携帯型データ記憶媒体を使って安全な電子取引を実行する方法
携帯型データ記憶媒体を使用して端末で安全な電子取引を実行するための方法が提案される。本発明によれば、ユーザー(30)が携帯型データ記憶媒体(20)に対して本人認証を行う。同時に携帯型データ記憶媒体(20)は、本人認証がどのように行われたかに関する品質情報を作成する。端末(14)に対して認証の証明が行われる。その後、携帯型データ記憶媒体(20)が取引中に、例えばデジタル署名作成などのセキュリティ確立処理を実施し、セキュリティ確立処理の結果に品質情報を添付する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は電子取引を実行する方法に関し、特に、携帯型データ記憶媒体を使って安全な電子取引を実行する方法に関する。
【背景技術】
【0002】
本発明は、主請求項の各構成要素にしたがう方法を起端とするものである。そのような方法は、例えば、非特許文献1により周知となっている。法的拘束性のある電子署名を行う場合は、秘密の署名キーを含むデジタル署名カードがしかるべく使用されるべきである。署名は、カードが署名対象の文書を電子形態で受け取るのに適した端末で行われる。署名を実施できるようにするために、カードのユーザーは端末を通じて自分の身元を証明しなくてはならない。通常、この証明はPIN(暗証番号)の入力によって行われ、入力されたPINはカードに記憶されている参照用PINと比較される。将来的にはユーザー認証を、例えば指紋などの生物測定学的な特徴をチェックすることによって行うことが計画されている。ユーザーの認証合格後に署名カードを用いて電子文書に署名がなされると、次いでいずれかの方法で文書を次に送ることができる。電子署名により、例えばコストを伴うサービスオーダーの発注など、電子通信路による特にセキュリティが重視される取引を実行することが可能となる。
【0003】
ユーザー認証のために生物測定学的特徴を意図的に導入することにより、署名資格を与えられた本人の立会いのもとでしか署名カードを使えなくなるため、従来の一般的なPIN認証と比較して電子署名の信頼性がさらに向上する。
【0004】
しかしながら、これまでは、このようにして明らかとなったユーザー認証に関する品質差が、作成される特定の電子署名の使用適性に反映されることはなかった。
【非特許文献1】W.ランケルおよびW.エフィング共著“Handbuch der Chipkarten”第3版、1999年、p.692〜703、“Digital Signature(デジタル署名)”
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明の課題は、実行されたユーザー認証の品質を考慮する、携帯型データ記憶媒体を使った安全な電子取引を実行する方法を明記することである。
【課題を解決するための手段】
【0006】
この課題は、主請求項の構成を有する方法によって達成される。この課題は、独立請求項10、13および14にしたがう安全な電子取引を実行する携帯型データ記憶媒体、端末およびシステムによって達成される。
【0007】
本発明によれば、ユーザー認証が行われるときに、認証を行うデータ記憶媒体が、使用認証方法に関する品質情報を作成する。この証明は、後から携帯型データ記憶媒体によって実施されるセキュリティ確立処理の結果に添付される。したがって、そのように形成されたメッセージの受取人は、セキュリティ確立処理を実行する前にユーザーがどのような本人認証を行ったか確実に把握できる。これにより、ユーザー認証品質に基づく安全な取引を行う可能性が受取人にもたらされる。例えば、財布用途の場合、PIN認証後は口座から限界値未満の金額を引き出すことしかできないが、生物測定学的特徴による認証後は限界値を上回る金額を引き出すことができる。
【0008】
本発明の方法は、電子署名と関連付けて使用することが特に有利である。
【0009】
好ましい実施形態では、考えられるさまざまなユーザー認証方法の実施は、より低い品質の方法の途中実行結果が、より高い品質の方法の途中実行結果に簡単に変換できないように考案されている。これにより、権限のないユーザーが携帯型データ記憶媒体および低品質の関係認証情報の両方にアクセスした場合でも、すなわち、権限のないユーザーが、例えば、携帯型データ記憶媒体と関係PINを一緒に有している場合でも、認証証明を用いて不正をすることはできない、という結果が達成される。
【0010】
ユーザー認証実行時に不使用の特定認証方法については、認証の続行を不可能とすることがさらに有利である。
【発明を実施するための最良の形態】
【0011】
図面を参照しながら本発明の実施形態を以下に詳述する。
【0012】
図1は安全な電子取引を実行するための取引システムの基本構造を示す。本発明に関する構造の主要構成要素は、データネットワーク12を介して端末14に接続されるバックグラウンドシステム10、ユーザー30に携行され、取引でセキュリティ確立処理を実施するように設定された携帯型データ記憶媒体20、実行される取引で安全に取り扱われるべきデータレコード40である。
【0013】
以下、「安全な電子取引」とは、ユーザー30側のデジタル署名の生成を要求する取引とする。そのような取引は、例えば、ユーザー30の口座から即時決済する銀行取引を実行することなどにできる。しかしながら、前述の解決策は、デジタル署名を要求する取引に限定されるものではなく、基本的には、端末14から提供されるデータレコード40を処理し、処理結果を端末14に戻す用途であれば、どのような用途にも使用できる。
【0014】
