CN110048993A - 信息处理设备、信息处理设备所用的方法和程序存储介质 - Google Patents

信息处理设备、信息处理设备所用的方法和程序存储介质 Download PDF

Info

Publication number
CN110048993A
CN110048993A CN201811399950.0A CN201811399950A CN110048993A CN 110048993 A CN110048993 A CN 110048993A CN 201811399950 A CN201811399950 A CN 201811399950A CN 110048993 A CN110048993 A CN 110048993A
Authority
CN
China
Prior art keywords
information
biological information
service
user
biological
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811399950.0A
Other languages
English (en)
Other versions
CN110048993B (zh
Inventor
佐藤铁也
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Publication of CN110048993A publication Critical patent/CN110048993A/zh
Application granted granted Critical
Publication of CN110048993B publication Critical patent/CN110048993B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/12Fingerprints or palmprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/14Vascular patterns
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/16Human faces, e.g. facial parts, sketches or expressions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/18Eye characteristics, e.g. of the iris
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/70Multimodal biometrics, e.g. combining information from different biometric modalities

Abstract

本发明涉及一种信息处理设备、信息处理设备所用的方法和程序存储介质。移动终端使用生物特征信息传感器所读取的生物特征信息进行用户的登录处理,创建在使用网络上的服务时进行的认证处理所需的私钥和与该私钥相对应的公钥,将所创建的私钥与在登录处理时读取的生物特征信息相关联地存储在存储器中,并且发出以下请求,该请求用于将与生物特征信息相对应的认证信息ID以及与同该生物特征信息相关联地存储在存储器中的私钥相对应的公钥登记在服务中。

