CN104685824A - 生物体参照信息登记系统、装置及程序 - Google Patents
生物体参照信息登记系统、装置及程序 Download PDFInfo
- Publication number
- CN104685824A CN104685824A CN201280076051.1A CN201280076051A CN104685824A CN 104685824 A CN104685824 A CN 104685824A CN 201280076051 A CN201280076051 A CN 201280076051A CN 104685824 A CN104685824 A CN 104685824A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- organism
- information
- unit
- cryptographic hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
Abstract
实施方式中,生物体参照信息储存装置从生物体参照信息证书生成装置接收提问信息。上述生物体参照信息储存装置基于从上述认证对象者采集到的生物体信息生成生物体参照信息。上述生物体参照信息储存装置将包含上述提问信息、上述生物体参照信息的哈希值及第一数字署名的生物体认证上下文,向上述生物体参照信息证书生成装置发送。上述生物体参照信息证书生成装置对上述提问信息进行验证。上述生物体参照信息证书生成装置基于第一公钥,对上述第一数字署名进行验证。上述生物体参照信息证书生成装置将生物体参照信息证书,向上述生物体参照信息储存装置发送。上述生物体参照信息储存装置将上述生物体参照信息及上述生物体参照信息证书写入储存单元。
Description
技术领域
本发明的实施方式涉及生物体参照信息登记系统、装置及程序。
背景技术
在实现经由网络的通信及服务时,对通信对象进行认证成为重要的技术要素。近年来,随着开放的网络环境的普及、分散的服务·资源的联合技术的发达,认证对象的范围从用户扩大到使用设备终端。
特别是,在认证对象者为个人的情况下,对个人是否为本人进行确认的技术当前受到注目。通常,在认证中执行认证时,对认证对象者严格地进行识别或者对照被列举为要件。此时,在认证对象者为个人的情况下,需要对个人是否为本人严格地进行确认的本人确认技术。
当前,作为实施本人确认的有希望的技术,能够列举生物统计学认证(生物体认证)技术。生物体认证为,用于将每个人所具有的固有的身体特征或者特性与预先登记的生物体信息(以下,称为生物体参照信息)进行对照来对是否为本人进行确认的技术。作为生物体信息,利用指纹、虹彩、视网膜、面部、声音、键击(keystroke)、签字等。
生物体认证与密码等现有的认证方法不同,利用无忘却、丢失这种担心的生物体信息,因此能够减少用户的负荷。生物体信息以难以复制为前提,作为防止用户的伪装等的对策是有效的。
此外,当前,以互联网为代表的开放网络普及,在电商交易等中作为隔着网络对通信对象进行认证的方法而利用生物体认证的动向变强。在身份证明等领域中也正在研究利用生物体认证来进行身份证书(简称身份证)的所有者的本人确认。
对于这种动向,作为经由网络进行生物体认证的技术,已知有使用面向生物体认证的认证上下文(context)来进行生物体认证的技术。具体地说,例如,在专利文献1中公开有一种技术,将与客户侧的生物体认证相关的过程内容,总结为面向生物体认证的认证上下文(生物体认证上下文)信息,向隔着网络的验证者通知。
此外,在网络上利用生物体认证的情况下,已知使用基于非对称密码方式的公钥构架(PKI:Public Key Infrastructure)的方法。例如,已知将成为生物体认证的合法性的基准的证书(Credential)即生物体参照信息(Biometric Reference Template)、与公钥证书建立关联的方法。该生物体参照信息是指对原始的生物体信息(Biometric Raw Data)实施特征抽取处理等而得到的信息,成为对照处理的基准信息。其中,根据对照算法,还存在将原始的生物体信息作为生物体参照信息使用的情况。作为已知的代表性技术,已知RFC(request for comments)3739的标准规格X.509等。X.509规定在公钥证书中作为选项而包含表示与生物体参照信息之间的相关性的信息(生物体参照信息的哈希值)。此外,在ISO(International Organizationfor Standardization)/IEC(International Electrotechnical Commission)24701中,作为BRT证书(Biometric Reference Template Certificate)而规定了对生物体参照信息的哈希值实施了数字署名的数据。
作为以上那样的生物体认证与PKI的组合,已知如下技术:通过使生物体认证与利用了公钥证书的实体认证连锁来间接地实施网络上的利用者认证(本人确认)。
此外,用于生成生物体参照信息的基础信息(原始的生物体信息等),是个人的身体特征这种敏感(机密)的信息,因此需要对其隐私性进行考虑。因此,还可以考虑到在认证对象者侧实施生物体认证的处理本身,不在认证者侧保管生物体参照信息等信息的方法等。在该方法中,通过将上述那样的公钥证书与生物体参照信息建立关联,能够间接地实施生物体参照信息的生命周期管理。
然而,在以上那样的生物体认证的技术中,在将生物体参照信息向生物体认证系统进行登记时,存在不能够从任意的客户环境经由网络进行登记这种不良情况。
例如,即使在将进行登记的生物体参照信息在认证对象者侧或者验证者侧的任一侧进行管理的情况下,为了制作生物体参照信息,也需要使认证对象者访问验证者所指定的店铺等,通过验证者侧准备的设备(生物体信息扫描仪等)采集原始的生物体信息。这是因为需要将客户环境的品质和安全性保持为一定水准。即,为了阻止品质较差的生物体参照信息的登记而将对照精度维持为一定水准,需要通过验证者侧准备的客户环境来采集生物体信息。但是,存在强制认证对象者进行物理性移动而使认证对象者的负担增大的不良情况。
从消除这种不良情况的观点出发,在专利文献2中公开有用于将对照精度维持为一定水准并且从任意的客户环境经由网络对生物体参照信息进行登记的技术。
现有技术文献
专利文献
专利文献1:日本专利第4956096号公报
专利文献2:日本特开2009-169517号公报
发明内容
发明要解决的课题
然而,根据本发明人的研究而能够推断,在专利文献2所公开的技术中,需要在储存生物体参照信息的设备(便携介质等)与生物体认证系统之间预先共享秘密信息,并通过与生物体认证系统紧密地建立关联的设备进行运用。
即,能够推断,特定的生物体认证系统运用仅能登记由该生物体认证系统发行的生物体参照信息(及/或对生物体参照信息进行保证的信息)的设备。在这种运用的情况下,利用者需要持有与每个生物体认证系统对应的设备,因此负担变大。
本发明要解决的课题在于,提供生物体参照信息登记系统、装置及程序,不在设备与生物体认证系统之间预先共享秘密信息,能够经由网络对生物体参照信息进行保证及储存。
用于解决课题的手段
实施方式的生物体参照信息登记系统为,具备能够经由网络相互通信的生物体参照信息储存装置及生物体参照信息证书生成装置。上述生物体参照信息登记系统将认证对象者的生物体参照信息向上述生物体参照信息储存装置进行登记。
上述生物体参照信息储存装置具备第一密钥存储单元、提问(challenge)信息接收单元、生物体参照信息生成单元、哈希值生成单元、第一署名生成单元、生物体认证上下文生成单元、生物体认证上下文发送单元、证书接收单元、第一抽取单元、哈希值验证单元、生物体认证上下文验证单元、储存单元及写入单元。
上述第一密钥存储单元存储自装置的第一密钥。
上述提问信息接收单元从上述生物体参照信息证书生成装置接收提问信息。
上述生物体参照信息生成单元基于从上述认证对象者采集到的生物体信息,生成生物体参照信息。
上述哈希值生成单元生成上述生物体参照信息的哈希值。
上述第一署名生成单元基于上述第一密钥,生成相对于上述提问信息及上述生物体参照信息的哈希值的、第一数字署名。
上述生物体认证上下文生成单元生成包含上述提问信息、上述生物体参照信息的哈希值及上述第一数字署名的生物体认证上下文。
上述生物体认证上下文发送单元将上述生物体参照信息的哈希值及上述生物体认证上下文向上述生物体参照信息证书生成装置发送。