バックグラウンドシステム10は、例えば、2つの口座間の金銭の移動または注文後の商品配送開始など、実際の取引を行う装置を表す。したがって、バックグラウンドシステム10は複数の個別コンポーネントを含む複雑なシステムとすることもできるし、極端な場合には、完全に除外することもできる。取引が口座移動用途の場合、バックグラウンドシステム10は一般に中央銀行によって形成される。
【0015】
データネットワーク12は、端末14とバックグラウンドシステム10との間のデータ交換に用いられる。データネットワーク12はどのような物理形態であってもよく、例えば、インターネットまたは携帯電話ネットワークで具現化することも可能である。
【0016】
端末14は取引システムのユーザー側インタフェースを構成し、この目的のために、一般に表示画面の形態の表示手段16と、例えばキーボードの形態の入力手段18を有している。端末14は、例えば銀行に設置されている装置などの公的にアクセス可能な端末、または例えばPCや携帯電話などのユーザー30のプライベートエリアにある装置とすることができる。データネットワーク12、よってバックグラウンドシステム10には、1つ以上の端末14が接続されていてもよく、各端末はデザインの異なるものとすることも可能である。端末14は、携帯型データ記憶媒体20と通信できるインタフェース19を有する。このインタフェース19は、特に接触式または非接触式など、どのような物理的デザインのものとすることもできる。
【0017】
端末14は、ユーザー30の生物測定学的特徴を検出するための、以後「センサ」と呼ぶセンサ装置15をさらに有する。センサ15は、顔面の特徴、目または指紋の特徴、あるいは声または筆記動作によって表されるひと続きのスピーチまたはライティングといった挙動ベースの特徴など、物理的な特徴を検出できる。図1では、センサ15として指紋センサが示されている。センサ15は複数の異なる生物測定学的特徴を感知するように形成できる。センサ15は、感知された生物測定学的特徴を予備評価する手段をさらに備えている。これによって、感知された情報は、ある固有の主特徴に絞られる。種々のタイプの生物測定学的認証方法およびその実施例は、例えば前述の非特許文献1の第8.1.2章に記載されている。
【0018】
携帯型データ記憶媒体20は、例えば、非特許文献1に詳細に記載されているのと同様にスマートカードとする。図1は、携帯型データ記憶媒体20、特に端末側インタフェース19に対応するインタフェースを構成する接触パッド22を備えた接触式スマートカードを示す。これらのインタフェース22、19を介してスマートカード20と端末の間の通信が行われる。携帯型データ記憶媒体20は、スマートカードの形状から離れて、どのような形状とすることもでき、例えば、ユーザー30が着用する衣類またはユーザー30が携行する日用品として具現化することも可能である。
【0019】
携帯型データ記憶媒体20は、特にマイクロプロセッサ25および記憶手段26をはじめとする、普通のコンピュータのあらゆる構成要素を有する集積回路24を有する。マイクロプロセッサ25はセキュリティ確立処理を実行するように設定される。例えば、マイクロプロセッサ25は、以後「電子文書40」と呼ぶ、供給されたデータレコード40を暗号アルゴリズムに送り込むように設定され、それによって、記憶手段26に格納されている少なくとも1つの秘密鍵を使用する。マイクロプロセッサ25は、記憶手段26に記憶されているプログラムにしたがって別の機能を実現するようにも設定されている。
【0020】
携帯型データ記憶媒体20は、少なくとも1つ、しかし便宜的には複数の異なるユーザー認証方法を実行するようにさらに設定されている。また、携帯型データ記憶媒体20は、認証品質のレベルが異なる少なくとも2種類の認証方法をサポートすることが好ましい。携帯型データ記憶媒体20は、少なくとも1つの知識ベースの認証方法、例えばPINチェックと、端末14にいるはずのユーザー30の生物測定学的特徴をチェックする少なくとも1つの生物測定学的方法とをサポートすることが適切である。この生物測定学的方法は、ユーザー30の本人存在を前提とするものであるので、ここでは、より質の高い認証方法を構成する。知識ベースの場合、権限のないユーザーでも知識を取得できるので、高品質は保証されない。したがって、記憶手段26は、例えばユーザー30に割り当てられた参照PINなど、ユーザー30によって示されるべき少なくとも1つの秘密と、ユーザー30に割り当てられた少なくとも1つの生物測定学的参照データレコードとを記憶する。携帯型データ記憶媒体20が3種類以上の認証方法、詳細には別の生物測定学的方法、に対応できることが便利である。したがって、この場合、記憶手段26は別の秘密および/または参照データレコードを記憶し、集積回路24は別の認証方法を実行するように設定される。
【0021】
図1記載の構成を使用した安全な取引の実行法を、図2および3を参照しながら以下に説明する。セキュリティ確立処理は電子文書40の署名となろう。
【0022】
上記構成の使用は、電子文書40をバックグラウンドシステム10または端末14内に作成することから開始される(ステップ100)。一般に、前記文書作成に先行して、端末14を介したユーザー30とバックグラウンドシステム10の間の開始ダイアログが行われる。遅くとも電子文書40が端末14に提供されるまでに署名適用が開始される(ステップ102)。この開始は、端末14またはバックグラウンドシステム10によって自動的に生じさせることも可能であるし、表示装置16上の適切な表示によって端末14がユーザー30にそうするように要求した後でユーザー30が開始することも可能である。
【0023】
