具体实施方式
在下文中,将参照附图详细描述本发明的优选实施例。应当注意,在本说明书和附图中,具有基本上相同的功能和结构的结构元件被标注有相同的附图标记,并且这些结构元件的重复说明被省略。
<描述流程>
这里将简要叙述以下描述的本发明的实施例的描述流程。首先,将参照图1描述一般的生物认证设备的配置。随后,将比较图1中示出的生物认证设备的配置,参照图2描述根据本实施例的生物认证系统的整体系统配置。此外,将参照图3描述根据本实施例的修改示例的生物认证系统的整体系统配置。
随后,将参照图4和5描述根据本实施例的生物认证系统中包括的安全设备的配置。其中,将参照图4给出关于用于从已加密模板解密原始模板的模板加密密钥的管理方法的说明。此外,将参照图5给出关于在安全设备中提供的非易失性存储器中存储的服务数据的内容以及服务数据的数据结构的说明。
接着,将参照图6描述用作本实施例的生物认证系统中的服务登记终端并且还用作生物认证设备的PC的功能配置。然而,这里将仅详细描述用于提供服务登记终端的功能的主要结构元件。随后,将参照图7描述在本实施例的生物认证系统中包括的安全设备的功能配置。然而,这里将仅详细描述用于提供在服务登记时使用的功能的主要结构元件。接着,将参照图8描述在本实施例的生物认证系统中包括的服务数据管理系统的功能配置。然而,这里将仅详细描述用于提供在服务登记时使用的功能的主要结构元件。接着,将参照图9至13描述根据本实施例的服务登记处理的流程。
随后,再次参照图6,将描述与在本实施例的生物认证系统中包括的PC的功能配置相关的用于提供服务激活功能的主要结构元件的功能。接着,再次参照图7,将描述与在本实施例的生物认证系统中包括的安全设备的功能配置相关的用于提供服务激活功能的主要结构元件的功能。接着,再次参照图8,将描述与在本实施例的生物认证系统中包括的服务数据管理系统相关的用于提供服务激活功能的主要结构元件的功能。接着,将参照图14、15、19和20描述根据本实施例的服务激活处理的流程。接着,将参照图16至20描述根据本实施例的多个服务的同时激活处理(组合激活)的流程。
接着,再次参照图6,将描述与在本实施例的生物认证系统中包括的PC的功能配置相关的用于提供生物认证设备的功能的主要结构元件的功能。接着,将参照图21描述在本实施例的生物认证系统中包括的生物认证设备的功能配置。随后,将参照图22描述在本实施例的生物认证系统中包括的模板管理系统的功能配置。随后,将参照图23描述根据本实施例的生物认证处理的流程。随后,将参照图24和25描述根据本实施例的服务改变处理的流程。随后,将参照图26描述根据本实施例的服务删除处理的流程。
随后,将参照图27描述在本实施例的生物认证系统中包括的模板登记终端的功能配置。随后,将参照图28描述根据本实施例的模板登记处理的流程。随后,将参照图29描述根据本实施例的模板加密密钥交换处理的流程。随后,将参照图30描述能够实现在根据本实施例的生物认证系统中包括的各个设备和该系统的功能的信息处理装置的硬件配置的示例。
(描述项目)
1:生物认证系统的整体系统配置
1-1:系统配置示例1(用于将模板存储在服务器中的配置)
1-2:系统配置示例2(用于将模板存储在PC中的配置)
2:安全设备的配置
2-1:非易失性存储器内的数据结构
3:服务登记
3-1:PC的功能配置(服务登记功能部分)
3-2:安全设备的功能配置(服务登记功能部分)
3-3:服务数据管理系统的功能配置(服务登记功能部分)
3-4:服务登记处理的流程
3-4-1:整体处理流程
3-4-2:系统服务激活处理的流程
4:服务激活
4-1:PC的功能配置(服务激活功能部分)
4-2:安全设备的功能配置(服务激活功能部分)
4-3:服务数据管理系统的功能配置(服务激活功能部分)
4-4:服务激活处理的流程
4-5:多个服务的同时激活
4-5-1:不同服务的同时激活
4-5-2:不同版本的同时激活
5:生物认证
5-1:PC的功能配置(生物认证功能部分)
5-2:生物认证设备的功能配置
5-3:模板管理系统的功能配置(生物认证功能部分)
5-4:生物认证处理的流程
6:服务的改变/删除
6-1:服务改变处理的流程
6-2:服务删除处理的流程
7:模板登记
7-1:模板登记终端的功能配置
7-2:模板登记处理的流程
8:模板加密密钥的交换
9:硬件配置
<实施例>
将描述本发明的实施例。本实施例提出了一种生物认证系统的配置,其通过管理在为各个服务提供的生物认证设备外部的用于生物认证的模板,在使用者不必将模板登记在每个生物认证设备中的情况下,允许使用者接受所期望的服务。
为了更详细的描述,本实施例提供了一种生物认证系统,其以如下方式考虑安全性:即使服务的模板加密密钥变为暴露的,通过为每个服务准备模板加密密钥,将不会影响其他服务。特别地,其涉及一种如下技术:将可用的服务登记在个人使用者持有的安全设备中,以及通过使用所登记的信息执行控制以便于允许用于提供所期望服务的生物认证设备使用模板加密密钥。下面将使用具体示例给出更详细的说明。
<1:生物认证系统的整体系统配置>
首先,将描述根据本实施例的生物认证系统的整体系统配置。这里将示出作为具体示例的两种类型的系统配置示例。然而,应当注意,根据本实施例的技术的适用范围不限于这两种类型的系统配置示例。
<1-1:系统配置示例1(用于将模板存储在服务器中的配置)>
作为第一示例,图2中示出了被设计用于把模板存储在生物认证设备外部提供的服务器(模板管理系统26)中的生物认证系统10的系统配置。图2是示出根据本实施例的生物认证系统10的系统配置的示例的说明性示图。
如图2中所示,生物认证系统10主要包括PC 12、安全设备14、影印机16、进入/退出管理设备18、自动贩卖机20、服务数据管理系统24、模板管理系统26和模板登记终端28。
此外,PC 12、影印机16、进入/退出管理设备18和自动贩卖机20是提供生物认证服务的设备的示例,并且配备有生物认证设备的功能。再者,假设除了生物认证设备的功能之外,PC 12还配备有服务登记终端的功能。此外,在下面的说明中,PC 12、影印机16、进入/退出管理设备18和自动贩卖机20可以被表述为生物认证设备。再者,PC 12可以被表述为服务登记终端。服务登记终端的功能将在后面描述。
假设PC 12、影印机16、进入/退出管理设备18、自动贩卖机20、服务数据管理系统24和模板管理系统26经由网络30连接。还假设PC 12配备有用于与安全设备14无线通信的读取器/写入器(R/W)。因此,PC 12可以经由读取器/写入器将数据写入安全设备14或者从安全设备14读出数据。此外,安全设备14是存储模板加密密钥的密钥存储设备的示例。模板加密密钥和密钥存储设备的配置将在后面描述。
在图2中示出的生物认证系统10中,由模板管理系统26管理用于生物认证的模板。通过使用模板登记终端28创建模板,并且模板被存储在模板管理系统26中。此时,利用特定的模板加密密钥对模板进行加密。在下面的说明中,已被加密的模板将被称为已加密模板。此外,在根据本实施例的生物认证系统10中,为每个服务创建已加密模板。
图2的示例假设由PC 12提供的万维网(Web)服务、由影印机16提供的影印服务、由进入/退出管理设备18提供的进入/退出管理服务、和由自动贩卖机20提供的自动贩卖服务。据此,用于万维网服务的已加密模板、用于影印服务的已加密模板、用于进入/退出管理服务的已加密模板和用于自动贩卖服务的已加密模板被存储在模板管理系统26中。例如,通过利用对于每个服务是不同的模板加密密钥对从模板登记终端28输入的模板进行加密,创建了各个已加密模板。
用于各个服务的模板加密密钥由服务数据管理系统24管理。因此,模板加密密钥不是保存在PC 12、影印机16、进入/退出管理设备18和自动贩卖机20中,以便于总是能够使用。就是说,利用生物认证系统10,在生物认证设备外部提供的系统中管理已加密模板和模板加密密钥。
这里,将参照图1。如图1中所示,利用已被广泛使用的一般的生物认证设备,在生物认证设备内的安全设备中管理已加密模板和模板加密密钥。因此,使用者必须去往其中安装用于各个服务的生物认证设备的场所并登记生物图案,并且存在如下问题:随着服务类型的增加,使用者的负担增加。
考虑到该问题,提出了一种如下方法:利用生物认证系统10管理服务数据管理系统24中的模板加密密钥并且管理模板管理系统26中的已加密模板(外部提供模板管理)。当使用该方法时,使用者不必去往对应于各个服务的生物认证设备的安装位置以登记模板。然而,为了使生物认证系统10有效地发挥作用,需要一种在维持使用者便利的同时适当地控制对已加密模板和模板加密密钥的访问的机制。
根据本实施例,使用一种如下方法:利用安全设备14中存储的对应于所期望服务的模板加密密钥,通过使用各个生物认证设备和安全设备14之间的相互认证来控制对用于每个服务的模板加密密钥的访问。在下文中,将详细地描述该方法,但是首先,将介绍生物认证系统10的修改示例。
