JP2005535040A

JP2005535040A - 電子装置への個人身分証明書のセキュアな登録およびバックアップのための方法

Info

Publication number: JP2005535040A
Application number: JP2004526454A
Authority: JP
Inventors: アブダラ，デーヴィッド・エス; ジョンソン，バリー・ダブリュー
Original assignee: プリヴァリス・インコーポレーテッド
Priority date: 2002-08-06
Filing date: 2003-08-06
Publication date: 2005-11-17
Anticipated expiration: 2023-08-06
Also published as: US20090037745A1; EP3547599A1; CA2494299A1; US20090037746A1; US8478992B2; US9160537B2; US20110302423A1; US7788501B2; US20040139329A1; US20160205080A1; CA2820986A1; EP1529367A1; CA2820986C; JP4619119B2; CA2494299C; US20170359179A1; US9270464B2; US20090031140A1; US20120047370A1; WO2004014017A1

Abstract

個人身分証明書を個人識別装置にセキュアに登録する方法およびシステム。本発明のシステムは、装置の製造業者および登録機関を含む。製造業者は、製造業者が製造する各装置についてのシリアル番号またはその他の固有識別子を、各装置についての自己生成公開鍵と共に記録する任を担う。登録機関は、製造業者またはその他の適切な機関により、個人を装置に登録する前に個人を検証することができるものとして認識される。登録機関は、登録のために適切な装置を維持および操作し、登録機関の登録の承認を与える。本明細書に記載の方法は、装置に関する製造後プロセス、登録プロセス、バックアッププロセス、および回復プロセスを論じる。

Description

本発明は、一般には、情報セキュリティの分野に関し、より詳細には、人間の指紋の認証に基づいて個人身分証明書を格納および公開することができる装置のための登録方法に関する。

（関連する米国出願データ）
本願は、３５ＵＳＣ１１９（ｅ）の下で、参照によりその全体が本明細書に組み込まれる２００２年８月６日出願の「ＡＳｅｃｕｒｅＥｎｒｏｌｌｍｅｎｔＰｒｏｃｅｓｓｆｏｒａＢｉｏｍｅｔｒｉｃａｌｌｙＡｕｔｈｅｎｔｉｃａｔｅｄ，ＰｏｒｔａｂｌｅＥｌｅｃｔｒｏｎｉｃＤｅｖｉｃｅ」という名称の仮特許出願第６０／４０１，３９９号の優先権を主張するものである。

（発明の必要性）
生体認証を使用する装置および応用例は、情報セキュリティおよびプライバシーが重要である応用例で、ますます一般的かつ頻繁に使用されつつある。許可の形態として生体的特徴を使用する装置の成功率は、情報を生体的特徴と関連付けるプロセスの精度に依存する。例えば、ＪｏｈｎＤｏｅがＪａｎｅＤｏｅの登録プロセスを傍受し、ＪｏｈｎＤｏｅの指紋を用いてＪａｎｅＤｏｅの証明書を装置に登録することが可能であってはならない。一般化された登録プロセスは、生体サンプルを取り込み、サンプルとサンプルを提供する個人の正当性を保証し、生体サンプルを装置内の適切な位置に格納し、登録された個人に対してアクセス権を使用可能にすることを含む。この登録プロセスが、不正確または無効に実施された場合、生体認証およびセキュリティ強化の暗黙的保証が、容易に覆される。

生体認証を用いる様々なポータブル電子装置が、消費者にとって入手可能となっている。これらには、ヒューレットパッカードのｉＰＡＱＰｏｃｋｅｔＰＣｈ５４５０、３Ｍ−ＡｉＴのＶｅｒｉＭｅ、ＰｒｉｖａｒｉｓのＢＰＩＤ（商標）ＳｅｃｕｒｉｔｙＤｅｖｉｃｅ、およびソニーのＦＩＵ−９００Ｐｕｐｐｙ（登録商標）が含まれる。各装置は、指紋を格納し、オンボードマッチングを実施することができる。こうした製品のいくつかは、生体識別の検査後に暗号鍵を使用することが可能となるように構成可能である。以下の節で論じるように、暗号鍵の所有権は、通常、個人がデジタル式に通信中に、リモート識別の形態として使用される。その場合、暗号鍵が悪用することができないように、指紋が個人に明確に結びつけられることが必須である。

さらに、登録プロセスは、必然的に厳重でなければならず、また時間がかかる可能性が高いので、登録された証明書および指紋を保存および復元する単純な方法を有することが望ましい。明らかに、バックアッププロセスを損なうことによって登録プロセスが完全に無効にされる可能性があるので、この方法は、本質的に、セキュアでなければならない。

（関連技術の説明）
（公開鍵インフラストラクチャ）
公開鍵インフラストラクチャ（ＰＫＩ）およびデジタル証明書は、非常に一般的であり、正しく使用するとき、個人の「暗号識別」を保証するのに使用することができる。ＰＫＩの最も一般的な形態は、現在は人々が自由に入手可能なＲＳＡアルゴリズムを使用する。

ＰＫＩを使用するには、個人−Ａｌｉｃｅ−が、信頼される機関からのデジタル証明書を申し込む。実際の経歴調査プロセスの後に、信頼される機関は、Ａｌｉｃｅがそうであると主張する当人と判定し、デジタル証明書を発行することを判断する。この証明書は、公開鍵、Ａｌｉｃｅだけに割り振られる非対称鍵ペアの半分を含む。Ａｌｉｃｅは、鍵ペアの他方の半分である秘密鍵を保持する。公開鍵暗号の基本原理により、Ａｌｉｃｅの秘密鍵によって暗号化されたどんなものも、Ａｌｉｃｅの公開鍵を使用することによってのみ暗号化解除するができ、逆も同様である。Ａｌｉｃｅは、Ａｌｉｃｅの望むどんな人にも、デジタル証明書および公開鍵を自由に配布することができる。

