本発明の一態様は、動的信用証明を生成するためのブルートゥースインタフェースを備える認証機器を提供する。
いくつかの実施形態において、認証機器(100)は、携帯ハンドヘルド装置であってもよい。いくつかの実施形態において、認証機器は、暗号信用証明生成用秘密鍵を安全に記憶するように構成された記憶構成要素(130)と、認証機器の利用者から入力を受け付けるためのユーザ入力インタフェース(120)と、利用者に出力を提示するためのユーザ出力インタフェース(110)と、暗号信用証明生成用秘密鍵を動的変数と暗号学的に組み合わせることで動的信用証明を生成するように構成されたデータ処理構成要素(140)と、認証機器を認証機器とホストコンピュータとの間のブルートゥース接続を使用してホストコンピュータに接続するためのブルートゥースインタフェース(150)と、を備えてもよく、認証機器は、生成された動的信用証明をホストコンピュータとのブルートゥース接続を介して送信するように構成される。
いくつかの実施形態において、認証機器は、時間値を提供するための時計(160)を更に備える前述の実施形態の認証機器のいずれであってもよく、認証機器は、動的変数の値を時計により提供される時間値の関数として求めるように更に構成される。
いくつかの実施形態において、認証機器は、第二の変数を記憶構成要素に記憶し、動的変数の値を記憶された第二の変数の関数として求め、且つ、第二の変数の値が動的信用証明を生成するために使用された場合、第二の変数の値を更新し且つ記憶構成要素に記憶するように更に構成される前述の実施形態の認証機器のいずれであってもよい。いくつかの実施形態において、第二の変数はカウンタを含んでもよく、且つ、第二の変数を更新することは、カウンタの値を単調増加させる(増分する)こと又は単調減少させる(減分する)ことのうちの少なくとも一つを含み得る。例えばいくつかの実施形態において、動的変数は、認証機器が自装置のメモリに記憶し得るカウンタであって、認証機器のデータ処理構成要素が動的信用証明を生成するたびに認証機器が一ずつ増分(又は減分)し得るカウンタであってもよい。
いくつかの実施形態において、認証機器は、ブルートゥース接続を介して動的信用証明を求める要求を受信し、要求に応答して(例えば、データ処理構成要素により)動的信用証明を生成し、且つ、生成された動的信用証明をブルートゥース接続を介して返信するように更に構成される前述の実施形態の認証機器のいずれであってもよい。いくつかの実施形態において、認証機器は、例えば要求を受信後、動的信用証明の生成又は返信に先立つ動的信用証明を生成又は返信するための利用者からの承認をユーザ入力インタフェースにより取得するように更に構成されてもよい。いくつかの実施形態において、認証機器による動的信用証明の生成及び返信は、上記利用者承認を条件としてもよい。
いくつかの実施形態において、認証機器は、チャレンジをブルートゥース接続を介して受信し、且つ、動的信用証明を生成する際に、受信したチャレンジを使用するように更に構成される前述の実施形態の認証機器のいずれであってもよい。いくつかの実施形態において、チャレンジは、認証機器がブルートゥース接続を介して受信する動的信用証明を生成及び返信させるための要求に含まれてもよい。
いくつかの実施形態において、認証機器は、取引関連データをブルートゥース接続を介して受信し、受信した取引関連データをユーザ出力インタフェースにより利用者に提示し、取引関連データの利用者の承認をユーザ入力インタフェースにより取得し、且つ、動的信用証明を生成する際に、受信した取引関連データを使用するように更に構成される前述の実施形態の認証機器のいずれであってもよい。いくつかの実施形態において、認証機器による動的信用証明の生成及び返信は、取引関連データの上記利用者承認を条件としてもよい。いくつかの実施形態において、取引関連データは、利用者がアプリケーションに実行を要求した取引を表現する取引データを含み得る。
いくつかの実施形態において、認証機器は、機器識別データ要素を記憶し、且つ、機器識別データ要素をブルートゥース接続を介してホストコンピュータが利用できるようにするように更に構成される前述の実施形態の認証機器のいずれであってもよい。
いくつかの実施形態において、認証機器は、ユーザ名を記憶し、且つ、ユーザ名をブルートゥース接続を介してホストコンピュータが利用できるようにするように更に構成される前述の実施形態の認証機器のいずれであってもよい。いくつかの実施形態において、認証機器は、ユーザ名をブルートゥース接続を介して受信し、且つ、ブルートゥース接続を介した将来の検索用にユーザ名を記憶するように更に構成されてもよい。
いくつかの実施形態において、認証機器は、ホストコンピュータがアプリケーション状態をブルートゥース接続を介して利用できるようにするように更に構成される前述の実施形態の認証機器のいずれであってもよい。
いくつかの実施形態において、認証機器は、ホストコンピュータにより実行されるべき一以上の命令をホストコンピュータへブルートゥース接続を介して送信するように更に構成される前述の実施形態の認証機器のいずれであってもよい。
いくつかの実施形態において、認証機器は、PIN及び/又はパスワードを検証するように更に構成される前述の実施形態の認証機器のいずれであってもよい。いくつかの実施形態において、認証機器は、ユーザ入力インタフェースを介して認証機器に提供されたPIN及び/又はパスワードを取得するように更に構成されてもよい。いくつかの実施形態において、認証機器は、PIN及び/又はパスワードをブルートゥース接続を介して受信するように更に構成されてもよい。いくつかの実施形態において、認証機器は、PIN及び/又はパスワードの検証が成功した場合にのみ、動的信用証明を生成するように更に構成されてもよい。
いくつかの実施形態において、認証機器は、生体計測参照データを記憶し、且つ、利用者の生体計測値を検証するように更に構成される前述の実施形態の認証機器のいずれであってもよい。いくつかの実施形態において、認証機器は、生体計測センサを更に備えてもよく、且つ、生体計測センサにより生体計測値を取得するように更に構成されてもよい。いくつかの実施形態において、認証機器は、生体計測値をブルートゥース接続を介して受信するように更に構成されてもよい。いくつかの実施形態において、認証機器は、生体計測値の検証が成功した場合にのみ、動的信用証明を生成するように更に構成されてもよい。
いくつかの実施形態において、認証機器は前述の実施形態の認証機器のいずれであってもよく、ユーザ入力インタフェースは単一のボタンから成り、且つ、認証機器は、利用者がボタンを押下することで利用者の承認を取得するように更に構成される。他の実施形態において、認証機器は前述の実施形態の認証機器のいずれであってもよく、ユーザ入力インタフェースは二つのボタンから成り、認証機器は、利用者が二つのボタンのうちの第一のボタンを押下することで利用者の承認を取得し、且つ、利用者が二つのボタンのうちの第二のボタンを押下することで利用者の否認又は取り消しを取得するように更に構成される。
いくつかの実施形態において、認証機器は、アプリケーションメッセージの保全性、機密性又は信憑性を保護するためのセキュアメッセージング技術によりセキュリティ保護されたブルートゥース接続を経由したアプリケーションメッセージを、ブルートゥース接続を介して受信又は送信するように更に構成される前述の実施形態の認証機器のいずれであってもよく、認証機器は、セキュアメッセージング技術をサポートし、且つ、セキュアメッセージング技術で使用される暗号セキュアメッセージング動作を実行するように更に構成され、セキュアメッセージング技術は、いずれのブルートゥースセキュアメッセージング機構からも独立している。いくつかの実施形態において、認証機器は、セキュアメッセージング用秘密情報を記憶し、且つ、セキュアメッセージング用秘密情報を使用して暗号セキュアメッセージング鍵の値を求め、且つ、暗号セキュアメッセージング鍵を暗号セキュアメッセージング動作において使用するように更に構成されてもよい。
いくつかの実施形態において、認証機器は前述の実施形態の認証機器のいずれであってもよく、暗号信用証明生成用秘密鍵を動的変数と暗号学的に組み合わせることは、暗号信用証明生成用秘密鍵によりパラメータ化された対称暗号アルゴリズムを実行することを含む。いくつかの実施形態において、対称暗号アルゴリズムは、対称暗号化アルゴリズム又は復号アルゴリズムを含み得る。いくつかの実施形態において、対称暗号アルゴリズムは、鍵付きハッシングアルゴリズムを含み得る。
いくつかの実施形態において、認証機器は前述の実施形態の認証機器のいずれであってもよく、ブルートゥースインタフェースは、低消費電力版ブルートゥース(Bluetooth Low Energy)をサポートする。
本発明の別の態様は、アプリケーションと利用者との間の対話をセキュリティ保護するためのシステムを提供する。アプリケーションはサーバ部とクライアント部とを備えてもよい。
いくつかの実施形態において、システムは、アプリケーションのサーバ部をホスティングするアプリケーションサーバ(210)と、アプリケーションのクライアント部であるクライアントアプリケーションを起動し、且つ、利用者(290)がアプリケーションにコンピュータネットワーク(250)上で遠隔アクセスできるようにするホストコンピュータ(230)であって、利用者から入力を受け付けるためのユーザ入力インタフェースと、利用者に出力を提供するためのユーザ出力インタフェースと、を備えるホストコンピュータと、動的信用証明を生成するための認証機器(240)であって、暗号信用証明生成用秘密鍵を安全に記憶するように構成された記憶構成要素(130)と、暗号信用証明生成用秘密鍵を動的変数と暗号学的に組み合わせることで動的信用証明を生成するためのデータ処理構成要素(140)と、認証機器を認証機器とホストコンピュータとの間のブルートゥース接続を使用してホストコンピュータに接続するためのブルートゥースインタフェース(150)と、を備える認証機器と、動的信用証明の有効性を検証するための検証サーバ(220)と、を備えてもよく、ホストコンピュータは、認証機器とのブルートゥース接続を設定するように構成され、認証機器は、動的信用証明を生成し、且つ、動的信用証明をブルートゥース接続を介してホストコンピュータへ返信するように構成され、ホストコンピュータ上のクライアントアプリケーションは、動的信用証明をブルートゥース接続を介して受信し、且つ、生成された動的信用証明を検証用に検証サーバへ転送するように更に構成され、且つ、検証サーバは、生成された動的信用証明を検証し、且つ、動的信用証明が有効であると検証されたか否かをアプリケーションサーバに信号で伝えるように構成される。
いくつかの実施形態において、システムは前述の実施形態のシステムのいずれであってもよく、認証機器と検証サーバとは、暗号信用証明生成用秘密鍵を共有し、且つ、動的信用証明の生成及び検証は、認証機器と検証サーバとの間で共有される秘密認証鍵を使用して対称暗号アルゴリズムにより行われる。
いくつかの実施形態において、システムは前述の実施形態のシステムのいずれであってもよく、一方における認証機器と他方における検証サーバ又はアプリケーションサーバとは、一以上のセキュアメッセージング鍵を共有し、アプリケーションサーバ又は検証サーバは、アプリケーションメッセージを生成し、且つ、共有された一以上のセキュアメッセージング鍵を使用してセキュアメッセージング技術によりアプリケーションメッセージをセキュリティ保護するように構成され、クライアントアプリケーションは、セキュリティ保護されたアプリケーションメッセージを受信し、且つ、セキュリティ保護されたアプリケーションメッセージをブルートゥース接続を介して認証機器へ転送するように構成され、且つ、認証機器は、セキュリティ保護されたアプリケーションメッセージをブルートゥース接続を介して受信し、且つ、共有された一以上のセキュアメッセージング鍵を使用してセキュアメッセージング鍵をサポートし且つセキュリティ保護されたアプリケーションメッセージに作用するように構成される。
いくつかの実施形態において、システムは前述の実施形態のシステムのいずれであってもよく、認証機器は、認証機器に動的信用証明を生成及び返信させるための要求を含むアプリケーションメッセージを、ブルートゥース接続を介して受信するように構成され、且つ、アプリケーションメッセージを受信することに応答して、動的信用証明を生成し且つ動的信用証明をブルートゥース接続を介して返信するように構成される。いくつかの実施形態において、アプリケーションメッセージはチャレンジを含んでもよく、且つ、動的変数はチャレンジに基づいてもよい。いくつかの実施形態において、チャレンジは、アプリケーションサーバ又は検証サーバにより生成される予測できない値を含んでもよい。いくつかの実施形態において、アプリケーションメッセージは、利用者によりアプリケーションに依頼される取引データを含んでもよく、且つ、動的変数は取引データに基づいてもよい。
いくつかの実施形態において、システムは前述の実施形態のシステムのいずれであってもよく、認証機器は、時間変動するアプリケーション状態を維持し、且つ、認証機器の現在の状態に関する情報をブルートゥース接続を介してホストコンピュータへ伝達するように更に構成され、且つ、クライアントアプリケーションは、状態の情報をブルートゥース接続を介して認証機器から受信し、且つ、認証機器を取り扱う方法についての利用者に対する指針又は指令を提供するように更に構成され、指針又は指令は、受信した状態の情報の関数である。
