コンピュータシステムまたはプログラムへのアクセスを開放するための方法
発明は、コンピュータシステムまたはプログラムへのアクセスを、この目的のためだけのソフトウエアを端末(2)にインストールする必要なしに端末(2)を介してユーザに開放するための方法に関する。ユーザの携帯型データ記憶媒体(1)と端末(2)の間にデータ接続が確立される。ユーザの認証は携帯型データ記憶媒体(1)によって行われる。認証が合格であれば、データ接続を介する送信のためにコンピュータシステムまたはプログラムへのアクセスを開放するためのアクセスコードを携帯型データ記憶媒体(1)によって利用することが可能になる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はコンピュータシステムまたはプログラムへのアクセスを開放するための方法に関する。さらに、本発明はコンピュータシステムまたはプログラムへのアクセスを開放するための携帯型データ記憶媒体に関する。
【背景技術】
【0002】
コンピュータシステムまたはプログラムへのアクセスをユーザに開放するための様々な手法が数多く知られており、また種々の補助手段も知られている。セキュリティ要件がそれほど高度ではない多くの例においては、ユーザID及びパスワードの正しい入力後にアクセスが開放される。問題は、例えば同じユーザが多くのコンピュータシステムまたはプログラムへのアクセス権を有している場合におきる。この場合、ユーザは複数のユーザID及び関係付けられたパスワードを記憶していなければならない。
【0003】
パスワードを手入力する代りに、認証を行うのに用いられる携帯型セキュリティデータ記憶媒体をユーザに提供する可能性もある。しかし、これは用いられる端末に、携帯型セキュリティデータ記憶媒体へのアクセスを可能にする、適するソフトウエアがインストールされていることを前提としている。そのようなソフトウエアのインストールは、コンピュータシステムまたはプログラムへのアクセスが第三者の端末によってユーザに対して確立されることになる場合に、特に問題となる。この状況は、例えば、フィールドサービス技術者がクライアントに行って、技術者の会社のサーバにアクセスしようとする場合におこり得る。そのような場合には一般に、セキュリティデータ記憶媒体を用いるために必要なソフトウエアをクライアントの端末にインストールすることが通常は許されないから、普通のセキュリティデータ記憶媒体の使用は排除される。この問題を解決するために、ボタンが押されたときにディスプレイ上に番号を示す装置の使用が知られている。この番号がフィールドサービス技術者に読み取られ、例えば保護されたインターネットページでの1回限りのパスワードとして、クライアントの端末によって登録される。次いで、フィールドサービス技術者はクライアントの端末を介して技術者の会社のサーバへの一定時間のアクセスを得る。しかし、この手続きには1回限りのパスワードを端末に打ち込まなければならないという欠点がある。さらに、パスワード発生装置を所持している誰でもがシステムへのアクセスを確立できることも欠点になる。したがって、装置の紛失は極めて重大であり得る。
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明の課題は、端末を介するコンピュータシステムまたはプログラムへのアクセスを、この目的だけのために用意されるソフトウエアを端末にインストールせずに、ユーザにとって不自由のないセキュリティ態様で開放することを可能にすることである。
【課題を解決するための手段】
【0005】
この課題は特許請求項1の特徴の組合せをもつ方法によって解決される。
【0006】
コンピュータシステムまたはプログラムのアクセスを、この目的のためだけにソフトウエアを端末にインストールする必要なしに、端末を介してユーザに開放するための本発明にしたがう方法においては、ユーザの携帯型データ記憶媒体と端末の間にデータ接続が確立される。ユーザの認証は携帯型データ記憶媒体によって行われる。認証が合格であれば、コンピュータシステムまたはプログラムへのアクセスをデータ接続を介する通信のために開放するためのアクセスコードが、携帯型データ記憶媒体によって利用できるようになる。
【0007】
本発明は、携帯型データ記憶媒体を用いることにより非常に快適な態様でアクセスを開放できるという利点を有する。提供されるユーザ認証により高度のセキュリティ基準が保証される。さらに、携帯型データ記憶媒体を用いるために端末に専用のソフトウエアをインストールする必要はないことが特別な利点である。これにより、ユーザが第三者の端末を用いてアクセスを開放することが可能になり、ユーザがソフトウエアも端末にインストールする必要は全くない。
【0008】
データ接続は特に端末のUSBインターフェースを介して確立することができる。USBインターフェースを有する端末はますます多くなっているから、本発明にしたがう方法は極めて普遍的な態様で用いることができる。USBを介して携帯型データ記憶媒体に動作電圧を供給でき、したがって、携帯型データ記憶媒体には独自の電源が必要ではないことも利点である。
【0009】
認証はユーザによって入力される秘密個人情報に基づいて行うことができる。これには、簡単な手段による実現が可能であり、高いコンピュータ能力を準備しておく必要がないという利点がある。同様に、生物測定方法、特にユーザの指紋のチェックに基づいて認証を行うことも可能である。これにより特に高度のセキュリティ基準が保証される。
【0010】
本発明にしたがう方法の別の実施形態において、アクセスコードは携帯型データ記憶媒体によって生成される。行われ得る攻撃の実施をさらに困難にするため、アクセスコードの生成時にコンピュータシステムによって供給される乱数を考慮することができる。この結果、毎回異なるアクセスコードが用いられ、よってアクセスコードを盗み出してもハッカーは利用できる情報を全く得られない。本発明にしたがう方法のまた別の実施形態において、違法アクセスから保護された少なくとも1つのアクセスコードが携帯型データ記憶媒体に格納される。これにより、アクセスコードを生成するためのコンピュータ作業がなくなる。
【0011】
