JP2005532736A - 生物測定学的私設キーインフラストラクチャ - Google Patents

生物測定学的私設キーインフラストラクチャ Download PDF

Info

Publication number
JP2005532736A
JP2005532736A JP2004519754A JP2004519754A JP2005532736A JP 2005532736 A JP2005532736 A JP 2005532736A JP 2004519754 A JP2004519754 A JP 2004519754A JP 2004519754 A JP2004519754 A JP 2004519754A JP 2005532736 A JP2005532736 A JP 2005532736A
Authority
JP
Japan
Prior art keywords
key
biometric
user
private key
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004519754A
Other languages
English (en)
Inventor
ソト、ルズ・マリア
ハンキンソン、マイケル・エル
パーキー、ロジャー
Original Assignee
オーロラ・ワイヤレス・テクノロジーズ・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オーロラ・ワイヤレス・テクノロジーズ・リミテッド filed Critical オーロラ・ワイヤレス・テクノロジーズ・リミテッド
Publication of JP2005532736A publication Critical patent/JP2005532736A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Abstract

ネットワーク通信およびトランザクションの信用と認証を提供する1特徴にしたがって、生物測定学的私設キー(BioPKI)を使用するネットワークインフラストラクチャが提供される。通常、Bio PKIは電子的ユーザ認証を確認する2つのソフトウェア解決法、即ちデータの完全性のための最新技術の生物測定学的署名システムとデジタル署名の特有の組合わせである。組合わされた解決法により、財務機関のようなネットワーク化されたビジネスおよび商人は、ユーザ認証が標準的なネットワーク環境内で信用のある秘密保護された方法で行われることを確実にすることが可能である。1例の構成では、生物測定学的署名は自動化された標準的ではないユーザ認証能力を既存のデジタル署名プロセスへ付加することによって標準的なデジタル署名を拡大する。純粋な生物測定学ベースのシステムまたはデジタル署名/証書環境における簡単な確認と対照的に、BioPKIは生物測定学的認証と産業標準のPKI技術に基づいてデジタル署名を生成するため私設キーにアクセスするための生物測定学的技術の組合わせを使用する。1例ではBioPKIはBioPKIサーバに送信する生物測定学的情報を暗号化するために公共キー暗号化技術を使用する。暗号化パケットは個人の私設キーにアクセスする前に生物測定学的署名が秘密保護され確認されることを確実にするために複数の内部情報層を含んでいる。

