JP2009037417A - 検証装置及びプログラム - Google Patents

検証装置及びプログラム Download PDF

Info

Publication number
JP2009037417A
JP2009037417A JP2007201139A JP2007201139A JP2009037417A JP 2009037417 A JP2009037417 A JP 2009037417A JP 2007201139 A JP2007201139 A JP 2007201139A JP 2007201139 A JP2007201139 A JP 2007201139A JP 2009037417 A JP2009037417 A JP 2009037417A
Authority
JP
Japan
Prior art keywords
certificate
evaluation
signature
template
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007201139A
Other languages
English (en)
Other versions
JP5038807B2 (ja
Inventor
Tomoaki Morijiri
智昭 森尻
Koji Okada
光司 岡田
Tatsuro Ikeda
竜朗 池田
Minoru Nishizawa
実 西澤
Hidehisa Takamizawa
秀久 高見澤
Yoshihiro Fujii
吉弘 藤井
Tomohiko Yamada
朝彦 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2007201139A priority Critical patent/JP5038807B2/ja
Priority to PCT/JP2008/063777 priority patent/WO2009017198A1/ja
Priority to CN2008800232641A priority patent/CN101689995B/zh
Priority to KR1020097027472A priority patent/KR101099954B1/ko
Priority to EP08791992.4A priority patent/EP2184888B1/en
Publication of JP2009037417A publication Critical patent/JP2009037417A/ja
Priority to US12/695,781 priority patent/US8332648B2/en
Application granted granted Critical
Publication of JP5038807B2 publication Critical patent/JP5038807B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】認証に用いたテンプレートや認証コンテキストに含まれる装置評価情報の正当性を検証する。
【解決手段】第1認証コンテキストAC1にテンプレートBTの正当性を示すテンプレート証明書CertBTと、第1装置評価情報の正当性を示す第1装置評価証明書Cert1とを含める一方、第2認証コンテキストAC2に第2装置評価情報の正当性を示す第2装置評価証明書Cert2を含め、第1及び第2認証コンテキストAC1,AC2を検証する際に、これらテンプレート証明書CertBT、第1及び第2評価証明書Cert1,Cert2を検証する構成により、上記課題を解決できる。
【選択図】図1

