JP6650513B2 - 情報を登録および認証する方法およびデバイス - Google Patents

情報を登録および認証する方法およびデバイス Download PDF

Info

Publication number
JP6650513B2
JP6650513B2 JP2018515096A JP2018515096A JP6650513B2 JP 6650513 B2 JP6650513 B2 JP 6650513B2 JP 2018515096 A JP2018515096 A JP 2018515096A JP 2018515096 A JP2018515096 A JP 2018515096A JP 6650513 B2 JP6650513 B2 JP 6650513B2
Authority
JP
Japan
Prior art keywords
information
authentication
reference information
signed
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018515096A
Other languages
English (en)
Other versions
JP2018532326A (ja
Inventor
ユアンポー スン
ユアンポー スン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2018532326A publication Critical patent/JP2018532326A/ja
Application granted granted Critical
Publication of JP6650513B2 publication Critical patent/JP6650513B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Description

本出願は、コンピュータ技術の分野に関し、特に、情報の登録および認証のための方法およびデバイスに関する。
情報技術の発展に伴い、ユーザは、(たとえば携帯電話、タブレット・コンピュータなどの)端末にインストールされた(たとえばソフトウェア開発業者、ウェブ・サイトなどの)サービス・プロバイダによるアプリケーション・プログラム(以下においては、“ビジネス・アプリケーション”)を介して種々のビジネス・サービスを便利に且つ迅速に受信し得る。ビジネス・アプリケーションにおいて提供されるビジネス・サービスに関し、支払サービス、転送サービスなどの如き或る種類のビジネス・サービスは、比較的に高いセキュリティ・レベルを有している。比較的に高いセキュリティ・レベルを有するビジネス・サービスは通常、ユーザに対し、(たとえば、パスワード、バイオメトリック情報などの)対応するセキュリティ情報を提供することを要求すると共に、該ビジネス・サービスは、ユーザにより提供されたセキュリティ情報が認証された後においてのみ、完了され得る。
ユーザがセキュリティ情報を提供することを要求する前記ビジネス・サービスに対し、ユーザのセキュリティ情報は典型的に、ユーザにより後続的に入力されるセキュリティ情報との比較のために、ユーザが初めて前記ビジネス・サービスを使用する前に、基準情報として獲得される(該基準情報は、後続的な認証プロセスにおいて認証基準として使用される)。ユーザのセキュリティ情報を獲得する過程において、ビジネス・アプリケーションは、端末におけるセキュリティ情報アプリケーション(たとえば、ユーザにより入力されたバイオメトリック情報の収集および記憶を取り扱うバイオインフォマティック管理アプリケーションであり、該バイオインフォマティック管理アプリケーションは、端末製造者により端末にインストールされている)を使用してユーザのセキュリティ情報を獲得することが必要である。
ビジネス・アプリケーションとセキュリティ情報アプリケーションとの間におけるアプリケーション起動および情報伝送を促進するために、先行技術における(たとえば Android M システムなどの)端末システムは、リッチ実行環境(REE)と称されるアーキテクチャにおいてセキュリティ情報アプリケーションを動作させている。REE は、REE において動作しているセキュリティ情報アプリケーションが、種々のビジネス・サービスにより更に便利に且つ迅速に起動され得ると共に、全てのビジネス・アプリケーションにより要求された情報を更に便利に且つ迅速に伝送し得る如く、多くの起動サポートを保有している。
但し、REE は安全な環境ではない。セキュリティ情報アプリケーションとビジネス・アプリケーションとの間における情報伝送の過程において、セキュリティ情報は、伝送の間において不正操作者により傍受かつ改竄される傾向がある。特に、基準情報に対しては、該基準情報が真なのか偽なのかを確認することが不可能であり、と言うのも、サービス・プロバイダは、ユーザにより提供された該基準情報を先行して保存してはいないからである。基準情報が伝送の間に一旦改竄されたとしても、サービス・プロバイダは依然として、改竄された基準情報を、後続的な認証プロセスにおける認証基準として受信する。故に明らかに、不正操作者は、前記ユーザの名において種々のビジネス・サービスを獲得する。
本出願の各実施形態は、セキュリティ情報が登録のために使用されるときにセキュリティが不十分であるという先行技術の問題を解決する、情報の登録および認証のための方法およびデバイスを提供する。
本出願の実施形態により提供される情報登録方法は、基準情報を登録するための要求を認証サーバに対して送信する段階と、前記認証サーバによりフィードバックされた第一認証情報を受信する段階と、基準情報獲得要求を生成し、該基準情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、前記セキュリティ情報アプリケーションが前記第一認証情報の認証を承認した後、前記セキュリティ情報アプリケーションにより返信された署名済み基準情報と前記基準情報の身分識別子とを獲得する段階であって、前記署名済み基準情報は前記セキュリティ情報アプリケーションにより第二認証情報を用いて署名されている、という段階と、前記署名済み基準情報、前記基準情報の前記身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、該認証サーバが、前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後に、前記基準情報と前記基準情報の前記身分識別子とを登録させる段階と、を備えて成る。
本出願の実施形態により更に提供される情報登録方法は、ビジネス・アプリケーションにより送信された第一認証情報および基準情報獲得要求を受信する段階と、前記第一認証情報を認証し、且つ、認証が承認された後、前記ビジネス・アプリケーションに対し、第二認証情報を用いて署名された基準情報を返信し且つ前記基準情報の身分識別子を返信することで、前記ビジネス・アプリケーションにより、前記署名済み基準情報と前記基準情報の前記身分識別子とを認証サーバに対して送信させ、且つ、前記認証サーバにより、該認証サーバが前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後、前記基準情報と前記基準情報の前記身分識別子とを登録させる段階と、を備えて成る。
本出願の実施形態により更に提供される情報登録方法は、認証サーバにより、ビジネス・アプリケーションにより送信された基準情報を登録するための要求を受信する段階と、基準情報を登録するための前記要求に従い、第一認証情報を生成し、且つ、該第一認証情報を前記ビジネス・アプリケーションに対してフィードバックする段階と、前記ビジネス・アプリケーションにより送信された、署名済み基準情報、前記基準情報の身分識別子、および、前記第一認証情報を受信する段階であって、前記署名済み基準情報は、セキュリティ情報アプリケーションにより前記第二認証情報を用いることにより署名されており且つ前記ビジネス・アプリケーションに対して送信されているという段階と、前記第一認証情報を認証し、且つ、前記署名済み基準情報に従い前記第二認証情報を認証する段階と、前記第一認証情報および前記第二認証情報の認証を承認した後、前記基準情報と前記基準情報の前記身分識別子とを登録する段階と、を備えて成る。
本出願の実施形態により更に提供される情報認証方法は、認証対象情報に対する照合要求を認証サーバに対して送信する段階と、前記認証サーバによりフィードバックされた第一認証情報を受信する段階と、認証対象情報獲得要求を生成し、該認証対象情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、前記セキュリティ情報アプリケーションが前記第一認証情報の認証を承認した後、前記セキュリティ情報アプリケーションにより返信された認証対象情報と、該認証対象情報の認証対象身分識別子と、を獲得する段階と、前記認証対象情報、前記認証対象身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を認証させ、認証結果を生成させ、且つ、前記認証結果を前記ビジネス・アプリケーションに対してフィードバックさせる段階と、を備えて成る。
本出願の実施形態により更に提供される情報認証方法は、ビジネス・アプリケーションにより送信され且つ第一認証情報を担持する認証対象情報獲得要求を受信する段階と、前記第一認証情報を認証し、且つ、認証が承認された後、前記認証対象情報と該認証対象情報の身分識別子とを前記ビジネス・アプリケーションを介して認証サーバに対して送信することで、該認証サーバにより、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を認証させ、認証結果を生成させ、且つ、該認証結果を前記ビジネス・アプリケーションに対してフィードバックさせる段階と、を備えて成る。
本出願の実施形態により更に提供される情報認証方法は、認証サーバにより、ビジネス・アプリケーションにより送信された認証対象情報に対する照合要求を受信する段階と、前記照合要求に従い、第一認証情報を生成し、且つ、該第一認証情報を前記ビジネス・アプリケーションに対してフィードバックする段階と、前記ビジネス・アプリケーションにより送信された、前記認証対象情報、前記認証対象情報の認証対象身分識別子、および、前記第一認証情報を受信する段階と、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を夫々認証して、認証結果を生成し、且つ、該認証結果を前記ビジネス・アプリケーションに対してフィードバックする段階と、を備えて成る。
本出願の実施形態により更に提供される情報登録デバイスは、基準情報を登録するための要求を認証サーバに対して送信すべく構成された登録要求モジュールと、前記認証サーバによりフィードバックされた第一認証情報を受信すべく構成された受信モジュールと、基準情報獲得要求を生成し、該基準情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、前記セキュリティ情報アプリケーションが前記第一認証情報の認証を承認した後、前記セキュリティ情報アプリケーションにより返信された署名済み基準情報と前記基準情報の身分識別子とを獲得すべく構成された獲得モジュールであって、前記署名済み基準情報は前記セキュリティ情報アプリケーションにより第二認証情報を用いて署名されている、という獲得モジュールと、前記署名済み基準情報、前記基準情報の前記身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、該認証サーバが、前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後に、前記基準情報と前記基準情報の前記身分識別子とを登録させるべく構成された送信モジュールと、を備えて成る。
本出願の実施形態により更に提供される情報登録デバイスは、ビジネス・アプリケーションにより送信された第一認証情報および基準情報獲得要求を受信すべく構成された受信モジュールと、前記第一認証情報を認証し、且つ、認証が承認された後、前記ビジネス・アプリケーションに対し、第二認証情報を用いて署名された基準情報を返信し且つ前記基準情報の身分識別子を返信することで、前記ビジネス・アプリケーションにより、前記署名済み基準情報と前記基準情報の前記身分識別子とを認証サーバに対して送信させ、且つ、前記認証サーバにより、該認証サーバが前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後、前記基準情報と前記基準情報の前記身分識別子とを登録させるべく構成された署名モジュールと、を備えて成る。
本出願の実施形態により更に提供される情報登録デバイスは、ビジネス・アプリケーションにより送信された基準情報を登録するための要求を受信すべく構成された登録要求受信モジュールと、基準情報を登録するための前記要求に従い、第一認証情報を生成し、且つ、それを前記ビジネス・アプリケーションに対してフィードバックすべく構成されたフィードバック・モジュールと、前記ビジネス・アプリケーションにより送信された、署名済み基準情報、前記基準情報の身分識別子、および、前記第一認証情報を受信する登録情報受信モジュールであって、前記署名済み基準情報は、セキュリティ情報アプリケーションにより前記第二認証情報を用いることにより署名されており且つ前記ビジネス・アプリケーションに対して送信されているという登録情報受信モジュールと、前記第一認証情報を認証し、且つ、前記署名済み基準情報に従い前記第二認証情報を認証すべく構成された認証モジュールと、前記第一認証情報および前記第二認証情報の認証が両方とも承認された後、前記基準情報と前記基準情報の前記身分識別子とを登録すべく構成された登録モジュールと、を備えて成る。
本出願の実施形態により更に提供される情報認証デバイスは、認証対象情報に対する照合要求を認証サーバに対して送信すべく構成された登録要求モジュールと、前記認証サーバによりフィードバックされた第一認証情報を受信すべく構成された受信モジュールと、認証対象情報獲得要求を生成し、該認証対象情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、前記セキュリティ情報アプリケーションが前記第一認証情報の認証を承認した後、前記セキュリティ情報アプリケーションにより返信された認証対象情報と、該認証対象情報の認証対象身分識別子と、を獲得すべく構成された獲得モジュールと、前記認証対象情報、前記認証対象身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を認証させ、認証結果を生成させ、且つ、前記認証結果を前記ビジネス・アプリケーションに対してフィードバックさせるべく構成された送信モジュールと、を備えて成る。
