ID盗難又は複製を用いた不正使用に対する保護の方法とシステム
コンピュータ・ユーザのIDとパスワードを不正使用することで行われるID盗難の検出と保護とを行うシステム、及び/又は第二チャネル、ワンタイム・パスコード、及びユーザコンテキストローカル情報を使用する第二認証レベルによって同等なユーザ・セッションを介したID複製からユーザを保護するシステムに関する。ネットワーク、コンピュータ・システム又はプログラムにアクセスする場合、前記ネットワーク、コンピュータ・システム又はプログラムは、ユーザIDとパスワードを有効化し、且つユーザ、装置、使用しているネットワークなどに関するコンテキスト情報を収集しようとする。ひとたび有効化されれば、リアルタイム・セッション固有ワンタイム・パスコードを有するメッセージが、携帯電話のSMSネットワーク、又はインスタント・メッセージのような第二手段によって送信される。セッション固有のコード及び収集された情報は、公開された情報と不正アクセスから保護をするユーザ及びパスワードを表わす情報との間の不整合を介し、信用するに足りなくなったIDをユーザが検出できるようにする情報を提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本願発明は、コンピュータ・システム中の対象コンポーネントに対するユーザアクセスを認証するためのコンピュータ実行アクセス認証の方法とシステムに関する。具体的には、本願発明は、ID盗難、及び/又は複製を介したID盗難を防ぐ、又は少なくともその危険性を軽減する方法とシステムに関する。
【背景技術】
【0002】
マルチユーザ・コンピュータの状況として、認証手続は、ユーザにアクセスすることを許可しているプログラムやシステム・リソースに対するユーザアクセス権を与えるために広く使用されている。本願明細書の記載として、コンピュータ・システム中の対象コンポーネントという用語は、認証スキームに基づきユーザアクセスが許可されているコンピュータ・システム中の如何なるエンティティ(entity)をも参照することを目的としている。上記の対象コンポーネントの例としては、コンピュータ、又はコンピュータのグループ、コンピュータ・ネットワーク、通信ネットワーク、データ処理システム上で実行される一又は二以上のコンピュータ・プログラム、一又は二以上のコンピュータ・プログラムの機能、コンピュータ・リソース(ドライバ、メモリ、コンピュータ周辺機器、メモリに格納されたデータ、コンピュータによって提供されたサービスなど)がある。アクセスを許可するための従来の手段は、ユーザIDとパスワードを使用する。広域ネットワーク及びインターネットの到来と同時に、数多くのコンピュータ・プログラムとシステムは、現状はセキュリティの点では専らユーザIDとパスワードとを用いた個別アクセスの許可に基づくものとなっている。ネットワーク介した通信を行う場合、第1コンピュータ装置と第2コンピュータ装置との間の通信の経過を追う方法は、セッションIDを用いてなされる。近年、ユーザIDとパスワードの形式でユーザの同一性を確保する方法とプログラムは、ユーザが日常的に騙し取られてしまう使用方法として爆発的に増加している。
【0003】
ユーザのIDとパスワードを盗む巧妙な方法は、第三者が犯罪的手法によってユーザのIDとパスワードにアクセスすることができるいわゆるフィッシング詐欺である。これらの方法は、介入者攻撃のようなさらに巧妙な攻撃方法という可能性さえある。介入者攻撃とは、ユーザがネットワーク、コンピュータ・システム、又はプログラムにログインする際、ユーザと前記ネットワーク、コンピュータ・システム又はプログラムとの間の通信を不正な第三者が傍受するものである。ひとたび傍受されてしまうと、不正な第三者は、同じようなプロセスを立ち上げ、同じネットワーク、コンピュータ・システム又はプログラムに対してユーザとしてログインするだけでなく、介入者として容易に活動し、ID盗難を目的として前記ネットワーク、コンピュータ・システム又はプログラム上のユーザ活動に感染するようになる。
【0004】
上記の攻撃に対してユーザの安全を確保する一方法は、認証に第二の手段を展開することができるようにすることである。上記の第二の手段は、認証の第二の要素としてもみなされる。初期に出てきた上記の解決策は、ユーザが肌身離さずどこにでも持ち運べるトークンと呼ばれるハードウェア装置を用いていた。ソフト・トークン、又はSMS配信トークンコードとしてもみられた上記方法は、一定期間、又は使用されるまでは有効である事前発行されたパスコードを用いる方法である。上記のコンセプトは、フィッシング詐欺、及び特に介入者攻撃の双方を防ぐには効果がないことが分かっている。それは、不正な第三者がいるかどうか、及びセッションが傍受されているかどうかということをユーザが決して気づくことができないからである。
【0005】
最近出てきた解決策は、メッセージベースの取り組みに基づいている。一般的にユーザの携帯電話にパスコードを送信するため、広範囲で使用されているショート・メッセージ・システム(SMS、又はテキスト・メッセージ)といった携帯電話ネットワーク上のシステムを用いる方法が最も広く見受けられている。もしくは、代替の実施態様として、ユーザのIDとパスワードによるログイン・プロセスにて認証を行うシステムを公開している中央サーバに、ユーザがアクセスする。ユーザIDとパスワードと同時にSMSコードが入力され、それ故にフィッシング詐欺、及び証明書(credential)を危険にさらす類似手法を有効なものとしてしまう分離型ログイン・プロセスを用いていることがいくつかの現在の取り組みにおける問題となっている。これらの解決策における現在の実施態様も、一定期間、又は使用されるまでは有効であり、さらにそれ故、介入者攻撃にパスコードを危険にさらしてしまう事前発行されたパスコードを使用している。
【0006】
米国特許出願公開第2007/0136573号には、少なくとも一つからなる多重多要素認証を用いる認証のシステムと方法とが公開されている。上記の先行技術の方法は、信用があるコンピュータの存在と使用に関する。上記の先行技術文献は、信用があるコンピュータの構築のためのプロセスを介入者攻撃から保護するため、信用があるコンピュータの構築に関する如何なる方法も公開していない。それ故、信用があるコンピュータを必要とせず、介入者攻撃に対して高めたセキュリティを提供するという問題が残っている。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本願発明は、フィッシング詐欺、及びファーミングによるID盗難、又はID複製を阻止するために先行技術の解決策のいくつかの課題を克服するものである。
【課題を解決するための手段】
【0008】
本願明細書に開示する本願方法と本願システムとの実施態様は、リアルタイム且つセッション固有の二要素認証方法を組み合わせている。二要素認証方法は、ユーザに送信したメッセージの中にログイン・プロセスの間に収集されたコンテキスト情報を含めることによって、ユーザの個人的な情報を組み合わせた方法である。
【0009】
ユーザが第一ユーザ・システムからコンピュータ・システム中の対象コンポーネントにアクセスする場合、ユーザは、ユーザ名と、パスワード、PIN、又は別の機密情報の形式のパスワードとを提供することがまず求められる。本願明細書に開示する方法の実施態様は、証明書を有効とするとともに、セッション固有のコンテキスト情報を収集し、且つ例えばセッション・クッキーID(これに限定されるものではない)などの個別のログイン・セッションIDに関連するものだけが有効となるパスコードを生成する。リアルタイム・パスコードとコンテキスト情報は、通信ネットワーク経由で第二ユーザ・システムに送信される。上記コンテキスト情報は、介入者攻撃が進行中であるかどうかをユーザが判断できるようにし、もしそうであるならば、セッション固有のパスワードを入力しないことによってフィッシング詐欺及びファーミング攻撃を防ぐ。上記コンテキスト情報が正しいと思われる場合、ユーザはパスコード入力を継続し、セッションIDに対して有効であるならば、ユーザはアクセス権が与えられる。
【0010】
一実施態様において、第一ユーザ・システムからコンピュータ・システム中の対象コンポーネントにアクセスしようとしているユーザを認証するために、コンピュータ実行システムによって実行される方法が公開される。第一ユーザ・システムの実施態様は、第一通信ネットワークに接続可能となっている。上記方法の実施態様は、以下の段階を具備している。
【0011】
−第一ユーザ・システム中の第一ユーザ・インターフェースを通してユーザによって入力されたユーザ認証情報を受信する段階
【0012】
−第一ユーザ・システムのプロパティを示す情報、又は第一通信ネットワーク及びセッションIDのプロパティを示す情報から選択されたコンテキスト情報の少なくとも一つの項目を前記第一通信ネットワーク経由で取得する段階
【0013】
−ユーザ認証情報を検証する段階と、ユーザ認証情報の検証の成功に応答して、コンピュータ実行認証システムから第二通信ネットワークを経由し第二ユーザ・システムへメッセージを送信する段階と、第二ユーザ・システムが、ユーザがコンテキスト情報の少なくとも一つの項目、及びセッション固有のワンタイム・パスコードを検証できるように、第二ユーザ・インターフェースを経由しユーザに対してコンテキスト情報の少なくとも一つの項目を表示することを許可する段階
前記メッセージはコンテキスト情報の少なくとも一つの項目、又はIPアドレスに基づくおおよその位置情報もしくはGPS(全地球測位システム)座標に基づく地名などの収集されたコンテキスト情報の派生情報を含む。
【0014】
−第一ユーザ・システム、及び第一通信ネットワークを経由し、第一ユーザ・システムに対してユーザによって入力されたセッション固有のパスコードを受信する段階
【0015】
−パスコードを検証する段階と、パスコードの検証が成功した場合、第一ユーザ・システムに対し対象コンポーネントに対するアクセス権を与える段階
【0016】
いくつかの実施態様において、第二ユーザ・インターフェースと第一ユーザ・インターフェースは、同一のユーザ・インターフェースであってもよい。第二ユーザ・インターフェースが第一インターフェースと異なる場合、例えば、ユーザに対し表示される異なるウィンドウ(例えば、同一であっても異なったソフトウェア・プログラム)、異なったディスプレイなどの異なる物理的インターフェース、インスタント・メッセージ・システムなどの異なるメッセージ・ゲートウェイなどの場合、システムのセキュリティはさらに改善される。
【0017】
前記第一ユーザ・システムは、デスクトップ・コンピュータ、ポータブル、又はハンドヘルド・コンピュータなどのコンピュータであってもよいし、又は通信ネットワークに接続可能な如何なる別の制御演算装置(例えば、電子手帳、発信機、電話、ネットワーク端末など)であってもよい。第二ユーザ・システムは、通信ネットワーク経由でメッセージを受信するように構成された如何なる適切な装置であってもよい。
【0018】
前記第二要素装置として言及される第二ユーザ・システムは、第一ユーザ・システムとは異なった通信装置であってもよい。例えば、携帯電話、ページャ(pager)、ユーザによって持ち運ばれる別の通信機器であってもよい。或いは、第一ユーザ・システムと第二ユーザ・システムを、二つの別々のユーザ・インターフェースが実装されるように構成された同一の装置で具現してもよい。例えば、第一インターフェースがユーザ認証情報を入力するユーザ・インターフェースを提供するログイン・プログラム形式インターフェースであるとともに、第二ユーザ・インターフェースがインスタント・メッセージ・プログラムのユーザ・インターフェース、又はメッセージを受信し表示するための別のプログラムのユーザ・インターフェースであってもよい。
【0019】
従って、前記第一通信ネットワークと前記第二通信ネットワークは、異なったネットワーク、同一のネットワークでもよい。もしくは、部分的に同一のネットワークを使用し、部分的には異なるネットワークを利用してもよい。一般的に、第二通信ネットワークは、リアルタイム・メッセージを通信することに適しているネットワークであってもよい。例えば、ショートテキスト・メッセージ・システム、インスタント・メッセージ・システム、又はそれに類するものである。それ故、第二通信ネットワークは、メッセージ・ネットワークとしても言及される。第一通信ネットワークは、如何なる適切な通信ネットワークの一種であってもよい。例えば、ローカル・エリア・ネットワーク(LAN)、無線ローカル・エリア・ネットワーク(WLAN)、ワイド・エリア・ネットワーク(WAN)、インターネットなどのコンピュータ・ネットワーク、GSM、GPRS、EDGE、UTMS、HSDPA、WIMAX規格に基づく移動体通信ネットワークなどの電気通信ネットワーク、又は他の如何なる適切なネットワークであってもよい。
【0020】
“リアルタイム・セッション固有のワンタイム・パスコード”という用語は、パスコードに関連した、すなわちパスコードがセッション固有であるセッションのログイン・セッション中にリアルタイムで生成されるパスコードを示すことを意図としている。それ故、上記パスコードは、事前に作成されるものではなく、むしろ対応ログイン・セッションが開始する直前に存在しているものである。上記パスコードは、セッション固有である。すなわち、ある固有のログイン・セッションに関連している。パスコードは、セッションに対して一意的であることが望ましい。さらに、上記パスコードは、ワンタイムコードである。つまり、たった一回のログインのみで有効である。
【0021】
本願明細書に開示する本願方法と本願システムの実施態様は、ユーザがコンピュータ・システム、コンピュータ・プログラム、又はネットワークにアクセスする場合、前記ユーザの認証を行うため、コンピュータ・システム、コンピュータ・プログラム、及びメッセージ・ゲートウェイによって実装してもよい。本願明細書に開示する本願方法と本願システムの実施態様は、少なくとも二つの異なる認証の要素/手段を用いたセッション固有のメッセージベース認証プロセスを使用してもよい。第一要素は、例えばユーザIDとパスワード形式でユーザに対して既知のものとなっている。第二要素は、例えば従来の携帯電話、ページャなどのネットワーク接続されたメッセージ受信装置の形式で、又はインスタント・メッセージ・プログラムなどのコンピュータ上で実行されるプログラムの形式で、ユーザの管理下にあるか、又はアクセス可能となっている。
【0022】
本願明細書に開示する本願方法と本願システムの実施態様は、ネットワーク接続されたメッセージ受信装置にパスコード・メッセージを送信する。例えば、生成されたリアルタイム・セッション固有のワンタイム・パスコードと、ログイン・プロセスの間に例えば第一通信ネットワーク及び/又は第一ユーザ・システムで用いられているコンピュータ又は別の装置から収集されたコンテキスト情報とを含むリアルタイム・メッセージベースの手段によって、前記メッセージを送信する。コンテキスト情報は、ログイン試行がユーザ自身ではなく別のエンティティから実施されていることを、ユーザが見破ることができる如何なる適切な情報であってもよい。その試行で、ID盗難、又はID複製イベントが可能性として発生していることを示してもよい。適切なコンテキスト情報の例としては、ログイン・プロセスを実行するために第一ユーザ・システムとして使用されているコンピュータのコンピュータID、ログイン試行が開始された第一ユーザ・システムの位置に関する少なくともおおよその地域情報がある。それ故、ユーザは、ログイン・プロセスを実行しているコンピュータがユーザ自身のコンピュータかどうか、又はいわゆる介入者攻撃を実行している不正な第三者のコンピュータが存在している可能性があるかどうかを判断できるようになる。例として、ログイン・プロセスの間に例えばログイン中に使用されていたコンピュータ、又は装置、又はネットワークから収集されたコンテキスト識別情報は、例えばインターネット・プロトコル・アドレス又は携帯電話からの全地球測位座標に基づくおおよその地域位置情報、又は前記二つを組み合わせから決定される一意的なデータ項目、又はインターネット・ブラウザのバージョン、オペレーティング・システムの言語設定などである。
【0023】
前記第一ユーザ・インターフェースは、第一ユーザ・システム上で、又は第一ユーザ・システム上の第一ユーザ・インターフェースを公開するように構成されている認証システムのサーバ・コンピュータ上で実行されるウィンドウベース、又はログイン・プログラムの如何なる他の適切なインターフェースであってもよい。第二ユーザ・インターフェースは、第二ユーザ・システム上で、又はサーバ・コンピュータ上で実行されるウィンドウベース、又は別の適切なプログラム・インターフェース、又はネットワーク接続されたメッセージ受信装置の表示であってもよい。本願明細書に開示する本願方法と本願システムの実施態様を用いたシステムにユーザがログインをする場合、ユーザは、まずユーザ名及びパスワードなど自身のユーザ証明書を第一ユーザ・インターフェースに入力する。例えば、第一ユーザ・システム上で提供されているログイン・ウィンドウのようなインターフェースである。ひとたび証明書が有効となれば、認証システムは、コンテキスト情報、及びリアルタイム・セッション固有のワンタイム・パスコードを含むメッセージを第二ユーザ・システムに送信してもよい。例えば、ユーザに割り当てられた第二要素装置に送信をしてもよい。同時に、第一ユーザ・インターフェースのログイン・ウィンドウが、第二要素装置に送信されたリアルタイム・セッション固有のワンタイム・パスコードを入力することができる新しい第二ウィンドウへと移行する。ひとたび上記の内容が入力され有効化されると、ログイン・エンティティにアクセスの許可が与えられる。
【0024】
別の実施態様において、ログイン・システム、すなわち第一ユーザ・システムは、ログイン・プロセスの間に収集されたコンテキスト情報を表示してもよいし、又は不正にIDを盗難しようとしているエンティティではなくIDとパスワード証明書の所有者のみが知りうる別の情報を表示してもよい。例として、コンテキスト情報を、別のメッセージベース・ネットワークから送信されたリアルタイム・セッション固有のワンタイム・パスコードを入力するために使用される第二ログイン画面に表示してもよい。コンテキスト情報は、システムに実際にログインしようとしているのが異なるコンピュータであるかどうかをユーザが確認可能であることを保証する。異なるコンピュータによるログインは、第三者がログイン・プロセスを傍受して、ユーザが証明書を入力しようとした際に、ユーザ個人情報を一般的にログインID及びパスワードの形式で複製しようとする介入者攻撃によって引き起こされる。
【0025】
前記第二要素装置がメッセージ・ネットワークに接続されていない場合において、本願明細書に開示する本願方法と本願システムの実施態様は、事前発行されたパスコードのセットをユーザに前もって送信してもよい。ユーザが自身の証明書を用いてログイン・システムにその後アクセスする場合、第二ログイン・ウィンドウは、収集されたコンテキスト情報、及びユーザに対して一又は二以上の事前発行されたパスコードの組み合わせの入力要求を表示する。事前発行されたパスコードにより、セッション固有のコードを生成する適切な組み合わせを入力した場合、有効化された時点で、ユーザアクセスが許可される。
【0026】
本願発明は、上記方法及び下記方法、及びそれに相当するシステム、装置、及び/又は生産手段を含む様々な態様に関する。各々は最初に記載した態様に関連して記載された一又は二以上の利点と長所をもたらし、各々は最初に記載した態様及び/又は添付の特許請求の範囲に公開された態様に関連して記載された一又は二以上の実施態様を有する。
【0027】
本願発明の典型的な実施態様は、図面を参照してここに記載される。
【図面の簡単な説明】
【0028】
【図1】本願発明の典型的な実施態様を図示したブロック図である。
【発明を実施するための形態】
【0029】
