认证系统、装置管理系统及其方法制造方法及图纸

本发明专利技术提供一种认证系统、装置管理系统及其方法。根据本发明专利技术的装置管理系统响应于来自网络装置的认证请求而发送装置管理系统所生成的验证数据、以及包括与同所述网络装置相关联地管理的用户相对应的识别信息的白名单；经由网络装置接收根据对便携式终端的用户的生物特征识别认证处理以及白名单所生成的签名；以及在签名验证成功的情况下，向网络装置回应许可终端的用户的登录。

【技术实现步骤摘要】
认证系统、装置管理系统及其方法
本专利技术涉及用于对包括图像处理设备的网络装置进行包括生物特征识别的处理以使用特定功能的技术。
技术介绍
现有网络装置设置有特定管理员或维护负责人进行特殊操作的模式。例如，为了进行充电操作和维护，服务工程师需要对图像处理设备进行不意图由普通用户进行的诸如计数器清零等的特殊操作。为此，图像处理设备需要设置用于特殊操作的特殊模式。服务工程师可以通过向图像处理设备的操作单元输入可能仅服务工程师知道的特殊命令和认证信息来使用特殊模式。甚至除了图像处理设备之外的设备有时也设置有特定管理员或维护负责人操作诸如安全性等的特殊设置的模式。在这种情况下，存在普通用户通过特定方法获得上述特殊命令而使用该特殊模式的风险。生物特征识别是一种用于在无需密码输入的情况下进行个人认证的机制。在日本特开2013-122680中讨论了与包括生物特征识别的认证处理有关的传统技术。在日本特开2013-122680讨论的技术中，将通过使用单向函数转换得到的生物特征识别信息的特征量(在本专利说明书中，该信息被称为生物特征识别信息)与用户标识符(ID)相关联地登记。当输入用户ID和生物特征识别信息时，该技术将输入的用户ID和生物特征识别信息与所登记的用户ID和生物特征识别信息进行比较，以进行个人认证。近年来，线上快速身份认证(FIDO)已经作为包括生物特征识别的新认证系统而引起关注。与在ID/密码认证中的密码不同，生物特征识别中所用的诸如指纹或静脉等的生物特征识别信息不能被改变和更新。因此，在生物特征识别中，信息泄漏是致命的。另一方面，在通过FIDO进行个人识别的情况下，认证处理本身不是经由诸如因特网等的网络在服务器上进行的，而是在用户终端上进行的。由于这个原因，FIDO系统几乎没有信息泄露的风险，因为生物识别信息没有在网络中流动。为了防止用户不恰当地使用网络装置的特殊模式，期望引入生物特征识别。然而，如果采用日本特开2013-122680中讨论的技术，则各用户需要以关联方式将用户ID和转换得到的生物特征识别信息预先登记到用户可能使用特殊模式的所有网络装置。在维护和管理网络装置时，将根据需要而临时分派的用户的生物特征识别信息登记到网络装置，这是不现实的。
技术实现思路
根据本专利技术的方面，一种认证系统，包括：终端，其具有认证模块和防篡改存储区域，其中，所述认证模块用于进行认证处理，以及所述防篡改存储区域用于存储用户的用于所述认证处理的生物特征识别信息和在登记所述生物特征识别信息时生成的私钥；网络装置，其设置有用于与所述终端进行通信的通信功能；以及装置管理系统，其登记有与所述私钥相对应的公钥，其中，所述认证系统还包括：所述装置管理系统中的第一响应单元，用于响应于来自所述网络装置的认证请求，来发送所述装置管理系统所生成的验证数据、以及包括与同所述网络装置相关联地管理的用户相对应的识别信息的白名单；所述网络装置中的请求单元，用于将包括所述验证数据和所述白名单的请求发送至所述终端以进行所述认证处理；所述终端中的生成单元，用于在所述白名单中包括通过所述认证模块对所述终端的用户的所述认证处理而识别的识别信息的情况下，使用所述验证数据、以及通过所述认证模块使用所述生物特征识别信息的所述认证处理而识别的所述私钥来生成签名；所述终端中的返回单元，用于将所生成的签名发送至所述网络装置；所述网络装置中的发送单元，用于将所述签名发送至所述装置管理系统；以及所述装置管理系统中的第二响应单元，用于在使用与所述私钥相对应的所述公钥的签名验证成功的情况下，向所述网络装置发送用以许可所述终端的用户的登录的响应。