本出願の実施形態により更に提供される情報認証デバイスは、ビジネス・アプリケーションにより送信され且つ第一認証情報を担持する認証対象情報獲得要求を受信すべく構成された受信モジュールと、前記第一認証情報を認証し、且つ、認証が承認された後、前記認証対象情報と該認証対象情報の身分識別子とを前記ビジネス・アプリケーションを介して認証サーバに対して送信することで、該認証サーバにより、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を認証させ、認証結果を生成させ、且つ、該認証結果を前記ビジネス・アプリケーションに対してフィードバックさせるべく構成された署名モジュールと、を備えて成る。
本出願の実施形態により更に提供される情報認証デバイスは、ビジネス・アプリケーションにより送信された認証対象情報に対する照合要求を受信すべく構成された認証要求受信モジュールと、前記照合要求に従い、第一認証情報を生成し、且つ、それを前記ビジネス・アプリケーションに対してフィードバックすべく構成されたフィードバック・モジュールと、前記ビジネス・アプリケーションにより送信された、前記認証対象情報、前記認証対象情報の認証対象身分識別子、および、前記第一認証情報を受信すべく構成された認証情報受信モジュールと、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を夫々認証して、認証結果を生成し、且つ、認証結果を前記ビジネス・アプリケーションに対してフィードバックすべく構成された認証モジュールと、を備えて成る。
本出願の実施形態は、情報を登録および認証する方法およびデバイスを提供する。ユーザが、ビジネス・サービスを使用している間に、基準情報を登録することを必要とするとき、ビジネス・アプリケーションは、基準情報を認証サーバに対して登録するための要求を開始すると共に、認証サーバによりフィードバックされた第一認証情報を受信する。その後、ビジネス・アプリケーションは、基準情報獲得要求を生成すると共に、該基準情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信する。セキュリティ情報アプリケーションによる第一認証情報の認証が承認された後、該セキュリティ情報アプリケーションは、それ自体の第二認証情報を使用して基準情報に署名し、基準情報の身分識別子を決定し、且つ、その後に、署名済み基準情報と基準情報の身分識別子とを、ビジネス・アプリケーションに対してフィードバックする。結果として、ビジネス・アプリケーションは、セキュリティ情報アプリケーションからのフィードバックと前記第一認証情報とを認証サーバに対して送信することで、認証の後で、基準情報、および、それの身分識別子を認証サーバに対して登録させる。前記方法からは、認証サーバの識別子としての第一認証情報によれば、セキュリティ情報アプリケーションが基準情報登録者の身分を決定することが可能とされ、認証サーバに対する第一認証情報の返信によれば、該認証サーバは、前記情報が伝送の間に改竄されたか否かを決定し得る一方、認証サーバに対する署名済み基準情報の返信によれば、該認証サーバは、基準情報が端末におけるセキュリティ情報アプリケーションにより提供されたか否かを決定し得ることが理解され得る。斯かる方法によれば効果的に、認証サーバは、伝送の間に改竄された基準情報を正確に確認し得ることが確実とされ得ることで、基準情報登録の安全性が効果的に向上され得る。
本明細書における添付図面は、本出願の更なる理解のために提供されると共に、本出願の一部を構成する。本出願の代表的実施形態およびその説明は、本出願を説明するために使用されるが、本出願に対する不適切な制限を構成するものでない。
図1乃至図3は、本出願の実施形態に係る情報登録方法を示す図である。 図1乃至図3は、本出願の実施形態に係る情報登録方法を示す図である。 図1乃至図3は、本出願の実施形態に係る情報登録方法を示す図である。 本出願の実施形態に係る、代表的な応用状況における情報登録方法を示す図である。 図5乃至図7は、本出願の実施形態に係る情報認証方法を示す図である。 図5乃至図7は、本出願の実施形態に係る情報認証方法を示す図である。 図5乃至図7は、本出願の実施形態に係る情報認証方法を示す図である。 本出願の実施形態に係る、代表的な応用状況における情報認証プロセスを示す図である。 図9乃至図11は、本出願の実施形態に係る情報登録デバイスの構造的概略図である。 図9乃至図11は、本出願の実施形態に係る情報登録デバイスの構造的概略図である。 図9乃至図11は、本出願の実施形態に係る情報登録デバイスの構造的概略図である。 図12乃至図14は、本出願の実施形態に係る情報認証デバイスの構造的概略図である。 図12乃至図14は、本出願の実施形態に係る情報認証デバイスの構造的概略図である。 図12乃至図14は、本出願の実施形態に係る情報認証デバイスの構造的概略図である。
本出願の目的、技術的解決策および利点を更に明確にするために、本出願の技術的解決策は以下において、本出願の好適実施形態および添付図面を参照して更に明確に且つ完全に記述される。明らかに、記述される実施形態は、本出願の実施形態の全てではなく、幾つかにすぎない。本出願の実施形態に基づき、且つ、発明的な努力なしで当業者により実現され得る全ての他の実施形態は、本出願の有効範囲内に包含されるものとする。
上述された如く、サービス・プロバイダが初めて基準情報を受信したとき、該基準情報が伝送の間に改竄されたか否かを正確に決定することはできない、と言うのも、該プロバイダは、前記基準情報に関するセキュリティ情報を先行しては保存していないからである。しかし、サービス・プロバイダおよび端末が、事前に一連の認証情報に合意すると共に、該認証情報を使用して前記基準情報を認証するならば、前記基準情報が伝送の間に改竄されたか否かを確認することが可能である。このことに基づき、本出願においては、以下の情報登録および認証方法が提供される。
本出願の実施形態に従い、情報登録方法が提供されると共に、図1に示された如く、該方法は以下の各段階を備えて成る:
S101:基準情報を登録するための要求を認証サーバに対して送信する段階。
代表的な応用状況において、ユーザが、ビジネス・アプリケーションにおいて提供される比較的に高いセキュリティ・レベルのビジネス・サービス(たとえば、指紋式支払サービス)を使用するとき、該ユーザは典型的に、(たとえば指紋情報などの)対応するセキュリティ情報を提供することが要求される。特に、ユーザがビジネス・サービスを初めて使用するとき、該ユーザは典型的に、ビジネス・サービスの後続的な使用時に該ユーザにより入力されるセキュリティ情報に対する比較および照合のために、基準情報としてセキュリティ情報を入力することを要求される。
換言すると、ユーザが初めてビジネス・サービスを使用するとき、該ユーザにより提供される基準情報を、ビジネス・アプリケーションを介して、対応する認証サービスに登録することが必要である。故に、本出願の実施形態の前記段階において、端末の内部で動作するビジネス・アプリケーションは、基準情報を登録するための要求を認証サーバに対して送信し得る。
此処で、本出願において示される端末としては、限定的なものとしてでなく、携帯電話、タブレット・コンピュータ、および、スマート・ウォッチの如き移動端末が挙げられると共に、幾つかの状況展開においては、コンピュータ端末でもあり得る。前記認証サーバは、サービス・プロバイダのバックエンド・サービス・システムにおけるセキュリティ認証のためのサーバ、または、セキュリティ認証のための専用のサード・パーティのサーバであり得る。当然乍ら、これらのものは本出願に対する制限を構成するものでない。
S102:認証サーバによりフィードバックされた第一認証情報を受信する段階。
前記第一認証情報は、基準情報を登録するための要求を送信するビジネス・アプリケーションに対し、認証サーバによりフィードバックされた識別情報であり、且つ、該認証サーバの身分を表すべく使用される。本出願の実施形態の状況展開において、第一認証情報は、認証サービスの証明書を構成し得る。
S103:基準情報獲得要求を生成し、該基準情報獲得要求および第一認証情報をセキュリティ情報アプリケーションに対して送信する段階であって、該セキュリティ情報アプリケーションが前記第一認証情報の認証を承認した後に、セキュリティ情報アプリケーションにより返信された、署名済み基準情報、および、基準情報の身分識別子を獲得するという段階。
此処で、署名済み基準情報は、セキュリティ情報アプリケーションにより、第二認証情報を用いて署名されている。
認証サーバによりフィードバックされた第一認証情報を受信すると同時に、ビジネス・アプリケーションは、端末におけるセキュリティ情報アプリケーションに対し、登録のために必要な基準情報を提供することを要求する基準情報獲得要求を生成する。
本出願におけるセキュリティ情報アプリケーションは、前記端末において動作しているローカル・アプリケーションであり、且つ、ビジネス・サービスに対して必要な(基準情報を含む)セキュリティ情報を前記ビジネス・アプリケーションに対して提供すべく使用されることを銘記すべきである。但し、セキュリティ情報は、ユーザ自身の鍵情報である。前記セキュリティ情報アプリケーションに対してユーザのセキュリティ情報を不正操作者が要求することを阻止するために、セキュリティ情報アプリケーションは、基準情報を使用する者の身分を認証する。このことに基づき、ビジネス・アプリケーションがセキュリティ情報アプリケーションに対して基準情報獲得要求を送信するとき、ビジネス・アプリケーションは前記第一認証情報もセキュリティ情報アプリケーションに対して送信する。すると、セキュリティ情報アプリケーションは、第一認証情報を認証して認証サーバの身分を決定し、且つ、該セキュリティ情報アプリケーションは、該アプリケーションにより前記第一認証情報の認証が承認された後でのみ、前記基準情報を提供する。
セキュリティ情報アプリケーションにより提供された前記基準情報が、実際の適用において伝送の間に改竄され得ることを考慮すると、セキュリティ情報アプリケーションは、前記基準情報は端末における該セキュリティ情報アプリケーションにより送信されることを表すために、本出願において、前記基準情報をフィードバックする前に、該基準情報に対する署名操作を実施する。一方、基準情報は前記ユーザにより提供されることも考慮すると、基準情報が前記ユーザにより提供されたことを表すために、該基準情報の身分識別子が決定され得る。その故に、セキュリティ情報アプリケーションによりビジネス・アプリケーションに対してフィードバックされた基準情報に対しては二つの識別子があり、それらは夫々、前記基準情報は前記端末におけるセキュリティ情報アプリケーションにより送信されたこと、および、前記基準情報は前記ユーザにより提供されたことを表すべく使用される。
一例において、本出願におけるセキュリティ情報アプリケーションは、前記第二認証情報を使用して前記基準情報に署名することで、該基準情報は該セキュリティ情報アプリケーションにより送信されたことを表す。本出願において、第二認証情報は、本明細書中で詳細には限定されないが、認証サーバと、端末におけるセキュリティ情報アプリケーション(または、該端末自体)と、の間で事前に合意された第二鍵情報であり得る。前記基準情報の身分識別子もまた、セキュリティ情報アプリケーションにより決定され得る。本出願において、基準情報の身分識別子は、該基準情報の身分鍵情報を構成し、且つ、該身分鍵情報は典型的には、ユーザのアカウント情報に対して関連付けられる。換言すると、ひとつのアカウント情報に対しては一意的に一対の身分鍵情報が対応し、このことは、前記基準情報が前記ユーザに属することも表し得る。当然乍ら、本明細書中にては特定の限定は為されない。
S104:署名済み基準情報、基準情報の身分識別子、および、第一認証情報を、認証サーバに対して送信することで、該認証サーバが、第一認証情報の認証を承認し、且つ、署名済み基準情報に従い第二認証情報の認証を承認した後で、該認証サーバにより基準情報および基準情報の身分識別子を登録させる段階。
セキュリティ情報アプリケーションによる前記フィードバックの受信と同時に、ビジネス・アプリケーションは、セキュリティ情報アプリケーションによりフィードバックされた署名済み基準情報と基準情報の身分識別子とを、認証サーバにより送信された第一認証情報と共に、認証および登録のために認証サーバに対して送信する。
ビジネス・アプリケーションにより送信された前記情報の受信と同時に、認証サーバは、受信した情報に対する認証を実施する。認証が承認されたなら、それは、セキュリティ情報アプリケーションにより送信された基準情報が伝送の間に改竄されていないことを表し、その後、認証サーバは、基準情報、および、それの身分識別子を登録し得る。登録された基準情報、および、それの身分識別子は、その後、ユーザにより後続的に提供されるセキュリティ情報の認証および確認のために使用され得る。
上記の各段階によると、ユーザが、ビジネス・サービスを使用している間に、基準情報を登録することを必要とするとき、ビジネス・アプリケーションは、基準情報を認証サーバに対して登録するための要求を開始すると共に、認証サーバによりフィードバックされた第一認証情報を受信する。その後、ビジネス・アプリケーションは、基準情報獲得要求を生成すると共に、該基準情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信する。セキュリティ情報アプリケーションによる第一認証情報の認証が承認された後、該セキュリティ情報アプリケーションは、それ自体の第二認証情報を使用して基準情報に署名し、基準情報の身分識別子を決定し、且つ、その後に、署名済み基準情報と基準情報の身分識別子とを、ビジネス・アプリケーションに対してフィードバックする。結果として、ビジネス・アプリケーションは、セキュリティ情報アプリケーションからのフィードバックと前記第一認証情報とを認証サーバに対して送信することで、認証の後で、基準情報、および、それの身分識別子を認証サーバに対して登録させる。前記方法からは、認証サーバの識別子としての第一認証情報によれば、セキュリティ情報アプリケーションが基準情報登録者の身分を決定することが可能とされ、認証サーバに対する第一認証情報の返信によれば、該認証サーバは、前記情報が伝送の間に改竄されたか否かを決定し得る一方、認証サーバに対する署名済み基準情報の返信によれば、該認証サーバは、基準情報が端末におけるセキュリティ情報アプリケーションにより提供されたか否かを決定し得ることが理解され得る。斯かる方法によれば効果的に、認証サーバは、伝送の間に改竄された基準情報を正確に確認し得ることが確実とされ得ることで、基準情報登録の安全性が効果的に向上され得る。