図1は、本願明細書に開示された方法とシステムの実施形態を図示したブロック図である。具体的には、図1は、コンピュータ実行ユーザ認証システム(4)を用いる構造図を図示している。コンピュータ実行ユーザ認証システム(4)は、認証されていないユーザによるアクセスを阻止する一方でコンピュータ・システム中の対象コンポーネント(14)に対するアクセス権を認証対象ユーザ(1)に与えることを目的としている。対象コンポーネント(14)は、コンピュータ・プログラム、コンピュータ又は別のデータ処理システム、コンピュータ・ネットワーク又は認証を必要とする如何なる別のコンピュータアクセス可能なエンティティであってもよい。コンピュータ実行ユーザ認証システム(6)は、サーバ・ログイン画面プログラム、ネットワークアクセス・ログイン・プログラム、又はそれに類するものなどのように適切にプログラムされたデータ処理システムであってもよい。前記システムは、第一私的又は公的通信ネットワーク(11)に対する適切なインターフェース、一又は二以上の認証システム(6)に対する適切なインターフェースを具備している。例えば、Outlook Web Accessなどのウェブサイト・ログイン・システム、又は追加された二要素認証を除いたWindows(登録商標) Ginaインターフェース・システムなどのWindows(登録商標)ログイン・システムなどのようなインターフェースである。また、前記システムは、コンピュータ・シリアル・インターフェース経由かホスト・ゲートウェイに対するネットワーク経由かのいずれかで接続されているSMSメッセージベース・ゲートウェイなどのメッセージベース・システムに接続されているリアルタイム・セッション固有のSMSワンタイム・パスコード・システム(4)に基づいている。前記ゲートウェイは、携帯電話ネットワーク又はそれに類するネットワークに接続されており、前記携帯電話ネットワークのSMSサービス、又はそれに類するユーザ装置(10)に対するメッセージ・ネットワーク、又はゲートウェイに基づくインスタント・メッセージ・システムを経由してメッセージを送信することができる。前記メッセージ・システムは、公的又は私的ネットワークを経由し中央コンピュータ又は分散したコンピュータ集合を経由して、ログインに使用されたコンピュータではなく同一又は異なるコンピュータ上に存在する別のプログラムに対してメッセージを送信できる。前記ログインにおいて、ユーザは前記インスタント・メッセージ・ゲートウェイ・ユーザ・プログラムに対しログインする異なる方法を用いている。前記インスタント・メッセージ・プログラムは(2)でログインするために使用されたコンピュータとは別のウィンドウに送信した情報を表示する。ユーザ認証システム(4)は、SMSに基づいた従来の二要素認証システムの機能を提供する。SMSに基づいたシステムは、RSAに見られるコード生成器とハードウェア・ディスプレイを収容しユーザにより管理が行われるハードウェア・トークン、又は携帯端末ディスプレイにてワンタイム・パスコード・トークンを表示する携帯端末上で実行されるソフト・トークン生成器、又は事前発行され、且つ一定期間有効な標準のメッセージベースコードとは異なったものである。既知の代替システムとは異なって、リアルタイム・セッション固有のワンタイム・パスコード・システム(4)は、対応するセッションに関するコンテキスト情報を有する特定のログイン・セッションのみに有効な各々固有のログイン・セッション用の一意的なワンタイム・パスコードを生成する。通常はユーザ名及びパスワードである第一要素は、認証システム(6)によって有効化される。認証システム(6)を、下記に詳細に記載する。二要素認証システム(4)の第二要素を生成することに加えて、前記システムは、認証されていないユーザ、例えば一般的に介入者と呼ばれる攻撃者から不正行為を受けていないかどうかを認証対象ユーザが検証できるようにするコンテキスト情報も収集する。上記は、ログインを試みようとしているシステム(2)に接続されたネットワーク(11)経由で一般的に実施される。前記コンテキスト情報は、第一要素が有効化された後、同一のシステム(2)経由か、第二ネットワーク経由の第二システム経由、例えばネットワーク(12)経由のシステム(13)経由かのいずれかでユーザに対して表示される。或いは、ユーザ認証システム(4)を、コンテキスト情報の収集及び認証対象ユーザ(1)への表示に関する機能を提供するために既存の二要素認証システム内部に統合してもよい。
【0030】
認証システム(6)は、ユーザ認証システム(4)から通常は分離されているとともに、ユーザ名とパスワードの有効性を提供する。認証システム(6)の例としては、Microsoft(登録商標) Active Directory server、又はホームバンキングのようなアプリケーションにてユーザ名及びパスワードに関する情報を保持するシステムがある。システム(4)及び(6)が、別々のシステムとして図示されていたとしても、システム(4)及び(6)が同一のコンピュータ上に実装されたり、更には同一のソフトウェア・アプリケーションによって実装されたりする可能性も別に存在する。そのため、認証システム(6)及びリアルタイム・セッション固有のワンタイム・パスコード・システムは、ある形式に統合されたユニバーサルアクセス・アプリケーションに見られるように、一つで且つ同一のアプリケーションに組み込まれている。そのため、上記の二つのプログラムの実行は、メッセージベース認証システム(4)が全ログイン・プロセスを処理するがユーザID及びパスワードロジックをリアルタイムで渡すように統合され、又はメッセージベース認証システム(4)によって管理されている単一ユーザのログイン経験の提供を除いてバックエンド認証システム(6)にキャッシュされる。
【0031】
システム(4)及びシステム(6)の間にあるインターフェース(5及び7)は、イーサネット(登録商標)、インターネットなどのような従来のコンピュータ・ネットワークに一般的になっている。
【0032】
第一私的又は公的通信ネットワーク(11)は、如何なる適切な通信ネットワークの形式であってもよい。例えば、ローカル・エリア・ネットワーク(LAN)、無線ローカル・エリア・ネットワーク(WLAN)、ワイド・エリア・ネットワーク(WAN)、インターネットなどのコンピュータ・ネットワーク、GSM、GPRS、EDGE、UTMS、HSDPA、WIMAX規格に基づく移動体通信ネットワークなどの電気通信ネットワーク、又は他の如何なる適切なネットワークであってもよい。
【0033】
上記プロセスは、ユーザ(1)が、ユーザ・システム(2)経由で対象コンピュータへのアクセスを要求(15)することによって開始される。ユーザ・システム(2)の例としては、第一通信ネットワーク(11)に接続可能なPC又は他のあらゆるデータ処理システムなどのコンピュータである。
【0034】
上記目的を達成するため、ユーザ・システム(2)は、例えば、ユーザ・システム(2)上で適切なログイン・プログラムを実行することによって、又はコンピュータ実行認証システム(4)もしくはコンピュータ実行認証システム(6)上で実行されるログイン・プログラムのログイン・ウィンドウを表示することによって、最初にログイン・プロセスを実行する。一般的に、上記ログイン・プロセスは、ユーザにユーザ名及びパスワード、又は他の認証情報を問い合わせる。上記ログイン・プロセスは、少なくとも一つのユーザ・システム(2)及びアクセスが要求された場所から/経由の第一通信ネットワーク(11)に関する追加的なコンテキスト情報、又は対象コンポーネント(14)又は認証システム(6)内に収集された情報をさらに収集する。収集された上記コンテキスト情報は、ログイン操作のコンテキストに関するユーザ検証可能な情報を伝達するログイン・プロセスによって収集可能な如何なる情報であってもよい。例として、コンテキスト情報は、ユーザ・システムのプロパティ、及び/又は第一通信ネットワークのプロパティ、及び/又はそれに類するものに関する情報であってもよい。ユーザ・システムに関する適切な情報は、例えば、ユーザ・システムの製造会社、プロセッサの型式、利用可能なメモリ量といった一又は二以上のハードウェアのプロパティ、及び/又はオペレーティング・システムの型式及び/又はバージョンといった一又は二以上のソフトウェアのプロパティに関する情報であってもよい。ユーザ・システムのプロパティに関する別の適切な情報は、例えばオペレーティング・システムの言語設定、インターネット・ブラウザの言語設定、ブラウザの型式、ユーザ・システム(2)のIPアドレス、ネットワーク・トラフィックの経路、収集されたGPS座標、又はそれに類するものといったユーザ・システムの地理的な位置を決定するのに適した情報、又は例えばGPS座標に基づいて算出した位置、IPアドレスに基づくおおよその位置といった該収集された情報からの派生情報を含んでいる。第一通信ネットワークに関する適切な情報は、ネットワーク、ネットワーク・アドレス、MACアドレス、ネットワーク経路などを提供しているネットワーク・オペレータの名称を含んでいてもよい。上記情報が追加的なユーザ入力を必要としないログイン・プロセスによって自動的に収集される場合、該プロセスはより効率的になり、且つ悪用のリスクはさらに軽減される。なぜならば、収集されたデータを改ざんしようとする未認証ユーザによるリスクが軽減されるからである。コンテキスト情報がユーザによって容易に及び直接的に検証できる情報を含む場合、上記コンテキスト情報は、ログイン・プロセスの完全性を検証するために用いることができる。上記コンテキスト情報が一意にユーザ・システムを識別するのに適するものだとしても、このことは本願明細書に記載の方法にとって必要条件とならないことは高く評価される。例として、上記コンテキスト情報は、国、地域、都市、又はユーザ・システムの地理的な位置に関する別の情報などのユーザ・システムに関する情報、又はユーザ・システムの製造会社、及び/又はそれに類するものを単に含むものであってもよい。それ故、上記の情報に基づいて、ユーザは、例えば介入者攻撃によってログイン・プロセスの完全性が信用に足るものではなくなったかどうかを判断することができる可能性がある。
【0035】
ユーザ・システム(2)を経た上記ユーザが、第一公的又は私的通信ネットワーク(11)経由で対象コンポーネント(14)へのアクセスを要求する場合、要求(3)は、ユーザの証明書の企業ユーザID台帳検証を目的としてコンピュータ実行ユーザ認証システム(4)を経由し認証システム(6)へと送られる。ユーザの証明書は、例えばユーザ名とパスワードである。上記要求(3)は、ユーザの証明書、ログイン・セッションを識別するセッションID(例えば、セッション・クッキー)、及びログイン・プロセスによって収集されたコンテキスト情報を検証するために必要となる情報を含む。上記セッションIDは、前記セッションIDを有する全入力データパケットが正常なログイン・セッションに関連付けられていることを保証する認証システムによって生成してもよい。ひとたび認証が適合することをシステム(6)によって識別したのであれば、コンピュータ実行ユーザ認証システム(4)は、一意的なメッセージ警告を生成する。メッセージ警告は、以下を具備している。
・ログイン・プロセスの間に、例えばコンピュータ(2)、装置(2)、対象システム(14)、又はネットワーク(3,11)から収集されたコンテキスト情報。
・認証システムによってリアルタイムに生成される、例えば、パスワード、又は別の適したコード型式、又は別の適したリアルタイム・セッション固有のワンタイム第二認証手段などのワンタイム・パスコード(OTP)(8)。
上記ワンタイムパスワードは、セッション固有である。すなわち、特定のセッションIDと関連しており、特定のセッションIDのみで有効となる。
【0036】
上記コンピュータ実行ユーザ認証システム(4)は、第二通信チャネル(9,10,12)を経由しユーザが所持している通信装置(13)へ、又は直接第一コンピュータ・システム(2)へ上記生成メッセージを送信する。図1の例では、コンピュータ実行ユーザ認証システム(4)は、第二ネットワーク(9)、例えば、電気通信ネットワーク(12)を介して携帯電話(13)にメッセージを送信するSMSゲートウェイ(10)に対するLANアクセス、又はセキュアWANアクセスを経由し生成メッセージを送信する。上記生成メッセージは、シリアル・インターフェース経由、SMSインターフェースに対するSMTP、インスタント・メッセージ・インターフェースに対するコンピュータ、又は他の如何なる適切なインターフェースを経由して送信される。ユーザは、携帯電話のメッセージ・フレームワークにて上記メッセージを受信する。
【0037】
上記メッセージの受信をもって、ユーザは、上記メッセージに含まれるコンテキスト情報の識別と検証を行う。ユーザが上記コンテキスト情報を有効だと検証できた場合、少なくとも受信したリアルタイム・セッション固有のワンタイム・パスコード(15)をユーザ・システム(2)に入力する。
【0038】
リアルタイム・セッション固有のワンタイム・パスコードが展開された場合、ユーザ・システム(2)は、入力されたOTP(8)を含む、もしくは第一私的又は公的通信ネットワーク(11)上の別の第二認証手段を含むメッセージ(16)をコンピュータ実行ユーザ認証システム(4)に送信する。コンピュータ実行ユーザ認証システム(4)は、受信したOTPを元々送信したリアルタイム・セッション固有のワンタイム・パスコードと、及び/又はセッションIDと一致するかどうかを確認する。一致するのであれば、ユーザ・システム(2)は、初期アクセスが要求された対象コンポーネント(14)に対するアクセス権が与えられる。
【0039】
ユーザ・システム(2)は、第一ネットワーク及びコンピュータ・インターフェースを経由しユーザにコンテキスト情報を送信する代替手段として、第二ウィンドウにコンテキスト情報を表示することも可能である。
【0040】
要約すれば、本願明細書に開示されたものは、コンピュータ・ユーザのIDとパスワードを不正使用することで行われるID盗難の検出と保護とを行う、及び/又は第二チャネル、ワンタイム・パスコード、及びユーザコンテキストローカル情報を使用する第二認証レベルによって同等なユーザ・セッションを介したID複製からユーザを保護する方法とシステムの実施形態である。ネットワーク、コンピュータ・システム又はプログラムにアクセスする場合、前記ネットワーク、コンピュータ・システム又はプログラムは、ユーザIDとパスワードを有効化し、且つユーザ、装置、使用しているネットワークなどに関するコンテキスト情報を収集しようとする。ひとたび有効化されれば、リアルタイム・セッション固有ワンタイム・パスコードを有するメッセージが、携帯電話のSMSネットワーク、又はインスタント・メッセージのような第二手段によって送信される。セッション固有のコード及び収集された情報は、公開された情報と、不正アクセスから保護をするユーザ及びパスワードを表わす情報との間の不整合を介し、信用するに足りなくなったIDをユーザが検出できるようにする情報を提供する。
【符号の説明】
【0041】
1 ユーザ
2 コンピュータ・プログラム
4 SMSパスコード有効化システム
8 ワンタイム・パスコード(OTP)
10 メッセージベース・ゲートウェイ
11 第一ネットワーク
12 第二ネットワーク
13 携帯電話
【技術分野】
【0001】
本願発明は、コンピュータ・システム中の対象コンポーネントに対するユーザアクセスを認証するためのコンピュータ実行アクセス認証の方法とシステムに関する。具体的には、本願発明は、ID盗難、及び/又は複製を介したID盗難を防ぐ、又は少なくともその危険性を軽減する方法とシステムに関する。
【背景技術】
【0002】
マルチユーザ・コンピュータの状況として、認証手続は、ユーザにアクセスすることを許可しているプログラムやシステム・リソースに対するユーザアクセス権を与えるために広く使用されている。本願明細書の記載として、コンピュータ・システム中の対象コンポーネントという用語は、認証スキームに基づきユーザアクセスが許可されているコンピュータ・システム中の如何なるエンティティ(entity)をも参照することを目的としている。上記の対象コンポーネントの例としては、コンピュータ、又はコンピュータのグループ、コンピュータ・ネットワーク、通信ネットワーク、データ処理システム上で実行される一又は二以上のコンピュータ・プログラム、一又は二以上のコンピュータ・プログラムの機能、コンピュータ・リソース(ドライバ、メモリ、コンピュータ周辺機器、メモリに格納されたデータ、コンピュータによって提供されたサービスなど)がある。アクセスを許可するための従来の手段は、ユーザIDとパスワードを使用する。広域ネットワーク及びインターネットの到来と同時に、数多くのコンピュータ・プログラムとシステムは、現状はセキュリティの点では専らユーザIDとパスワードとを用いた個別アクセスの許可に基づくものとなっている。ネットワーク介した通信を行う場合、第1コンピュータ装置と第2コンピュータ装置との間の通信の経過を追う方法は、セッションIDを用いてなされる。近年、ユーザIDとパスワードの形式でユーザの同一性を確保する方法とプログラムは、ユーザが日常的に騙し取られてしまう使用方法として爆発的に増加している。
【0003】
ユーザのIDとパスワードを盗む巧妙な方法は、第三者が犯罪的手法によってユーザのIDとパスワードにアクセスすることができるいわゆるフィッシング詐欺である。これらの方法は、介入者攻撃のようなさらに巧妙な攻撃方法という可能性さえある。介入者攻撃とは、ユーザがネットワーク、コンピュータ・システム、又はプログラムにログインする際、ユーザと前記ネットワーク、コンピュータ・システム又はプログラムとの間の通信を不正な第三者が傍受するものである。ひとたび傍受されてしまうと、不正な第三者は、同じようなプロセスを立ち上げ、同じネットワーク、コンピュータ・システム又はプログラムに対してユーザとしてログインするだけでなく、介入者として容易に活動し、ID盗難を目的として前記ネットワーク、コンピュータ・システム又はプログラム上のユーザ活動に感染するようになる。
【0004】
上記の攻撃に対してユーザの安全を確保する一方法は、認証に第二の手段を展開することができるようにすることである。上記の第二の手段は、認証の第二の要素としてもみなされる。初期に出てきた上記の解決策は、ユーザが肌身離さずどこにでも持ち運べるトークンと呼ばれるハードウェア装置を用いていた。ソフト・トークン、又はSMS配信トークンコードとしてもみられた上記方法は、一定期間、又は使用されるまでは有効である事前発行されたパスコードを用いる方法である。上記のコンセプトは、フィッシング詐欺、及び特に介入者攻撃の双方を防ぐには効果がないことが分かっている。それは、不正な第三者がいるかどうか、及びセッションが傍受されているかどうかということをユーザが決して気づくことができないからである。
【0005】
最近出てきた解決策は、メッセージベースの取り組みに基づいている。一般的にユーザの携帯電話にパスコードを送信するため、広範囲で使用されているショート・メッセージ・システム(SMS、又はテキスト・メッセージ)といった携帯電話ネットワーク上のシステムを用いる方法が最も広く見受けられている。もしくは、代替の実施態様として、ユーザのIDとパスワードによるログイン・プロセスにて認証を行うシステムを公開している中央サーバに、ユーザがアクセスする。ユーザIDとパスワードと同時にSMSコードが入力され、それ故にフィッシング詐欺、及び証明書(credential)を危険にさらす類似手法を有効なものとしてしまう分離型ログイン・プロセスを用いていることがいくつかの現在の取り組みにおける問題となっている。これらの解決策における現在の実施態様も、一定期間、又は使用されるまでは有効であり、さらにそれ故、介入者攻撃にパスコードを危険にさらしてしまう事前発行されたパスコードを使用している。
【0006】
米国特許出願公開第2007/0136573号には、少なくとも一つからなる多重多要素認証を用いる認証のシステムと方法とが公開されている。上記の先行技術の方法は、信用があるコンピュータの存在と使用に関する。上記の先行技術文献は、信用があるコンピュータの構築のためのプロセスを介入者攻撃から保護するため、信用があるコンピュータの構築に関する如何なる方法も公開していない。それ故、信用があるコンピュータを必要とせず、介入者攻撃に対して高めたセキュリティを提供するという問題が残っている。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本願発明は、フィッシング詐欺、及びファーミングによるID盗難、又はID複製を阻止するために先行技術の解決策のいくつかの課題を克服するものである。
【課題を解決するための手段】
【0008】
本願明細書に開示する本願方法と本願システムとの実施態様は、リアルタイム且つセッション固有の二要素認証方法を組み合わせている。二要素認証方法は、ユーザに送信したメッセージの中にログイン・プロセスの間に収集されたコンテキスト情報を含めることによって、ユーザの個人的な情報を組み合わせた方法である。
【0009】
ユーザが第一ユーザ・システムからコンピュータ・システム中の対象コンポーネントにアクセスする場合、ユーザは、ユーザ名と、パスワード、PIN、又は別の機密情報の形式のパスワードとを提供することがまず求められる。本願明細書に開示する方法の実施態様は、証明書を有効とするとともに、セッション固有のコンテキスト情報を収集し、且つ例えばセッション・クッキーID(これに限定されるものではない)などの個別のログイン・セッションIDに関連するものだけが有効となるパスコードを生成する。リアルタイム・パスコードとコンテキスト情報は、通信ネットワーク経由で第二ユーザ・システムに送信される。上記コンテキスト情報は、介入者攻撃が進行中であるかどうかをユーザが判断できるようにし、もしそうであるならば、セッション固有のパスワードを入力しないことによってフィッシング詐欺及びファーミング攻撃を防ぐ。上記コンテキスト情報が正しいと思われる場合、ユーザはパスコード入力を継続し、セッションIDに対して有効であるならば、ユーザはアクセス権が与えられる。
【0010】
一実施態様において、第一ユーザ・システムからコンピュータ・システム中の対象コンポーネントにアクセスしようとしているユーザを認証するために、コンピュータ実行システムによって実行される方法が公開される。第一ユーザ・システムの実施態様は、第一通信ネットワークに接続可能となっている。上記方法の実施態様は、以下の段階を具備している。
【0011】
−第一ユーザ・システム中の第一ユーザ・インターフェースを通してユーザによって入力されたユーザ認証情報を受信する段階
【0012】
−第一ユーザ・システムのプロパティを示す情報、又は第一通信ネットワーク及びセッションIDのプロパティを示す情報から選択されたコンテキスト情報の少なくとも一つの項目を前記第一通信ネットワーク経由で取得する段階
【0013】
−ユーザ認証情報を検証する段階と、ユーザ認証情報の検証の成功に応答して、コンピュータ実行認証システムから第二通信ネットワークを経由し第二ユーザ・システムへメッセージを送信する段階と、第二ユーザ・システムが、ユーザがコンテキスト情報の少なくとも一つの項目、及びセッション固有のワンタイム・パスコードを検証できるように、第二ユーザ・インターフェースを経由しユーザに対してコンテキスト情報の少なくとも一つの項目を表示することを許可する段階
前記メッセージはコンテキスト情報の少なくとも一つの項目、又はIPアドレスに基づくおおよその位置情報もしくはGPS(全地球測位システム)座標に基づく地名などの収集されたコンテキスト情報の派生情報を含む。
【0014】
−第一ユーザ・システム、及び第一通信ネットワークを経由し、第一ユーザ・システムに対してユーザによって入力されたセッション固有のパスコードを受信する段階
【0015】
−パスコードを検証する段階と、パスコードの検証が成功した場合、第一ユーザ・システムに対し対象コンポーネントに対するアクセス権を与える段階
【0016】
いくつかの実施態様において、第二ユーザ・インターフェースと第一ユーザ・インターフェースは、同一のユーザ・インターフェースであってもよい。第二ユーザ・インターフェースが第一インターフェースと異なる場合、例えば、ユーザに対し表示される異なるウィンドウ(例えば、同一であっても異なったソフトウェア・プログラム)、異なったディスプレイなどの異なる物理的インターフェース、インスタント・メッセージ・システムなどの異なるメッセージ・ゲートウェイなどの場合、システムのセキュリティはさらに改善される。
【0017】
前記第一ユーザ・システムは、デスクトップ・コンピュータ、ポータブル、又はハンドヘルド・コンピュータなどのコンピュータであってもよいし、又は通信ネットワークに接続可能な如何なる別の制御演算装置(例えば、電子手帳、発信機、電話、ネットワーク端末など)であってもよい。第二ユーザ・システムは、通信ネットワーク経由でメッセージを受信するように構成された如何なる適切な装置であってもよい。
【0018】
前記第二要素装置として言及される第二ユーザ・システムは、第一ユーザ・システムとは異なった通信装置であってもよい。例えば、携帯電話、ページャ(pager)、ユーザによって持ち運ばれる別の通信機器であってもよい。或いは、第一ユーザ・システムと第二ユーザ・システムを、二つの別々のユーザ・インターフェースが実装されるように構成された同一の装置で具現してもよい。例えば、第一インターフェースがユーザ認証情報を入力するユーザ・インターフェースを提供するログイン・プログラム形式インターフェースであるとともに、第二ユーザ・インターフェースがインスタント・メッセージ・プログラムのユーザ・インターフェース、又はメッセージを受信し表示するための別のプログラムのユーザ・インターフェースであってもよい。
【0019】
従って、前記第一通信ネットワークと前記第二通信ネットワークは、異なったネットワーク、同一のネットワークでもよい。もしくは、部分的に同一のネットワークを使用し、部分的には異なるネットワークを利用してもよい。一般的に、第二通信ネットワークは、リアルタイム・メッセージを通信することに適しているネットワークであってもよい。例えば、ショートテキスト・メッセージ・システム、インスタント・メッセージ・システム、又はそれに類するものである。それ故、第二通信ネットワークは、メッセージ・ネットワークとしても言及される。第一通信ネットワークは、如何なる適切な通信ネットワークの一種であってもよい。例えば、ローカル・エリア・ネットワーク(LAN)、無線ローカル・エリア・ネットワーク(WLAN)、ワイド・エリア・ネットワーク(WAN)、インターネットなどのコンピュータ・ネットワーク、GSM、GPRS、EDGE、UTMS、HSDPA、WIMAX規格に基づく移動体通信ネットワークなどの電気通信ネットワーク、又は他の如何なる適切なネットワークであってもよい。
【0020】
“リアルタイム・セッション固有のワンタイム・パスコード”という用語は、パスコードに関連した、すなわちパスコードがセッション固有であるセッションのログイン・セッション中にリアルタイムで生成されるパスコードを示すことを意図としている。それ故、上記パスコードは、事前に作成されるものではなく、むしろ対応ログイン・セッションが開始する直前に存在しているものである。上記パスコードは、セッション固有である。すなわち、ある固有のログイン・セッションに関連している。パスコードは、セッションに対して一意的であることが望ましい。さらに、上記パスコードは、ワンタイムコードである。つまり、たった一回のログインのみで有効である。
【0021】
本願明細書に開示する本願方法と本願システムの実施態様は、ユーザがコンピュータ・システム、コンピュータ・プログラム、又はネットワークにアクセスする場合、前記ユーザの認証を行うため、コンピュータ・システム、コンピュータ・プログラム、及びメッセージ・ゲートウェイによって実装してもよい。本願明細書に開示する本願方法と本願システムの実施態様は、少なくとも二つの異なる認証の要素/手段を用いたセッション固有のメッセージベース認証プロセスを使用してもよい。第一要素は、例えばユーザIDとパスワード形式でユーザに対して既知のものとなっている。第二要素は、例えば従来の携帯電話、ページャなどのネットワーク接続されたメッセージ受信装置の形式で、又はインスタント・メッセージ・プログラムなどのコンピュータ上で実行されるプログラムの形式で、ユーザの管理下にあるか、又はアクセス可能となっている。
【0022】
本願明細書に開示する本願方法と本願システムの実施態様は、ネットワーク接続されたメッセージ受信装置にパスコード・メッセージを送信する。例えば、生成されたリアルタイム・セッション固有のワンタイム・パスコードと、ログイン・プロセスの間に例えば第一通信ネットワーク及び/又は第一ユーザ・システムで用いられているコンピュータ又は別の装置から収集されたコンテキスト情報とを含むリアルタイム・メッセージベースの手段によって、前記メッセージを送信する。コンテキスト情報は、ログイン試行がユーザ自身ではなく別のエンティティから実施されていることを、ユーザが見破ることができる如何なる適切な情報であってもよい。その試行で、ID盗難、又はID複製イベントが可能性として発生していることを示してもよい。適切なコンテキスト情報の例としては、ログイン・プロセスを実行するために第一ユーザ・システムとして使用されているコンピュータのコンピュータID、ログイン試行が開始された第一ユーザ・システムの位置に関する少なくともおおよその地域情報がある。それ故、ユーザは、ログイン・プロセスを実行しているコンピュータがユーザ自身のコンピュータかどうか、又はいわゆる介入者攻撃を実行している不正な第三者のコンピュータが存在している可能性があるかどうかを判断できるようになる。例として、ログイン・プロセスの間に例えばログイン中に使用されていたコンピュータ、又は装置、又はネットワークから収集されたコンテキスト識別情報は、例えばインターネット・プロトコル・アドレス又は携帯電話からの全地球測位座標に基づくおおよその地域位置情報、又は前記二つを組み合わせから決定される一意的なデータ項目、又はインターネット・ブラウザのバージョン、オペレーティング・システムの言語設定などである。
【0023】
前記第一ユーザ・インターフェースは、第一ユーザ・システム上で、又は第一ユーザ・システム上の第一ユーザ・インターフェースを公開するように構成されている認証システムのサーバ・コンピュータ上で実行されるウィンドウベース、又はログイン・プログラムの如何なる他の適切なインターフェースであってもよい。第二ユーザ・インターフェースは、第二ユーザ・システム上で、又はサーバ・コンピュータ上で実行されるウィンドウベース、又は別の適切なプログラム・インターフェース、又はネットワーク接続されたメッセージ受信装置の表示であってもよい。本願明細書に開示する本願方法と本願システムの実施態様を用いたシステムにユーザがログインをする場合、ユーザは、まずユーザ名及びパスワードなど自身のユーザ証明書を第一ユーザ・インターフェースに入力する。例えば、第一ユーザ・システム上で提供されているログイン・ウィンドウのようなインターフェースである。ひとたび証明書が有効となれば、認証システムは、コンテキスト情報、及びリアルタイム・セッション固有のワンタイム・パスコードを含むメッセージを第二ユーザ・システムに送信してもよい。例えば、ユーザに割り当てられた第二要素装置に送信をしてもよい。同時に、第一ユーザ・インターフェースのログイン・ウィンドウが、第二要素装置に送信されたリアルタイム・セッション固有のワンタイム・パスコードを入力することができる新しい第二ウィンドウへと移行する。ひとたび上記の内容が入力され有効化されると、ログイン・エンティティにアクセスの許可が与えられる。
【0024】
別の実施態様において、ログイン・システム、すなわち第一ユーザ・システムは、ログイン・プロセスの間に収集されたコンテキスト情報を表示してもよいし、又は不正にIDを盗難しようとしているエンティティではなくIDとパスワード証明書の所有者のみが知りうる別の情報を表示してもよい。例として、コンテキスト情報を、別のメッセージベース・ネットワークから送信されたリアルタイム・セッション固有のワンタイム・パスコードを入力するために使用される第二ログイン画面に表示してもよい。コンテキスト情報は、システムに実際にログインしようとしているのが異なるコンピュータであるかどうかをユーザが確認可能であることを保証する。異なるコンピュータによるログインは、第三者がログイン・プロセスを傍受して、ユーザが証明書を入力しようとした際に、ユーザ個人情報を一般的にログインID及びパスワードの形式で複製しようとする介入者攻撃によって引き起こされる。
【0025】
前記第二要素装置がメッセージ・ネットワークに接続されていない場合において、本願明細書に開示する本願方法と本願システムの実施態様は、事前発行されたパスコードのセットをユーザに前もって送信してもよい。ユーザが自身の証明書を用いてログイン・システムにその後アクセスする場合、第二ログイン・ウィンドウは、収集されたコンテキスト情報、及びユーザに対して一又は二以上の事前発行されたパスコードの組み合わせの入力要求を表示する。事前発行されたパスコードにより、セッション固有のコードを生成する適切な組み合わせを入力した場合、有効化された時点で、ユーザアクセスが許可される。
【0026】
本願発明は、上記方法及び下記方法、及びそれに相当するシステム、装置、及び/又は生産手段を含む様々な態様に関する。各々は最初に記載した態様に関連して記載された一又は二以上の利点と長所をもたらし、各々は最初に記載した態様及び/又は添付の特許請求の範囲に公開された態様に関連して記載された一又は二以上の実施態様を有する。
【0027】
本願発明の典型的な実施態様は、図面を参照してここに記載される。
【図面の簡単な説明】
【0028】
【図1】本願発明の典型的な実施態様を図示したブロック図である。
【発明を実施するための形態】
【0029】
図1は、本願明細書に開示された方法とシステムの実施形態を図示したブロック図である。具体的には、図1は、コンピュータ実行ユーザ認証システム(4)を用いる構造図を図示している。コンピュータ実行ユーザ認証システム(4)は、認証されていないユーザによるアクセスを阻止する一方でコンピュータ・システム中の対象コンポーネント(14)に対するアクセス権を認証対象ユーザ(1)に与えることを目的としている。対象コンポーネント(14)は、コンピュータ・プログラム、コンピュータ又は別のデータ処理システム、コンピュータ・ネットワーク又は認証を必要とする如何なる別のコンピュータアクセス可能なエンティティであってもよい。コンピュータ実行ユーザ認証システム(6)は、サーバ・ログイン画面プログラム、ネットワークアクセス・ログイン・プログラム、又はそれに類するものなどのように適切にプログラムされたデータ処理システムであってもよい。前記システムは、第一私的又は公的通信ネットワーク(11)に対する適切なインターフェース、一又は二以上の認証システム(6)に対する適切なインターフェースを具備している。例えば、Outlook Web Accessなどのウェブサイト・ログイン・システム、又は追加された二要素認証を除いたWindows(登録商標) Ginaインターフェース・システムなどのWindows(登録商標)ログイン・システムなどのようなインターフェースである。また、前記システムは、コンピュータ・シリアル・インターフェース経由かホスト・ゲートウェイに対するネットワーク経由かのいずれかで接続されているSMSメッセージベース・ゲートウェイなどのメッセージベース・システムに接続されているリアルタイム・セッション固有のSMSワンタイム・パスコード・システム(4)に基づいている。前記ゲートウェイは、携帯電話ネットワーク又はそれに類するネットワークに接続されており、前記携帯電話ネットワークのSMSサービス、又はそれに類するユーザ装置(10)に対するメッセージ・ネットワーク、又はゲートウェイに基づくインスタント・メッセージ・システムを経由してメッセージを送信することができる。前記メッセージ・システムは、公的又は私的ネットワークを経由し中央コンピュータ又は分散したコンピュータ集合を経由して、ログインに使用されたコンピュータではなく同一又は異なるコンピュータ上に存在する別のプログラムに対してメッセージを送信できる。前記ログインにおいて、ユーザは前記インスタント・メッセージ・ゲートウェイ・ユーザ・プログラムに対しログインする異なる方法を用いている。前記インスタント・メッセージ・プログラムは(2)でログインするために使用されたコンピュータとは別のウィンドウに送信した情報を表示する。ユーザ認証システム(4)は、SMSに基づいた従来の二要素認証システムの機能を提供する。SMSに基づいたシステムは、RSAに見られるコード生成器とハードウェア・ディスプレイを収容しユーザにより管理が行われるハードウェア・トークン、又は携帯端末ディスプレイにてワンタイム・パスコード・トークンを表示する携帯端末上で実行されるソフト・トークン生成器、又は事前発行され、且つ一定期間有効な標準のメッセージベースコードとは異なったものである。既知の代替システムとは異なって、リアルタイム・セッション固有のワンタイム・パスコード・システム(4)は、対応するセッションに関するコンテキスト情報を有する特定のログイン・セッションのみに有効な各々固有のログイン・セッション用の一意的なワンタイム・パスコードを生成する。通常はユーザ名及びパスワードである第一要素は、認証システム(6)によって有効化される。認証システム(6)を、下記に詳細に記載する。二要素認証システム(4)の第二要素を生成することに加えて、前記システムは、認証されていないユーザ、例えば一般的に介入者と呼ばれる攻撃者から不正行為を受けていないかどうかを認証対象ユーザが検証できるようにするコンテキスト情報も収集する。上記は、ログインを試みようとしているシステム(2)に接続されたネットワーク(11)経由で一般的に実施される。前記コンテキスト情報は、第一要素が有効化された後、同一のシステム(2)経由か、第二ネットワーク経由の第二システム経由、例えばネットワーク(12)経由のシステム(13)経由かのいずれかでユーザに対して表示される。或いは、ユーザ認証システム(4)を、コンテキスト情報の収集及び認証対象ユーザ(1)への表示に関する機能を提供するために既存の二要素認証システム内部に統合してもよい。
【0030】
認証システム(6)は、ユーザ認証システム(4)から通常は分離されているとともに、ユーザ名とパスワードの有効性を提供する。認証システム(6)の例としては、Microsoft(登録商標) Active Directory server、又はホームバンキングのようなアプリケーションにてユーザ名及びパスワードに関する情報を保持するシステムがある。システム(4)及び(6)が、別々のシステムとして図示されていたとしても、システム(4)及び(6)が同一のコンピュータ上に実装されたり、更には同一のソフトウェア・アプリケーションによって実装されたりする可能性も別に存在する。そのため、認証システム(6)及びリアルタイム・セッション固有のワンタイム・パスコード・システムは、ある形式に統合されたユニバーサルアクセス・アプリケーションに見られるように、一つで且つ同一のアプリケーションに組み込まれている。そのため、上記の二つのプログラムの実行は、メッセージベース認証システム(4)が全ログイン・プロセスを処理するがユーザID及びパスワードロジックをリアルタイムで渡すように統合され、又はメッセージベース認証システム(4)によって管理されている単一ユーザのログイン経験の提供を除いてバックエンド認証システム(6)にキャッシュされる。
【0031】
システム(4)及びシステム(6)の間にあるインターフェース(5及び7)は、イーサネット(登録商標)、インターネットなどのような従来のコンピュータ・ネットワークに一般的になっている。
【0032】
第一私的又は公的通信ネットワーク(11)は、如何なる適切な通信ネットワークの形式であってもよい。例えば、ローカル・エリア・ネットワーク(LAN)、無線ローカル・エリア・ネットワーク(WLAN)、ワイド・エリア・ネットワーク(WAN)、インターネットなどのコンピュータ・ネットワーク、GSM、GPRS、EDGE、UTMS、HSDPA、WIMAX規格に基づく移動体通信ネットワークなどの電気通信ネットワーク、又は他の如何なる適切なネットワークであってもよい。
【0033】
上記プロセスは、ユーザ(1)が、ユーザ・システム(2)経由で対象コンピュータへのアクセスを要求(15)することによって開始される。ユーザ・システム(2)の例としては、第一通信ネットワーク(11)に接続可能なPC又は他のあらゆるデータ処理システムなどのコンピュータである。
【0034】
上記目的を達成するため、ユーザ・システム(2)は、例えば、ユーザ・システム(2)上で適切なログイン・プログラムを実行することによって、又はコンピュータ実行認証システム(4)もしくはコンピュータ実行認証システム(6)上で実行されるログイン・プログラムのログイン・ウィンドウを表示することによって、最初にログイン・プロセスを実行する。一般的に、上記ログイン・プロセスは、ユーザにユーザ名及びパスワード、又は他の認証情報を問い合わせる。上記ログイン・プロセスは、少なくとも一つのユーザ・システム(2)及びアクセスが要求された場所から/経由の第一通信ネットワーク(11)に関する追加的なコンテキスト情報、又は対象コンポーネント(14)又は認証システム(6)内に収集された情報をさらに収集する。収集された上記コンテキスト情報は、ログイン操作のコンテキストに関するユーザ検証可能な情報を伝達するログイン・プロセスによって収集可能な如何なる情報であってもよい。例として、コンテキスト情報は、ユーザ・システムのプロパティ、及び/又は第一通信ネットワークのプロパティ、及び/又はそれに類するものに関する情報であってもよい。ユーザ・システムに関する適切な情報は、例えば、ユーザ・システムの製造会社、プロセッサの型式、利用可能なメモリ量といった一又は二以上のハードウェアのプロパティ、及び/又はオペレーティング・システムの型式及び/又はバージョンといった一又は二以上のソフトウェアのプロパティに関する情報であってもよい。ユーザ・システムのプロパティに関する別の適切な情報は、例えばオペレーティング・システムの言語設定、インターネット・ブラウザの言語設定、ブラウザの型式、ユーザ・システム(2)のIPアドレス、ネットワーク・トラフィックの経路、収集されたGPS座標、又はそれに類するものといったユーザ・システムの地理的な位置を決定するのに適した情報、又は例えばGPS座標に基づいて算出した位置、IPアドレスに基づくおおよその位置といった該収集された情報からの派生情報を含んでいる。第一通信ネットワークに関する適切な情報は、ネットワーク、ネットワーク・アドレス、MACアドレス、ネットワーク経路などを提供しているネットワーク・オペレータの名称を含んでいてもよい。上記情報が追加的なユーザ入力を必要としないログイン・プロセスによって自動的に収集される場合、該プロセスはより効率的になり、且つ悪用のリスクはさらに軽減される。なぜならば、収集されたデータを改ざんしようとする未認証ユーザによるリスクが軽減されるからである。コンテキスト情報がユーザによって容易に及び直接的に検証できる情報を含む場合、上記コンテキスト情報は、ログイン・プロセスの完全性を検証するために用いることができる。上記コンテキスト情報が一意にユーザ・システムを識別するのに適するものだとしても、このことは本願明細書に記載の方法にとって必要条件とならないことは高く評価される。例として、上記コンテキスト情報は、国、地域、都市、又はユーザ・システムの地理的な位置に関する別の情報などのユーザ・システムに関する情報、又はユーザ・システムの製造会社、及び/又はそれに類するものを単に含むものであってもよい。それ故、上記の情報に基づいて、ユーザは、例えば介入者攻撃によってログイン・プロセスの完全性が信用に足るものではなくなったかどうかを判断することができる可能性がある。
【0035】
ユーザ・システム(2)を経た上記ユーザが、第一公的又は私的通信ネットワーク(11)経由で対象コンポーネント(14)へのアクセスを要求する場合、要求(3)は、ユーザの証明書の企業ユーザID台帳検証を目的としてコンピュータ実行ユーザ認証システム(4)を経由し認証システム(6)へと送られる。ユーザの証明書は、例えばユーザ名とパスワードである。上記要求(3)は、ユーザの証明書、ログイン・セッションを識別するセッションID(例えば、セッション・クッキー)、及びログイン・プロセスによって収集されたコンテキスト情報を検証するために必要となる情報を含む。上記セッションIDは、前記セッションIDを有する全入力データパケットが正常なログイン・セッションに関連付けられていることを保証する認証システムによって生成してもよい。ひとたび認証が適合することをシステム(6)によって識別したのであれば、コンピュータ実行ユーザ認証システム(4)は、一意的なメッセージ警告を生成する。メッセージ警告は、以下を具備している。
・ログイン・プロセスの間に、例えばコンピュータ(2)、装置(2)、対象システム(14)、又はネットワーク(3,11)から収集されたコンテキスト情報。
・認証システムによってリアルタイムに生成される、例えば、パスワード、又は別の適したコード型式、又は別の適したリアルタイム・セッション固有のワンタイム第二認証手段などのワンタイム・パスコード(OTP)(8)。
上記ワンタイムパスワードは、セッション固有である。すなわち、特定のセッションIDと関連しており、特定のセッションIDのみで有効となる。
【0036】
上記コンピュータ実行ユーザ認証システム(4)は、第二通信チャネル(9,10,12)を経由しユーザが所持している通信装置(13)へ、又は直接第一コンピュータ・システム(2)へ上記生成メッセージを送信する。図1の例では、コンピュータ実行ユーザ認証システム(4)は、第二ネットワーク(9)、例えば、電気通信ネットワーク(12)を介して携帯電話(13)にメッセージを送信するSMSゲートウェイ(10)に対するLANアクセス、又はセキュアWANアクセスを経由し生成メッセージを送信する。上記生成メッセージは、シリアル・インターフェース経由、SMSインターフェースに対するSMTP、インスタント・メッセージ・インターフェースに対するコンピュータ、又は他の如何なる適切なインターフェースを経由して送信される。ユーザは、携帯電話のメッセージ・フレームワークにて上記メッセージを受信する。
【0037】
上記メッセージの受信をもって、ユーザは、上記メッセージに含まれるコンテキスト情報の識別と検証を行う。ユーザが上記コンテキスト情報を有効だと検証できた場合、少なくとも受信したリアルタイム・セッション固有のワンタイム・パスコード(15)をユーザ・システム(2)に入力する。
【0038】
リアルタイム・セッション固有のワンタイム・パスコードが展開された場合、ユーザ・システム(2)は、入力されたOTP(8)を含む、もしくは第一私的又は公的通信ネットワーク(11)上の別の第二認証手段を含むメッセージ(16)をコンピュータ実行ユーザ認証システム(4)に送信する。コンピュータ実行ユーザ認証システム(4)は、受信したOTPを元々送信したリアルタイム・セッション固有のワンタイム・パスコードと、及び/又はセッションIDと一致するかどうかを確認する。一致するのであれば、ユーザ・システム(2)は、初期アクセスが要求された対象コンポーネント(14)に対するアクセス権が与えられる。
【0039】
ユーザ・システム(2)は、第一ネットワーク及びコンピュータ・インターフェースを経由しユーザにコンテキスト情報を送信する代替手段として、第二ウィンドウにコンテキスト情報を表示することも可能である。
【0040】
要約すれば、本願明細書に開示されたものは、コンピュータ・ユーザのIDとパスワードを不正使用することで行われるID盗難の検出と保護とを行う、及び/又は第二チャネル、ワンタイム・パスコード、及びユーザコンテキストローカル情報を使用する第二認証レベルによって同等なユーザ・セッションを介したID複製からユーザを保護する方法とシステムの実施形態である。ネットワーク、コンピュータ・システム又はプログラムにアクセスする場合、前記ネットワーク、コンピュータ・システム又はプログラムは、ユーザIDとパスワードを有効化し、且つユーザ、装置、使用しているネットワークなどに関するコンテキスト情報を収集しようとする。ひとたび有効化されれば、リアルタイム・セッション固有ワンタイム・パスコードを有するメッセージが、携帯電話のSMSネットワーク、又はインスタント・メッセージのような第二手段によって送信される。セッション固有のコード及び収集された情報は、公開された情報と、不正アクセスから保護をするユーザ及びパスワードを表わす情報との間の不整合を介し、信用するに足りなくなったIDをユーザが検出できるようにする情報を提供する。
【符号の説明】
【0041】
1 ユーザ
2 コンピュータ・プログラム
4 SMSパスコード有効化システム
8 ワンタイム・パスコード(OTP)
10 メッセージベース・ゲートウェイ
11 第一ネットワーク
12 第二ネットワーク
13 携帯電話
【特許請求の範囲】
【請求項1】
コンピュータ実行認証システムによって実装され、第一ユーザ・システムは第一通信ネットワークに接続可能であり、ユーザが前記第一ユーザ・システムからコンピュータ・システム中の対象コンポーネントへのアクセスを試みようとする際の認証のための方法において、
前記第一ユーザ・システム中の第一ユーザ・インターフェースを通して前記ユーザによって入力されたユーザ認証情報を受信する段階と、
第一ユーザ・システムの示す情報、又は第一通信ネットワークのプロパティ及びセッションIDから選択したコンテキスト情報の少なくとも一つの項目を前記第一通信ネットワーク経由で取得する段階と、
前記ユーザ認証情報を検証する段階と、
前記ユーザ認証情報の検証の成功に応答して、前記コンピュータ実行認証システムから第二通信ネットワークを経由し第二ユーザ・システムへメッセージを送信する段階と、
前記第二ユーザ・システムが、前記ユーザがコンテキスト情報の少なくとも一つの項目、及びセッションIDに関連付けられたリアルタイム・セッション固有のワンタイム・パスコードを検証できるように、第二ユーザ・インターフェースを経由し前記ユーザに対してコンテキスト情報の少なくとも一つの項目を表示することを許可する段階と、
前記第一ユーザ・システム、及び前記第一通信ネットワークを経由し、第一ユーザ・システムに対してユーザによって入力されたパスコードを受信する段階と、
リアルタイム・セッション固有のワンタイム・パスコード、及び/又は前記セッションIDと比較して前記入力されたパスコードを検証する段階と、
前記入力されたパスコードの検証の成功に応答して、前記第一ユーザ・システムに対し前記対象コンポーネントに対するアクセス権を与える段階と、
を具備し、
前記メッセージはコンテキスト情報又はこの収集されたコンテキスト情報の派生情報の少なくとも一つの項目を含むことを特徴とする方法。
【請求項2】
前記対象コンポーネントは、コンピュータ、コンピュータ・プログラム、コンピュータ・プログラム機能、コンピュータ・リソース、コンピュータ・ネットワークから選択されることを特徴とする請求項1に記載の方法。
【請求項3】
前記第一ユーザ・システムと前記第二ユーザ・システムは、異なる装置であることを特徴とする請求項1又は請求項2に記載の方法。
【請求項4】
前記第二ユーザ・システムは、前記メッセージを受信し、且つ表示するように設定されたポータブル通信装置であることを特徴とする請求項3に記載の方法。
【請求項5】
前記第一ユーザ・システムと前記第二ユーザ・システムは、前記第一ユーザ・インターフェースと前記第二ユーザ・インターフェースを提供するように構成された単一ユーザ・システムとして具現され、
前記方法は、前記第一ユーザ・インターフェースとは異なる前記単一ユーザ・システムの第二ユーザ・インターフェースを通して前記単一ユーザ・システムによってコンテキスト情報の少なくとも一つの項目を表示する段階を具備することを特徴とする請求項1又は請求項2に記載の方法。
【請求項6】
前記第一通信ネットワークと前記第二通信ネットワークは、異なる通信ネットワークであることを特徴とする請求項1〜5のいずれか一つに記載の方法。
【請求項7】
前記コンピュータ実行認証システムから前記ユーザへ前記パスコードを伝達する段階をさらに具備すること特徴とする請求項1〜6のいずれか一つに記載の方法。
【請求項8】
前記第一ユーザ・システムによって表示される第二パスコード・ウィンドウを通して、前記コンピュータ実行認証システムから前記ユーザへ収集されたコンテキスト情報を伝達する段階をさらに具備することを特徴とする請求項1〜7のいずれか一つに記載の方法。
【請求項9】
前記認証システムは、パスコードの生成と送信とを要求するログイン試行によって生成されたセッションIDのみで有効な前記パスコードをリアルタイムに生成することを特徴とする請求項1〜8のいずれか一つに記載の方法。
【請求項10】
コンピュータ実行認証システムに対し請求項1〜9のうちいずれか一つの方法における段階を実行させるようなプログラムコード手段を具備し、
前記プログラムコード手段は前記コンピュータ実行認証システムによって実行されることを特徴とするコンピュータ実行認証システム。
【請求項11】
認証サーバを具備し、前記プログラムコードは、前記第一ユーザ・システム上の前記第一ユーザ・インターフェースに提供するように構成されたログイン・プログラムであることを特徴とする請求項10に記載のコンピュータ実行認証システム。
【請求項12】
データ処理システムに対し請求項1〜9のうちいずれか一つの方法における段階を実行させるように構成されたプログラムコード手段を具備し、
前記プログラムコード手段は前記データ処理システムによって実行されることを特徴とするコンピュータ・プログラム。
【請求項1】
コンピュータ実行認証システムによって実装され、第一ユーザ・システムは第一通信ネットワークに接続可能であり、ユーザが前記第一ユーザ・システムからコンピュータ・システム中の対象コンポーネントへのアクセスを試みようとする際の認証のための方法において、
前記第一ユーザ・システム中の第一ユーザ・インターフェースを通して前記ユーザによって入力されたユーザ認証情報を受信する段階と、
第一ユーザ・システムの示す情報、又は第一通信ネットワークのプロパティ及びセッションIDから選択したコンテキスト情報の少なくとも一つの項目を前記第一通信ネットワーク経由で取得する段階と、
前記ユーザ認証情報を検証する段階と、
前記ユーザ認証情報の検証の成功に応答して、前記コンピュータ実行認証システムから第二通信ネットワークを経由し第二ユーザ・システムへメッセージを送信する段階と、
前記第二ユーザ・システムが、前記ユーザがコンテキスト情報の少なくとも一つの項目、及びセッションIDに関連付けられたリアルタイム・セッション固有のワンタイム・パスコードを検証できるように、第二ユーザ・インターフェースを経由し前記ユーザに対してコンテキスト情報の少なくとも一つの項目を表示することを許可する段階と、
前記第一ユーザ・システム、及び前記第一通信ネットワークを経由し、第一ユーザ・システムに対してユーザによって入力されたパスコードを受信する段階と、
リアルタイム・セッション固有のワンタイム・パスコード、及び/又は前記セッションIDと比較して前記入力されたパスコードを検証する段階と、
前記入力されたパスコードの検証の成功に応答して、前記第一ユーザ・システムに対し前記対象コンポーネントに対するアクセス権を与える段階と、
を具備し、
前記メッセージはコンテキスト情報又はこの収集されたコンテキスト情報の派生情報の少なくとも一つの項目を含むことを特徴とする方法。
【請求項2】
前記対象コンポーネントは、コンピュータ、コンピュータ・プログラム、コンピュータ・プログラム機能、コンピュータ・リソース、コンピュータ・ネットワークから選択されることを特徴とする請求項1に記載の方法。
【請求項3】
前記第一ユーザ・システムと前記第二ユーザ・システムは、異なる装置であることを特徴とする請求項1又は請求項2に記載の方法。
【請求項4】
前記第二ユーザ・システムは、前記メッセージを受信し、且つ表示するように設定されたポータブル通信装置であることを特徴とする請求項3に記載の方法。
【請求項5】
前記第一ユーザ・システムと前記第二ユーザ・システムは、前記第一ユーザ・インターフェースと前記第二ユーザ・インターフェースを提供するように構成された単一ユーザ・システムとして具現され、
前記方法は、前記第一ユーザ・インターフェースとは異なる前記単一ユーザ・システムの第二ユーザ・インターフェースを通して前記単一ユーザ・システムによってコンテキスト情報の少なくとも一つの項目を表示する段階を具備することを特徴とする請求項1又は請求項2に記載の方法。
【請求項6】
前記第一通信ネットワークと前記第二通信ネットワークは、異なる通信ネットワークであることを特徴とする請求項1〜5のいずれか一つに記載の方法。
【請求項7】
前記コンピュータ実行認証システムから前記ユーザへ前記パスコードを伝達する段階をさらに具備すること特徴とする請求項1〜6のいずれか一つに記載の方法。
【請求項8】
前記第一ユーザ・システムによって表示される第二パスコード・ウィンドウを通して、前記コンピュータ実行認証システムから前記ユーザへ収集されたコンテキスト情報を伝達する段階をさらに具備することを特徴とする請求項1〜7のいずれか一つに記載の方法。
【請求項9】
前記認証システムは、パスコードの生成と送信とを要求するログイン試行によって生成されたセッションIDのみで有効な前記パスコードをリアルタイムに生成することを特徴とする請求項1〜8のいずれか一つに記載の方法。
【請求項10】
コンピュータ実行認証システムに対し請求項1〜9のうちいずれか一つの方法における段階を実行させるようなプログラムコード手段を具備し、
前記プログラムコード手段は前記コンピュータ実行認証システムによって実行されることを特徴とするコンピュータ実行認証システム。
【請求項11】
認証サーバを具備し、前記プログラムコードは、前記第一ユーザ・システム上の前記第一ユーザ・インターフェースに提供するように構成されたログイン・プログラムであることを特徴とする請求項10に記載のコンピュータ実行認証システム。
【請求項12】
データ処理システムに対し請求項1〜9のうちいずれか一つの方法における段階を実行させるように構成されたプログラムコード手段を具備し、
前記プログラムコード手段は前記データ処理システムによって実行されることを特徴とするコンピュータ・プログラム。
【図1】
【公表番号】特表2012−508410(P2012−508410A)
【公表日】平成24年4月5日(2012.4.5)
【国際特許分類】
【出願番号】特願2011−535132(P2011−535132)
【出願日】平成21年11月10日(2009.11.10)
【国際出願番号】PCT/EP2009/064897
【国際公開番号】WO2010/052332
【国際公開日】平成22年5月14日(2010.5.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(511112467)
【Fターム(参考)】
【公表日】平成24年4月5日(2012.4.5)
【国際特許分類】
【出願日】平成21年11月10日(2009.11.10)
【国際出願番号】PCT/EP2009/064897
【国際公開番号】WO2010/052332
【国際公開日】平成22年5月14日(2010.5.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(511112467)
【Fターム(参考)】
[ Back to top ]