生物体参照信息登记系统、装置及程序的制作方法
【技术领域】
[0001]本发明的实施方式涉及生物体参照信息登记系统、装置及程序。
【背景技术】
[0002]在实现经由网络的通信及服务时,对通信对象进行认证成为重要的技术要素。近年来,随着开放的网络环境的普及、分散的服务.资源的联合技术的发达,认证对象的范围从用户扩大到使用设备终端。
[0003]特别是,在认证对象者为个人的情况下,对个人是否为本人进行确认的技术当前受到注目。通常,在认证中执行认证时,对认证对象者严格地进行识别或者对照被列举为要件。此时,在认证对象者为个人的情况下,需要对个人是否为本人严格地进行确认的本人确认技术。
[0004]当前,作为实施本人确认的有希望的技术,能够列举生物统计学认证(生物体认证)技术。生物体认证为,用于将每个人所具有的固有的身体特征或者特性与预先登记的生物体信息(以下,称为生物体参照信息)进行对照来对是否为本人进行确认的技术。作为生物体信息,利用指纹、虹彩、视网膜、面部、声音、键击(keystroke)、签字等。
[0005]生物体认证与密码等现有的认证方法不同,利用无忘却、丢失这种担心的生物体信息,因此能够减少用户的负荷。生物体信息以难以复制为前提,作为防止用户的伪装等的对策是有效的。
[0006]此外,当前,以互联网为代表的开放网络普及,在电商交易等中作为隔着网络对通信对象进行认证的方法而利用生物体认证的动向变强。在身份证明等领域中也正在研宄利用生物体认证来进行身份证书(简称身份证)的所有者的本人确认。
[0007]对于这种动向,作为经由网络进行生物体认证的技术,已知有使用面向生物体认证的认证上下文(context)来进行生物体认证的技术。具体地说,例如,在专利文献I中公开有一种技术,将与客户侧的生物体认证相关的过程内容,总结为面向生物体认证的认证上下文(生物体认证上下文)信息,向隔着网络的验证者通知。
[0008]此外,在网络上利用生物体认证的情况下,已知使用基于非对称密码方式的公钥构架(PKI:Public Key Infrastructure)的方法。例如,已知将成为生物体认证的合法性的基准的证书(Credential)即生物体参照信息(B1metric Reference Template)、与公钥证书建立关联的方法。该生物体参照信息是指对原始的生物体信息(B1metric RawData)实施特征抽取处理等而得到的信息,成为对照处理的基准信息。其中,根据对照算法,还存在将原始的生物体信息作为生物体参照信息使用的情况。作为已知的代表性技术,已知RFC(request for comments) 3739的标准规格X.509等。X.509规定在公钥证书中作为选项而包含表示与生物体参照信息之间的相关性的信息(生物体参照信息的哈希值)。此夕卜,在 ISO (Internat1nal Organizat1n for Standardizat1n) /IEC (Internat1nalElectrotechnical Commiss1n) 24701 中,作为 BRT i正书(B1metric Reference TemplateCertificate)而规定了对生物体参照信息的哈希值实施了数字署名的数据。
[0009]作为以上那样的生物体认证与PKI的组合,已知如下技术:通过使生物体认证与利用了公钥证书的实体认证连锁来间接地实施网络上的利用者认证(本人确认)。
[0010]此外,用于生成生物体参照信息的基础信息(原始的生物体信息等),是个人的身体特征这种敏感(机密)的信息,因此需要对其隐私性进行考虑。因此,还可以考虑到在认证对象者侧实施生物体认证的处理本身,不在认证者侧保管生物体参照信息等信息的方法等。在该方法中,通过将上述那样的公钥证书与生物体参照信息建立关联,能够间接地实施生物体参照信息的生命周期管理。
[0011]然而,在以上那样的生物体认证的技术中,在将生物体参照信息向生物体认证系统进行登记时,存在不能够从任意的客户环境经由网络进行登记这种不良情况。
[0012]例如,即使在将进行登记的生物体参照信息在认证对象者侧或者验证者侧的任一侧进行管理的情况下,为了制作生物体参照信息,也需要使认证对象者访问验证者所指定的店铺等,通过验证者侧准备的设备(生物体信息扫描仪等)采集原始的生物体信息。这是因为需要将客户环境的品质和安全性保持为一定水准。即,为了阻止品质较差的生物体参照信息的登记而将对照精度维持为一定水准,需要通过验证者侧准备的客户环境来采集生物体信息。但是,存在强制认证对象者进行物理性移动而使认证对象者的负担增大的不良情况。
[0013]从消除这种不良情况的观点出发,在专利文献2中公开有用于将对照精度维持为一定水准并且从任意的客户环境经由网络对生物体参照信息进行登记的技术。
[0014]现有技术文献
[0015]专利文献
[0016]专利文献1:日本专利第4956096号公报
[0017]专利文献2:日本特开2009-169517号公报
【发明内容】
[0018]发明要解决的课题
[0019]然而,根据本发明人的研宄而能够推断,在专利文献2所公开的技术中,需要在储存生物体参照信息的设备(便携介质等)与生物体认证系统之间预先共享秘密信息,并通过与生物体认证系统紧密地建立关联的设备进行运用。
[0020]S卩,能够推断,特定的生物体认证系统运用仅能登记由该生物体认证系统发行的生物体参照信息(及/或对生物体参照信息进行保证的信息)的设备。在这种运用的情况下,利用者需要持有与每个生物体认证系统对应的设备,因此负担变大。
[0021]本发明要解决的课题在于,提供生物体参照信息登记系统、装置及程序,不在设备与生物体认证系统之间预先共享秘密信息,能够经由网络对生物体参照信息进行保证及储存。
[0022]用于解决课题的手段
[0023]实施方式的生物体参照信息登记系统为,具备能够经由网络相互通信的生物体参照信息储存装置及生物体参照信息证书生成装置。上述生物体参照信息登记系统将认证对象者的生物体参照信息向上述生物体参照信息储存装置进行登记。
[0024]上述生物体参照信息储存装置具备第一密钥存储单元、提问(challenge)信息接收单元、生物体参照信息生成单元、哈希值生成单元、第一署名生成单元、生物体认证上下文生成单元、生物体认证上下文发送单元、证书接收单元、第一抽取单元、哈希值验证单元、生物体认证上下文验证单元、储存单元及写入单元。
[0025]上述第一密钥存储单元存储自装置的第一密钥。
[0026]上述提问信息接收单元从上述生物体参照信息证书生成装置接收提问信息。
[0027]上述生物体参照信息生成单元基于从上述认证对象者采集到的生物体信息,生成生物体参照信息。
[0028]上述哈希值生成单元生成上述生物体参照信息的哈希值。
[0029]上述第一署名生成单元基于上述第一密钥,生成相对于上述提问信息及上述生物体参照信息的哈希值的、第一数字署名。
[0030]上述生物体认证上下文生成单元生成包含上述提问信息、上述生物体参照信息的哈希值及上述第一数字署名的生物体认证上下文。
[0031]上述生物体认证上下文发送单元将上述生物体参照信息的哈希值及上述生物体认证上下文向上述生物体参照信息证书生成装置发送。
[0032]上述证书接收单元从上述生物体参照信息证书生成装置接收生物体参照信息证书,该生物体参照信息证书包含上述生物体参照信息的哈希值及上述生物体认证上下文、以及相对于该生物体参照信息的哈希值及上述生物体认证上下文的、第二数字署名的生物体参照信息证书。
[0033]上述第一抽取单元从上述生物体参照信息证书中抽取上述生物体参照信息的哈希值及上述生物体认证上下文。
[0034]上述哈希值验证单元基于上述生成的哈希值来验证上述抽取到的哈希值。
[0035]上述生物体认证上下文验证单元基于上述生成的生物体认证上下文来验证上述抽取到的生物体认证上下文。
[0036]上述储存单元是用于储存上述生物体参照信息及上述生物体参照信息证书的单
J L.ο
[0037]上述写入单元为,在上述哈希值验证单元及上述生物体认证上下文验证单元的验证结果分别表示合法性的情况下,将上述生物体参照信息及上述生物体参照信息证书向上述储存单元写入。
[0038]上述生物体参照信息证书生成装置具备账户存储单元、第二密钥存储单元、提问信息发送单元、生物体认证上下文接收单元、第二抽取单元、提问信息验证单元、署名验证单元、第二署名生成单元、证书生成单元、证书写入单元及证书发送单元。
[0039]上述账户存储单元是用于将上述认证对象者的用户ID及上述生物体参照信息证书相互建立关联地存储的存储单元。
[0040]上述第二密钥存储单元存储自装置的第二密钥。
[0041]上述提问信息发送单元生成上述提问信息并将该提问信息向上述生物体参照信息储存装置发送。
[0042]上述生物体认证上下文接收单元从上述生物体参照信息储存装置接收上述生物体参照信息的哈希值及上述生物体认证上下文。
[0043]上述第二抽取单元从上述接收到的生物体认证上下文中抽取提问信息。
[0044]上述提问信息验证单元基于上述发送的提问信息来验证上述抽取到的提问信息。
[0045]上述署名验证单元基于与上述第一密钥对应的第一公钥来验证上述接收到的生物体认证上下文内的第一数字署名。
[0046]上述第二署名生成单元为,在上述提问信息验证单元及上述署名验证单元的验证结果分别表示合法性的情况下,基于上述第二密钥,生成与上述接收到的上述生物体参照信息的哈希值及上述生物体认证上下文相对的上述第二数字署名。
[0047]上述证书生成单元生成包含上述生物体参照信息的哈希值、上述生物体认证上下文及上述第二数字署名的上述生物体参照信息证书。
[0048]上述证书写入单元将上述生成的生物体参照信息证书与上述认证对象者的用户ID建立关联地向上述账户存储单元写入。
[0049]上述证书发送单元将上述生成的生物体参照信息证书向上述生物体参照信息储存装置发送。
【附图说明】
[0050]图1是表示第一实施方式的生物体参照信息登记系统的结构例的示意图。
[0051]图2是表示同上实施方式的生物体参照信息储存装置的结构例的示意图。
[0052]图3是表示同上实施方式的生物体认证上下文的结构例的示意图。
[0053]图4是用于说明同上实施方式的有效化信息暂时保存部的示意图。
[0054]图5是用于说明同上实施方式的有效化信息暂时保存部的示意图。
[0055]图6是表示同上实施方式的生物体参照信息证书生成装置的结构例的示意图。
[0056]图7是表示同上实施方式