前記第一認証情報に関し、該第一認証情報は、認証サーバの識別子であると共に、認証サーバの身分を確認すべく使用される。たとえば、認証サーバ自体の証明書が、第一認証情報として使用され得る。伝送の間におけるセキュリティを考慮すると、認証サーバは、それ自体の鍵情報を使用して、その証明書に対する署名操作を実施し得る。その場合、本出願の実施形態の選択的様式として、認証サーバによりフィードバックされた第一認証情報を受信する前記S102の段階は、認証サーバにより送信されると共に認証サーバ自体の第一暗号鍵を用いて署名された証明書を受信する段階、および、署名済み証明書を第一認証情報として使用する段階を備えて成る。
更に、代表的な用途の幾つかの状況展開においては、認証サーバからビジネス・アプリケーションに対してフィードバックされる第一認証情報中に、チャレンジ・コードが更に含まれる。ビジネス・アプリケーションが認証サーバに対して要求を送信した後、該認証サーバは、ビジネス・アプリケーションに対してフィードバックされる第一認証情報中に担持される一意的なチャレンジ・コードを生成する。ひとつのチャレンジ・コードは、一回のビジネス要求にのみ対応することが考えられ得る。チャレンジ・コードを採用すると、リプレー・アタックを阻止し得る。
上記の内容は、端末におけるビジネス・アプリケーションの角度から記述されている。基準情報を提供するセキュリティ情報アプリケーションに関しては、本出願の実施形態において情報登録方法が更に提供されると共に、図2に示された如く、そのプロセスは以下の各段階を備えて成る:
S201:ビジネス・アプリケーションにより送信された第一認証情報および基準情報獲得要求を受信する段階。
本実施形態における第一認証情報および基準情報獲得要求は、上述されたものと同一であり、本明細書中では繰り返されない。
S202:第一認証情報を認証する段階であって、認証が承認された後、ビジネス・アプリケーションに対し、第二認証情報により署名された基準情報を返信し且つ基準情報の身分識別子を返信することで、署名済み基準情報と基準情報の身分識別子とをビジネス・アプリケーションにより認証サーバに対して送信させることで、認証サーバが、第一認証情報の認証を承認し且つ署名済み基準情報に従い第二認証情報の認証を承認した後で、該認証サーバにより基準情報および基準情報の身分識別子を登録させる段階。
ビジネス・アプリケーションにより送信された第一認証情報および基準情報獲得要求を受信すると同時に、セキュリティ情報アプリケーションは、まず、第一認証情報を認証して、基準情報登録者の身分を決定する。セキュリティ情報アプリケーションが認証サーバの身分を決定した後においてのみ、該セキュリティ情報アプリケーションは、ユーザにより提供された基準情報に署名し、基準情報の身分識別子を決定し、且つ、署名済み基準情報と基準情報の身分識別子とを、ビジネス・アプリケーションに対してフィードバックし得る。その後、ビジネス・アプリケーションは、セキュリティ情報アプリケーションによりフィードバックされた一連の情報を、第一認証情報と共に、認証サーバによる後続的な認証のために該認証サーバに対して送信する。更に、認証が承認されたとき、認証サーバは、基準情報と基準情報の身分識別子とを登録する。此処における内容は、先の方法におけるプロセスと同一であり、本明細書中では繰り返されない。
前記の各段階によると、認証サーバの身分は、該認証サーバにより提供された第一認証情報を以て確認され得ると共に、セキュリティ情報アプリケーションによる第一認証情報の認証によれば、不正操作者がセキュリティ情報アプリケーションから基準情報を獲得することが阻止され得る。セキュリティ情報アプリケーションが、ユーザにより提供された基準情報に署名する様式は、基準情報が該セキュリティ情報アプリケーションにより送信されたことを表すべく使用される一方、基準情報の身分識別子の決定は、該基準情報がユーザにより提供されたことを表すべく使用される。明らかに、セキュリティ情報アプリケーションによりビジネス・アプリケーションに対してフィードバックされた基準情報は、二つの識別子を備えて成る。もし、基準情報が伝送の間に改竄されたなら、基準情報の二つの識別子は、いずれも変更される。斯かる方法は、基準情報が伝送の間に改竄されたか否かを効果的に反映することから、最終的に登録の間において認証サーバの安全性を確実とし得る。
第二認証情報を用いて署名された基準情報、および、該基準情報の身分識別子をビジネス・アプリケーションに対して返信する段階は、ユーザにより入力された基準情報を受信する段階、第二認証情報を用いて基準情報に署名する段階、基準情報に対して該基準情報の身分識別子を決定する段階、および、署名済み基準情報と基準情報の身分識別子とを、ビジネス・アプリケーションに対して返信する段階を備えて成る。
上述された如く、本出願における基準情報の身分識別子は、基準情報の身分鍵情報を備えて成り得ると共に、該身分鍵情報は典型的に、ユーザのアカウント情報に関連付けられる。伝送の間における身分鍵情報の安全性を確実とするために、セキュリティ情報アプリケーションは、本出願の実施形態の選択的様式において、第二認証情報を使用して身分鍵情報(すなわち、基準情報の身分識別子)にも署名し得る。当然乍ら、このことは本出願に対する制限を構成するものでない。
同様に、上述された如く、第一認証情報は、認証サーバの身分を表し得る一方、本出願のひとつの様式において、第一認証情報は認証サーバ自体の証明書を構成する。斯かる場合、第一認証情報の認証は、認証サーバの第一暗号鍵に対応する第一復号鍵を用いて、署名済み証明書を復号して認証する段階を備えて成る。
第二認証情報に関し、本出願の実施形態に係るひとつの方法において、該第二認証情報は、事前に認証サーバにより合意された第二鍵情報を備えて成り、その場合、第二鍵情報は、第二暗号鍵および第二復号鍵を備えて成る。斯かる状況展開において、第二認証情報を用いて基準情報に署名する段階は、事前に認証サーバにより合意された第二暗号鍵を用いて基準情報に署名する段階を備えて成る。
基準情報の身分識別子が、該基準情報の身分鍵情報を備えて成る場合、前記第二認証情報は、身分鍵情報に署名すべく使用され得る。此処における内容は、前記様式の内容と同様であり、本明細書中では繰り返されない。
前記の内容は、端末において動作しているセキュリティ情報アプリケーションの角度からの説明である。認証サーバに関しては、本出願の実施形態において情報登録方法が更に提供されると共に、図3に示された如く、そのプロセスは以下の各段階を備えて成る:
S301:認証サーバにより、ビジネス・アプリケーションにより送信された基準情報を登録するための要求を受信する段階。
S302:基準情報を登録するための要求に従い、第一認証情報を生成し、且つ、該第一認証情報をビジネス・アプリケーションに対してフィードバックする段階。
S303:ビジネス・アプリケーションにより送信された、署名済み基準情報、基準情報の身分識別子、および、第一認証情報を受信する段階であって、署名済み基準情報は、セキュリティ情報アプリケーションにより、第二認証情報を用いて署名されていると共に、ビジネス・アプリケーションに対して送信されているという段階。
S304:第一認証情報を認証し、且つ、署名済み基準情報に従い第二認証情報を認証する段階。
S305:第一認証情報および第二認証情報の認証を承認した後、基準情報と基準情報の身分識別子とを登録する段階。
図1および図2に示された前記方法と同様に、ビジネス・アプリケーションにより送信された基準情報を登録するための要求を受信すると同時に、認証サーバは、基準情報を登録するための要求をビジネス・アプリケーションがセキュリティ情報に対して送信した後、セキュリティ情報アプリケーションは、第一認証情報に従い認証サーバの身分を決定し得ると共に、その後にセキュリティ情報アプリケーションは、第二認証情報を用いて署名された基準情報と基準情報の身分識別子とをビジネス・アプリケーションに対してフィードバックする如く、認証サーバ自体の身分を表し得る第一認証情報をビジネス・アプリケーションに対してフィードバックする。ビジネス・アプリケーションにより返信された署名済み基準情報および第一認証情報を受信すると同時に、認証サーバは、第一認証情報に対する認証を実施し、且つ、署名済み基準情報に従い第二認証情報に対する認証を実施する。もし前記認証が両方ともに承認されたなら、そのことは基準情報が伝送の間に改竄されていないことを表すと共に、その後、認証サーバは、後続的なプロセスにおける認証および確認のために、基準情報およびその身分識別子を登録する。
上述された如く、認証サーバ自体の証明書は、該認証サーバの身分を効果的に立証し得る。他方、セキュリティ情報アプリケーションにより受信された証明書の有効性を確実とするために、認証サーバは典型的に、それ自体の証明書に署名する。するとセキュリティ情報アプリケーションは、前記証明書が伝送の間に改竄されたか否かを確認し得る。故に、前記段階S302に関し、基準情報を登録するための要求に従い、第一認証情報を生成し、且つ、該第一認証情報をビジネス・アプリケーションに対してフィードバックする段階は、基準情報を登録するための要求に従い、認証サーバ自体の証明書を呼び出す段階、認証サーバ自体の第一暗号鍵を用いて、第一認証情報としての前記証明書に対して署名する段階、および、第一認証情報をビジネス・アプリケーションに対してフィードバックする段階を備えて成る。
先の方法における内容と同様に、本出願の実施形態の状況展開において、認証サーバは、第一認証情報中にチャレンジ・コードを更に備えて成り、認証サーバ自体の第一暗号鍵を使用して署名してから、それをビジネス・アプリケーションに対して送信し得る。このことは、本出願に対する制限を構成するものでない。
ビジネス・アプリケーションが署名済み基準情報および第一認証情報を認証サーバに対して送信した後、該認証サーバは、第一認証情報に対する認証を実施し、且つ、署名済み基準情報に従い第二認証情報に対する認証を実施する。
一例において、第一認証情報に対する認証を実施する段階は、第一復号鍵を用いて第一認証情報を復号して認証する段階を備えて成る。認証サーバは、それ自体の第一復号鍵を使用して第一認証情報を復号して認証する。もし復号済み証明書(またはチャレンジ・コード)が変化しているなら、そのことは前記証明書(またはチャレンジ・コード)が伝送の間に改竄された可能性が高いことを表す。故に、認証サーバは、認証が承認されないことを決定する。復号済み証明書(またはチャレンジ・コード)が、認証サーバによる復号の後で変化していなければ、認証は承認される。
第二認証情報に関し、該第二認証情報は、事前に認証サーバおよびセキュリティ情報アプリケーションにより合意された第二鍵情報を備えて成り、これは先の方法における内容と同様であり、その場合、第二鍵情報は第二暗号鍵および第二復号鍵を備えて成る。更に、署名済み基準情報は、第二暗号鍵を用いてセキュリティ情報アプリケーションにより署名されている。斯かる状況展開において、署名済み基準情報に従い第二認証情報を認証する段階は、事前に合意された第二鍵情報に従い、事前にセキュリティ情報アプリケーションにより合意された第二復号鍵を用い、第二認証情報を認証するために、署名済み基準情報を復号する段階を備えて成る。
認証サーバが、合意された第二復号鍵を使用して、署名済み基準情報を復号すると共に、基準情報を獲得するなら、そのことは、基準情報が伝送の間に改竄されなかったと見做され得ると共に、認証が承認される。復号の後で使用不能な情報が獲得されたなら、そのことは、署名済み情報が、事前に合意された第二暗号鍵により署名されたのではないことを表すと共に、前記署名済み情報は改竄された情報である可能性が高い。結果として、認証は承認されない。
認証サーバによる認証が承認された後においてのみ、該認証サーバは、基準情報と基準情報の身分識別子とを登録し得る。
図1乃至図3に示された前記の情報登録方法によれば、認証サーバは、基準情報が伝送の間に改竄されたか否かを効果的に確認し得ることから、ユーザは、ビジネス・サービスを使用している間に不正操作者により影響されないことが確実とされる。
前記の情報登録方法は、端末がビジネス・アプリケーションを介してビジネス・サービスを獲得するという任意の状況展開において適用され得る。更に、前記認証サーバは、サービス・プロバイダのバックエンド・サービス・システムにおいて認証機能を有するサーバであり得る。代表的な応用状況において、支払サービス、転送サービスなどの如き比較的に高いセキュリティ・レベル要件を有するビジネス・サービスを提供し得るサービス・プロバイダは、通常、インターネット・ファイナンス認証アライアンス(Internet Finance Authentication Alliance)(IFAA)と称されるネットワーク式身分認証アーキテクチャを使用して、比較的に高いセキュリティ・レベル要件を備えるビジネス・サービスにより要求される身分認証サポートを実現する。換言すると、IFAA は、前記の登録プロセスを実施する認証サーバを提供する。
斯かる状況展開において、種々の機器製造業者は、IFAA により提供される身分認証アーキテクチャも採用することで、それらにより製造された端末における身分認証により必要とされるインタフェースまたはサービスを提供する。
本出願における前記登録方法を明確に記述するために、一例として、IFAA により提供される身分認証アーキテクチャの下での登録を以て詳細な説明が提供される。
図4は、本実施形態に係る、端末と IFAA 認証サーバとの間における登録の代表的な適用方法を示しており、該端末においてはビジネス・アプリケーションおよびセキュリティ情報アプリケーションが動作する。ビジネス・アプリケーションは、サービス・プロバイダのビジネス・サービス・アクセス・ポートとして、端末のユーザに対する種々のビジネス・サービスを提供し得る一方、セキュリティ情報アプリケーションは、ビジネス・アプリケーションにより要求される(本実施形態においては基準情報である)セキュリティ情報を提供すべく使用される。図4に示されたプロセスは、以下の各段階を備えて成る:
S401:ビジネス・アプリケーションは、基準情報を登録するための要求を IFAA 認証サーバに対して送信する。
ユーザがビジネス・アプリケーションにおいて初めてビジネス・サービスを使用するとき、ユーザの生体情報を基準情報として IFAA 認証サーバ内に登録することが必要である。この時点において、ビジネス・アプリケーションは、基準情報を登録するための要求を IFAA 認証サーバに対して送信する。
S402: IFAA 認証サーバは、チャレンジ・コードと証明書とを備えて成る署名済みデータ・パックを、ビジネス・アプリケーションに対してフィードバックする。
此処で、前記チャレンジ・コードはリプレー・アタックを阻止し得ると共に、前記証明書は、IFAA 認証サーバ自体の身分を表すべく使用される。前記署名済みデータ・パックは、前記登録方法における第一認証情報であると考えられ得る。
これに加え、この段階において、IFAA 認証サーバは IFAA 鍵情報を使用して前記データ・パックに対して署名すると共に、該 IFAA 鍵情報は IFAA 認証サーバ自体により生成されることを銘記すべきである。他方、IFAA 認証サーバ自体の証明書は BIOM(バイオメトリック管理)鍵情報により署名されると共に、該 BIOM 鍵情報は、前記ビジネス・サービスを提供する所定形式のサービス・プロバイダを表すべく使用される。
