JP2004506361A - デバイスの検証ステータスを提供することによる電子通信におけるエンティティ認証 - Google Patents
デバイスの検証ステータスを提供することによる電子通信におけるエンティティ認証 Download PDFInfo
- Publication number
- JP2004506361A JP2004506361A JP2002518399A JP2002518399A JP2004506361A JP 2004506361 A JP2004506361 A JP 2004506361A JP 2002518399 A JP2002518399 A JP 2002518399A JP 2002518399 A JP2002518399 A JP 2002518399A JP 2004506361 A JP2004506361 A JP 2004506361A
- Authority
- JP
- Japan
- Prior art keywords
- data
- verification
- digital signature
- message
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/085—Payment architectures involving remote charge determination or related payment systems
- G06Q20/0855—Payment architectures involving remote charge determination or related payment systems involving a third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/12—Payment architectures specially adapted for electronic shopping systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
- G06Q20/3558—Preliminary personalisation for transfer to user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3674—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3676—Balancing accounts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3823—Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/388—Payment protocols; Details thereof using mutual authentication without cards, e.g. challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/403—Solvency checks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/18—Legal services; Handling legal documents
- G06Q50/188—Electronic negotiation
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0873—Details of the card reader
- G07F7/088—Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
- G07F7/0886—Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself the card reader being portable for interacting with a POS or ECR in realizing a payment transaction
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Abstract
デバイス(256)の現在の検証ステータスは、デバイス(256)への複数の所定の検証データ入力(250)、およびデバイス(254)内に予め格納されたデータの中から識別される。インジケータ(272)は、予め格納されたデータも検証データも示さない。所定の検証ステータスのうちの一つは、予め格納されたデータと同じ検証データを表し、別の検証ステータスは、予め格納されたデータとは異なる検証データを表す。識別された検証ステータスは、ある企業が別の企業からの電子通信に関するリスクを決定する際、特に、電子通信がリクエストを含む場合に用いられる。予め格納されたデータは、第1の企業の機密またはバイオメトリック特性に関する。
【選択図】図2a
【選択図】図2a
Description
【0001】
(I.関連出願の相互参照)
本出願について、米国においては、米国特許法119条に基づいて、世界においては、パリ条約に基づいて、Wheelerらによる米国仮特許出願第60/223,076号の出願日に対する優先権を主張する。米国仮特許出願第60/223,076号は、2000年8月4日に出願され、本明細書中で参考として援用される。また、本出願は、本明細書中で、以下のAnneおよびLynn Wheelerの3つの国際出願および3つの米国特許出願のそれぞれを参考として援用する。これらの出願は、本出願と同時に、2001年8月6日に、米国特許庁に出願され、それぞれの出願番号は、PCT/US / (名称は、「Person−Centric Account−Based Digital Signature System」)および第09/ , 号(名称は、「Account−Based Digital Signature(ABDS)System」)、第09/ , 号(名称は、「Modifying Message Data and Generating Random Number Digital Signature Within Computer Chip」)、PCT/US / (名称は、「Linking Public Key of Device to Information During Manufacture」)および第09/ , 号(名称は、「Manufacturing Unique Devices That Generate Digital Signatures」)、ならびにPCT/US / (名称は、「Trusted Authentication Digital Signature (TADS) System」)である。
【0002】
(II.発明の分野)
本発明は、概して、エンティティ認証、具体的には、電子通信の分野におけるエンティティ認証に関する。
【0003】
(III.発明の背景)
本明細書で用いられる場合、電子通信(「EC」)とは、あらゆる電子形態の通信であると考えられる。ECは、今日、特に、インターネットおよびeコマースの成長とともに、商取引の不可欠な部分となってきている。ECは、例えば、情報または物理的な領域へのアクセスに対するリクエスト、銀行に対する資金の振り替え依頼のような金融取引、あるいは、実行される契約の交付のような法的行為を表し得る。
【0004】
近年、デジタル署名も、eコマースの重要な部分となってきている。デジタル署名の作成は、概して、(1)メッセージダイジェストの計算(例えば、ハッシュ値)、および(2)その後のメッセージダイジェストの暗号化を含む。メッセージダイジェストは、概して、公開−秘密鍵暗号法(非対称暗号法としても公知である)において用いられる鍵の対における秘密鍵を用いて、電子デバイスによって暗号化される。得られる暗号文自体が、通常、典型的にはメッセージに添付されてECを形成するデジタル署名を構成する。デジタル署名作成の第2の部分(秘密鍵による暗号化を用いる)を、本明細書中で、デジタル署名を「生成する」工程と呼ぶ。2つの工程を組み合わせて、本明細書中で、デジタル署名を「作成する」工程と呼ぶ。さらに、デジタル署名の生成は、従来は、メッセージダイジェストの暗号化であると理解されるが、本明細書中のデジタル署名の生成には、メッセージダイジェストではなく、単なるメッセージの暗号化も含まれ得ると考えられる。デジタル署名が重要である理由は、ECにおけるメッセージに対する任意の変化はどんな変化でも、メッセージおよびデジタル署名の解析から検出可能なことである。この点から、デジタル署名は、EC内に含まれるメッセージを「認証」する(以下、「メッセージ認証」と呼ぶ)ために用いられる。
【0005】
例えば、メッセージダイジェストは、ハッシングアルゴリズム(例えば、SHA−1アルゴリズム)をメッセージに適用することによって、計算され得る。ハッシングアルゴリズムは、デバイス内、またはデバイスの外部のいずれかにおいて適用され得、その後、得られるハッシュ値は、デジタル署名の生成のために、デバイスに送信される。この例において、メッセージ認証を行うためには、ECの受信側にとって、メッセージに適用されるハッシングアルゴリズムのアイデンティティと、メッセージダイジェストを暗号化するために用いられる秘密鍵に対応する公開鍵(「PuK」)との両方が、既知であるか、または入手可能である必要がある。この知識を用いて、受信側は、適切なハッシングアルゴリズムをメッセージに適用して、ハッシュ値を計算する。受信側は、公開鍵を用いてデジタル署名を解読する。受信側によって計算されたハッシュ値が、解読されたデジタル署名のハッシュ値と等しい場合、受信側は、ECに含まれるメッセージの内容が、ハッシュ値を変化させた送信において変更されなかったと判定する。
【0006】
メッセージ認証を行うとき、受信側も、ECの送信側が、メッセージを認証するように首尾よく用いられた公開鍵に対応する秘密鍵を所持していたことを確認することによって、ECの送信側を認証する。これは、エンティティ認証のタイプのうちの1つであり、送信側が何を「有する」かに基づく(以下、「ファクターAエンティティ認証」と呼ぶ)。ファクターAエンティティ認証は、ECの受信側が、秘密鍵の所有者のアイデンティティに関する信用できる情報を有する場合に有用である。このような信用できる情報は、ECに伴い、かつ、秘密鍵所有者のアイデンティティを公開鍵と結合する、信用できる第三者によって発行された、デジタル証明書から発生され得る。また、この信用できる知識は、受信側自体が秘密鍵または秘密鍵を含むデバイスを所有者に対して発行した場合など、秘密鍵所有者のアイデンティティについての実際の知識も含み得る。
【0007】
理解されるように、デジタル署名システムにおける信頼は、秘密鍵の正当な所持および使用、すなわち、ECの送信側が実際に秘密鍵の所有者であるかに依存する。ECのデジタル署名を生成するための秘密鍵の不正な使用は、現行では、上記のメッセージ認証およびファクターAエンティティ認証手順を介して検出されることができない。従って、デジタル署名システムは、デバイスの中の秘密鍵を発見し、その後コピーし、デジタル署名を生成する能力を有する他のデバイスにおいて用いること、あるいは、秘密鍵を含むデバイスを物理的に盗むことのいずれかによって、デバイスの秘密鍵が盗まれる場合に、不正を受けやすい。
【0008】
秘密鍵の発見、その後に続くコピー、他のデバイスにおいて用いられることを防止するため、デバイスは、デバイスの中に含まれている秘密鍵(および他のプロテクトされたデータ)を保護する、電子的遮蔽、ゼロ化、検査、改竄証拠および改竄応答、ならびに他のセキュリティ機能を用いて製造される。このようなセキュリティ機能は、ハードウェア、ソフトウェア、およびファームウェアを含み、暗号のモジュールを有するセキュアコンピュータチップおよび他のデバイスを製造する技術においては周知である。
【0009】
このようなセキュリティ機能の要件は、例えば、Federal Information Processing Standards Publication 140−1, Security Requirements for Cryptographic Modules(US DOC/NBS、1994年1月11日)(本明細書中では、「FIPS PUB 140−1」)、およびFederal Information Processing Standards Publication 140−2, Security Requirements for Cryptographic Modules(US DOC/NBS、2001年5月25日)(本明細書中では、「FIPS PUB 140−2」)において明記されている。これらは、本明細書中で参考として援用され、http://crsc.nist.gov/publications/fips.からダウンロードすることが可能である。また、FIPS PUB 140−1およびFIPS PUB 140−2は、デバイスのセキュリティ機能に基づいてデバイスが満たし得るセキュリティレベルを規定し、これらの規定されたセキュリティレベルのそれぞれが、概して、デバイスの秘密鍵を認識しようとする試みにおいて遭遇され得る(時間および金額の面での)困難の各種のレベルを表す。現行では、4つのセキュリティレベルが規定され、セキュリティレベル4が、利用可能なセキュリティの最も高いレベルである。
このようなセキュリティ機能の仕様は、Trusted Computing Platform Alliance Trusted Platform Module Protection Profile Version 0.45(TRUSTED COMPUTING PLATFORM ALLIANCE、2000年9月)、Trusted Platform Module(TPM)Security Policy Version 0.45(TRUSTED COMPUTING PLATFORM ALLIANCE、2000年10月)、およびTCPA PC Implementations Specification Version 0.95(TRUSTED COMPUTING PLATFORM ALLIANCE、2001年7月4日)にも述べられている。これらの文献は、本明細書中で参考として援用され(まとめて「TCPA文献」と呼ばれる)、http://www.trustedpc.comからダウンロードすることが可能である。また、Common Criteria for Information Technology Security Evaluation,Smart Card Protection Profile,Draft Version 2.1d(SMART CARD SECURITY USER GROUP、2001年3月21日)にも述べられている。この文献は、本明細書中で参考として援用され(以下、「Smart Card Protection Profile」と呼ばれる)、http://csrc.nist.govからダウンロードされる。
【0010】
