認証のための方法およびシステム
本発明は、認証のための方法、デバイス、およびシステムを開示している。認証のための方法は、クラアイント側に対応している特権セキュリティレベルを取得することと、前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせることと、前記識別セキュリティレベルにしたがって、識別認証のための認証パラメータを決定することと、前記認証パラメータを使用して、前記クライアント側で前記識別認証を実行することと、認証結果を獲得することとを含む。識別認証と特権認証とを組み合わせて、識別認証は、特権セキュリティレベルと一致する識別セキュリティレベルにしたがって実行されるので、識別認証のルールを調整することができ、認証のプロセスの柔軟性を向上させることができる。
【発明の詳細な説明】
【優先権の主張】
【0001】
本出願は、“識別と特権との組み合わせによる認証のための方法、ユニット、およびシステム”と題され2006年8月18日に中国特許庁に出願された中国特許出願第200610109879.9号と、“バイオメトリックセキュリティレベルのテンプレートを設定するための方法およびデバイス”と題され2006年10月30日に中国特許庁に出願された中国特許出願第200610136498.X号と、“認証のための方法およびシステム”と題され2006年10月30日に中国特許庁に出願された中国特許出願第200610136497.5号とに対する優先権を主張し、これらの出願は、これらのすべての参照によりここに組み込まれている。
【発明の分野】
【0002】
本発明は、情報セキュリティ技術に関し、特に、認証のための方法、デバイス、およびシステムに関する。
【背景】
【0003】
インターネットの急速な発展によって、電子商取引は、オンライン銀行およびオンライン取引のような多くの分野で人気を得ている。パスワードによって個人アカウント情報を保護する従来の方法は、明らかに、データのセキュリティを保証するのに十分ではない。近年では、アカウントのインターネット詐欺および盗用が、ますます深刻になっている。したがって、個人情報の保護および認証の、より高いレベルのセキュリティメカニズムを発展させることが必要不可欠である。
【0004】
パブリックキーインフラストラクチャ(PKI)は、いくつかの分野で応用されている。公開することができて、かつ、パブリックキーおよびユーザの他の情報を記憶することができるパブリック証明書は、オーソリティによってユーザに配布される。パブリックキーに対応しているプライベートキーは、ユーザ自身によって保持されている。パブリックキーは、プライベートキーとの関連付けの一意的な関係を有しており、プライベートキーによって推測することはできないが、パブリックキーによって暗号化された情報はプライベートキーによってのみ解読することが可能である。PKIのこのような特性には、プライベートキーを確認することによって、ユーザが、パブリックキー証明書において宣言されたエンティティであるかどうかを認証者に確認させることができるので、結果的に、ユーザの情報が違法に盗用されないことを保証することができる。
【0005】
PKIメカニズムでは、ユーザのプライベートキーを保護することが重要なポイントである。プライベートキーは、大抵、デジタル情報として何らかのハードウェアに置かれる。プライベートキーが紛失した場合、ユーザのパーソナル情報が公表される可能性があることを意味する。
【0006】
バイオメトリック識別の技術とは、指紋、虹彩等の識別技術のような人間の物理的特徴または行動特徴を使用することによって識別認証が実行される技術のことを言う。近年では、バイオメトリック識別技術は、ますます成熟してきている。インターネットを通して識別が実行されるという特別な状況であるために、バイオメトリック特徴と組み合わせる識別は、一意的で、かつ安定性があるようなバイオメトリック特徴を利用して、情報セキュリティの保証を提供することができる。
【0007】
個人のバイオメトリック情報を使用して、識別認証を実行することは、情報を保護する効果的な方法である。バイオメトリック情報の特徴と、インターネットによって識別認証を実行するという特別な状況とを考慮して、バイオメトリック情報をPKIと組み合わせることによって、より安全な認証アーキテクチャを形成することができる。
【0008】
PKIシステムは、個人識別のためのメカニズムであり、さらに、バイオメトリック特徴が個人識別を確認するための基本的要素であるので、PKIおよびバイオメトリック特徴の双方を利用することができ、2つの技術のそれぞれの欠点を克服することができる。クライアント側で整合することにより認証するための方法を例として挙げて、詳細なプロセスを図1に示した。認証は、ユーザの収集されたバイオメトリック特徴サンプルを、ユーザによって提供されたバイオメトリック証明書におけるバイオメトリック特徴テンプレートと整合することによって、ユーザの識別の有効性を決定する。
【0009】
異なるユーザのさまざまな要求に応じて、サービスプロバイダは、特権マネンジメントインフラストラクチャ(PMI)を使用して、異なるユーザに対して異なる特権を許可することができる。
【0010】
PMIは、属性証明書、属性特権、属性証明書リポジトリ等を組み合わせたものであり、特権および証明書の発生、マネンジメント、記憶、配布、ならびに取り消し機能のうちの任意のものを実現するが、これらに限定されるものではない。
【0011】
属性証明書(AC)は、エンティティに対する特権を規定している。デジタル署名を有するデータ構造によって、エンティティと特権とを組み合わせたものが提供される。属性オーソリティによってサインされて管理されているこのようなデータ構造を、属性証明書と呼ぶ。ACは、拡張メカニズムと一連の特別な証明書拡張メカニズムとを含む。図2に示したように、属性証明書のフォーマットは、バージョンと、シリーズ番号と、有効性の期間と、発行者と、署名アルゴリズムおよびこれらの識別子と、ホルダと、発行者の一意的な情報と、属性情報と、拡張情報と、発行者の署名とのうちの任意のものを含む。
【0012】
PMIは、情報を保護するための新しいインフラストラクチャを提供し、PKIとカタログサービスとを密に一体化し、証明書で認定されたユーザに対して特定の特権を体系的に許可するためのメカニズムを確立する。PMIは、特権マネンジメントのための体系的な定義および記述を提供し、認証サービス中に必要とされる全体的なプロセスを提供する。
【0013】
識別認証および特権認証は、データセキュリティリには極めて重要なものである。先行技術では、特権認証を実行するときに、サーバが、認証についての要求をユーザから受け取るステップと、サーバが、予め設定された認証ルールにしたがって認証を実行するステップと、認証が合格した場合、サーバが、ユーザに対して、対応する特権を許可するステップとを含む、識別および特権認証を別々に実行することによって、識別および特権認証するための方法が存在する。
【0014】
識別認証を実行するプロセスは、特権認証のプロセスに類似しているが、何らかの予め設定された認証ルールにしたがってサーバによってその認証が実行される間、2つのタイプの認証は独立して実行される。しかしながら、識別認証を実行するだけでは、あるいは、特権認証を実行するだけでは、認証の正確性を保証することはできない。
【0015】
先行技術における識別および特権認証のための別の方法は、識別認証を最初に実行することと、識別認証に合格したときに、特権認証を実行することとを含む。
【0016】
このような技術スキームは、全体的な認証プロセスの厳密性、さらには正確性も高めるかもしれない。しかしながら、このようなプロセスは、何らかの予め設定されたルールのみにしたがって実行されるので、実際の状況にしたがって認証ルールを調整することができず、さらには、認証を動的に実行することができないので、結果として、識別および特権認証のプロセスの柔軟性が限定される。
【概要】
【0017】
本発明の実施形態では、認証を実現するための方法、デバイス、およびシステムを提供する。
【0018】
本発明の実施形態は、識別と特権との組み合わせによる認証のための方法を提供し、
クラアイント側に対応している特権セキュリティレベルを取得することと、
前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせることと、
前記識別セキュリティレベルにしたがって、識別認証のための認証パラメータを決定することと、
前記認証パラメータを使用して、前記クライアント側で前記識別認証を実行することと、
認証結果を獲得することとを含む。
【0019】
本発明の別の実施形態は、抽出ユニットと、バイオメトリック処理ユニットと、認証ユニットとを具備する、識別と特権との組み合わせによる認証のためのシステムを提供し、
前記抽出ユニットは、クライアント側に対応している前記特権セキュリティレベルを取得して、前記特権セキュリティレベルを前記バイオメトリック処理ユニットに送るように構成され、
前記バイオメトリック処理ユニットは、前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせて、前記識別セキュリティレベルにしたがって、識別認証のための認証パラメータを決定し、前記認証パラメータを前記認証ユニットに送るように構成され、
前記認証ユニットは、前記認証パラメータを使用して、前記クライアント側で前記識別認証を実行するように構成されている。
【0020】
本発明の別の実施形態は、関連付けユニットと、パラメータ発生ユニットと、生身のバイオメトリックテンプレートを発生させるためのユニットと、バイオメトリック証明書を抽出するためのユニットとを具備するバイオメトリック処理のためのデバイスを提供し、
前記関連付けユニットは、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係を取得し、前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせして、前記識別セキュリティレベルを前記パラメータ発生ユニットに送るように構成され、
前記パラメータ発生ユニットは、前記関連付けユニットから受け取った前記識別セキュリティレベルに対応している認証パラメータを発生させて、前記生身のバイオメトリックテンプレートを発生させるためのユニットに前記パラメータを送るように構成され、
前記生身のバイオメトリックテンプレートを発生させるためのユニットは、前記パラメータ発生ユニットからの前記認証パラメータと、ユーザのバイオメトリック情報とにしたがって、生身のバイオメトリックテンプレートを発生させるように構成され、
前記バイオメトリック証明書を抽出するためのユニットは、受け取ったバイオメトリック証明書からユーザのバイオメトリックテンプレートを抽出するように構成されている。
【0021】
本発明の別の実施形態は、バイオメトリック認証のための方法を提供し、
パラメータ情報に対する一意的な識別子を取得することと、
バイオメトリックセキュリティレベルの確立されたリストにしたがって、前記パラメータ情報に対する一意的な識別子に対応しているバイオメトリック認証パラメータを問い合わせることと、
ユーザのバイオメトリック情報をクライアント側から受け取ることと、
前記バイオメトリック認証パラメータにしたがって、前記クライアント側からの前記ユーザのバイオメトリック情報に基づいてバイオメトリック認証を実行することとを含む。
【0022】
本発明の別の実施形態は、クライアント側と、認証側とを具備する、バイオメトリック認証のためのシステムを提供し、
前記クライアント側は、パラメータ情報に対する一意的な識別子とユーザのバイオメトリック情報とを前記認証側に送るように構成され、
前記認証側は、前記パラメータ情報に対する一意的な識別子と、前記ユーザのバイオメトリック情報とを前記クライアント側から取得して、バイオメトリックセキュリティレベルの確立されたリストにしたがって、前記パラメータ情報に対する一意的な識別子に対応しているバイオメトリック認証パラメータを問い合わせて、前記バイオメトリック認証パラメータにしたがって、前記クライアント側からの前記ユーザのバイオメトリック情報に基づいてバイオメトリック認証を実行するように構成されている。
【0023】
第1に、識別認証と特権認証とを組み合わせて、アクセスに要求される特権セキュリティレベルと一致する識別セキュリティレベルにしたがって識別認証が実行されるので、実際のシチュエーションにしたがって識別認証のルールを調整することができ、認証のプロセスの柔軟性を向上させることができることと、
第2に、ある整合アルゴリズムにしたがって、生身のバイオメトリックテンプレートを、ユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得して、整合スコアをしきい値と比較することによって、認証が合格したか否かが決定されるので、認証の正確性を向上させることとを含む、
本発明の実施形態に関係するいくつかの効果が存在することは、前述した技術スキームから認識することができる。
【図面の簡単な説明】
【0024】
【図1】図1は、先行技術におけるバイオメトリックテンプレートを使用して、識別認証を実行するためのプロセスのフローチャートである。
【図2】図2は、属性証明書のフォーマットを示している。
【図3】図3は、属性証明書におけるバイオメトリック拡張情報のフォーマットを示している。
【図4】図4は、本発明の実施形態にしたがった、方法のフローチャートである。
【図5】図5は、本発明の実施形態にしたがった、方法の別のフローチャートである。
【図6】図6は、本発明の実施形態にしたがった、システムの構造図である。
【図7】図7は、本発明の実施形態にしたがった、システムの機能を示している図である。
【図8】図8は、本発明の実施形態にしたがった、バイオメトリック処理ユニットの構造図である。
【図9】図9は、本発明の実施形態にしたがった、バイオメトリック処理ユニットの機能を示している図である。
【図10(a)】図10(a)は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートのフォーマットを示している。
【図10(b)】図10(b)は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートのフォーマットを示している。
【図10(c)】図10(c)は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートのフォーマットを示している。
【図11】図11は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートを設定するプロセスのフローチャートである。
【図12】図12は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートを設定するためのデバイスの構造図である。
【図13】図13は、本発明の実施形態におけるバイオメトリック認証のためのプロセスのフローチャートである。
【図14】図14は、図13に示したプロセスと比較してより詳細な実施形態にしたがった、プロセスのフローチャートである。
【図15】図15は、図13に示したプロセスを実行するためのバイオメトリック認証システムの構造図である。
【詳細な説明】
【0025】
認証のための方法、システム、およびデバイスを提供する本発明の実施形態では、実際の状況にしたがって認証のためのルールを調整することができるので、認証のためのプロセスの柔軟性を向上させることができる。
【0026】
バイオメトリック認証を使用するために、若干、PMIシステムを増補する必要がある。システム上での影響を最小限にするために、拡張項目を属性証明書に追加する。
【0027】
属性証明書の拡張情報は、主に、証明書のアプリケーションに関係するポリシーを宣言するためのものである。属性証明書の拡張情報は、ベーシック拡張情報、特権取消拡張情報、ルート属性オーソリティ拡張情報、役割拡張情報、および許可拡張情報等を含む。
【0028】
属性証明書を使用して特権認証を実行するとき、クライアントの識別に基づいて認証を最初に実行する。特権と識別との間の関連付けの関係の正確性を確実にするために、属性証明書とバイオメトリック証明書とを組み合わせる。したがって、バイオメトリック証明書に関連付けられたインデックス情報を属性証明書のバイオメトリック拡張情報に加える。これによって、ベーシック拡張情報内のバイオメトリック拡張が新しくなる。バイオメトリック拡張は、バイオメトリック証明書識別子と呼ばれ、図3に図示している。
【0029】
図3に図示したように、バイオメトリック証明書識別子は、「バイオメトリック証明書発行者およびバイオメトリック証明書シリアル番号」、エンティティ名およびオブジェクトの要約を含み、バイオメトリック証明書発行者およびバイオメトリック証明書シリアル番号は、属性証明書のホルダに対応しているバイオメトリック証明書、すなわち、属性証明書のホルダにおける識別認証に必要とされるバイオメトリック証明書、のマークである。属性証明書において識別認証を実行したとき、ホルダの収集されたバイオメトリックデータをバイオメトリック証明書のテンプレートと整合し、認証の結果を獲得する。バイオメトリック証明書発行者およびバイオメトリック証明書シリアル番号は双方ともオプションであってもよい。
【0030】
エンティティ名は、1つ以上の属性証明書ホルダの名前のマークである。エンティティ名がバイオメトリック拡張における項目に過ぎない場合、エンティティ名に含まれるサブジェクト名に対応している何らかのバイオメトリック証明書は、属性証明書のホルダの識別を認証するために使用されてもよい。言い換えると、バイオメトリック証明書のサブジェクト名がエンティティ名に含まれている限り、サブジェクト名は、ホルダの識別を認証するために使用されてもよい。ホルダの何らかのバイオメトリック証明書が認証に合格した場合に、識別認証は合格する。しかしながら、「バイオメトリック証明書発行者およびバイオメトリック証明書シーケンス番号」ならびにエンティティ名の双方の項目が存在する場合、認証を実行する最初の選択肢として、「バイオメトリック証明書発行者およびバイオメトリック証明書シーケンス番号」の項目を選ぶ。
【0031】
オブジェクトの要約は、属性ホルダのバイオメトリック証明書のシリアル番号、有効性の期間、サブジェクトおよびサブジェクトの一意的な識別、発行者および発行者の一意的な識別子、テンプレートフォーマットの識別子、バイオメトリック特徴テンプレート、ならびに拡張情報を含むパラメータに基づいた計算によって獲得される要約情報であり、属性証明書ホルダの識別を認証するために使用される。ホルダ上で識別認証を実行するとき、要約は、ホルダのバイオメトリック証明書に基づいて獲得される。属性証明書のバイオメトリック拡張におけるオブジェクト要約情報を要約と比較して、同一の属性証明書に一致するバイオメトリック証明書がホルダによって提供された適切なものであるかどうか、識別認証のプロセスがさらに実行される。