Description

信息处理设备、信息处理设备所用的方法和程序存储介质
技术领域
本发明涉及用于在网络服务中提供安全的认证方法并提高用户的可用性的技术。
背景技术
近年来,作为包括生物特征(biometric)认证的新认证系统的在线快速识别(FIDO)已变得可用。在生物特征认证所使用的诸如指纹和静脉图案等的生物特征信息的情况下,不同于传统的ID/密码认证所用的密码,由于生物特征信息不能被改写,因此机密信息的泄漏变得致命。
另一方面,FIDO预先在用户所使用的装置和提供web服务的服务器之间进行登记处理。在登记处理中,接收服务的提供的装置存储与用户的生物特征认证链接的私钥,并且服务器中登记有与生物特征认证链接的认证识别信息、以及与私钥配对的公钥等。此外,不是经由因特网在服务器中而是在用户所使用的装置中进行认证。另外,在网络上发送使用私钥签名的认证结果。也就是说,由于生物特征信息不在网络上发送,因此可以认为信息泄露的风险很小。
日本特开2017-103546描述了如下的通信系统:移动终端自动将预先登记在自身设备中的终端认证信息发送至多功能打印机(MFP),并且MFP通过将该终端认证信息与MFP中的常规终端认证信息进行对照来自动进行终端认证处理。
然而,在日本特开2017-103546的通信系统中,需要在移动终端中针对各MFP登记终端认证信息,因而要使用的各MFP所需的登记对于用户而言是耗时的。此外,在日本特开2017-103546的通信系统中,在使用MFP时,除终端认证外,还进行生物特征认证,但没有考虑到针对生物特征认证预先进行的登记作业。
发明内容
本发明提供能够提高用户的可用性并且提供安全的认证方法的信息处理设备。
根据本发明的实施例的一种信息处理设备,包括存储器和生物特征信息传感器,所述存储器具有防篡改性并且被配置为存储进行认证处理时所需的用户的生物特征信息,所述生物特征信息传感器被配置为读取生物特征信息,其中,所述信息处理设备还包括:执行单元,用于使用所述生物特征信息传感器所读取的生物特征信息来执行所述用户的登录处理;创建单元,用于创建在使用网络上的服务时进行的所述认证处理所需的第一私钥、以及与所述第一私钥相对应的第一公钥;存储单元,用于将所创建的第一私钥与在所述登录处理时读取的生物特征信息相关联地存储在所述存储器中;以及登记单元,用于发出用于将所述第一公钥和与所述生物特征信息相对应的第一识别信息登记在所述网络上的服务中的请求。
根据本发明的实施例的一种信息处理设备所用的方法,所述信息处理设备包括存储器和生物特征信息传感器,所述存储器具有防篡改性并且被配置为存储进行认证处理时所需的用户的生物特征信息,所述生物特征信息传感器被配置为读取生物特征信息,所述方法包括:使用所述生物特征信息传感器所读取的生物特征信息来执行所述用户的登录处理;创建在使用网络上的服务时进行的所述认证处理所需的第一私钥、以及与所述第一私钥相对应的第一公钥;将所创建的第一私钥与在所述登录处理时读取的生物特征信息相关联地存储在所述存储器中;以及发出用于将所述第一公钥和与所述生物特征信息相对应的第一识别信息登记在所述网络上的服务中的请求。
根据本发明的实施例的一种存储介质,其存储用于使计算机执行信息处理设备中的方法的计算机程序,所述信息处理设备包括存储器和生物特征信息传感器,所述存储器具有防篡改性并且被配置为存储进行认证处理时所需的用户的生物特征信息,所述生物特征信息传感器被配置为读取生物特征信息,所述方法包括:使用所述生物特征信息传感器所读取的生物特征信息来执行所述用户的登录处理;创建在使用网络上的服务时进行的所述认证处理所需的第一私钥、以及与所述第一私钥相对应的第一公钥;将所创建的第一私钥与在所述登录处理时读取的生物特征信息相关联地存储在所述存储器中;以及发出用于将所述第一公钥和与所述生物特征信息相对应的第一识别信息登记在所述网络上的服务中的请求。
通过以下参考附图对典型实施例的说明,本发明的更多特征将变得明显。
附图说明
图1是示出根据本发明的实施例的系统的整体结构的示例的图。
图2A和2B是示出各设备的硬件结构的示例的图。
图3A和3B是示出各设备的功能结构的示例的图。
图4是示出登录到移动终端的处理的流程图。
图5A~5D是示出第一实施例中的移动终端所显示的用户界面(UI)的示例的图。
图6是示出将认证器(authenticator)登记在服务中的处理的序列的图。
图7A~7C是示出在登记认证器时使用的参数的示例的图。
图8是示出根据第一实施例的证书创建处理的流程图。
图9是示出使用服务时的认证处理的序列的图。
图10A~10C是示出在生物特征认证时使用的参数的示例的图。
图11是示出根据第二实施例的证书创建处理的流程图。
图12是示出第二实施例中的移动终端所显示的UI的示例的图。
具体实施方式
以下将参考附图等来说明本发明的实施例。
本发明涉及如下的机制:在针对经由网络从外部系统提供的服务来认证用户时,经由用户所使用的装置(信息处理设备)进行生物特征认证,结果针对该服务来认证用户。这可以通过预先将与用户所使用的装置中的生物特征认证相关联的信息(例如,认证识别信息和公钥等)登记在服务中来实现。这种机制的示例包括在线快速识别(FIDO),但应该注意,本发明不限于FIDO。
[第一实施例]
<系统的结构>
图1是示出根据本发明的实施例的系统的整体结构的示例的图。
图1所示的系统包括移动终端101和服务器102。移动终端101是诸如智能电话、平板电脑、可穿戴终端和笔记本型个人计算机等的信息处理设备。服务器102是提供服务的外部系统,并且可以包括多个设备。另外,可以使用诸如虚拟机和存储器等的资源来构造服务器102的一部分或全部。
移动终端101和服务器102经由网络103连接。网络103例如是局域网(LAN)和诸如因特网等的广域网(WAN)、电话电路、专用数字电路、异步传输模式(ATM)电路、帧中继电路、有线电视电路和数据广播无线电路等。
此外,网络103可以是通过以上这些的组合所实现的所谓的通信网络。除上述的网络电路外,网络103例如还包括诸如近场通信(NFC)和蓝牙(Bluetooth,注册商标)等的短程无线通信等。网络103需要能够发送和接收数据。
<移动终端的硬件结构>
图2A是示出移动终端101的硬件结构的示例的图。
系统总线201使处理单元202~210彼此连接。中央处理单元(CPU)202执行只读存储器(ROM)204和存储设备205中所存储的操作系统(OS)和其它程序,并且经由系统总线201总体控制处理单元202~210。程序还包括被配置为实现后面将说明的流程图的程序。
RAM 203用作CPU 202的存储器和工作区。存储设备205是诸如固态驱动器(SSD)和SD存储卡等的存储设备,并且用作外部存储设备。篡改模块(TPM)206是防止从外部读取所存储的数据并用于处理并存储机密信息的目的的具有防篡改性的存储部件。
在本实施例中,TPM 206存储诸如生物特征信息传感器211所读取的与指纹、虹膜和和静脉图案有关的信息等的生物特征信息本身、以及与生物特征信息相关联的各种信息。各种信息例如是生物特征信息的特征量以及与生物特征信息相关联地创建的私钥等。在下文中,将生物特征信息和与生物特征信息相关联的各种信息称为“生物特征信息”。
网络接口(I/F)207使用无线保真(Wi-Fi)等在一个方向或两个方向上与外部网络机交换数据。生物特征信息传感器208是被配置为读取用户的生物特征信息(诸如指纹、虹膜、静脉图案、语音和面部等)的传感器,并且例如将用户的生物特征信息转换成读取信号。注意,生物特征信息不限于此。生物特征信息传感器208使用专用读取装置、照相机和麦克风等来实现,并且移动终端101可以包括多个生物特征信息传感器208。
触摸面板209具有两个功能(即,显示和输入),并且显示应用程序画面或键盘画面等,并且在用户用手指或专用笔按压画面时,触摸面板209将所触摸的画面位置作为信号信息输出至外部。在应用程序使用输出信号信息时,用户可以经由触摸面板209操作应用程序。
生物特征信息传感器208和触摸面板209可被安装成重叠,因而可以根据对触摸面板209的操作来读取用户的指纹信息。邻近通信I/F 210是与用于诸如NFC和蓝牙等的邻近通信所用的通信方法相对应的网络I/F。
<服务器的内部结构>
图2B是示出服务器102的硬件结构的示例的图。
服务器102可以包括一般的信息处理设备的硬件。CPU 241执行ROM 243中所存储的程序、以及从外部存储器250加载到RAM 242的诸如OS(操作系统)和应用程序等的程序。也就是说,CPU 241用作用以通过执行可读存储介质中所存储的程序来进行后面将说明的各流程图的处理的各处理单元。
RAM 242是CPU 241用的主存储器并且用作工作区等。键盘控制器244控制来自键盘248和指点装置(未示出)的输入操作。指点装置例如是鼠标、触摸板、触摸面板和轨迹球等。显示控制器245控制显示器249的显示。
盘控制器246控制对用于存储各种数据的例如硬盘(HD)和软盘(FD)等的外部存储器250的数据访问。网络I/F 247连接至网络,并且进行与连接至网络的其它装置的通信控制处理。此外,网络I/F 247还接受诸如NFC和蓝牙等的邻近通信所用的通信方法,与移动终端101等进行通信,并且与移动终端101交换数据。系统总线251使处理单元241~250彼此连接。
<移动终端的功能结构>
图3A是示出移动终端101的功能结构的示例的图。
移动终端101包括登录应用程序300、协作应用程序310和认证器320。在CPU 202将ROM 204中所存储的程序读入RAM 203并执行该程序时,实现登录应用程序300、协作应用程序310和认证器320。
登录应用程序300进行用户向移动终端101的登录处理。后面将说明登录处理的详情。登录应用程序300包括显示单元301和终端用户认证控制单元302。显示单元301是被配置为经由触摸面板209向用户提供UI(用户界面)的软件模块。例如,显示单元301例如经由触摸面板209显示被配置为认证移动终端101的用户的画面并且接收用户的操作。
