JP2008526173A - 情報セキュリティの認証方法及びシステム - Google Patents
情報セキュリティの認証方法及びシステム Download PDFInfo
- Publication number
- JP2008526173A JP2008526173A JP2008509292A JP2008509292A JP2008526173A JP 2008526173 A JP2008526173 A JP 2008526173A JP 2008509292 A JP2008509292 A JP 2008509292A JP 2008509292 A JP2008509292 A JP 2008509292A JP 2008526173 A JP2008526173 A JP 2008526173A
- Authority
- JP
- Japan
- Prior art keywords
- biometric
- certificate
- attribute
- authentication
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000013480 data collection Methods 0.000 claims description 3
- 238000013475 authorization Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Biomedical Technology (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Biodiversity & Conservation Biology (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Collating Specific Patterns (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本発明は情報セキュリティの認証方法及びシステムを開示している。当該方法は、ユーザから、拡張識別子を有する属性証明書つきのアクセス要求を受信し、前記拡張識別子が前記属性証明書に関連する生体証明書を指示することと、生体証明書を取得し、前記拡張識別子に基づいて取得された生体証明書がアクセス要求における属性証明書に関連するかどうかを判断し、前記生体証明書が前記属性証明書に関連する場合、ユーザの生体特徴データを取得し、生体特徴データと当該生体証明書に基づいて身分認証を行うことと、属性証明書を用いて権限認証を行うことと、身分認証結果と権限認証結果に基づいてユーザのアクセスを制御することとを含む。本発明では、権限認証と生体認証との対応関係を作成することにより、確実な権限管理が実現されている。
Description
本発明は情報セキュリティ分野に関し、特に情報セキュリティの認証方法及びシステムに関する。
国際電気通信連合(International Telecommunications Union,ITU)とInternetエンジニアリング・タスク・フォース(Internet Engineering Task Force,IETF)によって権限管理のインフラストラクチャ(PMI,Privilege Management Infrastructure)の概念が提出された。PMIは公開鍵インフラストラクチャ(PKI,Pubic Key Infrastructure)と統合することができ、ユーザに対して系統的に権限管理を行い、認可サービスを提供することができることにより、情報セキュリティを保障している。
前記PMIは属性証明書(AC,Attribute Certificate)、属性権威(AA,Attribute Authority)、属性証明書リポジトリ(Attribute Authority repository)などの構成要素からなり、権限と証明書の生成、管理、記憶、配信および取消などの機能を実現することに用いられる。前記属性証明書はデジタル署名を有するデータ構成である。当該データ構成はエンティティと権限をバインド(bind)し、即ち、属性証明書はエンティティの所有可能な権限を定義している。図1は属性証明書のフォーマットであり、バージョン、シリアル番号、有効期限、発行者、署名アルゴリズム及びその識別子、所有者、発行者のユニークな識別子(unique identifier)、属性情報、拡張情報及び発行者の署名などのパラメータを含む。そのうち、あるエンティティの権限に関する定義は属性情報に含まれている。
ユーザに対する情報セキュリティの認証は権限認証と身分認証を含む。実際的なアプリケーションでは、権限認証、例えばPMI認証などのみを行い、又は、身分認証、例えばPKI認証などのみを行ってもよく、PMI認証とPKI認証の結合を行ってもよい。異なる方式の情報セキュリティの認証は異なる正確性と信頼性を有する。通常の場合、リソースのセキュリティを保障するように、情報セキュリティの認証は比較的高い正確性と信頼性が要求される。
本発明は、情報セキュリティの認証方法及びシステムを提供している。主な技術案は以下の通りである。
本発明の実施形態によると、情報セキュリティの認証方法であって、
ユーザから、拡張識別子を有する属性証明書つきのアクセス要求を受信し、前記拡張識別子が前記属性証明書に関連する生体証明書を指示することと、
生体証明書を取得し、前記拡張識別子に基づいて、取得された生体証明書がアクセス要求における属性証明書に関連するかどうかを判断し、前記生体証明書が前記属性証明書に関連する場合、ユーザの生体特徴データを取得し、生体特徴データと当該生体証明書とに基づいて身分認証を行うことと、
属性証明書を用いて権限認証を行うことと、
身分認証結果と権限認証結果とに基づいてユーザのアクセスを制御することとを含む。
ユーザから、拡張識別子を有する属性証明書つきのアクセス要求を受信し、前記拡張識別子が前記属性証明書に関連する生体証明書を指示することと、
生体証明書を取得し、前記拡張識別子に基づいて、取得された生体証明書がアクセス要求における属性証明書に関連するかどうかを判断し、前記生体証明書が前記属性証明書に関連する場合、ユーザの生体特徴データを取得し、生体特徴データと当該生体証明書とに基づいて身分認証を行うことと、
属性証明書を用いて権限認証を行うことと、
身分認証結果と権限認証結果とに基づいてユーザのアクセスを制御することとを含む。
本発明のもう一つの実施形態によると、情報セキュリティの認証方法であって、
ユーザからアクセス要求を受信し、当該アクセス要求には、異なる権限特性を有する属性のために対応のセキュリティレベルが設定された属性証明書がつけられていることと、
セキュリティレベルと生体識別パラメータとの対応関係が記録された生体アルゴリズム証明書を取得することと、
属性証明書内の属性に対応する権限特性に基づいて、当該属性のセキュリティレベルを決定することにより、対応の生体識別パラメータを取得することと、
生体証明書と当該ユーザの生体特徴データとを取得して身分認証を行い、生体特徴データと生体証明書との合致程度が生体識別パラメータの要求に達するかどうかを判断することと、
属性証明書を用いて権限認証を行うことと、
身分認証結果と権限認証結果とに基づいてユーザのアクセスを制御することとを含む。
ユーザからアクセス要求を受信し、当該アクセス要求には、異なる権限特性を有する属性のために対応のセキュリティレベルが設定された属性証明書がつけられていることと、
セキュリティレベルと生体識別パラメータとの対応関係が記録された生体アルゴリズム証明書を取得することと、
属性証明書内の属性に対応する権限特性に基づいて、当該属性のセキュリティレベルを決定することにより、対応の生体識別パラメータを取得することと、
生体証明書と当該ユーザの生体特徴データとを取得して身分認証を行い、生体特徴データと生体証明書との合致程度が生体識別パラメータの要求に達するかどうかを判断することと、
属性証明書を用いて権限認証を行うことと、
身分認証結果と権限認証結果とに基づいてユーザのアクセスを制御することとを含む。
本発明のもう一つの実施形態によると、情報セキュリティの認証システムであって、
拡張識別子を有する属性証明書つきのアクセス要求をサービス提供手段へ開始し、サービス提供手段からの認証結果を受信するクライアント側と、
生体証明書を取得し、取得された生体証明書がアクセス要求における属性証明書に関連するかどうかを判断し、生体証明書に基づいて身分認証を行うよう身分認証手段に要求し、又は属性証明書に基づいて権限認証を行うよう権限認証手段に要求するサービス提供手段と、
生体証明書に基づいて身分認証を行う身分認証手段と、
属性証明書に基づいて権限認証を行う権限認証手段とを含む。
拡張識別子を有する属性証明書つきのアクセス要求をサービス提供手段へ開始し、サービス提供手段からの認証結果を受信するクライアント側と、
生体証明書を取得し、取得された生体証明書がアクセス要求における属性証明書に関連するかどうかを判断し、生体証明書に基づいて身分認証を行うよう身分認証手段に要求し、又は属性証明書に基づいて権限認証を行うよう権限認証手段に要求するサービス提供手段と、
生体証明書に基づいて身分認証を行う身分認証手段と、
属性証明書に基づいて権限認証を行う権限認証手段とを含む。
本発明のもう一つの実施形態によると、情報セキュリティの認証システムであって、
異なる権限特性を有する属性のために対応のセキュリティレベルが設定された属性証明書つきのアクセス要求をサービス提供手段へ送出し、サービス提供手段からの認証結果を受信するクライアント側と、
セキュリティレベルと生体識別パラメータとの対応関係が記録された生体アルゴリズム証明書と、クライアント側によって入力された生体特徴データとを取得し、生体証明書に基づいて身分認証を行うよう身分認証手段に要求し、又は属性証明書に基づいて権限認証を行うよう権限認証手段に要求し、属性証明書内の属性に対応する権限特性に基づいて当該属性のセキュリティレベルを決定し、対応の生体識別パラメータを取得するサービス提供手段と、
生体証明書を用いて、生体特徴データを入力したクライアント側に対して身分認証を行い、生体特徴データと生体証明書との合致程度が生体識別パラメータの要求に達するかどうかを判断する身分認証手段とを含む。
異なる権限特性を有する属性のために対応のセキュリティレベルが設定された属性証明書つきのアクセス要求をサービス提供手段へ送出し、サービス提供手段からの認証結果を受信するクライアント側と、
セキュリティレベルと生体識別パラメータとの対応関係が記録された生体アルゴリズム証明書と、クライアント側によって入力された生体特徴データとを取得し、生体証明書に基づいて身分認証を行うよう身分認証手段に要求し、又は属性証明書に基づいて権限認証を行うよう権限認証手段に要求し、属性証明書内の属性に対応する権限特性に基づいて当該属性のセキュリティレベルを決定し、対応の生体識別パラメータを取得するサービス提供手段と、
生体証明書を用いて、生体特徴データを入力したクライアント側に対して身分認証を行い、生体特徴データと生体証明書との合致程度が生体識別パラメータの要求に達するかどうかを判断する身分認証手段とを含む。
上記技術案からわかるように、本発明の情報セキュリティの認証方法及びシステムでは、属性証明書を用いて権限認証を行う前に、まず、当該属性証明書と関連する生体証明書(Biometric Certificate)を決定し、当該生体証明書を応用して身分認証を行い、身分認証がパスした後、当該属性証明書を応用して権限認証を行うことにより、権限認証と、生体証明書を用いる身分認証とのシームレスな結合(Seamless Combination)を実現する。つまり、本発明では権限認証と生体認証との対応関係を作成することにより、確実な権限管理を実現する。また、本発明は従来技術との間に良好な互換性(compatibility)があって、本発明を応用して情報セキュリティの認証が簡単かつ容易に行われる。
以下、図面を参照して実施例を挙げながら、本発明の内容を詳しく説明する。
本発明は生体特徴識別技術を情報セキュリティの認証に応用して、生体証明書の唯一性、安定性など特徴を用いて確実なセキュリティ認証を提供する。具体的に、属性証明書を用いてユーザの権限認証を行う前に、まず、当該属性証明書に関連する生体証明書を用いて当該ユーザに対して身分認証を行い、身分認証がパスした後、属性証明書に応じて権限認証を行うことにより、権限認証と身分認証との対応関係を確保し、権限管理をさらに確実にする。
前記生体特徴識別技術は人間自身の生理的又は行為の特徴を用いて身分認定を行う技術を指しており、例えば、指紋識別や虹彩識別などの技術である。
前記生体証明書は、生体特徴テンプレートを含むあらゆるタイプの証明書を指しており、単独に存在して生体認証のみに用いられる証明書と、前記生体証明書を除いた他のタイプの証明書、例えばRFC3739に定義された公開鍵証明書などとを含む。当該生体特徴テンプレートは主体の生体特徴データなどを記録することができる。この二種類(category)の生体証明書をさらに区分するために、単独に存在して生体認証のみに用いられる証明書を第1生体証明書と称し、前記第1生体証明書を除いた他のタイプの証明書、例えばRFC3739に定義された公開鍵証明書などを第2生体証明書と称する。前記第1生体証明書と第2生体証明書は両方とも生体特徴テンプレートを含む。
図2は本発明の一実施例による生体証明書のフォーマットであり、バージョン、シリアル番号、有効期限、主体及びそのユニークな識別子、発行者及びそのユニークな識別子、生体特徴テンプレート、テンプレートフォーマット識別子、拡張情報(Extension information)及び発行者の署名を含む。
ここで、バージョンは、生体証明書機関(Biometric Certification Authority,BCA)によって発行された生体証明書のバージョンである。シリアル番号は、BCAによって発行された生体証明書のユニークな識別子である。有効期限は、生体証明書の使用可能な日付であり、有効期限の開始日と有効期限の終了日を含む。主体は、当該生体証明書に識別されたエンティティであり、主体のユニークな識別子を用いて区分することができる。発行者は、生体証明書を生成してそれに署名を与えるBCAであり、当該BCAのユニークな識別子を用いて区分することができる。生体特徴テンプレートは、主体の生体特徴データなどを含む。テンプレートフォーマット識別子は、生体特徴テンプレートのフォーマット識別子である。拡張情報は、証明書のフォーマットを変えない前提で、当該生体証明書に追加されることが許される余分な情報であり、例えば生体証明書の使用方法など。発行者の署名は、下記の少なくとも一つのパラメータによって生成されたデジタル署名であり、前記パラメータには、BCAの秘密鍵対シリアル番号、有効期限、主体及びそのユニークな識別子、発行者及びそのユニークな識別子、生体特徴テンプレート、テンプレートフォーマット識別子、拡張情報などが含まれる。
属性証明書と生体証明書との関連関係を作成し、この関連関係の作成による従来のシステムへの影響を最小化するように、本発明では、属性証明書の拡張情報に、当該属性証明書に関連する生体証明書の識別子を記録する拡張項目を追加した。
前記属性証明書の拡張情報は主として当該属性証明書のアプリケーションに関するポリシーを声明するものである。また、拡張情報は基本拡張情報、権限取消拡張情報、ルート属性権威(root attribute authority)拡張情報、役目(role)拡張情報、認可(grant)拡張情報などを含む。通常の場合、本発明で追加された拡張項目は基本拡張情報にあり、拡張識別子と呼ばれる。
属性証明書に関連する生体証明書が第1生体証明書である場合、本発明の一実施例による拡張識別子の構成は図3に示す通りである。当該実施例において、拡張識別子は生体証明書発行者と生体証明書シリアル番号、エンティティ名称リスト及び対象摘要情報などを含む。
ここで、生体証明書発行者と生体証明書シリアル番号は当該属性証明書の所有者が所有する生体証明書を標識するものであり、即ち、当該属性証明書の所有者に対して身分認証を行うことができる生体証明書である。エンティティ名称リストは一つ又は複数の属性証明書の所有者の名称を標識するものである。対象摘要情報は下記のパラメータによって算出された摘要情報であり、前記パラメータには、生体証明書シリアル番号、有効期限、主体及びそのユニークな識別子、発行者及びそのユニークな識別子、生体特徴テンプレート、テンプレートフォーマット識別子、拡張情報が含まれる。
また、図3に示した拡張識別子は生体証明書発行者と生体証明書シリアル番号、エンティティ名称リスト及び対象摘要情報という3項目の内容をさらに含む。実際的なアプリケーションにおいて、拡張識別子は上記三項目のいずれか1項のみであり、又は上記3項目の任意の組合せであってよい。
拡張識別子にエンティティ名称リストのみあれば、エンティティ名称リストに記録された任意の一つの生体証明書によっても属性証明書の所有者の身分を認証することが可能であり、即ち、エンティティ名称リストに記録された任意の一つの生体証明書も当該属性証明書に関連する。
拡張識別子に生体証明書発行者と生体証明書シリアル番号、エンティティ名称リストが含まれる場合、生体証明書発行者と生体証明書シリアル番号に基づいて属性証明書と生体証明書とが関連しているかどうかを判断する。
拡張識別子にエンティティ名称リストと対象摘要情報が含まれる場合、対象摘要情報に基づいて属性証明書と生体証明書とが関連しているかどうかを判断する。
第2生体証明書の拡張識別子はニーズに応じ、又は図3を参照して設定されることができる。例えば、当該拡張識別子に生体証明書シリアル番号が含まれることなどであり、ここでは説明を省略する。
図4は本発明の一実施例による情報セキュリティの認証の実現を示すフローチャートである。
ステップ401において、クライアント側は、生体証明書と、拡張情報を含む属性証明書とが記録されたアクセス要求をサービス提供手段へ開始する。
一般に、クライアント側はアクセス要求を介して、あるリソースデータベースの情報を取得するよう要求する。
前記生体証明書は第1生体証明書でもよく、第2生体証明書でもよい。前記拡張識別子は身分認証に使用可能な生体証明書を指示する。
ステップ402において、サービス提供手段は、受信したアクセス要求に基づいて、生体証明書と、属性証明書における拡張識別子とが合致するかどうかを判断し、両方が合致しなければ、拒絶の応答情報をクライアント側に返信し、当該プロセスを終了し、両方が合致すれば、ステップ403に進む。
具体的な実現において、前記生体証明書はアクセス要求の伝達を介さずに、他のルートで取得されてもよい。例えば、データベースから取得される。
ステップ403において、サービス提供手段は成功の応答情報をクライアント側に返信する。
ステップ404において、成功の応答情報を受信したクライアント側はユーザによって入力された生体特徴データをサービス提供手段に送信する。
ステップ405において、サービス提供手段は、生体特徴データと生体証明書との両方を有する身分認証要求を身分認証手段へ送信する。
ステップ406において、身分認証手段は、生体証明書から生体特徴テンプレートを抽出して、ユーザによって入力された生体特徴データと比較し、クライアント側に対して身分認証を行う。
さらに、当該ステップにおいて、生体識別パラメータの要求に基づいて、属性証明書内の異なる権限特徴を有する属性に対して異なる厳しい程度の生体認証を行う。
前記生体識別パラメータは生体タイプ、識別アルゴリズム、誤合致率(FMR:false match rate)、トライアル回数、生体データ品質などであってよい。当該パラメータは身分認証手段によって設定され、又はサービス提供手段によって設定されてもよく、生体証明書につけられてもよい。生体識別パラメータが誤合致率である場合において、当該誤合致率が80%であると仮定すれば、身分認証手段は、生体特徴テンプレートを、ユーザによって入力された生体特徴データと比較し、比較結果が誤合致率の許容範囲内にあるかどうかを判断することで、ユーザ身分の合法性を決定する。例えば、生体特徴テンプレートと、ユーザによって入力された生体特徴データとの類似度が90%に達して、誤合致率より高い場合、身分認証手段は当該ユーザの身分が合法であると判定する。
ステップ407において、身分認証手段は身分認証結果をサービス提供手段に送信する。身分認証に失敗すれば、サービス提供手段は身分認証に失敗したことをクライアント側に通知し、プロセスを終了し、身分認証に成功すれば、ステップ408に進む。
ステップ408において、サービス提供手段は属性証明書つきの権限認証要求を権限認証手段へ送出する。
ステップ409において、権限認証手段は属性証明書に定義された権限特性に基づいて、当該クライアント側に対して権限認証を行い、即ち当該クライアント側がアクセス権限を持っているかどうかを判断する。当該ステップは従来の権限認証手順と同じであり、ここでは説明を省略する。
ステップ410〜411において、権限認証手段は権限認証結果をサービス提供手段に送信して、サービス提供手段により、今回のアクセス要求の認証がパスしたかどうかをクライアント側に通知する。
ここで、異なるタイプの生体証明書、例えば第1生体証明書と第2生体証明書に対しても、ステップ402での生体証明書と、属性証明書における拡張識別子とが合致するかどうかを判断する手順にはまた異なるところがある。
前記生体証明書が第1生体証明書である場合、拡張識別子の構成に基づいてまた下記の幾つかのケースに分けられることができる。
前記拡張識別子に、生体証明書発行者と生体証明書シリアル番号が含まれる場合、合致するかどうかを判断する手順として、サービス提供手段が、生体証明書に記録された生体証明書発行者と生体証明書シリアル番号、及び拡張識別子における生体証明書発行者と生体証明書シリアル番号の両方が同じであるかどうかを判断して、両方が同じであれば、合致すると判定し、両方が同じでなければ、合致しないと判定する。
前記拡張識別子にエンティティ名称リストが含まれ、当該エンティティ名称リストが少なくとも一つの主体及びそのユニークな識別子を備える場合、合致するかどうかを判断する手順として、生体証明書に記録された主体及びそのユニークな識別子が拡張識別子内のエンティティ名称リストに含まれているかどうかを判断して、含まれていれば、合致すると判定し、含まれていなければ、合致しないと判定する。
前記拡張識別子に対象摘要情報が含まれる場合、合致するかどうかを判断する手順として、生体証明書における生体証明書シリアル番号、有効期限、主体及びそのユニークな識別子、発行者及びそのユニークな識別子、テンプレートフォーマット識別子、生体特徴テンプレート及び拡張情報に基づいて摘要情報を計算し、算出された摘要情報と拡張識別子内の対象摘要情報の両方が同じであるかどうかを判断して、両方が同じであれば、合致すると判定し、両方が同じでなければ、合致しないと判定する。
前記拡張識別子に、生体証明書発行者と生体証明書シリアル番号、及びエンティティ名称リストが含まれる場合、生体証明書発行者と生体証明書シリアル番号に基づいて合致するかどうかを判断する。
前記拡張識別子に、エンティティ名称リストと対象摘要情報が含まれる場合、対象摘要情報に基づいて合致するかどうかを判断する。
前記生体証明書が第2生体証明書である場合において、拡張識別子に生体証明書シリアル番号が含まれると仮定すれば、合致するかどうかを判断する手順として、サービス提供手段は、アクセス要求につけられている生体証明書が拡張識別子内の生体証明書シリアル番号に指示された第2生体証明書であるかどうかを判断して、そうであれば、合致すると判定し、そうでなければ、合致しないと判定する。
または、サービス提供手段が拡張識別子内の生体証明書シリアル番号に指示された第2生体証明書を取得し、取得された第2生体証明書がアクセス要求につけられている生体証明書と同じであるかどうかを判断して、同じであれば、合致すると判定し、同じでなければ、合致しないと判定する。
上記の処理により、生体認証と権限認証のシームレスな結合を実現することにより、確実な権限管理が得られる。
図4からわかるように、本発明では属性証明書の使用をさらに拡張できて、生体アルゴリズム証明書を用いて生体識別パラメータを柔軟に提供することにより、属性証明書内で異なる権限特性を有する属性に対して異なる厳しい程度の生体認証を行うことが可能となる。前記生体識別パラメータには、生体タイプ、識別アルゴリズム、誤合致率、トライアル回数、生体データ品質などが含まれる。実際的なアプリケーションの際、生体識別パラメータに対応するセキュリティレベルを設定でき、セキュリティレベルによって生体認証の厳しい程度を制御する。
前記生体アルゴリズム証明書(Biometric Algorithm Certificate,BAC)は生体認証権威機構によって発布された種々の生体識別パラメータが記録された証明書を指している。本発明の一具体例で、生体アルゴリズム証明書のフォーマットは図5に示すように、バージョン、シリアル番号、有効期限、発行者、セキュリティレベルリスト、拡張情報、発行者の署名を含む。そのうち、バージョン、シリアル番号、有効期限、発行者の定義は生体証明書における対応のパラメータと類似しており、ここでは説明を省略する。
前記発行者の署名は下記の少なくとも一つのパラメータによって生成されたデジタル署名を指しており、前記パラメータには、チケットベース認証(TBA,Ticket Based Authentication)の秘密鍵対シリアル番号、有効期限、発行者及びそのユニークな識別子、生体タイプ及びそのユニークな識別子、識別アルゴリズム及びそのユニークな識別子、セキュリティレベルリスト、拡張情報が含まれる。
前記セキュリティレベルリストは各セキュリティレベルに対応する生体識別パラメータを格納するものであり、その構成は以下の通りである。
BioSecLevelList ATTRIBUTE :: = {
WITH SYNTAX SecurityLevelBioRefLIST
ID id-at-bioSecLevelList}
SecurityLevelBioRefLIST :: = SEQUENCE{
securityLevelNum INTEGER,
securityLevelBioRef SecurityLevelBioRef}
SecurityLevelBioRef :: = SEQUENCE{
biometricSecurityLevel BiometricSecurityLevel,
policy Policy,
biometricPara BiometricPara}
BiometricSecurityLevel :: = SEQUENCE{
uniqueIdentifierOfBioParaInfo CSTRING,
securityDegree INTEGER}
BiometricPara :: = SEQUENCE{
biometricNUM INTEGER OPTION,
biometricType BiometricType--CBEFF defined type--,
biometricAlgorithm AlgorithmIdentifier,
requestFMR BioAPIFMR,
trialNumber INTEGER OPTIONAL,
requestQuality INTEGER OPTIONAL
…}
BioSecLevelList ATTRIBUTE :: = {
WITH SYNTAX SecurityLevelBioRefLIST
ID id-at-bioSecLevelList}
SecurityLevelBioRefLIST :: = SEQUENCE{
securityLevelNum INTEGER,
securityLevelBioRef SecurityLevelBioRef}
SecurityLevelBioRef :: = SEQUENCE{
biometricSecurityLevel BiometricSecurityLevel,
policy Policy,
biometricPara BiometricPara}
BiometricSecurityLevel :: = SEQUENCE{
uniqueIdentifierOfBioParaInfo CSTRING,
securityDegree INTEGER}
BiometricPara :: = SEQUENCE{
biometricNUM INTEGER OPTION,
biometricType BiometricType--CBEFF defined type--,
biometricAlgorithm AlgorithmIdentifier,
requestFMR BioAPIFMR,
trialNumber INTEGER OPTIONAL,
requestQuality INTEGER OPTIONAL
…}
ここで、biometricTypeは、生体タイプであり、即ち、生体認証がどのタイプの生体特徴データ、例えば、指紋や、虹彩や音声などを採用するかのものであり。biometricAlgorithmは、あるタイプの生体特徴データの識別アルゴリズムである。requestFMRは、誤合致率であり、即ち、生体認証をするたびに許容されるエラー確率(false rate)である。trialNumberは一回の生体認証に失敗した後、ユーザに許容するトライアル回数である。requestQualityはユーザによって入力された生体特徴データの品質である。
セキュリティレベルが同じである場合、異なる生体タイプと識別アルゴリズムによって要求されるパラメータは全て異なっている。
なお、属性証明書内で権限特性が設定されている属性ごとに対して、それに対応する生体認証のセキュリティレベルを定義している。一般に、属性の権限が高いほど、そのセキュリティレベルも高い、即ち、生体認証への要求がさらに厳しくなって、リソースのセキュリティ性をよりよく保障するようになる。
この属性権限とセキュリティレベルとの対応関係は、直接に属性の定義を変更することで実現することができる。例えば、X.501|ISO/IEC9594−2で属性に対する定義は以下の通りである。
Attribute :: = SEQUENCE{
Type ATTRIBUTE.&id({SupportedAttributes}),
Values SET SIZE(0..MAX) OF ATTRIBUTE.&TYPE ({SupportedAttributes} {@type}),
valuesWithContext SET SIZE(1..MAX) OF SEQUENCE{
value ATTRIBUTE.&Type({SupportedAttributes}{@type}),
contextList SET SIZE(1..MAX) OF Context} OPTIONAL}
Attribute :: = SEQUENCE{
Type ATTRIBUTE.&id({SupportedAttributes}),
Values SET SIZE(0..MAX) OF ATTRIBUTE.&TYPE ({SupportedAttributes} {@type}),
valuesWithContext SET SIZE(1..MAX) OF SEQUENCE{
value ATTRIBUTE.&Type({SupportedAttributes}{@type}),
contextList SET SIZE(1..MAX) OF Context} OPTIONAL}
ここで、Typeは属性のタイプ情報であり、ValueはTypeに対応する数値であり、Contextはアプリケーション能力に対応する他の情報である。X.501| ISO/ IEC9594−2で、Contextのフォーマットは以下の通りである。
Context :: = SEQUENCE{
contextType CONTEXT.&id({SupportedContexts}),
contextValues SET SIZE(1..MAX) OF CONTEXT.&Type({Supported Contexts} {@contextType}),
fallback BOOLEAN DEFAULT FALSE}
Context :: = SEQUENCE{
contextType CONTEXT.&id({SupportedContexts}),
contextValues SET SIZE(1..MAX) OF CONTEXT.&Type({Supported Contexts} {@contextType}),
fallback BOOLEAN DEFAULT FALSE}
ここで、contextTypeは対象識別子(OBJECT IDENTIFIER)であり、contextValuesはcontextTypeに対応する数値であり、fallbackは属性とcontextTypeの対応関係を表すものである。例えば、Contextを用いて、属性に対応する生体認証のセキュリティレベルを表すことができ、ここで、contextTypeは生体認証のセキュリティレベルを表すものであり、contextValuesは当該セキュリティレベルの数値である。
本発明の他の実施例において、ユーザは権限管理を受けるリソースデータベースにアクセスして所要の情報を取得することができる。したがって、予め当該リソースデータベースにアクセスする権限を持っている全てのユーザの生体特徴データに基づいて一つの生体特徴テンプレートを構築して、生体証明書に格納し、属性証明書内で権限特性を有する属性ごとに対応のセキュリティレベルを設定する。当該実施例に係る情報セキュリティの認証手順は図6に示す通りであり、下記のステップを含む。
ステップ601において、クライアント側は、生体証明書と、拡張識別子が設定された属性証明書とを有するアクセス要求をサービス提供手段へ送出し、一つのリソースデータベースにアクセスするよう要求する。
ステップ602において、サービス提供手段は、当該属性証明書と生体証明書とが関連しているかどうかをチェックし、即ち、生体証明書と、属性証明書における拡張識別子との両方が合致するかどうかをチェックし、両方が合致しなければ、拒絶の応答情報をクライアント側に返信し、プロセスを終了し、両方が合致すれば、ステップ603に進む。
ステップ603において、サービス提供手段は成功の応答情報をクライアント側に返信する。
ステップ604において、収集手段はユーザの生体特徴データを収集してサービス提供手段に送信する。
ステップ605において、サービス提供手段は、生体特徴データと、セキュリティ情報リストが記録された生体アルゴリズム証明書とを有する身分認証要求を身分認証手段へ送信する。
ステップ606において、身分認証手段は、属性証明書における各属性に対応するセキュリティレベルに基づいて生体アルゴリズム証明書のセキュリティ情報リストを検索し、今回の生体認証に必要な生体識別パラメータを得る。その後、身分認証手段は、生体識別パラメータに基づいて当該ユーザに対して身分認証を行い、即ち、生体証明書における生体特徴テンプレートと、収集された生体特徴データとが当該生体識別パラメータの合致要求に適合するかどうかを判断する。
ステップ607において、身分認証手段が身分認証結果をサービス提供手段に送信する。身分認証結果が身分認証に失敗したことを示す場合、身分認証に失敗したことをサービス提供手段がユーザに通知して当該プロセスを終了し、身分認証結果が身分認証に成功したことを示す場合、ステップ608に進む。
ステップ608において、サービス提供手段は属性証明書つきの権限認証要求を権限認証手段に送出する。
ステップ609〜610において、権限認証手段は属性証明書に基づいてクライアント側に対して権限認証を行い、権限認証結果をサービス提供手段に送信する。
ステップ611において、サービス提供手段は今回アクセス要求の認証結果をユーザに通知する。ユーザが認証にパスした場合、リソースデータベースにアクセスし、所要の情報を取得することが可能となる。
本発明の他の実施例においては、実際的なニーズに応じて図4又は図6に示したプロセスの一つ又は複数のステップを行うことができ、即ち、上記プロセスにおけるステップが全て不可欠であることではなく、実際的なニーズに応じて選択して行われることができる。
例えば、生体アルゴリズム証明書を設定することはセキュリティレベルと生体識別パラメータの対応関係を記録することに用いられている。ユーザから送出されたアクセス要求に属性証明書がつけられており、当該属性証明書には、異なる権限特性を有する属性のために対応のセキュリティレベルが設定されている。即ち、属性証明書を生体アルゴリズム証明書と関連させる。
その後、生体証明書と生体特徴データを用いて当該ユーザに対して身分認証を行うとき、属性証明書内の属性に対応する権限特性に基づいて、当該属性のセキュリティレベルを決定することにより、対応の生体識別パラメータを取得し、かつ、生体特徴データと生体証明書との合致程度が生体識別パラメータの要求に達するかどうかを判断する。
図7は本発明の一実施例による情報セキュリティの認証システムの構成図であり、当該システムには、クライアント側、サービス提供手段、身分認証手段及び権限認証手段が含まれている。
前記クライアント側はアクセス要求をサービス提供手段へ開始し、及び/又はサービス提供手段からの身分/権限認証結果を受信するものである。前記アクセス要求には、生体証明書と、拡張識別子が設定された属性証明書とが含まれている。ここで、拡張識別子は属性証明書の基本拡張情報に設定されている。前記生体証明書は第1生体証明書でもよく、第2生体証明書でもよく、本発明では特に限定しない。
前記サービス提供手段は、アクセス要求を受信し、当該要求につけられている属性証明書と生体証明書とが関連しているかどうかを判断し、身分認証を行うよう身分認証手段に要求し、身分認証手段からの身分認証結果を受信し、次に、身分認証結果をクライアント側に返信し、及び/又は権限認証を行うよう権限認証手段に要求し、権限認証手段からの権限認証結果を受信し、次に、権限認証結果をクライアント側に返信するものである。
前記身分認証手段は生体証明書に基づいて身分認証を行うものであり、前記権限認証手段は属性証明書に基づいてクライアント側に対して権限認証を行うものである。
上記サービス提供手段、身分認証手段及び権限認証手段のいずれも論理エンティティであり、この三つの手段は同一の物理エンティティにあってもよく、異なる物理エンティティにあってもよい。
図8は本発明の他の実施例による情報セキュリティの認証システムを示す図である。当該システムには、生体データ収集手段、身分認証手段、権限認証手段、サービス提供手段が含まれている。
前記生体データ収集手段は、ユーザの生体特徴データを収集するものである。
前記身分認証手段は、収集された生体特徴データと、生体証明書と、生体識別パラメータとに基づいて、あるユーザの身分を認証し、即ち、収集された生体特徴データと生体証明書における生体特徴テンプレートとが合致するかどうかを判断するものである。
前記権限認証手段は、属性証明書に基づいてあるユーザに対して権限認証を行い、即ち、当該ユーザがあるサービスの使用権限を持っているかどうかを判断するものである。
前記サービス提供手段は、認証にパスしたユーザのためにサービスを提供するものであり、例えば、権限管理を受けるリソースデータベースに当該ユーザがアクセスすることを許容する。
本発明のもう一つの具体例において、クライアント側は属性証明書つきのアクセス要求を送出することができる。当該属性証明書には、異なる権限特性を有する属性のために対応のセキュリティレベルが設定されている。
サービス提供手段は、セキュリティレベルと生体識別パラメータとの対応関係が記録された生体アルゴリズム証明書と、クライアント側によって入力された生体特徴データとを取得し、属性証明書内の属性に対応する権限特性に基づいて、当該属性のセキュリティレベルを決定することにより、対応の生体識別パラメータを取得し、生体証明書に基づいて身分認証を行うよう身分認証手段に要求し、又は属性証明書に基づいて権限認証を行うよう権限認証手段に要求するものである。
身分認証手段は、生体特徴データを入力したクライアント側に対して生体証明書を用いて身分認証を行うとき、生体特徴データと生体証明書との合致程度が生体識別パラメータの要求に達するかどうかを判断するものである。
上記は本発明の実施例にすぎず、本発明の保護範囲を限定するものではない。
401 アクセス要求
402 両証明書の対応関係を検証
403 応答情報
404 ユーザが入力した生体特徴データ
405 身分認証要求
402 両証明書の対応関係を検証
403 応答情報
404 ユーザが入力した生体特徴データ
405 身分認証要求
Claims (14)
- 情報セキュリティの認証方法であって、
ユーザから、拡張識別子を有する属性証明書つきのアクセス要求を受信し、前記拡張識別子が前記属性証明書に関連する生体証明書を指示することと、
生体証明書を取得し、前記拡張識別子に基づいて、取得された生体証明書がアクセス要求における属性証明書に関連するかどうかを判断し、前記生体証明書が前記属性証明書に関連する場合、ユーザの生体特徴データを取得し、生体特徴データと当該生体証明書とに基づいて身分認証を行うことと、
属性証明書を用いて権限認証を行うことと、
身分認証結果と権限認証結果とに基づいてユーザのアクセスを制御することとを含むことを特徴とする情報セキュリティの認証方法。 - 前記拡張識別子が生体証明書発行者と生体証明書シリアル番号とを含み、
前記取得された生体証明書が属性証明書に関連するかどうかを判断することは、生体証明書に記録された生体証明書発行者と生体証明書シリアル番号とが拡張識別子における生体証明書発行者と生体証明書シリアル番号と同じであるかどうかを判断し、同じであれば、当該生体証明書が前記属性証明書に関連すると判定することを含むことを特徴とする請求項1に記載の情報セキュリティの認証方法。 - 前記拡張識別子が、少なくとも一つの主体及びそのユニークな識別子を含むエンティティ名称リストを含み、
前記取得された生体証明書が属性証明書に関連するかどうかを判断することは、生体証明書に記録された主体及びそのユニークな識別子が拡張識別子のエンティティ名称リストに含まれているかどうかを判断し、含まれている場合、当該生体証明書が前記属性証明書に関連すると判定することを含むことを特徴とする請求項1に記載の情報セキュリティの認証方法。 - 前記拡張識別子が対象摘要情報を含み、
前記取得された生体証明書が属性証明書に関連するかどうかを判断することは、生体証明書に記録された生体証明書シリアル番号、有効期限、主体及びそのユニークな識別子、発行者及びそのユニークな識別子、テンプレートフォーマット識別子、生体特徴テンプレート及び拡張情報に基づいて摘要情報を計算し、算出された摘要情報が拡張識別子における対象摘要情報と一致するかどうかを判断し、一致すれば、該生体証明書が前記属性証明書に関連すると判定することを含むことを特徴とする請求項1に記載の情報セキュリティの認証方法。 - 前記拡張識別子が生体証明書発行者と生体証明書シリアル番号、エンティティ名称リスト及び対象摘要情報の少なくとも一つを含むことを特徴とする請求項1に記載の情報セキュリティの認証方法。
- 前記対象摘要情報が生体証明書シリアル番号、有効期限、主体及びそのユニークな識別子、発行者及びそのユニークな識別子、テンプレートフォーマット識別子、生体特徴テンプレート及び拡張情報の少なくとも一つのパラメータによって得られることを特徴とする請求項5に記載の情報セキュリティの認証方法。
- 前記拡張識別子が属性証明書の基本拡張情報内に設定されることを特徴とする請求項1〜6のいずれか1項に記載の情報セキュリティの認証方法。
- 属性証明書内の異なる権限特性を有する属性のために対応のセキュリティレベルを設定することと、
セキュリティレベルと生体識別パラメータとの対応関係が記録されている生体アルゴリズム証明書を取得することと、をさらに含み、
前記生体特徴データと生体証明書とに基づいて身分認証を行うことは、
属性証明書内の属性に対応する権限特性に基づいて、当該属性のセキュリティレベルを決定することにより、対応の生体識別パラメータを取得し、
生体特徴データと生体証明書との合致程度が生体識別パラメータの要求に達するかどうかを判断し、達する場合、身分認証に成功したと判定し、達しない場合、身分認証に失敗したと判定することを含むことを特徴とする請求項1に記載の情報セキュリティの認証方法。 - 前記生体識別パラメータは生体タイプ、識別アルゴリズム、誤合致率、トライアル回数又は生体データ品質であることを特徴とする請求項8に記載の情報セキュリティの認証方法。
- 情報セキュリティの認証方法であって、
ユーザからアクセス要求を受信し、当該アクセス要求には、異なる権限特性を有する属性のために対応のセキュリティレベルが設定された属性証明書がつけられていることと、
セキュリティレベルと生体識別パラメータとの対応関係が記録された生体アルゴリズム証明書を取得することと、
属性証明書内の属性に対応する権限特性に基づいて、当該属性のセキュリティレベルを決定することにより、対応の生体識別パラメータを取得することと、
生体証明書と当該ユーザの生体特徴データとを取得して身分認証を行い、生体特徴データと生体証明書との合致程度が生体識別パラメータの要求に達するかどうかを判断することと、
属性証明書を用いて権限認証を行うことと、
身分認証結果と権限認証結果とに基づいてユーザのアクセスを制御することと
を含むことを特徴とする情報セキュリティの認証方法。 - 前記生体識別パラメータが生体タイプ、識別アルゴリズム、誤合致率、トライアル回数又は生体データ品質を含むことを特徴とする請求項10に記載の情報セキュリティの認証方法。
- 情報セキュリティの認証システムであって、
拡張識別子を有する属性証明書つきのアクセス要求をサービス提供手段へ開始し、サービス提供手段からの認証結果を受信するクライアント側と、
生体証明書を取得し、取得された生体証明書がアクセス要求における属性証明書に関連するかどうかを判断し、生体証明書に基づいて身分認証を行うよう身分認証手段に要求し、又は属性証明書に基づいて権限認証を行うよう権限認証手段に要求するサービス提供手段と、
生体証明書に基づいて身分認証を行う身分認証手段と、
属性証明書に基づいて権限認証を行う権限認証手段と
を含むことを特徴とする情報セキュリティの認証システム。 - ユーザの生体特徴データを収集し、前記生体特徴データを前記サービス提供手段に送信する生体データ収集手段をさらに含むことを特徴とする請求項12に記載の情報セキュリティの認証システム。
- 情報セキュリティの認証システムであって、
異なる権限特性を有する属性のために対応のセキュリティレベルが設定された属性証明書つきのアクセス要求をサービス提供手段へ送出し、サービス提供手段からの認証結果を受信するクライアント側と、
セキュリティレベルと生体識別パラメータとの対応関係が記録された生体アルゴリズム証明書と、クライアント側によって入力された生体特徴データとを取得し、生体証明書に基づいて身分認証を行うよう身分認証手段に要求し、又は属性証明書に基づいて権限認証を行うよう権限認証手段に要求し、属性証明書内の属性に対応する権限特性に基づいて当該属性のセキュリティレベルを決定し、対応の生体識別パラメータを取得するサービス提供手段と、
生体証明書を用いて、生体特徴データを入力したクライアント側に対して身分認証を行い、生体特徴データと生体証明書との合致程度が生体識別パラメータの要求に達するかどうかを判断する身分認証手段と
を含むことを特徴とする情報セキュリティの認証システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006100742825A CN101051895B (zh) | 2006-04-07 | 2006-04-07 | 一种集成生物认证和属性证书的认证方法及系统 |
CN200610074283XA CN101051896B (zh) | 2006-04-07 | 2006-04-07 | 一种认证方法和系统 |
PCT/CN2007/000721 WO2007115468A1 (fr) | 2006-04-07 | 2007-03-06 | Procédé et système d'authentification de la sécurité des informations |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008526173A true JP2008526173A (ja) | 2008-07-17 |
Family
ID=38580694
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008509292A Pending JP2008526173A (ja) | 2006-04-07 | 2007-03-06 | 情報セキュリティの認証方法及びシステム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20080065895A1 (ja) |
EP (2) | EP2214342B1 (ja) |
JP (1) | JP2008526173A (ja) |
KR (1) | KR100911983B1 (ja) |
WO (1) | WO2007115468A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5456172B1 (ja) * | 2012-09-26 | 2014-03-26 | 株式会社東芝 | 生体参照情報登録システム、装置及びプログラム |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8869252B2 (en) * | 2008-05-19 | 2014-10-21 | Nokia Corporation | Methods, apparatuses, and computer program products for bootstrapping device and user authentication |
