ソフトトークンを生成する方法
本発明は、IDトークン(106、106')に格納されている少なくとも1つの属性を読み出す方法であって、IDトークンをユーザ(102)に割り当てるために、方法は、IDトークンに対してユーザを認証する段階と、IDトークンに対して第1のコンピュータシステム(136)を認証する段階と、IDトークンに対するユーザおよび第1のコンピュータシステムの認証が成功すると、第1のコンピュータシステムからIDトークンに格納されている少なくとも1つの属性への読み出しアクセスを行い、第1のコンピュータシステムを介して、IDトークンから読み出した少なくとも1つの属性に署名を提供することで第1のソフトトークンを生成し、第1のソフトトークンをデバイスに送信する段階とを備える方法に関する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ソフトトークンを生成する方法、コンピュータプログラムプロダクト、IDトークン、およびコンピュータシステムに係る。
【背景技術】
【0002】
先行技術から、ユーザのいわゆるデジタルID管理方法として様々な方法が知られている。
【0003】
Microsoft社のWindows(登録商標)CardSpaceは、インターネットユーザに、自身のデジタルIDをオンラインサービスに通信させるためのクライアントベースのデジタルIDシステムである。この技術の特に悪い点は、ユーザが自身のデジタルIDを操作できてしまうことである。
【0004】
これに対して、OPENIDは、サーバベースのシステムである。いわゆるIDサーバは、登録されているユーザのデジタルIDを含んだデータベースを格納している。この技術の特に悪い点は、ユーザのデジタルIDが中央的に格納され、ユーザの行動を記録することができてしまうので、データ保護ができないことである。
【0005】
デジタルIDを管理するまた別の方法に、米国特許出願公開第2007/0294431号明細書があり、この技術もユーザ登録を必要とする。
【0006】
トークンベースの認証方法は、同じ特許出願人によるドイツ特許出願である第10 2008 000 067.1−31号明細書、第10 2008 040 416.0−31号明細書、第10 2008 042 262.2−31号明細書、および、第10 2009 026 953.3号明細書があり、出願時には公開されていない。
【発明の概要】
【発明が解決しようとする課題】
【0007】
これに対して、本発明は、ソフトトークンを生成するための向上した方法、および、対応するコンピュータプログラムプロダクト、IDトークン、およびコンピュータシステムを作成するという課題に基づくものである。
【課題を解決するための手段】
【0008】
本発明の課題は、独立請求項の特徴によりいずれの場合も達成される。本発明の実施形態は、従属請求項に記載されている。
【0009】
本発明の実施形態においては、IDトークンに格納されている少なくとも1つの属性を読み出す方法であって、IDトークンをユーザに割り当てるために、方法は、IDトークンに対してユーザを認証する段階と、IDトークンに対して第1のコンピュータシステムを認証する段階と、IDトークンに対するユーザおよび第1のコンピュータシステムの認証が成功すると、IDトークンに格納されている少なくとも1つの属性への読み出しアクセスを行い、第1のコンピュータシステムを介して、IDトークンから読み出した少なくとも1つの属性に署名を提供することで第1のソフトトークンを生成し、第1のソフトトークンをデバイスに送信する段階とを備える方法が提供される。この手段により、「信頼点」を作成することができる。
【0010】
本発明によると、IDトークンに格納されている属性の1以上を、第1のコンピュータシステムにより読み出させて、IDトークンと第1のコンピュータシステムとの間の接続を、ネットワーク(特にインターネット)経由で構築することができる。少なくとも1つの属性は、IDトークンに割り当てられたユーザのID(特にいわゆるデジタルID)に関する情報であってよい。例えば、第1のコンピュータシステムは、姓名、アドレス等の属性を読み出し、第1のソフトトークンを生成する。
【0011】
しかし、ユーザのIDを証明するための用途ではなくて、ユーザが、特定の年齢群のオンラインサービスにアクセスを希望する場合にはユーザの年齢、また別の例としては、ユーザが、オンラインサービスを利用する資格を与えられている特定の団体の会員であることを示す別の属性等、ユーザが特定のオンラインサービスを利用する資格を証明するために、単一の属性を読み出すこともできる。
【0012】
IDトークンの例としては、USBスティック、または、書類(document)(特に重要書類またはセキュリティ関連の書類)等の可搬型電子デバイスであってもよい。
【0013】
本発明における、「書類」は、特定の紙および/またはプラスチックの書類(例えば、識別書類)のことと理解されてよく、特に、パスポート、個人識別カード、査証、運転免許証、車両登録証、車両タイトル証(certificates of vehicle title)、社員証、健康保険証、その他のID書類(例えばチップカード)、支払い手段(特に、紙幣、銀行カード、クレジットカード)、着陸証書(bills of landing)、その他の、少なくとも1つの属性を格納するためのメモリデータを統合可能な証明書のことであってよい。
【0014】
「ソフトトークン」は、ここでは、特に、信頼の置ける機関が署名したデータ記録のことであり、1以上の属性を含んでいるものとする。ソフトトークンに対する認証が事前に行われていることを、ソフトトークンから属性を読み出す前提条件とする。このためには、ソフトトークンに対する読み出しアクセスの前に、コード(例えばパスワード、PIN、またはTAN)を先ず入力するように、ソフトトークンを設計するとよい。このようなソフトトークンも、ソフトトークンと称する。
【0015】
「デバイス」は、ここでは、特に固定型または移動型のコンピュータのことであってよい(特にモバイル・エンド・デバイス、第1のソフトトークンを受信するための、および/または、サービスコンピュータシステムと通信するための通信インタフェースを有するデバイス)。特に、デバイスは、ユーザがサービス要求をサービスコンピュータシステムに送るためのインターネットブラウザを有することができる。一例として、デバイスは、移動無線インタフェースを有するモバイルデバイスであってよい(例えば、移動電話、可搬型コンピュータ、スマートフォン、または、情報携帯端末(PDA))。
【0016】
このように、本発明の実施形態は、少なくとも1つの属性を特定の信頼できる書類(公的文書等)から読み出すので、特に好適である。属性を中央で格納することが不要になる点も顕著な利点である。従って本発明の実施形態は、デジタルIDに属する属性の通信を、高度な信頼性をもって、且つ、最適なデータ保護および非常に簡便な処理で達成することができる。
【0017】
本発明の一実施形態では、第1のコンピュータシステムは、第1のコンピュータシステムをIDトークンに対して認証するのに利用される少なくとも1つの証明書を有している。証明書は、第1のコンピュータシステムが読み取りを許可されている属性の情報を含む。証明書の助けを受けて、IDトークンは、第1のコンピュータシステムが読み出しアクセスを実行する前に、第1のコンピュータシステムが属性への読み出しアクセスに必要な読み出し許可を有しているかを判断する。
【0018】
「証明書」は、ここでは、公開鍵証明書とも称されるデジタル証明書の意味である。証明書は、人または装置等のIDに非対称暗号方式の公開鍵を割り当てるのに利用される構造化されたデータを利用する。例えば、証明書は、X.509規格その他の規格に準拠したものであってよい。
【0019】
本発明の一実施形態では、第1のコンピュータシステムは、第1のソフトトークンをデバイスに直接送信する。第1のソフトトークンから、デバイスは、第1のソフトトークンの属性のサブセットを含む第2のソフトトークンを生成することができる。デバイスは、第2のソフトトークンまたは第1のソフトトークンのコピーを第2のコンピュータシステムに送信することができる。例えば第2のコンピュータシステムは、バンキングサービスまたは製品の発注等のオンラインサービスその他のサービスを行うサーバであってよい。例えばユーザは、ユーザのIDを含む属性を銀行の第2のコンピュータシステムに送信することで、アカウントをオンラインで開設することができる。
【0020】
本発明の一実施形態では、第1のコンピュータシステムからの第1のソフトトークンの送信は、先ずユーザの第3のコンピュータシステムを介してIDトークンへと、エンドツーエンド暗号化との接続を介して行われる。または、ユーザは、第1のコンピュータシステムから第3のコンピュータシステムに、通常のインターネットブラウザを利用して、直接ダウンロードすることができる。
【0021】
本発明の一実施形態では、第2のコンピュータシステムは、デバイスからのサービス要求に続いて、例えばユーザまたは彼のIDトークンの、サービスを提供したり受注したりするために必要となる属性を指定することができる。これらの属性の指定を含む適切な属性の指定は、次に、第2のコンピュータシステムによってデバイスへと送信される。
【0022】
本発明の一実施形態では、第1のソフトトークンは、第1のコンピュータシステムから第3のコンピュータシステムに転送される。第3のコンピュータシステムのユーザは、第1のソフトトークンに含まれる属性を、読み出すことはできるが変更することはできない。ユーザの承認を経て初めて、第3のコンピュータシステムは、ソフトトークンをデバイスに送信する。
【0023】
本発明の一実施形態では、ユーザは、転送前の第1のソフトトークンの属性にデータを追加することができる。
【0024】
本発明の一実施形態では、第1のコンピュータシステムは、異なる読み取り権利を有する複数の証明書を有する。属性の指定を含む信号を受信すると、第1のコンピュータシステムは、1以上の証明書を選択して、IDトークンまたは複数の異なるIDトークンから、適切な属性を読み出す。
【0025】
本発明の一実施形態では、第1のコンピュータシステムは、ユーザの第3のコンピュータシステムから信号を受信する。信号によって、ユーザのIDトークンに対して第1のソフトトークンを生成するよう、第1のコンピュータシステムに伝えられる。信号には、第1の属性の指定(第1のソフトトークンを生成することが想定されているIDトークンの属性が指定されているもの)が含まれていてよい。加えて、信号は、第1のソフトトークンの転送先として想定されているデバイスのアドレスも示すことができる。このアドレスは例えば、デバイスの電話番号または電子メールアドレスであってよい。
【0026】
この信号を受信すると、ユーザがIDトークンに対して自身を認証して、IDトークンと第1のコンピュータシステムとの間で相互に認証が行われた後で、IDトークンによって第1のコンピュータシステムに属性が転送される。IDトークンから第1のコンピュータシステムへの属性の転送は、公的には、エンドツーエンド暗号化への接続により行われると好ましい。
【0027】
例えば、IDトークンと第1のコンピュータシステムとの間の相互認証は、チャレンジ・レスポンス方式で行われる。このチャレンジ・レスポンス方式の実行に利用されるチャレンジから、接続のエンドツーエンド暗号化に利用される対称鍵を導出して、この接続を介して属性を転送する。
【0028】
本発明の一実施形態では、第1のコンピュータシステムは、IDトークンから受信した属性にタイムスタンプを提供する。このタイムスタンプは、属性の受信時刻または送信時刻を示すことができる。このタイムスタンプは、最大有効期間を示していると望ましい。
【0029】
好適には、個々の属性のそれぞれにタイムスタンプを与える。個々の属性とタイムスタンプとの対には、その都度、署名される。署名されタイムスタンプを押された属性は、次に、第1のソフトトークンに統合される。第1のコンピュータシステムは、例えば、第1のソフトトークンのためのTANリストを生成する。TANリストは、印刷された形で、または、電子送信として(例えばSMSまたは電子メールで)、ユーザに送られてもよいし、ユーザが第1のコンピュータシステムのウェブサイトからTANリストをダウンロードしてもよい。
【0030】
本発明の一実施形態では、第1のソフトトークンを第1のコンピュータシステムからデバイスに直接送信する。デバイスに第1のソフトトークンを格納する。または、第1のソフトトークンを、先ずは第1のコンピュータシステムから第3のコンピュータシステムに送信する。第3のコンピュータシステムから、第1のソフトトークンをデバイスに送信することができ、ここでは、ユーザは、事前に送信を承認する権利、および/または、さらなる情報を第1のソフトトークンに事前に追加する権利を有してよい。ここで特に好適なのは、デバイスは、IDトークン用のインタフェースを有す必要がなく、単に、デバイスが第1のソフトトークンを受信することができる通信インタフェースのみを有すればいい点である。
【0031】
本発明の一実施形態では、ユーザは、自身のデバイスに助けられた、例えばインターネット経由で第2のコンピュータシステム(つまりサービスコンピュータシステム)が提供するサービスを利用することができる。このために、ユーザは、自身のデバイスのインターネットブラウザを立ち上げて、第2のコンピュータシステムのウェブサイトのURLを入力する。このウェブサイトでは、ユーザは、所望のサービスを選択して、自身のデバイスでエンターキーを押して、対応するサービス要求をデバイスから第2のコンピュータシステムに送信する。第2のコンピュータシステムは、このサービス要求に対して、属性の指定を返信し、これら属性は、第2のコンピュータシステムが、要求されたサービスを提供する必要があることを示している(in which those attributes are indicated that the second computer system requires to provide the requested service.)。
【0032】
次にデバイスは第1のソフトトークンにアクセスして、第1のソフトトークンから、署名されタイムスタンプを押されて、第2のコンピュータシステムの属性の指定により提供された属性を読み出す。これらは、第1のソフトトークンの全ての属性またはこれらの属性の一部であってよい。これら署名されタイムスタンプを押された属性は、デバイスから第2のコンピュータシステムに送信される第2のソフトトークンに導入される。第2のソフトトークンを送信するための前提条件として、ユーザが先ず自身を、デバイス経由で第1のトークンに対して認証する必要がある(例えば、ユーザが識別子(特に、自身のTANリストのうちのTANのいずれかをデバイスに入力することにより))。
【0033】
本発明の一実施形態では、第2のコンピュータシステムが、第2のソフトトークンの受信後に、属性の署名の有効性を検証する。加えて、第2のコンピュータシステムは、第2のソフトトークンが有効期間切れになっていないか(属性のタイムスタンプに示されている)を検証する。署名が有効で、有効期間を過ぎていない場合には、第2のコンピュータシステムは、要求されているサービスを、属性が要求されている基準を充たしている範囲内で提供する。
【0034】
本発明の実施形態は、ソフトトークンの利用を第1のコンピュータシステムに信号で伝える必要がない場合には、第1のコンピュータシステムが、第1のソフトトークンの利用に関するプロフィールを生成しなくてよい点が顕著な利点である。実際、第1のソフトトークンは、デバイスと第2のコンピュータシステムとの間で利用される。
