確認済取引データ生成のための方法及び装置
ユーザによって確認されなければならない取引データがその間に処理される、取引の実行のための方法及び表示生成ユニットが提案される。表示生成ユニット(20)は、解釈されるべき取引データをピクセル値に変換し、これをモニタ(6)上に表示するコンバータユニット(29)及び、表示される取引データをユーザがそれを介して確認する、入力ユニット(7)を直接に取り付けるための表示生成ユニット(20)自体のインターフェースを備え、確認済取引データのレコードについて署名を生成するための暗号ユニット(31)も備える。変形態様においては、通常の態様で取り付けられた入力ユニット(14)を介してユーザにより入力されなければならない乱数を生成及び表示する暗号ユニット(31)によって、確認を行うことができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、基本的に攻撃可能なネットワーク環境において通常のデータ処理デバイスを用いてセキュリティクリティカルな取引を実行する場合の、信頼できかつ攻撃不能な確認済取引データの生成に関する。とりわけ、本発明は特に、支払いがインターネットを介してパーソナルコンピュータ上で行われる場合の安全な取引データの生成に向けられる。
【背景技術】
【0002】
その間にユーザが微妙なデータの入力を行うかまたは確認しなければならない、セキュリティクリティカルなアプリケーションを実行する際の特別な問題は、スクリーン上に再生される情報が、実際にユーザが意図している情報に対応することの保証を含む。従来のコンピュータシステム、中でもパーソナルコンピュータは、例えば、ユーザによって選択されたアプリケーションが適切に実行されているようにユーザに見せかけているが、実際には、ユーザが望んでいるデータとは異なる取引データをもって別のアプリケーションが実行されているという、パーソナルコンピュータに以前に密かに送り込まれたマルウエア(悪意のあるソフトウエア)が用いられて表示が生成されることにより、スクリーン上の表示を介して特に攻撃され得る。パーソナルコンピュータでアプリケーションが実行される場合には一般に、同じCPUがバックグラウンドシステム、ユーザ入力ユニット及びスクリーンとのデータ交換を制御するため、そのような攻撃が可能になる。したがって、ユーザ入力ユニット及びスクリーンとのデータ交換において、バックグラウンドシステムへの接続を介して、干渉することが比較的容易である。
【0003】
そのような攻撃を防止するため、ユーザ入力ユニットとスクリーンの間の保全接続を少なくとも一時的に確立する、付加デバイスを使用することが既に提案されている。そのような解決策は非特許文献1により知られている。非特許文献1によれば、パーソナルコンピュータのCPU、入力ユニット及びスクリーンの間に、一時的にCPUが切り離されている間ユーザ入力ユニットとスクリーンの間の直接接続をそれによって確立することができる、付加デバイスが接続される。付加デバイスは、この目的のため、それ自体の表示生成ユニットを、微妙な取引データを入力する目的のために付加デバイスを介してユーザ入力ユニットとスクリーンの間の直接接続がそれを用いて一時的に確立されるモニタスイッチとともに有する。したがって、ユーザは入力ユニットでユーザが実際に行った入力をモニタ上に見る。この解決策により確認済取引データの信頼できる生成が可能になるが、付加デバイスが必要であるから、そのような解決策は手が込んでおり、したがって費用がかかる。さらに、モニタスイッチが作動するときの切換プロセスにともなう表示の立上がり及び消去時間がユーザフレンドリネスを損なう。
【0004】
特許文献1によって、保全されていないコンピュータ環境において信頼できるドキュメントを生成するための方法が知られており、この方法では、フィルタを用いることでドキュメントの実内容がユーザに表示されることが保証される。見られるドキュメントはシールを用いて保全される。この方法の安全性は何よりもフィルタの品質に依存する。しかし、有効なフィルタの提供には手がかかる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】米国特許第5701342A号明細書
【非特許文献】
【0006】
【非特許文献1】「チップ駆動モニタキットがデジタル署名の信頼性を高める(Chip drive monitor kit macht digitale Signatue sicherer)」,TOWITOKO社,1999年
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の課題は、既知の構成と同じ効率を有するが、より費用をかけずに作成でき、より容易に取扱える、構成を提供することである。
【課題を解決するための手段】
【0008】
上記課題は請求項1の特徴を有する方法及び独立請求項12の特徴を有する装置のいずれによっても達成される。本発明にしたがう方法及び本発明にしたがう装置は、ユーザ以外には誰もモニタ上に表される表示を確認せず、したがってモニタ上に表される取引がユーザの実入力によってしか起動され得ないことを保証する、保全ハードウエアがパーソナルコンピュータに備えられるという手法に基づく。さらに、本発明にしたがう装置は実際に確認された表示の内容だけが取引の対象であることを保証する。CPUを迂回して保全ハードウエアにユーザ入力を直接に渡すことを可能にする独立インターフェースを表示生成ユニットに設けることにより、ユーザが入力した内容に表示が対応することが保証される。別の実施形態において、モニタ上に表示され、ユーザによって再現されなければならない、保全ハードウエアによって生成される乱数を用いることにより、表示がユーザ入力に対応することの証明が行われる。本発明にしたがう装置はいかなるデバイスも付加せずに機能するという利点を有する。代わりに、通常のグラフィックカードの構造に少しの変更だけが必要である。これは、特に費用対効果が非常に高い態様で実施することができる。本発明にしたがう表示生成ユニットはパーソナルコンピュータに標準で組み込むかまたは容易に後付けすることができる。
【0009】
本発明にしたがう装置の取扱いも簡素化される。本発明にしたがう方法は特に、実施の際にユーザによるいかなる特別な処置も必要とされないことを特徴とする。ユーザ入力の表示生成ユニットへの直接の物理的接続を用いることで、入力ユニットを介して行われた入力が、パーソナルコンピュータのCPUを介して遠回りせずに、表示生成ユニットに届いていることをユーザはいつでも容易に確信することができる。すなわち、いかなる場合にも、CPUを介するマルウエアによる攻撃は不可能であることが明らかになる。確認されるべき取引データの確認がCPUを動作させずにグラフィックカード上で行われることにより、取引データがマルウエアによって不正操作され得ないことが、さらに、実際上非常に高い信頼性で、保証される。コンバータユニットで生成される表示に光態様で対応する表示がモニタ上に現れるように、表示生成ユニットのグラフィックプロセッサの不正操作にマルウエアが万一成功したとしても、ユーザによる表示データの確認は、この場合は暗号ユニットがいかなる署名可能なデータも見つけられず、したがって署名が生成されないであろうから、いかなる結果も生じないであろう。
【0010】
その実施形態にしたがえば、それに応答してユーザが表示されたランダム情報またはそのモニタ上の位置を入力ユニットを用いて再び入力しなければならない、表示生成ユニットによって生成されるランダム情報を用いることで取引データの確認が行われる、本発明の第2の実施形態は、通常の態様で取り付けられる入力ユニットを用いることができるという特別な利点を有する。表示生成ユニット上の付加インターフェースを省略することができる。
【0011】
有益なことには、確認されるべき取引データのモニタ上表示は表示の部分領域で行われ、表示の残り領域はCPUによって供給されるグラフィックデータにしたがう通常の態様で示される。本発明にしたがう表示生成ユニットの介在をユーザに通知するため、本発明にしたがう方法の体制内で、グラフィックカードがセキュリティモードに変更された後、初めに、ユーザが確認する既設の開始画像が表示されれば、有益である。
【0012】
さらなる有益な発展形及び有利な実施形態は従属特許請求項の特徴に見ることができる。
【図面の簡単な説明】
【0013】
【図1】図1は本発明にしたがう表示生成ユニットによってセキュリティクリティカルな取引を実行するためのシステムの構造をブロック図で示す。
【図2】図2は図1に示されるシステム上でのセキュリティクリティカルなアプリケーションの実行の動作シーケンスのフローチャートを示す。
【図3】図3は取引実行の動作シーケンスの一例をハードウエアコンポーネント及び動作ステップと合わせて示す。
【図4】図4は、順次に表示される数字を連続して選ぶ形態の、ランダム情報の表示に応答するユーザ入力を示す。
【発明を実施するための形態】
【0014】
図面を参照して本発明の実施形態を以下でさらに詳細に説明する。
【0015】
図1に示されるシステムは基本的に、バックグラウンドシステム1,データネットワーク2及び、モニタ6,入力ユニット7及び/または入力ユニット14及び認証ユニット8と接続された、パーソナルコンピュータ5を備える。
【0016】
バックグラウンドシステム1は、それぞれの場合にサービス固有取引を実行するように、それぞれの場合に適するアプリケーションソフトウエアを用いてデータネットワーク2を介するユーザによるアクセスが可能なソフトウエアで実現されるサービスを提供する。代表的なサービスは、例えば、銀行取引の実行、クレジットカード取引の実行、インターネットを介するあらゆる種類の品物の購入、または株式市場取引の実行である。これらのサービスのアクセス中に、セキュリティクリティカルな取引が実行され、一般に、金銭の振替が実施され、身元識別がなされ、あるいは支払いがなされなければならないデータが転送される。
【0017】
データネットワーク2は、パーソナルコンピュータ5とバックグラウンドシステム1の間のデータ交換を可能にする。この任務を実現するため、データネットワーク2は中間ユニットを備えることができる。特に、パーソナルコンピュータ5上で用いられるプロトコルで表されている取引データをバックグラウンドシステム1に適合されたプロトコルに変換する、プロトコル変換ユニット3を備えることができる。
【0018】
パーソナルコンピュータ5は基本的に、通常のコンピュータ構造を有し、通常のコンピュータに一般に備わる要素を全て有する。図1は本発明に重要な、パーソナルコンピュータのそのような要素を示す。パーソナルコンピュータ5の中核要素は、メモリユニット11と、データネットワーク2を介してバックグラウンドユニット1と、また複合バス/エネルギーインターフェース15を介して表示生成ユニット20とも、接続される中央処理ユニット(CPU)10である。本発明の第2の実施形態において、パーソナルコンピュータはさらにインターフェース13を介して入力ユニット14に接続することができる。パーソナルコンピュータ5は一般に、デスクトップ、ラップトップまたは端末の構造形態を有し、個人の家庭環境において、あるいは会社または公共事業機関において用いられる。
【0019】
