オンラインデータ暗号化および復号化
コンピュータ実施ネットワーク上で送信されるデータ、好ましくはパスワード等のユーザ認証識別子データの暗号化および復号化を、ユーザのコンピュータ内への入力の時点で行なうためのシステムおよび方法。このシステムおよび方法により、エンドユーザは、グラフィカル画像の第1の部分上にランダムに配置された要素のうちの1つから、心の中でマーカーを選択することができる。グラフィカル画像の第2の部分は、あらゆる個々の認証識別子の順序を有する、考え得る要素の配列を含み、第1の部分に隣接して位置付けられる。このシステムおよび方法は、選択されたマーカーおよび第1の部分を必要に応じて移動させて、選択されたマーカーと、外側の部分に表われる認証識別子のうちの選択された要素とを実質的にアライメントさせることにより、識別子の各要素を入力するようにユーザに促す。一実施例によると、これらの画像の部分は同心のホイールである。別の実施例によると、これらの画像の部分は、隣接する列の形で配列される。
【発明の詳細な説明】
【技術分野】
【0001】
この特許文書の開示の一部は、著作権保護の対象となる資料を含む。著作権保有者は、特許文書または特許開示の複製が特許の包袋記録に掲載される限り、誰が複製を行なっても許諾するが、それ以外の著作権に関する如何なる権利も全て著作権保有者が保持する。
【0002】
発明の分野
この発明は、一般に、インターネット(Internet)または他のネットワーク上で実施されるトランザクションに対し、認証を含む暗号化および復号化を行なうためのシステムおよび方法と、このようなシステムおよび方法で使用するために適合化されたユーザインターフェイスとに関する。
【背景技術】
【0003】
発明の背景
インターネットを通じて企業および個人により行なわれるオンライントランザクションの数が、驚異的に伸びている。ユーザを認証してオンライントランザクションを実施するために、一般に、慎重な扱いを要する個人的な身元情報が使用される。インターネットトランザクションを行なうために身元情報を使用すればするほど、それに伴い、当該情報の傍受および盗用の危険性が高まる。誰かが他人のパスワード、ユーザ名、社会保障(Social Security)番号、クレジットカード番号、または他の識別個人情報を同意なしに用いて詐欺を働いたときに、身元盗用が生じる。2003年9月の米国連邦取引委員会(Federal Trade Commission(FTC))の調査によると、この5年間に2730万人のアメリカ人、2002年だけでも990万人が、身元盗用の被害に遭っている。このFTCの調査によると、2002年に身元盗用により企業および金融機関が受けた損失は、総額約480億ドルであり、一般消費者の被害者の支出額は、50億ドルであったと報告されている。
【0004】
身元盗用の一形態は、「フィッシング」として公知の社会工学的攻撃を用いて行なわれる。インターネット百科事典のウィキペディア(Wikipedia)によると、フィッシングとは、慎重な扱いを要する個人情報、たとえばパスワードおよびクレジットカードの細目を、このような情報を本当に必要とする、信頼のおける誰かになりすますことにより、策略を通じて不正に取得することと定義されている。フィッシング詐欺の手法は一般に、見せかけのウェブサイトを用いて、銀行または売買業者等の信頼できるサービスプロバイダからの必要情報の要求として生成されたかのように見えるeメールメッセージを生成する。フィッシングのeメールメッセージは一般に、サービスプロバイダのものであるように見えるものの、実際には「フィッシャー」が使用するウェブサイトへのリンクを含んでいる。見せかけのウェブサイトは、ユーザを騙してパスワードか、または他の慎重な扱いを要する個人情報を提示させようとする。
【0005】
身元盗用の別の形態は、「ファーミング」として公知の攻撃を用いて行なわれる。この種の攻撃では、単に犯罪目的のソフトウェアが、一般にDNSハイジャックまたはポイズニングを通じて、無防備なユーザを不正なサイトまたはプロキシサーバに導く。ファーミングは、DNSサーバソフトウェアの脆弱性を利用したものであり、この脆弱性により、ハッカーは、或るサイトについてのドメイン名を取得することができ、当該ウェブサイトに方向付けられたトラフィックを別のウェブサイトに転送することができる。DNSサーバは、インターネット名をその実際のアドレスに変換する責任を負うマシンであり、インターネットの「道標」として機能する。この転送されたトラフィックを受信したウェブサイトが偽のウェブサイト、たとえば銀行のウェブサイトのコピーである場合、そのウェブ
サイトを用いて、コンピュータユーザのパスワード、PIN番号、口座番号、および/または他の機密情報を「フィッシング」するか、または盗むことが可能である。
【0006】
ユーザにより入力された機密情報を取得するためのさまざまな他の不正手段が公知である。たとえば、キーボードロガー、マウスクリックロガー、およびスクリーンキャプチャロガーを含むスパイソフトウェアが周知であり、この目的で使用される。また、他の種類のスパイソフトウェア、たとえばスヌープウェア、スパイウェア、非ウイルス性のマルウェア、ハッカーのユーティリティ、偵察ユーティリティ、およびトロイの木馬(Trojan)が周知である。別の例として、「悪魔の双子(evil twin)」の攻撃がよく見られるようになった。悪魔の双子は、個人が作成した無線アクセスポイントであり、正規のアクセスポイントになりすましてエンドユーザの知らないうちに個人情報または企業の情報を収集する「ホットスポット」としても公知である。攻撃者は、自らをアクセスポイントの周辺に位置付け、その正規のアクセスポイントがどのような名前および無線周波数を使用しているかを自分のコンピュータに発見させる。そして、同一名を用い、その周波数で自らの無線信号を送信する。この発明において、スパイソフトウェアとは、情報、たとえば個人または組織に関する情報の、認証されていない態様での取得を助けるあらゆるソフトウェアプログラムである。スパイソフトウェアはまた、一般にはユーザから隠蔽されている。スパイソフトウェアは一般に、ユーザの同意なしにユーザのコンピュータに自らをインストールし、当該機器の使用を監視または制御する。このスパイソフトウェアにより、ユーザのあらゆるキーストローク、チャットの会話のすべて、訪問したウェブサイトのすべて、ブラウザと行なったユーザのあらゆる対話の各々、実行されたあらゆるアプリケーション、印刷されたあらゆる文書、ならびにすべてのテキストおよび画像が入手され得る。スパイソフトウェアは一般に、極めて多くの場合、ユーザの知らないうちに、またはユーザの同意なしに、入手したデータをローカルに保存することができ、および/または、当該入手したデータをインターネットを通じて第三者に送信することができる。キーボードロガーおよびマウスクリックロガーもまた、キーボード/マウスのケーブルと、コンピュータまたは当該キーボード/マウス機器内のハードウェアとの間に接続されたハードウェアの形態を取り得る。
【0007】
慎重な扱いを要する機密の個人情報を使用して詐欺を行なうために、別の取得者が、「肩越しの」スパイとして公知である。このスパイは、ユーザのディスプレイを内密に読み取って、情報、たとえば英数字または他の形態の情報を取得する。たとえば、ユーザのデータ入力用にキーパッドおよび/またはキーボード画像を使用する従来のグラフィカルユーザインターフェイスは、マウスクリックロガー、スクリーンキャプチャロガー、および他の方式に対しても同様に脆弱性を有する。このグラフィカルインターフェイス内の英数字の各々は、一意のグラフィカル画像、たとえば番号1を含む画素によって表わされる。スクリーンキャプチャロガーは、光学式文字読取(OCR)技術を利用して、マウスのクリックおよび対応する英数字のグラフィックを解読し、ユーザのIDおよびパスワードの実際の英数字のテキスト文字を突き止める。高度なスクリーンキャプチャロガーもまた、グラフィック画像のチェックサムおよびサイズ特性を利用して、どの識別子の英数字が、データ入力中にユーザのマウスクリックにより選択された各グラフィック画像に対応するのかを突き止めることができる。このようにして、スクリーンキャプチャロガーは、グラフィカルユーザインターフェイスがキーパッドまたはキーボード上の英数字の順序を並べ替えたときでも個人情報を取得し得る。
【0008】
公知のアンチウイルスおよびアンチスパイウェアのソフトウェア製品は、ユーザが何らかの身元泥棒から身を守ることを可能にする。しかしながら、これらの製品は、本質的に事後対応型であるために、盗用に対して確実な防御を行なうことができない。したがって、これらの製品はすべて、再現可能な署名に依存する。これらの製品は、絶えず更新されなければならず、更新されたという条件でのみ有用である。これらの製品は、新規のウイ
ルスまたは攻撃の形態に対して常に脆弱である。したがって、旧式のアンチウイルスおよびアンチスパイウェアのファイルを使用しても、せいぜい、外部の脅威からコンピュータデータを防御するための最低限の防護しか行なえない。したがって、これらの製品の欠点は、アンチウイルスおよびアンチスパイウェアのプログラムにより使用される情報が、新規に発見された方式を反映するように絶えず更新されなければならない点である。ウイルス情報を最新の状態に保つことに加え、感染の恐れがないかどうか、システムが定期的に走査されなければならない。
【0009】
ファイアウォールソフトウェアは、ユーザにより利用可能なさらに別の防御線を設ける。ファイアウォールソフトウェアは、ユーザのコンピュータにインストールされ(個人または企業のファイアウォール)、当該ユーザのコンピュータ内のプログラムがユーザの知らないうちに、またはユーザの合意なしにネットワークにアクセスしている場合、ユーザに警告する。しかしながら、トロイの木馬が認証済みのプログラムおよびポートを破壊する(compromise)と、そのファイアウォールは、トロイの木馬に対し、当該ポートを経由したデータの送信を許してしまう。
【0010】
伝送制御プロトコル/インターネットプロトコル(Transmission Control Protocol/Internet Protocol(TCP/IP))は、インターネットおよびいくつかの私設ネットワークの基本的な通信プロトコルである。ハイパーテキスト転送プロトコルセキュア(Hyper Text Transfer Protocol Secure(HTTPS))は、TCP/IPに基づいたセキュアなインターネット通信プロトコルであり、暗号化されたデータストリームを用いたセキュアなデータ転送を可能にするセキュアソケット層(Secure Socket Layer(SSL))プロトコルを用いる。HTTPSの主な目的は、遠隔のホスト、たとえばウェブページからハイパーテキストのオブジェクトをセキュアな態様でフェッチすることである。SSLプロトコルにより、ウェブブラウザおよびHTTPサーバを含むクライアントは、セキュアな接続を通じて通信を行なうことができる。SSLは、セキュアではない公衆ネットワークを通じて交換される情報を保護するための手段として、暗号化、送信元の認証、およびデータの保全性を提供する。多くの電子商取引のアプリケーションは、これらのプロトコルを使用して、サーバとインターネットとの間の送信を確保する。
【発明の開示】
【発明が解決しようとする課題】
【0011】
公知のシステムの別の欠点とは、セキュリティの状態を維持するために、さまざまな程度にわたり人間に依存性を有する点である。上記のように、ユーザの情報および/またはシステムは、セキュリティ対策を講じていても破壊され得る。身元盗用に対処するための他の公知の方法は、ログイン処理中の認証に使用するために、ユーザのシステム上でユーザに「トークン」の使用を求めるか、または、デジタル証明書の保持を求めることを含む。トークンは一般に、サービスプロバイダのシステムにアクセスするために必要とされる、クレジットカードサイズまたはキーフォブサイズの認証機器である。トークンは一般に、経時的に変化する番号を表示し、ネットワーク上の認証サーバと同期する。トークンはまた、サーバとの間で誰何/応答方式を使用し得る。この方法は、ユーザに対し、パスワードおよび/または個人識別番号(PIN)に加え、トークンを有していることと、そのトークンから認証用に情報を入力することとを要求する。トークンの問題点とは、ユーザが、必要とされるパスワードおよび/またはPINだけでなく、トークンもセキュアに保持しておかなければならない点である。また、トークンの紛失または破損にまつわる顧客の維持費用がさらに問題を生じる。したがって、ここでも必要とされているのは、機密情報に対するセキュリティを提供するために、費用のかかるハードウェア機器の作成および維持を必要としない、身元盗用を防止するためのシステムおよび方法である。
【課題を解決するための手段】
【0012】
発明の概要
この発明に従ったシステムおよび方法は、ユーザがコンピュータにデータを入力する時点においてユーザ認証身分証明を暗号化することができて、かつ、コンピュータ実施ネットワーク上において実質的にあらゆるデータの暗号化および復号化を行なうことのできるユーザインターフェイスを提供することにより、公知のシステムおよび方法の欠点を克服する。この実質的にあらゆるデータは、英数字等の記号、文書処理ソフトウェアまたは他のソフトウェアが一般に提供する他の記号、および、このようなネットワーク上でまたはこのようなネットワークを通じて処理され得る他のあらゆる記号により表わされ得る。
【0013】
この発明に従ったシステムおよび方法の利点とは、当該システムおよび方法により、サーバによって提供され、かつ、ユーザが規定するグラフィカルインターフェイスの使用を通じ、ユーザが、アクセスしているサーバの身元を認証し得る点である。したがって、自分の口座へのログオンを試みるユーザは、特定のサービスプロバイダから生じているように見えるウェブサイトまたはメッセージが、実際に真のサービスプロバイダであることを検証することができる。したがって、慎重な扱いを要する個人情報が、実際のプロバイダになりすます不正なエンティティに対して、ユーザにより提供されなくなる。
【0014】
別の利点とは、これらのシステムおよび方法が、オンライン身元盗用からエンドユーザを保護するために、トークン、カード、および他の同様のハードウェア機器、デジタル証明書、アンチウイルスソフトウェア、または個人のファイアウォールによる解決策に依存しない点である。
【0015】
この発明の認証インターフェイスシステムの一実施例は、コンピュータネットワークに接続されたサーバと、当該コンピュータネットワークに接続されたユーザコンピュータとを備え、当該ユーザコンピュータおよび当該サーバは、当該コンピュータネットワークを通じて互いに情報を送受信するようにプログラミングされ、一実施例はさらに、ユーザ名に相関付けられた、ユーザに固有の画像を含む組合せ画像と、入力インターフェイスとを含むグラフィカルインターフェイスを備え、サーバは、ユーザコンピュータから受信したユーザ名に応答してユーザコンピュータにグラフィカルインターフェイスを送信するようにプログラミングされ、ユーザコンピュータは、サーバにより送信されたグラフィカルインターフェイスを受信して表示するようにプログラミングされる。入力インターフェイスは、キーパッドまたはキーボードの形態を取り得、ユーザに固有の画像の上に重ね合わせられ得る。グラフィカルインターフェイスはさらに、ユーザに固有のテキスト要素、動画要素、および写真等の個人化要素を含み得る。
【0016】
ユーザと、ユーザの情報を保持するエンティティとの間での認証方法の一実施例は、ユーザに相関付けられた、ユーザに固有の画像を含む組合せ画像と、入力インターフェイスとを含むグラフィカルインターフェイスをエンティティがユーザに提供するステップを含み、それにより、ユーザは、情報にアクセスを試みる前にエンティティを認証することができる。グラフィカルインターフェイスは、ユーザ名か、またはアクセスされる情報の身元についての他の何らかの表示をユーザが入力した後に、ユーザに提供され得る。ユーザは、組合せ画像を提供するエンティティの身元を認証して初めて、その情報にアクセスするための識別子を入力する。グラフィカルインターフェイスはさらに、ユーザに固有のテキスト要素を含み得、エンティティによって暗号化され得る。さらに、エンティティは、特定のコンピュータを識別する識別子と、ユーザに関連付けられたコンピュータの予め規定されたリストに記載されたコンピュータとの一致を行なって初めて、グラフィカルインターフェイスを提供することができる。
【発明を実施するための最良の形態】
【0017】
この発明のこれらのおよび他の実施例、特徴、局面、および利点は、以下の説明、前掲
の請求項、および添付の図面を参照すると、より良く理解することができる。
【0018】
この発明の以上の局面および特徴に加え、それに伴う利点は、添付の図面とともに以下の詳細な説明を参照すると、より容易に理解することができる。
【0019】
これらの図面では、参照記号または名前を使用して、そこに示される或る特定の構成要素、局面、または特徴を示す。2つ以上の図面に共通の参照記号は、そこに示される構成要素、局面、または特徴が同じであることを示す。
【0020】
詳細な説明
この発明の実施例によると、インターネットまたは他のネットワーク上でトランザクションを行なうための、情報またはデータ、たとえばユーザの認証情報および/または他の情報を表わすデータの暗号化および復号化は、その情報がユーザのコンピュータに入力される時点よりも遅れることなく、画像処理の実時間プロセスにより、および/または、リアルタイムでランダムに使用されるべき画像を前もって作成することにより、また、セットシーケンスを使用することなく行なわれ、インターフェイスを介したデータ入力を実質的に予測不可能なものにし、したがって、当該画像を復号しようとするあらゆる違法な試みから当該データ入力が実質的に影響を受けないようにする。したがって、当該情報またはデータは、このようないずれのネットワーク上においても、盗用に対して脆弱性を有さない。図1から図28および図31A−図31Eを参照して、先行技術の方法およびシステムと比較した、この発明の暗号化および復号化のシステムおよび方法のいくつかの実施例を記載する。以下に説明するように、この発明の最も好ましい実施例は、ユーザの認証用に使用され、それにより、インターネットまたは他のネットワークのトランザクションについてのセキュリティが確保され得る。しかしながら、この発明は、より一層広い範囲を有しており、記号による表示の余地があり、かつ、コンピュータ実施ネットワーク上で送信され得る情報を、暗号化および復号化するために使用することができる。
【0021】
