JP4619119B2

JP4619119B2 - 電子装置への個人身分証明書のセキュアな登録およびバックアップのための方法

Info

Publication number: JP4619119B2
Application number: JP2004526454A
Authority: JP
Inventors: アブダラ，デーヴィッド・エス; ジョンソン，バリー・ダブリュー
Original assignee: プリヴァリス・インコーポレーテッド
Priority date: 2002-08-06
Filing date: 2003-08-06
Publication date: 2011-01-26
Anticipated expiration: 2023-08-06
Also published as: US20130290726A1; US7590861B2; US9270464B2; EP1529367A4; US20160065373A1; WO2004014017A1; JP2005535040A; US9716698B2; CA2820986A1; US8001372B2; US8407480B2; US8478992B2; US20040139329A1; EP3547599A1; US8055906B2; CA2494299C; US20100005315A1; US20130227299A1; US20090037745A1; CA2494299A1

Description

本発明は、一般には、情報セキュリティの分野に関し、より詳細には、人間の指紋の認証に基づいて個人身分証明書を格納および公開することができる装置のための登録方法に関する。

（関連する米国出願データ）
本願は、３５ＵＳＣ１１９（ｅ）の下で、参照によりその全体が本明細書に組み込まれる２００２年８月６日出願の「ＡＳｅｃｕｒｅＥｎｒｏｌｌｍｅｎｔＰｒｏｃｅｓｓｆｏｒａＢｉｏｍｅｔｒｉｃａｌｌｙＡｕｔｈｅｎｔｉｃａｔｅｄ，ＰｏｒｔａｂｌｅＥｌｅｃｔｒｏｎｉｃＤｅｖｉｃｅ」という名称の仮特許出願第６０／４０１，３９９号の優先権を主張するものである。

（発明の必要性）
生体認証を使用する装置および応用例は、情報セキュリティおよびプライバシーが重要である応用例で、ますます一般的かつ頻繁に使用されつつある。許可の形態として生体的特徴を使用する装置の成功率は、情報を生体的特徴と関連付けるプロセスの精度に依存する。例えば、ＪｏｈｎＤｏｅがＪａｎｅＤｏｅの登録プロセスを傍受し、ＪｏｈｎＤｏｅの指紋を用いてＪａｎｅＤｏｅの証明書を装置に登録することが可能であってはならない。一般化された登録プロセスは、生体サンプルを取り込み、サンプルとサンプルを提供する個人の正当性を保証し、生体サンプルを装置内の適切な位置に格納し、登録された個人に対してアクセス権を使用可能にすることを含む。この登録プロセスが、不正確または無効に実施された場合、生体認証およびセキュリティ強化の暗黙的保証が、容易に覆される。

生体認証を用いる様々なポータブル電子装置が、消費者にとって入手可能となっている。これらには、ヒューレットパッカードのｉＰＡＱＰｏｃｋｅｔＰＣｈ５４５０、３Ｍ−ＡｉＴのＶｅｒｉＭｅ、ＰｒｉｖａｒｉｓのＢＰＩＤ（商標）ＳｅｃｕｒｉｔｙＤｅｖｉｃｅ、およびソニーのＦＩＵ−９００Ｐｕｐｐｙ（登録商標）が含まれる。各装置は、指紋を格納し、オンボードマッチングを実施することができる。こうした製品のいくつかは、生体識別の検査後に暗号鍵を使用することが可能となるように構成可能である。以下の節で論じるように、暗号鍵の所有権は、通常、個人がデジタル式に通信中に、リモート識別の形態として使用される。その場合、暗号鍵が悪用することができないように、指紋が個人に明確に結びつけられることが必須である。

さらに、登録プロセスは、必然的に厳重でなければならず、また時間がかかる可能性が高いので、登録された証明書および指紋を保存および復元する単純な方法を有することが望ましい。明らかに、バックアッププロセスを損なうことによって登録プロセスが完全に無効にされる可能性があるので、この方法は、本質的に、セキュアでなければならない。

（関連技術の説明）
（公開鍵インフラストラクチャ）
公開鍵インフラストラクチャ（ＰＫＩ）およびデジタル証明書は、非常に一般的であり、正しく使用するとき、個人の「暗号識別」を保証するのに使用することができる。ＰＫＩの最も一般的な形態は、現在は人々が自由に入手可能なＲＳＡアルゴリズムを使用する。

