CN1751471B - 认证处理设备和安全处理方法 - Google Patents
认证处理设备和安全处理方法 Download PDFInfo
- Publication number
- CN1751471B CN1751471B CN2004800042418A CN200480004241A CN1751471B CN 1751471 B CN1751471 B CN 1751471B CN 2004800042418 A CN2004800042418 A CN 2004800042418A CN 200480004241 A CN200480004241 A CN 200480004241A CN 1751471 B CN1751471 B CN 1751471B
- Authority
- CN
- China
- Prior art keywords
- des
- key
- pki
- authentication
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/10—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- Storage Device Security (AREA)
Abstract
认证处理设备根据对输入的要认证的信息的认证结果基于PKI执行安全处理。该设备包括:输入部分(12),用于输入要认证的信息;认证处理部分(21),用于对从输入部分输入的要认证的信息执行认证处理;PKI处理部分(23),用于根据PKI(公共密钥基础设施)方法产生私密密钥和公共密钥,并通过使用所产生的私密密钥执行预定的安全处理;存储部分(24),具有只写区域,在该只写区域中写入由PKI处理部分(23)产生的私密密钥,并且不能从外部读该只写区域;以及私密密钥传送部分(25),用于在要认证的信息被认证处理部分(21)成功认证时,直接访问存储部分(24)的只写区域,并将所写入的私密密钥传送到PKI处理部分(23)。
Description
技术领域
本发明涉及有关PKI(公共密钥基础设施)的技术,更具体地,涉及认证设备和用于响应正被认证的输入信息的认证结果来基于PKI进行安全处理的安全处理方法。
本申请要求2003年2月14日在日本提交的日本专利申请2003-037373的优先权,通过引用将其全部合并于此。
背景技术
迄今为止已经提出用于基于PKI(公共密钥基础设施)识别用户的易于携带的硬件标志(token),如IC卡或USB标志。PKI是有关网络安全技术的基础设施的一般名称。特定PKI技术有用于与外部设备执行数据传送/接收的技术,其中保密能力与采用公共密钥和私密密钥的非对称加密系统的数据一致。
例如,假设根据非对称加密系统传送/接收数据。数据传送方用公共密钥对数据进行加密以传送数据。已经接收了用公共密钥加密的数据的数据接收方能够用与公共密钥匹配的密码索引对加密的数据进行解密。
公共密钥差不多完全公开,使得任何人都可以获取该公共密钥。然而,需要安全地保存私密密钥,使得其不会被第三方盗窃。
因此,前述的硬件标记通常由掩膜ROM形成,使得从个人计算机PC访问时不能读出私密密钥。
由于需要安全地保存私密密钥,所以期望为用于采用PKI系统的数据传送/接收的设备提供基于密码或有关活体的信息来确认进入该设备的用户是否是被授权的用户的认证机制。
利用上述由掩膜ROM形成的硬件标志,由于强加到程序结构上的很多限制而很难添加认证机制。
发明内容
本发明的一个目的是提供一种新认证设备和一种安全处理方法,凭此有可能解决在上述的传统技术中固有的问题。
本发明的另一个目标是提供一种新认证设备和一种安全处理方法,其中提供了PKI功能,并且难以提供私密密钥的非法获得。
根据本发明,提供了一种连接到外部设备的可移动认证设备,包括:输入装置,用于输入要认证的信息;认证装置,用于认证由输入装置录入的要认证的信息;PKI处理装置,用于基于PKI(公共密钥基础设施)系统来产生私密密钥和公共密钥,以便用所产生的私密密钥执行预定安全处理;存储装置,具有只写区域,其中在该只写区域中写入由PKI处理装置产生的私密密钥,并且不能从外部读出该只写区域;以及私密密钥传送装置,用于响应由认证装置对要认证的信息的认证而直接访问存储装置的只写区域,并用于将所写入的私密密钥传送到PKI处理装置。
根据本发明,还提供了一种连接到外部设备的可移动认证设备的安全处理方法,其中该方法包括:输入要认证的信息的步骤;认证步骤,认证输入步骤录入的要认证的信息;密钥产生步骤,由执行预定安全处理的PKI处理装置基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥;写步骤,将通过密钥产生步骤产生的私密密钥写入具有不可能从外部读出的只写区域的存储装置;以及私密密钥传送步骤,响应于通过认证步骤对要认证的信息的认证,直接访问存储装置的只写区域,以将所写入的私密密钥传送到PKI处理装置。
根据本发明,还提供了一种连接到外部设备的可移动认证设备,包括:输入装置,用于输入要认证的信息;认证装置,用于认证由输入装置录入的要认证的信息;PKI处理装置,用于基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥,以便用所产生的私密密钥执行预定安全处理;以及存储装置,其通过专用总线连接到PKI处理装置,并具有只写区域,私密密钥被写入该只写区域,且不能从外面读出该只写区域。PKI处理装置响应于认证装置对要认证的信息的认证,通过专用总线读出已写入存储装置的只写区域中的私密密钥。
根据本发明,提供了一种连接到外部设备的可移动认证设备的安全处理方法,其中该方法包括:输入要认证的信息的步骤;认证步骤,认证通过输入步骤录入的要认证的信息;密钥产生步骤,由执行预定安全处理的PKI处理装置基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥;以及写步骤,将通过密钥产生步骤产生的私密密钥写入通过专用总线连接到PKI处理装置的存储装置,存储装置具有不可能从外面读出的只写区域;PKI处理装置响应认证装置对要认证的信息的认证,通过专用总线读出已写入存储装置的只写区域的私密密钥。
根据本发明,还提供了一种连接到外部设备的可移动认证设备,包括:输入装置,用于输入要认证的信息;认证装置,用于认证由输入装置录入的要认证的信息;PKI处理装置,用于基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥,以便用所产生的私密密钥执行预定安全处理;DES密钥产生装置,用于基于DES(数据加密标准)系统产生第一DES密钥;以及存储装置,通过专用总线连接到PKI处理装置。由DES密钥产生装置产生的第一DES密钥被写入存储装置。在产生私密密钥之后,PKI处理装置通过专用总线读出已写入存储装置的第一DES密钥,并使用所读出的第一DES密钥对私密密钥进行加密,以产生加密的私密密钥。PKI处理装置响应认证装置对要认证的信息的认证,通过专用总线读出已写入存储装置的第一DES密钥,并用所读出的第一DES密钥将加密的私密密钥解密为私密密钥。