ユーザは一般に、インターネットまたは他のコンピュータネットワーク上でのオンライントランザクションを実施するために、キーボード、マウス、または他の入力機器を用いて、かつ、インターネットまたは他のコンピュータネットワークに接続されたウェブブラウザを用いて、慎重な取扱を有する自らの個人情報を入力する。図1は、例示的な従来のシステム20と、一意のユーザ名(ユーザid)およびパスワードに基づいてユーザの身分証明を検証するための認証プロセスを示す図である。この例では、ユーザにより入力される認証情報が、ユーザIDおよびパスワードを含み、その各々は、多数の要素を含む。この発明のさまざまな実施例において、識別子という用語は、ユーザが認識する情報、および/または、ユーザにより所有されるか、またはユーザに関連する何らかの属性に関する実質的にあらゆる情報を指し得る。たとえば、このような識別子は、名前、口座番号、社会保障番号、アドレス、パスワード、個人識別番号(PIN)を含み得る。また、この発明のさまざまな実施例において、識別子の文脈で用いられる要素という用語は、システムにより認識される実質的にあらゆる記号であり得る。一般に、ユーザIDおよび/またはパスワードとして使用するために、当該要素は、好ましくは、特定のシーケンスで明記された英数字記号である。一般に、ユーザIDおよびパスワードは、コンピューティング装置24上でのウェブブラウザの実行中にキーボード22を介して入力される文字列からなる。一般的なユーザ入力インターフェイス26は、ブラウザにより、28で示されるディスプレイ上において、ユーザに提供される。代替的に、データのユーザ入力は、図2に示すように数字キーパッド30のグラフィカル画像上、または、図3に示すキーボード32の画像上におけるマウスクリックを介して行なわれてよい。図2は、数字インターフェイスの一般的な表示であり、この数字インターフェイスは、エンドユーザによって使用され、当該インターフェイスの適切な位置上をクリックすることにより、パスワード/コード/PINを入力することができる。このインターフェイスは、英数字の情報のみの入力
を可能にするが、キーパッドを変更して他の記号またはアイコンを設けることができる。図3は、英数字インターフェイスの一般的な表示であり、この英数字のインターフェイスは、エンドユーザによって使用されて、当該インターフェイス上をクリックすることにより、パスワード/コード/PIN(この例では英数字のみであり、または、他のいずれかの記号/アイコン)を入力することができる。
【0022】
この発明の好ましい実施例において、インターフェイスは、プロバイダのサービス、たとえば銀行に開設したユーザの口座にアクセスを試みるユーザに限定して個人化される。銀行の一般的なウェブサイトは、全ユーザを対象とした標準的なフォーマットを有し得るが、特定のユーザがアクセスすべき自分の口座を一旦識別すると、認証プロセスは、ユーザおよび銀行の双方が互いの身元を確認できるようにする。ユーザは、サービスプロバイダにより送信されてユーザのコンピュータに表示された標準的なインターフェイスに、まず、ユーザ名を入力する。このユーザ名に応答して、サービスプロバイダは、その特定のユーザに固有の個人化された認証インターフェイスを送信し、この個人化された認証インターフェイスがユーザのコンピュータに表示される。
【0023】
図31Aは、個人化されたグラフィカルインターフェイス160を示し、従来のキーパッド163およびデータウィンドウ162の形態の入力インターフェイスが、雛菊のフィールドの背景画像161上に重ね合わされている。入力インターフェイスは、図31Aに示すキーパッド163、図31Cのキーボード164、その変形例、または本明細書で論じる他の入力機器のいずれか1つの表示を含み得る。入力インターフェイスは、ユーザにより先に選択された画像に重ね合わされ得、埋込まれ得、組込まれ得、隣接して配置され得、または、関連付けられ得る。図31Bは、猫の画像161に組込まれたデータウィンドウ162のみからなる入力インターフェイスを有するグラフィカルインターフェイスの実施例を示す。この例では、別の入力機器、たとえばコンピュータのキーボードを介してユーザによりデータが入力される。図31Dは、入力インターフェイスが個人化された質問167および多数の考え得る回答168からなる実施例を示す。入力インターフェイスの形態そのものが、入力機器の従来の物理的な実施例とは異なり得ることが考えられ得、実際に、画像自体の要素からなり得ることが考えられる。
【0024】
個人化の属性は、グラフィカルインターフェイス上に表示される色/形状/実際のデータで形成され得る。個人化の属性も、可能性として、入力インターフェイス自体の表示に存する。画像161は、たとえば、写真、図表、図面、または他の視覚表示の図であり得る。画像はさらに、パターン、幾何学的形状、動画要素、またはその画像を際立たせる働きをする他の視覚的な印を含み得、それにより、当該インターフェイスについて、ユーザによる識別可能なプラットフォームを提供する。テキスト要素165は、画像内に、画像の周囲に、または画像に関連付けられて提供されて、当該インターフェイスをさらに個人化することもできる。これらのテキスト要素は、ユーザに固有の個々の文字、語、句、または他のテキストのまとまりの形態を取り得る。
【0025】
さらに、画像およびインターフェイス自体が、本明細書に記載する方法を用いて暗号化されて、当該インターフェイスの入手および不正な再作成を抑止することができる。
【0026】
個人化された属性は、好ましくは、ユーザの口座の開設時にユーザとサービスプロバイダとの間の関係が最初に確立された時点で、または、サービスプロバイダを介して口座に対してユーザが最初にアクセスを試みる少なくとも前に、ユーザにより選択される。この時点で、ユーザは、選択肢のリストから、または自分自身の好みから、グラフィカルインターフェイス内に組込まれる個人化要素を指定することができる。したがって、個人化されたグラフィカルインターフェイスは、一旦作成されると、ユーザによって瞬時に認識可能となり、多くの考え得る変形例の中からインターフェイス内に組込まれているものを推
量しようとする不正なエンティティによる再作成が、ほぼ不可能となる。
【0027】
インターフェイスが個人化されることにより、ユーザは、偽のインターフェイスを複数のユーザに自動的に大量配信することによる、知能を用いないインターフェイスの作成が行なわれないことを認識することができる。この自動的な大量配信は、「フィッシング」等のコンピュータ攻撃において試みられ得る。フィッシングでは、疑いを持たないユーザをおびき寄せて慎重な取扱を要する情報または機密情報を開示させようとして、不正なエンティティが本物のインターフェイスの再作成を試みる。しかしながら、真のインターフェイスが個人化されることにより、ユーザは、偽のインターフェイスが表示されたときに、その偽のインターフェイスが存在する恐れがあるとの警告を受ける。フィッシャーによる、個人化されたこのようなインターフェイスの複製が極めて難しいか、または不可能であることにより、このことは、フィッシングを忌避する助けとなり、したがって、エンドユーザの信頼度の獲得を促す。このようなアプリケーションは、相互認証プロセスとして公知である。
【0028】
フィッシングおよび他の攻撃からのさらに別の防護は、ユーザ名と、正規のサーバにアクセスするための特定のコンピュータとを最初に相関付けることより提供され得る。特定の予め識別されたコンピュータ以外のコンピュータからユーザ名を入力しようとすると、ユーザの口座にアクセスを試みる人物に対して誰何の質問を提示する誰何インターフェイスが提示される。たとえば、図31Dに示すように、誰何インターフェイス166は、正規のユーザにのみ答えが認識されている1つ以上の質問167を提示し得る。誰何の質問にうまく答えることができれば、ユーザは個人化された認証インターフェイスにアクセスすることができ、失敗すると、認証プロセスが終了する。この誰何インターフェイスもまた、本明細書に記載する方法を用いて個人化されて、システムにセキュリティをさらに付加することができる。
【0029】
ユーザが多数の異なるコンピュータから正規のサーバにアクセスすることを求められる場合、ユーザは、その正規のサーバに対し、当該サーバへのアクセス用に使用し得るコンピュータのリストを提供することができる。したがって、リストに掲載されていないコンピュータからユーザの口座にアクセスを試みる者に対してのみ、誰何インターフェイスが提示される。
【0030】
これらの個人化属性が、異なる種類のインターフェイスと組合せて実施されることで、これまでに記載したコンピュータ攻撃に対する防護を行なうことができ、具体的に記載した実施例に限定されないことが企図される。本明細書に記載するインターフェイスの実施例はいずれも、個人化された属性を用いて変更することが可能である。たとえば、図31Bに示す、標準的なテキスト入力ボックスを用いたインターフェイスの個人化は、これらの種類のインターフェイスに対して防護を提供する。アーカイブされた文書のオンライン検索を可能にする別の種類のインターフェイスもまた、送信元の検証としてこの態様で個人化されて、指定されたユーザにのみアクセスを許可することができる。図31Eは、アーカイブされた文書169の検索を可能にするインターフェイス168が、ユーザの認証前において、その特徴の一部またはすべてを隠蔽し得ることを開示している。
【0031】
図4は、ユーザコンピュータ40を含む一般的な先行技術のシステム39と、当該コンピュータ40に情報を入力するユーザ42とを示すブロック図である。コンピュータおよびインターネットはいずれも、セキュリティを念頭において設計されていない。セキュリティは後からの発想に過ぎず、ユーザが自分のコンピュータを用いてインターネットを通じて行なう一般的なトランザクション内において、例示的なさまざまな弱さか、または、データが脆弱性を有し得る地点を示す。コンピュータ40は、ネットワークを介してコンピュータ/サーバ49に接続される。図4に示すように、慎重な取扱を要する情報は、た
とえばHTTPSを用いて47において暗号化され得、その後、ネットワークを通じてユーザのコンピュータシステム39から遠隔サーバ49に送信される。しかしながら、システム39およびコンピュータ40は情報の盗用に対して脆弱である。なぜなら、コンピュータ40内への入力地点と暗号化プロセスが呼出される地点との間で情報が未処理の形態のまま存在するためである。本発明では、入力地点と暗号化の地点との間のすべての地点を一般に、抜け穴41と称する。図4に概略的に示すように、機密データは42においてユーザにより作成され、暗号化されていない形態でIO機器43を介してユーザのコンピュータシステム内に41Aにおいて入力された後、45におけるCPUおよびカーネルならびに支援チップを介して、41Bにおいてオペレーティングシステム(OS)44内に流入し、41Cにおいてアプリケーション46に流入する。アウトバンドの暗号化されていないデータは次に、41Dにおいて流れ、47において暗号化され、経路41Eおよび41Fを介してOS44およびI/O機器43に渡された後、48で示すルータまたは他のネットワーク機器を用いて経路41Hを介し、41Gにおいてコンピュータ40によりサーバ49に送信される。上記の例示的な特定の抜け穴41A〜41Hに加え、ネットワークの脆弱性により、クロスサイトスクリプティングプログラム、キーボードロガー、マウスクリックロガー、スクリーンキャプチャ、およびミドルソフトウェアにおける人間等の脅威により、慎重な取扱を要する情報は、暗号化される前の未処理の形態で入手される恐れがある。したがって、ユーザのコンピュータシステムから出たデータが暗号化されていても、ネットワークは破壊され得る。なぜなら、暗号化プロトコルが、抜け穴のどこにおいても、たとえば、場所41A〜41Hに示すデータの流れに沿ったどのような地点においても、バイパスされ得るか、または破壊され得るためである。この発明の実施例は、入力の時点から遅れることなく認証情報を暗号化し、したがってこれらの抜け穴を閉じる、ユーザ認証身分証明等のデータの入力を可能にするためのシステムおよび方法を提供する。
【0032】
図5は、この発明のいくつかの実施例を説明するために、従来のグラフィカルキーパッド52を示す。図6〜図8は、データ入力の選択肢としてキーパッドの歪みを含むことにより、従来のセキュリティよりも高いセキュリティを提供するように構成される、好ましいセキュリティキーパッドグラフィカルインターフェイス54、56、および58を示す。この実施例は、図5のキーパッドインターフェイス52に比べてユーザのキーパッドインターフェイスを歪ませることにより、「画像歪み」として公知の歪み型と称される。この歪みは、人間のユーザによる画像内の番号または他の記号の容易な識別を可能にするが、スクリーンキャプチャ/OCRおよびx−y座標ロガーが、マウスまたは他のポインティング装置のクリックを、インターフェイスの特定のキーにリンク付けすることを防止する。図6は、歪みの例示的な一例を示しているが、実質的に無限の数の歪みの順列および組合せを生じて、X軸およびY軸上のウィンドウの範囲内で番号、文字、または他の記号の画像を歪ませて、当該画像が未認証の状態で復号される可能性を減じることができる。たとえば、図7は、図5の先行技術のキーパッド52に示す空間関係に比べ、キーパッド上に示される番号および特徴の空間関係が互いに異なるものを提供または表示するように歪ませたキーパッド56を示す。図8では、歪ませた別のグラフィカルキーパッド58インターフェイスが示される。この実施例では、キーパッド58の背景の特徴が点線で表示されて、図5の従来のキーパッドで使用されたものとは異なる色またはグレースケールの陰影付けが使用されていることを示す。情報を成功裡に盗用するための基盤とは、画面の表示を入手してそれを用い、情報の今後の入力を予測し得ることである。認証セッションの開始毎に、サーバがクライアントに異なる画像を送信すると、今後の挙動を予測するための基盤として入手した情報の使用が難しくなる。図6から図8の実施例に関し、画像は、さまざまな従来の数学的アルゴリズム、たとえばテクスチャ/歪み/ノイズ/画素/等のフィルタを用いることにより歪ませることができる。これらの画像はその後、サーバ上においてリアルタイムでランダムに選択され得、エンドユーザに表示され得る。さまざまなアルゴリズムを、画像に対してリアルタイムで適用するか、または予め適用することが
でき、これらのアルゴリズムはデータベースに格納される。
【0033】
図9および図10は、この発明の有用かつ好ましい代替的な実施例である、他の種類のグラフィカルインターフェイスを示す。図9において、インターフェイス60は、各々が番号を含むキーを取囲むキーパッド表面に対してグレーの背景62を有していることが示される。この種の実施例において、インターフェイス60は陰影付けされており、陰影付けの度合いは、1つ以上のランダム画像処理アルゴリズムにより提供される。このようにして、キーパッドに関して多数の考え得る配列および組合せが提供される。あらゆるグラフィック画像のファイルの実際のサイズは、純粋に、画像の解像度または画像内で表示される画素/インチの関数である。これらもまた、画像の品質を決定する。サーバはその後、不正なエンティティにより首尾よく使用されることを不可能にするさまざまなファイルのサイズを生成するために、実際には、付加的な値をその同じ画像にランダムにパディングし、エンドユーザに表示された画像を正確に識別することができる。なぜなら、視覚的に類似した同一の画像のファイルサイズが毎回同じではないことが考えられるためである。
【0034】
既に明らかであるが、この種の実施例は、キーパッドとの併用に限定されない。むしろ、キーボードまたは他の種類のインターフェイスが使用されてよい。また、本明細書で論じるこの種のおよび他の種類のインターフェイスの実施例(図示せず)では、X軸および/またはY軸を、コンピュータ画面内でわずかな量だけ変位させることができる。このような変位により、ユーザと、当該ユーザのコンピュータがネットワークを介して接続されている正規のサーバとであれば容易に理解することのできる、画面上に示されたデータが、データロガー型のソフトウェアによって正確に入手されることが一層難しくなる。図10を参照すると、別の陰影付け型の暗号化/復号化が示される。キーパッド64は、図9または図5のキーパッドの背景のいずれかとは異なることが示される背景66を有する。
【0035】
この発明で使用し、本明細書に記載するコンピュータ画面の画像の変位、背景の変更、ジッタ、および歪みは、従来のプログラミング技術により生成可能である。このような変位、背景の変更、ジッタ、および歪みは、入力データの画像が従来の画像ディスプレイ上でどのように見えるかについてユーザおよび正規のサーバが認識している見え方を基準として、ユーザの画面上に表われる当該データの画像の空間関係を変更するのに効果的である。これらの空間関係の変更は、小さいことが好ましく、すなわち、すべてがメインウィンドウ内に収まることが好ましく、以下に説明するように、ランダムにされることが好ましい。このようにして、このような空間関係の変更は分かりにくいものとなっており、コンピュータプログラムによる暗号化データの復号を充分に抑止することができる。
【0036】
図11および図12を参照すると、この発明の別の種類のグラフィカルインターフェイスの実施例が示される。これらの画像は、数字上をユーザがクリックすることに応答して、ネットワークを通じて送信されている実際のデータを示す。これらの値は、サーバによりリアルタイムで生成された後に、画像と共にクライアントに送信される。クライアントは、クリックを解釈すると、予め割当てられたデータをサーバに送り返す。サーバは、予め格納された値に基づき、対応する画像を容易に識別する。したがって、これらの2つの図は、この発明のハッシュ型の暗号化/復号化を示す。図11の左側では、従来のキーパッドの画像68が表示される。右側では、点線でハッシュされた表示70が示され、キーの各々は、ランダムな順序で配列されたいくつかの文字を有する。この実施例では、クライアントにマッピング命令を送信するためにサーバが使用され、それにより、たとえばユーザが「0」を入力すると、クライアントは「0」を「ej」にマッピングし、「ej」をサーバに送信する。サーバは、認証セッション毎に、異なる組のマッピング命令を送信し、それにより、認証セッション毎に、本物のデータの完全に異なるマッピングおよび送信が生じる。図12は、ユーザのクライアントコンピュータに対してサーバが送信する異
なる組のマッピング命令を表わすために、左側には同一の従来のキーパッド画像68を示しながらも、異なるハッシュされた表示72を有することを示して、この特徴を示す。ハッシュされた表示72は、各キーに関し、異なる、好ましくはランダム化された組の文字を有する。明らかなように、ハッシュされたキーパッドに対して他の記号を用いてよい。ここでもまた、認証セッション毎に使用されるランダムな異なるマッピングにより、ユーザのセキュリティ情報の盗用がほぼ不可能となる。
【0037】
