トランザクション確認の方法およびシステム
【課題】例えばユーザ名とパスワード・データとの入力により確立されたセキュア・セッションの中でクライアントからサーバへの提示を認証する方法およびシステム。
【解決手段】セッションは幾つかのトランザクションから構成され、その各々は、それ自体が例えばバイオメトリクス・データの提示によりさらに認証される。従って各トランザクションは個別にも、またセッション・レベルでも、認証される。一実施態様では、セッション・レベル認証はATMでの暗証番号コードの提示を含むことができ、ユーザからの後の全てのリクエストまたは命令に、ATMキーパッドに統合されたスキャナからの例えば指紋データが伴うことができる。セッションは幾つかのトランザクションを含み、その各々が個別に認証される。好ましくはセッション・レベル認証がセッションの開始時に実行され、それからその後のトランザクション認証のための権限が得られる。これは、トランザクション認証情報を、授権されたセッション開始認証データと比較することによって達成され得る。ユーザのバイオメトリクスにより各トランザクションに認証データを与えることができる。
【解決手段】セッションは幾つかのトランザクションから構成され、その各々は、それ自体が例えばバイオメトリクス・データの提示によりさらに認証される。従って各トランザクションは個別にも、またセッション・レベルでも、認証される。一実施態様では、セッション・レベル認証はATMでの暗証番号コードの提示を含むことができ、ユーザからの後の全てのリクエストまたは命令に、ATMキーパッドに統合されたスキャナからの例えば指紋データが伴うことができる。セッションは幾つかのトランザクションを含み、その各々が個別に認証される。好ましくはセッション・レベル認証がセッションの開始時に実行され、それからその後のトランザクション認証のための権限が得られる。これは、トランザクション認証情報を、授権されたセッション開始認証データと比較することによって達成され得る。ユーザのバイオメトリクスにより各トランザクションに認証データを与えることができる。
【発明の詳細な説明】
【技術分野】
【0001】
データ・センタ内でいろいろなカテゴリーのユーザにいろいろな特権を与えるためにも、個人的な金融トランザクション(例えば、インターネット上でのクレジット・カードによる購入)を許可しあるいは妨げるためにも、また綿密に調査された人だけによってコンピュータ主導防衛行動を起こすことを許すことによって国家安全保障を確保する等のためにも、セキュリティは多くの人間/コンピュータ相互作用にとって重要である。
【背景技術】
【0002】
図1は、従来技術から知られているアプローチを示す。セッション・レベルの認証を通してセキュリティを適用するための1つの手段が図1に示されている。セッション開始(ステップ502)後、人は‘認証される'(すなわち、その人が、ステップ504で提示されてステップ506でチェックされたユーザID/パスワードの組み合わせ、パスコード、デジタル証明書などを通して、自分がその人であると主張しているところの人であるということが判明する)。認証が成功したならば、その人はステップ514で操作を自由に実行できるようになる。すなわち、その人は、‘セッション'または‘会話’の持続時間にわたって実行することを許され、それは明示のセッション終了プロトコル(すなわちログオフ)またはタイム・アウト時間によって中断され、セッションはステップ524で閉じられる。
【発明の開示】
【発明が解決しようとする課題】
【0003】
図1に記載されたアプローチは役に立つけれども、欠点がある。例えば、或る人がセッションを開いてからワークステーションをほったらかしにしてその場から離れた場合、その人の許可の下で無許可の人が動作を実行できることになり、あるいは、いったん認証されたならば、自分が実行できるように許可されていない動作を実行したいと望んでいる人による攻撃の目標となるかもしれない。
【0004】
前者の例は、コーヒーを得るために離れていって、悪意でシステムにダメージを与えかねないユーザに対して自分のワークステーションを開放しておくシステム管理者である。後者の例は、カード所有者による正しい暗証番号の入力によってATMセッションが開始され、その後にその人がある他人に押しのけられてその他人がその被害者の口座から現金を引き出したという場合である。
【0005】
他の例は、ユーザIDとパスワードとが1グループのユーザたちのために一意である共有されるワークステーションの場合であり得る。そのグループに属する、トランザクションを要求しているどの現実のユーザについても認証を提供するということは不可能である。
【課題を解決するための手段】
【0006】
本発明により、添付されている独立請求項1に従うトランザクションを認証する方法と、添付されている独立請求項15に従うコンピュータ・プログラムと、添付されている独立請求項16に従うコンピュータ可読媒体と、添付されている独立請求項17に従うシステムと、添付されている独立請求項18に従う機械作動式コンピュータ入力装置とが提供される。好ましい実施態様が従属請求項において定義されている。
【0007】
図面と詳細な説明とを調べれば本発明の更なる利点が当業者にとって明らかとなるであろう。如何なる付加的な利点もここに組み込まれるべきことが意図されている。
【0008】
次に添付図面を参照し例を挙げて本発明の実施態様を説明する。添付図面においては同様の参照符は類似のエレメントを示す。
【発明を実施するための最良の形態】
【0009】
セッションを開始し、従ってトランザクションを実行することを許可されている人によって各々のトランザクションあるいは操作がトリガされることを保証する手段を提供することによって、セッション・レベルの認証の頑丈で広く行きわたった基礎に依拠することができる。
【0010】
図2は第1実施態様を示す。この実施態様では、ユーザ1およびトランザクション・プロセッサ3と通信するインターフェース2が設けられる。或る実施態様では、インターフェース2はクライアントを構成すると考えられて良く、トランザクション・プロセッサはサーバを構成すると考えられて良い。好ましくはトランザクション・プロセッサ3はクライアントと見なされて良く、サーバは図示されていない。この実施態様では、ユーザ1は数個のトランザクション41,42および43を開始し、その各々は命令211,221および231を含む。命令は、一般に、1つの明確で分離した効果を引き起こしそうな単一のユーザ操作に対応する。これらの命令は、それぞれメッセージ211,221および231として符号化された形でインターフェース2によりトランザクション・プロセッサ3に渡される。前記命令112,122および132の各々に認証データ111,121および131が伴っており、それは各々の場合に前記インターフェース2によりトランザクション・プロセッサ3に渡される。特に、各命令は好ましくはそれに関連する認証データとともに実質的に同時にサーバに到着する。理想的には認証データはユーザからの最小限の意図的介入を必要とする仕方で前記ユーザから抽出されるべきである。選択される抽出手段は、トランザクション自体の性質に依存する。1つの好ましい実施態様では、認証情報111,121および131はバイオメトリクス・データである。バイオメトリクス・データは、例えば、指紋線、指細孔構造、顔または手の特定の特徴物の相対距離、指測定寸法、手の静脈構造、耳の寸法、虹彩パターン、網膜静脈構造のパターン、声の調子または音色、DNA、ユーザの匂いの化学組成、圧力の関数としての筆跡、およびキーボードを打つスピードまたはリズムのうちのいずれか1つ以上を含み得る。バイオメトリクス・データのような認証データの抽出は、好ましくはトランザクションの開始にリンクされ、好ましくはトランザクションを開始させる同じユーザ動作によってトリガされる。
【0011】
各トランザクションのために、トランザクション・プロセッサ3はトランザクション認証プロセス31,32,33をそれぞれ実行し、そのとき、受信された認証データ211,221および231が、例えばユーザ認証情報を含むユーザ・データベース(図示されていない)との比較によって、分析される。認証データが正当なユーザを表すと判定された場合、対応するトランザクション・メッセージ212,222,232はトランザクションの実行のために伝えられる。
【0012】
