ダイナミックセキュリティシステム
ユーザが関わるセキュリティシステムは、ユーザに装着可能なトークンを含む。トークンは、ユーザに装着されている間、ユーザに関連付けられる。関連づけは、トークンがユーザから取り外されるときに自動的に解除される。
【発明の詳細な説明】
【背景技術】
【0001】
アクセス制御システム等のセキュリティシステムが、建物および建物内のエリアへのアクセス制御に使用されている。作業バッジの裏面に見られる磁気ストリップをアクセス制御に使用することができる。作業バッジはリーダを通してスキャンされ、リーダは磁気ストリップに符号化されている情報を読み取り、その情報をコンピュータに送る。コンピュータは、データベースを調べてアクセス判定を行う。アクセス判定は、ドアロック機構を開錠することである場合がある。
【0002】
このタイプのセキュリティシステム、およびセキュリティシステム全般は、セキュリティ状況が動的であるため絶対的に確実なものではない。セキュリティ状況により、細かさ、位置、または識別が随時変わり得る。たとえば、作業バッジは個人間で交換することが可能である。アクセス制御システムは、特定の作業バッジに対してアクセスを認証することはできるであろうが、作業バッジが実際に、認証を受けた人物により所有されているかを検証することはできないであろう。
【発明の開示】
【0003】
本発明の一態様によれば、ユーザが関わるセキュリティシステムは、ユーザに装着可能なトークンを含む。トークンは、ユーザに装着されている間ユーザに関連付けられる。関連づけは、トークンがユーザから取り外されたときに自動的に解除される。
【0004】
本発明の他の態様および利点は、添付図面を併せて行われる、本発明の原理を例として示す以下の詳細な説明から明らかになろう。
【発明を実施するための最良の形態】
【0005】
(詳細な説明)
説明を目的として図に示すように、本発明は、1つまたは複数の「資産」へのアクセスを制御するセキュリティシステムにおいて具現される。資産の例としては、ロケーション、部屋、車、インターネット機器、金庫、コンピュータ等が挙げられる。
【0006】
資産12へのユーザ10のアクセスを制御するセキュリティシステム100を示す図1を参照する。システム100は、ユーザ10に装着可能なトークン102を備える。たとえば、トークン102は、手首に装着される時計、服に留められるバッジ、ベルトに留められるボックス等であることができる。トークン102は、プロセッサ、およびセキュリティ情報を記憶するデータ記憶デバイスを備える。セキュリティ情報は、ユーザ10についての識別情報を含むことができる。識別情報は、人物の氏名、パスワード、コード、PIN等を含むことができる。セキュリティ情報はセキュリティパラメータを含むことができる。セキュリティパラメータは、ユーザ10が資産12を使用することができる特権および条件を指定する。セキュリティパラメータは、セキュリティ許可、ロケーション、タイムスタンプ、最大使用回数等を指定することができる。トークン102は、タイムスタンプ後(たとえば、真夜中後)に資産12にアクセスすることができないか、または最大回数を越えて資産12にアクセスすることができない。セキュリティパラメータは、人物がアクセス許可されているコンピュータファイル(たとえば、来訪者はアプリケーションXの実行を許可されているが、アプリケーションYの実行は許可されない)、別の許可を受けた人が付き添う要件(たとえば、患者は、付添人を伴わない限り部屋に入ることができない)を指定することができる。
【0007】
セキュリティパラメータは、セキュリティ情報をどのように資産12に送信するかも指定することができる。たとえば、セキュリティパラメータは、セキュリティ情報を暗号化して送信すべきか否かを指定することができる。
【0008】
セキュリティパラメータは、セキュリティ情報がトークン102から消去される条件を指定することができる。セキュリティ情報は、トークン102がセキュリティ違反を検出する(たとえば、トークン102がユーザ10から取り外されたか)、またはトークン102を物理的に変更する試みがある場合に消去することができる。
【0009】
トークン102は、セキュリティ情報を送受信する通信装置(たとえば、送受信器)をさらに備える。トークン102は、トークン102がユーザ10から取り外されたときを検出するセンサも備える。
【0010】
セキュリティ制御機構110は、異なるユーザのセキュリティ情報の保持、トークン102が装着されているユーザ10(人または物)の識別の認証、および装着されているトークン102へのセキュリティ情報の送信に関与する。セキュリティ制御機構110が機能をどのように実行するかについての制限はない。セキュリティ制御機構110は、人間と機械の組み合わせを利用して機能を実行する。
【0011】
トークン102がユーザ10に装着された後、トークン102はセキュリティ情報を受け取って記憶する。この時点で、トークン102とユーザ10の間に関連付けが発生する。この関連づけは、トークン102とユーザ10の間のセキュリティパスの第1の区間106とみなすことができる。セキュリティパスの第1の区間106は、トークン102がユーザ10に装着されたままであり、他のセキュリティ違反が検出されない限りそのままである。
【0012】
システム100はまた、資産12のエージェント104を備えることができる。資産12がトークン102と通信することができない場合、エージェント104が資産12に関して提供される。第1の例として、トークン102は、建物等の資産12と通信することができない場合がある。しかし、トークン102は、建物へのアクセスを制御するセキュリティゲート等のエージェント104と通信することができる。第2の例として、トークン102は、通貨等の資産と通信することができない場合がある。しかし、トークン102は、通貨へのアクセスを制御するスマートセーフロック等のエージェント104と通信することができる。
【0013】
資産12が処理能力を有し、トークン102と通信することができる場合、エージェント104は必要でなくてもよい。たとえば、コンピュータまたはインターネット機器等の資産はエージェント104を必要としなくてもよい。
【0014】
図1に示す資産12は、通信/処理能力を欠いている。したがってエージェント104が提供される。
【0015】
トークン102がエージェント104と通信している間に、セキュリティパスの第2の区間108が形成される。第2の区間108はセキュリティパスを完成させる。
【0016】
セキュリティパスは、ユーザ10、トークン102、およびエージェント104/資産12の間の関連づけを表す。これら要素のいずれか1つでも関連づけを破ると、セキュリティパスは切断され、ユーザ10による資産12へのアクセスは拒絶される。
【0017】
トークン102が、ユーザ10からトークン102が取り外されたことを検出すると、トークンプロセッサは、トークンデータ記憶部からすべてのセキュリティ情報を消去し、したがってトークン102を「白紙の状態」にする。結果として、セキュリティパスの第1の区間106は切断され、ユーザ10による資産12へのアクセスは拒絶される。第1の区間106は、ユーザ10がトークン102を再装着し、セキュリティ情報を再び受け取るまで再確立されない。
【0018】
第2の区間108は、トークン102がエージェント104との通信を停止した場合に切断され得る。第1の例として、トークン102がエージェント104の通信範囲外にあることから通信が停止する。この例では、トークン102が資産12の通信範囲内に移動すると、第2の区間108を再確立することができる。第2の例として、トークン102は、第1の区間106が切断したためにエージェント104との通信を停止する。