別の個人であるＢｏｂがＡｌｉｃｅにメッセージを送信したいとき、Ｂｏｂは、Ａｌｉｃｅの公開鍵でメッセージを暗号化する。Ａｌｉｃｅは、暗号化メッセージを受信し、Ａｌｉｃｅの秘密鍵を使用してメッセージを暗号化解除する。Ａｌｉｃｅは、Ａｌｉｃｅの公開鍵の唯一の所有者であるので、Ｂｏｂは、Ａｌｉｃｅが唯一かつ添付の秘密鍵を所有していることを知っている。加えて、Ｂｏｂは、Ｂｏｂが知っている信頼される機関が実際の経歴チェックを実施し、Ａｌｉｃｅに発行されたデジタル証明書を発行したことを確認する。Ｂｏｂは、メッセージを読むことができる唯一の人が間違いなくＡｌｉｃｅであることを確信する。これにより一方向のセキュリティが保証される。

しかし、Ａｌｉｃｅは、ＢｏｂがＡｌｉｃｅにメッセージを送信したことを確信することができない。Ａｌｉｃｅの公開鍵は、自由にアクセス可能であるからである。この問題に対処するために、Ｂｏｂも信頼される機関にデジタル証明書を要求し、そこからデジタル証明書を受け取る。Ｂｏｂは、Ｂｏｂのメッセージを書き、次いでメッセージに関するデジタル署名を作成する。Ｂｏｂはまず、メッセージのハッシュを作成する。このプロセスは、メッセージに固有であるがメッセージを推定するのに使用することはできない固定長文字列を作成する。次いでＢｏｂは、このハッシュをＢｏｂの秘密鍵を使用して暗号化し、暗号化ハッシュをＢｏｂのメッセージに添付する。次にメッセージおよび暗号化ハッシュは、Ａｌｉｃｅの公開鍵で暗号化され、Ａｌｉｃｅに送信される。

Ａｌｉｃｅはまず、メッセージをＡｌｉｃｅの秘密鍵で暗号化解除する。次にＡｌｉｃｅは、前述と同様にメッセージを読むことができる。しかし、Ａｌｉｃｅは、暗号化ハッシュも有し、Ａｌｉｃｅは、暗号化ハッシュを使用して、Ｂｏｂがメッセージを送信したことを検証することができる。Ａｌｉｃｅは、Ｂｏｂの公開鍵を使用してデジタル署名を暗号化解除し、ハッシュを得る。次いでＡｌｉｃｅは、Ｂｏｂと同じハッシュアルゴリズムを使用して、受信したメッセージを自分自身でハッシュする。Ｂｏｂによって送信されたのと同じハッシュ値をＡｌｉｃｅが得た場合、Ａｌｉｃｅは、メッセージが変更されておらず、Ｂｏｂが本当にメッセージを送信したことを確信する。

（登録プロセス）
３Ｍ−ＡｉＴのＶｅｒｉＭｅは、１ユーザについての生体テンプレートおよび暗号秘密鍵を格納する。ユーザが、暗号秘密鍵を使用することを望むとき、ユーザは、正しい生体テンプレートを与えなければならない。ＶｅｒｉＭｅのファクトシートによれば、秘密鍵は、指紋の「セキュアな登録」時に生成される。しかし、このファクトシートは、セキュアな登録またはセキュアな登録が何を必要とするかについて説明していない。このファクトシートはまた、セキュアなバックアッププロセスおよび回復プロセスも論じていない。

ＢＡＩ（ＢｉｏｍｅｔｒｉｃＡｓｓｏｃｉａｔｅ）は、スマートカードに組み込むことができる指紋センサを製造している。次いでスマートカードを使用して、前述の装置と同様のローカル生体認証を実施することができる。ＢＡＩのウェブサイトによれば、カードは、ＢＡＩ登録ステーションを使用することで最大８ユーザを登録することができる。登録ステーションは、スマートカードが指紋および個人証明書の登録を開始するよう命令するのに必要な外部装置を提供する。しかし、公開されている情報は、これを実施するためのセキュアな暗号プロセスを説明していない。公開されている情報はまた、セキュアなバックアッププロセスおよび回復プロセスも説明していない。

本明細書で開示される発明は、個人識別用の手段を備える装置に個人身分証明書をセキュアに登録するプロセスを説明する。例えば、生体センサを備えるハンドヘルド（ｈａｎｄｈｅｌｄ）コンピュータは、格納された情報へのアクセスをユーザが要求したとき、登録された指紋を使用して、ユーザを識別することができる。指紋の登録は、将来の許可が有効となるように、確実にユーザを指紋と結びつけなければならない。

本明細書で説明する発明は、個人識別装置の製造業者が、製造業者が製造する各装置についてのシリアル番号またはその他の固有識別子を各装置についての自己生成公開鍵と共に記録する、登録のためのプロセスを提供する。登録機関は、製造業者またはその他の適切な機関により、人を装置に登録する前に検証することのできるものとして認識され、登録のために適切な装置を維持および操作し、登録機関の登録の承認を与える。

本明細書で説明する方法は、装置についての製造後プロセス、ならびに登録自体を対象とする。加えて、本発明は、登録された個人身分証明書をセキュアに保存する方法を説明する。これは、以前に検証された証明書を、全く新しい登録を必要とせずにユーザが新しい装置に復元することを可能にする。それに対応して、本発明は、格納された証明書が新しい装置にセキュアにダウンロードされる復元プロセスを説明する。

以下の詳細な説明は、現在企図される、本発明を実施する最良の方法である。この説明を限定的な意味で理解すべきではなく、この説明は、単に本発明の実施形態の一般原理を示すためのものに過ぎない。