図3はステップのシーケンスのフローチャートを示し、これに従って、図2に関して記載されたシステムが実現され得る。特に、図2は、上記のインターフェースのような第1エンティティーと上記のトランザクション・プロセッサのような第2エンティティーとの間の通信を認証する方法を示す。この方法は、セッションを開始するステップ512から始まる。第1トランザクションは、ステップ513において、例えば上記のもののような任意の適切な手段に従って、例えば図2に関して上に記載された認証111に対応する認証データの引き出しから始まる。この情報は、ステップ514で、トランザクションに関連する命令または他の情報と共に提示される。ステップ516で認証データに対して認証プロセスが実行され、もしその認証プロセスが成功したならば(ステップ518)、その命令はステップ520で正式に処理される。そうでなければステップ524でセッションは終了される。認証が成功して命令が処理されたならば、更なるトランザクションが実行されるべきか否かが判定される。例えば受信されたその最後の命令がセッションを終了させる命令ではなかった場合など、更なるトランザクションが考えられている場合には、プロセスはステップ513に戻ってトランザクション・ステップが反復される。そうでなければセッションはステップ524で閉じられ、プロセスは終了する。
【0013】
従って、上記の各トランザクションは、認証データを得るステップと、命令と第1エンティティーからの認証データとを提示するステップと、その認証データを用いる第1認証プロセスによって第2エンティティーに対して第1エンティティーを認証するステップと、第1認証プロセスによる認証の前記ステップが成功した場合にその命令を処理するステップとから構成されると考えられて良い。
【0014】
図4は第2実施態様を示す。この実施態様は、トランザクション41,42および43、およびこれらに対応する、命令および認証情報の提示の前に、セッション開始認証データ101がユーザ1によりインターフェース2に提示され、そしてインターフェース2によりトランザクション・プロセッサ3に開始認証メッセージ201として提示されることを除いて、図2の実施態様に類似している。このセッション開始データはトランザクション・プロセッサ311により認証プロセス39で認証され、そして認証が成功したならばセッションが開始されて、その間にトランザクション41,42および43が行われる。特に、もしセッション開始データの認証が失敗したならば、認証データを伴っていてもいなくても、ユーザは命令を提示することを許されない。
【0015】
1つの好ましい実施態様では、セッション開始データ101は認証データ111,121または131のそれとは異なる形のデータである。特に、所与のセッションのためにセッション開始データは1回提示されるだけであるので、データを得ることがユーザにとってトランスペアレントであるための動機付けは余りない。セッション開始データは、ユーザ名とパスワード、および口座番号と暗証番号コードあるいはユーザを一意に特定するのに適する他の任意のデータのセットであり得る。
【0016】
図5はステップのシーケンスのフローチャートを示し、これに従って図4に関して記載されたシステムが実現され得る。特に、図5は、図3に関して記載されたのと同じステップを示し、さらに、上記のようにセッションが開始されるステップ502とトランザクション認証情報が得られるステップ513との間に置かれたステップ504,506,508および510を含む。この実施態様では、ステップ508での認証のために、ステップ504でセッション認証データ101が得られ、それはステップ506でトランザクション・プロセッサに提示される。セッション認証情報101の認証が成功した場合に限って、この方法は上で論じられたようにステップ513に進む。そうでなければ、セッションは上で論じられたようにステップ524で終了する。
【0017】
図6は、図4に関連して記載された第2実施態様に従うトランザクション認証失敗を示す。図6は、図4に関して記載されたようにセッション開始認証データ101およびトランザクション認証データ111の提示を示す。しかし、第1トランザクション41の完了後、新しいトランザクション42’が無効なトランザクション認証データ121'の提示を伴って開始される。この提示された値は、インターフェース2により普通の仕方で無効なトランザクション認証メッセージ221'として伝えられる。この無効なトランザクション認証メッセージ221'は認証プロセス32'により処理され、それはユーザを認証することができず、従ってそのセッションと、トランザクションとを終了させる。無効なトランザクション認証メッセージ221'に伴う例えば222などの命令は、更なるトランザクション・メッセージ231/232と同じく、無視される。ユーザは、ただ新しいセッションを確立することによってだけ、トランザクションを再開することができる。
【0018】
或る実施態様では、失敗した認証のために或る程度の許容範囲を導入することができる。失敗したトランザクション認証に対する種々の応答が考えられる:
セッションは、認証が失敗したとき、直ちに終了される。この、図6に関して上で記載されたアプローチは、最も厳格で、従って最も安全である。或る実施態様は、しばしば或る程度可変的で制御しにくいバイオメトリクス情報を用いて実行されるので、この厳格なアプローチは使いやすさを制限するかもしれない。下記のバリエーションは、ユーザに対してもっと親切なアプローチを提供することができる。
トランザクションは中断されるが、更なるトランザクションが相変わらず提示され得るように、セッションは影響を受けない。
一定数の認証失敗が登録されたならばセッションを終了させるために、認証失敗がログされる。問題のトランザクションは終了されてもされなくても良い。トランザクションの総数のうちの一部として或る数のトランザクション認証失敗が無視されて良く、あるいは有効な認証は一定のトランザクションのためにだけ必要とされて良い。この最後の場合には、認証を必要とするトランザクションは、ランダムに、あるいはトランザクションの性質に基づいて、あるいは他の何らかの基準に基づいて、選択されて良い。
【0019】
認証失敗に対する反応は、失敗の程度に依存して良く、あるいは伴う命令の性質による。状況に応じて上記の応答のうちのいずれかまたは全部をシステムに組み合わさせるプロトコルを定義することができる。特にこの機能は、図11に関して以下で記載されるトランザクション・シグネチャ・カタログ36により提供され得る。
【0020】
前記のように、トランザクション認証データは好ましくはバイオメトリクス・データである。セッション認証もバイオメトリックであって良い。バイオメトリクス情報は、ユーザがトランザクションを提示するときに相互作用せざるを得ないインターフェース・エレメントによってユーザから目立たないように抽出され得る。例えば、ユーザが音声コマンドによってトランザクションをインターフェースに対して発する場合、同じ入力から音声バイオメトリクス・データが抽出され得る。命令を発するためにキーボードが使用される場合には、ユーザの特徴的なタイピング・パターンが並行して分析され得る。ユーザがトランザクションあたりに少なくとも1回接触するインターフェースのキーボードまたは他の部分に指紋スキャナまたは他の検出器を組み込むのが適切であるかもしれない。例えば、入力された値を完全なトランザクションとして登録するために多くのタイプのキーボードまたはキーパッド入力は“submit”または“enter”キーを押すことを必要とする。
【0021】
図7は第3の実施態様を示す。この実施態様では、認証タスクは、トランザクション・プロセッサ3を含むクライアントとサーバ5との間で分割される。特に、開始認証メッセージ201は、クライアント3によりサーバ5へ中継される。サーバ5は、開始メッセージを認証し、それによってセッション4を開始するサーバ側の、より高いレベルの、認証プロセス51を備えている。次に続く命令は、その後、クライアント3により、すなわちより低いレベルの認証に従って、プロセス31,32および33において認証され得、そしてそれらの命令は必要に応じてサーバ5に転送され得る。
【0022】
図5に示されているように、クライアント3により認証されたトランザクション212,222,232は、開始認証メッセージを受信し処理したのと同じサーバ5に中継される。あるいは、開始認証メッセージを受信し処理するための別の認証サーバと、その後のトランザクションのハンドリングのためのトランザクション・サーバとが設けられても良い。
【0023】