アクセスコードは携帯型データ記憶媒体のメモリの共用領域においてデータ接続を介する送信のために利用可能とすることができる。この結果、端末のコマンドを用いることによりデータ接続を介してアクセスコードを送信できる可能性がある。本発明にしたがう方法のさらなる発展形において、端末の入力装置は携帯型データ記憶媒体によってシミュレートされる。これにより、シミュレートされた入力装置の入力としてアクセスコードを携帯型データ記憶媒体によって送信できる可能性が生じる。これにはアクセスコードの送信にコマンドの手入力が必要ではないという利点がある。本発明にしたがう方法の全ての実施形態においてアクセスコードは、例えばインターネットページに送信することができる。
【0012】
本発明にしたがう方法の有用な実施形態において、コンピュータへの接続を確立するためのソフトウエアは携帯型データ記憶媒体のメモリに格納される。これにより、用いられる入力装置からの実質的な独立が確立される。携帯型データ記憶媒体のメモリへの外部アクセスを可能な限り簡単に設計するため、メモリにはディスクドライブを用いることができる。
【0013】
コンピュータシステムまたはプログラムへのアクセスを、この目的だけのためにソフトウエアを端末にインストールする必要なしに、端末を介してユーザに開放するための本発明にしたがうデータ記憶媒体は、コンピュータシステムまたはプログラムへのアクセスを開放するためにアクセスコードを利用可能にするためのセキュリティチップを有する。本発明にしたがう携帯型データ記憶媒体の特徴は、端末へのデータ接続を確立するための装置が装備されていること及びユーザの認証をセキュリティチップによって行い得ることである。
【0014】
本発明にしたがう携帯型データ記憶媒体は、特に端末のUSBインターフェースに接続できるような態様で構成される。さらなる発展形において、携帯型データ記憶媒体はUSBハブを有し、端末へのデータ接続が携帯型データ記憶媒体内でUSBハブによっていくつかの信号経路に分けられる。この結果、携帯型データ記憶媒体を介して端末にいくつかのUSB装置、例えば入力装置及び交換可能なデータ記憶媒体を開くことができる可能性がある。さらに、本発明にしたがうデータ記憶媒体はフラッシュEEPROMとして構成されたメモリを備えることができる。そのようなメモリは携帯型データ記憶媒体の外部からわずかなコストで読み出すことができる。好ましい例示的実施形態において、本発明にしたがう携帯型データ記憶媒体は生物測定データを検出するためのセンサ、特に指紋センサを備える。
【発明を実施するための最良の形態】
【0015】
図面に示される例示的実施携帯を用いて本発明を以下に説明する。
【0016】
図1は、コンピュータシステムまたはプログラムへのアクセスを開放するためにパーソナルコンピュータ2に接続された、本発明にしたがって構成された携帯型データ記憶媒体1の例示的実施形態のアーキテクチャの略図を示す。携帯型データ記憶媒体1は、トークンとしても構成され、好ましくはパーソナルコンピュータ2のポートに挿入される、小型装置として構成されることが好ましい。携帯型データ記憶媒体1は、不揮発性メモリ4,指紋センサ5及びセキュリティチップ6に接続された集積回路3を備える。集積回路3はパーソナルコンピュータ2のUSBインターフェース7に外部で接続される。ここでUSBはユニバーサルシリアルバスの慣用的な略語である。パーソナルコンピュータ2は図には示されていない態様でネットワーク、例えばインターネットに接続される。携帯型データ記憶媒体1のための動作モードに関わるように専用設計された、ASICと略記される、特定用途向け集積回路が集積回路3として用いられることが好ましい。不揮発性メモリ4は特にフラッシュEEPROMとして構成される。セキュリティチップ6は標準化T=1プロトコルにしたがって集積回路3と交信し、携帯型データ記憶媒体1の設計に依存して、携帯型データ記憶媒体1に挿入されるチップカードコンポーネントとすることもできる。パーソナルコンピュータ2のUSBインターフェース7への携帯型データ記憶媒体1の接続は、一方では携帯型データ記憶媒体1に動作電圧を供給するため、他方では携帯型データ記憶媒体1とパーソナルコンピュータ2の間でのデータの送信のためにはたらく。携帯型データ記憶媒体1の動作モードは図2を用いて詳細に説明される。
【0017】
図2は、携帯型データ記憶媒体1を用いてアクセスを開放するための、本発明にしたがう手続きについての例示的実施形態を示す。1つの作業または複数の作業がブロックで表されている。携帯型データ記憶媒体1によるかまたはユーザによって、それを介してアクセスが行われるべき保護されたインターネットページに特定の作業が関連付けられることになるか否かに依存して、関連付けられるブロックが3つの縦列の内の1つに示される。左列はインターネットページ上で行われる作業を示す。中央列は携帯型データ記憶媒体1の作業を示す。右列はユーザの対応する作業を示す。
【0018】
本発明にしたがう方法を開始するため、アクセスの開放に必要なインターネットページがパーソナルコンピュータ2で呼び出され、携帯型データ記憶媒体1がパーソナルコンピュータ2のUSBインターフェース7のポートに挿入されて、この結果、携帯型データ記憶媒体1が起動される。次いで、ブロックB1で表されるように、ユーザは呼び出したインターネットページにユーザIDを入力する。入力は、例えば、ユーザが携帯型データ記憶媒体1の不揮発性メモリ4の共用領域からインターネットページにユーザIDを送信するような態様で、行うことができる。これがブロックB2として表される。不揮発性メモリ4の共用領域は携帯型データ記憶媒体1の外部からアクセスすることができる。したがって、"copy"または"cut"及び"insert"のような、普通のパーソナルコンピュータ2で利用できるコマンドを送信のために用いることができる。あるいは、携帯型データ記憶媒体1の不揮発性メモリ4からの送信については、パーソナルコンピュータ2のキーボードを介してインターネットページにユーザIDを入力することも可能である。また別の実施形態において、ユーザIDの入力は完全に排除される。
【0019】