<1-2:系统配置示例2(用于将模板存储在PC中的配置)>
根据上文描述的生物认证系统10,由模板管理系统26管理已加密模板。然而,本实施例涉及一种如下技术:利用安全设备14中存储的对应于所期望服务的模板加密密钥,通过使用各生物认证设备和安全设备14之间的相互认证来控制对用于每个服务的模板加密密钥的访问。
因此,如图3中所示,系统配置修改也是可能的,根据该修改,在PC 52中管理已加密模板和模板加密密钥并且允许适当地从另一生物认证设备访问PC 52。就是说,在图2中所示的生物认证系统10中,PC 12的功能、模板管理系统26的功能和模板登记终端28的功能可以合并在PC 52中。该配置允许使用者通过使用由作为使用者的个人财产的PC 52管理的已加密模板,通过例如影印机16、进入/退出管理设备18、自动贩卖机20等接受生物认证服务。
如所描述的,可以适当地修改系统配置,只要它处于本实施例的技术思想内。例如,还可以使用配备有PC 12和安全设备14的功能的移动电话、移动信息终端等代替PC 12。在下文中,将详细地描述根据本实施例的关于模板加密密钥的管理方法。此外,为了说明,将对所设想的图2中所示的生物认证系统10的系统配置进行说明。
<2:安全设备的配置>
这里,将描述安全设备14的配置。如上文所述,本实施例的特征在于通过使用PC 12和安全设备14之间的相互认证来控制对安全设备14中存储的模板加密密钥的访问的方法。因此,将详细地描述存储在安全设备14中的模板加密密钥的配置和要用于控制对模板加密密钥的访问的访问认证密钥信息的配置。
<2-1:非易失性存储器内的数据结构>
首先,将参照图4和5描述存储在安全设备14中的模板加密密钥的配置和要用于控制对模板加密密钥的访问的访问认证密钥的配置。这里还将描述根据本实施例的关于模板加密密钥的管理方法。图4是示出存储在安全设备14中的模板加密密钥的配置示例的说明性示图。图5是示出安全设备14中存储的服务数据的数据结构的说明性示图。此外,后面将描述服务数据。
首先,将参照图4。如图4中所示,针对各个服务设定的模板加密密钥被存储在安全设备14中。在如本实施例中假设使用多个服务的情况中,多个模板加密密钥将被存储在安全设备14中。例如,系统服务(服务1)、进入/退出管理服务(服务2)、...、万维网服务(服务N)等被存储在安全设备14的非易失性存储器中。此外,其中存储模板加密密钥的非易失性存储器是防篡改的。再者,系统服务是在发货时预先设定的特别服务。另一方面,进入/退出管理服务、...、万维网服务是使用者适当地登记在安全设备14中的一般服务。
接着,将参照图5。图5示出了存储在安全设备14的非易失性存储器中的服务数据的数据结构。此外,服务数据是由用于识别每个服务的服务代码(sc)、用于控制对模板加密密钥的访问的访问认证密钥信息(Iauth sc)、包括模板加密密钥的模板加密密钥信息(Itemp sc)和复合许可标志(fcomp sc)形成的数据。此外,这些数据片段被彼此链接地管理。
服务代码(sc)是用于识别服务之间的差异和版本之间的差异的代码。服务代码由服务ID(scid)和版本信息(scver)形成。服务ID是用于识别服务的身份信息。版本信息是用于识别版本的信息。访问认证密钥信息(Iauth sc)是为了访问对应于各服务的模板加密密钥而进行的相互认证所使用的用于认证的数据。访问认证密钥信息由加密方案(tauth sc)和服务认证密钥(Kauth sc)形成。
模板加密密钥信息(Itemp sc)是用于对为每个服务创建的加密模板进行解密的加密密钥数据。模板加密密钥信息由加密方案(ttemp sc)和模板加密密钥(Ktemp sc)形成。复合许可标志(fcomp sc)是指示访问认证是否可以与关于对应于其他服务的模板加密密钥的其他访问认证同时执行的许可信息。在复合许可标志被设定为有效的情况中,可以通过单次相互认证一起建立关于对应于其他服务的模板加密密钥的访问认证。
如上文所述,为每个服务设定的服务数据被存储在安全设备14中。再者,将篡改检测代码添加到各段服务数据。通过添加篡改检测代码,在服务数据出于某种原因而被破坏的情况中,可以检测破坏。此外,系统服务的服务数据和一般服务的服务数据基本上具有相同的数据结构。然而,存在如下差异,在系统服务的情况中,例如,对服务代码和复合许可标志设置了限制。再者,系统服务的服务代码的预期用途和一般服务的服务代码的预期用途是不同的。这些差异将在后面描述。
<3:服务登记>
如上文所述,服务数据被存储在安全设备14中。系统服务的服务数据预先在发货等时被存储在安全设备14的非易失性存储器中。另一方面,必须使用PC 12(服务登记终端)登记一般服务的服务数据。这里将描述用于将一般服务的服务数据存储在安全设备14的非易失性存储器中的服务登记方法。
<3-1:PC的功能配置(服务登记功能部分)>
首先,将参照图6描述PC 12的功能配置中的用于提供服务登记功能的结构元件。图6是示出PC 12的功能配置的示例的说明性示图。
如图6中所示,PC 12包括用于安全设备的通信单元102、系统服务退化密钥获取单元104、用于网络的通信单元106、系统服务状态控制单元108、以及包服务数据传输单元110,作为用于提供服务登记功能的主要结构元件。此外,用于安全设备的通信单元102和包服务数据传输单元110是包数据提供单元的示例。再者,用于安全设备的通信单元102、系统服务退化密钥获取单元104和系统服务状态控制单元108是系统相互认证单元的示例。
用于安全设备的通信单元102是用于与安全设备14通信的部件。系统服务退化密钥获取单元104是用于从服务数据管理系统24获取系统服务认证退化密钥的部件,该系统服务认证退化密钥将用于在一般服务的服务数据的登记时执行的与安全设备14的相互认证。系统服务认证退化密钥是基于在系统服务的服务数据中包括的服务认证密钥而生成的(在下文中,服务认证密钥和服务数据被分别称为“系统服务认证密钥”和“系统服务数据”)。
这里,系统服务认证退化密钥由管理服务提供权威的服务管理权威(服务数据管理系统24)生成或者由服务管理权威批准许可的安全设备14生成。例如,基于系统服务认证密钥(Kauth scsys)和系统服务认证退化密钥函数d0,通过下面示出的式(1)来生成对应于系统服务的服务ID(scsys)的系统服务认证退化密钥(Kdege scsys)。系统服务认证退化密钥函数d0是在服务管理权威批准许可之后提供的。
[等式1]
Kdege scsys=d0(Kauth scsys) ...(1)
系统服务退化密钥获取单元104经由用于网络的通信单元106获取上文描述的系统服务认证退化密钥。用于网络的通信单元106是用于向/从服务数据管理系统24、模板管理系统26和连接到网络30的其他生物认证设备传送/接收数据的部件。系统服务退化密钥获取单元104获取的系统服务认证退化密钥被输入到系统服务状态控制单元108。系统服务状态控制单元108是用于经由用于安全设备的通信单元102与安全设备14通信以及用于执行相互认证和会话建立的部件。
当系统服务认证退化密钥被输入时,系统服务状态控制单元108尝试经由用于安全设备的通信单元102进行与安全设备14的相互认证。当相互认证成功时,系统服务状态控制单元108建立会话,并且将指示相互认证成功的通知信息(在下文中将被称为认证完成通知)输入到包服务数据传输单元110。其中系统服务认证退化密钥的相互认证已成功并且会话被建立的这种状态将被称为其中系统服务被激活的状态。
使用者期望登记的服务信息被输入到包服务数据传输单元110。当认证完成通知被输入时,包服务数据传输单元110经由用于网络的通信单元106访问服务数据管理系统24,并且获取使用者所期望的服务的服务数据。这里,将由包服务数据传输单元110获取的服务数据被打包为如下格式:仅可能在安全设备14处解密。该打包处理仅由服务管理权威执行或者由服务管理权威批准许可的实体执行。这里,假设服务管理权威(服务数据管理系统24)执行该处理。
此外,打包处理是基于服务打包函数p1执行的。例如,使用者期望登记的一般服务的服务代码被取为sc。再者,在将对应于服务代码sc的访问认证密钥信息取为Iauth sc,将模板加密密钥信息取为Itemp sc,并且将复合许可标志取为fcomp sc时,如下式(2)和(3)获得打包的服务数据(在下文中将被称为服务包数据)Psc。
[等式2]
Ssc=[sc,Iauth sc,Itemp sc,fcomp sc] ...(2)
Psc=p1(Ssc) ...(3)
上文所述的服务包数据是由包服务数据传输单元110从服务数据管理系统24获取的,并且经由用于安全设备的通信单元102提供给安全设备14。