根据本发明,还提供了一种连接到外部设备的可移动认证设备,包括:输入装置,用于输入要认证的信息;认证装置,用于认证由输入装置录入的要认证的信息;PKI处理装置,用于基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥,以便用所产生的私密密钥执行预定安全处理;DES密钥产生装置,用于基于DES(数据加密标准)系统产生第一DES密钥;以及存储装置,通过专用总线连接到PKI处理装置。由DES密钥产生装置产生的第一DES密钥被写入存储装置。在产生私密密钥之后,PKI处理装置通过专用总线读出已写入存储装置的第一DES密钥,并使用所读出的第一DES密钥对私密密钥进行加密,以产生加密的私密密钥。PKI处理装置响应认证装置对要认证的信息的认证,通过专用总线读出已写入存储装置的第一DES密钥,并用所读出的第一DES密钥将加密的私密密钥解密为私密密钥。
根据本发明,还提供了一种连接到外部设备的可移动认证设备的安全处理方法,其中该方法包括:输入要认证的信息的步骤;认证步骤,认证由输入步骤录入的要认证的信息;密钥产生步骤,由执行预定安全处理的PKI处理装置基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥;DES密钥产生步骤,基于DES(数据加密系统)产生第一DES密钥;以及写步骤,将通过DES密钥产生步骤产生的第一DES密钥写入通过专用总线连接到PKI处理装置的存储装置。在产生私密密钥之后,PKI处理单元通过专用总线读出已写入存储装置的第一DES密钥,并用所读出的第一DES密钥对私密密钥进行加密,以产生加密的私密密钥。PKI处理单元响应认证步骤对要认证的信息的认证,通过专用总线读出已写入存储装置的第一DES密钥,并用所读出的第一DES密钥将加密的私密密钥解密为私密密钥。
根据本发明,还提供了一种连接到外部设备的可移动认证设备,包括:输入装置,用于输入要认证的信息;认证装置,用于认证由输入步骤录入的要认证的信息;PKI(公共密钥基础设施)处理装置,用于基于PKI系统而由PKI系统产生私密密钥和公共密钥,以执行预定安全处理;DES(数据加密系统)密钥产生装置,用于基于DES系统产生第一DES密钥;存储装置,具有不可能从外面读出的只写区域,由DES密钥产生装置产生的第一DES密钥被写入只写区域;以及DES密钥传送装置,用于直接访问存储装置的只写区域,以将写入其中的第一DES密钥传送到第一PKI处理装置。当产生私密密钥时,DES密钥传送装置读出已写入存储装置的只写区域的第一DES密钥,以将如此读出的第一DES密钥传送到PKI处理装置。PKI处理装置使用DES密钥传送装置传送的第一DES密钥将加密的私密密钥解密为私密密钥。
根据本发明,还提供了一种连接到外部设备的可移动认证设备的安全处理方法,其中该方法包括:输入要认证的信息的步骤;认证步骤,认证通过输入步骤录入的要认证的信息;密钥产生步骤,由执行预定安全处理的PKI处理装置基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥;DES密钥产生步骤,基于DES(数据加密系统)产生第一DES密钥;写步骤,将通过DES密钥产生步骤产生的第一DES密钥写入具有不可能从外面读出的只写区域的存储装置;以及DES密钥传送步骤,直接访问存储装置的只写区域,以将所写入的私密密钥传送到PKI处理装置。当产生私密密钥时,DES密钥传送步骤读出已写入存储装置的只写区域的第一DES密钥,以将如此读出的第一DES密钥传送到PKI处理装置。PKI处理步骤使用DES密钥传送装置传送的第一DES密钥对第一DES密钥进行加密,以产生加密的私密密钥。DES密钥传送步骤响应认证步骤对要认证的信息的认证,读出已写入存储装置的第一DES密钥。PKI处理装置用DES密钥传送步骤传送的第一DES密钥将加密的私密密钥解密为私密密钥。
从下面对优选实施例的说明,特别是当结合附图的阅读时,本发明的其它目的和优点将变得更加明显。
附图说明
图1示意性地示出根据本发明的指纹核对设备的结构;
图2是示出指纹核对设备的结构的方框图;
图3是示出提供给指纹核对设备的ASIC的第一结构的方框图;
图4是示出在ASIC内的PKI引擎(engine)的第一结构的方框图;
图5示出在ASIC内的EEPROM的存储区域;
图6是示出数据签名操作的流程图;
图7是示出提供给指纹核对设备的ASIC的第二结构的方框图;
图8是示出提供给指纹核对设备的ASIC的第三结构的方框图;
图9是示出在ASIC内的PKI引擎的第二结构的方框图;
图10是示出提供给指纹核对设备的ASIC的第四结构的方框图
具体实施方式
现在将参考附图详细说明根据本发明的认证设备和安全处理设备。
首先参考图1到5,说明形成根据本发明的认证设备的指纹核对设备10。
如图1所示配置根据本发明的指纹核对设备的指纹核对设备10。即,指纹核对设备10包括机盒11,机盒11上提供有用于读出手指的指纹信息的指纹读出传感器12。指纹核对设备10还包括输入/输出接口13,该设备通过输入/输出接口13经线缆5连接到诸如个人计算机50的外部设备,以实现数据传送/接收。指纹核对设备10被配置为便携的/可移动的。
个人计算机50(PC)包括用于连接到网络的功能,尽管没有示出这样的功能,且个人计算机50能够与例如连接到PC的终端设备进行自由地数据传送/接收。
参考图2,现在将说明指纹核对设备10的结构。
指纹核对设备10包括:指纹读出传感器12、输入/输出传感器13、快闪存储器14、SRAM(静态随机存取存储器)15、以及ASIC(特定用途集成电路)20。
指纹读出传感器12、输入/输出传感器13、快闪存储器14、SRAM15、以及ASIC20通过总线16相互连接。
指纹读出传感器12是用于读取放在其上的手指的指纹的脊和槽即指纹的图案的半导体传感器。
例如,指纹读出传感器12检测根据静电电容系统的指纹图案以产生二维图像。静电电容系统的指纹读出传感器12以80μm的间距具有多个电极,其中80μm的间距足够小于指纹的脊和槽的间距。指纹读出传感器检测指纹图案和跨电极存储的电荷量(电容)。由于检测的电容在指纹的脊和槽上分别变低和变高,所以可以从电容的这一差异产生表示指纹图案的二维图像。
输入/输出传感器13是基于例如USB(通用串行总线)标准的接口。用于输入/输出传感器13的标准也可以是与USB不同的任何适合的标准,例如RS232C。
在快闪存储器14和SRAM15中,存储有由在ASIC20的CPU读出的控制固件,这将在后面说明,且其适配为全面控制指纹核对设备10。
在快闪存储器14中,还存储有作为用作指纹核对基准的指纹信息的模板数据。在使用指纹核对设备10执行指纹核对时,用户不得不从一开始就将他/她的指纹信息注册到快闪存储器14中。存储在快闪存储器14中的指纹信息是模板数据,其中该模板数据是指纹图像特征的提取。
参考图3,现在将说明ASIC20的结构。
ASIC 20包括:指纹核对引擎21、用于程序22的RAM(随机存取存储器)/掩膜ROM(只读存储器)、PKI(公共密钥基础设施)引擎23、EEPROM(电可擦除可编程只读存储器)24、DMA(直接存储器访问)控制器25、CPU(中央处理单元)26、接口控制器27、总线控制器28、以及随机数引擎30。ASIC 20是高度防伪造的IC,其中没有由互相连接等操作引起的数据泄漏的风险。
指纹核对引擎21、用于程序的RAM/掩膜ROM 22、PKI引擎23、EEPROM 24、DMA控制器25、CPU 26、接口控制器27、总线控制器28、以及随机数引擎30通过内部总线29相互连接。
在执行指纹核对时,指纹核对引擎21读出模板数据(其中该模板数据是仅从一开始就存储在快闪存储器14中的指纹图像的特征的提取),并通过执行核对来比较由指纹读出传感器12检测的指纹图像和读出的模板数据。将由指纹核对引擎21获得的核对比较结果通知给CPU 26。
再次在指纹核对引擎21的帮助下,将作为指纹图像的特征信息的提取的模板数据存储到前述快闪存储器14。
用于程序22的RAM/掩膜ROM是其中存储有由执行指纹核对的CPU 26使用的固件的存储器。
PKI引擎23采用基于PKI的私密密钥执行与安全相关的处理,如数据签名、数据加密以及对已用公共密钥加密的数据的解密。同时,随后将详细说明由指纹核对设备10执行的数据签名、数据加密和对已用公共密钥加密的数据的解密。
参考图4,现在说明PKI引擎23的结构。
PKI引擎23包括数据寄存器31、密钥寄存器32、命令状态寄存器33和PKI核心34。
数据寄存器31、用于加密/解密的密钥寄存器32和命令状态寄存器33通过内部总线35相互连接。PKI核心34分别连接到数据寄存器31、密钥寄存器32和连接到命令状态寄存器33。
数据寄存器31用于暂时存储PKI核心34在数据签名、数据加密或对加密数据的解密中处理的数据。
密钥寄存器32用于暂时存储由DMA控制器25读出和传送的诸如私密密钥的密钥。
命令状态寄存器33用于暂时存储在数据签名、数据加密或对加密数据的解密期间从CPU26输出的用于PKI核心34的预设命令。
PKI核心34执行数据签名、数据加密或加密数据的解密。一旦经由命令状态寄存器33从CPU26接收到密钥产生命令,PKI核心34就基于例如在PKI系统之中的RSA(Rivest Shamir Adleman)系统产生密钥对,即公共密钥和私密密钥。在DMA控制器25的控制下,将如此产生的私密密钥传送到EEPROM24的预设存储区域,这将在后面说明。将公共密钥传送给PC50。私密密钥和公共密钥的产生是由用户采用指纹核对设备10执行的初始设置。
同时,由PKI核心34采用的PKI系统不限于上述的RSA系统,因此也可以使用例如Diffie-Hellman(DH)系统或椭圆曲线密码学(ECC)系统的任何其它合适的系统。
EEPROM24是可重写的ROM,其中可以电擦除预先记录的信息。
图5示意性地示出EEPROM 24的数据存储区域。EEPROM 24包括用于从外部读/写的R/W区域41、只用于写的W区域42和只用于读的读区域。
如上描述,W区域42是只用于写的区域。在这个W区域42中,在CPU26的控制下,经由DMA控制器25写由PKI产生的私密密钥。
对于CPU26,W区域42作为只写区域。因此,私密密钥不可以由CPU26读出。写入W区域42的私密密钥只可以通过DMA控制器25的直接访问而读出。
在R区域43,在指纹核对设备10的装运的时候,要么写入并保存序列号,要么写入并保存指定指纹核对设备10的ID(识别)。R区域43通过将ASIC 20的指定管脚设置到正侧(plus side)来许可数据写。R区域43通过将上述的指定管脚设置到GND侧而再次证实只读区域。
参考图3,说明ASIC20的配置。
DMA控制器25通过内部总线29执行私密密钥在EEPROM24的W区域42和PKI引擎23之间的传输。DMA控制器25的私密密钥传送独立于CPU26的处理而执行,而CPU26不能参与DMA控制器25的私密密钥传送。
CPU26通过控制指纹核对来执行存储在用于程序的RAM/掩膜ROM22中的固件,同时通过全面控制指纹核对设备10的操作来执行存储在快闪存储器14和SRAM15中的固件。
接口控制器27控制与诸如PC50的外部设备50之间的数据传送,接口控制器基于接口协议通过输入/输出接口13和线缆15连接。
总线控制器28控制录入ASIC20或从其中输出的数据。随机数引擎30产生DES密钥,其中该DES密钥是基于DES(数据加密标准)系统(即基于对称加密系统)的公用密钥。随机数引擎30响应于CPU26的控制,产生用作DES密钥的56位随机数。
对称加密系统使用对称密钥,即公用密钥,对数据进行加密或对加密的数据进行解密。
以这种方式,指纹核对设备10响应指纹核对的结果,只通过DMA控制器25将私密密钥传送给PKI引擎23。这样,指纹核对设备10能够响应指纹核对的结果,而基于在ASIC20的PKI引擎23上运行的PKI系统执行安全处理。
现在说明指纹核对设备10中的数据签名处理。
这个数据签名就是所谓的数字签名,其中在通过网络将特定数据从PC50传送到外部设备的情况下执行数字签名来识别传送实体。已接收用数据签名处理的数据的接收实体能够执行用于识别传送实体的数据验证。
参考图6的流程图,现在说明将数据签名作用到指纹核对设备10上的操作。
如图1所示,这里假设PC 50连接到该网络,且通过网络将预设的数据传送到外部设备。还假设已经完成了用户指纹的注册和在EEPROM 24的W区域42中的私密密钥的写入。
首先,在步骤S1,通过线缆5和输入/输出接口13将要进行数据签名的原始数据从PC50传送到指纹核对设备10。响应来自PC50的原始数据的传送,在PC50的监视屏幕上显示提示用户在指纹读出传感器12上设置他的/她的手指的消息。
在步骤S2,指纹读出传感器12检测其上设置的手指的指纹图像。然后,使用指纹核对引擎21,将检测出的指纹图像与存储在快闪存储器14中的模板数据进行比较和核对。如果已经认证在指纹读出传感器12上设置的手指的指纹图像,处理转移到步骤S3,如果相反,则确定过程为错误的。
在步骤S3,将原始数据传送到PKI引擎23的数据寄存器31。同时,经由命令状态寄存器将散列(hash)命令从CPU26传送到PKI引擎23的PKI核心34。
在步骤S4,PKI核心34响应散列命令,读出存储在数据寄存器31中的原始数据。将如此读出的原始数据录入散列函数,以产生散列数据。将如此产生的散列数据暂时返回到CPU26。该散列函数是单向函数,如MD5(消息摘要#5)或SHA(安全散列算法)。然而,上述仅是示意性的,并可以使用任何其它适合的散列函数。
在步骤S5,CPU26将散列数据传送到PKI引擎23的数据寄存器31。此时DMA控制器25读出存储在EEPROM24的W区域42中的私密密钥,以将如此读出的私密密钥传送到PKI引擎31的密钥寄存器32。
当在步骤S6已经将签名命令通过命令状态寄存器33从CPU26传送到PKI核心34时,该PKI核心34读出存储在数据寄存器31中的散列数据和存储在密钥寄存器32中的私密密钥,以执行加密处理来产生签名数据。
在步骤S7,PKI核心34将产生的签名数据传送到CPU26。CPU26将签名数据传送到CPU50,使得PC50能够获取附加到原始数据上的签名数据,即数字签名。PC50通过网络将已经附加了数字签名的原始数据传送到外部设备。
同时,已经接收到已附加了数字签名的原始数据的外部设备执行数据验证,以验证该数据是否是从已进行了签名的实体送出的数据。
现在将说明在已经接收到已附加了数字签名的原始数据的指纹核对设备10中的数据验证。
首先,将原始数据传送到PKI引擎23,且在PKI核心34中产生散列数据。然后,PKI核心34能够用公共密钥对签名数据进行解密,以基于由公共密钥解密的签名数据是否与散列数据相符来实现验证。
现在将说明由指纹核对设备10进行的数据加密的操作。
在加密数据时,首先由随机数引擎30产生DES密钥。
然后,用所产生的DES密钥对原始数据进行加密,以产生加密数据。PKI引擎23用DMA控制器25从EEPROM24读出的私密密钥对根据其产生加密数据的DES密钥进行加密,以产生加密密钥数据。
这样,为了由DMA控制器25读出私密密钥,已经由指纹核对引擎21进行指纹核对是先决条件。
最后,将通过DES密钥加密的数据和加密密钥数据(对应于使用私密密钥加密的DES密钥)传送到对方实体。
数据接收实体使用与私密密钥匹配的公共密钥将加密密钥数据解密为DES密钥,并用加密的DES密钥对加密的数据进行解密,以获取原始数据。
现在将说明在指纹核对设备10中对用公共密钥加密后传送到其中的原始数据进行解密的操作。
将用公共密钥对原始数据加密而获得的加密数据传送到PKI引擎23。通过DMA控制器25从EEPROM24读出的私密密钥将传送到PKI引擎23的加密数据解密为原始数据。类似地,当要由DMA控制器25读出私密密钥时,已经结束指纹核对引擎21的指纹核对是先决条件。
以这种方式,如果指纹核对引擎21已经认证了用户的指纹,则指纹核对设备10能够通过DMA控制器25从EEPROM24的W区域42读出的私密密钥基于PKI系统而执行各种安全处理操作。
指纹核对设备10的ASIC 20可以配置为如图7所示的ASIC 60。
ASIC 60对应于去掉DMA控制器25、且EEPROM 24通过专用总线61连接到PKI引擎23的ASIC 20。如果指纹核对引擎21已经认证了用户的指纹,则在通过专用总线61相互连接的PKI引擎23和EEPROM 24的情况下,PKI引擎23能够读出来自EEPROM 24的W区域42的私密密钥,以基于PKI系统执行安全处理。
另外,通过在指纹核对设备10中采用如图8所示配置的ASIC70来代替ASIC20,可以实施用DES密钥对私密密钥进行加密的技术。
ASIC70使用PKI-DES引擎71来代替图7所示的ASIC60的PKI引擎23。PKI-DES引擎71使用PKI-DES核心72来代替图3所示的PKI引擎23的PKI核心34。
除了采用根据PKI系统的私密密钥的处理之外,PKI-DES引擎71的PKI-DES核心72能够用DES密钥执行加密和解密的处理。
现在将说明如图8所示的ASIC70的操作。
当接通ASIC70的电源时,在CPU26的控制下,随机数引擎30产生DES密钥。例如,在此时基于三重DES系统产生两个8字节的DES密钥,其中三重DES系统通过由DES连续执行三次加密处理来增强密钥。
经由PKI-DES引擎71和专用总线61将所产生的三重DES密钥写到EEPROM24中。
当已经产生了PKI密钥,即私密密钥和公共密钥时,PKI-DES引擎71通过专用总线61从EEPROM 24读出三重DES密钥,以对私密密钥进行加密而产生加密密钥数据。将如此产生的加密密钥数据和公共密钥输出到PKI-DES引擎71的外边,从而存储在快闪存储器14内。
如果在数据签名、数据加密和对用公共密钥加密的数据进行解密时使用了私密密钥,则在CPU26的控制下读出存储在快闪存储器14中的加密密钥数据,并将其存储到PKI-DES引擎71的密钥寄存器32。
然后PKI-DES引擎71的PKI-DES核心72读出存储在EEPROM 24中的三重DES密钥,以将存储在密钥寄存器32中的加密数据解密为私密密钥。
这样,PKI-DES引擎71在将使用三重DES密钥加密而获得的加密密钥数据解密为私密密钥时,指纹核对引擎21已经进行了指纹核对是先决条件。
以这种方式,通过使用DES密钥对私密密钥进行加密,用更小容量的EEPROM 24可以无限地产生PKI密钥。EEPROM24可以是任何合适的存储器,只要所使用的存储器允许数据写入和数据读出。结果,可以使用便宜的存储器,从而导致成本降低。
尽管PKI-DES引擎71用三重DES系统对私密密钥进行加密,当然有可能用单一的常用DES密钥对私密密钥进行加密。
通过如图10所示配置的ASIC80的使用,有可能实施用于使用DES密钥对私密密钥进行加密的另一个技术。
在ASIC80中,使用图9所示的PKI-DES引擎71来代替在图3所示的ASIC20中的PKI引擎23。
现在将详细说明ASIC89的操作。
当接通ASIC80的电源时,在CPU26的控制下,随机数引擎30产生DES密钥。
由CPU26控制的DMA控制器25经由PKI-DES引擎71将如此产生的DES密钥写入EEPROM24的W区域42。
当PKI-DES引擎71已经产生PKI密钥(即私密密钥和公共密钥)时,DMA控制器25直接访问EEPROM24的W区域42,以读出DES密钥,将如此读出的DES密钥转移到PKI-DES引擎71。
PKI-DES引擎71使用如此转移来的DES密钥对私密密钥进行加密,以产生加密数据。将如此产生的加密密钥数据和公共密钥输出到PKI-DES引擎71的外面,以存储到快闪存储器14中。
如果在数据签名、数据加密或对用公共密钥加密的数据的解密中使用了私密密钥,则CPU26读出存储在快闪存储器14中的加密密钥数据,并将其存储到PKI-DES引擎71的密钥寄存器32中。
然后,DMA控制器25读出存储在EEPROM 24中的DERS密钥,并将如此读出的密钥转移到PKI-DES引擎71。
PKI-DES引擎71的PKI-DES核心72用如此转移的密钥寄存器32将存储在密钥寄存器32中的加密密钥数据解密为私密密钥。
当PKI-DES引擎71使用DES密钥将加密密钥数据解密为私密密钥时,指纹核对引擎21已经认证了用户的指纹是先决条件。
同时,在采用本发明的指纹核对设备10中,在PKI系统的基础上产生的私密密钥是对用户指纹的认证的有效响应,然而,本发明不限于指纹认证,从而可以结合有关活体的信息的认证或结合输入例如密码的认证服务员来使用私密密钥。
本发明不限于上述实施例,在不脱离权利要求中限定的本发明的范围的情况下,可以想到各种修改、替换或等价物。
工业实用性
根据上述本发明,将基于PKI系统用于安全处理的私密密钥写入存储装置的专用区域,其中仅由预定的传送装置读取该存储装置,并且基于对要认证的信息的认证结果,将私密密钥传送到PKI处理装置。由于这禁止外来的非法访问读出私密密钥,所以通过消除关键数据的非法流出、在网络上的数据伪造或冒充来保持高安全级别变得可能。而且,根据本发明,通过专用总线将写入了私密密钥的存储装置连接到PKI处理装置,使得通过简化的结构可以实现阻止私密密钥被外来的非法访问读出的机制。另外,根据本发明,通过DES密钥对私密密钥进行加密,并且将如此加密的DES密钥通过专用总线写入存储装置或者写入仅可以由预设的传送装置读出的存储装置的专用区域。根据对要认证的信息的认证结果,将该私密密钥传送到PKI处理装置。以这种方式,可以防止私密密钥被外来的非法访问读出,同时可以减小存储装置的容量,且可以无限地制造PKI密钥,从而使成本能够降低。