【0019】
セキュリティパスの区間106および108が両方とも確立されている間に、ユーザ10による資産12へのアクセスを拒絶すべきか、それとも認可すべきかを判定することができる。判定は、資産12/エージェント104により、または別のエンティティにより行うことができる。たとえば、エージェント104は、トークン102からセキュリティコードを受け取り、そのセキュリティコードに従ってアクセスの認可または拒絶を判定する。エージェント104は、意志決定能力を有していない場合、セキュリティコードをセキュリティ制御機構110に送ることができ、セキュリティ制御機構110は判定を行い、エージェント104にアクセスを拒絶または認可するように命令する。
【0020】
これより、例示的なトークン102を示す図2を参照する。トークン102は、本体(たとえば、ハウジング、基板)202、および本体202に取り付けられる以下の構成要素、すなわちプロセッサ204、データ記憶部206、装着センサ208、送受信器210、および装着装置212を備える。装着装置212のタイプは、トークン102が装着されるユーザ10のタイプによって決まる。ユーザ10が人物である場合、装着装置212はクリップ、リストバンド、または人物または服に直接装着される他の装置であることができる。
【0021】
装着センサ208のタイプは、トークン102がユーザ10にどのように取り付けられるかによって決まる。たとえば、ガルバニックまたは熱センサを使用して、リストバンドがいつ手首から取り外されたかを判定することができ、また近接センサを使用して、ハウジングがいつベルトから外されたかを判定することができる。
【0022】
データ記憶部206は、セキュリティ情報を記憶する不揮発性および/または揮発性メモリ(たとえば、フラッシュメモリ、RAM)を備える。データ記憶部206は、プロセッサ204の制御プログラムを記憶する不揮発性メモリ(たとえば、ROM)も備えることができる。
【0023】
プログラムは、トークン102により実行される各種機能を制御するようにプロセッサ204に命令する。これら機能は、データ記憶部206へのセキュリティ情報の記憶、送受信器210への(に送信すべき)セキュリティ情報の送信、送受信器210からのデータの受信、安全な送信のための情報の暗号化および解読、センサデータを解析しての、トークン102がいつユーザ10から取り外されたかの判定、ならびにトークンの取り外しが検出されたときのデータ記憶部206からのセキュリティ情報の消去を含むが、これらに限定されない。
【0024】
送受信器210は、追跡信号の送信にも使用することができる。追跡信号を使用して(信号強度、伝搬時間を調べることにより)、トークン102およびユーザ10のロケーションを判定することができる。代替または追加として、トークン102は、IRビーコンまたはGPS装置等の追跡装置を備えることができる。
【0025】
トークン102は、ユーザ10についての生体(biometric)情報を取り込む生体センサ214も備えることができる。生体情報は、送受信器210によりセキュリティ制御機構110に送信することができるため、セキュリティ制御機構110がユーザ10を認証するのを助ける情報を提供する。
【0026】
データ記憶部206は、セキュリティ制御機構110により使用されるのと同じタイプのセキュリティ情報であるセキュリティ情報を含むデータベースをプログラムすることができる。たとえば、データベースは、人物群の身元および特権を含むことができる。トークン102に生体センサ214が備えられ、セキュリティ情報がプログラムされている場合、セキュリティ制御機構110との対話をなくすか、または低減することができる。
【0027】
トークン102は、トークン102およびユーザ10を取り巻く環境(コンテキスト)についての情報を得る1つまたは複数のコンテキストセンサ216を備えることができる。このようなコンテキストは、動き、軌跡、生物環境、および無生物環境を含むことができる。例示的なコンテキストセンサ216は、加速度計、湿度センサ、温度センサ、およびビデオセンサを含む。トークン102、エージェント104、またはセキュリティ制御機構110は、コンテキスト情報を使用して、ユーザ10および資産12が許可された環境にあるか、それとも不良な環境にあるのか、資産12がどのように使用されているのか等を判定することができる。たとえば、トークン102は、不良な環境にある場合、データ記憶部206からすべてのセキュリティ情報の消去を決め、それによってセキュリティパスの第1の区間106を切断する。コンテキストセンサ216により提供される追加情報により、セキュリティ判定の正確性を上げることができる。
【0028】
これより図3を参照する。例示的なセキュリティシステム310について、異なる資産へのアクセスを得ようと試みる第1および第2の人物(ユーザ)10aおよび10bに関連してこれより説明する。資産は、部屋12aおよび部屋12a内の安全なコンピュータ12bを含む。安全なコンピュータ12bにエージェントは提供されない。スマートドアロックの形のエージェント104aが部屋12aに提供される。トークンはセキュリティバッジ102aおよび102bである。セキュリティ制御機構110は、警備員312、生体スキャナ314、およびセキュリティ制御コンピュータ316を備える。
【0029】
各人物10aおよび10bは警備員312に近づく。警備員312は、複数のセキュリティバッジ102aおよび102bが収容されているトレイから第1および第2のセキュリティバッジ102aおよび102bを取り出す。この時点で、各セキュリティバッジ102aおよび102bはセキュリティ情報を含んでいない。セキュリティバッジ102aおよび102bが2人の人物10aおよび10bに与えられる前は、異なる暗号鍵が2つのセキュリティバッジ102aおよび102bに記憶されている。暗号鍵(たとえば、対称鍵)は、バッジ102aおよび102bと安全に通信するために使用される。
【0030】
第1の人物10aは第1のセキュリティバッジ102aをクリップで留める。装着センサおよびプロセッサが、第1のバッジ102aが第1の人物10aにクリップで留められたことを確定すると、第1のバッジ102aは、セキュリティ情報の受信準備が整ったことをセキュリティ制御コンピュータ316に通知する。第1の人物10aの属性(たとえば、指紋、網膜、虹彩、声、顔)が生体スキャナ314によりスキャンされる。追加または代替として、或る形の識別(たとえば、免許証番号、パスワード)がセキュリティ制御コンピュータ316に供給される。セキュリティ制御コンピュータ316は、生体および識別情報に基づいてセキュリティ情報を検索し、セキュリティ情報を第1のセキュリティバッジ102aに送る。この例では、セキュリティ制御情報は、個人識別子、タイムスタンプ、およびアクセスコードを含む。第1のセキュリティバッジ102aはセキュリティ情報を記憶し、したがって第1の人物10aの人物を呈する。セキュリティパスの第1の区間が、第1の人物10aと第1のバッジ102aの間に形成される。第1の人物10aが第1のセキュリティバッジ102aを装着している限り、セキュリティパスの第1の区間は維持される。
【0031】
