专利名称:带有脆弱性验证的生物识别认证系统以及方法
技术领域:
本发明涉及在经由网络的本人认证中,利用了生物识别认证的系统。
背景技术:
在经由网络的本人认证中,具有利用了生物识别认证的系统。
例如,具有利用登录在IC卡中的公开密钥信息以及与该信息相关联地进
行数字签名的生物识别信息,来进行本人认证的系统(例如,参照专利文献1 )。 此外,具有选择满足应用程序要求的错误接受率或者允许风险等安全级别 的生物识别认证技术,按照应用程序的策略进行本人认证的认证服务器以及装
置(例如,参照专利文献2)。
具有在客户端与应用程序之间,交换应用程序向客户端要求的错误接受率 或者在ISO15408中规定的安全性保证级别等认证策略,以及按照客户的资源、 个人秘密策略的认证模型,来进行本人认证的系统(例如,参照专利文献3)。
具有利用基于与客户端连接的设备的公开密钥信息的设备证明书,并按照 服务要求的生物认证级别,来在由设备执行的生物识别^人证处理结果中进行数 字签名的本人确认系统以及装置(例如,参照专利文献4)。
具有在TLS (Transport Layer Security )的合意(agreement)处理中,对
生物识别信息进行加密并通知服务器,通过服务器的解密以及生物特征对照来
判断合意书处理的中断的个人认证系统以及程序(例如,参照专利文献5)。
此外,公开了关于与生物识别认证有关的脆弱性的问题,进行评价'分析 的信息(例如,参照非专利文献l、非专利文献2以及非专利文献3。)。 专利文献l:特开2000-215280号公报 专利文献2:特开2003-256360号公报 专利文献3:特开2004-348308号公报 专利文献4:特开2003-143136号公报专利文献5:特开2003-224562号公报
非专利文献l:日经BP社2005年4月号,pp60-67,"湿手指、干燥手指 -指紋认证的实际"
非专利文献2:金融厅.第9次关于伪造现金卡问题的研究会,2005年4 月15日,"关于金融交易中的生物体认证""平成18年2月6日检索"互联网 < URL ; http : 〃www. fsa. go. jp/singi/singi—fccsg/gaiyou/f - 20050415 -singi一fccsg/02 .pdf >
非专利文献3:电子信息通信学会无所不在的网络社会中的生物识別安全 研究会第1次研究发表会演讲稿集,2003年7月22日23日,pp43-47,"关于 生物体认证中的威胁以及脆弱性的分析"。
如在非专利文献l中所述,在使用生物识别认证装置的本人认证中,不能 否定通过伪造等伪装进行攻击的威胁(以后称为伪装的威胁)。生物识别认证 装置根据各个装置的特性而不同,对于伪装威胁比较脆弱。将这样的装置固有 的弱点称为生物识别认证装置的脆弱性。脆弱性在研究各个对策时应该考虑的 重点不同,在非专利文献2中进行了分类。
但是,脆弱性根据安全对策技术的有无等、各生物识别认证装置的硬件标 准以及软件标准,级别和范围不同。此外,根据攻击者的级别,级别、范围也 不同。
特别是在对具有接受服务权限的用户进行本人认证之后提供服务的系统 中,在存在各种繁多的生物识别认证装置的环境中,在服务提供者一侧,对于 使用了进行此人认证的生物识别认证装置固有的脆弱性的伪装攻击的威胁级 别无法恰当地进4亍判断。
发明内容
本发明是鉴于这样的问题而提出的,提供一种系统,该系统支持服务提供 者恰当地判断攻击者针对通过生物识别所实施的本人认证的伪装威胁的级别。
在本发明的带有脆弱性-睑证的本人认证系统中,设置统一管理各生物识别 产品的脆弱信息的服务器,服务提供商从客户端取得用于确定进行了生物识别 认证的装置以及环境的信息,从所述统一管理的脆弱性信息中取得该装置的脆 弱性信息。服务提供商使用取得的脆弱性信息判断可否提供服务。具体地说,提供一种生物识别认证系统,其在经由数据通信网执行了服务
请求者的本人确认的基础上提供服务,该生物识别认证系统的特征为具有客
户终端,其接受服务请求者的生物识别信息的输入,使用收到的所述生物识别
信息,由自身的生物识别认证单元来进行生物识别认证;服务提供商,其提供 服务;以及脆弱性验证服务器,其保存脆弱性信息,该脆弱性信息表示可与所 述生物识别认证系统连接的生物识别认证单元的脆弱性级别,所述脆弱性验证 服务器具有脆弱性^r证单元,其在从服务提供商接受确定生物识别认证单元的 信息的提供时,向提供源的服务提供商回复该生物识别认证单元的所述脆弱性 信息,所述服务提供商具有服务提供判断单元,其根据所述脆弱性信息来判 断可否向具有该生物识别认证单元的所述客户终端提供服务;以及服务提供单
元,其在通过所述服务提供判断单元判断为可以时,向作为服务请求源的客户 终端提供服务。
根据本发明,可以支持服务4是供者恰当地判断攻击者针对通过生物识别所 实施的本人认证的伪装威胁的级別。