本明細書で開示される発明は、生体認証の使用を介する個人識別用の手段を備える装置（以後「個人識別装置」と呼ぶ）に個人身分証明書をセキュアに登録するプロセスを説明する。こうした装置は、信頼される認証装置として使用することが意図されるので、装置内に格納された情報のすべてを適切な許可なしには変更することができない方式で装置内に配置することが重要である。登録プロセスでは、個人識別装置の製造業者と登録機関という２つの関係者が存在する。

登録プロセスは、製造後に装置を識別すること、ならびに、個人身分証明書および関連する生体的特徴を個人識別装置に登録することを含む。さらに、本発明は、登録された情報をハードドライブなどの電子記憶リポジトリに個人がセキュアに格納することができるように、セキュアなバックアッププロセスおよび回復プロセスを作成する方法も開示する。個人の個人識別装置が故障した場合、個人は、回復プロセスを使用して、格納され登録された情報を新しい装置に転送することができる。

適切な登録のために、登録プロセスにおける２つの関係者を明確かつ別々に識別しなければならない。登録システムにおける最初の関係者は、個人識別装置の製造業者である。製造業者は、製造業者が製造する装置すべてに関する、シリアル番号などの固有識別子のデータベースを維持する任を担う。これにより、後に製造業者が特定の装置を製造したかどうかを製造業者が判定することが可能となる。２番目の関係者は、登録機関であり、個人識別装置に登録することを求める個人の要求を調査、許可、および実施する任を担う。この関係者は、ＤＭＶ（ＤｅｐａｒｔｍｅｎｔｏｆＭｏｔｏｒＶｅｈｉｃｌｅｓ）、ビルティングセキュリティ係、あるいは個人識別装置を発行する任を担う任意のその他の人または組織でよい。

（初期登録）
この登録システムは、前述のＰＫＩを使用する。各製造業者および登録機関は、識別および暗号化のために使用することができる少なくとも１つの非対称鍵ペアを備える。この鍵ペアは、自己生成することができるが、それぞれの公開鍵は、信頼される機関によって署名されたデジタル証明書内に配置されなければならない。加えて、製造業者は、登録機関の承認を保証する手段として、登録機関によって所有されるデジタル証明書に署名することを望むことがある。

図１に、個人識別装置に対して登録プロセスを開始する製造後プロセスを示す。製造の直後に、各個人識別装置は、その製造業者が所有する公開鍵を受け取る（ステップ１０１）。好ましい実施形態では、この鍵は、デジタル証明書の一部として受け取られる。個人識別装置は、この公開鍵を使用して、製造業者から送られたメッセージ上のデジタル署名を検証し、それを正当な命令として受諾することができる。このステップは、製造工程がセキュアかつ改ざん防止型であることを必要とする。信頼される製造業者以外の鍵を受け取ることは、将来のセキュリティ検証を直接的に損なうことになる。

次に個人識別装置は、個人識別装置自体のために非対称鍵ペアを生成する（ステップ１０２）。公開鍵および装置の固有識別子が製造業者に送られる（ステップ１０３）。製造業者またはその他の正当な認証局は、装置についてのデジタル証明書を生成する（ステップ１０４）。次にこれが装置に送り戻され、その正当性のしるしとしてこれを製造業者によって署名することができる（ステップ１０５）。製造業者は、将来の参照のために装置の公開鍵およびその固有識別子の記録を保つ（ステップ１０６）。この時点で、個人識別装置内のすべての機能は使用不能にされ、それによって個人識別装置は、将来の登録を待つ状態となる（ステップ１０７）。

図２に示されるように、個人識別装置の受信時に、個人は登録機関に登録権を要求する（ステップ２０１）。これは、個人が物理的に指定の位置にいることを必要とする可能性があり、またはリモートに実施される可能性がある。登録機関は、申請者の検証プロセスに関係するすべての規則を確立することができる。個人識別装置のセキュリティおよび確実性は、検証プロセスと同程度に良好に過ぎず、したがって、こうしたプロセスが、エンドアプリケーションによって要求されるのと同じように厳重となることが予想される。

申請者を承認した後、登録機関は、個人識別装置のデジタル証明書を受信する（ステップ２０２および２０３）。登録機関は、所定の文字列を装置の秘密鍵で暗号化するように装置に促すことによってデジタル証明書を検証する（ステップ２０４）。次に登録機関は、装置のデジタル証明書に格納された公開鍵を使用して、暗号化された文字列を暗号化解除し、暗号化解除後の文字列が所定の文字列と合致することを検証する。この時点で、個人識別装置は、登録機関のデジタル証明書の妥当性を受信および検証する（ステップ２０６および２０６）。個人識別装置は、上述と同じプロンプトプロセスおよび検証プロセスを実施し、また証明書上に製造業者の署名が存在する場合、それも検証することができる。登録機関の正当性を確認した後、個人識別装置は、セッション鍵を作成し、それを登録機関にセキュアに公開する（ステップ２０７）。次に個人識別装置および登録機関は、セッション鍵を使用して自由に通信することができる（ステップ２０８）。生体的特徴は、個人身分証明書と共に個人識別装置にダウンロードすることができ、あるいは装置を使用してローカルに感知し、ローカルに格納することができる。この段階での登録プロセスは、アプリケーションに依存し、必要な証明書の確立などを必要とする。これらは本発明の範囲内に包含されない。

（回復プロセス）
ある場合には、少なくとも１つの登録される個人身分証明書および生体的特徴のバックアップを提供することが、必要なことがある。バックアップは、個人識別装置が故障した場合に使用することができ、それによって個人は、上述のプロセス全体を経なくても新しい個人識別装置を再登録することができる。こうした装置は、それぞれ「１次個人識別装置」および「２次個人識別装置」と呼ばれる。

（バックアップ）
回復プロセスには、２つの別個の部分がある。第１の部分は、登録される個人身分証明書を保存する方法を記述し、登録される個人が、その個人身分証明書および生体的特徴をユーザアクセス可能なコンピュータディスクまたはその他の電子記憶リポジトリにセキュアに格納することを可能にする。このデータは、システムの実装者によって指定された装置製造業者、登録機関、または回復機関からの許可を受けた場合にのみアクセス可能である。第１実施形態では、このシステムコントローラが、１次個人識別装置の製造業者となる。回復プロセスの第２部分は、格納されたデータを２次個人識別装置に回復する方法を記述する。