终端用户认证控制单元302是被配置为将经由显示单元301接收到的与认证相关联的事件传递至认证器320并且从认证器320接收认证结果的软件模块。注意,尽管在本实施例中假定将登录应用程序300加载在OS中作为标准,但本发明不限于此。例如,如果用户所安装的应用程序具有与登录应用程序300相同的功能,则可以利用该应用程序替换登录应用程序300。
协作应用程序310与服务器102协作地将认证功能和服务器102的服务提供至用户。协作应用程序310是移动终端101中所安装的本机应用程序或web浏览器。协作应用程序310包括显示单元311、通信单元312、认证器登记控制单元313和服务认证控制单元314。
显示单元311是被配置为经由触摸面板209向用户提供UI(用户接口)的软件模块。显示单元311显示用于将认证器320登记在服务器102中的画面、以及后面将参考图3B所述的用于使用服务器102的服务370所提供的功能的画面。通信单元312是被配置为经由网络I/F 207与诸如服务器102等的外部设备进行通信的软件模块。
认证器登记控制单元313是被配置为对认证器320进行后面将说明的证书创建请求的软件模块。注意,尽管在本实施例中认证器登记控制单元313包括在协作应用程序310中,但本发明不限于此。例如,认证器登记控制单元313可以独立于协作应用程序310来配置,并且协作应用程序310可以调用独立的认证器登记控制单元313。
此外,认证器登记控制单元313可以加载在OS中作为标准。这样,在独立于应用程序提供认证器登记控制单元313时,可以提供如下的配置:协作应用程序310以及其它应用程序可以调用认证器登记控制单元313。
服务认证控制单元314接收来自服务器102等的请求,以向认证器320请求生物特征认证处理,并且生成在认证时发送至服务器102的请求。此外,服务认证控制单元314接收生物特征认证处理的结果。后面将说明服务认证控制单元314所进行的具体处理流程。注意,与认证器登记控制单元313相同,服务认证控制单元314可以独立于协作应用程序310来配置。
认证器320是使用生物特征信息传感器208所读取的生物特征信息的生物特征认证所用的认证模块。认证器320包括认证器登记处理单元321、终端用户认证处理单元322、服务认证处理单元323、生物特征信息请求单元324、终端用户信息存储单元325和服务认证信息存储单元326。
认证器登记处理单元321是被配置为从协作应用程序310中的认证器登记控制单元313接收证书创建请求以创建成对密钥(私钥和公钥)以及证书的软件模块。终端用户认证处理单元322是被配置为从登录应用程序300中的终端用户认证控制单元302接收认证请求并且使用终端用户信息存储单元325中所存储的信息来进行认证的软件模块。
服务认证处理单元323是被配置为从协作应用程序310中的服务认证控制单元314等接收生物特征认证请求并且使用生物特征信息传感器208所读取的生物特征信息来进行生物特征认证的软件模块。生物特征信息请求单元324是被配置为使用触摸面板209向用户提供用于接收生物特征信息的输入的UI的软件模块。
终端用户信息存储单元325是被配置为将移动终端101的用户信息等存储在TPM206中的软件模块。终端用户信息存储单元325中所存储的用户信息例如是在后面将说明的表A中列出的信息。服务认证信息存储单元326是被配置为将认证信息等存储在TPM 206中的软件模块。认证信息例如是在后面将说明的表B中列出的信息。注意,尽管在本实施例中登录应用程序300和认证器320被配置为单独的应用程序,但登录应用程序300和认证器320可被配置为单个应用程序。
<服务器的功能结构>
图3B是示出服务器102的功能结构的示例的图。
服务370在服务器102中工作。在CPU 241将服务器102内包括的ROM 243中所存储的程序读入RAM 242并执行该程序时,实现服务370。
服务370包括传统认证处理单元371、认证器信息处理单元372、通信单元373、呈现单元374、用户信息存储单元375、认证器信息存储单元376和令牌管理单元377。应当注意,在本实施例中,将进行用户ID和密码的一致性验证的认证称为“传统认证”,以将该认证与生物特征认证区分开。
传统认证处理单元371是被配置为验证通信单元373接收到的传统认证请求中所包括的用户ID和密码与用户信息存储单元375中所存储的用户ID和密码是否一致的软件模块。认证器信息处理单元372是被配置为使用通信单元373所接收到的证书来将与认证器320有关的信息存储在认证器信息存储单元376中的软件模块。此外,认证器信息处理单元372验证通信单元373所接收到的后面将说明的断言信息。
通信单元373是被配置为经由网络I/F 247与诸如移动终端101等的外部设备进行通信的软件模块。例如,通信单元373从移动终端101接收各种请求。呈现单元374是如下的软件模块,该软件模块被配置为响应于各种画面的获取请求,通过使用超文本标记语言(HTML)、级联样式表(CSS)、JavaScript(注册商标)或其它类型的web编程语言来生成画面、例如用于登记通信单元373所接收到的认证器320的画面。
用户信息存储单元375是被配置为将后面将使用表C和表F进行说明的与用户有关的信息(以下称为“用户信息”)存储在外部存储器250或外部存储系统(未示出)中的软件模块。认证器信息存储单元376是被配置为将后面将使用表E进行说明的与认证器320有关的信息(以下称为“认证器信息”)存储在外部存储器250或外部存储服务中的软件模块。令牌管理单元377是被配置为发出并验证后面将说明的令牌的软件模块。
<移动终端所管理的表>
以下将使用表A和B来说明由移动终端101存储在TPM 206中的各种类型的数据。具体地,表A和B中所示的表数据是由移动终端101内包括的认证器320中的终端用户信息存储单元325和服务认证信息存储单元326存储在TPM206中的数据。
表A终端用户信息表
用户ID 密码 生物特征信息ID 登录状态 认证方法
local_user_A ************ d493a744 登录 指纹
local_user_B ************ dcc97daa 注销
... ... ... ... ...
表A的终端用户信息表是移动终端101所管理的终端用户信息表的示例。终端用户信息存储单元325将该终端用户信息表存储在TPM 206中并进行管理。在终端用户信息表中,一个记录表示一个终端用户的一个信息的条目。用户ID列存储传统认证等所使用的、移动终端101可以唯一地识别用户的ID。
密码列存储用于认证用户以供用户登录到移动终端101的密码。生物特征信息ID列存储与生物特征信息的特征量相对应的ID。在用户所输入的密码或者同生物特征信息相对应的生物特征信息ID与表中的一致的情况下,移动终端101许可登录到移动终端101。在将用户登记到移动终端101时,设置用户ID、密码和生物特征信息ID。后面将使用图4来说明登录到移动终端101的处理的详情。
登录状态列存储表示用户当前是否登录的信息。认证方法列存储表示用户已登录的认证方法的信息。例如,在用户经由作为生物特征认证其中之一的指纹认证而已登录的情况下,认证方法列存储例如“指纹”作为表示认证方法是指纹认证的信息。以下将使用图4来说明用于存储与登录状态列和认证方法列相对应的信息的过程。
表B服务认证信息管理表
在表B的服务认证信息管理表中,一个记录表示一个认证信息的条目。在将认证器320登记在服务中时,创建表B的记录并将该记录添加至表B。认证信息ID列存储用于唯一地识别各认证信息的ID。服务ID列存储用于唯一地识别使用利用生物特征信息的认证功能的服务的ID。
在本实施例中,作为服务ID,使用服务器和服务的域名(具体为与顶层域和二级域有关的信息)。例如,在服务370的统一资源定位符(URL)为http://www.service.com的情况下,将服务370的服务ID设置为service.com。
私钥列存储针对生物特征信息所创建的成对密钥中的私钥。将私钥列中的对应公钥(即,与私钥配对的公钥)登记到在服务ID列中指示的服务中。生物特征信息ID列存储与生物特征信息的特征量相对应的ID。后面将说明用于存储与服务认证信息管理表中的各列相对应的信息的过程和用于将公钥存储在服务370中的过程。
<服务器所管理的表>
将使用表C~F来说明服务器102所存储的各种类型的数据。具体地,表C~F中所列出的表数据是由服务器102内包括的服务370的各软件模块存储在外部存储器250或外部存储系统中的数据。
表C用户信息管理表
用户ID 密码 邮件地址
user001 ************ user001@co.jp
user004 ************ user004@co.jp
... ... ...
表C的用户信息管理表是服务370的用户信息存储单元375所管理的数据。在用户信息管理表中,一个记录表示服务370的一个用户信息的条目。用户ID列存储用于唯一地识别服务370的用户的ID。密码列存储用于认证用户的密码。邮件地址列存储用户的邮件地址。应当注意,用户信息管理表除可以存储邮件地址外,还可以存储诸如用户的地址等的与用户相关联的属性信息作为用户信息。
表D证明质询管理表
证明质询 用户ID 有效期
65C9B063-9C33 user001 2017-05-02T12:00:34Z
7317EFBA-4E63 user101 2017-05-02T12:03:12Z
... ... ...
表D的证明质询(attestation challenge)管理表是服务370的用户信息存储单元375所管理的数据。在证明质询管理表中,一个记录表示一个证明质询信息的条目。证明质询是作为用于进行质询响应认证的验证用数据所使用的参数,并且是针对各用户发出的。
后面将说明发出证明质询的处理。证明质询列存储证明质询的值。用户ID列存储发出证明质询的用户的用户ID。有效期列存储证明质询的有效期。
表E认证器信息管理表
认证信息ID 公钥 用户ID
