JP7391843B2 - 指紋の2段階の集中的な照合 - Google Patents
指紋の2段階の集中的な照合 Download PDFInfo
- Publication number
- JP7391843B2 JP7391843B2 JP2020528403A JP2020528403A JP7391843B2 JP 7391843 B2 JP7391843 B2 JP 7391843B2 JP 2020528403 A JP2020528403 A JP 2020528403A JP 2020528403 A JP2020528403 A JP 2020528403A JP 7391843 B2 JP7391843 B2 JP 7391843B2
- Authority
- JP
- Japan
- Prior art keywords
- biometric data
- encrypted
- user
- converted
- session value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013524 data verification Methods 0.000 claims description 121
- 238000006243 chemical reaction Methods 0.000 claims description 88
- 238000000034 method Methods 0.000 claims description 71
- 238000012545 processing Methods 0.000 claims description 68
- 230000009466 transformation Effects 0.000 claims description 62
- 238000004891 communication Methods 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 24
- 238000012795 verification Methods 0.000 claims description 15
- 238000001514 detection method Methods 0.000 claims description 12
- 230000001131 transforming effect Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000001965 increasing effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013502 data validation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
Description
本明細書に開示される発明は以下を含む。
[態様1]
安全な通信チャネルのネットワークノード(300)を用いてクライアント装置(100)のユーザ(200)の生体データの登録を前記クライアント装置によって実行する方法であって、
前記ユーザ(200)の生体データをキャプチャすること(S101)と、
前記ユーザ(200)が認証される他の全てのクライアント装置(500)と共有される第1の特徴変換鍵を用いて、前記生体データを、第1のセットの変換生体データに変換すること(S102)と、
第2の特徴変換鍵を生成すること(S103)と、
前記第2の特徴変換鍵を用いて、前記生体データを、第2のセットの変換生体データに変換すること(S104)と、
前記ユーザ(200)が認証される生体データ検証ノード(400)と共有される暗号化鍵を用いて、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを暗号化すること(S105)と、
前記第1のセットの変換生体データ及び前記第2のセットの変換生体データが登録される前記ネットワークノード(300)と共有される暗号化鍵を用いて、前記第2の特徴変換鍵を暗号化すること(S106)と、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、暗号化された前記第2の特徴変換鍵並びにユーザプロファイルデータを備える登録要求を、前記ネットワークノード(300)に提示すること(S107)と、
を備える方法。
[態様2]
前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを暗号化すること(S105)は、
前記生体データ検証ノード(400)によって検証される認証を、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データに与えることを更に備える態様1に記載の方法。
[態様3]
前記第2の特徴変換鍵を暗号化すること(S106)は、
前記ネットワークノード(300)によって検証される認証を、前記第2の特徴変換鍵に与えることを更に備える態様1又は2に記載の方法。
[態様4]
安全な通信チャネルのクライアント装置(100)のユーザ(200)の生体データの登録をネットワークノード(300)によって実行する方法であって、
前記ユーザ(200)の暗号化された第1のセットの変換生体データ及び第2のセットの変換生体データを備える登録要求を前記クライアント装置(100)から受信すること(S107)であって、第1のセットの生体データは、第1の特徴変換鍵によって変換され、暗号化された第2の特徴変換鍵は、前記第2のセットの変換生体データをユーザプロファイルデータとともに変換するために用いられることと、
暗号化された前記第2の特徴変換鍵を解読すること(S108)と、
受信した前記第2の特徴変換鍵に対するユーザインデックスを生成すること(S109)と、
前記第2の特徴変換鍵、前記ユーザプロファイルデータ及び前記ユーザインデックスを格納すること(S110)と、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、前記ユーザプロファイルデータ並びに前記ユーザインデックスを、生体データ検証ノード(400)に提示すること(S111)と、
を備える方法。
[態様5]
安全な通信チャネルのクライアント装置(100)のユーザ(200)の生体データの登録を生体データ検証ノード(400)によって実行する方法であって、
前記クライアント装置(100)の前記ユーザ(200)の暗号化された第1のセットの変換生体データ及び第2のセットの変換生体データを備える登録要求を、前記クライアント装置(100)と通信を行うように構成されたネットワークノード(300)から受信すること(S111)であって、特徴変換鍵によって変換された生体データのセットは、前記生体データ検証ノード、ユーザプロファイルデータ及び受信したデータに関連するユーザインデックスにアクセス不可能であることと、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを解読すること(S112)と、
前記ユーザ(200)の次の認証のために前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、前記ユーザプロファイルデータ並びに前記ユーザインデックスを格納すること(S113)と、
を備える方法。
[態様6]
生体データに基づく安全な通信チャネルのネットワークノード(300)を用いてクライアント装置(500)のユーザ(200)の認証を可能にすることを前記クライアント装置(500)によって実行する方法であって、
前記ネットワークノード(300)からセッション値を受信すること(S202)と、
前記ユーザ(200)の前記生体データをキャプチャすること(S203)と、
認証が行われる登録された生体データを有するクライアント装置(100)と共有される第1の特徴変換鍵を用いて、前記生体データを第1のセットの変換生体データに変換すること(S204)と、
前記ユーザ(200)が認証される生体データ検証ノード(400)と共有される暗号化鍵を用いて、前記第1のセットの変換生体データ及び受信したセッション値を暗号化すること(S205)と、
前記ネットワークノード(300)と共有される暗号化鍵を用いて、前記セッション値を暗号化すること(S206)と、
暗号化された前記第1のセットの変換生体データ、二つの暗号化されたセッション値及びユーザプロファイルデータを前記ネットワークノード(300)に提示すること(S207)と、
少なくとも一つの暗号化された第2の特徴変換鍵及び前記セッション値の暗号化されたものを受信すること(S216)であって、少なくとも一つの第2の特徴変換鍵及び前記セッション値は、前記ネットワークノードと共有される鍵を用いて暗号化されることと、
暗号化された少なくとも一つの第2の特徴変換鍵及び暗号化されたセッション値を解読するとともに解読されたセッション値が以前に受信したセッション値に適合することを検証すること(S217)と、
前記ネットワークノード(300)と共有される少なくとも一つの第2の特徴変換鍵を用いて、前記生体データを少なくとも一つの第2のセットの変換生体データに変換すること(S218)と、
