説明

認証システム及び装置

【課題】 各認証構成プロセスをその管理主体が保証し、保証内容を検証者により検証可能として、認証プロセス全体の信頼性を向上させる。
【解決手段】 認証処理を構成する認証構成プロセスP1,P2を個別に実行するエンティティ装置10,20と、各認証構成プロセスP1,P2の実行内容を検証するための検証装置30とを備えた認証システムである。各エンティティ装置10,20は、秘密情報を管理する秘密情報管理部13,23と、認証構成プロセスP1,P2の実行内容から秘密情報に基づいて、検証のための認証子を生成する認証子生成部14,24と、認証子及び実行内容から特定のフォーマットで記述された特定コンテキストを生成するコンテキスト生成部15,25とを備えている。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証を構成するプロセスを保証し、検証者側に通知する認証システム及び装置に係り、特に、認証を構成するプロセスに関わるステートメントを、各プロセスの属する管理主体が保証し得る認証システム及び装置に関する。
【背景技術】
【0002】
ネットワークを介した通信やサービスにおいて、通信相手を認証することは必須な技術要素である。近年、特にオープンなネットワーク環境の普及や、分散されたサービス・リソースの連携技術の発達に伴い、認証対象がユーザから機器端末まで拡大している。
【0003】
これに伴い、多様なレイヤでの認証手段が実現されている。例えば、OSI7層モデルのセッション層での、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)が挙げられる(例えば、非特許文献1,2参照)。SSL/TLSは、上位層に対して透過的な秘匿通信を提供可能なため、標準的な秘匿通信プロトコルとして普及している。SSL/TLSでは、認証機構として、公開鍵証明書をベースとしたサーバ認証とクライアント認証をサポートしている。
【0004】
また、OSI7層モデルのネットワーク層における通信プロトコルであるIP(Internet Protocol)を対象とした秘匿通信としてIPsecがある(例えば、非特許文献3参照)。IPsecは、IPパケットレベルでの認証及び暗号化を図り、ホスト単位の秘匿通信を実現し、VPN(Virtual Private Network)等に利用される。IPsecは、既知共有鍵による通信相手の認証をサポートしており、動的な認証には、上位のセキュリティ合意交渉機構であるIKEやIKEv2等の仕組みを利用可能としている。
【0005】
一方、ユーザ認証に関するセキュリティのステートメントを表明する産業標準仕様としては、SAML(Security Assertion Markup Language)が策定されている(例えば、非特許文献4参照)。SAMLは、クライアントのセキュリティやポリシ決定に関わるステートメントをXML形式で表現し、電子的に保証するための枠組みである。
【0006】
以上のように、ネットワークを介した認証手段は、様々なレイヤでの適用が進んでおり、前述したように、通信やサービスに必須な技術要素となっている。
【0007】
また、認証対象者が個人である場合に、個人が本人か否かを確認する技術も現在注目されている。通常、認証では、認証対象者を厳密に識別又は照合することが要件として挙げられる。このとき、認証対象者が個人である場合、個人が本人か否かを厳密に確認する本人確認技術が必要になる。
【0008】
現在、本人確認を実施する有望な技術として、バイオメトリクス(生体照合/認証技術)が挙げられる。バイオメトリクスは、個々人が有する固有の身体的特徴又は特性を事前に登録した生体情報(以下、参照生体情報)と照合し、本人か否かを確認する技術である。生体情報には、指紋や虹彩、網膜、顔、音声、キーストローク、サインなどが利用される。
【0009】
バイオメトリクスでは、パスワードなどの既存の認証方法と異なり、紛失や忘失の心配が無い生体情報を利用するため、ユーザの負荷が軽減される。また、生体情報は複製が困難なものを前提としており、ユーザの成り済ましなどの防止策に有効である。
【0010】
また、現在インターネットに代表されるオープンネットワークが普及し、電子商取引などにおいてネットワーク越しに通信相手を認証する方法としてバイオメトリクスを利用しようとする動きが高まってきている。また、身分証明などの分野でもバイオメトリクスを利用して、身分証明書の所有者の本人確認を行うことも検討されている。
【0011】
ネットワーク経由を想定したバイオメトリクス利用には、照合結果や照合情報のネットワーク経路上での安全性が問題となるが、公開鍵認証基盤(Public Key Infrastructure)やICカードなどのセキュア媒体との組合せにより、通信経路上や機器等で、生体情報などの重要な情報の盗難や改竄の危険性が減少している。
【0012】
さらに前述したような複数のバイオメトリック方式を組み合わせて総合的に本人確認をする複合型のバイオメトリック・システムにより、より精度の高い本人確認を実行可能になってきている。
【非特許文献1】[SSL3.0] A. Frier, P. Karlton, and P. Kocher, "The SSL 3.0 Protocol", Netscape Communications Corp., Nov 18, 1996.
【非特許文献2】[TLS1.0] T. Dierks, C. Allen, “The TLS Protocol Version 1.0”, RFC2246, Jan 1999,<http://www.ietf.org/rfc/rfc2246.txt>
【非特許文献3】[IPsec] S. Kent, R. Atkinson, “Security Architecture for the Internet Protocol”, November 1998,<http://www.ietf.org/rfc/rfc2401.txt>
【非特許文献4】[SAML] OASIS Security Services TC, “Security Assertion Markup Language (SAML) v1.1”, Sept 2003,<http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security>
【発明の開示】
【発明が解決しようとする課題】
【0013】
しかしながら、現状の多くの認証技術は、本発明者の検討によれば、認証を構成するプロセスを同一の管理ドメインが管理することを想定するため、各プロセス自体の保証を考慮していない問題がある。
【0014】
例えばバイオメトリクスの場合、生体情報の読取機能や照合機能といった認証構成プロセスが、実装されるデバイスや機器上でどのように配置されるかは、システム固有に決まる場合が多い。具体的には、バイオメトリック・モデルの一つであるマッチング・オン・カード(Matching on Card:MOC)モデルでは、生体情報の読取機能がスキャナ上に配置され、生体情報の照合機能と参照生体情報(テンプレート)の管理機能がカード(スマートカードなど)上に配置される。
【0015】
このように認証構成プロセスは、プロセス毎に管理主体が異なる場合が多い。このため、各管理主体毎の認証構成プロセスが妥当か否かを、認証結果を検証する検証者側が明確に把握することが困難である。
【0016】
よって、認証構成プロセスの妥当性を把握できないことから、認証構成プロセスを統合した認証プロセス全体としては、信頼性を低下させている心配がある。特に、オープンなネットワーク環境での認証処理では、同一管理ドメインで運用されるとは限らないため、この心配が顕著になると考えられる。
【0017】
本発明は上記実情を考慮してなされたもので、各認証構成プロセスをその管理主体が保証し、保証内容を検証者により検証可能として、認証プロセス全体の信頼性を向上し得る認証システム及び装置を提供することを目的とする。
【課題を解決するための手段】
【0018】
第1の発明は、認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ装置と、前記各認証エンティティ装置で実行された前記認証処理を検証するための検証装置とを備えた認証システムであって、前記各認証エンティティ装置は、前記検証装置による検証のための秘密情報が記憶された秘密情報記憶手段と、前記認証構成プロセスの実行内容から前記秘密情報に基づいて、前記検証のための認証子を生成する認証子生成手段と、前記認証子及び前記実行内容から特定のフォーマットで記述された特定コンテキストを生成する特定コンテキスト生成手段と、前記特定コンテキストを出力する出力手段とを備えており、前記検証装置は、外部装置との通信機能を備えた通信手段と、前記各認証エンティティ装置により生成され且つ前記通信手段により受信された各コンテキストを検証するコンテキスト検証手段とを備えた認証システムである。
【0019】
第2の発明は、第1の発明において、前記各認証エンティティ装置のうち、少なくとも1台の認証エンティティ装置は、前記認証処理に関連して他の認証エンティティ装置から出力された全ての特定コンテキストから前記秘密情報に基づいて、前記検証のための全体認証子を生成する認証子生成手段と、前記全体認証子及び前記全ての特定コンテキストから特定のフォーマットで記述された一般コンテキストを生成する一般コンテキスト生成手段と、前記一般コンテキストを前記検証装置に向けて出力するための出力手段とを備えた認証システムである。