【0035】
発明のさらなる態様は、本発明の方法を実行するための実行可能なプログラム命令を有するデジタル格納媒体等のコンピュータプログラムプロダクトに関する。
【0036】
本発明のさらなる態様は、少なくとも1つの属性を格納するための、保護されたメモリと、IDトークンに対して、IDトークンに割り当てられているユーザを認証する手段と、IDトークンに対して第1のコンピュータシステムを認証する手段と、保護された接続を第1のコンピュータシステムに構築して、第1のコンピュータシステムが少なくとも1つの属性を読み出すことができるようにする手段と、第1のコンピュータシステムから保護された接続を介して、少なくとも1つの属性を含む第1のソフトトークンを受信する手段と、第1のソフトトークンを発行する手段とを備え、IDトークンから少なくとも1つの属性を読み出すための必須の前提条件は、IDトークンに対するユーザおよび第1のコンピュータシステムの認証が成功することであるIDトークンに関する。
【0037】
本発明の一実施形態では、第1のソフトトークンはIDトークンのメモリ領域に格納され、ここには、IDトークンのインタフェースを介して外部から読み出しアクセスが行われる。例えば、第1のソフトトークンは、第3のコンピュータシステム(つまりユーザコンピュータシステム)が読み出し、デバイスに送信することができる。
【0038】
機械可読旅行書類(machine-readable travel documents)用の拡張アクセス制御(MRTD)として知られており、国際民間航空機関(ICAO)として指定されているようにIDトークンに対して第1のコンピュータシステムを認証することに加えて、ユーザは、IDトークンに対して自身を認証する必要がある。例えば、ユーザのIDトークンに対する認証が成功すると、ユーザが承認され、次のステップ(つまり、第1のコンピュータシステムのIDトークンに対する認証、および/または、属性を読み出すためのセキュアな接続の生成)を実行することができるようになる。
【0039】
本発明の一実施形態では、IDトークンは、エンドツーエンド暗号化手段を有する。これにより、ユーザがエンドツーエンド暗号化によって、接続によって送信されたデータに変更を加えることができなくなるので、IDトークンと第1のコンピュータシステムとの間の接続を、ユーザの第3のコンピュータシステムを介して構築することができるようになる。
【0040】
本発明のさらなる態様は、信号を受信する手段と、IDトークンに対して認証する手段と、IDトークンから、保護された接続を介して少なくとも1つの属性を受信する手段と、少なくとも1つの属性にタイムスタンプを提供する手段と、少なくとも1つの署名されタイムスタンプが提供された属性を含む第1のソフトトークンを生成する手段と、第1のソフトトークンを送信する手段とを備え、少なくとも1つの属性を受信するためには、IDトークンに割り当てられているユーザとコンピュータシステムとが、IDトークンに対して認証されていることを必要とする第1のコンピュータシステムに係る。
【0041】
本発明の一実施形態では、第1のコンピュータシステムは、ユーザに対する要求を生成する手段を含んでよい。第1のコンピュータシステムは、信号を受信すると、ユーザの第3のコンピュータシステムに要求を送って、ユーザに対して、自身をIDトークンに対して認証するよう要求する。ユーザのIDトークンに対する認証が成功すると、第1のコンピュータシステムは、第3のコンピュータシステムからの確認を受信する。この後、第1のコンピュータシステムは、自身をIDトークンに対して認証して、IDトークンと第1のコンピュータシステムとの間のセキュアな接続を、エンドツーエンド暗号化を利用して構築する。
【0042】
本発明の一実施形態では、第1のコンピュータシステムは、それぞれが異なる読み出し許可権を有する複数の証明書を有する。属性の指定を有する信号を受信すると、第1のコンピュータシステムは、これら証明書から、指定された属性を読み出すのに足る読み出し許可権を有する少なくとも1つの証明書を選択する。
【0043】
本発明による第1のコンピュータシステムの実施形態は、ユーザをIDトークンに対して認証する必要を課すことに加えて、ユーザの不変のデジタルIDの信頼点を組み合わせることで、顕著な効果を奏する。これには、コンピュータにユーザを事前に登録する必要がなく、デジタルIDを形成するユーザ属性を中央で格納する必要がないので、特に好適である。
【0044】
本発明の一実施形態では、コンピュータシステムは、正式認定されているトラストセンターであり、特に、署名法に準拠したトラストセンターであってよい。
【0045】
本発明の実施形態を、図面を参照して詳述する。
【図面の簡単な説明】
【0046】
【図1】デバイスに対する第1のソフトトークンの生成および送信に関する本発明のコンピュータシステムの第1の実施形態のブロック図である。
【図2】第1のソフトトークンの利用に関する本発明のコンピュータシステムの第1の実施形態のブロック図である。
【図3】デバイスに対する第1のソフトトークンの生成および送信に関する本発明の方法の実施形態のフローチャートである。
【図4】第1のソフトトークンの利用に関する本発明の方法の実施形態のフローチャートである。
【発明を実施するための形態】
【0047】
以下の実施形態において、対応する部材同士は、同じ参照番号を付して識別している。
【0048】
図1は、ユーザ102のコンピュータシステム100を示す。ユーザコンピュータシステム100は、パソコン、ラップトップまたはパームトップ型のコンピュータ、情報携帯端末(PDA)、モバイル電話通信デバイス(特にスマートフォン等)等の可搬型コンピュータであってよい。ユーザコンピュータシステム100は、対応するインタフェース108を有するIDトークン106と通信するインタフェース104を有している。
【0049】
ユーザコンピュータシステム100は、プログラム命令112を実行する少なくとも1つのプロセッサ110と、ネットワーク116を介して通信するネットワークインタフェース114とを有する。ネットワークは、例えばインターネット等のコンピュータネットワークであってよい。
【0050】
IDトークン106は、保護されたメモリ領域120、122、および124を有する電子メモリ118を有する。保護されているメモリ領域120は、参照値をセーブする機能を有し、これは、IDトークン106に対してユーザ102を認証するために必要である。この参照値は、特に個人識別番号(PIN)であってよく、あるいは、IDトークン106に対するユーザの認証に利用することのできるユーザ102の生物学的特徴の参照データであってもよい。
【0051】
IDトークン106は、第1のソフトトークン158を格納するメモリ領域125も有する。これは、例えば、インタフェース108を介して外部からアクセス可能なIDトークンのバルクメモリのメモリ領域であってよい。
【0052】
保護領域122は秘密コードを格納し、保護されたメモリ領域124は、例えばユーザ102の属性等の属性(例えば名称、住所、誕生日、性別)、および/または、IDトークン自身の属性(例えばIDトークンを生成または発行した機関、IDトークンの有効期間、または、パスポート番号またはクレジットカード番号等のIDトークンの識別子)を格納する。
【0053】
電子メモリ118は、さらに、証明書を格納するメモリ領域126を有してもよい。証明書は、保護されているメモリ領域122に格納されている秘密鍵に割り当てられる公開鍵を含む。証明書は、X.509規格等の公開鍵インフラストラクチャ(PKI)規格に従って生成することができる。
【0054】
証明書は、必ずしもIDトークン106の電子メモリ118に格納されなければならないというわけではない。証明書は、電子メモリ118の代わりに、または電子メモリ118に加えて、公開ディレクトリサーバに格納されていてもよい。
【0055】
IDトークン106はプロセッサ128を有する。プロセッサ128は、プログラム命令130、132、および134を実行する機能を有する。プログラム命令130は、ユーザを認証する(つまりIDトークンに対してユーザ102を認証する)。
【0056】
PINの一実施形態では、ユーザ102は自身の認証用PINをIDトークン106に、ユーザコンピュータシステム100を利用して入力する。プログラム命令130を実行すると、保護されているメモリ領域120にアクセスが行われて、入力されたPINと、格納されているPINの参照値とが比較される。入力されたPINがPINの参照値と合致すると、ユーザ102が認証される。
【0057】
または、ユーザ102の生物学的特徴を登録することもできる。例えば、IDトークン106は、この目的用の指紋センサを有してよく、あるいは、指紋センサがユーザコンピュータシステム100に接続されていてよい。この実施形態では、ユーザ102について記録された生物学的特徴を、プログラム命令130の実行により、保護されているメモリ領域120に格納されている生物学的参照データと比較する。ユーザ102について記録された生物学的データと、生物学的参照データとが十分合致すると、ユーザ102が認証されたとみなされる。
【0058】
プログラム命令134は、IDプロバイダコンピュータシステム136をIDトークン106に対して認証する暗号プロトコルの、IDトークン106に関するステップを実行する。暗号プロトコルは、対称鍵または非対称鍵の対に基づくチャレンジ・レスポンス方式のプロトコルであってよい。
【0059】
例えば、暗号プロトコルは、機械可読旅行文書(MRTD)についてICAOが指定する、拡張アクセス制御方法により実装することができる。IDプロバイダコンピュータシステム136は、暗号プロトコルの実行に成功することにより、自身をIDトークンに対して認証して、これにより、自身の、保護されているメモリ領域124に格納されている属性を読み出す許可権を検証する。認証は相互に行われるものであってもよい(つまり、IDトークン106も、同じまたは別の暗号プロトコルに従って、IDプロバイダコンピュータシステム136に対しても自身を認証せねばならない)。
【0060】
プログラム命令132は、IDトークン106とIDプロバイダコンピュータシステム136の間で送信されるデータ、または、少なくとも、IDプロバイダコンピュータシステム136の少なくとも保護されたメモリ領域124から読み出した属性の、エンドツーエンド暗号化を行うことができる。エンドツーエンド暗号化においては、暗号プロトコル実行中にIDトークン106およびIDプロバイダコンピュータシステム136の間で承認されている対称鍵を利用することができる。
【0061】
図1に示す実施形態の代わりに、インタフェース104を有するユーザコンピュータシステム100は、直接インタフェース108と通信するのではなくて、インタフェース104に接続されているIDトークン106の読み出しデバイスを介して通信することができる。PIN入力も、この読み出しデバイス(例えばいわゆるクラス2チップカード端末)を介して行われてよい。
【0062】
IDプロバイダコンピュータシステム136は、ネットワーク116を介した通信用のネットワークインタフェース138を有する。さらに、IDプロバイダコンピュータシステム136は、IDプロバイダコンピュータシステム136の秘密鍵142および対応する証明書144が格納されているメモリ140を有する。この証明書はさらに、X.509規格等のPKI規格に則った証明書であってよい。
【0063】
IDプロバイダコンピュータシステム136はさらに、プログラム命令146および148を実行する少なくとも1つのプロセッサ145を有する。プログラム命令146の実行により、IDプロバイダコンピュータシステム136に関する暗号プロトコルのステップが実行される。従って、全体として暗号プロトコルは、IDトークン106のプロセッサ128によるプログラム命令134の実行により、および、IDプロバイダコンピュータシステム136のプロセッサ145によるプログラム命令146の実行により、実装される。
【0064】
プログラム命令148は、例えば、IDトークン106とIDプロバイダコンピュータシステム136との間で暗号プロトコルの実行中に承認された対称鍵に基づいて、IDプロバイダコンピュータシステム136の側にエンドツーエンド暗号化を実装することができる。また原則として、エンドツーエンド暗号化の対称鍵を共有するために既に公知の方法を利用することもできる(例えばディッフィーへルマン鍵共有法)。
【0065】
IDプロバイダコンピュータシステム136は、いわゆる信頼できるセンター等の格別に保護された環境に配置されることが望ましく、こうすることで、IDプロバイダコンピュータシステム136は、ユーザ102のIDトークン106に対する認証を課すことと合わせて、IDトークン106から読み出される属性の正当性について信頼点を形成することができる。
【0066】
プロセッサ145も、IDトークンから受信する属性160のタイムスタンプをするのに利用されるプログラム命令147を実行するために利用することができる。このために、第1のコンピュータシステム136のタイムベース162は、プログラム命令の実行によりアクセスされる。タイムベース162は、例えば現在の時間情報(例えばUNIX時間として)を提供する。現在の時刻に、例えば数日という時間間隔を加えて、最大有効期間を得る。この有効期限により属性160がそれぞれのタイムスタンプを押される。タイムスタンプを押された属性は、次に、証明書144および秘密鍵142の助けを借りて、IDプロバイダコンピュータシステム136により別個に署名される。タイムスタンプされ、署名された属性160は、次にソフトトークン158にまとめられる。
【0067】
プロセッサ145はさらに、プログラム命令を実行するためにも利用される。プログラム命令151の実行によって、ソフトトークン158の1以上のIDが生成される。パスワードの場合には、PINまたはTANリストを利用することができる。ソフトトークン158をデータソースとして利用するための前提条件は、IDをこのケースに必ず入力して、ユーザが自身をソフトトークンに対して認証することである。
【0068】
IDプロバイダコンピュータシステム136は、ID(それぞれのID)を印刷するプリンタに接続されていてよい。印刷結果は、例えばPINまたはTANレターと通常称される郵送によりユーザ102に送られる。この代わりに、またはこれに加えて、1以上のIDをユーザ102に対して、例えばSMSまたは電子メール等で電子的に送信することもできる。この代わりに、またはこれに加えて、少なくとも1つのIDを第1のコンピュータシステム136のウェブサイトに利用可能な形で載せて、ユーザ102がダウンロードできるようにしてもよい。
【0069】
ユーザ102は、例えば所謂ハンディーフォンまたはスマートフォンと称されるような利用可能なデバイス164を有する。デバイス164は、ネットワーク116経由で通信するインタフェース166を有する。インタフェース166は、特に、デジタルセルラーモバイルのモバイルフォンインタフェースであってよい。特にインタフェース166には、モバイルインターネットプロトコルの実行のために開発されたものを利用して、ユーザ102が、デバイス164(例えば所謂ハンディーフォンまたはスマートフォンと称されるもの)の助けを借りて、インターネットを利用することができるようにすることができる。
【0070】