前記生体データ検証ノード(400)と共有される鍵を用いて、少なくとも一つの第2のセットの変換生体データ及び前記セッション値を暗号化すること(S219)と、
暗号化された少なくとも一つの第2のセットの変換生体データ及び暗号化されたセッション値を前記ネットワークノードに提示すること(S220)であって、前記ネットワークノード(300)は、前記クライアント装置の認証のために、提示されたデータを前記生体データ検証ノード(400)に転送することと、
を備える方法。
[態様7]
前記第1のセットの変換生体データ及び受信したセッション値を暗号化すること(S205)は、
前記第1のセットの変換生体データ及び受信したセッション値に、前記生体データ検証ノード(400)によって検証される認証を与えることを更に備える態様6に記載の方法。
[態様8]
前記セッション値を暗号化すること(S206)は、
暗号化された前記セッション値に、前記ネットワークノード(300)によって検証される認証を与えることを更に備える態様6又は7に記載の方法。
[態様9]
少なくとも一つの第2のセットの変換生体データ及び前記セッション値を暗号化すること(S219)は、
少なくとも一つの前記第2のセットの変換生体データ及び前記セッション値に、前記生体データ検証ノード(400)によって検証される認証を与えることを更に備える態様6~8のいずれか一つに記載の方法。
[態様10]
生体データに基づく安全な通信チャネルの生体データ検証ノード(400)を用いてクライアント装置(500)のユーザ(200)の認証を可能にすることをネットワークノード(300)によって実行する方法であって、
前記クライアント装置(500)にセッション値を提示すること(S202)と、
ユーザの暗号化された第1のセットの変換生体データを前記クライアント装置から受信すること(S207)であって、第1のセットの生体データは、第1の特徴変換鍵によって変換されるとともに前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化され、前記セッション値は、前記クライアント装置と共有される鍵によってユーザプロファイルデータと共に暗号化され、前記セッション値は、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化されることと、
受信した暗号化されたセッション値を解読するとともに解読したセッション値が以前に送信されたセッション値に適合することを検証すること(S208)と、
暗号化された前記第1のセットの変換生体データ、前記ユーザプロファイルデータ及び前記セッション値を提示すること(S209)であって、前記セッション値は、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化されることと、
前記生体データ検証ノードに以前に登録された少なくとも一つのセットの変換生体データの各々に関連するとともに変換生体データと提示された第1のセットの変換生体データの照合を行うユーザインデックスと、前記セッション値とを前記生体データ検証ノードから受信すること(S212)と、
前記セッション値が前記生体データ検証ノードに以前に送信されたセッション値に適合することを検証すること(S213)と、
受信したユーザインデックスの各々に対して、以前に登録した第2の特徴変換鍵をフェッチすること(S214)と、
フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値を、前記クライアント装置と共有される鍵によって暗号化すること(S215)と、
暗号化した前記第2の特徴変換鍵及び前記セッション値を前記クライアント装置に提示すること(S216)と、
少なくとも一つの第2の特徴変換鍵によって変換される暗号化された少なくとも一つの第2のセットの変換生体データ及び前記セッション値の暗号化されたものを、前記クライアント装置(500)から受信すること(S220)であって、前記少なくとも一つの第2のセットの変換生体データ及び前記セッション値は、前記クライアント装置(500)と前記生体データ検証ノード(400)の間で共有される鍵によって暗号化されることと、
暗号化された前記少なくとも一つの第2のセットの変換生体データ、前記セッション値及び暗号化された前記セッション値を、前記生体データ検証ノード(400)に提示すること(S221)と、
少なくとも以前に登録した第2の特徴変換鍵の各々に関連付けられたユーザインデックス及び前記セッション値を前記生体データ検証ノードから受信すること(S224)であって、前記生体データ検証ノードは、前記ユーザインデックスに以前に登録された少なくとも一つのセットの変換生体データに対する前記少なくとも一つの第2のセットの変換生体データの照合を行い、前記ユーザは認証されていると見なされることと、
を備える方法。
[態様11]
フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値を、前記クライアント装置と共有される鍵によって暗号化すること(S215)は、
フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値に、前記ネットワークノード(300)によって検証された認証を与えることを更に備える態様10に記載の方法。
[態様12]
生体データに基づく安全な通信チャネルのクライアント装置(500)のユーザ(200)の認証を可能にすることを生体データ検証ノード(400)によって実行する方法であって、
暗号化された第1のセットの変換生体データ、前記クライアント装置(500)と共有される鍵によって暗号化されたセッション値及びユーザプロファイルデータを、前記クライアント装置(500)と通信を行うように構成されたネットワークノード(300)から受信すること(S209)と、
暗号化された前記第1のセットの変換生体データ及び暗号化された前記セッション値を解読するとともに暗号化された前記セッション値が受信したセッション値に適合することを検証すること(S210)と、
受信したユーザプロファイルデータに以前に登録された少なくとも一つのセットの変換生体データに対する暗号化された前記第1のセットの変換生体データの照合を行うこと(S211)と、
照合のために以前に登録した少なくとも一つのセットの変換生体データの各々に関連するユーザインデックス及び前記セッション値を、前記ネットワークノード(300)に提示すること(S212)と、
暗号化された少なくとも一つの第2のセットの変換生体データ、暗号化された前記セッション値及び前記セッション値のクリアテキストコピーを、前記ネットワークノードから受信すること(S221)と、
暗号化された前記少なくとも一つの第2のセットの変換生体データ及び暗号化された前記セッション値を解読するとともに暗号化された前記セッション値がクリアテキストセッション値に適合すること(S222)と、
以前に登録された少なくとも一つのセットの変換生体データに対する少なくとも一つの前記第2のセットの変換生体データの照合を行うこと(S223)と、
照合のための少なくとも一つのユーザインデックスを前記セッション値と共に前記ネットワークノードに提示すること(S224)であって、前記ユーザは、認証されていると見なされることと、
を備える方法。
[態様13]
安全な通信チャネルのネットワークノード(300)を用いてクライアント装置(100)のユーザ(200)の生体データの登録を行うように構成されたクライアント装置(100)であって、前記クライアント装置(100)は、生体データセンサ(102)及び処理装置(103)を備え、
前記生体データセンサ(102)は、
前記ユーザ(200)の生体データをキャプチャするように構成され、
前記処理装置(103)は、
前記ユーザ(200)が認証される他の全てのクライアント装置(500)と共有される第1の特徴変換鍵を用いて、前記生体データを、第1のセットの変換生体データに変換し、
第2の特徴変換鍵を生成し、
前記第2の特徴変換鍵を用いて、前記生体データを、第2のセットの変換生体データに変換し、
前記ユーザ(200)が認証される生体データ検証ノード(400)と共有される暗号化鍵を用いて、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを暗号化し、
前記第1のセットの変換生体データ及び前記第2のセットの変換生体データが登録される前記ネットワークノード(300)と共有される暗号化鍵を用いて、前記第2の特徴変換鍵を暗号化し、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、暗号化された前記第2の特徴変換鍵並びにユーザプロファイルデータを備える登録要求を、前記ネットワークノード(300)に提示するように構成されたクライアント装置(100)。
[態様14]
前記処理装置(103)は、
前記生体データ検証ノード(400)によって検証される認証を、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データに与えるように更に構成された態様13に記載のクライアント装置(100)。
[態様15]
前記処理装置(103)は、
前記ネットワークノード(300)によって検証される認証を、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データに与えるように更に構成された態様13又は14に記載のクライアント装置(100)。