ＰＫＩを使用するには、個人−Ａｌｉｃｅ−が、信頼される機関からのデジタル証明書を申し込む。実際の経歴調査プロセスの後に、信頼される機関は、Ａｌｉｃｅがそうであると主張する当人と判定し、デジタル証明書を発行することを判断する。この証明書は、公開鍵、Ａｌｉｃｅだけに割り振られる非対称鍵ペアの半分を含む。Ａｌｉｃｅは、鍵ペアの他方の半分である秘密鍵を保持する。公開鍵暗号の基本原理により、Ａｌｉｃｅの秘密鍵によって暗号化されたどんなものも、Ａｌｉｃｅの公開鍵を使用することによってのみ暗号化解除するができ、逆も同様である。Ａｌｉｃｅは、Ａｌｉｃｅの望むどんな人にも、デジタル証明書および公開鍵を自由に配布することができる。

別の個人であるＢｏｂがＡｌｉｃｅにメッセージを送信したいとき、Ｂｏｂは、Ａｌｉｃｅの公開鍵でメッセージを暗号化する。Ａｌｉｃｅは、暗号化メッセージを受信し、Ａｌｉｃｅの秘密鍵を使用してメッセージを暗号化解除する。Ａｌｉｃｅは、Ａｌｉｃｅの公開鍵の唯一の所有者であるので、Ｂｏｂは、Ａｌｉｃｅが唯一かつ添付の秘密鍵を所有していることを知っている。加えて、Ｂｏｂは、Ｂｏｂが知っている信頼される機関が実際の経歴チェックを実施し、Ａｌｉｃｅに発行されたデジタル証明書を発行したことを確認する。Ｂｏｂは、メッセージを読むことができる唯一の人が間違いなくＡｌｉｃｅであることを確信する。これにより一方向のセキュリティが保証される。

しかし、Ａｌｉｃｅは、ＢｏｂがＡｌｉｃｅにメッセージを送信したことを確信することができない。Ａｌｉｃｅの公開鍵は、自由にアクセス可能であるからである。この問題に対処するために、Ｂｏｂも信頼される機関にデジタル証明書を要求し、そこからデジタル証明書を受け取る。Ｂｏｂは、Ｂｏｂのメッセージを書き、次いでメッセージに関するデジタル署名を作成する。Ｂｏｂはまず、メッセージのハッシュを作成する。このプロセスは、メッセージに固有であるがメッセージを推定するのに使用することはできない固定長文字列を作成する。次いでＢｏｂは、このハッシュをＢｏｂの秘密鍵を使用して暗号化し、暗号化ハッシュをＢｏｂのメッセージに添付する。次にメッセージおよび暗号化ハッシュは、Ａｌｉｃｅの公開鍵で暗号化され、Ａｌｉｃｅに送信される。

Ａｌｉｃｅはまず、メッセージをＡｌｉｃｅの秘密鍵で暗号化解除する。次にＡｌｉｃｅは、前述と同様にメッセージを読むことができる。しかし、Ａｌｉｃｅは、暗号化ハッシュも有し、Ａｌｉｃｅは、暗号化ハッシュを使用して、Ｂｏｂがメッセージを送信したことを検証することができる。Ａｌｉｃｅは、Ｂｏｂの公開鍵を使用してデジタル署名を暗号化解除し、ハッシュを得る。次いでＡｌｉｃｅは、Ｂｏｂと同じハッシュアルゴリズムを使用して、受信したメッセージを自分自身でハッシュする。Ｂｏｂによって送信されたのと同じハッシュ値をＡｌｉｃｅが得た場合、Ａｌｉｃｅは、メッセージが変更されておらず、Ｂｏｂが本当にメッセージを送信したことを確信する。

（登録プロセス）
３Ｍ−ＡｉＴのＶｅｒｉＭｅは、１ユーザについての生体テンプレートおよび暗号秘密鍵を格納する。ユーザが、暗号秘密鍵を使用することを望むとき、ユーザは、正しい生体テンプレートを与えなければならない。ＶｅｒｉＭｅのファクトシートによれば、秘密鍵は、指紋の「セキュアな登録」時に生成される。しかし、このファクトシートは、セキュアな登録またはセキュアな登録が何を必要とするかについて説明していない。このファクトシートはまた、セキュアなバックアッププロセスおよび回復プロセスも論じていない。