如所描述的,PC 12通过使用系统服务认证退化密钥来执行与安全设备14的相互认证并且建立会话,并且向安全设备14提供服务包数据。此时,由于服务数据被打包为PC 12不能够解密的格式,因此服务数据的内容对于PC 12将是未知的。据此,可以防止在服务数据的登记时通过PC12泄漏服务数据的内容。再者,通过PC 12和安全设备14之间执行的相互认证,可以防止恶意第三方将未授权的服务数据存储在有效数据存储位置。
<3-2:安全设备的功能配置(服务登记功能部分)>
接着,将参照图7描述安全设备14的功能配置中的用于提供服务登记功能的结构元件。图7是示出安全设备14的功能配置的示例的说明性示图。
如图7中所示,安全设备14包括通信单元202、非易失性存储器204、系统服务退化密钥生成单元206、系统服务状态控制单元208和服务包数据解密单元210,作为用于提供服务登记功能的主要结构元件。此外,通信单元202是接收单元的示例。再者,服务包数据解密单元210是密钥信息存储单元的示例。再者,系统服务退化密钥生成单元206和系统服务状态控制单元208是系统相互认证单元的示例。再者,系统服务退化密钥生成单元206是系统退化密钥生成单元的示例。
通信单元202是用于与PC 12通信的部件。非易失性存储器204是防篡改的存储部件。此外,系统服务数据被预先存储在非易失性存储器204中。当一般服务的登记处理开始时,系统服务退化密钥生成单元206从非易失性存储器204获取系统服务数据中包括的系统服务认证密钥。随后,系统服务退化密钥生成单元206从系统服务认证密钥生成系统服务认证退化密钥。系统服务认证退化密钥是基于上文描述的式(1)生成的。这里,假设服务管理权威已经提供了系统服务认证退化密钥函数d0。
系统服务退化密钥生成单元206生成的系统服务认证退化密钥被输入到系统服务状态控制单元208。系统服务状态控制单元208是用于在一般服务的登记时执行与PC 12的相互认证以及用于建立会话的部件。当系统服务认证退化密钥被输入时,系统服务状态控制单元208通过使用所输入的系统服务认证退化密钥来执行与PC 12的相互认证,并且在认证已成功的情况中,经由通信单元202建立会话。当以这种方式激活系统服务时,从PC 12提供包服务数据。
安全设备14通过使用通信单元202获取PC 12提供的包服务数据。通过通信单元202获取的包服务数据被输入到服务包数据解密单元210。服务包数据解密单元210从已输入的包服务数据解密原始服务数据。随后,服务包数据解密单元210将已被解密的服务数据存储在非易失性存储器204中。一般服务的服务数据以这种方式存储在非易失性存储器204中,并且构造如图5中所示的数据结构。
通过这种方式,安全设备14通过使用系统服务认证退化密钥来执行与PC 12的相互认证,建立会话,并且从PC 12获取服务包数据。此时,由于服务数据被打包为PC 12不能够解密的格式,因此服务数据的内容对于PC 12将是未知的。因此,可以防止在服务数据的登记时通过PC 12泄漏服务数据的内容。再者,通过PC 12和安全设备14之间执行的相互认证,可以防止恶意第三方将未授权的服务数据存储在有效数据存储位置。
<3-3:服务数据管理系统的功能配置(服务登记功能部分)>
接着,将参照图8描述服务数据管理系统24的功能配置中的用于提供服务登记功能的结构元件。图8是示出服务数据管理系统24的功能配置的示例的说明性示图。
如图8中所示,服务数据管理系统24包括通信单元302、存储单元304、模板加密密钥管理单元306、包服务数据生成单元308和系统服务退化密钥生成单元310,作为用于提供服务登记功能的主要结构元件。系统服务和一般服务的服务数据被存储在存储单元304中。此外,模板加密密钥管理单元306是用于管理模板加密密钥的部件,该部件提供模板管理系统26处的模板加密时的模板加密密钥或者向包服务数据生成单元308适当地输入模板加密密钥。
当一般服务的登记处理开始时,系统服务退化密钥生成单元310从存储单元304中存储的系统服务数据获取系统服务认证密钥,并且基于上文描述的式(1)生成系统服务认证退化密钥。随后,经由通信单元302将系统服务退化密钥生成单元310生成的系统服务认证退化密钥提供给PC12。再者,当PC 12提供关于使用者所期望的服务的信息时,包服务数据生成单元308从存储单元304中存储的服务数据片段获取相应的服务数据。随后,包服务数据生成单元308基于上文描述的式(2)和(3)对所获取的服务数据进行打包,并且生成包服务数据。随后,经由通信单元302将包服务数据生成单元308生成的包服务数据提供给PC 12。
如所描述的,所提供的服务数据被打包为PC 12不能够解密的格式。因此,在一般服务的登记时,服务数据的内容对于PC 12将是未知的。结果,可以防止在服务数据的登记时通过PC 12泄漏服务数据的内容。
<3-4:服务登记处理的流程>
接着,将参照图9和10描述生物认证系统10的服务登记处理的流程。图9是示出生物认证系统10的服务登记处理的整体流程的说明性示图。图10是详细示出生物认证系统10的服务登记处理中的系统服务激活处理的流程的说明性示图。此外,在图9和10中,PC 12被表述为服务登记终端。
(3-4-1:整体处理流程)
首先,将参照图9描述服务登记处理的整体流程。如图9中所示,使用者开始一般服务的登记处理,并且在PC 12上选择所期望的服务(S102)。然而,也可以由PC 12自动地选择特定服务(S102)。当选择要被登记的服务(在下文中将被称为所选择的服务)时,PC 12获取对应于所选择的服务的服务包数据(S104)。随后,PC 12和安全设备14执行系统服务的激活处理(S106)。系统服务的激活处理将在后面描述。
接着,判定系统服务的激活处理是否已成功(S108)。在系统服务的激活已成功的情况中,PC 12基于添加到包服务数据的篡改检测代码来评估包服务数据的有效性(S110),并且判定包服务数据的有效性(S112)。在包数据有效的情况中,PC 12前往步骤S114的处理。另一方面,在包数据是已被篡改的数据的情况中,PC 12输出错误并且结束与服务登记相关的系列处理。在前往步骤S114的处理的情况中,PC 12向安全设备14输入服务包数据(S114)。
随后,安全设备14从PC 12输入的服务包数据解密原始服务数据(S116)。随后,安全设备14将已被解密的服务数据存储在非易失性存储器204中(S118)。随后,PC 12和安全设备14使系统服务失活(S120),并且结束与服务登记相关的系列处理。此外,其中建立PC 12和安全设备14之间的会话的状态被维持,直至系统服务失活,并且因此可以选择另一一般服务并且继续将其登记在安全设备14中。
(3-4-2:系统服务激活处理的流程)
这里,将参照图10描述系统服务的激活处理的流程。图10是示出系统服务的激活处理的流程的说明性示图。
如图10中所示,当系统服务的激活处理开始时,PC 12获取对应于系统服务的系统服务认证退化密钥(S122)。随后,安全设备14搜索非易失性存储器204以寻找对应于系统服务的服务数据,并且获取系统服务认证密钥(S124)。随后,安全设备14基于上文描述的式(1)从所获取的系统服务认证密钥生成系统服务认证退化密钥(S126;参照图13)。
随后,PC 12和安全设备14通过使用各自已准备好的系统服务认证退化密钥(参照图12)执行相互认证(S128、S130)。在相互认证成功的情况中,它们前往步骤S132的处理,建立PC 12和安全设备14之间的会话(S132),并且激活系统服务。另一方面,在相互认证失败的情况中,输出错误并且结束与系统服务激活相关的系列处理。通过这种方式执行系统服务的激活处理。
图10中示出的系统服务的激活处理可以被总结为图11中示出的简单的示意图。图11是示意性地示出存储在安全设备14的非易失性存储器204中的服务数据的内容的说明性示图。如图11中所示,包括系统服务数据的多个服务数据片段被存储在非易失性存储器204中。当系统服务的激活处理开始时,安全设备14利用系统服务的服务代码scsys作为搜索密钥来搜索系统服务数据。当检测到服务代码scsys的服务数据时,安全设备14提取服务数据中包括的访问认证密钥信息Iauth scsys。
访问认证密钥信息Iauth scsys中包括系统服务认证密钥Kauth scsys和加密方案tauth scsys。安全设备14首先通过使用系统服务认证密钥Kauth scsys来生成系统服务认证退化密钥Kdege scsys。系统服务认证退化密钥Kdege scsys的生成方法如上文描述的式(1)中所示。当系统服务认证退化密钥Kdege scsys被生成时,安全设备14通过使用所生成的系统服务认证退化密钥Kdege scsys并且根据加密方案tauth scsys执行与PC 12的相互认证。随后,当相互认证被建立时,可以建立PC 12和安全设备14之间的会话(可以激活系统服务)。