Description

本発明は、生体認証システムに用いられる検証装置及びプログラムに係り、例えば、認証に用いたテンプレートや認証コンテキストに含まれる装置評価情報の正当性を検証し得る検証装置及びプログラムに関する。
ネットワークを介した通信やサービスを実現する際には、通信相手を認証する認証技術が重要である。認証技術においては、近年のオープンなネットワーク環境の普及や、分散されたサービス・リソースの連携技術の発達に伴い、認証対象がユーザから機器端末まで拡張されてきている。
通常、認証技術においては、認証対象を厳密に識別又は照合する要請がある。認証対象が個人の場合、その個人が本人か否かを厳密に確認するための本人確認技術が必要になる。
有望な本人確認技術としては、バイオメトリクス(生体照合技術、もしくは生体認証技術)が挙げられる。バイオメトリクスは、個々人が有する固有の身体的・行動的特徴又は特性を予め登録した生体情報(以下、参照生体情報又はテンプレートという)と、認証時に取得した同様の生体情報とを照合し、その類似度により本人か否かを確認する技術である。生体情報としては、指紋や虹彩、網膜、顔、音声、キーストローク、サインなどが利用される。
バイオメトリクスでは、パスワードなどの既存の認証方法と異なり、紛失や忘失の心配が無い生体情報を利用するため、ユーザの負荷が軽減される。また、生体情報は複製が困難なものを前提とするため、ユーザの成りすましなどの防止策に有効である。
現在、バイオメトリクスは、特定の部屋などへの入退室時のユーザ認証や、銀行のATMにおける預金者の認証など、特定の装置を用いた本人認証に用いられている。
これに限らず、インターネットに代表されるオープンネットワーク上での電子商取引などでも、通信相手の認証手段としてバイオメトリクスを利用したいという期待が高まってきている。
しかしながら、ネットワークを介してバイオメトリクスを利用する場合、認証対象の側で実行された生体情報の取得や照合などの処理が、本当に正しい環境で実行されたかを、認証の検証者が検証できない不都合がある。ここで、「環境」とは、生体情報の取得や照合などの処理が実行される装置や、生体照合に用いられる情報(例えばテンプレート)を意味し、「正しい環境」とは、生体情報の取得・照合処理や情報の改ざん、あるいは不正な情報の使用が行われていないことを意味する。
また,バイオメトリクス処理は複数のプロセス(構成プロセス)から構成され,さらにこれらの構成プロセスが複数の装置に分担配置されて実行されることが多いことも,正しい環境で実行されたかの検証を困難にしている原因の一つである.
ここで,構成プロセスとは,テンプレートの保管,生体情報の取得,取得した生体情報の信号処理,信号処理された生体情報とテンプレートとの照合処理,照合処理の結果(類似度など)から本人であるかどうかを判定する判定処理などの各プロセスである.
これらのプロセスは複数の装置に分かれて配置され実行されることが多い.例えば,STOC(STore On Card)モデルと呼ばれる配置では,ICカード上でテンプレートの保管と要求に応じたテンプレートの出力を行い,それ以外の生体情報の取得,信号処理,照合処理,判定処理はバイオメトリクス装置上で実行される.一方,MOC(Match on Card)モデルでは,生体情報の取得とその信号処理だけをバイオメトリクス装置上で行い,テンプレートの保管,照合処理,判定処理がICカード上で実行される.また,SOC(System on Card)モデルでは,全ての構成プロセスがICカード上で実行される.さらに,複数の生体的特徴(例えば,指紋と顔など)を用いたバイオメトリクス(マルチモーダルモデル)では,指紋センサ装置とカメラ装置で指紋と顔のそれぞれの生体情報取得と信号処理を行い,ICカード上に保管された指紋と顔のテンプレートを用いて,照合装置上で指紋と顔それぞれの照合処理と,それらの結果を融合して本人かどうかを判定する判定処理を行うなど,より複雑な配置もあり得る.また、サーバで照合処理を行うサーバ照合モデルでは、ICカード上でテンプレートの保管と要求に応じたテンプレートの出力を行い、生体情報の取得とその信号処理をバイオメトリクス装置上で行い、テンプレートと信号処理された生体情報をサーバに送ることで、サーバ上で照合処理と判定処理を行う。
このように,認証対象の側で様々な装置に配置されて実行されたバイオメトリクス処理のそれぞれの構成プロセスが本当に正しい環境で実行されたかを検証することは従来困難であった.
ここで、係る不都合を解消する技術として、バイオメトリクス向けの認証コンテキスト(以下、生体認証コンテキストという)を用いた認証システムが知られている(例えば、特許文献1及び非特許文献1参照。)。
生体認証コンテキストは、バイオメトリクス処理を構成する各構成プロセスを実行するエンティティ装置がその実行結果を保証して報告する技術であり、これにより検証者側で各構成プロセスの実行結果の完全性を検証可能とする。ここでエンティティ装置とは、生体情報のセンサ装置、生体照合装置や、テンプレートを保管しているICカードなど、バイオメトリクス処理の各構成プロセスを実行する主体を意味する。
具体的には、各エンティティ装置が、実行した構成プロセスの実行結果と、その実行結果に対して鍵情報により生成した認証子とを生体認証コンテキストとして出力し、検証者はその認証子を検証することによって、実行結果の完全性を検証できる。
特開2006−11768号公報 Koji Okada, Tatsuro Ikeda, Hidehisa Takamizawa, Toshiaki Saisho, Extensible Personal Authentication Framework using Biometrics and PKI, Pre-Proceedings of The 3rd International workshop for Applied PKI (IWAP2004), pp.96-107.
以上のような生体認証コンテキストの技術は、本発明者の検討によれば、エンティティ装置内に保管されている生体参照情報(テンプレート)や、装置に対する装置評価情報を認証コンテキストに含めることにより、テンプレートや装置評価情報の完全性を保証している。ここで、装置評価情報とは、装置により実行される構成プロセスの精度や、装置のセキュリティ強度などに対する評価を示す情報である。これはつまり、装置内には正しいテンプレートや装置評価情報が保管されているという暗黙の仮定があることを意味する。言い換えると、テンプレートや装置評価情報の完全性は、エンティティ装置メーカにより保証されていることになる。
しかしながら、実際の運用では、エンティティ装置メーカと、テンプレート発行機関とは異なる場合が多い。例えば、ICカード発行メーカ(エンティティ装置メーカ)が予め空のICカードを製造発行し、その後に生体情報登録機関(テンプレート発行機関)がテンプレートを製造発行してICカードに保管する場合が考えられる。このとき、ICカード発行メーカは、正しいテンプレートがICカードに保管されていることを保証できない。ここでいう「発行」とは、対象が「装置」である場合には「製造する行為」や「装置の中に組み込む行為」という意味を持ち、対象が「データ」や「情報」である場合には「送信する行為」という意味を有するものとする。さらに、生体情報登録機関が発行したテンプレートを、他の機関(例えば生体認証サービスを行う銀行など)がICカードに保管する場合も考えられる。これらの場合、検証者は、ICカードが生成した生体認証コンテキストの正当性検証だけでは、正しいテンプレートを用いて認証が行われたことを検証できないという不都合がある。
また、装置評価情報は、装置メーカ自身が評価を偽る可能性があるため、装置メーカとは異なる第三者機関により評価されることが一般的であり、第三者機関が正しく評価したことを検証者が検証できなければならない。
更に、装置評価情報は不変なものではなく、更新を必要とする場合が生じる可能性がある。例えば、新たな攻撃の発見により装置のセキュリティ強度が低下した場合には装置評価情報を更新する必要が生じる。
しかしながら、一般的にエンティティ装置は製品として広く市場に出回っているため、全てのエンティティ装置内の装置評価情報を更新することは困難である。ここで、ネットワークを介して装置評価情報を更新する機能をエンティティ装置に付加することが考えられるが、エンティティ装置のような個人向けの製品にそのような複雑な機能を付加することは、装置の価格が高価になるので非現実的である。
以上の内容は、次の2つの課題にまとめられる。
第1の課題としては、認証に用いたテンプレートや認証コンテキストに含まれる装置評価情報の正当性(正しい機関が発行したものか否か)を検証者から検証し得るようにする必要がある。
第2の課題としては、テンプレート証明書や装置評価情報を変更する場合には、その変更を全てのエンティティ装置に対して容易に反映し得るようにする必要がある。
本発明は上記実情を考慮してなされたもので、認証に用いたテンプレートや認証コンテキストに含まれる装置評価情報の正当性を検証し得る検証装置及びプログラムを提供することを目的とする。
本発明の他の目的は、テンプレート証明書や装置評価情報が変更される場合には、その変更を全てのエンティティ装置に容易に反映し得る検証装置及びプログラムを提供することを目的とする。
第1の発明は、(a1)テンプレート対応情報とテンプレート発行機関IDとにテンプレート発行機関署名を付加してなるテンプレート証明書、(a2)第1装置IDと第1装置評価情報と第1装置評価機関IDとに第1装置評価機関署名を付加してなる第1装置評価証明書、(a3)前記第1装置ID、及び(a4)前記テンプレート証明書と前記第1装置評価証明書と前記第1装置IDとに付加した第1エンティティ装置署名、からなる第1認証コンテキスト(a1-a4)を生成する第1エンティティ装置と、(b1)認証実行結果、(b2)テンプレート対応情報、及び(b3)第2装置IDと第2装置評価情報と第2装置評価機関IDとに第2装置評価機関署名を付加してなる第2装置評価証明書、及び(b4)前記認証実行結果と前記テンプレート対応情報と前記第2装置評価証明書と前記第2装置IDとに付加した第2エンティティ装置署名、からなる第2認証コンテキスト(b1-b4)を生成する第2エンティティ装置とに関し、両エンティティ装置に接続されたクライアント装置から受信した前記各認証コンテキストを検証するための検証装置であって、前記第1装置IDを有する第1装置署名検証情報、互いに関連付けられた第1装置メーカID及び第1装置メーカ署名検証情報、互いに関連付けられた第1装置評価機関ID及び第1装置評価証明書検証情報、互いに関連付けられたテンプレート発行機関ID及びテンプレート証明書検証情報、前記第2装置IDを有する第2装置署名検証情報、互いに関連付けられた第2装置メーカID及び第2装置メーカ署名検証情報、互いに関連付けられた第2装置評価機関ID及び第2装置評価証明書検証情報を記憶する記憶手段と、前記第1認証コンテキスト内の第1装置IDにより前記記憶手段を検索し、前記第1装置IDに対応する第1装置署名検証情報に基づいて、当該第1認証コンテキスト内の第1エンティティ装置署名を検証する第1検証手段と、前記第1認証コンテキスト内の第1装置IDにより前記記憶手段を検索し、前記記憶手段から第1装置IDを有する第1装置署名検証情報を読み出し、この第1装置署名検証情報内の第1装置メーカIDにより前記記憶手段を検索し、前記記憶手段内の第1装置メーカIDに対応する第1装置メーカ署名検証情報に基づいて、第1装置署名検証情報内の第1装置メーカ署名を検証する第2検証手段と、前記第1認証コンテキスト内の第1装置IDと、第1認証コンテキストの第1装置評価証明書内の第1装置IDとが一致していることを検証する第3検証手段と、前記第1装置評価証明書内の第1装置評価機関IDにより前記記憶手段を検索し、前記記憶手段内の第1装置評価機関IDに対応する第1装置評価機関検証情報に基づいて、第1装置評価証明書内の第1装置評価機関署名を検証する第4検証手段と、前記第1認証コンテキストのテンプレート証明書内のテンプレート発行機関IDにより前記記憶手段を検索し、前記記憶手段内のテンプレート発行機関IDに対応するテンプレート発行機関検証情報に基づいて、テンプレート証明書内のテンプレート発行機関署名を検証する第5検証手段と、前記第2認証コンテキスト内の第2装置IDにより前記記憶手段を検索し、前記記憶手段内の第2装置IDに対応する第2装置署名検証情報に基づいて、第2認証コンテキスト内の第2エンティティ装置署名を検証する第6検証手段と、前記第2認証コンテキスト内の第2装置IDにより前記記憶手段を検索し、前記記憶手段から第2装置IDを有する第2装置署名検証情報を読み出し、この第2装置署名検証情報内の第2装置メーカIDにより前記記憶手段を検索し、前記記憶手段内の第2装置メーカIDに対応する第2装置メーカ署名検証情報に基づいて、第2装置署名検証情報内の第2装置メーカ署名を検証する第7検証手段と、前記第2認証コンテキスト内の第2装置IDと、第2認証コンテキストの第2装置評価証明書内の第2装置IDとが一致していることを検証する第8検証手段と、前記第2装置評価証明書内の第2装置評価機関IDにより前記記憶手段を検索し、前記記憶手段内の第2装置評価機関IDに対応する第2装置評価機関検証情報に基づいて、第2装置評価証明書内の第2装置評価機関署名を検証する第9検証手段と、前記第2認証コンテキスト内のテンプレート対応情報と、第1認証コンテキストのテンプレート証明書内のテンプレート対応情報とが一致することを検証する第10検証手段と、前記第1乃至第10検証手段による全ての検証結果が正当のとき、前記第1及び第2認証コンテキストを正当と判定する手段とを備えた検証装置である。
第2の発明は、第1の発明において、前記第1認証コンテキストとしては、前記テンプレート証明書及び前記第1装置評価証明書に代えて、テンプレート証明書公開先情報、第1装置評価証明書公開先情報及び第2装置評価証明書公開先情報が用いられており、前記第2認証コンテキストとしては、前記第2装置評価証明書に代えて、第2装置評価証明書公開先情報が用いられている場合、前記クライアント装置から受けた第1認証コンテキストに含まれるテンプレート証明書公開先情報及び第1装置評価証明書公開先情報に基づいて、前記テンプレート証明書及び前記第1装置評価証明書を公開先装置から取得して前記記憶手段に書き込む手段と、前記クライアント装置から受けた第2認証コンテキストに含まれる第2装置評価証明書公開先情報に基づいて、前記第2装置評価証明書を公開先装置から取得して前記記憶手段に書き込む手段とを備えた検証装置である。
(作用)
第1の発明は、第1認証コンテキストにテンプレートの正当性を示すテンプレート証明書と、第1装置評価情報の正当性を示す第1装置評価証明書とを含める一方、第2認証コンテキストに第2装置評価情報の正当性を示す第2装置評価証明書を含め、第1及び第2認証コンテキストを検証する際に、これらテンプレート証明書、第1及び第2評価証明書を検証する構成により、認証に用いたテンプレートや認証コンテキストに含まれる装置評価情報の正当性を検証することができる。
第2の発明は、第1認証コンテキストに含まれるテンプレート証明書公開先情報及び第1装置評価証明書公開先情報に基づいて、テンプレート証明書及び第1装置評価証明書を公開先装置から取得し、第2認証コンテキストに含まれる第2装置評価証明書公開先情報に基づいて、第2装置評価証明書を公開先装置から取得する構成により、各証明書を更新する際に、公開先装置内の各証明書を更新すればよいので、テンプレート証明書や装置評価情報が変更される場合には、その変更を全てのエンティティ装置に容易に反映することができる。
以上説明したように本発明によれば、認証に用いたテンプレートや認証コンテキストに含まれる装置評価情報の正当性を検証できる。また、テンプレート証明書や装置評価情報が変更される場合には、その変更を全てのエンティティ装置に容易に反映できる。
以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