【0032】
関連付けられている属性証明書にしたがってバイオメトリック証明書を確実に探すために、バイオメトリック拡張は、「バイオメトリック証明書発行者およびバイオメトリック証明書シリアル番号」、エンティティ名、ならびにオブジェクトの要約のうちの少なくとも何らかの項目を含む。
【0033】
バイオメトリックテンプレートを含むPKIパブリックキー証明書を使用して、識別認証を実行する場合、PKI証明書に対する属性証明書のインデックスによって、属性証明書とバイオメトリックテンプレートとの間の関連付けの関係を確立することができる。インデックスは、拡張インデックスによって確立されず、属性証明書のホルダによる定義によって確立される。
【0034】
クライアント側の特権および特権セキュリティレベルは、属性証明書中に含まれる。クライアント側のバイオメトリックテンプレートは、バイオメトリック証明書中に含まれる。識別セキュリティレベルは、バイオメトリックアルゴリズム証明書中に含まれ、それぞれのレベルについて、バイオメトリックテンプレート処理アルゴリズムの対応するパラメータと、整合アルゴリズムパラメータと、しきい値とが存在する。属性証明書における特権セキュリティレベルとバイオメトリックアルゴリズム証明書における識別セキュリティレベルとが関連付けられているので、特権セキュリティレベルの値と識別セキュリティレベルとが関連付けられ、したがって、この方法で、2つの値の間の関連付けによって、特権は識別と関連付けられる。
【0035】
識別認証を実行するときに、システムは、属性証明書を抽出することによって特権セキュリティレベルを獲得して、特権セキュリティレベルと、バイオメトリックアルゴリズム証明書から抽出された識別セキュリティレベルとを整合することによって、使用するパラメータを決定する。識別セキュリティレベルは、バイオメトリックテンプレート処理アルゴリズムのパラメータと、整合アルゴリズムのパラメータと、しきい値とを含む。
【0036】
本発明の実施形態では、アプリケーションユニットがクライアント側からアクセス要求を受け取ったときに、アプリケーションユニットが、クライアント側からのバイオメトリック証明書および属性証明書を要求する。アプリケーションユニットは、受け取った属性証明書を認証して、特権セキュリティレベルを獲得し、属性証明書からの特権にアクセスする。アプリケーションユニットは、認証側中に記憶されているバイオメトリックアルゴリズム証明書を抽出して、識別セキュリティレベルを獲得する。アプリケーションユニットは、バイオメトリック処理アルゴリズムのパラメータとしきい値とを決定して、生身のバイオメトリックテンプレートを発生させる。アプリケーションユニットは、クライアント側のバイオメトリック証明書を抽出して、ユーザのバイオメトリックテンプレートを獲得する。アプリケーションユニットは、生身のバイオメトリックテンプレートをユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得する。しきいと整合スコアとにしたがって、アプリケーションユニットは、認証が合格したか否かを決定する。認証が合格した場合、アプリケーションユニットは、クライアントからの要求に対する応答を戻す。
【0037】
図4に図示したように、本発明の実施形態の一般的なプロセスは、以下のステップを含む。
【0038】
401:特権認証を識別認証と関連付ける。
【0039】
このステップでは、属性証明書の特権セキュリティレベルを、バイオメトリックアルゴリズム証明書の識別セキュリティレベルと関連付けることが、特権認証を識別と関連付ける方法であってもよい。
【0040】
402:特権セキュリティレベルを取得する。
【0041】
403:特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせる。
【0042】
このステップでは、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係にしたがって、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせることが、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせる方法であってもよい。
【0043】
404:認証のためのパラメータを決定する。
【0044】
このステップでは、問い合わせた識別セキュリティレベルにしたがって、認証のためのパラメータを決定することが、認証のためのパラメータを決定する方法であってもよい。認証のためのパラメータは、生身のバイオメトリックテンプレート処理アルゴリズムのパラメータと、整合アルゴリズムのパラメータと、しきい値とを含んでいてもよい。
【0045】
405:ステップ404で決定された認証のためのパラメータを使用して、クライアントのバイオメトリックテンプレートを認証する。
【0046】
406:認証結果を発生させる。
【0047】
図5に図示したように、本発明の実施形態の詳細なプロセスは以下のものを含む。
【0048】
501:特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係を確立する。
【0049】
このステップにおいて、確立された関係情報は、バイオメトリックアルゴリズム証明書中に記憶され、関係情報は、データベース等のような他の位置に記憶されていてもよい。
【0050】
特権セキュリティレベルと特権セキュリティリとの間の関連付けを確立することによって特権認証を識別認証と関連付けるこの方法に加えて、特権認証を識別認証と関係付ける他の方法が存在してもよい。
【0051】
502:クライアント側が、アプリケーションユニットにアクセス要求を送る。
【0052】
このステップでは、送信される要求は、アプリケーションユニットにアクセスするために使用されるリソースに適用するためのものであってもよい。
【0053】
503:識別情報を転送するためのユニットを呼び出す。
【0054】
このステップでは、識別情報を転送するためのユニットが、クライアント側からのバイオメトリック証明書および属性証明書を要求するために呼び出される。
【0055】
504:バイオメトリック証明書および属性証明書を取得する。
【0056】
このステップでは、バイオメトリック証明書および属性証明書についての要求をクライアントに送った後、識別情報を転送するためのユニットが、バイオメトリック証明書および属性証明書をクライアント側から受け取る。
【0057】
505:特権セキュリティレベルを取得する。
【0058】
このステップでは、抽出ユニットが、識別情報を転送するためのユニットによって転送される属性証明書を抽出し、特権セキュリティレベルを獲得する。
【0059】
506:特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせる。
【0060】
このステップでは、バイオメトリック処理ユニットが、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせる。
【0061】
507:認証パラメータを決定する。
【0062】
このステップでは、バイオメトリック処理ユニットが、問い合わせた識別セキュリティレベルにしたがって認証パラメータを決定する。識別セキュリティレベルは、生身のバイオメトリックテンプレート処理アルゴリズムのパラメータと、整合アルゴリズムパラメータと、しきい値とを含む。
【0063】
508:生身のバイオメトリックテンプレートを発生させる。
【0064】
このステップでは、バイオメトリック処理ユニットが、受け取ったユーザのバイオメトリック情報と、生身のバイオメトリックテンプレート処理アルゴリズムのパラメータとにしたがって、生身のバイオメトリックテンプレートを発生させる。
【0065】
509:ユーザのバイオメトリックテンプレートを取得する。
【0066】
このステップでは、バイオメトリック処理ユニットが、クライアント側から獲得したバイオメトリック証明書からユーザのバイオメトリックテンプレートを抽出する。このステップは、ユーザのバイオメトリック証明書を取得した後または取得する前に実行されてもよい。
【0067】
510:生身のバイオメトリックテンプレートをユーザのバイオメトリックテンプレートと整合する。
【0068】
このステップでは、認証ユニットが、生身のバイオメトリックテンプレートをユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得する。整合するさまざまな方法が存在するが、これは限定されるものではない。
【0069】
511:整合スコアがしきい値より大きいか否か、または、しきい値に等しいか否かを決定し、整合スコアが、しきい値より大きいか、または、しきい値に等しい場合に、プロセスはステップ512に進み、そうでなければ、プロセスはステップ513に進む。
【0070】
このステップでは、しきい値は、認証パラメータのうちの1つであってもよく、識別セキュリティレベルにしたがって獲得される。
【0071】
512:クライアント側についての認証が合格した場合、プロセスはステップ514に進む。
【0072】
513:クライアント側についての認証が不合格であった場合、プロセスはステップ514に進む。
【0073】
514:クライアント側に応答を戻す。
【0074】
このステップでは、認証結果を含む応答をクライアント側に戻す。
【0075】
本発明の実施形態では、アプリケーションユニットがアクセス要求をクライアント側から受け取ったとき、アプリケーションユニットが、識別情報を転送するためのユニットを呼び出す。識別情報を転送するためのユニットが、クライアント側からのバイオメトリック証明書および属性証明書を要求する。そして、抽出ユニットが、属性証明書を抽出し、特権セキュリティレベルを獲得して、特権にアクセスする。
【0076】
識別情報を転送するためのユニットによって呼び出されたバイオメトリック処理ユニットが、バイオメトリックアルゴリズム証明書を抽出して、識別セキュリティレベルを取得し、識別セキュリティレベルにしたがって、バイオメトリック処理パラメータおよびしきい値を決定して、生身のバイオメトリックテンプレートを発生させる。
【0077】
バイオメトリック処理ユニットが、クライアント側のバイオメトリック証明書を抽出し、ユーザのバイオメトリックテンプレートを獲得し、生身のバイオメトリックテンプレートとユーザのバイオメトリックテンプレートとを整合して、整合スコアを得る。認証ユニットが、整合スコアとしきい値とにしたがって、識別認証が合格したか否かを決定する。しきい値認証に合格した場合、識別情報を転送するためのユニットが、アプリケーションユニットに特権を戻す。アプリケーションユニットは、要求したリソースをクライアント側に戻す。
【0078】
クライアント側の特権および特権セキュリティレベルは、属性証明書中に含まれている。ユーザのバイオメトリックテンプレートは、クライアント側のバイオメトリック証明書中に含まれている。特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係は、バイオメトリックアルゴリズム証明書中に含まれている。各特権セキュリティレベルまたは識別セキュリティレベルには、生身のバイオメトリックテンプレート処理アルゴリズムパラメータと整合アルゴリズムパラメータとしきい値とを含む、対応するパラメータがある。
【0079】
図6に図示したように、本発明の実施形態にしたがったシステムは、アプリケーションユニット601と、識別情報を転送するためのユニット602と、抽出ユニット603と、バイオメトリック情報収集ユニット604と、バイオメトリック処理ユニット605と、認証ユニット606とを備えている。
【0080】
この実施形態では、クライアント側が、アプリケーションユニット601にアクセス要求を送る。アプリケーションユニット601は、アクセス要求を受け取った後に、識別情報を転送するためのユニット602を呼び出すように構成されている。識別情報を転送するためのユニット602は、属性証明書およびバイオメトリック証明書についての要求をクライアント側に送るように構成されている。属性証明書およびバイオメトリック証明書をクライアント側から受け取った後に、識別情報を転送するためのユニット602が、抽出ユニット603およびバイオメトリック処理ユニット605に、属性証明書およびバイオメトリック証明書を送る。抽出ユニット603は、特権セキュリティレベルを属性証明書から取得して、特権セキュリティレベルをバイオメトリック処理ユニット605に送るように構成されている。
【0081】
バイオメトリック情報収集するためのユニット604は、ユーザのバイオメトリック情報をクライアント側から取得して、ユーザのバイオメトリック情報をバイオメトリック処理ユニット605に送るように構成されている。
【0082】
特権セキュリティレベルを受け取ると、バイオメトリック処理ユニット605は、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係にしたがって、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせるように構成されている。バイオメトリック処理ユニット605は、識別セキュリティレベルにしたがって、認証パラメータを決定し、バイオメトリック情報を収集するためのユニット604からのユーザのバイオメトリック情報によって、生身のバイオメトリックテンプレートを発生させて、生身のバイオメトリックテンプレートと、クライアントのバイオメトリック証明書におけるクライアントのバイオメトリックテンプレートと、整合アルゴリズムパラメータと、しきい値とを、認証ユニット606に送る。
【0083】
認証ユニット606は、クライアントのバイオメトリックテンプレートを生身のバイオメトリックテンプレートと整合し、識別情報を転送するためのユニット602に認証結果を送るように構成されている。
【0084】
図7に図示したように、本発明の実施形態にしたがったシステムによって実行されるプロセスは、以下のものを含む。
【0085】
701:クライアント側が、アプリケーションユニットにアクセス要求を送る。
【0086】
702:アプリケーションユニットが、識別情報を転送するためのユニットを呼び出す。
【0087】
703:識別情報を転送するためのユニットが、クライアント側からのバイオメトリック証明書および属性証明書を要求する。
【0088】
704:クライアント側が、識別情報を転送するためのユニットにバイオメトリック証明書および属性証明書を送る。
【0089】
705:識別情報を転送するためのユニットが、抽出ユニットを呼び出す。
【0090】
706;識別情報を転送するためのユニットが、バイオメトリック処理ユニットを呼び出す。
【0091】
707:抽出ユニットが、属性証明書の有効性を確認し、特権および特権セキュリティを抽出して、特権セキュリティレベルをバイオメトリック処理ユニットに送る。
【0092】
708:バイオメトリック処理ユニットが、ユーザの対応するバイオメトリック情報を入力するようにクライアント側に要求する。ユーザのバイオメトリック情報をクライアント側から取得した後に、バイオメトリック情報を収集するためのユニットが、対応するソフトウェアモジュールによって、ユーザのバイオメトリック情報をバイオメトリック処理ユニットに送る。
【0093】
709:バイオメトリック処理ユニットが、バイオメトリック情報収集ユニットからのユーザのバイオメトリック情報を処理して、生身のバイオメトリックテンプレートを発生させて、バイオメトリック証明書におけるバイオメトリックテンプレートと、生身のバイオメトリックテンプレートとを認証ユニットに送る。
【0094】
710:認証ユニットが、クライアントのバイオメトリックテンプレートを生身のバイオメトリックテンプレートと整合して、整合スコアを得て、整合スコアおよびしきい値としたがって「容認(Y)」または「否認(N)」の結果を決定し、識別情報を転送するためのユニットに結果を送る。
【0095】
711:識別情報を転送するためのユニットが、(アクセス)特権を属性証明書から抽出して、アプリケーションユニットに(アクセス)特権を送る。
【0096】
712:アプリケーションユニットプロセスが、(アクセス)特権にしたがって、クライアント側からの要求を処理して、処理結果をクライアント側に送る。
【0097】
図8に図示したように、本発明のバイオメトリック処理ユニット605の実施形態、すなわち、バイオメトリック処理のためのデバイスは、関連付けユニット801と、パラメータ発生ユニット802と、生身のバイオメトリックテンプレートを発生させるためのユニット803と、バイオメトリック証明書を抽出するためのユニット804とを備えている。関連付けユニット801は、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係を取得し、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせて、問い合わせた識別セキュリティレベルをパラメータ発生ユニット802に送るように構成されている。
【0098】
パラメータ発生ユニット802は、受け取った識別セキュリティレベルに対応している認証パラメータを発生させて、生身のバイオメトリックテンプレートを発生させるためのユニット803に認証パラメータを送るように構成され、生身のバイオメトリックテンプレートを発生させるためのユニット803は、認証パラメータによって、生身のバイオメトリックテンプレートを発生させるように構成されている。バイオメトリック証明書を抽出するためのユニット804が、ユーザのバイオメトリックテンプレートをバイオメトリック証明書から抽出する。
【0099】
図9に図示したように、本発明のバイオメトリック処理ユニットの実施形態によって実行されるプロセスは、以下のものを含む。
【0100】
901:特権セキュリティレベルを取得する。
【0101】
902:関連付けユニットが、特権セキュリティリレベルと識別セキュリティレベルとの間の関連付けの関係を取得して、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせて、識別セキュリティレベルをパラメータ発生ユニットに送る。
【0102】
903:バイオメトリック証明書を抽出するためのユニットが、バイオメトリック証明書をクライアント側から抽出して、ユーザのバイオメトリックテンプレートを獲得する。
【0103】
904:パラメータ発生ユニットが、受け取った識別セキュリティレベルに対応している認証パラメータを発生させる。識別セキュリティレベルは、生身のバイオメトリックテンプレートを処理するためのアルゴリズムのパラメータと、しきい値と、整合アルゴリズムパラメータとを含む。
【0104】