根据本专利技术的方面，一种用于认证系统的方法，所述认证系统包括：终端，其具有认证模块和防篡改存储单元，其中，所述认证模块用于进行认证处理，以及所述防篡改存储单元用于存储用户的用于所述认证处理的生物特征识别信息和在登记所述生物特征识别信息时生成的私钥；网络装置，其设置有用于与所述终端进行通信的通信功能；以及装置管理系统，其登记有与所述私钥相对应的公钥，其中，所述方法包括：在所述装置管理系统中，响应于来自所述网络装置的认证请求，来发送所述装置管理系统所生成的验证数据、以及包括与同所述网络装置相关联地管理的用户相对应的识别信息的白名单；在所述网络装置中，将包括所述验证数据和所述白名单的请求发送至所述终端以进行所述认证处理；在所述终端中，在所述白名单中包括通过所述认证模块对所述终端的用户的所述认证处理而识别的识别信息的情况下，使用所述验证数据、以及通过所述认证模块使用所述生物特征识别信息的所述认证处理而识别的所述私钥来生成签名；返回步骤，用于在所述终端中，将所生成的签名发送至所述网络装置；在所述网络装置中，将所述签名发送至所述装置管理系统；以及在所述装置管理系统中，在使用与所述私钥相对应的公钥的签名验证成功的情况下，向所述网络装置发送用以许可所述终端的用户的登录的响应。根据本专利技术的方面，一种装置管理系统，其登记有与私钥相对应的公钥，并且用于管理设置有用于与终端进行通信的通信功能的网络装置，所述装置管理系统包括：第一响应单元，用于响应于来自所述网络装置的用于允许所述终端的用户登录所述网络装置的认证请求，来发送所述装置管理系统所生成的验证数据、以及包括与同所述网络装置相关联地管理的用户相对应的识别信息的白名单；接收单元，用于经由所述网络装置接收根据所述白名单以及所述终端上的对所述终端的用户的生物特征识别认证处理而生成的签名，其中所述私钥存储在所述终端的防篡改存储区域中；以及第二响应单元，用于在使用与所述私钥相对应的公钥的签名验证成功的情况下，向所述网络装置发送用以许可所述终端的用户的登录的响应。根据本专利技术的方面，一种用于装置管理系统的方法，所述装置管理系统登记有与私钥相对应的公钥，并且用于管理设置有用于与终端进行通信的通信功能的网络装置，所述方法包括：响应于来自所述网络装置的用于允许所述终端的用户登录所述网络装置的认证请求，来发送所述装置管理系统所生成的验证数据、以及包括与同所述网络装置相关联地管理的用户相对应的识别信息的白名单；经由所述网络装置接收根据所述白名单以及所述终端上的对所述终端的用户的生物特征识别认证处理而生成的签名；以及在使用与所述私钥相对应的公钥的签名验证成功的情况下，向所述网络装置发送用以许可所述终端的用户的登录的响应。根据本专利技术的方面，一种计算机可读存储介质，其上存储有用于使计算机执行用于装置管理系统的方法的计算机程序，所述装置管理系统登记有与私钥相对应的公钥，并且管理设置有用于与终端进行通信的通信功能的网络装置，所述方法包括：响应于来自所述网络装置的用于许可所述终端的用户登录所述网络装置的认证请求，来发送所述装置管理系统所生成的验证数据、以及包括与同所述网络装置相关联地管理的用户相对应的识别信息的白名单；经由所述网络装置接收根据所述白名单以及所述终端上的对所述终端的用户的生物特征识别认证处理、使用所述私钥而生成的签名，其中所述私钥存储在所述终端的防篡改存储区域中；以及在使用与所述私钥相对应的公钥的签名验证成功的情况下，向所述网络装置发送用以许可所述终端的用户的登录的响应。通过以下参考附图对典型实施例的说明，本专利技术的其它特征将变得明本文档来自技高网...