当系统服务以这种方式被激活时,可以通过执行图9中示出的服务登记处理来将一般服务登记在安全设备14中。此外,当一般服务的登记处理完成时,使系统服务失活,并且取消PC 12和安全设备14之间的会话。在系统服务处于激活状态时,可以登记两个或更多个一般服务。另一方面,当系统服务失活时,不能登记一般服务,并且在登记一般服务时必须再次执行图10中示出的系统服务的激活处理。
(补充描述)
这里将补充系统服务的描述。如已描述的,系统服务是在安全设备14的在发货时预先登记的特别服务。如上文所述,系统服务是在一般服务的登记时被激活的,并且承担防止未授权的服务登记终端将未授权的数据写入安全设备14的非易失性存储器204或者防止非易失性存储器204的内容被非有意地读取的任务。据此,不存在将由使用者执行的系统服务的登记处理(参照图12)。
此外,系统服务的服务ID被固定到特定值(例如,0)。再者,多个不同版本的服务数据片段将不会存储在非易失性存储器204中。此外,不能删除系统服务(参照图12)。然而,系统服务可以改变(版本更新)。然而,多个系统服务不出现在非易失性存储器204中,并且因此改变之前的系统服务将被擦除。改变系统服务的方法与改变一般服务的方法有如此之多的相同点,并且因此在描述改变一般服务的方法时将进行详细描述。
到此为止,已描述了生物认证系统10的服务登记方法。如上文所述,通过生物认证系统10,在登记一般服务时,系统服务的激活变得有必要。因此,可以防止恶意第三方将未授权的数据登记在安全设备14中。再者,在向安全设备14提供一般服务的服务数据时,服务数据被打包为服务登记终端和生物认证设备不能够解密的格式。因此,可以防止服务数据内容被泄漏到其他服务提供商和恶意第三方。
<4:服务激活>
接着,将描述一般服务的激活处理。如上文所述,在登记一般服务时执行系统服务的激活处理。另一方面,执行一般服务的激活处理以将一般服务置于可用状态。就是说,下面将描述的一般服务的激活处理是在例如激活生物认证服务时执行的,该生物认证服务是在接受一般服务时执行的。然而,应当注意,在改变或删除一般服务时也执行一般服务的激活处理。这将在后面描述。
<4-1:PC的功能配置(服务激活功能部分)>
首先,将参照图6描述PC 12的功能配置中的用于提供服务激活功能的结构元件。图6是示出PC 12的功能配置的示例的说明性示图。
如图6中所示,PC 12包括用于安全设备的通信单元102、用于网络的通信单元106、一般服务退化密钥获取单元112和一般服务状态控制单元114,作为用于提供服务激活功能的主要结构元件。此外,用于安全设备的通信单元102、一般服务退化密钥获取单元112和一般服务状态控制单元114是相互认证单元的示例。
一般服务退化密钥获取单元112是用于从服务数据管理系统24获取用于在激活一般服务时执行与安全设备14的相互认证的一般服务认证退化密钥的部件。一般服务认证退化密钥是基于一般服务的服务数据中包括的服务认证密钥而生成的(在下文中,服务认证密钥和服务数据被分别称为“一般服务认证密钥”和“一般服务数据”)。
这里,一般服务认证退化密钥由管理服务提供权威的服务管理权威(服务数据管理系统24)生成或者由服务管理权威批准许可的安全设备14生成。例如,基于一般服务认证密钥(Kauth sc)和一般服务认证退化密钥函数d1,通过下面示出的式(4)来生成对应于一般服务的服务ID(sc)的一般服务认证退化密钥(Kdege sc)。一般服务认证退化密钥函数d1是在服务管理权威批准许可之后提供的。
[等式3]
Kdege sc=d1(Kauth sc) ...(4)
一般服务退化密钥获取单元112经由用于网络的通信单元106获取上文描述的一般服务认证退化密钥。一般服务退化密钥获取单元112获取的一般服务认证退化密钥被输入到一般服务状态控制单元114。一般服务状态控制单元114是用于经由用于安全设备的通信单元102与安全设备14通信以及用于执行相互认证和会话建立的部件。
当一般服务认证退化密钥被输入时,一般服务状态控制单元114尝试经由用于安全设备的通信单元102进行与安全设备14的相互认证。当相互认证成功时,一般服务状态控制单元114建立会话,并且将指示相互认证成功的通知信息(在下文中将被称为认证完成通知)输入到已加密模板获取单元116。其中一般服务认证退化密钥的相互认证已成功并且会话被建立的这种状态将被称为其中一般服务被激活的状态。
此外,当一般服务被激活时,一般服务状态控制单元114从安全设备14获取对应于一般服务的模板加密密钥。随后,一般服务状态控制单元114获取的模板加密密钥被输入到模板解密单元118。在使用一般服务时使用该模板加密密钥并且提供生物认证服务。然而,在一般服务改变处理或者一般服务删除处理时执行的一般服务的激活处理中,认证完成通知不被输入到已加密模板获取单元116,也不获取模板加密密钥。
PC 12以这种方式通过使用一般服务认证退化密钥来执行与安全设备14的相互认证并且建立会话,并且获取模板加密密钥或者访问安全设备14的非易失性存储器204。通过以这种方式执行PC 12和安全设备14之间的相互认证,可以防止恶意第三方对模板加密密钥的未授权的获取或者对非易失性存储器204的未授权的访问。
<4-2:安全设备的功能配置(服务激活功能部分)>
接着,将参照图7描述安全设备14的功能配置中的用于提供服务激活功能的结构元件。图7是示出安全设备14的功能配置的示例的说明性示图。
如图7中所示,安全设备14包括作为用于提供服务激活功能的主要结构元件的通信单元202、非易失性存储器204、一般服务退化密钥生成单元212、和一般服务状态控制单元214。此外,一般服务退化密钥生成单元212和一般服务状态控制单元214是相互认证单元的示例。再者,一般服务退化密钥生成单元212是退化密钥生成单元的示例。此外,一般服务数据被假设存储在非易失性存储器204中。
当一般服务的激活处理开始时,要被激活的一般服务的服务代码被从PC 12输入到安全设备14。该服务代码经由通信单元202被输入到一般服务退化密钥生成单元212。一般服务退化密钥生成单元212基于输入的服务代码从非易失性存储器204获取一般服务数据中包括的一般服务认证密钥。随后,一般服务退化密钥生成单元212从一般服务认证密钥生成一般服务认证退化密钥。一般服务认证退化密钥是基于上文提及的式(4)生成的。这里假设服务管理权威已经提供了一般服务认证退化密钥函数d1。
一般服务退化密钥生成单元212生成的一般服务认证退化密钥被输入到一般服务状态控制单元214。一般服务状态控制单元214是用于执行与PC 12的相互认证以激活一般服务以及用于建立会话的部件。当一般服务认证退化密钥被输入时,一般服务状态控制单元214通过使用所输入的一般服务认证退化密钥来执行与PC 12的相互认证,并且在认证成功的情况中,经由通信单元202建立会话。
在使用一般服务时执行激活处理的情况中,一般服务状态控制单元214从非易失性存储器204获取模板加密密钥,并且将其存储在可以由PC12读取的易失性存储器216中。随后,在从PC 12接收到对模板加密密钥的获取请求的情况中,存储在易失性存储器216中的模板加密密钥被读出并且经由通信单元202被提供给PC 12。另一方面,在改变或删除一般服务时执行激活处理的情况中,一般服务状态控制单元214不执行将模板加密密钥存储在易失性存储器216中的处理。
通过这种方式,安全设备14通过使用一般服务认证退化密钥执行与PC 12的相互认证并且建立会话,并且随后提供模板加密密钥或者接受对非易失性存储器204的访问。通过以这种方式执行PC 12和安全设备14之间的相互认证,可以防止恶意第三方对模板加密密钥的未授权的获取或者对非易失性存储器204的未授权的访问。
<4-3:服务数据管理系统的功能配置(服务激活功能部分)>
接着,将参照图8描述服务数据管理系统24的功能配置中的用于提供服务激活功能的结构元件。图8是示出服务数据管理系统24的功能配置的示例的说明性示图。
如图8中所示,服务数据管理系统24包括作为用于提供服务激活功能的主要结构元件的通信单元302、存储单元304、和一般服务退化密钥生成单元312。系统服务和一般服务的服务数据被存储在存储单元304中。
当一般服务的激活处理开始时,从PC 12输入一般服务的服务代码。经由通信单元302将该服务代码输入到一般服务退化密钥生成单元312。一般服务退化密钥生成单元312基于所输入的服务代码从存储单元304中存储的一般服务数据获取一般服务认证密钥,并且基于上文提及的式(4)生成一般服务认证退化密钥。随后,经由通信单元302将一般服务退化密钥生成单元312生成的一般服务认证退化密钥提供给PC 12。
<4-4:服务激活处理的流程>
接着,将参照图14描述一般服务的激活处理的流程。图14是示出一般服务的激活处理的流程的说明性示图。另外,在图14中,PC 12被称为服务登记终端。