905:パラメータ発生ユニットが、生身のバイオメトリックテンプレートを発生させるためのユニットに対して、生身のバイオメトリックテンプレートを処理するためのアルゴリズムのパラメータを送信して、しきい値と、整合アルゴリズムパラメータとを認証ユニットに送る。
【0105】
906:ユーザの対応するバイオメトリック情報を入力するようにクライアント側に要求する。ユーザのバイオメトリック情報を取得した後に、バイオメトリック情報を収集するためのユニットが、対応するソフトウェアモジュールによって、生身のバイオメトリックテンプレートを発生させるためのユニットにユーザのバイオメトリック情報を送る。
【0106】
907:生身のバイオメトリックテンプレートを発生させるためのユニットが、ユーザのバイオメトリック情報を処理して、生身のバイオメトリックテンプレートを発生させて、生身のバイオメトリックテンプレートを認証ユニットに送る。
【0107】
908:認証ユニットが、ユーザのバイオメトリックテンプレートを生身のバイオメトリックテンプレートと整合し、整合スコアを得て、整合スコアとしきい値とにしたがって「容認(Y)」または「否認(N)」の結果を決定し、識別情報を転送するためのユニットに結果を送る。
【0108】
認証のための前述の方法と、図8および図9に図示したものとに基づいて、本発明の実施形態は、バイオメトリックセキュリティレベルのテンプレートを提供し、バイオメトリックセキュリティレベルのテンプレートを使用して、バイオメトリック認証を実行するための方法およびシステムとを提供する。
【0109】
本発明の実施形態では、バイオメトリックセキュリティレベルのテンプレートは、バイオメトリックセキュリティレベルと、ポリシーと、バイオメトリックパラメータ情報とを含み、このフォーマットを図10(a)、図10(b)、図10(c)に図示した。バイオメトリックセキュリティレベルのテンプレートのフォーマットは、図示したものに加えて、他の形態であってもよいことに留意すべきである。
【0110】
図10(a)に図示したように、実施形態のバイオメトリックセキュリティレベルのテンプレートは、
バイオメトリックセキュリティレベルと、パラメータ情報に対する一意的な識別子と、セキュリティレベルと、ポリシーと、バイオメトリックパラメータ情報と、バイオメトリックタイプと、バイオメトリックアルゴリズムと、FMRと、関係パラメータとを含む。
【0111】
バイオメトリックセキュリティレベルは、パラメータ情報に対する一意的な識別子とセキュリティレベルとを含んでいてもよい。
【0112】
パラメータ情報に対する一意的な識別子は、バイオメトリックパラメータ情報およびセキュリティレベルのハッシュ値等のような、バイオメトリックセキュリティレベルに一意的に対応しているパラメータを区別するように構成されている。この項目は、セキュリティレベルとともに、クライアント側またはあるデータベースに提供されてもよい。この項目は、ハッシュ値またはパラメータ情報の暗号化された値であってもよい。
【0113】
セキュリティレベルは、あるポリシーとバイオメトリックパラメータ情報とによって表されるバイオメトリックセキュリティのマークであってもよい。セキュリティレベルを決定する基本は、ポリシーと、同じアルゴリズムに対応している誤整合率の値と、ポリシーに関係する同じバイオメトリックタイプとを含む。
【0114】
ポリシーは、単一モードバイオメトリック認証と、「単一モードバイオメトリック認証+生身のチェック」と、複数モードバイオメトリック認証と、「複数モードバイオメトリック認証+生身のチェック」等を含んでいてもよい。ポリシーは、要求に応じて拡張されてもよい。
【0115】
単一モードバイオメトリック認証は、ある単一のバイオメトリックタイプ、例えば、指紋、虹彩、脈相等を使用して認証を実行することであってもよい。生身のバイオメトリックチェックを実行するとき、生身のバイオメトリック特徴を識別するためのあるデバイスがあってもよい。複数モードバイオメトリック認証は、さまざまな生身を使用して、または、同じ生身の異なるタイプのバイオメトリック特徴を使用して認証を実行することである。
【0116】
バイオメトリックパラメータ情報は、バイオメトリックタイプと、バイオメトリックアルゴリズムと、FMRと、関係パラメータとを含んでいてもよい。
【0117】
バイオメトリックタイプは、バイオメトリック認証のために使用されるバイオメトリック特徴のマークであってもよく、指紋、虹彩、顔特徴、ならびに、指紋プラス虹彩等のようなバイオメトリック特徴のさまざまな組み合わせ等を含む。
【0118】
バイオメトリックアルゴリズムは、バイオメトリック識別を実行するために使用されるバイオメトリック処理アルゴリズムであってもよく、生身のバイオメトリックテンプレートを処理するためのアルゴリズム、およびバイオメトリックテンプレートを整合するためのアルゴリズム等を含む。
【0119】
バイオメトリックアルゴリズムFMRは、あるバイオメトリックアルゴリズムに対応している一連の値であってもよく、これは、誤整合率を表す。FMRが小さければ小さいほど、バイオメトリックセキュリティリレベルは高くなる。
【0120】
要求に応じて、バイオメトリックセキュリティレベルのテンプレートに関係パラメータを加えてもよい。
【0121】
前述したフォーマットの観点から、ポリシーと、バイオメトリックパラメータと、セキュリティレベルとを含むバイオメトリックセキュリティレベルのリストは、識別セキュリティレベルを示し、表1として示す。
【表1】
【0122】
表1に示したように、バイオメトリックレベルは、上から下に1行毎に高くなる。
【0123】
1つの複合項目、すなわち、「ハッシュまたは暗号化された値I」、「ハッシュまたは暗号化された値j」、「ハッシュまたは暗号化された値k」、および「ハッシュまたは暗号化された値l」を含む、パラメータ情報に対する一意的な識別子がある。
【0124】
セキュリティレベルは、ポリシーおよびFMRに関連付けられている。セキュリティレベルを決定する基本は、あるポリシーに関連付けられている、同じアルゴリズムおよび同じバイオメトリックタイプに対応しているFMR値、ならびに、ポリシーにしたがって、セキュリティレベルの値を決定することであってもよい。ポリシーの条件が多くあればあるほど、FMRは小さくなり、セキュリティリレベルは高くなる。セキュリティレベルの値をバイオメトリックセキュリティレベルの値に反映させなければならないときに、FMR値とセキュリティレベルとの間の関連付けの関係を調整する。
【0125】
表1に示したように、ポリシーのセキュリティレベルは、この順序、すなわち、単一モード<「単一モード+生身のチェック」<複数モード<「複数モード+生身のチェック」の順序で高くなる。ポリシーの条件が多くあればあるほど、セキュリティレベルは高くなる。
【0126】
バイオメトリックアルゴリズム。ポリシーが単一モードであるとき、同じバイオメトリックタイプが、複数のバイオメトリック処理アルゴリズム、例えば、指紋を処理するためのさまざまなアルゴリズムに対応していてもよい。ポリシーが複数モードであるとき、バイオメトリックタイプの同じ組み合わせが、複数のアルゴリズムの組み合わせに対応していてもよい。例えば、「指紋+虹彩」の組み合わせは、「指紋アルゴリズム1+虹彩アルゴリズム1」の組み合わせ、あるいは、「指紋アルゴリズム2+虹彩アルゴリズム2」の組み合わせに相当し得る。
【0127】
FMR値。それぞれのアルゴリズムまたはアルゴリズムの組み合わせが、複数のFMR値に対応していてもよく、セキュリティレベルを決定する一連の値が存在してもよい。
【0128】
例えば、ポリシーがAであり、バイオメトリックタイプがBであり、バイオメトリックアルゴリズムがCであったとき、セキュリティレベルを決定するFMR値は、1、2、および3である。
【0129】
本発明の実施形態を表2で示す。
【表2】
【0130】
【0131】
【0132】
図11に図示したように、本発明の実施形態におけるバイオメトリックセキュリティレベルのテンプレートを設定するための方法は、以下のステップを含む。
【0133】
1101:ポリシーを取得する。
【0134】
このステップでは、単一モードバイオメトリック認証、「単一モードバイオメトリック認証+生身のチェック」、複数モードバイオメトリック認証、「複数モードバイオメトリック認証+生身のチェック」等を含むポリシーを取得する。要求に応じて、ポリシーを拡張してもよい。
【0135】
1102:バイオメトリックパラメータ情報を取得する。
【0136】
このステップにおいて、バイオメトリックパラメータ情報は、バイオメトリックタイプおよび/またはバイオメトリックアルゴリズムおよび/またはFMR値および/または他の関係パラメータを含む。
【0137】
1103:セキュリティレベル値を決定する。
【0138】
このステップでは、ポリシーに一致している、同じアルゴリズムおよび同じバイオメトリックタイプに対応しているFMR値、ならびに、ポリシーにしたがって、セキュリティレベル値を決定する。ポリシーの条件が多くあればあるほど、FMR値は小さくなり、セキュリティレベルは高くなる。
【0139】
1104:一意的なパラメータ情報識別子を配布する。
【0140】
このステップでは、一意的なパラメータ情報識別子は、バイオメトリックパラメータ情報、ハッシュ値またはセキュリティレベルの暗号化された値を含んでいてもよい。一意的なパラメータ情報識別子は、バイオメトリックパラメータ情報を一意的に識別する他の識別子であってもよい。
【0141】
1105:バイオメトリックセキュリティレベルのテンプレートを構築する。
【0142】
図12に図示したように、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートを設定するデバイスは、
バイオメトリックセキュリティレベルのテンプレートのそれぞれに対する一意的なパラメータ情報識別子を配布するように構成されている配布ユニット1201と、
セキュリティレベルの値を決定して、バイオメトリックパラメータ情報と、ユーザによって選択されたポリシーとを取得するように構成されている取得ユニット1202と、
一意的なパラメータ情報識別子と、セキュリティレベルと、ポリシーと、バイオメトリックパラメータ情報とにしたがって、バイオメトリックセキュリティレベルのテンプレートを構築するように構成されている構築ユニット1203とを備えている。
【0143】
バイオメトリックセキュリティレベルの前述したテンプレートに基づいて、バイオメトリック認証のための、図13に図示したプロセスは、以下のステップを含む。
【0144】
1301:クライアント側が、パラメータ情報に対する一意的な識別子を認証側に送る。
【0145】
このステップでは、クライアント側がパラメータ情報に対する一意的な識別子を認証側に送る方法には、以下のような2つの方法がある。
【0146】
1.結び付け方法
バイオメトリックセキュリティレベルのリストは、バイオメトリックオーソリティ機関によって、さまざまなバイオメトリックアルゴリズムを評価することによって獲得された、ポリシーと、バイオメトリックパラメータと、対応するセキュリティレベルとにしたがって発生される。バイオメトリックセキュリティレベルのリストは、複数のバイオメトリックセキュリティテンプレートをある順序で含んでいてもよい。
【0147】
本発明のこの実施形態では、バイオメトリックセキュリティレベルのテンプレートは、バイオメトリックセキュリティリレベルとバイオメトリックパラメータ情報とを含んでいてもよい。バイオメトリックセキュリティレベルは、パラメータ情報に対する一意的な識別子と、セキュリティレベルと、ポリシーとを含んでいてもよい。バイオメトリックパラメータ情報は、バイオメトリックタイプと、バイオメトリックアルゴリズムと、FMR値または他の関係パラメータとを含んでいてもよい。バイオメトリックセキュリティレベルのテンプレートのフォーマットは、他のフォーマットであってもよいことに留意すべきである。
【0148】
2.独立方法
バイオメトリックセキュリティレベルのリストを独立的に使用することは、バイオメトリックセキュリティレベルのリストがバイオメトリックアルゴリズム証明書中に記憶されているのではなく、データベースまたはファイル中に記憶されており、使用されるときに、リストが、データベースまたはファイルから呼び出されることであってもよい。
【0149】
パラメータ情報に対する一意的な識別子が属性証明書と結び付けられている場合、呼び出すメカニズムは、結び付けメカニズムと同じである。パラメータ情報に対する一意的な識別子が属性証明書と結び付けられていない場合、各ユーザに対応しているパラメータ情報に対する一意的な識別子は、データベース中に記憶されていてもよい。使用されるときに、パラメータ情報に対する対応する一意的な識別子およびセキュリティレベルは、属性証明書から呼び出される代わりに、データベースまたは第三者から呼び出される。
【0150】
1302:認証側が、対応するバイオメトリック認証パラメータを問い合わせる。
【0151】
このステップでは、パラメータ情報に対する一意的な識別を受け取った後、結び付けメカニズムに基づいて、認証側が、パラメータ情報に対する対応する一意的な識別子と、そのセキュリティレベルと、ポリシーと、バイオメトリックタイプと、バイオメトリックアルゴリズムと、これらのFMRとを、バイオメトリックアルゴリズム証明書中に記憶されているバイオメトリックセキュリティレベルのリストから問い合わせる。
【0152】
1303:バイオメトリック認証パラメータをクライアント側に送る。
【0153】
このステップでは、認証側が、取得したバイオメトリック認証パラメータをクライアント側に送る。
【0154】
1304:クライアント側が、受け取ったバイオメトリック認証パラメータを処理して、ユーザの収集したバイオメトリック情報を認証側に送る。
【0155】
このステップでは、クライアントが、受け取ったバイオメトリック認証パラメータを処理することは、オプション的なプロセスであってもよく、
クライアント側が、受け取ったポリシーを認証し、認証が合格した場合に、結果として生じるプロセスが実行され、認証が不合格であった場合に、結果として生じるプロセスが拒否される。
【0156】
1305:認証側が、バイオメトリック認証パラメータにしたがって、クライアント側からのユーザのバイオメトリック情報を認証する。
【0157】
図14に図示したように、本発明の実施形態におけるバイオメトリック認証のためのプロセスは、以下のものを含む。
【0158】
1401:クライアント側が、バイオメトリック証明書および属性証明書を認証側に送る。
【0159】
1402:認証側が、バイオメトリック証明書および属性証明書を受け取り、バイオメトリック証明書および属性証明書の有効性を認証して、バイオメトリック証明書と属性証明書との間の結び付き関係を解析する。
【0160】
1403:ユーザの特権、パラメータ情報に対する一意的な識別子、およびセキュリティレベル、あるいは、パラメータを区別できる他の何らかの識別子を取得する。すなわち、属性証明書を解析することによって暗号化する。
【0161】
1404:バイオメトリック証明書を解析して、ユーザのバイオメトリックテンプレートを獲得する。
【0162】
このステップにおいて、ユーザのバイオメトリックのテンプレートが1つよりも多く存在する場合、ユーザの対応するバイオメトリックテンプレートは、バイオメトリックタイプにしたがって選択される。
【0163】
1405:認証側に記憶されているバイオメトリックアルゴリズム証明書を認証して、解析し、バイオメトリックセキュリティレベルのリストを獲得する。
【0164】
1406〜1407:パラメータ情報に対する一意的な識別子とセキュリティレベルとにしたがって、バイオメトリックセキュリティレベルのリストにおける対応するバイオメトリック認証パラメータをサーチする。
【0165】
これらのステップでは、複雑化された値は、「ハッシュ値または暗号化された値i」、「ハッシュ値または暗号化された値j」、「ハッシュ値または暗号化された値k」、「ハッシュ値または暗号化された値l」を含み、ここでは、ハッシュ値および暗号化された値は、互いに異なる。
【0166】
これらのステップでは、バイオメトリック認証パラメータは、ポリシー、バイオメトリックタイプ、バイオメトリックアルゴリズム、およびFMR値(または、しきい値)を含み、これらは、3つの部分、
1.第1部分:ポリシー、バイオメトリックタイプ、バイオメトリックアルゴリズムの処理アルゴリズムと、
2.第2部分:FMR値と、
3.第3部分:バイオメトリックアルゴリズムの整合アルゴリズムと、に分かれていてもよい。
【0167】
これらの3つの部分は、それぞれ、処理するための異なるユニットに送られる。
【0168】
1408:認証側が、ポリシーをクライアント側に送り、ポリシーを認証するようにクライアント側に要求し、ポリシーに基づく認証が不合格であった場合に、結果的に生じるプロセスが否認される。
【0169】
1409:ポリシーに基づいた認証が合格した場合に、クライアント側に記憶されている、認証に必要とされるユーザのバイオメトリック情報が存在するか否かを、クライアント側が決定する。存在しなかった場合、入力機器によって、ユーザの対応するバイオメトリック情報をクライアント側に入力するようにユーザに示される。ユーザのバイオメトリック情報を収集した後、クライアント側が、ユーザのバイオメトリック情報を認証側に送る。ユーザのバイオメトリック情報を受け取った後、認証側が、生身のバイオメトリックテンプレートを処理するためのユニットに対して、ユーザのバイオメトリック情報を送る。生身のバイオメトリックテンプレートを処理するためのユニットは、認証側で、またはクライアント側で、または第三者で設定されてもよい。生身のバイオメトリックテンプレートを処理するためのユニットは、生身のバイオメトリックテンプレートを発生させるための前述したユニットに等しいものであってもよい。
【0170】
1410:生身のバイオメトリックテンプレートを処理するためのユニットが、認証側からのバイオメトリック情報を処理して、生身のバイオメトリックテンプレートを獲得する。
【0171】
1411:生身のバイオメトリックテンプレートを整合するためのユニットが、生身のバイオメトリックテンプレートを、ステップ1404において選択されたユーザのバイオメトリックテンプレートと整合し、ステップ1404で選択されたユーザのバイオメトリックテンプレートと、ステップ1407でサーチされたバイオメトリック認証パラメータとにしたがって、整合スコアを得る。
【0172】
1412:FMR値にしがって、認証が合格するか否かを決定して、認証結果を獲得する。
【0173】
この実施形態では、バイオメトリックセキュリティレベルのリストが、バイオメトリックアルゴリズム証明書中に記憶されており、パラメータ情報に対する一意的な識別子は、属性証明書に結び付けられている。バイオメトリックセキュリティレベルのリストがバイオメトリックアルゴリズム証明書中に記憶されていない場合、あるいは、パラメータ情報に対する一意的な識別子が属性証明書と結び付けられていない場合、認証のプロセスは、バイオメトリックセキュリティレベルのリストの位置またはパラメータ情報に対する一意的な識別子の位置が変わる以外、ほとんど変わらないままである。