モバイルフォンデバイス164は、ソフトトークン158を格納するための電子メモリ168を有する。このメモリは、デバイス164の一体部品であってよい。こうすると、ユーザ102はソフトトークン158を異なるデバイスで便利に利用できるために好適である。
【0071】
デバイス164は、プログラム命令172を実行するためのプロセッサ170を有し、これにより、特にインターネットブラウザおよびユーザインタフェースを実装することができる。ユーザインタフェースは、デバイス164への参照174を含む。
【0072】
プロセッサ170はさらに、プログラム命令176を実行することができ、これによりIDプロバイダ機能を行うことができる。特に、プログラム命令176は、第1のソフトトークン158から第2のソフトトークン178(図2参照)を生成するために利用される。
【0073】
サービスコンピュータシステム150は、サービスまたは製品(特にオンラインサービス)の発注または契約を受け付けるように設計されていてよい。例えばユーザ102は、ネットワーク116経由でオンラインの銀行口座を開設することができ、または、その他の金融または銀行サービスを利用することができる。サービスコンピュータシステム150はさらに、ユーザ102が、そこから例えば製品をオンラインで取得することができるようなオンラインのウェアハウスとして設計されてもよい。サービスコンピュータシステム150はさらに、音楽および/またはビデオデータのダウンロード用にデジタルコンテンツを配信するよう設計されていてもよい。
【0074】
これを行うために、サービスコンピュータシステム150は、ネットワーク116に接続するためのネットワークインタフェース152を有する。さらにサービスコンピュータシステム150は、プログラム命令156を実行するために少なくとも1つのプロセッサ154を有する。プログラム命令156の実行により、例えば動的HTMLページが生成され、これにより、ユーザ102は発注入力することができる。
【0075】
契約または発注された製品またはサービスの種類に応じて、サービスコンピュータシステム150は、ユーザ102の1以上の属性および/またはそのIDトークン106を、1以上の構築された基準を用いてテストする必要がある。このテストに合格した場合にのみ、ユーザ102の発注または要求を受け付ける、および/または、実行することができる。
【0076】
例えば、銀行口座を開設するために、または、関連する契約でモバイルフォンを購入するためには、ユーザ102が、サービスコンピュータシステム150に対して自身の実体を開示する必要があり、この実体がテストされる必要がある。このために、現在の技術水準では、ユーザ102は、自身のIDカード等を提供する必要がある。この処理を、ユーザ102のデジタルIDを彼のIDトークン106から読み出すことに置き換えることができる。
【0077】
しかし用途によっては、ユーザ102は、サービスコンピュータシステム150に対して自身の実体を開示する必要がなく、例えば属性の1つのみを送信するだけでいい場合もある。例えば、ユーザ102は、属性のいずれかを証明することで、サービスコンピュータシステム150上にダウンロードする準備のできているデータにアクセスすることを許可されている特定の団体に自身が属しているということを証明することができる。このような基準は、ユーザ102の最小年齢、または、ユーザ102が特定の機密データに対するアクセスが許可された人々の集まりの会員であること等であってよい。
【0078】
サービスコンピュータシステム150のプロセッサ154はさらに、プログラム命令180および182を実行するために利用することができる。加えて、サービスコンピュータシステム150はタイムベース184を終了しており(through a time-basis 184)、これはIDプロバイダコンピュータシステム136のタイムベース162と同期されている。
【0079】
プログラム命令180の実行により、サービスコンピュータシステム150は、署名の有効性(特に、ソフトトークン178のタイムスタンプを押された属性の署名)を検査することができる。プログラム命令182の実行により、サービスコンピュータシステム150は、さらに、属性のタイムスタンプが提供する有効期間を超えていないかを検査することができる。
【0080】
ソフトトークン158を生成し、デバイス164に転送する手順は以下の通りである。
【0081】
1.IDトークン106に対するユーザ102の認証。
ユーザ102は、自身をIDトークン106に対して認証する。PINの実装の場合には、ユーザ102は自身のPINを、例えばユーザコンピュータシステム100または接続されているチップカード端末を介して入力する。プログラム命令130を実行することにより、IDトークン106は、入力されたPINが正しいかを検査する。入力されたPINが、PINの格納されている参照値の保護されているメモリ領域120と合致する場合には、ユーザ102が認証されたとみなされてよい。この上述した手順は、ユーザ102が認証時に生物学的特徴を利用する場合にも同様に利用可能である。
【0082】
2.IDプロバイダコンピュータシステム136のIDトークン106に対する認証。このために、IDトークン106とIDプロバイダコンピュータシステム136との間に、ユーザコンピュータシステム100およびネットワーク116を介して接続188を構築する。例えば、IDプロバイダコンピュータシステム136は、自身の証明書を、IDプロバイダコンピュータシステム136へのこの接続を介してIDトークン106転送する。プログラム命令134によって所謂チャレンジ(乱数:chance number)が生成される。この乱数は、証明書144に含まれているIDプロバイダコンピュータシステム136の公的な鍵で暗号化される。この結果得られる暗号化された数は、IDトークン106からこの接続を介してIDプロバイダコンピュータシステム136へ送られる。IDプロバイダコンピュータシステム136は、秘密鍵142の助けを得て、暗号化された数を復号して、乱数を得る。乱数は、IDプロバイダコンピュータシステム136からIDトークン106へと、接続を介して戻される。プログラム命令134の実行により、IDプロバイダコンピュータシステムが受信した乱数が、元々生成された乱数(つまりチャレンジ)と合致するかチェックされる。合致する場合には、IDプロバイダコンピュータシステム136は、IDトークン106に対して認証されたとみなすことができる。乱数は、エンドツーエンド暗号化の対称鍵として利用することができる。
【0083】
3.ユーザ102がIDトークン106に対する自身の認証に成功し、IDプロバイダコンピュータシステム136がIDトークン106に対する自身の認証に成功すると、IDプロバイダコンピュータシステム136は、保護されている格納領域124に格納されている属性のうち1つ、幾つか、または全てを選択する読み取り許可を受信する。IDトークンへの接続を介してIDプロバイダコンピュータシステム136が送信している対応する読み出しコマンドによって、保護されている格納領域124から、要求されている属性を読み出して、プログラム命令132を実行して暗号化する。暗号化された属性160は、接続を介してIDプロバイダコンピュータシステム136に転送され、次に、プログラム命令148の実行により暗号化する。このようにして、IDプロバイダコンピュータシステム136がIDトークン106から属性160を読み出す。
【0084】
上述したステップ1からステップ3の実行は、例えばユーザコンピュータシステム100からIDプロバイダコンピュータシステム136へ送られる信号186によりトリガされる。例えばユーザ102は、ユーザコンピュータシステム100に、自身のデバイス164のソフトトークン158を生成する要求を与え、プログラム命令112の実行により信号186が生成されて、ネットワークインタフェース114経由でIDプロバイダコンピュータシステム136に送信される。信号186は、第1の属性の指定(格納領域124に格納されている属性のいずれがソフトトークン158の生成に含まれるか、を示す)。信号186がこの属性の指定を含んでいない場合には、実装形態に応じて、予め定義された属性、または、格納領域124に格納されている全ての属性をソフトトークン158の生成に含めてよい。
【0085】
加えて、信号186は、デバイス164のアドレス(例えばその電話番号)を含んでよい。
【0086】
4.属性160には、受信された後で、それぞれ別個にタイムスタンプ(例えば、有効期間を示す)を、プログラム命令147を実行して押す。タイムスタンプを押された属性160は次に、IDプロバイダコンピュータシステム136により、証明書144および秘密鍵142の助けを得て別個に署名され、ソフトトークン158内にまとめられる。ソフトトークン158は、ソフトトークン158がデータソースとして利用されるためには、プログラム命令151の実行により生成されてユーザ102に送信される、IDの助けを借りて行われる事前のユーザ認証が必要となるように生成される。 実行の形態に応じて、ソフトトークン158は、IDプロバイダコンピュータシステム136からIDトークン106への保護された接続188を介して転送され、そこで格納領域125に格納される。ユーザコンピュータシステム100は、インタフェース104の助けを借りて、格納領域125にアクセスして、そこからソフトトークン158を読み出して、ネットワークインタフェース114経由でデバイスに転送することができ、そこでソフトトークン158を格納領域168に格納する。
【0087】
IDプロバイダコンピュータシステム136からデバイス164へのソフトトークン158の転送は、さらに、SMSをデバイスの電話番号に送ることにより、または、電子メールをデバイスの電子メールアドレスに送ることにより、直接デバイスのアクセスに行われてもよい。
【0088】
ユーザ102のIDトークン106に対する認証、および、IDトークン106に対するIDプロバイダコンピュータシステム136の認証が必要なことから、必要な信頼点が生成され、属性が正しいものであり、偽造されたものではないことを確認することができ、必要な安全性が保たれる。
【0089】
認証の順序は、実施形態に応じて変更させてよい。例えば、ユーザ102が先ず自身をIDトークン106に対して認証してから、IDプロバイダコンピュータシステム136が認証する、として設定することもできる。しかし、原則としては、IDプロバイダコンピュータシステム136は、自身をIDトークン106に対して先ず認証してからでないと、ユーザ102が認証することができない、と考えられる。
【0090】
最初のケースでは、IDトークン106は、正しいPINまたは生物学的特徴がユーザ102により入力されたときのみにクリアされるよう設定されている。このクリアによって、プログラム命令132および134が開始され、これにより、IDプロバイダコンピュータシステム136の認証が行われる。
【0091】
二番目のケースでは、プログラム命令132および134は、ユーザ102がまだ自身をIDトークン106に対して認証していない場合でも開始されてよい。このケースでは、例えばプログラム命令134が、IDプロバイダコンピュータシステム136が、幾つかの属性124に読み出しアクセスを行い、ユーザ102の認証の成功がプログラム命令130により信号により伝えられた後でのみ、1以上の属性を読み出す。
【0092】
IDトークン106は、電子商取引、および電子政府アプリケーションの用途に利用されると、ユーザ102およびIDプロバイダコンピュータシステム136が、IDトークン106が構築する信頼点に対して認証することを義務付けることによって、セキュリティ侵害を防ぎ、法的にセキュアになるので、特に好適である。さらに、様々なユーザ102の属性の中央メモリが不要である点も有利であり、これによって現在の技術水準のデータセキュリティ問題が解決される。方法の利用を便利にするという観点からは、ユーザ102を予め登録しておいて、IDプロバイダコンピュータシステム136を不要にすると特に好適である。
【0093】
さらなる格別な利点としては、ソフトトークン158の利用にIDプロバイダコンピュータシステム136の利用が関与しないために、IDプロバイダコンピュータシステム136によって、ソフトトークン158の利用に対してプロフィールが準備されない点が挙げられる。
【0094】
図2は、上述したような、サービスコンピュータシステム150に対する、デバイス164の助けを借りて行われるソフトトークン158の利用を示す。例えばユーザ102は、自身のデバイス164のインターネットブラウザを開始して、サービスコンピュータシステム150のURLを入力して、ウェブサイトをロードして、このウェブサイトでサービスを選択する。入力キーの操作により、デバイス164により、対応するサービス要求190が生成され、ネットワーク116を介して、サービスコンピュータシステム150に転送される。サービスコンピュータシステム150は、第2の属性の指定192(これにより、要求するサービスの実現に必要な、属性値をサービスコンピュータシステム150が必要としている属性が指定される)で応答する。
【0095】
デバイス164が属性の指定192を受信すると、続いてプログラム命令176の実行がデバイス164により開始されて、第2のIDトークン178が生成される。こうするべく、プログラム命令176の実行により、ストレージ168に格納されているソフトトークン158にアクセスが行われる。ソフトトークン158は、属性の指定192に格納されている属性を読み出すデータソースとして利用され、属性の署名がソフトトークン178にまとめられる。この前提条件として、ユーザ102が、デバイス164のユーザインタフェースを介して、対応するID(特にTAN)を入力して、自身をソフトトークン158に対して認証することが課されている。
【0096】
次にソフトトークン178は、デバイス164によってネットワーク116経由でサービスコンピュータシステム150に送信される。プログラム命令180を実行することで、サービスコンピュータシステム150は、ソフトトークン178のタイムスタンプを押された属性の署名が有効であるかを確かめる。加えて、タイムベース184の助けを借りてプログラム命令182を実行することにより、属性のタイムスタンプが提供する有効期間がまだ期限切れになっていないかを確かめる。署名が有効であり、有効期限が期限切れでない場合には、サービスコンピュータシステム150は、属性値が要求されている基準を充たす場合に、要求されているサービスを提供することができる。
【0097】
図2は、本発明における手順の一形態を示す。ステップ200で、ユーザコンピュータシステムからサービスコンピュータシステムに信号を送る。例えば、ユーザはこのために、ユーザコンピュータシステムのインターネットブラウザを開始して、URLを提供して、IDプロバイダコンピュータシステムのウェブサイトをアップロードする。アップロードされたウェブサイトで、ユーザは、第1のソフトトークンの生成要求を入力する。
【0098】
ユーザは、この接続で1以上の属性を指定することができる。特にユーザは、ユーザのデジタルIDを判断する属性を指定することができる。
【0099】
IDプロバイダコンピュータシステムに、自身のIDトークンから属性を読み出す機能を提供するために、ユーザは、自身をIDトークンに対して認証する(ステップ206)。
【0100】
ステップ208で、IDトークンとIDプロバイダコンピュータシステムとの間に接続が構築される。これは、セキュアなメッセージング法によるセキュアな接続であると望ましい。
