バイオメトリック証明書確認フレームワーク
後に認証システムにアクセスするためのクライアントコンピュータ・システムにおけるバイオメトリック認証システムの使用は、デジタル処理で署名されたバイオメトリックサンプルデータを受け取ること、及び当該データをユーザID及びPINと組み合わせることを含む。その後、ユーザ及びバイオメトリックサンプルを認証するために、データのこのパッケージは、バイオメトリック照合サーバに安全に送信される。一旦認証されると、バイオメトリック照合サーバは、当該データパッケージに仮の証明書及び公開/秘密鍵ペアを加えてクライアントコンピュータに返す。その後、クライアントコンピュータは、認証システムにアクセスして続いて安全な資源へのアクセスを獲得するためにこの情報を使用することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、バイオメトリック証明書確認フレームワークに関する。
【背景技術】
【0002】
対話型のユーザ認証又はネットワーク認証のために使用されるバイオメトリックサンプルは、サンプリングされるたびにそれらが異なるという点で、現在の認証スキームで使用される従来のパスワードや暗号鍵とは異なる。バイオメトリックサンプルはいくつかの理由で暗号鍵資料にとって理想的ではない。バイオメトリックサンプルは強度が制限され、暗号の種(シード)のエントロピーは再生成又は変更され得る。バイオメトリックサンプルは絶対的な値ではない。それらはサンプルであって、1回のサンプリングから次のサンプリングまでに異なることもある。暗号鍵は元のシードから定義された絶対的なものである一方、バイオメトリック認証の測定値は変化する。これらの制限のために、バイオメトリックサンプルは暗号鍵資料にとって最適の選択ではない。
【0003】
バイオメトリックサンプルは、通常、以前にスキャンされかつ/又は計算された格納されたサンプル(しばしば業界で「テンプレート」と呼ばれる)に対して照合され、格納されたサンプルとの実際の一致が確認される場合、次に、格納された暗号鍵資料はシステムに公開されて、ユーザーログイン・セッションが当該鍵資料を使用して進むことを可能にする。しかし、一致処理及び/又は鍵保管が物理的に安全なサーバ等の安全な(セキュアな)環境の外部で行われる場合、鍵資料及び/又は参照テンプレートは攻撃と開示にさらされる。
【0004】
ワシントン州レドモンドのマイクロソフト(登録商標)・コーポレーションによって提供される現在のWindows(登録商標)アーキテクチャは、パスワード又はケルベロス/PKINIT認証をサポートするが、認証の通常の部分としてサーバ上でバイオメトリック認証のテンプレートの照合を行うことをサポートしない。今日、バイオメトリック認証のソリューションベンダーによって提供されるソリューションは、典型的には、クライアントマシン上でパスワード又はx.509ベースの証明書等の従来のログイン証明書を格納し、クライアントPC上にこれまた格納される参照バイオメトリックサンプルに対して有効なテンプレートの一致があった後にそれらを提出する。現在のシステムでは、パスワード、x.509ベースの証明書及び参照テンプレートは、それらが物理的に安全なサーバの外部に存在するため、攻撃及び開示にさらされる。
【発明の開示】
【発明が解決しようとする課題】
【0005】
したがって、安全な環境においてバイオメトリック認証を使用するシステム又は方法を提供することが望ましい。本発明はこれら及び他の事項に対処するものである。
【課題を解決するための手段】
【0006】
ここに述べる事項は、発明の詳細な説明においてさらに以下に述べられる概念の選択を単純化された形式で導入するために提供される。ここに述べる事項は、特許請求の範囲に記載の主題の重要な特徴又は本質的な特徴を識別するようには意図されず、特許請求の範囲に記載の主題の範囲を制限するように使用されることも意図されない。
【0007】
Windows(登録商標)又はアクティブ・ディレクトリベースのドメイン・インフラストラクチャー等の認証システムへのアクセスのためのバイオメトリック認証の使用での進歩は、ユーザからバイオメトリックデータを取得すること及びクライアントコンピュータへユーザID及びPINを入力することを含む。クライアントコンピュータは、ユーザのバイオメトリックデータをユーザのためのバイオメトリックデータのテンプレートの組とを照合することができるバイオメトリック照合サーバと安全に通信する。バイオメトリック認証サーバは、ユーザが認証され識別されることを確認することができる。一旦確認されたならば、照合サーバは、クライアントコンピュータに暗号鍵と共に仮の証明書を送信する。仮証明書と鍵はケルベロス認証システムへの即時アクセスを獲得するために使用される。クライアントによる仮証明書のその後の使用は、証明書の期限が切れるため、ケルベロス認証システムへのアクセスが拒絶される結果となる。一旦クライアントコンピュータがケルベロス・システムへのアクセスを獲得すれば、その後、コンピューティング資源の安全な組へのその後のアクセスを得ることができる。
【発明を実施するための最良の形態】
【0008】
本発明は、安全な認証計算システム環境を用いる場合にうまく機能する。1つのそのような既存の認証システム環境は、ケルベロスとして当業者によく知られている。図1は、典型的なケルベロス・システムのブロック図である。ケルベロスは、安全でないネットワークを介して通信する個人が、安全なやり方で互いに身元を証明することを可能にするコンピュータネットワーク認証プロトコルである。ケルベロスは、盗聴又はリプレーアタックを防ぎ、データの完全を保証する。ケルベロスはユーザとサービスの両方が互いの身元を確認する相互認証を提供する。ケルベロスは、対称鍵暗号に基礎を置き、信頼された第三者を必要とする。
【0009】
ケルベロスは、認証サーバ(AS)104及びチケット付与サーバ(TGS)106という2つの機能部を含んでいる。ケルベロスは、ユーザーの身元を証明するための役目をする「チケット」に基づいて機能する。ケルベロスを使用すると、クライアント102は、サービスサーバ(SS)108のリソースを使用するためにその身元を証明することができる。ケルベロスは、秘密鍵のデータベースを維持し、ネットワーク上の各エンティティは、クライアントであってもサーバであっても、自身及びケルベロスにのみ既知の秘密鍵を共有する。この鍵についての知識は、エンティティの身元を証明するための役目をする。2つのエンティティ間の通信に対して、ケルベロスは、相互作用を安全にするためにそれらが使用することができるセッション鍵を生成する。
【0010】
ケルベロス・システムを使用して、クライアントはAS104に対して自身を認証し、次に、TGS106に対して、クライアントがサービスのチケットを受け取ることを許可されていることを示し(及び当該チケットを受け取り)、次に、クライアントがサービスを受けることを承認されたことをSSに対して示す。ユーザがクライアント102上でユーザ名及びパスワードを入力すると処理が始まる。クライアントは、入力されたパスワードについて一方向ハッシュを実行し、これはクライアントの秘密鍵になる。クライアントは、リンク110を介して、ユーザに代わってサービスを要求する平文メッセージをAS104に送信する。この点において、秘密鍵もパスワードもASに送られない。
【0011】
AS104は、クライアント102がそのデータベースにあるかどうかチェックする。そのデータベースにある場合、ASはリンク110を介してクライアントに以下の2つのメッセージを送り返す:
*メッセージA: ユーザの秘密鍵を使用して暗号化されたクライアント/TGSセッション鍵
*メッセージB: TGSの秘密鍵を使用して暗号化された、チケット付与チケット(クライアントID、クライアント・ネットワーク・アドレス、チケット有効期間及びクライアント/TGSセッション鍵を含む)。
【0012】
一旦クライアントがメッセージA及びBを受け取れば、クライアントは、クライアント/TGSセッション鍵を得るためにメッセージAを解読する。このセッション鍵はTGSとのさらなる通信に使用される。(注:TGSの秘密鍵を使用して暗号化されるので、クライアントはメッセージBを解読することができない。)この点において、クライアント102は、TGSに対して自身を認証するために十分な情報を持っている。
【0013】
サービスを要求する場合、クライアント102はリンク112を介してTGS106に以下の2つのメッセージを送信する:
*メッセージC: メッセージBからのチケット付与チケット及び要求されたサービスのIDからなる
*メッセージD: クライアント/TGSセッション鍵を使用して暗号化された認証コード(authenticator)(クライアントID及びタイムスタンプからなる)。
【0014】
メッセージC及びDを受け取ると、TGS106はクライアント/TGSセッション鍵を使用してメッセージD(認証コード)を解読し、リンク112を介してクライアント102に以下の2つのメッセージを送信する:
*メッセージE: サービスの秘密鍵を使用して暗号化されたクライアント−サーバチケット(client-to-server ticket)、(クライアントID、クライアント・ネットワーク・アドレス及び有効期間を含む)
*メッセージF: クライアント/TGSセッション鍵で暗号化されたクライアント/サーバー・セッション鍵。
【0015】
TGS106からメッセージE及びFを受け取ると、クライアント102は、SS108に対して自身を認証するために十分な情報を持っている。クライアント102はリンク114を介してSS108に接続し、以下の2つのメッセージを送信する:
*メッセージG: サービスの秘密鍵を使用して暗号化されたクライアント−サーバチケット、
*メッセージH: クライアントID及びタイムスタンプを含み、クライアント/サーバー・セッション鍵を使用して暗号化される新しい認証コード。
【0016】
SS108は、それ自身の秘密鍵を使用してチケットを解読し、クライアントの真の身元及びクライアントのために働く旨を確認するために、リンク114を介してクライアント102に以下のメッセージを送信する。
*メッセージI: クライアント/サーバー・セッション鍵を使用して暗号化された、クライアントの最近の認証コードに1を加えて得られるタイムスタンプ。
【0017】
クライアント102は、SS108との共有鍵を使用して上記確認を解読し、タイムスタンプが正確に更新されるかどうかチェックする。正確に更新されるものであれば、その後、クライアント102は、SS108を信頼することができ、SS108へのサービス要求の発行を開始することができる。その後、SS108はクライアント102に対して、要求されたサービスを提供することができる。
【0018】
本発明は、バイオメトリックサンプリング装置を備えたケルベロス・システムの態様を有利に使用することができる。1つの環境では、バイオメトリックシステムで登録される各ユーザの参照テンプレートを保持する、新しく定義されたバイオメトリック照合サーバに対して、ユーザ名、ドメイン名、UPNなどのような要求されたユーザ身元、PIN/パスワード及び読み手に署名された(reader-signed)暗号のバイオメトリックサンプルが安全に送られる、新しい枠組みが実施され得る。サンプル上の要求された身元、PIN/パスワード、署名及び一致がすべて確認される場合、その後、X.509証明書又は対称鍵又はワンタイムパスワードなどの仮の(一時的な)証明書(信任状)が生成され、ユーザに返される。1つの実施例では、代わりの仮証明書を、当業者に知られているように使用することができる。その後、ユーザは認証システムにより自動又は手動の方法でのログインのために証明書を使用してもよい。
【0019】
この新しい枠組は、上述のような現在のバイオメトリック認証の実施よりも、対話型のユーザ・ログインやネットワーク・ユーザ・ログインに使用される暗号鍵資料のよりよい保護を提供する。新しい枠組の利点は、バイオメトリックサンプリング装置の内部の暗号鍵を、不正使用(tampering)からサンプルを保護するために使用できることを含んでいる。この暗号鍵は、バイオメトリックサンプリング装置の内部の集積回路内に提供されてもよい。バイオメトリック照合サーバ上の鍵は、一時的なログイン証明書の生成のために使用されてもよい。この鍵は物理的に安全なサーバ上に存在し、証明書の作成のためにネットワークによって信頼される。ログインのためにユーザに与えられる証明書は、非常に短時間の間のみ使用可能である。また、この新しい枠組は現在のケルベロス/PKINIT認証構造と互換性をもつ。
【0020】