ＢＡＩ（ＢｉｏｍｅｔｒｉｃＡｓｓｏｃｉａｔｅ）は、スマートカードに組み込むことができる指紋センサを製造している。次いでスマートカードを使用して、前述の装置と同様のローカル生体認証を実施することができる。ＢＡＩのウェブサイトによれば、カードは、ＢＡＩ登録ステーションを使用することで最大８ユーザを登録することができる。登録ステーションは、スマートカードが指紋および個人証明書の登録を開始するよう命令するのに必要な外部装置を提供する。しかし、公開されている情報は、これを実施するためのセキュアな暗号プロセスを説明していない。公開されている情報はまた、セキュアなバックアッププロセスおよび回復プロセスも説明していない。

本明細書で開示される発明は、個人識別用の手段を備える装置に個人身分証明書をセキュアに登録するプロセスを説明する。例えば、生体センサを備えるハンドヘルド（ｈａｎｄｈｅｌｄ）コンピュータは、格納された情報へのアクセスをユーザが要求したとき、登録された指紋を使用して、ユーザを識別することができる。指紋の登録は、将来の許可が有効となるように、確実にユーザを指紋と結びつけなければならない。

本明細書で説明する発明は、個人識別装置の製造業者が、製造業者が製造する各装置についてのシリアル番号またはその他の固有識別子を各装置についての自己生成公開鍵と共に記録する、登録のためのプロセスを提供する。登録機関は、製造業者またはその他の適切な機関により、人を装置に登録する前に検証することのできるものとして認識され、登録のために適切な装置を維持および操作し、登録機関の登録の承認を与える。

本明細書で説明する方法は、装置についての製造後プロセス、ならびに登録自体を対象とする。加えて、本発明は、登録された個人身分証明書をセキュアに保存する方法を説明する。これは、以前に検証された証明書を、全く新しい登録を必要とせずにユーザが新しい装置に復元することを可能にする。それに対応して、本発明は、格納された証明書が新しい装置にセキュアにダウンロードされる復元プロセスを説明する。

以下の詳細な説明は、現在企図される、本発明を実施する最良の方法である。この説明を限定的な意味で理解すべきではなく、この説明は、単に本発明の実施形態の一般原理を示すためのものに過ぎない。

本明細書で開示される発明は、生体認証の使用を介する個人識別用の手段を備える装置（以後「個人識別装置」と呼ぶ）に個人身分証明書をセキュアに登録するプロセスを説明する。こうした装置は、信頼される認証装置として使用することが意図されるので、装置内に格納された情報のすべてを適切な許可なしには変更することができない方式で装置内に配置することが重要である。登録プロセスでは、個人識別装置の製造業者と登録機関という２つの関係者が存在する。

登録プロセスは、製造後に装置を識別すること、ならびに、個人身分証明書および関連する生体的特徴を個人識別装置に登録することを含む。さらに、本発明は、登録された情報をハードドライブなどの電子記憶リポジトリに個人がセキュアに格納することができるように、セキュアなバックアッププロセスおよび回復プロセスを作成する方法も開示する。個人の個人識別装置が故障した場合、個人は、回復プロセスを使用して、格納され登録された情報を新しい装置に転送することができる。

適切な登録のために、登録プロセスにおける２つの関係者を明確かつ別々に識別しなければならない。登録システムにおける最初の関係者は、個人識別装置の製造業者である。製造業者は、製造業者が製造する装置すべてに関する、シリアル番号などの固有識別子のデータベースを維持する任を担う。これにより、後に製造業者が特定の装置を製造したかどうかを製造業者が判定することが可能となる。２番目の関係者は、登録機関であり、個人識別装置に登録することを求める個人の要求を調査、許可、および実施する任を担う。この関係者は、ＤＭＶ（ＤｅｐａｒｔｍｅｎｔｏｆＭｏｔｏｒＶｅｈｉｃｌｅｓ）、ビルティングセキュリティ係、あるいは個人識別装置を発行する任を担う任意のその他の人または組織でよい。