【0101】
ステップ210では、少なくともIDプロバイダコンピュータシステムのIDトークンに対する認証が、ステップ208で構築された接続を介して行われる。加えて、IDプロバイダコンピュータシステムに対するIDトークンの認証を、ステップ208で構築された接続を介して提供することもできる。
【0102】
ユーザおよびIDプロバイダコンピュータシステムが両方ともIDトークンに対する認証に成功すると、IDプロバイダコンピュータシステムは、属性を読み出すために、アクセス承認をIDトークンから受信する。ステップ212で、IDプロバイダコンピュータシステムは、属性の指定に従って必要となる属性をIDトークンから読み出す1以上の読み出しコマンドを送信する。そして属性を、セキュアな接続を介してエンドツーエンド暗号化を利用することで、IDプロバイダコンピュータシステムに送信して、送信先において復号する。
【0103】
読み出された属性値は、ステップ213で、IDプロバイダコンピュータシステムによってタイムスタンプを付されて提供され、ステップ214で、IDプロバイダコンピュータシステムにより署名される。これにより第1のソフトトークンが生成される。
【0104】
ステップ216で、IDプロバイダコンピュータシステムは、第1のソフトトークンをネットワーク経由で送信する。第1のソフトトークンは、直接、または、ユーザコンピュータシステム経由でデバイスに到達する。
【0105】
後者の場合には、ユーザは、第1のソフトトークの署名された属性値を登録する、および/または、これらに補足データを追加する、という選択肢を有する。必要であれば、署名された属性値は、ユーザコンピュータシステムからデバイスに、必ずユーザからリリースされた後に、補助データを追加して中継することができる、と規定することもできる。従い、IDプロバイダコンピュータシステムが生成したソフトトークンに対してユーザに最大限の透明性を確保することができる。
【0106】
ステップ218で、第1のソフトトークンを、デバイスのメモリに格納する。
【0107】
図4は、第1のソフトトークンを利用する本発明の手順の実行形態を示す。ステップ300で、デバイスはサービスコンピュータシステムに対して、サービスコンピュータシステムからデバイスに対してオンラインサービスを利用可能とさせるための要求を送信する。
【0108】
ステップ302で、サービスコンピュータシステムは応答として、デバイスに属性の指定を送信する。属性の指定には、サービスコンピュータシステムが、要求されているサービスを提供するために必要になる属性値を有する属性の説明が含まれる。
【0109】
デバイスにより属性の指定が受信されると、デバイスは、ユーザに対して入力を要求して、TAN等の認証データを入力して、自身を、デバイスに格納されている第1のソフトトークンに対して認証するように要求する。ステップ304におけるこの認証が成功裏に終わることを前提条件として、ステップ306で、格納されている第1のソフトトークンから、第2のソフトトークンを生成する。第2のソフトトークンは、サービスコンピュータシステムから受信する、第1のソフトトークンの、署名され、タイムスタンプを押された属性の選択を含む属性の指定が含まれる。属性の指定に、第1のソフトトークンに示されている全ての属性が含まれている場合には、第2のソフトトークンは、第1のソフトトークンのコピーを構成する。
【0110】
次にステップ308で、第2のソフトトークンをサービスコンピュータシステムに転送する。サービスコンピュイータシステムは、ステップ310で、タイムスタンプを押されている属性値の署名の有効性を確かめ、ステップ312で、有効期間を過ぎていないかを確かめる。ステップ314で、サービスコンピュータシステムは、署名が有効であり、有効期間を過ぎておらず、属性値がサービスを提供するために必要な基準を満たしている場合に、デバイスに対して要求されているサービスを実行することができる。
【符号の説明】
【0111】
100 ユーザコンピュータシステム
102 ユーザ
104 インタフェース
106 IDトークン
108 インタフェース
110 プロセッサ
112 プログラム命令
114 ネットワークインタフェース
116 ネットワーク
118 電子メモリ
120 保護されているメモリ領域
122 保護されているメモリ領域
124 保護されているメモリ領域
125 メモリ領域
126 メモリ領域
128 プロセッサ
130 プログラム命令
132 プログラム命令
134 プログラム命令
136 IDプロバイダコンピュータシステム
138 ネットワークインタフェース
140 メモリ
142 秘密暗号
144 証明書
145 プロセッサ
146 プログラム命令
147 プログラム命令
148 プログラム命令
149 プログラム命令
150 サービスコンピュータシステム
151 プログラム命令
152 ネットワークインタフェース
154 プロセッサ
156 プログラム命令
158 ソフトトークン
160 属性
162 タイムベース
164 デバイス
166 インタフェース
168 メモリ
170 プロセッサ
172 プログラム命令
174 情報
176 プログラム命令
178 ソフトトークン
180 プログラム命令
182 プログラム命令
184 タイムベース
186 信号
188 接続
190 サービス要求
192 属性の指定
【技術分野】
【0001】
本発明は、ソフトトークンを生成する方法、コンピュータプログラムプロダクト、IDトークン、およびコンピュータシステムに係る。
【背景技術】
【0002】
先行技術から、ユーザのいわゆるデジタルID管理方法として様々な方法が知られている。
【0003】
Microsoft社のWindows(登録商標)CardSpaceは、インターネットユーザに、自身のデジタルIDをオンラインサービスに通信させるためのクライアントベースのデジタルIDシステムである。この技術の特に悪い点は、ユーザが自身のデジタルIDを操作できてしまうことである。
【0004】
これに対して、OPENIDは、サーバベースのシステムである。いわゆるIDサーバは、登録されているユーザのデジタルIDを含んだデータベースを格納している。この技術の特に悪い点は、ユーザのデジタルIDが中央的に格納され、ユーザの行動を記録することができてしまうので、データ保護ができないことである。
【0005】
デジタルIDを管理するまた別の方法に、米国特許出願公開第2007/0294431号明細書があり、この技術もユーザ登録を必要とする。
【0006】
トークンベースの認証方法は、同じ特許出願人によるドイツ特許出願である第10 2008 000 067.1−31号明細書、第10 2008 040 416.0−31号明細書、第10 2008 042 262.2−31号明細書、および、第10 2009 026 953.3号明細書があり、出願時には公開されていない。
【発明の概要】
【発明が解決しようとする課題】
【0007】
これに対して、本発明は、ソフトトークンを生成するための向上した方法、および、対応するコンピュータプログラムプロダクト、IDトークン、およびコンピュータシステムを作成するという課題に基づくものである。
【課題を解決するための手段】
【0008】
本発明の課題は、独立請求項の特徴によりいずれの場合も達成される。本発明の実施形態は、従属請求項に記載されている。
【0009】
本発明の実施形態においては、IDトークンに格納されている少なくとも1つの属性を読み出す方法であって、IDトークンをユーザに割り当てるために、方法は、IDトークンに対してユーザを認証する段階と、IDトークンに対して第1のコンピュータシステムを認証する段階と、IDトークンに対するユーザおよび第1のコンピュータシステムの認証が成功すると、IDトークンに格納されている少なくとも1つの属性への読み出しアクセスを行い、第1のコンピュータシステムを介して、IDトークンから読み出した少なくとも1つの属性に署名を提供することで第1のソフトトークンを生成し、第1のソフトトークンをデバイスに送信する段階とを備える方法が提供される。この手段により、「信頼点」を作成することができる。
【0010】
本発明によると、IDトークンに格納されている属性の1以上を、第1のコンピュータシステムにより読み出させて、IDトークンと第1のコンピュータシステムとの間の接続を、ネットワーク(特にインターネット)経由で構築することができる。少なくとも1つの属性は、IDトークンに割り当てられたユーザのID(特にいわゆるデジタルID)に関する情報であってよい。例えば、第1のコンピュータシステムは、姓名、アドレス等の属性を読み出し、第1のソフトトークンを生成する。
【0011】
しかし、ユーザのIDを証明するための用途ではなくて、ユーザが、特定の年齢群のオンラインサービスにアクセスを希望する場合にはユーザの年齢、また別の例としては、ユーザが、オンラインサービスを利用する資格を与えられている特定の団体の会員であることを示す別の属性等、ユーザが特定のオンラインサービスを利用する資格を証明するために、単一の属性を読み出すこともできる。
【0012】
IDトークンの例としては、USBスティック、または、書類(document)(特に重要書類またはセキュリティ関連の書類)等の可搬型電子デバイスであってもよい。
【0013】
本発明における、「書類」は、特定の紙および/またはプラスチックの書類(例えば、識別書類)のことと理解されてよく、特に、パスポート、個人識別カード、査証、運転免許証、車両登録証、車両タイトル証(certificates of vehicle title)、社員証、健康保険証、その他のID書類(例えばチップカード)、支払い手段(特に、紙幣、銀行カード、クレジットカード)、着陸証書(bills of landing)、その他の、少なくとも1つの属性を格納するためのメモリデータを統合可能な証明書のことであってよい。
【0014】
「ソフトトークン」は、ここでは、特に、信頼の置ける機関が署名したデータ記録のことであり、1以上の属性を含んでいるものとする。ソフトトークンに対する認証が事前に行われていることを、ソフトトークンから属性を読み出す前提条件とする。このためには、ソフトトークンに対する読み出しアクセスの前に、コード(例えばパスワード、PIN、またはTAN)を先ず入力するように、ソフトトークンを設計するとよい。このようなソフトトークンも、ソフトトークンと称する。
【0015】
「デバイス」は、ここでは、特に固定型または移動型のコンピュータのことであってよい(特にモバイル・エンド・デバイス、第1のソフトトークンを受信するための、および/または、サービスコンピュータシステムと通信するための通信インタフェースを有するデバイス)。特に、デバイスは、ユーザがサービス要求をサービスコンピュータシステムに送るためのインターネットブラウザを有することができる。一例として、デバイスは、移動無線インタフェースを有するモバイルデバイスであってよい(例えば、移動電話、可搬型コンピュータ、スマートフォン、または、情報携帯端末(PDA))。
【0016】
このように、本発明の実施形態は、少なくとも1つの属性を特定の信頼できる書類(公的文書等)から読み出すので、特に好適である。属性を中央で格納することが不要になる点も顕著な利点である。従って本発明の実施形態は、デジタルIDに属する属性の通信を、高度な信頼性をもって、且つ、最適なデータ保護および非常に簡便な処理で達成することができる。
【0017】
本発明の一実施形態では、第1のコンピュータシステムは、第1のコンピュータシステムをIDトークンに対して認証するのに利用される少なくとも1つの証明書を有している。証明書は、第1のコンピュータシステムが読み取りを許可されている属性の情報を含む。証明書の助けを受けて、IDトークンは、第1のコンピュータシステムが読み出しアクセスを実行する前に、第1のコンピュータシステムが属性への読み出しアクセスに必要な読み出し許可を有しているかを判断する。
【0018】
「証明書」は、ここでは、公開鍵証明書とも称されるデジタル証明書の意味である。証明書は、人または装置等のIDに非対称暗号方式の公開鍵を割り当てるのに利用される構造化されたデータを利用する。例えば、証明書は、X.509規格その他の規格に準拠したものであってよい。
【0019】
本発明の一実施形態では、第1のコンピュータシステムは、第1のソフトトークンをデバイスに直接送信する。第1のソフトトークンから、デバイスは、第1のソフトトークンの属性のサブセットを含む第2のソフトトークンを生成することができる。デバイスは、第2のソフトトークンまたは第1のソフトトークンのコピーを第2のコンピュータシステムに送信することができる。例えば第2のコンピュータシステムは、バンキングサービスまたは製品の発注等のオンラインサービスその他のサービスを行うサーバであってよい。例えばユーザは、ユーザのIDを含む属性を銀行の第2のコンピュータシステムに送信することで、アカウントをオンラインで開設することができる。
【0020】
本発明の一実施形態では、第1のコンピュータシステムからの第1のソフトトークンの送信は、先ずユーザの第3のコンピュータシステムを介してIDトークンへと、エンドツーエンド暗号化との接続を介して行われる。または、ユーザは、第1のコンピュータシステムから第3のコンピュータシステムに、通常のインターネットブラウザを利用して、直接ダウンロードすることができる。
【0021】
本発明の一実施形態では、第2のコンピュータシステムは、デバイスからのサービス要求に続いて、例えばユーザまたは彼のIDトークンの、サービスを提供したり受注したりするために必要となる属性を指定することができる。これらの属性の指定を含む適切な属性の指定は、次に、第2のコンピュータシステムによってデバイスへと送信される。
【0022】
本発明の一実施形態では、第1のソフトトークンは、第1のコンピュータシステムから第3のコンピュータシステムに転送される。第3のコンピュータシステムのユーザは、第1のソフトトークンに含まれる属性を、読み出すことはできるが変更することはできない。ユーザの承認を経て初めて、第3のコンピュータシステムは、ソフトトークンをデバイスに送信する。
【0023】
本発明の一実施形態では、ユーザは、転送前の第1のソフトトークンの属性にデータを追加することができる。
【0024】
本発明の一実施形態では、第1のコンピュータシステムは、異なる読み取り権利を有する複数の証明書を有する。属性の指定を含む信号を受信すると、第1のコンピュータシステムは、1以上の証明書を選択して、IDトークンまたは複数の異なるIDトークンから、適切な属性を読み出す。
【0025】
本発明の一実施形態では、第1のコンピュータシステムは、ユーザの第3のコンピュータシステムから信号を受信する。信号によって、ユーザのIDトークンに対して第1のソフトトークンを生成するよう、第1のコンピュータシステムに伝えられる。信号には、第1の属性の指定(第1のソフトトークンを生成することが想定されているIDトークンの属性が指定されているもの)が含まれていてよい。加えて、信号は、第1のソフトトークンの転送先として想定されているデバイスのアドレスも示すことができる。このアドレスは例えば、デバイスの電話番号または電子メールアドレスであってよい。
【0026】
この信号を受信すると、ユーザがIDトークンに対して自身を認証して、IDトークンと第1のコンピュータシステムとの間で相互に認証が行われた後で、IDトークンによって第1のコンピュータシステムに属性が転送される。IDトークンから第1のコンピュータシステムへの属性の転送は、公的には、エンドツーエンド暗号化への接続により行われると好ましい。