(第1の実施形態)
図1は本発明の第1の実施形態に係る検証装置が適用された生体認証システムの構成を示す模式図であり、図2は同システムの一部の構成を示す模式図である。この生体認証システムは、第1及び第2メーカ記憶部1a,1b、第1及び第2装置メーカ2a,2b、第1及び第2装置評価機関3a,3b、発行機関記憶部4a、テンプレート発行機関5a、第1及び第2リポジトリ6a,6b、第1エンティティ装置10、第2エンティティ装置20、クライアント装置30及び検証装置40を備えている。なお、第1及び第2装置メーカ2a,2b、テンプレート発行機関5a及び第1及び第2リポジトリ6a,6bは、それぞれハードウェア資源としてのコンピュータである。また、参照符号“a”は第1エンティティ装置10に関係する情報を提供する装置を表しており、参照符号“b”は第2エンティティ装置に関係する情報を提供する装置を表している。また、以下の説明中、証明書とは、証明書の発行主体が発行する検証情報を用いてその内容の正当性を検証可能な情報であり、例えば発行機関の署名鍵により署名を付加した情報である。また、署名とは、例えばデジタル署名又は認証子(MAC)であり、検証情報とは例えばデジタル署名や認証子の検証鍵である。但し、検証情報のうち、第1及び第2装置署名検証情報については、検証鍵(例、公開鍵)の他に、装置署名鍵ID、装置メーカ署名鍵ID及び装置メーカ署名を含んでいる。また、以下の説明中、「…署名鍵ID」の用語は、…署名鍵を保持する主体を特定可能な情報であればよく、…署名鍵のIDに限らないことから、単に「…ID」と変形してもよい。例えば、第1装置署名鍵ID、第1装置メーカ署名鍵ID、第1装置評価機関署名鍵ID、テンプレート発行機関署名鍵ID、第2装置署名鍵ID、第2装置メーカ署名鍵ID及び第2装置評価機関署名鍵IDの用語は、それぞれ第1装置ID、第1装置メーカID、第1装置評価機関ID、テンプレート発行機関ID、第2装置ID、第2装置メーカID及び第2装置評価機関IDと変形してもよい。また、第1装置IDや第2装置IDとしては、例えば、装置の型番又は製造番号が使用可能となっており、型番の場合には型番毎に装置が評価され、製造番号の場合には製造番号毎に装置が評価される。
ここで、第1メーカ記憶部1aは、第1装置メーカ2aから読出/書込可能な記憶装置であり、互いに関連付けた第1装置署名鍵ID及び第1装置署名鍵と、第1装置署名検証情報(第1装置署名鍵ID、第1装置公開鍵(署名検証情報)、第1装置メーカ署名鍵ID、第1装置メーカ署名)と、互いに関連付けた第1装置メーカ署名鍵ID、第1装置メーカ署名鍵及び第1装置メーカ署名検証情報(第1装置メーカ公開鍵)とを記憶している。なお、第1装置署名検証情報は、第1装置署名鍵ID、第1装置公開鍵(署名検証情報)及び第1装置メーカ署名鍵IDに対し、第1装置メーカ署名鍵に基づくデジタル署名生成処理により第1装置メーカ署名を生成し、この第1装置メーカ署名を第1装置署名鍵ID、第1装置公開鍵(署名検証情報)及び第1装置メーカ署名鍵IDに付加してなる情報である。なお、第1装置メーカ署名検証情報は、第1装置メーカ署名鍵に対応する第1装置メーカ公開鍵である。ここで、第1装置メーカ署名検証情報の正当性は検証装置40により検証可能とする。実現方法としては、例えば、第1装置メーカ署名鍵ID及び第1装置メーカ公開鍵に対して信頼できる第三者機関が発行する公開鍵証明書を第1装置メーカ署名検証情報としても良いし、第1装置メーカ署名鍵ID及び第1装置メーカ署名検証情報を第1装置メーカ2aから検証装置40へ安全に送信しても良い。ここで、「安全に送信」とは、例えば相互認証と暗号化通信を意味している。
第1装置メーカ2aは、第1エンティティ装置10’を製造・販売する装置メーカに用いられるコンピュータであり、第1メーカ記憶部1a内の第1装置署名鍵及び第1装置署名鍵IDを書き込んだ第1エンティティ装置10’を発行する機能と、第1メーカ記憶部1a内の第1装置署名検証情報と、互いに関連付けた第1装置メーカ署名鍵ID及び第1装置メーカ署名検証情報とをそれぞれ第1リポジトリ6aに書き込む機能とをもっている。なお、第1メーカ記憶部1a内の第1装置署名検証情報と、互いに関連付けた第1装置メーカ署名鍵ID及び第1装置メーカ署名検証情報とをそれぞれ第1リポジトリ6aに書き込む機能に代えて、第1メーカ記憶部1a内の第1装置署名検証情報と、互いに関連付けた第1装置メーカ署名鍵ID及び第1装置メーカ署名検証情報とを安全に検証装置40に送信する機能を備えてもよい。
第1装置評価機関3aは、第1装置メーカ2aに発行された第1エンティティ装置10’を評価する第三者機関(例えば、公的な評価機関)に用いられるコンピュータであり、互いに関連付けた第1装置評価機関署名鍵ID、第1装置評価機関署名鍵及び第1装置評価証明書検証情報(第1装置評価機関公開鍵)を保持する機能と、第1エンティティ装置10’内の第1装置署名鍵ID、第1エンティティ装置10’に対する装置評価情報、第1装置評価機関署名鍵IDに対し、第1装置評価機関の署名鍵に基づくデジタル署名生成処理を実行して第1装置評価機関署名を生成する機能と、この第1装置評価機関署名を第1装置署名鍵ID、装置評価情報及び第1装置評価機関署名鍵IDに付加して第1装置評価証明書を発行する機能と、この第1装置評価証明書を第1エンティティ装置10’に書き込んで第1エンティティ装置10”を発行する機能と、互いに関連付けた第1装置評価機関署名鍵ID及び第1装置評価証明書検証情報を第1リポジトリ6aに書き込む機能とをもっている。なお、第1装置評価機関3aは、第1装置評価機関署名鍵ID及び第1装置評価証明書検証情報を第1リポジトリ6aに書き込む機能に代えて、第1装置評価機関署名鍵ID及び第1装置評価証明書検証情報を検証装置40に安全に送信する機能を備えてもよい。ここで、第1装置評価証明書検証情報の正当性は検証装置40により検証可能とする。実現方法としては、例えば、第1装置評価機関署名鍵ID及び第1装置評価機関公開鍵に対して信頼できる第三者機関が発行する公開鍵証明書を第1装置評価証明書検証情報としても良いし、第1装置評価機関署名鍵ID及び第1装置評価署名検証情報を第1装置評価機関3aから検証装置40へ安全に送信しても良い。さらに、第1装置評価証明書は第1装置評価機関3aが第1エンティティ装置10’に書き込んでも良く、第三者が第1エンティティ装置10’に書き込んでも良い。
一方、第2メーカ記憶部1bは、第2装置メーカ2bから読出/書込可能な記憶装置であり、互いに関連付けた第2装置署名鍵ID及び第2装置署名鍵と、第2装置署名検証情報(第2装置署名鍵ID、第2装置公開鍵(署名検証情報)、第2装置メーカ署名鍵ID、第2装置メーカ署名を含む情報)と、互いに関連付けた第2装置メーカ署名鍵ID、第2装置メーカ署名鍵及び第2装置メーカ署名検証情報(第2装置メーカ公開鍵)とを記憶している。なお、第2装置署名検証情報は、第2装置署名鍵ID、第2装置公開鍵(署名検証情報)及び第2装置メーカ署名鍵IDに対し、第2装置メーカ署名鍵に基づくデジタル署名生成処理により第2装置メーカ署名を生成し、この第2装置メーカ署名を第2装置署名鍵ID、第2装置公開鍵(署名検証情報)及び第2装置メーカ署名鍵IDに付加してなる情報である。なお、第2装置メーカ署名検証情報は、第2装置メーカ署名鍵に対応する第2装置メーカ公開鍵である。ここで、第1装置メーカ署名検証情報と同様に、第2装置メーカ署名検証情報の正当性は検証装置40により検証可能とする。
第2装置メーカ2bは、第2エンティティ装置20’を製造・販売する装置メーカに用いられるコンピュータであり、第2メーカ記憶部1b内の第2装置署名鍵及び第2装置署名鍵IDを書き込んだ第2エンティティ装置20’を発行する機能と、第2メーカ記憶部1b内の第2装置署名検証情報と、互いに関連付けた第2装置メーカ署名鍵ID及び第2装置メーカ署名検証情報とをそれぞれ第2リポジトリ6bに書き込む機能とをもっている。なお、第2メーカ記憶部1b内の第1装置署名検証情報と、互いに関連付けた第2装置メーカ署名鍵ID及び第2装置メーカ署名検証情報とをそれぞれ第2リポジトリ6bに書き込む機能に代えて、第2メーカ記憶部1b内の第2装置署名検証情報と、互いに関連付けた第2装置メーカ署名鍵ID及び第2装置メーカ署名検証情報とを安全に検証装置40に送信する機能を備えてもよい。
なお、第2装置メーカ2bは第1装置メーカ2aと同一でも良く、第2装置メーカ2bと第1装置メーカ2aが同一の場合は、第2装置メーカ署名鍵ID、第2装置署名鍵及び第2装置メーカ署名検証情報は、それぞれ第1装置メーカ署名鍵ID、第1装置署名鍵及び第1装置メーカ署名検証情報と同一でも良い。
第2装置評価機関3bは、第2装置メーカ2bに発行された第2エンティティ装置20’を評価する第三者機関(例えば、公的な評価機関)に用いられるコンピュータであり、互いに関連付けた第2装置評価機関署名鍵ID、第2装置評価機関署名鍵及び第2装置評価証明書検証情報(第2装置評価機関公開鍵)を保持する機能と、第2エンティティ装置20’内の第2装置署名鍵ID、第2エンティティ装置20’に対する装置評価情報、第2装置評価機関署名鍵IDに対し、第2装置評価機関の署名鍵に基づくデジタル署名生成処理を実行して第2装置評価機関署名を生成する機能と、この第2装置評価機関署名を第2装置署名鍵ID、装置評価情報及び第2装置評価機関署名鍵IDに付加して第2装置評価証明書を発行する機能と、この第2装置評価証明書を第2エンティティ装置20’に書き込んで第2エンティティ装置20を発行する機能と、互いに関連付けた第2装置評価機関署名鍵ID及び第2装置評価証明書検証情報を第2リポジトリ6bに書き込む機能とをもっている。なお、第2装置評価機関3bは、第2装置評価機関署名鍵ID及び第2装置評価証明書検証情報を第2リポジトリ6bに書き込む機能に代えて、第2装置評価機関署名鍵ID及び第2装置評価証明書検証情報を検証装置40に安全に送信する機能を備えてもよい。ここで、第1装置評価証明書検証情報と同様に、第2装置評価証明書検証情報の正当性は検証装置40により検証可能とする。
なお、第2装置評価機関3bは第2装置評価機関3aと同一でも良く、第2装置評価機関3bと第2装置評価機関3aが同一の場合は、第2装置評価機関署名鍵ID、第2装置評価機関署名鍵及び第2装置評価証明書検証情報は、それぞれ第1装置評価機関署名鍵ID、第1装置評価機関署名鍵及び第1装置評価証明書検証情報と同一でも良い。
発行機関記憶部4aは、テンプレート発行機関5aから読出/書込可能な記憶装置であり、互いに関連付けたテンプレート発行機関署名鍵ID、テンプレート発行機関署名鍵及びテンプレート証明書検証情報(テンプレート発行機関公開鍵)を記憶する機能と、テンプレート発行機関5aにより発行されたテンプレート及びテンプレート証明書を記憶する機能とをもっている。ここで、テンプレート証明書検証情報の正当性は検証装置40により検証可能とする。実現方法としては、例えば、テンプレート発行機関署名鍵ID及びテンプレート発行機関公開鍵に対して信頼できる第三者機関が発行する公開鍵証明書をテンプレート証明書検証情報としても良いし、テンプレート発行機関署名鍵ID及びテンプレート証明書検証情報をテンプレート発行機関5aから検証装置40へ安全に送信しても良い。
テンプレート発行機関5aは、ユーザからの発行要求に基づいて、ユーザのテンプレート(生体参照情報)を図示しないセンサ装置等を用いて取得して発行する機能と、このテンプレートのハッシュ値を生成する機能と、このハッシュ値と、発行機関記憶部4a内のテンプレート発行機関署名鍵IDとに対し、発行機関記憶部4a内のテンプレート発行機関署名鍵に基づくデジタル署名生成処理を実行してテンプレート発行機関署名を生成する機能と、このテンプレート発行機関署名をテンプレートのハッシュ値及びテンプレート発行機関署名鍵IDに付加してテンプレート証明書を発行する機能と、これら発行したテンプレート及びテンプレート証明書を発行機関記憶部4aに書き込む機能と、発行したテンプレート及びテンプレート証明書を第1エンティティ装置10”に書き込んで第1エンティティ装置10を発行する機能と、発行機関記憶部4a内の互いに関連付けたテンプレート発行機関署名鍵ID及びテンプレート証明書検証情報を第1リポジトリ6aに書き込む機能とをもっている。なお、テンプレート発行機関5aは、テンプレート発行機関署名鍵ID及びテンプレート証明書検証情報を第1リポジトリ6aに書き込む機能に代えて、テンプレート発行機関署名鍵ID及びテンプレート証明書検証情報を検証装置40に安全に送信する機能を備えてもよい。
第1リポジトリ6aは、第1メーカ装置2a、第1装置評価機関3a及びテンプレート発行機関5aについては読出/書込可能で、検証装置40については読出のみが可能なデータベース装置であり、第1装置メーカ2aから書き込まれた第1装置署名検証情報と、第1装置メーカ2aから互いに関連付けて書き込まれた第1装置メーカ署名鍵ID及び第1装置メーカ署名検証情報を保持する機能と、第1装置評価機関3aから互いに関連付けて書き込まれた第1装置評価機関署名鍵ID及び第1装置評価証明書検証情報を保持する機能と、テンプレート発行機関5aから互いに関連付けて書き込まれたテンプレート発行機関署名鍵ID及びテンプレート証明書検証情報を保持する機能とをもっている。
なお、第2リポジトリ6bは、第2メーカ装置2b及び第2装置評価機関3bについては認証後に読出/書込可能で、検証装置40については読出のみが可能なデータベース装置であり、第2装置メーカ2bから書き込まれた第2装置署名検証情報と、第2装置メーカ2bから互いに関連付けて書き込まれた第2装置メーカ署名鍵ID及び第2装置メーカ署名検証情報を保持する機能と、第2装置評価機関3bから互いに関連付けて書き込まれた第2装置評価機関署名鍵ID及び第2装置評価証明書検証情報を保持する機能とをもっている。なお、第2リポジトリ6bは第1リポジトリ6aと同一でも良い。
第1エンティティ装置10はテンプレートBTを保管して要求に応じて出力する認証構成プロセスを実行する装置であり、例えばICカードなどが該当し、クライアント装置30に接続されて使用される。
具体的には、第1エンティティ装置10は、図3に示すように、鍵記憶部11、証明書情報記憶部12、テンプレート記憶部13、認証構成プロセス実行部14、認証コンテキスト生成部15及び制御部16を備えている。
鍵記憶部11は、第1装置メーカ2aから書込可能で認証コンテキスト生成部15から読出可能な記憶装置であり、第1装置メーカ2aから互いに関連付けて書き込まれた第1装置署名鍵ID及び第1装置署名鍵K1を記憶するものである。
証明書情報記憶部12は、第1装置評価機関3a及びテンプレート発行機関5aから書込可能で認証コンテキスト生成部15から読出可能な記憶装置であり、第1装置評価機関3aから書き込まれた第1装置評価証明書Cert1及びテンプレート発行機関5aから書き込まれたテンプレート証明書CertBTを記憶するものである。
テンプレート記憶部13は、テンプレート発行機関5aから書込可能で認証構成プロセス実行部14から読出可能な記憶装置であり、テンプレート発行機関5aから書き込まれたテンプレートBTを記憶するものである。
認証構成プロセス実行部14は、制御部16から認証構成プロセス実行要求を受けると、テンプレート記憶部13内のテンプレートBTを読み出して制御部16に送出する機能をもっている。
認証コンテキスト生成部15は、制御部16から認証コンテキスト生成要求及びテンプレートBTを受けると、証明書情報記憶部12内の第1装置評価証明書Cert1及びテンプレート証明書CertBT、及び鍵記憶部11内の第1装置署名鍵IDに対し、鍵記憶部11内の第1装置署名鍵K1に基づくデジタル署名生成処理を実行して第1エンティティ装置署名を生成する機能と、この第1エンティティ装置署名を第1装置評価証明書Cert1、テンプレート証明書CertBT及び第1装置署名鍵IDに付加して第1認証コンテキストAC1を生成する機能と、この第1認証コンテキストAC1を制御部16に送出する機能とをもっている。
