JP2020511077A - 生体データテンプレートの更新 - Google Patents
生体データテンプレートの更新 Download PDFInfo
- Publication number
- JP2020511077A JP2020511077A JP2019548695A JP2019548695A JP2020511077A JP 2020511077 A JP2020511077 A JP 2020511077A JP 2019548695 A JP2019548695 A JP 2019548695A JP 2019548695 A JP2019548695 A JP 2019548695A JP 2020511077 A JP2020511077 A JP 2020511077A
- Authority
- JP
- Japan
- Prior art keywords
- biometric data
- client device
- network node
- encrypted biometric
- authentication token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/50—Maintenance of biometric data or enrolment thereof
- G06V40/53—Measures to keep reference information secret, e.g. cancellable biometrics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Multimedia (AREA)
- Human Computer Interaction (AREA)
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
Abstract
Description
1)認証が行なわれる、すなわち署名入りのメッセージが既知の送信側で生成された、
2)否認防止が行なわれる、すなわち送信側は署名入りのメッセージを送信したことを否認することができない。
3)完全性が確保される、すなわち署名入りのメッセージが送信中に改ざんされなかった。
Claims (50)
- 第1クライアントデバイス(100)により行なわれてユーザ(200)の暗号化生体データを更新する方法であって、更新されることになる前記暗号化生体データが、前記第1クライアントデバイス(100)により予め撮影されていたものであるとともに高信頼性ネットワークノード(300)の位置で登録されていたものであり、
登録された前記暗号化生体データを更新するために用いられる前記ユーザ(200)の生体データを撮影する(S101)ことと、
撮影された前記生体データを、更新された前記暗号化生体データに後にアクセスすることになる第2クライアントデバイス(600)と共有される鍵を使用して暗号化する(S102)ことと、
前記暗号化生体データに関連する第1認証トークンを生成する(S103)ことであって、当該第1認証トークンは、前記第2クライアントデバイス(600)の更新された前記暗号化生体データの要求に応じて、前記第2クライアントデバイス(600)と前記高信頼性ネットワークノード(300)との間で共有されることになる秘密鍵を取り込むように構成されることと、
前記暗号化生体データ及び前記第1認証トークンを前記高信頼性ネットワークノード(300)に対してセキュア通信チャネルを経由して提示する(S104)ことと、を含む方法。 - 前記高信頼性ネットワークノードが前記第1認証トークンの認証に成功した場合に、前記予め登録されていた暗号化生体データが提示された前記暗号化生体データで置換されている旨のメッセージを前記高信頼性ネットワークノード(300)から受信する(S107)ことを更に含む請求項1に記載の方法。
- 前記第2クライアントデバイス(600)と前記高信頼性ネットワークノード(300)との間で共有されることになる複数の秘密鍵を生成する(S101a)ことを更に含む請求項1又は2に記載の方法。
- 生体データを前記暗号化する(S102)ことは、
複数の撮影生体データ集合を、引き続き更新された前記暗号化生体データにアクセスすることになる第2クライアントデバイス(600)と共有される鍵を使用して暗号化することを含む請求項3に記載の方法。 - 前記第1認証トークンを前記生成する(S103)ことは、
前記暗号化生体データに関連する前記第1認証トークンを生成する(S103a)ことを更に含み、当該第1認証トークンは、更新された前記暗号化生体データ、前記暗号化生体データの集合群の各々及び置換されることになる前記暗号化生体データの集合を指定する識別子の前記第2クライアントデバイス(600)による要求に応じて、前記第2クライアントデバイス(600)と前記高信頼性ネットワークノード(300)との間で共有されることになる前記複数の秘密鍵を取り込むように構成される請求項4に記載の方法。 - 前記第1認証トークンを前記生成する(S103)ことは更に、
前記第1認証トークンに対して、前記第1クライアントデバイス(100)のプライベート鍵でデジタル署名する(S103b)ことを含み、前記第1認証トークンを前記高信頼性ネットワークノード(300)に対して前記提示する(S104)ことは更に、