Claims (29)
1.一种连接到外部设备的可移动认证处理设备,包括:
输入装置,用于输入要认证的信息;
认证装置,用于认证由所述输入装置录入的所述要认证的信息;
在集成电路内形成的CPU(中央处理单元),用于全面控制内部总线和所述认证装置;
PKI-DES处理装置,用于基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥,以便用所产生的私密密钥执行预定安全处理;并且,用于基于DES(数据加密标准)系统产生第一DES密钥;以及
存储装置,通过专用总线连接到所述PKI-DES处理装置;由所述PKI-DES处理装置产生的所述第一DES密钥被写入所述存储装置;
在产生所述私密密钥之后,所述PKI-DES处理装置通过专用总线读出已写入所述存储装置的所述第一DES密钥,并使用所读出的第一DES密钥对所述私密密钥进行加密,以产生加密的私密密钥;
所述PKI-DES处理装置响应所述认证装置对所述要认证的信息的认证,仅通过仅使所述PKI-DES处理装置和所述存储装置互相连接的专用总线,读出已写入所述存储装置的所述第一DES密钥。
2.根据权利要求1的认证处理设备,其中所述要认证的信息是指纹信息。
3.根据权利要求1的认证处理设备,其中所产生的加密私密密钥被存储在所述集成电路外面的非易失性存储器中。
4.根据权利要求1的认证处理设备,其中所述PKI-DES处理装置通过执行所述预定安全处理,使用通过所述专用总线读出的所述私密密钥,来根据从所述外部设备提供的数据产生电子签名。
5.根据权利要求1的认证处理设备,还包括:
加密数据产生装置,用于通过根据DES系统产生的第二DES密钥来对从所述外部设备提供的数据进行加密,以产生加密数据;
所述PKI-DES处理装置通过执行所述预定安全处理,使用通过所述专用总线读出的所述第一DES密钥,对所述第二DES密钥进行加密,以产生加密密钥数据。
6.根据权利要求1的认证处理设备,其中所述PKI-DES处理装置通过执行所述预定安全处理,使用用通过所述专用总线读出的所述第一DES密钥从所述加密的私密密钥解密的所述私密密钥,来对用针对所述私密密钥的公共密钥加密而获得的加密数据进行解密。
7.根据权利要求1的认证处理设备,其中
所述输入装置输入有关活体的信息作为要认证的信息;并且其中所述认证装置对由所述输入装置录入的有关活体的信息执行认证。
8.根据权利要求1的认证处理设备,其中
所述PKI-DES处理装置基于三重DES系统产生所述第一DES密钥;并且其中
所述PKI-DES处理装置根据所述三重DES系统对所述私密密钥进行加密,以产生加密的私密密钥。
9.一种连接到外部设备的可移动认证处理设备的安全处理方法,所述方法包括:
输入要认证的信息的步骤;
认证步骤,认证由所述输入步骤录入的所述要认证的信息;
控制步骤,由在集成电路内形成的CPU(中央处理单元)控制内部总线和所述认证步骤;
密钥-DES密钥产生步骤,由执行预定安全处理的PKI-DES处理装置基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥,和基于DES(数据加密系统)产生第一DES密钥;以及
写步骤,将通过所述密钥-DES密钥产生步骤产生的第一DES密钥写入通过专用总线连接到所述PKI-DES处理装置的存储装置;
在产生所述私密密钥之后,所述PKI-DES处理装置通过所述专用总线读出已写入所述存储装置的所述第一DES密钥,并用所读出的第一DES密钥对所述私密密钥进行加密,以产生加密的私密密钥;
所述PKI-DES处理装置响应所述认证步骤对要认证的信息的认证,仅通过仅使所述PKI-DES处理装置和所述存储装置互相连接的专用总线,读出已写入所述存储装置的所述第一DES密钥,并用所读出的第一DES密钥将所述加密的私密密钥解密为所述私密密钥。
10.根据权利要求9的安全处理方法,其中所述要认证的信息是指纹信息。
11.根据权利要求9的安全处理方法,其中所产生的加密的私密密钥被存储在所述集成电路外面的非易失性存储器中。
12.根据权利要求9的安全处理方法,其中所述PKI-DES处理装置通过执行所述预定安全处理,使用用通过所述专用总线读出的所述第一DES密钥从加密的私密密钥解密的所述私密密钥,来根据从所述外部设备提供的数据产生电子签名。
13.根据权利要求9的安全处理方法,还包括:
加密数据产生步骤,通过以DES系统为基础产生的第二DES密钥来对从所述外部设备提供的数据进行加密,以产生加密数据;
所述PKI-DES处理装置通过执行所述预定安全处理,使用用通过所述专用总线读出的所述第一DES密钥从加密的私密密钥解密的所述私密密钥,来对所述第二DES密钥进行加密以产生加密密钥数据。
14.根据权利要求9的安全处理方法,其中所述PKI-DES处理装置通过执行所述预定安全处理,使用用通过所述专用总线读出的所述第一DES密钥从所述加密私密密钥解密的所述私密密钥,来对用针对所述私密密钥的公共密钥加密而获得的加密数据进行解密。
15.根据权利要求9的安全处理方法,其中
所述输入步骤输入有关活体的信息作为要认证的信息,且其中所述认证步骤对通过所述输入步骤录入的有关活体的信息执行认证。
16.根据权利要求9的安全处理方法,其中
所述密钥-DES密钥产生步骤基于三重DES系统产生所述第一DES密钥;并且其中
所述PKI-DES处理装置根据所述三重DES系统对所述私密密钥进行加密,以产生加密的私密密钥。
17.一种连接到外部设备的可移动认证处理设备,包括:
输入装置,用于输入要认证的信息;
认证装置,用于认证由输入装置录入的所述要认证的信息;
CPU(中央处理单元),形成于集成电路内,用于全面控制内部总线和所述认证装置;
PKI-DES处理装置,用于由PKI(公共密钥基础设施)系统产生私密密钥和公共密钥,以使用所产生的私密密钥来执行预定安全处理;并且,用于基于DES系统产生第一DES密钥;
存储装置,具有不可能从外面读出的只写区域,由所述PKI-DES处理装置产生的所述第一DES密钥被写入所述只写区域;以及
DES密钥传送装置,用于通过内部总线直接访问所述存储装置的所述只写区域而无需CPU参与传送,以便仅在所述PKI-DES处理装置和所述存储装置之间传送DES密钥;
当产生私密密钥时,所述DES密钥传送装置读出已写入所述存储装置的所述只写区域的所述第一DES密钥,以将如此读出的第一DES密钥传送到所述PKI-DES处理装置;
所述PKI-DES处理装置使用DES密钥传送装置传送的所述第一DES密钥来对所述私密密钥进行加密;
所述DES密钥传送装置响应认证装置对所述要认证的信息的认证,读出已写入所述存储装置的所述第一DES密钥;
所述PKI-DES处理装置使用所述DES密钥传送装置传送的所述第一DES密钥将所述加密的私密密钥解密为所述私密密钥。
18.根据权利要求17的认证处理设备,其中所述要认证的信息是指纹信息。
19.根据权利要求17的认证处理设备,其中所述PKI-DES处理装置通过执行所述预定安全处理,使用用所述DES密钥传送装置传送的所述第一DES密钥从加密的私密密钥解密的所述私密密钥,来根据从所述外部设备提供的数据中产生电子签名。
