ユーザ認証
ユーザ認証のための、コンピュータプログラム製品を含む方法及び装置に関する。例えば、方法には、割当認証シンボルと一時認証シンボルとの間の動的なマッピングを生成する工程と、電子デバイス上に動的なマッピングを提示する工程と、1つ以上の一時認証シンボルを特定する選択信号を受信する工程とが含まれる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はユーザ認証に関する。
【背景技術】
【0002】
コンピュータベースサービスのオンラインユーザを認証するためのシステムは、「キーボード傍受(スニッフィング)」又は「スパイウェア」などの手法の使用により危険に曝される。これらの手法では、認証されたオンラインサービスにログオンするユーザのキーストローク(打鍵)がキャプチャされる(例えば、入力デバイスに取り付けられたハードウェア又はユーザのコンピュータに読み込まれたソフトウェアを用いて)。これに続いて、キャプチャされたキーストロークを用いて悪意のある攻撃者がユーザ本人になりすますことが可能であり、場合によっては、そのユーザの知識又はパーミッションなしで、そのユーザの識別情報を用いて情報にアクセスし、トランザクション(取引)を実行することが可能である。一部のシステムでは、ハードウェアトークン、即ち、「スマートカード(smart card)」により提供される「ワンタイム」パスワードを用いて、そうした手法の成功を減少させている。「ワンタイム」パスワードは、キャプチャされたとしても、潜在的な攻撃者には有用でない。
【発明を実施するための最良の形態】
【0003】
一態様は、割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成する工程と、電子デバイス上に動的な1対1マッピングを提示する工程と、1つ以上の一時認証シンボルを特定する選択信号を受信する工程とからなる方法である。
【0004】
他の実施例には、以下の特徴のうちの1つ以上が含まれ得る。割当認証シンボルは英数字に対応する。一時認証シンボルはキーボードのキーストロークに対応する。選択信号はキーボードからの信号を含む。動的な1対1マッピングは映像により提示される。映像は不明瞭なシンボルを含み得る。不明瞭なシンボルは不明瞭な文字及びCAPTCHAのうちの1つ以上を含み得る。この方法には、特定した一時認証シンボル、動的な1対1マッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程が含まれる。動的な1対1マッピングは疑似ランダムアルゴリズムにより生成される。この方法には、ログオンの試行後、動的な1対1マッピングを変更する工程が含まれる。動的な1対1マッピングは通信チャネルを通じて電子デバイスへ送信される。
【0005】
別の態様は、シンボルと電子デバイスのスクリーン座標のそれぞれのサブセットとの間の動的なマッピングを生成する工程と、スクリーン座標の1つ以上のサブセットを特定する選択信号を受信する工程とからなる方法である。少なくとも各ログオンの試行後、動的マッピングは変化する。
【0006】
他の実施例には、以下の特徴のうちの1つ以上が含まれ得る。シンボルは英数字に対応する。スクリーン座標のサブセットはオンスクリーンボタンに対応する。オンスクリーンボタンは複数のシンボルの標示されているボタンを含む。オンスクリーンボタンは同じシンボルの標示されている複数のボタンを含む。オンスクリーンボタンは10より多くのボタンを含む。選択信号はキーボードを回避する入力デバイスから受信される。入力デバイスはオンスクリーンポインタを制御し得る。入力デバイスはマウスを含み得る。この方法には、特定したスクリーン座標のサブセット、動的なマッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程が含まれる。動的なマッピングは疑似ランダムアルゴリズムにより生成される。動的なマッピングは通信チャネルを通じて電子デバイスへ送信される。
【0007】
別の態様は、割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成する工程と、電子デバイス上に映像により動的な空間マッピングを提示する工程と、1つ以上の一時認証シンボルを特定する選択信号を受信する工程とからなる方法である。
【0008】
他の実施例には、以下の特徴のうちの1つ以上が含まれ得る。動的な空間マッピングは割当認証位置に対応する映像内のそれぞれの位置において一時認証シンボルを位置特定する。映像は識別カードを表現する。割当認証位置は識別カードにおけるホールの位置に対応する。一時認証シンボルはキーボードのキーストロークに対応する。選択信号はキーボードからの信号を含む。この方法には、特定した一時認証シンボル、動的な空間マッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程が含まれる。動的な空間マッピングは疑似ランダムアルゴリズムにより生成される。この方法には、ログオンの試行後、動的な空間マッピングを変更する工程が含まれる。動的な空間マッピングは通信チャネルを通じて電子デバイスへ送信される。
【0009】
別の態様は、割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成するように構成されているサーバモジュールと、クライアントモジュールとからなるシステムである。クライアントモジュールは、電子デバイス上に動的な1対1マッピングを提示するように、かつ、1つ以上の一時認証シンボルを特定する選択信号を受信するように構成されている。
【0010】
別の態様は、シンボルと電子デバイスのスクリーン座標のそれぞれのサブセットとの間の動的なマッピングを生成するように構成されているサーバモジュールと、クライアントモジュールとからなるシステムである。クライアントモジュールは、スクリーン座標の1つ以上のサブセットを特定する選択信号を受信するように構成されている。
【0011】
別の態様は、割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成するように構成されているサーバモジュールと、クライアントモジュールとからなるシステムである。クライアントモジュールは、電子デバイス上に動的な空間マッピングを提示するように、かつ、1つ以上の一時認証シンボルを特定する選択信号を受信するように構成されている。
【0012】
別の態様は、コンピュータ可読プログラム部分を有する製品である。この製品には、上述の方法の任意の組み合わせをプロセッサに実行させる命令が含まれる。
【0013】
上述の態様のうちの1つ以上により、次の利点のうちの1つ以上が提供され得る。認証システムにより、オンラインサービスのユーザの高度な認証が手続される。この認証システムは、「キーボード入力キャプチャ」攻撃など一定の攻撃に対する脆弱性を減少させることにより、そうしたサービスのセキュリティを高める。スクリーン上に動的マッピングを提示することは、トークンにより動的マッピングを生成するよりも簡便であり得る。シンボルを不明瞭とすることにより、キャプチャしたスクリーン映像においてシンボルを自動的に認識することを困難とする。また、キーボードを回避する選択信号を受信することにより、キーボード入力キャプチャ攻撃の脆弱性を減少させる。
【0014】
本発明の他の特徴及び利点は、以下の記載や、特許請求の範囲から明らかとなる。
【0015】
図1Aを参照する。図1Aには、動的マッピング認証システム10を示す。動的マッピング認証システム10は、通信チャネル12を通じるサーバ30へのアクセス(例えば、ネットワーク14を通じる接続又はサーバ30へのポイントツーポイント接続)を有するコンピュータ端末20を備える。サーバ30は記憶部モジュール32を備える。記憶部モ
ジュール32は、サーバ30又はサーバ30を介してアクセス可能な別のシステムにより提供されるオンラインサービスにアクセスするためのパーミッションを有するユーザに関連付けられている、1つ以上のユーザ証明(例えば、ユーザ名及びパスワードを含む証明)を記憶する。このシステム10は、ユーザにオンラインサービスへのアクセスを許可する前に、記憶されているユーザ証明のうちの1つに基づきユーザの認証を提供する。
【0016】
システム10はコンピュータ端末20に読み込まれているクライアントプログラム18と、サーバ30に読み込まれているサーバプログラム34との間の対話により、ユーザの認証を提供する。システム10により認証されようとするユーザには、記憶部モジュール32にユーザ証明の一部として記憶されている認証シンボルの表現(例えば、ASCII文字列)に対応する一連の認証シンボル(例えば、一連の英数字)が割り当てられる。図1Bを参照する。図1Bにはサーバプログラム34を示す。サーバプログラム34は一組の割当認証シンボルの候補(例えば、数字0,1,2,3)と、一組の一時的な一時認証シンボル(例えば、文字A,B,C,D)との間の動的なマッピングを生成する(52)。サーバプログラム34は動的マッピング(例えば、0=D,1=F,2=C,3=B)の表現を端末20へ送信する。クライアントプログラム18は、この動的マッピングを、端末20のディスプレイスクリーン22上の映像により提示する(54)。
【0017】
ユーザがログオンを試行する毎に、クライアントプログラム18は、動的マッピングと、ログオン名又は識別(ID)などユーザ証明の一部を入力するためのボックスとを表現する画像を含む、認証ダイアログをユーザに提示する。この認証ダイアログには、動的マッピングに基づく「チャレンジ(challenge)」を回答するための1つ以上のボックスも含まれる。このチャレンジは、例えば、動的マッピングに基づくパスワード又は個人識別番号(PIN)である。チャレンジを回答するために、ユーザは一連の一時認証シンボル(例えば、BFC)を特定する。この一時認証シンボルは、視覚的に提示される動的マッピングに従い、ユーザに割り当てられる一連の認証シンボル(例えば、上述の例示的なマッピングを用いると、312)に対応する。
【0018】
ユーザは、コンピュータ端末20のキーボード24、マウス26、スタイラス28、タッチスクリーン(図示せず)などの入力デバイス又は他の同様な入力デバイスを用いて、一連の一時認証シンボルを入力する。ユーザは、例えば、テキストボックスにタイプ入力することにより、又は動的マッピングを表現する映像の部分を選択することにより、一連の一時認証シンボルを入力する。入力デバイスは、入力される一連の一時認証シンボルを特定する選択信号をクライアントプログラム18へ提供する。クライアントプログラム18は選択信号を受信し(56)、ユーザに選択された一時認証シンボルの表現をサーバプログラム34へ送信する。サーバプログラム34は受信した一時認証シンボルを対応する割当認証シンボルの候補へ変換し(動的マッピングに従い)、この割当認証シンボルの候補を実際の割当認証シンボル(例えば、そのユーザに対し記憶されているユーザ証明により決定される)と比較する(58)。割当認証シンボルの候補が実際の割当認証シンボルと一致する場合、サーバプログラム34は認証を提供し(60)、ユーザが成功裏にログオンすることを可能とする(62)。割当認証シンボルの候補が実際の割当認証シンボルと一致しない場合、サーバプログラム34はユーザがログオンすることを可能としない。不成功なログオンの試行後、サーバプログラム34は新たな動的マッピングを用いて新たなログオンの試行を提供する。これに代えて、サーバプログラム34は(例えば、所定数の不成功なログオンの試行後)、特定のリセット動作が実行されるまで、さらなるログオンの試行を禁止してもよい。
【0019】
サーバプログラム34は、本明細書に記載の実施例では、疑似ランダムな乱数を生成するための任意の種々の手法を用い、所与の割当認証シンボルに対しマッピングされる一時認証シンボルを疑似ランダムな乱数を用いて選択することにより、動的マッピングを生成
する。新たなログオンの試行には新たな動的マッピングが用いられるため、潜在的な攻撃者によりキャプチャされる選択信号(例えば、キーストローク又はポインタ座標)は、ログオンを試行する攻撃者には有用でなく、攻撃者が関連する動的マッピングもキャプチャしない限りシステム10は危険に曝されない。
【0020】
潜在的な攻撃者が動的マッピングをキャプチャすることをさらに困難とするために、スクリーン22に動的マッピングを表現する映像には、不明瞭なシンボルが含まれ得る。攻撃者が何らかの手段により正しいスクリーン位置(又はスクリーン全体)及び正しい表示時間においてスクリーンピクセルをキャプチャしたとしても、シンボルが不明瞭であることにより、攻撃者がコンピュータプログラムを用いて動的マッピングを解釈することは困難となる。例えば、「CAPTCHA(キャプチャ)」として知られる「コンピュータと人間を区別する完全に自動化された公開チューリング(Turing)テスト」を利用する、コンピュータのシンボル認識を阻止するための任意の種々の手法を用いて、映像が処理される。
【0021】
図2に示す第1の実施例では、認証ダイアログ100には、ユーザがユーザ証明の「ユーザID」部分を入力するためのユーザ識別テキストボックス102が含まれる。このユーザ証明には、ユーザの割当認証シンボルを表現するシークレットPINも含まれる。認証ダイアログ100には、ユーザが、視覚的に提示される動的マッピング108を用いて決定される一時認証シンボルを表現する「符号化PIN」を入力するためのチャレンジテキストボックス104が含まれる。
【0022】
ユーザは、動的マッピング108の上の行110に順番に並べられている0〜9の数字として見出されるシークレットPINの数字を、動的マッピング108の下の行112に並べ替えられている(scrambled)数字として見出される数字に置き換えることにより、符号化PINを決定する。この実施例では、動的マッピング108は割当認証シンボルの候補と、一時認証シンボルの候補との間の1対1のマッピングである。ユーザは、符号化PINの数字に対応するキーストロークを入力した後、「ログイン」ボタン106を押下し、ユーザを認証するためにクライアントプログラム18が符号化PINの表現をサーバプログラム34へ送信するように指示する。下の行112の並べ替えられている数字は、ユーザがシステム10へのログオンを試行する毎に変化する。この実施例では、図2に示すように、動的マッピング108の下の行112の数字は変形されており、一時認証シンボルは不明瞭である。例示のマッピング108を用いる認証では、0123からなるPIN(即ち、割当認証シンボル)は、ユーザにより4071(即ち、一時認証シンボル)として入力される。同じユーザが次にシステムにログインする時にはマッピングは異なり、そのユーザの0123に対する割当認証シンボルを表現するためにユーザにより入力される一時認証シンボルは異なる。
【0023】
図3Aに示す第2の実施例では、認証ダイアログ200には、ユーザがユーザ証明の「ユーザID」部分を入力するためのユーザ識別テキストボックス202が含まれる。このユーザ証明には、シークレットPINと、ユーザの所有する識別カード220におけるホール221〜224(図3Bに示す)の配置に対応する空間情報のデジタル表現とも含まれる。ホール221〜224の位置は、空間情報により符号化されているユーザの「割当認証位置」に対応する。認証ダイアログ200には、ユーザがシークレットPINを入力するためのテキストボックス204と、ユーザが、視覚的に提示される動的空間マッピング210を用いて決定される一時認証シンボルを表現する「一致(マッチング)番号」を入力するためのチャレンジテキストボックス206とが含まれる。動的空間マッピング210には、7行2列の2桁の番号からなる左の組213と、7行2列の2桁の番号からなる右の組214とが含まれる。213〜214の番号の組は、識別カード220を表現する映像212の上に提示される(ホールはない)。
【0024】
図3Cに示すように、ユーザは、ホール221〜224を通じて4つの2桁の番号が見えるように映像212の上にユーザの識別カード220を置くことにより、マッチング番号を決定する。ユーザは、この4つの番号を所定の順番に連結する。例えば、213〜214の番号の組の連続する列を左から右へ辿ることにより、それぞれホール221,222,223,224を通じて、「75407910」のマッチング番号が得られる。ユーザは、マッチング番号の数字に対応するキーストロークを入力した後、「ログイン」ボタン208を押下し、ユーザを認証するためにクライアントプログラム18がマッチング番号の表現をサーバプログラム34へ送信するように指示する。213〜214の番号の組の数字は、ユーザがシステム10へのログオンを試行する毎に変化する。
【0025】
図4に示す第3の実施例では、認証ダイアログ300には、ユーザがユーザ証明の「従業員ID」部分を入力するためのユーザ識別テキストボックス302が含まれる。このユーザ証明には、ユーザの割当認証シンボルを表現するシークレットPINも含まれる。認証ダイアログ300には、不明瞭な数字を含む3行4列のボックス(即ち、「オンスクリーンボタン」)からなるグリッド304の形式による、動的マッピングが含まれる。0〜9の数字は各々、グリッド304の12のボックスのうちの1つ以上において表現される。この実施例では、「8」、「9」の数字は各々、2つのボックスに含まれる。したがって、この実施例では、動的マッピングは割当認証シンボルの候補と、一時認証シンボルの候補との間の1対多のマッピングである。他の実施例では、動的マッピングは1対1のマッピングである。
【0026】
この実施例では、ユーザはグリッド304にランダムに配置されている番号により案内される一連のスクリーン位置をユーザのシークレットPINに対応する順に選択することにより、一時認証シンボルを入力する。一時認証シンボルは各々、1つ以上のボックスに対応するスクリーン位置のサブセットに対応する。ユーザは、ポインティングデバイスを用いて、対応するボックスのスクリーン位置を選択する(例えば、オンスクリーンポインタがボックスの上にあるときにマウス26のボタンを「クリックする」)ことにより、一時認証シンボルを非明示的に特定する。ポインティングデバイスにより提供される選択信号はキーボードを回避し、キーボード入力キャプチャ攻撃に対する脆弱性を減少させる。
【0027】
ユーザは、一連のスクリーン位置を選択した後、「ログイン」ボタン306を押下し、ユーザを認証するために、選択したスクリーン位置の表現をクライアントプログラム18がサーバプログラム34へ送信するように指示する。グリッド304における数字の配置は、ユーザがシステム10へのログオンを試行する毎に変化する。この実施例では、図4に示すように、グリッド304の各ボックスにおいて数字が変形され、背景のパターンに小班点が付けられることにより、一時認証シンボルは不明瞭である。
【0028】
図5に示す第4の実施例では、認証ダイアログ400には、ユーザがユーザ証明の「従業員ID」部分を入力するためのユーザ識別テキストボックス402が含まれる。このユーザ証明には、ユーザの割当認証シンボルを表現するシークレットPINも含まれる。認証ダイアログ400には、オンスクリーンキーパッド404の形式による、動的マッピングが含まれる。キーパッド404には、0〜9の数字及びA〜Zの文字が標示されているキー、即ち、「オンスクリーンボタン」が含まれる。この実施例では、一部のキーには複数のシンボルが含まれる。したがって、この実施例では、動的マッピングは割当認証シンボルの候補と、一時認証シンボルの候補との間の多対1のマッピングである。キーパッド404のキーのレイアウトはランダム化されており、一部のキーには、標準的なキーパッド(例えば、電話機のキーパッド)に従って、複数の文字及び1つの番号が標示されている。これに代えて、キーパッド404は、標準的なキーパッドに対応しないランダム化された複数のシンボルの標示されているキーを備えてもよい。
【0029】
この実施例では、ユーザはキーパッド404にランダムに配置されているキーにより案内される一連のスクリーン位置をユーザのシークレットPINに対応する順に選択することにより、一時認証シンボルを入力する。一時認証シンボルは各々、1つのキーに対応するスクリーン位置のサブセットに対応する。ユーザは、ポインティングデバイスを用いて、対応するキーのスクリーン位置を選択する(例えば、オンスクリーンポインタがキーの上にあるときにマウス26のボタンを「クリックする」)ことにより、一時認証シンボルを非明示的に特定する。キーパッド404は、選択した一時認証シンボルを訂正する(即ち、削除する)ための(例えば、ユーザによる入力エラーを訂正するための)「戻る」キー406も備える。
【0030】
ユーザは、一連のスクリーン位置を選択した後、「ログイン」ボタン408を押下し、ユーザを認証するために、選択したスクリーン位置の表現をクライアントプログラム18がサーバプログラム34へ送信するように指示する。キーパッド404における数字及び文字の配置は、ユーザがシステム10へのログオンを試行する毎に変化する。
【0031】
添付の特許請求の範囲内に他の実施形態が存在する。例えば、クライアントプログラム18が動的マッピングを生成し、ユーザに選択される一時認証シンボルを、サーバプログラム34へ送信されるように、対応する割当認証シンボルに変換する。本明細書に記載の処理の全ては、単一のデバイスにより実行され得る。コンピュータ端末20は、例えば、デスクトップコンピュータ、ラップトップコンピュータ、ハンドヘルドコンピュータ、又は他の携帯可能な電子デバイス(例えば、携帯情報端末(PDA)若しくは携帯電話機)など、任意の様々なフォームファクタを有し得る。認証システム10は、任意数のローカルプログラム若しくはリモートプログラムの間の対話に基づき、又は単一のプログラムに基づき、認証を提供することが可能である。上述の実施例において用いられる番号は単なる例示であり、割当認証シンボル及び一時認証シンボルのうちの一方又は両方として、文字及び記号もランダムにマッピングされ得る。視覚的に提示される動的マッピングに代えて、動的マッピングは、例えば、電話機、携帯電話機若しくはコンピュータのスピーカを通じる音響シンボルの間のマッピングとしてなど、別の手法又は電子デバイスにより提示され得る。
【図面の簡単な説明】
【0032】
【図1A】認証システムの図。
【図1B】認証処理のフローチャート。
【図2】認証スクリーンの映像の図。
【図3A】認証スクリーンの映像の図。
【図3B】ユーザ識別カードの図。
【図3C】一時認証シンボルを特定する図3Bのユーザ識別カードを示す図。
【図4】認証スクリーンの映像の図。
【図5】認証スクリーンの映像の図。
【技術分野】
【0001】
本発明はユーザ認証に関する。
【背景技術】
【0002】
コンピュータベースサービスのオンラインユーザを認証するためのシステムは、「キーボード傍受(スニッフィング)」又は「スパイウェア」などの手法の使用により危険に曝される。これらの手法では、認証されたオンラインサービスにログオンするユーザのキーストローク(打鍵)がキャプチャされる(例えば、入力デバイスに取り付けられたハードウェア又はユーザのコンピュータに読み込まれたソフトウェアを用いて)。これに続いて、キャプチャされたキーストロークを用いて悪意のある攻撃者がユーザ本人になりすますことが可能であり、場合によっては、そのユーザの知識又はパーミッションなしで、そのユーザの識別情報を用いて情報にアクセスし、トランザクション(取引)を実行することが可能である。一部のシステムでは、ハードウェアトークン、即ち、「スマートカード(smart card)」により提供される「ワンタイム」パスワードを用いて、そうした手法の成功を減少させている。「ワンタイム」パスワードは、キャプチャされたとしても、潜在的な攻撃者には有用でない。
【発明を実施するための最良の形態】
【0003】
一態様は、割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成する工程と、電子デバイス上に動的な1対1マッピングを提示する工程と、1つ以上の一時認証シンボルを特定する選択信号を受信する工程とからなる方法である。
【0004】
他の実施例には、以下の特徴のうちの1つ以上が含まれ得る。割当認証シンボルは英数字に対応する。一時認証シンボルはキーボードのキーストロークに対応する。選択信号はキーボードからの信号を含む。動的な1対1マッピングは映像により提示される。映像は不明瞭なシンボルを含み得る。不明瞭なシンボルは不明瞭な文字及びCAPTCHAのうちの1つ以上を含み得る。この方法には、特定した一時認証シンボル、動的な1対1マッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程が含まれる。動的な1対1マッピングは疑似ランダムアルゴリズムにより生成される。この方法には、ログオンの試行後、動的な1対1マッピングを変更する工程が含まれる。動的な1対1マッピングは通信チャネルを通じて電子デバイスへ送信される。
【0005】
別の態様は、シンボルと電子デバイスのスクリーン座標のそれぞれのサブセットとの間の動的なマッピングを生成する工程と、スクリーン座標の1つ以上のサブセットを特定する選択信号を受信する工程とからなる方法である。少なくとも各ログオンの試行後、動的マッピングは変化する。
【0006】
他の実施例には、以下の特徴のうちの1つ以上が含まれ得る。シンボルは英数字に対応する。スクリーン座標のサブセットはオンスクリーンボタンに対応する。オンスクリーンボタンは複数のシンボルの標示されているボタンを含む。オンスクリーンボタンは同じシンボルの標示されている複数のボタンを含む。オンスクリーンボタンは10より多くのボタンを含む。選択信号はキーボードを回避する入力デバイスから受信される。入力デバイスはオンスクリーンポインタを制御し得る。入力デバイスはマウスを含み得る。この方法には、特定したスクリーン座標のサブセット、動的なマッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程が含まれる。動的なマッピングは疑似ランダムアルゴリズムにより生成される。動的なマッピングは通信チャネルを通じて電子デバイスへ送信される。
【0007】
別の態様は、割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成する工程と、電子デバイス上に映像により動的な空間マッピングを提示する工程と、1つ以上の一時認証シンボルを特定する選択信号を受信する工程とからなる方法である。
【0008】
他の実施例には、以下の特徴のうちの1つ以上が含まれ得る。動的な空間マッピングは割当認証位置に対応する映像内のそれぞれの位置において一時認証シンボルを位置特定する。映像は識別カードを表現する。割当認証位置は識別カードにおけるホールの位置に対応する。一時認証シンボルはキーボードのキーストロークに対応する。選択信号はキーボードからの信号を含む。この方法には、特定した一時認証シンボル、動的な空間マッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程が含まれる。動的な空間マッピングは疑似ランダムアルゴリズムにより生成される。この方法には、ログオンの試行後、動的な空間マッピングを変更する工程が含まれる。動的な空間マッピングは通信チャネルを通じて電子デバイスへ送信される。
【0009】
別の態様は、割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成するように構成されているサーバモジュールと、クライアントモジュールとからなるシステムである。クライアントモジュールは、電子デバイス上に動的な1対1マッピングを提示するように、かつ、1つ以上の一時認証シンボルを特定する選択信号を受信するように構成されている。
【0010】
別の態様は、シンボルと電子デバイスのスクリーン座標のそれぞれのサブセットとの間の動的なマッピングを生成するように構成されているサーバモジュールと、クライアントモジュールとからなるシステムである。クライアントモジュールは、スクリーン座標の1つ以上のサブセットを特定する選択信号を受信するように構成されている。
【0011】
別の態様は、割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成するように構成されているサーバモジュールと、クライアントモジュールとからなるシステムである。クライアントモジュールは、電子デバイス上に動的な空間マッピングを提示するように、かつ、1つ以上の一時認証シンボルを特定する選択信号を受信するように構成されている。
【0012】
別の態様は、コンピュータ可読プログラム部分を有する製品である。この製品には、上述の方法の任意の組み合わせをプロセッサに実行させる命令が含まれる。
【0013】
上述の態様のうちの1つ以上により、次の利点のうちの1つ以上が提供され得る。認証システムにより、オンラインサービスのユーザの高度な認証が手続される。この認証システムは、「キーボード入力キャプチャ」攻撃など一定の攻撃に対する脆弱性を減少させることにより、そうしたサービスのセキュリティを高める。スクリーン上に動的マッピングを提示することは、トークンにより動的マッピングを生成するよりも簡便であり得る。シンボルを不明瞭とすることにより、キャプチャしたスクリーン映像においてシンボルを自動的に認識することを困難とする。また、キーボードを回避する選択信号を受信することにより、キーボード入力キャプチャ攻撃の脆弱性を減少させる。
【0014】
本発明の他の特徴及び利点は、以下の記載や、特許請求の範囲から明らかとなる。
【0015】
図1Aを参照する。図1Aには、動的マッピング認証システム10を示す。動的マッピング認証システム10は、通信チャネル12を通じるサーバ30へのアクセス(例えば、ネットワーク14を通じる接続又はサーバ30へのポイントツーポイント接続)を有するコンピュータ端末20を備える。サーバ30は記憶部モジュール32を備える。記憶部モ
ジュール32は、サーバ30又はサーバ30を介してアクセス可能な別のシステムにより提供されるオンラインサービスにアクセスするためのパーミッションを有するユーザに関連付けられている、1つ以上のユーザ証明(例えば、ユーザ名及びパスワードを含む証明)を記憶する。このシステム10は、ユーザにオンラインサービスへのアクセスを許可する前に、記憶されているユーザ証明のうちの1つに基づきユーザの認証を提供する。
【0016】
システム10はコンピュータ端末20に読み込まれているクライアントプログラム18と、サーバ30に読み込まれているサーバプログラム34との間の対話により、ユーザの認証を提供する。システム10により認証されようとするユーザには、記憶部モジュール32にユーザ証明の一部として記憶されている認証シンボルの表現(例えば、ASCII文字列)に対応する一連の認証シンボル(例えば、一連の英数字)が割り当てられる。図1Bを参照する。図1Bにはサーバプログラム34を示す。サーバプログラム34は一組の割当認証シンボルの候補(例えば、数字0,1,2,3)と、一組の一時的な一時認証シンボル(例えば、文字A,B,C,D)との間の動的なマッピングを生成する(52)。サーバプログラム34は動的マッピング(例えば、0=D,1=F,2=C,3=B)の表現を端末20へ送信する。クライアントプログラム18は、この動的マッピングを、端末20のディスプレイスクリーン22上の映像により提示する(54)。
【0017】
ユーザがログオンを試行する毎に、クライアントプログラム18は、動的マッピングと、ログオン名又は識別(ID)などユーザ証明の一部を入力するためのボックスとを表現する画像を含む、認証ダイアログをユーザに提示する。この認証ダイアログには、動的マッピングに基づく「チャレンジ(challenge)」を回答するための1つ以上のボックスも含まれる。このチャレンジは、例えば、動的マッピングに基づくパスワード又は個人識別番号(PIN)である。チャレンジを回答するために、ユーザは一連の一時認証シンボル(例えば、BFC)を特定する。この一時認証シンボルは、視覚的に提示される動的マッピングに従い、ユーザに割り当てられる一連の認証シンボル(例えば、上述の例示的なマッピングを用いると、312)に対応する。
【0018】
ユーザは、コンピュータ端末20のキーボード24、マウス26、スタイラス28、タッチスクリーン(図示せず)などの入力デバイス又は他の同様な入力デバイスを用いて、一連の一時認証シンボルを入力する。ユーザは、例えば、テキストボックスにタイプ入力することにより、又は動的マッピングを表現する映像の部分を選択することにより、一連の一時認証シンボルを入力する。入力デバイスは、入力される一連の一時認証シンボルを特定する選択信号をクライアントプログラム18へ提供する。クライアントプログラム18は選択信号を受信し(56)、ユーザに選択された一時認証シンボルの表現をサーバプログラム34へ送信する。サーバプログラム34は受信した一時認証シンボルを対応する割当認証シンボルの候補へ変換し(動的マッピングに従い)、この割当認証シンボルの候補を実際の割当認証シンボル(例えば、そのユーザに対し記憶されているユーザ証明により決定される)と比較する(58)。割当認証シンボルの候補が実際の割当認証シンボルと一致する場合、サーバプログラム34は認証を提供し(60)、ユーザが成功裏にログオンすることを可能とする(62)。割当認証シンボルの候補が実際の割当認証シンボルと一致しない場合、サーバプログラム34はユーザがログオンすることを可能としない。不成功なログオンの試行後、サーバプログラム34は新たな動的マッピングを用いて新たなログオンの試行を提供する。これに代えて、サーバプログラム34は(例えば、所定数の不成功なログオンの試行後)、特定のリセット動作が実行されるまで、さらなるログオンの試行を禁止してもよい。
【0019】
サーバプログラム34は、本明細書に記載の実施例では、疑似ランダムな乱数を生成するための任意の種々の手法を用い、所与の割当認証シンボルに対しマッピングされる一時認証シンボルを疑似ランダムな乱数を用いて選択することにより、動的マッピングを生成
する。新たなログオンの試行には新たな動的マッピングが用いられるため、潜在的な攻撃者によりキャプチャされる選択信号(例えば、キーストローク又はポインタ座標)は、ログオンを試行する攻撃者には有用でなく、攻撃者が関連する動的マッピングもキャプチャしない限りシステム10は危険に曝されない。
【0020】
潜在的な攻撃者が動的マッピングをキャプチャすることをさらに困難とするために、スクリーン22に動的マッピングを表現する映像には、不明瞭なシンボルが含まれ得る。攻撃者が何らかの手段により正しいスクリーン位置(又はスクリーン全体)及び正しい表示時間においてスクリーンピクセルをキャプチャしたとしても、シンボルが不明瞭であることにより、攻撃者がコンピュータプログラムを用いて動的マッピングを解釈することは困難となる。例えば、「CAPTCHA(キャプチャ)」として知られる「コンピュータと人間を区別する完全に自動化された公開チューリング(Turing)テスト」を利用する、コンピュータのシンボル認識を阻止するための任意の種々の手法を用いて、映像が処理される。
【0021】
図2に示す第1の実施例では、認証ダイアログ100には、ユーザがユーザ証明の「ユーザID」部分を入力するためのユーザ識別テキストボックス102が含まれる。このユーザ証明には、ユーザの割当認証シンボルを表現するシークレットPINも含まれる。認証ダイアログ100には、ユーザが、視覚的に提示される動的マッピング108を用いて決定される一時認証シンボルを表現する「符号化PIN」を入力するためのチャレンジテキストボックス104が含まれる。
【0022】
ユーザは、動的マッピング108の上の行110に順番に並べられている0〜9の数字として見出されるシークレットPINの数字を、動的マッピング108の下の行112に並べ替えられている(scrambled)数字として見出される数字に置き換えることにより、符号化PINを決定する。この実施例では、動的マッピング108は割当認証シンボルの候補と、一時認証シンボルの候補との間の1対1のマッピングである。ユーザは、符号化PINの数字に対応するキーストロークを入力した後、「ログイン」ボタン106を押下し、ユーザを認証するためにクライアントプログラム18が符号化PINの表現をサーバプログラム34へ送信するように指示する。下の行112の並べ替えられている数字は、ユーザがシステム10へのログオンを試行する毎に変化する。この実施例では、図2に示すように、動的マッピング108の下の行112の数字は変形されており、一時認証シンボルは不明瞭である。例示のマッピング108を用いる認証では、0123からなるPIN(即ち、割当認証シンボル)は、ユーザにより4071(即ち、一時認証シンボル)として入力される。同じユーザが次にシステムにログインする時にはマッピングは異なり、そのユーザの0123に対する割当認証シンボルを表現するためにユーザにより入力される一時認証シンボルは異なる。
【0023】
図3Aに示す第2の実施例では、認証ダイアログ200には、ユーザがユーザ証明の「ユーザID」部分を入力するためのユーザ識別テキストボックス202が含まれる。このユーザ証明には、シークレットPINと、ユーザの所有する識別カード220におけるホール221〜224(図3Bに示す)の配置に対応する空間情報のデジタル表現とも含まれる。ホール221〜224の位置は、空間情報により符号化されているユーザの「割当認証位置」に対応する。認証ダイアログ200には、ユーザがシークレットPINを入力するためのテキストボックス204と、ユーザが、視覚的に提示される動的空間マッピング210を用いて決定される一時認証シンボルを表現する「一致(マッチング)番号」を入力するためのチャレンジテキストボックス206とが含まれる。動的空間マッピング210には、7行2列の2桁の番号からなる左の組213と、7行2列の2桁の番号からなる右の組214とが含まれる。213〜214の番号の組は、識別カード220を表現する映像212の上に提示される(ホールはない)。
【0024】
図3Cに示すように、ユーザは、ホール221〜224を通じて4つの2桁の番号が見えるように映像212の上にユーザの識別カード220を置くことにより、マッチング番号を決定する。ユーザは、この4つの番号を所定の順番に連結する。例えば、213〜214の番号の組の連続する列を左から右へ辿ることにより、それぞれホール221,222,223,224を通じて、「75407910」のマッチング番号が得られる。ユーザは、マッチング番号の数字に対応するキーストロークを入力した後、「ログイン」ボタン208を押下し、ユーザを認証するためにクライアントプログラム18がマッチング番号の表現をサーバプログラム34へ送信するように指示する。213〜214の番号の組の数字は、ユーザがシステム10へのログオンを試行する毎に変化する。
【0025】
図4に示す第3の実施例では、認証ダイアログ300には、ユーザがユーザ証明の「従業員ID」部分を入力するためのユーザ識別テキストボックス302が含まれる。このユーザ証明には、ユーザの割当認証シンボルを表現するシークレットPINも含まれる。認証ダイアログ300には、不明瞭な数字を含む3行4列のボックス(即ち、「オンスクリーンボタン」)からなるグリッド304の形式による、動的マッピングが含まれる。0〜9の数字は各々、グリッド304の12のボックスのうちの1つ以上において表現される。この実施例では、「8」、「9」の数字は各々、2つのボックスに含まれる。したがって、この実施例では、動的マッピングは割当認証シンボルの候補と、一時認証シンボルの候補との間の1対多のマッピングである。他の実施例では、動的マッピングは1対1のマッピングである。
【0026】
この実施例では、ユーザはグリッド304にランダムに配置されている番号により案内される一連のスクリーン位置をユーザのシークレットPINに対応する順に選択することにより、一時認証シンボルを入力する。一時認証シンボルは各々、1つ以上のボックスに対応するスクリーン位置のサブセットに対応する。ユーザは、ポインティングデバイスを用いて、対応するボックスのスクリーン位置を選択する(例えば、オンスクリーンポインタがボックスの上にあるときにマウス26のボタンを「クリックする」)ことにより、一時認証シンボルを非明示的に特定する。ポインティングデバイスにより提供される選択信号はキーボードを回避し、キーボード入力キャプチャ攻撃に対する脆弱性を減少させる。
【0027】
ユーザは、一連のスクリーン位置を選択した後、「ログイン」ボタン306を押下し、ユーザを認証するために、選択したスクリーン位置の表現をクライアントプログラム18がサーバプログラム34へ送信するように指示する。グリッド304における数字の配置は、ユーザがシステム10へのログオンを試行する毎に変化する。この実施例では、図4に示すように、グリッド304の各ボックスにおいて数字が変形され、背景のパターンに小班点が付けられることにより、一時認証シンボルは不明瞭である。
【0028】
図5に示す第4の実施例では、認証ダイアログ400には、ユーザがユーザ証明の「従業員ID」部分を入力するためのユーザ識別テキストボックス402が含まれる。このユーザ証明には、ユーザの割当認証シンボルを表現するシークレットPINも含まれる。認証ダイアログ400には、オンスクリーンキーパッド404の形式による、動的マッピングが含まれる。キーパッド404には、0〜9の数字及びA〜Zの文字が標示されているキー、即ち、「オンスクリーンボタン」が含まれる。この実施例では、一部のキーには複数のシンボルが含まれる。したがって、この実施例では、動的マッピングは割当認証シンボルの候補と、一時認証シンボルの候補との間の多対1のマッピングである。キーパッド404のキーのレイアウトはランダム化されており、一部のキーには、標準的なキーパッド(例えば、電話機のキーパッド)に従って、複数の文字及び1つの番号が標示されている。これに代えて、キーパッド404は、標準的なキーパッドに対応しないランダム化された複数のシンボルの標示されているキーを備えてもよい。
【0029】
この実施例では、ユーザはキーパッド404にランダムに配置されているキーにより案内される一連のスクリーン位置をユーザのシークレットPINに対応する順に選択することにより、一時認証シンボルを入力する。一時認証シンボルは各々、1つのキーに対応するスクリーン位置のサブセットに対応する。ユーザは、ポインティングデバイスを用いて、対応するキーのスクリーン位置を選択する(例えば、オンスクリーンポインタがキーの上にあるときにマウス26のボタンを「クリックする」)ことにより、一時認証シンボルを非明示的に特定する。キーパッド404は、選択した一時認証シンボルを訂正する(即ち、削除する)ための(例えば、ユーザによる入力エラーを訂正するための)「戻る」キー406も備える。
【0030】
ユーザは、一連のスクリーン位置を選択した後、「ログイン」ボタン408を押下し、ユーザを認証するために、選択したスクリーン位置の表現をクライアントプログラム18がサーバプログラム34へ送信するように指示する。キーパッド404における数字及び文字の配置は、ユーザがシステム10へのログオンを試行する毎に変化する。
【0031】
添付の特許請求の範囲内に他の実施形態が存在する。例えば、クライアントプログラム18が動的マッピングを生成し、ユーザに選択される一時認証シンボルを、サーバプログラム34へ送信されるように、対応する割当認証シンボルに変換する。本明細書に記載の処理の全ては、単一のデバイスにより実行され得る。コンピュータ端末20は、例えば、デスクトップコンピュータ、ラップトップコンピュータ、ハンドヘルドコンピュータ、又は他の携帯可能な電子デバイス(例えば、携帯情報端末(PDA)若しくは携帯電話機)など、任意の様々なフォームファクタを有し得る。認証システム10は、任意数のローカルプログラム若しくはリモートプログラムの間の対話に基づき、又は単一のプログラムに基づき、認証を提供することが可能である。上述の実施例において用いられる番号は単なる例示であり、割当認証シンボル及び一時認証シンボルのうちの一方又は両方として、文字及び記号もランダムにマッピングされ得る。視覚的に提示される動的マッピングに代えて、動的マッピングは、例えば、電話機、携帯電話機若しくはコンピュータのスピーカを通じる音響シンボルの間のマッピングとしてなど、別の手法又は電子デバイスにより提示され得る。
【図面の簡単な説明】
【0032】
【図1A】認証システムの図。
【図1B】認証処理のフローチャート。
【図2】認証スクリーンの映像の図。
【図3A】認証スクリーンの映像の図。
【図3B】ユーザ識別カードの図。
【図3C】一時認証シンボルを特定する図3Bのユーザ識別カードを示す図。
【図4】認証スクリーンの映像の図。
【図5】認証スクリーンの映像の図。
【特許請求の範囲】
【請求項1】
割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成する工程と、
電子デバイス上に動的な1対1マッピングを提示する工程と、
1つ以上の一時認証シンボルを特定する選択信号を受信する工程と、からなる方法。
【請求項2】
割当認証シンボルは英数字に対応する請求項1に記載の方法。
【請求項3】
一時認証シンボルはキーボードのキーストロークに対応する請求項1に記載の方法。
【請求項4】
選択信号はキーボードからの信号を含む請求項3に記載の方法。
【請求項5】
動的な1対1マッピングは映像により提示される請求項1に記載の方法。
【請求項6】
映像は不明瞭なシンボルを含む請求項5に記載の方法。
【請求項7】
不明瞭なシンボルは不明瞭な文字を含む請求項6に記載の方法。
【請求項8】
不明瞭なシンボルはCAPTCHAを含む請求項6に記載の方法。
【請求項9】
特定した一時認証シンボル、動的な1対1マッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程を含む請求項1に記載の方法。
【請求項10】
動的な1対1マッピングは疑似ランダムアルゴリズムにより生成される請求項1に記載の方法。
【請求項11】
ログオンの試行後、動的な1対1マッピングを変更する工程を含む請求項1に記載の方法。
【請求項12】
動的な1対1マッピングは通信チャネルを通じて電子デバイスへ送信される請求項1に記載の方法。
【請求項13】
サーバモジュール及びクライアントモジュールからなるシステムであって、
サーバモジュールは、
割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成するように構成されていることと、
クライアントモジュールは、
電子デバイス上に動的な1対1マッピングを提示するように、かつ、
1つ以上の一時認証シンボルを特定する選択信号を受信するように構成されていることと、を含むシステム。
【請求項14】
サーバモジュールは、特定した一時認証シンボル、動的な1対1マッピング、及びユーザ証明に基づき、ユーザに認証を提供するように構成されていることを含む請求項13に記載のシステム。
【請求項15】
動的な1対1マッピングは疑似ランダムアルゴリズムにより生成される請求項13に記載のシステム。
【請求項16】
コンピュータ可読プログラム部分を有する製品であって、
プロセッサに、
割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成することと、
電子デバイス上に動的な1対1マッピングを提示することと、
1つ以上の一時認証シンボルを特定する選択信号を受信することと、を実行させる命令を含む製品。
【請求項17】
プロセッサに、特定した一時認証シンボル、動的な1対1マッピング、及びユーザ証明に基づき、ユーザに認証を提供することを実行させる命令を含む請求項16に記載の製品。
【請求項18】
動的な1対1マッピングは疑似ランダムアルゴリズムにより生成される請求項16に記載の製品。
【請求項19】
シンボルと電子デバイスのスクリーン座標のそれぞれのサブセットとの間の動的なマッピングを生成する工程と、
スクリーン座標の1つ以上のサブセットを特定する選択信号を受信する工程と、
少なくとも各ログオンの試行後、動的マッピングは変化することと、からなる方法。
【請求項20】
シンボルは英数字に対応する請求項19に記載の方法。
【請求項21】
スクリーン座標のサブセットはオンスクリーンボタンに対応する請求項19に記載の方法。
【請求項22】
オンスクリーンボタンは複数のシンボルの標示されているボタンを含む請求項21に記載の方法。
【請求項23】
オンスクリーンボタンは同じシンボルの標示されている複数のボタンを含む請求項21に記載の方法。
【請求項24】
オンスクリーンボタンは10より多くのボタンを含む請求項21に記載の方法。
【請求項25】
選択信号はキーボードを回避する入力デバイスから受信される請求項19に記載の方法。
【請求項26】
入力デバイスはオンスクリーンポインタを制御する請求項25に記載の方法。
【請求項27】
入力デバイスはマウスを含む請求項25に記載の方法。
【請求項28】
特定したスクリーン座標のサブセット、動的なマッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程を含む請求項19に記載の方法。
【請求項29】
動的なマッピングは疑似ランダムアルゴリズムにより生成される請求項19に記載の方法。
【請求項30】
動的なマッピングは通信チャネルを通じて電子デバイスへ送信される請求項19に記載の方法。
【請求項31】
サーバモジュール及びクライアントモジュールからなるシステムであって、
サーバモジュールは、シンボルと電子デバイスのスクリーン座標のそれぞれのサブセッ
トとの間の動的なマッピングを生成するように構成されていることと、
クライアントモジュールは、スクリーン座標の1つ以上のサブセットを特定する選択信号を受信するように構成されていることと、
少なくとも各ログオンの試行後、動的マッピングは変化することと、を含むシステム。
【請求項32】
サーバモジュールは、特定したスクリーン座標のサブセット、動的なマッピング、及びユーザ証明に基づき、ユーザに認証を提供するように構成されていることを含む請求項31に記載のシステム。
【請求項33】
動的なマッピングは疑似ランダムアルゴリズムにより生成される請求項31に記載のシステム。
【請求項34】
コンピュータ可読プログラム部分を有する製品であって、
プロセッサに、
シンボルと電子デバイスのスクリーン座標のそれぞれのサブセットとの間の動的なマッピングを生成することと、
スクリーン座標の1つ以上のサブセットを特定する選択信号を受信することと、を実行させる命令を含み、かつ、
少なくとも各ログオンの試行後、動的マッピングは変化することを含む製品。
【請求項35】
プロセッサに、特定したスクリーン座標のサブセット、動的なマッピング、及びユーザ証明に基づき、ユーザに認証を提供することを実行させる命令を含む請求項34に記載の製品。
【請求項36】
動的なマッピングは疑似ランダムアルゴリズムにより生成される請求項34に記載の製品。
【請求項37】
割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成する工程と、
電子デバイス上に映像により動的な空間マッピングを提示する工程と、
1つ以上の一時認証シンボルを特定する選択信号を受信する工程と、からなる方法。
【請求項38】
動的な空間マッピングは割当認証位置に対応する映像内のそれぞれの位置において一時認証シンボルを位置特定する請求項37に記載の方法。
【請求項39】
映像は識別カードを表現する請求項37に記載の方法。
【請求項40】
割当認証位置は識別カードにおけるホールの位置に対応する請求項39に記載の方法。
【請求項41】
一時認証シンボルはキーボードのキーストロークに対応する請求項37に記載の方法。
【請求項42】
選択信号はキーボードからの信号を含む請求項41に記載の方法。
【請求項43】
特定した一時認証シンボル、動的な空間マッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程を含む請求項37に記載の方法。
【請求項44】
動的な空間マッピングは疑似ランダムアルゴリズムにより生成される請求項37に記載の方法。
【請求項45】
ログオンの試行後、動的な空間マッピングを変更する工程を含む請求項37に記載の方法。
【請求項46】
動的な空間マッピングは通信チャネルを通じて電子デバイスへ送信される請求項37に記載の方法。
【請求項47】
サーバモジュール及びクライアントモジュールからなるシステムであって、
サーバモジュールは、
割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成するように構成されていることと、
クライアントモジュールは、
電子デバイス上に動的な空間マッピングを提示するように、かつ、
1つ以上の一時認証シンボルを特定する選択信号を受信するように構成されていることと、を含むシステム。
【請求項48】
サーバモジュールは、特定した一時認証シンボル、動的な空間マッピング、及びユーザ証明に基づき、ユーザに認証を提供するように構成されていることを含む請求項47に記載のシステム。
【請求項49】
動的な空間マッピングは疑似ランダムアルゴリズムにより生成される請求項47に記載のシステム。
【請求項50】
コンピュータ可読プログラム部分を有する製品であって、
プロセッサに、
割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成することと、
電子デバイス上に動的な空間マッピングを提示することと、
1つ以上の一時認証シンボルを特定する選択信号を受信することと、を実行させる命令を含む製品。
【請求項51】
プロセッサに、特定した一時認証シンボル、動的な空間マッピング、及びユーザ証明に基づき、ユーザに認証を提供することを実行させる命令を含む請求項50に記載の製品。
【請求項52】
動的な空間マッピングは疑似ランダムアルゴリズムにより生成される請求項50に記載の製品。
【請求項1】
割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成する工程と、
電子デバイス上に動的な1対1マッピングを提示する工程と、
1つ以上の一時認証シンボルを特定する選択信号を受信する工程と、からなる方法。
【請求項2】
割当認証シンボルは英数字に対応する請求項1に記載の方法。
【請求項3】
一時認証シンボルはキーボードのキーストロークに対応する請求項1に記載の方法。
【請求項4】
選択信号はキーボードからの信号を含む請求項3に記載の方法。
【請求項5】
動的な1対1マッピングは映像により提示される請求項1に記載の方法。
【請求項6】
映像は不明瞭なシンボルを含む請求項5に記載の方法。
【請求項7】
不明瞭なシンボルは不明瞭な文字を含む請求項6に記載の方法。
【請求項8】
不明瞭なシンボルはCAPTCHAを含む請求項6に記載の方法。
【請求項9】
特定した一時認証シンボル、動的な1対1マッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程を含む請求項1に記載の方法。
【請求項10】
動的な1対1マッピングは疑似ランダムアルゴリズムにより生成される請求項1に記載の方法。
【請求項11】
ログオンの試行後、動的な1対1マッピングを変更する工程を含む請求項1に記載の方法。
【請求項12】
動的な1対1マッピングは通信チャネルを通じて電子デバイスへ送信される請求項1に記載の方法。
【請求項13】
サーバモジュール及びクライアントモジュールからなるシステムであって、
サーバモジュールは、
割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成するように構成されていることと、
クライアントモジュールは、
電子デバイス上に動的な1対1マッピングを提示するように、かつ、
1つ以上の一時認証シンボルを特定する選択信号を受信するように構成されていることと、を含むシステム。
【請求項14】
サーバモジュールは、特定した一時認証シンボル、動的な1対1マッピング、及びユーザ証明に基づき、ユーザに認証を提供するように構成されていることを含む請求項13に記載のシステム。
【請求項15】
動的な1対1マッピングは疑似ランダムアルゴリズムにより生成される請求項13に記載のシステム。
【請求項16】
コンピュータ可読プログラム部分を有する製品であって、
プロセッサに、
割当認証シンボルと一時認証シンボルとの間の動的な1対1マッピングを生成することと、
電子デバイス上に動的な1対1マッピングを提示することと、
1つ以上の一時認証シンボルを特定する選択信号を受信することと、を実行させる命令を含む製品。
【請求項17】
プロセッサに、特定した一時認証シンボル、動的な1対1マッピング、及びユーザ証明に基づき、ユーザに認証を提供することを実行させる命令を含む請求項16に記載の製品。
【請求項18】
動的な1対1マッピングは疑似ランダムアルゴリズムにより生成される請求項16に記載の製品。
【請求項19】
シンボルと電子デバイスのスクリーン座標のそれぞれのサブセットとの間の動的なマッピングを生成する工程と、
スクリーン座標の1つ以上のサブセットを特定する選択信号を受信する工程と、
少なくとも各ログオンの試行後、動的マッピングは変化することと、からなる方法。
【請求項20】
シンボルは英数字に対応する請求項19に記載の方法。
【請求項21】
スクリーン座標のサブセットはオンスクリーンボタンに対応する請求項19に記載の方法。
【請求項22】
オンスクリーンボタンは複数のシンボルの標示されているボタンを含む請求項21に記載の方法。
【請求項23】
オンスクリーンボタンは同じシンボルの標示されている複数のボタンを含む請求項21に記載の方法。
【請求項24】
オンスクリーンボタンは10より多くのボタンを含む請求項21に記載の方法。
【請求項25】
選択信号はキーボードを回避する入力デバイスから受信される請求項19に記載の方法。
【請求項26】
入力デバイスはオンスクリーンポインタを制御する請求項25に記載の方法。
【請求項27】
入力デバイスはマウスを含む請求項25に記載の方法。
【請求項28】
特定したスクリーン座標のサブセット、動的なマッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程を含む請求項19に記載の方法。
【請求項29】
動的なマッピングは疑似ランダムアルゴリズムにより生成される請求項19に記載の方法。
【請求項30】
動的なマッピングは通信チャネルを通じて電子デバイスへ送信される請求項19に記載の方法。
【請求項31】
サーバモジュール及びクライアントモジュールからなるシステムであって、
サーバモジュールは、シンボルと電子デバイスのスクリーン座標のそれぞれのサブセッ
トとの間の動的なマッピングを生成するように構成されていることと、
クライアントモジュールは、スクリーン座標の1つ以上のサブセットを特定する選択信号を受信するように構成されていることと、
少なくとも各ログオンの試行後、動的マッピングは変化することと、を含むシステム。
【請求項32】
サーバモジュールは、特定したスクリーン座標のサブセット、動的なマッピング、及びユーザ証明に基づき、ユーザに認証を提供するように構成されていることを含む請求項31に記載のシステム。
【請求項33】
動的なマッピングは疑似ランダムアルゴリズムにより生成される請求項31に記載のシステム。
【請求項34】
コンピュータ可読プログラム部分を有する製品であって、
プロセッサに、
シンボルと電子デバイスのスクリーン座標のそれぞれのサブセットとの間の動的なマッピングを生成することと、
スクリーン座標の1つ以上のサブセットを特定する選択信号を受信することと、を実行させる命令を含み、かつ、
少なくとも各ログオンの試行後、動的マッピングは変化することを含む製品。
【請求項35】
プロセッサに、特定したスクリーン座標のサブセット、動的なマッピング、及びユーザ証明に基づき、ユーザに認証を提供することを実行させる命令を含む請求項34に記載の製品。
【請求項36】
動的なマッピングは疑似ランダムアルゴリズムにより生成される請求項34に記載の製品。
【請求項37】
割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成する工程と、
電子デバイス上に映像により動的な空間マッピングを提示する工程と、
1つ以上の一時認証シンボルを特定する選択信号を受信する工程と、からなる方法。
【請求項38】
動的な空間マッピングは割当認証位置に対応する映像内のそれぞれの位置において一時認証シンボルを位置特定する請求項37に記載の方法。
【請求項39】
映像は識別カードを表現する請求項37に記載の方法。
【請求項40】
割当認証位置は識別カードにおけるホールの位置に対応する請求項39に記載の方法。
【請求項41】
一時認証シンボルはキーボードのキーストロークに対応する請求項37に記載の方法。
【請求項42】
選択信号はキーボードからの信号を含む請求項41に記載の方法。
【請求項43】
特定した一時認証シンボル、動的な空間マッピング、及びユーザ証明に基づき、ユーザに認証を提供する工程を含む請求項37に記載の方法。
【請求項44】
動的な空間マッピングは疑似ランダムアルゴリズムにより生成される請求項37に記載の方法。
【請求項45】
ログオンの試行後、動的な空間マッピングを変更する工程を含む請求項37に記載の方法。
【請求項46】
動的な空間マッピングは通信チャネルを通じて電子デバイスへ送信される請求項37に記載の方法。
【請求項47】
サーバモジュール及びクライアントモジュールからなるシステムであって、
サーバモジュールは、
割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成するように構成されていることと、
クライアントモジュールは、
電子デバイス上に動的な空間マッピングを提示するように、かつ、
1つ以上の一時認証シンボルを特定する選択信号を受信するように構成されていることと、を含むシステム。
【請求項48】
サーバモジュールは、特定した一時認証シンボル、動的な空間マッピング、及びユーザ証明に基づき、ユーザに認証を提供するように構成されていることを含む請求項47に記載のシステム。
【請求項49】
動的な空間マッピングは疑似ランダムアルゴリズムにより生成される請求項47に記載のシステム。
【請求項50】
コンピュータ可読プログラム部分を有する製品であって、
プロセッサに、
割当認証位置と一時認証シンボルとの間の動的な空間マッピングを生成することと、
電子デバイス上に動的な空間マッピングを提示することと、
1つ以上の一時認証シンボルを特定する選択信号を受信することと、を実行させる命令を含む製品。
【請求項51】
プロセッサに、特定した一時認証シンボル、動的な空間マッピング、及びユーザ証明に基づき、ユーザに認証を提供することを実行させる命令を含む請求項50に記載の製品。
【請求項52】
動的な空間マッピングは疑似ランダムアルゴリズムにより生成される請求項50に記載の製品。
【図1A】
【図1B】
【図2】
【図3A】
【図3B】
【図3C】
【図4】
【図5】
【図1B】
【図2】
【図3A】
【図3B】
【図3C】
【図4】
【図5】
【公表番号】特表2007−525767(P2007−525767A)
【公表日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願番号】特願2007−500781(P2007−500781)
【出願日】平成17年2月25日(2005.2.25)
【国際出願番号】PCT/US2005/006324
【国際公開番号】WO2005/083545
【国際公開日】平成17年9月9日(2005.9.9)
【出願人】(505446770)エフエムアール コーポレイション (12)
【氏名又は名称原語表記】FMR CORP.
【Fターム(参考)】
【公表日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願日】平成17年2月25日(2005.2.25)
【国際出願番号】PCT/US2005/006324
【国際公開番号】WO2005/083545
【国際公開日】平成17年9月9日(2005.9.9)
【出願人】(505446770)エフエムアール コーポレイション (12)
【氏名又は名称原語表記】FMR CORP.
【Fターム(参考)】
[ Back to top ]