署名適用が開始した後、ユーザー30は適切な携帯型データ記憶媒体20を端末14に提供し(ステップ104)する。以後、携帯型データ記憶媒体20は接触式スマートカードの形態をしているものとする。また、以後、スマートカード20は2種類の認証方法、すなわち知識ベースの低品質の方法としてのPINチェックおよび生物測定学的な高品質の方法としての指紋チェック、をサポートするものと仮定する。
【0024】
端末14がスマートカード20の存在を認識すると、最初にスマートカード20との相互認識を実行し(ステップ106)、それによって最初にスマートカード20が自己の真正性を端末14に対して示し、その後、端末14が自己の真正性をスマートカード20に対して示す。
【0025】
認証に問題がなければ、端末14およびスマートカード20はダイナミックセッションキーを取り決めて、いわゆる安全なメッセージングモードで安全に行われるべき別の通信を許可する(ステップ108)。安全なメッセージングモードおよびダイナミックセッションキーの概念に関する詳細は、再び非特許文献1を参照されたい。
【0026】
その後、スマートカード20に対するユーザー30の認証が行われる。最初に、端末14が、知識ベース、すなわちPINの入力によって行われたか、生物測定学的、すなわち指紋提示によって行われたか、認証方法をチェックする(ステップ110)。認証方法の指定は、電子文書40と一緒に送られる情報に基づいて端末が自動的に実行することができるが、表示装置16を介した決定要求としてユーザー30に指定させることも可能である。後者の場合、ユーザー30は入力手段18によって決定を行う。
【0027】
ユーザー30の認証が知識ベースとなる場合、すなわちPINの入力によって行われる場合、スマートカード20は、他の可能認証方法、すなわち指紋チェックを無効とし(ステップ112)、表示装置16を介してユーザー30に、入力手段18からユーザーのPINを入力するように指示する。
【0028】
ユーザー30は、入力手段18を介してPINを入力し、端末14は入力データを直接または変更形態で、インタフェース19、22を介してスマートカード20に供給する(ステップ114)。PINまたはPINから派生した情報の送信およびスマートカードとのその後の通信は、取り決められたセッションキーを使ってさらに保護される。端末14とスマートカード20の間のすべての通信は、安全なメッセージングモードで行われることが適切である。
【0029】
スマートカードは、送信されたPINをチェックし、エラーがない場合には端末14に対して正当性を示し、PINが無効とチェックされた場合には処理を終了させる(ステップ116)。
【0030】
エラーが無い場合、端末14は対応する命令によってスマートカード20にセキュリティ確立処理、すなわちデジタル署名、を実行させ、署名対象の電子文書40をスマートカード20に送る(ステップ118)。
【0031】
スマートカード20は、供給された電子文書40に、記憶手段26に格納された秘密鍵を使って署名し(ステップ120)、署名された電子文書40を端末14に送り戻し(ステップ122)、端末14は、これを使って、開始された電子取引を継続する。
【0032】
ステップ110のチェックにより、ユーザー30の認証が知識ベースではなく生物測定学的なものであることが判明すると、端末14は、生物測定学的特徴の提示に対する認証を開始し、相当する報告をスマートカード20に行う(ステップ130)。これと同時に、スマートカード20は、不使用の他の認証方法、すなわち知識ベースのPINチェック、の使用を無効とする(ステップ132)。
【0033】
その後、ユーザー30は使用認証方法による生物測定学的特徴、すなわち指紋、を端末14に示す(ステップ134)。端末14の表示装置16上の相当する表示によって、指紋提示要求が行われることが好ましい。指紋は、端末14に設けられたセンサ15によって検出される。
【0034】
検出された生物測定学的特徴、すなわちユーザー30の指紋は、端末14によって、センサ15が取得した信号からある識別的な特徴を抽出する前処理にかけられる(ステップ136)。指紋が使用される場合、「ヘンリー分類法」の主特徴に対し、例えば非特許文献1に記載されているような判断がなされる。
【0035】
抽出された特徴は、端末14によって、インタフェース19、22を介して携帯型データ記憶媒体20に送られる(ステップ138)。
【0036】
携帯型データ記憶媒体は、抽出特徴を受け取ると、その検証を実施する(ステップ140)。それによって集積回路24は、受け取った抽出特徴と、記憶手段に格納された参照用の特徴とを比較し、十分な一致が認められるかチェックする。十分な一致が認められた場合、携帯型データ記憶媒体20は端末14に対して、送られてきた生物測定学的特徴が有効であることを証明する(ステップ142)。また、携帯型データ記憶媒体20は、目的のセキュリティ確立処理を実行するように、すなわちデジタル署名を実行するように、速やかに切り換わる。
【0037】
認証の確認が合格であるとの証明を受け取った後、端末14は、相当する命令によって、携帯型データ記憶媒体20にデジタル署名を実施させる(ステップ144)。端末14は、この命令と一緒に、署名対象の電子文書40または少なくともその一部を携帯型データ記憶媒体20に送る。
【0038】
それと同時に、携帯型データ記憶媒体20の集積回路24は、デジタル署名作成に必要な処理を実施する(ステップ146)。集積回路24は、一般に、電子署名40の受信部分を超えるハッシュ値を形成し、記憶手段26に格納されている、秘密鍵と公開鍵から成る非対称の鍵ペアのうちの秘密鍵を使ってこれを暗号化する。
【0039】