上述证书接收单元从上述生物体参照信息证书生成装置接收生物体参照信息证书,该生物体参照信息证书包含上述生物体参照信息的哈希值及上述生物体认证上下文、以及相对于该生物体参照信息的哈希值及上述生物体认证上下文的、第二数字署名的生物体参照信息证书。
上述第一抽取单元从上述生物体参照信息证书中抽取上述生物体参照信息的哈希值及上述生物体认证上下文。
上述哈希值验证单元基于上述生成的哈希值来验证上述抽取到的哈希值。
上述生物体认证上下文验证单元基于上述生成的生物体认证上下文来验证上述抽取到的生物体认证上下文。
上述储存单元是用于储存上述生物体参照信息及上述生物体参照信息证书的单元。
上述写入单元为,在上述哈希值验证单元及上述生物体认证上下文验证单元的验证结果分别表示合法性的情况下,将上述生物体参照信息及上述生物体参照信息证书向上述储存单元写入。
上述生物体参照信息证书生成装置具备账户存储单元、第二密钥存储单元、提问信息发送单元、生物体认证上下文接收单元、第二抽取单元、提问信息验证单元、署名验证单元、第二署名生成单元、证书生成单元、证书写入单元及证书发送单元。
上述账户存储单元是用于将上述认证对象者的用户ID及上述生物体参照信息证书相互建立关联地存储的存储单元。
上述第二密钥存储单元存储自装置的第二密钥。
上述提问信息发送单元生成上述提问信息并将该提问信息向上述生物体参照信息储存装置发送。
上述生物体认证上下文接收单元从上述生物体参照信息储存装置接收上述生物体参照信息的哈希值及上述生物体认证上下文。
上述第二抽取单元从上述接收到的生物体认证上下文中抽取提问信息。
上述提问信息验证单元基于上述发送的提问信息来验证上述抽取到的提问信息。
上述署名验证单元基于与上述第一密钥对应的第一公钥来验证上述接收到的生物体认证上下文内的第一数字署名。
上述第二署名生成单元为,在上述提问信息验证单元及上述署名验证单元的验证结果分别表示合法性的情况下,基于上述第二密钥,生成与上述接收到的上述生物体参照信息的哈希值及上述生物体认证上下文相对的上述第二数字署名。
上述证书生成单元生成包含上述生物体参照信息的哈希值、上述生物体认证上下文及上述第二数字署名的上述生物体参照信息证书。
上述证书写入单元将上述生成的生物体参照信息证书与上述认证对象者的用户ID建立关联地向上述账户存储单元写入。
上述证书发送单元将上述生成的生物体参照信息证书向上述生物体参照信息储存装置发送。
附图说明
图1是表示第一实施方式的生物体参照信息登记系统的结构例的示意图。
图2是表示同上实施方式的生物体参照信息储存装置的结构例的示意图。
图3是表示同上实施方式的生物体认证上下文的结构例的示意图。
图4是用于说明同上实施方式的有效化信息暂时保存部的示意图。
图5是用于说明同上实施方式的有效化信息暂时保存部的示意图。
图6是表示同上实施方式的生物体参照信息证书生成装置的结构例的示意图。
图7是表示同上实施方式的生物体参照信息证书的结构例的示意图。
图8是用于说明同上实施方式的账户管理部的示意图。
图9是用于说明同上实施方式的动作的顺序图。
图10是用于说明同上实施方式的动作的顺序图。
图11是表示第二实施方式的生物体参照信息登记系统的结构例的示意图。
图12是用于说明同上实施方式的生物体信息采集装置的结构例的示意图。
图13是表示同上实施方式的生物体参照信息储存装置的结构例的示意图。
图14是表示同上实施方式的第一生物体认证上下文的结构例的示意图。
图15是表示同上实施方式的第二生物体认证上下文的结构例的示意图。
图16是表示同上实施方式的生物体参照信息证书的结构例的示意图。
图17是用于说明同上实施方式的动作的顺序图。
具体实施方式
以下,使用附图对各实施方式进行说明。此外,以下各装置分别能够通过硬件结构、或者硬件资源与软件的组合结构的任一种来实施。作为组合结构的软件,如图1及图11所示那样,使用如下的程序:预先从网络或者非暂时的计算机可读取的存储介质(non-transitory computer-readablestorage medium)M1~M5安装于计算机,通过该计算机的处理器执行该程序来使该计算机实现各装置的功能。
<第一实施方式>
图1是表示第一实施方式的生物体参照信息登记系统的结构例的示意图。该生物体参照信息登记系统具备能够经由网络Nw相互通信的生物体参照信息储存装置10及生物体参照信息证书生成装置20。生物体参照信息储存装置10与生物体参照信息证书生成装置20通过任意的连接方式连接。生物体参照信息登记系统将认证对象者的生物体参照信息向生物体参照信息储存装置10进行登记。此外,生物体参照信息登记系统也可以称为生物体参照信息储存系统。此外,“登记”这个词语也可以适当地称为“储存”或者“存储”等。
如图2所示那样,生物体参照信息储存装置10具备输入输出部11、控制部12、生物体信息采集部13、生物体参照信息生成部14、生物体认证上下文生成部15、有效化判断部16、有效化信息暂时保存部17及信息储存部18。生物体参照信息储存装置10优选是如IC(Integrated Circuit:集成电路)卡、移动电话等那样,具有耐缓冲性并具有计算能力的设备。
输入输出部11例如是CUI(Command User Interface:命令用户接口)、GUI(Graphical User Interface:图形用户接口)那样,根据来自外部的命令,执行生物体参照信息储存装置10上的特定处理,对数据进行输入输出的功能部。作为输入输出部11所输入输出(收发)的数据,例如存在用户ID、密码、登记开始请求、提问信息、生物体参照信息的哈希值、生物体认证上下文及生物体参照信息证书等。
控制部12是用于对生物体参照信息储存装置10中的处理整体进行控制的功能部,对生物体参照信息储存装置10内的事件、数据进行控制。控制部12相对于生物体参照信息储存装置10的各功能部执行命令或者交接处理所需要的数据。此外,也可以省略该功能,而在其他各功能部之间进行直接的调出。
生物体信息采集部13是用于对认证对象者的生物体信息进行采集的功能。
生物体参照信息生成部14是用于基于由生物体信息采集部13采集到的生物体信息来生成生物体参照信息的功能部。
生物体认证上下文生成部15是用于生成生物体认证上下文的功能部,该生物体认证上下文用于保证与生物体参照信息储存装置10实施的生物体认证相关的处理。在本实施方式中,生物体参照信息生成部14及信息储存部18成为保证对象。作为生物体认证上下文的优选例,能够列举ISO/IEC24761格式的生物体认证上下文。在本实施方式中,生物体认证上下文与生物体参照信息建立相关。例如,在生物体认证上下文C为ISO/IEC 24761格式的情况下,如图3所示那样,生物体参照信息的哈希值被包含于生物体认证上下文C。
生物体认证上下文生成部15例如具有以下的各功能(f15-1)~(f15-4)。
(f15-1)存储自装置的第一密钥的第一密钥存储功能。其中,第一密钥存储功能例如包含存储第一密钥的存储区域、以及将第一密钥向该存储区域写入的功能。
(f15-2)生成生物体参照信息的哈希值的哈希值生成功能。哈希值具有取决于哈希算法的固定数据长度。
(f15-3)基于第一密钥生成相对于提问信息及生物体参照信息的哈希值的、第一数字署名的第一署名生成功能。
(f15-4)生成生物体认证上下文C的生物体认证上下文生成功能,该生物体认证上下文C包含提问信息、生物体参照信息的哈希值及第一数字署名。
有效化判断部16是用于使生物体参照信息及生物体参照信息证书RC有效化的功能部。通过对有效化信息暂时保存部17所保存的生物体参照信息及生物体认证上下文、以及从生物体参照信息证书生成装置20取得的生物体参照信息证书进行验证,由此对生物体参照信息及生物体参照信息证书RC的有效化进行判断,如果判断为有效,则将生物体参照信息及生物体参照信息证书RC储存于信息储存部18,设为有效。
有效化判断部16例如具有以下的各功能(f16-1)~(f16-4)。
(f16-1)从生物体参照信息证书RC抽取生物体参照信息的哈希值及生物体认证上下文C的第一抽取功能。
(f16-2)基于生成的哈希值来验证抽取到的哈希值的哈希值验证功能。
(f16-3)基于生成的生物体认证上下文来验证抽取到的生物体认证上下文的生物体认证上下文验证功能。
(f16-4)在基于哈希值验证功能(f16-2)及生物体认证上下文验证功能(f16-3)的验证结果分别表示合法性的情况下,将生物体参照信息及生物体参照信息证书向信息储存部18写入的写入功能。
有效化信息暂时保存部17是用于暂时保存生物体参照信息生成部14生成的生物体参照信息、以及生物体认证上下文生成部15生成的生物体认证上下文的功能部。所保存的信息被有效化判断部16利用于生物体参照信息及生物体参照信息证书RC的有效化判断中。该有效化信息暂时保存部17所实现的功能,也可以作为信息储存部18的功能而具备。
例如,如图4及图5所示那样,有效化信息暂时保存部17能够将管理编号、生物体参照信息、生物体参照信息的哈希值、生物体认证上下文及生物体参照信息证书相互建立关联地保存。此外,管理编号也可以适当地省略。有效化信息暂时保存部17例如能够作为存储数据表的存储区域而实施,该数据表将生物体参照信息、生物体参照信息的哈希值、生物体认证上下文及生物体参照信息证书RC相互建立关联地记述。在图4所示的例中,如管理编号1、2的行所示那样,有效的生物体参照信息证书被建立关联地保存。此外,如管理编号3的行所示那样,非有效的生物体参照信息证书未被保存。此外,管理编号也可以适当地省略。在此,示出了生物体参照信息、生物体参照信息的哈希值、生物体认证上下文及生物体参照信息证书被作为两位16进制数字符串的二进制数据来表述的例子。此外,在图4及图5中,生物体认证上下文及生物体参照信息证书虽然看起来是相同的数据,但其实省略了图示的后方的数据是不同的(由于数据格式是确定的,因此前端的数据相同。)。
信息储存部18是用于储存生物体参照信息及生物体参照信息证书RC的功能部。生物体参照信息证书RC是由生物体参照信息证书生成装置20生成的、用于保证生物体参照信息的信息。作为生物体参照信息证书RC的优选例,能够列举由ISO/IEC 24761规定的BRT证书等。在本实施方式中,作为具体的生物体参照信息证书,对使用了BRT证书的例子进行说明。
如图6所示那样,生物体参照信息证书生成装置20具备输入输出部21、控制部22、生物体认证上下文验证部23、证书生成部24及账户管理部25。
输入输出部21是与生物体参照信息储存装置10的输入输出部11同样的功能部,是执行生物体参照信息证书生成装置20上的特定处理,对数据进行输入输出的功能部。作为输入输出部21所输入输出(收发)的数据,例如存在用户ID、密码、登记开始请求、提问信息、生物体参照信息的哈希值、生物体认证上下文及生物体参照信息证书等。
控制部22是与生物体参照信息储存装置10的控制部12同样的功能部,是用于对生物体参照信息证书生成装置20的处理整体进行控制的功能部,对生物体参照信息证书生成装置20内的事件、数据进行控制。
生物体认证上下文验证部23是用于对通过与生物体参照信息储存装置10相互作用而得到的生物体认证上下文C进行验证的功能部。在生物体认证上下文C为ISO/IEC 24761格式的情况下,将公钥密码方式或者用于基于MAC(Message Authentication Code:消息认证码)的提问与回应认证的提问信息(随机的值)向生物体参照信息储存装置10发送,对由生物体参照信息储存装置10得到的生物体认证上下文C的数字署名值或者MAC值的合法性进行验证,并对生物体认证上下文C所记载的生物体处理内容进行验证。
生物体认证上下文验证部23例如具有以下的各功能(f23-1)~(f23-4)。
(f23-1)生成提问信息并将该提问信息向生物体参照信息储存装置10发送的提问信息发送功能。
(f23-2)从接收到的生物体认证上下文C抽取提问信息的第二抽取功能。
(f23-3)基于发送的提问信息来验证抽取到的提问信息的提问信息验证功能。提问信息验证功能例如将2个提问信息进行比较,在两者一致的情况下得到表示合法性的验证结果。
(f23-4)基于与第一密钥对应的第一公钥来验证接收到的生物体认证上下文内的第一数字署名的署名验证功能。
如图7所示那样,证书生成部24是用于生成生物体参照信息证书RC的功能部,该生物体参照信息证书RC包含从生物体参照信息储存装置10发送的生物体参照信息的哈希值和生物体认证上下文C。
证书生成部24例如具有以下的各功能(f24-1)~(f24-3)。
(f24-1)存储自装置的第二密钥的第二密钥存储功能。此外,第二密钥存储功能例如包含存储第二密钥的存储区域、以及向该存储区域写入第二密钥的功能。
(f24-2)在基于提问信息验证功能(f23-3)及署名验证功能(f23-4)的验证结果分别表示合法性的情况下,基于第二密钥,生成相对于接收到的生物体参照信息的哈希值及生物体认证上下文C的、第二数字署名的第二署名生成功能。
(f24-3)生成包含生物体参照信息的哈希值、生物体认证上下文及第二数字署名的生物体参照信息证书RC的证书生成功能。
账户管理部25是用于对认证对象者的账户进行确定,并将生成的生物体参照信息证书RC作为认证对象者的账户的属性值来储存的功能部。例如,如图8所示那样,账户管理部25能够将管理编号、用户ID、生物体参照信息证书及有效标志相互建立关联地保存。其中,管理编号及有效标志也可以适当地省略。
即,账户管理部25例如具有以下的功能(f25-1)~(f25-2)。
(f25-1)用于将认证对象者的用户ID及生物体参照信息证书RC相互建立关联地存储的账户存储功能。账户存储功能例如能够作为对账户数据表进行存储的存储区域来实施,该账户数据表将用户ID及生物体参照信息证书RC相互建立关联地记述。此外,账户存储功能也可以包含预先将用户ID向账户数据表写入的功能。其中,预先将用户ID向账户数据表写入的功能,例如由控制部22来具有。
(f25-2)将所生成的生物体参照信息证书与认证对象者的用户ID建立关联地向上述账户存储功能写入的证书写入功能。
该账户管理部25既可以被封闭在生物体参照信息证书生成装置20中,也可以与任意的ID管理(Identity Management)系统协作。此外,关于确定认证对象者的账户的手段,采取处于各实施方式的范围外、以往就存在的基于用户ID/密码的认证等的任意手段即可。
接下来,使用图9及图10的顺序图,对如以上那样构成的生物体参照信息登记装置的动作进行说明。
如图9所示那样,生物体参照信息储存装置10通过例如认证对象者对输入输出部的操作,而将登记开始请求向生物体参照信息证书生成装置20发送(ST1)。此外,也可以构成为,代替生物体参照信息储存装置10,生物体参照信息证书生成装置20将登记处理开始请求向生物体参照信息储存装置10发送。此外,认证对象者的确定以在步骤ST1之前或者通过步骤ST1的登记开始请求而被执行为前提。在此所述的认证对象者的确定,例如包含将认证对象者的用户ID预先向账户管理部25写入的处理、以及生物体认证上下文验证部23取得认证对象者的生物体参照信息储存装置10的第一公钥的处理。其中,取得第一公钥的处理,并不局限于该时刻,只要在步骤ST11的第一数字署名的验证处理之前执行即可。
首先,生物体参照信息证书生成装置20为,当接受步骤ST1的登记开始请求时,生物体认证上下文验证部23生成生物体认证上下文C的生成所需要的提问信息(随机值)(ST2),并将该提问信息通知给生物体参照信息储存装置10(ST3)。此外,并不局限于提问信息,生物体认证上下文C的生成所需要的信息在步骤ST1~ST3中进行交换即可。
生物体参照信息储存装置10为,当接受提问信息时,通过生物体信息采集部13采集认证对象者的生物体信息(ST4)。
生物体参照信息生成部14根据在步骤ST4中采集到的生物体信息生成生物体参照信息(ST5),将该生物体参照信息暂时保存于有效化信息暂时保存部17(ST6)。
生物体认证上下文生成部15生成在步骤ST5中生成的生物体参照信息的哈希值(ST7),并将该哈希值暂时保存于有效化信息暂时保存部17。其中,该哈希值能够根据有效化信息暂时保存部17内的生物体参照信息来生成,因此也可以不进行保存。
生物体认证上下文生成部15对于通过步骤ST3通知的提问信息、和通过步骤ST7生成的生物体参照信息的哈希值,基于自装置10的第一密钥来生成第一数字署名。在此之后,生物体认证上下文生成部15生成包含提问信息、生物体参照信息的哈希值及第一数字署名的生物体认证上下文C(ST8),并将该生物体认证上下文C暂时保存于有效化信息暂时保存部17(ST9)。
在此之后,生物体参照信息储存装置10将通过步骤ST7~ST8生成的生物体参照信息的哈希值及生物体认证上下文C向生物体参照信息证书生成装置20发送(ST10)。
生物体参照信息证书生成装置20当接收生物体参照信息的哈希值及生物体认证上下文C时,生物体认证上下文验证部23基于与生物体参照信息储存装置10的密钥对应的公钥、以及在步骤ST2中通知的提问信息,对该生物体认证上下文C的合法性进行验证(ST11)。具体地说,生物体认证上下文验证部23基于在步骤ST2发送的提问信息,对从生物体认证上下文C抽取到的提问信息进行验证。此外,生物体认证上下文验证部23基于与生物体参照信息储存装置10的第一密钥对应的第一公钥,对接收到的生物体认证上下文内的第一数字署名进行验证。