407c-8841-79d AC43C5FB-BFA2-48D1-A71B-FB04ACDA347A user001
4c04-428b-a7a2 8143CA9F-35C9-4333-948F-BFCE66A74310 user002
... ... ...
表E的认证器信息管理表是服务370的认证器信息存储单元376所管理的数据。在认证器信息管理表中,一个记录表示一个认证器信息。在登记认证器320的情况下,向认证器信息管理表添加记录。认证信息ID列存储通过使用服务认证信息管理表(即,表B)管理所登记的认证器320的认证信息的认证信息ID列的值。
公钥列存储与认证器320所创建的并且经由服务认证信息管理表(即,表B)管理的私钥相对应的公钥(即,与该私钥配对的公钥)。也就是说,如果在服务认证信息管理表(即,表B)和认证器信息管理表(即,表E)中私钥和公钥具有相同值的认证信息ID,则可以利用表E中的公钥对利用表B的私钥加密后的数据进行解密。用户ID列存储在服务370唯一地识别用户时使用的ID。
表F令牌管理表
令牌 用户ID 有效期
3FD4FA-AA4-56DC-B45F-45BCD65AC45D user001 2017-05-02T13:14:31Z
EC51DC-36C4-4BC3-54CF-31ECE6CACBF0 user003 2017-05-02T13:31:32Z
... ... ...
表F的令牌管理表是服务370的用户信息存储单元375所管理的数据。在本实施例中,作为使用后面将说明的生物特征信息的一系列认证处理成功的结果,利用服务370发出令牌。协作应用程序310在使用服务370时,可以通过提供所发出的令牌并发送请求来使用服务370所提供的功能。
在令牌管理表中,一个记录表示一个令牌信息。令牌列存储令牌。用户ID列存储服务370唯一地识别用户的ID。有效期列存储令牌的有效期。在令牌管理表的令牌列中存在提供给来自用户的请求的令牌并且其时间段没有超过有效期列的有效期的情况下,服务370接收到该请求。
<向移动终端的登录处理>
以下将参考图4和5A来说明向移动终端101的登录处理。
图4是用于说明向移动终端101的登录处理的流程图。
首先,在步骤S401中,登录应用程序300的显示单元301显示登录画面。
图5A是在步骤S401中显示的登录画面的示例。
登录画面500是在登录应用程序300的显示单元301中显示的UI。文本框501是被配置为允许输入移动终端101的用户ID的文本框。文本框502是被配置为允许输入密码的文本框。按钮503是被配置为接收使用输入至文本框501和502的用户ID和密码的登录请求的按钮。
按钮504是被配置为读取诸如指纹等的生物特征信息的按钮,并且包括生物特征信息传感器208。应当注意,可以使用诸如静脉、虹膜、语音和面部等的信息作为生物特征信息,并且本发明不限于此。这里,移动终端101被配置为输入任何生物特征信息或多个生物特征信息的任何组合作为生物特征认证所使用的生物特征信息。
此外,按钮504是被配置为读取诸如指纹等的生物特征信息并且接收使用该生物特征信息的登录请求的按钮。这样,在本实施例中,移动终端101可以进行使用用户ID和密码的登录以及使用生物特征信息的登录。应当注意,登录到移动终端101的方法不限于此,并且例如,可以存在使用其它方法来接收登录请求(诸如使用PIN码的登录等)的配置。
将通过再次参考图4来提供说明。在步骤S402中,显示单元301判断是否检测到认证事件。在本实施例中,在登录画面500中在检测到按钮503的推压时或者在按钮504检测到用户的手指时,发生认证事件。在判断为检测到了认证事件的情况下,处理进入步骤S403的处理,并且在判断为没有检测到认证事件的情况下,继续认证事件的监视。
在步骤S403中,显示单元301判断认证事件是由于检测到按钮503的推压还是通过按钮504检测到用户的手指引起的。在判断为认证事件是由于检测到按钮503的推压引起的情况下,显示单元301将输入至登录画面500的用户ID和密码经由终端用户认证控制单元302传递至认证器320的终端用户认证处理单元322。然后,处理进入步骤S404的处理。
另一方面,在判断为认证事件是由于通过按钮504检测到用户的手指引起的情况下,显示单元301经由终端用户认证控制单元302向认证器320的终端用户认证处理单元322请求生物特征认证。然后,处理进入步骤S405的处理。
在步骤S404中,认证器320的终端用户认证处理部322使用在步骤S403中传递的用户ID和密码来进行传统认证。具体地,终端用户认证处理单元322通过验证在步骤S403中传递的用户ID和密码的组合是否存储在终端用户信息存储单元325所管理的终端用户信息表(即,表A)中来进行对用户的认证。
在步骤S405中,显示单元301经由按钮504中所包括的生物特征信息传感器208读取生物特征信息。此外,显示单元301将所读取的生物特征信息经由终端用户认证控制单元302传递至认证器320的终端用户认证处理单元322。
在步骤S406中,认证器320的终端用户认证处理单元322使用在步骤S405中传递的生物特征信息来进行生物特征认证。具体地,终端用户认证处理单元322通过从终端用户信息存储单元325所管理的终端用户信息表(即,表A)中识别与在步骤S405中传递的生物特征信息的特征量相对应的生物特征信息ID,来进行对用户的认证。
在步骤S407中,终端用户认证处理部322判断步骤S404或步骤S406的认证是否成功。在判断为认证成功的情况下,处理进入步骤S408的处理。另一方面,在判断为认证失败的情况下,将表示认证失败的信息传递至登录应用程序300的终端用户认证控制单元302,然后处理进入步骤S410。
在步骤S408中,终端用户认证处理单元322经由终端用户信息存储单元325更新终端用户信息表(即,表A)中的登录状态列和认证方法列。例如,在判断为认证事件由于通过按钮504检测到用户的手指而发生的情况下,将登录状态列更新为表示登录已完成的“登录”,并且将认证方法列更新为表示已进行了指纹认证的“指纹”。
在步骤S409中,移动终端101的OS显示主画面(未示出)并且图4所示的处理结束。主画面上配置有被配置为调用协作应用程序310或其它应用程序的按钮等。在S410中,登录应用程序300的显示单元301显示表示判断为登录已失败的UI(未示出)并且图4所示的处理结束。
<认证器的登记处理>
以下将参考图5B~8来说明将移动终端101的认证器320登记在服务器102的服务370中的处理。
将与认证器有关的信息登记在服务中被简称为“认证器登记”。
图5B是示出移动终端101的协作应用程序310的顶层画面的示例的图。
协作应用程序310的顶层画面530是协作应用程序310的显示单元311上所显示的UI。在图4的步骤S409中显示的主画面(未示出)中,在检测到被配置为调用协作应用程序310的按钮的推压时,显示单元301显示顶层画面530。
顶层画面530包括按钮531和按钮532。按钮531是用于将认证器320登记在服务器102的服务370中的按钮。在推压按钮531时,接收到向服务370的登记请求。按钮532是用于接收向服务器102的服务370的生物特征认证请求的按钮。将参考图9来说明服务370中的生物特征认证处理。在检测到按钮531的推压时,协作应用程序310的显示单元311显示图5C所示的传统认证画面。
图5C是示出传统认证画面的示例的图。
传统认证画面570是显示单元311的协作应用程序310所显示的UI。传统认证画面570包括文本框571和572以及按钮573。文本框571是用于输入服务器102的服务370中的用户ID的文本框。
文本框572是用于输入密码的文本框。按钮573是用于接收使用输入到文本框571和572的用户ID和密码的传统认证请求的按钮。在协作应用程序310的显示单元311检测到按钮573的推压时,图6所示的处理开始。
图6是示出将移动终端101的认证器320登记在服务器102的服务370中的处理的序列的图。
在步骤S601中,协作应用程序310的通信单元312使用输入至传统认证画面570的用户ID和密码作为参数,将传统认证请求发送至服务器102的服务370。
在步骤S602中,服务370的传统认证处理单元371验证所接收到的ID和密码。在传统认证的结果是错误的情况下,传统认证处理单元371将认证错误返回至协作应用程序310。图6示出传统认证成功的情况。
在步骤S603中,服务370的令牌管理单元377发出令牌并且用户信息存储单元375使用令牌管理表(即,表F)来管理与令牌有关的信息。在步骤S604中,服务370的通信单元373将在步骤S603中发出的令牌返回至协作应用程序310。
在步骤S605中,协作应用程序310的通信单元312将认证器登记请求发送至服务370。认证器登记请求包括在步骤S604中接收到的令牌。在后续处理中,从协作应用程序310向服务370的请求同样包括令牌。
在步骤S606中,服务370的认证器信息处理单元372创建登记参数700。在步骤S606的处理中,令牌管理单元377验证步骤S605中的请求中所包括的令牌的有效性,并且在该令牌被验证为有效时进行该处理。在步骤S605的请求中所包括的令牌存在于令牌管理表(即,表F)中并且其时间段没有超过有效时段的情况下,判断为令牌的有效性为有效。
登记参数是在服务器102进行认证器320的登记处理时使用的数据。认证器320经由协作应用程序310接收登记参数,并且使用登记参数中所包括的数据来创建证书。然后,服务器102经由协作应用程序310接收证书,并且基于证书而验证为来自协作应用程序310的登记请求不是未经授权的请求。以下将说明登记参数。
图7A~7C是示出在登记认证器320时在移动终端101和服务器102之间的通信中包括的参数的示例的图。
这里,将参考图7A来说明登记参数。登记参数700包括账户信息701、加密参数702、证明质询703和认证扩展区域704。