【0174】
図15に図示したように、バイオメトリック認証のための方法に対応しているバイオメトリック認証のためのシステムは、クライアント側1501と、認証側1502とを含む。
【0175】
クライアント側1501は、パラメータ情報に対する一意的な識別子を認証側に送るように構成されている。
【0176】
認証側は、パラメータ情報に対する一意的な識別子を、バイオメトリックセキュリティレベルの確立されたリストに対応している識別子と整合することによって、対応するバイオメトリック認証パラメータを問い合わせて、バイオメトリック認証パラメータをクライアント側に送るように構成されている。
【0177】
クライアント側1501は、認証側から受け取ったバイオメトリック認証パラメータを処理して、ユーザのバイオメトリック情報を認証側1502に送る。クライアント側によってバイオメトリック認証パラメータを処理することは、オプションである。認証側は、認証パラメータ内のポリシーをクライアント側に送ってもよい。クライアント側によってポリシーに基づいて実行された認証が合格した場合に、結果として生じるプロセスが認証側によって実行され、ポリシー基づいて実行された認証が不合格した場合に、認証側は実行しない。
【0178】
認証側1502は、バイオメトリックパラメータにしたがって、ユーザのバイオメトリック情報についてのバイオメトリック認証を実行する。
【0179】
クライアント側1501は、バイオメトリック情報を読み取るためのユニット15011と、送信ユニット15012とを備えている。
【0180】
バイオメトリック情報を読み取るためのユニット15011は、ユーザによって提供されるユーザのバイオメトリック情報を読み取って、送信ユニット15012によって、ユーザのバイオメトリック情報を認証側1502に送るように構成されている。
【0181】
送信ユニット15012は、ユーザのバイオメトリックテンプレートと、パラメータ情報に対する一意的な識別子を含む属性証明書とを含む、バイオメトリック証明書を認証側1502に送るように構成されている。
【0182】
送信ユニット15012は、受信ユニット15021と、証明書抽出ユニット15022と、認証処理ユニット15023と、バイオメトリックテンプレートを処理するためのユニット15024と、バイオメトリックテンプレートを整合するためのユニット15025と、決定ユニット15026とを備えている。
【0183】
受信ユニット15021は、バイオメトリック証明書および属性証明書を送信ユニット15012から受け取って、バイオメトリック証明書および属性証明書を証明書抽出ユニット15022に送り、ユーザのバイオメトリック情報をクライアント側1501から受け取って、ユーザのバイオメトリック情報を認証処理ユニット15023に送るように構成されている。
【0184】
証明書抽出ユニット15022は、ユーザのバイオメトリックテンプレートをバイオメトリック証明書から抽出して、バイオメトリックテンプレートを整合するためのユニット15025に対してユーザのバイオメトリックテンプレートを送り、認証処理ユニット15023に対して属性証明書から抽出した結果を送り、認証処理ユニット15023に対してバイオメトリックアルゴリズム証明書から抽出した結果を送るように構成されている。
【0185】
認証処理ユニット15023は、バイオメトリックアルゴリズム証明書から抽出した結果にしたがって、ユーザのバイオメトリック情報を受信ユニット15021から取得して、バイオメトリックテンプレートを処理するためのユニット15024に対して、ユーザのバイオメトリック情報を送るように構成されている。
【0186】
バイオメトリックテンプレートを処理するためのユニット15024は、認証処理ユニット15023からのユーザのバイオメトリック情報にしたがって、生身のバイオメトリックテンプレートを発生させて、バイオメトリックテンプレートを整合するためのユニット15025に対して、生身のバイオメトリックテンプレートを送るように構成されている。
【0187】
バイオメトリックテンプレートを整合するためのユニット15025は、バイオメトリックテンプレートを処理するためのユニット15024からの生身のバイオメトリックテンプレートを、証明書抽出ユニット15022からのユーザのバイオメトリックテンプレートと整合して、整合スコアを得て、整合スコアを決定ユニット15026に送るように構成されている。
【0188】
決定ユニット15026は、バイオメトリックテンプレートを整合するためのユニット15025からの整合スコアにしたがって、認証が合格したか否かを決定して、認証の結果を出力するように構成されている。
【0189】
本発明の実施形態にしたがった認証のための方法、デバイス、およびシステムを上記でより詳細に説明したが、本発明の実施形態にしたがった方法の理解に役立つように、実施形態の上記の説明を提供したに過ぎない。本発明の精神または範囲を逸脱することなく、本発明の特定のインプリメンテーションおよびアプリケーションにおいて変形が実行可能であることが当業者に正しく認識されるだろう。したがって、明細書は、何らかの方法で、特許請求の範囲で規定したような本発明の範囲を限定するものとして解釈されるべきではない。
【優先権の主張】
【0001】
本出願は、“識別と特権との組み合わせによる認証のための方法、ユニット、およびシステム”と題され2006年8月18日に中国特許庁に出願された中国特許出願第200610109879.9号と、“バイオメトリックセキュリティレベルのテンプレートを設定するための方法およびデバイス”と題され2006年10月30日に中国特許庁に出願された中国特許出願第200610136498.X号と、“認証のための方法およびシステム”と題され2006年10月30日に中国特許庁に出願された中国特許出願第200610136497.5号とに対する優先権を主張し、これらの出願は、これらのすべての参照によりここに組み込まれている。
【発明の分野】
【0002】
本発明は、情報セキュリティ技術に関し、特に、認証のための方法、デバイス、およびシステムに関する。
【背景】
【0003】
インターネットの急速な発展によって、電子商取引は、オンライン銀行およびオンライン取引のような多くの分野で人気を得ている。パスワードによって個人アカウント情報を保護する従来の方法は、明らかに、データのセキュリティを保証するのに十分ではない。近年では、アカウントのインターネット詐欺および盗用が、ますます深刻になっている。したがって、個人情報の保護および認証の、より高いレベルのセキュリティメカニズムを発展させることが必要不可欠である。
【0004】
パブリックキーインフラストラクチャ(PKI)は、いくつかの分野で応用されている。公開することができて、かつ、パブリックキーおよびユーザの他の情報を記憶することができるパブリック証明書は、オーソリティによってユーザに配布される。パブリックキーに対応しているプライベートキーは、ユーザ自身によって保持されている。パブリックキーは、プライベートキーとの関連付けの一意的な関係を有しており、プライベートキーによって推測することはできないが、パブリックキーによって暗号化された情報はプライベートキーによってのみ解読することが可能である。PKIのこのような特性には、プライベートキーを確認することによって、ユーザが、パブリックキー証明書において宣言されたエンティティであるかどうかを認証者に確認させることができるので、結果的に、ユーザの情報が違法に盗用されないことを保証することができる。
【0005】
PKIメカニズムでは、ユーザのプライベートキーを保護することが重要なポイントである。プライベートキーは、大抵、デジタル情報として何らかのハードウェアに置かれる。プライベートキーが紛失した場合、ユーザのパーソナル情報が公表される可能性があることを意味する。
【0006】
バイオメトリック識別の技術とは、指紋、虹彩等の識別技術のような人間の物理的特徴または行動特徴を使用することによって識別認証が実行される技術のことを言う。近年では、バイオメトリック識別技術は、ますます成熟してきている。インターネットを通して識別が実行されるという特別な状況であるために、バイオメトリック特徴と組み合わせる識別は、一意的で、かつ安定性があるようなバイオメトリック特徴を利用して、情報セキュリティの保証を提供することができる。
【0007】
個人のバイオメトリック情報を使用して、識別認証を実行することは、情報を保護する効果的な方法である。バイオメトリック情報の特徴と、インターネットによって識別認証を実行するという特別な状況とを考慮して、バイオメトリック情報をPKIと組み合わせることによって、より安全な認証アーキテクチャを形成することができる。
【0008】
PKIシステムは、個人識別のためのメカニズムであり、さらに、バイオメトリック特徴が個人識別を確認するための基本的要素であるので、PKIおよびバイオメトリック特徴の双方を利用することができ、2つの技術のそれぞれの欠点を克服することができる。クライアント側で整合することにより認証するための方法を例として挙げて、詳細なプロセスを図1に示した。認証は、ユーザの収集されたバイオメトリック特徴サンプルを、ユーザによって提供されたバイオメトリック証明書におけるバイオメトリック特徴テンプレートと整合することによって、ユーザの識別の有効性を決定する。
【0009】
異なるユーザのさまざまな要求に応じて、サービスプロバイダは、特権マネンジメントインフラストラクチャ(PMI)を使用して、異なるユーザに対して異なる特権を許可することができる。
【0010】
PMIは、属性証明書、属性特権、属性証明書リポジトリ等を組み合わせたものであり、特権および証明書の発生、マネンジメント、記憶、配布、ならびに取り消し機能のうちの任意のものを実現するが、これらに限定されるものではない。
【0011】
属性証明書(AC)は、エンティティに対する特権を規定している。デジタル署名を有するデータ構造によって、エンティティと特権とを組み合わせたものが提供される。属性オーソリティによってサインされて管理されているこのようなデータ構造を、属性証明書と呼ぶ。ACは、拡張メカニズムと一連の特別な証明書拡張メカニズムとを含む。図2に示したように、属性証明書のフォーマットは、バージョンと、シリーズ番号と、有効性の期間と、発行者と、署名アルゴリズムおよびこれらの識別子と、ホルダと、発行者の一意的な情報と、属性情報と、拡張情報と、発行者の署名とのうちの任意のものを含む。
【0012】
PMIは、情報を保護するための新しいインフラストラクチャを提供し、PKIとカタログサービスとを密に一体化し、証明書で認定されたユーザに対して特定の特権を体系的に許可するためのメカニズムを確立する。PMIは、特権マネンジメントのための体系的な定義および記述を提供し、認証サービス中に必要とされる全体的なプロセスを提供する。
【0013】
識別認証および特権認証は、データセキュリティリには極めて重要なものである。先行技術では、特権認証を実行するときに、サーバが、認証についての要求をユーザから受け取るステップと、サーバが、予め設定された認証ルールにしたがって認証を実行するステップと、認証が合格した場合、サーバが、ユーザに対して、対応する特権を許可するステップとを含む、識別および特権認証を別々に実行することによって、識別および特権認証するための方法が存在する。
【0014】
識別認証を実行するプロセスは、特権認証のプロセスに類似しているが、何らかの予め設定された認証ルールにしたがってサーバによってその認証が実行される間、2つのタイプの認証は独立して実行される。しかしながら、識別認証を実行するだけでは、あるいは、特権認証を実行するだけでは、認証の正確性を保証することはできない。
【0015】
先行技術における識別および特権認証のための別の方法は、識別認証を最初に実行することと、識別認証に合格したときに、特権認証を実行することとを含む。
【0016】
このような技術スキームは、全体的な認証プロセスの厳密性、さらには正確性も高めるかもしれない。しかしながら、このようなプロセスは、何らかの予め設定されたルールのみにしたがって実行されるので、実際の状況にしたがって認証ルールを調整することができず、さらには、認証を動的に実行することができないので、結果として、識別および特権認証のプロセスの柔軟性が限定される。
【概要】
【0017】
本発明の実施形態では、認証を実現するための方法、デバイス、およびシステムを提供する。
【0018】
本発明の実施形態は、識別と特権との組み合わせによる認証のための方法を提供し、
クラアイント側に対応している特権セキュリティレベルを取得することと、
前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせることと、
前記識別セキュリティレベルにしたがって、識別認証のための認証パラメータを決定することと、
前記認証パラメータを使用して、前記クライアント側で前記識別認証を実行することと、
認証結果を獲得することとを含む。
【0019】
本発明の別の実施形態は、抽出ユニットと、バイオメトリック処理ユニットと、認証ユニットとを具備する、識別と特権との組み合わせによる認証のためのシステムを提供し、
前記抽出ユニットは、クライアント側に対応している前記特権セキュリティレベルを取得して、前記特権セキュリティレベルを前記バイオメトリック処理ユニットに送るように構成され、
前記バイオメトリック処理ユニットは、前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせて、前記識別セキュリティレベルにしたがって、識別認証のための認証パラメータを決定し、前記認証パラメータを前記認証ユニットに送るように構成され、
前記認証ユニットは、前記認証パラメータを使用して、前記クライアント側で前記識別認証を実行するように構成されている。
【0020】
本発明の別の実施形態は、関連付けユニットと、パラメータ発生ユニットと、生身のバイオメトリックテンプレートを発生させるためのユニットと、バイオメトリック証明書を抽出するためのユニットとを具備するバイオメトリック処理のためのデバイスを提供し、
前記関連付けユニットは、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係を取得し、前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせして、前記識別セキュリティレベルを前記パラメータ発生ユニットに送るように構成され、
前記パラメータ発生ユニットは、前記関連付けユニットから受け取った前記識別セキュリティレベルに対応している認証パラメータを発生させて、前記生身のバイオメトリックテンプレートを発生させるためのユニットに前記パラメータを送るように構成され、
前記生身のバイオメトリックテンプレートを発生させるためのユニットは、前記パラメータ発生ユニットからの前記認証パラメータと、ユーザのバイオメトリック情報とにしたがって、生身のバイオメトリックテンプレートを発生させるように構成され、
前記バイオメトリック証明書を抽出するためのユニットは、受け取ったバイオメトリック証明書からユーザのバイオメトリックテンプレートを抽出するように構成されている。
【0021】
本発明の別の実施形態は、バイオメトリック認証のための方法を提供し、
パラメータ情報に対する一意的な識別子を取得することと、
バイオメトリックセキュリティレベルの確立されたリストにしたがって、前記パラメータ情報に対する一意的な識別子に対応しているバイオメトリック認証パラメータを問い合わせることと、
ユーザのバイオメトリック情報をクライアント側から受け取ることと、
前記バイオメトリック認証パラメータにしたがって、前記クライアント側からの前記ユーザのバイオメトリック情報に基づいてバイオメトリック認証を実行することとを含む。
【0022】
本発明の別の実施形態は、クライアント側と、認証側とを具備する、バイオメトリック認証のためのシステムを提供し、
前記クライアント側は、パラメータ情報に対する一意的な識別子とユーザのバイオメトリック情報とを前記認証側に送るように構成され、
前記認証側は、前記パラメータ情報に対する一意的な識別子と、前記ユーザのバイオメトリック情報とを前記クライアント側から取得して、バイオメトリックセキュリティレベルの確立されたリストにしたがって、前記パラメータ情報に対する一意的な識別子に対応しているバイオメトリック認証パラメータを問い合わせて、前記バイオメトリック認証パラメータにしたがって、前記クライアント側からの前記ユーザのバイオメトリック情報に基づいてバイオメトリック認証を実行するように構成されている。
【0023】
第1に、識別認証と特権認証とを組み合わせて、アクセスに要求される特権セキュリティレベルと一致する識別セキュリティレベルにしたがって識別認証が実行されるので、実際のシチュエーションにしたがって識別認証のルールを調整することができ、認証のプロセスの柔軟性を向上させることができることと、
第2に、ある整合アルゴリズムにしたがって、生身のバイオメトリックテンプレートを、ユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得して、整合スコアをしきい値と比較することによって、認証が合格したか否かが決定されるので、認証の正確性を向上させることとを含む、
本発明の実施形態に関係するいくつかの効果が存在することは、前述した技術スキームから認識することができる。
【図面の簡単な説明】
【0024】
【図1】図1は、先行技術におけるバイオメトリックテンプレートを使用して、識別認証を実行するためのプロセスのフローチャートである。
【図2】図2は、属性証明書のフォーマットを示している。
【図3】図3は、属性証明書におけるバイオメトリック拡張情報のフォーマットを示している。
【図4】図4は、本発明の実施形態にしたがった、方法のフローチャートである。
【図5】図5は、本発明の実施形態にしたがった、方法の別のフローチャートである。
【図6】図6は、本発明の実施形態にしたがった、システムの構造図である。
【図7】図7は、本発明の実施形態にしたがった、システムの機能を示している図である。
【図8】図8は、本発明の実施形態にしたがった、バイオメトリック処理ユニットの構造図である。
【図9】図9は、本発明の実施形態にしたがった、バイオメトリック処理ユニットの機能を示している図である。
【図10(a)】図10(a)は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートのフォーマットを示している。
【図10(b)】図10(b)は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートのフォーマットを示している。
【図10(c)】図10(c)は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートのフォーマットを示している。