表示生成ユニット20は、独立回路ボードアセンブリとして形成され、パーソナルコンピュータ5の筐体内に収容されて、バス/エネルギーインターフェース15を介してCPU10と接続されることが好ましい。あるいは、表示生成ユニット20はCPU10と同じ回路ボード上に独立チップユニットとして実現することもできる。表示生成ユニット20へのエネルギー供給はパーソナルコンピュータ5によって行われる。表示生成ユニット20はモニタ6に共通外部インターフェース21を介して接続される。さらに、表示生成ユニット20は、必要に応じて、ユーザ入力ユニット7とそれを介して直接に接続される、別の外部インターフェース22を有する。必要に応じて、表示生成ユニット20は認証ユニット8を取り付けるための別の外部インターフェース23を有することができる。詳しくは、認証ユニット8は、例えばICカードまたはUSBトークンの形態の、ユーザの携帯型パーソナルメディアとすることができるが、定置ユニット、例えば生体的特徴を記録するためのセンサとすることもできる。
【0020】
パーソナルコンピュータ5のメモリユニット11は通常の態様で形成され、特に不揮発性領域を有する。メモリユニット11には、バックグラウンドシステム1を介して提供されるサービスが利用される、取引の実行を可能にするアプリケーションを実行するためのアプリケーションソフトウエア12が格納される。アプリケーションソフトウエア12は、パーソナルコンピュータ5上に常時格納されているソフトウエア、例えば「ホームバンキング」を支援するためのソフトウエアとすることができ、あるいは、例えばオンライン販売業者にある品物の取得のためのログインデータの管理のためのソフトウエアのような、取引を実行している間だけ一時的に必要なソフトウエアとすることができる。一般に、アプリケーションソフトウエア12はメモリユニット11内に、完全ではなく、取引データの生成に必要とされるような程度までしか存在しない。したがって、通常、アプリケーションソフトウエアは、中でも取引データの入力のためにモニタ6上に表示可能なメニューの提供に限定される。アプリケーションソフトウエア12は以下で単にアプリケーションと称される。
【0021】
モニタ6は通常タイプのモニタであり、ピクセルグラフィックの画像視覚化のためにはたらく。
【0022】
入力ユニット7は−及び入力ユニット14も同様に−一般にキーボード及び/またはマウス140であるが、音声入力装置またはユーザによるデータ入力を行うためのその他の全ての装置とすることもできる。初めに説明した本発明の第1の実施形態において、パーソナルコンピュータ5は表示生成ユニット20を介してパーソナルコンピュータ5に取り付けられる入力ユニット7を有する。第2の実施形態において、パーソナルコンピュータ5はCPUに直接に作用する入力ユニット14を有する。
【0023】
認証ユニット8は、例えば、ICカードを読み取るためのデバイス、指紋をチェックするためのデバイス、虹彩スキャナー、等とすることができる。
【0024】
表示生成ユニット20は通常のグラフィックカードに基づき、基本的に通常のグラフィックカードに一般的なコンポーネントの全てを有する。図1には、表示生成ユニット20の本発明に関して重要なコンポーネントだけが示されている。図1におけるブロックの形態でのコンポーネントの表示は説明を簡略にするに役立つだけである。コンポーネントの表示及び説明、またそれぞれの接続の表示及び説明も、まず初めに、論理的に理解されるべきである。したがって、図1に示される構造が表示生成ユニットの実回路構造に現実に見られる必要は全くない。それどころか、全てのコンポーネントは、同じ機能を有するが、物理的に異なる構成で形成することができ、特にソフトウエアプログラムの形態とすることができる。説明のため、以下では表示生成ユニット20が独立回路ボードアセンブリとして形成されるという事実から始める。
【0025】
以下ではグラフィックカードと称される表示生成ユニット20は、複合バス/エネルギーインターフェース15を介してCPU10に接続される。バス/エネルギーインターフェース15は、グラフィックカード20をCPU10から、またパーソナルコンピュータ5から、容易に切り離すことができるように、例えばAGP/PCI(X)プラグインインターフェースとして形成される。バス/エネルギーインターフェース15を介して、グラフィックカード20は一方でCPU10とデータを交換し、他方では、パーソナルコンピュータ5の中枢エネルギー源によって便宜的に、エネルギーを供給される。
【0026】
グラフィックカード20の主コンポーネントは−定義により−一方では、メインメモリ26,モード制御システム27及びバス/エネルギーインターフェース15を介してCPU10に接続され、他方では、例えばDVIインターフェースとして形成されるモニタインターフェース21を介してモニタ6に接続される、グラフィックプロセッサ25である。グラフィックプロセッサ25は、中央プロセッサユニット10によりバス/エネルギーインターフェース及びモード制御システム27を介してメインメモリ26にロードされてそこで管理されるグラフィックデータから、画像としてモニタ6上に表示されるピクセルグラフィックを生成する。グラフィックカード20の構造は、ピクセルグラフィック生成に関する限り、通常通りである。
【0027】
しかし、通常のグラフィックカードと異なり、本発明の第1の実施形態にしたがうグラフィックカード20は入力ユニット7を取り付けるための、それ自体のインターフェース22を有する。インターフェース22はスイッチユニット28を介し、スイッチユニット28の第1の切換え状態においては入力ユニット7によって行われる入力が直接にCPU10に渡されるように、バス/エネルギーインターフェース15によってCPU10に直接に接続される。
【0028】
グラフィックプロセッサ25はさらにコンバータモジュール29に接続される。コンバータモジュール29はマークアップ言語で表されているデータ、例えばASCIIフォーマットで表されているデータまたはXMLデータを、モニタ6上にピクセルグラフィックとして表示されるピクセル値に変換するためにはたらく。コンバータモジュール29によって生成されるピクセル値は、モニタ6上で、メインメモリ26にあるデータから生成される既存表示にオーバーレイされる独立ウインドウに表示されることが好ましい。
【0029】
コンバータモジュール29自体は実データメモリ30に接続される。実データメモリ30は、解釈されるべき取引データを入れておくためにはたらく。取引データを受け入れるため、実データメモリ30はモード制御システム27に接続される。実データメモリ30にはモード制御システム27,コンバータユニット29及び暗号ユニット31だけがアクセスできる。特にCPU10による、バス/エネルギーインターフェース15を介する直接アクセスは不可能である。
【0030】
さらに、実データメモリ30は暗号ユニット31に接続される。暗号ユニット31の主機能は、ユーザが表示の確認を行った後の、確認された取引データを用いる署名の計算にある。ユーザの確認受領のため、暗号ユニット31はスイッチユニット28による切換えが可能な入力ユニット7への接続を有する。
【0031】
暗号ユニット31はさらに、暗号ユニット31だけに割り当てられ、暗号ユニット31だけがアクセスできるが、いかなる場合にもバス/エネルギーインターフェース15を介するCPUによる直接アクセスは不可能な、セキュリティ素子32に接続される。便宜上、セキュリティ素子32は物理的攻撃に対して特に保護され得る。セキュリティ素子32には、一つには、モニタ6に対する既設の開始画像が格納され、モニタ6上の開始画像の再生が、グラフィックカード20がセキュリティモジュールにあることをユーザに通知する。開始画像は、例えば、ユーザによって定められた秘密メッセージ、私的画像または特殊なアイコンとすることができる。開始画像は、権限を与えられたユーザのみに知られ、そのユーザだけが決定または変更できることが好ましい。さらに、セキュリティ素子32には暗号ユニット31を動作させるために必要なユーザ固有個人データが置かれる。ユーザ固有個人データは、例えば、PIN、証明書、あるいは署名をするためまたはアプリケーションを再ロードするためのキーとすることができる。既設の開始画像は、適宜に、定められたコマンドを用いて選択的にコールすることができ、モニタ6上に表示することができる。セキュリティ素子32は、便宜上、それ自体の直結インターフェース33をさらに有する。このインターフェースを介して、一方では新規のまたはさらなる個人ユーザデータを取り込むことができる。他方では直結インターフェース33を介してセキュリティ素子32の最初の個人化を行うことができる。セキュリティ素子32は、便宜上、グラフィックカードが交換される場合にセキュリティ素子32に格納されたデータを別のグラフィックカードに容易に移すことができるように、グラフィックカード20から取外し可能なユニットとして、例えばICカードの形態で、形成することができる。
【0032】
モード制御システム27は、CPU10から入るデータを受取り、そのデータが通常のグラフィックデータであるかまたはアプリケーションの実行で得られた解釈されるべき取引データであるかに関してデータを評価する。通常のグラフィックデータである場合、モード制御システム27はデータをメインメモリ26に渡し、取引データである場合には実データメモリ30に渡す。データ評価に基づき、モード制御システム27は、グラフィックカード20のセキュリティモードへの切換えをさらに行う。この目的のため、モード制御システム27は、第1の切換え状態においては入力ユニット7をバス/エネルギーインターフェース15に通し、第2の切換え状態においては入力ユニット7を暗号ユニット31に接続する、スイッチユニット28に接続される。モード制御システム27は、例えば、特定のインターフェースをコールするためのコマンド(API CALL)を含む解釈されるべき取引データによって実現することができる。
【0033】
グラフィックカード20は、標準モード及びセキュリティモードの、2つのモードで動作することができる。標準モードにおいて、グラフィックカード20は通常のグラフィックカードとしてはたらき、CPU10によって供給されるグラフィックデータをモニタ6上に画像として表示する。セキュリティモードにおいては、コンバータモジュール29が稼働し、入力ユニット7がスイッチユニット28を介して暗号ユニット31に直接に接続される。コンバータユニット29は次いで、実データメモリ30に格納された解釈されるべきデータレコードに対するモニタ表示を生成し、ユーザによる確認の受領をチェックし、続いてデータレコードに署名する。
【0034】
コンバータユニット29,実データメモリ30,暗号ユニット31,セキュリティ素子32及び/またはスイッチユニット28のコンポーネントは、便宜上、不正操作に対して特に保全されたグラフィックカード上で接続されたアセンブリとして技術的に形成される。グラフィックカード上には、重要な機能パラメータをセキュリティモジュールに格納された基準パラメータと比較することによってグラフィックカードのコンポーネント25〜32の適切な機能を保証する、ハードウエア素子として形成された独立セキュリティモジュール34をさらに配置することができる。セキュリティモジュールには指定されたエンティティしかアクセスできず、アクセスは高度な暗号化態様で保全される。セキュリティモジュールは特に「信頼されるプラットフォームモジュール(TPM)」の形態を有することができる。
【0035】
