专利名称:认证系统以及合并设备的制作方法
技术领域:
本发明涉及使用实体设备的认证系统以及合并设备(consolidation apparatus)。
背景技术:
认证技术对通过网络实现通信和服务时线路的另一端的认证很重要。近年来,认证技术被开发以便能够认证服务资源的用户以及设备终端,从而与开放式网络环境的传播以及分布式服务资源的联合技术的发展同步。
通常,认证技术需要精确地识别或验证认证的对象。当要认证的对象是人时,需要主体确认(principal confirmation)以精确地确认该人的身份。
生物统计学(生物统计学验证/认证技术)非常有希望应用于个人的确认。生物统计学是匹配事先登记的个人的生物统计学信息(此后被称作生物统计学模板)以验证个人的真实性的验证个体的物理/行为特征或特性的技术。指纹、虹膜、视网膜、面孔、语音、关键笔划、签名尤其可以被用作生物统计学信息。
在生物统计学中,不同于例如口令的现有认证方法,由于使用了不担心遗失或忘记的生物统计学信息,所以降低了用户的负担。另外,生物统计学信息假定难以复制信息,并且有效地防止用户欺骗等等。
然而,使用生物统计学(此后称作生物统计学认证)的情况下,不同于口令认证,匹配的结果可能受认证环境(context)的较大影响。口令认证的结果指示个体是否是正确的人,而不考虑认证的环境。换言之,它指示个体是否是正确的人,而不考虑用于认证的键盘的触摸板。
相反地,相对于生物统计学模板的相似度等等是否超出预定阈值被表示成生物统计学认证的匹配结果。然而,该相似度明显地受包含生物统计学信息的类型以及匹配设备的精度级别的认证环境的影响,并且能够波动。这意味着生物统计学认证在认证系统是固定系统时不产生任何问题,并且可以保证系统的预定操作环境。然而,可能出现在认证系统是不为用户保证预定操作环境的开放系统时,需要验证方基于匹配的结果和请求者的生物统计学环境判定认证的正当性的问题。
已知适于使用例如生物统计学认证环境的认证环境的认证系统解决了以上指出的问题(参见其中Koji Okada,Tatsuro Ikeda,Hidehisa Takamizawa,Toshiaki Saisho的″Extensible-PersonalAuthentication Framework using Biometrics andPKI,Pre-Proceedings of the 3rd International Workshop for AppliedPKI(IWAP2004)″,第96-107页)。认证环境表示一种技术,通过该技术,执行确认人的身份的每个组成过程的管理实体(实体设备)保证执行的结果允许验证方验证组成过程的执行的正当性。
使用生物统计学认证环境实现的已知技术包含开放式网络上的用户认证系统(参见其中Hidehisa Takamizawa、Koji Okada、TatsuroIkeda、Tomoaki Morijiri的″An Online System Using a BiometricAuthentication Context″CSS2005,第313-318页)。这个技术可以被服务提供商用于认证通过生物统计学认证环境提供服务的服务用户并且提供下述优点(i)和(ii)。
(i)服务用户可以选择用于主体确认的匹配设备。
(ii)服务提供商可以在每次提供服务时基于用户的生物统计学环境定义认证策略。
使用这个技术,除了使用生物统计学认证的主体确认过程的结果之外,可以验证生物统计学环境。因而,可以灵活地根据用户的生物统计学环境提供服务。因而,可以提高互操作性和方便性。
然而,本发明的发明人相信,尽管通过使用生物统计学认证环境实现的已知技术通常不产生任何特定问题,但是根据下述(a)和(b),必须改进已知技术。
(a)当单个实体设备提供有定义为主体确认过程的多种类型的过程时,不能够确定要使用哪个组合。
例如,IC卡(即一种实体设备)包含具有存储生物统计学模板的处理能力的卡上存储(STOC)型,以及除了存储生物统计学模板的处理能力之外具有匹配和判定处理能力的卡上匹配型(MOC)。因而,配有STOC和MOC两种能力的IC卡不能确定在服务提供商需要使用存储生物统计学模板的处理能力的主体确认过程时使用哪种能力。
(b)对于上述(a),不存在可以处理因特网上的服务提供商和未指定数量的连接到用户的个人计算机的实体设备之间的通信的合并设备。
更具体地,MOC型的IC卡和STOC型的IC卡根据处理能力以及主体确认过程中出现的通信消息的通信协议不同于彼此。当提供合并设备以处理消息时,需要事先了解MOC型的通信协议和STOC型的通信协议。换言之,这种合并设备与包含这种实体设备和一或多个服务提供商的系统之间的关系表现出强亲合性。
作为这种强亲合性的影响,出现例如实体设备开发人员/卖方以及服务提供商的风险承担者的下述缺点。
实体设备开发人员/卖方以及服务提供商开发其自己品牌的设备和系统,并且安装新通信协议和主体确认过程。接着,他们必须请求合并设备开发人员/提供商在合并设备开发人员/提供商销售的合并设备中安装新的通信协议。然而,劝说合并设备开发人员/提供商更新他们销售的合并设备是个耗时的过程。
另一方面,在合并设备开发人员/提供商方面,每当定义新通信协议时,更新他们销售的合并设备是耗时的。另外,由于各种版本的合并设备被发布和销售,所以合并设备开发人员/提供商不得不承担较大负担。
当服务用户购买符合新通信协议的新实体设备以便配有符合新通信协议的服务时,他或她不能实际配有该服务,直到发布符合新通信协议的新合并设备。
由于以上所列的缺点,不存在可以处理如上面(b)中描述的因特网上的服务提供商和非特定数量的连接到用户个人计算机的实体设备之间的通信的合并设备。
发明内容
因此,本发明的目的是提供在存在组合和安装多个处理能力的多种类型的实体设备的情况下,可以确定使用的实体设备类型的认证系统和合并设备。
本发明的另一个目的是提供可以处理组合和安装多个处理能力的多个实体设备中的通信消息的认证系统和合并设备。
在本发明的第一方面,提供了一种认证系统,其包括用于使用生物统计学认证的主体确认过程的多个客户端实体设备,能够向通过主体确认过程确认的服务请求方的服务请求方终端提供服务的服务器端实体设备,以及为每个客户端实体设备和服务器端实体设备之间的通信提供中介的合并设备,每个客户端实体设备包含主体确认处理设备,其被配置为能够执行多个主体确认处理;客户端存储器设备,其存储具有多段主体确认简档信息的客户端实体信息,每段主体确认简档信息包含指示主体确认处理设备的主体确认处理的主体确认简档ID,和指示主体确认处理的处理能力的处理能力ID;设备,其被配置为在接收到实体信息发送请求时,向合并设备发送客户端实体信息;以及认证环境生成设备,用于产生包含主体确认处理设备执行主体确认处理的结果的生物统计学认证环境,服务器端实体设备包含认证环境验证设备,用于验证生物统计学认证环境;服务提供/处理设备,被配置为当验证结果指示请求的正当性时,向所确认的服务请求方的服务请求方终端提供服务;服务器端第一存储器设备,其存储具有多段主体确认简档信息的服务器端实体信息,每段主体确认简档信息包含指示认证环境验证设备的主体确认处理的主体确认简档ID,和指示主体确认处理的处理能力的处理能力ID;服务器端第二存储器设备,其存储具有多段主体确认简档ID请求信息的主体确认简档请求数据,对于每个被请求服务,每段主体确认简档ID请求信息包含主体确认简档ID、请求优先级以及多个处理能力ID;以及设备,其被配置为在接收到服务请求时,向合并设备发送服务器端实体信息和主体确认简档请求数据,合并设备包含设备,其被配置为在接收到来自服务器端实体设备的服务器端实体信息和主体确认简档请求数据时,向每个客户端实体设备发送实体信息发送请求;设备,其被配置为响应实体信息发送请求的发送,从每个客户端实体设备接收客户端实体信息;简档ID确定设备,其被配置为基于在主体确认简档请求数据的所述多段主体确认简档ID请求信息中的、在主体确认简档请求数据中表明更高优先级的主体确认简档ID请求信息,确定每段客户端实体信息的主体确认简档ID,以及服务器端实体信息中的主体确认简挡ID中的主体确认简档ID;路由表准备设备,其被配置为基于所确定的主体确认简档ID,准备将对应于主体确认简档ID的实体ID和处理能力ID彼此相关的路由表信息;路由表存储器设备,其存储路由表信息;以及消息传送设备,其被配置为在从客户端实体设备或服务器端实体设备接收到包含表明发送目的地的处理能力ID和表明发送源的处理能力ID的通信消息时,基于存储在路由表存储器设备中的路由表信息,向具有与表明发送目的地的处理能力ID对应的实体ID的实体设备传送通信消息。