S403:ビジネス・アプリケーションは、基準情報獲得要求を生成すると共に、該基準情報獲得要求および署名済みデータ・パックを、IFAA サービスを介してセキュリティ情報アプリケーションに対して送信する。
此処で、IFAA サービスは、端末内に配設された IFAA 身分認証アーキテクチャにより提供されるサービスである。代表的な応用状況に対するひとつの方法において、ビジネス・アプリケーションは、本明細書中にて詳細には限定されない IFAA SDK(IFAA 身分認証アーキテクチャに基づく通信ツール)を介して IFAA サービスを呼び出し得る。
S404:セキュリティ情報アプリケーションは、署名済みデータ・パックを認証し、且つ、認証が承認された後、基準情報に署名する。
セキュリティ情報アプリケーションは、先ず、署名済みデータ・パックを復号することが必要であり(たとえば、復号は、本明細書中では詳細に限定されない IFAA 鍵情報を用いて実施され得る)、且つ、復号の後、認証データ・パックにおける証明書(証明書の復号および認証のために BIOM 鍵情報が使用され得る)が使用されて、それが IFAA 登録基準情報であるか否かを認証することを銘記すべきである。
認証が承認された後、セキュリティ情報アプリケーションは、ユーザにより基準情報として入力された生体情報を獲得すると共に、DA(デバイス認証コード)鍵情報を使用して基準情報に署名し、その場合、DA 鍵情報は端末の固有性を表すべく使用される(一例において、DA 鍵情報はセキュリティ情報アプリケーションの固有性を示し得る一方、セキュリティ情報アプリケーションは、機器製造業者により端末内に載置されることから、DA鍵情報は、端末の固有性も示す)。
S405:署名済み基準情報に従い、基準情報の身分鍵情報を決定する段階。
本実施形態において、基準情報の身分鍵情報は典型的に、ビジネス・アプリケーションにおいてユーザにより使用されるアカウント情報に対して関連付けられることで、基準情報が属するユーザを表す。代表的な応用状況において、基準情報の身分鍵情報を生成するために、IFAA サービスは、KeyStore(REE 環境における安全記憶用標準呼出しインタフェース)を介して KeyMaster(安全記憶モジュール)を呼び出し得ると共に、KeyMasterは身分鍵情報を生成する。
伝送の間における身分鍵情報の安全性を確実とするために、セキュリティ情報アプリケーションは、DA 鍵情報を使用して身分鍵情報に署名し得ることを銘記すべきである。
S406:セキュリティ情報アプリケーションは、端末証明書、署名済み基準情報、および、署名済み身分鍵情報を、ビジネス・アプリケーションに対して返信する。
S407:端末証明書、署名済み基準情報、および、署名済み身分鍵情報を、IFAA サービスを介して IFAA 認証サーバに対して送信する段階。
前記端末証明書は、機器製造業者により製造された機器における IFAA 身分認証アーキテクチャに関与している該製造業者により提供された認証コード証明書とも称されることを銘記すべきである。換言すると、端末証明書は、その端末が IFAA 身分認証アーキテクチャを使用するか否かを表し得る。
本実施形態に係る方法において、前記チャレンジ・コードおよび IFAA 認証サーバ自体の証明書もまた、IFAA 認証サーバに対して同時に返信され得る。その故に、IFAA 認証サーバは、チャレンジ・コード、および、該 IFAA 認証サーバ自体の証明書を更に認証し得る。
S408:IFAA 認証サーバは、受信された情報を認証し、且つ、認証が承認された後、基準情報、および、その身分鍵情報を登録する。
IFAA 認証サーバは先ず、端末証明書を認証することを銘記すべきである。たとえば、IFAA 認証サーバは、受信した情報を、IFAA 鍵情報を使用して復号すると共に、端末証明書の有効性を認証し得る。認証が承認された後、IFAA 認証サーバは DA 鍵情報を使用し、身分鍵情報を復号して認証する。両方とも承認されたなら、基準情報は伝送の間に改竄されていないと考えられ得ると共に、IFAA 認証サーバは、基準情報およびその身分鍵情報を登録する。
S409:登録結果をビジネス・アプリケーションに対してフィードバックする段階。
前記実施形態からは、代表的な応用状況において、基準情報が伝送の間に改竄されたか否かを正確に決定するために種々の鍵情報が使用され得ることが理解され得る。
前記内容は、基準情報登録方法を記述している。基準情報が登録された後、ユーザは対応するビジネス・サービスを使用し得る。ユーザがビジネス・サービスを使用しているとき、該ユーザのセキュリティ情報を提供することが必要である。対応して、認証サーバは、ビジネス・サービスを使用している間にユーザにより提供されたセキュリティ情報に従い、認証を実施し得る。故に、本出願の実施形態においては、情報認証方法が更に提供されると共に、図5に示された如く、該方法は以下の各段階を備えて成る:
S501:認証対象情報に対する照合要求を認証サーバに対して送信する段階。
ユーザがビジネス・アプリケーションにおける(たとえば、指紋式支払サービスなどの)ビジネス・サービスを使用しているとき、ユーザは、先行して登録された基準情報との比較のために自分自身のセキュリティ情報(たとえば指紋情報)を提供する必要があることが多い。この時点において、ビジネス・アプリケーションは、ユーザのセキュリティ情報を認証対象情報として獲得すると共に、認証および照合のために次続的に認証サーバに対して送信する。
前記の状況において、ビジネス・アプリケーションは、認証対象情報に対する照合要求を認証サーバに対して送信する。
S502:認証サーバによりフィードバックされた第一認証情報を受信する段階。
前記登録方法と同様に、第一認証情報は認証サーバの身分を表すものであり、本明細書中では繰り返されない。
S503:第一認証情報に従い認証対象情報獲得要求を生成し、認証対象情報獲得要求をセキュリティ情報アプリケーションに対して送信し、且つ、セキュリティ情報アプリケーションにより提供された認証対象情報および該認証対象情報の認証対象身分識別子を獲得する段階。
同様に、セキュリティ情報アプリケーションは、第一認証情報に従い、認証されるべき対象者の身元を決定する。認証されるべき対象者の身元が有効であると決定され且つ認証が承認された後、セキュリティ情報アプリケーションは更に、ユーザにより提供された認証対象情報およびその認証対象身分識別子をビジネス・アプリケーションに対して返信する。
前記の登録方法とは異なり、認証対象情報に署名すべく第二認証情報を使用することは必要でない。
S504:認証対象情報、認証対象身分識別子、および、第一認証情報を認証サーバに対して送信し、該認証サーバにより、第一認証情報、認証対象身分識別子、および、認証対象情報を認証させ、認証結果を生成させ、且つ、認証結果をビジネス・アプリケーションに対してフィードバックさせる段階。
前記内容からは、第一認証情報および認証対象身分識別子により、認証対象情報が伝送の間に改竄されたか否かが確認され得る。前記認証が承認された後、認証サーバは、認証対象情報に対する認証を実施し得る。
本出願の実施形態においては、情報認証方法が更に提供されると共に、図6に示された如く、該方法は以下の各段階を備えて成る:
S601:ビジネス・アプリケーションにより送信されると共に第一認証情報を担持する認証対象情報獲得要求を受信する段階。
S602:第一認証情報を担持する基準情報獲得要求に従い、認証対象情報、および、該認証対象情報の身分識別子を、ビジネス・アプリケーションを介して認証サーバに対して送信することで、該認証サーバにより、第一認証情報、認証対象身分識別子、および、認証対象情報を認証させ、認証結果を生成させ、且つ、認証結果をビジネス・アプリケーションに対してフィードバックさせる段階。
前記段階S602に関し、第一認証情報を担持する基準情報獲得要求に従い、認証対象情報、および、認証対象情報の身分識別子をビジネス・アプリケーションに対して戻し送信する段階は、基準情報獲得要求中に担持された第一認証情報を認証し、認証が承認された後に、ユーザにより入力された認証対象情報を受信する段階、認証対象情報が属する基準情報を識別し、基準情報に一致する身分基準を、認証対象情報の認証対象身分識別子であると決定する段階、および、認証対象情報、および、認証対象情報の認証対象身分識別子をビジネス・アプリケーションに対して返信する段階を備えて成る。
本出願の実施形態においては、情報認証方法が更に提供されると共に、図7に示された如く、該方法は以下の各段階を備えて成る:
S701:ビジネス・アプリケーションにより送信された認証対象情報に対する照合要求を、認証サーバにより受信する段階。
S702:照合要求に従い、第一認証情報を生成し、且つ、第一認証情報をビジネス・アプリケーションに対してフィードバックする段階。
S703:ビジネス・アプリケーションにより送信された、認証対象情報、認証対象情報の身分識別子、および、第一認証情報を受信する段階。
S704:第一認証情報、身分識別子、および、認証対象情報を夫々認証して認証結果を生成し、且つ、認証結果をビジネス・アプリケーションに対してフィードバックする段階。
前記段階S704に関し、認証サーバは、ビジネス・アプリケーションにより送信された各情報を夫々認証することを銘記すべきである。一例において、第一認証情報、身分識別子、および、認証対象情報を認証する段階は夫々、第一認証情報に関しては、認証サーバの第一復号鍵を用いて第一認証情報を復号すると共に、復号済み証明書を認証する段階を備えて成り、身分識別子に関しては、登録済み基準情報の身分識別子に従い、該身分識別子が登録済み基準情報の身分識別子に一致するか否かを決定し、且つ、認証対象情報を認証のために登録済み基準情報と比較する段階を備えて成る。
代表的な応用状況において、認証サーバは、該認証サーバによるいずれかの情報の認証が認証プロセスの間に承認されなければ、失敗の通知をフィードバックすると共に、全ての情報が認証サーバによる認証を通過したときにのみ成功の通知をフィードバックし得る。一例において、認証結果を生成し且つ認証結果をビジネス・アプリケーションに対してフィードバックする段階は、第一認証情報に関しては、認証が承認されたなら、認証対象情報および認証対象身分識別子を認証し、その他の場合には認証失敗の通知を返信する段階を備えて成り、身分識別子に関しては、認証が承認されたなら、認証対象情報を認証し、その他の場合には、認証失敗の通知を返信する段階を備えて成り、且つ、認証対象情報に関しては、認証が承認されたなら、成功の通知を返信し、その他の場合には、認証失敗の通知を返信する段階を備えて成る。
前記登録プロセスに対応して、本出願における前記認証方法を明確に記述するために、一例として、IFAA により提供される身分認証アーキテクチャの下での認証を以て詳細な説明が提供される。
図8は、本実施形態における端末と IFAA 認証サーバとの間の代表的な適用方法を示している。示されたプロセスは、以下の各段階を備えて成る:
S801:ビジネス・アプリケーションは、IFAA 認証サーバに対して認証対象情報照合要求を送信する。
S802:IFAA 認証サーバは、チャレンジ・コードと証明書とを備えて成る署名済みデータ・パックをビジネス・アプリケーションに対してフィードバックする。
S803:ビジネス・アプリケーションは、認証対象情報獲得要求を生成し、且つ、認証対象情報獲得要求および署名済みデータ・パックを、IFAA サービスを介してセキュリティ情報アプリケーションに対して送信する。
S804:セキュリティ情報アプリケーションは、署名済みデータ・パックを認証し、認証が承認された後、前記登録プロセスにおいて認証対象情報により使用された身分鍵情報に署名する。
S805:セキュリティ情報アプリケーションは、署名済み認証対象情報をビジネス・アプリケーションに対して返信する。
S806:署名済み認証対象情報を、IFAA サービスを介して IFAA 認証サーバに対して送信する段階。
S807:受信した署名済み認証対象情報に関し、IFAA 認証サーバは、登録された身分鍵情報を使用して、署名済み認証対象情報を認証し、認証が承認された後、認証のために、認証対象情報を登録済み基準情報と比較する。
S808:認証結果をビジネス・アプリケーションに対して返信する段階。
前記情報伝送方法は、本出願の種々の実施形態により上述された。更に、本出願の実施形態は、情報登録デバイスを更に提供する。図9に示された如く、前記デバイスは:基準情報を登録するための要求を認証サーバに対して送信すべく構成された登録要求モジュール 901 と;認証サーバによりフィードバックされた第一認証情報を受信すべく構成された受信モジュール 902 と;基準情報獲得要求を生成し、該基準情報獲得要求および第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、セキュリティ情報アプリケーションが第一認証情報の認証を承認した後にセキュリティ情報アプリケーションにより返信された署名済み基準情報と基準情報の身分識別子とを獲得すべく構成された獲得モジュールであって、署名済み基準情報は第二認証情報を使用してセキュリティ情報アプリケーションにより署名されているという獲得モジュール 903 と;署名済み基準情報、基準情報の身分識別子、および、第一認証情報を認証サーバに対して送信し、認証サーバが、第一認証情報の認証を承認し且つ署名済み基準情報に従い第二認証情報の認証を承認した後で、認証サーバにより、基準情報と基準情報の身分識別子とを登録させるべく構成された送信モジュール 904 と;を備えて成る。
受信モジュール 902 は、認証サーバにより送信され且つ該認証サーバ自体の第一暗号鍵を用いて署名された証明書を受信し、且つ、署名済み証明書を第一認証情報として使用すべく構成される。
図10に示された如く、本出願の実施形態は、情報登録デバイスを更に提供すると共に、該デバイスは:ビジネス・アプリケーションにより送信された第一認証情報および基準情報獲得要求を受信すべく構成された受信モジュール 1001 と;前記第一認証情報を認証し、認証が承認された後に、ビジネス・アプリケーションに対し、第二認証情報を用いて署名された基準情報を返信し且つ基準情報の身分識別子を返信することで、ビジネス・アプリケーションにより署名済み基準情報および基準情報の身分識別子を認証サーバに対して送信させ、且つ、認証サーバにより、該認証サーバが、第一認証情報の認証を承認し且つ署名済み基準情報に従い第二認証情報の認証を承認した後、基準情報と基準情報の身分識別子とを登録させるべく構成された署名モジュール 1002 と;を備えて成る。
署名モジュール 1002 は、ユーザにより入力された基準情報を受信し、第二認証情報を使用して基準情報に署名し、基準情報に対して該基準情報の身分識別子を決定し、且つ、署名済み基準情報、および、基準情報の身分識別子をビジネス・アプリケーションに対して返信すべく構成される。
