。此外,在图16中,PC 12被称为服务登记终端。
如图16中所示,当一般服务的组合激活处理开始时,在PC 12处选择要被激活的多个服务(S162)。随后,PC 12获取关于所选择的一般服务的复合服务认证退化密钥(S164)。随后,PC 12向安全设备14提供所选择的服务的服务代码(S166)。随后,安全设备14在非易失性存储器204内搜索对应于已提供的服务代码的一般服务的服务数据片段,并且获取一般服务认证密钥(S168)。随后,安全设备14基于上文提及的式(4)和(5)从所获取的一般服务认证密钥生成一般服务认证退化密钥和用于服务合成的退化密钥(S170;参照图20)。
随后,安全设备14基于上文提及的式(6),通过使用一般服务认证退化密钥和用于服务合成的退化密钥生成复合服务认证退化密钥(S172)。随后,PC 12和安全设备14通过使用各自已准备好的复合服务认证退化密钥(参照图19)执行相互认证(S174、S176)。在相互认证成功的情况中,它们前往步骤S178的处理,建立PC 12和安全设备14之间的会话(S178),并且同时激活所选择的多个一般服务。另一方面,在相互认证失败的情况中,输出错误并且结束与服务的组合激活相关的系列处理。通过这种方式执行服务的组合激活处理。
图16中示出的服务的组合激活处理可以被总结为图17中示出的简单的示意图。图17是示意性地示出存储在安全设备14的非易失性存储器204中的服务数据的内容的说明性示图。如图17中所示,包括系统服务数据的多个服务数据片段被存储在非易失性存储器204中。当服务的组合激活处理开始时,安全设备14利用例如已输入的服务代码sc1和sc2作为搜索密钥来搜索一般服务数据。
这里,假设具有服务代码sc1的服务是主要的,而具有服务代码sc2的服务是次要的。当检测到服务代码sc1和sc2的服务数据时,安全设备14提取服务数据中包括的访问认证密钥信息Iauth sc1和Iauth sc2。访问认证密钥信息Iauth sc1中包括一般服务认证密钥Kauth sc1和加密方案tauth sc1。访问认证密钥信息Iauth sc2中包括一般服务认证密钥Kauth sc2和加密方案tauth sc2
首先,安全设备14通过使用一般服务认证密钥Kauth sc1生成一般服务认证退化密钥Kdege sc1。一般服务认证退化密钥Kdege sc1的生成方法如上文提及的式(4)中所示。接着,安全设备14通过使用一般服务认证密钥Kauth sc2生成用于服务合成的退化密钥Kcomp sc2。用于服务合成的退化密钥Kcomp sc2的生成方法如上文提及的式(5)中所示。当一般服务认证退化密钥Kdege sc1和用于服务合成的退化密钥Kcomp sc2被生成时,安全设备14基于上文提及的式(6)生成复合服务认证退化密钥Kdege sc1,sc2
随后,通过使用已生成的复合服务认证退化密钥Kdege sc1,sc2,安全设备14根据主要服务的加密方案tauth sc1来执行与PC 12的相互认证。随后,当相互认证成立时,可以建立PC 12和安全设备14之间的会话(服务的组合激活)。此时,对应于服务代码sc1和sc2的两个一般服务被同时激活,并且因此这两个一般服务被置于可用状态。例如,服务代码sc1的模板加密密钥和服务代码sc2的模板加密密钥被同时置于可用状态。此外,尽管这里描述了两个服务的组合激活方法,但是通过同一方式,三个或更多个服务的组合激活也是可能的(参照图19和20)。
(4-5-2:不同版本的同时激活)
已描述了同时激活多个服务的组合激活方法。该方法还可以用作同时激活具有同一服务ID但是具有不同版本的多个服务的方法。这里将参照图18描述关于多个版本的同时激活方法。
如上文已描述的,服务代码由服务ID和版本信息形成。据此,可以存在具有同一服务ID但是具有不同版本信息的服务数据片段。例如,假设对于服务代码sc1,服务ID是id1并且版本信息是v1,而对于服务代码sc2,服务ID是id1并且版本信息是v2。并且考虑其中服务代码sc1和sc2将被同时激活的情况。在该情况中,由于服务的内容是相同的,因此不存在服务数据片段之间的主次关系。据此,根据特定的规则,一个被设定为主要的而另一个被设定为次要的,并且按照与上文描述的组合激活方法相同的方式生成复合服务认证退化密钥。
例如,具有服务代码sc1的服务(版本信息=v1)被设定为主要的,而具有服务代码sc2的服务(版本信息=v2)被设定为次要的。在该情况中,基于上文提及的式(4)从一般服务认证密钥Kauth sc1生成一般服务认证退化密钥Kdege sc1,并且基于上文提及的式(5)从一般服务认证密钥Kauth sc2生成用于服务合成的退化密钥Kcomp sc2。随后,从一般服务认证密钥Kauth sc1和用于服务合成的退化密钥Kcomp sc2生成复合服务认证退化密钥Kdege sc1, sc2。随后,根据服务代码sc1的加密方案tauth sc1来执行相互认证。
如所描述的,可以同时激活具有同一服务ID和不同版本的多个服务。此外,这里已描述了同时激活两个具有不同版本的服务的方法,但是通过同一方式,也可以同时激活三个或更多个具有不同版本的服务(参照图19和20)。
<5.生物认证>
到此为止,已描述了在使用一般服务时使用的一般服务数据的登记方法以及一般服务的激活方法。再者,其中已描述了系统服务的激活方法和系统服务的任务。在下文中,描述在其中一般服务被激活的状态中执行的生物认证服务提供方法。
<5-1:PC的功能配置(生物认证功能部分)>
首先,将参照图6描述PC 12的功能配置中的与生物认证服务提供功能相关的结构元件。图6是示出PC 12的功能配置的示例的说明性示图。
如图6中所示,PC 12包括作为与生物认证服务提供功能相关的主要结构元件的用于安全设备的通信单元102、用于网络的通信单元106、一般服务退化密钥获取单元112、一般服务状态控制单元114、已加密模板获取单元116、模板解密单元118、模板检查单元120和生物图案获取单元122。再者,PC 12进一步包括服务提供单元124,用于在生物认证成功的情况中提供特定服务。服务提供单元124用于提供例如万维网服务等。此外,生物图案获取单元122是生物信息获取单元的示例。再者,模板检查单元120是生物认证单元的示例。
在生物认证系统10中,提供用于每个服务的已加密模板。据此,使用者必须通过使用生物认证来选择将使其可用的一般服务。首先,PC 12经由用于安全设备的通信单元102向使用者呈现关于登记在安全设备14中的一般服务的信息。使用者通过参照所呈现的关于一般服务的信息来选择所期望的服务。然而,如果PC 12可以激活的服务是固定的,则自动选择服务。当服务被选择时,PC 12激活该服务。一般服务的激活方法如上文所述。
当一般服务的激活处理完成时,将认证完成通知从一般服务状态控制单元114输入到已加密模板获取单元116。当认证完成通知被输入时,已加密模板获取单元116经由用于网络的通信单元106向连接到网络30的模板管理系统26传送服务代码,并且获取对应于该服务代码的已加密模板。已加密模板获取单元116获取的已加密模板被输入到模板解密单元118。
此外,经由用于安全设备的通信单元102从安全设备14获取模板加密密钥,并且将其输入到一般服务状态控制单元114。随后,输入到一般服务状态控制单元114的模板加密密钥被输入到模板解密单元118。模板解密单元118通过使用从一般服务状态控制单元114输入的模板加密密钥从已加密模板获取单元116输入的已加密模板解密原始模板。随后,已由模板解密单元118解密的模板被输入到模板检查单元120。
