個人の存在を条件とする、トークンによるトランザクション認証
【課題】コンピュータに接続した認証トークンを、悪意のあるプログラムに乗っ取られることから保護する。
【解決手段】ホストとサーバとの間のトランザクションを認可するために、トークンをホストへ接続操作する。ホストは、ユーザの識別証明を受信する。そして、トークンおよび/あるいはサーバによって、識別証明を検証する。トークンが、人間による規定の作用を検出した場合、トークンは、トークン認証データを生成し、ホストは、トークン認証データをサーバへ送信する。認証データを受信すると、サーバは、トランザクションを認証す
る。
【解決手段】ホストとサーバとの間のトランザクションを認可するために、トークンをホストへ接続操作する。ホストは、ユーザの識別証明を受信する。そして、トークンおよび/あるいはサーバによって、識別証明を検証する。トークンが、人間による規定の作用を検出した場合、トークンは、トークン認証データを生成し、ホストは、トークン認証データをサーバへ送信する。認証データを受信すると、サーバは、トランザクションを認証す
る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コミュニケーション・ネットワーク上のトランザクションを認証するための
ハードウェア・トークンに関する。
【背景技術】
【0002】
インターネットおよび移動コミュニケーション・ネットワークは、主に電子商取引に関
連して、ますます金融取引に用いられるようになって来ている。ほとんどのトランザクシ
ョンでは、トランザクションを要請する者のIDが証明されなければならない。コミュニ
ケーション・ネットワークは、しばしば不安定であり、また、悪意のあるソフトウェアが
存在することも当り前になっている。その結果、個人のパソコンおよび携帯電話は、信用
できるとはみなされず、パソコンあるいは携帯電話へタイプ入力したこと、また、そのよ
うなデバイスを用いて通信したことは、何であれ、他者によるハッキングによって暴露さ
れるものである。結果、詐欺的なトランザクションからの損害は、毎年何億ドルもあり、
消費者、販売業者および金融機関が負担している。
【0003】
より安全な識別を提供するために、「トークン」または「スマートカード」という形態
の、特殊な電子ハードウェアが開発されて来た。そのようなハードウェアは、通常の攻撃
に十分に耐えるよう、改ざん不可能な構造と暗号法とを組み合わせている。「チャレンジ
&レスポンス」、「一度きりのパスワード」または「時間依存キー」として知られる技術
は、たとえトークンによるトランザクション・セッションが遮断されたとしても、再度の
トランザクションにセッションを再利用できないことを保証している。
【0004】
したがって、金融機関が発行したトークンを、例えば、USBインターフェイスあるい
はスマートカード・リーダを用いてパソコンに結合したとき、金融機関のサーバとパソコ
ンとの間の認証セッションは、トークンの真正を満足に検証する。検証の一部として、ト
ークンは、トークン認証データをサーバへ送信する。トークンの真正のそのような検証を
、本文では、トークンの「認証」と呼ぶ。しかしながら、実際に重要なのは、トークンの
真正ではなく、トークンの所有者の真正である。これは、トークンの不正使用に関わる二
つの抜け道が依然として存在することを示す。1)トークンが物理的に遺失または盗難さ
れた場合、それを、その合法的な所有者のIDを盗むために用いることができる。2)コ
ンピュータ内の悪意あるプログラムは、コンピュータに結合したトークンを操作して、犯
人の利益となるトランザクションを不正に発生させることができる。第一の抜け道を解決
するために、セキュリティ・プロバイダは、「あなたが持っているもの」(すなわち、ト
ークン)を、「あなたが知っていること」(例えば、PINコード)および「あなたが誰
であるか」(例えば、指紋等の生物学的属性)の少なくとも一つと組み合わせたマルチ・
ファクタ認証パラダイムを開発している。
【0005】
悪意のあるプログラムの制御下で作動しているコンピュータのケースは、ウイルス感染
した個人のコンピュータ、またはインターネット・カフェあるいはオフィス・サービス店
にある不特定多数の者が使用するコンピュータである。両ケースでは、コンピュータのキ
ーボードから入力したPIN、あるいはパソコンに結合したデバイスで読み込んだ指紋イ
メージが、悪意あるプログラムによって傍受され、それから不正なトランザクションのた
めにトークンを作動させるのに再利用される可能性がある。長時間に亘ってトークンをホ
ストに挿入したままにすると、この危険性は大いに高まる。トークンが、例えば、USB
フラッシュメモリ・キー等の多目的デバイスの一部を形成している場合、コンピュータに
何時間も結合された状態になる可能性がある。そのような脆弱性への有効な改善策は、ト
ークンそれ自体内に、あるいはトークンを含む多目的デバイス内に、PINパッドまたは
指紋リーダを含ませることである。しかしながら、そのような追加は、トークンを大型化
する、また高価なものとするため、多くの場合望ましいことではない。
【0006】
人間の存在を検出する別な方法には、「CAPTCHA」と呼ぶものがある。例えば、
「http://www.captcha.net.」を参照のこと。人間には判読可能で
あるが、悪意のあるプログラムには判読不可能なフォントを用いて視覚的にユーザへ提示
されたランダムな文字列を、ユーザはタイプするように要求される。この技術の欠点は、
悪意のあるプログラムが、CAPTCHAグラフィクスを、他の場所にいる人間の共犯者
へ送信する、いわゆる「仲裁者」攻撃である。
【0007】
したがって、トークンは、PINを受信するための、あるいはユーザの生物学的属性を
生体情報へ変換するための入力デバイスを含むことを必要とせずに、コンピュータに結合
した認証トークンを、悪意のあるプログラムに乗っ取られないように保護する方法の必要
性が広く認識される、また、そのような方法を得ることは非常に有利である。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、トークンが、PINを受信するための、または生物学的属性を測定す
るための入力デバイスを含むことを要求することなく、コンピュータに接続した認証トー
クンを、悪意のあるプログラムに乗っ取られることから保護するためのシステムおよび機
能を提供することである。より詳しくは、本発明の目的は、ユーザのコンピュータ上で作
動する悪意のあるプログラムが、直前の正規の認証セッションの間に傍受したPINを利
用するとともにコンピュータに接続されたトークンを利用して実行する、意図しない、そ
して目立たない認証セッションから、トークンのユーザを保護することである。
【0009】
「トークン」は、データを含む、および/あるいはデバイスに関連するユニークなID
を認証するための処理能力を含むポータブル・デバイスを意味する。トークンのための模
範的なフォーム・ファクタは、スマートカード、USBキー、そして電話機またはハンド
ヘルド・コンピュータ用の拡張カードを含む。トークンは、独立型デバイスであっても、
またはUSBフラッシュメモリ・ディスク等の、別のデバイスの一部を形成するものであ
ってもよい。
【0010】
「ホスト」は、典型的に販売業者または金融機関である「プロバイダ」の「サーバ」と
のトランザクションを実行するための処理および通信デバイスを意味する。ホストの例と
しては、パーソナルデスクトップまたはラップトップ・コンピュータ、携帯電話、2ウェ
イ・ポケットベル、そしてハンドヘルド・コンピュータを含む。
【0011】
「ユーザ」は、プロバイダとのトランザクションの実行を望み、トランザクションを実
行するためにIDの認証が必要な、彼あるいは彼女自身を代表する、または組織に代わっ
て操作する個人を意味する。
【0012】
「トランザクション」は、当事者の相互確約を伴う、ユーザとプロバイダとの間のビジ
ネス・プロセスを意味する。
【0013】
「個人識別番号」または「PIN」は、個人に既知である、その個人を認証するための
、数字で表した秘密の文字列を意味する。一つの共通なパラダイムによれば、PINは、
ユーザおよびプロバイダにのみ既知である。代替的な共通パラダイムによれば、PINは
、ユーザと彼(女)のトークンにのみ既知である。したがって、トークンをアンロックす
るように機能する。「パスワード」または「パスフレーズ」は、その目的においてPIN
と同様であるが、通常、英文字および記号をも含む。したがって、PINは、パスワード
の特別なケースである。「生物学的属性」は、個人の身体の特徴(例えば、指紋または虹
彩パターン)であり、適当なセンサで読み込んでデジタル化する。したがって、センサが
生成するデジタルデータは、本文で「生体情報」と呼ぶ。「ユーザ識別」は、PIN、パ
スワードまたは生体情報のいずれかを受信して検証することを意味する。PIN、パスワ
ードおよび生体情報は、識別証明の例である。「識別証明」は、トランザクションを要請
する許可が与えられた個人のみからの受信が予想されるデータを意味する。「あなたが知
っていること」(例えば、パスワードまたはPIN)、あるいは「あなたであること」(
例えば、生体情報)のいずれかである。
【0014】
「認可」は、トークンおよびユーザIDからの情報を組み合わせた、ユーザ識別に関す
る信頼性の高い検証を意味する。トークンおよびユーザIDからの情報の組み合わせが、
二つの別個の、必須な情報として、プロバイダのサーバに到達する、あるいはユーザIDがローカルで検証されて、トークンをアンロックして作動させるようローカルで使用され、それからトークンからの情報のみが、プロバイダのサーバで(または専用ハードウェアで、あるいはプロバイダのサーバに関連した認証サービスによって)チェックされる。
【0015】
「悪意のあるプログラム」は、偽の認証を介して詐欺的なトランザクションを生成する
目的で、ホスト上に不正にインストールされたソフトウェア・コードを意味する。悪意の
あるプログラムが、ホストへ結合した入力デバイス(例えば、従来のキーボードあるいは
指紋リーダ)を介して入力されたPIN、パスワードまたは生体情報を傍受すること、ま
た、ホストへ接続したトークンにアクセスすることが可能である、と仮定する。
【0016】
「人間による規定の作用」は、個人のみが行うことが可能な、同じ目的に役立つ可能性
のある機械が生成する作用を除外するという特定目的のために定義した作用を意味する。
例えば、本発明の人間による規定の作用の目的は、ホストへ接続したトークンによって、
個人の存在を検出することである。これは、例えば、トークンを切り離して再接続するこ
とを要求することによって、またはトークンに、個人の存在を検証するために押されなけ
ればならないボタンを備えることによって成就できる。
【0017】
「アノニマス相互作用」は、デバイスまたはシステムとの個人による相互作用を意味す
る。この動作は、例えば、PINまたはパスワード等の制限情報を所有している個人に、
個人を識別することを要求せず、また、個人に特有で個人を識別する生物学的特徴等の属
性を持つことを個人に要求しない。したがって、アノニマス相互作用は、個人の存在を検
証するが、個人を識別しない。
【0018】
本発明の目的は、正規のトランザクションにおいて入力されたユーザIDデータを傍受
したホスト上の悪意のあるプログラムが、透過的にトランザクションを生成してユーザに
代わってトランザクションを不正に認可することを防止することである。
【0019】
本発明のゴールは、トークンの本体内にキーパッドおよび/あるいは指紋センサを埋め
込むことによって、成就することが可能であるが、そのような追加を行うと、トークンは
、よりかさばって、より高価なものとなる。本発明は、したがって、トークン内に埋め込
んだPINあるいはパスワード・キーパッド、または生物測定センサを用いることなく、