基準情報の身分識別子は、基準情報の身分鍵情報を備えて成り、該身分鍵情報はユーザのアカウント情報に関連付けられていることを銘記すべきである。
第一認証情報が認証サーバの署名済み証明書を備えて成るという状況展開において、署名モジュール 1002 は、認証サーバの第一暗号鍵に対応する第一復号鍵を使用して、署名済み証明書を復号して認証すべく構成される。
第二認証情報は、事前に認証サーバにより合意された第二鍵情報を備えて成り、該第二鍵情報は、第二暗号鍵および第二復号鍵を備えて成る。署名モジュール 1002 は、事前に認証サーバにより合意された第二暗号鍵を使用して基準情報に署名すべく構成される。
図11に示された如く、本出願の実施形態は情報登録デバイスを更に提供し、該デバイスは:ビジネス・アプリケーションにより送信された、基準情報を登録するための要求を受信すべく構成された登録要求受信モジュール 1101 と;基準情報を登録するための要求に従い、第一認証情報を生成し、且つ、それをビジネス・アプリケーションに対してフィードバックすべく構成されたフィードバック・モジュール 1102 と;ビジネス・アプリケーションにより送信された、署名済み基準情報、基準情報の身分識別子、および、第一認証情報を受信する登録情報受信モジュールであって、署名済み基準情報は、第二認証情報を使用することにより署名されており、且つ、セキュリティ情報アプリケーションによりビジネス・アプリケーションに対して送信されているという登録情報受信モジュール 1103 と;第一認証情報を認証し、且つ、署名済み基準情報に従い第二認証情報を認証すべく構成された認証モジュール 1104 と;第一認証情報および第二認証情報の認証が両方ともに承認された後で、基準情報と基準情報の身分識別子とを登録すべく構成された登録モジュール 1105 と;を備えて成る。
一例において、フィードバック・モジュール 1102 は、基準情報を登録するための要求に従い、認証サーバ自体の証明書を呼び出し、認証サーバ自体の第一暗号鍵を用いて、第一認証情報として証明書に署名し、且つ、それをビジネス・アプリケーションに対してフィードバックすべく構成される。
認証モジュール 1104 は、第一復号鍵を用いて、第一認証情報を復号および認証すべく構成される。
第二認証情報は、事前に認証サーバおよびセキュリティ情報アプリケーションにより合意された第二鍵情報を備えて成り、その場合、第二鍵情報は第二暗号鍵および第二復号鍵を備えて成り、署名済み基準情報は、第二暗号鍵を用いてセキュリティ情報アプリケーションにより署名されている。斯かる状況展開において、認証モジュール 1104 は、事前に合意された第二鍵情報に従い、事前にセキュリティ情報アプリケーションにより合意された第二復号鍵を使用して、第二認証情報を認証すべく署名済み基準情報を復号すべく構成される。
図12に示された如く、本出願の実施形態は、情報認証デバイスを更に提供し、該デバイスは:認証対象情報に対する照合要求を認証サーバに送信すべく構成された認証要求モジュール 1201 と;認証サーバによりフィードバックされた第一認証情報を受信すべく構成された受信モジュール 1202 と;認証対象情報獲得要求を生成し、認証対象情報獲得要求および第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、セキュリティ情報アプリケーションが第一認証情報の認証を承認した後で該セキュリティ情報アプリケーションにより返信された認証対象情報、および、認証対象情報の認証対象身分識別子を獲得すべく構成された獲得モジュール 1203 と;認証対象情報、認証対象身分識別子、および、第一認証情報を認証サーバに対して送信することで、該認証サーバにより、第一認証情報、認証対象身分識別子および認証対象情報を認証させ、認証結果を生成させ、且つ、認証結果をビジネス・アプリケーションに対してフィードバックさせるべく構成された送信モジュール 1204 と;を備えて成る。
図13に示された如く、本出願の実施形態は情報認証デバイスを更に提供し、該デバイスは:ビジネス・アプリケーションにより送信されると共に第一認証情報を担持する認証対象情報獲得要求を受信すべく構成された受信モジュール 1301 と;第一認証情報を認証し、認証が承認された後、認証対象情報および認証対象情報の身分識別子を、ビジネス・アプリケーションを介して認証サーバに対して送信することで、該認証サーバにより、第一認証情報、認証対象身分識別子、および、認証対象情報を認証させ、認証結果を生成させ、且つ、認証結果をビジネス・アプリケーションに対してフィードバックさせるべく構成された署名モジュール 1302 と;を備えて成る。
一例において、署名モジュール 1302 は、基準情報獲得要求内に担持された第一認証情報を認証し、認証が承認された後、認証対象情報が属する基準情報を確認し、基準情報に一致する身分基準を、認証対象情報の認証対象身分識別子であると決定し、且つ、認証対象情報と認証対象情報の認証対象身分識別子とをビジネス・アプリケーションに対して返信すべく構成される。
図14に示された如く、本開示内容の実施形態は、情報認証デバイスを更に提供し、該デバイスは:ビジネス・アプリケーションにより送信された認証対象情報に対する照合要求を受信すべく構成された認証要求受信モジュール 1401 と;照合要求に従い、第一認証情報を生成すると共に、それをビジネス・アプリケーションに対してフィードバックすべく構成されたフィードバック・モジュール 1402 と;ビジネス・アプリケーションにより送信された、認証対象情報、認証対象情報の認証対象身分識別子、および、第一認証情報を受信すべく構成された認証情報受信モジュール 1403 と;第一認証情報、認証対象身分識別子、および、認証対象情報を夫々認証し、認証結果を生成し、且つ、それをビジネス・アプリケーションに対してフィードバックすべく構成された認証モジュール 1404 と;を備えて成る。
認証モジュール 1404 は、第一認証情報に関しては、情報認証デバイスの第一復号鍵を用いて第一認証情報を復号すると共に、復号済み証明書を認証し、認証対象身分識別子に関しては、登録済み基準情報の身分識別子に従い、認証対象身分識別子が登録済み基準情報の身分識別子と一致するか否かを決定し、且つ、認証対象情報を認証のために登録済み基準情報と比較すべく構成される。
認証モジュール 1404 は、第一認証情報に関しては、認証が承認されたなら、認証対象情報および認証対象身分識別子を認証し、その他の場合には認証失敗の通知を返信し、身分識別子に関しては、認証が承認されたなら、認証対象情報を認証し、その他の場合には認証失敗の通知を返信し、且つ、認証対象情報に関しては、認証が承認されたなら、成功の通知を返信し、その他の場合には認証失敗の通知を返信すべく構成される。
典型的な構成において、コンピュータ処理デバイスは、ひとつ以上の中央処理ユニット(CPU)、入力/出力インタフェース、ネットワーク・インタフェース、および、記憶装置を含んでいる。
前記記憶装置としては、揮発性メモリ、ランダム・アクセス・メモリ(RAM)、および/または、たとえば読出専用メモリ(ROM)もしくはフラッシュ RAM などの不揮発性メモリの如き、コンピュータ可読媒体が挙げられる。前記記憶装置は、コンピュータ可読媒体の一例である。
コンピュータ可読媒体としては、任意の方法または技術により情報記憶を実施し得る持続性、揮発性、および、固定的な媒体が挙げられる。前記情報は、コンピュータ可読命令、データ構造、プログラム・モジュール、または、他のデータであり得る。コンピュータの記憶媒体の例としては、限定的なものとしてではなく、相変化 RAM(PRAM)、スタティック RAM(SRAM)、ダイナミック RAM(DRAM)、他の形式のランダム・アクセス・メモリ(RAM)、読出専用メモリ(ROM)、電気消去可能プログラマブル読出専用メモリ(EEPROM)、フラッシュ・メモリもしくは他のメモリ技術、コンパクト・ディスク読出専用メモリ(CD-ROM)、デジタル多用途ディスク(DVD)もしくは他の光学メモリ、カセット、カセットおよびディスクメモリ、もしくは、他の磁気メモリ・デバイス、または、コンピュータ処理デバイスに対して利用可能な情報を記憶すべく使用され得る他の任意の非伝送媒体が挙げられる。本明細書中における定義に依れば、前記コンピュータ可読媒体は、変調されたデータ信号および搬送波の如き一時的媒体を包含しない。
“含む(包含する)”、“備える(備えて成る、具備する)”、または、それらの他の一切の変化形は、一連の要素を備えて成るプロセス、方法、商品、または、デバイスが、これらの要素を備えて成るだけでなく、詳細に列挙されない他の要素も備えて成り、または、該プロセス、方法、商品またはデバイスに対して本来的である要素を更に備えて成る如く、非排他的包含物を包括することを意図していることを銘記すべきである。更なる限定が無い場合、“ひとつの…を備えて成る”という説明により定義された要素は、前記要素を備えて成るプロセス、方法、商品またはデバイスが付加的な同一要素を更に備えて成ることを排除しない。
当業者であれば、本出願の各実施形態は、方法、システム、または、コンピュータ・プログラム製品として提供され得ることを理解すべきである。故に、本出願は、完全なハードウェア実施形態、完全なソフトウェア実施形態、または、ソフトウェアおよびハードウェアを組み合わせた実施形態として実現され得る。更に、本出願は、コンピュータ使用可能なプログラム・コードを自身内に含む(限定的なものとしてではなく、磁気ディスクメモリ、CD-ROM、光学メモリなどの)一種類以上のコンピュータ使用可能な記憶媒体上に実現されたコンピュータ・プログラム製品の形態であり得る。
前記においては本出願の実施形態のみが記述されたが、本出願を限定すべく使用されてはいない。当業者によれば、本出願は種々の改変および変更を行い得る。本出願の精神および原理の範囲内で為される一切の改変、等価的置換、または、改良は、本出願の各請求項により包含されるものとする。
本発明の実施態様の一部を以下の〔態様1〕−〔態様34〕に記載する。
〔態様1〕
情報登録方法であって、
基準情報を登録するための要求を認証サーバに対して送信する段階と、
前記認証サーバによりフィードバックされた第一認証情報を受信する段階と、
基準情報獲得要求を生成し、該基準情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、前記セキュリティ情報アプリケーションが前記第一認証情報の認証を承認した後、前記セキュリティ情報アプリケーションにより返信された署名済み基準情報と前記基準情報の身分識別子とを獲得する段階であって、前記署名済み基準情報は前記セキュリティ情報アプリケーションにより第二認証情報を用いて署名されている、という段階と、
前記署名済み基準情報、前記基準情報の前記身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、該認証サーバが、前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後に、前記基準情報と前記基準情報の前記身分識別子とを登録させる段階と、
を備えて成る情報登録方法。
〔態様2〕
前記認証サーバによりフィードバックされた第一認証情報を受信する前記段階は、
前記認証サーバにより送信されると共に、該認証サーバ自体の第一暗号鍵を用いて署名された証明書を受信し、且つ、前記署名済み証明書を前記第一認証情報として用いる段階、
を備えて成る、態様1に記載の方法。
〔態様3〕
情報登録方法であって、
ビジネス・アプリケーションにより送信された第一認証情報および基準情報獲得要求を受信する段階と、
前記第一認証情報を認証し、且つ、認証が承認された後、前記ビジネス・アプリケーションに対し、第二認証情報を用いて署名された基準情報を返信し且つ前記基準情報の身分識別子を返信することで、前記ビジネス・アプリケーションにより、前記署名済み基準情報と前記基準情報の前記身分識別子とを認証サーバに対して送信させ、且つ、前記認証サーバにより、該認証サーバが前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後、前記基準情報と前記基準情報の前記身分識別子とを登録させる段階と、
を備えて成る情報登録方法。
〔態様4〕
第二認証情報を用いて署名された基準情報と前記基準情報の身分識別子とを前記ビジネス・アプリケーションに対して返信する前記段階は、
ユーザにより入力された基準情報を受信する段階と、
前記第二認証情報を用いて前記基準情報に署名し、且つ、前記基準情報に対して該基準情報の身分識別子を決定する段階と、
前記署名済み基準情報と前記基準情報の前記身分識別子とを前記ビジネス・アプリケーションに対して返信する段階と、
を備えて成る、態様3に記載の方法。
〔態様5〕
前記基準情報の前記身分識別子は前記基準情報の身分鍵情報を備えて成り、且つ、前記身分鍵情報は前記ユーザのアカウント情報に対して関連付けられる、態様4に記載の方法。
〔態様6〕
前記第一認証情報は前記認証サーバの署名済み証明書を備えて成り、且つ、
前記第一認証情報を認証する前記段階は、前記認証サーバの第一暗号鍵に対応する第一復号鍵を用いて、前記署名済み証明書を復号して認証する段階、を備えて成る、
態様3に記載の方法。
〔態様7〕
前記第二認証情報は、事前に前記認証サーバにより合意された第二鍵情報であり、前記第二鍵情報は第二暗号鍵および第二復号鍵を備えて成り、且つ、
前記第二認証情報を用いて前記基準情報に署名する前記段階は、事前に前記認証サーバにより合意された前記第二暗号鍵を用いて前記基準情報に署名する段階、を備えて成る、
態様4に記載の方法。
〔態様8〕
情報登録方法であって、
認証サーバにより、ビジネス・アプリケーションにより送信された基準情報を登録するための要求を受信する段階と、
基準情報を登録するための前記要求に従い、第一認証情報を生成し、且つ、該第一認証情報を前記ビジネス・アプリケーションに対してフィードバックする段階と、
前記ビジネス・アプリケーションにより送信された、署名済み基準情報、前記基準情報の身分識別子、および、前記第一認証情報を受信する段階であって、前記署名済み基準情報は、セキュリティ情報アプリケーションにより前記第二認証情報を用いることにより署名されており且つ前記ビジネス・アプリケーションに対して送信されているという段階と、
前記第一認証情報を認証し、且つ、前記署名済み基準情報に従い前記第二認証情報を認証する段階と、
前記第一認証情報および前記第二認証情報の認証を承認した後、前記基準情報と前記基準情報の前記身分識別子とを登録する段階と、
を備えて成る情報登録方法。
〔態様9〕
基準情報を登録するための前記要求に従い第一認証情報を生成し、且つ、前記第一認証情報を前記ビジネス・アプリケーションに対してフィードバックする前記段階は、
基準情報を登録するための前記要求に従い、前記認証サーバ自体の証明書を呼び出す段階と、
前記認証サーバ自体の第一暗号鍵を用い、前記第一認証情報として前記証明書に署名し、且つ、前記第一認証情報を前記ビジネス・アプリケーションに対してフィードバックする段階と、