Description

本発明は一般的にネットワーク通信およびトランザクションに関し、特に生物測定学的認証を用いる私設キーインフラストラクチャを使用してネットワーク通信およびトランザクションの信用および確認に関する。
本出願は2002年7月3日出願の米国特許出願第60/393,606号明細書に対して優先権を主張しており、あらゆる目的で本出願で参考とされる。
インターネットは世界的な商業および通信に対して主要なプラットフォームになっている。現在は空間に関係なくコンピュータおよび電子ネットワークで満ちたネットワーク化世界である。ビジネス界では、本社、財務機関等は敏感な情報を通信し共有しており、これは全てインターネットの使用を飛躍的に増加するように貢献する。ビジネス、政府、個人は日常を基礎としてビジネスを行うための新しい技術に大きく依存している。大人、子供等はインターネットのアクセスにより家庭での安楽のため友人、同僚、愛人と通信するためにeメールに依存している。
インターネットおよび他のネットワークの十分な潜在性に日々近づくほど、人は紙ベースのトランザクションおよび存在点に関連する信用度と同程度の信用度で財務トランザクションに従事する。密封された封筒、公式の書簡、書かれた署名、ID確認、信用のある転送サービスは伝統的な通信において自信を与えている。ネットワークでは、電子トランザクションは“バーチャル世界”で行われている。
しかしながら、インターネットの爆発的成長を助長する大きなオープン性はインターネットトランザクションがコンテキスト、形態およびユーザのアイデンティティの両者において安全であることを確実にすることを困難にしている。政府、ビジネス、個人は彼らがインターネットで送信する情報の完全性だけでなく、保護された情報が本当に識別された人により確実に送信されたという気楽さを保証し、したがって人により行われるような紙ベースのトランザクションおよび識別確認と同一レベルの信用を与える機構を求めている。
インターネットへの敏感な通信を行う前に、ユーザはしたがって特定の保証を必要とする。彼らは電子トランザクションを機密にし、改ざんされることを保護されることを望んでいる。彼らは参加者が自称している通りの人であることが信用できることを望み、事実後のトランザクションでの関与を否定できる人がいないことを確実にしようと望んでいる。
公共キー暗号法および公共キーインフラストラクチャ(PKI)は秘密保護されたオンライントランザクションをネットワーク環境で行う既知の方法である。知られているように、公共キー暗号法は非対称公共キーと私設キー(即ちキー対)の使用を含んでいる。公共キー暗号法を実行するための1例のフレームワークはRSAセキュリティ社により提供される公共ドメイン私設キー暗号化標準(PKCS)で説明されており、この標準のバージョン2.1(2002年6月)はwww.rsasecurity.com/rsalabs/pkcs/pkcs-1/index.htmlで利用可能であり、その内容をここで参考文献とする。
PKIはさらにデジタル証書と、証明機関の使用を含んでいる。通常のPKI100の1例は図1に示されている。図1に示されているように、送信者102が信用されたメッセージを(例えば秘密保護トランザクションに対して)受取人104へ送信しようとするとき、送信者102は証明機関106からのキー対を供給する。証明機関(CA)106は送信者102の私設キー108と公共キー110を含むキー対を生成する。CAはさらに、送信者の公共キーと種々の他の識別情報を含む暗号化されたデジタル証書114を発行する。CAはその自分の公共キー112を例えば印刷物の公表またはインターネットを通して利用可能にする。目的とする受取人104はその後、デジタル証書を復号し、これがCA106により発行されたことを確認するためにCAの公共キー112を使用できる。この情報により、受取人は送信者の公共キー110を得て、暗号化された回答を送信者102へ返送するためにこれを使用することができる。送信者102から受取人104へのメッセージは暗号化されてもされていなくても、さらに確認するためにデジタル署名を含むこともできる。知られているように、デジタル署名は送信者の私設キー108を使用し、署名がこの特定のメッセージに属していることを確認し、したがってメッセージの内容が改ざんされていないことを確実にメッセージ自体から生成される。送信者の公共キー110を使用して、受取人108はしたがってデジタル署名を復号し、このような付加的な確認を行うことができる。用語“送信者”と“受取人”はここでは説明を容易にするために使用されていることに注意すべきである。当業者は特定の“受取人”が同一または異なるトランザクションでメッセージを送信できる一方で、1つのトランザクションの特定の“送信者”もまたメッセージを暗号化されていてもされていなくても受信できることを理解するであろう。
通常のPKI100はしたがって敏感な電子通信が私有であり、改ざんから保護されていることを確実にしようと試みる。これはもとのメッセージの内容が改ざんされておらず、受信エンティティにより確認されることができる幾らかの保証を与える。
デジタル革命に参加する政府、ビジネス、個人は全て将来性のあるデジタル証書のユーザである。これが関与する潜在的な数の証明では、1つの方法はそれらの使用を管理し処理することを必要とされる。証書管理はPKIの証明機関の強さの規格である。世界中には、大企業および小企業が証書の中央化された作成、分配、管理、更新、取消しを可能にするための好ましい解決策として公共キーインフラストラクチャを採択している。
しかしながら、問題は残されている。インターネットにおける現在のトランザクションセキュリティシステムの前提は合法のユーザが知られているもの(私設キー)を所有するか、ユーザの私設キーを解読するパスワードまたはトークンを委任されるか、或いは通常の暗号化技術の使用によりアクセスを許可することである。この私設キーは(ウェブブラウザの場合)デジタル証書の内容中に埋設されることができるか、スマートカードまたは他の電子装置のような可搬型の装置またはコンピュータ装置で暗号化されることができる。全てのこれらのシナリオでは、ユーザがこれらの装置およびキーを個人的所有およびセーフガードにより窃盗から保護することが想定される。しかしながら、今日のネットワーク環境では、これらのトークンはユーザによる不注意な制御または直接的な盗難またはパスワードの操作により容易に侵害されることができる。
本発明の出願人により共通して所有され、ここで参考文献とされている米国特許出願第09/801,468号明細書(AWT−003)では生物測定学を使用してオンラインのトランザクションを伴って詐欺行為を減少させる最新技術を劇的に発展させている。しかしながら、前述したような技術面の問題をさらに一層解決するために、本発明の生物測定学的ユーザ認証特徴を標準的なネットワーク環境内のオンライン通信および商用トランザクションへさらに十分に拡張する必要が残されている。
本発明はネットワーク通信およびトランザクションの信用と認証に関する。本発明の1特徴によれば、生物測定学的私設キー(BioPKI)を使用するネットワークインフラストラクチャが提供される。通常、Bio PKIは電子的なユーザ認証を確認する2つのソフトウェア解決法、即ちデータの完全性のための最新技術の生物測定学的署名システムとデジタル署名の特有の組合わせである。組み合わされた解決法により、財務機関のようなネットワーク化されたビジネスおよび商人は、ユーザ認証が標準的なネットワーク環境内で信用のある秘密保護された方法で行われることを確証することが可能である。この新しい技術は電子通信界におけるユーザ認証とデータの完全性の両者を提供する。
1例の構成では、生物測定学的署名は自動化された標準的ではないユーザ認証能力を既存のデジタル署名プロセスへ付加することによって標準的なデジタル署名を拡大する。純粋な生物測定学ベースのシステムまたはデジタル署名/証書環境における簡単な確認と対照的に、BioPKIは生物測定学的認証と産業標準のPKI技術に基づいてデジタル署名を生成するために私設キーにアクセスするための生物測定学的技術の組合わせを使用する。1例では、BioPKIはBioPKIサーバへ送信するための生物測定学的署名情報を暗号化するための公共キー暗号法技術を使用する。暗号化パケットは個人の私設キーにアクセスする前に、生物測定学的署名が秘密保護され確認されることを確実にするための内部情報の幾つかの層を含んでいる。
本発明の別の特徴によれば、システムはBioPKIがネットワーク環境でシームレスに動作することを可能にするクライアント/サーバ設計を含んでいる。1つの可能な例では、システムは(スマートカードのような)個人の私設キーを秘密保護する簡単な4デジットのPIN/トークン技術を使用して通常認証される個人を迅速に認証するように分散されたアーキテクチャを特徴付けする。BioPKI認証サーバはユーザ所有の私設キーにアクセスし、トランザクション処理のため適切なダウンストリームエンティティへデジタル署名を伝送するための処理容量にアクセスする前に、個人を認証するために必要とされる生物測定学的テンプレートにアクセスする。これは支払いゲートウェイ、財務機構、またはその他の認証ブローカのようなエンティティを含んでいる。BioPKIは生物測定学的ユーザ認証と私設キーインフラストラクチャ技術を展開する。これらの2つの技術を共に結び付けることにより、さらに頑強な“無線PKI”セキュリティシステムが生成され、これは個人が多数のトークンを維持することを必要とせず、この方法はこれらの私設キーが生物測定学的署名(例えば指紋)が確認された後にのみアクセスされる秘密保護サーバで記憶されることを可能にする。BioPKIはまたユーザ認証のための付加的なパスワード素子を使用して構成されることができ、これは生物測定学的署名の付加的なセキュリティを必要としても必要としなくてもよい。この後者の技術はターゲットのトランザクション処理を所望するセキュリティレベルを決定するシステムのユーザの能力を可能にする。
