取引の認可
バックグラウンドシステム(10)と交信できる端末(18)を用いるユーザによる取引認可のための方法において、ユーザ及びバックグラウンドシステム(10)には知られているが違法な攻撃者には知られていない秘密が用いられる。バックグラウンドシステム(10)は、端末(18)をバックグラウンドシステム(10)で認証できた場合にのみ、秘密を表す秘密データを端末(18)に送信する。一般に、いく人かのユーザの秘密データがバックグラウンドシステム(10)に格納されるから、端末(18)はユーザを識別する識別情報を前もって検出し、対応するユーザ識別情報をバックグラウンドシステム(10)に送信する。端末(18)がユーザに秘密を表示すれば、ユーザは端末(18)が信頼できることを確信することができる。装置及びコンピュータプログラム製品は対応する特徴を有する。発明は、ユーザによる偽装端末(18)の認識を可能にする、端末(18)を用いるユーザによる取引認可のための技法を提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は全般的には取引の電子実行の分野に関し、さらに詳しくは、ユーザによる取引の認可の分野に関する。本明細書の用語において、「取引」は特に、正当なユーザによる認可が疑いの余地もなく検証できなければならない、正当であるかまたは事実上の手続きを指すと理解されるべきである。そのような取引は、例えば、電子支払いまたはその他の何らかの金銭取引または意向の電子告知とすることができる。
【背景技術】
【0002】
取引の電子認可については、ユーザだけに知られているか、及び/またはユーザの協力によってのみ与えられ得る、ユーザを認可する個人的特徴を用いることが通例である。かつては主として秘密番号(PIN=個人識別番号)がそのような個人的特徴として用いられていたが、生物測定法特徴がますます重要になってきている。そのような生物測定法個人的特徴は、例えば、指紋を走査することによるか、あるいはユーザの顔または眼の写真を撮ることによるか、あるいはユーザの筆跡のサンプルを記録することによって、判定することができる。
【0003】
取引の認可のため、ユーザは通常、端末において個人的特徴を入力するか、及び/または端末に対して特徴をアクセス可能にするように指示される。しかし、この場合、一般にユーザが端末の完全性を確信するための信頼できる手段をもたないという問題がある。詐欺目的で設置された端末に対してユーザが彼/彼女の個人的特徴をアクセス可能にしてしまうと、彼/彼女の指紋のような、ユーザの個人的特徴が記録され、後に偽装端末によって不正使用され得る。
【0004】
特許文献1は、ユーザによって提供された秘密−例えば、ユーザだけに知られているパスワード−が暗号化された形態でICカードに格納されるシステムを開示している。ユーザが個人的特徴としてPINを入力するように指示される前に、端末が暗号化されたパスワードを読み取り、それを平文でユーザに表示する。偽装端末は暗号化された符号語を解読できないであろうから、正しいパスワードの表示によってユーザはこれが信頼できる端末であるとわかる。
【0005】
しかし、上述したシステムは暗号化されたパスワードが格納されたICカードまたは何か別のデータ記憶媒体をユーザが携帯していることを前提としている。これが必須ではなければ、ユーザにとって一層便宜がよいであろう。特に生物測定法認可手続きには、別にデータ記憶媒体が用いられるべきであるという要件がともなわないことが多い。例えば、支払取引の生物測定法認かにおいては、これは可能な限り簡単であるべき手続きを構成する上で肝要な点である。
【特許文献1】独国特許出願公開第4141964A1号明細書
【発明の開示】
【発明が解決しようとする課題】
【0006】
本発明の課題は、上述した問題を少なくともある程度回避し、偽装端末を認識する機会をユーザに与える端末を用いる、ユーザによる取引認可のための技法を提供することである。好ましい実施形態において、本発明は特に生物測定法認可技法の使用に適合されるべきである。
【課題を解決するための手段】
【0007】
本発明にしたがえば、上記課題は、特許請求項1にしたがう端末によって実行される方法、特許請求項8にしたがうバックグラウンドシステムによって実行される方法、特許請求項13にしたがう方法、特許請求項16にしたがう装置及び特許請求項17にしたがうコンピュータプログラム製品により、完全にまたはある程度達成される。従属請求項は本発明の好ましい実施形態を定める。
【0008】
本発明は、端末がデータを交換することができる、バックグラウンドシステム(ホストシステム)にユーザだけに知られている秘密に関するデータを格納するという基本アイデアに基づく。バックグラウンドシステムは、端末が真正であることがバックグラウンドシステムによって認証できた−すなわち、認可された端末であることが証明された−場合にのみ端末にユーザの秘密データを送信する。バックグラウンドシステムは通常多くのユーザの秘密データを格納しているから、バックグラウンドシステムがユーザに割り当てられた秘密データにアクセス可能になる前に、ユーザの識別が必要である。
【0009】
端末を認証できた後にバックグラウンドシステムによって秘密データの形態で端末に送られる秘密がユーザに向けて再生される。よって端末が信頼できることをユーザに保証することができる。取引を認可するため、ユーザは次いで、ユーザがいかなる不正使用も恐れる必要なしに、彼/彼女の個人的特徴を入力することができ、または端末に対して個人的特徴をアクセス可能にすることができる。次いで、取引が実行され、ユーザの個人的特徴は認可を検証するために役立つ。
【0010】
本発明は、ユーザのデータ記憶媒体の携帯を必要としない、ユーザによる検証が可能な端末の認証という大きな利点を提供する。これにより、多くのユーザがユーザの生物測定法データのおこり得る不正使用に関心をもっていることから特に、生物測定法認証手続きの採用が大きく進み得る。
【0011】
方法請求項のステップの列挙順序は保護範囲の制限と理解されるべきではない。むしろ、これらの方法ステップが様々な順序で、あるいは完全にまたは部分的に並行して、あるいは完全にまたは部分的にインターリーブされて実行される、本発明の実施形態が提供される。これは特に、データが取得され、送信され、処理される、端末とバックグラウンドシステムの関連するステップの可能なインターリーブに関係する。さらに、特にバックグラウンドシステムにおける端末の認証及びバックグラウンドシステムへのユーザの識別データの送信は、単一ステップで、あるいは−いかなる順序の−複数の副ステップでも、行うことができる。
【0012】
バックグラウンドシステムにおける端末の認証に対して、偽装端末の使用を不可能にするであろう、あるいはそのような使用を少なくとも大きく妨げるであろう、いかなる方法もここで用いることができる。一般に、そのような認証方法は端末の秘密鍵に基づき、共通鍵暗号化または非共通鍵暗号化を用いることができる。端末は認証のためにバックグラウンドシステムに情報を送信することが好ましく、この情報により端末が秘密鍵を有しているかをバックグラウンドシステムが判定することが可能になる。しかし、秘密鍵自体は、権限のない人物が端末とバックグラウンドシステムの間の多数の交信過程を盗聴し、解析したとしても、権限のない人物が入手し得るべきではない。
【0013】
好ましい実施形態において、MAC(メッセージ認証コード)または暗号署名によって保全されたメッセージが端末の認証に用いられる。このメッセージは、ユーザによって端末に入力されたか、またはユーザに関する識別情報から端末によって導出された、ユーザ識別データを含むことが好ましい。
【0014】
ユーザに戻される秘密は、ユーザによって容易に識別され、偽装端末が推測することは困難または不可能であろう、どのようなタイプの情報であってもよい。端末の出力手段に依存して、情報は、例えば、表示される文字情報及び/または表示される画像情報及び/または音響出力及び/または触覚情報からなることができる。
【0015】
ユーザの完了できた取引を探り出すことによる不正操作の可能性を防止するため、好ましい実施形態は、1つの取引と次の取引の間で変わり、例えば複数の与えられた秘密情報から選択することができる秘密を用いる。いくつかの実施形態において、以前の取引に関する情報、例えば最後に行われた取引におけるユーザの写真が秘密に含められることができ、あるいは秘密を形成することができる。
【0016】