次の作業として、関連付けられたサーバで生成された乱数がインターネットページに表示される。これがブロックB3で示される。ブロックB4にしたがい、乱数がユーザによってインターネットページから携帯型データ記憶媒体1の不揮発性メモリ4の共用領域にコマンド"cut"及び"insert"を用いて送られる。ブロック5は、携帯型データ記憶媒体の、ブロック6として示される、応答を発生するための入力として乱数が用いられることを示す。しかし、ブロックB7で示されるように、応答はユーザの認証が合格の場合にのみ発生される。認証は、本発明にしたがう方法のこの例示的実施形態において、ユーザの指紋の検認によって用いて行われる。ユーザは、例えば、指紋センサ5上に指をおくことによるかまたは携帯型データ記憶媒体1の不揮発性メモリ4にあるプログラムを実行することによって、ブロックB8にしたがう検認を開始する。指紋センサ5は写真を撮り、その特徴が抽出されて、格納された参照特徴と比較される。あるいは、ユーザの認証は個人識別番号を入力することによって行うことができる。認証の合格後、携帯型データ記憶媒体1は応答を発生する。応答の発生時には乱数が考慮される。例えば、取得された乱数のデジタル署名が応答の発生に対して計算される。
【0020】
ブロックB9で表されるように、応答は携帯型データ記憶媒体1の不揮発性メモリ4の共用領域で利用可能になる。ブロック10にしたがい、ユーザはコマンド"cut"及び"insert"を用いて携帯型データ記憶媒体1の不揮発性メモリ4からインターネットページに応答を送信する。ブロック11は、関連付けられたサーバが応答の適正さを検認し、それに応じてユーザにアクセスを開放することを示す。
【0021】
満たされるべきセキュリティ要件がそれほど高度でなければ、乱数を用いない、本発明にしたがう方法の簡略化された実施形態を用いることもできる。この実施形態においては、やはりユーザの指紋が検認される。結果が合格の場合、1回限りのパスワードが携帯型データ記憶媒体1によって生成され、携帯型データ記憶媒体1の不揮発性メモリ4の共用領域に収められる。ユーザは既述の態様で1回限りのパスワードをインターネットページに送信する。そうすると直ちに、所定の時間に亘り、ユーザに対してアクセスが開放される。指紋の代りに、個人識別番号がユーザの認証に用いられるような態様での実施形態においては、本発明にしたがう方法のさらなる簡略化を達成することもできる。この場合、ユーザの個人識別番号の入力を要求する実行可能なプログラムが携帯型データ記憶媒体1の不揮発性メモリ4の共用領域に収められる。識別番号に対してユーザによって入力された値が参照値と比較され、一致すれば、やはり1回限りのパスワードが生成され、次いで携帯型データ記憶媒体1の不揮発性メモリ4の共用領域に収められて、そこからユーザによってインターネットページに送信される。
【0022】
本発明にしたがう方法を実施する場合、実行可能なプログラムとして携帯型データ記憶媒体1に実装されたブラウザを用いることもできる。それを介してアクセスをユーザが開放することができるインターネットページは「お気に入り」としてセーブすることができる。この実施形態においては、パーソナルコンピュータ2のブラウザ及びそのセキュリティ設定の使用に対するリソースを有する必要はない。
【0023】
様々な方法実施形態の全てにおいて、セキュリティにかかわる動作はセキュリティチップ6によって実行され、秘密に保たれるべき情報はセキュリティチップ6に格納される。特に、集積回路3においてその時の生物測定生データと完全にまたはある程度比較することができる、生物測定参照データセットがセキュリティチップ6に格納される態様を提供することができる。
【0024】
図3は本発明にしたがう携帯型データ記憶媒体1の別の例示的実施形態のアーキテクチャの略図を示す。本例示的実施形態の特徴は、組み込まれたUSBハブ8を介してパーソナルコンピュータ2のUSBインターフェース7に携帯型データ記憶媒体1が接続されることである。USBハブ8により、2つのUSB装置をパーソナルコンピュータ2のUSBインターフェース7に接続することが可能になる。携帯型データ記憶媒体1内で2つの別々の信号経路がUSBハブ8と集積回路3の間に形成される。集積回路3は第1の信号経路に対してUSBキーボードをシミュレートし、したがってそれ自体を第2のキーボードとしてパーソナルコンピュータ2のオペレーティングシステムに登録する。USBキーボードは物理的に存在するキーボードであるかのようにパーソナルコンピュータ2によって扱われ、したがって、その入力が処理される。フラッシュドライブが第2の信号経路に対して実装される。フラッシュドライブは、様々なインターネットページ及びサービスの中からの選択を可能にする実行可能なプログラムを有する。他の点では、図3にしたがう例示的実施形態は図1に示される例示的実施形態に対応する。
【0025】
図3にしたがって構成された携帯型データ記憶媒体1が用いられている場合、携帯型データ記憶媒体1はパーソナルコンピュータ2のUSBインターフェース7のポートに挿入される。フラッシュドライブ上の実行可能なプログラムを用いて所望のインターネットページが選択される。次いで、ユーザはインターネットページ上の入力マーカーをそのために設けられた入力フィールドに入れ、携帯型データ記憶媒体1の指紋センサ5上に指をおくことによって生物測定ユーザ認証を開始する。ユーザ認証合格後、携帯型データ記憶媒体1は一回限りのパスワードを生成し、これを第1の信号経路を介してインターネットページの入力フィールドに送信する。第1の信号経路に対してキーボードがシミュレートされ、この結果自動送信が行われるから、一回限りのパスワードのインターネットページへの手動送信は必要ではない。同様に、携帯型データ記憶媒体1に格納されているユーザID及びパスワードをインターネットページの適切な入力フィールドに送信することも可能である。特定の関連付けられたユーザID及びパスワードはユーザ認証合格後に訪れたインターネットページの入力フィールドに自動的に入力されるから、ユーザはこれらの特定の関連付けられたユーザID及びパスワードを意識する必要なしに既述した態様で複数の相異なるインターネットページにアクセスすることができる。ユーザID及びパスワードは、インターネットページの代りに、パスワードが保護されるローカルアプリケーションまたはネットワークアプリケーションに入力することもできる。特に、オペレーティングシステムの「ようこそ」画面への入力も可能である。さらに、アプリケーション、インターネットページまたはサービスを登録するための実行可能なプログラムを不揮発性メモリ4に収めることも考えられる。この場合、プログラムは標準的な入力装置を介して入力された最終ユーザコマンドを記録することができる。プログラムがさらに初めてのパスワード保護アプリケーションまたはインターネットページを認識すると、プログラムはログイン情報の自動登録をユーザに勧めることができる。プログラムのコンフィギュレーション設定に依存して、ログイン情報の入力は、ユーザがトークンに対して認証されれば、次の呼出時に自動的に行うことができる。あるいは、プログラムは指をおくように求めることができる。