いくつかの実施形態において、システムは前述の実施形態のシステムのいずれであってもよく、認証機器は、ホストコンピュータにより実行されるべき命令を生成し、且つ、命令をブルートゥース接続を介してホストコンピュータへ伝達するように更に構成され、且つ、クライアントアプリケーションは、命令をブルートゥース接続を介して認証機器から受信し、且つ、命令を実行するように更に構成される。いくつかの実施形態において、ホストコンピュータにより命令を実行することは、ユーザ出力インタフェース又はユーザ入力インタフェースにより利用者とホストコンピュータが対話することを含み得る。いくつかの実施形態において、ホストコンピュータにより命令を実行することは、ホストコンピュータが利用者に或るデータ又は或る入力を提供するように要求することと、ホストコンピュータが(例えば、ホストコンピュータのユーザインタフェースにより)利用者から上記データ又は入力を取得することと、及び、ホストコンピュータが取得したデータ又は入力を認証機器へブルートゥース接続を介して伝達することと、を含み得る。
いくつかの実施形態において、システムは前述の実施形態のシステムのいずれであってもよく、クライアントアプリケーションは、ホストコンピュータのユーザ入力インタフェースによりPIN値及び/又はパスワード値を利用者から取得し、且つ、取得したPIN値及び/又はパスワード値をブルートゥース接続を介して認証機器へ送信するように更に構成され、且つ、認証機器は、PIN値及び/又はパスワード値をブルートゥース接続を介して受信し、且つ、受信したPIN値及び/又はパスワード値を検証するように更に構成される。
いくつかの実施形態において、システムは前述の実施形態のシステムのいずれであってもよく、ホストコンピュータは、利用者から生体計測値を取得するように構成された生体計測構成要素を更に備え、クライアントアプリケーションは、利用者からホストコンピュータの生体計測構成要素により生体計測値を取得し、且つ、取得した生体計測構成要素をブルートゥース接続を介して認証機器へ送信するように更に構成され、且つ、認証機器は、生体計測値をブルートゥース接続を介して受信し、且つ、受信した生体計測値を検証するように更に構成される。
いくつかの実施形態において、システムは前述の実施形態のシステムのいずれであってもよく、クライアントアプリケーションは、認証機器がホストコンピュータにブルートゥース接続で接続される場合、認証機器のホストコンピュータまでの距離の表示を取得するように更に構成され、且つ、アプリケーションは、利用者に対する一以上のアクセス権を認可、維持又は解除するか否かを決定する際、距離の表示を考慮に入れるように構成される。
本発明の更に別の態様において、本発明は、コンピュータベースアプリケーションの利用者との対話をセキュリティ保護するための方法を提供し、利用者は、動的信用証明を生成するための認証機器を操作又は携帯し、認証機器は、ブルートゥースホスト装置と通信するためのブルートゥースインタフェースを備えてもよい。いくつかの実施形態において、認証機器は前述の実施形態の認証機器のいずれであってもよい。いくつかの実施形態において、方法は、前述の実施形態のシステムのいずれにおいて使用されてもよい。
いくつかの実施形態において、方法は、利用者が、ローカルホストコンピュータのユーザ入力インタフェース及びユーザ出力インタフェースを使用してアプリケーションと対話できるようにするためのアプリケーションのクライアント部であるクライアントアプリケーションをローカルホストコンピュータ上で起動する工程と、ローカルホストコンピュータにおいて、認証機器とのブルートゥース接続を設定する工程と、動的変数を認証機器に記憶された第一の暗号認証鍵と暗号学的に組み合わせることで認証機器により生成された動的信用証明を、ブルートゥース接続を介して認証機器から受信する工程と、第二の暗号認証鍵によりパラメータ化された暗号アルゴリズムを使用して動的信用証明を検証する工程と、を含んでもよい。
いくつかの実施形態において、方法は、アプリケーションメッセージを生成する工程と、認証機器と共有された少なくとも一つの対称セキュアメッセージング鍵によりパラメータ化された対称暗号アルゴリズムに基づいたセキュアメッセージング技術を適用してアプリケーションをセキュリティ保護する工程と、ホストコンピュータにおいて、アプリケーションメッセージをブルートゥース接続を介して認証機器へ送信する工程と、を更に含む前述の実施形態の方法のいずれであってもよい。
いくつかの実施形態において、方法は、認証機器に動的信用証明を生成及び返信させるための要求を含むアプリケーションメッセージを生成する工程と、ホストコンピュータにおいて、アプリケーションメッセージをブルートゥース接続を介して認証機器へ送信する工程と、を更に含む前述の実施形態の方法のいずれであってもよく、認証機器は、認証機器がアプリケーションメッセージをブルートゥース接続を介して受信することに応答して、動的信用証明を生成し、且つ、動的信用証明をブルートゥース接続を介してホストコンピュータへ返信してもよい。いくつかの実施形態において、方法は、チャレンジを生成する工程と、チャレンジをアプリケーションメッセージに組み込む工程と、を更に含んでもよく、動的変数はチャレンジに基づく。いくつかの実施形態において、方法は、取引を実行するための要求を利用者から受け付ける工程と、取引を表現する取引データをアプリケーションメッセージに組み込む工程と、動的信用証明の検証が成功した場合、取引要求を実行する工程と、を更に含んでもよく、動的変数は、アプリケーションメッセージに組み込まれた取引データに基づいてもよい。
いくつかの実施形態において、方法は、ローカルホストコンピュータにおいて、認証機器のアプリケーション状態に関する情報をブルートゥース接続を介して認証機器から受信する工程と、ローカルホストコンピュータにおいて、ユーザ出力インタフェースにより、利用者に対する認証機器の操作に関する指針又は指令を提供する工程と、を更に含む前述の実施形態の方法のいずれであってもよく、指針又は指令は、認証機器のアプリケーション状態の受信した情報の関数であってもよい。
いくつかの実施形態において、方法は、ローカルホストコンピュータにおいて、実行するべき命令をブルートゥース接続を介して認証機器から受信する工程と、命令をローカルホストコンピュータにおいて実行する工程と、を更に含む前述の実施形態の方法のいずれであってもよい。
いくつかの実施形態において、方法は、ローカルホストコンピュータにおいて、ユーザ入力インタフェースによりPIN値及び/又はパスワード値を利用者から取得する工程と、取得したPIN値及び/又はパスワード値が認証機器により検証されるように、PIN値及び/又はパスワード値をブルートゥース接続を介して認証機器へ送信する工程と、を更に含む前述の実施形態の方法のいずれであってもよい。
いくつかの実施形態において、方法は、ローカルホストコンピュータにおいて、生体計測センサにより利用者から生体計測値を取得する工程と、取得した生体計測値が認証機器により検証されるように、生体計測値をブルートゥース接続を介して認証機器へ送信する工程と、を更に含む前述の実施形態の方法のいずれであってもよい。
いくつかの実施形態において、方法は、ローカルホストコンピュータにおいて、ローカルホストコンピュータと認証機器との間の実際の距離を示す距離表示値を取得する工程と、利用者に対する一以上のアクセス権を認可、維持又は解除するか否かを判定する際、距離表示値を使用する工程と、を更に含む前述の実施形態の方法のいずれであってもよい。
いくつかの実施形態において、方法は、利用者が、ローカルホストコンピュータのユーザ入力インタフェース及びユーザ出力インタフェースを使用してアプリケーションと対話できるようにするためのアプリケーションのクライアント部であるクライアントアプリケーションをローカルホストコンピュータ上で起動する工程と、ローカルホストコンピュータにおいて、認証機器とのブルートゥース接続を設定する工程と、ローカルホストコンピュータにおいて、ローカルホストコンピュータと認証機器との間の実際の距離を示す距離表示値を取得する工程と、利用者に対する一以上のアクセス権を認可、維持又は解除するか否かを判定する際、距離表示値を使用する工程と、を少なくとも更に含む前述の実施形態の方法のいずれであってもよい。いくつかの実施形態において、方法は、距離表示値を既定の閾値と比較する工程と、比較が、認証機器が閾値に関連付けられた距離よりもホストコンピュータから遠いことを示す場合、利用者に対する一以上のアクセス権のうちの少なくともいくつかを解除する工程と、を更に含んでもよい。いくつかの実施形態において、方法は、距離表示値を既定の閾値と比較する工程と、比較が、認証機器が閾値に関連付けられた距離よりもホストコンピュータに近いことを示す場合、利用者に対する一以上のアクセス権のうちの少なくともいくつかを認可する工程と、を更に含んでもよい。
いくつかの実施形態において、認証機器は自律電池式装置であってもよい。いくつかの実施形態において、電池は充電可能であってもよい。いくつかの実施形態において、電池は交換可能であってもよい。いくつかの実施形態において、認証機器は、ポケット型携帯ハンドヘルド装置であってもよい。
いくつかの実施形態において、認証機器は、例えば表示器を含み得る自装置のユーザ出力インタフェースを備えてもよい。いくつかの実施形態において、認証機器は、例えばキーパッドを含み得る自装置のユーザ入力インタフェースを備えてもよい。ある場合には、キーパッドは単一のボタンに縮小され得、他の場合には、キーパッドは二つのボタンから成り得、更に他の場合には、キーパッドはフルキーボードであり得る。
いくつかの実施形態において、ユーザ入力インタフェース及びユーザ出力インタフェースは、着脱不可能且つ利用者保守不可能で、認証機器により完全に制御され、且つ、ホストコンピュータ上の悪意あるソフトウェアによる干渉に対して免疫があってもよい。したがって、このような実施形態において、認証機器は、例えば、ウィルス又はトロイの木馬のような悪意あるソフトウェアが、偽のメッセージを利用者に提示する、又は、利用者がキーパッドで入力するいかなるものも取得する、又は、セキュリティアプリケーションに関連付けられた機密データをメモリに読み込む、又は、データに署名する前にそのデータを変更する可能性が常にあるPCとは対照的に、信頼できるユーザインタフェースを備えると考えられる。
いくつかの実施形態において、認証機器のファームウェアは変更可能でなくてもよい。いくつかの実施形態において、認証機器は、不正開封防止処理が施されていてもよい。いくつかの実施形態において、認証機器は、認証及び/又は取引署名機能を提供するための専用のセキュリティ保護された専用ハードウェア装置であってもよい。いくつかの実施形態において、認証機器の主な目的は、「ワンタイムパスワード」(OTP)又は動的パスワードと呼ばれることもある動的信用証明を生成することである。
いくつかの実施形態において、認証機器は、秘密情報を動的変数の値と暗号学的に組み合わせることでこれらの動的信用証明を生成するように構成されてもよい。
いくつかの実施形態において、この秘密情報は、認証機器に安全に記憶された暗号秘密鍵であってもよい。いくつかの実施形態において、認証機器は、その秘密情報を使用して、動的変数を入力とする暗号アルゴリズムをパラメータ化してもよい。いくつかの実施形態において、秘密情報は、認証機器と検証サーバ又は認証サーバとの間で共有される秘密値を含んでもよい。いくつかの実施形態において、秘密情報は対称秘密鍵であってもよい。いくつかの実施形態において、秘密情報は公開/私有鍵対の私有鍵を含んでもよい。いくつかの実施形態において、各個別の認証機器の秘密情報は、自装置の個別又は固有の値を有してもよい。
いくつかの実施形態において、動的変数は、機器に提供される時間値、カウンタ値若しくはサーバチャレンジ又はこれらの組み合わせから/に基づいて導出されてもよい。いくつかの実施形態において、動的信用証明を生成するために、認証機器は、機器に動的変数として提供されたデータ(取引データ等)も使用できる、又は、機器は、これらのデータを上述の動的値のいずれと組み合わせて使用してもよい。動的変数が取引データに基づく場合、結果として生じる動的信用証明は、データの利用者承認を示すように意図されてもよく、且つ、動的信用証明は、電子署名又はメッセージ認証符号(MAC:Message Authentication Code)と呼ばれ得る。例えばいくつかの実施形態において、認証機器は、暗号秘密情報を時間値及び取引データと暗号学的に組み合わせ、取引データへの電子署名を含む動的信用証明を生成してもよい。
いくつかの実施形態において、秘密情報を動的変数と暗号学的に組み合わせる認証機器は、対称暗号アルゴリズムを実行する認証機器を含み得る。いくつかの実施形態において、この対称暗号アルゴリズムは、動的変数を入力としてもよく、且つ、機器に安全に記憶された秘密情報によりパラメータ化されてもよい。いくつかの実施形態において、対称暗号アルゴリズムは、動的値に関連したデータに関し、且つ、秘密情報を対称暗号鍵又は復号鍵として使用した対称暗号化アルゴリズム又は復号アルゴリズム(例えば、DES、3DES又はAES等)を含み得る。場合によっては、秘密情報を動的値と暗号学的に組み合わせる認証機器は、秘密情報により鍵をかけられ、且つ、動的値に関連したデータをハッシュ関数への入力データとして使用した暗号学的ハッシュ関数(例えばSHA−1等)を実行することを含んでもよい。いくつかの実施形態において、動的信用証明を生成するために認証機器が使用する秘密情報は、アプリケーション、又は、アプリケーションの代わりに動的信用証明を検証する検証サーバと共有されてもよく、アプリケーション又は検証サーバは、認証機器により生成された動的信用証明を検証する際に、共有された鍵を使用してもよい。