好ましくは、インターフェース2により提示された認証メッセージを格納するためのライブラリ35がクライアントに設けられる。開始認証方法がトランザクション認証メッセージと同じフォーマットのものである場合には、例えば全てのメッセージが同じバイオメトリクスから得られるならば、開始認証メッセージも好ましくはこのライブラリ35に格納される。従って、この情報は、その後のトランザクションの認証のために利用可能である。特に、図7に示されているように、クライアント側認証プロセッサ311は、トランザクション212,222,232をプロセス31,32および33でそれぞれ認証するときにライブラリ35にアクセスすることができる。トランザクションが認証された場合、それらはその後上で論じられたようにサーバ5に中継される。この様に、換言すれば、セッション開始認証が実行され、その後の各トランザクションで捕捉されたバイオメトリクス・データは、ユーザがセッションを開始したのと同じユーザであることを保証するために使われる。
【0024】
ライブラリ35に格納された認証データは、クライアント側認証またはサーバ側認証を考慮してクライアントまたはサーバにそれぞれ格納されて良い。
【0025】
各トランザクション認証は、好ましくは、トランザクション認証メッセージを開始認証データと比較することによって実行される。開始認証データの真正性がサーバにより立証されていて、従って信用できるので、このアプローチは有利である。このアプローチは代理認証(delegated authentication)と称されても良いであろう。
【0026】
この確認は、完全な認証より煩わしくなく、認証システム(しばしば外部の)への連続的なリクエストを回避し、またクライアント・システムで局所的に実行され得るという利益を有する。
【0027】
認証試行を以前に提示された認証データと比較するためのライブラリ・コンポーネントの使用は、もちろん、例えば図4に関して論じられたように全認証がクライアントで実行される場合にも使用され得る。
【0028】
図8はステップのシーケンスのフローチャートを示し、これに従って、図7に関して記載されたシステムの側面が実現され得る。このチャートのステップは、図5のそれに対応するけれども、開始認証データを格納するステップ509がさらに設けられている点で異なっている。一方、ステップ516はステップ516’に取って代わられており、これにより、後の認証メッセージの認証はステップ509で格納された認証情報に関して実行される。
【0029】
或る実施態様は、例えば上記のようにバイオメトリクス・データによって入力動作の開始者を認識できる周辺装置を採用する。
【0030】
図9は、本発明を具体化したキーパッドを示す。このようなキーパッドは、例えばATM機械、アクセス制御(インターホン)インターフェース、“チップ・アンド・PIN”インターフェースなどで使用され得るものであって、0から9までの番号の付いたキー(710−719)と、“cancel”721、“correct”722および“enter”730という印のついたキーとを有する簡単な数字キーパッドを含む。一般的に、ユーザは、数字キー710−719を用いて値または命令を入力し、“cancel”キーおよび“correct”キーを用いて訂正および調整を行う。満足したならば、ユーザは“enter”キー730を押すことによって命令を提示する。この実施態様では、エンター(enter)キー730はセンサ731を統合しており、これはユーザからバイオメトリクス情報を得ることができる。“enter”キーを押し下げることによって上記のように例えば212,222,232などの命令のようなトランザクションをユーザが提示したとき、命令データと共にトランザクション認証データ211,221,231として提示されるべくバイオメトリクス・データが該キーを押し下げるために使われた指から同時に読み取られる。
【0031】
図10は、本発明を具体化したマウス810を示す。このマウスは実質的に在来のものであって、ボディと、ローラー・ボールまたは光学式運動センサと複数のボタン812,820とを含む。この実施態様では、マウス810はセンサ821を統合しており、これはユーザからバイオメトリクス情報を得ることができる。センサ821は、好ましくは、マウス・ボタンのうちの1つに統合される。このセンサは、マウス・フレームに、例えば、これを移動させるために指により保持される側部などに、配置されても良い。マウスが保持されている間、何時でもスキャンされ得るように、それはアプリケーションにより使用される特定のマウス・ボタンだけに関連するのではない。さらにいっそう好ましくは、センサ821は、マウスがインターフェース機能を提供する動作環境に応じて“submit(提示)”タイプまたは“enter(入力)”タイプの操作で一般的に使用されるマウス・ボタンに統合される。クライアント側システムは、各々の操作を開始するバイオメトリクス・データを認識する。これは、セッション開始プロトコルを認識するシステムに配慮しており、セッションを開始したのと同一の人だけによって更なる操作が実行されることを可能にする。すなわち、セッションが確立されたならば、(特徴的バイオメトリクス・データにより定められる)同じアイデンティティが装置を制御しているときにだけ、周辺装置からのコントロールがアプリケーションに渡される。この方法は、多くの主流アプリケーションに組み込まれている広く行きわたっているセッション・レベル認証を維持するけれども、セキュリティを増すためにトランザクション・レベルの確認を上に付け加える。
【0032】
サーバ・システムは、トランザクション・レベルの確認を意識しているアプリケーションをホストすることができ、あるいは現在のレベルのセッション・レベル認証に完全に依存しているアプリケーションをホストすることができる。いずれの場合にも、それはセッション・レベル認証に基づくセキュリティ構造を有する。それは、いったんセッションが開始されたならば該セッションにおける各々の連続する操作が認証済み当事者によって開始されることを保証するためにセキュア・クライアント・システムに依拠する。
【0033】
図11は第6実施態様を示す。この実施態様では、操作は、図8に関して上に記載されたマウスのような周辺装置20によって開始される。この装置20のためのデバイス・ドライバ30は、例えば112,122,132などの装置操作を報告するだけではなくて、センサ821により得られた情報の形で操作開始者あるいはユーザ1のアイデンティティ111,121,131を伝達する。デバイス・ドライバ30は、操作のアイデンティティが以前の操作と同じか、それとも異なるかを調べるために、ライブラリ・コンポーネント35を調べる。この情報でデバイス・ドライバ30はトランザクション実行クライアント34とインターフェースするが、これは単にアプリケーションのクライアント・ピースに過ぎない。アプリケーション・クライアントは、連続するトランザクションが同じアイデンティティを必要とするか否かを理解できるほどインテリジェントであり、あるいは、どのトランザクションがトランザクション・レベルの確認を必要とするかを定めるトランザクション・シグネチャ・カタログ36があっても良い。トランザクション開始者のアイデンティティ211,221,231が妥当であるとアプリケーション・クライアント923が確信したならば、例えば212,222,232などの操作のようなトランザクションは実行されるべくサーバ・システム5に伝えられる。
【0034】
上で論じられたように、バイオメトリクス・データのような認証データの抽出は好ましくはトランザクションの開始にリンクされ、好ましくはトランザクションを開始するのと同じユーザ動作によってトリガされる。従って、図11の実施態様では、センサ821によるバイオメトリクス・データの捕捉は、好ましくは、トランザクションを開始するために慣習的に左側マウス・ボタン820が使用されるので、センサ821が統合されている左側マウス・ボタン820の駆動によってトリガされる。
【0035】
トランザクション・シグネチャ・カタログ36は、例えば、ユーザIDがウェブ・サイト・アプリケーションで登録されるたびに、あるいは物理的署名を含めて銀行口座のために届出をするときに、あるいはユーザIDおよびパスワードの対が初めて使われるときに、生成され得る。
【0036】
図12は、この第6実施態様を詳しく示す。図12は、図7に類似し、トランザクション実行クライアント34と通信するトランザクション・シグネチャ・カタログ36を更に提供する。図12に示されているように、上記のようにセッションはサーバ側認証により開始される。その後、トランザクション・メッセージ212,222,232がクライアントで受信されるたびに、要求されたトランザクションがサーバ・レベルの認証を必要とするのか、それとも上記のようにクライアント側認証で充分なのかを判定するためにトランザクション実行クライアント34はトランザクション・シグネチャ・カタログ36を調べる。図12に示されているように、トランザクション212および222はトランザクション実行クライアント34により受信されて、単に代理認証を必要とするに過ぎないカテゴリーに属すると判定されるので、認証およびトランザクション処理は図7に関して記載されたように進行する。しかしトランザクション232の場合には、トランザクション・シグネチャ・カタログ36を参照するとトランザクション実行クライアント34は完全なサーバ・レベルの認証が必要であると判定する。従って、トランザクション処理の前に認証がサーバ5において認証プロセス52で実行され得るように、トランザクション・メッセージ232は随伴する認証メッセージ231と共にサーバに中継される。
