专利名称:鉴别系统、装置及方法
技术领域:
本发明涉及确保(assure)构成鉴别的过程(process),通知验证者一方的鉴别系 统(system)、装置、程序(program)及方法,特别涉及各过程所属的管理主体可以确保有关 构成鉴别的过程的语句(statement)的鉴别系统、装置、程序及方法。
背景技术:
在通过网络(network)的通信及服务(service)中,鉴别通信对方是必需的技术 要素。近年来,特别是随着开放(open)网络环境的普及、分散服务及资源(resource)的联 合技术(federation technologies)的发展,鉴别对象从用户(user)扩大到设备终端。与此同时,在多种层(layer)之中的鉴别手段得以实现。比如,可以举出OSI的 7层模型(model)的会话(session)层中的SSL(Secure Sockets Layer,安全套接层)/ TLS (Transport Layer Security,传输层安全)为例(比如,参照[SSL3. 0]A. Frier, P. Karlton, and P. Kocher, "The SSL 3. OProtocol,,,Netscape Communications Corp., Nov 18,1996.以及[TLS1. 0]T. Dierks,C. Allen, "The TLS Protocol Version 1.0”, RFC2246, Jan 1999, <http://www. ietf. org/rfc/rfc2246. txt>)。SSL/TLS,由于可以对上 位层提供透过性安全通信(secure communication),作为标准的安全通信协议(protocol) 得到普及。在SSL/TLS中,作为鉴别机构,支持(support)以公钥证明书为基础(base)的 服务器(server)鉴别和客户机(client)鉴别。另外,以OSI的7层模型的网络层的通信协议的IPdnternet Protocol,网际 协议)为对象的安全通信有IPsec(比如参照,[IPsecJS. Kent, R. Atkinson, "Security Architecture for the Internet Protocol",Novemberl998,<http://www. ietf. org/rfc/ rfc2401.txt 。IPsec,谋求在IP包级(packetlevel)中的鉴别及加密,实现主机(host) 单位的安全通信,在VPN(VirtualPrivate Network虚拟专用网络)中使用。IPsec支持利 用已知共有密钥对通信对方进行鉴别,在动态鉴别中,可以利用上位的安全协议协商机制 (association mechanism,关联机制)的 IKE 及 IKEv2 等构造。另一方面,作为表示涉及用户鉴别的安全性的语句的产业标准规格,制定的是 SAML(Security Assertion Markup Language,安全声明标记语言)(比如,参照[SAML], OASIS Security Services TC, "Security AssertionMarkup Language (SAML) ν1. 1 Sept 2003, <http://www.oasis_open.org/committees/tc_home.php ? wg_abbrev = security 。SAML,是用来将有关客户机的安全性及策略决定的语句以XML形式表现、以电 子方式确保的框架。如上所述,通过网络的鉴别手段,在各种层中的应用正在发展,如前所述,已经成 为通信及服务所必需的技术要素。
另外,在鉴别对象是个人时,确认个人是否是本人的本人确认 (principalconfirmation)技术也正受到重视。通常,在鉴别中,要求对鉴别对象进行严密 的识别(identify)或验证(verify)。因此,在鉴别对象为个人时,严密的本人确认技术是 必需的。现在,作为有希望的本人确认技术,可以举出生物测定学(biometrics)为例。生 物测定学,是将从各个人所读取的生物体信息和事先登记的生物体信息(以下称其为参照 生物体信息)进行匹配(matching),确认是否是本人的技术。生物体信息,使用表示各个人 固有的身体特征或特性的信息,比如,指纹及虹膜、网膜、面部、语音、击键(keystroke)、签 名(sign)等等。在生物测定学中,与口令(password)等已有的鉴别方法不同,因为是利用不必担 心丢失或忘记的生物体信息,可以减轻用户的负担。另外,生物体信息是以复制困难为前 提,可以有效地防止冒充用户等。另外,随着在因特网中为代表的开放网络的普及,作为在电子商务交易中通过网 络鉴别通信对方的方法,想利用生物测定学的活动正在高涨。另外,现在正在研究在身份证 明等领域中,利用生物测定学,进行身份证所有者的本人确认的技术。在通过网络的生物测定学的利用中,存在在匹配结果及匹配信息的网络路径上的 安全性问题。然而,通过与公钥验证基础设施(Public KeyInfrastructure)及IC卡(card) 等安全媒体的组合,在网络路径上及设备等的生物体信息等的重要信息的盗窃及篡改的危 险性正在减小。就是说,在网络路径上的安全性正在提高。此外,正在考虑将上述多种生物测定学方式组合成为综合进行确认本人(the principal)的复合型(multimodal)生物测定学系统。利用复合型的生物测定学系统,可以 进行更高精度的本人确认。然而,现状的很多鉴别技术,根据本发明人研究,由于设想构成鉴别的过程由同一 管理主体进行管理,就存在不考虑各过程本身的确保的问题。如果进行补充,则实际的鉴别 构成过程(authentication subprocess,鉴别子过程)与设想的不同,各鉴别构成过程由 各自的管理主体进行管理的场合很多。比如,在生物测定学的场合,有生物体信息的读取(capturing)功能及匹配功能 这类的鉴别构成过程。这种鉴别构成过程,在安装的装置(device)及设备上的配置,多 以系统固有方式决定。具体言之,在作为生物测定学模型之一的卡内匹配(Matching on Card =MOC)模型的场合,生物体信息的读取功能配置在扫描仪(scanner)上,并且生物体信 息的匹配功能和参照生物体信息(biometric template,生物测定模块)的管理功能配置 在卡(card)(智能卡(smart card)等)上。就是说,以MOC模型的系统固有方式作为鉴别 构成过程的读取功能由扫描仪进行管理,作为鉴别构成过程的匹配功能及管理功能利用卡 进行管理。这样,鉴别构成过程,多在每个过程中管理主体不同。因此,在验证鉴别结果的验 证者一方,明确把握各管理主体中的每一个的鉴别构成过程是否妥当是很困难的。因此,由于不能把握鉴别构成过程的妥当性,作为将鉴别构成过程综合的鉴别过 程整体,具有使可靠性(trustworthiness)降低的问题。特别是,在开放网络环境中的鉴别 处理中,由于并不限定于由同一管理主体运用,可以认为这种问题很显著。
9
发明内容
本发明的目的在于提供可以使其管理主体确保各鉴别构成过程,可通过验证确保 内容,可提高鉴别过程整体的可靠性的鉴别系统、装置、程序及方法。本发明的第1方面(aspect),是具有个别执行构成鉴别处理的鉴别构成过程多个 鉴别实体(entity)装置和用来验证由上述各鉴别实体装置执行的上述鉴别处理的验证装 置的鉴别系统,其中作为上述各鉴别实体装置,包括将用于上述验证装置的验证的秘密 信息予以存储而构成的秘密信息存储装置;由上述鉴别构成过程的执行内容基于上述秘密 信息生成用于上述验证的鉴别符地构成的鉴别符生成装置及由上述鉴别符和上述执行内 容按照特定的格式(format)生成特定上下文(context)而构成的特定上下文生成装置;为 输出上述特定上下文而构成的特定上下文输出装置;作为上述验证装置,其构成包括具 备与外部装置通信的通信功能的通信装置;为验证由上述各鉴别实体装置生成并且由上述 通信装置接收的各上下文而构成的上下文验证装置。所以,在本发明的第1方面,因为验证装置可以根据验证符对各鉴别实体装置的 各鉴别构成过程的执行内容进行验证,其管理主体(各鉴别实体装置)可确保各鉴别构成 过程,可由验证者验证确保内容,可以使整个鉴别过程的可靠性提高。这一点并不限定于鉴别系统,对于鉴别实体装置、在该装置中使用的程序以及鉴 别方法也一样。