デジタル署名入りの第1認証トークンを前記高信頼性ネットワークノード(300)に対して提示することを含む請求項5に記載の方法。 - 第2クライアントデバイス(600)により行なわれて、前記第2クライアントデバイス(600)のユーザ(200)の更新された暗号化生体データを高信頼性ネットワークノード(300)から取得する方法であって、前記暗号化生体データは、前記高信頼性ネットワークノード(300)の位置で、第1クライアントデバイス(100)により更新されており、
前記ユーザ(200)の予め登録されていた暗号化生体データを置換している更新された前記暗号化生体データを受信する旨の要求を、前記高信頼性ネットワークノード(300)に対してセキュア通信チャネルを経由して提示し(S108)、前記要求は、前記予め登録されていた暗号化生体データに関連する第2認証トークンを取り込むことと、
前記高信頼性ネットワークノード(300)が前記第2認証トークンを認証することができる場合に、認証チャレンジを前記高信頼性ネットワークノード(300)から受信する(S111)ことと、
受信した認証チャレンジに対する認証応答を、共有秘密鍵及び前記認証チャレンジを使用して行なう(S112)ことであって、前記第2クライアントデバイス(600)が前記予め登録されていた暗号化生体データを取得すると、前記共有秘密鍵が前記高信頼性ネットワークノード(300)から、より早い段階で受信されている、前記認証応答を行なう(S112)ことと、前記認証応答が正しい場合に、
前記高信頼性ネットワークノード(300)からの更新された前記暗号化生体データと、更新された前記暗号化生体データに関連する新規共有秘密鍵と、を受信する(S114)ことと、を含む方法。 - サードパーティネットワークノード(500)で前記第2クライアントデバイス(600)の前記ユーザ(200)が認証されることになる当該サードパーティネットワークノード(500)から、更新された前記暗号化生体データを復号することができる秘密鍵を受信する(S115)ことを更に含む請求項7に記載の方法。
- 更新された前記暗号化生体データを、受信した秘密鍵を使用して復号する(S116)ことと、
更新された生体データをセキュアストレージに格納する(S117)ことと、を更に含む請求項8に記載の方法。 - 前記第2認証トークンは、サードパーティネットワークノード(500)で前記第2クライアントデバイス(600)の前記ユーザ(200)が認証されることになる当該サードパーティネットワークノード(500)から受信されて(S306)おり、前記第1クライアントデバイス(100)により生成されており、前記第2認証トークンは、生成される乱数と、置換されることになる前記暗号化生体データの集合を指定する識別子と、前記第2認証トークンを認証するために使用される前記第1クライアントデバイス(100)の公開鍵を指定するインデックスと、を含む暗号化データ集合を含む請求項7から9のいずれか一項に記載の方法。
- 前記暗号化データ集合に対して更に、前記第1クライアントデバイス(100)のプライベート鍵でデジタル署名されている請求項10に記載の方法。
- 高信頼性ネットワークノード(300)により行なわれて、第1クライアントデバイス(100)のユーザ(200)の予め登録されていた暗号化生体データを更新する方法であって、
登録された前記暗号化生体データを更新するために更新するために用いられる暗号化生体データ及び受信した前記暗号化生体データに関連する第1認証トークンを、前記第1クライアントデバイス(100)からセキュア通信チャネルを経由して受信する(S104)ことであって、当該第1認証トークンは、更新された前記暗号化生体データの第2クライアントデバイス(600)による要求に応じて、前記第2クライアントデバイス(600)と前記高信頼性ネットワークノード(300)との間で共有されることになる秘密鍵を取り込むことと、
受信した前記第1認証トークンを認証する(S105)ことと、
前記予め登録されていた暗号化生体データを、受信した暗号化生体データで置換して(S106)、共有されることになる前記秘密鍵を格納することと、を含む方法。 - 前記予め登録されていた暗号化データの更新に成功していることを確認する旨のメッセージを前記第1クライアントデバイス(100)に対して提示する(S107)ことを更に含む請求項12に記載の方法。
- 前記第1認証トークンを前記認証する(S105)ことは、
前記第1クライアントデバイス(100)の公開鍵を取得することを含み、前記方法は更に、
前記公開鍵を使用して、前記第1認証トークンに対して前記第1クライアントデバイス(100)によりデジタル署名が行なわれていることを検証することを含む請求項12又は13に記載の方法。 - 前記ユーザ(200)の予め登録されていた暗号化生体データを置換している更新された前記暗号化生体データを受信するために、第2クライアントデバイス(600)からセキュア通信チャネルを経由して受信し(S108)、前記要求は、前記予め登録されていた暗号化生体データに関連する第2認証トークンを含むことと、
受信した前記第2認証トークンを認証する(S109)ことと、
更新された前記暗号化生体データ、前記第2クライアントデバイス(600)と共有されることになる前記秘密鍵、置換されている前記暗号化生体データに関連する共有秘密鍵を鍵格納部(400)から取得する(S110)ことと、
認証チャレンジを前記第2クライアントデバイス(600)に対して提示する(S111)ことと、
置換されている前記暗号化生体データ及び前記認証チャレンジに関連する前記共有秘密鍵に基づく認証応答を受信する(S112)ことと、
前記認証応答が正しく計算されていることを検証する(S113)ことと、