いくつかの実施形態において、秘密情報は、それ自体が動的変数であってもよい。例えばいくつかの実施形態において、秘密情報を使用して動的信用証明を生成する場合、その秘密情報の値は、古い値の関数である新しい値に置換されてもよい(秘密情報の新しい値は、例えば古い値の一方向性ハッシュ値として算出されてもよい)。このような実施形態においては、秘密情報の値は秘密情報の初期値の関数、及び、秘密情報の値が変更された回数として求められるため、このような実施形態は、カウンタ値を含む動的変数と組み合わせられた静的な秘密情報を使用することと数学的に等価である。
いくつかの実施形態において、動的信用証明を生成するために認証機器が使用し得る動的変数は、認証機器の外部の何らかの実体により認証機器に提供される外部変数(チャレンジ又は取引データ等)の値に基づいてもよい。いくつかの実施形態において、動的信用証明を生成するために認証機器が使用し得る動的変数は、認証機器それ自体により提供される、認証機器に含まれる例えば時計の時間値、又は、認証機器により記憶及び更新されるカウンタの値等の内部変数の値に基づいてもよい。いくつかの実施形態において、動的変数は、外部変数及び内部変数の両方に基づいてもよい。
いくつかの実施形態において、認証機器は、内蔵スマートカードと通信可能であってもよく、動的信用証明の生成は、部分的には認証機器それ自体により行われ、且つ、部分的には内蔵スマートカードにより行われる。
いくつかの実施形態において、認証機器は、利用者が認証機器のユーザ入力インタフェースによりデータを認証機器に提供することで、動的信用証明を生成するために認証機器が使用し得るデータ(サーバチャレンジ又は取引データ等)を受け付けるように構成されてもよい。例えばいくつかの実施形態において、利用者は、認証機器のキーパッドでデータを手入力してもよい。このように利用者により認証機器に提供されるべきデータの量が数十字を超える場合、この処理は、利用者には煩雑すぎると感じられる恐れがある。
いくつかの実施形態において、認証機器は、ヒューマン出力インタフェースにより、生成された動的信用証明を利用者に提示することで、利用者が提示された動的信用証明をこの動的信用証明を検証する必要があるシステムに提供又は転送できるように構成されてもよい。例えばいくつかの実施形態において、認証機器は、生成されたOTP又はMACを自装置の表示器に表示することで、利用者が表示されたOTP又はMACを利用者のPC(又は他のインターネットアクセス装置)に複製し得、そのPCがこのOTP又はMACをアプリケーションサーバ又は認証サーバへ伝送し得る後、そのサーバでOTP又はMACの有効性を検証できるように構成されてもよい。しかしながら、これは、不都合と感じられる恐れのある何らかの行動も利用者に要求する。
いくつかの実施形態において、認証機器はブルートゥースインタフェースを備えてもよい。いくつかの実施形態において、認証機器のブルートゥースインタフェースを使用して、認証機器をブルートゥースをサポートするホストコンピュータに接続してもよい。ホストコンピュータは、(遠隔アクセス可能なアプリケーションであり得る)アプリケーションと(例えば、インターネット等の公衆電気通信網上で)対話するために利用者が使用するアクセス装置であってもよい。いくつかの実施形態において、認証機器は、認証機器のブルートゥースインタフェースを使用してホストコンピュータとデータを交換するように構成されてもよい。
いくつかの実施形態において、認証機器は、自装置のブルートゥースインタフェースでデータを受信するように構成されてもよい。いくつかの実施形態において、認証機器は、動的信用証明を生成するために認証機器が使用し得る自装置のブルートゥースインタフェースでデータを受信するように構成されてもよい。例えばいくつかの実施形態において、認証機器は、ホストコンピュータから自装置のブルートゥースインタフェースを介してサーバチャレンジ及び/又は取引データを受信してもよく、且つ、認証機器は、このサーバチャレンジ及び/又は取引データを使用して動的信用証明を生成してもよい。いくつかの実施形態において、認証機器は、認証機器が生成した動的信用証明をホストコンピュータへ自装置のブルートゥースインタフェースを介して返信するように構成されてもよい。いくつかの実施形態において、ブルートゥースインタフェースは、低消費電力版ブルートゥース(BLE:Bluetooth Low Energy)をサポートしてもよい。
いくつかの実施形態において、認証機器を使用して以下のようにアプリケーションとの利用者の対話をセキュリティ保護してもよい。
いくつかの実施形態において、利用者は、ホストコンピュータをコンピュータベースアプリケーションと対話するためのアクセス装置として使用してもよい。いくつかの実施形態において、ホストコンピュータは、例えば、PC(パーソナルコンピュータ)、タブレット又はスマートフォンを含み得る。いくつかの実施形態において、ホストコンピュータは、例えば、Windows 8、Android 又はiOS等のオペレーティングシステムを稼働してもよい。
アプリケーションとの対話中、アプリケーションは、利用者に動的信用証明を提供するように要求してもよい。例えばいくつかの実施形態において、利用者は、アプリケーションによる検証用にログイン手順中に有効な動的信用証明をアプリケーションに提供する必要があり得、且つ、アプリケーションは、この検証が成功した場合にのみ、利用者にアクセスを認可し得る。例えばいくつかの実施形態において、利用者は、取引をアプリケーションに依頼してもよく(例えば、利用者は、送金取引をインターネットバンキングアプリケーションに依頼してもよく)、その結果として、アプリケーションは、利用者に取引データへの電子署名を含む動的信用証明を提供するように要求してもよい。
いくつかの実施形態において、動的信用証明は、利用者の認証機器により生成されてもよい。いくつかの実施形態において、アプリケーションと認証機器との間のデータ交換は、認証機器のブルートゥースインタフェースを介して行われてもよい。いくつかの実施形態において、(アプリケーションの一部であり得る、又は、アプリケーションにより使用され得る)認証システムは、例えば、認証機器のブルートゥースインタフェースを使用して認証機器と対話するためのホストコンピュータ上でクライアント認証アプリケーションを備えてもよい。
いくつかの実施形態において、アプリケーションはコンピュータベースであってもよい。いくつかの実施形態において、アプリケーションは、利用者が対話中であり得るコンピュータ上で稼働するアプリケーションソフトウェア構成要素を備えるクライアントアプリケーションを含み得る。クライアントアプリケーションは、クライアントアプリケーションが稼働しているコンピュータのユーザ入力インタフェース(マウス及び/又はキーボード及び/又はタッチスクリーン等)及び/又はユーザ出力インタフェース(拡声器及び/又は表示器等)を介して利用者と対話するように構成されてもよい。いくつかの実施形態において、アプリケーションは、一以上のサーバベース構成要素を備えてもよい。いくつかの実施形態において、アプリケーションは、クライアントアプリケーションを稼働するコンピュータに接続され且つそのコンピュータと対話し得るサーバコンピュータ上で稼働するソフトウェアを備えるサーバ部を備えてもよい。サーバコンピュータ、及び、クライアントアプリケーションを稼働するコンピュータは、例えばインターネット等のコンピュータネットワークにより相互に接続されてもよい。ホストコンピュータにより実行されるものとして本明細書において説明される行動は、少なくともいくつかの実施形態において、ホストコンピュータ上で稼働するクライアントアプリケーションの推進及び制御下でホストコンピュータにより実行されてもよい。
いくつかの実施形態において、認証機器は、アプリケーションのサーバベース構成要素とメッセージを交換してもよい。いくつかの実施形態において、アプリケーションのサーバベース構成要素と認証機器との間で交換されるメッセージは、セキュアメッセージング技術により保護されてもよい。いくつかの実施形態において、アプリケーションのサーバベース構成要素と認証機器との間で交換される少なくとも一部のメッセージのデータの少なくとも一部の保全性は、セキュアメッセージング技術を利用して保護されてもよい。いくつかの実施形態において、アプリケーションのサーバベース構成要素と認証機器との間で交換される少なくとも一部のメッセージのデータの少なくとも一部の機密性は、セキュアメッセージング技術を利用して保護されてもよい。いくつかの実施形態において、アプリケーションのサーバベース構成要素と認証機器との間で交換される少なくとも一部のメッセージを送信する実体の信憑性は、セキュアメッセージング技術を利用して保護されてもよい。
いくつかの実施形態において、アプリケーションのサーバベース構成要素と認証機器との間で交換される少なくとも一部のメッセージのデータの少なくとも一部は、例えば、メッセージ内のデータの機密性、保全性又は信憑性を保護又は確保するために暗号化されてもよい。いくつかの実施形態において、この暗号化は、認証機器とサーバベースアプリケーション構成要素との間で共有され得る対称秘密鍵によりパラメータ化され得る、例えば高度暗号化標準(AES:Advanced Encryption Standard)等の対称暗号化アルゴリズムを使用して行われてもよい。
いくつかの実施形態において、アプリケーションのサーバベース構成要素と認証機器との間で交換される少なくとも一部のメッセージは、例えば、メッセージ内のデータの保全性又は信憑性を保護又は確保するために、このようなメッセージに含まれるデータの少なくとも一部に対するメッセージ認証符号(MAC:Message Authentication Code)を含んでもよい。いくつかの実施形態において、このようなメッセージ認証符号(MAC)は、認証機器とサーバベースアプリケーション構成要素との間で共有され得る対称秘密鍵によりパラメータ化され得る、高度暗号化標準(AES:Advanced Encryption Standard)、若しくは、HMACのような何らかの鍵付きハッシングアルゴリズム等の対称暗号化アルゴリズム又は復号アルゴリズムのような対称暗号アルゴリズムを使用して生成及び/又は検証されてもよい。
いくつかの実施形態において、複数の認証機器の各個別の認証機器は、上述のセキュアメッセージング技術の暗号アルゴリズムをパラメータ化するために認証機器が使用し得る一以上のセキュアメッセージング鍵の値を求めるために認証機器が使用し得る一以上のセキュアメッセージング用秘密情報の異なるセットを記憶してもよい。いくつかの実施形態において、サーバは、所定の認証機器について認証機器により使用するべきセキュアメッセージング用秘密情報をサーバが決定できるようにし得る一以上の秘密情報を記憶してもよい。いくつかの実施形態において、サーバは、例えば、各個別の認証機器に対して固有値(例えば、認証機器の通し番号)を有するデータ要素と共にサーバが使用してその認証機器に対するセキュアメッセージング鍵の値を導出し得る一以上のセキュアメッセージング親鍵を記憶してもよい。いくつかの実施形態において、サーバは、各認証機器について、認証機器の機器識別データ要素(例えば通し番号)に関連付けられたその認証機器に記憶されたセキュアメッセージング用秘密情報をデータベースに記憶してもよい。
いくつかの実施形態において、ブルートゥースインタフェースは、認証機器が稼働中の場合、常時稼働中である。いくつかの実施形態において、利用者は、(例えば、ボタンを押下することで)認証機器の電源を投入してもよく、且つ、認証機器の電源が投入されると、自装置のブルートゥースインタフェースも利用可能になってもよい。いくつかの実施形態において、利用者は、例えば、ボタンを押下することで、認証機器に対してブルートゥースインタフェースを使用可能にするように明示的に指示する必要があり得る。
いくつかの実施形態において、認証機器のブルートゥースインタフェースは、認証機器のブルートゥースインタフェースが起動された場合、認証機器の存在を(例えば、メッセージを伝送することで)アドバタイジング/広告してもよい。いくつかの実施形態において、認証機器は、限られた時間の間(例えば、5分未満の時間の間)にのみブルートゥースインタフェースを介して認証機器の存在をアドバタイジングするように構成されてもよい。いくつかの実施形態において、認証機器は、ブルートゥース限定検出可能モード(Limited Discoverable mode)をサポートする。いくつかの実施形態において、認証機器は、ブルートゥース汎用検出モード(General Discovery mode)をサポートする。いくつかの実施形態において、認証機器は、限られた時間の間何らかの検出モードを維持してもよく、その後例えば自装置の電源を遮断してもよい。
いくつかの実施形態において、ホストコンピュータの構成要素(例えば、クライアント認証アプリケーション)が、稼働中のブルートゥースを使用した認証機器が存在することを通知する場合、その構成要素は、認証機器とのブルートゥース接続を開始してもよい。
いくつかの実施形態において、認証機器は、ホストコンピュータによるブルートゥースペアリング機構をサポートするように構成されてもよい。いくつかの実施形態において、認証機器は、低消費電力版ブルートゥースペアリング機構をサポートするように構成されてもよい。いくつかの実施形態において、認証機器は、万能鍵エントリ(Passkey Entry)ペアリング方式を利用した低消費電力版ブルートゥースクライアントによるペアリングをサポートするように構成されてもよい。いくつかの実施形態において、認証機器は、ブルートゥースペアリング要求を受け取るように構成されてもよく、そのペアリング要求を受け取ると、認証機器は、ペアリングコードを生成し且つ生成されたペアリングコードを利用者に表示してもよく、且つ、利用者は、表示されたペアリングコードをホストコンピュータに(例えば、クライアント認証アプリケーションに)提供してもよい。いくつかの実施形態において、認証機器は、ペアリングコード内の数字又は文字の数が、認証機器により生成された動的信用証明内の数字又は文字の数とは異なり得るように構成されてもよい。
いったんホストコンピュータと認証機器との間のブルートゥース接続が確立されると、ホストコンピュータ上の構成要素(例えば、クライアント認証アプリケーション)は、ブルートゥース接続を使用して動的信用証明を得るための要求を認証機器へ送信してもよい。いくつかの実施形態において、認証機器は、動的信用証明を生成するためのこのような要求を認証機器のブルートゥースインタフェースにより受信するように構成されてもよい。いくつかの実施形態において、動的信用証明を生成するための要求を受信すると、認証機器は、利用者に対して、(例えば、ボタンを押下することで)要求された動的信用証明の生成を承認するのを確定するように要求してもよい。
いくつかの実施形態において、認証機器は、動的信用証明の生成用の他のいかなる外部データも必要とせず、現時点では動的信用証明の生成を続行してもよい場合がある。例えば、認証機器は、認証機器において時計により生成された時間値に基づき得る、又は、認証機器が自装置のメモリに記憶し得、且つ、認証機器が動的信用証明を生成するたびに認証機器が増分するカウンタ値に基づき得る、動的変数及び秘密情報を使用して、動的信用証明を生成してもよい。
いくつかの実施形態において、認証機器は、アプリケーションにより生成されたチャレンジに基づく動的変数を使用して動的信用証明を生成してもよい。いくつかの実施形態において、チャレンジは、アプリケーションのサーバ部により生成されてもよく、且つ、クライアントアプリケーションへ伝達されてもよく、且つ、クライアントアプリケーションは、チャレンジを認証機器へブルートゥース接続を介して転送してもよい。いくつかの実施形態において、クライアントアプリケーションは、チャレンジを生成し、チャレンジをブルートゥース接続を介して認証機器へ送信し、且つ、チャレンジをアプリケーションのサーバ部へ(例えば、チャレンジに対する認証機器の応答と共に)伝達してもよい。いくつかの実施形態において、認証機器は、ブルートゥース接続を介してこのチャレンジを受信してもよい。いくつかの実施形態において、認証機器は、チャレンジを、動的信用証明を生成するための要求の一部として受信してもよい。他の実施形態において、認証機器は、チャレンジを別のメッセージの一部として受信してもよい。
いくつかの実施形態において、認証機器は、取引データに基づく動的変数を使用して動的信用証明を生成してもよい。いくつかの実施形態において、認証機器は、ブルートゥース接続を介してこれらの取引データを受信してもよい。いくつかの実施形態において、認証機器は、これらの取引データを、動的信用証明を生成するための要求の一部として受信してもよい。他の実施形態において、認証機器は、これらの取引データを別のメッセージの一部として(又は、複数の他のメッセージの一部として)受信してもよい。いくつかの実施形態において、認証機器は、受信した取引データを利用者に提示し、且つ、動的信用証明を生成する前に、利用者に対してこれらのデータを認証機器上で承認するように要求してもよい。いくつかの実施形態において、取引データは、複数の部分に(例えば、複数のデータフィールドに)分割されてもよく、且つ、各部分は、別個に、利用者に提示され且つその利用者により承認されてもよい。いくつかの実施形態において、認証機器は、取引データの利用者の承認を取得するように構成されたユーザ入力インタフェースを備えてもよい。いくつかの実施形態において、認証機器は、利用者が取引データを承認するために押下し得るボタンを備えてもよい。いくつかの実施形態において、利用者が取引データの全ての部分を承認した場合、認証機器は、秘密情報をこれらの承認された取引データに基づく動的変数と暗号学的に組み合わせることで動的信用証明を生成してもよい。いくつかの実施形態において、動的変数は、例えば、認証機器に搭載された時計により提供され得る時間値にも基づいてもよい。いくつかの実施形態において、取引データは、その全てが認証機器上で利用者に提示され且つその利用者により承認されるとは限らず、且つ、動的変数は、認証機器上で利用者に提示されておらず且つその利用者により承認されていないデータに加えて、認証機器上で利用者に提示されており且つその利用者により承認された取引データに基づいてもよい。
いくつかの実施形態において、認証機器は、ホストコンピュータとのブルートゥース接続を介してホストコンピュータのメッセージを受信することとは異なる、別の事象に応答して、動的信用証明を更に生成してもよい。例えばいくつかの実施形態において、認証機器は、例えば、利用者が認証機器のユーザ入力インタフェースのボタンを押下すること等、認証機器により取得される利用者行動に応答して、動的信用証明を生成してもよい。いくつかの実施形態において、認証機器は、自装置のユーザ出力インタフェースを使用して生成された動的信用証明を利用者に提示してもよい。いくつかの実施形態において、認証機器は、ホストコンピュータと認証機器との間のブルートゥース接続を使用して、生成された動的信用証明をホストコンピュータへ送ってもよい。
いくつかの実施形態において、認証機器が、ブルートゥースメッセージを受信することに応答して、又は、別の事象に応答して動的信用証明を生成した場合、認証機器は、ブルートゥース接続を使用して生成された動的信用証明をホストコンピュータへ送信する。いくつかの実施形態において、認証機器は、生成された動的信用証明をホストコンピュータへ送信する前に、生成された動的信用証明を利用者に表示してもよい。いくつかの実施形態において、認証機器は、利用者に対して、生成された動的信用証明をホストコンピュータへ送信するのを確定するように要求してもよい。いくつかの実施形態において、利用者は、認証機器のボタンを押下することで、生成された動的信用証明をホストコンピュータへ送信するのを確定してもよい。
いくつかの実施形態において、認証機器のユーザ入力インタフェースは、人間の利用者による起動用の単一のボタンを備えてもよい。いくつかの実施形態において、利用者は、例えば、認証機器の電源を投入し且つ/又はブルートゥースインタフェースを起動し且つ/又は取引データを承認し且つ/又は動的信用証明が生成され且つ/又はホストコンピュータへ送信されるのを確定するためにこの単一のボタンを押下してもよい。いくつかの実施形態において、利用者が、操作を取り消せる、又は、その利用者に提示されるデータを否認できる、又は、機器の電源を遮断できるようにするために、認証機器はタイムアウト時間を設定してもよく、利用者が、タイムアウト時間が切れる前に単一のボタンを押下していない場合、認証機器は、これを取り消し、否認又は電源遮断と解釈してもよい。
いくつかの実施形態において、認証機器のユーザ入力インタフェースは、人間による起動用の厳密に二つのボタンを備えてもよい。いくつかの実施形態において、ユーザ入力インタフェースの第一のボタンは、認証機器の電源を投入するために、且つ/又は、ブルートゥースインタフェースを起動するために、且つ/又は、取引データを承認するために、且つ/又は、動的信用証明が生成され且つ/又はホストコンピュータへ送信されるのを確定するために利用者により使用されてもよく、且つ、第二のボタンは、認証機器の電源を遮断するために、且つ/又は、ブルートゥースインタフェースを停止するために、且つ/又は、取引データを否認するために、且つ/又は、動的信用証明が生成され且つ/又はホストコンピュータへ送信されることを拒否するために使用されてもよい。
いくつかの実施形態において、認証機器は、ホストコンピュータにブルートゥース接続を介して機器識別データ要素も提供するように構成されてもよい。各特定の認証機器は、この機器識別データ要素の値を使用して、例えば動的信用証明を生成した特定の認証機器を識別し得るようにこの機器識別データ要素に対して異なる固有値を有してもよい。いくつかの実施形態において、認証機器は、ホストコンピュータの特定の要求に応答して、自装置の機器識別データ要素を返信してもよい。いくつかの実施形態において、認証機器は、(同一又は別のメッセージ内の)生成された動的信用証明と共に、自装置の機器識別データ要素を返信してもよい。いくつかの実施形態において、機器識別データ要素は、操作しやすいブルートゥース名又は機器名又はブルートゥースアドレス(の一部)として等、接続設定中に、ホストコンピュータに提供されてもよい。いくつかの実施形態において、認証機器は、機器識別データ要素を、ブルートゥースアドバタイジングメッセージの一部として提供してもよい。いくつかの実施形態において、これは、ホストコンピュータにより以下のように利用されてもよい。ホストコンピュータが、自装置の存在をアドバタイジングしている複数の認証機器の存在を検出する場合、ホストコンピュータは、アドバタイジングメッセージ内の機器識別データ要素を使用して、そのホストコンピュータがブルートゥース接続を設定したい認証機器を選択してもよい。例えば、ホストコンピュータは、そのホストコンピュータと共に以前、既に使用した認証機器の機器識別データ要素に対応する機器識別データ要素を有する認証機器を選択してもよい。複数の認証機器がそのホストコンピュータと共に以前に使用された場合、ホストコンピュータは、例えば、直近に使用された認証機器、又は、過去に最も頻繁に使用された認証機器を選定してもよい。
いくつかの実施形態において、ホストコンピュータ上のクライアントアプリケーションは、利用者から認証機器を使用してユーザ名等のユーザ識別子を取得し、且つ、そのユーザ識別子を使用して、その利用者に関連付けられた一以上の認証機器の一覧を決定してもよい。例えば、クライアントアプリケーションは、ユーザ識別子をアプリケーションのサーバ部へ送信し、且つ、引き替えにサーバ部から一以上の認証機器識別子の一覧を受信してもよい。そしてクライアントアプリケーションは、自装置の存在をアドバタイジングしている複数の認証機器のいずれがその一覧に含まれるかを検証し、且つ、その一覧に含まれる認証機器を選択してもよい。
いくつかの実施形態において、ホストコンピュータ上の構成要素(例えば、クライアント認証アプリケーション)が、認証機器からその認証機器の機器識別データ要素を受信した場合、ホストコンピュータは、受信した機器識別データ要素をアプリケーションサーバへ転送してもよい。いくつかの実施形態において、特定の利用者の認証機器の機器識別データ要素値は、サーバ側でその特定の利用者に関連付けられてもよい。例えば、各利用者のユーザID及び/又はユーザ名は、サーバのデータベース内で、その利用者に割り当てられた認証機器の機器識別データ要素値に関連付けられてもよい。いくつかの実施形態において、特定の認証機器の機器識別データ要素値を受信すると、サーバは、関連付けられたユーザID及び/又はユーザ名を探索し得る。いくつかの実施形態において、これにより、利用者が、例えばログイン時に識別するべきユーザ名を能動的に提供する必要性を回避できる。
いくつかの実施形態において、認証機器は、ホストコンピュータのホワイトリストを(例えば、ホストコンピュータのブルートゥースアドレスの一覧の形態で)サポートしてもよい。いくつかの実施形態において、このようなホワイトリストは、認証機器とのブルートゥース接続を設定することが許可されたホストコンピュータを含み得る。ホストコンピュータが認証機器とのブルートゥース接続を確立しようとする場合、認証機器は、そのホストコンピュータがそのホワイトリストに含まれているかを検証してもよく、ホストコンピュータが確かにそのホワイトリストに含まれている場合、認証機器は接続試行を承認してもよい。いくつかの実施形態において、認証機器は、認証機器のホワイトリストに含まれないホストコンピュータの接続試行を拒否してもよい。いくつかの実施形態において、認証機器は、認証機器のホワイトリストへホストコンピュータを追加する、又は、そのホワイトリストからホストコンピュータを削除する機構をサポートしてもよい。いくつかの実施形態において、認証機器は、アプリケーションにより発行され得る命令をサポートし、認証機器のホワイトリストへホストコンピュータを追加する、又は、そのホワイトリストからホストコンピュータを削除してもよい。いくつかの実施形態において、このような命令は、本明細書の他の箇所でより詳細に説明したように、セキュアメッセージング機構によりセキュリティ保護され、例えば、命令の信憑性及び/又は保全性を確保してもよい。いくつかの実施形態において、ホストコンピュータが認証機器とのブルートゥース接続を設定しようとし、且つ、ホストコンピュータが認証機器のホワイトリストに含まれていない場合、認証機器は、利用者に対して、接続を承認するか否か、及び/又は、ホストコンピュータをホワイトリストに含めるか否かを確定するように要求してもよい。
いくつかの実施形態において、認証機器は、容認できるホストコンピュータの初期の組込みホワイトリストで製造されてもよい。いくつかの実施形態において、このような初期の組込みホワイトリストは、認証機器に個別化及び構成データを読み込むために後の段階で使用され得るホストコンピュータを含み得る。いくつかの実施形態において、初期のホワイトリストは、削除され、別のホワイトリストにより置換され、且つ/又は、個別化及び/又は構成段階のような後の段階の間更新されてもよい。
