[发明专利]帐户管理系统、基础帐户管理装置、派生帐户管理装置及程序

权利要求书

1.一种帐户管理系统，包括：基础帐户管理装置(10)，对用 于保证使用者的身份的基础帐户信息进行管理；以及派生帐户管理装 置(20)，对根据所述基础帐户信息生成的派生帐户信息进行管理， 所述各帐户管理装置能够与使用者的客户端装置(30)进行通信，该 帐户管理系统的特征在于，

所述基础帐户管理装置包括：

基础帐户存储设备(11)，存储有所述基础帐户信息(50)，所 述基础帐户信息(50)包括保存有初始认证要素信息的初始认证要素 字段(53)和保存有派生帐户信用要素信息(56)的派生帐户信用要 素字段(55)；

基础帐户密钥存储设备(11)，存储有所述基础帐户管理装置的 密钥以及与该密钥对应的公钥证书；

生存条件设置设备(17)，用于预先设置生存条件，该生存条件 包括对于所述派生帐户信用要素信息的多个有效期间；

初始认证设备(18)，构成为根据所述初始认证要素信息，认证 所述客户端装置的使用者；

设备(16)，构成为当基于所述初始认证设备的认证结果正当时， 对于信用要素识别信息、基础帐户管理装置识别信息、派生帐户管理 装置识别信息、基础帐户信息参考信息、以及所述生存条件，根据所 述基础帐户管理装置的密钥生成电子签名；

设备(15、16)，构成为将由所述信用要素识别信息、所述基础 帐户管理装置识别信息、所述派生帐户管理装置识别信息、所述基础 帐户信息参考信息、所述生存条件、所述电子签名、以及所述公钥证 书构成的派生帐户信用要素信息保存到所述派生帐户信用要素信息 字段中；和

设备(12、15)，将所述基础帐户存储设备内的派生帐户信用要 素信息发送给派生帐户管理装置，

所述派生帐户管理装置包括：

派生帐户存储设备(21)，能够存储所述派生帐户信息(60)， 所述派生帐户信息(60)包括保存有所述派生帐户信用要素信息的派 生帐户信用要素字段(65)和保存有派生认证要素信息的派生认证要 素字段(63)；

设备(27)，构成为当从所述基础帐户管理装置接收到派生帐户 信用要素信息时，根据该派生帐户信用要素信息内的公钥证书，对该 派生帐户信用要素信息内的电子签名进行验证；

设备(27)，构成为当该验证的结果为电子签名正当时，验证是 否满足所述派生帐户信用要素信息内的生存条件；

设备(25、27)，当该验证的结果满足生存条件时，创建所述派 生帐户信用要素字段中包含所述派生帐户信用要素信息的所述派生 帐户信息，将该派生帐户信息写入到所述派生帐户存储设备中；

设备(26)，构成为从所述客户端装置获取所述使用者的活体信 息，根据该活体信息创建活体信息样本；

设备(26)，将包括所述活体信息样本的派生认证要素信息写入 到所述派生帐户存储设备内的所述派生帐户信息的派生认证要素字 段中；

设备(27)，构成为在写入所述派生认证要素后，当收到对所述 派生帐户信息的访问请求时，根据所述派生帐户存储设备内的派生帐 户信息中的派生帐户信用要素信息内的公钥证书，对该派生帐户信用 要素信息内的电子签名进行验证；

设备(27)，构成为当该验证的结果为电子签名正当时，验证是 否满足该派生帐户信用要素信息内的生存条件；和

设备(25)，构成为当该验证的结果不满足生存条件时，拒绝所 述访问请求而使所述派生帐户信息无效化。