制御部16は、クライアント装置30から認証要求を受けると、認証構成プロセス実行要求を認証構成プロセス実行部14に送出する機能と、認証構成プロセス実行部14からテンプレートBTを受けると、このテンプレートBT及び認証コンテキスト生成要求を認証コンテキスト生成部15に送出する機能と、認証コンテキスト生成部15から第1認証コンテキストAC1を受けると、この第1認証コンテキストAC1及びテンプレートBTをクライアント装置30に送信する機能とをもっている。
ここで、第1認証コンテキストAC1は、図4に示すように、テンプレート証明書CertBTと第1装置評価証明書Cert1と第1装置署名鍵IDに、第1エンティティ装置署名を付加したものである。第1装置署名鍵IDは、署名を行った第1エンティティ装置10を識別するために用いられるIDである。テンプレート証明書CertBTは、テンプレートのハッシュ値とテンプレート発行機関署名鍵IDに、テンプレート発行機関署名が付加されたものである。テンプレート発行機関署名鍵IDは、テンプレート発行機関署名鍵を識別するためのIDである。第1装置評価証明書Cert1は、第1装置署名鍵IDと第1装置評価情報と第1装置評価機関署名鍵IDに、第1装置評価機関署名が付加されたものである。第1装置署名鍵IDは、第1装置署名鍵を識別するためのIDである。第1装置評価情報は、第1装置評価機関3aによる第1エンティティ装置10’の評価項目及び評価結果を示す情報であり、例えば、装置により実行される構成プロセスの精度や、装置のセキュリティ強度などに対する評価を示している。第1装置評価機関署名鍵IDは、第1装置評価機関の署名鍵を識別するためのIDである。ここで、第1装置評価証明書Cert1の第1装置署名鍵IDは、第1エンティティ装置10を特定可能な情報に代えても良い。ただしこの場合、第1認証コンテキストAC1又は第1装置署名検証情報VfS1は第1エンティティ装置を特定可能な情報を含むものとする。ここで、第1認証コンテキストAC1には更に認証構成プロセスの実行結果を含んでも良い。つまり、ここでは認証構成プロセスの実行結果である出力したテンプレートBT、またはテンプレートBTのハッシュ値を含んでも良い。
なお、第1エンティティ装置10は、記憶しているテンプレートBT、第1装置署名鍵K1等の不正な読み出しや改竄等の攻撃に対して耐性のある(耐タンパ)機能を備えているものとする。
第2エンティティ装置20はテンプレートBTと実際に入力された生体情報を照合する装置であり、例えば指紋照合装置などが該当し、クライアント装置30に接続されて使用される。
具体的には、第2エンティティ装置20は、図5に示すように、鍵記憶部21、証明書情報記憶部22、認証構成プロセス実行部23、認証コンテキスト生成部24及び制御部25を備えている。
鍵記憶部21は、第2装置メーカ2bから書込可能で認証コンテキスト生成部24から読出可能な記憶装置であり、第2装置メーカ2bから互いに関連付けて書き込まれた第2装置署名鍵ID及び第2装置署名鍵K2を記憶するものである。
証明書情報記憶部22は、第2装置評価機関3bから書込可能で認証コンテキスト生成部24から読出可能な記憶装置であり、第2装置評価機関3bから書き込まれた第2装置評価証明書Cert2を記憶するものである。
認証構成プロセス実行部23は、ユーザから生体情報を測定するセンサ23Sを有し、制御部25から認証構成プロセス実行要求及びテンプレートBTを受けると、このテンプレートBTとセンサ23Sにより測定された生体情報との照合処理を実行すると共に、当該テンプレートBTのハッシュ値を生成し、このハッシュ値を含む照合実行結果(以下、認証実行結果ともいう)を制御部25に送出する機能をもっている。なお、認証実行結果は、生体認証処理への入力と処理後の出力を検証可能な情報であれば、テンプレートBTのハッシュ値に限定されない。
認証コンテキスト生成部24は、制御部25から認証コンテキスト生成要求及び照合実行結果を受けると、この照合実行結果、証明書情報記憶部22内の第2装置評価証明書Cert2及び鍵記憶部21内の第2装置署名鍵IDに対し、鍵記憶部21内の第2装置署名鍵K2に基づくデジタル署名生成処理を実行して第2エンティティ装置署名を生成する機能と、この第2エンティティ装置署名を照合実行結果、第2装置評価証明書Cert2及び第2装置署名鍵IDに付加して第2認証コンテキストAC2を生成する機能と、この第2認証コンテキストAC2を制御部25に送出する機能とをもっている。
制御部25は、クライアント装置30から認証要求及びテンプレートBTを受けると、認証構成プロセス実行要求及びテンプレートBTを認証構成プロセス実行部23に送出する機能と、認証構成プロセス実行部23から照合実行結果を受けると、この照合実行結果及び認証コンテキスト生成要求を認証コンテキスト生成部24に送出する機能と、認証コンテキスト生成部24から第2認証コンテキストAC2を受けると、この第2認証コンテキストAC2をクライアント装置30に送信する機能とをもっている。
ここで、第2認証コンテキストAC2は、図6に示すように、認証処理の実行結果である照合実行結果と照合に使用したテンプレートに対応する情報(例えばハッシュ値)と、さらに第2装置評価証明書Cert2と第2装置署名鍵IDに、第2エンティティ装置署名を付加したものである。第2装置署名鍵IDは、署名を行った第2エンティティ装置20を識別するために用いられるIDである。第2装置評価証明書Cert2は、第2装置署名鍵IDと第2装置評価情報と第2装置評価機関署名鍵IDに、第2装置評価機関署名が付加されたものである。第2装置評価情報は、第2装置評価機関3bによる第2エンティティ装置20’の評価項目及び評価結果を示す情報であり、例えば、装置により実行される構成プロセスの精度や、装置のセキュリティ強度などに対する評価を示している。第2装置評価機関署名鍵IDは、第2装置評価機関署名鍵を識別するためのIDである。ここで、第2装置評価証明書Cert2の第2装置署名鍵IDは第2エンティティ装置20を特定可能な情報に代えても良い。ただしこの場合、第2認証コンテキストAC2又は第2装置署名検証情報VfS2は、第2エンティティ装置20を特定可能な情報を含むものとする。
なお、第2エンティティ装置20は、記憶している第2装置署名鍵K2等の不正な読み出しや改竄等の攻撃や、生体情報の取得や照合処理等の認証構成プロセスの実行結果を不正に改竄する攻撃に対して耐性のある(耐タンパ)機能を備えているものとする。
クライアント装置30は、例えばユーザが使用するクライアントPCに相当するものであり、第1及び第2エンティティ装置10,20と、検証装置40との間に接続される。
具体的にはクライアント装置30は、記憶部31及び制御部32を備えている。
記憶部31は、制御部32から読出/書込可能な記憶装置であり、例えば、第1及び第2エンティティ装置10,20や検証装置32との間の送受信データが記憶される。
制御部32は、検証装置40から受けた認証要求を第1エンティティ装置10に送出する機能と、第1エンティティ装置10からテンプレートBT及び第1認証コンテキストAC1を受けると、第1認証コンテキストAC1を記憶部31に書き込む機能と、テンプレートBT及び認証要求を第2エンティティ装置20に送信する機能と、第2エンティティ装置20から第2認証コンテキストAC2を受けると、第1及び第2認証コンテキストAC1,AC2を検証装置40に送信する機能とをもっている。なお、クライアント装置30は、テンプレートBTを送信するとき、第1エンティティ装置と第2エンティティ装置の間で別途確立した安全な通信を用いて送信することが望ましい。
検証装置40は、図7に示すように、記憶部41及び制御部41を備えている。
記憶部41は、制御部42から読出/書込可能な記憶装置であり、例えば、第1及び第2リポジトリ6a,6bから制御部42が取得した各装置署名検証情報VfS1,VfS2や、互いに関連付けられた各署名鍵IDと各検証情報VfS1M,VfCert1,VfCertBT,VfS2M,VfCert2とを記憶するものである。具体的には記憶部41は、第1リポジトリ6aから取得した第1装置署名検証情報VfS1と、第1装置メーカ署名鍵ID及び第1装置メーカ署名検証情報VfS1Mと、第1装置評価機関署名鍵ID及び第1装置評価証明書検証情報VfCert1と、テンプレート発行機関署名鍵ID及びテンプレート証明書検証情報VfCertBTとを記憶する。また、記憶部41は、第2リポジトリ6bから取得した第2装置署名検証情報VfS2と、第2装置メーカ署名鍵ID及び第2装置メーカ署名検証情報VfS2Mと、第2装置評価機関署名鍵ID及び第2装置評価証明書検証情報VfCert2とを記憶する。
制御部42は、認証要求をクライアント装置30に送信する機能と、クライアント装置30から受けた第1及び第2認証コンテキストAC1,AC2に基づいて、各装置署名検証情報VfS1,VfS2や、互いに関連付けられた各署名鍵IDと各検証情報VfS1M,VfCert1,VfCertBT,VfS2M,VfCert2とを第1及び第2リポジトリ6a,6bから取得して記憶部41に書き込む機能と、記憶部41内の各検証情報に基づいて第1及び第2認証コンテキストAC1,AC2を検証する機能と、各認証コンテキストAC1,AC2が正当のとき、第1認証コンテキストAC1内の第1装置評価証明書に記載された装置評価情報、第2認証コンテキストAC2内の第2装置評価証明書に記載された装置評価情報、及び第2認証コンテキストAC2内の認証実行結果に基づいて、認証の正否を判定する機能とをもっている。ここで、各検証情報VfS1M,VfCert1,VfCertBT,VfS2M,VfCert2とを第1及び第2リポジトリ6a,6bから取得して記憶部41に書き込む際に、前述の手段を用いてそれらの正当性を検証し、検証に成功した場合にのみ書込みを行うものとする。なお、各装置署名検証情報VfS1,VfS2や、各署名鍵IDと各検証情報VfS1M,VfCert1,VfCertBT,VfS2M,VfCert2は、事前に第1及び第2リポジトリ6a,6bから取得して記憶部41に書き込んでおいてもよい。またこの場合、各検証情報VfS1M,VfCert1,VfCertBT,VfS2M,VfCert2の正当性は前述の手段を用いて事前に検証されていても良い。更に、第1装置署名検証情報VfS1は,この第1装置署名検証情報VfS1内の第1装置メーカ署名鍵IDに対応する第1装置メーカ署名検証情報VfS1Mに基づいて、第1装置署名検証情報VfS1内の第1装置メーカ署名を検証することにより、事前にその正当性が検証されていても良い。これにより、第1装置署名検証情報VfS1が第1装置メーカ2aにより作成されたことが確認できる。同様に、第2装置署名検証情報VfS2は、この第2装置署名検証情報VfS2内の第2装置メーカ署名鍵IDに対応する第2装置メーカ署名検証情報VfS2Mに基づいて、第2装置署名検証情報VfS2内の第2装置メーカ署名を検証することにより、事前にその正当性が検証されていても良い。これにより、第2装置署名検証情報VfS2が第2装置メーカ2bにより作成されたことが確認できる。
ここで、第1及び第2認証コンテキストAC1,AC2を検証する機能には、以下の機能(VfAC-1)〜(VfAC-10)があり、任意の順序で実行可能であるが、全ての認証機能(VfAC-1)〜(VfAC-10)が成功する必要がある。
(VfAC-1)第1認証コンテキストAC1内の第1装置署名鍵IDにより記憶部41を検索し、記憶部41内の第1装置署名鍵IDに対応する第1装置署名検証情報VfS1に基づいて、第1認証コンテキストAC1内の第1エンティティ装置署名を検証する機能。これにより、第1認証コンテキストAC1が第1エンティティ装置10により作成されたことを確認する。
(VfAC-2)第1認証コンテキストAC1内の第1装置署名鍵IDにより記憶部41を検索し、記憶部41から第1装置署名鍵IDを有する第1装置署名検証情報VfS1を読み出し、この第1装置署名検証情報VfS1内の第1装置メーカ署名鍵IDにより記憶部41を検索し、記憶部41内の第1装置メーカ署名鍵IDに対応する第1装置メーカ署名検証情報VfS1Mに基づいて、第1装置署名検証情報VfS1内の第1装置メーカ署名を検証する機能。これにより、第1装置署名検証情報VfS1が第1装置メーカ2aにより作成されたことを確認する。なお、前述の通り、事前に第1装置署名検証情報VfS1内の第1装置メーカ署名が検証されている場合には、第1認証コンテキストAC1の検証時にこの機能の実行は省略することができる。
(VfAC-3)第1認証コンテキストAC1内の第1装置署名鍵IDと、第1認証コンテキストAC1の第1装置評価証明書Cert1内の第1装置署名鍵IDとが一致していることを検証する機能。これにより、第1装置評価証明書Cert1が第1認証コンテキストAC1を作成した装置(第1エンティティ装置10)のものであることを確認する。
(VfAC-4)第1装置評価証明書Cert1内の第1装置評価機関署名鍵IDにより記憶部41を検索し、記憶部41内の第1装置評価機関署名鍵IDに対応する第1装置評価機関検証情報VfCert1に基づいて、第1装置評価証明書Cert1内の第1装置評価機関署名を検証する機能。これにより、第1装置評価証明書Cert1が第1装置評価機関3aにより作成されたことを確認する。
(VfAC-5)第1認証コンテキストAC1のテンプレート証明書CertBT内のテンプレート発行機関署名鍵IDにより記憶部41を検索し、記憶部41内のテンプレート発行機関署名鍵IDに対応するテンプレート発行機関検証情報VfCertBTに基づいて、テンプレート証明書Cert1内のテンプレート発行機関署名を検証する機能。これにより、テンプレート証明書CertBTがテンプレート発行機関5aにより作成されたことを確認する。
(VfAC-6)第2認証コンテキストAC2内の第2装置署名鍵IDにより記憶部41を検索し、記憶部41内の第2装置署名鍵IDに対応する第2装置署名検証情報VfS2に基づいて、第2認証コンテキストAC2内の第2エンティティ装置署名を検証する機能。これにより、第2認証コンテキストAC2が第2エンティティ装置20により作成されたことを確認する。
(VfAC-7)第2認証コンテキストAC2内の第2装置署名鍵IDにより記憶部41を検索し、記憶部41から第2装置署名鍵IDを有する第2装置署名検証情報VfS2を読み出し、この第2装置署名検証情報VfS2内の第2装置メーカ署名鍵IDにより記憶部41を検索し、記憶部41内の第2装置メーカ署名鍵IDに対応する第2装置メーカ署名検証情報VfS2Mに基づいて、第2装置署名検証情報VfS2内の第2装置メーカ署名を検証する機能。これにより、第2装置署名検証情報VfS2が第2装置メーカ2bにより作成されたことを確認する。なお、前述の通り、事前に第2装置署名検証情報VfS2内の第2装置メーカ署名が検証されている場合には、第2認証コンテキストAC2の検証時にこの機能の実行は省略することができる。
(VfAC-8)第2認証コンテキストAC2内の第2装置署名鍵IDと、第2認証コンテキストAC2の第2装置評価証明書Cert2内の第2装置署名鍵IDとが一致していることを検証する機能。これにより、第2装置評価証明書Cert2が第2認証コンテキストAC2を作成した装置(第2エンティティ装置20)のものであることを確認する。
(VfAC-9)第2装置評価証明書Cert2内の第2装置評価機関署名鍵IDにより記憶部41を検索し、記憶部41内の第2装置評価機関署名鍵IDに対応する第2装置評価機関検証情報VfCert2に基づいて、第2装置評価証明書Cert2内の第2装置評価機関署名を検証する機能。これにより、第2装置評価証明書Cert2が第2装置評価機関3bにより作成されたことを確認する。
(VfAC-10)第2認証コンテキストAC2内のテンプレートのハッシュ値と、第1認証コンテキストAC1のテンプレート証明書CertBT内のテンプレートのハッシュ値とが一致することを検証する機能。これにより、第2エンティティ装置20での照合処理に用いられたテンプレートBTが第1エンティティ装置10内のテンプレートBTであることを確認する。