デバイス自体が盗まれることによる、デバイスの不正な使用を防止するため、個人識別番号(PIN)、パスワード、またはパスフレーズ(まとめて、本明細書中では「機密」と呼ぶ)が、典型的には、デバイス内に予め格納され、デバイスがデジタル署名を生成するように動作する前に、デバイスに入力される必要がある。あるいは、機密は、前もって、受信側と共有されており、ECが後で受信側に送信されるときに、機密もメッセージと共に受信側に送られる。第1の場合において、機密の検証は、デバイスのユーザを認証し(以下、「ユーザ認証」と呼ぶ)、第2の場合において、機密の検証は、ECの送信側を認証する(以下、「送信側認証」と呼ぶ)。いずれの場合でも、機密の確認は、ユーザまたは送信側が何を「知っている」かに基づくエンティティ認証(以下、「ファクターBエンティティ認証」)を表す。
【0011】
物理的に盗まれることによるデバイスの不正な使用に対する他の対策は、デバイスのユーザまたはECの送信側のバイオメトリクス的な特徴(例えば、指紋)の検証を含む。このタイプの認証は、ユーザまたは送信側が何で「ある」かに基づく(以下、「ファクターCエンティティ認証」と呼ぶ)。機密と同様に、バイオメトリクス的な値は、ユーザ認証のためデバイス内に維持されるか、または、受信側による送信側認証のため、前もって受信側と共有されるかのいずれかである。
【0012】
ファクターBエンティティ認証およびファクターCエンティティ認証は、両方とも、メッセージ用にデジタル署名を生成する、デバイスの不正な使用のリスクを低減するが、両方とも、大きな欠点を有する。例えば、機密またはバイオメトリクス的な値が、受信側による送信側認証のため、メッセージと共に受信側に通信される場合、機密またはバイオメトリック値は、まず、前もって受信側と共有され、確立された関係の一部として、受信側によって保護されている必要がある。従って、この従来のパラダイムは、このような既存の関係を有さないエンティティ間でのファクターBエンティティ認証およびファクターCエンティティ認証の両方を予め排除する。
【0013】
また、このパラダイムは、機密またはバイオメトリック値自体を、盗まれるより大きなリスクにさらす。第1に、検証のための機密またはバイオメトリック値の送信は、伝送中の傍受および発見のリスクを伴う。第2に、機密またはバイオメトリック値は、受信側によって保護される必要があるが、このことにより、機密を受信側から盗まれる危険にさらす。これは、特に、悪意のある従業員が保護された機密またはバイオメトリック値を盗む可能性がある(インサイダーの不正は、歴史的に見て最も大きいリスクである)、会社組織などの場合において、顕著である。
【0014】
また、このパラダイムの下で、機密またはバイオメトリック値が盗まれる場合、潜在的な損害は広範囲にわたる。個人にとって、複数の受信側用の複数の機密を記憶することは困難であるため、個人が、異なる受信側について、同じ機密を用いることは、一般的である。例えば、クレジットカードに関して、通常、同じ機密が、便宜上、全てのクレジットカード会社と共有され、通常、口座保有者の母親の旧姓を含む。1つのクレジットカード会社から機密が盗まれることによって、他の全てのクレジットカード口座が、少なくとも、機密を変更するまで、危険にさらされる。バイオメトリック特性が盗まれる場合、損害は、さらに深刻になる。なぜなら、人間のバイオメトリック特性を変更することはできず、一旦失われると、バイオメトリック特徴を用いる、将来のあらゆるエンティティ認証が、潜在的に危うくなるからである。
【0015】
あるいは、ユーザ認証のため、デバイス内に、機密またはバイオメトリック値が予め格納され、維持される場合、受信側による機密またはバイオメトリック値の保護、ならびに、受信側への機密またはバイオメトリック値の送信に伴うリスクは、避けられる。この従来のパラダイムにおいて、受信側は、実際には、検証を行わない。検証は、デバイスレベルで行われる。
【0016】
しかし、この代替的なパラダイムの欠点として、正しいユーザの機密またはバイオメトリック値が入力されるまで、デバイスが実行不可能なままであるので、機密またはバイオメトリック値を推測しようと繰り返される試みを、受信側がモニタすることができないことがある。さらに、正しい機密またはバイオメトリック値が入力され、整合した結果によってデバイスがイネーブルされる場合、デバイスは、典型的には、その後、所定の期間、例えば、電源が切られるか、または、リセットされるまで、イネーブルされたままになる。この代替的なパラダイムにおいて、デバイスはイネーブルされた後、不活性化される前に盗まれた可能性があるが、受信側は、このような期間中に送られた特定のECが、不正に生成されたデジタル署名を含んでいるか否かを判定することが不可能である。従って、この代替的なパラダイムにおいては、ユーザ認証はあるが、本質的に、送信側認証の予備はない。
【0017】
さらに他の欠点として、この代替的なパラダイムは、特に、バイオメトリック値がデバイス内に予め格納され、維持される(かつ、デバイスによってファクターCエンティティ認証が行われる)場合に、異なる受信側にECを送るというデバイスの使用に適応しないことがある。この点に関して、異なる受信側が、検証が成功するバイオメトリック「整合」を構成するものについて、異なる要件を有し得る。バイオメトリック整合は、入力されたバイオメトリック値が、少なくとも最低限のセキュリティ閾値を満たす程度、充分に、格納されているバイオメトリック値と近い価であるか否かについての判定である。セキュリティ閾値は、各受信側によって主観的に設定され、不正に送られたECに基づく動作および反応についての通信の性質および受信側の信頼性の程度のようなファクターを含む。異なる受信側は、送信側のバイオメトリック値を各受信側が前もって受け取らない場合に、自身の要件、規格、および基準に基づいて、自身で整合/不整合の判定を行い、自身で、バイオメトリック値のメッセージと共に受け取られるさらなるバイオメトリック値の各々との比較を行い、比較が整合となる程度に充分近いか否かについて自身で事務的に判定を加えることができない。
【0018】
従って、ファクターBエンティティ認証および/またはファクターCエンティティ認証が用いられるが、このような認証手順を用いる従来のパラダイムの上記の欠点が克服された、新たなパラダイムに対する需要が存在する。特に、受信側に機密またはバイオメトリック値のいずれかを保護することを要求することなく、ファクターBエンティティ認証および/またはファクターCエンティティ認証のいずれかまたは両方を用いる、ユーザ認証および送信側認証の両方に備えるパラダイムに対する需要が存在する。この点に関して、ファクターBエンティティ認証およびファクターCエンティティ認証が、受信側が認証情報に内々に関与することなしに、受信側によって確実に推論され、そのことによって、秘密上の問題に対処するパラダイムに対する需要が存在する。さらに、受信側が、主観的な事務的判定で、ファクターCエンティティ認証が用いられる場合に、認められるバイオメトリック整合を構成するものを判定することが可能である、パラダイムに対する需要が存在する。また、受信側が、機密またはバイオメトリック値を推測するために、繰り返されるデバイスへのアタックをモニタすることが可能であるパラダイム、ならびに、単一デバイスを用いて、様々な無関係な受信側に対してECを送ることにさらに適応するパラダイムに対する需要が存在する。
【0019】
(IV.本発明の要旨)
(A.本発明の第1の局面)
本発明の第1の局面は、デバイスの検証ステータスの提供に関し、デバイス内で、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、デバイスに入力された検証データおよびデバイス内に予め格納されたデータの関数として識別する工程と、識別された検証ステータスに関わらず、識別された検証ステータスをデバイスの外部の電子装置に伝送する工程とを含む。所定の検証ステータスのうちの1つは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の検証ステータスは、検証データが予め格納されたデータとは異なることを表す。前記識別された検出ステータスのインジケータは、前記デバイスから出力される。
【0020】
本発明のこの局面の変形例において、検証ステータスは、デバイスを用いるエンティティ認証に関する。この変形例は、エンティティの検証データを含む入力をデバイス内に受信する工程と、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、検証データおよびデバイス内に予め格納されたデータの関数としてデバイス内で識別する工程と、識別された検証ステータスに関わらず、識別された検証ステータスのインジケータをデバイスから出力する工程とを含む。また、所定の検証ステータスのうちの1つは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の検証ステータスは、検証データが予め格納されたデータとは異なることを表す。
【0021】
他の変形例において、第1のエンティティは、第2のエンティティに対して認証される。この変形例において、第1のエンティティのデータは、検証素子の個人専用化の間に、デバイスの検証構成素子内に格納される。検証データは、後からデバイス内に入力され、デバイスの検証素子内で受信される。現在の検証ステータスは、検証データとデバイスの検証素子内に予め格納されたデータとの関数として識別される。識別された検証ステータスは、検証データが予め格納されたデータと同じであることを表す検証ステータス、ならびに、検証データが予め格納されたデータとは異なることを表す少なくとも1つの検証ステータスを含む、デバイスの複数の所定の検証ステータスのうちの1つである。識別された検証ステータスに関わらず、このような検証ステータスは第2のエンティティに伝達される。検証ステータスは、検証素子から、検証ステータスのインジケータを出力し、出力インジケータを第2のエンティティに伝送することによって、第2のエンティティに伝送される。
【0022】
本発明の第4の変形例において、検証データがデバイスによってまだ受信されていない場合のエンティティ認証に関する検証ステータスが提供される。特に、この場合の方法は、デバイスの検証ステータスを、デバイスに予め格納されたデータおよび後から入力された検証データの関数として識別するために、エンティティの予め格納されたデータをデバイス内に維持する工程と、所定の期間の間、任意の検証データの入力が無いことを表すデバイスの現在の検証ステータスをデバイス内で識別する工程と、識別された検証ステータスのインジケータを、その評価のため、デバイスから出力する工程とを含む。好ましくは、その後、ある点で、検証データを含む入力がデバイス内で受信され、デバイス内で、現在の検証ステータスが、デバイスの複数の所定の検証ステータスから、受信した検証データと予め格納されたデータとを比較することによって識別され、識別された検証ステータスのインジケータが、その評価のため、再度デバイスから入力される。ここで、第2のインジケータは、比較に基づいて識別された検証ステータスを示す。好ましくは、デバイスの複数の所定の検証ステータスのうちの1つの検証ステータスは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の検証ステータスは、検証データが予め格納されたデータとは異なることを表す。
【0023】
本発明のこの局面の好ましい実施形態において、予め格納されたデータは、機密またはバイオメトリック特性のいずれか、あるいは両方を表し、現在の検証ステータスとして識別された検証ステータスは、検証データまたは予め格納されたデータのいずれも明らかにすることなく、検証データと予め格納されたデータとの間の相関関係を表し、デバイスは、デジタル署名を生成することができる。さらに、リクエストは、識別された検証ステータスに基づいて、ビジネスロジックで評価される。
【0024】
(B.本発明の第2の局面)
本発明の第2の局面は、デバイスの検証ステータスの提供に関し、デバイス内で、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、デバイスに入力されたバイオメトリック検証データおよびデバイス内に予め格納されたバイオメトリックデータの関数として識別する工程と、識別された検証ステータスに関わらず、識別された検証ステータスのインジケータをデバイスの外部の電子装置に伝送する工程とを含む。インジケータは、検証データまたは予め格納されたデータのいずれも明らかにすることなく、識別された検証ステータスを示す。前記識別された検出ステータスのインジケータは、前記デバイスから出力される。
【0025】
本発明のこの局面の変形例において、検証ステータスは、デバイスを用いるエンティティ認証に関する。この変形例は、エンティティのバイオメトリック検証データを含む入力をデバイス内に受信する工程と、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、検証データおよびデバイス内に予め格納されたバイオメトリックデータの関数としてデバイス内で識別する工程と、識別された検証ステータスに関わらず、識別された検証ステータスのインジケータをデバイスから出力する工程とを含む。インジケータは、検証データまたは予め格納されたデータのいずれも明らかにすることなく、識別された検証ステータスを示す。
【0026】
他の変形例において、第1のエンティティは、第2のエンティティに対して認証される。この変形例において、第1のエンティティのバイオメトリックデータは、検証素子の個人専用化の間に、デバイスの検証素子内に格納される。バイオメトリック検証データは、後からデバイス内に入力され、デバイスの検証素子内で受信される。現在の検証ステータスは、検証データとデバイスの検証素子内に予め格納されたデータとの関数として識別される。識別された検証ステータスに関わらず、検証素子から、識別された検証ステータスのインジケータを出力し、出力インジケータを第2のエンティティに伝送することによって、このような検証ステータスは第2のエンティティに伝達される。インジケータは、検証データまたは予め格納されたデータのいずれも明らかにすることなく、識別された検証ステータスを示す。
【0027】
本発明の第4の変形例において、検証データがデバイスによってまだ受信されていない場合のエンティティ認証に関する検証ステータスが提供される。特に、この場合の方法は、デバイスの検証ステータスを、デバイスに予め格納されたデータおよび後から入力されたバイオメトリック検証データの関数として識別するために、エンティティの予め格納されたバイオメトリックデータをデバイス内に維持する工程と、所定の期間の間、任意の検証データの入力が無いことを表すデバイスの現在の検証ステータスをデバイス内で識別する工程と、識別された検証ステータスのインジケータを、その評価のため、デバイスから出力する工程とを含む。好ましくは、その後、ある点で、検証データを含む入力がデバイス内で受信され、デバイス内で、現在の検証ステータスが、デバイスの複数の所定の検証ステータスから、受信した検証データと予め格納されたデータとを比較することによって識別され、識別された検証ステータスのインジケータが、その評価のため、再度デバイスから入力される。ここで、第2のインジケータは、比較に基づいて、検証データまたは予め格納されたデータのいずれも明らかにすることなく、識別された検証ステータスを示す。