此外,要对比模板进行检查的使用者的生物图案信息被从生物图案获取单元122输入到模板检查单元120。生物图案获取单元122主要包括成像单元和图像处理单元。生物图案获取单元122通过使用成像单元拍摄特定身体部位的图像并且使用图像处理单元对所拍摄的图像数据执行特定的图像处理,生成可以与模板比较的生物图案信息。例如,使用者的手指的静脉图案由生物图案获取单元122拍摄并且对所摄取的数据执行二值化和特定的转换处理,并且生成生物图案信息。此外,还可以在图像处理单元处执行特定的压缩编码处理。
当已解密模板和生物图案信息被输入时,模板检查单元120彼此对比地检查模板和生物图案信息,并且判定它们是否彼此匹配达到某个水平或更高。在它们的匹配程度在某个水平以上的情况中,模板检查单元120判定生物认证成功,并且向服务提供单元124输入指示生物认证成功的生物认证结果。当生物认证结果被输入时,服务提供单元124开始提供使用者所期望的服务。另一方面,在它们的匹配程度低于某个水平的情况中,模板检查单元120在已判定生物认证失败的情况下输出错误。
如上文所述,在生物认证系统10中,针对每个服务管理已加密模板。并且除非使用者希望使用的服务被激活,否则不能使用该服务。再者,为了激活服务,必须建立与安全设备14的相互认证。根据该配置,即使某个服务的模板加密密钥被暴露,仍不会影响其他服务。此外,利用适当管理的模板加密密钥,不需要在防篡改设备中管理已加密模板本身,使得例如可以将已加密模板存储在网络上的服务器中或者由个人持有的电子设备中。
<5-2:生物认证设备的功能配置>
现在,上述PC 12是包括服务登记终端的功能和生物认证设备的功能的设备。然而,并非所有生物认证设备必须配备有服务登记终端的功能。例如,图2中所示的影印机16、进入/退出管理设备18、自动贩卖机20等可以仅配备有提供生物认证服务的功能。在该情况中,影印机16、进入/退出管理设备18、自动贩卖机20等中装备的生物认证设备的功能配置如图21中所示。在下文中,将参照图21描述影印机16、进入/退出管理设备18、自动贩卖机20等中装备的生物认证设备的功能配置。
如图21中所示,根据本实施例的生物认证设备主要包括用于安全设备的通信单元402、一般服务状态控制单元404、一般服务退化密钥获取单元406、用于网络的通信单元408、已加密模板获取单元410、模板解密单元412、模板检查单元414、生物图案获取单元416和服务提供单元418。服务提供单元418用于提供影印服务、进入/退出管理服务、自动贩卖服务等。此外,生物图案获取单元416是生物信息获取单元的示例。再者,模板检查单元414是生物认证单元的示例。
当生物认证服务开始时,一般服务退化密钥获取单元406首先经由用于网络的通信单元408从服务数据管理系统24获取一般服务认证退化密钥。随后,一般服务退化密钥获取单元406获取的一般服务认证退化密钥被输入到一般服务状态控制单元404。此外,当通过生物认证设备可以使用的服务的数目被设定为1时,服务的服务代码被自动地从用于网络的通信单元408传送到服务数据管理系统24,并且对应于该服务代码的一般服务认证退化密钥被获取。此外,服务代码还经由用于安全设备的通信单元402被输入到安全设备14。
当一般服务认证退化密钥被输入时,一般服务状态控制单元404尝试通过使用已输入的一般服务认证退化密钥进行与安全设备14的相互认证。当相互认证失败时,一般服务状态控制单元404输出错误。例如,在生物认证设备提供给安全设备14的服务的服务数据未被登记或者未授权的情况中,相互认证失败。另一方面,当相互认证成功时,一般服务状态控制单元404经由用于安全设备的通信单元402建立与安全设备14的会话。进一步,由于对应于服务的模板加密密钥在安全设备14处变得可用,因此一般服务状态控制单元404从安全设备14获取模板加密密钥。
随后,一般服务状态控制单元404向已加密模板获取单元410输入指示相互认证的成立的认证完成通知,并且还向模板解密单元412输入从安全设备14获取的模板加密密钥。当认证完成通知被输入时,已加密模板获取单元410经由用于网络的通信单元408从模板管理系统26获取已加密模板。随后,已加密模板获取单元410获取的已加密模板被输入到模板解密单元412。当模板加密密钥和已加密模板被输入时,模板解密单元412使用所输入的模板加密密钥,并且从所输入的已加密模板解密原始模板。
已由模板解密单元412解密的模板被输入到模板检查单元414。另一方面,在生物图案获取单元416处从使用者的特定身体部位获取生物图案信息。生物图案获取单元416获取的生物图案信息被输入到模板检查单元414。当以这种方式输入模板和生物图案信息时,模板检查单元414彼此对比地检查所输入的模板和生物图案信息,并且判定它们是否彼此匹配达到某个水平或更高。
在它们的匹配程度在某个水平以上的情况中,模板检查单元414判定生物认证成功,并且向服务提供单元418输入指示生物认证成功的生物认证结果。当生物认证结果被输入时,服务提供单元418开始提供特定的服务。另一方面,在它们的匹配程度落在某个水平以下的情况中,模板检查单元414输出错误,生物认证已被判定为失败。如描述的,不同于上文描述的PC 12,生物认证设备是仅提供生物认证服务的设备。然而,生物认证服务提供功能与PC 12的生物认证服务提供功能相同。
<5-3:模板管理系统的功能配置(生物认证功能部分)>
这里,将参照图22描述模板管理系统26的功能配置。图22是示出模板管理系统26的主要功能配置的说明性示图。模板管理系统26是用于管理已加密模板的部件。出于该目的,如图22中所示,模板管理系统26主要包括通信单元502、模板加密单元504和已加密模板存储单元506。
通信单元502是用于经由网络30通信的部件。在生物认证系统10中,通信单元502主要用于向每个生物认证设备提供已加密模板。模板加密单元504是用于对已通过使用模板登记终端28登记的模板进行加密的部件。在模板加密单元504处使用的模板加密密钥由服务数据管理系统24(参照图2)提供。此时,用于每个服务的模板加密密钥被提供给模板加密单元504。
当从模板登记终端28输入模板时,例如,模板加密单元504利用用于每个服务的模板加密密钥对输入模板进行加密,并且创建对应于每个服务的已加密模板。当然,还可以对用于每个服务的登记模板进行加密,但是随着服务数目的增加,该操作会增加使用者登记模板的负担。因此,更高效的是,如上文所述通过使用一次输入的模板来创建用于每个服务的加密模板。以这种方式由模板加密单元504创建的已加密模板被存储在已加密模板存储单元506中。
此外,已加密模板存储单元506不必是防篡改的。如所描述的,在生物认证系统10中,除非单独的服务被激活,否则不能使用模板加密密钥。因此,即使包服务数据或已加密模板暴露于恶意第三方,仍不能从已加密模板解密原始模板。因此,不同于如图1中示出的一般的生物认证设备,利用根据本实施例的生物认证系统10,已加密模板不必存储在防篡改存储器中。
现在,在提供生物认证服务时,经由通信单元502将存储在已加密模板存储单元506中的已加密模板提供给生物认证设备。如已描述的,通过使用用于每个服务的模板加密密钥已被加密的已加密模板被保存在模板管理系统26中。再者,在提供生物认证服务时,模板管理系统26将其中保存的已加密模板提供给生物认证设备。通过该配置,免去了使用者去往为各个服务提供的生物认证设备的安装位置以登记模板的麻烦。
<5-4:生物认证处理的流程>
这里,将参照图23描述生物认证系统10的生物认证处理的流程。图23是示出生物认证系统10的生物认证处理的流程的说明性示图。