図３に示されるように、１次個人識別装置は、対称生体暗号化／暗号化解除鍵を生成する（ステップ３０１）。この鍵は、保存される個人身分証明書をロック解除するのに使用することができる、登録される生体的特徴のデジタル表現を暗号化するのに使用される（ステップ３０２）。生体的特徴の暗号化の後、対称生体暗号化／暗号化解除鍵が２つの固有かつ別個の部分に分割される（ステップ３０３）。分離の方式は、システム実装者の判断で選択することができる。対称生体暗号化／暗号化解除鍵の第１部分は、ユーザが選択したパスフレーズで暗号化される（ステップ３０４）。対称生体暗号化／暗号化解除鍵の第２部分は、１次個人識別装置によって所有される秘密鍵で署名され（ステップ３０５）、次いでシステムコントローラによって所有される公開鍵で暗号化される（ステップ３０６）。前述のように、この実施形態では、システムコントローラは、１次個人識別装置製造業者である。製造業者の公開鍵を使用することにより、個人は、回復中に強制的に製造業者に回復特権を要求させられる。個人は、製造業者にデータを製造業者の秘密鍵で暗号化解除してもらう必要があるからである。このことは、以下でさらに詳細に論じる。

次いで、１次個人識別装置は、少なくとも１つの登録される個人身分証明書を暗号化するのに使用される対称個人身分証明書暗号化／暗号化解除鍵を生成する（ステップ３０７）。まず、１次個人識別装置は、秘密鍵を使用して個人身分証明書をデジタル式に署名し（ステップ３０８）、次いで個人身分証明書および関連するデジタル署名を暗号化する（ステップ３０９）。前述の方式と同様に、対称個人身分証明書暗号化／暗号化解除鍵が２つの固有かつ別個の部分に分割される（ステップ３１０）。第１の部分は、ユーザが選択したパスフレーズで暗号化される（ステップ３１１）。このパスフレーズは、上記で使用したのと同一のパスフレーズでよく、同一でなくてもよい。第２部分は、装置の秘密鍵で再び署名され（ステップ３１２）、製造業者の公開鍵で暗号化される（ステップ３１３）。

次に、暗号化および／または署名されたデータのすべて−生体的特徴、対称生体暗号化／暗号化解除鍵、個人身分証明書、および対称個人身分証明書暗号化／暗号化解除鍵−が電子記憶リポジトリに格納される（ステップ３１４）。典型的な実施形態では、電子記憶リポジトリは、ハードドライブ、フロッピィディスク、またはネットワークドライブでよい。１次個人識別装置は、将来の１次個人識別装置の公開鍵の使用のために、１次個人識別装置のデジタル証明書を個人に公開する。

（復元）
図４に示されるように、個人が、２次個人識別装置を受け取り、１次個人識別装置からデータを回復することを望むとき、個人は、電子記憶リポジトリにアクセスしなければならない（ステップ４０１）。個人はまず、対称生体暗号化／暗号化解除鍵の２つの暗号化および／または署名された部分を取得する（ステップ４０２）。２次個人識別装置は、ユーザのパスフレーズで対称生体暗号化／暗号化解除鍵の第１部分を暗号化解除する（ステップ４０３）。次いで２次個人識別装置は、１次個人識別装置の製造業者であるシステムコントローラに、その（製造業者の）秘密鍵を使用して対称生体暗号化／暗号化解除鍵の第２部分および関連するデジタル署名を暗号化解除するように要求する（ステップ４０４）。データが暗号化解除された後、２次個人識別装置は、１次個人識別装置によって所有される公開鍵を使用してデジタル署名を検証する（ステップ４０５）。次に対称生体暗号化／暗号化解除鍵の２つの部分が適切に組み合わされ（ステップ４０６）、生体的特徴を暗号化解除するのに使用することができる（ステップ４０７）。次に生体的特徴が、２次個人識別装置内の適切な位置に格納される（ステップ４０８）。

次に個人は、対称個人身分証明書暗号化／暗号化解除鍵の２つの暗号化および／または署名された部分を得る（ステップ４０９）。前述のプロセスと同様に、２次個人識別装置は、ユーザの選択したパスフレーズを使用して、対称個人身分証明書暗号化／暗号化解除鍵の第１部分を暗号化解除する（ステップ４１０）。次に２次個人識別装置は、１次個人識別装置の製造業者であるシステムコントローラに、製造業者の秘密鍵を使用して対称生体暗号化／暗号化解除鍵の第２部分および添付のデジタル署名を暗号化解除するように要求する（ステップ４１１）。再び２次個人識別装置は、１次個人識別装置によって所有される公開鍵を使用してデジタル署名を検証する（ステップ４１２）。鍵の２つの部分が再構築されて、１つの鍵が形成される（ステップ４１３）。次に鍵が使用されて、個人身分証明書および関連するデジタル署名が暗号化解除され（ステップ４１４）、１次個人識別装置によって所有される公開鍵を使用して署名が検証される（ステップ４１５）。次に、暗号化解除後の個人身分証明書を２次個人識別装置内に適切に格納することができる（ステップ４１６）。

上記の説明は、本発明の特定の実施形態を参照しているが、本発明の精神から逸脱することなく多数の修正形態を作成できることを理解されよう。添付の特許請求の範囲は、本発明の真の範囲および精神内に含まれる修正形態を包含するものとする。

個人識別装置のための製造後プロセスを示す流れ図である。個人身分証明書を個人識別装置に登録するプロセスを示す流れ図である。将来の復元のために個人身分証明書をセキュアに格納するバックアッププロセスを示す流れ図である。復元プロセスを示す流れ図である。