【技术保护点】
1.一种认证系统，包括：终端，其具有认证模块和防篡改存储区域，其中，所述认证模块用于进行认证处理，以及所述防篡改存储区域用于存储用户的用于所述认证处理的生物特征识别信息和在登记所述生物特征识别信息时生成的私钥；网络装置，其设置有用于与所述终端进行通信的通信功能；以及装置管理系统，其登记有与所述私钥相对应的公钥，其特征在于，所述认证系统还包括：所述装置管理系统中的第一响应单元，用于响应于来自所述网络装置的认证请求，来发送所述装置管理系统所生成的验证数据、以及包括与同所述网络装置相关联地管理的用户相对应的识别信息的白名单；所述网络装置中的请求单元，用于将包括所述验证数据和所述白名单的请求发送至所述终端以进行所述认证处理；所述终端中的生成单元，用于在所述白名单中包括通过所述认证模块对所述终端的用户的所述认证处理而识别的识别信息的情况下，使用所述验证数据、以及通过所述认证模块使用所述生物特征识别信息的所述认证处理而识别的所述私钥来生成签名；所述终端中的返回单元，用于将所生成的签名发送至所述网络装置；所述网络装置中的发送单元，用于将所述签名发送至所述装置管理系统；以及所述装置管理系统中的第二响应单元，用于在使用与所述私钥相对应的所述公钥的签名验证成功的情况下，向所述网络装置发送用以许可所述终端的用户的登录的响应。...

【技术特征摘要】
2017.07.31 JP 2017-1486201.一种认证系统，包括：终端，其具有认证模块和防篡改存储区域，其中，所述认证模块用于进行认证处理，以及所述防篡改存储区域用于存储用户的用于所述认证处理的生物特征识别信息和在登记所述生物特征识别信息时生成的私钥；网络装置，其设置有用于与所述终端进行通信的通信功能；以及装置管理系统，其登记有与所述私钥相对应的公钥，其特征在于，所述认证系统还包括：所述装置管理系统中的第一响应单元，用于响应于来自所述网络装置的认证请求，来发送所述装置管理系统所生成的验证数据、以及包括与同所述网络装置相关联地管理的用户相对应的识别信息的白名单；所述网络装置中的请求单元，用于将包括所述验证数据和所述白名单的请求发送至所述终端以进行所述认证处理；所述终端中的生成单元，用于在所述白名单中包括通过所述认证模块对所述终端的用户的所述认证处理而识别的识别信息的情况下，使用所述验证数据、以及通过所述认证模块使用所述生物特征识别信息的所述认证处理而识别的所述私钥来生成签名；所述终端中的返回单元，用于将所生成的签名发送至所述网络装置；所述网络装置中的发送单元，用于将所述签名发送至所述装置管理系统；以及所述装置管理系统中的第二响应单元，用于在使用与所述私钥相对应的所述公钥的签名验证成功的情况下，向所述网络装置发送用以许可所述终端的用户的登录的响应。2.根据权利要求1所述的认证系统，其中，所述白名单中所包括的与用户相对应的识别信息是如下的识别信息其中至少之一：在将该用户的生物特征识别信息登记在所述防篡改存储区域中的情况下所生成的与所述私钥和所述公钥相关联地分配的识别信息、以及用于识别该用户所属的组的识别信息。3.一种用于认证系统的方法，所述认证系统包括：终端，其具有认证模块和防篡改存储单元，其中，所述认证模块用于进行认证处理，以及所述防篡改存储单元用于存储用户的用于所述认证处理的生物特征识别信息和在登记所述生物特征识别信息时生成的私钥；网络装置，其设置有用于与所述终端进行通信的通信功能；以及装置管理系统，其登记有与所述私钥相对应的公钥，其特征在于，所述方法包括：在所述装置管理系统中，响应于来自所述网络装置的认证请求，来发送所述装置管理系统所生成的验证数据、以及包括与同所述网络装置相关联地管理的用户相对应的识别信息的白名单；在所述网络装置中，将包括所述验证数据和所述白名单的请求发送至所述终端以进行所述认证处理；在所述终端中，在所述白名单中包括通过所述认证模块对所述终端的用户的所述认证处理而识别的识别信息的情况下，使用所述验证数据、以及通过所述认证模块使用所述生物特征识别信息的所述认证处理而识别的所述私钥来生成签名；返回步骤，用于在所述终端中，将...

【专利技术属性】
技术研发人员：船山弘孝，
申请(专利权)人：佳能株式会社，
类型：发明
国别省市：日本,JP