【0020】
第3の発明は、第1又は第2の発明において、前記各認証エンティティ装置は、他の認証エンティティ装置から入力された特定コンテキストを検証する特定コンテキスト検証手段を備えた認証システムである。
【0021】
第4の発明は、第1〜第3の各発明において、前記各認証エンティティ装置のうち、少なくとも1台の認証エンティティ装置は、前記認証構成プロセスの依存関係に関連する特定コンテキスト間での階層構造を表現するために、他の認証エンティティ装置から入力された特定コンテキストを含むように、自装置の特定コンテキストを生成するコンテキスト情報関連付け手段を備えた認証システムである。
【0022】
第5の発明は、第1〜第3の各発明において、前記各認証エンティティ装置のうち、少なくとも1台の認証エンティティ装置は、前記認証構成プロセスの依存関係に関連する特定コンテキスト間での階層構造を表現するために、他の認証エンティティ装置から入力された特定コンテキストの参照情報を含むように、自装置の特定コンテキストを生成するコンテキスト情報関連付け手段を備えた認証システムである。
【0023】
第6の発明は、第1〜第5の各発明において、前記検証装置と前記各認証エンティティ装置との間で通信を中継するクライアント装置を備え、前記クライアント装置は、前記各認証エンティティ装置に対し、認証構成プロセスの実行環境内容を規定した実行環境プロファイルを問合せるための実行環境問合せ手段と、前記各認証エンティティ装置から応答された実行環境プロファイルを、当該各認証エンティティ装置に関連付けて記憶する実行環境記憶手段と、前記記憶された実行環境プロファイルのうち、クライアント環境が対応可能な実行環境プロファイルを登録する登録手段とを備えた認証システムである。
【0024】
第7の発明は、第6の発明において、前記検証装置は、前記クライアント装置に対し、前記認証構成プロセスの実行環境プロファイルを指定する実行環境プロファイル指定手段を備え、前記クライアント装置は、前記指定に基づいて、該当する実行環境プロファイルを有する認証エンティティ装置に認証構成プロセスを実行させる手段を備えた認証システムである。
【0025】
第8の発明は、第1〜第7の各発明において、前記秘密情報記憶手段は、前記秘密情報として、公開鍵暗号方式における秘密鍵を記憶する秘密鍵記憶部を有しており、前記認証子生成手段は、前記秘密鍵に基づいて、前記公開鍵暗号方式におけるデジタル署名として、前記認証子を生成する署名生成部を備えた認証システムである。
【0026】
(作用)
従って、第1の発明では以上のような手段を講じることにより、各認証エンティティ装置による各認証構成プロセスの実行内容を認証子に基づいて検証装置が検証可能としたので、各認証構成プロセスをその管理主体(各認証エンティティ装置)が保証し、保証内容を検証者により検証可能として、認証プロセス全体の信頼性を向上させることができる。
【0027】
第2の発明では、任意の検証者が容易に全ての特定コンテキストを検証可能となり、また、認証処理全体の管理責任者を明確に特定することができる。
【0028】
第3の発明では、認証エンティティ装置での処理段階で、認証プロセスが正当に実行されているか否かを判断することができる。
【0029】
第4の発明では、個々の特定コンテキストが関係する認証構成プロセスの依存関係を明確に表現することができる。
【0030】
第5の発明では、特定コンテキスト間の依存関係を明確に表現しつつ、並列記述することができる。このことにより、個々の特定コンテキストの情報量を削減することができ、コンテキスト生成処理及び解析処理の負担を軽減することができる。
【0031】
第6の発明では、各認証エンティティ装置における認証構成プロセスの実行環境プロファイルのうち、クライアント環境が対応可能なものを登録するので、クライアント環境との間で実行環境プロファイルの合意を確立することができる。
【0032】
第7の発明では、検証装置主導による認証構成プロセスを実行することができる。
【0033】
第8の発明では、例えば外部認証基盤である公開鍵基盤を利用して、認証プロセス全体又は認証構成プロセスの責任者の正当性を証明及び検証することが可能となる。
【発明の効果】
【0034】
以上説明したように本発明によれば、各認証構成プロセスをその管理主体が保証し、保証内容を検証者により検証可能として、認証プロセス全体の信頼性を向上できる。
【発明を実施するための最良の形態】
【0035】
以下、本発明の実施形態を図面を参照して詳細に説明する。
(第1の実施形態)
図1は本発明の第1の実施形態に係る認証システムの構成を示す模式図であり、図2は同システムにおける認証プロセスを説明するための模式図である。認証プロセスは、図2に示すように、2つの認証構成プロセスP2,P1から構成され、各認証構成プロセスP2,P1の実行結果を基に認証結果が得られる。なお、各認証構成プロセスP1,P2は、互いに異なる第1又は第2エンティティ装置10,20で実行される。ここでは、認証構成プロセスP1が第1エンティティ装置10で実行され、認証構成プロセスP2が第2エンティティ装置20で実行される例を示している。
【0036】
ここで、認証処理(または認証プロセス)とは、認証したい対象(人、装置等)が正当であることを確認する処理をいう。また、正当であるとは、検証者が正しいと認める基準を満たした場合をいう。認証構成プロセスは、認証処理を構成するプロセスをいう。認証構成プロセスとしては、例えば生体情報を用いた認証処理の場合 1)生体情報の読み取り、2)特徴情報を抽出 などがあり、また1)および2)をまとめて1つの認証構成プロセスということもある。
【0037】
認証処理(または認証プロセス)は、1つ以上の認証構成プロセスから構成され、それらがそれぞれ異なるエンティティ装置で実行されてもよい。また、後段の認証構成プロセスは、前段の認証構成プロセスの結果を参照して実行されてもよく、また参照しなくてもよい。
【0038】
本システムは、第1エンティティ装置10、第2エンティティ装置20及び検証装置30からなる。検証装置30は第1エンティティ装置10と通信を行う通信部31及び第1エンティティ装置10が生成したコンテキストを検証するコンテキスト検証部32からなる。
【0039】
第1エンティティ装置10及び第2エンティティ装置20の構成図を図3に示す。各エンティティ装置10,20は、通信部11,21、秘密情報管理部13,23、認証子生成部14,24及びコンテキスト生成部15,25を備えている。また、第1エンティティ装置10は認証構成プロセスP1実行部12を備えており、第2エンティティ装置20は認証構成プロセスP2実行部22を備えている。また、第1エンティティ装置10の秘密情報管理部13には予め認証子を生成するための秘密情報1が格納されており、第2エンティティ装置20の秘密情報管理部23には予め認証子を生成するための秘密情報2が格納されているとする。
【0040】
各エンティティ装置10,20の通信部11,21は、外部装置、すなわち検証装置30及び他エンティティ装置20,10との通信を行う。
【0041】
第1エンティティ装置10の認証構成プロセスP1実行部12は、前述の認証構成プロセスP1を実行し、その実行結果を出力するものであり、第2エンティティ装置20の認証構成プロセスP2実行部22は、前述の認証構成プロセスP2を実行し、その実行結果を出力するものである。
【0042】
認証子生成部14,24は、入力されたデータを対象として、秘密情報管理部13,23から読み出した秘密情報を用いて認証子を生成するものである。認証子とは、例えばデジタル署名、メッセージ認証符号(Message Authentication Code:MAC)である。秘密情報とは、例えば認証子がデジタル署名の場合は公開鍵暗号方式における秘密鍵及び公開鍵のペアであり、認証子がメッセージ認証符号の場合は予め検証装置30と共有された共通鍵である。第8の発明を用いた場合は、秘密鍵に対応する、予め公開鍵基盤に基づく認証局(Certificate Authority:CA)から発行された公開鍵証明書が秘密情報管理部13,23に格納されているとする。
【0043】
コンテキスト生成部15,25は、認証構成プロセスP1実行部12又は認証構成プロセスP2実行部22の実行結果及び認証子生成部14,24により出力される認証子を、特定のフォーマットに従い整形し、その結果を出力するものである。本文では、コンテキスト生成部15,25により特定のフォーマットにしたがい整形された情報を特定コンテキストと記述する。
【0044】
次に、以上のように構成された認証システムの動作を図4のフローチャートを用いて説明する。
【0045】
(全体動作)
図4に示すように、検証装置30から第1エンティティ装置10に対して認証要求が送信されることにより(ST1)、認証プロセスの実行が開始される。認証要求には、実行する認証プロセスの指定、認証を安全に実行するために必要な情報、例えば乱数などのチャレンジ情報が含まれていてもよい。
【0046】
第1エンティティ装置10は、認証要求を受けると(ST2)、予め決められた、又は認証要求で指定された認証プロセスに従い、認証構成プロセスP2の実行要求を第2エンティティ装置20に送信する(ST3)。実行要求には、例えば、検証装置30からの認証要求に含まれる認証プロセスの指定、認証を安全に実行するための情報、図にはない認証構成プロセスP2の実行に必要でありかつ第1エンティティ装置10のみが保持している情報が含まれてもよい。
【0047】
第2エンティティ装置20は、認証構成プロセスP2の実行要求を受信すると(ST4)、予め決められた、又は検証装置30からの認証要求で指定された認証プロセスに従い、認証構成プロセスP2実行部22にて認証構成プロセスP2を実行し(ST5)、実行結果を得る。
【0048】
次に、コンテキスト生成部25において、認証構成プロセスP2の実行結果を入力として、以下の構造に整形された第2特定コンテキストp2を生成する。この際、実行要求に含まれる情報を入力としてもよい。
【0049】
第2特定コンテキストp2の構造を図5に示す。第2特定コンテキストp2は、ヘッダブロックp2h、データブロック(実行内容)p2d、認証子ブロックp2aから構成される。ヘッダブロックp2hは、この第2特定コンテキストp2を特定する情報が記述され、さらにこの第2特定コンテキストp2の構造に関する情報が記述されてもよい。データブロックp2dには、認証構成プロセスP2の実行結果が記述され、さらに実行要求に含まれる情報又はそれらの情報が特定可能な情報が記述されてもよい。
【0050】
ここで、データブロック(実行内容)とは、検証者が認証したい対象(人、装置等)が正当、つまり、正しいと認める基準を満たしているか否かを判断するために使用される情報をいい、各認証構成プロセス毎に生成される情報であり、例えば生体情報の読み取りプロセスにより、読み取られ、生成された生体情報(例えば、指紋情報)をいう。認証子ブロックp2aには、以下の手順で生成した認証子が記述される。
【0051】
コンテキスト生成部25は、まず、第2特定コンテキストp2のヘッダブロックp2h及びデータブロックp2dを記述する(ST6)。次に、認証子生成部24は、秘密情報管理部23から認証子生成のための秘密情報2を読み出す(ST7)。そして、前述のヘッダブロックp2h及びデータブロックp2dを対象に秘密情報2を用いて認証子を生成する(ST8)。最後に、生成された認証子を認証子ブロックp2aへ記述し、第2特定コンテキストp2を生成する(ST9)。
【0052】
第2エンティティ装置20は、以上の動作により生成した第2特定コンテキストp2を第1エンティティ装置10へ送信する(ST10)。
【0053】
次に、第1エンティティ装置10は、第2特定コンテキストを受信する(ST11)。なお、第3の発明を用いる場合、第1エンティティ装置10は、図にはない特定コンテキスト検証部で第2特定コンテキストp2のフォーマットおよび認証子を検証することにより、認証構成プロセスP2が正当に実行されているかを検証できる。更に必要があれば、特定コンテキスト検証部は、特定コンテキストp2内のデータブロックp2dに記述された情報が、予め決められた基準を満たしているかを判断してもよい.
いずれにしても、第1エンティティ装置10は、認証構成プロセスP1実行部12により認証構成プロセスP1を実行し(ST12)、実行結果を得る。この際、第2特定コンテキストp2に記述されている内容を参照してもよいし、参照しなくてもよい。どちらにするかは、予め決められた、又は検証装置30からの認証要求で指定されたプロセスに従う。
【0054】
次に、コンテキスト生成部15において、認証構成プロセスP1の実行結果を入力として、以下の構造に整形された第1特定コンテキストp1を生成する(ST13)。この際、認証要求に含まれる情報、及び第2特定コンテキストp2に記述された情報を入力としてもよい。
【0055】
第1特定コンテキストp1の構造は、第2特定コンテキストp2の構造と同じである。第1特定コンテキストp1は、ヘッダブロックp1h、データブロックp1d、認証子ブロックp1aから構成される。ヘッダブロックp1hは、この第1特定コンテキストp1を特定する情報が記述され、さらにこの第1特定コンテキストp1の構造に関する情報が記述されてもよい。データブロックp1dには、認証構成プロセスP1の実行結果が記述され、さらに認証要求に含まれる情報又はそれらの情報が特定可能な情報、第2特定コンテキストp2に記述された内容が記述されてもよい。認証子ブロックp1aには、以下の手順で生成した認証子が記述される。
【0056】
コンテキスト生成部15は、まず、第1特定コンテキストp1のヘッダブロックp1h及びデータブロックp1dを記述する。次に、認証子生成部14は、秘密情報管理部13から認証子生成のための秘密情報1を読み出す(ST14)。そして、前述のヘッダブロックp1h及びデータブロックp1dを対象に秘密情報1を用いて認証子を生成する(ST15)。最後に、生成された認証子を認証子ブロックp1aへ記述し、第1特定コンテキストp1を生成する(ST16)。
【0057】
第1エンティティ装置10は、上記の動作により得られた第1及び第2特定コンテキストp1,p2を認証コンテキストとして検証装置30へ送信する(ST17)。
【0058】
検証装置30は、受信した第1及び第2特定コンテキストp1,p2のフォーマット及び認証子を検証する(ST18,ST19)。認証子の検証は、例えば認証子がデジタル署名の場合は対応する公開鍵で行い、認証子がメッセージ認証符号の場合は予めエンティティ装置と共有された共通鍵で行う。
【0059】
認証子の検証に失敗すれば(ST19;NG)、検証装置30は、異常と判断して処理を終了する(ST20)。
【0060】
一方、認証子の検証に成功すれば(ST19;OK)、各認証構成プロセスP2,P1が正当なエンティティ装置20,10により実行され、かつエンティティ装置20,10の秘密情報により保証された認証結果である旨を確認できたので、検証装置30は正常に処理を終了する(ST21)。更に必要があれば、検証装置30は処理を終了せずに、特定コンテキストp1,p2内のデータブロックp1d,p2dに記述された情報が認証成功の基準を満たしているかを判断してもよい.その結果、基準を満たしていなければ(ST19;NG)、認証失敗と判断して処理を終了し(ST20)、基準を満たしていれば(ST19;OK)、認証成功と判断し,正常に処理を終了する(ST21)。更に第8の発明を用いる場合は、各エンティティ装置10,20の公開鍵証明書を検証することにより、各エンティティ装置10,20の正当性が外部認証基盤である公開鍵基盤に基づいて保証されていることを検証できる。
【0061】
上述したように本実施形態によれば、各エンティティ装置10,20による各認証構成プロセスの実行内容を認証子に基づいて検証装置30が検証可能としたので、各認証構成プロセスをその管理主体(各認証エンティティ装置)が保証し、保証内容を検証者により検証可能として、認証プロセス全体の信頼性を向上させることができる。
【0062】
詳しくは、認証を構成するプロセスに関わるステートメントを、各認証構成プロセスの属する管理主体が保証し、クライアントの認証環境に非依存な形式で統合して、検証者に通知する構成により、任意の検証者が認証結果を検証可能とし、認証プロセス全体の信頼性を向上できる。
【0063】
また、認証の構成プロセスが1つ以上に分離されている場合、またそれらの構成プロセスP2,P1がそれぞれ異なるエンティティ装置20,10で実行されている場合、また、後段の認証構成プロセスP1は、前段の認証構成プロセスP2の結果を参照して実行されている場合、又は参照していない場合といった全ての構成プロセス及びエンティティ装置の組合せに対しても、検証装置30は認証プロセスの正当性及び各エンティティ装置での認証構成プロセス実行結果を検証することが可能となる。
【0064】
(第2の実施形態)
本発明の第2の実施形態は、第1の実施形態のうち、第1エンティティ装置10に一般コンテキスト生成部16を追加した認証システムの例である。第1エンティティ装置10の構成を図6に示し、一般コンテキスト生成部16により追加された部分の動作をフローを図7に示す。
【0065】
一般コンテキスト生成部16は、第1特定コンテキストp1と第2特定コンテキストp2を特定可能な情報及び認証子生成部14,24により出力される認証子を、特定のフォーマットに従い整形し、その結果を出力するものである。
【0066】
一般コンテキストの構造を図8に示す。一般コンテキストgは、ヘッダブロックgh及び認証子ブロックgaから構成される。ヘッダブロックghは、第1及び第2特定コンテキストp1,p2を一意に特定可能な情報が記述される。さらにこの一般コンテキストgの構造に関する情報、認証要求に含まれる情報が記述されてもよい。認証子ブロックgaは、以下の手順で生成された認証子が記述される。
【0067】
第1エンティティ装置10での動作フローは、第1特定コンテキストp1の生成までは第1の実施形態と同様である。続いて、一般コンテキスト生成部16は、まず、一般コンテキストgのヘッダブロックghを記述する。次に、認証子生成部14は、秘密情報管理部13から秘密情報1を読み出し、前述の一般コンテキストgのヘッダブロックgh、第1特定コンテキストp1、及び第2特定コンテキストp2全体を対象に秘密情報1を用いて認証子を生成する。最後に、生成された認証子を一般コンテキストgの認証子ブロックgaへ記述し、一般コンテキストgを出力する。