图1为示出本发明的实施例1的鉴别系统的构成的模式图。图2为用来说明同一实施例的鉴别过程的模式图。图3为示出同一实施例的实体装置的构成的模式图。图4为用来说明同一实施例的工作的流程图。图5为示出同一实施例的特定(specific)上下文的构造的模式图。图6为示出本发明的实施例2的第1实体装置的构成的模式图。图7为用来说明同一实施例的增加部分的工作的流程图。图8为示出同一实施例的一般(generic)上下文的构造的模式图。图9为示出本发明的实施例3的第1实体装置的构成的模式图。图10及图11为示出同一实施例的特定上下文之间的关系的模式图。图12为示出本发明的实施例4的鉴别系统的构成的模式图。图13为用来说明同一实施例的鉴别过程的模式图。图14为示出同一实施例的用户信息管理装置的构成的模式图。图15为示出同一实施例的匹配过程执行部的构成的模式图。图16为示出同一实施例的生物体鉴别装置(biometric device)的构成的模式 图。图17为用来说明同一实施例的工作的流程图。图18为示出同一实施例的生物体鉴别装置特定上下文的构造的模式图。图19为用来说明同一实施例的匹配过程的流程图。
图20为示出同一实施例的MOC特定上下文的构造的模式图。图21为示出同一实施例的特定上下文间的关系的模式图。图22为示出同一实施例的一般上下文的构造的模式图。图23为示出本发明的实施例5的生物体鉴别装置特定上下文的构造的模式图。图24为说明同一实施例的STOC的特定上下文的构造的模式图。图25为示出本发明的实施例6的鉴别系统的构成的模式图。图26为用来说明同一实施例的用户信息管理装置的工作的流程图。图27为用来说明同一实施例的匹配过程执行部的工作的流程图。图28及图29为示出同一实施例的特定上下文之间的关系的模式图。图30为示出本发明的实施例7的鉴别系统的部分构成的模式图。图31为用来说明同一实施例的工作的流程图。图32为示出同一实施例的鉴别系统的部分构成的模式图。图33为用来说明同一实施例的工作的流程图。
具体实施例方式下面参照附图对本发明的实施例予以详细说明。(实施例1)图1为示出本发明的实施例1的鉴别系统的构成的模式图。图2为用来说明同一 系统的鉴别过程的模式图。鉴别过程,如图2所示,由两个鉴别构成过程P2、P1构成。根据 各鉴别构成过程P2、P1的执行结果得到鉴别结果。另外,各鉴别构成过程P1、P2由互相不 同的第1或第2实体装置10、20执行。在此示出的是鉴别构成过程Pl由第1实体装置10 执行,而鉴别构成过程P2由第2实体装置20执行的示例。此处所谓的鉴别处理(或鉴别过程),指的是确认欲鉴别的对象(人、装置等)是 合法的处理。所谓的合法指的是满足验证者认为是正确的基准的场合。鉴别构成过程,指 的是构成鉴别处理的过程。作为鉴别构成过程,比如,在使用生物体信息的鉴别处理的场合 有1)生物体信息的读取、2)特征信息(characterristic)提取等。另外,也有将1)及2) 合二为一的称为一个鉴别构成过程的情况。这样,在鉴别处理(或鉴别过程)中,大于等于1个的鉴别构成过程,也可由不同 的实体装置个别地执行。后级的鉴别构成过程,既可以参照前级的鉴别构成过程的结果执 行,也可以不参照而执行。本系统,由第1实体装置10、第2实体装置20及验证装置30构成。验证装置30, 由通信部31及上下文验证部32构成。通信部31进行与第1实体装置10的通信。上下文 验证部32验证由第1实体装置10所生成的上下文。图3示出第1实体装置10及第2实体装置20的构成图。各实体装置10、20具备 通信部11、21 ;秘密信息管理部13、23 ;鉴别符(authenticator)生成部14、24以及上下文 生成部15、25。第1实体装置10,具备鉴别构成过程Pl执行部12。第2实体装置20,具备 鉴别构成过程P2执行部22。另外,在第1实体装置10的秘密信息管理部13中预先存储用 来生成鉴别符的秘密信息1,在第2实体装置20的秘密信息管理部23中预先存储用来生成 鉴别符的秘密信息2。
各实体装置10、20的通信部11、21与作为外部装置的验证装置30及自身以外的 实体装置20、10进行通信。第1实体装置10的鉴别构成过程Pl执行部12,执行上述的鉴别构成过程Pl并输 出其执行结果。第2实体装置20的鉴别构成过程P2执行部22,执行上述的鉴别构成过程 P2并输出其执行结果。鉴别符生成部14、24,以所输入的数据(data)作为对象,使用从秘密信息管理部 13、23读出的秘密信息生成鉴别符。所谓的鉴别符,比如,是数字(digital)签名、消息鉴别 代码(Message Authentication Code :MAC)。所谓的秘密信息,比如,在鉴别符是数字签名 时是公钥加密方式的私钥及公钥对(pair)。另外,秘密信息,在鉴别符是消息鉴别代码时是 预先与验证装置30共有的共用钥。在秘密信息是私钥及公钥对时,与私钥对应的预先由基 于公钥基础的认证机构(Certificate Authority :CA)所发行的公钥证书存储于秘密信息 管理部13、23中。上下文生成部15、25,按照特定的格式对鉴别构成过程Pl执行部12或鉴别构成过 程P2执行部22的执行结果和由鉴别符生成部14、24所输出的鉴别符进行整形。另外,上 下文生成部15、25,将得到的整形结果输出。在本文中,将由上下文生成部15、25按照特定 的格式整形后的信息称为特定关联(specific context) 0另外,装置10、20、30内的各部11 15、21 25、31、32,也可以利用硬件模块 (hardware module)或软件模块(software module)实现。这一点对于在以下各实施例中 增加的各部分也一样。下面利用图4的流程图对如上构成的鉴别系统的工作予以说明。(整体工作)如图4所示,在从验证装置30向第1实体装置10发送鉴别请求时(STl),开始执 行鉴别过程。鉴别请求也可包含为安全执行要执行的鉴别过程的指定、鉴别所必需的信息。 在此信息中,比如,有随机数等的口令(challenge)信息等。第1实体装置10,在收到鉴别请求时(ST2),就遵照预先决定的或由鉴别请求所指 定的鉴别过程执行。就是说,第1实体装置10,按照鉴别过程,将鉴别构成过程P2的执行请 求发送到第2实体装置20 (ST3)。执行请求,比如,也可以包含在来自验证装置30的鉴别请 求中所包含的用于安全执行鉴别过程的指定、鉴别的信息;以及为鉴别构成过程P2的执行 所必需且只由第1实体装置10保持的信息。第2实体装置20,在收到鉴别构成过程P2的执行请求时(ST4),就遵照预先决定 的或由来自验证装置30的鉴别请求所指定的鉴别过程执行。就是说,第2实体装置20,按 照鉴别过程,由鉴别构成过程P2执行部22执行鉴别构成过程P2 (ST5)而得到执行结果。下面,在上下文生成部25中,将鉴别构成过程P2的执行结果作为输入,生成整形 为以下构造的第2特定上下文p2。此时,也可以将包含于执行请求中的信息作为输入。图5示出第2特定上下文p2的构造。第2特定上下文p2,按照特定的格式整形, 由标头块(header block)p2h、数据块(data block)(执行内容)p2d及鉴别符块p2a构成。标头块p2h,包含特定此第2特定上下文p2的信息,也还可包含涉及此第2特定上 下文P2的构造的信息。数据块p2d,包含鉴别构成过程P2的执行结果,也还可包含在执行请求中所包含的信息或可由那些信息所特定的信息。此处,所谓的数据块(执行内容)P2d指的 是验证者为判断欲鉴别的对象(人、装置等)是否合法,即是否满足认为是正确的基准 (criterion(criteria))而使用的信息。另外,数据块,指的是对各鉴别构成过程每一个生 成的信息,比如,利用读取过程,从生物体读取而生成的生物体信息(比如,指纹信息)。鉴别符块p2a,是由以下的步骤生成的鉴别符所构成的信息。上下文生成部25,按照特定的格式对鉴别构成过程P2的执行结果进行整形。结 果,上下文生成部25,生成第2特定上下文p2的标头块p2h及数据块p2d (ST6)。鉴别符生 成部24,从秘密信息管理部23读取鉴别符生成用的秘密信息2 (ST7)。然后,鉴别符生成 部24,根据秘密信息,通过对上述的标头块p2h及数据块p2d进行运算,生成鉴别符(ST8)。 最后,上下文生成部25,按照特定的格式对所生成的鉴别符进行整形。