符号の説明

１０１製造業者の公開鍵を装置に与える
１０２装置のために鍵ペアを生成する
１０３装置の公開鍵および固有ＩＤを製造業者に与える
１０４装置についてのデジタル証明書を作成する
１０５デジタル証明書を装置に与える
１０６装置の公開鍵および固有ＩＤを格納する
１０７装置を使用不能にする
２０１証明書を装置に登録するために登録機関に許可を要求する
２０２要求を検証する
２０３装置のデジタル証明書を提示する
２０４装置が証明書の真の所有者であることを検証する
２０５登録機関のデジタル証明書を提示する
２０６登録機関が証明書の真の所有者であることを検証する
２０７セッション鍵を作成する
２０８セッション鍵で暗号化して登録を完了する
３０１対称生体暗号化／暗号化解除鍵を作成する
３０２対称生体暗号化／暗号化解除鍵で生体的特徴を暗号化する
３０３対称生体暗号化／暗号化解除鍵を２つの鍵に分割する
３０４パスフレーズで第１部分を暗号化する
３０５１次装置の秘密鍵で第２部分にデジタル式に署名する
３０６コントローラの公開鍵でデジタル署名および対称生体暗号化／暗号化解除鍵の第２部分を暗号化する
３０７対称個人身分証明書暗号化／暗号化解除鍵を作成する
３０８１次装置の秘密鍵で個人身分証明書にデジタル式に署名する
３０９対称個人身分証明書暗号化／暗号化解除鍵で証明書を暗号化する
３１０対称個人身分証明書暗号化／暗号化解除鍵を分割する
３１１パスフレーズで対称個人身分証明書暗号化／暗号化解除鍵の第１部分を暗号化する
３１２１次装置の秘密鍵で対称個人身分証明書暗号化／暗号化解除鍵の第２部分にデジタル式に署名する
３１３コントローラの公開鍵でデジタル署名および対称個人身分証明書暗号化／暗号化解除鍵の第２部分を暗号化する
３１４暗号化した生体的特徴、暗号化した証明書、および暗号化した対称生体暗号化／暗号化解除鍵、および対称個人身分証明書暗号化／暗号化解除鍵を電子記憶リポジトリに格納する
３１５１次装置の公開鍵を含むデジタル証明書をユーザに提供する
４０１電子記憶リポジトリにアクセスする
４０２対称生体暗号化／暗号化解除鍵の両方の部分を得る
４０３パスフレーズで第１部分を暗号化解除する
４０４コントローラの秘密鍵で第２部分およびデジタル署名を暗号化解除する
４０５１次装置の公開鍵を使用してデジタル署名を検証する
４０６対称生体暗号化／暗号化解除鍵の両方の部分を組み合わせる
４０７生体的特徴を暗号化解除する
４０８生体的特徴を２次装置に格納する
４０９対称個人身分証明書暗号化／暗号化解除鍵の両方の部分を得る
４１０パスフレーズで第１部分を暗号化解除する
４１１コントローラの秘密鍵で第２部分およびデジタル署名を暗号化解除する
４１２１次装置の公開鍵を使用してデジタル署名を検証する
４１３対称個人身分証明書暗号化／暗号化解除鍵の両方の部分を組み合わせる
４１４個人身分証明書および関連するデジタル署名を暗号化解除する
４１５１次装置の公開鍵を使用してデジタル署名を検証する
４１６個人身分証明書を２次装置に格納する