[態様16]
安全な通信チャネルのクライアント装置(100)のユーザ(200)の生体データの登録を行うように構成されたネットワークノード(300)であって、前記ネットワークノード(300)は、処理装置(301)を備え、前記処理装置(301)は、
前記ユーザ(200)の暗号化された第1のセットの変換生体データ及び第2のセットの変換生体データを備える登録要求を前記クライアント装置(100)から受信し、第1のセットの生体データは、第1の特徴変換鍵によって変換され、暗号化された第2の特徴変換鍵は、前記第2のセットの変換生体データをユーザプロファイルデータとともに変換し、
暗号化された前記第2の特徴変換鍵を解読し、
受信した前記第2の特徴変換鍵に対するユーザインデックスを生成し、
前記第2の特徴変換鍵、前記ユーザプロファイルデータ及び前記ユーザインデックスを格納し、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、前記ユーザプロファイルデータ並びに前記ユーザインデックスを、生体データ検証ノード(400)に提示するように構成されたネットワークノード(300)。
[態様17]
安全な通信チャネルのクライアント装置(100)のユーザ(200)の生体データの登録を生体データ検証ノード(400)であって、前記生体データ検証ノード(400)は、処理装置(401)を備え、前記処理装置(401)は、
前記クライアント装置(100)の前記ユーザ(200)の暗号化された第1のセットの変換生体データ及び第2のセットの変換生体データを備える登録要求を、前記クライアント装置(100)と通信を行うように構成されたネットワークノード(300)から受信し、特徴変換鍵によって変換された生体データのセットは、前記生体データ検証ノード、ユーザプロファイルデータ及び受信したデータに関連するユーザインデックスにアクセス不可能であり、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを解読し、
前記ユーザ(200)の次の認証のために前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、前記ユーザプロファイルデータ並びに前記ユーザインデックスを格納するように構成された前記生体データ検証ノード(400)。
[態様18]
生体データに基づく安全な通信チャネルのネットワークノード(300)を用いてクライアント装置(500)のユーザ(200)の認証を可能にするように構成されたクライアント装置(500)であって、クライアント装置(100)は、生体データセンサ(102)及び処理装置(103)を備え、
前記処理装置(103)は、
前記ネットワークノード(300)からセッション値を受信するように構成され、
前記生体データセンサ(102)は、
前記ユーザ(200)の生体データをキャプチャするように構成され、
前記処理装置(103)は、
認証が行われる登録された生体データを有するクライアント装置(100)と共有される第1の特徴変換鍵を用いて、前記生体データを第1のセットの変換生体データに変換し、
前記ユーザ(200)が認証される生体データ検証ノード(400)と共有される暗号化鍵を用いて、前記第1のセットの変換生体データ及び受信したセッション値を暗号化し、
前記ネットワークノード(300)と共有される暗号化鍵を用いて、前記セッション値を暗号化し、
暗号化された前記第1のセットの変換生体データ、二つの暗号化されたセッション値及びユーザプロファイルデータを前記ネットワークノード(300)に提示し、
少なくとも一つの暗号化された第2の特徴変換鍵及び前記セッション値の暗号化されたものを受信し、少なくとも一つの第2の特徴変換鍵及び前記セッション値は、前記ネットワークノードと共有される鍵を用いて暗号化され、
暗号化された少なくとも一つの第2の特徴変換鍵及び暗号化されたセッション値を解読するとともに解読されたセッション値が以前に受信したセッション値に適合することを検証し、
前記ネットワークノード(300)と共有される少なくとも一つの第2の特徴変換鍵を用いて、前記生体データを少なくとも一つの第2のセットの変換生体データに変換し、
前記生体データ検証ノード(400)と共有される鍵を用いて、少なくとも一つの第2のセットの変換生体データ及び前記セッション値を暗号化し、
暗号化された少なくとも一つの第2のセットの変換生体データ及び暗号化されたセッション値を前記ネットワークノードに提示し、前記ネットワークノード(300)は、前記クライアント装置の認証のために、提示されたデータを前記生体データ検証ノード(400)に転送するように構成されたクライアント装置(500)。
[態様19]
前記処理装置(103)は、
前記第1のセットの変換生体データ及び受信したセッション値に、前記生体データ検証ノード(400)によって検証される認証を与えるように更に構成された態様18に記載のクライアント装置(500)。
[態様20]
前記処理装置(103)は、
暗号化された前記セッション値に、前記ネットワークノード(300)によって検証される認証を与えるように更に構成された態様18又は19に記載のクライアント装置(500)。
[態様21]
前記処理装置(103)は、
少なくとも一つの前記第2のセットの変換生体データ及び前記セッション値に、前記生体データ検証ノード(400)によって検証される認証を与えるように更に構成された態様18~20のいずれか一つに記載のクライアント装置(500)。
[態様22]
生体データに基づく安全な通信チャネルの生体データ検証ノード(400)を用いてクライアント装置(500)のユーザ(200)の認証を可能にするように構成されたネットワークノード(300)であって、前記ネットワークノード(300)は、処理装置(301)を備え、前記処理装置(301)は、
前記クライアント装置(500)にセッション値を提示し、
ユーザの暗号化された第1のセットの変換生体データを前記クライアント装置から受信し、第1のセットの生体データは、第1の特徴変換鍵によって変換されるとともに前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化され、前記セッション値は、前記クライアント装置と共有される鍵によってユーザプロファイルデータと共に暗号化され、前記セッション値は、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化され、
受信した暗号化されたセッション値を解読するとともに解読したセッション値が以前に送信されたセッション値に適合することを検証し、
暗号化された前記第1のセットの変換生体データ、前記ユーザプロファイルデータ及び前記セッション値を提示し、前記セッション値は、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化され、
前記生体データ検証ノードに以前に登録された少なくとも一つのセットの変換生体データの各々に関連するとともに変換生体データと提示された第1のセットの変換生体データの照合を行うユーザインデックスと、前記セッション値とを前記生体データ検証ノードから受信し、
前記セッション値が前記生体データ検証ノードに以前に送信されたセッション値に適合することを検証し、
受信したユーザインデックスの各々に対して、以前に登録した第2の特徴変換鍵をフェッチし、
フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値を、前記クライアント装置と共有される鍵によって暗号化し、
暗号化した前記第2の特徴変換鍵及び前記セッション値を前記クライアント装置に提示し、
少なくとも一つの第2の特徴変換鍵によって変換される暗号化された少なくとも一つの第2のセットの変換生体データ及び前記セッション値の暗号化されたものを、前記クライアント装置(500)から受信し、前記少なくとも一つの第2のセットの変換生体データ及び前記セッション値は、前記クライアント装置(500)と前記生体データ検証ノード(400)の間で共有される鍵によって暗号化され、
暗号化された前記少なくとも一つの第2のセットの変換生体データ、前記セッション値及び暗号化された前記セッション値を、前記生体データ検証ノード(400)に提示し、
少なくとも以前に登録した第2の特徴変換鍵の各々に関連付けられたユーザインデックス及び前記セッション値を前記生体データ検証ノードから受信し、前記生体データ検証ノードは、前記ユーザインデックスに以前に登録された少なくとも一つのセットの変換生体データに対する前記少なくとも一つの第2のセットの変換生体データの照合を行い、前記ユーザは認証されていると見なされるように構成されたネットワークノード(300)。
[態様23]
前記処理装置(301)は、
フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値に、前記ネットワークノード(300)によって検証された認証を与えるように更に構成された態様22に記載のネットワークノード(300)。
[態様24]