US9298902B2 (en) * | 2009-02-12 | 2016-03-29 | International Business Machines Corporation | System, method and program product for recording creation of a cancelable biometric reference template in a biometric event journal record |
US8359475B2 (en) * | 2009-02-12 | 2013-01-22 | International Business Machines Corporation | System, method and program product for generating a cancelable biometric reference template on demand |
US8289135B2 (en) * | 2009-02-12 | 2012-10-16 | International Business Machines Corporation | System, method and program product for associating a biometric reference template with a radio frequency identification tag |
US8301902B2 (en) * | 2009-02-12 | 2012-10-30 | International Business Machines Corporation | System, method and program product for communicating a privacy policy associated with a biometric reference template |
US8327134B2 (en) * | 2009-02-12 | 2012-12-04 | International Business Machines Corporation | System, method and program product for checking revocation status of a biometric reference template |
US8844024B1 (en) * | 2009-03-23 | 2014-09-23 | Symantec Corporation | Systems and methods for using tiered signing certificates to manage the behavior of executables |
JP5429282B2 (ja) * | 2009-03-24 | 2014-02-26 | 日本電気株式会社 | 情報共有装置、情報共有方法、プログラム及び情報共有システム |
US8707031B2 (en) * | 2009-04-07 | 2014-04-22 | Secureauth Corporation | Identity-based certificate management |
US9832019B2 (en) * | 2009-11-17 | 2017-11-28 | Unho Choi | Authentication in ubiquitous environment |
US9159187B2 (en) * | 2010-11-23 | 2015-10-13 | Concierge Holdings, Inc. | System and method for verifying user identity in a virtual environment |
CN102571340A (zh) * | 2010-12-23 | 2012-07-11 | 普天信息技术研究院有限公司 | 证书认证装置及该装置的访问和证书更新方法 |
US10282802B2 (en) * | 2013-08-27 | 2019-05-07 | Morphotrust Usa, Llc | Digital identification document |
KR101523703B1 (ko) * | 2013-09-02 | 2015-05-28 | 서울신용평가정보 주식회사 | 본인 확인 등급에 따른 사용자 인증 처리 방법 |
CN104184724B (zh) * | 2014-07-29 | 2018-01-05 | 江苏大学 | 车联网中基于位置隐私的环签名方法 |
US10114939B1 (en) * | 2014-09-22 | 2018-10-30 | Symantec Corporation | Systems and methods for secure communications between devices |
US9882914B1 (en) * | 2015-02-25 | 2018-01-30 | Workday, Inc. | Security group authentication |
CN106161350B (zh) * | 2015-03-31 | 2020-03-10 | 华为技术有限公司 | 一种管理应用标识的方法及装置 |
EP3316512B1 (en) | 2015-09-28 | 2020-12-02 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | User identity authentication method and device |
US10484373B2 (en) | 2017-04-11 | 2019-11-19 | Mastercard International Incorporated | Systems and methods for biometric authentication of certificate signing request processing |
US11354660B1 (en) * | 2017-04-27 | 2022-06-07 | Wells Fargo Bank, N.A. | Encapsulation of payment information |
EP3979182A4 (en) * | 2019-05-30 | 2022-06-22 | NEC Corporation | INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING METHOD AND RECORDING MEDIUM |
CN111523147B (zh) * | 2020-07-03 | 2020-11-24 | 支付宝(杭州)信息技术有限公司 | 一种基于区块链的核身方法及相关硬件 |
WO2022074450A1 (en) * | 2020-10-09 | 2022-04-14 | Unho Choi | Chain of authentication using public key infrastructure |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6202151B1 (en) * | 1997-05-09 | 2001-03-13 | Gte Service Corporation | System and method for authenticating electronic transactions using biometric certificates |
JP2003296283A (ja) * | 2002-03-26 | 2003-10-17 | Trw Inc | 安全に身分を証明し、特権を与えるシステム |
JP2004274669A (ja) * | 2003-03-12 | 2004-09-30 | Omron Corp | 撮像装置、および顔認証装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1139894C (zh) * | 1997-05-09 | 2004-02-25 | Gte服务公司 | 认证电子交易的生物特征认证系统和方法 |
WO2003007538A1 (en) * | 2001-07-12 | 2003-01-23 | Icontrol Transactions, Inc. | Operating model for mobile wireless network based transaction authentication and non-repudiation |
WO2003007125A2 (en) * | 2001-07-12 | 2003-01-23 | Icontrol Transactions, Inc. | Secure network and networked devices using biometrics |
US20030140233A1 (en) * | 2002-01-22 | 2003-07-24 | Vipin Samar | Method and apparatus for facilitating low-cost and scalable digital identification authentication |
US7805614B2 (en) | 2004-04-26 | 2010-09-28 | Northrop Grumman Corporation | Secure local or remote biometric(s) identity and privilege (BIOTOKEN) |
CN1655505A (zh) * | 2005-04-01 | 2005-08-17 | 中国工商银行 | 一种银行柜员安全系统及方法 |
-
2007
- 2007-03-06 EP EP10162669.5A patent/EP2214342B1/en active Active
- 2007-03-06 WO PCT/CN2007/000721 patent/WO2007115468A1/zh active Application Filing
- 2007-03-06 EP EP07711053A patent/EP2009839A4/en not_active Withdrawn
- 2007-03-06 KR KR1020077014433A patent/KR100911983B1/ko active IP Right Grant
- 2007-03-06 JP JP2008509292A patent/JP2008526173A/ja active Pending
- 2007-04-06 US US11/697,601 patent/US20080065895A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6202151B1 (en) * | 1997-05-09 | 2001-03-13 | Gte Service Corporation | System and method for authenticating electronic transactions using biometric certificates |
JP2003296283A (ja) * | 2002-03-26 | 2003-10-17 | Trw Inc | 安全に身分を証明し、特権を与えるシステム |
JP2004274669A (ja) * | 2003-03-12 | 2004-09-30 | Omron Corp | 撮像装置、および顔認証装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5456172B1 (ja) * | 2012-09-26 | 2014-03-26 | 株式会社東芝 | 生体参照情報登録システム、装置及びプログラム |
WO2014049749A1 (ja) * | 2012-09-26 | 2014-04-03 | 株式会社 東芝 | 生体参照情報登録システム、装置及びプログラム |
US9736151B2 (en) | 2012-09-26 | 2017-08-15 | Kabushiki Kaisha Toshiba | Biometric reference information registration system, apparatus, and program |
Also Published As
Publication number | Publication date |
---|---|
KR20070121634A (ko) | 2007-12-27 |
KR100911983B1 (ko) | 2009-08-13 |
EP2009839A1 (en) | 2008-12-31 |
EP2214342A2 (en) | 2010-08-04 |
US20080065895A1 (en) | 2008-03-13 |
EP2214342A3 (en) | 2011-03-09 |
EP2214342B1 (en) | 2014-06-18 |
EP2009839A4 (en) | 2010-03-10 |
WO2007115468A1 (fr) | 2007-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2008526173A (ja) | 情報セキュリティの認証方法及びシステム | |
US8539249B2 (en) | System and method for security authentication using biometric authentication technique | |
US8230483B2 (en) | System, apparatus, program, and method for authentication | |
AU2003212617B2 (en) | A biometric authentication system and method | |
EP2053777B1 (en) | A certification method, system, and device | |
JP3943897B2 (ja) | 本人確認システム及び装置 | |
EP3966997B1 (en) | Methods and devices for public key management using a blockchain | |
CN110417790B (zh) | 区块链实名制排队系统及方法 | |
CN101317362B (zh) | 一种信息安全认证方法和系统 | |
EP4032228A1 (en) | Methods and devices for automated digital certificate verification | |
KR20220048997A (ko) | 분산된 아이덴티티 플랫폼들을 위한 통합 인증 시스템 | |
US10541813B2 (en) | Incorporating multiple authentication systems and protocols in conjunction | |
JP2001216270A (ja) | 認証局、認証システム及び認証方法 | |
JP2009223502A (ja) | 認証システム、認証方法、サーバ装置、認証装置、プログラム | |
CN114036482A (zh) | 基于区块链的数据管理方法、电子设备、存储介质 | |
WO2021255821A1 (ja) | 認証サーバ、顔画像更新勧告方法及び記憶媒体 | |
CN101123499A (zh) | 一种使用生物证书进行身份认证的方法 | |
US11954672B1 (en) | Systems and methods for cryptocurrency pool management | |
CN115776381A (zh) | 基于区块链系统的密钥处理方法、装置、介质及电子设备 | |
KR100925638B1 (ko) | 시점 토큰 검증 시스템 및 그 방법 | |
JP2004246645A (ja) | 手続システム及び認証システム | |
JP2005339120A (ja) | 属性情報出力装置、属性情報出力システム、および属性情報出力方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100720 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101214 |