【0027】
例えば、IDトークンと第1のコンピュータシステムとの間の相互認証は、チャレンジ・レスポンス方式で行われる。このチャレンジ・レスポンス方式の実行に利用されるチャレンジから、接続のエンドツーエンド暗号化に利用される対称鍵を導出して、この接続を介して属性を転送する。
【0028】
本発明の一実施形態では、第1のコンピュータシステムは、IDトークンから受信した属性にタイムスタンプを提供する。このタイムスタンプは、属性の受信時刻または送信時刻を示すことができる。このタイムスタンプは、最大有効期間を示していると望ましい。
【0029】
好適には、個々の属性のそれぞれにタイムスタンプを与える。個々の属性とタイムスタンプとの対には、その都度、署名される。署名されタイムスタンプを押された属性は、次に、第1のソフトトークンに統合される。第1のコンピュータシステムは、例えば、第1のソフトトークンのためのTANリストを生成する。TANリストは、印刷された形で、または、電子送信として(例えばSMSまたは電子メールで)、ユーザに送られてもよいし、ユーザが第1のコンピュータシステムのウェブサイトからTANリストをダウンロードしてもよい。
【0030】
本発明の一実施形態では、第1のソフトトークンを第1のコンピュータシステムからデバイスに直接送信する。デバイスに第1のソフトトークンを格納する。または、第1のソフトトークンを、先ずは第1のコンピュータシステムから第3のコンピュータシステムに送信する。第3のコンピュータシステムから、第1のソフトトークンをデバイスに送信することができ、ここでは、ユーザは、事前に送信を承認する権利、および/または、さらなる情報を第1のソフトトークンに事前に追加する権利を有してよい。ここで特に好適なのは、デバイスは、IDトークン用のインタフェースを有す必要がなく、単に、デバイスが第1のソフトトークンを受信することができる通信インタフェースのみを有すればいい点である。
【0031】
本発明の一実施形態では、ユーザは、自身のデバイスに助けられた、例えばインターネット経由で第2のコンピュータシステム(つまりサービスコンピュータシステム)が提供するサービスを利用することができる。このために、ユーザは、自身のデバイスのインターネットブラウザを立ち上げて、第2のコンピュータシステムのウェブサイトのURLを入力する。このウェブサイトでは、ユーザは、所望のサービスを選択して、自身のデバイスでエンターキーを押して、対応するサービス要求をデバイスから第2のコンピュータシステムに送信する。第2のコンピュータシステムは、このサービス要求に対して、属性の指定を返信し、これら属性は、第2のコンピュータシステムが、要求されたサービスを提供する必要があることを示している(in which those attributes are indicated that the second computer system requires to provide the requested service.)。
【0032】
次にデバイスは第1のソフトトークンにアクセスして、第1のソフトトークンから、署名されタイムスタンプを押されて、第2のコンピュータシステムの属性の指定により提供された属性を読み出す。これらは、第1のソフトトークンの全ての属性またはこれらの属性の一部であってよい。これら署名されタイムスタンプを押された属性は、デバイスから第2のコンピュータシステムに送信される第2のソフトトークンに導入される。第2のソフトトークンを送信するための前提条件として、ユーザが先ず自身を、デバイス経由で第1のトークンに対して認証する必要がある(例えば、ユーザが識別子(特に、自身のTANリストのうちのTANのいずれかをデバイスに入力することにより))。
【0033】
本発明の一実施形態では、第2のコンピュータシステムが、第2のソフトトークンの受信後に、属性の署名の有効性を検証する。加えて、第2のコンピュータシステムは、第2のソフトトークンが有効期間切れになっていないか(属性のタイムスタンプに示されている)を検証する。署名が有効で、有効期間を過ぎていない場合には、第2のコンピュータシステムは、要求されているサービスを、属性が要求されている基準を充たしている範囲内で提供する。
【0034】
本発明の実施形態は、ソフトトークンの利用を第1のコンピュータシステムに信号で伝える必要がない場合には、第1のコンピュータシステムが、第1のソフトトークンの利用に関するプロフィールを生成しなくてよい点が顕著な利点である。実際、第1のソフトトークンは、デバイスと第2のコンピュータシステムとの間で利用される。
【0035】
発明のさらなる態様は、本発明の方法を実行するための実行可能なプログラム命令を有するデジタル格納媒体等のコンピュータプログラムプロダクトに関する。
【0036】
本発明のさらなる態様は、少なくとも1つの属性を格納するための、保護されたメモリと、IDトークンに対して、IDトークンに割り当てられているユーザを認証する手段と、IDトークンに対して第1のコンピュータシステムを認証する手段と、保護された接続を第1のコンピュータシステムに構築して、第1のコンピュータシステムが少なくとも1つの属性を読み出すことができるようにする手段と、第1のコンピュータシステムから保護された接続を介して、少なくとも1つの属性を含む第1のソフトトークンを受信する手段と、第1のソフトトークンを発行する手段とを備え、IDトークンから少なくとも1つの属性を読み出すための必須の前提条件は、IDトークンに対するユーザおよび第1のコンピュータシステムの認証が成功することであるIDトークンに関する。
【0037】
本発明の一実施形態では、第1のソフトトークンはIDトークンのメモリ領域に格納され、ここには、IDトークンのインタフェースを介して外部から読み出しアクセスが行われる。例えば、第1のソフトトークンは、第3のコンピュータシステム(つまりユーザコンピュータシステム)が読み出し、デバイスに送信することができる。
【0038】
機械可読旅行書類(machine-readable travel documents)用の拡張アクセス制御(MRTD)として知られており、国際民間航空機関(ICAO)として指定されているようにIDトークンに対して第1のコンピュータシステムを認証することに加えて、ユーザは、IDトークンに対して自身を認証する必要がある。例えば、ユーザのIDトークンに対する認証が成功すると、ユーザが承認され、次のステップ(つまり、第1のコンピュータシステムのIDトークンに対する認証、および/または、属性を読み出すためのセキュアな接続の生成)を実行することができるようになる。
【0039】
本発明の一実施形態では、IDトークンは、エンドツーエンド暗号化手段を有する。これにより、ユーザがエンドツーエンド暗号化によって、接続によって送信されたデータに変更を加えることができなくなるので、IDトークンと第1のコンピュータシステムとの間の接続を、ユーザの第3のコンピュータシステムを介して構築することができるようになる。
【0040】
本発明のさらなる態様は、信号を受信する手段と、IDトークンに対して認証する手段と、IDトークンから、保護された接続を介して少なくとも1つの属性を受信する手段と、少なくとも1つの属性にタイムスタンプを提供する手段と、少なくとも1つの署名されタイムスタンプが提供された属性を含む第1のソフトトークンを生成する手段と、第1のソフトトークンを送信する手段とを備え、少なくとも1つの属性を受信するためには、IDトークンに割り当てられているユーザとコンピュータシステムとが、IDトークンに対して認証されていることを必要とする第1のコンピュータシステムに係る。
【0041】
本発明の一実施形態では、第1のコンピュータシステムは、ユーザに対する要求を生成する手段を含んでよい。第1のコンピュータシステムは、信号を受信すると、ユーザの第3のコンピュータシステムに要求を送って、ユーザに対して、自身をIDトークンに対して認証するよう要求する。ユーザのIDトークンに対する認証が成功すると、第1のコンピュータシステムは、第3のコンピュータシステムからの確認を受信する。この後、第1のコンピュータシステムは、自身をIDトークンに対して認証して、IDトークンと第1のコンピュータシステムとの間のセキュアな接続を、エンドツーエンド暗号化を利用して構築する。
【0042】
本発明の一実施形態では、第1のコンピュータシステムは、それぞれが異なる読み出し許可権を有する複数の証明書を有する。属性の指定を有する信号を受信すると、第1のコンピュータシステムは、これら証明書から、指定された属性を読み出すのに足る読み出し許可権を有する少なくとも1つの証明書を選択する。
【0043】
本発明による第1のコンピュータシステムの実施形態は、ユーザをIDトークンに対して認証する必要を課すことに加えて、ユーザの不変のデジタルIDの信頼点を組み合わせることで、顕著な効果を奏する。これには、コンピュータにユーザを事前に登録する必要がなく、デジタルIDを形成するユーザ属性を中央で格納する必要がないので、特に好適である。
【0044】
本発明の一実施形態では、コンピュータシステムは、正式認定されているトラストセンターであり、特に、署名法に準拠したトラストセンターであってよい。
【0045】
本発明の実施形態を、図面を参照して詳述する。
【図面の簡単な説明】
【0046】
【図1】デバイスに対する第1のソフトトークンの生成および送信に関する本発明のコンピュータシステムの第1の実施形態のブロック図である。
【図2】第1のソフトトークンの利用に関する本発明のコンピュータシステムの第1の実施形態のブロック図である。
【図3】デバイスに対する第1のソフトトークンの生成および送信に関する本発明の方法の実施形態のフローチャートである。
【図4】第1のソフトトークンの利用に関する本発明の方法の実施形態のフローチャートである。
【発明を実施するための形態】
【0047】
以下の実施形態において、対応する部材同士は、同じ参照番号を付して識別している。
【0048】
図1は、ユーザ102のコンピュータシステム100を示す。ユーザコンピュータシステム100は、パソコン、ラップトップまたはパームトップ型のコンピュータ、情報携帯端末(PDA)、モバイル電話通信デバイス(特にスマートフォン等)等の可搬型コンピュータであってよい。ユーザコンピュータシステム100は、対応するインタフェース108を有するIDトークン106と通信するインタフェース104を有している。
【0049】
ユーザコンピュータシステム100は、プログラム命令112を実行する少なくとも1つのプロセッサ110と、ネットワーク116を介して通信するネットワークインタフェース114とを有する。ネットワークは、例えばインターネット等のコンピュータネットワークであってよい。
【0050】
IDトークン106は、保護されたメモリ領域120、122、および124を有する電子メモリ118を有する。保護されているメモリ領域120は、参照値をセーブする機能を有し、これは、IDトークン106に対してユーザ102を認証するために必要である。この参照値は、特に個人識別番号(PIN)であってよく、あるいは、IDトークン106に対するユーザの認証に利用することのできるユーザ102の生物学的特徴の参照データであってもよい。
【0051】
IDトークン106は、第1のソフトトークン158を格納するメモリ領域125も有する。これは、例えば、インタフェース108を介して外部からアクセス可能なIDトークンのバルクメモリのメモリ領域であってよい。
【0052】
保護領域122は秘密コードを格納し、保護されたメモリ領域124は、例えばユーザ102の属性等の属性(例えば名称、住所、誕生日、性別)、および/または、IDトークン自身の属性(例えばIDトークンを生成または発行した機関、IDトークンの有効期間、または、パスポート番号またはクレジットカード番号等のIDトークンの識別子)を格納する。
【0053】
電子メモリ118は、さらに、証明書を格納するメモリ領域126を有してもよい。証明書は、保護されているメモリ領域122に格納されている秘密鍵に割り当てられる公開鍵を含む。証明書は、X.509規格等の公開鍵インフラストラクチャ(PKI)規格に従って生成することができる。
【0054】
証明書は、必ずしもIDトークン106の電子メモリ118に格納されなければならないというわけではない。証明書は、電子メモリ118の代わりに、または電子メモリ118に加えて、公開ディレクトリサーバに格納されていてもよい。
【0055】
IDトークン106はプロセッサ128を有する。プロセッサ128は、プログラム命令130、132、および134を実行する機能を有する。プログラム命令130は、ユーザを認証する(つまりIDトークンに対してユーザ102を認証する)。
【0056】
PINの一実施形態では、ユーザ102は自身の認証用PINをIDトークン106に、ユーザコンピュータシステム100を利用して入力する。プログラム命令130を実行すると、保護されているメモリ領域120にアクセスが行われて、入力されたPINと、格納されているPINの参照値とが比較される。入力されたPINがPINの参照値と合致すると、ユーザ102が認証される。
【0057】
または、ユーザ102の生物学的特徴を登録することもできる。例えば、IDトークン106は、この目的用の指紋センサを有してよく、あるいは、指紋センサがユーザコンピュータシステム100に接続されていてよい。この実施形態では、ユーザ102について記録された生物学的特徴を、プログラム命令130の実行により、保護されているメモリ領域120に格納されている生物学的参照データと比較する。ユーザ102について記録された生物学的データと、生物学的参照データとが十分合致すると、ユーザ102が認証されたとみなされる。
【0058】
プログラム命令134は、IDプロバイダコンピュータシステム136をIDトークン106に対して認証する暗号プロトコルの、IDトークン106に関するステップを実行する。暗号プロトコルは、対称鍵または非対称鍵の対に基づくチャレンジ・レスポンス方式のプロトコルであってよい。
【0059】
例えば、暗号プロトコルは、機械可読旅行文書(MRTD)についてICAOが指定する、拡張アクセス制御方法により実装することができる。IDプロバイダコンピュータシステム136は、暗号プロトコルの実行に成功することにより、自身をIDトークンに対して認証して、これにより、自身の、保護されているメモリ領域124に格納されている属性を読み出す許可権を検証する。認証は相互に行われるものであってもよい(つまり、IDトークン106も、同じまたは別の暗号プロトコルに従って、IDプロバイダコンピュータシステム136に対しても自身を認証せねばならない)。
【0060】
プログラム命令132は、IDトークン106とIDプロバイダコンピュータシステム136の間で送信されるデータ、または、少なくとも、IDプロバイダコンピュータシステム136の少なくとも保護されたメモリ領域124から読み出した属性の、エンドツーエンド暗号化を行うことができる。エンドツーエンド暗号化においては、暗号プロトコル実行中にIDトークン106およびIDプロバイダコンピュータシステム136の間で承認されている対称鍵を利用することができる。
【0061】
図1に示す実施形態の代わりに、インタフェース104を有するユーザコンピュータシステム100は、直接インタフェース108と通信するのではなくて、インタフェース104に接続されているIDトークン106の読み出しデバイスを介して通信することができる。PIN入力も、この読み出しデバイス(例えばいわゆるクラス2チップカード端末)を介して行われてよい。