次に、以上のように構成された生体認証システムの動作について説明する。
(準備:図1等)
第1装置メーカ2aは、第1メーカ記憶部1a内の第1装置署名鍵及び第1装置署名鍵IDを書き込んだ第1エンティティ装置10’を発行し、第1メーカ記憶部1a内の第1装置署名検証情報と、互いに関連付けた第1装置メーカ署名鍵ID及び第1装置メーカ署名検証情報とをそれぞれ第1リポジトリ6aに書き込む。ここで、第1装置署名鍵は第1エンティティ装置10’が確かに第1装置メーカ2aにより製造発行したことを保証するための署名鍵であり、第1装置メーカ2aは第1装置署名鍵を秘密にするとともに、第1エンティティ装置以外の装置に第1装置署名鍵を書き込まないものとする。
第1装置評価機関3aを有する第1装置評価機関では、第1装置メーカ2aから評価依頼と共に送られた第1エンティティ装置10’に対し、評価依頼に基づいて装置の評価を実行し、操作者の操作により、装置評価情報を第1装置評価機関3aに入力したとする。ここで装置評価情報とは、装置により実行される構成プロセスの精度や、装置のセキュリティ強度などに対する評価を示す情報である。構成プロセスの精度とは、生体情報を取得する際のセンサの解像度、照合処理を行うアルゴリズムの種類、判定処理による本人拒否率、他人受入率の値や、それらをレベル付けした値などである。また、装置のセキュリティ強度とは、記憶されているテンプレートや署名鍵の不正な読み出しや改竄する攻撃、認証構成プロセスの実行内容を改竄する攻撃に対する耐タンパ性のレベルに関する値である。
その後、第1装置評価機関3aは、第1エンティティ装置10’内の第1装置署名鍵ID、第1エンティティ装置10’に対する装置評価情報、第1装置評価機関署名鍵IDに対し、第1装置評価機関の署名鍵に基づくデジタル署名生成処理を実行して第1装置評価機関署名を生成する。
また、第1装置評価機関3aは、この第1装置評価機関署名を第1装置署名鍵ID、装置評価情報及び第1装置評価機関署名鍵IDに付加して第1装置評価証明書を発行し、この第1装置評価証明書を第1エンティティ装置10’に書き込んで第1エンティティ装置10”を発行する。最後に、第1装置評価機関3aは、互いに関連付けた第1装置評価機関署名鍵ID及び第1装置評価証明書検証情報を第1リポジトリ6aに書き込む。ここで第1装置評価証明書は、第1装置評価機関3aが確かに装置評価情報に相応しい第1エンティティ装置であることを保証するための情報であり、第1装置評価証明書検証情報を用いてその正当性を検証できる。
一方、第2装置メーカ2bは、第2メーカ記憶部1b内の第2装置署名鍵及び第2装置署名鍵IDを書き込んだ第2エンティティ装置20’を発行し、第2メーカ記憶部1b内の第2装置署名検証情報と、互いに関連付けた第2装置メーカ署名鍵ID及び第2装置メーカ署名検証情報とをそれぞれ第2リポジトリ6bに書き込む。ここで、第2装置署名鍵は第2エンティティ装置20’が確かに第2装置メーカ2bにより製造発行したことを保証するための署名鍵であり、第2装置メーカ2bは第2装置署名鍵を秘密にするとともに、第2エンティティ装置以外の装置に第2装置署名鍵を書き込まないものとする。
第2装置評価機関3bを有する第2装置評価機関では、第2装置メーカ2bから評価依頼と共に送られた第2エンティティ装置20’に対し、評価依頼に基づいて装置の評価を実行し、操作者の操作により、装置評価情報を第2装置評価機関3bに入力したとする。
その後、第2装置評価機関3bは、第2エンティティ装置20’内の第2装置署名鍵ID、第2エンティティ装置20’に対する装置評価情報、第2装置評価機関署名鍵IDに対し、第2装置評価機関の署名鍵に基づくデジタル署名生成処理を実行して第2装置評価機関署名を生成する。
また、第2装置評価機関3bは、この第2装置評価機関署名を第2装置署名鍵ID、装置評価情報及び第2装置評価機関署名鍵IDに付加して第2装置評価証明書を発行し、この第2装置評価証明書を第2エンティティ装置20’に書き込んで第2エンティティ装置20を発行する。最後に、第2装置評価機関3bは、互いに関連付けた第2装置評価機関署名鍵ID及び第2装置評価証明書検証情報を第2リポジトリ6bに書き込む。ここで第2装置評価証明書は、第2装置評価機関3bが確かに装置評価情報に相応しい第2エンティティ装置であることを保証するための情報であり、第2装置評価証明書検証情報を用いてその正当性を検証できる。
次に、テンプレート発行機関5aは、ユーザからの発行要求に基づいて、ユーザのテンプレート(生体参照情報)を図示しないセンサ装置等を用いて採取して発行し、このテンプレートのハッシュ値を生成し、このハッシュ値と、発行機関記憶部4a内のテンプレート発行機関署名鍵IDとに対し、発行機関記憶部4a内のテンプレート発行機関署名鍵に基づくデジタル署名生成処理を実行してテンプレート発行機関署名を生成し、このテンプレート発行機関署名をテンプレートのハッシュ値及びテンプレート発行機関署名鍵IDに付加してテンプレート証明書を発行し、これら発行したテンプレート及びテンプレート証明書を発行機関記憶部4aに書き込む。ここでテンプレート証明書は、確かにテンプレート発行機関5aが認めたテンプレートであることを保証するための情報である。例えば、銀行が預金者に対してテンプレートを発行する場合、確かに銀行の預金者であることを保証するための情報である。特に、テンプレート発行機関5aが対面等により本人確認を行ったうえでテンプレートを発行した場合には、確かに本人であることを保証するための情報でもある。
テンプレート発行機関3bは、発行したテンプレート及びテンプレート証明書を第1エンティティ装置10”に書き込んで第1エンティティ装置10を発行し、発行機関記憶部4a内の互いに関連付けたテンプレート発行機関署名鍵ID及びテンプレート証明書検証情報を第1リポジトリ6aに書き込む。
これにより、第1リポジトリ6aは、第1装置署名検証情報と、互いに関連付けられた第1装置メーカ署名鍵ID及び第1装置メーカ署名検証情報と、互いに関連付けられた第1装置評価機関署名鍵ID及び第1装置評価証明書検証情報と、互いに関連付けられたテンプレート発行機関署名鍵ID及びテンプレート証明書検証情報を保持する。
第2リポジトリ6bは、第2装置署名検証情報と、互いに関連付けられた第2装置メーカ署名鍵ID及び第2装置メーカ署名検証情報と、互いに関連付けられた第2装置評価機関署名鍵ID及び第2装置評価証明書検証情報とを保持する。
(検証:図3乃至図8等)
クライアント装置30は、検証装置40から認証要求を受けると、この認証要求を第1エンティティ装置10に送出する。
第1エンティティ装置10においては、この認証要求を受けると、制御部16が認証構成プロセス実行要求を認証構成プロセス実行部14に送出し、認証構成プロセス実行部14からテンプレートBTを受けると、このテンプレートBT及び認証コンテキスト生成要求を認証コンテキスト生成部15に送出する。
認証コンテキスト生成部15は、認証コンテキスト生成要求及びテンプレートBTを受けると、証明書情報記憶部12内の第1装置評価証明書Cert1及びテンプレート証明書CertBT、及び鍵記憶部11内の第1装置署名鍵IDに対し、鍵記憶部11内の第1装置署名鍵K1に基づくデジタル署名生成処理を実行して第1エンティティ装置署名を生成する。
また、認証コンテキスト生成部15は、この第1エンティティ装置署名を第1装置評価証明書Cert1、テンプレート証明書CertBT及び第1装置署名鍵IDに付加して第1認証コンテキストAC1を生成し、この第1認証コンテキストAC1を制御部16に送出する。
第1エンティティ装置10においては、制御部16が第1認証コンテキストAC1及びテンプレートBTをクライアント装置30に送信する。
クライアント装置30は、テンプレートBT及び第1認証コンテキストAC1を受けると、第1認証コンテキストAC1を記憶部31に書き込むと共に、テンプレートBT及び認証要求を第2エンティティ装置20に送信する。
第2エンティティ装置20においては、認証要求及びテンプレートBTを受けると、制御部25が認証構成プロセス実行要求及びテンプレートBTを認証構成プロセス実行部23に送出し、認証構成プロセス実行部23から照合実行結果を受けると、この照合実行結果及び認証コンテキスト生成要求を認証コンテキスト生成部24に送出する。
認証コンテキスト生成部24は、認証コンテキスト生成要求及び照合実行結果を受けると、この照合実行結果、証明書情報記憶部22内の第2装置評価証明書Cert2及び鍵記憶部21内の第2装置署名鍵IDに対し、鍵記憶部21内の第2装置署名鍵K2に基づくデジタル署名生成処理を実行して第2エンティティ装置署名を生成する。
また、認証コンテキスト生成部24は、この第2エンティティ装置署名を照合実行結果、第2装置評価証明書Cert2及び第2装置署名鍵IDに付加して第2認証コンテキストAC2を生成し、この第2認証コンテキストAC2を制御部25に送出する。
第2エンティティ装置20においては、制御部25がこの第2認証コンテキストAC2をクライアント装置30に送信する。
クライアント装置30は、第2エンティティ装置20から第2認証コンテキストAC2を受けると、第1及び第2認証コンテキストAC1,AC2を検証装置40に送信する。
検証装置40においては、第1及び第2認証コンテキストAC1,AC2を受けると、制御部42がこの第1及び第2認証コンテキストAC1,AC2に基づいて、各装置署名検証情報VfS1,VfS2や、互いに関連付けられた各署名鍵IDと各検証情報VfS1M,VfCert1,VfCertBT,VfS2M,VfCert2とを第1及び第2リポジトリ6a,6bから取得して記憶部41に書き込む。
しかる後、検証装置40は、記憶部41内の各検証情報に基づいて第1及び第2認証コンテキストAC1,AC2を検証する。
具体的には、検証装置40は、第1認証コンテキストAC1内の第1装置署名鍵IDにより記憶部41を検索し、記憶部41内の第1装置署名鍵IDに対応する第1装置署名検証情報VfS1に基づいて、第1認証コンテキストAC1内の第1エンティティ装置署名を検証する。
また、検証装置40は、第1認証コンテキストAC1内の第1装置署名鍵IDにより記憶部41を検索し、記憶部41から第1装置署名鍵IDを有する第1装置署名検証情報VfS1を読み出し、この第1装置署名検証情報VfS1内の第1装置メーカ署名鍵IDにより記憶部41を検索し、記憶部41内の第1装置メーカ署名鍵IDに対応する第1装置メーカ署名検証情報VfS1Mに基づいて、第1装置署名検証情報VfS1内の第1装置メーカ署名を検証する。
さらに、検証装置40は、第1認証コンテキストAC1内の第1装置署名鍵IDと、第1認証コンテキストAC1の第1装置評価証明書Cert1内の第1装置署名鍵IDとが一致していることを検証する。
また、検証装置40は、第1装置評価証明書Cert1内の第1装置評価機関署名鍵IDにより記憶部41を検索し、記憶部41内の第1装置評価機関署名鍵IDに対応する第1装置評価機関検証情報VfCert1に基づいて、第1装置評価証明書Cert1内の第1装置評価機関署名を検証する。
さらに、検証装置40は、第1認証コンテキストAC1のテンプレート証明書CertBT内のテンプレート発行機関署名鍵IDにより記憶部41を検索し、記憶部41内のテンプレート発行機関署名鍵IDに対応するテンプレート発行機関検証情報VfCertBTに基づいて、テンプレート証明書Cert1内のテンプレート発行機関署名を検証する。
また、検証装置40は、第2認証コンテキストAC2内の第2装置署名鍵IDにより記憶部41を検索し、記憶部41内の第2装置署名鍵IDに対応する第2装置署名検証情報VfS2に基づいて、第2認証コンテキストAC2内の第2エンティティ装置署名を検証する。
さらに、検証装置40は、第2認証コンテキストAC2内の第2装置署名鍵IDにより記憶部41を検索し、記憶部41から第2装置署名鍵IDを有する第2装置署名検証情報VfS2を読み出し、この第2装置署名検証情報VfS2内の第2装置メーカ署名鍵IDにより記憶部41を検索し、記憶部41内の第2装置メーカ署名鍵IDに対応する第2装置メーカ署名検証情報VfS2Mに基づいて、第2装置署名検証情報VfS2内の第2装置メーカ署名を検証する。
また、検証装置40は、第2認証コンテキストAC2内の第2装置署名鍵IDと、第2認証コンテキストAC2の第2装置評価証明書Cert2内の第2装置署名鍵IDとが一致していることを検証する。
さらに、検証装置40は、第2装置評価証明書Cert2内の第2装置評価機関署名鍵IDにより記憶部41を検索し、記憶部41内の第2装置評価機関署名鍵IDに対応する第2装置評価機関検証情報VfCert2に基づいて、第2装置評価証明書Cert2内の第2装置評価機関署名を検証する。
また、第2認証コンテキストAC2内のテンプレートのハッシュ値と、第1認証コンテキストAC1のテンプレート証明書CertBT内のテンプレートのハッシュ値とが一致することを検証する。
これらの検証や確認処理の順番は適宜変更しても良い。結果として、全ての検証、確認に成功した場合に、検証装置40は、認証が正しい環境で実行されたと判断する。これにより、検証者は、認証コンテキストの記載されているテンプレートや装置評価情報が、それを評価した正しい装置評価機関が発行したものかを検証することができる。
また、認証コンテキストの検証に成功した場合、すなわち、各認証コンテキストAC1,AC2が正当のとき、検証装置40は、第1認証コンテキストAC1内の第1装置評価証明書に記載された装置評価情報、第2認証コンテキストAC2内の第2装置評価証明書に記載された装置評価情報、及び第2認証コンテキストAC2内の認証実行結果に基づいて、認証の正否を判定する。具体的には、例えば、各装置評価情報に記載された精度やセキュリティ強度等や、認証実行結果が、事前に決められた認証成功の基準に達しているかを判定し、基準に達している場合には認証成功とし、達していない場合には認証失敗と判定する。
上述したように本実施形態によれば、第1認証コンテキストAC1にテンプレートBTの正当性を示すテンプレート証明書CertBTと、第1装置評価情報の正当性を示す第1装置評価証明書Cert1とを含める一方、第2認証コンテキストAC2に第2装置評価情報の正当性を示す第2装置評価証明書Cert2を含め、第1及び第2認証コンテキストAC1,AC2を検証する際に、これらテンプレート証明書CertBT、第1及び第2評価証明書Cert1,Cert2を検証する構成により、認証に用いたテンプレートや認証コンテキストに含まれる装置評価情報の正当性を検証することができる。
また、第1認証コンテキストAC1内の第1エンティティ装置署名の検証により、第1認証コンテキストAC1が第1エンティティ装置10により作成されたことを確認できる。
さらに、第1装置署名検証情報VfS1内の第1装置メーカ署名の検証により、第1装置署名検証情報VfS1が第1装置メーカ2aにより作成されたことを確認できる。
また、第1認証コンテキストAC1内の第1装置署名鍵IDと、第1認証コンテキストAC1の第1装置評価証明書Cert1内の第1装置署名鍵IDとの一致を検証することにより、第1装置評価証明書Cert1が第1認証コンテキストAC1を作成した装置(第1エンティティ装置10)のものであることを確認できる。
さらに、第1装置評価証明書Cert1内の第1装置評価機関署名の検証により、第1装置評価証明書Cert1が第1装置評価機関3aにより作成されたことを確認できる。
また、テンプレート証明書Cert1内のテンプレート発行機関署名の検証により、テンプレート証明書CertBTがテンプレート発行機関5aにより作成されたことを確認できる。
さらに、第2認証コンテキストAC2内の第2エンティティ装置署名の検証により、第2認証コンテキストAC2が第2エンティティ装置20により作成されたことを確認できる。
また、第2装置署名検証情報VfS2内の第2装置メーカ署名の検証により、第2装置署名検証情報VfS2が第2装置メーカ2bにより作成されたことを確認できる。
さらに、第2認証コンテキストAC2内の第2装置署名鍵IDと、第2認証コンテキストAC2の第2装置評価証明書Cert2内の第2装置署名鍵IDとの一致を検証することにより、第2装置評価証明書Cert2が第2認証コンテキストAC2を作成した装置(第2エンティティ装置20)のものであることを確認できる。
また、第2装置評価証明書Cert2内の第2装置評価機関署名の検証により、第2装置評価証明書Cert2が第2装置評価機関3bにより作成されたことを確認できる。
さらに、第2認証コンテキストAC2内のテンプレートのハッシュ値と、第1認証コンテキストAC1のテンプレート証明書CertBT内のテンプレートのハッシュ値との一致を検証することにより、第2エンティティ装置20での照合処理に用いられたテンプレートBTが第1エンティティ装置10内のテンプレートBTであることを確認できる。
なお、本実施形態では、テンプレートBTを保管して要求に応じて出力する認証構成プロセスを実行する第1エンティティ装置10と、第1エンティティ装置10から出力されたテンプレートBTと実際に入力された生体情報の照合を行う認証構成プロセスを実行する第2エンティティ装置20の組み合わせ(STOCモデル)によって実行された生体認証処理の結果を検証する装置を示したが、その他の認証構成プロセスと装置の組み合わせにより実行された生体認証処理の結果も同様の装置により検証可能である。例えば、MOCモデルでは、テンプレートは第1エンティティ装置(例えば、ICカード)から出力されないため、認証コンテキストA2にはテンプレートハッシュ値はふくまれず、逆に認証コンテキストA1には照合処理の結果が記載される。よって、第1および第2認証コンテキストを検証するには、(VfAC-10)を除く(VfAC-1)〜(VfAC-9)の検証を実行すれば良い。また、SOCモデルでは、第1エンティティ装置(例えば、ICカード)で全ての生体認証処理を行うため、認証コンテキストA1のみが検証装置に送信される。この認証コンテキストA1を検証するには、関連する(VfAC-1)〜(VfAC-5)のみの検証を実行すればよい。更に、マルチモーダルモデルの場合は、第1エンティティ装置が複数あるモデルである。例えば第1エンティティ装置が2つの場合は、それぞれ出力される認証コンテキストA1,A1’に対してそれぞれ(VfAC-1)〜(VfAC-5)を検証し、認証コンテキストA2に対して(VfAC-6)〜(VfAC-9)を検証し、最後にA1とA2の組み合わせとA1’とA2の組み合わせのそれぞれに対して(VfAC-10)を実行すればよい。最後に、サーバ照合モデルの場合は、MOCモデルと同様に、認証コンテキストA1とA2に対して(VfAC-10)を除く(VfAC-1)〜(VfAC-9)の検証を実行すれば良い。
(第2の実施形態)
図9及び図10は本発明の第2の実施形態に係る検証装置が適用された生体認証システムの構成例を示す模式図である。
本実施形態は、第1の実施形態の変形例であり、第1エンティティ装置10内のテンプレート証明書CertBT及び第1装置評価証明書Cert1に代えて、第1リポジトリ6a内のテンプレート証明書CertBT及び第1装置評価証明書Cert1を示すテンプレート証明書公開先情報及び第1装置評価証明書公開先情報を第1エンティティ装置10内に格納すると共に、テンプレート証明書CertBT及び第1装置評価証明書Cert1を第1リポジトリ6aに格納した形態となっている。
また同様に、第2エンティティ装置20内の第2装置評価証明書Cert2に代えて、第2リポジトリ6b内の第2装置評価証明書Cert2を示す第2装置評価証明書公開先情報を第2エンティティ装置20内に格納すると共に、第2装置評価証明書Cert2を第2リポジトリ6bに格納した形態となっている。
これに伴い、各要素3a,3b,4a,4b,5a,5b,6a,6b,12,15,22,24,42は、次のように変形されている。
第1装置評価機関3aは、前述した機能のうち、第1装置評価証明書を第1エンティティ装置10’に書き込んで第1エンティティ装置10”を発行する機能に代えて、第1装置評価証明書公開先情報を保持する機能と、第1装置評価証明書公開先情報を第1エンティティ装置10’に書き込んで第1エンティティ装置10”を発行する機能と、第1装置評価証明書を第1リポジトリ6aに書き込む機能とをもっている。第1装置評価証明書公開先情報としては、例えば第1リポジトリ6a内の第1装置評価証明書を示すURI(uniform resource identifier)が使用可能となっている。
第2装置評価機関3bは、前述した機能のうち、第2装置評価証明書を第2エンティティ装置20’に書き込んで第2エンティティ装置20を発行する機能に代えて、第2装置評価証明書公開先情報を保持する機能と、第2装置評価証明書公開先情報を第2エンティティ装置20に書き込んで第2エンティティ装置20を発行する機能と、第2装置評価証明書公開先情報を第2リポジトリ6bに書き込む機能とを備えている。第2装置評価証明書公開先情報としては、例えば第2リポジトリ6b内の第1装置評価証明書を示すURI(uniform resource identifier)が使用可能となっている。
発行機関記憶部4aは、前述した機能に加え、テンプレート証明書公開先情報を保持する機能をもっている。テンプレート証明書公開先情報としては、例えば第1リポジトリ6a内の第1装置評価証明書を示すURI(uniform resource identifier)が使用可能となっている。
テンプレート発行機関5aは、前述した機能のうち、発行したテンプレート及びテンプレート証明書を第1エンティティ装置10”に書き込んで第1エンティティ装置10を発行する機能に代えて、発行したテンプレート及び発行機関記憶部4a内のテンプレート証明書公開先情報を第1エンティティ装置10”に書き込んで第1エンティティ装置10を発行する機能と、テンプレート証明書を第1リポジトリ6aに書き込む機能とをもっている。なお、テンプレート証明書は有効期限情報を含めてもよい。
第1リポジトリ6aは、前述した機能に加え、第1装置評価証明書公開先情報又はテンプレート証明書公開先情報によりアクセス可能となっており、第1装置評価機関3aから書き込まれた第1装置評価証明書と、テンプレート発行機関5aから書き込まれたテンプレート証明書とを保持する機能をもっている。
第2リポジトリ6bは、前述した機能に加え、第2装置評価証明書公開先情報によりアクセス可能となっており、第2装置評価機関3bから書き込まれた第2装置評価証明書を保持する機能をもっている。
第1エンティティ装置10の証明書情報記憶部12は、前述した第1装置評価証明書Cert1及びテンプレート証明書CertBTに代えて、第1装置評価証明書公開先情報及びテンプレート証明書公開先情報を記憶するものとなっている。
第1エンティティ装置10の認証コンテキスト生成部15は、前述した第1装置評価証明書Cert1及びテンプレート証明書CertBTに代えて、第1装置評価証明書公開先情報及びテンプレート証明書公開先情報を用いて第1エンティティ装置署名及び第1認証コンテキストAC1を生成するものとなっている。すなわち、第1エンティティ装置署名は、テンプレート証明書公開先情報と第1装置評価証明書公開先情報と第1装置署名鍵IDに対し、鍵記憶部11内の第1装置署名鍵K1に基づくデジタル署名生成処理により生成された署名となっている。第1認証コンテキストAC1は、テンプレート証明書公開先情報と第1装置評価証明書公開先情報と第1装置署名鍵IDに、第1エンティティ装置署名を付加したものとなっている。
第2エンティティ装置20の証明書情報記憶部22は、前述した第2装置評価証明書Cert2に代えて、第2装置評価証明書公開先情報を記憶するものとなっている。
第2エンティティ装置20の認証コンテキスト生成部24は、前述した第2装置評価証明書Cert2に代えて、第2装置評価証明書公開先情報を用いて第2エンティティ装置署名及び第2認証コンテキストAC2を生成するものとなっている。すなわち、第2エンティティ装置署名は、照合時刻結果と第2装置評価証明書公開先情報と第2装置署名鍵IDに対し、鍵記憶部21内の第2装置署名鍵K2に基づくデジタル署名生成処理により生成された署名となっている。第2認証コンテキストAC2は、照合実行結果と第2装置評価証明書公開先情報と第2装置署名鍵IDに、第2エンティティ装置署名を付加したものとなっている。
検証装置40の制御部42は、前述した機能に加え、クライアント装置30から受けた第1認証コンテキストAC1に含まれるテンプレート証明書公開先情報及び第1装置評価証明書公開先情報に基づいて、テンプレート証明書CertBT及び第1装置評価証明書Cert1を第1リポジトリ6aから取得して記憶部41に書き込む機能と、クライアント装置30から受けた第2認証コンテキストAC2に含まれる第2装置評価証明書公開先情報に基づいて、第2装置評価証明書Cert2を第2リポジトリ6bから取得して記憶部41に書き込む機能とをもっている。
次に、以上のように構成された生体認証システムの動作について説明する。
(準備:図9等)
第1及び第2装置メーカ2a,2bは、前述同様に動作し、第1及び第2エンティティ装置10’,20’をそれぞれ発行する。
第1装置評価機関3aは、前述した動作において、第1装置評価証明書Cert1に代えて第1装置評価証明書公開先情報を第1エンティティ装置10’に書き込んで第1エンティティ装置10”を発行すると共に、第1装置評価証明書Cert1を第1リポジトリ6aに書き込む。
第2装置評価機関3bは、前述した動作において、第2装置評価証明書Cert2に代えて第2装置評価証明書公開先情報を第2エンティティ装置20’に書き込んで第2エンティティ装置20を発行すると共に、第2装置評価証明書Cert2を第2リポジトリ6bに書き込む。
テンプレート発行機関5aは、前述した機能において、テンプレート証明書CertBTに代えてテンプレート証明書公開先情報を第1エンティティ装置10”に書き込んで第1エンティティ装置10を発行すると共に、テンプレート証明書CertBTを第1リポジトリ6aに書き込む。
第1リポジトリ6aは、前述した各情報に加え、第1装置評価証明書Cert1と、テンプレート証明書CertBTとを保持している。
第2リポジトリ6bは、前述した各情報に加え、第2装置評価証明書Cert2を保持している。
(検証:図11等)
クライアント装置30は、検証装置40から認証要求を受けると、この認証要求を第1エンティティ装置10に送出する。
第1エンティティ装置10においては、この認証要求を受けると、前述した動作のうち、第1装置評価証明書Cert1及びテンプレート証明書CertBTに代えて第1装置評価証明書公開先情報及びテンプレート証明書公開先情報を用いるように動作して第1エンティティ装置署名を生成すると共に第1認証コンテキストAC1を生成し、第1認証コンテキストAC1及びテンプレートBTをクライアント装置30に送信する。
クライアント装置30は、テンプレートBT及び第1認証コンテキストAC1を受けると、前述同様に動作し、テンプレートBT及び認証要求を第2エンティティ装置20に送信する。
第2エンティティ装置20においては、認証要求及びテンプレートBTを受けると、前述した動作のうち、第2装置評価証明書Cert2に代えて第2装置評価証明書公開先情報を用いるように動作して第2エンティティ装置署名を生成すると共に第2認証コンテキストAC2を生成し、第2認証コンテキストAC2をクライアント装置30に送信する。
クライアント装置30は、第2エンティティ装置20から第2認証コンテキストAC2を受けると、第1及び第2認証コンテキストAC1,AC2を検証装置40に送信する。
検証装置40においては、第1及び第2認証コンテキストAC1,AC2を受けると、前述同様に、各装置署名検証情報VfS1,VfS2や、互いに関連付けられた各署名鍵IDと各検証情報VfS1M,VfCert1,VfCertBT,VfS2M,VfCert2とを第1及び第2リポジトリ6a,6bから取得して記憶部41に書き込む。
このとき、検証装置40は、第1認証コンテキストAC1に含まれるテンプレート証明書公開先情報及び第1装置評価証明書公開先情報に基づいて、テンプレート証明書CertBT及び第1装置評価証明書Cert1を第1リポジトリ6aから取得して記憶部41に書き込む。
また、検証装置40は、第2認証コンテキストAC2に含まれる第2装置評価証明書公開先情報に基づいて、第2装置評価証明書Cert2を第2リポジトリ6bから取得して記憶部41に書き込む。
しかる後、検証装置40は、記憶部41内の各検証情報と、テンプレート証明書CertBTと、第1及び第2装置評価証明書Cert1,Cert2とに基づいて、前述した通り、第1及び第2認証コンテキストAC1,AC2を検証する。
これにより、検証者は、認証コンテキストの記載されているテンプレートや装置評価情報が、それを評価した正しい装置評価機関が発行したものかを検証できる。また、テンプレート証明書CertBT、第1装置評価証明書Cert1、第2装置評価証明書Cert2を各エンティティ装置10,20内に保持しないため、それぞれの証明書を各リポジトリ6a,6bにおいて容易に変更することが可能になる。
上述したように本実施形態によれば、第1認証コンテキストAC1に含まれるテンプレート証明書公開先情報及び第1装置評価証明書公開先情報に基づいて、テンプレート証明書CertBT及び第1装置評価証明書Cert1を第1リポジトリ6a(公開先装置)から取得し、第2認証コンテキストAC2に含まれる第2装置評価証明書公開先情報に基づいて、第2装置評価証明書Cert2を第2リポジトリ6b(公開先装置)から取得する構成により、各証明書を更新する際に、第1及び第2リポジトリ6a,6b内の各証明書を更新すればよいので、テンプレート証明書や装置評価情報が変更される場合には、その変更を全てのエンティティ装置10,20に容易に反映することができる。
例えば、テンプレート及び生体照合装置(第2エンティティ装置20)の真正性を検証可能であり、更にテンプレート証明書CertBT及び生体照合装置の真正性が有効期限付きで保証されている場合、有効期限切れに伴う新しい保証情報を与えることにより継続して真正性を検証することができる。
また、検証処理自体は、第1の実施形態と同一であるので、第1の実施形態と同様の検証処理の効果を得ることができる。
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
本発明の第1の実施形態に係る検証装置が適用された生体認証システムの構成を示す模式図である。 同実施形態における生体認証システムの一部の構成を示す模式図である。 同実施形態における第1エンティティ装置の構成を示す模式図である。 同実施形態における第1認証コンテキストの構成を示す模式図である。 同実施形態における第2エンティティ装置の構成を示す模式図である。 同実施形態における第2認証コンテキストの構成を示す模式図である。 同実施形態における検証装置の構成を示す模式図である。 同実施形態における検証動作を説明するための模式図である。 本発明の第2の実施形態に係る検証装置が適用された生体認証システムの構成を示す模式図である。 同実施形態における生体認証システムの一部の構成を示す模式図である。 同実施形態における検証動作を説明するための模式図である。
符号の説明
1a,1b…メーカ記憶部、2a,2b…装置メーカ、3a,3b…装置評価機関、4a…発行機関記憶部、5a…テンプレート発行機関、6a,6b…リポジトリ、10,20…エンティティ装置、11,21…鍵記憶部、12,22…証明書情報記憶部、13…テンプレート記憶部、14,23…認証構成プロセス実行部、15,24…認証コンテキスト生成部、16,25,32,42…制御部、30…クライアント装置、31,41…記憶部、40…検証装置、AC1,AC2…認証コンテキスト、BT…テンプレート、K1,K2…署名鍵、VfS1,VfS1M,VfCert1,VfCertBT,VfS2,VfS2M,VfCert2…検証情報。

Claims (4)

  1. (a1)テンプレート対応情報とテンプレート発行機関IDとにテンプレート発行機関署名を付加してなるテンプレート証明書、(a2)第1装置IDと第1装置評価情報と第1装置評価機関IDとに第1装置評価機関署名を付加してなる第1装置評価証明書、(a3)前記第1装置ID、及び(a4)前記テンプレート証明書と前記第1装置評価証明書と前記第1装置IDとに付加した第1エンティティ装置署名、からなる第1認証コンテキスト(a1-a4)を生成する第1エンティティ装置と、(b1)認証実行結果、(b2)テンプレート対応情報、及び(b3)第2装置IDと第2装置評価情報と第2装置評価機関IDとに第2装置評価機関署名を付加してなる第2装置評価証明書、及び(b4)前記認証実行結果と前記テンプレート対応情報と前記第2装置評価証明書と前記第2装置IDとに付加した第2エンティティ装置署名、からなる第2認証コンテキスト(b1-b4)を生成する第2エンティティ装置とに関し、両エンティティ装置に接続されたクライアント装置から受信した前記各認証コンテキストを検証するための検証装置であって、
    前記第1装置IDを有する第1装置署名検証情報、互いに関連付けられた第1装置メーカID及び第1装置メーカ署名検証情報、互いに関連付けられた第1装置評価機関ID及び第1装置評価証明書検証情報、互いに関連付けられたテンプレート発行機関ID及びテンプレート証明書検証情報、前記第2装置IDを有する第2装置署名検証情報、互いに関連付けられた第2装置メーカID及び第2装置メーカ署名検証情報、互いに関連付けられた第2装置評価機関ID及び第2装置評価証明書検証情報を記憶する記憶手段と、
    前記第1認証コンテキスト内の第1装置IDにより前記記憶手段を検索し、前記第1装置IDに対応する第1装置署名検証情報に基づいて、当該第1認証コンテキスト内の第1エンティティ装置署名を検証する第1検証手段と、
    前記第1認証コンテキスト内の第1装置IDにより前記記憶手段を検索し、前記記憶手段から第1装置IDを有する第1装置署名検証情報を読み出し、この第1装置署名検証情報内の第1装置メーカIDにより前記記憶手段を検索し、前記記憶手段内の第1装置メーカIDに対応する第1装置メーカ署名検証情報に基づいて、第1装置署名検証情報内の第1装置メーカ署名を検証する第2検証手段と、
    前記第1認証コンテキスト内の第1装置IDと、第1認証コンテキストの第1装置評価証明書内の第1装置IDとが一致していることを検証する第3検証手段と、
    前記第1装置評価証明書内の第1装置評価機関IDにより前記記憶手段を検索し、前記記憶手段内の第1装置評価機関IDに対応する第1装置評価機関検証情報に基づいて、第1装置評価証明書内の第1装置評価機関署名を検証する第4検証手段と、
    前記第1認証コンテキストのテンプレート証明書内のテンプレート発行機関IDにより前記記憶手段を検索し、前記記憶手段内のテンプレート発行機関IDに対応するテンプレート発行機関検証情報に基づいて、テンプレート証明書内のテンプレート発行機関署名を検証する第5検証手段と、
    前記第2認証コンテキスト内の第2装置IDにより前記記憶手段を検索し、前記記憶手段内の第2装置IDに対応する第2装置署名検証情報に基づいて、第2認証コンテキスト内の第2エンティティ装置署名を検証する第6検証手段と、
    前記第2認証コンテキスト内の第2装置IDにより前記記憶手段を検索し、前記記憶手段から第2装置IDを有する第2装置署名検証情報を読み出し、この第2装置署名検証情報内の第2装置メーカIDにより前記記憶手段を検索し、前記記憶手段内の第2装置メーカIDに対応する第2装置メーカ署名検証情報に基づいて、第2装置署名検証情報内の第2装置メーカ署名を検証する第7検証手段と、
    前記第2認証コンテキスト内の第2装置IDと、第2認証コンテキストの第2装置評価証明書内の第2装置IDとが一致していることを検証する第8検証手段と、
    前記第2装置評価証明書内の第2装置評価機関IDにより前記記憶手段を検索し、前記記憶手段内の第2装置評価機関IDに対応する第2装置評価機関検証情報に基づいて、第2装置評価証明書内の第2装置評価機関署名を検証する第9検証手段と、
    前記第2認証コンテキスト内のテンプレート対応情報と、第1認証コンテキストのテンプレート証明書内のテンプレート対応情報とが一致することを検証する第10検証手段と、
    前記第1乃至第10検証手段による全ての検証結果が正当のとき、前記第1及び第2認証コンテキストを正当と判定する手段と、
    を備えたことを特徴とする検証装置。
  2. 請求項1に記載の検証装置において、
    前記第1認証コンテキストは、前記テンプレート証明書及び前記第1装置評価証明書に代えて、テンプレート証明書公開先情報、第1装置評価証明書公開先情報及び第2装置評価証明書公開先情報が用いられており、
    前記第2認証コンテキストは、前記第2装置評価証明書に代えて、第2装置評価証明書公開先情報が用いられている場合、
    前記クライアント装置から受けた第1認証コンテキストに含まれるテンプレート証明書公開先情報及び第1装置評価証明書公開先情報に基づいて、前記テンプレート証明書及び前記第1装置評価証明書を公開先装置から取得して前記記憶手段に書き込む手段と、
    前記クライアント装置から受けた第2認証コンテキストに含まれる第2装置評価証明書公開先情報に基づいて、前記第2装置評価証明書を公開先装置から取得して前記記憶手段に書き込む手段と
    を備えたことを特徴とする検証装置。
  3. (a1)テンプレート対応情報とテンプレート発行機関IDとにテンプレート発行機関署名を付加してなるテンプレート証明書、(a2)第1装置IDと第1装置評価情報と第1装置評価機関IDとに第1装置評価機関署名を付加してなる第1装置評価証明書、(a3)前記第1装置ID、及び(a4)前記テンプレート証明書と前記第1装置評価証明書と前記第1装置IDとに付加した第1エンティティ装置署名、からなる第1認証コンテキスト(a1-a4)を生成する第1エンティティ装置と、(b1)認証実行結果、(b2)テンプレート対応情報、及び(b3)第2装置IDと第2装置評価情報と第2装置評価機関IDとに第2装置評価機関署名を付加してなる第2装置評価証明書、及び(b4)前記認証実行結果と前記テンプレート対応情報と前記第2装置評価証明書と前記第2装置IDとに付加した第2エンティティ装置署名、からなる第2認証コンテキスト(b1-b4)を生成する第2エンティティ装置とに関し、両エンティティ装置に接続されたクライアント装置から受信した前記各認証コンテキストを検証するための検証装置のプログラムであって、
    前記検証装置のコンピュータを、
    前記第1装置IDを有する第1装置署名検証情報、互いに関連付けられた第1装置メーカID及び第1装置メーカ署名検証情報、互いに関連付けられた第1装置評価機関ID及び第1装置評価証明書検証情報、互いに関連付けられたテンプレート発行機関ID及びテンプレート証明書検証情報、前記第2装置IDを有する第2装置署名検証情報、互いに関連付けられた第2装置メーカID及び第2装置メーカ署名検証情報、互いに関連付けられた第2装置評価機関ID及び第2装置評価証明書検証情報を前記コンピュータの記憶装置に書き込む手段、
    前記第1認証コンテキスト内の第1装置IDにより前記記憶装置を検索し、前記第1装置IDに対応する第1装置署名検証情報に基づいて、当該第1認証コンテキスト内の第1エンティティ装置署名を検証する第1検証手段、
    前記第1認証コンテキスト内の第1装置IDにより前記記憶装置を検索し、前記記憶装置から第1装置IDを有する第1装置署名検証情報を読み出し、この第1装置署名検証情報内の第1装置メーカIDにより前記記憶装置を検索し、前記記憶装置内の第1装置メーカIDに対応する第1装置メーカ署名検証情報に基づいて、第1装置署名検証情報内の第1装置メーカ署名を検証する第2検証手段、
    前記第1認証コンテキスト内の第1装置IDと、第1認証コンテキストの第1装置評価証明書内の第1装置IDとが一致していることを検証する第3検証手段、
    前記第1装置評価証明書内の第1装置評価機関IDにより前記記憶装置を検索し、前記記憶装置内の第1装置評価機関IDに対応する第1装置評価機関検証情報に基づいて、第1装置評価証明書内の第1装置評価機関署名を検証する第4検証手段、
    前記第1認証コンテキストのテンプレート証明書内のテンプレート発行機関IDにより前記記憶装置を検索し、前記記憶装置内のテンプレート発行機関IDに対応するテンプレート発行機関検証情報に基づいて、テンプレート証明書内のテンプレート発行機関署名を検証する第5検証手段、
    前記第2認証コンテキスト内の第2装置IDにより前記記憶装置を検索し、前記記憶装置内の第2装置IDに対応する第2装置署名検証情報に基づいて、第2認証コンテキスト内の第2エンティティ装置署名を検証する第6検証手段、
    前記第2認証コンテキスト内の第2装置IDにより前記記憶装置を検索し、前記記憶装置から第2装置IDを有する第2装置署名検証情報を読み出し、この第2装置署名検証情報内の第2装置メーカIDにより前記記憶装置を検索し、前記記憶装置内の第2装置メーカIDに対応する第2装置メーカ署名検証情報に基づいて、第2装置署名検証情報内の第2装置メーカ署名を検証する第7検証手段、
    前記第2認証コンテキスト内の第2装置IDと、第2認証コンテキストの第2装置評価証明書内の第2装置IDとが一致していることを検証する第8検証手段、
    前記第2装置評価証明書内の第2装置評価機関IDにより前記記憶装置を検索し、前記記憶装置内の第2装置評価機関IDに対応する第2装置評価機関検証情報に基づいて、第2装置評価証明書内の第2装置評価機関署名を検証する第9検証手段、
    前記第2認証コンテキスト内のテンプレート対応情報と、第1認証コンテキストのテンプレート証明書内のテンプレート対応情報とが一致することを検証する第10検証手段、
    前記第1乃至第10検証手段による全ての検証結果が正当のとき、前記第1及び第2認証コンテキストを正当と判定する手段、
    として機能させるためのプログラム。
  4. 請求項3に記載のプログラムにおいて、
    前記第1認証コンテキストは、前記テンプレート証明書及び前記第1装置評価証明書に代えて、テンプレート証明書公開先情報、第1装置評価証明書公開先情報及び第2装置評価証明書公開先情報が用いられており、
    前記第2認証コンテキストは、前記第2装置評価証明書に代えて、第2装置評価証明書公開先情報が用いられている場合、
    前記検証装置のコンピュータを、
    前記クライアント装置から受けた第1認証コンテキストに含まれるテンプレート証明書公開先情報及び第1装置評価証明書公開先情報に基づいて、前記テンプレート証明書及び前記第1装置評価証明書を公開先装置から取得して前記記憶装置に書き込む手段、
    前記クライアント装置から受けた第2認証コンテキストに含まれる第2装置評価証明書公開先情報に基づいて、前記第2装置評価証明書を公開先装置から取得して前記記憶装置に書き込む手段、
    として機能させるためのプログラム。
JP2007201139A 2007-08-01 2007-08-01 検証装置及びプログラム Active JP5038807B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2007201139A JP5038807B2 (ja) 2007-08-01 2007-08-01 検証装置及びプログラム
PCT/JP2008/063777 WO2009017198A1 (ja) 2007-08-01 2008-07-31 検証装置及びプログラム
CN2008800232641A CN101689995B (zh) 2007-08-01 2008-07-31 验证装置以及方法
KR1020097027472A KR101099954B1 (ko) 2007-08-01 2008-07-31 검증 장치 및 프로그램을 기록한 컴퓨터로 판독가능한 기록 매체
EP08791992.4A EP2184888B1 (en) 2007-08-01 2008-07-31 Verifying device and program
US12/695,781 US8332648B2 (en) 2007-08-01 2010-01-28 Verification apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007201139A JP5038807B2 (ja) 2007-08-01 2007-08-01 検証装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2009037417A true JP2009037417A (ja) 2009-02-19
JP5038807B2 JP5038807B2 (ja) 2012-10-03