前記認証応答が正しく計算されている場合に、更新された前記暗号化生体データ及び共有されることになる前記秘密鍵を前記第2クライアントデバイス(600)に対して提示する(S114)ことと、を更に含む請求項12から14のいずれか一項に記載の方法。 - 前記第2クライアントデバイス(600)が高信頼性デバイス集合体に属していることをチェックする(S108a)ことを更に含む請求項15に記載の方法。
- 前記第2クライアントデバイス(600)が高信頼性デバイス集合体に属していることを前記チェックする(S108a)ことは、高信頼性コンピューティングTC検証手法を使用して行なわれる請求項16に記載の方法。
- 受信(S108)した前記第2認証トークンは、
前記第1クライアントデバイス(100)により生成される乱数と、前記第2認証トークンを認証するために使用される前記第1クライアントデバイス(100)の公開鍵を指定するインデックスと、置換されることになる前記暗号化生体データを指定する識別子と、を含み、前記高信頼性ネットワークノード(300)の前記公開鍵で前記第1クライアントデバイス(100)により暗号化されるデータ集合と、
前記第1クライアントデバイス(100)のプライベート鍵でデジタル署名されている暗号化されたデータ集合と、を含む請求項15から17のいずれか一項に記載の方法。 - 受信した前記第2認証トークンを前記認証する(S109)ことは、
暗号化されたデータ集合を復号して、前記第1クライアントデバイス(100)により使用される前記秘密鍵を指定するインデックス及び識別子を取得することにより生体データ及び参照情報を暗号化することを含む請求項17に記載の方法。 - 受信した前記第2認証トークンを前記認証する(S109)ことは更に、
前記第2認証トークンが前記高信頼性ネットワークノード(300)に対して、前記暗号化生体データが置換されている場合以外の前記識別子に対応して予め提示されていなかったことを検証する(S109a)ことを含み、前記第2認証トークンが予め提示されていた場合に、認証手順を中断する請求項19に記載の方法。 - 前記第2認証トークンが前記高信頼性ネットワークノード(300)に対して、予め提示されていなかったことを前記検証する(S109a)ことは更に、
暗号化されたデータ集合を復号することにより得られる乱数が前記高信頼性ネットワークノード(300)に対して、前記暗号化生体データが置換されている場合以外の前記識別子に対応して予め提示されていなかったことを検証する(S112a)ことを含む請求項20に記載の方法。 - 更新された前記暗号化生体データを前記鍵格納部(400)から前記取得する(S110)ことは更に、
インデックスで指定される前記第1クライアントデバイス(100)の公開鍵を取得することを含み、前記方法は更に、
デジタル署名入りの暗号化データ集合を前記第1クライアントデバイス(100)
の前記取得した公開鍵を使用して検証する(S110a)ことを含む請求項17に記載の方法。 - 前記認証応答が正しく計算されていることを前記検証する(S113)ことは更に、検証に成功すると、前記予め共有されていた秘密鍵を前記鍵格納部(400)から取り出すことを含む請求項15から22のいずれか一項に記載の方法。
- ユーザ(200)の暗号化生体データを更新するように構成される第1クライアントデバイス(100)であって、更新されることになる前記暗号化生体データは、前記第1クライアントデバイス(100)により予め撮影されていたものであり、高信頼性ネットワークノード(300)の位置で登録されていたものであり、前記第1クライアントデバイスは、生体データセンサ(102)及び処理ユニット(103)を含む生体データ検出システム(101)を備え、
前記生体データセンサ(102)は、
前記ユーザ(200)の生体データを撮影して使用することにより登録された前記暗号化生体データを更新するように構成され、
前記処理ユニット(103)は、
撮影された前記生体データを、引き続き更新された前記暗号化生体データにアクセスすることになる第2クライアントデバイス(600)と共有される鍵を使用して暗号化し、
前記暗号化生体データに関連する第1認証トークンを生成し、当該第1認証トークンは、前記第2クライアントデバイス(600)の更新された前記暗号化生体データの要求に応じて、前記第2クライアントデバイス(600)と前記高信頼性ネットワークノード(300)との間で共有されることになる秘密鍵を取り込むように構成され、
前記暗号化生体データ及び前記第1認証トークンを前記高信頼性ネットワークノード(300)に対してセキュア通信チャネルを経由して提示するように構成される第1クライアントデバイス(100)。 - 前記処理ユニット(103)は更に、
前記高信頼性ネットワークノードが前記第1認証トークンの認証に成功した場合に、前記予め登録されていた暗号化生体データが提示された前記暗号化生体データで置換されている旨のメッセージを前記高信頼性ネットワークノード(300)から受信するように構成される請求項24に記載の第1クライアントデバイス(100)。 - 前記処理ユニット(103)は更に、
前記第2クライアントデバイス(600)と前記高信頼性ネットワークノード(300)との間で共有されることになる複数の秘密鍵を生成するように構成される請求項24又は25に記載の第1クライアントデバイス(100)。 - 前記処理ユニット(103)は更に、
前記生体データを暗号化する場合に、複数の撮影生体データ集合を、引き続き更新された前記暗号化生体データにアクセスすることになる第2クライアントデバイス(600)と共有される鍵を使用して暗号化するように構成される請求項26に記載の第1クライアントデバイス(100)。 - 前記処理ユニット(103)は更に、
前記第1認証トークンを生成する場合に、前記暗号化生体データに関連する前記第1認証トークンを生成する(S103a)ように構成され、当該第1認証トークンは、前記第2クライアントデバイス(600)が更新された前記暗号化生体データ、前記暗号化生体データの集合群の各暗号化生体データ集合及び置換されることになる前記暗号化生体データ集合を指定する識別子の要求に応じて、前記第2クライアントデバイス(600)と前記高信頼性ネットワークノード(300)との間で共有されることになる前記複数の秘密鍵を取り込むように構成される請求項27に記載の第1クライアントデバイス(100)。 - 前記処理ユニット(103)は更に、
前記第1認証トークンを生成する場合に、前記第1認証トークンに対して前記第1クライアントデバイス(100)のプライベート鍵でデジタル署名するように構成され、
前記第1認証トークンを前記高信頼性ネットワークノード(300)に対して提示する場合に、デジタル署名入りの第1認証トークンを前記高信頼性ネットワークノード(300)に対して提示するように構成される請求項28に記載の第1クライアントデバイス(100)。 - 第2クライアントデバイス(600)のユーザ(200)の更新された暗号化生体データを高信頼性ネットワークノード(300)から取得するように構成される第2クライアントデバイス(600)であって、前記暗号化生体データは、前記高信頼性ネットワークノード(300)の位置で第1クライアントデバイス(100)により更新されており、前記第2クライアントデバイス(600)は、生体データセンサ(102)及び処理ユニット(103)を含む生体データ検出システム(101)を備え、前記処理ユニット(103)は、
前記ユーザ(200)の予め登録されていた暗号化生体データを置換している更新された前記暗号化生体データを受信する旨の要求を、前記高信頼性ネットワークノード(300)に対してセキュア通信チャネルを経由して提示し、前記要求は、前記予め登録されていた暗号化生体データに関連する第2認証トークンを取り込み、
前記高信頼性ネットワークノード(300)が前記第2認証トークンを認証することができる場合に、認証チャレンジを前記高信頼性ネットワークノード(300)から受信し、
受信した前記認証チャレンジに対する認証応答を、共有秘密鍵及び前記認証チャレンジを使用して行ない、前記第2クライアントデバイス(600)が前記予め登録されていた暗号化生体データを取得すると、前記共有秘密鍵が、前記高信頼性ネットワークノード(300)から、より早い段階で受信されており、
前記認証応答が正しい場合に、前記高信頼性ネットワークノード(300)からの更新された前記暗号化生体データ、及び更新された前記暗号化生体データに関連する新規共有秘密鍵を受信するように構成される第2クライアントデバイス(600)。 - 前記処理ユニット(103)は更に、
サードパーティネットワークノード(500)で前記第2クライアントデバイス(600)の前記ユーザ(200)が認証されることになる当該サードパーティネットワークノード(500)から、更新された前記暗号化生体データを復号することができる秘密鍵を受信するように構成される請求項30に記載の第2クライアントデバイス(600)。 - 前記処理ユニット(103)は更に、
更新された前記暗号化生体データを、受信した前記秘密鍵を使用して復号し、
更新された生体データをセキュアストレージに格納するように構成される請求項31に記載の第2クライアントデバイス(600)。 - 前記第2認証トークンは、サードパーティネットワークノード(500)で前記第2クライアントデバイス(600)の前記ユーザ(200)が認証されることになる当該サードパーティネットワークノード(500)から受信されており、前記第1クライアントデバイス(100)により生成されており、前記第2認証トークンは、生成される乱数と、置換されることになる暗号化生体データ集合を指定する識別子と、前記第2認証トークンを認証するために使用される前記第1クライアントデバイス(100)の公開鍵を指定するインデックスと、を含む暗号化データ集合を含む請求項30から32のいずれか一項に記載の第2クライアントデバイス(600)。
- 前記暗号化データ集合に対して更に、前記第1クライアントデバイス(100)のプライベート鍵でデジタル署名されている請求項33に記載の第2クライアントデバイス(600)。
- 第1クライアントデバイス(100)のユーザ(200)の予め登録されていた暗号化生体データを更新するように構成される高信頼性ネットワークノード(300)であって、前記高信頼性ネットワークノード(300)は処理ユニット(301)を備え、前記処理ユニット(301)は、
前記第1クライアントデバイス(100)からセキュア通信チャネルを経由して、登録された前記暗号化生体データを更新するために使用されることになる暗号化生体データ及び受信した暗号化生体データに関連する第1認証トークンを受信し、当該第1認証トークンは、第2クライアントデバイス(600)の更新された前記暗号化生体データの要求に応じて、前記第2クライアントデバイス(600)と前記高信頼性ネットワークノード(300)との間で共有されることになる秘密鍵を取り込み、
受信した第1認証トークンを認証し、
前記予め登録されていた暗号化生体データを受信した前記暗号化生体データで置換して、共有されることになる前記秘密鍵を格納するように構成される高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は更に、