如图23中所示,当开始提供生物认证服务时,尝试生物认证设备和安全设备14之间的服务的激活处理(S182、S184)。当服务的激活处理成功时,它们前往步骤S186的处理,执行已加密模板的解密(S186)。此时,生物认证设备从模板管理系统26获取已加密模板,并且还从安全设备14获取模板加密密钥,并且随后从已加密模板解密原始模板。当模板被解密并且从使用者的身体部位获取了生物图案信息时,由生物认证设备彼此对比地检查模板和生物图案信息(S188、S190)。
在生物认证成功的情况中,它们前往步骤S192的处理,由生物认证设备执行服务失活处理(S192),并且结束生物认证系列处理。另一方面,在生物认证失败的情况中,生物认证设备输出错误并且结束生物认证系列处理。此外,当执行服务失活处理时,取消生物认证设备和安全设备14之间的会话,再者,禁止对应于服务的已加密模板的解密。例如,擦除存储在安全设备14的易失性存储器216中的模板加密密钥。此外,在安全设备14的供电停止的情况中也使服务失活。
到此为止,已描述了与提供生物认证服务相关的系列处理的流程。
<6:服务的改变/删除>
接着,将描述存储在安全设备14的非易失性存储器204中的一般服务的改变处理和删除处理。
<6-1:服务改变处理的流程>
首先,将参照图24和25描述一般服务改变处理。图24是示出与一般服务的改变相关的处理的概要的说明性示图。再者,图25是示出与一般服务的改变相关的处理的流程的说明性示图。
一般服务改变处理包括获取新的服务数据的步骤和将新的服务数据写入非易失性存储器204中的步骤。首先,由服务数据管理系统24准备新的服务数据(Ssc new)。如同上文描述的服务数据登记处理,新的服务数据由服务数据管理系统24打包,并且以包服务数据(Psc new)的形式被提供给安全设备14。此时,用于服务改变的打包函数(p2;参照图20)用于对新的服务数据进行打包。
当包服务数据被提供时,在安全设备14处从包服务数据解密新的服务数据Ssc new。随后,提取已被解密的新的服务数据中包括的服务ID,并且在非易失性存储器204内搜索具有与上述服务ID相同的服务ID的服务数据。当在非易失性存储器204内检测到具有同一服务ID的旧的服务数据时,安全设备14比较新的服务数据的版本信息和旧的服务数据的版本信息。当作为比较结果确认新的服务数据的版本较新时,安全设备14将新的服务数据存储在非易失性存储器204中。
新的服务数据以这种方式被存储在安全设备14的非易失性存储器204中。然而,如同服务数据登记处理,在获取包服务数据时执行服务激活处理。再者,在将新的服务数据存储在非易失性存储器204中之后,使服务失活。接着,将描述包括该服务激活/失活处理的服务数据改变处理的流程。
将参照图25。首先,当服务改变处理开始时,执行服务激活处理(S202、S204)。这里,类似登记服务的时候,通过图14中所示的方法激活服务。在服务激活失败的情况中,PC 12输出错误并且结束服务改变处理。在服务激活成功的情况中,它们前往步骤S206的处理,新的包服务数据由PC 12获取并且被提供给安全设备14(S206)。接着,安全设备14从新获取的包服务数据解密新的服务数据(S208)。
随后,安全设备14参照已被解密的新的服务数据的服务ID,在非易失性存储器204内搜索具有同一服务ID的服务数据,并且检查旧的服务数据的存在(S210、S212)。在不存在旧的服务数据的情况中,不执行服务数据的更新。然而,替代被更新,服务数据可以是新登记的,并且系列处理可以被组织以便结束于将所获取的服务数据写入非易失性存储器204。另一方面,在存在旧的服务数据的情况中,安全设备14将新的服务数据的版本(Vernew)与旧的服务数据的版本(Verold)比较(S214、S216)。
在Vernew>Verold的情况中,安全设备14前往步骤S218的处理,将新的服务数据写入到非易失性存储器204中(S218)。另一方面,在Vernew≤Verold的情况中,安全设备14不将新的服务数据写入到非易失性存储器204中,并且结束服务数据更新处理。当步骤S218的处理完成时,PC 12和安全设备14之间的会话被取消,并且使服务失活(S220)。随后,结束与服务改变相关的系列处理。
到此为止,已描述了一般服务的改变处理。
(系统服务的改变)
对于系统服务的改变处理,执行基本上相同的处理。一般服务和系统服务之间的最大差异在于系统服务不允许多个版本的存在。因此,在更新系统服务的情况中,在写入新的系统服务数据之后擦除旧的系统服务数据。如果在新的系统数据已被写入但是旧的系统服务数据仍未被擦除的情形中出现关机等,则可以临时出现其中存在多个系统服务的情形。因此,在其中在复原系统时在非易失性存储器204内存在多个系统服务数据片段的情况中,执行如下处理:在保持最新版本的系统服务数据的同时立刻擦除旧的服务数据。此外,在改变系统服务时使用的用于系统服务改变的打包函数(p0;参照图13)用于打包时使用的打包函数。
<6-2:服务删除处理的流程>
接着,将参照图26描述服务数据删除处理。图26是示出与服务数据的删除相关的处理的流程的说明性示图。
如图26中所示,当服务数据删除处理开始时,激活作为删除目标的服务(S222、S224)。当服务激活失败时,输出错误并且结束与服务数据的删除相关的系列处理。另一方面,当服务激活成功时,处理前往步骤S226,安全设备14删除存储在非易失性存储器204中的删除目标服务数据(S226)。当服务数据删除处理完成时,使在步骤S222中已激活的服务失活(S228),并且结束与服务删除相关的系列处理。
到此为止,已描述了一般服务数据删除处理。此外,不允许删除系统服务数据。
<7:模板登记>
到此为止,已经针对已加密模板被登记在模板管理系统26中的假设进行了描述。这里,将简要地描述模板登记处理。
<7-1:模板登记终端的功能配置>
首先,将参照图27描述模板登记终端28的功能配置。图27是示出模板登记终端28的功能配置的示例的说明性示图。
如图27中所示,模板登记终端28主要包括生物图案获取单元602和通信单元604。此外,生物图案获取单元602包括成像单元612和图像处理单元614。
生物图案获取单元602是用于从使用者的身体部位获取生物图案以及用于创建模板的部件。再者,成像单元612是用于拍摄特定身体部位的图像以及用于获取生物图案的图像数据的部件。例如,成像单元612在特定身体部位上照射近红外光,并且接收已在身体内反射的照射光的反射光。此外,成像单元612对其内提供的图像传感器所接收到的反射光进行光电转换,并且生成所拍摄的图像的模拟信号。随后,成像单元612将该模拟信号转换为数字信号,并且输出生物图案的图像数据。如该示例描述的,通过使用近红外光,可以检测身体内的静脉图案,并且成像单元612可以获得静脉图案的图像数据。
从成像单元612输出的生物图案的图像数据被输入到图像处理单元614。在图像处理单元614处对图像数据执行特定的图像处理。例如,在输入具有色调或色阶的图像数据的情况中,对图像数据执行二值化处理。此外,对通过二值化处理获得的二值化图像数据执行诸如空间变换的处理,从而使图像数据具有允许容易地与模板比较的形式。例如,在静脉图案被用作生物图案的情况中,二值化图像数据被转换为投影到哈夫(Hough)空间中的模板数据。例如,由于静脉图案是各向异性的,因此通过使用投影到Hough空间中的数据可以改进图案的匹配精度。