虽然在上述本发明的第一方面的描述中设备和设备的组合被描述成″系统″,然而本发明不限于此,并且设备和设备的组合以及每个设备可以被表示成″装置″或″设备″、″方法″或″程序″、或″计算机可读存储器介质″。
因而,在本发明的第一方面,服务器端实体设备存储包含每个所请求服务的请求优先级的主体确认简档请求数据,并且当合并设备从服务器端实体设备接收到服务器端实体信息和主体确认简档请求数据时,它向每个客户端实体设备发送实体信息发送请求,并且从每个客户端实体设备接收客户端实体信息。
接着,合并设备基于在主体确认简档请求数据的主体确认简档ID请求信息中的、在主体确认简档请求数据中具有最高优先级的主体确认简档ID请求信息,确定主体确认简档ID中的主体确认简档ID,以及服务器端实体信息中的主体确认简档ID。
因此,如果存在安装了多个处理能力的组合的多个实体设备,则可以基于请求优先级选择组合。
另外,在本发明的第一方面,合并设备准备和存储路由表信息,其中对应于所确定的主体确认简档ID的处理能力ID和实体ID彼此相关。
随后,合并设备在从客户端实体设备或服务器端实体设备接收到包含表明发送目的地的处理能力ID和表明发送源的处理能力ID的通信消息时,基于路由表信息,向具有与表明发送目的地的处理能力ID对应的实体ID的实体设备传送通信消息。
通过这种方式,可以基于路由表信息处理安装多个处理能力的组合的多个实体设备间的通信消息。
接着描述本发明的其它目的和优点,开且这些目的和优点可根据这里的描述而部分地得到,或通过本发明的实践来学习。通过此后特别指出的手段和组合实现和获得本发明的目的和优点。
被说明书引用并且构成说明书组成部分的附解了本发明的实施例,并且与上述的概括说明和下面的实施例的详细描述一起被用来说明本发明的原理。
图1是基于本发明的认证系统的实施例的示意模块图,示出了其结构;图2是图1的实施例的服务器端实体系统的示意模块图,示出了其结构;图3是图1的实施例的认证环境处理设备和外设的示意模块图,示出了其结构;图4是图1的实体信息的结构的示意图,示出了其数据结构;图5是图1的实施例的数据列表的示意图,示出了主体确认简档信息的结构;图6是示出图1的实施例的实体信息和主体确认简档之间的关系的示意概念图解;图7是图1的实施例的数据列表的示意图,示出了主体确认简档请求的结构;图8是图1的实施例的数据列表的示意图,示出了主体确认简档ID请求信息的结构;图9是示出图1的实施例的主体确认简档请求和主体确认简档请求信息之间的关系的示意概念图解;图10是图1的实施例的实体处理能力ID定义表的示意图,示出了其结构;图11是图1的实施例的数据列表的示意图,示出了主体确认协议的模型的结构;图12是图1的实施例的数据列表的示意图,示出了主体确认开始请求消息的结构;图13是图1的实施例的主体确认协议控制设备的示意模块图,示出了其结构;图14是图1的实施例的路由表的示意图,示出了其结构;图15是图1的实施例的主体确认简档确定部分的示意图,示出了其结构;图16是图1的实施例的客户端实体设备的示意模块图,示出了其结构;图17是图1的实施例的主体确认的示意模块图,示出了其结构;图18是图1的实施例的数据列表的示意图,示出了模板发送数据的结构;图19是图1的实施例的数据列表的示意图,示出了生物统计学匹配结果发送数据的结构;图20是图1的实施例的主体确认简档确定操作的序列的示意图;图21是确定图1的实施例的过程的主体确认简档ID的流程图;图22是图1的实施例的主体确认的通信序列的示意图;图23是直到收集有关主体确认协议的数据的操作的序列的示意图;以及图24是从有关生物统计学匹配结果的数据的发送直到提供服务的操作的序列的示意图。
具体实施例方式
现在,参考图解本发明的优选实施例的附图更详细地描述本发明。
图1是基于本发明的在线认证系统的实施例的示意模块图,示出了其总体结构。参考图1,认证系统包括非特定数量N的服务器端实体系统(服务器端实体设备)1001至100N,个人计算机设备(合并设备)200,非特定数量N的客户端实体设备3001至300N以及服务请求方终端400。服务器端实体系统1001至100N、个人计算机设备200以及服务请求方终端400可以通过因特网500彼此通信。个人计算机设备200可以与非特定数量N的客户端实体设备3001至300N通信而无需通过因特网500。
每个设备1001至100N、设备200、每个设备3001至300N和终端400可以被实现成硬件或被实现成硬件和软件的组合。可被用于这种组合的软件可以是从网络或存储介质M安装到相应设备以实现相应设备(无论哪个均合适)的功能的程序。
客户端实体设备3001至300N和服务器端实体系统1001至100N的后缀″N ″不意味着客户端实体设备的数量与服务器端实体系统的数量相同。它们通常可以彼此不同,但是可以彼此相等。
服务器端实体系统1001至100N分别包含用户属性信息存储部分1101至110N,认证环境处理单元1201至120N,服务提供/处理单元1501至150N以及HTTP通信部分1601至160N。
由于服务器端实体系统1001至100N具有相同硬件结构,所以下面参考图2和3提供的描述省略了后缀以便表示任何任意选择和仅由100表示的服务器端实体系统。
如图2所示,每个服务器端实体系统100包含用户属性信息存储部分110、认证环境处理单元120、服务提供/处理单元150以及HTTP通信部分160。
用户属性信息存储部分110是认证环境处理单元120和服务提供/处理单元150可以从中读取数据的存储器设备。它存储向用户提供服务所需的用户属性信息。用户属性信息通常包含服务请求方ID、服务请求方的公开密钥证书、服务请求方终端400的地址信息以及服务请求方的帐户结算信息。
认证环境处理单元120具有通过生物统计学认证来验证包含主体确认过程执行结果的生物统计学认证环境的功能,以及执行通信协议的功能。
更具体地,如图3所示,认证环境处理单元120包含主体确认简档确定部分130和主体确认协议执行部分140。
主体确认简档确定部分130确定定义实体设备的组合以及实体之间的通信协议的主体确认简档。主体确认简档定义使用生物统计学认证环境的主体确认的通信协议、要交换的数据格式、主体确认所需的实体的处理能力、和认证处理方法。主体确认简档可以在开发人员/提供商中间自由地安排和判定,并且与作为唯一ID的主体确认简档ID相关。
更具体地,主体确认简档确定部分130包含实体信息存储部分131、要执行的主体确认简档ID临时存储部分132、实体信息发送部分133以及要执行的主体确认简档ID接收部分134。
实体信息存储部分131是实体信息发送部分133可以从中读取数据的存储器设备。它存储图4至6中所示的服务器端实体系统1001至100N自身的实体信息10以及图7至10所示的主体确认简档请求数据20。主体确认简档请求数据20可以与指示要为服务提供对象提供的服务并且被存储的服务ID相关。如果是这种情况,则主体确认简档请求数据20可以根据服务请求消息中包含的服务ID被读取。服务请求消息通常包含服务ID和服务请求方ID。