BioPKIサーバおよびホストはクライアント/サーバアーキテクチャを形成するための種々の秘密保護されたネットワーク方法により接続される。サーバおよびクライアントはそれぞれ種々のレベルの認証サービスをネットワークのユーザに提供するディスクリートなサブシステムを含んでいる。本発明の1例では、システムはユーザクライアント、ネットワークベースのサーバ、ユーザデータの信用のある転送を確実にするための産業標準の暗号化コンポーネントから構成されている。現在の構造はSSLを介する強力な暗号化を含んでいる。
本発明のこれらおよび他の特性および特徴は添付図面を伴った以下の本発明の特別な実施形態の説明を概観して当業者に対して明白になるであろう。
当業者が本発明を実行できるように本発明の例示として示されている本発明を図面を参照して詳細に説明する。以下の図面および例は本発明の技術的範囲を限定することを意味しないことに注意すべきである。さらに、本発明のあるエレメントが既知のコンポーネントを使用して部分的または十分に構成されることができる場合、本発明の理解に必要なこのような既知のコンポーネントの部分だけを説明し、そのような既知のコンポーネントのその他の部分の詳細な説明は本発明を曖昧にしないために省略する。さらに、ハードウェアを使用するあるコンポーネントと、ソフトウェアを使用するある他のコンポーネントの構成は技術的範囲内の設計の選択肢と考えられ、ここで説明するその組合わせは技術的範囲を限定するためのものではなく説明のためのものである。さらに、本発明はここで説明により示されている既知のコンポーネントに等価な現在および将来の既知のコンポーネントを含み、このような等価物を含んでいる構造は本発明の別の実施形態と考えるべきである。
図2は、本発明の特徴にしたがった生物測定学的私設キーインフラストラクチャ(Bio PKI)200の1例の構成を示すブロック図である。
通常、公共キー暗号法、デジタル署名、生物測定学的特徴付けの使用に基づいて、BioPKIはユーザがインターネットおよび他のネットワークに上で敏感な情報を確実に送信するために必要とする保証を与える。本発明の1特徴によれば、トランザクション処理を継続する前に秘密保護されたサーバに記憶されている私設キーにアクセスするために、認証は生物測定学的署名が既知のテンプレートに対して一致されることを必要とすることに基づいている。
BioPKIは汚染または悪用されることができないように個人の生物測定学的特性を保護する。この秘密保護された情報はその後、トランザクションメッセージコンテキストに署名するために生物測定学的署名を介してのみアクセスされることができる特別に割当てられた私設キーを検索するために使用される。結果として、デジタル署名、暗号化および解読(データスクランブルおよびスクランブル解除)技術と、方針および手順の包括的なフレームワークを使用するこの新しい技術は重要な新しい利点を与える。これらの利点には電子通信が許可されていない人により傍受され読取られないことを確実にすることによりプライバシーを保護し、電子通信が送信中に変更されず、使用される私設キーがメッセージの署名前に生物測定学的署名により確認されていることを確実にすることにより電子通信の完全性を確実にし、トランザクションでの関与を否認できる電子トランザクションに関与するパーティがないように、電子トランザクションに関与するパーティのアイデンティティを確認することが含まれている。さらに、BioPKIはこれらの保証を簡単なプロセスを通してユーザに対して透明に転送する。
通常のPKIのように、この例の構造のBioPKI200はデータをスクランブル(暗号化)するための数学的アルゴリズムまたはキーと、それをアンスクランブル(解読)するための関連する数学的キーとを使用することにより敏感な情報またはメッセージの機密性を確実にするためにPKCSに基づくような公共キー暗号法を使用する。したがって、許可されユーザは例えば特別な暗号化および生物測定学的署名を捕捉するハードウェアおよびソフトウェアを含んだPKdIクライアント220を受信する。キーの対はまたBioPKI200で使用するために許可されたユーザに対して生成され、その1つはアクセス可能な公共キー204であり、他の1つは私設キー206である。しかしながら、通常のPKIと異なって、ユーザの私設キー204はユーザから秘密に維持され、秘密保護サーバに記憶され、有効な生物測定学的署名208が認証された後にのみアクセスされる。キー対のキーは送信者の私設キー206により暗号化されたメッセージが対応する公共キー204を使用してのみ確認されることができるように数学的に関連される。送信者(例えば銀行の客または従業員)である許可されたユーザはしたがって彼/彼女の私設キー206を使用して暗号化された彼/彼女のメッセージ(例えば資金転送リクエスト)を有し、目的とする受取人(例えば銀行)は公共キー204を使用してメッセージを確認する。公共キーは例えば電子ディレクトリで出版されることにより自由に利用可能にされることができる。
通常のPKIのように、証書機関202はBioPKI200の主要なコンポーネントである。これは許可されたユーザに対応するデジタル証書210を発行し、その寿命を通してこれらを管理するように動作する信用された第3のパーティである。しかしながら通常の証書機関とは異なり、本発明にしたがった証書機関202は以下さらに詳細に説明するように、許可されたユーザに関連する生物測定学的テンプレートおよび私設キーの保管場所を生成し管理するPKdIサーバ212をさらに含んでいる。
PKdIサーバ212はユニックスまたは類似のオペレーティングシステムで構成されるサン、ヒューレットパッカード等により提供されるようなサーバコンピュータと、公共のドメインApacheサーバのようなネットワークサーバ機能により構成される。好ましくはPKdIサーバ212はクライアント220との全ての通信の暗号化/解読のための秘密保護されたソフトウェア層プロトコル機能も含んでいる。本発明の1特徴によれば、PKdIサーバ212はトランザクションが保護されるサービスとは別に信用された第3のパーティにより維持され動作される。PKdIサーバ212はここで説明する以外のハードウェアおよびソフトウェアを含むことができることに注意すべきである。しかしながら、このような通常のコンポーネントおよび機能は本発明を曖昧にしないようにさらに詳細には説明しない。ここで説明するサーバの機能と構成については米国特許出願第09/801,468号明細書(AWT−003)も参照することができる。
説明を容易にするためにここでは別々に示しているが、PKdIサーバ212のあるコンポーネントおよび機能は財務機関のようなトランザクションプロバイダのウェブサーバまたはネットワーク内で一体化されることができることに注意すべきである。当業者は本発明の例により教示された後、種々の代替手段を理解することができ、このような代替手段は本発明の付加的な実施形態と考えられる。
生物測定学的署名208は個人の運転免許証、パスポート等に対する伝統的なアイデンティティチェックに匹敵する。1例の構成では、前述の特許明細書(AWT−003)に記載されているような指紋特徴による技術は生物測定学的署名テンプレートを生成するために生物測定学的サンプルから特異の特徴を検出し符号化するために使用される。生物測定学的比較はその後、トランザクションのために個人の私設キー206へのアクセスを許可するために個人の登録されたテンプレートに対して行われる。
デジタル証書210は例えば送信者の公共キー204と送信者についての特別な識別情報を含んでいる電子ファイルである。デジタル証書はCA202により暗号化され、証書の内容の確認のためのCAの公共キー222を使用して受取人により解読される。例えば、標準的なデジタル証書生成を使用することによって、これらは改ざんに対して防御され、偽造されることができず、敏感な情報のデータ暗号化/解読のためのインターネットコミュニティにより良好に信用されている。さらにパスポート局はパスポートを発生するのにこれを行い、証書機関202はしたがって個人に授与されたデジタル証書が自らを称している通りの人であることを証明する。
デジタル署名214は伝統的な紙ベースの署名に匹敵する電子識別子であり、これは特有で確認可能であり、署名者だけがそれを開始できる。暗号化されたまたは暗号化されないメッセージと共に使用して、デジタル署名はまたデジタル的に署名されたメッセージまたは文書に含まれた情報が送信中に変更されなかったことを確証する。
PKdIクライアント220は生物測定学的収集装置および関連するソフトウェア(例えば指紋走査および特徴、網膜走査および特徴等)およびPKdIサーバ212と通信するための暗号化/解読ソフトウェアを含んでいる。米国特許出願第09/801,468(AWT−003)号明細書および技術で知られている暗号化/解読、ネットワーク通信技術およびプロトコル(例えばHTTPS、TCP/IP、SSL)に記載されていない範囲については、PKdIクライアント220の機能および構成の詳細は以下のPKdIサーバ212の説明から明白になるであろう。PKdIクライアント220に関連する特定のコンピュータ装置は本発明に対して付随的なものであり、PC、ラップトップ、ノートブック、PDAおよびその他のハンドヘルド装置、スマート電話機等のような装置を含むことができることにさらに注意すべきである。