【0028】
本発明のこの局面の好ましい実施形態において、デバイスの複数の所定の検証ステータスのうちの1つの検証ステータスは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の所定の検証ステータスは、検証データが予め格納されたデータとは異なることを表し、デバイスは、デジタル署名を生成することができる。さらに、リクエストは、識別された検証ステータスに基づいて、ビジネスロジックで評価される。
【0029】
(C.本発明の第3の局面)
本発明の第3の局面は、デバイスの検証ステータスの提供に関し、デバイス内で、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを識別する工程と、生成されたデジタル署名が、識別された検証ステータスのインジケータを含むように、デバイス内で、識別されたデバイスの検証ステータスの関数としてメッセージを表すデータを改変することを含む、識別された検証ステータスの関数として、デバイス内でメッセージについてのデジタル署名を生成する工程と、生成されたデジタル署名をデバイスの外部の電子装置に伝送する工程とを含む。現在の検証ステータスの識別は、デバイスに入力された検証データとデバイス内に予め格納されたデータとの関数としての識別である。
【0030】
本発明のこの局面の変形例において、検証ステータスは、エンティティ認証に関する。この変形例は、エンティティの検証データを含む入力をデバイス内に受信する工程と、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、検証データおよびデバイス内に予め格納されたデータの関数としてデバイス内で識別する工程と、生成されたデジタル署名が、識別された検証ステータスのインジケータを含むように、デバイス内で、識別されたデバイスの検証ステータスの関数としてメッセージを表すデータを改変することを含む、識別された検証ステータスの関数として、デバイス内でメッセージについてのデジタル署名を生成する工程と、生成されたデジタル署名をデバイスから出力する工程とを含む。
【0031】
他の変形例において、第1のエンティティは、第2のエンティティに対して認証される。この変形例において、第1のエンティティのデータは、検証素子の個人専用化の間に、デバイスの検証素子内に格納される。検証データは、後からデバイス内に入力され、デバイスの検証素子内で受信される。現在の検証ステータスは、検証データとデバイスの検証素子内に予め格納されたデータとの関数として識別される。識別された検証ステータスは、デバイスの複数の所定の検証ステータスのうちの1つである。その後、デジタル署名は、デバイス内で、メッセージについて、識別された検証ステータスの関数として生成され、デバイス内で、識別されたデバイスの検証ステータスの関数としてメッセージを表すデータを改変することを含む。生成されたデジタル署名は、識別された検証ステータスのインジケータを含む。デジタル署名は、デバイスの検証素子から出力され、その後、第2のエンティティティに通信される。
【0032】
本発明の第4の変形例において、検証データがデバイスによってまだ受信されていない場合のエンティティ認証に関する検証ステータスが提供される。特に、この場合の方法は、デバイスの検証ステータスを、デバイスに予め格納されたデータおよび後から入力された検証データの関数として識別するために、エンティティの予め格納されたデータをデバイス内に維持する工程と、所定の期間の間、任意の検証データの入力が無いことを表すデバイスの現在の検証ステータスをデバイス内で識別する工程と、生成されたデジタル署名が、識別された検証ステータスのインジケータを含むように、デバイス内で、メッセージについてデジタル署名を生成する工程と、識別された検証ステータスの評価のため、生成されたデジタル署名をデバイスから出力する工程とを含む。好ましくは、その後、ある点で、検証データを含む入力がデバイス内で受信され、デバイス内で、現在の検証ステータスが、デバイスの複数の所定の検証ステータスから、受信した検証データと予め格納されたデータとを比較することによって識別され、他のデジタル署名が、デバイス内で、メッセージについて、識別された検証ステータスの関数として生成される。この面において、メッセージを表すデータは、デバイス内で、デバイスの識別された関数として改変される。識別された検証ステータスのインジケータを含む第2の生成されたデジタル署名は、その評価のため、デバイスから出力される。
【0033】
本発明のこの局面の好ましい実施形態において、デバイスの複数の所定の検証ステータスのうちの1つの検証ステータスは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の検証ステータスは、検証データが予め格納されたデータとは異なることを表し、識別された検証ステータスのインジケータは、予め格納されたデータも検証データも示さず、予め格納されたデータは機密を表し、予め格納されたデータはバイオメトリック特性を表す。さらに、リクエストは、識別された検証ステータスに基づいて、ビジネスロジックで評価される。
【0034】
デジタル署名の生成は、デバイス内で、公開秘密鍵の対の秘密鍵を用いて、改変されたデータについて、デバイス内で計算されたメッセージダイジェストを暗号化する工程を含む。好適な実施形態において、メッセージを表す、改変されたデータについてのデジタル署名は、デバイスから出力されるが、改変されたデータ自体はデバイスから出力されない。
【0035】
いくつかの好適な実施形態において、メッセージは、デバイス内で、デバイスのユーザによって構成される。好ましくは、デジタル署名がそのために生成されたメッセージは、ユーザによって検討され、承認されるために、デバイスのディスプレイ画面上に表示される。あるいは、メッセージは、デバイスの外部のI/Oサポートエレメント内で構成される。I/Oサポートエレメントは、次に、メッセージを表す入力を、デバイスのインターフェースを介してデバイスに伝送する。他の好適な実施形態において、メッセージの一部は、デバイスの外部のI/Oサポートエレメント内で構成される。I/Oサポートエレメントは、次に、メッセージの一部を表す入力を、デバイスのインターフェースを介して、デバイスに伝送し、メッセージの残りの部分は、デバイス内で構成される。I/Oサポートエレメントは、例えば、販売地点端末、バイオメトリックスキャナ、カードリーダ、またはコンピュータを含み得る。
【0036】
メッセージ自体は、金融取引の実行、法的行為の実行、データベースへのアクセス、物理的空間へのアクセス、ウェブサイトへのアクセス、またはコンピュータプログラムへのアクセスについてであり得る。また、メッセージは、予め定められ、スタチックであり得、デバイス自体に格納され得る。また、検証データは、他のタイプのメッセージについて、または、メッセージにおいて実施されるリクエストの承認とデバイスの電源遮断との間の所定の期間について、デバイスに入力されることを必要とされなくてもよい。
【0037】
メッセージを表すデータは、メッセージのハッシュ値を含むか、あるいは、メッセージを表すデータは、メッセージについてのメッセージダイジェストを含む。メッセージを表すデータは、デバイス内に格納され得る。メッセージを表すデータの改変は、好ましくは、メッセージを表すデータに識別マーカの割り当てられた値を埋め込む工程と、識別マーカの割り当てられた値をメッセージを表すデータの後ろに付ける工程と、識別マーカの割り当てられた値をメッセージを表すデータの開始部分の後ろに付ける工程と、識別マーカの割り当てられた値をメッセージを表すデータの末尾の後ろに付ける工程とを含む。
【0038】
好ましい実施形態において、検証データは、最後に成功した検証後の所定の期間に続いて、デバイスに入力されることが必要とされ得、検証データは、特定のタイプのメッセージの各々について、デバイスに入力されることが必要とされ得る。特定のタイプのメッセージには、例えば、金融取引についてのリクエストが含まれ得る。
【0039】
さらなる好適な実施形態は、デバイス内で生成されたデジタル署名を用いてメッセージ認証を含み、デバイスの疑わしい検証ステータスの関数としてリクエストを実施するメッセージを表すデータを改変する工程と、メッセージダイジェストを改変されたデータの関数として計算する工程と、公開−秘密鍵の対の公開鍵を用いて生成されたデジタル署名を復号する工程と、計算されたメッセージダイジェストが復号されたデジタル署名と整合する場合、デバイスの検証ステータスがデバイスの疑わしい検証ステータスであると結論を下す工程を含む。
【0040】
デバイスは、好ましくは、デバイス内の識別マーカを、所定の検証ステータスに対応する、所定の値のセットのうちのある値と等しくなるように割り当てることによって、デバイスの現在の検証ステータスを識別する。好ましい実施形態において、識別マーカには、成功した検証と等しくされた値が割り当てられ、割り当てられた値は、検証データが最後にデバイスに入力されてからデジタル署名が生成されたか否かをさらに表す。さらに、生成されたデジタル署名は、好ましくは、インジケータを含む。
【0041】
(D.本発明の第4の局面)
本発明の第4の局面は、デバイスの検証ステータスの提供に関し、デバイス内で、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、デバイスに入力された検証データおよびデバイス内に予め格納されたデータの関数として識別する工程を含む。この工程は、機密を表す検証データとデバイス内に予め格納されたデータとを比較する工程と、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第1の比較マーカに割り当てる工程と、バイオメトリックデータを表す検証データとデバイスに予め格納されたデータとを比較して、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第2の比較マーカに割り当てる工程とを含む。メッセージを表すデータは、デバイス内で、第1および第2の比較マーカについての割り当てられた値の関数として改変される。その後、デバイス内で、改変されたデータについて、生成されたデジタル署名が識別された検証ステータスのインジケータを含むように、デジタル署名が生成される。その後、生成されたデジタル署名が、デバイス外部の電子装置に伝送される。
【0042】
本発明のこの局面の変形例において、検証ステータスは、エンティティ認証に関する。この変形例は、エンティティの検証データを含む入力をデバイス内に受信する工程であって、検証データはエンティティの機密およびバイオメトリック特性を表す、工程と、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、検証データおよびデバイス内に予め格納されたデータの関数としてデバイス内で識別する工程と、生成されたデジタル署名が、識別された検証ステータスのインジケータを含むように、デバイス内で、識別されたデバイスの検証ステータスの関数としてメッセージを表すデータを改変し、識別された検証ステータスの関数として、デバイス内でメッセージについてのデジタル署名を生成する工程と、生成されたデジタル署名をデバイスから出力する工程とを含む。検証ステータスの識別は、機密を表す検証データとデバイス内に予め格納されたデータとを比較する工程と、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第1の比較マーカに割り当てる工程と、バイオメトリックデータを表す検証データとデバイスに予め格納されたデータとを比較して、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第2の比較マーカに割り当てる工程とを含む。メッセージデータの改変は、第1および第2の比較マーカについて、割り当てられた値の関数としてデータを改変する工程を含む。
【0043】
他の変形例において、第1のエンティティは、第2のエンティティに対して認証される。この変形例において、第1のエンティティの機密およびバイオメトリックデータの両方を表すデータは、検証素子の個人専用化の間に、デバイスの検証素子内に格納される。検証データは、後からデバイス内に入力され、デバイスの検証素子内で受信される。現在の検証ステータスは、検証データとデバイスの検証素子内に予め格納されたデータとの関数として識別される。検証ステータスの識別は、機密を表す検証データとデバイス内に予め格納されたデータとを比較する工程と、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第1の比較マーカに割り当てる工程と、バイオメトリックデータを表す検証データとデバイスに予め格納されたデータとを比較して、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第2の比較マーカに割り当てる工程とを含む。デジタル署名は、まず、デバイス内で、メッセージを表すデータを、第1および第2の比較マーカについて、割り当てられた値の関数として改変し、その後、生成されたデジタル署名が識別された検証ステータスのインジケータを含むように、改変されたデータを暗号化することによって、デバイス内でメッセージについて生成される。その後、デジタル署名は、検証素子から出力され、第2のエンティティティに伝送される。
【0044】
本発明のこの第4の局面の好ましい実施形態において、デバイスの複数の所定の検証ステータスのうちの1つの検証ステータスは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の所定の検証ステータスは、検証データが予め格納されたデータとは異なることを表す。第1の比較マーカの割り当てられた値、第2の比較マーカの割り当てられた値、または、第1および第2の比較マーカの割り当てられた値は、生成されたデジタル署名とともにデバイスから出力され、メッセージの改変は、メッセージを表すデータに第1の比較マーカの割り当てられた値、第2の比較マーカの割り当てられた値、またはその両方を、メッセージを表すデータに埋め込む工程、あるいは、このような割り当てられた値(単数または複数)を、メッセージを表すデータの後ろに付ける工程であって、メッセージデータの開始部分または末尾の後ろに付けることを含む工程とを含む。さらに、リクエストは、識別された検証ステータスに基づいて、ビジネスロジックで評価される。
【0045】
本発明のこの第4の局面の別の実施形態において、メッセージを表すデータは、第1および第2の比較マーカについて、割り当てられた値のうちの1つのみの関数として改変される。さらに、メッセージ、ならびに第1および第2の比較マーカについての他の割り当てられた値についての生成されたデジタル署名は、第2のエンティティに伝送される。
【0046】
(E.本発明の第5の局面)