【0026】
他の点では、図2を用いて説明された本発明にしたがう方法及びその様々な実施形態は図3に示される携帯型データ記憶媒体1の例示的実施形態と類似の態様で用いることもできる。しかし、この場合には携帯型データ記憶媒体1からパーソナルコンピュータ2へのデータの送信に対してコマンドの手入力は必要ではない。
【0027】
本発明にしたがう方法の様々な実施形態の全ての重要な態様は、パーソナルコンピュータ2上の方法だけのためのソフトウエアをインストールする必要がないことである。本方法を実施するためにはパーソナルコンピュータ2の標準ソフトウエア及び/または携帯型データ記憶媒体1上に実装されたソフトウエアを用いることができる。
【図面の簡単な説明】
【0028】
【図1】コンピュータシステムまたはプログラムへのアクセスを開放するためにパーソナルコンピュータに接続された、本発明にしたがって構成された携帯型データ記憶媒体の例示的実施形態のアーキテクチャの略図を示す
【図2】携帯型データ記憶媒体を用いてアクセスを開放するための本発明にしたがう手続きについての例示的実施形態を示す
【図3】本発明にしたがう携帯型データ記憶媒体の別の例示的実施形態のアーキテクチャの略図を示す
【符号の説明】
【0029】
1 携帯型データ記憶媒体
2 パーソナルコンピュータ
3 集積回路
4 不揮発性メモリ
5 指紋センサ
6 セキュリティチップ
7 USBインターフェース
8 USBハブ
【技術分野】
【0001】
本発明はコンピュータシステムまたはプログラムへのアクセスを開放するための方法に関する。さらに、本発明はコンピュータシステムまたはプログラムへのアクセスを開放するための携帯型データ記憶媒体に関する。
【背景技術】
【0002】
コンピュータシステムまたはプログラムへのアクセスをユーザに開放するための様々な手法が数多く知られており、また種々の補助手段も知られている。セキュリティ要件がそれほど高度ではない多くの例においては、ユーザID及びパスワードの正しい入力後にアクセスが開放される。問題は、例えば同じユーザが多くのコンピュータシステムまたはプログラムへのアクセス権を有している場合におきる。この場合、ユーザは複数のユーザID及び関係付けられたパスワードを記憶していなければならない。
【0003】
パスワードを手入力する代りに、認証を行うのに用いられる携帯型セキュリティデータ記憶媒体をユーザに提供する可能性もある。しかし、これは用いられる端末に、携帯型セキュリティデータ記憶媒体へのアクセスを可能にする、適するソフトウエアがインストールされていることを前提としている。そのようなソフトウエアのインストールは、コンピュータシステムまたはプログラムへのアクセスが第三者の端末によってユーザに対して確立されることになる場合に、特に問題となる。この状況は、例えば、フィールドサービス技術者がクライアントに行って、技術者の会社のサーバにアクセスしようとする場合におこり得る。そのような場合には一般に、セキュリティデータ記憶媒体を用いるために必要なソフトウエアをクライアントの端末にインストールすることが通常は許されないから、普通のセキュリティデータ記憶媒体の使用は排除される。この問題を解決するために、ボタンが押されたときにディスプレイ上に番号を示す装置の使用が知られている。この番号がフィールドサービス技術者に読み取られ、例えば保護されたインターネットページでの1回限りのパスワードとして、クライアントの端末によって登録される。次いで、フィールドサービス技術者はクライアントの端末を介して技術者の会社のサーバへの一定時間のアクセスを得る。しかし、この手続きには1回限りのパスワードを端末に打ち込まなければならないという欠点がある。さらに、パスワード発生装置を所持している誰でもがシステムへのアクセスを確立できることも欠点になる。したがって、装置の紛失は極めて重大であり得る。
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明の課題は、端末を介するコンピュータシステムまたはプログラムへのアクセスを、この目的だけのために用意されるソフトウエアを端末にインストールせずに、ユーザにとって不自由のないセキュリティ態様で開放することを可能にすることである。
【課題を解決するための手段】
【0005】
この課題は特許請求項1の特徴の組合せをもつ方法によって解決される。
【0006】
コンピュータシステムまたはプログラムのアクセスを、この目的のためだけにソフトウエアを端末にインストールする必要なしに、端末を介してユーザに開放するための本発明にしたがう方法においては、ユーザの携帯型データ記憶媒体と端末の間にデータ接続が確立される。ユーザの認証は携帯型データ記憶媒体によって行われる。認証が合格であれば、コンピュータシステムまたはプログラムへのアクセスをデータ接続を介する通信のために開放するためのアクセスコードが、携帯型データ記憶媒体によって利用できるようになる。
【0007】
本発明は、携帯型データ記憶媒体を用いることにより非常に快適な態様でアクセスを開放できるという利点を有する。提供されるユーザ認証により高度のセキュリティ基準が保証される。さらに、携帯型データ記憶媒体を用いるために端末に専用のソフトウエアをインストールする必要はないことが特別な利点である。これにより、ユーザが第三者の端末を用いてアクセスを開放することが可能になり、ユーザがソフトウエアも端末にインストールする必要は全くない。
【0008】
データ接続は特に端末のUSBインターフェースを介して確立することができる。USBインターフェースを有する端末はますます多くなっているから、本発明にしたがう方法は極めて普遍的な態様で用いることができる。USBを介して携帯型データ記憶媒体に動作電圧を供給でき、したがって、携帯型データ記憶媒体には独自の電源が必要ではないことも利点である。
【0009】
認証はユーザによって入力される秘密個人情報に基づいて行うことができる。これには、簡単な手段による実現が可能であり、高いコンピュータ能力を準備しておく必要がないという利点がある。同様に、生物測定方法、特にユーザの指紋のチェックに基づいて認証を行うことも可能である。これにより特に高度のセキュリティ基準が保証される。
【0010】
本発明にしたがう方法の別の実施形態において、アクセスコードは携帯型データ記憶媒体によって生成される。行われ得る攻撃の実施をさらに困難にするため、アクセスコードの生成時にコンピュータシステムによって供給される乱数を考慮することができる。この結果、毎回異なるアクセスコードが用いられ、よってアクセスコードを盗み出してもハッカーは利用できる情報を全く得られない。本発明にしたがう方法のまた別の実施形態において、違法アクセスから保護された少なくとも1つのアクセスコードが携帯型データ記憶媒体に格納される。これにより、アクセスコードを生成するためのコンピュータ作業がなくなる。
【0011】
アクセスコードは携帯型データ記憶媒体のメモリの共用領域においてデータ接続を介する送信のために利用可能とすることができる。この結果、端末のコマンドを用いることによりデータ接続を介してアクセスコードを送信できる可能性がある。本発明にしたがう方法のさらなる発展形において、端末の入力装置は携帯型データ記憶媒体によってシミュレートされる。これにより、シミュレートされた入力装置の入力としてアクセスコードを携帯型データ記憶媒体によって送信できる可能性が生じる。これにはアクセスコードの送信にコマンドの手入力が必要ではないという利点がある。本発明にしたがう方法の全ての実施形態においてアクセスコードは、例えばインターネットページに送信することができる。
【0012】
本発明にしたがう方法の有用な実施形態において、コンピュータへの接続を確立するためのソフトウエアは携帯型データ記憶媒体のメモリに格納される。これにより、用いられる入力装置からの実質的な独立が確立される。携帯型データ記憶媒体のメモリへの外部アクセスを可能な限り簡単に設計するため、メモリにはディスクドライブを用いることができる。
【0013】
コンピュータシステムまたはプログラムへのアクセスを、この目的だけのためにソフトウエアを端末にインストールする必要なしに、端末を介してユーザに開放するための本発明にしたがうデータ記憶媒体は、コンピュータシステムまたはプログラムへのアクセスを開放するためにアクセスコードを利用可能にするためのセキュリティチップを有する。本発明にしたがう携帯型データ記憶媒体の特徴は、端末へのデータ接続を確立するための装置が装備されていること及びユーザの認証をセキュリティチップによって行い得ることである。
【0014】
本発明にしたがう携帯型データ記憶媒体は、特に端末のUSBインターフェースに接続できるような態様で構成される。さらなる発展形において、携帯型データ記憶媒体はUSBハブを有し、端末へのデータ接続が携帯型データ記憶媒体内でUSBハブによっていくつかの信号経路に分けられる。この結果、携帯型データ記憶媒体を介して端末にいくつかのUSB装置、例えば入力装置及び交換可能なデータ記憶媒体を開くことができる可能性がある。さらに、本発明にしたがうデータ記憶媒体はフラッシュEEPROMとして構成されたメモリを備えることができる。そのようなメモリは携帯型データ記憶媒体の外部からわずかなコストで読み出すことができる。好ましい例示的実施形態において、本発明にしたがう携帯型データ記憶媒体は生物測定データを検出するためのセンサ、特に指紋センサを備える。
【発明を実施するための最良の形態】
【0015】
図面に示される例示的実施携帯を用いて本発明を以下に説明する。
【0016】
図1は、コンピュータシステムまたはプログラムへのアクセスを開放するためにパーソナルコンピュータ2に接続された、本発明にしたがって構成された携帯型データ記憶媒体1の例示的実施形態のアーキテクチャの略図を示す。携帯型データ記憶媒体1は、トークンとしても構成され、好ましくはパーソナルコンピュータ2のポートに挿入される、小型装置として構成されることが好ましい。携帯型データ記憶媒体1は、不揮発性メモリ4,指紋センサ5及びセキュリティチップ6に接続された集積回路3を備える。集積回路3はパーソナルコンピュータ2のUSBインターフェース7に外部で接続される。ここでUSBはユニバーサルシリアルバスの慣用的な略語である。パーソナルコンピュータ2は図には示されていない態様でネットワーク、例えばインターネットに接続される。携帯型データ記憶媒体1のための動作モードに関わるように専用設計された、ASICと略記される、特定用途向け集積回路が集積回路3として用いられることが好ましい。不揮発性メモリ4は特にフラッシュEEPROMとして構成される。セキュリティチップ6は標準化T=1プロトコルにしたがって集積回路3と交信し、携帯型データ記憶媒体1の設計に依存して、携帯型データ記憶媒体1に挿入されるチップカードコンポーネントとすることもできる。パーソナルコンピュータ2のUSBインターフェース7への携帯型データ記憶媒体1の接続は、一方では携帯型データ記憶媒体1に動作電圧を供給するため、他方では携帯型データ記憶媒体1とパーソナルコンピュータ2の間でのデータの送信のためにはたらく。携帯型データ記憶媒体1の動作モードは図2を用いて詳細に説明される。
【0017】
図2は、携帯型データ記憶媒体1を用いてアクセスを開放するための、本発明にしたがう手続きについての例示的実施形態を示す。1つの作業または複数の作業がブロックで表されている。携帯型データ記憶媒体1によるかまたはユーザによって、それを介してアクセスが行われるべき保護されたインターネットページに特定の作業が関連付けられることになるか否かに依存して、関連付けられるブロックが3つの縦列の内の1つに示される。左列はインターネットページ上で行われる作業を示す。中央列は携帯型データ記憶媒体1の作業を示す。右列はユーザの対応する作業を示す。
【0018】
本発明にしたがう方法を開始するため、アクセスの開放に必要なインターネットページがパーソナルコンピュータ2で呼び出され、携帯型データ記憶媒体1がパーソナルコンピュータ2のUSBインターフェース7のポートに挿入されて、この結果、携帯型データ記憶媒体1が起動される。次いで、ブロックB1で表されるように、ユーザは呼び出したインターネットページにユーザIDを入力する。入力は、例えば、ユーザが携帯型データ記憶媒体1の不揮発性メモリ4の共用領域からインターネットページにユーザIDを送信するような態様で、行うことができる。これがブロックB2として表される。不揮発性メモリ4の共用領域は携帯型データ記憶媒体1の外部からアクセスすることができる。したがって、"copy"または"cut"及び"insert"のような、普通のパーソナルコンピュータ2で利用できるコマンドを送信のために用いることができる。あるいは、携帯型データ記憶媒体1の不揮発性メモリ4からの送信については、パーソナルコンピュータ2のキーボードを介してインターネットページにユーザIDを入力することも可能である。また別の実施形態において、ユーザIDの入力は完全に排除される。