【図11】図11は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートを設定するプロセスのフローチャートである。
【図12】図12は、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートを設定するためのデバイスの構造図である。
【図13】図13は、本発明の実施形態におけるバイオメトリック認証のためのプロセスのフローチャートである。
【図14】図14は、図13に示したプロセスと比較してより詳細な実施形態にしたがった、プロセスのフローチャートである。
【図15】図15は、図13に示したプロセスを実行するためのバイオメトリック認証システムの構造図である。
【詳細な説明】
【0025】
認証のための方法、システム、およびデバイスを提供する本発明の実施形態では、実際の状況にしたがって認証のためのルールを調整することができるので、認証のためのプロセスの柔軟性を向上させることができる。
【0026】
バイオメトリック認証を使用するために、若干、PMIシステムを増補する必要がある。システム上での影響を最小限にするために、拡張項目を属性証明書に追加する。
【0027】
属性証明書の拡張情報は、主に、証明書のアプリケーションに関係するポリシーを宣言するためのものである。属性証明書の拡張情報は、ベーシック拡張情報、特権取消拡張情報、ルート属性オーソリティ拡張情報、役割拡張情報、および許可拡張情報等を含む。
【0028】
属性証明書を使用して特権認証を実行するとき、クライアントの識別に基づいて認証を最初に実行する。特権と識別との間の関連付けの関係の正確性を確実にするために、属性証明書とバイオメトリック証明書とを組み合わせる。したがって、バイオメトリック証明書に関連付けられたインデックス情報を属性証明書のバイオメトリック拡張情報に加える。これによって、ベーシック拡張情報内のバイオメトリック拡張が新しくなる。バイオメトリック拡張は、バイオメトリック証明書識別子と呼ばれ、図3に図示している。
【0029】
図3に図示したように、バイオメトリック証明書識別子は、「バイオメトリック証明書発行者およびバイオメトリック証明書シリアル番号」、エンティティ名およびオブジェクトの要約を含み、バイオメトリック証明書発行者およびバイオメトリック証明書シリアル番号は、属性証明書のホルダに対応しているバイオメトリック証明書、すなわち、属性証明書のホルダにおける識別認証に必要とされるバイオメトリック証明書、のマークである。属性証明書において識別認証を実行したとき、ホルダの収集されたバイオメトリックデータをバイオメトリック証明書のテンプレートと整合し、認証の結果を獲得する。バイオメトリック証明書発行者およびバイオメトリック証明書シリアル番号は双方ともオプションであってもよい。
【0030】
エンティティ名は、1つ以上の属性証明書ホルダの名前のマークである。エンティティ名がバイオメトリック拡張における項目に過ぎない場合、エンティティ名に含まれるサブジェクト名に対応している何らかのバイオメトリック証明書は、属性証明書のホルダの識別を認証するために使用されてもよい。言い換えると、バイオメトリック証明書のサブジェクト名がエンティティ名に含まれている限り、サブジェクト名は、ホルダの識別を認証するために使用されてもよい。ホルダの何らかのバイオメトリック証明書が認証に合格した場合に、識別認証は合格する。しかしながら、「バイオメトリック証明書発行者およびバイオメトリック証明書シーケンス番号」ならびにエンティティ名の双方の項目が存在する場合、認証を実行する最初の選択肢として、「バイオメトリック証明書発行者およびバイオメトリック証明書シーケンス番号」の項目を選ぶ。
【0031】
オブジェクトの要約は、属性ホルダのバイオメトリック証明書のシリアル番号、有効性の期間、サブジェクトおよびサブジェクトの一意的な識別、発行者および発行者の一意的な識別子、テンプレートフォーマットの識別子、バイオメトリック特徴テンプレート、ならびに拡張情報を含むパラメータに基づいた計算によって獲得される要約情報であり、属性証明書ホルダの識別を認証するために使用される。ホルダ上で識別認証を実行するとき、要約は、ホルダのバイオメトリック証明書に基づいて獲得される。属性証明書のバイオメトリック拡張におけるオブジェクト要約情報を要約と比較して、同一の属性証明書に一致するバイオメトリック証明書がホルダによって提供された適切なものであるかどうか、識別認証のプロセスがさらに実行される。
【0032】
関連付けられている属性証明書にしたがってバイオメトリック証明書を確実に探すために、バイオメトリック拡張は、「バイオメトリック証明書発行者およびバイオメトリック証明書シリアル番号」、エンティティ名、ならびにオブジェクトの要約のうちの少なくとも何らかの項目を含む。
【0033】
バイオメトリックテンプレートを含むPKIパブリックキー証明書を使用して、識別認証を実行する場合、PKI証明書に対する属性証明書のインデックスによって、属性証明書とバイオメトリックテンプレートとの間の関連付けの関係を確立することができる。インデックスは、拡張インデックスによって確立されず、属性証明書のホルダによる定義によって確立される。
【0034】
クライアント側の特権および特権セキュリティレベルは、属性証明書中に含まれる。クライアント側のバイオメトリックテンプレートは、バイオメトリック証明書中に含まれる。識別セキュリティレベルは、バイオメトリックアルゴリズム証明書中に含まれ、それぞれのレベルについて、バイオメトリックテンプレート処理アルゴリズムの対応するパラメータと、整合アルゴリズムパラメータと、しきい値とが存在する。属性証明書における特権セキュリティレベルとバイオメトリックアルゴリズム証明書における識別セキュリティレベルとが関連付けられているので、特権セキュリティレベルの値と識別セキュリティレベルとが関連付けられ、したがって、この方法で、2つの値の間の関連付けによって、特権は識別と関連付けられる。
【0035】
識別認証を実行するときに、システムは、属性証明書を抽出することによって特権セキュリティレベルを獲得して、特権セキュリティレベルと、バイオメトリックアルゴリズム証明書から抽出された識別セキュリティレベルとを整合することによって、使用するパラメータを決定する。識別セキュリティレベルは、バイオメトリックテンプレート処理アルゴリズムのパラメータと、整合アルゴリズムのパラメータと、しきい値とを含む。
【0036】
本発明の実施形態では、アプリケーションユニットがクライアント側からアクセス要求を受け取ったときに、アプリケーションユニットが、クライアント側からのバイオメトリック証明書および属性証明書を要求する。アプリケーションユニットは、受け取った属性証明書を認証して、特権セキュリティレベルを獲得し、属性証明書からの特権にアクセスする。アプリケーションユニットは、認証側中に記憶されているバイオメトリックアルゴリズム証明書を抽出して、識別セキュリティレベルを獲得する。アプリケーションユニットは、バイオメトリック処理アルゴリズムのパラメータとしきい値とを決定して、生身のバイオメトリックテンプレートを発生させる。アプリケーションユニットは、クライアント側のバイオメトリック証明書を抽出して、ユーザのバイオメトリックテンプレートを獲得する。アプリケーションユニットは、生身のバイオメトリックテンプレートをユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得する。しきいと整合スコアとにしたがって、アプリケーションユニットは、認証が合格したか否かを決定する。認証が合格した場合、アプリケーションユニットは、クライアントからの要求に対する応答を戻す。
【0037】
図4に図示したように、本発明の実施形態の一般的なプロセスは、以下のステップを含む。
【0038】
401:特権認証を識別認証と関連付ける。
【0039】
このステップでは、属性証明書の特権セキュリティレベルを、バイオメトリックアルゴリズム証明書の識別セキュリティレベルと関連付けることが、特権認証を識別と関連付ける方法であってもよい。
【0040】
402:特権セキュリティレベルを取得する。
【0041】
403:特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせる。
【0042】
このステップでは、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係にしたがって、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせることが、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせる方法であってもよい。
【0043】
404:認証のためのパラメータを決定する。
【0044】
このステップでは、問い合わせた識別セキュリティレベルにしたがって、認証のためのパラメータを決定することが、認証のためのパラメータを決定する方法であってもよい。認証のためのパラメータは、生身のバイオメトリックテンプレート処理アルゴリズムのパラメータと、整合アルゴリズムのパラメータと、しきい値とを含んでいてもよい。
【0045】
405:ステップ404で決定された認証のためのパラメータを使用して、クライアントのバイオメトリックテンプレートを認証する。
【0046】
406:認証結果を発生させる。
【0047】
図5に図示したように、本発明の実施形態の詳細なプロセスは以下のものを含む。
【0048】
501:特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係を確立する。
【0049】
このステップにおいて、確立された関係情報は、バイオメトリックアルゴリズム証明書中に記憶され、関係情報は、データベース等のような他の位置に記憶されていてもよい。
【0050】
特権セキュリティレベルと特権セキュリティリとの間の関連付けを確立することによって特権認証を識別認証と関連付けるこの方法に加えて、特権認証を識別認証と関係付ける他の方法が存在してもよい。
【0051】
502:クライアント側が、アプリケーションユニットにアクセス要求を送る。
【0052】
このステップでは、送信される要求は、アプリケーションユニットにアクセスするために使用されるリソースに適用するためのものであってもよい。
【0053】
503:識別情報を転送するためのユニットを呼び出す。
【0054】
このステップでは、識別情報を転送するためのユニットが、クライアント側からのバイオメトリック証明書および属性証明書を要求するために呼び出される。
【0055】
504:バイオメトリック証明書および属性証明書を取得する。
【0056】
このステップでは、バイオメトリック証明書および属性証明書についての要求をクライアントに送った後、識別情報を転送するためのユニットが、バイオメトリック証明書および属性証明書をクライアント側から受け取る。
【0057】
505:特権セキュリティレベルを取得する。
【0058】
このステップでは、抽出ユニットが、識別情報を転送するためのユニットによって転送される属性証明書を抽出し、特権セキュリティレベルを獲得する。
【0059】
506:特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせる。
【0060】
このステップでは、バイオメトリック処理ユニットが、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせる。
【0061】
507:認証パラメータを決定する。
【0062】
このステップでは、バイオメトリック処理ユニットが、問い合わせた識別セキュリティレベルにしたがって認証パラメータを決定する。識別セキュリティレベルは、生身のバイオメトリックテンプレート処理アルゴリズムのパラメータと、整合アルゴリズムパラメータと、しきい値とを含む。
【0063】
508:生身のバイオメトリックテンプレートを発生させる。
【0064】
このステップでは、バイオメトリック処理ユニットが、受け取ったユーザのバイオメトリック情報と、生身のバイオメトリックテンプレート処理アルゴリズムのパラメータとにしたがって、生身のバイオメトリックテンプレートを発生させる。
【0065】
509:ユーザのバイオメトリックテンプレートを取得する。
【0066】
このステップでは、バイオメトリック処理ユニットが、クライアント側から獲得したバイオメトリック証明書からユーザのバイオメトリックテンプレートを抽出する。このステップは、ユーザのバイオメトリック証明書を取得した後または取得する前に実行されてもよい。
【0067】
510:生身のバイオメトリックテンプレートをユーザのバイオメトリックテンプレートと整合する。
【0068】
このステップでは、認証ユニットが、生身のバイオメトリックテンプレートをユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得する。整合するさまざまな方法が存在するが、これは限定されるものではない。
【0069】
511:整合スコアがしきい値より大きいか否か、または、しきい値に等しいか否かを決定し、整合スコアが、しきい値より大きいか、または、しきい値に等しい場合に、プロセスはステップ512に進み、そうでなければ、プロセスはステップ513に進む。
【0070】
このステップでは、しきい値は、認証パラメータのうちの1つであってもよく、識別セキュリティレベルにしたがって獲得される。
【0071】
512:クライアント側についての認証が合格した場合、プロセスはステップ514に進む。
【0072】
513:クライアント側についての認証が不合格であった場合、プロセスはステップ514に進む。
【0073】
514:クライアント側に応答を戻す。
【0074】
このステップでは、認証結果を含む応答をクライアント側に戻す。
【0075】
本発明の実施形態では、アプリケーションユニットがアクセス要求をクライアント側から受け取ったとき、アプリケーションユニットが、識別情報を転送するためのユニットを呼び出す。識別情報を転送するためのユニットが、クライアント側からのバイオメトリック証明書および属性証明書を要求する。そして、抽出ユニットが、属性証明書を抽出し、特権セキュリティレベルを獲得して、特権にアクセスする。
【0076】
識別情報を転送するためのユニットによって呼び出されたバイオメトリック処理ユニットが、バイオメトリックアルゴリズム証明書を抽出して、識別セキュリティレベルを取得し、識別セキュリティレベルにしたがって、バイオメトリック処理パラメータおよびしきい値を決定して、生身のバイオメトリックテンプレートを発生させる。
【0077】
バイオメトリック処理ユニットが、クライアント側のバイオメトリック証明書を抽出し、ユーザのバイオメトリックテンプレートを獲得し、生身のバイオメトリックテンプレートとユーザのバイオメトリックテンプレートとを整合して、整合スコアを得る。認証ユニットが、整合スコアとしきい値とにしたがって、識別認証が合格したか否かを決定する。しきい値認証に合格した場合、識別情報を転送するためのユニットが、アプリケーションユニットに特権を戻す。アプリケーションユニットは、要求したリソースをクライアント側に戻す。
【0078】
クライアント側の特権および特権セキュリティレベルは、属性証明書中に含まれている。ユーザのバイオメトリックテンプレートは、クライアント側のバイオメトリック証明書中に含まれている。特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係は、バイオメトリックアルゴリズム証明書中に含まれている。各特権セキュリティレベルまたは識別セキュリティレベルには、生身のバイオメトリックテンプレート処理アルゴリズムパラメータと整合アルゴリズムパラメータとしきい値とを含む、対応するパラメータがある。
【0079】
図6に図示したように、本発明の実施形態にしたがったシステムは、アプリケーションユニット601と、識別情報を転送するためのユニット602と、抽出ユニット603と、バイオメトリック情報収集ユニット604と、バイオメトリック処理ユニット605と、認証ユニット606とを備えている。
【0080】
この実施形態では、クライアント側が、アプリケーションユニット601にアクセス要求を送る。アプリケーションユニット601は、アクセス要求を受け取った後に、識別情報を転送するためのユニット602を呼び出すように構成されている。識別情報を転送するためのユニット602は、属性証明書およびバイオメトリック証明書についての要求をクライアント側に送るように構成されている。属性証明書およびバイオメトリック証明書をクライアント側から受け取った後に、識別情報を転送するためのユニット602が、抽出ユニット603およびバイオメトリック処理ユニット605に、属性証明書およびバイオメトリック証明書を送る。抽出ユニット603は、特権セキュリティレベルを属性証明書から取得して、特権セキュリティレベルをバイオメトリック処理ユニット605に送るように構成されている。
【0081】
バイオメトリック情報収集するためのユニット604は、ユーザのバイオメトリック情報をクライアント側から取得して、ユーザのバイオメトリック情報をバイオメトリック処理ユニット605に送るように構成されている。
【0082】
特権セキュリティレベルを受け取ると、バイオメトリック処理ユニット605は、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係にしたがって、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせるように構成されている。バイオメトリック処理ユニット605は、識別セキュリティレベルにしたがって、認証パラメータを決定し、バイオメトリック情報を収集するためのユニット604からのユーザのバイオメトリック情報によって、生身のバイオメトリックテンプレートを発生させて、生身のバイオメトリックテンプレートと、クライアントのバイオメトリック証明書におけるクライアントのバイオメトリックテンプレートと、整合アルゴリズムパラメータと、しきい値とを、認証ユニット606に送る。
【0083】
認証ユニット606は、クライアントのバイオメトリックテンプレートを生身のバイオメトリックテンプレートと整合し、識別情報を転送するためのユニット602に認証結果を送るように構成されている。
【0084】
図7に図示したように、本発明の実施形態にしたがったシステムによって実行されるプロセスは、以下のものを含む。
【0085】
701:クライアント側が、アプリケーションユニットにアクセス要求を送る。
【0086】
702:アプリケーションユニットが、識別情報を転送するためのユニットを呼び出す。
【0087】
703:識別情報を転送するためのユニットが、クライアント側からのバイオメトリック証明書および属性証明書を要求する。
【0088】