【0062】
IDプロバイダコンピュータシステム136は、ネットワーク116を介した通信用のネットワークインタフェース138を有する。さらに、IDプロバイダコンピュータシステム136は、IDプロバイダコンピュータシステム136の秘密鍵142および対応する証明書144が格納されているメモリ140を有する。この証明書はさらに、X.509規格等のPKI規格に則った証明書であってよい。
【0063】
IDプロバイダコンピュータシステム136はさらに、プログラム命令146および148を実行する少なくとも1つのプロセッサ145を有する。プログラム命令146の実行により、IDプロバイダコンピュータシステム136に関する暗号プロトコルのステップが実行される。従って、全体として暗号プロトコルは、IDトークン106のプロセッサ128によるプログラム命令134の実行により、および、IDプロバイダコンピュータシステム136のプロセッサ145によるプログラム命令146の実行により、実装される。
【0064】
プログラム命令148は、例えば、IDトークン106とIDプロバイダコンピュータシステム136との間で暗号プロトコルの実行中に承認された対称鍵に基づいて、IDプロバイダコンピュータシステム136の側にエンドツーエンド暗号化を実装することができる。また原則として、エンドツーエンド暗号化の対称鍵を共有するために既に公知の方法を利用することもできる(例えばディッフィーへルマン鍵共有法)。
【0065】
IDプロバイダコンピュータシステム136は、いわゆる信頼できるセンター等の格別に保護された環境に配置されることが望ましく、こうすることで、IDプロバイダコンピュータシステム136は、ユーザ102のIDトークン106に対する認証を課すことと合わせて、IDトークン106から読み出される属性の正当性について信頼点を形成することができる。
【0066】
プロセッサ145も、IDトークンから受信する属性160のタイムスタンプをするのに利用されるプログラム命令147を実行するために利用することができる。このために、第1のコンピュータシステム136のタイムベース162は、プログラム命令の実行によりアクセスされる。タイムベース162は、例えば現在の時間情報(例えばUNIX時間として)を提供する。現在の時刻に、例えば数日という時間間隔を加えて、最大有効期間を得る。この有効期限により属性160がそれぞれのタイムスタンプを押される。タイムスタンプを押された属性は、次に、証明書144および秘密鍵142の助けを借りて、IDプロバイダコンピュータシステム136により別個に署名される。タイムスタンプされ、署名された属性160は、次にソフトトークン158にまとめられる。
【0067】
プロセッサ145はさらに、プログラム命令を実行するためにも利用される。プログラム命令151の実行によって、ソフトトークン158の1以上のIDが生成される。パスワードの場合には、PINまたはTANリストを利用することができる。ソフトトークン158をデータソースとして利用するための前提条件は、IDをこのケースに必ず入力して、ユーザが自身をソフトトークンに対して認証することである。
【0068】
IDプロバイダコンピュータシステム136は、ID(それぞれのID)を印刷するプリンタに接続されていてよい。印刷結果は、例えばPINまたはTANレターと通常称される郵送によりユーザ102に送られる。この代わりに、またはこれに加えて、1以上のIDをユーザ102に対して、例えばSMSまたは電子メール等で電子的に送信することもできる。この代わりに、またはこれに加えて、少なくとも1つのIDを第1のコンピュータシステム136のウェブサイトに利用可能な形で載せて、ユーザ102がダウンロードできるようにしてもよい。
【0069】
ユーザ102は、例えば所謂ハンディーフォンまたはスマートフォンと称されるような利用可能なデバイス164を有する。デバイス164は、ネットワーク116経由で通信するインタフェース166を有する。インタフェース166は、特に、デジタルセルラーモバイルのモバイルフォンインタフェースであってよい。特にインタフェース166には、モバイルインターネットプロトコルの実行のために開発されたものを利用して、ユーザ102が、デバイス164(例えば所謂ハンディーフォンまたはスマートフォンと称されるもの)の助けを借りて、インターネットを利用することができるようにすることができる。
【0070】
モバイルフォンデバイス164は、ソフトトークン158を格納するための電子メモリ168を有する。このメモリは、デバイス164の一体部品であってよい。こうすると、ユーザ102はソフトトークン158を異なるデバイスで便利に利用できるために好適である。
【0071】
デバイス164は、プログラム命令172を実行するためのプロセッサ170を有し、これにより、特にインターネットブラウザおよびユーザインタフェースを実装することができる。ユーザインタフェースは、デバイス164への参照174を含む。
【0072】
プロセッサ170はさらに、プログラム命令176を実行することができ、これによりIDプロバイダ機能を行うことができる。特に、プログラム命令176は、第1のソフトトークン158から第2のソフトトークン178(図2参照)を生成するために利用される。
【0073】
サービスコンピュータシステム150は、サービスまたは製品(特にオンラインサービス)の発注または契約を受け付けるように設計されていてよい。例えばユーザ102は、ネットワーク116経由でオンラインの銀行口座を開設することができ、または、その他の金融または銀行サービスを利用することができる。サービスコンピュータシステム150はさらに、ユーザ102が、そこから例えば製品をオンラインで取得することができるようなオンラインのウェアハウスとして設計されてもよい。サービスコンピュータシステム150はさらに、音楽および/またはビデオデータのダウンロード用にデジタルコンテンツを配信するよう設計されていてもよい。
【0074】
これを行うために、サービスコンピュータシステム150は、ネットワーク116に接続するためのネットワークインタフェース152を有する。さらにサービスコンピュータシステム150は、プログラム命令156を実行するために少なくとも1つのプロセッサ154を有する。プログラム命令156の実行により、例えば動的HTMLページが生成され、これにより、ユーザ102は発注入力することができる。
【0075】
契約または発注された製品またはサービスの種類に応じて、サービスコンピュータシステム150は、ユーザ102の1以上の属性および/またはそのIDトークン106を、1以上の構築された基準を用いてテストする必要がある。このテストに合格した場合にのみ、ユーザ102の発注または要求を受け付ける、および/または、実行することができる。
【0076】
例えば、銀行口座を開設するために、または、関連する契約でモバイルフォンを購入するためには、ユーザ102が、サービスコンピュータシステム150に対して自身の実体を開示する必要があり、この実体がテストされる必要がある。このために、現在の技術水準では、ユーザ102は、自身のIDカード等を提供する必要がある。この処理を、ユーザ102のデジタルIDを彼のIDトークン106から読み出すことに置き換えることができる。
【0077】
しかし用途によっては、ユーザ102は、サービスコンピュータシステム150に対して自身の実体を開示する必要がなく、例えば属性の1つのみを送信するだけでいい場合もある。例えば、ユーザ102は、属性のいずれかを証明することで、サービスコンピュータシステム150上にダウンロードする準備のできているデータにアクセスすることを許可されている特定の団体に自身が属しているということを証明することができる。このような基準は、ユーザ102の最小年齢、または、ユーザ102が特定の機密データに対するアクセスが許可された人々の集まりの会員であること等であってよい。
【0078】
サービスコンピュータシステム150のプロセッサ154はさらに、プログラム命令180および182を実行するために利用することができる。加えて、サービスコンピュータシステム150はタイムベース184を終了しており(through a time-basis 184)、これはIDプロバイダコンピュータシステム136のタイムベース162と同期されている。
【0079】
プログラム命令180の実行により、サービスコンピュータシステム150は、署名の有効性(特に、ソフトトークン178のタイムスタンプを押された属性の署名)を検査することができる。プログラム命令182の実行により、サービスコンピュータシステム150は、さらに、属性のタイムスタンプが提供する有効期間を超えていないかを検査することができる。
【0080】
ソフトトークン158を生成し、デバイス164に転送する手順は以下の通りである。
【0081】
1.IDトークン106に対するユーザ102の認証。
ユーザ102は、自身をIDトークン106に対して認証する。PINの実装の場合には、ユーザ102は自身のPINを、例えばユーザコンピュータシステム100または接続されているチップカード端末を介して入力する。プログラム命令130を実行することにより、IDトークン106は、入力されたPINが正しいかを検査する。入力されたPINが、PINの格納されている参照値の保護されているメモリ領域120と合致する場合には、ユーザ102が認証されたとみなされてよい。この上述した手順は、ユーザ102が認証時に生物学的特徴を利用する場合にも同様に利用可能である。
【0082】
2.IDプロバイダコンピュータシステム136のIDトークン106に対する認証。このために、IDトークン106とIDプロバイダコンピュータシステム136との間に、ユーザコンピュータシステム100およびネットワーク116を介して接続188を構築する。例えば、IDプロバイダコンピュータシステム136は、自身の証明書を、IDプロバイダコンピュータシステム136へのこの接続を介してIDトークン106転送する。プログラム命令134によって所謂チャレンジ(乱数:chance number)が生成される。この乱数は、証明書144に含まれているIDプロバイダコンピュータシステム136の公的な鍵で暗号化される。この結果得られる暗号化された数は、IDトークン106からこの接続を介してIDプロバイダコンピュータシステム136へ送られる。IDプロバイダコンピュータシステム136は、秘密鍵142の助けを得て、暗号化された数を復号して、乱数を得る。乱数は、IDプロバイダコンピュータシステム136からIDトークン106へと、接続を介して戻される。プログラム命令134の実行により、IDプロバイダコンピュータシステムが受信した乱数が、元々生成された乱数(つまりチャレンジ)と合致するかチェックされる。合致する場合には、IDプロバイダコンピュータシステム136は、IDトークン106に対して認証されたとみなすことができる。乱数は、エンドツーエンド暗号化の対称鍵として利用することができる。
【0083】
3.ユーザ102がIDトークン106に対する自身の認証に成功し、IDプロバイダコンピュータシステム136がIDトークン106に対する自身の認証に成功すると、IDプロバイダコンピュータシステム136は、保護されている格納領域124に格納されている属性のうち1つ、幾つか、または全てを選択する読み取り許可を受信する。IDトークンへの接続を介してIDプロバイダコンピュータシステム136が送信している対応する読み出しコマンドによって、保護されている格納領域124から、要求されている属性を読み出して、プログラム命令132を実行して暗号化する。暗号化された属性160は、接続を介してIDプロバイダコンピュータシステム136に転送され、次に、プログラム命令148の実行により暗号化する。このようにして、IDプロバイダコンピュータシステム136がIDトークン106から属性160を読み出す。
【0084】
上述したステップ1からステップ3の実行は、例えばユーザコンピュータシステム100からIDプロバイダコンピュータシステム136へ送られる信号186によりトリガされる。例えばユーザ102は、ユーザコンピュータシステム100に、自身のデバイス164のソフトトークン158を生成する要求を与え、プログラム命令112の実行により信号186が生成されて、ネットワークインタフェース114経由でIDプロバイダコンピュータシステム136に送信される。信号186は、第1の属性の指定(格納領域124に格納されている属性のいずれがソフトトークン158の生成に含まれるか、を示す)。信号186がこの属性の指定を含んでいない場合には、実装形態に応じて、予め定義された属性、または、格納領域124に格納されている全ての属性をソフトトークン158の生成に含めてよい。
【0085】
加えて、信号186は、デバイス164のアドレス(例えばその電話番号)を含んでよい。
【0086】
4.属性160には、受信された後で、それぞれ別個にタイムスタンプ(例えば、有効期間を示す)を、プログラム命令147を実行して押す。タイムスタンプを押された属性160は次に、IDプロバイダコンピュータシステム136により、証明書144および秘密鍵142の助けを得て別個に署名され、ソフトトークン158内にまとめられる。ソフトトークン158は、ソフトトークン158がデータソースとして利用されるためには、プログラム命令151の実行により生成されてユーザ102に送信される、IDの助けを借りて行われる事前のユーザ認証が必要となるように生成される。 実行の形態に応じて、ソフトトークン158は、IDプロバイダコンピュータシステム136からIDトークン106への保護された接続188を介して転送され、そこで格納領域125に格納される。ユーザコンピュータシステム100は、インタフェース104の助けを借りて、格納領域125にアクセスして、そこからソフトトークン158を読み出して、ネットワークインタフェース114経由でデバイスに転送することができ、そこでソフトトークン158を格納領域168に格納する。
【0087】
IDプロバイダコンピュータシステム136からデバイス164へのソフトトークン158の転送は、さらに、SMSをデバイスの電話番号に送ることにより、または、電子メールをデバイスの電子メールアドレスに送ることにより、直接デバイスのアクセスに行われてもよい。
【0088】
ユーザ102のIDトークン106に対する認証、および、IDトークン106に対するIDプロバイダコンピュータシステム136の認証が必要なことから、必要な信頼点が生成され、属性が正しいものであり、偽造されたものではないことを確認することができ、必要な安全性が保たれる。
【0089】
認証の順序は、実施形態に応じて変更させてよい。例えば、ユーザ102が先ず自身をIDトークン106に対して認証してから、IDプロバイダコンピュータシステム136が認証する、として設定することもできる。しかし、原則としては、IDプロバイダコンピュータシステム136は、自身をIDトークン106に対して先ず認証してからでないと、ユーザ102が認証することができない、と考えられる。
【0090】
最初のケースでは、IDトークン106は、正しいPINまたは生物学的特徴がユーザ102により入力されたときのみにクリアされるよう設定されている。このクリアによって、プログラム命令132および134が開始され、これにより、IDプロバイダコンピュータシステム136の認証が行われる。
【0091】