本発明の第5の局面は、デジタル署名を生成するデバイスの現在の検証ステータスの決定に関し、デジタル署名を受信する工程と、公開−秘密鍵の対の公開鍵を用いてデジタル署名を復号する工程と、デバイスの複数の所定の検証ステータスの各々について、所定の検証ステータスの関数として、メッセージを表すデータを改変する工程と、デバイスの現在の検証ステータスが、改変されたデータが復号されたデジタル署名とそれについて整合する所定の検証ステータスであるとして識別する工程とを含む。この局面の変形例において、メッセージダイジェストは、改変に続いて、改変されたデータの関数として計算される。改変されたデータの関数としてのメッセージダイジェストの計算は、改変されたデータについてのハッシュ値の計算を含み得る。
【0047】
本発明のこの第4の局面の好適な実施形態において、検証ステータスの各々は、デバイスに入力された検証データと、デバイス内に予め格納されたデータとの間の相関関係を表す。さらに、各検証ステータスは、現在の検証ステータスがそれについて決定される、デバイスの検証データまたは予め格納されたデータのいずれも示さない。
【0048】
好ましくは、現在の検証ステータスは、リクエストに関連する。リクエストは、例えば、金融取引の実行、または法的行為の実行についてであり得る。リクエストは、例えば、予め定められ、スタチックであり得、所定のメッセージに含まれ得る。リクエストは、データベースへのアクセス、物理的空間へのアクセス、ウェブサイトへのアクセス、またはコンピュータプログラムへのアクセスについてであり得る。好ましくは、リクエストは、デジタル署名とともに受信され、デジタル署名によって示される現在の検証ステータスに基づいて評価される。リクエストの評価は、デジタル署名を生成するデバイスの保証レベルを考慮する工程を含む。リクエストは、デジタル署名の受信において暗黙的であってもよい。リクエストは、公開または秘密に、コンピュータネットワークのような電子通信媒体を介して通信され得る。
【0049】
さらに、好適な実施形態において、所定の検証ステータスの内の1つは、成功しない検証を表し、所定の検証ステータスのうちの1つは、成功した検証を表し、所定の検証ステータスのうちの1つは、検証データが最後にデバイスに入力されてから、デジタル署名がデバイスによって生成されたか否かをさらに表し、所定の検証ステータスのうちの1つは、デジタル署名が、デバイスに入力された検証データとデバイス内に予め格納されたデータとの比較に続いて生成されたか否かをさらに表し、所定の検証ステータスのうちの1つは、所定の期間、例えば、最後に成功した検証の時間またはデバイスのリセットからの時間内に、任意の検証データがデバイスに入力されたか否かをさらに表す。
【0050】
さらに、好ましい実施形態において、所定の検証ステータスのうちの1つは、デバイスに入力された検証データとデバイス内に予め格納されたデータとの間の差異を表し、所定の検証ステータスのうちの1つは、デバイスに入力されたバイオメトリック検証データとデバイス内に予め格納されたバイオメトリックデータとの間の整合の程度を表し、所定の検証ステータスのうちの1つは、デバイスに入力されたバイオメトリック検証データとデバイス内に予め格納されたバイオメトリックデータとの間の整合のパーセンテージをさらに表し、所定の検証ステータスのうちの1つは、検証データが最後にデバイスに入力されてから、デバイスによってデジタル署名が生成された否かをさらに表し、所定の検証ステータスのうちの1つは、デジタル署名が、デバイスに入力された検証データとデバイス内に予め格納されたデータとの比較に続いて生成されたか否かをさらに表し、所定の検証ステータスのうちの1つは、所定の期間内に、任意の検証データがデバイスに入力されたか否かをさらに表す。
【0051】
(F.本発明の特徴)
本発明の上記の局面の特徴において、デバイスは、好ましくは、所定の検証ステータスと対応する所定の値のセットのうちのある値と等しくなるようにデバイス内の識別マーカを割り当てることによって、デバイスの現在の検証ステータスを識別する。好ましい実施形態において、比較の結果が、(例えば、データが機密を表す場合)精密な整合を含む整合である場合、成功した検証と等しくされた値が識別マーカに割り当てられ、(例えば、データがバイオメトリック特性を表す場合)比較の結果が整合するが、精密な整合でない場合、成功した検証と等しくされた値が識別マーカに割り当てられ、検証データと予め格納されたデータとの間の比較によって整合が得られない場合、成功しない検証と等しくされた値が識別マーカに割り当てられる。
【0052】
さらに、好適な実施形態において、検証データと予め格納されたデータとの間の差異を表す値が識別マーカに割り当てられ、検証データと予め格納されたデータとの間の整合の程度を表す値が識別マーカに割り当てられ、検証データと予め格納されたデータとの間の整合のパーセンテージと等しくされた値が識別マーカに割り当てられ、所定の期間、例えば、最後の成功した検証の時間、またはデバイスがリセットされてからの時間内に、任意の検証データがデバイスに入力されたか否かを表す値が識別されたマーカに割り当てられる。
【0053】
成功する検証と等しくされた値が識別マーカに割り当てられる好ましい実施形態において、割り当てられた値は、成功する検証の後にインジケータが出力された否か、あるいは、検証データが最後にデバイスに入力されてからインジケータが出力されたか否かをさらに表す。さらなる特徴において、インジケータは、識別マーカの割り当てられた値を含み、割り当てられた値は、検証データが最後にデバイスに入力されてから、デバイスによってデジタル署名が生成されたか否かをさらに表す。さらに、デバイスは、好ましくは、デバイスによって受信される外部の問い合わせに応答するか、メッセージを表すデータの受信に応答するか、または、検証データを含む入力の受信に応答して、デジタル署名を生成する。
【0054】
本発明の他の特徴は、検証データがユーザによって直接デバイスに入力されること、ならびに、代替的に、検証データを表す入力が、デバイスの外部のI/Oサポートエレメント内で受信され、その後デバイスに伝送されることを含む。I/Oサポートエレメントは、例えば、販売地点端末、バイオメトリックスキャナ、カードリーダ、ATMマシン、またはコンピュータを含み得る。
【0055】
さらなる特徴において、インジケータは、決定的に(すなわち、曖昧さなしに)、デバイスの単一の所定の検証ステータスを指し示し、機密および/またはバイオメトリックデータも、デバイスに入力される検証データも、デバイスからエクスポートされず、デバイスは、デバイスの複数のユーザについて、データを予め格納し、デジタル署名は、デバイス内で生成され、識別マーカの値とともにデバイスから出力される。
【0056】
予め格納されたデータがバイオメトリックデータを含む場合、本発明の特徴において、バイオメトリックデータのタイプを表す値が識別マーカに割り当てられる。さらに、バイオメトリックデータは、例えば、デジタル化された指紋、デジタル化された手形または手の形状、デジタル化された網膜、デジタル化された虹彩、デジタル化された声紋、デジタル化された顔面スキャン、デジタル化された手書きのサイン、またはデジタル化されたDNA試料を表し得る。このような場合、デバイスは、検証データを入力するバイオメトリックスキャナを含み得る。また、デバイスは、複数の異なるタイプのバイオメトリックデータについて、1人の人間か、または複数の人間のいずれかのデータを予め格納し得る。
【0057】
識別された検証ステータスに基づいてリクエストが評価される、本発明の他の特徴において、検証データは、特定のタイプのリクエスト、例えば、金融取引の各々について、デバイスに入力されることが必要とされる。検証データは、他のタイプのリクエストについて、デバイスに入力されることが必要とされないこともあり得る。また、検証データは、特定のタイプのリクエストについて、デバイスに入力されることが必要とされるが、リクエストの評価が承認に終わるまでであり、その後、所定の期間、例えば、リクエストの承認とデバイスのリセットとの間の時間、検証データは、このようなタイプのさらなるリクエストについて、デバイスに入力されることが必要とされないこともあり得る。
【0058】
乱数が、セッション鍵の生成のための多くのコンピュータアプリケーション、例えば、安全ソケット層(SSL)プロトコル、ならびにプリティグッドプライバシー(PGP)のようなセキュリティプロトコルにおいて利用される。本発明のさらに他の特徴は、得られるデジタル署名が、乱数としてこのようなアプリケーションにおいて用いられる、デジタル署名アルゴリズムを用いるデジタル署名の生成を含む。
【0059】
本発明の方法のデバイスは、好ましくは、ECの送信側の個人用デバイスである。また、デバイスは、好ましくは、例えば、英数字キーパッド、電気接点、タッチスクリーン式のディスプレイ、コンピュータバスを有する標準的電子インターフェース、または、アンテナのようなデバイスインターフェースを含む。また、デバイスインターフェースは、無線通信ポート、シリアルポート、USBポート、パラレルポート、または赤外線ポートのようなデバイスのポートを含み得る。デバイスは、好ましくは、携帯可能であり、ハンドヘルド形式ファクターである。デバイスは、好ましくは、コンピュータチップ、および/または、集積回路を含み得、例えば、携帯電話、PDA、デジタル化されたキー、ドングル、皮下インプラント、装身具、集積回路カード(ICカード)、クレジットカード、デビットカード、スマートカード、セキュリティカード、IDバッジ、またはコンピュータであり得る。
【0060】
本発明の他の特徴は、本発明方法の工程を1つ以上実行させるコンピュータ実行可能命令を有するコンピュータ読み出し可能媒体と共に提供されるデバイスと、本発明方法の工程を1つ以上実行する集積回路と、本発明方法の工程を1つ以上実行するコンピュータチップとを含む。
【0061】
本発明の利点およびさらなる特徴が、以下の図面と共に、本発明の好ましい実施形態の詳細な説明から明らかである。図面において、同一の参照符号は、同一の要素を指す。
【0062】
(VI.好適な実施形態の詳細な説明)
予備的な問題として、当業者であれば、本発明のデバイス、システム、および方法についての以下の詳細な説明を考慮することによって、本発明は、幅広く実行し、適用されることが可能であることを容易に理解する。本発明の実体または範囲から逸脱することなく、本明細書中に記載されている以外の多くの本発明の実施形態および適応例、ならびに、多くの変形例、改変例、および均等な構成は、本発明、および以下の本発明の詳細な説明によって、明らかであるか、または、合理的に示唆される。さらに、当業者であれば、いくつかの例において様々なプロセスの工程が、好ましい流れまたは時間的な順序で実行されるように示され、説明されているが、このようなプロセスの工程は、必ずしもこのような特定の流れまたは順序で実行されるように限定されないことを理解し、正当に評価する。むしろ、多くの例において、本明細書中で説明されるプロセスの工程は、様々な、異なる流れおよび順序で実行され得るが、依然として、本発明の範囲内に含まれる。従って、本発明は、本明細書中で、好適な実施形態に関して、詳細に説明されるが、この詳細な説明は、本発明の実証および例示に過ぎず、本発明の完全、且つ実施を可能するような開示を提供するために行われるに過ぎないことが理解されるべきである。本明細書中で述べられる詳細な説明は、本発明を限定するか、あるいは、本発明の任意の他の実施形態、適応例、変形例、改変例および均等な構成を除外するように意図されていないし、そのように解釈されるべきではない。本発明は、添付の特許請求の範囲およびその均等物によってのみ限定される。
【0063】
(A.本発明の概要)
概念的に、本発明は、図1に最も良好に示されている。ここで、送信側120からのメッセージを含むEC110は、受信側130により受信される。本発明によると、デバイス140は、送信側120の検証データを表す入力150を受信し、デバイス140の現在の検証ステータスを識別し、識別された検証ステータス(VS)160をEC110とともに受信側130に通信する機能を行う、デバイス140の検証素子を備える。入力150によって表される検証データは、機密またはバイオメトリック値を含む。
【0064】
以下に詳細に説明する、本発明の好ましい実施形態において、検証ステータス160は、好ましくは、送信側120の予め格納されたデータを維持し、予め格納されたデータを入力された検証データと比較することによって、デバイス内で識別される。従って、予め格納されたデータも、機密またはバイオメトリック値を含む。
【0065】
好ましい実施形態において、デバイス140は、また、複数の予め定義された検証ステータスを含む。検証ステータスの各々は、検証データと予め格納されたデータとの間の相関関係を表す。しかし、検証ステータスのうち、検証データまたは予め格納されたデータを実際に示すものはない。従って、送信側120と受信側130との間に「共有の機密」が存在する必要はない。デバイス140は、所定の検証ステータスのうちの1つが、現在の検証ステータス160であることを、検証データと予め格納されたデータとの比較に基づいて識別し、デバイス140は、識別された検証ステータスのインジケータをデバイス140から出力させ、その後受信側130に送信することによって、識別された検証ステータス160を受信側130に通信する。インジケータは、検証ステータス160を、実際に含んでいてもよいし、含んでいなくてもよい。しかし、インジケータは、デバイス内で識別された検証ステータス160を、受信側130に示す(または、受信側130が判定することを可能にする)。
【0066】
さらにデバイス140は、好ましくは、所定の期間内に入力150が受信されなかったことを表す所定の検証ステータスを含む。デバイス140は、このような所定の期間内に入力150が受信されない場合、この検証ステータスが、現在の検証ステータス160であると識別し、適切なときに、このような識別ステータスを、EC110とともに受信側130に通信する。所定の期間には、例えば、デバイス140のリセット以後の時間、または単に所定の長さの時間が含まれ得る。さらに、電圧または適切な信号(例えば、内部電源からの電圧、外部電源からの電圧、RF信号の受信など)がデバイス140に印加されるときのみ、「オンになる」デバイス140については、所定の長さの時間には、デバイス140が実際に「オンになった」以後の時間が含まれ得る。
【0067】
可能な検証ステータスの例には、検証データと予め格納されたデータとの間の「整合」および「不整合」、(例えば、検証データおよび予め格納されたデータがバイオメトリック値を含む場合には)検証データと予め格納されたデータとの間の整合または違いの度合いが含まれる。また、検証ステータスは、さらに、検証ステータスが、所定の期間内に受信側130に提供されたか否かをさらに表し得る。所定の期間には、例えば、最後に検証が成功した検証データと予め格納されたデータとの比較以後の時間、検証データを表す入力150の最後の受信以後の時間、または、上述したように、単に所定の長さの時間が含まれる。
【0068】