如图5所示,每个服务器端实体系统的实体信息10包含四个数据,该四个数据包含实体ID 11,主体确认简档信息列表长度12,主体确认简档信息片段的数量13以及主体确认简档信息列表14。
实体ID 11是分配给每个客户端实体设备3001至300N和服务器端实体系统1001至100N的唯一ID。
主体确认简档信息列表长度12指示主体确认简档信息列表的大小。
主体确认简档信息片段的数量13指示主体确认简档信息列表14中包含的主体确认简档信息片段的数量。
主体确认简档信息列表14以列表形式示出如图5所示的主体确认简档信息14′。至于实体信息10和主体确认简档信息14′的关系,实体信息10包含如图6所示作为其部分的主体确认简档信息14′。
主体确认简档信息14′实际上是三组数据,包含主体确认简档ID15的数据、版本16的数据以及实体处理能力ID 17的数据。
主体确认简档ID 15是象在如图8所示的主体确认简档ID请求信息23′的主体确认简档ID 24的情况中那样,基于主体确认协议的类型分配的唯一ID。
版本16象在如图8所示的主体确认简档ID请求信息23′的版本25的情况中那样,指示主体确认简档ID 15的更新管理信息。
实体处理能力ID 17指示图10中的实体处理能力定义表29示出的实体处理能力ID 291至295之一,以作为实体自身拥有的处理能力。
另一方面,主体确认简档请求数据20包含如图7所示的主体确认简档请求列表长度21、主体确认简档ID请求的数量22以及主体确认简档ID请求信息列表23。
主体确认简档请求列表长度21指示主体确认简档ID请求信息列表23的数据长度。主体确认简档ID请求的数量22指示图8的包含在主体确认简档ID请求信息列表23中的主体确认简档ID请求信息的片段的数量。主体确认简档ID请求信息列表23指示与由主体确认简档ID请求的数量22所定义的请求数量一样多的主体确认简档ID请求信息23′的片段,并且以列表格式表示。
主体确认简档ID请求信息23′实际上是五个数据,包含主体确认简档ID 24的数据、版本25的数据、请求优先级26的数据、实体数量27的数据以及实体处理能力ID列表28的数据。
主体确认简档ID 24是基于主体确认协议的类型分配的唯一ID。
版本25指示主体确认简档ID 24的更新管理信息。
请求优先级26指示服务器端实体系统100请求的主体确认协议的优先级。
实体数量27指示完成主体确认简档ID 24示出的主体确认协议所需的实体的数量。
实体处理能力ID列表28将完成主体确认协议所需的实体的处理能力集中示出为图10中实体处理能力定义表29所示的实体处理能力ID 291至295的列表。至于主体确认简档请求数据20和主体确认简档ID请求信息23′的关系,主体确认简档请求数据20包含如图9所示作为其部分的主体确认简档请求信息23′。
要执行的主体确认简档ID临时存储部分132临时存储从要执行的主体确认简档ID接收部分134写入的要执行的主体确认简档ID。
实体信息发送部分133具有基于从服务请求方终端400接收的服务请求消息,通过HTTP通信部分160向主体确认协议控制单元220发送主体确认简档请求数据和从实体信息存储部分131读取的实体信息的功能。
要执行的主体确认简档ID接收部分134从主体确认协议控制单元220接收要执行的主体确认简档ID,并且具有把其接收的要执行的主体确认简档ID写入要执行的主体确认简档ID临时存储部分132的功能。
主体确认协议执行部分140具有使用个人计算机设备200的主体确认协议控制单元220执行通信过程的功能,以及检查主体确认协议数据和有效负载中包含的主体确认简档ID和序列号的功能。
主体确认协议执行部分140包含简档ID验证部分141、序列号验证部分142以及主体确认简档ID安装部分1431至143N。
简档ID验证部分141具有验证在HTTP通信部分160处接收的主体确认协议数据中的主体确认简档ID与要执行的主体确认简档ID是否相同和同一,以及从主体确认协议数据读出序列号和有效负载的功能,以及向序列号验证部分142发送它读取的序列号和有效负载的功能。
序列号验证部分142具有识别符合要执行的主体确认简档ID临时存储部分132中存储的要执行的主体确认简档ID的主体确认简档ID安装部分143j(1<=j<=N)的功能,以及把来自所识别的主体确认简档ID安装部分143j的有效负载输入到对应于从简档ID验证部分141取出的序列号的序列号对应数据处理部分141j的功能。
对于每个主体确认简档ID,主体确认简档ID安装部分1431至143N分别具有对应于由对应通信协议定义的序列号的序列号对应数据处理部分1431-1至1431-N,...,143N-1至143N-N。主体确认简档ID、序列号以及通信协议彼此相关,并且安装在序列号对应数据处理部分1431-1至1431-N,...,143N-1至143N-N的每个中。
现在,描述主体确认协议中使用的主体确认协议数据的格式。图11是这个实施例的数据列表的示意图,在结构上示出了主体确认协议数据的格式。在图11中,主体确认协议数据格式40粗略地包含头部分50和有效负载部分60。
头部分50是与主体确认简档ID的类型不相关的公共数据组,并且包含表出主体确认协议数据的发送目的地的发送目的地实体处理能力ID 51,表示主体确认协议数据的发送源的发送源实体处理能力ID 52,定义协议数据自身的规格的主体确认简档ID 53,表示由主体确认简档ID指定的主体确认协议的序列号的序列号54,以及指示有效负载部分的数据长度的有效负载长度55。
有效负载部分60是能够自由定义基于每个主体确认简档ID通过主体确认简档交换的消息的数据部分,并且只具有有效负载60。
此后会更详细地描述的全部主体确认协议数据(40a至40c)通过图11中图解的主体确认协议数据格式40定义。
例如,如图12所示,主体确认开始请求消息(主体确认协议)40a基于主体确认简档ID的主体确认协议来准备。为发送源实体处理能力ID 51a指定图10的实体处理能力定义表29中定义的STOC型IC卡292的ID。为发送目的地实体处理能力ID 52a指定验证环境的服务提供Web系统293的ID。为主体确认简档ID 53指定要执行的主体确认简档ID临时存储部分132中的要执行的主体确认简档ID。为序列号54a指定由主体确认协议选择的序列号。为有效负载长度55a指定有效负载部分60a的数据长度。为有效负载部分60a指定充当质问数据的随机数61a,服务器端实体系统1001使用随机数61a验证生物统计学认证环境。
当认证环境处理单元120验证生物统计学认证环境的结果为正当时,服务提供处理单元150通过服务请求方终端400向服务请求方实际提供服务。例如适当业务逻辑程序的要提供的对象,或要作为服务提供给服务请求方的内容数据被安装在其中。更具体地,要提供的对象和服务ID彼此相关并且被存储在服务提供处理单元150中,其中服务提供处理单元150具有在从认证环境处理单元120接收到指示正当性的验证结果、服务ID以及服务请求方ID时,发送对应于服务ID的要提供的对象的功能。注意,要提供的对象不局限于预先存储的程序或数据,而是可以是作为执行预先存储的程序的结果而获得的数据。当发送对象时,只需要通过访问用户属性信息存储部分110来读取服务请求方终端400的地址信息。服务ID和服务请求方ID被包含在从服务请求方终端400接收的服务请求消息中。
至于服务器端实体系统1001的处理能力,基于所确定的主体确认简档ID,用服务提供Web系统(=0x0003)安装实体处理能力ID定义表29中的实体处理能力ID 293。能够在认证环境处理单元120处执行环境验证过程。