また、集積回路24は、ユーザー30の認証が生物測定学的特徴を使って行われたことを知らせる品質情報を生成する(ステップ148)。これと同時に、前記品質情報は、生成されたデジタル署名にしっかりと結びつけられて秘密メッセージを形成する。これは、前述の取り決められたセッションキーを使用する安全なメッセージング機構と結びつけることが適切である。
【0040】
このようにして形成された、デジタル署名および品質情報から成る秘密メッセージは、携帯型データ記憶媒体20によって端末14に返送される(ステップ150)。送られた秘密メッセージは、ここから、実行される安全な電子取引内で、この取引にかかわる受取人、例えばバックグラウンドシステム10へ渡される。
【0041】
携帯型データ記憶媒体20によって実行されるセキュリティ確立処理に加え、秘密メッセージの受取人は、同時に、秘密メッセージに含まれる品質情報から、実行されたユーザー30の認証の品質に関する説明を受け取る。
【0042】
前述の例では、品質情報は、知識ベースの方法使用時には生成されず、生物測定学的認証方法の使用時のみ作成された。したがって、品質情報が無いということは、より品質の低い方法が使用されていることを既に知らせている。しかしながら、常に、すなわち、認証のために知識ベースの方法が選択されたか、生物測定学的方法が選択されたかとは無関係に、品質情報を形成するようにもできるのは勿論である。
【0043】
前述の概念によれば、前もって実施されるユーザー認証の品質に関する品質情報を、携帯型データ記憶媒体によって実行されるセキュリティ確立処理結果に添付するという基本思想を保持しながら、別の実施形態および変更形態も可能となる。これは、より多くのコンポーネントおよび別のタイプのコンポーネントを備えることができる、取引実行に使用できるシステムの設計に応用できる。前述の手順は別のステップ、例えば途中のステップを含むことも可能である。
【図面の簡単な説明】
【0044】
【図1】デジタル署名を実施するためのシステムの構成を示す図である。
【図2】デジタル署名を実施するプロセスを示すフローチャートである。
【図3】デジタル署名を実施するプロセスを示すフローチャートである。
【符号の説明】
【0045】
10 バックグラウンドシステム
12 データネットワーク
14 端末
15 センサ
16 表示手段
18 入力手段
19 インタフェース
20 携帯型データ記憶媒体
22 インタフェース
24 集積回路
25 マイクロプロセッサ
26 記憶手段
30 ユーザー
40 データレコード
【技術分野】
【0001】
本発明は電子取引を実行する方法に関し、特に、携帯型データ記憶媒体を使って安全な電子取引を実行する方法に関する。
【背景技術】
【0002】
本発明は、主請求項の各構成要素にしたがう方法を起端とするものである。そのような方法は、例えば、非特許文献1により周知となっている。法的拘束性のある電子署名を行う場合は、秘密の署名キーを含むデジタル署名カードがしかるべく使用されるべきである。署名は、カードが署名対象の文書を電子形態で受け取るのに適した端末で行われる。署名を実施できるようにするために、カードのユーザーは端末を通じて自分の身元を証明しなくてはならない。通常、この証明はPIN(暗証番号)の入力によって行われ、入力されたPINはカードに記憶されている参照用PINと比較される。将来的にはユーザー認証を、例えば指紋などの生物測定学的な特徴をチェックすることによって行うことが計画されている。ユーザーの認証合格後に署名カードを用いて電子文書に署名がなされると、次いでいずれかの方法で文書を次に送ることができる。電子署名により、例えばコストを伴うサービスオーダーの発注など、電子通信路による特にセキュリティが重視される取引を実行することが可能となる。
【0003】
ユーザー認証のために生物測定学的特徴を意図的に導入することにより、署名資格を与えられた本人の立会いのもとでしか署名カードを使えなくなるため、従来の一般的なPIN認証と比較して電子署名の信頼性がさらに向上する。
【0004】
しかしながら、これまでは、このようにして明らかとなったユーザー認証に関する品質差が、作成される特定の電子署名の使用適性に反映されることはなかった。
【非特許文献1】W.ランケルおよびW.エフィング共著“Handbuch der Chipkarten”第3版、1999年、p.692〜703、“Digital Signature(デジタル署名)”
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明の課題は、実行されたユーザー認証の品質を考慮する、携帯型データ記憶媒体を使った安全な電子取引を実行する方法を明記することである。
【課題を解決するための手段】
【0006】
この課題は、主請求項の構成を有する方法によって達成される。この課題は、独立請求項10、13および14にしたがう安全な電子取引を実行する携帯型データ記憶媒体、端末およびシステムによって達成される。
【0007】
本発明によれば、ユーザー認証が行われるときに、認証を行うデータ記憶媒体が、使用認証方法に関する品質情報を作成する。この証明は、後から携帯型データ記憶媒体によって実施されるセキュリティ確立処理の結果に添付される。したがって、そのように形成されたメッセージの受取人は、セキュリティ確立処理を実行する前にユーザーがどのような本人認証を行ったか確実に把握できる。これにより、ユーザー認証品質に基づく安全な取引を行う可能性が受取人にもたらされる。例えば、財布用途の場合、PIN認証後は口座から限界値未満の金額を引き出すことしかできないが、生物測定学的特徴による認証後は限界値を上回る金額を引き出すことができる。