好ましい実施形態において、ユーザの個人的特徴は生物測定法特徴である。端末の実施形態に依存して、例えば、ユーザの指紋を判定することができ、及び/またはユーザの署名のサンプルを記録することができ、及び/またはユーザまたはユーザの個別身体部位の写真またはスキャンを作成することができ、及び/またはユーザの音声サンプルを解析することができる。しかし、このことが、個人的特徴がパスワードまたは秘密番号であるか、あるいは個人的特徴がデータ記憶媒体に格納される、本発明の実施形態を排除することにはならない。しかし、そのような実施形態は、ユーザにとってそれほど便宜がよくないので、それほど好ましくはない。
【0017】
個人的特徴は端末によってバックグラウンドシステムに送信され、そこでチェックされることが好ましい。個人的特徴のチェックに合格した場合、取引は認可されたと見なされ、端末は例えば対応する確認通知を出力することができる。個人的特徴が端末によって完全にまたはある程度チェックされる実施形態が除外されることはない。しかし、そうするためには、通常はチェックに必要な情報がバックグラウンドシステムから端末に送信される必要があるが、これは安全の利用のため例外的な場合に限られるべきであることが望ましい。
【0018】
好ましい実施形態において、端末とバックグラウンドシステムの間の交信トランザクションは適する手段によって、それらの間に接続された装置による探り出し及び/または攻撃、特にいわゆる再生攻撃から防護される。例えば、タイムスタンプ及び/またはシーケンス番号をこの目的のために用いることができる。有益な実施形態においては、−それぞれのセッションに対して改めて発行されるセッション鍵によることが好ましい−全てのメッセージの暗号化が提供される。
【0019】
本発明にしたがうコンピュータプログラム製品は、端末及び/またはバックグラウンドシステムにおいて本発明にしたがう方法を実施するためのプログラム命令を有する。そのようなコンピュータプログラム製品は物理的媒体、例えば、半導体メモリまたはディスケットまたはCD-ROMとすることができる。コンピュータプログラム製品は、例えば非物理的媒体、例えば、コンピュータネットワークを通じて送信される信号とすることもできる。
【0020】
本発明にしたがう装置は、特に、端末またはバックグラウンドシステムあるいは端末とバックグラウンドシステムの組合せとすることができる。好ましい実施形態において、装置及びコンピュータプログラム製品は本明細書及び/または従属方法請求項に述べられる特徴に対応する特徴を有する。
【0021】
本発明のさらなる特徴、目的及び利点は以下のいくつかの例示的実施形態及び代替実施形態の説明から明らかである。略図が参照される。
【発明を実施するための最良の形態】
【0022】
図1は、サーバ12及びデータベース14を備えるバックグラウンドシステム10を示す。サーバ12は、以下に説明される方法にしたがうプログラムによって制御される高性能のコンピュータの形態で具現化される。バックグラウンドシステム10はネットワーク16を通じて複数の端末を受け持ち、それらの内の1つの端末18が図1に例として示される。ネットワーク16は、例えば、ローカルネットワークとして、及び/またはインターネットのようなデータパケットネットワークとして、及び/またはアナログまたはデジタル電話回線として、具現化することができる複数の副区分を有することができる。
【0023】
本例示的実施形態において、端末18は、キーボードまたはキーパッド20のような操作素子,グラフィックディスプレイ22のような表示素子及び生物測定法特徴を計算するための素子を有する、小型の独立装置として構成される。本例示的実施形態においては、生物測定法特徴計算の目的のために1つの指紋センサ24及び1つのカメラ26が備えられる。代替実施形態において、さらに多いかまたは少ないかあるいは別の生物測定法センサを備えることができる。さらに、いかなる生物測定法センサも備えていないが、代りにキーボード20を介する個人的特徴の入力を必要とする端末18の実施形態も考えられる。
【0024】
図1に示される例示的実施形態において、端末18は以下に説明される方法にしたがう内蔵マイクロプロセッサによって制御される独立装置として構成される。簡単な実施形態において、取引データ−例えば支払われるべき購入価格−はキーボード20を介して入力されるが、そのようなデータは(図1には示されていない)電子インターフェースを介して端末18に送信されることが好ましい。例えば、金銭登録機をインターフェースに接続することができる。別の代替実施形態において、端末18は独立装置ではなく、代りに、例えば金銭登録機または自動装置またはアクセス制御装置に組み込まれる。
【0025】
図2A及び図2Bに示される認可できた取引のシーケンスは、識別情報32が判定される、ユーザの識別を含むステップ30で開始される。この時点において、ユーザはまだ端末18が信頼できると想定することができず、よって、一般に秘密ではない識別情報32が用いられる。例えば、ステップ30において、ユーザは、端末18のキーボード20を用いることによって、識別情報32として、顧客番号または電話番号または−場合によって、明瞭な識別に必要であれば、彼/彼女の誕生日とともに−彼/彼女の名前を入力することができる。
【0026】
長大な識別情報32の場合には特に、メモリカードまたはメモリモジュールの使用をいくつかの実施形態において提供することができる。例えば、識別情報32をカード上に平文またはバーコードとして印刷することができ、端末18の読取器−例えばカメラ26−によって解析することができる。同様に、磁気カードまたは小型無線モジュール(RFタグ)を識別情報32の簡便な格納のために用いることができるが、この場合は、当然、端末18が適する読取器も装備していなければならない。上述した方法は相互に排他的ではない。例えば、データ記憶媒体が手元になければ、ユーザは、より時間のかかる代替手段として、彼/彼女の名前及び誕生日を、キーボード20を介して入力することができる。
【0027】
別の代替実施形態において、生物測定法情報が識別情報32として用いられる。例えば、カメラ26によって記録されるユーザの顔写真をユーザの識別に用いることができる。
【0028】
さらに、例えば、指紋センサ24によって記録されるユーザの指紋も用いることができる。取引が指紋に基づいて認可される場合、ユーザは識別目的のために違う指を用いるべきである。
【0029】
ステップ34において、端末18はバックグラウンドシステム10に送信されるデータ36を計算する。このデータ36は、ユーザ識別データID及び第1のタイムスタンプTS1を暗号化された形態で含む。暗号化は、図1において表示'ENC(・・・)'で示され、記号'‖'はメッセージの2つのそれぞれのコンポーネントの結合を表す。
【0030】
いくつかの実施形態において、ユーザ識別データIDはステップ30において端末18によって判定された識別情報32と同じである。これは、特に識別情報32が小さくまとまった形態にある場合とすることができる。しかし、非常に長大な識別情報32が端末18によって得られた場合、例えば、生物測定法データ取得の場合には、識別情報32からユーザ識別情報データIDとして用いられるべき適する特徴値を導出するための端末18における前処理が有益であり得る。
【0031】
ステップ34においてバックグラウンドシステム10に送信されるデータも、以下でMAC(メッセージ認証コード)と称される、データ保全コードによって保護される。概念的に、MACは、送信されるべきメッセージ−この場合は暗号化されたユーザ識別データID及び第1のタイムスタンプTS1−及び端末18の秘密鍵も初めに入力される、ハッシュ値すなわち「指紋」である。MACの計算方法は既知であり、例えば、エイ・メネゼス(A. Menezes)等著,「応用暗号法ハンドブック(Handbook of Applied Cryptography)」,シー・アール・シー・プレス(CRC Press),1996年,p.352−359の第9.5章に述べられている。
【0032】
ステップ38において、バックグラウンドシステム10は端末18の認証を行う。本例示的実施形態において、バックグラウンドシステム10は端末18の秘密鍵を知っており、したがって端末18によって計算されたMACをチェックすることができる。代替実施形態においては、共通鍵暗号法に基づくMACの代りに、非共通鍵法に基づく暗号署名を用いることができる。そのような暗号署名を解析するためには、端末18の公開鍵だけがバックグラウンドシステム10に知られている必要がある。さらに、セッション鍵が端末18とバックグラウンドシステム10の間で取り決められ、保全暗号化交信チャネルが確立されている実施形態も考えることができる。
【0033】
ステップ38において端末18の認証ができなければ、本方法は終結される。そうでなければ、バックグラウンドシステム10は、ユーザに割り当てられた秘密データSECにアクセスするために、ステップ40においてデータベース14で検索クエリーを実施する。同じ形態のユーザ識別データIDを含むデータベース14内の収録項目に対して検索することができ、あるいは相似点比較だけを実施することができる。相似点比較は、特にユーザ識別データIDが生態測定法識別情報32から導出されている場合に、提供される。
【0034】
データベース14内のユーザに割り当てられたそれぞれの収録項目はユーザの少なくとも1つの秘密に関する秘密データSECを含む。本例示的実施形態においては、単一静的秘密が用いられる。いくつかの秘密及び/または動的秘密を含む代替実施形態は以下に説明される。
【0035】
ステップ42において、データベース14から決定された秘密データSECに別のMACで暗号化され、保全された、第2のタイムスタンプTS2が与えられる。そのようにして得られたデータ44が端末18に送信される。
【0036】
ステップ46(図2B)において、端末18は、初めに、データ44に含まれるMACに基づいてバックグラウンドシステム10の認証を行う。偽装バックグラウンドシステム10はユーザによって期待される秘密の知識を全くもっていないであろうから、この認証はステップ38における認証ほど厳密ではない。さらに、ステップ46において、端末18は第2のタイムスタンプTS2を評価し、そこに示されている時刻が第1のタイムスタンプTS1の時刻より後であるか否かについてチェックする。いくつかの実施形態は、2つのタイムスタンプTS1とTS2の間の最大許容時間差を上回っているか否かについてのチェックも提供することができる。
【0037】
タイムスタンプのチェックは、以前の交信過程が記録されて、再生される攻撃(いわゆる再生攻撃)に対する防護に役立つ。代替実施形態においては、タイムスタンプの代りに、またはタイムスタンプに加えて、リクエストと対応する応答を一致させるために乱数も用いることができ、及び/または送信シーケンスカウンタを用いることができる。
【0038】
ステップ48において、データ44に暗号化された形態で含まれる秘密データSECが解読され、ユーザに対して秘密50として再生される。秘密50は、ステップ38においてバックグラウンドシステム10で端末18の認証ができたことをユーザに伝えるに適する、いずれかのタイプの情報とすることができる。例えば、秘密50として、端末18のディスプレイ22に現れる、ユーザによって選択された画像またはユーザによって選択されたパスワードをユーザに示すことができる。視覚再生に加えて、またはその代りに、音響及び/または触覚再生も可能である。
【0039】
ステップ48における秘密50の再生の前または後あるいはこれと同時に、例えば支払われるべき購入価格を示すことができる、上述した取引データ54がステップ52においてユーザに表示される。正しい秘密50の表示は、端末18の認証ができた後でなければバックグラウンドシステム10は秘密50を端末18に送信しないであろうから、端末18が信頼できることをユーザに示す。したがって、ユーザは前もって確立された個人的特徴56に端末18がアクセス可能になることについて全く気にする必要はない。
【0040】
個人的特徴56は、例えば、ユーザが彼/彼女の指を指紋センサ24上においたときに、ステップ58において端末18によって入力される指紋とすることができる。代替実施形態において、別の生物測定法特徴、例えばユーザによって発声されるパスワードまたはカメラ26によって記録されるユーザの虹彩を個人的特徴56として用いることができる。さらに、生物測定法特徴はキーボード20を介するパスワード入力またはコード番号入力と組み合わせることができ、いくつかの実施形態においては、キーボード/キーパッド入力だけを与えることができ、あるいはキーボード/キーパッド入力を必要に応じる生物測定法検査の代替として与えることができる。
【0041】
ユーザが端末18に個人的特徴56を入力するか、または端末18をこの特徴にアクセス可能にするプロセスはユーザが取引を認可する意向の表明を表す。これにより、ユーザは、例えばステップ52で示された購入価格の支払いへの彼/彼女の同意を示す。
【0042】
次いで端末18はステップ58で判定された個人的特徴56を個人的特徴56の小さくまとまった表現である特徴データFEATに変換する。そのような変換は特に生物測定法データ量の低減に望ましい。いくつかの代替実施形態において、特徴データFEAT及び個人的特徴56は同じとすることもできる。
【0043】
特徴データFEATは(図2Bにおいて'TD'とラベルが付された)取引データ54及び第3のタイムスタンプTS3とともに暗号化され、別のMACとともにデータ62としてバックグラウンドシステム10に送信される。ステップ64において、バックグラウンドシステム10はMACをチェックし、データ62を解読する。さらに、ステップ64において、バックグラウンドシステム10はタイムスタンプチェックを行い、第3のタイムスタンプTS3が第2のタイムスタンプTS2より後の時点を示すことを確かめる。ステップ64におけるチェックが合格であれば、ステップ66においてバックグラウンドシステム10は特徴データFEATのチェックを行うであろう。そうすることにおいて、バックグラウンドシステム10はユーザに割り当てられた収録項目においてデータベース14内にあるデータにアクセスするであろう。
【0044】
ここで説明される例示的実施形態における個人的特徴56は生物測定法特徴であるから、ステップ66においては、特に偽の合格結果に対抗する高い信頼性を有する、対応する生物測定検査方法が実施されなければならない。そのような方法は多くの実施形態で既知であり、したがって本発明の対象ではない。
【0045】
ステップ66における個人的特徴56及び/または特徴データFEATのチェックが合格である場合、ステップ68において取引が実行される。取引のタイプに依存して、例えば、バックグラウンドシステム10は所望の支払いに関するデータを提携金融機関に転送することができ、あるいはデータベース14内のユーザに割り当てられたデータレコードにそのようなデータを格納することができる。ステップ66における特徴データFEATのチェック結果が不合格であれば、取引は行われず、本方法は終結される。前の検査ステップ46及び64の内の1つでも合格にならなければ当然同じことが適用される。
【0046】
次いでステップ70において、バックグラウンドシステム10は完了できた取引に関する確認データCDを生成する。この確認データCDには第4のタイプスタンプTS4が与えられ、暗号化されて、同じくMACで保全される。得られたデータ72は端末18に送信され、そこでステップ74においてMAC及び第4のタイプスタンプTS4に関する別の検査ステップが行われる。このチェックが不合格になれば、対応する警告をユーザ及び/またはバックグラウンドシステム10に出力することができる。
【0047】
ステップ74におけるチェックが合格である場合、ステップ76において端末18は解読された確認データCDを確認通知78として出力する。確認通知78は、例えば、ディスプレイ22上に表示するかまたは(図1に示されていない)プリンタを用いた印刷出力とすることができる。このようにして方法は完了する。
【0048】
ここまで説明した例示的実施形態では、単一静的秘密がそれぞれのユーザに与えられる。しかし、様々な装備の端末18のため、秘密50の様々なコーディングに対応する秘密データSECのいくつかのバージョンがデータベース14に格納される、代替実施形態が可能である。これらの実施形態では、ステップ34において利用できる再生手段に関する補助情報を端末18がバックグラウンドシステム10に送信し、ステップ42においてバックグラウンドシステム10が適する秘密データSECを利用可能にする。
【0049】
様々なバージョンの秘密の代替として、あるいはこれに加えて、データベース14はいくつかの実施形態においてそれぞれのユーザについてのいくつかの相異なる秘密に対する秘密データSECを有することもできる。次いで、例えば、ステップ48において1つの取引と次の取引の間で変わる秘密50がユーザに向けて表示されるように、ランダムにまたは与えられたシーケンスにしたがって、ステップ40においてこれらの秘密の内の1つの選択がなされる。そのような動的秘密に対しては、以前の取引の再生に基づく再生攻撃が一層大きく困難になる。