如图14中所示,当一般服务的激活处理开始时,选择所期望的服务,并且PC 12获取对应于所选择的一般服务的一般服务认证退化密钥(S142)。随后,PC 12向安全设备14提供所选择的服务的服务代码(S144)。随后,安全设备14搜索非易失性存储器204以寻找对应于所提供的服务代码的一般服务的服务数据,并且获取一般服务认证密钥(S146)。随后,安全设备14基于上文提及的式(4)从所获取的一般服务认证密钥生成一般服务认证退化密钥(S148;参照图20)。
接着,PC 12和安全设备14通过使用各自已准备好的一般服务认证退化密钥(参照图19)执行相互认证(S150、S152)。在相互认证成功的情况中,它们前往步骤S154的处理,建立PC 12和安全设备14之间的会话(S154),并且激活一般服务。另一方面,在相互认证失败的情况中,输出错误并且结束与一般服务激活相关的系列处理。通过这种方式执行一般服务的激活处理。
图14中示出的一般服务的激活处理可以被总结为图15中示出的简单的示意图。图15是示意性地示出存储在安全设备14的非易失性存储器204中的服务数据的内容的说明性示图。如图15中所示,包括系统服务数据的多个服务数据片段被存储在非易失性存储器204中。当一般服务的激活处理开始时,安全设备14利用所输入的服务代码,例如sc2作为搜索密钥来搜索一般服务数据。当检测到服务代码sc2的服务数据时,安全设备14提取服务数据中包括的访问认证密钥信息Iauth sc2。
访问认证密钥信息Iauth sc2中包括一般服务认证密钥Kauth sc2和加密方案tauth sc2。安全设备14首先通过使用一般服务认证密钥Kauth sc2来生成一般服务认证退化密钥Kdege sc2。一般服务认证退化密钥Kdege sc2的生成方法如上文提及的式(4)中所示。当一般服务认证退化密钥Kdege sc2被生成时,安全设备14通过使用所生成的一般服务认证退化密钥Kdege sc2并且根据加密方案tauth sc2执行与PC 12的相互认证。随后,当相互认证成立时,可以建立PC 12和安全设备14之间的会话(可以激活一般服务)。
如此,通过图14和15中示出的方法可以激活一般服务。这里,根据图14和15中示出的激活处理,通过一个处理激活了一个服务。然而,当使大量的服务可用时,针对每个服务执行图14和15中示出的处理是过于麻烦的。因此,期望一种同时激活多个服务的方法。还期望在存在多个不同版本的服务的情况中同时激活服务。因此,还将给出关于同时激活多个服务(在下文中将被称为组合激活)的方法的说明。
<4-5:多个服务的同时激活>
这里将描述同时激活多个服务的方法。此外,在组合激活时,改变一般服务认证退化密钥的生成方法。因此,改变安全设备14的一般服务退化密钥生成单元212和服务数据管理系统24的一般服务退化密钥生成单元312的功能。首先,将描述改变的细节。
基于上文提及的式(4),通过向一般服务认证退化密钥函数d1输入一般服务认证密钥,获得了与单个服务相关的一般服务认证退化密钥。然而,在同时激活多个服务的情况中,使用下式(5)和(6)中示出的用于服务合成的退化密钥函数d2和复合服务认证退化密钥函数d3(参照图20)。同样,通过下式(6)获得的复合服务认证退化密钥用于PC 12和安全设备14之间执行的相互认证。
例如,将考虑从对应于服务代码sc1和sc2的一般服务认证密钥Kauth sc1和Kauth sc2生成复合服务认证退化密钥Kdege sc1,sc2的方法。这里,假设存在对应于服务代码sc1和sc2的服务之间的主次关系,并且具有服务代码sc1的服务是主要的,而具有服务代码sc2的服务是次要的。
首先,对应于主要服务的一般服务认证密钥Kauth sc1被输入到服务认证退化密钥函数d1,并且如上文提及的式(4)中所示生成服务认证退化密钥Kdege sc1。随后,对应于次要服务的一般服务认证密钥Kauth sc2被输入到用于服务合成的退化密钥函数d2,并且如下式(5)中所示生成用于服务合成的退化密钥Kcomp sc2。随后,将对应于主要服务的服务认证退化密钥Kdege sc1和对应于次要服务的用于服务合成的退化密钥Kcomp sc2输入到复合服务认证退化密钥函数d3,并且如下式(6)中所示生成复合服务认证退化密钥Kdege sc1,sc2。
[等式4]
Kcomp sc2=d2(Kauth sc2) ...(5)
Kdege sc1,sc2=d3(Kdege sc1,Kcomp sc2) ...(6)
这里,用于服务合成的退化密钥和复合服务认证退化密钥由管理服务提供权限的服务管理权威(服务数据管理系统24)生成或者由服务管理权威批准许可的安全设备14生成。此外,系统被配置为,使得提供次要服务的提供商承担生成用于服务合成的退化密钥的任务,而提供主要服务的提供商承担生成复合服务认证退化密钥的任务。
此时,次要服务的提供商仅向主要服务的提供商提供用于服务合成的退化密钥,不提供关于与次要服务相关的一般服务认证密钥的信息。该机制使得能够在其中服务提供商彼此不了解服务认证密钥的状态中生成复合服务认证密钥。然而,作为前提,将提供如下机制,根据该机制,不能从用于服务合成的退化密钥反向计算原始一般服务认证密钥。
到此为止,已描述了用于组合激活处理的复合服务认证退化密钥的生成方法。在提供组合激活的功能的情况中,基于上文提及的式(5)和(6)生成复合服务认证退化密钥的功能被添加到安全设备14的一般服务退化密钥生成单元212和服务数据管理系统24的一般服务退化密钥生成单元312。
(4-5-1:不同服务的同时激活)
接着,将参照图16描述通过使用上文描述的复合服务认证退化密钥执行组合激活时的处理的流程。图16是示出组合激活处理的流程的说明性示图。此外,在图16中,PC 12被称为服务登记终端。
如图16中所示,当一般服务的组合激活处理开始时,在PC 12处选择要被激活的多个服务(S162)。随后,PC 12获取关于所选择的一般服务的复合服务认证退化密钥(S164)。随后,PC 12向安全设备14提供所选择的服务的服务代码(S166)。随后,安全设备14在非易失性存储器204内搜索对应于已提供的服务代码的一般服务的服务数据片段,并且获取一般服务认证密钥(S168)。随后,安全设备14基于上文提及的式(4)和(5)从所获取的一般服务认证密钥生成一般服务认证退化密钥和用于服务合成的退化密钥(S170;参照图20)。
随后,安全设备14基于上文提及的式(6),通过使用一般服务认证退化密钥和用于服务合成的退化密钥生成复合服务认证退化密钥(S172)。随后,PC 12和安全设备14通过使用各自已准备好的复合服务认证退化密钥(参照图19)执行相互认证(S174、S176)。在相互认证成功的情况中,它们前往步骤S178的处理,建立PC 12和安全设备14之间的会话(S178),并且同时激活所选择的多个一般服务。另一方面,在相互认证失败的情况中,输出错误并且结束与服务的组合激活相关的系列处理。通过这种方式执行服务的组合激活处理。
图16中示出的服务的组合激活处理可以被总结为图17中示出的简单的示意图。图17是示意性地示出存储在安全设备14的非易失性存储器204中的服务数据的内容的说明性示图。如图17中所示,包括系统服务数据的多个服务数据片段被存储在非易失性存储器204中。当服务的组合激活处理开始时,安全设备14利用例如已输入的服务代码sc1和sc2作为搜索密钥来搜索一般服务数据。
这里,假设具有服务代码sc1的服务是主要的,而具有服务代码sc2的服务是次要的。当检测到服务代码sc1和sc2的服务数据时,安全设备14提取服务数据中包括的访问认证密钥信息Iauth sc1和Iauth sc2。访问认证密钥信息Iauth sc1中包括一般服务认证密钥Kauth sc1和加密方案tauth sc1。访问认证密钥信息Iauth sc2中包括一般服务认证密钥Kauth sc2和加密方案tauth sc2。
首先,安全设备14通过使用一般服务认证密钥Kauth sc1生成一般服务认证退化密钥Kdege sc1。一般服务认证退化密钥Kdege sc1的生成方法如上文提及的式(4)中所示。接着,安全设备14通过使用一般服务认证密钥Kauth sc2生成用于服务合成的退化密钥Kcomp sc2。用于服务合成的退化密钥Kcomp sc2的生成方法如上文提及的式(5)中所示。当一般服务认证退化密钥Kdege sc1和用于服务合成的退化密钥Kcomp sc2被生成时,安全设备14基于上文提及的式(6)生成复合服务认证退化密钥Kdege sc1,sc2。
随后,通过使用已生成的复合服务认证退化密钥Kdege sc1,sc2,安全设备14根据主要服务的加密方案tauth sc1来执行与PC 12的相互认证。随后,当相互认证成立时,可以建立PC 12和安全设备14之间的会话(服务的组合激活)。此时,对应于服务代码sc1和sc2的两个一般服务被同时激活,并且因此这两个一般服务被置于可用状态。例如,服务代码sc1的模板加密密钥和服务代码sc2的模板加密密钥被同时置于可用状态。此外,尽管这里描述了两个服务的组合激活方法,但是通过同一方式,三个或更多个服务的组合激活也是可能的(参照图19和20)。