第2の人物10bは第2のセキュリティバッジ102bをクリップで留める。同じように、第2のバッジ102bは、第2の人物10bについてのセキュリティ情報を受信して記憶する。第2の人物10bが第2のセキュリティバッジ102bを装着している限り、第2の人物10bと第2のバッジ102bの間のセキュリティパスの第1の区間は維持される。
【0032】
2人の人物10aおよび10bは部屋12aに近づく。セキュリティバッジ102aおよび102bは両方とも、それぞれのアクセスコードをスマートドアロック104aに送信する。アクセスコードは、第1の人物10aのみによる部屋12aへの入室は許可されているが、第2の人物10bは、第1の人物10aが付き添っている場合にのみ部屋12aに入ることができることを示す。両方のバッジ102aおよび102bの両方から受信するアクセスコードに基づいて、スマートドアロック104aは、人物10aおよび10bの両者が一緒に部屋12aに入ることを許可する。
【0033】
第1の人物10aがコンピュータ12bに近づくと、第1のバッジ102aは個人識別子およびアクセスコードを第1のコンピュータ12bに送信する。コンピュータ12bは、個人識別子に従って第1の人物によるファイルおよび他のコンピュータ資源へのアクセスを制限する。さらに、コンピュータ12bは、識別子に従ってグラフィカルユーザインタフェースを個人化することができる。
【0034】
セキュリティパラメータに応じて、コンピュータ12bは、未知の、または許可を受けていない人物が部屋12aにいる(検知装置を有していないか、あるいはこのような装置を有しているが許可を有していない)場合、アクセスを拒絶することができる。たとえば、第2の人物10bに対しては、コンピュータ12bのいずれの資源へのアクセスも許可されていない。したがってコンピュータ12bは、第1の人物10aが端末に面していない場合、または第2の人物10bが端末の閲覧範囲内にいる場合、端末をブランクにさせる。コンピュータ12bは、第2の人物10bがコンピュータ12bにアクセスしようと試みる場合に自動的にシャットダウンすることができる。または、コンピュータ12bはセキュリティ制御コンピュータ316にコンタクトを取ることができ、セキュリティ制御コンピュータ316は警備員に警告する。
【0035】
後に、第1の人物10aは部屋12aを出て、第1のバッジ102aを外し、第1のバッジ102aを警備員312に返却する。第1のバッジ102aは、外されるとすぐにセキュリティ情報をすべて消去する。第1のバッジ10aは白紙の状態になり、後の使用のためにトレイに戻される。
【0036】
第2の人物10bは部屋12aを出るが、第2のバッジ10bを外して返却するのを忘れる。しかし、第2のバッジ102bはタイムスタンプ(個人識別子およびアクセスコードと共に送信された)を有する。第2のバッジ102bは、タイムスタンプの期限が切れるときを判定する(バッジ102bは内部クロックを有してもよく、また外部ソースから時間を受信してもよい)。タイムスタンプの期限が切れるとすぐに、第2のバッジ102bはセキュリティ情報をすべて消去する。したがって、第2の人物10bは第2のバッジ102bを使用して部屋12aに再び入ることができないか、または他のいずれの資産にもアクセスすることはできない。
【0037】
第2の人物10bが第2のバッジ102bを外し、外したバッジ102bを第3者に与える場合、第2のバッジ102bはこのイベントを検出し、すべてのセキュリティ情報を消去する。したがって、第3者は第2のバッジ102bを使用して部屋12aに入ることができないか、またはいずれの資産にもアクセスすることはできない。
【0038】
暗号鍵は、バッジが人物に与えられる前にバッジに記憶されている必要はない。別の例示的なセキュリティシステムでは、人物は、いずれの識別、暗号、およびセキュリティ情報も完全に空のバッジを取る。バッジはたとえば、建物のロビーに配置されたトレイから取ることができる。バッジは人物に装着されていることを検出し、それから、ユーザ識別を実行し且つセキュリティ情報を提供する装置の存在下にあることを検出する。装置の存在が検出されると、バッジは、一意の、一回限り使用される暗号鍵を自動的に生成する(一回限りの暗号鍵は反射攻撃を回避するように設計される)。人物が肯定的に識別された後、バッジは鍵を装置に送信し、装置は鍵を使用してセキュリティ情報を暗号化し、暗号化されたセキュリティ情報をバッジに送信する。最後に、人物はバッジを取り外してトレイに投げて戻す。バッジを人物に与える警備員または他の人物の必要性がなくなる。
【0039】
バッジを装着している間、人物はセキュリティ情報を決して見ないか、または取り扱わず、ドアロック機構と対話する、追加のパスワードをコンピュータに入力する等の必要はない。セキュリティ情報は、セキュリティバッジ、ドアロック機構、およびコンピュータの間で送信される。セキュリティ情報は暗号化される。したがって、セキュリティ情報は盗聴から保護される。
【0040】
セキュリティシステムのユーザは様々であり、多数である。セキュリティシステムを病院で使用して、特定のロックされた部屋または薬物棚へのアクセスを電子的に認可および拒絶することができる。位置追跡用途に関しては、特定のセンサを三角測量するようにセキュリティセンターが構成される場合、セキュリティセンターは、個人の位置を正確に求めることができる。病院では、このようなシステムは医者または患者の位置を正確に求めることができる。
【0041】
セキュリティシステムは航空機セキュリティに使用することもできる。トークンをパイロットに装着することができる。セキュリティパスの第1の区画は、トークンがパイロットから外された場合のみならず、トークンにより、パイロットが死亡または無能力化されたことが検出された場合も切断することができる。
【0042】
セキュリティシステムは、すべての招待者に装置が一時的に(すなわち、日毎に)与えられるアミューズメントパークまたはスキーエリアで使用することもできる。システムは、招待者の位置および招待者がまだ装置を装着しているか否かを即座に識別することができる。
【0043】
セキュリティシステムを使用して、装置を「個人化」することもできる。1つのこのような装置がインターネット機器である。トークンはセキュリティパラメータをインターネット機器に送信する。セキュリティパラメータは、氏名、パスワード、およびコンテキストを示すことができる。インターネット機器はそれ自体を、セキュリティパラメータに従って構成し、それによってユーザ個人に向けられたものになる。
【0044】
セキュリティ情報に制限はない。セキュリティ情報は、ユーザ毎、場所毎、タスク毎、および瞬間毎に異なることができる。セキュリティ情報は、誰が、どこで、いつ、どのように資産が使用されるか、および資産が何と共に使用されるかを指定することができる。
【0045】
トークンがエージェントまたは資産とどのように通信するかについての制限はない。無線通信は単なる一例である。
【0046】
本発明は上記特定の実施形態に限定されない。そうではなく、本発明は付随する特許請求の範囲に従って解釈される。
【図面の簡単な説明】
【0047】
【図1】本発明の一実施形態によるセキュリティシステムの図である。
【図2】セキュリティシステムのトークンの図である。
【図3】本発明の一実施形態によるセキュリティシステムの別の図である。
【符号の説明】
【0048】
10:ユーザ
12:資産
100:セキュリティシステム
102:トークン
104:エージェント
110:セキュリティ制御機構
【背景技術】
【0001】