前記予め登録されていた暗号化生体データの更新に成功したことを確認する旨のメッセージを前記第1クライアントデバイス(100)に対して提示するように構成される請求項35に記載の高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は更に、
前記第1認証トークンを認証する場合に、前記第1クライアントデバイス(100)の公開鍵を取得し、
前記公開鍵を使用して、前記第1認証トークンに対して前記第1クライアントデバイス(100)によりデジタル署名が行なわれていることを検証するように構成される請求項35又は36に記載の高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は更に、
前記ユーザ(200)の予め登録されていた暗号化生体データを置換している更新された前記暗号化生体データを受信するために、第2クライアントデバイス(600)からセキュア通信チャネルを経由して要求を受信し、前記要求は、前記予め登録されていた暗号化生体データに関連する第2認証トークンを取り込み、
受信した第2認証トークンを認証し、
更新された前記暗号化生体データ、前記第2クライアントデバイス(600)と共有されることになる前記秘密鍵、及び置換されている前記暗号化生体データに関連する共有秘密鍵を鍵格納部(400)から取得し、
認証チャレンジを前記第2クライアントデバイス(600)に対して提示し、
置換されている前記暗号化生体データ、及び前記認証チャレンジに関連する前記共有秘密鍵に基づく認証応答を受信し、
前記認証応答が正しく計算されていることを検証し、
前記認証応答が正しく計算されている場合に、更新された前記暗号化生体データ及び共有されることになる前記秘密鍵を前記第2クライアントデバイス(600)に対して提示するように構成される請求項35から37のいずれか一項に記載の高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は更に、
前記第2クライアントデバイス(600)が高信頼性デバイス集合体に属していることをチェックするように構成される請求項38に記載の高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は、前記第2クライアントデバイス(600)が高信頼性デバイス集合体に属していることの前記チェックを、高信頼性コンピューティングTC検証手法を使用して行なうように構成される請求項39に記載の高信頼性ネットワークノード(300)。
- 受信した認証トークンは、
前記第1クライアントデバイス(100)により生成される乱数と、前記第2認証トークンを認証するために使用される前記第1クライアントデバイス(100)の公開鍵を指定するインデックスと、置換されることになる前記暗号化生体データを指定する識別子と、を含むデータ集合であって、前記データ集合が、前記高信頼性ネットワークノード(300)の前記公開鍵で、前記第1クライアントデバイス(100)により暗号化される、前記データ集合と、
前記第1クライアントデバイス(100)のプライベート鍵でデジタル署名されている暗号化データ集合と、を含む請求項38から40のいずれか一項に記載の高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は、
受信した第2認証トークンを認証する場合に、前記暗号化データ集合を復号して、前記第1クライアントデバイス(100)により使用される前記秘密鍵を指定する前記インデックス及び前記識別子を取得して、生体データ及び参照情報を暗号化するように構成される請求項41に記載の高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は、
受信した第2認証トークンを認証する場合に、前記第2認証トークンが、前記高信頼性ネットワークノード(300)に対して、前記暗号化生体データが置換されている場合以外の前記識別子に対応して予め提示されていなかったことを検証し、前記第2認証トークンが予め提示されていた場合に、認証手順を中断するように構成される請求項42に記載の高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は、
前記第2認証トークンが前記高信頼性ネットワークノード(300)に対して予め提示されていなかったことを検証する場合に、前記暗号化データ集合を復号することにより取得される前記乱数が、前記高信頼性ネットワークノード(300)に対して、前記暗号化生体データが置換されている場合以外の前記識別子に対応して予め提示されていなかったことを検証するように構成される請求項43に記載の高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は、
更新された前記暗号化生体データを前記鍵格納部(400)から取得する場合に、前記インデックスで指定される前記第1クライアントデバイス(100)の前記公開鍵を取得し、
デジタル署名入りの暗号化データ集合を前記第1クライアントデバイス(100)の前記取得した公開鍵を使用して検証するように構成される請求項42に記載の高信頼性ネットワークノード(300)。 - 前記処理ユニット(301)は、