を備えて成る、態様8に記載の方法。
〔態様10〕
前記第一認証情報を認証する前記段階は、
第一復号鍵を用いて前記第一認証情報を復号して認証する段階、
を備えて成る、態様8に記載の方法。
〔態様11〕
前記第二認証情報は、事前に前記認証サーバおよび前記セキュリティ情報アプリケーションにより合意された第二鍵情報を備えて成り、前記第二鍵情報は第二暗号鍵および第二復号鍵を備えて成り、前記署名済み基準情報は前記第二暗号鍵を用い前記セキュリティ情報アプリケーションにより署名されており、且つ、
前記署名済み基準情報に従い前記第二認証情報を認証する前記段階は、事前に合意された前記第二鍵情報に従い、事前に前記セキュリティ情報アプリケーションにより合意された前記第二復号鍵を用いて、前記第二認証情報を認証するために前記署名済み基準情報を復号する段階、を備えて成る、
態様8に記載の方法。
〔態様12〕
情報認証方法であって、
認証対象情報に対する照合要求を認証サーバに対して送信する段階と、
前記認証サーバによりフィードバックされた第一認証情報を受信する段階と、
認証対象情報獲得要求を生成し、該認証対象情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、前記セキュリティ情報アプリケーションが前記第一認証情報の認証を承認した後、前記セキュリティ情報アプリケーションにより返信された認証対象情報と該認証対象情報の認証対象身分識別子とを獲得する段階と、
前記認証対象情報、前記認証対象身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を認証させ、認証結果を生成させ、且つ、前記認証結果を前記ビジネス・アプリケーションに対してフィードバックさせる段階と、
を備えて成る情報認証方法。
〔態様13〕
情報認証方法であって、
ビジネス・アプリケーションにより送信され且つ第一認証情報を担持する認証対象情報獲得要求を受信する段階と、
前記第一認証情報を認証し、且つ、認証が承認された後、前記認証対象情報と該認証対象情報の身分識別子とを前記ビジネス・アプリケーションを介して認証サーバに対して送信することで、該認証サーバにより、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を認証させ、認証結果を生成させ、且つ、該認証結果を前記ビジネス・アプリケーションに対してフィードバックさせる段階と、
を備えて成る情報認証方法。
〔態様14〕
前記第一認証情報を担持する基準情報獲得要求に従い、前記認証対象情報と該認証対象情報の身分識別子とを前記ビジネス・アプリケーションに対して返信する前記段階は、
前記基準情報獲得要求中に担持された前記第一認証情報を認証する段階と、
前記認証が承認された後、ユーザにより入力された認証対象情報を受信する段階と、
前記認証対象情報が属する基準情報を識別し、且つ、前記基準情報に一致する身分基準を、前記認証対象情報の認証対象身分識別子として決定する段階と、
前記認証対象情報と該認証対象情報の前記認証対象身分識別子とを、前記ビジネス・アプリケーションに対して返信する段階と、
を備えて成る、態様13に記載の方法。
〔態様15〕
情報認証方法であって、
認証サーバにより、ビジネス・アプリケーションにより送信された認証対象情報に対する照合要求を受信する段階と、
前記照合要求に従い、第一認証情報を生成し、且つ、該第一認証情報を前記ビジネス・アプリケーションに対してフィードバックする段階と、
前記ビジネス・アプリケーションにより送信された、前記認証対象情報、前記認証対象情報の認証対象身分識別子、および、前記第一認証情報を受信する段階と、
前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を夫々認証して、認証結果を生成し、且つ、該認証結果を前記ビジネス・アプリケーションに対してフィードバックする段階と、
を備えて成る情報認証方法。
〔態様16〕
前記第一認証情報、前記身分識別子、および、前記認証対象情報を夫々認証する前記段階は、
前記第一認証情報に関しては、前記認証サーバの第一復号鍵を用いて前記第一認証情報を復号し、且つ、復号済み証明書を認証する段階と、
前記認証対象身分識別子に関しては、登録済み基準情報に従い、前記認証対象身分識別子が登録済み基準情報の身分識別子と一致するか否かを決定する段階と、
認証のために、前記認証対象情報を前記登録済み基準情報と比較する段階と、
を備えて成る、態様15に記載の方法。
〔態様17〕
認証結果を生成し、且つ、該認証結果を前記ビジネス・アプリケーションに対してフィードバックする前記段階は、
前記第一認証情報に関しては、認証が承認されたなら、前記認証対象情報および前記認証対象身分識別子を認証し、その他の場合には認証失敗の通知を返信する段階と、
前記身分識別子に関しては、認証が承認されたなら、前記認証対象情報を認証し、その他の場合には、認証失敗の通知を返信する段階と、
前記認証対象情報に関しては、認証が承認されたなら、成功の通知を返信し、その他の場合には、認証失敗の通知を返信する段階と、
を備えて成る、態様16に記載の方法。
〔態様18〕
情報登録デバイスであって、
基準情報を登録するための要求を認証サーバに対して送信すべく構成された登録要求モジュールと、
前記認証サーバによりフィードバックされた第一認証情報を受信すべく構成された受信モジュールと、
基準情報獲得要求を生成し、該基準情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、前記セキュリティ情報アプリケーションが前記第一認証情報の認証を承認した後、前記セキュリティ情報アプリケーションにより返信された署名済み基準情報と前記基準情報の身分識別子とを獲得すべく構成された獲得モジュールであって、前記署名済み基準情報は前記セキュリティ情報アプリケーションにより第二認証情報を用いて署名されている、という獲得モジュールと、
前記署名済み基準情報、前記基準情報の前記身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、該認証サーバが、前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後に、前記基準情報と前記基準情報の前記身分識別子とを登録させるべく構成された送信モジュールと、
を備えて成る情報登録デバイス。
〔態様19〕
前記受信モジュールは、前記認証サーバにより送信されると共に、該認証サーバ自体の第一暗号鍵を用いて署名された証明書を受信し、且つ、前記署名済み証明書を前記第一認証情報として用いるべく構成される、態様18に記載のデバイス。
〔態様20〕
情報登録デバイスであって、
ビジネス・アプリケーションにより送信された第一認証情報および基準情報獲得要求を受信すべく構成された受信モジュールと、
前記第一認証情報を認証し、且つ、認証が承認された後、前記ビジネス・アプリケーションに対し、第二認証情報を用いて署名された基準情報を返信し且つ前記基準情報の身分識別子を返信することで、前記ビジネス・アプリケーションにより、前記署名済み基準情報と前記基準情報の前記身分識別子とを認証サーバに対して送信させ、且つ、前記認証サーバにより、該認証サーバが前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後、前記基準情報と前記基準情報の前記身分識別子とを登録させるべく構成された署名モジュールと、
を備えて成る情報登録デバイス。
〔態様21〕
前記署名モジュールは、ユーザにより入力された基準情報を受信し、前記第二認証情報を用いて前記基準情報に署名し、前記基準情報に対して該基準情報の身分識別子を決定し、且つ、前記署名済み基準情報と前記基準情報の前記身分識別子とを前記ビジネス・アプリケーションに対して返信すべく構成される、態様20に記載のデバイス。
〔態様22〕
前記基準情報の前記身分識別子は前記基準情報の身分鍵情報を備えて成り、且つ、前記身分鍵情報は前記ユーザのアカウント情報に対して関連付けられる、態様21に記載のデバイス。
〔態様23〕
前記第一認証情報は前記認証サーバの署名済み証明書を備えて成り、且つ、前記署名モジュールは、前記認証サーバの第一暗号鍵に対応する第一復号鍵を用いて、前記署名済み証明書を復号して認証すべく構成される、態様20に記載のデバイス。
〔態様24〕
前記第二認証情報は、事前に前記認証サーバにより合意された第二鍵情報であり、前記第二鍵情報は第二暗号鍵および第二復号鍵を備えて成り、且つ、
前記署名モジュールは、事前に前記認証サーバにより合意された前記第二暗号鍵を用いて前記基準情報に署名すべく構成される、
態様21に記載のデバイス。
〔態様25〕
情報登録デバイスであって、
ビジネス・アプリケーションにより送信された基準情報を登録するための要求を受信すべく構成された登録要求受信モジュールと、
基準情報を登録するための前記要求に従い、第一認証情報を生成し、且つ、それを前記ビジネス・アプリケーションに対してフィードバックすべく構成されたフィードバック・モジュールと、
前記ビジネス・アプリケーションにより送信された、署名済み基準情報、前記基準情報の身分識別子、および、前記第一認証情報を受信する登録情報受信モジュールであって、前記署名済み基準情報は、セキュリティ情報アプリケーションにより前記第二認証情報を用いることにより署名されており且つ前記ビジネス・アプリケーションに対して送信されているという登録情報受信モジュールと、
前記第一認証情報を認証し、且つ、前記署名済み基準情報に従い前記第二認証情報を認証すべく構成された認証モジュールと、
前記第一認証情報および前記第二認証情報の認証を通した後、前記基準情報と前記基準情報の前記身分識別子とを登録すべく構成された登録モジュールと、
を備えて成る情報登録デバイス。
〔態様26〕
前記フィードバック・モジュールは、基準情報を登録するための前記要求に従い、前記認証サーバ自体の証明書を呼び出し、前記認証サーバ自体の第一暗号鍵を用い、前記第一認証情報として前記証明書に署名し、且つ、それを前記ビジネス・アプリケーションに対してフィードバックすべく構成される、態様25に記載のデバイス。
〔態様27〕
前記認証モジュールは、第一復号鍵を用いて前記第一認証情報を復号して認証すべく構成される、態様25に記載のデバイス。
〔態様28〕
前記第二認証情報は、事前に前記認証サーバおよび前記セキュリティ情報アプリケーションにより合意された第二鍵情報を備えて成り、前記第二鍵情報は第二暗号鍵および第二復号鍵を備えて成り、前記署名済み基準情報は前記第二暗号鍵を用い前記セキュリティ情報アプリケーションにより署名されており、且つ、
前記認証モジュールは、事前に合意された前記第二鍵情報に従い、事前に前記セキュリティ情報アプリケーションにより合意された前記第二復号鍵を用いて、前記第二認証情報を認証するために前記署名済み基準情報を復号すべく構成される、
態様25記載のデバイス。
〔態様29〕
情報認証デバイスであって、
認証対象情報に対する照合要求を認証サーバに対して送信すべく構成された登録要求モジュールと、
前記認証サーバによりフィードバックされた第一認証情報を受信すべく構成された受信モジュールと、
認証対象情報獲得要求を生成し、該認証対象情報獲得要求および前記第一認証情報をセキュリティ情報アプリケーションに対して送信し、且つ、前記セキュリティ情報アプリケーションが前記第一認証情報の認証を承認した後、前記セキュリティ情報アプリケーションにより返信された認証対象情報と該認証対象情報の認証対象身分識別子とを獲得すべく構成された獲得モジュールと、
前記認証対象情報、前記認証対象身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を認証させ、認証結果を生成させ、且つ、前記認証結果を前記ビジネス・アプリケーションに対してフィードバックさせるべく構成された送信モジュールと、
を備えて成る情報認証デバイス。
〔態様30〕
情報認証デバイスであって、
ビジネス・アプリケーションにより送信され且つ第一認証情報を担持する認証対象情報獲得要求を受信すべく構成された受信モジュールと、
前記第一認証情報を認証し、且つ、認証が承認された後、前記認証対象情報と該認証対象情報の身分識別子とを前記ビジネス・アプリケーションを介して認証サーバに対して送信することで、該認証サーバにより、前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を認証させ、認証結果を生成させ、且つ、該認証結果を前記ビジネス・アプリケーションに対してフィードバックさせるべく構成された署名モジュールと、
を備えて成る情報認証デバイス。
〔態様31〕
前記署名モジュールは、前記基準情報獲得要求中に担持された前記第一認証情報を認証し、前記認証が承認された後、前記認証対象情報が属する基準情報を識別し、前記基準情報に一致する身分基準を、前記認証対象情報の認証対象身分識別子として決定し、且つ、前記認証対象情報と該認証対象情報の前記認証対象身分識別子とを、前記ビジネス・アプリケーションに対して返信すべく構成される、態様30に記載のデバイス。
〔態様32〕
情報認証デバイスであって、
ビジネス・アプリケーションにより送信された認証対象情報に対する照合要求を受信すべく構成された認証要求受信モジュールと、
前記照合要求に従い、第一認証情報を生成し、且つ、それを前記ビジネス・アプリケーションに対してフィードバックすべく構成されたフィードバック・モジュールと、
前記ビジネス・アプリケーションにより送信された、前記認証対象情報、前記認証対象情報の認証対象身分識別子、および、前記第一認証情報を受信すべく構成された認証情報受信モジュールと、
前記第一認証情報、前記認証対象身分識別子、および、前記認証対象情報を夫々認証して、認証結果を生成し、且つ、それを前記ビジネス・アプリケーションに対してフィードバックすべく構成された認証モジュールと、
を備えて成る情報認証デバイス。
〔態様33〕
前記認証モジュールは、前記第一認証情報に関しては、当該情報認証デバイスの第一復号鍵を用いて前記第一認証情報を復号し、且つ、復号済み証明書を認証し、前記認証対象身分識別子に関しては、登録済み基準情報に従い、前記認証対象身分識別子が登録済み基準情報の身分識別子と一致するか否かを決定し、且つ、認証のために、前記認証対象情報を前記登録済み基準情報と比較すべく構成される、態様32に記載のデバイス。
〔態様34〕
前記認証モジュールは、前記第一認証情報に関しては、認証が承認されたなら、前記認証対象情報および前記認証対象身分識別子を認証し、その他の場合には認証失敗の通知を返信し、前記身分識別子に関しては、認証が承認されたなら、前記認証対象情報を認証し、その他の場合には、認証失敗の通知を返信し、且つ、前記認証対象情報に関しては、認証が承認されたなら、成功の通知を返信し、その他の場合には、認証失敗の通知を返信すべく構成される、態様33に記載のデバイス。