账户信息701存储服务370中的与用户有关的属性信息,诸如通过步骤S602的传统认证所识别的用户ID以及与用户ID相关联的邮件地址等。加密参数702存储与要登记的认证信息相关联的属性信息,诸如服务370所支持的加密算法等。证明质询703存储用于进行质询响应认证的验证用数据。
验证用数据(也就是说,证明质询703)是在步骤S606中创建登记参数时创建的,并且与用户ID或有效期等相关联地存储在证明质询管理表(即,表D)中。认证扩展区域704存储服务370控制协作应用程序310和认证器320等的操作所使用的并且可以由服务370指定的扩展参数。
将通过再次参考图6来提供说明。在步骤S607中,服务370的通信单元373将证书创建请求发送至协作应用程序310。该请求包括在步骤S606中创建的登记参数700。在步骤S608中,协作应用程序310的认证器登记控制单元313将证书创建请求发送至认证器320。证书创建请求包括Auth登记参数。以下将说明Auth登记参数。
图7B是示出Auth登记参数的示例的图。
Auth登记参数720包括登记参数700、服务ID 721和Web源(Web Origin)722。登记参数700与在步骤S607中从服务370接收到的登记参数700相同。
服务ID 721是参考表B等所述的用于唯一地识别认证器320的要登记的服务370的ID。Web源722是协议、主机名和端口的组合,并且在本实施例中存储服务370的源。
将通过再次参考图6来提供说明。在步骤S609中,认证器320进行证书创建处理。以下将说明认证器320中的证书创建处理。
图8是用于说明认证器320所进行的证书创建处理的流程图。
在步骤S801中,认证器登记处理单元321经由终端用户认证处理单元322判断用户是否已使用生物特征认证而登录到移动终端101。具体地,终端用户认证处理单元322通过经由终端用户信息存储单元325参考终端用户信息表A,确认了当前登录用户已使用生物特征认证而登录。
例如,在终端用户信息表(即,表A)的登录状态列的值是“登录”并且认证方法列的值是表示作为生物特征认证其中之一的指纹认证的“指纹”的情况下,判断为用户已使用生物特征认证而登录。在判断为用户已使用生物特征认证而登录的情况下,处理进入步骤S802的处理。在判断为用户没有使用生物特征认证而登录的情况下,处理进入步骤S803的处理。
在步骤S802中,认证器登记处理部321经由终端用户认证处理单元322从终端用户信息表(即,表A)获取已使用生物特征认证而登录的用户的生物特征信息ID。在步骤S803中,生物特征信息请求单元324显示用于提示用户输入(或出示)生物特征信息的同意画面。
图5D是示出同意画面的示例的图。
同意画面590是认证器320中的生物特征信息请求单元324所显示的UI。在同意画面590中,提示用户输入(或出示)将认证器320登记在服务370中所需的生物特征信息。按钮591是用户在不同意生物特征信息的输入的情况下取消处理的按钮。如上所述,按钮504是被配置为读取诸如指纹等的生物特征信息的按钮,并且包括生物特征信息传感器208。
将通过再次参考图8来提供说明。在步骤S804中,生物特征信息请求单元324监视生物特征信息的输入,直到按钮504检测到生物特征信息的输入为止。在输入了生物特征信息的情况下,处理进入步骤S805的处理。在步骤S805中,生物特征信息请求单元324创建按钮504中包括的生物特征信息传感器208所读取的生物特征信息的特征量和用于唯一识别生物特征信息的生物特征信息ID。
在步骤S806中,认证器登记处理部321创建公钥和私钥的对。此外,认证器登记处理单元321通过使用服务认证信息存储单元326将以下信息存储在TPM 206内所存储的服务认证信息管理表(即,表B)中。
在步骤S802中获取到的或者在步骤S805中创建的生物特征信息ID、在步骤S806创建的密钥对中的私钥、以及证书创建请求中所包括的Auth登记参数720的服务ID 721彼此关联并且被存储为认证信息。此外,针对所存储的各认证信息创建用于唯一地识别各认证信息的ID,并且将该ID作为认证信息ID存储在服务认证信息管理表(即,表B)中。在步骤S807中,认证器登记处理单元321创建证书并且图8所示的处理结束。以下将说明证书。
图7C是示出证书的示例的图。
证书740包括认证信息ID 741、算法742、公钥743和证明744。认证信息ID 741与在步骤S806中存储在服务认证信息管理表(即,表B)中的认证信息ID相同,并且公钥743与在步骤S806中创建的密钥对的公钥相同。
作为算法742,存储在步骤S806中创建密钥对时使用的算法。此外,证明744是通过使用在步骤S806中创建的私钥来对证书创建请求中所包括的Auth登记参数720的证明质询703进行加密所创建的数据。
将通过再次参考图6来提供说明。在步骤S610中,认证器登记处理单元321将在步骤S807中创建的证书740返回至协作应用程序310。在步骤S611中,协作应用程序310的通信单元312将在步骤S610中接收到的证书740发送至服务370。在步骤S612中,服务370的认证器信息处理单元372使用所接收到的证书740进行认证器登记处理。以下将说明认证器信息处理单元372所进行的证书的登记处理。
认证器信息处理单元372使用证书740中所包括的公钥743对同一证书740中所包括的证明744进行解密,并且验证出请求不是未经授权的登记请求。另外,认证器信息处理单元372在证明质询管理表(即,表D)中从证明质询列识别具有与通过使用公钥743对证明744进行解密所获得的值相同的值的记录。
此外,认证器信息处理单元372将所识别的记录的用户ID识别为与证书740相关联的用户ID。此外,认证器信息处理单元372将证书740中所包括的认证信息ID 741、公钥743和与证书740相关联的用户ID存储(或登记)在认证器信息管理表(即,表E)中。最后,服务370的通信单元373向协作应用程序310通知认证器320的登记处理已正常完成。
这样,在用户使用生物特征认证而登录到移动终端101并使移动终端101进行认证器320的登记处理的情况下,执行步骤S801和S802的处理,因此用户无需在登记处理中出示生物特征信息。
例如,在使用FIDO的服务提供系统中,需要针对用户期望使用的各服务进行认证器登记,并且每当进行认证器登记时都需要出示生物特征信息。
相反,根据本实施例,在用户使用生物特征认证而登录到移动终端101的情况下,使用在登录时出示的生物特征信息来进行认证器登记。因而,不再需要要求用户出示生物特征识别信息。由于该原因,提高了用户的可用性。
<服务认证处理>
以下将参考图9~10C来说明在登记认证器之后利用服务370的认证处理。
以下将说明在用户登录移动终端101的协作应用程序310以使用服务370时、服务370认证用户的情况。在协作应用程序310的显示单元311检测到推压了协作应用程序310的顶层画面530的按钮532的情况下,图9所示的处理开始。
图9是用于说明使用服务器102的服务370时的认证处理的序列的图。
在步骤S901中,协作应用程序310的通信单元312将生物特征认证参数的获取请求发送至服务器102的服务370。
在步骤S902中,服务370的认证器信息处理单元372创建生物特征认证参数。生物特征认证参数是在服务370认证协作应用程序310的用户时使用的数据。以下将说明生物特征认证参数。
图10A~10C是示出在使用生物特征信息的认证处理中在移动终端101和服务器102之间的通信中所包括的参数的示例的图。
这里,将参考图10A来说明生物特征认证参数。生物特征认证参数1000包括断言(Assertion)质询1001和断言扩展区域1002。
断言质询1001存储为了进行质询响应认证所使用的验证用数据。断言扩展区域1002存储服务370控制协作应用程序310和认证器320等的操作所使用的并且可以由服务370指定的扩展参数。
将通过再次参考图9来提供说明。在步骤S903中,服务370的通信单元373将在步骤S902中认证器信息处理单元372所创建的生物特征认证参数1000返回至协作应用程序310,并且请求生物特征认证。在步骤S904中,协作应用程序310的服务认证控制单元314将生物特征认证请求发送至认证器320。生物特征认证请求包括Auth生物特征认证参数。以下将说明Auth生物特征认证参数。
图10B是示出Auth生物特征认证参数的示例的图。
Auth生物特征认证参数1010包括生物特征认证参数1000、服务ID 1011和Web源1012。生物特征认证参数1000与在步骤S904中从服务370接收到的生物特征认证参数1000相同。服务ID 1011和Web源1012与图7B的Auth登记参数720的服务ID和Web源相同。
将通过再次参考图9来提供说明。在步骤S905中,认证器320的生物特征信息请求单元324针对用户请求生物特征信息。在请求生物特征信息时显示用于请求用户输入生物特征信息的画面(未示出)。在步骤S906中,认证器320的服务认证处理单元323进行生物特征认证。也就是说,将在步骤S905中获取到的生物特征信息与TPM 206中所存储的生物特征信息进行对照。
具体地,服务认证处理单元323判断在服务认证信息管理表(即,表B)的生物特征信息ID列中是否存在具有与在步骤S905中获取到的生物特征信息的特征量一致的特征量的记录。生物特征信息的特征量是通过将诸如指纹图案/虹膜形式/静脉类型/语音等的个体特有的特征量转换成不损害唯一性的值所获得的。
在生物特征认证中,使用个体特有的特征量来识别个体。在生物特征认证失败时,向协作应用程序310通知认证失败并且协作应用程序310向用户显示表示生物特征认证失败的错误消息(未示出)。图9示出生物特征认证成功的情况。在步骤S907中,服务认证处理单元323创建断言。断言是在服务370中的用于验证用户没有进行未经授权的请求这一事实的数据。以下将说明断言。
图10C是示出断言的示例的图。断言1020包括认证信息ID 1021和签名1022。以下将说明服务认证处理单元323获取构成断言1020的认证信息ID1021和签名1022并且创建断言1020的过程。
在上述的步骤S906中,认证器320的服务认证处理单元323将经由在步骤S905中显示的画面获取到的生物特征信息与TPM 206中所存储的生物特征信息进行对照。使用特征点提取方法和模式匹配方法等作为对照算法。然而,在本发明中,对照算法不受特别限制。
具体地,服务认证处理部323基于所获取到的生物特征信息来从服务认证信息存储单元326所管理的服务认证信息管理表(即,表B)识别记录。由于识别表示所获取到的生物特征信息的生物特征信息ID,因此在服务认证信息管理表(即,表B)中识别认证信息ID1021和与生物特征信息相对应的私钥。也就是说,在认证器320进行生物特征认证并且生物特征认证成功的情况下,获取私钥。
此外,服务认证处理单元323通过使用所识别的私钥对Auth生物特征认证参数1010中所包括的断言质询1001进行加密来创建签名1022(或签名数据)。此外,服务认证处理单元323创建包括所识别的认证信息ID 1021和所创建的签名1022的断言1020。
将通过再次参考图9来提供说明。在步骤S908中,服务认证处理单元323将在步骤S907中创建的断言1020返回至协作应用程序310。在步骤S909中,协作应用程序310的通信单元312将断言1020发送至服务器102。
在步骤S910中,服务370的认证器信息处理单元372验证在步骤S909中接收到的断言1020的有效性。具体地,认证器信息处理单元372使用通过利用断言1020中所包括的认证信息ID 1021而能够识别的公钥来对断言1020中所包括的签名1022进行解密。
此外,关于解密后的值与在步骤S902中创建的生物特征认证参数1000中所包括的断言质询1001是否一致进行验证。在识别公钥时,使用认证器信息管理表(即,表E)。在步骤S911中,服务370的令牌管理单元377向在步骤S910中验证了断言1020的用户发出令牌,并且将与令牌有关的信息存储在令牌管理表(即,表F)中。
在步骤S912中,服务370的通信单元373将在步骤S911中发出的令牌返回至协作应用程序310。在后续处理中,协作应用程序310可以通过将在步骤S912中接收到的令牌包括在发送至服务370的请求中来使用服务370所提供的功能。
[第二实施例]
在第一实施例中,已经说明了在登记认证器时需要的生物特征信息的数量为一个的情况。另一方面,在本实施例中,将说明在登记认证器时从服务器102的服务370获取使用多个生物特征信息的生物特征认证的情况。将参考图6、7、11和12来说明与第一实施例的构成要素不同的构成要素。
在将认证器320登记在图6所示的服务370中的处理中,在步骤S606中创建登记参数的处理和在步骤S609中创建证书的处理不同于第一实施例中的这些处理。在步骤S606中,服务370的认证器信息处理单元372创建登记参数700。这里,本实施例和第一实施例的不同之处在于,针对在本实施例中创建的登记参数700的认证扩展区域704指定认证器320所需的生物特征认证的类型。
例如,在服务370请求指纹认证和面部认证的情况下,认证扩展区域704存储以下信息。
{‘biometrics’:[‘fingerprint,’‘face’]}
这样,服务370使用认证扩展区域704从认证器320请求多个生物特征信息的登记。
在步骤S609中,认证器320的认证器登记处理单元321创建证书740。这里,将说明在本实施例中进行的证书创建处理。
图11是用于说明在本实施例中认证器320所进行的证书创建处理的流程图。
步骤S1101是与图8所示的第一实施例的证书创建处理中的步骤S801相同的处理。认证器登记处理单元321经由终端用户认证处理单元322判断用户是否已使用生物特征认证而登录到移动终端101。在用户已使用生物特征认证而登录的情况下,处理进入步骤S1102的处理,并且在用户没有使用生物特征认证登录的情况下,处理进入步骤S1105的处理。
在步骤S1102中,认证器登记处理部321判断用户为了登录到移动终端101所使用的生物特征信息的类型与在步骤S606中创建的登记参数700的认证扩展区域704中指定的生物特征信息的类型是否一致。可以经由终端用户认证处理单元322从终端用户信息表(即,表A)中从登记状态列的值为“登录”的记录的认证方法列的值获取用户为了登录到移动终端101所使用的生物特征信息的类型。
在判断为登录中所使用的生物特征信息的类型与在认证扩展区域704中指定生物特征信息的类型一致的情况下,则处理进入步骤S1103的处理,并且在判断为登录中所使用的生物特征信息的类型与在认证扩展区域704中指定生物特征信息的类型不一致的情况下,处理进入步骤S1105的处理。在步骤S1103中,认证器登记处理单元321经由终端用户认证处理单元322从终端用户信息表(即,表A)获取已使用生物特征认证而登录的用户的生物特征信息ID。
在步骤S1104中,认证器登记处理单元321判断是否已获取到与在步骤S606中创建的登记参数700的认证扩展区域704中指定的生物特征信息的类型相对应的生物特征信息ID。例如,可以假定在登录移动终端101时使用的生物特征信息的类型是指纹信息并且在步骤S606中创建的登记参数700的认证扩展区域704中指定的生物特征信息的类型是指纹信息和面部信息。在这种情况下,判断为不能获取与面部信息相对应的生物特征信息ID。
在判断为获取到了生物特征信息ID的情况下,处理进入步骤S1108的处理,并且在判断为没有获取到生物特征信息ID的情况下,处理进入步骤S1105的处理。在步骤S1105中,生物特征信息请求单元324显示提示用户输入生物特征信息的生物特征信息的请求画面。
图12是示出生物特征信息的请求画面的示例的图。
请求画面1202是认证器320的生物特征信息请求单元324所显示的UI。请求画面1202包括按钮1203和按钮1204。按钮1203是用于请求用户登记指纹信息的按钮。在检测到按钮1203的推压的情况下,生物特征信息请求单元324转变为提示用户输入生物特征信息的图5D的同意画面590。
此外,在用户的手指触摸上述按钮504的情况下,利用生物特征信息传感器208读取指纹信息。在已获取到与指纹信息相对应的生物特征信息ID的情况下,在请求画面1202上不显示按钮1203。按钮1204是用于请求用户登记面部信息的按钮。
生物特征信息请求单元324在检测到按钮1204的推压时启动检测到照相机1201,然后读取面部信息。照相机1201包括生物特征信息传感器208,并且认证器320获取照相机1201所读取的面部信息。在已获取到与面部信息相对应的生物特征信息ID的情况下,在请求画面1202上不显示按钮1204。
请求画面1202仅仅是示例,并且本发明不限于此。可以在请求画面1202上显示并非按钮1203和按钮1204的用于登记其它生物特征信息的按钮。在请求画面1202上显示与在步骤S606中创建的登记参数700的认证扩展区域704中指定的生物特征信息的类型相对应的登记按钮。
将通过再次参考图11来提供说明。在步骤S1106中,生物特征信息请求单元324监视生物特征信息的输入,直到经由按钮504和照相机1201等检测到该输入为止。在输入了生物特征信息的情况下,处理进入步骤S1107的处理。在步骤S1107中,生物特征信息请求单元324创建由按钮504和照相机1201等中的生物特征信息传感器208所读取的生物特征信息的特征量、以及用于唯一地识别生物特征信息的生物特征信息ID。
在步骤S1108中,认证器登记处理部321创建私钥和公钥的对。此外,认证器登记处理单元321使用服务认证信息存储单元326将各种信息存储在TPM 206内所存储的服务认证信息管理表(即,表G)中。在本实施例中,以下将使用表G来说明服务认证信息管理表中所存储的各种信息。
表G服务认证信息管理表
在本实施例中,表G的服务认证信息管理表是存储认证信息中所包括的各种信息的表。第一实施例中的表B所示的服务认证信息管理表和表G的服务认证信息管理表的不同之处在于,向表G添加了认证方法列。认证方法列存储在创建认证信息时使用的生物特征信息的类型。
例如,如果在步骤S606创建的登记参数700的认证扩展区域704中指定的生物特征信息的类型是指纹信息和面部信息,则在步骤S1108中,如表G的第一行和第二行所示,写入两个条目。在这两个条目中,认证方法列和生物特征信息ID列中的值不同。也就是说,在本实施例中,在登记参数700中指定生物特征认证的多个类型的情况下,基于登记参数700所创建的多个证书的认证信息ID和公钥使用共同值。
这样,在要登记认证器的服务中在认证时请求生物特征认证的两个以上的类型的情况下,在服务认证信息管理表中将相应条目的认证信息ID和私钥设置为共同值。因而,可以看出,在目标服务中需要多个生物特征认证。在表G所示的示例中,如第一行的条目和第二行的条目所示,可以判断为对于服务ID“service.com”需要指纹认证和面部认证。
此外,由于在多个条目中使用共同的认证信息ID和私钥,因此使用与私钥相对应的共同公钥。也就是说,在步骤S610中,返回至服务370的证书是针对服务认证信息管理表(即,表G)中的多个条目的共同证书。
将通过再次参考图11来提供说明。在步骤S1109中,认证器登记处理单元321创建证书740并且图11所示的处理结束。
这样,根据本实施例,即使在针对请求使用多个生物特征信息的生物特征认证的服务来登记认证器的情况下,也可以使用在用户登录到移动终端101时出示的生物特征信息来减轻与用户的登记作业相关联的负荷。
其它实施例
本发明的实施例还可以通过如下的方法来实现,即,通过网络或者各种存储介质将执行上述实施例的功能的软件(程序)提供给系统或装置,该系统或装置的计算机或是中央处理单元(CPU)、微处理单元(MPU)读出并执行程序的方法。
尽管已经参考典型实施例说明了本发明,但是应该理解,本发明不限于所公开的典型实施例。所附权利要求书的范围符合最宽的解释,以包含所有这类修改、等同结构和功能。
本申请要求2017年11月22日提交的日本专利申请2017-225133的优先权,在此通过引用包含其全部内容。

Claims (15)

1.一种信息处理设备,包括存储器和生物特征信息传感器,所述存储器具有防篡改性并且被配置为存储进行认证处理时所需的用户的生物特征信息,所述生物特征信息传感器被配置为读取生物特征信息,其中,所述信息处理设备还包括:
执行单元,用于使用所述生物特征信息传感器所读取的生物特征信息来执行所述用户的登录处理;
创建单元,用于创建在使用网络上的服务时进行的所述认证处理所需的第一私钥、以及与所述第一私钥相对应的第一公钥;
存储单元,用于将所创建的第一私钥与在所述登录处理时读取的生物特征信息相关联地存储在所述存储器中;以及
登记单元,用于发出用于将所述第一公钥和与所述生物特征信息相对应的第一识别信息登记在所述网络上的服务中的请求。
2.根据权利要求1所述的信息处理设备,其中,
所述信息处理设备还包括显示单元,所述显示单元用于根据来自所述网络上的服务的请求,显示用于请求所述用户出示生物特征信息的画面,
在利用所述生物特征信息传感器读取所述用户根据所述画面所出示的生物特征信息的情况下,所述创建单元创建第二私钥和与所述第二私钥相对应的第二公钥,
所述存储单元将所创建的第二私钥与所读取的生物特征信息相关联地存储在所述存储器中,以及
所述登记单元发出用于将所述第二公钥和与所述生物特征信息相对应的第二识别信息登记在所述网络上的服务中的请求。
3.根据权利要求2所述的信息处理设备,其中,在所述登录处理中没有进行使用生物特征信息的认证处理的情况下,显示所述画面。
4.根据权利要求2所述的信息处理设备,其中,在从所述网络上的服务指定了所述认证处理所需的信息的情况下,显示所述画面。
5.根据权利要求2所述的信息处理设备,其中,在响应于来自所述网络上的服务的请求而请求所述用户出示多个生物特征信息的情况下,显示所述画面,以请求出示与在所述登录处理时读取的生物特征信息不同的生物特征信息。
6.根据权利要求1所述的信息处理设备,其中,
在使用所述网络上的服务时、使用所述生物特征信息传感器所读取的生物特征信息的认证处理成功的情况下,使用与所述认证处理所使用的生物特征信息相关联地存储在所述存储器中的所述第一私钥以及从所述网络上的服务所接收到的参数,来创建签名数据,以及
在所述网络上的服务中验证所创建的签名数据。
7.根据权利要求1所述的信息处理设备,其中,对所述用户向所述信息处理设备的登录状态和所述用户的登录处理中所使用的认证方法进行管理。
8.根据权利要求1所述的信息处理设备,其中,
在从所述网络上的服务请求使用多个生物特征信息的认证处理的情况下,所述创建单元创建作为所述多个生物特征信息的共同私钥的第三私钥以及与所述第三私钥相对应的第三公钥,
所述存储单元将所创建的第三私钥与所述多个生物特征信息中的各生物特征信息相关联地存储,以及
所述登记单元提供共同值作为所述多个生物特征信息中的各生物特征信息的识别信息,并且发出用于将所述识别信息和所述第三公钥登记在所述网络上的服务中的请求。
9.根据权利要求1所述的信息处理设备,其中,所述信息处理设备包括智能电话、平板电脑、可穿戴终端和笔记本型个人计算机中的任一个。
10.一种信息处理设备所用的方法,所述信息处理设备包括存储器和生物特征信息传感器,所述存储器具有防篡改性并且被配置为存储进行认证处理时所需的用户的生物特征信息,所述生物特征信息传感器被配置为读取生物特征信息,所述方法包括:
使用所述生物特征信息传感器所读取的生物特征信息来执行所述用户的登录处理;
创建在使用网络上的服务时进行的所述认证处理所需的第一私钥、以及与所述第一私钥相对应的第一公钥;
将所创建的第一私钥与在所述登录处理时读取的生物特征信息相关联地存储在所述存储器中;以及
发出用于将所述第一公钥和与所述生物特征信息相对应的第一识别信息登记在所述网络上的服务中的请求。
11.根据权利要求10所述的方法,还包括:
根据来自所述网络上的服务的请求,显示用于请求所述用户出示生物特征信息的画面;
在利用所述生物特征信息传感器读取所述用户根据所述画面所出示的生物特征信息的情况下,生成第二私钥和与所述第二私钥相对应的第二公钥;
将所创建的第二私钥与所读取的生物特征信息相关联地存储在所述存储器中;以及
发出用于将所述第二公钥和与所述生物特征信息相对应的第二识别信息登记在所述网络上的服务中的请求。
12.根据权利要求10所述的方法,还包括:
在使用所述网络上的服务时、使用所述生物特征信息传感器所读取的生物特征信息的认证处理成功的情况下,使用与所述认证处理所使用的生物特征信息相关联地存储在所述存储器中的所述第一私钥以及从所述网络上的服务所接收到的参数,来创建签名数据,
其中,在所述网络上的服务中验证所创建的签名数据。
13.根据权利要求10所述的方法,还包括:
在从所述网络上的服务请求使用多个生物特征信息的认证处理的情况下,创建作为所述多个生物特征信息的共同私钥的第三私钥以及与所述第三私钥相对应的第三公钥;
将所创建的第三私钥与所述多个生物特征信息中的各生物特征信息相关联地存储;
提供共同值作为所述多个生物特征信息中的各生物特征信息的识别信息;以及
发出用于将所述识别信息和所述第三公钥登记在所述网络上的服务中的请求。
14.根据权利要求10所述的方法,其中,所述信息处理设备包括智能电话、平板电脑、可穿戴终端和笔记本型个人计算机中的任一个。
15.一种存储介质,其存储用于使计算机执行信息处理设备中的方法的计算机程序,所述信息处理设备包括存储器和生物特征信息传感器,所述存储器具有防篡改性并且被配置为存储进行认证处理时所需的用户的生物特征信息,所述生物特征信息传感器被配置为读取生物特征信息,所述方法包括:
使用所述生物特征信息传感器所读取的生物特征信息来执行所述用户的登录处理;
创建在使用网络上的服务时进行的所述认证处理所需的第一私钥、以及与所述第一私钥相对应的第一公钥;
将所创建的第一私钥与在所述登录处理时读取的生物特征信息相关联地存储在所述存储器中;以及
发出用于将所述第一公钥和与所述生物特征信息相对应的第一识别信息登记在所述网络上的服务中的请求。
CN201811399950.0A 2017-11-22 2018-11-22 信息处理设备、信息处理设备所用的方法和程序存储介质 Active CN110048993B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017-225133 2017-11-22
JP2017225133A JP7091057B2 (ja) 2017-11-22 2017-11-22 情報処理装置、情報処理装置における方法、およびプログラム

Publications (2)

Publication Number Publication Date
CN110048993A true CN110048993A (zh) 2019-07-23
CN110048993B CN110048993B (zh) 2022-02-25

Family

ID=64308643

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811399950.0A Active CN110048993B (zh) 2017-11-22 2018-11-22 信息处理设备、信息处理设备所用的方法和程序存储介质

Country Status (5)

Country Link
US (1) US11093602B2 (zh)
EP (1) EP3490220B1 (zh)
JP (1) JP7091057B2 (zh)
KR (1) KR102393024B1 (zh)
CN (1) CN110048993B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6991773B2 (ja) * 2017-07-31 2022-01-13 キヤノン株式会社 システム、デバイス管理システム、及びその方法
EP3699790B1 (en) * 2019-02-19 2022-11-02 Nxp B.V. Method for enabling a biometric template
JP2022059099A (ja) * 2019-02-25 2022-04-13 ソニーグループ株式会社 情報処理装置、情報処理方法、及び、プログラム
US11743053B2 (en) * 2019-12-03 2023-08-29 Keisuke Kido Electronic signature system and tamper-resistant device
JP7174730B2 (ja) * 2020-03-17 2022-11-17 ヤフー株式会社 端末装置、情報処理方法及び情報処理プログラム
WO2021205660A1 (ja) * 2020-04-10 2021-10-14 日本電気株式会社 認証サーバ、認証システム、認証サーバの制御方法及び記憶媒体

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070106895A1 (en) * 2005-11-04 2007-05-10 Kung-Shiuh Huang Biometric non-repudiation network security systems and methods
CN101098232A (zh) * 2007-07-12 2008-01-02 兰州大学 一种动态口令与多生物特征结合的身份认证方法
CN103699879A (zh) * 2013-12-10 2014-04-02 柳州译海网络科技有限公司 一种基于生物特征信息的身份认证装置
CN103714315A (zh) * 2013-12-10 2014-04-09 柳州译海网络科技有限公司 一种基于生物特征信息的身份认证方法
US20170078100A1 (en) * 2015-09-11 2017-03-16 Yahoo Japan Corporation Providing device, terminal device, providing method, non-transitory computer readable storage medium, and authentication processing system

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4601498B2 (ja) 2005-06-28 2010-12-22 シャープ株式会社 認証装置、認証方法、その方法を実現するプログラム、およびそのプログラムを記録した記録媒体
JP2007018346A (ja) 2005-07-08 2007-01-25 Konica Minolta Business Technologies Inc 処理装置およびその制御方法ならびにコンピュータプログラム
US9832019B2 (en) * 2009-11-17 2017-11-28 Unho Choi Authentication in ubiquitous environment
JP4970585B2 (ja) * 2010-11-10 2012-07-11 株式会社東芝 サービス提供システム及びユニット装置
JP5475035B2 (ja) 2012-02-24 2014-04-16 日本電信電話株式会社 認証権限移譲システム、情報端末、トークン発行局、サービス提供装置、認証権限移譲方法、及びプログラム
US10075437B1 (en) * 2012-11-06 2018-09-11 Behaviosec Secure authentication of a user of a device during a session with a connected server
US9172687B2 (en) * 2012-12-28 2015-10-27 Nok Nok Labs, Inc. Query system and method to determine authentication capabilities
US10270748B2 (en) * 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
JP6307593B2 (ja) * 2013-04-26 2018-04-04 インターデイジタル パテント ホールディングス インコーポレイテッド 必要とされる認証保証レベルを達成するための多要素認証
US9003196B2 (en) * 2013-05-13 2015-04-07 Hoyos Labs Corp. System and method for authorizing access to access-controlled environments
JPWO2015019821A1 (ja) 2013-08-05 2017-03-02 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
US20150180869A1 (en) * 2013-12-23 2015-06-25 Samsung Electronics Company, Ltd. Cloud-based scalable authentication for electronic devices
US10163105B1 (en) * 2014-01-24 2018-12-25 Microstrategy Incorporated Variable biometrics for multi-factor authentication
US20170109751A1 (en) * 2014-05-02 2017-04-20 Nok Nok Labs, Inc. System and method for carrying strong authentication events over different channels
GB201408539D0 (en) * 2014-05-14 2014-06-25 Mastercard International Inc Improvements in mobile payment systems
US10182040B2 (en) * 2015-06-10 2019-01-15 Massachusetts Institute Of Technology Systems and methods for single device authentication
JP6354737B2 (ja) 2015-11-30 2018-07-11 コニカミノルタ株式会社 通信装置、プログラムおよび通信システム
JP6438901B2 (ja) 2016-02-24 2018-12-19 日本電信電話株式会社 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
CN107231234B (zh) 2016-03-25 2020-06-09 创新先进技术有限公司 一种身份注册方法及装置
US10705894B2 (en) * 2016-05-30 2020-07-07 Samsung Electronics Co., Ltd. Electronic device for authenticating application and operating method thereof
US20180101847A1 (en) * 2016-10-12 2018-04-12 Microsoft Technology Licensing, Llc User and device authentication for web applications
CN107222373B (zh) 2017-05-05 2020-01-24 深圳市文鼎创软件有限公司 智能家居的控制方法、系统、终端、fido服务器及安全设备
US11388155B2 (en) * 2017-05-16 2022-07-12 Softex, Inc. Integrated cybersecurity system and method for providing restricted client access to a website
US10469490B2 (en) * 2017-10-19 2019-11-05 Mastercard International Incorporated Methods and systems for providing FIDO authentication services

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070106895A1 (en) * 2005-11-04 2007-05-10 Kung-Shiuh Huang Biometric non-repudiation network security systems and methods
CN101098232A (zh) * 2007-07-12 2008-01-02 兰州大学 一种动态口令与多生物特征结合的身份认证方法
CN103699879A (zh) * 2013-12-10 2014-04-02 柳州译海网络科技有限公司 一种基于生物特征信息的身份认证装置
CN103714315A (zh) * 2013-12-10 2014-04-09 柳州译海网络科技有限公司 一种基于生物特征信息的身份认证方法
US20170078100A1 (en) * 2015-09-11 2017-03-16 Yahoo Japan Corporation Providing device, terminal device, providing method, non-transitory computer readable storage medium, and authentication processing system

Also Published As

Publication number Publication date
JP2019096077A (ja) 2019-06-20
CN110048993B (zh) 2022-02-25
EP3490220A1 (en) 2019-05-29
KR102393024B1 (ko) 2022-05-02
US11093602B2 (en) 2021-08-17
US20190156020A1 (en) 2019-05-23
JP7091057B2 (ja) 2022-06-27
KR20190059219A (ko) 2019-05-30
EP3490220B1 (en) 2021-10-13

Similar Documents

Publication Publication Date Title
CN110048993A (zh) 信息处理设备、信息处理设备所用的方法和程序存储介质
JP6882080B2 (ja) 画像処理装置、方法、プログラム及びシステム
US11023568B2 (en) Image processing apparatus, system related to image processing apparatus, and method
US8869255B2 (en) Method and system for abstracted and randomized one-time use passwords for transactional authentication
CN109558106A (zh) 信息处理终端和方法、用于信息处理的系统及存储介质
CN113302894B (zh) 安全账户访问
Chadwick et al. Improved identity management with verifiable credentials and fido
CN103455749B (zh) 协作系统、其协作方法以及信息处理系统
CN106856475A (zh) 授权服务器以及认证协作系统
US20210036854A1 (en) Dynamic implementation and management of hash-based consent and permissioning protocols
CN108959878A (zh) 用户认证系统中采用的方法以及其中包括的信息处理装置
CN110046485A (zh) 信息处理系统及方法、信息处理设备及方法和存储介质
US10750050B2 (en) IMAGE PROCESSING APPARATUS, METHOD FOR CONTROLLING IMAGE Processing apparatus, program storage medium, system, and method for controlling system for use in biometric authentication
US20210336950A1 (en) Service providing system, login setting method, and information processing system
TWI739778B (zh) 作業系統之登入機制
US8656468B2 (en) Method and system for validating authenticity of identity claims
JP7196241B2 (ja) 情報処理装置、制御方法、およびプログラム
JP7199949B2 (ja) 情報処理装置、システム、情報処理装置の制御方法、システムの制御方法及びプログラム
JP2017120502A (ja) クラウドサービスへのIoT機器の登録方法
TWI645345B (zh) 透過交易信物執行憑證作業之系統、裝置及其方法
CN114418573A (zh) 在区块链中的凭证发行方法和凭证验证方法
JP2021192253A (ja) 画像処理装置、方法、プログラム及びシステム
JP2009134667A (ja) 耐タンパデバイス発行システム及び発行方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant