ユーザフレンドリ・デバイス認証方法および装置
本発明は、ユーザに対するデバイスの認証および詐欺防止に係わる。本発明によるパーソナル・デバイス(210)の認証方法は、少なくとも第1の好みの出力フォーマットがユーザによって選択されるセットアップ・シーケンス(305−310)と、デバイス・コンフィギュレーション検証シーケンス(315−355)とを含む。デバイス・コンフィギュレーション検証シーケンスにおいては、チェックサムが計算され、ユーザにより選択された好みの出力フォーマットに基づくユーザフレンドリ出力フォーマトに変換される。さらに、チェックサムは、可変でユーザが選択した鍵材料に基づいて計算できる。パーソナル・デバイス(210)は、上述のように認証された後、第2デバイス(215)を認証するのに使用できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザに対するデバイスの認証および詐欺防止に係わる。特に、本発明は、ユーザフレンドリ・デバイス認証方法および装置に関する。
【背景技術】
【0002】
マン−マシン相互作用のほとんど全ての面において、認証、アイデンティフィケーション(同一確認)および権限付与の重要度が増している。何故なら、典型例を挙げるなら、価値有るまたはセンシティブなデータに対するアクセス権は、物理的に検証できないからである。適用範囲は、現金自動預け払い機(ATM)を使用することや、無線通信システムを使用するプライバシの保護といった日常生活から、政治や産業界の秘密保護や商業取引の安全確保に及ぶ。
【0003】
例えば、コンピュータ・システムや特定構内にアクセスを許すための人間の同一確認および権限付与の領域に、大きな注意が払われてきた。このための方法および装置は、パーソナル・アイデンティフィケーション番号(PIN)を使用すること、例えば自動化指紋または顔認識のための種々の生物測定装置/方法を含む。これらの方法および装置は、デバイスに対して人間の同一確認がなされ、デバイスが、典型的には種々のソフトウェア手段を使用して、例えば、そのデバイス使用に対するアクセス、特定構内に対するアクセス、データベースに対するアクセスを許容する。
【0004】
従来、ほとんど注意が払われていなかったが、重要度が増している領域は、ユーザに対するデバイスまたはシステムの認証である。多くの状況において、ユーザは、ユーザがそれと信じているデバイスそのものなのかの検証、および/またはシステムが改ざんされていないかの検証が必要である。このことを、次の例を使用してさらに説明する。
【0005】
例1:偽ATMが配備されたところでは、詐欺が行なわれる。ユーザは、その磁気カードおよびPINを挿入/入力する。ユーザに知られないで、ATMは、“技術エラー”メッセージを表示して磁気カードを排出する前に、磁気ストライプを走査しPINを記録する。この結果、偽ATMの“所有者”は、ATMカードのコピーを作ることができ、真のユーザの名前でお金を引き出すことができる。全てのATMは、基本的に同様の外観をしており、偽ATMを検出することは非常に難しい。
【0006】
例2:ユーザが、例えば大きな銀行内の口座保守プログラムのようなあるセンシティブ・アプリケーション用のコンピュータ・プログラムを実行しようとしているものとする。プログラム/コンピュータが改ざんされていないことが最も重要である。何故なら、異なる口座間の悪意の取引によって壊滅的結果が生じる可能性があるからである。事実、コンピュータがトロージャン(Trojan)の存在する同一マシンに置き換えられたことを検証することは非常に難しい。原理的には、プログラムの真正は、例えばデジタル署名のようなプログラムのチェックサムを計算することおよび/またはプラットフォームそれ自体十分に信頼に値することを推定できるハッシュ値によりチェックできる。例えば、チェックサム計算それ自体“改ざんに対して抵抗力がある”ものでなければならない。依然として、チェックサムは、(セキュリティのため)、長く、完全にランダムな外観のバイナリ・ストリングでなければならない。この文字毎に手動で検証することは、非常に骨が折れることである。
【0007】
例3:ユーザが彼の携帯電話をほったらかしにして、コーヒー・ブレークに出かけたとする。彼が戻ったとき、その携帯電話が確かに彼のもので(ほとんど)同一のもので置き換えられていないとどのようにして確信するのであろうか。ユーザが置き換えに気が付くにはかなりの時間がかかるであろう。置き換えに気が付いたときには、ユーザは既にあるセンシティブ・パーソナル情報をデバイスに入力してしまっており、この情報は即座に悪意の当事者に転送されてしまっている。
【0008】
上記例のあるものにおいては、ユーザがPINを入力するという条件は、デバイスを認証することに使用できないことに留意されたい。何故なら、例えば、偽ATMまたは偽電話のような偽デバイスは、全てのPINを単にアクセプトするように作れるからである。
【0009】
例えば、TCG(Trusted Computing Group(トラステッド・コンピューティング・グループ),非特許文献1)は、ウイルス、情報漏洩等のリスクを低減しようとしているように、トラステッド・プラットフォーム・アーキテクチャ(trusted platform architecture)の仕様を決めるのにかなりの努力がなされた。かなりのことが達成されているが、ユーザが、例え彼が彼の電話を信頼していたとしても、彼が使用しているものが本当に彼のデバイスであると、どのようにして検証できるかという問題にはアドレスしていない。
【0010】
多くのコンピュータ・アプリケーションは、コンピュータまたはアプリケーションの真正を検証するために、ユーザがスクリーン上で見ることができる“チェックサム”を出力する。セキュリティを確保するために、チェックサムは、非常に長い。現在、チェックサムは、ユーザによって、文字毎、デジット毎、走査されて検証されるが、これは退屈な仕事である。さらに、ユーザは、チェックサムを書いた紙コピーを必要とするが、これが紛失したり盗まれる可能性がある。これにより、偽プログラムを作ることが可能となる。
【0011】
ユーザに対するデバイスの認証の問題は、非特許文献2で取り上げられている。この原理ステップは、図1の概略メッセージ・フロー・スキームに示されている。ユーザ(U)105は、トラステッド(信頼されている)パーソナル・デバイス(T)110を所有しており、通信ネットワーク(CN)122を介してサーバ(S)125に接続された例えばATMのようなアントラステッド(信頼されていない)デバイス(D)115を使用する意思がある。ステップの説明は、次の通りである。
【0012】
150:トラステッド・デバイス110が、例えば赤外線のような遠隔手段により、あるいは物理的接続により、アントラステッド・デバイス115に接続される。
【0013】
155:ユーザ105は、トラステッド・デバイス110に、それに連結されているデバイスDを認証するように要求する。
【0014】
160:トラステッド・デバイス110は、アントラステッド・デバイス115に、サーバ125に対してそれ自身を認証するように、要求する。
【0015】
165:アントラステッド・デバイス115は、サーバ125に対して、一方向認証プロトコルを実行させる。成功すれば、サーバ125とアントラステッド・デバイス115との間に認証チャネルが確立される。これは、図では、二重線で示されている。
【0016】
170:サーバ125は、トラステッド・デバイス110に対して、一方向認証プロトコルを実行させる。成功すれば、サーバ125とトラステッド・デバイス110との間に認証チャネルが確立される。
【0017】
175:サーバ125は、メッセージ“Dは真正”を、トラステッド・デバイス110に送る。さらに、サーバ125は、トラステッド・デバイス110とアントラステッド・デバイス115との間にセキュア(安全な)チャネルを構築するために、トラステッド・デバイス110およびアントラステッド・デバイス115によって使用されるセッション・キーまたは証明書のような追加情報を送ることができる。
【0018】
180:トラステッド・デバイス110は、アントラステド・デバイス115がサーバ125によると事実真正であることを、ユーザ105に知らせる。
【0019】
エイソカン(Asokan)らによって教示された方法は、2つのデバイス110および115がサーバ125に対してセキュア接続が確立できたこと、アントラステッド・デバイス115が事実偽物であり、且つサーバ125が真正であり、且つデバイス110が事実ユーザ105自身のトラステッド・デバイスであるときに、ユーザ105に警告が与えられることを確実にするものであると見ることができる。この方法の第1の限界は、トラステッド(第三者)サーバを必要とすることである。すなわち、ユーザが彼/彼女自身のパーソナル・デバイスを持っているという事実は十分ではなく、上記パーソナル・デバイスがいかに信頼できるかは問題ではない。さらに、この方法は、該方法をより確固たるもにするのにきわめて重要な、デバイス110が事実ユーザ自身のものであることを、ユーザがいかに確信できるかということを取り上げていない。従って、デバイス110およびサーバ125の双方が偽物であるとき、すなわち、アントラステッド(偽物)デバイス115および(偽物)サーバ125が同じ偽物ネットワークの部分であり、且つデバイス110が上記偽物ネットワークの制御の下に誰かによって置換されたときには、上記方法は、明らかに有効ではない。偽物ネットワークは、実際、複数のエンティティを有している必要はなく、典型的場合、アントラステッド・デバイス115中で構成されるが、デバイス110および従ってユーザ105への完全なネットワークの外観を有するように構成されることに留意されたい。従って、詐欺を行なおうとする者は、偽ターミナルを企てるのに必要なこと以上のことをほとんどすることなしに、エイソカン(Asokan)らによって提供されるセキュリティを越えることができる。
【0020】
非特許文献3では、例えば、上記例における長いチェックサムである、デバイスまたはアプリケーションからの検証出力が、グラフィカル表現に変換される。このグラフィカル表現は、デバイスのディスプレイ上で見たときにはランダムな外観を呈するが、正しく予め作成されたオーバレイ・スライドを介して見ると、それとわかるイメージが現れる。これは、ユーザにとって、文字/デジットの長いシーケンスすなわちランダム・イメージより認識が容易である。この方法は、ユーザがデバイスを検証するために予め製造されたスライドを持ち歩かなければならないという制限があるため、スライドが紛失し盗まれる危険があり、また、スライドを使い古すと機能を害するおそれがある。イメージを変更してセキュリティを高めようとすると、ユーザは、スライドのセットを持ち歩くか、新たなスライドを作成できる手段を持っていなければならない。さらに、この方法は、ユーザの視力(非常に良いと仮定)に依存する検証方法を提供するのみであり、ユーザにより適するかもしれない他の検証方法を提供するものではない。また、この方法は、同じスライドをn>1の認証に使用するためには、スライドの寸法は、nが大きくなればなるほど、大きくなる。この方法の主たる利点は、この方法のセキュリティを正式/数学的に証明できるという理論的面が大きい。
【0021】
また、従来、チェックサムを、上記例のグラフィカル・フォーマット以外の他のユーザ・フレンドリ・フォーマット、例えば読み取り可能な語を含むより長いテキスト・ストリングに変換することが知られている。長いけれども、大部分の人にとって、一連の実際の語は、ランダム数より覚えやすい。より長いがより読み取り可能なフォーマットに変換するプロセスは、逆ハッシュイング(inverse Hashing)と呼ばれることがある。
【非特許文献1】インターネット〈https://www.trustedcomputinggroup.org〉
【非特許文献2】エイソカン(Asokan)ら、「パブリック・ターミナルの認証(Authentication of public terminals)」、エルスビア(Elsvier)発行、コンピュータ ネットワークス(Computer Networks)31(1999) 861−870.
【非特許文献3】A.ナオア(A.Naor)およびB.ピンカス(B.Pinkas)、「視覚認証およびアイデンティフィケーション(Visual Authentication and Identification)」、スプリンガー バーラグ(Springer Verlag)発行、レクチャ・ノーツ・イン・コンピュータ・サイエンス(Lecture Notes in Computer Science)vol1294、Crypto97予稿集(Proceedings of Crypto)1997、pp.322−336.
【発明の開示】
【発明が解決しようとする課題】
【0022】
従って、単にデバイスに対してユーザを認証するだけでなく、ユーザに対してデバイスを、ユーザ・フレンドリな態様で、確実に認証する方法および装置が必要なのは明らかである。従来提案されている装置および方法は、次のような重大な欠点がある。すなわち、従来装置方法は、より念入りな詐欺から保護できず、および/または、ユーザがチェックサムの紙コピーまたはグラフィカル・スライドを保持し持ち歩く必要があり、従来方法は、ユーザがパーソナル・デバイス、サーバ、および/または他の情報の信頼性についてある保証を既に取得していることを当然のこととしており、重要な初期信頼がどのように確立されるかについて取り上げていない。
【0023】
上記説明から、従来技術が大きな欠点を有していることは明確である。従って、パーソナル・デバイスおよびパブリック・デバイスの双方を認証する安全かつ便利な方法および装置を見出すことが望ましい。
【0024】
本発明の目的は、パーソナル・デバイスおよびパブリック・デバイスをユーザに対して認証する際のセキュリティおよび便利さを増大させる方法、パーソナル・デバイスおよびパブリック・デバイスを提供することにある。
【課題を解決するための手段】
【0025】
本目的は、請求項1に記載の方法、請求項21に記載のパーソナル・デバイスおよび請求項25に記載のパブリック・デバイスにより達成される。
【0026】
上記問題は、本発明が、少なくとも第1デバイス、パーソナル・デバイスをユーザに対して認証する方法を提供することにより解決される。本方法は、少なくとも第1の好みの出力フォーマットがユーザにより選択されるセットアップ・シーケンスと、デバイス・コンフィギュレーション検証シーケンスとを含む。デバイス・コンフィギュレーション検証部分では、チェックサムが計算され、ユーザフレンドリな出力フォーマットに変換される。この変換は、選択された好みの出力フォーマットに少なくとも部分的に基づく。
【0027】
セキュリティをさらに高めるために、チェックサムは、パーソナル・デバイス内の複数の鍵材料に基づいて計算される。鍵材料の選択は変更可能で、セットアップ・シーケンス中でユーザによって特定されることが好ましい。
【0028】
本発明の別の面によれば、パーソナル・デバイスは、上述のように認証された後、第2デバイス、パブリック・デバイスを認証するのに使用される。パブリック・デバイスを認証するためのパーソナル・デバイス中の方法は、
第2デバイスから送られる外部チェックサムを受け取るステップと、
送られてきた外部チェックサムをユーザフレンドリな出力フォーマットに変換するステップとを含むことができる。
【0029】
このようにする代りに、パーソナル・デバイスは、パブリック・デバイスから送られる1つまたはそれより多くのの初期チェックサムを記憶し、パーソナル・デバイスとパブリック・デバイスとの間の連続エンカウンタ(consecutive encounter)において、パーソナル・デバイスは、パブリック・デバイスから送られた連続チェックサムと、初期チェックサムとを比較する。初期チェックサムと連続チェックサムとが一致しなければ、パーソナル・デバイスがユーザに警告メッセージを発する。
【0030】
本発明により、パーソナル・デバイスおよびパブリック・デバイスの双方をユーザに対して有効にかつユーザ・フレンドリな態様で認証する方法を提供できる。
【0031】
本発明の一つの利点は、ユーザが、デバイスを検証するためのスライドまたは検証数のメモを持ち歩く必要が無くなることである。
【0032】
別の利点は、検証に使用されるチェックサムがユーザの選択によりユーザ・フレンドリなフォーマットに変換されることである。このようにして、ユーザが、異常、すなわちデバイスが改ざんされたしるしを検出する可能性が大きく高まる。
【0033】
さらに別の利点は、本発明により認証されたパーソナル・デバイスを、他の(パブリック)デバイスの認証に使用できることである。
【0034】
本発明の実施例は、特許請求の範囲の従属項に記載される。本発明の他の目的、利点および新規な特徴は、次に行なう本発明の詳細説明を、添付図面および特許請求の範囲に関連付けて考察することにより明らかとなろう。
【発明を実施するための最良の形態】
【0035】
上に略述した本発明の特徴および利点を、以下に、同一要素には同一参照番号を付した図面を参照して詳細に説明する。
【0036】
以下、図面を参照して本発明の実施例を説明する。
【0037】
本発明による方法および装置が使用されるシナリオ例が、図2aに概略的に示されている。ユーザ(U)205は、例えば携帯電話であるパーソナル・デバイス(T)210を使用し、例えばATMであるパブリック・デバイス(D)215を使用する意思がある。パブリック・デバイス215は、通信ネットワーク(CN)222を介してサーバ(S)225に接続されてパブリック・システム216を形成する。このような構成ではなく、パブリック・デバイス215は、他のユニットに固定的に接続されることのないスタンドアローン・ユニットということもある。パーソナル・デバイス210は、例えば、コンピュータ、携帯電話/モバイル・ターミナル、または例えばATMターミナルと通信するための専用デバイスである。パーソナル・デバイス210には、入力手段、および好ましくは例えばグラフィカルおよびテキスト出力のあるディスプレイ、音発生手段、および振動アラートのような複数の出力手段が設けられる。本発明の第1実施例は、パーソナル・デバイスが信頼できるものであることを確実にする方法および装置を取り上げる。パブリック・デバイス/パブリック・システム215/216は、最初は、ユーザに対して認証されていない。本発明の別の実施例は、今認証されたパーソナル・デバイス210の助けによりパブリック・デバイスをいかにして認証するかを取り上げる。パブリック・デバイス/パブリック・システム215/216の例としては、これに限定されるわけではないが、ATM、パーソナル・コンピュータ(PC)、他の民生用電子機器、自動販売機/チケット販売機、医療装置、自動ドア・ロック、自動車、電子政府のためのデバイス(例えば、電子投票ブース)、スロット・マシン、および他の種のギャンブル/ゲーム・マシン等を挙げることができる。
【0038】
典型的な場合、ユーザ205は、パーソナル・デバイス210およびパブリック・デバイス215またはパブリック・システム216の双方と相互作用を行なう。この相互作用は、図では、矢印で示されている。パーソナル・デバイス210は、パブリック・デバイス215またはパブリック・システム216と相互作用を行なう。
【0039】
本発明によりパーソナル・デバイス210を認証する方法は、少なくとも第1の好みの出力フォーマットがユーザにより選択されるセットアップ・シーケンスと、デバイス・コンフィギュレーション検証シーケンスとを含む。デバイス・コンフィギュレーション検証シーケンスでは、チェックサムが計算され、ユーザにより選択された好みの出力フォーマットに基づきユーザフレンドリな出力フォーマットに変換される。さらに、チェックサムは、ユーザにより選択可能なまたはランダムに発生される鍵材料に基づいて計算できる。パーソナル・デバイス210は、上述のように認証された後、パブリック・デバイス215を認証するのに使用できる。この場合、チェックサムが、パブリック・デバイス215からパーソナル・デバイス210に送られ、このパーソナル・デバイス中で、予め選択された出力フォーマットに変換される。このようにする代りに、パーソナル・デバイス210が、パブリック・デバイス215からのチェックサムを自動的に記憶し、比較し、検証し、パーソナル・デバイスが不一致を検出したときにのみユーザに警報を発するようにしてもよい。
【0040】