図13〜図16を参照すると、シフト型の暗号化/復号化を用いるこの発明の他の好ましい実施例が示される。これらの画像は、大きな外側の背景内において数字インターフェイスのx値およびy値を変位する作用を表わす。x値およびy値を有限値でランダムに「ジッタ」または調節することにより、最終的な作用として、マウス位置のx,y座標の値が入手されたときに、それらの値が容易に使用されて、エンドユーザがクリックオンした数字自体の外挿による推定/識別が行なわれ得ないようにする。たとえば、図13において、先行技術のキーパッド74は、図14〜図16に対する基準点として示される。図14において、サーバは、クライアントに対し、76において実線で示した位置に対して(78において点線で)示したコンピュータキーパッドを送信する。認証セッション毎に、異なるマッピングアルゴリズムが使用され、それにより、ユーザの識別子の入力が容易に再現され得なくなる。この図において、マッピングされたキーパッドは、実線のキーパッドの画像表示76であることが示され、クライアントコンピュータに表示されたキーパッドの位置78に対して右下にシフトされていることが示される。異なる認証セッションのための異なるマッピングを表示する図15において、サーバ上に作成された実線のキーパッドの画像80は、クライアントコンピュータのディスプレイ上において、キーパッドの画像82から右上にシフトされている。図16では、サーバ上に作成された、マッピングされた実線の画像84は、クライアントコンピュータのディスプレイ上に示されるキーパッドの画像86の左下にシフトされている。この発明において、ジッタという用語は、図14〜図16に示す歪みの種類を指すように規定され、この用語は、インターフェイスを「ジッタ」する、等において使用される。
【0038】
図17および図18は、チェックサム型の暗号化/復号化と称される、この発明の別の実施例を示す。画像内の各画素は、画像内の位置によって決まる「x」値および「y」値により規定される一意の2次元識別子を有する。この図は、数字インターフェイス内の数字7内のサンプル画素を表わすために使用される画素のRGB値を示す。R、G、およびBの一意の値を取り、それらの値を加算して、x、yの値も加算することにより、画素のR、G、またはBの値のうちの1つが少ししか異なっていない場合でも、画像により表わされる合計値が別の画像とは一致しない場合があることが分かる。図17に示すように、キーパッド88は、或る予め定められた色で示される数字7を有するキー90を有する。その数字7は、当該数字に関連付けられたxおよびyの位置と、当該色の赤(Rまたは「r」)値、緑(Gまたは「g」)値、および青(Bまたは「b」)値とを有する。R、G、およびBの各々に割当てられた一意の値を取り、それらをxおよびyの値と共に加算することにより、合計値を求めて、その画素を表わすことができる。各画素に対して、または選択された数の画素に対してそのプロセスを繰返すことにより、画像についての合計値または画像の一部についての合計値を求めることができる。図17のボックス92は、6個の隣接する画素を表わし、異なる陰影付けは、5個の値の少なくとも1つにおける何らかの差を示す。図17に示すように、ボックス94において、割当てられた「x」値は「70」であり、割当てられた「y」値は「111」であり、割当てられた赤または「r」値は「211」であり、割当てられた緑または「g」値は「211」であり、割当てられた青または「b」値は「211」である。この画素についての合計値は「j」で表わされる。ボックス96に示すように、隣接する画素は、割当てられた値を同様の態様で有するが、唯一の差として、「x」値が「1」だけ変化しており、合計の「x」値が「71」となり、したがって、1だけ異なった、異なる合計値「w」を生じる。同様に、図18は、
キーパッド画像94と、同じ位置に配置される「7」とを示すが、「r」、「g」、および「b」値が異なっているため、合計値「j」が異なる。また、隣接する画素は、図17の対応する画素とは異なる「r」、「g」、および「b」値を有する。したがって、画像のファイルサイズは、画素のR、G、またはBの値の1つがわずかに異なるだけでも、別の画像のファイルサイズと一致しないことが考えられる。これらの変動は、グレースケール画像または非RGB型画像にも適用することができる。
【0039】
図9〜図10および図17〜図18に示すファイルサイズおよびチェックサム型の暗号化に関し、画像の全体、および/または、キーボード上の個々のキーの各々の画像が、異なるチェックサムおよび/またはファイルサイズを生じるようにキーボード画像を歪ませて、高度なスクリーンキャプチャロガーによる、個々のキーの各々の識別を回避することができる。
【0040】
図19は、図5〜図18に示す暗号化および復号化の種類に加え、以下に説明する図20〜図21に示す動的な暗号化/復号化の方法およびシステムについての一般的な実施プロセスを示すブロック図である。示されるように、サーバ上およびクライアントコンピュータ上において、すなわち、図5〜図18に示すキーパッドおよび/またはキーボードのグラフィカル認証インターフェイスの実施例のためのシステムのクライアントエンドおよびサーバエンド上において、別個のプロセスが使用される。図19から分かるように、暗号化および復号化のプロセスは、本質的に非対称である。なぜなら、暗号化側よりも復号化側が必要とするステップの数が少ないためである。
【0041】
好ましくは、3段階のプロセスを用いて、図5〜図18に示す種類の、セキュアであって一意のキーボードグラフィカル認証インターフェイスを作成する。第1段階では、暗号化されたキーが生成されて、キーボードの一意のグラフィック文字にマッピングされる。次のステップでは、キーボードのグラフィックイメージが、X,Y軸のより大きな範囲内でランダムに変位される。第3段階では、このグラフィカルイメージを、公知の画像処理アルゴリズムを用いて有限の態様で歪ませる。これらの画像を歪ませる、すなわち、暗号化するレベルまたは程度は、個々のキーボードのキー画像を視覚的に解読するエンドユーザの能力によってのみ制約される。上記の暗号化のステップは、好ましくは、経時的に画像の解読をより一層難しくするために、インターフェイスを使用する度に一意とされる。
【0042】
図19から分かるように、復号化のプロセスは、好ましくは2段階である。第1の復号化の段階において、ユーザは、暗号化されたキーボード(XおよびYの変位、ならびにグラフィック歪みは、暗号化に使用された2段階である)を視覚的に解読し、認証情報を入力するためにキーボードインターフェイス上のキーを選択する。第2の復号化の段階において、キーボードのマッピングは、マッピングそのものを参照することにより、サーバ上で復号される。
【0043】
図20は、この発明の別の実施例に従った、最も好ましくは、マウスのクリックおよび/またはキーボードのナビゲーションを用いて英数字記号およびグラフィック記号を整列させることによりコンピュータシステム内に入力される認証情報のための暗号化/復号化を可能にする、動的でグラフィカルな、ホイールの多要素インターフェイスを示す。ホイール上においてマーカーとして使用される色/アイコン/形状/形態もまた、エンドユーザにより予め定められたか、またはサービスプロバイダにより事前に決定された論理に基づいて生成され得る。これにより、エンドユーザは、自分自身の個人化されたホイールとしてホイールを作成し、その後、そのホイールを識別することができる。ユーザがマーカーをその場で(on the fly)選択することから、この実施例は、動的なシステムおよび方法と呼ばれる。図20に示すホイールグラフィカルユーザインターフェイス(GUI)200は、従来技術を用いてサーバ上において生成され、好ましくは、データ入力の時点に
暗号化を行なうための2つの同心のホイール202および204を含む。ユーザは、単に、「右矢印」ボタン206上で誘導的なマウスのクリックを介して、および/または、反時計回りの回転を得るためにキーボードを用いることにより、そして、反時計回りの回転を得るための「左矢印ボタン」208を用いることにより、内側ホイール202上の基準点を、外側ホイール204上における、ユーザ名フィールド210またはパスワードフィールド212の次の要素に誘導して、データの各要素を入力する。マーカーとも呼ばれ、内側ホイール202上に位置付けられる基準点は、入力時にユーザによってのみ選択され、当該ユーザにのみ認識されている。したがって、ユーザID、パスワード等の特定の要素の身元を見分けることが、さまざまなスパイソフトウェアおよび「肩越しの」スパイを含む外部者にとって難しくなる。換言すると、ユーザはまず、自分の心の中で基準点マーカー、すなわち仮想マーカーを選択する。ユーザは単に、内側ホイール202上の選択された基準点/仮想マーカーを、外側ホイール204上にある、ユーザ名フィールド210またはパスワードフィールド212等の識別子の選択された要素に誘導して、識別子を入力する。本明細書では、この識別子をコードまたはアクセスコードとも呼ぶ。マーカーは、エンドユーザのみが認識しており、識別子の要素のすべてがシステム内に入力されるセッションの持続時間にわたって不変である。ユーザは、コードの第1の要素、たとえばユーザIDの入力から始める。次にユーザは、当該コードの次の要素の各々を順番に入力する。ユーザが「入力(ENTER)」ボタンをクリックして、コードのこのようにして暗号化された要素を入力すると、「次(NEXT)」ボタンをクリックする。ホイール202および204上の記号はその後、好ましくはランダム化され、ユーザは、内側ホイール上の選択された記号がコードの次の要素に順次一致するように、または、コードの次の要素に隣接して順次位置付けられるように内側ホイール202を回転させ、「入力」をクリックする。その後、システムは、第1の要素の選択および入力後に画面表示がランダム化された時点から、内側ホイール802が静止するまで動かされた実際の程度または回転変位に対応するデータをサーバに送信する。換言すると、ユーザが第2の要素を選択した時点で生じるホイール802の変位の程度として、または、当該変位を表わす他の何らかの形態で、変位情報がサーバに送信される。「次」をクリックして表示をランダム化し、内側ホイール202を回転させて、選択されたマーカーを次のコード要素に順次一致させるというこのプロセスは、特定の識別子についての全コード要素がシステム内に入力されるまで繰返される。
【0044】
データベース内のサーバにより通常ホストされる画像記号およびマーカー記号の順序付けは、配列の形態でネットワークを通じてGUIに送信されて表示される。サーバはまた、以前に述べたように、記号画像をネットワーク経由で送信する前に、当該記号画像上に他の形態の暗号化のいずれかを適用するようにもプログラミングされ得る。コードの要素がシステム内に入力される毎にマーカー記号の順序付けがランダム化されることが好ましく、このことは、従来技術を用いて行なわれ得る。識別子の要素の順序付けもランダム化され得るが、殆どのアプリケーションにおいて、各セッション中にはランダム化されないことが好ましい。
【0045】
図示しない別の実施例として、マーカーおよび/またはデータ要素についての記号の組は、個人化され得るか、一意にされて、ユーザの好みに基づくようにされ得るか、または、サービスプロバイダにより設定され得る。この一意性により、正しい認証機器/GUIがユーザにより使用されることがさらに確実となる。この任意の特徴は、同一の不法なGUIまたはなりすましのGUIが、エンドユーザの身分証明、認証データ、または他のコードの入力用にエンドユーザに送信される恐れを実質的に排除する。好ましい一実施形態において、ユーザの対話により生じたGUI上の変位は、識別子の配列を基準としてマーカーの配列の索引をシフトすることにより、計算されるか、または求められる。その後、各要素について、結果的に得られる各マーカー索引の変位値は、ネットワークを通じてサーバに送信される。正しいコードを認識するようにサーバがプログラミングされているた
め、サーバは、識別子の第1の要素の入力に対応する変位を用いて、ユーザがそのセッション用に選択したマーカーを求めることができる。その後、サーバは、以降の変位が、そのセッション用にユーザが選択したマーカーの変位にのみ対応することを検証することにより、以降の各要素を認証することができる。
【0046】
任意に、図20に見られる「入力」ボタンを用いて、ユーザ名フィールド210またはパスワードフィールド212についての要素のすべてが入力されたことを示すことができる。図示されるボタン指示子は単に例示であり、この発明の実施例で他のボタン指示子を使用してよい。代替的に、他のアプリケーションにおいて「入力」ボタンをなくすことができる。認証識別子、たとえばユーザ名またはパスワードが予め定められた一定の長さであるシステムでは、「入力」ボタンが必要とされないことが考えられる。
【0047】
図20に示す暗号化/復号化の種類に関しても、好ましくは、入力された要素は、「肩越しの」スパイによるこの情報の視認を防止する助けとして機能するように、ユーザ名フィールド210またはパスワードフィールド212のいずれかに表示されない。各フィールド内にアスタリスクまたは他の適切な記号を表示して、要素の入力を知らせることができる。この発明の図20の種類の実施例において、識別子という用語は、好ましくは、ユーザID、パスワード、および/またはPINを指す。しかしながら、上で述べたように、この用語は、ユーザが暗号化およびシステム内への入力を望み得る、実質的にあらゆる情報を指し得る。たとえば、このような識別子は、名前、口座番号、社会保障番号、アドレスおよび電話番号を含み得る。また、上で述べたように、要素という用語は、システムにより認識される実質的にあらゆる記号であり得る。一般に、要素は、ユーザIDおよびパスワードの文脈で使用する場合、特定の順序で明記される英数字記号である。この発明のさまざまな実施例において、マーカーという用語は、ここでもまた、システムが認識する実質的にあらゆる記号を指し得る。便宜上、マーカーは、非英数字記号であることが好ましい。
【0048】
図20に示す種類の好ましい実施例によると、サーバは、マーカーの配列を、ランダム化された一連のマーカーで予め埋める(pre-populate)ように形成される。任意に、ランダムに生成されたマーカー候補の複数の組を生成して、使用すべき識別子の数を説明することができ、また、図20において番号は付されていないが図示されるように、また、図21を参照して以下にさらに説明するように、リセット(RESET)ボタンの使用時に利用可能な多数のさらに別の組を提供することができる。たとえば、「BANK」等の4要素の識別子において、候補マーカーの組の数は20以上であり、したがって、各マーカーに対し、5個のリセットが提供される。
【0049】
上で論じたように、識別子の各要素の入力に関連付けられる変位を表わす値は、サーバに送信されて、当該サーバにより復号される。サーバは、特定の認証情報用にユーザが選択するあらゆる特定のマーカーについての正しい要素および考え得るマーカー挙動だけでなく、画像の詳細、たとえば「ジッタ」、ファイルサイズ、チェックサム、歪み、シフト、およびこのような種類の画像の詳細の組合せについて認識しているため、しかるべき論理に基づいてマーカー要素を推論する。このようなアプリケーションにおいて、図19のブロック図が同様に当てはまるが、このブロック図のチャートは、本明細書に記載するホイール型の暗号化/復号化の動作に関連し、かつ、当該動作を適用する段階を含んでいなければならない。
【0050】
ホイール型のプロセスのための論理は、しかるべき識別子の第1の文字を認識しているサーバが、第1の識別子の要素を入力するためにユーザが選択したマーカーを探索する、というものである。またサーバは、そのセッションに使用される見込みのあるマーカーも認識している。識別子の第2の入力、および以降の入力の各々において、サーバは、同一
かつ正しいマーカーが使用されていることを識別し、検証する。したがって、システムは、そのセッションについて、ユーザが正しい認証識別子を入力したかどうかを判断することができる。変位座標はセッションに固有であり、そのセッションが一旦終了すると使用することができない。認識され得るように、このような暗号化および復号化は常に、システム内への入力の時点でランダムに生成された、一意の、実質的に盗用が不可能な変位情報を使用する。
【0051】
セッション毎にランダム化されたマーカーの多数の組を作成する例に関し、図20の表示は、ランダムな順序で最初に編成された、考え得るマーカーの第1の組を有する内側ホイール202を示す。識別子データの要素を入力し終わる度に、内側ホイール上のマーカーは、サーバにより規定またはランダム化されかつ上で述べた次の組内でランダム化されたマーカーで置換される。
【0052】
識別子の要素の入力の一例として、また、図20を参照して、ユーザの識別子が「BANK」という語であるものと仮定する。この発明に従ってこの識別子を入力するために、ユーザは、環状領域内の16個の線描された区分のうちの1つ内、または、上で内側ホイール202と呼ばれたすべてのマーカーを含むインターフェイスのセクタ内において、マーカーを心の中で選択する。図20に示すように、16個のこのようなセクタが使用されているが、これよりも少ないか、または多くのセクタを有するインターフェイスが有用であり、この発明の範囲内に入る。60個の識別子の要素を用いるアプリケーションに関しては、マーカー、すなわちセクタの最も好ましい数は16である。
【0053】
【数1】
【0054】
好ましくは、「入力」ボタンは、識別子の最後の要素が入力されたことを示すため、ユーザが作動させるために設けられる。代替的に、「入力」ボタンは、必要とされない場合、たとえば、識別子が予め定められた一定の長さを有する場合、使用される必要はない。
【0055】
代替的な実施例によると、内側ホイール、外側ホイール、およびセクタは、相互に交換可能であり得る。換言すると、マーカーは、外側ホイールのセクタ上に配置され得、外側ホイールのセクタから選択され得、内側ホイールは、識別子の要素を含む。別の代替的な実施例において、外側ホイールは回転可能に形成され得る。
【0056】
図21は、ユーザがその場でマーカーを選択し、かつ、マーカーの動きを基準とした、識別子の要素を含む領域の相対移動が回転性ではなく線形性である、別の種類の動的なグラフィカル認証インターフェイスを示す。下側バー上のマーカーまたはエンドユーザに割当てられたPINとして使用される色/アイコン/形状/形態もまた、エンドユーザまたはサービスプロバイダにより予め定められ得る論理に基づいて生成され得る。これにより、エンドユーザはここでもまた、個人化されたスライダを識別することが可能になる。
【0057】
【数2】
【0058】
ユーザ名、パスワード、他の識別子、またはコードの入力をユーザが再開できるように、好ましくは「リセット」ボタン234が設けられる。同様のリセット機能が、他の実施例、たとえば図20に示されているが、番号が付されていないものと共に使用されてもよい。アイコン236が任意に設けられ、好ましくは、画像内に設けられて識別子フィールドの要素の入力状況を表示し、ユーザ名またはパスワードのいくつの要素が入力済みであることを示す。好ましくは、入力された要素は、「肩越しの」スパイによるフィールド情報の視認を防止する助けとして、ユーザ名フィールド218またはパスワードフィールド220のいずれかに表示されない。代替的に、各要素の入力を知らせるために、入力の入力部分内にアスタリスクを示すことができる。
【0059】
代替的な実施例によると、図21に示す列は、相互に交換可能であり得、すなわち、マーカーは、上列から選択可能であるように形成され得、この上列は、当該マーカーを誘導するためにユーザによりスライド可能であるように形成され得、下列は、識別子の考え得る要素を含むように形成され得る。
【0060】
代替的に、図20のホイール上の要素および/またはマーカー、ならびに、図21の列内の要素および/またはマーカーは、ユーザにカスタマイズされ得、たとえば、動物、人物、風景、または他のあらゆる画像の絵であり得る。代替的に、マーカーは、ユーザによ
り認識され、かつ、サーバにより予め規定された論理を使用することができる。
【0061】
図20および図21のユーザインターフェイスは、2つの識別子、たとえば、ユーザ名およびパスワードを有していることが示される。しかしながら、この発明は、2つの要素に限定されず、さらに別の要素がこの発明の範囲内に含まれてよい。たとえば、PINコードを追加して、この暗号化/復号化システムを、3つの識別子のシステムにすることができる。
【0062】
上の図で示したグラフィカルインターフェイスの各々は、好ましくは、当業者に公知の従来のソフトウェア、たとえば、MACROMEDIA FLASH(登録商標)ブランドのソフトウェアもしくはJAVA(登録商標)ブランドのソフトウェアを用いるか、または、SVG(登録商標)標準を用いて生成され、ユーザ機器に送信される。好ましい実施例では、グラフィカルインターフェイスを生成するためにFLASH(登録商標)ソフトウェアが使用される。
【0063】
この発明の特定の実施例を説明してきたが、さまざまな変形、変更、代替的構成、および等価物もまた、この発明の範囲内に包含される。
【0064】
したがって、明細書および図面は、限定的な意味ではなく、例示的な意味で捉えられる。しかしながら、クレームに明記される本発明のより広い精神および範囲から逸脱することなく、この発明に対して、追加、削減、削除、および他の変形および変更を行なってよいことが明らかである。
【0065】
図22〜図28を参照して、この発明のさまざまなプロセスの特徴のブロック図を説明する。図22において、サーバは、図20または図21の実施例で示され、かつ当該実施例で使用するための、ユーザに個人化されていないマーカーを獲得し、利用可能なマーカーのリストから何らかの数である「n」個のマーカーをランダムに選択し、その後、当該マーカーをクライアントコンピュータのディスプレイに返す。図23に示すように、実質的に同一のプロセスが使用されるが、異なる点は、マーカーを獲得する際に、ユーザに個人化されたマーカーを含むデータベースにアクセスし、当該マーカーの組が選択されてランダム化されてから、クライアントコンピュータに返される点である。図24のブロック図では、クライアントコンピュータにおける好ましいプロセスフローが示され、ここで、プロセスは、ユーザがログインページを訪れることによって開始する。その後、クライアントは、サーバまたはローカルマシンからアプリケーションをロードし、ランダム化されたマーカーのリストの1つを取り出す。ユーザはその後、識別子または他のコードの要素を入力し、クライアントコンピュータは、ネットワークを通じてデータをサーバに送信する。すると、サーバはそのデータを処理し、当該識別子についてのデータ入力が成功裡に行なわれた場合、次のページに移動する。成功裡に行なわれなかった場合、サーバはクライアントコンピュータに制御を返し、別のランダム化されたマーカーのリストを獲得して、以前と同様にプロセスを継続する。
【0066】
図25は、暗号化を伴わずに行なわれるクライアント/サーバの対話を示すブロック図であり、図26は、暗号化を伴った対話を示す。図25において、クライアントコンピュータが要求を行ない、サーバは、マーカーのリストを獲得し、そのリストをクライアントに返す。図26では、同様の対話が行なわれるが、これに加え、サーバは、マーカーのリストを獲得してそのマーカーのリストをクライアントに返す前に、クライアントから受取ったデータを復号する。図27は、認証の対話を示し、ここで、クライアントから受取ったデータが一旦任意に復号されると、そのデータの認証が行なわれ、次にサーバは、クライアントに対し、成功または失敗の命令を返す。図28では、認証プロセスの詳細が述べられており、それにより、プロセスが開始されると、そのセッション用に選択されたマーカーのリストを用いて、マーカーに基づいた、文字に対する変位のマッピングが行なわれ
る。パスワード等の識別子の第1の要素に対してどのマーカーがユーザにより選択されたかについての判断が、暫定的な判断の基盤としてデータベース内に格納されたパスワードを用いることにより行なわれる。次に、システムは、マーカーによってなされた変位を比較することによって識別子の要素の残りの部分を検証し、識別子の正しい要素が各要素に関して順番に一致されたか否かを検証する。すべて正しい一致が生じていれば、サーバは「成功」の命令を送信して、認証が成功裡に終わったことを示す。すべて正しい一致が必ずしも生じなかった場合、サーバは「失敗」の命令を送信し、プロセスを再開する。
【0067】
図6〜図19の実施例で使用されるマッピングの種類に対して使用され得るコードの一例として、図29〜図30は、使用可能ないくつかの一般的な好ましい擬似ソースコード(pseudo source code)を提供する。しかしながら、図を参照して本明細書に記載されるこの発明の特徴を実施するために必要とされる符号化に関し、このような符号化がいずれも、この分野における当業者の通常の技量の範囲内に含まれ、特定のアプリケーションが容易に提供され得るものと考えられる。
【図面の簡単な説明】
【0068】
【図1】ユーザ認証を入力するために使用される例示的な先行技術のシステムを示す図である。
【図2】認証情報の入力を可能にするための、例示的な先行技術のキーパッドグラフィカルユーザインターフェイスを示す図である。
【図3】認証情報の入力を可能にするための、例示的な先行技術のキーボードグラフィカルユーザインターフェイスを示す図である。
【図4】ネットワーク経由でコンピュータ/サーバに接続されたユーザコンピュータにユーザが情報を入力することを可能にする一般的な先行技術のシステムを示すブロック図である。
【図5】図6〜図10に示すこの発明の実施例の新規の特徴の説明を容易にする働きをする、先行技術のキーボードの画像を示す図である。
【図6】この発明の実施例に従った、好ましい、歪み型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図7】この発明の代替的な実施例に従った、好ましい、歪み型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図8】この発明の代替的な実施例に従った、好ましい、歪み型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図9】この発明の代替的な実施例に従った、好ましい、ファイルサイズ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図10】この発明の代替的な実施例に従った、好ましい、ファイルサイズ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図11】この発明の代替的な実施例に従った、好ましい、ハッシュ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図12】この発明の代替的な実施例に従った、好ましい、ハッシュ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図13】図14〜図18に示すこの発明の実施例の新規の特徴の説明を容易にする働きをする、先行技術のキーボードの画像を示す図である。
【図14】この発明の代替的な実施例に従った、好ましい、シフト型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図15】この発明の代替的な実施例に従った、好ましい、シフト型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図16】この発明の代替的な実施例に従った、好ましい、シフト型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図17】この発明の代替的な実施例に従った、好ましい、チェックサム型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図18】この発明の代替的な実施例に従った、好ましい、チェックサム型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図19】図6〜図18の実施例について、ユーザエンドおよびサーバエンド上の好ましい暗号化および復号化プロセスを示すブロック図である。
【図20】この発明の代替的な実施例に従った、好ましい、動的かつグラフィカルなホイール型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図21】この発明の代替的な実施例に従った、好ましい、動的なスライダ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図22】この発明の、ユーザに個人化されていないマーカーの実施例に対する好ましい暗号化および復号化プロセスを示すブロック図である。
【図23】この発明の、ユーザに個人化されたマーカーの実施例に対する好ましい暗号化および復号化プロセスを示すブロック図である。
【図24】この発明の実施例で使用するための暗号化および復号化のための好ましいクライアントのプロセスフローを示すブロック図である。
【図25】認証プロセスのための先行技術のクライアント/サーバの対話を示すブロック図である。
【図26】この発明の実施例で使用するための、暗号化を伴った、好ましいクライアント/サーバの対話を示すブロック図である。
【図27】認証プロセスを示すブロック図である。
【図28】この発明の実施例で使用するための好ましい認証プロセスを示すブロック図である。
【図29】暗号化および復号化のプロセスの好ましい実施のための擬似ソースコードのリスティングを示す図である。
【図30】この発明のグラフィックの好ましい実施のための擬似ソースコードのリスティングを示す図である。
【図31A】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【図31B】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【図31C】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【図31D】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【図31E】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【技術分野】
【0001】
この特許文書の開示の一部は、著作権保護の対象となる資料を含む。著作権保有者は、特許文書または特許開示の複製が特許の包袋記録に掲載される限り、誰が複製を行なっても許諾するが、それ以外の著作権に関する如何なる権利も全て著作権保有者が保持する。
【0002】
発明の分野
この発明は、一般に、インターネット(Internet)または他のネットワーク上で実施されるトランザクションに対し、認証を含む暗号化および復号化を行なうためのシステムおよび方法と、このようなシステムおよび方法で使用するために適合化されたユーザインターフェイスとに関する。
【背景技術】
【0003】
発明の背景
インターネットを通じて企業および個人により行なわれるオンライントランザクションの数が、驚異的に伸びている。ユーザを認証してオンライントランザクションを実施するために、一般に、慎重な扱いを要する個人的な身元情報が使用される。インターネットトランザクションを行なうために身元情報を使用すればするほど、それに伴い、当該情報の傍受および盗用の危険性が高まる。誰かが他人のパスワード、ユーザ名、社会保障(Social Security)番号、クレジットカード番号、または他の識別個人情報を同意なしに用いて詐欺を働いたときに、身元盗用が生じる。2003年9月の米国連邦取引委員会(Federal Trade Commission(FTC))の調査によると、この5年間に2730万人のアメリカ人、2002年だけでも990万人が、身元盗用の被害に遭っている。このFTCの調査によると、2002年に身元盗用により企業および金融機関が受けた損失は、総額約480億ドルであり、一般消費者の被害者の支出額は、50億ドルであったと報告されている。
【0004】
身元盗用の一形態は、「フィッシング」として公知の社会工学的攻撃を用いて行なわれる。インターネット百科事典のウィキペディア(Wikipedia)によると、フィッシングとは、慎重な扱いを要する個人情報、たとえばパスワードおよびクレジットカードの細目を、このような情報を本当に必要とする、信頼のおける誰かになりすますことにより、策略を通じて不正に取得することと定義されている。フィッシング詐欺の手法は一般に、見せかけのウェブサイトを用いて、銀行または売買業者等の信頼できるサービスプロバイダからの必要情報の要求として生成されたかのように見えるeメールメッセージを生成する。フィッシングのeメールメッセージは一般に、サービスプロバイダのものであるように見えるものの、実際には「フィッシャー」が使用するウェブサイトへのリンクを含んでいる。見せかけのウェブサイトは、ユーザを騙してパスワードか、または他の慎重な扱いを要する個人情報を提示させようとする。
【0005】
身元盗用の別の形態は、「ファーミング」として公知の攻撃を用いて行なわれる。この種の攻撃では、単に犯罪目的のソフトウェアが、一般にDNSハイジャックまたはポイズニングを通じて、無防備なユーザを不正なサイトまたはプロキシサーバに導く。ファーミングは、DNSサーバソフトウェアの脆弱性を利用したものであり、この脆弱性により、ハッカーは、或るサイトについてのドメイン名を取得することができ、当該ウェブサイトに方向付けられたトラフィックを別のウェブサイトに転送することができる。DNSサーバは、インターネット名をその実際のアドレスに変換する責任を負うマシンであり、インターネットの「道標」として機能する。この転送されたトラフィックを受信したウェブサイトが偽のウェブサイト、たとえば銀行のウェブサイトのコピーである場合、そのウェブ
サイトを用いて、コンピュータユーザのパスワード、PIN番号、口座番号、および/または他の機密情報を「フィッシング」するか、または盗むことが可能である。
【0006】
ユーザにより入力された機密情報を取得するためのさまざまな他の不正手段が公知である。たとえば、キーボードロガー、マウスクリックロガー、およびスクリーンキャプチャロガーを含むスパイソフトウェアが周知であり、この目的で使用される。また、他の種類のスパイソフトウェア、たとえばスヌープウェア、スパイウェア、非ウイルス性のマルウェア、ハッカーのユーティリティ、偵察ユーティリティ、およびトロイの木馬(Trojan)が周知である。別の例として、「悪魔の双子(evil twin)」の攻撃がよく見られるようになった。悪魔の双子は、個人が作成した無線アクセスポイントであり、正規のアクセスポイントになりすましてエンドユーザの知らないうちに個人情報または企業の情報を収集する「ホットスポット」としても公知である。攻撃者は、自らをアクセスポイントの周辺に位置付け、その正規のアクセスポイントがどのような名前および無線周波数を使用しているかを自分のコンピュータに発見させる。そして、同一名を用い、その周波数で自らの無線信号を送信する。この発明において、スパイソフトウェアとは、情報、たとえば個人または組織に関する情報の、認証されていない態様での取得を助けるあらゆるソフトウェアプログラムである。スパイソフトウェアはまた、一般にはユーザから隠蔽されている。スパイソフトウェアは一般に、ユーザの同意なしにユーザのコンピュータに自らをインストールし、当該機器の使用を監視または制御する。このスパイソフトウェアにより、ユーザのあらゆるキーストローク、チャットの会話のすべて、訪問したウェブサイトのすべて、ブラウザと行なったユーザのあらゆる対話の各々、実行されたあらゆるアプリケーション、印刷されたあらゆる文書、ならびにすべてのテキストおよび画像が入手され得る。スパイソフトウェアは一般に、極めて多くの場合、ユーザの知らないうちに、またはユーザの同意なしに、入手したデータをローカルに保存することができ、および/または、当該入手したデータをインターネットを通じて第三者に送信することができる。キーボードロガーおよびマウスクリックロガーもまた、キーボード/マウスのケーブルと、コンピュータまたは当該キーボード/マウス機器内のハードウェアとの間に接続されたハードウェアの形態を取り得る。
【0007】
慎重な扱いを要する機密の個人情報を使用して詐欺を行なうために、別の取得者が、「肩越しの」スパイとして公知である。このスパイは、ユーザのディスプレイを内密に読み取って、情報、たとえば英数字または他の形態の情報を取得する。たとえば、ユーザのデータ入力用にキーパッドおよび/またはキーボード画像を使用する従来のグラフィカルユーザインターフェイスは、マウスクリックロガー、スクリーンキャプチャロガー、および他の方式に対しても同様に脆弱性を有する。このグラフィカルインターフェイス内の英数字の各々は、一意のグラフィカル画像、たとえば番号1を含む画素によって表わされる。スクリーンキャプチャロガーは、光学式文字読取(OCR)技術を利用して、マウスのクリックおよび対応する英数字のグラフィックを解読し、ユーザのIDおよびパスワードの実際の英数字のテキスト文字を突き止める。高度なスクリーンキャプチャロガーもまた、グラフィック画像のチェックサムおよびサイズ特性を利用して、どの識別子の英数字が、データ入力中にユーザのマウスクリックにより選択された各グラフィック画像に対応するのかを突き止めることができる。このようにして、スクリーンキャプチャロガーは、グラフィカルユーザインターフェイスがキーパッドまたはキーボード上の英数字の順序を並べ替えたときでも個人情報を取得し得る。
【0008】
公知のアンチウイルスおよびアンチスパイウェアのソフトウェア製品は、ユーザが何らかの身元泥棒から身を守ることを可能にする。しかしながら、これらの製品は、本質的に事後対応型であるために、盗用に対して確実な防御を行なうことができない。したがって、これらの製品はすべて、再現可能な署名に依存する。これらの製品は、絶えず更新されなければならず、更新されたという条件でのみ有用である。これらの製品は、新規のウイ
