生物體參照信息登記系統(tǒng)��、裝置及程序的制作方法
【技術領域】
[0001]本發(fā)明的實施方式涉及生物體參照信息登記系統(tǒng)��、裝置及程序�����。
【背景技術】
[0002]在實現(xiàn)經(jīng)由網(wǎng)絡的通信及服務時,對通信對象進行認證成為重要的技術要素�。近年來,隨著開放的網(wǎng)絡環(huán)境的普及�、分散的服務.資源的聯(lián)合技術的發(fā)達,認證對象的范圍從用戶擴大到使用設備終端�。
[0003]特別是,在認證對象者為個人的情況下��,對個人是否為本人進行確認的技術當前受到注目����。通常,在認證中執(zhí)行認證時�����,對認證對象者嚴格地進行識別或者對照被列舉為要件�����。此時����,在認證對象者為個人的情況下��,需要對個人是否為本人嚴格地進行確認的本人確認技術�����。
[0004]當前���,作為實施本人確認的有希望的技術,能夠列舉生物統(tǒng)計學認證(生物體認證)技術�����。生物體認證為��,用于將每個人所具有的固有的身體特征或者特性與預先登記的生物體信息(以下�����,稱為生物體參照信息)進行對照來對是否為本人進行確認的技術��。作為生物體信息�����,利用指紋����、虹彩、視網(wǎng)膜���、面部����、聲音��、鍵擊(keystroke)�����、簽字等�����。
[0005]生物體認證與密碼等現(xiàn)有的認證方法不同���,利用無忘卻�、丟失這種擔心的生物體信息����,因此能夠減少用戶的負荷�����。生物體信息以難以復制為前提�,作為防止用戶的偽裝等的對策是有效的����。
[0006]此外,當前�����,以互聯(lián)網(wǎng)為代表的開放網(wǎng)絡普及�����,在電商交易等中作為隔著網(wǎng)絡對通信對象進行認證的方法而利用生物體認證的動向變強��。在身份證明等領域中也正在研宄利用生物體認證來進行身份證書(簡稱身份證)的所有者的本人確認����。
[0007]對于這種動向�,作為經(jīng)由網(wǎng)絡進行生物體認證的技術,已知有使用面向生物體認證的認證上下文(context)來進行生物體認證的技術。具體地說����,例如,在專利文獻I中公開有一種技術����,將與客戶側的生物體認證相關的過程內(nèi)容,總結為面向生物體認證的認證上下文(生物體認證上下文)信息����,向隔著網(wǎng)絡的驗證者通知。
[0008]此外����,在網(wǎng)絡上利用生物體認證的情況下,已知使用基于非對稱密碼方式的公鑰構架(PKI:Public Key Infrastructure)的方法���。例如����,已知將成為生物體認證的合法性的基準的證書(Credential)即生物體參照信息(B1metric Reference Template)����、與公鑰證書建立關聯(lián)的方法�����。該生物體參照信息是指對原始的生物體信息(B1metric RawData)實施特征抽取處理等而得到的信息�,成為對照處理的基準信息���。其中��,根據(jù)對照算法�����,還存在將原始的生物體信息作為生物體參照信息使用的情況���。作為已知的代表性技術,已知RFC(request for comments) 3739的標準規(guī)格X.509等�����。X.509規(guī)定在公鑰證書中作為選項而包含表示與生物體參照信息之間的相關性的信息(生物體參照信息的哈希值)����。此夕卜,在 ISO (Internat1nal Organizat1n for Standardizat1n) /IEC (Internat1nalElectrotechnical Commiss1n) 24701 中�����,作為 BRT i正書(B1metric Reference TemplateCertificate)而規(guī)定了對生物體參照信息的哈希值實施了數(shù)字署名的數(shù)據(jù)���。
[0009]作為以上那樣的生物體認證與PKI的組合����,已知如下技術:通過使生物體認證與利用了公鑰證書的實體認證連鎖來間接地實施網(wǎng)絡上的利用者認證(本人確認)�����。
[0010]此外��,用于生成生物體參照信息的基礎信息(原始的生物體信息等)���,是個人的身體特征這種敏感(機密)的信息�����,因此需要對其隱私性進行考慮���。因此,還可以考慮到在認證對象者側實施生物體認證的處理本身����,不在認證者側保管生物體參照信息等信息的方法等�����。在該方法中����,通過將上述那樣的公鑰證書與生物體參照信息建立關聯(lián)�����,能夠間接地實施生物體參照信息的生命周期管理����。
[0011]然而,在以上那樣的生物體認證的技術中�,在將生物體參照信息向生物體認證系統(tǒng)進行登記時,存在不能夠從任意的客戶環(huán)境經(jīng)由網(wǎng)絡進行登記這種不良情況�����。
[0012]例如���,即使在將進行登記的生物體參照信息在認證對象者側或者驗證者側的任一側進行管理的情況下����,為了制作生物體參照信息,也需要使認證對象者訪問驗證者所指定的店鋪等�,通過驗證者側準備的設備(生物體信息掃描儀等)采集原始的生物體信息。這是因為需要將客戶環(huán)境的品質(zhì)和安全性保持為一定水準���。即,為了阻止品質(zhì)較差的生物體參照信息的登記而將對照精度維持為一定水準�,需要通過驗證者側準備的客戶環(huán)境來采集生物體信息。但是�����,存在強制認證對象者進行物理性移動而使認證對象者的負擔增大的不良情況�����。
[0013]從消除這種不良情況的觀點出發(fā)�,在專利文獻2中公開有用于將對照精度維持為一定水準并且從任意的客戶環(huán)境經(jīng)由網(wǎng)絡對生物體參照信息進行登記的技術。
[0014]現(xiàn)有技術文獻
[0015]專利文獻
[0016]專利文獻1:日本專利第4956096號公報
[0017]專利文獻2:日本特開2009-169517號公報
【發(fā)明內(nèi)容】
[0018]發(fā)明要解決的課題
[0019]然而�����,根據(jù)本發(fā)明人的研宄而能夠推斷���,在專利文獻2所公開的技術中�����,需要在儲存生物體參照信息的設備(便攜介質(zhì)等)與生物體認證系統(tǒng)之間預先共享秘密信息���,并通過與生物體認證系統(tǒng)緊密地建立關聯(lián)的設備進行運用�。
[0020]S卩�����,能夠推斷����,特定的生物體認證系統(tǒng)運用僅能登記由該生物體認證系統(tǒng)發(fā)行的生物體參照信息(及/或?qū)ι矬w參照信息進行保證的信息)的設備。在這種運用的情況下����,利用者需要持有與每個生物體認證系統(tǒng)對應的設備,因此負擔變大����。
[0021]本發(fā)明要解決的課題在于,提供生物體參照信息登記系統(tǒng)、裝置及程序���,不在設備與生物體認證系統(tǒng)之間預先共享秘密信息�����,能夠經(jīng)由網(wǎng)絡對生物體參照信息進行保證及儲存�����。
[0022]用于解決課題的手段
[0023]實施方式的生物體參照信息登記系統(tǒng)為���,具備能夠經(jīng)由網(wǎng)絡相互通信的生物體參照信息儲存裝置及生物體參照信息證書生成裝置��。上述生物體參照信息登記系統(tǒng)將認證對象者的生物體參照信息向上述生物體參照信息儲存裝置進行登記�。
[0024]上述生物體參照信息儲存裝置具備第一密鑰存儲單元、提問(challenge)信息接收單元����、生物體參照信息生成單元、哈希值生成單元��、第一署名生成單元�、生物體認證上下文生成單元、生物體認證上下文發(fā)送單元�、證書接收單元�����、第一抽取單元�、哈希值驗證單元����、生物體認證上下文驗證單元、儲存單元及寫入單元����。
[0025]上述第一密鑰存儲單元存儲自裝置的第一密鑰。
[0026]上述提問信息接收單元從上述生物體參照信息證書生成裝置接收提問信息�����。
[0027]上述生物體參照信息生成單元基于從上述認證對象者采集到的生物體信息���,生成生物體參照信息����。
[0028]上述哈希值生成單元生成上述生物體參照信息的哈希值���。
[0029]上述第一署名生成單元基于上述第一密鑰��,生成相對于上述提問信息及上述生物體參照信息的哈希值的����、第一數(shù)字署名。
[0030]上述生物體認證上下文生成單元生成包含上述提問信息����、上述生物體參照信息的哈希值及上述第一數(shù)字署名的生物體認證上下文。
[0031]上述生物體認證上下文發(fā)送單元將上述生物體參照信息的哈希值及上述生物體認證上下文向上述生物體參照信息證書生成裝置發(fā)送�����。
[0032]上述證書接收單元從上述生物體參照信息證書生成裝置接收生物體參照信息證書���,該生物體參照信息證書包含上述生物體參照信息的哈希值及上述生物體認證上下文、以及相對于該生物體參照信息的哈希值及上述生物體認證上下文的���、第二數(shù)字署名的生物體參照信息證書���。
[0033]上述第一抽取單元從上述生物體參照信息證書中抽取上述生物體參照信息的哈希值及上述生物體認證上下文。
[0034]上述哈希值驗證單元基于上述生成的哈希值來驗證上述抽取到的哈希值���。
[0035]上述生物體認證上下文驗證單元基于上述生成的生物體認證上下文來驗證上述抽取到的生物體認證上下文�����。
[0036]上述儲存單元是用于儲存上述生物體參照信息及上述生物體參照信息證書的單
J L.ο
[0037]上述寫入單元為���,在上述哈希值驗證單元及上述生物體認證上下文驗證單元的驗證結果分別表示合法性的情況下�����,將上述生物體參照信息及上述生物體參照信息證書向上述儲存單元寫入�。
[0038]上述生物體參照信息證書生成裝置具備賬戶存儲單元����、第二密鑰存儲單元、提問信息發(fā)送單元��、生物體認證上下文接收單元�����、第二抽取單元��、提問信息驗證單元���、署名驗證單元����、第二署名生成單元、證書生成單元���、證書寫入單元及證書發(fā)送單元����。
[0039]上述賬戶存儲單元是用于將上述認證對象者的用戶ID及上述生物體參照信息證書相互建立關聯(lián)地存儲的存儲單元����。
[0040]上述第二密鑰存儲單元存儲自裝置的第二密鑰。
[0041]上述提問信息發(fā)送單元生成上述提問信息并將該提問信息向上述生物體參照信息儲存裝置發(fā)送���。
[0042]上述生物體認證上下文接收單元從上述生物體參照信息儲存裝置接收上述生物體參照信息的哈希值及上述生物體認證上下文����。
[0043]上述第二抽取單元從上述接收到的生物體認證上下文中抽取提問信息���。
[0044]上述提問信息驗證單元基于上述發(fā)送的提問信息來驗證上述抽取到的提問信息。
[0045]上述署名驗證單元基于與上述第一密鑰對應的第一公鑰來驗證上述接收到的生物體認證上下文內(nèi)的第一數(shù)字署名�����。
[0046]上述第二署名生成單元為,在上述提問信息驗證單元及上述署名驗證單元的驗證結果分別表示合法性的情況下����,基于上述第二密鑰,生成與上述接收到的上述生物體參照信息的哈希值及上述生物體認證上下文相對的上述第二數(shù)字署名�����。
[0047]上述證書生成單元生成包含上述生物體參照信息的哈希值��、上述生物體認證上下文及上述第二數(shù)字署名的上述生物體參照信息證書���。
[0048]上述證書寫入單元將上述生成的生物體參照信息證書與上述認證對象者的用戶ID建立關聯(lián)地向上述賬戶存儲單元寫入��。
[0049]上述證書發(fā)送單元將上述生成的生物體參照信息證書向上述生物體參照信息儲存裝置發(fā)送�����。
【附圖說明】
[0050]圖1是表示第一實施方式的生物體參照信息登記系統(tǒng)的結構例的示意圖����。
[0051]圖2是表示同上實施方式的生物體參照信息儲存裝置的結構例的示意圖�。
[0052]圖3是表示同上實施方式的生物體認證上下文的結構例的示意圖�。
[0053]圖4是用于說明同上實施方式的有效化信息暫時保存部的示意圖����。
[0054]圖5是用于說明同上實施方式的有效化信息暫時保存部的示意圖。
[0055]圖6是表示同上實施方式的生物體參照信息證書生成裝置的結構例的示意圖�。
[0056]圖7是表示同上實施方式