如所描述的,根据所使用的生物图案的类型执行适当的转换处理,并且输出图像数据作为模板数据。从图像处理单元614输出的模板数据经由通信单元604被输入到模板管理系统26。存储被输入到模板管理系统26的模板数据,如上文所述针对每个服务对其进行了加密。据此,一旦执行利用模板管理系统26的登记,使用者能够在不必去往每个生物认证设备的安装位置以及不必登记模板的情况下接受所期望的生物认证。
<7-2:模板登记处理的流程>
根据上文描述的模板登记方法,在服务器(服务数据管理系统24、模板管理系统26)处创建用于每个服务的已加密模板。该配置的优点在于使用者不必知道服务。就是说,由于用于每个服务的已加密模板是针对服务数据管理系统24所管理的服务自动创建的,因此使用者此时不必考虑未来将使用的服务。
然而,如图28中所示,如下配置也是可能的,根据该配置,可以仅登记用于安全设备14中已登记的服务的已加密模板。因此,将参照图28描述关于如下情况的模板登记方法,其中仅允许登记用于安全设备14中已登记的服务的已加密模板。然而,为了执行该方法,需要可以通过其执行服务激活/失活处理的终端。例如,使用配备有PC 12的部分功能的模板登记终端28,该部分功能被提供用于执行服务激活/失活处理。
如图28中所示,当开始模板登记处理时,使用者首先激活对应于将被登记的模板的服务(S232、S234)。服务的激活由图14中示出的方法执行。在服务激活失败的情况中,输出错误并且结束模板登记处理。另一方面,在服务激活成功的情况中,处理前往步骤S236,创建模板(T)(S236)。接着,通过服务数据中包括的模板加密密钥信息对步骤S236中创建的模板进行加密,并且创建已加密模板(Tenc)(S238)。接着,在输出已加密模板Tenc(S240)之后,使服务失活(S242),并且结束与模板登记相关的系列处理。以这种方式可以登记已加密模板。此外,在图3中图示的生物认证系统50中,模板登记终端的功能是在PC 52中提供的,并且因此图28中示出的模板登记方法是适当的。
<8:模板加密密钥的交换>
接着,将参照图29描述模板加密密钥的交换处理。在执行服务更新处理的情况中,对应于服务的模板加密密钥有时也可能被更新。在该情况中,如果旧版本的服务仍然存在,则利用旧版本的模板加密密钥解密的模板可以被解密,但是如果旧版本的服务不再存在,则解密是不可能的。因此,将参照图29具体描述当更新模板加密密钥时执行的模板加密密钥的重锁(relocking)处理(交换处理)。
如图29中所示,首先,旧的服务scold和新的服务scnew均被激活(S252、S254)。在两个服务的激活均失败的情况中,输出错误并且结束与模板加密密钥的交换相关的系列处理。另一方面,在两个服务的激活均成功的情况中,处理前往步骤S256。在步骤S256中,基于旧的服务数据中包括的模板加密密钥信息对模板(T)进行解密(S256)。随后,通过使用新的服务数据中包括的模板加密密钥信息对已被解密的模板T进行加密(S258)。随后,输出利用新的模板加密密钥信息进行加密的模板(S260)。随后,使服务失活(S262),并且结束与模板加密密钥的交换相关的系列处理。由于已加密模板交换为新的已加密模板,因此可以删除旧的模板加密密钥信息。
此外,上述处理可以在保存多个已加密模板的模板管理系统26(和服务数据管理系统24)处被批量处理。此外,在使用已加密模板执行生物认证时,利用旧的服务的模板加密密钥进行加密的模板可以可选地在生物认证成功时被重新加密并且输出。
到此为止,已详细描述了根据本实施例的已加密模板和模板加密密钥的管理方法。通过使用这些方法,在生物认证设备外部管理模板,并且提供了安全的和高度便利的生物认证服务。最后,将描述用于实现生物认证系统10和50中包括的各个设备的功能以及系统的功能的硬件配置的示例。
<9:硬件配置>
例如通过使用图30中示出的信息处理装置的硬件配置,可以实现上述生物认证系统10和50中包括的每个设备的功能以及系统的功能。就是说,通过使用计算机程序控制图30中示出的硬件来实现功能。该硬件的模式是任意的,并且可以是个人计算机,诸如移动电话、PHS或PDA的移动信息终端,游戏机,或者各种类型的信息电器。而且,PHS是个人手持式电话系统的缩写。再者,PDA是个人数字助理的缩写。
如图30中所示,该硬件主要包括CPU 902、ROM 904、RAM 906、主机总线908和桥接器910。此外,该硬件包括外部总线912、接口914、输入单元916、输出单元918、存储单元920、驱动器922、连接端口924和通信单元926。而且,CPU是中央处理单元的缩写。再者,ROM是只读存储器的缩写。此外,RAM是随机存取存储器的缩写。
CPU 902用作例如算术处理单元或控制单元,并且基于ROM 904、RAM 906、存储单元920或可拆卸记录介质928上记录的各种程序来控制每个结构元件的整体操作或部分操作。ROM 904是用于存储例如,要加载在CPU 902上的程序或者算术运算中使用的数据等的部件。RAM 906临时地或永久地存储例如,要加载在CPU 902上的程序或者在程序执行时任意改变的各种参数等。
这些结构元件通过例如,能够执行高速数据传送的主机总线908彼此连接。一方面,例如,主机总线908通过桥接器910连接到数据传送速度相对低的外部总线912。此外,输入单元916是例如,鼠标、键盘、触摸板、按钮、开关或控制杆。再者,输入单元916可以是遥控器,其可以通过使用红外线或其他无线电波来传送控制信号。
输出单元918是例如,诸如CRT、LCD、PDP或ELD的显示设备,诸如扬声器或耳机的音频输出设备,打印机,移动电话或传真机,它们可以视觉地或听觉地向使用者通知所获取的信息。而且,CRT是阴极射线管的缩写。LCD是液晶显示器的缩写。PDP是等离子体显示板的缩写。再者,ELD是电致发光显示器的缩写。
存储单元920是用于存储各种数据的设备。存储单元920是例如,诸如硬盘驱动器(HDD)的磁存储设备、半导体存储设备、光存储设备或者磁-光存储设备。HDD是硬盘驱动器的缩写。
驱动器922是读取记录在诸如磁盘、光盘、磁-光盘或半导体存储器的可拆卸记录介质928上的信息,或者将信息写入可拆卸记录介质928的设备。可拆卸记录介质928是例如,DVD介质、蓝光(Blu-ray)介质、HD-DVD介质、各种类型的半导体存储介质等。当然,可拆卸记录介质928可以是例如,其上安装有非接触IC芯片的IC卡或者电子设备。IC是集成电路的缩写。
连接端口924是诸如USB端口、IEEE1394端口、SCSI、RS-232C端口的端口或者用于连接诸如光音频终端的外部连接设备930的端口。外部连接设备930是例如,打印机、移动音乐播放器、数字相机、数字视频相机或者IC记录器。而且,USB是通用串行总线的缩写。再者,SCSI是小型计算机系统接口的缩写。
通信单元926是要连接到网络932的通信设备,并且是例如,用于有线或无线LAN的通信卡、蓝牙(注册商标)或WUSB、光通信路由器、ADSL路由器、或者各种通信调制解调器。连接到通信单元926的网络932由有线连接的或无线连接的网络配置,并且是例如,互联网、家用LAN、红外通信、可见光通信、广播或卫星通信。而且,LAN是局域网的缩写。再者,WUSB是无线USB的缩写。此外,ADSL是非对称数字订户线路的缩写。
本领域的技术人员应当理解,在所附权利要求或其等同物的范围内,依赖于设计需要和其他因素,可以进行各种修改、组合、子组合和变更。
本申请包含与在2009年7月15日提交日本专利局的日本在先专利申请JP 2009-167041中公开的主题内容相关的主题内容,该申请的全部内容通过引用并入此处。