（初期登録）
この登録システムは、前述のＰＫＩを使用する。各製造業者および登録機関は、識別および暗号化のために使用することができる少なくとも１つの非対称鍵ペアを備える。この鍵ペアは、自己生成することができるが、それぞれの公開鍵は、信頼される機関によって署名されたデジタル証明書内に配置されなければならない。加えて、製造業者は、登録機関の承認を保証する手段として、登録機関によって所有されるデジタル証明書に署名することを望むことがある。

図１に、個人識別装置に対して登録プロセスを開始する製造後プロセスを示す。製造の直後に、各個人識別装置は、その製造業者が所有する公開鍵を受け取る（ステップ１０１）。好ましい実施形態では、この鍵は、デジタル証明書の一部として受け取られる。個人識別装置は、この公開鍵を使用して、製造業者から送られたメッセージ上のデジタル署名を検証し、それを正当な命令として受諾することができる。このステップは、製造工程がセキュアかつ改ざん防止型であることを必要とする。信頼される製造業者以外の鍵を受け取ることは、将来のセキュリティ検証を直接的に損なうことになる。

次に個人識別装置は、個人識別装置自体のために非対称鍵ペアを生成する（ステップ１０２）。公開鍵および装置の固有識別子が製造業者に送られる（ステップ１０３）。製造業者またはその他の正当な認証局は、装置についてのデジタル証明書を生成する（ステップ１０４）。次にこれが装置に送り戻され、その正当性のしるしとしてこれを製造業者によって署名することができる（ステップ１０５）。製造業者は、将来の参照のために装置の公開鍵およびその固有識別子の記録を保つ（ステップ１０６）。この時点で、個人識別装置内のすべての機能は使用不能にされ、それによって個人識別装置は、将来の登録を待つ状態となる（ステップ１０７）。

図２に示されるように、個人識別装置の受信時に、個人は登録機関に登録権を要求する（ステップ２０１）。これは、個人が物理的に指定の位置にいることを必要とする可能性があり、またはリモートに実施される可能性がある。登録機関は、申請者の検証プロセスに関係するすべての規則を確立することができる。個人識別装置のセキュリティおよび確実性は、検証プロセスと同程度に良好に過ぎず、したがって、こうしたプロセスが、エンドアプリケーションによって要求されるのと同じように厳重となることが予想される。

申請者を承認した後、登録機関は、個人識別装置のデジタル証明書を受信する（ステップ２０２および２０３）。登録機関は、所定の文字列を装置の秘密鍵で暗号化するように装置に促すことによってデジタル証明書を検証する（ステップ２０４）。次に登録機関は、装置のデジタル証明書に格納された公開鍵を使用して、暗号化された文字列を暗号化解除し、暗号化解除後の文字列が所定の文字列と合致することを検証する。この時点で、個人識別装置は、登録機関のデジタル証明書の妥当性を受信および検証する（ステップ２０６および２０６）。個人識別装置は、上述と同じプロンプトプロセスおよび検証プロセスを実施し、また証明書上に製造業者の署名が存在する場合、それも検証することができる。登録機関の正当性を確認した後、個人識別装置は、セッション鍵を作成し、それを登録機関にセキュアに公開する（ステップ２０７）。次に個人識別装置および登録機関は、セッション鍵を使用して自由に通信することができる（ステップ２０８）。生体的特徴は、個人身分証明書と共に個人識別装置にダウンロードすることができ、あるいは装置を使用してローカルに感知し、ローカルに格納することができる。この段階での登録プロセスは、アプリケーションに依存し、必要な証明書の確立などを必要とする。これらは本発明の範囲内に包含されない。

（回復プロセス）
ある場合には、少なくとも１つの登録される個人身分証明書および生体的特徴のバックアップを提供することが、必要なことがある。バックアップは、個人識別装置が故障した場合に使用することができ、それによって個人は、上述のプロセス全体を経なくても新しい個人識別装置を再登録することができる。こうした装置は、それぞれ「１次個人識別装置」および「２次個人識別装置」と呼ばれる。

