[发明专利]认证装置和实体装置

说明书

技术领域

本发明涉及一种认证装置以及实体装置。

背景技术

近年来，生物遗传学认证(生物学认证)已经作为一种严格的本人认证技术被广泛引入。生物遗传学认证技术中，对表示个体所独有的生理或行为特征的信息进行采样，并且通过比较所采样的生物遗传学信息(生物遗传学采样信息)和预先采样并记录的生物遗传学信息(生物遗传学模板)，来确认该个体是否是本人(principal)。因此，与现有的认证技术诸如密码认证相比，采用生物遗传学认证可以更严格地确认“本人”。生物遗传学信息指的是指纹、虹膜图案、视网膜图案、人脸、语音、击键以及笔迹。这些类型的生物遗传学信息与现有认证技术中使用的密码或者IC卡不同，具有不容易遗失或遗忘的优点，因此减轻了用户的负担。现在正在对已经被引入到固定系统、诸如银行ATM(自动柜员机)中的生物遗传学认证进行研究，以通过互联网对电子商务交易进行本人认证。

生物遗传学认证与诸如密码认证的现有认证方法不同，其根据生物遗传学遗传学样本信息和生物遗传学模板之间的相似性来判断是否需要本人确认。相似性在很大程度上取决于设备以及执行构成生物遗传学认证的每个过程(下文简称为认证子过程)的算法，例如“生物遗传学信息采样过程(生物遗传学特征量的提取过程)”、“匹配过程”或者“确定相似性的过程(与预设阈值进行比较的过程)”。在用于诸如银行ATM的固定系统的生物遗传学技术中，银行ATM执行各项认证子过程的操作的合法性可以通过核验者(银行等)来保证，因此不会产生问题。

但是经由互联网的生物遗传学验证产生的问题是核验者不能够保证用户部分上执行的各项认证子过程的合法性。

作为解决该问题的技术，已知有采用了生物遗传学认证的认证上下文的一种认证系统(例如参见日本专利申请公开号NO.2006-11768)。该认证上下文是允许执行各项认证子过程的设备确保执行结果以及允许核验者验证各项过程的合法性的信息。

只要在同一设备内仅有一个功能模块能够执行给定的认证子过程，这种使用认证上下文的认证系统就不会产生问题。

例如，核验者验证用于执行认证子过程的设备(下文称为实体设备)内产生的认证上下文，从而能够确认该实体设备执行的认证子过程的合法性。另外，认证上下文包括关于已产生特定认证上下文的实体设备的功能的信息。

但是本发明人的研究表明，在同一个实体设备具有多个能够执行给定认证子过程的功能模块的情况下，会出现下述不便问题。

具体地说，在选择实体设备内多个功能模块之中的一个指定模块来执行本人确认过程的情况下，核验者不能根据认证上下文来判断是由哪个功能模块执行了认证子过程。

因此当多个功能模块具有不同的匹配精确度时，不利的是，核验者不能确定认证子过程的合法性，因此也不能确定认证是成功还是失败。

发明内容

本发明的一个目的是提供一种认证装置和一种实体设备，即使存在能够执行同一认证子过程的多个功能单元时，也能够根据认证上下文验证认证子过程的合法性。

根据本发明的第一方面，提供了一种认证装置，其能够与客户装置进行通信，所述客户装置能够传输从多个实体设备接收的每个认证上下文，所述实体设备根据保密信息生成多个认证上下文，每个认证上下文包括构成生物遗传学认证过程的多个认证子过程的处理结果，所述认证装置包括：认证装置保密信息存储设备，被配置为存储与前述保密信息一致或相应的保密信息；认证核验设备，被配置为一旦从客户装置接收到具有以下配置的认证上下文，就根据认证装置保密信息存储设备中的保密信息来核验每个认证上下文的鉴定码，其中所接收到的认证上下文被配置为具有“包括实体设备中多个认证子过程执行设备的执行设备性能信息和执行设备识别信息的实体设备证书”、“表示已执行认证子过程的认证子过程执行设备的执行设备识别信息”、“认证子过程的处理结果”以及“根据保密信息生成的鉴定码”；性能信息提取设备，被配置为对于接收到的每个认证上下文，根据用于生成鉴定码的执行设备识别信息来提取实体设备证书中相应的执行设备性能信息；性能标准信息存储设备，被配置为预先存储表示认证子过程执行设备所要满足的性能的性能标准信息；以及性能信息核验设备，被配置为根据性能标准信息来核验由性能信息提取设备提取的执行设备性能信息。