Claims

少なくとも１つの個人身分証明書を個人識別装置に登録する方法であって、個人身分証明書へのアクセスが、生体的特徴の使用によって制御され、
ａ．個人識別装置を製造するステップであって、製造業者が、製造業者が製造する個人識別装置ごとの固有識別子および固有公開鍵のデータベースを維持する、ステップと、
ｂ．前記製造業者によって所有される公開鍵を前記個人識別装置に配布するステップと、
ｃ．前記個人識別装置内に秘密装置鍵および公開装置鍵を含む非対称鍵ペアを作成するステップと、
ｄ．前記非対称鍵ペアの前記公開鍵および固有装置識別子を前記製造業者に配布するステップと、
ｅ．前記公開鍵および前記固有識別子を含む第１デジタル証明書を作成するステップと、
ｆ．前記第１デジタル証明書を前記個人識別装置にセキュアに配布するステップと、
ｇ．前記製造業者のデータベース内に前記公開鍵および前記固有識別子を格納するステップと、
ｈ．前記個人識別装置のすべての機能を使用不能にするステップと、
ｉ．登録機関に登録許可を要求するステップと、
ｊ．登録許可を求める前記要求を検証するステップと、
ｋ．前記第１デジタル証明書を前記登録機関に提示するステップと、
ｌ．前記個人識別装置が前記第１デジタル証明書の正当な所有者であることを検証するステップと、
ｍ．前記登録機関によって所有される第２デジタル証明書を提示するステップと、
ｎ．前記登録機関が前記第２デジタル証明書の正当な所有者であることを検証するステップと、
ｏ．対称セッション鍵を作成するステップと、
ｐ．前記対称セッション鍵を使用して、前記個人身分証明書および関連する生体的特徴を前記個人識別装置にセキュアに送信するステップと、
を含む方法。
前記第２デジタル証明書に添付されるデジタル署名が前記製造業者によって署名されたことを検証するステップを、さらに含む請求項１に記載の方法。
前記個人身分証明書をセキュアに保存するステップをさらに含み、
ａ．対称生体暗号化／暗号化解除鍵を作成するステップと、
ｂ．前記生体的特徴のデジタル表現を前記対称生体暗号化／暗号化解除鍵で暗号化するステップと、
ｃ．前記対称生体暗号化／暗号化解除鍵を２つの固有かつ別個の部分に分割するステップと、
ｄ．前記対称生体暗号化／暗号化解除鍵の第１部分をユーザ指定のパスフレーズで暗号化するステップと、
ｅ．個人識別装置によって所有される秘密鍵で、対称生体暗号化／暗号化解除鍵の第２部分に関連する対称生体デジタル署名を作成するステップと、
ｆ．前記対称生体暗号化／暗号化解除鍵の前記第２部分および前記対称生体デジタル署名を前記個人識別装置の製造業者によって所有される公開鍵で暗号化するステップと、
ｇ．対称個人身分証明書暗号化／暗号化解除鍵を作成するステップと、
ｈ．前記個人識別装置によって所有される前記秘密鍵で、前記個人身分証明書に関する証明書デジタル署名を作成するステップと、
ｉ．前記個人身分証明書のデジタル表現および前記証明書デジタル署名を前記対称個人身分証明書暗号化／暗号化解除鍵で暗号化するステップと、
ｊ．前記対称個人身分証明書暗号化／暗号化解除鍵を２つの固有かつ別個の部分に分割するステップと、
ｋ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記第１部分をユーザ指定のパスフレーズで暗号化するステップと、
ｌ．前記個人識別装置によって所有される秘密鍵で、前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分に関連する対称個人識別デジタル署名を作成するステップと、
ｍ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分および前記対称個人識別デジタル署名を、前記装置の前記製造業者によって所有される公開鍵で暗号化するステップと、
ｎ．暗号化生体的特徴、署名および暗号化した個人身分証明書、前記対称生体暗号化／暗号化解除鍵の暗号化した第１部分および第２部分、ならびに前記対称個人身分証明書暗号化／暗号化解除鍵の暗号化した第１部分および第２部分を、ユーザアクセス可能な電子記憶リポジトリに格納するステップと、
ｏ．前記個人識別装置に関連するユーザにデジタル証明書を公開するステップと、
を含む請求項１に記載の方法。
前記個人身分証明書および前記関連する生体的特徴を２次個人識別装置にセキュアに復元するステップをさらに含み、
ａ．前記対称生体暗号化／暗号化解除鍵の前記２つの暗号化した固有かつ別個の部分を得るステップと、
ｂ．前記対称生体暗号化／暗号化解除鍵の前記第１部分を前記ユーザ指定のパスフレーズで暗号化解除するステップと、
ｃ．前記対称生体暗号化／暗号化解除鍵の前記第２部分および前記対称生体デジタル署名を、前記個人識別装置の製造業者によって所有される秘密鍵で暗号化解除するステップと、
ｄ．個人識別装置によって所有される前記公開鍵を使用して前記対称生体デジタル署名を検証するステップと、
ｅ．前記対称生体暗号化／暗号化解除鍵の前記２つの部分を組み合わせるステップと、
ｆ．前記対称生体暗号化／暗号化解除鍵を使用して、前記生体的特徴のデジタル表現を暗号化解除するステップと、
ｇ．前記生体的特徴の前記デジタル表現を前記２次個人識別装置内に格納するステップと、
ｈ．前記２次個人識別装置に新しい生体的特徴を発信し、前記生体的特徴の前記格納されたデジタル表現と突き合わせて前記新しい生体的特徴を認証するようにユーザに促すステップと、
ｉ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記２つのデジタルに署名および暗号化された固有かつ別個の部分を得るステップと、
ｊ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記第１部分をユーザ指定のパスフレーズで暗号化解除するステップと、
ｋ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分および前記対称個人識別デジタル署名を、前記個人識別装置の前記製造業者によって所有される秘密鍵で暗号化解除するステップと、
ｌ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記２つの部分を組み合わせるステップと、
ｍ．前記対称個人身分証明書暗号化／暗号化解除鍵を使用して、前記個人身分証明書および前記対称個人識別デジタル署名を暗号化解除するステップと、
ｎ．前記個人識別装置によって所有される公開鍵を使用して前記対称個人識別デジタル署名を検証するステップと、
ｏ．前記２次装置内に前記個人身分証明書を格納するステップと、
を含む請求項３に記載の方法。
個人識別装置の将来の識別の手段を提供する方法であって、個人身分証明書へのアクセスが、生体的特徴の使用によって制御され、装置の製造の直後に、
ａ．前記個人識別装置の製造業者によって所有される公開鍵を前記個人識別装置に配布するステップと、
ｂ．前記個人識別装置内に秘密装置鍵および公開装置鍵を含む非対称鍵ペアを作成するステップと、
ｃ．前記非対称鍵ペアの前記公開鍵および固有装置識別子を前記製造業者に配布するステップと、
ｄ．前記公開鍵および前記固有識別子を含むデジタル証明書を作成するステップと、
ｅ．前記デジタル証明書を前記個人識別装置にセキュアに配布するステップと、
ｆ．データベース内に前記公開鍵および前記固有識別子を格納するステップと、
ｇ．前記個人識別装置のすべての機能を使用不能にするステップと、
を含む方法。
少なくとも１つの個人身分証明書および関連する生体的特徴を個人識別装置にセキュアに登録する方法であって、前記個人身分証明書へのアクセスが、前記生体的特徴の使用によって制御され、
ａ．登録機関に登録許可を要求するステップと、
ｂ．登録許可を求める前記要求を検証するステップと、
ｃ．前記個人識別装置によって所有される第１デジタル証明書を提示するステップと、
ｄ．前記個人識別装置が前記第１デジタル証明書の正当な所有者であることを検証するステップと、
ｅ．前記登録機関によって所有される第２デジタル証明書を提示するステップと、
ｆ．前記登録機関が前記第２デジタル証明書の正当な所有者であることを検証するステップと、
ｇ．対称セッション鍵を作成するステップと、
ｈ．前記対称セッション鍵を使用して、前記個人身分証明書および前記関連する生体的特徴を前記装置にセキュアに送信するステップと、
を含む方法。
前記第２デジタル証明書に添付されるデジタル署名が前記製造業者によって署名されたことを検証するステップを、さらに含む請求項６に記載の登録方法。
個人識別用の装置を備える装置に事前登録された少なくとも１つの個人身分証明書をセキュアに保存するステップをさらに含み、個人身分証明書へのアクセスが、生体的特徴の使用によって制御され、
ａ．対称生体暗号化／暗号化解除鍵を作成するステップと、
ｂ．前記生体的特徴のデジタル表現を前記対称生体暗号化／暗号化解除鍵で暗号化するステップと、
ｃ．前記対称生体暗号化／暗号化解除鍵を２つの固有かつ別個の部分に分割するステップと、
ｄ．前記対称生体暗号化／暗号化解除鍵の第１部分をユーザ指定のパスフレーズで暗号化するステップと、
ｅ．個人識別装置によって所有される秘密鍵で、前記対称生体暗号化／暗号化解除鍵の前記第２部分に関連するデジタル署名を作成するステップと、
ｆ．前記対称生体暗号化／暗号化解除鍵の前記第２部分および前記デジタル署名を前記装置の前記製造業者によって所有される公開鍵で暗号化するステップと、
ｇ．対称個人身分証明書暗号化／暗号化解除鍵を作成するステップと、
ｈ．前記個人識別装置によって所有される秘密鍵で、少なくとも１つの個人身分証明書に関するデジタル署名を作成するステップと、
ｉ．少なくとも１つの個人身分証明書のデジタル表現および前記デジタル署名を前記対称個人身分証明書暗号化／暗号化解除鍵で暗号化するステップと、
ｊ．前記対称個人身分証明書暗号化／暗号化解除鍵を２つの固有かつ別個の部分に分割するステップと、
ｋ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記第１部分をユーザ指定のパスフレーズで暗号化するステップと、
ｌ．前記個人識別装置によって所有される秘密鍵で、前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分に関連するデジタル署名を作成するステップと、
ｍ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分および前記デジタル署名を、前記装置の前記製造業者によって所有される公開鍵で暗号化するステップと、
ｎ．暗号化生体的特徴、署名および暗号化した個人身分証明書、対称生体暗号化／暗号化解除鍵、ならびに前記対称個人身分証明書暗号化／暗号化解除鍵を、ユーザアクセス可能な電子記憶リポジトリに格納するステップと、
ｏ．前記個人識別装置に関連するユーザにデジタル証明書を公開し、前記個人識別装置によって所有される固有識別子および公開鍵を格納するステップと、
を含む方法。
個人識別用の手段を備える１次装置に当初登録され、ユーザアクセス可能な電子記憶リポジトリに事前に保存された少なくとも１つの個人身分証明書および関連する生体的特徴を、個人識別用の手段を備える２次装置にセキュアに復元する方法であって、個人身分証明書へのアクセスが、生体的特徴の使用によって制御され、
ａ．対称生体暗号化／暗号化解除鍵の２つの暗号化された固有かつ別個の部分を得るステップと、
ｂ．前記対称生体暗号化／暗号化解除鍵の前記第１部分をユーザ指定のパスフレーズで暗号化するステップと、
ｃ．前記対称生体暗号化／暗号化解除鍵の前記第２部分および関連するデジタル署名を、前記１次装置の製造業者によって所有される秘密鍵で暗号化解除するステップと、
ｄ．前記対称生体暗号化／暗号化解除鍵の前記第２部分に関連する前記デジタル署名を、前記１次装置によって所有される公開鍵を使用して検証するステップと、
ｅ．前記対称生体暗号化／暗号化解除鍵の前記２つの部分を組み合わせるステップと、
ｆ．前記対称生体暗号化／暗号化解除鍵を使用して、前記生体的特徴のデジタル表現を暗号化解除するステップと、
ｇ．前記生体的特徴の前記デジタル表現を前記２次装置内に格納するステップと、
ｈ．前記２次装置に新しい生体的特徴を発信し、前記格納された生体的特徴と突き合わせて前記新しい生体的特徴を認証するようにユーザに促すステップと、
ｉ．対称個人身分証明書暗号化／暗号化解除鍵の２つのデジタルに署名および暗号化された固有かつ別個の部分を得るステップと、
ｊ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記第１部分をユーザ指定のパスフレーズで暗号化解除するステップと、
ｋ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分部分を、前記１次装置の前記製造業者によって所有される秘密鍵で暗号化解除するステップと、
ｌ．前記１次装置によって所有される公開鍵を使用して、前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分上の前記デジタル署名および関連するデジタル署名を検証するステップと、
ｍ．前記対称個人身分証明書暗号化／暗号化解除鍵の前記２つの部分を組み合わせるステップと、
ｎ．前記対称個人身分証明書暗号化／暗号化解除鍵を使用して、前記個人身分証明書および関連するデジタル署名を暗号化解除するステップと、
ｏ．前記１次装置によって所有される公開鍵を使用して、前記個人身分証明書に関連する前記デジタル署名を検証するステップと、