Claims (14)

1.一种密钥存储设备,包括:
接收单元,用于接收包数据,所述包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用该模板加密密钥的终端之间的相互认证的认证密钥,所述相互认证是在将该模板加密密钥置于可用状态时执行的,以及所述包数据具有仅允许由其中存储所述模板加密密钥的密钥存储设备复原的数据格式;
密钥信息存储单元,用于从所述接收单元接收到的包数据中复原所述模板加密密钥和所述认证密钥,以及用于将所述模板加密密钥和所述认证密钥存储在防篡改非易失性存储器中;
相互认证单元,用于在从所述终端接收到模板加密密钥的使用请求的情况中,通过使用基于所述非易失性存储器中存储的认证密钥的认证信息来执行与所述终端的相互认证;以及
密钥状态管理单元,用于在所述相互认证单元进行的相互认证成功的情况中,将所述非易失性存储器中存储的模板加密密钥置于所述终端可用的状态。
2.如权利要求1所述的密钥存储设备,
其中,在所述模板加密密钥和所述认证密钥由所述密钥信息存储单元存储时用于执行与所述终端之间的相互认证的系统认证密钥被预先存储在所述非易失性存储器中,
其中,所述密钥存储设备进一步包括:系统相互认证单元,用于通过使用预先存储在所述非易失性存储器中的系统认证密钥来执行与所述终端的相互认证,以及
其中,在所述系统相互认证单元执行的相互认证成功的情况中,所述密钥信息存储单元从所述包数据中复原所述模板加密密钥和所述认证密钥并且将所述模板加密密钥和所述认证密钥存储在所述非易失性存储器中。
3.如权利要求2所述的密钥存储设备,进一步包括:
系统退化密钥生成单元,用于通过使用特定的系统退化密钥生成函数从所述系统认证密钥生成系统退化密钥,
其中,所述系统相互认证单元通过使用所述系统退化密钥生成单元所生成的系统退化密钥来执行与所述终端的相互认证。
4.如权利要求3所述的密钥存储设备,进一步包括:
退化密钥生成单元,用于通过使用特定的退化密钥生成函数从所述认证密钥生成退化密钥,
其中,所述相互认证单元通过使用所述退化密钥生成单元所生成的退化密钥来执行与所述终端的相互认证。
5.如权利要求4所述的密钥存储设备,
其中,当在如下状态下从终端接收到多个模板加密密钥的使用请求的情况中:存在多个服务,针对每个服务设定了所述模板加密密钥,并且对应于多个服务的所述模板加密密钥和认证密钥被存储在所述非易失性存储器中,
所述退化密钥生成单元通过使用与已接收到所述使用请求的多个服务相对应的认证密钥来生成一个退化密钥,
所述相互认证单元通过使用所述退化密钥生成单元所生成的一个退化密钥来执行与所述终端的相互认证,以及
在所述相互认证单元执行的相互认证成功的情况中,所述密钥状态管理单元把与已接收到所述使用请求的所述多个服务相对应并且被存储在所述非易失性存储器中的多个模板加密密钥置于所述终端可用的状态。
6.如权利要求1所述的密钥存储设备,其中,在所述相互认证单元执行的相互认证成功的情况中,所述密钥状态管理单元把存储在所述非易失性存储器中的模板加密密钥复制在易失性存储器中,并且在建立与所述终端之间的会话期间将所述易失性存储器中的模板加密密钥置于所述终端可用的状态。
7.一种生物认证设备,包括:
生物信息获取单元,用于拍摄生物图案的图像,以及用于获取用于生物认证的生物信息;
已加密模板获取单元,用于获取已加密的用于生物认证的模板;
相互认证单元,用于获取在执行与密钥存储设备的相互认证时使用的认证信息,以及用于通过使用该认证信息来执行与该密钥存储设备的相互认证,所述密钥存储设备把用于对所述已加密的用于生物认证的模板进行解密的模板加密密钥存储在防篡改非易失性存储器中并且管理所述模板加密密钥;
模板解密单元,用于在所述相互认证单元执行的相互认证成功并且所述模板加密密钥通过所述密钥存储设备被置于可用状态的情况中,通过使用该模板加密密钥对所述已加密的用于生物认证的模板进行解密;以及
生物认证单元,用于通过彼此对比地检查所述模板解密单元所解密的用于生物认证的模板和所述生物信息获取单元所获取的生物信息来执行生物认证处理。
8.如权利要求7所述的生物认证设备,进一步包括:
系统相互认证单元,用于获取要用于相互认证的系统认证信息,所述相互认证是在把所述模板加密密钥存储在所述密钥存储设备的非易失性存储器中时执行的,以及用于通过使用该系统认证信息来执行与所述密钥存储设备的相互认证;以及
包数据提供单元,在所述系统相互认证单元执行的相互认证成功的情况中,用于获取包数据以及用于把所述包数据提供给所述密钥存储设备,所述包数据包括所述模板加密密钥以及用于在所述密钥存储设备把该模板加密密钥置于可用状态时执行的相互认证的认证密钥并且具有仅允许所述密钥存储设备复原的数据格式。
9.一种生物认证系统,包括:
密钥存储设备,包括:
接收单元,用于接收包数据,所述包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用该模板加密密钥的生物认证设备之间的相互认证的认证密钥,所述相互认证是在把该模板加密密钥置于可用状态时执行的,以及包数据具有仅允许由其中存储所述模板加密密钥的密钥存储设备复原的数据格式,
密钥信息存储单元,用于从所述接收单元接收到的包数据中复原所述模板加密密钥和所述认证密钥,以及用于将所述模板加密密钥和所述认证密钥存储在防篡改非易失性存储器中,
第一相互认证单元,用于在从所述生物认证设备接收到模板加密密钥的使用请求的情况中,通过使用基于所述非易失性存储器中存储的认证密钥的认证信息来执行与所述生物认证设备的相互认证,以及
密钥状态管理单元,用于在所述第一相互认证单元执行的相互认证成功的情况中,将所述非易失性存储器中存储的模板加密密钥置于所述生物认证设备可用的状态;以及
生物认证设备,包括:
生物信息获取单元,用于拍摄生物图案的图像,以及用于获取用于生物认证的生物信息,
已加密模板获取单元,用于获取已加密的用于生物认证的模板,
第二相互认证单元,用于获取在执行与所述密钥存储设备的相互认证时使用的认证息,以及用于通过使用该认证信息执行与该密钥存储设备的相互认证,