20.根据权利要求17的认证处理设备,还包括:
加密数据产生装置,用于通过以DES系统为基础产生的第二DES密钥来对从所述外部设备提供的数据进行加密,以产生加密数据;
所述PKI-DES处理装置通过执行所述预定安全处理,使用用所述DES密钥传送装置传送的所述第一DES密钥从加密的私密密钥解密的所述私密密钥,对所述第二DES密钥进行加密,以产生加密密钥数据。
21.根据权利要求17的认证处理设备,其中所述PKI-DES处理装置通过执行所述预定安全处理,使用用所述DES密钥传送装置传送的所述第一DES密钥从所述加密的私密密钥解密的所述私密密钥,来对用针对所述私密密钥的公共密钥加密而获得的加密数据进行解密。
22.根据权利要求17的认证处理设备,其中
所述输入装置输入有关活体的信息作为要认证的信息,并且其中所述认证装置对由所述输入装置录入的有关活体的信息执行认证。
23.根据权利要求17的认证处理设备,其中
所述PKI-DES处理装置基于三重DES系统产生所述第一DES密钥;并且其中
所述PKI-DES处理装置根据所述三重DES系统对所述私密密钥进行加密,以产生加密的私密密钥。
24.一种连接到外部设备的可移动认证处理设备的安全处理方法,所述方法包括:
输入要认证的信息的步骤;
认证步骤,认证通过所述输入步骤录入的所述要认证的信息;
控制步骤,由在集成电路内形成的CPU(中央处理单元)控制内部总线和所述认证步骤;
PKI-DES处理步骤,由执行预定安全处理的PKI-DES处理装置基于PKI(公共密钥基础设施)系统产生私密密钥和公共密钥,和基于DES(数据加密标准)系统产生第一DES密钥;
写步骤,将通过所述PKI-DES处理步骤产生的所述第一DES密钥写入具有不可能从外面读出的只写区域的存储装置;以及
DES密钥传送步骤,通过内部总线直接访问所述存储装置的所述只写区域而无需所述CPU参与传送,以便仅在负责所述PKI-DES处理的所述PKI-DES处理装置和所述存储装置之间传送DES密钥;
当产生所述私密密钥时,所述DES密钥传送步骤读出已写入所述存储装置的所述只写区域的所述第一DES密钥,以将如此读出的第一DES密钥传送到所述PKI-DES处理装置;
所述PKI-DES处理步骤使用所述DES密钥传送步骤传送的所述第一DES密钥对所述第一DES密钥进行加密,以产生加密的私密密钥;
所述DES密钥传送步骤响应所述认证步骤对所述要认证的信息的认证,读出已写入所述存储装置的所述第一DES密钥;
所述PKI-DES处理装置用所述DES密钥传送步骤传送的所述第一DES密钥将所述加密的私密密钥解密为所述私密密钥。
25.根据权利要求24的安全处理方法,其中所述PKI-DES处理装置通过执行所述预定安全处理,使用用所述DES密钥传送装置传送的所述第一DES密钥从加密的私密密钥中解密的所述私密密钥,来根据从所述外部设备提供的数据产生电子签名。
26.根据权利要求24的安全处理方法,还包括:
加密数据产生步骤,通过以DES系统为基础产生的第二DES密钥来对从所述外部设备提供的数据进行加密,以产生加密数据;
所述PKI-DES处理装置通过执行所述预定安全处理,使用用所述DES密钥传送装置传送的所述第一DES密钥从加密的私密密钥解密的所述私密密钥,对所述第二DES密钥进行加密,以产生加密密钥数据。
27.根据权利要求24的安全处理方法,其中所述PKI-DES处理装置通过执行所述预定安全处理,使用用通过所述DES密钥传送步骤传送的所述第一DES密钥从所述加密的私密密钥解密的所述私密密钥,来对用针对所述私密密钥的公共密钥加密而获得的加密数据进行解密。
28.根据权利要求24的安全处理方法,其中
所述输入步骤输入有关活体的信息作为要认证的信息,并且其中所述认证步骤对由所述输入步骤录入的有关活体的信息执行认证。
29.根据权利要求24的安全处理方法,其中
所述PKI-DES处理步骤基于三重DES系统产生所述第一DES密钥;并且其中
所述PKI-DES处理装置根据所述三重DES系统对所述私密密钥进行加密,以产生加密的私密密钥。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP037373/2003 | 2003-02-14 | ||
| JP2003037373A JP4470373B2 (ja) | 2003-02-14 | 2003-02-14 | 認証処理装置及びセキュリティ処理方法 |
| PCT/JP2004/000840 WO2004073252A1 (ja) | 2003-02-14 | 2004-01-29 | 認証処理装置及びセキュリティ処理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1751471A CN1751471A (zh) | 2006-03-22 |
| CN1751471B true CN1751471B (zh) | 2012-02-08 |
Family
ID=32866357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800042418A Expired - Fee Related CN1751471B (zh) | 2003-02-14 | 2004-01-29 | 认证处理设备和安全处理方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7739506B2 (zh) |
| EP (1) | EP1594249A4 (zh) |
| JP (1) | JP4470373B2 (zh) |
| KR (1) | KR101031164B1 (zh) |
| CN (1) | CN1751471B (zh) |
| WO (1) | WO2004073252A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001144B (zh) * | 2006-01-13 | 2010-05-12 | 华为技术有限公司 | 一种实体认证中心实现认证的方法 |
| JP2007288254A (ja) * | 2006-04-12 | 2007-11-01 | Sony Corp | 通信システム、通信装置および方法、並びにプログラム |
| CN100409245C (zh) * | 2006-04-29 | 2008-08-06 | 北京飞天诚信科技有限公司 | 一种银行卡在计算机上作pki应用的实现方法 |
| JP4994741B2 (ja) * | 2006-08-08 | 2012-08-08 | キヤノン株式会社 | 通信暗号化処理装置 |
| US20080114980A1 (en) * | 2006-11-13 | 2008-05-15 | Thangapandi Sridhar | System, method and apparatus for using standard and extended storage devices in two-factor authentication |