アクセス制御システム等のセキュリティシステムが、建物および建物内のエリアへのアクセス制御に使用されている。作業バッジの裏面に見られる磁気ストリップをアクセス制御に使用することができる。作業バッジはリーダを通してスキャンされ、リーダは磁気ストリップに符号化されている情報を読み取り、その情報をコンピュータに送る。コンピュータは、データベースを調べてアクセス判定を行う。アクセス判定は、ドアロック機構を開錠することである場合がある。
【0002】
このタイプのセキュリティシステム、およびセキュリティシステム全般は、セキュリティ状況が動的であるため絶対的に確実なものではない。セキュリティ状況により、細かさ、位置、または識別が随時変わり得る。たとえば、作業バッジは個人間で交換することが可能である。アクセス制御システムは、特定の作業バッジに対してアクセスを認証することはできるであろうが、作業バッジが実際に、認証を受けた人物により所有されているかを検証することはできないであろう。
【発明の開示】
【0003】
本発明の一態様によれば、ユーザが関わるセキュリティシステムは、ユーザに装着可能なトークンを含む。トークンは、ユーザに装着されている間ユーザに関連付けられる。関連づけは、トークンがユーザから取り外されたときに自動的に解除される。
【0004】
本発明の他の態様および利点は、添付図面を併せて行われる、本発明の原理を例として示す以下の詳細な説明から明らかになろう。
【発明を実施するための最良の形態】
【0005】
(詳細な説明)
説明を目的として図に示すように、本発明は、1つまたは複数の「資産」へのアクセスを制御するセキュリティシステムにおいて具現される。資産の例としては、ロケーション、部屋、車、インターネット機器、金庫、コンピュータ等が挙げられる。
【0006】
資産12へのユーザ10のアクセスを制御するセキュリティシステム100を示す図1を参照する。システム100は、ユーザ10に装着可能なトークン102を備える。たとえば、トークン102は、手首に装着される時計、服に留められるバッジ、ベルトに留められるボックス等であることができる。トークン102は、プロセッサ、およびセキュリティ情報を記憶するデータ記憶デバイスを備える。セキュリティ情報は、ユーザ10についての識別情報を含むことができる。識別情報は、人物の氏名、パスワード、コード、PIN等を含むことができる。セキュリティ情報はセキュリティパラメータを含むことができる。セキュリティパラメータは、ユーザ10が資産12を使用することができる特権および条件を指定する。セキュリティパラメータは、セキュリティ許可、ロケーション、タイムスタンプ、最大使用回数等を指定することができる。トークン102は、タイムスタンプ後(たとえば、真夜中後)に資産12にアクセスすることができないか、または最大回数を越えて資産12にアクセスすることができない。セキュリティパラメータは、人物がアクセス許可されているコンピュータファイル(たとえば、来訪者はアプリケーションXの実行を許可されているが、アプリケーションYの実行は許可されない)、別の許可を受けた人が付き添う要件(たとえば、患者は、付添人を伴わない限り部屋に入ることができない)を指定することができる。
【0007】
セキュリティパラメータは、セキュリティ情報をどのように資産12に送信するかも指定することができる。たとえば、セキュリティパラメータは、セキュリティ情報を暗号化して送信すべきか否かを指定することができる。
【0008】
セキュリティパラメータは、セキュリティ情報がトークン102から消去される条件を指定することができる。セキュリティ情報は、トークン102がセキュリティ違反を検出する(たとえば、トークン102がユーザ10から取り外されたか)、またはトークン102を物理的に変更する試みがある場合に消去することができる。
【0009】
トークン102は、セキュリティ情報を送受信する通信装置(たとえば、送受信器)をさらに備える。トークン102は、トークン102がユーザ10から取り外されたときを検出するセンサも備える。
【0010】
セキュリティ制御機構110は、異なるユーザのセキュリティ情報の保持、トークン102が装着されているユーザ10(人または物)の識別の認証、および装着されているトークン102へのセキュリティ情報の送信に関与する。セキュリティ制御機構110が機能をどのように実行するかについての制限はない。セキュリティ制御機構110は、人間と機械の組み合わせを利用して機能を実行する。
【0011】
トークン102がユーザ10に装着された後、トークン102はセキュリティ情報を受け取って記憶する。この時点で、トークン102とユーザ10の間に関連付けが発生する。この関連づけは、トークン102とユーザ10の間のセキュリティパスの第1の区間106とみなすことができる。セキュリティパスの第1の区間106は、トークン102がユーザ10に装着されたままであり、他のセキュリティ違反が検出されない限りそのままである。
【0012】
システム100はまた、資産12のエージェント104を備えることができる。資産12がトークン102と通信することができない場合、エージェント104が資産12に関して提供される。第1の例として、トークン102は、建物等の資産12と通信することができない場合がある。しかし、トークン102は、建物へのアクセスを制御するセキュリティゲート等のエージェント104と通信することができる。第2の例として、トークン102は、通貨等の資産と通信することができない場合がある。しかし、トークン102は、通貨へのアクセスを制御するスマートセーフロック等のエージェント104と通信することができる。
【0013】
資産12が処理能力を有し、トークン102と通信することができる場合、エージェント104は必要でなくてもよい。たとえば、コンピュータまたはインターネット機器等の資産はエージェント104を必要としなくてもよい。
【0014】
図1に示す資産12は、通信/処理能力を欠いている。したがってエージェント104が提供される。
【0015】
トークン102がエージェント104と通信している間に、セキュリティパスの第2の区間108が形成される。第2の区間108はセキュリティパスを完成させる。
【0016】
セキュリティパスは、ユーザ10、トークン102、およびエージェント104/資産12の間の関連づけを表す。これら要素のいずれか1つでも関連づけを破ると、セキュリティパスは切断され、ユーザ10による資産12へのアクセスは拒絶される。
【0017】
トークン102が、ユーザ10からトークン102が取り外されたことを検出すると、トークンプロセッサは、トークンデータ記憶部からすべてのセキュリティ情報を消去し、したがってトークン102を「白紙の状態」にする。結果として、セキュリティパスの第1の区間106は切断され、ユーザ10による資産12へのアクセスは拒絶される。第1の区間106は、ユーザ10がトークン102を再装着し、セキュリティ情報を再び受け取るまで再確立されない。
【0018】
第2の区間108は、トークン102がエージェント104との通信を停止した場合に切断され得る。第1の例として、トークン102がエージェント104の通信範囲外にあることから通信が停止する。この例では、トークン102が資産12の通信範囲内に移動すると、第2の区間108を再確立することができる。第2の例として、トークン102は、第1の区間106が切断したためにエージェント104との通信を停止する。
【0019】