在步骤ST11的验证结果表示合法性的情况下,证书生成部24基于自装置的第二密钥,生成相对于接收到的生物体参照信息的哈希值及生物体认证上下文C的、第二数字署名。此外,证书生成部24生成包含生物体参照信息的哈希值、生物体认证上下文C及第二数字署名的生物体参照信息证书RC(ST12)。此外,在步骤ST11的验证的结果为不合法的情况下,使处理整体结束。此时,生物体参照信息证书生成装置20也可以将由于验证失败而使处理结束了的情况通知给生物体参照信息储存装置10。
在步骤ST12之后,账户管理部25将生成的生物体参照信息证书RC作为认证对象者的账户的属性值来储存(ST13)。关于利用什么属性,这取决于认证对象者的账户构造,因此在本实施方式中对于具体的属性不特别要求,但优选是能够表现生物体参照信息证书RC的属性。此外,也可以变形为,省略本步骤ST13,在步骤ST21的成功响应的确认之后,将生物体参照信息证书RC作为认证对象者的账户的属性值来储存。在该变形例的情况下,账户管理部25或者证书生成部24将生物体参照信息证书RC储存到暂时的任意保存区域即可。
哪种情况下都是,生物体参照信息证书生成装置20的输入输出部21将在步骤ST12生成的生物体参照信息证书RC向生物体参照信息储存装置10发送(ST14)。
如图10所示那样,生物体参照信息储存装置10为,当接收该生物体参照信息证书RC时(ST15),有效化判断部16从该生物体参照信息证书RC抽取生物体参照信息的哈希值和生物体认证上下文C(ST16)。
有效化判断部16将抽取到的生物体参照信息的哈希值与有效化信息暂时保存部17内的生物体参照信息的哈希值进行比较验证(ST17)。在步骤ST17的比较验证的结果为两者不一致的情况下,使处理整体结束。此时,生物体参照信息储存装置10也可以将由于验证失败而使处理结束了的情况通知给生物体参照信息证书生成装置20。此外,在仅将生物体参照信息暂时保存于有效化信息暂时保存部17的情况下,在本步骤中有效化判断部16只要生成生物体参照信息的哈希值即可。
在步骤ST17的比较验证的结果为两者一致的情况下,有效化判断部16对在步骤ST16抽取到的生物体认证上下文C与有效化信息暂时保存部17内的生物体认证上下文C进行比较验证(ST18)。在步骤ST18的比较验证的结果为两者不一致的情况下,使处理整体结束。此时,生物体参照信息储存装置10也可以将由于验证失败而使处理结束了的情况通知给生物体参照信息证书生成装置20。此外,步骤ST17、ST18也可以按照相反的顺序执行。
在步骤ST18的比较验证的结果为两者一致的情况下,有效化判断部16将有效化信息暂时保存部17内的生物体参照信息及在步骤ST15中接收到的生物体参照信息证书RC向信息储存部18储存(ST19)。此外,有效化判断部16通过将生物体参照信息证书RC向有效化信息暂时保存部17保存,由此使生物体参照信息证书RC有效化(ST20)。
在此之后,生物体参照信息储存装置10将表示全部处理成功的成功响应通知给生物体参照信息证书生成装置20(ST21)。此外,成功响应例如也可以包含与账户管理部25内的有效标志建立关联的信息(例如用户ID、生物体参照信息证书RC)的至少一个。
生物体参照信息证书生成装置20为,当接受成功响应时,账户管理部25例如将与成功响应内的信息建立关联的有效标志更新为true。
如上述那样,根据本实施方式,生物体参照信息证书生成装置20将提问信息向生物体参照信息储存装置10发送。生物体参照信息储存装置10将包含该提问信息、生物体参照信息的哈希值及第一数字署名的生物体认证上下文C、以及生物体参照信息的哈希值,向生物体参照信息证书生成装置20发送。生物体参照信息证书生成装置20在对提问信息进行了验证、且通过第一公钥验证了第一数字署名之后,将包含该生物体认证上下文、该生物体参照信息的哈希值及第二数字署名的生物体参照信息证书RC,向生物体参照信息储存装置10发送。生物体参照信息储存装置10在对生物体参照信息的哈希值及生物体认证上下文C进行了验证之后,储存生物体参照信息及生物体参照信息证书RC。
如此,通过不使用共享的秘密信息,而使用了提问与回应认证、基于公钥的认证、基于哈希值的认证等的结构,由此能够在设备(生物体参照信息储存装置10)与生物体认证系统之间不预先共享秘密信息,而经由网络Nw对生物体参照信息进行保证及储存。
例如,能够使用认证对象者选择的设备,对于认证对象者选择的生物体认证系统,能够在线地对生物体参照信息进行保证,向设备储存生物体参照信息。由此,能够期待对生物体认证系统中的生物体参照信息进行登记或者更新时的利用者的便利性提高。
此外,由于不需要在设备与生物体认证系统之间预先共享秘密信息,因此利用者不需要持有与每个生物体认证系统对应的设备,能够减少设备持有的负担。
<第二实施方式>
图11是表示第二实施方式的生物体参照信息登记系统的结构例的示意图,图12及图13是表示该系统的各装置的结构例的示意图,对于与上述附图大致相同的部分赋予相同的符号而省略其详细说明,在此主要对不同的部分进行说明。
在第一实施方式中,对单个生物体参照信息储存装置10生成生物体参照信息的结构进行了说明,但并不局限于此,可以构成为,分离为包含生物体信息采集部13或者生物体参照信息生成部14的某个的装置,也可以构成为,分离为包含生物体信息采集部13及生物体参照信息生成部14的双方的装置。图11至图13示出的结构例为,分离为包含生物体信息采集部13的生物体信息采集装置10a和包含生物体参照信息生成部14的生物体参照信息储存装置10。
在该情况下,在分离的各个装置10a、10中也配备了生物体认证上下文生成部15a、15,与在第一实施方式中说明的动作同样地生成各生物体认证上下文C1、C2。所生成的各生物体认证上下文C1、C2由生物体参照信息储存装置10的有效化信息暂时保存部17集中管理即可。
此外,第一生物体认证上下文C1由生物体信息采集装置10a生成,如图14所示那样,包含提问信息、生物体信息的哈希值及第零数字署名。第零数字署名为,基于生物体信息采集装置10a的第零密钥,通过相对于提问信息及生物体信息的哈希值的署名处理来生成的。
第二生物体认证上下文C2由生物体参照信息储存装置10生成,如图15所示那样,包含提问信息、生物体信息的哈希值、生物体参照信息的哈希值及第一数字署名。生物体信息的哈希值是作为生物体参照信息储存装置10的输入而赋予的生物体信息的哈希值。第一数字署名为,基于生物体参照信息储存装置10的第一密钥,通过相对于提问信息及生物体参照信息的哈希值的署名处理来生成的。
生物体参照信息证书RC由生物体参照信息证书生成装置20生成,如图16所示那样,包含第一生物体认证上下文C1、第二生物体认证上下文C2、生物体参照信息的哈希值及第二数字署名。第二数字署名为,基于生物体参照信息证书生成装置20的第二密钥,通过相对于第一生物体认证上下文C1、第二生物体认证上下文C2及生物体参照信息的哈希值的署名处理来生成的。
此外,在图4及图5所示的有效化信息暂时保存部17的生物体认证上下文的存储区域中,也存储2个生物体认证上下文C1、C2。
接下来,使用图17的顺序图对如以上那样构成的生物体参照信息登记系统的动作进行说明。
首先,与上述同样,执行步骤ST1~ST3。
生物体参照信息储存装置10为,当从生物体参照信息证书生成装置20接受提问信息时,将提问信息及生物体信息采集请求向生物体信息采集装置10a发送(ST4-1)。
生物体信息采集装置10a为,当输入输出部11a接收提问信息及生物体信息采集请求时,控制部12a将提问信息向生物体认证上下文生成部15a送出,并且使生物体信息采集部13起动。生物体信息采集部13采集认证对象者的生物体信息(ST4-2)。生物体信息被经由控制部12a向生物体认证上下文生成部15a送出。其中,也可以省略控制部12a,而由各部11a、13、15a直接传送信息。
生物体信息采集装置10a的生物体认证上下文生成部15a生成在步骤ST4-2中生成的生物体参照信息的哈希值。
生物体认证上下文生成部15a对于由步骤ST4-1接收到的提问信息、以及该生成的生物体参照信息的哈希值,基于自装置10a的第零密钥来生成第零数字署名。此外,生物体认证上下文生成部15a生成包含提问信息、生物体参照信息的哈希值及第零数字署名的第一生物体认证上下文C1(ST4-1)。