【0008】
本発明の方法は、電子署名と関連付けて使用することが特に有利である。
【0009】
好ましい実施形態では、考えられるさまざまなユーザー認証方法の実施は、より低い品質の方法の途中実行結果が、より高い品質の方法の途中実行結果に簡単に変換できないように考案されている。これにより、権限のないユーザーが携帯型データ記憶媒体および低品質の関係認証情報の両方にアクセスした場合でも、すなわち、権限のないユーザーが、例えば、携帯型データ記憶媒体と関係PINを一緒に有している場合でも、認証証明を用いて不正をすることはできない、という結果が達成される。
【0010】
ユーザー認証実行時に不使用の特定認証方法については、認証の続行を不可能とすることがさらに有利である。
【発明を実施するための最良の形態】
【0011】
図面を参照しながら本発明の実施形態を以下に詳述する。
【0012】
図1は安全な電子取引を実行するための取引システムの基本構造を示す。本発明に関する構造の主要構成要素は、データネットワーク12を介して端末14に接続されるバックグラウンドシステム10、ユーザー30に携行され、取引でセキュリティ確立処理を実施するように設定された携帯型データ記憶媒体20、実行される取引で安全に取り扱われるべきデータレコード40である。
【0013】
以下、「安全な電子取引」とは、ユーザー30側のデジタル署名の生成を要求する取引とする。そのような取引は、例えば、ユーザー30の口座から即時決済する銀行取引を実行することなどにできる。しかしながら、前述の解決策は、デジタル署名を要求する取引に限定されるものではなく、基本的には、端末14から提供されるデータレコード40を処理し、処理結果を端末14に戻す用途であれば、どのような用途にも使用できる。
【0014】
バックグラウンドシステム10は、例えば、2つの口座間の金銭の移動または注文後の商品配送開始など、実際の取引を行う装置を表す。したがって、バックグラウンドシステム10は複数の個別コンポーネントを含む複雑なシステムとすることもできるし、極端な場合には、完全に除外することもできる。取引が口座移動用途の場合、バックグラウンドシステム10は一般に中央銀行によって形成される。
【0015】
データネットワーク12は、端末14とバックグラウンドシステム10との間のデータ交換に用いられる。データネットワーク12はどのような物理形態であってもよく、例えば、インターネットまたは携帯電話ネットワークで具現化することも可能である。
【0016】
端末14は取引システムのユーザー側インタフェースを構成し、この目的のために、一般に表示画面の形態の表示手段16と、例えばキーボードの形態の入力手段18を有している。端末14は、例えば銀行に設置されている装置などの公的にアクセス可能な端末、または例えばPCや携帯電話などのユーザー30のプライベートエリアにある装置とすることができる。データネットワーク12、よってバックグラウンドシステム10には、1つ以上の端末14が接続されていてもよく、各端末はデザインの異なるものとすることも可能である。端末14は、携帯型データ記憶媒体20と通信できるインタフェース19を有する。このインタフェース19は、特に接触式または非接触式など、どのような物理的デザインのものとすることもできる。
【0017】
端末14は、ユーザー30の生物測定学的特徴を検出するための、以後「センサ」と呼ぶセンサ装置15をさらに有する。センサ15は、顔面の特徴、目または指紋の特徴、あるいは声または筆記動作によって表されるひと続きのスピーチまたはライティングといった挙動ベースの特徴など、物理的な特徴を検出できる。図1では、センサ15として指紋センサが示されている。センサ15は複数の異なる生物測定学的特徴を感知するように形成できる。センサ15は、感知された生物測定学的特徴を予備評価する手段をさらに備えている。これによって、感知された情報は、ある固有の主特徴に絞られる。種々のタイプの生物測定学的認証方法およびその実施例は、例えば前述の非特許文献1の第8.1.2章に記載されている。
【0018】
携帯型データ記憶媒体20は、例えば、非特許文献1に詳細に記載されているのと同様にスマートカードとする。図1は、携帯型データ記憶媒体20、特に端末側インタフェース19に対応するインタフェースを構成する接触パッド22を備えた接触式スマートカードを示す。これらのインタフェース22、19を介してスマートカード20と端末の間の通信が行われる。携帯型データ記憶媒体20は、スマートカードの形状から離れて、どのような形状とすることもでき、例えば、ユーザー30が着用する衣類またはユーザー30が携行する日用品として具現化することも可能である。
【0019】
携帯型データ記憶媒体20は、特にマイクロプロセッサ25および記憶手段26をはじめとする、普通のコンピュータのあらゆる構成要素を有する集積回路24を有する。マイクロプロセッサ25はセキュリティ確立処理を実行するように設定される。例えば、マイクロプロセッサ25は、以後「電子文書40」と呼ぶ、供給されたデータレコード40を暗号アルゴリズムに送り込むように設定され、それによって、記憶手段26に格納されている少なくとも1つの秘密鍵を使用する。マイクロプロセッサ25は、記憶手段26に記憶されているプログラムにしたがって別の機能を実現するようにも設定されている。
【0020】