グラフィックカード20の構成は、便宜的に、標準モードで動作できる普通のグラフィックユニットとして初めに提供されるグラフィックカードよって行われ、セキュリティモードが装備されるだけである。セキュリティモードの活性化は信頼できるエンティティによって後に実施され、エンティティにより所要の機能が普通のユニットに取り込まれる。そうする際に、コンバータユニット29,実データメモリ30,暗号ユニット31及び/またはセキュリティ素子32、あるいは少なくともその実質的な部分、例えばセキュリティクリティカルなデータ及び秘密データ、を動作させるためのソフトウエア全体が普通のグラフィックユニットに転送される。転送のため、信頼できるエンティティへの適する暗号化手法を用いて保全されたエンドツーエンド接続が確立される。ここで、そのような接続を確立するために肝要なキーはセキュリティモジュールの装備中に既に普通のグラフィックユニットに格納されている。
【0036】
先に説明したシステムに基づく取引の実行を、図2及び3を参照して、以下に例として説明する。ここでの説明は銀行取引の実行で開始し、その間に、とりわけ、口座番号及び振り替えられるべき金額に関するセキュリティクリティカルな詳細が提供される。
【0037】
実行は、操作ユニットを介して関連アプリケーションをスタートさせるユーザによって始められる(ステップ200)。アプリケーションは、アプリケーションによってモニタ6上に表示される適切なメニューを介する既知の態様でユーザを誘導し、取引データを入力するようにユーザを促す(ステップ202)。取引データは、例えば、図3に示されるように、口座番号、銀行ID番号、金額、日付及び時刻とすることができる。この場合、日付及び時刻のような、いくつかの詳細はアプリケーション自体によって生成できるであろう。
【0038】
取引データは、操作ユニット7を介してユーザにより入力されると、例えば、図3に示されるように、解釈されるべきマークアップデータ、例えばXMLデータ、のデータレコードとしてCPUによって前処理され、グラフィックカードに送られる(ステップ204)。
【0039】
グラフィックカードに入ってくるデータレコードはモード制御システム27により取引データとして認識される。そうすると、モード制御システム27はグラフィックカード20をセキュリティモードに移行させる(ステップ206)。この目的のため、モード制御システム27は、コンバータモジュール29,暗号ユニット31及び実データメモリ30を起動し、スイッチユニット28に入力ユニット7を暗号ユニット31と接続させる。さらに、初めにきたデータレコードが確認されるまで、取引データの以降のレコードの受け入れを停止するようにすることができる。
【0040】
取引データレコードはモード制御システム27によって実データメモリに渡される(ステップ208)。
【0041】
セキュリティモードが始動すると、暗号ユニット31がセキュリティ素子32にアクセスし、セキュリティ素子32に格納されている開始画像をモニタ6上に表示する(ステップ210)。表示は「オーバーレイ」ウインドウに行われる、すなわち、メインメモリ26にあるデータに基づいて生成された既存の表示に重ねてモニタ面の部分領域に独立ウインドウが開かれる、ことが好ましい。必要に応じて、確認されるべき取引データが表示される前にユーザが入力ユニットを介して開始画像を確認(ステップ212)しなければならないようにすることができる。
【0042】
次いで、コンバータモジュール29が、実データメモリ30に格納された解釈されるべき取引データをピクセル値に変換し、モニタ6上の先に開かれたウインドウに表示する(ステップ214)。
【0043】
取引データの表示とともに、すなわちモニタ上の同じウインドウで、ユーザは取引データを確認するように促される。同時に、スイッチユニット28は入力ユニット4の暗号ユニット31との接続を行う(ステップ216)。
【0044】
ここでユーザは、起動によって暗号ユニット31に直接に接続されている入力ユニット7を介して取引データを確認する(ステップ218)。確認は1つないしさらに多くの標準キーの作動によって行うことができるが、便宜的には、ユーザが一連の入力を行う、例えば取引データの一部を繰り返す、ことで行われる。あるいはまたは補足として、以下でさらに詳細に説明されるように、暗号ユニット31によって発生されてモニタ6上に表示されるランダム情報を入力するようにすることもできる。
【0045】
必要に応じる実施形態において、確認中、ユーザは認証ユニット8により、例えば、ICカード、認証トークンまたは指紋を提示することによって、認証を行うようにすることができる。変形態様において、暗号ユニット31と、暗号ユニット31が例えばキーを受け取ることができる、パーソナルコンピュータ5のセキュリティモジュールの間のデータ交換によって認証を行うこともできる。
【0046】
確認は、例えば入力ユニット7を介してユーザが入力した取引データを実データメモリ30に格納されている対応する取引データと比較することによって暗号ユニット31により認識される。そうすると、暗号ユニット31はセキュリティ素子32からキー及び/またはそのために与えられた証明書を取り、それによって、例えば、取引データに関するハッシュ値を形成し、続いてこれを暗号化することによって、実データメモリ30に格納されている取引データに関する署名を生成する(ステップ220)。署名は、暗号ユニット31によって、実データメモリ30に格納されている取引データと連結されて署名付取引データを形成する。認証ユニット8を介して認証情報が入力されていれば、認証情報を署名の形成に組み入れることができる。
【0047】
署名付取引データは続いて、暗号ユニット31により、バス/エネルギーインターフェース15を介してアプリケーション12に送り返される(ステップ222)。
【0048】
そうすると、アプリケーション12は既知の機構を用いてバックグラウンドシステムとの保全エンドツウエンド接続を確立する(ステップ224)。変形態様において、グラフィックカード20自体が保全エンドツウエンド接続を確立するようにすることができる。
【0049】
以降では、署名付取引データが、取引データに定められた銀行取引を実現するためにバックグラウンドシステムに直接送ることはできないフォーマットで存在するという事実が出発点となる。したがって、アプリケーションは署名付取引データを初めに、署名付取引データを処理のためにバックグラウンドシステム1に送信することができるプロトコルに、署名付取引データを変換するプロトコル変換ユニット3に送る(ステップ226)。プロトコル変換ユニット3は、変換を行うにあたり、便宜的に、暗号ユニット31で付加された署名を初めにチェックし、署名が承認されていると判定されれば、続いて必要なプロトコル再フォーマットを行う。その後、バックグラウンドシステム1のプロトコルで存在する取引データが変換ユニットによってバックグラウンドシステムに送信される(ステップ228)。
【0050】
バックグラウンドシステム1は取引データにしたがって取引を実行する。続いて、バックグラウンドシステム1がアプリケーション12に受領確認を送り返す(ステップ230)ようにすることができる。そのような受領確認の返信は、便宜上、署名付取引データの生成のために先に用いられた機構と同じ機構を用いて、逆方向に実施される。したがって、受領確認は解釈されるべきデータレコードとして生成され、署名が与えられ、続いてプロトコル変換ユニット3においてパーソナルコンピュータ5が処理できるフォーマットに変換され、グラフィックカード20がセキュリティモードに切り換えられた後に暗号ユニット31に転送され、そこで署名の真正さについてチェックされて、モニタ6上の独立ウインドウに表示され、入力ユニット7を介してユーザによって確認される。
【0051】
本発明の第2の実施形態において、パーソナルコンピュータ5はインターフェース13を介してCPU10と直接に接続された入力ユニット14を有する。この場合、グラフィックカード20は第1の実施形態を参照して説明したような構造と正確に同じ構造を有するが、インターデース22は有していないか、あるいはインターフェース22には入力ユニット7が取り付けられない。第2の実施形態が機能するモードも、ステップ214における取引データ表示後の取引データ確認の実行を除き、第1の実施形態のモードに対応する。
【0052】
第1の実施形態とは異なり、この場合、ステップ214におけるモニタ6上に表示される取引データの確認は−セキュリティモードにおいて−英数字または記号のランダム情報、特にワンタイムパスワードの態様の乱数またはランダム文字列の形態の論理情報を生成する、暗号ユニット31によって行われ、この論理情報がコンバータユニット29を介してモニタ6上に表示される。表示は取引データと同じウインドウに行われる。同時に、ユーザは、付随する表示により、表示される英数字または記号のランダム情報に応答して、CPUに接続された入力ユニットを介してこのランダム情報を入力するように促される(ステップ216)。次いでユーザは入力ユニット14を介して英数字または記号のランダム情報を入力し、入力は入力ユニット14からCPUに届き、CPUはこれをバス/エネルギーインターフェース15を介して暗号ユニット31に渡す。暗号ユニット31において受け取られたランダム情報は表示された情報と比較される。一致すれば、暗号ユニット31は署名を生成するであろう(ステップ220)。しかし、暗号ユニット31が違うと判定すれば、暗号ユニット31は新しい英数字または記号のランダム情報を生成して表示するであろう。便宜上、誤試行回数は制限される。ユーザによって入力されるランダム情報は署名の一部とすることができる。
【0053】
英数字ランダム情報の生成及び入力に対する補助として用いることもできる、変形態様において、モニタ6上に表示される取引データの確認は、英数文字の一意的な組合せをユーザが入力することで行われる。この場合、文字の組合せは以下のTAN(取引番号)の例のように構成することができ、一般に、ハードコピーリストの形態でユーザに提示される。セキュリティモードにおいて正しく入力された数字の組合せは、モニタ上にそのように表示され、したがって取引データを確認する。
【0054】
別の変形態様においては、図4に示されるように、表示されるランダム情報のユーザ入力について、セキュリティモードにおいて暗号ユニット31が、全領域または部分領域にわたって分散されてモニタ6上に表示される、一連の論理情報片を生成する。表示は、例えば、図4に示されるように、一連の連続する数字の形態で、または順次文字列、例えば単語、として行うことができる。入力ユニット14は、入力として、モニタ6上に表示される情報の位置の入力を可能にする。この目的のため、モニタ6上のカーソルの位置による入力の制御を可能にする、マウスまたはその他の周辺入力デバイス140が備えられることが好ましい。ここでユーザは、カーソル位置に対応する入力を生成するため、与えられた順序で表示された情報片を選択することにより、周辺入力デバイスを用いて入力を行う。例えば、ユーザが表示された数字をその順序にしたがって選択するようにすることができる。暗号ユニット31が、表示された情報片が正しい順序で選択されたか否かをチェックする。数字の分散、したがってユーザによって入力されるべき位置のシーケンスはランダムに制御され、したがってコール毎に新規である。数字または文字の代わりに、前もって画一的に定められた態様で、またはモニタ6上に、例えば右上から始まり左回りに、出力されるように、相互に連結されなければならない、画一的な記号を用いることもできる。この場合、連結の態様はそれ自体ランダムに制御し、記号とともに表示することができる。さらに、図4に示される変形態様も、人間のユーザだけしか行えない入力を生成するための独立な解決策として、上述した本発明内での使用とは無関係に、適している。