(4-5-2:不同版本的同时激活)
已描述了同时激活多个服务的组合激活方法。该方法还可以用作同时激活具有同一服务ID但是具有不同版本的多个服务的方法。这里将参照图18描述关于多个版本的同时激活方法。
如上文已描述的,服务代码由服务ID和版本信息形成。据此,可以存在具有同一服务ID但是具有不同版本信息的服务数据片段。例如,假设对于服务代码sc1,服务ID是id1并且版本信息是v1,而对于服务代码sc2,服务ID是id1并且版本信息是v2。并且考虑其中服务代码sc1和sc2将被同时激活的情况。在该情况中,由于服务的内容是相同的,因此不存在服务数据片段之间的主次关系。据此,根据特定的规则,一个被设定为主要的而另一个被设定为次要的,并且按照与上文描述的组合激活方法相同的方式生成复合服务认证退化密钥。
例如,具有服务代码sc1的服务(版本信息=v1)被设定为主要的,而具有服务代码sc2的服务(版本信息=v2)被设定为次要的。在该情况中,基于上文提及的式(4)从一般服务认证密钥Kauth sc1生成一般服务认证退化密钥Kdege sc1,并且基于上文提及的式(5)从一般服务认证密钥Kauth sc2生成用于服务合成的退化密钥Kcomp sc2。随后,从一般服务认证密钥Kauth sc1和用于服务合成的退化密钥Kcomp sc2生成复合服务认证退化密钥Kdege sc1, sc2。随后,根据服务代码sc1的加密方案tauth sc1来执行相互认证。
如所描述的,可以同时激活具有同一服务ID和不同版本的多个服务。此外,这里已描述了同时激活两个具有不同版本的服务的方法,但是通过同一方式,也可以同时激活三个或更多个具有不同版本的服务(参照图19和20)。
<5.生物认证>
到此为止,已描述了在使用一般服务时使用的一般服务数据的登记方法以及一般服务的激活方法。再者,其中已描述了系统服务的激活方法和系统服务的任务。在下文中,描述在其中一般服务被激活的状态中执行的生物认证服务提供方法。
<5-1:PC的功能配置(生物认证功能部分)>
首先,将参照图6描述PC 12的功能配置中的与生物认证服务提供功能相关的结构元件。图6是示出PC 12的功能配置的示例的说明性示图。
如图6中所示,PC 12包括作为与生物认证服务提供功能相关的主要结构元件的用于安全设备的通信单元102、用于网络的通信单元106、一般服务退化密钥获取单元112、一般服务状态控制单元114、已加密模板获取单元116、模板解密单元118、模板检查单元120和生物图案获取单元122。再者,PC 12进一步包括服务提供单元124,用于在生物认证成功的情况中提供特定服务。服务提供单元124用于提供例如万维网服务等。此外,生物图案获取单元122是生物信息获取单元的示例。再者,模板检查单元120是生物认证单元的示例。
在生物认证系统10中,提供用于每个服务的已加密模板。据此,使用者必须通过使用生物认证来选择将使其可用的一般服务。首先,PC 12经由用于安全设备的通信单元102向使用者呈现关于登记在安全设备14中的一般服务的信息。使用者通过参照所呈现的关于一般服务的信息来选择所期望的服务。然而,如果PC 12可以激活的服务是固定的,则自动选择服务。当服务被选择时,PC 12激活该服务。一般服务的激活方法如上文所述。
当一般服务的激活处理完成时,将认证完成通知从一般服务状态控制单元114输入到已加密模板获取单元116。当认证完成通知被输入时,已加密模板获取单元116经由用于网络的通信单元106向连接到网络30的模板管理系统26传送服务代码,并且获取对应于该服务代码的已加密模板。已加密模板获取单元116获取的已加密模板被输入到模板解密单元118。
此外,经由用于安全设备的通信单元102从安全设备14获取模板加密密钥,并且将其输入到一般服务状态控制单元114。随后,输入到一般服务状态控制单元114的模板加密密钥被输入到模板解密单元118。模板解密单元118通过使用从一般服务状态控制单元114输入的模板加密密钥从已加密模板获取单元116输入的已加密模板解密原始模板。随后,已由模板解密单元118解密的模板被输入到模板检查单元120。
此外,要对比模板进行检查的使用者的生物图案信息被从生物图案获取单元122输入到模板检查单元120。生物图案获取单元122主要包括成像单元和图像处理单元。生物图案获取单元122通过使用成像单元拍摄特定身体部位的图像并且使用图像处理单元对所拍摄的图像数据执行特定的图像处理,生成可以与模板比较的生物图案信息。例如,使用者的手指的静脉图案由生物图案获取单元122拍摄并且对所摄取的数据执行二值化和特定的转换处理,并且生成生物图案信息。此外,还可以在图像处理单元处执行特定的压缩编码处理。
当已解密模板和生物图案信息被输入时,模板检查单元120彼此对比地检查模板和生物图案信息,并且判定它们是否彼此匹配达到某个水平或更高。在它们的匹配程度在某个水平以上的情况中,模板检查单元120判定生物认证成功,并且向服务提供单元124输入指示生物认证成功的生物认证结果。当生物认证结果被输入时,服务提供单元124开始提供使用者所期望的服务。另一方面,在它们的匹配程度低于某个水平的情况中,模板检查单元120在已判定生物认证失败的情况下输出错误。
如上文所述,在生物认证系统10中,针对每个服务管理已加密模板。并且除非使用者希望使用的服务被激活,否则不能使用该服务。再者,为了激活服务,必须建立与安全设备14的相互认证。根据该配置,即使某个服务的模板加密密钥被暴露,仍不会影响其他服务。此外,利用适当管理的模板加密密钥,不需要在防篡改设备中管理已加密模板本身,使得例如可以将已加密模板存储在网络上的服务器中或者由个人持有的电子设备中。
<5-2:生物认证设备的功能配置>
现在,上述PC 12是包括服务登记终端的功能和生物认证设备的功能的设备。然而,并非所有生物认证设备必须配备有服务登记终端的功能。例如,图2中所示的影印机16、进入/退出管理设备18、自动贩卖机20等可以仅配备有提供生物认证服务的功能。在该情况中,影印机16、进入/退出管理设备18、自动贩卖机20等中装备的生物认证设备的功能配置如图21中所示。在下文中,将参照图21描述影印机16、进入/退出管理设备18、自动贩卖机20等中装备的生物认证设备的功能配置。
如图21中所示,根据本实施例的生物认证设备主要包括用于安全设备的通信单元402、一般服务状态控制单元404、一般服务退化密钥获取单元406、用于网络的通信单元408、已加密模板获取单元410、模板解密单元412、模板检查单元414、生物图案获取单元416和服务提供单元418。服务提供单元418用于提供影印服务、进入/退出管理服务、自动贩卖服务等。此外,生物图案获取单元416是生物信息获取单元的示例。再者,模板检查单元414是生物认证单元的示例。
当生物认证服务开始时,一般服务退化密钥获取单元406首先经由用于网络的通信单元408从服务数据管理系统24获取一般服务认证退化密钥。随后,一般服务退化密钥获取单元406获取的一般服务认证退化密钥被输入到一般服务状态控制单元404。此外,当通过生物认证设备可以使用的服务的数目被设定为1时,服务的服务代码被自动地从用于网络的通信单元408传送到服务数据管理系统24,并且对应于该服务代码的一般服务认证退化密钥被获取。此外,服务代码还经由用于安全设备的通信单元402被输入到安全设备14。
当一般服务认证退化密钥被输入时,一般服务状态控制单元404尝试通过使用已输入的一般服务认证退化密钥进行与安全设备14的相互认证。当相互认证失败时,一般服务状态控制单元404输出错误。例如,在生物认证设备提供给安全设备14的服务的服务数据未被登记或者未授权的情况中,相互认证失败。另一方面,当相互认证成功时,一般服务状态控制单元404经由用于安全设备的通信单元402建立与安全设备14的会话。进一步,由于对应于服务的模板加密密钥在安全设备14处变得可用,因此一般服务状态控制单元404从安全设备14获取模板加密密钥。
随后,一般服务状态控制单元404向已加密模板获取单元410输入指示相互认证的成立的认证完成通知,并且还向模板解密单元412输入从安全设备14获取的模板加密密钥。当认证完成通知被输入时,已加密模板获取单元410经由用于网络的通信单元408从模板管理系统26获取已加密模板。随后,已加密模板获取单元410获取的已加密模板被输入到模板解密单元412。当模板加密密钥和已加密模板被输入时,模板解密单元412使用所输入的模板加密密钥,并且从所输入的已加密模板解密原始模板。
已由模板解密单元412解密的模板被输入到模板检查单元414。另一方面,在生物图案获取单元416处从使用者的特定身体部位获取生物图案信息。生物图案获取单元416获取的生物图案信息被输入到模板检查单元414。当以这种方式输入模板和生物图案信息时,模板检查单元414彼此对比地检查所输入的模板和生物图案信息,并且判定它们是否彼此匹配达到某个水平或更高。