【0068】
第1エンティティ装置10は、上記の動作により得られた一般コンテキストg、第1及び第2特定コンテキストp1,p2を認証コンテキストacとして検証装置30へ送信する。
【0069】
検証装置30は、まず、受信した一般コンテキストgのフォーマット及び認証子の検証を行う。この検証により、正しい認証プロセスに従って生成された認証コンテキストacであることが容易に確認でき、それが認証プロセス全体の管理責任者であるエンティティの秘密情報により保証されていることが確認できるとともに、管理責任者を容易に特定することができる。必要であれば、第1及び第2特定コンテキストp1,p2のフォーマット及び認証子の検証を実行してもよい。これにより各認証構成プロセスP2,P1が正当なエンティティ装置20,10により実行され、かつエンティティ装置内の秘密情報により保証された認証結果であること、及び認証構成プロセスの実行結果の詳細を知ることができる。更に必要であれば、検証装置30は、特定コンテキストp1,p2内のデータブロックp1d,p2dに記述された情報が認証成功の基準を満たしているかを判断してもよい.
上述したように本実施形態によれば、第1の実施形態の作用効果に加え、認証コンテキストが認証プロセス全体の管理責任者であるエンティティの秘密情報により保証されていることが確認できるとともに、管理責任者を容易に特定することができる。
【0070】
また、第1の実施形態における第1エンティティ装置10の内部に一般コンテキスト生成部16を追加したが、第1エンティティ装置10以外のエンティティ装置、更には特定コンテキストを生成しないエンティティ装置が一般コンテキストgを生成しても同様の効果が得られる。
【0071】
(第3の実施形態)
第3の実施形態は、第4及び第5の発明に係るものであり、第1及び第2の実施形態のうち、第1エンティティ装置10のコンテキスト生成部15に、コンテキスト情報関連付け部17を加えた認証システムの例である。第1エンティティ装置10の構成を図9に示す。
【0072】
コンテキスト情報関連付け部17は、認証構成プロセスP1が第2特定コンテキストp2を受けて実行されたことを関連付ける手段を有し、これによりコンテキスト生成部15は第2特定コンテキストp2に関連付けられた第1特定コンテキストp1を出力する。このようにコンテキスト間に階層構造がある場合、先に生成されるコンテキストを下位コンテキストとよび、後に生成されるコンテキストを上位コンテキストとよぶ。第2の発明における一般コンテキストは、全ての特定コンテキストが生成された後に生成されるため、最上位のコンテキストである。
【0073】
第4の発明に係り、コンテキスト情報関連付け部17により第2特定コンテキストp2と関連付けられて生成された第1特定コンテキストp1の一例を図10に示す。ここでは、第1特定コンテキストp1のデータブロック内に第2特定コンテキストp2を記述することによって関連付けを行っている。これにより、検証装置30は、認証コンテキストacから認証構成プロセス間の依存関係を容易に検出することが可能となる。
【0074】
次に第5の発明に係り、コンテキスト情報関連付け部17により第2特定コンテキストp2と関連付けられて生成された第1特定コンテキストp1の例を図11に示す。ここでは、第1特定コンテキストp1のヘッダブロックに第2特定コンテキストp2を一意に特定することが可能な情報を記述することによって関連付けを行っている。前例では認証構成プロセス間の依存関係を容易に検出できたが、検証の際に再帰的に特定コンテキストp1,p2を検証する必要があった。しかし本実施形態では、特定コンテキストp1,p2を並列に配置することによって逐次的に検証が可能となるため、検証装置30のリソース量、例えばメモリ量又は回路規模が少ない場合に効果的である。
【0075】
上述したように本実施形態によれば、第1又は第2の実施形態の作用効果に加え、図10に示す入れ子構造の場合、個々の特定コンテキストが関係する認証構成プロセスの依存関係を明確に表現することができる。
【0076】
また、図11に示す並列構造の場合、特定コンテキスト間の依存関係を明確に表現しつつ、並列記述することができる。このことにより、個々の特定コンテキストの情報量を削減することができ、コンテキスト生成処理及び解析処理の負担を軽減することができる。
【0077】
(第4の実施形態)
第4の実施形態は、第1乃至第5の発明に係わる実施形態であり、特に生体情報による認証を用いて具体的に示したものである。
【0078】
あるサービスを提供するためにユーザ認証を行う機能を備えたサーバ装置30’と、生体情報による認証の対象となるユーザの生体情報(以下、参照生体情報)の管理及び、認証の対象となるユーザの参照生体情報と認証時にユーザから読み取った生体情報(以下、サンプル生体情報)との照合を行う機能を備えたユーザ情報管理装置10’と、認証の対象となるユーザからサンプル生体情報を抽出する機能を備えた生体認証装置20’と、によって構成される生体情報による認証システム(以下、MOCモデル:Match On Cardモデル)に対して、第1の実施形態を適用した例を図12に示す。
【0079】
本例は、図13に示すように、サーバ装置からの認証要求に対する認証のプロセスが、ユーザ情報管理装置10’によるプロセスP1’、生体認証装置20’によるプロセスP2’の2つのプロセスから構成され、生体認証装置20’によるプロセスP2’が実行された結果を基に、ユーザ情報管理装置10’によるプロセスP1’が実行され、ユーザ情報管理装置10’が、それらのプロセスの実行結果を認証コンテキストとしてサーバ装置30’に返す。
【0080】
サーバ装置30’は、ユーザ情報管理装置10’と通信を行う通信部31及びユーザ情報管理装置10’が生成したコンテキストを解析するコンテキスト検証部32からなる。
【0081】
ユーザ情報管理装置10’の構成を図14に示す。本例におけるユーザ情報管理装置10’は、第2の実施形態のうち、第1エンティティ装置10の認証構成プロセスP1実行部12を、照合プロセス実行部12’に置き換えた装置である。これに伴い、通信部11及びコンテキスト生成部15の入出力先を照合プロセス実行部12’とした通信部11’及びコンテキスト生成部15’を備えている。なお、ユーザ情報管理装置10’として、ICカードや、スマートカードなどのデバイスを使用してもよい。
【0082】
照合プロセス実行部12’の構成を図15に示す。照合プロセス実行部12’は、ユーザ情報管理部12’a及び生体情報照合部12’bからなる。
【0083】
ユーザ情報管理部12’aは、ユーザ情報管理装置10’の所有者である人物の参照生体情報を格納している。なお、ユーザ情報管理部12’aは、耐タンパ性を有していることが望ましい。また、ユーザ情報管理装置10’の秘密情報管理部13において格納されている秘密情報を、ユーザ情報管理部12’aに格納しても良い。
【0084】
生体情報照合部12’bは、生体認証装置20’から受信したサンプル生体情報と、ユーザ情報管理部12’aに格納されている参照生体情報との照合処理を行い、その照合結果をコンテキスト生成部15’に出力する。
生体認証装置20’の構成を図16に示す。本例における生体認証装置20’は、第1の実施形態のうち、第2エンティティ装置20の認証構成プロセスP2実行部22を、読取りプロセス実行部22’に置き換えた装置である。これに伴い、通信部21及びコンテキスト生成部25の入出力先を読取りプロセス実行部22’とした通信部21’及びコンテキスト生成部25’を備えている。
【0085】
読取りプロセス実行部22’は、認証の対象となる人物から生体情報を読み取る処理を行う。
【0086】
(全体動作)
サーバ装置30’の動作フローは、第1の実施形態の検証装置30の動作フローと同様である。続いて、ユーザ情報管理装置10’の動作フローを図17に示す。
【0087】
ユーザ情報管理装置10’は、サーバ装置30’から認証要求を受信する(ST2)。この認証要求には、サーバ装置30’において生成した乱数であるチャレンジや、サーバ装置30’を識別するためのリクエスタなどの情報が含まれていることが望ましい。
【0088】
続いて、ユーザ情報管理装置10’は、生体認証装置プロセスの実行要求を生体認証装置20’に送信する(ST3’)。この実行要求には、サーバ装置30’において生成されたチャレンジや、ユーザ情報管理装置10’を識別するためのリクエスタなどの情報が含まれていることが望ましい。
【0089】
生体認証装置20’は、生体認証装置プロセス実行要求を受信すると(ST4’)、認証を要求する人物の生体情報を読み取る処理を実行し(ST5’)、サンプル生体情報を得る。ここでは、読み取った生体情報を、照合に適した形式に変換しておくことが望ましい。
【0090】
続いて、コンテキスト生成部25’において、生体情報読取り処理において取得したサンプル生体情報を入力として、図18に示す構造に整形された特定コンテキストである、生体認証装置特定コンテキストp2を生成する。なお、図18に示す特定コンテキストは、本例における実行環境プロファイルの規定に従ったものであるとし、別の実行環境プロファイルを定義する場合には、この特定コンテキストの構造を変更してもよい。