ルスまたは攻撃の形態に対して常に脆弱である。したがって、旧式のアンチウイルスおよびアンチスパイウェアのファイルを使用しても、せいぜい、外部の脅威からコンピュータデータを防御するための最低限の防護しか行なえない。したがって、これらの製品の欠点は、アンチウイルスおよびアンチスパイウェアのプログラムにより使用される情報が、新規に発見された方式を反映するように絶えず更新されなければならない点である。ウイルス情報を最新の状態に保つことに加え、感染の恐れがないかどうか、システムが定期的に走査されなければならない。
【0009】
ファイアウォールソフトウェアは、ユーザにより利用可能なさらに別の防御線を設ける。ファイアウォールソフトウェアは、ユーザのコンピュータにインストールされ(個人または企業のファイアウォール)、当該ユーザのコンピュータ内のプログラムがユーザの知らないうちに、またはユーザの合意なしにネットワークにアクセスしている場合、ユーザに警告する。しかしながら、トロイの木馬が認証済みのプログラムおよびポートを破壊する(compromise)と、そのファイアウォールは、トロイの木馬に対し、当該ポートを経由したデータの送信を許してしまう。
【0010】
伝送制御プロトコル/インターネットプロトコル(Transmission Control Protocol/Internet Protocol(TCP/IP))は、インターネットおよびいくつかの私設ネットワークの基本的な通信プロトコルである。ハイパーテキスト転送プロトコルセキュア(Hyper Text Transfer Protocol Secure(HTTPS))は、TCP/IPに基づいたセキュアなインターネット通信プロトコルであり、暗号化されたデータストリームを用いたセキュアなデータ転送を可能にするセキュアソケット層(Secure Socket Layer(SSL))プロトコルを用いる。HTTPSの主な目的は、遠隔のホスト、たとえばウェブページからハイパーテキストのオブジェクトをセキュアな態様でフェッチすることである。SSLプロトコルにより、ウェブブラウザおよびHTTPサーバを含むクライアントは、セキュアな接続を通じて通信を行なうことができる。SSLは、セキュアではない公衆ネットワークを通じて交換される情報を保護するための手段として、暗号化、送信元の認証、およびデータの保全性を提供する。多くの電子商取引のアプリケーションは、これらのプロトコルを使用して、サーバとインターネットとの間の送信を確保する。
【発明の開示】
【発明が解決しようとする課題】
【0011】
公知のシステムの別の欠点とは、セキュリティの状態を維持するために、さまざまな程度にわたり人間に依存性を有する点である。上記のように、ユーザの情報および/またはシステムは、セキュリティ対策を講じていても破壊され得る。身元盗用に対処するための他の公知の方法は、ログイン処理中の認証に使用するために、ユーザのシステム上でユーザに「トークン」の使用を求めるか、または、デジタル証明書の保持を求めることを含む。トークンは一般に、サービスプロバイダのシステムにアクセスするために必要とされる、クレジットカードサイズまたはキーフォブサイズの認証機器である。トークンは一般に、経時的に変化する番号を表示し、ネットワーク上の認証サーバと同期する。トークンはまた、サーバとの間で誰何/応答方式を使用し得る。この方法は、ユーザに対し、パスワードおよび/または個人識別番号(PIN)に加え、トークンを有していることと、そのトークンから認証用に情報を入力することとを要求する。トークンの問題点とは、ユーザが、必要とされるパスワードおよび/またはPINだけでなく、トークンもセキュアに保持しておかなければならない点である。また、トークンの紛失または破損にまつわる顧客の維持費用がさらに問題を生じる。したがって、ここでも必要とされているのは、機密情報に対するセキュリティを提供するために、費用のかかるハードウェア機器の作成および維持を必要としない、身元盗用を防止するためのシステムおよび方法である。
【課題を解決するための手段】
【0012】
発明の概要
この発明に従ったシステムおよび方法は、ユーザがコンピュータにデータを入力する時点においてユーザ認証身分証明を暗号化することができて、かつ、コンピュータ実施ネットワーク上において実質的にあらゆるデータの暗号化および復号化を行なうことのできるユーザインターフェイスを提供することにより、公知のシステムおよび方法の欠点を克服する。この実質的にあらゆるデータは、英数字等の記号、文書処理ソフトウェアまたは他のソフトウェアが一般に提供する他の記号、および、このようなネットワーク上でまたはこのようなネットワークを通じて処理され得る他のあらゆる記号により表わされ得る。
【0013】
この発明に従ったシステムおよび方法の利点とは、当該システムおよび方法により、サーバによって提供され、かつ、ユーザが規定するグラフィカルインターフェイスの使用を通じ、ユーザが、アクセスしているサーバの身元を認証し得る点である。したがって、自分の口座へのログオンを試みるユーザは、特定のサービスプロバイダから生じているように見えるウェブサイトまたはメッセージが、実際に真のサービスプロバイダであることを検証することができる。したがって、慎重な扱いを要する個人情報が、実際のプロバイダになりすます不正なエンティティに対して、ユーザにより提供されなくなる。
【0014】
別の利点とは、これらのシステムおよび方法が、オンライン身元盗用からエンドユーザを保護するために、トークン、カード、および他の同様のハードウェア機器、デジタル証明書、アンチウイルスソフトウェア、または個人のファイアウォールによる解決策に依存しない点である。
【0015】
この発明の認証インターフェイスシステムの一実施例は、コンピュータネットワークに接続されたサーバと、当該コンピュータネットワークに接続されたユーザコンピュータとを備え、当該ユーザコンピュータおよび当該サーバは、当該コンピュータネットワークを通じて互いに情報を送受信するようにプログラミングされ、一実施例はさらに、ユーザ名に相関付けられた、ユーザに固有の画像を含む組合せ画像と、入力インターフェイスとを含むグラフィカルインターフェイスを備え、サーバは、ユーザコンピュータから受信したユーザ名に応答してユーザコンピュータにグラフィカルインターフェイスを送信するようにプログラミングされ、ユーザコンピュータは、サーバにより送信されたグラフィカルインターフェイスを受信して表示するようにプログラミングされる。入力インターフェイスは、キーパッドまたはキーボードの形態を取り得、ユーザに固有の画像の上に重ね合わせられ得る。グラフィカルインターフェイスはさらに、ユーザに固有のテキスト要素、動画要素、および写真等の個人化要素を含み得る。
【0016】
ユーザと、ユーザの情報を保持するエンティティとの間での認証方法の一実施例は、ユーザに相関付けられた、ユーザに固有の画像を含む組合せ画像と、入力インターフェイスとを含むグラフィカルインターフェイスをエンティティがユーザに提供するステップを含み、それにより、ユーザは、情報にアクセスを試みる前にエンティティを認証することができる。グラフィカルインターフェイスは、ユーザ名か、またはアクセスされる情報の身元についての他の何らかの表示をユーザが入力した後に、ユーザに提供され得る。ユーザは、組合せ画像を提供するエンティティの身元を認証して初めて、その情報にアクセスするための識別子を入力する。グラフィカルインターフェイスはさらに、ユーザに固有のテキスト要素を含み得、エンティティによって暗号化され得る。さらに、エンティティは、特定のコンピュータを識別する識別子と、ユーザに関連付けられたコンピュータの予め規定されたリストに記載されたコンピュータとの一致を行なって初めて、グラフィカルインターフェイスを提供することができる。
【発明を実施するための最良の形態】
【0017】
この発明のこれらのおよび他の実施例、特徴、局面、および利点は、以下の説明、前掲
の請求項、および添付の図面を参照すると、より良く理解することができる。
【0018】
この発明の以上の局面および特徴に加え、それに伴う利点は、添付の図面とともに以下の詳細な説明を参照すると、より容易に理解することができる。
【0019】
これらの図面では、参照記号または名前を使用して、そこに示される或る特定の構成要素、局面、または特徴を示す。2つ以上の図面に共通の参照記号は、そこに示される構成要素、局面、または特徴が同じであることを示す。
【0020】
詳細な説明
この発明の実施例によると、インターネットまたは他のネットワーク上でトランザクションを行なうための、情報またはデータ、たとえばユーザの認証情報および/または他の情報を表わすデータの暗号化および復号化は、その情報がユーザのコンピュータに入力される時点よりも遅れることなく、画像処理の実時間プロセスにより、および/または、リアルタイムでランダムに使用されるべき画像を前もって作成することにより、また、セットシーケンスを使用することなく行なわれ、インターフェイスを介したデータ入力を実質的に予測不可能なものにし、したがって、当該画像を復号しようとするあらゆる違法な試みから当該データ入力が実質的に影響を受けないようにする。したがって、当該情報またはデータは、このようないずれのネットワーク上においても、盗用に対して脆弱性を有さない。図1から図28および図31A−図31Eを参照して、先行技術の方法およびシステムと比較した、この発明の暗号化および復号化のシステムおよび方法のいくつかの実施例を記載する。以下に説明するように、この発明の最も好ましい実施例は、ユーザの認証用に使用され、それにより、インターネットまたは他のネットワークのトランザクションについてのセキュリティが確保され得る。しかしながら、この発明は、より一層広い範囲を有しており、記号による表示の余地があり、かつ、コンピュータ実施ネットワーク上で送信され得る情報を、暗号化および復号化するために使用することができる。
【0021】
ユーザは一般に、インターネットまたは他のコンピュータネットワーク上でのオンライントランザクションを実施するために、キーボード、マウス、または他の入力機器を用いて、かつ、インターネットまたは他のコンピュータネットワークに接続されたウェブブラウザを用いて、慎重な取扱を有する自らの個人情報を入力する。図1は、例示的な従来のシステム20と、一意のユーザ名(ユーザid)およびパスワードに基づいてユーザの身分証明を検証するための認証プロセスを示す図である。この例では、ユーザにより入力される認証情報が、ユーザIDおよびパスワードを含み、その各々は、多数の要素を含む。この発明のさまざまな実施例において、識別子という用語は、ユーザが認識する情報、および/または、ユーザにより所有されるか、またはユーザに関連する何らかの属性に関する実質的にあらゆる情報を指し得る。たとえば、このような識別子は、名前、口座番号、社会保障番号、アドレス、パスワード、個人識別番号(PIN)を含み得る。また、この発明のさまざまな実施例において、識別子の文脈で用いられる要素という用語は、システムにより認識される実質的にあらゆる記号であり得る。一般に、ユーザIDおよび/またはパスワードとして使用するために、当該要素は、好ましくは、特定のシーケンスで明記された英数字記号である。一般に、ユーザIDおよびパスワードは、コンピューティング装置24上でのウェブブラウザの実行中にキーボード22を介して入力される文字列からなる。一般的なユーザ入力インターフェイス26は、ブラウザにより、28で示されるディスプレイ上において、ユーザに提供される。代替的に、データのユーザ入力は、図2に示すように数字キーパッド30のグラフィカル画像上、または、図3に示すキーボード32の画像上におけるマウスクリックを介して行なわれてよい。図2は、数字インターフェイスの一般的な表示であり、この数字インターフェイスは、エンドユーザによって使用され、当該インターフェイスの適切な位置上をクリックすることにより、パスワード/コード/PINを入力することができる。このインターフェイスは、英数字の情報のみの入力
を可能にするが、キーパッドを変更して他の記号またはアイコンを設けることができる。図3は、英数字インターフェイスの一般的な表示であり、この英数字のインターフェイスは、エンドユーザによって使用されて、当該インターフェイス上をクリックすることにより、パスワード/コード/PIN(この例では英数字のみであり、または、他のいずれかの記号/アイコン)を入力することができる。
【0022】
この発明の好ましい実施例において、インターフェイスは、プロバイダのサービス、たとえば銀行に開設したユーザの口座にアクセスを試みるユーザに限定して個人化される。銀行の一般的なウェブサイトは、全ユーザを対象とした標準的なフォーマットを有し得るが、特定のユーザがアクセスすべき自分の口座を一旦識別すると、認証プロセスは、ユーザおよび銀行の双方が互いの身元を確認できるようにする。ユーザは、サービスプロバイダにより送信されてユーザのコンピュータに表示された標準的なインターフェイスに、まず、ユーザ名を入力する。このユーザ名に応答して、サービスプロバイダは、その特定のユーザに固有の個人化された認証インターフェイスを送信し、この個人化された認証インターフェイスがユーザのコンピュータに表示される。
【0023】
図31Aは、個人化されたグラフィカルインターフェイス160を示し、従来のキーパッド163およびデータウィンドウ162の形態の入力インターフェイスが、雛菊のフィールドの背景画像161上に重ね合わされている。入力インターフェイスは、図31Aに示すキーパッド163、図31Cのキーボード164、その変形例、または本明細書で論じる他の入力機器のいずれか1つの表示を含み得る。入力インターフェイスは、ユーザにより先に選択された画像に重ね合わされ得、埋込まれ得、組込まれ得、隣接して配置され得、または、関連付けられ得る。図31Bは、猫の画像161に組込まれたデータウィンドウ162のみからなる入力インターフェイスを有するグラフィカルインターフェイスの実施例を示す。この例では、別の入力機器、たとえばコンピュータのキーボードを介してユーザによりデータが入力される。図31Dは、入力インターフェイスが個人化された質問167および多数の考え得る回答168からなる実施例を示す。入力インターフェイスの形態そのものが、入力機器の従来の物理的な実施例とは異なり得ることが考えられ得、実際に、画像自体の要素からなり得ることが考えられる。
【0024】
個人化の属性は、グラフィカルインターフェイス上に表示される色/形状/実際のデータで形成され得る。個人化の属性も、可能性として、入力インターフェイス自体の表示に存する。画像161は、たとえば、写真、図表、図面、または他の視覚表示の図であり得る。画像はさらに、パターン、幾何学的形状、動画要素、またはその画像を際立たせる働きをする他の視覚的な印を含み得、それにより、当該インターフェイスについて、ユーザによる識別可能なプラットフォームを提供する。テキスト要素165は、画像内に、画像の周囲に、または画像に関連付けられて提供されて、当該インターフェイスをさらに個人化することもできる。これらのテキスト要素は、ユーザに固有の個々の文字、語、句、または他のテキストのまとまりの形態を取り得る。
【0025】
さらに、画像およびインターフェイス自体が、本明細書に記載する方法を用いて暗号化されて、当該インターフェイスの入手および不正な再作成を抑止することができる。
【0026】
個人化された属性は、好ましくは、ユーザの口座の開設時にユーザとサービスプロバイダとの間の関係が最初に確立された時点で、または、サービスプロバイダを介して口座に対してユーザが最初にアクセスを試みる少なくとも前に、ユーザにより選択される。この時点で、ユーザは、選択肢のリストから、または自分自身の好みから、グラフィカルインターフェイス内に組込まれる個人化要素を指定することができる。したがって、個人化されたグラフィカルインターフェイスは、一旦作成されると、ユーザによって瞬時に認識可能となり、多くの考え得る変形例の中からインターフェイス内に組込まれているものを推
量しようとする不正なエンティティによる再作成が、ほぼ不可能となる。
【0027】
インターフェイスが個人化されることにより、ユーザは、偽のインターフェイスを複数のユーザに自動的に大量配信することによる、知能を用いないインターフェイスの作成が行なわれないことを認識することができる。この自動的な大量配信は、「フィッシング」等のコンピュータ攻撃において試みられ得る。フィッシングでは、疑いを持たないユーザをおびき寄せて慎重な取扱を要する情報または機密情報を開示させようとして、不正なエンティティが本物のインターフェイスの再作成を試みる。しかしながら、真のインターフェイスが個人化されることにより、ユーザは、偽のインターフェイスが表示されたときに、その偽のインターフェイスが存在する恐れがあるとの警告を受ける。フィッシャーによる、個人化されたこのようなインターフェイスの複製が極めて難しいか、または不可能であることにより、このことは、フィッシングを忌避する助けとなり、したがって、エンドユーザの信頼度の獲得を促す。このようなアプリケーションは、相互認証プロセスとして公知である。
【0028】
フィッシングおよび他の攻撃からのさらに別の防護は、ユーザ名と、正規のサーバにアクセスするための特定のコンピュータとを最初に相関付けることより提供され得る。特定の予め識別されたコンピュータ以外のコンピュータからユーザ名を入力しようとすると、ユーザの口座にアクセスを試みる人物に対して誰何の質問を提示する誰何インターフェイスが提示される。たとえば、図31Dに示すように、誰何インターフェイス166は、正規のユーザにのみ答えが認識されている1つ以上の質問167を提示し得る。誰何の質問にうまく答えることができれば、ユーザは個人化された認証インターフェイスにアクセスすることができ、失敗すると、認証プロセスが終了する。この誰何インターフェイスもまた、本明細書に記載する方法を用いて個人化されて、システムにセキュリティをさらに付加することができる。
【0029】
ユーザが多数の異なるコンピュータから正規のサーバにアクセスすることを求められる場合、ユーザは、その正規のサーバに対し、当該サーバへのアクセス用に使用し得るコンピュータのリストを提供することができる。したがって、リストに掲載されていないコンピュータからユーザの口座にアクセスを試みる者に対してのみ、誰何インターフェイスが提示される。
【0030】
これらの個人化属性が、異なる種類のインターフェイスと組合せて実施されることで、これまでに記載したコンピュータ攻撃に対する防護を行なうことができ、具体的に記載した実施例に限定されないことが企図される。本明細書に記載するインターフェイスの実施例はいずれも、個人化された属性を用いて変更することが可能である。たとえば、図31Bに示す、標準的なテキスト入力ボックスを用いたインターフェイスの個人化は、これらの種類のインターフェイスに対して防護を提供する。アーカイブされた文書のオンライン検索を可能にする別の種類のインターフェイスもまた、送信元の検証としてこの態様で個人化されて、指定されたユーザにのみアクセスを許可することができる。図31Eは、アーカイブされた文書169の検索を可能にするインターフェイス168が、ユーザの認証前において、その特徴の一部またはすべてを隠蔽し得ることを開示している。
【0031】
図4は、ユーザコンピュータ40を含む一般的な先行技術のシステム39と、当該コンピュータ40に情報を入力するユーザ42とを示すブロック図である。コンピュータおよびインターネットはいずれも、セキュリティを念頭において設計されていない。セキュリティは後からの発想に過ぎず、ユーザが自分のコンピュータを用いてインターネットを通じて行なう一般的なトランザクション内において、例示的なさまざまな弱さか、または、データが脆弱性を有し得る地点を示す。コンピュータ40は、ネットワークを介してコンピュータ/サーバ49に接続される。図4に示すように、慎重な取扱を要する情報は、た
とえばHTTPSを用いて47において暗号化され得、その後、ネットワークを通じてユーザのコンピュータシステム39から遠隔サーバ49に送信される。しかしながら、システム39およびコンピュータ40は情報の盗用に対して脆弱である。なぜなら、コンピュータ40内への入力地点と暗号化プロセスが呼出される地点との間で情報が未処理の形態のまま存在するためである。本発明では、入力地点と暗号化の地点との間のすべての地点を一般に、抜け穴41と称する。図4に概略的に示すように、機密データは42においてユーザにより作成され、暗号化されていない形態でIO機器43を介してユーザのコンピュータシステム内に41Aにおいて入力された後、45におけるCPUおよびカーネルならびに支援チップを介して、41Bにおいてオペレーティングシステム(OS)44内に流入し、41Cにおいてアプリケーション46に流入する。アウトバンドの暗号化されていないデータは次に、41Dにおいて流れ、47において暗号化され、経路41Eおよび41Fを介してOS44およびI/O機器43に渡された後、48で示すルータまたは他のネットワーク機器を用いて経路41Hを介し、41Gにおいてコンピュータ40によりサーバ49に送信される。上記の例示的な特定の抜け穴41A〜41Hに加え、ネットワークの脆弱性により、クロスサイトスクリプティングプログラム、キーボードロガー、マウスクリックロガー、スクリーンキャプチャ、およびミドルソフトウェアにおける人間等の脅威により、慎重な取扱を要する情報は、暗号化される前の未処理の形態で入手される恐れがある。したがって、ユーザのコンピュータシステムから出たデータが暗号化されていても、ネットワークは破壊され得る。なぜなら、暗号化プロトコルが、抜け穴のどこにおいても、たとえば、場所41A〜41Hに示すデータの流れに沿ったどのような地点においても、バイパスされ得るか、または破壊され得るためである。この発明の実施例は、入力の時点から遅れることなく認証情報を暗号化し、したがってこれらの抜け穴を閉じる、ユーザ認証身分証明等のデータの入力を可能にするためのシステムおよび方法を提供する。
【0032】
図5は、この発明のいくつかの実施例を説明するために、従来のグラフィカルキーパッド52を示す。図6〜図8は、データ入力の選択肢としてキーパッドの歪みを含むことにより、従来のセキュリティよりも高いセキュリティを提供するように構成される、好ましいセキュリティキーパッドグラフィカルインターフェイス54、56、および58を示す。この実施例は、図5のキーパッドインターフェイス52に比べてユーザのキーパッドインターフェイスを歪ませることにより、「画像歪み」として公知の歪み型と称される。この歪みは、人間のユーザによる画像内の番号または他の記号の容易な識別を可能にするが、スクリーンキャプチャ/OCRおよびx−y座標ロガーが、マウスまたは他のポインティング装置のクリックを、インターフェイスの特定のキーにリンク付けすることを防止する。図6は、歪みの例示的な一例を示しているが、実質的に無限の数の歪みの順列および組合せを生じて、X軸およびY軸上のウィンドウの範囲内で番号、文字、または他の記号の画像を歪ませて、当該画像が未認証の状態で復号される可能性を減じることができる。たとえば、図7は、図5の先行技術のキーパッド52に示す空間関係に比べ、キーパッド上に示される番号および特徴の空間関係が互いに異なるものを提供または表示するように歪ませたキーパッド56を示す。図8では、歪ませた別のグラフィカルキーパッド58インターフェイスが示される。この実施例では、キーパッド58の背景の特徴が点線で表示されて、図5の従来のキーパッドで使用されたものとは異なる色またはグレースケールの陰影付けが使用されていることを示す。情報を成功裡に盗用するための基盤とは、画面の表示を入手してそれを用い、情報の今後の入力を予測し得ることである。認証セッションの開始毎に、サーバがクライアントに異なる画像を送信すると、今後の挙動を予測するための基盤として入手した情報の使用が難しくなる。図6から図8の実施例に関し、画像は、さまざまな従来の数学的アルゴリズム、たとえばテクスチャ/歪み/ノイズ/画素/等のフィルタを用いることにより歪ませることができる。これらの画像はその後、サーバ上においてリアルタイムでランダムに選択され得、エンドユーザに表示され得る。さまざまなアルゴリズムを、画像に対してリアルタイムで適用するか、または予め適用することが
でき、これらのアルゴリズムはデータベースに格納される。
【0033】
図9および図10は、この発明の有用かつ好ましい代替的な実施例である、他の種類のグラフィカルインターフェイスを示す。図9において、インターフェイス60は、各々が番号を含むキーを取囲むキーパッド表面に対してグレーの背景62を有していることが示される。この種の実施例において、インターフェイス60は陰影付けされており、陰影付けの度合いは、1つ以上のランダム画像処理アルゴリズムにより提供される。このようにして、キーパッドに関して多数の考え得る配列および組合せが提供される。あらゆるグラフィック画像のファイルの実際のサイズは、純粋に、画像の解像度または画像内で表示される画素/インチの関数である。これらもまた、画像の品質を決定する。サーバはその後、不正なエンティティにより首尾よく使用されることを不可能にするさまざまなファイルのサイズを生成するために、実際には、付加的な値をその同じ画像にランダムにパディングし、エンドユーザに表示された画像を正確に識別することができる。なぜなら、視覚的に類似した同一の画像のファイルサイズが毎回同じではないことが考えられるためである。
【0034】
既に明らかであるが、この種の実施例は、キーパッドとの併用に限定されない。むしろ、キーボードまたは他の種類のインターフェイスが使用されてよい。また、本明細書で論じるこの種のおよび他の種類のインターフェイスの実施例(図示せず)では、X軸および/またはY軸を、コンピュータ画面内でわずかな量だけ変位させることができる。このような変位により、ユーザと、当該ユーザのコンピュータがネットワークを介して接続されている正規のサーバとであれば容易に理解することのできる、画面上に示されたデータが、データロガー型のソフトウェアによって正確に入手されることが一層難しくなる。図10を参照すると、別の陰影付け型の暗号化/復号化が示される。キーパッド64は、図9または図5のキーパッドの背景のいずれかとは異なることが示される背景66を有する。
【0035】
この発明で使用し、本明細書に記載するコンピュータ画面の画像の変位、背景の変更、ジッタ、および歪みは、従来のプログラミング技術により生成可能である。このような変位、背景の変更、ジッタ、および歪みは、入力データの画像が従来の画像ディスプレイ上でどのように見えるかについてユーザおよび正規のサーバが認識している見え方を基準として、ユーザの画面上に表われる当該データの画像の空間関係を変更するのに効果的である。これらの空間関係の変更は、小さいことが好ましく、すなわち、すべてがメインウィンドウ内に収まることが好ましく、以下に説明するように、ランダムにされることが好ましい。このようにして、このような空間関係の変更は分かりにくいものとなっており、コンピュータプログラムによる暗号化データの復号を充分に抑止することができる。
【0036】
図11および図12を参照すると、この発明の別の種類のグラフィカルインターフェイスの実施例が示される。これらの画像は、数字上をユーザがクリックすることに応答して、ネットワークを通じて送信されている実際のデータを示す。これらの値は、サーバによりリアルタイムで生成された後に、画像と共にクライアントに送信される。クライアントは、クリックを解釈すると、予め割当てられたデータをサーバに送り返す。サーバは、予め格納された値に基づき、対応する画像を容易に識別する。したがって、これらの2つの図は、この発明のハッシュ型の暗号化/復号化を示す。図11の左側では、従来のキーパッドの画像68が表示される。右側では、点線でハッシュされた表示70が示され、キーの各々は、ランダムな順序で配列されたいくつかの文字を有する。この実施例では、クライアントにマッピング命令を送信するためにサーバが使用され、それにより、たとえばユーザが「0」を入力すると、クライアントは「0」を「ej」にマッピングし、「ej」をサーバに送信する。サーバは、認証セッション毎に、異なる組のマッピング命令を送信し、それにより、認証セッション毎に、本物のデータの完全に異なるマッピングおよび送信が生じる。図12は、ユーザのクライアントコンピュータに対してサーバが送信する異
なる組のマッピング命令を表わすために、左側には同一の従来のキーパッド画像68を示しながらも、異なるハッシュされた表示72を有することを示して、この特徴を示す。ハッシュされた表示72は、各キーに関し、異なる、好ましくはランダム化された組の文字を有する。明らかなように、ハッシュされたキーパッドに対して他の記号を用いてよい。ここでもまた、認証セッション毎に使用されるランダムな異なるマッピングにより、ユーザのセキュリティ情報の盗用がほぼ不可能となる。
【0037】
図13〜図16を参照すると、シフト型の暗号化/復号化を用いるこの発明の他の好ましい実施例が示される。これらの画像は、大きな外側の背景内において数字インターフェイスのx値およびy値を変位する作用を表わす。x値およびy値を有限値でランダムに「ジッタ」または調節することにより、最終的な作用として、マウス位置のx,y座標の値が入手されたときに、それらの値が容易に使用されて、エンドユーザがクリックオンした数字自体の外挿による推定/識別が行なわれ得ないようにする。たとえば、図13において、先行技術のキーパッド74は、図14〜図16に対する基準点として示される。図14において、サーバは、クライアントに対し、76において実線で示した位置に対して(78において点線で)示したコンピュータキーパッドを送信する。認証セッション毎に、異なるマッピングアルゴリズムが使用され、それにより、ユーザの識別子の入力が容易に再現され得なくなる。この図において、マッピングされたキーパッドは、実線のキーパッドの画像表示76であることが示され、クライアントコンピュータに表示されたキーパッドの位置78に対して右下にシフトされていることが示される。異なる認証セッションのための異なるマッピングを表示する図15において、サーバ上に作成された実線のキーパッドの画像80は、クライアントコンピュータのディスプレイ上において、キーパッドの画像82から右上にシフトされている。図16では、サーバ上に作成された、マッピングされた実線の画像84は、クライアントコンピュータのディスプレイ上に示されるキーパッドの画像86の左下にシフトされている。この発明において、ジッタという用語は、図14〜図16に示す歪みの種類を指すように規定され、この用語は、インターフェイスを「ジッタ」する、等において使用される。
【0038】
図17および図18は、チェックサム型の暗号化/復号化と称される、この発明の別の実施例を示す。画像内の各画素は、画像内の位置によって決まる「x」値および「y」値により規定される一意の2次元識別子を有する。この図は、数字インターフェイス内の数字7内のサンプル画素を表わすために使用される画素のRGB値を示す。R、G、およびBの一意の値を取り、それらの値を加算して、x、yの値も加算することにより、画素のR、G、またはBの値のうちの1つが少ししか異なっていない場合でも、画像により表わされる合計値が別の画像とは一致しない場合があることが分かる。図17に示すように、キーパッド88は、或る予め定められた色で示される数字7を有するキー90を有する。その数字7は、当該数字に関連付けられたxおよびyの位置と、当該色の赤(Rまたは「r」)値、緑(Gまたは「g」)値、および青(Bまたは「b」)値とを有する。R、G、およびBの各々に割当てられた一意の値を取り、それらをxおよびyの値と共に加算することにより、合計値を求めて、その画素を表わすことができる。各画素に対して、または選択された数の画素に対してそのプロセスを繰返すことにより、画像についての合計値または画像の一部についての合計値を求めることができる。図17のボックス92は、6個の隣接する画素を表わし、異なる陰影付けは、5個の値の少なくとも1つにおける何らかの差を示す。図17に示すように、ボックス94において、割当てられた「x」値は「70」であり、割当てられた「y」値は「111」であり、割当てられた赤または「r」値は「211」であり、割当てられた緑または「g」値は「211」であり、割当てられた青または「b」値は「211」である。この画素についての合計値は「j」で表わされる。ボックス96に示すように、隣接する画素は、割当てられた値を同様の態様で有するが、唯一の差として、「x」値が「1」だけ変化しており、合計の「x」値が「71」となり、したがって、1だけ異なった、異なる合計値「w」を生じる。同様に、図18は、
キーパッド画像94と、同じ位置に配置される「7」とを示すが、「r」、「g」、および「b」値が異なっているため、合計値「j」が異なる。また、隣接する画素は、図17の対応する画素とは異なる「r」、「g」、および「b」値を有する。したがって、画像のファイルサイズは、画素のR、G、またはBの値の1つがわずかに異なるだけでも、別の画像のファイルサイズと一致しないことが考えられる。これらの変動は、グレースケール画像または非RGB型画像にも適用することができる。
【0039】
図9〜図10および図17〜図18に示すファイルサイズおよびチェックサム型の暗号化に関し、画像の全体、および/または、キーボード上の個々のキーの各々の画像が、異なるチェックサムおよび/またはファイルサイズを生じるようにキーボード画像を歪ませて、高度なスクリーンキャプチャロガーによる、個々のキーの各々の識別を回避することができる。
【0040】
図19は、図5〜図18に示す暗号化および復号化の種類に加え、以下に説明する図20〜図21に示す動的な暗号化/復号化の方法およびシステムについての一般的な実施プロセスを示すブロック図である。示されるように、サーバ上およびクライアントコンピュータ上において、すなわち、図5〜図18に示すキーパッドおよび/またはキーボードのグラフィカル認証インターフェイスの実施例のためのシステムのクライアントエンドおよびサーバエンド上において、別個のプロセスが使用される。図19から分かるように、暗号化および復号化のプロセスは、本質的に非対称である。なぜなら、暗号化側よりも復号化側が必要とするステップの数が少ないためである。
【0041】
好ましくは、3段階のプロセスを用いて、図5〜図18に示す種類の、セキュアであって一意のキーボードグラフィカル認証インターフェイスを作成する。第1段階では、暗号化されたキーが生成されて、キーボードの一意のグラフィック文字にマッピングされる。次のステップでは、キーボードのグラフィックイメージが、X,Y軸のより大きな範囲内でランダムに変位される。第3段階では、このグラフィカルイメージを、公知の画像処理アルゴリズムを用いて有限の態様で歪ませる。これらの画像を歪ませる、すなわち、暗号化するレベルまたは程度は、個々のキーボードのキー画像を視覚的に解読するエンドユーザの能力によってのみ制約される。上記の暗号化のステップは、好ましくは、経時的に画像の解読をより一層難しくするために、インターフェイスを使用する度に一意とされる。
【0042】
図19から分かるように、復号化のプロセスは、好ましくは2段階である。第1の復号化の段階において、ユーザは、暗号化されたキーボード(XおよびYの変位、ならびにグラフィック歪みは、暗号化に使用された2段階である)を視覚的に解読し、認証情報を入力するためにキーボードインターフェイス上のキーを選択する。第2の復号化の段階において、キーボードのマッピングは、マッピングそのものを参照することにより、サーバ上で復号される。
【0043】
図20は、この発明の別の実施例に従った、最も好ましくは、マウスのクリックおよび/またはキーボードのナビゲーションを用いて英数字記号およびグラフィック記号を整列させることによりコンピュータシステム内に入力される認証情報のための暗号化/復号化を可能にする、動的でグラフィカルな、ホイールの多要素インターフェイスを示す。ホイール上においてマーカーとして使用される色/アイコン/形状/形態もまた、エンドユーザにより予め定められたか、またはサービスプロバイダにより事前に決定された論理に基づいて生成され得る。これにより、エンドユーザは、自分自身の個人化されたホイールとしてホイールを作成し、その後、そのホイールを識別することができる。ユーザがマーカーをその場で(on the fly)選択することから、この実施例は、動的なシステムおよび方法と呼ばれる。図20に示すホイールグラフィカルユーザインターフェイス(GUI)200は、従来技術を用いてサーバ上において生成され、好ましくは、データ入力の時点に