ｐ．前記２次装置内に前記個人身分証明書を適切に格納するステップと、
を含む方法。
少なくとも１つの個人身分証明書を個人識別装置に登録する方法であって、前記少なくとも１つの個人身分証明書へのアクセスが、関連する生体的特徴の使用によって制御され、
固有識別子および固有公開鍵を前記個人識別装置に割り当てるステップと、
前記固有識別子および前記固有公開鍵のデータベースを維持するステップと、
前記個人識別装置に公開鍵を配布するステップと、
前記個人識別装置内に秘密装置鍵および公開装置鍵を含む非対称鍵ペアを作成するステップと、
前記装置から、前記非対称鍵ペアの前記公開鍵および前記固有装置識別子を送信するステップと、
前記秘密装置鍵および前記固有識別子を含む第１デジタル証明書を作成するステップと、
前記第１デジタル証明書を前記個人識別装置にセキュアに配布するステップと、
前記データベース内に前記公開装置鍵および前記固有識別子を格納するステップと、
前記個人識別装置のすべての機能を使用不能にするステップと、
登録機関に登録許可を要求するステップと、
登録許可を求める前記要求を検証するステップと、
前記個人識別装置によって所有される前記第１デジタル証明書を提示するステップと、
前記個人識別装置が前記第１デジタル証明書の正当な所有者であることを検証するステップと、
前記登録機関によって所有される第２デジタル証明書を提示するステップと、
前記登録機関が前記第２デジタル証明書の正当な所有者であることを検証するステップと、
対称セッション鍵を作成するステップと、
前記対称セッション鍵を使用して、前記個人身分証明書および前記関連する生体的特徴を前記個人識別装置にセキュアに送信するステップと、
を含む方法。
前記第２デジタル証明書に添付されるデジタル署名が適切に署名されたことを検証するステップを、さらに含む請求項１０に記載の方法。
前記個人身分証明書をセキュアに保存するステップをさらに含み、
対称生体暗号化／暗号化解除鍵を作成するステップと、
前記生体的特徴のデジタル表現を前記対称生体暗号化／暗号化解除鍵で暗号化するステップと、
前記対称生体暗号化／暗号化解除鍵を２つの固有かつ別個の部分に分割するステップと、
前記対称生体暗号化／暗号化解除鍵の前記第１部分をユーザ指定のパスフレーズで暗号化するステップと、
前記個人識別装置によって所有される秘密鍵で、対称生体暗号化／暗号化解除鍵の第２部分に関連する対称生体デジタル署名を作成するステップと、
前記対称生体暗号化／暗号化解除鍵の前記第２部分および前記対称生体デジタル署名を前記公開鍵で暗号化するステップと、
対称個人身分証明書暗号化／暗号化解除鍵を作成するステップと、
前記個人識別装置によって所有される前記秘密鍵で、前記個人身分証明書に関する証明書デジタル署名を作成するステップと、
前記個人身分証明書のデジタル表現および前記証明書デジタル署名を前記対称個人身分証明書暗号化／暗号化解除鍵で暗号化するステップと、
前記対称個人身分証明書暗号化／暗号化解除鍵を２つの固有かつ別個の部分に分割するステップと、
前記対称個人身分証明書暗号化／暗号化解除鍵の前記第１部分をユーザ指定のパスフレーズで暗号化するステップと、
前記個人識別装置によって所有される秘密鍵で、前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分に関連する対称個人識別デジタル署名を作成するステップと、
前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分および前記対称個人識別デジタル署名を、前記装置の前記製造業者によって所有される公開鍵で暗号化するステップと、
前記暗号化生体的特徴、署名および暗号化した個人身分証明書、前記対称生体暗号化／暗号化解除鍵の暗号化した第１部分および第２部分、ならびに前記対称個人身分証明書暗号化／暗号化解除鍵の暗号化した第１部分および第２部分を、ユーザアクセス可能な電子記憶リポジトリに格納するステップと、
前記個人識別装置に関連するユーザにデジタル証明書を公開するステップと、
を含む請求項１０に記載の方法。
前記個人身分証明書および前記関連する生体的特徴を２次個人識別装置にセキュアに復元するステップをさらに含み、
前記対称生体暗号化／暗号化解除鍵の前記２つの暗号化した固有かつ別個の部分を得るステップと、
前記対称生体暗号化／暗号化解除鍵の前記第１部分を前記ユーザ指定のパスフレーズで暗号化解除するステップと、
前記対称生体暗号化／暗号化解除鍵の前記第２部分および前記対称生体デジタル署名を暗号化解除するステップと、
前記公開装置鍵を使用して前記対称生体デジタル署名を検証するステップと、
前記対称生体暗号化／暗号化解除鍵の前記２つの部分を組み合わせるステップと、
前記対称生体暗号化／暗号化解除鍵を使用して前記生体的特徴の前記デジタル表現を暗号化解除するステップと、
前記生体的特徴の前記デジタル表現を前記２次個人識別装置内に格納するステップと、
前記２次個人識別装置に新しい生体的特徴を発信し、前記生体的特徴の前記格納されたデジタル表現と突き合わせて前記新しい生体的特徴を認証するようにユーザに促すステップと、
前記対称個人身分証明書暗号化／暗号化解除鍵の前記２つのデジタルに署名および暗号化された固有かつ別個の部分を得るステップと、
前記対称個人身分証明書暗号化／暗号化解除鍵の前記第１部分をユーザ指定のパスフレーズで暗号化解除するステップと、
前記対称個人身分証明書暗号化／暗号化解除鍵の前記第２部分および前記対称個人識別デジタル署名を暗号化解除するステップと、
前記対称個人身分証明書暗号化／暗号化解除鍵の前記２つの部分を組み合わせるステップと、
前記対称個人身分証明書暗号化／暗号化解除鍵を使用して、前記個人身分証明書および前記対称個人識別デジタル署名を暗号化解除するステップと、
前記公開装置鍵を使用して前記対称個人識別デジタル署名を検証するステップと、
前記２次装置内に前記個人身分証明書を格納するステップと、
を含む請求項１２に記載の方法。
個人識別装置の将来の識別の手段を提供する方法であって、個人身分証明書へのアクセスが、生体的特徴の使用によって制御され、装置の製造の直後に、
公開鍵を前記個人識別装置に配布するステップと、
前記個人識別装置内に秘密装置鍵および公開装置鍵を含む非対称鍵ペアを作成するステップと、
前記非対称鍵ペアの前記公開装置鍵および固有装置識別子を配布するステップと、
前記公開装置鍵および前記固有識別子を含むデジタル証明書を作成するステップと、
前記デジタル証明書を前記個人識別装置にセキュアに配布するステップと、
データベース内に前記公開装置鍵および前記固有識別子を格納するステップと、
前記個人識別装置のすべての機能を使用不能にするステップと、
を含む方法。