【0091】
生体認証装置特定コンテキストp2は、ヘッダブロックp2h、データブロックp2d、認証子ブロックp2aからなる。ヘッダブロックp2hは、この生体認証装置特定コンテキストp2を一意に識別するための生体認証装置識別子、この生体認証装置特定コンテキストが生成された生成日時、生体認証装置プロセス実行要求に含まれるチャレンジ、リクエスタをもつ。データブロックp2dは、生体情報読取り処理において取得したサンプル生体情報をもってもよいし、一方向関数であるハッシュ値をもってもよい。認証子ブロックp2aは、この生体認証装置特定コンテキストp2の完全性を保証するための認証子をもつ。なお、認証子の公的な例としては、第8の発明において、公開鍵基盤に基づく公開鍵証明書対を利用した認証子を示した。
【0092】
コンテキスト生成部25’は、まず、生体認証装置特定コンテキストp2のヘッダブロックp2h及びデータブロックp2dを記述する(ST6)。次に、認証子生成部24は秘密情報管理部23から認証子生成のための秘密情報を読み出す(ST7)。そして、前述のヘッダブロックp2h及びデータブロックp2dを対象に秘密情報を用いて認証子を生成する(ST8)。最後に、生成された認証子を認証子ブロックp2aへ記述し、生体認証装置特定コンテキストp2を生成する(ST9’)。
【0093】
生体認証装置20’は、以上の動作により生成された生体認証装置特定コンテキストp2及びサンプル生体情報を、ユーザ情報管理装置10’へ送信する(ST10’)。
【0094】
ユーザ情報管理装置10’は、生体認証装置特定コンテキストp2を受けると(ST11’)、図19に示す照合プロセスを実行する(ST12’)。なお、照合プロセスを実行する際に、生体認証管理装置20’から受信した特定コンテキストである生体認証装置特定コンテキストp2を検証する必要がある場合には、特定コンテキストの解析及び検証を行うための機能部を配置してもよい。
【0095】
まず、ユーザ情報管理部12’aから照合のための参照生体情報を読み出す(ST12’−1)。次に、読み取った参照生体情報と、生体認証装置20’から受け取ったサンプル生体情報との照合処理を行い(ST12’−2)、照合結果を得る。そして、照合結果を出力する(ST12’−3)。
【0096】
なお、この照合結果には、OK(一致)/NG(不一致)を示すものであっても良いし、参照生体情報とサンプル生体情報の類似度を示すものなど、認証のための判断の材料となる結果であれば良い。また、照合処理を行う際に、サンプル生体情報や参照生体情報を照合に適した形式に変換してあることが望ましい。
【0097】
次に、コンテキスト生成部15’において、図20に示す構造に整形されたMOC特定コンテキストp1を生成する。MOC特定コンテキストp1は、ヘッダブロックp1h、データブロックp1d、認証子ブロックp1dからなる。
【0098】
ヘッダブロックp1hは、特定コンテキスト識別子、プロファイル名、特定コンテキスト種別、生体情報種別、発行者、主体者、リクエスタ、生成日時、チャレンジを有する。特定コンテキスト識別子は、この特定コンテキストを一意に識別するために割り当てられた識別子である。特定コンテキスト種別は、この特定コンテキストの種類を識別するための情報である。発行者は、この特定コンテキストを発行したエンティティを一意に識別するための情報である。主体者は、この特定コンテキストの発行を受けるエンティティを一意に識別するための情報である。リクエスタは、この特定コンテキストを要求するエンティティを識別するための情報である。生成日時は、この特定コンテキストを生成した日時を表す情報である。チャレンジは、この特定コンテキストを要求するエンティティによって生成される乱数である。
【0099】
データブロックp1dは、生体データ情報、照合アルゴリズム、照合結果、生体認証装置特定コンテキストを有する。生体データ情報は、照合に用いた参照生体情報に関する情報を記述する。照合アルゴリズムは、参照生体情報とサンプル生体情報との照合を行う際に利用したアルゴリズムである。照合結果は、照合処理を行った結果を記述する。
【0100】
認証子ブロックp1aは、この生体認証装置特定コンテキストの完全性を保証するための認証子をもつ。
【0101】
なお、二つの特定コンテキストp1,p2を関連付けるためには,図20に示すように、MOC特定コンテキストp1のデータブロックp1dに、生体認証装置特定コンテキストp2を含めればよい。これは、第3の発明に係わる構造であるが、第4の発明に係わる構造に整形する場合は、図21に示すように、生体認証装置特定コンテキストp2を一意に識別するための関連特定コンテキスト識別子(例、生体認証装置識別子)を、MOC特定コンテキストp1に記述すればよい。
【0102】
コンテキスト生成部15’は、まず、MOC特定コンテキストp1のヘッダブロックp1h及びデータブロックp1dを記述する(ST13)。次に、認証子生成部14は秘密情報管理部13から認証子生成のための秘密情報を用いて認証子を生成する(ST14,ST15)。最後に、生成された認証子を認証子ブロックp1aへ記述し、MOC特定コンテキストp1を生成する(ST16’)。
【0103】
一般コンテキスト生成部16は、実行環境プロファイル及びMOC特定コンテキストから、図22に示す構造に整形された一般コンテキストgを生成する。
【0104】
一般コンテキストgは、ヘッダブロックgh、認証子ブロックgaにより構成される。ヘッダブロックghは、バージョン情報、発行者、主体者、リクエスタ、チャレンジ、生成時間、有効期間、プロファイルリストpfL、特定コンテキストリストidLを有する。バージョン情報は、この複合認証コンテキストの構造のバージョンを示す情報である。発行者は、この一般コンテキストgを発行したエンティティを一意に識別するための情報である。リクエスタは、この一般コンテキストgを要求するエンティティを一意に識別するための情報である。チャレンジは、この一般コンテキストgを要求するエンティティによって生成される乱数である。生成時間は、この一般コンテキストgが生成された日時を表す情報である。有効期間は、この一般コンテキストgの使用が有効である期間を示す情報である。プロファイルリストpfLは、この一般コンテキストg内の特定コンテキストに対応するプロファイルのリストである。特定コンテキストリストidLは、この一般コンテキストg内に存在する特定コンテキストp1,p2,…を一意に識別することができる識別子のリストである。
【0105】
認証子ブロックga内の一般コンテキスト認証子は、この一般コンテキストの完全性を保証するための情報である。
【0106】
一般コンテキスト生成部16は、まず、一般コンテキストgのヘッダブロックghを記述する(ST13G)。次に、認証子生成部14は秘密情報管理部13から秘密情報を読み出し(ST14G)、前述の一般コンテキストgのヘッダブロックgh、MOC特定コンテキストp1全体を対象に秘密情報を用いて認証子を生成する(ST15G)。ただし、第4の発明の構造によりMOC特定コンテキストp1を整形した場合には、生体認証装置特定コンテキストp2も対象に含めて認証子を生成する必要がある。最後に、生成された認証子を一般コンテキストgの認証子ブロックgaへ記述し、一般コンテキストgを生成する(ST16G)。
【0107】
ユーザ情報管理装置10’は、上記の動作により得られた一般コンテキストg、特定コンテキストp1,p2を認証コンテキストacとしてサーバ装置30’へ送信する(ST17)。
【0108】
サーバ装置30’における動作については、第2の実施形態の検証装置30の動作と同様である。
【0109】
上述したように本実施形態によれば、第1〜第3の実施形態を生体認証に適用し、第1〜第3の実施形態と同様の作用効果を得ることができる。
【0110】
(第5の実施形態)
本実施形態は、第4の実施形態の変形例であり、ユーザ情報管理装置10’が備えていた照合機能を、生体認証装置20’が備えた認証システム(以下、STOCモデル:Store On Cardモデル)である。
【0111】
(生体認証装置プロセス)
ユーザ情報管理装置10’は、生体認証装置20’に対して、生体認証装置プロセス実行要求に参照情報を含めて送信する。
【0112】
生体認証装置20’は、ユーザ情報管理装置10’から受け取った参照情報と、読み取ったサンプル生体情報とを照合し、図23に示す構造に整形した生体認証装置特定コンテキストp2を生成し、ユーザ情報管理装置10’に送信する。
【0113】
ユーザ情報管理装置10’は、生体認証装置20’から受け取った生体認証装置特定コンテキストp2から、図24に示す構造に整形したSTOC特定コンテキストp1を生成し、サーバ装置30’に送信する。
【0114】
上述したように本実施形態によれば、第4の実施形態をSTOCモデルに適用することができる。
【0115】
(第6の実施形態)
本実施形態は、第4の実施形態の変形例であり、図25に示すように、二つ以上の生体認証装置20”,20”,…を備えた認証システム(以下、マルチモーダル)である。