结果,上下文生成部 25,生成由鉴别符所构成的鉴别符块p2a。之后,上下文生成部25,将此鉴别符块p2a与步 骤(st印)ST6的标头块p2h及数据块p2d连接而生成第2特定上下文p2 (ST9)。第2实体装置20,将由以上的工作所生成的第2特定上下文p2发送到第1实体装 置 IO(STlO)。之后,第1实体装置10,接收第2特定上下文(STll)。另外,在各实体装置10、20 具备特定上下文验证部19、29的场合,第1实体装置10,通过由特定上下文验证部19对第 2特定上下文p2的格式及鉴别符进行验证,可以验证鉴别构成过程P2是否合法执行。另 外,特定上下文验证部19,在验证时,可以参照秘密信息管理部13内的秘密信息。并且在需 要时,特定上下文验证部19,也可以判断在特定上下文p2内的数据块p2d中所包含的信息 是否满足预先决定的基准。在任何情况下,第1实体装置10,利用鉴别构成过程Pl执行部12执行鉴别构成过 程P1(ST12)并得到执行结果。此时,既可以参照包含于第2特定上下文p2中的内容,也可 以不参照。按哪种方式进行,遵照预先决定的过程或由来自验证装置30的鉴别请求所指定 的过程执行。之后,在上下文生成部15中,输入鉴别构成过程Pl的执行结果而生成整形为以下 的构造的第1特定上下文Pi。此时,也可以输入包含于鉴别请求中的信息及包含于第2特 定上下文p2中的信息。第1特定上下文pi的构造,与第2特定上下文p2的构造相同。第1特定上下文 pl,按照特定的格式整形,由标头块Plh、数据块pld及鉴别符块pla构成。标头块plh,包含特定此第1特定上下文Pl的信息。标头块plh,也还可包含涉及 此第ι特定上下文Pi的构造的信息。数据块pld,包含鉴别构成过程Pl的执行结果。在数据块pld中也还可包含在验 证请求中所包含的信息或可由那些信息特定的信息、在第2特定上下文p2中所包含的信 肩、ο鉴别符块pla,是由以下的步骤生成的鉴别符所构成的信息。上下文生成部15,按照特定的格式对鉴别构成过程Pl的执行结果进行整形。结 果,上下文生成部15,生成第1特定上下文pl的标头块plh及数据块pld (ST13)。鉴别符生 成部14,从秘密信息管理部13读取鉴别符生成用的秘密信息1 (ST14)。然后,鉴别符生成部 14,根据秘密信息,通过对上述的标头块plh及数据块pld进行运算,生成鉴别符(ST15)。最后,上下文生成部15,按照特定的格式对所生成的鉴别符进行整形。结果,上下文生成部 15,生成由鉴别符所构成的鉴别符块pla。之后,上下文生成部15,将此鉴别符块pla与步 骤(st印)ST13的标头块plh及数据块pld连接而生成第1特定上下文pi (ST16)。第1实体装置10,将由以上的工作所生成的第1及第2特定上下文pl、p2作为鉴 别上下文发送到验证装置30 (ST17)。验证装置30,利用上下文验证部32对接收到的第1及第2特定上下文pl、p2的格 式及鉴别符进行验证(ST18、ST19)。上下文验证部32,比如,在鉴别符是数字签名的场合, 根据对应的公钥验证鉴别符。另外,上下文验证部32,比如,在鉴别符是消息鉴别代码的场 合,根据预先与实体装置10、20共有的共用密钥,验证鉴别符。如果鉴别符的验证失败(ST19 ;NG),则验证装置30,判断为异常而结束处理 (ST20)。另一方面,如果鉴别符的验证成功(ST19 ;0K),则可以确认各鉴别构成过程P2、 Pl是由合法的实体装置20、10执行和得到利用实体装置20、10的秘密信息所确保了鉴别 结果。于是,在鉴别符的验证成功时,验证装置30就正常地结束处理(ST21)。如果还有需 要,验证装置30也可以不结束处理,而判断在特定上下文pi、p2内的数据块pld、p2d所包 含的信息是否满足鉴别成功的基准。如果该结果不满足基准(ST19;NG),就判断为鉴别失 败而结束处理(ST20),而如果满足基准(ST19;0K),就判断为鉴别成功而正常地结束处理 (ST21)。如上所述,根据本实施例,因为验证装置30可以根据鉴别符验证各实体装置10、 20进行的各鉴别构成过程的执行内容,故该管理主体(各鉴别实体装置)可以确保各鉴别 构成过程,可由验证者验证确保内容,可以使整个鉴别过程的可靠性提高。详细言之,借助各鉴别构成过程所属的管理主体确保有关构成鉴别的过程的语 句,以不依赖客户机的鉴别环境的形式进行综合,通知验证者的构成,可以由任意验证者对 验证结果进行验证,可以提高整个验证过程的可靠性。另外,对于在鉴别的构成过程被分离为多于等于1个时,或这些构成过程P2、P1由 分别不同的实体装置20、10执行时,或后级的鉴别构成过程Pl是参照前级的鉴别构成过程 P2的结果执行时,或不参照而执行时的全部构成过程及实体装置的组合,验证装置30也可 以验证验证过程的合法性及各实体装置中的鉴别构成过程执行结果。另外,在本实施例中,也可以是各秘密信息管理部13、23将公钥密码方式的密钥 作为秘密信息进行存储,鉴别符生成部14根据此密钥,通过变形生成鉴别符作为公钥密码 方式的数字签名。在此变形例的场合,通过验证各实体装置10、20的公钥证书,可以验证各 实体装置10、20的合法性根据作为外部鉴别基础的公钥基础得到确保。(实施例2)本发明的实施例2,是在实施例1中,在第1实体装置10中增加了一般上下文生成 部16的鉴别系统的示例。图6示出第1实体装置10的构成。图7为用来说明利用一般上 下文生成部16所增加的部分的工作的流程图。一般上下文生成部16,对可以特定第1特定上下文pi和第2特定上下文p2的信 息及利用鉴别符生成部14、24所输出的鉴别符按照特定的格式整形并将其结果输出。图8示出一般上下文的构造。一般上下文g,由标头块gh及鉴别符块ga构成。标头块gh包含可以单值确定第1及第2特定上下文pi、p2的信息。标头块gh,进一步也可 以包含有关一般上下文g的构造的信息、鉴别请求中所包含的信息。鉴别符块ga,是由以下 的步骤生成的鉴别符所构成的信息。第1实体装置10中的工作流程,一直到第1特定上下文Pl的生成,与实施例1相 同。接着,一般上下文生成部16,生成一般上下文g的标头块gh。鉴别符生成部14,从秘密 信息管理部13读取秘密信息1。鉴别符生成部14,根据此秘密信息1,通过对上述的一般上 下文g的标头块gh、第1特定上下文pi以及第2特定上下文p2整体进行运算,生成鉴别 符。最后,一般上下文生成部16,按照特定的格式对所生成的鉴别符进行整形。结果,一般 上下文生成部16,生成由鉴别符所构成的鉴别符块ga。之后,一般上下文生成部16,将此鉴 别符块ga与上述的标头块gh连接而生成一般上下文g。然后,一般上下文生成部16,将此 一般上下文g输出。第1实体装置10,将由上述的工作所得到的一般上下文g、第1及第2特定上下文 pi、p2作为鉴别上下文ac发送到验证装置30。验证装置30,利用上下文验证部32对所接收到的一般上下文g的格式及鉴别符进 行验证。利用此验证,可以很容易确认是按照正确的鉴别过程所生成的鉴别上下文ac。另 外,可以确认此确认结果可由作为整个鉴别过程的管理责任者的实体的秘密信息确保。进 而,可以很容易特定管理责任者。必要时,上下文验证部32,也可以执行第1及第2特定上下文pi、p2的格式及鉴 别符的验证。利用此验证,可以确认各鉴别构成过程P2、Pl是由合法的实体装置20、10执 行的。另外,可以确认是由实体装置内的秘密信息所确保的鉴别结果。进而,可以了解鉴别 构成过程的执行结果的详情。如果还有必要,验证装置30,也可以判断特定上下文pi、p2内的数据块pld、p2d 中所包含的信息是否满足鉴别成功的基准。如上所述,根据本实施例,在实施例1的作用效果之上,在可以确认鉴别上下文由 作为整个鉴别过程的管理责任者的实体的秘密信息确保的同时,可以很容易特定管理责任
者ο另外,在本实施例中,叙述的是在实施例1的第1实体装置10的内部增加了一般 上下文生成部16的场合。然而,并不限定于这一场合,即使是第1实体装置10以外的实体 装置,或不生成特定上下文的实体装置生成一般上下文g也可以得到同样的效果。(实施例3)本发明的实施例3,是在实施例1及2中,在第1实体装置10的上下文生成部15 具备上下文信息关联附加部17的示例。图9示出第1实体装置10的构成。上下文信息关联附加部17,是使鉴别构成过程Pl接受第2特定上下文p2并执行 地予以关联的部分。结果,上下文生成部15将与第2特定上下文p2附加关联的第1特定 上下文Pl进行输出。这样,在上下文间存在层次结构的场合,将先生成的上下文称为下位 上下文,而将后生成的上下文称为上位上下文。由于图7所示的一般上下文,在全部特定上 下文生成后生成,是最上位的上下文。图10示出由上下文信息关联附加部17而与第2特定上下文p2相关联地生成的 第1特定上下文Pl的一例。此处,通过在第1特定上下文Pl的数据块内设置第2特定上