図2は本発明の機能の態様を示すブロック図である。ユーザ入力202は、クライアントコンピュータ206及びバイオメトリックサンプリング装置204の両方に提供される。ユーザー入力は、サービスサーバ212中のリソースへのアクセスを獲得するべくクライアントにログオンするために、バイオメトリック認証システムにおいて必要である。サーバ212にアクセスするために、ユーザーは、バイオメトリック照合サーバ208を使用して、バイオメトリックサンプリング装置204及びクライアントコンピュータ206を介して識別される必要がある。認証システム210と共に、ユーザは、その後、ユーザが認証されれば、サービスサーバ212を使用することができる。
【0021】
本発明の態様に関する典型的なシナリオでは、ユーザは、ユーザーID及びPIN又はパスワードの入力によりクライアントのアクセスを始めることができる。これは、ユーザー入力202の一部を形成する。クライアントコンピュータ206は、バイオメトリックサンプルを提示するようにユーザに促すことができる。いくつかのシステムでは、バイオメトリックサンプルは、能動的に収集する代わりに単に受身的に収集されてもよい。バイオメトリックサンプリング装置204は、ユーザのバイオメトリックサンプルを収集する。その後、バイオメトリックサンプリング装置204は、バイオメトリックサンプルに暗号的に署名し、クライアントコンピュータ・システム206へ転送する。暗号の署名はクライアントコンピュータ内での不正使用からバイオメトリックサンプルを保護するために使用される。ディジタル暗号の署名は、サンプルをとったバイオメトリック認証装置に対する発生元認証を確立する。この動作は、既知の発生源から新鮮なサンプルがクライアントに提供されることを証明する。
【0022】
その後、クライアントコンピュータ206は、バイオメトリック照合サーバ208に対する安全な接続226を確立し、バイオメトリックサンプル情報を転送する。1つの実施例において、セキュア・ソケット・レイヤー(SSL)及び/又はトランスポート・レイヤー・セキュリティ(TLS)接続は、伝送中の不正使用からサンプルを保護するために、クライアント206とバイオメトリック照合サーバ208又は他の安全なリンク方法との間でなされる。
【0023】
クライアント206からバイオメトリック認証サーバ208へ送られた情報は、デジタル署名、バイオメトリックサンプル、ユーザー入力PIN及び/又はパスワード、タイムスタンプ及び/又はワンタイムパスワードを含む。このデータが、バイオメトリック照合サーバ208のデータベース中でユーザに関連付けられた参照データと一致する場合、バイオメトリック照合サーバは、暗号の公開/秘密鍵ペア、及びユーザログイン・セッションのためのx.509証明書等のデジタル証明書を生成する。短時間で有効期限が切れるように、デジタル証明書は短い有効期間で構築される。デジタル証明書と鍵ペアは、バイオメトリック照合コンピュータ208からクライアントコンピュータ206へ、安全なリンクによって送られる。本発明の1つの態様では、仮の(一時的な)デジタル証明書が、サービス・サーバ212リソースにアクセスする際にセキュリティレベルを増加させるために発行される。多くのバイオメトリック認証装置リーダ又はバイオメトリック認証システムが、バイオメトリックリーダ又はクライアントコンピュータに永久的な証明書を格納している。これは、先のアクセスで使用された証明書の提示による違法のアクセスの危険を増加させる。認証システムによって認識される仮の又は一時的な証明書の生成によって、バイオメトリック読み取りの新鮮さ及び証明書の強度は向上させられる。固定期間内に1セットの認証システム証明書より多くを得るために再使用することができないので、有効性において、仮の一時的な証明書はより安全である。1つの実施例では、固定期間は10分から数時間の時間間隔で固定されてもよい。従って、証明書は、特定の認証セッションの間唯一のものとなる。認証システムに対して割当てられた時間内に仮の証明書を使用しないことは、証明書の期限切れにより認証システムのアクセスの拒絶に帰着する。
【0024】
一旦鍵と証明書が発行されたならば、クライアント206は、例示的な実施例においては、ケルベロスKDC(鍵配布センター、Key Distribution Center)となる、安全なシステム210に対して自身を認証することに進むことができる。一例の認証システムはケルベロス・システムである。1つのケルベロス認証の実施例では、クライアントは、現在のPKINITプロトコルを使用して、認証要求として、ケルベロス認証サーバ(図1を参照)に対し、ユーザーID、証明書及び署名を提示する。PKINIT認証プロトコルが成功する場合、ケルベロス・チケット付与チケット(TGT)を含んでいるユーザ・トークンが、ケルベロスベースのネットワークでのその後の使用のためにクライアント206に対して発行される。クライアント106は、その時に、一時的なPKI証明書及び鍵又は鍵ペアを廃棄してもよい。クライアント206は、その後、さらなるケルベロス・アクセス・プロトコルによってサービスサーバ212へのアクセスを自由に獲得することができる。
【0025】
図3は、認証システムとともにバイオメトリック認証装置を使用する方法300を示す流れ図である。その処理は、バイオメトリック認証システムを使用するクライアントコンピュータのログインセッションをユーザが開始することによって始まる(ステップ302)。1つの実施例では、クライアントコンピュータがバイオメトリックサンプルを提供するようにユーザに促すような、対話型処理に遭遇する。別の実施例においては、バイオメトリックサンプリング装置はサンプルを受動的に収集する。いずれの場合も、クライアントは、ユーザーID、個人識別番号(PIN)、及び/又はパスワードを収集する(ステップ304)。いくつかのバイオメトリック認証システムは、PINとパスワードの両方を要求してもよく、その一方で他のものはどちらも要求しなくてもよい。しかし、PIN及び/又はパスワードを含むことにより、バイオメトリックサンプリングシステムでユーザ証明書を収集する処理に対して一層の権限及び信頼性が加わる。というのは、それがユーザの協力を必要とし、生のデータを示すことができるからである。いくつかのシステムにおいて、PlN又はパスワードは、バイオメトリックサンプリング装置によって、及び、遠隔のバイオメトリック照合サーバによって、両方とも局所的に、必要となり得る。
【0026】
一層のセキュリティ対策として、ユーザから集められたバイオメトリックデータは、デジタル処理で署名される。 バイオメトリックデータのこのデジタル署名は、データを収集するために特定のバイオメトリックサンプリング装置が使用されたことを示す。例えば、クライアントコンピュータによって認識されないバイオメトリック認証装置データが提示される場合、クライアントコンピュータは、使用されるサンプリング装置をクライアントが認識できないことに基づいて、バイオメトリックデータを拒絶することができる。加えて、バイオメトリックサンプルデータの新鮮さを証明するために、タイムスタンプがバイオメトリックサンプルに加えられてもよい。例えば、時間が古くなったデータがクライアントコンピュータに提示される場合、クライアントコンピュータは、古くて不正に提出された可能性があるものであるとして、バイオメトリックデータを拒絶してもよい。さらなる代替として、ワンタイムパスワードが、タイムスタンプとともに又はその代わりに加えられてもよい。タイムスタンプ及び/又はワンタイムパスワードが加えられる例において、デジタル署名は収集されたデータのすべてに適用されてもよい。
【0027】
ユーザ照明書及びバイオメトリックデータを収集した後に、バイオメトリック照合サーバとの安全なリンクが開拓され、クライアントコンピュータは収集されたデータを安全に送信する(ステップ306)。安全なリンクは、クライアントからバイオメトリック照合サーバまで秘密鍵を使用して確立されてもよい。使用される秘密鍵は、当該鍵が安全なトランザクションにおいてクライアントに与えられた場合、バイオメトリック認証サーバに来てもよい。また、秘密鍵は、外部機関により安全に提供することができ、クライアントに付与することができる。その後、クライアントは、署名されたバイオメトリックデータ、ユーザーID及びPIN又はパスワード、並びにタイムスタンプ又はワンタイムパスワードを含むデータのページを暗号化するために秘密鍵を使用する。
【0028】
バイオメトリック認証サーバにおいて、収集されたデータの多くのチェックが行なわれる。ステップ308−316のチェックが任意の論理的な順序で実行できる。一つの実施例では、バイオメトリックデータ及びユーザ証明書のパッケージは、タイムスタンプ及びワンタイムパスワードのデータとともに、有効性を検査される。ユーザーIDはチェックされ、バイオメトリック照合サーバにリストされた許可されたユーザのリストと照合される(ステップ308)。このステップでは、バイオメトリック照合サーバは、識別情報と一致するユーザが存在することを確認する。そのようなユーザが存在しなければ、処理300は失敗し、ユーザ・ログオンは終了する。
【0029】
パスワード又はPIN情報がバイオメトリックデータ収集と共に提示された場合、当該情報は、許可されたユーザに属するものとして確認される(ステップ310)。前述のように、ユーザPIN又はパスワード情報の確認が無効の場合、処理300は失敗し、ユーザ・ログオンは終了する。次に、バイオメトリックデータ自体が照合される(ステップ312)。提出されたバイオメトリックデータの比較は、バイオメトリック照合サーバを介して利用可能なバイオメトリックデータの安全なテンプレートに対して好ましくは行なわれる。テンプレート情報は、当業者に既知の任意の安全な手段によって提供されてもよい。バイオメトリック照合が統計的に有意な相関性や一致をもたらさない場合、処理300は失敗し、ユーザーログインは終了する。
【0030】
タイムスタンプ又はワンタイムパスワードがバイオメトリックデータ収集の時に提出されたか又は加えられた場合、バイオメトリックデータの別の確認が行なわれてもよい(ステップ314)。このタイムスタンプ又はワンタイムパスワードのデータは、得られたバイオメトリックデータが新鮮であり、単にコピーされたり再提出されたものでないことを保証するのに役立つ。1つの実施例では、ワンタイムパスワード又はタイムスタンプは、バイオメトリックサンプリング装置自体、又はクライアントコンピュータによって生成されてもよい。いずれの場合も、タイムスタンプ又はワンタイムパスワードのデータは、最近収集されたサンプルであることを示すものとしてハードウェアにより加えられたバイオメトリックサンプルデータ上のスタンプとして、加えられてもよい。ハードウェアは、タイムスタンプ、ワンタイムパスワード及び/又はデジタル署名を加えるバイオメトリックサンプリング装置内の集積回路に存在してもよい。
【0031】
バイオメトリックデータの別の確認は、バイオメトリックサンプリング装置によって加えられるデジタル署名が、バイオメトリック認証装置を認証することの確認である(ステップ316)。デジタル署名によって示されたバイオメトリックサンプリング装置がクライアントコンピュータに関連付けられたものであることをバイオメトリック照合サーバが認識しない場合、処理300は失敗し、ユーザーログインは終了する。デジタル署名も、バイオメトリックデータ及びタイムスタンプ及び/又はワンタイムパスワードがサンプリング装置による生成の後に操作されなかったことを確認するために使用することができる。
【0032】
バイオメトリック照合サーバに与えられた情報のパッケージが受信のための基準のすべてを満たすことが確認されると、次に、鍵及び少なくとも1つの仮(一時的)証明書が生成される(ステップ318)。バイオメトリック照合サーバは、クライアントによる使用のための公開/秘密鍵ペアを生成する。公開/秘密鍵ペアは、RSA、ECC、DH又は当業者に知られているような他のタイプのもの等の任意の特定の暗号アルゴリズムによっても制限されていない。クライアント及び認証システムと互換性をもつすべての種類の暗号手段は、本発明において使用可能である。同様に、証明書フォーマットはX.509に制限されていない。フォーマットは、XrML、ISO REL、SAML又は当業者に既知の他のフォーマットであり得る。クライアント及び認証システムと互換性があれば、すべての種類のデジタル証明書を使用できる。さらに、クライアント、バイオメトリック照合サーバ、認証システム及びサービスサーバ等の機能間の任意の接続において使用される暗号鍵及び方法は対称であっても非対称であってもよい。
【0033】
バイオメトリックリーダ、走査装置又はサンプリング装置で使用される暗号鍵は製造中に供給されてもよいし、暗号鍵階層(cryptographic key hierarchy)、公開鍵基盤(public key infrastructure)又は他の外部機関を使用して、組織によって供給されてもよい。バイオメトリック照合サーバ上で生成される暗号鍵は、ソフトウェアで生成されてもよいし、HSM又はアクセラレータなどのハードウェアデバイスを使用して生成されてもよいし、鍵機関にとって追跡可能な外部の発行元からロードされた、あらかじめ計算された鍵のリストを使用して生成されてもよい。