【0019】
次の作業として、関連付けられたサーバで生成された乱数がインターネットページに表示される。これがブロックB3で示される。ブロックB4にしたがい、乱数がユーザによってインターネットページから携帯型データ記憶媒体1の不揮発性メモリ4の共用領域にコマンド"cut"及び"insert"を用いて送られる。ブロック5は、携帯型データ記憶媒体の、ブロック6として示される、応答を発生するための入力として乱数が用いられることを示す。しかし、ブロックB7で示されるように、応答はユーザの認証が合格の場合にのみ発生される。認証は、本発明にしたがう方法のこの例示的実施形態において、ユーザの指紋の検認によって用いて行われる。ユーザは、例えば、指紋センサ5上に指をおくことによるかまたは携帯型データ記憶媒体1の不揮発性メモリ4にあるプログラムを実行することによって、ブロックB8にしたがう検認を開始する。指紋センサ5は写真を撮り、その特徴が抽出されて、格納された参照特徴と比較される。あるいは、ユーザの認証は個人識別番号を入力することによって行うことができる。認証の合格後、携帯型データ記憶媒体1は応答を発生する。応答の発生時には乱数が考慮される。例えば、取得された乱数のデジタル署名が応答の発生に対して計算される。
【0020】
ブロックB9で表されるように、応答は携帯型データ記憶媒体1の不揮発性メモリ4の共用領域で利用可能になる。ブロック10にしたがい、ユーザはコマンド"cut"及び"insert"を用いて携帯型データ記憶媒体1の不揮発性メモリ4からインターネットページに応答を送信する。ブロック11は、関連付けられたサーバが応答の適正さを検認し、それに応じてユーザにアクセスを開放することを示す。
【0021】
満たされるべきセキュリティ要件がそれほど高度でなければ、乱数を用いない、本発明にしたがう方法の簡略化された実施形態を用いることもできる。この実施形態においては、やはりユーザの指紋が検認される。結果が合格の場合、1回限りのパスワードが携帯型データ記憶媒体1によって生成され、携帯型データ記憶媒体1の不揮発性メモリ4の共用領域に収められる。ユーザは既述の態様で1回限りのパスワードをインターネットページに送信する。そうすると直ちに、所定の時間に亘り、ユーザに対してアクセスが開放される。指紋の代りに、個人識別番号がユーザの認証に用いられるような態様での実施形態においては、本発明にしたがう方法のさらなる簡略化を達成することもできる。この場合、ユーザの個人識別番号の入力を要求する実行可能なプログラムが携帯型データ記憶媒体1の不揮発性メモリ4の共用領域に収められる。識別番号に対してユーザによって入力された値が参照値と比較され、一致すれば、やはり1回限りのパスワードが生成され、次いで携帯型データ記憶媒体1の不揮発性メモリ4の共用領域に収められて、そこからユーザによってインターネットページに送信される。
【0022】
本発明にしたがう方法を実施する場合、実行可能なプログラムとして携帯型データ記憶媒体1に実装されたブラウザを用いることもできる。それを介してアクセスをユーザが開放することができるインターネットページは「お気に入り」としてセーブすることができる。この実施形態においては、パーソナルコンピュータ2のブラウザ及びそのセキュリティ設定の使用に対するリソースを有する必要はない。
【0023】
様々な方法実施形態の全てにおいて、セキュリティにかかわる動作はセキュリティチップ6によって実行され、秘密に保たれるべき情報はセキュリティチップ6に格納される。特に、集積回路3においてその時の生物測定生データと完全にまたはある程度比較することができる、生物測定参照データセットがセキュリティチップ6に格納される態様を提供することができる。
【0024】
図3は本発明にしたがう携帯型データ記憶媒体1の別の例示的実施形態のアーキテクチャの略図を示す。本例示的実施形態の特徴は、組み込まれたUSBハブ8を介してパーソナルコンピュータ2のUSBインターフェース7に携帯型データ記憶媒体1が接続されることである。USBハブ8により、2つのUSB装置をパーソナルコンピュータ2のUSBインターフェース7に接続することが可能になる。携帯型データ記憶媒体1内で2つの別々の信号経路がUSBハブ8と集積回路3の間に形成される。集積回路3は第1の信号経路に対してUSBキーボードをシミュレートし、したがってそれ自体を第2のキーボードとしてパーソナルコンピュータ2のオペレーティングシステムに登録する。USBキーボードは物理的に存在するキーボードであるかのようにパーソナルコンピュータ2によって扱われ、したがって、その入力が処理される。フラッシュドライブが第2の信号経路に対して実装される。フラッシュドライブは、様々なインターネットページ及びサービスの中からの選択を可能にする実行可能なプログラムを有する。他の点では、図3にしたがう例示的実施形態は図1に示される例示的実施形態に対応する。
【0025】