二番目のケースでは、プログラム命令132および134は、ユーザ102がまだ自身をIDトークン106に対して認証していない場合でも開始されてよい。このケースでは、例えばプログラム命令134が、IDプロバイダコンピュータシステム136が、幾つかの属性124に読み出しアクセスを行い、ユーザ102の認証の成功がプログラム命令130により信号により伝えられた後でのみ、1以上の属性を読み出す。
【0092】
IDトークン106は、電子商取引、および電子政府アプリケーションの用途に利用されると、ユーザ102およびIDプロバイダコンピュータシステム136が、IDトークン106が構築する信頼点に対して認証することを義務付けることによって、セキュリティ侵害を防ぎ、法的にセキュアになるので、特に好適である。さらに、様々なユーザ102の属性の中央メモリが不要である点も有利であり、これによって現在の技術水準のデータセキュリティ問題が解決される。方法の利用を便利にするという観点からは、ユーザ102を予め登録しておいて、IDプロバイダコンピュータシステム136を不要にすると特に好適である。
【0093】
さらなる格別な利点としては、ソフトトークン158の利用にIDプロバイダコンピュータシステム136の利用が関与しないために、IDプロバイダコンピュータシステム136によって、ソフトトークン158の利用に対してプロフィールが準備されない点が挙げられる。
【0094】
図2は、上述したような、サービスコンピュータシステム150に対する、デバイス164の助けを借りて行われるソフトトークン158の利用を示す。例えばユーザ102は、自身のデバイス164のインターネットブラウザを開始して、サービスコンピュータシステム150のURLを入力して、ウェブサイトをロードして、このウェブサイトでサービスを選択する。入力キーの操作により、デバイス164により、対応するサービス要求190が生成され、ネットワーク116を介して、サービスコンピュータシステム150に転送される。サービスコンピュータシステム150は、第2の属性の指定192(これにより、要求するサービスの実現に必要な、属性値をサービスコンピュータシステム150が必要としている属性が指定される)で応答する。
【0095】
デバイス164が属性の指定192を受信すると、続いてプログラム命令176の実行がデバイス164により開始されて、第2のIDトークン178が生成される。こうするべく、プログラム命令176の実行により、ストレージ168に格納されているソフトトークン158にアクセスが行われる。ソフトトークン158は、属性の指定192に格納されている属性を読み出すデータソースとして利用され、属性の署名がソフトトークン178にまとめられる。この前提条件として、ユーザ102が、デバイス164のユーザインタフェースを介して、対応するID(特にTAN)を入力して、自身をソフトトークン158に対して認証することが課されている。
【0096】
次にソフトトークン178は、デバイス164によってネットワーク116経由でサービスコンピュータシステム150に送信される。プログラム命令180を実行することで、サービスコンピュータシステム150は、ソフトトークン178のタイムスタンプを押された属性の署名が有効であるかを確かめる。加えて、タイムベース184の助けを借りてプログラム命令182を実行することにより、属性のタイムスタンプが提供する有効期間がまだ期限切れになっていないかを確かめる。署名が有効であり、有効期限が期限切れでない場合には、サービスコンピュータシステム150は、属性値が要求されている基準を充たす場合に、要求されているサービスを提供することができる。
【0097】
図2は、本発明における手順の一形態を示す。ステップ200で、ユーザコンピュータシステムからサービスコンピュータシステムに信号を送る。例えば、ユーザはこのために、ユーザコンピュータシステムのインターネットブラウザを開始して、URLを提供して、IDプロバイダコンピュータシステムのウェブサイトをアップロードする。アップロードされたウェブサイトで、ユーザは、第1のソフトトークンの生成要求を入力する。
【0098】
ユーザは、この接続で1以上の属性を指定することができる。特にユーザは、ユーザのデジタルIDを判断する属性を指定することができる。
【0099】
IDプロバイダコンピュータシステムに、自身のIDトークンから属性を読み出す機能を提供するために、ユーザは、自身をIDトークンに対して認証する(ステップ206)。
【0100】
ステップ208で、IDトークンとIDプロバイダコンピュータシステムとの間に接続が構築される。これは、セキュアなメッセージング法によるセキュアな接続であると望ましい。
【0101】
ステップ210では、少なくともIDプロバイダコンピュータシステムのIDトークンに対する認証が、ステップ208で構築された接続を介して行われる。加えて、IDプロバイダコンピュータシステムに対するIDトークンの認証を、ステップ208で構築された接続を介して提供することもできる。
【0102】
ユーザおよびIDプロバイダコンピュータシステムが両方ともIDトークンに対する認証に成功すると、IDプロバイダコンピュータシステムは、属性を読み出すために、アクセス承認をIDトークンから受信する。ステップ212で、IDプロバイダコンピュータシステムは、属性の指定に従って必要となる属性をIDトークンから読み出す1以上の読み出しコマンドを送信する。そして属性を、セキュアな接続を介してエンドツーエンド暗号化を利用することで、IDプロバイダコンピュータシステムに送信して、送信先において復号する。
【0103】
読み出された属性値は、ステップ213で、IDプロバイダコンピュータシステムによってタイムスタンプを付されて提供され、ステップ214で、IDプロバイダコンピュータシステムにより署名される。これにより第1のソフトトークンが生成される。
【0104】
ステップ216で、IDプロバイダコンピュータシステムは、第1のソフトトークンをネットワーク経由で送信する。第1のソフトトークンは、直接、または、ユーザコンピュータシステム経由でデバイスに到達する。
【0105】
後者の場合には、ユーザは、第1のソフトトークの署名された属性値を登録する、および/または、これらに補足データを追加する、という選択肢を有する。必要であれば、署名された属性値は、ユーザコンピュータシステムからデバイスに、必ずユーザからリリースされた後に、補助データを追加して中継することができる、と規定することもできる。従い、IDプロバイダコンピュータシステムが生成したソフトトークンに対してユーザに最大限の透明性を確保することができる。
【0106】
ステップ218で、第1のソフトトークンを、デバイスのメモリに格納する。
【0107】
図4は、第1のソフトトークンを利用する本発明の手順の実行形態を示す。ステップ300で、デバイスはサービスコンピュータシステムに対して、サービスコンピュータシステムからデバイスに対してオンラインサービスを利用可能とさせるための要求を送信する。
【0108】
ステップ302で、サービスコンピュータシステムは応答として、デバイスに属性の指定を送信する。属性の指定には、サービスコンピュータシステムが、要求されているサービスを提供するために必要になる属性値を有する属性の説明が含まれる。
【0109】
デバイスにより属性の指定が受信されると、デバイスは、ユーザに対して入力を要求して、TAN等の認証データを入力して、自身を、デバイスに格納されている第1のソフトトークンに対して認証するように要求する。ステップ304におけるこの認証が成功裏に終わることを前提条件として、ステップ306で、格納されている第1のソフトトークンから、第2のソフトトークンを生成する。第2のソフトトークンは、サービスコンピュータシステムから受信する、第1のソフトトークンの、署名され、タイムスタンプを押された属性の選択を含む属性の指定が含まれる。属性の指定に、第1のソフトトークンに示されている全ての属性が含まれている場合には、第2のソフトトークンは、第1のソフトトークンのコピーを構成する。
【0110】
次にステップ308で、第2のソフトトークンをサービスコンピュータシステムに転送する。サービスコンピュイータシステムは、ステップ310で、タイムスタンプを押されている属性値の署名の有効性を確かめ、ステップ312で、有効期間を過ぎていないかを確かめる。ステップ314で、サービスコンピュータシステムは、署名が有効であり、有効期間を過ぎておらず、属性値がサービスを提供するために必要な基準を満たしている場合に、デバイスに対して要求されているサービスを実行することができる。
【符号の説明】
【0111】
100 ユーザコンピュータシステム
102 ユーザ
104 インタフェース
106 IDトークン
108 インタフェース
110 プロセッサ
112 プログラム命令
114 ネットワークインタフェース
116 ネットワーク
118 電子メモリ
120 保護されているメモリ領域
122 保護されているメモリ領域
124 保護されているメモリ領域
125 メモリ領域
126 メモリ領域
128 プロセッサ
130 プログラム命令
132 プログラム命令
134 プログラム命令
136 IDプロバイダコンピュータシステム
138 ネットワークインタフェース
140 メモリ
142 秘密暗号
144 証明書
145 プロセッサ
146 プログラム命令
147 プログラム命令
148 プログラム命令
149 プログラム命令
150 サービスコンピュータシステム
151 プログラム命令
152 ネットワークインタフェース
154 プロセッサ
156 プログラム命令
158 ソフトトークン
160 属性
162 タイムベース
164 デバイス
166 インタフェース
168 メモリ
170 プロセッサ
172 プログラム命令
174 情報
176 プログラム命令
178 ソフトトークン
180 プログラム命令
182 プログラム命令
184 タイムベース
186 信号
188 接続
190 サービス要求
192 属性の指定
【特許請求の範囲】
【請求項1】
IDトークン(106、106')に格納されている少なくとも1つの属性を読み出す方法であって、前記IDトークンをユーザ(102)に割り当てるために、
前記IDトークンに対して前記ユーザを認証する段階と、
前記IDトークンに対して第1のコンピュータシステム(136)を認証する段階と、
前記IDトークンに対する前記ユーザおよび前記第1のコンピュータシステムの認証が成功すると、前記第1のコンピュータシステムから前記IDトークンに格納されている前記少なくとも1つの属性への読み出しアクセスを行い、前記第1のコンピュータシステムを介して、前記IDトークンから読み出した前記少なくとも1つの属性に署名を提供することで第1のソフトトークン(158)を生成し、前記第1のソフトトークンをデバイス(164)に送信する段階と
を備える方法。
【請求項2】
前記IDトークンに対する前記第1のコンピュータシステムの認証は、前記第1のコンピュータシステムの証明書(144)により行われ、前記証明書は、前記IDトークンに格納されており、前記第1のコンピュータシステムが読み出しアクセスを許可されている属性の指定を含む請求項1に記載の方法。
【請求項3】
前記IDトークンは、前記証明書により、前記第1のコンピュータシステムが前記属性のうちの少なくとも1つへの前記読み出しアクセスを許可されているかを検証する請求項2に記載の方法。
【請求項4】
前記第1のコンピュータシステムが読み出した前記属性の各々にタイムスタンプを提供する段階であって、前記第1のソフトトークンの生成は、タイムスタンプを提供された各属性からの各々別個の署名によって実行される請求項1、2または3のいずれか一項に記載の方法。
【請求項5】
前記第1のソフトトークンから導出した、前記第1のソフトトークンの前記属性のサブセットを含む、前記第1のソフトトークンおよび第2のソフトトークン(178)の少なくとも一方は、前記デバイスから第2のコンピュータシステム(150)に送信される請求項1から4のいずれか一項に記載の方法。
【請求項6】
第3のコンピュータシステム(100)から前記第1のコンピュータシステムに信号(186)を送信する段階であって、前記信号は前記デバイスのアドレスを含み、前記第1のソフトトークンを前記デバイスの前記アドレスに送信する段階をさらに備える請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記信号は、前記第1のソフトトークンを生成するために前記コンピュータシステムが読み出す1以上の属性からの第1の属性の指定を含む請求項6に記載の方法。
【請求項8】
前記第1のコンピュータシステムが前記IDトークンから読み出す前記少なくとも1つの属性は、前記第3のコンピュータシステムに送られ、さらに、前記ユーザがイネーブルした後で前記第2のコンピュータシステムへ転送される請求項1から7のいずれか一項の記載の方法。
【請求項9】
前記ユーザは、前記第2のコンピュータシステムへと転送する前に、さらなるデータを前記属性に追加することができる請求項8に記載の方法。
【請求項10】
前記第1のコンピュータシステムは、異なる読み出し許可権を有する複数の証明書(144.1;144.2)を有し、前記第1のコンピュータシステムは、前記第1の属性の指定の受信に基づいて、前記証明書のうちの、前記第1の属性の指定に指定されている前記属性を読み出すのに足る読み出し許可権を有する少なくとも1つの証明書を選択する請求項7、8、9のいずれか一項に記載の方法。
【請求項11】
前記第1のソフトトークンの生成は、利用されるためには識別が必要であるように行われ、前記識別は、パスワード、PIN,またはTANの形態をとる請求項1から10のいずれか一項に記載の方法。
【請求項12】
前記第1のコンピュータシステムと前記IDトークンとの間に第1の接続(188)が構築され、これにより、前記第1のコンピュータシステムに前記少なくとも1つの属性が送信され、前記第1の接続はエンドツーエンド暗号化により保護される請求項1から11のいずれか一項に記載の方法。
【請求項13】
前記第1のコンピュータシステムおよび前記IDトークンの認証のために、チャレンジ・レスポンス方式が実行され、前記第1の接続の前記エンドツーエンド暗号化のための対称鍵は、前記チャレンジ・レスポンス方式に利用されるチャレンジから導出される請求項12に記載の方法。
【請求項14】
前記第1のソフトトークンは、前記第1のコンピュータシステムから、前記第3のコンピュータシステム(100)を介して前記デバイスへ送信される請求項1から13のいずれか一項に記載の方法。
【請求項15】
前記タイムスタンプはそれぞれ、前記第1のソフトトークンの有効期限を提供する請求項4から14のいずれか一項に記載の方法。
【請求項16】
前記デバイスから前記第2のコンピュータシステムにサービス要求(190)を送信する段階と、
前記第2のコンピュータシステムから前記デバイスへ、1以上の属性を指定する第2の属性の指定(192)を送信する段階と、
前記デバイスで前記第1のソフトトークンにより、前記属性の指定が提供する前記サブセットによる前記第1のソフトトークンの前記属性のうちの1つを含む第2のソフトトークン(178)を生成する段階と、
前記デバイスから前記第2のコンピュータシステムへ、前記第2のソフトトークンを送信する段階と
をさらに備える請求項1から15のいずれか一項に記載の方法。
【請求項17】
前記第2のソフトトークンの1以上の前記属性の有効性をチェックする段階と、
前記タイムスタンプに基づいて、前記第2のソフトトークンの前記有効期限が満了していないかをチェックする段階と、