在此之后,生物体认证上下文生成部15a将该第一生物体认证上下文C1及在步骤ST4-2中采集到的生物体信息向生物体参照信息储存装置10发送(ST4-4)。
生物体参照信息生成部14根据在步骤ST4-4中采集到的生物体信息生成生物体参照信息(ST5),并将该生物体参照信息暂时保存于有效化信息暂时保存部17(ST6)。此外,生物体参照信息生成部14将在步骤ST4-4中采集到的第一生物体认证上下文C1暂时保存于有效化信息暂时保存部17。
以下,由各装置10、20执行与上述的步骤ST7之后同样的处理。其中,在使用2个生物体认证上下文C1、C2这一点稍微不同。
例如,在步骤ST8~ST9中,生物体认证上下文生成部15生成包含提问信息、生物体参照信息的哈希值及第一数字署名的第二生物体认证上下文C2,并将该第二生物体认证上下文C暂时保存于有效化信息暂时保存部17。
在步骤ST8~ST9中,生物体参照信息储存装置10将生物体参照信息的哈希值、第一及第二生物体认证上下文C1、C2向生物体参照信息证书生成装置20发送。
在步骤ST11中,生物体认证上下文验证部23基于与生物体信息采集装置10a的第零密钥对应的第零公钥、与生物体参照信息储存装置10的第一密钥对应的第一公钥、以及在步骤ST2中通知的提问信息,对各生物体认证上下文C1、C2的合法性进行验证。
具体地说,生物体认证上下文验证部23基于在步骤ST2中发送的提问信息,对从各生物体认证上下文C1、C2抽取到的提问信息进行验证。此外,生物体认证上下文验证部23基于与生物体信息采集装置10a的第零密钥对应的第零公钥,对接收到的第一生物体认证上下文C1内的第零数字署名进行验证。同样,生物体认证上下文验证部23基于与生物体参照信息储存装置10的第一密钥对应的第一公钥,对接收到的第二生物体认证上下文C2内的第一数字署名进行验证。
在步骤ST12中,在步骤ST11的验证结果表示合法性的情况下,证书生成部24基于自装置的第二密钥,生成相对于接收到的生物体参照信息的哈希值及各生物体认证上下文C1、C2的、第二数字署名。此外,证书生成部24生成包含生物体参照信息的哈希值、各生物体认证上下文C1、C2及第二数字署名的生物体参照信息证书RC。
在步骤ST16中,有效化判断部16从该生物体参照信息证书RC抽取生物体参照信息的哈希值和各生物体认证上下文C1、C2。
在步骤ST18中,有效化判断部16对在步骤ST16中抽取到的第一生物体认证上下文C1与有效化信息暂时保存部17内的第一生物体认证上下文C1进行比较验证。同样,有效化判断部16对在步骤ST16中抽取到的第二生物体认证上下文C2与有效化信息暂时保存部17内的第二生物体认证上下文C2进行比较验证。
以下,与上述同样地执行步骤ST19以后的处理。
根据上述那样的本实施方式,即使构成为将生物体信息采集部13从第一实施方式的生物体参照信息储存装置10分离,也能够得到与第一实施方式同样的效果。
此外,上述各实施方式记载的方法,也能够作为使计算机执行的程序,储存于磁盘(软盘(日文原文“フロッピー”为注册商标)、硬盘等)、光盘(CD-ROM、DVD等)、光磁盘(MO)、半导体存储器等存储介质来发布。
此外,作为该存储介质,只要是能够存储程序且计算机可读取的存储介质,则其存储形式可以是任意的方式。
此外,也可以是,由基于从存储介质安装于计算机的程序的指示而在计算机上运转的OS(操作系统)、数据库管理软件、网络软件等MW(中间件)等来执行用于实现上述实施方式的各处理的一部分。
并且,各实施方式的存储介质,并不局限于相对于计算机独立的介质,也包含下载并存储或暂时存储通过LAN或互联网等传送来的程序的存储介质。
此外,存储介质并不局限于一个,从多个介质执行上述各实施方式的处理的情况也被包含于本发明的存储介质,介质结构也可以为任意的结构。
此外,各实施方式的计算机基于存储介质所存储的程序来执行上述各实施方式的各处理,可以是由一个个人计算机等构成的装置、多个装置被网络连接而成的系统等任意结构。
此外,各实施方式的计算机并不局限于个人计算机,还包含信息处理设备所包含的计算处理装置、微计算机等,是对能够通过程序来实现本发明的功能的设备及装置的统称。
此外,对本发明的几个实施方式进行了说明,但这些实施方式是作为例子提示的,不意图限定发明的范围。这些新的实施方式能够以其他各种方式来实施,在不脱离发明的主旨的范围内能够进行各种省略、置换、变更。这些实施方式及其变形包含于发明的范围及主旨内,并且包含于权利要求书所记载的发明及其等同的范围内。
Claims (5)
1.一种生物体参照信息登记系统,具备能够经由网络相互通信的生物体参照信息储存装置(10)和生物体参照信息证书生成装置(20),将认证对象者的生物体参照信息向上述生物体参照信息储存装置进行登记,其特征在于,
上述生物体参照信息储存装置具备:
第一密钥存储单元(15),存储自装置的第一密钥;
提问信息接收单元(11),从上述生物体参照信息证书生成装置接收提问信息;
生物体参照信息生成单元(14),基于从上述认证对象者采集到的生物体信息,生成生物体参照信息;
哈希值生成单元(15),生成上述生物体参照信息的哈希值;
第一署名生成单元(15),基于上述第一密钥,生成相对于上述提问信息及上述生物体参照信息的哈希值的、第一数字署名;
生物体认证上下文生成单元(15),生成包含上述提问信息、上述生物体参照信息的哈希值及上述第一数字署名的生物体认证上下文(C);
生物体认证上下文发送单元(11),将上述生物体参照信息的哈希值及上述生物体认证上下文,向上述生物体参照信息证书生成装置发送;
证书接收单元(11),从上述生物体参照信息证书生成装置接收生物体参照信息证书,该生物体参照信息证书包含上述生物体参照信息的哈希值及上述生物体认证上下文、以及相对于该生物体参照信息的哈希值及上述生物体认证上下文的、第二数字署名;
第一抽取单元(16),从上述生物体参照信息证书抽取上述生物体参照信息的哈希值及上述生物体认证上下文;
哈希值验证单元(16),基于上述生成的哈希值,对上述抽取到的哈希值进行验证;
生物体认证上下文验证单元(16),基于上述生成的生物体认证上下文,对上述抽取到的生物体认证上下文进行验证;
储存单元(18),用于储存上述生物体参照信息及上述生物体参照信息证书;以及
写入单元(16),在上述哈希值验证单元及上述生物体认证上下文验证单元的验证结果分别表示合法性的情况下,将上述生物体参照信息及上述生物体参照信息证书写入上述储存单元,
上述生物体参照信息证书生成装置具备:
账户存储单元(25),用于将上述认证对象者的用户ID及上述生物体参照信息证书相互建立关联地存储;
第二密钥存储单元(24),存储有自装置的第二密钥;
提问信息发送单元(23),生成上述提问信息并将该提问信息向上述生物体参照信息储存装置发送;
生物体认证上下文接收单元(21),从上述生物体参照信息储存装置接收上述生物体参照信息的哈希值及上述生物体认证上下文;
第二抽取单元(23),从上述接收到的生物体认证上下文抽取提问信息;
提问信息验证单元(23),基于上述发送的提问信息,对上述抽取到的提问信息进行验证;
署名验证单元(23),基于与上述第一密钥对应的第一公钥,对上述接收到的生物体认证上下文内的第一数字署名进行验证;
第二署名生成单元(24),在上述提问信息验证单元及上述署名验证单元的验证结果分别表示合法性的情况下,基于上述第二密钥,生成相对于上述接收到的上述生物体参照信息的哈希值及上述生物体认证上下文的、上述第二数字署名;
证书生成单元(24),生成包含上述生物体参照信息的哈希值、上述生物体认证上下文及上述第二数字署名的上述生物体参照信息证书;
证书写入单元(25),将上述生成的生物体参照信息证书与上述认证对象者的用户ID建立关联地向上述账户存储单元写入;以及
证书发送单元(21),将上述生成的生物体参照信息证书向上述生物体参照信息储存装置发送。
2.一种生物体参照信息储存装置(10),能够经由网络与生物体参照信息证书生成装置(20)通信,其特征在于,
该生物体参照信息储存装置具备:
第一密钥存储单元(15),存储自装置的第一密钥;
提问信息接收单元(11),从上述生物体参照信息证书生成装置接收提问信息;
生物体参照信息生成单元(14),基于从认证对象者采集到的生物体信息,生成生物体参照信息;
哈希值生成单元(15),生成上述生物体参照信息的哈希值;
第一署名生成单元(15),基于上述第一密钥,生成相对于上述提问信息及上述生物体参照信息的哈希值的、第一数字署名;
生物体认证上下文生成单元(15),生成包含上述提问信息、上述生物体参照信息的哈希值及上述第一数字署名的生物体认证上下文(C);