（バックアップ）
回復プロセスには、２つの別個の部分がある。第１の部分は、登録される個人身分証明書を保存する方法を記述し、登録される個人が、その個人身分証明書および生体的特徴をユーザアクセス可能なコンピュータディスクまたはその他の電子記憶リポジトリにセキュアに格納することを可能にする。このデータは、システムの実装者によって指定された装置製造業者、登録機関、または回復機関からの許可を受けた場合にのみアクセス可能である。第１実施形態では、このシステムコントローラが、１次個人識別装置の製造業者となる。回復プロセスの第２部分は、格納されたデータを２次個人識別装置に回復する方法を記述する。

図３に示されるように、１次個人識別装置は、対称生体暗号化／暗号化解除鍵を生成する（ステップ３０１）。この鍵は、保存される個人身分証明書をロック解除するのに使用することができる、登録される生体的特徴のデジタル表現を暗号化するのに使用される（ステップ３０２）。生体的特徴の暗号化の後、対称生体暗号化／暗号化解除鍵が２つの固有かつ別個の部分に分割される（ステップ３０３）。分離の方式は、システム実装者の判断で選択することができる。対称生体暗号化／暗号化解除鍵の第１部分は、ユーザが選択したパスフレーズで暗号化される（ステップ３０４）。対称生体暗号化／暗号化解除鍵の第２部分は、１次個人識別装置によって所有される秘密鍵で署名され（ステップ３０５）、次いでシステムコントローラによって所有される公開鍵で暗号化される（ステップ３０６）。前述のように、この実施形態では、システムコントローラは、１次個人識別装置製造業者である。製造業者の公開鍵を使用することにより、個人は、回復中に強制的に製造業者に回復特権を要求させられる。個人は、製造業者にデータを製造業者の秘密鍵で暗号化解除してもらう必要があるからである。このことは、以下でさらに詳細に論じる。

次いで、１次個人識別装置は、少なくとも１つの登録される個人身分証明書を暗号化するのに使用される対称個人身分証明書暗号化／暗号化解除鍵を生成する（ステップ３０７）。まず、１次個人識別装置は、秘密鍵を使用して個人身分証明書をデジタル式に署名し（ステップ３０８）、次いで個人身分証明書および関連するデジタル署名を暗号化する（ステップ３０９）。前述の方式と同様に、対称個人身分証明書暗号化／暗号化解除鍵が２つの固有かつ別個の部分に分割される（ステップ３１０）。第１の部分は、ユーザが選択したパスフレーズで暗号化される（ステップ３１１）。このパスフレーズは、上記で使用したのと同一のパスフレーズでよく、同一でなくてもよい。第２部分は、装置の秘密鍵で再び署名され（ステップ３１２）、製造業者の公開鍵で暗号化される（ステップ３１３）。

次に、暗号化および／または署名されたデータのすべて−生体的特徴、対称生体暗号化／暗号化解除鍵、個人身分証明書、および対称個人身分証明書暗号化／暗号化解除鍵−が電子記憶リポジトリに格納される（ステップ３１４）。典型的な実施形態では、電子記憶リポジトリは、ハードドライブ、フロッピィディスク、またはネットワークドライブでよい。１次個人識別装置は、将来の１次個人識別装置の公開鍵の使用のために、１次個人識別装置のデジタル証明書を個人に公開する。

（復元）
図４に示されるように、個人が、２次個人識別装置を受け取り、１次個人識別装置からデータを回復することを望むとき、個人は、電子記憶リポジトリにアクセスしなければならない（ステップ４０１）。個人はまず、対称生体暗号化／暗号化解除鍵の２つの暗号化および／または署名された部分を取得する（ステップ４０２）。２次個人識別装置は、ユーザのパスフレーズで対称生体暗号化／暗号化解除鍵の第１部分を暗号化解除する（ステップ４０３）。次いで２次個人識別装置は、１次個人識別装置の製造業者であるシステムコントローラに、その（製造業者の）秘密鍵を使用して対称生体暗号化／暗号化解除鍵の第２部分および関連するデジタル署名を暗号化解除するように要求する（ステップ４０４）。データが暗号化解除された後、２次個人識別装置は、１次個人識別装置によって所有される公開鍵を使用してデジタル署名を検証する（ステップ４０５）。次に対称生体暗号化／暗号化解除鍵の２つの部分が適切に組み合わされ（ステップ４０６）、生体的特徴を暗号化解除するのに使用することができる（ステップ４０７）。次に生体的特徴が、２次個人識別装置内の適切な位置に格納される（ステップ４０８）。