704:クライアント側が、識別情報を転送するためのユニットにバイオメトリック証明書および属性証明書を送る。
【0089】
705:識別情報を転送するためのユニットが、抽出ユニットを呼び出す。
【0090】
706;識別情報を転送するためのユニットが、バイオメトリック処理ユニットを呼び出す。
【0091】
707:抽出ユニットが、属性証明書の有効性を確認し、特権および特権セキュリティを抽出して、特権セキュリティレベルをバイオメトリック処理ユニットに送る。
【0092】
708:バイオメトリック処理ユニットが、ユーザの対応するバイオメトリック情報を入力するようにクライアント側に要求する。ユーザのバイオメトリック情報をクライアント側から取得した後に、バイオメトリック情報を収集するためのユニットが、対応するソフトウェアモジュールによって、ユーザのバイオメトリック情報をバイオメトリック処理ユニットに送る。
【0093】
709:バイオメトリック処理ユニットが、バイオメトリック情報収集ユニットからのユーザのバイオメトリック情報を処理して、生身のバイオメトリックテンプレートを発生させて、バイオメトリック証明書におけるバイオメトリックテンプレートと、生身のバイオメトリックテンプレートとを認証ユニットに送る。
【0094】
710:認証ユニットが、クライアントのバイオメトリックテンプレートを生身のバイオメトリックテンプレートと整合して、整合スコアを得て、整合スコアおよびしきい値としたがって「容認(Y)」または「否認(N)」の結果を決定し、識別情報を転送するためのユニットに結果を送る。
【0095】
711:識別情報を転送するためのユニットが、(アクセス)特権を属性証明書から抽出して、アプリケーションユニットに(アクセス)特権を送る。
【0096】
712:アプリケーションユニットプロセスが、(アクセス)特権にしたがって、クライアント側からの要求を処理して、処理結果をクライアント側に送る。
【0097】
図8に図示したように、本発明のバイオメトリック処理ユニット605の実施形態、すなわち、バイオメトリック処理のためのデバイスは、関連付けユニット801と、パラメータ発生ユニット802と、生身のバイオメトリックテンプレートを発生させるためのユニット803と、バイオメトリック証明書を抽出するためのユニット804とを備えている。関連付けユニット801は、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係を取得し、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせて、問い合わせた識別セキュリティレベルをパラメータ発生ユニット802に送るように構成されている。
【0098】
パラメータ発生ユニット802は、受け取った識別セキュリティレベルに対応している認証パラメータを発生させて、生身のバイオメトリックテンプレートを発生させるためのユニット803に認証パラメータを送るように構成され、生身のバイオメトリックテンプレートを発生させるためのユニット803は、認証パラメータによって、生身のバイオメトリックテンプレートを発生させるように構成されている。バイオメトリック証明書を抽出するためのユニット804が、ユーザのバイオメトリックテンプレートをバイオメトリック証明書から抽出する。
【0099】
図9に図示したように、本発明のバイオメトリック処理ユニットの実施形態によって実行されるプロセスは、以下のものを含む。
【0100】
901:特権セキュリティレベルを取得する。
【0101】
902:関連付けユニットが、特権セキュリティリレベルと識別セキュリティレベルとの間の関連付けの関係を取得して、特権セキュリティレベルに対応している識別セキュリティレベルを問い合わせて、識別セキュリティレベルをパラメータ発生ユニットに送る。
【0102】
903:バイオメトリック証明書を抽出するためのユニットが、バイオメトリック証明書をクライアント側から抽出して、ユーザのバイオメトリックテンプレートを獲得する。
【0103】
904:パラメータ発生ユニットが、受け取った識別セキュリティレベルに対応している認証パラメータを発生させる。識別セキュリティレベルは、生身のバイオメトリックテンプレートを処理するためのアルゴリズムのパラメータと、しきい値と、整合アルゴリズムパラメータとを含む。
【0104】
905:パラメータ発生ユニットが、生身のバイオメトリックテンプレートを発生させるためのユニットに対して、生身のバイオメトリックテンプレートを処理するためのアルゴリズムのパラメータを送信して、しきい値と、整合アルゴリズムパラメータとを認証ユニットに送る。
【0105】
906:ユーザの対応するバイオメトリック情報を入力するようにクライアント側に要求する。ユーザのバイオメトリック情報を取得した後に、バイオメトリック情報を収集するためのユニットが、対応するソフトウェアモジュールによって、生身のバイオメトリックテンプレートを発生させるためのユニットにユーザのバイオメトリック情報を送る。
【0106】
907:生身のバイオメトリックテンプレートを発生させるためのユニットが、ユーザのバイオメトリック情報を処理して、生身のバイオメトリックテンプレートを発生させて、生身のバイオメトリックテンプレートを認証ユニットに送る。
【0107】
908:認証ユニットが、ユーザのバイオメトリックテンプレートを生身のバイオメトリックテンプレートと整合し、整合スコアを得て、整合スコアとしきい値とにしたがって「容認(Y)」または「否認(N)」の結果を決定し、識別情報を転送するためのユニットに結果を送る。
【0108】
認証のための前述の方法と、図8および図9に図示したものとに基づいて、本発明の実施形態は、バイオメトリックセキュリティレベルのテンプレートを提供し、バイオメトリックセキュリティレベルのテンプレートを使用して、バイオメトリック認証を実行するための方法およびシステムとを提供する。
【0109】
本発明の実施形態では、バイオメトリックセキュリティレベルのテンプレートは、バイオメトリックセキュリティレベルと、ポリシーと、バイオメトリックパラメータ情報とを含み、このフォーマットを図10(a)、図10(b)、図10(c)に図示した。バイオメトリックセキュリティレベルのテンプレートのフォーマットは、図示したものに加えて、他の形態であってもよいことに留意すべきである。
【0110】
図10(a)に図示したように、実施形態のバイオメトリックセキュリティレベルのテンプレートは、
バイオメトリックセキュリティレベルと、パラメータ情報に対する一意的な識別子と、セキュリティレベルと、ポリシーと、バイオメトリックパラメータ情報と、バイオメトリックタイプと、バイオメトリックアルゴリズムと、FMRと、関係パラメータとを含む。
【0111】
バイオメトリックセキュリティレベルは、パラメータ情報に対する一意的な識別子とセキュリティレベルとを含んでいてもよい。
【0112】
パラメータ情報に対する一意的な識別子は、バイオメトリックパラメータ情報およびセキュリティレベルのハッシュ値等のような、バイオメトリックセキュリティレベルに一意的に対応しているパラメータを区別するように構成されている。この項目は、セキュリティレベルとともに、クライアント側またはあるデータベースに提供されてもよい。この項目は、ハッシュ値またはパラメータ情報の暗号化された値であってもよい。
【0113】
セキュリティレベルは、あるポリシーとバイオメトリックパラメータ情報とによって表されるバイオメトリックセキュリティのマークであってもよい。セキュリティレベルを決定する基本は、ポリシーと、同じアルゴリズムに対応している誤整合率の値と、ポリシーに関係する同じバイオメトリックタイプとを含む。
【0114】
ポリシーは、単一モードバイオメトリック認証と、「単一モードバイオメトリック認証+生身のチェック」と、複数モードバイオメトリック認証と、「複数モードバイオメトリック認証+生身のチェック」等を含んでいてもよい。ポリシーは、要求に応じて拡張されてもよい。
【0115】
単一モードバイオメトリック認証は、ある単一のバイオメトリックタイプ、例えば、指紋、虹彩、脈相等を使用して認証を実行することであってもよい。生身のバイオメトリックチェックを実行するとき、生身のバイオメトリック特徴を識別するためのあるデバイスがあってもよい。複数モードバイオメトリック認証は、さまざまな生身を使用して、または、同じ生身の異なるタイプのバイオメトリック特徴を使用して認証を実行することである。
【0116】
バイオメトリックパラメータ情報は、バイオメトリックタイプと、バイオメトリックアルゴリズムと、FMRと、関係パラメータとを含んでいてもよい。
【0117】
バイオメトリックタイプは、バイオメトリック認証のために使用されるバイオメトリック特徴のマークであってもよく、指紋、虹彩、顔特徴、ならびに、指紋プラス虹彩等のようなバイオメトリック特徴のさまざまな組み合わせ等を含む。
【0118】
バイオメトリックアルゴリズムは、バイオメトリック識別を実行するために使用されるバイオメトリック処理アルゴリズムであってもよく、生身のバイオメトリックテンプレートを処理するためのアルゴリズム、およびバイオメトリックテンプレートを整合するためのアルゴリズム等を含む。
【0119】
バイオメトリックアルゴリズムFMRは、あるバイオメトリックアルゴリズムに対応している一連の値であってもよく、これは、誤整合率を表す。FMRが小さければ小さいほど、バイオメトリックセキュリティリレベルは高くなる。
【0120】
要求に応じて、バイオメトリックセキュリティレベルのテンプレートに関係パラメータを加えてもよい。
【0121】
前述したフォーマットの観点から、ポリシーと、バイオメトリックパラメータと、セキュリティレベルとを含むバイオメトリックセキュリティレベルのリストは、識別セキュリティレベルを示し、表1として示す。
【表1】
【0122】
表1に示したように、バイオメトリックレベルは、上から下に1行毎に高くなる。
【0123】
1つの複合項目、すなわち、「ハッシュまたは暗号化された値I」、「ハッシュまたは暗号化された値j」、「ハッシュまたは暗号化された値k」、および「ハッシュまたは暗号化された値l」を含む、パラメータ情報に対する一意的な識別子がある。
【0124】
セキュリティレベルは、ポリシーおよびFMRに関連付けられている。セキュリティレベルを決定する基本は、あるポリシーに関連付けられている、同じアルゴリズムおよび同じバイオメトリックタイプに対応しているFMR値、ならびに、ポリシーにしたがって、セキュリティレベルの値を決定することであってもよい。ポリシーの条件が多くあればあるほど、FMRは小さくなり、セキュリティリレベルは高くなる。セキュリティレベルの値をバイオメトリックセキュリティレベルの値に反映させなければならないときに、FMR値とセキュリティレベルとの間の関連付けの関係を調整する。
【0125】
表1に示したように、ポリシーのセキュリティレベルは、この順序、すなわち、単一モード<「単一モード+生身のチェック」<複数モード<「複数モード+生身のチェック」の順序で高くなる。ポリシーの条件が多くあればあるほど、セキュリティレベルは高くなる。
【0126】
バイオメトリックアルゴリズム。ポリシーが単一モードであるとき、同じバイオメトリックタイプが、複数のバイオメトリック処理アルゴリズム、例えば、指紋を処理するためのさまざまなアルゴリズムに対応していてもよい。ポリシーが複数モードであるとき、バイオメトリックタイプの同じ組み合わせが、複数のアルゴリズムの組み合わせに対応していてもよい。例えば、「指紋+虹彩」の組み合わせは、「指紋アルゴリズム1+虹彩アルゴリズム1」の組み合わせ、あるいは、「指紋アルゴリズム2+虹彩アルゴリズム2」の組み合わせに相当し得る。
【0127】
FMR値。それぞれのアルゴリズムまたはアルゴリズムの組み合わせが、複数のFMR値に対応していてもよく、セキュリティレベルを決定する一連の値が存在してもよい。
【0128】
例えば、ポリシーがAであり、バイオメトリックタイプがBであり、バイオメトリックアルゴリズムがCであったとき、セキュリティレベルを決定するFMR値は、1、2、および3である。
【0129】
本発明の実施形態を表2で示す。
【表2】
【0130】
【0131】
【0132】
図11に図示したように、本発明の実施形態におけるバイオメトリックセキュリティレベルのテンプレートを設定するための方法は、以下のステップを含む。
【0133】
1101:ポリシーを取得する。
【0134】
このステップでは、単一モードバイオメトリック認証、「単一モードバイオメトリック認証+生身のチェック」、複数モードバイオメトリック認証、「複数モードバイオメトリック認証+生身のチェック」等を含むポリシーを取得する。要求に応じて、ポリシーを拡張してもよい。
【0135】
1102:バイオメトリックパラメータ情報を取得する。
【0136】
このステップにおいて、バイオメトリックパラメータ情報は、バイオメトリックタイプおよび/またはバイオメトリックアルゴリズムおよび/またはFMR値および/または他の関係パラメータを含む。
【0137】
1103:セキュリティレベル値を決定する。
【0138】
このステップでは、ポリシーに一致している、同じアルゴリズムおよび同じバイオメトリックタイプに対応しているFMR値、ならびに、ポリシーにしたがって、セキュリティレベル値を決定する。ポリシーの条件が多くあればあるほど、FMR値は小さくなり、セキュリティレベルは高くなる。
【0139】
1104:一意的なパラメータ情報識別子を配布する。
【0140】
このステップでは、一意的なパラメータ情報識別子は、バイオメトリックパラメータ情報、ハッシュ値またはセキュリティレベルの暗号化された値を含んでいてもよい。一意的なパラメータ情報識別子は、バイオメトリックパラメータ情報を一意的に識別する他の識別子であってもよい。
【0141】
1105:バイオメトリックセキュリティレベルのテンプレートを構築する。
【0142】
図12に図示したように、本発明の実施形態にしたがった、バイオメトリックセキュリティレベルのテンプレートを設定するデバイスは、
バイオメトリックセキュリティレベルのテンプレートのそれぞれに対する一意的なパラメータ情報識別子を配布するように構成されている配布ユニット1201と、
セキュリティレベルの値を決定して、バイオメトリックパラメータ情報と、ユーザによって選択されたポリシーとを取得するように構成されている取得ユニット1202と、
一意的なパラメータ情報識別子と、セキュリティレベルと、ポリシーと、バイオメトリックパラメータ情報とにしたがって、バイオメトリックセキュリティレベルのテンプレートを構築するように構成されている構築ユニット1203とを備えている。
【0143】
バイオメトリックセキュリティレベルの前述したテンプレートに基づいて、バイオメトリック認証のための、図13に図示したプロセスは、以下のステップを含む。
【0144】
1301:クライアント側が、パラメータ情報に対する一意的な識別子を認証側に送る。
【0145】
このステップでは、クライアント側がパラメータ情報に対する一意的な識別子を認証側に送る方法には、以下のような2つの方法がある。
【0146】
1.結び付け方法
バイオメトリックセキュリティレベルのリストは、バイオメトリックオーソリティ機関によって、さまざまなバイオメトリックアルゴリズムを評価することによって獲得された、ポリシーと、バイオメトリックパラメータと、対応するセキュリティレベルとにしたがって発生される。バイオメトリックセキュリティレベルのリストは、複数のバイオメトリックセキュリティテンプレートをある順序で含んでいてもよい。
【0147】
本発明のこの実施形態では、バイオメトリックセキュリティレベルのテンプレートは、バイオメトリックセキュリティリレベルとバイオメトリックパラメータ情報とを含んでいてもよい。バイオメトリックセキュリティレベルは、パラメータ情報に対する一意的な識別子と、セキュリティレベルと、ポリシーとを含んでいてもよい。バイオメトリックパラメータ情報は、バイオメトリックタイプと、バイオメトリックアルゴリズムと、FMR値または他の関係パラメータとを含んでいてもよい。バイオメトリックセキュリティレベルのテンプレートのフォーマットは、他のフォーマットであってもよいことに留意すべきである。
【0148】
2.独立方法
バイオメトリックセキュリティレベルのリストを独立的に使用することは、バイオメトリックセキュリティレベルのリストがバイオメトリックアルゴリズム証明書中に記憶されているのではなく、データベースまたはファイル中に記憶されており、使用されるときに、リストが、データベースまたはファイルから呼び出されることであってもよい。
【0149】
パラメータ情報に対する一意的な識別子が属性証明書と結び付けられている場合、呼び出すメカニズムは、結び付けメカニズムと同じである。パラメータ情報に対する一意的な識別子が属性証明書と結び付けられていない場合、各ユーザに対応しているパラメータ情報に対する一意的な識別子は、データベース中に記憶されていてもよい。使用されるときに、パラメータ情報に対する対応する一意的な識別子およびセキュリティレベルは、属性証明書から呼び出される代わりに、データベースまたは第三者から呼び出される。
【0150】
1302:認証側が、対応するバイオメトリック認証パラメータを問い合わせる。
【0151】
このステップでは、パラメータ情報に対する一意的な識別を受け取った後、結び付けメカニズムに基づいて、認証側が、パラメータ情報に対する対応する一意的な識別子と、そのセキュリティレベルと、ポリシーと、バイオメトリックタイプと、バイオメトリックアルゴリズムと、これらのFMRとを、バイオメトリックアルゴリズム証明書中に記憶されているバイオメトリックセキュリティレベルのリストから問い合わせる。
【0152】
1303:バイオメトリック認証パラメータをクライアント側に送る。
【0153】
このステップでは、認証側が、取得したバイオメトリック認証パラメータをクライアント側に送る。
【0154】
1304:クライアント側が、受け取ったバイオメトリック認証パラメータを処理して、ユーザの収集したバイオメトリック情報を認証側に送る。
【0155】
このステップでは、クライアントが、受け取ったバイオメトリック認証パラメータを処理することは、オプション的なプロセスであってもよく、
クライアント側が、受け取ったポリシーを認証し、認証が合格した場合に、結果として生じるプロセスが実行され、認証が不合格であった場合に、結果として生じるプロセスが拒否される。
【0156】
1305:認証側が、バイオメトリック認証パラメータにしたがって、クライアント側からのユーザのバイオメトリック情報を認証する。
【0157】
図14に図示したように、本発明の実施形態におけるバイオメトリック認証のためのプロセスは、以下のものを含む。
【0158】
1401:クライアント側が、バイオメトリック証明書および属性証明書を認証側に送る。
【0159】