好ましくは、パーソナル・デバイス210は、セキュリティの望まれるレベルを提供するために、トラステッド・プラットフォームを頼りにすべきである。このようなプラットフォームは、上述のTCGおよびその対応するデバイス・プロファイルにより提供される。パーソナル・デバイス210に適した同様のセキュリティ技術も思い描くことができる。TCGは、この分野で知られており、TCGプロファイルまたは同様の技術により仕様が決められるパーソナル・デバイス210は、本発明の一部とみなすべきではない。しかしながら、トラステッド・プラットフォーム・アーキテクチャの概念は、本発明をより高いセキュリティ・レベルで実施する上で重要であり、TCGの重要特徴について、以下、簡単に説明する。
【0041】
TCGは、キーおよび他のセンシティブ情報のセキュアで改ざんに抵抗力のある記憶装置を提供する。特定のセンシティブ動作(例えば、キーの使用)は、権限あるシステム・コンポーネントのみが鍵(キー)等をアクセスでき、且つ結果が正しいという確信を持てるように行なわれる。
【0042】
TCGは、コンピュータ・システムが期待通り構成されていることを検証することを助けることができる。すなわち、TCGは、現在のデバイス/システム構成の完全性の検証を行なう、すなわち、重要な機能は完全でマルウェアがないことを保証する。これの特に重要な点は、トラステッド・パスを作り出すこと、すなわちキーボードに入力されたことがアプリケーションに実際に到達することを確実にすることであり、また計算の出力が表示されていることと一致することである。
【0043】
パーソナル・デバイス210は、TCGイネーブルドであることが好ましい。次の説明では、パーソナル・デバイス210がTCGイネーブルドであるか、あるいはこれと同じまたはこれより高いセキュリティを提供するものと仮定する。本発明は、この仮定が無くても適用可能であるが、高い総合セキュリティを提供するにはセキュア・プラットフォーム・アーキテクチャが好ましい。
【0044】
また、ランダム・データをユーザ理解可能情報に変換する方法、例えばランダム・データをイメージ、音、テキストまたは同様のものに変換する方法が存在するものと仮定する。ランダム・データをユーザ理解可能情報に変換する適当なアルゴリズムの例を以下に説明する。
【0045】
背景部分で説明したように、TCGおよび引用した従来技術は、デバイスの真正をユーザに対して保証するのに十分な手段を提供しない。本発明の第1の実施例は、パーソナル・デバイスが信頼できるものであること、すなわちそれがパーソナル・デバイスそのもので詐欺的に置き換えられたあるいはその“クローン”ではないことをユーザに保証する方法および装置を提供する。本発明のこの実施例を、図2bに示されたパーソナル・デバイスの概略図および図3のフローチャートを参照して説明する。
【0046】
図2bに、本発明によるパーソナル・デバイス210が概略的に示されている。モジュールおよびブロックは、機能部分とみなされ、必ずしもそれらの物理的オブジェクトではない。モジュールおよびブロックは、本発明による方法を実施するのに適合するように、少なくとも部分的にソフトウェア符号手段として実施されることが好ましい。“含む(comprising)”という用語は、主として論理的構造を示すもので、“接続された”という用語は、機能部分間のリンクと解釈すべきで、必ずしも物理的接続を意味するものではない。しかしながら、選択された実施により、特定のモジュールは、デバイス中の物理的に区別できるオブジェクトとして実現でき、これは、ある場合には、セキュリティの観点から好ましい。
【0047】
パーソナル・デバイス210は、複数のモジュールを含み、これらのモジュールは、それ自身にユニークとなり得るアイデンティフケーション(同一性認識)手段を有する。このようなモジュールは、ハードウェア・モジュール240と、メモリ・モジュール245とを含むが、これに限定されるわけではない。1つのメモリ・モジュール240は、例えば、そのデバイスそのもののユニーク・アイデンティフィケーション番号を持つことができる。デバイスが携帯電話である場合には、デバイスは、アイデンティフィケーション番号を提供できるSIMカード250(またはそれと同等のもの)をさらに含むことができる。デバイス210は、また、ユーザからの符号、例えばPINコードを受ける符号モジュール255を有することができる。現在入力されたPINコードは、あるいは他の情報とともに、そのモジュールのアイデンティフィケーション番号とみなされる。これらのモジュールは、少なくともそれらのうちあるものは、最も好ましくは番号の形のアイデンティフィケーション手段を提供する能力を有し、アイデンティフィケーション・モジュール240−255と呼ばれる。チェックサムを計算するのに使用できる、特定シナリオに使用できるアイデンティフィケーション手段の総セットは、鍵材料と呼ばれる。例を挙げてさらに明確に説明すると、デバイス・ハードウェア・アイデンティファイアとともにユーザにより入力されたPINコード、またはこれらのある機能は、鍵材料の例である。これは、単なる例であり、同じデバイスが、別のシナリオにおいて、鍵材料を形成するために異なるアイデンティフィケーション手段を使用することができる。アイデンティフィケーション・モジュール240−255に関連して、チェックサム・モジュール260は、アイデンティフィケーション・モジュール240−255から提供された鍵材料に基づいてチェックサムを計算する。チェックサム・モジュール260は、ユーザ好みモジュール265に関連付けられる。ユーザ好みモジュール265は、計算されたチェックサムがユーザに対してどのように表現されるかについてのユーザの好みを受け取り記憶するようになっている。ユーザ好みモジュール265は、複数の変換モジュール270−285に接続され、好みの出力フォーマットに対応する変換モジュール270−285にチェックサムを送る。パーソナル・デバイス中で見受けられる典型的な変換モジュールの例は、イメージ変換モジュール270、テキスト変換モジュール275、および音変換モジュール280である。変換モジュール285により示された種々の他のタイプの変換モジュールとしては、例えば、スピーチを発生するようにしたものがあげられる。変換モジュール270−285において、チェックサムが特定のユーザ・フレンドリ・フォーマットに変換される。変換モジュールは、その結果をユーザに表示するための通常手段、例えば表示または音回路(図示せず)に接続される。
【0048】
本発明の別の実施例によれば、パーソナル・デバイス210は、また、パブリック・デバイス215を認証するのにも使用される。この目的のため、パーソナル・デバイスは、パブリック・デバイスから外部チェックサムを受け取る受信モジュール290を備えることが好ましい。受信モジュール290は、受信した外部チェックサムをユーザ・フレンドリ・フォーマットに変換するために、ユーザ好みモジュールに接続されることができる。他方、受信モジュール290は、比較モジュール292に接続され、比較モジュール292は、メモリすなわち外部チェックサムのデータベース295に接続される。比較モジュール292は、受信したチェックサムを、メモリ/データベース295からリトリーブした前に記憶されたチェックサムと比較するようになっている。
【0049】
本発明によるパブリック・デバイス215が、図2cに概略的に示されている。パブリック・デバイス215は、少なくともPIN受信モジュール217に接続されたチェックサム計算モジュール218を含む。チェックサム計算モジュール217およびPIN受信モジュール218は、好ましくは、パーソナル・デバイス210とデータを送受信するようにされた通信モジュール220に接続される。PIN受信モジュール218は、パーソナル・デバイス210またはユーザ205からPINまたは他の情報を受け取るようなっている。チェックサム計算モジュール217は、パブリック・デバイス215にユニークな内部秘密を記憶し、またはリトリーブできる。チェックサム計算モジュール217は、さらに、1つまたはそれより多くのアイデンティフィケーション・モジュール219、例えば鍵材料として使用できるアイデンティフィケーション手段を提供できるハードウェアおよびメモリ・モジュールに接続できる。
【0050】
図3に示された、本発明の第1実施例による方法は、次のステップを含む。
【0051】
305:パーソナル・デバイス210は、そのデバイス内で利用可能なユーザフレンドリ出力フォーマットの中からユーザ205によって選択された少なくとも1つの好みの出力フォーマットを受信し記憶する。好みの出力フォーマットは、チェックサムが好ましくはどのユーザフレンドリ・フォーマットに変換されるべきかを示す。
【0052】
310:オプションとして、ユーザは、利用可能などの鍵材料がチェックサムに含まれるべきか決定する。この選択は、パーソナル・デバイス210によって受信され記憶される。好ましくは、このオプションは、このデバイス中で利用可能な鍵材料に基づいて、ユーザフレンドリな態様でユーザに提示される。このようにする代わりに、選択は、ランダムにまたは予め定められたように行われる。
【0053】
315:鍵材料は、パーソナル・デバイス210中に含まれる(選択された)アイデンティフィケーション・モジュールから抽出される。
【0054】
320:チェックサムが、鍵材料に基づいて計算される。
【0055】
325:好みの出力フォーマット(ステップ305)に少なくとも部分的に基づいて、チェックサムが対応する変換モジュール270−285に送られる。
【0056】
330:好みの出力フォーマットに対応する選択された変換モジュール270−285は、チェックサムをユーザフレンドリ・フォーマットに変換する。
【0057】
335:変換の結果は、適当な手段によって、例えば、ディスプレイ上でグラフィカルに、またはスピーカまたはイヤフォーンを通して一連の音調を演奏することにより、ユーザに提示される。
【0058】
セットアップ・シーケンスと呼ばれるステップ305−310は、典型例では、セットアップまたはコンフィギュレーション・シナリオ中で実行される。このようにする代わりに、ユーザは、チェックサムを計算する態様または好みの出力を変更するためにこのシーケンスをアクティベートできる。
【0059】
デバイス・コンフィギュレーション検証と呼ばれるステップ315−335は、少なくともパーソナル・デバイス210の立ち上げ時に、およびオプションとして好ましくはデバイスの動作の間時々、点線で示されているように繰り返される。デバイス・コンフィギュレーション検証は、例えばデバイスをある時間ほったらかしにしておいた後、ユーザがデバイスの真正をチェックしたいと望むときに、アクティベートすることができる。
【0060】
デバイスの比較的静的コンフィギュレーションに関する鍵材料と見ることができるステップ320で使用された鍵材料に加えて、本方法は、トラステッド・パーソナル・デバイスで実行されるべきアプリケーションに関する鍵材料も含ませることができる。例えば、ユーザが通信アプリケーションを実行するパーソナル・デバイスを使用する場合、チェックサムは、このアプリケーションに関連したID、符号またはチェックサムも含む鍵材料に基づいて計算される。アプリケーションを使用する前に、ユーザは、このアプリケーションに関連したデバイス・コンフィギュレーション検証をアクティベートし、この確認のために変換されたチェックサムが提示される。第2のアプリケーションは、異なるチェックサムを生じさせ、従って異なる提示がなされる。従って、この実施例においては、本発明による方法は、アプリケーションの検証も含むように拡張され、ここでは、検証は、各アプリケーションにユニークである。
【0061】
この実施例による方法および装置によって得られる改良されたセキュリティは、チェックサムが複数且つ可変セットの鍵材料に基づいて計算される方法、ならびに少なくともフォーマットがユーザの好みのフォーマットというだけではなく、チェックサムが長いシーケンスの数よりユーザにとって認識し易いフォーマットに変換されるという事実の双方によって達成される。このことは、大部分の人間は、例えば短い曲または歌として認識される一連の音色は表示されたチェックサムより容易に覚えることができるという事実による。もし、デバイスが改ざんされるか置換されると、その結果生じる曲は、ユーザが通常検出できるほど異なったすなわち変わったものとなる。ユーザが好むならば、結果は、例えばこれまた大部分の人間が変化を認識できるフォーマットであるグラフィカル・イメージとして出力される。本発明により出力フォーマットをユーザの好みに適合させることができることは、特に身体障害者には重要である。例えば、聴覚障害者は、グラフィカル表現を使用することができ、視覚障害者は、オーディオ表現を使用できる。
【0062】
携帯電話においては、計算の一部および/または鍵材料の一部が、SIM、例えば、より高い保護のためにはSIMアプリケーション・ツールキット(SAT)内に配置される。
【0063】
オーディオに関して生じ得る問題は、それが、近くのデバイスによって記録され、後に再生される可能性があることである。従って、小さなスクリーン上のイメージの方が好ましいかもしれない。あるいは、イヤフォーン/ハンズフリーが接続されているか否か(携帯電話は通常これを自動的に検出する)によってオーディオを使用するか決めても良い。従って、ステップ325は、どのユーザフレンドリ・フォーマット(変換モジュール270−285)を使用すべきか決定するのに、好みの出力フォーマットに組み合わせてさらに追加のパラメータを考慮するように変更される。追加のパラメータは、例えば、パーソナル・デバイス210の現在のコンフィギュレーションを反映させたものになる。このようにする代わりに、ユーザは、1つより多くの好みの出力フォーマットを特定するようにしてもよい。例えば、パーソナル・デバイス210が第1コンフィギュレーションのときには第1の好みの出力フォーマットが使用され、パーソナル・デバイス210が第2コンフィギュレーションのときには第2の好みの出力フォーマットが使用される。
【0064】
オプションとして、デバイスが少数のユーザ例えばファミリーで共用される場合には、各ユーザが別個のPINを入力でき、このPINはチェックサム計算の一部となる。従って、各ユーザは、異なるチェックサム/歌/イメージを得る。さらに、各ユーザは、プレゼンテーション・フォーマットに対して異なった好みを有することができる。
【0065】
ユーザに、今、トラステッド・パーソナル・デバイス210が与えられているものとする。次の説明では、ユーザのパーソナル・デバイス210は、本発明の第1実施例の観点から信頼できるものと仮定する。ユーザが信頼でき既に認証されたパーソナル・デバイスを有しており、このパーソナル・デバイスが、パブリック・デバイス215と呼ばれる非パーソナル・デバイスのブートストラップ認証にも使用することができると仮定する。単純な非制限的例として、外部デバイスが(好ましくはTCGイネーブルド)ATMとする。なお、例えば、パーソナル・コンピュータ(PC)、他の消費者用製品、自動販売機/チケット販売機、医療機器、自動ドア・ロック、自動車、電子政府用デバイス(電子投票ブース)等の他のデバイスにどのように拡張するかは容易にわかるであろう。
【0066】
原理的には、検証のためにパーソナル・デバイスに(例えば、IRまたはブルートウース(Bluetooth)を介して)安全に送られるチェックサムをATMが計算することが好ましい。ユーザのデバイスは、トラステッド(信頼できる)なので、ユーザのデバイスは、ユーザの代わりに(予期したチェックサムと比較して)検証を実行でき、何らのランダム変換に関与することなく、その代わりにパーソナル・デバイス中で変換を実行し、その結果を、ユーザフレンドリ・フォーマットでユーザに提示する。ATMからトラステッド・パーソナル・デバイスには、“生の”ランダム・データを送るのが好ましい。何故なら、パーソナル・デバイスは、特定のユーザが好む変換方法を実施できるからである。あるユーザは、オーディオを好み、他のユーザは、イメージを好む等である。これにより、ATM中で多くのユーザ特定変換機能を実施する必要を回避でき、ATMに多くの種々の出力手段を設ける必要も回避できる。
【0067】
ATMによって作り出されるチェックサムは、パーソナライズされることが好ましい。その結果、ATMだけでなく、現在のユーザにも独特のものになる。これは、種々の方法で実行できる。簡単な方法は、チェックサムをユーザの入力したPINまたはそのある機能に依存させることである。別の方法は、ユーザのパーソナル・デバイスから、より高いセキュリティのために、非常に長いPINまたは他の符号を発生させ、送信させることである。
【0068】
次に、上述のブートストラップ・シナリオを扱う本発明の第2の実施例を、図2a、および図4aおよび図4bに示された概略メッセージ・フローを参照して説明する。パブリック・デバイス215は、スタンドアローン・ユニットでも、パブリック・システム216の一部であっても良い。次の説明では、パブリック・デバイス215という用語は、スタンドアローン・デバイスおよびパブリック・システム216の双方を例示するものとする。当初ユーザに対して認証されていないパブリック・デバイス/システムの例としては、これに限定されるわけではないが、PC、プリンタおよびファックス・マシンのような民生用電子機器;ATM、自動販売機/チケット販売機、および自動クレジット・カード・システムのような金融取引に関連した装置/システム;医療機器;自動ドア・ロック;自動車;例えば電子投票ブースのような電子政府用デバイス、ゲーム/ギャンブル機械等を挙げることができる。
【0069】
パブリック・デバイス215との最初のエンカウンタ(enounter)において、図4aに示された第2実施例の初期部分が実行され、次のステップを含む。
【0070】
405:D<−>T:パーソナル・デバイス210とパブリック・デバイス215とがセキュア(安全)な接続(例えば、ブルートゥース、IEEE802.11i等)を確立する。
【0071】
410:U−>:ユーザ205が、パブリック・デバイス215に、PINまたは他の“鍵”を入力する。
【0072】
415:D:パブリック・デバイス215が、少なくとも内部秘密および入力されたPINに基づいて初期チェックサムを計算する。さらに、パーソナル・デバイス210中で鍵材料がどのように取り出されるのかということと同様に、鍵材料は、Dの他のアイデンティフィケーション手段、例えば、アイデンティティ(D)、他の内部情報(D)、および外部情報(D)を含むことができる。
【0073】
420:D−>T:パブリック・デバイス215が、計算した初期チェックサムをパーソナル・デバイス210に送る。
【0074】
425:T:パーソナル・デバイス210は、送られてきた初期チェックサムおよび他のオプショナル・データのユーザフレンドリ変換を行う。このようにして、初期チェックサムは、パブリック・デバイス215を認証するための鍵材料の少なくとも一部を提供する。“一部”ということにより、パブリック・デバイス215により直接提供される鍵材料のほかに、Tそれ自身により内部的に供給される鍵材料も使用されることを理解されたい。これは、ある時間が経過しても利点がある。何故なら、Uに向けたTの初期認証が行われ、Tの“暗黙の”再認証が自動的に行われ、信頼が高まる。外部情報(D)が使用されると、これも同様に検証される(以下、参照)。変換は、第1実施例に従うものであり、次のステップを含む。
【0075】
425:1 ユーザの好み(ステップ305)に基づいて、送られてきた初期チェックサムが、記憶されたユーザの好みに対応した変換モジュール270−285に出力される。
【0076】
425:2 記憶されたユーザの好みに対応する変換モジュール270−285が、送られてきた初期チェックサムをユーザフレンドリ・フォーマットに変換する。
このようにする代わりに、初期チェックサムおよび/または変換された初期チェックサムは、パーソナル・デバイス210によってメモリすなわちデータベース295に記憶される。
430: T−>U: パーソナル・デバイス210は、適当な手段、例えば、ディスプレイ上でグラフィカルに、またはスピーカを通して一連の音色を再生することにより、変換結果をユーザに提示する。
435: U/T ユーザ205は、送られてきた初期チェックサムの変換表現を将来のために記憶する。
【0077】
ステップ410において、“PIN”は、パーソナル・デバイス210によって“実際”のユーザPINに関係なく、別のPINに変更でき、パーソナル・デバイス210からパブリック・デバイス215に送られる。これは、ユーザ205がデバイスの真正を確信するまで彼の“実際”のPINを開示する必要がないという利点がある。パーソナル・デバイス210は、将来の使用のため、PINを記憶する。これにより、PINをより長くより安全に保護できる。
【0078】
ステップ415において、“外部情報”は、例えばトラステッド第三者によって提供される情報、例えば、ATMの場合、マシン・ベンダまたは銀行によって発行される“ドメイン証明書”であり、パブリック・デバイス215に独特の情報に署名されている。これは、初期認証のセキュリティが強化するものであり、典型例においては、連続エンカウンタ(consecuvive encounters)では、必要ない。
【0079】
ステップ425において、初期チェックサムまたは変換されたチェックサムが記憶される場合、ステップ430および435は、パーソナル・デバイス210が自らが初期チェックサムを受け取り且つ記憶していることをユーザ205に知らせるステップに置換される。このようにする代わりに、パブリック・デバイス215に対応する初期チェックサムが、他の手段によって、典型例では初期エンカウンタ(initial encounter)の前に、パーソナル・デバイス210に送られるようにしても良い。例えば、銀行が、パーソナル・デバイス210に記憶させるために、それらのATMの全てのチェックサムのリストをユーザに提供しても良い。
【0080】
パブリック・デバイス215との連続エンカウンタでは、図4bに示された第2実施例の第2部分が実行され、この部分は、次のステップを含む。
【0081】
445: T<−>D パーソナル・デバイス210とパブリック・デバイス215とがセキュアな接続(例えば、ブルートウース)を確立する。
【0082】
450: U−>D ユーザ205が、パブリック・デバイス215に、PINまたは他の“鍵(キー)”を入力する。
【0083】
455: D: パブリック・デバイス215が、内部秘密,PIN,{アイデンティ(D),他の内部情報(D),外部情報(D)}の連続チェックサムを計算する。
【0084】
460: D−>T: パブリック・デバイス215は、計算した連続チェックサムをパーソナル・デバイス210に送る。
【0085】
465b:T:パーソナル・デバイス210は、送られてきた連続チェックサムのユーザフレンドリ変換を行う。“外部情報(D)”が使用されると、これも同様に検証される(以下、参照)。変換は、第1実施例に従うものであり、次のステップを含む。
【0086】
465:1 ユーザの好み(ステップ305)に基づいて、送られてきた連続チェックサムが、記憶されたユーザの好みに対応した変換モジュール270−285に出力される。
【0087】
465:2 記憶されたユーザの好みに対応する変換モジュール270−285が、送られてきた連続チェックサムをユーザフレンドリ・フォーマットに変換する。
【0088】
470b: T−>U: パーソナル・デバイス210は、適当な手段例えば、ディスプレイ上でグラフィカルに、またはスピーカを通して一連の音色を再生することにより、変換結果をユーザに提示する。
【0089】
475b: U: ユーザ205は、送られ変換され提示された連続チェックサムが、予期したすなわち記憶した変換初期チェックサムと一致するかチェックする。
【0090】
480b:初期チェックサムと連続チェックサムとが(すなわちそれらを変換したものが)一致すると、ユーザ205には、パブリック・デバイス215が認証されたこと、並びにパブリック・デバイス215の使用を続けてたぶん安全であること、典型例では、通信ネットワーク222を介してサーバ225により提供されるサービスを使用してもたぶん安全であることが知らされる。
【0091】
485b:ユーザ205が、変換された初期チェックサムと変換された連続チェックサムとが一致しないことを検出すると、ユーザ205には、パブリック・デバイス215は認証されていないこと、並びにパブリック・デバイス215の使用を続けることは愚かであるという警告が発せられる。
【0092】
初期部分と同様のオプションが適用される。
【0093】
この実施例においては、外部チェックサム、すなわちパブリック・デバイス215からパーソナル・デバイス210に送られる初期および連続チェックサムは、ユーザフレンドリ・フォーマットに変換するのに必要な時間のみパーソナル・デバイス210に保持され、デバイスには貯蔵されないことが好ましいことに留意されたい。すなわち、一旦レンダリング(rendering)が行われたら、ユーザフレンドリ表現フォーマットの全てのデータは、パーソナル・デバイス210の内部メモリから即座に消去される。ユーザのメモリは、初期の認証に続いて、次の認証において、ユーザによって選択されたユーザフレンドリ・フォーマットへの変換の補助のために使用される。これにより、誰かがデバイスを入手するか、またはウイルスすなわちトロ−ジャン(Trojan)を植え付けてチェックサムに権限なくアクセスするリスクを低減するので、セッキュリティを高めることができる。
【0094】
このようにする代わりに、送られてきた連続チェックサムおよび/または送られ変換された連続チェックサムを、パーソナル・デバイス210により前に記憶された(ステップ435)初期チェックサムと比較しても良い。この代わりの実施例が図4cに示され、ステップ465b,470bおよび485bが次のステップで置換される。
【0095】
465c: パーソナル・デバイス210が、送られ変換された連続チェックサムと、前に記憶した(ステップ435)初期チェックサムと比較する。
【0096】
470c: T−>U: 送られてきた連続チェックサムが、記憶された初期チェックサムと一致すると、ユーザには、“OKメッセージ”により、パブリック・デバイス215が認証されたことが示される。送られてきた連続チェックサムが、記憶された初期チェックサムと一致しないと、ユーザには、“警告メッセージ”により、パブリック・デバイス215は認証されていないことが示される。
【0097】
パーソナル・デバイス210は、複数の前に認証したアントラステッド・デバイス215に対応する複数の異なる初期チェックサムを記憶できる。チェックサムのデータベースは、リトリーバルを容易にするため、各パブリック・デバイス215のアイデンティファイアによってインデックスされることが好ましい。ステップ465において、パーソナル・デバイス210は、メモリ/データベース295に記憶された複数の初期チェックサムと比較する。現在送られてきたチェックサムが、記憶されたもののどれとも一致しないと、ユーザには、接触中のパブリック・デバイスは、新しくまだ認証されていないか、または信頼できるものではないという警告が発せられる。この実施例は、検証が、パーソナル・デバイス210によって自動化され制御され、ユーザ205はパーソナル・デバイス210によって警告が発せられるまで関与する必要がないという魅力的なソリューションを提供する。セキュリティが高まるかは、パーソナル・デバイスが信頼できるかに依存する。偽パーソナル・デバイスは、例えば、警告を発生することはできない。この実施例は、パーソナル・デバイスの認証にデバイス・コンフィギュレーション検証を使用する(305−335)ので、新たな外部チェックサムと記憶されたチェックサムと比較が外部から干渉されることはない(改ざんされることはない)ことをユーザに保証できる。
【0098】
本発明の別の実施例においては、複数のチェックサムを記憶し、チェックサムを変換/記憶する上記2つの代替実施例の構成要素が、便利でかつセキュア認証を行うように組み合わされる。複数のパブリック・デバイス215が認証されるべきときには、各デバイスが特有のチェックサムを発生し、ユーザ自身によって比較が行われる。このことは、ユーザが複数の歌/絵/テキストを記憶する必要があることを意味する。これは、本発明のセキュリティに何かを付加するものであるが、ユーザにとって少し不便でもある。しかしながら、後述するように、セキュリティと便利さとのトレードオフが可能である。説明を簡単にするために、変換モジュール270−285への全ての入力は、kビットの大きさであると仮定する。当業者は、kを異なる値でできることは理解できるであろう。“アイデンティティ”jを有するパブリック・デバイス215が、チェックサムc(j),j=1,2,...を発生し、cは、ユーザが選択した好ましい出力/表現されるべきイメージ/歌/テキスト等に対応するkビット値である。すなわち、cは、選択されたモジュール(図2bの270,275,280または285)によって変換されたときに、特定のユーザ好みのイメージ/歌/テキストを発生するkビット値である。全てのデバイス215に対して唯一のcというのもあるが、パブリック・デバイス215の各タイプに一つ(例えば、ATMに独特のあるc、自動販売機に独特のあるc等)というのもあり得る。最後に、好ましくはユーザおよび/またはユーザのパーソナル・トラステッド・デバイス210にのみに知られる秘密sがある。
【0099】
本実施例によれば、チェックサムを記憶するステップ425は、次のように変更/拡張される。
【0100】
425d:パブリック・デバイスjに向けて送られてきたチェックサムc(j)とともに、またはこれの代わりに、y(j)=Encr(s,c(j)XORc)、すなわち、秘密sによって暗号化されたc(j)XORcが暗号化表現として記憶される。
【0101】
そして、ユーザ・フレンドリ・フォーマットに変換するステップであるステップ465bは、次のように変更される。
【0102】
465d:連続的チェックサムc(j)の変換は、c(j)に基づくのではなく、c(j)XOR Decr(s,y(j))(すなわち、鍵sを使用したy(j)の解読)に基づいて行われる。変換への入力として、c(j)に関係なく、同じ値cが発生することは容易にわかるであろう。
【0103】
従って、ユーザは、一つの値c(または、デバイス各タイプにつき一つの値c)を記憶するだけでよく、ユーザ205の自分の記憶による認証を容易にできる。鍵sが十分に保護されて(例えばユーザのPINによって)いれば、値c(j)XORcは暗号化された形で記憶されるので、これらは、パーソナル・デバイス210が無くなるあるいは盗まれても、安全に保たれる。デバイス210それ自体で十分な保護(例えば、物理的な)が提供できれば、暗号化/解読化を省略できることに留意されたい。さらに、XOR演算のほかに他の演算も使用できる。例えば、記憶される値は、
y'(j)=Encr(s,(c(j)+c)modM)
の形にすることができ、比較の時には、
(c(j)-Decr(s,y'(j))modM
とすることができる。ここで、Mは、kビット(またはそれより大きい)整数である。一般に、Encr(s,f(c,c(j)))を記憶でき、変換のときには、g(Decr(s,y(j)),c(j))を使用する。gは、各cにつきg(f(c,c(j)),c(j))=cの意味でfの“逆数”である。
【0104】
オプションとして、465dは、パーソナル・デバイス210が解読化/変換を行う前にまずc(j)と比較することを付加することができる。
【0105】
セキュリティをさらに高めるために、パーソナル・デバイス210中において、デバイス・コンフィギュレーション検証(305−335)を自動的にトリガーするステップを、例えば、開始ステップ445に関連付けて追加することができる。従って、ユーザ205は、例えば、パブリック・デバイス215を使用して潜在的にセンシティブな取引を始める前に、パーソナル・デバイス210が信用できるものであるという自動確認を得ることになる。上述したように、パブリック・デバイス215の各認証、さらに信頼されたパーソナル・デバイス210からの鍵材料を受け入れても、同様の効果を得ることができる。
【0106】
パブリック・デバイス215の自動検証の別の方法は、ステップ445におけるパーソナル・デバイス210とパブリック・デバイス215との間の接続を確立する間、例えば、パブリックおよびプライベート・キーを使用する、暗号アイデンティフィケーションを含む。典型例においては、両デバイスは、前に、トラステッド・サプライアから証明書の提供を受けている。また、この場合、パーソナル・デバイスが信頼されるべきものであることがユーザにとって最も重要である。
【0107】
以上、ユーザがパブリック・デバイス215またはパブリック・システム216に直接コンタクトし、これらのデバイスが、例えば、現金を引き出すためにATMを使用する次の動作に直接使用されるというシナリオに基づいて、本発明を例示して説明した。本発明の方法および装置は、この使用に限定されるわけではなく、パーソナル・デバイス215がより高いセキュリティの利益を享受できるさらなる動作にアクティブに使用されるアプリケーションにも使用できる。このようなアプリケーションは、例えば、パーソナル・デバイス210が音声またはデータ通信をセットアップするために無線アクセス・ネットワークをアクセスする携帯電話であることを含む。UMTSにおいては、携帯電話とアクセス・ネットワークは、互いに認証し合う。このシナリオでは、本発明により、携帯電話と無線アクセス・ネットワークが真正であることがユーザに保証され、通知なくシステムが“ハイジャック”されるリスクが効果的に低減される。
【0108】
[実現例]
本発明は、ランダム・バイナリ・ストリング(チェックサム)を人間が容易に認識できるデータに変換する方法が必要である。これは、いくつかの方法で実現でき、以下、簡単な理論的背景、続いて代替可能な実現例を説明する。当業者には、理解できるように、バイナリ・ストリングをユーザ・フレンドリ・データに変換する他のフレームワーク、上記理論の他の実際例を、本発明に関連付けて使用できる。
【0109】
本方法は、コンピュータ・サイエンスに精通した者には、直観的に“逆ハッシュ(inverse hashing)”を思い浮かべるであろう。ハッシュの目的は、長い、非均一に分布されている可能性があるストリングを、短いがより均一に分布されたストリングに変換することである。従って、比較的短いランダム・ストリングが、より長い非ランダム表現に変換され得る。生成されたストリング/表現は、同じ長さの全てのストリングのセットの中では非ランダムであるが、情報のエントロピー(伝達効率)/量は、元の短いストリングと均等にできることが論証されている。
【0110】
可能な方法を正式に説明する。N={1,2,....}が自然数を示すものとする。アルファベットΣは、基数(cardinality)bのシンボルのセットとする。n∈Nとし、Σnは、Σにわたる長さnの全てのストリングからなるものとする。従って、Σnの基数は、bnである。(典型例においては、Σは、{0,1}であり、従って、Σnは、長さnの全てのバイナリ・ストリングのセットである)。m(n)≧j(n)≧k(n)が、k(n)≧nとする整数値関数(integer valued function)であり、S1,S2,...,Sm(n)は、セットとする(Sjは、人間が認識できるアイテム、例えば英語の言葉、絵、音等を含むものとする)。次のマッピングを行う符号関数が存在する。:
Cn:Σn→Sr1×Sr2×...×Srk(n)
冗長関数は、次の式で示される。:
ρn:Sr1×...×Srk(n), →St1×...×Stj(n)
ここで、t=(t1,t2,...,tj(n))である。ここで、ti∈Nであり、t1<t2<...<tj(n)≧m(n)である。ここで、ρnは、好ましくは、t∈{r1,r2,...,rk(n)}としたときの各Stについての恒等関数(identity function)である。従って、リスト/ベクトルrは、ρnを唯一決定する。換言すれば、逆数ρn-1は、投影である。直観的に述べると、cnは、バイナリ・ストリングを“ユーザ・フレンドリ”データ・アイテムのk(n)組に変換し、ρnは、特定の場所に追加のユーザ・フレンドリ・データを“挿入”する。関数cn,ρnは、もちろん効率的に計算可能でなければならない。いくつかの例を後述する。確率
Pr[ρn(cn(x1))=ρn(cn(x2))]
(ランダムx1≠x2としたときの確率)は、高いセキュリティにおいては小さくなくてはならない。すなわち、2つのチェックサムが同じ人間読み取り可能データを生成することがあってならない。ρnは、冗長関数であり、cnの出力にアイデンティティ・マッピングをしていると仮定しているので、確率は、次の値より大きくできない。:
Pr[cn(x1)=cn(x2)]
この場合、cnの選択のみが、セキュリティ上、重要である。ランダム特性に対する強い要求がある場合には、セキュリティを実際に保証するために、cnとρnとの間に次の関係が課せられる。:
ρn(cn(x1))=ρn(cn(x2)) ⇒ x1=x2
(すなわち、ρnの範囲に限って、cnは1対1の関数である。これについては、さらに後述する)しかし、上述のように、確率x1=x2が十分に小さければ、10億中1あたりで実際上十分である。この最後の特性は、(Σにわたって全ての入力ストリングが可能とすると)セットのサイズに対して次の条件を意味する:Πisize(Si)≧bn,ここで、あるjに対してi=rjとなるようなiのセットにわたって積が取られる。セット{Sj}および関数cnに対する他の唯一の制限(これは、絶対的数学条件で表現することが難しい)は、Σnからランダムにxを選択するときに、イメージcn(x)が人間に“覚えることが容易”ということである。
【0111】
このスキームの実際的使用のアイディアは、次の通りである。ランダムなnビットのストリングxが、例えば、デバイス中のハードウェアのチェックサムとして生成される。この値にρn(cn(x))が適用され、ユーザに“示される”。ユーザは、この出力を承認するか否かに応じて受け入れるか拒絶する。
【0112】
所与のnに対して、{Σ,cn,t,m(n),k(n),Sr1,Sr2,...,Srk(n)}によって、符号スキームが決まる。同じアルファベットに対して異なる入力長nが必要ならば、次のような符号化ファミリーを定義できる。:
Σ,m(n),k(n),{cn,t,Sr1,Sr2,...,Sr2(n)}n≧1
これにより、一つの可能な符号スキームの正式な説明を終了する。
【0113】
[観察]
離散的セット{x1,x2,...,xn}についての確率分布Dに対して、次のようにエントロピーを定義する。:
H(X)=−Σilog2(PrD[X=xi])・(PrD[X=xi])
すなわち、Dによりランダムに選択された要素を示すのに必要な(バイナリ)ビットの期待数である。任意の関数fに対して、fが1対1であるときのみ、H(f(X))≦H(X)が対等に成立することは周知である。このことは、符号化関数cnが、それを1対1にすることにより、元のランダム・ソースのエントロピーを維持できることを示す。(1対1符号化が実際に好ましくない場合がある。下記コメント参照)。
【0114】
冗長関数の目的は、生成される出力の“見かけ”を改善することにある。例えば、バイナリ・ストリングが英語文に変換される場合、符号化には重要ではないが読み易さを高めるために、余分な語(例えば、前置詞)を導入するのが有益である。このような冗長の例は、以下に述べる。ユニークなプリメージュ(preimage)が望まれるときでさえ、上述のように非冗長部分に限定すれば、符号化がユニークなことだけが必要である。
【0115】
ある場合には、符号化を1対1にしない方が有益なことがある。例えば、チェックサムが160ビット・ハッシュ値であるチェックサム・シナリオを考える。これを英語に変換する一つの可能な方法は、各バイトを英語の単語の発言と解釈する方法である。これによると、出力は、長さにして20(英語)単語程度になる。この文の全体の長さは、覚えるのが困難であり、会話が行われる前に、ハッシュ値のある部分を無視してセキュリティにつて僅かに妥協するのが良い。このような場合、2ステップの検証を行うと良い。すなわち、チェックサム(変換された暗号化されていない英語)が正しくないのではとユーザが疑った場合、実際の全体のチェックサムの第2マニュアル・コントロールを行うことができる。このようにして比較するテキストは、非常に長いが、160ビットのランダム・バイナリ・ストリングを比較するよりは、約20単語の英語文を人間が読んで比較する方が非常に容易である。
【0116】
長いリアリスティックな例をマニュアルで発生することは問題があるため、上記例は単純である。しかしながら、上記例は、当業者に対する例示としては十分である。
【0117】
[パスフレーズ発生]
例1:
完全な2デジットPINコードに等しいセキュリティが必要とされる場合を考える。従って、n=2で、アルファベットが、Σ={0,1,...9}で、b=10である。これが、3つの単語の英文、すなわちj(n)=3に変換されなければならない。各i,i=1,2,3について、Siは、英単語のセットであり、ここで、S2およびS3は次の通りである。
【0118】
【表1】
【0119】
コーディングc2は、単純である。2デジット入力x=x1x2に対して、c2(x1x2)は、単純に、S2からx1番目の単語、S3からx2番目の単語である。“読取可能度”を改善するために、首位には常に“the”が付加される。すなわち、S1={the}である。従って、冗長関数は、t=(1,2,3)およびρ2,t(w2w3)=“the”w2w3である。
【0120】
入力されたPINコード/チェックサムが“71”(ランダムに発生)とする。第1列の7番目の単語“apple”、第2列の1番目の単語“sails”を選ぶと、“apple sails”が得られる。首位“the”を付加すると、出力は、“the apple sails”となる。例えば、3単語シーケンス“the dog jumps”を対応符号に逆変換すると、冗長により、“the”が消去される。残りに2つの単語は、逆テーブル・ルックアップで10進デジットに逆変換され、“dog”−>1,“jumps”−>4、すなわちPINコードは“14”となる。この符号(またはその関数)は、内部データベースに記憶されたある値と比較され、許容/拒絶の決定がなされる。“the car stops”のような無効(不存在符号)は、もちろん容易に検出できる。作り出された文のエントロピー(entropy)は、明らかに、2デジット10進数に等しい。
【0121】
発生されたストリングが真にランダムであれば、上記テーブル(符号関数)に知識は、敵が正しいパスワードを想像する助けを与えるものではない。
【0122】
例2:
上述のチェックサムまたはPINコードをコンピュータ・スクリーン上のグラフィカル・オブジェクトに変換するグラフィカル・コーディングについて簡単に説明する。例えば、第1および第2デジットは、オブジェクトが描かれるスクリーン上の10対10グリッド中の(x,y)グリッド点と解釈できる。PINコードに逆変換すれば、オブジェクトは、コンピュータのマウスを使用してドラッグすることにより、スクリーン上に配置される。このようにする代わりに、PINコードの第1デジットでオブジェクトのタイプを特定し、第2デジットでスクリーン上の位置を指定するようにもできる。多くの可能性がある。例えば、オブジェクトの色を変化させるカラー・グラフィクスも使用できる。例えば、回転のような他のグラフィカル変形も可能である。
【0123】
例3:
前述したように、コンピュータ・プログラムが認証のためにチェックされる場合について検討する。実際のプログラム符号pの160ビット・ハッシュ値(またはチェックサムの他の手段)が計算されてh(p)が得られるものとする。このh(p)は、次のように英語に変換される。10個のテーブルS1,...S10が有り、各テーブルが(最大)256英単語からなる。h(p)の各第2の8ビット・ブロックが一つのテーブルをインデックスし、2i番目の8ビット・ブロックh(p)2iがテーブルSiをインデックスし、テーブルSiから単語h(p)2imod|Si|を選択する。ここで、|Si|は、Si,i=1,...,10中の単語の数である。(従って、ハッシュの各第2の8ビット・ブロックh(p)2i+1が無視される。)これにより、10単語英語文が作られる。最後に、読取可能度を高めるために、冗長が付加される。
【0124】
例4:
これまで説明した全ての例に共通する分母は、入力ランダム・ストリングが部分に分割され、各部分が、“テーブル”または同様のものをインデックスするのに独立に使用されることである。このように構成されたフレーズは、完全に意味が有り英語の文とみなされるが、上記独立使用のため、すごく自然な英文とはいえない。事実、自然言語においては、次の単語が、前の単語に関係ないということは少ない。このような現象の研究は、既に、シー・イー・シャノン(C.E.Shannon)によって行われており、[Shannon]を参照されたい。例えば、上記例1において、文“the woman swims”は、“the apple forgets”より非常に自然である。しかし、両者は文法上完全に正しい。
【0125】
一般に、確率過程は、離散的な時間X1,X2,...においてシュミレートされる。Xi=sの確率は、次に示すように前に観察した結果に依存し、
Pr[Xi=s|Xi-1=si-1,Xi-2=si-2,...,X1=s1]
一般に、sおよびiの項のみで表現できない。特に魅力的なケースは、マルコフ・プロセス(Markov process)を有する場合で、Xiの結果がXi-1にのみ依存する次の場合である:
Pr[Xi=si|Xi-1=si-1,Xi-2=si-2,...,X1=s1]
=Pr[Xi=si|Xi-1=si-1]
しかしながら、この例は、完全に一般性を有する。
【0126】
検証したい装置またはプログラムpのチェックサムh(p)が入力として与えられたとする。一般性を損なうことなく、h(p)は、長さnの2進値とする。望ましい出力は、長さk(n)で(例えば、k(n)個の単語の英文)、k(n)個のテーブル{Si}を有し、Siは、|Si|のエントリを有する。テーブル値は、次にように仮定する。:
p(i,si,s)=Pr[Xi=si|Xi-1=si-1,Xi-2=si-2,...,X1=s1]
ここで、各i=1,...k(n)、および各si,sについて、s=(si-1,si-2,....s1)である。(これらの値は、“オン・ザ・フライ(on the fly)”で効率的に計算することもできる)nは、十分大きいものとする。このことが何を意味し何故必要なのかを次に説明する。
【0127】
h(p)を、自然な態様で、h(p)1,...h(p)k(n)に分割する。(従って、n≧k(n)であり、一般に、各h(p)iの長さは、事前に決定しておく必要はなく、h(p)iの長さは、h(p)1,..h(p)i-1に依存する。)h(p)1,..h(p)i-1は、既に出力s1,..,si-1(例えば、英単語)に変換されたものとし、次にどのようにしてsiを計算するか?s=(si-1,si-2,...s1)であることが知られている。何故なら、これは既に計算され、仮定として、sが与えられると、各可能な選択sj∈Siについて、次のことが知られているからである。:
pi,s(sj)=p(i,sj,s)
=Pr[Xi=sj|Xi-1=si-1,Xi-2=si-2,...,X1=s1]
さらに、h(p)iの長さ(ビット数)がmで示され、mは少なくとも次の条件を満たすものとする。
【0128】
【数1】
ここで、εは、セキュリティ・パラメータであり、その決定は延期される。t(0)=0およびt(j)=t(j-1)+pi,s(sj)と定め、ここで、j=1,2,...,|Si|とすると、t(|Si|)=1である。最後に、2進ストリングh(p)iを自然な態様の整数と解釈し、次の値を計算する。:
Ti=2-m・h(p)i (ただし、Ti∈[0,1])
sj∈Siは、Ti∈[t(j-1),t(j)]に対するjによって決定され、出力される。sjが計算された後、sj+1が計算されるというように計算が続く。
【0129】
スキームが解析されれば、Tiが[0,1]中に完全に均一に分散された場合、各sj∈Siは、確率t(j)-t(j-1)=pi,s(sj)(これは正しい確率である)により選択される。これは完全に正しくないかもしれない。しかしながら、h(p)iが[0,2m-1]内で均一に分散するものと仮定すると、h(p)iの長さ、すなわちmの小さい範囲では、Xi-1,Xi-2,...,X1が与えられているとして、各sjは、Xiの真の分散のε内の確率で選択されるとみることができる。パラメータεは、セキュリティ要件に従って選択される。h(p)のストリングの必要な長さ、すなわちnは、計算でき、必要な条件は、次のように示され、
n=Σilength(h(p)i)
≧k(n)・log2ε-1+Σimaxjlog2pi,s(sj)-1
qを次のように定義すると、
q=mini,jlog2pi,s(sj)
nは次のように表現でき
n≧k(n)・(log2ε-1+q-1)
これで十分である。実際には、h(p)は、160ビット・ハッシュ値で、上記不等式を満たさない。そうであっても、h(p)は、擬似乱数発生器gの入力種として使用でき、代わりに、g(h(p))を使用できる。元の長さの多項式伸長係数は、セキュアな態様で得ることができることは周知である。
【0130】
本発明を、現在最も実用的で好ましい実施例に関連付けて説明したが、本発明は、上述の実施例に限定されるものではなく、反対に、添付の特許請求の範囲およびその精神に含まれる種々の変形および均等な構成を含むものである。
【図面の簡単な説明】
【0131】
【図1】従来技術による概略メッセージ・フロー・スキームである。
【図2a】本発明が使用されるシナリオの概略図である。
【図2b】本発明によるトラステッド・パーソナル・デバイスの概略図である。
【図2c】本発明によるパブリック・デバイスの概略図である。
【図3】本発明の方法の第一実施例のフロー・チャートを示す。
【図4a】本発明の実施例の初期部分の概略メッセージ・フロー・スキームである。
【図4b】上記方法の連続部分の概略メッセージ・フロー・スキームである。
【図4c】本発明の別の実施例による連続部分のメッセージ・フロー・スキームである。
【技術分野】
【0001】
本発明は、ユーザに対するデバイスの認証および詐欺防止に係わる。特に、本発明は、ユーザフレンドリ・デバイス認証方法および装置に関する。
【背景技術】
【0002】
マン−マシン相互作用のほとんど全ての面において、認証、アイデンティフィケーション(同一確認)および権限付与の重要度が増している。何故なら、典型例を挙げるなら、価値有るまたはセンシティブなデータに対するアクセス権は、物理的に検証できないからである。適用範囲は、現金自動預け払い機(ATM)を使用することや、無線通信システムを使用するプライバシの保護といった日常生活から、政治や産業界の秘密保護や商業取引の安全確保に及ぶ。
【0003】
例えば、コンピュータ・システムや特定構内にアクセスを許すための人間の同一確認および権限付与の領域に、大きな注意が払われてきた。このための方法および装置は、パーソナル・アイデンティフィケーション番号(PIN)を使用すること、例えば自動化指紋または顔認識のための種々の生物測定装置/方法を含む。これらの方法および装置は、デバイスに対して人間の同一確認がなされ、デバイスが、典型的には種々のソフトウェア手段を使用して、例えば、そのデバイス使用に対するアクセス、特定構内に対するアクセス、データベースに対するアクセスを許容する。
【0004】
従来、ほとんど注意が払われていなかったが、重要度が増している領域は、ユーザに対するデバイスまたはシステムの認証である。多くの状況において、ユーザは、ユーザがそれと信じているデバイスそのものなのかの検証、および/またはシステムが改ざんされていないかの検証が必要である。このことを、次の例を使用してさらに説明する。
【0005】
例1:偽ATMが配備されたところでは、詐欺が行なわれる。ユーザは、その磁気カードおよびPINを挿入/入力する。ユーザに知られないで、ATMは、“技術エラー”メッセージを表示して磁気カードを排出する前に、磁気ストライプを走査しPINを記録する。この結果、偽ATMの“所有者”は、ATMカードのコピーを作ることができ、真のユーザの名前でお金を引き出すことができる。全てのATMは、基本的に同様の外観をしており、偽ATMを検出することは非常に難しい。
【0006】
例2:ユーザが、例えば大きな銀行内の口座保守プログラムのようなあるセンシティブ・アプリケーション用のコンピュータ・プログラムを実行しようとしているものとする。プログラム/コンピュータが改ざんされていないことが最も重要である。何故なら、異なる口座間の悪意の取引によって壊滅的結果が生じる可能性があるからである。事実、コンピュータがトロージャン(Trojan)の存在する同一マシンに置き換えられたことを検証することは非常に難しい。原理的には、プログラムの真正は、例えばデジタル署名のようなプログラムのチェックサムを計算することおよび/またはプラットフォームそれ自体十分に信頼に値することを推定できるハッシュ値によりチェックできる。例えば、チェックサム計算それ自体“改ざんに対して抵抗力がある”ものでなければならない。依然として、チェックサムは、(セキュリティのため)、長く、完全にランダムな外観のバイナリ・ストリングでなければならない。この文字毎に手動で検証することは、非常に骨が折れることである。
【0007】
例3:ユーザが彼の携帯電話をほったらかしにして、コーヒー・ブレークに出かけたとする。彼が戻ったとき、その携帯電話が確かに彼のもので(ほとんど)同一のもので置き換えられていないとどのようにして確信するのであろうか。ユーザが置き換えに気が付くにはかなりの時間がかかるであろう。置き換えに気が付いたときには、ユーザは既にあるセンシティブ・パーソナル情報をデバイスに入力してしまっており、この情報は即座に悪意の当事者に転送されてしまっている。
【0008】
上記例のあるものにおいては、ユーザがPINを入力するという条件は、デバイスを認証することに使用できないことに留意されたい。何故なら、例えば、偽ATMまたは偽電話のような偽デバイスは、全てのPINを単にアクセプトするように作れるからである。
【0009】
例えば、TCG(Trusted Computing Group(トラステッド・コンピューティング・グループ),非特許文献1)は、ウイルス、情報漏洩等のリスクを低減しようとしているように、トラステッド・プラットフォーム・アーキテクチャ(trusted platform architecture)の仕様を決めるのにかなりの努力がなされた。かなりのことが達成されているが、ユーザが、例え彼が彼の電話を信頼していたとしても、彼が使用しているものが本当に彼のデバイスであると、どのようにして検証できるかという問題にはアドレスしていない。
【0010】
多くのコンピュータ・アプリケーションは、コンピュータまたはアプリケーションの真正を検証するために、ユーザがスクリーン上で見ることができる“チェックサム”を出力する。セキュリティを確保するために、チェックサムは、非常に長い。現在、チェックサムは、ユーザによって、文字毎、デジット毎、走査されて検証されるが、これは退屈な仕事である。さらに、ユーザは、チェックサムを書いた紙コピーを必要とするが、これが紛失したり盗まれる可能性がある。これにより、偽プログラムを作ることが可能となる。
【0011】
ユーザに対するデバイスの認証の問題は、非特許文献2で取り上げられている。この原理ステップは、図1の概略メッセージ・フロー・スキームに示されている。ユーザ(U)105は、トラステッド(信頼されている)パーソナル・デバイス(T)110を所有しており、通信ネットワーク(CN)122を介してサーバ(S)125に接続された例えばATMのようなアントラステッド(信頼されていない)デバイス(D)115を使用する意思がある。ステップの説明は、次の通りである。
【0012】
150:トラステッド・デバイス110が、例えば赤外線のような遠隔手段により、あるいは物理的接続により、アントラステッド・デバイス115に接続される。
【0013】
155:ユーザ105は、トラステッド・デバイス110に、それに連結されているデバイスDを認証するように要求する。
【0014】
160:トラステッド・デバイス110は、アントラステッド・デバイス115に、サーバ125に対してそれ自身を認証するように、要求する。
【0015】
165:アントラステッド・デバイス115は、サーバ125に対して、一方向認証プロトコルを実行させる。成功すれば、サーバ125とアントラステッド・デバイス115との間に認証チャネルが確立される。これは、図では、二重線で示されている。
【0016】
170:サーバ125は、トラステッド・デバイス110に対して、一方向認証プロトコルを実行させる。成功すれば、サーバ125とトラステッド・デバイス110との間に認証チャネルが確立される。
【0017】
175:サーバ125は、メッセージ“Dは真正”を、トラステッド・デバイス110に送る。さらに、サーバ125は、トラステッド・デバイス110とアントラステッド・デバイス115との間にセキュア(安全な)チャネルを構築するために、トラステッド・デバイス110およびアントラステッド・デバイス115によって使用されるセッション・キーまたは証明書のような追加情報を送ることができる。
【0018】
180:トラステッド・デバイス110は、アントラステド・デバイス115がサーバ125によると事実真正であることを、ユーザ105に知らせる。
【0019】
エイソカン(Asokan)らによって教示された方法は、2つのデバイス110および115がサーバ125に対してセキュア接続が確立できたこと、アントラステッド・デバイス115が事実偽物であり、且つサーバ125が真正であり、且つデバイス110が事実ユーザ105自身のトラステッド・デバイスであるときに、ユーザ105に警告が与えられることを確実にするものであると見ることができる。この方法の第1の限界は、トラステッド(第三者)サーバを必要とすることである。すなわち、ユーザが彼/彼女自身のパーソナル・デバイスを持っているという事実は十分ではなく、上記パーソナル・デバイスがいかに信頼できるかは問題ではない。さらに、この方法は、該方法をより確固たるもにするのにきわめて重要な、デバイス110が事実ユーザ自身のものであることを、ユーザがいかに確信できるかということを取り上げていない。従って、デバイス110およびサーバ125の双方が偽物であるとき、すなわち、アントラステッド(偽物)デバイス115および(偽物)サーバ125が同じ偽物ネットワークの部分であり、且つデバイス110が上記偽物ネットワークの制御の下に誰かによって置換されたときには、上記方法は、明らかに有効ではない。偽物ネットワークは、実際、複数のエンティティを有している必要はなく、典型的場合、アントラステッド・デバイス115中で構成されるが、デバイス110および従ってユーザ105への完全なネットワークの外観を有するように構成されることに留意されたい。従って、詐欺を行なおうとする者は、偽ターミナルを企てるのに必要なこと以上のことをほとんどすることなしに、エイソカン(Asokan)らによって提供されるセキュリティを越えることができる。
【0020】
非特許文献3では、例えば、上記例における長いチェックサムである、デバイスまたはアプリケーションからの検証出力が、グラフィカル表現に変換される。このグラフィカル表現は、デバイスのディスプレイ上で見たときにはランダムな外観を呈するが、正しく予め作成されたオーバレイ・スライドを介して見ると、それとわかるイメージが現れる。これは、ユーザにとって、文字/デジットの長いシーケンスすなわちランダム・イメージより認識が容易である。この方法は、ユーザがデバイスを検証するために予め製造されたスライドを持ち歩かなければならないという制限があるため、スライドが紛失し盗まれる危険があり、また、スライドを使い古すと機能を害するおそれがある。イメージを変更してセキュリティを高めようとすると、ユーザは、スライドのセットを持ち歩くか、新たなスライドを作成できる手段を持っていなければならない。さらに、この方法は、ユーザの視力(非常に良いと仮定)に依存する検証方法を提供するのみであり、ユーザにより適するかもしれない他の検証方法を提供するものではない。また、この方法は、同じスライドをn>1の認証に使用するためには、スライドの寸法は、nが大きくなればなるほど、大きくなる。この方法の主たる利点は、この方法のセキュリティを正式/数学的に証明できるという理論的面が大きい。
【0021】
また、従来、チェックサムを、上記例のグラフィカル・フォーマット以外の他のユーザ・フレンドリ・フォーマット、例えば読み取り可能な語を含むより長いテキスト・ストリングに変換することが知られている。長いけれども、大部分の人にとって、一連の実際の語は、ランダム数より覚えやすい。より長いがより読み取り可能なフォーマットに変換するプロセスは、逆ハッシュイング(inverse Hashing)と呼ばれることがある。
【非特許文献1】インターネット〈https://www.trustedcomputinggroup.org〉
【非特許文献2】エイソカン(Asokan)ら、「パブリック・ターミナルの認証(Authentication of public terminals)」、エルスビア(Elsvier)発行、コンピュータ ネットワークス(Computer Networks)31(1999) 861−870.
【非特許文献3】A.ナオア(A.Naor)およびB.ピンカス(B.Pinkas)、「視覚認証およびアイデンティフィケーション(Visual Authentication and Identification)」、スプリンガー バーラグ(Springer Verlag)発行、レクチャ・ノーツ・イン・コンピュータ・サイエンス(Lecture Notes in Computer Science)vol1294、Crypto97予稿集(Proceedings of Crypto)1997、pp.322−336.