暗号化を行なうための2つの同心のホイール202および204を含む。ユーザは、単に、「右矢印」ボタン206上で誘導的なマウスのクリックを介して、および/または、反時計回りの回転を得るためにキーボードを用いることにより、そして、反時計回りの回転を得るための「左矢印ボタン」208を用いることにより、内側ホイール202上の基準点を、外側ホイール204上における、ユーザ名フィールド210またはパスワードフィールド212の次の要素に誘導して、データの各要素を入力する。マーカーとも呼ばれ、内側ホイール202上に位置付けられる基準点は、入力時にユーザによってのみ選択され、当該ユーザにのみ認識されている。したがって、ユーザID、パスワード等の特定の要素の身元を見分けることが、さまざまなスパイソフトウェアおよび「肩越しの」スパイを含む外部者にとって難しくなる。換言すると、ユーザはまず、自分の心の中で基準点マーカー、すなわち仮想マーカーを選択する。ユーザは単に、内側ホイール202上の選択された基準点/仮想マーカーを、外側ホイール204上にある、ユーザ名フィールド210またはパスワードフィールド212等の識別子の選択された要素に誘導して、識別子を入力する。本明細書では、この識別子をコードまたはアクセスコードとも呼ぶ。マーカーは、エンドユーザのみが認識しており、識別子の要素のすべてがシステム内に入力されるセッションの持続時間にわたって不変である。ユーザは、コードの第1の要素、たとえばユーザIDの入力から始める。次にユーザは、当該コードの次の要素の各々を順番に入力する。ユーザが「入力(ENTER)」ボタンをクリックして、コードのこのようにして暗号化された要素を入力すると、「次(NEXT)」ボタンをクリックする。ホイール202および204上の記号はその後、好ましくはランダム化され、ユーザは、内側ホイール上の選択された記号がコードの次の要素に順次一致するように、または、コードの次の要素に隣接して順次位置付けられるように内側ホイール202を回転させ、「入力」をクリックする。その後、システムは、第1の要素の選択および入力後に画面表示がランダム化された時点から、内側ホイール802が静止するまで動かされた実際の程度または回転変位に対応するデータをサーバに送信する。換言すると、ユーザが第2の要素を選択した時点で生じるホイール802の変位の程度として、または、当該変位を表わす他の何らかの形態で、変位情報がサーバに送信される。「次」をクリックして表示をランダム化し、内側ホイール202を回転させて、選択されたマーカーを次のコード要素に順次一致させるというこのプロセスは、特定の識別子についての全コード要素がシステム内に入力されるまで繰返される。
【0044】
データベース内のサーバにより通常ホストされる画像記号およびマーカー記号の順序付けは、配列の形態でネットワークを通じてGUIに送信されて表示される。サーバはまた、以前に述べたように、記号画像をネットワーク経由で送信する前に、当該記号画像上に他の形態の暗号化のいずれかを適用するようにもプログラミングされ得る。コードの要素がシステム内に入力される毎にマーカー記号の順序付けがランダム化されることが好ましく、このことは、従来技術を用いて行なわれ得る。識別子の要素の順序付けもランダム化され得るが、殆どのアプリケーションにおいて、各セッション中にはランダム化されないことが好ましい。
【0045】
図示しない別の実施例として、マーカーおよび/またはデータ要素についての記号の組は、個人化され得るか、一意にされて、ユーザの好みに基づくようにされ得るか、または、サービスプロバイダにより設定され得る。この一意性により、正しい認証機器/GUIがユーザにより使用されることがさらに確実となる。この任意の特徴は、同一の不法なGUIまたはなりすましのGUIが、エンドユーザの身分証明、認証データ、または他のコードの入力用にエンドユーザに送信される恐れを実質的に排除する。好ましい一実施形態において、ユーザの対話により生じたGUI上の変位は、識別子の配列を基準としてマーカーの配列の索引をシフトすることにより、計算されるか、または求められる。その後、各要素について、結果的に得られる各マーカー索引の変位値は、ネットワークを通じてサーバに送信される。正しいコードを認識するようにサーバがプログラミングされているた
め、サーバは、識別子の第1の要素の入力に対応する変位を用いて、ユーザがそのセッション用に選択したマーカーを求めることができる。その後、サーバは、以降の変位が、そのセッション用にユーザが選択したマーカーの変位にのみ対応することを検証することにより、以降の各要素を認証することができる。
【0046】
任意に、図20に見られる「入力」ボタンを用いて、ユーザ名フィールド210またはパスワードフィールド212についての要素のすべてが入力されたことを示すことができる。図示されるボタン指示子は単に例示であり、この発明の実施例で他のボタン指示子を使用してよい。代替的に、他のアプリケーションにおいて「入力」ボタンをなくすことができる。認証識別子、たとえばユーザ名またはパスワードが予め定められた一定の長さであるシステムでは、「入力」ボタンが必要とされないことが考えられる。
【0047】
図20に示す暗号化/復号化の種類に関しても、好ましくは、入力された要素は、「肩越しの」スパイによるこの情報の視認を防止する助けとして機能するように、ユーザ名フィールド210またはパスワードフィールド212のいずれかに表示されない。各フィールド内にアスタリスクまたは他の適切な記号を表示して、要素の入力を知らせることができる。この発明の図20の種類の実施例において、識別子という用語は、好ましくは、ユーザID、パスワード、および/またはPINを指す。しかしながら、上で述べたように、この用語は、ユーザが暗号化およびシステム内への入力を望み得る、実質的にあらゆる情報を指し得る。たとえば、このような識別子は、名前、口座番号、社会保障番号、アドレスおよび電話番号を含み得る。また、上で述べたように、要素という用語は、システムにより認識される実質的にあらゆる記号であり得る。一般に、要素は、ユーザIDおよびパスワードの文脈で使用する場合、特定の順序で明記される英数字記号である。この発明のさまざまな実施例において、マーカーという用語は、ここでもまた、システムが認識する実質的にあらゆる記号を指し得る。便宜上、マーカーは、非英数字記号であることが好ましい。
【0048】
図20に示す種類の好ましい実施例によると、サーバは、マーカーの配列を、ランダム化された一連のマーカーで予め埋める(pre-populate)ように形成される。任意に、ランダムに生成されたマーカー候補の複数の組を生成して、使用すべき識別子の数を説明することができ、また、図20において番号は付されていないが図示されるように、また、図21を参照して以下にさらに説明するように、リセット(RESET)ボタンの使用時に利用可能な多数のさらに別の組を提供することができる。たとえば、「BANK」等の4要素の識別子において、候補マーカーの組の数は20以上であり、したがって、各マーカーに対し、5個のリセットが提供される。
【0049】
上で論じたように、識別子の各要素の入力に関連付けられる変位を表わす値は、サーバに送信されて、当該サーバにより復号される。サーバは、特定の認証情報用にユーザが選択するあらゆる特定のマーカーについての正しい要素および考え得るマーカー挙動だけでなく、画像の詳細、たとえば「ジッタ」、ファイルサイズ、チェックサム、歪み、シフト、およびこのような種類の画像の詳細の組合せについて認識しているため、しかるべき論理に基づいてマーカー要素を推論する。このようなアプリケーションにおいて、図19のブロック図が同様に当てはまるが、このブロック図のチャートは、本明細書に記載するホイール型の暗号化/復号化の動作に関連し、かつ、当該動作を適用する段階を含んでいなければならない。
【0050】
ホイール型のプロセスのための論理は、しかるべき識別子の第1の文字を認識しているサーバが、第1の識別子の要素を入力するためにユーザが選択したマーカーを探索する、というものである。またサーバは、そのセッションに使用される見込みのあるマーカーも認識している。識別子の第2の入力、および以降の入力の各々において、サーバは、同一
かつ正しいマーカーが使用されていることを識別し、検証する。したがって、システムは、そのセッションについて、ユーザが正しい認証識別子を入力したかどうかを判断することができる。変位座標はセッションに固有であり、そのセッションが一旦終了すると使用することができない。認識され得るように、このような暗号化および復号化は常に、システム内への入力の時点でランダムに生成された、一意の、実質的に盗用が不可能な変位情報を使用する。
【0051】
セッション毎にランダム化されたマーカーの多数の組を作成する例に関し、図20の表示は、ランダムな順序で最初に編成された、考え得るマーカーの第1の組を有する内側ホイール202を示す。識別子データの要素を入力し終わる度に、内側ホイール上のマーカーは、サーバにより規定またはランダム化されかつ上で述べた次の組内でランダム化されたマーカーで置換される。
【0052】
識別子の要素の入力の一例として、また、図20を参照して、ユーザの識別子が「BANK」という語であるものと仮定する。この発明に従ってこの識別子を入力するために、ユーザは、環状領域内の16個の線描された区分のうちの1つ内、または、上で内側ホイール202と呼ばれたすべてのマーカーを含むインターフェイスのセクタ内において、マーカーを心の中で選択する。図20に示すように、16個のこのようなセクタが使用されているが、これよりも少ないか、または多くのセクタを有するインターフェイスが有用であり、この発明の範囲内に入る。60個の識別子の要素を用いるアプリケーションに関しては、マーカー、すなわちセクタの最も好ましい数は16である。
【0053】
【数1】
【0054】
好ましくは、「入力」ボタンは、識別子の最後の要素が入力されたことを示すため、ユーザが作動させるために設けられる。代替的に、「入力」ボタンは、必要とされない場合、たとえば、識別子が予め定められた一定の長さを有する場合、使用される必要はない。
【0055】
代替的な実施例によると、内側ホイール、外側ホイール、およびセクタは、相互に交換可能であり得る。換言すると、マーカーは、外側ホイールのセクタ上に配置され得、外側ホイールのセクタから選択され得、内側ホイールは、識別子の要素を含む。別の代替的な実施例において、外側ホイールは回転可能に形成され得る。
【0056】
図21は、ユーザがその場でマーカーを選択し、かつ、マーカーの動きを基準とした、識別子の要素を含む領域の相対移動が回転性ではなく線形性である、別の種類の動的なグラフィカル認証インターフェイスを示す。下側バー上のマーカーまたはエンドユーザに割当てられたPINとして使用される色/アイコン/形状/形態もまた、エンドユーザまたはサービスプロバイダにより予め定められ得る論理に基づいて生成され得る。これにより、エンドユーザはここでもまた、個人化されたスライダを識別することが可能になる。
【0057】
【数2】
【0058】
ユーザ名、パスワード、他の識別子、またはコードの入力をユーザが再開できるように、好ましくは「リセット」ボタン234が設けられる。同様のリセット機能が、他の実施例、たとえば図20に示されているが、番号が付されていないものと共に使用されてもよい。アイコン236が任意に設けられ、好ましくは、画像内に設けられて識別子フィールドの要素の入力状況を表示し、ユーザ名またはパスワードのいくつの要素が入力済みであることを示す。好ましくは、入力された要素は、「肩越しの」スパイによるフィールド情報の視認を防止する助けとして、ユーザ名フィールド218またはパスワードフィールド220のいずれかに表示されない。代替的に、各要素の入力を知らせるために、入力の入力部分内にアスタリスクを示すことができる。
【0059】
代替的な実施例によると、図21に示す列は、相互に交換可能であり得、すなわち、マーカーは、上列から選択可能であるように形成され得、この上列は、当該マーカーを誘導するためにユーザによりスライド可能であるように形成され得、下列は、識別子の考え得る要素を含むように形成され得る。
【0060】
代替的に、図20のホイール上の要素および/またはマーカー、ならびに、図21の列内の要素および/またはマーカーは、ユーザにカスタマイズされ得、たとえば、動物、人物、風景、または他のあらゆる画像の絵であり得る。代替的に、マーカーは、ユーザによ
り認識され、かつ、サーバにより予め規定された論理を使用することができる。
【0061】
図20および図21のユーザインターフェイスは、2つの識別子、たとえば、ユーザ名およびパスワードを有していることが示される。しかしながら、この発明は、2つの要素に限定されず、さらに別の要素がこの発明の範囲内に含まれてよい。たとえば、PINコードを追加して、この暗号化/復号化システムを、3つの識別子のシステムにすることができる。
【0062】
上の図で示したグラフィカルインターフェイスの各々は、好ましくは、当業者に公知の従来のソフトウェア、たとえば、MACROMEDIA FLASH(登録商標)ブランドのソフトウェアもしくはJAVA(登録商標)ブランドのソフトウェアを用いるか、または、SVG(登録商標)標準を用いて生成され、ユーザ機器に送信される。好ましい実施例では、グラフィカルインターフェイスを生成するためにFLASH(登録商標)ソフトウェアが使用される。
【0063】
この発明の特定の実施例を説明してきたが、さまざまな変形、変更、代替的構成、および等価物もまた、この発明の範囲内に包含される。
【0064】
したがって、明細書および図面は、限定的な意味ではなく、例示的な意味で捉えられる。しかしながら、クレームに明記される本発明のより広い精神および範囲から逸脱することなく、この発明に対して、追加、削減、削除、および他の変形および変更を行なってよいことが明らかである。
【0065】
図22〜図28を参照して、この発明のさまざまなプロセスの特徴のブロック図を説明する。図22において、サーバは、図20または図21の実施例で示され、かつ当該実施例で使用するための、ユーザに個人化されていないマーカーを獲得し、利用可能なマーカーのリストから何らかの数である「n」個のマーカーをランダムに選択し、その後、当該マーカーをクライアントコンピュータのディスプレイに返す。図23に示すように、実質的に同一のプロセスが使用されるが、異なる点は、マーカーを獲得する際に、ユーザに個人化されたマーカーを含むデータベースにアクセスし、当該マーカーの組が選択されてランダム化されてから、クライアントコンピュータに返される点である。図24のブロック図では、クライアントコンピュータにおける好ましいプロセスフローが示され、ここで、プロセスは、ユーザがログインページを訪れることによって開始する。その後、クライアントは、サーバまたはローカルマシンからアプリケーションをロードし、ランダム化されたマーカーのリストの1つを取り出す。ユーザはその後、識別子または他のコードの要素を入力し、クライアントコンピュータは、ネットワークを通じてデータをサーバに送信する。すると、サーバはそのデータを処理し、当該識別子についてのデータ入力が成功裡に行なわれた場合、次のページに移動する。成功裡に行なわれなかった場合、サーバはクライアントコンピュータに制御を返し、別のランダム化されたマーカーのリストを獲得して、以前と同様にプロセスを継続する。
【0066】
図25は、暗号化を伴わずに行なわれるクライアント/サーバの対話を示すブロック図であり、図26は、暗号化を伴った対話を示す。図25において、クライアントコンピュータが要求を行ない、サーバは、マーカーのリストを獲得し、そのリストをクライアントに返す。図26では、同様の対話が行なわれるが、これに加え、サーバは、マーカーのリストを獲得してそのマーカーのリストをクライアントに返す前に、クライアントから受取ったデータを復号する。図27は、認証の対話を示し、ここで、クライアントから受取ったデータが一旦任意に復号されると、そのデータの認証が行なわれ、次にサーバは、クライアントに対し、成功または失敗の命令を返す。図28では、認証プロセスの詳細が述べられており、それにより、プロセスが開始されると、そのセッション用に選択されたマーカーのリストを用いて、マーカーに基づいた、文字に対する変位のマッピングが行なわれ
る。パスワード等の識別子の第1の要素に対してどのマーカーがユーザにより選択されたかについての判断が、暫定的な判断の基盤としてデータベース内に格納されたパスワードを用いることにより行なわれる。次に、システムは、マーカーによってなされた変位を比較することによって識別子の要素の残りの部分を検証し、識別子の正しい要素が各要素に関して順番に一致されたか否かを検証する。すべて正しい一致が生じていれば、サーバは「成功」の命令を送信して、認証が成功裡に終わったことを示す。すべて正しい一致が必ずしも生じなかった場合、サーバは「失敗」の命令を送信し、プロセスを再開する。
【0067】
図6〜図19の実施例で使用されるマッピングの種類に対して使用され得るコードの一例として、図29〜図30は、使用可能ないくつかの一般的な好ましい擬似ソースコード(pseudo source code)を提供する。しかしながら、図を参照して本明細書に記載されるこの発明の特徴を実施するために必要とされる符号化に関し、このような符号化がいずれも、この分野における当業者の通常の技量の範囲内に含まれ、特定のアプリケーションが容易に提供され得るものと考えられる。
【図面の簡単な説明】
【0068】
【図1】ユーザ認証を入力するために使用される例示的な先行技術のシステムを示す図である。
【図2】認証情報の入力を可能にするための、例示的な先行技術のキーパッドグラフィカルユーザインターフェイスを示す図である。
【図3】認証情報の入力を可能にするための、例示的な先行技術のキーボードグラフィカルユーザインターフェイスを示す図である。
【図4】ネットワーク経由でコンピュータ/サーバに接続されたユーザコンピュータにユーザが情報を入力することを可能にする一般的な先行技術のシステムを示すブロック図である。
【図5】図6〜図10に示すこの発明の実施例の新規の特徴の説明を容易にする働きをする、先行技術のキーボードの画像を示す図である。
【図6】この発明の実施例に従った、好ましい、歪み型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図7】この発明の代替的な実施例に従った、好ましい、歪み型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図8】この発明の代替的な実施例に従った、好ましい、歪み型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図9】この発明の代替的な実施例に従った、好ましい、ファイルサイズ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図10】この発明の代替的な実施例に従った、好ましい、ファイルサイズ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図11】この発明の代替的な実施例に従った、好ましい、ハッシュ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図12】この発明の代替的な実施例に従った、好ましい、ハッシュ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図13】図14〜図18に示すこの発明の実施例の新規の特徴の説明を容易にする働きをする、先行技術のキーボードの画像を示す図である。
【図14】この発明の代替的な実施例に従った、好ましい、シフト型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図15】この発明の代替的な実施例に従った、好ましい、シフト型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図16】この発明の代替的な実施例に従った、好ましい、シフト型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図17】この発明の代替的な実施例に従った、好ましい、チェックサム型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図18】この発明の代替的な実施例に従った、好ましい、チェックサム型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図19】図6〜図18の実施例について、ユーザエンドおよびサーバエンド上の好ましい暗号化および復号化プロセスを示すブロック図である。