在它们的匹配程度在某个水平以上的情况中,模板检查单元414判定生物认证成功,并且向服务提供单元418输入指示生物认证成功的生物认证结果。当生物认证结果被输入时,服务提供单元418开始提供特定的服务。另一方面,在它们的匹配程度落在某个水平以下的情况中,模板检查单元414输出错误,生物认证已被判定为失败。如描述的,不同于上文描述的PC 12,生物认证设备是仅提供生物认证服务的设备。然而,生物认证服务提供功能与PC 12的生物认证服务提供功能相同。
<5-3:模板管理系统的功能配置(生物认证功能部分)>
这里,将参照图22描述模板管理系统26的功能配置。图22是示出模板管理系统26的主要功能配置的说明性示图。模板管理系统26是用于管理已加密模板的部件。出于该目的,如图22中所示,模板管理系统26主要包括通信单元502、模板加密单元504和已加密模板存储单元506。
通信单元502是用于经由网络30通信的部件。在生物认证系统10中,通信单元502主要用于向每个生物认证设备提供已加密模板。模板加密单元504是用于对已通过使用模板登记终端28登记的模板进行加密的部件。在模板加密单元504处使用的模板加密密钥由服务数据管理系统24(参照图2)提供。此时,用于每个服务的模板加密密钥被提供给模板加密单元504。
当从模板登记终端28输入模板时,例如,模板加密单元504利用用于每个服务的模板加密密钥对输入模板进行加密,并且创建对应于每个服务的已加密模板。当然,还可以对用于每个服务的登记模板进行加密,但是随着服务数目的增加,该操作会增加使用者登记模板的负担。因此,更高效的是,如上文所述通过使用一次输入的模板来创建用于每个服务的加密模板。以这种方式由模板加密单元504创建的已加密模板被存储在已加密模板存储单元506中。
此外,已加密模板存储单元506不必是防篡改的。如所描述的,在生物认证系统10中,除非单独的服务被激活,否则不能使用模板加密密钥。因此,即使包服务数据或已加密模板暴露于恶意第三方,仍不能从已加密模板解密原始模板。因此,不同于如图1中示出的一般的生物认证设备,利用根据本实施例的生物认证系统10,已加密模板不必存储在防篡改存储器中。
现在,在提供生物认证服务时,经由通信单元502将存储在已加密模板存储单元506中的已加密模板提供给生物认证设备。如已描述的,通过使用用于每个服务的模板加密密钥已被加密的已加密模板被保存在模板管理系统26中。再者,在提供生物认证服务时,模板管理系统26将其中保存的已加密模板提供给生物认证设备。通过该配置,免去了使用者去往为各个服务提供的生物认证设备的安装位置以登记模板的麻烦。
<5-4:生物认证处理的流程>
这里,将参照图23描述生物认证系统10的生物认证处理的流程。图23是示出生物认证系统10的生物认证处理的流程的说明性示图。
如图23中所示,当开始提供生物认证服务时,尝试生物认证设备和安全设备14之间的服务的激活处理(S182、S184)。当服务的激活处理成功时,它们前往步骤S186的处理,执行已加密模板的解密(S186)。此时,生物认证设备从模板管理系统26获取已加密模板,并且还从安全设备14获取模板加密密钥,并且随后从已加密模板解密原始模板。当模板被解密并且从使用者的身体部位获取了生物图案信息时,由生物认证设备彼此对比地检查模板和生物图案信息(S188、S190)。
在生物认证成功的情况中,它们前往步骤S192的处理,由生物认证设备执行服务失活处理(S192),并且结束生物认证系列处理。另一方面,在生物认证失败的情况中,生物认证设备输出错误并且结束生物认证系列处理。此外,当执行服务失活处理时,取消生物认证设备和安全设备14之间的会话,再者,禁止对应于服务的已加密模板的解密。例如,擦除存储在安全设备14的易失性存储器216中的模板加密密钥。此外,在安全设备14的供电停止的情况中也使服务失活。
到此为止,已描述了与提供生物认证服务相关的系列处理的流程。
<6:服务的改变/删除>
接着,将描述存储在安全设备14的非易失性存储器204中的一般服务的改变处理和删除处理。
<6-1:服务改变处理的流程>
首先,将参照图24和25描述一般服务改变处理。图24是示出与一般服务的改变相关的处理的概要的说明性示图。再者,图25是示出与一般服务的改变相关的处理的流程的说明性示图。
一般服务改变处理包括获取新的服务数据的步骤和将新的服务数据写入非易失性存储器204中的步骤。首先,由服务数据管理系统24准备新的服务数据(Ssc new)。如同上文描述的服务数据登记处理,新的服务数据由服务数据管理系统24打包,并且以包服务数据(Psc new)的形式被提供给安全设备14。此时,用于服务改变的打包函数(p2;参照图20)用于对新的服务数据进行打包。
当包服务数据被提供时,在安全设备14处从包服务数据解密新的服务数据Ssc new。随后,提取已被解密的新的服务数据中包括的服务ID,并且在非易失性存储器204内搜索具有与上述服务ID相同的服务ID的服务数据。当在非易失性存储器204内检测到具有同一服务ID的旧的服务数据时,安全设备14比较新的服务数据的版本信息和旧的服务数据的版本信息。当作为比较结果确认新的服务数据的版本较新时,安全设备14将新的服务数据存储在非易失性存储器204中。
新的服务数据以这种方式被存储在安全设备14的非易失性存储器204中。然而,如同服务数据登记处理,在获取包服务数据时执行服务激活处理。再者,在将新的服务数据存储在非易失性存储器204中之后,使服务失活。接着,将描述包括该服务激活/失活处理的服务数据改变处理的流程。
将参照图25。首先,当服务改变处理开始时,执行服务激活处理(S202、S204)。这里,类似登记服务的时候,通过图14中所示的方法激活服务。在服务激活失败的情况中,PC 12输出错误并且结束服务改变处理。在服务激活成功的情况中,它们前往步骤S206的处理,新的包服务数据由PC 12获取并且被提供给安全设备14(S206)。接着,安全设备14从新获取的包服务数据解密新的服务数据(S208)。
随后,安全设备14参照已被解密的新的服务数据的服务ID,在非易失性存储器204内搜索具有同一服务ID的服务数据,并且检查旧的服务数据的存在(S210、S212)。在不存在旧的服务数据的情况中,不执行服务数据的更新。然而,替代被更新,服务数据可以是新登记的,并且系列处理可以被组织以便结束于将所获取的服务数据写入非易失性存储器204。另一方面,在存在旧的服务数据的情况中,安全设备14将新的服务数据的版本(Vernew)与旧的服务数据的版本(Verold)比较(S214、S216)。
在Vernew>Verold的情况中,安全设备14前往步骤S218的处理,将新的服务数据写入到非易失性存储器204中(S218)。另一方面,在Vernew≤Verold的情况中,安全设备14不将新的服务数据写入到非易失性存储器204中,并且结束服务数据更新处理。当步骤S218的处理完成时,PC 12和安全设备14之间的会话被取消,并且使服务失活(S220)。随后,结束与服务改变相关的系列处理。
到此为止,已描述了一般服务的改变处理。
(系统服务的改变)
对于系统服务的改变处理,执行基本上相同的处理。一般服务和系统服务之间的最大差异在于系统服务不允许多个版本的存在。因此,在更新系统服务的情况中,在写入新的系统服务数据之后擦除旧的系统服务数据。如果在新的系统数据已被写入但是旧的系统服务数据仍未被擦除的情形中出现关机等,则可以临时出现其中存在多个系统服务的情形。因此,在其中在复原系统时在非易失性存储器204内存在多个系统服务数据片段的情况中,执行如下处理:在保持最新版本的系统服务数据的同时立刻擦除旧的服务数据。此外,在改变系统服务时使用的用于系统服务改变的打包函数(p0;参照图13)用于打包时使用的打包函数。
<6-2:服务删除处理的流程>
接着,将参照图26描述服务数据删除处理。图26是示出与服务数据的删除相关的处理的流程的说明性示图。
如图26中所示,当服务数据删除处理开始时,激活作为删除目标的服务(S222、S224)。当服务激活失败时,输出错误并且结束与服务数据的删除相关的系列处理。另一方面,当服务激活成功时,处理前往步骤S226,安全设备14删除存储在非易失性存储器204中的删除目标服务数据(S226)。当服务数据删除处理完成时,使在步骤S222中已激活的服务失活(S228),并且结束与服务删除相关的系列处理。
到此为止,已描述了一般服务数据删除处理。此外,不允许删除系统服务数据。
<7:模板登记>
到此为止,已经针对已加密模板被登记在模板管理系统26中的假设进行了描述。这里,将简要地描述模板登记处理。
<7-1:模板登记终端的功能配置>
首先,将参照图27描述模板登记终端28的功能配置。图27是示出模板登记终端28的功能配置的示例的说明性示图。