マルチモーダル生体認証とは、二つ以上の生体情報による照合結果を融合して判定を行うことにより、より精度の高い生体認証を実現することが可能となる。
【0116】
(ユーザ情報管理装置認証フロー)
ユーザ情報管理装置10”における動作フローを図26に示す。ここでは、生体認証装置プロセス実行要求が、二つの生体認証装置20”,20”に送信される。また、図27に示すように、照合プロセス実行部12’では、二つの照合処理が並列に実行され(ST12’−1〜ST12’−3)、出力された照合結果を融合判定し(ST12’−4)、その結果を出力する(ST12’−5)。なお、マルチモーダル認証における判定技術には、複数の照合結果を並列に判定する方法の他に、照合結果を直列に判定する方法も存在する。このような場合、各照合プロセスに対して特定コンテキストを生成していくことで、それぞれの認証プロセスを保証する認証コンテキストを生成することができる。
【0117】
また、マルチモーダルシステムでは、サーバ装置30”において個々の認証プロセスを検証する場合、それぞれの認証プロセスの関連付けを、認証コンテキストにおいて行う必要が生じる。図28に示すように、第4の発明に係わる構造に整形された認証コンテキストacは、特定コンテキストp1,p2,p3を入れ子構造にすることで、それぞれの認証プロセスの関連付けを実現することができる。また、図29に示すように、第5の発明に係わる構造に整形された認証コンテキストacは、上位構造が下位構造の参照情報を保持することで特定コンテキストp1,p2,p3同士の階層構造を実現し、それぞれの認証プロセスの関連付けを実現することができる。
【0118】
なお、本実施形態では、生体認証装置20”,20”は、生体情報の照合処理は行っていなかったが、各生体認証装置20”,20”において照合処理を行い、複数の照合結果をユーザ情報管理装置10”において融合する実行環境プロファイルに対して適用することも可能である。
【0119】
上述したように本実施形態によれば、第4の実施形態をマルチモーダル生体認証に適用することができる。
【0120】
(第7の実施形態)
本実施形態は、第1乃至第6の実施形態の変形例であり、認証システムにおける第7及び第8の発明に係る構成システムの一例を示すものである。
【0121】
本実施形態では、図30に示すように、前述したユーザ情報管理装置10,10’,10”及び生体認証装置20,20’,20”としての認証システムエンティティ装置(以下、認証エンティティ装置という)10e,20e,20eと、認証エンティティ装置の代理をする認証システムエンティティ代理装置としてのクライアント装置40との間での対応可能な実行環境プロファイルの交渉を実施する例を示す。
【0122】
ここで、実行環境プロファイルとは、認証プロセスを実行する認証システムエンティティ構成や、認証構成プロセスの認証システムエンティティへの配置状況、認証システムエンティティ間での情報交換規定、セキュリティ実施規定などを規定したものである。
【0123】
本実施形態では、クライアント環境で対応可能な実行環境プロファイルを取り纏める装置として、認証システムエンティティ代理装置としてのクライアント装置40を備える例を示す。クライアント環境は、認証構成プロセス自体は有しておらず、認証エンティティ装置10e,20e,20eと検証装置30、又は認証エンティティ装置10eと認証エンティティ装置20e,20eとの間を仲介する役割を有する。
【0124】
クライアント装置40には、一つ又は一つ以上の認証エンティティ装置10e,20e,20e,…が接続される。クライアント装置40は、各認証エンティティ装置10e,20e,20e間の通信を仲介し、認証プロセス全体のハンドリング処理を実施するものであって、例えば汎用パーソナルコンピュータやハンドヘルド機器などが適用可能となっている。
【0125】
具体的にはクライアント装置40は、図30に示すように、外部装置と通信を行う通信部41と、認証プロセス全体のハンドリング処理を行う制御部42と、各認証エンティティ装置10e,20e,20eで対応可能な実行環境プロファイルを問合せるための実行環境プロファイル問合せ部43と、クライアント環境で対応可能な実行環境プロファイルを管理するための実行環境プロファイル管理部44とを備える。
【0126】
認証エンティティ装置10e,20e,20eは、図示していないが第1の実施形態乃至第6の実施形態で記述した各部11〜17,21〜25を有しており、加えてクライアント装置40からの実行環境プロファイル問合せに答えるための実行環境プロファイル応答部18e,26eを備えている。
【0127】
第7の発明に対応するクライアント環境内での実行環境プロファイル交渉処理の一例を以下のステップで示す。クライアント装置40は、認証エンティティ装置10e,20e,20eが新たに接続された段階で、各認証エンティティ装置10e,20e,20eに対して、下記ステップを実行することが望ましい。下記ステップの処理フロー図は、図31に示す。なお、図では簡略化のため、実行環境プロファイル問合せメッセージと実行環境プロファイル応答メッセージを、対応実行環境プロファイル交渉メッセージとして説明している。
【0128】
クライアント装置40は、実行環境プロファイル問合せメッセージを作成し(ST31)、得られた実行環境プロファイル問合せメッセージを認証エンティティ装置10e,20e,20eに送信する(ST32)。
【0129】
認証エンティティ装置10e,20e,20eは、実行環境プロファイル問合せメッセージを受信し(ST33)、その問合せ内容を取得する(ST34)。しかる後、認証エンティティ装置10e,20e,20eは、自己が対応可能な実行環境プロファイルと、実装されている認証構成プロセスとを含む実行環境プロファイル応答メッセージを作成し(ST35)、得られた実行環境プロファイル応答メッセージをクライアント装置40に返信する(ST36)。
【0130】
クライアント装置40は、実行環境プロファイル応答メッセージを受信する(ST37)。実行環境プロファイル応答内容は、図示していないが制御部を介して実行環境プロファイル管理部44に渡される(ST38)。実行環境プロファイル管理部44は、各認証エンティティ装置10e,20e,20eからの応答内容を実行環境プロファイル対応情報として管理する(ST39)。実行環境プロファイル対応情報は、認証エンティティ装置10e,20e,20eに対応付けされて管理されることが望ましい。
【0131】
クライアント装置40は、管理した実行環境プロファイル対応情報から、クライアント環境が対応可能な実行環境プロファイルを判定し(ST40)、対応可能実行環境プロファイルとして実行環境プロファイル管理部内に登録する(ST41)。本実施形態では、対応可能か否かの判定基準として、実行環境プロファイルが実施可能な認証エンティティ装置10e,20e,20eが揃った場合を、実行環境プロファイルが実施可能であるとするが、その他の判定要素を含んでもよく、その場合は対応実行環境プロファイル問合せメッセージ内に判定要素の問合せ内容を含ませてもよい。この実施可能な実行環境プロファイルを、クライアント環境対応可能実行環境プロファイルとする。
【0132】
また、クライアント装置は、定期的に各認証エンティティ装置10e,20e,20eの接続を確認し、接続が切断された場合には、実行環境プロファイル管理部で管理される実行環境プロファイル対応情報及びクライアント環境対応可能実行環境プロファイルを削除することが望ましい。代替可能な実行環境プロファイル対応情報が存在する場合には、クライアント環境対応可能実行環境プロファイルは削除しなくてもよい。
【0133】
次に、第8の発明に対応する検証装置からクライアント環境に対して、実施する実行環境プロファイルを指定する処理の一例を示す。
【0134】
図32は、本実施形態における実行環境プロファイル指定処理に関するクライアント装置と検証装置のシステム概念と機能ブロック構成を示す図である。
【0135】
検証装置30eは、図示していないが第1の実施形態乃至第6の実施形態で記述した各部31,32の機能を有しており、加えてクライアント環境で実施することが可能な実行環境プロファイルを問合せるクライアント実行環境プロファイル問合せ部34と、セキュリティポリシを記憶した記憶部35と、クライアント環境で実施する実行環境プロファイルを指定するクライアント実行環境プロファイル指定部36とを備える。なお、セキュリティポリシは、実行環境プロファイルを指定するにあたって判断基準となる情報である。本実施形態では、このセキュリティポリシの形態は問わないが、好適には指定可能な実行環境プロファイルリストが優先順位付けされた形式であることが望ましい。
【0136】
本実施形態のクライアント環境では、上述の例と同様にクライアント装置40が仲介代理を行う例を示すが、一般認証エンティティ装置などの認証エンティティ装置10e,20e,20eであってもよい。
【0137】
クライアント装置40は、クライアント環境内での実行環境プロファイル交渉処理例で説明した各部41〜44に加えて、検証装置30からの実行環境プロファイル問合せに対して応答するクライアント実行環境プロファイル応答部45を備える。
【0138】