生体データに基づく安全な通信チャネルのクライアント装置(500)のユーザ(200)の認証を可能にすることを生体データ検証ノード(400)であって、前記生体データ検証ノード(400)は、処理装置(401)を備え、前記処理装置(401)は、
暗号化された第1のセットの変換生体データ、前記クライアント装置(500)と共有される鍵によって暗号化されたセッション値及びユーザプロファイルデータを、前記クライアント装置(500)と通信を行うように構成されたネットワークノード(300)から受信し、
暗号化された前記第1のセットの変換生体データ及び暗号化された前記セッション値を解読するとともに暗号化された前記セッション値が受信したセッション値に適合することを検証し、
受信したユーザプロファイルデータに以前に登録された少なくとも一つのセットの変換生体データに対する暗号化された前記第1のセットの変換生体データの照合を行い、
照合のために以前に登録した少なくとも一つのセットの変換生体データの各々に関連するユーザインデックス及び前記セッション値を、前記ネットワークノード(300)に提示し、
暗号化された少なくとも一つの第2のセットの変換生体データ、暗号化された前記セッション値及び前記セッション値のクリアテキストコピーを、前記ネットワークノードから受信し、
暗号化された前記少なくとも一つの第2のセットの変換生体データ及び暗号化された前記セッション値を解読するとともに暗号化された前記セッション値がクリアテキストセッション値に適合し、
以前に登録された少なくとも一つのセットの変換生体データに対する少なくとも一つの前記第2のセットの変換生体データの照合を行い、
照合のための少なくとも一つのユーザインデックスを前記セッション値と共に前記ネットワークノードに提示し、前記ユーザは、認証されていると見なされるように構成された生体データ検証ノード(400)。
[態様25]
生体データ検知システム(101)に含まれる処理装置(103)によって実行されるときに態様1~3のいずれか一つ及び/又は6~9のいずれか一つに記載のステップを前記生体データ検知システム(101)によって実行させるコンピュータ実行可能な命令を備えるコンピュータプログラム(107)。
[態様26]
態様25に記載のコンピュータプログラム(107)を有するコンピュータ可読媒体(105)を備えるコンピュータプログラム製品。
[態様27]
ネットワークノード(300)に含まれる処理装置(301)によって実行されるときに態様4又は10及び11のいずれか一つに記載のステップを前記ネットワークノード(300)によって実行させるコンピュータ実行可能な命令を備えるコンピュータプログラム(302)。
[態様28]
態様27に記載のコンピュータプログラム(302)を有するコンピュータ可読媒体(303)を備えるコンピュータプログラム製品。
[態様29]
生体データ検証ノード(400)に含まれる処理装置(401)によって実行されるときに態様5又は12に記載のステップを前記生体データ検証ノード(400)によって実行させるコンピュータ実行可能な命令を備えるコンピュータプログラム(402)。
[態様30]
態様29に記載のコンピュータプログラム(402)を有するコンピュータ可読媒体(403)を備えるコンピュータプログラム製品。
Claims (30)
- 安全な通信チャネルのネットワークノード(300)を用いてクライアント装置(100)のユーザ(200)の生体データの登録を前記クライアント装置によって実行する方法であって、
前記ユーザ(200)の生体データをキャプチャすること(S101)と、
前記ユーザ(200)が認証される他の全てのクライアント装置(500)と共有される第1の特徴変換鍵を用いて、前記生体データを、第1のセットの変換生体データに変換すること(S102)と、
第2の特徴変換鍵を生成すること(S103)と、
前記第2の特徴変換鍵を用いて、前記生体データを、第2のセットの変換生体データに変換すること(S104)と、
前記ユーザ(200)が認証される生体データ検証ノード(400)と共有される暗号化鍵を用いて、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを暗号化すること(S105)と、
前記第1のセットの変換生体データ及び前記第2のセットの変換生体データが登録される前記ネットワークノード(300)と共有される暗号化鍵を用いて、前記第2の特徴変換鍵を暗号化すること(S106)と、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、暗号化された前記第2の特徴変換鍵並びにユーザプロファイルデータを備える登録要求を、前記ネットワークノード(300)に提示すること(S107)と、
を備える方法。 - 前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを暗号化すること(S105)は、
前記生体データ検証ノード(400)によって検証される認証を、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データに与えることを更に備える請求項1に記載の方法。 - 前記第2の特徴変換鍵を暗号化すること(S106)は、
前記ネットワークノード(300)によって検証される認証を、前記第2の特徴変換鍵に与えることを更に備える請求項1又は2に記載の方法。 - 安全な通信チャネルのクライアント装置(100)のユーザ(200)の生体データの登録をネットワークノード(300)によって実行する方法であって、
前記ユーザ(200)の暗号化された第1のセットの変換生体データ及び第2のセットの変換生体データを備える登録要求を前記クライアント装置(100)から受信すること(S107)であって、前記第1のセットの変換生体データは、前記クライアント装置と前記生体データに基づく前記安全な通信チャネルの生体データ検証ノード(400)の間で共有される鍵によって暗号化され、暗号化された第2の特徴変換鍵は、前記第2のセットの変換生体データをユーザプロファイルデータとともに変換するために用いられることと、
暗号化された前記第2の特徴変換鍵を解読すること(S108)と、
受信した前記第2の特徴変換鍵に対するユーザインデックスを生成すること(S109)と、
前記第2の特徴変換鍵、前記ユーザプロファイルデータ及び前記ユーザインデックスを格納すること(S110)と、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、前記ユーザプロファイルデータ並びに前記ユーザインデックスを、生体データ検証ノード(400)に提示すること(S111)と、
を備える方法。 - 安全な通信チャネルのクライアント装置(100)のユーザ(200)の生体データの登録を生体データ検証ノード(400)によって実行する方法であって、
前記クライアント装置(100)の前記ユーザ(200)の暗号化された第1のセットの変換生体データ及び第2のセットの変換生体データを備える登録要求を、前記クライアント装置(100)と通信を行うように構成されたネットワークノード(300)から受信すること(S111)であって、前記生体データ検証ノード(400)は、前記生体データを前記第1のセットの変換生体データに変換するための第1の特徴変換鍵と前記生体データを前記第2のセットの変換生体データに変換するための第2の特徴変換鍵のいずれにもアクセスせず、前記生体データのクリアテキストコピーを取得できないことと、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを解読すること(S112)と、
前記ユーザ(200)の次の認証のために前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、ユーザプロファイルデータ並びにユーザインデックスを格納すること(S113)と、
を備える方法。 - 生体データに基づく安全な通信チャネルのネットワークノード(300)を用いてクライアント装置(500)のユーザ(200)の認証を可能にすることを前記クライアント装置(500)によって実行する方法であって、
前記ネットワークノード(300)からセッション値を受信すること(S202)と、
前記ユーザ(200)の前記生体データをキャプチャすること(S203)と、
認証が行われる登録された生体データを有するクライアント装置(100)と共有される第1の特徴変換鍵を用いて、前記生体データを第1のセットの変換生体データに変換すること(S204)と、
前記ユーザ(200)が認証される生体データ検証ノード(400)と共有される暗号化鍵を用いて、前記第1のセットの変換生体データ及び受信したセッション値を暗号化すること(S205)と、
前記ネットワークノード(300)と共有される暗号化鍵を用いて、前記セッション値を暗号化すること(S206)と、
暗号化された前記第1のセットの変換生体データ、前記生体データ検証ノード(400)と共有される鍵を用いて暗号化されたセッション値、前記ネットワークノード(300)と共有される暗号化鍵を用いて暗号化されたセッション値及びユーザプロファイルデータを前記ネットワークノード(300)に提示すること(S207)と、
少なくとも一つの暗号化された第2の特徴変換鍵及び前記ネットワークノード(300)と共有される暗号化鍵を用いて暗号化されたセッション値を受信すること(S216)であって、少なくとも一つの第2の特徴変換鍵は、前記ネットワークノード(300)と共有される鍵を用いて暗号化されることと、