【0034】
図3及び処理300に戻り、鍵及び証明書の生成後、鍵及び証明書がクライアントに与えられる(ステップ320)。一般に、バイオメトリック照合サーバにアップロードされる情報はすべて、鍵及び証明書と共に返される。これにより、クライアントは、クライアントコンピュータ上にデータを格納することなく、ユーザ証明書(ユーザーID、PIN、及び/又はパスワード)にクライアントがアクセスすることを可能にする。クライアントがバイオメトリック照合サーバから鍵及び証明書並びに返された証明書を受け取った後、所望のコンピュータ資源にアクセスするために、クライアントは、認証システムに対して、受け取った情報を適用することができる(ステップ322)。ここで、本発明の実施例は、認証システムの性質に依存して変化することがあり得る。1つの実施例では、ケルベロス認証プロトコルが使用される。
【0035】
1つの実施例では、クライアントは、図1に関して上述したようなケルベロス・プロトコルを開始してもよい。プロトコル中の要素として、クライアントは、結局のところ、仮証明書、ユーザーID、PIN及び/又はパスワード、暗号鍵を提示し、保護されたサービスサーバを介したコンピュータリソースへのアクセスが与えられるように、ケルベロス・チケット付与サーバへと当該情報を渡して、サービス・チケットを要求する。他の実施例は、使用される特定の認証サーバの必要によって要求されるような異なるプロトコルを使用してもよい。
【0036】
図3の方法の1つの代替例において、ユーザID、PIN及び/又はパスワード並びにバイオメトリックサンプルは、バイオメトリック照合サーバに対して送る前に、ハードウェアデバイスによってローカルに最初に確認されてもよい。別の代替例では、データはすべてクライアントによって収集され、サーバに渡され、安全な処理でサーバによってのみ確認されてもよい。
【0037】
図3の方法の1つの実施例において、バイオメトリック認証サーバへのデータパッケージの送信は(ステップ306)、さらにクライアントコンピュータ206によって生成された秘密/公開鍵ペアの一部である公開鍵を含んでいる。バイオメトリック認証サーバへデータパッケージ内で送られる公開鍵は、デジタル証明書等の証明書と共にクライアントコンピュータ206に送り返される前に、バイオメトリック認証サーバによって認証される(ステップ320)。
【0038】
本発明の1つの実施例において、図2の機能は様々な形式で組み合わせられてもよい。例えば、クライアント206及びバイオメトリック照合サーバは組み合わせられてもよいし、又は、認証システム210及びクライアントコンピュータは組み合わせられてもよいし、又は、バイオメトリックサンプリング装置204及びクライアントコンピュータ206は組み合わせられてもよいし、又は、認証サーバ210及びバイオメトリック照合サーバ208が組み合わせられてもよい。図2の機能的ブロックは様々な方法で組み合わせられてもよいが、結果として得られるシステム200の全体機能は損なわれない。
例示的なコンピュータ装置
図4及び以下の説明は、媒体記憶装置とインターフェースするのに適したホストコンピュータの簡潔な概説を提供するように意図される。汎用コンピュータが以下に述べられているが、これは単一プロセッサの1つの例に過ぎず、複数のプロセッサを備えたホストコンピュータの実施例は、ネットワーク/バス相互運用性及び相互作用を持っているクライアントのような他のコンピュータ装置で実施されてもよい。
【0039】
必ずしも必要なわけではないが、本発明の実施例は、装置又はオブジェクト向けのサービスの開発者が使用するために、オペレーティング・システムを介して実施することができ、及び/又はアプリケーション・ソフトウェア内に含ませることができる。ソフトウェアは、クライアント・ワークステーション、サーバ、又はその他の装置などの、1つ又は複数のコンピュータで実行される、プログラム・モジュールなどの、コンピュータ実行可能命令の一般的コンテキストにおいて記述することができる。一般に、プログラム・モジュールは、特定のタスクを実行したり、特定の抽象データ型を実装したりする、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。通常、プログラム・モジュールの機能は、様々な実施形態において、必要に応じて、組み合わせたり分散させたりすることができる。さらに、本発明の様々な実施例が、その他のコンピュータ構成を用いて実行できることは、当業者であれば理解されよう。本発明とともに使用するのに適している可能性のあるその他の周知のコンピューティング・システム、環境、及び/又は構成には、パーソナル・コンピュータ(PC)、現金自動預け払い機(automated teller machines)、サーバ・コンピュータ、ハンドヘルド又はラップトップ装置、マルチ・プロセッサ・システム、マイクロ・プロセッサ・ベースのシステム、プログラム可能な家庭用電化製品、ネットワークPC 、電気器具、照明、環境制御要素、ミニ・コンピュータ、メインフレーム・コンピュータなど、が含まれるが、これらに限定されるものではない。本発明の実施例は、タスクが通信ネットワーク/バス又はその他のデータ伝送媒体を介して結合された遠隔処理装置で実行される、分散コンピューティング環境でも実施することができる。分散コンピューティング環境では、プログラム・モジュールは、メモリ・ストレージ装置を含む、ローカル・コンピュータ・ストレージ媒体及びリモート・コンピュータ・ストレージ媒体の両方に配置することができ、クライアント・ノードは、サーバ・ノードとして機能することもできる。
【0040】
図4を参照すると、一例のホスト・コンピュータを実施するための例示的なシステムは、コンピュータ・システム410の形態をとる汎用コンピューティング装置を含む。コンピュータ410のコンポーネントには、プロセッシング・ユニット420、システム・メモリ430、及びシステム・メモリを含む様々なシステム・コンポーネントをプロセッシング・ユニット420に結合するシステム・バス421を含めることができるが、これらに限定されるものではない。システム・バス421は、様々なバス・アーキテクチャのいずれかを使用する、メモリ・バス又はメモリ・コントローラ、周辺バス、及びローカル・バスを含む、複数のタイプのバス構造のうちのいずれかとすることができる。
【0041】
コンピュータ・システム410は一般に、様々なコンピュータ可読媒体を含む。コンピュータ可読媒体は、コンピュータ410によってアクセス可能な任意の利用可能な媒体とすることができ、揮発性及び不揮発性媒体、着脱可能及び着脱不能媒体を含む。たとえば、コンピュータ可読媒体は、コンピュータ記憶媒体を含み得るが、これらに限定されるものではない。コンピュータ記憶媒体は、コンピュータ可読命令、データ構造、プログラム・モジュール、又はその他のデータといった情報を記憶するための任意の方法又は技法によって実装される、揮発性及び不揮発性媒体、着脱可能及び着脱不能媒体を含む。コンピュータ記憶媒体には、ランダム・アクセス・メモリ(RAM)、読取専用メモリ(ROM)、電気的消却・プログラム可能型読取専用メモリー(EEPROM)、フラッシュ・メモリ、又はその他のメモリ技術、CDROM、CDRW、デジタル多用途ディスク(DVD)、又はその他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、又はその他の磁気記憶装置、あるいは所望の情報を記憶するのに使用でき、コンピュータ・システム410によってアクセス可能なその他の任意の媒体が含まれるが、これらに限定されるものではない。
【0042】
システム・メモリ430は、読取専用メモリ(ROM)431やランダム・アクセス・メモリ(RAM)432などの、揮発性及び/又は不揮発性メモリの形態をとるコンピュータ記憶媒体を含む。基本入出力システム(BIOS)433は、起動処理中などにコンピュータ・システム410内の要素間の情報伝送を助ける基本ルーチンを含み、一般にROM431に記憶される。RAM432は一般に、プロセッシング・ユニット420が即座にアクセス可能な、及び/又は現在プロセッシング・ユニット420上で動作している、データ及び/又はプログラム・モジュールを含む。たとえば、図4には、オペレーティング・システム433、アプリケーション・プログラム435、その他のプログラム・モジュール436、及びプログラム・データ437が示されているが、これらに限定されるものではない。
【0043】
コンピュータ・システム410には、他の取外し可能/取外し不能、揮発性/不揮発性のコンピュータ記憶媒体も含めることができる。例としてのみ、図4に、取外し不能の不揮発性磁気媒体から読み取るか書き込むハードディスクドライブ431、取外し可能の不揮発性磁気ディスク452から読み取るか書き込む磁気ディスクドライブ451、及びCD ROM、CDRW、DVD又は他の光学媒体などの取外し可能不揮発性光ディスク456から読み取るか書き込む光ディスクドライブ455を示す。例示的な動作環境で使用することができる他の取外し可能/取外し不能、揮発性/不揮発性のコンピュータ記憶媒体には、磁気テープカセット、フラッシュメモリカード、ディジタル多用途ディスク、ディジタルビデオテープ、固体RAM、固体ROM等が含まれるが、これに制限はされない。ハードディスクドライブ441は、通常は、インターフェース440などの取外し不能メモリインターフェースを介してシステムバス421に接続され、磁気ディスクドライブ451及び光ディスクドライブ455は、通常は、インターフェース450などの取外し可能メモリインターフェースによってシステムバス421に接続される。
【0044】
上記で論じ、図4に示すドライブとそれに関連するコンピュータ記憶媒体は、コンピュータ・システム410のコンピュータ可読命令、データ構造、プログラムモジュール、及びその他のデータの記憶を実現する。例えば図4では、ハードディスクドライブ441を、オペレーティングシステム444、アプリケーションプログラム445、その他のプログラムモジュール446、及びプログラムデータ447を格納するものとして図示している。これらの構成要素は、オペレーティングシステム444、アプリケーションプログラム445、その他のプログラムモジュール446、及びプログラムデータ447と同じものでも異なるものでもよいことに留意されたい。ここでは少なくともそれらが異なる複製であることを表すために、オペレーティングシステム444、アプリケーションプログラム445、その他のプログラムモジュール446、及びプログラムデータ447に異なる参照符号をつけている。
【0045】
ユーザは、キーボード462と、一般にマウス、トラックボール、あるいはタッチパッドと呼ばれるポインティング装置461などの入力装置を介してコンピュータ・システム410にコマンドと情報を入力することができる。その他の入力装置(図示せず)には、マイクロフォン、ジョイスティック 、ゲームパッド、サテライトディッシュ、スキャナなどがある。上記及びその他の入力装置は、しばしばシステムバス421に結合されたユーザ入力インターフェース460を通じてプロセッサ420に接続されるが、パラレルポート、ゲームポート、あるいはユニバーサルシリアルバス(USB)など他のインターフェース及びバス構造によって接続することもできる。モニタ491又はその他のタイプの表示装置もビデオインターフェース490などのインターフェースを介してシステムバス421に接続され、ビデオインタフェース490はビデオメモリ(図示せず)と通信することができる。コンピュータ・システムはモニタ491に加えてスピーカ497やプリンタ496など他の周辺出力装置も含むことができ、これらの装置は出力周辺インターフェース495を介して接続することができる。
【0046】
コンピュータ・システム410は、リモートコンピュータ480など1つ又は複数のリモートコンピュータへの論理接続を使用するネットワーク環境あるいは分散環境で動作することができる。リモートコンピュータ480は、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピア装置、あるいはその他の共通ネットワークノードでよく、図4にはメモリ記憶装置481しか示していないが、通常は上記でコンピュータ・システム410に関連して説明した要素のうちの多くあるいはすべてを含む。図4に示す論理接続には、ローカル・エリア・ネットワーク(LAN)471と広域ネットワーク(WAN)473が含まれるが、その他のネットワーク/バスも含むことができる。このようなネットワーキング環境は、家庭、オフィス、企業規模のコンピュータネットワーク、イントラネット、及びインターネットなどで一般的なものである。
【0047】