Claims (22)

  1. 各段階が、少なくともプロセッサとメモリとを有するコンピュータによって実行され、該メモリに記憶された各アプリケーションが、該コンピュータを手段として機能させる、情報登録方法であって、
    基準情報を登録するための要求を認証サーバに対して送信する段階と、
    前記認証サーバによりフィードバックされた第一認証情報を受信する段階と、
    基準情報獲得要求を生成し、該基準情報獲得要求および前記第一認証情報をセキュリティ情報手段に対して送信し、且つ、前記セキュリティ情報手段が前記第一認証情報の認証を承認した後、前記セキュリティ情報手段により返信された署名済み基準情報と前記基準情報の身分識別子とを獲得する段階であって、前記署名済み基準情報は前記セキュリティ情報手段により第二認証情報を用いて署名されている、という段階と、
    前記署名済み基準情報、前記基準情報の前記身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、該認証サーバが、前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後に、前記基準情報と前記基準情報の前記身分識別子とを登録させる段階と、
    を備えて成る情報登録方法。
  2. 前記認証サーバによりフィードバックされた第一認証情報を受信する前記段階は、
    前記認証サーバにより送信されると共に、該認証サーバ自体の第一暗号鍵を用いて署名された証明書を受信し、且つ、前記署名済み証明書を前記第一認証情報として用いる段階、
    を備えて成る、請求項1に記載の方法。
  3. 各段階が、少なくともプロセッサとメモリとを有するコンピュータによって実行され、該メモリに記憶された各アプリケーションが、該コンピュータを手段として機能させる、情報登録方法であって、
    ビジネス手段により送信された第一認証情報および基準情報獲得要求を受信する段階と、
    前記第一認証情報を認証し、且つ、認証が承認された後、前記ビジネス手段に対し、第二認証情報を用いて署名された基準情報を返信し且つ前記基準情報の身分識別子を返信することで、前記ビジネス手段により、前記署名済み基準情報と前記基準情報の前記身分識別子とを認証サーバに対して送信させ、且つ、前記認証サーバにより、該認証サーバが前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後、前記基準情報と前記基準情報の前記身分識別子とを登録させる段階と、
    を備えて成る情報登録方法。
  4. 第二認証情報を用いて署名された基準情報と前記基準情報の身分識別子とを前記ビジネス手段に対して返信する前記段階は、
    ユーザにより入力された基準情報を受信する段階と、
    前記第二認証情報を用いて前記基準情報に署名し、且つ、前記基準情報に対して該基準情報の身分識別子を決定する段階と、
    前記署名済み基準情報と前記基準情報の前記身分識別子とを前記ビジネス手段に対して返信する段階と、
    を備えて成る、請求項3に記載の方法。
  5. 前記基準情報の前記身分識別子は前記基準情報の身分鍵情報を備えて成り、且つ、前記身分鍵情報は前記ユーザのアカウント情報に対して関連付けられる、請求項4に記載の方法。
  6. 前記第一認証情報は前記認証サーバの署名済み証明書を備えて成り、且つ、
    前記第一認証情報を認証する前記段階は、前記認証サーバの第一暗号鍵に対応する第一復号鍵を用いて、前記署名済み証明書を復号して認証する段階、を備えて成る、
    請求項3に記載の方法。
  7. 前記第二認証情報は、事前に前記認証サーバにより合意された第二鍵情報であり、前記第二鍵情報は第二暗号鍵および第二復号鍵を備えて成り、且つ、
    前記第二認証情報を用いて前記基準情報に署名する前記段階は、事前に前記認証サーバにより合意された前記第二暗号鍵を用いて前記基準情報に署名する段階、を備えて成る、
    請求項4に記載の方法。
  8. 各段階が、少なくともプロセッサとメモリとを有するコンピュータによって実行され、該メモリに記憶された各アプリケーションが、該コンピュータを手段として機能させる、情報登録方法であって、
    認証サーバにより、ビジネス手段により送信された基準情報を登録するための要求を受信する段階と、
    基準情報を登録するための前記要求に従い、第一認証情報を生成し、且つ、該第一認証情報を前記ビジネス手段に対してフィードバックする段階と、
    前記ビジネス手段により送信された、署名済み基準情報、前記基準情報の身分識別子、および、前記第一認証情報を受信する段階であって、前記署名済み基準情報は、セキュリティ情報手段により第二認証情報を用いることにより署名されており且つ前記ビジネス手段に対して送信されているという段階と、
    前記第一認証情報を認証し、且つ、前記署名済み基準情報に従い前記第二認証情報を認証する段階と、
    前記第一認証情報および前記第二認証情報の認証を承認した後、前記基準情報と前記基準情報の前記身分識別子とを登録する段階と、
    を備えて成る情報登録方法。
  9. 基準情報を登録するための前記要求に従い第一認証情報を生成し、且つ、前記第一認証情報を前記ビジネス手段に対してフィードバックする前記段階は、
    基準情報を登録するための前記要求に従い、前記認証サーバ自体の証明書を呼び出す段階と、
    前記認証サーバ自体の第一暗号鍵を用い、前記第一認証情報として前記証明書に署名し、且つ、前記第一認証情報を前記ビジネス手段に対してフィードバックする段階と、
    を備えて成る、請求項8に記載の方法。
  10. 前記第一認証情報を認証する前記段階は、
    第一復号鍵を用いて前記第一認証情報を復号して認証する段階、
    を備えて成る、請求項8に記載の方法。
  11. 前記第二認証情報は、事前に前記認証サーバおよび前記セキュリティ情報手段により合意された第二鍵情報を備えて成り、前記第二鍵情報は第二暗号鍵および第二復号鍵を備えて成り、前記署名済み基準情報は前記第二暗号鍵を用い前記セキュリティ情報手段により署名されており、且つ、
    前記署名済み基準情報に従い前記第二認証情報を認証する前記段階は、事前に合意された前記第二鍵情報に従い、事前に前記セキュリティ情報手段により合意された前記第二復号鍵を用いて、前記第二認証情報を認証するために前記署名済み基準情報を復号する段階、を備えて成る、
    請求項8に記載の方法。
  12. 少なくともプロセッサとメモリとを有する情報登録デバイスであって、該メモリに記憶された各アプリケーションが、該デバイスを手段として機能させる、情報登録デバイス、であって、
    基準情報を登録するための要求を認証サーバに対して送信すべく構成された登録要求モジュールと、
    前記認証サーバによりフィードバックされた第一認証情報を受信すべく構成された受信モジュールと、
    基準情報獲得要求を生成し、該基準情報獲得要求および前記第一認証情報をセキュリティ情報手段に対して送信し、且つ、前記セキュリティ情報手段が前記第一認証情報の認証を承認した後、前記セキュリティ情報手段により返信された署名済み基準情報と前記基準情報の身分識別子とを獲得すべく構成された獲得モジュールであって、前記署名済み基準情報は前記セキュリティ情報手段により第二認証情報を用いて署名されている、という獲得モジュールと、
    前記署名済み基準情報、前記基準情報の前記身分識別子、および、前記第一認証情報を前記認証サーバに対して送信することで、該認証サーバにより、該認証サーバが、前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後に、前記基準情報と前記基準情報の前記身分識別子とを登録させるべく構成された送信モジュールと、
    を備えて成る情報登録デバイス。
  13. 前記受信モジュールは、前記認証サーバにより送信されると共に、該認証サーバ自体の第一暗号鍵を用いて署名された証明書を受信し、且つ、前記署名済み証明書を前記第一認証情報として用いるべく構成される、請求項12に記載のデバイス。
  14. 少なくともプロセッサとメモリとを有する情報登録デバイスであって、該メモリに記憶された各アプリケーションが、該デバイスを手段として機能させる、情報登録デバイス、であって、
    ビジネス手段により送信された第一認証情報および基準情報獲得要求を受信すべく構成された受信モジュールと、
    前記第一認証情報を認証し、且つ、認証が承認された後、前記ビジネス手段に対し、第二認証情報を用いて署名された基準情報を返信し且つ前記基準情報の身分識別子を返信することで、前記ビジネス手段により、前記署名済み基準情報と前記基準情報の前記身分識別子とを認証サーバに対して送信させ、且つ、前記認証サーバにより、該認証サーバが前記第一認証情報の認証を承認し且つ前記署名済み基準情報に従い前記第二認証情報の認証を承認した後、前記基準情報と前記基準情報の前記身分識別子とを登録させるべく構成された署名モジュールと、
    を備えて成る情報登録デバイス。
  15. 前記署名モジュールは、ユーザにより入力された基準情報を受信し、前記第二認証情報を用いて前記基準情報に署名し、前記基準情報に対して該基準情報の身分識別子を決定し、且つ、前記署名済み基準情報と前記基準情報の前記身分識別子とを前記ビジネス手段に対して返信すべく構成される、請求項14に記載のデバイス。
  16. 前記基準情報の前記身分識別子は前記基準情報の身分鍵情報を備えて成り、且つ、前記身分鍵情報は前記ユーザのアカウント情報に対して関連付けられる、請求項15に記載のデバイス。
  17. 前記第一認証情報は前記認証サーバの署名済み証明書を備えて成り、且つ、前記署名モジュールは、前記認証サーバの第一暗号鍵に対応する第一復号鍵を用いて、前記署名済み証明書を復号して認証すべく構成される、請求項14に記載のデバイス。
  18. 前記第二認証情報は、事前に前記認証サーバにより合意された第二鍵情報であり、前記第二鍵情報は第二暗号鍵および第二復号鍵を備えて成り、且つ、
    前記署名モジュールは、事前に前記認証サーバにより合意された前記第二暗号鍵を用いて前記基準情報に署名すべく構成される、
    請求項15に記載のデバイス。
  19. 少なくともプロセッサとメモリとを有する情報登録デバイスであって、該メモリに記憶された各アプリケーションが、該デバイスを手段として機能させる、情報登録デバイス、であって、
    ビジネス手段により送信された基準情報を登録するための要求を受信すべく構成された登録要求受信モジュールと、
    基準情報を登録するための前記要求に従い、第一認証情報を生成し、且つ、それを前記ビジネス手段に対してフィードバックすべく構成されたフィードバック・モジュールと、
    前記ビジネス手段により送信された、署名済み基準情報、前記基準情報の身分識別子、および、前記第一認証情報を受信する登録情報受信モジュールであって、前記署名済み基準情報は、セキュリティ情報手段により第二認証情報を用いることにより署名されており且つ前記ビジネス手段に対して送信されているという登録情報受信モジュールと、
    前記第一認証情報を認証し、且つ、前記署名済み基準情報に従い前記第二認証情報を認証すべく構成された認証モジュールと、
    前記第一認証情報および前記第二認証情報の認証を通した後、前記基準情報と前記基準情報の前記身分識別子とを登録すべく構成された登録モジュールと、
    を備えて成る情報登録デバイス。
  20. 前記フィードバック・モジュールは、基準情報を登録するための前記要求に従い、前記認証サーバ自体の証明書を呼び出し、前記認証サーバ自体の第一暗号鍵を用い、前記第一認証情報として前記証明書に署名し、且つ、それを前記ビジネス手段に対してフィードバックすべく構成される、請求項19に記載のデバイス。
  21. 前記認証モジュールは、第一復号鍵を用いて前記第一認証情報を復号して認証すべく構成される、請求項19に記載のデバイス。
  22. 前記第二認証情報は、事前に前記認証サーバおよび前記セキュリティ情報手段により合意された第二鍵情報を備えて成り、前記第二鍵情報は第二暗号鍵および第二復号鍵を備えて成り、前記署名済み基準情報は前記第二暗号鍵を用い前記セキュリティ情報手段により署名されており、且つ、
    前記認証モジュールは、事前に合意された前記第二鍵情報に従い、事前に前記セキュリティ情報手段により合意された前記第二復号鍵を用いて、前記第二認証情報を認証するために前記署名済み基準情報を復号すべく構成される、
    請求項19に記載のデバイス。
JP2018515096A 2015-09-21 2016-09-13 情報を登録および認証する方法およびデバイス Active JP6650513B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510604244.5A CN106549919B (zh) 2015-09-21 2015-09-21 一种信息注册、认证方法及装置
CN201510604244.5 2015-09-21
PCT/CN2016/098815 WO2017050147A1 (zh) 2015-09-21 2016-09-13 一种信息注册、认证方法及装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2020006210A Division JP2020074578A (ja) 2015-09-21 2020-01-17 情報を登録および認証する方法およびデバイス