暗号化された少なくとも一つの第2の特徴変換鍵及び前記ネットワークノード(300)と共有される暗号化鍵を用いて暗号化されたセッション値を解読するとともに解読されたセッション値が以前に受信したセッション値に適合することを検証すること(S217)と、
前記ネットワークノード(300)と共有される少なくとも一つの第2の特徴変換鍵を用いて、前記生体データを少なくとも一つの第2のセットの変換生体データに変換すること(S218)と、
前記生体データ検証ノード(400)と共有される鍵を用いて、少なくとも一つの第2のセットの変換生体データ及び前記セッション値を暗号化すること(S219)と、
暗号化された少なくとも一つの第2のセットの変換生体データ及び前記生体データ検証ノード(400)と共有される鍵を用いて暗号化されたセッション値を前記ネットワークノードに提示すること(S220)であって、前記ネットワークノード(300)は、前記クライアント装置の認証のために、提示されたデータを前記生体データ検証ノード(400)に転送することと、
を備える方法。 - 前記第1のセットの変換生体データ及び受信したセッション値を暗号化すること(S205)は、
前記第1のセットの変換生体データ及び受信したセッション値に、前記生体データ検証ノード(400)によって検証される認証を与えることを更に備える請求項6に記載の方法。 - 前記セッション値を暗号化すること(S206)は、
前記ネットワークノード(300)と共有される暗号化鍵を用いて暗号化されたセッション値に、前記ネットワークノード(300)によって検証される認証を与えることを更に備える請求項6又は7に記載の方法。 - 少なくとも一つの第2のセットの変換生体データ及び前記セッション値を暗号化すること(S219)は、
少なくとも一つの前記第2のセットの変換生体データ及び前記セッション値に、前記生体データ検証ノード(400)によって検証される認証を与えることを更に備える請求項6~8のいずれか一項に記載の方法。 - 生体データに基づく安全な通信チャネルの生体データ検証ノード(400)を用いてクライアント装置(500)のユーザ(200)の認証を可能にすることをネットワークノード(300)によって実行する方法であって、
前記クライアント装置(500)にセッション値を提示すること(S202)と、
ユーザの暗号化された第1のセットの変換生体データを前記クライアント装置から受信すること(S207)であって、前記第1のセットの生体変換生体データは、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化され、前記セッション値は、前記クライアント装置と共有される鍵によってユーザプロファイルデータと共に暗号化され、前記セッション値は、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化されることと、
受信した暗号化されたセッション値を解読するとともに解読したセッション値が以前に送信されたセッション値に適合することを検証すること(S208)と、
暗号化された前記第1のセットの変換生体データ、前記ユーザプロファイルデータ及び前記セッション値を提示すること(S209)であって、前記セッション値は、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化されることと、
前記生体データ検証ノードに以前に登録された少なくとも一つのセットの変換生体データの各々に関連するとともに変換生体データと提示された第1のセットの変換生体データの照合を行うユーザインデックスと、前記セッション値とを前記生体データ検証ノードから受信すること(S212)と、
前記セッション値が前記生体データ検証ノードに以前に送信されたセッション値に適合することを検証すること(S213)と、
受信したユーザインデックスの各々に対して、以前に登録した第2の特徴変換鍵をフェッチすること(S214)と、
フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値を、前記クライアント装置と共有される鍵によって暗号化すること(S215)と、
暗号化した前記第2の特徴変換鍵及び前記セッション値を前記クライアント装置に提示すること(S216)と、
少なくとも一つの第2の特徴変換鍵によって変換される暗号化された少なくとも一つの第2のセットの変換生体データ及び前記セッション値の暗号化されたものを、前記クライアント装置(500)から受信すること(S220)であって、前記少なくとも一つの第2のセットの変換生体データ及び前記セッション値は、前記クライアント装置(500)と前記生体データ検証ノード(400)の間で共有される鍵によって暗号化されることと、
暗号化された前記少なくとも一つの第2のセットの変換生体データ、前記セッション値及び暗号化された前記セッション値を、前記生体データ検証ノード(400)に提示すること(S221)と、
少なくとも以前に登録した第2の特徴変換鍵の各々に関連付けられたユーザインデックス及び前記セッション値を前記生体データ検証ノードから受信すること(S224)であって、前記生体データ検証ノードは、前記ユーザインデックスに以前に登録された少なくとも一つのセットの変換生体データに対する前記少なくとも一つの第2のセットの変換生体データの照合を行い、前記ユーザは認証されていると見なされることと、
を備える方法。 - フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値を、前記クライアント装置と共有される鍵によって暗号化すること(S215)は、
フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値に、前記ネットワークノード(300)によって検証された認証を与えることを更に備える請求項10に記載の方法。 - 生体データに基づく安全な通信チャネルのクライアント装置(500)のユーザ(200)の認証を可能にすることを生体データ検証ノード(400)によって実行する方法であって、
暗号化された第1のセットの変換生体データ、前記クライアント装置(500)と共有される鍵によって暗号化されたセッション値及びユーザプロファイルデータを、前記クライアント装置(500)と通信を行うように構成されたネットワークノード(300)から受信すること(S209)と、
暗号化された前記第1のセットの変換生体データ及び暗号化された前記セッション値を解読するとともに暗号化された前記セッション値が受信したセッション値に適合することを検証すること(S210)と、
受信したユーザプロファイルデータに以前に登録された少なくとも一つのセットの変換生体データに対する暗号化された前記第1のセットの変換生体データの照合を行うこと(S211)と、
照合のために以前に登録した少なくとも一つのセットの変換生体データの各々に関連するユーザインデックス及び前記セッション値を、前記ネットワークノード(300)に提示すること(S212)と、
暗号化された少なくとも一つの第2のセットの変換生体データ、暗号化された前記セッション値及び前記セッション値のクリアテキストコピーを、前記ネットワークノードから受信すること(S221)と、
暗号化された前記少なくとも一つの第2のセットの変換生体データ及び暗号化された前記セッション値を解読するとともに暗号化された前記セッション値がクリアテキストセッション値に適合すること(S222)と、
以前に登録された少なくとも一つのセットの変換生体データに対する少なくとも一つの前記第2のセットの変換生体データの照合を行うこと(S223)と、
照合のための少なくとも一つのユーザインデックスを前記セッション値と共に前記ネットワークノードに提示すること(S224)であって、前記ユーザは、認証されていると見なされることと、
を備える方法。 - 安全な通信チャネルのネットワークノード(300)を用いてクライアント装置(100)のユーザ(200)の生体データの登録を行うように構成されたクライアント装置(100)であって、前記クライアント装置(100)は、生体データセンサ(102)及び処理装置(103)を備え、
前記生体データセンサ(102)は、
前記ユーザ(200)の生体データをキャプチャするように構成され、
前記処理装置(103)は、
前記ユーザ(200)が認証される他の全てのクライアント装置(500)と共有される第1の特徴変換鍵を用いて、前記生体データを、第1のセットの変換生体データに変換し、
第2の特徴変換鍵を生成し、
前記第2の特徴変換鍵を用いて、前記生体データを、第2のセットの変換生体データに変換し、
前記ユーザ(200)が認証される生体データ検証ノード(400)と共有される暗号化鍵を用いて、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを暗号化し、
前記第1のセットの変換生体データ及び前記第2のセットの変換生体データが登録される前記ネットワークノード(300)と共有される暗号化鍵を用いて、前記第2の特徴変換鍵を暗号化し、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、暗号化された前記第2の特徴変換鍵並びにユーザプロファイルデータを備える登録要求を、前記ネットワークノード(300)に提示するように構成されたクライアント装置(100)。 - 前記処理装置(103)は、