【0055】
確認されるべき取引データの確認をパーソナルコンピュータのCPUを介在させずにグラフィックカード上で直接行うことができるようにグラフィックカードを構成するという基本アイデアを完全に維持しながら、上述の構成及び上述の方法には多くの変形が可能である。すなわち、まず第1に、グラフィックカードについて説明したコンポーネントはハードウエア及びソフトウエアの複数の態様で実現することができる。個々の機能または手順ステップは説明したコンポーネントまたは1つに集成されたコンポーネント以外で実行することができる。これは、例えば、コンバータユニット29及び暗号ユニット31またはモード制御システム37及びスイッチユニットに当てはまる。同様に、当然、データネットワークまたはバックグラウンドシステムは精巧な構造を有し、取引の実行においては複数のパーソナルコンピュータまたはバックグラウンドシステムが関与し得る。さらに、本発明にしたがう解決策は明示的に述べた取引とは異なる取引での使用にも適することはもちろんである。
【符号の説明】
【0056】
1 バックグラウンドシステム
2 データネットワーク
3 プロトコル変換ユニット
5 パーソナルコンピュータ
6 モニタ
7,14 入力ユニット
8 認証ユニット
10 CPU(PC)
11 メモリ
12 アプリケーション
13,22,23 インターフェース(USB)
15 バス/エネルギーインターフェース
20 表示生成ユニット
21 インターフェース(DVI)
25 グラフィックプロセッサ
26 メインメモリ
27 モード制御システム
28 スイッチユニット
29 コンバータユニット
30 実データメモリ
31 暗号ユニット
32 セキュリティ素子
33 直結インターフェース
34 セキュリティモジュール
140 マウス
【技術分野】
【0001】
本発明は、基本的に攻撃可能なネットワーク環境において通常のデータ処理デバイスを用いてセキュリティクリティカルな取引を実行する場合の、信頼できかつ攻撃不能な確認済取引データの生成に関する。とりわけ、本発明は特に、支払いがインターネットを介してパーソナルコンピュータ上で行われる場合の安全な取引データの生成に向けられる。
【背景技術】
【0002】
その間にユーザが微妙なデータの入力を行うかまたは確認しなければならない、セキュリティクリティカルなアプリケーションを実行する際の特別な問題は、スクリーン上に再生される情報が、実際にユーザが意図している情報に対応することの保証を含む。従来のコンピュータシステム、中でもパーソナルコンピュータは、例えば、ユーザによって選択されたアプリケーションが適切に実行されているようにユーザに見せかけているが、実際には、ユーザが望んでいるデータとは異なる取引データをもって別のアプリケーションが実行されているという、パーソナルコンピュータに以前に密かに送り込まれたマルウエア(悪意のあるソフトウエア)が用いられて表示が生成されることにより、スクリーン上の表示を介して特に攻撃され得る。パーソナルコンピュータでアプリケーションが実行される場合には一般に、同じCPUがバックグラウンドシステム、ユーザ入力ユニット及びスクリーンとのデータ交換を制御するため、そのような攻撃が可能になる。したがって、ユーザ入力ユニット及びスクリーンとのデータ交換において、バックグラウンドシステムへの接続を介して、干渉することが比較的容易である。
【0003】
そのような攻撃を防止するため、ユーザ入力ユニットとスクリーンの間の保全接続を少なくとも一時的に確立する、付加デバイスを使用することが既に提案されている。そのような解決策は非特許文献1により知られている。非特許文献1によれば、パーソナルコンピュータのCPU、入力ユニット及びスクリーンの間に、一時的にCPUが切り離されている間ユーザ入力ユニットとスクリーンの間の直接接続をそれによって確立することができる、付加デバイスが接続される。付加デバイスは、この目的のため、それ自体の表示生成ユニットを、微妙な取引データを入力する目的のために付加デバイスを介してユーザ入力ユニットとスクリーンの間の直接接続がそれを用いて一時的に確立されるモニタスイッチとともに有する。したがって、ユーザは入力ユニットでユーザが実際に行った入力をモニタ上に見る。この解決策により確認済取引データの信頼できる生成が可能になるが、付加デバイスが必要であるから、そのような解決策は手が込んでおり、したがって費用がかかる。さらに、モニタスイッチが作動するときの切換プロセスにともなう表示の立上がり及び消去時間がユーザフレンドリネスを損なう。
【0004】
特許文献1によって、保全されていないコンピュータ環境において信頼できるドキュメントを生成するための方法が知られており、この方法では、フィルタを用いることでドキュメントの実内容がユーザに表示されることが保証される。見られるドキュメントはシールを用いて保全される。この方法の安全性は何よりもフィルタの品質に依存する。しかし、有効なフィルタの提供には手がかかる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】米国特許第5701342A号明細書
【非特許文献】
【0006】
【非特許文献1】「チップ駆動モニタキットがデジタル署名の信頼性を高める(Chip drive monitor kit macht digitale Signatue sicherer)」,TOWITOKO社,1999年
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明の課題は、既知の構成と同じ効率を有するが、より費用をかけずに作成でき、より容易に取扱える、構成を提供することである。
【課題を解決するための手段】
【0008】
上記課題は請求項1の特徴を有する方法及び独立請求項12の特徴を有する装置のいずれによっても達成される。本発明にしたがう方法及び本発明にしたがう装置は、ユーザ以外には誰もモニタ上に表される表示を確認せず、したがってモニタ上に表される取引がユーザの実入力によってしか起動され得ないことを保証する、保全ハードウエアがパーソナルコンピュータに備えられるという手法に基づく。さらに、本発明にしたがう装置は実際に確認された表示の内容だけが取引の対象であることを保証する。CPUを迂回して保全ハードウエアにユーザ入力を直接に渡すことを可能にする独立インターフェースを表示生成ユニットに設けることにより、ユーザが入力した内容に表示が対応することが保証される。別の実施形態において、モニタ上に表示され、ユーザによって再現されなければならない、保全ハードウエアによって生成される乱数を用いることにより、表示がユーザ入力に対応することの証明が行われる。本発明にしたがう装置はいかなるデバイスも付加せずに機能するという利点を有する。代わりに、通常のグラフィックカードの構造に少しの変更だけが必要である。これは、特に費用対効果が非常に高い態様で実施することができる。本発明にしたがう表示生成ユニットはパーソナルコンピュータに標準で組み込むかまたは容易に後付けすることができる。
【0009】
本発明にしたがう装置の取扱いも簡素化される。本発明にしたがう方法は特に、実施の際にユーザによるいかなる特別な処置も必要とされないことを特徴とする。ユーザ入力の表示生成ユニットへの直接の物理的接続を用いることで、入力ユニットを介して行われた入力が、パーソナルコンピュータのCPUを介して遠回りせずに、表示生成ユニットに届いていることをユーザはいつでも容易に確信することができる。すなわち、いかなる場合にも、CPUを介するマルウエアによる攻撃は不可能であることが明らかになる。確認されるべき取引データの確認がCPUを動作させずにグラフィックカード上で行われることにより、取引データがマルウエアによって不正操作され得ないことが、さらに、実際上非常に高い信頼性で、保証される。コンバータユニットで生成される表示に光態様で対応する表示がモニタ上に現れるように、表示生成ユニットのグラフィックプロセッサの不正操作にマルウエアが万一成功したとしても、ユーザによる表示データの確認は、この場合は暗号ユニットがいかなる署名可能なデータも見つけられず、したがって署名が生成されないであろうから、いかなる結果も生じないであろう。
【0010】
その実施形態にしたがえば、それに応答してユーザが表示されたランダム情報またはそのモニタ上の位置を入力ユニットを用いて再び入力しなければならない、表示生成ユニットによって生成されるランダム情報を用いることで取引データの確認が行われる、本発明の第2の実施形態は、通常の態様で取り付けられる入力ユニットを用いることができるという特別な利点を有する。表示生成ユニット上の付加インターフェースを省略することができる。
【0011】
有益なことには、確認されるべき取引データのモニタ上表示は表示の部分領域で行われ、表示の残り領域はCPUによって供給されるグラフィックデータにしたがう通常の態様で示される。本発明にしたがう表示生成ユニットの介在をユーザに通知するため、本発明にしたがう方法の体制内で、グラフィックカードがセキュリティモードに変更された後、初めに、ユーザが確認する既設の開始画像が表示されれば、有益である。
【0012】
さらなる有益な発展形及び有利な実施形態は従属特許請求項の特徴に見ることができる。
【図面の簡単な説明】
【0013】
【図1】図1は本発明にしたがう表示生成ユニットによってセキュリティクリティカルな取引を実行するためのシステムの構造をブロック図で示す。
【図2】図2は図1に示されるシステム上でのセキュリティクリティカルなアプリケーションの実行の動作シーケンスのフローチャートを示す。
【図3】図3は取引実行の動作シーケンスの一例をハードウエアコンポーネント及び動作ステップと合わせて示す。
【図4】図4は、順次に表示される数字を連続して選ぶ形態の、ランダム情報の表示に応答するユーザ入力を示す。
【発明を実施するための形態】
【0014】
図面を参照して本発明の実施形態を以下でさらに詳細に説明する。
【0015】
図1に示されるシステムは基本的に、バックグラウンドシステム1,データネットワーク2及び、モニタ6,入力ユニット7及び/または入力ユニット14及び認証ユニット8と接続された、パーソナルコンピュータ5を備える。
【0016】
バックグラウンドシステム1は、それぞれの場合にサービス固有取引を実行するように、それぞれの場合に適するアプリケーションソフトウエアを用いてデータネットワーク2を介するユーザによるアクセスが可能なソフトウエアで実現されるサービスを提供する。代表的なサービスは、例えば、銀行取引の実行、クレジットカード取引の実行、インターネットを介するあらゆる種類の品物の購入、または株式市場取引の実行である。これらのサービスのアクセス中に、セキュリティクリティカルな取引が実行され、一般に、金銭の振替が実施され、身元識別がなされ、あるいは支払いがなされなければならないデータが転送される。
【0017】
データネットワーク2は、パーソナルコンピュータ5とバックグラウンドシステム1の間のデータ交換を可能にする。この任務を実現するため、データネットワーク2は中間ユニットを備えることができる。特に、パーソナルコンピュータ5上で用いられるプロトコルで表されている取引データをバックグラウンドシステム1に適合されたプロトコルに変換する、プロトコル変換ユニット3を備えることができる。