検証装置30からクライアント環境に対して、実施する実行環境プロファイルを指定する実行環境プロファイル指定処理の一例を以下のステップで説明する。また、クライアント環境内での実行環境プロファイル交渉処理は、前述の処理ステップST31〜ST41のように事前に実行されているものとする。下記ステップの処理フロー図は、図33に示す。なお、図では簡略化のため、クライアント実行環境プロファイル問合せメッセージ及びクライアント実行環境プロファイル応答メッセージ及び実行環境プロファイル指定メッセージを、クライアント実行環境プロファイル交渉メッセージとして説明している。
【0139】
検証装置30eは、実施可能な実行環境プロファイルがあるかを問合せるための実行環境プロファイル問合せメッセージを作成し(ST51)、得られた実行環境プロファイル問合せメッセージをクライアント装置40に送信する(ST52)。
【0140】
クライアント装置40は、実行環境プロファイル問合せメッセージを受信し(ST53)、その問合せ内容を取得する(ST54)。しかる後、クライアント装置40は、実行環境プロファイル管理部44で管理されているクライアント環境対応可能実行環境プロファイルリストを確認し(ST55)、確認結果を含む実行環境プロファイル応答メッセージを作成する(ST56)。
【0141】
実行環境プロファイル応答メッセージは、複数のクライアント環境対応可能実行環境プロファイルがある場合には、クライアント環境対応可能実行環境プロファイルリストを含む。また、クライアント環境対応可能実行環境プロファイルがない場合には、実行環境プロファイル応答メッセージは、クライアント環境対応可能実行環境プロファイルがない旨を含む。
【0142】
いずれにしても、クライアント装置40は、実行環境プロファイル応答メッセージを検証装置30eに送信する(ST57)。なお、実行環境プロファイル応答メッセージがクライアント環境対応可能実行環境プロファイルがない旨を含む場合にはこの処理を終了する。以下のステップでは、実行環境プロファイル応答メッセージがクライアント環境対応可能実行環境プロファイルリストを含む場合として説明を続ける。
【0143】
検証装置30eは、クライアント実行環境プロファイル応答メッセージを受信し(ST58)、クライアント環境対応可能実行環境プロファイルリストを取得する(ST59;YES)。クライアント環境対応可能実行環境プロファイルリストがなければ(ST59;NO)、この処理は終了する。
【0144】
検証装置30eは、クライアント実行環境プロファイル指定部36でクライアント環境対応可能実行環境プロファイルリストが存在するか否かを判定し(ST60)、存在する場合(ST60;YES)には当該リストの中から、セキュリティポリシに応じた実行環境プロファイルを選択し(ST61)、この実行環境プロファイルを指定する実行環境プロファイル指定メッセージを生成する(ST62)。また、セキュリティポリシに適した実行環境プロファイルがリスト内に存在しない場合には(ST60;NO)、存在しない旨を含む実行環境プロファイル指定メッセージを生成する(ST62)。
【0145】
いずれにしても、検証装置30eは、生成した実行環境プロファイル指定メッセージをクライアント装置40に送信する(ST63)。
【0146】
クライアント装置40は、実行環境プロファイル指定メッセージを受信し、実施すべき実行環境プロファイルを確認する。
【0147】
このステップの後に続いて、第1乃至第6の実施形態がそれぞれ実行されることが望ましい。
【0148】
上述したように本実施形態によれば、第1〜第6の実施形態の作用効果に加え、認証構成プロセスを実行する前に、各認証エンティティ装置10e,20e,20eにおける認証構成プロセスの実行環境プロファイルのうち、クライアント環境が対応可能なものを登録するので、クライアント環境との間で実行環境プロファイルの合意を確立することができる。
【0149】
また、認証構成プロセスを実行する前に、検証装置30”が実行環境プロファイルをクライアント装置40に指定するので、検証装置30”主導による認証構成プロセスを実行することができる。
【0150】
なお、上記各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0151】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0152】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行しても良い。
【0153】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
【0154】
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0155】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0156】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0157】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0158】
【図1】本発明の第1の実施形態に係る認証システムの構成を示す模式図である。
【図2】同実施形態における認証プロセスを説明するための模式図である。
【図3】同実施形態におけるエンティティ装置の構成を示す模式図である。
【図4】同実施形態における動作を説明するためのフローチャートである。
【図5】同実施形態における特定コンテキストの構造を示す模式図である。
【図6】本発明の第2の実施形態に係る第1エンティティ装置の構成を示す模式図である。
【図7】同実施形態における追加部分の動作を説明するためのフローチャートである。
【図8】同実施形態における一般コンテキストの構造を示す模式図である。
【図9】本発明の第3の実施形態に係る第1エンティティ装置の構成を示す模式図である。
【図10】同実施形態における特定コンテキスト間の関係を示す模式図である。
【図11】同実施形態における特定コンテキスト間の関係を示す模式図である。
【図12】本発明の第4の実施形態に係る認証システムの構成を示す模式図である。
【図13】同実施形態における認証プロセスを説明するための模式図である。
【図14】同実施形態におけるユーザ情報管理装置の構成を示す模式図である。
【図15】同実施形態における照合プロセス実行部の構成を示す模式図である。
【図16】同実施形態における生体認証装置の構成を示す模式図である。
【図17】同実施形態における動作を説明するためのフローチャートである。
【図18】同実施形態における生体認証装置特定コンテキストの構造を示す模式図である。
【図19】同実施形態における照合プロセスを説明するためのフローチャートである。
【図20】同実施形態におけるMOC特定コンテキストの構造を示す模式図である。
【図21】同実施形態における特定コンテキスト間の関係を示す模式図である。
【図22】同実施形態における一般コンテキストの構造を示す模式図である。
【図23】本発明の第5の実施形態における生体認証装置特定コンテキストの構造を示す模式図である。
【図24】同実施形態におけるSTOC特定コンテキストの構造を示す模式図である。
【図25】本発明の第6の実施形態に係る認証システムの構成を示す模式図である。
【図26】同実施形態におけるユーザ情報管理装置の動作を説明するためのフローチャートである。
【図27】同実施形態における照合プロセス実行部の動作を説明するためのフローチャートである。
【図28】同実施形態における特定コンテキスト間の関係を示す模式図である。
【図29】同実施形態における特定コンテキスト間の関係を示す模式図である。
【図30】本発明の第7の実施形態に係る認証システムの部分構成を示す模式図である。
【図31】同実施形態における動作を説明するためのフローチャートである。
【図32】同実施形態における認証システムの部分構成を示す模式図である。
【図33】同実施形態における動作を説明するためのフローチャートである。
【符号の説明】
【0159】
10,20…エンティティ装置、10’,10”…ユーザ情報管理装置、10e,20e,20e…認証エンティティ装置、20’,20”,20”…生体認証装置、11,11’,21,31,31”,31e,41…通信部、12,12’,22…認証構成プロセス実行部、12’a…ユーザ情報管理部、12’b…生体情報照合部、13,23…秘密情報管理部、14,24…認証子生成部、15,15’,25…コンテキスト生成部、16…一般コンテキスト生成部、17…コンテキスト情報関連付け部、18e,26e…実行環境プロファイル応答部、30,30e…検証装置、30’,30”…サーバ装置、32,32”…コンテキスト検証部、34…クライアント実行環境プロファイル問合せ部、36…クライアント実行環境プロファイル指定部、40…クライアント装置、33,42…制御部、43…実行環境プロファイル問合せ部、44…実行環境プロファイル管理部、45…クライアント実行環境プロファイル応答部、p1,p2…特定コンテキスト、g…一般コンテキスト、ac…認証コンテキスト、p1h,p2h,gh…ヘッダブロック、p1d,p2d…データブロック、p1a,p2a,ga…認証子ブロック。