前記生体データ検証ノード(400)によって検証される認証を、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データに与えるように更に構成された請求項13に記載のクライアント装置(100)。 - 前記処理装置(103)は、
前記ネットワークノード(300)によって検証される認証を、前記第1のセットの変換生体データ及び前記第2のセットの変換生体データに与えるように更に構成された請求項13又は14に記載のクライアント装置(100)。 - 安全な通信チャネルのクライアント装置(100)のユーザ(200)の生体データの登録を行うように構成されたネットワークノード(300)であって、前記ネットワークノード(300)は、処理装置(301)を備え、前記処理装置(301)は、
前記ユーザ(200)の暗号化された第1のセットの変換生体データ及び第2のセットの変換生体データを備える登録要求を前記クライアント装置(100)から受信し、前記第1のセットの変換生体データは、前記クライアント装置と前記生体データに基づく前記安全な通信チャネルの生体データ検証ノード(400)の間で共有される鍵によって暗号化され、暗号化された第2の特徴変換鍵は、前記第2のセットの変換生体データをユーザプロファイルデータとともに変換し、
暗号化された前記第2の特徴変換鍵を解読し、
受信した前記第2の特徴変換鍵に対するユーザインデックスを生成し、
前記第2の特徴変換鍵、前記ユーザプロファイルデータ及び前記ユーザインデックスを格納し、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、前記ユーザプロファイルデータ並びに前記ユーザインデックスを、生体データ検証ノード(400)に提示するように構成されたネットワークノード(300)。 - 安全な通信チャネルのクライアント装置(100)のユーザ(200)の生体データの登録を行うように構成された生体データ検証ノード(400)であって、前記生体データ検証ノード(400)は、処理装置(401)を備え、前記処理装置(401)は、
前記クライアント装置(100)の前記ユーザ(200)の暗号化された第1のセットの変換生体データ及び第2のセットの変換生体データを備える登録要求を、前記クライアント装置(100)と通信を行うように構成されたネットワークノード(300)から受信し、前記生体データ検証ノード(400)は、前記生体データを前記第1のセットの変換生体データに変換するための第1の特徴変換鍵と前記生体データを前記第2のセットの変換生体データに変換するための第2の特徴変換鍵のいずれにもアクセスせず、前記生体データのクリアテキストコピーを取得できず、
暗号化された前記第1のセットの変換生体データ及び前記第2のセットの変換生体データを解読し、
前記ユーザ(200)の次の認証のために前記第1のセットの変換生体データ及び前記第2のセットの変換生体データ、ユーザプロファイルデータ並びにユーザインデックスを格納するように構成された前記生体データ検証ノード(400)。 - 生体データに基づく安全な通信チャネルのネットワークノード(300)を用いてクライアント装置(500)のユーザ(200)の認証を可能にするように構成されたクライアント装置(500)であって、クライアント装置(100)は、生体データセンサ(102)及び処理装置(103)を備え、
前記処理装置(103)は、
前記ネットワークノード(300)からセッション値を受信するように構成され、
前記生体データセンサ(102)は、
前記ユーザ(200)の生体データをキャプチャするように構成され、
前記処理装置(103)は、
認証が行われる登録された生体データを有するクライアント装置(100)と共有される第1の特徴変換鍵を用いて、前記生体データを第1のセットの変換生体データに変換し、
前記ユーザ(200)が認証される生体データ検証ノード(400)と共有される暗号化鍵を用いて、前記第1のセットの変換生体データ及び受信したセッション値を暗号化し、
前記ネットワークノード(300)と共有される暗号化鍵を用いて、前記セッション値を暗号化し、
暗号化された前記第1のセットの変換生体データ、前記生体データ検証ノード(400)と共有される鍵を用いて暗号化されたセッション値、前記ネットワークノード(300)と共有される暗号化鍵を用いて暗号化されたセッション値及びユーザプロファイルデータを前記ネットワークノード(300)に提示し、
少なくとも一つの暗号化された第2の特徴変換鍵及び前記ネットワークノード(300)と共有される暗号化鍵を用いて暗号化されたセッション値を受信し、少なくとも一つの第2の特徴変換鍵は、前記ネットワークノード(300)と共有される鍵を用いて暗号化され、
暗号化された少なくとも一つの第2の特徴変換鍵及び前記ネットワークノード(300)と共有される暗号化鍵を用いて暗号化されたセッション値を解読するとともに解読されたセッション値が以前に受信したセッション値に適合することを検証し、
前記ネットワークノード(300)と共有される少なくとも一つの第2の特徴変換鍵を用いて、前記生体データを少なくとも一つの第2のセットの変換生体データに変換し、
前記生体データ検証ノード(400)と共有される鍵を用いて、少なくとも一つの第2のセットの変換生体データ及び前記セッション値を暗号化し、
暗号化された少なくとも一つの第2のセットの変換生体データ及び前記生体データ検証ノード(400)と共有される鍵を用いて暗号化されたセッション値を前記ネットワークノードに提示し、前記ネットワークノード(300)は、前記クライアント装置の認証のために、提示されたデータを前記生体データ検証ノード(400)に転送するように構成されたクライアント装置(500)。 - 前記処理装置(103)は、
前記第1のセットの変換生体データ及び受信したセッション値に、前記生体データ検証ノード(400)によって検証される認証を与えるように更に構成された請求項18に記載のクライアント装置(500)。 - 前記処理装置(103)は、
前記ネットワークノード(300)と共有される暗号化鍵を用いて暗号化されたセッション値に、前記ネットワークノード(300)によって検証される認証を与えるように更に構成された請求項18又は19に記載のクライアント装置(500)。 - 前記処理装置(103)は、
少なくとも一つの前記第2のセットの変換生体データ及び前記セッション値に、前記生体データ検証ノード(400)によって検証される認証を与えるように更に構成された請求項18~20のいずれか一項に記載のクライアント装置(500)。 - 生体データに基づく安全な通信チャネルの生体データ検証ノード(400)を用いてクライアント装置(500)のユーザ(200)の認証を可能にするように構成されたネットワークノード(300)であって、前記ネットワークノード(300)は、処理装置(301)を備え、前記処理装置(301)は、
前記クライアント装置(500)にセッション値を提示し、
ユーザの暗号化された第1のセットの変換生体データを前記クライアント装置から受信し、前記第1のセットの変換生体データは、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化され、前記セッション値は、前記クライアント装置と共有される鍵によってユーザプロファイルデータと共に暗号化され、前記セッション値は、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化され、
受信した暗号化されたセッション値を解読するとともに解読したセッション値が以前に送信されたセッション値に適合することを検証し、
暗号化された前記第1のセットの変換生体データ、前記ユーザプロファイルデータ及び前記セッション値を提示し、前記セッション値は、前記クライアント装置と前記生体データ検証ノードの間で共有される鍵によって暗号化され、
前記生体データ検証ノードに以前に登録された少なくとも一つのセットの変換生体データの各々に関連するとともに変換生体データと提示された第1のセットの変換生体データの照合を行うユーザインデックスと、前記セッション値とを前記生体データ検証ノードから受信し、
前記セッション値が前記生体データ検証ノードに以前に送信されたセッション値に適合することを検証し、
受信したユーザインデックスの各々に対して、以前に登録した第2の特徴変換鍵をフェッチし、
フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値を、前記クライアント装置と共有される鍵によって暗号化し、
暗号化した前記第2の特徴変換鍵及び前記セッション値を前記クライアント装置に提示し、
少なくとも一つの第2の特徴変換鍵によって変換される暗号化された少なくとも一つの第2のセットの変換生体データ及び前記セッション値の暗号化されたものを、前記クライアント装置(500)から受信し、前記少なくとも一つの第2のセットの変換生体データ及び前記セッション値は、前記クライアント装置(500)と前記生体データ検証ノード(400)の間で共有される鍵によって暗号化され、