| CN101227452B (zh) * | 2007-01-17 | 2010-12-15 | 华为技术有限公司 | 一种网络接入认证的方法及系统 |
| US8145916B2 (en) * | 2007-09-07 | 2012-03-27 | Authentec, Inc. | Finger sensing apparatus using encrypted user template and associated methods |
| US8489901B2 (en) * | 2008-05-05 | 2013-07-16 | Sonavation, Inc. | Methods and systems for secure encryption of data |
| FR2963455B1 (fr) | 2010-07-27 | 2013-01-18 | St Microelectronics Rousset | Protection de cles secretes |
| CN102222389A (zh) * | 2011-06-30 | 2011-10-19 | 北京天诚盛业科技有限公司 | 一种金融ic卡内指纹比对的实现方法及装置 |
| CN102685749B (zh) * | 2012-05-30 | 2014-09-03 | 杭州师范大学 | 面向移动终端的无线安全身份验证方法 |
| US20150169858A1 (en) * | 2012-08-29 | 2015-06-18 | Alcatel Lucent | Pluggable authentication mechanism for mobile device applications |
| JP2014090372A (ja) * | 2012-10-31 | 2014-05-15 | Sony Corp | 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム |
| JP6199712B2 (ja) * | 2013-11-26 | 2017-09-20 | Kddi株式会社 | 通信端末装置、通信端末関連付け方法、及びコンピュータプログラム |
| US10089439B2 (en) | 2014-10-28 | 2018-10-02 | Stryker Sustainability Solutions, Inc. | Medical device with cryptosystem and method of implementing the same |
| JP2017037178A (ja) * | 2015-08-10 | 2017-02-16 | ルネサスエレクトロニクス株式会社 | 半導体装置およびその製造方法 |
| JP6520746B2 (ja) * | 2016-02-08 | 2019-05-29 | コニカミノルタ株式会社 | 情報処理システム、通信中継装置、ライセンスサーバー、プログラム及びデータ復旧方法 |
| CN105975837B (zh) * | 2016-06-12 | 2019-04-30 | 北京集创北方科技股份有限公司 | 计算设备、生物特征识别方法和模板注册方法 |
| CN108063669A (zh) * | 2018-01-02 | 2018-05-22 | 甘肃万维信息技术有限责任公司 | 基于电子政务的公钥基础设施互信互认方法 |
| CN108199834B (zh) * | 2018-01-16 | 2021-07-02 | 飞天诚信科技股份有限公司 | 一种智能密钥设备工作的方法及装置 |
| DE112018008203T5 (de) * | 2018-12-12 | 2021-09-02 | Mitsubishi Electric Corporation | Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Informationsverarbeitungsprogramm |
| CN114186249A (zh) * | 2021-11-30 | 2022-03-15 | 傲然技术有限公司 | 一种计算机文件安全加密方法、解密方法和可读存储介质 |
| KR102427179B1 (ko) * | 2022-01-27 | 2022-07-29 | (주)레오컴 | 생체 데이터를 암호화하고 인증하는 장치 및 방법 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2862141B2 (ja) | 1989-12-29 | 1999-02-24 | 富士通株式会社 | 慣用暗号を用いた識別番号ベース鍵管理装置 |
| JPH03282667A (ja) | 1990-03-29 | 1991-12-12 | Nec Corp | コンピュータ装置 |
| JPH04338859A (ja) | 1991-05-16 | 1992-11-26 | Nec Corp | コンピュータ装置 |
| JP3203432B2 (ja) | 1992-03-25 | 2001-08-27 | 富士通株式会社 | プラズマ処理方法 |
| EP0715241B1 (en) * | 1994-10-27 | 2004-01-14 | Mitsubishi Corporation | Apparatus for data copyright management system |
| JPH09212565A (ja) * | 1996-02-07 | 1997-08-15 | Nec Corp | 無線携帯端末システム |
| JPH10247906A (ja) | 1997-03-03 | 1998-09-14 | Toshiba Corp | 処理機能付きデバイス装置、情報処理システム、認証方法、認証・暗号化方法及び認証・復号方法 |
| US6925182B1 (en) | 1997-12-19 | 2005-08-02 | Koninklijke Philips Electronics N.V. | Administration and utilization of private keys in a networked environment |
| JP3282667B2 (ja) | 1998-02-27 | 2002-05-20 | 株式会社ケンウッド | 移動体通信端末およびこの自局番号検出方法 |
| JP2000188594A (ja) | 1998-12-21 | 2000-07-04 | Sony Corp | 認証システム及び指紋照合装置並びに認証方法 |
| JP2000196591A (ja) | 1998-12-25 | 2000-07-14 | Canon Inc | 端末装置、通信システム、通信方法、及び記憶媒体 |
| EP1237091A4 (en) * | 1999-12-10 | 2006-08-23 | Fujitsu Ltd | IDENTITY TESTING SYSTEM AND PORTABLE ELECTRONIC DEVICE, CONTAINING THE PERSONAL IDENTIFICATION FUNCTION USING PHYSICAL INFORMATION |