【0050】
上述した動的秘、の生成の可能性の代替として、あるいはこれに加えて、ステップ40において動的秘密に対して以前の取引に応じて秘密データSECを生成するバックグラウンドシステム10を提供することも可能である。特に、動的秘密は、完全にまたは部分的に、行われた最新の取引に関する情報からなることができる。したがって、例えば、データ及び/または最新の購入の金額及び/または最新の取引でカメラ26によって記録された顧客の写真が動的秘密として役立ち得る。これらの実施形態において、当然、必要なデータはデータベース14に格納もされなければならない。
【0051】
例示的実施形態の上記説明に含まれる詳細が本発明の範囲の限定と介されるべきでないことは自明である。多くの改変及び別の代替実施形態が可能であり、当業者には自明である。
【図面の簡単な説明】
【0052】
【図1】簡略なブロック図表示で本発明の例示的実施形態にしたがうシステムを示す
【図2A】図1のシステムにおいて認可できた取引の例示的フローチャートの一部を示す
【図2B】図1のシステムにおいて認可できた取引の例示的フローチャートの一部を示す
【符号の説明】
【0053】
10 バックグラウンドシステム
12 サーバ
14 データベース
16 ネットワーク
18 端末
20 キーボード
22 グラフィックディスプレイ
24 指紋センサ
26 カメラ
【技術分野】
【0001】
本発明は全般的には取引の電子実行の分野に関し、さらに詳しくは、ユーザによる取引の認可の分野に関する。本明細書の用語において、「取引」は特に、正当なユーザによる認可が疑いの余地もなく検証できなければならない、正当であるかまたは事実上の手続きを指すと理解されるべきである。そのような取引は、例えば、電子支払いまたはその他の何らかの金銭取引または意向の電子告知とすることができる。
【背景技術】
【0002】
取引の電子認可については、ユーザだけに知られているか、及び/またはユーザの協力によってのみ与えられ得る、ユーザを認可する個人的特徴を用いることが通例である。かつては主として秘密番号(PIN=個人識別番号)がそのような個人的特徴として用いられていたが、生物測定法特徴がますます重要になってきている。そのような生物測定法個人的特徴は、例えば、指紋を走査することによるか、あるいはユーザの顔または眼の写真を撮ることによるか、あるいはユーザの筆跡のサンプルを記録することによって、判定することができる。
【0003】
取引の認可のため、ユーザは通常、端末において個人的特徴を入力するか、及び/または端末に対して特徴をアクセス可能にするように指示される。しかし、この場合、一般にユーザが端末の完全性を確信するための信頼できる手段をもたないという問題がある。詐欺目的で設置された端末に対してユーザが彼/彼女の個人的特徴をアクセス可能にしてしまうと、彼/彼女の指紋のような、ユーザの個人的特徴が記録され、後に偽装端末によって不正使用され得る。
【0004】
特許文献1は、ユーザによって提供された秘密−例えば、ユーザだけに知られているパスワード−が暗号化された形態でICカードに格納されるシステムを開示している。ユーザが個人的特徴としてPINを入力するように指示される前に、端末が暗号化されたパスワードを読み取り、それを平文でユーザに表示する。偽装端末は暗号化された符号語を解読できないであろうから、正しいパスワードの表示によってユーザはこれが信頼できる端末であるとわかる。
【0005】
しかし、上述したシステムは暗号化されたパスワードが格納されたICカードまたは何か別のデータ記憶媒体をユーザが携帯していることを前提としている。これが必須ではなければ、ユーザにとって一層便宜がよいであろう。特に生物測定法認可手続きには、別にデータ記憶媒体が用いられるべきであるという要件がともなわないことが多い。例えば、支払取引の生物測定法認かにおいては、これは可能な限り簡単であるべき手続きを構成する上で肝要な点である。
【特許文献1】独国特許出願公開第4141964A1号明細書
【発明の開示】
【発明が解決しようとする課題】
【0006】
本発明の課題は、上述した問題を少なくともある程度回避し、偽装端末を認識する機会をユーザに与える端末を用いる、ユーザによる取引認可のための技法を提供することである。好ましい実施形態において、本発明は特に生物測定法認可技法の使用に適合されるべきである。
【課題を解決するための手段】
【0007】
本発明にしたがえば、上記課題は、特許請求項1にしたがう端末によって実行される方法、特許請求項8にしたがうバックグラウンドシステムによって実行される方法、特許請求項13にしたがう方法、特許請求項16にしたがう装置及び特許請求項17にしたがうコンピュータプログラム製品により、完全にまたはある程度達成される。従属請求項は本発明の好ましい実施形態を定める。
【0008】
本発明は、端末がデータを交換することができる、バックグラウンドシステム(ホストシステム)にユーザだけに知られている秘密に関するデータを格納するという基本アイデアに基づく。バックグラウンドシステムは、端末が真正であることがバックグラウンドシステムによって認証できた−すなわち、認可された端末であることが証明された−場合にのみ端末にユーザの秘密データを送信する。バックグラウンドシステムは通常多くのユーザの秘密データを格納しているから、バックグラウンドシステムがユーザに割り当てられた秘密データにアクセス可能になる前に、ユーザの識別が必要である。
【0009】
端末を認証できた後にバックグラウンドシステムによって秘密データの形態で端末に送られる秘密がユーザに向けて再生される。よって端末が信頼できることをユーザに保証することができる。取引を認可するため、ユーザは次いで、ユーザがいかなる不正使用も恐れる必要なしに、彼/彼女の個人的特徴を入力することができ、または端末に対して個人的特徴をアクセス可能にすることができる。次いで、取引が実行され、ユーザの個人的特徴は認可を検証するために役立つ。
【0010】
本発明は、ユーザのデータ記憶媒体の携帯を必要としない、ユーザによる検証が可能な端末の認証という大きな利点を提供する。これにより、多くのユーザがユーザの生物測定法データのおこり得る不正使用に関心をもっていることから特に、生物測定法認証手続きの採用が大きく進み得る。
【0011】
方法請求項のステップの列挙順序は保護範囲の制限と理解されるべきではない。むしろ、これらの方法ステップが様々な順序で、あるいは完全にまたは部分的に並行して、あるいは完全にまたは部分的にインターリーブされて実行される、本発明の実施形態が提供される。これは特に、データが取得され、送信され、処理される、端末とバックグラウンドシステムの関連するステップの可能なインターリーブに関係する。さらに、特にバックグラウンドシステムにおける端末の認証及びバックグラウンドシステムへのユーザの識別データの送信は、単一ステップで、あるいは−いかなる順序の−複数の副ステップでも、行うことができる。
【0012】
バックグラウンドシステムにおける端末の認証に対して、偽装端末の使用を不可能にするであろう、あるいはそのような使用を少なくとも大きく妨げるであろう、いかなる方法もここで用いることができる。一般に、そのような認証方法は端末の秘密鍵に基づき、共通鍵暗号化または非共通鍵暗号化を用いることができる。端末は認証のためにバックグラウンドシステムに情報を送信することが好ましく、この情報により端末が秘密鍵を有しているかをバックグラウンドシステムが判定することが可能になる。しかし、秘密鍵自体は、権限のない人物が端末とバックグラウンドシステムの間の多数の交信過程を盗聴し、解析したとしても、権限のない人物が入手し得るべきではない。
【0013】
好ましい実施形態において、MAC(メッセージ認証コード)または暗号署名によって保全されたメッセージが端末の認証に用いられる。このメッセージは、ユーザによって端末に入力されたか、またはユーザに関する識別情報から端末によって導出された、ユーザ識別データを含むことが好ましい。
【0014】
ユーザに戻される秘密は、ユーザによって容易に識別され、偽装端末が推測することは困難または不可能であろう、どのようなタイプの情報であってもよい。端末の出力手段に依存して、情報は、例えば、表示される文字情報及び/または表示される画像情報及び/または音響出力及び/または触覚情報からなることができる。
【0015】
ユーザの完了できた取引を探り出すことによる不正操作の可能性を防止するため、好ましい実施形態は、1つの取引と次の取引の間で変わり、例えば複数の与えられた秘密情報から選択することができる秘密を用いる。いくつかの実施形態において、以前の取引に関する情報、例えば最後に行われた取引におけるユーザの写真が秘密に含められることができ、あるいは秘密を形成することができる。
【0016】
好ましい実施形態において、ユーザの個人的特徴は生物測定法特徴である。端末の実施形態に依存して、例えば、ユーザの指紋を判定することができ、及び/またはユーザの署名のサンプルを記録することができ、及び/またはユーザまたはユーザの個別身体部位の写真またはスキャンを作成することができ、及び/またはユーザの音声サンプルを解析することができる。しかし、このことが、個人的特徴がパスワードまたは秘密番号であるか、あるいは個人的特徴がデータ記憶媒体に格納される、本発明の実施形態を排除することにはならない。しかし、そのような実施形態は、ユーザにとってそれほど便宜がよくないので、それほど好ましくはない。
【0017】
個人的特徴は端末によってバックグラウンドシステムに送信され、そこでチェックされることが好ましい。個人的特徴のチェックに合格した場合、取引は認可されたと見なされ、端末は例えば対応する確認通知を出力することができる。個人的特徴が端末によって完全にまたはある程度チェックされる実施形態が除外されることはない。しかし、そうするためには、通常はチェックに必要な情報がバックグラウンドシステムから端末に送信される必要があるが、これは安全の利用のため例外的な場合に限られるべきであることが望ましい。
【0018】
好ましい実施形態において、端末とバックグラウンドシステムの間の交信トランザクションは適する手段によって、それらの間に接続された装置による探り出し及び/または攻撃、特にいわゆる再生攻撃から防護される。例えば、タイムスタンプ及び/またはシーケンス番号をこの目的のために用いることができる。有益な実施形態においては、−それぞれのセッションに対して改めて発行されるセッション鍵によることが好ましい−全てのメッセージの暗号化が提供される。
【0019】
本発明にしたがうコンピュータプログラム製品は、端末及び/またはバックグラウンドシステムにおいて本発明にしたがう方法を実施するためのプログラム命令を有する。そのようなコンピュータプログラム製品は物理的媒体、例えば、半導体メモリまたはディスケットまたはCD-ROMとすることができる。コンピュータプログラム製品は、例えば非物理的媒体、例えば、コンピュータネットワークを通じて送信される信号とすることもできる。
【0020】
本発明にしたがう装置は、特に、端末またはバックグラウンドシステムあるいは端末とバックグラウンドシステムの組合せとすることができる。好ましい実施形態において、装置及びコンピュータプログラム製品は本明細書及び/または従属方法請求項に述べられる特徴に対応する特徴を有する。
【0021】
本発明のさらなる特徴、目的及び利点は以下のいくつかの例示的実施形態及び代替実施形態の説明から明らかである。略図が参照される。
【発明を実施するための最良の形態】
【0022】
図1は、サーバ12及びデータベース14を備えるバックグラウンドシステム10を示す。サーバ12は、以下に説明される方法にしたがうプログラムによって制御される高性能のコンピュータの形態で具現化される。バックグラウンドシステム10はネットワーク16を通じて複数の端末を受け持ち、それらの内の1つの端末18が図1に例として示される。ネットワーク16は、例えば、ローカルネットワークとして、及び/またはインターネットのようなデータパケットネットワークとして、及び/またはアナログまたはデジタル電話回線として、具現化することができる複数の副区分を有することができる。
【0023】
本例示的実施形態において、端末18は、キーボードまたはキーパッド20のような操作素子,グラフィックディスプレイ22のような表示素子及び生物測定法特徴を計算するための素子を有する、小型の独立装置として構成される。本例示的実施形態においては、生物測定法特徴計算の目的のために1つの指紋センサ24及び1つのカメラ26が備えられる。代替実施形態において、さらに多いかまたは少ないかあるいは別の生物測定法センサを備えることができる。さらに、いかなる生物測定法センサも備えていないが、代りにキーボード20を介する個人的特徴の入力を必要とする端末18の実施形態も考えられる。
【0024】
図1に示される例示的実施形態において、端末18は以下に説明される方法にしたがう内蔵マイクロプロセッサによって制御される独立装置として構成される。簡単な実施形態において、取引データ−例えば支払われるべき購入価格−はキーボード20を介して入力されるが、そのようなデータは(図1には示されていない)電子インターフェースを介して端末18に送信されることが好ましい。例えば、金銭登録機をインターフェースに接続することができる。別の代替実施形態において、端末18は独立装置ではなく、代りに、例えば金銭登録機または自動装置またはアクセス制御装置に組み込まれる。
【0025】
図2A及び図2Bに示される認可できた取引のシーケンスは、識別情報32が判定される、ユーザの識別を含むステップ30で開始される。この時点において、ユーザはまだ端末18が信頼できると想定することができず、よって、一般に秘密ではない識別情報32が用いられる。例えば、ステップ30において、ユーザは、端末18のキーボード20を用いることによって、識別情報32として、顧客番号または電話番号または−場合によって、明瞭な識別に必要であれば、彼/彼女の誕生日とともに−彼/彼女の名前を入力することができる。
【0026】
長大な識別情報32の場合には特に、メモリカードまたはメモリモジュールの使用をいくつかの実施形態において提供することができる。例えば、識別情報32をカード上に平文またはバーコードとして印刷することができ、端末18の読取器−例えばカメラ26−によって解析することができる。同様に、磁気カードまたは小型無線モジュール(RFタグ)を識別情報32の簡便な格納のために用いることができるが、この場合は、当然、端末18が適する読取器も装備していなければならない。上述した方法は相互に排他的ではない。例えば、データ記憶媒体が手元になければ、ユーザは、より時間のかかる代替手段として、彼/彼女の名前及び誕生日を、キーボード20を介して入力することができる。
【0027】
別の代替実施形態において、生物測定法情報が識別情報32として用いられる。例えば、カメラ26によって記録されるユーザの顔写真をユーザの識別に用いることができる。
【0028】
さらに、例えば、指紋センサ24によって記録されるユーザの指紋も用いることができる。取引が指紋に基づいて認可される場合、ユーザは識別目的のために違う指を用いるべきである。
【0029】
ステップ34において、端末18はバックグラウンドシステム10に送信されるデータ36を計算する。このデータ36は、ユーザ識別データID及び第1のタイムスタンプTS1を暗号化された形態で含む。暗号化は、図1において表示'ENC(・・・)'で示され、記号'‖'はメッセージの2つのそれぞれのコンポーネントの結合を表す。
【0030】
いくつかの実施形態において、ユーザ識別データIDはステップ30において端末18によって判定された識別情報32と同じである。これは、特に識別情報32が小さくまとまった形態にある場合とすることができる。しかし、非常に長大な識別情報32が端末18によって得られた場合、例えば、生物測定法データ取得の場合には、識別情報32からユーザ識別情報データIDとして用いられるべき適する特徴値を導出するための端末18における前処理が有益であり得る。
【0031】
ステップ34においてバックグラウンドシステム10に送信されるデータも、以下でMAC(メッセージ認証コード)と称される、データ保全コードによって保護される。概念的に、MACは、送信されるべきメッセージ−この場合は暗号化されたユーザ識別データID及び第1のタイムスタンプTS1−及び端末18の秘密鍵も初めに入力される、ハッシュ値すなわち「指紋」である。MACの計算方法は既知であり、例えば、エイ・メネゼス(A. Menezes)等著,「応用暗号法ハンドブック(Handbook of Applied Cryptography)」,シー・アール・シー・プレス(CRC Press),1996年,p.352−359の第9.5章に述べられている。
【0032】
ステップ38において、バックグラウンドシステム10は端末18の認証を行う。本例示的実施形態において、バックグラウンドシステム10は端末18の秘密鍵を知っており、したがって端末18によって計算されたMACをチェックすることができる。代替実施形態においては、共通鍵暗号法に基づくMACの代りに、非共通鍵法に基づく暗号署名を用いることができる。そのような暗号署名を解析するためには、端末18の公開鍵だけがバックグラウンドシステム10に知られている必要がある。さらに、セッション鍵が端末18とバックグラウンドシステム10の間で取り決められ、保全暗号化交信チャネルが確立されている実施形態も考えることができる。
【0033】
ステップ38において端末18の認証ができなければ、本方法は終結される。そうでなければ、バックグラウンドシステム10は、ユーザに割り当てられた秘密データSECにアクセスするために、ステップ40においてデータベース14で検索クエリーを実施する。同じ形態のユーザ識別データIDを含むデータベース14内の収録項目に対して検索することができ、あるいは相似点比較だけを実施することができる。相似点比較は、特にユーザ識別データIDが生態測定法識別情報32から導出されている場合に、提供される。
【0034】
データベース14内のユーザに割り当てられたそれぞれの収録項目はユーザの少なくとも1つの秘密に関する秘密データSECを含む。本例示的実施形態においては、単一静的秘密が用いられる。いくつかの秘密及び/または動的秘密を含む代替実施形態は以下に説明される。
【0035】
ステップ42において、データベース14から決定された秘密データSECに別のMACで暗号化され、保全された、第2のタイムスタンプTS2が与えられる。そのようにして得られたデータ44が端末18に送信される。
【0036】
ステップ46(図2B)において、端末18は、初めに、データ44に含まれるMACに基づいてバックグラウンドシステム10の認証を行う。偽装バックグラウンドシステム10はユーザによって期待される秘密の知識を全くもっていないであろうから、この認証はステップ38における認証ほど厳密ではない。さらに、ステップ46において、端末18は第2のタイムスタンプTS2を評価し、そこに示されている時刻が第1のタイムスタンプTS1の時刻より後であるか否かについてチェックする。いくつかの実施形態は、2つのタイムスタンプTS1とTS2の間の最大許容時間差を上回っているか否かについてのチェックも提供することができる。
【0037】
タイムスタンプのチェックは、以前の交信過程が記録されて、再生される攻撃(いわゆる再生攻撃)に対する防護に役立つ。代替実施形態においては、タイムスタンプの代りに、またはタイムスタンプに加えて、リクエストと対応する応答を一致させるために乱数も用いることができ、及び/または送信シーケンスカウンタを用いることができる。
【0038】
ステップ48において、データ44に暗号化された形態で含まれる秘密データSECが解読され、ユーザに対して秘密50として再生される。秘密50は、ステップ38においてバックグラウンドシステム10で端末18の認証ができたことをユーザに伝えるに適する、いずれかのタイプの情報とすることができる。例えば、秘密50として、端末18のディスプレイ22に現れる、ユーザによって選択された画像またはユーザによって選択されたパスワードをユーザに示すことができる。視覚再生に加えて、またはその代りに、音響及び/または触覚再生も可能である。
【0039】
ステップ48における秘密50の再生の前または後あるいはこれと同時に、例えば支払われるべき購入価格を示すことができる、上述した取引データ54がステップ52においてユーザに表示される。正しい秘密50の表示は、端末18の認証ができた後でなければバックグラウンドシステム10は秘密50を端末18に送信しないであろうから、端末18が信頼できることをユーザに示す。したがって、ユーザは前もって確立された個人的特徴56に端末18がアクセス可能になることについて全く気にする必要はない。
【0040】
個人的特徴56は、例えば、ユーザが彼/彼女の指を指紋センサ24上においたときに、ステップ58において端末18によって入力される指紋とすることができる。代替実施形態において、別の生物測定法特徴、例えばユーザによって発声されるパスワードまたはカメラ26によって記録されるユーザの虹彩を個人的特徴56として用いることができる。さらに、生物測定法特徴はキーボード20を介するパスワード入力またはコード番号入力と組み合わせることができ、いくつかの実施形態においては、キーボード/キーパッド入力だけを与えることができ、あるいはキーボード/キーパッド入力を必要に応じる生物測定法検査の代替として与えることができる。
【0041】
ユーザが端末18に個人的特徴56を入力するか、または端末18をこの特徴にアクセス可能にするプロセスはユーザが取引を認可する意向の表明を表す。これにより、ユーザは、例えばステップ52で示された購入価格の支払いへの彼/彼女の同意を示す。
【0042】
次いで端末18はステップ58で判定された個人的特徴56を個人的特徴56の小さくまとまった表現である特徴データFEATに変換する。そのような変換は特に生物測定法データ量の低減に望ましい。いくつかの代替実施形態において、特徴データFEAT及び個人的特徴56は同じとすることもできる。
【0043】
特徴データFEATは(図2Bにおいて'TD'とラベルが付された)取引データ54及び第3のタイムスタンプTS3とともに暗号化され、別のMACとともにデータ62としてバックグラウンドシステム10に送信される。ステップ64において、バックグラウンドシステム10はMACをチェックし、データ62を解読する。さらに、ステップ64において、バックグラウンドシステム10はタイムスタンプチェックを行い、第3のタイムスタンプTS3が第2のタイムスタンプTS2より後の時点を示すことを確かめる。ステップ64におけるチェックが合格であれば、ステップ66においてバックグラウンドシステム10は特徴データFEATのチェックを行うであろう。そうすることにおいて、バックグラウンドシステム10はユーザに割り当てられた収録項目においてデータベース14内にあるデータにアクセスするであろう。
【0044】
ここで説明される例示的実施形態における個人的特徴56は生物測定法特徴であるから、ステップ66においては、特に偽の合格結果に対抗する高い信頼性を有する、対応する生物測定検査方法が実施されなければならない。そのような方法は多くの実施形態で既知であり、したがって本発明の対象ではない。
【0045】
ステップ66における個人的特徴56及び/または特徴データFEATのチェックが合格である場合、ステップ68において取引が実行される。取引のタイプに依存して、例えば、バックグラウンドシステム10は所望の支払いに関するデータを提携金融機関に転送することができ、あるいはデータベース14内のユーザに割り当てられたデータレコードにそのようなデータを格納することができる。ステップ66における特徴データFEATのチェック結果が不合格であれば、取引は行われず、本方法は終結される。前の検査ステップ46及び64の内の1つでも合格にならなければ当然同じことが適用される。
【0046】
次いでステップ70において、バックグラウンドシステム10は完了できた取引に関する確認データCDを生成する。この確認データCDには第4のタイプスタンプTS4が与えられ、暗号化されて、同じくMACで保全される。得られたデータ72は端末18に送信され、そこでステップ74においてMAC及び第4のタイプスタンプTS4に関する別の検査ステップが行われる。このチェックが不合格になれば、対応する警告をユーザ及び/またはバックグラウンドシステム10に出力することができる。
【0047】
ステップ74におけるチェックが合格である場合、ステップ76において端末18は解読された確認データCDを確認通知78として出力する。確認通知78は、例えば、ディスプレイ22上に表示するかまたは(図1に示されていない)プリンタを用いた印刷出力とすることができる。このようにして方法は完了する。
【0048】
ここまで説明した例示的実施形態では、単一静的秘密がそれぞれのユーザに与えられる。しかし、様々な装備の端末18のため、秘密50の様々なコーディングに対応する秘密データSECのいくつかのバージョンがデータベース14に格納される、代替実施形態が可能である。これらの実施形態では、ステップ34において利用できる再生手段に関する補助情報を端末18がバックグラウンドシステム10に送信し、ステップ42においてバックグラウンドシステム10が適する秘密データSECを利用可能にする。
【0049】
様々なバージョンの秘密の代替として、あるいはこれに加えて、データベース14はいくつかの実施形態においてそれぞれのユーザについてのいくつかの相異なる秘密に対する秘密データSECを有することもできる。次いで、例えば、ステップ48において1つの取引と次の取引の間で変わる秘密50がユーザに向けて表示されるように、ランダムにまたは与えられたシーケンスにしたがって、ステップ40においてこれらの秘密の内の1つの選択がなされる。そのような動的秘密に対しては、以前の取引の再生に基づく再生攻撃が一層大きく困難になる。
【0050】
上述した動的秘、の生成の可能性の代替として、あるいはこれに加えて、ステップ40において動的秘密に対して以前の取引に応じて秘密データSECを生成するバックグラウンドシステム10を提供することも可能である。特に、動的秘密は、完全にまたは部分的に、行われた最新の取引に関する情報からなることができる。したがって、例えば、データ及び/または最新の購入の金額及び/または最新の取引でカメラ26によって記録された顧客の写真が動的秘密として役立ち得る。これらの実施形態において、当然、必要なデータはデータベース14に格納もされなければならない。
【0051】
例示的実施形態の上記説明に含まれる詳細が本発明の範囲の限定と介されるべきでないことは自明である。多くの改変及び別の代替実施形態が可能であり、当業者には自明である。
【図面の簡単な説明】
【0052】
【図1】簡略なブロック図表示で本発明の例示的実施形態にしたがうシステムを示す
【図2A】図1のシステムにおいて認可できた取引の例示的フローチャートの一部を示す
【図2B】図1のシステムにおいて認可できた取引の例示的フローチャートの一部を示す
【符号の説明】
【0053】
10 バックグラウンドシステム
12 サーバ
14 データベース
16 ネットワーク
18 端末
20 キーボード
22 グラフィックディスプレイ
24 指紋センサ
26 カメラ
【特許請求の範囲】
【請求項1】
バックグラウンドシステム(10)と交信できる端末(18)を用いる、ユーザによる取引認可のための方法において、前記端末(18)によって実施される、
− 前記ユーザを識別する識別情報(32)を判定するステップ(30)、
− 前記バックグラウンドシステム(10)において前記端末(18)を認証するため及び前記ユーザの身元証明を導出することができるユーザ識別情報(ID)を前記バックグラウンドシステム(10)に送信するため、データ(36)を前記バックグラウンドシステム(10)に送信するステップ(34)、
− 前記ユーザに割り当てられた秘密データ(SEC)を前記バックグラウンドシステム(10)から受信するステップ、
− 前記秘密データ(SEC)によって与えられる秘密(50)を前記ユーザに向けて再生するステップ(48)、
− 前記ユーザの個人的特徴(56)を判定するステップ(58)、及び
− 前記ユーザによる前記取引の前記認可を示すかまたは実証するために前記ユーザの前記個人的特徴(56)に関するデータ(62)を前記バックグラウンドシステム(10)に送信するステップ(60)、
を有してなることを特徴とする方法。
【請求項2】
前記バックグラウンドシステム(10)における認証のために前記端末(18)がMACまたは暗号署名で保全されたメッセージを前記バックグラウンドシステム(10)に送信することを特徴とする請求項1に記載の方法。
【請求項3】
前記メッセージが、前記端末(18)によって判定された前記識別情報(32)に対応するか、または前記識別情報(32)から導出された、前記ユーザ識別データ(ID)を含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記ユーザに対して再生される前記秘密(50)が、テキスト及び/または音響及び/または視覚及び/または触覚情報であることを特徴とする請求項1から3のいずれか1項に記載の方法。
【請求項5】
取引データ(54)も前記ユーザに向けて表示されることを特徴とする請求項1から4のいずれか1項に記載の方法。
【請求項6】
前記個人的特徴(56)が前記ユーザの生物測定法特徴であることを特徴とする請求項1から5のいずれか1項に記載の方法。
【請求項7】
前記バックグラウンドシステム(10)から確認データ(CD)を受信し、前記ユーザに対して確認通知(78)を表示及び/または印刷出力するステップをさらに含むことを特徴とする請求項1から6のいずれか1項に記載の方法。
【請求項8】
端末(18)と交信できるバックグラウンドシステム(10)を用いる、ユーザによる取引認可のための方法において、前記バックグラウンドシステム(10)によって実施される、
− 前記端末(18)からデータ(36)を受信するステップであって、前記データ(36)は前記バックグラウンドシステム(10)において前記端末(18)を認証し、前記ユーザの身元証明が前記データ(36)から導出可能であるステップ、
− 前記バックグラウンドシステム(10)における前記端末(18)の前記認証(38)が合格であれば、データベース(14)に格納され、前記ユーザに割り当てられた秘密データ(SEC)にアクセスし(40)、前記秘密データ(SEC)を判定できるデータ(44)を前記端末(18)に送信する(42)ステップ、及び
− 前記端末(18)からデータ(62)を受信するステップであって、前記データ(62)は少なくとも前記ユーザの個人的特徴(56)に関し、前記ユーザによる前記取引の前記認可を実証するステップ、
を有してなることを特徴とする方法。
【請求項9】
前記秘密データ(SEC)が1つの取引と次の取引の間で変わる秘密(50)に関することを特徴とする請求項8に記載の方法。
【請求項10】
前記秘密データ(SEC)が以前に行われた取引に少なくともある程度依存する秘密(50)に関することを特徴とする請求項9に記載の方法。
【請求項11】
少なくとも前記ユーザの前記個人的特徴(56)に関する前記データ(62)がチェックされ(66)、前記チェックが合格であった場合に限り、前記取引が前記ユーザによって認可されたと見なされることを特徴とする請求項8から10のいずれか1項に記載の方法。
【請求項12】
前記チェックが合格であれば、確認データ(CD)が前記端末(18)に送信されることを特徴とする請求項11に記載の方法。
【請求項13】
バックグラウンドシステム(10)と交信できる端末(18)を用いる、ユーザによる取引認可のための方法において、
− 前記ユーザを識別する識別情報(32)を前記端末(18)によって判定するステップ(30)、
− 前記バックグラウンドシステム(10)における前記端末(18)の認証(38)のため及び前記ユーザの身元証明を導出することができるユーザ識別データ(ID)の前記バックグラウンドシステム(10)への送信のため、前記端末(18)と前記バックグラウンドシステム(10)の間で交信するステップ、
− 前記バックグラウンドシステム(10)における前記端末(18)の前記認証(38)が合格であれば、データベース(14)に格納され、前記ユーザに割り当てられた秘密データ(SEC)に前記バックグラウンドシステム(10)がアクセスし、前記秘密データ(SEC)を判定できるデータ(44)が前記端末(18)に送信されるステップ(42)、
− 前記ユーザに対して前記秘密データ(SEC)によって与えられる秘密(50)を前記端末(18)によって再生するステップ(48)、
− 前記ユーザの個人的特徴(56)を前記端末(18)によって判定するステップ(58)、及び
− 少なくとも前記ユーザの前記個人的特徴(56)に関するデータ(62)を用いて前記取引を実施するステップ、
を有してなることを特徴とする方法。
【請求項14】
前記端末(18)と前記バックグラウンドシステム(10)の間の前記交信プロセスが、タイムスタンプ(TS1〜TS4)及び/またはシーケンス番号及び/または乱数及び/またはセッション鍵による暗号化によって、攻撃から少なくともある程度防護されることを特徴とする請求項13に記載の方法。
【請求項15】
さらに請求項1から7のいずれか1項に記載の前記端末(18)によって実施される方法ステップ及び/または請求項8から12のいずれか1項に記載の前記バックグラウンドシステム(10)によって実施される方法ステップによることを特徴とする請求項13または14に記載の方法。
【請求項16】
請求項1から15のいずれか1項に記載の方法を実施するために備えられた装置。
【請求項17】
コンピュータプログラム製品において、端末(18)及び/またはバックグラウンドシステム(10)の少なくとも1つのプロセッサに対する、請求項1から15のいずれかに記載の方法を前記少なくとも1つのプロセッサに実行させる、プログラム命令を有することを特徴とするコンピュータプログラム製品。
【請求項1】
バックグラウンドシステム(10)と交信できる端末(18)を用いる、ユーザによる取引認可のための方法において、前記端末(18)によって実施される、
− 前記ユーザを識別する識別情報(32)を判定するステップ(30)、
− 前記バックグラウンドシステム(10)において前記端末(18)を認証するため及び前記ユーザの身元証明を導出することができるユーザ識別情報(ID)を前記バックグラウンドシステム(10)に送信するため、データ(36)を前記バックグラウンドシステム(10)に送信するステップ(34)、
− 前記ユーザに割り当てられた秘密データ(SEC)を前記バックグラウンドシステム(10)から受信するステップ、
− 前記秘密データ(SEC)によって与えられる秘密(50)を前記ユーザに向けて再生するステップ(48)、
− 前記ユーザの個人的特徴(56)を判定するステップ(58)、及び
− 前記ユーザによる前記取引の前記認可を示すかまたは実証するために前記ユーザの前記個人的特徴(56)に関するデータ(62)を前記バックグラウンドシステム(10)に送信するステップ(60)、
を有してなることを特徴とする方法。
【請求項2】
前記バックグラウンドシステム(10)における認証のために前記端末(18)がMACまたは暗号署名で保全されたメッセージを前記バックグラウンドシステム(10)に送信することを特徴とする請求項1に記載の方法。
【請求項3】
前記メッセージが、前記端末(18)によって判定された前記識別情報(32)に対応するか、または前記識別情報(32)から導出された、前記ユーザ識別データ(ID)を含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記ユーザに対して再生される前記秘密(50)が、テキスト及び/または音響及び/または視覚及び/または触覚情報であることを特徴とする請求項1から3のいずれか1項に記載の方法。
【請求項5】
取引データ(54)も前記ユーザに向けて表示されることを特徴とする請求項1から4のいずれか1項に記載の方法。
【請求項6】
前記個人的特徴(56)が前記ユーザの生物測定法特徴であることを特徴とする請求項1から5のいずれか1項に記載の方法。
【請求項7】
前記バックグラウンドシステム(10)から確認データ(CD)を受信し、前記ユーザに対して確認通知(78)を表示及び/または印刷出力するステップをさらに含むことを特徴とする請求項1から6のいずれか1項に記載の方法。
【請求項8】
端末(18)と交信できるバックグラウンドシステム(10)を用いる、ユーザによる取引認可のための方法において、前記バックグラウンドシステム(10)によって実施される、
− 前記端末(18)からデータ(36)を受信するステップであって、前記データ(36)は前記バックグラウンドシステム(10)において前記端末(18)を認証し、前記ユーザの身元証明が前記データ(36)から導出可能であるステップ、
− 前記バックグラウンドシステム(10)における前記端末(18)の前記認証(38)が合格であれば、データベース(14)に格納され、前記ユーザに割り当てられた秘密データ(SEC)にアクセスし(40)、前記秘密データ(SEC)を判定できるデータ(44)を前記端末(18)に送信する(42)ステップ、及び
− 前記端末(18)からデータ(62)を受信するステップであって、前記データ(62)は少なくとも前記ユーザの個人的特徴(56)に関し、前記ユーザによる前記取引の前記認可を実証するステップ、
を有してなることを特徴とする方法。
【請求項9】
前記秘密データ(SEC)が1つの取引と次の取引の間で変わる秘密(50)に関することを特徴とする請求項8に記載の方法。
【請求項10】
前記秘密データ(SEC)が以前に行われた取引に少なくともある程度依存する秘密(50)に関することを特徴とする請求項9に記載の方法。
【請求項11】
少なくとも前記ユーザの前記個人的特徴(56)に関する前記データ(62)がチェックされ(66)、前記チェックが合格であった場合に限り、前記取引が前記ユーザによって認可されたと見なされることを特徴とする請求項8から10のいずれか1項に記載の方法。
【請求項12】
前記チェックが合格であれば、確認データ(CD)が前記端末(18)に送信されることを特徴とする請求項11に記載の方法。
【請求項13】
バックグラウンドシステム(10)と交信できる端末(18)を用いる、ユーザによる取引認可のための方法において、
− 前記ユーザを識別する識別情報(32)を前記端末(18)によって判定するステップ(30)、
− 前記バックグラウンドシステム(10)における前記端末(18)の認証(38)のため及び前記ユーザの身元証明を導出することができるユーザ識別データ(ID)の前記バックグラウンドシステム(10)への送信のため、前記端末(18)と前記バックグラウンドシステム(10)の間で交信するステップ、
− 前記バックグラウンドシステム(10)における前記端末(18)の前記認証(38)が合格であれば、データベース(14)に格納され、前記ユーザに割り当てられた秘密データ(SEC)に前記バックグラウンドシステム(10)がアクセスし、前記秘密データ(SEC)を判定できるデータ(44)が前記端末(18)に送信されるステップ(42)、
− 前記ユーザに対して前記秘密データ(SEC)によって与えられる秘密(50)を前記端末(18)によって再生するステップ(48)、
− 前記ユーザの個人的特徴(56)を前記端末(18)によって判定するステップ(58)、及び
− 少なくとも前記ユーザの前記個人的特徴(56)に関するデータ(62)を用いて前記取引を実施するステップ、
を有してなることを特徴とする方法。
【請求項14】
前記端末(18)と前記バックグラウンドシステム(10)の間の前記交信プロセスが、タイムスタンプ(TS1〜TS4)及び/またはシーケンス番号及び/または乱数及び/またはセッション鍵による暗号化によって、攻撃から少なくともある程度防護されることを特徴とする請求項13に記載の方法。
【請求項15】
さらに請求項1から7のいずれか1項に記載の前記端末(18)によって実施される方法ステップ及び/または請求項8から12のいずれか1項に記載の前記バックグラウンドシステム(10)によって実施される方法ステップによることを特徴とする請求項13または14に記載の方法。
【請求項16】
請求項1から15のいずれか1項に記載の方法を実施するために備えられた装置。
【請求項17】
コンピュータプログラム製品において、端末(18)及び/またはバックグラウンドシステム(10)の少なくとも1つのプロセッサに対する、請求項1から15のいずれかに記載の方法を前記少なくとも1つのプロセッサに実行させる、プログラム命令を有することを特徴とするコンピュータプログラム製品。
【図1】
【図2A】
【図2B】
【図2A】
【図2B】
【公表番号】特表2007−511841(P2007−511841A)
【公表日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願番号】特願2006−540294(P2006−540294)
【出願日】平成16年11月16日(2004.11.16)
【国際出願番号】PCT/EP2004/012995
【国際公開番号】WO2005/050911
【国際公開日】平成17年6月2日(2005.6.2)
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
【公表日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願日】平成16年11月16日(2004.11.16)
【国際出願番号】PCT/EP2004/012995
【国際公開番号】WO2005/050911
【国際公開日】平成17年6月2日(2005.6.2)
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
[ Back to top ]