Publications (2)

Publication Number Publication Date
JP2018532326A JP2018532326A (ja) 2018-11-01
JP6650513B2 true JP6650513B2 (ja) 2020-02-19

Family

ID=58364262

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018515096A Active JP6650513B2 (ja) 2015-09-21 2016-09-13 情報を登録および認証する方法およびデバイス
JP2020006210A Pending JP2020074578A (ja) 2015-09-21 2020-01-17 情報を登録および認証する方法およびデバイス

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2020006210A Pending JP2020074578A (ja) 2015-09-21 2020-01-17 情報を登録および認証する方法およびデバイス

Country Status (14)

Country Link
US (1) US11218464B2 (ja)
EP (1) EP3355511B1 (ja)
JP (2) JP6650513B2 (ja)
KR (1) KR102058304B1 (ja)
CN (1) CN106549919B (ja)
AU (2) AU2016325979B2 (ja)
BR (1) BR112018004760B1 (ja)
CA (1) CA2998119C (ja)
MX (1) MX2018003345A (ja)
PH (1) PH12018500575A1 (ja)
RU (1) RU2682430C1 (ja)
SG (1) SG11201801768RA (ja)
WO (1) WO2017050147A1 (ja)
ZA (1) ZA201802032B (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109978557A (zh) * 2017-12-27 2019-07-05 金联汇通信息技术有限公司 会员注册的方法、系统以及会员身份验证的方法
CN110474863B (zh) * 2018-05-10 2021-11-09 中国移动通信集团浙江有限公司 微服务安全认证方法及装置
CN109067766A (zh) * 2018-08-30 2018-12-21 郑州云海信息技术有限公司 一种身份认证方法、服务器端和客户端
CN110830264B (zh) * 2019-11-06 2022-11-29 北京一砂信息技术有限公司 业务数据验证方法、服务器、客户端及可读存储介质
CN111666554B (zh) * 2020-06-03 2023-09-12 泰康保险集团股份有限公司 一种证书认证方法、装置、设备及存储介质
CN115834074B (zh) * 2022-10-18 2023-07-21 支付宝(杭州)信息技术有限公司 一种身份认证方法、装置及设备

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
HU216231B (hu) * 1994-01-13 1999-05-28 Certco, Llc Eljárás titkosított kommunikáció létrehozására
US7152045B2 (en) * 1994-11-28 2006-12-19 Indivos Corporation Tokenless identification system for authorization of electronic transactions and electronic transmissions
US7159180B2 (en) 2001-12-14 2007-01-02 America Online, Inc. Proxy platform integration system
JP4374904B2 (ja) 2003-05-21 2009-12-02 株式会社日立製作所 本人認証システム
US7152782B2 (en) 2003-07-11 2006-12-26 Visa International Service Association System and method for managing electronic data transfer applications
EP1697907A1 (en) * 2003-12-24 2006-09-06 Telecom Italia S.p.A. User authentication method based on the utilization of biometric identification techniques and related architecture
JP2005236505A (ja) 2004-02-18 2005-09-02 Matsushita Electric Ind Co Ltd コンテンツ配信システム
JP2007532984A (ja) 2004-04-08 2007-11-15 松下電器産業株式会社 半導体メモリ
US7860486B2 (en) 2004-10-22 2010-12-28 Broadcom Corporation Key revocation in a mobile device
US8700729B2 (en) 2005-01-21 2014-04-15 Robin Dua Method and apparatus for managing credentials through a wireless network
US7650505B1 (en) 2005-06-17 2010-01-19 Sun Microsystems, Inc. Methods and apparatus for persistence of authentication and authorization for a multi-tenant internet hosted site using cookies
JP4636607B2 (ja) * 2005-06-29 2011-02-23 株式会社日立ソリューションズ セキュリティ対策アプリケーションの機密ファイル保護方法
US8615663B2 (en) * 2006-04-17 2013-12-24 Broadcom Corporation System and method for secure remote biometric authentication
US8118218B2 (en) 2006-09-24 2012-02-21 Rich House Global Technology Ltd. Method and apparatus for providing electronic purse
US20120129452A1 (en) 2006-09-24 2012-05-24 Rfcyber Corp. Method and apparatus for provisioning applications in mobile devices
WO2009013700A2 (en) 2007-07-24 2009-01-29 Nxp B.V. Method, system and trusted service manager for securely transmitting an application to a mobile phone
WO2009125919A1 (en) 2008-04-10 2009-10-15 Lg Electronics Inc. Terminal and method for managing secure devices
JP5323187B2 (ja) 2008-06-24 2013-10-23 エヌエックスピー ビー ヴィ 安全なモバイル環境におけるアプリケーションアクセス方法
US10706402B2 (en) 2008-09-22 2020-07-07 Visa International Service Association Over the air update of payment transaction data stored in secure memory
US8307412B2 (en) * 2008-10-20 2012-11-06 Microsoft Corporation User authentication management
EP2359526B1 (en) * 2008-11-04 2017-08-02 SecureKey Technologies Inc. System and methods for online authentication
TW201042973A (en) * 2008-11-28 2010-12-01 Ibm Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels
CN101771535B (zh) * 2008-12-30 2012-07-11 上海茂碧信息科技有限公司 终端和服务器之间的双向认证方法
US9734496B2 (en) 2009-05-29 2017-08-15 Paypal, Inc. Trusted remote attestation agent (TRAA)
US8856525B2 (en) * 2009-08-13 2014-10-07 Michael Gregor Kaplan Authentication of email servers and personal computers
CN101997824B (zh) * 2009-08-20 2016-08-10 中国移动通信集团公司 基于移动终端的身份认证方法及其装置和系统
US10454693B2 (en) 2009-09-30 2019-10-22 Visa International Service Association Mobile payment application architecture
US8312284B1 (en) 2009-11-06 2012-11-13 Google Inc. Verifiable timestamping of data objects, and applications thereof
CN101778380A (zh) * 2009-12-31 2010-07-14 卓望数码技术(深圳)有限公司 一种身份认证方法、设备及系统
US8171137B1 (en) 2011-05-09 2012-05-01 Google Inc. Transferring application state across devices
US8171525B1 (en) 2011-09-15 2012-05-01 Google Inc. Enabling users to select between secure service providers using a central trusted service manager
JP5753772B2 (ja) * 2011-12-12 2015-07-22 株式会社日立製作所 生体認証システム
US9088555B2 (en) * 2012-12-27 2015-07-21 International Business Machines Corporation Method and apparatus for server-side authentication and authorization for mobile clients without client-side application modification
CN104636666A (zh) * 2013-11-07 2015-05-20 中国移动通信集团公司 一种用于移动终端进行安全地信息处理的方法和安全装置
CN104010044B (zh) * 2014-06-12 2018-02-23 北京握奇数据系统有限公司 基于可信执行环境技术的应用受限安装方法、管理器和终端
CN104023032B (zh) * 2014-06-23 2017-11-24 北京握奇智能科技有限公司 基于可信执行环境技术的应用受限卸载方法、服务器和终端
KR101446504B1 (ko) * 2014-07-30 2014-11-04 주식회사위즈베라 웹 브라우저 모듈에 대해 독립적으로 동작하는 클라이언트 모듈에 의한 전자 서명 방법
CN104767616B (zh) * 2015-03-06 2016-08-24 北京石盾科技有限公司 一种信息处理方法、系统及相关设备
CN104917766B (zh) 2015-06-10 2018-01-05 飞天诚信科技股份有限公司 一种二维码安全认证方法
ES2791956T3 (es) * 2015-06-11 2020-11-06 Siemens Ag Aparato y procedimiento de autorización para una emisión autorizada de un token de autenticación para un dispositivo

Also Published As

Publication number Publication date
KR20180056727A (ko) 2018-05-29
US11218464B2 (en) 2022-01-04
CA2998119A1 (en) 2017-03-30
ZA201802032B (en) 2020-07-29
MX2018003345A (es) 2018-05-30
EP3355511A4 (en) 2019-05-15
SG11201801768RA (en) 2018-04-27
BR112018004760B1 (pt) 2024-01-16
CA2998119C (en) 2019-06-18
PH12018500575B1 (en) 2018-09-17
AU2016325979A1 (en) 2018-04-05
EP3355511B1 (en) 2022-11-02
WO2017050147A1 (zh) 2017-03-30
RU2682430C1 (ru) 2019-03-19
CN106549919A (zh) 2017-03-29
KR102058304B1 (ko) 2019-12-20
JP2018532326A (ja) 2018-11-01
PH12018500575A1 (en) 2018-09-17
BR112018004760A2 (ja) 2018-10-02
EP3355511A1 (en) 2018-08-01
CN106549919B (zh) 2021-01-22
AU2016325979B2 (en) 2020-01-23
AU2019101564A4 (en) 2020-01-23
US20180212954A1 (en) 2018-07-26
JP2020074578A (ja) 2020-05-14

Similar Documents

Publication Publication Date Title
JP6650513B2 (ja) 情報を登録および認証する方法およびデバイス
KR102375777B1 (ko) 온보드 단말기를 위한 지불 인증 방법, 장치 및 시스템
CN113114624B (zh) 基于生物特征的身份认证方法和装置
EP3039605B1 (en) Systems and methods for authenticating access to an operating system by a user before the operating system is booted using a wireless communication token
US11539690B2 (en) Authentication system, authentication method, and application providing method
JP2019510444A (ja) バイオメトリックアイデンティティを登録し、バイオメトリックアイデンティティを認証する方法及びデバイス
US10536271B1 (en) Silicon key attestation
EP3206329B1 (en) Security check method, device, terminal and server
US8918844B1 (en) Device presence validation
US20200196143A1 (en) Public key-based service authentication method and system
CN116458117A (zh) 安全数字签名
CN111431840A (zh) 安全处理方法和装置
CN112632573A (zh) 智能合约执行方法、装置、系统、存储介质及电子设备
CN115242471B (zh) 信息传输方法、装置、电子设备及计算机可读存储介质
CN108886524B (zh) 保护远程认证
CN115037480A (zh) 设备认证和校验的方法、装置、设备和存储介质
CN112804678B (zh) 设备注册、认证及数据传输方法和装置
US20220311617A1 (en) Cryptographic signing of a data item
CN114826719A (zh) 基于区块链的可信终端认证方法、系统、设备和存储介质
CN114338091A (zh) 数据传输方法、装置、电子设备及存储介质
TWI673621B (zh) 資訊註冊、認證方法及裝置
EP4324158A1 (en) Interim root-of-trust enrolment and device-bound public key registration

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180412

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191119

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20191218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200120

R150 Certificate of patent or registration of utility model

Ref document number: 6650513

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250