1402:認証側が、バイオメトリック証明書および属性証明書を受け取り、バイオメトリック証明書および属性証明書の有効性を認証して、バイオメトリック証明書と属性証明書との間の結び付き関係を解析する。
【0160】
1403:ユーザの特権、パラメータ情報に対する一意的な識別子、およびセキュリティレベル、あるいは、パラメータを区別できる他の何らかの識別子を取得する。すなわち、属性証明書を解析することによって暗号化する。
【0161】
1404:バイオメトリック証明書を解析して、ユーザのバイオメトリックテンプレートを獲得する。
【0162】
このステップにおいて、ユーザのバイオメトリックのテンプレートが1つよりも多く存在する場合、ユーザの対応するバイオメトリックテンプレートは、バイオメトリックタイプにしたがって選択される。
【0163】
1405:認証側に記憶されているバイオメトリックアルゴリズム証明書を認証して、解析し、バイオメトリックセキュリティレベルのリストを獲得する。
【0164】
1406〜1407:パラメータ情報に対する一意的な識別子とセキュリティレベルとにしたがって、バイオメトリックセキュリティレベルのリストにおける対応するバイオメトリック認証パラメータをサーチする。
【0165】
これらのステップでは、複雑化された値は、「ハッシュ値または暗号化された値i」、「ハッシュ値または暗号化された値j」、「ハッシュ値または暗号化された値k」、「ハッシュ値または暗号化された値l」を含み、ここでは、ハッシュ値および暗号化された値は、互いに異なる。
【0166】
これらのステップでは、バイオメトリック認証パラメータは、ポリシー、バイオメトリックタイプ、バイオメトリックアルゴリズム、およびFMR値(または、しきい値)を含み、これらは、3つの部分、
1.第1部分:ポリシー、バイオメトリックタイプ、バイオメトリックアルゴリズムの処理アルゴリズムと、
2.第2部分:FMR値と、
3.第3部分:バイオメトリックアルゴリズムの整合アルゴリズムと、に分かれていてもよい。
【0167】
これらの3つの部分は、それぞれ、処理するための異なるユニットに送られる。
【0168】
1408:認証側が、ポリシーをクライアント側に送り、ポリシーを認証するようにクライアント側に要求し、ポリシーに基づく認証が不合格であった場合に、結果的に生じるプロセスが否認される。
【0169】
1409:ポリシーに基づいた認証が合格した場合に、クライアント側に記憶されている、認証に必要とされるユーザのバイオメトリック情報が存在するか否かを、クライアント側が決定する。存在しなかった場合、入力機器によって、ユーザの対応するバイオメトリック情報をクライアント側に入力するようにユーザに示される。ユーザのバイオメトリック情報を収集した後、クライアント側が、ユーザのバイオメトリック情報を認証側に送る。ユーザのバイオメトリック情報を受け取った後、認証側が、生身のバイオメトリックテンプレートを処理するためのユニットに対して、ユーザのバイオメトリック情報を送る。生身のバイオメトリックテンプレートを処理するためのユニットは、認証側で、またはクライアント側で、または第三者で設定されてもよい。生身のバイオメトリックテンプレートを処理するためのユニットは、生身のバイオメトリックテンプレートを発生させるための前述したユニットに等しいものであってもよい。
【0170】
1410:生身のバイオメトリックテンプレートを処理するためのユニットが、認証側からのバイオメトリック情報を処理して、生身のバイオメトリックテンプレートを獲得する。
【0171】
1411:生身のバイオメトリックテンプレートを整合するためのユニットが、生身のバイオメトリックテンプレートを、ステップ1404において選択されたユーザのバイオメトリックテンプレートと整合し、ステップ1404で選択されたユーザのバイオメトリックテンプレートと、ステップ1407でサーチされたバイオメトリック認証パラメータとにしたがって、整合スコアを得る。
【0172】
1412:FMR値にしがって、認証が合格するか否かを決定して、認証結果を獲得する。
【0173】
この実施形態では、バイオメトリックセキュリティレベルのリストが、バイオメトリックアルゴリズム証明書中に記憶されており、パラメータ情報に対する一意的な識別子は、属性証明書に結び付けられている。バイオメトリックセキュリティレベルのリストがバイオメトリックアルゴリズム証明書中に記憶されていない場合、あるいは、パラメータ情報に対する一意的な識別子が属性証明書と結び付けられていない場合、認証のプロセスは、バイオメトリックセキュリティレベルのリストの位置またはパラメータ情報に対する一意的な識別子の位置が変わる以外、ほとんど変わらないままである。
【0174】
図15に図示したように、バイオメトリック認証のための方法に対応しているバイオメトリック認証のためのシステムは、クライアント側1501と、認証側1502とを含む。
【0175】
クライアント側1501は、パラメータ情報に対する一意的な識別子を認証側に送るように構成されている。
【0176】
認証側は、パラメータ情報に対する一意的な識別子を、バイオメトリックセキュリティレベルの確立されたリストに対応している識別子と整合することによって、対応するバイオメトリック認証パラメータを問い合わせて、バイオメトリック認証パラメータをクライアント側に送るように構成されている。
【0177】
クライアント側1501は、認証側から受け取ったバイオメトリック認証パラメータを処理して、ユーザのバイオメトリック情報を認証側1502に送る。クライアント側によってバイオメトリック認証パラメータを処理することは、オプションである。認証側は、認証パラメータ内のポリシーをクライアント側に送ってもよい。クライアント側によってポリシーに基づいて実行された認証が合格した場合に、結果として生じるプロセスが認証側によって実行され、ポリシー基づいて実行された認証が不合格した場合に、認証側は実行しない。
【0178】
認証側1502は、バイオメトリックパラメータにしたがって、ユーザのバイオメトリック情報についてのバイオメトリック認証を実行する。
【0179】
クライアント側1501は、バイオメトリック情報を読み取るためのユニット15011と、送信ユニット15012とを備えている。
【0180】
バイオメトリック情報を読み取るためのユニット15011は、ユーザによって提供されるユーザのバイオメトリック情報を読み取って、送信ユニット15012によって、ユーザのバイオメトリック情報を認証側1502に送るように構成されている。
【0181】
送信ユニット15012は、ユーザのバイオメトリックテンプレートと、パラメータ情報に対する一意的な識別子を含む属性証明書とを含む、バイオメトリック証明書を認証側1502に送るように構成されている。
【0182】
送信ユニット15012は、受信ユニット15021と、証明書抽出ユニット15022と、認証処理ユニット15023と、バイオメトリックテンプレートを処理するためのユニット15024と、バイオメトリックテンプレートを整合するためのユニット15025と、決定ユニット15026とを備えている。
【0183】
受信ユニット15021は、バイオメトリック証明書および属性証明書を送信ユニット15012から受け取って、バイオメトリック証明書および属性証明書を証明書抽出ユニット15022に送り、ユーザのバイオメトリック情報をクライアント側1501から受け取って、ユーザのバイオメトリック情報を認証処理ユニット15023に送るように構成されている。
【0184】
証明書抽出ユニット15022は、ユーザのバイオメトリックテンプレートをバイオメトリック証明書から抽出して、バイオメトリックテンプレートを整合するためのユニット15025に対してユーザのバイオメトリックテンプレートを送り、認証処理ユニット15023に対して属性証明書から抽出した結果を送り、認証処理ユニット15023に対してバイオメトリックアルゴリズム証明書から抽出した結果を送るように構成されている。
【0185】
認証処理ユニット15023は、バイオメトリックアルゴリズム証明書から抽出した結果にしたがって、ユーザのバイオメトリック情報を受信ユニット15021から取得して、バイオメトリックテンプレートを処理するためのユニット15024に対して、ユーザのバイオメトリック情報を送るように構成されている。
【0186】
バイオメトリックテンプレートを処理するためのユニット15024は、認証処理ユニット15023からのユーザのバイオメトリック情報にしたがって、生身のバイオメトリックテンプレートを発生させて、バイオメトリックテンプレートを整合するためのユニット15025に対して、生身のバイオメトリックテンプレートを送るように構成されている。
【0187】
バイオメトリックテンプレートを整合するためのユニット15025は、バイオメトリックテンプレートを処理するためのユニット15024からの生身のバイオメトリックテンプレートを、証明書抽出ユニット15022からのユーザのバイオメトリックテンプレートと整合して、整合スコアを得て、整合スコアを決定ユニット15026に送るように構成されている。
【0188】
決定ユニット15026は、バイオメトリックテンプレートを整合するためのユニット15025からの整合スコアにしたがって、認証が合格したか否かを決定して、認証の結果を出力するように構成されている。
【0189】
本発明の実施形態にしたがった認証のための方法、デバイス、およびシステムを上記でより詳細に説明したが、本発明の実施形態にしたがった方法の理解に役立つように、実施形態の上記の説明を提供したに過ぎない。本発明の精神または範囲を逸脱することなく、本発明の特定のインプリメンテーションおよびアプリケーションにおいて変形が実行可能であることが当業者に正しく認識されるだろう。したがって、明細書は、何らかの方法で、特許請求の範囲で規定したような本発明の範囲を限定するものとして解釈されるべきではない。
【特許請求の範囲】
【請求項1】
識別と特権との組み合わせによる認証のための方法において、
クラアイント側に対応している特権セキュリティレベルを取得することと、
前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせることと、
前記識別セキュリティレベルにしたがって、識別認証のための認証パラメータを決定することと、
前記認証パラメータを使用して、前記クライアント側で前記識別認証を実行することと、
認証結果を獲得することとを含む方法。
【請求項2】
前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係は、バイオメトリックアルゴリズム証明書中に、または、データベース中に、または、ファイル中に記憶されている、請求項1記載の識別と特権との組み合わせによる認証のための方法。
【請求項3】
前記クライアント側に対応している特権セキュリティレベルを取得することは、
アクセス要求を前記クライアント側から受け取ることと、
バイオメトリック証明書および属性証明書についての要求を前記クライアント側に送ることと、
前記クライアント側から受け取った前記属性証明書から、前記特権セキュリティレベルを取得することとを含む、請求項1記載の識別と特権との組み合わせによる認証のための方法。
【請求項4】
前記認証パラメータは、生身のバイオメトリックテンプレートを処理するためのアルゴリズムのパラメータと、整合アルゴリズムパラメータと、しきい値とを含む、請求項1記載の識別と特権との組み合わせによる認証のための方法。
【請求項5】
前記認証パラメータを使用して、クライアント側で識別認証を実行することは、
前記クライアント側から受け取った前記バイオメトリック証明書から、ユーザのバイオメトリックテンプレートを取得することと、
前記クライアント側から受け取ったユーザのバイオメトリック情報にしたがって、前記生身のバイオメトリックテンプレートを発生させることと、
前記生身のバイオメトリックテンプレートを前記ユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得することと、
前記整合スコアが前記しきい値より大きい、または、前記しきい値に等しい場合に、前記クライアント側に関する認証が合格したとの結果を発生させることと、
前記整合スコアが前記しきい値より小さい場合に、前記クライアント側に関する認証が不合格したとの結果を発生させることとを含む、請求項4記載の識別と特権との組み合わせによる認証のための方法。
【請求項6】
前記クライアント側に認証結果を送ることをさらに含む、請求項1記載の識別と特権との組み合わせによる認証のための方法。
【請求項7】
識別と特権との組み合わせによる認証のためのシステムにおいて、
抽出ユニットと、
バイオメトリック処理ユニットと、
認証ユニットとを具備し、
前記抽出ユニットは、クライアント側に対応している前記特権セキュリティレベルを取得して、前記特権セキュリティレベルを前記バイオメトリック処理ユニットに送るように構成され、
前記バイオメトリック処理ユニットは、前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせて、前記識別セキュリティレベルにしたがって、識別認証のための認証パラメータを決定し、前記認証パラメータを前記認証ユニットに送るように構成され、
前記認証ユニットは、前記認証パラメータを使用して、前記クライアント側に関する前記識別認証を実行するように構成されているシステム。
【請求項8】
アプリケーションユニットと、
識別情報を転送するためのユニットと、
バイオメトリック情報を収集するためのユニットとをさらに具備し、
前記アプリケーションユニットは、アクセス要求を前記クライアント側から受け取り、前記アクセス要求を前記クライアント側から受け取った後に、前記識別情報を転送するためのユニットを呼び出すように構成され、
前記識別情報を転送するためのユニットは、属性証明書およびバイオメトリック証明書についての要求を前記クライアント側に送り、前記属性証明書および前記バイオメトリック証明書を前記クライアント側から受け取り、前記属性証明書を前記抽出ユニットに送り、前記バイオメトリック証明書を前記認証ユニットに送り、前記バイオメトリック処理ユニットを呼び出すように構成され、
前記バイオメトリック情報を収集するためのユニットは、ユーザのバイオメトリック情報を収集し、前記ユーザのバイオメトリック情報を前記バイオメトリック処理ユニットに送るように構成されている、請求項7記載の識別と特権との組み合わせによる認証のためのシステム。
【請求項9】
バイオメトリック処理のためのデバイスにおいて、
関連付けユニットと、
パラメータ発生ユニットと、
生身のバイオメトリックテンプレートを発生させるためのユニットと、
バイオメトリック証明書を抽出するためのユニットとを具備し、
前記関連付けユニットは、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係を取得し、前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせして、前記識別セキュリティレベルを前記パラメータ発生ユニットに送るように構成され、
前記パラメータ発生ユニットは、前記関連付けユニットから受け取った前記識別セキュリティレベルに対応している認証パラメータを発生させて、前記生身のバイオメトリックテンプレートを発生させるためのユニットに前記パラメータを送るように構成され、
前記生身のバイオメトリックテンプレートを発生させるためのユニットは、前記パラメータ発生ユニットからの前記認証パラメータと、ユーザのバイオメトリック情報とにしたがって、生身のバイオメトリックテンプレートを発生させるように構成され、
前記バイオメトリック証明書を抽出するためのユニットは、受け取ったバイオメトリック証明書からユーザのバイオメトリックテンプレートを抽出するように構成されているデバイス。
【請求項10】
バイオメトリック認証のための方法において、
パラメータ情報に対する一意的な識別子を取得することと、
バイオメトリックセキュリティレベルの確立されたリストにしたがって、前記パラメータ情報に対する一意的な識別子に対応しているバイオメトリック認証パラメータを問い合わせることと、
ユーザのバイオメトリック情報をクライアント側から受け取ることと、
前記バイオメトリック認証パラメータにしたがって、前記クライアント側からの前記ユーザのバイオメトリック情報に関するバイオメトリック認証を実行することとを含む方法。
【請求項11】
前記パラメータ情報に対する一意的な識別子を取得することは、前記パラメータ情報に対する一意的な識別子を、前記クライアント側からの属性証明書から、または、データベースから、または、第三者から取得することを含む、請求項10記載のバイオメトリック認証のための方法。
【請求項12】
前記バイオメトリックセキュリティレベルの確立されたリストは、データベース中に、または、ファイル中に、または、前記認証側におけるバイオメトリック証明書中に記憶されている、請求項10記載のバイオメトリック認証のための方法。
【請求項13】
前記バイオメトリックセキュリティレベルのリストは、
前記パラメータ情報に対する一意的な識別子と、セキュリティレベル、ポリシー、バイオメトリックタイプ、バイオメトリックアルゴリズム、または誤整合率を含むパラメータとの間の関連付けの関係と、
ポリシー、バイオメトリックタイプ、バイオメトリックアルゴリズム、または誤整合率を含むバイオメトリック認証パラメータとを含む、請求項10記載のバイオメトリック認証のための方法。
【請求項14】
前記バイオメトリック認証パラメータのポリシーを前記クライアント側に送ることと、
ポリシーに基づいて前記クライアント側によって実行された認証が合格した後に、前記ユーザのバイオメトリック情報を前記クライアント側から受け取ることとをさらに含む、請求項13記載のバイオメトリック認証のための方法。
【請求項15】
バイオメトリック証明書を前記クライアント側から受け取ることと、
前記バイオメトリック証明書が有効であるか否かを確認することと、
前記バイオメトリック証明書が有効であり、かつ、前記バイオメトリック証明書と前記属性証明書との間で結び付き関係が存在する場合に、ユーザのバイオメトリックテンプレートを前記バイオメトリック証明書から取得することとをさらに含み、
前記バイオメトリック認証パラメータにしたがって、前記クライアント側からのユーザのバイオメトリック情報に関するバイオメトリック認証を実行することは、
前記ユーザのバイオメトリック情報と、前記バイオメトリックタイプと、前記バイオメトリックアルゴリズムとにしたがって、生身のバイオメトリックテンプレートを発生させることと、
前記生身のバイオメトリックテンプレートを前記ユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得することと、
FMR値にしたがって、整合スコアを評価することと、
認証結果を発生させることとを有する、請求項13または14記載のバイオメトリック認証のための方法。
【請求項16】
認証のためのシステムにおいて、
クライアント側と、
認証側とを具備し、
前記クライアント側は、パラメータ情報に対する一意的な識別子とユーザのバイオメトリック情報とを前記認証側に送るように構成され、
前記認証側は、前記パラメータ情報に対する一意的な識別子と、前記ユーザのバイオメトリック情報とを前記クライアント側から取得して、バイオメトリックセキュリティレベルの確立されたリストにしたがって、前記パラメータ情報に対する一意的な識別子に対応しているバイオメトリック認証パラメータを問い合わせて、前記バイオメトリック認証パラメータにしたがって、前記クライアント側からの前記ユーザのバイオメトリック情報に関するバイオメトリック認証を実行するように構成されているシステム。
【請求項17】
前記認証側は、前記パラメータ情報に対する一意的な識別子に対応している前記認証パラメータを取得した後に、前記認証パラメータ中に含まれているポリシーを前記クライアント側に送るようにさらに構成され、
前記クライアント側は、前記ポリシーに基づいて前記クライアント側によって実行された認証が合格した後に、前記ユーザのバイオメトリック情報を前記認証側に送るようにさらに構成されている、請求項16記載のバイオメトリック認証のためのシステム。
【請求項18】
前記クライアント側は、
前記ユーザのバイオメトリックテンプレートを含むバイオメトリック証明書と、前記パラメータ情報に対する一意的な識別子情報を含む前記属性証明書とを前記認証側に送るように構成されている送信ユニットと、
前記ユーザによって提供された前記ユーザのバイオメトリック情報を読み取り、前記送信ユニットを介して、前記ユーザのバイオメトリック情報を前記認証側に送るように構成されている、バイオメトリック情報を読み取るためのユニットとを備える、請求項16または17記載のバイオメトリック認証のためのシステム。
【請求項19】
前記認証側は、
受信ユニットと、
証明書抽出ユニット、
認証処理ユニットと、
バイオメトリックテンプレートを処理するためのユニットと、
バイオメトリックテンプレートを整合するためのユニットと、
決定ユニットとを備え、
前記受信ユニットは、バイオメトリック証明書および属性証明書を前記クライアント側から受け取り、前記バイオメトリック証明書および前記属性証明書を前記証明書抽出ユニットに送り、ユーザのバイオメトリック情報を前記クライアント側から受け取り、前記ユーザのバイオメトリック情報を前記認証処理ユニットに送るように構成され、
前記証明書抽出ユニットは、ユーザのバイオメトリックテンプレートを前記バイオメトリック証明書から抽出し、前記バイオメトリックテンプレートを整合するためのユニットに、前記ユーザのバイオメトリックテンプレートを送り、前記バイオメトリック証明書から抽出した結果を前記認証処理ユニットに送るように構成され、
前記認証処理ユニットは、前記バイオメトリックアルゴリズム証明書から抽出した結果にしたがって、前記ユーザのバイオメトリック情報を前記受信ユニットから獲得し、前記バイオメトリックテンプレートを処理するためのユニットに、前記ユーザのバイオメトリック情報を送るように構成され、
前記バイオメトリックテンプレートを処理するためのユニットは、前記認証処理ユニットからの前記ユーザのバイオメトリック情報にしたがって、生身のバイオメトリックテンプレートを発生させ、バイオメトリックテンプレートを整合するためのユニットに、前記生身のバイオメトリックテンプレートを送るように構成され、
前記バイオメトリックテンプレートを整合するためのユニットは、前記バイオメトリックテンプレートを処理するためのユニットからの前記生身のバイオメトリックテンプレートを、前記ユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得して、前記整合スコアを前記決定ユニットに送るように構成され、
前記決定ユニットは、前記バイオメトリックテンプレートを整合するためのユニットからの前記整合スコアにしたがって、前記認証が合格したか否かを決定し、前記認証の結果を出力するように構成されている、請求項18記載のバイオメトリック認証のためのシステム。
【請求項1】
識別と特権との組み合わせによる認証のための方法において、
クラアイント側に対応している特権セキュリティレベルを取得することと、
前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせることと、
前記識別セキュリティレベルにしたがって、識別認証のための認証パラメータを決定することと、
前記認証パラメータを使用して、前記クライアント側で前記識別認証を実行することと、
認証結果を獲得することとを含む方法。
【請求項2】
前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係は、バイオメトリックアルゴリズム証明書中に、または、データベース中に、または、ファイル中に記憶されている、請求項1記載の識別と特権との組み合わせによる認証のための方法。
【請求項3】
前記クライアント側に対応している特権セキュリティレベルを取得することは、
アクセス要求を前記クライアント側から受け取ることと、
バイオメトリック証明書および属性証明書についての要求を前記クライアント側に送ることと、
前記クライアント側から受け取った前記属性証明書から、前記特権セキュリティレベルを取得することとを含む、請求項1記載の識別と特権との組み合わせによる認証のための方法。
【請求項4】
前記認証パラメータは、生身のバイオメトリックテンプレートを処理するためのアルゴリズムのパラメータと、整合アルゴリズムパラメータと、しきい値とを含む、請求項1記載の識別と特権との組み合わせによる認証のための方法。
【請求項5】
前記認証パラメータを使用して、クライアント側で識別認証を実行することは、
前記クライアント側から受け取った前記バイオメトリック証明書から、ユーザのバイオメトリックテンプレートを取得することと、
前記クライアント側から受け取ったユーザのバイオメトリック情報にしたがって、前記生身のバイオメトリックテンプレートを発生させることと、
前記生身のバイオメトリックテンプレートを前記ユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得することと、
前記整合スコアが前記しきい値より大きい、または、前記しきい値に等しい場合に、前記クライアント側に関する認証が合格したとの結果を発生させることと、
前記整合スコアが前記しきい値より小さい場合に、前記クライアント側に関する認証が不合格したとの結果を発生させることとを含む、請求項4記載の識別と特権との組み合わせによる認証のための方法。
【請求項6】
前記クライアント側に認証結果を送ることをさらに含む、請求項1記載の識別と特権との組み合わせによる認証のための方法。
【請求項7】
識別と特権との組み合わせによる認証のためのシステムにおいて、
抽出ユニットと、
バイオメトリック処理ユニットと、
認証ユニットとを具備し、
前記抽出ユニットは、クライアント側に対応している前記特権セキュリティレベルを取得して、前記特権セキュリティレベルを前記バイオメトリック処理ユニットに送るように構成され、
前記バイオメトリック処理ユニットは、前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの確立された関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせて、前記識別セキュリティレベルにしたがって、識別認証のための認証パラメータを決定し、前記認証パラメータを前記認証ユニットに送るように構成され、
前記認証ユニットは、前記認証パラメータを使用して、前記クライアント側に関する前記識別認証を実行するように構成されているシステム。
【請求項8】
アプリケーションユニットと、
識別情報を転送するためのユニットと、
バイオメトリック情報を収集するためのユニットとをさらに具備し、
前記アプリケーションユニットは、アクセス要求を前記クライアント側から受け取り、前記アクセス要求を前記クライアント側から受け取った後に、前記識別情報を転送するためのユニットを呼び出すように構成され、
前記識別情報を転送するためのユニットは、属性証明書およびバイオメトリック証明書についての要求を前記クライアント側に送り、前記属性証明書および前記バイオメトリック証明書を前記クライアント側から受け取り、前記属性証明書を前記抽出ユニットに送り、前記バイオメトリック証明書を前記認証ユニットに送り、前記バイオメトリック処理ユニットを呼び出すように構成され、
前記バイオメトリック情報を収集するためのユニットは、ユーザのバイオメトリック情報を収集し、前記ユーザのバイオメトリック情報を前記バイオメトリック処理ユニットに送るように構成されている、請求項7記載の識別と特権との組み合わせによる認証のためのシステム。
【請求項9】
バイオメトリック処理のためのデバイスにおいて、
関連付けユニットと、
パラメータ発生ユニットと、
生身のバイオメトリックテンプレートを発生させるためのユニットと、
バイオメトリック証明書を抽出するためのユニットとを具備し、
前記関連付けユニットは、特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係を取得し、前記特権セキュリティレベルと識別セキュリティレベルとの間の関連付けの関係にしたがって、前記特権セキュリティレベルに対応している前記識別セキュリティレベルを問い合わせして、前記識別セキュリティレベルを前記パラメータ発生ユニットに送るように構成され、
前記パラメータ発生ユニットは、前記関連付けユニットから受け取った前記識別セキュリティレベルに対応している認証パラメータを発生させて、前記生身のバイオメトリックテンプレートを発生させるためのユニットに前記パラメータを送るように構成され、
前記生身のバイオメトリックテンプレートを発生させるためのユニットは、前記パラメータ発生ユニットからの前記認証パラメータと、ユーザのバイオメトリック情報とにしたがって、生身のバイオメトリックテンプレートを発生させるように構成され、
前記バイオメトリック証明書を抽出するためのユニットは、受け取ったバイオメトリック証明書からユーザのバイオメトリックテンプレートを抽出するように構成されているデバイス。
【請求項10】
バイオメトリック認証のための方法において、
パラメータ情報に対する一意的な識別子を取得することと、
バイオメトリックセキュリティレベルの確立されたリストにしたがって、前記パラメータ情報に対する一意的な識別子に対応しているバイオメトリック認証パラメータを問い合わせることと、
ユーザのバイオメトリック情報をクライアント側から受け取ることと、
前記バイオメトリック認証パラメータにしたがって、前記クライアント側からの前記ユーザのバイオメトリック情報に関するバイオメトリック認証を実行することとを含む方法。
【請求項11】
前記パラメータ情報に対する一意的な識別子を取得することは、前記パラメータ情報に対する一意的な識別子を、前記クライアント側からの属性証明書から、または、データベースから、または、第三者から取得することを含む、請求項10記載のバイオメトリック認証のための方法。
【請求項12】
前記バイオメトリックセキュリティレベルの確立されたリストは、データベース中に、または、ファイル中に、または、前記認証側におけるバイオメトリック証明書中に記憶されている、請求項10記載のバイオメトリック認証のための方法。
【請求項13】
前記バイオメトリックセキュリティレベルのリストは、
前記パラメータ情報に対する一意的な識別子と、セキュリティレベル、ポリシー、バイオメトリックタイプ、バイオメトリックアルゴリズム、または誤整合率を含むパラメータとの間の関連付けの関係と、
ポリシー、バイオメトリックタイプ、バイオメトリックアルゴリズム、または誤整合率を含むバイオメトリック認証パラメータとを含む、請求項10記載のバイオメトリック認証のための方法。
【請求項14】
前記バイオメトリック認証パラメータのポリシーを前記クライアント側に送ることと、
ポリシーに基づいて前記クライアント側によって実行された認証が合格した後に、前記ユーザのバイオメトリック情報を前記クライアント側から受け取ることとをさらに含む、請求項13記載のバイオメトリック認証のための方法。
【請求項15】
バイオメトリック証明書を前記クライアント側から受け取ることと、
前記バイオメトリック証明書が有効であるか否かを確認することと、
前記バイオメトリック証明書が有効であり、かつ、前記バイオメトリック証明書と前記属性証明書との間で結び付き関係が存在する場合に、ユーザのバイオメトリックテンプレートを前記バイオメトリック証明書から取得することとをさらに含み、
前記バイオメトリック認証パラメータにしたがって、前記クライアント側からのユーザのバイオメトリック情報に関するバイオメトリック認証を実行することは、
前記ユーザのバイオメトリック情報と、前記バイオメトリックタイプと、前記バイオメトリックアルゴリズムとにしたがって、生身のバイオメトリックテンプレートを発生させることと、
前記生身のバイオメトリックテンプレートを前記ユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得することと、
FMR値にしたがって、整合スコアを評価することと、
認証結果を発生させることとを有する、請求項13または14記載のバイオメトリック認証のための方法。
【請求項16】
認証のためのシステムにおいて、
クライアント側と、
認証側とを具備し、
前記クライアント側は、パラメータ情報に対する一意的な識別子とユーザのバイオメトリック情報とを前記認証側に送るように構成され、
前記認証側は、前記パラメータ情報に対する一意的な識別子と、前記ユーザのバイオメトリック情報とを前記クライアント側から取得して、バイオメトリックセキュリティレベルの確立されたリストにしたがって、前記パラメータ情報に対する一意的な識別子に対応しているバイオメトリック認証パラメータを問い合わせて、前記バイオメトリック認証パラメータにしたがって、前記クライアント側からの前記ユーザのバイオメトリック情報に関するバイオメトリック認証を実行するように構成されているシステム。
【請求項17】
前記認証側は、前記パラメータ情報に対する一意的な識別子に対応している前記認証パラメータを取得した後に、前記認証パラメータ中に含まれているポリシーを前記クライアント側に送るようにさらに構成され、
前記クライアント側は、前記ポリシーに基づいて前記クライアント側によって実行された認証が合格した後に、前記ユーザのバイオメトリック情報を前記認証側に送るようにさらに構成されている、請求項16記載のバイオメトリック認証のためのシステム。
【請求項18】
前記クライアント側は、
前記ユーザのバイオメトリックテンプレートを含むバイオメトリック証明書と、前記パラメータ情報に対する一意的な識別子情報を含む前記属性証明書とを前記認証側に送るように構成されている送信ユニットと、
前記ユーザによって提供された前記ユーザのバイオメトリック情報を読み取り、前記送信ユニットを介して、前記ユーザのバイオメトリック情報を前記認証側に送るように構成されている、バイオメトリック情報を読み取るためのユニットとを備える、請求項16または17記載のバイオメトリック認証のためのシステム。
【請求項19】
前記認証側は、
受信ユニットと、
証明書抽出ユニット、
認証処理ユニットと、
バイオメトリックテンプレートを処理するためのユニットと、
バイオメトリックテンプレートを整合するためのユニットと、
決定ユニットとを備え、
前記受信ユニットは、バイオメトリック証明書および属性証明書を前記クライアント側から受け取り、前記バイオメトリック証明書および前記属性証明書を前記証明書抽出ユニットに送り、ユーザのバイオメトリック情報を前記クライアント側から受け取り、前記ユーザのバイオメトリック情報を前記認証処理ユニットに送るように構成され、
前記証明書抽出ユニットは、ユーザのバイオメトリックテンプレートを前記バイオメトリック証明書から抽出し、前記バイオメトリックテンプレートを整合するためのユニットに、前記ユーザのバイオメトリックテンプレートを送り、前記バイオメトリック証明書から抽出した結果を前記認証処理ユニットに送るように構成され、
前記認証処理ユニットは、前記バイオメトリックアルゴリズム証明書から抽出した結果にしたがって、前記ユーザのバイオメトリック情報を前記受信ユニットから獲得し、前記バイオメトリックテンプレートを処理するためのユニットに、前記ユーザのバイオメトリック情報を送るように構成され、
前記バイオメトリックテンプレートを処理するためのユニットは、前記認証処理ユニットからの前記ユーザのバイオメトリック情報にしたがって、生身のバイオメトリックテンプレートを発生させ、バイオメトリックテンプレートを整合するためのユニットに、前記生身のバイオメトリックテンプレートを送るように構成され、
前記バイオメトリックテンプレートを整合するためのユニットは、前記バイオメトリックテンプレートを処理するためのユニットからの前記生身のバイオメトリックテンプレートを、前記ユーザのバイオメトリックテンプレートと整合し、整合スコアを獲得して、前記整合スコアを前記決定ユニットに送るように構成され、
前記決定ユニットは、前記バイオメトリックテンプレートを整合するためのユニットからの前記整合スコアにしたがって、前記認証が合格したか否かを決定し、前記認証の結果を出力するように構成されている、請求項18記載のバイオメトリック認証のためのシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10(a)】
【図10(b)】
【図10(c)】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10(a)】
【図10(b)】
【図10(c)】
【図11】
【図12】
【図13】
【図14】
【図15】
【公表番号】特表2010−501103(P2010−501103A)
【公表日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願番号】特願2009−524890(P2009−524890)
【出願日】平成19年8月10日(2007.8.10)
【国際出願番号】PCT/CN2007/070446
【国際公開番号】WO2008/022585
【国際公開日】平成20年2月28日(2008.2.28)
【出願人】(504161984)ホアウェイ・テクノロジーズ・カンパニー・リミテッド (65)
【Fターム(参考)】
【公表日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願日】平成19年8月10日(2007.8.10)
【国際出願番号】PCT/CN2007/070446
【国際公開番号】WO2008/022585
【国際公開日】平成20年2月28日(2008.2.28)
【出願人】(504161984)ホアウェイ・テクノロジーズ・カンパニー・リミテッド (65)
【Fターム(参考)】
[ Back to top ]