图1是第一实施方式的带有脆弱性验证功能的生物识别认证系统的系统 结构图2是构成第 一 实施方式的系统的各装置的功能结构图; 图3表示第一实施方式的处理分布的一例;
图4表示在第一实施方式的脆弱性DB中保存的脆弱性信息的一例; 图5表示第一实施方式的认证策略的一例;
图6是第一实施方式的整个系统的脆弱性验证处理的概要的处理流程; 图7是第一实施方式的脆弱性验证处理的处理流程; 图8是构成第二实施方式的系统的各装置的功能结构图。 符号说明
100:数据通信网、110客户终端、112:处理分布生成功能、120:生物识别 认证功能、130:服务提供商、131:脆弱性验证功能、132:策略验证功能、 133:服务提供判定功能、134:服务提供功能、140:认证策略、150:脆弱性 验证服务器、151:脆弱性信息收集功能、152:脆弱性验证功能、160:脆弱性信息数据库、170:脆弱性评i"介机关、180:生物识别产品推销商、190:样 板发行机关具体实施方式
(第一实施方式)
以下,利用
本发明的实施方式。
图1是应用了本发明的第一实施方式的带有脆弱性-验证功能的生物识别 认证系统的系统结构图。
如本图所示,本实施方式的生物识别认证系统具有因特网或者无线通信网 等数据通信网100、与数据通信网100连接的具有生物识别认证功能120的客 户终端110、按照预先决定的认证策略140向客户提供服务的服务提供商130 以及对每个生物识別标准具有脆弱性信息的数据库(脆弱性数据库)160的脆 弱性验证服务器150。另夕卜,与客户终端110以及服务提供商130的数量无关。
然后,对各结构进行详细地说明。图2是构成本实施方式的系统的客户终 端110、服务提供商130以及脆弱性验证服务器150各自的功能结构图。
客户终端110具有生物识别认证功能120以及处理分布(profile)生成功 能112。
生物识别认证功能120当从服务提供商130收到本人认证的请求时,使用 用户的生物识别信息进行本人认证,并将该结果转送给处理分布生成功能112。
处理分布生成功能112根据生物识别认证功能120的本人认证的结果以及 用于确定实现所述生物识别认证功能120的生物识别装置(生物识别产品)的 信息,来生成处理分布500,并发送给要求本人认证的服务提供商130。另外, 在这里,当本人认证结果是认证失败时,不生成处理分布500,撤回服务请求, 并结束处理。
在图3中表示了在此生成的处理分布500的一例。如本图所示,在处理分 布500中记述了以下内容作为唯一指定该生物识别装置的ID信息的装置ID (例如,产品序号或设备的公开密钥证明书的序列号等。根据该值,还可以判 定该生物识别装置收集的生物识别种类。)510、唯一指定该生物识別装置的标 准的装置标准ID(例如,型号等)520、作为该生物识别装置的软件的版本的 软件版本530、例如表示是否在控制下被使用的客户终端的运用条件540、作为在认证中使用的样板的版本或ID信息的样板信息550、作为表示在客户终 端110中执行的生物识别认证的结果的信息(在本实施方式中,相应的对照所 达成的错误接受率的评分(score),或者在请求认证时从服务提供商取得应达 成的错误接受率的评分时,表示清除了该评分的OK或者表示无法清除该评分 的NG信息)的对照结果560、以及作为用于验证这些数据510 ~ 560的信息 不是被篡改过的信息的信息(例如,MAC (Message Authentication Code)或 数字签名等)的安全信息570。另外,作为处理分布500的运用条件540存储 的信息最好是与后述的脆弱性数据库160内登录的运用条件相统一的用语。
脆弱性服务器150具有脆弱性信息收集功能151、脆弱性验证功能152以 及脆弱性数据库(DB) 160。
脆弱性信息收集功能151从脆弱性评价机关170、推销商180、样板发行 机关190收集脆弱性信息,并记录在脆弱性DB160中。
脆弱性DB160对各^^司的生物识别装置(生物识别产品)的每个装置标 准保存用于确定脆弱性的脆弱性信息。在图4中表示了在脆弱性DB160中保 存的脆弱性信息的一例。如本图所示,本实施方式的脆弱性信息4姿每个装置标 准ID210,登录了类别220、范围230、运用条件240、欺诈'伪造的难度250 以及攻击者级别260。
作为装置标准ID210,登录唯一识别可在本系统内使用的各种生物识别认 证装置的装置标准的编码,例如登录搭载了该生物识别认证功能的认证设备的
硬件型号以及实现该生物识别认证功能的软件的版本号等。
作为类别220,是与执行生物识别认证的客户终端110有关的脆弱性的类
别,例如登录了在上述非专利文献2中分类收录的类别(例如,狼、山羊、伪 造接受、错误接受)等。此外,除了这样的与生物识别有关的脆弱性之外、对 于利用生物识别认证设备的防篡改性、加密信息或样板的泄漏、加密技术的危 殆化等IT产品的脆弱性的攻击,也可以作为分类进行准备并登录。
