安全性判断方法、系统和设备，第一认证设备，以及计算机程序产品的制作方法

专利名称：安全性判断方法、系统和设备，第一认证设备，以及计算机程序产品的制作方法
技术领域：
本发明涉及安全性判断方法、安全性判断系统、安全性判断设备以及第一认证设备，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，并涉及一种计算机程序产品，用于使得一个计算机作为安全性判断设备而运行，更具体地说，本发明涉及一种被包含到诸如移动电话、家庭电子设备以及个人计算机的信息处理设备内的安全性判断设备，以判断该信息处理设备的安全性。
背景技术：
随着IPv6(因特网协议第6版)的采用，不仅是个人计算机、服务器计算机和移动电话，就连家庭电子设备如冰箱、微波炉、空调、电视和DVD设备、复印机以及其他自动化设备等，也都作为信息处理设备而被连接到通信网络如因特网，并发送和接收信息。随着这种连接到通信网络的信息处理设备在数量上的增加，安全性降低了。
具体地说，由于家庭电子设备的安全性低，就会出现从外部设备发送过来会妨碍家庭电子设备正常运行的程序的情况，并且人们担心家庭电子设备被用作DDoS(分布式拒绝服务)的手段。因此，为了提高这些信息处理设备的安全性，人们尝试为信息处理设备配备使用指纹等的生物特征认证功能(例如参见日本专利申请特开No.3-58174/1991)。
然而，有一个问题，即只通过生物特征认证难于确保高度安全性，因为用于认证的指纹信息可能会泄漏。具体地说，当通过使用这种信息处理设备来进行电子交易时，希望能在通过如下方式来确保安全性后才进行交易，即确认信息处理设备是否为适当的所有者所使用，交易是否是使用所有者自己的信息处理设备来进行，可能会损害安全性的设备或诸如OS(操作系统)软件、浏览器和插件软件的软件是否被连接到或安装在信息处理设备当中等等。
而且，当为这种信息处理设备提供补丁软件或固件时，需要在发送信息的设备和所述信息处理设备之间确保足够的安全性，因为存在正在被发送的软件可能被第三人所伪造的风险。另一方面，当安全性级别被提高得太高时，会难于进行信息的顺利发送和接收。

发明内容
本发明目标在于解决上述问题，并且本发明的一个目的在于提供安全性判断方法、安全性判断系统、安全性判断设备以及第一认证设备，这些能够通过将使用生物信息的认证、使用由证书机构(PKI认证公共密钥基础设施认证)发行的电子证书的认证以及利用信息处理设备所被使用的环境的等级的使用环境信息的认证三者结合起来，从而提高安全性，并能够在确保合适的安全性之后顺利地进行信息地发送和接收，并且提供一种计算机程序产品，用于使得一个计算机作为安全性判断设备而运行。
本发明的另一个目的在于提供一种安全性判断系统，能够在通过根据交易中的产品的价值来改变安全性等级从而确保安全性之后实现顺利的交易。
本发明的另一个目的在于提供一种安全性判断系统，能够在通过使用用于接收的接收通信装置来接收补丁软件等而确保安全性之后容易地发布补丁软件等，并存储所述补丁软件等，其中所述接收通信装置用来从副电源供应装置而不是主电源供应装置接收电源供应。
根据本发明的安全性判断方法的第一方面，提供一种安全性判断方法，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括如下步骤由所述信息处理设备接收生物信息；由所述信息处理设备、第一认证设备或第二认证设备通过判断所接收的生物信息正确与否来认证所述生物信息；收集包括与连接到该信息处理设备的外围设备有关或与安装在该信息处理设备中的软件有关的信息在内的环境信息；将所收集的环境信息从所述信息处理设备发送到第一认证设备；将由第二认证设备所预先发行的电子证书和用由第二认证设备发行的秘密密钥所加密的信息从所述信息处理设备发送到第一认证设备；由第一认证设备使用一个公共密钥来解密所加密的信息并判断解密的信息是否正确来认证所述电子证书，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所发送的电子证书获取的；由第一认证设备通过参考一个环境信息数据库和所发送的信息来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件；以及当在认证所述生物信息的步骤、认证所述环境信息的步骤和认证电子证书的步骤中所进行的所有认证都成功时，由第一认证设备判断所述信息处理设备是安全的。
根据本发明的安全性判断方法的第二方面，提供一种安全性判断方法，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括如下步骤由信息处理设备接收生物信息；通过由所述信息处理设备、第一认证设备或第二认证设备判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到该信息处理设备的外围设备有关或与安装在该信息处理设备中的软件有关的信息在内的环境信息；用由第二认证设备发行的秘密密钥对所收集的环境信息进行加密；将由第二认证设备所预先发行的电子证书和用所述秘密密钥加密的环境信息从所述信息处理设备发送到第一认证设备；通过由第一认证设备用一个公共密钥来解密所加密的环境信息并判断解密的环境信息是否正确来认证所述电子证书，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所发送的电子证书所获取的；由第一认证设备通过参考一个环境信息数据库和所发送的信息来判断所解密的环境信息是否正确从而认证所述环境信息，其中所述环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件；以及当在认证所述生物信息的步骤、认证所述环境信息的步骤和认证电子证书的步骤中所进行的所有认证都成功时，由第一认证设备判断所述信息处理设备是安全的。
根据本发明的安全性判断方法的第三方面，在本发明的安全性判断方法的第一和第二方面中，所述安全性判断方法特征在于还包括如下子步骤由第一认证设备接收生物信息；通过由所述信息处理设备、第一认证设备或第二认证设备判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到第一认证设备的外围设备有关或与安装在第一认证设备中的软件有关的信息在内的环境信息；用由第二认证设备发行的秘密密钥对在收集所述环境信息子步骤中收集的环境信息进行加密；将由第二认证设备发行的电子证书和加密的环境信息发送到信息处理设备；由所述信息处理设备使用一个公共密钥来解密所加密的环境信息并判断解密的环境信息是否正确来认证所述电子证书，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所发送的电子证书获取的；由所述信息处理设备通过参考一个副环境信息数据库和所解密的环境信息来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述副环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件；以及当在认证所述生物信息的子步骤、认证所述环境信息的子步骤和认证电子证书的子步骤中所进行的所有认证都成功，并且在判断信息处理设备是安全的步骤中判断所述信息处理设备是安全的时，判断所述信息处理设备和第一认证设备是安全的。
根据本发明的安全性判断方法的第四方面，提供一种安全性判断方法，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括如下步骤由所述信息处理设备接收生物信息；由所述信息处理设备、第一认证设备或第二认证设备通过判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到该信息处理设备的外围设备有关或与安装在该信息处理设备中的软件有关的信息在内的环境信息；将所收集的环境信息从所述信息处理设备发送到第一认证设备；将由第二认证设备所预先发行的电子证书和用由第二认证设备发行的秘密密钥所加密的信息从所述信息处理设备发送到第一认证设备；由第一认证设备通过参考一个环境信息数据库来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件；由所述信息处理设备通过使用一个公共密钥来解密所加密的软件并判断解密的软件是否正确来认证所述电子证书，其中所述公共密钥是通过从第二认证设备获取的公共密钥来从所发送的电子证书获取的；以及当在认证所述生物信息的步骤、认证所述环境信息的步骤和认证所述电子证书的步骤中所进行的所有认证都成功时，在所述信息处理设备中安装所解密的软件。
根据本发明的安全性判断系统的第一方面，提供一种安全性判断系统，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于所述信息处理设备包括生物信息接收装置，用于接收生物信息；生物信息认证装置，用于判断所接收的生物信息是否正确；环境信息收集装置，用于收集包括与其上所连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；环境信息发送装置，用于将由所述环境信息收集装置所收集的环境信息发送到第一认证设备；以及加密信息发送装置，用于将由第二认证设备发行的电子证书和用由第二认证设备发行的秘密密钥加密的信息发送到第一认证设备，并且所述第一认证设备包括电子证书认证装置，用于使用一个公共密钥来解密所加密的信息并判断解密的信息是否正确，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所发送的电子证书获取的；环境信息认证装置，用于参考一个环境信息数据库和所发送的信息来判断所发送的环境信息是否正确，其中所述环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件；以及安全性判断装置，用于当由所述生物信息认证装置、环境信息认证装置和电子证书认证装置所进行的所有认证都成功时，判断所述信息处理设备是安全的。
根据本发明的安全性判断系统的第二方面，在本发明的安全性判断系统的第一方面中，所述环境信息发送装置和所述加密信息发送装置被构造来用所述秘密密钥来加密所收集的环境信息并将加密的环境信息与所述电子证书一起发送到所述第一认证设备。
根据本发明的安全性判断系统的第三方面，在本发明的安全性判断系统的第一方面中，所述安全性判断系统特征在于还包括一个购物计算机，用于将与交易相关的信息发送到所述信息处理设备和从该设备接收所述信息，其中所述信息处理设备还包括用于接收与交易相关的信息的装置，所述信息包括产品信息或价格信息，所述加密信息发送装置被构造来将由所述第二认证设备发行的电子证书和用由第二认证设备发行的秘密密钥加密的、与交易相关的信息发送到第一认证设备，所述环境信息认证装置被构造来从所述环境信息数据库读取与对应于所发送的产品信息或价格信息的等级相关的环境条件，并根据所发送的环境信息与所读取的环境条件是否相匹配来判断所述环境条件是否正确，并且所述第一认证设备还包括用于当所述安全性判断装置判断所述信息处理设备是安全的时，将表示所述信息处理设备是安全的信息发送到所述购物计算机的装置。
根据本发明的安全性判断系统的第四方面，在本发明的安全性判断系统的第一方面中，所述第一认证设备包括副生物信息接收装置，用于接收生物信息；副生物信息认证装置，用于判断由所述副生物信息接收装置所接收的生物信息是否正确；副环境信息收集装置，用于收集包括与其上所连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；副加密装置，用于使用由所述第二认证设备发行的秘密密钥来加密由所述副环境信息收集装置所收集的环境信息；以及副加密信息发送装置，用于将由第二认证设备发行的电子证书和加密的环境信息发送到所述信息处理设备，并且所述信息处理设备包括副电子证书认证装置，用于使用一个公共密钥来解密所加密的环境信息并判断解密的环境信息是否正确，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所发送的电子证书获取的；副环境信息认证装置，用于参考一个副环境信息数据库和解密的环境信息来判断所发送的环境信息是否正确，其中所述副环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件；以及副安全性判断装置，用于当由所述副生物信息认证装置、副环境信息认证装置和副电子证书认证装置所进行的所有认证都成功，并且所述安全性判断装置判断所述信息处理设备是安全的时，判断所述信息处理设备和第一认证设备是安全的。
根据本发明的安全性判断系统的第五方面，提供一种安全性判断系统，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于所述信息处理设备包括生物信息接收装置，用于接收生物信息；生物信息认证装置，用于判断由所述生物信息接收装置所接收的生物信息是否正确；环境信息收集装置，用于收集包括与其上所连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；以及环境信息发送装置，用于将由所述环境信息收集装置所收集的环境信息发送到第一认证设备，并且所述第一认证设备包括加密信息发送装置，用于将由第二认证设备发行的电子证书和用由第二认证设备发行的秘密密钥加密的软件发送到所述信息处理设备；以及环境信息认证装置，用于参考一个环境信息数据库来判断所发送的环境信息是否正确，其中所述环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件，所述信息处理设备还包括电子证书认证装置，用于使用一个公共密钥来解密所加密的软件并判断解密的软件是否正确，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所发送的电子证书获取的；以及安装装置，用于当由所述生物信息认证装置、环境信息认证装置和电子证书认证装置所进行的所有认证都成功时，安装所述解密的软件。
根据本发明的安全性判断系统的第六方面，在本发明的安全性判断系统的第五方面中，所述信息处理设备还包括主电源供应装置；副电源供应装置；用于接收的通信装置，用于从所述副电源供应装置接收电源供应；以及存储装置，用于当电源不是由所述主电源供应装置所供应时，存储由所述加密信息发送装置所发送并由所述用于接收的通信装置所接收的电子证书和用所述秘密密钥加密的软件。
根据本发明的安全性判断系统的第七方面，在本发明的安全性判断系统的第六方面中，所述电子证书认证装置被构造来当由所述主电源供应装置供应电源时读取存储在所述存储装置中的所述电子证书和软件，并且使用一个公共密钥来解密所述加密的软件并判断所解密的软件是否正确，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从电子证书获取的。
根据本发明的安全性判断系统的第八方面，在本发明的安全性判断系统的第五到第七方面的任何之一中，所述软件是用于预安装在所述信息处理设备中的软件的补丁软件。
根据本发明的安全性判断系统的第九方面，在本发明的安全性判断系统的第五到第七方面的任何之一中，所述信息处理设备还包括删除装置，用于当执行由所述安装装置所安装的软件时，在一个预定时刻处和该时刻之后删除存储在存储单元中的数据。
根据本发明的安全性判断系统的第十方面，提供一种安全性判断系统，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于所述信息处理设备包括生物信息接收装置，用于接收生物信息；环境信息收集装置，用于收集包括与其上所连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；加密装置，用于使用由第二认证设备发行的秘密密钥对由所述生物信息接收装置所接收的生物信息和由所述环境信息收集装置所收集的环境信息进行加密；以及加密信息发送装置，用于将由第二认证设备发行的电子证书和加密的生物信息与环境信息发送到第一认证设备，并且所述第一认证设备包括电子证书认证装置，用于使用一个公共密钥来解密所加密的生物信息和环境信息并判断解密的生物信息和环境信息是否正确，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所发送的电子证书获取的；环境信息认证装置，用于参考一个环境信息数据库和所解密的环境信息来判断所发送的环境信息是否正确，其中所述环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件；生物信息认证装置，用于通过将所解密的生物信息与预先存储的生物信息进行比较来判断所述生物信息是否正确；以及安全性判断装置，用于当由所述生物信息认证装置、环境信息认证装置和电子证书认证装置所进行的所有认证都成功时，判断所述信息处理设备是安全的。
根据本发明的安全性判断系统的第十一方面，在本发明的安全性判断系统的第九方面中，所述第一认证设备包括副生物信息接收装置，用于接收生物信息；副生物信息认证装置，用于判断由所述副生物信息接收装置所接收的生物信息是否正确；副环境信息收集装置，用于收集包括与其上所连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；副加密装置，用于使用由所述第二认证设备发行的秘密密钥来加密由所述副环境信息收集装置所收集的环境信息；以及副加密信息发送装置，用于将由第二认证设备发行的电子证书和加密的环境信息发送到所述信息处理设备，并且所述信息处理设备包括副电子证书认证装置，用于使用一个公共密钥来解密所加密的环境信息并判断解密的环境信息是否正确，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所发送的电子证书获取的；副环境信息认证装置，用于通过参考一个副环境信息数据库和解密的环境信息来判断所发送的环境信息是否正确，其中所述副环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件；以及副安全性判断装置，用于当由所述副生物信息认证装置、副环境信息认证装置和副电子证书认证装置所进行的所有认证都成功，并且所述安全性判断装置判断所述信息处理设备是安全的时，判断所述信息处理设备和所述第一认证设备是安全的。
根据本发明的安全性判断系统的第十二方面，在本发明的安全性判断系统的第一到第十一方面的任何之一中，所述环境信息包括与所安装的软件的名称或版本、所连接的外围设备的设备名或版本、或者所述信息处理设备的设备名或版本有关的信息。
根据本发明的安全性判断系统的第十三方面，在本发明的安全性判断系统的第五到第十二方面的任何之一中，所述生物信息是与语音、指纹、视网膜或虹膜有关的信息。
根据本发明的安全性判断系统的第十四方面，提供一种安全性判断设备，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括生物信息认证装置，用于判断所接收的生物信息是否正确；环境信息收集装置，用于收集包括与连接到所述信息处理设备的外围设备有关或与安装在所述信息处理设备之中的软件有关的信息在内的环境信息；环境信息发送装置，用于将由所述环境信息收集装置所收集的环境信息发送到第一认证设备；加密信息发送装置，用于将由第二认证设备发行的电子证书和用由第二认证设备发行的秘密密钥加密的信息发送到所述第一认证设备；以及安全性判断装置，用于当所述生物信息认证装置判断正确、第一认证设备判断由所述环境信息发送装置发送的环境信息是正确的、第一认证设备判断由所述加密信息发送装置发送的电子证书和加密信息是正确的并且所述安全性判断装置接收到表示所述信息是正确的信息时，判断所述信息处理设备是安全的。
根据本发明的安全性判断系统的第十五方面，提供一种安全性判断设备，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括生物信息认证装置，用于判断所接收的生物信息是否正确；环境信息收集装置，用于收集包括与连接到所述信息处理设备的外围设备有关或与安装在所述信息处理设备之中的软件有关的信息在内的环境信息；环境信息发送装置，用于将由所述环境信息收集装置所收集的环境信息发送到第一认证设备；电子证书认证装置，用于当从第一认证设备接收到电子证书和加密的软件时，使用一个公共密钥来解密所加密的软件并判断解密的软件是否正确，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从电子证书获取的；以及安装装置，用于当由所述生物信息认证装置和电子证书认证装置进行的认证判断为成功、第一认证设备判断由所述环境信息发送装置发送的环境信息是正确的，并且所述安装装置接收到表示所述信息是正确的的信息时，在所述信息处理设备中安装所述解密的软件。
根据本发明的所述第一认证设备的第一方面，提供第一认证设备，用于判断通过一个通信网络连接的信息处理设备的安全性，其特征在于包括认证信息接收装置，用于接收表示由所述信息处理设备接收的生物信息是否正确的认证信息；电子证书认证装置，用于当从所述信息处理设备发送由通过所述通信网络连接的第二认证设备发行的电子证书和用由所述第二认证设备发行的秘密密钥加密的信息时，用一个公共密钥解密所加密的信息并判断解密的信息是否正确，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所发送的电子证书获取的；环境信息认证装置，用于当从所述信息处理设备接收到包括与连接到所述信息处理设备的外围设备有关或与安装在所述信息处理设备之中的软件有关的信息在内的环境信息时，参考一个环境信息数据库和所发送的信息来判断所接收的环境信息是否正确，其中所述环境信息数据库存储根据要发送和接收的信息而被划分等级的环境条件；以及安全性判断装置，用于当所述认证信息接收装置接收到表示所述生物信息是正确的信息，并且由所述环境信息认证装置和所述电子证书认证装置进行的认证被判断为成功时，判断所述信息处理设备是安全的。
根据本发明的计算机程序产品的第一方面，提供一种位于计算机可读介质内的计算机程序产品，用于判断通过一个通信网络连接到第一认证设备和第二认证设备的计算机的安全性，其特征在于包括如下步骤使得所述计算机通过认证所接收的生物信息是否正确来认证生物信息；使得所述计算机收集包括与所连接的外围设备有关或与所安装的软件有关的信息的环境信息；使得所述计算机通过将所收集的环境信息发送到所述第一认证设备来发送环境信息；使得所述计算机通过将由所述第二认证设备发行的电子证书和用由所述第二认证设备发行的秘密密钥加密的信息发送到第一认证设备来发送加密信息；以及当在所述认证所述生物信息步骤中所述生物信息被判断为正确的，所述第一认证设备判断在所述发送环境信息步骤中发送的环境信息是正确的，所述第一认证设备判断在所述发送加密信息步骤中发送的电子证书和加密信息是正确的并且从所述第一认证设备接收到表示所述信息是正确的信息时，使得所述计算机判断所述计算机是安全的。
根据本发明的计算机程序产品的第二方面，提供一种位于计算机可读介质内的计算机程序产品，用于判断通过一个通信网络连接到第一认证设备和第二认证设备的计算机的安全性，其特征在于包括如下步骤使得所述计算机通过认证所接收的生物信息是否正确来认证生物信息；使得所述计算机收集包括与所连接的外围设备有关或与所安装的软件有关的信息的环境信息；使得所述计算机通过将所收集的环境信息发送到所述第一认证设备来发送环境信息；当从所述第一认证设备接收到电子证书和加密的软件时，使得所述计算机通过用一个公共密钥解密所加密的软件并判断解密的软件是否正确来认证所述电子证书，其中所述公共密钥是通过使用从第二认证设备获取的公共密钥来从所述电子证书获取的；以及当在所述认证所述生物信息步骤和所述认证所述电子证书的步骤中进行的认证被判断为成功，所述第一认证设备判断在所述发送环境信息步骤中发送的环境信息是正确的，并且接收到表示所述信息是正确的的信息时，使得所述计算机安装所述解密的软件。
如上所述，根据本发明，接收例如用户的指纹的生物信息，并判断所接收的生物信息正确与否。而且，收集环境信息，包括与连接到所述信息处理设备的外围设备或安装在所述信息处理设备中的软件有关的信息。更具体地说，所述信息处理设备自身的设备名和版本、连接到所述信息处理设备的设备的名称和所安装的浏览器名称、OS名和版本都对应于所述环境信息。信息处理设备将所收集的环境信息发送到第一认证设备。
而且，由第二认证设备如第三人所有的证书机构发行的电子证书和与交易相关的、用所述信息处理设备的秘密密钥加密的信息被发送到第一认证设备。当第一认证设备接收到所述电子证书和所加密的信息时，它通过使用从第二认证设备(证书机构)获取的公共密钥来从所发送的电子证书中获取信息处理设备的公共密钥。然后，第一认证设备用所获取的信息处理设备的公共密钥来解密所述加密信息，并通过使用消息摘要等来判断所解密的信息是否正确。
第一认证设备参考一个环境信息数据库和所发送的信息来判断所发送的环境信息是否正确，其中所述环境信息数据库存储根据要发送和接收的信息而被划分等级的环境信息的条件。具体地说，当需要对要发送和接收的信息确保高安全性时，信息处理设备的环境信息需要满足更严格(更高等级)的环境条件。例如，在需要高的安全性的情况下(例如，股票和不低于￥50,000的高价产品的交易)，条件就是信息处理设备的OS必须具有最新的版本。当信息处理设备的OS是最新版本时，第一认证设备判断所述环境认证是成功的，然而，当信息处理设备的OS不是最新版本(是一个旧版本)时，第一认证设备判断所述环境认证不成功，因为这一OS可能有安全漏洞。
另一方面，在低价产品的交易的情况下，由于需要确保方便性而不是安全性，因此不需要满足高等级条件。因此，即使安装了具有一些安全漏洞的旧版本的OS，所述环境认证也被判断为成功。例如，在价格大约为￥100的产品的交易的情况下，即使信息处理设备的OS是旧版本的，所述环境认证也被判断为成功。当由生物信息认证、环境信息认证和电子证书认证所进行的认证都被判断为成功时，信息处理设备被判断为安全的，并且，例如设置一个表示信息处理设备是安全的标志，将表示信息处理设备是安全的信息发送到交易中涉及的购物计算机，并且然后在确保安全性之后进行信息在信息处理设备和购物计算机之间发送和接收。利用这一结构，可以在确保信息处理设备的安全性的同时实现信息的顺利发送和接收以及交易。而且，也在第一认证设备中进行生物信息认证、电子证书认证和环境认证，并且，只有当在信息处理设备中进行的生物信息认证、电子证书认证和环境认证以及第一认证设备中进行的生物信息认证、电子证书认证和环境认证都被判断为成功时，第一认证设备和信息处理设备才都被判断为正确的。因此可以确保更高的安全性。
另外，根据本发明，接收例如用户的指纹的生物信息，并且通过判断所接收的生物信息是否正确来进行个人认证。然后，如上所述，信息处理设备将所收集的环境信息发送到第一认证设备，并且在第一认证设备中进行环境信息的认证。在将补丁软件等从第一认证设备发送到信息处理设备的情况下，第一认证设备将由第二认证设备发行的电子证书和用由第二认证设备发行的秘密密钥加密的软件发送到信息处理设备。
当信息处理设备接收到所述电子证书和加密的软件时，它向第二认证设备请求一个公共密钥，并通过使用这一证书机构的公共密钥来从所述电子证书获取第一认证设备的公共密钥。然后，信息处理设备用所获取公共密钥来解密所述加密的软件，并判断所解密的软件是否正确。最后，当由上述个人认证、环境认证和电子证书认证所进行的认证都被判断为成功时，在信息处理设备中安装所解密的软件。利用这样一种结构可以防止第三人的“欺骗”(spoofing)，并在保持高度安全性的同时为信息处理设备提供例如补丁软件和固件的软件。
而且，根据本发明，所述信息处理设备包括主电源供应装置、副电源供应装置和被构造来从副电源供应装置接收电源供应的用于接收的通信装置。当不是由主电源供应装置供应电源即主电源不是开通(ON)的时，如果从第一认证设备发送来电子证书和用秘密密钥加密的软件，用于接收的通信装置就使用副电源供应装置来接收这些信息并存储它们。然后，当主电源供应装置供应电源时，读取所存储的电子证书和软件，判断所发送的软件是否正确，并进行个人认证和环境认证。因此可以在确保安全性之后发布大量补丁软件至客户，包括没有打开电源的客户。具体地说，对于所要提供的软件，当提供在预定时刻处和该预定时刻之后从存储单元删除所存储的数据的软件时，可以有效地防止将软件用作DDoS攻击的手段。
从下面的参照附图的详细说明中，本发明的上述和其他目的和特征将变得更加明显。


图1是示出了根据本发明的安全性判断系统的概要的视图；图2是示出了一个移动电话的硬件结构的方框图；图3是示出了中心服务器的硬件结构的方框图；图4是环境信息DB的记录布局的说明性视图；图5是示出了在万维网服务器(Web Server)和移动电话之间的交易过程的流程图；图6是示出了一个网页的显示状态的说明性视图；图7是示出了一个安全性判断处理的过程的流程图；图8是示出了所述安全性判断处理的过程的流程图；图9是示出了所述安全性判断处理的过程的流程图；图10是示出了所述安全性判断处理的过程的流程图；图11是示出了所述安全性判断处理的过程的流程图；
图12是示出了所述安全性判断处理的过程的流程图；图13是示出了根据实施例2的移动电话的硬件结构的方框图；图14是示出了根据实施例3的移动电话的硬件结构的方框图；图15是示出了根据实施例3的中心服务器的硬件结构的方框图；图16是示出了根据实施例3的安全性判断处理的过程的流程图；图17是示出了根据实施例3的安全性判断处理的过程的流程图；图18是示出了根据实施例3的安全性判断处理的过程的流程图；图19是示出了根据实施例3的安全性判断处理的过程的流程图；图20是示出了根据实施例3的安全性判断处理的过程的流程图；图21是示出了根据实施例4的移动电话的硬件结构的方框图；图22是示出了根据实施例4的中心服务器的硬件结构的方框图；图23是示出了根据实施例4的软件提供处理的过程的流程图；图24是示出了根据实施例4的软件提供处理的过程的流程图；图25是示出了根据实施例4的软件提供处理的过程的流程图；图26是示出了根据实施例4的软件提供处理的过程的流程图；图27是示出了根据实施例4的软件提供处理的过程的流程图；图28是示出了根据实施例4的软件提供处理的过程的流程图；图29是示出了根据实施例4的软件提供处理的过程的流程图；图30是示出了所安装的删除软件的操作内容的流程图；图31是示出了根据实施例5的移动电话的硬件结构的方框图；图32是示出了根据实施例6的移动电话的硬件结构的方框图；图33是示出了根据实施例6的中心服务器的硬件结构的方框图；图34是示出了根据实施例6的认证处理的过程的流程图；图35是示出了根据实施例6的认证处理的过程的流程图；图36是示出了根据实施例6的认证处理的过程的流程图；并且图37是示出了根据实施例6的认证处理的过程的流程图。
具体实施例方式
下面的说明将根据示出了优选实施例的附图来详细解释本发明。
实施例1实施例1示出了一种情况，其中信息处理设备是移动电话，而本发明的安全性判断系统被应用到使用移动电话的交易上。注意，所述信息处理设备不一定被限制为移动电话，而可以是个人计算机、复印机、打印机、传真机、冰箱、电视、设备、PDA(个人数字助理)、空调、微波炉、自动化设备等等。
图1是示出了根据本发明的安全性判断系统的概要的视图。在图1中，数字1是作为信息处理设备的移动电话，3是作为发行电子证书的第三方的证书机构的第二认证设备(以后称为证书机构服务器)，2是中心服务器，作为是安全性判断中心的第一认证设备，用于判断移动电话1的安全性，而4是在线出售产品的在线商店的购物计算机(shop computer)(以后称为万维网服务器)。移动电话1通过一个移动电话网络(未示出)连接到通信网络(以后称为因特网)N，并且类似地，证书机构服务器3、中心服务器2和万维网服务器4被连接到因特网N。移动电话1包括作为生物信息接收装置的指纹获取单元112，并具有捕获通过将客户的指纹扫描到移动电话1中而获取的指纹信息的功能。
图2是示出了移动电话1的硬件结构的方框图。作为信息处理设备的移动电话1包括移动电话引擎单元110和本发明的安全性判断设备5，其中移动电话引擎单元110用于执行常规功能，例如通话功能和字符及图像数据的发送与接收。在实施例1中，安全性判断设备(以后称为安全性芯片)5是LSI(大规模集成电路)芯片并被安装在移动电话1中。
下面的说明将解释移动电话引擎单元110的硬件结构。如在图2中所示，RAM 12、ROM 15、天线单元16、电源单元113、麦克风和扬声器111、AD/DA转换器20、外部连接器19、诸如用于数据显示的液晶显示器的显示单元14以及输入单元13(包括数字键、光标键以及选择与定义键)通过总线17连接到CPU(中央处理单元)11。CPU 11通过总线17连接到移动电话1的如上所述的各种硬件单元，控制这些硬件单元，并根据存储在ROM 15中的控制程序15P来执行各种软件功能。
外部连接器19是由例如16根导线组成的接口，并通过USB电缆等连接到个人计算机或外围设备(都未示出)。RAM 12由SRAM(静态随机存取存储器)、快闪存储器等构成，并存储在软件执行期间创建的临时数据。ROM 15由例如EEPROM(电可擦可编程ROM)构成，并存储提供移动电话1的基本运行环境的OS(操作系统)、控制连接到外部连接器19的外围设备的BIOS(基本输入/输出系统)以及所下载或预安装的软件例如Java。
除了移动电话引擎单元110的输入单元13之外，在移动电话1的输入单元13的旁边提供了用于获取客户的指纹信息的指纹获取单元112。指纹获取单元112将通过扫描而读取的指纹信息输出到安全性芯片5。注意，在实施例1中，虽然指纹被用作生物信息，但生物信息不一定局限于指纹，而可以是和语音、视网膜或虹膜有关的信息。例如在语音的情况下，通过从麦克风和扬声器111获取语音、用AD/DA转换器20将语音转换成数字信号、将语音输出到CPU 11并将语音与预先存储的客户自己的语音数据做比较来进行认证。
下面将解释安全性芯片5的硬件结构。安全性芯片5包括微处理器(以后称为MPU)51、RAM 52、和例如EEPROM的ROM 55。MPU 51通过总线57连接到RAM 52和ROM 55，控制它们，并根据存储在ROM55中的控制程序55P来执行各种软件功能。在ROM 55中，准备了存储从证书机构服务器3接收到的电子证书的电子证书文件553；存储移动电话1自身的秘密密钥的秘密密钥文件554；预先存储客户指纹信息的指纹信息文件552；以及存储移动电话1的设备名和版本、外围设备的设备名和版本以及所安装的软件的名称和版本的环境信息文件551。注意，移动电话1的秘密密钥是由证书机构服务器3发行的，而与此秘密密钥形成一对的公共密钥由证书机构服务器3所管理。
安全性芯片5的MPU 51收集和移动电话1有关的环境信息，并将该环境信息存储在环境信息文件551中。MPU 51从ROM 15中读取预先存储的移动电话1的设备名和版本，以获取移动电话1自身的信息。例如，当信息处理设备是移动电话时，获取设备名和版本，而当信息处理设备是微波炉时，获取制造商名称、设备名、型号等。而且，MPU 51参考ROM15的BIOS来获取与连接到外部连接器19的设备有关的信息，并将该信息作为环境信息之一存储在环境信息文件551中。例如，当计算机(未示出)被连接到外部连接器19时，获取该计算机的设备名等。另一方面，当信息处理设备是个人计算机时，如果一个PC卡被连接到用作外部连接器19的PC卡插槽，就获取该PC卡的设备名。
另外，与安装在移动电话1中的软件有关的信息对应于环境信息。MPU 51参考ROM 15中的OS和软件获取所安装的软件的名称和版本。当信息处理设备是个人计算机时，举例来说，作为与所安装的软件有关的环境信息，获取Windows()或Linux作为OS的名称，获取“第二版”作为OS的版本，获取Internet Explorer作为浏览器，获取“SP2”作为浏览器的版本。另外，通过因特网N下载的、以Java编写的软件的名称对应于环境信息。因此，MPU 51总是监控ROM中的BIOS、OS等等，并且当安装了新软件或者当新设备连接到外部连接器19时，MPU 51收集与该软件或设备有关的信息作为环境信息存储在环境信息文件551中。
指纹信息文件552被用于个人认证。例如，当客户购买移动电话1时，获取客户的指纹信息并在该商店将客户的指纹信息首次注册在ROM55内的指纹信息文件552中。当从指纹获取单元112读取并输出指纹信息时，MPU 51将所输出的指纹信息与存储在指纹信息文件552中的指纹信息做比较，以判断它是否正确。注意，在实施例1中，用于认证的指纹信息文件552存储在移动电话1中，但它不一定必须存储在移动电话1中，而是可以存储在中心服务器2或证书机构服务器3中，并用于中心服务器2或证书机构服务器3中的认证。在此情况下，将用存储在秘密密钥文件554中的秘密密钥加密的指纹信息和一个电子证书一起发送到中心服务器2或证书机构服务器3以用于认证。
电子证书文件553存储由证书机构服务器3发行的电子证书，并且类似地，秘密密钥文件554存储由证书机构服务器3发行的用于移动电话1的秘密密钥。注意，用于移动电话1的公共密钥存储在证书机构服务器3中。MPU 51加密与交易相关的数据、环境信息和指纹信息等，这些数据和信息将与带有秘密密钥的消息摘要一起被发送和接收，并将加密的数据和电子证书通过因特网N发送到中心服务器2等。
图3是示出了中心服务器2的硬件结构的方框图。如图3中所示，RAM 22，例如硬盘的存储单元25，例如网关和LAN卡的用于向移动电话1、证书机构服务器3、万维网服务器4等发送信息和从它们接收信息的通信单元26，例如液晶显示器的显示单元24，以及例如键盘和鼠标的输入单元23通过总线27连接到CPU(中央处理单元)21。CPU 21通过总线27连接到中心服务器2的如上所述的各种硬件单元，控制它们，并根据存储在存储单元25中的控制程序25P来执行各种软件功能。而且，在存储单元25中，提供了环境信息数据库(以后称为环境信息DB)251，根据要发送和接收的信息的安全性的等级存储环境条件。
图4是环境信息DB 251的记录布局的说明性视图。如图4中所示，根据预设的安全性策略注册对应于安全性等级的环境条件。根据要被发送和接收的信息的安全性程度，等级字段被划分为等级1到等级6，并且等级1代表最高安全性级别，而等级6代表最低安全性级别。如在价格信息字段和产品信息字段中所示，当交易涉及小额数目如￥100时，或者目标产品是例如具有旋律的通话信号(以后称为“Chakumero”)的低价产品时，必须优先考虑顺利交易而不是安全性，并且因此这一产品被划分到等级6中。另一方面，当交易涉及不少于￥50,000的高价产品时，或者当目标产品是股票证书等等，就必须确保高安全性，并且因此这样的产品被划分到等级1中。
在环境条件字段内的设备信息字段中，客户的移动电话1的设备名和版本根据其等级而被注册。例如在等级1中，条件规定了移动电话1的最新型号S004、F004和N004，而当移动电话1不满足作为环境信息的这一条件时，此移动电话1就被环境认证判断为不正确。具体地说，在型号S004的情况下，还存在一个条件，即移动电话1的版本必须是2.0或更高版本。另一方面，在等级6中，当移动电话1的型号是S001、S002、S003和S004(包括旧的型号S001)，以及F001到F004和N001到N004中的任何之一时，类似地，这一移动电话1被判断为正确。
在外围设备字段，类似地，对每一等级都注册外围设备的设备名和版本，并且它们被用于环境认证。例如，在等级6中，即使当外围设备XX、YY等被连接了，它们也被判断为正确。另一方面，在等级1中，由于没有存储对应的外围设备的条件，因此当有关外围设备的信息被作为环境信息从移动电话1发送出去时，它被判断为不正确。也就是说，在等级1中，无论连接了什么外围设备，它都被判断为不正确。注意，各个供应商提供的信息都被作为这种信息而被注册。
类似地，在软件字段，根据等级注册软件名和版本。在等级1中，当软件是软件C并且它的版本是3.0或更高时，这一软件被判断为正确。而在等级6中，当软件是软件C并且它的版本是1.0或更高，这一软件被判断为正确。通过以这种方式设置等级来判断安全性的原因在于考虑顺利交易和安全性维护之间的平衡。例如，当信息处理设备是个人计算机时，所安装的浏览器根据每个客户而不同。例如，在Microsoft的InternetExplorer的情况下，存在多个版本，并且版本号越高，安全性漏洞就越少，即安全性越高。
当需要高安全性时，可以有一种方法，在此方法中环境信息被获取，并且，只有当所获取的环境信息属于最新版本的没有安全漏洞的浏览器时，这一环境信息才被判断为正确并允许后续交易。然而，在此情况下，由于没有安装最新版本的客户根本不能进行交易，这一方法就不合适了。因此，在不需要高安全性的低价产品的情况下，认证等级被设置成很低，并且即使具有很旧版本的浏览器在特定条件下也被判断为正确以允许交易。
参考流程图，下面的说明将解释在上述硬件结构上执行的本发明的安全性判断处理的过程。图5是示出了在万维网服务器4和移动电话1之间的交易的过程的流程图。首先，客户通过移动电话1的输入单元13输入作为交易的另一方的在线商店的万维网服务器4的URL(统一资源定位符)，并向万维网服务器4请求产品定单页面(步骤S51)。作为HTTP(超文本传输协议)服务器的万维网服务器4从存储单元(未示出)读取对应的cHTML(精简超文本置标语言)文件(步骤S52)，并将所读取的cHTML文件发送到移动电话1(步骤S53)。
移动电话1的CPU 11用存储在ROM 15中的浏览器软件来分析所接收的cHTML文件，并如在图6中所示的那样，在显示单元14上显示用于交易的网页(步骤S54)。图6是示出了所述网页的显示状态的说明性视图。如在图6中所示，与产品、数量和价格有关的信息被显示在显示单元14上。客户通过操作输入单元13来在显示单元14的屏幕上选择要被订购产品和数量。当选择了产品时，CPU 11执行与所述cHTML文件一起发送来的Java脚本，并计算和显示总价格。实施例1中的在线商店出售计算机相关设备如个人计算机、打印机和磁盘驱动器，而图6示出了当客户订购一台价格为￥29,800的喷墨式打印机的输入结果。总之，客户输入价格信息或产品信息作为与交易相关的定单信息。另外，客户可以输入地址、电话号码、姓名、ID、密码等等。
当从输入单元13以这种方式输入定单信息时，CPU 11接收此定单信息(步骤S55)。然后，当选择图6中示出的“购买”按钮时，CPU 11跳转到安全性判断处理(步骤S56)。参考流程图，下面的说明将解释作为本发明的特征的步骤S56的安全性判断处理的子例程。注意，后面会描述步骤S57之后的过程。
图7至图12是示出了安全性判断处理(步骤S56)的子例程的过程的流程图。当输入订单信息时，安全性芯片5的MPU 51执行控制程序55P，并在显示单元14上显示指纹信息获取请求(步骤S71)。此时所显示的内容预先存储在ROM 55中，并且，举例来说可以读取如“将您的大拇指放在指纹获取单元上”的信息，并将其输出到显示单元14。当从指纹获取单元112输入指纹信息时，安全性芯片5的MPU 51接收该指纹信息(步骤S72)，并将它临时存储在RAM 52中。然后，MPU 51读取在客户购买移动电话1时已预先注册在ROM 55中的指纹信息文件552中的指纹信息，并比较这些指纹信息，判断所注册的信息是否与在步骤S72中所接收并存储在RAM 52中的指纹信息相匹配，即指纹信息认证是否成功(步骤S73)。
当这些指纹信息匹配并且指纹信息认证被判断为成功(步骤S73中的“是”)时，MPU 51设置指纹认证成功标志，并将所设置的指纹认证成功标志发送到中心服务器2(步骤S75)。另一方面，当这些指纹信息不匹配且指纹信息认证被判断为不成功(步骤S73中的“否”)时，MPU51设置指纹认证失败标志，并将所设置的指纹认证失败标志发送到中心服务器2(步骤S74)。中心服务器2的CPU 21将所发送的指纹认证标志(指纹认证成功标志或指纹认证失败标志)存储在存储单元25中(步骤S77)。从而完成了使用指纹信息的生物认证。
注意，虽然实施例1采用了一种结构，在其中使用指纹信息的生物认证是在移动电话1中进行的，但也可以将预先收集的指纹信息注册在证书机构服务器3或中心服务器2中，并从移动电话1发送在步骤S72中所接收和存储在RAM 52中的指纹信息，用于在证书机构服务器3或中心服务器2中的判断。
随后，过程跳转到使用电子证书的认证。安全性芯片5的MPU 51通过使用存储在ROM 55中的哈希函数来为在步骤S55中接收的订单信息计算消息摘要(步骤S76)。MPU 51从秘密密钥文件554读取由证书机构服务器3预先发行的移动电话1的秘密密钥，并加密订单信息和消息摘要(步骤S81)。而且，MPU 51从电子证书文件553读取由证书机构服务器3预先发行的电子证书，将该电子证书附加到加密的订单信息和消息摘要，并将它们发送到中心服务器2(步骤S82)。中心服务器2的CPU 21在RAM 22中存储所发送的电子证书和加密的订单信息和消息摘要。
中心服务器2的CPU 21访问在所述电子证书中描述的证书机构服务器3，并请求获取所接收的电子证书的公共密钥(该证书机构的公共密钥)(步骤S83)。响应于这一请求，证书机构服务器3将电子证书的公共密钥发送到中心服务器2(步骤S84)。中心服务器2的CPU 21从RAM 22读取所存储的电子证书，通过使用从证书机构服务器3发送来的证书机构的公共密钥来解密电子证书，并获取移动电话1的公共密钥(步骤S85)。
中心服务器2的CPU 21通过使用从证书机构服务器3获取的移动电话1的公共密钥来解密加密的订单信息和消息摘要(步骤S91)。而且，CPU 21通过使用存储在中心服务器2的存储单元25中的哈希函数来为加密的订单信息计算消息摘要(步骤S92)。中心服务器2的CPU 21判断在步骤S91中解密的消息摘要是否与在步骤S92中计算的消息摘要相匹配，即订单信息在发送期间是否没有被伪造，并还判断是否所述信息被发送到一个授权客户的移动电话1和从该移动电话接收到所述信息(步骤S93)。
如果这些消息摘要不匹配(步骤S93中的“否”)，CPU 21判断已发生了某种伪造或“欺骗”，并为电子证书认证设置失败标志(S95)。另一方面，如果这些消息摘要相匹配(步骤S93中的“是”)，CPU 21判断没有发生“欺骗”或伪造，并为电子证书认证设置成功标志(步骤S94)。然后，中心服务器2的CPU 21将电子证书认证的标志(电子证书认证成功标志或电子证书认证失败标志)存储在存储单元25中(步骤S96)。从而完成使用电子证书的认证。
下面将解释环境认证。安全性芯片5的MPU 51获取与移动电话1有关的环境信息(步骤S101)。MPU 51通过总是监控安装在移动电话1的ROM 15中的OS、BIOS和软件并如上所述地收集移动电话1的设备名、OS的名称和版本、连接到外部连接器19的外围设备的设备名和版本、所安装的软件如浏览器的名称和版本来收集环境信息。所收集的环境信息被存储在环境信息文件551中(步骤S102)。
MPU 51从环境信息文件551读取所收集的环境信息，并将它发送到中心服务器2(步骤S103)。中心服务器2的CPU 21在RAM 22中存储所发送的环境信息。中心服务器2的CPU 21参考环境信息DB 251读取与在步骤S91中解密的订单信息相对应的等级(步骤S104)。具体地说，参考价格信息或产品信息字段，CPU 21根据交易中将成交的订单信息中的价格或产品，从等级字段读取对应的等级。例如，当所订购的产品的价格超过￥50,000是，就选择等级1。
中心服务器2的CPU 21从环境信息DB 251读取对应于所读取的等级的环境信息的条件(步骤S105)，具体地说，根据所读取的等级，从环境信息DB 251的环境条件字段读取对应的移动电话1的设备名和版本、对应的软件的名称和版本以及对应的外围设备的设备名和版本。然后，CPU21判断存储在RAM 22中的所接收的环境信息是否满足从环境信息DB251读取的环境信息的条件(步骤S111)。如果该条件未被满足(步骤S111中的“否”) (例如，当等级是1并且发送了软件C的版本2.0作为环境信息，这一软件就不满足版本必须是3.0或更高的条件)，CPU 21就设置环境认证失败标志(步骤S112)。另一方面，如果所述条件被满足(步骤S111中的“是”)，CPU 21就设置环境认证成功标志(步骤S113)。例如，当设置了等级1作为条件时，如果环境信息显示“对于移动电话1的设备名和版本是最新型号F004和版本2.0，对于所安装的软件是软件C和版本5.0，并且对于所连接的外围设备是没有设备”，则CPU21判断该环境是正确的。中心服务器2的CPU 21在存储单元25中存储环境认证的标志(环境认证成功标志或环境认证失败标志)(步骤S114)，从而完成环境认证。
CPU 21读取存储在存储单元25中的指纹认证标志、电子证书标志和环境认证标志，并判断指纹认证成功标志、电子证书认证成功标志和环境认证成功标志中的全部是否在与(AND)条件下都被设置(步骤S115)。当所有成功标志都被设置时(步骤S115中的“是”)，CPU 21判断移动电话1是安全的，并设置安全标志(步骤S121)。也就是说，只有当移动电话1在生物认证、电子证书认证(PKI认证)和环境认证中的全部都被判断为正确时，移动电话1才被判断为正确的。在此情况下，中心服务器2的CPU 21将表示移动电话1是安全的安全性保证信息和订单信息发送到万维网服务器4(步骤122)，并终止安全性判断的子例程(步骤S56)。
另一方面，当在生物认证、电子证书认证(PKI认证)和环境认证的至少之一中设置了失败标志时，CPU 21就设置失败标志(步骤S123)。在此情况下，CPU 21将表示移动电话1是危险的警告信息发送到万维网服务器4(步骤S124)，并终止安全性判断的子例程(步骤S56)。
在图5中，万维网服务器4判断是否已从中心服务器2接收到与移动电话1有关的警告信息(步骤S57)。如果没有接收到警告信息(步骤S57中的“否”)，万维网服务器4就判断是否已收到安全性保证信息和订单信息(步骤S58)。如果还未收到安全性保证信息和订单信息(步骤S58中的“否”)，或者如果在步骤57中是“是”，万维网服务器4就判断移动电话1很可能是欺骗性的，并且然后就将取消交易的信息发送到移动电话1(步骤S59)。另一方面，如果已接收到安全性保证信息和订单信息(步骤S58中的“是”)，就认为移动电话1的安全性得到了保证，并且万维网服务器4然后就正式地接收到该订单，并将表示订单已收到的订单确认信息发送到移动电话1(步骤S60)。这样，在实施例1中，通过在交易前进行个人认证、PKI认证和环境认证，确保了足够的安全性，并且可以通过根据要成交的产品的价值来改变认证级别从而实现顺利的交易。
实施例2图13是示出了根据本发明的实施例2的移动电话1的硬件结构的方框图。可以通过在移动电话1中如实施例2中的那样预安装计算机程序来提供用于执行实施例1的移动电话1的处理的计算机程序，或者使用可拆卸的记录介质如CD-ROM、MO和存储卡来提供。而且，也可以通过经由线路将计算机程序作为载波发送来提供所述计算机程序。具体地说，在实施例2中，在移动电话1的ROM 15中安装了具有和安全性芯片5相同功能的计算机程序，而不是安装安全性芯片5。下面将解释该程序的内容。
如在图13中所示，从其上记录了程序的记录介质1a(例如CD-ROM、MO、存储卡或DVD-ROM)将用于认证生物信息、收集环境信息、发送环境信息、发送加密的信息并判断安全性的程序安装在移动电话1的ROM 15中。作为安装方法，诸如存储卡的可连接到外部连接器19的记录介质1a被连接到外部连接器19，并安装所述程序。然而，可以从中心服务器2下载本发明的程序。这些程序在暂时被装载到移动电话1的RAM 12中之后被执行。从而移动电话1就作为如上所述的本发明的实施例1的信息处理设备。
实施例3
在如上所述的实施例1中，虽然生物信息的认证是在安全性芯片5中进行的，但它也可以在中心服务器2或证书机构服务器3中进行。实施例3采用了一种结构，在此结构中生物信息的认证在中心服务器2中进行，并且说明了一个示例，在其中本发明被应用到一个预定了安全性策略的情形中。
图14是示出了根据实施例3的移动电话1的硬件结构的方框图。图15是示出了根据实施例3的中心服务器2的硬件结构的方框图。如图14和图15所示，由于实施例3采用了其中生物信息认证是在中心服务器2中进行的结构，因此用于认证的指纹信息文件252被存储在中心服务器2的存储单元25中，而不是在移动电话1内。其他的结构与在图2和图3中示出的实施例1的相同。注意，可以通过下述方式来进行用于认证的指纹信息的初次注册要求客户在认证前访问一个商店或服务中心，根据驾照、护照等确认个人身份，并现场读取他/她的指纹。
图16到图20示出了根据实施例3的安全性判断处理(图5中的步骤S56的子例程)的过程的流程图。首先，为进行一项后续通信，安全性芯片5的MPU 51向中心服务器2发送一个安全性确认启动信号(步骤S161)。当中心服务器2的CPU 21接收到确认启动信号时，它就确定通信的安全性等级(步骤S162)。在确定所述等级时，根据一个预定的安全性策略来确定所述等级。例如，当后续通信是需要高安全性的通信时，例如发行居民卡或股票交易，所述等级就被确定为等级1，而当后续通信是不需要高安全性的通信时，例如Chakumero或备用显示器的图像数据，所述等级就被确定为等级6。另外，对于公用设施收费的支付，为了确保中等级别的安全性，所述等级被确定为等级3。
在确定了等级后，中心服务器2的CPU 21将一个对应于确认启动信号的响应信号发送到移动电话1(步骤S163)。当接收到该响应信号时，安全性芯片5的MPU 51执行控制程序55P，并在显示单元14上显示指纹信息获取请求(步骤S164)。此时显示的内容预先存储在ROM 55中，并且，举例来说，诸如“将您的大拇指放在指纹获取单元上”的信息可以被读取并输出到显示单元14。当从指纹获取单元112输入指纹信息时，安全性芯片5的MPU 51接收指纹信息并将它暂时存储在RAM 52中(步骤S165)。
然后，安全性芯片5的MPU 51获取与移动电话1有关的环境信息(步骤S166)。如上所述，MPU 51通过总是监控安装在移动电话1的ROM 15中的OS、BIOS和软件并收集移动电话1的设备名、OS的名称和版本、连接到外部连接器19的外围设备的设备名和版本、所安装的软件如浏览器的名称和版本来收集环境信息。所收集的环境信息存储在环境信息文件551中(步骤S167)。
安全性芯片5的MPU 51读取存储在RAM 52中的生物信息和存储在环境信息文件551中的环境信息(步骤S168)。安全性芯片5的MPU 51通过使用存储在ROM 55中的哈希函数为所读取的生物信息和环境信息计算消息摘要(步骤S169)。MPU 51从秘密密钥文件554读取由证书机构服务器3预先发行的移动电话1的秘密密钥，并加密所述生物信息、环境信息和消息摘要(步骤S171)。而且，MPU 51从电子证书文件553读取由证书机构服务器3预先发行的电子证书，将该电子证书附加到所加密的生物信息、环境信息和消息摘要，并将它们发送到中心服务器2(步骤S172)。中心服务器2的CPU 21将所发送的电子证书和加密的生物信息、环境信息和消息摘要存储在RAM 22中。注意，在实施例3中，尽管生物信息和环境信息都被加密和发送了，但可以只加密生物信息或只加密环境信息。
中心服务器2的CPU 21访问在电子证书中描述的证书机构服务器3，并请求获取所接收到的电子证书的公共密钥(该证书机构的公共密钥)(步骤S173)。响应于此请求，证书机构服务器3将该电子证书的公共密钥发送到中心服务器2，并且中心服务器2接收所发送的该电子证书的公共密钥(步骤S174)。中心服务器2的CPU 21从RAM 22读取所存储的电子证书，使用从证书机构服务器3发送来的证书机构的公共密钥来解密电子证书，并获取移动电话1的公共密钥(步骤S175)。
中心服务器2的CPU 21用从证书机构服务器3获取的移动电话1的公共密钥来解密所加密的生物信息、环境信息和消息摘要(步骤S181)。而且，CPU 21通过使用存储在中心服务器2的存储单元25中的哈希函数来为解密的生物信息和环境信息计算消息摘要(步骤S182)。中心服务器2的CPU 21判断在步骤S181中解密的消息摘要是否与步骤S182中计算出的消息摘要相匹配，即所述生物信息和环境信息是否在发送过程中没有被伪造，并且还判断是否所述信息已被发送到一个授权客户的移动电话1和从该移动电话1接收到所述信息(步骤S183)。
如果这些消息摘要不匹配(步骤S183中的“否”)，CPU 21判断已发生了某种伪造或“欺骗”，并为电子证书认证设置失败标志(S185)。另一方面，如果这些消息摘要相匹配(步骤S183中的“是”)，CPU 21判断没有发生“欺骗”或伪造，并为电子证书认证设置成功标志(步骤S184)。然后，中心服务器2的CPU 21将电子证书认证的标志(电子证书认证成功标志或电子证书认证失败标志)存储在存储单元25中(步骤S186)。
随后，中心服务器2的CPU 21从252读取用于认证的预注册的指纹信息(步骤S187)。CPU 21将解密的指纹信息与用于认证的所读取的指纹信息做比较，并判断这些指纹信息是否相匹配，即指纹信息认证是否成功(步骤S191)。
如果这些指纹信息匹配并且指纹信息认证被判断为成功(步骤S191中的“是”)，CPU 21设置指纹认证成功标志(步骤S192)。另一方面，如果这些指纹信息不匹配且指纹信息认证被判断为不成功(步骤S191中的“否”)，CPU 21设置指纹认证失败标志(步骤S193)。中心服务器2的CPU 21将指纹认证标志(指纹认证成功标志或指纹认证失败标志)存储在存储单元25中(步骤S194)。
中心服务器2的CPU 21从环境信息DB 251读取对应于在步骤S162中所确定的等级的环境信息的条件(步骤S195)。然后，CPU 21判断所解密的环境信息是否满足在步骤S195中从环境信息DB 251读取的环境信息的条件(步骤S196)。如果该条件未被满足(步骤S196中的“否”)CPU 21就设置环境认证失败标志(步骤S198)。另一方面，如果所述条件被满足(步骤S196中的“是”)，CPU 21就设置环境认证成功标志(步骤S197)。中心服务器2的CPU 21在存储单元25中存储环境认证的标志(环境认证成功标志或环境认证失败标志)(步骤S201)。
CPU 21读取存储在存储单元25中的指纹认证标志、电子证书标志和环境认证标志，并判断指纹认证成功标志、电子证书认证成功标志和环境认证成功标志中的全部是否在与(AND)条件下都被设置(步骤S202)。如果所有成功标志都被设置(步骤S202中的“是”)，CPU 21判断移动电话1是安全的，并设置安全标志(步骤S203)。也就是说，只有当移动电话1在生物认证、电子证书认证(PKI认证)和环境认证中的全部都被判断为正确时，移动电话1才被判断为正确。在此情况下，中心服务器2的CPU 21将指示继续通信的信号发送到移动电话1或万维网服务器4(步骤204)，并终止安全性判断的子例程(步骤S56)。
另一方面，如果在生物认证、电子证书认证(PKI认证)和环境认证的至少之一中设置了失败标志，CPU 21就设置失败标志(步骤S205)。在此情况下，CPU 21将指示结束通信的信号发送到移动电话1或万维网服务器4(步骤S206)，并终止安全性判断的子例程(步骤S56)。
实施例4本发明的实施例4涉及在提供补丁软件和固件的情形下应用的安全性判断系统。在PDA、移动电话、冰箱、空调和打印机中，有时会在所安装的软件中发现漏洞(bug)。在此情形下，需要提供补丁软件。另外，存在一种提供具有附加功能的固件的情形。实施例4说明了能够在确保安全性之后提供软件的安全性判断系统。
图21是示出了根据实施例4的移动电话1的硬件结构的方框图。图21中的数字114表示主电源供应装置(以后称为主电源单元)，用于向移动电话引擎单元110供应电源，并且此114使用锂电池等等。通过操作输入单元13的开通(ON)按钮(未示出)，从主电源单元114向移动电话引擎单元110和安全性芯片5供应电源。另一方面，通过操作关断(OFF)按钮(未示出)，就切断了从主电源单元114向移动电话引擎单元110和安全性芯片5的电源供应，并且移动电话1的电源被关闭。
但是，即使主电源单元114未向移动电话引擎单元110和安全性芯片5供应电源，副电源供应装置(以后称为副电源单元)115仍然使用例如一个硬币状的锂电池并向第二ROM 116和副天线单元117供应电源，其中116用作存储装置，而副天线单元117用作接收和发送装置。在电源是由主电源单元114所供应，即移动电话1的电源是开通的情况下，那么当从中心服务器2发送软件过来时，此软件就由天线单元16所接收，并且CPU 11将该软件存储在ROM 15中。在此情形下，电源不是由副电源单元115所供应。
在电源不是由114所供应，即移动电话1的电源是关断的情况下，由副电源单元115向副天线单元117和第二ROM 116供应电源。然后，当从中心服务器2发送软件过来时，此软件就由副天线单元117所接收，并且所接收的软件临时存储在第二ROM 116中。在电源由主电源单元114所供应时，存储在第二ROM 116中的软件被写入到ROM 15中。注意，作为副天线单元117，可以使用例如已知的FM字符多信道广播接收模块。在此情形下，中心服务器2通过一个FM广播站发送包含软件的FM复用广播。当用作副天线单元117的FM字符多信道广播接收模块接收到FM复用广播时，由DARC(Data Radio Channel，数据广播信道)标准的字符代码所描述的软件数据转换成例如由C语言或Java所描述的源代码。最后，在进行个人认证、PKI认证和环境认证后，安全性芯片5的MPU 51在ROM 15中安装该软件。
图22是示出了根据实施例4的中心服务器2的硬件结构的方框图。如图22中所示，存储单元25存储多种由证书机构服务器3证明的软件，如补丁软件、固件、插件软件和防毒软件。注意，这些软件可以由软件公司(Software House)来提供。电子证书文件253存储由证书机构服务器3预先发行的中心服务器2的电子证书，而秘密密钥文件254存储类似地由证书机构服务器3发行的中心服务器2的秘密密钥。
参考流程图，下面的说明将解释提供已保证其安全性的软件的处理，该处理根据本发明的实施例4在中心服务器2的硬件结构上执行。图23到图29示出了根据实施例4的软件提供处理的过程的流程图。首先，中心服务器2的CPU 21通过呼叫移动电话1或其他方法来请求获取表示移动电话1的主电源是开通还是关断的信息(步骤S231)。移动电话1发送表示主电源是开通还是关断的信息(步骤S232)。中心服务器2判断移动电话1的主电源是否是开通的(步骤S233)。如果移动电话1的主电源是开通的(步骤S233中的“是”)，安全性等级就以与上述的在步骤S162中的相同的方式确定(步骤S234)。管理者可以根据所提供的软件的重要性来确定安全性。例如，当该软件是补丁软件或防毒软件时，所述等级被确定为等级1以提高安全性，而当软件是需要低安全性的软件例如游戏软件时，所述等级就被确定为等级6。
中心服务器2的CPU 21将认证启动信号发送到移动电话1(步骤S235)。接收到所述认证启动信号的移动电话1的安全性芯片5的MPU51执行控制程序55P，并在显示单元14上显示指纹信息获取请求(步骤S236)。当从指纹获取单元112输入指纹信息时，安全性芯片5的MPU51接收该指纹信息(步骤S237)，并将它暂时存储在RAM 52中。然后，MPU 51读取客户购买移动电话1时注册在ROM 55中的指纹信息文件552中的指纹信息，并比较这些指纹信息，以判断所注册的信息是否与在步骤S237中所接收并存储在RAM 52中的指纹信息相匹配，即指纹信息认证是否成功(步骤S241)。
如果这些指纹信息匹配并且指纹信息认证被判断为成功(步骤S241中的“是”)，MPU 51设置指纹认证成功标志(步骤S243)。另一方面，如果这些指纹信息不匹配且指纹信息认证被判断为不成功(步骤S241中的“否”)，MPU 51设置指纹认证失败标志(步骤S242)。MPU 51将所发送的指纹认证标志(指纹认证成功标志或指纹认证失败标志)存储在存储单元55中(步骤S244)。
然后，安全性芯片5的MPU 51获取与移动电话1有关的环境信息(步骤S245)。所收集的环境信息被存储在环境信息文件551中(步骤S246)。MPU 51从环境信息文件551读取所收集的环境信息，并将它发送到中心服务器2(步骤S247)。中心服务器2的CPU 21在RAM 22中存储所发送的环境信息。中心服务器2的CPU 21从环境信息DB 251读取对应于在步骤S162中所确定的等级的环境信息的条件(步骤S248)。
然后，CPU 21判断存储在RAM 22中的所接收的环境信息是否满足从环境信息DB 251读取的环境信息的条件(步骤S251)。如果条件未被满足(步骤S251中的“否”)，CPU 21设置环境认证失败标志(步骤S253)。另一方面，如果条件被满足(步骤S251中的“是”)，CPU 21设置环境认证成功标志(步骤S252)。中心服务器2的CPU 21在存储单元25中存储环境认证的标志(环境认证成功标志或环境认证失败标志)(步骤S254)，并将它发送到移动电话1(步骤S255)。接收到环境认证标志的安全性芯片5的MPU 51在存储单元25中存储环境认证标志(环境认证成功标志或环境认证失败标志)(步骤S256)。
而且，中心服务器2的CPU 21从存储单元25读取要被提供的软件(步骤S257)，该软件存储在存储单元25中。CPU 21通过使用存储在存储单元25中的哈希函数来为所读取的软件计算消息摘要(步骤S258)。CPU 21从秘密密钥文件254读取由证书机构服务器3预先发行的中心服务器2的秘密密钥，并加密所述软件和消息摘要(步骤S259)。而且，CPU21从电子证书文件253读取由证书机构服务器3预先发行的电子证书，将该电子证书附加到加密的软件和消息摘要，并将它们发送到移动电话1(步骤S261)。安全性芯片5的MPU 51在RAM 52中存储所发送的电子证书以及加密的软件和消息摘要。
安全性芯片5的MPU 51访问在所述电子证书中描述的证书机构服务器3，并请求获取所接收的电子证书的公共密钥(该证书机构的公共密钥)(步骤S262)。响应于这一请求，证书机构服务器3将所述电子证书的公共密钥发送到移动电话1，并且安全性芯片5的MPU 51接收所发送的公共密钥(步骤S263)。MPU 51从RAM 52读取所存储的电子证书，通过使用从证书机构服务器3发送来的证书机构的公共密钥来解密电子证书，并获取中心服务器2的公共密钥(步骤S264)。
安全性芯片5的MPU 51用从证书机构服务器3获取的中心服务器2的公共密钥来解密所加密的软件和消息摘要(步骤S265)。而且，MPU51通过使用存储在安全性芯片5的ROM 55中的哈希函数来为解密的软件计算消息摘要(步骤S266)。MPU 51判断在步骤S265中解密的消息摘要是否与步骤S266中计算出的消息摘要相匹配，即所述软件是否在发送过程中没有被伪造，并且还判断是否所述信息已被发送到一个授权中心服务器2和从该服务器2接收到所述信息(步骤S271)。
如果这些消息摘要不匹配(步骤S271中的“否”)，MPU 51判断已发生了某种伪造或“欺骗”，并为电子证书认证设置失败标志(S272)。另一方面，如果这些消息摘要相匹配(步骤S271中的“是”)，MPU 51判断没有发生“欺骗”或伪造，并为电子证书认证设置成功标志(步骤S273)。然后，安全性芯片5的MPU 51将电子证书认证的标志(电子证书认证成功标志或电子证书认证失败标志)存储在ROM 55中(步骤S274)。
MPU 51读取存储在ROM 55中的指纹认证标志、电子证书标志和环境认证标志，并判断指纹认证成功标志、电子证书认证成功标志和环境认证成功标志中的全部是否在与(AND)条件下都被设置(步骤S275)。如果所有成功标志被设置(步骤S275中的“是”)，MPU 51判断所发送的软件是安全的，并设置安全标志(步骤S278)。安全性芯片5的MPU51将在步骤S265中解密的软件安装在移动电话引擎单元110中的ROM15中(步骤S2710)。然后MPU 51将表示安装结束的信号发送到中心服务器2(步骤2711)，并终止安全性判断的子例程(步骤S56)。
另一方面，如果在生物认证、电子证书认证(PKI认证)和环境认证的至少之一中设置了失败标志(步骤S275中的“否”)，MPU 51就设置失败标志(步骤S279)。在此情况下，MPU 51将表示安装拒绝的信号发送到中心服务器2(步骤S2712)，并终止安全性判断的子例程(步骤S56)。
当在步骤S233中是“否”，即当移动电话1的主电源是关断的时，中心服务器2的CPU 21从存储单元25读取要提供的软件(步骤S281)，该软件存储在存储单元25中。CPU 21通过使用存储在存储单元25中的哈希函数来为所读取的软件计算消息摘要(步骤S282)。CPU 21从秘密密钥文件254读取由证书机构服务器3预先发行的中心服务器2的秘密密钥，并加密所述软件和消息摘要(步骤S283)。而且，CPU 21从电子证书文件253读取由证书机构服务器3预先发行的电子证书，将该电子证书附加到加密的软件和消息摘要，并将它们发送到FM广播站的计算机(未示出)(步骤S284)。
FM广播站的计算机将电子证书和加密的软件及消息摘要根据DARC标准转换成广播数据，并用FM复用广播复用器电路(未示出)来复用FM音乐数据和广播数据。这些数据由FM调制振荡器所调频调制并被广播。移动电话1通过副天线单元117接收该FM复用广播(步骤S285)，并转换由DARC标准的字符代码描述的数据，以获取电子证书和加密的软件及消息摘要。注意，例如在日本专利申请特开No.10-116237(1998)中公开了涉及使用DARC标准的FM复用广播的技术。
所转换的电子证书、软件和消息摘要被存储在第二ROM 116中(步骤S286)。然后，当客户操作输入单元13以启动使用主电源单元114的电源供应时(步骤S291)，以与如上所述的在步骤S236到S244中的相同的方式进行指纹认证(步骤S292)，通过在步骤S245到S256中说明的相同过程进行环境认证(步骤S294)，并且以与在步骤S262到S274中的相同的方式进行使用电子证书的认证(步骤S293)。在进行使用电子证书的认证时，MPU 51读取存储在第二ROM 116中的电子证书和加密的软件及消息摘要。简而言之，通过使用从证书机构服务器3获取的公共密钥来从电子证书获取所述公共密钥，用所获取的公共密钥来解密所加密的软件，并且判断所解密的软件是否正确。
MPU 51读取存储在ROM 55中的指纹认证标志、电子证书标志和环境认证标志，并判断指纹认证成功标志、电子证书认证成功标志和环境认证成功标志中的全部是否在与(AND)条件下都被设置(步骤S295)。如果所有成功标志被设置(步骤S295中的“是”)，MPU 51判断所发送的软件是安全的，并设置安全标志(步骤S296)。安全性芯片5的MPU51将在步骤S265中解密的软件安装在移动电话引擎单元110中的ROM15中(步骤S298)。然后，MPU 51将表示安装结束的信号发送到中心服务器2(步骤299)，并终止安全性判断的子例程(步骤S56)。
另一方面，如果在生物认证、电子证书认证(PKI认证)和环境认证的至少之一中设置了失败标志(步骤S295中的“否”)，MPU 51就设置失败标志(步骤S297)。在此情况下，MPU 51将表示安装拒绝的信号发送到中心服务器2(步骤S2910)，并终止安全性判断的子例程(步骤S56)。
中心服务器2提供的软件可以是用于删除移动电话1中的软件的软件或补丁软件，其中移动电话1是DDoS(分布式拒绝服务)攻击的目标。例如，当出于某种原因在移动电话1中设置若干天后对预定万维网服务器发起攻击的软件(程序)时，提供通过本发明的认证的软件。要提供的软件存储了时间信息，并且通过安装并执行此软件来删除所有在此存储时刻和该时刻之后存储的数据。
图30是示出了所安装的删除软件的操作内容的流程图。在步骤S298中，在ROM 15中安装删除软件。客户通过操作输入单元13来使得CPU11执行删除软件(步骤S301)。CPU 11读取ROM 15中的存储历史(步骤S302)。更具体地说，CPU 11读取诸如所存储的文件和所安装的软件的数据，并且还读取与这些数据被存储的时间有关的信息。CPU 11从所述删除软件的程序读取时间信息(步骤S303)。然后，CPU 11参考所读取的存储历史，并删除所有在所读取的时刻和该时刻之后安装的数据(步骤S304)。因此，可以防止已被用作DDoS攻击的手段的移动电话1被用于所述攻击。
实施例5图31是示出了根据本发明实施例5的移动电话1的硬件结构的方框图。用于执行实施例4的移动电话1的处理的计算机程序可以通过在如实施例5中的移动电话1中安装它来提供，或者使用可拆卸的记录介质如CD-ROM、MO或存储卡来提供。而且，也可以通过将该计算机程序作为载波经过线路而发送来提供它。具体地说，在实施例5中，在移动电话1的ROM 15中安装了具有和安全性芯片5相同功能的计算机程序，而不是安装安全性芯片5。下面将解释该程序的内容。
从其上记录了程序的记录介质1a(例如CD-ROM、MO、存储卡或DVD-ROM)将用于使移动电话1进行认证生物信息、收集环境信息、发送环境信息、使用电子证书进行认证并安装软件的程序安装在移动电话1的ROM 15中。作为安装方法，诸如存储卡的可连接到外部连接器19的记录介质1a被连接到外部连接器19，并安装程序。然而，可以从中心服务器2下载本发明的所述程序。这些程序在暂时被装载到移动电话1的RAM 12中后被执行。从而，移动电话1作为如上所述的本发明的实施例4的信息处理设备。
实施例6本发明的实施例6说明了一种技术，在其中，当在移动电话1和中心服务器2两者中，生物信息认证、环境信息认证和电子证书认证的全部都被判断为成功时，移动电话1和中心服务器2被判断为安全的，并且允许随后的的信息发送和接收。
图32是示出了根据本发明实施例6的移动电话1的硬件结构的方框图，而图33是示出了根据实施例6的中心服务器2的硬件结构的方框图。如在图32中所示，在实施例6中，中心服务器2的环境认证也在移动电话1中进行，并且因此在移动电话1的ROM 15中准备了一个环境信息DB151。在此环境信息DB 151中，以在图4中说明的相同方式，根据安全性策略的等级，注册了与连接到中心服务器2的外部通信端口29的外围设备、PC卡(未示出)和安装的OS及软件有关的环境信息的条件。
为了让中心服务器2接收由移动电话1进行的认证，指纹获取单元212和安全性芯片5通过总线27连接到CPU 21。注意，由于它们的细节与在实施例1中所说明的那些相同，在此省略了详细说明。另外，数字29代表外部通信端口如USB端口和RS232C端口，并且诸如打印机、鼠标、硬盘和MO驱动器的外围设备被连接到外部通信端口29。
在实施例6中，当在移动电话1和中心服务器2中，生物信息认证、环境信息认证和电子证书认证的全部都被判断为成功时，移动电话1和中心服务器2被判断为安全的，并且允许随后的的信息发送和接收。因此，当在图11示出的步骤S115中的判断结果为“是”时，即在确定移动电话1的安全性之后，另外还进行下面的处理。
图34到图37示出了根据实施例6的认证处理的过程的流程图。当步骤S115中的判断结果为“是”时，中心服务器2的安全性芯片5的MPU51执行控制程序55P，并在显示单元14上显示指纹信息获取请求(步骤S341)。当从指纹获取单元212输入指纹信息时，安全性芯片5的MPU51接收该指纹信息(步骤S342)，并将它暂时存储在RAM 52中。然后，MPU 51读取客户购买移动电话1时预先注册在ROM 55中的指纹信息文件552中的指纹信息，并比较这些指纹信息，以判断所注册的信息是否与在步骤S342中所接收并存储在RAM 52中的指纹信息相匹配，即指纹信息认证是否成功(步骤S343)。
如果这些指纹信息相匹配并且指纹信息认证被判断为成功(步骤S343中的“是”)，MPU 51设置指纹认证成功标志，并将所设置的指纹认证成功标志发送到移动电话1(步骤S345)。另一方面，如果这些指纹信息不匹配且指纹信息认证被判断为不成功(步骤S343中的“否”)，MPU51设置指纹认证失败标志，并将所设置的指纹认证失败标志发送到移动电话1(步骤S344)。移动电话1的CPU 11将所发送的指纹认证标志(指纹认证成功标志或指纹认证失败标志)存储在ROM 15中(步骤S346)。从而完成使用指纹信息的生物认证。
注意，尽管此实施例采用了一种结构，在此结构中使用指纹信息的生物认证是在中心服务器2中执行的，但是可以将以前获取的指纹信息注册在证书机构服务器3中或移动电话1中，并发送从中心服务器2新获取的指纹信息，以用于证书机构服务器3或移动电话1中的判断。
然后，安全性芯片5的MPU 51获取与中心服务器2有关的环境信息(步骤S347)。MPU 51通过如上所述地总是监控安装在中心服务器2的存储单元25中的OS、BIOS和软件并收集中心服务器2的设备名、OS的名称和版本、连接到外部通信端口29的外围设备的设备名和版本、所安装的软件如浏览器的名称和版本来收集环境信息。所收集的环境信息存储在环境信息文件551中(步骤S348)。
安全性芯片5的MPU 51读取存储在RAM 52中的环境信息文件551中的环境信息(步骤S349)。安全性芯片5的MPU 51通过使用存储在ROM 55中的哈希函数为所读取的环境信息计算消息摘要(步骤S351)。MPU 51从秘密密钥文件554读取由证书机构服务器3预先发行的中心服务器2的秘密密钥，并加密所述环境信息和消息摘要(步骤S352)。而且，MPU 51从电子证书文件553读取由证书机构服务器3预先发行的电子证书，将该电子证书附加到所加密的环境信息和消息摘要，并将它们发送到移动电话1(步骤S353)。移动电话1的CPU 11将所发送的电子证书和加密的环境信息及消息摘要存储在RAM 12中。
移动电话1的CPU 11访问在所述电子证书中书写的证书机构服务器3，并请求获取所接收到的电子证书的公共密钥(该证书机构的公共密钥)(步骤S354)。响应于此请求，证书机构服务器3将该电子证书的公共密钥发送到移动电话1，并且移动电话1接收所发送的该电子证书的公共密钥(步骤S355)。移动电话1的CPU 11从RAM 12读取所存储的电子证书，使用从证书机构服务器发送来的证书机构的公共密钥来解密所述电子证书，并获取中心服务器2的公共密钥(步骤S356)。
移动电话1的CPU 11用从证书机构服务器3获取的中心服务器2的公共密钥来解密所加密的环境信息和消息摘要(步骤S361)。而且，CPU11通过使用存储在移动电话1的ROM 55中的哈希函数来为解密的环境信息计算消息摘要(步骤S362)。移动电话1的CPU 11判断在步骤S361中解密的消息摘要是否与步骤S362中计算出的消息摘要相匹配，即所述环境信息是否在发送过程中没有被伪造，并且还判断是否所述信息已被发送到一个授权的中心服务器2和从该服务器2接收到所述信息(步骤S363)。
如果这些消息摘要不匹配(步骤S363中的“否”)，CPU 11判断已发生了某种伪造或“欺骗”，并为电子证书认证设置失败标志(S365)。另一方面，如果这些消息摘要相匹配(步骤S363中的“是”)，CPU 11判断没有发生“欺骗”或伪造，并为电子证书认证设置成功标志(步骤S364)。然后，移动电话1的CPU 11将电子证书认证的标志(电子证书认证成功标志或电子证书认证失败标志)存储在ROM 15中(步骤S366)。
移动电话1的CPU 11从环境信息DB 151读取对应于在步骤S104中所确定的等级的环境信息的条件(步骤S371)。然后，CPU 11判断所解密的环境信息是否满足在步骤S371中从环境信息DB 151读取的环境信息的条件(步骤S372)。如果该条件未被满足(步骤S372中的“否”)CPU 11就设置环境认证失败标志(步骤S374)。另一方面，如果所述条件被满足(步骤S372中的“是”)，CPU 11就设置环境认证成功标志(步骤S373)。移动电话1的CPU 11在ROM 15中存储环境认证的标志(环境认证成功标志或环境认证失败标志)(步骤S375)。
CPU 11读取存储在ROM 15中的指纹认证标志、电子证书标志和环境认证标志，并判断指纹认证成功标志、电子证书认证成功标志和环境认证成功标志中的全部是否在与(AND)条件下都被设置(步骤S376)。如果所有成功标志被设置(步骤S376中的“是”)，CPU 11判断中心服务器2是安全的，设置安全标志，并跳转到步骤S121(步骤S377)。
另一方面，如果在生物认证、电子证书认证(PKI认证)和环境认证的至少之一中设置了失败标志，CPU 11就设置失败标志并跳转到步骤S123(步骤S378)。因此，只有当在移动电话1和中心服务器2中，生物认证、环境认证和电子证书认证中的全部都被判断为成功时，移动电话1和中心服务器2才被判断为是安全的，并允许随后的信息发送和接收。因此可以为通信环境提供更高的安全性。
实施例6说明了一种技术，在其中，当移动电话1和中心服务器2中所有的生物认证、环境认证和电子证书认证中都被判断为成功时，移动电话1和中心服务器2才被判断为是安全的，并允许随后的信息发送和接收。类似地，不必赘言，当在移动电话1和在线商店的万维网服务器4(或其他移动电话、洗衣机、或如个人计算机的信息处理设备，未示出)中，所有的生物认证、环境认证和电子证书认证中都被判断为成功时，可以判断移动电话1和万维网服务器4是安全的，并允许随后的信息发送和接收。
实施例2到实施例6具有上述多种结构。由于其他结构和功能与实施例1中的那些相同，因此对应的部件以相同的标号所标识，并省略了其说明。
如上所详叙的那样，根据本发明，接收诸如用户的指纹的生物信息，并判断所接收的生物信息是否正确。而且，收集环境信息，包括与连接到所述信息处理设备的外围设备或安装在所述信息处理设备中的软件有关的信息。信息处理设备将所收集的环境信息发送到第一认证设备。而且，信息处理设备将由第二认证设备发行的电子证书和与交易相关、用所述信息处理设备的秘密密钥加密的信息发送到第一认证设备。当第一认证设备接收到所述电子证书和所加密的信息时，它通过使用从第二认证设备(证书机构)获取的第二认证设备的公共密钥来从所发送的电子证书中获取信息处理设备的公共密钥。然后，第一认证设备用所获取的信息处理设备的公共密钥来解密所述加密信息，并判断所解密的信息是否正确。
第一认证设备参考一个环境信息数据库和所发送的信息并判断所发送的环境信息是否正确，其中所述环境信息数据库存储根据要发送和接收的信息而被划分等级的环境信息的条件。当所有生物信息认证、环境信息认证和电子证书认证都被判断为成功时，第一认证设备判断信息处理设备是安全的。利用这一结构，本发明可以在确保信息处理设备的安全性的同时实现信息的顺利发送和接收以及交易。而且，也在第一认证设备中进行生物信息认证、电子证书认证和环境认证，并且，只有当在信息处理设备中进行的生物信息认证、电子证书认证和环境认证以及第一认证设备中进行的生物信息认证、电子证书认证和环境认证都被判断为成功时，第一认证设备和信息处理设备才都被判断为是正确的。因此可以确保更高的安全性。
另外，根据本发明，接收与用户有关的生物信息，并且通过判断所接收的生物信息是否正确来进行个人认证。然后，信息处理设备将所收集的环境信息发送到第一认证设备，并且在第一认证设备中进行环境信息的认证。在将补丁软件等从第一认证设备发送到信息处理设备的情况下，第一认证设备将由第二认证设备发行的电子证书和用由第二认证设备发行的秘密密钥加密的软件发送到信息处理设备。当信息处理设备接收到所述电子证书和加密的软件时，它向第二认证设备请求一个公共密钥，并通过使用这一证书机构的公共密钥来从所述电子证书获取第一认证设备的公共密钥。然后，信息处理设备用所获取公共密钥来解密所述加密的软件，并判断所解密的软件是否正确。最后，当由上述个人认证、环境认证和电子证书认证所进行的认证都被判断为成功时，在信息处理设备中安装所解密的软件。利用这样一种结构，本发明可以防止第三人的“欺骗”，并在保持高度安全性的同时为信息处理设备提供例如补丁软件和固件的软件。
而且，根据本发明，信息处理设备包括主电源供应装置、副电源供应装置和被构造来从副电源供应装置接收电源供应的用于接收的通信装置。在不是由主电源供应装置供应电源即在主电源不是开通(ON)的情况下，当从第一认证设备发送来电子证书和用秘密密钥加密的软件时，用于接收的通信装置就使用副电源供应装置来接收这些信息并将它们暂时存储在存储器中。然后，当主电源供应装置供应电源时，读取所存储的电子证书和软件，判断所发送的软件是否正确，并进行个人认证和环境认证。利用这样一种结构，本发明可以在确保安全性之后向客户发布大量补丁软件，包括没有打开他们的信息处理设备的客户。具体地说，通过提供在预定时刻处和该时刻之后从存储单元删除所存储的数据的软件，本发明可具有若干有益效果，例如有效地防止将软件用作DDoS攻击的手段的效果。
在不偏离其实质特征的精神的情况下，本发明可以以若干形式实施，因而这些实施例是示例性的而不是限制性的，因为本发明的范围由权利要求而不是在其前面的说明书所限定，并且所有落入权利要求范围内的变化或此范围中的等同物因此被权利要求所覆盖。
权利要求
1.一种安全性判断方法，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括如下步骤由所述信息处理设备(1)接收生物信息；由所述信息处理设备(1)、所述第一认证设备(2)或所述第二认证设备(3)通过判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)中的软件有关的信息在内的环境信息；将所收集的环境信息从所述信息处理设备(1)发送到所述第一认证设备(2)；将由所述第二认证设备(3)预先发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的信息从所述信息处理设备(1)发送到所述第一认证设备(2)；由所述第一认证设备(2)使用一个公共密钥来解密所加密的信息并判断解密的信息是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；由所述第一认证设备(2)通过参考一个环境信息数据库(251)和所发送的信息来判断所发送的环境信息是否正确来认证所述环境信息，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件；以及当在认证所述生物信息的步骤、认证所述环境信息的步骤和认证电子证书的步骤中所进行的所有认证都成功时，由所述第一认证设备(2)判断所述信息处理设备(1)是安全的。
2.根据权利要求1的安全性判断方法，其特征在于还包括如下子步骤由所述第一认证设备(2)接收生物信息；通过由所述信息处理设备(1)、所述第一认证设备(2)或所述第二认证设备(3)判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到所述第一认证设备(2)的外围设备有关或与安装在所述第一认证设备(2)中的软件有关的信息在内的环境信息；用由所述第二认证设备(3)发行的秘密密钥对在收集环境信息的所述子步骤中收集的环境信息进行加密；将由所述第二认证设备(3)发行的电子证书和加密的环境信息发送到所述信息处理设备(1)；由所述信息处理设备(1)使用一个公共密钥来解密所加密的环境信息并判断所解密的环境信息是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；由所述信息处理设备(1)通过参考一个副环境信息数据库(151)和所解密的环境信息来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述副环境信息数据库(151)存储根据要发送和接收的信息而被划分等级的环境条件；以及当在认证所述生物信息的子步骤、认证所述环境信息的子步骤和认证电子证书的子步骤中所进行的所有认证都成功，并且在判断所述信息处理设备(1)是安全的步骤中判断所述信息处理设备(1)是安全的时，判断所述信息处理设备(1)和第一认证设备(2)是安全的。
3.一种安全性判断方法，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括如下步骤由信息处理设备(1)接收生物信息；通过由所述信息处理设备(1)、所述第一认证设备(2)或所述第二认证设备(3)判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)中的软件有关的信息在内的环境信息；用由所述第二认证设备(3)发行的秘密密钥对所收集的环境信息进行加密；将由所述第二认证设备(3)所预先发行的电子证书和用所述秘密密钥加密的环境信息从所述信息处理设备(1)发送到所述第一认证设备(2)；由所述第一认证设备(2)用一个公共密钥来解密所加密的环境信息并判断解密的环境信息是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书所获取的；由所述第一认证设备(2)通过参考一个环境信息数据库(251)和所发送的信息来判断所解密的环境信息是否正确从而认证所述环境信息，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件；以及当在认证所述生物信息的步骤、认证所述环境信息的步骤和认证电子证书的步骤中所进行的所有认证都成功时，由所述第一认证设备(2)判断所述信息处理设备(1)是安全的。
4.根据权利要求3的安全性判断方法，其特征在于还包括如下子步骤由所述第一认证设备(2)接收生物信息；通过由所述信息处理设备(1)、所述第一认证设备(2)或所述第二认证设备(3)判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到所述第一认证设备(2)的外围设备有关或与安装在所述第一认证设备(2)中的软件有关的信息在内的环境信息；用由所述第二认证设备(3)发行的秘密密钥对在收集环境信息的所述子步骤中收集的环境信息进行加密；将由所述第二认证设备(3)发行的电子证书和加密的环境信息发送到所述信息处理设备(1)；由所述信息处理设备(1)使用一个公共密钥来解密所加密的环境信息并判断所解密的环境信息是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；由所述信息处理设备(1)通过参考一个副环境信息数据库(151)和所解密的环境信息来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述副环境信息数据库(151)存储根据要发送和接收的信息而被划分等级的环境条件；以及当在认证所述生物信息的子步骤、认证所述环境信息的子步骤和认证电子证书的子步骤中所进行的所有认证都成功，并且在判断所述信息设备(1)是安全的步骤中判断所述信息处理设备(1)是安全的时，判断所述信息处理设备(1)和第一认证设备(2)是安全的。
5.一种安全性判断方法，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括如下步骤由所述信息处理设备(1)接收生物信息；由所述信息处理设备(1)、所述第一认证设备(2)或所述第二认证设备(3)通过判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)中的软件有关的信息在内的环境信息；将所收集的环境信息从所述信息处理设备(1)发送到所述第一认证设备(2)；将由所述第二认证设备(3)所预先发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥所加密的信息从所述信息处理设备(1)发送到所述第一认证设备(2)；由所述第一认证设备(2)通过参考一个环境信息数据库(251)来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件；由所述信息处理设备(1)通过使用一个公共密钥来解密所加密的软件并判断所解密的软件是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；以及当在认证所述生物信息的步骤、认证所述环境信息的步骤和认证所述电子证书的步骤中所进行的所有认证都成功时，在所述信息处理设备(1)中安装所解密的软件。
6.一种安全性判断系统，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于所述信息处理设备(1)包括生物信息接收装置(112)，用于接收生物信息；生物信息认证装置(51)，用于判断所接收的生物信息是否正确；环境信息收集装置(51)，用于收集包括与其上所连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；环境信息发送装置(51)，用于将由所述环境信息收集装置(51)所收集的环境信息发送到所述第一认证设备(2)；以及加密信息发送装置(51)，用于将由所述第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的信息发送到所述第一认证设备(2)，并且所述第一认证设备(2)包括电子证书认证装置(21)，用于使用一个公共密钥来解密所加密的信息并判断所解密的信息是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；环境信息认证装置(21)，用于参考一个环境信息数据库(251)和所发送的信息来判断所发送的环境信息是否正确，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件；以及安全性判断装置(21)，用于当由所述生物信息认证装置(51)、环境信息认证装置(21)和电子证书认证装置(21)所进行的所有认证都成功时，判断所述信息处理设备(1)是安全的。
7.根据权利要求6的安全性判断系统，其特征在于所述环境信息发送装置(51)和所述加密信息发送装置(51)被构造来用所述秘密密钥来加密所收集的环境信息并将加密的环境信息与所述电子证书一起发送到所述第一认证设备(2)。
8.根据权利要求6的安全性判断系统，其特征在于还包括一个购物计算机(4)，用于将与交易相关的信息发送到所述信息处理设备(1)和从该信息处理设备(1)接收所述信息，其中所述信息处理设备(1)还包括用于接收与交易相关的信息的装置(13)，所述信息包括产品信息或价格信息，所述加密信息发送装置(51)被构造来将由所述第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的、与交易相关的信息发送到所述第一认证设备(2)，所述环境信息认证装置(21)被构造来从所述环境信息数据库(251)读取与对应于所发送的产品信息或价格信息的等级相关的环境条件，并根据所发送的环境信息与所读取的环境条件是否相匹配来判断所述环境条件是否正确，并且，所述第一认证设备(2)还包括用于当所述安全性判断装置(21)判断所述信息处理设备(1)是安全的时，将表示所述信息处理设备(1)是安全的信息发送到所述购物计算机(4)的装置(21)。
9.根据权利要求6的安全性判断系统，其特征在于所述第一认证设备(2)包括副生物信息接收装置(212)，用于接收生物信息；副生物信息认证装置(51)，用于判断由所述副生物信息接收装置(212)所接收的生物信息是否正确；副环境信息收集装置(51)，用于收集包括其上所连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；副加密装置(51)，用于使用由所述第二认证设备发行(3)的秘密密钥来加密由所述副环境信息收集装置(51)所收集的环境信息；以及副加密信息发送装置(51)，用于将由所述第二认证设备(3)发行的电子证书和加密的环境信息发送到所述信息处理设备(1)，并且所述信息处理设备(1)包括副电子证书认证装置(51)，用于使用一个公共密钥来解密所加密的环境信息并判断所解密的环境信息是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥而从所发送的电子证书获取的；副环境信息认证装置(51)，用于参考一个副环境信息数据库(151)和解密的环境信息来判断所发送的环境信息是否正确，其中所述副环境信息数据库(151)存储根据要发送和接收的信息而被划分等级的环境条件；以及副安全性判断装置(51)，用于当由所述副生物信息认证装置(51)、副环境信息认证装置(51)和副电子证书认证装置(51)所进行的所有认证都成功，并且所述安全性判断装置判断所述信息处理设备(1)是安全的时，判断所述信息处理设备(1)和所述第一认证设备(2)是安全的。
10.一种安全性判断系统，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于所述信息处理设备(1)包括一个处理器(11)，能够执行下述操作接收生物信息；通过判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)中的软件有关的信息在内的环境信息；将所收集的环境信息发送到所述第一认证设备(2)；以及将由所述第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的信息发送到所述第一认证设备(2)，并且所述第一认证设备(2)包括一个处理器(21)，能够执行下述操作通过使用一个公共密钥来解密所加密的信息并判断所解密的信息是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；通过参考一个环境信息数据库(251)和所发送的信息来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件；以及当由认证所述生物信息的操作、认证所述环境信息的操作和认证电子证书的操作所进行的所有认证都成功时，判断所述信息处理设备(1)是安全的。
11.根据权利要求10的安全性判断系统，其特征在于所述信息处理设备(1)的处理器(11)还能够执行如下操作用所述秘密密钥加密所收集的环境信息，并将所加密的环境信息与所述电子证书一起发送到所述第一认证设备(2)。
12.根据权利要求10的安全性判断系统，其特征在于还包括一个购物计算机(4)，用于将与交易相关的信息发送到所述信息处理设备(1)和从该信息处理设备(1)接收所述信息，其中所述信息处理设备(1)的处理器(11)还能够执行下述操作接收与交易相关的信息，包括产品信息或价格信息；将由所述所述第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的、与交易相关的信息发送到所述第一认证设备(2)；以及从所述环境信息数据库(251)读取与对应于所发送的产品信息或价格信息的等级相关的环境条件，并根据所发送的环境信息与所读取的环境条件是否相匹配来判断所述环境条件是否正确，并且，所述第一认证设备(2)的处理器(21)还能够执行如下操作当在判断所述信息处理设备(1)是安全的操作中判断所述信息处理设备(1)是安全的时，将表示所述信息处理设备(1)是安全的信息发送到所述购物计算机(4)。
13.根据权利要求10的安全性判断系统，其特征在于所述第一认证设备(2)的处理器(21)还能够执行下述子操作接收生物信息；通过判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到所述第一认证设备(2)的外围设备有关或与安装在所述第一认证设备(2)中的软件有关的信息在内的环境信息；用由所述第二认证设备(3)发行的秘密密钥来加密所收集的环境信息；以及将由所述第二认证设备(3)发行的电子证书和所述加密的环境信息发送到所述信息处理设备(1)，并且所述信息处理设备(1)的处理器(11)还能够执行下述子操作通过使用一个公共密钥来解密所加密的环境信息并判断所解密的环境信息是否正确从而认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；参考一个副环境信息数据库(151)和所解密的环境信息来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述副环境信息数据库(151)存储根据要发送和接收的信息而被划分等级的环境条件；以及当在认证所述生物信息的子操作、认证所述环境信息的子操作和认证电子证书的子操作中所进行的所有认证都成功，并且在所述判断所述信息处理设备(1)是安全的操作中判断所述信息处理设备(1)是安全的时，判断所述信息处理设备(1)和所述第一认证设备(2)是安全的。
14.一种安全性判断系统，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于所述信息处理设备(1)包括生物信息接收装置(112)，用于接收生物信息；生物信息认证装置(51)，用于判断由所述生物信息接收装置(112)所接收的生物信息是否正确；环境信息收集装置(51)，用于收集包括与其上所连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；以及环境信息发送装置(51)，用于将由所述环境信息收集装置(51)所收集的环境信息发送到所述第一认证设备(2)，所述第一认证设备(2)包括加密信息发送装置(51)，用于将由所述第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的软件发送到所述信息处理设备(1)；以及环境信息认证装置(51)，用于参考一个环境信息数据库(251)来判断所发送的环境信息是否正确，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件，并且所述信息处理设备(1)还包括电子证书认证装置(51)，用于使用一个公共密钥来解密所加密的软件并判断所解密的软件是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；和安装装置(11)，用于当由所述生物信息认证装置(51)、环境信息认证装置(51)和电子证书认证装置(51)所进行的所有认证都成功时，安装所述解密的软件。
15.根据权利要求14的安全性判断系统，其特征在于所述信息处理设备还包括主电源供应装置(114)；副电源供应装置(115)；用于接收的通信装置(16)，用于从所述副电源供应装置(115)接收电源供应；以及存储装置(116)，用于当电源不是由所述主电源供应装置(114)所供应时，存储由所述加密信息发送装置(51)所发送并由所述用于接收的通信装置(16)所接收的电子证书和用所述秘密密钥加密的软件。
16.根据权利要求15的安全性判断系统，其特征在于所述电子证书认证装置(51)被构造来当由所述主电源供应装置(114)供应电源时读取存储在所述存储装置(116)中的所述电子证书和软件，并且使用一个公共密钥来解密所述加密的软件并判断所解密的软件是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所述电子证书获取的。
17.根据权利要求16的安全性判断系统，其特征在于所述软件是用于预安装在所述信息处理设备(1)中的软件的补丁软件。
18.根据权利要求16的安全性判断系统，其特征在于所述信息处理设备(1)还包括删除装置(11)，用于当执行由所述安装装置(11)安装的软件时，在一个预定时刻和该时刻之后删除存储在存储单元(15)中的数据。
19.一种安全性判断系统，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于所述信息处理设备(1)包括一个能够执行下述操作的处理器接收生物信息；通过判断所接收的生物信息是否正确来认证所述生物信息；收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)中的软件有关的信息在内的环境信息；以及将所收集的环境信息发送到所述第一认证设备(2)，并且所述第一认证设备(2)包括一个能够执行下述操作的处理器将由所述第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的软件发送到所述信息处理设备(1)；以及参考一个环境信息数据库(251)来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件，并且所述信息处理设备(1)的所述处理器还能够执行如下操作使用一个公共密钥来解密所加密的软件并判断解密的软件是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；以及当在认证所述生物信息的操作、认证所述环境信息的操作和认证电子证书的操作中所进行的所有认证都成功时，安装所解密的软件。
20.根据权利要求19的安全性判断系统，其特征在于所述信息处理设备(1)的处理器还能够执行如下操作使得主电源供应装置(114)供应主电源；使得副电源供应装置(115)供应副电源；从所述副电源供应装置(115)向用于接收的通信装置(16)供应电源；以及当电源不是由所述主电源供应装置(114)所供应时，使得所述用于接收的通信装置(16)接收所发送的电子证书和用所述秘密密钥加密的软件，并在存储装置(116)中存储所述电子证书和软件。
21.根据权利要求20的安全性判断系统，其特征在于所述信息处理设备(1)的处理器还能够执行下述操作当由所述主电源供应装置(114)供应电源时，读取存储在所述存储装置(116)中的电子证书和软件，用一个公共密钥解密所加密的软件，并判断所解密的软件是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所述电子证书获取的。
22.根据权利要求21的安全性判断系统，其特征在于所述软件是用于预安装在所述信息处理设备(1)中的软件的补丁软件。
23.根据权利要求21的安全性判断系统，其特征在于所述信息处理设备(1)的处理器还能够执行下述操作当执行所安装的软件时，在一个预定时刻和该时刻之后从存储单元(15)删除存储在该存储单元(15)中的数据。
24.一种安全性判断系统，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于所述信息处理设备(1)包括生物信息接收装置(112)，用于接收生物信息；环境信息收集装置(51)，用于收集包括与其上所连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；加密装置(51)，用于使用由所述第二认证设备(3)发行的秘密密钥对由所述生物信息接收装置(112)所接收的生物信息和由所述环境信息收集装置(51)所收集的环境信息进行加密；以及加密信息发送装置(51)，用于将由所述第二认证设备(3)发行的电子证书和加密的生物信息与环境信息发送到所述第一认证设备(2)，并且所述第一认证设备(2)包括电子证书认证装置(51)，用于使用一个公共密钥来解密所加密的生物信息和环境信息并判断所解密的生物信息和环境信息是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；环境信息认证装置(51)，用于参考一个环境信息数据库(251)和所解密的环境信息来判断所发送的环境信息是否正确，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件；生物信息认证装置(51)，用于通过将所解密的生物信息与预先存储的生物信息进行比较来判断所述生物信息是否正确；以及安全性判断装置(51)，用于当由所述生物信息认证装置(51)、环境信息认证装置(51)和电子证书认证装置(51)所进行的所有认证都成功时，判断所述信息处理设备(1)是安全的。
25.根据权利要求24的安全性判断系统，其特征在于所述第一认证设备(2)包括副生物信息接收装置(212)，用于接收生物信息；副生物信息认证装置(51)，用于判断由所述副生物信息接收装置(212)所接收的生物信息是否正确；副环境信息收集装置(51)，用于收集包括与其上连接的外围设备有关或与其中所安装的软件有关的信息在内的环境信息；副加密装置(51)，用于使用由所述第二认证设备(3)发行的秘密密钥来加密由所述副环境信息收集装置(51)所收集的环境信息；以及副加密信息发送装置(51)，用于将由所述第二认证设备(3)发行的电子证书和加密的环境信息发送到所述信息处理设备(1)，并且所述信息处理设备(1)包括副电子证书认证装置(51)，用于使用一个公共密钥来解密所加密的环境信息并判断解密的环境信息是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；副环境信息认证装置(51)，用于参考一个副环境信息数据库(151)和解密的环境信息来判断所发送的环境信息是否正确，其中所述副环境信息数据库(151)存储根据要发送和接收的信息而被划分等级的环境条件；以及副安全性判断装置(51)，用于当由所述副生物信息认证装置(51)、副环境信息认证装置(51)和副电子证书认证装置(51)所进行的所有认证都成功，并且所述安全性判断装置(51)判断所述信息处理设备(1)是安全的时，判断所述信息处理设备(1)和所述第一认证设备(2)是安全的。
26.一种安全性判断系统，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于所述信息处理设备(1)包括一个能够执行下述操作的处理器接收生物信息；收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)中的软件有关的信息在内的环境信息；用由所述第二认证设备(3)发行的秘密密钥加密所接收的生物信息和所收集的环境信息；以及将由所述第二认证设备(3)发行的电子证书和所加密的生物信息与环境信息发送到所述第一认证设备(2)，并且所述第一认证设备(2)包括一个能够执行下述操作的处理器使用一个公共密钥来解密所加密的生物信息和环境信息并判断解密的生物信息和环境信息是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；参考一个环境信息数据库(251)和所解密的环境信息来判断所发送的环境信息是否正确从而认证所述环境信息，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件；通过将所解密的生物信息与预先存储的生物信息进行比较来判断所述解密的生物信息是否正确从而认证所述生物信息；以及当在认证所述生物信息的操作、认证所述环境信息的操作和认证所述电子证书的操作中所进行的所有认证都成功时，判断所述信息处理设备(1)是安全的。
27.根据权利要求26的安全性判断系统，其特征在于所述第一认证设备(2)的处理器能够执行下述子操作接收生物信息；判断所接收的生物信息是否正确；收集包括与连接到所述第一认证设备(2)的外围设备有关或与安装在所述第一认证设备(2)中的软件有关的信息在内的环境信息；用由所述第二认证设备(3)发行的秘密密钥来加密所收集的环境信息；以及将由所述第二认证设备(3)发行的电子证书和所述加密的环境信息发送到所述信息处理设备(1)，并且所述信息处理设备(1)的处理器能够执行下述子操作使用一个公共密钥来解密所加密的环境信息并判断所解密的环境信息是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；参考一个副环境信息数据库(151)和所解密的环境信息来判断所发送的环境信息是否正确，其中所述副环境信息数据库(151)存储根据要发送和接收的信息而被划分等级的环境条件；以及当由认证所述生物信息的子操作、认证所述环境信息的子操作和认证电子证书的子操作所进行的所有认证都成功，并且在所述判断安全性的操作中判断所述信息处理设备(1)是安全的时，判断所述信息处理设备(1)和所述第一认证设备(2)是安全的。
28.根据权利要求6到权利要求27中任何之一的安全性判断系统，其特征在于所述环境信息包括与所安装的软件的名称或版本，所连接的外围设备的设备名或版本，或所述信息处理设备(1)的设备名或版本有关的信息。
29.根据权利要求6到权利要求27中任何之一的安全性判断系统，其特征在于所述生物信息是与语音、指纹、视网膜或虹膜有关的信息。
30.一种安全性判断设备，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括生物信息认证装置(51)，用于判断所接收的生物信息是否正确；环境信息收集装置(51)，用于收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)之中的软件有关的信息在内的环境信息；环境信息发送装置(51)，用于将由所述环境信息收集装置(51)收集的环境信息发送到所述第一认证设备(2)；加密信息发送装置(51)，用于将由所述第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的信息发送到所述第一认证设备(2)；以及安全性判断装置(51)，用于当所述生物信息认证装置(51)判断正确、所述第一认证设备(2)判断由所述环境信息发送装置(51)发送的环境信息正确、所述第一认证设备(2)判断由所述加密信息发送装置(51)发送的电子证书和加密信息正确并且所述安全性判断装置(51)接收到表示所述信息是正确的信息时，判断所述信息处理设备(1)是安全的。
31.一种安全性判断设备，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括生物信息认证装置(51)，用于判断所接收的生物信息是否正确；环境信息收集装置(51)，用于收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)之中的软件有关的信息在内的环境信息；环境信息发送装置(51)，用于将由所述环境信息收集装置(51)收集的环境信息发送到所述第一认证设备(2)；电子证书认证装置(51)，用于当从所述第一认证设备(2)接收到电子证书和加密的软件时，使用一个公共密钥来解密所加密的软件并判断解密的软件是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所述电子证书获取的；以及安装装置(21)，用于当由所述生物信息认证装置(51)和电子证书认证装置(51)进行的认证判断为成功、所述第一认证设备(2)判断由所述环境信息发送装置(51)发送的环境信息正确并且所述安装装置(21)接收到表示所述信息是正确的信息时，在所述信息处理设备(1)中安装所述解密的软件。
32.一种安全性判断设备，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括一个能够执行下述操作的处理器通过判断所接收的生物信息是否正确来认证生物信息；收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)之中的软件有关的信息在内的环境信息；将所收集的环境信息发送到所述第一认证设备(2)；将由所述第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的信息发送到所述第一认证设备(2)；以及当在所述认证所述生物信息的操作中判断所述生物信息是正确的，所述第一认证设备(2)判断所发送的环境信息是正确的，所述第一认证设备(2)判断所发送的电子证书和加密信息是正确的，并且接收到表示所述信息是正确的信息时，判断所述信息处理设备(1)是安全的。
33.一种安全性判断设备，用于在通过一个通信网络而被连接的信息处理设备、第一认证设备和第二认证设备当中判断所述信息处理设备的安全性，其特征在于包括一个能够执行下述操作的处理器通过判断所接收的生物信息是否正确来认证生物信息；收集包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)之中的软件有关的信息在内的环境信息；将所收集的环境信息发送到所述第一认证设备(2)；当从所述第一认证设备(2)接收到电子证书和加密的软件时，通过用一个公共密钥来解密所加密的软件并判断所解密的软件是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所述的电子证书获取的；当在所述认证所述生物信息的操作和所述认证所述电子证书的操作中的认证被判断为成功，所述第一认证设备(2)判断所发送的环境信息是正确的，并且接收到表示所述信息是正确的信息时，在所述信息处理设备(1)中安装所解密的软件。
34.一种第一认证设备，用于判断通过一个通信网络连接的信息处理设备的安全性，其特征在于包括认证信息接收装置(51)，用于接收表示由所述信息处理设备(1)接收的生物信息是否正确的认证信息；电子证书认证装置(51)，用于当从所述信息处理设备(1)发送由通过所述通信网络所连接的第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的信息时，用一个公共密钥解密所加密的信息并判断解密的信息是否正确，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；环境信息认证装置(51)，用于当从所述信息处理设备(1)接收到包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)之中的软件有关的信息在内的环境信息时，参考一个环境信息数据库(251)和所发送的信息来判断所接收的环境信息是否正确，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件；以及安全性判断装置(51)，用于当所述认证信息接收装置(51)接收到表示所述生物信息是正确的信息，并且由所述环境信息认证装置(51)和所述电子证书认证装置(51)进行的认证被判断为成功时，判断所述信息处理设备(1)是安全的。
35.一种第一认证设备，用于判断通过一个通信网络连接的信息处理设备的安全性，其特征在于包括一个能够执行下述操作的处理器接收表示由所述信息处理设备(1)接收的生物信息是否正确的认证信息；当从所述信息处理设备(1)发送由通过所述通信网络连接的第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的信息时，通过用一个公共密钥解密所加密的信息并判断所解密的信息是否正确来认证所述的电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所发送的电子证书获取的；当从所述信息处理设备(1)接收到包括与连接到所述信息处理设备(1)的外围设备有关或与安装在所述信息处理设备(1)之中的软件有关的信息在内的环境信息时，参考一个环境信息数据库(251)和所发送的信息来判断所接收的环境信息是否正确从而认证所述环境信息，其中所述环境信息数据库(251)存储根据要发送和接收的信息而被划分等级的环境条件；以及当接收到表示所述生物信息是正确的信息，并且由所述认证所述环境信息的操作和所述认证所述电子证书的操作所进行的的认证被判断为成功时，判断所述信息处理设备(1)是安全的。
36.一种位于计算机可读介质内的计算机程序产品，用于判断通过一个通信网络连接到第一认证设备和第二认证设备的计算机的安全性，其特征在于包括如下步骤使得所述计算机通过认证所接收的生物信息是否正确来认证生物信息；使得所述计算机收集包括与所连接的外围设备有关或与所安装的软件有关的信息的环境信息；使得所述计算机通过将所收集的环境信息发送到所述第一认证设备(2)来发送环境信息；使得所述计算机通过发送由所述第二认证设备(3)发行的电子证书和用由所述第二认证设备(3)发行的秘密密钥加密的信息来发送加密信息至所述第一认证设备(2)；以及当在所述认证所述生物信息步骤中所述生物信息被判断为正确的，所述第一认证设备(2)判断在所述发送环境信息步骤中发送的环境信息是正确的，所述第一认证设备(2)判断在所述发送加密信息步骤中发送的电子证书和加密信息是正确的，并且从所述第一认证设备(2)接收到表示所述信息是正确的信息时，使得所述计算机判断所述计算机是安全的。
37.一种位于计算机可读介质内的计算机程序产品，用于判断通过一个通信网络连接到第一认证设备和第二认证设备的计算机的安全性，其特征在于包括如下步骤使得所述计算机通过认证所接收的生物信息是否正确来认证生物信息；使得所述计算机收集包括与所连接的外围设备有关或与所安装的软件有关的信息在内的环境信息；使得所述计算机通过将所收集的环境信息发送到所述第一认证设备(2)来发送环境信息；当从所述第一认证设备(2)接收到电子证书和加密的软件时，使得所述计算机通过用一个公共密钥解密所加密的软件并判断所解密的软件是否正确来认证所述电子证书，其中所述公共密钥是通过使用从所述第二认证设备(3)获取的公共密钥来从所述电子证书获取的；以及当在所述认证所述生物信息步骤和所述认证所述电子证书的步骤中进行的认证都被判断为成功，所述第一认证设备(2)判断在所述发送环境信息步骤中发送的环境信息是正确的，并且接收到表示所述信息是正确的信息时，使得所述计算机安装所述解密的软件。
全文摘要
本发明提供安全性判断方法、系统和设备，第一认证设备，和计算机程序产品。通过进行生物信息认证和收集与信息处理设备(1)有关的环境信息，确保信息处理设备(1)的安全性。信息处理设备(1)将收集的环境信息发送到第一认证设备(2)。发送第二认证设备(3)发行的电子证书以及用第二认证设备(3)发行的秘密密钥加密的信息至第一认证设备(2)。第一认证设备获取第二认证设备(3)和信息处理设备(1)的公共密钥，解密加密信息，判断解密信息是否正确。第一认证设备(1)参考环境信息数据库和发送的信息，判断发送的环境信息是否正确。当生物信息认证、环境信息认证和电子证书认证的认证都成功时，判断信息处理设备(1)为安全的。
文档编号G06F21/44GK1499365SQ20031010307
公开日2004年5月26日 申请日期2003年10月30日 优先权日2002年11月6日
发明者小谷诚刚 申请人:富士通株式会社