模板解密单元,用于在所述第二相互认证单元执行的相互认证成功并且所述模板加密密钥通过所述密钥存储设备被置于可用状态的情况中,通过使用该模板加密密钥对所述已加密的用于生物认证的模板进行解密,以及
生物认证单元,用于通过彼此对比地检查所述模板解密单元所解密的用于生物认证的模板和所述生物信息获取单元所获取的生物信息来执行生物认证处理。
10.一种密钥管理方法,包括步骤:
接收包数据,所述包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用该模板加密密钥的终端之间的相互认证的认证密钥,所述相互认证是在把该模板加密密钥置于可用状态时执行的,以及所述包数据具有仅允许由其中存储所述模板加密密钥的密钥存储设备复原的数据格式;
从所述接收的步骤中接收到的包数据中复原所述模板加密密钥和所述认证密钥,以及将所述模板加密密钥和所述认证密钥存储在防篡改非易失性存储器中;
在从所述终端接收到模板加密密钥的使用请求的情况中,通过使用基于所述非易失性存储器中存储的所述认证密钥的认证信息来执行与所述终端的相互认证;以及
在所述执行相互认证的步骤中的相互认证成功的情况中,将所述非易失性存储器中存储的模板加密密钥置于所述终端可用的状态。
11.一种生物认证方法,包括步骤:
拍摄生物图案的图像,以及获取用于生物认证的生物信息;
获取已加密的用于生物认证的模板;
获取在执行与密钥存储设备的相互认证时使用的认证信息,以及通过使用该认证信息来执行与该密钥存储设备的相互认证,所述密钥存储设备把用于对所述已加密的用于生物认证的模板进行解密的模板加密密钥存储在防篡改非易失性存储器中并且管理所述模板加密密钥;
在所述执行相互认证的步骤中的相互认证成功并且所述模板加密密钥通过所述密钥存储设备被置于可用状态的情况中,通过使用该模板加密密钥对所述已加密的用于生物认证的模板进行解密;以及
通过彼此对比地检查所述解密的步骤中解密的用于生物认证的模板和所述获取生物信息的步骤中获取的生物信息来执行生物认证处理。
12.一种生物认证方法,包括步骤:
由配备有其中存储模板加密密钥的防篡改非易失性存储器的密钥存储设备接收包数据,所述包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用该模板加密密钥的生物认证设备之间的相互认证的认证密钥,所述相互认证是在把该模板加密密钥置于可用状态时执行的,以及所述包数据具有仅允许由所述密钥存储设备复原的数据格式;
由所述密钥存储设备从所述接收的步骤中接收到的包数据中复原所述模板加密密钥和所述认证密钥,以及由所述密钥存储设备将所述模板加密密钥和所述认证密钥存储在防篡改非易失性存储器中;
在从所述生物认证设备接收到模板加密密钥的使用请求的情况中,由所述密钥存储设备通过使用基于所述非易失性存储器中存储的认证密钥的认证信息来执行与所述生物认证设备的相互认证;
在所述执行与所述生物认证设备的相互认证的步骤中的相互认证成功的情况中,由所述密钥存储设备将所述非易失性存储器中存储的模板加密密钥置于所述生物认证设备可用的状态;
由所述生物认证设备拍摄生物图案的图像,以及由所述生物认证设备获取用于生物认证的生物信息;
由所述生物认证设备获取所述已加密的用于生物认证的模板;
由所述生物认证设备获取在执行与所述密钥存储设备的相互认证时使用的认证信息,以及由所述生物认证设备通过使用该认证信息来执行与该密钥存储设备的相互认证;
在所述执行与所述密钥存储设备的相互认证的步骤中的相互认证成功并且所述模板加密密钥通过所述密钥存储设备被置于可用状态的情况中,由所述生物认证设备通过使用该模板加密密钥对所述已加密的用于生物认证的模板进行解密;以及
由所述生物认证设备通过彼此对比地检查在所述解密的步骤中解密的用于生物认证的模板和在所述获取生物信息的步骤中获取的生物信息来执行生物认证处理。
13.一种用于使计算机实现如下功能的程序:
接收包数据的接收功能,所述包数据包括用于对已加密的用于生物认证的模板进行解密的模板加密密钥和用于所执行的与使用该模板加密密钥的终端之间的相互认证的认证密钥,所述相互认证是在把该模板加密密钥置于可用状态时执行的,以及所述包数据具有仅允许由其中存储所述模板加密密钥的密钥存储设备复原的数据格式;
密钥信息存储功能,从通过所述接收功能接收到的包数据中复原模板加密密钥和认证密钥,以及把模板加密密钥和认证密钥存储在防篡改非易失性存储器中;
相互认证功能,在从所述终端接收到所述模板加密密钥的使用请求的情况中,通过使用基于所述非易失性存储器中存储的所述认证密钥的认证信息来执行与所述终端的相互认证;以及
密钥状态管理功能,在所述相互认证功能执行的相互认证成功的情况中,把所述非易失性存储器中存储的模板加密密钥置于所述终端可用的状态。
14.一种用于使计算机实现如下功能的程序:
生物信息获取功能,拍摄生物图案的图像,以及获取用于生物认证的生物信息;
已加密模板获取功能,获取已加密的用于生物认证的模板;
相互认证功能,获取在执行与密钥存储设备的相互认证时使用的认证信息,以及通过使用该认证信息来执行与该密钥存储设备的相互认证,所述密钥存储设备把用于对所述已加密的用于生物认证的模板进行解密的模板加密密钥存储在防篡改非易失性存储器中并且管理所述模板加密密钥;
模板解密功能,在所述相互认证功能执行的相互认证成功并且所述模板加密密钥通过所述密钥存储设备被置于可用状态的情况中,通过使用该模板加密密钥对所述已加密的用于生物认证的模板进行解密;以及
生物认证功能,用于通过彼此对比地检查通过所述模板解密功能解密的用于生物认证的模板和通过所述生物信息获取功能获取的生物信息来执行生物认证处理。
CN2010102281355A 2009-07-15 2010-07-08 密钥存储设备及管理方法与生物认证设备、系统及方法 Expired - Fee Related CN101958795B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2009167041A JP2011022785A (ja) 2009-07-15 2009-07-15 鍵格納装置、生体認証装置、生体認証システム、鍵管理方法、生体認証方法、及びプログラム
JP2009-167041 2009-07-15