前記認証応答が正しく計算されていることを検証する場合に、検証に成功すると、前記予め共有されていた秘密鍵を前記鍵格納部(400)から取り出すように構成される請求項38から45のいずれか一項に記載の高信頼性ネットワークノード(300)。 - 生体データ検出システム(101)が、請求項1から11のいずれか一項に記載のステップを、コンピュータ実行可能命令が前記生体データ検出システム(101)に含まれる処理ユニット(103)で実行されると行なうようになるコンピュータ実行可能命令を含むコンピュータプログラム(107)。
- コンピュータ可読媒体(105)を備えるコンピュータプログラム製品であって、前記コンピュータ可読媒体が、前記コンピュータ可読媒体上で具体化される請求項47に記載の前記コンピュータプログラム(107)を有するコンピュータプログラム製品。
- 前記高信頼性ネットワークノード(300)が、請求項12から23のいずれか一項に記載のステップを、コンピュータ実行可能命令が前記高信頼性ネットワークノード(300)に含まれる処理ユニット(301)で実行されると行なうようになるコンピュータ実行可能命令を含むコンピュータプログラム(302)。
- コンピュータ可読媒体(303)を備えるコンピュータプログラム製品であって、前記コンピュータ可読媒体が、前記コンピュータ可読媒体上で具体化される請求項49に記載の前記コンピュータプログラム(302)を有するコンピュータプログラム製品。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE1750282A SE1750282A1 (sv) | 2017-03-13 | 2017-03-13 | Updating biometric data templates |
SE1750282-4 | 2017-03-13 | ||
PCT/SE2018/050221 WO2018169470A1 (en) | 2017-03-13 | 2018-03-08 | Updating biometric data templates |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020511077A true JP2020511077A (ja) | 2020-04-09 |
JP7021417B2 JP7021417B2 (ja) | 2022-02-17 |
Family
ID=63523197
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019548695A Active JP7021417B2 (ja) | 2017-03-13 | 2018-03-08 | 生体データテンプレートの更新 |
Country Status (7)
Country | Link |
---|---|
US (1) | US11449589B2 (ja) |
EP (1) | EP3596904A4 (ja) |
JP (1) | JP7021417B2 (ja) |
KR (1) | KR102514429B1 (ja) |
CN (1) | CN109076090B (ja) |
SE (1) | SE1750282A1 (ja) |
WO (1) | WO2018169470A1 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10805289B2 (en) * | 2018-05-03 | 2020-10-13 | SoftWarfare, LLC | Biometric cybersecurity and workflow management |
US10834096B2 (en) * | 2018-06-05 | 2020-11-10 | The Toronto-Dominion Bank | Methods and systems for controlling access to a protected resource |
US11477190B2 (en) * | 2019-05-01 | 2022-10-18 | Salesforce, Inc. | Dynamic user ID |
WO2022081658A1 (en) * | 2020-10-14 | 2022-04-21 | Mastercard International Incorporated | Efficient updates of biometric data for remotely connected devices |
US11546164B2 (en) * | 2020-10-23 | 2023-01-03 | Visa International Service Association | Verification of biometric templates for privacy preserving authentication |
EP4033718A1 (en) * | 2021-01-22 | 2022-07-27 | Amadeus S.A.S. | Direct-channel data update in mediated data exchange systems |
KR102303839B1 (ko) * | 2021-02-15 | 2021-09-23 | 주식회사 휴이노 | 생체 신호 데이터를 관리하기 위한 방법, 시스템 및 비일시성의 컴퓨터 판독 가능 기록 매체 |
CN114973428A (zh) * | 2021-02-24 | 2022-08-30 | 华为技术有限公司 | 一种生物信息共享方法及其电子设备和介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090007257A1 (en) * | 2007-06-27 | 2009-01-01 | Shinji Hirata | System, method, server, client terminal, program for biometric authentication |
JP2011211593A (ja) * | 2010-03-30 | 2011-10-20 | Fujitsu Ltd | 認証装置、暗号化装置、トークンデバイス、認証方法、および認証プログラム |
WO2012042634A1 (ja) * | 2010-09-30 | 2012-04-05 | 富士通株式会社 | 生体認証装置、生体認証プログラム及び方法 |
US20150082024A1 (en) * | 2013-09-19 | 2015-03-19 | Ned M. Smith | Technologies for synchronizing and restoring reference templates |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6507912B1 (en) * | 1999-01-27 | 2003-01-14 | International Business Machines Corporation | Protection of biometric data via key-dependent sampling |
GB2381916B (en) * | 2001-11-08 | 2005-03-23 | Ncr Int Inc | Biometrics template |
US7574734B2 (en) * | 2002-08-15 | 2009-08-11 | Dominique Louis Joseph Fedronic | System and method for sequentially processing a biometric sample |
JP2006107366A (ja) * | 2004-10-08 | 2006-04-20 | Fujitsu Ltd | 生体情報入力装置,生体認証装置,生体情報処理方法,生体情報処理プログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体 |
EP2163067B1 (en) * | 2008-02-22 | 2013-12-25 | Security First Corp. | Systems and methods for secure workgroup management and communication |
JP5541039B2 (ja) * | 2010-09-27 | 2014-07-09 | 富士通株式会社 | 生体認証システム、生体認証サーバ、生体認証方法及びそのプログラム。 |
US9148449B2 (en) * | 2013-03-13 | 2015-09-29 | Authentify, Inc. | Efficient encryption, escrow and digital signatures |
US9213818B2 (en) * | 2014-02-24 | 2015-12-15 | Partnet, Inc. | Anonymous authentication using backup biometric information |
US9641488B2 (en) * | 2014-02-28 | 2017-05-02 | Dropbox, Inc. | Advanced security protocol for broadcasting and synchronizing shared folders over local area network |
US10079684B2 (en) * | 2015-10-09 | 2018-09-18 | Intel Corporation | Technologies for end-to-end biometric-based authentication and platform locality assertion |
US10154029B1 (en) * | 2016-05-31 | 2018-12-11 | Wells Fargo Bank, N.A. | Biometric knowledge extraction for mutual and multi-factor authentication and key exchange |
-
2017
- 2017-03-13 SE SE1750282A patent/SE1750282A1/sv not_active Application Discontinuation
-
2018
- 2018-03-08 KR KR1020197021807A patent/KR102514429B1/ko active IP Right Grant
- 2018-03-08 US US16/492,563 patent/US11449589B2/en active Active
- 2018-03-08 JP JP2019548695A patent/JP7021417B2/ja active Active
- 2018-03-08 WO PCT/SE2018/050221 patent/WO2018169470A1/en unknown
- 2018-03-08 CN CN201880001787.XA patent/CN109076090B/zh active Active
- 2018-03-08 EP EP18767305.8A patent/EP3596904A4/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090007257A1 (en) * | 2007-06-27 | 2009-01-01 | Shinji Hirata | System, method, server, client terminal, program for biometric authentication |
JP2009009293A (ja) * | 2007-06-27 | 2009-01-15 | Hitachi Information & Control Solutions Ltd | 生体認証システム |
JP2011211593A (ja) * | 2010-03-30 | 2011-10-20 | Fujitsu Ltd | 認証装置、暗号化装置、トークンデバイス、認証方法、および認証プログラム |
WO2012042634A1 (ja) * | 2010-09-30 | 2012-04-05 | 富士通株式会社 | 生体認証装置、生体認証プログラム及び方法 |
US20150082024A1 (en) * | 2013-09-19 | 2015-03-19 | Ned M. Smith | Technologies for synchronizing and restoring reference templates |
Also Published As
Publication number | Publication date |
---|---|
SE1750282A1 (sv) | 2018-09-14 |
US11449589B2 (en) | 2022-09-20 |
KR102514429B1 (ko) | 2023-03-27 |
JP7021417B2 (ja) | 2022-02-17 |
KR20190122655A (ko) | 2019-10-30 |
US20200042684A1 (en) | 2020-02-06 |
EP3596904A4 (en) | 2020-12-09 |
CN109076090B (zh) | 2021-01-15 |
EP3596904A1 (en) | 2020-01-22 |
CN109076090A (zh) | 2018-12-21 |
WO2018169470A1 (en) | 2018-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7021417B2 (ja) | 生体データテンプレートの更新 | |
US8843760B2 (en) | Biometric identification method | |
US10951413B2 (en) | Trusted key server | |
US8775814B2 (en) | Personalized biometric identification and non-repudiation system | |
KR101863953B1 (ko) | 전자 서명 서비스 시스템 및 방법 | |
US10742410B2 (en) | Updating biometric template protection keys | |
JPWO2007094165A1 (ja) | 本人確認システムおよびプログラム、並びに、本人確認方法 | |
JP2004518229A (ja) | コンピュータ・ネットワークのセキュリティを保障する方法およびシステム、並びにネットワーク・コンポーネントへのアクセスを制御するために同システム内で用いられる個人識別装置 | |
US10574452B2 (en) | Two-step central matching | |
US20220253516A1 (en) | Device and method for authenticating user and obtaining user signature using user's biometrics | |
KR101933090B1 (ko) | 전자 서명 제공 방법 및 그 서버 | |
JP2006293473A (ja) | 認証システム及び認証方法、端末装置及び認証装置 | |
JP2009282945A (ja) | 生体認証方法及びシステム | |
JP2023179334A (ja) | 認証方法、認証システム、携帯情報機器、認証装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201216 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211119 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211207 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20211224 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20211224 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7021417 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |