遠隔メッセージ作成を可能にする方法及びシステム
本発明は、遠隔端末でメッセージの作成を可能にする方法及びサーバに係る。該方法は、少なくとも2つの符号に対して互いに異なる関連する特定の視覚的特徴を有し且つ入力手段を表す複数の符号を有する画像を生成する段階、遠隔端末上のディスプレイに画像を送信する段階、遠隔端末から一連の座標を受信する段階、受信された座標で画像に有される符号によって表された一連の入力手段としてメッセージを再構成する段階、受信された座標で画像に有される符号に関連付けられる一連の視覚的特徴として認証コードを構成する段階、及び、認証コードが所定の一連の視覚的特徴とに適合する場合、メッセージを真正であるとして受理する段階を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、遠隔端末でメッセージを作成することを可能にする方法に係る。該方法は、入力手段を表す複数の符号を有する画像を生成する段階と、遠隔端末上のディスプレイに画像を送信する段階と、遠隔段階から一連の座標を受信する段階と、受信された座標で画像に有される符号によって表された一連の入力手段としてメッセージを再構成する段階と、を有する。
【0002】
本発明は、サーバ、及びコンピュータプログラムプロダクトに更に係る。
【背景技術】
【0003】
米国特許第6,209,102B号明細書(特許文献1)は、遠隔端末のディスプレイ上の視覚的にレンダリングされた入力手段を介してメッセージの作成を可能にする方法を開示する。サーバは、画像を生成し、キーボード上のキー等の複数の入力手段を表すようにする。各入力手段は、ユーザによって作成されるメッセージに使用され得る構成要素を表す。
【0004】
続いて、ユーザは遠隔端末で、ディスプレイ上に画像としてレンダリングされた入力手段を選択することによって、戻りたいメッセージを作成する。入力手段を選択することは、端末のディスプレイ上で、特定の一組の座標を選択することによってなされる。
【0005】
座標の一組は、続いて、サーバに送信され戻される。遠隔端末にひそかに設置された傍受ソフトウェア、又は端末からサーバへの戻りチャンネルに侵入することでは、パスワード又はこのような手法で入った機密情報を知ることは出来ない。最大限でも、かかるソフトウェアは、この特定のセッションに入った特定の組の座標を学習することが出来るであろう。画像手段の位置を毎回ランダム化することで、このように知られた情報は、次のセッションでは役立たない。
【0006】
サーバが一組の座標を受信するとき、それを画像上に表された特定の入力手段に翻訳する。ユーザによって作成されたメッセージは、特定の入力手段によって表された構成要素として構成され、座標の組が翻訳される。
【0007】
上述されたシステムに関する問題は、サーバが、応答が意図されたユーザから発せられているかを確定できないことである。敵対者は、例えばランダムに、複数のランダムな位置を選択し、サーバーに送り返すかもしれない。サーバが、かかる応答を意図された正当なユーザによる無効な応答と区別することは不可能である。言い換えると、端末からサーバへのメッセージ認証がない。
【0008】
更に、「交換(swap)」攻撃が起こり得る。敵対者は、サーバに送信された座標の組を妨害することによって有効な応答を生成し、座標のいくつかのオーダを単純に交換することができる。サーバは、これを検出することは出来ない。このことは、メッセージが、銀行口座番号、あるいは、特定の銀行口座からの送金された金額又は引き出された金額等の任意の入力を表す際に、特に問題となる。
【特許文献1】米国特許第6,209,102B号明細書
【発明の開示】
【発明が解決しようとする課題】
【0009】
本発明は、「交換」攻撃から保護する前述された方法を与えることを目的とする。
【課題を解決するための手段】
【0010】
かかる目的は、本発明に従った方法で達成される。該方法は、少なくとも2つの符号に対して互いに異なる関連する特定の視覚的特徴を有し且つ入力手段を表す複数の符号を有する画像を生成する段階、遠隔端末上のディスプレイに画像を送信する段階、遠隔端末から一連の座標を受信する段階、受信された座標で画像に有される符号によって表された一連の入力手段としてメッセージを再構成する段階、受信された座標で画像に有される符号に関連付けられる一連の視覚的特徴として認証コードを構成する段階、及び、認証コードが所定の一連の視覚的特徴とに適合する場合、メッセージを真正であるとして受理する段階を有する。
【0011】
望ましくは、視覚的特徴は、入力手段の色又は視覚的形状を有する。現時点で端末に送信された画像は、例えば、2組の英数字、第1の色である第1の組の文字、及び第2の色である第2の組の文字を有する。続いて。ユーザは、まず第1の組から文字を選び、続いて第2の組から文字を選ぶことによって、自分のメッセージを作ることができる。その後敵対者が座標のオーダを入れ替えたとすると、文字に関連された色が誤ったオーダであるためサーバはこの改竄を検出することができる。
【0012】
望ましくは、所定のシーケンスは、遠隔端末の特定のユーザに関連付けられる。続いて、視覚的特徴の所定のシーケンスは、メッセージが特定のユーザによって実際に作られたことの証明としての役割をなす。あるいは、望ましくはランダムに選択された異なる所定のシーケンスは、全ての画像に使用され得、その場合は、シーケンスは画像に表示されるべきである。
【0013】
認証コードが所定のシーケンスに合致する場合、任意で、警報が発せられる。このようにして、敵対者からの拘束下で操作しているユーザは、ひそかに警報を発することが可能である。メッセージは依然として真正のものとして受理されるべきであり、そのため敵対者は警報が発せられていることに気づかない。ユーザは、2つの所定のシーケンスを割り当てられ得、一方は「平常」操作用、及び他方は拘束下での操作用である。
【0014】
望ましくはXOR操作は、ユーザに関連付けられたキー・シーケンスを使用して、画像に適用され、操作の結果は、遠隔端末上のディスプレイに送信される。これは、視覚的暗号化の使用を可能にし、画像をサーバから信頼できないネットワークをわたって、サーバから端末に安全に画像を送信するようにされる。XOR操作の結果は、信頼できない端末上に現状のままで表示され得る。ユーザは、信頼できる復号化装置を端末上に付加し、従って視覚的に画像を再構成する。視覚的暗号化、及び、その安全なメッセージの作成を可能にする適用は、欧州特許第02075527.8号明細書(PHNL020121)及び欧州特許第02078660.4号明細書(PHNL020804)で説明される。かかる設定では、全ての画像で、新しくランダムに選択された所定のシーケンスを使用することが望ましい。続いて、かかるシーケンスは、送信された画像になんらかの方法で(例えば、入力手段の色に対応する一連の色を表示することによって)表示されなければならない。
【0015】
望ましくは、座標の複数のシーケンスは受信され、複数の夫々のメッセージ及び認証コードは再構成される。全て夫々のメッセージが同一であり、且つ全ての認証コードが視覚的特徴の夫々所定のシーケンスに合致する場合、メッセージは真正であるとして受容される。これは、敵対者が未だ有効なメッセージをもたらす方法で座標の組を操作し得る可能性を大幅に低減させる。単一のメッセージがユーザによって入力されなければならないとき、例えば、全部で4つのみの異なる視覚的特徴が画像に使用されるため、同一の視覚的特徴を有する入力手段に対応する2つの座標の組を特定することが可能であり得る。
【発明を実施するための最良の形態】
【0016】
本発明のこれらの及び他の面は、図面に図示された実施例を参照して明らかに及び解説される。
【0017】
図中、同一の参照符号は、類似又は対応する特性を示す。図中示された特性の中には、典型的には、ソフトウェアで実行されるものがあり、そのこと自体がソフトウェア・モジュール又は対象等のソフトウェア自体を表す。
【0018】
図1は、本発明に従った、サーバ100及び複数の端末101,102,103を有するシステムを概略的に図示する。端末101−103がここではラップトップ型コンピュータ101、パームトップ型コンピュータ102、及び携帯電話103として実施されるが、装置がインタラクティブにサーバ100と通信可能であり、また、ディスプレイ上の写真画像をレンダリングできる限り、端末は、実際にはいかなる種類の装置としても実現され得る。通信は、ラップトップ型101の場合等は有線で、パームトップ型コンピュータ102及び携帯電話103の場合は無線で行なわれ得る。インターネット又は電話ネットワーク等のネットワークは、サーバ100及び端末101−103のいずれもと相互接続することができる。
【0019】
サーバ100は、端末101のユーザに対して通信される必要があるメッセージを表示する画像を生成する。画像は、キーボード上のキー等の複数の入力手段を表示する。かかるキーは、異なる英数字が表示されているキーとして、又は「はい」、「いいえ」、「より詳しい情報」等の選択を表すボタンとして、視覚的にレンダリングされ得る。各入力手段は、ユーザによって作成されるメッセージに使用され得る構成要素を表す。キーの次に、入力手段は、チェックボックス、選択リスト、スライダ、又は、ユーザ入力を促すよう典型的にはユーザ・インターフェースで使用される他の構成要素であり得る。入力手段を視覚的に表す他の方法は、従来技術で周知である。
【0020】
必須ではないが、異なる入力手段が異なる符号を表示し得ることが観察される。同一の符号を表す多様な入力手段を与えることは、ユーザによって作られた一連の入力が、シーケンスが反復を有する際でもランダムに見え得るという利点を有する。ここで使われている通り、「符号」という用語は、1つの英数字を意味し得るが、「はい」、「いいえ」等の文章も他の言語要素又は符号要素と同様に意味し得る。
【0021】
複数の画像例は、図2A、図2B及び図2Cに図示される。符号は全て、少なくとも2つの符号で互いに異なる関連付けられた特定の視覚特徴を有する。望ましくは、視覚的特徴は、入力手段の色又は視覚的形状を有する。図2A,図2B、及び図2C中、符号は3つにグループ分けされる。1つのグループの符号は視覚的特徴を共有し、異なるグループの視覚的特徴は異なる。図2A中、グループは異なるバックグラウンド・パターンを有する。図2B中、グループは、相互に異なる形状を有する。
【0022】
図2C中、グループは異なる色(グレースケール値)を有する。入力手段を表す符号もまた、画像にわたって(擬似的)ランダムな方法に与えられる。このように、これらの位置は、応答を操作することを望む敵対者によって容易に推測され得ない。更に、図2C中、入力手段が選択されるべきオーダの表示201もある。
【0023】
図1に戻ると、サーバ100は、端末101上のディスプレイに、生成された画像を送信する。続いてユーザは、キー又はディスプレイ上の画像としてレンダリングされた他の入力手段を選択することによって、サーバ100に送信することを望むメッセージを作成する。
【0024】
入力手段を選択することは、端末101のディスプレイ上に特定の座標の組を選択することによってなされる。望ましくは、ユーザは、ディスプレイの特定の点に圧力を印加することによって座標の組を入力し、座標の組は特定の点に対応する。ディスプレイは、タッチスクリーンを備えられ、圧力が印加された点を登録し得、これを座標の組に翻訳し得る。当然のことながら、マウス、グラフィックス・タブレット、又はキーボード等の他の入力装置もまた使用され得る。
【0025】
座標の組は、サーバ100に送信し戻される。サーバ100が座標の組を受信する際、それを画像上に表された特定の入力手段に翻訳する。ユーザによって作成されたメッセージは、座標の組が翻訳された特定の入力手段によって表された構成要素として構成される。例えば、図2Cの画像を使用して、結果は、7−3−1又は4−9−1となり得る。敵対者によって生成されたランダムな座標は、一般的には入力手段に応答しないため、かかるメッセージは、有効なメッセージから容易に区別され得る。
【0026】
構成されたメッセージが真正であるか否かを立証するよう、サーバ100は次に認証コードを構成する。サーバ100は、受信された座標で本来の画像に有される符号と関連付けられた一連の視覚的特徴を構成する。例えば、図2Cを使用して、結果は黒−灰色−白色、又は灰色−灰色−白色となり得る。図2Bの場合、結果は矩形−円形−不等辺四辺形となり得る。サーバ100は、認証コードが所定の一連の視覚的特徴に合致する場合に、メッセージを真正であるとして受容する。
【0027】
所定のシーケンスは、図2C中の場合の通り、画像に対して独自である。図2C中、表示201は、ユーザが、まず黒色の入力符号を、次にグレースケール符号を、及び最後に白色符号を使用することによって、自分のメッセージを作らなければいけないことを、ユーザに告知するようにされる。結果7−3−1は、黒色の「7」符号、灰色の「3」符号、及び白色の「1」符号が、そのオーダでユーザによって選択された場合にのみ、真正であるとして受容される。
【0028】
あるいは、所定のシーケンスはユーザに関連付けられ得る。例えばサーバ100は、ユーザ及び使用するべきシーケンスのリストを保持し得る。1人のユーザは「矩形−円形−不等辺四辺形」を割り当てられ得、他方は「円形−不等辺四辺形−矩形」を割り当てられ得る。いずれのユーザも図2Bの画像を使用し得る。
【0029】
1人のユーザは、また、2つの所定のシーケンスを割り当てられ得、その内の一方は、ユーザが端末101を拘束下で操作する際のみに使用され得るべきである。その場合、サーバ100は、警報(図示せず)を発することができる。いずれのシーケンスも真正であるとして受容され、警報が発せられていることを敵対者が知ることを防ぐようにされる。
【0030】
cは、(次に入力されるべき数字の)適切な色の部分として、Aはディスプレイ全体の部分として定義付けるとする。成功する交換攻撃を行なう確率Psは、符号に対して(1よりも小さい比例定数を伴って)、以下の式、
【0031】
【数1】
に比例するようになる。更にこの確率を低減させるよう、ユーザは、自分のメッセージを、k回(k>1)、毎回使用される異なる所定のシーケンスを伴ってタイプするよう要求され得る。この場合、確率は、以下の式、
【0032】
【数2】
に比例するようになる。
【0033】
システムの安全性を更に強化するよう、望ましい実施例では、サーバ100は、視覚
的な暗号化に基づいて一連の情報ユニットとして画像をコード化する。これは、望ましくは、端末101のユーザに関連付けられたキー・シーケンスをしようして、画像の全てのピクセルにXOR操作を適用することによってなされる。結果は、画像自体の代わりに端末101に送信される。視覚的暗号化、及びそのメッセージの安全な作成を可能にする適用は、欧州特許第02075527.8号明細書(PHNL02121)及び欧州特許第02078660.4号明細書(PHNL020804)で説明される。これらの適用は、暗号化された画像及びキー・シーケンスを表示するよう液晶ディスプレイ(LCD)を使用する視覚的暗号化を討議する。「従来の」視覚的暗号化は、暗号化の際に、透明なシートを使用し、望ましくは2×2ピクセル又は2×1ピクセルであるピクセルのブロックに、全てのピクセルをマッピングすることを要求する。これはまた、前述の2件の欧州特許明細書で討議される。
【0034】
視覚的暗号化の使用は、コード化されたシーケンスを暗号化すること、又は安全な認証済みチャンネルを設定すること等によって送信前に送信を保護する必要がもはやなくなったことを意味する。キー・シーケンスを推測することは可能ではなく、注意深く選択されており、コード化されたシーケンスのみを使用することによって、傍受者が画像を再生すことは不可能である。視覚的にコード化された画像の復号化は、これよりより詳細に説明される。
【0035】
図1にも示されているのは、個人用復号化装置110である。かかる装置110は、サーバ100から端末101−103のいずれかに送信された視覚的にコード化されたメッセージを復号化するよう使用されるため、ユーザに対して個人的なものであり、また十分に保護されるべきである。復号化装置110に物理的な制御を有する者は、ユーザに対する全ての視覚的に暗号化されたメッセージを読むことができる。何らかの更なる安全性を付加するよう、パスワード又は個人識別番号(PIN)を入れることが、復号化装置110の作動時に要求され得る。装置110は、指紋読取り機を備え得るか、又は、正しいオーナーによって発せられた音声コマンドを認識するよう装備され得る。
【0036】
復号化装置110は、ディスプレイ111及び格納部分112を有する。ディスプレイ111は、望ましくはLCDスクリーンとして実行される。通常は、かかるディスプレイ111は、液晶層の両側に極性フィルタを有し、かかる実施例では、ディスプレイ111は1つの極性フィルタのみを有する。端末101のLCDスクリーンは、視覚的に暗号化されたメッセージを受信し、続いて、取り除かれた最高の極性フィルタの一部分を有するべきである。この部分は、ディスプレイ111がその上に重畳されることを可能にするよう十分大きいべきである。あるいは、端末101のLCDスクリーンは、別個の(望ましくは小さい)ディスプレイを与えられ得、ディスプレイ111が重畳されるべきである。他の実施例ではディスプレイ111は極性フィルタを有さない。
【0037】
格納部分112は、視覚的に暗号化された画像を復号化するよう使用されるべきキー・シーケンスを有する。キー・シーケンスの構成要素は、ディスプレイ111におけるセルの極性の任意の回転を表す。
【0038】
端末101がコード化されたシーケンスを受信する際、図3Aに図示する通り、LCDスクリーン301の一部分上に夫々のピクセルとしてシーケンスの構成要素を表示する。コード化されたシーケンスは、コード化されたシーケンスにける夫々の構成要素によって示された量によって、ディスプレイ301の液晶層の夫々のセルの極性を回転することによって表示される。
【0039】
続いて、ユーザは、図3B中の復号化装置を作動させる。これによって、復号化装置110は、格納部分112に格納されたキー・シーケンスに依存して、ディスプレイ111上にグラフィック表示をする。図3C中、ユーザは、ディスプレイ301上に表示されたピクセルに、個人用復号化装置110を重畳する。復号化装置110及び端末101のいずれも、夫々、視覚的に暗号かされ得た画像の一部を効率的に表示するため、ユーザは、再構成された画像を観察することが出来る。図3Cの例では、再構成されたメッセージは、下部にグレースケールのバーを備えた黒い文字の「A!」というテキスト形式のメッセージである。
【0040】
端末101及び個人用復号化装置110はいずれも、常時画像自体を再構成するのに十分な情報を有さないため、画像の内容は、いずれの装置で動いている悪質なアプリケーションによっても再生され得ない。更に、個人用復号化装置110は、いかなる通信手段も有さないため、復号化装置110に物理的にアクセスしなければ、格納部分112からキー・シーケンスを得ることは不可能である。
【0041】
上述された実施例は、本発明を制限するのではなく例示するものであることが留意されるべきであり、当業者は、添付の請求項の範囲を逸脱することなく多くの代替の実施例を設計することが出来る。例えば、視覚的暗号化を使用する必要はない。画像は、従来の秘密キー及び/又は公開キー暗号化アルゴリズムを使用して暗号化され得る。安全なチャンネル、即ち攻撃者が侵入できないチャンネルをわたって、暗号化されていないものが送られ得る。
【0042】
本発明は、サーバから端末へ、及び/又は、端末からサーバへの安全な通信が必要であるいかなる種類のシステムにも使用され得る。遠隔ターミナル101−105は、パーソナル・コンピュータ、ラップトップ型、携帯電話、パームトップ型コンピュータ、現金自動預入支払機、公共インターネットアクセス端末等として実施され得る。
【0043】
請求項内では、カッコ内におかれた参照符号は、クレームを制限するものとして解釈されるべきではない。「有する」という語は、請求項内に挙げられていない構成要素又は段階を除外するものではない。構成要素に付く単数形を現す単語は、かかる構成要素の複数の存在を除外するものではない。
【0044】
本発明は、複数の個別の構成要素を有するハードウェアを用いて、また、適切にプログラムされたコンピュータを用いて実行され得る。複数の手段を列挙する装置請求項では、これら複数の手段は、1つ又は同一のハードウェアによって実施され得る。特定の測定が、互いに異なる従属請求項で挙げられているという単なる事実は、これらの測定の組合せが有利に使用され得ないことを示すものではない。
【図面の簡単な説明】
【0045】
【図1】サーバ及び複数の端末を有するシステムの概略図である。
【図2A】サーバによって生成され得た画像例である。
【図2B】サーバによって生成され得た画像例である。
【図2C】サーバによって生成され得た画像例である。
【図3A】視覚暗号化を使用するシステムの実施例の概略図である。
【図3B】視覚暗号化を使用するシステムの実施例の概略図である。
【図3C】視覚暗号化を使用するシステムの実施例の概略図である。
【技術分野】
【0001】
本発明は、遠隔端末でメッセージを作成することを可能にする方法に係る。該方法は、入力手段を表す複数の符号を有する画像を生成する段階と、遠隔端末上のディスプレイに画像を送信する段階と、遠隔段階から一連の座標を受信する段階と、受信された座標で画像に有される符号によって表された一連の入力手段としてメッセージを再構成する段階と、を有する。
【0002】
本発明は、サーバ、及びコンピュータプログラムプロダクトに更に係る。
【背景技術】
【0003】
米国特許第6,209,102B号明細書(特許文献1)は、遠隔端末のディスプレイ上の視覚的にレンダリングされた入力手段を介してメッセージの作成を可能にする方法を開示する。サーバは、画像を生成し、キーボード上のキー等の複数の入力手段を表すようにする。各入力手段は、ユーザによって作成されるメッセージに使用され得る構成要素を表す。
【0004】
続いて、ユーザは遠隔端末で、ディスプレイ上に画像としてレンダリングされた入力手段を選択することによって、戻りたいメッセージを作成する。入力手段を選択することは、端末のディスプレイ上で、特定の一組の座標を選択することによってなされる。
【0005】
座標の一組は、続いて、サーバに送信され戻される。遠隔端末にひそかに設置された傍受ソフトウェア、又は端末からサーバへの戻りチャンネルに侵入することでは、パスワード又はこのような手法で入った機密情報を知ることは出来ない。最大限でも、かかるソフトウェアは、この特定のセッションに入った特定の組の座標を学習することが出来るであろう。画像手段の位置を毎回ランダム化することで、このように知られた情報は、次のセッションでは役立たない。
【0006】
サーバが一組の座標を受信するとき、それを画像上に表された特定の入力手段に翻訳する。ユーザによって作成されたメッセージは、特定の入力手段によって表された構成要素として構成され、座標の組が翻訳される。
【0007】
上述されたシステムに関する問題は、サーバが、応答が意図されたユーザから発せられているかを確定できないことである。敵対者は、例えばランダムに、複数のランダムな位置を選択し、サーバーに送り返すかもしれない。サーバが、かかる応答を意図された正当なユーザによる無効な応答と区別することは不可能である。言い換えると、端末からサーバへのメッセージ認証がない。
【0008】
更に、「交換(swap)」攻撃が起こり得る。敵対者は、サーバに送信された座標の組を妨害することによって有効な応答を生成し、座標のいくつかのオーダを単純に交換することができる。サーバは、これを検出することは出来ない。このことは、メッセージが、銀行口座番号、あるいは、特定の銀行口座からの送金された金額又は引き出された金額等の任意の入力を表す際に、特に問題となる。
【特許文献1】米国特許第6,209,102B号明細書
【発明の開示】
【発明が解決しようとする課題】
【0009】
本発明は、「交換」攻撃から保護する前述された方法を与えることを目的とする。
【課題を解決するための手段】
【0010】
かかる目的は、本発明に従った方法で達成される。該方法は、少なくとも2つの符号に対して互いに異なる関連する特定の視覚的特徴を有し且つ入力手段を表す複数の符号を有する画像を生成する段階、遠隔端末上のディスプレイに画像を送信する段階、遠隔端末から一連の座標を受信する段階、受信された座標で画像に有される符号によって表された一連の入力手段としてメッセージを再構成する段階、受信された座標で画像に有される符号に関連付けられる一連の視覚的特徴として認証コードを構成する段階、及び、認証コードが所定の一連の視覚的特徴とに適合する場合、メッセージを真正であるとして受理する段階を有する。
【0011】
望ましくは、視覚的特徴は、入力手段の色又は視覚的形状を有する。現時点で端末に送信された画像は、例えば、2組の英数字、第1の色である第1の組の文字、及び第2の色である第2の組の文字を有する。続いて。ユーザは、まず第1の組から文字を選び、続いて第2の組から文字を選ぶことによって、自分のメッセージを作ることができる。その後敵対者が座標のオーダを入れ替えたとすると、文字に関連された色が誤ったオーダであるためサーバはこの改竄を検出することができる。
【0012】
望ましくは、所定のシーケンスは、遠隔端末の特定のユーザに関連付けられる。続いて、視覚的特徴の所定のシーケンスは、メッセージが特定のユーザによって実際に作られたことの証明としての役割をなす。あるいは、望ましくはランダムに選択された異なる所定のシーケンスは、全ての画像に使用され得、その場合は、シーケンスは画像に表示されるべきである。
【0013】
認証コードが所定のシーケンスに合致する場合、任意で、警報が発せられる。このようにして、敵対者からの拘束下で操作しているユーザは、ひそかに警報を発することが可能である。メッセージは依然として真正のものとして受理されるべきであり、そのため敵対者は警報が発せられていることに気づかない。ユーザは、2つの所定のシーケンスを割り当てられ得、一方は「平常」操作用、及び他方は拘束下での操作用である。
【0014】
望ましくはXOR操作は、ユーザに関連付けられたキー・シーケンスを使用して、画像に適用され、操作の結果は、遠隔端末上のディスプレイに送信される。これは、視覚的暗号化の使用を可能にし、画像をサーバから信頼できないネットワークをわたって、サーバから端末に安全に画像を送信するようにされる。XOR操作の結果は、信頼できない端末上に現状のままで表示され得る。ユーザは、信頼できる復号化装置を端末上に付加し、従って視覚的に画像を再構成する。視覚的暗号化、及び、その安全なメッセージの作成を可能にする適用は、欧州特許第02075527.8号明細書(PHNL020121)及び欧州特許第02078660.4号明細書(PHNL020804)で説明される。かかる設定では、全ての画像で、新しくランダムに選択された所定のシーケンスを使用することが望ましい。続いて、かかるシーケンスは、送信された画像になんらかの方法で(例えば、入力手段の色に対応する一連の色を表示することによって)表示されなければならない。
【0015】
望ましくは、座標の複数のシーケンスは受信され、複数の夫々のメッセージ及び認証コードは再構成される。全て夫々のメッセージが同一であり、且つ全ての認証コードが視覚的特徴の夫々所定のシーケンスに合致する場合、メッセージは真正であるとして受容される。これは、敵対者が未だ有効なメッセージをもたらす方法で座標の組を操作し得る可能性を大幅に低減させる。単一のメッセージがユーザによって入力されなければならないとき、例えば、全部で4つのみの異なる視覚的特徴が画像に使用されるため、同一の視覚的特徴を有する入力手段に対応する2つの座標の組を特定することが可能であり得る。
【発明を実施するための最良の形態】
【0016】
本発明のこれらの及び他の面は、図面に図示された実施例を参照して明らかに及び解説される。
【0017】
図中、同一の参照符号は、類似又は対応する特性を示す。図中示された特性の中には、典型的には、ソフトウェアで実行されるものがあり、そのこと自体がソフトウェア・モジュール又は対象等のソフトウェア自体を表す。
【0018】
図1は、本発明に従った、サーバ100及び複数の端末101,102,103を有するシステムを概略的に図示する。端末101−103がここではラップトップ型コンピュータ101、パームトップ型コンピュータ102、及び携帯電話103として実施されるが、装置がインタラクティブにサーバ100と通信可能であり、また、ディスプレイ上の写真画像をレンダリングできる限り、端末は、実際にはいかなる種類の装置としても実現され得る。通信は、ラップトップ型101の場合等は有線で、パームトップ型コンピュータ102及び携帯電話103の場合は無線で行なわれ得る。インターネット又は電話ネットワーク等のネットワークは、サーバ100及び端末101−103のいずれもと相互接続することができる。
【0019】
サーバ100は、端末101のユーザに対して通信される必要があるメッセージを表示する画像を生成する。画像は、キーボード上のキー等の複数の入力手段を表示する。かかるキーは、異なる英数字が表示されているキーとして、又は「はい」、「いいえ」、「より詳しい情報」等の選択を表すボタンとして、視覚的にレンダリングされ得る。各入力手段は、ユーザによって作成されるメッセージに使用され得る構成要素を表す。キーの次に、入力手段は、チェックボックス、選択リスト、スライダ、又は、ユーザ入力を促すよう典型的にはユーザ・インターフェースで使用される他の構成要素であり得る。入力手段を視覚的に表す他の方法は、従来技術で周知である。
【0020】
必須ではないが、異なる入力手段が異なる符号を表示し得ることが観察される。同一の符号を表す多様な入力手段を与えることは、ユーザによって作られた一連の入力が、シーケンスが反復を有する際でもランダムに見え得るという利点を有する。ここで使われている通り、「符号」という用語は、1つの英数字を意味し得るが、「はい」、「いいえ」等の文章も他の言語要素又は符号要素と同様に意味し得る。
【0021】
複数の画像例は、図2A、図2B及び図2Cに図示される。符号は全て、少なくとも2つの符号で互いに異なる関連付けられた特定の視覚特徴を有する。望ましくは、視覚的特徴は、入力手段の色又は視覚的形状を有する。図2A,図2B、及び図2C中、符号は3つにグループ分けされる。1つのグループの符号は視覚的特徴を共有し、異なるグループの視覚的特徴は異なる。図2A中、グループは異なるバックグラウンド・パターンを有する。図2B中、グループは、相互に異なる形状を有する。
【0022】
図2C中、グループは異なる色(グレースケール値)を有する。入力手段を表す符号もまた、画像にわたって(擬似的)ランダムな方法に与えられる。このように、これらの位置は、応答を操作することを望む敵対者によって容易に推測され得ない。更に、図2C中、入力手段が選択されるべきオーダの表示201もある。
【0023】
図1に戻ると、サーバ100は、端末101上のディスプレイに、生成された画像を送信する。続いてユーザは、キー又はディスプレイ上の画像としてレンダリングされた他の入力手段を選択することによって、サーバ100に送信することを望むメッセージを作成する。
【0024】
入力手段を選択することは、端末101のディスプレイ上に特定の座標の組を選択することによってなされる。望ましくは、ユーザは、ディスプレイの特定の点に圧力を印加することによって座標の組を入力し、座標の組は特定の点に対応する。ディスプレイは、タッチスクリーンを備えられ、圧力が印加された点を登録し得、これを座標の組に翻訳し得る。当然のことながら、マウス、グラフィックス・タブレット、又はキーボード等の他の入力装置もまた使用され得る。
【0025】
座標の組は、サーバ100に送信し戻される。サーバ100が座標の組を受信する際、それを画像上に表された特定の入力手段に翻訳する。ユーザによって作成されたメッセージは、座標の組が翻訳された特定の入力手段によって表された構成要素として構成される。例えば、図2Cの画像を使用して、結果は、7−3−1又は4−9−1となり得る。敵対者によって生成されたランダムな座標は、一般的には入力手段に応答しないため、かかるメッセージは、有効なメッセージから容易に区別され得る。
【0026】
構成されたメッセージが真正であるか否かを立証するよう、サーバ100は次に認証コードを構成する。サーバ100は、受信された座標で本来の画像に有される符号と関連付けられた一連の視覚的特徴を構成する。例えば、図2Cを使用して、結果は黒−灰色−白色、又は灰色−灰色−白色となり得る。図2Bの場合、結果は矩形−円形−不等辺四辺形となり得る。サーバ100は、認証コードが所定の一連の視覚的特徴に合致する場合に、メッセージを真正であるとして受容する。
【0027】
所定のシーケンスは、図2C中の場合の通り、画像に対して独自である。図2C中、表示201は、ユーザが、まず黒色の入力符号を、次にグレースケール符号を、及び最後に白色符号を使用することによって、自分のメッセージを作らなければいけないことを、ユーザに告知するようにされる。結果7−3−1は、黒色の「7」符号、灰色の「3」符号、及び白色の「1」符号が、そのオーダでユーザによって選択された場合にのみ、真正であるとして受容される。
【0028】
あるいは、所定のシーケンスはユーザに関連付けられ得る。例えばサーバ100は、ユーザ及び使用するべきシーケンスのリストを保持し得る。1人のユーザは「矩形−円形−不等辺四辺形」を割り当てられ得、他方は「円形−不等辺四辺形−矩形」を割り当てられ得る。いずれのユーザも図2Bの画像を使用し得る。
【0029】
1人のユーザは、また、2つの所定のシーケンスを割り当てられ得、その内の一方は、ユーザが端末101を拘束下で操作する際のみに使用され得るべきである。その場合、サーバ100は、警報(図示せず)を発することができる。いずれのシーケンスも真正であるとして受容され、警報が発せられていることを敵対者が知ることを防ぐようにされる。
【0030】
cは、(次に入力されるべき数字の)適切な色の部分として、Aはディスプレイ全体の部分として定義付けるとする。成功する交換攻撃を行なう確率Psは、符号に対して(1よりも小さい比例定数を伴って)、以下の式、
【0031】
【数1】
に比例するようになる。更にこの確率を低減させるよう、ユーザは、自分のメッセージを、k回(k>1)、毎回使用される異なる所定のシーケンスを伴ってタイプするよう要求され得る。この場合、確率は、以下の式、
【0032】
【数2】
に比例するようになる。
【0033】
システムの安全性を更に強化するよう、望ましい実施例では、サーバ100は、視覚
的な暗号化に基づいて一連の情報ユニットとして画像をコード化する。これは、望ましくは、端末101のユーザに関連付けられたキー・シーケンスをしようして、画像の全てのピクセルにXOR操作を適用することによってなされる。結果は、画像自体の代わりに端末101に送信される。視覚的暗号化、及びそのメッセージの安全な作成を可能にする適用は、欧州特許第02075527.8号明細書(PHNL02121)及び欧州特許第02078660.4号明細書(PHNL020804)で説明される。これらの適用は、暗号化された画像及びキー・シーケンスを表示するよう液晶ディスプレイ(LCD)を使用する視覚的暗号化を討議する。「従来の」視覚的暗号化は、暗号化の際に、透明なシートを使用し、望ましくは2×2ピクセル又は2×1ピクセルであるピクセルのブロックに、全てのピクセルをマッピングすることを要求する。これはまた、前述の2件の欧州特許明細書で討議される。
【0034】
視覚的暗号化の使用は、コード化されたシーケンスを暗号化すること、又は安全な認証済みチャンネルを設定すること等によって送信前に送信を保護する必要がもはやなくなったことを意味する。キー・シーケンスを推測することは可能ではなく、注意深く選択されており、コード化されたシーケンスのみを使用することによって、傍受者が画像を再生すことは不可能である。視覚的にコード化された画像の復号化は、これよりより詳細に説明される。
【0035】
図1にも示されているのは、個人用復号化装置110である。かかる装置110は、サーバ100から端末101−103のいずれかに送信された視覚的にコード化されたメッセージを復号化するよう使用されるため、ユーザに対して個人的なものであり、また十分に保護されるべきである。復号化装置110に物理的な制御を有する者は、ユーザに対する全ての視覚的に暗号化されたメッセージを読むことができる。何らかの更なる安全性を付加するよう、パスワード又は個人識別番号(PIN)を入れることが、復号化装置110の作動時に要求され得る。装置110は、指紋読取り機を備え得るか、又は、正しいオーナーによって発せられた音声コマンドを認識するよう装備され得る。
【0036】
復号化装置110は、ディスプレイ111及び格納部分112を有する。ディスプレイ111は、望ましくはLCDスクリーンとして実行される。通常は、かかるディスプレイ111は、液晶層の両側に極性フィルタを有し、かかる実施例では、ディスプレイ111は1つの極性フィルタのみを有する。端末101のLCDスクリーンは、視覚的に暗号化されたメッセージを受信し、続いて、取り除かれた最高の極性フィルタの一部分を有するべきである。この部分は、ディスプレイ111がその上に重畳されることを可能にするよう十分大きいべきである。あるいは、端末101のLCDスクリーンは、別個の(望ましくは小さい)ディスプレイを与えられ得、ディスプレイ111が重畳されるべきである。他の実施例ではディスプレイ111は極性フィルタを有さない。
【0037】
格納部分112は、視覚的に暗号化された画像を復号化するよう使用されるべきキー・シーケンスを有する。キー・シーケンスの構成要素は、ディスプレイ111におけるセルの極性の任意の回転を表す。
【0038】
端末101がコード化されたシーケンスを受信する際、図3Aに図示する通り、LCDスクリーン301の一部分上に夫々のピクセルとしてシーケンスの構成要素を表示する。コード化されたシーケンスは、コード化されたシーケンスにける夫々の構成要素によって示された量によって、ディスプレイ301の液晶層の夫々のセルの極性を回転することによって表示される。
【0039】
続いて、ユーザは、図3B中の復号化装置を作動させる。これによって、復号化装置110は、格納部分112に格納されたキー・シーケンスに依存して、ディスプレイ111上にグラフィック表示をする。図3C中、ユーザは、ディスプレイ301上に表示されたピクセルに、個人用復号化装置110を重畳する。復号化装置110及び端末101のいずれも、夫々、視覚的に暗号かされ得た画像の一部を効率的に表示するため、ユーザは、再構成された画像を観察することが出来る。図3Cの例では、再構成されたメッセージは、下部にグレースケールのバーを備えた黒い文字の「A!」というテキスト形式のメッセージである。
【0040】
端末101及び個人用復号化装置110はいずれも、常時画像自体を再構成するのに十分な情報を有さないため、画像の内容は、いずれの装置で動いている悪質なアプリケーションによっても再生され得ない。更に、個人用復号化装置110は、いかなる通信手段も有さないため、復号化装置110に物理的にアクセスしなければ、格納部分112からキー・シーケンスを得ることは不可能である。
【0041】
上述された実施例は、本発明を制限するのではなく例示するものであることが留意されるべきであり、当業者は、添付の請求項の範囲を逸脱することなく多くの代替の実施例を設計することが出来る。例えば、視覚的暗号化を使用する必要はない。画像は、従来の秘密キー及び/又は公開キー暗号化アルゴリズムを使用して暗号化され得る。安全なチャンネル、即ち攻撃者が侵入できないチャンネルをわたって、暗号化されていないものが送られ得る。
【0042】
本発明は、サーバから端末へ、及び/又は、端末からサーバへの安全な通信が必要であるいかなる種類のシステムにも使用され得る。遠隔ターミナル101−105は、パーソナル・コンピュータ、ラップトップ型、携帯電話、パームトップ型コンピュータ、現金自動預入支払機、公共インターネットアクセス端末等として実施され得る。
【0043】
請求項内では、カッコ内におかれた参照符号は、クレームを制限するものとして解釈されるべきではない。「有する」という語は、請求項内に挙げられていない構成要素又は段階を除外するものではない。構成要素に付く単数形を現す単語は、かかる構成要素の複数の存在を除外するものではない。
【0044】
本発明は、複数の個別の構成要素を有するハードウェアを用いて、また、適切にプログラムされたコンピュータを用いて実行され得る。複数の手段を列挙する装置請求項では、これら複数の手段は、1つ又は同一のハードウェアによって実施され得る。特定の測定が、互いに異なる従属請求項で挙げられているという単なる事実は、これらの測定の組合せが有利に使用され得ないことを示すものではない。
【図面の簡単な説明】
【0045】
【図1】サーバ及び複数の端末を有するシステムの概略図である。
【図2A】サーバによって生成され得た画像例である。
【図2B】サーバによって生成され得た画像例である。
【図2C】サーバによって生成され得た画像例である。
【図3A】視覚暗号化を使用するシステムの実施例の概略図である。
【図3B】視覚暗号化を使用するシステムの実施例の概略図である。
【図3C】視覚暗号化を使用するシステムの実施例の概略図である。
【特許請求の範囲】
【請求項1】
遠隔端末でのメッセージの作成を可能にする方法であって、
少なくとも2つの符号に対して互いに異なる関連する特定の視覚的特徴を有する入力手段を表す複数の符号を有する画像を生成する手段と、
前記遠隔端末上のディスプレイに前記画像を送信する段階と、
前記遠隔端末から一連の座標を受信する段階と、
前記受信された座標で前記画像に有される前記符号によって表された一連の入力手段として前記メッセージを再構成する段階と、
前記受信された座標で前記画像に有される前記符号に関連付けられた一連の視覚的特徴として認証コードを構成する段階と、
前記認証コードが所定の視覚的特徴のシーケンスと合致する場合は前記メッセージを真正であるとして受容する段階と、
を有する方法。
【請求項2】
前記視覚的特徴は、符号の色を有する、請求項1記載の方法。
【請求項3】
前記視覚的特徴は、符号の形状を有する、請求項1記載の方法。
【請求項4】
前記所定のシーケンスにおける前記視覚的特徴の前記オーダは、(擬似的)ランダムに選択され、前記オーダの表示は、前記画像内の組み込まれる、請求項1記載の方法。
【請求項5】
前記所定のシーケンスは、前記遠隔端末の特定のユーザに関連付けられる、請求項1記載の方法。
【請求項6】
前記認証コードが前記所定のシーケンスに合致する場合、警報が発せられる、請求項5記載の方法。
【請求項7】
XOR操作は、前記ユーザに関連付けられたキー・シーケンスを使用して前記画像に適用され、前記操作の結果は、前記遠隔端末上のディスプレイに送信される、請求項4又は5に記載の方法。
【請求項8】
前記画像における前記符号は、(擬似的)ランダムな方法で配布される、請求項1記載の方法。
【請求項9】
座標の複数の組は受信され、複数の夫々のメッセージ及び認証コードは再構成され、また前記メッセージは、全ての夫々のメッセージが同一であり全ての認証コードが視覚特徴の夫々の所定のシーケンスと合致する場合に真正であるとして受容される、請求項1記載の方法。
【請求項10】
遠隔端末でメッセージの作成を可能にするサーバであって、
少なくとも2つの符号に対して互いに異なる関連する特定の視覚的特徴を有し且つ入力手段を表す複数の符号を有する画像を生成する手段と、
前記遠隔端末上のディスプレイに前記画像を送信する送信手段と、
遠隔端末から一連の座標を受信する受信手段と
前記受信された座標で前記画像に有される前記符号によって表された一連の入力手段として前記メッセージを再構成する再構成手段と、
前記受信された座標で前記画像に有される前記符号に関連付けられる一連の視覚的特徴として認証コードを構成し、前記認証コードが所定の一連の視覚的特徴に合致する場合、前記メッセージを真正であるとして受理する認証手段と、
を有するサーバ。
【請求項11】
プロセッサが請求項1記載の方法を実行させるよう配置されたコンピュータプログラム。
【請求項1】
遠隔端末でのメッセージの作成を可能にする方法であって、
少なくとも2つの符号に対して互いに異なる関連する特定の視覚的特徴を有する入力手段を表す複数の符号を有する画像を生成する手段と、
前記遠隔端末上のディスプレイに前記画像を送信する段階と、
前記遠隔端末から一連の座標を受信する段階と、
前記受信された座標で前記画像に有される前記符号によって表された一連の入力手段として前記メッセージを再構成する段階と、
前記受信された座標で前記画像に有される前記符号に関連付けられた一連の視覚的特徴として認証コードを構成する段階と、
前記認証コードが所定の視覚的特徴のシーケンスと合致する場合は前記メッセージを真正であるとして受容する段階と、
を有する方法。
【請求項2】
前記視覚的特徴は、符号の色を有する、請求項1記載の方法。
【請求項3】
前記視覚的特徴は、符号の形状を有する、請求項1記載の方法。
【請求項4】
前記所定のシーケンスにおける前記視覚的特徴の前記オーダは、(擬似的)ランダムに選択され、前記オーダの表示は、前記画像内の組み込まれる、請求項1記載の方法。
【請求項5】
前記所定のシーケンスは、前記遠隔端末の特定のユーザに関連付けられる、請求項1記載の方法。
【請求項6】
前記認証コードが前記所定のシーケンスに合致する場合、警報が発せられる、請求項5記載の方法。
【請求項7】
XOR操作は、前記ユーザに関連付けられたキー・シーケンスを使用して前記画像に適用され、前記操作の結果は、前記遠隔端末上のディスプレイに送信される、請求項4又は5に記載の方法。
【請求項8】
前記画像における前記符号は、(擬似的)ランダムな方法で配布される、請求項1記載の方法。
【請求項9】
座標の複数の組は受信され、複数の夫々のメッセージ及び認証コードは再構成され、また前記メッセージは、全ての夫々のメッセージが同一であり全ての認証コードが視覚特徴の夫々の所定のシーケンスと合致する場合に真正であるとして受容される、請求項1記載の方法。
【請求項10】
遠隔端末でメッセージの作成を可能にするサーバであって、
少なくとも2つの符号に対して互いに異なる関連する特定の視覚的特徴を有し且つ入力手段を表す複数の符号を有する画像を生成する手段と、
前記遠隔端末上のディスプレイに前記画像を送信する送信手段と、
遠隔端末から一連の座標を受信する受信手段と
前記受信された座標で前記画像に有される前記符号によって表された一連の入力手段として前記メッセージを再構成する再構成手段と、
前記受信された座標で前記画像に有される前記符号に関連付けられる一連の視覚的特徴として認証コードを構成し、前記認証コードが所定の一連の視覚的特徴に合致する場合、前記メッセージを真正であるとして受理する認証手段と、
を有するサーバ。
【請求項11】
プロセッサが請求項1記載の方法を実行させるよう配置されたコンピュータプログラム。
【図1】
【図2C】
【図2C】
【公表番号】特表2006−520047(P2006−520047A)
【公表日】平成18年8月31日(2006.8.31)
【国際特許分類】
【出願番号】特願2006−506655(P2006−506655)
【出願日】平成16年3月1日(2004.3.1)
【国際出願番号】PCT/IB2004/050170
【国際公開番号】WO2004/081767
【国際公開日】平成16年9月23日(2004.9.23)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【氏名又は名称原語表記】Koninklijke Philips Electronics N.V.
【住所又は居所原語表記】Groenewoudseweg 1,5621 BA Eindhoven, The Netherlands
【Fターム(参考)】
【公表日】平成18年8月31日(2006.8.31)
【国際特許分類】
【出願日】平成16年3月1日(2004.3.1)
【国際出願番号】PCT/IB2004/050170
【国際公開番号】WO2004/081767
【国際公開日】平成16年9月23日(2004.9.23)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【氏名又は名称原語表記】Koninklijke Philips Electronics N.V.
【住所又は居所原語表記】Groenewoudseweg 1,5621 BA Eindhoven, The Netherlands
【Fターム(参考)】
[ Back to top ]