図3にしたがって構成された携帯型データ記憶媒体1が用いられている場合、携帯型データ記憶媒体1はパーソナルコンピュータ2のUSBインターフェース7のポートに挿入される。フラッシュドライブ上の実行可能なプログラムを用いて所望のインターネットページが選択される。次いで、ユーザはインターネットページ上の入力マーカーをそのために設けられた入力フィールドに入れ、携帯型データ記憶媒体1の指紋センサ5上に指をおくことによって生物測定ユーザ認証を開始する。ユーザ認証合格後、携帯型データ記憶媒体1は一回限りのパスワードを生成し、これを第1の信号経路を介してインターネットページの入力フィールドに送信する。第1の信号経路に対してキーボードがシミュレートされ、この結果自動送信が行われるから、一回限りのパスワードのインターネットページへの手動送信は必要ではない。同様に、携帯型データ記憶媒体1に格納されているユーザID及びパスワードをインターネットページの適切な入力フィールドに送信することも可能である。特定の関連付けられたユーザID及びパスワードはユーザ認証合格後に訪れたインターネットページの入力フィールドに自動的に入力されるから、ユーザはこれらの特定の関連付けられたユーザID及びパスワードを意識する必要なしに既述した態様で複数の相異なるインターネットページにアクセスすることができる。ユーザID及びパスワードは、インターネットページの代りに、パスワードが保護されるローカルアプリケーションまたはネットワークアプリケーションに入力することもできる。特に、オペレーティングシステムの「ようこそ」画面への入力も可能である。さらに、アプリケーション、インターネットページまたはサービスを登録するための実行可能なプログラムを不揮発性メモリ4に収めることも考えられる。この場合、プログラムは標準的な入力装置を介して入力された最終ユーザコマンドを記録することができる。プログラムがさらに初めてのパスワード保護アプリケーションまたはインターネットページを認識すると、プログラムはログイン情報の自動登録をユーザに勧めることができる。プログラムのコンフィギュレーション設定に依存して、ログイン情報の入力は、ユーザがトークンに対して認証されれば、次の呼出時に自動的に行うことができる。あるいは、プログラムは指をおくように求めることができる。
【0026】
他の点では、図2を用いて説明された本発明にしたがう方法及びその様々な実施形態は図3に示される携帯型データ記憶媒体1の例示的実施形態と類似の態様で用いることもできる。しかし、この場合には携帯型データ記憶媒体1からパーソナルコンピュータ2へのデータの送信に対してコマンドの手入力は必要ではない。
【0027】
本発明にしたがう方法の様々な実施形態の全ての重要な態様は、パーソナルコンピュータ2上の方法だけのためのソフトウエアをインストールする必要がないことである。本方法を実施するためにはパーソナルコンピュータ2の標準ソフトウエア及び/または携帯型データ記憶媒体1上に実装されたソフトウエアを用いることができる。
【図面の簡単な説明】
【0028】
【図1】コンピュータシステムまたはプログラムへのアクセスを開放するためにパーソナルコンピュータに接続された、本発明にしたがって構成された携帯型データ記憶媒体の例示的実施形態のアーキテクチャの略図を示す
【図2】携帯型データ記憶媒体を用いてアクセスを開放するための本発明にしたがう手続きについての例示的実施形態を示す
【図3】本発明にしたがう携帯型データ記憶媒体の別の例示的実施形態のアーキテクチャの略図を示す
【符号の説明】
【0029】
1 携帯型データ記憶媒体
2 パーソナルコンピュータ
3 集積回路
4 不揮発性メモリ
5 指紋センサ
6 セキュリティチップ
7 USBインターフェース
8 USBハブ
【特許請求の範囲】
【請求項1】
コンピュータシステムまたはプログラムへのアクセスを、この目的のためだけのソフトウエアを端末(2)にインストールする必要なしに前記端末(2)を介してユーザに開放するための方法において、
− 前記ユーザの携帯型データ記憶媒体(1)と前記端末(2)の間のデータ接続が確立され、
− 前記ユーザの認証が前記携帯型データ記憶媒体(1)によって行われ、
− 前記認証が合格であれば、前記データ接続を介する送信のために、前記コンピュータシステムまたは前記プログラムへのアクセスを開放するためのアクセスコードの前記携帯型データ記憶媒体(1)による利用が可能になる、
ことを特徴とする方法。
【請求項2】
前記データ接続が前記端末(2)のUSBインターフェース(7)を介して確立されることを特徴とする請求項1に記載の方法。
【請求項3】
前記認証が前記ユーザによって入力される個人秘密情報に基づいて行われることを特徴とする請求項1または2のいずれかに記載の方法。
【請求項4】
前記認証が生物測定方法、特に前記ユーザの指紋のチェックに基づいて行われることを特徴とする請求項1または2のいずれかに記載の方法。
【請求項5】
前記アクセスコードが前記携帯型データ記憶媒体(1)によって生成されることを特徴とする請求項1から4のいずれかに記載の方法。
【請求項6】
前記アクセスコードの前記生成時に、前記コンピュータから入手可能にされた乱数が考慮されることを特徴とする請求項5に記載の方法。
【請求項7】
違法アクセスから保護される少なくとも1つのアクセスコードが前記携帯型データ記憶媒体(1)に格納されることを特徴とする請求項1から4のいずれかに記載の方法。
【請求項8】
前記データ接続を介する前記送信のための前記アクセスコードが前記携帯型データ記憶媒体(1)のメモリ(4)の共用領域において利用可能にされることを特徴とする請求項1から7のいずれかに記載の方法。
【請求項9】
前記アクセスコードが前記端末(2)のコマンドを用いることによって前記データ接続を介して送信されることを特徴とする請求項1から8のいずれかに記載の方法。
【請求項10】
前記端末(2)の入力装置が前記携帯型データ記憶媒体(1)によってシミュレートされることを特徴とする請求項1から8のいずれかに記載の方法。
【請求項11】
前記アクセスコードが前記シミュレートされた入力装置の入力として前記データ接続を介して送信されることを特徴とする請求項10に記載の方法。
【請求項12】
前記アクセスコードがインターネットページに送信されることを特徴とする請求項1から11のいずれかに記載の方法。
【請求項13】
前記コンピュータシステムへの接続を確立するためのソフトウエアが前記携帯型データ記憶媒体(1)の前記メモリ(4)に格納されていることを特徴とする請求項1から12のいずれかに記載の方法。
【請求項14】
前記携帯型データ記憶媒体(1)の前記メモリ(4)にディスクドライブが用いられることを特徴とする請求項1から13のいずれかに記載の方法。
【請求項15】
コンピュータシステムまたはプログラムへのアクセスを、この目的のためだけのソフトウエアを端末(2)にインストールする必要なしに前記端末(2)を介してユーザに開放するための携帯型データ記憶媒体であって、前記コンピュータシステムまたはプログラムへの前記アクセスを開放するためのアクセスコードを利用可能にするためのセキュリティチップ(6)を備えた携帯型データ記憶媒体において、前記端末(2)へのデータ接続を確立するための装置(3)が備えられ、前記セキュリティチップ(6)によって前記ユーザの認証を行い得ることを特徴とする携帯型データ記憶媒体。