次に個人は、対称個人身分証明書暗号化／暗号化解除鍵の２つの暗号化および／または署名された部分を得る（ステップ４０９）。前述のプロセスと同様に、２次個人識別装置は、ユーザの選択したパスフレーズを使用して、対称個人身分証明書暗号化／暗号化解除鍵の第１部分を暗号化解除する（ステップ４１０）。次に２次個人識別装置は、１次個人識別装置の製造業者であるシステムコントローラに、製造業者の秘密鍵を使用して対称生体暗号化／暗号化解除鍵の第２部分および添付のデジタル署名を暗号化解除するように要求する（ステップ４１１）。再び２次個人識別装置は、１次個人識別装置によって所有される公開鍵を使用してデジタル署名を検証する（ステップ４１２）。鍵の２つの部分が再構築されて、１つの鍵が形成される（ステップ４１３）。次に鍵が使用されて、個人身分証明書および関連するデジタル署名が暗号化解除され（ステップ４１４）、１次個人識別装置によって所有される公開鍵を使用して署名が検証される（ステップ４１５）。次に、暗号化解除後の個人身分証明書を２次個人識別装置内に適切に格納することができる（ステップ４１６）。

上記の説明は、本発明の特定の実施形態を参照しているが、本発明の精神から逸脱することなく多数の修正形態を作成できることを理解されよう。添付の特許請求の範囲は、本発明の真の範囲および精神内に含まれる修正形態を包含するものとする。

個人識別装置のための製造後プロセスを示す流れ図である。個人身分証明書を個人識別装置に登録するプロセスを示す流れ図である。将来の復元のために個人身分証明書をセキュアに格納するバックアッププロセスを示す流れ図である。復元プロセスを示す流れ図である。

符号の説明

１０１製造業者の公開鍵を装置に与える
１０２装置のために鍵ペアを生成する
１０３装置の公開鍵および固有ＩＤを製造業者に与える
１０４装置についてのデジタル証明書を作成する
１０５デジタル証明書を装置に与える
１０６装置の公開鍵および固有ＩＤを格納する
１０７装置を使用不能にする
２０１証明書を装置に登録するために登録機関に許可を要求する
２０２要求を検証する
２０３装置のデジタル証明書を提示する
２０４装置が証明書の真の所有者であることを検証する
２０５登録機関のデジタル証明書を提示する
２０６登録機関が証明書の真の所有者であることを検証する
２０７セッション鍵を作成する
２０８セッション鍵で暗号化して登録を完了する
３０１対称生体暗号化／暗号化解除鍵を作成する
３０２対称生体暗号化／暗号化解除鍵で生体的特徴を暗号化する
３０３対称生体暗号化／暗号化解除鍵を２つの鍵に分割する
３０４パスフレーズで第１部分を暗号化する
３０５１次装置の秘密鍵で第２部分にデジタル式に署名する
３０６コントローラの公開鍵でデジタル署名および対称生体暗号化／暗号化解除鍵の第２部分を暗号化する
３０７対称個人身分証明書暗号化／暗号化解除鍵を作成する
３０８１次装置の秘密鍵で個人身分証明書にデジタル式に署名する
３０９対称個人身分証明書暗号化／暗号化解除鍵で証明書を暗号化する
３１０対称個人身分証明書暗号化／暗号化解除鍵を分割する
３１１パスフレーズで対称個人身分証明書暗号化／暗号化解除鍵の第１部分を暗号化する
３１２１次装置の秘密鍵で対称個人身分証明書暗号化／暗号化解除鍵の第２部分にデジタル式に署名する
３１３コントローラの公開鍵でデジタル署名および対称個人身分証明書暗号化／暗号化解除鍵の第２部分を暗号化する
３１４暗号化した生体的特徴、暗号化した証明書、および暗号化した対称生体暗号化／暗号化解除鍵、および対称個人身分証明書暗号化／暗号化解除鍵を電子記憶リポジトリに格納する
３１５１次装置の公開鍵を含むデジタル証明書をユーザに提供する
４０１電子記憶リポジトリにアクセスする
４０２対称生体暗号化／暗号化解除鍵の両方の部分を得る
４０３パスフレーズで第１部分を暗号化解除する
４０４コントローラの秘密鍵で第２部分およびデジタル署名を暗号化解除する
４０５１次装置の公開鍵を使用してデジタル署名を検証する
４０６対称生体暗号化／暗号化解除鍵の両方の部分を組み合わせる
４０７生体的特徴を暗号化解除する
４０８生体的特徴を２次装置に格納する
４０９対称個人身分証明書暗号化／暗号化解除鍵の両方の部分を得る
４１０パスフレーズで第１部分を暗号化解除する
４１１コントローラの秘密鍵で第２部分およびデジタル署名を暗号化解除する
４１２１次装置の公開鍵を使用してデジタル署名を検証する
４１３対称個人身分証明書暗号化／暗号化解除鍵の両方の部分を組み合わせる
４１４個人身分証明書および関連するデジタル署名を暗号化解除する
４１５１次装置の公開鍵を使用してデジタル署名を検証する
４１６個人身分証明書を２次装置に格納する