【0018】
パーソナルコンピュータ5は基本的に、通常のコンピュータ構造を有し、通常のコンピュータに一般に備わる要素を全て有する。図1は本発明に重要な、パーソナルコンピュータのそのような要素を示す。パーソナルコンピュータ5の中核要素は、メモリユニット11と、データネットワーク2を介してバックグラウンドユニット1と、また複合バス/エネルギーインターフェース15を介して表示生成ユニット20とも、接続される中央処理ユニット(CPU)10である。本発明の第2の実施形態において、パーソナルコンピュータはさらにインターフェース13を介して入力ユニット14に接続することができる。パーソナルコンピュータ5は一般に、デスクトップ、ラップトップまたは端末の構造形態を有し、個人の家庭環境において、あるいは会社または公共事業機関において用いられる。
【0019】
表示生成ユニット20は、独立回路ボードアセンブリとして形成され、パーソナルコンピュータ5の筐体内に収容されて、バス/エネルギーインターフェース15を介してCPU10と接続されることが好ましい。あるいは、表示生成ユニット20はCPU10と同じ回路ボード上に独立チップユニットとして実現することもできる。表示生成ユニット20へのエネルギー供給はパーソナルコンピュータ5によって行われる。表示生成ユニット20はモニタ6に共通外部インターフェース21を介して接続される。さらに、表示生成ユニット20は、必要に応じて、ユーザ入力ユニット7とそれを介して直接に接続される、別の外部インターフェース22を有する。必要に応じて、表示生成ユニット20は認証ユニット8を取り付けるための別の外部インターフェース23を有することができる。詳しくは、認証ユニット8は、例えばICカードまたはUSBトークンの形態の、ユーザの携帯型パーソナルメディアとすることができるが、定置ユニット、例えば生体的特徴を記録するためのセンサとすることもできる。
【0020】
パーソナルコンピュータ5のメモリユニット11は通常の態様で形成され、特に不揮発性領域を有する。メモリユニット11には、バックグラウンドシステム1を介して提供されるサービスが利用される、取引の実行を可能にするアプリケーションを実行するためのアプリケーションソフトウエア12が格納される。アプリケーションソフトウエア12は、パーソナルコンピュータ5上に常時格納されているソフトウエア、例えば「ホームバンキング」を支援するためのソフトウエアとすることができ、あるいは、例えばオンライン販売業者にある品物の取得のためのログインデータの管理のためのソフトウエアのような、取引を実行している間だけ一時的に必要なソフトウエアとすることができる。一般に、アプリケーションソフトウエア12はメモリユニット11内に、完全ではなく、取引データの生成に必要とされるような程度までしか存在しない。したがって、通常、アプリケーションソフトウエアは、中でも取引データの入力のためにモニタ6上に表示可能なメニューの提供に限定される。アプリケーションソフトウエア12は以下で単にアプリケーションと称される。
【0021】
モニタ6は通常タイプのモニタであり、ピクセルグラフィックの画像視覚化のためにはたらく。
【0022】
入力ユニット7は−及び入力ユニット14も同様に−一般にキーボード及び/またはマウス140であるが、音声入力装置またはユーザによるデータ入力を行うためのその他の全ての装置とすることもできる。初めに説明した本発明の第1の実施形態において、パーソナルコンピュータ5は表示生成ユニット20を介してパーソナルコンピュータ5に取り付けられる入力ユニット7を有する。第2の実施形態において、パーソナルコンピュータ5はCPUに直接に作用する入力ユニット14を有する。
【0023】
認証ユニット8は、例えば、ICカードを読み取るためのデバイス、指紋をチェックするためのデバイス、虹彩スキャナー、等とすることができる。
【0024】
表示生成ユニット20は通常のグラフィックカードに基づき、基本的に通常のグラフィックカードに一般的なコンポーネントの全てを有する。図1には、表示生成ユニット20の本発明に関して重要なコンポーネントだけが示されている。図1におけるブロックの形態でのコンポーネントの表示は説明を簡略にするに役立つだけである。コンポーネントの表示及び説明、またそれぞれの接続の表示及び説明も、まず初めに、論理的に理解されるべきである。したがって、図1に示される構造が表示生成ユニットの実回路構造に現実に見られる必要は全くない。それどころか、全てのコンポーネントは、同じ機能を有するが、物理的に異なる構成で形成することができ、特にソフトウエアプログラムの形態とすることができる。説明のため、以下では表示生成ユニット20が独立回路ボードアセンブリとして形成されるという事実から始める。
【0025】
以下ではグラフィックカードと称される表示生成ユニット20は、複合バス/エネルギーインターフェース15を介してCPU10に接続される。バス/エネルギーインターフェース15は、グラフィックカード20をCPU10から、またパーソナルコンピュータ5から、容易に切り離すことができるように、例えばAGP/PCI(X)プラグインインターフェースとして形成される。バス/エネルギーインターフェース15を介して、グラフィックカード20は一方でCPU10とデータを交換し、他方では、パーソナルコンピュータ5の中枢エネルギー源によって便宜的に、エネルギーを供給される。
【0026】
グラフィックカード20の主コンポーネントは−定義により−一方では、メインメモリ26,モード制御システム27及びバス/エネルギーインターフェース15を介してCPU10に接続され、他方では、例えばDVIインターフェースとして形成されるモニタインターフェース21を介してモニタ6に接続される、グラフィックプロセッサ25である。グラフィックプロセッサ25は、中央プロセッサユニット10によりバス/エネルギーインターフェース及びモード制御システム27を介してメインメモリ26にロードされてそこで管理されるグラフィックデータから、画像としてモニタ6上に表示されるピクセルグラフィックを生成する。グラフィックカード20の構造は、ピクセルグラフィック生成に関する限り、通常通りである。
【0027】
しかし、通常のグラフィックカードと異なり、本発明の第1の実施形態にしたがうグラフィックカード20は入力ユニット7を取り付けるための、それ自体のインターフェース22を有する。インターフェース22はスイッチユニット28を介し、スイッチユニット28の第1の切換え状態においては入力ユニット7によって行われる入力が直接にCPU10に渡されるように、バス/エネルギーインターフェース15によってCPU10に直接に接続される。
【0028】
グラフィックプロセッサ25はさらにコンバータモジュール29に接続される。コンバータモジュール29はマークアップ言語で表されているデータ、例えばASCIIフォーマットで表されているデータまたはXMLデータを、モニタ6上にピクセルグラフィックとして表示されるピクセル値に変換するためにはたらく。コンバータモジュール29によって生成されるピクセル値は、モニタ6上で、メインメモリ26にあるデータから生成される既存表示にオーバーレイされる独立ウインドウに表示されることが好ましい。
【0029】
コンバータモジュール29自体は実データメモリ30に接続される。実データメモリ30は、解釈されるべき取引データを入れておくためにはたらく。取引データを受け入れるため、実データメモリ30はモード制御システム27に接続される。実データメモリ30にはモード制御システム27,コンバータユニット29及び暗号ユニット31だけがアクセスできる。特にCPU10による、バス/エネルギーインターフェース15を介する直接アクセスは不可能である。
【0030】
さらに、実データメモリ30は暗号ユニット31に接続される。暗号ユニット31の主機能は、ユーザが表示の確認を行った後の、確認された取引データを用いる署名の計算にある。ユーザの確認受領のため、暗号ユニット31はスイッチユニット28による切換えが可能な入力ユニット7への接続を有する。
【0031】
暗号ユニット31はさらに、暗号ユニット31だけに割り当てられ、暗号ユニット31だけがアクセスできるが、いかなる場合にもバス/エネルギーインターフェース15を介するCPUによる直接アクセスは不可能な、セキュリティ素子32に接続される。便宜上、セキュリティ素子32は物理的攻撃に対して特に保護され得る。セキュリティ素子32には、一つには、モニタ6に対する既設の開始画像が格納され、モニタ6上の開始画像の再生が、グラフィックカード20がセキュリティモジュールにあることをユーザに通知する。開始画像は、例えば、ユーザによって定められた秘密メッセージ、私的画像または特殊なアイコンとすることができる。開始画像は、権限を与えられたユーザのみに知られ、そのユーザだけが決定または変更できることが好ましい。さらに、セキュリティ素子32には暗号ユニット31を動作させるために必要なユーザ固有個人データが置かれる。ユーザ固有個人データは、例えば、PIN、証明書、あるいは署名をするためまたはアプリケーションを再ロードするためのキーとすることができる。既設の開始画像は、適宜に、定められたコマンドを用いて選択的にコールすることができ、モニタ6上に表示することができる。セキュリティ素子32は、便宜上、それ自体の直結インターフェース33をさらに有する。このインターフェースを介して、一方では新規のまたはさらなる個人ユーザデータを取り込むことができる。他方では直結インターフェース33を介してセキュリティ素子32の最初の個人化を行うことができる。セキュリティ素子32は、便宜上、グラフィックカードが交換される場合にセキュリティ素子32に格納されたデータを別のグラフィックカードに容易に移すことができるように、グラフィックカード20から取外し可能なユニットとして、例えばICカードの形態で、形成することができる。
【0032】
モード制御システム27は、CPU10から入るデータを受取り、そのデータが通常のグラフィックデータであるかまたはアプリケーションの実行で得られた解釈されるべき取引データであるかに関してデータを評価する。通常のグラフィックデータである場合、モード制御システム27はデータをメインメモリ26に渡し、取引データである場合には実データメモリ30に渡す。データ評価に基づき、モード制御システム27は、グラフィックカード20のセキュリティモードへの切換えをさらに行う。この目的のため、モード制御システム27は、第1の切換え状態においては入力ユニット7をバス/エネルギーインターフェース15に通し、第2の切換え状態においては入力ユニット7を暗号ユニット31に接続する、スイッチユニット28に接続される。モード制御システム27は、例えば、特定のインターフェースをコールするためのコマンド(API CALL)を含む解釈されるべき取引データによって実現することができる。
【0033】
グラフィックカード20は、標準モード及びセキュリティモードの、2つのモードで動作することができる。標準モードにおいて、グラフィックカード20は通常のグラフィックカードとしてはたらき、CPU10によって供給されるグラフィックデータをモニタ6上に画像として表示する。セキュリティモードにおいては、コンバータモジュール29が稼働し、入力ユニット7がスイッチユニット28を介して暗号ユニット31に直接に接続される。コンバータユニット29は次いで、実データメモリ30に格納された解釈されるべきデータレコードに対するモニタ表示を生成し、ユーザによる確認の受領をチェックし、続いてデータレコードに署名する。
【0034】
コンバータユニット29,実データメモリ30,暗号ユニット31,セキュリティ素子32及び/またはスイッチユニット28のコンポーネントは、便宜上、不正操作に対して特に保全されたグラフィックカード上で接続されたアセンブリとして技術的に形成される。グラフィックカード上には、重要な機能パラメータをセキュリティモジュールに格納された基準パラメータと比較することによってグラフィックカードのコンポーネント25〜32の適切な機能を保証する、ハードウエア素子として形成された独立セキュリティモジュール34をさらに配置することができる。セキュリティモジュールには指定されたエンティティしかアクセスできず、アクセスは高度な暗号化態様で保全される。セキュリティモジュールは特に「信頼されるプラットフォームモジュール(TPM)」の形態を有することができる。
【0035】
グラフィックカード20の構成は、便宜的に、標準モードで動作できる普通のグラフィックユニットとして初めに提供されるグラフィックカードよって行われ、セキュリティモードが装備されるだけである。セキュリティモードの活性化は信頼できるエンティティによって後に実施され、エンティティにより所要の機能が普通のユニットに取り込まれる。そうする際に、コンバータユニット29,実データメモリ30,暗号ユニット31及び/またはセキュリティ素子32、あるいは少なくともその実質的な部分、例えばセキュリティクリティカルなデータ及び秘密データ、を動作させるためのソフトウエア全体が普通のグラフィックユニットに転送される。転送のため、信頼できるエンティティへの適する暗号化手法を用いて保全されたエンドツーエンド接続が確立される。ここで、そのような接続を確立するために肝要なキーはセキュリティモジュールの装備中に既に普通のグラフィックユニットに格納されている。
【0036】
先に説明したシステムに基づく取引の実行を、図2及び3を参照して、以下に例として説明する。ここでの説明は銀行取引の実行で開始し、その間に、とりわけ、口座番号及び振り替えられるべき金額に関するセキュリティクリティカルな詳細が提供される。
【0037】
実行は、操作ユニットを介して関連アプリケーションをスタートさせるユーザによって始められる(ステップ200)。アプリケーションは、アプリケーションによってモニタ6上に表示される適切なメニューを介する既知の態様でユーザを誘導し、取引データを入力するようにユーザを促す(ステップ202)。取引データは、例えば、図3に示されるように、口座番号、銀行ID番号、金額、日付及び時刻とすることができる。この場合、日付及び時刻のような、いくつかの詳細はアプリケーション自体によって生成できるであろう。
【0038】
取引データは、操作ユニット7を介してユーザにより入力されると、例えば、図3に示されるように、解釈されるべきマークアップデータ、例えばXMLデータ、のデータレコードとしてCPUによって前処理され、グラフィックカードに送られる(ステップ204)。
【0039】
グラフィックカードに入ってくるデータレコードはモード制御システム27により取引データとして認識される。そうすると、モード制御システム27はグラフィックカード20をセキュリティモードに移行させる(ステップ206)。この目的のため、モード制御システム27は、コンバータモジュール29,暗号ユニット31及び実データメモリ30を起動し、スイッチユニット28に入力ユニット7を暗号ユニット31と接続させる。さらに、初めにきたデータレコードが確認されるまで、取引データの以降のレコードの受け入れを停止するようにすることができる。
【0040】
取引データレコードはモード制御システム27によって実データメモリに渡される(ステップ208)。
【0041】
セキュリティモードが始動すると、暗号ユニット31がセキュリティ素子32にアクセスし、セキュリティ素子32に格納されている開始画像をモニタ6上に表示する(ステップ210)。表示は「オーバーレイ」ウインドウに行われる、すなわち、メインメモリ26にあるデータに基づいて生成された既存の表示に重ねてモニタ面の部分領域に独立ウインドウが開かれる、ことが好ましい。必要に応じて、確認されるべき取引データが表示される前にユーザが入力ユニットを介して開始画像を確認(ステップ212)しなければならないようにすることができる。
【0042】
次いで、コンバータモジュール29が、実データメモリ30に格納された解釈されるべき取引データをピクセル値に変換し、モニタ6上の先に開かれたウインドウに表示する(ステップ214)。
【0043】
取引データの表示とともに、すなわちモニタ上の同じウインドウで、ユーザは取引データを確認するように促される。同時に、スイッチユニット28は入力ユニット4の暗号ユニット31との接続を行う(ステップ216)。
【0044】
ここでユーザは、起動によって暗号ユニット31に直接に接続されている入力ユニット7を介して取引データを確認する(ステップ218)。確認は1つないしさらに多くの標準キーの作動によって行うことができるが、便宜的には、ユーザが一連の入力を行う、例えば取引データの一部を繰り返す、ことで行われる。あるいはまたは補足として、以下でさらに詳細に説明されるように、暗号ユニット31によって発生されてモニタ6上に表示されるランダム情報を入力するようにすることもできる。
【0045】
必要に応じる実施形態において、確認中、ユーザは認証ユニット8により、例えば、ICカード、認証トークンまたは指紋を提示することによって、認証を行うようにすることができる。変形態様において、暗号ユニット31と、暗号ユニット31が例えばキーを受け取ることができる、パーソナルコンピュータ5のセキュリティモジュールの間のデータ交換によって認証を行うこともできる。
【0046】
確認は、例えば入力ユニット7を介してユーザが入力した取引データを実データメモリ30に格納されている対応する取引データと比較することによって暗号ユニット31により認識される。そうすると、暗号ユニット31はセキュリティ素子32からキー及び/またはそのために与えられた証明書を取り、それによって、例えば、取引データに関するハッシュ値を形成し、続いてこれを暗号化することによって、実データメモリ30に格納されている取引データに関する署名を生成する(ステップ220)。署名は、暗号ユニット31によって、実データメモリ30に格納されている取引データと連結されて署名付取引データを形成する。認証ユニット8を介して認証情報が入力されていれば、認証情報を署名の形成に組み入れることができる。
【0047】
署名付取引データは続いて、暗号ユニット31により、バス/エネルギーインターフェース15を介してアプリケーション12に送り返される(ステップ222)。
【0048】
そうすると、アプリケーション12は既知の機構を用いてバックグラウンドシステムとの保全エンドツウエンド接続を確立する(ステップ224)。変形態様において、グラフィックカード20自体が保全エンドツウエンド接続を確立するようにすることができる。
【0049】
以降では、署名付取引データが、取引データに定められた銀行取引を実現するためにバックグラウンドシステムに直接送ることはできないフォーマットで存在するという事実が出発点となる。したがって、アプリケーションは署名付取引データを初めに、署名付取引データを処理のためにバックグラウンドシステム1に送信することができるプロトコルに、署名付取引データを変換するプロトコル変換ユニット3に送る(ステップ226)。プロトコル変換ユニット3は、変換を行うにあたり、便宜的に、暗号ユニット31で付加された署名を初めにチェックし、署名が承認されていると判定されれば、続いて必要なプロトコル再フォーマットを行う。その後、バックグラウンドシステム1のプロトコルで存在する取引データが変換ユニットによってバックグラウンドシステムに送信される(ステップ228)。
【0050】
バックグラウンドシステム1は取引データにしたがって取引を実行する。続いて、バックグラウンドシステム1がアプリケーション12に受領確認を送り返す(ステップ230)ようにすることができる。そのような受領確認の返信は、便宜上、署名付取引データの生成のために先に用いられた機構と同じ機構を用いて、逆方向に実施される。したがって、受領確認は解釈されるべきデータレコードとして生成され、署名が与えられ、続いてプロトコル変換ユニット3においてパーソナルコンピュータ5が処理できるフォーマットに変換され、グラフィックカード20がセキュリティモードに切り換えられた後に暗号ユニット31に転送され、そこで署名の真正さについてチェックされて、モニタ6上の独立ウインドウに表示され、入力ユニット7を介してユーザによって確認される。
【0051】
本発明の第2の実施形態において、パーソナルコンピュータ5はインターフェース13を介してCPU10と直接に接続された入力ユニット14を有する。この場合、グラフィックカード20は第1の実施形態を参照して説明したような構造と正確に同じ構造を有するが、インターデース22は有していないか、あるいはインターフェース22には入力ユニット7が取り付けられない。第2の実施形態が機能するモードも、ステップ214における取引データ表示後の取引データ確認の実行を除き、第1の実施形態のモードに対応する。
【0052】
第1の実施形態とは異なり、この場合、ステップ214におけるモニタ6上に表示される取引データの確認は−セキュリティモードにおいて−英数字または記号のランダム情報、特にワンタイムパスワードの態様の乱数またはランダム文字列の形態の論理情報を生成する、暗号ユニット31によって行われ、この論理情報がコンバータユニット29を介してモニタ6上に表示される。表示は取引データと同じウインドウに行われる。同時に、ユーザは、付随する表示により、表示される英数字または記号のランダム情報に応答して、CPUに接続された入力ユニットを介してこのランダム情報を入力するように促される(ステップ216)。次いでユーザは入力ユニット14を介して英数字または記号のランダム情報を入力し、入力は入力ユニット14からCPUに届き、CPUはこれをバス/エネルギーインターフェース15を介して暗号ユニット31に渡す。暗号ユニット31において受け取られたランダム情報は表示された情報と比較される。一致すれば、暗号ユニット31は署名を生成するであろう(ステップ220)。しかし、暗号ユニット31が違うと判定すれば、暗号ユニット31は新しい英数字または記号のランダム情報を生成して表示するであろう。便宜上、誤試行回数は制限される。ユーザによって入力されるランダム情報は署名の一部とすることができる。
【0053】
英数字ランダム情報の生成及び入力に対する補助として用いることもできる、変形態様において、モニタ6上に表示される取引データの確認は、英数文字の一意的な組合せをユーザが入力することで行われる。この場合、文字の組合せは以下のTAN(取引番号)の例のように構成することができ、一般に、ハードコピーリストの形態でユーザに提示される。セキュリティモードにおいて正しく入力された数字の組合せは、モニタ上にそのように表示され、したがって取引データを確認する。
【0054】
別の変形態様においては、図4に示されるように、表示されるランダム情報のユーザ入力について、セキュリティモードにおいて暗号ユニット31が、全領域または部分領域にわたって分散されてモニタ6上に表示される、一連の論理情報片を生成する。表示は、例えば、図4に示されるように、一連の連続する数字の形態で、または順次文字列、例えば単語、として行うことができる。入力ユニット14は、入力として、モニタ6上に表示される情報の位置の入力を可能にする。この目的のため、モニタ6上のカーソルの位置による入力の制御を可能にする、マウスまたはその他の周辺入力デバイス140が備えられることが好ましい。ここでユーザは、カーソル位置に対応する入力を生成するため、与えられた順序で表示された情報片を選択することにより、周辺入力デバイスを用いて入力を行う。例えば、ユーザが表示された数字をその順序にしたがって選択するようにすることができる。暗号ユニット31が、表示された情報片が正しい順序で選択されたか否かをチェックする。数字の分散、したがってユーザによって入力されるべき位置のシーケンスはランダムに制御され、したがってコール毎に新規である。数字または文字の代わりに、前もって画一的に定められた態様で、またはモニタ6上に、例えば右上から始まり左回りに、出力されるように、相互に連結されなければならない、画一的な記号を用いることもできる。この場合、連結の態様はそれ自体ランダムに制御し、記号とともに表示することができる。さらに、図4に示される変形態様も、人間のユーザだけしか行えない入力を生成するための独立な解決策として、上述した本発明内での使用とは無関係に、適している。
【0055】
確認されるべき取引データの確認をパーソナルコンピュータのCPUを介在させずにグラフィックカード上で直接行うことができるようにグラフィックカードを構成するという基本アイデアを完全に維持しながら、上述の構成及び上述の方法には多くの変形が可能である。すなわち、まず第1に、グラフィックカードについて説明したコンポーネントはハードウエア及びソフトウエアの複数の態様で実現することができる。個々の機能または手順ステップは説明したコンポーネントまたは1つに集成されたコンポーネント以外で実行することができる。これは、例えば、コンバータユニット29及び暗号ユニット31またはモード制御システム37及びスイッチユニットに当てはまる。同様に、当然、データネットワークまたはバックグラウンドシステムは精巧な構造を有し、取引の実行においては複数のパーソナルコンピュータまたはバックグラウンドシステムが関与し得る。さらに、本発明にしたがう解決策は明示的に述べた取引とは異なる取引での使用にも適することはもちろんである。
【符号の説明】
【0056】
1 バックグラウンドシステム
2 データネットワーク
3 プロトコル変換ユニット
5 パーソナルコンピュータ
6 モニタ
7,14 入力ユニット
8 認証ユニット
10 CPU(PC)
11 メモリ
12 アプリケーション
13,22,23 インターフェース(USB)
15 バス/エネルギーインターフェース
20 表示生成ユニット
21 インターフェース(DVI)
25 グラフィックプロセッサ
26 メインメモリ
27 モード制御システム
28 スイッチユニット
29 コンバータユニット
30 実データメモリ
31 暗号ユニット
32 セキュリティ素子
33 直結インターフェース
34 セキュリティモジュール
140 マウス
【特許請求の範囲】
【請求項1】
パーソナルコンピュータを用いる確認済取引データを生成するための方法であって、前記パーソナルコンピュータが前記パーソナルコンピュータのCPUからグラフィックデータを受け取る表示生成ユニットによって駆動されるモニタを有し、前記表示生成ユニットが前記グラフィックデータからピクセルグラフィックを生成する、前記方法において、
前記表示生成ユニット(20)に、解釈されるべきデータのピクセル値への変換を可能にするコンバータユニット(29)を備える工程、
前記表示生成ユニット(20)に、解釈されるべきデータのレコードに対する署名を生成するための暗号ユニット(31)を備える工程、
前記暗号ユニット(31)のユーザ入力を渡すためのユーザ入力ユニット(7,14)を備える工程、
取引データを処理するアプリケーションを開始させる工程(200)、
アプリケーションソフトウエア(12)の制御の下で前記パーソナルコンピュータ(5)上で解釈されるべきデータとして前記取引データを前処理する工程、
前記解釈されるべき取引データを前記コンバータユニット(29)に供給する工程(204)、
前記コンバータユニット(29)によって前記解釈されるべき取引データをピクセル値に変換する工程(214)、
前記モニタ上に前記ピクセル値を表示する工程(214)、
前記ユーザ入力ユニット(7,14)と前記暗号ユニット(31)の間に、ユーザによる確認信号の入力しか可能ではない接続を確立する工程、
ユーザ入力ユニットを介してユーザによる確認信号を入力する工程(218)、
ユーザによる確認信号の前記入力後に署名を生成する工程(220)、及び
前記署名及び前記取引データを結合して確認済取引データにする工程、
を含むことを特徴とする方法。
【請求項2】
ユーザ入力ユニット(7)のためのインターフェース(22)であって、インターフェース(22)を介してユーザ入力を前記暗号ユニット(31)に直接に渡すための、インターフェース(22)を前記表示生成ユニット(20)に備える工程、及び
前記モニタ(6)上に前記ピクセル値が表示された後に、ユーザによる前記確認信号の前記入力に対する直接接続をユーザ入力ユニット(7)と前記暗号ユニット(31)の間に確立する工程、
をさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記確認済取引データが、前記アプリケーションソフトウエア(12)によって実行される前記アプリケーションに返される(230)ことを特徴とする請求項1に記載の方法。
【請求項4】
前記確認済取引データが、前記署名をチェックし、前記取引データをバックグラウンドシステム(1)に適合されたプロトコルに変換する、プロトコル変換ユニット(3)に送られる(226)ことを特徴とする請求項1に記載の方法。
【請求項5】
前記表示生成ユニット(20)における前記解釈されるべき取引データの受取りの認識後に、既設の開始画像が前記モニタ(6)上に表示されることを特徴とする請求項1に記載の方法。
【請求項6】
前記ピクセル値の前記表示が、既存の表示上にオーバーレイされる独立ウインドウに行われることを特徴とする請求項1に記載の方法。
【請求項7】
前記表示生成ユニット(20)における前記解釈されるべき取引データの受取りの認識後、しばらくの間は、次の解釈されるべき取引データの受取りがなされ得ないことを特徴とする請求項1に記載の方法。
【請求項8】
前記ユーザ入力ユニット(14)と前記暗号ユニット(31)の間に接続を確立する前記工程が、
前記表示生成ユニット(20)において英数字及び/または記号のランダム情報を生成し、前記モニタ(6)上に表示する工程、
前記表示された英数字及び/または記号のランダム情報に応答して、前記パーソナルコンピュータ(5)の前記ユーザ入力ユニット(14)を介するユーザによる入力を要求する工程、及び
前記表示生成ユニット(20)において前記表示された英数字及び/または記号のランダム情報を前記ユーザによって入力された情報と比較する工程、
によって実施されることを特徴とする請求項1に記載の方法。
【請求項9】
前記表示された英数字及び/または記号のランダム情報に応答する、前記モニタ(6)上に表示された前記英数字及び/または記号のランダム情報の前記ユーザ入力ユニット(14)を介する前記入力が要求されることを特徴とする請求項8に記載の方法。
【請求項10】
前記表示された英数字及び/または記号のランダム情報に応答する、前記モニタ(6)上の前記英数字及び/または記号のランダム情報の少なくとも1片の位置の前記ユーザ入力ユニット(14)を介する前記入力が要求されることを特徴とする請求項8に記載の方法。
【請求項11】
前記英数字及び/または記号のランダム情報が、前記モニタ(6)上のその位置が既定の順序で入力されなければならない、一連の数字または文字を含むことを特徴とする請求項10に記載の方法。
【請求項12】
モニタ上に出力されるべきピクセルグラフィックを生成するための表示生成ユニットであって、パーソナルコンピュータのCPUからグラフィックデータを受け取るためのインターフェース、前記ピクセルグラフィックを前記モニタに転送するためのインターフェース及び前記パーソナルコンピュータからエネルギー供給を受けるためのインターフェースを備える表示生成ユニットにおいて、
前記パーソナルコンピュータ(5)のCPU(10)から解釈されるべきデータを受け取るためのモード制御システム(27)、
前記解釈されるべきデータをピクセル値に変換するように構成されたコンバータユニット(29)、
入力ユニット(7)を取り付けるためのインターフェース(22)、
前記解釈されるべきデータのレコードについての署名を生成するための暗号ユニット(31)、及び
ユーザが前記ユーザによって入力される情報を、前記入力ユニット(7)を介して前記暗号ユニット(31)に直接に向けることを可能にするために前記入力ユニット(7)を前記暗号ユニット(31)に接続するための、前記モード制御システム(27)によって作動されるスイッチユニット(28)、
を備えることを特徴とするユニット。
【請求項13】
前記暗号ユニット(31)に、前記署名の生成のために要求されるユーザ固有情報を収めるためのセキュリティ素子であって、それを介してさらにユーザ固有情報を取り込むことができる直結インターフェース(28)を有するセキュリティ素子が配置されることを特徴とする請求項12に記載のユニット。
【請求項14】
前記セキュリティ素子(32)が前記表示生成ユニット(20)から取り外しが可能であるように形成されることを特徴とする請求項13に記載のユニット。
【請求項15】
前記暗号ユニット(31)及び前記コンバータユニット(29)が抗不正操作筐体に収納されることを特徴とする請求項12に記載のユニット。
【請求項16】
認証ユニット(8)を直接に取り付けるためのインターフェース(23)をさらに有することを特徴とする請求項12に記載のユニット。
【請求項17】
前記解釈されるべきデータを一時的に格納するため、暗号ユニット(31)、コンバータユニット(29)及びモード制御システム(27)しかアクセスできず、前記CPU(10)への前記インターフェース(15)を介するアクセスは不可能であることを特徴とする請求項12に記載のユニット。
【請求項18】
モニタ上に出力されるべきピクセルグラフィックを生成するための表示生成ユニットであって、パーソナルコンピュータのCPUからグラフィックデータを受け取るためのインターフェース、前記ピクセルグラフィックを前記モニタに転送するためのインターフェース及び前記パーソナルコンピュータからエネルギー供給を受けるためのインターフェースを備える表示生成ユニットにおいて、
前記パーソナルコンピュータ(5)のCPU(10)から解釈されるべきデータを受け取るためのモード制御システム(27)、
前記解釈されるべきデータをピクセル値に変換するように構成されたコンバータユニット(29)、
英数字のランダム情報を生成するように、及び前記英数字のランダム情報を前記CPU(10)によって供給される英数字のランダム情報と比較するように、構成され、さらに前記解釈されるべきデータのレコードについての署名を生成するようにも構成された暗号ユニット(31)、及び
ユーザが前記ユーザによって入力される情報を前記入力ユニット(7)を介して前記暗号ユニット(31)に直接に向けることを可能にするために前記入力ユニット(7)を前記暗号ユニット(31)に接続するための、前記モード制御システム(27)によって作動されるスイッチユニット(28)、