HTTP通信部分160适于通过因特网500执行针对客户端个人计算机设备200的HTTP通信。
如图13所示,个人计算机设备(合并设备)200包含硬件管理信息存储部分210、主体确认协议控制单元220以及HTTP通信部分230。
硬件管理信息存储部分210存储有关所连接的硬件(客户端实体设备3001至300N)的管理信息,并且被安装在个人计算机设备200的操作系统(此后被称作OS)中。
主体确认协议控制单元220对与客户端实体设备3001至300N和服务器端实体设备1001至100N的通信进行中介,并且由在OS上操作的中间件形成。
主体确认协议控制单元220包含路由表临时存储部分221、客户端实体设备检索部分222、主体确认简档确定部分223、主体确认协议路由执行部分224以及设备通信部分225。
路由表临时存储部分221临时存储作为主体确认简档确定过程的结果而获得的路由表。路由表30是实体处理能力ID和实体ID如图14所彼此相关的数据列表。
客户端实体设备检索部分222适于从硬件管理信息存储部分210中检索出任何客户端实体设备3001至300N。
主体确认简档确定部分223确定定义实体设备的组合和实体间的通信协议的主体确认简档。
更具体地,主体确认简档确定部分223具有如图15所示的发送功能223a、接收功能223b、确定功能223c、准备功能223d以及写入功能223e。
发送功能223a是在从服务器端实体系统100接收到(服务器端)实体信息10和主体确认简档请求数据20时,基于设备连接状态列表向客户端实体设备3001至300N的每个发送实体信息发送请求的功能。
接收功能223b是响应实体信息发送请求的发送,从客户端实体设备3001至300N的每个接收(客户端)实体信息的功能。
确定功能223c是基于主体确认简档请求数据20的各段主体确认简档ID请求信息23中的、在主体确认简档请求数据20中具有最高请求优先级26的主体确认简档ID请求信息23′,确定(客户端)实体信息10的每个片段中的主体确认简档ID 15和(服务器端)实体信息10中的主体确认简档ID 15的功能。
准备功能223d是准备路由表30的功能,其中对应于主体确认简档ID的处理能力ID 29和实体ID 11基于所确定的每个主体确认简档ID15彼此相关。
写入功能223e是把所准备的路由表30写入路由表临时存储部分221的功能。
主体确认协议路由执行部分224控制由对应于要执行的主体确认简档ID的主体确认过程的通信协议定义的消息,或主体确认协议数据的通信。它具有基于数据中的发送目的地向任何客户端实体设备3001至300N和服务器端实体系统100发送消息的功能。
更具体地,当主体确认协议路由执行部分224从客户端实体设备3001,3002或服务器实体系统100接收主体确认协议数据40,即包含指示发送目的地的处理能力ID 51和指示发送源的处理能力ID 52的通信消息时,它基于路由表临时存储部分221中的路由表30,向具有对应于指示发送目的地的处理能力ID 29的实体ID 11的实体设备3001,3002或服务器端实体系统100传送主体确认协议数据40。
设备通信部分225与客户端实体设备3001至300N通信。例如,它发送和接收主体确认协议数据。
HTTP通信部分230与服务器端实体系统1001至100N进行HTTP通信。
另一方面,客户端实体设备3001至300N分别具有主体确认处理单元3101至310N和认证环境处理单元3201至320N。
由于客户端实体设备3001至300N具有相同硬件结构,所以下面参考图16提供的描述省略了后缀以便表示任何任意选择和仅由300表示的客户端实体设备。
如图16所示,每个客户端实体设备300包含主体确认处理单元310和认证环境处理单元320。
主体确认处理单元310执行生物统计学认证的主体确认过程。主体确认处理单元310配备的、用于生物统计学认证的主体确认过程的处理能力对应于图17所示的用于生物统计学认证的主体确认过程的组成311至315。生物统计学认证的主体确认过程包括五个组成,其包含存储部分311,数据收集部分312,信号处理部分313,匹配部分314,判定部分315。可以用客户端实体设备3001至300N和服务器端实体系统1001至100N的所有组成部分,或可选地,用一部分组成部分来安装主体确认处理单元310。
在这个实施例中,基于所确定的主体确认简档ID,使用客户端实体设备3001至300N中的两个客户端实体设备3001,3002。两个客产端实体设备3001,3002分别具有的主体确认处理单元3101,3102对相应主体确认简档ID具有不同处理能力。
例如,第一客户端实体设备3001配备有作为主体确认处理单元3101的处理能力的数据收集部分312、信号处理部分313、匹配部分314以及判定部分315的处理能力。因而,它拥有实体处理能力ID定义表29上作为生物统计学匹配型设备3101(=0x0001)的实体处理能力ID291。
第二客户端实体设备3002配备有作为主体确认处理单元3102的处理能力的存储部分311的处理能力。因而,它拥有实体处理能力ID定义表29上作为卡上存储(STOC)型IC卡3102(=0x0002)的实体处理能力ID 292。
认证环境处理单元320准备执行结果和生物统计学认证的主体确认过程的执行环境以作为环境。
认证环境处理单元320包含主体确认简档确定部分330和主体确认协议执行部分340。
主体确认简档确定部分330具有为了主体确认目的响应实体信息发送请求而发送实体信息的功能,以及存储所确定的主体确认简档ID的功能。
主体确认简档确定部分330包含实体信息存储设备部分331,要执行的主体确认简档ID临时存储部分332,实体信息发送部分333以及要执行的主体确认简档ID接收部分334。
实体信息存储设备部分331存储有关客户端实体设备3001至300N自身的实体信息。
要执行的主体确认简档ID临时存储部分332临时存储由主体确认协议控制单元220中的主体确认简档确定部分223确定的要执行的主体确认简档ID。
实体信息发送部分333具有在接收到来自个人计算机设备200的实体信息发送请求时,向主体确认协议控制单元220中的主体确认简档确定部分223发送从实体信息存储设备部分331读取的实体信息的功能。
要执行的主体确认简档ID接收部分334具有接收从主体确认协议控制单元220发送的要执行的主体确认简档ID的功能,以及把要执行的主体确认简档ID写入要执行的1主体确认简档ID临时存储部分332的功能。
主体确认协议执行部分340与个人计算机设备200通信,并且检查主体确认协议数据中包含的主体确认简档ID、序列号和有效负载,以便执行主体确认协议。
主体确认协议执行部分340包含主体确认协议控制单元通信部分341,简档ID验证部分342,序列号验证部分343,主体确认简档ID配备部分3441至344N。
主体确认协议控制单元通信部分341从个人计算机设备200上的主体确认协议控制单元220的设备通信部分225接收主体确认协议数据,并且作为主体确认协议数据发送有关客户端实体设备3001至300N的过程的结果。
简档ID验证部分342验证在主体确认协议控制单元通信部分341处接收的主体确认协议数据中的主体确认简档ID与要执行的主体确认简档ID是否相同和同一,并且从主体确认协议数据中取出序列号和有效负载。
序列号验证部分343具有识别与要执行的主体确认简档ID临时存储部分332中存储的要执行的主体确认简档ID相符合的主体确认简档ID配备部分344i(1<=i<=N)的功能,以及把主体确认协议数据的有效负载输入到与针对所识别的主体确认简档ID配备部分344i从简档ID验证部分332取出的序列号相对应的序列号对应数据处理部分3441-1至3441-N的功能。