通常、本発明の生物測定学的特徴付け特性は例えば指紋、網膜走査等の否定できない特徴により個人が認証される確認が行われる。本発明の1特徴によれば、個人は彼らがアクセスを需要するあらゆるサービスで個人情報を含んでいる“トークン”を維持する必要がない。むしろ、このような情報は許可されたユーザに対してPKdIサーバ212で生成され記憶されることができる。デジタル署名をメッセージに添付するようにするリクエストはその後、個人が提出したリクエストの生物測定学的署名を使用して認証される。デジタル署名のリクエストを伴って個人により提出された生物測定学的署名が個人の記憶されたテンプレートと一致しないならば、その個人の私設キー206はアクセスされないかおよび/またはリクエストのために使用される。この技術はユーザ所有の私設キーが盗難により侵害されず、ユーザが秘密保護トランザクションを初期化するためにインスツルメントまたはパスワードを所有しなければならない負担をかけないことを確実にする。したがってユーザにより提供され維持される必要のある唯一の“トークン”は、前述の特許出願明細書に説明されているように、指紋、網膜走査またはその他の生物測定学的署名のような彼/彼女の固有の不変特徴である。
本発明のある特徴にしたがったPKdIサーバ212の例示的な構造を示すブロック図が図3に示されている。
図3に示されているように、この例のサーバ212は2つの異なる事前入会キーを生成する入会プロセス302を含んでおり、この事前入会キーはその後、システムによる入会を求める各個人に対して最終的な入会キーを生成するために異なるエンティティに与えられる。1例の構造では、入会キーは特有であり、少なくとも19文字の長さであるランダムに生成された文字数字ストリングである。1例によれば、入会プロセス302は最終的な入会キーが2人の他の個人により生成される事前入会キーを使用して1人の信用された個人により生成されることを必要とし、したがってセキュリティの別の層を提供し、新しいユーザの入会が単一の個人により制御されないことを確実にする。入会は口座情報のエントリ/生成のような他の動作と、将来性のあるユーザに関連するその他の識別情報を含むことができることに注意すべきである。
図3にさらに示されているように、PKdIサーバ212は登録プロセス304も含んでいる。通常、登録プロセス304は個人がBioPKIサーバ212に登録することを可能にする。登録プロセス中、第3のパーティに関連する信用された個人は将来性のあるユーザをPKdIクライアント220により構成し、口座ID、パスワード、入会キーのユーザエントリをクライアントを介して管理する。信用された個人はまた好ましくは、ID、パスワード、入会キー、生物測定学的サンプルを実際に入力する人が“名前を付けられた”入会者であることを確証する。
PKdIサーバ212が入会者により入力された口座ID、パスワード、BioPKI入会キーを確認した後、入会者はその後、生物測定学的テンプレートを生成するために生物測定学的署名208を提出する必要がある。“確認された”生物測定学的テンプレートの受信後、PKdIサーバ212は入会者の私設キー204および公共キー206(即ちキーの対)を生成する。
入会者がPKdIサーバ212に適切に登録された後、彼/彼女はその後、通常のトランザクション処理のためにログインページまたは特定された位置に再誘導される。ログインプロセス306はログインページを維持する。通常、ログインプロセスはデジタル署名を必要とするトランザクションのためにデジタル署名214を生成するように送信者の私設キー206へのアクセスを可能にする前に送信者の生物測定学的署名208を認証する。
前述したように、多数の利点の中で、これは特別なアプリケーションに対して個人が幾つかの“トークン”を携帯する必要をなくす。これらは代りに、ドメインと共にサーバ212に記憶され、全ての確認および生物測定学的署名手順が行われるときにのみ使用されることができる。
ログインプロセス306はその後、BioPKIサーバに記憶されている入力されたユーザIDおよびパスワードに対応する生物測定学的テンプレートを使用して個人に対する生物測定学的認証を行う。例えばログインプロセス306はPKdIクライアント220に個人から生物測定学的署名を集めさせる。集められた生物測定学的署名208は記憶された生物測定学的テンプレートと比較される。集められた生物測定学的署名208を確認するとき、適切なアプリケーションまたはページへの再誘導を行うことができる。例えばBioPKIは個人に関連する許可情報の確認と検索のためにリクエストされたサービスに関連する口座およびパスワードシステムへ認証されたリクエストを転送する能力をもつことができる。生物測定学的署名208が記憶されたテンプレートに一致しないならば、個人は生物測定の失敗のために指定されたページへ再度誘導されることができる。どのようにして“一致”が決定されることができるかの1例は前記米国特許出願明細書(AWT−003)に記載されている。
1例の構造では、BioPKIはPKdIサーバ212へ送信するための生物測定学的署名208の情報を暗号化するPKCS技術を使用する。暗号化パケットはさらに、パケットが送信中にまたは発生点で傷つけられていないことを確実にするために内部情報の幾つかの層を含むことができる。例えばPKdIサーバ212が生物測定学的認証に対するリクエストを受信するとき、サーバは特別なトランザクションIDを暗号化/解読プロセスの一部分になるリクエストへ割当てる。結果として、2つの同一のトランザクションは生成されず、それらはBioPKIシステムにより受取られない。
PKdIサーバ212が生物測定学的パケットを受信するとき、それはパケットの各コンポーネントの完全性をチェックする。生物測定学的署名は、全てのトランザクションリクエストに対して特有に発生された一回の私有―公共キーの対の使用により自己保護している。これらのキー対の発生は標準的なPKCS技術を使用して展開され、各トランザクションリクエストが特有であることを確実にする。各セッションでユーザへのリクエストがランダムにPKdIサーバにより発生されるので、この構成は生物測定学的データの“切取りおよび貼付け”が可能ではないことを確実にし、トランザクション中の各点における特有の暗号化を確実にする。セッション全体で、リクエストはその後標準的なSSLプロトコルを介して二重に暗号化される。セッションの私有−公共対に加えて、完全性チェックは生物測定学的署名が切取りおよび貼付けのハッキングを含んだ不正行為をされていないことを確実にするために行われることができる。これらの付加的なチェックはIPアドレススタンプ(両方向のターゲットクライアントのインターネットアドレスを確認する)と、タイムスタンプおよび/または特有のトランザクションIDを含むことができる。何等かの完全性チェックが失敗したならば、生物測定学的リクエストは無効と考えられ、リクエストは中断される。トランザクションフローの特性にしたがって、個人はエラーまたはもとのログインページのような別のネットワーク位置へ再誘導されることができる。
図4は本発明にしたがったPKdIサーバの別の構造を示している。図4に示されているように、この例のサーバはさらに確認プロセス402を含んでいる。
組織(例えば財務機関)のウェブサイトのトランザクション確認ページは電子トランザクションの“提出”ボタンをクリックするとき、例えばリクエストが生物測定学的確認のために既知の再誘導技術を使用してPKdIサーバへ転送されるように変更されることができる、PKdIサーバ212はその後、送信者とのリンクを設定し、PKdIクライアント220を呼出す。
送信者のユーザIDは生物測定学的テンプレートおよび関連する私設キー206の位置を検出するために使用される。PKdIクライアント220はその後、個人の生物測定学的署名208を集める。生物測定学的認証が成功したならば、生物測定学的署名208に関連する私設キー206が検索され、メッセージコンテキストを署名するために使用される。トランザクションリクエストに関連され、私設キー206で暗号化されるデジタル署名はその後、受取人により処理されるようにダウンストリームへ転送される。生物測定学的署名がリクエスト者の記憶された生物測定学的テンプレートと一致しないならば、私設キーはアクセスされず、メッセージは署名されない。メッセージは私設キーが個人の生物測定学的署名を使用して確認されるまで“署名されない”と考えられる。
さらに、デジタル署名を強化するための確認が受取人および/または送信者によりリクエストされることができ、この確認もまた確認プロセス402の別の例の構成で実行されることができる。例えば、受取人または送信者は個人のテンプレートに対する付加的な生物測定学的署名比較をリクエストできる。生物測定学的署名は捕捉され、特定された期間中私設キーで署名された各トランザクションに対してデータベース中に維持される。アクセスを私設キーに対して行うために使用された捕捉された生物測定学的署名208はさらにこの認証プロセスで受取人が受取るメッセージの一部分として含まれることができる。これは私設キー206にアクセスするために個人の生物測定学的署名208を使用し、およびメッセージ自体中のメッセージを署名するために使用される実際の生物測定学的署名を含み、その受信された生物測定学的署名を記憶されたテンプレートと比較して、二重の確認を行う。
確認プロセス402は前述の生物測定学的確認機能の一方または両者を含むことができることに注意すべきである。
図5は本発明の1特徴にしたがったPKdIサーバの入会プロセスにより実行されることのできる例示的な方法を示すフローチャートである。