携帯型データ記憶媒体20は、少なくとも1つ、しかし便宜的には複数の異なるユーザー認証方法を実行するようにさらに設定されている。また、携帯型データ記憶媒体20は、認証品質のレベルが異なる少なくとも2種類の認証方法をサポートすることが好ましい。携帯型データ記憶媒体20は、少なくとも1つの知識ベースの認証方法、例えばPINチェックと、端末14にいるはずのユーザー30の生物測定学的特徴をチェックする少なくとも1つの生物測定学的方法とをサポートすることが適切である。この生物測定学的方法は、ユーザー30の本人存在を前提とするものであるので、ここでは、より質の高い認証方法を構成する。知識ベースの場合、権限のないユーザーでも知識を取得できるので、高品質は保証されない。したがって、記憶手段26は、例えばユーザー30に割り当てられた参照PINなど、ユーザー30によって示されるべき少なくとも1つの秘密と、ユーザー30に割り当てられた少なくとも1つの生物測定学的参照データレコードとを記憶する。携帯型データ記憶媒体20が3種類以上の認証方法、詳細には別の生物測定学的方法、に対応できることが便利である。したがって、この場合、記憶手段26は別の秘密および/または参照データレコードを記憶し、集積回路24は別の認証方法を実行するように設定される。
【0021】
図1記載の構成を使用した安全な取引の実行法を、図2および3を参照しながら以下に説明する。セキュリティ確立処理は電子文書40の署名となろう。
【0022】
上記構成の使用は、電子文書40をバックグラウンドシステム10または端末14内に作成することから開始される(ステップ100)。一般に、前記文書作成に先行して、端末14を介したユーザー30とバックグラウンドシステム10の間の開始ダイアログが行われる。遅くとも電子文書40が端末14に提供されるまでに署名適用が開始される(ステップ102)。この開始は、端末14またはバックグラウンドシステム10によって自動的に生じさせることも可能であるし、表示装置16上の適切な表示によって端末14がユーザー30にそうするように要求した後でユーザー30が開始することも可能である。
【0023】
署名適用が開始した後、ユーザー30は適切な携帯型データ記憶媒体20を端末14に提供し(ステップ104)する。以後、携帯型データ記憶媒体20は接触式スマートカードの形態をしているものとする。また、以後、スマートカード20は2種類の認証方法、すなわち知識ベースの低品質の方法としてのPINチェックおよび生物測定学的な高品質の方法としての指紋チェック、をサポートするものと仮定する。
【0024】
端末14がスマートカード20の存在を認識すると、最初にスマートカード20との相互認識を実行し(ステップ106)、それによって最初にスマートカード20が自己の真正性を端末14に対して示し、その後、端末14が自己の真正性をスマートカード20に対して示す。
【0025】
認証に問題がなければ、端末14およびスマートカード20はダイナミックセッションキーを取り決めて、いわゆる安全なメッセージングモードで安全に行われるべき別の通信を許可する(ステップ108)。安全なメッセージングモードおよびダイナミックセッションキーの概念に関する詳細は、再び非特許文献1を参照されたい。
【0026】
その後、スマートカード20に対するユーザー30の認証が行われる。最初に、端末14が、知識ベース、すなわちPINの入力によって行われたか、生物測定学的、すなわち指紋提示によって行われたか、認証方法をチェックする(ステップ110)。認証方法の指定は、電子文書40と一緒に送られる情報に基づいて端末が自動的に実行することができるが、表示装置16を介した決定要求としてユーザー30に指定させることも可能である。後者の場合、ユーザー30は入力手段18によって決定を行う。
【0027】
ユーザー30の認証が知識ベースとなる場合、すなわちPINの入力によって行われる場合、スマートカード20は、他の可能認証方法、すなわち指紋チェックを無効とし(ステップ112)、表示装置16を介してユーザー30に、入力手段18からユーザーのPINを入力するように指示する。
【0028】
ユーザー30は、入力手段18を介してPINを入力し、端末14は入力データを直接または変更形態で、インタフェース19、22を介してスマートカード20に供給する(ステップ114)。PINまたはPINから派生した情報の送信およびスマートカードとのその後の通信は、取り決められたセッションキーを使ってさらに保護される。端末14とスマートカード20の間のすべての通信は、安全なメッセージングモードで行われることが適切である。
【0029】
スマートカードは、送信されたPINをチェックし、エラーがない場合には端末14に対して正当性を示し、PINが無効とチェックされた場合には処理を終了させる(ステップ116)。
【0030】
エラーが無い場合、端末14は対応する命令によってスマートカード20にセキュリティ確立処理、すなわちデジタル署名、を実行させ、署名対象の電子文書40をスマートカード20に送る(ステップ118)。
【0031】
スマートカード20は、供給された電子文書40に、記憶手段26に格納された秘密鍵を使って署名し(ステップ120)、署名された電子文書40を端末14に送り戻し(ステップ122)、端末14は、これを使って、開始された電子取引を継続する。
【0032】
ステップ110のチェックにより、ユーザー30の認証が知識ベースではなく生物測定学的なものであることが判明すると、端末14は、生物測定学的特徴の提示に対する認証を開始し、相当する報告をスマートカード20に行う(ステップ130)。これと同時に、スマートカード20は、不使用の他の認証方法、すなわち知識ベースのPINチェック、の使用を無効とする(ステップ132)。
【0033】
その後、ユーザー30は使用認証方法による生物測定学的特徴、すなわち指紋、を端末14に示す(ステップ134)。端末14の表示装置16上の相当する表示によって、指紋提示要求が行われることが好ましい。指紋は、端末14に設けられたセンサ15によって検出される。
【0034】
検出された生物測定学的特徴、すなわちユーザー30の指紋は、端末14によって、センサ15が取得した信号からある識別的な特徴を抽出する前処理にかけられる(ステップ136)。指紋が使用される場合、「ヘンリー分類法」の主特徴に対し、例えば非特許文献1に記載されているような判断がなされる。
【0035】
抽出された特徴は、端末14によって、インタフェース19、22を介して携帯型データ記憶媒体20に送られる(ステップ138)。
【0036】
携帯型データ記憶媒体は、抽出特徴を受け取ると、その検証を実施する(ステップ140)。それによって集積回路24は、受け取った抽出特徴と、記憶手段に格納された参照用の特徴とを比較し、十分な一致が認められるかチェックする。十分な一致が認められた場合、携帯型データ記憶媒体20は端末14に対して、送られてきた生物測定学的特徴が有効であることを証明する(ステップ142)。また、携帯型データ記憶媒体20は、目的のセキュリティ確立処理を実行するように、すなわちデジタル署名を実行するように、速やかに切り換わる。
【0037】
認証の確認が合格であるとの証明を受け取った後、端末14は、相当する命令によって、携帯型データ記憶媒体20にデジタル署名を実施させる(ステップ144)。端末14は、この命令と一緒に、署名対象の電子文書40または少なくともその一部を携帯型データ記憶媒体20に送る。
【0038】
それと同時に、携帯型データ記憶媒体20の集積回路24は、デジタル署名作成に必要な処理を実施する(ステップ146)。集積回路24は、一般に、電子署名40の受信部分を超えるハッシュ値を形成し、記憶手段26に格納されている、秘密鍵と公開鍵から成る非対称の鍵ペアのうちの秘密鍵を使ってこれを暗号化する。
【0039】
また、集積回路24は、ユーザー30の認証が生物測定学的特徴を使って行われたことを知らせる品質情報を生成する(ステップ148)。これと同時に、前記品質情報は、生成されたデジタル署名にしっかりと結びつけられて秘密メッセージを形成する。これは、前述の取り決められたセッションキーを使用する安全なメッセージング機構と結びつけることが適切である。
【0040】
このようにして形成された、デジタル署名および品質情報から成る秘密メッセージは、携帯型データ記憶媒体20によって端末14に返送される(ステップ150)。送られた秘密メッセージは、ここから、実行される安全な電子取引内で、この取引にかかわる受取人、例えばバックグラウンドシステム10へ渡される。
【0041】
携帯型データ記憶媒体20によって実行されるセキュリティ確立処理に加え、秘密メッセージの受取人は、同時に、秘密メッセージに含まれる品質情報から、実行されたユーザー30の認証の品質に関する説明を受け取る。
【0042】
前述の例では、品質情報は、知識ベースの方法使用時には生成されず、生物測定学的認証方法の使用時のみ作成された。したがって、品質情報が無いということは、より品質の低い方法が使用されていることを既に知らせている。しかしながら、常に、すなわち、認証のために知識ベースの方法が選択されたか、生物測定学的方法が選択されたかとは無関係に、品質情報を形成するようにもできるのは勿論である。
【0043】
前述の概念によれば、前もって実施されるユーザー認証の品質に関する品質情報を、携帯型データ記憶媒体によって実行されるセキュリティ確立処理結果に添付するという基本思想を保持しながら、別の実施形態および変更形態も可能となる。これは、より多くのコンポーネントおよび別のタイプのコンポーネントを備えることができる、取引実行に使用できるシステムの設計に応用できる。前述の手順は別のステップ、例えば途中のステップを含むことも可能である。
【図面の簡単な説明】
【0044】
【図1】デジタル署名を実施するためのシステムの構成を示す図である。
【図2】デジタル署名を実施するプロセスを示すフローチャートである。
【図3】デジタル署名を実施するプロセスを示すフローチャートである。
【符号の説明】
【0045】
10 バックグラウンドシステム
12 データネットワーク
14 端末
15 センサ
16 表示手段
18 入力手段
19 インタフェース
20 携帯型データ記憶媒体
22 インタフェース
24 集積回路
25 マイクロプロセッサ
26 記憶手段
30 ユーザー
40 データレコード
【特許請求の範囲】
【請求項1】
ユーザーが携帯型データ記憶媒体に対して本人認証を行い、前記携帯型データ記憶媒体が認証の証拠を端末に証明し、その後、前記携帯型データ記憶媒体が電子取引内でセキュリティ確立処理を実行する、携帯型データ記憶媒体を使用して端末で安全な電子取引を実行する方法において、
前記携帯型データ記憶媒体(20)が、前記ユーザー(30)の認証がどのように行われたかに関する品質情報を生成し、前記品質情報が前記セキュリティ確立処理の結果に添付されることを特徴とする方法。
【請求項2】
前記携帯型データ記憶媒体(20)によって行われる前記セキュリティ確立処理がデジタル署名の作成であることを特徴とする請求項1に記載の方法。
【請求項3】
前記ユーザー(30)の認証を生物測定学的特徴の提示によって行うことを特徴とする請求項1に記載の方法。
【請求項4】
前記ユーザー(30)の認証を前記ユーザー(30)特有の生理的すなわち挙動ベースの特徴の提示によって行うことを特徴とする請求項3に記載の方法。
【請求項5】
前記ユーザー(30)の認証を秘密知識の証明によって行うことを特徴とする請求項1に記載の方法。
【請求項6】