いくつかの実施形態において、利用者は、追加の静的パスワードを、認証機器により生成された動的信用証明に加えてアプリケーションに提供するように更に要求されてもよい。これにより、利用者が知るもの(静的パスワード)及び利用者が有するもの(利用者に関連付けられた特定の認証機器であって、その所有が正しい動的信用証明をアプリケーションに提供する利用者の能力により証明された認証機器)による、二因子認証が提供される。
いくつかの実施形態において、認証機器は、利用者により提供されたPIN値及び/又はパスワード値を取得するように構成されたユーザ入力インタフェースを備えてもよい。いくつかの実施形態において、認証機器は、ホストコンピュータからブルートゥース接続を介して個人識別番号(PIN:Personal Identification Number)及び/又はパスワード値を受信するように構成されてもよい。いくつかの実施形態において、ホストコンピュータ上で稼働しているクライアントアプリケーションは、利用者に対して、ホストコンピュータのユーザ入力インタフェース上でPIN値及び/又はパスワード値を入力するように要求し、且つ、そのPIN値及び/又はパスワード値を、認証機器へホストコンピュータと認証機器との間に設定されたブルートゥース接続を介して転送してもよい。いくつかの実施形態において、認証機器は、認証機器がブルートゥース接続を介して受け付けた、又は、認証機器が利用者から認証機器のユーザ入力インタフェースを介して受け付けたPIN値及び/又はパスワード値を検証するように構成されてもよい。いくつかの実施形態において、認証機器は、PIN参照値及び/又はパスワード参照値を記憶し、且つ、受け付けたPIN値及び/又はパスワード値を、受け付けた値を記憶された参照値と比較することで、検証するように構成されてもよい。いくつかの実施形態において、PIN及び/又はパスワード検証の成功は、認証機器が動的信用証明を生成するための条件となり得る。換言すれば、いくつかの実施形態において、PIN及び/又はパスワードがまず認証機器に提供されており且つ認証機器により正常に認証された場合にのみ、認証機器は動的信用証明を生成してもよい。
いくつかの実施形態において、認証機器は、利用者の何らかの生体計測学的な値を取得するために、生体計測センサを備えてもよい。例えばいくつかの実施形態において、認証機器は指紋センサを備えてもよい。いくつかの実施形態において、認証機器は、ホストコンピュータにより取得し得た利用者の何らかの生体計測学的な値を、ホストコンピュータとのブルートゥース接続を介して受信するように構成されてもよい。いくつかの実施形態において、認証機器は、利用者に対する生体計測参照データを記憶してもよい。いくつかの実施形態において、認証機器は、(認証機器が、認証機器の生体計測センサを使用して取得し得た、又は、認証機器がホストコンピュータから受信し得た)利用者の生体計測学的な値を、認証機器に記憶された生体計測参照データと比較するように構成されてもよい。いくつかの実施形態において、このような比較の成功は、認証機器が動的信用証明を生成するための条件となり得る。換言すれば、いくつかの実施形態において、利用者の生体計測学的な値が、まず認証機器に提供されており、且つ、認証機器により、機器に記憶された生体計測参照データと正常に比較された場合にのみ、認証機器は動的信用証明を生成してもよい。
いくつかの実施形態において、ホストコンピュータ上の構成要素(例えば、クライアント認証アプリケーション)が、認証機器から認証機器により生成された動的信用証明を受信した場合、ホストコンピュータは、受信した動的信用証明をアプリケーションサーバ又は何らかの動的信用証明用検証サーバへ転送してもよい。転送された動的信用証明を受信すると、検証サーバのアプリケーションサーバは、受信した動的信用証明を検証できる。動的信用証明の検証に成功すると、アプリケーションサーバは、利用者のログイン、又は、或る資源又は或る情報へのユーザアクセス付与、又は、利用者により依頼された取引の承認等、適切な行動を取り得る。
いくつかの実施形態において、ブルートゥース接続を更に使用して、例えば、認証機器が関連付けられた利用者に関連付けられたデータ(例えば、ユーザ名)、又は、暗号鍵等の追加の秘密データ等の個別化データを認証機器に提供してもよい。
いくつかの実施形態において、認証機器は、認証機器に関連付けられた利用者の一以上のユーザ名を記憶するように構成されてもよい。いくつかの実施形態において、認証機器とのブルートゥース接続により接続されたホストコンピュータ上のクライアントアプリケーションは、ブルートゥース接続を使用して認証機器に記憶されたユーザ名のうちの一つを読み出してもよい。いくつかの実施形態において、クライアントアプリケーションは、ブルートゥース接続を使用してユーザ名を認証機器に書き込むこともできる。
いくつかの実施形態において、ユーザ名を記憶する認証機器の機能は、以下のようにアプリケーションにより使用されてもよい。利用者がアプリケーションにログインしようとする場合、そのアプリケーションは、ユーザ名及びユーザ信用証明を要求し得る。利用者がアプリケーションにアクセスするために使用しているホストコンピュータ上のクライアントアプリケーションは、利用者の認証機器とのブルートゥース接続を設定してもよい。これは、クライアントアプリケーションが利用者に対して認証機器の電源を投入するように指示又は要求することを伴う。或いは、利用者は、認証機器が自装置のブルートゥースインタフェースを使用してホストコンピュータに自装置の存在をアドバタイジングし得る認証機器の電源を投入してもよく、且つ、ブルートゥース接続は、ホストコンピュータと認証機器との間に設定されてもよく、且つ、クライアントアプリケーションは、その認証機器を認証機器として認識し、且つ、自動的に利用者がログインを実行したいと望んでいることを想定してもよい。そしてクライアントアプリケーションは、ブルートゥース接続を使用して、認証機器がユーザ名を記憶したか否かを検証し、且つ、認証機器が確かにユーザ名を記憶した場合、そのユーザ名を取得してもよい。クライアントアプリケーションが認証機器からユーザ名を取得できなかった場合、そのクライアントアプリケーションは、利用者に対して、ホストコンピュータのユーザ入力インタフェースを介して適切なユーザ名を手動で提供するように要求又は指示してもよい。クライアントアプリケーションは、ブルートゥース接続を使用して、認証機器からワンタイムパスワード又はチャレンジに対する応答等のユーザ信用証明も取得してもよい。クライアントアプリケーションは、ユーザ名及びユーザ信用証明を検証用にアプリケーションへ転送してもよい。検証が成功した場合、クライアントアプリケーションは、ブルートゥース接続を使用して、正常に使用されたユーザ名を認証機器内に記憶してもよい。
いくつかの実施形態において、認証機器は、命令を生成し、且つ、ブルートゥース接続を介して、接続されたホストコンピュータへこれらの命令を伝達するように構成されてもよく、その結果として、これらの命令がホストコンピュータ上のクライアントアプリケーションにより実行され得る。例えばいくつかの実施形態において、認証機器は、ブルートゥース接続を使用して利用者に提示するべきメッセージを含む命令をホストコンピュータへ送信してもよく、且つ、クライアントアプリケーションは、このような命令を受信し、且つ、命令に含まれるメッセージをホストコンピュータのユーザ出力インタフェース上で利用者に提示してもよい。いくつかの実施形態において、命令に含まれるメッセージは、文字列(例えば、アスキー(ASCII)又はユニコード(Unicode)文字列)の形態であってもよい。いくつかの実施形態において、メッセージは、クライアントアプリケーションが、利用者に提示するべき実際のメッセージを決定するために使用し得るメッセージポインタ又は参照の形態で命令に含まれてもよい。
いくつかの実施形態において、認証機器は、認証機器へのPIN又はパスワードの返信を要求する命令を、ブルートゥース接続を使用してホストコンピュータへ送信してもよい。ホストコンピュータ上のクライアントアプリケーションは、このメッセージを受信し、且つ、引き替えにホストコンピュータのユーザ出力インタフェースを使用して利用者にPIN及び/又はパスワードを提供するように促してもよく、且つ、クライアントアプリケーションは、ホストコンピュータのユーザ入力インタフェースを使用して利用者により提供されたPIN及び/又はパスワードを取得し、且つ、ブルートゥース接続を使用して、取得したPIN及び/又はパスワードを送信してもよい。いくつかの実施形態において、認証機器は、認証機器への利用者の生体計測情報の返信を要求する命令を、ブルートゥース接続を使用してホストコンピュータへ送信してもよい。ホストコンピュータ上のクライアントアプリケーションは、このメッセージを受信し、且つ、引き替えにホストコンピュータのユーザ出力インタフェースを使用して利用者に生体計測情報を提供するように促してもよく、且つ、クライアントアプリケーションは、例えば、ホストコンピュータの生体計測センサ(指紋センサ等)を使用して、利用者により提示された生体計測情報を計測し、且つ、ブルートゥース接続を使用して、その生体計測情報を認証機器へ送信してもよい。
いくつかの実施形態において、アプリケーションは、利用者を認証するためにブルートゥース使用可能認証機器の単なる存在も考慮に入れてもよい。例えばいくつかの実施形態において、利用者は、認証機器のホストコンピュータによるブルートゥース検出のみに基づいて認証されてもよい。いくつかの実施形態において、アプリケーションは、利用者の認証機器の存在が検出され次第、利用者を認証して何らかの行動を実行し、且つ、いったん認証機器により生成された動的信用証明が受信され且つ正常に検証されれば、利用者を認証して他の(追加の)行動を実行してもよい。
いくつかの実施形態において、アプリケーションは、認証機器の継続的な存在を監視してもよい。いくつかの実施形態において、アプリケーションは、その利用者に対する認証を付与又は解除する際、利用者の認証機器の有無を考慮に入れてもよい。例えばいくつかの実施形態において、利用者が正常に認証された後、アプリケーションが、認証機器がホストコンピュータにはもはや存在しないことを検出すると、(例えば、或る行動を実行する、又は、或る資源を入手するために)その認証成功に応答して利用者が受領し得た認証は撤回されてもよい。いくつかの実施形態において、アプリケーションは、ブルートゥース接続が維持される限り機器が存在するものと見なしてもよい。いくつかの実施形態において、アプリケーションは、認証機器がホストコンピュータの或る距離の範囲内にとどまる限り認証機器が存在するものと見なしてもよい(認証機器のブルートゥース信号の強度は、以下により詳細に説明するように、距離に対するプロキシとして使用されてもよい)。いくつかの実施形態において、アプリケーションは、ブルートゥース接続が遮断された場合、機器が存在しないものと見なしてもよい。いくつかの実施形態において、アプリケーションは、認証機器がもはやホストコンピュータの或る最小距離の範囲内には存在しない場合、認証機器が存在しないものと見なしてもよい(認証機器のブルートゥース信号の強度は、以下により詳細に説明するように、距離に対するプロキシとして使用されてもよい)。
いくつかの実施形態において、アプリケーションは、認証機器のホストコンピュータからの距離を考慮に入れてもよい。例えばいくつかの実施形態において、利用者の認証機器のホストコンピュータからの距離が或る閾値よりも短い場合、アプリケーションは、利用者又は利用者による要求を承認するだけでよい。いくつかの実施形態において、アプリケーションが、認証機器とホストコンピュータとの間の距離が或る閾値を超えたのを感知すると、アプリケーションは、利用者が認証機器を使用して設定したセッションを閉じてもよい。いくつかの実施形態において、アプリケーションは、認証機器により発せられたブルートゥース信号の強度を、認証機器とホストコンピュータとの間の距離に対するプロキシとして使用してもよい。いくつかの実施形態において、例えば、接続試行の承認を決定する場合、又は、着信アプリケーションメッセージ又は命令の承認又は否認を決定する場合、認証機器は、ホストコンピュータから受信した信号の強度を考慮に入れてもよい。いくつかの実施形態において、ブルートゥース接続の受信信号強度表示(RSSI:Received Signal Strength Indicator)は、信号強度についての尺度として使用されてもよい。