上述の目的を達成することを目指す。
【0020】
したがって、本発明によれば、ホストのユーザが開始した、ホストとサーバとの間のト
ランザクションを認可するための、次のステップからなる方法が提供される。(a)ホス
トへトークンを接続操作するステップ。(b)ホストによって、ユーザの識別証明を受信
するステップ。(c)トークンおよびサーバからなるグループから選択した少なくとも一
つのデバイスによって、識別証明を検証するステップ。(d)トークンによって、人間に
よる規定の作用を検出するステップ。(e)検出を条件として、前記トークンによって、
トークン認証データを生成するステップ。(f)ホストによって、トークン認証データを
サーバへ送信するステップ。そして(g)トークン認証データを受信したことを条件とし
て、サーバによって、トランザクションを認可するステップ。
【0021】
さらに、本発明によれば、ホストとサーバとの間のトランザクションを認証するための
、次のものを含むデバイスが提供される。(a)ホストに相互作用するためのデバイス・
インターフェイス。(b)ホストへ取り外し可能にデバイス・インターフェイスを接続操
作するためのコネクタ。そして(c)アノニマスな人間による規定の作用の、コントロー
ラによる検出を条件として、デバイス・インターフェイスを介してホストからトランザク
ション認証要求を受信すると、一度だけトランザクションを認証するように作動可能なコ
ントローラ。
【0022】
さらに、本発明によれば、個人によってホストへ接続操作された周辺デバイスにその個
人の存在を確認する、次のステップを含む方法が提供される。(a)ホストにホスト・ユ
ーザ入力インターフェイスを提供するステップ。(b)周辺デバイスにデバイス・ユーザ
出力インターフェイスを提供するステップ。(c)周辺デバイスによって、デバイス・ユ
ーザ出力インターフェイスに少なくとも一つの出力を生成するステップ。(d)少なくと
も一つの出力の各々に対して、ホストによって、対応する入力を捉えるためにホスト・ユ
ーザ入力インターフェイスを監視するステップ。そして(e)ホストによって、対応する
入力の各々を周辺デバイスへ報告するステップ。各報告が周辺デバイスによって受信され
た場合にのみ、個人の存在が確認される。
【0023】
さらに、本発明によれば、ホストとサーバとの間のトランザクションを認証するための
、次のものを含むデバイスが提供される。(a)ホストに相互作用するためのデバイス・
インターフェイス。(b)ユーザ・インターフェイス。そして(c)デバイス・インター
フェイスを介してホストからトランザクション認証要求を受信すると、サーバを検証し、
そしてユーザ・インターフェイスを介して、検証の成功を表示するように作動可能なコン
トローラ。
【0024】
さらに、本発明によれば、ホストとサーバとの間のトランザクションを認証するための
、次のステップを含む方法が提供される。(a)ホストへトークンを接続操作するステッ
プ。(b)トークンによって、サーバを検証するステップ。そして(c)トークンのユー
ザ・インターフェイスを介して、トークンによって、検証の成功を表示するステップ。
【0025】
本発明の第一の方法は、ホストのユーザが開始した、ホストとサーバとの間のトランザ
クションを認可するための方法である。基本的な方法によれば、トークンは、ホストへ接
続操作される。ホストは、ユーザの識別証明を受信する。識別証明は、トークンによって
、またはサーバによって、あるいはトークンおよびサーバの両方によって検証される。識
別証明が、ホスト上で作動する悪意のあるプログラムによって生成されたものではないこ
とを保証するために、トークンが、人間による規定の作用を検出した場合にのみ、トーク
ンは、トークン認証データを生成する。それから、ホストは、トークン認証データをサー
バへ送信する。サーバがトークン認証データを受信した場合、サーバは、トランザクショ
ンを許可する。
【0026】
ホストが受信する識別証明は、PIN等のパスワードである、あるいは択一的に生体情
報であることが好ましい。
【0027】
トークンが検出する人間による規定の作用は、トークンがホストへ作動可能に接続され
ている間に少なくとも部分的に実行される、個人とトークンとの間の相互作用を含むこと
が好ましい。トークンがホストへ作動可能に接続されている間に相互作用を少なくとも部
分的に実行しなければならないことは、相互作用の定義の範囲から、最初にホストからト
ークンを分離することをせずに単にホストへトークンを接続操作することを除外する。こ
の点に関して、オペレーションの開始時にはトークンがホストへ実際に作動可能に接続さ
れているのだから、ホストからトークンを分離操作することは、トークンがホストへ作動
可能に接続されている間に実行すべきオペレーションである、とみなすことに注意すべき
である。
【0028】
本発明の範囲は、例えば識別証明の受信を介して個人を識別する相互作用を含むが、識
別証明が、トークンによってではなく、ホストによって受信されるので、トークンは、例
えば、キーパッドまたは生物測定センサ等の、大きな、そしてコスト高なユーザ・インタ
ーフェイスを含む必要がない。それでいて、個人を識別することなく個人の存在を検出す
るために、トークンに、ボタンあるいはLED等の、小さな、安価なユーザ・インターフ
ェイスを設けることは、本発明の範囲内にある。ホスト・ユーザ・インターフェイスを介
したユーザ識別を、最小のトークン・ユーザ・インターフェイスを介したトークンによる
アノニマス・ユーザ存在検出に組み合わせることは、本発明の重要な要素である。
【0029】
アノニマス相互作用は、個人とトークンとの間の直接的な相互作用であることが好まし
い。相互作用が「直接的である」というのは、例えばホスト等の、もう一つのエンティテ
ィによって調停されないことを意味する。そのような直接的な相互作用の例としては、ホ
ストからトークンを分離操作してから、トークンをホストへ再接続操作し、そしてトーク
ンを構成する(最小限の)ユーザ・インターフェイスをアノニマスに操作することを含む
。もう一つの、そのような直接的な相互作用は、トークンに、トークンがもうすぐ認証デ
ータを生成することを合図するためのユーザ・インターフェイスを設けることを必要とす
る。関連する相互作用は、その合図後の少なくとも所定の時間だけ、トークンをホストへ
作動可能に接続したままにすることである。
【0030】
択一的に、アノニマス相互作用は、トークンに直接的にではなく、ホストによって調停
する。トークンがユーザ・インターフェイスを備える、そのような調停相互作用の一つの
例は、例えば、ホストのキーボードでキーを押すことによって、ホストに相互作用するこ
とである。この場合、ホストは、トークンのユーザ・インターフェイスから、少なくとも
一つの信号の各々に実質的に同期された、好ましくは複数の信号の各々に実質的に同期さ
れた対応するユーザ入力を受信する。入力を受信すると、ホストは、すぐに入力の受信を
トークンへ報告する。対応する信号の生成に実質的に同期されたこれらの報告の受信は、
トークンによる、人間による規定の作用の検出を構成する。この文脈における「同期」は
、通常の人間の反応時間を考慮して定義する。例えば、信号を聞いた後の1秒以内にキー
を押すことは、信号に同期させることであるが、信号を聞いて20秒後にキーを押すこと
は、信号に同期させたことにはならない。
【0031】
この方法は、また、トークンにユーザ・インターフェイスを提供すること、トークンに
よってサーバを検証すること、そしてトークンによって、検証が成功したかどうかを表示
することを含むことが好ましい。この場合、人間による規定の作用は、検証の成功を条件
とする。検証が失敗ならば、ユーザは、トークンと相互作用することを控える。
【0032】
ホストとサーバとの間のトランザクションを認証するための、本発明の基本的な第一の
デバイスは、ホストに相互作用するためのデバイス・インターフェイス、ホストへ取り外
し可能にデバイスを接続操作するためのコネクタ、そしてデバイス・インターフェイスを
介してホストからトランザクション認証要求を受信し、コントローラによってアノニマス
な人間による規定の作用を検出したときにのみ、一度だけトランザクションを認証するコ
ントローラを含む。
【0033】
そのような人間による規定の作用の一例は、認証要求が受信される前の所定時限内に、
ホストへデバイス・インターフェイスを接続操作することである。この状態を、デバイス
・インターフェイスを介して検出する。
【0034】
人間による規定の作用の他の例は、デバイスがユーザ・インターフェイスをも含むこと
を要求する。そのような一例は、認証を可能にするための、ユーザ・インターフェイスと
の相互作用である。もう一つの、そのような例は、デバイス・インターフェイスを、認証
要求が受信されたことをユーザ・インターフェイスが表示した後の少なくとも所定の時間
だけ、ホストへ作動可能に接続されたままにしておくことである。もう一つの、そのよう
な例は、ユーザ・インターフェイスからの少なくとも一つの信号の各々に実質的に同期さ
せてホストに相互作用することである。しかし、この場合は、ユーザ・インターフェイス
からの複数の信号の各々に同期させることが好ましい。後の例における、コントローラに
よって人間による規定の作用を検出することは、ホストから相互作用の通知を受信するた
めのコントローラを含む。
【0035】
コントローラによる認証は、また、デバイス・インターフェイスを介してのコントロー
ラによる、ホストで入力した識別証明(例えば、パスワード、PINまたは生体情報)の
受信、そしてコントローラによる識別証明の検証を条件とすることが好ましい。
【0036】
デバイスは、また、ユーザ・インターフェイスを含み、そしてコントローラは、また、
サーバを検証し、ユーザ・インターフェイスを介して、サーバの検証が成功したかどうか
を表示するように作動可能であることが好ましい。
【0037】
デバイスは、また、デバイス・インターフェイスを介してホストから受信したデータを
記憶するなどの、トランザクションの認証には関係しない機能を提供するために、例えば
メモリ等の、機能コンポーネントを含むことが好ましい。デバイス・インターフェイスが
ホストへ接続操作されたとき、認証要求が懸案になっていれば、コントローラは、その機
能をホストへ提供することなく、必要条件が満たされたので認証要求を満足させることに
よって、あるいは必要条件が満たされなかったので認証要求を拒否することによって認証
要求を取り扱い、そうではなく、認証要求が懸案でない場合は、コントローラは、ホスト
へその機能を提供することが最も好ましい。認証要求を取り扱った後、コントローラが、
デバイス・インターフェイスを介して、ホストへ機能を提供するよう要求を受信したとき
、コントローラは、ホストからデバイス・インターフェイスを分離操作してからデバイス
・インターフェイスをホストへ再接続操作するよう、ユーザに促すことが最も好ましい。
また、コントローラが、ホストへ機能を提供している間に認証要求を受信した場合、コン
トローラは、デバイス・インターフェイスをホストから分離操作してからデバイス・イン
ターフェイスをホストへ再接続操作するよう、ユーザに促すことが最も好ましい。
【0038】
択一的に、認証要求を取り扱った後、コントローラが、デバイス・インターフェイスを
介して、ホストへ機能を提供するよう要求を受信したとき、コントローラは、ホストへ機
能を提供することを開始する。コントローラが、ホストへ機能を提供している間に認証要
求を受信した場合、コントローラは、ホストへの機能の提供を停止して、その代わりに、
認証要求を取り扱う。
【0039】
本発明のもう一つの方法は、個人がホストへ接続操作したトークン等の周辺デバイスに
、その個人が実際に存在することを確認するための方法である。基本的な方法によれば、
ホストはホスト・ユーザ入力インターフェイスを備え、周辺デバイスは、デバイス・ユー
ザ出力インターフェイスを備え、そのデバイス・ユーザ出力インターフェイスで少なくと
も一つの出力を生成し、そして、ホストは、その出力の各々への対応する入力を捉えるよ
う、ホスト・ユーザ入力インターフェイスを監視し、その入力を周辺デバイスへ報告する
。周辺デバイスが、対応する(単数あるいは複数の)報告を実際に受信した場合にのみ、
個人の存在が確認される。この文脈における「入力インターフェイス」は、ユーザからの
入力を受信するための、例えばボタンまたはキーボード等のインターフェイスであり、「
出力インターフェイス」は、ユーザへ出力を提供するための、例えばLEDまたはディス
プレイ・スクリーン等のインターフェイスである。実際、この方法を適用するホストは、
ほぼ、どのケースでも入力インターフェイスおよび出力インターフェイスを含むが、方法
は、ホストの入力インターフェイスのみを用いる。周辺デバイスは、入力インターフェイ
スを含んでも、あるいは含まなくてもよいが、出力インターフェイスを含まなければなら
ない。
【0040】
周辺デバイスは、時間的にランダムに分散させた、複数の出力を生成することが好まし
い。また、ホストによる対応する出力の生成に実質的に同期されて、各報告が周辺デバイ
スによって受信された場合にのみ、個人の存在が確認されることが好ましい。
【0041】
本発明の第二のデバイスも、ホストとサーバとの間のトランザクションを認証するため
のデバイスである。このデバイスは、ホストに相互作用するためのデバイス・インターフ
ェイス、ユーザ・インターフェイスおよびコントローラを含む。コントローラが、デバイ
ス・インターフェイスを介して、ホストからのトランザクション認証要求を受信したとき
、コントローラは、サーバを検証し、ユーザ・インターフェイスを使用して、サーバの検
証が成功したかどうかを表示する。
【0042】
ホストとサーバとの間のトランザクションを認証するための、本発明の第三の方法は、
第二のデバイスに対応する。ホストに作動可能に接続されたトークンが、サーバを検証し
、そのユーザ・インターフェイスを介して、検証が成功したかどうかを表示する。
【0043】
本発明を、例としてのみ、添付の図面を参照して説明する。
【図面の簡単な説明】
【0044】
【図1】本発明によるシステムを表す、高度なブロック図である。
【図2】図1に示すシステムを作動させる二つの方法を表すフロー・チャートである。
【図2A】図1に示すシステムを作動させる二つの方法を表すフロー・チャートである。
【図3】本発明によるもう一つのシステムを表す、高度なブロック図である。
【図4】図3に示すシステムを作動させる二つの方法を表すフロー・チャートである。
【図4A】図3に示すシステムを作動させる二つの方法を表すフロー・チャートである。
【図5】図5は、必須の、人間による許可のための好適方法を表すフロー・チャートである。
【発明を実施するための形態】
【0045】
本発明は、トークンがユーザ特定情報を直接的に受信する必要のない、ユーザ認証に使
用可能なトークンに関する。
【0046】
本発明によるトークンの原理および作用は、図面とその説明文を参照することによって
、よりよく理解できる。
【0047】
さて、図面を参照する。図1は、本発明によって構成されたシステムの好適実施例10
0を表し、多目的ポータブル・デバイス110の一部を形成する認証トークン112に関
する。多目的ポータブル・デバイス110は、認証トークン112のトークン機能を、例
えば記憶等の、他の機能114に組み合わせる。コントローラ115は、多目的ポータブ
ル・デバイス110のオペレーションを制御し、また、認証トークン112および機能1
14を制御する。インジケータ118は、コントローラ115の制御下で、音声および/
あるいは視覚信号をユーザへ提供する。ボタン120は、ユーザが許可信号を提供するた
めのオプションである。ボタン120は、物理的な押しボタン、または択一的に、インジ
ケータ118と連動する光センサでもよい。例えば、ユーザが多目的ポータブル・デバイ
ス110の本体に接触すると、彼(女)の指がインジケータ118から来る光を反射し、
これを、ボタン120の一部を形成する感光性センサが感知する。デバイス・インターフ
ェイス116は、デバイス側の、USB(ユニバーサル・シリアル・バス)インターフェ
イスまたはSD(セキュア・デジタル)インターフェイス等の、標準的な電気および論理
インターフェイスである。デバイス・コネクタ130は、ホスト150へのリンク140
を介して、配線接続または無線接続を提供する。
【0048】
例えば、パソコン、携帯電話あるいは2ウェイ・ポケットベル等のホスト150は、ユ
ーザが、例えばインターネットまたは携帯リンクへの結合等のネットワーク接続172を
介して、プロバイダ(図示せず)の遠隔サーバとトランザクションを実行することを可能
にする。CPU156は、オペレーティングシステム、ワープロ、通信プログラム等の、
ソフトウェアプログラムであるサービス154の下で、ホスト150のオペレーションを
制御する。ユーザは、例えば、キーボード、指紋リーダおよび/あるいはスクリーンを含
むユーザ・インターフェイス152を使用して、ホスト150を操作する、また、ユーザ
IDとして、PIN、パスワードあるいは生体情報を提供する。ホスト・インターフェイ
ス158は、ホスト側の、多目的ポータブル・デバイス110との、標準的な電気および
論理インターフェイスを提供し、ホスト・コネクタ170は、多目的ポータブル・デバイ
ス110との、リンク140を介した有線または無線接続を提供する。悪意のあるプログ
ラム160は、ホスト150内に存在し、ユーザ・インターフェイス152を介して入力
されるPIN、パスワードおよび/あるいは生体情報を傍受し、それから、多目的ポータ
ブル・デバイス110がホスト150に接続されたときに認証トークン112を利用しよ
うと試み、多目的ポータブル・デバイス110の正規の所有者になりすまして不正なトラ
ンザクションを生成する、と推定する。
【0049】
図2は、図1に示す多目的ポータブル・デバイス110のオペレーションのための、第
一の好適方法を表すフロー・チャートである。上述したように、本方法の主要な目的は、
多目的ポータブル・デバイス110が、機能114を目的としてホスト150に接続され
ているとき、例えば、機能114内に記憶機能を含む多目的ポータブル・デバイス110
が、記憶の目的でホスト150に長時間接続されているとき、悪意のあるプログラム16
0が不正なトランザクションを生成することを防止することである。ステップ200で、
多目的ポータブル・デバイス110をホスト150へ作動可能に接続する。接続の一部と
して、デバイス・インターフェイス116とホスト・インターフェイス158との間で、
論理ハンドシェイクが行われる。これは、ステップ202で、ホスト150が懸案の認証
セッションの最中であるかどうかを、コントローラ115が識別できるようにする。答え
が否定である場合、ステップ210において、コントローラ115は、機能114の機能
のために、多目的ポータブル・デバイス110のみをマウントする。すなわち、認証トー
クン112は、分離され、ホスト150へのアクセスが不可能である。ステップ212で
、認証トークン112が使用不能である間、ホスト150は、サービス154を実行する
、および/あるいは多目的ポータブル・デバイス110の機能114と連動する(例えば
、機能114内に含まれるデータ記憶デバイス上での、読み込みおよび書き込みオペレー
ションを実行する)。明らかであるが、この段階では、認証トークン112が接続されて
いないため、悪意のあるプログラム160は、少しの認証トランザクションも実行できな
い。サービスの一つが認証を必要とする場合、このことがステップ214で検出されるこ
とによって、ステップ230へ進む。ここで、ユーザは、ホスト150から多目的ポータ
ブル・デバイス110を取り外して、それから、多目的ポータブル・デバイス110をホ
スト150に再接続するよう、ホスト150に促される。これは、人間の関与を必要とす
る、悪意あるプログラム160が実行できない手作業である。ステップ230でユーザが
従った場合にのみ、システム100はステップ200へ戻るが、今度は、ホスト150は
、CPU156がホスト・インターフェイス158に通知して、認証を待つ。多目的ポー
タブル・デバイス110とホスト150との間のハンドシェイク中のこの時点で、ステッ
プ202が、懸案の認証があることを識別した場合、それに応じて、ステップ220へ進
む。そこで、認証トークン112の機能のために、多目的ポータブル・デバイス110が
マウントされ、機能114は使用不能になる。ステップ221で、ユーザは、ユーザ・イ
ンターフェイス152へ、彼(女)のPIN、パスワードまたは生物学的識別属性を提示
するよう促され、ステップ222で、単一の認証セッションが実行され、その後、認証ト
ークン112は使用不能になる。もし、ステップ226で、機能114による追加のオペ
レーションを望むなら、ステップ230で促されたとき、多目的ポータブル・デバイス1
10を再接続する必要がある。
【0050】
図2のプロシージャが、多目的ポータブル・デバイス110の所有者を、悪意のあるプ
ログラム160が、彼または彼女に代わって認証トークン112を作動させて、気づかれ
ないように不正なトランザクションを繰り返すことから保護することは明らかである。し
かしながら、悪意のあるプログラム160が利用可能な、いくつかの抜け道は依然として
存在する。これらの抜け道は、図2のステップ223、224、225および227で、
少なくとも部分的に解決できる。第一の抜け道は、悪意あるプログラム160が、バック
グラウンドで不正なトランザクションを準備することである。これは、ユーザが、機能1
14内のある機能を実行するために、ホスト150へ多目的ポータブル・デバイス110
を接続するとき、悪意あるプログラムが、ステップ202で、認証ペンディング・ステー
タスを実際に生成し、不正なトランザクションを実行できることである。この場合、認証
のためにステップ220への移動があり機能の使用が不能になるため、ユーザは、彼(女
)の所望の機能にアクセスすることに失敗するが、多くのユーザは、単にハードウェアの
不良を非難し、不正なトランザクションに気づくことはない。これを防止するためには、
オプションとして、ステップ224での、人間による明確な許可が必要となる。この明確
な許可は、ボタン120を押すことによって、または以下の図5で説明する方法の下で、
ホストのユーザ・インターフェイス152を通しても提供できる。代替的に、あるいは追
加的に、ステップ225で、トランザクションに気づかないことがないよう、ユーザにト
ランザクションを知らせるために、インジケータ118が特別な音声および/あるいは視
覚的な信号を生成する。さらに、視聴覚信号を、認証セッションに対して2、3秒先行で
きるので、ユーザには、トランザクションを防止するに十分な、ステップ227に示す、
ホスト150から多目的ポータブル・デバイス110を取り外すための時間がある。もう
一つの予防措置は、ユーザが、異なるウェブサイトに接続されているのに彼/彼女が正規
のウェブサイトでトランザクションを実行している、とユーザに信じ込ませる「フィッシ
ング」に対して取ることができる。フィッシングは、ステップ223におけるホスト検証
によって防止する。この場合、ステップ222の認証を拡張して、ネットワーク接続17
2を介して接続されたプロバイダのサーバのIDの暗号検証を含め、そして相手側のホス
トが照合され、そのIDが認証トークン112によって記録されたことを、インジケータ
118を介して(例えば、特別な音または点滅緑光によって)合図する。
【0051】
図2Aは、認証と他の機能セッションとの間でホスト150から多目的ポータブル・デ
バイス110を物理的に取り外すことを必要としない、オペレーティングシステム100
の代替的な方法を表すフロー・チャートである。以下の点を除き、すべてのステップは、
図2のものと同様である。ボタン120を押す、あるいは 図5の方法を適用することに
よって、ステップ224の、人間による明確な許可を示すことは必須である。ステップ2
30および240のいずれのモードに対するマウントも、コントローラ115の制御下で
論理的に実行されるため、ホスト150から多目的ポータブル・デバイス110を物理的
に取り外す必要はない。ステップ234および236における、一方から他方へのモード
切り換えは、物理的な再マウントではなく、論理的な再マウントで実行する。注目すべき
ことは、論理マウントを用いる代わりに、認証トークン112および機能114の両方を
同時にマウントしたままにしておいて、コントローラ115がそれらの機能を単に切り替
えてもよい、ということである。したがって、単語「マウントする」に代わるものとして
、単語「作動させる」がステップ230および240に現れる。明らかなことは、図2A
の実施例の下では、人間による許可224が必須であるため、一回の許可につき、単一の
認証のみを行うことが可能である。
【0052】
図3は、本発明のもう一つの、好適なシステム300を図解する。これは、図1に示す
多目的ポータブル・デバイス110を、認証以外の機能を全く持たない単一目的ポータブ
ル・トークン310で置換している。ホスト151は、サービス155が、多目的ポータ
ブル・デバイス110の追加的機能114を必要とするサービスを含む必要がないという
こと以外において、ホスト150と同様である。トークン・インターフェイス318およ
びトークン・コネクタ330は、各々、図1に示すデバイス・インターフェイス116お
よびデバイス・コネクタ130と同様である。クリプトコントローラ316はポータブル
・トークン310のオペレーションを制御し、インジケータ118およびボタン120は
、図1に示すそれらの対照物と同じである。
【0053】
図4は、図3のシステム300のオペレーションを表すフローチャートである。ステッ
プ400で、ポータブル・トークン310を、ホスト151に作動可能に接続する。ポー
タブル・トークン310の唯一の目的は認証であるのだから、実際の認証オペレーション
は、ステップ404でチェックするように、所定の時限(例えば、1分間)内に実行され
る、と推定する。この時限内に認証を開始すると、ステップ221および222で、図2
のものに同様な、単一の認証オペレーションが実行され、図2の場合のように、オプショ
ンとして、ホスト検証223、人間による許可224、そして視聴覚表示225も行われ
る。もし、ステップ426で、ユーザが、図3に示すサービス155の一つを介して、も
う一回の認証セッションを行いたい場合、彼/彼女は、ステップ430で、ポータブル・
トークン310を物理的に切り離してホスト151へ再接続するよう促される。もしステ
ップ404で、認証が(例えば)1分間という所定の時限内に開始されなかった場合は、
ステップ410で、トークンは使用不能になる。ステップ414において認証の必要があ
る場合には、ユーザは、ステップ430で、ポータブル・トークン310を物理的に切り
離してホスト151へ再接続するよう促される。
【0054】
図4Aは、認証セッション間でホスト151からポータブル・トークン310を物理的
に取り外すことを必要としない、オペレーティングシステム300の代替的な方法を表す
フロー・チャートである。ステップ400で、ポータブル・トークン310をホスト15
1へ接続する。ステップ221、222、223、224および225は、人間による明
確な許可が必須であるステップ224以外、図4のものと同じである。ステップ426は
、必須である人間による明確な許可222などによって、(ステップ221のユーザID
を繰り返す必要が全くなく)ステップ222におけるもう一回の認証オペレーションへ導
いてもよい。
【0055】
図5は、図2、2A、4および4Aに示す必須の人間による許可224のための、ボタ
ン120を押すことを代替する好適方法を表すフローチャートである。キー押しを検出す
るアプリケーションが、ホスト150またはホスト151上で作動し、キーが押される度
に、接続された多目的ポータブル・デバイス110またはポータブル・トークン310へ
瞬時に報告する。ゴールは、ユーザ許可のためにユーザ・インターフェイス152(例え
ば、従来のキーボード)を、悪意のあるプログラム160が模倣できない様式で用いるこ
とを可能にすることである。これは、ユーザに、視聴覚インジケータ118から受信した
信号に同期させて、ユーザ・インターフェイス152上のキーを押させることによって実
行する。(信号を、コントローラ115によって、あるいはクリプトコントローラ316
によって自動的に生成するとき)人間であるユーザは信号に気づくが、悪意あるプログラ
ム160は信号にに対して盲目であるため、人間である操作者の存在が確認できる。図解
の例示的なプロシージャは、ユーザに、ホスト・コンピュータのユーザ・インターフェイ
ス152上の一つのキーを、インジケータ118から受信した信号に同期させて、四度連
続で押すことを要請する。もしユーザが、第一回目の、四度押しセッション中の、いずれ
のキー押しをミスしても、彼/彼女は、四度のキー押しに対する、もう二回のチャンスが
ある。彼/彼女が三回連続でセッションに失敗すると、トークンはそれ自体をロックする
。ロックしたトークンのアンロックには、例えば、サービス事務所への訪問等の、人間で
あるユーザによる決定的な手作業が必要である。この要件は、悪意のあるプログラムが、
複数のセッションに渡って、正しいタイミングが推測できるまで、キー押しの正しいタイ
ミングをランダムに推測することを繰り返し試みることを防止するために提供されるもの
である。失敗を探知するために、コントローラ115(図1)の、またはクリプトコント
ローラ316(図3)の一部を形成する失敗カウンタが設けられている。この失敗カウン
タは、製造時、パーソナライズ時、または例えば、悪意あるプログラムが到達不可能であ
ろうサービス事務所の信頼できるコンピュータで、ユーザが他の決定的な手作業を行った
とき、ゼロに予めセットされる。また、失敗カウンタは、以下のステップ540で説明す
るように、一連のキー押しが成功したとき、ゼロにリセットされる。
【0056】
したがって、ステップ500において、成功フラグを論理真へセットし、その後、ステ
ップ502で、4つのキー押し入力のセッションを介してループする。ステップ504で
、コントローラ115またはクリプトコントローラ316が、0と4の間の乱数を生成し
て、インジケータ118がオフの間、この秒数だけ待機する。ステップ506で、もしこ
の待ち時間内にキー押しが検出されると、成功フラグは、偽へセットされる。それから、
ステップ508で、コントローラ115またはクリプトコントローラ316によって、イ
ンジケータ118を介して信号を生成する。そしてステップ510で、信号持続時間内に
キー押しを期待する。キー押しが検出されたら、四度のキー押しセッション・ループはス
テップ502へ戻る。そうでない場合、ステップ512で、成功フラグを偽へセットし、
その後、ステップ502におけるループを継続する。全四セッションが完了すると、ルー
プはステップ530の方へ出て、そこで成功フラグが調べられる。ユーザ・インターフェ
イス152におけるすべての四度のキー押しが、インジケータ118からの信号に同期し
ていた場合にだけ、成功フラグは真に留まる。このことは、ステップ540で、コントロ
ーラ115またはクリプトコントローラ316内に含んだ失敗カウンタをゼロへリセット
すること、それから、ステップ542で、認証を是認することへ導く。すなわち、図2、
2A、4および4Aのいずれにあっても、ステップ222の実行へ導く。キー押しと信号
との同期における一度の失敗でさえ、ループ502は、ステップ530で、成功=偽で終
了する。このことは、ステップ532へ導き、先に言及した失敗カウンタを1だけ増加す
る。もし失敗カウンタが許容失敗数、例えば3を超過した場合、ステップ534は、コン
トローラ115またはクリプトコントローラ316が、ステップ536において、それ自
体をロックするように導き、ステップ538でサービスを拒絶する(すなわち、図2、2
A、4および4Aのいずれにおいても、ステップ222で認証は実行されない)。しかし
、最高二度の先の失敗に対しては、ステップ534は、ステップ498で、インジケータ
118および/あるいはユーザ・インターフェイス152を介してメッセージを生成する
よう導き、ステップ500で、ユーザにもう一度試すよう勧める。
【0057】
注目すべきことは、悪意あるプログラムが単独で認証を完了することを防止するために
、上記のすべての異形実施例が、人間のみが実行できる必須の手作業ステップを要求する
ことである。また、そのようなステップが認証のために要求されることは珍しいし、他の
ことで用いられるとしたら意味のないことである。そのような手作業ステップの例は、以
下のものを含む。ホストへのデバイスの再接続、特殊目的ボタンを押すこと、不正な認証
が発生する前にユーザがトークンの接続を断つことができるよう警告信号を送信すること
、タイムリーな様式でトークンをホストへ接続すること、そしてトークンから受信した視
聴覚信号に同期させてホストのキーを押すこと。
【0058】
したがって、本発明の焦点は、悪意のあるプログラムが単独でトークンを操作すること
を防止するために、人間である操作者が実際に存在して管理していることを確認すること
にある。人間である操作者は、ホストへPIN、パスワードまたは生物学的属性を提示す
ることによって、別個に識別される必要がある。ユーザ識別の要求は、紛失または盗難に
対してのものであり、トークンを、(PIN、パスワードまたは生体情報を傍受した、と
推定する)悪意のあるプログラムから保護するに至っていない。したがって、拾った、あ
るいは盗んだトークンで、不正なトランザクションを生成しようと試みる犯人は、トーク
ンの所有者が使用するホスト上に、悪意あるプログラムをこっそりとインストールする犯
人と同じではない、と暗黙のうちに仮定する。ホストに悪意のあるプログラムをインスト
ールし、その後、ホスト上で使用されたトークンを手に入れる犯人は、容易にトークンの
所有者のふりをすることができる。本発明は、そのようなシナリオに対しては無力である
が、そのようなシナリオは、ほとんどあり得ないため、本発明の一般的な有用性は保たれ
る。
【0059】
本発明を限られた数の実施例に関して説明したが、本発明の多くの変形、修正、そして
他の応用が可能であることは明らかである。
【技術分野】
【0001】
本発明は、コミュニケーション・ネットワーク上のトランザクションを認証するための
ハードウェア・トークンに関する。
【背景技術】
【0002】
インターネットおよび移動コミュニケーション・ネットワークは、主に電子商取引に関
連して、ますます金融取引に用いられるようになって来ている。ほとんどのトランザクシ
ョンでは、トランザクションを要請する者のIDが証明されなければならない。コミュニ
ケーション・ネットワークは、しばしば不安定であり、また、悪意のあるソフトウェアが
存在することも当り前になっている。その結果、個人のパソコンおよび携帯電話は、信用
できるとはみなされず、パソコンあるいは携帯電話へタイプ入力したこと、また、そのよ
うなデバイスを用いて通信したことは、何であれ、他者によるハッキングによって暴露さ
れるものである。結果、詐欺的なトランザクションからの損害は、毎年何億ドルもあり、
消費者、販売業者および金融機関が負担している。
【0003】
より安全な識別を提供するために、「トークン」または「スマートカード」という形態
の、特殊な電子ハードウェアが開発されて来た。そのようなハードウェアは、通常の攻撃
に十分に耐えるよう、改ざん不可能な構造と暗号法とを組み合わせている。「チャレンジ
&レスポンス」、「一度きりのパスワード」または「時間依存キー」として知られる技術
は、たとえトークンによるトランザクション・セッションが遮断されたとしても、再度の
トランザクションにセッションを再利用できないことを保証している。
【0004】
したがって、金融機関が発行したトークンを、例えば、USBインターフェイスあるい
はスマートカード・リーダを用いてパソコンに結合したとき、金融機関のサーバとパソコ
ンとの間の認証セッションは、トークンの真正を満足に検証する。検証の一部として、ト
ークンは、トークン認証データをサーバへ送信する。トークンの真正のそのような検証を
、本文では、トークンの「認証」と呼ぶ。しかしながら、実際に重要なのは、トークンの
真正ではなく、トークンの所有者の真正である。これは、トークンの不正使用に関わる二
つの抜け道が依然として存在することを示す。1)トークンが物理的に遺失または盗難さ
れた場合、それを、その合法的な所有者のIDを盗むために用いることができる。2)コ
ンピュータ内の悪意あるプログラムは、コンピュータに結合したトークンを操作して、犯
人の利益となるトランザクションを不正に発生させることができる。第一の抜け道を解決
するために、セキュリティ・プロバイダは、「あなたが持っているもの」(すなわち、ト
ークン)を、「あなたが知っていること」(例えば、PINコード)および「あなたが誰
であるか」(例えば、指紋等の生物学的属性)の少なくとも一つと組み合わせたマルチ・
ファクタ認証パラダイムを開発している。
【0005】
悪意のあるプログラムの制御下で作動しているコンピュータのケースは、ウイルス感染
した個人のコンピュータ、またはインターネット・カフェあるいはオフィス・サービス店
にある不特定多数の者が使用するコンピュータである。両ケースでは、コンピュータのキ
ーボードから入力したPIN、あるいはパソコンに結合したデバイスで読み込んだ指紋イ
メージが、悪意あるプログラムによって傍受され、それから不正なトランザクションのた
めにトークンを作動させるのに再利用される可能性がある。長時間に亘ってトークンをホ
ストに挿入したままにすると、この危険性は大いに高まる。トークンが、例えば、USB
フラッシュメモリ・キー等の多目的デバイスの一部を形成している場合、コンピュータに
何時間も結合された状態になる可能性がある。そのような脆弱性への有効な改善策は、ト
ークンそれ自体内に、あるいはトークンを含む多目的デバイス内に、PINパッドまたは
指紋リーダを含ませることである。しかしながら、そのような追加は、トークンを大型化
する、また高価なものとするため、多くの場合望ましいことではない。
【0006】
人間の存在を検出する別な方法には、「CAPTCHA」と呼ぶものがある。例えば、
「http://www.captcha.net.」を参照のこと。人間には判読可能で
あるが、悪意のあるプログラムには判読不可能なフォントを用いて視覚的にユーザへ提示
されたランダムな文字列を、ユーザはタイプするように要求される。この技術の欠点は、
悪意のあるプログラムが、CAPTCHAグラフィクスを、他の場所にいる人間の共犯者
へ送信する、いわゆる「仲裁者」攻撃である。
【0007】
したがって、トークンは、PINを受信するための、あるいはユーザの生物学的属性を
生体情報へ変換するための入力デバイスを含むことを必要とせずに、コンピュータに結合
した認証トークンを、悪意のあるプログラムに乗っ取られないように保護する方法の必要
性が広く認識される、また、そのような方法を得ることは非常に有利である。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、トークンが、PINを受信するための、または生物学的属性を測定す
るための入力デバイスを含むことを要求することなく、コンピュータに接続した認証トー
クンを、悪意のあるプログラムに乗っ取られることから保護するためのシステムおよび機
能を提供することである。より詳しくは、本発明の目的は、ユーザのコンピュータ上で作
動する悪意のあるプログラムが、直前の正規の認証セッションの間に傍受したPINを利
用するとともにコンピュータに接続されたトークンを利用して実行する、意図しない、そ
して目立たない認証セッションから、トークンのユーザを保護することである。
【0009】
「トークン」は、データを含む、および/あるいはデバイスに関連するユニークなID
を認証するための処理能力を含むポータブル・デバイスを意味する。トークンのための模
範的なフォーム・ファクタは、スマートカード、USBキー、そして電話機またはハンド
ヘルド・コンピュータ用の拡張カードを含む。トークンは、独立型デバイスであっても、
またはUSBフラッシュメモリ・ディスク等の、別のデバイスの一部を形成するものであ
ってもよい。
【0010】
「ホスト」は、典型的に販売業者または金融機関である「プロバイダ」の「サーバ」と
のトランザクションを実行するための処理および通信デバイスを意味する。ホストの例と
しては、パーソナルデスクトップまたはラップトップ・コンピュータ、携帯電話、2ウェ
イ・ポケットベル、そしてハンドヘルド・コンピュータを含む。
【0011】
「ユーザ」は、プロバイダとのトランザクションの実行を望み、トランザクションを実
行するためにIDの認証が必要な、彼あるいは彼女自身を代表する、または組織に代わっ
て操作する個人を意味する。
【0012】
「トランザクション」は、当事者の相互確約を伴う、ユーザとプロバイダとの間のビジ
ネス・プロセスを意味する。
【0013】
「個人識別番号」または「PIN」は、個人に既知である、その個人を認証するための
、数字で表した秘密の文字列を意味する。一つの共通なパラダイムによれば、PINは、
ユーザおよびプロバイダにのみ既知である。代替的な共通パラダイムによれば、PINは
、ユーザと彼(女)のトークンにのみ既知である。したがって、トークンをアンロックす
るように機能する。「パスワード」または「パスフレーズ」は、その目的においてPIN
と同様であるが、通常、英文字および記号をも含む。したがって、PINは、パスワード
の特別なケースである。「生物学的属性」は、個人の身体の特徴(例えば、指紋または虹
彩パターン)であり、適当なセンサで読み込んでデジタル化する。したがって、センサが
生成するデジタルデータは、本文で「生体情報」と呼ぶ。「ユーザ識別」は、PIN、パ
スワードまたは生体情報のいずれかを受信して検証することを意味する。PIN、パスワ
ードおよび生体情報は、識別証明の例である。「識別証明」は、トランザクションを要請
する許可が与えられた個人のみからの受信が予想されるデータを意味する。「あなたが知
っていること」(例えば、パスワードまたはPIN)、あるいは「あなたであること」(
例えば、生体情報)のいずれかである。
【0014】
「認可」は、トークンおよびユーザIDからの情報を組み合わせた、ユーザ識別に関す
る信頼性の高い検証を意味する。トークンおよびユーザIDからの情報の組み合わせが、
二つの別個の、必須な情報として、プロバイダのサーバに到達する、あるいはユーザIDがローカルで検証されて、トークンをアンロックして作動させるようローカルで使用され、それからトークンからの情報のみが、プロバイダのサーバで(または専用ハードウェアで、あるいはプロバイダのサーバに関連した認証サービスによって)チェックされる。
【0015】
「悪意のあるプログラム」は、偽の認証を介して詐欺的なトランザクションを生成する
目的で、ホスト上に不正にインストールされたソフトウェア・コードを意味する。悪意の
あるプログラムが、ホストへ結合した入力デバイス(例えば、従来のキーボードあるいは
指紋リーダ)を介して入力されたPIN、パスワードまたは生体情報を傍受すること、ま
た、ホストへ接続したトークンにアクセスすることが可能である、と仮定する。
【0016】
「人間による規定の作用」は、個人のみが行うことが可能な、同じ目的に役立つ可能性
のある機械が生成する作用を除外するという特定目的のために定義した作用を意味する。
例えば、本発明の人間による規定の作用の目的は、ホストへ接続したトークンによって、
個人の存在を検出することである。これは、例えば、トークンを切り離して再接続するこ
とを要求することによって、またはトークンに、個人の存在を検証するために押されなけ
ればならないボタンを備えることによって成就できる。
【0017】
「アノニマス相互作用」は、デバイスまたはシステムとの個人による相互作用を意味す
る。この動作は、例えば、PINまたはパスワード等の制限情報を所有している個人に、
個人を識別することを要求せず、また、個人に特有で個人を識別する生物学的特徴等の属
性を持つことを個人に要求しない。したがって、アノニマス相互作用は、個人の存在を検
証するが、個人を識別しない。
【0018】
本発明の目的は、正規のトランザクションにおいて入力されたユーザIDデータを傍受
したホスト上の悪意のあるプログラムが、透過的にトランザクションを生成してユーザに
代わってトランザクションを不正に認可することを防止することである。
【0019】
本発明のゴールは、トークンの本体内にキーパッドおよび/あるいは指紋センサを埋め
込むことによって、成就することが可能であるが、そのような追加を行うと、トークンは
、よりかさばって、より高価なものとなる。本発明は、したがって、トークン内に埋め込
んだPINあるいはパスワード・キーパッド、または生物測定センサを用いることなく、
上述の目的を達成することを目指す。
【0020】
したがって、本発明によれば、ホストのユーザが開始した、ホストとサーバとの間のト
ランザクションを認可するための、次のステップからなる方法が提供される。(a)ホス
トへトークンを接続操作するステップ。(b)ホストによって、ユーザの識別証明を受信
するステップ。(c)トークンおよびサーバからなるグループから選択した少なくとも一
つのデバイスによって、識別証明を検証するステップ。(d)トークンによって、人間に
よる規定の作用を検出するステップ。(e)検出を条件として、前記トークンによって、
トークン認証データを生成するステップ。(f)ホストによって、トークン認証データを
サーバへ送信するステップ。そして(g)トークン認証データを受信したことを条件とし
て、サーバによって、トランザクションを認可するステップ。
【0021】
さらに、本発明によれば、ホストとサーバとの間のトランザクションを認証するための
、次のものを含むデバイスが提供される。(a)ホストに相互作用するためのデバイス・
インターフェイス。(b)ホストへ取り外し可能にデバイス・インターフェイスを接続操
作するためのコネクタ。そして(c)アノニマスな人間による規定の作用の、コントロー
ラによる検出を条件として、デバイス・インターフェイスを介してホストからトランザク
ション認証要求を受信すると、一度だけトランザクションを認証するように作動可能なコ
ントローラ。
【0022】
さらに、本発明によれば、個人によってホストへ接続操作された周辺デバイスにその個
人の存在を確認する、次のステップを含む方法が提供される。(a)ホストにホスト・ユ
ーザ入力インターフェイスを提供するステップ。(b)周辺デバイスにデバイス・ユーザ
出力インターフェイスを提供するステップ。(c)周辺デバイスによって、デバイス・ユ
ーザ出力インターフェイスに少なくとも一つの出力を生成するステップ。(d)少なくと
も一つの出力の各々に対して、ホストによって、対応する入力を捉えるためにホスト・ユ
ーザ入力インターフェイスを監視するステップ。そして(e)ホストによって、対応する
入力の各々を周辺デバイスへ報告するステップ。各報告が周辺デバイスによって受信され
た場合にのみ、個人の存在が確認される。
【0023】
さらに、本発明によれば、ホストとサーバとの間のトランザクションを認証するための
、次のものを含むデバイスが提供される。(a)ホストに相互作用するためのデバイス・
インターフェイス。(b)ユーザ・インターフェイス。そして(c)デバイス・インター
フェイスを介してホストからトランザクション認証要求を受信すると、サーバを検証し、
そしてユーザ・インターフェイスを介して、検証の成功を表示するように作動可能なコン
トローラ。
【0024】
さらに、本発明によれば、ホストとサーバとの間のトランザクションを認証するための
、次のステップを含む方法が提供される。(a)ホストへトークンを接続操作するステッ
プ。(b)トークンによって、サーバを検証するステップ。そして(c)トークンのユー
ザ・インターフェイスを介して、トークンによって、検証の成功を表示するステップ。
【0025】
本発明の第一の方法は、ホストのユーザが開始した、ホストとサーバとの間のトランザ
クションを認可するための方法である。基本的な方法によれば、トークンは、ホストへ接
続操作される。ホストは、ユーザの識別証明を受信する。識別証明は、トークンによって
、またはサーバによって、あるいはトークンおよびサーバの両方によって検証される。識
別証明が、ホスト上で作動する悪意のあるプログラムによって生成されたものではないこ
とを保証するために、トークンが、人間による規定の作用を検出した場合にのみ、トーク
ンは、トークン認証データを生成する。それから、ホストは、トークン認証データをサー
バへ送信する。サーバがトークン認証データを受信した場合、サーバは、トランザクショ
ンを許可する。
【0026】
ホストが受信する識別証明は、PIN等のパスワードである、あるいは択一的に生体情
報であることが好ましい。
【0027】
トークンが検出する人間による規定の作用は、トークンがホストへ作動可能に接続され
ている間に少なくとも部分的に実行される、個人とトークンとの間の相互作用を含むこと
が好ましい。トークンがホストへ作動可能に接続されている間に相互作用を少なくとも部
分的に実行しなければならないことは、相互作用の定義の範囲から、最初にホストからト
ークンを分離することをせずに単にホストへトークンを接続操作することを除外する。こ
の点に関して、オペレーションの開始時にはトークンがホストへ実際に作動可能に接続さ
れているのだから、ホストからトークンを分離操作することは、トークンがホストへ作動
可能に接続されている間に実行すべきオペレーションである、とみなすことに注意すべき
である。
【0028】
本発明の範囲は、例えば識別証明の受信を介して個人を識別する相互作用を含むが、識
別証明が、トークンによってではなく、ホストによって受信されるので、トークンは、例
えば、キーパッドまたは生物測定センサ等の、大きな、そしてコスト高なユーザ・インタ
ーフェイスを含む必要がない。それでいて、個人を識別することなく個人の存在を検出す
るために、トークンに、ボタンあるいはLED等の、小さな、安価なユーザ・インターフ
ェイスを設けることは、本発明の範囲内にある。ホスト・ユーザ・インターフェイスを介
したユーザ識別を、最小のトークン・ユーザ・インターフェイスを介したトークンによる
アノニマス・ユーザ存在検出に組み合わせることは、本発明の重要な要素である。
【0029】
アノニマス相互作用は、個人とトークンとの間の直接的な相互作用であることが好まし
い。相互作用が「直接的である」というのは、例えばホスト等の、もう一つのエンティテ
ィによって調停されないことを意味する。そのような直接的な相互作用の例としては、ホ
ストからトークンを分離操作してから、トークンをホストへ再接続操作し、そしてトーク
ンを構成する(最小限の)ユーザ・インターフェイスをアノニマスに操作することを含む
。もう一つの、そのような直接的な相互作用は、トークンに、トークンがもうすぐ認証デ
ータを生成することを合図するためのユーザ・インターフェイスを設けることを必要とす
る。関連する相互作用は、その合図後の少なくとも所定の時間だけ、トークンをホストへ
作動可能に接続したままにすることである。
【0030】
択一的に、アノニマス相互作用は、トークンに直接的にではなく、ホストによって調停
する。トークンがユーザ・インターフェイスを備える、そのような調停相互作用の一つの
例は、例えば、ホストのキーボードでキーを押すことによって、ホストに相互作用するこ
とである。この場合、ホストは、トークンのユーザ・インターフェイスから、少なくとも
一つの信号の各々に実質的に同期された、好ましくは複数の信号の各々に実質的に同期さ
れた対応するユーザ入力を受信する。入力を受信すると、ホストは、すぐに入力の受信を
トークンへ報告する。対応する信号の生成に実質的に同期されたこれらの報告の受信は、
トークンによる、人間による規定の作用の検出を構成する。この文脈における「同期」は
、通常の人間の反応時間を考慮して定義する。例えば、信号を聞いた後の1秒以内にキー
を押すことは、信号に同期させることであるが、信号を聞いて20秒後にキーを押すこと
は、信号に同期させたことにはならない。
【0031】
この方法は、また、トークンにユーザ・インターフェイスを提供すること、トークンに
よってサーバを検証すること、そしてトークンによって、検証が成功したかどうかを表示
することを含むことが好ましい。この場合、人間による規定の作用は、検証の成功を条件
とする。検証が失敗ならば、ユーザは、トークンと相互作用することを控える。
【0032】
ホストとサーバとの間のトランザクションを認証するための、本発明の基本的な第一の
デバイスは、ホストに相互作用するためのデバイス・インターフェイス、ホストへ取り外
し可能にデバイスを接続操作するためのコネクタ、そしてデバイス・インターフェイスを
介してホストからトランザクション認証要求を受信し、コントローラによってアノニマス
な人間による規定の作用を検出したときにのみ、一度だけトランザクションを認証するコ
ントローラを含む。
【0033】
そのような人間による規定の作用の一例は、認証要求が受信される前の所定時限内に、
ホストへデバイス・インターフェイスを接続操作することである。この状態を、デバイス
・インターフェイスを介して検出する。
【0034】
人間による規定の作用の他の例は、デバイスがユーザ・インターフェイスをも含むこと
を要求する。そのような一例は、認証を可能にするための、ユーザ・インターフェイスと
の相互作用である。もう一つの、そのような例は、デバイス・インターフェイスを、認証
要求が受信されたことをユーザ・インターフェイスが表示した後の少なくとも所定の時間
だけ、ホストへ作動可能に接続されたままにしておくことである。もう一つの、そのよう
な例は、ユーザ・インターフェイスからの少なくとも一つの信号の各々に実質的に同期さ
せてホストに相互作用することである。しかし、この場合は、ユーザ・インターフェイス
からの複数の信号の各々に同期させることが好ましい。後の例における、コントローラに
よって人間による規定の作用を検出することは、ホストから相互作用の通知を受信するた
めのコントローラを含む。
【0035】
コントローラによる認証は、また、デバイス・インターフェイスを介してのコントロー
ラによる、ホストで入力した識別証明(例えば、パスワード、PINまたは生体情報)の
受信、そしてコントローラによる識別証明の検証を条件とすることが好ましい。
【0036】
デバイスは、また、ユーザ・インターフェイスを含み、そしてコントローラは、また、
サーバを検証し、ユーザ・インターフェイスを介して、サーバの検証が成功したかどうか
を表示するように作動可能であることが好ましい。
【0037】
デバイスは、また、デバイス・インターフェイスを介してホストから受信したデータを
記憶するなどの、トランザクションの認証には関係しない機能を提供するために、例えば
メモリ等の、機能コンポーネントを含むことが好ましい。デバイス・インターフェイスが
ホストへ接続操作されたとき、認証要求が懸案になっていれば、コントローラは、その機
能をホストへ提供することなく、必要条件が満たされたので認証要求を満足させることに
よって、あるいは必要条件が満たされなかったので認証要求を拒否することによって認証
要求を取り扱い、そうではなく、認証要求が懸案でない場合は、コントローラは、ホスト
へその機能を提供することが最も好ましい。認証要求を取り扱った後、コントローラが、
デバイス・インターフェイスを介して、ホストへ機能を提供するよう要求を受信したとき
、コントローラは、ホストからデバイス・インターフェイスを分離操作してからデバイス
・インターフェイスをホストへ再接続操作するよう、ユーザに促すことが最も好ましい。
また、コントローラが、ホストへ機能を提供している間に認証要求を受信した場合、コン
トローラは、デバイス・インターフェイスをホストから分離操作してからデバイス・イン
ターフェイスをホストへ再接続操作するよう、ユーザに促すことが最も好ましい。
【0038】
択一的に、認証要求を取り扱った後、コントローラが、デバイス・インターフェイスを
介して、ホストへ機能を提供するよう要求を受信したとき、コントローラは、ホストへ機
能を提供することを開始する。コントローラが、ホストへ機能を提供している間に認証要
求を受信した場合、コントローラは、ホストへの機能の提供を停止して、その代わりに、
認証要求を取り扱う。
【0039】
本発明のもう一つの方法は、個人がホストへ接続操作したトークン等の周辺デバイスに
、その個人が実際に存在することを確認するための方法である。基本的な方法によれば、
ホストはホスト・ユーザ入力インターフェイスを備え、周辺デバイスは、デバイス・ユー
ザ出力インターフェイスを備え、そのデバイス・ユーザ出力インターフェイスで少なくと
も一つの出力を生成し、そして、ホストは、その出力の各々への対応する入力を捉えるよ
う、ホスト・ユーザ入力インターフェイスを監視し、その入力を周辺デバイスへ報告する
。周辺デバイスが、対応する(単数あるいは複数の)報告を実際に受信した場合にのみ、
個人の存在が確認される。この文脈における「入力インターフェイス」は、ユーザからの
入力を受信するための、例えばボタンまたはキーボード等のインターフェイスであり、「
出力インターフェイス」は、ユーザへ出力を提供するための、例えばLEDまたはディス
プレイ・スクリーン等のインターフェイスである。実際、この方法を適用するホストは、
ほぼ、どのケースでも入力インターフェイスおよび出力インターフェイスを含むが、方法
は、ホストの入力インターフェイスのみを用いる。周辺デバイスは、入力インターフェイ
スを含んでも、あるいは含まなくてもよいが、出力インターフェイスを含まなければなら
ない。
【0040】
周辺デバイスは、時間的にランダムに分散させた、複数の出力を生成することが好まし
い。また、ホストによる対応する出力の生成に実質的に同期されて、各報告が周辺デバイ
スによって受信された場合にのみ、個人の存在が確認されることが好ましい。
【0041】
本発明の第二のデバイスも、ホストとサーバとの間のトランザクションを認証するため
のデバイスである。このデバイスは、ホストに相互作用するためのデバイス・インターフ
ェイス、ユーザ・インターフェイスおよびコントローラを含む。コントローラが、デバイ
ス・インターフェイスを介して、ホストからのトランザクション認証要求を受信したとき
、コントローラは、サーバを検証し、ユーザ・インターフェイスを使用して、サーバの検
証が成功したかどうかを表示する。
【0042】
ホストとサーバとの間のトランザクションを認証するための、本発明の第三の方法は、
第二のデバイスに対応する。ホストに作動可能に接続されたトークンが、サーバを検証し
、そのユーザ・インターフェイスを介して、検証が成功したかどうかを表示する。
【0043】
本発明を、例としてのみ、添付の図面を参照して説明する。
【図面の簡単な説明】
【0044】
【図1】本発明によるシステムを表す、高度なブロック図である。
【図2】図1に示すシステムを作動させる二つの方法を表すフロー・チャートである。
【図2A】図1に示すシステムを作動させる二つの方法を表すフロー・チャートである。
【図3】本発明によるもう一つのシステムを表す、高度なブロック図である。
【図4】図3に示すシステムを作動させる二つの方法を表すフロー・チャートである。
【図4A】図3に示すシステムを作動させる二つの方法を表すフロー・チャートである。
【図5】図5は、必須の、人間による許可のための好適方法を表すフロー・チャートである。
【発明を実施するための形態】
【0045】
本発明は、トークンがユーザ特定情報を直接的に受信する必要のない、ユーザ認証に使
用可能なトークンに関する。
【0046】
本発明によるトークンの原理および作用は、図面とその説明文を参照することによって
、よりよく理解できる。
【0047】
さて、図面を参照する。図1は、本発明によって構成されたシステムの好適実施例10
0を表し、多目的ポータブル・デバイス110の一部を形成する認証トークン112に関
する。多目的ポータブル・デバイス110は、認証トークン112のトークン機能を、例
えば記憶等の、他の機能114に組み合わせる。コントローラ115は、多目的ポータブ
ル・デバイス110のオペレーションを制御し、また、認証トークン112および機能1
14を制御する。インジケータ118は、コントローラ115の制御下で、音声および/
あるいは視覚信号をユーザへ提供する。ボタン120は、ユーザが許可信号を提供するた
めのオプションである。ボタン120は、物理的な押しボタン、または択一的に、インジ
ケータ118と連動する光センサでもよい。例えば、ユーザが多目的ポータブル・デバイ
ス110の本体に接触すると、彼(女)の指がインジケータ118から来る光を反射し、
これを、ボタン120の一部を形成する感光性センサが感知する。デバイス・インターフ
ェイス116は、デバイス側の、USB(ユニバーサル・シリアル・バス)インターフェ
イスまたはSD(セキュア・デジタル)インターフェイス等の、標準的な電気および論理
インターフェイスである。デバイス・コネクタ130は、ホスト150へのリンク140
を介して、配線接続または無線接続を提供する。
【0048】
例えば、パソコン、携帯電話あるいは2ウェイ・ポケットベル等のホスト150は、ユ
ーザが、例えばインターネットまたは携帯リンクへの結合等のネットワーク接続172を
介して、プロバイダ(図示せず)の遠隔サーバとトランザクションを実行することを可能
にする。CPU156は、オペレーティングシステム、ワープロ、通信プログラム等の、
ソフトウェアプログラムであるサービス154の下で、ホスト150のオペレーションを
制御する。ユーザは、例えば、キーボード、指紋リーダおよび/あるいはスクリーンを含
むユーザ・インターフェイス152を使用して、ホスト150を操作する、また、ユーザ
IDとして、PIN、パスワードあるいは生体情報を提供する。ホスト・インターフェイ
ス158は、ホスト側の、多目的ポータブル・デバイス110との、標準的な電気および
論理インターフェイスを提供し、ホスト・コネクタ170は、多目的ポータブル・デバイ
ス110との、リンク140を介した有線または無線接続を提供する。悪意のあるプログ
ラム160は、ホスト150内に存在し、ユーザ・インターフェイス152を介して入力
されるPIN、パスワードおよび/あるいは生体情報を傍受し、それから、多目的ポータ
ブル・デバイス110がホスト150に接続されたときに認証トークン112を利用しよ
うと試み、多目的ポータブル・デバイス110の正規の所有者になりすまして不正なトラ
ンザクションを生成する、と推定する。
【0049】
図2は、図1に示す多目的ポータブル・デバイス110のオペレーションのための、第
一の好適方法を表すフロー・チャートである。上述したように、本方法の主要な目的は、
多目的ポータブル・デバイス110が、機能114を目的としてホスト150に接続され
ているとき、例えば、機能114内に記憶機能を含む多目的ポータブル・デバイス110
が、記憶の目的でホスト150に長時間接続されているとき、悪意のあるプログラム16
0が不正なトランザクションを生成することを防止することである。ステップ200で、
多目的ポータブル・デバイス110をホスト150へ作動可能に接続する。接続の一部と
して、デバイス・インターフェイス116とホスト・インターフェイス158との間で、
論理ハンドシェイクが行われる。これは、ステップ202で、ホスト150が懸案の認証
セッションの最中であるかどうかを、コントローラ115が識別できるようにする。答え
が否定である場合、ステップ210において、コントローラ115は、機能114の機能
のために、多目的ポータブル・デバイス110のみをマウントする。すなわち、認証トー
クン112は、分離され、ホスト150へのアクセスが不可能である。ステップ212で
、認証トークン112が使用不能である間、ホスト150は、サービス154を実行する
、および/あるいは多目的ポータブル・デバイス110の機能114と連動する(例えば
、機能114内に含まれるデータ記憶デバイス上での、読み込みおよび書き込みオペレー
ションを実行する)。明らかであるが、この段階では、認証トークン112が接続されて
いないため、悪意のあるプログラム160は、少しの認証トランザクションも実行できな
い。サービスの一つが認証を必要とする場合、このことがステップ214で検出されるこ
とによって、ステップ230へ進む。ここで、ユーザは、ホスト150から多目的ポータ
ブル・デバイス110を取り外して、それから、多目的ポータブル・デバイス110をホ
スト150に再接続するよう、ホスト150に促される。これは、人間の関与を必要とす
る、悪意あるプログラム160が実行できない手作業である。ステップ230でユーザが
従った場合にのみ、システム100はステップ200へ戻るが、今度は、ホスト150は
、CPU156がホスト・インターフェイス158に通知して、認証を待つ。多目的ポー
タブル・デバイス110とホスト150との間のハンドシェイク中のこの時点で、ステッ
プ202が、懸案の認証があることを識別した場合、それに応じて、ステップ220へ進
む。そこで、認証トークン112の機能のために、多目的ポータブル・デバイス110が
マウントされ、機能114は使用不能になる。ステップ221で、ユーザは、ユーザ・イ
ンターフェイス152へ、彼(女)のPIN、パスワードまたは生物学的識別属性を提示
するよう促され、ステップ222で、単一の認証セッションが実行され、その後、認証ト
ークン112は使用不能になる。もし、ステップ226で、機能114による追加のオペ
レーションを望むなら、ステップ230で促されたとき、多目的ポータブル・デバイス1
10を再接続する必要がある。
【0050】
図2のプロシージャが、多目的ポータブル・デバイス110の所有者を、悪意のあるプ
ログラム160が、彼または彼女に代わって認証トークン112を作動させて、気づかれ
ないように不正なトランザクションを繰り返すことから保護することは明らかである。し
かしながら、悪意のあるプログラム160が利用可能な、いくつかの抜け道は依然として
存在する。これらの抜け道は、図2のステップ223、224、225および227で、
少なくとも部分的に解決できる。第一の抜け道は、悪意あるプログラム160が、バック
グラウンドで不正なトランザクションを準備することである。これは、ユーザが、機能1
14内のある機能を実行するために、ホスト150へ多目的ポータブル・デバイス110
を接続するとき、悪意あるプログラムが、ステップ202で、認証ペンディング・ステー
タスを実際に生成し、不正なトランザクションを実行できることである。この場合、認証
のためにステップ220への移動があり機能の使用が不能になるため、ユーザは、彼(女
)の所望の機能にアクセスすることに失敗するが、多くのユーザは、単にハードウェアの
不良を非難し、不正なトランザクションに気づくことはない。これを防止するためには、
オプションとして、ステップ224での、人間による明確な許可が必要となる。この明確
な許可は、ボタン120を押すことによって、または以下の図5で説明する方法の下で、
ホストのユーザ・インターフェイス152を通しても提供できる。代替的に、あるいは追
加的に、ステップ225で、トランザクションに気づかないことがないよう、ユーザにト
ランザクションを知らせるために、インジケータ118が特別な音声および/あるいは視
覚的な信号を生成する。さらに、視聴覚信号を、認証セッションに対して2、3秒先行で
きるので、ユーザには、トランザクションを防止するに十分な、ステップ227に示す、
ホスト150から多目的ポータブル・デバイス110を取り外すための時間がある。もう
一つの予防措置は、ユーザが、異なるウェブサイトに接続されているのに彼/彼女が正規
のウェブサイトでトランザクションを実行している、とユーザに信じ込ませる「フィッシ
ング」に対して取ることができる。フィッシングは、ステップ223におけるホスト検証
によって防止する。この場合、ステップ222の認証を拡張して、ネットワーク接続17
2を介して接続されたプロバイダのサーバのIDの暗号検証を含め、そして相手側のホス
トが照合され、そのIDが認証トークン112によって記録されたことを、インジケータ
118を介して(例えば、特別な音または点滅緑光によって)合図する。
【0051】
図2Aは、認証と他の機能セッションとの間でホスト150から多目的ポータブル・デ
バイス110を物理的に取り外すことを必要としない、オペレーティングシステム100
の代替的な方法を表すフロー・チャートである。以下の点を除き、すべてのステップは、
図2のものと同様である。ボタン120を押す、あるいは 図5の方法を適用することに
よって、ステップ224の、人間による明確な許可を示すことは必須である。ステップ2
30および240のいずれのモードに対するマウントも、コントローラ115の制御下で
論理的に実行されるため、ホスト150から多目的ポータブル・デバイス110を物理的
に取り外す必要はない。ステップ234および236における、一方から他方へのモード
切り換えは、物理的な再マウントではなく、論理的な再マウントで実行する。注目すべき
ことは、論理マウントを用いる代わりに、認証トークン112および機能114の両方を
同時にマウントしたままにしておいて、コントローラ115がそれらの機能を単に切り替
えてもよい、ということである。したがって、単語「マウントする」に代わるものとして
、単語「作動させる」がステップ230および240に現れる。明らかなことは、図2A
の実施例の下では、人間による許可224が必須であるため、一回の許可につき、単一の
認証のみを行うことが可能である。
【0052】
図3は、本発明のもう一つの、好適なシステム300を図解する。これは、図1に示す
多目的ポータブル・デバイス110を、認証以外の機能を全く持たない単一目的ポータブ
ル・トークン310で置換している。ホスト151は、サービス155が、多目的ポータ
ブル・デバイス110の追加的機能114を必要とするサービスを含む必要がないという
こと以外において、ホスト150と同様である。トークン・インターフェイス318およ
びトークン・コネクタ330は、各々、図1に示すデバイス・インターフェイス116お
よびデバイス・コネクタ130と同様である。クリプトコントローラ316はポータブル
・トークン310のオペレーションを制御し、インジケータ118およびボタン120は
、図1に示すそれらの対照物と同じである。
【0053】
図4は、図3のシステム300のオペレーションを表すフローチャートである。ステッ