1以上の前記属性がそれぞれ有効であり、前記有効期限が満了していない場合、前記第2のソフトトークンの前記属性が前記サービスの提供の前提条件である1以上の基準を満たしている限りにおいて、前記サービス要求で要求されている前記サービスを提供する段階と
をさらに備える請求項16に記載の方法。
【請求項18】
請求項1から17のいずれか一項に記載の方法を実行するためにコンピュータシステムが実行することができる命令を備えるコンピュータプログラムプロダクト。
【請求項19】
少なくとも1つの属性を格納するための、保護されたメモリ(124)と、
IDトークンに対して、当該IDトークンに割り当てられているユーザ(102)を認証する手段(120、130)と、
前記IDトークンに対してコンピュータシステム(136)を認証する手段(134)と、
保護された接続(188)を前記第1のコンピュータシステムに構築して、前記第1のコンピュータシステムが前記少なくとも1つの属性を読み出すことができるようにする手段(132)と、
前記第1のコンピュータシステムから前記保護された接続を介して、前記少なくとも1つの属性を含む第1のソフトトークンを受信する手段(108)と、
前記第1のソフトトークンを発行する手段(108)と
を備え、
前記IDトークンから前記少なくとも1つの属性を読み出すための必須の前提条件は、前記IDトークンに対する前記ユーザおよび前記第1のコンピュータシステムの認証が成功することである、IDトークン。
【請求項20】
前記第1のコンピュータシステムへの前記少なくとも1つの属性の保護された送信のために、前記接続のエンドツーエンド暗号化手段を備える請求項19に記載のIDトークン。
【請求項21】
重要書類またはセキュリティ関連の書類を含む書類またはUSBスティックを含む電子デバイスに関する請求項19または20に記載のIDトークン。
【請求項22】
前記第1のソフトトークンを発行する手段は、前記第1のソフトトークンをデバイスに送信するインタフェース(108)を有する請求項19、20、または21のいずれか一項に記載のIDトークン。
【請求項23】
信号(186)を受信する手段(138)と、
IDトークン(106)に対して認証する手段(142、144、146)と、
前記IDトークンから、保護された接続を介して前記少なくとも1つの属性を受信する手段(138)と、
受信された属性それぞれにタイムスタンプを提供する手段(147)と、
前記少なくとも1つの署名されたタイムスタンプが提供された属性を含む第1のソフトトークンを生成する手段(151)と、
前記第1のソフトトークンを送信する手段(138)と
を備え、
前記少なくとも1つの属性を受信するためには、前記IDトークンに割り当てられている前記コンピュータシステムと前記ユーザとが、前記IDトークンに対して認証されていることを必要とするコンピュータシステム。
【請求項24】
前記属性の指定の受信の結果、前記IDトークンに対して認証するようにとの要求を前記ユーザに対して生成する手段を備える請求項23に記載のコンピュータシステム。
【請求項25】
前記信号(186)は第1の属性の指定を含み、
前記第1のソフトトークンを送信する手段は、前記第1のソフトトークンを、エンドツーエンド暗号化を利用して保護された接続(188)を介して前記第IDトークンに送信する請求項23または24に記載のコンピュータシステム。
【請求項26】
前記少なくとも1つの属性に署名して、前記署名された属性を送信する手段(144)を備える請求項23から25のいずれか一項に記載のコンピュータシステム。
【請求項27】
異なる読み出し許可権を有する複数の証明書(144.1;144.2)を有し、前記コンピュータシステムは、前記属性の指定の受信に基づいて、前記証明書のうちの、前記属性の指定に指定されている前記属性を読み出すのに足る読み出し許可権を有する少なくとも1つの証明書を選択する請求項23から26のいずれか一項に記載のコンピュータシステム。
【請求項28】
前記第1のソフトトークンを生成する手段は、前記第1のソフトトークンから前記少なくとも1つの属性を読み出すためには、パスワード、PIN、またはTANを含む識別を入力することを必要とする請求項23から27のいずれか一項に記載のコンピュータシステム。
【請求項1】
IDトークン(106、106')に格納されている少なくとも1つの属性を読み出す方法であって、前記IDトークンをユーザ(102)に割り当てるために、
前記IDトークンに対して前記ユーザを認証する段階と、
前記IDトークンに対して第1のコンピュータシステム(136)を認証する段階と、
前記IDトークンに対する前記ユーザおよび前記第1のコンピュータシステムの認証が成功すると、前記第1のコンピュータシステムから前記IDトークンに格納されている前記少なくとも1つの属性への読み出しアクセスを行い、前記第1のコンピュータシステムを介して、前記IDトークンから読み出した前記少なくとも1つの属性に署名を提供することで第1のソフトトークン(158)を生成し、前記第1のソフトトークンをデバイス(164)に送信する段階と
を備える方法。
【請求項2】
前記IDトークンに対する前記第1のコンピュータシステムの認証は、前記第1のコンピュータシステムの証明書(144)により行われ、前記証明書は、前記IDトークンに格納されており、前記第1のコンピュータシステムが読み出しアクセスを許可されている属性の指定を含む請求項1に記載の方法。
【請求項3】
前記IDトークンは、前記証明書により、前記第1のコンピュータシステムが前記属性のうちの少なくとも1つへの前記読み出しアクセスを許可されているかを検証する請求項2に記載の方法。
【請求項4】
前記第1のコンピュータシステムが読み出した前記属性の各々にタイムスタンプを提供する段階であって、前記第1のソフトトークンの生成は、タイムスタンプを提供された各属性からの各々別個の署名によって実行される請求項1、2または3のいずれか一項に記載の方法。
【請求項5】
前記第1のソフトトークンから導出した、前記第1のソフトトークンの前記属性のサブセットを含む、前記第1のソフトトークンおよび第2のソフトトークン(178)の少なくとも一方は、前記デバイスから第2のコンピュータシステム(150)に送信される請求項1から4のいずれか一項に記載の方法。
【請求項6】
第3のコンピュータシステム(100)から前記第1のコンピュータシステムに信号(186)を送信する段階であって、前記信号は前記デバイスのアドレスを含み、前記第1のソフトトークンを前記デバイスの前記アドレスに送信する段階をさらに備える請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記信号は、前記第1のソフトトークンを生成するために前記コンピュータシステムが読み出す1以上の属性からの第1の属性の指定を含む請求項6に記載の方法。
【請求項8】
前記第1のコンピュータシステムが前記IDトークンから読み出す前記少なくとも1つの属性は、前記第3のコンピュータシステムに送られ、さらに、前記ユーザがイネーブルした後で前記第2のコンピュータシステムへ転送される請求項1から7のいずれか一項の記載の方法。
【請求項9】
前記ユーザは、前記第2のコンピュータシステムへと転送する前に、さらなるデータを前記属性に追加することができる請求項8に記載の方法。
【請求項10】
前記第1のコンピュータシステムは、異なる読み出し許可権を有する複数の証明書(144.1;144.2)を有し、前記第1のコンピュータシステムは、前記第1の属性の指定の受信に基づいて、前記証明書のうちの、前記第1の属性の指定に指定されている前記属性を読み出すのに足る読み出し許可権を有する少なくとも1つの証明書を選択する請求項7、8、9のいずれか一項に記載の方法。
【請求項11】
前記第1のソフトトークンの生成は、利用されるためには識別が必要であるように行われ、前記識別は、パスワード、PIN,またはTANの形態をとる請求項1から10のいずれか一項に記載の方法。
【請求項12】
前記第1のコンピュータシステムと前記IDトークンとの間に第1の接続(188)が構築され、これにより、前記第1のコンピュータシステムに前記少なくとも1つの属性が送信され、前記第1の接続はエンドツーエンド暗号化により保護される請求項1から11のいずれか一項に記載の方法。
【請求項13】
前記第1のコンピュータシステムおよび前記IDトークンの認証のために、チャレンジ・レスポンス方式が実行され、前記第1の接続の前記エンドツーエンド暗号化のための対称鍵は、前記チャレンジ・レスポンス方式に利用されるチャレンジから導出される請求項12に記載の方法。
【請求項14】
前記第1のソフトトークンは、前記第1のコンピュータシステムから、前記第3のコンピュータシステム(100)を介して前記デバイスへ送信される請求項1から13のいずれか一項に記載の方法。
【請求項15】
前記タイムスタンプはそれぞれ、前記第1のソフトトークンの有効期限を提供する請求項4から14のいずれか一項に記載の方法。
【請求項16】
前記デバイスから前記第2のコンピュータシステムにサービス要求(190)を送信する段階と、
前記第2のコンピュータシステムから前記デバイスへ、1以上の属性を指定する第2の属性の指定(192)を送信する段階と、
前記デバイスで前記第1のソフトトークンにより、前記属性の指定が提供する前記サブセットによる前記第1のソフトトークンの前記属性のうちの1つを含む第2のソフトトークン(178)を生成する段階と、
前記デバイスから前記第2のコンピュータシステムへ、前記第2のソフトトークンを送信する段階と
をさらに備える請求項1から15のいずれか一項に記載の方法。
【請求項17】
前記第2のソフトトークンの1以上の前記属性の有効性をチェックする段階と、
前記タイムスタンプに基づいて、前記第2のソフトトークンの前記有効期限が満了していないかをチェックする段階と、
1以上の前記属性がそれぞれ有効であり、前記有効期限が満了していない場合、前記第2のソフトトークンの前記属性が前記サービスの提供の前提条件である1以上の基準を満たしている限りにおいて、前記サービス要求で要求されている前記サービスを提供する段階と
をさらに備える請求項16に記載の方法。
【請求項18】
請求項1から17のいずれか一項に記載の方法を実行するためにコンピュータシステムが実行することができる命令を備えるコンピュータプログラムプロダクト。
【請求項19】
少なくとも1つの属性を格納するための、保護されたメモリ(124)と、
IDトークンに対して、当該IDトークンに割り当てられているユーザ(102)を認証する手段(120、130)と、
前記IDトークンに対してコンピュータシステム(136)を認証する手段(134)と、
保護された接続(188)を前記第1のコンピュータシステムに構築して、前記第1のコンピュータシステムが前記少なくとも1つの属性を読み出すことができるようにする手段(132)と、
前記第1のコンピュータシステムから前記保護された接続を介して、前記少なくとも1つの属性を含む第1のソフトトークンを受信する手段(108)と、
前記第1のソフトトークンを発行する手段(108)と
を備え、
前記IDトークンから前記少なくとも1つの属性を読み出すための必須の前提条件は、前記IDトークンに対する前記ユーザおよび前記第1のコンピュータシステムの認証が成功することである、IDトークン。
【請求項20】
前記第1のコンピュータシステムへの前記少なくとも1つの属性の保護された送信のために、前記接続のエンドツーエンド暗号化手段を備える請求項19に記載のIDトークン。
【請求項21】
重要書類またはセキュリティ関連の書類を含む書類またはUSBスティックを含む電子デバイスに関する請求項19または20に記載のIDトークン。
【請求項22】
前記第1のソフトトークンを発行する手段は、前記第1のソフトトークンをデバイスに送信するインタフェース(108)を有する請求項19、20、または21のいずれか一項に記載のIDトークン。
【請求項23】
信号(186)を受信する手段(138)と、
IDトークン(106)に対して認証する手段(142、144、146)と、
前記IDトークンから、保護された接続を介して前記少なくとも1つの属性を受信する手段(138)と、
受信された属性それぞれにタイムスタンプを提供する手段(147)と、
前記少なくとも1つの署名されたタイムスタンプが提供された属性を含む第1のソフトトークンを生成する手段(151)と、
前記第1のソフトトークンを送信する手段(138)と
を備え、
前記少なくとも1つの属性を受信するためには、前記IDトークンに割り当てられている前記コンピュータシステムと前記ユーザとが、前記IDトークンに対して認証されていることを必要とするコンピュータシステム。
【請求項24】
前記属性の指定の受信の結果、前記IDトークンに対して認証するようにとの要求を前記ユーザに対して生成する手段を備える請求項23に記載のコンピュータシステム。
【請求項25】
前記信号(186)は第1の属性の指定を含み、
前記第1のソフトトークンを送信する手段は、前記第1のソフトトークンを、エンドツーエンド暗号化を利用して保護された接続(188)を介して前記第IDトークンに送信する請求項23または24に記載のコンピュータシステム。
【請求項26】
前記少なくとも1つの属性に署名して、前記署名された属性を送信する手段(144)を備える請求項23から25のいずれか一項に記載のコンピュータシステム。
【請求項27】
異なる読み出し許可権を有する複数の証明書(144.1;144.2)を有し、前記コンピュータシステムは、前記属性の指定の受信に基づいて、前記証明書のうちの、前記属性の指定に指定されている前記属性を読み出すのに足る読み出し許可権を有する少なくとも1つの証明書を選択する請求項23から26のいずれか一項に記載のコンピュータシステム。
【請求項28】
前記第1のソフトトークンを生成する手段は、前記第1のソフトトークンから前記少なくとも1つの属性を読み出すためには、パスワード、PIN、またはTANを含む識別を入力することを必要とする請求項23から27のいずれか一項に記載のコンピュータシステム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2012−533249(P2012−533249A)
【公表日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願番号】特願2012−519969(P2012−519969)
【出願日】平成22年7月5日(2010.7.5)
【国際出願番号】PCT/EP2010/059577
【国際公開番号】WO2011/006790
【国際公開日】平成23年1月20日(2011.1.20)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
【出願人】(599147447)ブンデスドルケライ ゲーエムベーハー (21)
【氏名又は名称原語表記】BUNDESDRUKEREI GMBH
【Fターム(参考)】
【公表日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願日】平成22年7月5日(2010.7.5)
【国際出願番号】PCT/EP2010/059577
【国際公開番号】WO2011/006790
【国際公開日】平成23年1月20日(2011.1.20)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
【出願人】(599147447)ブンデスドルケライ ゲーエムベーハー (21)
【氏名又は名称原語表記】BUNDESDRUKEREI GMBH
【Fターム(参考)】
[ Back to top ]