品質の異なる少なくとも2種類の認証方法を前記ユーザー(30)の認証用に提案することを特徴とする請求項1に記載の方法。
【請求項7】
不使用の特定認証方法を無効とすることを特徴とする請求項6に記載の方法。
【請求項8】
認証方法に関する品質情報をまったく生成しないことを特徴とする請求項6に記載の方法。
【請求項9】
ユーザー(30)に認証方法を選択するように要求することを特徴とする請求項1に記載の方法。
【請求項10】
安全な電子取引内でセキュリティ確立処理を実行するための携帯型データ記憶媒体であって、それによってユーザーが本人認証を前記携帯型データ記憶媒体に対して行い、前記携帯型データ記憶媒体が前記認証を端末に対して証明する携帯型データ記憶媒体において、
前記ユーザー(30)の認証がどのように行われたかを示す品質情報を生成するように設定されていることを特徴とする携帯型データ記憶媒体。
【請求項11】
前記携帯型データ記憶媒体(20)がデジタル署名を生成するように設定されていることを特徴とする請求項10に記載のデータ記憶媒体。
【請求項12】
品質の異なる少なくとも2種類の認証方法に対応することを特徴とする請求項10に記載のデータ記憶媒体。
【請求項13】
請求項9にしたがって携帯型データ記憶媒体と一緒に使用するための端末において、少なくとも2種類の可能認証方法のうちの1つをユーザー(30)選択させる手段(16、18)を有することを特徴とする端末。
【請求項14】
安全な電子取引を実行するシステムであって、請求項10に記載の携帯型データ記憶媒体および請求項13に記載の端末を備え、前記システムに対するユーザー認証の品質を前記取引内で確認することを特徴とするシステム。
【請求項1】
ユーザーが携帯型データ記憶媒体に対して本人認証を行い、前記携帯型データ記憶媒体が認証の証拠を端末に証明し、その後、前記携帯型データ記憶媒体が電子取引内でセキュリティ確立処理を実行する、携帯型データ記憶媒体を使用して端末で安全な電子取引を実行する方法において、
前記携帯型データ記憶媒体(20)が、前記ユーザー(30)の認証がどのように行われたかに関する品質情報を生成し、前記品質情報が前記セキュリティ確立処理の結果に添付されることを特徴とする方法。
【請求項2】
前記携帯型データ記憶媒体(20)によって行われる前記セキュリティ確立処理がデジタル署名の作成であることを特徴とする請求項1に記載の方法。
【請求項3】
前記ユーザー(30)の認証を生物測定学的特徴の提示によって行うことを特徴とする請求項1に記載の方法。
【請求項4】
前記ユーザー(30)の認証を前記ユーザー(30)特有の生理的すなわち挙動ベースの特徴の提示によって行うことを特徴とする請求項3に記載の方法。
【請求項5】
前記ユーザー(30)の認証を秘密知識の証明によって行うことを特徴とする請求項1に記載の方法。
【請求項6】
品質の異なる少なくとも2種類の認証方法を前記ユーザー(30)の認証用に提案することを特徴とする請求項1に記載の方法。
【請求項7】
不使用の特定認証方法を無効とすることを特徴とする請求項6に記載の方法。
【請求項8】
認証方法に関する品質情報をまったく生成しないことを特徴とする請求項6に記載の方法。
【請求項9】
ユーザー(30)に認証方法を選択するように要求することを特徴とする請求項1に記載の方法。
【請求項10】
安全な電子取引内でセキュリティ確立処理を実行するための携帯型データ記憶媒体であって、それによってユーザーが本人認証を前記携帯型データ記憶媒体に対して行い、前記携帯型データ記憶媒体が前記認証を端末に対して証明する携帯型データ記憶媒体において、
前記ユーザー(30)の認証がどのように行われたかを示す品質情報を生成するように設定されていることを特徴とする携帯型データ記憶媒体。
【請求項11】
前記携帯型データ記憶媒体(20)がデジタル署名を生成するように設定されていることを特徴とする請求項10に記載のデータ記憶媒体。
【請求項12】
品質の異なる少なくとも2種類の認証方法に対応することを特徴とする請求項10に記載のデータ記憶媒体。
【請求項13】
請求項9にしたがって携帯型データ記憶媒体と一緒に使用するための端末において、少なくとも2種類の可能認証方法のうちの1つをユーザー(30)選択させる手段(16、18)を有することを特徴とする端末。
【請求項14】
安全な電子取引を実行するシステムであって、請求項10に記載の携帯型データ記憶媒体および請求項13に記載の端末を備え、前記システムに対するユーザー認証の品質を前記取引内で確認することを特徴とするシステム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2006−504167(P2006−504167A)
【公表日】平成18年2月2日(2006.2.2)
【国際特許分類】
【出願番号】特願2004−545962(P2004−545962)
【出願日】平成15年10月23日(2003.10.23)
【国際出願番号】PCT/EP2003/011761
【国際公開番号】WO2004/038665
【国際公開日】平成16年5月6日(2004.5.6)
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
【公表日】平成18年2月2日(2006.2.2)
【国際特許分類】
【出願日】平成15年10月23日(2003.10.23)
【国際出願番号】PCT/EP2003/011761
【国際公開番号】WO2004/038665
【国際公開日】平成16年5月6日(2004.5.6)
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
[ Back to top ]