プ400で、ポータブル・トークン310を、ホスト151に作動可能に接続する。ポー
タブル・トークン310の唯一の目的は認証であるのだから、実際の認証オペレーション
は、ステップ404でチェックするように、所定の時限(例えば、1分間)内に実行され
る、と推定する。この時限内に認証を開始すると、ステップ221および222で、図2
のものに同様な、単一の認証オペレーションが実行され、図2の場合のように、オプショ
ンとして、ホスト検証223、人間による許可224、そして視聴覚表示225も行われ
る。もし、ステップ426で、ユーザが、図3に示すサービス155の一つを介して、も
う一回の認証セッションを行いたい場合、彼/彼女は、ステップ430で、ポータブル・
トークン310を物理的に切り離してホスト151へ再接続するよう促される。もしステ
ップ404で、認証が(例えば)1分間という所定の時限内に開始されなかった場合は、
ステップ410で、トークンは使用不能になる。ステップ414において認証の必要があ
る場合には、ユーザは、ステップ430で、ポータブル・トークン310を物理的に切り
離してホスト151へ再接続するよう促される。
【0054】
図4Aは、認証セッション間でホスト151からポータブル・トークン310を物理的
に取り外すことを必要としない、オペレーティングシステム300の代替的な方法を表す
フロー・チャートである。ステップ400で、ポータブル・トークン310をホスト15
1へ接続する。ステップ221、222、223、224および225は、人間による明
確な許可が必須であるステップ224以外、図4のものと同じである。ステップ426は
、必須である人間による明確な許可222などによって、(ステップ221のユーザID
を繰り返す必要が全くなく)ステップ222におけるもう一回の認証オペレーションへ導
いてもよい。
【0055】
図5は、図2、2A、4および4Aに示す必須の人間による許可224のための、ボタ
ン120を押すことを代替する好適方法を表すフローチャートである。キー押しを検出す
るアプリケーションが、ホスト150またはホスト151上で作動し、キーが押される度
に、接続された多目的ポータブル・デバイス110またはポータブル・トークン310へ
瞬時に報告する。ゴールは、ユーザ許可のためにユーザ・インターフェイス152(例え
ば、従来のキーボード)を、悪意のあるプログラム160が模倣できない様式で用いるこ
とを可能にすることである。これは、ユーザに、視聴覚インジケータ118から受信した
信号に同期させて、ユーザ・インターフェイス152上のキーを押させることによって実
行する。(信号を、コントローラ115によって、あるいはクリプトコントローラ316
によって自動的に生成するとき)人間であるユーザは信号に気づくが、悪意あるプログラ
ム160は信号にに対して盲目であるため、人間である操作者の存在が確認できる。図解
の例示的なプロシージャは、ユーザに、ホスト・コンピュータのユーザ・インターフェイ
ス152上の一つのキーを、インジケータ118から受信した信号に同期させて、四度連
続で押すことを要請する。もしユーザが、第一回目の、四度押しセッション中の、いずれ
のキー押しをミスしても、彼/彼女は、四度のキー押しに対する、もう二回のチャンスが
ある。彼/彼女が三回連続でセッションに失敗すると、トークンはそれ自体をロックする
。ロックしたトークンのアンロックには、例えば、サービス事務所への訪問等の、人間で
あるユーザによる決定的な手作業が必要である。この要件は、悪意のあるプログラムが、
複数のセッションに渡って、正しいタイミングが推測できるまで、キー押しの正しいタイ
ミングをランダムに推測することを繰り返し試みることを防止するために提供されるもの
である。失敗を探知するために、コントローラ115(図1)の、またはクリプトコント
ローラ316(図3)の一部を形成する失敗カウンタが設けられている。この失敗カウン
タは、製造時、パーソナライズ時、または例えば、悪意あるプログラムが到達不可能であ
ろうサービス事務所の信頼できるコンピュータで、ユーザが他の決定的な手作業を行った
とき、ゼロに予めセットされる。また、失敗カウンタは、以下のステップ540で説明す
るように、一連のキー押しが成功したとき、ゼロにリセットされる。
【0056】
したがって、ステップ500において、成功フラグを論理真へセットし、その後、ステ
ップ502で、4つのキー押し入力のセッションを介してループする。ステップ504で
、コントローラ115またはクリプトコントローラ316が、0と4の間の乱数を生成し
て、インジケータ118がオフの間、この秒数だけ待機する。ステップ506で、もしこ
の待ち時間内にキー押しが検出されると、成功フラグは、偽へセットされる。それから、
ステップ508で、コントローラ115またはクリプトコントローラ316によって、イ
ンジケータ118を介して信号を生成する。そしてステップ510で、信号持続時間内に
キー押しを期待する。キー押しが検出されたら、四度のキー押しセッション・ループはス
テップ502へ戻る。そうでない場合、ステップ512で、成功フラグを偽へセットし、
その後、ステップ502におけるループを継続する。全四セッションが完了すると、ルー
プはステップ530の方へ出て、そこで成功フラグが調べられる。ユーザ・インターフェ
イス152におけるすべての四度のキー押しが、インジケータ118からの信号に同期し
ていた場合にだけ、成功フラグは真に留まる。このことは、ステップ540で、コントロ
ーラ115またはクリプトコントローラ316内に含んだ失敗カウンタをゼロへリセット
すること、それから、ステップ542で、認証を是認することへ導く。すなわち、図2、
2A、4および4Aのいずれにあっても、ステップ222の実行へ導く。キー押しと信号
との同期における一度の失敗でさえ、ループ502は、ステップ530で、成功=偽で終
了する。このことは、ステップ532へ導き、先に言及した失敗カウンタを1だけ増加す
る。もし失敗カウンタが許容失敗数、例えば3を超過した場合、ステップ534は、コン
トローラ115またはクリプトコントローラ316が、ステップ536において、それ自
体をロックするように導き、ステップ538でサービスを拒絶する(すなわち、図2、2
A、4および4Aのいずれにおいても、ステップ222で認証は実行されない)。しかし
、最高二度の先の失敗に対しては、ステップ534は、ステップ498で、インジケータ
118および/あるいはユーザ・インターフェイス152を介してメッセージを生成する
よう導き、ステップ500で、ユーザにもう一度試すよう勧める。
【0057】
注目すべきことは、悪意あるプログラムが単独で認証を完了することを防止するために
、上記のすべての異形実施例が、人間のみが実行できる必須の手作業ステップを要求する
ことである。また、そのようなステップが認証のために要求されることは珍しいし、他の
ことで用いられるとしたら意味のないことである。そのような手作業ステップの例は、以
下のものを含む。ホストへのデバイスの再接続、特殊目的ボタンを押すこと、不正な認証
が発生する前にユーザがトークンの接続を断つことができるよう警告信号を送信すること
、タイムリーな様式でトークンをホストへ接続すること、そしてトークンから受信した視
聴覚信号に同期させてホストのキーを押すこと。
【0058】
したがって、本発明の焦点は、悪意のあるプログラムが単独でトークンを操作すること
を防止するために、人間である操作者が実際に存在して管理していることを確認すること
にある。人間である操作者は、ホストへPIN、パスワードまたは生物学的属性を提示す
ることによって、別個に識別される必要がある。ユーザ識別の要求は、紛失または盗難に
対してのものであり、トークンを、(PIN、パスワードまたは生体情報を傍受した、と
推定する)悪意のあるプログラムから保護するに至っていない。したがって、拾った、あ
るいは盗んだトークンで、不正なトランザクションを生成しようと試みる犯人は、トーク
ンの所有者が使用するホスト上に、悪意あるプログラムをこっそりとインストールする犯
人と同じではない、と暗黙のうちに仮定する。ホストに悪意のあるプログラムをインスト
ールし、その後、ホスト上で使用されたトークンを手に入れる犯人は、容易にトークンの
所有者のふりをすることができる。本発明は、そのようなシナリオに対しては無力である
が、そのようなシナリオは、ほとんどあり得ないため、本発明の一般的な有用性は保たれ
る。
【0059】
本発明を限られた数の実施例に関して説明したが、本発明の多くの変形、修正、そして
他の応用が可能であることは明らかである。
【特許請求の範囲】
【請求項1】
ホストのユーザが開始した、前記ホストとサーバとの間のトランザクションを認可するための方法であって、
(a)前記ホストへトークンを操作上接続するステップ、
(b)前記ホストによって、前記ユーザの識別証明を受信するステップ、
(c)前記トークンおよび前記サーバからなるグループから選択した少なくとも一つのデ
バイスで、前記識別証明を検証するステップ、
(d)前記トークンによって、人間による規定の作用を検出するステップ、
(e)前記検出を条件として、前記トークンによって、トークン認証データを生成するス
テップ、
(f)前記ホストによって、前記トークン認証データを前記サーバへ送信するステップ、
そして
(g)前記トークン認証データを受信することを条件として、前記サーバによってトラン
ザクションを認可するステップからなる、方法。
【請求項1】
ホストのユーザが開始した、前記ホストとサーバとの間のトランザクションを認可するための方法であって、
(a)前記ホストへトークンを操作上接続するステップ、
(b)前記ホストによって、前記ユーザの識別証明を受信するステップ、
(c)前記トークンおよび前記サーバからなるグループから選択した少なくとも一つのデ
バイスで、前記識別証明を検証するステップ、
(d)前記トークンによって、人間による規定の作用を検出するステップ、
(e)前記検出を条件として、前記トークンによって、トークン認証データを生成するス
テップ、
(f)前記ホストによって、前記トークン認証データを前記サーバへ送信するステップ、
そして
(g)前記トークン認証データを受信することを条件として、前記サーバによってトラン
ザクションを認可するステップからなる、方法。
【図1】
【図2】
【図2A】
【図3】
【図4】
【図4A】
【図5】
【図2】
【図2A】
【図3】
【図4】
【図4A】
【図5】
【公開番号】特開2012−48728(P2012−48728A)
【公開日】平成24年3月8日(2012.3.8)
【国際特許分類】
【外国語出願】
【出願番号】特願2011−204303(P2011−204303)
【出願日】平成23年9月20日(2011.9.20)
【分割の表示】特願2008−511863(P2008−511863)の分割
【原出願日】平成18年5月17日(2006.5.17)
【出願人】(502111536)サンディスク アイエル リミテッド (64)
【住所又は居所原語表記】Central Park 2000,Atir Yeda Street 7,44425 Kfar Sabad,Israel
【Fターム(参考)】
【公開日】平成24年3月8日(2012.3.8)
【国際特許分類】
【出願番号】特願2011−204303(P2011−204303)
【出願日】平成23年9月20日(2011.9.20)
【分割の表示】特願2008−511863(P2008−511863)の分割
【原出願日】平成18年5月17日(2006.5.17)
【出願人】(502111536)サンディスク アイエル リミテッド (64)
【住所又は居所原語表記】Central Park 2000,Atir Yeda Street 7,44425 Kfar Sabad,Israel
【Fターム(参考)】
[ Back to top ]