暗号化された前記少なくとも一つの第2のセットの変換生体データ、前記セッション値及び暗号化された前記セッション値を、前記生体データ検証ノード(400)に提示し、
少なくとも以前に登録した第2の特徴変換鍵の各々に関連付けられたユーザインデックス及び前記セッション値を前記生体データ検証ノードから受信し、前記生体データ検証ノードは、前記ユーザインデックスに以前に登録された少なくとも一つのセットの変換生体データに対する前記少なくとも一つの第2のセットの変換生体データの照合を行い、前記ユーザは認証されていると見なされるように構成されたネットワークノード(300)。 - 前記処理装置(301)は、
フェッチした少なくとも一つの第2の特徴変換鍵及び前記セッション値に、前記ネットワークノード(300)によって検証された認証を与えるように更に構成された請求項22に記載のネットワークノード(300)。 - 生体データに基づく安全な通信チャネルのクライアント装置(500)のユーザ(200)の認証を可能にすることを生体データ検証ノード(400)であって、前記生体データ検証ノード(400)は、処理装置(401)を備え、前記処理装置(401)は、
暗号化された第1のセットの変換生体データ、前記クライアント装置(500)と共有される鍵によって暗号化されたセッション値及びユーザプロファイルデータを、前記クライアント装置(500)と通信を行うように構成されたネットワークノード(300)から受信し、
暗号化された前記第1のセットの変換生体データ及び暗号化された前記セッション値を解読するとともに暗号化された前記セッション値が受信したセッション値に適合することを検証し、
受信したユーザプロファイルデータに以前に登録された少なくとも一つのセットの変換生体データに対する暗号化された前記第1のセットの変換生体データの照合を行い、
照合のために以前に登録した少なくとも一つのセットの変換生体データの各々に関連するユーザインデックス及び前記セッション値を、前記ネットワークノード(300)に提示し、
暗号化された少なくとも一つの第2のセットの変換生体データ、暗号化された前記セッション値及び前記セッション値のクリアテキストコピーを、前記ネットワークノードから受信し、
暗号化された前記少なくとも一つの第2のセットの変換生体データ及び暗号化された前記セッション値を解読するとともに暗号化された前記セッション値がクリアテキストセッション値に適合し、
以前に登録された少なくとも一つのセットの変換生体データに対する少なくとも一つの前記第2のセットの変換生体データの照合を行い、
照合のための少なくとも一つのユーザインデックスを前記セッション値と共に前記ネットワークノードに提示し、前記ユーザは、認証されていると見なされるように構成された生体データ検証ノード(400)。 - 生体データ検知システム(101)に含まれる処理装置(103)によって実行されるときに請求項1~3のいずれか一項及び/又は6~9のいずれか一項に記載の方法を前記生体データ検知システム(101)によって実行させるコンピュータ実行可能な命令を備えるコンピュータプログラム(107)。
- 請求項25に記載のコンピュータプログラム(107)を有するコンピュータ可読媒体(105)を備えるコンピュータプログラム製品。
- ネットワークノード(300)に含まれる処理装置(301)によって実行されるときに請求項4又は10及び11のいずれか一項に記載の方法を前記ネットワークノード(300)によって実行させるコンピュータ実行可能な命令を備えるコンピュータプログラム(302)。
- 請求項27に記載のコンピュータプログラム(302)を有するコンピュータ可読媒体(303)を備えるコンピュータプログラム製品。
- 生体データ検証ノード(400)に含まれる処理装置(401)によって実行されるときに請求項5又は12に記載の方法を前記生体データ検証ノード(400)によって実行させるコンピュータ実行可能な命令を備えるコンピュータプログラム(402)。
- 請求項29に記載のコンピュータプログラム(402)を有するコンピュータ可読媒体(403)を備えるコンピュータプログラム製品。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE1751469 | 2017-11-29 | ||
SE1751469-6 | 2017-11-29 | ||
PCT/SE2018/051169 WO2019108111A1 (en) | 2017-11-29 | 2018-11-14 | Two-step central matching of fingerprints |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2021505034A JP2021505034A (ja) | 2021-02-15 |
JPWO2019108111A5 JPWO2019108111A5 (ja) | 2023-01-19 |
JP7391843B2 true JP7391843B2 (ja) | 2023-12-05 |
Family
ID=66649415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020528403A Active JP7391843B2 (ja) | 2017-11-29 | 2018-11-14 | 指紋の2段階の集中的な照合 |
Country Status (6)
Country | Link |
---|---|
US (2) | US10305690B1 (ja) |
EP (1) | EP3718035B1 (ja) |
JP (1) | JP7391843B2 (ja) |
KR (1) | KR102604066B1 (ja) |
CN (1) | CN110268407B (ja) |
WO (1) | WO2019108111A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10532139B2 (en) | 2015-09-25 | 2020-01-14 | Fresenius Medical Care Holdings, Inc. | Short-range wireless communication for a dialysis system |
US11165772B2 (en) * | 2017-09-13 | 2021-11-02 | Fingerprint Cards Ab | Methods and devices of enabling authentication of a user of a client device over a secure communication channel based on biometric data |
WO2019160472A1 (en) | 2018-02-13 | 2019-08-22 | Fingerprint Cards Ab | Updating biometric template protection keys |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070061590A1 (en) | 2005-09-13 | 2007-03-15 | Boye Dag E | Secure biometric authentication system |
JP2008092413A (ja) | 2006-10-04 | 2008-04-17 | Hitachi Ltd | 生体認証システム、登録端末、認証端末、及び認証サーバ |
JP2010146245A (ja) | 2008-12-18 | 2010-07-01 | Hitachi Ltd | 生体認証システムおよびその方法 |
JP2016192715A (ja) | 2015-03-31 | 2016-11-10 | 株式会社東芝 | 暗号鍵管理システムおよび暗号鍵管理方法 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8380630B2 (en) | 2000-07-06 | 2013-02-19 | David Paul Felsher | Information record infrastructure, system and method |
US7181017B1 (en) | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
KR100826873B1 (ko) * | 2006-09-07 | 2008-05-06 | 한국전자통신연구원 | 생체 인식 방법 및 이를 위한 장치 |
GB2467884A (en) | 2007-11-28 | 2010-08-18 | Univ Colorado | Bio-cryptography secure cryptographic protocols with bipartite biotokens |
US8705873B2 (en) | 2008-03-20 | 2014-04-22 | Universite De Geneve | Secure item identification and authentication system and method based on unclonable features |
US8838990B2 (en) * | 2008-04-25 | 2014-09-16 | University Of Colorado Board Of Regents | Bio-cryptography: secure cryptographic protocols with bipartite biotokens |
NL1036400C2 (en) * | 2009-01-09 | 2010-07-13 | Priv Id B V | Method and system for verifying the identity of an individual by employing biometric data features associated with the individual. |
KR101226151B1 (ko) | 2009-08-17 | 2013-01-24 | 한국전자통신연구원 | 바이오 등록 및 인증 장치와 그 방법 |
US20110047377A1 (en) * | 2009-08-19 | 2011-02-24 | Harris Corporation | Secure digital communications via biometric key generation |
US9436864B2 (en) | 2012-08-23 | 2016-09-06 | Apple Inc. | Electronic device performing finger biometric pre-matching and related methods |
US9774596B2 (en) | 2014-05-23 | 2017-09-26 | Fujitsu Limited | Privacy-preserving biometric authentication |
US9967101B2 (en) | 2014-12-04 | 2018-05-08 | Fujitsu Limited | Privacy preserving set-based biometric authentication |
CN112528258A (zh) | 2015-02-11 | 2021-03-19 | 维萨国际服务协会 | 用于安全地管理生物计量数据的系统和方法 |
CN107079034B (zh) * | 2016-11-15 | 2020-07-28 | 深圳达闼科技控股有限公司 | 一种身份认证的方法、终端设备、认证服务器及电子设备 |
CN107171791A (zh) * | 2017-05-24 | 2017-09-15 | 舒翔 | 一种基于生物特征的数据加解密方法及加解密系统 |
-
2018
- 2018-08-30 US US16/117,552 patent/US10305690B1/en active Active
- 2018-11-14 KR KR1020207013863A patent/KR102604066B1/ko active IP Right Grant
- 2018-11-14 JP JP2020528403A patent/JP7391843B2/ja active Active
- 2018-11-14 CN CN201880010977.8A patent/CN110268407B/zh active Active
- 2018-11-14 EP EP18883024.4A patent/EP3718035B1/en active Active
- 2018-11-14 WO PCT/SE2018/051169 patent/WO2019108111A1/en unknown
-
2019
- 2019-04-11 US US16/381,483 patent/US10574452B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070061590A1 (en) | 2005-09-13 | 2007-03-15 | Boye Dag E | Secure biometric authentication system |
JP2008092413A (ja) | 2006-10-04 | 2008-04-17 | Hitachi Ltd | 生体認証システム、登録端末、認証端末、及び認証サーバ |
JP2010146245A (ja) | 2008-12-18 | 2010-07-01 | Hitachi Ltd | 生体認証システムおよびその方法 |
JP2016192715A (ja) | 2015-03-31 | 2016-11-10 | 株式会社東芝 | 暗号鍵管理システムおよび暗号鍵管理方法 |
Also Published As
Publication number | Publication date |
---|---|
KR20200092950A (ko) | 2020-08-04 |
JP2021505034A (ja) | 2021-02-15 |
EP3718035B1 (en) | 2021-05-26 |
EP3718035A1 (en) | 2020-10-07 |
WO2019108111A1 (en) | 2019-06-06 |
EP3718035A4 (en) | 2020-10-07 |
CN110268407A (zh) | 2019-09-20 |
US10574452B2 (en) | 2020-02-25 |
US20190238328A1 (en) | 2019-08-01 |
KR102604066B1 (ko) | 2023-11-20 |
US20190165939A1 (en) | 2019-05-30 |
US10305690B1 (en) | 2019-05-28 |
CN110268407B (zh) | 2021-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11449589B2 (en) | Updating biometric data templates | |
US11218319B2 (en) | Biometrics-based remote login | |
US10951413B2 (en) | Trusted key server | |
KR20070024569A (ko) | 생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처 | |
US10742410B2 (en) | Updating biometric template protection keys | |
JP7391843B2 (ja) | 指紋の2段階の集中的な照合 | |
US11115215B2 (en) | Methods and devices of enabling authentication of a user of a client device over a secure communication channel based on biometric data | |
US11165772B2 (en) | Methods and devices of enabling authentication of a user of a client device over a secure communication channel based on biometric data | |
KR102561689B1 (ko) | 생체 정보 등록 장치 및 방법, 생체 인증 장치 및 방법 | |
Saranya et al. | MF-Secure: Multifactor Security Framework for Distributed Mobile Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210908 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20220202 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220914 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221011 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20230110 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230509 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230726 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20230906 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231114 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7391843 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |