資格情報の自動化ローディングを用いる大容量記憶装置
二要素認証システムおよび方法で用いられる携帯用大容量記憶装置を提供する。安全な携帯用大容量記憶装置は、セキュリティ機構およびファームウェアを用いてコンテンツを自由にコピーされないようにする。セキュリティ機能は、二要素認証または非対称認証方法に必要とされるアルゴリズムおよびシードと同様に極秘のユーザ資格情報およびパスワードも保護する。大容量記憶装置に備わっているクライアントアプリケーションは、ユーザにより選択された様々な機関にユーザをサインインする間、バックグラウンドで認証手続きを途絶えることなしに実行するパスワードマネージャおよび認証マネージャの双方として作用する。極めて高水準のセキュリティは、ユーザが二要素認証以外の目的で有する大容量記憶装置に統合され、高度に安全なパスワード管理の利便性も、ユーザが容易に運搬する便利なポケットサイズのパッケージに入る。これにより、二要素認証の受け入れを容易にし、多種多様なオンライン取引のセキュリティを増大させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的に、大容量ファイルを記憶しデジタル装置との間でやり取りするのに用いられるメモリカードおよび携帯用ユニバーサル・シリアル・バス(「USB」)フラッシュメモリ装置のような携帯用大容量記憶装置に関し、特に、装置および他の機関にアクセスするために装置内で実施されるセキュリティおよびアクセス制御機構に関する。
【背景技術】
【0002】
パスワードを覚えておくことは面倒である。オフィスのコンピュータは、ユーザ名およびパスワードを必要とする。それぞれのオンラインアカウントと同様に、それぞれの電子メールアカウントは、ユーザ名およびパスワードを必要とする。セキュリティに問題がない場合、人は、すべてのアカウントに対して1つだけのユーザ名およびパスワードを持とうとする。
【0003】
しかし、セキュリティは重大な問題であり、従って、パスワード管理およびアカウントへのアクセスも重大な問題である。多くの現在のアプローチは、パスワードを覚えておくのを容易にさせるか、または情報漏洩に耐えるようにさせてこの重大な問題に対処している。
【0004】
1つのアプローチは、ワンタイム(1回限りの)パスワード(「OTP」)である。一般的に言えば、ワンタイムパスワードは、パスワードが変更される前に1度だけシステムへのアクセスに用いることができる値である。言い換えれば、ユーザがパスワードを変更する必要なしに、パスワードは(規定された特定の頻度で)規則的に更新される。このことは、ユーザが、1度だけ用いられる固有の(パスワード)値を送信し、この値が何であるかを、ユーザがアクセスしたいシステムがベリファイすることを意味する。一般的に、この検証は、予測可能なアルゴリズムに基づいてユーザに対するパスワードを生成する小形の装置または「トークン」を用いて達成される。この予測可能なアルゴリズムは、システム内の検証エンティティにより用いられる。従って、アルゴリズムに同じシード値が与えられると、システムは、常に変化しているユーザのワンタイムパスワード値が何であるかをどんな瞬間(または数)でも「理解する」。トークンの今まで最も一般的な形態は、ユーザが画面から値を読み取り、コンピュータへ入力することを必要とする。近年開発された別の形態により、トークンはコンピュータに直接に値を送信することができる。これらの形態の双方と、ワンタイムパスワードの考え方とは、一般的に、高水準のセキュリティを備えるが、ワンタイムパスワード値の生成のためにユーザがトークンを持ち運ぶことを必要とする。トークンは二要素認証の形態をとり、一方の要素はユーザの秘密(パスワードまたはPIN)であり、他方の要素はOTP値とこれを生成するのに必要とされるハードウェア(トークン)とである。
【0005】
別のアプローチは、パスワード管理装置を用いる。このような装置は、ユーザの様々なパスワードおよびアカウント番号を追跡し続け、ユーザアカウントごとに適切な(1つ以上の)パスワードを送信することができる。例えば、ユーザは、装置にアクセスする主パスワードを有することができ、装置がユーザの主パスワードをベリファイした後、装置がホストコンピュータに接続されているとき、装置は所定のアカウントに対する実際のパスワードを送信することができる。ユーザは、ユーザの様々なパスワードを入力することができ、または、パスワードをパスワード管理装置にプッシュすることもできる。SafeNet(登録商標)(旧レインボー・テクノロジィース (Rainbow Technologies) )からの1つのこのような装置がiKey(登録商標)として既知であり、暗号化および関連する鍵生成も可能である。
【0006】
これらの各アプローチは今一歩であり、従って、一般大衆に受け入れられるほど高水準には達していない。OTPトークンは、企業ネットワークへのアクセスを制御するため、今日、主として用いられ、一般大衆にとって幅広く利用可能なシステム、例えば、電子メールプロバイダまたはオンラインオークション事業者などと用いるのに幅広く受け入れられていない。現在のところ利用可能なパスワード管理装置は、OTPトークンおよびシステムのセキュリティレベルを欠いている。
【0007】
これらの各アプローチは、専用装置を用いることを必要とし、あるいはまた、パスワード、関連するアルゴリズムおよびシードの安全を確保しながら、異なる機関に対してワンタイムパスワードを生成する機能を欠いている。例えば、多くは、専用のキーチェーントークンまたはUSB装置を含む。このような装置をどこでも持ち運ぶことは不便であり、ユーザの受け入れを制限し、特に、技術に精通したユーザが携帯電話、音楽プレーヤ、PDAまたはBlackberry(登録商標)、デジタルカメラ、および他の種々の電子機器を既に携帯していると仮定される。
【0008】
従って、耐セキュリティ性の一部となるワンタイムパスワードの生成と、パスワード管理システムとを統合する便利な多目的装置が必要とされる。
【特許文献1】米国特許出願第11/317,341号
【特許文献2】米国特許出願第11/317,339号
【特許文献3】米国特許出願第11/285,600号
【特許文献4】米国特許出願第11/053,273号
【特許文献5】米国特許出願第11/313,536号
【発明の開示】
【0009】
本発明は、パスワード管理の耐セキュリティ性および利便性を携帯用大容量記憶装置内に統合する。一般的に、ユーザは、ユーザのデジタルカメラ、音楽プレーヤまたはPDAなどと用いられる携帯用大容量記憶装置を既に有しているので、さらなるセキュリティおよび利便性は、ユーザにほんの少ししか負担をかけない。このことは、極めて安全なワンタイムパスワード方式の多大な普及を容易にし、オンラインバンキングのような機密事項を扱うアプリケーションに対してリスクを著しく低下させる。安全な携帯用大容量記憶装置は、プログラムおよび他の安全なデータを記憶することができるので、OTP生成およびパスワード管理を1つの便利なプラットフォーム内に統合することができる。
【0010】
カスタマ空間においてこのような二要素認証システムを採用する1つの障害は、特に、認証動作を実行するためにユーザがトークンを持ち運ぶ必要性である。複数の専用装置を持ち運ぶ必要があるこの負担を削減する1つの方法は、このような機能を、人が所有でき、かつ/または他の理由により持ち運ぶことができる装置内に統合することである。このような大容量記憶装置の一例として、データを記憶するのに一般的に用いられ、近年、アプリケーションを記憶し持ち運ぶのに用いられているUSBフラッシュ記憶装置、またはコンパクトフラッシュ(「CF」)カード、SDカード、MMCカード、XDカード、メモリスティックまたはトランスフラッシュカードなどのような大容量記憶フラッシュメモリカードが挙げられる。本発明によれば、このような装置は基本的なOTP機能を実行し、大容量記憶装置から起動しホストコンピュータで実行することができるクライアントアプリケーションを持ち運ぶ。クライアントアプリケーションは、OTP動作を実行しOTP値を装置から獲得するために装置と対話することになっている。別の実施形態では、クライアントはそれ自体、OTP機能を実行し、必要に応じて数のような情報を装置へ記憶し、装置から取り出す。どちらの場合でも、情報は安全に記憶され、暗号化のような何らかの手段により適切に保護される。
【0011】
一実施形態では、多数の独立したシードおよび数の対を装置に維持することにより、多数の独立した機関を認証するのに単一大容量記憶装置を用いることができ、一つ一つは、所定の機関を独立して認証する。あるいはまた、認証情報をベリファイする中心位置を用いることにより単一シードおよびカウントを用いて複数の機関の認証を達成することができる。どちらの場合でも、装置の製造中、または、遠隔かつ優先的に安全なチャネルを介して、1つ以上のシードを装置またはクライアントに安全にロードすることができる。安全なチャネルは当該技術分野において既知であり、一般的に通信プロトコルを含み、これにより、2つのエンティティ間の通信は、2つのエンティティだけに知られている鍵で暗号化される。一般的に、鍵は、2つのエンティティ間の予め定義された鍵交換プロトコルを用いて確立される一種のセッション鍵である。
【0012】
カスタマ使用の認証システムを取り巻く関心事の1つは、システムの使いやすさおよび簡単さである。一般的に、セキュリティには、採用の障害になる複雑レベルが加わる。このようなシステムの設計における1つの目標は、ユーザ対話のセキュリティ面をユーザにほとんど気づかれないようにする簡単レベルを達成することである。このため、本発明では、セキュリティは、通常のユーザ活動の一部としてバックグラウンドで処理される。
【0013】
本発明は、好ましくはユーザが何らかの初期登録および/または行動の後にOTP認証の実行に関与しないようにユーザのログオン動作内にOTP機能を直接に統合することを含む。特に、好適な実施形態では、OTP機能は、USBフラッシュ記憶装置または他の一般的な取り外し可能な記憶装置内に統合され、しかも、クライアントアプリケーションは装置自体に記憶されている。クライアントアプリケーションは記憶装置から起動され、ホストコンピュータで実行する。ユーザにより手動でアプリケーションを起動することができ、または、装置がホストコンピュータに挿入されるときにアプリケーションを自動的に起動するようにシステムをセットアップすることもできる。起動後、クライアントアプリケーションは、大容量記憶装置からOTP値を獲得し、ユーザID、資格情報およびOTP値を、ユーザが認証しているサーバへ供給するタスクを実行する。理想的には、このことは、クライアントアプリケーションが単一機関との動作に専用である場合には自動的に、または、マウスまたはキーボードのようなヒューマンインターフェイス装置を用いてリストから機関アイコン(企業ロゴ)または名前を選択するワンクリック動作で実行される。
【0014】
別の実施形態では、ホストコンピュータでクライアントを起動し、ユーザが登録済み機関のリスト内のウェブページにアクセスしたときを検出して、ログオンシーケンスを起動することができる。リスト、ドロップダウンリスト、一群のアイコン、一群の企業ロゴまたは他のこのような表示として機関リストをグラフィカルユーザインターフェイス(「GUI」)に表示することができる。理想的には、ユーザIDおよび資格情報、並びに機関のユニフォームリソースロケータ(「URL」)または他の形態のウェブアドレスも、記憶認証用の取り外し可能な大容量記憶装置に既に記憶され、認証のために取り出される。装置が、多数の独立したOTPシードを支援する場合、または、装置が、これらOTPシードを用いて、多数の独立した機関を支援する場合であっても、ユーザID、資格情報およびURLは、装置に記憶されたリストから、人が認証している特定の機関に従って選択されるのが理想的である。このシステムは、従来のパスワードマネージャとOTP認証システムとの機能を途絶えることなく組み合わせ、ボタンのシングルクリックを用いてログオンおよび認証動作をすべて実行する。幾つかのシナリオでは、これらのすべての動作をシングルクリックで実行するのが好ましいが、複数のクリックまたは他のユーザ入力を用いることができ、他のシナリオでは複数のクリックまたは他のユーザ入力が好ましい。
【0015】
紛失または窃盗の場合に、他の人が装置を用いて認証することができないようにするため、本発明の大容量記憶装置は、クライアントアプリケーションの起動時に少なくとも1度、PINまたはパスワードのような、人を一意的に識別する何らかの情報をユーザが入力することがなければ、動作しないようになっている。ユーザの識別には、生体認証や質問応答などのような他の多くの方法がある。一実施形態では、より一般的な二要素認証および/またはパスワード管理動作に対してシステムを用いてユーザ情報を供給することができる。これら情報の一部を、他の情報よりも機密にすることができる。このような機密情報を分離し、ユーザのベリファイ、PIN/パスワードのさらなる入力、または、ユーザが、システムにより供給されたこのような情報に気づき、権限を与えるようにする他の動作を要求するようにシステムを設計することができる。この一例を、クレジットカード権限付与および支払いに対して行うことができる。
【0016】
一実施形態では、クライアントは、ユーザおよび認証情報をウェブサーバに供給することができ、ウェブサーバは、有効なユーザ資格情報および認証情報を受信すると、二要素認証なしにログオンするのに一般的に用いられる従来のログインウェブページ項目を自動的に記入する。この実施形態は、二要素認証を処理する別個のシステム構成要素を追加するが、所定の機関に単一のウェブログオンページを維持させることができる。この場合、二要素認証は、OTPと同じように、フォームの記入に容易には役立たない認証の形態から構成することがあるが、その代わり、一般的にチャレンジレスポンス動作を含む公開鍵インフラストラクチャ(「PKI」)のような認証方式にすることができる。
【0017】
システムへの機能強化として、装置は、ユーザが認証のために登録できる機関のリストを含むことができる。このリストを、ユーザ要求により、または、自動的にクライアントアプリケーションを用いることにより遠隔に更新することができる。リストを、支払い機関に対して優先的に配置するように編成することができ、または、リスト自体の配置を、支払い機関だけのために取っておくことができる。ユーザの資格情報を記憶した特定のウェブページが開かれたことをシステムが検出した場合、システムも、ユーザのためにユーザの資格情報に記入することができる。このことは、インターネットまたはWWWで通信するのに用いられるポートを監視するプログラムまたはルーチンを用いて行われうる。プログラムは、ホストにインストールされたブラウザを監視し、プログラムが監視する特定のポートを介してインターネット/WWWとのすべてのデータ通信を行うようにブラウザを構成する。監視は、ホスト装置が用いられるときに常に自動的に行われ、訪問されたすべてのウェブサイトのファイルを維持する。訪問されたウェブサイトは、システムがユーザの資格情報を維持するウェブサイトである場合、システムはユーザをログオンする。
【0018】
「フィッシング」として一般的に称されるハッキングの1つの一般的な方法は、有効なウェブサイトに見せかけたウェブサイトにユーザがだまされて機密情報を与えてしまう方法である。この形態のハッキングに対抗する方法はたくさんある。参加する機関のリストを、所定の機関に関する有効なURLや、認証の形態または認証に用いられる特定のプロトコルなどのような追加の情報をシステムに供給する手段として用いることができる。一実施形態では、参加する機関のリストに埋め込まれたURLを用いて、ユーザがシステムで登録できるURLにURLを限定することができる。このような実施例では、リストは、第三機関によりスヌーピングを回避するために安全なチャネルを介して遠隔サーバから装置に優先的にダウンロードされる。別の実施例では、クライアントは、遠隔サーバとリンクを確立し、優先的に安全なチャネルを介してURLの検証を要求することによりURLの検証を要求することができる。一実施形態では、図1〜図3に見られるように遠隔サーバを当局サーバまたは検証エンティティとすることができる。さらなる別の実施形態では、証明書を用いるPKIなどのような一般的な方法を用いる何らかの形態の認証によりウェブサイトの検証を実行することができる。一実施例では、認証処理を開始する前に、セキュリティはウェブサーバに追加されて、有効な装置が接続されることを確実にする。別の実施形態では、ウェブページは、Microsoft Windows OSではActiveX技術とすることができるPCでのサービスを起動して、装置の存在を判断するのに認証クライアントと対話することができる。好適な解決策では、すべての検証は遠隔サーバと装置自体との間で論理的に生じ、局所クライアントはただ通信を容易にする。
【0019】
前述したすべてのシステムは、1つの装置から別の装置へユーザ情報および資格情報を転送するだけでなく、1つの装置から別の装置へ認証権限をも転送する簡単な機構を含む。認証権限は、一実施形態では装置IDおよびシードから構成でき、他の実施形態では証明書、鍵または他の情報形態から構成できる。サーバ上の活動していない装置のリストに情報を追加し、安全なプロトコルを介してこの情報を装置から除去し、ユーザの識別に成功したときに安全なプロトコルを介して新たな装置へ再提供し、活動していない装置のリストから除去することにより認証権限の転送を実行することができる。ユーザが装置を紛失した場合、類似の方法を用いることができる。この方法では、古い装置IDおよびシードをサーバで無効にし、同一または新たな装置IDおよびシードを新たな装置に再提供することが必要となる。
【発明を実施するための最良の形態】
【0020】
携帯用大容量記憶装置は、写真、音楽、映像および文書のようなデジタルコンテンツを記憶するのに幅広く用いられている。また、携帯用大容量記憶装置は、大容量のソフトウェアアプリケーションを記憶するのに充分に大きい。一般的に、現在、携帯用大容量記憶装置は記憶目的のためにフラッシュメモリを用い、メモリカードまたは携帯用USBドライブのフォームファクタを有する。これらの大容量記憶装置は、取引または識別目的に必要とされるようなほんの少しの情報を記憶することを目的としている他の携帯用装置と異なる。大容量記憶装置は、認証に用いられるキーカードおよびトークンのような他の専用装置とも異なる。その理由は、専用装置が、適切なユーザ識別情報を記憶する少量のメモリを有することができるが、これら専用装置が、比較的大容量であって多くの場合に暗号化されたファイルを頻繁に記憶し、迅速かつ確実かつ繰り返し可能に転送するように設計されていないためである。
【0021】
携帯用大容量記憶装置の一実施形態として、例えば、メモリカードは、5〜20メガバイト程度またはそれ以上である写真を迅速に記憶できなければならない。デジタルカメラからのただ1つの写真は、スマートカード、キーカードまたはトークンのような専用装置内に含まれる記憶容量よりもけた違いに大きい記憶容量を必要とすることがある。さらに、このような専用装置は、一般的に、カメラおよび音楽プレーヤなどで用いられる比較的大容量のファイルは言うまでもなく、複数のファイルを迅速に読み取り書き込むことができない。携帯用大容量記憶装置は、メモリバンクへの読み取りおよび書き込みを極めて迅速に行うように最適化されるルーチンを有するコントローラおよびファームウェアを有する。さらに、携帯用大容量記憶装置の多くは、頻繁に更新されたコンテンツの無許可コピーを阻止するセキュリティおよび暗号化ルーチンを有する。専用トークンは、(シードおよび/またはアルゴリズムを保護する)何らかの形態のセキュリティを有することができるが、トークン上のデータは一般的に静的であり、セキュリティは頻繁に更新されたユーザファイルの無許可コピーから保護するように設計されていない。本発明の大容量記憶装置は、情報が確実かつ迅速に取り出されるように論理−物理マッピングが行われない大容量記憶メモリの領域内で検証および認証に必要とされるシードおよび他の情報をも記憶することができる。このことに関するさらなる情報については、M.Holtzmanらによる「Methods Used in a Secure Yet Flexible System Architecture for Secure Devices With Flash Mass Storage Memory 」という米国特許出願第11/317,341号(代理人整理番号:SNDK.470US2)(特許文献1)、およびM.Holtzmanらによる「Secure Yet Flexible System Architecture for Secure Devices With Flash Mass Storage Memory 」という米国特許出願第11/317,339号(代理人整理番号:SNDK.470US3)(特許文献2)を参照されたい。これら特許出願は、その全体が本願明細書において参照により援用されている。装置の隠れパーティションにもシードをロードすることができる。また、シードがどこに記憶されようとも、シードをロードしたいエンティティが、ロードするための適切な許可および/または資格情報を有する場合だけシードをロードすることができる。特定の実施形態では、この許可はアクセス制御レコードに含まれている。アクセス制御レコードについては、後で説明する。
【0022】
本発明は、セキュリティ目的に携帯用大容量記憶装置を用いる。装置は、装置に組み込まれたセキュリティ機構を有する。セキュリティ機構は、i)装置に記憶された情報へのアクセスを制限し、ii)他の安全なシステムおよびデータへのアクセスを可能にする一種の「鍵」として装置機能を行う。本発明は、携帯用大容量記憶装置を用いてユーザの資格情報をベリファイするシステムをも含む。ベリファイされた後、ユーザは情報へのアクセスを許可される。そうでない場合、ユーザはアクセスすることができない。
【0023】
一般的に、静的なパスワードは、ユーザの資格情報をベリファイするのに用いられている。しかし、特に、パスワードおよび他の個人情報に対して、今日、広く知られた「フィッシング」を考えると、静的なパスワードは盗み取りやすく、ほとんど保護することができない。既に背景技術において記載したように、専用のOTPトークンシステムも実施されている。これらの専用トークンは持ち運ぶのに負担であり、費用がかかり、市場で幅広く受け入れられていない。これらのトークンは、メモリカードまたはUSBドライブの大容量記憶機能も有していない。
【0024】
今日、デジタルカメラ、ビデオレコーダ、PDA、携帯用音楽プレーヤまたはパーソナルコンピュータを有するほとんどすべての人は、メモリカード、または「サム」ドライブとも称されることがあるポケットサイズのUSBドライブを有する。本発明は、OTPを実施するため、別個の専用トークン(または、他の専用装置)を必要とするという参入への障害を取り除く。ユーザが複数の装置を持ち運ぶ必要がなく、その代わりに、ユーザが既に有する装置を用いることができる場合、OTPおよび二要素認証の受け入れおよび使用を大幅に高める。この結果、セキュリティの大きさを改善させ、電子商取引および他の分野における詐欺のリスクを低下させる。
【0025】
本発明の実施形態は、OTP機能を有するUSBフラッシュ記憶装置のような携帯用大容量記憶装置を含み、この装置内には、ユーザの選択時、適切な機関のウェブページに自動的にリンクし、ユーザの資格情報を入力し、装置とのOTP取引を実行し、OTP値をウェブページに入力し、これにより、全動作を途絶えることなくユーザのシングルクリックで実行するクライアントを有する。
【0026】
身元確認に関する窃盗および詐欺は、オンライン金融活動の成長にとってますます大きな脅威になってきているので、最も重要なことは、セキュリティの大きさを増大させることである。銀行、仲介業者および他の金融機関は、これらの機関にオンライン活動を促進させることができ、1回の取引当たりの費用が、支店で実行された同じ取引と比べてわずか0.5%となることができる解決策を求めている。これと同様に、オンライン商取引や、子供向けの安全な閲覧などを中心として開発されているプログラムが他にもある。これらの各々が基本的に必要なものは、フィッシングしハッキングしてユーザIDおよび資格情報を獲得する最も一般的な形態の身元確認に関する窃盗と、物理的な窃盗またはクレジットカード情報のコピーとを克服し個人の認証を強化する手段である。
【0027】
この問題の1つの解決策および本発明の一態様は、ログオンするかまたは取引オンラインを実行するために二要素認証を実行する手段またはシステムをカスタマに提供することである。二要素認証は、その名が示すように、人が2つのシステム構成要素を所有することを必要とする。システム構成要素の一方は、一般的に、人を一意的に識別する物理装置であり、システム構成要素の他方は、人と、人が認証したいエンティティとだけに知られている情報(秘密)である。
【0028】
一般的に、認証または検証エンティティは、人の資格情報を含むデータベースと、人が二要素認証システムの双方のシステム構成要素を所有しているかをベリファイする手段とを有する。双方の構成要素の所有を証明することができる場合だけに人は認証され、これにより、ハッカーがその人のIDおよび秘密を決定できる最も一般的な形態の詐欺は阻止される。その理由は、一般的にこの人の物理的近くには決していないハッカーが物理的な構成要素を所有していないためである。これと同様に、人が装置を図らずも紛失した場合、または、装置が盗まれた場合、誰も物理的な構成要素を用いて、秘密の知識なしに不当に認証することができない。
【0029】
本発明は、暗号機能を含む。好適な実施形態では、暗号機能は主にファームウェアに基づくこともできるが、本発明は、ハードウェアに基づく暗号エンジンを含む。システムをハッキングするのに必要とされる労力を増大させる何らかの形態の暗号を含むのが有利である。ハードウェアに基づく暗号エンジンを用いる利点は、ハードウェアにより許可されない限りファームウェアが実行されないようにファームウェアを暗号エンジンに拘束できるということである。このことは、認証ファームウェアおよびハードウェアの双方が、動作する装置に備わっていなければならないことを意味する。どちらか一方を、装置のセキュリティを危うくしコンテンツの無許可コピーを可能にするように設計された部分と置き換えることはできない。このことに関するさらなる情報については、Holtzmanらによる「Hardware Driver Integrity Check of Memory Card Controller Firmware」という米国特許出願第11/285,600号(特許文献3)を参照されたい。この特許出願は、その全体が本願明細書において参照により援用されている。
【0030】
PCまたは携帯電話は、すべての形態のハッキングに対して脆弱なオープン構造を有する。本発明の利点は、暗号機能を大容量記憶装置内に配置することにより、一般的なパーソナルコンピュータ(「PC」)、または携帯電話のような電子装置に備わっているAPIと比べて極めて安全かつ制限されたAPIを用いることができるということである。大容量記憶装置の安全なAPIは、ハッカが通常の論理インターフェイスを用いて、大容量記憶装置内に含まれた暗号秘密を認識しようとする方法がないように構成されている。本質的には、本発明の大容量記憶装置は、これが結合されたホストよりもずっと安全となるように構成されている。
【0031】
安全な大容量記憶装置は、本質的にパススルーとしてホスト装置を用いて、遠隔に配置された1つ以上のサーバと並行して動作する。特定の実施形態では、ホスト装置のプロセッサは、大容量記憶装置に記憶されたクライアントを実行し、好適な実施形態では、暗号およびOTP動作は大容量記憶装置に排他的に含まれ、これにより、大容量記憶装置を、なお一層保護されるように物理的かつ論理的に構成することができる。安全な大容量記憶装置は安全なシステムを形成するように、遠隔に配置された安全な1つ以上のエンティティと連動する。大容量記憶装置と安全なエンティティとの間の接続も安全である。遠隔に配置された安全なエンティティは、一般的にアクセスから物理的に保護され、外部のインターフェイスを介して実行できる対話の種類を制限する安全な対抗手段を有する1つ以上の遠隔サーバであるか、またはこれら遠隔サーバを含む。
【0032】
次に、図を参照する。図1には、認証およびパスワード管理のために携帯用大容量記憶装置(「MSD」)を用いることができるシステムを示す。MSD100は、接続部分102を介してホストコンピュータ装置110に接続されている。接続部分102を、いかなる種類の直接または無線接続とすることができる。無線接続の幾つかの例として、標準の電話通信リンクを用いるOTA(オーバーザエアー)と、一部が、選択された範囲と、Wi−Fi(802.11x)およびBluetoothのようなプロトコルとを含む無線周波数と、誘導性近接通信(「NFC」)と、赤外線とが挙げられる。現今の好適な実施形態では、MSD100は、USBドライブまたはメモリカードの形態を取り、従って、接続は直接であり、MSDはホスト装置のレセプタクル104とインターフェイスをとる。後でさらに詳細に説明するように、MSD100は、大容量のユーザファイルを頻繁かつ迅速に記憶し取り出すのに用いられる大容量記憶メモリを有する。これらのユーザファイルをいかなる種類のファイルとすることができ、一般的に、これらのユーザファイルは、デジタル写真および音楽と、実行可能なソフトウェアプログラムとを含む。無線接続102の場合、レセプタクル104は物理的なコンセントではなく、その代わり、無線送受信機となる。
【0033】
ホストコンピュータ装置110をいかなる種類のスマート電子装置とすることができ、便宜上、簡単にホストとも称する。ホスト110の幾つかの例として、パーソナルコンピュータ、携帯電話またはハンドヘルドオーガナイザ/電子メール装置(「PDA」)が挙げられる。実際、ホストを、ユーザのアカウントおよび/または関心あるサイトにアクセスするのに用いることができる任意の電子装置とすることができる。ホスト110は、様々な機関118および他のエンティティと接続されたネットワークに接続されている。説明を簡単にするため、図中、1つだけの機関118を示す。ネットワークは、インターネットのようないかなる種類の広域ネットワークと、様々な種類の携帯電話ネットワークとを含むことができる。また、特定のネットワークは衛星通信を用いることができる。ネットワークに接続された1種類のエンティティは、検証または認証エンティティ124である。エンティティ124は、1つ以上のサーバを含む。ホスト110がPCである場合、所望に応じて仮想プライベートネットワーク(「VPN」)接続を確立することができる。ホストを機関118に接続するネットワーク接続部分114と、ホストを検証エンティティ124に接続するネットワーク接続部分116とに加えて、機関118と検証エンティティ124との間には、別個の非ネットワーク接続部分122も備えることができる。その上、機関118は、ネットワークを介して確実にエンティティ124とも通信することができる。
【0034】
次に、現今の好適な実施形態に関して、ホスト110と、これと対話する構成要素とを説明する。しかし、このような説明は、特許請求の範囲により定義された本発明の範囲を少しも限定するものではない。好適な実施形態では、ホスト110はPCであり、MSD100はUSBサムドライブである。前述したように、ホストコンピュータを、一般的にPDAと称されるハンドヘルドコンピュータ、または携帯電話、またはデジタルカメラ、またはこれらの機能のすべてを有する混成装置とすることもでき、これらは、取り外し可能な記憶装置を受け取ることができる。一実施形態では、記憶装置またはサブシステムをホストコンピュータに埋め込むことができる。ユーザが特定の機関例えばユーザのオンライン銀行にアクセスしたい場合、例えば、ユーザは、MSD100をUSBポートに差し込み、MSDに備わっているクライアントはPCにより起動され、クライアントはユーザを銀行口座またはアカウントにサインインする。ユーザが機関へのアクセスを許可され機関にログオンまたはサインインされる前に、ユーザおよびMSDを検証/認証するため、検証エンティティ124は、機関、クライアント、PCおよびMSDと連動する。もちろん、各機関118は、ユーザの様々なデータベースとアカウント番号および秘密(例えば、パスワードまたはPIN番号)とを維持する。これと同様に、検証エンティティは、ユーザおよび装置を検証/認証するのに必要とされるデータベースを維持する。これらの処理を、後でさらに詳細に説明する。また、MSD100に備わっているクライアントアプリケーションを、ホスト110のプロセッサまたはMSD100により実行することができ、この実行は、必要とされるセキュリティレベルと、ホスト110およびMSD100の双方、並びに、ホスト110およびMSD100間の接続部分102の構成とに依存する。ホスト110がPCである場合、現在のところ、PCがクライアントアプリケーションを実行するのが好ましい。
【0035】
図2は図1に類似するが、1つ以上のサーバを含む検証エンティティが、機関およびその機器と同じ敷地内に存在しうることを明確にしている。さらに、図2には、当局126を示す。当局は、検証/認証およびユーザのサインオンに必要とされる情報をMSD100に供給するエンティティである。当局126は、当局サーバ126とも称される。例えば、当局126は、MSD100でのOTP生成に必要とされるシードを供給することができる。当局126は、ネットワーク接続部分128を介してホスト110に接続されていると示されている。このようなシナリオでは、当局は、MSD100の耐用期間中、いつでもシードをMSD100にロードすることができる。また、当局は、必要に応じてシードを変更し除去することができる。シードが工場でロードされているというシナリオでは、ネットワークおよびホスト装置を介して接続する必要なしに当局126をMSDに直接に接続することができる。任意数の企業または他のエンティティにより当局126を実行することができる。このようなエンティティの1つを装置の製造者またはプロバイダとすることができる。例えば、MSDが(公序良俗違反につき、不掲載) ((公序良俗違反につき、不掲載))すなわち本発明の譲受人により製造されている場合、当局も(公序良俗違反につき、不掲載)またはそのエージェントとすることができる。別の例として、当局126を、雇用主のような装置分配者とすることができる。また、機関118または検証エンティティ124は、検証/認証に必要とされる情報(例えば、OTPシード)を、当局126の代わりに直接、または、当局126と連動して供給することができる。
【0036】
図3Aには、MSD100の幾つかの物理的な構成要素を示す。インターフェイス304は、データおよびコマンドをMSD100との間でやり取りし、コントローラ306と情報を通信する。前述したように、幾つかの実施形態では、インターフェイス304は大容量記憶装置の電気接点および/またはコネクタを含むが、他の実施形態では、インターフェイス304は無線送受信機を含む。特定の実施形態では、MSD100の電力も、装置インターフェイス304を介して受信することができる。コントローラ306はマイクロプロセッサを含み、MSD100のデータ記憶動作のすべてを制御する。このことは、コントローラ306が、フラッシュ形とするのが好ましい大容量記憶メモリ308との間の読み取りおよび書き込み動作のすべてを調整することを意味する。コントローラおよび大容量記憶メモリは直列に接続されて示されているが、実際には、これらはバスを介して一般的に接続されている。読み取り専用メモリ(「ROM」)およびランダムアクセスメモリ(「RAM」)を含む様々な他の構成要素も、バス上に存在しうる。MSD100は、大容量記憶メモリ308において暗号化ファイルを読み取りかつ書き込むことができ、好適な実施形態では、このことは、コントローラ306内の暗号エンジンを用いて達成される。コントローラは、MSD100を実行するファームウェアを実行し、このファームウェアを専用のROMに配置することができ、あるいはまた、フラッシュメモリ308に記憶することができる。ファームウェアを記憶するROMの費用を削減するため、ファームウェアを大容量記憶メモリ308に記憶するのが好ましい。ROMの本質的な保護に乏しいフラッシュメモリ308内に、MSDを実行するファームウェアを記憶することは、悪意のある/安全でないファームウェアを用いてファームウェア内のコピー保護ルーチンを改ざんできないようにするか、または、悪意のある/安全でないファームウェアと全面的に置き換えできないようにする大規模な保護機構をMSD100内に必要とする。
【0037】
図3Bに見られるように、フラッシュメモリ308は、MSDの動作に欠かせないファームウェアおよび他の情報が配置されている安全な領域308Aを有する。幾つかの実施形態では、ファームウェアは暗号化され、本物であると最初に決定されない限り実行されない。ファームウェアの認証に関するさらなる情報については、Holtzmanらによる「Hardware Driver Integrity Check of Memory Card Controller Firmware」という米国特許出願第11/285,600号(特許文献3)を参照されたい。この特許出願は、その全体が本願明細書において参照により援用されている。また、幾つかの実施形態では、安全な領域308Aへの書き込みを、装置の特定の動作状態中だけに実行することができる。一般的に言えば、このことは、ファームウェアの改ざんまたは置換から保護する作用をする。大容量記憶装置の動作状態に関するさらなる情報については、M.Holtzmanらによる「Secure Memory Card with Life Cycle Phases 」という米国特許出願第11/053,273号(特許文献4)を参照されたい。この特許出願は、その全体が本願明細書において参照により援用されている。これらの保護は、適所で必要とされる。その理由は、大容量記憶装置が一般的な目的のファイル記憶のために、特に、コピーするのに自由に利用できない著作物を記憶するのに用いられるためである。例えば、MSDでの音楽を、無許可のコピーから保護する必要がある(このことは、ユーザファイルを記憶するのに用いることができない専用のトークンに関する問題ではない)。このことは、装置を制御するファームウェアが、ハッキングするのが本質的に困難であるROMのような専用の記憶装置にではなくユーザファイルと同じ大容量記憶メモリ内に備わっている場合に特別な重要性を有する。
【0038】
論理スロット310A,310B...310Xは、安全な領域308A内に配置されている。これらのスロットを、ファイル記憶領域308B内にも配置することができる。スロットは、保護された論理メモリ領域であって、この領域は、機関にユーザをログインするのに必要とされる情報を記憶するのに用いられる。情報は1つのセキュリティ対策として暗号化される。この情報は、ユーザ名アドレスアカウント番号などのようなユーザの識別情報と、パスワードまたはPINのようなユーザの秘密と、機関ごとのアルゴリズムおよびシード値を含めてOTP値を生成するのに必要とされる情報とを含むことができる。各機関はそれ自体のスロットを有する。特定の実施形態では、機関内の各アカウントは、それ自体のスロットを有することができる。スロットのログインおよび使用を、後で詳細に説明する。本発明の実施形態では、より確実かつ迅速に情報が取り出されるために論理−物理マッピングが行われない大容量記憶メモリのシステム領域にMSDのスロットを配置することができる。OTPの生成に用いられるシードを、ファイル記憶領域308B内のファイルへのアクセス権を有するコンピュータから隠されたメモリ308の一領域にも記憶することができる。このことを、メモリ308のどこかに配置された隠れパーティション内で行うことができる。
【0039】
前述したように、異なる時間にシードをMSD100にロードすることができる。シードをカードにロードしたいエンティティが、ロードを行う前にベリファイされることは重要である。一実施形態では、このことは、大容量記憶装置のセキュリティモジュールであるセキュアストレージアプリケーション(「SSA」)で管理される。SSAはクライアントアプリケーション320と対話することができ、または装置内の管理層を介して対話することができる。SSAおよび他の関連する情報については、Fabrice Jogand‐Coulomb らによる「Control Structure for Versatile Content Control 」という米国特許出願第11/313,536号(代理人整理番号:SNDK.382US4)(特許文献5)に記載されている。この特許出願は、その全体が本願明細書において参照により援用されている。SSAシステムはMSDの記憶システム上に位置し、ファイルおよび他のデータを記憶するセキュリティ層を追加し、一実施形態では、セキュリティ層にシードを含む。
【0040】
SSAパーティションは、SSAだけを介してアクセスすることができる(ホストオペレーティングシステムまたはOSおよび他のすべてのエンティティから)隠れたパーティションである。SSAシステムは、ホスト装置または他のエンティティが、アクセス制御レコード(「ACR」)にログオンすることにより確立されたセッションを介する以外、SSAパーティションにアクセスできないようにするのが好ましい。これと同様に、要求が、適切な当局またはエンティティにより確立されたセッションを介して伝達されない限り、SSAは、SSAパーティションの有無、サイズおよびアクセス許可に関する情報を供給しないのが好ましい。
【0041】
パーティションへのアクセス権は、ACRに含まれた許可のリストから派生される。ACRは、エンティティの、またはエンティティと用いるべき認証方法、ログインアルゴリズムおよび資格情報も含むことができる。パーティションが生成されている場合、ホストは、パーティションの参照名またはIDを供給する。この参照は、パーティションへのさらなる読み取りおよび書き込みコマンドに用いられる。従って、このような実施形態では、エンティティがシードをMSDにロードしたいため、エンティティは、適切な許可および/または適切なログインアルゴリズム、資格情報および認証方法を有する必要がある。
【0042】
図3Cには、MSD100の好適な実施形態の分割された機能を示す。好適な実施形態では、クライアントアプリケーション320はOTP生成を実行しないが、多くの機能を実行する。好適な実施形態では、前述したように、クライアントは(MSDに記憶されているが)ホストで実行されるのに対して、OTP生成はMSDで実行される。OTP生成器330は、様々なホスト装置に存在しうる比較的オープンかつ潜在的に安全でない環境と比べてより良好にMSD100の安全な環境内で保護されている。クライアント320は、OTP生成器330により生成されたOTP値を要求し、その後、取り出す。OTP生成器330は、製造時にシードが与えられた単一アルゴリズムしか用いることができない従来のOTPトークンよりも多くのセキュリティおよび機能を備えるために複数の異なるアルゴリズムを用いることができる。例えば、OTP生成器330は、機関ごとにアルゴリズムを生成する固有値を用いることができる。コントローラ306のロジック、プログラム可能なロジックまたは別個の専用回路でOTP生成器を実施することができる。ASIC内に、またはボードレベルの回路構成要素で専用回路を実施することができる。