生物体认证上下文发送单元(11),将上述生物体参照信息的哈希值及上述生物体认证上下文,向上述生物体参照信息证书生成装置发送;
证书接收单元(11),从上述生物体参照信息证书生成装置接收生物体参照信息证书,该生物体参照信息证书包含上述生物体参照信息的哈希值及上述生物体认证上下文、以及相对于该生物体参照信息的哈希值及上述生物体认证上下文的、第二数字署名;
第一抽取单元(16),从上述生物体参照信息证书抽取上述生物体参照信息的哈希值及上述生物体认证上下文;
哈希值验证单元(16),基于上述生成的哈希值,对上述抽取到的哈希值进行验证;
生物体认证上下文验证单元(16),基于上述生成的生物体认证上下文,对上述抽取到的生物体认证上下文进行验证;
储存单元(18),用于储存上述生物体参照信息及上述生物体参照信息证书;以及
写入单元(16),在上述哈希值验证单元及上述生物体认证上下文验证单元的验证结果分别表示合法性的情况下,将上述生物体参照信息及上述生物体参照信息证书写入上述储存单元,
上述生物体参照信息证书生成装置构成为,将上述提问信息向上述生物体参照信息储存装置发送,从上述生物体参照信息储存装置接收上述生物体参照信息的哈希值及上述生物体认证上下文,从上述生物体认证上下文抽取提问信息,基于上述发送的提问信息,对上述抽取到的提问信息进行验证,基于与上述第一密钥对应的第一公钥,对上述生物体认证上下文内的第一数字署名进行验证,在验证结果分别表示合法性的情况下,基于自装置的第二密钥,生成上述第二数字署名,生成包含上述生物体参照信息的哈希值、上述生物体认证上下文及上述第二数字署名的上述生物体参照信息证书,将上述生物体参照信息证书向上述生物体参照信息储存装置发送。
3.一种生物体参照信息证书生成装置(20),能够经由网络与生物体参照信息储存装置(10)通信,其特征在于,
该生物体参照信息证书生成装置具备:
账户存储单元(25),用于将认证对象者的用户ID及生物体参照信息证书相互建立关联地存储;
第二密钥存储单元(24),存储有自装置的第二密钥;
提问信息发送单元(23),生成提问信息并将该提问信息向上述生物体参照信息储存装置发送;
生物体认证上下文接收单元(21),在上述生物体参照信息储存装置基于从上述认证对象者采集到的生物体信息生成生物体参照信息,生成上述生物体参照信息的哈希值,基于自装置的第一密钥,生成相对于上述提问信息及上述生物体参照信息的哈希值的、第一数字署名,生成包含上述提问信息、上述生物体参照信息的哈希值及上述第一数字署名的生物体认证上下文,并将上述生物体参照信息的哈希值及上述生物体认证上下文向上述生物体参照信息证书生成装置发送了的情况下,该生物体认证上下文接收单元(21)从上述生物体参照信息储存装置接收上述生物体参照信息的哈希值及上述生物体认证上下文;
第二抽取单元(23),从上述接收到的生物体认证上下文抽取提问信息;
提问信息验证单元(23),基于上述发送的提问信息,对上述抽取到的提问信息进行验证;
署名验证单元(23),基于与上述第一密钥对应的第一公钥,对上述接收到的生物体认证上下文内的第一数字署名进行验证;
第二署名生成单元(24),在上述提问信息验证单元及上述署名验证单元的验证结果分别表示合法性的情况下,基于上述第二密钥,生成相对于上述接收到的上述生物体参照信息的哈希值及上述生物体认证上下文相对的、上述第二数字署名;
证书生成单元(24),生成包含上述生物体参照信息的哈希值、上述生物体认证上下文及上述第二数字署名的上述生物体参照信息证书;
证书写入单元(25),将上述生成的生物体参照信息证书与上述认证对象者的用户ID建立关联地向上述账户存储单元写入;以及
证书发送单元(21),将上述生成的生物体参照信息证书,向上述生物体参照信息储存装置发送;
上述生物体参照信息储存装置构成为,从上述生物体参照信息证书生成装置接收上述生物体参照信息证书,从上述生物体参照信息证书抽取上述生物体参照信息的哈希值及上述生物体认证上下文,基于上述生成的哈希值,对上述抽取到的哈希值进行验证,基于上述生成的生物体认证上下文,对上述抽取到的生物体认证上下文进行验证,在验证结果分别表示合法性的情况下,将上述生物体参照信息及上述生物体参照信息证书写入储存单元。
4.一种程序,用于能够经由网络与生物体参照信息证书生成装置(20)通信、且具备第一密钥存储单元及储存单元的生物体参照信息储存装置(10),其特征在于,
该程序使上述生物体参照信息储存装置(10)作为如下单元起作用:
将自装置的第一密钥向上述第一密钥存储单元(15)写入的单元;
从上述生物体参照信息证书生成装置接收提问信息的单元(11);
基于从认证对象者采集到的生物体信息,生成生物体参照信息的单元(14);
生成上述生物体参照信息的哈希值的单元(15);
基于上述第一密钥,生成相对于上述提问信息及上述生物体参照信息的哈希值的、第一数字署名的单元(15);
生成包含上述提问信息、上述生物体参照信息的哈希值及上述第一数字署名的生物体认证上下文(C)的单元(15);
将上述生物体参照信息的哈希值及上述生物体认证上下文,向上述生物体参照信息证书生成装置发送的单元(11);
从上述生物体参照信息证书生成装置接收生物体参照信息证书的单元(11),该生物体参照信息证书包含上述生物体参照信息的哈希值及上述生物体认证上下文、以及相对于该生物体参照信息的哈希值及上述生物体认证上下文的、第二数字署名;
从上述生物体参照信息证书抽取上述生物体参照信息的哈希值及上述生物体认证上下文的单元(16);
基于上述生成的哈希值,对上述抽取到的哈希值进行验证的单元(16);
基于上述生成的生物体认证上下文,对上述抽取到的生物体认证上下文进行验证的单元(16);以及
在上述验证的结果分别表示合法性的情况下,将上述生物体参照信息及上述生物体参照信息证书向上述储存单元(18)写入的单元(16),
上述生物体参照信息证书生成装置构成为,将上述提问信息向上述生物体参照信息储存装置发送,从上述生物体参照信息储存装置接收上述生物体参照信息的哈希值及上述生物体认证上下文,从上述生物体认证上下文抽取提问信息,基于上述发送的提问信息,对上述抽取到的提问信息进行验证,基于与上述第一密钥对应的第一公钥,对上述生物体认证上下文内的第一数字署名进行验证,在该验证结果分别表示合法性的情况下,基于自装置的第二密钥,生成上述第二数字署名,生成包含上述生物体参照信息的哈希值、上述生物体认证上下文及上述第二数字署名的上述生物体参照信息证书,将上述生物体参照信息证书向上述生物体参照信息储存装置发送。
5.一种程序,用于能够经由网络与生物体参照信息储存装置(10)通信、且具备账户存储单元及第二密钥存储单元的生物体参照信息证书生成装置(20),其特征在于,
该程序使上述生物体参照信息证书生成装置作为以下单元起作用:
将认证对象者的用户ID向上述账户存储单元(25)写入的单元;
将自装置的第二密钥向上述第二密钥存储单元(24)写入的单元;
生成提问信息并将该提问信息向上述生物体参照信息储存装置发送的单元(23);
在上述生物体参照信息储存装置基于从上述认证对象者采集到的生物体信息生成生物体参照信息,生成上述生物体参照信息的哈希值,基于自装置的第一密钥,生成相对于上述提问信息及上述生物体参照信息的哈希值的、第一数字署名,生成包含上述提问信息、上述生物体参照信息的哈希值及上述第一数字署名的生物体认证上下文,并将上述生物体参照信息的哈希值及上述生物体认证上下文向上述生物体参照信息证书生成装置发送了的情况下,从上述生物体参照信息储存装置接收上述生物体参照信息的哈希值及上述生物体认证上下文的单元(21);
从上述接收到的生物体认证上下文抽取提问信息的单元(23);
基于上述发送的提问信息,对上述抽取到的提问信息进行验证的单元(23);
基于与上述第一密钥对应的第一公钥,对上述接收到的生物体认证上下文内的第一数字署名进行验证的单元(23);
在上述提问信息验证单元及上述署名验证单元的验证结果分别表示合法性的情况下,基于上述第二密钥,生成相对于上述接收到的上述生物体参照信息的哈希值及上述生物体认证上下文的、上述第二数字署名的单元(24);
生成包含上述生物体参照信息的哈希值、上述生物体认证上下文及上述第二数字署名的上述生物体参照信息证书的单元(24);
将上述生成的生物体参照信息证书与上述认证对象者的用户ID建立关联地向上述账户存储单元写入的单元(25);以及
将上述生成的生物体参照信息证书向上述生物体参照信息储存装置发送的单元(21),
上述生物体参照信息储存装置构成为,从上述生物体参照信息证书生成装置接收上述生物体参照信息证书,从上述生物体参照信息证书抽取上述生物体参照信息的哈希值及上述生物体认证上下文,基于上述生成的哈希值,对上述抽取到的哈希值进行验证,基于上述生成的生物体认证上下文,对上述抽取到的生物体认证上下文进行验证,在验证结果分别表示合法性的情况下,将上述生物体参照信息及上述生物体参照信息证书向储存单元写入。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2012/074781 WO2014049749A1 (ja) | 2012-09-26 | 2012-09-26 | 生体参照情報登録システム、装置及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104685824A true CN104685824A (zh) | 2015-06-03 |
| CN104685824B CN104685824B (zh) | 2018-07-10 |
Family
ID=50387214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280076051.1A Active CN104685824B (zh) | 2012-09-26 | 2012-09-26 | 生物体参照信息登记系统、装置及方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9736151B2 (zh) |
| JP (1) | JP5456172B1 (zh) |
| CN (1) | CN104685824B (zh) |
| SG (1) | SG11201502281SA (zh) |
| WO (1) | WO2014049749A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113678125A (zh) * | 2019-04-03 | 2021-11-19 | 钥匙链有限责任公司 | 用于身份验证的生物特征数字签名生成 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9619633B1 (en) | 2014-06-18 | 2017-04-11 | United Services Automobile Association (Usaa) | Systems and methods for upgrading authentication systems |
| US10484372B1 (en) * | 2015-12-14 | 2019-11-19 | Amazon Technologies, Inc. | Automatic replacement of passwords with secure claims |
| CN110166246B (zh) | 2016-03-30 | 2022-07-08 | 创新先进技术有限公司 | 基于生物特征的身份注册、认证的方法和装置 |
| CN105897429B (zh) * | 2016-06-06 | 2019-05-14 | 宇龙计算机通信科技(深圳)有限公司 | 鉴权方法、鉴权装置和终端 |
| US10484373B2 (en) | 2017-04-11 | 2019-11-19 | Mastercard International Incorporated | Systems and methods for biometric authentication of certificate signing request processing |
| US10541818B2 (en) | 2017-04-19 | 2020-01-21 | International Business Machines Corporation | Decentralized biometric signing of digital contracts |
| JP6882080B2 (ja) * | 2017-05-31 | 2021-06-02 | キヤノン株式会社 | 画像処理装置、方法、プログラム及びシステム |
| US20190087831A1 (en) | 2017-09-15 | 2019-03-21 | Pearson Education, Inc. | Generating digital credentials based on sensor feedback data |
| US20220115093A1 (en) * | 2019-02-01 | 2022-04-14 | Kabushiki Kaisha Toshiba | Terminal device, data processing method, and program |
| CN112087409B (zh) * | 2019-06-12 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 一种帐号关联方法、终端和服务器 |
| US11552808B1 (en) | 2021-11-23 | 2023-01-10 | Uab 360 It | Method and apparatus for generating a dynamic security certificate |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070220274A1 (en) * | 2005-10-17 | 2007-09-20 | Saflink Corporation | Biometric authentication system |
| CN101383708A (zh) * | 2007-09-06 | 2009-03-11 | 株式会社日立制作所 | 认证服务器、客户终端、生物体认证系统、方法及程序 |
| CN101777115A (zh) * | 2009-11-25 | 2010-07-14 | 中国科学院自动化研究所 | 一种安全的指纹认证方法及系统 |
| US20120019379A1 (en) * | 2009-06-22 | 2012-01-26 | Mourad Ben Ayed | Systems for three factor authentication challenge |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DK1175749T3 (da) | 1999-04-22 | 2005-10-24 | Veridicom Inc | Biometrisk autentificering med höj sikkerhed ved anvendelse af offentlignögle/privatnöglekrypteringspar |
| JP2002073571A (ja) | 2000-08-31 | 2002-03-12 | Sony Corp | 個人認証システムおよび個人認証方法、並びにプログラム提供媒体 |
| JP2005252621A (ja) * | 2004-03-03 | 2005-09-15 | Ntt Communications Kk | 電子証明書作成装置、電子証明書検証装置、電子証明書作成方法、電子証明書作成プログラム、および電子証明書検証プログラム |
| JP4736744B2 (ja) | 2005-11-24 | 2011-07-27 | 株式会社日立製作所 | 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム |
| US20070124589A1 (en) | 2005-11-30 | 2007-05-31 | Sutton Ronald D | Systems and methods for the protection of non-encrypted biometric data |
| US8433919B2 (en) | 2005-11-30 | 2013-04-30 | Proxense, Llc | Two-level authentication for secure transactions |
| JP2007249629A (ja) * | 2006-03-16 | 2007-09-27 | Dainippon Printing Co Ltd | 生体情報登録システム |
| JP2008526173A (ja) * | 2006-04-07 | 2008-07-17 | ▲ホア▼▲ウェイ▼技術有限公司 | 情報セキュリティの認証方法及びシステム |
| JP4956096B2 (ja) | 2006-08-30 | 2012-06-20 | 株式会社東芝 | 認証システム及び装置 |
| JP4996904B2 (ja) | 2006-10-04 | 2012-08-08 | 株式会社日立製作所 | 生体認証システム、登録端末、認証端末、及び認証サーバ |
| US9237018B2 (en) | 2007-07-05 | 2016-01-12 | Honeywell International Inc. | Multisystem biometric token |
| US8595816B2 (en) | 2007-10-19 | 2013-11-26 | Nippon Telegraph And Telephone Corporation | User authentication system and method for the same |
| JP5127469B2 (ja) * | 2008-01-11 | 2013-01-23 | 株式会社東芝 | サーバ装置、リファレンス保管装置及びリファレンス生成装置 |
-
2012
- 2012-09-26 SG SG11201502281SA patent/SG11201502281SA/en unknown
- 2012-09-26 CN CN201280076051.1A patent/CN104685824B/zh active Active
- 2012-09-26 JP JP2012544354A patent/JP5456172B1/ja active Active
- 2012-09-26 WO PCT/JP2012/074781 patent/WO2014049749A1/ja active Application Filing
-
2015
- 2015-03-26 US US14/670,038 patent/US9736151B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070220274A1 (en) * | 2005-10-17 | 2007-09-20 | Saflink Corporation | Biometric authentication system |
| CN101383708A (zh) * | 2007-09-06 | 2009-03-11 | 株式会社日立制作所 | 认证服务器、客户终端、生物体认证系统、方法及程序 |
| US20120019379A1 (en) * | 2009-06-22 | 2012-01-26 | Mourad Ben Ayed | Systems for three factor authentication challenge |
| CN101777115A (zh) * | 2009-11-25 | 2010-07-14 | 中国科学院自动化研究所 | 一种安全的指纹认证方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113678125A (zh) * | 2019-04-03 | 2021-11-19 | 钥匙链有限责任公司 | 用于身份验证的生物特征数字签名生成 |
Also Published As
| Publication number | Publication date |
|---|---|
| SG11201502281SA (en) | 2015-05-28 |
| JP5456172B1 (ja) | 2014-03-26 |
| US20150200935A1 (en) | 2015-07-16 |
| WO2014049749A1 (ja) | 2014-04-03 |
| JPWO2014049749A1 (ja) | 2016-08-22 |
| CN104685824B (zh) | 2018-07-10 |
| US9736151B2 (en) | 2017-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104685824A (zh) | 生物体参照信息登记系统、装置及程序 | |
| JP6992105B2 (ja) | 認証能力を決定するためのクエリシステム及び方法 | |
| US10783260B2 (en) | Method for providing simplified account registration service and user authentication service, and authentication server using same | |
| US10937267B2 (en) | Systems and methods for provisioning digital identities to authenticate users | |
| JP7046331B2 (ja) | 生体情報基盤の電子署名認証システム及びその電子署名認証方法 | |
| CN106575416B (zh) | 用于向装置验证客户端的系统和方法 | |
| CN106464673B (zh) | 用于验证装置注册的增强的安全性 | |
| WO2017000829A1 (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| CN113302894B (zh) | 安全账户访问 | |
| CN108959933A (zh) | 用于基于风险的认证的风险分析装置及方法 | |
| AU2013205396B2 (en) | Methods and Systems for Conducting Smart Card Transactions | |
| CN108989278A (zh) | 认证服务系统及方法 | |
| EP1549021A1 (en) | Access controlled by security token and mediated by sever | |
| US11023573B2 (en) | Password reset for multi-domain environment | |
| JP5276346B2 (ja) | 認証サーバ、認証方法、及びそのプログラム | |
| US11663318B2 (en) | Decentralized password vault | |
| CN113711560A (zh) | 用于有效质询-响应验证的系统和方法 | |
| CN109587123A (zh) | 双因子验证方法及认证服务器、生物特征验证服务器 | |
| CN109428725B (zh) | 信息处理设备、控制方法和存储介质 | |
| KR102104823B1 (ko) | 인증프로세스의 단계분할과 생체인증을 접목한 개인정보침해 방어 방법 및 시스템 | |
| KR100648986B1 (ko) | 전자명함 서비스 시스템 및 방법과 전자명함 인증 장치 및방법과 이를 위한 컴퓨터로 읽을 수 있는 기록 매체 | |
| KR101221728B1 (ko) | 그래픽 otp 인증을 위한 인증처리서버 및 그 방법 | |
| US11108769B2 (en) | Cryptobionic system and associated devices and methods | |
| US20210126793A1 (en) | Method, system and non-transitory computer-readable recording medium for supporting non-face-to-face authentication in a blockchain network | |
| KR101541539B1 (ko) | 인증서 운영 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |