物体认证上下文C的、第二数字署名的第二署名生成功能。
[0103](f24-3)生成包含生物体参照信息的哈希值、生物体认证上下文及第二数字署名的生物体参照信息证书RC的证书生成功能。
[0104]账户管理部25是用于对认证对象者的账户进行确定,并将生成的生物体参照信息证书RC作为认证对象者的账户的属性值来储存的功能部。例如,如图8所示那样,账户管理部25能够将管理编号、用户ID、生物体参照信息证书及有效标志相互建立关联地保存。其中,管理编号及有效标志也可以适当地省略。
[0105]S卩,账户管理部25例如具有以下的功能(f25-l)?(f25_2)。
[0106](f25-l)用于将认证对象者的用户ID及生物体参照信息证书RC相互建立关联地存储的账户存储功能。账户存储功能例如能够作为对账户数据表进行存储的存储区域来实施,该账户数据表将用户ID及生物体参照信息证书RC相互建立关联地记述。此外,账户存储功能也可以包含预先将用户ID向账户数据表写入的功能。其中,预先将用户ID向账户数据表写入的功能,例如由控制部22来具有。
[0107](f25-2)将所生成的生物体参照信息证书与认证对象者的用户ID建立关联地向上述账户存储功能写入的证书写入功能。
[0108]该账户管理部25既可以被封闭在生物体参照信息证书生成装置20中,也可以与任意的ID管理(Identity Management)系统协作。此外,关于确定认证对象者的账户的手段,采取处于各实施方式的范围外、以往就存在的基于用户ID/密码的认证等的任意手段即可。
[0109]接下来,使用图9及图10的顺序图,对如以上那样构成的生物体参照信息登记装置的动作进行说明。
[0110]如图9所示那样,生物体参照信息储存装置10通过例如认证对象者对输入输出部的操作,而将登记开始请求向生物体参照信息证书生成装置20发送(STl)。此外,也可以构成为,代替生物体参照信息储存装置10,生物体参照信息证书生成装置20将登记处理开始请求向生物体参照信息储存装置10发送。此外,认证对象者的确定以在步骤STl之前或者通过步骤STl的登记开始请求而被执行为前提。在此所述的认证对象者的确定,例如包含将认证对象者的用户ID预先向账户管理部25写入的处理、以及生物体认证上下文验证部23取得认证对象者的生物体参照信息储存装置10的第一公钥的处理。其中,取得第一公钥的处理,并不局限于该时刻,只要在步骤STll的第一数字署名的验证处理之前执行即可。
[0111]首先,生物体参照信息证书生成装置20为,当接受步骤STl的登记开始请求时,生物体认证上下文验证部23生成生物体认证上下文C的生成所需要的提问信息(随机值)(ST2),并将该提问信息通知给生物体参照信息储存装置10 (ST3) ο此外,并不局限于提问信息,生物体认证上下文C的生成所需要的信息在步骤STl?ST3中进行交换即可。
[0112]生物体参照信息储存装置10为,当接受提问信息时,通过生物体信息采集部13采集认证对象者的生物体信息(ST4)。
[0113]生物体参照信息生成部14根据在步骤ST4中采集到的生物体信息生成生物体参照信息(ST5),将该生物体参照信息暂时保存于有效化信息暂时保存部17(ST6)。
[0114]生物体认证上下文生成部15生成在步骤ST5中生成的生物体参照信息的哈希值(ST7),并将该哈希值暂时保存于有效化信息暂时保存部17。其中,该哈希值能够根据有效化信息暂时保存部17内的生物体参照信息来生成,因此也可以不进行保存。
[0115]生物体认证上下文生成部15对于通过步骤ST3通知的提问信息、和通过步骤ST7生成的生物体参照信息的哈希值,基于自装置10的第一密钥来生成第一数字署名。在此之后,生物体认证上下文生成部15生成包含提问信息、生物体参照信息的哈希值及第一数字署名的生物体认证上下文C(STS),并将该生物体认证上下文C暂时保存于有效化信息暂时保存部17(ST9)。
[0116]在此之后,生物体参照信息储存装置10将通过步骤ST7?ST8生成的生物体参照信息的哈希值及生物体认证上下文C向生物体参照信息证书生成装置20发送(STlO)。
[0117]生物体参照信息证书生成装置20当接收生物体参照信息的哈希值及生物体认证上下文C时,生物体认证上下文验证部23基于与生物体参照信息储存装置10的密钥对应的公钥、以及在步骤ST2中通知的提问信息,对该生物体认证上下文C的合法性进行验证(STll)。具体地说,生物体认证上下文验证部23基于在步骤ST2发送的提问信息,对从生物体认证上下文C抽取到的提问信息进行验证。此外,生物体认证上下文验证部23基于与生物体参照信息储存装置10的第一密钥对应的第一公钥,对接收到的生物体认证上下文内的第一数字署名进行验证。
[0118]在步骤STll的验证结果表示合法性的情况下,证书生成部24基于自装置的第二密钥,生成相对于接收到的生物体参照信息的哈希值及生物体认证上下文C的、第二数字署名。此外,证书生成部24生成包含生物体参照信息的哈希值、生物体认证上下文C及第二数字署名的生物体参照信息证书RC(ST12)。此外,在步骤STll的验证的结果为不合法的情况下,使处理整体结束。此时,生物体参照信息证书生成装置20也可以将由于验证失败而使处理结束了的情况通知给生物体参照信息储存装置10。
[0119]在步骤ST12之后,账户管理部25将生成的生物体参照信息证书RC作为认证对象者的账户的属性值来储存(ST13)。关于利用什么属性,这取决于认证对象者的账户构造,因此在本实施方式中对于具体的属性不特别要求,但优选是能够表现生物体参照信息证书RC的属性。此外,也可以变形为,省略本步骤ST13,在步骤ST21的成功响应的确认之后,将生物体参照信息证书RC作为认证对象者的账户的属性值来储存。在该变形例的情况下,账户管理部25或者证书生成部24将生物体参照信息证书RC储存到暂时的任意保存区域即可。
[0120]哪种情况下都是,生物体参照信息证书生成装置20的输入输出部21将在步骤ST12生成的生物体参照信息证书RC向生物体参照信息储存装置10发送(ST14)。
[0121]如图10所示那样,生物体参照信息储存装置10为,当接收该生物体参照信息证书RC时(ST15),有效化判断部16从该生物体参照信息证书RC抽取生物体参照信息的哈希值和生物体认证上下文C(ST16)。
[0122]有效化判断部16将抽取到的生物体参照信息的哈希值与有效化信息暂时保存部17内的生物体参照信息的哈希值进行比较验证(ST17)。在步骤ST17的比较验证的结果为两者不一致的情况下,使处理整体结束。此时,生物体参照信息储存装置10也可以将由于验证失败而使处理结束了的情况通知给生物体参照信息证书生成装置20。此外,在仅将生物体参照信息暂时保存于有效化信息暂时保存部17的情况下,在本步骤中有效化判断部16只要生成生物体参照信息的哈希值即可。
[0123]在步骤ST17的比较验证的结果为两者一致的情况下,有效化判断部16对在步骤ST16抽取到的生物体认证上下文C与有效化信息暂时保存部17内的生物体认证上下文C进行比较验证(ST18)。在步骤ST18的比较验证的结果为两者不一致的情况下,使处理整体结束。此时,生物体参照信息储存装置10也可以将由于验证失败而使处理结束了的情况通知给生物体参照信息证书生成装置20。此外,步骤ST17、ST18也可以按照相反的顺序执行。
[0124]在步骤ST18的比较验证的结果为两者一致的情况下,有效化判断部16将有效化信息暂时保存部17内的生物体参照信息及在步骤ST15中接收到的生物体参照信息证书RC向信息储存部18储存(ST19)。此外,有效化判断部16通过将生物体参照信息证书RC向有效化信息暂时保存部17保存,由此使生物体参照信息证书RC有效化(ST20)。
[0125]在此之后,生物体参照信息储存装置10将表示全部处理成功的成功响应通知给生物体参照信息证书生成装置20 (ST21)。此外,成功响应例如也可以包含与账户管理部25内的有效标志建立关联的信息(例如用户ID、生物体参照信息证书RC)的至少一个。
[0126]生物体参照信息证书生成装置20为,当接受成功响应时,账户管理部25例如将与成功响应内的信息建立关联的有效标志更新为true。
[0127]如上述那样,根据本实施方式,生物体参照信息证书生成装置20将提问信息向生物体参照信息储存装置10发送。生物体参照信息储存装置10将包含该提问信息、生物体参照信息的哈希值及第一数字署名的生物体认证上下文C、以及生物体参照信息的哈希值,向生物体参照信息证书生成装置20发送。生物体参照信息证书生成装置20在对提问信息进行了验证、且通过第一公钥验证了第一数字署名之后,将包含该生物体认证上下文、该生物体参照信息的哈希值及第二数字署名的生物体参照信息证书RC,向生物体参照信息储存装置10发送。生物体参照信息储存装置10在对生物体参照信息的哈希值及生物体认证上下文C进行了验证之后,储存生物体参照信息及生物体参照信息证书RC。
[0128]如此,通过不使用共享的秘密信息,而使用了提问与回应认证、基于公钥的认证、基于哈希值的认证等的结构,由此能够在设备(生物体参照信息储存装置10)与生物体认证系统之间不预先共享秘密信息,而经由网络Nw对生物体参照信息进行保证及储存。
[0129]例如,能够使用认证对象者选择的设备,对于认证对象者选择的生物体认证系统,能够在线地对生物体参照信息进行保证,向设备储存生物体参照信息。由此,能够期待对生物体认证系统中的生物体参照信息进行登记或者更新时的利用者的便利性提高。
[0130]此外,由于不需要在设备与生物体认证系统之间预先共享秘密信息,因此利用者不需要持有与每个生物体认证系统对应的设备,能够减少设备持有的负担。
[0131]<第二实施方式>
[0132]图11是表示第二实施方式的生物体参照信息登记系统的结构例的示意图,图12及图13是表示该系统的各装置的结构例的示意图,对于与上述附图大致相同的部分赋予相同的符号而省略其详细说明,在此主要对不同的部分进行说明。
[0133]在第一实施方式中,对单个生物体参照信息储存装置10生成生物体参照信息的结构进行了说明,但并不局限于此,可以构成为,分离为包含生物体信息采集部13或者生物体参照信息生成部14的某个的装置,也可以构成为,分离为包含生物体信息采集部13及生物体参照信息生成部14的双方的装置。图11至图13示出的结构例为,分离为包含生物体信息采集部13的生物体信息采集装置1a和包含生物体参照信息生成部14的生物体参照信息储存装置10。
[0134]在该情况下,在分离的各个装置10a、10中也配备了生物体认证上下文生成部15a、15,与在第一实施方式中说明的动作同样地生成各生物体认证上下文Cl、C2。所生成的各生物体认证上下文C1、C2由生物体参照信息储存装置10的有效化信息暂时保存部