受信側130は、好ましくは、検証ステータス160に基づいて、EC110に伴うリスクのレベルを判定する能力を有する。この判定されたEC110に伴うリスクのレベルによって、受信側130は、EC110のメッセージを評価することがより可能になる。受信側130は、好ましくは、デバイス140から送信されるインジケータを受信するインターフェースと、受信したインジケータに基づいて、送信側120からのEC110を評価するビジネスロジックを内蔵するロジック回路部またはソフトウェアとを含む電子装置によって表される。電子装置は、デバイス140から遠隔に位置し得るが、例えば、電子通信ネットワーク(例えば、インターネット、イントラネット、無線ネットワークなど)を介して、デバイス140と電子通信できる範囲内に配置される。
【0069】
送信側120および受信側130がインタラクトする状況に依存して、メッセージは、明示的であってもよいし、暗黙的であってもよいことが理解されるべきである。明示的である場合、メッセージの内容は、予め規定される。例えば、受信側130による、デバイス140の検証ステータスのインジケータを受信する実際の行動は、それ自体が、受信側120と受信側130との間でメッセージが同意されたことを表し得る。このような場合、メッセージを含むEC110が送られる必要はない。さらに、EC110が、実際に、送信側120から受信側130に送信される場合、EC110の一部または全ては、図1に示すようにデバイス140から分離しているのではなく、デバイス140から、構成されて送られる。
【0070】
(B.本発明の好適な実施形態)
(1.第1の好適な実施形態(基本モデル))
本発明の第1の好適な実施形態200が図2aに示される。ここで、送信側220からのメッセージを含むEC210は、電子装置230によって表される受信側により受信され、デバイス240は、検証データ(VD)250を表す入力をデバイスインターフェース252にて受信する。デバイス240は、デバイス240のメモリ254内に予め格納された送信側220のデータ(PD)270を維持する検証素子をその中に備える。この検証データ250および予め格納されたデータ270は、機密またはバイオメトリック値を表す。
【0071】
検証素子は、検証データ250と予め格納されたデータ270との比較に基づいて、デバイス240の現在の検証ステータスを256にて識別する。信号(S)280を受信すると、インジケータ260をデバイス240から出力させ、その後、EC210とともに受信側に送信することによって、デバイス240の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。信号280は、デバイス240に送られ、インジケータ260を出力するようにデバイス240をトリガする。信号280は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側220によって、電子装置230または他の装置(図示せず)によって生成される。デバイスのインターフェース252は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側220から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0072】
また、デバイス240は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ250と予め格納されたデータ270との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス240からインジケータ260が出力されたか否かをさらに表す。セットは、デバイス240の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ250を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。検証データ250を表す入力が、デバイス240がリセットされてから受信された場合にのみ、デバイス240から出力されたインジケータ260は、検証データ250と予め格納されたデータ270との比較に基づく。検証データを表す入力が受信されない場合、インジケータ260は、デバイス240のリセット後から、検証データ250を表す入力が無いことを示す。いずれの場合においても、インジケータ260は、EC210とともに送信され、これによって、この受信側は、インジケータ260をEC210に関係するとして識別することができる。電子装置230は、デバイス240からインジケータ260を受信することができるインターフェース(図示せず)を備える。電子装置230は、インジケータ260に基づいてデバイスの検証ステータスを決定するため、およびデバイス240の検証ステータスに基づいて送信側220から受信されたEC210を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。
【0073】
検証データ250および予め格納されたデータ270が機密を含む場合、検証ステータスの所定のセットは、少なくとも4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスのリセット後から、検証データ250が無いことを表す第1の検証ステータス、検証データ250と予め格納されたデータ270との間の整合を表し、および整合してから、デバイス240から他のインジケータ260が出力されないことをさらに表す第2の検証ステータス、検証データ250と予め格納されたデータ270との間の不整合を表す第3の検証ステータス、ならびに検証データ250と予め格納されたデータ270との間の整合を表し、および整合してからのインジケータ260の出力をさらに表す第4の検証ステータスである。デバイス240は、好ましくは、メモリ274内に格納され、デバイス240によって識別された現在の検証ステータスを表す、4つのバイナリ数のうち1つを含む識別マーカ(「IM」)272を含む。4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、デバイス240から出力されたインジケータ260は、好ましくは、値とデバイス240の所定の検証ステータスとの対応が、受信側にとって以前から既知である状態で、識別マーカ272の値を含む。いずれの検証ステータスも、実際には、検証データ250または予め格納されたデータ270を示さない。従って、送信側220と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0074】
あるいは、検証データ250および予め格納されたデータ270がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス240のリセット後から、検証データ250を表す入力が無いことを表す検証ステータスと共に、検証データ250と予め格納されたデータ270との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ250と予め格納されたデータ270とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ250を表す入力が最後に受信されてから、インジケータ260がデバイス240から出力されたか否かをさらに表す。デバイス240は、好ましくは、デバイス240によって現在の検証ステータスとして識別された検証ステータスを表す値を格納する識別マーカ272を含む。さらに、デバイス240から出力されるインジケータ260は、好ましくは、このような値とデバイスの所定の検証ステータスとの間の対応が、受信側によって予め知られている、識別マーカ272の値を含む。また、検証データ250または予め格納されたデータ270のいずれかを実際に示す検証データはない。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側220の存在があるのではないかと推論し得る。
【0075】
図2aの第1の好適な実施形態200に基づいた変形が図2bに示される。この変形は、I/Oサポートエレメント262を備え、このI/Oサポートエレメントから、検証データ250を表す入力がデバイスインターフェース252にて受信される。I/Oサポートエレメント262は、送信側からの入力が受信されるユーザインターフェース258、ならびに検証データ250を表す入力をデバイス240に通信するI/Oインターフェース259を備える。さらに、これの別の変形が図2cに示される。ここで、I/Oサポートエレメント262は、デバイス240から出力されるインジケータ260を受信する。I/Oサポートエレメント262は、次に、インジケータ260を電子装置230に伝送する。
【0076】
示されるように、I/Oサポートエレメント262から伝送されるインジケータ260は、デバイス240から出力されるインジケータ260と同じである。しかしながら、I/Oサポートエレメント262から伝送されるインジケータ260は、デバイス240から出力されるインジケータ260によって示される検証ステータスを受信側が決定することが可能である限り、デバイス240から出力されるインジケータ260と異なり得る。例えば、I/Oサポートエレメント262から伝送されるインジケータは、I/Oサポートエレメント262自体が検証ステータスを識別する場合に、デバイス240のインジケータだけではなく、I/Oサポートエレメント262の検証ステータスも示し得る。さらに、I/Oサポートエレメント262から伝送されるインジケータ260は、I/Oサポートエレメント262によってデジタル的に署名される、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0077】
図2a、図2bおよび図2cにおいて、EC210は、インジケータ260から分離して伝送されることが示される。しかしながら、図2aの好適な実施形態、およびその任意の変形において、インジケータ260は、EC210の一部として伝送されることによって、同様に、EC210と関連付けられ得る。さらに、EC210は、デバイス240、関連するI/Oサポートエレメント262(図2aに図示せず)または他の装置から出力され得る。
【0078】
図2a、図2bおよび図2cのデバイスの動作の好適なモード300が図3に示され、302におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程304)で開始する。リセット中に、検証データを表す入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、306にて開始し、312にて終了する循環ループ(repeating loop)に入り、デバイスがリセットされるか、電源が切られるか、または所定の長さの時間後に不活性になるまで、このループ内で繰り返しを継続する。ループ内の第1の工程は、好適には、検証データ(VD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程308)を含む。工程308における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程314)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい値を、デバイスのメモリ内に格納された識別マーカに割り当てる(工程316)ことによって記録される。
【0079】
工程308において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程316において割り当てられた後、信号(S)がデバイスによって受信されたか否かが決定される。信号が受信されていない場合、ループは工程306を再スタートする。信号が受信される場合、工程310における決定は、肯定的であり、デバイスの現在の検証ステータスのインジケータが出力される(工程318)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータの出力に続いて、インジケータ出力が、検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程320)。工程320における決定が否定的である場合、ループは再スタートする(工程306)。工程320における決定が肯定的である場合、工程308において検証データを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程322)。ループは、その後、工程306を再スタートする。
【0080】
(2.第2の好適な実施形態(インジケータ用のデジタル署名))
本発明の第2の好適な実施形態400が図4aに示される。ここで、送信側420からのメッセージを含むEC410は、電子装置430によって表される受信側により受信され、デバイス440は、検証データ(VD)450を表す入力をデバイスインターフェース452にて受信する。デバイス440は、デバイス440のメモリ454内に予め格納された送信側420のデータ(PD)470を維持する検証素子をその中に備える。この検証データ450および予め格納されたデータ470は、機密またはバイオメトリック値を表す。
【0081】
検証素子は、検証データ450と予め格納されたデータ470との比較に基づいて、デバイス440の現在の検証ステータスを456にて識別する。信号(S)480を受信すると、インジケータ460をデバイス440から出力させ、その後、EC410とともに受信側に送信することによって、デバイス440の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。また、信号(S)480を受信すると、デバイス440のデジタル署名素子は、490で、インジケータのハッシュ値を計算し、492で、公開−秘密鍵の対のうちの秘密鍵495を用いてハッシュ値を暗号化することによって、インジケータ460用のデジタル署名(DS)482を作成する。その後、デジタル署名482は、デバイス440から出力され、インジケータ460と共に受信側に伝送される。信頼性および信用性を増大させるため、秘密鍵495は、メモリ494内に確実に保持されるので、デバイス440から決してエクスポートされず、デバイス440の外部から発見が不可能である。
【0082】
この好適な実施形態において、デジタル署名は、Federal Information Processing Standards Publication 186−2,Digital Signature Standard(US DOC/NBS、1994年1月11日)(以下、「FIPS PUB 186−2」)に記載される楕円曲線デジタル署名アルゴリズム(ECDSA)に従って、作成される。FIPS PUB 186−2は、本明細書中で参考として援用され、http://csrc.nist.gov/publications/fipsからダウンロードすることができる。従って、デジタル署名482は、ランダム番号生成器を用いて生成され、490において、素子456から受信した入力のサイズに関わらず20バイト出力を生成し、安全ハッシュアルゴリズム(「SHA−1」)を用いてハッシュ関数が実行される。SHA−1自体は、Federal Information Processing Standards Publication 180−1,Secure Hash Standard(US DOC/NBS、1995年4月17日)(以下、「FIPS PUB 180−1」)に記載されている。FIPS PUB 180−1は、本明細書中で参考として援用され、http://csrc.nist.gov/publications/fipsからダウンロードすることができる。
【0083】
信号480は、デバイス440に送られ、インジケータ460を出力するようデバイス440をトリガする。信号480は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側420によって、電子装置430または他の装置(図示せず)によって生成される。デバイスインターフェース452は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側420から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0084】
また、デバイス440は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ450と予め格納されたデータ470との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイスからインジケータ460が出力されたか否かをさらに表す。セットは、デバイス440の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ450を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス440から出力されたインジケータ460は、検証データ450と予め格納されたデータ470との比較に基づくが、これは、検証データ450を表す入力が、デバイス440がリセットされてから受信された場合にのみ当てはまる。検証データを表す入力が受信されない場合、インジケータ460は、デバイス440のリセット後から、検証データ450を表す入力が無いことを示す。いずれの場合においても、インジケータ460は、デジタル署名482とともに、従って、EC210とともに送信され、これによって、この受信側は、インジケータ460をEC410に関係するとして識別することができる。
【0085】
電子装置430は、デバイス440からインジケータ460およびデジタル署名482を受信することができるインターフェース(図示せず)を備える。電子装置430は、インジケータ460に基づいてデバイスの検証ステータスを決定するため、およびデバイス440の検証ステータスに基づいて送信側420から受信されたEC410を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。また、電子装置430は、デジタル署名482を復号して、インジケータ460の信憑性を確認する(すなわち、電子装置430は、インジケータ460に対してメッセージ認証を行う)。復号は、秘密鍵495に対応し、デジタル署名482と共に受信され得るか、あるいは、受信側にとって既知であるか、または、前もって入手された公開鍵を用いて行われる。
【0086】
検証データ450および予め格納されたデータ470が機密を含む場合、検証ステータスの所定のセットは、少なくとも4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスがリセットされてから、検証データ450が無いことを表す第1の検証ステータス、検証データ450と予め格納されたデータ470との間の整合を表し、および整合してから、デバイス440から他のインジケータ460が出力されないことをさらに表す第2の検証ステータス、検証データ450と予め格納されたデータ470との間の不整合を表す第3の検証ステータス、ならびに検証データ450と予め格納されたデータ470との間の整合を表し、および整合してからのインジケータ460の出力をさらに表す第4の検証ステータスである。デバイス440は、好ましくは、メモリ474内に格納され、デバイス440によって識別された現在の検証ステータスを表す、4つのバイナリ数のうち1つを含む識別マーカ(「IM」)472を含む。4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、デバイス440から出力されたインジケータ460は、好ましくは、値とデバイス440の所定の検証ステータスとの対応が、受信側にとって以前から既知である状態で、識別マーカ472の値を含む。いずれの検証ステータスも、実際には、検証データ450または予め格納されたデータ470を示さない。従って、送信側420と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0087】
あるいは、検証データ450および予め格納されたデータ470がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス240のリセット後から、検証データ450を表す入力が無いことを表す検証ステータスと共に、検証データ450と予め格納されたデータ470との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ450と予め格納されたデータ470とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ450を表す入力が最後に受信されてから、インジケータ460がデバイス440から出力されたか否かをさらに表す。デバイス440は、好ましくは、デバイス440によって現在の検証ステータスとして識別された検証ステータスを表す値を格納する識別マーカ472を含む。さらに、デバイス440から出力されるインジケータ460は、好ましくは、識別マーカ472の値を含み、このような値とデバイスの所定の検証ステータスとの間の対応が、受信側によって予め知られている。また、検証データ450または予め格納されたデータ470のいずれかを実際に示す検証データはない。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側420の存在があるのではないかと推論し得る。
【0088】
図4aの第2の好適な実施形態400に基づいた変形が図4bに示される。この変形は、I/Oサポートエレメント462を備え、このI/Oサポートエレメントから、検証データ450を表す入力がデバイスインターフェース452にて受信される。I/Oサポートエレメント462は、送信側420からの入力が受信されるユーザインターフェース458、ならびに検証データ450を表す入力をデバイス440に通信するI/Oインターフェース459を備える。さらに、これの別の変形が図4cに示される。ここで、I/Oサポートエレメント462は、デバイス440から出力されるインジケータ460およびデジタル署名482を受信する。I/Oサポートエレメント462は、次に、インジケータ460およびデジタル署名482を電子装置430に伝送する。
【0089】
示されるように、I/Oサポートエレメント462から伝送されるインジケータ460は、デバイス440から出力されるインジケータ460と同じである。しかしながら、I/Oサポートエレメント462から伝送されるインジケータは、デバイス440から出力されるインジケータ460によって示される検証ステータスと、それについてデジタル署名がデバイス440によって作成される、インジケータ460のビットパターンとの両方とを受信側が決定することが可能である限り、デバイス440から出力されるインジケータと異なり得る。例えば、I/Oサポートエレメント462から伝送されるインジケータは、I/Oサポートエレメント462自体が検証ステータスを識別する場合に、デバイス440のインジケータだけではなく、I/Oサポートエレメント462の検証ステータスも示し得る。さらに、I/Oサポートエレメント462から伝送されるインジケータ460は、I/Oサポートエレメント462によってデジタル的に署名される、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
さらに、図4a、図4bおよび図4cにおいて、EC410は、インジケータ460およびデジタル署名482から分離して伝送されることが示される。しかしながら、図4aの好適な実施形態、およびその任意の変形において、インジケータ460は、EC410の一部として伝送されることによって、同様に、EC410と関連付けられ得る。さらに、EC410は、デバイス440、関連するI/Oサポートエレメント462(図4aに図示せず)または他の装置から出力され得る。
【0090】
図4a、図4bおよび図4cのデバイスの動作の好適なモード500が図5に示され、502におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程504)で開始する。リセット中に、検証データを表す入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、506にて開始し、512にて終了する循環ループに入り、デバイスがリセットされるか、電源が切られるか、または所定の長さの時間後に不活性になるまで、このループ内で繰り返しを継続する。ループ内の第1の工程は、好適には、検証データ(VD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程508)を含む。工程508における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程514)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい値を、デバイスのメモリ内に格納された識別マーカに割り当てる(工程516)ことによって記録される。
【0091】
工程508において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程516において割り当てられた後、信号(S)がデバイスによって受信されたか、または受信されているところか否かが決定される。信号が受信されていない場合、ループは工程506を再スタートする。信号が受信される場合、工程510における決定は、肯定的であり、現在の検証ステータスのインジケータについてデジタル署名が作成される(工程518)。その後、インジケータおよびデジタル署名は、出力される(工程520)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータおよびデジタル署名の出力に続いて、インジケータ出力が、検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程522)。工程522における決定が否定的である場合、ループは再スタートする(工程506)。工程522における決定が肯定的である場合、工程508において検証ステータスを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程524)。ループは、その後、工程506を再スタートする。
【0092】
(3.第3の好適な実施形態(メッセージ用のデジタル署名)
本発明の第3の好適な実施形態600が図6aに示される。ここで、送信側620からのメッセージを含むEC610は、電子装置630によって表される受信側により受信され、デバイス640は、検証データ(VD)650を表す入力をデバイスインターフェース652にて受信する。デバイス640は、デバイス640のメモリ654内に予め格納された送信側620のデータ(PD)670を維持する検証素子をその中に備える。この検証データ650および予め格納されたデータ670は、機密またはバイオメトリック値を表す。
【0093】
検証素子は、検証データ650と予め格納されたデータ670との比較に基づいて、デバイス640の現在の検証ステータスを656にて識別する。信号(S)680を受信すると、インジケータ660をデバイス640から出力させ、その後、EC610とともに受信側に送信することによって、デバイス640の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。信号680は、デバイス640に送られ、インジケータ660を出力するようデバイス640をトリガする。信号680は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側620によって、電子装置630または他の装置(図示せず)によって生成される。デバイスインターフェース652は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側620から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0094】
デバイス640は、EC610のメッセージを表すデータ(MD)622をデバイスインターフェース652にて受信する。メッセージデータは、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージ(M)の任意の他の処理の結果を含み得る。デバイス640は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ622を受信すると、デジタル署名(DS)686を作成する。デジタル署名686は、メッセージデータ622用のハッシュ値を690にて計算し、公開−秘密鍵の対の秘密鍵695を用いてハッシュ値を692にて暗号化することによって、作成される。信頼性および信用度を向上させるために、秘密鍵695は、メモリ694内に安全に保持され、従って、デバイス640から決してエクスポートされず、デバイス640の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAに従って作成される。従って、デジタル署名682は、乱数発生器を用いて生成され、690におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名686は、その後、デバイス640から出力され、インジケータ660とともに受信側に伝送される。
【0095】
別の好適な実施形態において、メッセージデータ622がデバイス640によって受信される前に既にハッシュされている場合、ハッシュ関数は省略される。このような別の実施形態において、デバイス640は、任意のメッセージデータ622をハッシュしないように、または、特定の命令、信号、またはコマンドを受信する場合にはメッセージデータ622をハッシュしないように、設定される。
また、デバイス640は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ650と予め格納されたデータ670との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス640からインジケータ660が出力されたか否かをさらに表す。セットは、デバイス640の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ650を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス640から出力されたインジケータ660は、検証データ650と予め格納されたデータ670との最後の比較に基づくが、これは、検証データ650を表す入力が、デバイス640がリセットされてから受信された場合にのみ当てはまる。検証データを表す入力が受信されない場合、インジケータ660は、デバイス640のリセット後から、検証データ650を表す入力が無いことを示す。
【0096】
いずれの場合においても、インジケータ660は、デジタル署名686とともに、かつ、EC610とともに送信され、これによって、この受信側は、インジケータ660およびデジタル署名686をEC610に関係するとして識別することができる。電子装置630は、デバイス640からインジケータ660およびデジタル署名686を受信することができるインターフェース(図示せず)を備える。電子装置630は、インジケータに基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側620から受信されたEC610を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。また、電子装置630は、デジタル署名686を復号して、EC610のメッセージの信憑性を確認する。復号は、秘密鍵695に対応し、デジタル署名686と共に受信され得るか、あるいは、受信側にとって既知であるか、または、前もって入手された公開鍵を用いて行われる。当然、比較のためにハッシュ値を計算することにおいて、電子装置630は、デジタル署名がそのために作成されたメッセージデータを生成するため、メッセージに対する任意の必要な処理を行う。
【0097】
検証データ650および予め格納されたデータ670が機密を含む場合、検証ステータスの所定のセットは、少なくとも4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスがリセットされてから、検証データ650が無いことを表す第1の検証ステータス、検証データ650と予め格納されたデータ670との間の整合を表し、および整合してから、デバイス640から他のインジケータ660が出力されないことをさらに表す第2の検証ステータス、検証データ650と予め格納されたデータ670との間の不整合を表す第3の検証ステータス、ならびに検証データ650と予め格納されたデータ670との間の整合を表し、および整合してからのインジケータ660の出力をさらに表す第4の検証ステータスである。デバイス640は、好ましくは、メモリ674内に格納され、デバイス640によって識別された現在の検証ステータスを表す、4つのバイナリ数のうち1つを含む識別マーカ(「IM」)672を含む。4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、デバイス640から出力されたインジケータ660は、好ましくは、値とデバイスの所定の検証ステータスとの対応が、受信側にとって以前から既知である状態で、識別マーカ672の値を含む。いずれの検証ステータスも、実際には、検証データ650または予め格納されたデータ670を示さない。従って、送信側620と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0098】
あるいは、検証データ650および予め格納されたデータ670がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス640のリセット後から、検証データ650を表す入力が無いことを表す検証ステータスと共に、検証データ650と予め格納されたデータ670との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ650と予め格納されたデータ670とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ650を表す入力が最後に受信されてから、インジケータ660がデバイス640から出力されたか否かをさらに表す。デバイス640は、好ましくは、デバイス640によって現在の検証ステータスとして識別された検証ステータスを表す値を格納する識別マーカ672を含む。さらに、デバイス640から出力されるインジケータ660は、好ましくは、識別マーカ672の値を含み、このような値と所定の検証ステータスとの間の対応が、受信側によって予め知られている。また、検証データ650または予め格納されたデータ670のいずれかを実際に示す検証データはない。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側の存在があるのではないかと推論し得る。
【0099】
図6aの第3の好適な実施形態600に基づいた変形が図6bに示される。この変形は、I/Oサポートエレメント662を備え、このI/Oサポートエレメントから、検証データ650を表す入力およびメッセージデータ622を表す入力がデバイス640によって受信される。I/Oサポートエレメント662は、送信側620からの入力がそこから受信されるユーザインターフェース658、ならびに検証データ650を表す入力およびメッセージデータ622を表す入力をデバイス640に通信するI/Oインターフェース659を備える。メッセージデータ622がI/Oインターフェース662から来ているように示されているが、メッセージデータ622の一部または全てが、デバイス640または他の装置(図示せず)内で構成されることが可能である。さらに、これの別の変形が図6cに示される。ここで、I/Oサポートエレメント662は、デバイス640から出力されるインジケータ660およびデジタル署名686を受信する。I/Oサポートエレメント662は、次に、インジケータ660およびデジタル署名686を電子装置630に伝送する。
【0100】
示されるように、I/Oサポートエレメント662から伝送されるインジケータ660は、デバイス640から出力されるインジケータ660と同じである。しかしながら、I/Oサポートエレメント662から伝送されるインジケータは、デバイス640から出力されるインジケータ660によって示される検証ステータスを受信側が決定することが可能である限り、デバイス640から出力されるインジケータと異なり得る。例えば、I/Oサポートエレメント662から伝送されるインジケータは、I/Oサポートエレメント662自体が検証ステータスを識別する場合に、デバイス640のインジケータだけではなく、I/Oサポートエレメント662の検証ステータスも示し得る。さらに、I/Oサポートエレメント662から伝送されるインジケータ660およびデジタル署名686は、I/Oサポートエレメント662によってデジタル的に署名される、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0101】
さらに、図6a、6b、および6cにおいて、EC610は、インジケータ660およびデジタル署名686から分離して伝送されることが示される。しかしながら、図6aの好適な実施形態、およびその任意の変形において、インジケータ660およびデジタル署名686は、EC610の一部として伝送されることによって、同様に、EC610と関連付けられ得る。さらに、EC610は、デバイス640、関連するI/Oサポートエレメント662(図6aに図示せず)または他の装置から出力され得る。
【0102】
図6a、図6bおよび図6cのデバイスの動作の好適なモード700が図7に示され、702におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程704)で開始する。リセット中に、検証データを表す入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、706にて開始し、714にて終了する循環ループに入り、デバイスがリセットされるか、電源が切られるか、または所定の長さの時間後に不活性になるまで、このループ内で繰り返しを継続する。ループ内の第1の工程は、好適には、検証データ(VD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程708)を含む。工程708における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程716)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい値を、デバイスのメモリ内に格納された識別マーカに割り当てる(工程718)ことによって記録される。
【0103】
工程708において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程718において割り当てられた後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程710)を含む。工程710における決定が肯定的である場合、デバイスは、そのメッセージデータについてデジタル署名を作成する(工程720)。その後、メッセージデータについてのデジタル署名は、出力される(工程722)。
【0104】
工程710において、受信されるメッセージデータを表す入力が無い場合、またはメッセージデータについてのデジタル署名が工程522において出力された後、信号(S)がデバイスによって受信されたか、または受信されているところか否かが決定される。信号が受信されていない場合、ループは工程506を再スタートする。信号が受信される場合、工程712における決定は、肯定的であり、デバイスの現在の検証ステータスのインジケータが作成される(工程724)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータの出力に続いて、インジケータ出力が、検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程726)。工程726における決定が否定的である場合、ループは再スタートする(工程706)。工程726における決定が肯定的である場合、工程708において検証ステータスを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程728)。ループは、その後、工程706を再スタートする。
【0105】
(4.第4の好適な実施形態(予め格納されたメッセージ用のデジタル署名)
本発明の第4の好適な実施形態800が図8aに示される。ここで、デバイス840は、デバイス840のメモリ内に維持される所定のメッセージを表すメッセージデータ(MD)822を含む。さらに、所定のメッセージのコンテンツは、受信側にとって前もって公知であり、メッセージは、メッセージデータ822用のデジタル署名886を受信しているときに、受信側によって明示的に受信される。しかし、受信側が所定のメッセージの知識を有さない場合、デバイス840は、好ましくは、図8aにおいて点線で示すように、受信側に通信するためのメッセージデータ822をエクスポートするオプションを含む。
【0106】
デバイス840は、デジタル署名素子を含む。このデジタル署名素子は、デバイスインターフェース852にて信号(S1)898を受信すると、890で、インジケータのハッシュ値を計算し、892で、公開−秘密鍵の対のうちの秘密鍵895を用いてハッシュ値を暗号化することによって、メッセージデータ822用のデジタル署名(DS)886を作成し、その後、受信側に伝送するために、デジタル署名886を出力する。信頼性および信用性を増大させるため、秘密鍵895は、メモリ894内に確実に保持されるので、デバイス840から決してエクスポートされず、デバイス840の外部からの発見が不可能である。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAに従って作成される。従って、デジタル署名882は、乱数発生器を用いて生成され、890におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。
信号898は、例えば、デジタル署名886を受信側に通信するため、送信側820によって生成されるリクエスト、またはコマンドを表すか、あるいは、信号898は、単に、デバイス840による検証データ850を表す入力の受信側820からの受信を含む。この点に関して、デバイス840は、検証データ(VD)850を表す入力をデバイスインターフェース852にて受信する。デバイス840は、デバイス840のメモリ854内に予め格納された送信側820のデータ(PD)870を維持する検証素子をその中に備える。この検証データ850および予め格納されたデータ870は、機密またはバイオメトリック値を表す。デバイス840の検証素子は、検証データ850と予め格納されたデータ870との比較に基づいて、デバイス840の現在の検証ステータスを856にて識別する。
【0107】
信号(S2)880を受信すると、インジケータ(IVS)860をデバイス840から出力させ、その後、デジタル署名886とともに受信側に送信することによって、デバイス840の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。信号880は、デバイス840に送られ、インジケータ860を出力するようデバイス840をトリガする。信号880は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側820によって、電子装置830または他の装置(図示せず)によって生成される。あるいは、信号880は、検証データ850自体を表す入力の受信を含み得る。従って、信号(S1)898および信号(S2)880が同じ信号になることは不可能である。
【0108】
デバイスのインターフェース852は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側820から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0109】
デバイス840は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ850と予め格納されたデータ870との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データ850を表す入力が最後に受信されてからデバイス840からインジケータ860が出力されたか否かをさらに表す。また、セットは、デバイス840の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ850を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス840から出力されたインジケータ860は、検証データ850と予め格納されたデータ870との最後の比較に基づくが、これは、検証データ850を表す入力が、デバイス840がリセットされてから受信された場合にのみ当てはまる。検証データを表す入力が受信されない場合、インジケータ860は、デバイス840のリセット後から、検証データ850を表す入力が無いことを示す。
【0110】