セキュリティパスの区間106および108が両方とも確立されている間に、ユーザ10による資産12へのアクセスを拒絶すべきか、それとも認可すべきかを判定することができる。判定は、資産12/エージェント104により、または別のエンティティにより行うことができる。たとえば、エージェント104は、トークン102からセキュリティコードを受け取り、そのセキュリティコードに従ってアクセスの認可または拒絶を判定する。エージェント104は、意志決定能力を有していない場合、セキュリティコードをセキュリティ制御機構110に送ることができ、セキュリティ制御機構110は判定を行い、エージェント104にアクセスを拒絶または認可するように命令する。
【0020】
これより、例示的なトークン102を示す図2を参照する。トークン102は、本体(たとえば、ハウジング、基板)202、および本体202に取り付けられる以下の構成要素、すなわちプロセッサ204、データ記憶部206、装着センサ208、送受信器210、および装着装置212を備える。装着装置212のタイプは、トークン102が装着されるユーザ10のタイプによって決まる。ユーザ10が人物である場合、装着装置212はクリップ、リストバンド、または人物または服に直接装着される他の装置であることができる。
【0021】
装着センサ208のタイプは、トークン102がユーザ10にどのように取り付けられるかによって決まる。たとえば、ガルバニックまたは熱センサを使用して、リストバンドがいつ手首から取り外されたかを判定することができ、また近接センサを使用して、ハウジングがいつベルトから外されたかを判定することができる。
【0022】
データ記憶部206は、セキュリティ情報を記憶する不揮発性および/または揮発性メモリ(たとえば、フラッシュメモリ、RAM)を備える。データ記憶部206は、プロセッサ204の制御プログラムを記憶する不揮発性メモリ(たとえば、ROM)も備えることができる。
【0023】
プログラムは、トークン102により実行される各種機能を制御するようにプロセッサ204に命令する。これら機能は、データ記憶部206へのセキュリティ情報の記憶、送受信器210への(に送信すべき)セキュリティ情報の送信、送受信器210からのデータの受信、安全な送信のための情報の暗号化および解読、センサデータを解析しての、トークン102がいつユーザ10から取り外されたかの判定、ならびにトークンの取り外しが検出されたときのデータ記憶部206からのセキュリティ情報の消去を含むが、これらに限定されない。
【0024】
送受信器210は、追跡信号の送信にも使用することができる。追跡信号を使用して(信号強度、伝搬時間を調べることにより)、トークン102およびユーザ10のロケーションを判定することができる。代替または追加として、トークン102は、IRビーコンまたはGPS装置等の追跡装置を備えることができる。
【0025】
トークン102は、ユーザ10についての生体(biometric)情報を取り込む生体センサ214も備えることができる。生体情報は、送受信器210によりセキュリティ制御機構110に送信することができるため、セキュリティ制御機構110がユーザ10を認証するのを助ける情報を提供する。
【0026】
データ記憶部206は、セキュリティ制御機構110により使用されるのと同じタイプのセキュリティ情報であるセキュリティ情報を含むデータベースをプログラムすることができる。たとえば、データベースは、人物群の身元および特権を含むことができる。トークン102に生体センサ214が備えられ、セキュリティ情報がプログラムされている場合、セキュリティ制御機構110との対話をなくすか、または低減することができる。
【0027】
トークン102は、トークン102およびユーザ10を取り巻く環境(コンテキスト)についての情報を得る1つまたは複数のコンテキストセンサ216を備えることができる。このようなコンテキストは、動き、軌跡、生物環境、および無生物環境を含むことができる。例示的なコンテキストセンサ216は、加速度計、湿度センサ、温度センサ、およびビデオセンサを含む。トークン102、エージェント104、またはセキュリティ制御機構110は、コンテキスト情報を使用して、ユーザ10および資産12が許可された環境にあるか、それとも不良な環境にあるのか、資産12がどのように使用されているのか等を判定することができる。たとえば、トークン102は、不良な環境にある場合、データ記憶部206からすべてのセキュリティ情報の消去を決め、それによってセキュリティパスの第1の区間106を切断する。コンテキストセンサ216により提供される追加情報により、セキュリティ判定の正確性を上げることができる。
【0028】
これより図3を参照する。例示的なセキュリティシステム310について、異なる資産へのアクセスを得ようと試みる第1および第2の人物(ユーザ)10aおよび10bに関連してこれより説明する。資産は、部屋12aおよび部屋12a内の安全なコンピュータ12bを含む。安全なコンピュータ12bにエージェントは提供されない。スマートドアロックの形のエージェント104aが部屋12aに提供される。トークンはセキュリティバッジ102aおよび102bである。セキュリティ制御機構110は、警備員312、生体スキャナ314、およびセキュリティ制御コンピュータ316を備える。
【0029】
各人物10aおよび10bは警備員312に近づく。警備員312は、複数のセキュリティバッジ102aおよび102bが収容されているトレイから第1および第2のセキュリティバッジ102aおよび102bを取り出す。この時点で、各セキュリティバッジ102aおよび102bはセキュリティ情報を含んでいない。セキュリティバッジ102aおよび102bが2人の人物10aおよび10bに与えられる前は、異なる暗号鍵が2つのセキュリティバッジ102aおよび102bに記憶されている。暗号鍵(たとえば、対称鍵)は、バッジ102aおよび102bと安全に通信するために使用される。
【0030】
第1の人物10aは第1のセキュリティバッジ102aをクリップで留める。装着センサおよびプロセッサが、第1のバッジ102aが第1の人物10aにクリップで留められたことを確定すると、第1のバッジ102aは、セキュリティ情報の受信準備が整ったことをセキュリティ制御コンピュータ316に通知する。第1の人物10aの属性(たとえば、指紋、網膜、虹彩、声、顔)が生体スキャナ314によりスキャンされる。追加または代替として、或る形の識別(たとえば、免許証番号、パスワード)がセキュリティ制御コンピュータ316に供給される。セキュリティ制御コンピュータ316は、生体および識別情報に基づいてセキュリティ情報を検索し、セキュリティ情報を第1のセキュリティバッジ102aに送る。この例では、セキュリティ制御情報は、個人識別子、タイムスタンプ、およびアクセスコードを含む。第1のセキュリティバッジ102aはセキュリティ情報を記憶し、したがって第1の人物10aの人物を呈する。セキュリティパスの第1の区間が、第1の人物10aと第1のバッジ102aの間に形成される。第1の人物10aが第1のセキュリティバッジ102aを装着している限り、セキュリティパスの第1の区間は維持される。
【0031】
第2の人物10bは第2のセキュリティバッジ102bをクリップで留める。同じように、第2のバッジ102bは、第2の人物10bについてのセキュリティ情報を受信して記憶する。第2の人物10bが第2のセキュリティバッジ102bを装着している限り、第2の人物10bと第2のバッジ102bの間のセキュリティパスの第1の区間は維持される。
【0032】