| JP4338859B2 (ja) | 2000-01-12 | 2009-10-07 | ヤマハ発動機株式会社 | テープフィーダー |
| JP4433573B2 (ja) * | 2000-06-13 | 2010-03-17 | ソニー株式会社 | 指紋照合機能付きハードウェアトークン |
| JP4114032B2 (ja) * | 2000-09-26 | 2008-07-09 | セイコーエプソン株式会社 | 個人認証装置 |
| JP2002258745A (ja) | 2001-03-06 | 2002-09-11 | Sony Corp | 電子署名装置 |
| JP2004126889A (ja) * | 2002-10-01 | 2004-04-22 | Sharp Corp | 電子印鑑、リムーバブルメモリ媒体、事前認証システム、携帯機器、携帯電話装置および車両始動制御装置 |
-
2003
- 2003-02-14 JP JP2003037373A patent/JP4470373B2/ja not_active Expired - Lifetime
-
2004
- 2004-01-29 WO PCT/JP2004/000840 patent/WO2004073252A1/ja not_active Ceased
- 2004-01-29 US US10/545,349 patent/US7739506B2/en not_active Expired - Fee Related
- 2004-01-29 EP EP04706308A patent/EP1594249A4/en not_active Withdrawn
- 2004-01-29 CN CN2004800042418A patent/CN1751471B/zh not_active Expired - Fee Related
- 2004-01-29 KR KR1020057014883A patent/KR101031164B1/ko not_active Expired - Fee Related
Non-Patent Citations (4)
| Title |
|---|
| JP特开2000-188594A 2000.07.04 |
| JP特开2001-357371A 2001.12.26 |
| JP特开平3-282667A 1991.12.12 |
| JP特开平4-338859A 1992.11.26 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20050108355A (ko) | 2005-11-16 |
| EP1594249A1 (en) | 2005-11-09 |
| US20060133605A1 (en) | 2006-06-22 |
| US7739506B2 (en) | 2010-06-15 |
| KR101031164B1 (ko) | 2011-04-27 |
| CN1751471A (zh) | 2006-03-22 |
| EP1594249A4 (en) | 2007-12-26 |
| JP4470373B2 (ja) | 2010-06-02 |
| WO2004073252A1 (ja) | 2004-08-26 |
| JP2004266360A (ja) | 2004-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1751471B (zh) | 认证处理设备和安全处理方法 | |
| KR101284481B1 (ko) | 생체이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증방법 및 장치 | |
| KR101226651B1 (ko) | 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조 | |
| JP5180678B2 (ja) | Icカード、icカードシステムおよびその方法 | |
| AU2005223902B2 (en) | Authentication between device and portable storage | |
| KR100712655B1 (ko) | 암호화 시스템을 구비한 휴대용 데이터 저장 장치 | |
| CN107683582B (zh) | 认证指示笔设备 | |
| US9384338B2 (en) | Architectures for privacy protection of biometric templates | |
| EP1379930B1 (en) | Security method for transferring shared keys | |
| SE514105C2 (sv) | Säker distribution och skydd av krypteringsnyckelinformation | |
| KR20080075956A (ko) | 생체정보를 이용하는 사용자 인증방법 | |
| KR102068041B1 (ko) | 유저 바이오 데이터를 이용한 유저 인증 및 서명 장치와 방법 | |
| CN108141444B (zh) | 经改善的认证方法和认证装置 | |
| KR20190122655A (ko) | 생체인식 데이터 템플레이트의 업데이트 | |
| CN103250160A (zh) | 认证指纹图像 | |
| KR101583514B1 (ko) | 지문센서와 장착식 스마트 카드와 메모리 카드를 구비한 유에스비 보안장치 및 그 보안 방법 | |
| JP2010034967A (ja) | 三値認証法及びそのシステム | |
| JP4760124B2 (ja) | 認証装置、登録装置、登録方法及び認証方法 | |
| KR20170012972A (ko) | 생체정보에 기반한 공인인증서, 이를 이용한 공인인증장치 및 전자서명방법 | |
| JP4626372B2 (ja) | Icカード | |
| CN1965279A (zh) | 生物统计模板的秘密保护体系 | |
| JP2006293473A (ja) | 認証システム及び認証方法、端末装置及び認証装置 | |
| JP4946245B2 (ja) | 電子データ分割保持装置、電子データ分割保持システム、及び電子データ分割保持方法 | |
| CN118487880A (zh) | 用于认证车辆用户身份的方法和车载装置 | |
| JP2006011673A (ja) | 認証装置及び利用者端末及び認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120208 Termination date: 20140129 |