Publications (2)

Publication Number Publication Date
CN101958795A true CN101958795A (zh) 2011-01-26
CN101958795B CN101958795B (zh) 2013-06-05

Family

ID=43466074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010102281355A Expired - Fee Related CN101958795B (zh) 2009-07-15 2010-07-08 密钥存储设备及管理方法与生物认证设备、系统及方法

Country Status (3)

Country Link
US (1) US20110016317A1 (zh)
JP (1) JP2011022785A (zh)
CN (1) CN101958795B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI669628B (zh) * 2018-07-17 2019-08-21 關楗股份有限公司 用於進行金鑰備份或還原操作的訊標裝置
US11522693B2 (en) 2018-02-06 2022-12-06 Sony Corporation Information processing device and information processing method

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8457370B2 (en) 2011-01-20 2013-06-04 Daon Holdings Limited Methods and systems for authenticating users with captured palm biometric data
US8548206B2 (en) 2011-01-20 2013-10-01 Daon Holdings Limited Methods and systems for capturing biometric data
KR101954215B1 (ko) * 2011-07-12 2019-06-07 삼성전자주식회사 비휘발성 저장 장치의 이용 방법 및 장치
CN102663326B (zh) * 2012-03-12 2015-02-18 东南大学 用于SoC的数据安全加密模块
JP2015115634A (ja) * 2013-12-09 2015-06-22 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
WO2015118630A1 (ja) * 2014-02-05 2015-08-13 株式会社日立製作所 ストレージシステムおよびストレージシステム用キャッシュ制御装置
US9774596B2 (en) * 2014-05-23 2017-09-26 Fujitsu Limited Privacy-preserving biometric authentication
US20160261593A1 (en) * 2015-03-06 2016-09-08 CallSign, Inc. Systems and methods for decentralized user authentication
US10169563B2 (en) 2017-01-27 2019-01-01 International Business Machines Corporation Encryption authorization dongle having volatile memory
SE1751451A1 (en) * 2017-11-24 2019-05-25 Fingerprint Cards Ab Biometric template handling
SE1850155A1 (en) 2018-02-13 2019-08-14 Fingerprint Cards Ab Registration of data at a sensor reader and request of data at the sensor reader
JP2020004044A (ja) * 2018-06-27 2020-01-09 株式会社東海理化電機製作所 認証システム及び認証方法
US11468177B2 (en) * 2018-12-28 2022-10-11 Eidetic Communications Inc. Apparatus and method for encrypting data in a data storage system
US11275820B2 (en) 2019-03-08 2022-03-15 Master Lock Company Llc Locking device biometric access
US11374770B2 (en) 2019-11-25 2022-06-28 Texas Instruments Incorporated Data integrity validation via degenerate keys
JP6901694B1 (ja) * 2020-02-10 2021-07-14 富士通クライアントコンピューティング株式会社 サーバ、生体認証システム、およびプログラム
US11743058B2 (en) * 2020-03-05 2023-08-29 International Business Machines Corporation NVDIMM security with physically unclonable functions
US11822686B2 (en) * 2021-08-31 2023-11-21 Mastercard International Incorporated Systems and methods for use in securing backup data files
WO2023105628A1 (ja) * 2021-12-07 2023-06-15 日本電気株式会社 情報処理システム、情報処理方法、及び、記録媒体