【発明の開示】
【発明が解決しようとする課題】
【0022】
従って、単にデバイスに対してユーザを認証するだけでなく、ユーザに対してデバイスを、ユーザ・フレンドリな態様で、確実に認証する方法および装置が必要なのは明らかである。従来提案されている装置および方法は、次のような重大な欠点がある。すなわち、従来装置方法は、より念入りな詐欺から保護できず、および/または、ユーザがチェックサムの紙コピーまたはグラフィカル・スライドを保持し持ち歩く必要があり、従来方法は、ユーザがパーソナル・デバイス、サーバ、および/または他の情報の信頼性についてある保証を既に取得していることを当然のこととしており、重要な初期信頼がどのように確立されるかについて取り上げていない。
【0023】
上記説明から、従来技術が大きな欠点を有していることは明確である。従って、パーソナル・デバイスおよびパブリック・デバイスの双方を認証する安全かつ便利な方法および装置を見出すことが望ましい。
【0024】
本発明の目的は、パーソナル・デバイスおよびパブリック・デバイスをユーザに対して認証する際のセキュリティおよび便利さを増大させる方法、パーソナル・デバイスおよびパブリック・デバイスを提供することにある。
【課題を解決するための手段】
【0025】
本目的は、請求項1に記載の方法、請求項21に記載のパーソナル・デバイスおよび請求項25に記載のパブリック・デバイスにより達成される。
【0026】
上記問題は、本発明が、少なくとも第1デバイス、パーソナル・デバイスをユーザに対して認証する方法を提供することにより解決される。本方法は、少なくとも第1の好みの出力フォーマットがユーザにより選択されるセットアップ・シーケンスと、デバイス・コンフィギュレーション検証シーケンスとを含む。デバイス・コンフィギュレーション検証部分では、チェックサムが計算され、ユーザフレンドリな出力フォーマットに変換される。この変換は、選択された好みの出力フォーマットに少なくとも部分的に基づく。
【0027】
セキュリティをさらに高めるために、チェックサムは、パーソナル・デバイス内の複数の鍵材料に基づいて計算される。鍵材料の選択は変更可能で、セットアップ・シーケンス中でユーザによって特定されることが好ましい。
【0028】
本発明の別の面によれば、パーソナル・デバイスは、上述のように認証された後、第2デバイス、パブリック・デバイスを認証するのに使用される。パブリック・デバイスを認証するためのパーソナル・デバイス中の方法は、
第2デバイスから送られる外部チェックサムを受け取るステップと、
送られてきた外部チェックサムをユーザフレンドリな出力フォーマットに変換するステップとを含むことができる。
【0029】
このようにする代りに、パーソナル・デバイスは、パブリック・デバイスから送られる1つまたはそれより多くのの初期チェックサムを記憶し、パーソナル・デバイスとパブリック・デバイスとの間の連続エンカウンタ(consecutive encounter)において、パーソナル・デバイスは、パブリック・デバイスから送られた連続チェックサムと、初期チェックサムとを比較する。初期チェックサムと連続チェックサムとが一致しなければ、パーソナル・デバイスがユーザに警告メッセージを発する。
【0030】
本発明により、パーソナル・デバイスおよびパブリック・デバイスの双方をユーザに対して有効にかつユーザ・フレンドリな態様で認証する方法を提供できる。
【0031】
本発明の一つの利点は、ユーザが、デバイスを検証するためのスライドまたは検証数のメモを持ち歩く必要が無くなることである。
【0032】
別の利点は、検証に使用されるチェックサムがユーザの選択によりユーザ・フレンドリなフォーマットに変換されることである。このようにして、ユーザが、異常、すなわちデバイスが改ざんされたしるしを検出する可能性が大きく高まる。
【0033】
さらに別の利点は、本発明により認証されたパーソナル・デバイスを、他の(パブリック)デバイスの認証に使用できることである。
【0034】
本発明の実施例は、特許請求の範囲の従属項に記載される。本発明の他の目的、利点および新規な特徴は、次に行なう本発明の詳細説明を、添付図面および特許請求の範囲に関連付けて考察することにより明らかとなろう。
【発明を実施するための最良の形態】
【0035】
上に略述した本発明の特徴および利点を、以下に、同一要素には同一参照番号を付した図面を参照して詳細に説明する。
【0036】
以下、図面を参照して本発明の実施例を説明する。
【0037】
本発明による方法および装置が使用されるシナリオ例が、図2aに概略的に示されている。ユーザ(U)205は、例えば携帯電話であるパーソナル・デバイス(T)210を使用し、例えばATMであるパブリック・デバイス(D)215を使用する意思がある。パブリック・デバイス215は、通信ネットワーク(CN)222を介してサーバ(S)225に接続されてパブリック・システム216を形成する。このような構成ではなく、パブリック・デバイス215は、他のユニットに固定的に接続されることのないスタンドアローン・ユニットということもある。パーソナル・デバイス210は、例えば、コンピュータ、携帯電話/モバイル・ターミナル、または例えばATMターミナルと通信するための専用デバイスである。パーソナル・デバイス210には、入力手段、および好ましくは例えばグラフィカルおよびテキスト出力のあるディスプレイ、音発生手段、および振動アラートのような複数の出力手段が設けられる。本発明の第1実施例は、パーソナル・デバイスが信頼できるものであることを確実にする方法および装置を取り上げる。パブリック・デバイス/パブリック・システム215/216は、最初は、ユーザに対して認証されていない。本発明の別の実施例は、今認証されたパーソナル・デバイス210の助けによりパブリック・デバイスをいかにして認証するかを取り上げる。パブリック・デバイス/パブリック・システム215/216の例としては、これに限定されるわけではないが、ATM、パーソナル・コンピュータ(PC)、他の民生用電子機器、自動販売機/チケット販売機、医療装置、自動ドア・ロック、自動車、電子政府のためのデバイス(例えば、電子投票ブース)、スロット・マシン、および他の種のギャンブル/ゲーム・マシン等を挙げることができる。
【0038】
典型的な場合、ユーザ205は、パーソナル・デバイス210およびパブリック・デバイス215またはパブリック・システム216の双方と相互作用を行なう。この相互作用は、図では、矢印で示されている。パーソナル・デバイス210は、パブリック・デバイス215またはパブリック・システム216と相互作用を行なう。
【0039】
本発明によりパーソナル・デバイス210を認証する方法は、少なくとも第1の好みの出力フォーマットがユーザにより選択されるセットアップ・シーケンスと、デバイス・コンフィギュレーション検証シーケンスとを含む。デバイス・コンフィギュレーション検証シーケンスでは、チェックサムが計算され、ユーザにより選択された好みの出力フォーマットに基づきユーザフレンドリな出力フォーマットに変換される。さらに、チェックサムは、ユーザにより選択可能なまたはランダムに発生される鍵材料に基づいて計算できる。パーソナル・デバイス210は、上述のように認証された後、パブリック・デバイス215を認証するのに使用できる。この場合、チェックサムが、パブリック・デバイス215からパーソナル・デバイス210に送られ、このパーソナル・デバイス中で、予め選択された出力フォーマットに変換される。このようにする代りに、パーソナル・デバイス210が、パブリック・デバイス215からのチェックサムを自動的に記憶し、比較し、検証し、パーソナル・デバイスが不一致を検出したときにのみユーザに警報を発するようにしてもよい。
【0040】
好ましくは、パーソナル・デバイス210は、セキュリティの望まれるレベルを提供するために、トラステッド・プラットフォームを頼りにすべきである。このようなプラットフォームは、上述のTCGおよびその対応するデバイス・プロファイルにより提供される。パーソナル・デバイス210に適した同様のセキュリティ技術も思い描くことができる。TCGは、この分野で知られており、TCGプロファイルまたは同様の技術により仕様が決められるパーソナル・デバイス210は、本発明の一部とみなすべきではない。しかしながら、トラステッド・プラットフォーム・アーキテクチャの概念は、本発明をより高いセキュリティ・レベルで実施する上で重要であり、TCGの重要特徴について、以下、簡単に説明する。
【0041】
TCGは、キーおよび他のセンシティブ情報のセキュアで改ざんに抵抗力のある記憶装置を提供する。特定のセンシティブ動作(例えば、キーの使用)は、権限あるシステム・コンポーネントのみが鍵(キー)等をアクセスでき、且つ結果が正しいという確信を持てるように行なわれる。
【0042】
TCGは、コンピュータ・システムが期待通り構成されていることを検証することを助けることができる。すなわち、TCGは、現在のデバイス/システム構成の完全性の検証を行なう、すなわち、重要な機能は完全でマルウェアがないことを保証する。これの特に重要な点は、トラステッド・パスを作り出すこと、すなわちキーボードに入力されたことがアプリケーションに実際に到達することを確実にすることであり、また計算の出力が表示されていることと一致することである。
【0043】
パーソナル・デバイス210は、TCGイネーブルドであることが好ましい。次の説明では、パーソナル・デバイス210がTCGイネーブルドであるか、あるいはこれと同じまたはこれより高いセキュリティを提供するものと仮定する。本発明は、この仮定が無くても適用可能であるが、高い総合セキュリティを提供するにはセキュア・プラットフォーム・アーキテクチャが好ましい。
【0044】
また、ランダム・データをユーザ理解可能情報に変換する方法、例えばランダム・データをイメージ、音、テキストまたは同様のものに変換する方法が存在するものと仮定する。ランダム・データをユーザ理解可能情報に変換する適当なアルゴリズムの例を以下に説明する。
【0045】
背景部分で説明したように、TCGおよび引用した従来技術は、デバイスの真正をユーザに対して保証するのに十分な手段を提供しない。本発明の第1の実施例は、パーソナル・デバイスが信頼できるものであること、すなわちそれがパーソナル・デバイスそのもので詐欺的に置き換えられたあるいはその“クローン”ではないことをユーザに保証する方法および装置を提供する。本発明のこの実施例を、図2bに示されたパーソナル・デバイスの概略図および図3のフローチャートを参照して説明する。
【0046】
図2bに、本発明によるパーソナル・デバイス210が概略的に示されている。モジュールおよびブロックは、機能部分とみなされ、必ずしもそれらの物理的オブジェクトではない。モジュールおよびブロックは、本発明による方法を実施するのに適合するように、少なくとも部分的にソフトウェア符号手段として実施されることが好ましい。“含む(comprising)”という用語は、主として論理的構造を示すもので、“接続された”という用語は、機能部分間のリンクと解釈すべきで、必ずしも物理的接続を意味するものではない。しかしながら、選択された実施により、特定のモジュールは、デバイス中の物理的に区別できるオブジェクトとして実現でき、これは、ある場合には、セキュリティの観点から好ましい。
【0047】
パーソナル・デバイス210は、複数のモジュールを含み、これらのモジュールは、それ自身にユニークとなり得るアイデンティフケーション(同一性認識)手段を有する。このようなモジュールは、ハードウェア・モジュール240と、メモリ・モジュール245とを含むが、これに限定されるわけではない。1つのメモリ・モジュール240は、例えば、そのデバイスそのもののユニーク・アイデンティフィケーション番号を持つことができる。デバイスが携帯電話である場合には、デバイスは、アイデンティフィケーション番号を提供できるSIMカード250(またはそれと同等のもの)をさらに含むことができる。デバイス210は、また、ユーザからの符号、例えばPINコードを受ける符号モジュール255を有することができる。現在入力されたPINコードは、あるいは他の情報とともに、そのモジュールのアイデンティフィケーション番号とみなされる。これらのモジュールは、少なくともそれらのうちあるものは、最も好ましくは番号の形のアイデンティフィケーション手段を提供する能力を有し、アイデンティフィケーション・モジュール240−255と呼ばれる。チェックサムを計算するのに使用できる、特定シナリオに使用できるアイデンティフィケーション手段の総セットは、鍵材料と呼ばれる。例を挙げてさらに明確に説明すると、デバイス・ハードウェア・アイデンティファイアとともにユーザにより入力されたPINコード、またはこれらのある機能は、鍵材料の例である。これは、単なる例であり、同じデバイスが、別のシナリオにおいて、鍵材料を形成するために異なるアイデンティフィケーション手段を使用することができる。アイデンティフィケーション・モジュール240−255に関連して、チェックサム・モジュール260は、アイデンティフィケーション・モジュール240−255から提供された鍵材料に基づいてチェックサムを計算する。チェックサム・モジュール260は、ユーザ好みモジュール265に関連付けられる。ユーザ好みモジュール265は、計算されたチェックサムがユーザに対してどのように表現されるかについてのユーザの好みを受け取り記憶するようになっている。ユーザ好みモジュール265は、複数の変換モジュール270−285に接続され、好みの出力フォーマットに対応する変換モジュール270−285にチェックサムを送る。パーソナル・デバイス中で見受けられる典型的な変換モジュールの例は、イメージ変換モジュール270、テキスト変換モジュール275、および音変換モジュール280である。変換モジュール285により示された種々の他のタイプの変換モジュールとしては、例えば、スピーチを発生するようにしたものがあげられる。変換モジュール270−285において、チェックサムが特定のユーザ・フレンドリ・フォーマットに変換される。変換モジュールは、その結果をユーザに表示するための通常手段、例えば表示または音回路(図示せず)に接続される。
【0048】
本発明の別の実施例によれば、パーソナル・デバイス210は、また、パブリック・デバイス215を認証するのにも使用される。この目的のため、パーソナル・デバイスは、パブリック・デバイスから外部チェックサムを受け取る受信モジュール290を備えることが好ましい。受信モジュール290は、受信した外部チェックサムをユーザ・フレンドリ・フォーマットに変換するために、ユーザ好みモジュールに接続されることができる。他方、受信モジュール290は、比較モジュール292に接続され、比較モジュール292は、メモリすなわち外部チェックサムのデータベース295に接続される。比較モジュール292は、受信したチェックサムを、メモリ/データベース295からリトリーブした前に記憶されたチェックサムと比較するようになっている。
【0049】
本発明によるパブリック・デバイス215が、図2cに概略的に示されている。パブリック・デバイス215は、少なくともPIN受信モジュール217に接続されたチェックサム計算モジュール218を含む。チェックサム計算モジュール217およびPIN受信モジュール218は、好ましくは、パーソナル・デバイス210とデータを送受信するようにされた通信モジュール220に接続される。PIN受信モジュール218は、パーソナル・デバイス210またはユーザ205からPINまたは他の情報を受け取るようなっている。チェックサム計算モジュール217は、パブリック・デバイス215にユニークな内部秘密を記憶し、またはリトリーブできる。チェックサム計算モジュール217は、さらに、1つまたはそれより多くのアイデンティフィケーション・モジュール219、例えば鍵材料として使用できるアイデンティフィケーション手段を提供できるハードウェアおよびメモリ・モジュールに接続できる。
【0050】
図3に示された、本発明の第1実施例による方法は、次のステップを含む。
【0051】
305:パーソナル・デバイス210は、そのデバイス内で利用可能なユーザフレンドリ出力フォーマットの中からユーザ205によって選択された少なくとも1つの好みの出力フォーマットを受信し記憶する。好みの出力フォーマットは、チェックサムが好ましくはどのユーザフレンドリ・フォーマットに変換されるべきかを示す。
【0052】
310:オプションとして、ユーザは、利用可能などの鍵材料がチェックサムに含まれるべきか決定する。この選択は、パーソナル・デバイス210によって受信され記憶される。好ましくは、このオプションは、このデバイス中で利用可能な鍵材料に基づいて、ユーザフレンドリな態様でユーザに提示される。このようにする代わりに、選択は、ランダムにまたは予め定められたように行われる。
【0053】
315:鍵材料は、パーソナル・デバイス210中に含まれる(選択された)アイデンティフィケーション・モジュールから抽出される。
【0054】
320:チェックサムが、鍵材料に基づいて計算される。
【0055】
325:好みの出力フォーマット(ステップ305)に少なくとも部分的に基づいて、チェックサムが対応する変換モジュール270−285に送られる。
【0056】
330:好みの出力フォーマットに対応する選択された変換モジュール270−285は、チェックサムをユーザフレンドリ・フォーマットに変換する。
【0057】
335:変換の結果は、適当な手段によって、例えば、ディスプレイ上でグラフィカルに、またはスピーカまたはイヤフォーンを通して一連の音調を演奏することにより、ユーザに提示される。
【0058】
セットアップ・シーケンスと呼ばれるステップ305−310は、典型例では、セットアップまたはコンフィギュレーション・シナリオ中で実行される。このようにする代わりに、ユーザは、チェックサムを計算する態様または好みの出力を変更するためにこのシーケンスをアクティベートできる。
【0059】
デバイス・コンフィギュレーション検証と呼ばれるステップ315−335は、少なくともパーソナル・デバイス210の立ち上げ時に、およびオプションとして好ましくはデバイスの動作の間時々、点線で示されているように繰り返される。デバイス・コンフィギュレーション検証は、例えばデバイスをある時間ほったらかしにしておいた後、ユーザがデバイスの真正をチェックしたいと望むときに、アクティベートすることができる。
【0060】
デバイスの比較的静的コンフィギュレーションに関する鍵材料と見ることができるステップ320で使用された鍵材料に加えて、本方法は、トラステッド・パーソナル・デバイスで実行されるべきアプリケーションに関する鍵材料も含ませることができる。例えば、ユーザが通信アプリケーションを実行するパーソナル・デバイスを使用する場合、チェックサムは、このアプリケーションに関連したID、符号またはチェックサムも含む鍵材料に基づいて計算される。アプリケーションを使用する前に、ユーザは、このアプリケーションに関連したデバイス・コンフィギュレーション検証をアクティベートし、この確認のために変換されたチェックサムが提示される。第2のアプリケーションは、異なるチェックサムを生じさせ、従って異なる提示がなされる。従って、この実施例においては、本発明による方法は、アプリケーションの検証も含むように拡張され、ここでは、検証は、各アプリケーションにユニークである。
【0061】
この実施例による方法および装置によって得られる改良されたセキュリティは、チェックサムが複数且つ可変セットの鍵材料に基づいて計算される方法、ならびに少なくともフォーマットがユーザの好みのフォーマットというだけではなく、チェックサムが長いシーケンスの数よりユーザにとって認識し易いフォーマットに変換されるという事実の双方によって達成される。このことは、大部分の人間は、例えば短い曲または歌として認識される一連の音色は表示されたチェックサムより容易に覚えることができるという事実による。もし、デバイスが改ざんされるか置換されると、その結果生じる曲は、ユーザが通常検出できるほど異なったすなわち変わったものとなる。ユーザが好むならば、結果は、例えばこれまた大部分の人間が変化を認識できるフォーマットであるグラフィカル・イメージとして出力される。本発明により出力フォーマットをユーザの好みに適合させることができることは、特に身体障害者には重要である。例えば、聴覚障害者は、グラフィカル表現を使用することができ、視覚障害者は、オーディオ表現を使用できる。
【0062】
携帯電話においては、計算の一部および/または鍵材料の一部が、SIM、例えば、より高い保護のためにはSIMアプリケーション・ツールキット(SAT)内に配置される。
【0063】
オーディオに関して生じ得る問題は、それが、近くのデバイスによって記録され、後に再生される可能性があることである。従って、小さなスクリーン上のイメージの方が好ましいかもしれない。あるいは、イヤフォーン/ハンズフリーが接続されているか否か(携帯電話は通常これを自動的に検出する)によってオーディオを使用するか決めても良い。従って、ステップ325は、どのユーザフレンドリ・フォーマット(変換モジュール270−285)を使用すべきか決定するのに、好みの出力フォーマットに組み合わせてさらに追加のパラメータを考慮するように変更される。追加のパラメータは、例えば、パーソナル・デバイス210の現在のコンフィギュレーションを反映させたものになる。このようにする代わりに、ユーザは、1つより多くの好みの出力フォーマットを特定するようにしてもよい。例えば、パーソナル・デバイス210が第1コンフィギュレーションのときには第1の好みの出力フォーマットが使用され、パーソナル・デバイス210が第2コンフィギュレーションのときには第2の好みの出力フォーマットが使用される。
【0064】
オプションとして、デバイスが少数のユーザ例えばファミリーで共用される場合には、各ユーザが別個のPINを入力でき、このPINはチェックサム計算の一部となる。従って、各ユーザは、異なるチェックサム/歌/イメージを得る。さらに、各ユーザは、プレゼンテーション・フォーマットに対して異なった好みを有することができる。
【0065】
ユーザに、今、トラステッド・パーソナル・デバイス210が与えられているものとする。次の説明では、ユーザのパーソナル・デバイス210は、本発明の第1実施例の観点から信頼できるものと仮定する。ユーザが信頼でき既に認証されたパーソナル・デバイスを有しており、このパーソナル・デバイスが、パブリック・デバイス215と呼ばれる非パーソナル・デバイスのブートストラップ認証にも使用することができると仮定する。単純な非制限的例として、外部デバイスが(好ましくはTCGイネーブルド)ATMとする。なお、例えば、パーソナル・コンピュータ(PC)、他の消費者用製品、自動販売機/チケット販売機、医療機器、自動ドア・ロック、自動車、電子政府用デバイス(電子投票ブース)等の他のデバイスにどのように拡張するかは容易にわかるであろう。
【0066】
原理的には、検証のためにパーソナル・デバイスに(例えば、IRまたはブルートウース(Bluetooth)を介して)安全に送られるチェックサムをATMが計算することが好ましい。ユーザのデバイスは、トラステッド(信頼できる)なので、ユーザのデバイスは、ユーザの代わりに(予期したチェックサムと比較して)検証を実行でき、何らのランダム変換に関与することなく、その代わりにパーソナル・デバイス中で変換を実行し、その結果を、ユーザフレンドリ・フォーマットでユーザに提示する。ATMからトラステッド・パーソナル・デバイスには、“生の”ランダム・データを送るのが好ましい。何故なら、パーソナル・デバイスは、特定のユーザが好む変換方法を実施できるからである。あるユーザは、オーディオを好み、他のユーザは、イメージを好む等である。これにより、ATM中で多くのユーザ特定変換機能を実施する必要を回避でき、ATMに多くの種々の出力手段を設ける必要も回避できる。
【0067】
ATMによって作り出されるチェックサムは、パーソナライズされることが好ましい。その結果、ATMだけでなく、現在のユーザにも独特のものになる。これは、種々の方法で実行できる。簡単な方法は、チェックサムをユーザの入力したPINまたはそのある機能に依存させることである。別の方法は、ユーザのパーソナル・デバイスから、より高いセキュリティのために、非常に長いPINまたは他の符号を発生させ、送信させることである。
【0068】
次に、上述のブートストラップ・シナリオを扱う本発明の第2の実施例を、図2a、および図4aおよび図4bに示された概略メッセージ・フローを参照して説明する。パブリック・デバイス215は、スタンドアローン・ユニットでも、パブリック・システム216の一部であっても良い。次の説明では、パブリック・デバイス215という用語は、スタンドアローン・デバイスおよびパブリック・システム216の双方を例示するものとする。当初ユーザに対して認証されていないパブリック・デバイス/システムの例としては、これに限定されるわけではないが、PC、プリンタおよびファックス・マシンのような民生用電子機器;ATM、自動販売機/チケット販売機、および自動クレジット・カード・システムのような金融取引に関連した装置/システム;医療機器;自動ドア・ロック;自動車;例えば電子投票ブースのような電子政府用デバイス、ゲーム/ギャンブル機械等を挙げることができる。
【0069】
パブリック・デバイス215との最初のエンカウンタ(enounter)において、図4aに示された第2実施例の初期部分が実行され、次のステップを含む。
【0070】
405:D<−>T:パーソナル・デバイス210とパブリック・デバイス215とがセキュア(安全)な接続(例えば、ブルートゥース、IEEE802.11i等)を確立する。
【0071】
410:U−>:ユーザ205が、パブリック・デバイス215に、PINまたは他の“鍵”を入力する。
【0072】
415:D:パブリック・デバイス215が、少なくとも内部秘密および入力されたPINに基づいて初期チェックサムを計算する。さらに、パーソナル・デバイス210中で鍵材料がどのように取り出されるのかということと同様に、鍵材料は、Dの他のアイデンティフィケーション手段、例えば、アイデンティティ(D)、他の内部情報(D)、および外部情報(D)を含むことができる。
【0073】
420:D−>T:パブリック・デバイス215が、計算した初期チェックサムをパーソナル・デバイス210に送る。
【0074】
425:T:パーソナル・デバイス210は、送られてきた初期チェックサムおよび他のオプショナル・データのユーザフレンドリ変換を行う。このようにして、初期チェックサムは、パブリック・デバイス215を認証するための鍵材料の少なくとも一部を提供する。“一部”ということにより、パブリック・デバイス215により直接提供される鍵材料のほかに、Tそれ自身により内部的に供給される鍵材料も使用されることを理解されたい。これは、ある時間が経過しても利点がある。何故なら、Uに向けたTの初期認証が行われ、Tの“暗黙の”再認証が自動的に行われ、信頼が高まる。外部情報(D)が使用されると、これも同様に検証される(以下、参照)。変換は、第1実施例に従うものであり、次のステップを含む。
【0075】
425:1 ユーザの好み(ステップ305)に基づいて、送られてきた初期チェックサムが、記憶されたユーザの好みに対応した変換モジュール270−285に出力される。
【0076】
425:2 記憶されたユーザの好みに対応する変換モジュール270−285が、送られてきた初期チェックサムをユーザフレンドリ・フォーマットに変換する。
このようにする代わりに、初期チェックサムおよび/または変換された初期チェックサムは、パーソナル・デバイス210によってメモリすなわちデータベース295に記憶される。
430: T−>U: パーソナル・デバイス210は、適当な手段、例えば、ディスプレイ上でグラフィカルに、またはスピーカを通して一連の音色を再生することにより、変換結果をユーザに提示する。
435: U/T ユーザ205は、送られてきた初期チェックサムの変換表現を将来のために記憶する。
【0077】
ステップ410において、“PIN”は、パーソナル・デバイス210によって“実際”のユーザPINに関係なく、別のPINに変更でき、パーソナル・デバイス210からパブリック・デバイス215に送られる。これは、ユーザ205がデバイスの真正を確信するまで彼の“実際”のPINを開示する必要がないという利点がある。パーソナル・デバイス210は、将来の使用のため、PINを記憶する。これにより、PINをより長くより安全に保護できる。
【0078】
ステップ415において、“外部情報”は、例えばトラステッド第三者によって提供される情報、例えば、ATMの場合、マシン・ベンダまたは銀行によって発行される“ドメイン証明書”であり、パブリック・デバイス215に独特の情報に署名されている。これは、初期認証のセキュリティが強化するものであり、典型例においては、連続エンカウンタ(consecuvive encounters)では、必要ない。
【0079】
ステップ425において、初期チェックサムまたは変換されたチェックサムが記憶される場合、ステップ430および435は、パーソナル・デバイス210が自らが初期チェックサムを受け取り且つ記憶していることをユーザ205に知らせるステップに置換される。このようにする代わりに、パブリック・デバイス215に対応する初期チェックサムが、他の手段によって、典型例では初期エンカウンタ(initial encounter)の前に、パーソナル・デバイス210に送られるようにしても良い。例えば、銀行が、パーソナル・デバイス210に記憶させるために、それらのATMの全てのチェックサムのリストをユーザに提供しても良い。
【0080】
パブリック・デバイス215との連続エンカウンタでは、図4bに示された第2実施例の第2部分が実行され、この部分は、次のステップを含む。
【0081】
445: T<−>D パーソナル・デバイス210とパブリック・デバイス215とがセキュアな接続(例えば、ブルートウース)を確立する。
【0082】
450: U−>D ユーザ205が、パブリック・デバイス215に、PINまたは他の“鍵(キー)”を入力する。
【0083】
455: D: パブリック・デバイス215が、内部秘密,PIN,{アイデンティ(D),他の内部情報(D),外部情報(D)}の連続チェックサムを計算する。
【0084】
460: D−>T: パブリック・デバイス215は、計算した連続チェックサムをパーソナル・デバイス210に送る。
【0085】
465b:T:パーソナル・デバイス210は、送られてきた連続チェックサムのユーザフレンドリ変換を行う。“外部情報(D)”が使用されると、これも同様に検証される(以下、参照)。変換は、第1実施例に従うものであり、次のステップを含む。
【0086】
465:1 ユーザの好み(ステップ305)に基づいて、送られてきた連続チェックサムが、記憶されたユーザの好みに対応した変換モジュール270−285に出力される。
【0087】
465:2 記憶されたユーザの好みに対応する変換モジュール270−285が、送られてきた連続チェックサムをユーザフレンドリ・フォーマットに変換する。
【0088】
470b: T−>U: パーソナル・デバイス210は、適当な手段例えば、ディスプレイ上でグラフィカルに、またはスピーカを通して一連の音色を再生することにより、変換結果をユーザに提示する。
【0089】
475b: U: ユーザ205は、送られ変換され提示された連続チェックサムが、予期したすなわち記憶した変換初期チェックサムと一致するかチェックする。
【0090】
480b:初期チェックサムと連続チェックサムとが(すなわちそれらを変換したものが)一致すると、ユーザ205には、パブリック・デバイス215が認証されたこと、並びにパブリック・デバイス215の使用を続けてたぶん安全であること、典型例では、通信ネットワーク222を介してサーバ225により提供されるサービスを使用してもたぶん安全であることが知らされる。
【0091】
485b:ユーザ205が、変換された初期チェックサムと変換された連続チェックサムとが一致しないことを検出すると、ユーザ205には、パブリック・デバイス215は認証されていないこと、並びにパブリック・デバイス215の使用を続けることは愚かであるという警告が発せられる。
【0092】
初期部分と同様のオプションが適用される。
【0093】
この実施例においては、外部チェックサム、すなわちパブリック・デバイス215からパーソナル・デバイス210に送られる初期および連続チェックサムは、ユーザフレンドリ・フォーマットに変換するのに必要な時間のみパーソナル・デバイス210に保持され、デバイスには貯蔵されないことが好ましいことに留意されたい。すなわち、一旦レンダリング(rendering)が行われたら、ユーザフレンドリ表現フォーマットの全てのデータは、パーソナル・デバイス210の内部メモリから即座に消去される。ユーザのメモリは、初期の認証に続いて、次の認証において、ユーザによって選択されたユーザフレンドリ・フォーマットへの変換の補助のために使用される。これにより、誰かがデバイスを入手するか、またはウイルスすなわちトロ−ジャン(Trojan)を植え付けてチェックサムに権限なくアクセスするリスクを低減するので、セッキュリティを高めることができる。
【0094】
このようにする代わりに、送られてきた連続チェックサムおよび/または送られ変換された連続チェックサムを、パーソナル・デバイス210により前に記憶された(ステップ435)初期チェックサムと比較しても良い。この代わりの実施例が図4cに示され、ステップ465b,470bおよび485bが次のステップで置換される。
【0095】
465c: パーソナル・デバイス210が、送られ変換された連続チェックサムと、前に記憶した(ステップ435)初期チェックサムと比較する。
【0096】
470c: T−>U: 送られてきた連続チェックサムが、記憶された初期チェックサムと一致すると、ユーザには、“OKメッセージ”により、パブリック・デバイス215が認証されたことが示される。送られてきた連続チェックサムが、記憶された初期チェックサムと一致しないと、ユーザには、“警告メッセージ”により、パブリック・デバイス215は認証されていないことが示される。
【0097】
パーソナル・デバイス210は、複数の前に認証したアントラステッド・デバイス215に対応する複数の異なる初期チェックサムを記憶できる。チェックサムのデータベースは、リトリーバルを容易にするため、各パブリック・デバイス215のアイデンティファイアによってインデックスされることが好ましい。ステップ465において、パーソナル・デバイス210は、メモリ/データベース295に記憶された複数の初期チェックサムと比較する。現在送られてきたチェックサムが、記憶されたもののどれとも一致しないと、ユーザには、接触中のパブリック・デバイスは、新しくまだ認証されていないか、または信頼できるものではないという警告が発せられる。この実施例は、検証が、パーソナル・デバイス210によって自動化され制御され、ユーザ205はパーソナル・デバイス210によって警告が発せられるまで関与する必要がないという魅力的なソリューションを提供する。セキュリティが高まるかは、パーソナル・デバイスが信頼できるかに依存する。偽パーソナル・デバイスは、例えば、警告を発生することはできない。この実施例は、パーソナル・デバイスの認証にデバイス・コンフィギュレーション検証を使用する(305−335)ので、新たな外部チェックサムと記憶されたチェックサムと比較が外部から干渉されることはない(改ざんされることはない)ことをユーザに保証できる。
【0098】
本発明の別の実施例においては、複数のチェックサムを記憶し、チェックサムを変換/記憶する上記2つの代替実施例の構成要素が、便利でかつセキュア認証を行うように組み合わされる。複数のパブリック・デバイス215が認証されるべきときには、各デバイスが特有のチェックサムを発生し、ユーザ自身によって比較が行われる。このことは、ユーザが複数の歌/絵/テキストを記憶する必要があることを意味する。これは、本発明のセキュリティに何かを付加するものであるが、ユーザにとって少し不便でもある。しかしながら、後述するように、セキュリティと便利さとのトレードオフが可能である。説明を簡単にするために、変換モジュール270−285への全ての入力は、kビットの大きさであると仮定する。当業者は、kを異なる値でできることは理解できるであろう。“アイデンティティ”jを有するパブリック・デバイス215が、チェックサムc(j),j=1,2,...を発生し、cは、ユーザが選択した好ましい出力/表現されるべきイメージ/歌/テキスト等に対応するkビット値である。すなわち、cは、選択されたモジュール(図2bの270,275,280または285)によって変換されたときに、特定のユーザ好みのイメージ/歌/テキストを発生するkビット値である。全てのデバイス215に対して唯一のcというのもあるが、パブリック・デバイス215の各タイプに一つ(例えば、ATMに独特のあるc、自動販売機に独特のあるc等)というのもあり得る。最後に、好ましくはユーザおよび/またはユーザのパーソナル・トラステッド・デバイス210にのみに知られる秘密sがある。
【0099】
本実施例によれば、チェックサムを記憶するステップ425は、次のように変更/拡張される。
【0100】
425d:パブリック・デバイスjに向けて送られてきたチェックサムc(j)とともに、またはこれの代わりに、y(j)=Encr(s,c(j)XORc)、すなわち、秘密sによって暗号化されたc(j)XORcが暗号化表現として記憶される。
【0101】
そして、ユーザ・フレンドリ・フォーマットに変換するステップであるステップ465bは、次のように変更される。
【0102】
465d:連続的チェックサムc(j)の変換は、c(j)に基づくのではなく、c(j)XOR Decr(s,y(j))(すなわち、鍵sを使用したy(j)の解読)に基づいて行われる。変換への入力として、c(j)に関係なく、同じ値cが発生することは容易にわかるであろう。
【0103】
従って、ユーザは、一つの値c(または、デバイス各タイプにつき一つの値c)を記憶するだけでよく、ユーザ205の自分の記憶による認証を容易にできる。鍵sが十分に保護されて(例えばユーザのPINによって)いれば、値c(j)XORcは暗号化された形で記憶されるので、これらは、パーソナル・デバイス210が無くなるあるいは盗まれても、安全に保たれる。デバイス210それ自体で十分な保護(例えば、物理的な)が提供できれば、暗号化/解読化を省略できることに留意されたい。さらに、XOR演算のほかに他の演算も使用できる。例えば、記憶される値は、
y'(j)=Encr(s,(c(j)+c)modM)
の形にすることができ、比較の時には、
(c(j)-Decr(s,y'(j))modM
とすることができる。ここで、Mは、kビット(またはそれより大きい)整数である。一般に、Encr(s,f(c,c(j)))を記憶でき、変換のときには、g(Decr(s,y(j)),c(j))を使用する。gは、各cにつきg(f(c,c(j)),c(j))=cの意味でfの“逆数”である。
【0104】
オプションとして、465dは、パーソナル・デバイス210が解読化/変換を行う前にまずc(j)と比較することを付加することができる。
【0105】
セキュリティをさらに高めるために、パーソナル・デバイス210中において、デバイス・コンフィギュレーション検証(305−335)を自動的にトリガーするステップを、例えば、開始ステップ445に関連付けて追加することができる。従って、ユーザ205は、例えば、パブリック・デバイス215を使用して潜在的にセンシティブな取引を始める前に、パーソナル・デバイス210が信用できるものであるという自動確認を得ることになる。上述したように、パブリック・デバイス215の各認証、さらに信頼されたパーソナル・デバイス210からの鍵材料を受け入れても、同様の効果を得ることができる。
【0106】
パブリック・デバイス215の自動検証の別の方法は、ステップ445におけるパーソナル・デバイス210とパブリック・デバイス215との間の接続を確立する間、例えば、パブリックおよびプライベート・キーを使用する、暗号アイデンティフィケーションを含む。典型例においては、両デバイスは、前に、トラステッド・サプライアから証明書の提供を受けている。また、この場合、パーソナル・デバイスが信頼されるべきものであることがユーザにとって最も重要である。
【0107】
以上、ユーザがパブリック・デバイス215またはパブリック・システム216に直接コンタクトし、これらのデバイスが、例えば、現金を引き出すためにATMを使用する次の動作に直接使用されるというシナリオに基づいて、本発明を例示して説明した。本発明の方法および装置は、この使用に限定されるわけではなく、パーソナル・デバイス215がより高いセキュリティの利益を享受できるさらなる動作にアクティブに使用されるアプリケーションにも使用できる。このようなアプリケーションは、例えば、パーソナル・デバイス210が音声またはデータ通信をセットアップするために無線アクセス・ネットワークをアクセスする携帯電話であることを含む。UMTSにおいては、携帯電話とアクセス・ネットワークは、互いに認証し合う。このシナリオでは、本発明により、携帯電話と無線アクセス・ネットワークが真正であることがユーザに保証され、通知なくシステムが“ハイジャック”されるリスクが効果的に低減される。
【0108】
[実現例]
本発明は、ランダム・バイナリ・ストリング(チェックサム)を人間が容易に認識できるデータに変換する方法が必要である。これは、いくつかの方法で実現でき、以下、簡単な理論的背景、続いて代替可能な実現例を説明する。当業者には、理解できるように、バイナリ・ストリングをユーザ・フレンドリ・データに変換する他のフレームワーク、上記理論の他の実際例を、本発明に関連付けて使用できる。
【0109】
本方法は、コンピュータ・サイエンスに精通した者には、直観的に“逆ハッシュ(inverse hashing)”を思い浮かべるであろう。ハッシュの目的は、長い、非均一に分布されている可能性があるストリングを、短いがより均一に分布されたストリングに変換することである。従って、比較的短いランダム・ストリングが、より長い非ランダム表現に変換され得る。生成されたストリング/表現は、同じ長さの全てのストリングのセットの中では非ランダムであるが、情報のエントロピー(伝達効率)/量は、元の短いストリングと均等にできることが論証されている。
【0110】
可能な方法を正式に説明する。N={1,2,....}が自然数を示すものとする。アルファベットΣは、基数(cardinality)bのシンボルのセットとする。n∈Nとし、Σnは、Σにわたる長さnの全てのストリングからなるものとする。従って、Σnの基数は、bnである。(典型例においては、Σは、{0,1}であり、従って、Σnは、長さnの全てのバイナリ・ストリングのセットである)。m(n)≧j(n)≧k(n)が、k(n)≧nとする整数値関数(integer valued function)であり、S1,S2,...,Sm(n)は、セットとする(Sjは、人間が認識できるアイテム、例えば英語の言葉、絵、音等を含むものとする)。次のマッピングを行う符号関数が存在する。:
Cn:Σn→Sr1×Sr2×...×Srk(n)
冗長関数は、次の式で示される。:
ρn:Sr1×...×Srk(n), →St1×...×Stj(n)
ここで、t=(t1,t2,...,tj(n))である。ここで、ti∈Nであり、t1<t2<...<tj(n)≧m(n)である。ここで、ρnは、好ましくは、t∈{r1,r2,...,rk(n)}としたときの各Stについての恒等関数(identity function)である。従って、リスト/ベクトルrは、ρnを唯一決定する。換言すれば、逆数ρn-1は、投影である。直観的に述べると、cnは、バイナリ・ストリングを“ユーザ・フレンドリ”データ・アイテムのk(n)組に変換し、ρnは、特定の場所に追加のユーザ・フレンドリ・データを“挿入”する。関数cn,ρnは、もちろん効率的に計算可能でなければならない。いくつかの例を後述する。確率
Pr[ρn(cn(x1))=ρn(cn(x2))]
(ランダムx1≠x2としたときの確率)は、高いセキュリティにおいては小さくなくてはならない。すなわち、2つのチェックサムが同じ人間読み取り可能データを生成することがあってならない。ρnは、冗長関数であり、cnの出力にアイデンティティ・マッピングをしていると仮定しているので、確率は、次の値より大きくできない。:
Pr[cn(x1)=cn(x2)]
この場合、cnの選択のみが、セキュリティ上、重要である。ランダム特性に対する強い要求がある場合には、セキュリティを実際に保証するために、cnとρnとの間に次の関係が課せられる。:
ρn(cn(x1))=ρn(cn(x2)) ⇒ x1=x2
(すなわち、ρnの範囲に限って、cnは1対1の関数である。これについては、さらに後述する)しかし、上述のように、確率x1=x2が十分に小さければ、10億中1あたりで実際上十分である。この最後の特性は、(Σにわたって全ての入力ストリングが可能とすると)セットのサイズに対して次の条件を意味する:Πisize(Si)≧bn,ここで、あるjに対してi=rjとなるようなiのセットにわたって積が取られる。セット{Sj}および関数cnに対する他の唯一の制限(これは、絶対的数学条件で表現することが難しい)は、Σnからランダムにxを選択するときに、イメージcn(x)が人間に“覚えることが容易”ということである。
【0111】
このスキームの実際的使用のアイディアは、次の通りである。ランダムなnビットのストリングxが、例えば、デバイス中のハードウェアのチェックサムとして生成される。この値にρn(cn(x))が適用され、ユーザに“示される”。ユーザは、この出力を承認するか否かに応じて受け入れるか拒絶する。
【0112】
所与のnに対して、{Σ,cn,t,m(n),k(n),Sr1,Sr2,...,Srk(n)}によって、符号スキームが決まる。同じアルファベットに対して異なる入力長nが必要ならば、次のような符号化ファミリーを定義できる。:
Σ,m(n),k(n),{cn,t,Sr1,Sr2,...,Sr2(n)}n≧1
これにより、一つの可能な符号スキームの正式な説明を終了する。
【0113】
[観察]
離散的セット{x1,x2,...,xn}についての確率分布Dに対して、次のようにエントロピーを定義する。:
H(X)=−Σilog2(PrD[X=xi])・(PrD[X=xi])
すなわち、Dによりランダムに選択された要素を示すのに必要な(バイナリ)ビットの期待数である。任意の関数fに対して、fが1対1であるときのみ、H(f(X))≦H(X)が対等に成立することは周知である。このことは、符号化関数cnが、それを1対1にすることにより、元のランダム・ソースのエントロピーを維持できることを示す。(1対1符号化が実際に好ましくない場合がある。下記コメント参照)。
【0114】
冗長関数の目的は、生成される出力の“見かけ”を改善することにある。例えば、バイナリ・ストリングが英語文に変換される場合、符号化には重要ではないが読み易さを高めるために、余分な語(例えば、前置詞)を導入するのが有益である。このような冗長の例は、以下に述べる。ユニークなプリメージュ(preimage)が望まれるときでさえ、上述のように非冗長部分に限定すれば、符号化がユニークなことだけが必要である。
【0115】
ある場合には、符号化を1対1にしない方が有益なことがある。例えば、チェックサムが160ビット・ハッシュ値であるチェックサム・シナリオを考える。これを英語に変換する一つの可能な方法は、各バイトを英語の単語の発言と解釈する方法である。これによると、出力は、長さにして20(英語)単語程度になる。この文の全体の長さは、覚えるのが困難であり、会話が行われる前に、ハッシュ値のある部分を無視してセキュリティにつて僅かに妥協するのが良い。このような場合、2ステップの検証を行うと良い。すなわち、チェックサム(変換された暗号化されていない英語)が正しくないのではとユーザが疑った場合、実際の全体のチェックサムの第2マニュアル・コントロールを行うことができる。このようにして比較するテキストは、非常に長いが、160ビットのランダム・バイナリ・ストリングを比較するよりは、約20単語の英語文を人間が読んで比較する方が非常に容易である。
【0116】
長いリアリスティックな例をマニュアルで発生することは問題があるため、上記例は単純である。しかしながら、上記例は、当業者に対する例示としては十分である。
【0117】
[パスフレーズ発生]
例1:
完全な2デジットPINコードに等しいセキュリティが必要とされる場合を考える。従って、n=2で、アルファベットが、Σ={0,1,...9}で、b=10である。これが、3つの単語の英文、すなわちj(n)=3に変換されなければならない。各i,i=1,2,3について、Siは、英単語のセットであり、ここで、S2およびS3は次の通りである。
【0118】
【表1】
【0119】
コーディングc2は、単純である。2デジット入力x=x1x2に対して、c2(x1x2)は、単純に、S2からx1番目の単語、S3からx2番目の単語である。“読取可能度”を改善するために、首位には常に“the”が付加される。すなわち、S1={the}である。従って、冗長関数は、t=(1,2,3)およびρ2,t(w2w3)=“the”w2w3である。
【0120】
入力されたPINコード/チェックサムが“71”(ランダムに発生)とする。第1列の7番目の単語“apple”、第2列の1番目の単語“sails”を選ぶと、“apple sails”が得られる。首位“the”を付加すると、出力は、“the apple sails”となる。例えば、3単語シーケンス“the dog jumps”を対応符号に逆変換すると、冗長により、“the”が消去される。残りに2つの単語は、逆テーブル・ルックアップで10進デジットに逆変換され、“dog”−>1,“jumps”−>4、すなわちPINコードは“14”となる。この符号(またはその関数)は、内部データベースに記憶されたある値と比較され、許容/拒絶の決定がなされる。“the car stops”のような無効(不存在符号)は、もちろん容易に検出できる。作り出された文のエントロピー(entropy)は、明らかに、2デジット10進数に等しい。
【0121】
発生されたストリングが真にランダムであれば、上記テーブル(符号関数)に知識は、敵が正しいパスワードを想像する助けを与えるものではない。
【0122】
例2:
上述のチェックサムまたはPINコードをコンピュータ・スクリーン上のグラフィカル・オブジェクトに変換するグラフィカル・コーディングについて簡単に説明する。例えば、第1および第2デジットは、オブジェクトが描かれるスクリーン上の10対10グリッド中の(x,y)グリッド点と解釈できる。PINコードに逆変換すれば、オブジェクトは、コンピュータのマウスを使用してドラッグすることにより、スクリーン上に配置される。このようにする代わりに、PINコードの第1デジットでオブジェクトのタイプを特定し、第2デジットでスクリーン上の位置を指定するようにもできる。多くの可能性がある。例えば、オブジェクトの色を変化させるカラー・グラフィクスも使用できる。例えば、回転のような他のグラフィカル変形も可能である。
【0123】
例3:
前述したように、コンピュータ・プログラムが認証のためにチェックされる場合について検討する。実際のプログラム符号pの160ビット・ハッシュ値(またはチェックサムの他の手段)が計算されてh(p)が得られるものとする。このh(p)は、次のように英語に変換される。10個のテーブルS1,...S10が有り、各テーブルが(最大)256英単語からなる。h(p)の各第2の8ビット・ブロックが一つのテーブルをインデックスし、2i番目の8ビット・ブロックh(p)2iがテーブルSiをインデックスし、テーブルSiから単語h(p)2imod|Si|を選択する。ここで、|Si|は、Si,i=1,...,10中の単語の数である。(従って、ハッシュの各第2の8ビット・ブロックh(p)2i+1が無視される。)これにより、10単語英語文が作られる。最後に、読取可能度を高めるために、冗長が付加される。
【0124】
例4:
これまで説明した全ての例に共通する分母は、入力ランダム・ストリングが部分に分割され、各部分が、“テーブル”または同様のものをインデックスするのに独立に使用されることである。このように構成されたフレーズは、完全に意味が有り英語の文とみなされるが、上記独立使用のため、すごく自然な英文とはいえない。事実、自然言語においては、次の単語が、前の単語に関係ないということは少ない。このような現象の研究は、既に、シー・イー・シャノン(C.E.Shannon)によって行われており、[Shannon]を参照されたい。例えば、上記例1において、文“the woman swims”は、“the apple forgets”より非常に自然である。しかし、両者は文法上完全に正しい。
【0125】
一般に、確率過程は、離散的な時間X1,X2,...においてシュミレートされる。Xi=sの確率は、次に示すように前に観察した結果に依存し、
Pr[Xi=s|Xi-1=si-1,Xi-2=si-2,...,X1=s1]
一般に、sおよびiの項のみで表現できない。特に魅力的なケースは、マルコフ・プロセス(Markov process)を有する場合で、Xiの結果がXi-1にのみ依存する次の場合である:
Pr[Xi=si|Xi-1=si-1,Xi-2=si-2,...,X1=s1]
=Pr[Xi=si|Xi-1=si-1]
しかしながら、この例は、完全に一般性を有する。
【0126】
検証したい装置またはプログラムpのチェックサムh(p)が入力として与えられたとする。一般性を損なうことなく、h(p)は、長さnの2進値とする。望ましい出力は、長さk(n)で(例えば、k(n)個の単語の英文)、k(n)個のテーブル{Si}を有し、Siは、|Si|のエントリを有する。テーブル値は、次にように仮定する。:
p(i,si,s)=Pr[Xi=si|Xi-1=si-1,Xi-2=si-2,...,X1=s1]
ここで、各i=1,...k(n)、および各si,sについて、s=(si-1,si-2,....s1)である。(これらの値は、“オン・ザ・フライ(on the fly)”で効率的に計算することもできる)nは、十分大きいものとする。このことが何を意味し何故必要なのかを次に説明する。
【0127】
h(p)を、自然な態様で、h(p)1,...h(p)k(n)に分割する。(従って、n≧k(n)であり、一般に、各h(p)iの長さは、事前に決定しておく必要はなく、h(p)iの長さは、h(p)1,..h(p)i-1に依存する。)h(p)1,..h(p)i-1は、既に出力s1,..,si-1(例えば、英単語)に変換されたものとし、次にどのようにしてsiを計算するか?s=(si-1,si-2,...s1)であることが知られている。何故なら、これは既に計算され、仮定として、sが与えられると、各可能な選択sj∈Siについて、次のことが知られているからである。:
pi,s(sj)=p(i,sj,s)
=Pr[Xi=sj|Xi-1=si-1,Xi-2=si-2,...,X1=s1]
さらに、h(p)iの長さ(ビット数)がmで示され、mは少なくとも次の条件を満たすものとする。
【0128】
【数1】
ここで、εは、セキュリティ・パラメータであり、その決定は延期される。t(0)=0およびt(j)=t(j-1)+pi,s(sj)と定め、ここで、j=1,2,...,|Si|とすると、t(|Si|)=1である。最後に、2進ストリングh(p)iを自然な態様の整数と解釈し、次の値を計算する。:
Ti=2-m・h(p)i (ただし、Ti∈[0,1])
sj∈Siは、Ti∈[t(j-1),t(j)]に対するjによって決定され、出力される。sjが計算された後、sj+1が計算されるというように計算が続く。
【0129】
スキームが解析されれば、Tiが[0,1]中に完全に均一に分散された場合、各sj∈Siは、確率t(j)-t(j-1)=pi,s(sj)(これは正しい確率である)により選択される。これは完全に正しくないかもしれない。しかしながら、h(p)iが[0,2m-1]内で均一に分散するものと仮定すると、h(p)iの長さ、すなわちmの小さい範囲では、Xi-1,Xi-2,...,X1が与えられているとして、各sjは、Xiの真の分散のε内の確率で選択されるとみることができる。パラメータεは、セキュリティ要件に従って選択される。h(p)のストリングの必要な長さ、すなわちnは、計算でき、必要な条件は、次のように示され、
n=Σilength(h(p)i)
≧k(n)・log2ε-1+Σimaxjlog2pi,s(sj)-1
qを次のように定義すると、
q=mini,jlog2pi,s(sj)
nは次のように表現でき
n≧k(n)・(log2ε-1+q-1)
これで十分である。実際には、h(p)は、160ビット・ハッシュ値で、上記不等式を満たさない。そうであっても、h(p)は、擬似乱数発生器gの入力種として使用でき、代わりに、g(h(p))を使用できる。元の長さの多項式伸長係数は、セキュアな態様で得ることができることは周知である。
【0130】
本発明を、現在最も実用的で好ましい実施例に関連付けて説明したが、本発明は、上述の実施例に限定されるものではなく、反対に、添付の特許請求の範囲およびその精神に含まれる種々の変形および均等な構成を含むものである。
【図面の簡単な説明】
【0131】
【図1】従来技術による概略メッセージ・フロー・スキームである。
【図2a】本発明が使用されるシナリオの概略図である。
【図2b】本発明によるトラステッド・パーソナル・デバイスの概略図である。
【図2c】本発明によるパブリック・デバイスの概略図である。
【図3】本発明の方法の第一実施例のフロー・チャートを示す。
【図4a】本発明の実施例の初期部分の概略メッセージ・フロー・スキームである。
【図4b】上記方法の連続部分の概略メッセージ・フロー・スキームである。
【図4c】本発明の別の実施例による連続部分のメッセージ・フロー・スキームである。
【特許請求の範囲】
【請求項1】
ユーザに対して少なくとも第1デバイス(210)を認証する方法であり、前記第1デバイス内で発生されたチェックサムを、ユーザフレンドリな出力フォーマットに変換することを含む方法であって、
セットアップ・シーケンス(305−310)と、
デバイス・コンフィギュレーション検証シーケンス(315−335)と
を含み、
前記セットアップ・シーケンスが、
少なくとも2つのユーザフレンドリな出力フォーマットから選択された少なくとも第1の好みの出力フォーマットを受け取り記憶するステップ(305)を含み、
前記デバイス・コンフィギュレーション検証シーケンスが、
前記チェックサム計算するステップ(320)と、
前記チェックサムをユーザフレンドリな出力フォーマットに変換するステップであって、前記変換が前記選択された好みの出力フォーマットに少なくとも部分的に基づくステップ(325−330)と
を含むことを特徴とする方法。
【請求項2】
少なくとも前記第1の好みの出力フォーマットが前記ユーザによって前記第1デバイス(210)に入力されることを特徴とする請求項1に記載の方法。
【請求項3】
前記ユーザフレンドリな出力フォーマットに変換することが、前記第1デバイス(210)の現在のコンフィギュレーションにさらに基づくことを特徴とする請求項2に記載の方法。
【請求項4】
少なくとも第1および第2の好みの出力フォーマットが前記ユーザにより選択されて前記第1デバイスにより受け取られ且つ記憶され、前記第1デバイス(210)が第1コンフィギュレーションであるときに、第1の好みの出力フォーマットが使用され、前記第1デバイス(210)が第2コンフィギュレーションであるときに、第2の好みの出力フォーマットが使用されることを特徴とする請求項2または3に記載の方法。
【請求項5】
前記チェックサムが前記第1デバイス内の複数の鍵材料に基づいて計算され、前記鍵材料の選択は変更可能で選択可能であることを特徴とする請求項1乃至4のいずれか一項に記載の方法。
【請求項6】
前記ユーザフレンドリな出力フォーマットに変換することが、イメージ、音またはテキストのうちの一つまたは組み合わせに変換することを含むことを特徴とする請求項1乃至5のいずれか一項に記載の方法。
【請求項7】
前記第1デバイス(210)内で実行される前記セットアップ・シーケンス(305−310)が、
少なくとも一つの好みの出力フォーマットを受け取り且つ記憶するステップ(305)と、
前記チャックサム計算中に含まれるべき前記鍵材料の仕様を受け取り且つ記憶するステップ(310)と
を含み、
前記第1デバイス(210)内で実行される前記デバイス・コンフィギュレーション検証シーケンス(315−335)が、
前記パーソナル・デバイス(210)内に設けられた少なくとも一つのアイデンティフィケーション・モジュール(240−255)から前記選択された鍵材料を抽出するステップ(315)と、
前記鍵材料に基づいてチェックサムを計算するステップ(320)と、
どのユーザフレンドリな出力フォーマットを使用するか決定するステップであって、前記決定が前記好みの出力フォーマットに少なくとも部分的に基づくステップ(325)と、
前記チェックサムを前記選択されたユーザフレンドリな出力フォーマットに変換するステップ(330)と
を含むことを特徴とする請求項5または6に記載の方法。
【請求項8】
前記第1デバイスの動作の間、前記コンフィギュレーション検証部分(315−335)が繰り返されることを特徴とする請求項7に記載の方法。
【請求項9】
前記コンフィギュレーション検証部分(315−335)が手動でアクティベートされ得ることを特徴とする請求項7に記載の方法。
【請求項10】
前記セットアップ・シーケンス(305−310)が手動でアクティベートされ得ることを特徴とする請求項8または9に記載の方法。
【請求項11】
前記第1デバイス(210)が、前記セットアップ・シーケンス(305−310)および前記デバイス・コンフィギュレーションシーケンス(315−335)を少なくとも一回実行し、これにより認証され、前記第1デバイス(210)が第2デバイス(215)の認証に使用されることを特徴とする請求項1乃至10のいずれか一項に記載の方法。
【請求項12】
前記第2デバイス(210)から前記第1デバイス(215)に送られる外部チェックサムを受け取るステップ(420,455)と、
前記送られてきた外部チェックサムをユーザフレンドリな出力フォーマットに前記第1デバイス(210)中で変換するステップ(425,465b)と
をさらに含むことを特徴とする請求項11に記載の方法。
【請求項13】
前記ユーザフレンドリな出力フォーマットが予め選択されていることを特徴とする請求項12に記載の方法。
【請求項14】
前記第1デバイスと前記第2デバイスとの間の初期エンカウンタにおいて実行されるべき、前記方法の初期部分が、
前記第2デバイス(210)から送られる初期チェックサムを受け取るステップ(420)と、
前記送られてきた初期チェックサムをユーザフレンドリな出力フォーマットに前記第1デバイス(210)中で変換するステップ(425)と
を含み、
前記第1デバイスと前記第2デバイスとの間の連続エンカウンタにおいて実行されるべき、前記方法の連続部分が、
前記第2デバイス(210)から送られる連続チェックサムを受け取るステップ(455)と、
前記送られてきた連続チェックサムをユーザフレンドリな出力フォーマットに前記第1デバイス(210)中で変換するステップ(465b)と
を含むことを特徴とする請求項12または13に記載の方法。
【請求項15】
前記第1デバイスと前記第2デバイスとの間の初期エンカウンタにおいて実行されるべき、前記方法の初期部分が、
前記第2デバイス(210)から送られる初期チェックサムを受け取るステップ(420)と、
前記送られてきた初期チェックサムの表現を前記第1デバイス(210)中で記憶するステップ(425)と
を含み、
前記第1デバイスと前記第2デバイスとの間の連続エンカウンタにおいて実行されるべき、前記方法の連続部分が、
前記第2デバイス(210)から送られる連続チェックサムを受け取るステップ(455)と、
前記初期チェックサムと前記連続チェックサムとを前記第1デバイス中で比較し(465c)、前記初期チェックサムと前記連続チェックサムとが一致しないときに、警報メッセージを発するステップ(470)と
を含む
ことを特徴とする請求項11に記載の方法。
【請求項16】
複数の異なる第2デバイスに対応する複数の初期チェックサムの表現が前記第1デバイスに記憶され、前記複数の第2デバイスとの連続エンカウンタにおいて、前記比較ステップが、
前記送られてきた連続チェックサムを前記複数の記憶された初期チェックサムと比較するステップ(465c)と、
前記送られてきた連続チェックサムが、前記記憶された初期チェックサムのいずれとも一致しないときに、警報メッセージを発するステップ(470c)と
を含む
ことを特徴とする請求項15に記載の方法。
【請求項17】
前記送られてきた初期チェックサムの前記表現は、前記送られてきた初期チェックサムの暗号変換により得られることを特徴とする請求項12または13に記載の方法。
【請求項18】
前記第1デバイスと前記第2デバイスとの間の初期エンカウンタにおいて実行されるべき、前記方法の初期部分が、
前記第2デバイス(210)から送られる初期チェックサムを受け取るステップ(420)と、
前記送られてきた初期チェックサムおよびデバイスのセットの値を含む表現を記憶するステップ(425d)と
を含み、
前記第1デバイスと前記第2デバイスとの間の連続エンカウンタにおいて実行されるべき、前記方法の連続部分が、
前記第2デバイス(210)から送られる連続チェックサムを受け取るステップ(455)と、
前記送られてきた初期チェックサムおよびデバイスのセットの値を含む前記記憶された表現と、前記連続チェックサムとに基づく値を前記第1デバイス中で抽出し、前記値をユーザフレンドリな出力フォーマットに変換するステップ(465d)と
を含む
ことを特徴とする請求項11に記載の方法。
【請求項19】
前記表現を形成し、初期チェックサムとデバイスのセットを示す値との少なくともいずれかを抽出するために、XOR演算を使用することを特徴とする請求項18に記載の方法。
【請求項20】
前記表現が暗号変換により得られることを特徴とする請求項18または19に記載の方法。
【請求項21】
複数のマン−マシン通信インターフェースが設けられ、他のデバイスと通信できるようになっているパーソナル・デバイス(210)であり、鍵材料を提供するようになっている複数のアイデンティフィケーション・モジュール(240−255)と、前記鍵材料に基づいてチェックサムを計算する手段(260)と、チェックサムをユーザフレンドリな出力フォーマットに変換する手段(270−285)とを含む前記パーソナル通信デバイスであって、
少なくとも一つの好みの出力フォーマットのユーザ選択を受信し記憶するようになっているユーザ好み仕様手段(265)を具備し、
前記ユーザ好み仕様手段(265)が、前記チェックサム計算手段(260)と、少なくとも一つの変換手段(270−285)とに接続されていることを特徴とするパーソナル・デバイス。
【請求項22】
前記好み仕様手段(265)が、さらに、鍵材料のユーザ選択を受信し記憶するようになっていることを特徴とする請求項21に記載のパーソナル・デバイス。
【請求項23】
第2デバイス(215)から外部チェックサムを受信するようになっている受信手段(290)と、
受信し記憶した外部チェックサムを比較するようになっている比較手段(292)と、
複数の外部チェックサムを記憶するようになっている記憶手段(290)と
をさらに具備することを特徴とする請求項21または22に記載のパーソナル・デバイス。
【請求項24】
前記ユーザ好みモジュール(265)に接続され、第2デバイス(215)から外部チェックサムを受信し、前記変換手段(270−285)の一つの中でのさらなる変換のために、前記外部チェックサムを前記ユーザ好みモジュール(265)に送る受信手段(290)をさらに具備することを特徴とする請求項21または22に記載のパーソナル・デバイス。
【請求項25】
パーソナル・デバイスと通信できるようになっているパブリック・デバイス(215)であり、パーソナル・デバイスまたはユーザから符号を受信する入力手段(218)が設けられるパブリック・デバイスであって、
前記符号受信手段(218)および通信手段(220)に接続されたチェックサム計算手段(219)を具備し、
前記チェックサム計算手段(219)が、受信した符号および内部でリトリーブした鍵材料に基づいてチェックサムを計算するようになっており、
前記通信手段(220)が、前記チェックサムを前記パーソナル・デバイス(210)に送るようになっており、
これにより、前記パーソナル・デバイス(210)を使用して前記パブリック・デバイス(215)の認証を容易に行えることを特徴とするパブリック・デバイス。
【請求項26】
前記チェックサム計算手段(219)に接続され、前記チェックサム計算手段(219)に鍵材料を提供するようになっているアイデンティフィケーション手段(219)を
さらに具備することを特徴とする請求項25に記載のパブリック・デバイス。
【請求項1】
ユーザに対して少なくとも第1デバイス(210)を認証する方法であり、前記第1デバイス内で発生されたチェックサムを、ユーザフレンドリな出力フォーマットに変換することを含む方法であって、
セットアップ・シーケンス(305−310)と、
デバイス・コンフィギュレーション検証シーケンス(315−335)と
を含み、
前記セットアップ・シーケンスが、
少なくとも2つのユーザフレンドリな出力フォーマットから選択された少なくとも第1の好みの出力フォーマットを受け取り記憶するステップ(305)を含み、
前記デバイス・コンフィギュレーション検証シーケンスが、
前記チェックサム計算するステップ(320)と、
前記チェックサムをユーザフレンドリな出力フォーマットに変換するステップであって、前記変換が前記選択された好みの出力フォーマットに少なくとも部分的に基づくステップ(325−330)と
を含むことを特徴とする方法。
【請求項2】
少なくとも前記第1の好みの出力フォーマットが前記ユーザによって前記第1デバイス(210)に入力されることを特徴とする請求項1に記載の方法。
【請求項3】
前記ユーザフレンドリな出力フォーマットに変換することが、前記第1デバイス(210)の現在のコンフィギュレーションにさらに基づくことを特徴とする請求項2に記載の方法。
【請求項4】
少なくとも第1および第2の好みの出力フォーマットが前記ユーザにより選択されて前記第1デバイスにより受け取られ且つ記憶され、前記第1デバイス(210)が第1コンフィギュレーションであるときに、第1の好みの出力フォーマットが使用され、前記第1デバイス(210)が第2コンフィギュレーションであるときに、第2の好みの出力フォーマットが使用されることを特徴とする請求項2または3に記載の方法。
【請求項5】
前記チェックサムが前記第1デバイス内の複数の鍵材料に基づいて計算され、前記鍵材料の選択は変更可能で選択可能であることを特徴とする請求項1乃至4のいずれか一項に記載の方法。
【請求項6】
前記ユーザフレンドリな出力フォーマットに変換することが、イメージ、音またはテキストのうちの一つまたは組み合わせに変換することを含むことを特徴とする請求項1乃至5のいずれか一項に記載の方法。
【請求項7】
前記第1デバイス(210)内で実行される前記セットアップ・シーケンス(305−310)が、
少なくとも一つの好みの出力フォーマットを受け取り且つ記憶するステップ(305)と、
前記チャックサム計算中に含まれるべき前記鍵材料の仕様を受け取り且つ記憶するステップ(310)と
を含み、
前記第1デバイス(210)内で実行される前記デバイス・コンフィギュレーション検証シーケンス(315−335)が、
前記パーソナル・デバイス(210)内に設けられた少なくとも一つのアイデンティフィケーション・モジュール(240−255)から前記選択された鍵材料を抽出するステップ(315)と、
前記鍵材料に基づいてチェックサムを計算するステップ(320)と、
どのユーザフレンドリな出力フォーマットを使用するか決定するステップであって、前記決定が前記好みの出力フォーマットに少なくとも部分的に基づくステップ(325)と、
前記チェックサムを前記選択されたユーザフレンドリな出力フォーマットに変換するステップ(330)と
を含むことを特徴とする請求項5または6に記載の方法。
【請求項8】
前記第1デバイスの動作の間、前記コンフィギュレーション検証部分(315−335)が繰り返されることを特徴とする請求項7に記載の方法。
【請求項9】
前記コンフィギュレーション検証部分(315−335)が手動でアクティベートされ得ることを特徴とする請求項7に記載の方法。
【請求項10】
前記セットアップ・シーケンス(305−310)が手動でアクティベートされ得ることを特徴とする請求項8または9に記載の方法。
【請求項11】
前記第1デバイス(210)が、前記セットアップ・シーケンス(305−310)および前記デバイス・コンフィギュレーションシーケンス(315−335)を少なくとも一回実行し、これにより認証され、前記第1デバイス(210)が第2デバイス(215)の認証に使用されることを特徴とする請求項1乃至10のいずれか一項に記載の方法。
【請求項12】
前記第2デバイス(210)から前記第1デバイス(215)に送られる外部チェックサムを受け取るステップ(420,455)と、
前記送られてきた外部チェックサムをユーザフレンドリな出力フォーマットに前記第1デバイス(210)中で変換するステップ(425,465b)と
をさらに含むことを特徴とする請求項11に記載の方法。
【請求項13】
前記ユーザフレンドリな出力フォーマットが予め選択されていることを特徴とする請求項12に記載の方法。
【請求項14】
前記第1デバイスと前記第2デバイスとの間の初期エンカウンタにおいて実行されるべき、前記方法の初期部分が、
前記第2デバイス(210)から送られる初期チェックサムを受け取るステップ(420)と、
前記送られてきた初期チェックサムをユーザフレンドリな出力フォーマットに前記第1デバイス(210)中で変換するステップ(425)と
を含み、
前記第1デバイスと前記第2デバイスとの間の連続エンカウンタにおいて実行されるべき、前記方法の連続部分が、
前記第2デバイス(210)から送られる連続チェックサムを受け取るステップ(455)と、
前記送られてきた連続チェックサムをユーザフレンドリな出力フォーマットに前記第1デバイス(210)中で変換するステップ(465b)と
を含むことを特徴とする請求項12または13に記載の方法。
【請求項15】
前記第1デバイスと前記第2デバイスとの間の初期エンカウンタにおいて実行されるべき、前記方法の初期部分が、
前記第2デバイス(210)から送られる初期チェックサムを受け取るステップ(420)と、
前記送られてきた初期チェックサムの表現を前記第1デバイス(210)中で記憶するステップ(425)と
を含み、
前記第1デバイスと前記第2デバイスとの間の連続エンカウンタにおいて実行されるべき、前記方法の連続部分が、
前記第2デバイス(210)から送られる連続チェックサムを受け取るステップ(455)と、
前記初期チェックサムと前記連続チェックサムとを前記第1デバイス中で比較し(465c)、前記初期チェックサムと前記連続チェックサムとが一致しないときに、警報メッセージを発するステップ(470)と
を含む
ことを特徴とする請求項11に記載の方法。
【請求項16】
複数の異なる第2デバイスに対応する複数の初期チェックサムの表現が前記第1デバイスに記憶され、前記複数の第2デバイスとの連続エンカウンタにおいて、前記比較ステップが、
前記送られてきた連続チェックサムを前記複数の記憶された初期チェックサムと比較するステップ(465c)と、
前記送られてきた連続チェックサムが、前記記憶された初期チェックサムのいずれとも一致しないときに、警報メッセージを発するステップ(470c)と
を含む
ことを特徴とする請求項15に記載の方法。
【請求項17】
前記送られてきた初期チェックサムの前記表現は、前記送られてきた初期チェックサムの暗号変換により得られることを特徴とする請求項12または13に記載の方法。
【請求項18】
前記第1デバイスと前記第2デバイスとの間の初期エンカウンタにおいて実行されるべき、前記方法の初期部分が、
前記第2デバイス(210)から送られる初期チェックサムを受け取るステップ(420)と、
前記送られてきた初期チェックサムおよびデバイスのセットの値を含む表現を記憶するステップ(425d)と
を含み、
前記第1デバイスと前記第2デバイスとの間の連続エンカウンタにおいて実行されるべき、前記方法の連続部分が、
前記第2デバイス(210)から送られる連続チェックサムを受け取るステップ(455)と、
前記送られてきた初期チェックサムおよびデバイスのセットの値を含む前記記憶された表現と、前記連続チェックサムとに基づく値を前記第1デバイス中で抽出し、前記値をユーザフレンドリな出力フォーマットに変換するステップ(465d)と
を含む
ことを特徴とする請求項11に記載の方法。
【請求項19】
前記表現を形成し、初期チェックサムとデバイスのセットを示す値との少なくともいずれかを抽出するために、XOR演算を使用することを特徴とする請求項18に記載の方法。
【請求項20】
前記表現が暗号変換により得られることを特徴とする請求項18または19に記載の方法。
【請求項21】
複数のマン−マシン通信インターフェースが設けられ、他のデバイスと通信できるようになっているパーソナル・デバイス(210)であり、鍵材料を提供するようになっている複数のアイデンティフィケーション・モジュール(240−255)と、前記鍵材料に基づいてチェックサムを計算する手段(260)と、チェックサムをユーザフレンドリな出力フォーマットに変換する手段(270−285)とを含む前記パーソナル通信デバイスであって、
少なくとも一つの好みの出力フォーマットのユーザ選択を受信し記憶するようになっているユーザ好み仕様手段(265)を具備し、
前記ユーザ好み仕様手段(265)が、前記チェックサム計算手段(260)と、少なくとも一つの変換手段(270−285)とに接続されていることを特徴とするパーソナル・デバイス。
【請求項22】
前記好み仕様手段(265)が、さらに、鍵材料のユーザ選択を受信し記憶するようになっていることを特徴とする請求項21に記載のパーソナル・デバイス。
【請求項23】
第2デバイス(215)から外部チェックサムを受信するようになっている受信手段(290)と、
受信し記憶した外部チェックサムを比較するようになっている比較手段(292)と、
複数の外部チェックサムを記憶するようになっている記憶手段(290)と
をさらに具備することを特徴とする請求項21または22に記載のパーソナル・デバイス。
【請求項24】
前記ユーザ好みモジュール(265)に接続され、第2デバイス(215)から外部チェックサムを受信し、前記変換手段(270−285)の一つの中でのさらなる変換のために、前記外部チェックサムを前記ユーザ好みモジュール(265)に送る受信手段(290)をさらに具備することを特徴とする請求項21または22に記載のパーソナル・デバイス。
【請求項25】
パーソナル・デバイスと通信できるようになっているパブリック・デバイス(215)であり、パーソナル・デバイスまたはユーザから符号を受信する入力手段(218)が設けられるパブリック・デバイスであって、
前記符号受信手段(218)および通信手段(220)に接続されたチェックサム計算手段(219)を具備し、
前記チェックサム計算手段(219)が、受信した符号および内部でリトリーブした鍵材料に基づいてチェックサムを計算するようになっており、
前記通信手段(220)が、前記チェックサムを前記パーソナル・デバイス(210)に送るようになっており、
これにより、前記パーソナル・デバイス(210)を使用して前記パブリック・デバイス(215)の認証を容易に行えることを特徴とするパブリック・デバイス。
【請求項26】
前記チェックサム計算手段(219)に接続され、前記チェックサム計算手段(219)に鍵材料を提供するようになっているアイデンティフィケーション手段(219)を
さらに具備することを特徴とする請求項25に記載のパブリック・デバイス。
【図1】
【図2a】
【図2b】
【図2c】
【図3】
【図4a】
【図4b】
【図4c】
【図2a】
【図2b】
【図2c】
【図3】
【図4a】
【図4b】
【図4c】
【公表番号】特表2009−508389(P2009−508389A)
【公表日】平成21年2月26日(2009.2.26)
【国際特許分類】
【出願番号】特願2008−529943(P2008−529943)
【出願日】平成17年9月8日(2005.9.8)
【国際出願番号】PCT/SE2005/001308
【国際公開番号】WO2007/030043
【国際公開日】平成19年3月15日(2007.3.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成21年2月26日(2009.2.26)
【国際特許分類】
【出願日】平成17年9月8日(2005.9.8)
【国際出願番号】PCT/SE2005/001308
【国際公開番号】WO2007/030043
【国際公開日】平成19年3月15日(2007.3.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]