LANネットワーキング環境で使用される時に、コンピュータ・システム410は、ネットワークインターフェース又はネットワークアダプタ470を介してLAN471に接続される。WANネットワーキング環境で使用される場合、コンピュータ・システム410に、通常は、インターネットなどのWAN473を介する通信を確立する、モデム472又は他の手段が含まれる。内蔵又は外付けとすることができるモデム472は、ユーザ入力インターフェース460を介して、又は別の適当な機構を介して、システムバス421に接続することができる。ネットワーク化された環境では、コンピュータ・システム410に関して図示されたプログラムモジュール又はその一部を、リモートメモリストレージデバイスに格納することができる。制限ではなく例として、図4に、メモリデバイス481に存在するリモートアプリケーションプログラム485を示す。図示のネットワーク接続が、例示的であり、コンピュータの間の通信リンクを確立する他の手段を使用することができることを理解されたい。
【0048】
様々な分散コンピューティングフレームワークが、パーソナルコンピューティングとインターネットの集束に鑑みて、開発され、また開発されつつある。個人及びビジネスユーザに、アプリケーション及びコンピューティングデバイスに関するシームレスに相互運用可能なウェブ対応インターフェースが与えられ、コンピューティング活動がますますウェブブラウザ指向又はネットワーク指向になる。
【0049】
例えば、マイクロソフト・コーポレーションから入手可能なMICROSOFT(登録商標).NET(商標)プラットフォームは、サーバ、ウェブベースのデータ記憶装置のようなビルディングブロック・サービス及びダウンロード可能なデバイス・ソフトウェアを含んでいる。本明細書に記載の典型的な実施例は計算装置上に存在するソフトウェアに関して記述されているが、本発明の実施例の1つ又は複数の部分は、オペレーティング・システム、アプリケーション・プログラム・インターフェース(API)又はコプロセッサ、ディスプレイ装置及び要求するオブジェクトのうちのいずれの間の「中間物」オブジェクトによって実施されてもよく、その結果.NET(商標)の言語及びサービスのすべてにおいて、また他の分散コンピューティングの枠組みにおいて同様に、サポートされ又はこれらを介してアクセスされることによって動作が行なわれてもよい。
【0050】
上述のように、本発明の例示的な実施例が様々な計算装置及びネットワーク・アーキテクチャに関して説明されたが、基本的概念は、バイオメトリック証明書の確認スキームを実施することが望ましいあらゆる計算装置又はシステムに適用されてもよい。したがって、本発明の実施例に関して記述された方法とシステムは、様々なアプリケーション及びデバイスに適用されてもよい。例示的なプログラミング言語、名前及び例が様々な選択肢として本明細書において選択されたが、これらの言語、名前及び例は制限するようには意図されない。当業者であれば、本発明の実施例によって達成される同一の、類似の又は同等のシステム及び方法を達成するオブジェクト・コードを提供する多数の方法があることを理解するであろう。
【0051】
本明細書に記述された様々な技術は、ハードウェアもしくはソフトウェアに関して、又は、適切な場合には両方の組合せと共に実施することができる。したがって、本発明の方法及び装置、又はそのある側面又は部分は、フロッピー(登録商標)ディスク、CD−ROM、ハードドライブ又は他の機械可読の記憶媒体のような有形の媒体に具体化されたプログラムコード(つまり命令)の形式をとってもよく、当該プログラムコードは、コンピュータ等のマシンへロードされてマシンによって実行されると、当該マシンは、本発明を実行するための装置になる。
【0052】
本発明の態様が様々な図の好ましい実施例に関して記述されたが、他の同様の実施例が使用されてもよく、修正及び追加が本発明の同じ機能を行なうために、ここに記述された実施例に対して、本発明の範囲から逸脱することなくなされてもよいことを理解されたい。更に、ハンドヘルド装置オペレーティング・システム及び他の特定用途のオペレーティング・システムを含む様々なコンピュータ・プラットフォームが、特に無線ネットワーク化されたデバイスの数が増殖し続けるにつれて、考慮されるべきである。したがって、本願にて請求される発明は、どの単一の実施例にも制限されるべきでなく、添付の特許請求の範囲による広さと範囲の中で解釈されるべきである。
【図面の簡単な説明】
【0053】
【図1】従来技術の認証システムを示すブロック図である。
【図2】本発明の機能の態様を描く例示的なブロック図である。
【図3】本発明の実施例を示す例示的な流れ図である。
【図4】例示的なホスト・コンピュータ環境を示すブロック図である。
【技術分野】
【0001】
本発明は、バイオメトリック証明書確認フレームワークに関する。
【背景技術】
【0002】
対話型のユーザ認証又はネットワーク認証のために使用されるバイオメトリックサンプルは、サンプリングされるたびにそれらが異なるという点で、現在の認証スキームで使用される従来のパスワードや暗号鍵とは異なる。バイオメトリックサンプルはいくつかの理由で暗号鍵資料にとって理想的ではない。バイオメトリックサンプルは強度が制限され、暗号の種(シード)のエントロピーは再生成又は変更され得る。バイオメトリックサンプルは絶対的な値ではない。それらはサンプルであって、1回のサンプリングから次のサンプリングまでに異なることもある。暗号鍵は元のシードから定義された絶対的なものである一方、バイオメトリック認証の測定値は変化する。これらの制限のために、バイオメトリックサンプルは暗号鍵資料にとって最適の選択ではない。
【0003】
バイオメトリックサンプルは、通常、以前にスキャンされかつ/又は計算された格納されたサンプル(しばしば業界で「テンプレート」と呼ばれる)に対して照合され、格納されたサンプルとの実際の一致が確認される場合、次に、格納された暗号鍵資料はシステムに公開されて、ユーザーログイン・セッションが当該鍵資料を使用して進むことを可能にする。しかし、一致処理及び/又は鍵保管が物理的に安全なサーバ等の安全な(セキュアな)環境の外部で行われる場合、鍵資料及び/又は参照テンプレートは攻撃と開示にさらされる。
【0004】
ワシントン州レドモンドのマイクロソフト(登録商標)・コーポレーションによって提供される現在のWindows(登録商標)アーキテクチャは、パスワード又はケルベロス/PKINIT認証をサポートするが、認証の通常の部分としてサーバ上でバイオメトリック認証のテンプレートの照合を行うことをサポートしない。今日、バイオメトリック認証のソリューションベンダーによって提供されるソリューションは、典型的には、クライアントマシン上でパスワード又はx.509ベースの証明書等の従来のログイン証明書を格納し、クライアントPC上にこれまた格納される参照バイオメトリックサンプルに対して有効なテンプレートの一致があった後にそれらを提出する。現在のシステムでは、パスワード、x.509ベースの証明書及び参照テンプレートは、それらが物理的に安全なサーバの外部に存在するため、攻撃及び開示にさらされる。
【発明の開示】
【発明が解決しようとする課題】
【0005】
したがって、安全な環境においてバイオメトリック認証を使用するシステム又は方法を提供することが望ましい。本発明はこれら及び他の事項に対処するものである。
【課題を解決するための手段】
【0006】
ここに述べる事項は、発明の詳細な説明においてさらに以下に述べられる概念の選択を単純化された形式で導入するために提供される。ここに述べる事項は、特許請求の範囲に記載の主題の重要な特徴又は本質的な特徴を識別するようには意図されず、特許請求の範囲に記載の主題の範囲を制限するように使用されることも意図されない。
【0007】
Windows(登録商標)又はアクティブ・ディレクトリベースのドメイン・インフラストラクチャー等の認証システムへのアクセスのためのバイオメトリック認証の使用での進歩は、ユーザからバイオメトリックデータを取得すること及びクライアントコンピュータへユーザID及びPINを入力することを含む。クライアントコンピュータは、ユーザのバイオメトリックデータをユーザのためのバイオメトリックデータのテンプレートの組とを照合することができるバイオメトリック照合サーバと安全に通信する。バイオメトリック認証サーバは、ユーザが認証され識別されることを確認することができる。一旦確認されたならば、照合サーバは、クライアントコンピュータに暗号鍵と共に仮の証明書を送信する。仮証明書と鍵はケルベロス認証システムへの即時アクセスを獲得するために使用される。クライアントによる仮証明書のその後の使用は、証明書の期限が切れるため、ケルベロス認証システムへのアクセスが拒絶される結果となる。一旦クライアントコンピュータがケルベロス・システムへのアクセスを獲得すれば、その後、コンピューティング資源の安全な組へのその後のアクセスを得ることができる。
【発明を実施するための最良の形態】
【0008】
本発明は、安全な認証計算システム環境を用いる場合にうまく機能する。1つのそのような既存の認証システム環境は、ケルベロスとして当業者によく知られている。図1は、典型的なケルベロス・システムのブロック図である。ケルベロスは、安全でないネットワークを介して通信する個人が、安全なやり方で互いに身元を証明することを可能にするコンピュータネットワーク認証プロトコルである。ケルベロスは、盗聴又はリプレーアタックを防ぎ、データの完全を保証する。ケルベロスはユーザとサービスの両方が互いの身元を確認する相互認証を提供する。ケルベロスは、対称鍵暗号に基礎を置き、信頼された第三者を必要とする。
【0009】
ケルベロスは、認証サーバ(AS)104及びチケット付与サーバ(TGS)106という2つの機能部を含んでいる。ケルベロスは、ユーザーの身元を証明するための役目をする「チケット」に基づいて機能する。ケルベロスを使用すると、クライアント102は、サービスサーバ(SS)108のリソースを使用するためにその身元を証明することができる。ケルベロスは、秘密鍵のデータベースを維持し、ネットワーク上の各エンティティは、クライアントであってもサーバであっても、自身及びケルベロスにのみ既知の秘密鍵を共有する。この鍵についての知識は、エンティティの身元を証明するための役目をする。2つのエンティティ間の通信に対して、ケルベロスは、相互作用を安全にするためにそれらが使用することができるセッション鍵を生成する。
【0010】
ケルベロス・システムを使用して、クライアントはAS104に対して自身を認証し、次に、TGS106に対して、クライアントがサービスのチケットを受け取ることを許可されていることを示し(及び当該チケットを受け取り)、次に、クライアントがサービスを受けることを承認されたことをSSに対して示す。ユーザがクライアント102上でユーザ名及びパスワードを入力すると処理が始まる。クライアントは、入力されたパスワードについて一方向ハッシュを実行し、これはクライアントの秘密鍵になる。クライアントは、リンク110を介して、ユーザに代わってサービスを要求する平文メッセージをAS104に送信する。この点において、秘密鍵もパスワードもASに送られない。
【0011】
AS104は、クライアント102がそのデータベースにあるかどうかチェックする。そのデータベースにある場合、ASはリンク110を介してクライアントに以下の2つのメッセージを送り返す:
*メッセージA: ユーザの秘密鍵を使用して暗号化されたクライアント/TGSセッション鍵
*メッセージB: TGSの秘密鍵を使用して暗号化された、チケット付与チケット(クライアントID、クライアント・ネットワーク・アドレス、チケット有効期間及びクライアント/TGSセッション鍵を含む)。
【0012】
一旦クライアントがメッセージA及びBを受け取れば、クライアントは、クライアント/TGSセッション鍵を得るためにメッセージAを解読する。このセッション鍵はTGSとのさらなる通信に使用される。(注:TGSの秘密鍵を使用して暗号化されるので、クライアントはメッセージBを解読することができない。)この点において、クライアント102は、TGSに対して自身を認証するために十分な情報を持っている。
【0013】
サービスを要求する場合、クライアント102はリンク112を介してTGS106に以下の2つのメッセージを送信する:
*メッセージC: メッセージBからのチケット付与チケット及び要求されたサービスのIDからなる
*メッセージD: クライアント/TGSセッション鍵を使用して暗号化された認証コード(authenticator)(クライアントID及びタイムスタンプからなる)。
【0014】
メッセージC及びDを受け取ると、TGS106はクライアント/TGSセッション鍵を使用してメッセージD(認証コード)を解読し、リンク112を介してクライアント102に以下の2つのメッセージを送信する:
*メッセージE: サービスの秘密鍵を使用して暗号化されたクライアント−サーバチケット(client-to-server ticket)、(クライアントID、クライアント・ネットワーク・アドレス及び有効期間を含む)
*メッセージF: クライアント/TGSセッション鍵で暗号化されたクライアント/サーバー・セッション鍵。
【0015】
TGS106からメッセージE及びFを受け取ると、クライアント102は、SS108に対して自身を認証するために十分な情報を持っている。クライアント102はリンク114を介してSS108に接続し、以下の2つのメッセージを送信する:
*メッセージG: サービスの秘密鍵を使用して暗号化されたクライアント−サーバチケット、
*メッセージH: クライアントID及びタイムスタンプを含み、クライアント/サーバー・セッション鍵を使用して暗号化される新しい認証コード。
【0016】
SS108は、それ自身の秘密鍵を使用してチケットを解読し、クライアントの真の身元及びクライアントのために働く旨を確認するために、リンク114を介してクライアント102に以下のメッセージを送信する。
*メッセージI: クライアント/サーバー・セッション鍵を使用して暗号化された、クライアントの最近の認証コードに1を加えて得られるタイムスタンプ。
【0017】
クライアント102は、SS108との共有鍵を使用して上記確認を解読し、タイムスタンプが正確に更新されるかどうかチェックする。正確に更新されるものであれば、その後、クライアント102は、SS108を信頼することができ、SS108へのサービス要求の発行を開始することができる。その後、SS108はクライアント102に対して、要求されたサービスを提供することができる。
【0018】
本発明は、バイオメトリックサンプリング装置を備えたケルベロス・システムの態様を有利に使用することができる。1つの環境では、バイオメトリックシステムで登録される各ユーザの参照テンプレートを保持する、新しく定義されたバイオメトリック照合サーバに対して、ユーザ名、ドメイン名、UPNなどのような要求されたユーザ身元、PIN/パスワード及び読み手に署名された(reader-signed)暗号のバイオメトリックサンプルが安全に送られる、新しい枠組みが実施され得る。サンプル上の要求された身元、PIN/パスワード、署名及び一致がすべて確認される場合、その後、X.509証明書又は対称鍵又はワンタイムパスワードなどの仮の(一時的な)証明書(信任状)が生成され、ユーザに返される。1つの実施例では、代わりの仮証明書を、当業者に知られているように使用することができる。その後、ユーザは認証システムにより自動又は手動の方法でのログインのために証明書を使用してもよい。
【0019】
この新しい枠組は、上述のような現在のバイオメトリック認証の実施よりも、対話型のユーザ・ログインやネットワーク・ユーザ・ログインに使用される暗号鍵資料のよりよい保護を提供する。新しい枠組の利点は、バイオメトリックサンプリング装置の内部の暗号鍵を、不正使用(tampering)からサンプルを保護するために使用できることを含んでいる。この暗号鍵は、バイオメトリックサンプリング装置の内部の集積回路内に提供されてもよい。バイオメトリック照合サーバ上の鍵は、一時的なログイン証明書の生成のために使用されてもよい。この鍵は物理的に安全なサーバ上に存在し、証明書の作成のためにネットワークによって信頼される。ログインのためにユーザに与えられる証明書は、非常に短時間の間のみ使用可能である。また、この新しい枠組は現在のケルベロス/PKINIT認証構造と互換性をもつ。
【0020】
図2は本発明の機能の態様を示すブロック図である。ユーザ入力202は、クライアントコンピュータ206及びバイオメトリックサンプリング装置204の両方に提供される。ユーザー入力は、サービスサーバ212中のリソースへのアクセスを獲得するべくクライアントにログオンするために、バイオメトリック認証システムにおいて必要である。サーバ212にアクセスするために、ユーザーは、バイオメトリック照合サーバ208を使用して、バイオメトリックサンプリング装置204及びクライアントコンピュータ206を介して識別される必要がある。認証システム210と共に、ユーザは、その後、ユーザが認証されれば、サービスサーバ212を使用することができる。
【0021】
本発明の態様に関する典型的なシナリオでは、ユーザは、ユーザーID及びPIN又はパスワードの入力によりクライアントのアクセスを始めることができる。これは、ユーザー入力202の一部を形成する。クライアントコンピュータ206は、バイオメトリックサンプルを提示するようにユーザに促すことができる。いくつかのシステムでは、バイオメトリックサンプルは、能動的に収集する代わりに単に受身的に収集されてもよい。バイオメトリックサンプリング装置204は、ユーザのバイオメトリックサンプルを収集する。その後、バイオメトリックサンプリング装置204は、バイオメトリックサンプルに暗号的に署名し、クライアントコンピュータ・システム206へ転送する。暗号の署名はクライアントコンピュータ内での不正使用からバイオメトリックサンプルを保護するために使用される。ディジタル暗号の署名は、サンプルをとったバイオメトリック認証装置に対する発生元認証を確立する。この動作は、既知の発生源から新鮮なサンプルがクライアントに提供されることを証明する。
【0022】
その後、クライアントコンピュータ206は、バイオメトリック照合サーバ208に対する安全な接続226を確立し、バイオメトリックサンプル情報を転送する。1つの実施例において、セキュア・ソケット・レイヤー(SSL)及び/又はトランスポート・レイヤー・セキュリティ(TLS)接続は、伝送中の不正使用からサンプルを保護するために、クライアント206とバイオメトリック照合サーバ208又は他の安全なリンク方法との間でなされる。
【0023】
クライアント206からバイオメトリック認証サーバ208へ送られた情報は、デジタル署名、バイオメトリックサンプル、ユーザー入力PIN及び/又はパスワード、タイムスタンプ及び/又はワンタイムパスワードを含む。このデータが、バイオメトリック照合サーバ208のデータベース中でユーザに関連付けられた参照データと一致する場合、バイオメトリック照合サーバは、暗号の公開/秘密鍵ペア、及びユーザログイン・セッションのためのx.509証明書等のデジタル証明書を生成する。短時間で有効期限が切れるように、デジタル証明書は短い有効期間で構築される。デジタル証明書と鍵ペアは、バイオメトリック照合コンピュータ208からクライアントコンピュータ206へ、安全なリンクによって送られる。本発明の1つの態様では、仮の(一時的な)デジタル証明書が、サービス・サーバ212リソースにアクセスする際にセキュリティレベルを増加させるために発行される。多くのバイオメトリック認証装置リーダ又はバイオメトリック認証システムが、バイオメトリックリーダ又はクライアントコンピュータに永久的な証明書を格納している。これは、先のアクセスで使用された証明書の提示による違法のアクセスの危険を増加させる。認証システムによって認識される仮の又は一時的な証明書の生成によって、バイオメトリック読み取りの新鮮さ及び証明書の強度は向上させられる。固定期間内に1セットの認証システム証明書より多くを得るために再使用することができないので、有効性において、仮の一時的な証明書はより安全である。1つの実施例では、固定期間は10分から数時間の時間間隔で固定されてもよい。従って、証明書は、特定の認証セッションの間唯一のものとなる。認証システムに対して割当てられた時間内に仮の証明書を使用しないことは、証明書の期限切れにより認証システムのアクセスの拒絶に帰着する。
【0024】
一旦鍵と証明書が発行されたならば、クライアント206は、例示的な実施例においては、ケルベロスKDC(鍵配布センター、Key Distribution Center)となる、安全なシステム210に対して自身を認証することに進むことができる。一例の認証システムはケルベロス・システムである。1つのケルベロス認証の実施例では、クライアントは、現在のPKINITプロトコルを使用して、認証要求として、ケルベロス認証サーバ(図1を参照)に対し、ユーザーID、証明書及び署名を提示する。PKINIT認証プロトコルが成功する場合、ケルベロス・チケット付与チケット(TGT)を含んでいるユーザ・トークンが、ケルベロスベースのネットワークでのその後の使用のためにクライアント206に対して発行される。クライアント106は、その時に、一時的なPKI証明書及び鍵又は鍵ペアを廃棄してもよい。クライアント206は、その後、さらなるケルベロス・アクセス・プロトコルによってサービスサーバ212へのアクセスを自由に獲得することができる。
【0025】
図3は、認証システムとともにバイオメトリック認証装置を使用する方法300を示す流れ図である。その処理は、バイオメトリック認証システムを使用するクライアントコンピュータのログインセッションをユーザが開始することによって始まる(ステップ302)。1つの実施例では、クライアントコンピュータがバイオメトリックサンプルを提供するようにユーザに促すような、対話型処理に遭遇する。別の実施例においては、バイオメトリックサンプリング装置はサンプルを受動的に収集する。いずれの場合も、クライアントは、ユーザーID、個人識別番号(PIN)、及び/又はパスワードを収集する(ステップ304)。いくつかのバイオメトリック認証システムは、PINとパスワードの両方を要求してもよく、その一方で他のものはどちらも要求しなくてもよい。しかし、PIN及び/又はパスワードを含むことにより、バイオメトリックサンプリングシステムでユーザ証明書を収集する処理に対して一層の権限及び信頼性が加わる。というのは、それがユーザの協力を必要とし、生のデータを示すことができるからである。いくつかのシステムにおいて、PlN又はパスワードは、バイオメトリックサンプリング装置によって、及び、遠隔のバイオメトリック照合サーバによって、両方とも局所的に、必要となり得る。
【0026】
一層のセキュリティ対策として、ユーザから集められたバイオメトリックデータは、デジタル処理で署名される。 バイオメトリックデータのこのデジタル署名は、データを収集するために特定のバイオメトリックサンプリング装置が使用されたことを示す。例えば、クライアントコンピュータによって認識されないバイオメトリック認証装置データが提示される場合、クライアントコンピュータは、使用されるサンプリング装置をクライアントが認識できないことに基づいて、バイオメトリックデータを拒絶することができる。加えて、バイオメトリックサンプルデータの新鮮さを証明するために、タイムスタンプがバイオメトリックサンプルに加えられてもよい。例えば、時間が古くなったデータがクライアントコンピュータに提示される場合、クライアントコンピュータは、古くて不正に提出された可能性があるものであるとして、バイオメトリックデータを拒絶してもよい。さらなる代替として、ワンタイムパスワードが、タイムスタンプとともに又はその代わりに加えられてもよい。タイムスタンプ及び/又はワンタイムパスワードが加えられる例において、デジタル署名は収集されたデータのすべてに適用されてもよい。
【0027】
ユーザ照明書及びバイオメトリックデータを収集した後に、バイオメトリック照合サーバとの安全なリンクが開拓され、クライアントコンピュータは収集されたデータを安全に送信する(ステップ306)。安全なリンクは、クライアントからバイオメトリック照合サーバまで秘密鍵を使用して確立されてもよい。使用される秘密鍵は、当該鍵が安全なトランザクションにおいてクライアントに与えられた場合、バイオメトリック認証サーバに来てもよい。また、秘密鍵は、外部機関により安全に提供することができ、クライアントに付与することができる。その後、クライアントは、署名されたバイオメトリックデータ、ユーザーID及びPIN又はパスワード、並びにタイムスタンプ又はワンタイムパスワードを含むデータのページを暗号化するために秘密鍵を使用する。
【0028】
バイオメトリック認証サーバにおいて、収集されたデータの多くのチェックが行なわれる。ステップ308−316のチェックが任意の論理的な順序で実行できる。一つの実施例では、バイオメトリックデータ及びユーザ証明書のパッケージは、タイムスタンプ及びワンタイムパスワードのデータとともに、有効性を検査される。ユーザーIDはチェックされ、バイオメトリック照合サーバにリストされた許可されたユーザのリストと照合される(ステップ308)。このステップでは、バイオメトリック照合サーバは、識別情報と一致するユーザが存在することを確認する。そのようなユーザが存在しなければ、処理300は失敗し、ユーザ・ログオンは終了する。
【0029】
パスワード又はPIN情報がバイオメトリックデータ収集と共に提示された場合、当該情報は、許可されたユーザに属するものとして確認される(ステップ310)。前述のように、ユーザPIN又はパスワード情報の確認が無効の場合、処理300は失敗し、ユーザ・ログオンは終了する。次に、バイオメトリックデータ自体が照合される(ステップ312)。提出されたバイオメトリックデータの比較は、バイオメトリック照合サーバを介して利用可能なバイオメトリックデータの安全なテンプレートに対して好ましくは行なわれる。テンプレート情報は、当業者に既知の任意の安全な手段によって提供されてもよい。バイオメトリック照合が統計的に有意な相関性や一致をもたらさない場合、処理300は失敗し、ユーザーログインは終了する。
【0030】
タイムスタンプ又はワンタイムパスワードがバイオメトリックデータ収集の時に提出されたか又は加えられた場合、バイオメトリックデータの別の確認が行なわれてもよい(ステップ314)。このタイムスタンプ又はワンタイムパスワードのデータは、得られたバイオメトリックデータが新鮮であり、単にコピーされたり再提出されたものでないことを保証するのに役立つ。1つの実施例では、ワンタイムパスワード又はタイムスタンプは、バイオメトリックサンプリング装置自体、又はクライアントコンピュータによって生成されてもよい。いずれの場合も、タイムスタンプ又はワンタイムパスワードのデータは、最近収集されたサンプルであることを示すものとしてハードウェアにより加えられたバイオメトリックサンプルデータ上のスタンプとして、加えられてもよい。ハードウェアは、タイムスタンプ、ワンタイムパスワード及び/又はデジタル署名を加えるバイオメトリックサンプリング装置内の集積回路に存在してもよい。
【0031】
バイオメトリックデータの別の確認は、バイオメトリックサンプリング装置によって加えられるデジタル署名が、バイオメトリック認証装置を認証することの確認である(ステップ316)。デジタル署名によって示されたバイオメトリックサンプリング装置がクライアントコンピュータに関連付けられたものであることをバイオメトリック照合サーバが認識しない場合、処理300は失敗し、ユーザーログインは終了する。デジタル署名も、バイオメトリックデータ及びタイムスタンプ及び/又はワンタイムパスワードがサンプリング装置による生成の後に操作されなかったことを確認するために使用することができる。
【0032】
バイオメトリック照合サーバに与えられた情報のパッケージが受信のための基準のすべてを満たすことが確認されると、次に、鍵及び少なくとも1つの仮(一時的)証明書が生成される(ステップ318)。バイオメトリック照合サーバは、クライアントによる使用のための公開/秘密鍵ペアを生成する。公開/秘密鍵ペアは、RSA、ECC、DH又は当業者に知られているような他のタイプのもの等の任意の特定の暗号アルゴリズムによっても制限されていない。クライアント及び認証システムと互換性をもつすべての種類の暗号手段は、本発明において使用可能である。同様に、証明書フォーマットはX.509に制限されていない。フォーマットは、XrML、ISO REL、SAML又は当業者に既知の他のフォーマットであり得る。クライアント及び認証システムと互換性があれば、すべての種類のデジタル証明書を使用できる。さらに、クライアント、バイオメトリック照合サーバ、認証システム及びサービスサーバ等の機能間の任意の接続において使用される暗号鍵及び方法は対称であっても非対称であってもよい。
【0033】
バイオメトリックリーダ、走査装置又はサンプリング装置で使用される暗号鍵は製造中に供給されてもよいし、暗号鍵階層(cryptographic key hierarchy)、公開鍵基盤(public key infrastructure)又は他の外部機関を使用して、組織によって供給されてもよい。バイオメトリック照合サーバ上で生成される暗号鍵は、ソフトウェアで生成されてもよいし、HSM又はアクセラレータなどのハードウェアデバイスを使用して生成されてもよいし、鍵機関にとって追跡可能な外部の発行元からロードされた、あらかじめ計算された鍵のリストを使用して生成されてもよい。
【0034】
図3及び処理300に戻り、鍵及び証明書の生成後、鍵及び証明書がクライアントに与えられる(ステップ320)。一般に、バイオメトリック照合サーバにアップロードされる情報はすべて、鍵及び証明書と共に返される。これにより、クライアントは、クライアントコンピュータ上にデータを格納することなく、ユーザ証明書(ユーザーID、PIN、及び/又はパスワード)にクライアントがアクセスすることを可能にする。クライアントがバイオメトリック照合サーバから鍵及び証明書並びに返された証明書を受け取った後、所望のコンピュータ資源にアクセスするために、クライアントは、認証システムに対して、受け取った情報を適用することができる(ステップ322)。ここで、本発明の実施例は、認証システムの性質に依存して変化することがあり得る。1つの実施例では、ケルベロス認証プロトコルが使用される。
【0035】
1つの実施例では、クライアントは、図1に関して上述したようなケルベロス・プロトコルを開始してもよい。プロトコル中の要素として、クライアントは、結局のところ、仮証明書、ユーザーID、PIN及び/又はパスワード、暗号鍵を提示し、保護されたサービスサーバを介したコンピュータリソースへのアクセスが与えられるように、ケルベロス・チケット付与サーバへと当該情報を渡して、サービス・チケットを要求する。他の実施例は、使用される特定の認証サーバの必要によって要求されるような異なるプロトコルを使用してもよい。
【0036】
図3の方法の1つの代替例において、ユーザID、PIN及び/又はパスワード並びにバイオメトリックサンプルは、バイオメトリック照合サーバに対して送る前に、ハードウェアデバイスによってローカルに最初に確認されてもよい。別の代替例では、データはすべてクライアントによって収集され、サーバに渡され、安全な処理でサーバによってのみ確認されてもよい。
【0037】
図3の方法の1つの実施例において、バイオメトリック認証サーバへのデータパッケージの送信は(ステップ306)、さらにクライアントコンピュータ206によって生成された秘密/公開鍵ペアの一部である公開鍵を含んでいる。バイオメトリック認証サーバへデータパッケージ内で送られる公開鍵は、デジタル証明書等の証明書と共にクライアントコンピュータ206に送り返される前に、バイオメトリック認証サーバによって認証される(ステップ320)。
【0038】
本発明の1つの実施例において、図2の機能は様々な形式で組み合わせられてもよい。例えば、クライアント206及びバイオメトリック照合サーバは組み合わせられてもよいし、又は、認証システム210及びクライアントコンピュータは組み合わせられてもよいし、又は、バイオメトリックサンプリング装置204及びクライアントコンピュータ206は組み合わせられてもよいし、又は、認証サーバ210及びバイオメトリック照合サーバ208が組み合わせられてもよい。図2の機能的ブロックは様々な方法で組み合わせられてもよいが、結果として得られるシステム200の全体機能は損なわれない。
例示的なコンピュータ装置
図4及び以下の説明は、媒体記憶装置とインターフェースするのに適したホストコンピュータの簡潔な概説を提供するように意図される。汎用コンピュータが以下に述べられているが、これは単一プロセッサの1つの例に過ぎず、複数のプロセッサを備えたホストコンピュータの実施例は、ネットワーク/バス相互運用性及び相互作用を持っているクライアントのような他のコンピュータ装置で実施されてもよい。
【0039】
必ずしも必要なわけではないが、本発明の実施例は、装置又はオブジェクト向けのサービスの開発者が使用するために、オペレーティング・システムを介して実施することができ、及び/又はアプリケーション・ソフトウェア内に含ませることができる。ソフトウェアは、クライアント・ワークステーション、サーバ、又はその他の装置などの、1つ又は複数のコンピュータで実行される、プログラム・モジュールなどの、コンピュータ実行可能命令の一般的コンテキストにおいて記述することができる。一般に、プログラム・モジュールは、特定のタスクを実行したり、特定の抽象データ型を実装したりする、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。通常、プログラム・モジュールの機能は、様々な実施形態において、必要に応じて、組み合わせたり分散させたりすることができる。さらに、本発明の様々な実施例が、その他のコンピュータ構成を用いて実行できることは、当業者であれば理解されよう。本発明とともに使用するのに適している可能性のあるその他の周知のコンピューティング・システム、環境、及び/又は構成には、パーソナル・コンピュータ(PC)、現金自動預け払い機(automated teller machines)、サーバ・コンピュータ、ハンドヘルド又はラップトップ装置、マルチ・プロセッサ・システム、マイクロ・プロセッサ・ベースのシステム、プログラム可能な家庭用電化製品、ネットワークPC 、電気器具、照明、環境制御要素、ミニ・コンピュータ、メインフレーム・コンピュータなど、が含まれるが、これらに限定されるものではない。本発明の実施例は、タスクが通信ネットワーク/バス又はその他のデータ伝送媒体を介して結合された遠隔処理装置で実行される、分散コンピューティング環境でも実施することができる。分散コンピューティング環境では、プログラム・モジュールは、メモリ・ストレージ装置を含む、ローカル・コンピュータ・ストレージ媒体及びリモート・コンピュータ・ストレージ媒体の両方に配置することができ、クライアント・ノードは、サーバ・ノードとして機能することもできる。
【0040】
図4を参照すると、一例のホスト・コンピュータを実施するための例示的なシステムは、コンピュータ・システム410の形態をとる汎用コンピューティング装置を含む。コンピュータ410のコンポーネントには、プロセッシング・ユニット420、システム・メモリ430、及びシステム・メモリを含む様々なシステム・コンポーネントをプロセッシング・ユニット420に結合するシステム・バス421を含めることができるが、これらに限定されるものではない。システム・バス421は、様々なバス・アーキテクチャのいずれかを使用する、メモリ・バス又はメモリ・コントローラ、周辺バス、及びローカル・バスを含む、複数のタイプのバス構造のうちのいずれかとすることができる。
【0041】
コンピュータ・システム410は一般に、様々なコンピュータ可読媒体を含む。コンピュータ可読媒体は、コンピュータ410によってアクセス可能な任意の利用可能な媒体とすることができ、揮発性及び不揮発性媒体、着脱可能及び着脱不能媒体を含む。たとえば、コンピュータ可読媒体は、コンピュータ記憶媒体を含み得るが、これらに限定されるものではない。コンピュータ記憶媒体は、コンピュータ可読命令、データ構造、プログラム・モジュール、又はその他のデータといった情報を記憶するための任意の方法又は技法によって実装される、揮発性及び不揮発性媒体、着脱可能及び着脱不能媒体を含む。コンピュータ記憶媒体には、ランダム・アクセス・メモリ(RAM)、読取専用メモリ(ROM)、電気的消却・プログラム可能型読取専用メモリー(EEPROM)、フラッシュ・メモリ、又はその他のメモリ技術、CDROM、CDRW、デジタル多用途ディスク(DVD)、又はその他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、又はその他の磁気記憶装置、あるいは所望の情報を記憶するのに使用でき、コンピュータ・システム410によってアクセス可能なその他の任意の媒体が含まれるが、これらに限定されるものではない。
【0042】
システム・メモリ430は、読取専用メモリ(ROM)431やランダム・アクセス・メモリ(RAM)432などの、揮発性及び/又は不揮発性メモリの形態をとるコンピュータ記憶媒体を含む。基本入出力システム(BIOS)433は、起動処理中などにコンピュータ・システム410内の要素間の情報伝送を助ける基本ルーチンを含み、一般にROM431に記憶される。RAM432は一般に、プロセッシング・ユニット420が即座にアクセス可能な、及び/又は現在プロセッシング・ユニット420上で動作している、データ及び/又はプログラム・モジュールを含む。たとえば、図4には、オペレーティング・システム433、アプリケーション・プログラム435、その他のプログラム・モジュール436、及びプログラム・データ437が示されているが、これらに限定されるものではない。
【0043】
コンピュータ・システム410には、他の取外し可能/取外し不能、揮発性/不揮発性のコンピュータ記憶媒体も含めることができる。例としてのみ、図4に、取外し不能の不揮発性磁気媒体から読み取るか書き込むハードディスクドライブ431、取外し可能の不揮発性磁気ディスク452から読み取るか書き込む磁気ディスクドライブ451、及びCD ROM、CDRW、DVD又は他の光学媒体などの取外し可能不揮発性光ディスク456から読み取るか書き込む光ディスクドライブ455を示す。例示的な動作環境で使用することができる他の取外し可能/取外し不能、揮発性/不揮発性のコンピュータ記憶媒体には、磁気テープカセット、フラッシュメモリカード、ディジタル多用途ディスク、ディジタルビデオテープ、固体RAM、固体ROM等が含まれるが、これに制限はされない。ハードディスクドライブ441は、通常は、インターフェース440などの取外し不能メモリインターフェースを介してシステムバス421に接続され、磁気ディスクドライブ451及び光ディスクドライブ455は、通常は、インターフェース450などの取外し可能メモリインターフェースによってシステムバス421に接続される。
【0044】
上記で論じ、図4に示すドライブとそれに関連するコンピュータ記憶媒体は、コンピュータ・システム410のコンピュータ可読命令、データ構造、プログラムモジュール、及びその他のデータの記憶を実現する。例えば図4では、ハードディスクドライブ441を、オペレーティングシステム444、アプリケーションプログラム445、その他のプログラムモジュール446、及びプログラムデータ447を格納するものとして図示している。これらの構成要素は、オペレーティングシステム444、アプリケーションプログラム445、その他のプログラムモジュール446、及びプログラムデータ447と同じものでも異なるものでもよいことに留意されたい。ここでは少なくともそれらが異なる複製であることを表すために、オペレーティングシステム444、アプリケーションプログラム445、その他のプログラムモジュール446、及びプログラムデータ447に異なる参照符号をつけている。
【0045】
ユーザは、キーボード462と、一般にマウス、トラックボール、あるいはタッチパッドと呼ばれるポインティング装置461などの入力装置を介してコンピュータ・システム410にコマンドと情報を入力することができる。その他の入力装置(図示せず)には、マイクロフォン、ジョイスティック 、ゲームパッド、サテライトディッシュ、スキャナなどがある。上記及びその他の入力装置は、しばしばシステムバス421に結合されたユーザ入力インターフェース460を通じてプロセッサ420に接続されるが、パラレルポート、ゲームポート、あるいはユニバーサルシリアルバス(USB)など他のインターフェース及びバス構造によって接続することもできる。モニタ491又はその他のタイプの表示装置もビデオインターフェース490などのインターフェースを介してシステムバス421に接続され、ビデオインタフェース490はビデオメモリ(図示せず)と通信することができる。コンピュータ・システムはモニタ491に加えてスピーカ497やプリンタ496など他の周辺出力装置も含むことができ、これらの装置は出力周辺インターフェース495を介して接続することができる。
【0046】
コンピュータ・システム410は、リモートコンピュータ480など1つ又は複数のリモートコンピュータへの論理接続を使用するネットワーク環境あるいは分散環境で動作することができる。リモートコンピュータ480は、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピア装置、あるいはその他の共通ネットワークノードでよく、図4にはメモリ記憶装置481しか示していないが、通常は上記でコンピュータ・システム410に関連して説明した要素のうちの多くあるいはすべてを含む。図4に示す論理接続には、ローカル・エリア・ネットワーク(LAN)471と広域ネットワーク(WAN)473が含まれるが、その他のネットワーク/バスも含むことができる。このようなネットワーキング環境は、家庭、オフィス、企業規模のコンピュータネットワーク、イントラネット、及びインターネットなどで一般的なものである。
【0047】
LANネットワーキング環境で使用される時に、コンピュータ・システム410は、ネットワークインターフェース又はネットワークアダプタ470を介してLAN471に接続される。WANネットワーキング環境で使用される場合、コンピュータ・システム410に、通常は、インターネットなどのWAN473を介する通信を確立する、モデム472又は他の手段が含まれる。内蔵又は外付けとすることができるモデム472は、ユーザ入力インターフェース460を介して、又は別の適当な機構を介して、システムバス421に接続することができる。ネットワーク化された環境では、コンピュータ・システム410に関して図示されたプログラムモジュール又はその一部を、リモートメモリストレージデバイスに格納することができる。制限ではなく例として、図4に、メモリデバイス481に存在するリモートアプリケーションプログラム485を示す。図示のネットワーク接続が、例示的であり、コンピュータの間の通信リンクを確立する他の手段を使用することができることを理解されたい。
【0048】
様々な分散コンピューティングフレームワークが、パーソナルコンピューティングとインターネットの集束に鑑みて、開発され、また開発されつつある。個人及びビジネスユーザに、アプリケーション及びコンピューティングデバイスに関するシームレスに相互運用可能なウェブ対応インターフェースが与えられ、コンピューティング活動がますますウェブブラウザ指向又はネットワーク指向になる。
【0049】
例えば、マイクロソフト・コーポレーションから入手可能なMICROSOFT(登録商標).NET(商標)プラットフォームは、サーバ、ウェブベースのデータ記憶装置のようなビルディングブロック・サービス及びダウンロード可能なデバイス・ソフトウェアを含んでいる。本明細書に記載の典型的な実施例は計算装置上に存在するソフトウェアに関して記述されているが、本発明の実施例の1つ又は複数の部分は、オペレーティング・システム、アプリケーション・プログラム・インターフェース(API)又はコプロセッサ、ディスプレイ装置及び要求するオブジェクトのうちのいずれの間の「中間物」オブジェクトによって実施されてもよく、その結果.NET(商標)の言語及びサービスのすべてにおいて、また他の分散コンピューティングの枠組みにおいて同様に、サポートされ又はこれらを介してアクセスされることによって動作が行なわれてもよい。
【0050】
上述のように、本発明の例示的な実施例が様々な計算装置及びネットワーク・アーキテクチャに関して説明されたが、基本的概念は、バイオメトリック証明書の確認スキームを実施することが望ましいあらゆる計算装置又はシステムに適用されてもよい。したがって、本発明の実施例に関して記述された方法とシステムは、様々なアプリケーション及びデバイスに適用されてもよい。例示的なプログラミング言語、名前及び例が様々な選択肢として本明細書において選択されたが、これらの言語、名前及び例は制限するようには意図されない。当業者であれば、本発明の実施例によって達成される同一の、類似の又は同等のシステム及び方法を達成するオブジェクト・コードを提供する多数の方法があることを理解するであろう。
【0051】
本明細書に記述された様々な技術は、ハードウェアもしくはソフトウェアに関して、又は、適切な場合には両方の組合せと共に実施することができる。したがって、本発明の方法及び装置、又はそのある側面又は部分は、フロッピー(登録商標)ディスク、CD−ROM、ハードドライブ又は他の機械可読の記憶媒体のような有形の媒体に具体化されたプログラムコード(つまり命令)の形式をとってもよく、当該プログラムコードは、コンピュータ等のマシンへロードされてマシンによって実行されると、当該マシンは、本発明を実行するための装置になる。
【0052】
本発明の態様が様々な図の好ましい実施例に関して記述されたが、他の同様の実施例が使用されてもよく、修正及び追加が本発明の同じ機能を行なうために、ここに記述された実施例に対して、本発明の範囲から逸脱することなくなされてもよいことを理解されたい。更に、ハンドヘルド装置オペレーティング・システム及び他の特定用途のオペレーティング・システムを含む様々なコンピュータ・プラットフォームが、特に無線ネットワーク化されたデバイスの数が増殖し続けるにつれて、考慮されるべきである。したがって、本願にて請求される発明は、どの単一の実施例にも制限されるべきでなく、添付の特許請求の範囲による広さと範囲の中で解釈されるべきである。
【図面の簡単な説明】
【0053】
【図1】従来技術の認証システムを示すブロック図である。
【図2】本発明の機能の態様を描く例示的なブロック図である。
【図3】本発明の実施例を示す例示的な流れ図である。
【図4】例示的なホスト・コンピュータ環境を示すブロック図である。
【特許請求の範囲】
【請求項1】
認証システムとともにバイオメトリックサンプリング装置を使用する方法であって、
クライアントコンピュータ(206)によってバイオメトリックサンプルデータを受け取るステップであって、前記サンプルデータは該サンプルデータの起源を確認するデジタル署名を有する、受け取るステップと、
ユーザ識別(ID)並びに前記ユーザに関連付けられた個人識別番号(PIN)及びパスワードのうち少なくとも1つを受け取るステップと、
前記バイオメトリックサンプルデータ、前記PIN及び前記パスワードのうち少なくとも1つ並びに前記ユーザIDを含むデータパッケージを、バイオメトリック照合サーバ(208)へ送信するステップ(306)と、
照合サーバ(208)において、前記ユーザIDが許可されたユーザに関連付けられること(308)、前記ユーザPIN又はパスワードが有効であること、前記サンプルデータは前記許可されたユーザのデータのテンプレートと一致すること(312)。及び前記デジタル署名は有効であること(316)を確認するステップと、
前記照合サーバ(208)において、仮証明書及び少なくとも1の暗号鍵を生成するステップ(318)と、
前記データパッケージとともに前記仮証明書及び前記少なくとも1つの暗号鍵を前記クライアントコンピュータ(206)に送信するステップ(320)と、
前記クライアントコンピュータ(206)の外部の資源(212)に後にアクセスするために前記仮証明書及び前記少なくとも1つの暗号鍵を使用して、安全な認証システムにアクセスするステップ(210)とを含む方法。
【請求項2】
クライアントコンピュータによってバイオメトリックサンプルデータを受け取る前記ステップは、バイオメトリックサンプリング装置からサンプルデータ、タイムスタンプ及びデジタル署名を受け取るステップを含む請求項1記載の方法。
【請求項3】
データパッケージをバイオメトリック照合サーバへ送信する前記ステップは、安全なリンクを介して前記データパッケージを送信するステップを含み、前記データパッケージは、前記バイオメトリックサンプルデータ、前記ユーザID及び前記PIN又はパスワードを含む請求項1記載の方法。
【請求項4】
前記データパッケージはクライアントが生成した公開鍵をさらに含み、前記照合サーバは、前記クライアントコンピュータに前記仮証明書を送信する前に、前記クライアントが生成した公開鍵を認証する請求項3記載の方法。
【請求項5】
照合サーバにおいて仮証明書及び少なくとも1の暗号鍵を生成する前記ステップは、認証システムと互換性をもつ仮証明書及び公開/秘密鍵ペアを生成するステップを含む請求項1記載の方法。
【請求項6】
前記公開/秘密鍵ペアは前記バイオメトリック照合サーバに安全に提供される請求項5記載の方法。
【請求項7】
前記認証システムはケルベロス認証システムである請求項5記載の方法。
【請求項8】
安全な認証システムにアクセスするステップは、サービスサーバの資源に後にアクセスするために仮の証明書及び公開/秘密鍵ペアを使用してケルベロス・システムにアクセスするステップを含み、前記仮証明書のフォーマットはX.509、XrML、ISO REL又はSAMLのうちの1つを含む請求項1記載の方法。
【請求項9】
認証システムにアクセスするコンピュータ・システムであって、
ユーザ識別子(ID)のエントリが受け取られる、クライアントコンピュータ(206)に対するユーザ・インタフェース(202)と、
前記ユーザのバイオメトリックデータをサンプリングし、サンプリングされたバイオメトリックデータをデジタル署名とともに前記クライアントコンピュータ(206)に提供するバイオメトリックサンプリング装置(204)と、
前記バイオメトリックデータ、前記デジタル署名及び前記ユーザIDを含むデータパッケージを生成する、前記クライアントコンピュータ(206)において動作するプログラムの第1の部分と、
前記クライアントコンピュータ(206)とバイオメトリック照合サーバ(208)との間の安全な接続(226)であって、前記クライアントコンピュータ(206)から前記バイオメトリック照合サーバ(208)まで前記データパッケージを転送するために使用される安全な接続と、
前記データパッケージ内の情報を認証し、前記安全な接続(226)を介して、前記認証システム(210)にアクセスするための仮証明書及び少なくとも1つの鍵とともに前記データパッケージを返すプログラムと、
前記認証システム(210)にアクセスするための前記仮証明書及び少なくとも1つの鍵を使用する、前記クライアントコンピュータ(206)において動作する前記プログラムの第2の部分とを具備するコンピュータ・システム。
【請求項10】
バイオメトリックサンプリング装置は、デジタル署名とともに前記サンプリングされたバイオメトリックデータに付随する時間タグをさらに提供する請求項9記載のシステム。
【請求項11】
前記データパッケージは、個人識別番号(PIN)及びパスワードの少なくとも1つをさらに含む請求項9記載のシステム。
【請求項12】
前記安全な接続はSSL/TLSインターフェースを含む請求項9記載のシステム。
【請求項13】
前記バイオメトリック照合サーバにおける前記プログラムは、前記ユーザーIDが有効なユーザーを表すこと、前記バイオメトリックデータが前記ユーザのバイオメトリック認証テンプレートと一致すること、及び前記デジタル署名が有効であることを確認する請求項9記載のシステム。
【請求項14】
前記仮証明書は前記認証システムとの1つの認証セッションに対して有効である請求項9記載のシステム。
【請求項15】
前記認証システムはケルベロス認証システムである請求項10記載のシステム。
【請求項16】
前記認証システムにアクセスするための前記少なくとも1つのキーは公開/秘密鍵ペアを含む請求項9記載のシステム。
【請求項17】
前記公開/秘密鍵ペアは、外部の鍵機関によって前記バイオメトリック照合サーバに提供される請求項16記載のシステム。
【請求項18】
ケルベロス・タイプの認証システムともにバイオメトリックサンプリング装置を使用する方法を実行するコンピュータ実行可能命令を有するコンピュータ可読媒体であって、前記方法は、
クライアントコンピュータ(206)によってバイオメトリックサンプルデータを受け取るステップであって、前記サンプルデータは、前記サンプルデータの起源を確認するデジタル署名を有する、受け取るステップと、
ユーザ識別(ID)並びに前記ユーザに関連付けられた個人識別番号(PIN)及びパスワードのうち少なくとも1つを受け取るステップと、
前記バイオメトリックサンプルデータ並びに前記PIN及び前記パスワードのうち少なくとも1つを含むデータパッケージを、バイオメトリック照合サーバ(208)へ送信するステップ(306)と、
前記照合サーバ(208)において、前記ユーザーID及びPINが許可されたユーザに関係付けられること(308)、前記サンプルデータが前記許可されたユーザのデータのテンプレートと一致すること(312)、及び前記デジタル署名が有効であること(316)を確認するステップと、
前記照合サーバ(208)において仮証明書及び公開/秘密鍵ペアを生成するステップと、
前記データパッケージとともに前記仮証明書及び前記鍵ペアを前記クライアントコンピュータ(206)に送信するステップと、
前記クライアントコンピュータ(206)の外部の資源(212)に後にアクセスするために、前記仮証明書及び前記鍵ペアを使用して前記ケルベロス・タイプの認証システム(210)にアクセスするステップとを含む、コンピュータ可読媒体。
【請求項19】
クライアントコンピュータによってバイオメトリックサンプルデータを受け取る前記ステップは、前記サンプルデータ、タイムスタンプ及びワンタイムパスワードのうち少なくとも1つ並びにデジタル署名をバイオメトリックサンプリング装置から受け取るステップを含む請求項18記載のコンピュータ可読媒体。
【請求項20】
ケルベロス・タイプの認証システムにアクセスする前記ステップは、サービスサーバの資源に後にアクセスするために、仮証明書及び公開/秘密鍵ペアを使用してケルベロス・システムにアクセスするステップを含み、前記仮証明書のフォーマットはX.509、XrML、ISO REL又はSAMLのうちの1つを含む請求項18記載のコンピュータ可読媒体。
【請求項1】
認証システムとともにバイオメトリックサンプリング装置を使用する方法であって、
クライアントコンピュータ(206)によってバイオメトリックサンプルデータを受け取るステップであって、前記サンプルデータは該サンプルデータの起源を確認するデジタル署名を有する、受け取るステップと、
ユーザ識別(ID)並びに前記ユーザに関連付けられた個人識別番号(PIN)及びパスワードのうち少なくとも1つを受け取るステップと、
前記バイオメトリックサンプルデータ、前記PIN及び前記パスワードのうち少なくとも1つ並びに前記ユーザIDを含むデータパッケージを、バイオメトリック照合サーバ(208)へ送信するステップ(306)と、
照合サーバ(208)において、前記ユーザIDが許可されたユーザに関連付けられること(308)、前記ユーザPIN又はパスワードが有効であること、前記サンプルデータは前記許可されたユーザのデータのテンプレートと一致すること(312)。及び前記デジタル署名は有効であること(316)を確認するステップと、
前記照合サーバ(208)において、仮証明書及び少なくとも1の暗号鍵を生成するステップ(318)と、
前記データパッケージとともに前記仮証明書及び前記少なくとも1つの暗号鍵を前記クライアントコンピュータ(206)に送信するステップ(320)と、
前記クライアントコンピュータ(206)の外部の資源(212)に後にアクセスするために前記仮証明書及び前記少なくとも1つの暗号鍵を使用して、安全な認証システムにアクセスするステップ(210)とを含む方法。
【請求項2】
クライアントコンピュータによってバイオメトリックサンプルデータを受け取る前記ステップは、バイオメトリックサンプリング装置からサンプルデータ、タイムスタンプ及びデジタル署名を受け取るステップを含む請求項1記載の方法。
【請求項3】
データパッケージをバイオメトリック照合サーバへ送信する前記ステップは、安全なリンクを介して前記データパッケージを送信するステップを含み、前記データパッケージは、前記バイオメトリックサンプルデータ、前記ユーザID及び前記PIN又はパスワードを含む請求項1記載の方法。
【請求項4】
前記データパッケージはクライアントが生成した公開鍵をさらに含み、前記照合サーバは、前記クライアントコンピュータに前記仮証明書を送信する前に、前記クライアントが生成した公開鍵を認証する請求項3記載の方法。
【請求項5】
照合サーバにおいて仮証明書及び少なくとも1の暗号鍵を生成する前記ステップは、認証システムと互換性をもつ仮証明書及び公開/秘密鍵ペアを生成するステップを含む請求項1記載の方法。
【請求項6】
前記公開/秘密鍵ペアは前記バイオメトリック照合サーバに安全に提供される請求項5記載の方法。
【請求項7】
前記認証システムはケルベロス認証システムである請求項5記載の方法。
【請求項8】
安全な認証システムにアクセスするステップは、サービスサーバの資源に後にアクセスするために仮の証明書及び公開/秘密鍵ペアを使用してケルベロス・システムにアクセスするステップを含み、前記仮証明書のフォーマットはX.509、XrML、ISO REL又はSAMLのうちの1つを含む請求項1記載の方法。
【請求項9】
認証システムにアクセスするコンピュータ・システムであって、
ユーザ識別子(ID)のエントリが受け取られる、クライアントコンピュータ(206)に対するユーザ・インタフェース(202)と、
前記ユーザのバイオメトリックデータをサンプリングし、サンプリングされたバイオメトリックデータをデジタル署名とともに前記クライアントコンピュータ(206)に提供するバイオメトリックサンプリング装置(204)と、
前記バイオメトリックデータ、前記デジタル署名及び前記ユーザIDを含むデータパッケージを生成する、前記クライアントコンピュータ(206)において動作するプログラムの第1の部分と、
前記クライアントコンピュータ(206)とバイオメトリック照合サーバ(208)との間の安全な接続(226)であって、前記クライアントコンピュータ(206)から前記バイオメトリック照合サーバ(208)まで前記データパッケージを転送するために使用される安全な接続と、
前記データパッケージ内の情報を認証し、前記安全な接続(226)を介して、前記認証システム(210)にアクセスするための仮証明書及び少なくとも1つの鍵とともに前記データパッケージを返すプログラムと、
前記認証システム(210)にアクセスするための前記仮証明書及び少なくとも1つの鍵を使用する、前記クライアントコンピュータ(206)において動作する前記プログラムの第2の部分とを具備するコンピュータ・システム。
【請求項10】
バイオメトリックサンプリング装置は、デジタル署名とともに前記サンプリングされたバイオメトリックデータに付随する時間タグをさらに提供する請求項9記載のシステム。
【請求項11】
前記データパッケージは、個人識別番号(PIN)及びパスワードの少なくとも1つをさらに含む請求項9記載のシステム。
【請求項12】
前記安全な接続はSSL/TLSインターフェースを含む請求項9記載のシステム。
【請求項13】
前記バイオメトリック照合サーバにおける前記プログラムは、前記ユーザーIDが有効なユーザーを表すこと、前記バイオメトリックデータが前記ユーザのバイオメトリック認証テンプレートと一致すること、及び前記デジタル署名が有効であることを確認する請求項9記載のシステム。
【請求項14】
前記仮証明書は前記認証システムとの1つの認証セッションに対して有効である請求項9記載のシステム。
【請求項15】
前記認証システムはケルベロス認証システムである請求項10記載のシステム。
【請求項16】
前記認証システムにアクセスするための前記少なくとも1つのキーは公開/秘密鍵ペアを含む請求項9記載のシステム。
【請求項17】
前記公開/秘密鍵ペアは、外部の鍵機関によって前記バイオメトリック照合サーバに提供される請求項16記載のシステム。
【請求項18】
ケルベロス・タイプの認証システムともにバイオメトリックサンプリング装置を使用する方法を実行するコンピュータ実行可能命令を有するコンピュータ可読媒体であって、前記方法は、
クライアントコンピュータ(206)によってバイオメトリックサンプルデータを受け取るステップであって、前記サンプルデータは、前記サンプルデータの起源を確認するデジタル署名を有する、受け取るステップと、
ユーザ識別(ID)並びに前記ユーザに関連付けられた個人識別番号(PIN)及びパスワードのうち少なくとも1つを受け取るステップと、
前記バイオメトリックサンプルデータ並びに前記PIN及び前記パスワードのうち少なくとも1つを含むデータパッケージを、バイオメトリック照合サーバ(208)へ送信するステップ(306)と、
前記照合サーバ(208)において、前記ユーザーID及びPINが許可されたユーザに関係付けられること(308)、前記サンプルデータが前記許可されたユーザのデータのテンプレートと一致すること(312)、及び前記デジタル署名が有効であること(316)を確認するステップと、
前記照合サーバ(208)において仮証明書及び公開/秘密鍵ペアを生成するステップと、
前記データパッケージとともに前記仮証明書及び前記鍵ペアを前記クライアントコンピュータ(206)に送信するステップと、
前記クライアントコンピュータ(206)の外部の資源(212)に後にアクセスするために、前記仮証明書及び前記鍵ペアを使用して前記ケルベロス・タイプの認証システム(210)にアクセスするステップとを含む、コンピュータ可読媒体。
【請求項19】
クライアントコンピュータによってバイオメトリックサンプルデータを受け取る前記ステップは、前記サンプルデータ、タイムスタンプ及びワンタイムパスワードのうち少なくとも1つ並びにデジタル署名をバイオメトリックサンプリング装置から受け取るステップを含む請求項18記載のコンピュータ可読媒体。
【請求項20】
ケルベロス・タイプの認証システムにアクセスする前記ステップは、サービスサーバの資源に後にアクセスするために、仮証明書及び公開/秘密鍵ペアを使用してケルベロス・システムにアクセスするステップを含み、前記仮証明書のフォーマットはX.509、XrML、ISO REL又はSAMLのうちの1つを含む請求項18記載のコンピュータ可読媒体。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2010−505286(P2010−505286A)
【公表日】平成22年2月18日(2010.2.18)
【国際特許分類】
【出願番号】特願2009−518201(P2009−518201)
【出願日】平成19年6月25日(2007.6.25)
【国際出願番号】PCT/US2007/014718
【国際公開番号】WO2008/091277
【国際公開日】平成20年7月31日(2008.7.31)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成22年2月18日(2010.2.18)
【国際特許分類】
【出願日】平成19年6月25日(2007.6.25)
【国際出願番号】PCT/US2007/014718
【国際公開番号】WO2008/091277
【国際公開日】平成20年7月31日(2008.7.31)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]