【0037】
サーバ側認証が必要とされる場合、ライブラリ・コンポーネントは、より新しい認証データでリフレッシュあるいは補足され得る。サーバ側認証が実行される場合、トランザクション・シグネチャ・カタログ36は好ましくはサーバに存在する。サーバ側認証は、全てのトランザクションのために、(リモート・バンキングのような)高レベルの保護を有するシステムの場合に、あるいは、クライアントが買い手のホームPCでサーバが売り手のホストであるウェブ・ショッピングの場合にそうであり得るようにクライアントとサーバとが互いに相手を信頼していない別々のエンティティーに所有されている場合に、必要とされることがある。これらの状況は同じ銀行により所有される自動預金受払機のそれと対比されて良く、これは一般に、ユーザ認証がクライアント・レベルで局所的に実行され得るように信頼されるクライアントである。どのアプローチを用いるかの決定は、要求されるセキュリティ・レベル、トランザクションのタイプ、クライアントの場所とトポロジーに依存する。
【0038】
認証は、人が自分でそうであると主張しているとおりの人であることを非常に高い基準に合わせて確証することを目的とする割合に重要なプロセスである。認証を目的として例えば指紋をチェックすることは、信頼できるけれども煩わしい認証の基礎を提供する。認証されたセッションの範囲内で、トランザクションが同じユーザによって開始されていることを確認することが望ましい場合、比較の厳密性は幾分減じられても良い。全情報のうちの部分集合との軽量な比較でおそらく充分であるから、例えば、指紋サンプルは少数の基準点を含むことができる。軽量比較にも耐えるほどにオリジナル・ユーザに似ている指紋を持っている人が特定のコンピュータでのセッションを引き継ぐということは殆ど無さそうである。
【0039】
上記の実施態様は特徴の幾つかの異なる組み合わせを提供する。これらの特徴が他の多くの仕方で組み合わされ得ることが理解されるべきである。
【0040】
上の例では、サーバに命令を提示することが言及された。システムのいろいろな部分の間での通信はしばしば双方向通信であり、特定のトランザクションの間に別々のシステム・エレメント間で幾つかの情報交換が種々の方向に行われ得ることが理解されるであろう。しかし、それらの交換はしばしばユーザからの単一のコマンド、または関連するコマンドのセットにより引き起こされ、このことに留意して“命令”という用語が使用される。
【0041】
同様に、トランザクションおよび認証データは以前の実施態様において別々のエンティティーとして論じられた。当業者は、それらが同じ送信されるデータ・フレームの部分でもあり得ることを認めるであろう。それらは任意のステージで組み合わされあるいは分離され得る。
【0042】
当業者は、システムの部分のセキュリティを確保するための処置をとるのが望ましいということを認めるであろう。例えば暗号化によってトランザクション・シグネチャ・カタログ36を安全にし保護することが必要であるかもしれない。
【0043】
どの要素も、ハードウェア、ファームウェア、ソフトウェアまたはこれらのいずれかまたは全部の組み合わせで実現され得る。ソフトウェア・コンポーネントが提供される場合には、それは、CD若しくはDVDのような光ディスク、ハード・ディスク若しくはフレキシブル・ディスクのような磁気ディスク、フラッシュ・メモリ・カード、EPROM、揮発性メモリ・ユニットなどのようなメモリ装置、または、例えば配布を目的とする光、電気、無線若しくは他の伝送チャネルのようなキャリヤに一時的にまたは永久的に置かれ得る。
【図面の簡単な説明】
【0044】
【図1】従来技術から知られているアプローチを示す。
【図2】第1実施態様を示す。
【図3】図2に関して記載されたシステムがそれに従って実現され得るところのステップのシーケンスのフローチャートを示す。
【図4】第2実施態様を示す。
【図5】図4に関して記載されたシステムがそれに従って実現され得るところのステップのシーケンスのフローチャートを示す。
【図6】図4に関して記載された第2実施態様に従うトランザクション認証失敗を示す。
【図7】第3実施態様を示す。
【図8】図7に関して記載されたシステムがその側面に従って実現され得るところのステップのシーケンスのフローチャートを示す。
【図9】本発明を具体化したキーパッドを示す。
【図10】本発明を具体化したマウスを示す。
【図11】第6実施態様を示す。
【図12】第6実施態様をより詳しく示す。
【技術分野】
【0001】
データ・センタ内でいろいろなカテゴリーのユーザにいろいろな特権を与えるためにも、個人的な金融トランザクション(例えば、インターネット上でのクレジット・カードによる購入)を許可しあるいは妨げるためにも、また綿密に調査された人だけによってコンピュータ主導防衛行動を起こすことを許すことによって国家安全保障を確保する等のためにも、セキュリティは多くの人間/コンピュータ相互作用にとって重要である。
【背景技術】
【0002】
図1は、従来技術から知られているアプローチを示す。セッション・レベルの認証を通してセキュリティを適用するための1つの手段が図1に示されている。セッション開始(ステップ502)後、人は‘認証される'(すなわち、その人が、ステップ504で提示されてステップ506でチェックされたユーザID/パスワードの組み合わせ、パスコード、デジタル証明書などを通して、自分がその人であると主張しているところの人であるということが判明する)。認証が成功したならば、その人はステップ514で操作を自由に実行できるようになる。すなわち、その人は、‘セッション'または‘会話’の持続時間にわたって実行することを許され、それは明示のセッション終了プロトコル(すなわちログオフ)またはタイム・アウト時間によって中断され、セッションはステップ524で閉じられる。
【発明の開示】
【発明が解決しようとする課題】
【0003】
図1に記載されたアプローチは役に立つけれども、欠点がある。例えば、或る人がセッションを開いてからワークステーションをほったらかしにしてその場から離れた場合、その人の許可の下で無許可の人が動作を実行できることになり、あるいは、いったん認証されたならば、自分が実行できるように許可されていない動作を実行したいと望んでいる人による攻撃の目標となるかもしれない。
【0004】
前者の例は、コーヒーを得るために離れていって、悪意でシステムにダメージを与えかねないユーザに対して自分のワークステーションを開放しておくシステム管理者である。後者の例は、カード所有者による正しい暗証番号の入力によってATMセッションが開始され、その後にその人がある他人に押しのけられてその他人がその被害者の口座から現金を引き出したという場合である。
【0005】
他の例は、ユーザIDとパスワードとが1グループのユーザたちのために一意である共有されるワークステーションの場合であり得る。そのグループに属する、トランザクションを要求しているどの現実のユーザについても認証を提供するということは不可能である。
【課題を解決するための手段】
【0006】
本発明により、添付されている独立請求項1に従うトランザクションを認証する方法と、添付されている独立請求項15に従うコンピュータ・プログラムと、添付されている独立請求項16に従うコンピュータ可読媒体と、添付されている独立請求項17に従うシステムと、添付されている独立請求項18に従う機械作動式コンピュータ入力装置とが提供される。好ましい実施態様が従属請求項において定義されている。
【0007】
図面と詳細な説明とを調べれば本発明の更なる利点が当業者にとって明らかとなるであろう。如何なる付加的な利点もここに組み込まれるべきことが意図されている。
【0008】
次に添付図面を参照し例を挙げて本発明の実施態様を説明する。添付図面においては同様の参照符は類似のエレメントを示す。
【発明を実施するための最良の形態】
【0009】
セッションを開始し、従ってトランザクションを実行することを許可されている人によって各々のトランザクションあるいは操作がトリガされることを保証する手段を提供することによって、セッション・レベルの認証の頑丈で広く行きわたった基礎に依拠することができる。
【0010】