作为范围230登录了脆弱性影响波及的范围。具体而言,在范围230中登 录了影响波及的装置ID、软件版本以及样板ID。在只登录了装置ID,例如登 录了规定的装置ID时,意味着在装置标准ID210指定的标准中,影响只波及 到所登录的装置ID。如果是具有该装置ID的装置,则不管其软件版本以及样板ID。在只登录了软件版本、样板ID时,同样意味着在装置标准ID210指定 的标准的装置中,不管所登录的项目以外的项目,影响只波及到使用了在所登 录的项目中确定的软件版本、或样板ID的装置。
例如,在图4的装置标准ID210是A公司-001的生物识别认证装置时, 在范围230中没有登录任何项目。此时,意味着影响波及到由装置标准ID210 所指定的标准的全部产品A公司-001。此外,装置标准ID210是A公司-002 的装置时,只登录了装置ID。此时,影响只波及到该装置ID的装置。而且, 在装置标准ID210是A公司-003的装置时,只登录了样板ID。此时,在该 标准的装置中,影响只波及到使用所登录的样板ID的装置。并且,在是A公 司-004的装置时,登录了装置ID以及样板ID。此时,意味着影响只波及到 该标准的装置中的、为该装置ID并且使用了该样板ID的装置。
另外,还可以结合范围230以及装置标准ID210来确定影响波及的范围。 即,根据装置标准ID210以及在范围230内各项目登录的有无来确定范围。此 时,不管没有登录的项目,影响只波及到具有所登录的项目的装置。例如,在 只登录了样板ID,意味着不管装置的标准、装置、软件版本,只要是使用了 该样板ID的装置,就全部^^皮影响波及。
另外,作为范围,可以不像上述那样具体地登录装置ID、软件版本、样 板ID,例如可以如下划分。
(范围1)用于由装置标准ID210所指定的标准的全部产品。 (范围2 )在由装置标准ID210指定的标准中,只用于另外指定的装置ID。 (范围3 )在由装置标准ID210指定的标准中,只用于另外指定的样板ID。 (范围4 )在由装置标准ID210指定的标准中,只用于另外指定的装置ID、 另外指定的样板ID。
(范围5 )与装置标准ID210的指定无关,只用于特定的样板标准。 (范围6 )与装置标准ID210的指定无关,只用于特定的生物识别单元(例 如,利用面部图像的认证单元等)。另外,如上所述,通过装置ID来判断各装 置具有的生物识别单元的类别。
在各个范围中对应多个记录时,对于相应的各个记录,验证与提供商一侧 的策略的一致性。在不具体指定范围230时,另外在脆弱性信息160中具有对每个装置ID 登录难度、攻击者级别的数据库;以及对每个样板ID登录难度、攻击者级别 的数据库。对应来自后述的服务提供商130的要求,按照装置标准ID还取得 范围230的数据,在取得的范围230被规定为限定为另外指定的装置ID或者 样板ID时,另外检索装置ID数据库或者样板ID数据库,提取所取得的ID 相应的难度或者攻击者等级。
作为运用条件240,登录脆弱性显著的客户终端liO的运用条件。在本实 施方式中,例如,如下进行划分并进行登录。
(条件1 )在控制下,即在设置了客户终端110的空间中存在专门的监视 人员的运用条件。
(条件2)客户终端IIO被设置在公共场所,处于使用者的相互监视环境 中的运用条件。
(条件3)没有控制,即客户终端处于私人场所,仅通过客户来管理的运 用条件。
(条件4)与控制无关,即,不管是怎样的运用都没有关系。 作为欺诈.伪造的难度250,登录了用于实现欺诈 伪造等利用脆弱性的 伪装攻击所需要的资源、是否需要协助等条件。具体而言,例如,使用成为攻 击前提的生物识别信息的釆集装置的获得难度和有无协助来进行分类并登录。
(级别5)不需要采集装置,不需要伪装目标的协助,例如可以从样板信 息等取得生物识别信息的程序的难度。
(级别4)采集装置是通用品,不需要伪装目标的协助,就能够取得生物 识别信息的程度的难度。
(级别3)采集装置是特订品,不需要伪装目标的协助就能够取得生物识 别信息的程度的难度。
(级别2)采集装置是通用品,通过伪装目标的协助可以取得生物识别信 息的程度的难度。
(级别1)采集装置是特订品,通过伪装目标的协助能够取得生物识别信 息的程度的难度。
作为攻击者级别260,在本装置标准中登录了具有利用本类别的脆弱性可以进行攻击的能力的攻击者的知识级别。例如,作为登录的攻击者应具有的知 识级别,登录了如下划分的级别。 (级别5)不需要专业知识。
(级别4)大学毕业级别的知识。
(级别3)专家级别的知识。
(级别2)装置标准的设计者级别的知识。
(级别1)在装置标准的设计者级别的知识的基础上还需要运用负责人的 机密信息。
(级別0 )即使同时具有装置标准的设计者的知识以及运用负责人的^L密 信息也困难。
脆弱性验证功能152当从服务提供商接收到脆弱性验证的委托(脆弱性验 证委托)时,根据脆弱性验证委托中包含的各种信息,参照脆弱性DB160的 数据来进行脆弱性验证,并对委托源的服务提供商130回复验证结果。
如后所述,在脆弱性验证委托中包含记录在脆弱性DB160中的各项目, 即装置标准ID210、装置ID、软件版本信息以及运用条件240。脆弱性验证功 能152将取得的脆弱性验证委托中的装置标准ID210、装置ID、软件版本信息 以及运用条件240作为关键字来检索脆弱性DB160,还包含规定项目未登录 的记录、提取它们全部相吻合的记录。然后,取得在该记录中登录的类别220、 欺诈.伪造的难度250、攻击者级别260的信息。然后,将取得的信息作为验 证结果来回复给委托源的服务提供商130。另外,在没有相吻合的记录时,向 委托源的服务提供商130回复该主旨。
另外,上述的说明是脆弱性DB160以及脆弱性验证功能152的一例,例 如,脆弱性DB160的保持方法并不限于此。脆弱性验证功能152可以根据从 服务提供商130取得的、确定客户终端的生物识别认证功能120的装置标准 ID、装置ID、软件版本信息、样板ID以及运用条件,将预先保存的脆弱性信 息(难度、攻击级别)作为验证结果回复给服务提供商130。
服务提供商130具有脆弱性验证功能131、策略验证功能132、服务提供 判定功能133、服务提供功能134以及认证策略140。
脆弱性验证功能131在从客户终端110具有服务^:供请求(以后称为服务请求。)时,要求客户终端110进行本人认证。然后,当从客户终端100取得 处理分布500时,^使用其中的装置ID510、装置标准ID520、软件版本530、 样板信息550以及运用条件540来生成脆弱性验证委托,发送给脆弱性验证服 务器150,并从脆弱性验证服务器150取得验证结果。然后,脆弱性验证功能 131将处理分布500中记载的运用条件与从脆弱性验证服务器150发送来的验 证结果内的类別、欺诈.伪造的难度、攻击者级别信息一起提供给策略验-〖正功 能。另外,在从脆弱性验证服务器150得到没有相吻合的记录的通知时,向服 务提供判定功能133通知该主旨。
策略验证功能132判断根据从验证结果中提取出的项目确定的脆弱性级 别是否满足自身预先保持的认证策略140所允许的脆弱性级别。在这里,脆弱 性级别是使脆弱性验证服务器150保持的脆弱性DB160中登录的各项目组合 的条件。
策略验证功能132在从验证结果中提取的信息满足在认证策略140中规定 的脆弱性级别时,判断为满足自身允许的脆弱性级别,向服务提供判定功能 133通知该主旨以及从处理分布500中提取的认证精度310(错误接受率)。另 一方面,当不满足时,在该时刻结束处理,向请求提供服务的客户终端IIO通 知不能提供服务。
在此对认证策略140进行了说明。在认证策略140中,为了本服务提供商 130提供服务,登录了在客户终端110中进行本人认证的生物识别认证功能(生 物识别装置)120应满足的认证精度以及脆弱性级别的组合。在图5中表示了 本实施方式的认证策略140的一例。
如本图所示,在本实施方式的认证策略140中登录了表示在认证中要求的 错误接受率的认证精度310以及脆弱性级别。在本实施方式中,在脆弱性级别 中,作为表示在控制下可允许的脆弱性级别的第一允许脆弱性级别320,登录 了表示欺诈伪造的难度的难度321以及表示攻击者的级别的攻击者级别322, 作为表示在非控制下可以允许的脆弱性级别的第二允许脆弱性级别330登录
关于认证精度310,在客户终端110中作为对照结果560回复OK或者 NG时,在如上所述向客户终端110发送认证请求的同时进行发送。在客户终端110 —侧,作为来自服务提供商130的错误接受率的要求级别在进行认证时 使用该信息,判断是OK还是NG,并将其作为对照结果560。
策略验证功能132根据从脆弱性验证功能131取得的运用条件,来判断应 确认第一脆弱性级别320以及第二脆弱性级别330中的哪一个,并判断从脆弱
略140中存储的级别相吻合,将该结果通知给服务提供判定功能133。 在本实施方式中具体通过以下方法来进行验证。
(a) 欺诈.伪造的难度级别以及攻击者级别分別低于预先规定的允许的级别。
(b) 欺诈 伪造的难度级别或者攻击者级别中的某一个低于预先规定的 允许的级别。
(c) 欺诈.伪造的难度级别以及攻击者级别的总和(或者乘积)小于预 先规定的允许的总和(乘积)的级别。
另夕卜,在本实施方式中列举了对每个服务提供商130设定并保持上述认证 策略140的情况,在服务提供商130提供多个服务时,还可以对提供的每个服 务设定并保持认证策略140。其原因在于对于每个服务,存在根据其价值风险 发生变化的可能性。此外,登录的脆弱性级别并不限于上述组合。可以是任意 一方,可以对应脆弱性DB160中保存的信息进行设定。
服务提供判定功能133当从策略验证功能132取得判定结果(表示满足的 通知)时,从服务请求源的客户终端110取得的处理分布500中提取对照结果 560,判断在客户终端110中的认证是否满足在认证策略140中规定的认证精 度(错误接受率)310。另外,服务提供判定功能133还在从脆弱性验证功能 131取得没有相吻合的数据的通知时,判断在客户终端110中的认证是否满足 认证精度310。
服务提供判定功能133在能够确认请求源的客户终端UO是能够以认证策 略140中规定的认证精度310进行认证的终端时,判断在该客户终端110中具 有接受服务提供的权限,并向服务提供功能134通知该主旨。另一方面,若是 无法进行上述认证的终端,则在该时刻结束处理,向请求源的客户终端IIO通 知不能提供服务。服务提供功能134当从服务提供判定功能133接收到通知,向委托源的客 户终端IIO提供服务。
另夕卜,在服务提供商130可提供多个服务时,在从客户终端IIO具有请求 时通知用于确定请求提供的服务的信息,服务提供功能134按照通知内容提供 确定的服务。此外,构成服务提供商130的其他功能对确定的服务进行脆弱性 等验证。
证系统的各装置。各装置通过具有CPU、存储器以及存储装置的一般的信息 处理装置来实现。CPU通过将存储装置中存储的程序载入存储器来执行,由 此实现上述各功能。
下面,对本实施方式的带有脆弱性验证功能的生物识别认证系统中的从服 务提供委托到脆弱性验证处理的概要进行说明。图6是整个系统的脆弱性验证 处理的概要的处理流程。通过客户终端110向服务提供商130发送服务请求来 开始该处理。
从客户终端110向服务提供商130发送请求提供服务的服务请求(步骤 410)。
服务提供商130的脆弱性验证功能131向请求源的客户终端IIO发送本人 认证的要求(步骤420 )。
在客户终端110中当收到本人认证的请求时,生物识别认证功能120通过 生物识别装置进行本人认证(步骤430),处理分布生成功能112根据该结果 生成处理分布500,然后发送给服务提供商130 (步骤440 )。
服务提供商130的脆弱性验证功能131按照取得的处理分布500进行验证 脆弱性的脆弱性验证处理(步骤450)。
策略验证功能132在接收到脆弱性验证结果时,判断委托源的客户终端 UO是否满足服务提供商130所允许的脆弱性级别(步骤460、步骤470)。在 不满足时,结束处理。在满足时,使处理前进到470。
另外,在步骤450后没有接收到脆弱性验证结果时,使处理前进到480。
然后,当判断为委托源的客户终端IIO满足了上述脆弱性级别时,服务提 供商130的服务提供判定功能133根据处理分布内的对照结果560,判定客户终端110有无接受服务提供的权限(步骤480)。当判定为具有权限时,使处 理前进到480;如果没有权限,则结束处理。
当判定为具有权限时,服务提供商130的服务提供功能134向客户终端 110提供委托的服务(步骤490 )。
然后,详细说明上述步骤450以及460中的脆弱性验证处理。本处理通过 服务提供商130的脆弱性验证功能131从客户终端IIO接收到处理分布500来 开始。图7是本实施方式的脆弱性验证处理的处理流程。
服务提供商130的脆弱性验证功能131当从客户终端IIO接收到处理分布 500(步骤610 )时,从接收到的处理分布500提取装置ID510、装置标准ID520、 软件版本530、样板信息550以及运用条件540,作为脆弱性验证委托发送给 脆弱性验证服务器150 (步骤620 )。
脆弱性验证服务器150的脆弱性验证功能152以取得的信息作为关键字来 检索脆弱性DB160,提取出与这些信息相对应地保存的欺诈*伪造的难度250 以及攻击者级别260(步骤630)。在存在多个相应的记录时,提取全部。另夕卜, 在认证策略140中设定了对每个生物识别的种类、脆弱性的类别定义并允许的 脆弱性级别时,脆弱性验证功能152还一并取得类别220。然后,使用取得的 类别220的信息,判断是否可以允许与相应的生物识别的种类和脆弱性类别相 吻合的脆弱性信息的脆弱性级别。
脆弱性验证服务器150的脆弱性验证功能152向服务提供商130发送提取 的类别220、欺诈 伪造的难度250以及攻击者级别260 (步骤640 )。
服务提供商130的脆弱性验证功能131将接收到的信息转交给策略验证功 能132。策略^S正功能132参照认证策略140,判断从脆弱性验证服务器150 接收到的脆弱性级别是否可以允许,由此来进行脆弱性验证,并且,当判断为 可允许时,向服务提供判定功能133通知该主旨(步骤660 )。
另外,在上述步骤460以及步骤650中,说明了在不满足服务提供商130 的认证策略140时结束处理,但处理并不限于本方式。例如,
(a)在服务提供商130可提供多个服务时,将提供的服务变更为按照进 行了验证的客户的生物识別认证功能的脆弱性级别可以允许的风险的服务。即 使是相同的服务,也可以考虑提供价格范围较低的版本等。(b)为了将风险降低至可提供客户请求的服务的级别,在服务提供商130 一侧执行其他的认证方法。例如,通过何种方式与服务请求者取得联络,接收 服务请求者输入的秘密信息等。
如上所述,根据本实施方式,能够在服务提供商U艮务提供者) 一侧判断 各种种类、标准的生物识别认证产品的脆弱性级别。因此,在经由网络连接了 各种种类、标准的生物识别认证产品的环境中,在客户终端中进行本人认证的 基础上提供服务的系统中,能够维持规定的安全级别,并且能够将风险维持在 一定范围内。
例如,本实施方式的系统能够用于ATM、移动银行、网上购物、因特网 售票电子4亍政服务预约等。 (第二实施方式)
然后,说明应用了本发明的第二实施方式的带有脆弱性验证功能的生物识 别认证系统。在第一实施方式中具有脆弱性验证服务器150,对应来自服务提 供商130的要求向服务提供商130提供表示规定的生物识别认证功能的脆弱性 的信息。但是,在本实施方式的系统中,取代脆弱性验证服务器150而具有脆 弱性信息服务器810。
以下,只说明与第一实施方式不同的结构。图8是本实施方式的脆弱性信 息服务器810、客户终端110以及服务提供商130的功能结构图。
本实施方式的脆弱性信息服务器810具有脆弱性信息收集功能811、脆弱 性信息才是供功能812以及脆弱性数据库(DB) 860。
此外,本实施方式的服务提供商130在第一实施方式的服务提供商130 的功能结构的基础上还具有脆弱性管理功能135以及脆弱性DB141。此外, 脆弱性验证功能131的处理也随着上述结构的变更而不同。
本实施方式的脆弱性信息收集功能811与第一实施方式的脆弱性信息收 集功能151同样,从脆弱性评价机关170、推销商180、样板发行机关190收 集脆弱性信息,并记录在脆弱性DB860中。但是,在更新脆弱性DB860时, 向脆弱性信息提供功能812通知更新内容。
本实施方式的脆弱性信息提供功能812当从脆弱性信息收集功能811取得 脆弱性DB860的更新内容时,将耳又得的信息作为脆弱性信息发送给本系统内的全部服务提供商130。
各服务提供商130的脆弱性管理功能135管理在各个服务提供商130 —侧 保持的脆弱性DB141。即,在脆弱性DB141反映从脆弱性信息服务器810取 得的脆弱性信息。
此外,在从客户终端110具有服务请求时,本实施方式的脆弱性验证功能 131的向客户终端110要求进行本人认证的结构与第一实施方式相同。但是, 在本实施方式中,当从客户终端100取得处理分布500时,自身访问脆弱性 DB141,检索与处理分布500中的装置ID510、装置标准ID520、软件版本530、 样板信息550以及运用条件540相吻合的记录。然后,4是取该记录的类别、欺 诈.伪造的难度、攻击者级别,并提供给策略验证功能132。其他的功能结构、 处理与第一实施方式相同。
另外,脆弱性信息提供功能812在脆弱性DB860被更新的时刻,向各服 务提供商130提供脆弱性信息,但提供的时刻并不限于次。
例如,可以选择根据提供的脆弱性信息的紧急度立即进行发送,或者作为 定时的更新服务定期进行发送。此外,可以将该功能作为脆弱性信息服务器 810的策略预先登录,也可以在与服务提供商的合约中进行选择。
例如,在新发现的脆弱性的下述信息中,如下地进行脆弱信息的紧急度的 判断。
(a) 在脆弱信息相应的客户终端110的数量或者比例(占有率)为规定 数量以上时,判断为紧急。
(b) 脆弱信息的成为攻击目标的样板的数量或者比例(占有率)为规定 数量以上时,判断为紧急。
(c) 基于脆弱信息的攻击的容易程度(取得信息的容易程度、伪造攻击 的容易程度以及攻击者知识级别的高低)比规定的级别容易时,判断为紧急。
(d) 攻击需要的估计时间在规定时间以下时,判断为紧急。 此外,有时需要隐匿来自脆弱性信息服务器810的脆弱性信息。 此时,可以采取以下方法。
(a)在通过SSL等在脆弱性信息服务器和服务提供商之间进行相互认证 的基础上,通过对话密钥来执行隐匿通信,并隐匿脆弱性信息。(b)不通过网络发送脆弱性信息,邮寄或送达记录了只能由相应的^R务
提供商130解密的信息的介质。
如上所述,根据本实施方式,能够在服务提供商(服务提供者)一侧判断 各种种类、标准的生物识别认证产品的脆弱性级别。因此,在经由网络连冲妻了 各种种类、标准的生物识别认证产品的环境中,在由客户终端进行本人认i正的 基础上提供服务的系统中,能够维持规定的安全级别,并且能够将风险维持在 一定范围内。
在上述各实施方式的带有脆弱性验证的本人认证系统种,能够根椐标准不 同的各个生物识别产品各自的脆弱性的评价结果,对于各个生物识别产品保持 按照每个脆弱性指标的数据库,对验证生物识别认证的结果的验证者(服务提 供商)提示相应的生物识别认证处理的脆弱性的验证结果。
此外,上述各实施方式的带有脆弱性验证的本人认证系统的验证者能够对 于生物识别认证处理的脆弱性,按照每个运用条件将各指标的允许条件作为认 证策略来持有,根据脆弱性验证结果,判断由客户执行的生物识别认证是否为 与认证策略相吻合的认证处理。
因此,根据以上的各实施方式,对于生物识别认证装置的脆弱性能够进行 按照对生物识别认证结果进行验证的验证者的安全策略的本人认证。在发现了 新的脆弱性时,恰当地向数据库追加.更新相应的脆弱性的范围、伪装威胁的
终判断切合现状的威胁,在此基础上可以进行服务的提供。根据各实施方式, 通过具有这样的组合,能够减低针对伪装威胁的风险。
权利要求
1. 一种生物识别认证系统,其在经由数据通信网执行了服务请求者的本人确认的基础上提供服务,其特征在于,具有客户终端,其接受服务请求者的生物识别信息的输入,使用取得的所述生物识别信息,由自身的生物识别认证单元进行生物识别认证;服务提供商,其提供服务;以及脆弱性验证服务器,其保存脆弱性信息,该脆弱性信息表示可与所述生物识别认证系统连接的生物识别认证单元的脆弱性的级别,所述脆弱性验证服务器具有脆弱性验证单元,其在从服务提供商接受用于确定生物识别认证单元的信息的提供时,向提供源的服务提供商回复该生物识别认证单元的所述脆弱性信息,所述服务提供商具有服务提供判断单元,其根据所述脆弱性信息来判断可否向具有该生物识别认证单元的所述客户终端提供服务;以及服务提供单元,其在通过所述服务提供判断单元判断为可以时,向服务请求源的客户终端提供服务。
2. 根据权利要求1所述的生物识别认证系统,其特征在于, 所述脆弱性验证服务器具有脆弱性信息收集单元,其收集在各个客户终端中具有的所述生物识别认证 单元的所述脆弱性信息;以及脆弱性信息保存单元,其将所述收集的脆弱性信息与确定具有该脆弱性信 息的生物识别认-〖正单元的信息一同进行保存,所述脆弱性验证单元当从服务提供商取得确定所述生物识别认证设备的 信息时,与该信息相对应地提取保存在所述脆弱性信息保存单元中的脆弱性信 息,并回复给提供源的所述服务提供商。
3. 根据权利要求1或2所述的生物识别认证系统,其特征在于, 所述服务提供商的服务提供判断单元,认证策略,其保存可提供服务的脆弱性级别;策略验证单元,其比较由所述脆弱性信息表示的脆弱性级别,和所述认证 策略内保存的可提供服务的脆弱性级别,判断所述客户终端的生物识别认-〖正单 元是否满足所述可提供服务的脆弱性级别,在由所述策略验证单元判断为满足时,判断为可提供服务。
4. 根据权利要求3所述的生物识别认证系统,其特征在于, 所述脆弱性信息通过欺诈.伪造的难度的级别以及攻击者的级别来表示所述脆弱性级别,所述策略-睑证单元在取得的脆弱性信息内的所述^l诈.伪造的难度的级别 务。 、 、'… 、
5. 根据权利要求1 ~4的任意一项所述的生物识别认证系统,其特征在于, 所述客户终端具有处理分布生成单元,作为处理分布,其生成所述生物识别认证单元的用于确定生物识别认证单元的信息以及认证结果,并发送给所述 服务提供商。
6. 根据权利要求5所述的生物识别认证系统,其特征在于, 在所述处理分布中,除了确定生物识别认证单元的信息之外,还包括在该生物识别认证单元中进行生物识别认证的运用条件,在所述脆弱性信息保存单元中,除了确定所述生物识别认证单元的信息之 外,还保存所述运用条件。
7. 根据权利要求1 ~ 6的任意一项所述的生物识别认证系统,其特征在于, 所述服务提供商可提供多个服务,所述服务提供判断单元在判断为不能提供从所述客户终端请求提供的服 务时,判断在其他服务中是否存在按照所述脆弱性信息的脆弱性级别可以提供 的服务,所述服务提供单元向所迷请求源的客户终端提供由所述服务提供判断单 元判断为可以的服务。
8. —种生物识别认证系统,其在经由数据通信网执行了服务请求者的本 人确认的基础上提供服务,其特征在于,具有客户终端,其接受服务请求者的生物识别信息的输入,使用取得的所述生物识别信息,由自身的生物识别认证单元进行生物识别认证;服务提供商,其提供服务;以及 脆弱性验证服务器,其保存脆弱性信息,该脆弱性信息表示可与所述生物识别 认证系统连接的生物识别认证单元的脆弱性的级别,所述脆弱性验证服务器具有变更通知单元,其在所述脆弱性信息中具有更 新时,向服务提供商通知所述变更的内容,所述服务提供商具有脆弱性信息保存单元,其保存所述脆弱性信息,还包括脆弱性信息管理单元,其在从所述脆弱性验证服务器取得所述更 新的内容时,更新在所述脆弱性信息保存单元中保存的所述脆弱性信息;脆弱性验证单元,其在从所述客户终端取得确定生物识别认证单元的信息 时,从所述脆弱性信息保存单元中提取该生物识别认证单元的所述脆弱性信 息;服务提供判断单元,其根据所述脆弱性验证单元提取的所述脆弱性信息, 判断可否向具有该生物识别认证单元的所述客户终端提供服务;以及服务提供单元,其在由所述服务提供判断单元判断为可以时,向服务请求 源的客户终端提供服务。