【特許請求の範囲】
【請求項1】
認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ装置と、前記各認証エンティティ装置で実行された前記認証処理を検証するための検証装置とを備えた認証システムであって、
前記各認証エンティティ装置は、
前記検証装置による検証のための秘密情報が記憶された秘密情報記憶手段と、
前記認証構成プロセスの実行内容から前記秘密情報に基づいて、前記検証のための認証子を生成する認証子生成手段と、
前記認証子及び前記実行内容から特定のフォーマットで記述された特定コンテキストを生成する特定コンテキスト生成手段と、
前記特定コンテキストを出力する出力手段とを備えており、
前記検証装置は、
外部装置との通信機能を備えた通信手段と、
前記各認証エンティティ装置により生成され且つ前記通信手段により受信された各コンテキストを検証するコンテキスト検証手段と
を備えたことを特徴とする認証システム。
【請求項2】
請求項1に記載の認証システムにおいて、
前記各認証エンティティ装置のうち、少なくとも1台の認証エンティティ装置は、
前記認証処理に関連して他の認証エンティティ装置から出力された全ての特定コンテキストから前記秘密情報に基づいて、前記検証のための全体認証子を生成する認証子生成手段と、
前記全体認証子及び前記全ての特定コンテキストから特定のフォーマットで記述された一般コンテキストを生成する一般コンテキスト生成手段と、
前記一般コンテキストを前記検証装置に向けて出力するための出力手段と
を備えたことを特徴とする認証システム。
【請求項3】
請求項1又は請求項2に記載の認証システムにおいて、
前記各認証エンティティ装置は、
他の認証エンティティ装置から入力された特定コンテキストを検証する特定コンテキスト検証手段を備えたことを特徴とする認証システム。
【請求項4】
請求項1乃至請求項3のいずれか1項に記載の認証システムにおいて、
前記検証装置のコンテキスト検証手段は、
前記各認証エンティティ装置により生成された各コンテキストを、前記秘密情報と同一の秘密情報又は対応した秘密情報に基づいて検証する検証部を備えたことを特徴とする認証システム。
【請求項5】
請求項1乃至請求項4のいずれか1項に記載の認証システムにおいて、
前記各認証エンティティ装置のうち、少なくとも1台の認証エンティティ装置は、
前記認証構成プロセスの依存関係に関連する特定コンテキスト間での階層構造を表現するために、他の認証エンティティ装置から入力された特定コンテキストを含むように、自装置の特定コンテキストを生成するコンテキスト情報関連付け手段を備えたことを特徴とする認証システム。
【請求項6】
請求項1乃至請求項4のいずれか1項に記載の認証システムにおいて、
前記各認証エンティティ装置のうち、少なくとも1台の認証エンティティ装置は、
前記認証構成プロセスの依存関係に関連する特定コンテキスト間での階層構造を表現するために、他の認証エンティティ装置から入力された特定コンテキストの参照情報を含むように、自装置の特定コンテキストを生成するコンテキスト情報関連付け手段を備えたことを特徴とする認証システム。
【請求項7】
請求項4乃至請求項6のいずれか1項に記載の認証システムにおいて、
前記検証装置は、前記認証処理の実行要求を送信する認証要求手段を有し、
前記各認証エンティティ装置のうち、少なくとも1台の認証エンティティ装置は、
前記認証処理の実行要求に基づいて、対応する認証構成プロセスを実行するように、他の認証エンティティ装置に実行要求を送信する送信手段と、
当該他の認証エンティティ装置から返信された特定コンテキスト、及び自装置で生成した少なくとも特定コンテキストを返信する認証応答手段と
を備えたことを特徴とする認証システム。
【請求項8】
請求項1乃至請求項7のいずれか1項に記載の認証システムにおいて、
前記検証装置と前記各認証エンティティ装置との間で通信を中継するクライアント装置を備え、
前記クライアント装置は、
前記各認証エンティティ装置に対し、認証構成プロセスの実行環境内容を規定した実行環境プロファイルを問合せるための実行環境問合せ手段と、
前記各認証エンティティ装置から応答された実行環境プロファイルを、当該各認証エンティティ装置に関連付けて記憶する実行環境記憶手段と、
前記記憶された実行環境プロファイルのうち、クライアント環境が対応可能な実行環境プロファイルを登録する登録手段と
を備えたことを特徴とする認証システム。
【請求項9】
請求項8に記載の認証システムにおいて、
前記検証装置は、前記クライアント装置に対し、前記認証構成プロセスの実行環境プロファイルを指定する実行環境プロファイル指定手段を備え、
前記クライアント装置は、前記指定に基づいて、該当する実行環境プロファイルを有する認証エンティティ装置に認証構成プロセスを実行させる手段を備えたことを特徴とする認証システム。
【請求項10】
請求項1乃至請求項9のいずれか1項に記載の認証システムにおいて、
前記秘密情報記憶手段は、前記秘密情報として、公開鍵暗号方式における秘密鍵を記憶する秘密鍵記憶部を有しており、
前記認証子生成手段は、前記秘密鍵に基づいて、前記公開鍵暗号方式におけるデジタル署名として、前記認証子を生成する署名生成部を備えたことを特徴とする認証システム。
【請求項11】
認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ装置と、前記各認証エンティティ装置で実行された前記認証処理を検証するための検証装置とを備えた認証システムに用いられる各々の認証エンティティ装置であって、
前記検証装置による検証のための秘密情報が記憶された秘密情報記憶手段と、
前記認証構成プロセスの実行内容から前記秘密情報に基づいて、前記検証のための認証子を生成する認証子生成手段と、
前記認証子及び前記実行内容から特定のフォーマットで記述された特定コンテキストを生成する特定コンテキスト生成手段と、
前記特定コンテキストを出力する出力手段と
を備えたことを特徴とする認証エンティティ装置。
【請求項12】
請求項11に記載の認証エンティティ装置において、
前記認証処理に関連して他の認証エンティティ装置から出力された全ての特定コンテキストから前記秘密情報に基づいて、前記検証のための全体認証子を生成する認証子生成手段と、
前記全体認証子及び前記全ての特定コンテキストから特定のフォーマットで記述された一般コンテキストを生成する一般コンテキスト生成手段と、
前記一般コンテキストを前記検証装置に向けて出力するための出力手段と
を備えたことを特徴とする認証エンティティ装置。
【請求項13】
請求項11又は請求項12に記載の認証エンティティ装置において、
他の認証エンティティ装置から入力された特定コンテキストを、前記秘密情報に基づいて検証するコンテキスト検証手段を備えたことを特徴とする認証エンティティ装置。
【請求項14】
請求項11乃至請求項13のいずれか1項に記載の認証エンティティ装置において、
前記認証構成プロセスの依存関係に関連する特定コンテキスト間での階層構造を表現するために、他の認証エンティティ装置から入力された特定コンテキストを含むように、自装置の特定コンテキストを生成するコンテキスト情報関連付け手段を備えたことを特徴とする認証エンティティ装置。
【請求項15】
請求項11乃至請求項13のいずれか1項に記載の認証エンティティ装置において、
前記認証構成プロセスの依存関係に関連する特定コンテキスト間での階層構造を表現するために、他の認証エンティティ装置から入力された特定コンテキストの参照情報を含むように、自装置の特定コンテキストを生成するコンテキスト情報関連付け手段を備えたことを特徴とする認証エンティティ装置。
【請求項16】
請求項14又は請求項15に記載の認証エンティティ装置において、
前記検証装置から送信される認証処理の実行要求に基づいて、対応する認証構成プロセスを実行するように、他の認証エンティティ装置に実行要求を送信する送信手段と、
当該他の認証エンティティ装置から返信された特定コンテキスト、及び自装置で生成した少なくとも特定コンテキストを返信する認証応答手段と
を備えたことを特徴とする認証エンティティ装置。
【請求項17】
請求項11乃至請求項16のいずれか1項に記載の認証エンティティ装置において、
前記秘密情報記憶手段は、前記秘密情報として、公開鍵暗号方式における秘密鍵を記憶する秘密鍵記憶部を有しており、
前記認証子生成手段は、前記秘密鍵に基づいて、前記公開鍵暗号方式におけるデジタル署名として、前記認証子を生成する署名生成部を備えたことを特徴とする認証エンティティ装置。
【請求項18】
認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ装置に対し、前記各認証エンティティ装置で実行された前記認証処理を検証するための検証装置であって、
前記各認証エンティティ装置により生成されて前記認証構成プロセスの実行内容と、当該実行内容から所定の秘密情報に基づいて生成された認証子とを含む各コンテキストを、前記秘密情報と同一の秘密情報又は対応した秘密情報に基づいて検証するコンテキスト検証手段を備えたことを特徴とする検証装置。
【請求項19】
認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ装置と、前記各認証エンティティ装置で実行された前記認証処理を検証するための検証装置との間の通信を中継するクライアント装置であって、
前記各認証エンティティ装置に対し、認証構成プロセスの実行環境内容を規定した実行環境プロファイルを問合せるための実行環境問合せ手段と、
前記各認証エンティティ装置から応答された実行環境プロファイルを、当該各認証エンティティ装置に関連付けて記憶する実行環境記憶手段と、
前記記憶された実行環境プロファイルのうち、クライアント環境が対応可能な実行環境プロファイルを登録する登録手段と
を備えたことを特徴とするクライアント装置。
【請求項20】
請求項19に記載のクライアント装置において、
前記認証構成プロセスの実行環境プロファイルが前記検証装置から指定されたとき、この指定に基づいて、該当する実行環境プロファイルを有する認証エンティティ装置に認証構成プロセスを実行させる手段を備えたことを特徴とするクライアント装置。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate

【図16】
image rotate

【図17】
image rotate

【図18】
image rotate

【図19】
image rotate

【図20】
image rotate

【図21】
image rotate

【図22】
image rotate

【図23】
image rotate

【図24】
image rotate

【図25】
image rotate

【図26】
image rotate

【図27】
image rotate

【図28】
image rotate

【図29】
image rotate

【図30】
image rotate

【図31】
image rotate

【図32】
image rotate

【図33】
image rotate


【公開番号】特開2006−11768(P2006−11768A)
【公開日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願番号】特願2004−187239(P2004−187239)
【出願日】平成16年6月25日(2004.6.25)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】