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101132277A (zh) * 2006-08-26 2008-02-27 华为技术有限公司 一种生物认证方法
JP2008102780A (ja) * 2006-10-19 2008-05-01 Sony Corp パターン識別方法、登録装置、照合装置及びプログラム
CN101330386A (zh) * 2008-05-19 2008-12-24 刘洪利 基于生物特征的认证系统及其身份认证方法
US20090080710A1 (en) * 2007-09-21 2009-03-26 Hiroshi Abe Biological Information Storing Apparatus, Biological Authentication Apparatus, Data Structure for Biological Authentication, and Biological Authentication Method

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996007256A1 (fr) * 1994-08-30 1996-03-07 Kokusai Denshin Denwa Co., Ltd. Systeme de certification
US6353889B1 (en) * 1998-05-13 2002-03-05 Mytec Technologies Inc. Portable device and method for accessing data key actuated devices
US6317834B1 (en) * 1999-01-29 2001-11-13 International Business Machines Corporation Biometric authentication system with encrypted models
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US7505941B2 (en) * 1999-08-31 2009-03-17 American Express Travel Related Services Company, Inc. Methods and apparatus for conducting electronic transactions using biometrics
US6819219B1 (en) * 2000-10-13 2004-11-16 International Business Machines Corporation Method for biometric-based authentication in wireless communication for access control
US20040193893A1 (en) * 2001-05-18 2004-09-30 Michael Braithwaite Application-specific biometric templates
TW588243B (en) * 2002-07-31 2004-05-21 Trek 2000 Int Ltd System and method for authentication
US20070220274A1 (en) * 2005-10-17 2007-09-20 Saflink Corporation Biometric authentication system
US20070226514A1 (en) * 2006-03-24 2007-09-27 Atmel Corporation Secure biometric processing system and method of use
US20070226515A1 (en) * 2006-03-24 2007-09-27 Atmel Corporation Secure biometric processing system and method of use
US20070237366A1 (en) * 2006-03-24 2007-10-11 Atmel Corporation Secure biometric processing system and method of use
US8001387B2 (en) * 2006-04-19 2011-08-16 Dphi, Inc. Removable storage medium with biometric access
US8145916B2 (en) * 2007-09-07 2012-03-27 Authentec, Inc. Finger sensing apparatus using encrypted user template and associated methods
US8838990B2 (en) * 2008-04-25 2014-09-16 University Of Colorado Board Of Regents Bio-cryptography: secure cryptographic protocols with bipartite biotokens
US8265599B2 (en) * 2008-05-27 2012-09-11 Intel Corporation Enabling and charging devices for broadband services through nearby SIM devices
US8166297B2 (en) * 2008-07-02 2012-04-24 Veritrix, Inc. Systems and methods for controlling access to encrypted data stored on a mobile device
US20100138667A1 (en) * 2008-12-01 2010-06-03 Neil Patrick Adams Authentication using stored biometric data
US9047477B2 (en) * 2009-05-26 2015-06-02 Microsoft Technology Licensing, Llc Distributed key encryption in servers

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101132277A (zh) * 2006-08-26 2008-02-27 华为技术有限公司 一种生物认证方法
JP2008102780A (ja) * 2006-10-19 2008-05-01 Sony Corp パターン識別方法、登録装置、照合装置及びプログラム
US20090080710A1 (en) * 2007-09-21 2009-03-26 Hiroshi Abe Biological Information Storing Apparatus, Biological Authentication Apparatus, Data Structure for Biological Authentication, and Biological Authentication Method
CN101330386A (zh) * 2008-05-19 2008-12-24 刘洪利 基于生物特征的认证系统及其身份认证方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A. MENEZES,P. VAN,ETC.: "《Handbook of Applied Cryptography》", 16 October 1996, article "chapter 13" *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11522693B2 (en) 2018-02-06 2022-12-06 Sony Corporation Information processing device and information processing method
TWI669628B (zh) * 2018-07-17 2019-08-21 關楗股份有限公司 用於進行金鑰備份或還原操作的訊標裝置

Also Published As

Publication number Publication date
CN101958795B (zh) 2013-06-05
US20110016317A1 (en) 2011-01-20
JP2011022785A (ja) 2011-02-03

Similar Documents

Publication Publication Date Title
CN101958795B (zh) 密钥存储设备及管理方法与生物认证设备、系统及方法
US11139978B2 (en) Portable biometric identity on a distributed data storage layer
CN100403209C (zh) 用于授权内容操作的方法与装置
JP4638990B2 (ja) 暗号鍵情報の安全な配布と保護
CN101533654B (zh) 用于处理信息的设备和方法
JP4556308B2 (ja) コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体
JP4654498B2 (ja) 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
EP1388989B1 (en) Digital contents issuing system and digital contents issuing method
JP4581200B2 (ja) 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
CN101443758B (zh) 数字权限管理方法和设备
JP4586250B2 (ja) 個人識別証明書リンクシステム、情報処理装置、および情報処理方法、並びにプログラム提供媒体
US20070160199A1 (en) Copy control apparatus and method thereof, information processing apparatus and method thereof, and content receiving apparatus
CN103793990A (zh) 发票的验证方法和系统
CN105518687A (zh) 安全数据存储装置
US8156548B2 (en) Identification and authentication system and method
US20080271144A1 (en) Method for the authenticated transmission of a personalized data set or program to a hardware security module in particular of a franking machine
CN115427959A (zh) 在终端设备、支付系统、货币系统和监控单元之间直接传输电子币数据组的方法
Chen et al. A novel DRM scheme for accommodating expectations of personal use
CN101826141A (zh) 信息处理设备,数据记录系统,信息处理方法和程序
JP2005293490A (ja) 生体認証システム
CN113836516B (zh) 一种打印机硒鼓防伪与打印次数保护系统、方法
CN112417424A (zh) 一种电力终端的认证方法及系统
KR101118424B1 (ko) 인증서 자동갱신 처리 시스템
KR101619290B1 (ko) 문서 위조 방지를 위한 방법, 서버 및 태그
JP2010041387A (ja) 情報処理装置および情報処理システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: MOFEILIYA CO., LTD.

Free format text: FORMER OWNER: SONY CORP

Effective date: 20131128

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20131128

Address after: Tokyo, Japan

Patentee after: Mo fillia Co.,Ltd.

Address before: Tokyo, Japan

Patentee before: Sony Corp.

C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: Tokyo, Japan

Patentee after: Co Mo fillia

Address before: Tokyo, Japan

Patentee before: Mo fillia Co.,Ltd.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130605

CF01 Termination of patent right due to non-payment of annual fee