【図20】この発明の代替的な実施例に従った、好ましい、動的かつグラフィカルなホイール型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図21】この発明の代替的な実施例に従った、好ましい、動的なスライダ型の、より高度なセキュリティのキーボードグラフィカル認証インターフェイスを示す図である。
【図22】この発明の、ユーザに個人化されていないマーカーの実施例に対する好ましい暗号化および復号化プロセスを示すブロック図である。
【図23】この発明の、ユーザに個人化されたマーカーの実施例に対する好ましい暗号化および復号化プロセスを示すブロック図である。
【図24】この発明の実施例で使用するための暗号化および復号化のための好ましいクライアントのプロセスフローを示すブロック図である。
【図25】認証プロセスのための先行技術のクライアント/サーバの対話を示すブロック図である。
【図26】この発明の実施例で使用するための、暗号化を伴った、好ましいクライアント/サーバの対話を示すブロック図である。
【図27】認証プロセスを示すブロック図である。
【図28】この発明の実施例で使用するための好ましい認証プロセスを示すブロック図である。
【図29】暗号化および復号化のプロセスの好ましい実施のための擬似ソースコードのリスティングを示す図である。
【図30】この発明のグラフィックの好ましい実施のための擬似ソースコードのリスティングを示す図である。
【図31A】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【図31B】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【図31C】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【図31D】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【図31E】この発明の代替的な実施例に従った好ましいグラフィカル認証インターフェイスを示す図である。
【特許請求の範囲】
【請求項1】
コンピュータ実施認証インターフェイスシステムであって、
コンピュータネットワークに接続されたサーバと、
前記コンピュータネットワークに接続されたユーザコンピュータとを備え、
前記ユーザコンピュータおよび前記サーバは、前記コンピュータネットワークを通じて互いに情報を送受信するようにプログラミングされ、前記コンピュータ実施認証インターフェイスシステムはさらに、
ユーザ名に相関付けられた、ユーザに固有の画像を含む組合せ画像と、入力インターフェイスとを含むグラフィカルインターフェイスを備え、
前記サーバは、前記ユーザコンピュータから受信した前記ユーザ名に応答して前記ユーザコンピュータに前記グラフィカルインターフェイスを送信するようにプログラミングされ、前記ユーザコンピュータは、前記サーバにより送信された前記グラフィカルインターフェイスを受信して表示するようにプログラミングされる、コンピュータ実施認証インターフェイスシステム。
【請求項2】
前記入力インターフェイスは、前記ユーザに固有の画像の上に重ね合わされる、請求項1に記載の認証インターフェイスシステム。
【請求項3】
前記グラフィカルインターフェイスはさらに、ユーザに固有のテキスト要素を含む、請求項1に記載の認証インターフェイスシステム。
【請求項4】
前記入力インターフェイスは、キーパッドまたはキーボードの形態を取る、請求項1に記載の認証インターフェイスシステム。
【請求項5】
前記ユーザに固有のテキスト要素は、予め選択されて、かつ、ユーザにより規定されたテキスト句からなる、請求項3に記載の認証インターフェイスシステム。
【請求項6】
前記ユーザに固有の画像は、動画要素または写真を含む、請求項1に記載の認証インターフェイスシステム。
【請求項7】
前記画像は、前記サーバによりチェックサム暗号化される、請求項1に記載の認証インターフェイスシステム。
【請求項8】
前記入力インターフェイスは、前記サーバによりシフト暗号化される、請求項1に記載の認証インターフェイスシステム。
【請求項9】
前記ユーザコンピュータは、ユーザ名インターフェイスを受信して表示するように、また、前記サーバに対し、前記ユーザ名インターフェイス内にユーザにより入力されたユーザ名を送信するようにプログラミングされ、前記サーバは、前記ユーザ名と、ユーザコンピュータの予め規定されたリストとを相関付けるようにプログラミングされ、前記サーバは、前記ユーザコンピュータの身元が前記予め規定されたリストに記載されたコンピュータのうちの1つに一致した場合、前記ユーザコンピュータに、個人化されたグラフィカルインターフェイスを送信するようにプログラミングされる、請求項1に記載の認証インターフェイスシステム。
【請求項10】
前記サーバは、前記ユーザコンピュータの前記身元がユーザコンピュータの前記予め規定されたリストに記載されたユーザコンピュータのうちの1つの身元に一致しなかった場合、前記ユーザコンピュータに第2のインターフェイスを送信するようにプログラミングされ、前記第2のインターフェイスは、前記ユーザから識別子を受取って前記ユーザの身
元を認証する、請求項9に記載の認証インターフェイスシステム。
【請求項11】
前記第2のインターフェイスは、前記ユーザ名に相関付けられた、ユーザに固有の画像により個人化されて、前記サーバの身元を検証する、請求項10に記載の認証インターフェイスシステム。
【請求項12】
前記グラフィカルインターフェイスはさらに、前記ユーザにより前記グラフィカルインターフェイス内に入力された特定の識別子に応答して表示されるデータベースから取り出された文書の画像を含む、請求項1に記載の認証インターフェイスシステム。
【請求項13】
前記画像の少なくとも一部は、識別子の入力前に視認可能であり、
前記文書の分かりにくくされた部分は、前記特定の識別子に応答して視認可能となる、請求項12に記載の認証インターフェイスシステム。
【請求項14】
前記入力インターフェイスはキーボードの形態を取り、
前記グラフィカルインターフェイスはさらに、予め選択され、かつ、ユーザにより規定されたテキスト句からなるユーザに固有のテキスト要素を含む、請求項13に記載の認証インターフェイスシステム。
【請求項15】
ユーザと、ユーザの情報を保持するエンティティとの間でのコンピュータ実施認証方法であって、前記エンティティは、前記情報に対するユーザアクセスを提供する前に、前記ユーザの身元を認証しなければならず、前記エンティティは、前記ユーザに相関付けられた、ユーザに固有の画像を含む組合せ画像と、入力インターフェイスとを含むグラフィカルインターフェイスを前記ユーザに提供し、それにより、前記ユーザは、前記情報にアクセスを試みる前に前記エンティティを認証することができる、コンピュータ実施認証方法。
【請求項16】
前記ユーザは、前記組合せ画像を提供する前記エンティティの身元を認証して初めて、識別子を入力して前記情報にアクセスする、請求項15に記載の方法。
【請求項17】
ユーザは、前記グラフィカルインターフェイスを受信する前に、前記エンティティにユーザ名を提供する、請求項15に記載の方法。
【請求項18】
前記グラフィカルインターフェイスはさらに、ユーザに固有のテキスト要素を含む、請求項15に記載の方法。
【請求項19】
前記グラフィカルインターフェイスは、前記エンティティによって暗号化される、請求項15に記載の方法。
【請求項20】
前記ユーザは、前記情報にアクセスするため使用されている特定のコンピュータを識別する識別子を提供し、前記エンティティは、前記特定のコンピュータを識別する前記識別子と、前記ユーザに関連付けられたコンピュータの予め規定されたリストに記載されたコンピュータとの一致を行なって初めて、前記グラフィカルインターフェイスを提供する、請求項17に記載の方法。
【請求項21】
ユーザと、ユーザの情報を保持するエンティティとの間でのコンピュータ実施認証方法であって、前記エンティティは、前記情報へのユーザアクセスを提供する前に、前記ユーザの身元を認証しなければならず、前記エンティティは、前記ユーザに入力インターフェイスを含むグラフィカルインターフェイスを提供して前記ユーザの前記身元を認証し、改良点として、
前記エンティティは、ユーザに相関付けられ、予め選択され、ユーザにより規定された画像と入力インターフェイスとの組合せを前記ユーザに提供し、それにより、前記ユーザは、前記画像が以前に指定された画像に対応する場合にのみ、前記入力インターフェイス内にユーザ識別子を入力する、コンピュータ実施認証方法。
【請求項22】
前記エンティティは、前記ユーザが、予め選択され、ユーザにより規定されたコンピュータから前記情報へのアクセスを試みている場合にのみ、予め選択され、ユーザにより規定された画像と入力インターフェイスとの組合わせを提供する、請求項21に記載のコンピュータ実施認証方法。
【請求項23】
前記エンティティは、前記ユーザが予め選択され、ユーザにより規定されたコンピュータ以外のコンピュータから前記情報へのアクセスを試みている場合、前記ユーザに誰何インターフェイスを提供する、請求項22に記載のコンピュータ実施認証方法。
【請求項1】
コンピュータ実施認証インターフェイスシステムであって、
コンピュータネットワークに接続されたサーバと、
前記コンピュータネットワークに接続されたユーザコンピュータとを備え、
前記ユーザコンピュータおよび前記サーバは、前記コンピュータネットワークを通じて互いに情報を送受信するようにプログラミングされ、前記コンピュータ実施認証インターフェイスシステムはさらに、
ユーザ名に相関付けられた、ユーザに固有の画像を含む組合せ画像と、入力インターフェイスとを含むグラフィカルインターフェイスを備え、
前記サーバは、前記ユーザコンピュータから受信した前記ユーザ名に応答して前記ユーザコンピュータに前記グラフィカルインターフェイスを送信するようにプログラミングされ、前記ユーザコンピュータは、前記サーバにより送信された前記グラフィカルインターフェイスを受信して表示するようにプログラミングされる、コンピュータ実施認証インターフェイスシステム。
【請求項2】
前記入力インターフェイスは、前記ユーザに固有の画像の上に重ね合わされる、請求項1に記載の認証インターフェイスシステム。
【請求項3】
前記グラフィカルインターフェイスはさらに、ユーザに固有のテキスト要素を含む、請求項1に記載の認証インターフェイスシステム。
【請求項4】
前記入力インターフェイスは、キーパッドまたはキーボードの形態を取る、請求項1に記載の認証インターフェイスシステム。
【請求項5】
前記ユーザに固有のテキスト要素は、予め選択されて、かつ、ユーザにより規定されたテキスト句からなる、請求項3に記載の認証インターフェイスシステム。
【請求項6】
前記ユーザに固有の画像は、動画要素または写真を含む、請求項1に記載の認証インターフェイスシステム。
【請求項7】
前記画像は、前記サーバによりチェックサム暗号化される、請求項1に記載の認証インターフェイスシステム。
【請求項8】
前記入力インターフェイスは、前記サーバによりシフト暗号化される、請求項1に記載の認証インターフェイスシステム。
【請求項9】
前記ユーザコンピュータは、ユーザ名インターフェイスを受信して表示するように、また、前記サーバに対し、前記ユーザ名インターフェイス内にユーザにより入力されたユーザ名を送信するようにプログラミングされ、前記サーバは、前記ユーザ名と、ユーザコンピュータの予め規定されたリストとを相関付けるようにプログラミングされ、前記サーバは、前記ユーザコンピュータの身元が前記予め規定されたリストに記載されたコンピュータのうちの1つに一致した場合、前記ユーザコンピュータに、個人化されたグラフィカルインターフェイスを送信するようにプログラミングされる、請求項1に記載の認証インターフェイスシステム。
【請求項10】
前記サーバは、前記ユーザコンピュータの前記身元がユーザコンピュータの前記予め規定されたリストに記載されたユーザコンピュータのうちの1つの身元に一致しなかった場合、前記ユーザコンピュータに第2のインターフェイスを送信するようにプログラミングされ、前記第2のインターフェイスは、前記ユーザから識別子を受取って前記ユーザの身
元を認証する、請求項9に記載の認証インターフェイスシステム。
【請求項11】
前記第2のインターフェイスは、前記ユーザ名に相関付けられた、ユーザに固有の画像により個人化されて、前記サーバの身元を検証する、請求項10に記載の認証インターフェイスシステム。
【請求項12】
前記グラフィカルインターフェイスはさらに、前記ユーザにより前記グラフィカルインターフェイス内に入力された特定の識別子に応答して表示されるデータベースから取り出された文書の画像を含む、請求項1に記載の認証インターフェイスシステム。
【請求項13】
前記画像の少なくとも一部は、識別子の入力前に視認可能であり、
前記文書の分かりにくくされた部分は、前記特定の識別子に応答して視認可能となる、請求項12に記載の認証インターフェイスシステム。
【請求項14】
前記入力インターフェイスはキーボードの形態を取り、
前記グラフィカルインターフェイスはさらに、予め選択され、かつ、ユーザにより規定されたテキスト句からなるユーザに固有のテキスト要素を含む、請求項13に記載の認証インターフェイスシステム。
【請求項15】
ユーザと、ユーザの情報を保持するエンティティとの間でのコンピュータ実施認証方法であって、前記エンティティは、前記情報に対するユーザアクセスを提供する前に、前記ユーザの身元を認証しなければならず、前記エンティティは、前記ユーザに相関付けられた、ユーザに固有の画像を含む組合せ画像と、入力インターフェイスとを含むグラフィカルインターフェイスを前記ユーザに提供し、それにより、前記ユーザは、前記情報にアクセスを試みる前に前記エンティティを認証することができる、コンピュータ実施認証方法。
【請求項16】
前記ユーザは、前記組合せ画像を提供する前記エンティティの身元を認証して初めて、識別子を入力して前記情報にアクセスする、請求項15に記載の方法。
【請求項17】
ユーザは、前記グラフィカルインターフェイスを受信する前に、前記エンティティにユーザ名を提供する、請求項15に記載の方法。
【請求項18】
前記グラフィカルインターフェイスはさらに、ユーザに固有のテキスト要素を含む、請求項15に記載の方法。
【請求項19】
前記グラフィカルインターフェイスは、前記エンティティによって暗号化される、請求項15に記載の方法。
【請求項20】
前記ユーザは、前記情報にアクセスするため使用されている特定のコンピュータを識別する識別子を提供し、前記エンティティは、前記特定のコンピュータを識別する前記識別子と、前記ユーザに関連付けられたコンピュータの予め規定されたリストに記載されたコンピュータとの一致を行なって初めて、前記グラフィカルインターフェイスを提供する、請求項17に記載の方法。
【請求項21】
ユーザと、ユーザの情報を保持するエンティティとの間でのコンピュータ実施認証方法であって、前記エンティティは、前記情報へのユーザアクセスを提供する前に、前記ユーザの身元を認証しなければならず、前記エンティティは、前記ユーザに入力インターフェイスを含むグラフィカルインターフェイスを提供して前記ユーザの前記身元を認証し、改良点として、
前記エンティティは、ユーザに相関付けられ、予め選択され、ユーザにより規定された画像と入力インターフェイスとの組合せを前記ユーザに提供し、それにより、前記ユーザは、前記画像が以前に指定された画像に対応する場合にのみ、前記入力インターフェイス内にユーザ識別子を入力する、コンピュータ実施認証方法。
【請求項22】
前記エンティティは、前記ユーザが、予め選択され、ユーザにより規定されたコンピュータから前記情報へのアクセスを試みている場合にのみ、予め選択され、ユーザにより規定された画像と入力インターフェイスとの組合わせを提供する、請求項21に記載のコンピュータ実施認証方法。
【請求項23】
前記エンティティは、前記ユーザが予め選択され、ユーザにより規定されたコンピュータ以外のコンピュータから前記情報へのアクセスを試みている場合、前記ユーザに誰何インターフェイスを提供する、請求項22に記載のコンピュータ実施認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29−1】
【図29−2】
【図29−3】
【図29−4】
【図30−1】
【図30−2】
【図30−3】
【図30−4】
【図30−5】
【図30−6】
【図30−7】
【図30−8】
【図30−9】
【図30−10】
【図30−11】
【図30−12】
【図30−13】
【図30−14】
【図30−15】
【図31A】
【図31B】
【図31C】
【図31D】
【図31E】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29−1】
【図29−2】
【図29−3】
【図29−4】
【図30−1】
【図30−2】
【図30−3】
【図30−4】
【図30−5】
【図30−6】
【図30−7】
【図30−8】
【図30−9】
【図30−10】
【図30−11】
【図30−12】
【図30−13】
【図30−14】
【図30−15】
【図31A】
【図31B】
【図31C】
【図31D】
【図31E】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公表番号】特表2009−524881(P2009−524881A)
【公表日】平成21年7月2日(2009.7.2)
【国際特許分類】
【出願番号】特願2008−552384(P2008−552384)
【出願日】平成19年1月25日(2007.1.25)
【国際出願番号】PCT/US2007/001899
【国際公開番号】WO2007/087352
【国際公開日】平成19年8月2日(2007.8.2)
【出願人】(502303739)オラクル・インターナショナル・コーポレイション (97)
【Fターム(参考)】
【公表日】平成21年7月2日(2009.7.2)
【国際特許分類】
【出願日】平成19年1月25日(2007.1.25)
【国際出願番号】PCT/US2007/001899
【国際公開番号】WO2007/087352
【国際公開日】平成19年8月2日(2007.8.2)
【出願人】(502303739)オラクル・インターナショナル・コーポレイション (97)
【Fターム(参考)】
[ Back to top ]