2人の人物10aおよび10bは部屋12aに近づく。セキュリティバッジ102aおよび102bは両方とも、それぞれのアクセスコードをスマートドアロック104aに送信する。アクセスコードは、第1の人物10aのみによる部屋12aへの入室は許可されているが、第2の人物10bは、第1の人物10aが付き添っている場合にのみ部屋12aに入ることができることを示す。両方のバッジ102aおよび102bの両方から受信するアクセスコードに基づいて、スマートドアロック104aは、人物10aおよび10bの両者が一緒に部屋12aに入ることを許可する。
【0033】
第1の人物10aがコンピュータ12bに近づくと、第1のバッジ102aは個人識別子およびアクセスコードを第1のコンピュータ12bに送信する。コンピュータ12bは、個人識別子に従って第1の人物によるファイルおよび他のコンピュータ資源へのアクセスを制限する。さらに、コンピュータ12bは、識別子に従ってグラフィカルユーザインタフェースを個人化することができる。
【0034】
セキュリティパラメータに応じて、コンピュータ12bは、未知の、または許可を受けていない人物が部屋12aにいる(検知装置を有していないか、あるいはこのような装置を有しているが許可を有していない)場合、アクセスを拒絶することができる。たとえば、第2の人物10bに対しては、コンピュータ12bのいずれの資源へのアクセスも許可されていない。したがってコンピュータ12bは、第1の人物10aが端末に面していない場合、または第2の人物10bが端末の閲覧範囲内にいる場合、端末をブランクにさせる。コンピュータ12bは、第2の人物10bがコンピュータ12bにアクセスしようと試みる場合に自動的にシャットダウンすることができる。または、コンピュータ12bはセキュリティ制御コンピュータ316にコンタクトを取ることができ、セキュリティ制御コンピュータ316は警備員に警告する。
【0035】
後に、第1の人物10aは部屋12aを出て、第1のバッジ102aを外し、第1のバッジ102aを警備員312に返却する。第1のバッジ102aは、外されるとすぐにセキュリティ情報をすべて消去する。第1のバッジ10aは白紙の状態になり、後の使用のためにトレイに戻される。
【0036】
第2の人物10bは部屋12aを出るが、第2のバッジ10bを外して返却するのを忘れる。しかし、第2のバッジ102bはタイムスタンプ(個人識別子およびアクセスコードと共に送信された)を有する。第2のバッジ102bは、タイムスタンプの期限が切れるときを判定する(バッジ102bは内部クロックを有してもよく、また外部ソースから時間を受信してもよい)。タイムスタンプの期限が切れるとすぐに、第2のバッジ102bはセキュリティ情報をすべて消去する。したがって、第2の人物10bは第2のバッジ102bを使用して部屋12aに再び入ることができないか、または他のいずれの資産にもアクセスすることはできない。
【0037】
第2の人物10bが第2のバッジ102bを外し、外したバッジ102bを第3者に与える場合、第2のバッジ102bはこのイベントを検出し、すべてのセキュリティ情報を消去する。したがって、第3者は第2のバッジ102bを使用して部屋12aに入ることができないか、またはいずれの資産にもアクセスすることはできない。
【0038】
暗号鍵は、バッジが人物に与えられる前にバッジに記憶されている必要はない。別の例示的なセキュリティシステムでは、人物は、いずれの識別、暗号、およびセキュリティ情報も完全に空のバッジを取る。バッジはたとえば、建物のロビーに配置されたトレイから取ることができる。バッジは人物に装着されていることを検出し、それから、ユーザ識別を実行し且つセキュリティ情報を提供する装置の存在下にあることを検出する。装置の存在が検出されると、バッジは、一意の、一回限り使用される暗号鍵を自動的に生成する(一回限りの暗号鍵は反射攻撃を回避するように設計される)。人物が肯定的に識別された後、バッジは鍵を装置に送信し、装置は鍵を使用してセキュリティ情報を暗号化し、暗号化されたセキュリティ情報をバッジに送信する。最後に、人物はバッジを取り外してトレイに投げて戻す。バッジを人物に与える警備員または他の人物の必要性がなくなる。
【0039】
バッジを装着している間、人物はセキュリティ情報を決して見ないか、または取り扱わず、ドアロック機構と対話する、追加のパスワードをコンピュータに入力する等の必要はない。セキュリティ情報は、セキュリティバッジ、ドアロック機構、およびコンピュータの間で送信される。セキュリティ情報は暗号化される。したがって、セキュリティ情報は盗聴から保護される。
【0040】
セキュリティシステムのユーザは様々であり、多数である。セキュリティシステムを病院で使用して、特定のロックされた部屋または薬物棚へのアクセスを電子的に認可および拒絶することができる。位置追跡用途に関しては、特定のセンサを三角測量するようにセキュリティセンターが構成される場合、セキュリティセンターは、個人の位置を正確に求めることができる。病院では、このようなシステムは医者または患者の位置を正確に求めることができる。
【0041】
セキュリティシステムは航空機セキュリティに使用することもできる。トークンをパイロットに装着することができる。セキュリティパスの第1の区画は、トークンがパイロットから外された場合のみならず、トークンにより、パイロットが死亡または無能力化されたことが検出された場合も切断することができる。
【0042】
セキュリティシステムは、すべての招待者に装置が一時的に(すなわち、日毎に)与えられるアミューズメントパークまたはスキーエリアで使用することもできる。システムは、招待者の位置および招待者がまだ装置を装着しているか否かを即座に識別することができる。
【0043】
セキュリティシステムを使用して、装置を「個人化」することもできる。1つのこのような装置がインターネット機器である。トークンはセキュリティパラメータをインターネット機器に送信する。セキュリティパラメータは、氏名、パスワード、およびコンテキストを示すことができる。インターネット機器はそれ自体を、セキュリティパラメータに従って構成し、それによってユーザ個人に向けられたものになる。
【0044】
セキュリティ情報に制限はない。セキュリティ情報は、ユーザ毎、場所毎、タスク毎、および瞬間毎に異なることができる。セキュリティ情報は、誰が、どこで、いつ、どのように資産が使用されるか、および資産が何と共に使用されるかを指定することができる。
【0045】
トークンがエージェントまたは資産とどのように通信するかについての制限はない。無線通信は単なる一例である。
【0046】
本発明は上記特定の実施形態に限定されない。そうではなく、本発明は付随する特許請求の範囲に従って解釈される。
【図面の簡単な説明】
【0047】
【図1】本発明の一実施形態によるセキュリティシステムの図である。
【図2】セキュリティシステムのトークンの図である。
【図3】本発明の一実施形態によるセキュリティシステムの別の図である。
【符号の説明】
【0048】
10:ユーザ
12:資産
100:セキュリティシステム
102:トークン
104:エージェント
110:セキュリティ制御機構
【特許請求の範囲】
【請求項1】
ユーザが関わるセキュリティシステムであって、
前記ユーザに装着可能なトークンを備え、
前記トークンは、前記ユーザに装着されている間、該ユーザに関連付けられ、
前記関連づけは、前記トークンが前記ユーザから取り外されるときに自動的に解除される、セキュリティシステム。
【請求項2】
前記トークンは、該トークンが前記ユーザから取り外されるときを判定する装着センサを備えている、請求項1に記載のセキュリティシステム。
【請求項3】
前記トークンは、セキュリティ情報を記憶するデータ記憶部を備え、前記トークンが前記ユーザから取り外されると前記セキュリティ情報を消去し、それにより、前記セキュリティ情報が消去されると前記関連づけが解除される、請求項1に記載のセキュリティシステム。
【請求項4】
前記トークンは、前記セキュリティ情報が記憶される前に前記ユーザに装着され、前記トークンと前記ユーザとの間の前記関連づけは、前記セキュリティ情報が記憶されるときに発生する、請求項3に記載のセキュリティシステム。
【請求項5】
前記トークンは、前記セキュリティ情報の少なくともいくらかを送受信する送受信器を備えている、請求項3に記載のセキュリティシステム。
【請求項6】
前記トークンは、前記ユーザについての識別情報を得る生体センサを備えている、請求項1に記載のセキュリティシステム。
【請求項7】
前記トークンは、前記ユーザを認証する手段を備えている、請求項1に記載のセキュリティシステム。
【請求項8】
前記トークンは、少なくとも1つのコンテキストセンサを備えている、請求項1に記載のセキュリティシステム。
【請求項9】
前記トークンは、
装着センサと、
プロセッサと、
データ記憶部と、
を備え、
前記プロセッサは、前記センサにより前記トークンが前記ユーザに装着されたことが示された後、セキュリティ情報を前記データ記憶部に記憶し、
前記プロセッサは、前記センサにより本体が前記ユーザから取り外されたことが検出されると、前記データ記憶部から前記セキュリティ情報を消去する、
請求項1に記載のセキュリティシステム。
【請求項10】
資産へのアクセス制御手段をさらに備え、該手段は、前記ユーザ、前記トークン、および該手段の間のセキュリティパスが確立されていない場合、前記ユーザが前記資産にアクセスすることを許可しない、請求項1に記載のセキュリティシステム。
【請求項11】
前記セキュリティパスの区間は、前記トークンが前記セキュリティ情報の少なくともいくらかを前記アクセス制御手段と通信している間確立される、請求項10に記載のセキュリティシステム。
【請求項12】
前記セキュリティパスの区間は、前記トークンが前記ユーザに装着されている間確立される、請求項11に記載のセキュリティシステム。
【請求項13】
前記ユーザについてのセキュリティ情報にアクセスし、前記セキュリティ情報を前記トークンに送信する手段をさらに備えている、請求項1に記載のセキュリティシステム。
【請求項14】
前記トークンは、1回限りの使用の暗号鍵を生成し、該鍵を前記手段に送信し、該手段は、前記鍵を使用して前記セキュリティ情報を暗号化し、該暗号化されたセキュリティ情報を前記トークンに送信する、請求項13に記載のセキュリティシステム。
【請求項15】
前記トークンから少なくともいくらかのセキュリティ情報を受け取るアクセス制御手段と、該アクセス制御手段から少なくともいくらかのセキュリティ情報を受け取り、アクセス制御判定を行い、該アクセス制御判定を前記アクセス制御手段に供給する手段と、をさらに備えている、請求項1に記載のセキュリティシステム。
【請求項16】
前記トークンはセキュリティ情報を記憶するデータ記憶部を備え、前記セキュリティ情報は、セキュリティ違反条件を示し、前記トークンは、前記条件が検出されると前記セキュリティ情報を消去し、それにより、前記セキュリティ情報が消去されると前記関連づけが解除される、請求項1に記載のセキュリティシステム。
【請求項17】
資産へのユーザアクセスを制御する装置であって、
前記装置の前記ユーザへの着脱を検出する第1の手段と、
前記ユーザのアクセスについての情報を記憶する第2の手段であって、前記情報は、前記第1の手段により前記装置が装着されたことが示された後に記憶される、第2の手段と、
を備え、
前記第2の手段は、前記第1の手段により前記トークンが取り外されたことが検出されると、前記情報を消去する、資産へのユーザアクセスを制御する装置。
【請求項18】
装着センサおよびデータ記憶部を含むトークンであって、前記センサによりユーザへの装着が示された後にセキュリティ情報を記憶し、前記センサにより前記ユーザからの取り外しが検出されると前記セキュリティ情報を消去する、トークンと、
前記ユーザ、前記トークン、および前記アクセス制御装置の間のセキュリティパスが確立されていない場合、前記ユーザによる前記資産へのアクセスを許可しない手段である、資産のアクセス制御装置と、
を備えているセキュリティシステム。
【請求項19】
トークンを使用してユーザを確認する方法であって、
前記トークンが前記ユーザに装着されたとき、前記トークンと前記ユーザとの間の、情報に関連する関連づけを形成するステップと、
前記トークンが前記ユーザから取り外されたときを検知するステップと、
取り外しが検知されたときに、前記関連づけを即座に、自動的に解除するステップと、
を含む、方法。
【請求項20】
人物、エージェント、およびデータ記憶デバイスが関わるセキュリティ方法であって、
前記データ記憶デバイスを前記人物に固定するステップと、
前記データ記憶デバイスが前記人物に固定された後、セキュリティ情報を前記データ記憶デバイスに記憶するステップと、
トークンが前記人物に固定されている間、前記人物による前記エージェントへのアクセスを許可するステップと、
前記データ記憶デバイスが前記人物から取り外された後、前記人物による前記エージェントへのアクセスを拒絶するステップと、
を含む、セキュリティ方法。
【請求項21】
ユーザを確認する装置であって、
前記ユーザに固定可能な本体と、
前記本体が前記ユーザから取り外されたときを検出するセンサと、
プロセッサと、
データ記憶部と、
を備え、
前記プロセッサは、前記センサにより前記本体が前記ユーザに固定されたことが検出されると、前記ユーザに関連するセキュリティ情報を前記データ記憶部に記憶し、
前記プロセッサは、前記センサにより前記本体が前記ユーザから取り外されたことが検出されると、前記データ記憶部から前記セキュリティ情報を消去する、装置。
【請求項22】
前記ユーザについての識別情報を得る生体センサをさらに備えている、請求項21に記載の装置。
【請求項23】
前記セキュリティ情報の少なくともいくらかを送信する送信器をさらに備えている、請求項21に記載の装置。
【請求項24】
前記セキュリティ情報が、安全なチャネルを介して送信される、請求項23に記載の装置。
【請求項25】
前記プロセッサはまた、セキュリティ情報を暗号化する1回限りの使用の鍵を生成する、請求項21に記載の装置。
【請求項26】
コンテキスト情報を得るセンサをさらに備え、前記コンテキスト情報は前記セキュリティ情報と突き合わせて評価される、請求項21に記載の装置。
【請求項27】
追跡信号を送信する送信器をさらに備えている、請求項21に記載の装置。
【請求項1】
ユーザが関わるセキュリティシステムであって、
前記ユーザに装着可能なトークンを備え、
前記トークンは、前記ユーザに装着されている間、該ユーザに関連付けられ、
前記関連づけは、前記トークンが前記ユーザから取り外されるときに自動的に解除される、セキュリティシステム。
【請求項2】
前記トークンは、該トークンが前記ユーザから取り外されるときを判定する装着センサを備えている、請求項1に記載のセキュリティシステム。
【請求項3】
前記トークンは、セキュリティ情報を記憶するデータ記憶部を備え、前記トークンが前記ユーザから取り外されると前記セキュリティ情報を消去し、それにより、前記セキュリティ情報が消去されると前記関連づけが解除される、請求項1に記載のセキュリティシステム。
【請求項4】
前記トークンは、前記セキュリティ情報が記憶される前に前記ユーザに装着され、前記トークンと前記ユーザとの間の前記関連づけは、前記セキュリティ情報が記憶されるときに発生する、請求項3に記載のセキュリティシステム。
【請求項5】
前記トークンは、前記セキュリティ情報の少なくともいくらかを送受信する送受信器を備えている、請求項3に記載のセキュリティシステム。
【請求項6】
前記トークンは、前記ユーザについての識別情報を得る生体センサを備えている、請求項1に記載のセキュリティシステム。
【請求項7】
前記トークンは、前記ユーザを認証する手段を備えている、請求項1に記載のセキュリティシステム。
【請求項8】
前記トークンは、少なくとも1つのコンテキストセンサを備えている、請求項1に記載のセキュリティシステム。
【請求項9】
前記トークンは、
装着センサと、
プロセッサと、
データ記憶部と、
を備え、
前記プロセッサは、前記センサにより前記トークンが前記ユーザに装着されたことが示された後、セキュリティ情報を前記データ記憶部に記憶し、
前記プロセッサは、前記センサにより本体が前記ユーザから取り外されたことが検出されると、前記データ記憶部から前記セキュリティ情報を消去する、
請求項1に記載のセキュリティシステム。
【請求項10】
資産へのアクセス制御手段をさらに備え、該手段は、前記ユーザ、前記トークン、および該手段の間のセキュリティパスが確立されていない場合、前記ユーザが前記資産にアクセスすることを許可しない、請求項1に記載のセキュリティシステム。
【請求項11】
前記セキュリティパスの区間は、前記トークンが前記セキュリティ情報の少なくともいくらかを前記アクセス制御手段と通信している間確立される、請求項10に記載のセキュリティシステム。
【請求項12】
前記セキュリティパスの区間は、前記トークンが前記ユーザに装着されている間確立される、請求項11に記載のセキュリティシステム。
【請求項13】
前記ユーザについてのセキュリティ情報にアクセスし、前記セキュリティ情報を前記トークンに送信する手段をさらに備えている、請求項1に記載のセキュリティシステム。
【請求項14】
前記トークンは、1回限りの使用の暗号鍵を生成し、該鍵を前記手段に送信し、該手段は、前記鍵を使用して前記セキュリティ情報を暗号化し、該暗号化されたセキュリティ情報を前記トークンに送信する、請求項13に記載のセキュリティシステム。
【請求項15】
前記トークンから少なくともいくらかのセキュリティ情報を受け取るアクセス制御手段と、該アクセス制御手段から少なくともいくらかのセキュリティ情報を受け取り、アクセス制御判定を行い、該アクセス制御判定を前記アクセス制御手段に供給する手段と、をさらに備えている、請求項1に記載のセキュリティシステム。
【請求項16】
前記トークンはセキュリティ情報を記憶するデータ記憶部を備え、前記セキュリティ情報は、セキュリティ違反条件を示し、前記トークンは、前記条件が検出されると前記セキュリティ情報を消去し、それにより、前記セキュリティ情報が消去されると前記関連づけが解除される、請求項1に記載のセキュリティシステム。
【請求項17】
資産へのユーザアクセスを制御する装置であって、
前記装置の前記ユーザへの着脱を検出する第1の手段と、
前記ユーザのアクセスについての情報を記憶する第2の手段であって、前記情報は、前記第1の手段により前記装置が装着されたことが示された後に記憶される、第2の手段と、
を備え、
前記第2の手段は、前記第1の手段により前記トークンが取り外されたことが検出されると、前記情報を消去する、資産へのユーザアクセスを制御する装置。
【請求項18】
装着センサおよびデータ記憶部を含むトークンであって、前記センサによりユーザへの装着が示された後にセキュリティ情報を記憶し、前記センサにより前記ユーザからの取り外しが検出されると前記セキュリティ情報を消去する、トークンと、
前記ユーザ、前記トークン、および前記アクセス制御装置の間のセキュリティパスが確立されていない場合、前記ユーザによる前記資産へのアクセスを許可しない手段である、資産のアクセス制御装置と、
を備えているセキュリティシステム。
【請求項19】
トークンを使用してユーザを確認する方法であって、
前記トークンが前記ユーザに装着されたとき、前記トークンと前記ユーザとの間の、情報に関連する関連づけを形成するステップと、
前記トークンが前記ユーザから取り外されたときを検知するステップと、
取り外しが検知されたときに、前記関連づけを即座に、自動的に解除するステップと、
を含む、方法。
【請求項20】
人物、エージェント、およびデータ記憶デバイスが関わるセキュリティ方法であって、
前記データ記憶デバイスを前記人物に固定するステップと、
前記データ記憶デバイスが前記人物に固定された後、セキュリティ情報を前記データ記憶デバイスに記憶するステップと、
トークンが前記人物に固定されている間、前記人物による前記エージェントへのアクセスを許可するステップと、
前記データ記憶デバイスが前記人物から取り外された後、前記人物による前記エージェントへのアクセスを拒絶するステップと、
を含む、セキュリティ方法。
【請求項21】
ユーザを確認する装置であって、
前記ユーザに固定可能な本体と、
前記本体が前記ユーザから取り外されたときを検出するセンサと、
プロセッサと、
データ記憶部と、
を備え、
前記プロセッサは、前記センサにより前記本体が前記ユーザに固定されたことが検出されると、前記ユーザに関連するセキュリティ情報を前記データ記憶部に記憶し、
前記プロセッサは、前記センサにより前記本体が前記ユーザから取り外されたことが検出されると、前記データ記憶部から前記セキュリティ情報を消去する、装置。
【請求項22】
前記ユーザについての識別情報を得る生体センサをさらに備えている、請求項21に記載の装置。
【請求項23】
前記セキュリティ情報の少なくともいくらかを送信する送信器をさらに備えている、請求項21に記載の装置。
【請求項24】
前記セキュリティ情報が、安全なチャネルを介して送信される、請求項23に記載の装置。
【請求項25】
前記プロセッサはまた、セキュリティ情報を暗号化する1回限りの使用の鍵を生成する、請求項21に記載の装置。
【請求項26】
コンテキスト情報を得るセンサをさらに備え、前記コンテキスト情報は前記セキュリティ情報と突き合わせて評価される、請求項21に記載の装置。
【請求項27】
追跡信号を送信する送信器をさらに備えている、請求項21に記載の装置。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2006−506694(P2006−506694A)
【公表日】平成18年2月23日(2006.2.23)
【国際特許分類】
【出願番号】特願2004−504190(P2004−504190)
【出願日】平成15年3月13日(2003.3.13)
【国際出願番号】PCT/US2003/007773
【国際公開番号】WO2003/096281
【国際公開日】平成15年11月20日(2003.11.20)
【出願人】(503003854)ヒューレット−パッカード デベロップメント カンパニー エル.ピー. (1,145)
【Fターム(参考)】
【公表日】平成18年2月23日(2006.2.23)
【国際特許分類】
【出願日】平成15年3月13日(2003.3.13)
【国際出願番号】PCT/US2003/007773
【国際公開番号】WO2003/096281
【国際公開日】平成15年11月20日(2003.11.20)
【出願人】(503003854)ヒューレット−パッカード デベロップメント カンパニー エル.ピー. (1,145)
【Fターム(参考)】
[ Back to top ]