9. 一种生物识別认证系统中的可否提供服务的判定方法,该生物识别认 证系统在经由数据通信网执行了服务请求者的本人确认的基础上提供服务,该 可否提供服务的判定方法的特征在于,所述生物识别认证系统具有客户终端、脆弱性验证服务器以及服务提供商,具有-.在所述客户终端中,取得客户服务请求者的生物识别信息,使用取得的所 述生物识别信息,通过自身的生物识别认证单元来进行生物识别认证,并且将 认证结果与用于确定进行了认证的所述生物识别认证单元的信息一 同发送给 所述服务提供商的生物识别认证步骤;在服务提供商中,向所述脆弱性验证服务器发送从所述客户终端取得的确 定生物识别认证单元的信息的步骤;在所述脆弱性验证服务器中,对应于所述取得的用于确定生物识别认证单 元的信息,提取预先保存的作为表示可与所述生物识别认证系统连接的生物识 别认证单元的脆弱性级别的信息的脆弱性信息,回复给发送源的服务提供商的步骤;在所述服务提供商中,根据所述脆弱性信息来判断可否向所述客户终端提 供服务的服务提供判断步骤;以及在由所述服务提供判断单元判断为可以时,向所述客户终端提供服务的服 务提供步骤。
10. —种程序,其特征在于,使生物识别认证系统中的服务提供商的计算 机执行功能,所述生物识别认证系统在经由数据通信网执行了服务请求者的本人确认 的基础上提供服务,并具有客户终端,其接受服务请求者的生物识别信息的 输入,使用取得的所述生物识别信息,由自身的生物识别认证单元进行生物识 别认证;服务提供商,其提供服务;以及脆弱性验证服务器,其保存脆弱性信 息,该脆弱性信息表示可与所述生物识别认证系统连接的生物识别认证单元的 脆弱性的级别,所述程序^f吏所述计算机具有以下的功能脆弱性验证单元,其在从所述客户终端取得确定所述生物识别认证单元的 信息时,发送给所述脆弱性验证服务器,并从所述脆弱性验证服务器取得该生 物识别认证单元的所述脆弱性信息;服务提供判断单元,其根据所述脆弱性信息来判断可否向具有该生物识别 认证单元的所述客户终端提供服务;以及服务提供单元,其在由所述服务提供判断单元判断为可以时,向服务请求 源的客户终端提供服务。
11. 一种脆弱性验证服务器,其在经由数据通信网执行了服务请求者的本 人确认的基础上提供服务的生物识别认证系统内,根据来自提供所述服务的服 务提供商的请求,通知客户的生物识别认证单元的脆弱性信息,其特征在于,具有脆弱性信息保存单元,其保存脆弱性信息,该脆弱性信息是表示可与该生物识别认证系统连接的生物识别认证单元的脆弱性级别的信息;以及脆弱性验证单元,其根据来自所述服务提供商的请求,向请求源的服务提 供商通知特定的生物识别认证单元的所述脆弱性信息。
12. 根据权利要求11所述的脆弱性验证服务器,其特征在于, 还具有脆弱性信息收集单元,其收集各客户终端所具有的所述生物识别i人证单元的所述脆弱性信息,所述脆弱性信息收集单元将所述收集到的脆弱性信息与确定具有该脆弱 性信息的生物识别认证单元的信息一起登录在所述脆弱性信息保存单元中,备的信息时,与该信息相对应地提取保存在所述脆弱性信息保存单元中的脆弱 性信息,并向提供源的所述服务提供商进行通知。
13. 根据权利要求11或12所述的脆弱性验证服务器,其特征在于, 在所述脆弱性信息保存单元中,作为所述脆弱性信息登录了以下内容 作为脆弱性信息种类的类别;脆弱性的影响波及的范围;脆弱性显著的所述客户终端的运用条件;为了实现利用脆弱性的攻击而需要的资源以及条件;以及具有利用脆弱性能够进行攻击的能力的攻击者的知识级别。
14. 根据权利要求13所述的脆弱性验证服务器,其特征在于, 根据确定所述生物识别认证单元的装置的信息、确定软件的信息以及确定样板的信息,来确定登录在所述脆弱性信息保存单元中的所述脆弱性的影响波 及的范围。
全文摘要
本发明提供带有脆弱性验证的生物识别认证系统以及方法。在生物识别认证装置中具有伪造等攻击导致的伪装威胁。支持服务提供者恰当地判断这样的威胁的级别。在系统内设有脆弱性验证服务器(150),统一管理各生物识别产品的脆弱性。服务提供商(130)向脆弱性验证服务器(150)发送用于确定客户终端(110)执行了生物识别认证的装置的信息,并取得该脆弱性信息。服务提供商(130)使用取得的脆弱性信息来判断可否向客户终端(110)提供服务。
文档编号H04L9/32GK101443775SQ20078000707
公开日2009年5月27日 申请日期2007年3月23日 优先权日2006年3月24日
发明者三村昌弘, 矶部义明 申请人:株式会社日立制作所