を備えることを特徴とするユニット。
【請求項19】
ユーザによって確認されなければならない取引データが処理されるという体制内で取引を実行するためのシステムであって、
データネットワーク(2)、及び
前記データネットワーク(2)を介してアプリケーションソフトウエアを用いることでアクセスすることができるソフトウエアにおいて実現されるサービスを提供するバックグラウンドシステム(1)、
を備え、さらに
アプリケーションソフトウエアを実行するように構成された、モニタ(6)及び入力ユニット(7)を備えるパーソナルコンピュータ(5)、
も備えるシステムにおいて、
前記パーソナルコンピュータ(5)が請求項12にしたがう表示生成ユニット(20)を有し、前記取引データが請求項1の方法にしたがって確認される、
ことを特徴とするシステム。
【請求項1】
パーソナルコンピュータを用いる確認済取引データを生成するための方法であって、前記パーソナルコンピュータが前記パーソナルコンピュータのCPUからグラフィックデータを受け取る表示生成ユニットによって駆動されるモニタを有し、前記表示生成ユニットが前記グラフィックデータからピクセルグラフィックを生成する、前記方法において、
前記表示生成ユニット(20)に、解釈されるべきデータのピクセル値への変換を可能にするコンバータユニット(29)を備える工程、
前記表示生成ユニット(20)に、解釈されるべきデータのレコードに対する署名を生成するための暗号ユニット(31)を備える工程、
前記暗号ユニット(31)のユーザ入力を渡すためのユーザ入力ユニット(7,14)を備える工程、
取引データを処理するアプリケーションを開始させる工程(200)、
アプリケーションソフトウエア(12)の制御の下で前記パーソナルコンピュータ(5)上で解釈されるべきデータとして前記取引データを前処理する工程、
前記解釈されるべき取引データを前記コンバータユニット(29)に供給する工程(204)、
前記コンバータユニット(29)によって前記解釈されるべき取引データをピクセル値に変換する工程(214)、
前記モニタ上に前記ピクセル値を表示する工程(214)、
前記ユーザ入力ユニット(7,14)と前記暗号ユニット(31)の間に、ユーザによる確認信号の入力しか可能ではない接続を確立する工程、
ユーザ入力ユニットを介してユーザによる確認信号を入力する工程(218)、
ユーザによる確認信号の前記入力後に署名を生成する工程(220)、及び
前記署名及び前記取引データを結合して確認済取引データにする工程、
を含むことを特徴とする方法。
【請求項2】
ユーザ入力ユニット(7)のためのインターフェース(22)であって、インターフェース(22)を介してユーザ入力を前記暗号ユニット(31)に直接に渡すための、インターフェース(22)を前記表示生成ユニット(20)に備える工程、及び
前記モニタ(6)上に前記ピクセル値が表示された後に、ユーザによる前記確認信号の前記入力に対する直接接続をユーザ入力ユニット(7)と前記暗号ユニット(31)の間に確立する工程、
をさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記確認済取引データが、前記アプリケーションソフトウエア(12)によって実行される前記アプリケーションに返される(230)ことを特徴とする請求項1に記載の方法。
【請求項4】
前記確認済取引データが、前記署名をチェックし、前記取引データをバックグラウンドシステム(1)に適合されたプロトコルに変換する、プロトコル変換ユニット(3)に送られる(226)ことを特徴とする請求項1に記載の方法。
【請求項5】
前記表示生成ユニット(20)における前記解釈されるべき取引データの受取りの認識後に、既設の開始画像が前記モニタ(6)上に表示されることを特徴とする請求項1に記載の方法。
【請求項6】
前記ピクセル値の前記表示が、既存の表示上にオーバーレイされる独立ウインドウに行われることを特徴とする請求項1に記載の方法。
【請求項7】
前記表示生成ユニット(20)における前記解釈されるべき取引データの受取りの認識後、しばらくの間は、次の解釈されるべき取引データの受取りがなされ得ないことを特徴とする請求項1に記載の方法。
【請求項8】
前記ユーザ入力ユニット(14)と前記暗号ユニット(31)の間に接続を確立する前記工程が、
前記表示生成ユニット(20)において英数字及び/または記号のランダム情報を生成し、前記モニタ(6)上に表示する工程、
前記表示された英数字及び/または記号のランダム情報に応答して、前記パーソナルコンピュータ(5)の前記ユーザ入力ユニット(14)を介するユーザによる入力を要求する工程、及び
前記表示生成ユニット(20)において前記表示された英数字及び/または記号のランダム情報を前記ユーザによって入力された情報と比較する工程、
によって実施されることを特徴とする請求項1に記載の方法。
【請求項9】
前記表示された英数字及び/または記号のランダム情報に応答する、前記モニタ(6)上に表示された前記英数字及び/または記号のランダム情報の前記ユーザ入力ユニット(14)を介する前記入力が要求されることを特徴とする請求項8に記載の方法。
【請求項10】
前記表示された英数字及び/または記号のランダム情報に応答する、前記モニタ(6)上の前記英数字及び/または記号のランダム情報の少なくとも1片の位置の前記ユーザ入力ユニット(14)を介する前記入力が要求されることを特徴とする請求項8に記載の方法。
【請求項11】
前記英数字及び/または記号のランダム情報が、前記モニタ(6)上のその位置が既定の順序で入力されなければならない、一連の数字または文字を含むことを特徴とする請求項10に記載の方法。
【請求項12】
モニタ上に出力されるべきピクセルグラフィックを生成するための表示生成ユニットであって、パーソナルコンピュータのCPUからグラフィックデータを受け取るためのインターフェース、前記ピクセルグラフィックを前記モニタに転送するためのインターフェース及び前記パーソナルコンピュータからエネルギー供給を受けるためのインターフェースを備える表示生成ユニットにおいて、
前記パーソナルコンピュータ(5)のCPU(10)から解釈されるべきデータを受け取るためのモード制御システム(27)、
前記解釈されるべきデータをピクセル値に変換するように構成されたコンバータユニット(29)、
入力ユニット(7)を取り付けるためのインターフェース(22)、
前記解釈されるべきデータのレコードについての署名を生成するための暗号ユニット(31)、及び
ユーザが前記ユーザによって入力される情報を、前記入力ユニット(7)を介して前記暗号ユニット(31)に直接に向けることを可能にするために前記入力ユニット(7)を前記暗号ユニット(31)に接続するための、前記モード制御システム(27)によって作動されるスイッチユニット(28)、
を備えることを特徴とするユニット。
【請求項13】
前記暗号ユニット(31)に、前記署名の生成のために要求されるユーザ固有情報を収めるためのセキュリティ素子であって、それを介してさらにユーザ固有情報を取り込むことができる直結インターフェース(28)を有するセキュリティ素子が配置されることを特徴とする請求項12に記載のユニット。
【請求項14】
前記セキュリティ素子(32)が前記表示生成ユニット(20)から取り外しが可能であるように形成されることを特徴とする請求項13に記載のユニット。
【請求項15】
前記暗号ユニット(31)及び前記コンバータユニット(29)が抗不正操作筐体に収納されることを特徴とする請求項12に記載のユニット。
【請求項16】
認証ユニット(8)を直接に取り付けるためのインターフェース(23)をさらに有することを特徴とする請求項12に記載のユニット。
【請求項17】
前記解釈されるべきデータを一時的に格納するため、暗号ユニット(31)、コンバータユニット(29)及びモード制御システム(27)しかアクセスできず、前記CPU(10)への前記インターフェース(15)を介するアクセスは不可能であることを特徴とする請求項12に記載のユニット。
【請求項18】
モニタ上に出力されるべきピクセルグラフィックを生成するための表示生成ユニットであって、パーソナルコンピュータのCPUからグラフィックデータを受け取るためのインターフェース、前記ピクセルグラフィックを前記モニタに転送するためのインターフェース及び前記パーソナルコンピュータからエネルギー供給を受けるためのインターフェースを備える表示生成ユニットにおいて、
前記パーソナルコンピュータ(5)のCPU(10)から解釈されるべきデータを受け取るためのモード制御システム(27)、
前記解釈されるべきデータをピクセル値に変換するように構成されたコンバータユニット(29)、
英数字のランダム情報を生成するように、及び前記英数字のランダム情報を前記CPU(10)によって供給される英数字のランダム情報と比較するように、構成され、さらに前記解釈されるべきデータのレコードについての署名を生成するようにも構成された暗号ユニット(31)、及び
ユーザが前記ユーザによって入力される情報を前記入力ユニット(7)を介して前記暗号ユニット(31)に直接に向けることを可能にするために前記入力ユニット(7)を前記暗号ユニット(31)に接続するための、前記モード制御システム(27)によって作動されるスイッチユニット(28)、
を備えることを特徴とするユニット。
【請求項19】
ユーザによって確認されなければならない取引データが処理されるという体制内で取引を実行するためのシステムであって、
データネットワーク(2)、及び
前記データネットワーク(2)を介してアプリケーションソフトウエアを用いることでアクセスすることができるソフトウエアにおいて実現されるサービスを提供するバックグラウンドシステム(1)、
を備え、さらに
アプリケーションソフトウエアを実行するように構成された、モニタ(6)及び入力ユニット(7)を備えるパーソナルコンピュータ(5)、
も備えるシステムにおいて、
前記パーソナルコンピュータ(5)が請求項12にしたがう表示生成ユニット(20)を有し、前記取引データが請求項1の方法にしたがって確認される、
ことを特徴とするシステム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2010−521754(P2010−521754A)
【公表日】平成22年6月24日(2010.6.24)
【国際特許分類】
【出願番号】特願2009−553954(P2009−553954)
【出願日】平成20年3月14日(2008.3.14)
【国際出願番号】PCT/EP2008/002061
【国際公開番号】WO2008/113521
【国際公開日】平成20年9月25日(2008.9.25)
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
【公表日】平成22年6月24日(2010.6.24)
【国際特許分類】
【出願日】平成20年3月14日(2008.3.14)
【国際出願番号】PCT/EP2008/002061
【国際公開番号】WO2008/113521
【国際公開日】平成20年9月25日(2008.9.25)
【出願人】(596007511)ギーゼッケ ウント デフリエント ゲーエムベーハー (47)
【氏名又は名称原語表記】Giesecke & Devrient GmbH
【Fターム(参考)】
[ Back to top ]