図2は第1実施態様を示す。この実施態様では、ユーザ1およびトランザクション・プロセッサ3と通信するインターフェース2が設けられる。或る実施態様では、インターフェース2はクライアントを構成すると考えられて良く、トランザクション・プロセッサはサーバを構成すると考えられて良い。好ましくはトランザクション・プロセッサ3はクライアントと見なされて良く、サーバは図示されていない。この実施態様では、ユーザ1は数個のトランザクション41,42および43を開始し、その各々は命令211,221および231を含む。命令は、一般に、1つの明確で分離した効果を引き起こしそうな単一のユーザ操作に対応する。これらの命令は、それぞれメッセージ211,221および231として符号化された形でインターフェース2によりトランザクション・プロセッサ3に渡される。前記命令112,122および132の各々に認証データ111,121および131が伴っており、それは各々の場合に前記インターフェース2によりトランザクション・プロセッサ3に渡される。特に、各命令は好ましくはそれに関連する認証データとともに実質的に同時にサーバに到着する。理想的には認証データはユーザからの最小限の意図的介入を必要とする仕方で前記ユーザから抽出されるべきである。選択される抽出手段は、トランザクション自体の性質に依存する。1つの好ましい実施態様では、認証情報111,121および131はバイオメトリクス・データである。バイオメトリクス・データは、例えば、指紋線、指細孔構造、顔または手の特定の特徴物の相対距離、指測定寸法、手の静脈構造、耳の寸法、虹彩パターン、網膜静脈構造のパターン、声の調子または音色、DNA、ユーザの匂いの化学組成、圧力の関数としての筆跡、およびキーボードを打つスピードまたはリズムのうちのいずれか1つ以上を含み得る。バイオメトリクス・データのような認証データの抽出は、好ましくはトランザクションの開始にリンクされ、好ましくはトランザクションを開始させる同じユーザ動作によってトリガされる。
【0011】
各トランザクションのために、トランザクション・プロセッサ3はトランザクション認証プロセス31,32,33をそれぞれ実行し、そのとき、受信された認証データ211,221および231が、例えばユーザ認証情報を含むユーザ・データベース(図示されていない)との比較によって、分析される。認証データが正当なユーザを表すと判定された場合、対応するトランザクション・メッセージ212,222,232はトランザクションの実行のために伝えられる。
【0012】
図3はステップのシーケンスのフローチャートを示し、これに従って、図2に関して記載されたシステムが実現され得る。特に、図2は、上記のインターフェースのような第1エンティティーと上記のトランザクション・プロセッサのような第2エンティティーとの間の通信を認証する方法を示す。この方法は、セッションを開始するステップ512から始まる。第1トランザクションは、ステップ513において、例えば上記のもののような任意の適切な手段に従って、例えば図2に関して上に記載された認証111に対応する認証データの引き出しから始まる。この情報は、ステップ514で、トランザクションに関連する命令または他の情報と共に提示される。ステップ516で認証データに対して認証プロセスが実行され、もしその認証プロセスが成功したならば(ステップ518)、その命令はステップ520で正式に処理される。そうでなければステップ524でセッションは終了される。認証が成功して命令が処理されたならば、更なるトランザクションが実行されるべきか否かが判定される。例えば受信されたその最後の命令がセッションを終了させる命令ではなかった場合など、更なるトランザクションが考えられている場合には、プロセスはステップ513に戻ってトランザクション・ステップが反復される。そうでなければセッションはステップ524で閉じられ、プロセスは終了する。
【0013】
従って、上記の各トランザクションは、認証データを得るステップと、命令と第1エンティティーからの認証データとを提示するステップと、その認証データを用いる第1認証プロセスによって第2エンティティーに対して第1エンティティーを認証するステップと、第1認証プロセスによる認証の前記ステップが成功した場合にその命令を処理するステップとから構成されると考えられて良い。
【0014】
図4は第2実施態様を示す。この実施態様は、トランザクション41,42および43、およびこれらに対応する、命令および認証情報の提示の前に、セッション開始認証データ101がユーザ1によりインターフェース2に提示され、そしてインターフェース2によりトランザクション・プロセッサ3に開始認証メッセージ201として提示されることを除いて、図2の実施態様に類似している。このセッション開始データはトランザクション・プロセッサ311により認証プロセス39で認証され、そして認証が成功したならばセッションが開始されて、その間にトランザクション41,42および43が行われる。特に、もしセッション開始データの認証が失敗したならば、認証データを伴っていてもいなくても、ユーザは命令を提示することを許されない。
【0015】
1つの好ましい実施態様では、セッション開始データ101は認証データ111,121または131のそれとは異なる形のデータである。特に、所与のセッションのためにセッション開始データは1回提示されるだけであるので、データを得ることがユーザにとってトランスペアレントであるための動機付けは余りない。セッション開始データは、ユーザ名とパスワード、および口座番号と暗証番号コードあるいはユーザを一意に特定するのに適する他の任意のデータのセットであり得る。
【0016】
図5はステップのシーケンスのフローチャートを示し、これに従って図4に関して記載されたシステムが実現され得る。特に、図5は、図3に関して記載されたのと同じステップを示し、さらに、上記のようにセッションが開始されるステップ502とトランザクション認証情報が得られるステップ513との間に置かれたステップ504,506,508および510を含む。この実施態様では、ステップ508での認証のために、ステップ504でセッション認証データ101が得られ、それはステップ506でトランザクション・プロセッサに提示される。セッション認証情報101の認証が成功した場合に限って、この方法は上で論じられたようにステップ513に進む。そうでなければ、セッションは上で論じられたようにステップ524で終了する。
【0017】
図6は、図4に関連して記載された第2実施態様に従うトランザクション認証失敗を示す。図6は、図4に関して記載されたようにセッション開始認証データ101およびトランザクション認証データ111の提示を示す。しかし、第1トランザクション41の完了後、新しいトランザクション42’が無効なトランザクション認証データ121'の提示を伴って開始される。この提示された値は、インターフェース2により普通の仕方で無効なトランザクション認証メッセージ221'として伝えられる。この無効なトランザクション認証メッセージ221'は認証プロセス32'により処理され、それはユーザを認証することができず、従ってそのセッションと、トランザクションとを終了させる。無効なトランザクション認証メッセージ221'に伴う例えば222などの命令は、更なるトランザクション・メッセージ231/232と同じく、無視される。ユーザは、ただ新しいセッションを確立することによってだけ、トランザクションを再開することができる。
【0018】
或る実施態様では、失敗した認証のために或る程度の許容範囲を導入することができる。失敗したトランザクション認証に対する種々の応答が考えられる:
セッションは、認証が失敗したとき、直ちに終了される。この、図6に関して上で記載されたアプローチは、最も厳格で、従って最も安全である。或る実施態様は、しばしば或る程度可変的で制御しにくいバイオメトリクス情報を用いて実行されるので、この厳格なアプローチは使いやすさを制限するかもしれない。下記のバリエーションは、ユーザに対してもっと親切なアプローチを提供することができる。
トランザクションは中断されるが、更なるトランザクションが相変わらず提示され得るように、セッションは影響を受けない。
一定数の認証失敗が登録されたならばセッションを終了させるために、認証失敗がログされる。問題のトランザクションは終了されてもされなくても良い。トランザクションの総数のうちの一部として或る数のトランザクション認証失敗が無視されて良く、あるいは有効な認証は一定のトランザクションのためにだけ必要とされて良い。この最後の場合には、認証を必要とするトランザクションは、ランダムに、あるいはトランザクションの性質に基づいて、あるいは他の何らかの基準に基づいて、選択されて良い。
【0019】
認証失敗に対する反応は、失敗の程度に依存して良く、あるいは伴う命令の性質による。状況に応じて上記の応答のうちのいずれかまたは全部をシステムに組み合わさせるプロトコルを定義することができる。特にこの機能は、図11に関して以下で記載されるトランザクション・シグネチャ・カタログ36により提供され得る。
【0020】
前記のように、トランザクション認証データは好ましくはバイオメトリクス・データである。セッション認証もバイオメトリックであって良い。バイオメトリクス情報は、ユーザがトランザクションを提示するときに相互作用せざるを得ないインターフェース・エレメントによってユーザから目立たないように抽出され得る。例えば、ユーザが音声コマンドによってトランザクションをインターフェースに対して発する場合、同じ入力から音声バイオメトリクス・データが抽出され得る。命令を発するためにキーボードが使用される場合には、ユーザの特徴的なタイピング・パターンが並行して分析され得る。ユーザがトランザクションあたりに少なくとも1回接触するインターフェースのキーボードまたは他の部分に指紋スキャナまたは他の検出器を組み込むのが適切であるかもしれない。例えば、入力された値を完全なトランザクションとして登録するために多くのタイプのキーボードまたはキーパッド入力は“submit”または“enter”キーを押すことを必要とする。
【0021】
図7は第3の実施態様を示す。この実施態様では、認証タスクは、トランザクション・プロセッサ3を含むクライアントとサーバ5との間で分割される。特に、開始認証メッセージ201は、クライアント3によりサーバ5へ中継される。サーバ5は、開始メッセージを認証し、それによってセッション4を開始するサーバ側の、より高いレベルの、認証プロセス51を備えている。次に続く命令は、その後、クライアント3により、すなわちより低いレベルの認証に従って、プロセス31,32および33において認証され得、そしてそれらの命令は必要に応じてサーバ5に転送され得る。
【0022】
図5に示されているように、クライアント3により認証されたトランザクション212,222,232は、開始認証メッセージを受信し処理したのと同じサーバ5に中継される。あるいは、開始認証メッセージを受信し処理するための別の認証サーバと、その後のトランザクションのハンドリングのためのトランザクション・サーバとが設けられても良い。
【0023】
好ましくは、インターフェース2により提示された認証メッセージを格納するためのライブラリ35がクライアントに設けられる。開始認証方法がトランザクション認証メッセージと同じフォーマットのものである場合には、例えば全てのメッセージが同じバイオメトリクスから得られるならば、開始認証メッセージも好ましくはこのライブラリ35に格納される。従って、この情報は、その後のトランザクションの認証のために利用可能である。特に、図7に示されているように、クライアント側認証プロセッサ311は、トランザクション212,222,232をプロセス31,32および33でそれぞれ認証するときにライブラリ35にアクセスすることができる。トランザクションが認証された場合、それらはその後上で論じられたようにサーバ5に中継される。この様に、換言すれば、セッション開始認証が実行され、その後の各トランザクションで捕捉されたバイオメトリクス・データは、ユーザがセッションを開始したのと同じユーザであることを保証するために使われる。
【0024】
ライブラリ35に格納された認証データは、クライアント側認証またはサーバ側認証を考慮してクライアントまたはサーバにそれぞれ格納されて良い。
【0025】
各トランザクション認証は、好ましくは、トランザクション認証メッセージを開始認証データと比較することによって実行される。開始認証データの真正性がサーバにより立証されていて、従って信用できるので、このアプローチは有利である。このアプローチは代理認証(delegated authentication)と称されても良いであろう。
【0026】
この確認は、完全な認証より煩わしくなく、認証システム(しばしば外部の)への連続的なリクエストを回避し、またクライアント・システムで局所的に実行され得るという利益を有する。
【0027】
認証試行を以前に提示された認証データと比較するためのライブラリ・コンポーネントの使用は、もちろん、例えば図4に関して論じられたように全認証がクライアントで実行される場合にも使用され得る。
【0028】
図8はステップのシーケンスのフローチャートを示し、これに従って、図7に関して記載されたシステムの側面が実現され得る。このチャートのステップは、図5のそれに対応するけれども、開始認証データを格納するステップ509がさらに設けられている点で異なっている。一方、ステップ516はステップ516’に取って代わられており、これにより、後の認証メッセージの認証はステップ509で格納された認証情報に関して実行される。
【0029】
或る実施態様は、例えば上記のようにバイオメトリクス・データによって入力動作の開始者を認識できる周辺装置を採用する。
【0030】
図9は、本発明を具体化したキーパッドを示す。このようなキーパッドは、例えばATM機械、アクセス制御(インターホン)インターフェース、“チップ・アンド・PIN”インターフェースなどで使用され得るものであって、0から9までの番号の付いたキー(710−719)と、“cancel”721、“correct”722および“enter”730という印のついたキーとを有する簡単な数字キーパッドを含む。一般的に、ユーザは、数字キー710−719を用いて値または命令を入力し、“cancel”キーおよび“correct”キーを用いて訂正および調整を行う。満足したならば、ユーザは“enter”キー730を押すことによって命令を提示する。この実施態様では、エンター(enter)キー730はセンサ731を統合しており、これはユーザからバイオメトリクス情報を得ることができる。“enter”キーを押し下げることによって上記のように例えば212,222,232などの命令のようなトランザクションをユーザが提示したとき、命令データと共にトランザクション認証データ211,221,231として提示されるべくバイオメトリクス・データが該キーを押し下げるために使われた指から同時に読み取られる。
【0031】
図10は、本発明を具体化したマウス810を示す。このマウスは実質的に在来のものであって、ボディと、ローラー・ボールまたは光学式運動センサと複数のボタン812,820とを含む。この実施態様では、マウス810はセンサ821を統合しており、これはユーザからバイオメトリクス情報を得ることができる。センサ821は、好ましくは、マウス・ボタンのうちの1つに統合される。このセンサは、マウス・フレームに、例えば、これを移動させるために指により保持される側部などに、配置されても良い。マウスが保持されている間、何時でもスキャンされ得るように、それはアプリケーションにより使用される特定のマウス・ボタンだけに関連するのではない。さらにいっそう好ましくは、センサ821は、マウスがインターフェース機能を提供する動作環境に応じて“submit(提示)”タイプまたは“enter(入力)”タイプの操作で一般的に使用されるマウス・ボタンに統合される。クライアント側システムは、各々の操作を開始するバイオメトリクス・データを認識する。これは、セッション開始プロトコルを認識するシステムに配慮しており、セッションを開始したのと同一の人だけによって更なる操作が実行されることを可能にする。すなわち、セッションが確立されたならば、(特徴的バイオメトリクス・データにより定められる)同じアイデンティティが装置を制御しているときにだけ、周辺装置からのコントロールがアプリケーションに渡される。この方法は、多くの主流アプリケーションに組み込まれている広く行きわたっているセッション・レベル認証を維持するけれども、セキュリティを増すためにトランザクション・レベルの確認を上に付け加える。
【0032】
サーバ・システムは、トランザクション・レベルの確認を意識しているアプリケーションをホストすることができ、あるいは現在のレベルのセッション・レベル認証に完全に依存しているアプリケーションをホストすることができる。いずれの場合にも、それはセッション・レベル認証に基づくセキュリティ構造を有する。それは、いったんセッションが開始されたならば該セッションにおける各々の連続する操作が認証済み当事者によって開始されることを保証するためにセキュア・クライアント・システムに依拠する。
【0033】
図11は第6実施態様を示す。この実施態様では、操作は、図8に関して上に記載されたマウスのような周辺装置20によって開始される。この装置20のためのデバイス・ドライバ30は、例えば112,122,132などの装置操作を報告するだけではなくて、センサ821により得られた情報の形で操作開始者あるいはユーザ1のアイデンティティ111,121,131を伝達する。デバイス・ドライバ30は、操作のアイデンティティが以前の操作と同じか、それとも異なるかを調べるために、ライブラリ・コンポーネント35を調べる。この情報でデバイス・ドライバ30はトランザクション実行クライアント34とインターフェースするが、これは単にアプリケーションのクライアント・ピースに過ぎない。アプリケーション・クライアントは、連続するトランザクションが同じアイデンティティを必要とするか否かを理解できるほどインテリジェントであり、あるいは、どのトランザクションがトランザクション・レベルの確認を必要とするかを定めるトランザクション・シグネチャ・カタログ36があっても良い。トランザクション開始者のアイデンティティ211,221,231が妥当であるとアプリケーション・クライアント923が確信したならば、例えば212,222,232などの操作のようなトランザクションは実行されるべくサーバ・システム5に伝えられる。
【0034】
上で論じられたように、バイオメトリクス・データのような認証データの抽出は好ましくはトランザクションの開始にリンクされ、好ましくはトランザクションを開始するのと同じユーザ動作によってトリガされる。従って、図11の実施態様では、センサ821によるバイオメトリクス・データの捕捉は、好ましくは、トランザクションを開始するために慣習的に左側マウス・ボタン820が使用されるので、センサ821が統合されている左側マウス・ボタン820の駆動によってトリガされる。
【0035】
トランザクション・シグネチャ・カタログ36は、例えば、ユーザIDがウェブ・サイト・アプリケーションで登録されるたびに、あるいは物理的署名を含めて銀行口座のために届出をするときに、あるいはユーザIDおよびパスワードの対が初めて使われるときに、生成され得る。
【0036】
図12は、この第6実施態様を詳しく示す。図12は、図7に類似し、トランザクション実行クライアント34と通信するトランザクション・シグネチャ・カタログ36を更に提供する。図12に示されているように、上記のようにセッションはサーバ側認証により開始される。その後、トランザクション・メッセージ212,222,232がクライアントで受信されるたびに、要求されたトランザクションがサーバ・レベルの認証を必要とするのか、それとも上記のようにクライアント側認証で充分なのかを判定するためにトランザクション実行クライアント34はトランザクション・シグネチャ・カタログ36を調べる。図12に示されているように、トランザクション212および222はトランザクション実行クライアント34により受信されて、単に代理認証を必要とするに過ぎないカテゴリーに属すると判定されるので、認証およびトランザクション処理は図7に関して記載されたように進行する。しかしトランザクション232の場合には、トランザクション・シグネチャ・カタログ36を参照するとトランザクション実行クライアント34は完全なサーバ・レベルの認証が必要であると判定する。従って、トランザクション処理の前に認証がサーバ5において認証プロセス52で実行され得るように、トランザクション・メッセージ232は随伴する認証メッセージ231と共にサーバに中継される。
【0037】
サーバ側認証が必要とされる場合、ライブラリ・コンポーネントは、より新しい認証データでリフレッシュあるいは補足され得る。サーバ側認証が実行される場合、トランザクション・シグネチャ・カタログ36は好ましくはサーバに存在する。サーバ側認証は、全てのトランザクションのために、(リモート・バンキングのような)高レベルの保護を有するシステムの場合に、あるいは、クライアントが買い手のホームPCでサーバが売り手のホストであるウェブ・ショッピングの場合にそうであり得るようにクライアントとサーバとが互いに相手を信頼していない別々のエンティティーに所有されている場合に、必要とされることがある。これらの状況は同じ銀行により所有される自動預金受払機のそれと対比されて良く、これは一般に、ユーザ認証がクライアント・レベルで局所的に実行され得るように信頼されるクライアントである。どのアプローチを用いるかの決定は、要求されるセキュリティ・レベル、トランザクションのタイプ、クライアントの場所とトポロジーに依存する。
【0038】
認証は、人が自分でそうであると主張しているとおりの人であることを非常に高い基準に合わせて確証することを目的とする割合に重要なプロセスである。認証を目的として例えば指紋をチェックすることは、信頼できるけれども煩わしい認証の基礎を提供する。認証されたセッションの範囲内で、トランザクションが同じユーザによって開始されていることを確認することが望ましい場合、比較の厳密性は幾分減じられても良い。全情報のうちの部分集合との軽量な比較でおそらく充分であるから、例えば、指紋サンプルは少数の基準点を含むことができる。軽量比較にも耐えるほどにオリジナル・ユーザに似ている指紋を持っている人が特定のコンピュータでのセッションを引き継ぐということは殆ど無さそうである。
【0039】
上記の実施態様は特徴の幾つかの異なる組み合わせを提供する。これらの特徴が他の多くの仕方で組み合わされ得ることが理解されるべきである。
【0040】
上の例では、サーバに命令を提示することが言及された。システムのいろいろな部分の間での通信はしばしば双方向通信であり、特定のトランザクションの間に別々のシステム・エレメント間で幾つかの情報交換が種々の方向に行われ得ることが理解されるであろう。しかし、それらの交換はしばしばユーザからの単一のコマンド、または関連するコマンドのセットにより引き起こされ、このことに留意して“命令”という用語が使用される。
【0041】
同様に、トランザクションおよび認証データは以前の実施態様において別々のエンティティーとして論じられた。当業者は、それらが同じ送信されるデータ・フレームの部分でもあり得ることを認めるであろう。それらは任意のステージで組み合わされあるいは分離され得る。
【0042】
当業者は、システムの部分のセキュリティを確保するための処置をとるのが望ましいということを認めるであろう。例えば暗号化によってトランザクション・シグネチャ・カタログ36を安全にし保護することが必要であるかもしれない。
【0043】
どの要素も、ハードウェア、ファームウェア、ソフトウェアまたはこれらのいずれかまたは全部の組み合わせで実現され得る。ソフトウェア・コンポーネントが提供される場合には、それは、CD若しくはDVDのような光ディスク、ハード・ディスク若しくはフレキシブル・ディスクのような磁気ディスク、フラッシュ・メモリ・カード、EPROM、揮発性メモリ・ユニットなどのようなメモリ装置、または、例えば配布を目的とする光、電気、無線若しくは他の伝送チャネルのようなキャリヤに一時的にまたは永久的に置かれ得る。
【図面の簡単な説明】
【0044】
【図1】従来技術から知られているアプローチを示す。
【図2】第1実施態様を示す。
【図3】図2に関して記載されたシステムがそれに従って実現され得るところのステップのシーケンスのフローチャートを示す。
【図4】第2実施態様を示す。
【図5】図4に関して記載されたシステムがそれに従って実現され得るところのステップのシーケンスのフローチャートを示す。
【図6】図4に関して記載された第2実施態様に従うトランザクション認証失敗を示す。
【図7】第3実施態様を示す。
【図8】図7に関して記載されたシステムがその側面に従って実現され得るところのステップのシーケンスのフローチャートを示す。
【図9】本発明を具体化したキーパッドを示す。
【図10】本発明を具体化したマウスを示す。
【図11】第6実施態様を示す。
【図12】第6実施態様をより詳しく示す。
【特許請求の範囲】
【請求項1】
トランザクションを認証する方法であって、前記方法は、
複数の連続するトランザクションを含むセッションを開始するステップ(502)と、
前記セッションを閉じるステップ(524)とを含み、
前記トランザクションの各々は、
トランザクション認証データを得るステップ(513)と、
前記トランザクション認証データ(211,221,231)に伴う命令(212,222,232)を提示するステップ(514)と、
前記トランザクション認証データ(211,221,231)を用いて認証プロセスにより前記命令(212,222,232)を認証するステップ(516)と、
トランザクション認証プロセスによる前記認証ステップ(516)が成功した場合に前記命令を処理するステップ(520)と、
を含む、方法。
【請求項2】
前記トランザクション認証データは命令の開始と実質的に同時に得られる、請求項1の方法。
【請求項3】
前記認証プロセスによって前記命令を認証するステップ(516)が失敗したならば、更なるトランザクションの実行を許すことなく前記セッションが終了される、請求項1または2の方法。
【請求項4】
高レベルの認証と低レベルの認証とが定義され、前記方法は、特定の命令(212,222,232)について認証が前記高レベルにより実行されるべきか低レベルにより実行されるべきかを判定する更なるステップを含む、請求項1から3までのいずれかの方法。
【請求項5】
特定のトランザクションのために高レベル認証が必要とされるか否かを判定する前記ステップは、どの命令(212,222,232)が高レベル認証を必要とするかを定めるカタログ(36)と関連して実行される、請求項4の方法。
【請求項6】
セッションを開始する前記ステップは、前記高レベルの認証によるセッション認証のステップ(508)を含む、請求項3または4の方法。
【請求項7】
前記セッション認証(508)はサーバ側認証である、請求項5の方法。
【請求項8】
前記低レベル認証プロセスはクライアント3で行われ、もし前記命令を認証するステップ(516)が前記低レベル認証プロセスに従って実行されて成功したならば前記命令は処理されるべくサーバ5に中継される、請求項4から7までのいずれかの方法。
【請求項9】
後の認証に用いるために前記トランザクション認証データ(211,221,231)を格納する更なるステップを含む、前記請求項のいずれかの方法。
【請求項10】
後の認証に用いるために前記開始認証データ(201)を格納する更なるステップ(509)を含む、請求項4から8までのいずれかの方法。
【請求項11】
前記低レベル認証は、前記トランザクション認証プロセスの反復の一部として提示された認証データ(211,221,231)を前記格納された認証データと比較することを含む、請求項9または10の方法。
【請求項12】
前記第2の認証プロセスの反復の一部として提示された前記トランザクション認証データ(211,221,231)が前記格納された認証データとどの程度まで一致することが必要とされるかを決定する更なるステップを含む、請求項11の方法。
【請求項13】
前記トランザクション認証プロセスの反復の一部として提示された前記トランザクション認証データ(211,221,231)が前記格納された認証データと同一であることが必要とされる、請求項11または12の方法。
【請求項14】
前記認証データはバイオメトリクス・データである、前記請求項のいずれかの方法。
【請求項15】
コンピュータで実行されたときに請求項1から13までのいずれか1つの方法のステップを実行するための命令を含むコンピュータ・プログラム。
【請求項16】
請求項15のコンピュータ・プログラムがその上に符号化されているコンピュータ可読媒体。
【請求項17】
請求項1から14までのいずれか1つの方法のステップを実行する手段を含むシステム。
【請求項18】
バイオメトリクス・データ・リーダを含む機械的に作動させられるコンピュータ入力装置(810,700)であって、前記バイオメトリクス・データ・リーダ(821,731)は、前記装置がユーザによって機械的に作動させられたときに、前記ユーザからバイオメトリクス・データを得る位置に導入されるように配置されている、コンピュータ入力装置(810,700)。
【請求項1】
トランザクションを認証する方法であって、前記方法は、
複数の連続するトランザクションを含むセッションを開始するステップ(502)と、
前記セッションを閉じるステップ(524)とを含み、
前記トランザクションの各々は、
トランザクション認証データを得るステップ(513)と、
前記トランザクション認証データ(211,221,231)に伴う命令(212,222,232)を提示するステップ(514)と、
前記トランザクション認証データ(211,221,231)を用いて認証プロセスにより前記命令(212,222,232)を認証するステップ(516)と、
トランザクション認証プロセスによる前記認証ステップ(516)が成功した場合に前記命令を処理するステップ(520)と、
を含む、方法。
【請求項2】
前記トランザクション認証データは命令の開始と実質的に同時に得られる、請求項1の方法。
【請求項3】
前記認証プロセスによって前記命令を認証するステップ(516)が失敗したならば、更なるトランザクションの実行を許すことなく前記セッションが終了される、請求項1または2の方法。
【請求項4】
高レベルの認証と低レベルの認証とが定義され、前記方法は、特定の命令(212,222,232)について認証が前記高レベルにより実行されるべきか低レベルにより実行されるべきかを判定する更なるステップを含む、請求項1から3までのいずれかの方法。
【請求項5】
特定のトランザクションのために高レベル認証が必要とされるか否かを判定する前記ステップは、どの命令(212,222,232)が高レベル認証を必要とするかを定めるカタログ(36)と関連して実行される、請求項4の方法。
【請求項6】
セッションを開始する前記ステップは、前記高レベルの認証によるセッション認証のステップ(508)を含む、請求項3または4の方法。
【請求項7】
前記セッション認証(508)はサーバ側認証である、請求項5の方法。
【請求項8】
前記低レベル認証プロセスはクライアント3で行われ、もし前記命令を認証するステップ(516)が前記低レベル認証プロセスに従って実行されて成功したならば前記命令は処理されるべくサーバ5に中継される、請求項4から7までのいずれかの方法。
【請求項9】
後の認証に用いるために前記トランザクション認証データ(211,221,231)を格納する更なるステップを含む、前記請求項のいずれかの方法。
【請求項10】
後の認証に用いるために前記開始認証データ(201)を格納する更なるステップ(509)を含む、請求項4から8までのいずれかの方法。
【請求項11】
前記低レベル認証は、前記トランザクション認証プロセスの反復の一部として提示された認証データ(211,221,231)を前記格納された認証データと比較することを含む、請求項9または10の方法。
【請求項12】
前記第2の認証プロセスの反復の一部として提示された前記トランザクション認証データ(211,221,231)が前記格納された認証データとどの程度まで一致することが必要とされるかを決定する更なるステップを含む、請求項11の方法。
【請求項13】
前記トランザクション認証プロセスの反復の一部として提示された前記トランザクション認証データ(211,221,231)が前記格納された認証データと同一であることが必要とされる、請求項11または12の方法。
【請求項14】
前記認証データはバイオメトリクス・データである、前記請求項のいずれかの方法。
【請求項15】
コンピュータで実行されたときに請求項1から13までのいずれか1つの方法のステップを実行するための命令を含むコンピュータ・プログラム。
【請求項16】
請求項15のコンピュータ・プログラムがその上に符号化されているコンピュータ可読媒体。
【請求項17】
請求項1から14までのいずれか1つの方法のステップを実行する手段を含むシステム。
【請求項18】
バイオメトリクス・データ・リーダを含む機械的に作動させられるコンピュータ入力装置(810,700)であって、前記バイオメトリクス・データ・リーダ(821,731)は、前記装置がユーザによって機械的に作動させられたときに、前記ユーザからバイオメトリクス・データを得る位置に導入されるように配置されている、コンピュータ入力装置(810,700)。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公表番号】特表2009−519521(P2009−519521A)
【公表日】平成21年5月14日(2009.5.14)
【国際特許分類】
【出願番号】特願2008−544911(P2008−544911)
【出願日】平成18年10月26日(2006.10.26)
【国際出願番号】PCT/EP2006/067820
【国際公開番号】WO2007/068525
【国際公開日】平成19年6月21日(2007.6.21)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公表日】平成21年5月14日(2009.5.14)
【国際特許分類】
【出願日】平成18年10月26日(2006.10.26)
【国際出願番号】PCT/EP2006/067820
【国際公開番号】WO2007/068525
【国際公開日】平成19年6月21日(2007.6.21)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]