【0043】
また、クライアント320は、装置インターフェイス320A、ユーザインターフェイス320B、認証マネージャ320Cおよびプロビジョニングマネージャ320Dを含む。クライアント320は、ユーザインターフェイス320Aとのユーザ対話に基づいてユーザにより選択された機関にユーザを、途絶えることなしにログオンさせる。ユーザインターフェイスは、ユーザの知識または介入なしに装置インターフェイス、認証マネージャおよびプロビジョニングマネージャを起動する。
【0044】
図4には、装置100の多目的機能を示す。MSD100は大容量記憶機能を有する。その理由は、一般的に、ユーザが、ユーザファイルを便利なポケットサイズの装置に記憶するためにMSD100を有するためである。従って、本発明は、アカウント管理およびサインオンの利便性を追加する。本発明は、パスワード管理および認証管理の双方を含む。ユーザおよび装置の双方は、それらが主張している者であるかどうか、また、安全な機関にアクセスすることを許可されているかどうかをベリファイすることが認証管理に含まれる。認証管理は固有の装置の識別子の使用を含み、しかも、OTP生成器330により生成されたワンタイムパスワードを含む。OTP生成のセキュリティおよび二要素認証を、ユーザが既に有する装置に追加することは、OTP使用の採用を著しく増大させる。また、人が一般的に有する複数のパスワードを管理する利便性を追加することは、このような装置にもっと興味を持たせ、ユーザにとって有益にさせる。増大されたセキュリティ、機能および利便性は、ユーザ間のみならず、安全な機関でも、二要素認証の受け入れレベルを高める。
【0045】
次に、図5A〜図10Cに関して、処理の内容を詳細に説明する。
【0046】
図6は、2つの主なステップを概説する。第1に、ステップ604では、装置が現場にある間、言い換えれば、装置が販売された後、ユーザに所有されている間、MSD100は1つ以上のOTPシードを受信する。一実施形態では、1つの機関ごとに1つのシードがカードに受信される。他の実施形態では、1つシードは、2つ以上の機関に対する値を生成するのに用いられる。装置がユーザまたは仲介業者に販売される前に様々なシードを装置に予めロードすることができるが、好ましくは、シードをオンザフライでロードすることができる。その後、ステップ608では、受信した(1つ以上の)シードを用いて(1つ以上の)機関に携帯用大容量記憶装置100でサインインする。特定の実施形態では、シードがオンザフライでロードされる前に、クライアントは、ホストに接続されたMSDが必要なOTP生成を実行できるかどうかをベリファイすることができる。このベリファイを行う1つの方法は、ActiveXを用いる。
【0047】
図5Aおよび図5Bと、図7〜図10Cのフローチャートとを並行して参照すべきである。図5Aには、装置スロットの結合および装置スロットの起動に含まれる各エンティティ、すなわち、エンドユーザ99、MSD100、クライアント320、機関118および検証エンティティ124間の対話を示す。装置スロットの結合および起動は、MSD100を用いて特定の機関にアクセスできる前に実行される。図5Bには、MSD100のスロットが既に結合され起動された後の機関へのアクセスに含まれる各エンティティ間の対話を示す。図5Aおよび図5Bに示されたエンティティはほとんど同じであるが、クライアント320の異なる機能が用いられ示されている。例えば、図5Bでは、クライアントの認証マネージャ320Cおよびユーザインターフェイス320Bは処理に含まれ、これに対して、図5Aで見られるように、装置スロットの結合および起動中、クライアント320のプロビジョニングマネージャ320Dは活動状態にある。また、機関118の機関データベース120は機関118の一部ではあるが、別個の論理エンティティとして示されている。
【0048】
図7は、MSD100を用いて機関にアクセスする主なステップをハイレベルに示すフローチャートである。ステップ704では、MSD100をコンピュータに接続した後、クライアントを起動する。ユーザによりクライアントを起動することができ、あるいはまた、コンピュータとの接続が検知されたときに自動的に起動することができる。次に、ステップ708では、ユーザは、クライアントのユーザインターフェイスを介してユーザがアクセスしたい機関を選択する。幾つかのユーザインターフェイス画面を図11〜図12に示すことができる。これらのユーザインターフェイス画面については、後で説明する。一般的に、クライアントが起動されるたびにコンピュータのヒューマンインターフェイス装置を介して選択を行う。しかし、接続が検知され、クライアントが起動されたときに自動的に機関にアクセスするように、ユーザはMSD100を構成することができる。
【0049】
ステップ712では、MSD100は、選択された機関ごとにOTP値を生成する。各機関は、OTPの生成に対して固有のシードおよびアルゴリズムを有することができる。ステップ716では、クライアントは、選択された機関に接続する。接続後、クライアントは、選択された機関にユーザをログインするのに必要とされる情報を与える。この情報は、ユーザ名、アカント番号またはユーザIDのようなユーザの識別情報と、ユーザのパスワードまたはPINのようなユーザの秘密情報と、機関が、ログインに対してOTP値を必要とする種類のものである場合には特定の機関に対するOTP値とを含む。この情報を、ユーザが記入するクライアントユーザインターフェイスのページからから収集することができ、または、ユーザが情報を機関のウェブページに入力するようなユーザの行動を監視することにより収集することができる。一実施形態では、クライアントはユーザおよび認証情報をウェブサーバに供給することができ、ウェブサーバは、有効なユーザ資格情報および認証情報を受信するとき、二要素認証なしにログオンするのに一般的に用いられる従来のログインウェブページ項目を自動的に記入する。この実施形態は、二要素認証を処理する別個のシステム構成要素を追加するが、所定の機関に単一のウェブログオンページを維持させることができる。特定の実施形態では、MSD100の装置IDも、ログインに必要とされることがある。ステップ724では、ユーザ99および装置100を認証/検証し、ユーザ/装置を各々選択された機関にログインする。ユーザがログインされた後、最終的にユーザは機関にアクセスすることができる。ユーザが機関のウェブサイトにアクセスする場合、ステップ728では、機関のウェブページをユーザに表示する。もちろん、機関インターフェイスはウェブページに限定されるものではなく、本発明の範囲には、他のインターフェイスのアクセスも含まれる。このことは、特に、ホスト110がPC以外のものである場合に関連する。
【0050】
図8は、図7に類似するフローチャートであるが、図8では、機関およびユーザ/装置以外の集団である第三機関は、ユーザを機関にログインする役割を果たす。図7のステップと異なるステップだけを説明する。ステップ714では、クライアントはユーザ/装置/ホストを、図7のステップ716でのような機関ではなく、第三機関に接続する。第三機関は、ユーザ、装置、機関、並びに、ユーザおよび装置の認証性および妥当性をベリファイするのに必要とされる全情報のデータベースを維持する。このステップは、MSDにより生成されたOTP値をベリファイすることを含むことができる。ステップ717では、第三機関は、ユーザ/装置を認証/検証する。認証/検証後、ステップ715では、第三機関は、選択された機関にユーザをログインするのに必要とされる適切な情報を与える。第三機関は、MSDレベルで、または、第三機関自体により生成されたOTP値を表示することができる。次に、ステップ722では、ユーザを機関にログインする。
【0051】
前述したように、MSD100を用いて、ユーザにより選択されたサイトにユーザをログインすることができる前に、装置内のスロットを結合し起動する必要がある。図9に示されるように、ログインが完了される前に、ユーザおよび装置も認証する必要がある。ステップ905では、MSD100のスロット310を、検証サーバ124とも称することができる検証エンティティ124のサーバと結合する。このステップについては、図10Aのフローチャートに詳細に説明し、図5Aにも示す。次に、ステップ910では、スロットを起動する。この起動処理については、図10Bのフローチャートに詳細に説明し、図5Aにも示す。ステップ915では、ユーザおよびMSD100のスロットを認証する。この認証または検証処理については、図10Cのフローチャートに詳細に説明し、図5Bでも見られる。
【0052】
図10Aには、結合処理(図9のステップ905)を詳細に示す。ステップ918では、MSDを最初にホスト110に接続する。ステップ920では、クライアントを起動する。次に、ステップ922では、ユーザは、ユーザがサインインしたい機関を選択する。この場合も、ユーザは、この時点で選択をすることができ、または、機関を、以前のユーザセッションから予め選択することができる。次に、ステップ924では、選択された機関またはアカウントに対してMSD100内のスロットを割り当てする。ステップ926では、クライアントは装置IDをMSD100から取り出す。次に、ステップ928では、トークンIDとも称される固有の識別子を装置IDおよびスロットIDから生成する。ステップ930では、MSD100、特にMSD100の適切なスロットを、トークンIDを用いて検証サーバ124に結合する。ステップ932では、選択された機関に対するOTPシードを受信し、次に、ステップ934では、OTPシードを、割り当てられたスロットに割り当てする。ステップ922で選択された機関ごとにステップ924〜934を繰り返す。
【0053】
図10Bには、装置スロットの起動処理(図9のステップ910)を詳細に示す。装置スロットを結合した後、起動することができる。ステップ940では、ユーザは、ユーザ名または他のユーザ識別情報と、パスワードまたは他の秘密とを入力する。次に、ステップ942では、MSD100のOTP生成器330は、起動されたスロットに対して1つ以上のワンタイムパスワード値を生成する。ステップ944では、MSDのスロットを機関で起動し、次に、ステップ946では、機関および/またはクライアントは、検証サーバ124でのスロット/MSD/ユーザの検証を要求する。ステップ948,950では、機関118および検証サーバ124は同時にスロット/MSD/ユーザを検証する。次に、任意選択的に、ステップ952では、起動の成功をクライアントおよびユーザに通知する。
【0054】
図10Cには、ユーザおよび装置の認証処理(図9のステップ915)を詳細に示す。この処理は図5Bにも示されている。装置が起動されている場合、装置は結合されて、機関またはアカウントに関連付けられる。このことは、装置IDおよびスロット情報を用いることにより行われる。次に、機関は、装置およびコンテンツをユーザ名およびパスワードに関連付ける必要があるので、装置に表示された情報と、ユーザ固有情報(ユーザ識別情報および秘密)とでユーザを認証することができる。ステップ960では、MSDがまだ接続されていない場合、MSDをホストに接続する。次に、ステップ962では、クライアントが開かれ、実行されていない場合、クライアントを起動し、ステップ964では、ユーザは識別情報(例えば、ユーザ名、アカウント番号など)および秘密(例えば、パスワードまたはPIN)を入力する。次に、ステップ966では、MSD100のOTP生成器は、特定のスロットに対するOTP値を生成する。ステップ968では、OTP値、ユーザ識別情報およびユーザ秘密を機関に送信する。次に、ステップ970では、機関は、機関にアクセスするユーザを検証する。ステップ970は、ステップ970A,970Bを含む。ステップ970Aでは、機関は、(1つ以上の)機関データベースでユーザ識別情報および秘密を検証する。また、ステップ970Bでは、機関は、検証サーバ124でOTP値およびMSD100のトークンIDを検証する。ステップ970でユーザが成功裏に検証された場合、次に、ステップ974では、ユーザを機関にログインする。
【0055】
前述したように、一実施形態では、クライアントは、ユーザおよび認証情報をウェブサーバに供給することができ、ウェブサーバは、有効なユーザ資格情報および認証情報を受信すると、二要素認証なしにログオンするのに一般的に用いられる従来のログインウェブページ項目を自動的に記入する。この実施形態は、二要素認証を処理する別個のシステム構成要素を追加するが、所定の機関に単一のウェブログオンページを維持させることができる。この場合、二要素認証は、OTPと同じように、フォームの記入に容易には役立たない認証の形態から構成されることがあるが、その代わり、一般的にチャレンジレスポンス動作を含むPKIのような認証方式にすることができる。
【0056】
図5Cには、資格情報をベリファイ/認証するのに公開鍵インフラストラクチャを用いる実施形態の1つの可能な実施例を示す。取引が安全でないのは、取引を行うシステムが安全でないのと同じであるので、最も重要な要素は、通信者が互いの位置を検出し、通信者が用いる公開鍵が、伝達したい人(またはマシン)に本当に属するという信頼を有する方法を確立するということになる。公開鍵インフラストラクチャは、この信頼を提供するように設計されている。公開鍵を所有者に関する識別情報に結合するデジタル証明書または公開鍵証明書と称されるデータ要素を用いて、インフラストラクチャは、使用のコミュニティ内のすべての利益のために結合を行い、それを管理するように設計されている。
【0057】
PKIは、認識技術である。秘密鍵および公開鍵暗号化の組み合わせを用いて、PKIは、データ機密性、データ保全性および鍵管理を含む多くの他のセキュリティサービスを可能にする。PKIの基礎または枠組みは、その全体が本願明細書において参照により援用されているITU−T X.509推奨[X.509]に定義されている。
【0058】
エンドエンティティは、エンドユーザと考えられることがある。このことは、よく見られることであるが、エンドエンティティなる用語は、より一般的なことを意味する。エンドエンティティを、エンドユーザや、ルータまたはサーバのような装置や、公開鍵証明書のサブジェクト名に識別できるものとすることができる。エンドエンティティは、PKI関連のサービスのカスタマとも考えられることができる。本発明では、図5に示す実施形態に見られるように、エンドエンティティは、大容量記憶装置100またはそのユーザである。
【0059】
公開鍵は、公開鍵証明書の形態でCA520により配布される。機関118または検証エンティティがMSD100のユーザにサインオンさせることができるようにMSD100から証明書を要求することができる。また、MSDがユーザを機関にサインインする前に、機関が本物であることを証明するために機関118からの証明書を用いることもできる。公開鍵証明書は、(サブジェクト名を公開鍵に効率良く結合する)発行側のCA520によりデジタル署名される。証明書取り消しリスト(「CRL」)が別個のCRL発行者に委任されなかったならば、CAは、CRLをも発行することになっている。CAを、エンドユーザ登録のような多くの管理タスクにも含むことができるが、これら管理タスクは別個の登録局(「RA」)に委任されることが多い。RAは任意選択であり、図5Cには示されていない。実際には、CA520または他のCAを、鍵のバックアップおよび回復機構としても作用することができる。しかし、この機能は、別個の構成要素に委任することもできる。CAは、PKIにおいて「信頼源」と考えられることが多い。一般的に、エンドエンティティは1つ以上の「信頼点」を用いて構成され、これら信頼点は、所定の認証パスを検証するための開始点として用いられる。PKIインターフェイスを介して信頼が確立された後、ログインを行うことができる。
【0060】
図11A〜Iおよび図12A〜Bは、クライアント320の異なる実施形態のインターフェイス画面である。これらの画面は、本発明の利便性を示すのに役立っている。比較的複雑な計算および対話が「隠れた所で」行われるが、ユーザにとってログイン処理は極めて簡単になる。例えば、ユーザは、選択された機関ごとに装置にシードがロードされ、シードが複雑なアルゴリズムにより用いられて、ユーザの他の情報と一緒に自動的に検証される新たな(OTP)値をログインごとに生成することに気付かない。本発明は、極めて高水準のセキュリティとパスワード管理の自動化とを途絶えることなしに組み合わせる。また、特定の実施形態では、本発明は、異なる機関に対してユーザの主情報がすべての個々のパスワードおよびユーザ名と自動的に相互に関連付けられる単一サインオンを含むことができる。本発明と用いることができるユーザの識別には、生体認証や質問応答などのような他の多くの方法がある。一実施形態では、より一般的な二要素認証および/またはパスワード管理動作に対してシステムを用いてユーザ情報を供給することができる。これら情報の一部を、他の情報よりも機密にすることができる。このような機密情報を分離し、ユーザのベリファイ、PIN/パスワードのさらなる入力、または、ユーザが、システムにより供給されたこのような情報に気づき、権限を与えるようにする他の動作を要求するようにシステムを設計することができる。この一例を、クレジットカード権限付与および支払いに対して行うことができる。
【0061】
図11Aは初期画面を示し、図11Bはユーザが特定の機関にアクセスするためにパスワードおよびユーザ名を記入することができるインターフェイスである。ユーザは、新たな機関に入ることができ、または、前に構成された機関にアクセスすることができる。この画面では、ユーザは、ユーザのMSDの装置IDを入力することができる。しかし、好適な実施形態では、この情報をユーザが入力する必要なしに、クライアントはこの情報を取り出す。図11Cでは、ユーザインターフェイスは、システムがMSDを(1つ以上の)アカウントにつなげていることをユーザに通知する。この場合、選択された機関は、金融機関または仲介業者である。図11Dに見られるように、ユーザは、ユーザが特定の機関で有することができる複数のアカウントにアクセスすることができ、アカントを追加し、編集し、削除することができる。図11Eでは、ユーザは、ユーザの主パスワードを入力するように要求される。主パスワードは、後でシステムによりユーザの他のパスワードおよびアカウント情報のすべてと相互に関連付けられるパスワードである。一実施形態では、ユーザがつなげられた後、ユーザはこの主パスワードだけを入力すれば良く、ユーザのアカウントにアクセスする処理は、図11Aまたは11Bではなく図11Dから開始する。図11Fでは、ユーザは、システムがユーザのアカウントに接続するときに、待機するように要求される。次に、図11Gでは、ユーザは、ユーザが安全にアカウントに接続されたことを通知される。この段階で、機関のウェブページまたは他のインターフェイスは、ユーザのホスト装置で開かれる。ユーザが(1つ以上の)アカウントにアクセスし終えた場合、ユーザは、図11Hに示されたユーザインターフェイス画面の終了ボタンをクリックすることができる。次に、ユーザは、図11Iで示されるように、追加のアカウントに接続することができる。
【0062】
図12A〜Bには、クライアント320の別の実施形態のユーザインターフェイス画面を示す。図12Aでは、多くの異なる機関を表すアイコンが1つのユーザインターフェイス画面に同時に表示されている。ユーザは、「アカウント」とも称される機関を追加し、アカウントを編集または除去することができる。機関をユーザにより手動で追加することができ、あるいはまた、ユーザは、MSDにより維持されているリストから選択することができる。このようなリストは、ある更新スケジュールに基づいて、ユーザにより、または自動的に要求されたとき、サーバからMSDに遠隔に更新される。また、ユーザによる登録要求時のような任意数の事象に基づいてリストを更新することができる。各アイコン内のボタンをクリックすることによっても、ユーザは、アカウントにアクセスまたはログインし、アカウントを閉じ、またはログオフすることができる。図12Bに見られるように、ユーザが特定のアカウントを開くのにこのアカウントをクリックした場合、クライアントは、「サブアカウント」とも称される特定の機関のアカウントをユーザに選択させることができる。
【0063】
好適な実施形態では、表示されるすべてのアカウントが構成された後、ユーザは、MSDに対してユーザの主パスワードだけを入力すれば良く、次に、ユーザがログインしたい機関に対応するアイコンを簡単にクリックすることができる。他の実施形態では、セキュリティを高めるため、個々のパスワードおよび/またはユーザIDも入力することを必要とする。
【0064】
本願明細書において前に詳細に説明した、サインオンを容易にする動作を次に、隠れた所で途絶えることなく行う。このことは、ユーザおよび機関の区別なく利益を得る極めて高水準のセキュリティを提供すると同時に、ユーザにとって極めて便利なログオンおよびパスワード管理を同時に行う。この利便性およびセキュリティのすべては、ユーザが既に所有している可能性が高い装置に組み込まれる。このことは、専用のトークンとは異なって、クライアントをポケットサイズの大容量記憶装置の大容量記憶メモリに追加できるためであるので可能である。携帯用大容量記憶装置は、PCのようなオープン環境の場合よりも耐性のある物理的かつ論理的なセキュリティを有し、従って、情報のハッキングまたは「フィッシング」はより困難である。しかも、異なるパスワードまたは他の情報を相互に関連付けることができる幾つかの大容量記憶装置とは異なって、本発明は、常に変化するが直ちに検証できる固有のパスワード値を生成することができるアルゴリズムおよび処理を用いる。
【0065】
本発明の実施形態を説明したが、当然のことながら、本発明は、図に示されている実施形態に限定されるものではなく、添付の特許請求の範囲により定義されている。例えば、MSD100は、大容量記憶目的のためにフラッシュ形の固体メモリではなく磁気ディスクを用いることができ、ユーザにより選択されたパスワードの従来のセキュリティを高める認証目的のために対称または非対称認証のいかなる方法も実施することができる。
【図面の簡単な説明】
【0066】
【図1】本発明による第1のシステムを示す概略図である。
【図2】本発明による第2のシステムを示す概略図である。
【図3A】大容量記憶装置100のブロック図である。
【図3B】図3Aの大容量記憶フラッシュメモリ308のメモリ空間を示す図である。
【図3C】大容量記憶装置100のクライアントとワンタイムパスワード生成器とを示す図である。
【図4】大容量記憶装置100の機能を示す図である。
【図5A】装置スロットの結合および装置スロットの起動に含まれるエンティティおよび対話を示す図である。
【図5B】スロットが結合された装置の認識に含まれるエンティティおよび対話を示す図である。
【図5C】公開鍵インフラストラクチャを用いる認証に含まれるエンティティおよび対話を示す図である。
【図6】本発明の一実施形態による大容量記憶装置100を用いて機関にサインインする方法を示すフローチャートである。
【図7】本発明の一実施形態による大容量記憶装置100を用いて機関にサインインする方法を示すフローチャートである。
【図8】本発明の一実施形態による大容量記憶装置100を用いて機関にサインインする方法を示すフローチャートである。
【図9】本発明の一実施形態による大容量記憶装置100を用いて機関にサインインする方法を示すフローチャートである。
【図10A】図9のステップ905に見られる装置スロットの結合を示すフローチャートである。
【図10B】図9のステップ910に見られる装置スロットの起動を示すフローチャートである。
【図10C】図9のステップ915に見られる認識を示すフローチャートである。
【図11A】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11B】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11C】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11D】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11E】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11F】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11G】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11H】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11I】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図12A】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図12B】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【技術分野】
【0001】
本発明は、一般的に、大容量ファイルを記憶しデジタル装置との間でやり取りするのに用いられるメモリカードおよび携帯用ユニバーサル・シリアル・バス(「USB」)フラッシュメモリ装置のような携帯用大容量記憶装置に関し、特に、装置および他の機関にアクセスするために装置内で実施されるセキュリティおよびアクセス制御機構に関する。
【背景技術】
【0002】
パスワードを覚えておくことは面倒である。オフィスのコンピュータは、ユーザ名およびパスワードを必要とする。それぞれのオンラインアカウントと同様に、それぞれの電子メールアカウントは、ユーザ名およびパスワードを必要とする。セキュリティに問題がない場合、人は、すべてのアカウントに対して1つだけのユーザ名およびパスワードを持とうとする。
【0003】
しかし、セキュリティは重大な問題であり、従って、パスワード管理およびアカウントへのアクセスも重大な問題である。多くの現在のアプローチは、パスワードを覚えておくのを容易にさせるか、または情報漏洩に耐えるようにさせてこの重大な問題に対処している。
【0004】
1つのアプローチは、ワンタイム(1回限りの)パスワード(「OTP」)である。一般的に言えば、ワンタイムパスワードは、パスワードが変更される前に1度だけシステムへのアクセスに用いることができる値である。言い換えれば、ユーザがパスワードを変更する必要なしに、パスワードは(規定された特定の頻度で)規則的に更新される。このことは、ユーザが、1度だけ用いられる固有の(パスワード)値を送信し、この値が何であるかを、ユーザがアクセスしたいシステムがベリファイすることを意味する。一般的に、この検証は、予測可能なアルゴリズムに基づいてユーザに対するパスワードを生成する小形の装置または「トークン」を用いて達成される。この予測可能なアルゴリズムは、システム内の検証エンティティにより用いられる。従って、アルゴリズムに同じシード値が与えられると、システムは、常に変化しているユーザのワンタイムパスワード値が何であるかをどんな瞬間(または数)でも「理解する」。トークンの今まで最も一般的な形態は、ユーザが画面から値を読み取り、コンピュータへ入力することを必要とする。近年開発された別の形態により、トークンはコンピュータに直接に値を送信することができる。これらの形態の双方と、ワンタイムパスワードの考え方とは、一般的に、高水準のセキュリティを備えるが、ワンタイムパスワード値の生成のためにユーザがトークンを持ち運ぶことを必要とする。トークンは二要素認証の形態をとり、一方の要素はユーザの秘密(パスワードまたはPIN)であり、他方の要素はOTP値とこれを生成するのに必要とされるハードウェア(トークン)とである。
【0005】
別のアプローチは、パスワード管理装置を用いる。このような装置は、ユーザの様々なパスワードおよびアカウント番号を追跡し続け、ユーザアカウントごとに適切な(1つ以上の)パスワードを送信することができる。例えば、ユーザは、装置にアクセスする主パスワードを有することができ、装置がユーザの主パスワードをベリファイした後、装置がホストコンピュータに接続されているとき、装置は所定のアカウントに対する実際のパスワードを送信することができる。ユーザは、ユーザの様々なパスワードを入力することができ、または、パスワードをパスワード管理装置にプッシュすることもできる。SafeNet(登録商標)(旧レインボー・テクノロジィース (Rainbow Technologies) )からの1つのこのような装置がiKey(登録商標)として既知であり、暗号化および関連する鍵生成も可能である。
【0006】
これらの各アプローチは今一歩であり、従って、一般大衆に受け入れられるほど高水準には達していない。OTPトークンは、企業ネットワークへのアクセスを制御するため、今日、主として用いられ、一般大衆にとって幅広く利用可能なシステム、例えば、電子メールプロバイダまたはオンラインオークション事業者などと用いるのに幅広く受け入れられていない。現在のところ利用可能なパスワード管理装置は、OTPトークンおよびシステムのセキュリティレベルを欠いている。
【0007】
これらの各アプローチは、専用装置を用いることを必要とし、あるいはまた、パスワード、関連するアルゴリズムおよびシードの安全を確保しながら、異なる機関に対してワンタイムパスワードを生成する機能を欠いている。例えば、多くは、専用のキーチェーントークンまたはUSB装置を含む。このような装置をどこでも持ち運ぶことは不便であり、ユーザの受け入れを制限し、特に、技術に精通したユーザが携帯電話、音楽プレーヤ、PDAまたはBlackberry(登録商標)、デジタルカメラ、および他の種々の電子機器を既に携帯していると仮定される。
【0008】
従って、耐セキュリティ性の一部となるワンタイムパスワードの生成と、パスワード管理システムとを統合する便利な多目的装置が必要とされる。
【特許文献1】米国特許出願第11/317,341号
【特許文献2】米国特許出願第11/317,339号
【特許文献3】米国特許出願第11/285,600号
【特許文献4】米国特許出願第11/053,273号
【特許文献5】米国特許出願第11/313,536号
【発明の開示】
【0009】
本発明は、パスワード管理の耐セキュリティ性および利便性を携帯用大容量記憶装置内に統合する。一般的に、ユーザは、ユーザのデジタルカメラ、音楽プレーヤまたはPDAなどと用いられる携帯用大容量記憶装置を既に有しているので、さらなるセキュリティおよび利便性は、ユーザにほんの少ししか負担をかけない。このことは、極めて安全なワンタイムパスワード方式の多大な普及を容易にし、オンラインバンキングのような機密事項を扱うアプリケーションに対してリスクを著しく低下させる。安全な携帯用大容量記憶装置は、プログラムおよび他の安全なデータを記憶することができるので、OTP生成およびパスワード管理を1つの便利なプラットフォーム内に統合することができる。
【0010】
カスタマ空間においてこのような二要素認証システムを採用する1つの障害は、特に、認証動作を実行するためにユーザがトークンを持ち運ぶ必要性である。複数の専用装置を持ち運ぶ必要があるこの負担を削減する1つの方法は、このような機能を、人が所有でき、かつ/または他の理由により持ち運ぶことができる装置内に統合することである。このような大容量記憶装置の一例として、データを記憶するのに一般的に用いられ、近年、アプリケーションを記憶し持ち運ぶのに用いられているUSBフラッシュ記憶装置、またはコンパクトフラッシュ(「CF」)カード、SDカード、MMCカード、XDカード、メモリスティックまたはトランスフラッシュカードなどのような大容量記憶フラッシュメモリカードが挙げられる。本発明によれば、このような装置は基本的なOTP機能を実行し、大容量記憶装置から起動しホストコンピュータで実行することができるクライアントアプリケーションを持ち運ぶ。クライアントアプリケーションは、OTP動作を実行しOTP値を装置から獲得するために装置と対話することになっている。別の実施形態では、クライアントはそれ自体、OTP機能を実行し、必要に応じて数のような情報を装置へ記憶し、装置から取り出す。どちらの場合でも、情報は安全に記憶され、暗号化のような何らかの手段により適切に保護される。
【0011】
一実施形態では、多数の独立したシードおよび数の対を装置に維持することにより、多数の独立した機関を認証するのに単一大容量記憶装置を用いることができ、一つ一つは、所定の機関を独立して認証する。あるいはまた、認証情報をベリファイする中心位置を用いることにより単一シードおよびカウントを用いて複数の機関の認証を達成することができる。どちらの場合でも、装置の製造中、または、遠隔かつ優先的に安全なチャネルを介して、1つ以上のシードを装置またはクライアントに安全にロードすることができる。安全なチャネルは当該技術分野において既知であり、一般的に通信プロトコルを含み、これにより、2つのエンティティ間の通信は、2つのエンティティだけに知られている鍵で暗号化される。一般的に、鍵は、2つのエンティティ間の予め定義された鍵交換プロトコルを用いて確立される一種のセッション鍵である。
【0012】
カスタマ使用の認証システムを取り巻く関心事の1つは、システムの使いやすさおよび簡単さである。一般的に、セキュリティには、採用の障害になる複雑レベルが加わる。このようなシステムの設計における1つの目標は、ユーザ対話のセキュリティ面をユーザにほとんど気づかれないようにする簡単レベルを達成することである。このため、本発明では、セキュリティは、通常のユーザ活動の一部としてバックグラウンドで処理される。
【0013】
本発明は、好ましくはユーザが何らかの初期登録および/または行動の後にOTP認証の実行に関与しないようにユーザのログオン動作内にOTP機能を直接に統合することを含む。特に、好適な実施形態では、OTP機能は、USBフラッシュ記憶装置または他の一般的な取り外し可能な記憶装置内に統合され、しかも、クライアントアプリケーションは装置自体に記憶されている。クライアントアプリケーションは記憶装置から起動され、ホストコンピュータで実行する。ユーザにより手動でアプリケーションを起動することができ、または、装置がホストコンピュータに挿入されるときにアプリケーションを自動的に起動するようにシステムをセットアップすることもできる。起動後、クライアントアプリケーションは、大容量記憶装置からOTP値を獲得し、ユーザID、資格情報およびOTP値を、ユーザが認証しているサーバへ供給するタスクを実行する。理想的には、このことは、クライアントアプリケーションが単一機関との動作に専用である場合には自動的に、または、マウスまたはキーボードのようなヒューマンインターフェイス装置を用いてリストから機関アイコン(企業ロゴ)または名前を選択するワンクリック動作で実行される。
【0014】
別の実施形態では、ホストコンピュータでクライアントを起動し、ユーザが登録済み機関のリスト内のウェブページにアクセスしたときを検出して、ログオンシーケンスを起動することができる。リスト、ドロップダウンリスト、一群のアイコン、一群の企業ロゴまたは他のこのような表示として機関リストをグラフィカルユーザインターフェイス(「GUI」)に表示することができる。理想的には、ユーザIDおよび資格情報、並びに機関のユニフォームリソースロケータ(「URL」)または他の形態のウェブアドレスも、記憶認証用の取り外し可能な大容量記憶装置に既に記憶され、認証のために取り出される。装置が、多数の独立したOTPシードを支援する場合、または、装置が、これらOTPシードを用いて、多数の独立した機関を支援する場合であっても、ユーザID、資格情報およびURLは、装置に記憶されたリストから、人が認証している特定の機関に従って選択されるのが理想的である。このシステムは、従来のパスワードマネージャとOTP認証システムとの機能を途絶えることなく組み合わせ、ボタンのシングルクリックを用いてログオンおよび認証動作をすべて実行する。幾つかのシナリオでは、これらのすべての動作をシングルクリックで実行するのが好ましいが、複数のクリックまたは他のユーザ入力を用いることができ、他のシナリオでは複数のクリックまたは他のユーザ入力が好ましい。
【0015】
紛失または窃盗の場合に、他の人が装置を用いて認証することができないようにするため、本発明の大容量記憶装置は、クライアントアプリケーションの起動時に少なくとも1度、PINまたはパスワードのような、人を一意的に識別する何らかの情報をユーザが入力することがなければ、動作しないようになっている。ユーザの識別には、生体認証や質問応答などのような他の多くの方法がある。一実施形態では、より一般的な二要素認証および/またはパスワード管理動作に対してシステムを用いてユーザ情報を供給することができる。これら情報の一部を、他の情報よりも機密にすることができる。このような機密情報を分離し、ユーザのベリファイ、PIN/パスワードのさらなる入力、または、ユーザが、システムにより供給されたこのような情報に気づき、権限を与えるようにする他の動作を要求するようにシステムを設計することができる。この一例を、クレジットカード権限付与および支払いに対して行うことができる。
【0016】
一実施形態では、クライアントは、ユーザおよび認証情報をウェブサーバに供給することができ、ウェブサーバは、有効なユーザ資格情報および認証情報を受信すると、二要素認証なしにログオンするのに一般的に用いられる従来のログインウェブページ項目を自動的に記入する。この実施形態は、二要素認証を処理する別個のシステム構成要素を追加するが、所定の機関に単一のウェブログオンページを維持させることができる。この場合、二要素認証は、OTPと同じように、フォームの記入に容易には役立たない認証の形態から構成することがあるが、その代わり、一般的にチャレンジレスポンス動作を含む公開鍵インフラストラクチャ(「PKI」)のような認証方式にすることができる。
【0017】
システムへの機能強化として、装置は、ユーザが認証のために登録できる機関のリストを含むことができる。このリストを、ユーザ要求により、または、自動的にクライアントアプリケーションを用いることにより遠隔に更新することができる。リストを、支払い機関に対して優先的に配置するように編成することができ、または、リスト自体の配置を、支払い機関だけのために取っておくことができる。ユーザの資格情報を記憶した特定のウェブページが開かれたことをシステムが検出した場合、システムも、ユーザのためにユーザの資格情報に記入することができる。このことは、インターネットまたはWWWで通信するのに用いられるポートを監視するプログラムまたはルーチンを用いて行われうる。プログラムは、ホストにインストールされたブラウザを監視し、プログラムが監視する特定のポートを介してインターネット/WWWとのすべてのデータ通信を行うようにブラウザを構成する。監視は、ホスト装置が用いられるときに常に自動的に行われ、訪問されたすべてのウェブサイトのファイルを維持する。訪問されたウェブサイトは、システムがユーザの資格情報を維持するウェブサイトである場合、システムはユーザをログオンする。
【0018】
「フィッシング」として一般的に称されるハッキングの1つの一般的な方法は、有効なウェブサイトに見せかけたウェブサイトにユーザがだまされて機密情報を与えてしまう方法である。この形態のハッキングに対抗する方法はたくさんある。参加する機関のリストを、所定の機関に関する有効なURLや、認証の形態または認証に用いられる特定のプロトコルなどのような追加の情報をシステムに供給する手段として用いることができる。一実施形態では、参加する機関のリストに埋め込まれたURLを用いて、ユーザがシステムで登録できるURLにURLを限定することができる。このような実施例では、リストは、第三機関によりスヌーピングを回避するために安全なチャネルを介して遠隔サーバから装置に優先的にダウンロードされる。別の実施例では、クライアントは、遠隔サーバとリンクを確立し、優先的に安全なチャネルを介してURLの検証を要求することによりURLの検証を要求することができる。一実施形態では、図1〜図3に見られるように遠隔サーバを当局サーバまたは検証エンティティとすることができる。さらなる別の実施形態では、証明書を用いるPKIなどのような一般的な方法を用いる何らかの形態の認証によりウェブサイトの検証を実行することができる。一実施例では、認証処理を開始する前に、セキュリティはウェブサーバに追加されて、有効な装置が接続されることを確実にする。別の実施形態では、ウェブページは、Microsoft Windows OSではActiveX技術とすることができるPCでのサービスを起動して、装置の存在を判断するのに認証クライアントと対話することができる。好適な解決策では、すべての検証は遠隔サーバと装置自体との間で論理的に生じ、局所クライアントはただ通信を容易にする。
【0019】
前述したすべてのシステムは、1つの装置から別の装置へユーザ情報および資格情報を転送するだけでなく、1つの装置から別の装置へ認証権限をも転送する簡単な機構を含む。認証権限は、一実施形態では装置IDおよびシードから構成でき、他の実施形態では証明書、鍵または他の情報形態から構成できる。サーバ上の活動していない装置のリストに情報を追加し、安全なプロトコルを介してこの情報を装置から除去し、ユーザの識別に成功したときに安全なプロトコルを介して新たな装置へ再提供し、活動していない装置のリストから除去することにより認証権限の転送を実行することができる。ユーザが装置を紛失した場合、類似の方法を用いることができる。この方法では、古い装置IDおよびシードをサーバで無効にし、同一または新たな装置IDおよびシードを新たな装置に再提供することが必要となる。
【発明を実施するための最良の形態】
【0020】
携帯用大容量記憶装置は、写真、音楽、映像および文書のようなデジタルコンテンツを記憶するのに幅広く用いられている。また、携帯用大容量記憶装置は、大容量のソフトウェアアプリケーションを記憶するのに充分に大きい。一般的に、現在、携帯用大容量記憶装置は記憶目的のためにフラッシュメモリを用い、メモリカードまたは携帯用USBドライブのフォームファクタを有する。これらの大容量記憶装置は、取引または識別目的に必要とされるようなほんの少しの情報を記憶することを目的としている他の携帯用装置と異なる。大容量記憶装置は、認証に用いられるキーカードおよびトークンのような他の専用装置とも異なる。その理由は、専用装置が、適切なユーザ識別情報を記憶する少量のメモリを有することができるが、これら専用装置が、比較的大容量であって多くの場合に暗号化されたファイルを頻繁に記憶し、迅速かつ確実かつ繰り返し可能に転送するように設計されていないためである。
【0021】
携帯用大容量記憶装置の一実施形態として、例えば、メモリカードは、5〜20メガバイト程度またはそれ以上である写真を迅速に記憶できなければならない。デジタルカメラからのただ1つの写真は、スマートカード、キーカードまたはトークンのような専用装置内に含まれる記憶容量よりもけた違いに大きい記憶容量を必要とすることがある。さらに、このような専用装置は、一般的に、カメラおよび音楽プレーヤなどで用いられる比較的大容量のファイルは言うまでもなく、複数のファイルを迅速に読み取り書き込むことができない。携帯用大容量記憶装置は、メモリバンクへの読み取りおよび書き込みを極めて迅速に行うように最適化されるルーチンを有するコントローラおよびファームウェアを有する。さらに、携帯用大容量記憶装置の多くは、頻繁に更新されたコンテンツの無許可コピーを阻止するセキュリティおよび暗号化ルーチンを有する。専用トークンは、(シードおよび/またはアルゴリズムを保護する)何らかの形態のセキュリティを有することができるが、トークン上のデータは一般的に静的であり、セキュリティは頻繁に更新されたユーザファイルの無許可コピーから保護するように設計されていない。本発明の大容量記憶装置は、情報が確実かつ迅速に取り出されるように論理−物理マッピングが行われない大容量記憶メモリの領域内で検証および認証に必要とされるシードおよび他の情報をも記憶することができる。このことに関するさらなる情報については、M.Holtzmanらによる「Methods Used in a Secure Yet Flexible System Architecture for Secure Devices With Flash Mass Storage Memory 」という米国特許出願第11/317,341号(代理人整理番号:SNDK.470US2)(特許文献1)、およびM.Holtzmanらによる「Secure Yet Flexible System Architecture for Secure Devices With Flash Mass Storage Memory 」という米国特許出願第11/317,339号(代理人整理番号:SNDK.470US3)(特許文献2)を参照されたい。これら特許出願は、その全体が本願明細書において参照により援用されている。装置の隠れパーティションにもシードをロードすることができる。また、シードがどこに記憶されようとも、シードをロードしたいエンティティが、ロードするための適切な許可および/または資格情報を有する場合だけシードをロードすることができる。特定の実施形態では、この許可はアクセス制御レコードに含まれている。アクセス制御レコードについては、後で説明する。
【0022】
本発明は、セキュリティ目的に携帯用大容量記憶装置を用いる。装置は、装置に組み込まれたセキュリティ機構を有する。セキュリティ機構は、i)装置に記憶された情報へのアクセスを制限し、ii)他の安全なシステムおよびデータへのアクセスを可能にする一種の「鍵」として装置機能を行う。本発明は、携帯用大容量記憶装置を用いてユーザの資格情報をベリファイするシステムをも含む。ベリファイされた後、ユーザは情報へのアクセスを許可される。そうでない場合、ユーザはアクセスすることができない。
【0023】
一般的に、静的なパスワードは、ユーザの資格情報をベリファイするのに用いられている。しかし、特に、パスワードおよび他の個人情報に対して、今日、広く知られた「フィッシング」を考えると、静的なパスワードは盗み取りやすく、ほとんど保護することができない。既に背景技術において記載したように、専用のOTPトークンシステムも実施されている。これらの専用トークンは持ち運ぶのに負担であり、費用がかかり、市場で幅広く受け入れられていない。これらのトークンは、メモリカードまたはUSBドライブの大容量記憶機能も有していない。
【0024】
今日、デジタルカメラ、ビデオレコーダ、PDA、携帯用音楽プレーヤまたはパーソナルコンピュータを有するほとんどすべての人は、メモリカード、または「サム」ドライブとも称されることがあるポケットサイズのUSBドライブを有する。本発明は、OTPを実施するため、別個の専用トークン(または、他の専用装置)を必要とするという参入への障害を取り除く。ユーザが複数の装置を持ち運ぶ必要がなく、その代わりに、ユーザが既に有する装置を用いることができる場合、OTPおよび二要素認証の受け入れおよび使用を大幅に高める。この結果、セキュリティの大きさを改善させ、電子商取引および他の分野における詐欺のリスクを低下させる。
【0025】
本発明の実施形態は、OTP機能を有するUSBフラッシュ記憶装置のような携帯用大容量記憶装置を含み、この装置内には、ユーザの選択時、適切な機関のウェブページに自動的にリンクし、ユーザの資格情報を入力し、装置とのOTP取引を実行し、OTP値をウェブページに入力し、これにより、全動作を途絶えることなくユーザのシングルクリックで実行するクライアントを有する。
【0026】
身元確認に関する窃盗および詐欺は、オンライン金融活動の成長にとってますます大きな脅威になってきているので、最も重要なことは、セキュリティの大きさを増大させることである。銀行、仲介業者および他の金融機関は、これらの機関にオンライン活動を促進させることができ、1回の取引当たりの費用が、支店で実行された同じ取引と比べてわずか0.5%となることができる解決策を求めている。これと同様に、オンライン商取引や、子供向けの安全な閲覧などを中心として開発されているプログラムが他にもある。これらの各々が基本的に必要なものは、フィッシングしハッキングしてユーザIDおよび資格情報を獲得する最も一般的な形態の身元確認に関する窃盗と、物理的な窃盗またはクレジットカード情報のコピーとを克服し個人の認証を強化する手段である。
【0027】
この問題の1つの解決策および本発明の一態様は、ログオンするかまたは取引オンラインを実行するために二要素認証を実行する手段またはシステムをカスタマに提供することである。二要素認証は、その名が示すように、人が2つのシステム構成要素を所有することを必要とする。システム構成要素の一方は、一般的に、人を一意的に識別する物理装置であり、システム構成要素の他方は、人と、人が認証したいエンティティとだけに知られている情報(秘密)である。
【0028】
一般的に、認証または検証エンティティは、人の資格情報を含むデータベースと、人が二要素認証システムの双方のシステム構成要素を所有しているかをベリファイする手段とを有する。双方の構成要素の所有を証明することができる場合だけに人は認証され、これにより、ハッカーがその人のIDおよび秘密を決定できる最も一般的な形態の詐欺は阻止される。その理由は、一般的にこの人の物理的近くには決していないハッカーが物理的な構成要素を所有していないためである。これと同様に、人が装置を図らずも紛失した場合、または、装置が盗まれた場合、誰も物理的な構成要素を用いて、秘密の知識なしに不当に認証することができない。
【0029】
本発明は、暗号機能を含む。好適な実施形態では、暗号機能は主にファームウェアに基づくこともできるが、本発明は、ハードウェアに基づく暗号エンジンを含む。システムをハッキングするのに必要とされる労力を増大させる何らかの形態の暗号を含むのが有利である。ハードウェアに基づく暗号エンジンを用いる利点は、ハードウェアにより許可されない限りファームウェアが実行されないようにファームウェアを暗号エンジンに拘束できるということである。このことは、認証ファームウェアおよびハードウェアの双方が、動作する装置に備わっていなければならないことを意味する。どちらか一方を、装置のセキュリティを危うくしコンテンツの無許可コピーを可能にするように設計された部分と置き換えることはできない。このことに関するさらなる情報については、Holtzmanらによる「Hardware Driver Integrity Check of Memory Card Controller Firmware」という米国特許出願第11/285,600号(特許文献3)を参照されたい。この特許出願は、その全体が本願明細書において参照により援用されている。
【0030】
PCまたは携帯電話は、すべての形態のハッキングに対して脆弱なオープン構造を有する。本発明の利点は、暗号機能を大容量記憶装置内に配置することにより、一般的なパーソナルコンピュータ(「PC」)、または携帯電話のような電子装置に備わっているAPIと比べて極めて安全かつ制限されたAPIを用いることができるということである。大容量記憶装置の安全なAPIは、ハッカが通常の論理インターフェイスを用いて、大容量記憶装置内に含まれた暗号秘密を認識しようとする方法がないように構成されている。本質的には、本発明の大容量記憶装置は、これが結合されたホストよりもずっと安全となるように構成されている。
【0031】
安全な大容量記憶装置は、本質的にパススルーとしてホスト装置を用いて、遠隔に配置された1つ以上のサーバと並行して動作する。特定の実施形態では、ホスト装置のプロセッサは、大容量記憶装置に記憶されたクライアントを実行し、好適な実施形態では、暗号およびOTP動作は大容量記憶装置に排他的に含まれ、これにより、大容量記憶装置を、なお一層保護されるように物理的かつ論理的に構成することができる。安全な大容量記憶装置は安全なシステムを形成するように、遠隔に配置された安全な1つ以上のエンティティと連動する。大容量記憶装置と安全なエンティティとの間の接続も安全である。遠隔に配置された安全なエンティティは、一般的にアクセスから物理的に保護され、外部のインターフェイスを介して実行できる対話の種類を制限する安全な対抗手段を有する1つ以上の遠隔サーバであるか、またはこれら遠隔サーバを含む。
【0032】
次に、図を参照する。図1には、認証およびパスワード管理のために携帯用大容量記憶装置(「MSD」)を用いることができるシステムを示す。MSD100は、接続部分102を介してホストコンピュータ装置110に接続されている。接続部分102を、いかなる種類の直接または無線接続とすることができる。無線接続の幾つかの例として、標準の電話通信リンクを用いるOTA(オーバーザエアー)と、一部が、選択された範囲と、Wi−Fi(802.11x)およびBluetoothのようなプロトコルとを含む無線周波数と、誘導性近接通信(「NFC」)と、赤外線とが挙げられる。現今の好適な実施形態では、MSD100は、USBドライブまたはメモリカードの形態を取り、従って、接続は直接であり、MSDはホスト装置のレセプタクル104とインターフェイスをとる。後でさらに詳細に説明するように、MSD100は、大容量のユーザファイルを頻繁かつ迅速に記憶し取り出すのに用いられる大容量記憶メモリを有する。これらのユーザファイルをいかなる種類のファイルとすることができ、一般的に、これらのユーザファイルは、デジタル写真および音楽と、実行可能なソフトウェアプログラムとを含む。無線接続102の場合、レセプタクル104は物理的なコンセントではなく、その代わり、無線送受信機となる。
【0033】
ホストコンピュータ装置110をいかなる種類のスマート電子装置とすることができ、便宜上、簡単にホストとも称する。ホスト110の幾つかの例として、パーソナルコンピュータ、携帯電話またはハンドヘルドオーガナイザ/電子メール装置(「PDA」)が挙げられる。実際、ホストを、ユーザのアカウントおよび/または関心あるサイトにアクセスするのに用いることができる任意の電子装置とすることができる。ホスト110は、様々な機関118および他のエンティティと接続されたネットワークに接続されている。説明を簡単にするため、図中、1つだけの機関118を示す。ネットワークは、インターネットのようないかなる種類の広域ネットワークと、様々な種類の携帯電話ネットワークとを含むことができる。また、特定のネットワークは衛星通信を用いることができる。ネットワークに接続された1種類のエンティティは、検証または認証エンティティ124である。エンティティ124は、1つ以上のサーバを含む。ホスト110がPCである場合、所望に応じて仮想プライベートネットワーク(「VPN」)接続を確立することができる。ホストを機関118に接続するネットワーク接続部分114と、ホストを検証エンティティ124に接続するネットワーク接続部分116とに加えて、機関118と検証エンティティ124との間には、別個の非ネットワーク接続部分122も備えることができる。その上、機関118は、ネットワークを介して確実にエンティティ124とも通信することができる。
【0034】
次に、現今の好適な実施形態に関して、ホスト110と、これと対話する構成要素とを説明する。しかし、このような説明は、特許請求の範囲により定義された本発明の範囲を少しも限定するものではない。好適な実施形態では、ホスト110はPCであり、MSD100はUSBサムドライブである。前述したように、ホストコンピュータを、一般的にPDAと称されるハンドヘルドコンピュータ、または携帯電話、またはデジタルカメラ、またはこれらの機能のすべてを有する混成装置とすることもでき、これらは、取り外し可能な記憶装置を受け取ることができる。一実施形態では、記憶装置またはサブシステムをホストコンピュータに埋め込むことができる。ユーザが特定の機関例えばユーザのオンライン銀行にアクセスしたい場合、例えば、ユーザは、MSD100をUSBポートに差し込み、MSDに備わっているクライアントはPCにより起動され、クライアントはユーザを銀行口座またはアカウントにサインインする。ユーザが機関へのアクセスを許可され機関にログオンまたはサインインされる前に、ユーザおよびMSDを検証/認証するため、検証エンティティ124は、機関、クライアント、PCおよびMSDと連動する。もちろん、各機関118は、ユーザの様々なデータベースとアカウント番号および秘密(例えば、パスワードまたはPIN番号)とを維持する。これと同様に、検証エンティティは、ユーザおよび装置を検証/認証するのに必要とされるデータベースを維持する。これらの処理を、後でさらに詳細に説明する。また、MSD100に備わっているクライアントアプリケーションを、ホスト110のプロセッサまたはMSD100により実行することができ、この実行は、必要とされるセキュリティレベルと、ホスト110およびMSD100の双方、並びに、ホスト110およびMSD100間の接続部分102の構成とに依存する。ホスト110がPCである場合、現在のところ、PCがクライアントアプリケーションを実行するのが好ましい。
【0035】
図2は図1に類似するが、1つ以上のサーバを含む検証エンティティが、機関およびその機器と同じ敷地内に存在しうることを明確にしている。さらに、図2には、当局126を示す。当局は、検証/認証およびユーザのサインオンに必要とされる情報をMSD100に供給するエンティティである。当局126は、当局サーバ126とも称される。例えば、当局126は、MSD100でのOTP生成に必要とされるシードを供給することができる。当局126は、ネットワーク接続部分128を介してホスト110に接続されていると示されている。このようなシナリオでは、当局は、MSD100の耐用期間中、いつでもシードをMSD100にロードすることができる。また、当局は、必要に応じてシードを変更し除去することができる。シードが工場でロードされているというシナリオでは、ネットワークおよびホスト装置を介して接続する必要なしに当局126をMSDに直接に接続することができる。任意数の企業または他のエンティティにより当局126を実行することができる。このようなエンティティの1つを装置の製造者またはプロバイダとすることができる。例えば、MSDが(公序良俗違反につき、不掲載) ((公序良俗違反につき、不掲載))すなわち本発明の譲受人により製造されている場合、当局も(公序良俗違反につき、不掲載)またはそのエージェントとすることができる。別の例として、当局126を、雇用主のような装置分配者とすることができる。また、機関118または検証エンティティ124は、検証/認証に必要とされる情報(例えば、OTPシード)を、当局126の代わりに直接、または、当局126と連動して供給することができる。
【0036】
図3Aには、MSD100の幾つかの物理的な構成要素を示す。インターフェイス304は、データおよびコマンドをMSD100との間でやり取りし、コントローラ306と情報を通信する。前述したように、幾つかの実施形態では、インターフェイス304は大容量記憶装置の電気接点および/またはコネクタを含むが、他の実施形態では、インターフェイス304は無線送受信機を含む。特定の実施形態では、MSD100の電力も、装置インターフェイス304を介して受信することができる。コントローラ306はマイクロプロセッサを含み、MSD100のデータ記憶動作のすべてを制御する。このことは、コントローラ306が、フラッシュ形とするのが好ましい大容量記憶メモリ308との間の読み取りおよび書き込み動作のすべてを調整することを意味する。コントローラおよび大容量記憶メモリは直列に接続されて示されているが、実際には、これらはバスを介して一般的に接続されている。読み取り専用メモリ(「ROM」)およびランダムアクセスメモリ(「RAM」)を含む様々な他の構成要素も、バス上に存在しうる。MSD100は、大容量記憶メモリ308において暗号化ファイルを読み取りかつ書き込むことができ、好適な実施形態では、このことは、コントローラ306内の暗号エンジンを用いて達成される。コントローラは、MSD100を実行するファームウェアを実行し、このファームウェアを専用のROMに配置することができ、あるいはまた、フラッシュメモリ308に記憶することができる。ファームウェアを記憶するROMの費用を削減するため、ファームウェアを大容量記憶メモリ308に記憶するのが好ましい。ROMの本質的な保護に乏しいフラッシュメモリ308内に、MSDを実行するファームウェアを記憶することは、悪意のある/安全でないファームウェアを用いてファームウェア内のコピー保護ルーチンを改ざんできないようにするか、または、悪意のある/安全でないファームウェアと全面的に置き換えできないようにする大規模な保護機構をMSD100内に必要とする。
【0037】
図3Bに見られるように、フラッシュメモリ308は、MSDの動作に欠かせないファームウェアおよび他の情報が配置されている安全な領域308Aを有する。幾つかの実施形態では、ファームウェアは暗号化され、本物であると最初に決定されない限り実行されない。ファームウェアの認証に関するさらなる情報については、Holtzmanらによる「Hardware Driver Integrity Check of Memory Card Controller Firmware」という米国特許出願第11/285,600号(特許文献3)を参照されたい。この特許出願は、その全体が本願明細書において参照により援用されている。また、幾つかの実施形態では、安全な領域308Aへの書き込みを、装置の特定の動作状態中だけに実行することができる。一般的に言えば、このことは、ファームウェアの改ざんまたは置換から保護する作用をする。大容量記憶装置の動作状態に関するさらなる情報については、M.Holtzmanらによる「Secure Memory Card with Life Cycle Phases 」という米国特許出願第11/053,273号(特許文献4)を参照されたい。この特許出願は、その全体が本願明細書において参照により援用されている。これらの保護は、適所で必要とされる。その理由は、大容量記憶装置が一般的な目的のファイル記憶のために、特に、コピーするのに自由に利用できない著作物を記憶するのに用いられるためである。例えば、MSDでの音楽を、無許可のコピーから保護する必要がある(このことは、ユーザファイルを記憶するのに用いることができない専用のトークンに関する問題ではない)。このことは、装置を制御するファームウェアが、ハッキングするのが本質的に困難であるROMのような専用の記憶装置にではなくユーザファイルと同じ大容量記憶メモリ内に備わっている場合に特別な重要性を有する。
【0038】
論理スロット310A,310B...310Xは、安全な領域308A内に配置されている。これらのスロットを、ファイル記憶領域308B内にも配置することができる。スロットは、保護された論理メモリ領域であって、この領域は、機関にユーザをログインするのに必要とされる情報を記憶するのに用いられる。情報は1つのセキュリティ対策として暗号化される。この情報は、ユーザ名アドレスアカウント番号などのようなユーザの識別情報と、パスワードまたはPINのようなユーザの秘密と、機関ごとのアルゴリズムおよびシード値を含めてOTP値を生成するのに必要とされる情報とを含むことができる。各機関はそれ自体のスロットを有する。特定の実施形態では、機関内の各アカウントは、それ自体のスロットを有することができる。スロットのログインおよび使用を、後で詳細に説明する。本発明の実施形態では、より確実かつ迅速に情報が取り出されるために論理−物理マッピングが行われない大容量記憶メモリのシステム領域にMSDのスロットを配置することができる。OTPの生成に用いられるシードを、ファイル記憶領域308B内のファイルへのアクセス権を有するコンピュータから隠されたメモリ308の一領域にも記憶することができる。このことを、メモリ308のどこかに配置された隠れパーティション内で行うことができる。
【0039】
前述したように、異なる時間にシードをMSD100にロードすることができる。シードをカードにロードしたいエンティティが、ロードを行う前にベリファイされることは重要である。一実施形態では、このことは、大容量記憶装置のセキュリティモジュールであるセキュアストレージアプリケーション(「SSA」)で管理される。SSAはクライアントアプリケーション320と対話することができ、または装置内の管理層を介して対話することができる。SSAおよび他の関連する情報については、Fabrice Jogand‐Coulomb らによる「Control Structure for Versatile Content Control 」という米国特許出願第11/313,536号(代理人整理番号:SNDK.382US4)(特許文献5)に記載されている。この特許出願は、その全体が本願明細書において参照により援用されている。SSAシステムはMSDの記憶システム上に位置し、ファイルおよび他のデータを記憶するセキュリティ層を追加し、一実施形態では、セキュリティ層にシードを含む。
【0040】
SSAパーティションは、SSAだけを介してアクセスすることができる(ホストオペレーティングシステムまたはOSおよび他のすべてのエンティティから)隠れたパーティションである。SSAシステムは、ホスト装置または他のエンティティが、アクセス制御レコード(「ACR」)にログオンすることにより確立されたセッションを介する以外、SSAパーティションにアクセスできないようにするのが好ましい。これと同様に、要求が、適切な当局またはエンティティにより確立されたセッションを介して伝達されない限り、SSAは、SSAパーティションの有無、サイズおよびアクセス許可に関する情報を供給しないのが好ましい。
【0041】
パーティションへのアクセス権は、ACRに含まれた許可のリストから派生される。ACRは、エンティティの、またはエンティティと用いるべき認証方法、ログインアルゴリズムおよび資格情報も含むことができる。パーティションが生成されている場合、ホストは、パーティションの参照名またはIDを供給する。この参照は、パーティションへのさらなる読み取りおよび書き込みコマンドに用いられる。従って、このような実施形態では、エンティティがシードをMSDにロードしたいため、エンティティは、適切な許可および/または適切なログインアルゴリズム、資格情報および認証方法を有する必要がある。
【0042】
図3Cには、MSD100の好適な実施形態の分割された機能を示す。好適な実施形態では、クライアントアプリケーション320はOTP生成を実行しないが、多くの機能を実行する。好適な実施形態では、前述したように、クライアントは(MSDに記憶されているが)ホストで実行されるのに対して、OTP生成はMSDで実行される。OTP生成器330は、様々なホスト装置に存在しうる比較的オープンかつ潜在的に安全でない環境と比べてより良好にMSD100の安全な環境内で保護されている。クライアント320は、OTP生成器330により生成されたOTP値を要求し、その後、取り出す。OTP生成器330は、製造時にシードが与えられた単一アルゴリズムしか用いることができない従来のOTPトークンよりも多くのセキュリティおよび機能を備えるために複数の異なるアルゴリズムを用いることができる。例えば、OTP生成器330は、機関ごとにアルゴリズムを生成する固有値を用いることができる。コントローラ306のロジック、プログラム可能なロジックまたは別個の専用回路でOTP生成器を実施することができる。ASIC内に、またはボードレベルの回路構成要素で専用回路を実施することができる。
【0043】
また、クライアント320は、装置インターフェイス320A、ユーザインターフェイス320B、認証マネージャ320Cおよびプロビジョニングマネージャ320Dを含む。クライアント320は、ユーザインターフェイス320Aとのユーザ対話に基づいてユーザにより選択された機関にユーザを、途絶えることなしにログオンさせる。ユーザインターフェイスは、ユーザの知識または介入なしに装置インターフェイス、認証マネージャおよびプロビジョニングマネージャを起動する。
【0044】
図4には、装置100の多目的機能を示す。MSD100は大容量記憶機能を有する。その理由は、一般的に、ユーザが、ユーザファイルを便利なポケットサイズの装置に記憶するためにMSD100を有するためである。従って、本発明は、アカウント管理およびサインオンの利便性を追加する。本発明は、パスワード管理および認証管理の双方を含む。ユーザおよび装置の双方は、それらが主張している者であるかどうか、また、安全な機関にアクセスすることを許可されているかどうかをベリファイすることが認証管理に含まれる。認証管理は固有の装置の識別子の使用を含み、しかも、OTP生成器330により生成されたワンタイムパスワードを含む。OTP生成のセキュリティおよび二要素認証を、ユーザが既に有する装置に追加することは、OTP使用の採用を著しく増大させる。また、人が一般的に有する複数のパスワードを管理する利便性を追加することは、このような装置にもっと興味を持たせ、ユーザにとって有益にさせる。増大されたセキュリティ、機能および利便性は、ユーザ間のみならず、安全な機関でも、二要素認証の受け入れレベルを高める。
【0045】
次に、図5A〜図10Cに関して、処理の内容を詳細に説明する。
【0046】
図6は、2つの主なステップを概説する。第1に、ステップ604では、装置が現場にある間、言い換えれば、装置が販売された後、ユーザに所有されている間、MSD100は1つ以上のOTPシードを受信する。一実施形態では、1つの機関ごとに1つのシードがカードに受信される。他の実施形態では、1つシードは、2つ以上の機関に対する値を生成するのに用いられる。装置がユーザまたは仲介業者に販売される前に様々なシードを装置に予めロードすることができるが、好ましくは、シードをオンザフライでロードすることができる。その後、ステップ608では、受信した(1つ以上の)シードを用いて(1つ以上の)機関に携帯用大容量記憶装置100でサインインする。特定の実施形態では、シードがオンザフライでロードされる前に、クライアントは、ホストに接続されたMSDが必要なOTP生成を実行できるかどうかをベリファイすることができる。このベリファイを行う1つの方法は、ActiveXを用いる。
【0047】
図5Aおよび図5Bと、図7〜図10Cのフローチャートとを並行して参照すべきである。図5Aには、装置スロットの結合および装置スロットの起動に含まれる各エンティティ、すなわち、エンドユーザ99、MSD100、クライアント320、機関118および検証エンティティ124間の対話を示す。装置スロットの結合および起動は、MSD100を用いて特定の機関にアクセスできる前に実行される。図5Bには、MSD100のスロットが既に結合され起動された後の機関へのアクセスに含まれる各エンティティ間の対話を示す。図5Aおよび図5Bに示されたエンティティはほとんど同じであるが、クライアント320の異なる機能が用いられ示されている。例えば、図5Bでは、クライアントの認証マネージャ320Cおよびユーザインターフェイス320Bは処理に含まれ、これに対して、図5Aで見られるように、装置スロットの結合および起動中、クライアント320のプロビジョニングマネージャ320Dは活動状態にある。また、機関118の機関データベース120は機関118の一部ではあるが、別個の論理エンティティとして示されている。
【0048】
図7は、MSD100を用いて機関にアクセスする主なステップをハイレベルに示すフローチャートである。ステップ704では、MSD100をコンピュータに接続した後、クライアントを起動する。ユーザによりクライアントを起動することができ、あるいはまた、コンピュータとの接続が検知されたときに自動的に起動することができる。次に、ステップ708では、ユーザは、クライアントのユーザインターフェイスを介してユーザがアクセスしたい機関を選択する。幾つかのユーザインターフェイス画面を図11〜図12に示すことができる。これらのユーザインターフェイス画面については、後で説明する。一般的に、クライアントが起動されるたびにコンピュータのヒューマンインターフェイス装置を介して選択を行う。しかし、接続が検知され、クライアントが起動されたときに自動的に機関にアクセスするように、ユーザはMSD100を構成することができる。
【0049】
ステップ712では、MSD100は、選択された機関ごとにOTP値を生成する。各機関は、OTPの生成に対して固有のシードおよびアルゴリズムを有することができる。ステップ716では、クライアントは、選択された機関に接続する。接続後、クライアントは、選択された機関にユーザをログインするのに必要とされる情報を与える。この情報は、ユーザ名、アカント番号またはユーザIDのようなユーザの識別情報と、ユーザのパスワードまたはPINのようなユーザの秘密情報と、機関が、ログインに対してOTP値を必要とする種類のものである場合には特定の機関に対するOTP値とを含む。この情報を、ユーザが記入するクライアントユーザインターフェイスのページからから収集することができ、または、ユーザが情報を機関のウェブページに入力するようなユーザの行動を監視することにより収集することができる。一実施形態では、クライアントはユーザおよび認証情報をウェブサーバに供給することができ、ウェブサーバは、有効なユーザ資格情報および認証情報を受信するとき、二要素認証なしにログオンするのに一般的に用いられる従来のログインウェブページ項目を自動的に記入する。この実施形態は、二要素認証を処理する別個のシステム構成要素を追加するが、所定の機関に単一のウェブログオンページを維持させることができる。特定の実施形態では、MSD100の装置IDも、ログインに必要とされることがある。ステップ724では、ユーザ99および装置100を認証/検証し、ユーザ/装置を各々選択された機関にログインする。ユーザがログインされた後、最終的にユーザは機関にアクセスすることができる。ユーザが機関のウェブサイトにアクセスする場合、ステップ728では、機関のウェブページをユーザに表示する。もちろん、機関インターフェイスはウェブページに限定されるものではなく、本発明の範囲には、他のインターフェイスのアクセスも含まれる。このことは、特に、ホスト110がPC以外のものである場合に関連する。
【0050】
図8は、図7に類似するフローチャートであるが、図8では、機関およびユーザ/装置以外の集団である第三機関は、ユーザを機関にログインする役割を果たす。図7のステップと異なるステップだけを説明する。ステップ714では、クライアントはユーザ/装置/ホストを、図7のステップ716でのような機関ではなく、第三機関に接続する。第三機関は、ユーザ、装置、機関、並びに、ユーザおよび装置の認証性および妥当性をベリファイするのに必要とされる全情報のデータベースを維持する。このステップは、MSDにより生成されたOTP値をベリファイすることを含むことができる。ステップ717では、第三機関は、ユーザ/装置を認証/検証する。認証/検証後、ステップ715では、第三機関は、選択された機関にユーザをログインするのに必要とされる適切な情報を与える。第三機関は、MSDレベルで、または、第三機関自体により生成されたOTP値を表示することができる。次に、ステップ722では、ユーザを機関にログインする。
【0051】
前述したように、MSD100を用いて、ユーザにより選択されたサイトにユーザをログインすることができる前に、装置内のスロットを結合し起動する必要がある。図9に示されるように、ログインが完了される前に、ユーザおよび装置も認証する必要がある。ステップ905では、MSD100のスロット310を、検証サーバ124とも称することができる検証エンティティ124のサーバと結合する。このステップについては、図10Aのフローチャートに詳細に説明し、図5Aにも示す。次に、ステップ910では、スロットを起動する。この起動処理については、図10Bのフローチャートに詳細に説明し、図5Aにも示す。ステップ915では、ユーザおよびMSD100のスロットを認証する。この認証または検証処理については、図10Cのフローチャートに詳細に説明し、図5Bでも見られる。
【0052】
図10Aには、結合処理(図9のステップ905)を詳細に示す。ステップ918では、MSDを最初にホスト110に接続する。ステップ920では、クライアントを起動する。次に、ステップ922では、ユーザは、ユーザがサインインしたい機関を選択する。この場合も、ユーザは、この時点で選択をすることができ、または、機関を、以前のユーザセッションから予め選択することができる。次に、ステップ924では、選択された機関またはアカウントに対してMSD100内のスロットを割り当てする。ステップ926では、クライアントは装置IDをMSD100から取り出す。次に、ステップ928では、トークンIDとも称される固有の識別子を装置IDおよびスロットIDから生成する。ステップ930では、MSD100、特にMSD100の適切なスロットを、トークンIDを用いて検証サーバ124に結合する。ステップ932では、選択された機関に対するOTPシードを受信し、次に、ステップ934では、OTPシードを、割り当てられたスロットに割り当てする。ステップ922で選択された機関ごとにステップ924〜934を繰り返す。
【0053】
図10Bには、装置スロットの起動処理(図9のステップ910)を詳細に示す。装置スロットを結合した後、起動することができる。ステップ940では、ユーザは、ユーザ名または他のユーザ識別情報と、パスワードまたは他の秘密とを入力する。次に、ステップ942では、MSD100のOTP生成器330は、起動されたスロットに対して1つ以上のワンタイムパスワード値を生成する。ステップ944では、MSDのスロットを機関で起動し、次に、ステップ946では、機関および/またはクライアントは、検証サーバ124でのスロット/MSD/ユーザの検証を要求する。ステップ948,950では、機関118および検証サーバ124は同時にスロット/MSD/ユーザを検証する。次に、任意選択的に、ステップ952では、起動の成功をクライアントおよびユーザに通知する。
【0054】
図10Cには、ユーザおよび装置の認証処理(図9のステップ915)を詳細に示す。この処理は図5Bにも示されている。装置が起動されている場合、装置は結合されて、機関またはアカウントに関連付けられる。このことは、装置IDおよびスロット情報を用いることにより行われる。次に、機関は、装置およびコンテンツをユーザ名およびパスワードに関連付ける必要があるので、装置に表示された情報と、ユーザ固有情報(ユーザ識別情報および秘密)とでユーザを認証することができる。ステップ960では、MSDがまだ接続されていない場合、MSDをホストに接続する。次に、ステップ962では、クライアントが開かれ、実行されていない場合、クライアントを起動し、ステップ964では、ユーザは識別情報(例えば、ユーザ名、アカウント番号など)および秘密(例えば、パスワードまたはPIN)を入力する。次に、ステップ966では、MSD100のOTP生成器は、特定のスロットに対するOTP値を生成する。ステップ968では、OTP値、ユーザ識別情報およびユーザ秘密を機関に送信する。次に、ステップ970では、機関は、機関にアクセスするユーザを検証する。ステップ970は、ステップ970A,970Bを含む。ステップ970Aでは、機関は、(1つ以上の)機関データベースでユーザ識別情報および秘密を検証する。また、ステップ970Bでは、機関は、検証サーバ124でOTP値およびMSD100のトークンIDを検証する。ステップ970でユーザが成功裏に検証された場合、次に、ステップ974では、ユーザを機関にログインする。
【0055】
前述したように、一実施形態では、クライアントは、ユーザおよび認証情報をウェブサーバに供給することができ、ウェブサーバは、有効なユーザ資格情報および認証情報を受信すると、二要素認証なしにログオンするのに一般的に用いられる従来のログインウェブページ項目を自動的に記入する。この実施形態は、二要素認証を処理する別個のシステム構成要素を追加するが、所定の機関に単一のウェブログオンページを維持させることができる。この場合、二要素認証は、OTPと同じように、フォームの記入に容易には役立たない認証の形態から構成されることがあるが、その代わり、一般的にチャレンジレスポンス動作を含むPKIのような認証方式にすることができる。
【0056】
図5Cには、資格情報をベリファイ/認証するのに公開鍵インフラストラクチャを用いる実施形態の1つの可能な実施例を示す。取引が安全でないのは、取引を行うシステムが安全でないのと同じであるので、最も重要な要素は、通信者が互いの位置を検出し、通信者が用いる公開鍵が、伝達したい人(またはマシン)に本当に属するという信頼を有する方法を確立するということになる。公開鍵インフラストラクチャは、この信頼を提供するように設計されている。公開鍵を所有者に関する識別情報に結合するデジタル証明書または公開鍵証明書と称されるデータ要素を用いて、インフラストラクチャは、使用のコミュニティ内のすべての利益のために結合を行い、それを管理するように設計されている。
【0057】
PKIは、認識技術である。秘密鍵および公開鍵暗号化の組み合わせを用いて、PKIは、データ機密性、データ保全性および鍵管理を含む多くの他のセキュリティサービスを可能にする。PKIの基礎または枠組みは、その全体が本願明細書において参照により援用されているITU−T X.509推奨[X.509]に定義されている。
【0058】
エンドエンティティは、エンドユーザと考えられることがある。このことは、よく見られることであるが、エンドエンティティなる用語は、より一般的なことを意味する。エンドエンティティを、エンドユーザや、ルータまたはサーバのような装置や、公開鍵証明書のサブジェクト名に識別できるものとすることができる。エンドエンティティは、PKI関連のサービスのカスタマとも考えられることができる。本発明では、図5に示す実施形態に見られるように、エンドエンティティは、大容量記憶装置100またはそのユーザである。
【0059】
公開鍵は、公開鍵証明書の形態でCA520により配布される。機関118または検証エンティティがMSD100のユーザにサインオンさせることができるようにMSD100から証明書を要求することができる。また、MSDがユーザを機関にサインインする前に、機関が本物であることを証明するために機関118からの証明書を用いることもできる。公開鍵証明書は、(サブジェクト名を公開鍵に効率良く結合する)発行側のCA520によりデジタル署名される。証明書取り消しリスト(「CRL」)が別個のCRL発行者に委任されなかったならば、CAは、CRLをも発行することになっている。CAを、エンドユーザ登録のような多くの管理タスクにも含むことができるが、これら管理タスクは別個の登録局(「RA」)に委任されることが多い。RAは任意選択であり、図5Cには示されていない。実際には、CA520または他のCAを、鍵のバックアップおよび回復機構としても作用することができる。しかし、この機能は、別個の構成要素に委任することもできる。CAは、PKIにおいて「信頼源」と考えられることが多い。一般的に、エンドエンティティは1つ以上の「信頼点」を用いて構成され、これら信頼点は、所定の認証パスを検証するための開始点として用いられる。PKIインターフェイスを介して信頼が確立された後、ログインを行うことができる。
【0060】
図11A〜Iおよび図12A〜Bは、クライアント320の異なる実施形態のインターフェイス画面である。これらの画面は、本発明の利便性を示すのに役立っている。比較的複雑な計算および対話が「隠れた所で」行われるが、ユーザにとってログイン処理は極めて簡単になる。例えば、ユーザは、選択された機関ごとに装置にシードがロードされ、シードが複雑なアルゴリズムにより用いられて、ユーザの他の情報と一緒に自動的に検証される新たな(OTP)値をログインごとに生成することに気付かない。本発明は、極めて高水準のセキュリティとパスワード管理の自動化とを途絶えることなしに組み合わせる。また、特定の実施形態では、本発明は、異なる機関に対してユーザの主情報がすべての個々のパスワードおよびユーザ名と自動的に相互に関連付けられる単一サインオンを含むことができる。本発明と用いることができるユーザの識別には、生体認証や質問応答などのような他の多くの方法がある。一実施形態では、より一般的な二要素認証および/またはパスワード管理動作に対してシステムを用いてユーザ情報を供給することができる。これら情報の一部を、他の情報よりも機密にすることができる。このような機密情報を分離し、ユーザのベリファイ、PIN/パスワードのさらなる入力、または、ユーザが、システムにより供給されたこのような情報に気づき、権限を与えるようにする他の動作を要求するようにシステムを設計することができる。この一例を、クレジットカード権限付与および支払いに対して行うことができる。
【0061】
図11Aは初期画面を示し、図11Bはユーザが特定の機関にアクセスするためにパスワードおよびユーザ名を記入することができるインターフェイスである。ユーザは、新たな機関に入ることができ、または、前に構成された機関にアクセスすることができる。この画面では、ユーザは、ユーザのMSDの装置IDを入力することができる。しかし、好適な実施形態では、この情報をユーザが入力する必要なしに、クライアントはこの情報を取り出す。図11Cでは、ユーザインターフェイスは、システムがMSDを(1つ以上の)アカウントにつなげていることをユーザに通知する。この場合、選択された機関は、金融機関または仲介業者である。図11Dに見られるように、ユーザは、ユーザが特定の機関で有することができる複数のアカウントにアクセスすることができ、アカントを追加し、編集し、削除することができる。図11Eでは、ユーザは、ユーザの主パスワードを入力するように要求される。主パスワードは、後でシステムによりユーザの他のパスワードおよびアカウント情報のすべてと相互に関連付けられるパスワードである。一実施形態では、ユーザがつなげられた後、ユーザはこの主パスワードだけを入力すれば良く、ユーザのアカウントにアクセスする処理は、図11Aまたは11Bではなく図11Dから開始する。図11Fでは、ユーザは、システムがユーザのアカウントに接続するときに、待機するように要求される。次に、図11Gでは、ユーザは、ユーザが安全にアカウントに接続されたことを通知される。この段階で、機関のウェブページまたは他のインターフェイスは、ユーザのホスト装置で開かれる。ユーザが(1つ以上の)アカウントにアクセスし終えた場合、ユーザは、図11Hに示されたユーザインターフェイス画面の終了ボタンをクリックすることができる。次に、ユーザは、図11Iで示されるように、追加のアカウントに接続することができる。
【0062】
図12A〜Bには、クライアント320の別の実施形態のユーザインターフェイス画面を示す。図12Aでは、多くの異なる機関を表すアイコンが1つのユーザインターフェイス画面に同時に表示されている。ユーザは、「アカウント」とも称される機関を追加し、アカウントを編集または除去することができる。機関をユーザにより手動で追加することができ、あるいはまた、ユーザは、MSDにより維持されているリストから選択することができる。このようなリストは、ある更新スケジュールに基づいて、ユーザにより、または自動的に要求されたとき、サーバからMSDに遠隔に更新される。また、ユーザによる登録要求時のような任意数の事象に基づいてリストを更新することができる。各アイコン内のボタンをクリックすることによっても、ユーザは、アカウントにアクセスまたはログインし、アカウントを閉じ、またはログオフすることができる。図12Bに見られるように、ユーザが特定のアカウントを開くのにこのアカウントをクリックした場合、クライアントは、「サブアカウント」とも称される特定の機関のアカウントをユーザに選択させることができる。
【0063】
好適な実施形態では、表示されるすべてのアカウントが構成された後、ユーザは、MSDに対してユーザの主パスワードだけを入力すれば良く、次に、ユーザがログインしたい機関に対応するアイコンを簡単にクリックすることができる。他の実施形態では、セキュリティを高めるため、個々のパスワードおよび/またはユーザIDも入力することを必要とする。
【0064】
本願明細書において前に詳細に説明した、サインオンを容易にする動作を次に、隠れた所で途絶えることなく行う。このことは、ユーザおよび機関の区別なく利益を得る極めて高水準のセキュリティを提供すると同時に、ユーザにとって極めて便利なログオンおよびパスワード管理を同時に行う。この利便性およびセキュリティのすべては、ユーザが既に所有している可能性が高い装置に組み込まれる。このことは、専用のトークンとは異なって、クライアントをポケットサイズの大容量記憶装置の大容量記憶メモリに追加できるためであるので可能である。携帯用大容量記憶装置は、PCのようなオープン環境の場合よりも耐性のある物理的かつ論理的なセキュリティを有し、従って、情報のハッキングまたは「フィッシング」はより困難である。しかも、異なるパスワードまたは他の情報を相互に関連付けることができる幾つかの大容量記憶装置とは異なって、本発明は、常に変化するが直ちに検証できる固有のパスワード値を生成することができるアルゴリズムおよび処理を用いる。
【0065】
本発明の実施形態を説明したが、当然のことながら、本発明は、図に示されている実施形態に限定されるものではなく、添付の特許請求の範囲により定義されている。例えば、MSD100は、大容量記憶目的のためにフラッシュ形の固体メモリではなく磁気ディスクを用いることができ、ユーザにより選択されたパスワードの従来のセキュリティを高める認証目的のために対称または非対称認証のいかなる方法も実施することができる。
【図面の簡単な説明】
【0066】
【図1】本発明による第1のシステムを示す概略図である。
【図2】本発明による第2のシステムを示す概略図である。
【図3A】大容量記憶装置100のブロック図である。
【図3B】図3Aの大容量記憶フラッシュメモリ308のメモリ空間を示す図である。
【図3C】大容量記憶装置100のクライアントとワンタイムパスワード生成器とを示す図である。
【図4】大容量記憶装置100の機能を示す図である。
【図5A】装置スロットの結合および装置スロットの起動に含まれるエンティティおよび対話を示す図である。
【図5B】スロットが結合された装置の認識に含まれるエンティティおよび対話を示す図である。
【図5C】公開鍵インフラストラクチャを用いる認証に含まれるエンティティおよび対話を示す図である。
【図6】本発明の一実施形態による大容量記憶装置100を用いて機関にサインインする方法を示すフローチャートである。
【図7】本発明の一実施形態による大容量記憶装置100を用いて機関にサインインする方法を示すフローチャートである。
【図8】本発明の一実施形態による大容量記憶装置100を用いて機関にサインインする方法を示すフローチャートである。
【図9】本発明の一実施形態による大容量記憶装置100を用いて機関にサインインする方法を示すフローチャートである。
【図10A】図9のステップ905に見られる装置スロットの結合を示すフローチャートである。
【図10B】図9のステップ910に見られる装置スロットの起動を示すフローチャートである。
【図10C】図9のステップ915に見られる認識を示すフローチャートである。
【図11A】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11B】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11C】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11D】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11E】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11F】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11G】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11H】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図11I】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図12A】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【図12B】本発明の一実施形態によるクライアント320のユーザインターフェイス画面である。
【特許請求の範囲】
【請求項1】
携帯用大容量記憶装置を用いてユーザのアカウントにアクセスする方法であって、
コンピュータとの前記携帯用大容量記憶装置の接続を検出するステップと、その後、
前記コンピュータと第1エンティティとの間に接続を確立させるステップと、その後、
前記携帯用大容量記憶装置が前記コンピュータに接続されている間に、ワンタイムパスワード生成器と用いられるシードを前記携帯用大容量記憶装置へロードさせるステップと、
前記ロードされたシードを用いてワンタイムパスワードを生成するステップと、
ユーザ識別情報と一緒に前記ワンタイムパスワードを機関に送信させ、これにより、前記ユーザがユーザのアカウントにアクセスできるように前記ユーザを前記アカウントの1つにログインするステップと、
を含む方法。
【請求項2】
請求項1記載の方法において、
前記携帯用大容量記憶装置が接続されている間に、前記ワンタイムパスワード生成器と用いられる追加のシードを前記携帯用大容量記憶装置にロードさせるステップをさらに含み、各追加のシードは特定のアカウントまたは機関と用いられ、各シードは、前記装置の記憶ボリューム内のデータにアクセスするため、前記接続されたコンピュータのファイルシステムにより用いられる標準の読み取り書き込みコマンドを介してアクセスすることはできない前記大容量記憶装置の隠れパーティションに記憶される方法。
【請求項3】
請求項2記載の方法において、
エンティティがシードをロードするため、エンティティは、エンティティがシードをロードする許可を有して前記シードをロードし、前記隠れパーティションにアクセスすることを立証する必要がある方法。
【請求項4】
請求項1記載の方法において、
前記生成するステップは、アルゴリズムを用いて値を計算するステップを含み、前記生成するステップは、アクセスすべきアカウントまたは機関ごとに異なるアルゴリズムを用いるステップを含む方法。
【請求項5】
請求項1記載の方法において、
前記携帯用大容量記憶装置のスロットを用いて前記携帯用大容量記憶装置を結合させるステップをさらに含む方法。
【請求項6】
請求項1記載の方法において、
スロットを起動させるステップをさらに含む方法。
【請求項7】
請求項1記載の方法において、
前記ユーザおよび前記携帯用大容量記憶装置を認証させるステップをさらに含む方法。
【請求項8】
請求項5記載の方法において、
前記結合させるステップは、
アカウントを選択するステップと、
スロット識別子を受信するステップと、
前記装置内の装置識別子を取り出すステップと、
前記スロット識別子および前記装置識別子に基づいて固有識別子を生成するステップと、
を含む方法。
【請求項9】
請求項8記載の方法において、
前記固有識別子を用いて前記大容量記憶装置を検証サーバに結合するステップをさらに含む方法。
【請求項10】
請求項8記載の方法において、
前記スロット識別子は、前記携帯用大容量記憶装置に記憶されたクライアントから受信され、前記コンピュータのプロセッサにより実行される方法。
【請求項11】
請求項8記載の方法において、
前記スロット識別子は、前記携帯用大容量記憶装置に記憶されたクライアントから受信され、前記携帯用大容量記憶装置のプロセッサにより実行される方法。
【請求項12】
請求項6記載の方法において、
前記スロットを起動させるステップは、
ユーザ識別情報を前記ユーザにより入力させるステップと、
前記ユーザにアカウントを選択させるステップと、
前記アカウントおよびユーザを前記スロットと相互に関連付けるステップと、
を含む方法。
【請求項13】
請求項1記載の方法において、
前記シードをロードする前に第1のエンティティから前記シードを受信するステップをさらに含む方法。
【請求項14】
請求項1記載の方法において、
前記ワンタイムパスワードを生成するステップは、前記携帯用大容量記憶装置内で行われる方法。
【請求項15】
請求項1記載の方法において、
前記ワンタイムパスワードを生成するステップは、前記携帯用大容量記憶装置に記憶された前記シードを用いて前記コンピュータ内で行われる方法。
【請求項16】
資格情報を自動的にロードする方法であって、
ワンタイムパスワード値を生成するワンタイムパスワード生成シーケンスを携帯用大容量記憶装置に実行させるステップと、
前記携帯用大容量記憶装置から前記ワンタイムパスワード値を獲得するステップと、
前記大容量記憶装置の安全なメモリ領域に記憶された資格情報のリストから1つ以上のユーザ資格情報を取り出すステップと、
機関のウェブサイトにアクセスするステップと、
前記1つ以上のユーザ資格情報および前記ワンタイムパスワード値を前記機関の前記ウェブサイトに入力するステップと、
を含む方法。
【請求項17】
請求項16記載の方法において、
前記入力するステップは、前記携帯用大容量記憶装置により起動され、前記装置のユーザが関与することなく自動的に実行される方法。
【請求項18】
請求項16記載の方法において、
前記入力するステップは、前記装置の前記ユーザの行動により起動される方法。
【請求項19】
請求項16記載の方法において、
前記携帯用大容量記憶装置にシードをロードするステップをさらに含む方法。
【請求項20】
請求項16記載の方法において、
前記装置に前記携帯用大容量記憶装置の識別子をロードするステップをさらに含む方法。
【請求項21】
請求項19および20記載の方法において、
1つ以上の機関はアクセスされ、機関ごとに固有のシードはロードされ、ロードすべきシードに対して、前記シードをロードしたいエンティティは、前記エンティティが前記シードをロードする許可を有することを立証する必要がある方法。
【請求項22】
請求項16記載の方法において、
1つ以上の機関はアクセスされ、前記ワンタイムパスワード生成シーケンスを実行するときに固有パスワードの生成処理は機関ごとに用いられる方法。
【請求項23】
請求項16記載の方法において、
前記入力するステップは、ドラッグおよびドロップするステップを含む方法。
【請求項24】
請求項16記載の方法において、
前記入力するステップは、前記携帯用大容量記憶装置に記憶された領域を前記ウェブサイトの適切なウェブページ領域と関連付けるステップを含む方法。
【請求項25】
請求項16記載の方法において、
前記入力するステップは、ユーザが前記リストから機関を選択することにより始動される方法。
【請求項26】
請求項16記載の方法において、
前記入力するステップは、ウェブブラウザを用いて特定のウェブページが開かれたことを検出することにより始動される方法。
【請求項27】
請求項16記載の方法において、
前記入力するステップは、第三者機関により実行される方法。
【請求項28】
請求項16記載の方法において、
前記入力するステップは、前記携帯用装置に記憶されホスト装置により実行されるアプリケーションにより実行される方法。
【請求項29】
請求項16記載の方法において、
前記資格情報を前記ウェブサイトに入力するステップは、前記資格情報を前記ウェブサイトの前記ウェブページ領域に入力するステップを含む方法。
【請求項30】
サインオンの方法であって、
携帯用大容量記憶装置をホスト装置のソケットに挿入するステップであって、前記ソケットは電子接点を有し、前記装置のユーザにより前記携帯用大容量記憶装置を頻繁に挿入し取り外すために配置されているステップと、
前記大容量記憶装置に備わっているアプリケーションを起動するステップと、
ユーザ識別情報およびユーザ秘密情報を入力するステップと、
サインオンすべき機関を選択するステップと、
当局に接続するステップと、
前記当局からシードを前記ホスト装置内で受信するステップと、
前記当局から装置識別子を前記ホスト装置内で受信するステップと、
前記シードを前記大容量記憶装置に記憶するステップと、
前記装置識別子を前記大容量記憶装置に記憶するステップと、
機関識別子を前記大容量記憶装置に記憶するステップと、
前記シードと用いるカウントを記憶するステップと、
を含むサインオンの方法。
【請求項31】
請求項30記載の方法において、
前記アプリケーションは、前記ホスト装置により実行される方法。
【請求項32】
請求項30記載の方法において、
サインオンすべき機関のリストを前記ユーザに表示するステップをさらに含む方法。
【請求項33】
請求項30記載の方法において、
前記機関を選択するステップは、機関識別子を入力するステップを含む方法。
【請求項34】
請求項30記載の方法において、
前記機関を選択するステップは、前記機関をリストから選択するステップを含む方法。
【請求項35】
請求項33記載の方法において、
前記機関識別子は、ユニバーサルリソースロケータを含む方法。
【請求項36】
請求項33記載の方法において、
前記機関識別子は、前記機関の名前または別名を含む方法。
【請求項37】
請求項30記載の方法において、
前記シードは、暗号化形式で記憶される方法。
【請求項38】
請求項30記載の方法において、
前記装置識別子は、前記アプリケーションにより前記大容量記憶装置に記憶される方法。
【請求項39】
請求項30記載の方法において、
前記ユーザ識別情報は、生体測定情報を含む方法。
【請求項40】
請求項30記載の方法において、
前記ユーザ識別情報およびユーザ秘密情報を入力するステップは、前記アプリケーションの形態で行われる方法。
【請求項41】
請求項30記載の方法において、
セキュリティ資格情報および識別情報の位置を知るステップをさらに含む方法。
【請求項42】
請求項30記載の方法において、
ユーザ識別情報およびユーザ秘密情報を前記機関識別子と関連付けるステップをさらに含む方法。
【請求項43】
請求項36記載の方法において、
前記シードを前記機関識別子と関連付けるステップをさらに含む方法。
【請求項44】
請求項30記載の方法において、
前記携帯用大容量記憶装置は、ユニバーサル・シリアル・バス・インターフェイスを有する方法。
【請求項45】
請求項30記載の方法において、
前記携帯用大容量記憶装置は、メモリカードのフォームファクタを有する方法。
【請求項46】
請求項30記載の方法において、
前記シードは、暗号化形式で前記大容量記憶装置に記憶される方法。
【請求項47】
請求項30記載の方法において、
前記シードは、前記大容量記憶装置内で大容量記憶のために用いられるメモリの安全な部分に記憶される方法。
【請求項48】
請求項47記載の方法において、
前記大容量記憶装置が特定の動作状態にある間だけ前記シードを記憶することができる方法。
【請求項49】
機関にログインする方法であって、
ホスト装置のソケットへの携帯用大容量記憶装置の挿入を検知するステップであって、前記ソケットは、前記装置のユーザにより前記携帯用大容量記憶装置を頻繁に挿入し取り外すように設計されているステップと、
前記携帯用大容量記憶装置に備わっているアプリケーションを起動するステップと、
前記大容量記憶装置に記憶された登録済み機関のリストを取り出すステップと、
前記リストから機関を選択するステップと、
前記大容量記憶装置のメモリに記憶されたユーザID、ユーザ秘密および機関識別子を取り出すステップと、
前記装置内でワンタイムパスワード値を生成するステップと、
取り出された識別子を有する前記機関のユーザインターフェイスを開くステップと、
前記ホスト装置に前記ユーザID、資格情報および前記ワンタイムパスワード値を前記機関の前記ユーザインターフェイスへ入力させるステップと、
前記機関を起動して装置識別子および前記ワンタイムパスワード値を認証エンティティに受け渡すステップと、
その後、前記認証エンティティが前記装置の認証状況を前記機関に受け渡すステップと、
を含む方法。
【請求項50】
請求項49記載の方法において、
前記ユーザIDおよびユーザ秘密を入力するステップをさらに含む方法。
【請求項51】
請求項49記載の方法において、
前記入力させるステップは1回実行され、その後、前記ユーザID、前記資格情報および前記ワンタイムパスワード値は前記大容量記憶装置のメモリ内に記憶され、ここから取り出される方法。
【請求項52】
請求項49記載の方法において、
前記リストは、前記起動されたアプリケーションにより取り出される方法。
【請求項53】
請求項49記載の方法において、
1回の行動は、キーストロークを含む方法。
【請求項54】
請求項49記載の方法において、
前記機関を選択するステップは、ユーザによるカーソル制御装置の1回の活動を含む方法。
【請求項55】
請求項49記載の方法において、
前記ユーザインターフェイスは、1つ以上のワールドワイドウェブページを含む方法。
【請求項56】
携帯用大容量記憶装置およびコンピュータを用いて機関にログインする方法であって、
前記コンピュータのレセプタクルに前記装置を挿入するステップと、
前記携帯用大容量記憶装置の大容量記憶メモリに備わっている命令を実行するステップと、を含み、
前記命令は、前記コンピュータにワンタイムパスワード値を前記装置から要求させ、
前記大容量記憶装置は、前記コンピュータからの前記要求に応答してワンタイムパスワード値を生成し、
前記命令は、さらに、前記コンピュータにサーバへのユーザID、ユーザ秘密および前記ワンタイムパスワード値を前記機関に供給させ、これにより前記ユーザを前記機関にログインさせる方法。
【請求項57】
ユーザファイルを大容量記憶し、ユーザ資格情報を管理することができる携帯用装置であって、前記携帯用装置は、前記装置をホスト装置に取り外し可能に結合する物理インターフェイスを有し、前記携帯用装置は、
ユーザファイルおよびプログラムを記憶するのに用いられる大容量記憶固体メモリと、
前記大容量記憶固体メモリの読み取りおよび書き込み動作を制御するマイクロコントローラと、
ワンタイムパスワード生成器と、
前記大容量記憶固体メモリに備わっているアプリケーションであって、前記装置の前記パスワード生成器からパスワードを取り出すために前記ホストのプロセッサにより実行可能であるアプリケーションと、
シードおよびカウンタの第1の対と、を含み、
前記第1の対は、前記装置を第1の機関に対して認証する携帯用装置。
【請求項58】
請求項57記載の携帯用装置において、
前記アプリケーションを実行する前記プロセッサは、前記ホスト装置に配置されている携帯用装置。
【請求項59】
請求項57記載の携帯用装置において、
前記アプリケーションを実行する前記プロセッサがホスト装置に配置されている携帯用装置。
【請求項60】
データサイトへのアクセスを制御するシステムであって、
ホストコンピュータ装置に取り外し可能に結合できる大容量記憶装置と、
前記大容量記憶装置が前記ホストコンピュータ装置に結合されている間、シードおよび装置識別子を前記ホストコンピュータ装置および大容量記憶装置にロードする第1の電子エンティティと、
前記大容量記憶装置が前記大容量記憶装置のユーザのユーザ識別子、装置識別子およびワンタイムパスワード値を受け渡す第2の電子エンティティと、
を含むシステム。
【請求項61】
請求項60記載のシステムにおいて
、第3の電子エンティティをさらに含み、前記第2の電子エンティティは、前記ユーザおよび大容量記憶装置のベリファイのために前記ユーザ識別子およびワンタイムパスワード値を前記第3の電子エンティティに受け渡すシステム。
【請求項62】
請求項61記載のシステムにおいて、
前記第3の電子エンティティは、ベリファイが成功したか、または失敗したかを表す標識を供給するシステム。
【請求項63】
請求項60記載のシステムにおいて、
前記第1の電子エンティティは、前記大容量記憶装置と安全なチャネルを確立し、前記安全なチャネルを介して前記シードおよび識別子をロードするように動作するシステム。
【請求項64】
請求項60記載のシステムにおいて、
追加の大容量記憶装置をさらに含み、1つの大容量記憶装置から別の大容量記憶装置へ認証権限を転送するように動作するシステム。
【請求項65】
請求項64記載のシステムにおいて、
前記認証権限は、前記装置識別子および前記シードを含むシステム。
【請求項66】
請求項65記載のシステムにおいて、
前記認証権限を転送することは、前記シードおよび前記装置識別子を転送することを含むシステム。
【請求項67】
請求項66記載のシステムにおいて、
前記第1の電子エンティティは、前記認証権限を前記追加の大容量記憶装置へ転送するシステム。
【請求項68】
請求項67記載のシステムにおいて、
前記システムは前記追加の大容量記憶装置と安全なチャネルを確立し、前記転送は前記安全なチャネルを介して達成されるシステム。
【請求項69】
請求項64記載のシステムにおいて、
前記権限が転送された前記装置から前記認証権限を除去するようにさらに動作するシステム。
【請求項70】
請求項69記載のシステムにおいて、
前記認証権限は、前記権限が転送された前記大容量記憶装置の前記ユーザのベリファイが成功したときに除去されるシステム。
【請求項71】
請求項69記載のシステムにおいて、
活動していない装置のリストから除去された、前記認証権限を有する前記装置を除去するようにさらに動作するシステム。
【請求項72】
請求項60記載のシステムにおいて、
前記装置の前記ユーザによる前記大容量記憶装置の紛失時、前記装置の前記シードおよび前記識別子を前記電子エンティティの1つ以上で無効にするように動作するシステム。
【請求項73】
請求項72記載のシステムにおいて、
前記大容量記憶装置の紛失時、前記紛失した装置の前記識別子およびシードは、前記ユーザの新たな装置へ転送されるシステム。
【請求項74】
請求項72記載のシステムにおいて、
前記大容量記憶装置の紛失時、新たな識別子およびシードは、前記ユーザの新たな装置へ転送されるシステム。
【請求項1】
携帯用大容量記憶装置を用いてユーザのアカウントにアクセスする方法であって、
コンピュータとの前記携帯用大容量記憶装置の接続を検出するステップと、その後、
前記コンピュータと第1エンティティとの間に接続を確立させるステップと、その後、
前記携帯用大容量記憶装置が前記コンピュータに接続されている間に、ワンタイムパスワード生成器と用いられるシードを前記携帯用大容量記憶装置へロードさせるステップと、
前記ロードされたシードを用いてワンタイムパスワードを生成するステップと、
ユーザ識別情報と一緒に前記ワンタイムパスワードを機関に送信させ、これにより、前記ユーザがユーザのアカウントにアクセスできるように前記ユーザを前記アカウントの1つにログインするステップと、
を含む方法。
【請求項2】
請求項1記載の方法において、
前記携帯用大容量記憶装置が接続されている間に、前記ワンタイムパスワード生成器と用いられる追加のシードを前記携帯用大容量記憶装置にロードさせるステップをさらに含み、各追加のシードは特定のアカウントまたは機関と用いられ、各シードは、前記装置の記憶ボリューム内のデータにアクセスするため、前記接続されたコンピュータのファイルシステムにより用いられる標準の読み取り書き込みコマンドを介してアクセスすることはできない前記大容量記憶装置の隠れパーティションに記憶される方法。
【請求項3】
請求項2記載の方法において、
エンティティがシードをロードするため、エンティティは、エンティティがシードをロードする許可を有して前記シードをロードし、前記隠れパーティションにアクセスすることを立証する必要がある方法。
【請求項4】
請求項1記載の方法において、
前記生成するステップは、アルゴリズムを用いて値を計算するステップを含み、前記生成するステップは、アクセスすべきアカウントまたは機関ごとに異なるアルゴリズムを用いるステップを含む方法。
【請求項5】
請求項1記載の方法において、
前記携帯用大容量記憶装置のスロットを用いて前記携帯用大容量記憶装置を結合させるステップをさらに含む方法。
【請求項6】
請求項1記載の方法において、
スロットを起動させるステップをさらに含む方法。
【請求項7】
請求項1記載の方法において、
前記ユーザおよび前記携帯用大容量記憶装置を認証させるステップをさらに含む方法。
【請求項8】
請求項5記載の方法において、
前記結合させるステップは、
アカウントを選択するステップと、
スロット識別子を受信するステップと、
前記装置内の装置識別子を取り出すステップと、
前記スロット識別子および前記装置識別子に基づいて固有識別子を生成するステップと、
を含む方法。
【請求項9】
請求項8記載の方法において、
前記固有識別子を用いて前記大容量記憶装置を検証サーバに結合するステップをさらに含む方法。
【請求項10】
請求項8記載の方法において、
前記スロット識別子は、前記携帯用大容量記憶装置に記憶されたクライアントから受信され、前記コンピュータのプロセッサにより実行される方法。
【請求項11】
請求項8記載の方法において、
前記スロット識別子は、前記携帯用大容量記憶装置に記憶されたクライアントから受信され、前記携帯用大容量記憶装置のプロセッサにより実行される方法。
【請求項12】
請求項6記載の方法において、
前記スロットを起動させるステップは、
ユーザ識別情報を前記ユーザにより入力させるステップと、
前記ユーザにアカウントを選択させるステップと、
前記アカウントおよびユーザを前記スロットと相互に関連付けるステップと、
を含む方法。
【請求項13】
請求項1記載の方法において、
前記シードをロードする前に第1のエンティティから前記シードを受信するステップをさらに含む方法。
【請求項14】
請求項1記載の方法において、
前記ワンタイムパスワードを生成するステップは、前記携帯用大容量記憶装置内で行われる方法。
【請求項15】
請求項1記載の方法において、
前記ワンタイムパスワードを生成するステップは、前記携帯用大容量記憶装置に記憶された前記シードを用いて前記コンピュータ内で行われる方法。
【請求項16】
資格情報を自動的にロードする方法であって、
ワンタイムパスワード値を生成するワンタイムパスワード生成シーケンスを携帯用大容量記憶装置に実行させるステップと、
前記携帯用大容量記憶装置から前記ワンタイムパスワード値を獲得するステップと、
前記大容量記憶装置の安全なメモリ領域に記憶された資格情報のリストから1つ以上のユーザ資格情報を取り出すステップと、
機関のウェブサイトにアクセスするステップと、
前記1つ以上のユーザ資格情報および前記ワンタイムパスワード値を前記機関の前記ウェブサイトに入力するステップと、
を含む方法。
【請求項17】
請求項16記載の方法において、
前記入力するステップは、前記携帯用大容量記憶装置により起動され、前記装置のユーザが関与することなく自動的に実行される方法。
【請求項18】
請求項16記載の方法において、
前記入力するステップは、前記装置の前記ユーザの行動により起動される方法。
【請求項19】
請求項16記載の方法において、
前記携帯用大容量記憶装置にシードをロードするステップをさらに含む方法。
【請求項20】
請求項16記載の方法において、
前記装置に前記携帯用大容量記憶装置の識別子をロードするステップをさらに含む方法。
【請求項21】
請求項19および20記載の方法において、
1つ以上の機関はアクセスされ、機関ごとに固有のシードはロードされ、ロードすべきシードに対して、前記シードをロードしたいエンティティは、前記エンティティが前記シードをロードする許可を有することを立証する必要がある方法。
【請求項22】
請求項16記載の方法において、
1つ以上の機関はアクセスされ、前記ワンタイムパスワード生成シーケンスを実行するときに固有パスワードの生成処理は機関ごとに用いられる方法。
【請求項23】
請求項16記載の方法において、
前記入力するステップは、ドラッグおよびドロップするステップを含む方法。
【請求項24】
請求項16記載の方法において、
前記入力するステップは、前記携帯用大容量記憶装置に記憶された領域を前記ウェブサイトの適切なウェブページ領域と関連付けるステップを含む方法。
【請求項25】
請求項16記載の方法において、
前記入力するステップは、ユーザが前記リストから機関を選択することにより始動される方法。
【請求項26】
請求項16記載の方法において、
前記入力するステップは、ウェブブラウザを用いて特定のウェブページが開かれたことを検出することにより始動される方法。
【請求項27】
請求項16記載の方法において、
前記入力するステップは、第三者機関により実行される方法。
【請求項28】
請求項16記載の方法において、
前記入力するステップは、前記携帯用装置に記憶されホスト装置により実行されるアプリケーションにより実行される方法。
【請求項29】
請求項16記載の方法において、
前記資格情報を前記ウェブサイトに入力するステップは、前記資格情報を前記ウェブサイトの前記ウェブページ領域に入力するステップを含む方法。
【請求項30】
サインオンの方法であって、
携帯用大容量記憶装置をホスト装置のソケットに挿入するステップであって、前記ソケットは電子接点を有し、前記装置のユーザにより前記携帯用大容量記憶装置を頻繁に挿入し取り外すために配置されているステップと、
前記大容量記憶装置に備わっているアプリケーションを起動するステップと、
ユーザ識別情報およびユーザ秘密情報を入力するステップと、
サインオンすべき機関を選択するステップと、
当局に接続するステップと、
前記当局からシードを前記ホスト装置内で受信するステップと、
前記当局から装置識別子を前記ホスト装置内で受信するステップと、
前記シードを前記大容量記憶装置に記憶するステップと、
前記装置識別子を前記大容量記憶装置に記憶するステップと、
機関識別子を前記大容量記憶装置に記憶するステップと、
前記シードと用いるカウントを記憶するステップと、
を含むサインオンの方法。
【請求項31】
請求項30記載の方法において、
前記アプリケーションは、前記ホスト装置により実行される方法。
【請求項32】
請求項30記載の方法において、
サインオンすべき機関のリストを前記ユーザに表示するステップをさらに含む方法。
【請求項33】
請求項30記載の方法において、
前記機関を選択するステップは、機関識別子を入力するステップを含む方法。
【請求項34】
請求項30記載の方法において、
前記機関を選択するステップは、前記機関をリストから選択するステップを含む方法。
【請求項35】
請求項33記載の方法において、
前記機関識別子は、ユニバーサルリソースロケータを含む方法。
【請求項36】
請求項33記載の方法において、
前記機関識別子は、前記機関の名前または別名を含む方法。
【請求項37】
請求項30記載の方法において、
前記シードは、暗号化形式で記憶される方法。
【請求項38】
請求項30記載の方法において、
前記装置識別子は、前記アプリケーションにより前記大容量記憶装置に記憶される方法。
【請求項39】
請求項30記載の方法において、
前記ユーザ識別情報は、生体測定情報を含む方法。
【請求項40】
請求項30記載の方法において、
前記ユーザ識別情報およびユーザ秘密情報を入力するステップは、前記アプリケーションの形態で行われる方法。
【請求項41】
請求項30記載の方法において、
セキュリティ資格情報および識別情報の位置を知るステップをさらに含む方法。
【請求項42】
請求項30記載の方法において、
ユーザ識別情報およびユーザ秘密情報を前記機関識別子と関連付けるステップをさらに含む方法。
【請求項43】
請求項36記載の方法において、
前記シードを前記機関識別子と関連付けるステップをさらに含む方法。
【請求項44】
請求項30記載の方法において、
前記携帯用大容量記憶装置は、ユニバーサル・シリアル・バス・インターフェイスを有する方法。
【請求項45】
請求項30記載の方法において、
前記携帯用大容量記憶装置は、メモリカードのフォームファクタを有する方法。
【請求項46】
請求項30記載の方法において、
前記シードは、暗号化形式で前記大容量記憶装置に記憶される方法。
【請求項47】
請求項30記載の方法において、
前記シードは、前記大容量記憶装置内で大容量記憶のために用いられるメモリの安全な部分に記憶される方法。
【請求項48】
請求項47記載の方法において、
前記大容量記憶装置が特定の動作状態にある間だけ前記シードを記憶することができる方法。
【請求項49】
機関にログインする方法であって、
ホスト装置のソケットへの携帯用大容量記憶装置の挿入を検知するステップであって、前記ソケットは、前記装置のユーザにより前記携帯用大容量記憶装置を頻繁に挿入し取り外すように設計されているステップと、
前記携帯用大容量記憶装置に備わっているアプリケーションを起動するステップと、
前記大容量記憶装置に記憶された登録済み機関のリストを取り出すステップと、
前記リストから機関を選択するステップと、
前記大容量記憶装置のメモリに記憶されたユーザID、ユーザ秘密および機関識別子を取り出すステップと、
前記装置内でワンタイムパスワード値を生成するステップと、
取り出された識別子を有する前記機関のユーザインターフェイスを開くステップと、
前記ホスト装置に前記ユーザID、資格情報および前記ワンタイムパスワード値を前記機関の前記ユーザインターフェイスへ入力させるステップと、
前記機関を起動して装置識別子および前記ワンタイムパスワード値を認証エンティティに受け渡すステップと、
その後、前記認証エンティティが前記装置の認証状況を前記機関に受け渡すステップと、
を含む方法。
【請求項50】
請求項49記載の方法において、
前記ユーザIDおよびユーザ秘密を入力するステップをさらに含む方法。
【請求項51】
請求項49記載の方法において、
前記入力させるステップは1回実行され、その後、前記ユーザID、前記資格情報および前記ワンタイムパスワード値は前記大容量記憶装置のメモリ内に記憶され、ここから取り出される方法。
【請求項52】
請求項49記載の方法において、
前記リストは、前記起動されたアプリケーションにより取り出される方法。
【請求項53】
請求項49記載の方法において、
1回の行動は、キーストロークを含む方法。
【請求項54】
請求項49記載の方法において、
前記機関を選択するステップは、ユーザによるカーソル制御装置の1回の活動を含む方法。
【請求項55】
請求項49記載の方法において、
前記ユーザインターフェイスは、1つ以上のワールドワイドウェブページを含む方法。
【請求項56】
携帯用大容量記憶装置およびコンピュータを用いて機関にログインする方法であって、
前記コンピュータのレセプタクルに前記装置を挿入するステップと、
前記携帯用大容量記憶装置の大容量記憶メモリに備わっている命令を実行するステップと、を含み、
前記命令は、前記コンピュータにワンタイムパスワード値を前記装置から要求させ、
前記大容量記憶装置は、前記コンピュータからの前記要求に応答してワンタイムパスワード値を生成し、
前記命令は、さらに、前記コンピュータにサーバへのユーザID、ユーザ秘密および前記ワンタイムパスワード値を前記機関に供給させ、これにより前記ユーザを前記機関にログインさせる方法。
【請求項57】
ユーザファイルを大容量記憶し、ユーザ資格情報を管理することができる携帯用装置であって、前記携帯用装置は、前記装置をホスト装置に取り外し可能に結合する物理インターフェイスを有し、前記携帯用装置は、
ユーザファイルおよびプログラムを記憶するのに用いられる大容量記憶固体メモリと、
前記大容量記憶固体メモリの読み取りおよび書き込み動作を制御するマイクロコントローラと、
ワンタイムパスワード生成器と、
前記大容量記憶固体メモリに備わっているアプリケーションであって、前記装置の前記パスワード生成器からパスワードを取り出すために前記ホストのプロセッサにより実行可能であるアプリケーションと、
シードおよびカウンタの第1の対と、を含み、
前記第1の対は、前記装置を第1の機関に対して認証する携帯用装置。
【請求項58】
請求項57記載の携帯用装置において、
前記アプリケーションを実行する前記プロセッサは、前記ホスト装置に配置されている携帯用装置。
【請求項59】
請求項57記載の携帯用装置において、
前記アプリケーションを実行する前記プロセッサがホスト装置に配置されている携帯用装置。
【請求項60】
データサイトへのアクセスを制御するシステムであって、
ホストコンピュータ装置に取り外し可能に結合できる大容量記憶装置と、
前記大容量記憶装置が前記ホストコンピュータ装置に結合されている間、シードおよび装置識別子を前記ホストコンピュータ装置および大容量記憶装置にロードする第1の電子エンティティと、
前記大容量記憶装置が前記大容量記憶装置のユーザのユーザ識別子、装置識別子およびワンタイムパスワード値を受け渡す第2の電子エンティティと、
を含むシステム。
【請求項61】
請求項60記載のシステムにおいて
、第3の電子エンティティをさらに含み、前記第2の電子エンティティは、前記ユーザおよび大容量記憶装置のベリファイのために前記ユーザ識別子およびワンタイムパスワード値を前記第3の電子エンティティに受け渡すシステム。
【請求項62】
請求項61記載のシステムにおいて、
前記第3の電子エンティティは、ベリファイが成功したか、または失敗したかを表す標識を供給するシステム。
【請求項63】
請求項60記載のシステムにおいて、
前記第1の電子エンティティは、前記大容量記憶装置と安全なチャネルを確立し、前記安全なチャネルを介して前記シードおよび識別子をロードするように動作するシステム。
【請求項64】
請求項60記載のシステムにおいて、
追加の大容量記憶装置をさらに含み、1つの大容量記憶装置から別の大容量記憶装置へ認証権限を転送するように動作するシステム。
【請求項65】
請求項64記載のシステムにおいて、
前記認証権限は、前記装置識別子および前記シードを含むシステム。
【請求項66】
請求項65記載のシステムにおいて、
前記認証権限を転送することは、前記シードおよび前記装置識別子を転送することを含むシステム。
【請求項67】
請求項66記載のシステムにおいて、
前記第1の電子エンティティは、前記認証権限を前記追加の大容量記憶装置へ転送するシステム。
【請求項68】
請求項67記載のシステムにおいて、
前記システムは前記追加の大容量記憶装置と安全なチャネルを確立し、前記転送は前記安全なチャネルを介して達成されるシステム。
【請求項69】
請求項64記載のシステムにおいて、
前記権限が転送された前記装置から前記認証権限を除去するようにさらに動作するシステム。
【請求項70】
請求項69記載のシステムにおいて、
前記認証権限は、前記権限が転送された前記大容量記憶装置の前記ユーザのベリファイが成功したときに除去されるシステム。
【請求項71】
請求項69記載のシステムにおいて、
活動していない装置のリストから除去された、前記認証権限を有する前記装置を除去するようにさらに動作するシステム。
【請求項72】
請求項60記載のシステムにおいて、
前記装置の前記ユーザによる前記大容量記憶装置の紛失時、前記装置の前記シードおよび前記識別子を前記電子エンティティの1つ以上で無効にするように動作するシステム。
【請求項73】
請求項72記載のシステムにおいて、
前記大容量記憶装置の紛失時、前記紛失した装置の前記識別子およびシードは、前記ユーザの新たな装置へ転送されるシステム。
【請求項74】
請求項72記載のシステムにおいて、
前記大容量記憶装置の紛失時、新たな識別子およびシードは、前記ユーザの新たな装置へ転送されるシステム。
【図1】
【図2】
【図3A】
【図3B】
【図3C】
【図4】
【図5A−1】
【図5A−2】
【図5B−1】
【図5B−2】
【図5C】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】
【図10C】
【図11A】
【図11B】
【図11C】
【図11D】
【図11E】
【図11F】
【図11G】
【図11H】
【図11I】
【図12A】
【図12B】
【図2】
【図3A】
【図3B】
【図3C】
【図4】
【図5A−1】
【図5A−2】
【図5B−1】
【図5B−2】
【図5C】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】
【図10C】
【図11A】
【図11B】
【図11C】
【図11D】
【図11E】
【図11F】
【図11G】
【図11H】
【図11I】
【図12A】
【図12B】
【公表番号】特表2009−500756(P2009−500756A)
【公表日】平成21年1月8日(2009.1.8)
【国際特許分類】
【出願番号】特願2008−520371(P2008−520371)
【出願日】平成18年7月5日(2006.7.5)
【国際出願番号】PCT/US2006/026241
【国際公開番号】WO2007/008540
【国際公開日】平成19年1月18日(2007.1.18)
【公序良俗違反の表示】
特許法第64条第2項第4号の規定により明細書の一部または全部を不掲載とする。
特許法第64条第2項第4号の規定により図面の一部または全部を不掲載とする。
(特許庁注:以下のものは登録商標)
1.コンパクトフラッシュ
2.Bluetooth
【出願人】(506197901)サンディスク コーポレイション (175)
【Fターム(参考)】
【公表日】平成21年1月8日(2009.1.8)
【国際特許分類】
【出願日】平成18年7月5日(2006.7.5)
【国際出願番号】PCT/US2006/026241
【国際公開番号】WO2007/008540
【国際公開日】平成19年1月18日(2007.1.18)
【公序良俗違反の表示】
特許法第64条第2項第4号の規定により明細書の一部または全部を不掲載とする。
特許法第64条第2項第4号の規定により図面の一部または全部を不掲載とする。
(特許庁注:以下のものは登録商標)
1.コンパクトフラッシュ
2.Bluetooth
【出願人】(506197901)サンディスク コーポレイション (175)
【Fターム(参考)】
[ Back to top ]