電子取引を実施する方法及びシステム
【課題】機密保護電子取引を実施する方法、システム、サーバ・コンピュータ、ハードウェア装置、クライアント・コンピュータ、およびコンピュータ・プログラムが提供される。
【解決手段】本発明は、サーバ・コンピュータ(110)とクライアント・コンピュータ(120)との間で電子取引を実施する方法であって、
−通信ネットワーク(160)を介してサーバ・コンピュータ(110)とハードウェア装置(130)との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−ハードウェア装置(130)でサーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施するステップと、
−復号されたサーバ応答をハードウェア装置(130)からクライアント・コンピュータ(120)に転送するステップと、
−復号されたサーバ応答をクライアント・コンピュータ(120)のクライアント・コンピュータ・ディスプレイ(121)上に表示するステップと、
−クライアント・コンピュータ(120)からサーバ・コンピュータ(110)に送られるクライアント要求をハードウェア装置(130)によって受信するステップと、
−クライアント要求を所定の取引情報についてハードウェハ装置(130)によって解析するステップと、
−所定の取引情報を何も含まないクライアント要求をハードウェハ装置(130)によって暗号化してサーバ・コンピュータ(110)に転送するステップと、
−クライアント要求を検出すると所定の取引情報をハードウェア装置(130)のハードウェア装置ディスプレイ(210)上に表示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータ(110)に転送するステップと、
−ユーザ確定が受信されない場合に、電子取引を取り消すステップと、
を含む方法に関する。
【解決手段】本発明は、サーバ・コンピュータ(110)とクライアント・コンピュータ(120)との間で電子取引を実施する方法であって、
−通信ネットワーク(160)を介してサーバ・コンピュータ(110)とハードウェア装置(130)との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−ハードウェア装置(130)でサーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施するステップと、
−復号されたサーバ応答をハードウェア装置(130)からクライアント・コンピュータ(120)に転送するステップと、
−復号されたサーバ応答をクライアント・コンピュータ(120)のクライアント・コンピュータ・ディスプレイ(121)上に表示するステップと、
−クライアント・コンピュータ(120)からサーバ・コンピュータ(110)に送られるクライアント要求をハードウェア装置(130)によって受信するステップと、
−クライアント要求を所定の取引情報についてハードウェハ装置(130)によって解析するステップと、
−所定の取引情報を何も含まないクライアント要求をハードウェハ装置(130)によって暗号化してサーバ・コンピュータ(110)に転送するステップと、
−クライアント要求を検出すると所定の取引情報をハードウェア装置(130)のハードウェア装置ディスプレイ(210)上に表示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータ(110)に転送するステップと、
−ユーザ確定が受信されない場合に、電子取引を取り消すステップと、
を含む方法に関する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機密保護電子取引の実施方法に関する。本発明は、さらに、対応するシステム、対応するサーバ・コンピュータ、対応するハードウェア装置、対応するクライアント・コンピュータ、および対応するコンピュータ・プログラムに関する。
【背景技術】
【0002】
現在のインターネット認証プロセスでは、公開鍵基盤(PKI:Public Key Infrastructure)が利用されることが多い。特に、ユーザのパーソナル・コンピュータ(PC:Personal Computer)上に不正なソフトウェアが存在する場合には、取引を行いたい所望のサーバ・コンピュータ、例えば、所望の銀行サーバなどにユーザが接続されているかどうかはっきりしないこともある。相手の攻撃を防ぐ1つの知られている方法では、信頼されるエンティティ(trusted entity)によってサーバのオペレータに発行されたサーバ証明書をユーザがチェックするように求められる。これが煩わしいので、このようなサーバ証明書のチェックを実施しないユーザも多い。別の知られている方法では、PKI技術がスマート・カードと組み合わせて使用される。しかしながら、スマート・カードが実際に行う内容、例えば、署名する内容や接続する場所についてユーザが完全にコントロールできるわけではない。これは、中継人による攻撃やユーザのPC上で動作するワームまたはウィルスによってインターネット接続の安全性が脅かされる可能性があることが原因である。さらに、キーボード・ロギング・ソフトウェアおよびディスプレイ変換ソフトウェアを使用して、ユーザをだまして偽のウェブサイトと取引させて、例えば、相手の銀行口座に送金させることもできる。
【0003】
前述の方法は、そのプロセスのある点において、サーバがPC上にある機密事項情報を表示するステップまたはユーザがPC上にある機密事項情報を入力するステップあるいはその両方に依存している。この事は、たとえディスプレイおよびキーボードを備える安全なスマート・カード読み取り機でも当てはまる。安全なスマート・カード読み取り機が表示する情報も、やはりPC上で動作するソフトウェアによって制御されている。
【0004】
米国特許第6895502号には、サーバ・コンピュータ上の資源にアクセスする要求がクライアント・ユーザによって実際に要求されたことを安全に表示して安全に確定する方法が開示されている。その要求に応答して、サーバ・コンピュータは、安全な環境に暗号化されたチャレンジを送信して、そこでクライアント・ユーザは自分が対応する要求を行ったことをチェックおよび確定することができる。
【0005】
米国特許第5596718号には、ワークステーションの入出力装置とワークステーション自体との間に信頼されるパス・サブシステムを挿入することによって作製される安全なユーザ・インタフェースが開示されている。信頼されるパス・サブシステムは、ユーザによって手動で起動され、信頼されるウィンドウを表示するワークステーションのディスプレイを使用している。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】米国特許第6895502号
【特許文献2】米国特許第5596718号
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、電子取引を安全な方法で実施するための他の解決策を提供することを目的とする。
【0008】
本発明は、コスト効率の高い方法で実施することができる電子取引を実施するための解決策を提供することをさらに目的とする。
【0009】
本発明は、改良された使いやすさで電子取引を実施するための解決策を提供することをさらに目的とする。
【0010】
本発明は、サーバを大幅に適合させることなしに既存のサーバ基盤を利用することができる安全な方法で電子取引を実施するための解決策を提供することをさらに目的とする。
【0011】
本発明は、SSL/TLSなどの既存のストリーム認証プロトコルを利用することができる安全な方法で電子取引を実施するための解決策を提供することをさらに目的とする。
【課題を解決するための手段】
【0012】
本発明は、独立請求項に定義される、方法、システム、サーバ・コンピュータ、クライアント・コンピュータ、ハードウェア装置およびコンピュータ・プログラムを対象とする。本発明のさらなる実施形態は、添付の従属請求項で提供される。
【0013】
本発明の第1の態様によれば、サーバ・コンピュータとクライアント・コンピュータとの間で電子取引を実施する方法であって、
−通信ネットワークを介してサーバ・コンピュータとハードウェア装置との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−ハードウェア装置でサーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施するステップと、
−復号されたサーバ応答をハードウェア装置からクライアント・コンピュータへ転送するステップと、
−復号されたサーバ応答をクライアント・コンピュータのクライアント・コンピュータ・ディスプレイ上に表示するステップと、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求をハードウェア装置によって受信するステップと、
−クライアント要求を所定の取引情報についてハードウェア装置によって解析するステップと、
−所定の取引情報を何も含まないクライアント要求をハードウェア装置によって暗号化してサーバ・コンピュータへ転送するステップと、
−クライアント要求を検出すると所定の取引情報をハードウェア装置のハードウェア装置ディスプレイ上に表示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送するステップと、
−ユーザ確定が受信されない場合に、電子取引を取り消すステップと、
を含む方法が提供される。
【0014】
本発明のこの態様による方法は、電子取引のセキュリティの強化を提供する。電子取引は、例えば、電子決済、電子送金、電子発注、またはログオン情報などの機密情報、個人情報またはセキュリティ高感度情報の他の何らかの転送であってもよい。
【0015】
さらに、本発明のこの態様による方法は、柔軟性があり効率的で経済的な方法で実施することができるという利点を有する。本方法のさらなる利点は、既存のシステムに効率的かつ経済的に追加することができることである。
【0016】
ハードウェア装置は、サーバ・コンピュータとクライアント・コンピュータとの間のインタフェースとして動作する。言い換えれば、電子取引の間にハードウェア装置だけがサーバ・コンピュータと論理的に直接通信を行う。これによってクライアント・コンピュータとサーバ・コンピュータとの間の通信を監視、評価、解析および制御することが可能になる。クライアント・コンピュータがサーバ・コンピュータに送りたいメッセージまたはデータは、クライアント要求と称され、サーバ・コンピュータがクライアント・コンピュータに送るメッセージまたはデータは、サーバ応答と称される。ハードウェア装置は、サーバ応答を復号することができ、それをクライアント・コンピュータへ転送することもできる。クライアント・コンピュータは、復号されたサーバ応答をユーザに提示することもできるクライアント・コンピュータ・ディスプレイを含む。その後、ユーザは、クライアント・コンピュータ入力ユニット、例えば、キーボードまたはマウスあるいはその両方を用いて、クライアント・コンピュータと交信しクライアント要求を起動してもよい。クライアント・コンピュータは、ハードウェア装置にクライアント要求を送り、ハードウェア装置は、クライアント要求を所定の取引情報について解析する。言い換えれば、ハードウェア装置は、クライアント要求を分析し、何か所定の取引情報を含んでいるかどうかをチェックする。このような所定の取引情報は、特に、クレジット・カード番号、取引番号(TAN:transaction number)、銀行口座番号、決済データ、支払金額などのセキュリティ高感度情報、個人情報または機密情報あるいはその全部である。アプリケーション固有でまたは顧客固有であるいはその両方で予め定義することができる。一例として、オンライン・バンキングを提供する銀行は、クライアントによって銀行へ転送されるどの情報を所定の取引情報と見なすべきかを予め定義することができる。さらに、銀行は、様々なセキュリティ・レベルでオンライン・バンキング・サービスを提供してもよい。各セキュリティ・レベルに応じて所定の取引情報が適合されてもよい。
【0017】
用語のクライアント・コンピュータは、広い意味で理解される。クライアント・コンピュータは、例えば、ラップトップPC、デスクトップPC、携帯電話、携帯情報端末(PDA:Personal Digital Assistant)、またはユーザがこれを用いて電子取引を実施することもできる他の何らかの電子装置であってもよい。用語のサーバ・コンピュータも広い意味で理解される。これは、クライアント・コンピュータが電子取引を実施したい任意の電子装置であってもよい。
【0018】
クライアント要求が、何も所定の取引情報を含まない場合は、ハードウェア装置は、そのクライアント要求を暗号化して第1の通信プロトコルを用いてサーバ・コンピュータへ転送する。クライアント要求が所定の取引情報を含む場合は、ハードウェア装置は、ハードウェア装置のディスプレイ上でユーザにその所定の取引情報を提示してもよい。これによってユーザはその所定の取引情報が正しいかどうかをチェックすることができる。さらに、ユーザは、クライアント・コンピュータのディスプレイ上に表示される取引情報をハードウェア装置のディスプレイ上に表示される取引情報と比較することができる。これによって中継人による攻撃によって導入されることもある違いを容易に検出できるようになる。ユーザが、クライアントのディスプレイ上に表示される取引情報とハードウェア装置のディスプレイ上に表示される取引情報との間の違いを検出した場合、これはクライアント・コンピュータ上で不正なソフトウェアが動作しており、このソフトウェアがユーザがクライアント・コンピュータ入力ユニットによって入力した取引情報を変更したことを示すものである。
【0019】
ハードウェア装置ディスプレイは、様々な方法で具体化されてもよい。ハードウェア装置ディスプレイは、取引情報をユーザに提示するように動作可能な様々な装置またはツールで具体化されてもよい。ハードウェア装置ディスプレイの例としては、液晶ディスプレイ(LCDs:Liquid Crystal Displays)、発光ダイオード(LED:Light Emitting Diode)ディスプレイ、プラズマ・ディスプレイまたはプロジェクタ、例えば、LCDプロジェクタまたはレーザ・プロジェクタなどがある。
【0020】
所定の取引情報が正しくない場合、ユーザは、その取引を取り消すこと、あるいは確定しないことができる。その結果、ハードウェア装置は、その取引を取り消す。ユーザがハードウェア装置ディスプレイ上に提示される所定の取引情報が正しいことを確認した場合には、その取引を確定してもよい。確定すると、ハードウェア装置がその所定の取引情報を暗号化して第1の通信プロトコルを用いてサーバ・コンピュータにそれを送る。
【0021】
ユーザによる確定またはユーザによる取り消しを実施するための様々な方法がある。本発明の実施形態によれば、確定または取り消しは、ハードウェア装置のハードウェア装置入力ユニットを用いて受信されてもよい。言い換えれば、ユーザは、ハードウェア装置の取り消しボタンまたは確定ボタンを押してもよい。あるいは、ユーザがその取引を所定の時間内、例えば1分以内に取り消さない場合には、ハードウェア装置はその取引を確定したと判断するように規定することもできる。本発明の別の実施形態によれば、ハードウェア装置をクライアント・コンピュータのインタフェースからはずすことによって取り消しを実施することもできる。
【0022】
第1の通信プロトコルが確立され、ハードウェア装置とサーバ・コンピュータとの間のエンド・ツー・エンド通信として動作する。第1の通信プロトコルは、相互認証を使用する。すなわち、サーバ・コンピュータはそれ自体をハードウェア装置に対して認証し、ハードウェア装置はそれ自体をサーバ・コンピュータに対して認証する。高度な機密性を提供するために、ハードウェア装置とサーバ・コンピュータとの間のデータ送信は暗号化された形態で実施される。
【0023】
本発明の第1の形態の実施形態によれば、本方法は、
−クライアント・コンピュータのブラウザ・アプリケーションとサーバ・コンピュータとの間で第2の通信プロトコルを通常動作モードで実行するステップと、
−サーバ・コンピュータとハードウェア装置との間で第1の通信プロトコルを機密保護動作モードで実行するステップと、
−プロキシ・アプリケーションを介してブラウザ・アプリケーションからハードウェア装置に、さらにプロキシ・アプリケーションを介してハードウェア装置からサーバ・コンピュータに、クライアント要求を機密保護動作モードでルートするステップと、
−プロキシ・アプリケーションを介してサーバ・コンピュータからハードウェア装置に、さらにプロキシ・アプリケーションを介してハードウェア装置からブラウザ・アプリケーションに、サーバ応答を機密保護動作モードでルートするステップと、
をさらに含む。
【0024】
プロキシ・アプリケーションは、クライアント・コンピュータ上で動作するコンピュータ・プログラムとして実施されてもよく、本方法の効果的な実施を可能にする。このアプリケーションは、ハードウェア装置と、ブラウザ・アプリケーションと、サーバ・コンピュータとの間に機能的に配置されるスイッチの機能を果たす。
【0025】
通常動作モードでは、ユーザは、セキュリティ高感度情報をサーバ・コンピュータと交換しないのが好ましい。通常動作モードでは、ハードウェア装置の電源を切ったりプラグを抜いたりすることができる。
【0026】
ユーザがブラウジング・セッション中にセキュリティ高感度情報の交換を含むこともある電子取引を実施したい場合は、機密保護動作モードが起動される。本発明のこの実施形態によれば、機密保護モードでは、サーバ・コンピュータとハードウェア装置との間でプロキシ・アプリケーションおよび通信ネットワークを介して第1の通信プロトコルが動作する。さらに、ブラウザ・アプリケーションとハードウェア装置との間の通信が、プロキシ・アプリケーションを介して実施される。
【0027】
本発明の第1の態様の実施形態によれば、本方法は、
−クライアント・コンピュータのブラウザ・アプリケーションとサーバ・コンピュータとの間でクライアント・コンピュータのプロキシ・アプリケーションを介して第2の通信プロトコルを通常動作モードで実行するステップと、
−クライアント要求を所定の一連のクライアント要求についてプロキシ・アプリケーションによって解析するステップと、
−所定のクライアント要求を検出すると、プロキシ・アプリケーションによって機密保護動作モードを起動するステップと、
をさらに含む。
【0028】
これは、機密保護動作モードを自動化された方法で起動する効率的な方法である。プロキシ・アプリケーションは、何もユーザの介在なしに機密保護動作モードを自動的に起動してもよい。一例として、所定の一連のクライアント要求は、サーバ・コンピュータの資源を特定する所定の一連の統一資源識別子(URIs:Uniform Resource Identifiers)または統一資源位置指定子(URLs:Uniform Resource Locators)を含んでもよい。このような資源は、例えば、ユーザが口座を有する銀行の1つ以上のURLまたはユーザが電子商取引を実施したい1つ以上の電子商取引エンティティあるいはその両方、あるいはユーザが電子取引を実施したい任意のエンティティであってもよい。ユーザがブラウザ・アプリケーションでこのような所定のURLまたはURIのうちの1つを入力する場合、プロキシ・アプリケーションは、それを検出して機密保護動作モードを起動する。機密保護動作モードは、例えば、「機密保護モード起動」信号をハードウェア装置に送ることによって起動されてもよい。
【0029】
通常動作モードでは、プロキシ・アプリケーションは、通信ネットワークを介して直接ブラウザ・アプリケーションからサーバ・コンピュータへクライアント要求を1つ1つ転送またはルートする。反対方向では、通信ネットワークを介してサーバ応答がプロキシ・アプリケーションに送られ、直接プロキシ・アプリケーションからブラウザ・アプリケーションへ転送される。
【0030】
本発明の別の実施形態によれば、機密保護モードは、ユーザによって手動で、例えば、機密保護ハードウェア装置をクライアント・コンピュータと接続することによって起動することもできる。
【0031】
本発明の第1の態様の実施形態によれば、本方法は、復号されたサーバ応答をハードウェア装置からクライアント・コンピュータへ転送する前に、
−サーバ応答を所定の取引情報についてハードウェア装置によって解析するステップと、
−何も所定の取引情報を含まないサーバ応答をクライアント・コンピュータへハードウェア装置によって転送するステップと、
−サーバ応答を検出すると所定の取引情報をハードウェア装置のハードウェア装置ディスプレイ上に表示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むサーバ応答をクライアント・コンピュータへ転送するステップと、
−ユーザ確定が受信されない場合に、電子取引を取り消すステップと、
をさらに含む。
【0032】
クライアント要求を解析するステップに加えてサーバ応答を解析するステップは、強化された機能性およびアプリケーションを提供する。サーバ応答の所定の取引情報は、ユーザの注意を促すためにハードウェア装置ディスプレイ上に表示することができる。サーバ応答の所定の取引情報は、例えば、ハードウェア装置ディスプレイ上に表示することもできるサーバ・コンピュータの警告メッセージを含んでもよい。さらに、サーバ応答の所定の取引情報は、ユーザへのサーバ・チャレンジまたはサーバ・コンピュータからユーザへの他の何らかのセキュリティ高感度情報であってもよい。これには、クライアント・コンピュータ上で動作する不正ソフトウェアが所定の取引情報をクライアント・コンピュータ・ディスプレイ上に表示することを妨げたり、その不正ソフトウェアがクライアント・コンピュータ・ディスプレイ上の画面を操作したりしても、ユーザはサーバのこのような所定の取引情報をチェックすることができるという利点がある。
【0033】
本発明の第1の態様のさらなる実施形態によれば、第1の通信プロトコルは、セキュア・ソケット・レイヤ(SSL:Secure Sockets Layer)規格またはトランスポート・レイヤ・セキュリティ(TLS:Transport Layer Security)規格に従うプロトコルと、トランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP:Transmission Control Protocol/Internet Protocol)規格に従うプロトコルとを含むネットワーク層を含む。
【0034】
これらのプロトコルは、広く適用可能であり広く普及している。本発明のこの態様による方法は、これらのプロトコルを何も適合させる必要なしに使用することができる。これによって本発明のこの態様による方法をコスト効率の高い方法で実施することができる。SSLまたはTLS層は、TCP/IP層の上で動作し、サーバ認証、クライアント認証、および暗号化データ送信の機能を提供する。
【0035】
本発明の第1の態様のさらなる実施形態によれば、第1の通信プロトコルは、ハイパ・テキスト転送プロトコル(HTTP:Hyper Text Transfer Protocol)を含むアプリケーション層を含む。
【0036】
このプロトコルは、広く適用可能であり広く普及している。ネットワーク層上のSSLまたはTLSプロトコルと組み合わせて、ハイパ・テキスト転送プロトコル・セキュア(HTTPS:Hyper Text Transfer Protocol Secure)を確立することができるのが好ましい。
【0037】
本発明のこの態様のさらなる実施形態によれば、第2の通信プロトコルは、トランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP)を含むネットワーク層と、ハイパ・テキスト転送プロトコル(HTTP)を含むアプリケーション層とを含む。
【0038】
これらのプロトコルは、広く適用可能であり広く普及している。通常動作モードでは、クライアント・コンピュータのユーザは、TCP/IPおよびHTTPを使用するブラウザ・アプリケーションを用いてインターネットを閲覧することもできる。
【0039】
本発明のこの態様のさらなる実施形態によれば、本方法は、サーバ・コンピュータによってユーザ認証を実施するステップを含む。
【0040】
この追加の認証は、この方法のセキュリティを強化する。このようなユーザ認証は、例えば、ユーザのパスワードまたは個人識別番号(PIN:personal identification number)を用いて実施されてもよい。一例として、サーバは、サーバ応答をクライアント・コンピュータに送ることができ、そこでユーザは自分のパスワードまたはPINを入力するように求められる。パスワードまたはPINは、サーバ・コンピュータで保存されるので、サーバ・コンピュータによってチェックすることができる。ユーザ認証は、ハードウェア装置自体で自動的に実施することができず、システムのユーザの入力をさらに必要とする認証として理解される。これによって盗んだハードウェア装置を追加のパスワードまたはPINを知らないでも相手が悪用することができる状況を防止する。一方、第1の通信プロトコルの間に実施されるハードウェア装置とサーバ・コンピュータとの間の相互通信は、ユーザがさらに介在することなしに自動的に実施することができる。ユーザ認証は、好ましくは、何らかの所定の取引情報が機密保護ハードウェア装置からサーバ・コンピュータに送られる前に実施するほうがよい。
【0041】
本発明のこの態様のさらなる実施形態によれば、本方法は、ハードウェア装置によってユーザ認証を実施するステップを含む。
【0042】
この追加の認証は、この方法のセキュリティを強化する。このようなユーザ認証は、例えば、パスワードまたは個人識別番号(PIN)を用いて実施されてもよい。一例として、ハードウェア装置はメッセージを表示してもよく、そこでユーザは自分のパスワードまたはPINをハードウェア装置入力ユニットを用いて入力するように求められる。パスワードまたはPINは、ハードウェア装置内またはハードウェア装置が読み出せるスマート・カード上に保存されるので、ハードウェア装置によってチェックすることができる。これによって盗んだハードウェア装置を追加のパスワードまたはPINを知らないでも相手が悪用することができる状況を防止する。例えば、指紋読み取りなどの生体認証のような他のユーザ認証方法を使用することもできる。この実施形態では、ユーザ認証は、好ましくは、第1の通信プロトコルをそれぞれ開始または確立する前に実施するほうがよい。
【0043】
本発明の第2の態様によれば、電子取引を実施するシステムであって、
−サーバ・コンピュータと、
−クライアント・コンピュータ・ディスプレイおよびクライアント・コンピュータ入力ユニットを含むクライアント・コンピュータと、
−ハードウェア装置ディスプレイを含むハードウェア装置と、
−ハードウェア装置とサーバ・コンピュータとの間の通信ネットワークと、
を含み、
−サーバ・コンピュータとハードウェア装置との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−ハードウェア装置でサーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−ハードウェア装置からクライアント・コンピュータへ復号されたサーバ応答を転送し、
−クライアント・コンピュータ・ディスプレイ上に復号されたサーバ応答を提示し、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求をハードウェア装置によって受信し、
−クライアント要求を所定の取引情報についてハードウェア装置によって解析し、
−所定の取引情報を何も含まないクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報をハードウェア装置ディスプレイ上に表示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−ユーザ確定が受信されない場合に、電子取引を取り消す、
ように適合されるシステムが提供される。
【0044】
本発明の第2の態様は、本発明の第1の態様の方法が実施されてもよいシステムのシステム態様に対応する。
【0045】
本発明の第3の態様によれば、ハードウェア装置を用いてサーバ・コンピュータとクライアント・コンピュータとの間の電子取引を制御する方法であって、ハードウェア装置内に、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施するステップと、
−復号されたサーバ応答をクライアント・コンピュータへ転送するステップと、
−サーバ・コンピュータに送られるクライアント要求をクライアント・コンピュータから受信するステップと、
−クライアント要求を所定の取引情報について解析するステップと、
−何も所定の取引情報を含まないクライアント要求を暗号化してサーバ・コンピュータへ転送するステップと、
−クライアント要求を検出すると所定の取引情報をユーザに提示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送するステップと、
を含む方法が提供される。
【0046】
本発明の第3の態様は、ハードウェア装置で実施される方法のステップに関する。本発明のこの態様の実施形態によれば、所定の取引情報は、ハードウェア装置のディスプレイ上に表示される。本発明のこの態様の実施形態によれば、本方法は、ユーザ確定が受信されない場合に、その電子取引を取り消すステップをさらに含む。
【0047】
本発明の第4の態様によれば、電子取引を制御するハードウェア装置であって、
−ハードウェア装置ディスプレイと、ハードウェア装置をクライアント・コンピュータに接続するために提供されるハードウェア装置インタフェース・ユニットと、
を含み、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−復号されたサーバ応答をクライアント・コンピュータへ転送し、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求を受信し、
−クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報をハードウェア装置ディスプレイ上に表示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送する、
ように適合されるハードウェア装置が提供される。
【0048】
このハードウェア装置は、電子取引のセキュリティを改善するために柔軟性のある効率的な方法で実施して使用することができる。特に、第1の通信プロトコルがサーバに周知な、例えば、SSLなどの場合には、サーバ・コンピュータ側で変更を実施する必要がなくてもよい。ハードウェア装置は、デスクトップPCまたはラップトップPCなどの一般的なクライアント・コンピュータと協働することができる。クライアント・コンピュータとハードウェア装置との間の接続は、ハードウェア装置インタフェース・ユニットをクライアント・コンピュータの第1のインタフェースに接続することによって実施されてもよい。ハードウェア装置インタフェース・ユニットは、無線または有線インタフェース・ユニットであってもよい。一例として、ハードウェア装置インタフェース・ユニットは、ユニバーサル・シリアル・バス(USB:Universal Serial Bus)インタフェースであってもよい。
【0049】
本発明の実施形態によれば、ハードウェア装置は、ユーザ確定が受信されない場合に、その電子取引を取り消すように適合される。
【0050】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、セキュリティ高感度データを格納するセキュリティ・トークンを含む。
【0051】
このセキュリティ・トークンは、ハードウェア・ユニットであり、ハードウェア・トークンとも称され、セキュリティ高感度データ、特に、セキュリティ高感度ユーザ・データを耐タンパ性のある方法で格納することができる。言い換えれば、セキュリティ・トークンに格納されるセキュリティ高感度データは、読み出したり操作したりすることができない。耐タンパ性の程度またはレベルは、それぞれのアプリケーションのセキュリティ要件に適合させることができる。セキュリティ・トークンは、例えば、セキュリティ高感度データを格納するスマート・カード・チップを含むハードウェア・コンポーネントであってもよい。
【0052】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、セキュリティ高感度データをスマート・カードから読み出すスマート・カード読み取り機を含む。
【0053】
この実施形態によれば、スマート・カードのスマート・カード・チップは、セキュリティ高感度データを格納する。スマート・カードは、ハードウェア装置とは異なる場所にユーザが保管することができる。ハードウェア装置を動作させる前に、ユーザはスマート・カードをハードウェア装置のスマート・カード読み取り機内に入れる必要がある。
【0054】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、1つ以上の所定レベルの耐タンパ性を有する。
【0055】
所定レベルの耐タンパ性は、それぞれのアプリケーションのセキュリティ要件に適合させることができる。アプリケーションのセキュリティ要件が高いほど耐タンパ性のレベルは高く選択するほうがよい。耐タンパ性のレベルは、タンパ・プルーフであるのが好ましい。
【0056】
所定レベルの耐タンパ性は、様々な攻撃に対応してもよい。例えば、不正ソフトウェアに対する耐タンパ性レベル、またはハードウェア装置の物理的な操作に対する耐タンパ性のレベル、またはハードウェア装置の検査、特に、マイクロスコープを用いたストレージまたはメモリの検査に対する耐タンパ性レベルなどである。マルウェアとも称される不正ソフトウェアは、ハードウェア装置の正常な機能を損なう、変更するまたは操作する意図を有するあらゆるソフトウェアとして理解されてもよい。このような不正ソフトウェアは、例えば、ウィルス、ワーム、トロイの木馬、スパイウェアまたは他の好ましくないソフトウェアであってもよい。言い換えれば、不正ソフトウェアは、コンピュータ・システムに侵入し、危害を与え、あるいは損傷させるように設計されるソフトウェアである。
【0057】
本発明の第4の態様の実施形態によれば、ハードウェア装置の耐タンパ性の所定のレベルは、クライアント・コンピュータの耐タンパ性レベルよりも高い。
【0058】
これは相手にとってクライアント・コンピュータを操作するよりもハードウェア装置を操作または改変するほうが困難であることを意味する。ハードウェア装置の耐タンパ性に重点を置くことは、クライアント・コンピュータ全体の耐タンパ性を改善することよりもコスト効率が高い。特に、相手にとって、クライアント・コンピュータ上に不正ソフトウェアを置くよりもハードウェア装置上に置くほうが困難である。
【0059】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、ソフトウェア・アプリケーションをハードウェア装置にロードすることができないように設計される。
【0060】
これによって、ウィルス、ワームまたは他の不正ソフトウェアがハードウェア装置の機能を操作したり損傷させたりできないようにする。この実施形態は、例えば、ヒューズ・メモリにハードウェア装置のプログラム(単数または複数)を格納することによって実施することができる。言い換えれば、ハードウェア装置のプログラム・メモリにプログラム(単数または複数)をロードした後で、プログラム・メモリにヒューズが取り付けられる。これによって、これ以上プログラムをハードウェア装置にロードして実行することができないようにする。
【0061】
本発明の第4の態様の実施形態によれば、セキュリティ高感度データは、秘密鍵と信頼されるルート(trust root)情報とを含む。
【0062】
秘密鍵は、サーバ・コンピュータと第1の通信プロトコル、特に相互認証を実施するために使用される。
【0063】
信頼されるルート情報は、どの機関がハードウェア装置を信頼しているかを定義する。信頼されるルート情報は、例えば、ハードウェア装置が信頼する認証機関の1つ以上の認証機関のルート鍵を含んでもよい。これによって、第1の通信プロトコルの相互認証を実施するために公開鍵基盤(PKI)技術を使用することができるようになる。
【0064】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、取引を確定するまたは取り消すあるいはその両方のためのハードウェア装置入力ユニットを含む。
【0065】
ハードウェア装置入力ユニットは、例えば、1つ以上のボタンによって、例えば、確定ボタンまたは取り消しボタンあるいはその両方によって確立することができる。
【0066】
本発明の第5の態様によれば、第1のインタフェースを介して通信ネットワークと、第2のインタフェースを介してハードウェア装置に接続可能なクライアント・コンピュータであって、
−通信ネットワークを閲覧するためのブラウザ・アプリケーションと、プロキシ・アプリケーションと、
を含み、プロキシ・アプリケーションが、
−クライアント要求をブラウザ・アプリケーションからハードウェア装置へ、さらに通信ネットワークを介してハードウェア装置からサーバ・コンピュータへ機密保護動作モードで転送し、
−サーバ・コンピュータから受信されるサーバ応答をハードウェア装置へ、さらにハードウェア装置からブラウザ・アプリケーションへ機密保護動作モードで転送する、
ように適合され、クライアント・コンピュータが、ハードウェア装置および通信ネットワークを介してサーバ・コンピュータと電子取引を機密保護動作モードで実施するように適合されるクライアント・コンピュータが提供される。
【0067】
このようなクライアント・コンピュータは、効率的な方法で実施することができる。プロキシ・アプリケーションは、一般的なクライアント・コンピュータの性能を向上させることができ、ハードウェア装置と相互運用可能にする。
【0068】
本発明の第5の態様の実施形態によれば、プロキシ・アプリケーションは、
−クライアント・コンピュータのブラウザ・アプリケーションから受信されるクライアント要求を、通信ネットワークのサーバ・コンピュータへ通常動作モードで転送し、
−サーバ・コンピュータから受信されるサーバ応答をクライアント・コンピュータのブラウザ・アプリケーションへ通常動作モードで転送し、
−クライアント要求を所定の一連のクライアント要求について解析し、
−所定のクライアント要求を検出すると機密保護動作モードを起動する、
ように適合される。
【0069】
これは、機密保護モードを自動化された方法でトリガする効率的な方法である。ユーザは、機密保護モードを能動的に開始させる必要はなくて、所定のクライアント要求の1つを送る場合には必ず機密保護モードが自動的に開始されると確信することができる。
【0070】
本発明の第5の態様の実施形態によれば、機密保護モードは、プロキシ・アプリケーションからハードウェア装置へ機密保護モード有効信号を送ることによって起動される。
【0071】
機密保護モード有効信号は、ハードウェア装置に対して機密保護モードを開始するべきであることを示す。
【0072】
本発明の第6の態様によれば、コンピュータ・プログラムであって、クライアント・コンピュータ上で実行される場合に、
−クライアント・コンピュータのブラウザ・アプリケーションから受信されるクライアント要求をハードウェア装置へ、さらにハードウェア装置から通信ネットワークを介してサーバ・コンピュータへ機密保護動作モードで転送するステップと、
−サーバ・コンピュータから受信されるサーバ応答をハードウェア装置へ、さらにハードウェア装置からブラウザ・アプリケーションへ機密保護動作モードで転送するステップと、
を実行する命令を含むコンピュータ・プログラムが提供される。
【0073】
このようなコンピュータ・プログラムは、プロキシ・アプリケーションを具体化し、ブラウザ・アプリケーションとハードウェア装置との間で効率的で柔軟性のあるインタフェースを確立する。このようなコンピュータ・プログラムは、ブラウザ・アプリケーションを効率的な方法でハードウェア装置と相互運用可能にする。
【0074】
本発明の第6の態様の実施形態によれば、コンピュータ・プログラムは、クライアント・コンピュータ上で実行される場合に、
−クライアント・コンピュータのブラウザ・アプリケーションから受信されるクライアント要求を通信ネットワークのサーバ・コンピュータへ通常動作モードで転送するステップと、
−サーバ・コンピュータから受信されるサーバ応答をクライアント・コンピュータのブラウザ・アプリケーションへ通常動作モードで転送するステップと、
−クライアント要求を所定の一連のクライアント要求について解析するステップと、
−所定のクライアント要求を検出すると機密保護モードを起動するステップと、
を実行する命令をさらに含む。
【0075】
本発明の第7の態様によれば、ハードウェア装置を用いてサーバ・コンピュータとクライアント・コンピュータとの間の電子取引を制御する方法であって、ハードウェア装置内に、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施するステップと、
−サーバ応答を所定の取引情報について解析するステップと、
−何も所定の取引情報を含まないサーバ応答をクライアント・コンピュータへ転送するステップと、
−サーバ応答を検出すると所定の取引情報をユーザに提示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むサーバ応答をクライアント・コンピュータへ転送するステップと、
を含む方法が提供される。
【0076】
本発明のこの態様は、そのサーバ応答が解析されることによる方法に関する。サーバ応答の所定の取引情報は、例えば、ユーザへのサーバ・チャレンジまたはサーバ・コンピュータからユーザへのセキュリティ高感度情報であってもよい。
【0077】
一例として、この方法は、ソフトウェアのダウンロードを強化されたセキュリティで実施するために使用されてもよい。ハードウェア装置がソフトウェアをクライアント・コンピュータへ転送する前に、ハードウェア装置はメッセージを表示して、ユーザはダウンロードに合意するかどうかについて質問される。さらに、サーバは、ソフトウェアの整合性に関するあるユーザ検証可能情報をハードウェア装置へ送ることもできる。その後、ハードウェア装置は、ハードウェア装置ディスプレイ上にユーザ検証可能情報を表示することになり、ユーザはダウンロードする前にソフトウェアの整合性を検証することもできる。これは、不正ソフトウェアのダウンロードを回避するのに特に役立つ。
【0078】
本発明の第8の態様によれば、電子取引を制御するハードウェア装置であって、
−ハードウェア装置ディスプレイと、ハードウェア装置をクライアント・コンピュータに接続するために提供されるハードウェア装置インタフェース・ユニットと、
を含み、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−サーバ応答を所定の取引情報について解析し、
−何も所定の取引情報を含まないサーバ応答をクライアント・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報をハードウェア装置ディスプレイ上に表示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むサーバ応答をクライアント・コンピュータへ転送する、
ように適合されるハードウェア装置が提供される。
【0079】
本発明の第8の態様は、本発明の第7の態様の方法が実施されてもよいハードウェア装置に対応する。
【0080】
本発明の第9の態様によれば、電子取引を制御するハードウェア装置であって、ユーザに情報を提示する提示手段と、ハードウェア装置をクライアント・コンピュータに接続するために提供されるハードウェア装置インタフェース・ユニットとを含み、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−復号されたサーバ応答をクライアント・コンピュータへ転送し、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求を受信し、
−クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報を提示手段によって提示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送する、
ように適合されるハードウェア装置が提供される。
【0081】
本発明のこの態様によれば、提示手段は、所定の取引情報をユーザに提示するために提供される。本発明のこの態様によれば、提示手段は、ディスプレイであってもよい。
【0082】
本発明の第10の態様によれば、電子取引を制御するハードウェア装置であって、ユーザ・インタフェースと、ハードウェア装置をクライアント・コンピュータに接続するために提供されるハードウェア装置インタフェース・ユニットとを含み、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−復号されたサーバ応答をクライアント・コンピュータへ転送し、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求を受信し、
−クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報をユーザ・インタフェースによって提示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送する、
ように適合されるハードウェア装置が提供される。
【0083】
本発明のこの態様によれば、汎用ユーザ・インタフェースは、所定の取引情報をユーザに提示するために提供される。この汎用ユーザ・インタフェースは、取引情報を様々な方法でユーザに提示してもよい。本発明の実施形態によれば、ユーザ・インタフェースは、ディスプレイであってもよい。本発明の別の実施形態によれば、ユーザ・インタフェースは、ラウドスピーカなどの音響インタフェースであってもよい。
【0084】
本発明の様々な態様のステップは、異なる順序で実施することができる。さらに、ステップは組み合わされてもよい。すなわち、例えば、2つ以上のステップが同時に実施される。
【0085】
装置の特徴は、どれも本発明の方法の態様に当てはめることもでき、その逆も同様である。装置の特徴の利点は、対応する方法の特徴にも当てはまり、その逆も同様である。
【0086】
本発明の好適な実施形態は、以下の概略図を参照しながらほんの一例として以下に詳細に説明される。
【0087】
図面は、説明のためだけに提供されるものであり、本発明の実例を必ずしも縮尺どおりに表すものではない。図面において、類似の参照記号は、同一または類似の部品を示すのに使用される。
【図面の簡単な説明】
【0088】
【図1】本発明の実施形態によるシステムを示すブロック図である。
【図2】本発明の実施形態によるハードウェア装置を示すブロック図である。
【図3】本発明の別の実施形態によるハードウェア装置を示すブロック図である。
【図4】本発明の実施形態によるブラウザ・アプリケーションと、プロキシ・アプリケーションと、ハードウェア装置と、サーバ・コンピュータとの間の通信の流れを示す図である。
【図5】通常動作モードの本発明の実施形態による方法のメッセージの流れを示す概略図である。
【図6】機密保護動作モードの本発明の実施形態による方法のメッセージの流れを示す概略図である。
【図7】機密保護動作モードの本発明の実施形態による方法のメッセージの流れを示す概略図である。
【図8】機密保護動作モードの本発明の実施形態による方法のメッセージの流れを示す概略図である。
【発明を実施するための形態】
【0089】
図1は、本発明の実施形態によるシステム100を示す。システム100は、サーバ・コンピュータ110と、クライアント・コンピュータ120と、ハードウェア装置130とを含む。クライアント・コンピュータ120は、クライアント・コンピュータ・ディスプレイ121と、クライアント・コンピュータ入力ユニット122とを含む。クライアント・コンピュータ入力ユニット122は、キーボード123と、マウス124とを含む。クライアント・コンピュータ120は、バス・システム153を用いて接続されコンピュータ・ケース154に配置される、処理ユニット150と、メモリ151(例えば、揮発性メモリ・デバイス)と、ストレージ152とを含む。ストレージ152は、不揮発性メモリ・デバイス(例えば、EEPROM、ROM、PROM、RAM、DRAM、SRAM、フラッシュ、ファームウェア、プログラマブル・ロジックなど)、磁気ディスク・ドライブ、光ディスク・ドライブ、テープ・ドライブなどを含んでもよい。ストレージ152は、内部ストレージ・デバイス、付属ストレージ・デバイスまたはネットワーク・アクセス可能ストレージ・デバイスあるいはその全部を含んでもよい。クライアント・コンピュータ120は、メモリ151内にロードされ処理ユニット150によって実行されてもよいプログラム・コード158を含むプログラム・ロジック157を含んでもよい。特定の実施形態では、プログラム・コード158を含むプログラム・ロジック157は、ストレージ152に格納されてもよい。したがって、図1は、他の要素とは別のプログラム・ロジック157を示すが、プログラム・ロジック157は、ストレージ152内に実施されてもよい。
【0090】
クライアント・コンピュータ120は、第1のインタフェース156を介して通信ネットワーク160に接続される。第1のインタフェース156は、無線インタフェースまたは有線インタフェース、特に、ユニバーサル・シリアル・バス(USB)インタフェースであってもよい。通信ネットワーク160は、インターネットであってもよい。クライアント・コンピュータ120は、第2のインタフェース155を介してハードウェア装置130に接続される。第2のインタフェース155は、無線または有線インタフェース、特に、USBインタフェースであってもよい。クライアント・コンピュータ120は、パーソナル・コンピュータ(PC)であってもよい。サーバ・コンピュータ110は、通信ネットワーク160にも接続される。サーバ・コンピュータ110は、例えば、銀行、保険会社、または通信ネットワーク160、特に、インターネットを介して電子取引を提供する団体のサーバ・コンピュータとすることができる。
【0091】
図2は、図1のハードウェア装置130の実施形態をさらに詳細に示す。ハードウェア装置130は、処理ユニット200と、ハードウェア装置ディスプレイ210と、メモリ220(例えば、揮発性メモリ・デバイス)と、ストレージ230とを含む。ストレージ230は、不揮発性メモリ・デバイス(例えば、EEPROM、ROM、PROM、RAM、DRAM、SRAM、フラッシュ、ファームウェア、プログラマブル・ロジックなど)を含んでもよい。ハードウェア装置130は、メモリ220内にロードされ処理ユニット200によって実行されてもよいプログラム・コード241を含むプログラム・ロジック240を含んでもよい。特定の実施形態では、プログラム・コード241を含むプログラム・ロジック240は、ストレージ230に格納されてもよい。したがって、図2は、他の要素とは別のプログラム・ロジック240を示すが、プログラム・ロジック240は、ストレージ230内に実施されてもよい。ハードウェア装置130は、スマート・カード読み取り機250と、I/Oユニット270とも称されるハードウェア装置インタフェース・ユニット270と、ハードウェア装置入力ユニット280とをさらに含む。ハードウェア装置インタフェース・ユニット270は、無線インタフェースまたは有線インタフェース、特に、ユニバーサル・シリアル・バス(USB)インタフェースであってもよい。ハードウェア装置インタフェース・ユニット270は、ハードウェア装置130をクライアント・コンピュータ120に接続または結合するために使用されてもよい。ハードウェア装置入力ユニット280は、ユーザによる入力のために提供され、1つ以上のボタンまたは完全なキーボードを含んでもよい。一例として、ハードウェア装置入力ユニット280は、取引を取り消すための1つの取り消しボタンと、取引を確定するための1つの確定ボタンとの2つのボタンだけから構成することもできる。ハードウェア装置130は、ハウジング290、例えば、プラスチック製ハウジングによって覆われている。
【0092】
スマート・カード読み取り機250は、スマート・カード260から、セキュリティ高感度データ、特に、秘密鍵および信頼されるルート情報などのセキュリティ高感度ユーザ・データを読み取ることができる。
【0093】
図3は、図1のハードウェア装置130の別の実施形態をさらに詳細に示す。図3の実施形態によるハードウェア装置130は、図2を参照して説明されるように、処理ユニット200と、ハードウェア装置ディスプレイ210と、メモリ220と、ストレージ230と、プログラム・コード241を含むプログラム・ロジック240と、ハードウェア装置インタフェース・ユニット270と、ハードウェア装置入力ユニット280と、ハウジング290とを含む。
【0094】
さらに、ハードウェア装置130は、秘密鍵および信頼されるルート情報などのセキュリティ高感度データを格納する内蔵セキュリティ・トークン310を含む。セキュリティ・トークン310は、例えば、スマート・カード・チップであってもよい。
【0095】
ハードウェア装置130は、信頼される機密保護環境、例えば、銀行のセキュア・サイトで初期化されるのが好ましい。この初期化は、例えば、セキュリティ・トークン310またはスマート・カード260にセキュリティ高感度情報をロードすることを含む。
【0096】
ハードウェア装置130は、例えば、USBスティックとして実施されてもよい。
【0097】
図4は、クライアント・コンピュータ120上で動作するブラウザ・アプリケーション410と、クライアント・コンピュータ120上で動作するプロキシ・アプリケーション420と、ハードウェア装置130と、通信ネットワーク160と、サーバ・コンピュータ110との間の通信の流れを示す。
【0098】
本発明の実施形態によれば、図1を参照して説明されるように、ブラウザ・アプリケーション410およびプロキシ・アプリケーション420は、クライアント・コンピュータ120のプログラム・ロジック157のプログラム・コード158として実施される。ブラウザ・アプリケーション420は、特に、インターネットのウェブ・ページまたはウェブサイト上に位置してもよいテキスト、画像、ビデオ、音楽および他の情報をユーザが表示およびやりとりすることができるウェブ・ブラウザであってもよい。特に、ブラウザ・アプリケーション420によって、ユーザは通信ネットワーク160を介してサーバ・コンピュータ110からアクセスできるテキスト、画像、ビデオ、音楽および他の情報を表示およびやりとりすることができる。ブラウザ・アプリケーション410は、例えば、アプリケーション層のHTTPプロトコルおよびネットワーク層のトランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP)を用いて、プロキシ・アプリケーション420および通信ネットワーク160を介してサーバ・コンピュータ110と通信してもよい。
【0099】
通常動作モードでは、ブラウザ・アプリケーション410は、プロキシ・アプリケーション420を介して通信ネットワーク160に接続する。通常動作モードでは、ブラウザ・アプリケーション410は、第2の通信プロトコルを実行し、クライアント要求、例えば、HTTP取得要求などをプロキシ・アプリケーション420および通信ネットワーク160を介してサーバ・コンピュータ110に送ることができる。反対方向については、サーバ・コンピュータ110は、サーバ応答、例えば、HTTP応答などを通信ネットワーク160およびプロキシ・アプリケーション420を介してブラウザ・アプリケーション410に通常動作モードで送ることができる。通常動作モードでは、プロキシ・アプリケーション420は、ブラウザ・アプリケーション410と通信ネットワーク160との間のフォワーダ(forwarder)として働くと同時に、クライアント要求を所定の一連のクライアント要求について1つ1つ監視して解析する。所定の一連のクライアント要求は、例えば、一連の統一資源位置指定子(URLs)であってもよい。所定の一連のクライアント要求は、クライアント・コンピュータ120のユーザが、この資源との通信はハードウェア装置130によって制御されるべきと事前に定義した一連の資源を表す。一例として、クライアント・コンピュータ120のユーザは、所定の要求として自分の銀行のURLをプロキシ・アプリケーション420に定義することもできる。その後、プロキシ・アプリケーション420は、ユーザがこの銀行の対応するURLをブラウザ・アプリケーション410に入力するかどうかを監視することになる。言い換えれば、プロキシ・アプリケーション420は、ユーザが所定のURLにアクセスするためのクライアント要求を通信ネットワーク160を介してサーバ・コンピュータ110へ送るかどうかを監視する。所定のクライアント要求のうちの1つを検出すると、プロキシ・アプリケーション420は、機密保護動作モードに切り換えてこれを起動する。機密保護動作モードでは、プロキシ・アプリケーション420は、データの流れを変更して、ブラウザ・アプリケーション410から受信されるクライアント要求をハードウェア装置130にルートする。さらに、プロキシ・アプリケーション420は、適切な信号、例えば、機密保護モード有効信号をハードウェア装置130に送ることによって機密保護動作モードを起動する。次いで、ハードウェア装置130は、サーバ・コンピュータ110とハードウェア装置130との間の暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを起動して実行する。以下では、ハードウェア装置130は、サーバ・コンピュータ110とクライアント・コンピュータ120のブラウザ・アプリケーション410との間の知的インタフェースとして働く。言い換えれば、ハードウェア装置130は、サーバ・コンピュータ110とブラウザ・アプリケーション410との間のデータ通信を制御および監視する。機密保護動作モードでは、プロキシ・アプリケーション420は、一種のスイッチとして動作する。一方では、プロキシ・アプリケーション420は、ハードウェア装置130から受信されるクライアント要求を通信ネットワーク160へ機密保護動作モードで転送するとともに、通信ネットワーク160から受信されるサーバ応答をハードウェア装置130へ機密保護動作モードで転送する。他方では、プロキシ・アプリケーション420は、ブラウザ・アプリケーション410から受信されるクライアント要求をハードウェア装置130へ機密保護動作モードで転送するとともに、ハードウェア装置130から受信されるサーバ応答をブラウザ・アプリケーション410へ機密保護動作モードで転送する。
【0100】
第1の通信プロトコルが確立された後で、ハードウェア装置130は、クライアント・コンピュータ120から受信されるクライアント要求またはブラウザ・アプリケーション410から受信されるクライアント要求をそれぞれ所定の取引情報について解析する。言い換えれば、ハードウェア装置130は、クライアント・コンピュータ120から受信するデータ・トラフィックが何か所定の取引情報を含むかどうかを監視する。この所定の取引情報は、例えば、支払い明細、支払い金額などのセキュリティ高感度情報であってもよい。所定の取引情報は、例えば、各URLのオーナによって、例えば、ユーザが取引を実施したい銀行によって事前に定義されてもよい。所定の取引情報は、例えば、HTTPポスト要求を用いて送られてもよい。所定の取引情報を検出すると、ハードウェア装置130は、対応するクライアント要求に割り込み、ハードウェア装置130のハードウェア装置ディスプレイ210上に検出された所定の取引情報を表示する。その結果、その取引を実施したいユーザは、各取引情報が正しいかどうかをハードウェア装置ディスプレイ210上でチェックすることができる。一例として、所定の取引情報が電子決済の送金金額に関する場合、ハードウェア装置130は、各送金金額をハードウェア装置ディスプレイ210上に表示することになる。ユーザは、各送金金額が正しいかどうかをハードウェア装置ディスプレイ210上でチェックすることができる。ハードウェア装置入力ユニット280を介して、例えば、ユーザが確定ボタンを押してその取引を確定する場合は、ハードウェア装置130はその取引を継続するだけである。ハードウェア装置130がこの確定を受信する場合、ハードウェア装置130はその取引を継続し、プロキシ・アプリケーション420および通信ネットワーク160を介してその取引情報をサーバ・コンピュータ110へ転送する。ハードウェア装置130が確定を受信しないあるいは取り消し信号を受信する場合には、ハードウェア装置130はその取引を取り消し、その取引情報をプロキシ・アプリケーション420へ転送しない。
【0101】
ハードウェア装置130は、所定の取引情報を検出すると、確定要求メッセージとも称される割り込みメッセージをブラウザ・アプリケーション410に送り返すのが好ましい。この割り込みメッセージは、ハードウェア装置130が所定の取引情報を特定したところであり、取引を継続する前にユーザによる確定を待っていることをブラウザ・アプリケーション410に示してもよい。ブラウザ・アプリケーション410は、クライアント・コンピュータ・ディスプレイ121上で、確定要求メッセージとも称される対応する割り込みメッセージをユーザに表示するのが好ましい。この割り込みメッセージは、例えば、その取引情報が正しいかどうかをハードウェア装置ディスプレイ210上で2重にチェックするとともに、ハードウェア装置入力ユニット280を介してこれを確定するほうがよいことをユーザに知らせることもできる。
【0102】
ハードウェア装置130は、クライアント要求を解析する解析プログラムを含む。解析プログラムは、所定の取引情報を含み、アプリケーション固有とすることができる。一例として、銀行は、銀行専用解析プログラムがロードされる銀行専用ハードウェア装置130を発行することもできる。各銀行は、解析プログラムをその専用オンライン・バンキング・プロセスおよびその専用セキュリティ要求および要件に適合させることもできる。解析プログラムは、信頼される機密保護環境、例えば、銀行のセキュア・サイトで初期化されるのが好ましい。解析プログラムは、ロードされてハードウェア装置130のセキュリティ・トークン310またはスマート・カード260内に格納されるのが好ましい。しかしながら、本発明の別の実施形態によれば、解析プログラムは、ハードウェア装置130のストレージ230内に格納することもできる。
【0103】
本発明の実施形態によれば、ハードウェア装置130は、サーバ・コンピュータ110から受信されるサーバ応答を所定の取引情報について解析する。言い換えれば、ハードウェア装置130は、クライアント要求を解析するだけでなくサーバ応答についても所定の取引情報について解析する。
【0104】
クライアント要求およびサーバ応答に対してハードウェア装置130によって実施される解析プロセスは、図4で点線を用いて示される。
【0105】
図5、図6、図7および図8は、本発明の実施形態による方法のメッセージの流れに関する概略図を示す。その中で、サーバ・コンピュータ110と、プロキシ・アプリケーション420と、ブラウザ・アプリケーション410と、ハードウェア装置130との間のメッセージの流れが、各参照番号が与えられるラベル付き矢印で示される。追加のステップまたはサブステップは、円で囲まれる参照番号で示される。流れは、増加する参照番号によって示されるように上方から下方に順に実施されるように理解される。
【0106】
図5は、通常動作モードのメッセージの流れを示す。
【0107】
ステップ510で、クライアント・コンピュータ120のユーザは、クライアント要求、例えば、ウェブサイトのURLをクライアント・コンピュータ入力ユニット122を用いて入力する。ステップ520で、ブラウザ・アプリケーション410は、クライアント要求、例えば、ウェブサイトのURLを含むHTTP取得要求をプロキシ・アプリケーション420に送る。ステップ530で、プロキシ・アプリケーション420は、所定の一連の要求、例えば、所定の一連のURLについてクライアント要求を解析する。この例では、ステップ520で送られるクライアント要求は、所定の一連のクライアント要求に属したり対応したりしていないと仮定する。したがって、プロキシ・アプリケーション420は、ステップ540で、クライアント要求を通信ネットワーク160を介してサーバ・コンピュータ110へ転送する。ステップ550で、サーバ・コンピュータ110は、サーバ応答、例えば、要求されるURLのHTMLファイルを含むHTTPサーバ応答を送り返すことによって応答する。次いで、ステップ560で、サーバ応答、例えば、要求されるURLのHTMLファイルが、クライアント・コンピュータ・ディスプレイ121上に表示される。
【0108】
ステップ510、ステップ520、ステップ530、ステップ540、ステップ550およびステップ560は、ブラウザ・アプリケーション410およびプロキシ・アプリケーション420の通常動作モードを示す。通常動作モードは、ハードウェア装置130なしでも実施することができる。通常動作モードでは、ブラウザ・アプリケーション410とサーバ・コンピュータ110との間で第2の通信プロトコルが実行される。
【0109】
ステップ570で、クライアント・コンピュータ120のユーザは、別のクライアント要求、例えば、ウェブサイトのURLをクライアント・コンピュータ入力ユニット122を用いて入力する。ステップ580で、ブラウザ・アプリケーション410は、対応するクライアント要求をプロキシ・アプリケーション420に送る。この例では、ステップ580で送られるクライアント要求は、所定の一連のクライアント要求に属するあるいは対応すると仮定する。一例として、ステップ580で送られるクライアント要求は、所定の一連のURLに属するURLに対するHTTP取得要求であってもよい。これは、例えば、ユーザが利用する銀行のウェブサイトのURLであってもよい。ステップ590で、プロキシ・アプリケーション420は、クライアント要求を所定の一連の要求について解析し、ステップ580で送られるクライアント要求が所定の一連のクライアント要求に属するか対応することを検出する。その結果、プロキシ・アプリケーション420は、機密保護動作モードに切り換えて、ステップ595で、機密保護モード有効信号をハードウェア装置130に送ることによって、ハードウェア装置130で機密保護動作モードを起動する。機密保護モード有効信号は、例えば、ハードウェア装置130に理解される「機密保護モード起動」コマンドとして実施することもできる。機密保護モード有効信号は、ブラウザ・アプリケーション410とサーバ・コンピュータ110との間の以降の通信に対して機密保護動作モードを開始するべきであることをハードウェア装置130に示す。
【0110】
図6、図7および図8を参照して、機密保護動作モードのメッセージの流れが示される。
【0111】
ステップ595で機密保護動作モードを受信した後で、ハードウェア装置130は、ステップ605で、確定要求メッセージ(CRM:confirmation request message)をプロキシ・アプリケーション420を介してブラウザ・アプリケーション410へ送る。次に、ステップ610で、ブラウザ・アプリケーション410は、確定要求メッセージをクライアント・コンピュータ・ディスプレイ121上でユーザに表示する。確定要求メッセージは、ユーザに対して機密保護動作モードが実施されることを確定するように求める。これは、例えば以下のように書くこともできる。「ご希望のウェブサイトには、機密保護動作モードの初期化が必要です。お客様のハードウェア装置の確定ボタンを押して同意したことを確認してください。」。ステップ615で、特に、「機密保護モードを確定しますか?」などの短い形態の対応するメッセージが、ハードウェア装置130のハードウェア装置ディスプレイ210上に表示される。ユーザの確定応答は、ステップ620でハードウェア装置入力ユニット280を介して受信することができる。
【0112】
ステップ620でユーザが確定すると、ハードウェア装置130は、ステップ625で、ハロー・メッセージをプロキシ・アプリケーション420および通信ネットワーク160を介してサーバ・コンピュータ110へ送る。ステップ630で、サーバ・コンピュータ110は、ハロー・メッセージを通信ネットワーク160およびプロキシ・アプリケーション420を介してハードウェア装置130へ送り返す。ステップ635で、サーバ・コンピュータ110は、ハードウェア装置130に対してそれ自体を認証する。この認証は、サーバ証明書(公開鍵証明書)をハードウェア装置130へ送ることを含んでもよい。さらに、クライアント証明書を求める証明書要求を含んでもよい。ステップ640で、クライアント・コンピュータ120は、サーバ・コンピュータ110に対してそれ自体を認証する。この認証は、クライアント証明書(公開鍵証明書)をサーバ・コンピュータ110へ送ることを含んでもよい。要約すれば、サーバ・コンピュータ110およびハードウェア装置130は、ステップ635およびステップ640で、相互認証を実施する。
【0113】
ステップ645およびステップ650で、サーバ・コンピュータ110およびハードウェア装置130は、セッション鍵とも称される対称暗号鍵SKを交換する。
【0114】
ステップ625〜ステップ650は、例えば、SSL/TLSハンドシェイク・プロトコルを用いて実施されてもよい。
【0115】
以下では、ハードウェア装置130とサーバ・コンピュータ110との間のデータ送信は、セッション鍵SKを用いて暗号化された方法で実施される。これは、例えば、SSL/TLSレコード・プロトコルを用いて実施することができる。
【0116】
ステップ655で、サーバ・コンピュータ110は、ユーザ認証応答をハードウェア装置130へ送る。このユーザ認証応答は、例えば、ユーザが自分の名前およびパスワードを入力するべきユーザ・フィールドおよびパスワード・フィールドを有するHTML形態を含むこともできる。
【0117】
ユーザ認証応答は、ステップ657で、ハードウェア装置130によって復号された後、ステップ660でプロキシ・アプリケーション420を介してブラウザ・アプリケーション410へ転送される。ステップ662で、ユーザ認証応答は、クライアント・コンピュータ・ディスプレイ121上に表示される。ステップ665で、ユーザは、自分の個人認証データ、例えば、自分のユーザ名およびパスワードをクライアント・コンピュータ入力ユニット122を用いて対応するHTML形態に入力する。次いで、ステップ670で、ブラウザ・アプリケーション410は、ユーザの認証データを含むHTTPポスト要求をハードウェア装置130へ送る。ステップ675で、ハードウェア装置130は、HTTPポスト要求を所定の取引情報について解析する。この例では、ユーザ認証の情報を含むHTTPポスト要求は、所定の取引情報ではないと仮定する。したがって、ステップ677で、HTTPポスト要求は、対称セッション鍵SKを用いて暗号化され、ステップ680でサーバ・コンピュータ110へ送られる。サーバ・コンピュータ110は、対称セッション鍵SKを用いてHTTPポスト要求を復号し、ユーザ認証データが有効な場合に、ステップ695でユーザを認証する。有効でない場合には、サーバ・コンピュータ110は、その取引を取り消してもよい。
【0118】
ステップ655からステップ695は、ハードウェア装置130が盗まれたり失われたりする場合のセキュリティを強化するために実施されてもよいサーバ・コンピュータ110による追加のユーザ認証について示す。別の例示的な実施形態によれば、ステップ655からステップ695を参照して説明される追加のユーザ認証は、ハードウェア装置130によって実施されるユーザ認証に置き換えられる。
【0119】
図7を参照すると、ユーザ認証後の機密保護動作モードにおけるメッセージの流れを説明する図が続く。
【0120】
ステップ705で、サーバ・コンピュータ110は、サーバ応答として取引応答をプロキシ・アプリケーション420を介してハードウェア装置130へ送る。この取引応答は、例えば、以前のステップで認証されたユーザの銀行口座を有するHTMLファイルを含むこともできる。ステップ710で、ハードウェア装置130は、対称セッション鍵SKを用いてサーバ応答を復号する。ステップ715では、ハードウェア装置130は、サーバ応答を所定の取引情報について解析してもよい。この例では、ステップ705で受信されるサーバ応答は、所定の取引情報を含まないと仮定する。次いで、ステップ720で、復号されたサーバ応答は、プロキシ・アプリケーション420を介してハードウェア装置130からブラウザ・アプリケーション410へ送られる。ステップ725で、ブラウザ・アプリケーション410は、クライアント・コンピュータ120のクライアント・コンピュータ・ディスプレイ121上にサーバ応答を表示する。
【0121】
別の例によれば、点線で示されるように、ステップ705で受信されるサーバ応答は、所定の取引情報を含むと仮定する。次いで、ハードウェア装置130は、解析ステップ715で、サーバ応答が所定の取引情報を含むことを検出する。したがって、ハードウェア装置130は、ステップ717で、サーバ応答の所定の取引情報をハードウェア装置ディスプレイ210上に表示する。ステップ718で、ユーザがハードウェア装置ディスプレイ210上に表示されるサーバ応答の取引情報をハードウェア装置入力ユニット280を用いて確定する場合、本方法は、ステップ720から継続される。ユーザがサーバ応答の取引情報を確定しない場合には、ハードウェア装置130は、その取引を取り消す。
【0122】
ステップ730で、ユーザは、所定の取引情報を含まないクライアント要求を入力する。この要求は、例えば、ユーザの銀行口座の特定データを取得するための、銀行口座のさらに詳細を示すための、または計画される電子取引、例えば、送金の初期チェックを実施するためのクライアント要求であってもよい。ステップ735で、ブラウザ・アプリケーション410は、クライアント要求をプロキシ・アプリケーション420を介してハードウェア装置130へ送る。ステップ740で、ハードウェア装置130は、受信されるクライアント要求を所定の取引情報について解析し、所定の取引情報を含まないクライアント要求を検出する。次いで、ステップ745で、ハードウェア装置130は、対称セッション鍵SKを用いてクライアント要求を暗号化し、ステップ750で、暗号化されたクライアント要求をプロキシ・アプリケーション420へ送る。プロキシ・アプリケーション420は、ステップ750で、暗号化されえたクライアント要求を通信ネットワーク160を介してサーバ・コンピュータ110へ転送する。ステップ755で、サーバ・コンピュータ110は、対称セッション鍵SKを用いて受信される暗号化されたクライアント要求を復号し、復号されたクライアント要求を処理する。
【0123】
ステップ760で、サーバ・コンピュータ110は、受信されるクライアント要求に関するサーバ応答をプロキシ・アプリケーション420を介してハードウェア装置130へ送り返す。ステップ765で、ハードウェア装置130は、対称セッション鍵SKを用いてサーバ応答を復号する。ステップ770で、ハードウェア装置130は、サーバ応答を所定の取引情報について解析してもよい。この例では、ステップ760で受信されるサーバ応答は、所定の取引情報を含まないと仮定する。したがって、ステップ775で、復号されたサーバ応答は、プロキシ・アプリケーション420を介してハードウェア装置130からブラウザ・アプリケーション410へ送られ、ステップ780で、ブラウザ・アプリケーション410は、クライアント・コンピュータ120のクライアント・コンピュータ・ディスプレイ121上にサーバ応答を表示する。
【0124】
図8は、所定の取引情報を含むクライアント要求に関する機密保護動作モードのメッセージの流れを示す。
【0125】
ステップ805で、ユーザは、所定の取引情報を含むクライアント要求を入力する。所定の取引情報は、例えば、電子取引を実施する最終注文であってもよい。この最終注文は、例えば、送金金額などの支払い明細を有する送金注文であってもよい。所定の取引情報は、例えば、クライアント・コンピュータ入力ユニット122を用いて対応するHTML形態にユーザによって入力されてもよい。ステップ810で、ブラウザ・アプリケーション410は、所定の取引情報を含むクライアント要求をプロキシ・アプリケーション420を介してハードウェア装置130に送る。この要求は、例えば、HTTPポスト要求とすることもできる。ステップ815で、ハードウェア装置130は、受信されるクライアント要求を所定の取引情報について解析し、クライアント要求が所定の取引情報、例えば、前述の送金の最終支払い明細などを含むことを検出する。次いで、ステップ820で、ハードウェア装置130は、確定要求メッセージ(CRM)をプロキシ・アプリケーション420を介してブラウザ・アプリケーション410へ送る。ブラウザ・アプリケーション410は、ステップ825で、確定要求メッセージをクライアント・コンピュータ120のクライアント・コンピュータ・ディスプレイ121上に表示する。確定要求メッセージは、ハードウェア装置130が所定の取引情報を検出したところであり、ユーザがその取引情報が正しいことをハードウェア装置130のハードウェア装置ディスプレイ210上でチェックして確定するべきであることをユーザに示す。確定要求メッセージは、例えば、以下のように書くこともできる。「お客様のセキュリティ・トークンのディスプレイ上の送金金額をチェックしてください。送金金額が正しければ、セキュリティ・トークンの確定ボタンを押して取引を確定してください。」
【0126】
ステップ830で、ハードウェア装置130は、ハードウェア装置ディスプレイ210上に、所定の取引情報(PTI:predefined transaction information)、例えば、送金金額および送金先口座などを表示する。さらに、ハードウェア装置ディスプレイ210上に何らかの確定メッセージを表示することもできる。ハードウェア装置ディスプレイ210は、やや小さいこともあるので、このような確定メッセージは、「金額Xの口座Yへの送金を確定してください。」のようにある程度短いほうが好ましい。その後、ユーザは、ハードウェア装置ディスプレイ210上でその取引情報が正しいかどうかをチェックすることができる。さらに、ユーザは、ハードウェア装置ディスプレイ210上に表示される取引情報をクライアント・コンピュータ・ディスプレイ121上に表示される取引情報と比較することができる。確定ステップ835で、ユーザが、ハードウェア装置入力ユニット280の確定ボタンを押すことによって、ハードウェア装置ディスプレイ210上に表示される取引情報が正しいことを確認すれば、取引は継続される。次いで、ステップ840で、ハードウェア装置130は、取引情報を含むクライアント要求を対称セッション鍵SKを用いて暗号化し、ステップ845で、暗号化されたクライアント要求をプロキシ・アプリケーション420へ送る。プロキシ・アプリケーション420は、暗号化されたクライアント要求を通信ネットワーク160を介してサーバ・コンピュータ110へ転送する。サーバ・コンピュータ110は、ステップ850で、受信される暗号化されたクライアント要求を対称セッション鍵SKによって復号する。次いで、ステップ855で、サーバ・コンピュータ110は、取引を実施する。送金の例では、サーバ・コンピュータ110は、ステップ855で、送金先口座に送金することになる。
【0127】
ハードウェア装置ディスプレイ210上に表示される取引情報は正しいものであるとユーザが確定しない場合には、本方法は、ステップ870から継続される。この部分は点線で示される。ユーザによって能動的に、例えば、ハードウェア装置入力ユニット280の取り消しボタンを押すことによって、あるいは、受動的に、例えば、ハードウェア装置130が所定のタイムアウト期間内に確定を受信しない場合に、取引を確定しないようにしてもよい。次いで、ステップ875で、ハードウェア装置130は、その取引を取り消して、その取引情報をサーバ・コンピュータ110へ転送しないようにする。さらに、ステップ880で、ハードウェア装置130は、取り消しメッセージ(CM:cancellation message)をプロキシ・アプリケーション420を介してブラウザ・アプリケーション410へ送ってもよい。ブラウザ・アプリケーション410は、ステップ885で、クライアント・コンピュータ120のクライアント・コンピュータ・ディスプレイ121上に取り消しメッセージを表示する。取り消しメッセージは、ハードウェア装置130が取引を取り消したことをユーザに示す。取り消しメッセージは、例えば、以下のように書くこともできる。「確定されないので、この取引は取り消されました。お客様のPCのキーボードから入力した取引情報とお客様のセキュリティ・トークンのディスプレイ上に表示される取引情報とが一致しないことに気づいた場合には、お客様のPCは不正なソフトウェアによって危害を受けているかも知れません。」。さらに、取り消しメッセージは、ステップ890で、ハードウェア装置ディスプレイ210上にも表示することもできる。
【0128】
開示されるどの実施形態も、図示または説明あるいはその両方がされる他の実施形態の1つまたは幾つかと組み合わせることもできる。これは、実施形態の1つ以上の特徴についても可能である。
【0129】
追加の実施形態についての詳細
前述の技術は、ソフトウェア、ファームウェア、マイクロコード、ハードウェアまたはその任意の組み合わせあるいはその全部を含む方法、装置または製造品として実施されてもよい。本明細で使用される用語の「製造品」は、媒体で実施されるコードまたはロジックを指し、この媒体は、ハードウェア・ロジック[例えば、集積回路チップ、プログラマブル・ゲート・アレイ(PGA:Programmable Gate Array)、特定用途向け集積回路(ASIC:Application Specific Integrated Circuit)など]、または、磁気記憶媒体(例えば、ハード・ディスク・ドライブ、フレキシブル・ディスク、テープなど)、光学式記憶(CD−ROM、光ディスクなど)、揮発性および不揮発性メモリ・デバイス[電気的消去可能プログラマブル読み出し専用メモリ(EEPROM:Electrically Erasable Programmable Read Only Memory)、読み出し専用メモリ(ROM:Read Only Memory)、プログラマブル読み出し専用メモリ(PROM:Programmable Read Only Memory)、ランダム・アクセス・メモリ(RAM:Random Access Memory)、ダイナミック・ランダム・アクセス・メモリ(DRAM:Dynamic Random Access Memory)、スタティック・ランダム・アクセス・メモリ(SRAM:Static Random Access Memory)、フラッシュ、ファームウェア、プログラマブル・ロジックなど]などのコンピュータ可読媒体を含んでもよい。コンピュータ可読媒体内のコードは、プロセッサによってアクセスされて実行される。コードまたはロジックが符号化されている媒体は、空間または光ファイバ、銅線などの伝送媒体を介して伝播する伝送信号をさらに含んでもよい。コードまたはロジックが符号化されている伝送信号は、無線信号、衛星伝送、電波、赤外線信号、Bluetooth(R)などをさらに含んでもよい。コードまたはロジックが符号化されている伝送信号は、送信所によって送信することおよび受信所によって受信することが可能であり、伝送信号で符号化されるコードまたはロジックは復号されて、送受信所または送受信装置のハードウェアまたはコンピュータ可読媒体に格納されてもよい。さらに、「製造品」は、コードが具体化、処置および実行されるハードウェア・コンポーネントとソフトウェア・コンポーネントとの組み合わせを含んでもよい。当然のことながら、当業者であれば、実施形態の範囲から逸脱することなしに多くの改変が成されてもよく、製造品は、任意の情報担持媒体を含んでもよいことを認識するであろう。例えば、製造品は、マシンによって実行されるとオペレーションが行われる命令を内部に格納した記憶媒体を含む。
【0130】
特定の実施形態は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態またはハードウェア要素とソフトウェア要素との両方を含む実施形態の形態をとることができる。特定の実施形態では、本発明は、これに限定されないが、ファームウェア、常駐ソフトウェア、マイクロコードなどを含むソフトウェアに実施される。
【0131】
さらに、特定の実施形態は、コンピュータまたは任意の命令実行システムによってあるいはこれらに関連して使用されるプログラム・コードを提供するコンピュータ使用可能またはコンピュータ可読媒体からアクセス可能なコンピュータ・プログラム製品の形態をとることができる。この説明のために、コンピュータ使用可能またはコンピュータ可読媒体は、命令実行システム、装置またはデバイスによってあるいはこれらに関連して使用されるプログラムを含有、格納、伝達、伝播または搬送することができる任意の装置とすることができる。媒体は、電子、磁気、光、電磁気、赤外線もしくは半導体システム(または装置またはデバイス)あるいは伝播媒体とすることができる。コンピュータ可読媒体の例としては、半導体またはソリッド・ステート・メモリ、磁気テープ、着脱可能コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読み出し専用メモリ(ROM)、硬質磁気ディスクおよび光ディスクが挙げられる。光ディスクの現在の例としては、コンパクト・ディスク読み出し専用メモリ(CD−ROM)、コンパクト・ディスク読み出し/書き込み(CD−R/W)およびDVDが挙げられる。
【0132】
用語の「特定の実施形態(certain embodiment)」、「1つの実施形態(an embodiment)」、「実施形態(単数)(embodiment)」「実施形態(複数)(embodiments)」、「前記実施形態(単数)(the embodiment)」、「前記実施形態(複数)(the embodiments)」、「1つ以上の実施形態(one or more embodiments)」、「幾つかの実施形態(some embodiments)」、「1つの実施形態(one embodiment)」は、明示的に別段の規定がない限り、1つ以上の(しかしすべてとは限らない)実施形態を意味する。用語の「を含む(including)」、「を含む(comprising)」、「を有する(having)」およびその変化形は、明示的に別段の規定がない限り、「を含むが、これに限定されない」を意味する。項目の列挙されるリストは、明示的に別段の規定がない限り、項目の一部または全部が相互に排他的であることを意味するものではない。用語の「1つの(a)」、「1つの(an)」および「前記(the)」は、明示的に別段の規定がない限り、「1つ以上の」を意味する。
【0133】
互いに通信している装置は、明示的に別段の規定がない限り、互いに継続的に通信している必要はない。さらに、互いに通信している装置は、1つ以上の中間物を介して直接的または間接的に通信してもよい。さらに、互いに通信している幾つかのコンポーネントを有する実施形態についての説明は、これらのコンポーネントがすべて必要とされることを意味するものではない。一方、幅広い種類の可能な実施形態を説明するために、様々な任意のコンポーネントが説明される。さらに、プロセス・ステップ、方法ステップ、アルゴリズムなどは順番に説明されてもよいが、このプロセス、方法およびアルゴリズムは別の順序で動作するように構成されてもよい。言い換えれば、説明されるステップのどのシーケンスまたは順序もそのステップがその順序で実施されるという要件を必ずしも示すとは限らない。本明細書で説明されるプロセスのステップは、実際には任意の順序で実施されてもよい。さらに、幾つかのステップは、同時に並列にまたは一斉に実施されてもよい。
【0134】
本明細書で単一のデバイスまたは製品が説明される場合、単一の装置/製品の代わりに、2つ以上の装置/製品(協働するか否かにかかわらず)が使用されてもよいことは明白である。同様に、本明細書で2つ以上の装置または製品(協働するか否かにかかわらず)が説明される場合、2つ以上の装置または製品の代わりに、単一の装置/製品が使用されてもよいことは明白である。装置の機能または特徴あるいはその両方は、このような機能/特徴を有するものとして明確には説明されていない他の1つ以上の装置によって選択的に具体化されてもよい。したがって、他の実施形態は、その装置自体を含む必要はない。
【0135】
本文脈におけるコンピュータ・プログラム手段またはコンピュータ・プログラムは、情報処理能力を有するシステムに、直接に、あるいは、a)別の言語、符号または記号と、b)異なる物質形式での再生とのどちらか一方または両方を実行した後で特定の機能を実行させることが意図される一連の命令の任意の言語、符号または記号での任意の表現を意味する。
【技術分野】
【0001】
本発明は、機密保護電子取引の実施方法に関する。本発明は、さらに、対応するシステム、対応するサーバ・コンピュータ、対応するハードウェア装置、対応するクライアント・コンピュータ、および対応するコンピュータ・プログラムに関する。
【背景技術】
【0002】
現在のインターネット認証プロセスでは、公開鍵基盤(PKI:Public Key Infrastructure)が利用されることが多い。特に、ユーザのパーソナル・コンピュータ(PC:Personal Computer)上に不正なソフトウェアが存在する場合には、取引を行いたい所望のサーバ・コンピュータ、例えば、所望の銀行サーバなどにユーザが接続されているかどうかはっきりしないこともある。相手の攻撃を防ぐ1つの知られている方法では、信頼されるエンティティ(trusted entity)によってサーバのオペレータに発行されたサーバ証明書をユーザがチェックするように求められる。これが煩わしいので、このようなサーバ証明書のチェックを実施しないユーザも多い。別の知られている方法では、PKI技術がスマート・カードと組み合わせて使用される。しかしながら、スマート・カードが実際に行う内容、例えば、署名する内容や接続する場所についてユーザが完全にコントロールできるわけではない。これは、中継人による攻撃やユーザのPC上で動作するワームまたはウィルスによってインターネット接続の安全性が脅かされる可能性があることが原因である。さらに、キーボード・ロギング・ソフトウェアおよびディスプレイ変換ソフトウェアを使用して、ユーザをだまして偽のウェブサイトと取引させて、例えば、相手の銀行口座に送金させることもできる。
【0003】
前述の方法は、そのプロセスのある点において、サーバがPC上にある機密事項情報を表示するステップまたはユーザがPC上にある機密事項情報を入力するステップあるいはその両方に依存している。この事は、たとえディスプレイおよびキーボードを備える安全なスマート・カード読み取り機でも当てはまる。安全なスマート・カード読み取り機が表示する情報も、やはりPC上で動作するソフトウェアによって制御されている。
【0004】
米国特許第6895502号には、サーバ・コンピュータ上の資源にアクセスする要求がクライアント・ユーザによって実際に要求されたことを安全に表示して安全に確定する方法が開示されている。その要求に応答して、サーバ・コンピュータは、安全な環境に暗号化されたチャレンジを送信して、そこでクライアント・ユーザは自分が対応する要求を行ったことをチェックおよび確定することができる。
【0005】
米国特許第5596718号には、ワークステーションの入出力装置とワークステーション自体との間に信頼されるパス・サブシステムを挿入することによって作製される安全なユーザ・インタフェースが開示されている。信頼されるパス・サブシステムは、ユーザによって手動で起動され、信頼されるウィンドウを表示するワークステーションのディスプレイを使用している。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】米国特許第6895502号
【特許文献2】米国特許第5596718号
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、電子取引を安全な方法で実施するための他の解決策を提供することを目的とする。
【0008】
本発明は、コスト効率の高い方法で実施することができる電子取引を実施するための解決策を提供することをさらに目的とする。
【0009】
本発明は、改良された使いやすさで電子取引を実施するための解決策を提供することをさらに目的とする。
【0010】
本発明は、サーバを大幅に適合させることなしに既存のサーバ基盤を利用することができる安全な方法で電子取引を実施するための解決策を提供することをさらに目的とする。
【0011】
本発明は、SSL/TLSなどの既存のストリーム認証プロトコルを利用することができる安全な方法で電子取引を実施するための解決策を提供することをさらに目的とする。
【課題を解決するための手段】
【0012】
本発明は、独立請求項に定義される、方法、システム、サーバ・コンピュータ、クライアント・コンピュータ、ハードウェア装置およびコンピュータ・プログラムを対象とする。本発明のさらなる実施形態は、添付の従属請求項で提供される。
【0013】
本発明の第1の態様によれば、サーバ・コンピュータとクライアント・コンピュータとの間で電子取引を実施する方法であって、
−通信ネットワークを介してサーバ・コンピュータとハードウェア装置との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−ハードウェア装置でサーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施するステップと、
−復号されたサーバ応答をハードウェア装置からクライアント・コンピュータへ転送するステップと、
−復号されたサーバ応答をクライアント・コンピュータのクライアント・コンピュータ・ディスプレイ上に表示するステップと、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求をハードウェア装置によって受信するステップと、
−クライアント要求を所定の取引情報についてハードウェア装置によって解析するステップと、
−所定の取引情報を何も含まないクライアント要求をハードウェア装置によって暗号化してサーバ・コンピュータへ転送するステップと、
−クライアント要求を検出すると所定の取引情報をハードウェア装置のハードウェア装置ディスプレイ上に表示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送するステップと、
−ユーザ確定が受信されない場合に、電子取引を取り消すステップと、
を含む方法が提供される。
【0014】
本発明のこの態様による方法は、電子取引のセキュリティの強化を提供する。電子取引は、例えば、電子決済、電子送金、電子発注、またはログオン情報などの機密情報、個人情報またはセキュリティ高感度情報の他の何らかの転送であってもよい。
【0015】
さらに、本発明のこの態様による方法は、柔軟性があり効率的で経済的な方法で実施することができるという利点を有する。本方法のさらなる利点は、既存のシステムに効率的かつ経済的に追加することができることである。
【0016】
ハードウェア装置は、サーバ・コンピュータとクライアント・コンピュータとの間のインタフェースとして動作する。言い換えれば、電子取引の間にハードウェア装置だけがサーバ・コンピュータと論理的に直接通信を行う。これによってクライアント・コンピュータとサーバ・コンピュータとの間の通信を監視、評価、解析および制御することが可能になる。クライアント・コンピュータがサーバ・コンピュータに送りたいメッセージまたはデータは、クライアント要求と称され、サーバ・コンピュータがクライアント・コンピュータに送るメッセージまたはデータは、サーバ応答と称される。ハードウェア装置は、サーバ応答を復号することができ、それをクライアント・コンピュータへ転送することもできる。クライアント・コンピュータは、復号されたサーバ応答をユーザに提示することもできるクライアント・コンピュータ・ディスプレイを含む。その後、ユーザは、クライアント・コンピュータ入力ユニット、例えば、キーボードまたはマウスあるいはその両方を用いて、クライアント・コンピュータと交信しクライアント要求を起動してもよい。クライアント・コンピュータは、ハードウェア装置にクライアント要求を送り、ハードウェア装置は、クライアント要求を所定の取引情報について解析する。言い換えれば、ハードウェア装置は、クライアント要求を分析し、何か所定の取引情報を含んでいるかどうかをチェックする。このような所定の取引情報は、特に、クレジット・カード番号、取引番号(TAN:transaction number)、銀行口座番号、決済データ、支払金額などのセキュリティ高感度情報、個人情報または機密情報あるいはその全部である。アプリケーション固有でまたは顧客固有であるいはその両方で予め定義することができる。一例として、オンライン・バンキングを提供する銀行は、クライアントによって銀行へ転送されるどの情報を所定の取引情報と見なすべきかを予め定義することができる。さらに、銀行は、様々なセキュリティ・レベルでオンライン・バンキング・サービスを提供してもよい。各セキュリティ・レベルに応じて所定の取引情報が適合されてもよい。
【0017】
用語のクライアント・コンピュータは、広い意味で理解される。クライアント・コンピュータは、例えば、ラップトップPC、デスクトップPC、携帯電話、携帯情報端末(PDA:Personal Digital Assistant)、またはユーザがこれを用いて電子取引を実施することもできる他の何らかの電子装置であってもよい。用語のサーバ・コンピュータも広い意味で理解される。これは、クライアント・コンピュータが電子取引を実施したい任意の電子装置であってもよい。
【0018】
クライアント要求が、何も所定の取引情報を含まない場合は、ハードウェア装置は、そのクライアント要求を暗号化して第1の通信プロトコルを用いてサーバ・コンピュータへ転送する。クライアント要求が所定の取引情報を含む場合は、ハードウェア装置は、ハードウェア装置のディスプレイ上でユーザにその所定の取引情報を提示してもよい。これによってユーザはその所定の取引情報が正しいかどうかをチェックすることができる。さらに、ユーザは、クライアント・コンピュータのディスプレイ上に表示される取引情報をハードウェア装置のディスプレイ上に表示される取引情報と比較することができる。これによって中継人による攻撃によって導入されることもある違いを容易に検出できるようになる。ユーザが、クライアントのディスプレイ上に表示される取引情報とハードウェア装置のディスプレイ上に表示される取引情報との間の違いを検出した場合、これはクライアント・コンピュータ上で不正なソフトウェアが動作しており、このソフトウェアがユーザがクライアント・コンピュータ入力ユニットによって入力した取引情報を変更したことを示すものである。
【0019】
ハードウェア装置ディスプレイは、様々な方法で具体化されてもよい。ハードウェア装置ディスプレイは、取引情報をユーザに提示するように動作可能な様々な装置またはツールで具体化されてもよい。ハードウェア装置ディスプレイの例としては、液晶ディスプレイ(LCDs:Liquid Crystal Displays)、発光ダイオード(LED:Light Emitting Diode)ディスプレイ、プラズマ・ディスプレイまたはプロジェクタ、例えば、LCDプロジェクタまたはレーザ・プロジェクタなどがある。
【0020】
所定の取引情報が正しくない場合、ユーザは、その取引を取り消すこと、あるいは確定しないことができる。その結果、ハードウェア装置は、その取引を取り消す。ユーザがハードウェア装置ディスプレイ上に提示される所定の取引情報が正しいことを確認した場合には、その取引を確定してもよい。確定すると、ハードウェア装置がその所定の取引情報を暗号化して第1の通信プロトコルを用いてサーバ・コンピュータにそれを送る。
【0021】
ユーザによる確定またはユーザによる取り消しを実施するための様々な方法がある。本発明の実施形態によれば、確定または取り消しは、ハードウェア装置のハードウェア装置入力ユニットを用いて受信されてもよい。言い換えれば、ユーザは、ハードウェア装置の取り消しボタンまたは確定ボタンを押してもよい。あるいは、ユーザがその取引を所定の時間内、例えば1分以内に取り消さない場合には、ハードウェア装置はその取引を確定したと判断するように規定することもできる。本発明の別の実施形態によれば、ハードウェア装置をクライアント・コンピュータのインタフェースからはずすことによって取り消しを実施することもできる。
【0022】
第1の通信プロトコルが確立され、ハードウェア装置とサーバ・コンピュータとの間のエンド・ツー・エンド通信として動作する。第1の通信プロトコルは、相互認証を使用する。すなわち、サーバ・コンピュータはそれ自体をハードウェア装置に対して認証し、ハードウェア装置はそれ自体をサーバ・コンピュータに対して認証する。高度な機密性を提供するために、ハードウェア装置とサーバ・コンピュータとの間のデータ送信は暗号化された形態で実施される。
【0023】
本発明の第1の形態の実施形態によれば、本方法は、
−クライアント・コンピュータのブラウザ・アプリケーションとサーバ・コンピュータとの間で第2の通信プロトコルを通常動作モードで実行するステップと、
−サーバ・コンピュータとハードウェア装置との間で第1の通信プロトコルを機密保護動作モードで実行するステップと、
−プロキシ・アプリケーションを介してブラウザ・アプリケーションからハードウェア装置に、さらにプロキシ・アプリケーションを介してハードウェア装置からサーバ・コンピュータに、クライアント要求を機密保護動作モードでルートするステップと、
−プロキシ・アプリケーションを介してサーバ・コンピュータからハードウェア装置に、さらにプロキシ・アプリケーションを介してハードウェア装置からブラウザ・アプリケーションに、サーバ応答を機密保護動作モードでルートするステップと、
をさらに含む。
【0024】
プロキシ・アプリケーションは、クライアント・コンピュータ上で動作するコンピュータ・プログラムとして実施されてもよく、本方法の効果的な実施を可能にする。このアプリケーションは、ハードウェア装置と、ブラウザ・アプリケーションと、サーバ・コンピュータとの間に機能的に配置されるスイッチの機能を果たす。
【0025】
通常動作モードでは、ユーザは、セキュリティ高感度情報をサーバ・コンピュータと交換しないのが好ましい。通常動作モードでは、ハードウェア装置の電源を切ったりプラグを抜いたりすることができる。
【0026】
ユーザがブラウジング・セッション中にセキュリティ高感度情報の交換を含むこともある電子取引を実施したい場合は、機密保護動作モードが起動される。本発明のこの実施形態によれば、機密保護モードでは、サーバ・コンピュータとハードウェア装置との間でプロキシ・アプリケーションおよび通信ネットワークを介して第1の通信プロトコルが動作する。さらに、ブラウザ・アプリケーションとハードウェア装置との間の通信が、プロキシ・アプリケーションを介して実施される。
【0027】
本発明の第1の態様の実施形態によれば、本方法は、
−クライアント・コンピュータのブラウザ・アプリケーションとサーバ・コンピュータとの間でクライアント・コンピュータのプロキシ・アプリケーションを介して第2の通信プロトコルを通常動作モードで実行するステップと、
−クライアント要求を所定の一連のクライアント要求についてプロキシ・アプリケーションによって解析するステップと、
−所定のクライアント要求を検出すると、プロキシ・アプリケーションによって機密保護動作モードを起動するステップと、
をさらに含む。
【0028】
これは、機密保護動作モードを自動化された方法で起動する効率的な方法である。プロキシ・アプリケーションは、何もユーザの介在なしに機密保護動作モードを自動的に起動してもよい。一例として、所定の一連のクライアント要求は、サーバ・コンピュータの資源を特定する所定の一連の統一資源識別子(URIs:Uniform Resource Identifiers)または統一資源位置指定子(URLs:Uniform Resource Locators)を含んでもよい。このような資源は、例えば、ユーザが口座を有する銀行の1つ以上のURLまたはユーザが電子商取引を実施したい1つ以上の電子商取引エンティティあるいはその両方、あるいはユーザが電子取引を実施したい任意のエンティティであってもよい。ユーザがブラウザ・アプリケーションでこのような所定のURLまたはURIのうちの1つを入力する場合、プロキシ・アプリケーションは、それを検出して機密保護動作モードを起動する。機密保護動作モードは、例えば、「機密保護モード起動」信号をハードウェア装置に送ることによって起動されてもよい。
【0029】
通常動作モードでは、プロキシ・アプリケーションは、通信ネットワークを介して直接ブラウザ・アプリケーションからサーバ・コンピュータへクライアント要求を1つ1つ転送またはルートする。反対方向では、通信ネットワークを介してサーバ応答がプロキシ・アプリケーションに送られ、直接プロキシ・アプリケーションからブラウザ・アプリケーションへ転送される。
【0030】
本発明の別の実施形態によれば、機密保護モードは、ユーザによって手動で、例えば、機密保護ハードウェア装置をクライアント・コンピュータと接続することによって起動することもできる。
【0031】
本発明の第1の態様の実施形態によれば、本方法は、復号されたサーバ応答をハードウェア装置からクライアント・コンピュータへ転送する前に、
−サーバ応答を所定の取引情報についてハードウェア装置によって解析するステップと、
−何も所定の取引情報を含まないサーバ応答をクライアント・コンピュータへハードウェア装置によって転送するステップと、
−サーバ応答を検出すると所定の取引情報をハードウェア装置のハードウェア装置ディスプレイ上に表示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むサーバ応答をクライアント・コンピュータへ転送するステップと、
−ユーザ確定が受信されない場合に、電子取引を取り消すステップと、
をさらに含む。
【0032】
クライアント要求を解析するステップに加えてサーバ応答を解析するステップは、強化された機能性およびアプリケーションを提供する。サーバ応答の所定の取引情報は、ユーザの注意を促すためにハードウェア装置ディスプレイ上に表示することができる。サーバ応答の所定の取引情報は、例えば、ハードウェア装置ディスプレイ上に表示することもできるサーバ・コンピュータの警告メッセージを含んでもよい。さらに、サーバ応答の所定の取引情報は、ユーザへのサーバ・チャレンジまたはサーバ・コンピュータからユーザへの他の何らかのセキュリティ高感度情報であってもよい。これには、クライアント・コンピュータ上で動作する不正ソフトウェアが所定の取引情報をクライアント・コンピュータ・ディスプレイ上に表示することを妨げたり、その不正ソフトウェアがクライアント・コンピュータ・ディスプレイ上の画面を操作したりしても、ユーザはサーバのこのような所定の取引情報をチェックすることができるという利点がある。
【0033】
本発明の第1の態様のさらなる実施形態によれば、第1の通信プロトコルは、セキュア・ソケット・レイヤ(SSL:Secure Sockets Layer)規格またはトランスポート・レイヤ・セキュリティ(TLS:Transport Layer Security)規格に従うプロトコルと、トランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP:Transmission Control Protocol/Internet Protocol)規格に従うプロトコルとを含むネットワーク層を含む。
【0034】
これらのプロトコルは、広く適用可能であり広く普及している。本発明のこの態様による方法は、これらのプロトコルを何も適合させる必要なしに使用することができる。これによって本発明のこの態様による方法をコスト効率の高い方法で実施することができる。SSLまたはTLS層は、TCP/IP層の上で動作し、サーバ認証、クライアント認証、および暗号化データ送信の機能を提供する。
【0035】
本発明の第1の態様のさらなる実施形態によれば、第1の通信プロトコルは、ハイパ・テキスト転送プロトコル(HTTP:Hyper Text Transfer Protocol)を含むアプリケーション層を含む。
【0036】
このプロトコルは、広く適用可能であり広く普及している。ネットワーク層上のSSLまたはTLSプロトコルと組み合わせて、ハイパ・テキスト転送プロトコル・セキュア(HTTPS:Hyper Text Transfer Protocol Secure)を確立することができるのが好ましい。
【0037】
本発明のこの態様のさらなる実施形態によれば、第2の通信プロトコルは、トランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP)を含むネットワーク層と、ハイパ・テキスト転送プロトコル(HTTP)を含むアプリケーション層とを含む。
【0038】
これらのプロトコルは、広く適用可能であり広く普及している。通常動作モードでは、クライアント・コンピュータのユーザは、TCP/IPおよびHTTPを使用するブラウザ・アプリケーションを用いてインターネットを閲覧することもできる。
【0039】
本発明のこの態様のさらなる実施形態によれば、本方法は、サーバ・コンピュータによってユーザ認証を実施するステップを含む。
【0040】
この追加の認証は、この方法のセキュリティを強化する。このようなユーザ認証は、例えば、ユーザのパスワードまたは個人識別番号(PIN:personal identification number)を用いて実施されてもよい。一例として、サーバは、サーバ応答をクライアント・コンピュータに送ることができ、そこでユーザは自分のパスワードまたはPINを入力するように求められる。パスワードまたはPINは、サーバ・コンピュータで保存されるので、サーバ・コンピュータによってチェックすることができる。ユーザ認証は、ハードウェア装置自体で自動的に実施することができず、システムのユーザの入力をさらに必要とする認証として理解される。これによって盗んだハードウェア装置を追加のパスワードまたはPINを知らないでも相手が悪用することができる状況を防止する。一方、第1の通信プロトコルの間に実施されるハードウェア装置とサーバ・コンピュータとの間の相互通信は、ユーザがさらに介在することなしに自動的に実施することができる。ユーザ認証は、好ましくは、何らかの所定の取引情報が機密保護ハードウェア装置からサーバ・コンピュータに送られる前に実施するほうがよい。
【0041】
本発明のこの態様のさらなる実施形態によれば、本方法は、ハードウェア装置によってユーザ認証を実施するステップを含む。
【0042】
この追加の認証は、この方法のセキュリティを強化する。このようなユーザ認証は、例えば、パスワードまたは個人識別番号(PIN)を用いて実施されてもよい。一例として、ハードウェア装置はメッセージを表示してもよく、そこでユーザは自分のパスワードまたはPINをハードウェア装置入力ユニットを用いて入力するように求められる。パスワードまたはPINは、ハードウェア装置内またはハードウェア装置が読み出せるスマート・カード上に保存されるので、ハードウェア装置によってチェックすることができる。これによって盗んだハードウェア装置を追加のパスワードまたはPINを知らないでも相手が悪用することができる状況を防止する。例えば、指紋読み取りなどの生体認証のような他のユーザ認証方法を使用することもできる。この実施形態では、ユーザ認証は、好ましくは、第1の通信プロトコルをそれぞれ開始または確立する前に実施するほうがよい。
【0043】
本発明の第2の態様によれば、電子取引を実施するシステムであって、
−サーバ・コンピュータと、
−クライアント・コンピュータ・ディスプレイおよびクライアント・コンピュータ入力ユニットを含むクライアント・コンピュータと、
−ハードウェア装置ディスプレイを含むハードウェア装置と、
−ハードウェア装置とサーバ・コンピュータとの間の通信ネットワークと、
を含み、
−サーバ・コンピュータとハードウェア装置との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−ハードウェア装置でサーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−ハードウェア装置からクライアント・コンピュータへ復号されたサーバ応答を転送し、
−クライアント・コンピュータ・ディスプレイ上に復号されたサーバ応答を提示し、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求をハードウェア装置によって受信し、
−クライアント要求を所定の取引情報についてハードウェア装置によって解析し、
−所定の取引情報を何も含まないクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報をハードウェア装置ディスプレイ上に表示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−ユーザ確定が受信されない場合に、電子取引を取り消す、
ように適合されるシステムが提供される。
【0044】
本発明の第2の態様は、本発明の第1の態様の方法が実施されてもよいシステムのシステム態様に対応する。
【0045】
本発明の第3の態様によれば、ハードウェア装置を用いてサーバ・コンピュータとクライアント・コンピュータとの間の電子取引を制御する方法であって、ハードウェア装置内に、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施するステップと、
−復号されたサーバ応答をクライアント・コンピュータへ転送するステップと、
−サーバ・コンピュータに送られるクライアント要求をクライアント・コンピュータから受信するステップと、
−クライアント要求を所定の取引情報について解析するステップと、
−何も所定の取引情報を含まないクライアント要求を暗号化してサーバ・コンピュータへ転送するステップと、
−クライアント要求を検出すると所定の取引情報をユーザに提示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送するステップと、
を含む方法が提供される。
【0046】
本発明の第3の態様は、ハードウェア装置で実施される方法のステップに関する。本発明のこの態様の実施形態によれば、所定の取引情報は、ハードウェア装置のディスプレイ上に表示される。本発明のこの態様の実施形態によれば、本方法は、ユーザ確定が受信されない場合に、その電子取引を取り消すステップをさらに含む。
【0047】
本発明の第4の態様によれば、電子取引を制御するハードウェア装置であって、
−ハードウェア装置ディスプレイと、ハードウェア装置をクライアント・コンピュータに接続するために提供されるハードウェア装置インタフェース・ユニットと、
を含み、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−復号されたサーバ応答をクライアント・コンピュータへ転送し、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求を受信し、
−クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報をハードウェア装置ディスプレイ上に表示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送する、
ように適合されるハードウェア装置が提供される。
【0048】
このハードウェア装置は、電子取引のセキュリティを改善するために柔軟性のある効率的な方法で実施して使用することができる。特に、第1の通信プロトコルがサーバに周知な、例えば、SSLなどの場合には、サーバ・コンピュータ側で変更を実施する必要がなくてもよい。ハードウェア装置は、デスクトップPCまたはラップトップPCなどの一般的なクライアント・コンピュータと協働することができる。クライアント・コンピュータとハードウェア装置との間の接続は、ハードウェア装置インタフェース・ユニットをクライアント・コンピュータの第1のインタフェースに接続することによって実施されてもよい。ハードウェア装置インタフェース・ユニットは、無線または有線インタフェース・ユニットであってもよい。一例として、ハードウェア装置インタフェース・ユニットは、ユニバーサル・シリアル・バス(USB:Universal Serial Bus)インタフェースであってもよい。
【0049】
本発明の実施形態によれば、ハードウェア装置は、ユーザ確定が受信されない場合に、その電子取引を取り消すように適合される。
【0050】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、セキュリティ高感度データを格納するセキュリティ・トークンを含む。
【0051】
このセキュリティ・トークンは、ハードウェア・ユニットであり、ハードウェア・トークンとも称され、セキュリティ高感度データ、特に、セキュリティ高感度ユーザ・データを耐タンパ性のある方法で格納することができる。言い換えれば、セキュリティ・トークンに格納されるセキュリティ高感度データは、読み出したり操作したりすることができない。耐タンパ性の程度またはレベルは、それぞれのアプリケーションのセキュリティ要件に適合させることができる。セキュリティ・トークンは、例えば、セキュリティ高感度データを格納するスマート・カード・チップを含むハードウェア・コンポーネントであってもよい。
【0052】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、セキュリティ高感度データをスマート・カードから読み出すスマート・カード読み取り機を含む。
【0053】
この実施形態によれば、スマート・カードのスマート・カード・チップは、セキュリティ高感度データを格納する。スマート・カードは、ハードウェア装置とは異なる場所にユーザが保管することができる。ハードウェア装置を動作させる前に、ユーザはスマート・カードをハードウェア装置のスマート・カード読み取り機内に入れる必要がある。
【0054】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、1つ以上の所定レベルの耐タンパ性を有する。
【0055】
所定レベルの耐タンパ性は、それぞれのアプリケーションのセキュリティ要件に適合させることができる。アプリケーションのセキュリティ要件が高いほど耐タンパ性のレベルは高く選択するほうがよい。耐タンパ性のレベルは、タンパ・プルーフであるのが好ましい。
【0056】
所定レベルの耐タンパ性は、様々な攻撃に対応してもよい。例えば、不正ソフトウェアに対する耐タンパ性レベル、またはハードウェア装置の物理的な操作に対する耐タンパ性のレベル、またはハードウェア装置の検査、特に、マイクロスコープを用いたストレージまたはメモリの検査に対する耐タンパ性レベルなどである。マルウェアとも称される不正ソフトウェアは、ハードウェア装置の正常な機能を損なう、変更するまたは操作する意図を有するあらゆるソフトウェアとして理解されてもよい。このような不正ソフトウェアは、例えば、ウィルス、ワーム、トロイの木馬、スパイウェアまたは他の好ましくないソフトウェアであってもよい。言い換えれば、不正ソフトウェアは、コンピュータ・システムに侵入し、危害を与え、あるいは損傷させるように設計されるソフトウェアである。
【0057】
本発明の第4の態様の実施形態によれば、ハードウェア装置の耐タンパ性の所定のレベルは、クライアント・コンピュータの耐タンパ性レベルよりも高い。
【0058】
これは相手にとってクライアント・コンピュータを操作するよりもハードウェア装置を操作または改変するほうが困難であることを意味する。ハードウェア装置の耐タンパ性に重点を置くことは、クライアント・コンピュータ全体の耐タンパ性を改善することよりもコスト効率が高い。特に、相手にとって、クライアント・コンピュータ上に不正ソフトウェアを置くよりもハードウェア装置上に置くほうが困難である。
【0059】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、ソフトウェア・アプリケーションをハードウェア装置にロードすることができないように設計される。
【0060】
これによって、ウィルス、ワームまたは他の不正ソフトウェアがハードウェア装置の機能を操作したり損傷させたりできないようにする。この実施形態は、例えば、ヒューズ・メモリにハードウェア装置のプログラム(単数または複数)を格納することによって実施することができる。言い換えれば、ハードウェア装置のプログラム・メモリにプログラム(単数または複数)をロードした後で、プログラム・メモリにヒューズが取り付けられる。これによって、これ以上プログラムをハードウェア装置にロードして実行することができないようにする。
【0061】
本発明の第4の態様の実施形態によれば、セキュリティ高感度データは、秘密鍵と信頼されるルート(trust root)情報とを含む。
【0062】
秘密鍵は、サーバ・コンピュータと第1の通信プロトコル、特に相互認証を実施するために使用される。
【0063】
信頼されるルート情報は、どの機関がハードウェア装置を信頼しているかを定義する。信頼されるルート情報は、例えば、ハードウェア装置が信頼する認証機関の1つ以上の認証機関のルート鍵を含んでもよい。これによって、第1の通信プロトコルの相互認証を実施するために公開鍵基盤(PKI)技術を使用することができるようになる。
【0064】
本発明の第4の態様の実施形態によれば、ハードウェア装置は、取引を確定するまたは取り消すあるいはその両方のためのハードウェア装置入力ユニットを含む。
【0065】
ハードウェア装置入力ユニットは、例えば、1つ以上のボタンによって、例えば、確定ボタンまたは取り消しボタンあるいはその両方によって確立することができる。
【0066】
本発明の第5の態様によれば、第1のインタフェースを介して通信ネットワークと、第2のインタフェースを介してハードウェア装置に接続可能なクライアント・コンピュータであって、
−通信ネットワークを閲覧するためのブラウザ・アプリケーションと、プロキシ・アプリケーションと、
を含み、プロキシ・アプリケーションが、
−クライアント要求をブラウザ・アプリケーションからハードウェア装置へ、さらに通信ネットワークを介してハードウェア装置からサーバ・コンピュータへ機密保護動作モードで転送し、
−サーバ・コンピュータから受信されるサーバ応答をハードウェア装置へ、さらにハードウェア装置からブラウザ・アプリケーションへ機密保護動作モードで転送する、
ように適合され、クライアント・コンピュータが、ハードウェア装置および通信ネットワークを介してサーバ・コンピュータと電子取引を機密保護動作モードで実施するように適合されるクライアント・コンピュータが提供される。
【0067】
このようなクライアント・コンピュータは、効率的な方法で実施することができる。プロキシ・アプリケーションは、一般的なクライアント・コンピュータの性能を向上させることができ、ハードウェア装置と相互運用可能にする。
【0068】
本発明の第5の態様の実施形態によれば、プロキシ・アプリケーションは、
−クライアント・コンピュータのブラウザ・アプリケーションから受信されるクライアント要求を、通信ネットワークのサーバ・コンピュータへ通常動作モードで転送し、
−サーバ・コンピュータから受信されるサーバ応答をクライアント・コンピュータのブラウザ・アプリケーションへ通常動作モードで転送し、
−クライアント要求を所定の一連のクライアント要求について解析し、
−所定のクライアント要求を検出すると機密保護動作モードを起動する、
ように適合される。
【0069】
これは、機密保護モードを自動化された方法でトリガする効率的な方法である。ユーザは、機密保護モードを能動的に開始させる必要はなくて、所定のクライアント要求の1つを送る場合には必ず機密保護モードが自動的に開始されると確信することができる。
【0070】
本発明の第5の態様の実施形態によれば、機密保護モードは、プロキシ・アプリケーションからハードウェア装置へ機密保護モード有効信号を送ることによって起動される。
【0071】
機密保護モード有効信号は、ハードウェア装置に対して機密保護モードを開始するべきであることを示す。
【0072】
本発明の第6の態様によれば、コンピュータ・プログラムであって、クライアント・コンピュータ上で実行される場合に、
−クライアント・コンピュータのブラウザ・アプリケーションから受信されるクライアント要求をハードウェア装置へ、さらにハードウェア装置から通信ネットワークを介してサーバ・コンピュータへ機密保護動作モードで転送するステップと、
−サーバ・コンピュータから受信されるサーバ応答をハードウェア装置へ、さらにハードウェア装置からブラウザ・アプリケーションへ機密保護動作モードで転送するステップと、
を実行する命令を含むコンピュータ・プログラムが提供される。
【0073】
このようなコンピュータ・プログラムは、プロキシ・アプリケーションを具体化し、ブラウザ・アプリケーションとハードウェア装置との間で効率的で柔軟性のあるインタフェースを確立する。このようなコンピュータ・プログラムは、ブラウザ・アプリケーションを効率的な方法でハードウェア装置と相互運用可能にする。
【0074】
本発明の第6の態様の実施形態によれば、コンピュータ・プログラムは、クライアント・コンピュータ上で実行される場合に、
−クライアント・コンピュータのブラウザ・アプリケーションから受信されるクライアント要求を通信ネットワークのサーバ・コンピュータへ通常動作モードで転送するステップと、
−サーバ・コンピュータから受信されるサーバ応答をクライアント・コンピュータのブラウザ・アプリケーションへ通常動作モードで転送するステップと、
−クライアント要求を所定の一連のクライアント要求について解析するステップと、
−所定のクライアント要求を検出すると機密保護モードを起動するステップと、
を実行する命令をさらに含む。
【0075】
本発明の第7の態様によれば、ハードウェア装置を用いてサーバ・コンピュータとクライアント・コンピュータとの間の電子取引を制御する方法であって、ハードウェア装置内に、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施するステップと、
−サーバ応答を所定の取引情報について解析するステップと、
−何も所定の取引情報を含まないサーバ応答をクライアント・コンピュータへ転送するステップと、
−サーバ応答を検出すると所定の取引情報をユーザに提示するステップと、
−ユーザ確定が受信される場合に、所定の取引情報を含むサーバ応答をクライアント・コンピュータへ転送するステップと、
を含む方法が提供される。
【0076】
本発明のこの態様は、そのサーバ応答が解析されることによる方法に関する。サーバ応答の所定の取引情報は、例えば、ユーザへのサーバ・チャレンジまたはサーバ・コンピュータからユーザへのセキュリティ高感度情報であってもよい。
【0077】
一例として、この方法は、ソフトウェアのダウンロードを強化されたセキュリティで実施するために使用されてもよい。ハードウェア装置がソフトウェアをクライアント・コンピュータへ転送する前に、ハードウェア装置はメッセージを表示して、ユーザはダウンロードに合意するかどうかについて質問される。さらに、サーバは、ソフトウェアの整合性に関するあるユーザ検証可能情報をハードウェア装置へ送ることもできる。その後、ハードウェア装置は、ハードウェア装置ディスプレイ上にユーザ検証可能情報を表示することになり、ユーザはダウンロードする前にソフトウェアの整合性を検証することもできる。これは、不正ソフトウェアのダウンロードを回避するのに特に役立つ。
【0078】
本発明の第8の態様によれば、電子取引を制御するハードウェア装置であって、
−ハードウェア装置ディスプレイと、ハードウェア装置をクライアント・コンピュータに接続するために提供されるハードウェア装置インタフェース・ユニットと、
を含み、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−サーバ応答を所定の取引情報について解析し、
−何も所定の取引情報を含まないサーバ応答をクライアント・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報をハードウェア装置ディスプレイ上に表示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むサーバ応答をクライアント・コンピュータへ転送する、
ように適合されるハードウェア装置が提供される。
【0079】
本発明の第8の態様は、本発明の第7の態様の方法が実施されてもよいハードウェア装置に対応する。
【0080】
本発明の第9の態様によれば、電子取引を制御するハードウェア装置であって、ユーザに情報を提示する提示手段と、ハードウェア装置をクライアント・コンピュータに接続するために提供されるハードウェア装置インタフェース・ユニットとを含み、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−復号されたサーバ応答をクライアント・コンピュータへ転送し、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求を受信し、
−クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報を提示手段によって提示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送する、
ように適合されるハードウェア装置が提供される。
【0081】
本発明のこの態様によれば、提示手段は、所定の取引情報をユーザに提示するために提供される。本発明のこの態様によれば、提示手段は、ディスプレイであってもよい。
【0082】
本発明の第10の態様によれば、電子取引を制御するハードウェア装置であって、ユーザ・インタフェースと、ハードウェア装置をクライアント・コンピュータに接続するために提供されるハードウェア装置インタフェース・ユニットとを含み、
−サーバ・コンピュータとの暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−サーバ・コンピュータから受信される暗号化されたサーバ応答の復号を実施し、
−復号されたサーバ応答をクライアント・コンピュータへ転送し、
−クライアント・コンピュータからサーバ・コンピュータに送られるクライアント要求を受信し、
−クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化してサーバ・コンピュータへ転送し、
−クライアント要求を検出すると所定の取引情報をユーザ・インタフェースによって提示し、
−ユーザ確定が受信される場合に、所定の取引情報を含むクライアント要求を暗号化してサーバ・コンピュータへ転送する、
ように適合されるハードウェア装置が提供される。
【0083】
本発明のこの態様によれば、汎用ユーザ・インタフェースは、所定の取引情報をユーザに提示するために提供される。この汎用ユーザ・インタフェースは、取引情報を様々な方法でユーザに提示してもよい。本発明の実施形態によれば、ユーザ・インタフェースは、ディスプレイであってもよい。本発明の別の実施形態によれば、ユーザ・インタフェースは、ラウドスピーカなどの音響インタフェースであってもよい。
【0084】
本発明の様々な態様のステップは、異なる順序で実施することができる。さらに、ステップは組み合わされてもよい。すなわち、例えば、2つ以上のステップが同時に実施される。
【0085】
装置の特徴は、どれも本発明の方法の態様に当てはめることもでき、その逆も同様である。装置の特徴の利点は、対応する方法の特徴にも当てはまり、その逆も同様である。
【0086】
本発明の好適な実施形態は、以下の概略図を参照しながらほんの一例として以下に詳細に説明される。
【0087】
図面は、説明のためだけに提供されるものであり、本発明の実例を必ずしも縮尺どおりに表すものではない。図面において、類似の参照記号は、同一または類似の部品を示すのに使用される。
【図面の簡単な説明】
【0088】
【図1】本発明の実施形態によるシステムを示すブロック図である。
【図2】本発明の実施形態によるハードウェア装置を示すブロック図である。
【図3】本発明の別の実施形態によるハードウェア装置を示すブロック図である。
【図4】本発明の実施形態によるブラウザ・アプリケーションと、プロキシ・アプリケーションと、ハードウェア装置と、サーバ・コンピュータとの間の通信の流れを示す図である。
【図5】通常動作モードの本発明の実施形態による方法のメッセージの流れを示す概略図である。
【図6】機密保護動作モードの本発明の実施形態による方法のメッセージの流れを示す概略図である。
【図7】機密保護動作モードの本発明の実施形態による方法のメッセージの流れを示す概略図である。
【図8】機密保護動作モードの本発明の実施形態による方法のメッセージの流れを示す概略図である。
【発明を実施するための形態】
【0089】
図1は、本発明の実施形態によるシステム100を示す。システム100は、サーバ・コンピュータ110と、クライアント・コンピュータ120と、ハードウェア装置130とを含む。クライアント・コンピュータ120は、クライアント・コンピュータ・ディスプレイ121と、クライアント・コンピュータ入力ユニット122とを含む。クライアント・コンピュータ入力ユニット122は、キーボード123と、マウス124とを含む。クライアント・コンピュータ120は、バス・システム153を用いて接続されコンピュータ・ケース154に配置される、処理ユニット150と、メモリ151(例えば、揮発性メモリ・デバイス)と、ストレージ152とを含む。ストレージ152は、不揮発性メモリ・デバイス(例えば、EEPROM、ROM、PROM、RAM、DRAM、SRAM、フラッシュ、ファームウェア、プログラマブル・ロジックなど)、磁気ディスク・ドライブ、光ディスク・ドライブ、テープ・ドライブなどを含んでもよい。ストレージ152は、内部ストレージ・デバイス、付属ストレージ・デバイスまたはネットワーク・アクセス可能ストレージ・デバイスあるいはその全部を含んでもよい。クライアント・コンピュータ120は、メモリ151内にロードされ処理ユニット150によって実行されてもよいプログラム・コード158を含むプログラム・ロジック157を含んでもよい。特定の実施形態では、プログラム・コード158を含むプログラム・ロジック157は、ストレージ152に格納されてもよい。したがって、図1は、他の要素とは別のプログラム・ロジック157を示すが、プログラム・ロジック157は、ストレージ152内に実施されてもよい。
【0090】
クライアント・コンピュータ120は、第1のインタフェース156を介して通信ネットワーク160に接続される。第1のインタフェース156は、無線インタフェースまたは有線インタフェース、特に、ユニバーサル・シリアル・バス(USB)インタフェースであってもよい。通信ネットワーク160は、インターネットであってもよい。クライアント・コンピュータ120は、第2のインタフェース155を介してハードウェア装置130に接続される。第2のインタフェース155は、無線または有線インタフェース、特に、USBインタフェースであってもよい。クライアント・コンピュータ120は、パーソナル・コンピュータ(PC)であってもよい。サーバ・コンピュータ110は、通信ネットワーク160にも接続される。サーバ・コンピュータ110は、例えば、銀行、保険会社、または通信ネットワーク160、特に、インターネットを介して電子取引を提供する団体のサーバ・コンピュータとすることができる。
【0091】
図2は、図1のハードウェア装置130の実施形態をさらに詳細に示す。ハードウェア装置130は、処理ユニット200と、ハードウェア装置ディスプレイ210と、メモリ220(例えば、揮発性メモリ・デバイス)と、ストレージ230とを含む。ストレージ230は、不揮発性メモリ・デバイス(例えば、EEPROM、ROM、PROM、RAM、DRAM、SRAM、フラッシュ、ファームウェア、プログラマブル・ロジックなど)を含んでもよい。ハードウェア装置130は、メモリ220内にロードされ処理ユニット200によって実行されてもよいプログラム・コード241を含むプログラム・ロジック240を含んでもよい。特定の実施形態では、プログラム・コード241を含むプログラム・ロジック240は、ストレージ230に格納されてもよい。したがって、図2は、他の要素とは別のプログラム・ロジック240を示すが、プログラム・ロジック240は、ストレージ230内に実施されてもよい。ハードウェア装置130は、スマート・カード読み取り機250と、I/Oユニット270とも称されるハードウェア装置インタフェース・ユニット270と、ハードウェア装置入力ユニット280とをさらに含む。ハードウェア装置インタフェース・ユニット270は、無線インタフェースまたは有線インタフェース、特に、ユニバーサル・シリアル・バス(USB)インタフェースであってもよい。ハードウェア装置インタフェース・ユニット270は、ハードウェア装置130をクライアント・コンピュータ120に接続または結合するために使用されてもよい。ハードウェア装置入力ユニット280は、ユーザによる入力のために提供され、1つ以上のボタンまたは完全なキーボードを含んでもよい。一例として、ハードウェア装置入力ユニット280は、取引を取り消すための1つの取り消しボタンと、取引を確定するための1つの確定ボタンとの2つのボタンだけから構成することもできる。ハードウェア装置130は、ハウジング290、例えば、プラスチック製ハウジングによって覆われている。
【0092】
スマート・カード読み取り機250は、スマート・カード260から、セキュリティ高感度データ、特に、秘密鍵および信頼されるルート情報などのセキュリティ高感度ユーザ・データを読み取ることができる。
【0093】
図3は、図1のハードウェア装置130の別の実施形態をさらに詳細に示す。図3の実施形態によるハードウェア装置130は、図2を参照して説明されるように、処理ユニット200と、ハードウェア装置ディスプレイ210と、メモリ220と、ストレージ230と、プログラム・コード241を含むプログラム・ロジック240と、ハードウェア装置インタフェース・ユニット270と、ハードウェア装置入力ユニット280と、ハウジング290とを含む。
【0094】
さらに、ハードウェア装置130は、秘密鍵および信頼されるルート情報などのセキュリティ高感度データを格納する内蔵セキュリティ・トークン310を含む。セキュリティ・トークン310は、例えば、スマート・カード・チップであってもよい。
【0095】
ハードウェア装置130は、信頼される機密保護環境、例えば、銀行のセキュア・サイトで初期化されるのが好ましい。この初期化は、例えば、セキュリティ・トークン310またはスマート・カード260にセキュリティ高感度情報をロードすることを含む。
【0096】
ハードウェア装置130は、例えば、USBスティックとして実施されてもよい。
【0097】
図4は、クライアント・コンピュータ120上で動作するブラウザ・アプリケーション410と、クライアント・コンピュータ120上で動作するプロキシ・アプリケーション420と、ハードウェア装置130と、通信ネットワーク160と、サーバ・コンピュータ110との間の通信の流れを示す。
【0098】
本発明の実施形態によれば、図1を参照して説明されるように、ブラウザ・アプリケーション410およびプロキシ・アプリケーション420は、クライアント・コンピュータ120のプログラム・ロジック157のプログラム・コード158として実施される。ブラウザ・アプリケーション420は、特に、インターネットのウェブ・ページまたはウェブサイト上に位置してもよいテキスト、画像、ビデオ、音楽および他の情報をユーザが表示およびやりとりすることができるウェブ・ブラウザであってもよい。特に、ブラウザ・アプリケーション420によって、ユーザは通信ネットワーク160を介してサーバ・コンピュータ110からアクセスできるテキスト、画像、ビデオ、音楽および他の情報を表示およびやりとりすることができる。ブラウザ・アプリケーション410は、例えば、アプリケーション層のHTTPプロトコルおよびネットワーク層のトランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP)を用いて、プロキシ・アプリケーション420および通信ネットワーク160を介してサーバ・コンピュータ110と通信してもよい。
【0099】
通常動作モードでは、ブラウザ・アプリケーション410は、プロキシ・アプリケーション420を介して通信ネットワーク160に接続する。通常動作モードでは、ブラウザ・アプリケーション410は、第2の通信プロトコルを実行し、クライアント要求、例えば、HTTP取得要求などをプロキシ・アプリケーション420および通信ネットワーク160を介してサーバ・コンピュータ110に送ることができる。反対方向については、サーバ・コンピュータ110は、サーバ応答、例えば、HTTP応答などを通信ネットワーク160およびプロキシ・アプリケーション420を介してブラウザ・アプリケーション410に通常動作モードで送ることができる。通常動作モードでは、プロキシ・アプリケーション420は、ブラウザ・アプリケーション410と通信ネットワーク160との間のフォワーダ(forwarder)として働くと同時に、クライアント要求を所定の一連のクライアント要求について1つ1つ監視して解析する。所定の一連のクライアント要求は、例えば、一連の統一資源位置指定子(URLs)であってもよい。所定の一連のクライアント要求は、クライアント・コンピュータ120のユーザが、この資源との通信はハードウェア装置130によって制御されるべきと事前に定義した一連の資源を表す。一例として、クライアント・コンピュータ120のユーザは、所定の要求として自分の銀行のURLをプロキシ・アプリケーション420に定義することもできる。その後、プロキシ・アプリケーション420は、ユーザがこの銀行の対応するURLをブラウザ・アプリケーション410に入力するかどうかを監視することになる。言い換えれば、プロキシ・アプリケーション420は、ユーザが所定のURLにアクセスするためのクライアント要求を通信ネットワーク160を介してサーバ・コンピュータ110へ送るかどうかを監視する。所定のクライアント要求のうちの1つを検出すると、プロキシ・アプリケーション420は、機密保護動作モードに切り換えてこれを起動する。機密保護動作モードでは、プロキシ・アプリケーション420は、データの流れを変更して、ブラウザ・アプリケーション410から受信されるクライアント要求をハードウェア装置130にルートする。さらに、プロキシ・アプリケーション420は、適切な信号、例えば、機密保護モード有効信号をハードウェア装置130に送ることによって機密保護動作モードを起動する。次いで、ハードウェア装置130は、サーバ・コンピュータ110とハードウェア装置130との間の暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを起動して実行する。以下では、ハードウェア装置130は、サーバ・コンピュータ110とクライアント・コンピュータ120のブラウザ・アプリケーション410との間の知的インタフェースとして働く。言い換えれば、ハードウェア装置130は、サーバ・コンピュータ110とブラウザ・アプリケーション410との間のデータ通信を制御および監視する。機密保護動作モードでは、プロキシ・アプリケーション420は、一種のスイッチとして動作する。一方では、プロキシ・アプリケーション420は、ハードウェア装置130から受信されるクライアント要求を通信ネットワーク160へ機密保護動作モードで転送するとともに、通信ネットワーク160から受信されるサーバ応答をハードウェア装置130へ機密保護動作モードで転送する。他方では、プロキシ・アプリケーション420は、ブラウザ・アプリケーション410から受信されるクライアント要求をハードウェア装置130へ機密保護動作モードで転送するとともに、ハードウェア装置130から受信されるサーバ応答をブラウザ・アプリケーション410へ機密保護動作モードで転送する。
【0100】
第1の通信プロトコルが確立された後で、ハードウェア装置130は、クライアント・コンピュータ120から受信されるクライアント要求またはブラウザ・アプリケーション410から受信されるクライアント要求をそれぞれ所定の取引情報について解析する。言い換えれば、ハードウェア装置130は、クライアント・コンピュータ120から受信するデータ・トラフィックが何か所定の取引情報を含むかどうかを監視する。この所定の取引情報は、例えば、支払い明細、支払い金額などのセキュリティ高感度情報であってもよい。所定の取引情報は、例えば、各URLのオーナによって、例えば、ユーザが取引を実施したい銀行によって事前に定義されてもよい。所定の取引情報は、例えば、HTTPポスト要求を用いて送られてもよい。所定の取引情報を検出すると、ハードウェア装置130は、対応するクライアント要求に割り込み、ハードウェア装置130のハードウェア装置ディスプレイ210上に検出された所定の取引情報を表示する。その結果、その取引を実施したいユーザは、各取引情報が正しいかどうかをハードウェア装置ディスプレイ210上でチェックすることができる。一例として、所定の取引情報が電子決済の送金金額に関する場合、ハードウェア装置130は、各送金金額をハードウェア装置ディスプレイ210上に表示することになる。ユーザは、各送金金額が正しいかどうかをハードウェア装置ディスプレイ210上でチェックすることができる。ハードウェア装置入力ユニット280を介して、例えば、ユーザが確定ボタンを押してその取引を確定する場合は、ハードウェア装置130はその取引を継続するだけである。ハードウェア装置130がこの確定を受信する場合、ハードウェア装置130はその取引を継続し、プロキシ・アプリケーション420および通信ネットワーク160を介してその取引情報をサーバ・コンピュータ110へ転送する。ハードウェア装置130が確定を受信しないあるいは取り消し信号を受信する場合には、ハードウェア装置130はその取引を取り消し、その取引情報をプロキシ・アプリケーション420へ転送しない。
【0101】
ハードウェア装置130は、所定の取引情報を検出すると、確定要求メッセージとも称される割り込みメッセージをブラウザ・アプリケーション410に送り返すのが好ましい。この割り込みメッセージは、ハードウェア装置130が所定の取引情報を特定したところであり、取引を継続する前にユーザによる確定を待っていることをブラウザ・アプリケーション410に示してもよい。ブラウザ・アプリケーション410は、クライアント・コンピュータ・ディスプレイ121上で、確定要求メッセージとも称される対応する割り込みメッセージをユーザに表示するのが好ましい。この割り込みメッセージは、例えば、その取引情報が正しいかどうかをハードウェア装置ディスプレイ210上で2重にチェックするとともに、ハードウェア装置入力ユニット280を介してこれを確定するほうがよいことをユーザに知らせることもできる。
【0102】
ハードウェア装置130は、クライアント要求を解析する解析プログラムを含む。解析プログラムは、所定の取引情報を含み、アプリケーション固有とすることができる。一例として、銀行は、銀行専用解析プログラムがロードされる銀行専用ハードウェア装置130を発行することもできる。各銀行は、解析プログラムをその専用オンライン・バンキング・プロセスおよびその専用セキュリティ要求および要件に適合させることもできる。解析プログラムは、信頼される機密保護環境、例えば、銀行のセキュア・サイトで初期化されるのが好ましい。解析プログラムは、ロードされてハードウェア装置130のセキュリティ・トークン310またはスマート・カード260内に格納されるのが好ましい。しかしながら、本発明の別の実施形態によれば、解析プログラムは、ハードウェア装置130のストレージ230内に格納することもできる。
【0103】
本発明の実施形態によれば、ハードウェア装置130は、サーバ・コンピュータ110から受信されるサーバ応答を所定の取引情報について解析する。言い換えれば、ハードウェア装置130は、クライアント要求を解析するだけでなくサーバ応答についても所定の取引情報について解析する。
【0104】
クライアント要求およびサーバ応答に対してハードウェア装置130によって実施される解析プロセスは、図4で点線を用いて示される。
【0105】
図5、図6、図7および図8は、本発明の実施形態による方法のメッセージの流れに関する概略図を示す。その中で、サーバ・コンピュータ110と、プロキシ・アプリケーション420と、ブラウザ・アプリケーション410と、ハードウェア装置130との間のメッセージの流れが、各参照番号が与えられるラベル付き矢印で示される。追加のステップまたはサブステップは、円で囲まれる参照番号で示される。流れは、増加する参照番号によって示されるように上方から下方に順に実施されるように理解される。
【0106】
図5は、通常動作モードのメッセージの流れを示す。
【0107】
ステップ510で、クライアント・コンピュータ120のユーザは、クライアント要求、例えば、ウェブサイトのURLをクライアント・コンピュータ入力ユニット122を用いて入力する。ステップ520で、ブラウザ・アプリケーション410は、クライアント要求、例えば、ウェブサイトのURLを含むHTTP取得要求をプロキシ・アプリケーション420に送る。ステップ530で、プロキシ・アプリケーション420は、所定の一連の要求、例えば、所定の一連のURLについてクライアント要求を解析する。この例では、ステップ520で送られるクライアント要求は、所定の一連のクライアント要求に属したり対応したりしていないと仮定する。したがって、プロキシ・アプリケーション420は、ステップ540で、クライアント要求を通信ネットワーク160を介してサーバ・コンピュータ110へ転送する。ステップ550で、サーバ・コンピュータ110は、サーバ応答、例えば、要求されるURLのHTMLファイルを含むHTTPサーバ応答を送り返すことによって応答する。次いで、ステップ560で、サーバ応答、例えば、要求されるURLのHTMLファイルが、クライアント・コンピュータ・ディスプレイ121上に表示される。
【0108】
ステップ510、ステップ520、ステップ530、ステップ540、ステップ550およびステップ560は、ブラウザ・アプリケーション410およびプロキシ・アプリケーション420の通常動作モードを示す。通常動作モードは、ハードウェア装置130なしでも実施することができる。通常動作モードでは、ブラウザ・アプリケーション410とサーバ・コンピュータ110との間で第2の通信プロトコルが実行される。
【0109】
ステップ570で、クライアント・コンピュータ120のユーザは、別のクライアント要求、例えば、ウェブサイトのURLをクライアント・コンピュータ入力ユニット122を用いて入力する。ステップ580で、ブラウザ・アプリケーション410は、対応するクライアント要求をプロキシ・アプリケーション420に送る。この例では、ステップ580で送られるクライアント要求は、所定の一連のクライアント要求に属するあるいは対応すると仮定する。一例として、ステップ580で送られるクライアント要求は、所定の一連のURLに属するURLに対するHTTP取得要求であってもよい。これは、例えば、ユーザが利用する銀行のウェブサイトのURLであってもよい。ステップ590で、プロキシ・アプリケーション420は、クライアント要求を所定の一連の要求について解析し、ステップ580で送られるクライアント要求が所定の一連のクライアント要求に属するか対応することを検出する。その結果、プロキシ・アプリケーション420は、機密保護動作モードに切り換えて、ステップ595で、機密保護モード有効信号をハードウェア装置130に送ることによって、ハードウェア装置130で機密保護動作モードを起動する。機密保護モード有効信号は、例えば、ハードウェア装置130に理解される「機密保護モード起動」コマンドとして実施することもできる。機密保護モード有効信号は、ブラウザ・アプリケーション410とサーバ・コンピュータ110との間の以降の通信に対して機密保護動作モードを開始するべきであることをハードウェア装置130に示す。
【0110】
図6、図7および図8を参照して、機密保護動作モードのメッセージの流れが示される。
【0111】
ステップ595で機密保護動作モードを受信した後で、ハードウェア装置130は、ステップ605で、確定要求メッセージ(CRM:confirmation request message)をプロキシ・アプリケーション420を介してブラウザ・アプリケーション410へ送る。次に、ステップ610で、ブラウザ・アプリケーション410は、確定要求メッセージをクライアント・コンピュータ・ディスプレイ121上でユーザに表示する。確定要求メッセージは、ユーザに対して機密保護動作モードが実施されることを確定するように求める。これは、例えば以下のように書くこともできる。「ご希望のウェブサイトには、機密保護動作モードの初期化が必要です。お客様のハードウェア装置の確定ボタンを押して同意したことを確認してください。」。ステップ615で、特に、「機密保護モードを確定しますか?」などの短い形態の対応するメッセージが、ハードウェア装置130のハードウェア装置ディスプレイ210上に表示される。ユーザの確定応答は、ステップ620でハードウェア装置入力ユニット280を介して受信することができる。
【0112】
ステップ620でユーザが確定すると、ハードウェア装置130は、ステップ625で、ハロー・メッセージをプロキシ・アプリケーション420および通信ネットワーク160を介してサーバ・コンピュータ110へ送る。ステップ630で、サーバ・コンピュータ110は、ハロー・メッセージを通信ネットワーク160およびプロキシ・アプリケーション420を介してハードウェア装置130へ送り返す。ステップ635で、サーバ・コンピュータ110は、ハードウェア装置130に対してそれ自体を認証する。この認証は、サーバ証明書(公開鍵証明書)をハードウェア装置130へ送ることを含んでもよい。さらに、クライアント証明書を求める証明書要求を含んでもよい。ステップ640で、クライアント・コンピュータ120は、サーバ・コンピュータ110に対してそれ自体を認証する。この認証は、クライアント証明書(公開鍵証明書)をサーバ・コンピュータ110へ送ることを含んでもよい。要約すれば、サーバ・コンピュータ110およびハードウェア装置130は、ステップ635およびステップ640で、相互認証を実施する。
【0113】
ステップ645およびステップ650で、サーバ・コンピュータ110およびハードウェア装置130は、セッション鍵とも称される対称暗号鍵SKを交換する。
【0114】
ステップ625〜ステップ650は、例えば、SSL/TLSハンドシェイク・プロトコルを用いて実施されてもよい。
【0115】
以下では、ハードウェア装置130とサーバ・コンピュータ110との間のデータ送信は、セッション鍵SKを用いて暗号化された方法で実施される。これは、例えば、SSL/TLSレコード・プロトコルを用いて実施することができる。
【0116】
ステップ655で、サーバ・コンピュータ110は、ユーザ認証応答をハードウェア装置130へ送る。このユーザ認証応答は、例えば、ユーザが自分の名前およびパスワードを入力するべきユーザ・フィールドおよびパスワード・フィールドを有するHTML形態を含むこともできる。
【0117】
ユーザ認証応答は、ステップ657で、ハードウェア装置130によって復号された後、ステップ660でプロキシ・アプリケーション420を介してブラウザ・アプリケーション410へ転送される。ステップ662で、ユーザ認証応答は、クライアント・コンピュータ・ディスプレイ121上に表示される。ステップ665で、ユーザは、自分の個人認証データ、例えば、自分のユーザ名およびパスワードをクライアント・コンピュータ入力ユニット122を用いて対応するHTML形態に入力する。次いで、ステップ670で、ブラウザ・アプリケーション410は、ユーザの認証データを含むHTTPポスト要求をハードウェア装置130へ送る。ステップ675で、ハードウェア装置130は、HTTPポスト要求を所定の取引情報について解析する。この例では、ユーザ認証の情報を含むHTTPポスト要求は、所定の取引情報ではないと仮定する。したがって、ステップ677で、HTTPポスト要求は、対称セッション鍵SKを用いて暗号化され、ステップ680でサーバ・コンピュータ110へ送られる。サーバ・コンピュータ110は、対称セッション鍵SKを用いてHTTPポスト要求を復号し、ユーザ認証データが有効な場合に、ステップ695でユーザを認証する。有効でない場合には、サーバ・コンピュータ110は、その取引を取り消してもよい。
【0118】
ステップ655からステップ695は、ハードウェア装置130が盗まれたり失われたりする場合のセキュリティを強化するために実施されてもよいサーバ・コンピュータ110による追加のユーザ認証について示す。別の例示的な実施形態によれば、ステップ655からステップ695を参照して説明される追加のユーザ認証は、ハードウェア装置130によって実施されるユーザ認証に置き換えられる。
【0119】
図7を参照すると、ユーザ認証後の機密保護動作モードにおけるメッセージの流れを説明する図が続く。
【0120】
ステップ705で、サーバ・コンピュータ110は、サーバ応答として取引応答をプロキシ・アプリケーション420を介してハードウェア装置130へ送る。この取引応答は、例えば、以前のステップで認証されたユーザの銀行口座を有するHTMLファイルを含むこともできる。ステップ710で、ハードウェア装置130は、対称セッション鍵SKを用いてサーバ応答を復号する。ステップ715では、ハードウェア装置130は、サーバ応答を所定の取引情報について解析してもよい。この例では、ステップ705で受信されるサーバ応答は、所定の取引情報を含まないと仮定する。次いで、ステップ720で、復号されたサーバ応答は、プロキシ・アプリケーション420を介してハードウェア装置130からブラウザ・アプリケーション410へ送られる。ステップ725で、ブラウザ・アプリケーション410は、クライアント・コンピュータ120のクライアント・コンピュータ・ディスプレイ121上にサーバ応答を表示する。
【0121】
別の例によれば、点線で示されるように、ステップ705で受信されるサーバ応答は、所定の取引情報を含むと仮定する。次いで、ハードウェア装置130は、解析ステップ715で、サーバ応答が所定の取引情報を含むことを検出する。したがって、ハードウェア装置130は、ステップ717で、サーバ応答の所定の取引情報をハードウェア装置ディスプレイ210上に表示する。ステップ718で、ユーザがハードウェア装置ディスプレイ210上に表示されるサーバ応答の取引情報をハードウェア装置入力ユニット280を用いて確定する場合、本方法は、ステップ720から継続される。ユーザがサーバ応答の取引情報を確定しない場合には、ハードウェア装置130は、その取引を取り消す。
【0122】
ステップ730で、ユーザは、所定の取引情報を含まないクライアント要求を入力する。この要求は、例えば、ユーザの銀行口座の特定データを取得するための、銀行口座のさらに詳細を示すための、または計画される電子取引、例えば、送金の初期チェックを実施するためのクライアント要求であってもよい。ステップ735で、ブラウザ・アプリケーション410は、クライアント要求をプロキシ・アプリケーション420を介してハードウェア装置130へ送る。ステップ740で、ハードウェア装置130は、受信されるクライアント要求を所定の取引情報について解析し、所定の取引情報を含まないクライアント要求を検出する。次いで、ステップ745で、ハードウェア装置130は、対称セッション鍵SKを用いてクライアント要求を暗号化し、ステップ750で、暗号化されたクライアント要求をプロキシ・アプリケーション420へ送る。プロキシ・アプリケーション420は、ステップ750で、暗号化されえたクライアント要求を通信ネットワーク160を介してサーバ・コンピュータ110へ転送する。ステップ755で、サーバ・コンピュータ110は、対称セッション鍵SKを用いて受信される暗号化されたクライアント要求を復号し、復号されたクライアント要求を処理する。
【0123】
ステップ760で、サーバ・コンピュータ110は、受信されるクライアント要求に関するサーバ応答をプロキシ・アプリケーション420を介してハードウェア装置130へ送り返す。ステップ765で、ハードウェア装置130は、対称セッション鍵SKを用いてサーバ応答を復号する。ステップ770で、ハードウェア装置130は、サーバ応答を所定の取引情報について解析してもよい。この例では、ステップ760で受信されるサーバ応答は、所定の取引情報を含まないと仮定する。したがって、ステップ775で、復号されたサーバ応答は、プロキシ・アプリケーション420を介してハードウェア装置130からブラウザ・アプリケーション410へ送られ、ステップ780で、ブラウザ・アプリケーション410は、クライアント・コンピュータ120のクライアント・コンピュータ・ディスプレイ121上にサーバ応答を表示する。
【0124】
図8は、所定の取引情報を含むクライアント要求に関する機密保護動作モードのメッセージの流れを示す。
【0125】
ステップ805で、ユーザは、所定の取引情報を含むクライアント要求を入力する。所定の取引情報は、例えば、電子取引を実施する最終注文であってもよい。この最終注文は、例えば、送金金額などの支払い明細を有する送金注文であってもよい。所定の取引情報は、例えば、クライアント・コンピュータ入力ユニット122を用いて対応するHTML形態にユーザによって入力されてもよい。ステップ810で、ブラウザ・アプリケーション410は、所定の取引情報を含むクライアント要求をプロキシ・アプリケーション420を介してハードウェア装置130に送る。この要求は、例えば、HTTPポスト要求とすることもできる。ステップ815で、ハードウェア装置130は、受信されるクライアント要求を所定の取引情報について解析し、クライアント要求が所定の取引情報、例えば、前述の送金の最終支払い明細などを含むことを検出する。次いで、ステップ820で、ハードウェア装置130は、確定要求メッセージ(CRM)をプロキシ・アプリケーション420を介してブラウザ・アプリケーション410へ送る。ブラウザ・アプリケーション410は、ステップ825で、確定要求メッセージをクライアント・コンピュータ120のクライアント・コンピュータ・ディスプレイ121上に表示する。確定要求メッセージは、ハードウェア装置130が所定の取引情報を検出したところであり、ユーザがその取引情報が正しいことをハードウェア装置130のハードウェア装置ディスプレイ210上でチェックして確定するべきであることをユーザに示す。確定要求メッセージは、例えば、以下のように書くこともできる。「お客様のセキュリティ・トークンのディスプレイ上の送金金額をチェックしてください。送金金額が正しければ、セキュリティ・トークンの確定ボタンを押して取引を確定してください。」
【0126】
ステップ830で、ハードウェア装置130は、ハードウェア装置ディスプレイ210上に、所定の取引情報(PTI:predefined transaction information)、例えば、送金金額および送金先口座などを表示する。さらに、ハードウェア装置ディスプレイ210上に何らかの確定メッセージを表示することもできる。ハードウェア装置ディスプレイ210は、やや小さいこともあるので、このような確定メッセージは、「金額Xの口座Yへの送金を確定してください。」のようにある程度短いほうが好ましい。その後、ユーザは、ハードウェア装置ディスプレイ210上でその取引情報が正しいかどうかをチェックすることができる。さらに、ユーザは、ハードウェア装置ディスプレイ210上に表示される取引情報をクライアント・コンピュータ・ディスプレイ121上に表示される取引情報と比較することができる。確定ステップ835で、ユーザが、ハードウェア装置入力ユニット280の確定ボタンを押すことによって、ハードウェア装置ディスプレイ210上に表示される取引情報が正しいことを確認すれば、取引は継続される。次いで、ステップ840で、ハードウェア装置130は、取引情報を含むクライアント要求を対称セッション鍵SKを用いて暗号化し、ステップ845で、暗号化されたクライアント要求をプロキシ・アプリケーション420へ送る。プロキシ・アプリケーション420は、暗号化されたクライアント要求を通信ネットワーク160を介してサーバ・コンピュータ110へ転送する。サーバ・コンピュータ110は、ステップ850で、受信される暗号化されたクライアント要求を対称セッション鍵SKによって復号する。次いで、ステップ855で、サーバ・コンピュータ110は、取引を実施する。送金の例では、サーバ・コンピュータ110は、ステップ855で、送金先口座に送金することになる。
【0127】
ハードウェア装置ディスプレイ210上に表示される取引情報は正しいものであるとユーザが確定しない場合には、本方法は、ステップ870から継続される。この部分は点線で示される。ユーザによって能動的に、例えば、ハードウェア装置入力ユニット280の取り消しボタンを押すことによって、あるいは、受動的に、例えば、ハードウェア装置130が所定のタイムアウト期間内に確定を受信しない場合に、取引を確定しないようにしてもよい。次いで、ステップ875で、ハードウェア装置130は、その取引を取り消して、その取引情報をサーバ・コンピュータ110へ転送しないようにする。さらに、ステップ880で、ハードウェア装置130は、取り消しメッセージ(CM:cancellation message)をプロキシ・アプリケーション420を介してブラウザ・アプリケーション410へ送ってもよい。ブラウザ・アプリケーション410は、ステップ885で、クライアント・コンピュータ120のクライアント・コンピュータ・ディスプレイ121上に取り消しメッセージを表示する。取り消しメッセージは、ハードウェア装置130が取引を取り消したことをユーザに示す。取り消しメッセージは、例えば、以下のように書くこともできる。「確定されないので、この取引は取り消されました。お客様のPCのキーボードから入力した取引情報とお客様のセキュリティ・トークンのディスプレイ上に表示される取引情報とが一致しないことに気づいた場合には、お客様のPCは不正なソフトウェアによって危害を受けているかも知れません。」。さらに、取り消しメッセージは、ステップ890で、ハードウェア装置ディスプレイ210上にも表示することもできる。
【0128】
開示されるどの実施形態も、図示または説明あるいはその両方がされる他の実施形態の1つまたは幾つかと組み合わせることもできる。これは、実施形態の1つ以上の特徴についても可能である。
【0129】
追加の実施形態についての詳細
前述の技術は、ソフトウェア、ファームウェア、マイクロコード、ハードウェアまたはその任意の組み合わせあるいはその全部を含む方法、装置または製造品として実施されてもよい。本明細で使用される用語の「製造品」は、媒体で実施されるコードまたはロジックを指し、この媒体は、ハードウェア・ロジック[例えば、集積回路チップ、プログラマブル・ゲート・アレイ(PGA:Programmable Gate Array)、特定用途向け集積回路(ASIC:Application Specific Integrated Circuit)など]、または、磁気記憶媒体(例えば、ハード・ディスク・ドライブ、フレキシブル・ディスク、テープなど)、光学式記憶(CD−ROM、光ディスクなど)、揮発性および不揮発性メモリ・デバイス[電気的消去可能プログラマブル読み出し専用メモリ(EEPROM:Electrically Erasable Programmable Read Only Memory)、読み出し専用メモリ(ROM:Read Only Memory)、プログラマブル読み出し専用メモリ(PROM:Programmable Read Only Memory)、ランダム・アクセス・メモリ(RAM:Random Access Memory)、ダイナミック・ランダム・アクセス・メモリ(DRAM:Dynamic Random Access Memory)、スタティック・ランダム・アクセス・メモリ(SRAM:Static Random Access Memory)、フラッシュ、ファームウェア、プログラマブル・ロジックなど]などのコンピュータ可読媒体を含んでもよい。コンピュータ可読媒体内のコードは、プロセッサによってアクセスされて実行される。コードまたはロジックが符号化されている媒体は、空間または光ファイバ、銅線などの伝送媒体を介して伝播する伝送信号をさらに含んでもよい。コードまたはロジックが符号化されている伝送信号は、無線信号、衛星伝送、電波、赤外線信号、Bluetooth(R)などをさらに含んでもよい。コードまたはロジックが符号化されている伝送信号は、送信所によって送信することおよび受信所によって受信することが可能であり、伝送信号で符号化されるコードまたはロジックは復号されて、送受信所または送受信装置のハードウェアまたはコンピュータ可読媒体に格納されてもよい。さらに、「製造品」は、コードが具体化、処置および実行されるハードウェア・コンポーネントとソフトウェア・コンポーネントとの組み合わせを含んでもよい。当然のことながら、当業者であれば、実施形態の範囲から逸脱することなしに多くの改変が成されてもよく、製造品は、任意の情報担持媒体を含んでもよいことを認識するであろう。例えば、製造品は、マシンによって実行されるとオペレーションが行われる命令を内部に格納した記憶媒体を含む。
【0130】
特定の実施形態は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態またはハードウェア要素とソフトウェア要素との両方を含む実施形態の形態をとることができる。特定の実施形態では、本発明は、これに限定されないが、ファームウェア、常駐ソフトウェア、マイクロコードなどを含むソフトウェアに実施される。
【0131】
さらに、特定の実施形態は、コンピュータまたは任意の命令実行システムによってあるいはこれらに関連して使用されるプログラム・コードを提供するコンピュータ使用可能またはコンピュータ可読媒体からアクセス可能なコンピュータ・プログラム製品の形態をとることができる。この説明のために、コンピュータ使用可能またはコンピュータ可読媒体は、命令実行システム、装置またはデバイスによってあるいはこれらに関連して使用されるプログラムを含有、格納、伝達、伝播または搬送することができる任意の装置とすることができる。媒体は、電子、磁気、光、電磁気、赤外線もしくは半導体システム(または装置またはデバイス)あるいは伝播媒体とすることができる。コンピュータ可読媒体の例としては、半導体またはソリッド・ステート・メモリ、磁気テープ、着脱可能コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読み出し専用メモリ(ROM)、硬質磁気ディスクおよび光ディスクが挙げられる。光ディスクの現在の例としては、コンパクト・ディスク読み出し専用メモリ(CD−ROM)、コンパクト・ディスク読み出し/書き込み(CD−R/W)およびDVDが挙げられる。
【0132】
用語の「特定の実施形態(certain embodiment)」、「1つの実施形態(an embodiment)」、「実施形態(単数)(embodiment)」「実施形態(複数)(embodiments)」、「前記実施形態(単数)(the embodiment)」、「前記実施形態(複数)(the embodiments)」、「1つ以上の実施形態(one or more embodiments)」、「幾つかの実施形態(some embodiments)」、「1つの実施形態(one embodiment)」は、明示的に別段の規定がない限り、1つ以上の(しかしすべてとは限らない)実施形態を意味する。用語の「を含む(including)」、「を含む(comprising)」、「を有する(having)」およびその変化形は、明示的に別段の規定がない限り、「を含むが、これに限定されない」を意味する。項目の列挙されるリストは、明示的に別段の規定がない限り、項目の一部または全部が相互に排他的であることを意味するものではない。用語の「1つの(a)」、「1つの(an)」および「前記(the)」は、明示的に別段の規定がない限り、「1つ以上の」を意味する。
【0133】
互いに通信している装置は、明示的に別段の規定がない限り、互いに継続的に通信している必要はない。さらに、互いに通信している装置は、1つ以上の中間物を介して直接的または間接的に通信してもよい。さらに、互いに通信している幾つかのコンポーネントを有する実施形態についての説明は、これらのコンポーネントがすべて必要とされることを意味するものではない。一方、幅広い種類の可能な実施形態を説明するために、様々な任意のコンポーネントが説明される。さらに、プロセス・ステップ、方法ステップ、アルゴリズムなどは順番に説明されてもよいが、このプロセス、方法およびアルゴリズムは別の順序で動作するように構成されてもよい。言い換えれば、説明されるステップのどのシーケンスまたは順序もそのステップがその順序で実施されるという要件を必ずしも示すとは限らない。本明細書で説明されるプロセスのステップは、実際には任意の順序で実施されてもよい。さらに、幾つかのステップは、同時に並列にまたは一斉に実施されてもよい。
【0134】
本明細書で単一のデバイスまたは製品が説明される場合、単一の装置/製品の代わりに、2つ以上の装置/製品(協働するか否かにかかわらず)が使用されてもよいことは明白である。同様に、本明細書で2つ以上の装置または製品(協働するか否かにかかわらず)が説明される場合、2つ以上の装置または製品の代わりに、単一の装置/製品が使用されてもよいことは明白である。装置の機能または特徴あるいはその両方は、このような機能/特徴を有するものとして明確には説明されていない他の1つ以上の装置によって選択的に具体化されてもよい。したがって、他の実施形態は、その装置自体を含む必要はない。
【0135】
本文脈におけるコンピュータ・プログラム手段またはコンピュータ・プログラムは、情報処理能力を有するシステムに、直接に、あるいは、a)別の言語、符号または記号と、b)異なる物質形式での再生とのどちらか一方または両方を実行した後で特定の機能を実行させることが意図される一連の命令の任意の言語、符号または記号での任意の表現を意味する。
【特許請求の範囲】
【請求項1】
サーバ・コンピュータ(110)とクライアント・コンピュータ(120)との間で電子取引を実施する方法であって、
−通信ネットワーク(160)を介して前記サーバ・コンピュータ(110)と前記ハードウェア装置(130)との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−前記ハードウェア装置(130)で前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施するステップと、
−前記復号されたサーバ応答を前記ハードウェア装置(130)から前記クライアント・コンピュータ(120)へ転送するステップと、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)のクライアント・コンピュータ・ディスプレイ(121)上に表示するステップと、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を前記ハードウェア装置(130)によって受信するステップと、
−前記クライアント要求を所定の取引情報について前記ハードウェア装置(130)によって解析するステップと、
−所定の取引情報を何も含まないクライアント要求を前記ハードウェア装置(130)によって暗号化して前記サーバ・コンピュータ(110)へ転送するステップと、
−クライアント要求を検出すると前記所定の取引情報を前記ハードウェア装置(130)のハードウェア装置ディスプレイ(210)上に表示するステップと、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送するステップと、
−ユーザ確定が受信されない場合に、前記電子取引を取り消すステップと、
を含む方法。
【請求項2】
−前記クライアント・コンピュータ(120)のブラウザ・アプリケーション(410)と前記サーバ・コンピュータ(110)との間で第2の通信プロトコルを通常動作モードで実行するステップと、
−前記サーバ・コンピュータ(110)と前記ハードウェア装置(130)との間で前記第1の通信プロトコルを機密保護動作モードで実行するステップと、
−プロキシ・アプリケーション(420)を介して前記ブラウザ・アプリケーション(410)から前記ハードウェア装置(130)に、さらに前記プロキシ・アプリケーション(420)を介して前記ハードウェア装置(130)から前記サーバ・コンピュータ(110)に、クライアント要求を前記機密保護動作モードでルートするステップと、
−前記プロキシ・アプリケーション(420)を介して前記サーバ・コンピュータ(110)から前記ハードウェア装置(130)に、さらに前記プロキシ・アプリケーション(420)を介して前記ハードウェア装置(130)から前記ブラウザ・アプリケーション(410)に、サーバ応答を前記機密保護動作モードでルートするステップと、
をさらに含む、請求項1に記載の方法。
【請求項3】
−前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)と前記サーバ・コンピュータ(110)との間で前記クライアント・コンピュータ(120)の前記プロキシ・アプリケーション(420)を介して前記第2の通信プロトコルを前記通常動作モードで実行するステップと、
−クライアント要求を所定の一連のクライアント要求について前記プロキシ・アプリケーション(420)によって解析するステップと、
−所定のクライアント要求を検出すると、前記プロキシ・アプリケーション(420)によって前記機密保護動作モードを起動するステップと、
をさらに含む、請求項2に記載の方法。
【請求項4】
前記復号されたサーバ応答を前記ハードウェア装置(130)から前記クライアント・コンピュータ(120)へ転送する前に、
−前記サーバ応答を所定の取引情報について前記ハードウェア装置(130)によって解析するステップと、
−何も所定の取引情報を含まないサーバ応答を前記クライアント・コンピュータ(120)へ前記ハードウェア装置(130)によって転送するステップと、
−サーバ応答を検出すると前記所定の取引情報を前記ハードウェア装置(130)のハードウェア装置ディスプレイ(210)上に表示するステップと、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記サーバ応答を前記クライアント・コンピュータ(120)へ転送するステップと、
−ユーザ確定が受信されない場合に、前記電子取引を取り消すステップと、
をさらに含む、請求項1〜3のいずれか1項に記載の方法。
【請求項5】
前記第1の通信プロトコルが、セキュア・ソケット・レイヤ(SSL)規格またはトランスポート・レイヤ・セキュリティ(TLS)規格に従うプロトコルと、トランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP)規格に従うプロトコルとを含むネットワーク層を含む、請求項1〜4のいずれか1項に記載の方法。
【請求項6】
前記第1の通信プロトコルが、ハイパ・テキスト転送プロトコル(HTTP)を含むアプリケーション層を含む、請求項1〜5のいずれか1項に記載の方法。
【請求項7】
前記第2の通信プロトコルが、トランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP)を含むネットワーク層と、ハイパ・テキスト転送プロトコル(HTTP)を含むアプリケーション層とを含む、請求項1〜6のいずれか1項に記載の方法。
【請求項8】
−前記サーバ・コンピュータ(110)によって、ユーザ認証を実施するステップ、
をさらに含む、請求項1〜7のいずれか1項に記載の方法。
【請求項9】
−前記ハードウェア装置(130)によってユーザ認証を実施するステップ、
をさらに含む、請求項1〜8のいずれか1項に記載の方法。
【請求項10】
電子取引を実施するシステム(100)であって、
−サーバ・コンピュータ(110)と、
−クライアント・コンピュータ・ディスプレイ(121)およびクライアント・コンピュータ入力ユニット(122)を含むクライアント・コンピュータ(120)と、
−ハードウェア装置ディスプレイ(210)を含むハードウェア装置(130)と、
−前記ハードウェア装置(130)と前記サーバ・コンピュータ(110)との間の通信ネットワーク(160)と、
を含み、
−前記サーバ・コンピュータ(110)と前記ハードウェア装置(130)との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記ハードウェア装置(130)で前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記ハードウェア装置(130)から前記クライアント・コンピュータ(120)へ前記復号されたサーバ応答を転送し、
−前記クライアント・コンピュータ・ディスプレイ(121)上に前記復号されたサーバ応答を提示し、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を前記ハードウェア装置(130)によって受信し、
−前記クライアント要求を所定の取引情報について前記ハードウェア装置(130)によって解析し、
−所定の取引情報を何も含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記ハードウェア装置ディスプレイ(210)上に表示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−ユーザ確定が受信されない場合に、前記電子取引を取り消す、
ように適合されるシステム(100)。
【請求項11】
ハードウェア装置(130)を用いてサーバ・コンピュータ(110)とクライアント・コンピュータ(120)との間の電子取引を制御する方法であって、前記ハードウェア装置(130)内に、
−前記サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施するステップと、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)へ転送するステップと、
−前記サーバ・コンピュータ(110)に送られるクライアント要求を前記クライアント・コンピュータ(120)から受信するステップと、
−前記クライアント要求を所定の取引情報について解析するステップと、
−何も所定の取引情報を含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送するステップと、
−クライアント要求を検出すると前記所定の取引情報をユーザに提示するステップと、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送するステップと、
を含む方法。
【請求項12】
電子取引を制御するハードウェア装置(130)であって、ハードウェア装置ディスプレイ(210)と、前記ハードウェア装置(130)をクライアント・コンピュータ(120)に接続するために提供されるハードウェア装置インタフェース・ユニット(270)とを含み、
−サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)へ転送し、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を受信し、
−前記クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記ハードウェア装置ディスプレイ(210)上に表示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送する、
ように適合されるハードウェア装置(130)。
【請求項13】
前記ハードウェア装置(130)が、セキュリティ高感度データを格納するセキュリティ・トークン(310)を含む、請求項12に記載のハードウェア装置(130)。
【請求項14】
前記ハードウェア装置(130)が、セキュリティ高感度データをスマート・カード(260)から読み出すスマート・カード読み取り機(250)を含む、請求項12に記載のハードウェア装置(130)。
【請求項15】
前記ハードウェア装置(130)が、所定レベルの耐タンパ性を有する、請求項12〜14のいずれか1項に記載のハードウェア装置(130)。
【請求項16】
前記ハードウェア装置(130)の前記耐タンパ性の所定レベルが、前記クライアント・コンピュータ(120)の前記耐タンパ性レベルよりも高い、請求項15に記載のハードウェア装置(130)。
【請求項17】
前記ハードウェア装置(130)が、ソフトウェア・アプリケーションを前記ハードウェア装置(130)にロードすることができないように設計される、請求項12〜16のいずれか1項に記載のハードウェア装置(130)。
【請求項18】
前記セキュリティ高感度データが、秘密鍵と、信頼されるルート情報とを含む、請求項13〜17のいずれか1項に記載のハードウェア装置(130)。
【請求項19】
前記ハードウェア装置(130)が、取引を確定するまたは取り消すあるいはその両方のためのハードウェア装置入力ユニット(280)を含む、請求項12〜18のいずれか1項に記載のハードウェア装置(130)。
【請求項20】
電子取引を制御するハードウェア装置(130)であって、ユーザに情報を提示する提示手段(210)と、前記ハードウェア装置(130)をクライアント・コンピュータ(120)に接続するために提供されるハードウェア装置インタフェース・ユニット(270)とを含み、
−サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)へ転送し、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を受信し、
−前記クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記提示手段(210)によって提示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送する、
ように適合されるハードウェア装置(130)。
【請求項21】
第1のインタフェース(156)を介して通信ネットワーク(160)と、第2のインタフェース(155)を介してハードウェア装置(130)に接続可能なクライアント・コンピュータ(120)であって、
−前記通信ネットワーク(160)を閲覧するためのブラウザ・アプリケーション(410)と、プロキシ・アプリケーション(420)と、
を含み、前記プロキシ・アプリケーション(420)が、
−クライアント要求を前記ブラウザ・アプリケーション(410)から前記ハードウェア装置(130)へ、さらに前記通信ネットワーク(160)を介して前記ハードウェア装置(130)からサーバ・コンピュータ(110)へ機密保護動作モードで転送し、
−前記サーバ・コンピュータ(110)から受信されるサーバ応答を前記ハードウェア装置(130)へ、さらに前記ハードウェア装置(130)から前記ブラウザ・アプリケーション(410)へ前記機密保護動作モードで転送する、
ように適合され、前記クライアント・コンピュータ(120)が、前記ハードウェア装置(130)および前記通信ネットワーク(160)を介して前記サーバ・コンピュータ(110)と電子取引を前記機密保護動作モードで実施するように適合されるクライアント・コンピュータ(120)。
【請求項22】
前記プロキシ・アプリケーション(420)が、
−前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)から受信されるクライアント要求を、前記サーバ・コンピュータ(110)へ通常動作モードで転送し、
−前記サーバ・コンピュータ(110)から受信されるサーバ応答を前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)へ通常動作モードで転送し、
−前記クライアント要求を所定の一連のクライアント要求について解析し、
−所定のクライアント要求を検出すると前記機密保護動作モードを起動する、
ように適合される、請求項21に記載のクライアント・コンピュータ(120)。
【請求項23】
前記機密保護モードが、前記プロキシ・アプリケーション(420)から前記ハードウェア装置(130)へ機密保護モード有効信号を送ることによって起動される、請求項22に記載のクライアント・コンピュータ(120)。
【請求項24】
コンピュータ・プログラム(420)であって、クライアント・コンピュータ(120)上で実行される場合に、
−前記クライアント・コンピュータ(120)のブラウザ・アプリケーション(410)から受信されるクライアント要求をハードウェア装置(130)へ、さらに前記ハードウェア装置(130)から通信ネットワーク(160)を介してサーバ・コンピュータ(110)へ機密保護動作モードで転送するステップと、
−前記サーバ・コンピュータ(110)から受信されるサーバ応答を前記ハードウェア装置(130)へ、さらに前記ハードウェア装置(130)から前記ブラウザ・アプリケーション(410)へ前記機密保護動作モードで転送するステップと、
を実行する命令を含むコンピュータ・プログラム(420)。
【請求項25】
前記コンピュータ・プログラム(420)が、前記クライアント・コンピュータ(120)上で実行される場合に、
−前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)から受信されるクライアント要求を前記通信ネットワーク(160)を介して前記サーバ・コンピュータ(110)へ通常動作モードで転送するステップと、
−前記サーバ・コンピュータ(110)から受信されるサーバ応答を前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)へ前記通常動作モードで転送するステップと、
−前記クライアント要求を所定の一連のクライアント要求について解析するステップと、
−所定のクライアント要求を検出すると前記機密保護モードを起動するステップと、
を実行する命令をさらに含む、請求項24に記載のコンピュータ・プログラム(420)。
【請求項26】
ハードウェア装置(130)を用いてサーバ・コンピュータ(110)とクライアント・コンピュータ(120)との間の電子取引を制御する方法であって、前記ハードウェア装置(130)内に、
−前記サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施するステップと、
−前記サーバ応答を所定の取引情報について解析するステップと、
−何も所定の取引情報を含まないサーバ応答を前記クライアント・コンピュータ(120)へ転送するステップと、
−サーバ応答を検出すると前記所定の取引情報をユーザに提示するステップと、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記サーバ応答を前記クライアント・コンピュータ(120)へ転送するステップと、
を含む方法。
【請求項27】
電子取引を制御するハードウェア装置(130)であって、ハードウェア装置ディスプレイ(210)と、前記ハードウェア装置(130)をクライアント・コンピュータ(120)に接続するために提供されるハードウェア装置インタフェース・ユニット(270)と、
を含み、
−サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記サーバ応答を所定の取引情報について解析し、
−何も所定の取引情報を含まないサーバ応答を前記クライアント・コンピュータ(120)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記ハードウェア装置ディスプレイ(210)上に表示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含むサーバ応答を前記クライアント・コンピュータ(120)へ転送する、
ように適合されるハードウェア装置(130)。
【請求項28】
電子取引を制御するハードウェア装置(130)であって、ユーザ・インタフェース(210)と、前記ハードウェア装置(130)をクライアント・コンピュータ(120)に接続するために提供されるハードウェア装置インタフェース・ユニット(270)とを含み、
−前記サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)へ転送し、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を受信し、
−前記クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記ユーザ・インタフェースによって提示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送する、
ように適合されるハードウェア装置(130)。
【請求項29】
サーバ・コンピュータ(110)であって、
−請求項12〜20、27および28のいずれか1項に記載のハードウェア装置(130)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−通信ネットワーク(160)および前記ハードウェア装置(130)を介してクライアント・コンピュータ(120)と電子取引を実施する、
ように適合されるサーバ・コンピュータ(110)。
【請求項1】
サーバ・コンピュータ(110)とクライアント・コンピュータ(120)との間で電子取引を実施する方法であって、
−通信ネットワーク(160)を介して前記サーバ・コンピュータ(110)と前記ハードウェア装置(130)との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−前記ハードウェア装置(130)で前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施するステップと、
−前記復号されたサーバ応答を前記ハードウェア装置(130)から前記クライアント・コンピュータ(120)へ転送するステップと、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)のクライアント・コンピュータ・ディスプレイ(121)上に表示するステップと、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を前記ハードウェア装置(130)によって受信するステップと、
−前記クライアント要求を所定の取引情報について前記ハードウェア装置(130)によって解析するステップと、
−所定の取引情報を何も含まないクライアント要求を前記ハードウェア装置(130)によって暗号化して前記サーバ・コンピュータ(110)へ転送するステップと、
−クライアント要求を検出すると前記所定の取引情報を前記ハードウェア装置(130)のハードウェア装置ディスプレイ(210)上に表示するステップと、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送するステップと、
−ユーザ確定が受信されない場合に、前記電子取引を取り消すステップと、
を含む方法。
【請求項2】
−前記クライアント・コンピュータ(120)のブラウザ・アプリケーション(410)と前記サーバ・コンピュータ(110)との間で第2の通信プロトコルを通常動作モードで実行するステップと、
−前記サーバ・コンピュータ(110)と前記ハードウェア装置(130)との間で前記第1の通信プロトコルを機密保護動作モードで実行するステップと、
−プロキシ・アプリケーション(420)を介して前記ブラウザ・アプリケーション(410)から前記ハードウェア装置(130)に、さらに前記プロキシ・アプリケーション(420)を介して前記ハードウェア装置(130)から前記サーバ・コンピュータ(110)に、クライアント要求を前記機密保護動作モードでルートするステップと、
−前記プロキシ・アプリケーション(420)を介して前記サーバ・コンピュータ(110)から前記ハードウェア装置(130)に、さらに前記プロキシ・アプリケーション(420)を介して前記ハードウェア装置(130)から前記ブラウザ・アプリケーション(410)に、サーバ応答を前記機密保護動作モードでルートするステップと、
をさらに含む、請求項1に記載の方法。
【請求項3】
−前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)と前記サーバ・コンピュータ(110)との間で前記クライアント・コンピュータ(120)の前記プロキシ・アプリケーション(420)を介して前記第2の通信プロトコルを前記通常動作モードで実行するステップと、
−クライアント要求を所定の一連のクライアント要求について前記プロキシ・アプリケーション(420)によって解析するステップと、
−所定のクライアント要求を検出すると、前記プロキシ・アプリケーション(420)によって前記機密保護動作モードを起動するステップと、
をさらに含む、請求項2に記載の方法。
【請求項4】
前記復号されたサーバ応答を前記ハードウェア装置(130)から前記クライアント・コンピュータ(120)へ転送する前に、
−前記サーバ応答を所定の取引情報について前記ハードウェア装置(130)によって解析するステップと、
−何も所定の取引情報を含まないサーバ応答を前記クライアント・コンピュータ(120)へ前記ハードウェア装置(130)によって転送するステップと、
−サーバ応答を検出すると前記所定の取引情報を前記ハードウェア装置(130)のハードウェア装置ディスプレイ(210)上に表示するステップと、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記サーバ応答を前記クライアント・コンピュータ(120)へ転送するステップと、
−ユーザ確定が受信されない場合に、前記電子取引を取り消すステップと、
をさらに含む、請求項1〜3のいずれか1項に記載の方法。
【請求項5】
前記第1の通信プロトコルが、セキュア・ソケット・レイヤ(SSL)規格またはトランスポート・レイヤ・セキュリティ(TLS)規格に従うプロトコルと、トランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP)規格に従うプロトコルとを含むネットワーク層を含む、請求項1〜4のいずれか1項に記載の方法。
【請求項6】
前記第1の通信プロトコルが、ハイパ・テキスト転送プロトコル(HTTP)を含むアプリケーション層を含む、請求項1〜5のいずれか1項に記載の方法。
【請求項7】
前記第2の通信プロトコルが、トランスミッション・コントロール・プロトコル/インターネット・プロトコル(TCP/IP)を含むネットワーク層と、ハイパ・テキスト転送プロトコル(HTTP)を含むアプリケーション層とを含む、請求項1〜6のいずれか1項に記載の方法。
【請求項8】
−前記サーバ・コンピュータ(110)によって、ユーザ認証を実施するステップ、
をさらに含む、請求項1〜7のいずれか1項に記載の方法。
【請求項9】
−前記ハードウェア装置(130)によってユーザ認証を実施するステップ、
をさらに含む、請求項1〜8のいずれか1項に記載の方法。
【請求項10】
電子取引を実施するシステム(100)であって、
−サーバ・コンピュータ(110)と、
−クライアント・コンピュータ・ディスプレイ(121)およびクライアント・コンピュータ入力ユニット(122)を含むクライアント・コンピュータ(120)と、
−ハードウェア装置ディスプレイ(210)を含むハードウェア装置(130)と、
−前記ハードウェア装置(130)と前記サーバ・コンピュータ(110)との間の通信ネットワーク(160)と、
を含み、
−前記サーバ・コンピュータ(110)と前記ハードウェア装置(130)との間で暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記ハードウェア装置(130)で前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記ハードウェア装置(130)から前記クライアント・コンピュータ(120)へ前記復号されたサーバ応答を転送し、
−前記クライアント・コンピュータ・ディスプレイ(121)上に前記復号されたサーバ応答を提示し、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を前記ハードウェア装置(130)によって受信し、
−前記クライアント要求を所定の取引情報について前記ハードウェア装置(130)によって解析し、
−所定の取引情報を何も含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記ハードウェア装置ディスプレイ(210)上に表示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−ユーザ確定が受信されない場合に、前記電子取引を取り消す、
ように適合されるシステム(100)。
【請求項11】
ハードウェア装置(130)を用いてサーバ・コンピュータ(110)とクライアント・コンピュータ(120)との間の電子取引を制御する方法であって、前記ハードウェア装置(130)内に、
−前記サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施するステップと、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)へ転送するステップと、
−前記サーバ・コンピュータ(110)に送られるクライアント要求を前記クライアント・コンピュータ(120)から受信するステップと、
−前記クライアント要求を所定の取引情報について解析するステップと、
−何も所定の取引情報を含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送するステップと、
−クライアント要求を検出すると前記所定の取引情報をユーザに提示するステップと、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送するステップと、
を含む方法。
【請求項12】
電子取引を制御するハードウェア装置(130)であって、ハードウェア装置ディスプレイ(210)と、前記ハードウェア装置(130)をクライアント・コンピュータ(120)に接続するために提供されるハードウェア装置インタフェース・ユニット(270)とを含み、
−サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)へ転送し、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を受信し、
−前記クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記ハードウェア装置ディスプレイ(210)上に表示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送する、
ように適合されるハードウェア装置(130)。
【請求項13】
前記ハードウェア装置(130)が、セキュリティ高感度データを格納するセキュリティ・トークン(310)を含む、請求項12に記載のハードウェア装置(130)。
【請求項14】
前記ハードウェア装置(130)が、セキュリティ高感度データをスマート・カード(260)から読み出すスマート・カード読み取り機(250)を含む、請求項12に記載のハードウェア装置(130)。
【請求項15】
前記ハードウェア装置(130)が、所定レベルの耐タンパ性を有する、請求項12〜14のいずれか1項に記載のハードウェア装置(130)。
【請求項16】
前記ハードウェア装置(130)の前記耐タンパ性の所定レベルが、前記クライアント・コンピュータ(120)の前記耐タンパ性レベルよりも高い、請求項15に記載のハードウェア装置(130)。
【請求項17】
前記ハードウェア装置(130)が、ソフトウェア・アプリケーションを前記ハードウェア装置(130)にロードすることができないように設計される、請求項12〜16のいずれか1項に記載のハードウェア装置(130)。
【請求項18】
前記セキュリティ高感度データが、秘密鍵と、信頼されるルート情報とを含む、請求項13〜17のいずれか1項に記載のハードウェア装置(130)。
【請求項19】
前記ハードウェア装置(130)が、取引を確定するまたは取り消すあるいはその両方のためのハードウェア装置入力ユニット(280)を含む、請求項12〜18のいずれか1項に記載のハードウェア装置(130)。
【請求項20】
電子取引を制御するハードウェア装置(130)であって、ユーザに情報を提示する提示手段(210)と、前記ハードウェア装置(130)をクライアント・コンピュータ(120)に接続するために提供されるハードウェア装置インタフェース・ユニット(270)とを含み、
−サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)へ転送し、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を受信し、
−前記クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記提示手段(210)によって提示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送する、
ように適合されるハードウェア装置(130)。
【請求項21】
第1のインタフェース(156)を介して通信ネットワーク(160)と、第2のインタフェース(155)を介してハードウェア装置(130)に接続可能なクライアント・コンピュータ(120)であって、
−前記通信ネットワーク(160)を閲覧するためのブラウザ・アプリケーション(410)と、プロキシ・アプリケーション(420)と、
を含み、前記プロキシ・アプリケーション(420)が、
−クライアント要求を前記ブラウザ・アプリケーション(410)から前記ハードウェア装置(130)へ、さらに前記通信ネットワーク(160)を介して前記ハードウェア装置(130)からサーバ・コンピュータ(110)へ機密保護動作モードで転送し、
−前記サーバ・コンピュータ(110)から受信されるサーバ応答を前記ハードウェア装置(130)へ、さらに前記ハードウェア装置(130)から前記ブラウザ・アプリケーション(410)へ前記機密保護動作モードで転送する、
ように適合され、前記クライアント・コンピュータ(120)が、前記ハードウェア装置(130)および前記通信ネットワーク(160)を介して前記サーバ・コンピュータ(110)と電子取引を前記機密保護動作モードで実施するように適合されるクライアント・コンピュータ(120)。
【請求項22】
前記プロキシ・アプリケーション(420)が、
−前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)から受信されるクライアント要求を、前記サーバ・コンピュータ(110)へ通常動作モードで転送し、
−前記サーバ・コンピュータ(110)から受信されるサーバ応答を前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)へ通常動作モードで転送し、
−前記クライアント要求を所定の一連のクライアント要求について解析し、
−所定のクライアント要求を検出すると前記機密保護動作モードを起動する、
ように適合される、請求項21に記載のクライアント・コンピュータ(120)。
【請求項23】
前記機密保護モードが、前記プロキシ・アプリケーション(420)から前記ハードウェア装置(130)へ機密保護モード有効信号を送ることによって起動される、請求項22に記載のクライアント・コンピュータ(120)。
【請求項24】
コンピュータ・プログラム(420)であって、クライアント・コンピュータ(120)上で実行される場合に、
−前記クライアント・コンピュータ(120)のブラウザ・アプリケーション(410)から受信されるクライアント要求をハードウェア装置(130)へ、さらに前記ハードウェア装置(130)から通信ネットワーク(160)を介してサーバ・コンピュータ(110)へ機密保護動作モードで転送するステップと、
−前記サーバ・コンピュータ(110)から受信されるサーバ応答を前記ハードウェア装置(130)へ、さらに前記ハードウェア装置(130)から前記ブラウザ・アプリケーション(410)へ前記機密保護動作モードで転送するステップと、
を実行する命令を含むコンピュータ・プログラム(420)。
【請求項25】
前記コンピュータ・プログラム(420)が、前記クライアント・コンピュータ(120)上で実行される場合に、
−前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)から受信されるクライアント要求を前記通信ネットワーク(160)を介して前記サーバ・コンピュータ(110)へ通常動作モードで転送するステップと、
−前記サーバ・コンピュータ(110)から受信されるサーバ応答を前記クライアント・コンピュータ(120)の前記ブラウザ・アプリケーション(410)へ前記通常動作モードで転送するステップと、
−前記クライアント要求を所定の一連のクライアント要求について解析するステップと、
−所定のクライアント要求を検出すると前記機密保護モードを起動するステップと、
を実行する命令をさらに含む、請求項24に記載のコンピュータ・プログラム(420)。
【請求項26】
ハードウェア装置(130)を用いてサーバ・コンピュータ(110)とクライアント・コンピュータ(120)との間の電子取引を制御する方法であって、前記ハードウェア装置(130)内に、
−前記サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行するステップと、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施するステップと、
−前記サーバ応答を所定の取引情報について解析するステップと、
−何も所定の取引情報を含まないサーバ応答を前記クライアント・コンピュータ(120)へ転送するステップと、
−サーバ応答を検出すると前記所定の取引情報をユーザに提示するステップと、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記サーバ応答を前記クライアント・コンピュータ(120)へ転送するステップと、
を含む方法。
【請求項27】
電子取引を制御するハードウェア装置(130)であって、ハードウェア装置ディスプレイ(210)と、前記ハードウェア装置(130)をクライアント・コンピュータ(120)に接続するために提供されるハードウェア装置インタフェース・ユニット(270)と、
を含み、
−サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記サーバ応答を所定の取引情報について解析し、
−何も所定の取引情報を含まないサーバ応答を前記クライアント・コンピュータ(120)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記ハードウェア装置ディスプレイ(210)上に表示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含むサーバ応答を前記クライアント・コンピュータ(120)へ転送する、
ように適合されるハードウェア装置(130)。
【請求項28】
電子取引を制御するハードウェア装置(130)であって、ユーザ・インタフェース(210)と、前記ハードウェア装置(130)をクライアント・コンピュータ(120)に接続するために提供されるハードウェア装置インタフェース・ユニット(270)とを含み、
−前記サーバ・コンピュータ(110)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−前記サーバ・コンピュータ(110)から受信される暗号化されたサーバ応答の復号を実施し、
−前記復号されたサーバ応答を前記クライアント・コンピュータ(120)へ転送し、
−前記クライアント・コンピュータ(120)から前記サーバ・コンピュータ(110)に送られるクライアント要求を受信し、
−前記クライアント要求を所定の取引情報について解析し、
−何も所定の取引情報を含まないクライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送し、
−クライアント要求を検出すると前記所定の取引情報を前記ユーザ・インタフェースによって提示し、
−ユーザ確定が受信される場合に、前記所定の取引情報を含む前記クライアント要求を暗号化して前記サーバ・コンピュータ(110)へ転送する、
ように適合されるハードウェア装置(130)。
【請求項29】
サーバ・コンピュータ(110)であって、
−請求項12〜20、27および28のいずれか1項に記載のハードウェア装置(130)との暗号化されたデータ送信および相互認証を有する第1の通信プロトコルを実行し、
−通信ネットワーク(160)および前記ハードウェア装置(130)を介してクライアント・コンピュータ(120)と電子取引を実施する、
ように適合されるサーバ・コンピュータ(110)。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2011−507054(P2011−507054A)
【公表日】平成23年3月3日(2011.3.3)
【国際特許分類】
【出願番号】特願2010−533707(P2010−533707)
【出願日】平成20年11月14日(2008.11.14)
【国際出願番号】PCT/IB2008/054782
【国際公開番号】WO2009/066217
【国際公開日】平成21年5月28日(2009.5.28)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公表日】平成23年3月3日(2011.3.3)
【国際特許分類】
【出願日】平成20年11月14日(2008.11.14)
【国際出願番号】PCT/IB2008/054782
【国際公開番号】WO2009/066217
【国際公開日】平成21年5月28日(2009.5.28)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]