主体确认简档ID配备部分3441至344N分别配备有与针于每个主体确认简档ID在相应通信协议中定义的序列号相对应的序列号对应数据处理部分3341-1至3341-N,...,334N-1至334N-N。主体确认简档ID、序列号和通信协议彼此相关,并且被安装在序列号对应数据处理部分3441-1至3441-N,...,344N-1至344N-N中。
序列号对应数据处理部分3441-1至3441-N,...,344N-1至344N-N具有基于从序列号验证部分342输入的有效负载准备主体确认协议数据的功能,以及向个人计算机设备200发送所准备的主体确认协议数据的功能。
在有效负载是主体确认开始请求消息40a的有效负载部分60a的情况下,序列号对应数据处理部分3441-1至3441-N,...,344N-1至344N-N具有准备如图18所示的模板传送(主体确认协议2))数据40b的功能。
模板传送数据40b被粗略分成头部分50b和有效负载部分60b。
头部分50b包含发送目的地实体处理能力ID 51b、发送源实体处理能力ID 52b、主体确认简档ID 53、序列号54b和有效负载长度55b。实体处理能力ID定义表29中定义的生物统计学匹配型设备(0x0001)通常可以被指定为发送目的地实体处理能力ID 51b。STOC型IC卡(0x0002)通常可以被指定作为发送源实体处理能力ID 52b。所确定的要执行的主体确认简档ID被设置成主体确认简档ID 53。由主体确认协议确定的序列号被设置成序列号54b。有效负载部分60b的数据长度被设置成有效负载长度55b。
有效负载部分60b包含质询随机数61a,模板数据长度62b,模板数据63b,生物统计学认证环境数据长度64b以及STOC型IC卡的生物统计学认证环境65b。所接收的质询随机数61a被设置成质询随机数61a。服务请求方的模板数据的数据长度被设置成模板数据长度62b。服务请求方的模板数据被设置成模板数据63b。所准备的生物统计学认证环境的数据长度被设置成生物统计学认证环境数据长度64b。所准备的生物统计学认证环境被设置成STOC型IC卡的生物统计学认证环境65b。
另一方面,在有效负载是模板传送数据40b的有效负载部分60b的情况下,序列号对应数据处理部分3441-1至3441-N,...,344N-1至344N-N具有准备如图19所示的生物统计学匹配结果(传送主体确认协议3)数据40c的功能。
生物统计学匹配结果传送数据40c被粗略地分成头部分50c和有效负载部分60c。
头部分50c包含发送目的地实体处理能力ID 51c、发送源实体处理能力ID 52c、主体确认简档ID 53、序列号54c和有效质载长长55c。实体处理能力ID定义表29中定义的服务提供Web系统(0x0003)通常可以被指定为发送目的地实体处理能力ID 51c。生物统计学匹配设备(0x0001)被指定为发送源实体处理能力ID 52c。所确定的要执行的主体确认简档ID被指定为主体确认简档ID 53。由主体确认协议确定的序列号被设置成序列号54c。有效负载部分60c的数据长度被设置成有效负载长度55c。
有效负载部分60c包含质询随机数61a、STOC型IC卡的生物统计学认证环境数据长度64b、STOC型IC卡的生物统计学认证环境65b、生物统计学匹配设备的生物统计学认证环境数据长度66c以及生物统计学匹配设备的生物统计学认证环境数据长度67c。
所接收的质询随机数61a被设置成质询随机数61a。所接收的STOC型IC卡的生物统计学认证环境数据长度64b被设置成STOC型IC卡的生物统计学认证环境数据长度64b。所接收的STOC型IC卡的生物统计学认证环境65b被设置成STOC型IC卡的生物统计学认证环境65b。所准备的生物统计学认证环境的数据长度被设置成生物统计学匹配设备的生物统计学认证环境数据长度66c。所准备的生物统计学认证环境被设置成生物统计学匹配设备的生物统计学认证环境数据长度67c。
服务请求方终端400是在由服务请求方操作时从服务器端实体系统100接收服务的终端设备。更具体地,它是安装Web浏览器的个人计算机。
现在,参考图20至24的序列图描述具有上述结构的认证系统的操作。
(主体确认简档的确定)为使服务器端实体系统1001亲自认证服务请求方,个人计算机设备200中装配的主体确认协议控制单元220与连接到个人计算机设备200的非特定数量的客户端实体设备3001至300N协商,并且确定满足服务器端实体系统的主体确认过程的需求的客户端实体设备的最优组合。
服务请求方终端400向服务器端实体系统100发送服务请求消息。此时,服务器端实体系统100通过HTTP通信部分160从服务请求方终端400接收服务请求消息。
服务器端实体系统100基于服务请求消息,通过实体信息发送部分133从实体信息存储部分131读取主体确认简档请求数据20。
实体信息发送部分133从实体信息存储部分131读取服务器端实体系统100的所拥有的实体信息10。随后,实体信息发送部分133向个人计算机设备200发送主体确认简档请求数据20和所读取的实体信息10。
个人计算机设备200通过HTTP通信部分230接收主体确认简档请求数据20和实体信息10。
个人计算机设备200在主体确认简档确定部分223中临时保存主体确认简档请求数据20和实体信息10。在主体确认协议控制单元220中,客户端实体设备检索部分222检索硬件管理信息存储部分210,并且从硬件管理信息存储部分210中读取连接到个人计算机设备200的客户端实体设备3001至300N的连接状态列表。所读取的连接状态列表接着被从客户端实体设备检索部分222发送到主体确认简档确定部分223。
主体确认简档确定部分223基于连接状态列表向客户端实体设备3001发送实体信息的发送请求。此时,主体确认简档确定部分223直接地访问客户端实体设备3001的实体信息发送部分333。
个人计算机设备200象在步骤ST15中那样向其它客户端实体设备3002至300N发送实体信息的发送请求。
当在步骤ST15接收到实体信息的发送请求时,客户端实体设备3001中的实体信息发送部分333从实体信息存储设备部分331读取客户端实体设备3001的所拥有的实体信息,并且向个人计算机设备200的主体确认简档确定部分223发送实体信息10。
类似地,当在步骤ST16接收到实体信息的发送请求时,其它客户端实体设备3002至300N向主体确认简档确定部分223发送客户端实体设备3002至300N的所拥有的实体信息10。
主体确认简档确定部分223收集客户端实体设备3001至300N的实体信息并且确定要执行的主体确认简档ID。现在,参考图21描述确定要执行的主体确认简档ID的过程。
确定要执行的主体确认简档ID的过程从主体确认简档确定部分223获得客户端实体设备3001至300N的实体信息的状态开始。如果没有客户端实体设备3001至300N连接到个人计算机设备200并且没有能够获得实体信息,则确定要执行的主体确认简档ID的过程被立即结束。
对于主体确认简档请求20,主体确认简档确定部分223顺序地从主体确认简档ID请求信息列表23中具有最高请求优先级26的主体确认简档ID请求信息23′开始,取出主体确认简档ID 24。
主体确认简档确定部分223从自客户端实体设备3001至300N和服务器端实体系统100获得的实体信息10的主体确认简档信息列表14的主体确认简档信息14′中取出主体确认简档ID 15。
主体确认简档确定部分223通过把从主体确认简档请求20取出的主体确认简档ID 24用作检索ID,检索从实体信息10取出的主体确认简档ID 15。
当主体确认简档ID 24和主体确认简档ID 15彼此一致时,包含一致的主体确认简档ID 15的实体信息10的实体ID 11被临时存储。如果它们彼此不一致,则主体确认简档确定部分223通过把主体确认简档ID请求信息23′中具有下一个最高请求优先级26的主体确认简档ID 24用作检索ID,检索实体信息10的主体确认简档ID 15。
将检索过程重复一个等于主体确认简档ID请求20的数量22的次数,并且如果不存在任何一致的主体确认简档ID 15,则确定要执行的主体确认简档ID的过程立即结束。
主体确认简档确定部分223对于包含在步骤ST19-1找到的一致主体确认简档ID的实体信息10,取出包含与检索ID一致的主体确认简档ID 15的主体确认简挡信息14′的实体处理能力ID 17。
对于主体确认简档ID请求信息23′,主体确认简档确定部分223确认它取出的实体处理能力ID 17与实体处理能力列表28中的实体处理能力ID相同并且同一。它针对其余客户端实体设备300的每个的实体ID执行相同确认操作。
在以上确认操作之后,对于主体确认简档ID请求信息23′,确认多个一致实体处理能力ID 29全部对应于实体处理能力ID列表28中的实体处理能力ID,而无重复。
当作为步骤ST19-2的处理操作的结果确认多个一致实体处理能力ID 29全部在那里而没有重复时,作为检索的结果被发现为一致的主体确认简档ID 15被确定为之后要执行的主体确认简档ID,以结束步骤ST19的处理操作。如果未确认多个一致实体处理能力ID 29不全部在那里,则处理操作返回到步骤ST19-1。
主体确认简档确定部分223准备路由表30,使得对应于在步骤ST19获得的主体确认简档ID 15的客户端实体设备3001至300N和服务器端实体系统100的实体ID与和相应实体处理能力ID 17相关。
主体确认简档确定部分223通过HTTP通信部分230向服务器端实体系统100发送在步骤ST19确定的要执行的主体确认简档ID15。同时,服务器端实体系统100通过HTTP通信部分160接收要执行的主体确认简档ID 15。所接收的要执行的主体确认文件ID 15被认证环境处理单元120的要执行的主体确认简档ID接收部分134临时存储在要执行的主体确认简档ID临时存储部分132中。
当客户端实体设备3001是对应于要执行的主体确认简档ID 15之一的实体时,主体确认简档确定部分223通过HTTP通信部分230向客户端实体设备3001发送在步骤ST19确定的要执行的主体确认简档ID15。
同时,客户端实体设备3001通过主体确认简档确定部分330的要执行的主体确认简档ID接收部分334获得要执行的主体确认简档ID,并且把它们存储在要执行的主体确认简档ID临时存储部分332。
另一方面,当客户端实体设备3001不是对应于要执行的主体确认简挡ID之一的实体时,主体确认简档确定部分223不向客户端实体设备3001发送任何数据。
主体确认简档确定部分223对于每个其它客户端实体设备3002至300N执行类似于步骤ST22的处理操作。
作为上述序列的结果,可以基于服务器端实体系统100所需的主体确认协议确定表示客户端实体设备3001至300N的组合的执行主体确认简档ID。
(主体确认/服务提供)现在,描述执行主体确认过程和基于所确定的要执行的主体确认简档ID在开放式网络上提供服务的操作。下列描述也适用于处理由客户端实体设备3001至300N和服务器端实体系统1001至100N的主体确认过程的通信协议定义的消息的主体确认协议控制单元220的操作。
首先,假定一个服务器端实体系统1001至100N从服务请求方终端400接收服务请求。
如图22所示,服务器端实体系统100向客户端实体设备(IC卡)3002发送主体确认开始请求消息(主体确认协议1)。
在接收到主体确认开始请求消息时,客户端实体设备(IC卡)3002基于IC卡中存储的模板数据和所产生的生物统计学认证环境产生模板传送数据(主体确认协议2),并且向客户端实体设备(生物统计学匹配设备)3001发送模板传送数据。
在接收到模板传送数据时,客户端实体设备(生物统计学匹配设备)3001向服务请求方终端400发送生物统计学数据请求。
服务请求方终端400显示所接收的生物统计学数据请求。结果,客户端实体设备3001基于服务请求方的操作从服务请求方收集生物统计学数据。
客户端实体设备3001基于所收集的生物统计学数据执行生物统计学数据匹配过程(生物统计学匹配)。生物统计学匹配的结果和执行环境被包含在所产生的生物统计学认证环境中。
在生物统计学认证环境的生成之后,客户端实体设备3001基于自身产生的生物统计学认证环境和通过客户端实体设备(IC卡)3002产生的生物统计学认证环境,产生生物统计学匹配结果传送数据(主体确认协议3),并且向服务器端实体系统100发送所获得的生物统计学匹配结果传送数据。
服务器端实体系统100验证所接收的生物统计学匹配结果传送数据中包含并且由客户端实体设备3001,3002产生的生物统计学认证环境。当验证的结果为正当时,通过服务请求方终端400向服务请求方提供服务。
[ST31]如图23所示,服务器端实体系统100通过主体确认简档ID安装部分1431中与要执行的主体确认简档ID临时存储部分132中的要执行的主体确认简档ID相对应的对应数据处理部分1431-1,准备如图12所示的准备主体确认开始请求消息(主体确认协议1)。
服务器端实体系统100通过HTTP通信部分160向个人计算机设备200发送所准备的主体确认开始请求消息40a。
个人计算机设备200在HTTP通信部分230处接收主体确认开始请求消息40a。主体确认协议路由执行部分224从主体确认开始请求消息40a中读取发送目的地实体处理能力ID 51a。
主体确认协议路由执行部分224接着基于发送目的地实体处理能力ID(=0x0002),从路由表临时存储部分221中的路由表30中读取对应于发送目的地实体处理能力ID(=0x0002)的实体ID 292(=0x12ef)。
个人计算机设备200通过通信部分设备225,向客户端实体设备(IC卡)3002传送对应于发送目的地实体ID 292的主体确认开始请求消息40a。
客户端实体设备(IC卡)3002通过主体确认协议控制单元通信部分341接收主体确认开始请求消息40a。在接收消息之后,简档ID验证部分342基于主体确认开始请求消息40a中的主体确认简档ID 53,识别主体确认简档ID安装部分3441至344N中的要使用的主体确认简挡ID安装部分3442。
在识别主体确认简档ID安装部分3442之后,序列号验证部分343基于主体确认开始请求消息40a中的序列号54a,识别出序列号对应数据处理部分3442-1至3442-N中的序列号对应数据处理部分3442-2。
在识别出序列号对应数据处理部分3442-2之后,序列号验证部分343把主体确认开始请求消息40a的有效负载部分60a(质询随机数61a)输入到所识别的序列号对应数据处理部分3442-2。结果,序列号对应数据处理部分3442-2开始序列号对应数据处理。
在接收到质询随机数61a时,序列号对应数据处理部分3442-2从主体确认处理单元3102中的存储部分311读取服务请求方的模板数据。
序列号对应数据处理部分3442-2基于该模板准备生物统计学认证环境。生物统计学认证环境包含服务请求方的开放式密钥证书的序号、主体确认开始请求消息40a的质询随机数61a、模板数据的散列值以及有关通过服务请求方的私有密钥针对它们准备的数字签名的数据。
序列号对应数据处理部分3442-2基于主体确认简档ID 53的主体确认协议,准备如图18所示的模板传送(主体确认协议2)数据40b。
随后,客户端实体设备(IC卡)3002通过主体确认协议控制单元通信部分341向个人计算机设备200发送模板传送数据40b。
个人计算机设备200象在步骤ST33中那样,在HTTP通信部分230处接收模板传送数据40b。模板传送数据40b接着被输入到主体确认协议路由执行部分224。主体确认协议路由执行部分224从模板传送数据40b读取发送目的地实体处理能力ID 51a。
主体确认协议路由执行部分224基于发送目的地的处理能力ID51b,从路由表临时存储部分221中的路由表30中读取对应于发送目的地实体处理能力ID(0x0001)51b的实体ID 11-3101(0x3a29)。
个人计算机设备200象在步骤ST34中那样基于发送目的地实体ID 51b,通过设备通信部分225向客户端实体设备(生物统计学匹配设备)3001传送模板传送数据40b。
客户端实体设备(生物统计学匹配设备)3001象在步骤ST35中那样通过主体确认协议控制单元通信部分341接收模板传送数据40b。在接收之后,简档ID验证部分342基于模板传送数据40b中的主体确认简档ID 53,识别出主体确认简档ID安装部分3441至344N中要使用的主体确认简档ID安装部分3441。
在识别之后,序列号验证部分343基于模板传送数据40b中的序列号54b,从序列号对应数据处理部分3441-1至3441-N中识别出要在所识别的主体确认简档ID安装部分3441中使用的序列号对应数据处理部分3441-1。
在后一种识别之后,序列号验证部分343把模板传送数据40b中的有效负载部分(质询随机数61a、模板数据长度62b、模板数据63b、STOC型IC卡模板数据长度64b以及STOC型IC卡65b)60b输入到所识别的序列号对应数据处理部分3441-1。结果,序列号对应数据处理部分3441-1开始序列号对应数据处理。
序列号对应数据处理部分3441从模板传送数据40b读取模板数据63b。
随后,客户端实体设备(生物统计学匹配设备)3001通过主体确认处理单元3101向服务请求方终端400通知来自序列号对应数据处理部分3441的生物统计学数据请求。
服务请求方终端400显示所通知的生物统计学数据请求。客户端实体设备(生物统计学匹配设备)3001的主体确认处理单元3101基于服务请求方的操作,从数据收集部分312收集服务请求方的生物统计学数据。
在主体确认处理单元3101中,信号处理部分313处理所收集的生物统计学数据的信号以产生采样数据。
在主体确认处理单元3101中,匹配部分314比较所产生的采样数据和在步骤ST43读取的模板数据以检查相似度。
在客户端实体设备(生物统计学匹配部分)3001中,判定部分315判定所获得的相似度并且执行主体确认过程。主体确认的结果被从主体确认处理单元3101通知给序列号对应数据处理部分3441。假定成功地完成主体确认过程。
结果,序列号对应数据处理部分3441-1准备生物统计学认证环境。所准备的生物统计学认证环境包含客户端实体设备(生物统计学匹配设备)3001的开放式密钥证书的序号,主体确认开始请求消息40a中的质询随机数61a,在步骤ST43中获得的模板数据的散列值,在步骤ST47获得的相似度,在步骤ST48获得的主体确认的结果,步骤ST47的核对执行水平,以及针对前面信息片段,通过客户端实体设备(生物统计学匹配设备)3001的私有密钥准备的数字签名的数据。
序列号对应数据处理部分3441-1基于主体确认简档ID的主体确认协议准备生物统计学匹配结果传送数据40c。
如图24所示,客户端实体设备(生物统计学匹配设备)3001通过主体确认协议控制单元通信部分341向个人计算机设备200发送生物统计学匹配结果传送数据40c。
个人计算机设备200通过HTTP通信部分230接收生物统计学匹配结果传送数据40c。所接收的生物统计学匹配结果传送数据40c被输入到主体确认协议路由执行部分224。主体确认协议路由执行部分224从生物统计学匹配结果传送数据40c读取发送目的地实体处理能力ID 51c。
接着,主体确认协议路由执行部分224基于发送目的地实体处理能力ID(=0x0003),从路由表临时存储部分221中的路由表30中读取对应于发送目的地实体处理能力ID(=0x0003)的实体ID11-100(=0xba7c)。
个人计算机设备200通过HTTP通信部分230,向对应于发送目的地实体ID11-100的服务器端实体系统100传送生物统计学匹配结果传送数据40c。
服务器端实体系统100通过HTTP通信部分160接收生物统计学匹配结果传送数据40c。在接收之后,简档ID验证部分141基于生物统计学匹配结果传送数据40c中的主体确认简档ID 53,识别出主体确认简档ID安装部分1431至143N中要使用的主体确认简档ID安装部分1431。
在识别之后,序列号验证部分142基于生物统计学匹配结果传送数据40c中的序列号54c,识别出序列号对应数据处理部分1431-1至1431-N中要使用的序列号对应数据处理部分1431-1。
在后一种识别之后,序列号验证部分142把生物统计学匹配结果传送数据40c的有效负载部分(质询随机数61a,STOC型IC卡的生物统计学认证环境数据长度64b、STOC型IC卡的生物统计学认证环境65b、生物统计学匹配型设备的生物统计学认证环境数据长度66c,以及生物统计学匹配型设备的生物统计学认证环境67)60c输入到所识别的序列号对应数据处理部分1431-1。结果,序列号对应数据处理部分1431-1开始处理序列号对应数据。
序列号对应数据处理部分1431-1基于服务请求方终端400的开放式密钥证书、客户端实体设备3001(生物统计学匹配设备)的开放式密钥证书以及接收的生物统计学匹配结果传送数据40c,验证用于主体确认的生物统计学认证环境。
当验证生物统计学认证环境的结果为肯定时,服务器端实体系统100通过服务器请求方终端400为服务请求方提供来自服务器提供/处理单元150的服务。
如上所述,对于这个实施例,针对每个所请求的服务存储包含请求优先级的ID请求信息,并且在从服务器端实体系统100接收到(服务器端)实体信息10和主体确认简档ID请求信息时,个人计算机设备200向每个客户端实体设备3001至300N发送实体信息发送请求,并且从每个客户端实体设备接收(客户端)实体信息10。
因而,结果,个人计算机设备200基于ID请求信息的各段主体确认简档ID请求信息中的、在ID请求信息中具有高优先级的主体确认简档ID请求信息,确定客户端实体信息中的主体确认简档ID和服务器端实体信息中的主体确认简档ID。
因此,即使存在配备有多个处理能力的组合的多个实体设备时,可以基于请求优先级确定实体设备的组合。
另外,个人计算机设备200准备和存储路由表30,在路由表30中,对应于主体确认简档ID的处理能力ID和实体ID基于所确定的主体确认简档ID彼此相关。
此后,在从客户端实体设备3001,3002或服务器端实体系统100接收到包含指示发送目的地的处理能力ID和指示发送源的处理能力ID的通信消息40a至40c时,个人计算机设备200基于路由表30向具有对应于指示发送目的地的处理能力ID的实体ID的实体设备3001,3002或100传送通信消息。
通过这种方式,可以基于路由表处理(传送)配备有多个处理能力的组合的多个实体设备间的通信消息。
另外,这个实施例可以应用于使用生物统计学认证环境的认证系统和使用由其它手段实现的认证环境的认证系统以提供类似优点。
如上所述实施例的技术可以被存储为要由计算机执行、在用于发布的包含磁盘(floppyTM盘,硬盘等等)、光盘(CD-ROM,DVD等等)、磁光盘(MOS)以及半导体存储器的存储器介质中的程序。
可被用于本发明的目的的存储器介质不局限于上述,并且任何类型的存储器介质也可以被用于本发明的目的,只要它们是计算机可读的。
另外,基于从存储器介质安装在计算机上的程序的指令在计算机上操作的OS(操作系统),数据库管理软件和/或例如网络软件的中间件可以参与实现以上实施例的每个处理。
另外,可被用于本发明的目的的存储器介质不局限于那些与计算机分离的存储器介质,而且包含适于下载由LAN和/或因特网发送的程序,并且永久或临时存储它的存储器介质。
不必对上述实施例使用单个存储器介质。换言之,多个存储器介质可以被用于上述实施例以执行任何上述的各种处理。这种存储器介质可以具有任何结构。
为了本发明的目的,如针对优选实施例所述的,计算机基于一或多个存储器介质中存储的程序执行各种处理。更具体地,计算机可以是独立的计算机,或通过用网络连接多个计算机实现的系统。
为了本发明的目的,计算机包含个人计算机和信息处理设备中包含的处理器和微型计算机。换言之,计算机通常是指可以通过计算机程序实现本发明的功能特征的设备和仪器。
本发明不限于上述实施例,其可以在不偏离本发明的宗旨和范围的前提下以各种不同方式修改。另外,上述实施例的任何组成可以为了本发明的目的以各种不同适当方式被组合。例如,上述实施例的一些组成被省略。可选地,不同实施例的组成可以为了本发明的目的以各种不同适当方式被适当地组合。
本领域的技术人员容易想到其它优点和修改。因此,本发明在其广义的方面不局限于具体细节,以及在这里示出和描述的代表实施例。因此,在不偏离如所附权利要求限定的及其等价的总发明构思的宗旨或范围的前提下,可以进行各种修改。
权利要求
1.一种认证系统,其特征在于包括用于使用生物统计学认证的主体确认过程的多个客户端实体设备,能够向通过主体确认过程确认的服务请求方的服务请求方终端提供服务的服务器端实体设备,以及为每个客户端实体设备和服务器端实体设备之间的通信提供中介的合并设备,每个客户端实体设备(3001至300N)包含主体确认处理设备(3101至310N),其被配置为能够执行多个主体确认处理;客户端存储器设备(331),其存储具有多段主体确认简档信息的客户端实体信息,每段主体确认简档信息包含指示主体确认处理设备的主体确认处理的主体确认简档ID,和指示主体确认处理的处理能力的处理能力ID;设备(333),其被配置为在接收到实体信息发送请求时,向合并设备发送客户端实体信息;以及认证环境生成设备(3441至344N),用于产生包含主体确认处理设备执行主体确认处理的结果的生物统计学认证环境,服务器端实体设备(100)包含认证环境验证设备(1431-1,...,1431-N至143N-1,...143N-N),用于验证生物统计学认证环境;服务提供/处理设备(1501至150N),被配置为当验证结果指示请求的正当性时,向所确认的服务请求方的服务请求方终端提供服务;服务器端第一存储器设备(131),其存储具有多段主体确认简档信息的服务器端实体信息,每段主体确认简档信息包含指示认证环境验证设备的主体确认处理的主体确认简档ID,和指示主体确认处理的处理能力的处理能力ID;服务器端第二存储器设备(131),其存储具有多段主体确认简档ID请求信息的主体确认简档请求数据,对于每个被请求服务,每段主体确认简档ID请求信息包含主体确认简档ID、请求优先级以及多个处理能力ID;以及设备(133),其被配置为在接收到服务请求时,向合并设备发送服务器端实体信息和主体确认简档请求数据,合并设备(200)包含设备(223a),其被配置为在接收到来自服务器端实体设备的服务器端实体信息和主体确认简档请求数据时,向每个客户端实体设备发送实体信息发送请求;设备(223b),其被配置为响应实体信息发送请求的发送,从每个客户端实体设备接收客户端实体信息;简档ID确定设备(223c),其被配置为基于在主体确认简档请求数据的所述多段主体确认简档ID请求信息中的、在主体确认简档请求数据中表明更高优先级的主体确认简档ID请求信息,确定每段客户端实体信息的主体确认简档ID,以及服务器端实体信息中的主体确认简档ID中的主体确认简档ID;路由表准备设备(223d),其被配置为基于所确定的主体确认简档ID,准备将对应于主体确认简档ID的实体ID和处理能力ID彼此相关的路由表信息;路由表存储器设备(221),其存储路由表信息;以及消息传送设备(224),其被配置为在从客户端实体设备或服务器端实体设备接收到包含表明发送目的地的处理能力ID和表明发送源的处理能力ID的通信消息时,基于存储在路由表存储器设备中的路由表信息,向具有与表明发送目的地的处理能力ID对应的实体ID的实体设备传送通信消息。
2.一种合并设备(200),用于对在生物统计学认证的主体确认处理中使用的多个客户端实体设备(3001至300N)和能够向通过主体确认处理确认的服务请求方的服务请求方终端(400)提供服务的服务器端实体设备(100)之间的通信进行中介,该设备的特征在于包括设备(223a),其被配置为在接收到来自服务器端实体设备的服务器端实体信息和主体确认简档请求数据时,向每个客户端实体设备发送实体信息发送请求,所述服务器端实体信息包含多段主体确认简档信息,对于服务器端实体设备的每个实体ID,每段主体确认简档信息包含表明主体确认处理的主体确认简档ID和表明主体确认处理的处理能力的处理能力ID,所述主体确认简档请求数据包含主体确认简档ID和多段主体确认简档ID请求信息,对于每个被请求的服务,每段主体确认简档ID请求信息包含请求优先级以及多个处理能力ID;设备(223b),其被配置为根据实体信息发送请求的发送,从每个客户端实体设备接收客户端实体信息,客户端实体信息包含多段主体确认简档信息,对于客户端实体设备的每个实体ID,每段主体确认简档信息包含表明主体确认处理的主体确认简档ID,和表明主体确认处理的处理能力的处理能力ID;简档ID确定设备(223c),其被配置为基于在主体确认简档请求数据的主体确认简档ID请求信息中的、在主体确认简档请求数据中具有最高优先级的主体确认简档ID请求信息,确定每段客户端实体信息中的主体确认简档ID,以及服务器端实体信息中的主体确认简档ID;路由表准备设备(223d),其被配置为基于所确定的主体确认简档ID,准备将处理能力ID和实体ID彼此相关以对应于主体确认简档ID的路由表信息;以及路由表存储器设备(221),其存储路由表信息。
3.如权利要求2所述的设备,其特征在于还包括消息传送设备(224),其被配置为在从客户端实体设备或服务器端实体设备接收到包含表明发送目的地的处理能力ID和表明发送源的处理能力ID的通信消息时,基于路由表存储器设备中的路由表信息,向具有与表明发送目的地的处理能力ID对应的实体ID的实体设备传送通信消息。
4.一种服务器端实体设备,其能够通过合并设备与用于生物统计学认证的主体确认处理要使用的多个客户端实体设备通信,并且向由主体确认处理确认的服务请求方的服务请求方终端提供服务,该设备的特征在于包括认证环境验证设备,用于验证包含主体确认处理的执行结果的生物统计学认证环境;服务提供/处理设备,被配置为当验证结果指示请求的正当性时,向经过亲自认证的服务请求方的服务请求方终端提供服务;服务器端第一存储器设备,其存储具有多段主体确认简档信息的服务器端实体信息,每段主体确认简档信息包含指示认证环境验证设备的主体确认处理的主体确认简档ID,和指示主体确认处理的处理能力的处理能力ID;服务器端第二存储设备,其存储具有多段主体确认简档ID请求信息的主体确认简档请求数据,对于每个被请求服务,每段主体确认简档ID请求信息包含主体确认简档ID、请求优先级以及多个处理能力ID;以及设备,其被配置为在接收到服务请求时,向合并设备发送服务器端实体信息和主体确认简档请求数据。
全文摘要
公开了一种认证系统以及合并设备。在从服务器端实体设备(100)接收到服务器端实体信息和主体确认简档请求数据时,合并设备(200)向多个客户端实体设备(300
文档编号H04L9/32GK101083661SQ200710108779
公开日2007年12月5日 申请日期2007年5月31日 优先权日2006年5月31日
发明者西泽实, 高见泽秀久, 藤井吉弘, 岡田光司 申请人:株式会社东芝, 东芝解决方案株式会社