Family

ID=40304426

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007201139A Active JP5038807B2 (ja) 2007-08-01 2007-08-01 検証装置及びプログラム

Country Status (6)

Country Link
US (1) US8332648B2 (ja)
EP (1) EP2184888B1 (ja)
JP (1) JP5038807B2 (ja)
KR (1) KR101099954B1 (ja)
CN (1) CN101689995B (ja)
WO (1) WO2009017198A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013114649A1 (ja) * 2012-02-01 2013-08-08 株式会社日立メディアエレクトロニクス 生体認証システム、生体認証装置、および、生体認証方法

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112009001794T5 (de) * 2008-07-22 2012-01-26 Validity Sensors, Inc. System, Vorrichtung und Verfahren zum Sichern einer Vorrichtungskomponente
US20130151267A1 (en) * 2011-12-08 2013-06-13 PVM International, Inc. System to allow for a pharmacist to store a filled prescription in an electronic lockbox for subsequent retrieval by a customer after identity verification
US20140208105A1 (en) * 2013-01-23 2014-07-24 GILBARCO, S.r.I. Automated Content Signing for Point-of-Sale Applications in Fuel Dispensing Environments
CN104767613B (zh) 2014-01-02 2018-02-13 腾讯科技(深圳)有限公司 签名验证方法、装置及系统
WO2015163920A1 (en) * 2014-04-25 2015-10-29 Hewlett-Packard Development Company, L.P. Configuration based on a blueprint
CN107408174B (zh) * 2015-01-30 2021-10-01 E·马伊姆 用于管理安全实体的连网承诺的系统和方法
US10218510B2 (en) * 2015-06-01 2019-02-26 Branch Banking And Trust Company Network-based device authentication system
US10040574B1 (en) * 2016-04-26 2018-08-07 James William Laske, Jr. Airplane anti-hijacking system
JP6550353B2 (ja) * 2016-07-21 2019-07-24 株式会社日立製作所 署名検証システム、署名検証方法及びプログラム
US11082430B1 (en) * 2018-05-31 2021-08-03 Amazon Technologies, Inc. Device authorizations using certificates and service access policy templates

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002073569A (ja) * 2000-08-31 2002-03-12 Sony Corp 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
JP2002077147A (ja) * 2000-08-31 2002-03-15 Sony Corp 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
WO2007007690A1 (ja) * 2005-07-07 2007-01-18 Kabushiki Kaisha Toshiba 認証システム、装置及びプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7249093B1 (en) * 1999-09-07 2007-07-24 Rysix Holdings, Llc Method of and system for making purchases over a computer network
EP1269425A2 (en) * 2000-02-25 2003-01-02 Identix Incorporated Secure transaction system
BR0202843A (pt) * 2002-07-23 2003-12-09 Taua Biomatica Ltda Equipamento chancelador digital para a assinatura de documentos eletrônicos interface de programação de aplicação segura para acesso a um eqiuipamento chancelador digital, métodos eletrônicos para cadastramento de impressão digital utilizando um equipamento chancelador digital e para assinar digitalmente documentos a partir da identificação positiva de um usuário
JP2006011768A (ja) 2004-06-25 2006-01-12 Toshiba Corp 認証システム及び装置
US20060293925A1 (en) * 2005-06-22 2006-12-28 Leonard Flom System for storing medical records accessed using patient biometrics

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002073569A (ja) * 2000-08-31 2002-03-12 Sony Corp 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
JP2002077147A (ja) * 2000-08-31 2002-03-15 Sony Corp 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
WO2007007690A1 (ja) * 2005-07-07 2007-01-18 Kabushiki Kaisha Toshiba 認証システム、装置及びプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013114649A1 (ja) * 2012-02-01 2013-08-08 株式会社日立メディアエレクトロニクス 生体認証システム、生体認証装置、および、生体認証方法

Also Published As

Publication number Publication date
US8332648B2 (en) 2012-12-11
CN101689995B (zh) 2012-09-12
EP2184888B1 (en) 2019-03-27
EP2184888A1 (en) 2010-05-12
KR20100017972A (ko) 2010-02-16
WO2009017198A1 (ja) 2009-02-05
CN101689995A (zh) 2010-03-31
EP2184888A4 (en) 2015-11-18
JP5038807B2 (ja) 2012-10-03
KR101099954B1 (ko) 2011-12-28
US20100180124A1 (en) 2010-07-15

Similar Documents

Publication Publication Date Title
JP5038807B2 (ja) 検証装置及びプログラム
US11018876B2 (en) Signature verification system, signature verification method, and storage medium
US10880080B1 (en) Cryptographic key generation from biometric data
US11139978B2 (en) Portable biometric identity on a distributed data storage layer
US11170092B1 (en) Document authentication certification with blockchain and distributed ledger techniques
US10396985B1 (en) Federated identity management based on biometric data
JP4736744B2 (ja) 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム
JP4970585B2 (ja) サービス提供システム及びユニット装置
JP3943897B2 (ja) 本人確認システム及び装置
US20030115475A1 (en) Biometrically enhanced digital certificates and system and method for making and using
JP2018537022A (ja) デジタルアイデンティティを管理するためのシステム及び方法
US20040010697A1 (en) Biometric authentication system and method
JP4881075B2 (ja) 認証システム、統合装置及びプログラム
WO2003007527A2 (en) Biometrically enhanced digital certificates and system and method for making and using
JP2007149066A (ja) 認証システム、装置及びプログラム
WO2014049749A1 (ja) 生体参照情報登録システム、装置及びプログラム
JP2008171027A (ja) 認証システム、装置及びプログラム
CN116324772A (zh) 验证系统和方法
CN116235460A (zh) 认证系统和方法
CN116235466A (zh) 基于物理不可克隆函数的质询-响应协议
CN116235465A (zh) 在数据存储器中存储响应值的物理不可克隆函数
CN116325653A (zh) 物理不可克隆函数
JP7222436B2 (ja) 保証制御方法、情報処理装置および保証制御プログラム
CN116349201A (zh) 在区块链上存储响应值的物理不可克隆函数
CN116076053A (zh) 生物锁定种子

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100319

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120612

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120706

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150713

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5038807

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350