いくつかの実施形態において、アプリケーションは、ホストコンピュータ近傍の認証機器とのブルートゥース接続を自動的に設定してもよい。いくつかの実施形態において、認証機器のブルートゥース信号強度が、或る最小レベルよりも良い場合、アプリケーションは、認証機器とのブルートゥース接続を設定してもよい。いくつかの実施形態において、ブルートゥース又は低消費電力版ブルートゥースペアリングは、設定されたブルートゥース接続に対して自動的に使用されてもよい。いくつかの実施形態において、異なる個別の認証機器は、異なるペアリング鍵を有してもよい。いくつかの実施形態において、アプリケーションは、認証機器の機器識別データ要素(例えば、ブルートゥースアドレス等)を使用して、特定の認証機器用に使用されるべきペアリング鍵を検索してもよい。いくつかの実施形態において、アプリケーションは、認証機器の機器識別データ要素、及び、複数の認証機器に対して同一の何らかの親鍵から認証機器のペアリング鍵を導出してもよい。いくつかの実施形態において、利用者は、(例えば、認証機器の第一の使用頻度で)ペアリング鍵をアプリケーションに提供してもよく、且つ、アプリケーションは、利用者により提供されたペアリング鍵と認証機器の機器識別データ要素との間の関係を(例えば、データベースに)記憶してもよい。いくつかの実施形態において、ブルートゥース接続が設定された後、アプリケーションは、(例えば、認証機器によりブルートゥース接続を介して提供された機器識別データ要素、及び、ユーザ識別子を使用して)認証機器の利用者を自動的に識別してもよい。いくつかの実施形態において、アプリケーションは利用者を認証してもよい。いくつかの実施形態において(例えば、各異なる認証機器について固有のペアリング鍵を使用したペアリングが利用される場合)、いったんペアリングを利用してブルートゥース接続が正常に設定された場合、利用者は、正常に認証されたと暗黙的に見なされてもよい。いくつかの実施形態において、アプリケーションは、認証機器に対して、動的信用証明を生成し且つ(ブルートゥース接続を介して)返信するように要求し得、その動的信用証明は、その後アプリケーションにより検証され得る。いくつかの実施形態において、利用者は、認証処理中何らかの行動を取るように要求され得る。例えばいくつかの実施形態において、利用者は、(例えば、認証機器の或るボタンを押下することで)認証機器に対して自身の承認を示す必要がある。いくつかの実施形態において、利用者は、認証処理中静的PIN又はパスワードを提供するように要求され得、その静的PIN又はパスワードは、その後アプリケーションにより検証され得る。いくつかの実施形態において、利用者の認証に成功すると、アプリケーションは、利用者に対するいくつかの認証を付与してもよい(或る資源へのアクセスを付与する、又は、或る行動又は取引を実行するための要求等の利用者アプリケーション要求を受け入れる、等)。そしてアプリケーションは、認証機器が存続している否かを監視してもよい。いくつかの実施形態において、アプリケーションが、認証機器がもはや存在しないことを認識した場合、アプリケーションは、一以上の付与された認証を解除してもよい。いくつかの実施形態において、アプリケーションが、その後(同一又は別のホストコンピュータにおいて)認証機器が再び存在することを検出した場合、アプリケーションは、その一以上の解除された認証を再び付与してもよい。いくつかの実施形態において、アプリケーションが、認証機器が再び存在することを検出した場合、アプリケーションは利用者を再認証してもよい。いくつかの実施形態において、利用者の再認証は、先の認証に対して使用された認証方法よりも簡易であり得る認証方法を使用して行われてよい。例えばいくつかの実施形態において、より簡易な認証方法は、静的PIN又はパスワードの認可を示すような明示的な利用者行動を要求しない可能性がある一方、本来の、又は、標準的な認証方法は、このような明示的な利用者行動を要求し得る。いくつかの実施形態において、アプリケーションは、再認証の瞬間と以前の認証、又は、アプリケーションが、認証機器がもはや存在しないことを認識した場合のような何らかの参照事象との間で経過した時間に基づいて、使用するべき再認証の種類(及び/又は、そもそも再認証が必要か否か)を決定してもよい。
例えばいくつかの実施形態において、アプリケーションが、或るホストコンピュータにおいて利用者の認証機器の存在を検出し次第、利用者は、そのホストコンピュータにおいて或る認証を付与されてもよく、且つ、アプリケーションが、利用者の認証機器がもはや存在しないことを認識した場合、これらの認証は解除されてもよい。この機構は、例えば、病院内のコンピュータにおける医療職員による患者の医療ファイルへのセキュリティ保護されたアクセス用に、又は、利用者の認証機器の存在に依存して開閉するドアにおけるそのドアによる物理的な場所へのセキュリティ保護された物理的アクセス用に使用されてもよい。
本発明のいくつかの実施形態を以下に述べる。具体的な実施形態を述べるが、これは例示のみを目的としてなされることを理解されたい。本発明の趣旨及び範囲を逸脱しない限り、他の構成要素及び構成を使用できることが当業者には認識されるであろう。
図1は、本発明の態様に係る本発明の好ましい装置を概略的に示す。
いくつかの実施形態において、その装置は、暗号秘密情報を安全に記憶するように構成された記憶構成要素(130)と、認証機器の利用者から入力を受け付けるためのユーザ入力インタフェース(120)と、利用者に出力を提示するためのユーザ出力インタフェース(110)と、その暗号秘密鍵を動的変数と暗号学的に組み合わせることで動的信用証明を生成するように構成されたデータ処理構成要素(140)と、認証機器をホストコンピュータに接続するためのブルートゥースインタフェース(150)と、を備える、動的信用証明を生成するための認証機器(100)を備え、認証機器は、生成された動的信用証明をホストコンピュータへ送信するように構成される。いくつかの実施形態において、認証機器は時計(160)を更に備える。いくつかの実施形態において、認証機器は生体計測センサ(170)を更に備える。
いくつかの実施形態において、ユーザ出力インタフェース(110)は、液晶ディスプレイ(LCD)等の表示器を備えてもよい。いくつかの実施形態において、ユーザ出力インタフェースは拡声器を備えてもよい。いくつかの実施形態において、ユーザ出力インタフェースは音声合成構成要素を備えてもよい。いくつかの実施形態において、ユーザ出力インタフェース(110)は、例えば、利用者に対して承認するべき取引データ等のデータを利用者に提示するように構成されてもよい。いくつかの実施形態において、ユーザ出力インタフェースは、生成された動的信用証明を利用者に提示するように構成されてもよい。いくつかの実施形態において、生成された動的信用証明は、数字列又は文字列として認証機器により利用者に提示されてもよい。いくつかの実施形態において、数字列は、数値的な数字列から成ってもよい。いくつかの実施形態において、文字列は、英数字列から成ってもよい。いくつかの実施形態において、ユーザ出力インタフェースは、一列の文字列を利用者に表示することに限定された表示器から成ってもよい。いくつかの実施形態において、ユーザ出力インタフェースは、二列の文字列を利用者に表示することに限定された表示器から成ってもよい。一列又は二列を利用者に表示することに限定された表示器を備える認証機器は、超小型の形状因子を有し得る。
いくつかの実施形態において、ユーザ入力インタフェース(120)はキーボードを備えてもよい。いくつかの実施形態において、ユーザ入力インタフェースは単一のボタンから成ってもよい。いくつかの実施形態において、ユーザ入力インタフェースは、厳密に二つのボタン、即ち、例えば利用者承認を示すために使用され得る一方のボタンと、例えばデータを否認する、又は、操作を取り消すために利用者により使用され得る他方のボタンと、から成ってもよい。いくつかの実施形態において、利用者は、その二つのボタンを同時に押下することで、或いは、一方のボタンの押下後すぐに他方のボタンを(例えば、2秒未満の二回の押下の時間間隔で)押下することで機器の電源を投入してもよい。いくつかの実施形態において、ユーザ入力インタフェースは、利用者の承認を取得するように構成されてもよい。いくつかの実施形態において、ユーザ入力インタフェースは、利用者の否認を取得するように構成されてもよい。いくつかの実施形態において、ユーザ入力インタフェースは、利用者により認証機器に提供されるPIN又はパスワードの値を取得するように構成されてもよい。
いくつかの実施形態において、記憶構成要素(130)は、例えば、ROM、EEPROM、フラッシュ又はRAMメモリを備えてもよい。いくつかの実施形態において、記憶構成要素は、認証機器が、例えば、動的信用証明を生成する際に使用し得る、又は、セキュアメッセージングにより保護されたアプリケーションメッセージを受信又は生成する場合、セキュアメッセージング技術をサポートするために使用し得る、暗号秘密情報及び/又は暗号鍵を安全に記憶するように構成されてもよい。いくつかの実施形態において、記憶構成要素は、PIN参照データ及び/又はパスワード参照データを記憶するように構成されてもよい。いくつかの実施形態において、記憶構成要素は、生体計測参照データを記憶するように構成されてもよい。いくつかの実施形態において、記憶構成要素は動的変数を記憶するように構成されてもよく、その動的変数の値は、例えば、認証機器が記憶された動的変数を使用して動的信用証明を生成するたびに認証機器により更新されてもよい。
いくつかの実施形態において、データ処理構成要素(140)は、例えば、一以上のマイクロプロセッサ、(例えば、入力インタフェース及び出力インタフェースを操作するための)制御装置、複数のユーザ書き込み可能ゲートアレイ(FPGA:Field Programmable Gate Array)及び/又は複数の特定用途向け集積回路(ASIC:Application Specific Integrated Circuit)を備えてもよい。いくつかの実施形態において、データ処理構成要素は、暗号アルゴリズムを実行するように構成されてもよい。いくつかの実施形態において、データ処理構成要素は、動的信用証明を生成するように構成されてもよい。いくつかの実施形態において、データ処理構成要素は、(例えば、記憶構成要素(130)に記憶され得る)秘密情報を動的変数と暗号学的に組み合わせることで動的信用証明を生成するように構成されてもよい。いくつかの実施形態において、動的変数は、認証機器の時計により提供される時間値等、又は、記憶構成要素(130)に記憶され得るカウンタ関連値等の内部変数の値に基づいてもよい。いくつかの実施形態において、動的変数は、例えばブルートゥース接続を介して認証機器に提供され得る、例えばチャレンジ又は取引データ等の外部的に生成された値に基づいてもよい。いくつかの実施形態において、データ処理構成要素は、例えば、PIN値及び/又はパスワード値を記憶構成要素(130)に記憶され得るPIN参照データ及び/又はパスワード参照データと比較することで、そのPIN値及び/又はパスワード値を検証するように構成されてもよい。いくつかの実施形態において、データ処理構成要素は、例えば、利用者の生体計測値を記憶構成要素(130)に記憶され得る生体計測参照データと比較することで、その利用者の生体計測値を検証するように構成されてもよい。
いくつかの実施形態において、ブルートゥースインタフェース(150)は、低消費電力版ブルートゥース又は低消費電力版(LE)ブルートゥース式であってもよい。いくつかの実施形態において、ブルートゥースインタフェースは、ブルートゥースコア仕様バージョン4.0(Bluetooth Core Specification Version 4.0)に準拠してもよく、その内容が参照により本明細書に援用される。いくつかの実施形態において、ブルートゥースインタフェースは、周辺機器(Peripheral)(スレーブ)役の動作をサポートしてもよい。いくつかの実施形態において、認証機器は、ブルートゥース汎用アクセスプロファイル(GAP:Generic Access Profile)周辺機器として機能してもよく、且つ、ブルートゥースLEスレーブ及び/又は汎用属性プロファイル(GATT:Generic Attribute Profile)サーバであってもよい。
いくつかの実施形態において、ブルートゥースインタフェースは、ブルートゥースペアリングをサポートする。いくつかの実施形態において、認証機器は、複数のホストコンピュータとのペアリングをサポートし、且つ、複数のホストコンピュータについてのペアリング情報を記憶してもよい。いくつかの実施形態において、認証機器は、最大限でも単一のホストコンピュータとのペアリングをサポートし、且つ、単一のホストコンピュータのみについてのペアリング情報を記憶してもよい。いくつかの実施形態において、認証機器がペアリングされた場合、既存のペアリングがまず明示的に解除されるのであれば認証機器は新しいペアリングを有効にするだけでよい。いくつかの実施形態において、認証機器は、利用者が、既存のペアリングを解除する必要があることを示すことができるように構成されてもよい。
いくつかの実施形態において、認証機器のブルートゥースインタフェースがアドバタイジング状態にある場合、認証機器は、接続可能な無向アドバタイジング事象を送信するだけである。いくつかの実施形態において、認証機器のブルートゥースインタフェースは、限定検出可能な検出モード(Limited Discoverable discovery mode)をサポートする。いくつかの実施形態において、認証機器は、利用者がボタンを押下する等の特定の利用者による開始事象の際、限定検出可能な検出モードを開始するように構成されてもよい。いくつかの実施形態において、認証機器は、60秒以内の間発見可能であり続ける。
いくつかの実施形態において、認証機器は、多数のGATTサービスをサポートする。いくつかの実施形態において、認証機器は、ホストコンピュータと認証メッセージを交換するための、GATTサービスであり得る、一以上のサービスをサポートする。いくつかの実施形態において、認証機器は、認証機器の状態、特に、認証機器上の認証アプリケーションの状態に関してホストコンピュータに報知するための、GATTサービスであり得る、一以上のサービスをサポートする。いくつかの実施形態において、認証機器は、認証機器に接続されたホストコンピュータから或るデータ(例えば、動的信用証明を生成する際に認証機器により使用されるべきチャレンジ値又は取引データ)を受信するための或るサービス特性を特定用途向けに確保してもよい。いくつかの実施形態において、認証機器は、認証機器に接続されたホストコンピュータへ或るデータ(例えば、認証機器により生成された動的信用証明、又は、状態情報)を送信するための或るサービス特性を特定用途向けに確保してもよい。
例えばいくつかの実施形態において、認証機器は、一方における認証機器と他方におけるホストコンピュータ又は(ホストコンピュータを介した)アプリケーションサーバとの間で認証アプリケーションメッセージを交換するための認証アプリケーションメッセージングGATTサービスをサポートしてもよい。そのアプリケーションメッセージングGATTサービスは、認証アプリケーションメッセージをホストコンピュータから認証機器へ伝送するための一特性と、認証アプリケーションメッセージを認証機器からホストコンピュータへ伝送するための別の特性と、を含み得る。
認証機器は、アプリケーション状態の更新を認証機器からホストコンピュータへ送信する少なくとも一つの特性を含む別のアプリケーション状態情報GATTサービスもサポートしてもよい。
いくつかの実施形態において、アプリケーションは、定期的に認証機器をポーリングすることで、例えば、定期的に一以上の特性を読み出すことで認証機器から或るデータ又は情報を受信してもよい。
いくつかの実施形態において、認証機器は、或るデータを、ブルートゥースGATT通知機構を使用して認証機器に接続されたホストコンピュータへ送信してもよい。いくつかの実施形態において、認証機器は、或るデータを、ブルートゥースGATT表示機構を使用して認証機器に接続されたホストコンピュータへ送信してもよい。認証機器が表示機構を使用して或るデータをホストコンピュータへ送信する実施形態において、認証機器は、このようにして認証機器がホストコンピュータへ送信しようと意図したデータをホストコンピュータが確かに受信したという確証を得てもよく、これにより、認証機器が、ホストコンピュータが認証機器と同期し続けていることを保証できるようにしてもよい。例えばいくつかの実施形態において、認証機器は、ホストコンピュータが最新のアプリケーション状態情報を受信したことを確認した場合にのみ、アプリケーション状態を変更するように構成されてもよい。いくつかの実施形態において、認証機器は、(例えば、同一の特性を使用して)複数のパケット内のいくつかの認証アプリケーションメッセージを次々に送信してもよく、且つ、ホストコンピュータが先のパケットを受信したことを確認した後にのみ、次のパケットを送信するように構成されてもよい。
いくつかの実施形態において、認証機器は、アプリケーションにより生成し得た着信アプリケーションメッセージをブルートゥースインタフェースで受信するように構成されてもよい。いくつかの実施形態において、認証機器は、認証機器がアプリケーションへブルートゥースインタフェースを介して伝達し得る発信アプリケーションメッセージを生成するように構成されてもよい。いくつかの実施形態において、これらの着信及び/又は発信アプリケーションメッセージの少なくともいくつかは、セキュアメッセージング技術によりセキュリティ保護されていてもよく、且つ、認証機器は、これらのセキュアメッセージング技術をサポートするように構成されてもよい。認証機器のデータ処理構成要素は、これらのアプリケーションメッセージをセキュリティ保護するために使用される暗号アルゴリズムを実行するように構成されてもよい。例えば、データ処理構成要素は、アプリケーションメッセージ内に移送されたデータを暗号化及び/又は復号するように構成されてもよく、且つ/又は、アプリケーションメッセージに組み込まれ得るMACを生成又は検証し、これらのメッセージの保全性及び/又は信憑性を確実にするように構成されてもよい。
いくつかの実施形態において、認証機器は、動的変数の値を求めるために認証機器により使用され得る時間値を提供するための時計(160)を更に備えてもよい。
いくつかの実施形態において、認証機器は生体計測センサ(170)を更に備えてもよい。いくつかの実施形態において、生体計測センサは、例えば指紋センサを含み得る。いくつかの実施形態において、指紋センサは、例えばスワイプセンサを含み得る。
いくつかの実施形態において、認証機器は、ポケット型携帯ハンドヘルド装置であってもよい。いくつかの実施形態において、認証機器は、7cm未満の長さ、3cm未満の幅、及び、1cm未満の厚さを有してもよい。いくつかの実施形態において、機器は、20グラム未満の(電池を含む)総重量を有してもよい。いくつかの実施形態において、認証機器は、10cm未満の長さ、6cm未満の幅、及び、1.5cm未満の厚さを有してもよく、且つ、認証機器は、100グラム未満の(電池を含む)総重量を有してもよい。
図2は、本発明の態様に係るシステムの例を概略的に示す。
いくつかの実施形態において、アプリケーションと図2に例示するシステム(200)等の利用者との間の対話をセキュリティ保護するためのシステムは、アプリケーションのサーバ部をホスティングする一又は複数のアプリケーションサーバ(210)と、利用者(290)がアプリケーションに公衆通信網(250)上で遠隔アクセスできるようにするホストコンピュータ(230)と、上記段落で説明された認証機器のいずれかのような、動的信用証明を生成するための認証機器(240)と、動的信用証明の有効性を検証するための検証サーバ(220)と、を備えてもよく、ホストコンピュータは、認証機器とのブルートゥース接続を設定し、且つ、アプリケーションのクライアント部を起動するように構成されてもよく、認証機器は、動的信用証明を生成し、且つ、動的信用証明をホストコンピュータへ返信するように構成されてもよく、ホストコンピュータは、生成された動的信用証明を検証用に検証サーバへ転送するように更に構成されてもよく、検証サーバは、生成された動的信用証明を検証し、且つ、動的信用証明が有効であると検証されたか否かをアプリケーションサーバに信号で伝えるように構成されてもよい。
いくつかの実施形態において、アプリケーションサーバと検証サーバとは同一のサーバであってもよい。いくつかの実施形態において、アプリケーションサーバ及び検証サーバは、一以上のサーバコンピュータを備えてもよい。いくつかの実施形態において、通信網は、インターネット及び/又は無線通信網を含み得る。いくつかの実施形態において、ホストコンピュータは、利用者と局所的に対話するためのユーザインタフェースを備えてもよい。例えばいくつかの実施形態において、ホストコンピュータは、利用者の入力を受け付けるためのキーボード、マウス又はタッチスクリーン等のユーザ入力インタフェースを備えてもよい。いくつかの実施形態において、ホストコンピュータは、視覚信号又は聴覚信号を含み得る出力を利用者に提示するための、表示器又は拡声器等のユーザ出力インタフェースを備えてもよい。いくつかの実施形態において、ホストコンピュータは、PC(パーソナルコンピュータ)、タブレットコンピュータ又はスマートフォンを含み得る。
いくつかの実施形態において、アプリケーション(インターネットバンキングアプリケーション等)は、遠隔アプリケーションサーバ上で稼働するサーバ部と、利用者のローカルホストコンピュータ上で稼働するクライアント部であって、例えばインターネットでアプリケーションのサーバ部へアクセスするために利用者が対話するクライアント部とを備えてもよい。いくつかの実施形態において、アプリケーションはウェブベースアプリケーションを含み得、且つ、アプリケーションサーバはウェブサーバを含み得る。いくつかの実施形態において、アプリケーションサーバは、利用者のホストコンピュータ上でウェブブラウザを使用して利用者によりアクセスされ得る。いくつかの実施形態において、アプリケーションのクライアント部は、利用者のホストコンピュータ上でウェブブラウザにおいて稼働するアプレット(ジャバアプレット等)又はスクリプトを備えてもよい。いくつかの実施形態において、ウェブブラウザは、認証クライアントプラグイン又は認証クライアント拡張を使用して、ブルートゥース接続を介してホストコンピュータに接続された認証機器と対話してもよい。いくつかの実施形態において、利用者は、スマートフォンを使用してアプリケーションのサーバ部にアクセスしてもよい。そしてスマートフォンは、ホストコンピュータ(230)として機能し得、且つ、スマートフォン上で稼働するクライアントアプリケーションは、スマートフォン上でのアプリケーションプログラム(インターネットバンキングアプリケーションプログラム等)を含み得、そのアプリケーションプログラムは、スマートフォンのユーザインタフェースを介して利用者と対話でき、例えばインターネットでアプリケーションサーバと対話でき、且つ、スマートフォンと認証機器との間のブルートゥース接続を介して認証機器と対話できる。いくつかの実施形態において、ホストコンピュータ上で稼働するアプリケーションのクライアント部は、認証機器と対話する方法に関する指針を利用者に提供するように構成されてもよい。いくつかの実施形態において、認証機器と対話する方法に関してアプリケーションのクライアント部が利用者に与え得る指針は、認証機器の実際のアプリケーション状態を意味し得る。いくつかの実施形態において、アプリケーションのクライアント部は、認証機器の実際のアプリケーション状態を追跡するように構成されてもよい。いくつかの実施形態において、認証機器は、認証機器の実際のアプリケーション状態を反映し得るアプリケーション状態情報をホストコンピュータへ送信するように構成されてもよく、且つ、ホストコンピュータ上で稼働するアプリケーションのクライアント部は、そのアプリケーション状態情報を受信し、且つ、認証機器のアプリケーション状態に関する情報を使用して、認証機器と対話する方法に関して適切な指針又は指令を利用者に与えるように構成されてもよい。
例えばいくつかの実施形態において、ホストコンピュータが認証機器の存在をまだ検出していない状態でありながら、ホストコンピュータ上のクライアントアプリケーションは、利用者に対して認証機器の電源を投入するように指示する可能性がある。ホストコンピュータが、利用者の認証機器とのブルートゥース接続を設定した場合、ホストコンピュータは、ワンタイムパスワード等の、動的信用証明を要求するメッセージを認証機器へ送信してもよい。いくつかの実施形態において、認証機器は、このような要求メッセージを受信すると、利用者が要求された動的信用証明の生成を承認するのを待つ状態に入ってもよく、且つ、この状態をホストコンピュータに示してもよい。そしてホストコンピュータは、利用者に対して、利用者が確かに要求された動的信用証明の生成を承認することを認証機器に(例えば、認証機器のユーザ入力インタフェースの特定のボタンを押下することで)示すように要求してもよい。利用者が要求を(例えば、拒否を示すための特定のボタンを押下することで)拒否する場合、又は、タイムアウトが生じる場合、認証機器は、対応する状態に入り、且つ、その状態をホストコンピュータへ伝達してもよく、その結果、ホストコンピュータは適切な行動を取り得る。
いくつかの実施形態において、アプリケーションは、認証機器に対して、多数のデータフィールドに署名するように要求してもよい。例えばいくつかの実施形態において、ホストコンピュータ上のクライアントアプリケーションは、ブルートゥース接続を使用してアプリケーション要求を認証機器へ送信又は転送し、多数のデータフィールドに署名してもよい。いくつかの実施形態において、クライアントアプリケーションは、この要求をアプリケーションのサーバ部から受信していてもよく、且つ、ブルートゥース接続を使用してその要求を認証機器へ転送してもよい。いくつかの実施形態において、認証機器は、(認証機器のユーザ出力インタフェースを使用して)署名するべきデータフィールドを一つずつ利用者に提示し、利用者が認証機器上で再検討及び承認するようにしてもよい(これにより、認証機器は、認証機器のユーザ入力インタフェースを使用して利用者承認を取得してもよい)。いくつかの実施形態において、認証機器が、承認のためデータフィールドを利用者に提示するたびに、認証機器は、認証機器上でデータフィールドの利用者承認を待つ状態に入ってもよく、且つ、認証機器が、利用者がデータフィールドを承認するのを待つ状態にあることをホストコンピュータに報知してもよい。そしてホストコンピュータ上のクライアントアプリケーションは、利用者に対して、認証機器により提示されたデータフィールドを認証機器上で再検討し、且つ、それが正しいように見える場合データフィールドを認証機器上で承認するように要求してもよい。利用者がデータフィールドを承認した場合、認証機器は、次のデータフィールドを提示し、且つ、次のデータフィールドの承認を待つ次の状態に移ってもよく、且つ、認証機器が次の状態に移ったことをホストコンピュータに報知してもよい。ホストコンピュータ上のクライアントアプリケーションは、その新しい状態情報を使用して、利用者が以前のデータフィールドを認証機器上で承認したこと、及び、認証機器が次のデータフィールドの承認を待っていることを推定してもよく、且つ、ホストコンピュータ上のクライアントアプリケーションは、今度は利用者に対して次のデータフィールドを認証機器上で再検討及び承認するように要求してもよい。利用者がデータフィールドを否認した場合、又は、認証機器がデータフィールドの利用者承認を待つ間にタイムアウトになった場合、認証機器は、対応する状態に入り、且つ、その状態をホストコンピュータへ報知してもよい。その状態が、利用者がデータを否認したことをホストコンピュータに示す場合、アプリケーションは、そのデータが対応する取引を取り消してもよい。その状態が、認証機器が利用者承認を待つ間にタイムアウトになったことをホストコンピュータに示す場合、ホストコンピュータ上のクライアントアプリケーションは、利用者に対して取引を取り消すべきか否か、或いは、署名処理を再開するべきか否かを尋ねてもよい。
図3A及び図3Bは、本発明の態様に係る方法(300)の例を概略的に示す。
いくつかの実施形態において、認証システム及び/又は上記段落のいずれかで説明されたような認証機器は、利用者のコンピュータベースアプリケーションとの対話をセキュリティ保護するための方法において以下のように使用されてもよい。いくつかの実施形態において、利用者は、ローカルホストコンピュータ上のクライアントアプリケーションを使用してアプリケーションと対話してもよく、ローカルホストコンピュータは、例えばインターネット等のコンピュータネットワークを介してアプリケーションのサーバ部を起動する遠隔アプリケーションサーバに接続されてもよい。
いくつかの実施形態において、クライアントアプリケーションは、(恐らく)好適なブルートゥース使用可能認証機器の存在を精査(305)することであってもよい。クライアントアプリケーションが、(恐らく)好適な稼働中のブルートゥース使用可能認証機器の存在を検出できない場合、クライアントアプリケーションは、利用者に対して、(例えば、適切なメッセージをホストコンピュータのユーザ出力インタフェース上に表示することで)ブルートゥース使用可能認証機器の電源を投入する、又は、認証機器のブルートゥースインタフェースを起動するように要求又は提案(306)してもよい。
クライアントアプリケーションが、複数の(恐らく)好適なブルートゥース使用可能認証機器の存在を検出した場合、クライアントアプリケーションは、その認証機器のうちの一つを選択(307)してもよい。例えばいくつかの実施形態において、クライアントアプリケーションは、検出された認証機器の各々から機器識別データ要素を検索し、且つ、それを使用して、対話するべき認証機器を選択してもよい。例えば、クライアントアプリケーションは、検出された認証機器の機器識別データ要素の検索された値を、このホストコンピュータと共に過去に既に使用された可能性のある一以上の認証機器の機器識別データ要素と比較してもよい。いくつかの実施形態において、クライアントアプリケーションは、検出された認証機器の一覧を利用者に提示し、且つ、利用者に一つを選択するように促してもよい。
クライアントアプリケーションが、単一のブルートゥース使用可能認証機器を検出した、或いは、複数の検出されたブルートゥース使用可能認証機器のうちの一つを選択した場合、クライアントアプリケーションは、検出又は選択された認証機器とのブルートゥース接続(310)を設定してもよい。
いくつかの実施形態において、クライアントアプリケーションは、通し番号等の機器識別データ要素を認証機器から検索(315)し、且つ、その機器識別データ要素をアプリケーションのサーバ構成部へ転送してもよい。それに応じて、クライアントアプリケーションは、ユーザ名をアプリケーションのサーバ構成部から受信してもよい。いくつかの実施形態において、クライアントアプリケーションは、ブルートゥース接続を使用してユーザ名を認証機器から検索(317)してもよい。クライアントアプリケーションは、取得したユーザ名を、例えばログイン試行中等にアプリケーションのサーバ構成部及び/又は利用者との更なる対話に使用してもよい。いくつかの実施形態において、アプリケーションのサーバ構成部は、受信した機器識別データ要素を使用して、例えば、認証機器へ送信するべきメッセージをセキュリティ保護するためのセキュアメッセージング鍵セット、又は、認証機器により生成された動的信用証明を検証するための一以上の秘密情報等の、認証機器に関連付けられた一以上の秘密値又は暗号鍵を決定してもよい。
いくつかの実施形態において、クライアントアプリケーションは、ブルートゥース接続を使用して、接続された認証機器に対して動的信用証明を生成及び返信するように要求(320)してもよい。いくつかの実施形態において、クライアントアプリケーションは、その要求を生成していてもよい。いくつかの実施形態において、この要求は、アプリケーションのサーバ部により生成されていてもよく、且つ、クライアントアプリケーションは、その要求をアプリケーションのサーバ部から受信しており、且つ、その要求を認証機器へ転送してもよい。いくつかの実施形態において、クライアントアプリケーションは、動的信用証明の生成の際に認証機器により使用されるべきチャレンジを、ブルートゥース接続を介して認証機器へ送信(321)してもよい。いくつかの実施形態において、クライアントアプリケーションは、そのチャレンジをアプリケーションのサーバ構成部から受信していてもよい。いくつかの実施形態において、クライアントアプリケーションは、利用者がアプリケーションにより実行されるべき取引を定義できるように利用者と対話していてもよく、且つ、クライアントアプリケーションは、認証機器により署名されるべきその取引に関連するデータを、ブルートゥース接続を介して認証機器に依頼(322)してもよい。いくつかの実施形態において、クライアントアプリケーションは、アプリケーションのサーバ部により生成し得たアプリケーションメッセージ内の取引データを認証機器へ伝達してもよい。
いくつかの実施形態において、認証機器は、利用者による承認を取得(325)し、動的信用証明を生成し且つ/又はその動的信用証明を、クライアントアプリケーションを起動するホストコンピュータへ返信してもよい。いくつかの実施形態において、認証機器は、データを利用者に提示(326)し、且つ、提示されたデータの承認(又は否認)を取得(327)してもよく、提示及び承認されたデータは、動的信用証明の生成の際に認証機器により使用できる。
いくつかの実施形態において、認証機器は、利用者により認証機器に提供されたPIN値及び/又はパスワード値を取得(330)してもよく、又は、認証機器は、利用者がクライアントアプリケーションに提供したPIN値及び/又はパスワード値を、クライアントアプリケーションからブルートゥース接続を介して受信(331)してもよい。いくつかの実施形態において、認証機器は、本明細書の他の箇所でより詳細に説明したような取得又は受信したPIN値及び/又はパスワード値を検証(332)してもよい。
いくつかの実施形態において、認証機器は、認証機器上で生体計測センサにより取り込まれた利用者の生体計測値を取得(335)してもよく、又は、認証機器は、ホストコンピュータにより取り込まれた利用者の生体計測値を、クライアントアプリケーションからブルートゥース接続を介して受信(336)してもよい。いくつかの実施形態において、認証機器は、本明細書の他の箇所でより詳細に説明したような取得又は受信した生体計測値を検証(337)してもよい。
いくつかの実施形態において、認証機器のユーザ出力インタフェースは、認証機器が、認証機器上の認証アプリケーションが置かれている状態、利用者ができること、及び、利用者行動が与え得る効果に関して、このユーザ出力インタフェースを使用して利用者に明確な指針を与えることができないように、むしろ限定された機能を有してもよい。いくつかの実施形態において、クライアントアプリケーションは、例えば、利用者が、或る効果(例えば、取引データの承認又は否認)を得るために実行できる且つ/又は実行するべき行動(例えば、各種ボタンの押下、タイムアウト待ち、等)に関する指針を与えることで利用者が認証機器と対話するのを支援(340)してもよい。いくつかの実施形態において、認証機器(341)は、認証機器が置かれているアプリケーション状態をクライアントアプリケーションに報知してもよい。いくつかの実施形態において、本明細書の他の箇所でより詳細に説明したように、クライアントアプリケーションは、認証機器が置かれているアプリケーション状態を追跡(342)してもよく、且つ、認証機器が提供する指針が、認証機器が置かれている実際のアプリケーション状態に関するものであるように、認証機器と対話する方法に関する知識を利用して利用者に対するその指針を微調整してもよい。
いくつかの実施形態において、本明細書の他の箇所でより詳細に説明したように、認証機器は、ブルートゥース接続を使用して、命令を認証機器が接続されたホストコンピュータへ送信(345)してもよく、且つ、ホストコンピュータ上のクライアントアプリケーションは、これらの命令を受信及び実行(346)してもよい。いくつかの実施形態において、これらの命令の実行は、例えばホストコンピュータのユーザ出力インタフェースを介して、例えば利用者に出力を提供することで、且つ/又は、例えばホストコンピュータのユーザ入力インタフェースを介して、例えば入力を利用者から取得することで、ホストコンピュータ上のクライアントアプリケーションに対して利用者と対話(347)するように要求する。
いくつかの実施形態において、認証機器は、本明細書の他の箇所でより詳細に説明したような動的信用証明を生成(350)してもよい。いくつかの実施形態において、例えば、PIN若しくはパスワード又は生体計測値が正常に検証されたという条件、或いは、利用者が動的信用証明を生成するための明示的な承認を示したという条件等の或る条件が満足された場合にのみ、認証は動的信用証明を生成してもよい。
いくつかの実施形態において、動的信用証明が生成された後、認証機器は、生成された動的信用証明をホストコンピュータへブルートゥース接続を介して送信(351)してもよい。
いくつかの実施形態において、クライアントアプリケーションは、生成された動的信用証明を、ブルートゥース接続を介して、接続された認証機器から受信(352)してもよく、且つ、受信した動的信用証明をアプリケーションのサーバ部へ転送(353)してもよい。
いくつかの実施形態において、アプリケーションのサーバ部は、動的信用証明をクライアントアプリケーションから受信(354)してもよく、且つ、受信した動的信用証明の正当性を検証してもよい。いくつかの実施形態において、アプリケーションのサーバ部は、認証機器に関連付けられた暗号秘密情報によりパラメータ化され得る暗号信用証明検証アルゴリズムを適用することで受信した動的信用証明の正当性を検証(360)してもよい。いくつかの実施形態において、アプリケーションのサーバ部は、受信した動的信用証明の検証において、認証機器とアプリケーションの検証サーバ部との間で共有された秘密暗号鍵によりパラメータ化された対称暗号アルゴリズムを使用してもよい。いくつかの実施形態において、アプリケーションのサーバ部は、認証機器の機器識別データ要素(通し番号等)を使用して、そのサーバ部が動的信用証明の検証において使用し得る秘密情報を取得してもよい。例えばいくつかの実施形態において、アプリケーションのサーバ部は、個々の認証機器ごとに、その認証機器に関連する一以上の秘密情報をデータベースに記憶してもよく、且つ、例えばデータベース問い合わせ内の機器識別データ要素を使用してこれらの秘密情報をそのデータベースから検索してもよい。いくつかの実施形態において、アプリケーションのサーバ部は、動的信用証明の検証において使用するべき秘密情報の値を親秘密情報、及び、恐らく動的信用証明を生成した認証機器の機器識別データ要素から導出することで、その秘密情報の値を求めてもよい。
いくつかの実施形態において、アプリケーションのサーバ部は、受信した動的信用証明の検証の結果を、或る行動(利用者のログイン、又は、或る情報のようなアプリケーション資源に対するアクセスの利用者への付与、又は、利用者により要求された取引の実行で、この取引に関連するデータは動的信用証明により署名されている、等)を実行するか否かを決定する際に使用(370)してもよい。例えばいくつかの実施形態において、アプリケーションのサーバ部は、動的信用証明の検証が成功した場合その行動を実行することを決定してもよい。いくつかの実施形態において、アプリケーションのサーバ部は、動的信用証明の検証が成功しなかった場合その行動を実行しないことを決定してもよい。いくつかの実施形態において、サーバ部は、例えば、クライアントアプリケーションが利用者から受け付け得ており、且つ、アプリケーションのサーバ部がクライアントアプリケーションから受信し得た静的PIN又はパスワードの検証の結果等の、その行動を実行するか否かを決定するための他の要素も考慮に入れてもよい。
多くの実施形態が説明された。しかしながら、種々の変形がなされ得ることは理解されるであろう。例えば、一以上の実施形態の要素は組み合わせられ、削除され、変形され又は補足され更なる実施形態を構成してもよい。したがって、他の実施形態は添付の特許請求の範囲内である。更に、いくつかの実施形態のうちの一つのみに対して本発明の特定の特徴が開示され得たが、このような特徴は、いかなる所定又は特定のアプリケーションについて望まれ且つ有利であり得るように、他の実施形態の一以上の他の特徴と組み合わせられてもよい。本発明の種々の実施形態が上述されたが、これらの実施形態は一例として提示されたにすぎず、限定を意図するものではないことを理解されたい。特に、当然のことながら、特許請求の範囲の主題を説明する目的で構成要素又は方法論のあらゆる考え得る組み合わせを説明するのは不可能であるが、当業者であれば本発明の多数の更なる組み合わせ及び置換が可能であることを認識できるであろう。特に、説明された方法に関して、提示された方法のいくつかの工程を省略してもよく、他の工程を追加してもよく、且つ、各種工程が実行される順序は、これらの工程が述べられた順序とは異なってもよい。したがって、本発明の広さ及び範囲は、上述の好ましい実施形態のいずれによっても限定されるべきではなく、以下の特許請求の範囲及びそれらの均等物のみに従って規定されるべきである。