本発明の1特性によれば、プロセスは2人以上の個人の参加を必要とすることにより入会キー発生プロセスを保護する。BioPKI入会キーの生成が秘密保護され確認可能であることを確実にするために以下のステップが行われることができる。入会プロセスは一度ユーザの申込みが十分確認され、ユーザ(銀行の客/従業員)がアクセスを行うサービスをホストするエンティティ(例えば財務機関)により承認されるときのみ開始されることができることを理解すべきである。
ステップS501とS502-2に示されているように、サービスから2人の権利を与えられた従業員(キー−発生器−1とキー−発生器−2)/(KG−1とKG−2)が入会プロセスにアクセスし、入会プロセスにユーザの識別情報を与える。入会プロセスはその後、それぞれの事前入会キーを発生し、それらを従業員へ通信する。1例では、事前入会キーは特有であり、ランダムに発生された文字数字ストリングである。好ましくはKG−1とKG−2はあらゆる承認されたユーザ/クライアントに対して事前入会キーを発生するために別々に入会プロセスにアクセスする。
KG−1とKG−2はその後、事前入会キーを最終的な入会キーの発生および承認のためにキー発生器管理者および証明者(KGAC)へ転送する。組織から権利を与えられた従業員はKGACである。KGACが将来性のあるユーザの識別情報を入力後、入会プロセスは既にユーザに対して発生された2つの事前入会キーをKGACに与える。この情報が正しいならば、入会プロセスは最終的な入会キーを生成し、必要ならばさらに生物測定学的署名がKGAC(S504)により供給されることを必要とする。1例では、所有プログラムが最終的な入会キーを発生するために使用される。
ステップS506で、KGACはユーザを規定し(例えばユーザIDを発生し)、一致する最終的な入会キーに関連するようにデフォルト/一時的パスワードを発行する命令をBioPKI管理者へ転送する。1例では、これはBioPKI管理者へ転送される証明された文書により行われる。このような証明された文書は他の可能な識別情報の中でユーザID、デフォルト/一時的パスワードおよび最終的な入会キーを含んでいる。BioPKI管理者はその後、以下さらに詳しく説明するように、認定されたクライアント/ユーザの入会と生物測定学的データの収集とを処理するためこのような情報をBioPKIシステムヘ入力する。
図6は本発明にしたがったPKdIサーバの登録プロセスにより実行されることのできる例示的な方法を示すフローチャートである。
1例では、BioPKI管理者がユーザの情報をシステムに入力後、アフターセールサポートグループは証明された最終的な入会キーを与えられる。アフターセールサポートグループで信用された個人はその後、PDkIサーバにアクセスし通信するため、クライアントにより将来性のあるユーザを構成する。例えば、サポートグループはBioPKIクライアントソフトウェアと生物測定学的スキャナをクライアントのワークステーションにインストールする(ステップS602)。
インストール後、ユーザはユーザID、パスワード、アフターセールサポートグループにより与えられる最終的な入会キーとを使用してBioPKIシステムヘログインするためにクライアントソフトウェアを使用する(ステップS604)。入力された情報が記憶された情報と一致しないならば、登録プロセスはユーザを登録せず、プロセスは終了する(ステップS608)。そうでなければ、ユーザは収集するため生物測定を入力するように促される。好ましくは、生物測定学的収集は名前を付けられたユーザが生物測定学的サンプル(例えば指紋走査)を供給している実際の人であることを確証するためにサポートグループの個人により個別に管理される(ステップS610)。
生物測定学的サンプルの収集が生物測定的テンプレートの生成を成功させたならば(ステップ612で決定されるとき)、ユーザはシステムに登録される。この点でのユーザは彼/彼女のデフォルト/一時的システムパスワードを変更できる。1つの実行例では、登録はユーザの公共/私設キーの対を生成し、ユーザの識別情報とユーザの公共キーとを含むデジタル証書を生成することを含んでいる。このデジタル証書はその後、サービス(例えば財務機関)へ与えられ、それによりこのユーザはその後の通信のためにサービスがユーザの公共キーを得ることができるように登録されることを意図している。
図7は本発明にしたがったPKdIサーバのログインプロセスにより実行されることのできる1例の方法を示すフローチャートである。
1例では、本発明のBioPKIシステムと接触を有するサービス(即ち証明機関202、好ましくは信用された第3のパーティ)はリクエストしているユーザに対してサービスへのアクセスが承認される前にログインスクリーンを有する。ログインスクリーンに関連するのはPKdIサーバのログインプロセスに着手するためのスクリプトである。リクエストするユーザが一度、ユーザIDとパスワードを入力すると、情報がBioPKIサーバのログインプロセス306へ転送される(ステップS702)。(ステップS704で決定される)ユーザIDとパスワードが一致するならば、ユーザの生物測定学的テンプレートは検索され、ユーザはさらに生物測定学的署名を供給するようにリクエストされる(ステップS708)。生物測定学的署名がそのユーザに対する記憶されたテンプレートに対する比較が成功するならば、適切なアプリケーションまたはページへの再誘導が行われる。例えば、BioPKIは確認およびユーザに与えられる許可のために認証されたリクエストをリクエストされたサービスの口座およびパスワードシステムへ転送することができる。ログインまたは生物測定学的署名が一致しないならば、個人は生物測定学的な失敗とリクエストされたサービスへのアクセスを否認するために指定されたページに再誘導される(S706)。
十分に前述したように、BioPKIはPKdIサーバへ送信するための生物測定学的署名情報を暗号化するためにPKCS技術を使用できる。暗号化パケットはさらにパケットが送信中または発生点で汚染されていないことを確実にするのに使用される内部情報の幾つかの層を含むことができる。PKdIサーバが生物測定学的認証のリクエストを受信するとき、サーバは特有のトランザクションIDを暗号化/解読プロセスの一部分になるリクエストへ割当てる。結果として、2つの同一のトランザクションが行われることはなく、これらはBioPKIシステムにより受諾されない。他の内部確認はIPスタンプとタイムスタンプを含むことができる。
図8は、本発明にしたがったPKdIサーバの確認プロセスにより実行されることのできる方法の1例を示すフローチャートである。
ユーザトランザクションの確認がリクエストされるならば、リクエストは例えば生物測定学的確認のための既知の再誘導技術を使用してPKdIサーバに転送される(ステップS802)。PKdIサーバ212はその後、送信者とのリンクを設け、ユーザの生物測定学的署名の収集および送信のためPKdIクライアントソフトウェアを呼出す(ステップS804)。
送信者のユーザIDは比較のために生物測定学的テンプレートの位置を検出するために使用される(ステップS806)。生物測定学的認証が成功したならば、ユーザに関連する私設キー206は検索され、メッセージコンテキストに署名するために使用される。デジタル署名はその後、サービス/受取人へのメッセージを添付される。生物測定学的署名の比較が失敗したならば、私設キーはアクセスされず、メッセージは署名されない(ステップS808)。この時点で、受取人はデジタル署名を単に解読することによりユーザのアクセスを確認できる。
しかしながら、デジタル署名を強化する付加的な確認が個人のテンプレートに対する生物測定学的な署名比較をリクエストすることにより行われることができる。これが所望される(受取人の送信者によりリクエストされる)か否かはステップS812で決定される。ステップS804で捕捉される生物測定学的署名は特定された期間だけ、バイオ私設キーで署名される各トランザクションに対するデータベースに維持されることができる。さらに確認が必要とされるならば、生物測定学的署名自体は受取人がこの認証プロセスで受信するメッセージの一部分として構成されることができる(ステップS814)。これは個人の私設キーと、メッセージの署名に使用された実際の署名を使用して二重の確認プロセスを与える。したがって受取人がリクエストするとき、確認プロセスは転送された生物測定学的署名が適切に送信者の記憶されたテンプレートに対して比較することの確認を行うことができる。
本発明をその好ましい実施形態を参照して特別に説明したが、形態および詳細の変更と変形が本発明の技術的範囲を逸脱することなく行われてもよいことが当業者により容易に明白であろう。特許請求の範囲はこのような変更および変形を含むことを意図している。
通常の公共キーインフラストラクチャを示すブロック図。 本発明にしたがった生物測定学的認証(BioPKI)を使用するネットワークインフラストラクチャを示すブロック図。 本発明にしたがったインフラストラクチャで使用されることができるPKdIサーバの1例の構造を示すブロック図。 本発明にしたがったインフラストラクチャで使用されることができるPKdIサーバの別の例の構造を示すブロック図。 本発明の1特徴にしたがった入会プロセスにより実行される方法の1例を示すフローチャート。 本発明の1特徴にしたがった登録プロセスにより実行される方法の1例を示すフローチャート。 本発明の1特徴にしたがったログインプロセスにより実行される方法の1例を示すフローチャート。 本発明の1特徴にしたがった確認プロセスにより実行される方法の1例を示すフローチャート。