如图27中所示,模板登记终端28主要包括生物图案获取单元602和通信单元604。此外,生物图案获取单元602包括成像单元612和图像处理单元614。
生物图案获取单元602是用于从使用者的身体部位获取生物图案以及用于创建模板的部件。再者,成像单元612是用于拍摄特定身体部位的图像以及用于获取生物图案的图像数据的部件。例如,成像单元612在特定身体部位上照射近红外光,并且接收已在身体内反射的照射光的反射光。此外,成像单元612对其内提供的图像传感器所接收到的反射光进行光电转换,并且生成所拍摄的图像的模拟信号。随后,成像单元612将该模拟信号转换为数字信号,并且输出生物图案的图像数据。如该示例描述的,通过使用近红外光,可以检测身体内的静脉图案,并且成像单元612可以获得静脉图案的图像数据。
从成像单元612输出的生物图案的图像数据被输入到图像处理单元614。在图像处理单元614处对图像数据执行特定的图像处理。例如,在输入具有色调或色阶的图像数据的情况中,对图像数据执行二值化处理。此外,对通过二值化处理获得的二值化图像数据执行诸如空间变换的处理,从而使图像数据具有允许容易地与模板比较的形式。例如,在静脉图案被用作生物图案的情况中,二值化图像数据被转换为投影到哈夫(Hough)空间中的模板数据。例如,由于静脉图案是各向异性的,因此通过使用投影到Hough空间中的数据可以改进图案的匹配精度。
如所描述的,根据所使用的生物图案的类型执行适当的转换处理,并且输出图像数据作为模板数据。从图像处理单元614输出的模板数据经由通信单元604被输入到模板管理系统26。存储被输入到模板管理系统26的模板数据,如上文所述针对每个服务对其进行了加密。据此,一旦执行利用模板管理系统26的登记,使用者能够在不必去往每个生物认证设备的安装位置以及不必登记模板的情况下接受所期望的生物认证。
<7-2:模板登记处理的流程>
根据上文描述的模板登记方法,在服务器(服务数据管理系统24、模板管理系统26)处创建用于每个服务的已加密模板。该配置的优点在于使用者不必知道服务。就是说,由于用于每个服务的已加密模板是针对服务数据管理系统24所管理的服务自动创建的,因此使用者此时不必考虑未来将使用的服务。
然而,如图28中所示,如下配置也是可能的,根据该配置,可以仅登记用于安全设备14中已登记的服务的已加密模板。因此,将参照图28描述关于如下情况的模板登记方法,其中仅允许登记用于安全设备14中已登记的服务的已加密模板。然而,为了执行该方法,需要可以通过其执行服务激活/失活处理的终端。例如,使用配备有PC 12的部分功能的模板登记终端28,该部分功能被提供用于执行服务激活/失活处理。
如图28中所示,当开始模板登记处理时,使用者首先激活对应于将被登记的模板的服务(S232、S234)。服务的激活由图14中示出的方法执行。在服务激活失败的情况中,输出错误并且结束模板登记处理。另一方面,在服务激活成功的情况中,处理前往步骤S236,创建模板(T)(S236)。接着,通过服务数据中包括的模板加密密钥信息对步骤S236中创建的模板进行加密,并且创建已加密模板(Tenc)(S238)。接着,在输出已加密模板Tenc(S240)之后,使服务失活(S242),并且结束与模板登记相关的系列处理。以这种方式可以登记已加密模板。此外,在图3中图示的生物认证系统50中,模板登记终端的功能是在PC 52中提供的,并且因此图28中示出的模板登记方法是适当的。
<8:模板加密密钥的交换>
接着,将参照图29描述模板加密密钥的交换处理。在执行服务更新处理的情况中,对应于服务的模板加密密钥有时也可能被更新。在该情况中,如果旧版本的服务仍然存在,则利用旧版本的模板加密密钥解密的模板可以被解密,但是如果旧版本的服务不再存在,则解密是不可能的。因此,将参照图29具体描述当更新模板加密密钥时执行的模板加密密钥的重锁(relocking)处理(交换处理)。
如图29中所示,首先,旧的服务scold和新的服务scnew均被激活(S252、S254)。在两个服务的激活均失败的情况中,输出错误并且结束与模板加密密钥的交换相关的系列处理。另一方面,在两个服务的激活均成功的情况中,处理前往步骤S256。在步骤S256中,基于旧的服务数据中包括的模板加密密钥信息对模板(T)进行解密(S256)。随后,通过使用新的服务数据中包括的模板加密密钥信息对已被解密的模板T进行加密(S258)。随后,输出利用新的模板加密密钥信息进行加密的模板(S260)。随后,使服务失活(S262),并且结束与模板加密密钥的交换相关的系列处理。由于已加密模板交换为新的已加密模板,因此可以删除旧的模板加密密钥信息。
此外,上述处理可以在保存多个已加密模板的模板管理系统26(和服务数据管理系统24)处被批量处理。此外,在使用已加密模板执行生物认证时,利用旧的服务的模板加密密钥进行加密的模板可以可选地在生物认证成功时被重新加密并且输出。
到此为止,已详细描述了根据本实施例的已加密模板和模板加密密钥的管理方法。通过使用这些方法,在生物认证设备外部管理模板,并且提供了安全的和高度便利的生物认证服务。最后,将描述用于实现生物认证系统10和50中包括的各个设备的功能以及系统的功能的硬件配置的示例。
<9:硬件配置>
例如通过使用图30中示出的信息处理装置的硬件配置,可以实现上述生物认证系统10和50中包括的每个设备的功能以及系统的功能。就是说,通过使用计算机程序控制图30中示出的硬件来实现功能。该硬件的模式是任意的,并且可以是个人计算机,诸如移动电话、PHS或PDA的移动信息终端,游戏机,或者各种类型的信息电器。而且,PHS是个人手持式电话系统的缩写。再者,PDA是个人数字助理的缩写。
如图30中所示,该硬件主要包括CPU 902、ROM 904、RAM 906、主机总线908和桥接器910。此外,该硬件包括外部总线912、接口914、输入单元916、输出单元918、存储单元920、驱动器922、连接端口924和通信单元926。而且,CPU是中央处理单元的缩写。再者,ROM是只读存储器的缩写。此外,RAM是随机存取存储器的缩写。
CPU 902用作例如算术处理单元或控制单元,并且基于ROM 904、RAM 906、存储单元920或可拆卸记录介质928上记录的各种程序来控制每个结构元件的整体操作或部分操作。ROM 904是用于存储例如,要加载在CPU 902上的程序或者算术运算中使用的数据等的部件。RAM 906临时地或永久地存储例如,要加载在CPU 902上的程序或者在程序执行时任意改变的各种参数等。
这些结构元件通过例如,能够执行高速数据传送的主机总线908彼此连接。一方面,例如,主机总线908通过桥接器910连接到数据传送速度相对低的外部总线912。此外,输入单元916是例如,鼠标、键盘、触摸板、按钮、开关或控制杆。再者,输入单元916可以是遥控器,其可以通过使用红外线或其他无线电波来传送控制信号。
输出单元918是例如,诸如CRT、LCD、PDP或ELD的显示设备,诸如扬声器或耳机的音频输出设备,打印机,移动电话或传真机,它们可以视觉地或听觉地向使用者通知所获取的信息。而且,CRT是阴极射线管的缩写。LCD是液晶显示器的缩写。PDP是等离子体显示板的缩写。再者,ELD是电致发光显示器的缩写。
存储单元920是用于存储各种数据的设备。存储单元920是例如,诸如硬盘驱动器(HDD)的磁存储设备、半导体存储设备、光存储设备或者磁-光存储设备。HDD是硬盘驱动器的缩写。
驱动器922是读取记录在诸如磁盘、光盘、磁-光盘或半导体存储器的可拆卸记录介质928上的信息,或者将信息写入可拆卸记录介质928的设备。可拆卸记录介质928是例如,DVD介质、蓝光(Blu-ray)介质、HD-DVD介质、各种类型的半导体存储介质等。当然,可拆卸记录介质928可以是例如,其上安装有非接触IC芯片的IC卡或者电子设备。IC是集成电路的缩写。
连接端口924是诸如USB端口、IEEE1394端口、SCSI、RS-232C端口的端口或者用于连接诸如光音频终端的外部连接设备930的端口。外部连接设备930是例如,打印机、移动音乐播放器、数字相机、数字视频相机或者IC记录器。而且,USB是通用串行总线的缩写。再者,SCSI是小型计算机系统接口的缩写。
通信单元926是要连接到网络932的通信设备,并且是例如,用于有线或无线LAN的通信卡、蓝牙(注册商标)或WUSB、光通信路由器、ADSL路由器、或者各种通信调制解调器。连接到通信单元926的网络932由有线连接的或无线连接的网络配置,并且是例如,互联网、家用LAN、红外通信、可见光通信、广播或卫星通信。而且,LAN是局域网的缩写。再者,WUSB是无线USB的缩写。此外,ADSL是非对称数字订户线路的缩写。
本领域的技术人员应当理解,在所附权利要求或其等同物的范围内,依赖于设计需要和其他因素,可以进行各种修改、组合、子组合和变更。