Claims

個人識別装置の製造に続き、次に登録するために該個人識別装置を整備する方法であって、該方法は前記個人識別装置によって実行され、
公開鍵を、製造業者のコンピュータから受けるステップと、
秘密装置鍵および公開装置鍵を含む非対称鍵ペアを、前記個人識別装置内に作成するステップと、
前記作成した非対称鍵ペアの公開装置鍵および固有装置識別子を、前記個人識別装置から前記製造業者のコンピュータに送るステップと、
デジタル証明書を、前記受けた公開鍵に基づいて前記製造業者のコンピュータから受けるステップであって、該デジタル証明書は、前記製造業者のコンピュータによって、前記送られた非対称鍵ペアの公開装置鍵および前記送られた固有装置識別子に基づいて作成される、ステップと、
前記製造業者とは別個の登録機関との協働によって、前記受けたデジタル証明書および前記作成した非対称鍵ペアの秘密装置鍵に基づいて前記個人識別装置へ個人の生体的特徴を登録する一連の処理を開始しないうちは、前記個人識別装置を待ち状態にするよう前記個人識別装置の機能を使用不能にするステップと、
を含む方法。
個人識別装置において、登録に関連付けられる生体特徴データを受ける前に、公開鍵を受けるステップと、
前記登録に関連付けられる前記生体特徴データを受ける前に、前記個人識別装置に一意に関連付けられる識別子を、前記個人識別装置から関係機関へ送るステップと、
前記個人識別装置において、前記登録に関連付けられる前記生体特徴データを受ける前に、前記識別子に基づくデジタル証明書を前記関係機関から受け取るステップと、
前記デジタル証明書に基づいて前記登録に関連付けられる前記生体特徴データを受ける一連の処理を開始しないうちは、前記個人識別装置を待ち状態にするよう前記個人識別装置内の機能を使用不能にするステップと、を含む方法。
請求項２に記載の方法であって、前記デジタル証明書を前記関係機関から受ける前記ステップは、前記公開鍵および前記識別子に基づく、方法。
請求項２に記載の方法であって、前記識別子は、個人識別装置公開鍵と個人識別装置秘密鍵とを含む非対称鍵ペアに関連付けられる、方法。
請求項２に記載の方法であって、さらに、前記個人識別装置において、前記識別子を生成するステップを含む方法。
請求項２に記載の方法において、前記関係機関は、前記個人識別装置の製造業者であり、かつ、前記個人識別装置において前記生体特徴データの登録を可能にすることを許可される登録関係機関とは別個である、方法。
請求項２に記載の方法において、前記関係機関は第１の関係機関であり、前記個人識別装置は、前記個人識別装置において前記デジタル証明書を受ける前記ステップの後に、前記第１関係機関とは異なる第２の関係機関からの前記生体特徴データを登録するように構成される、方法。
請求項２に記載の方法において、前記デジタル証明書は、前記個人識別装置に関連付けられるデータを含む、方法。