Claims (28)

  1. サービスにアクセスするためのリクエストを受信し、
    リクエストに関連するユーザから生物測定学的サンプルを集め、
    その生物測定学的サンプルをユーザに関連する生物測定学的テンプレートと比較し、
    比較ステップの結果にしたがって私設キーへのアクセスを与えるステップを含んでいる方法。
  2. さらに、結果が一致を示したならば、私設キーを使用してユーザへデジタル署名を生成するステップを含んでいる請求項1記載の方法。
  3. さらに、デジタル署名をリクエストに関連するサービスへ提供するステップを含んでいる請求項2記載の方法。
  4. さらに、集められた生物測定学的サンプルに対応する生物測定学的署名をリクエストに関連するサービスへ提供するステップを含んでいる請求項1記載の方法。
  5. さらに、比較ステップの結果にしたがって、サービスがリクエストに対応するトランザクションを実現するか否かを決定することを可能にするステップを含んでいる請求項4記載の方法。
  6. さらに、ユーザに対する事前の入会キーを発生し、
    事前の入会キーをそれぞれのキー発生者に供給し、
    キー管理者により与えられたキーがキー発生者に供給された事前の入会キーと一致する場合にのみユーザの最終的な入会キーが発生されるステップを含んでおり、キー管理者はキー発生者とは異なる人である請求項1記載の方法。
  7. さらに、最終的な入会キーの比較にしたがってユーザの登録を確認し、
    登録が確認される場合にのみユーザの生物測定学的テンプレートを生成し、
    生物測定学的テンプレートが生成に成功した場合にのみ私設キーを生成するステップを含んでいる請求項6記載の方法。
  8. さらに、ユーザ識別情報を最終的な入会キーに関連付けるステップを含んでいる請求項6記載の方法。
  9. さらに、認証サーバへ送信するため集められた生物測定学的サンプルを暗号化し、
    暗号化された生物測定学的サンプル中に完全な情報を含んでいるステップを含んでいる請求項1記載の方法。
  10. さらに、暗号化された生物測定学的サンプルを認証サーバで解読し、
    生物測定学的サンプルに含まれた完全な情報をチェックするステップを含んでいる請求項9記載の方法。
  11. 完全な情報は特有のトランザクション識別子を含んでいる請求項9記載の方法。
  12. さらに、ユーザ識別情報を私設キーに関連付け、
    ユーザ識別情報と、私設キーに対応する公共キーとを含んでいるデジタル証書を維持するステップを含んでいる請求項1記載の方法。
  13. 生物測定学的サンプルは指紋走査を含んでいる請求項1記載の方法。
  14. サービスにアクセスするためのリクエストを受信する手段と、
    リクエストに関連するユーザから生物測定学的サンプルを集める手段と、
    その生物測定学的サンプルをユーザに関連する生物測定学的テンプレートと比較する手段と、
    比較の結果にしたがって私設キーへのアクセスを行う手段とを具備している装置。
  15. さらに、結果が一致を示したならば、私設キーを使用してユーザへデジタル署名を生成する手段を具備している請求項14記載の装置。
  16. さらに、デジタル署名をリクエストに関連するサービスへ提供する手段を具備している請求項15記載の装置。
  17. さらに、集められた生物測定学的サンプルに対応する生物測定学的署名をリクエストに関連するサービスへ提供する手段を具備している請求項14記載の装置。
  18. さらに、比較手段の結果にしたがって、サービスがリクエストに対応するトランザクションを実現するか否かを決定することを可能にする手段を具備している請求項17記載の装置。
  19. さらに、ユーザの事前の入会キーを発生する手段と、
    その事前の入会キーをそれぞれのキー発生者に供給する手段と、
    キー管理者により与えられたキーがキー発生者に供給された事前の入会キーと一致する場合にのみユーザの最終的な入会キーを発生する手段とを具備しており、キー管理者はキー発生者とは異なる人である請求項14記載の装置。
  20. さらに、最終的な入会キーの比較にしたがってユーザの登録を確認する手段と、
    登録が確認される場合にのみユーザの生物測定学的テンプレートを生成する手段と、
    生物測定学的テンプレートが生成に成功した場合にのみ私設キーを生成する手段とを具備している請求項19記載の装置。
  21. さらに、ユーザ識別情報を最終的な入会キーに関連付ける手段を備えている請求項19記載の装置。
  22. さらに、認証サーバへ送信するために集められた生物測定学的サンプルを暗号化する手段と、
    暗号化された生物測定学的サンプル中に完全な情報を含む手段を具備している請求項14記載の装置。
  23. さらに、暗号化された生物測定学的サンプルを認証サーバで解読する手段と、
    生物測定学的サンプルにより含まれた完全な情報をチェックする手段とを具備している請求項22記載の装置。
  24. 完全な情報は特有のトランザクション識別子を含んでいる請求項22記載の装置。
  25. さらに、ユーザ識別情報を私設キーに関連付ける手段と、
    ユーザ識別情報と、私設キーに対応する公共キーとを含んでいるデジタル証書を維持する手段とを具備している請求項14記載の装置。
  26. 生物測定学的サンプルは指紋走査を含んでいる請求項14記載の装置。
  27. サービスにアクセスするためのリクエストを遮断するサーバと、
    リクエストに関連するユーザからの生物測定学的サンプルを集めるクライアント装置とを具備し、
    サーバは集められた生物測定学的サンプルを認証するためにユーザに関連する生物測定学的テンプレートを維持し、
    サーバは、ユーザがサービスにアクセスするためのトークンを維持する必要がないように、認証結果にしたがって私設キーへのアクセスを与える認証インフラストラクチャ。
  28. 私設キーはユーザがサービスによるトランザクションを実行することを可能にするためメッセージを署名するために使用され、サービスはサーバからの対応する公共キーを含んでいる請求項27記載の認証インフラストラクチャ。
JP2004519754A 2002-07-03 2003-07-01 生物測定学的私設キーインフラストラクチャ Pending JP2005532736A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US39360602P 2002-07-03 2002-07-03
PCT/US2003/020789 WO2004006076A2 (en) 2002-07-03 2003-07-01 Biometric private key infrastructure