15下文P2,进行关联。结果,验证装置30,可以很容易从鉴别上下文ac检测出鉴别构成过程 间的依存关系。接着图11示出利用上下文信息关联附加部17而与第2特定上下文p2相关联地 生成的第ι特定上下文Pi的示例。其中,通过使第ι特定上下文Pi的标头块具有参照信 息,进行关联。参照信息,是可单值特定第2特定上下文p2的信息。在图10中叙述的示例 中,由于将特定上下文Pi、P2配置成为嵌套状,由于在验证时必须进行递归验证,故在验证 装置30中必须配置多资源量(比如,存储器数量或电路规模)。然而,在图11的示例中,由 于特定上下文Pi、P2是并列配置,可以逐次进行验证,所以在验证装置30的资源量少时是 有效的。如上所述,根据本实施例,在实施例1或实施例2的作用效果之外,在图10所示的 嵌套结构的场合,可以明确地表现各个特定上下文涉及到的鉴别构成过程的依存关系。另外,在图11所示的并列结构的场合,在明确表现特定上下文间的依存关系的同 时,可以将各特定上下文并列进行关联。据此,可以削减各个特定上下文的信息量,可以减 轻上下文生成处理及分析处理的负担。(实施例4)实施例4是实施例1 3的变形例,是特别使用借助生物体信息的鉴别而具体示 出的示例。图12示出对由服务器装置30’、用户信息管理装置10’和生物体鉴别装置20’所 构成的鉴别系统(以下称其为MOC模型Match on Card模型)应用实施例1的示例。另外,服务器装置30’,具备为提供某种服务而进行用户鉴别的功能。用户信息管 理装置10’,具备管理在鉴别时参照的用户的生物体信息(以下称其为参照生物体信息)的 功能及将此参照生物体信息与在鉴别时从用户读取的生物体信息(以下称其为采样生物 体信息(biometric sampleinformation)进行匹配的功能。生物体鉴别装置20’,具备从成 为鉴别对象的用户提取采样生物体信息的功能。本例,如图13所示,对于来自服务器装置30’的鉴别请求的验证过程,由用户信息 管理装置10’进行的过程P1’、生物体鉴别装置20’进行的过程P2’两个过程构成。另外, 根据过程P2’执行的结果,执行过程P1’。用户信息管理装置10’,将过程Ρ2’、ΡΓ的执行 结果作为鉴别上下文回复到服务器装置30’。服务器装置30’,由通信部31及上下文验证部32构成。通信部31,与用户信息管 理装置10’所进行通信。上下文验证部32,分析用户信息管理装置10’生成的上下文。用户信息管理装置10’的构成示于图14。本例的用户信息管理装置10’,是在实 施例2中,将第1实体装置10的鉴别构成过程Pl执行部12置换为匹配过程执行部12’的 装置。与此同时,具备将通信部11及上下文生成部15的输入输出目的地作为匹配过程执 行部12’的通信部11’及上下文生成部15’。另外,作为用户信息管理装置10’,也可使用 IC卡、智能卡等装置。匹配过程执行部12’的构成示于图15。匹配过程执行部12’,由用户信息管理部 12’ a及生物体信息匹配部12’ b构成。用户信息管理部12’ a,存储作为用户信息管理装置10’的所有者的人物的参照生 物体信息。另外,用户信息管理部12’a,优选是具有抗篡改性。另外,在用户信息管理装置
1610’的秘密信息管理部13中所存储的秘密信息也可以存储到用户信息管理部12’ a中。生物体信息匹配部12’ b,对从生物体鉴别装置20’接收到的采样生物体信息和存 储于用户信息管理部12’ a中的参照生物体信息进行匹配处理,将匹配结果输出到上下文 生成部15,。生物体鉴别装置20’的构成图示于图16。本例的生物体鉴别装置20’,是在实施 例1中,将第2实体装置20的鉴别构成过程P2执行部22置换为读取过程执行部22’的装 置。与此同时,具备将通信部21及上下文生成部25的输入输出目的地作为读取过程执行 部22,的通信部21,及上下文生成部25,。读取过程执行部22’,进行从作为鉴别对象的人物读取生物体信息的处理。(整体工作)用来说明服务器装置30’的流程图与用来说明实施例1的验证装置30的工作的 流程图一样。接着,用来说明用户信息管理装置10’的工作的流程图示于图17。用户信息管理装置10’,接收来自服务器装置30’的鉴别请求(ST2)。在此鉴别 请求中优选是包含在服务器装置30’中所生成的作为随机数的口令、用来识别服务器装置 30,的请求者(requester)等信息。接着,用户信息管理装置10’,将生物体鉴别装置过程的执行请求发送到生物体鉴 别装置20’(ST3’)。在此执行请求中,优选是包含在服务器装置30’中所生成的口令、用来 识别用户信息管理装置10’的请求者等信息。生物体鉴别装置20’,在接收到此执行请求时(ST4’),执行读取所要求鉴别的人 物的生物体信息的处理(ST5’)而得到采样生物体信息。其中,优选是将所读取的生物体信 息预先变换为适于进行匹配的形式。接着,上下文生成部25’,根据得到的采样生物体信息,生成具有图18所示的结构 的生物体鉴别装置特定上下文P2。另外,图18所示的特定上下文,是按照本例的执行环境 简表文件(profile)的规定构成的。在定义另外的执行环境简表文件的场合,也可以改变 图18所示的特点上下文的结构。生物体鉴别装置特定上下文p2,由标头块p2h、数据块p2d及鉴别符块p2a构成。 标头块p2h,包含生物体鉴别装置标识符、生成时日、口令、请求者。生物体鉴别装置标识符 是用于单值识别此生物体鉴别装置特定上下文P2的信息。生成时日是表示生成此生物体 鉴别装置特定上下文的时日的信息。口令是在生物体鉴别装置过程执行请求中所包含的随 机数。数据块P2d,既可以包含在生物体信息读取处理中所取得的采样生物体信息,也可以 包含作为单向函数的散列(hash)值。鉴别符块p2a,包含用来确保此生物体鉴别装置特定 上下文P2的完整性的鉴别符。另外,作为鉴别符的公共例,在实施例1的变形例中,示出利 用基于公钥基础的公朝证书对的鉴别符。上下文生成部25’,生成生物体鉴别装置特定上下文p2的标头块p2h及数据块 p2d(ST6)。鉴别符生成部24,从秘密信息管理部23读取鉴别符生成用的秘密信息(ST7)。 然后,鉴别符生成部24,根据秘密信息,通过对上述的标头块p2h及数据块p2d进行运算, 生成鉴别符(ST8)。最后,上下文生成部25’,按照特定的格式对此鉴别符进行整形。结果, 上下文生成部25’,生成由鉴别符所构成的鉴别符块p2a。之后,上下文生成部25’,将此鉴 别符块p2a与步骤ST6的标头块p2h及数据块p2d连接而生成生物体鉴别装置特定上下文p2(ST9,)。生物体鉴别装置20’,将由以上的工作所生成的生物体鉴别装置特定上下文p2及 采样生物体信息发送到用户信息管理装置10’ (STlO' ) O用户信息管理装置10’,在收到生物体鉴别装置特定上下文p2时(ST11’ )时,执 行图19所示的匹配过程(ST12’)。另外,在执行匹配过程之际,在必须对从生物体鉴别装 置20’接收到的生物体鉴别装置特定上下文p2进行鉴别的场合,也可以配置用来进行特定 上下文的分析及验证的功能部。在匹配过程中,从用户信息管理部12’ a读取参照生物体信息(ST12’ _1)。之后, 进行所读取的参照生物体信息和从生物体鉴别装置20’所接收到的采样生物体信息的匹配 处理(ST12’ -2)而得到匹配结果。然后,输出匹配结果(ST12’ -3)。另外,此匹配结果,既可以表示为OK(—致)/NG(不一致),也可以示出用来鉴别 的判断的材料。在判断材料中,比如,可使用参照生物体信息及采样生物体信息的相似度 (similarity)。另外,在进行匹配处理之前,优选是将采样生物体信息和参照生物体信息变 换为适于匹配的形式。之后,上下文生成部15,,生成整形为图20所示的结构的MOC特定上下文pi。MOC 特定上下文Pl,由标头块plh、数据块Pld及鉴别符块Pla构成。标头块plh,包含特定上下文标识符、配置文件名、特定上下文种类、生物体信息种 类、发行者、主体者(subject)、请求者、生成时日、口令。特定上下文标识符是为单值识别此 特定上下文而分配的标识符。特定上下文种类是用于识别此特定上下文的种类的信息。发 行者是用来单值识别发行了此特定上下文的实体的信息。主体者是用来单值识别接受此特 定上下文的发行的实体的信息。请求者是用来识别请求此特定上下文的实体的信息。生成 时日是表示生成了此特定上下文的时日的信息。口令是由请求此特定上下文的实体所生成 的随机数。数据块pld,包含生物体数据信息、匹配算法(algorithm)、匹配结果、生物体鉴别 装置特定上下文。生物体数据信息包含与在匹配中使用的参照生物体信息相关的信息。匹 配算法是在进行参照生物体信息和采样生物体信息匹配时利用的算法。匹配结果是表示进 行匹配处理后的结果的信息。鉴别符块pla包含用来确保此生物体鉴别装置特定上下文的完整性的鉴别符。另外,为了使两个特定上下文pl、p2相关联,与上述一样,可以采用嵌套结构或并 列结构。在嵌套结构的场合,如图20所示,在MOC特定上下文pl的数据块pld中可以包含 生物体鉴别装置特定上下文P2。在并列结构的场合,如图21所示,在MOC特定上下文pl中 可以包含用来单值识别生物体鉴别装置特定上下文P2的关联特定上下文标识符(比如,生 物体鉴别装置标识符)。上下文生成部15’,生成MOC特定上下文pl的标头块plh及数据块pld (ST13)。鉴 别符生成部14,根据秘密信息,通过对上述的标头块plh及数据块pld进行运算,生成鉴别 符(ST14、ST15)。最后,上下文生成部15’,按照特定的格式对此鉴别符进行整形。结果,上 下文生成部15’,生成由鉴别符组成的鉴别符块pla。之后,上下文生成部15’,将此鉴别符 块pla与步骤ST13的标头块plh及数据块pld连接而生成MOC特定上下文pl (ST16’ )。
一般上下文生成部16,由执行环境简表及MOC特定上下文生成整形为图22所示结构的一般上下文g。一般上下文g,由标头块gh及鉴别符块ga构成。标头块gh包含版本(version) 信息、发行者、主体者、请求者、口令、生成时间、有效期间、简表列表(list)pfL、特定上下文 列表idL。版本信息是表示此复合鉴别上下文的结构的版本的信息。发行者是用来单值识 别发行了此一般上下文g的实体的信息。请求者是用来单值识别请求此一般上下文g的实 体的信息。口令是由请求此一般上下文g的实体所生成的随机数。生成时间表示生成此一 般上下文g的时日的信息。有效期间是表示此一般上下文g使用有效的期间的信息。简 表列表PfL是与该一般上下文g内的特定上下文相对应的简表的列表。特定上下文列表 (context) idL是单值识别在此一般上下文g内存在的特定上下文pi、p2、...的标识符的 列表。鉴别符块ga内的一般上下文鉴别符,是用来确保此一般上下文的完整性的信息。一般上下文生成部16,生成一般上下文g的标头块gh (ST13G)。鉴别符生成部14, 从秘密信息管理部13读取秘密信息(ST14G)。鉴别符生成部14,根据此秘密信息1,通过对 上述的一般上下文g的标头块gh、M0C特定上下文pi整体进行运算,生成鉴别符(ST15G)。 但是,在利用嵌套结构对MOC特定上下文pi进行了整形的场合,必须在对象中也包含生物 体验证装置特定上下文P2而生成鉴别符。最后,一般上下文生成部16,按照特定的格式对 所生成的鉴别符进行整形。结果,一般上下文生成部16,生成由鉴别符组成的鉴别符块ga。 之后,一般上下文生成部16,将此鉴别符块ga与上述的标头块gh连接而生成一般上下文 g(ST16G)。用户信息管理装置10’,将利用上述工作所得到的一般上下文g,特定上下文pi、 P2作为鉴别上下文ac发送到服务器装置30’ (ST17)。服务器装置30,的工作与实施例2的验证装置30的工作一样。如上所述,根据本实施例,将实施例1 3应用于生物体鉴别,可以得到与实施例 1 3同样的作用效果。(实施例5)本实施例是实施例4的变形例,是生物体鉴别装置20’具备用户信息管理装置10’ 所具备的匹配功能的鉴别系统(以下称其为STOC模型=StoreOn Card (卡上存储)模型)。(生物体鉴别装置过程)用户信息管理装置10’将包含参照信息的生物体鉴别装置过程执行请求发送到生 物体鉴别装置20’。生物体鉴别装置20’,将收到的参照信息与已读取的采样生物体信息匹配,利用匹 配结果生成整形为图23所示的结构的生物体鉴别装置特定上下文p2。生物体鉴别装置 20’,将此生物体鉴别装置特定上下文p2发送到用户信息管理装置10’。用户信息管理装置10’,由所接收到的生物体鉴别装置特定上下文p2生成整形为 图24所示的结构的STOC特定上下文pi并将得到的STOC特定上下文pi发送到服务器装 置 30,。如上所述,根据本实施例,可以将实施例4应用于STOC模型。(实施例6)本实施例是实施例4的变形例,如图25所示,是具有多于等于2个的生物体鉴别装置20广、202”的鉴别(以下称其为多模型(multimodal))系统。所谓的多模型生物体鉴别是通过将多于等于2种的生物体信息的匹配结果融合 进行判定而可以实现更高精度的生物体鉴别的生物体鉴别。(用户信息管理装置鉴别流程)图26示出用来说明用户信息管理装置10”的工作的流程图。其中,生物体鉴别装 置过程执行请求被发送到两个生物体鉴别装置20广、202”。另外,如图27所示,在匹配过程 执行部12’中,并行执行两个匹配处理(ST12’-1 ST12’-3),将两个匹配结果融合进行判 定(ST12’-4)并将判定结果输出(ST12’-5)。另外,在多模型鉴别的判定技术中,除了并行 判定多个匹配结果的方法之外,还存在串行判定匹配结果的方法。在串行判定的场合,通过 对各匹配过程生成特定上下文,可以生成确保各个鉴别过程的鉴别上下文。另外,在多模型系统中,在服务器装置30”进行各个鉴别过程的鉴别的场合,需要 将各个鉴别过程的附加关联在鉴别上下文内进行。如图28所示,整形为嵌套结构的鉴别上 下文ac,利用嵌套结构的特定上下文pl、p2、p3,可以实现各个鉴别过程的关联。另外,如图 29所示,整形为包含并行结构的嵌套结构的鉴别上下文ac,通过上位结构保持下位结构的 参照信息,可以实现特定上下文pl、p2、p3之间的层次结构,实现各个鉴别过程的关联。另外,本实施例,可应用于生物体鉴别装置20广、202”不执行匹配处理的执行环境 简表。然而,本实施例,并不限定于此,也可应用于各生物体鉴别装置20广、202”执行匹配处 理,将多个匹配结果在用户信息管理装置10”内融合的执行环境简表。如上所述,根据本实施例,可以将实施例4应用于多模型生物体鉴别。(实施例7)本实施例是实施例1 6的变形例,示出使用涉及鉴别系统的执行环境简表的示 例。在本实施例中,如图30所示,在鉴别系统实体装置(以下称其为鉴别实体装 置)10e、20ie、202e和客户机装置40之间可对应的执行环境简表进行协商。另外,鉴别实体 装置10e、20ie、202e,与上述的用户信息管理装置10、10,、10”及生物体鉴别装置20、20,、 20”相对应。客户机装置40与进行鉴别实体装置的代理的鉴别系统实体代理装置相对应。此处,所谓的执行环境简表规定执行鉴别过程的鉴别系统实体构成、鉴别构成过 程相对鉴别系统实体的配置状况、在鉴别系统实体间的信息交换规定(protocol)及安全 实施规定(security enforcement specification)等等。在本实施例中,示出的是作为汇总在客户机环境下可以对应的执行环境简表的装 置,具有作为鉴别系统实体代理装置的客户机装置40的示例。客户机装置40,不具有鉴别 构成过程,是鉴别实体装置10e、20ie、202e和验证装置30之间的媒介或鉴别实体装置IOe 和鉴别实体装置20ie、202e之间的媒介。客户机装置40与一个或多于等于1个的鉴别实体装置10e、20ie、202e...相连 接。客户机装置40,充当各鉴别实体装置10e、20ie、202e间的通信媒介,实施鉴别过程整 体的操作(handling)处理。客户机装置40,比如,也可以应用通用个人计算机及便携式 (handheld)设备等等。具体言之,客户机装置40,如图30所示,具备通信部41、控制部42、执行环境简表 询问部43及执行环境简表管理部44。
20
通信部41进行与外部装置的通信。控制部42,进行鉴别过程整体的操作处理。执行环境简表询问部43,是用于询问在各鉴别实体装置10e、20ie、202e中可以对 应的执行环境简表的部分。执行环境简表管理部44,是用于管理在客户机环境中可对应的执行环境简表的部 分。鉴别实体装置10e、20ie、202e,具有未图示的实施例1 6的各部11 17、21 25,此外,还具有执行环境简表应答部18e、26e。另外,有具有和不具有特定上下文验证部 19,29的场合。另外,执行环境简表应答部18e、26e,用于对来自客户机装置40的执行环境 简表询问进行应答。在以下的步骤中示出执行环境简表协商处理的一例。优选是客户机装置40,在鉴 别实体装置10e、20ie、202e在新连接的阶段中,对于各鉴别实体装置10e、20ie、202e,被执行 下述步骤。下述步骤的处理流程图,示于图31。另外,在图30中,为了简化,将执行环境简表 询问消息(pofile querymessage)及执行环境简表应答消息(profile response message) 记述为执行环境协商消息(profile negotiation message)(询问/应答)。客户机装置40,生成执行环境简表询问消息(ST31),将所得到的执行环境简表询 问消息发送到鉴别实体装置10e、20ie、202e(ST32)。鉴别实体装置10e、20ie、202e,接收执行环境简表询问消息(ST33),取得该询问内 容(ST34)。之后,鉴别实体装置10e、20ie、202e,生成包含自身可对应的执行环境简表和安 装的鉴别构成过程的执行环境简表应答消息(ST35),将所得到的执行环境简表应答消息回 复发送到客户机装置40 (ST36)。客户机装置40,利用通信部41,接收执行环境简表应答消息(ST37)。执行环境简 表应答内容,经过控制部42,传送到执行环境简表管理部44(ST38)。执行环境简表管理部44,将来自各鉴别实体装置10e、20ie、202e的应答内容作为 执行环境简表对应信息(supported profile information)进行管理(ST39)。执行环境简 表对应信息,优选是与鉴别实体装置10e、20ie、202e相对应地进行管理。客户机装置40,由所管理的执行环境简表对应信息,判定客户机环境可对应的执 行环境简表(ST40),将判定的结果,可对应的执行环境简表在执行环境简表管理部44内登 记(ST41)。在本实施例中,作为可否对应的判定基准,可以与可实施执行环境简表的鉴别实 体装置10e、20ie、202e—致的场合相对应。不过,在判定基准中也可以包含其他的判定要 素,在该场合,在对应执行环境简表询问消息内也可以包含判定要素的询问内容。另外,客户机装置40,定期确认各鉴别实体装置10e、20ie、202e的连接,在连接已 切断的场合,优选是将执行环境简表管理部44内的执行环境简表对应信息及可对应的执 行环境简表删除。在存在可代替的执行环境简表对应信息的场合,也可以不删除可对应的 执行环境简表。下面示出鉴别符是数字签名的场合的由验证装置对客户机环境指定执行环境简 表的处理的一例。图32为示出涉及本实施例的执行环境简表指定处理的客户机装置和验证装置的
21系统概念和功能块的构成的示图。验证装置30e,具有未图示的实施例1 6中的各部31、32的功能,此外,还具有客 户机执行环境简表询问部34、存储部35、客户机执行环境简表指定部36。其中,客户机执 行环境简表询问部34,是查询在客户机环境中可以实施的执行环境简表的部分。存储部35 是存储安全策略(securitypolicy)的部分。客户机执行环境简表指定部36,是指定在客户机环境中实施的执行环境简表的部 分。另外,安全策略是在指定执行环境简表之际,成为判断基准的信息。在本实施例中,虽 然与安全策略的形态无关,但优选是将可指定的执行环境简表表示为带有优先顺序的列表 形式。在本实施例的客户机环境中,与上述示例一样,示出的是客户机装置40进行媒介 代理的示例。但是,并不限定于此,也可以是鉴别实体装置10e、20ie、202e和验证装置30直 接协商的变形例。客户机装置40,除了上述各部41 44之外,还具有客户机执行环境简表应答部 45。客户机执行环境简表应答部45,是对来自验证装置30的执行环境简表询问进行应答的 部分。下面以以下的步骤对验证装置30指定执行环境简表的执行环境简表指定处理的 一例进行说明。另外,在客户机环境内的执行环境简表协商处理,如上述处理步骤ST31 ST41,在事先执行。下述步骤的处理流程图示于图33。另外,为简化图起见,将客户机执行 环境简表询问消息、客户机执行环境简表应答消息及执行环境简表指定消息作为客户机执 行环境简表协商消息进行说明。验证装置30e,生成用来询问是否存在可实施的执行环境简表的执行环境简表询 问消息(ST51),将所得到的执行环境简表询问消息发送到客户机装置40(ST52)。客户机装置40,接收执行环境简表询问消息(ST53),取得该询问内容(ST54)。 其后,客户机装置40,确认在执行环境简表管理部44内的可对应的执行环境简表列表 (ST55),生成包含确认结果的执行环境简表应答消息(ST56)。执行环境简表应答消息,在存在多个可对应的执行环境简表的场合,包含可对应 的执行环境简表列表。另外,在不存在可对应的执行环境简表的场合,执行环境简表应答消 息,包含不存在与客户机环境可对应的执行环境简表的内容。在任一种情况下,客户机装置40,都将执行环境简表应答消息发送到验证装置 30e(ST57)。另外,执行环境简表应答消息,在包含不存在可对应的执行环境简表的内容时, 结束这一处理。在以下的步骤中,对执行环境简表应答消息包含可对应的执行环境简表列 表的场合进行说明。验证装置30e,接收客户机执行环境简表应答消息(ST58),取得可对应的执行环 境简表列表(ST59 ;YES)。在不存在可对应的执行环境简表列表时(ST59 ;NO),此处理结束。验证装置30e,判定在客户机执行环境简表指定部36中,是否存在客户机环境可 对应的执行环境简表列表(ST60),在存在时(ST60 ;YES),从该列表中选择与安全策略相应 的执行环境简表(ST61),生成指定该执行环境简表的执行环境简表指定消息(ST62)。另 外,在列表内不存在适合安全策略的执行环境简表的场合(ST60 ;NO),生成包含内容表示 不存在的执行环境简表指定消息(ST62)。
在任一种情况下,验证装置30e,都将所生成的执行环境简表指定消息发送到客户 机装置40 (ST63)。客户机装置40,接收执行环境简表指定消息,确认应该执行的执行环境简表。在这一步骤之后,优选是分别执行实施例1 6。在此场合,客户机装置40,利用控制部42,根据所确认的执行环境简表,将鉴别请 求发送到具有对应的执行环境简表的鉴别实体装置10e、20ie、202e而执行鉴别构成过程。另外,在鉴别构成过程的执行中间,在各装置10e、20ie、202e及30e之间的通信,客 户机装置40既可以充当媒介代理也可以不充当。如上所述,根据本实施例,因为除了实施例1 6的作用效果之外,在执行鉴别构 成过程之前,在各鉴别实体装置10e、20ie、202e的鉴别构成过程的执行环境简表之中,登记 客户机环境可对应的执行环境简表,因此可以在与客户机环境之间确立一致的执行环境简表。另外,因为在执行鉴别构成过程之前,验证装置30”对客户机装置40指定执行环 境简表,故可以执行由验证装置30”主导的鉴别构成过程。另外,在上述各实施例中记述的方法中,作为可以由计算机执行的程序,也可以存 储到磁盘(软(fropppy,登录商标)盘、硬盘等等)、光盘(⑶-ROM、DVD等)、磁光盘(MO)、 半导体存储器等存储媒体之中进行发布。另外,作为这一存储媒体,可以存储程序,并且如果是计算机可读存储媒体,其存 储形式是任何形态都可以。另外,根据从存储媒体安装到计算机的程序的指示在计算机中工作的OS (操作系 统)、数据库管理软件、网络软件等中间件(middleware)等也可以执行用来实现本实施例 的各处理的一部分。此外,本发明的存储媒体不限于与计算机独立的媒体,也包括将通过LAN或因特 网等所传送的程序下载后存储或暂时存储的存储媒体。此外,存储媒体并不限定于一种,在本发明的存储媒体中也可包括由多种媒体执 行本实施例的处理的场合,媒体的构成可以是任一种构成。另外,本发明的计算机,根据存储于存储媒体中的程序执行本实施例的各处理,其 构成可以是由一个个人计算机等所构成的装置、网络连接有多个装置的系统等任何的构 成。另外,所谓的本发明的计算机,并不限定于个人计算机,也包含信息处理设备中所 包括的运算处理装置、微型计算机等,是可以借助程序实现本发明的功能的设备、装置的总 称。另外,本申请的发明,并不限定于原样不变的上述实施例,可以在实施阶段在不脱 离其主要思想的范围内使构成要素改变而实施具体化。另外,通过在上述实施例中说明的 多个构成要素的适宜组合可以形成各种发明。比如,从在实施例中所示出的全部构成要素 中删除几个也可以。另外,也可以将在不同实施例中的构成要素进行适宜的组合。
2权利要求
一种鉴别系统,其具有将构成采用生物体鉴别的鉴别处理的鉴别构成过程个别执行的多个鉴别实体装置(10,20)和用来验证由上述各鉴别实体装置所执行的上述鉴别处理的验证装置(30),至少一台上述鉴别实体装置所执行的上述鉴别构成过程,参照与该鉴别实体装置不同的上述鉴别实体装置所执行的上述鉴别构成过程的结果来执行,其中,上述各鉴别实体装置具有为了将用于上述验证装置的验证的秘密信息予以存储而构成的秘密信息存储装置(13,23);为了由上述鉴别构成过程的执行内容、基于上述秘密信息生成用于上述验证的鉴别符而构成的鉴别符生成装置(14,24);为了由上述鉴别符及上述执行内容生成按照特定的格式的特定上下文而构成的特定上下文生成装置(15,25);以及为输出上述特定上下文而构成的特定上下文输出装置(15,25);上述验证装置具有具备与外部装置通信的通信功能的通信装置(31);以及为验证由上述各鉴别实体装置所生成并且由上述通信装置所接收的各上下文而构成的上下文验证装置(32)。
2.如权利要求1所述的鉴别系统,其中在上述各鉴别实体装置(10,20)中,至少一台鉴别实体装置(10)具有 为了与上述鉴别处理相关联地由从其他鉴别实体装置所输出的全部特定上下文,根据 上述秘密信息,生成上述验证用的全体鉴别符而构成的全体鉴别符生成装置(14);为了由上述全体鉴别符及上述全部特定上下文生成按照特定的格式的一般上下文而 构成的一般上下文生成装置(16);以及为了将上述一般上下文向上述验证装置输出而构成的一般上下文输出装置(16)。
3.如权利要求1所述的鉴别系统,其中, 上述各鉴别实体装置(10,20)具有为了验证从其他鉴别实体装置所输入的特定上下文而构成的特定上下文验证装置 (19,29)。
4.如权利要求1所述的鉴别系统,其中, 上述上下文验证装置(32)具有为了将由上述各鉴别实体装置所生成的各上下文,根据与上述秘密信息相同的秘密信 息或相对应的秘密信息进行验证而构成的验证部(32)。
5.如权利要求1所述的鉴别系统,其中,在上述各鉴别实体装置(10,20)中,至少一台鉴别实体装置(10)具有 为了表现在与上述鉴别构成过程的依存关系相关联的特定上下文之间的层次结构,以 包含从其他鉴别实体装置所输入的特定上下文的方式生成自身装置的特定上下文地构成 的上下文信息关联附加装置(17)。
6.如权利要求1所述的鉴别系统,其中,在上述各鉴别实体装置(10,20)中,至少一台鉴别实体装置(10)具有 为了表现在与上述鉴别构成过程的依存关系相关联的特定上下文之间的层次结构,以包含从其他鉴别实体装置所输入的特定上下文的参照信息的方式生成自身装置的特定上 下文地构成的上下文信息关联附加装置(17)。
7.如权利要求4所述的鉴别系统,其中,上述验证装置(30)具有为了发送上述鉴别处理的执行请求而构成的鉴别请求装置 (31);在上述各鉴别实体装置(10,20)中,至少一台鉴别实体装置(10)具有 为了根据上述鉴别处理的执行请求执行对应的鉴别构成过程,而以将执行请求发送到 其他鉴别实体装置(20)的方式构成的发送装置;以及为了将从该其他的鉴别实体装置所回复的特定上下文和自身装置所生成的至少一个 特定上下文回复而构成的鉴别应答装置。
8.如权利要求1所述的鉴别系统,其中,在上述验证装置和上述各鉴别实体装置之间具有进行通信中继的客户机装置(40); 上述客户机装置具有为了对上述各鉴别实体装置,询问规定了鉴别构成过程的执行环境内容的执行环境简 表而构成的执行环境询问装置(43);为了将从上述各鉴别实体装置所应答的执行环境简表与对应的各鉴别实体装置相关 联地进行存储而构成的执行环境存储装置(44);以及为了在上述已存储的执行环境简表之中,登记客户机环境可对应的执行环境简表而构 成的登记装置(44)。
9.如权利要求8所述的鉴别系统,其中,上述验证装置具有,为了对上述客户机装置指定上述鉴别构成过程的执行环境简表而 构成的执行环境简表指定装置(36);上述客户机装置具有,为了根据上述指定在具有对应的执行环境简表的鉴别实体装置 执行鉴别构成过程而构成的装置(42)。
10.如权利要求1所述的鉴别系统,其中,上述秘密信息存储装置(13,23)具有,为了存储公钥密码方式的密钥作为上述秘密信 息而构成的密钥存储部;上述鉴别符生成装置(14,24)具有,为了根据上述密钥,作为上述公钥密码方式的数 字签名生成上述鉴别符而构成的签名生成部。
11.一种鉴别实体装置,其是在鉴别系统中使用的鉴别实体装置,该鉴别系统具有对构 成采用生物体鉴别的鉴别处理的鉴别构成过程个别执行的多个鉴别实体装置(10,20)和 用来验证由上述各鉴别实体装置执行的上述鉴别处理的验证装置(30),至少一台上述鉴别 实体装置所执行的上述鉴别构成过程,参照与该鉴别实体装置不同的上述鉴别实体装置所 执行的上述鉴别构成过程的结果来执行,该鉴别实体装置具备为了将用于上述验证装置的验证的秘密信息予以存储而构成的秘密信息存储部(13,23);为了由上述鉴别构成过程的执行内容基于上述秘密信息生成用于上述验证的鉴别符 而构成的鉴别符生成部(14,24);为了由上述鉴别符及上述执行内容生成按照特定的格式的特定上下文而构成的特定上下文生成部(15,25);以及为输出上述特定上下文而构成的特定上下文输出部(15,25)。
12.如权利要求11所述的鉴别实体装置,其中,具备为了与上述鉴别处理相关联地由从其他鉴别实体装置所输出的全部特定上下文,根据 上述秘密信息,生成上述验证用的全体鉴别符而构成的全体鉴别符生成部(14);为了由上述全体鉴别符及上述全部特定上下文生成按照特定的格式的一般上下文而 构成的一般上下文生成部(16);以及为了将上述一般上下文向上述验证装置输出而构成的一般上下文输出部(16)。
13.如权利要求11所述的鉴别实体装置,其中具有为了基于上述秘密信息验证从其他鉴别实体装置所输入的特定上下文而构成的特定 上下文验证部(19,29)。
14.如权利要求11所述的鉴别实体装置,其中具有为了表现在与上述鉴别构成过程的依存关系相关联的特定上下文之间的层次结构,以 包含从其他鉴别实体装置所输入的特定上下文的方式生成自身装置的特定上下文地构成 的上下文信息关联附加部(17)。
15.如权利要求11所述的鉴别实体装置,其中具有为了表现在与上述鉴别构成过程的依存关系相关联的特定上下文之间的层次结构,以 包含从其他鉴别实体装置所输入的特定上下文的参照信息的方式生成自身装置的特定上 下文地构成的上下文信息关联附加部(17)。
16.如权利要求14所述的鉴别实体装置,其中具有为了根据从上述验证装置所发送的鉴别处理的执行请求,执行对应的鉴别构成过程, 而以将执行请求发送到其他鉴别实体装置的方式构成的发送部(11);以及为了回复从该其他的鉴别实体装置所回复的特定上下文以及由自身装置所生成的至 少一个特定上下文而构成的鉴别应答部(11)。
17.如权利要求11所述的鉴别实体装置,其中,上述秘密信息存储部(13,23)具有为了存储公钥密码方式的密钥作为上述秘密信息 而构成的密钥存储部;上述鉴别符生成部(14,24)具有为了根据上述密钥,作为上述公钥密码方式的数字签 名生成上述鉴别符而构成的签名生成部。
18.—种验证装置,其用来对个别执行构成采用生物体鉴别的鉴别处理的鉴别构成 过程的多个鉴别实体装置,验证由上述各鉴别实体装置所执行的上述鉴别处理,其构成包 括为了将由上述各鉴别实体装置所生成的,包含上述鉴别构成过程的执行内容和由该执 行内容根据预定的秘密信息所生成的鉴别符的各上下文,根据与上述秘密信息相同的秘密 信息或相对应的秘密信息进行验证而构成的上下文验证部(32),至少一台上述鉴别实体装置所执行的上述鉴别构成过程,参照与该鉴别实体装置不同 的上述鉴别实体装置所执行的上述鉴别构成过程的结果来执行。
19.一种客户机装置(40),其对个别执行构成鉴别处理的鉴别构成过程的多个鉴别实 体装置(10e、20ie、202e)和用来验证由上述各鉴别实体装置所执行的上述鉴别处理的验证装置(30e)之间的通信进行中继,其构成包括为了对上述各鉴别实体装置,询问规定了鉴别构成过程的执行环境内容的执行环境简 表而构成的执行环境询问部(43);为了将上述各鉴别实体装置所应答的执行环境简表与对应的各鉴别实体装置相关联 地进行存储而构成的执行环境存储部(44);以及为了登记上述已存储的执行环境简表之中的,客户机环境可对应的执行环境简表而构 成的登记部(44)。
20.如权利要求19所述的客户机装置,其具有在上述鉴别构成过程的执行环境简表由上述验证装置指定时,为了根据上述指定使具 有对应的执行环境简表的鉴别实体装置执行鉴别构成过程而构成的部(42)。
21.一种鉴别方法,其由个别执行构成采用生物体鉴别的鉴别处理的鉴别构成过程的 多个鉴别实体装置(10,20)和用来验证由上述各鉴别实体装置所执行的上述鉴别处理的 验证装置(30)执行,其包括利用上述各鉴别实体装置,将用于上述验证装置的验证的秘密信息予以存储; 利用上述各鉴别实体装置,由上述鉴别构成过程的执行内容基于上述秘密信息,生成 用于上述验证的鉴别符;利用上述各鉴别实体装置,由上述鉴别符及上述执行内容生成按照特定的格式的特定 上下文;利用上述各鉴别实体装置,输出上述特定上下文; 利用上述验证装置与外部装置通信;利用上述验证装置验证由上述各鉴别实体装置所生成的并且通过上述通信所接收的 各上下文,至少一台上述鉴别实体装置所执行的上述鉴别构成过程,参照与该鉴别实体装置不同 的上述鉴别实体装置所执行的上述鉴别构成过程的结果来执行。
22.如权利要求21所述的鉴别方法,其包括利用上述各鉴别实体装置中的至少一台,进行下述步骤与上述鉴别处理相关联地由从其他鉴别实体装置所输出的全部特定上下文,根据上述 秘密信息,生成上述验证用的全体鉴别符;由上述全体鉴别符及上述全部特定上下文生成按照特定的格式的一般上下文;以及 将上述一般上下文向上述验证装置输出。
23.如权利要求21所述的鉴别方法,其包括利用上述各鉴别实体装置,验证从其他鉴别实体装置所输入的特定上下文。
24.如权利要求21所述的鉴别方法,其包括利用上述验证装置,将由上述各鉴别实体装置生成的各上下文,根据与上述秘密信息 相同的秘密信息或相对应的秘密信息进行验证。
25.如权利要求21所述的鉴别方法,其包括利用上述各鉴别实体装置中的至少一台,为了表现在与上述鉴别构成过程的依存关系 相关联的特定上下文之间的层次结构,以包含从其他鉴别实体装置所输入的特定上下文的 方式,生成自身装置的特定上下文。
26.如权利要求21所述的鉴别方法,其包括利用上述各鉴别实体装置中的至少一台,为了表现在与上述鉴别构成过程的依存关系 相关联的特定上下文之间的层次结构,以包含从其他鉴别实体装置所输入的特定上下文参 照信息的方式,生成自身装置的特定上下文。
27.如权利要求24所述的鉴别方法,其包括 利用上述验证装置,发送上述鉴别处理的执行请求, 利用上述各鉴别实体装置中的至少一台,进行下述步骤为了根据上述鉴别处理的执行请求,执行对应的鉴别构成过程,将执行请求发送到其 他鉴别实体装置(20);和将从对应的其他鉴别实体装置所回复的特定上下文和自身装置所生成的至少一个特 定上下文回复。
28.如权利要求21所述的鉴别方法,其包括利用在上述验证装置和上述各鉴别实体装置之间进行通信中继的客户机装置,对上述 各鉴别实体装置,询问规定了鉴别构成过程的执行环境内容的执行环境简表;利用上述客户机装置,将由上述各鉴别实体装置所应答的执行环境简表与相应的各鉴 别实体装置相关联地进行存储;利用上述客户机装置,登记上述已存储的执行环境简表之中的客户机环境可对应的执 行环境简表。
29.如权利要求28所述的鉴别方法,其包括利用上述验证装置,对上述客户机装置指定上述鉴别构成过程的执行环境简表; 利用上述客户机装置,根据上述指定使具有相应的执行环境简表的鉴别实体装置执行 鉴别构成过程。
30.如权利要求21所述的鉴别方法,其包括利用上述各鉴别实体装置,作为上述秘密信息,存储公钥密码方式的密钥; 利用上述各鉴别实体装置,根据上述密钥,作为上述公钥密码方式的数字签名生成上 述鉴别符。
31.一种鉴别方法,其由在鉴别系统中使用的各个鉴别实体装置执行,该鉴别系统具 有个别执行构成采用生物体鉴别的鉴别处理的鉴别构成过程的多个鉴别实体装置(10,20) 和用来验证由上述各鉴别实体装置所执行的上述鉴别处理的验证装置(30),至少一台上述 鉴别实体装置所执行的上述鉴别构成过程,参照与该鉴别实体装置不同的上述鉴别实体装 置所执行的上述鉴别构成过程的结果来执行,该鉴别方法包括将用于上述验证装置的验证的秘密信息予以存储;由上述鉴别构成过程的执行内容基于上述秘密信息生成用于上述验证的鉴别符; 由上述鉴别符及上述执行内容生成按照特定的格式(format)的特定上下文; 输出上述特定上下文。
32.如权利要求31所述的鉴别方法,其包括与上述鉴别处理相关联地由从其他鉴别实体装置所输出的全部特定上下文,根据上述 秘密信息,生成上述验证用的全体鉴别符;由上述全体鉴别符及上述全部特定上下文生成按照特定的格式的一般上下文;将上述一般上下文向上述验证装置输出。
33.如权利要求31所述的鉴别方法,其包括基于上述秘密信息验证从其他鉴别实体装置所输入的特定上下文。
34.如权利要求31所述的鉴别方法,其包括为了表现在与上述鉴别构成过程的依存关系相关联的特定上下文之间的层次结构,以 包含从其他鉴别实体装置所输入的特定上下文的方式,生成自身装置的特定上下文。
35.如权利要求31所述的鉴别方法,其包括为了表现在与上述鉴别构成过程的依存关系相关联的特定上下文之间的层次结构,以 包含从其他鉴别实体装置所输入的特定上下文的参照信息的方式,生成自身装置的特定上 下文。
36.如权利要求34所述的鉴别方法,其包括为了根据从上述验证装置所发送的鉴别处理的执行请求,执行对应的鉴别构成过程, 将执行请求发送到其他鉴别实体装置;将从该其他的鉴别实体装置所回复的特定上下文以及由自身装置所生成的至少一个 特定上下文回复。
37.如权利要求31所述的鉴别方法,其包括作为上述秘密信息,存储公钥密码方式的密钥;根据上述密钥,作为上述公钥密码方式的数字签名生成上述鉴别符。
38.一种验证方法,其由用来对个别执行构成采用生物体鉴别的鉴别处理的鉴别构成 过程的多个鉴别实体装置,验证由上述各鉴别实体装置所执行的上述鉴别处理的验证装置 执行,其包括对由上述各鉴别实体装置所生成的,包括上述鉴别构成过程的执行内容和由该执行内 容根据预定的秘密信息所生成的鉴别符的各上下文,根据与上述秘密信息相同的秘密信息 或相对应的秘密信息进行验证,至少一台上述鉴别实体装置所执行的上述鉴别构成过程,参照与该鉴别实体装置不同 的上述鉴别实体装置所执行的上述鉴别构成过程的结果来执行。
39.一种验证中继方法,其由对个别执行构成鉴别处理的鉴别构成过程的多个鉴别实 体装置(10e、20ie、202e)和用来验证由上述各鉴别实体装置所执行的上述鉴别处理的验证 装置(30e)之间的通信进行中继的客户机装置执行,其包括对上述各鉴别实体装置,询问规定了鉴别构成过程的执行环境内容的执行环境简表;将从上述各鉴别实体装置所应答的执行环境简表与相应的各鉴别实体装置相关联地 进行存储;登记上述已存储的执行环境简表之中的客户机环境可对应的执行环境简表。
40.如权利要求39所述的验证中继方法,其包括在上述鉴别构成过程的执行环境简表由上述验证装置指定时,根据上述指定使具有相 应的执行环境简表的鉴别实体装置执行鉴别构成过程。
全文摘要
本发明提供鉴别系统、装置及方法。根据本发明的一个方面,各鉴别构成过程可由其管理主体确保,确保内容可由验证者验证,可以提高鉴别过程的整体可靠性。鉴别系统,具有可单个执行鉴别构成过程P1、P2的实体装置(10,20),和用于验证各鉴别构成过程P1、P2的执行内容的验证装置(30)。实体装置,具有管理秘密信息的秘密信息管理部(13,23);由鉴别构成过程P1、P2的执行内容根据秘密信息生成用于验证的鉴别符的鉴别符生成部(14,24)以及由鉴别符及执行内容生成按照特定的格式的特定上下文的上下文生成部(15,25)。
文档编号G07C9/00GK101917274SQ20101026547
公开日2010年12月15日 申请日期2005年6月24日 优先权日2004年6月25日
发明者冈田光司, 池田龙朗, 高见泽秀久 申请人:株式会社东芝;东芝解决方案株式会社