【請求項16】
前記端末(2)のUSBインターフェース(7)に接続できることを特徴とする請求項15に記載の携帯型データ記憶媒体。
【請求項17】
USBハブ(8)を備え、前記USBハブ(8)によって前記端末(2)への前記データ接続が前記携帯型データ記憶媒体(1)において複数の個別信号経路に分けられることを特徴とする請求項15または16に記載の携帯型データ記憶媒体。
【請求項18】
フラッシュEEPROMとして構成されたメモリ(4)を備えることを特徴とする請求項15から17のいずれかに記載の携帯型データ記憶媒体。
【請求項19】
生物測定データを検出するためのセンサ(5)、特に指紋センサを備えることを特徴とする請求項15から18に記載の携帯型データ記憶媒体。
【請求項1】
コンピュータシステムまたはプログラムへのアクセスを、この目的のためだけのソフトウエアを端末(2)にインストールする必要なしに前記端末(2)を介してユーザに開放するための方法において、
− 前記ユーザの携帯型データ記憶媒体(1)と前記端末(2)の間のデータ接続が確立され、
− 前記ユーザの認証が前記携帯型データ記憶媒体(1)によって行われ、
− 前記認証が合格であれば、前記データ接続を介する送信のために、前記コンピュータシステムまたは前記プログラムへのアクセスを開放するためのアクセスコードの前記携帯型データ記憶媒体(1)による利用が可能になる、
ことを特徴とする方法。
【請求項2】
前記データ接続が前記端末(2)のUSBインターフェース(7)を介して確立されることを特徴とする請求項1に記載の方法。
【請求項3】
前記認証が前記ユーザによって入力される個人秘密情報に基づいて行われることを特徴とする請求項1または2のいずれかに記載の方法。
【請求項4】
前記認証が生物測定方法、特に前記ユーザの指紋のチェックに基づいて行われることを特徴とする請求項1または2のいずれかに記載の方法。
【請求項5】
前記アクセスコードが前記携帯型データ記憶媒体(1)によって生成されることを特徴とする請求項1から4のいずれかに記載の方法。
【請求項6】
前記アクセスコードの前記生成時に、前記コンピュータから入手可能にされた乱数が考慮されることを特徴とする請求項5に記載の方法。
【請求項7】
違法アクセスから保護される少なくとも1つのアクセスコードが前記携帯型データ記憶媒体(1)に格納されることを特徴とする請求項1から4のいずれかに記載の方法。
【請求項8】
前記データ接続を介する前記送信のための前記アクセスコードが前記携帯型データ記憶媒体(1)のメモリ(4)の共用領域において利用可能にされることを特徴とする請求項1から7のいずれかに記載の方法。
【請求項9】
前記アクセスコードが前記端末(2)のコマンドを用いることによって前記データ接続を介して送信されることを特徴とする請求項1から8のいずれかに記載の方法。
【請求項10】
前記端末(2)の入力装置が前記携帯型データ記憶媒体(1)によってシミュレートされることを特徴とする請求項1から8のいずれかに記載の方法。
【請求項11】
前記アクセスコードが前記シミュレートされた入力装置の入力として前記データ接続を介して送信されることを特徴とする請求項10に記載の方法。
【請求項12】
前記アクセスコードがインターネットページに送信されることを特徴とする請求項1から11のいずれかに記載の方法。
【請求項13】
前記コンピュータシステムへの接続を確立するためのソフトウエアが前記携帯型データ記憶媒体(1)の前記メモリ(4)に格納されていることを特徴とする請求項1から12のいずれかに記載の方法。
【請求項14】
前記携帯型データ記憶媒体(1)の前記メモリ(4)にディスクドライブが用いられることを特徴とする請求項1から13のいずれかに記載の方法。
【請求項15】
コンピュータシステムまたはプログラムへのアクセスを、この目的のためだけのソフトウエアを端末(2)にインストールする必要なしに前記端末(2)を介してユーザに開放するための携帯型データ記憶媒体であって、前記コンピュータシステムまたはプログラムへの前記アクセスを開放するためのアクセスコードを利用可能にするためのセキュリティチップ(6)を備えた携帯型データ記憶媒体において、前記端末(2)へのデータ接続を確立するための装置(3)が備えられ、前記セキュリティチップ(6)によって前記ユーザの認証を行い得ることを特徴とする携帯型データ記憶媒体。
【請求項16】
前記端末(2)のUSBインターフェース(7)に接続できることを特徴とする請求項15に記載の携帯型データ記憶媒体。
【請求項17】
USBハブ(8)を備え、前記USBハブ(8)によって前記端末(2)への前記データ接続が前記携帯型データ記憶媒体(1)において複数の個別信号経路に分けられることを特徴とする請求項15または16に記載の携帯型データ記憶媒体。
【請求項18】
フラッシュEEPROMとして構成されたメモリ(4)を備えることを特徴とする請求項15から17のいずれかに記載の携帯型データ記憶媒体。
【請求項19】
生物測定データを検出するためのセンサ(5)、特に指紋センサを備えることを特徴とする請求項15から18に記載の携帯型データ記憶媒体。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2007−517287(P2007−517287A)
【公表日】平成19年6月28日(2007.6.28)
【国際特許分類】
【出願番号】特願2006−544316(P2006−544316)
【出願日】平成16年12月14日(2004.12.14)
【国際出願番号】PCT/EP2004/014237
【国際公開番号】WO2005/059722
【国際公開日】平成17年6月30日(2005.6.30)
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
【公表日】平成19年6月28日(2007.6.28)
【国際特許分類】
【出願日】平成16年12月14日(2004.12.14)
【国際出願番号】PCT/EP2004/014237
【国際公開番号】WO2005/059722
【国際公開日】平成17年6月30日(2005.6.30)
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
[ Back to top ]