Publications (1)

Publication Number Publication Date
JP2005532736A true JP2005532736A (ja) 2005-10-27

Family

ID=30115609

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004519754A Pending JP2005532736A (ja) 2002-07-03 2003-07-01 生物測定学的私設キーインフラストラクチャ

Country Status (8)

Country Link
US (1) US20040059924A1 (ja)
EP (1) EP1535127A2 (ja)
JP (1) JP2005532736A (ja)
KR (1) KR20050083594A (ja)
CN (1) CN100342294C (ja)
CA (1) CA2491628A1 (ja)
TW (1) TWI237978B (ja)
WO (1) WO2004006076A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2007094165A1 (ja) * 2006-02-15 2009-07-02 日本電気株式会社 本人確認システムおよびプログラム、並びに、本人確認方法
JP2020005241A (ja) * 2018-12-14 2020-01-09 日本通信株式会社 オンラインサービス提供システム
JP2020005240A (ja) * 2018-12-14 2020-01-09 日本通信株式会社 オンラインサービス提供システム

Families Citing this family (103)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MY134895A (en) * 2000-06-29 2007-12-31 Multimedia Glory Sdn Bhd Biometric verification for electronic transactions over the web
GB0113255D0 (en) 2001-05-31 2001-07-25 Scient Generics Ltd Number generator
NO316489B1 (no) 2001-10-01 2004-01-26 Genkey As System, b¶rbar anordning og fremgangsmåte for digital autentisering, kryptering og signering ved generering av flyktige, men konsistente ogrepeterbare kryptonökler
EP1520369B1 (en) 2002-05-31 2006-10-18 Scientific Generics Limited Biometric authentication system
DE10353853A1 (de) * 2003-11-18 2005-06-30 Giesecke & Devrient Gmbh Autorisierung einer Transaktion
US20050246763A1 (en) * 2004-03-25 2005-11-03 National University Of Ireland Secure digital content reproduction using biometrically derived hybrid encryption techniques
US8296573B2 (en) * 2004-04-06 2012-10-23 International Business Machines Corporation System and method for remote self-enrollment in biometric databases
GB0413034D0 (en) 2004-06-10 2004-07-14 Scient Generics Ltd Secure workflow engine
US8230485B2 (en) * 2004-09-15 2012-07-24 Microsoft Corporation Method and system for controlling access privileges for trusted network nodes
TWI249314B (en) * 2004-10-15 2006-02-11 Ind Tech Res Inst Biometrics-based cryptographic key generation system and method
DE112005003281B4 (de) * 2004-12-30 2012-02-16 Topaz Systems Inc. Elektronisches Signatursicherheitssystem
US8245280B2 (en) * 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
US8015118B1 (en) 2005-05-06 2011-09-06 Open Invention Network, Llc System and method for biometric signature authorization
US20070050303A1 (en) * 2005-08-24 2007-03-01 Schroeder Dale W Biometric identification device
US8452961B2 (en) * 2006-03-07 2013-05-28 Samsung Electronics Co., Ltd. Method and system for authentication between electronic devices with minimal user intervention
JP4299316B2 (ja) * 2006-05-12 2009-07-22 株式会社日立製作所 情報処理システム
US8151322B2 (en) 2006-05-16 2012-04-03 A10 Networks, Inc. Systems and methods for user access authentication based on network access point
US7827275B2 (en) 2006-06-08 2010-11-02 Samsung Electronics Co., Ltd. Method and system for remotely accessing devices in a network
US20070288487A1 (en) * 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network
US7946837B2 (en) * 2006-10-06 2011-05-24 Asml Netherlands B.V. Imprint lithography
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US7716378B2 (en) 2006-10-17 2010-05-11 A10 Networks, Inc. System and method to associate a private user identity with a public user identity
US20080104410A1 (en) * 2006-10-25 2008-05-01 Brown Daniel R Electronic clinical system having two-factor user authentication prior to controlled action and method of use
CN101542971B (zh) * 2006-11-21 2014-07-23 皇家飞利浦电子股份有限公司 基于模糊生物识别的签名
DE502007003579D1 (de) * 2007-01-15 2010-06-10 Stepover Gmbh Verfahren und Vorrichtung zum Sichern eines Dokuments mit eingefügtem Signaturabbild und biometrischen Daten in einem Computersystem
US20120239458A9 (en) * 2007-05-18 2012-09-20 Global Rainmakers, Inc. Measuring Effectiveness of Advertisements and Linking Certain Consumer Activities Including Purchases to Other Activities of the Consumer
CN101884188A (zh) 2007-07-12 2010-11-10 创新投资有限责任公司 身份鉴别和受保护访问系统、组件和方法
KR101420683B1 (ko) 2007-12-24 2014-07-17 삼성전자주식회사 마이크로어레이의 정보 암호화/복호화 방법 및 시스템
US8438385B2 (en) * 2008-03-13 2013-05-07 Fujitsu Limited Method and apparatus for identity verification
US20100146608A1 (en) * 2008-12-06 2010-06-10 Raytheon Company Multi-Level Secure Collaborative Computing Environment
US8406428B2 (en) * 2008-12-11 2013-03-26 International Business Machines Corporation Secure method and apparatus to verify personal identity over a network
US9082127B2 (en) 2010-03-31 2015-07-14 Cloudera, Inc. Collecting and aggregating datasets for analysis
US9081888B2 (en) 2010-03-31 2015-07-14 Cloudera, Inc. Collecting and aggregating log data with fault tolerance
US8874526B2 (en) 2010-03-31 2014-10-28 Cloudera, Inc. Dynamically processing an event using an extensible data model
TWI428002B (zh) * 2010-06-29 2014-02-21 Univ Vanung Key exchange systems and methods for remote mutual identification
US8453212B2 (en) 2010-07-27 2013-05-28 Raytheon Company Accessing resources of a secure computing network
US20120198234A1 (en) * 2011-01-31 2012-08-02 Intuit Inc. Method and apparatus for ensuring the integrity of a downloaded data set
TWI465094B (zh) * 2011-04-26 2014-12-11 Telepaq Technology Inc User identification methods and systems for Internet transactions
US9323912B2 (en) 2012-02-28 2016-04-26 Verizon Patent And Licensing Inc. Method and system for multi-factor biometric authentication
US9100825B2 (en) * 2012-02-28 2015-08-04 Verizon Patent And Licensing Inc. Method and system for multi-factor biometric authentication based on different device capture modalities
KR20140138271A (ko) * 2012-03-15 2014-12-03 미코 코포레이션 생체 측정 인증 시스템
US9338008B1 (en) * 2012-04-02 2016-05-10 Cloudera, Inc. System and method for secure release of secret information over a network
FR2996942B1 (fr) * 2012-10-11 2016-01-08 Morpho Procede de generation de cle de signature ameliore
US9172687B2 (en) 2012-12-28 2015-10-27 Nok Nok Labs, Inc. Query system and method to determine authentication capabilities
JP6391101B2 (ja) * 2012-12-28 2018-09-19 ノック ノック ラブズ, インコーポレイテッドNok Nok Labs, Inc. 認証能力を決定するためのクエリシステム及び方法
US9342557B2 (en) 2013-03-13 2016-05-17 Cloudera, Inc. Low latency query engine for Apache Hadoop
US8924259B2 (en) 2013-03-14 2014-12-30 Square, Inc. Mobile device payments
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9396320B2 (en) 2013-03-22 2016-07-19 Nok Nok Labs, Inc. System and method for non-intrusive, privacy-preserving authentication
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US11210380B2 (en) 2013-05-13 2021-12-28 Veridium Ip Limited System and method for authorizing access to access-controlled environments
US9294475B2 (en) * 2013-05-13 2016-03-22 Hoyos Labs Ip, Ltd. System and method for generating a biometric identifier
US10057068B2 (en) * 2013-05-28 2018-08-21 Hitachi, Ltd. Biometric signature system, signature verification method, registration terminal, signature generation terminal, and signature verification device
TWI500311B (zh) * 2013-05-30 2015-09-11 Compal Broadband Networks Inc 電子裝置及其數位憑證產生方法
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
FR3007171B1 (fr) * 2013-06-14 2019-08-23 Idemia Identity And Security Procede de controle de personnes et application a l'inspection des personnes
US9122853B2 (en) 2013-06-24 2015-09-01 A10 Networks, Inc. Location determination for user authentication
US9741024B2 (en) 2013-07-31 2017-08-22 Xero Limited Systems and methods of bank transfer
US10657523B2 (en) * 2013-08-16 2020-05-19 Arm Ip Limited Reconciling electronic transactions
US9934382B2 (en) 2013-10-28 2018-04-03 Cloudera, Inc. Virtual machine image encryption
US11165770B1 (en) 2013-12-06 2021-11-02 A10 Networks, Inc. Biometric verification of a human internet user
JP6426189B2 (ja) 2013-12-31 2018-11-21 ヴェリディウム アイピー リミテッド 生体認証プロトコル標準のためのシステムおよび方法
KR101633968B1 (ko) * 2014-01-29 2016-06-27 사단법인 금융결제원 바이오 정보 상호 처리 방법
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
US9741026B1 (en) 2014-09-30 2017-08-22 Square, Inc. Payment by use of identifier
FR3027753B1 (fr) * 2014-10-28 2021-07-09 Morpho Procede d'authentification d'un utilisateur detenant un certificat biometrique
US9374370B1 (en) * 2015-01-23 2016-06-21 Island Intellectual Property, Llc Invariant biohash security system and method
US9577992B2 (en) * 2015-02-04 2017-02-21 Aerendir Mobile Inc. Data encryption/decryption using neuro and neuro-mechanical fingerprints
US9590986B2 (en) 2015-02-04 2017-03-07 Aerendir Mobile Inc. Local user authentication with neuro and neuro-mechanical fingerprints
US9836896B2 (en) 2015-02-04 2017-12-05 Proprius Technologies S.A.R.L Keyless access control with neuro and neuro-mechanical fingerprints
CN111711520B (zh) * 2015-04-23 2023-12-15 崔云虎 泛在环境中的认证
RU2610696C2 (ru) * 2015-06-05 2017-02-14 Закрытое акционерное общество "Лаборатория Касперского" Система и способ аутентификации пользователя при помощи электронной цифровой подписи пользователя
CN106487511B (zh) * 2015-08-27 2020-02-04 阿里巴巴集团控股有限公司 身份认证方法及装置
US10382417B2 (en) * 2015-08-31 2019-08-13 Mentor Graphics Corporation Secure protocol for chip authentication
US9519901B1 (en) * 2015-09-16 2016-12-13 Square, Inc. Biometric payment technology
EP3234878A1 (en) * 2015-10-14 2017-10-25 Cambridge Blockchain, LLC Systems and methods for managing digital identities
CN107231234B (zh) 2016-03-25 2020-06-09 创新先进技术有限公司 一种身份注册方法及装置
CN110166246B (zh) * 2016-03-30 2022-07-08 创新先进技术有限公司 基于生物特征的身份注册、认证的方法和装置
CH712399A2 (fr) * 2016-04-27 2017-10-31 Bron Christophe Système d'identification biométrique basé sur les réseaux veineux et des codages uniques et non falsifiables de structures arborescentes et procédé associé.
CN107438000B (zh) * 2016-05-26 2020-08-07 青岛博文广成信息安全技术有限公司 Cfl虎符认证方法
US10719593B2 (en) * 2016-06-23 2020-07-21 Hitachi, Ltd. Biometric signature system and biometric certificate registration method
US10461942B1 (en) * 2016-07-20 2019-10-29 United Services Automobile Association Multi-factor authentication with code rotation
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10277400B1 (en) * 2016-10-20 2019-04-30 Wells Fargo Bank, N.A. Biometric electronic signature tokens
US10516538B2 (en) 2016-11-01 2019-12-24 Netcomm Inc. System and method for digitally signing documents using biometric data in a blockchain or PKI
US10062074B1 (en) 2016-11-30 2018-08-28 Square, Inc. System for improving card on file transactions
WO2018111302A1 (en) * 2016-12-16 2018-06-21 Visa International Service Association System and method for securely processing an electronic identity
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
JP6712247B2 (ja) * 2017-06-09 2020-06-17 株式会社日立製作所 生体署名システム及び生体署名方法
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
WO2019231252A1 (en) 2018-05-31 2019-12-05 Samsung Electronics Co., Ltd. Electronic device for authenticating user and operating method thereof
US10878402B1 (en) 2018-08-31 2020-12-29 Square, Inc. Temporarily provisioning payment functionality to alternate payment instrument
US10997583B1 (en) 2018-08-31 2021-05-04 Square, Inc. Temporarily provisioning card on file payment functionality to proximate merchants
US10970372B2 (en) * 2018-11-01 2021-04-06 Microsoft Technology Licensing, Llc Revocable biometric print based identification
TWI690820B (zh) * 2019-01-15 2020-04-11 臺灣網路認證股份有限公司 以嵌入式瀏覽器模組管理憑證之系統及方法
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
CN112165385B (zh) * 2020-08-20 2022-09-09 中船重工(武汉)凌久高科有限公司 一种用于Web应用系统的通用数字签名方法
CN112968864A (zh) * 2021-01-26 2021-06-15 太原理工大学 一种可信的IPv6网络服务过程机制

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4652698A (en) * 1984-08-13 1987-03-24 Ncr Corporation Method and system for providing system security in a remote terminal environment
US6076167A (en) * 1996-12-04 2000-06-13 Dew Engineering And Development Limited Method and system for improving security in network applications
KR100486062B1 (ko) * 1997-05-09 2005-04-29 지티이 서비스 코포레이션 생측정 증명
US6202151B1 (en) * 1997-05-09 2001-03-13 Gte Service Corporation System and method for authenticating electronic transactions using biometric certificates
US6925182B1 (en) * 1997-12-19 2005-08-02 Koninklijke Philips Electronics N.V. Administration and utilization of private keys in a networked environment
US6167517A (en) * 1998-04-09 2000-12-26 Oracle Corporation Trusted biometric client authentication
US6928546B1 (en) * 1998-05-14 2005-08-09 Fusion Arc, Inc. Identity verification method using a central biometric authority
US6332193B1 (en) * 1999-01-18 2001-12-18 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
US6507912B1 (en) * 1999-01-27 2003-01-14 International Business Machines Corporation Protection of biometric data via key-dependent sampling
US6957344B1 (en) * 1999-07-09 2005-10-18 Digital Video Express, L.P. Manufacturing trusted devices
AU8002800A (en) * 1999-10-08 2001-04-23 James E. Beecham Data management systems, apparatus and methods
US6678821B1 (en) * 2000-03-23 2004-01-13 E-Witness Inc. Method and system for restricting access to the private key of a user in a public key infrastructure
US6920561B1 (en) * 2000-03-31 2005-07-19 International Business Machines Corporation Method and system for enabling free seating using biometrics through a centralized authentication
US20020031230A1 (en) * 2000-08-15 2002-03-14 Sweet William B. Method and apparatus for a web-based application service model for security management
WO2002032308A1 (en) * 2000-10-17 2002-04-25 Kent Ridge Digital Labs Biometrics authentication system and method
WO2002073877A2 (en) * 2001-03-09 2002-09-19 Pascal Brandys System and method of user and data verification
US6973575B2 (en) * 2001-04-05 2005-12-06 International Business Machines Corporation System and method for voice recognition password reset
CA2450834C (en) * 2001-06-18 2013-08-13 Daon Holdings Limited An electronic data vault providing biometrically protected electronic signatures

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2007094165A1 (ja) * 2006-02-15 2009-07-02 日本電気株式会社 本人確認システムおよびプログラム、並びに、本人確認方法
US9112705B2 (en) 2006-02-15 2015-08-18 Nec Corporation ID system and program, and ID method
US10142114B2 (en) 2006-02-15 2018-11-27 Nec Corporation ID system and program, and ID method
JP2020005241A (ja) * 2018-12-14 2020-01-09 日本通信株式会社 オンラインサービス提供システム
JP2020005240A (ja) * 2018-12-14 2020-01-09 日本通信株式会社 オンラインサービス提供システム

Also Published As

Publication number Publication date
CN1705925A (zh) 2005-12-07
TWI237978B (en) 2005-08-11
CN100342294C (zh) 2007-10-10
WO2004006076A2 (en) 2004-01-15
EP1535127A2 (en) 2005-06-01
WO2004006076A3 (en) 2004-04-22
CA2491628A1 (en) 2004-01-15
TW200402224A (en) 2004-02-01
KR20050083594A (ko) 2005-08-26
US20040059924A1 (en) 2004-03-25
AU2003253777A1 (en) 2004-01-23

Similar Documents

Publication Publication Date Title
JP2005532736A (ja) 生物測定学的私設キーインフラストラクチャ
US9900163B2 (en) Facilitating secure online transactions
US9300649B2 (en) Context sensitive dynamic authentication in a cryptographic system
US7689832B2 (en) Biometric-based system and method for enabling authentication of electronic messages sent over a network
US9189777B1 (en) Electronic commerce with cryptographic authentication
US8984280B2 (en) Systems and methods for automating certification authority practices
RU2434340C2 (ru) Инфраструктура верификации биометрических учетных данных
US7409543B1 (en) Method and apparatus for using a third party authentication server
US20050154889A1 (en) Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol
US7366904B2 (en) Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system
US20090293111A1 (en) Third party system for biometric authentication
US20030076961A1 (en) Method for issuing a certificate using biometric information in public key infrastructure-based authentication system
US20080250245A1 (en) Biometric-based document security
JPH10336172A (ja) 電子認証用公開鍵の管理方法
EP1959607B1 (en) A method and system for authenticating the identity
AU2003253777B2 (en) Biometric private key infrastructure
CN117396866A (zh) 授权交易托管服务
Komninos PKI systems
Zhang et al. Enhance Opensst Protocol's Security with Smart Card.
KR20050097160A (ko) 공인 인증서를 이용한 인터넷 서비스 제공 시스템 및 그방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060303

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090804

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100105