いずれの場合においても、インジケータ860は、デジタル署名886とともに送信され、これによって、この受信側は、インジケータ860をデジタル署名886に関係するとして識別することができる。電子装置830は、インジケータ860およびデジタル署名886を受信することができるインターフェース(図示せず)を備える。また、電子装置830は、インジケータ860に基づいてデバイス840の検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側820から受信された暗黙的(または明示的)メッセージを評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。また、電子装置830は、デジタル署名886を復号して、メッセージの信憑性を確認する。復号は、秘密鍵895に対応し、デジタル署名886と共に受信され得るか、あるいは、受信側にとって既知であるか、または、前もって入手された公開鍵を用いて行われる。
【0111】
検証データ850および予め格納されたデータ870が機密を含む場合、検証ステータスの所定のセットは、少なくとも4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスがリセットされてから、検証データ850が無いことを表す第1の検証ステータス、検証データ850と予め格納されたデータ870との間の整合を表し、および整合してから、デバイス840から他のインジケータ860が出力されないことをさらに表す第2の検証ステータス、検証データ850と予め格納されたデータ870との間の不整合を表す第3の検証ステータス、ならびに検証データ850と予め格納されたデータ870との間の整合を表し、および整合してからのインジケータ860の出力をさらに表す第4の検証ステータスである。デバイス840は、好ましくは、メモリ874内に格納され、デバイス840によって識別された現在の検証ステータスを表す、4つのバイナリ数のうち1つを含む識別マーカ(「IM」)872を含む。4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、デバイス840から出力されたインジケータ860は、好ましくは、値とデバイスの所定の検証ステータスとの対応が、受信側にとって以前から既知である状態で、識別マーカ872の値を含む。いずれの検証ステータスも、実際には、検証データ850または予め格納されたデータ870を示さない。従って、送信側820と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0112】
あるいは、検証データ850および予め格納されたデータ870がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス840のリセット後から、検証データ850を表す入力が無いことを表す検証ステータスと共に、検証データ850と予め格納されたデータ870との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ850と予め格納されたデータ870とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ850を表す入力が最後に受信されてから、インジケータ860がデバイス840から出力されたか否かをさらに表す。デバイス840は、好ましくは、デバイス840によって現在の検証ステータスとして識別された検証ステータスを表す値を格納する識別マーカ872を含む。さらに、デバイス840から出力されるインジケータ860は、好ましくは、識別マーカ872の値を含み、このような値と所定の検証ステータスとの間の対応が、受信側によって予め知られている。また、検証データ850または予め格納されたデータ870のいずれかを実際に示す検証データはない。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側の存在があるのではないかと推論し得る。
【0113】
図8aの第4の好適な実施形態800に基づいた変形が図8bに示される。この変形は、I/Oサポートエレメント862を備え、このサポートエレメントから、検証データ850を表す入力がデバイス840によって受信される。I/Oサポートエレメント862は、送信側820からの入力がそこから受信されるユーザインターフェース858、ならびに検証データ850を表す入力をデバイス840に通信するI/Oインターフェース859を備える。さらに、これの別の変形が図8cに示される。ここで、I/Oサポートエレメント862は、デバイス840から出力されるインジケータ860およびデジタル署名886(ならびに、必要に応じてメッセージデータ822)を受信する。I/Oサポートエレメント862は、次に、インジケータ860およびデジタル署名886(ならびに、必要に応じてメッセージデータ822)を電子装置830に伝送する。
【0114】
示されるように、I/Oサポートエレメント862から伝送されるインジケータ860およびデジタル署名886は、デバイス840から出力されるインジケータ860およびデジタル署名886と同じである。しかしながら、I/Oサポートエレメント862から伝送されるインジケータは、デバイス840から出力されるインジケータ860によって示される検証ステータスを受信側が決定することが可能である限り、デバイス840から出力されるインジケータと異なり得る。例えば、I/Oサポートエレメント862から伝送されるインジケータは、I/Oサポートエレメント862自体が検証ステータスを識別する場合に、デバイス840のインジケータだけではなく、I/Oサポートエレメント862の検証ステータスも示し得る。さらに、I/Oサポートエレメント862から伝送されるインジケータ860およびデジタル署名886は、I/Oサポートエレメント862によってデジタル的に署名される、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0115】
図8aの第4の好適な実施形態800に基づくさらなる変形例が、図8dに示される。この変形例において、デバイス840に格納されているメッセージデータ822は、所定のメッセージの計算されたハッシュ値である。この場合、デバイス840は、892においてメッセージデータ822を直接暗号化することによって所定のメッセージ用のデジタル署名886を生成し、図8aにおけるハッシュ値を計算する素子890は、図8dのデバイスからは省略されている。この例においては、受信側にとって、デバイス840内に格納されたメッセージデータ822に対応する所定のメッセージが既知であると仮定される。従って、デバイス840から受信側にメッセージ(または、メッセージデータ822)を通信する必要はない。
【0116】
図8a、図8b、図8cおよび図8dのデバイスの動作の好適なモード900が図9に示され、902におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程904)で開始する。リセット中に、検証データを表す入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、906にて開始し、914にて終了する循環ループに入り、デバイスがリセットされるか、電源が切られるか、または所定の長さの時間後に不活性になるまで、このループ内で繰り返しを継続する。ループ内の第1の工程は、好適には、検証データ(VD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程908)を含む。工程908における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程916)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい値を、デバイスのメモリ内に格納された識別マーカに割り当てる(工程918)ことによって記録される。
【0117】
工程908において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程918において割り当てられた後、ループ内の次の工程は、好適には、任意の信号S1がデバイスによって受信されるか否かの決定(工程910)を含む。工程910における決定が肯定的である場合、デバイスは、その所定のメッセージデータについてデジタル署名を作成する(または、適用できる場合には、生成する)(工程920)。その後、所定のメッセージデータについてのデジタル署名は、出力される(工程922)。
【0118】
工程910において、受信される信号S1が無い場合、または所定のメッセージデータについてのデジタル署名が工程922において出力された後、信号S2がデバイスによって受信されたか、または受信されているところか否かが決定される。信号S2が受信されていない場合、ループは工程906を再スタートする。信号S2が受信される場合、工程912における決定は、肯定的であり、デバイスの現在の検証ステータスのインジケータが作成される(工程924)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータの出力に続いて、インジケータ出力が、検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程926)。工程926における決定が否定的である場合、ループは再スタートする(工程906)。工程926における決定が肯定的である場合、工程908において検証ステータスを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程928)。ループは、その後、工程906を再スタートする。
【0119】
(5.第5の好適な実施形態(機密およびバイオメトリック検証データ)
本発明の第5の好適な実施形態1000が図10aに示される。ここで、送信側1020からのメッセージを含むEC1010は、電子装置1030によって表される受信側により受信され、デバイス1040は、機密についての検証データ(SVD)1051を表す入力およびバイオメトリック特性(BVD)1053を表す入力をデバイスインターフェース1052にて受信する。デバイス1040は、デバイス1040のメモリ内に予め格納された送信側1020のデータ(PD)1270を維持する検証素子を備える。予め格納されたデータ1042は、メモリ1041内に位置し、機密の値を含み、予め格納されたデータ(BPD)1044は、メモリ1043に位置し、バイオメトリック特性の値を含む。
【0120】
検証素子は、検証データ1051、1053と予め格納されたデータ1042、1044との比較に基づいて、デバイス1040の現在の検証ステータスを1056にて識別する。信号(S)1080を受信すると、インジケータ1060をデバイス1040から出力させ、その後、EC1010とともに受信側に送信することによって、デバイス1040の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。信号1080は、デバイス1040に送られ、インジケータ1060を出力するようにデバイス1040をトリガする。信号1080は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側1020によって、電子装置1030または他の装置(図示せず)によって生成される。デバイスインターフェース1052は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1020から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0121】
デバイス1040は、EC1010のメッセージを表すデータ(MD)1022をデバイスインターフェース1052にて受信する。メッセージデータ1022は、メッセージ(M)それ自体、そのメッセージダイジェスト、またはメッセージの任意の他の処理の結果を含み得る。デバイス1040は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1022を受信すると、メッセージデータ1022用のハッシュ値を1090にて計算し、公開−秘密鍵の対の秘密鍵1095を用いてハッシュ値を暗号化することによって、メッセージデータ1022用のデジタル署名(DS)1086を作成する。信頼性および信用度を向上させるために、秘密鍵1095は、メモリ1094内に安全に保持され、従って、デバイス1040から決してエクスポートされず、デバイス11040の外部から発見することができない。その後、デジタル署名1086は、デバイス1040から出力され、インジケータ1060とともに受信側に伝送される。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAに従って作成される。従って、デジタル署名1082は、乱数発生器を用いて生成され、1090におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。
【0122】
別の好適な実施形態において、メッセージデータ1022がデバイス1040によって受信される前に既にハッシュされている場合、ハッシュ関数は省略される。このような別の実施形態において、デバイス1040は、任意のメッセージデータ1022をハッシュしないように、または、特定の命令、信号、またはコマンドを受信する場合にはメッセージデータ1022をハッシュしないように、設定される。
【0123】
また、デバイス1040は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ1051、1053と予め格納されたデータ1042、1043との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス1040からインジケータ1060が出力されたか否かをさらに表す。セットは、デバイス1040の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ1050を表す入力が無いことを表すさらなる所定の検証ステータスと、デバイス1040の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ1053を表す入力が無いことを表す所定の検証ステータスとをさらに含む。デバイス1040から出力されたインジケータ1060は、検証データ1051の各々(受信される場合)と予め格納されたデータ1042との最後の比較および検証データ1053の各々(受信される場合)と予め格納されたデータ1044との最後の比較に基づく。検証データが受信されない場合、インジケータ1060は、デバイス1040のリセット後から、検証データ1051、1053を表す入力が無いことを示す。
【0124】
いずれの場合においても、インジケータ1060は、デジタル署名1086とともに、かつ、EC1010とともに送信され、これによって、この受信側は、インジケータ1060およびデジタル署名1086をEC1010に関係するとして識別することができる。電子装置1030は、インジケータ1060およびデジタル署名1086を受信することができるインターフェース(図示せず)を備える。電子装置1030は、インジケータ1060に基づいてデバイス1040の検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1020から受信されたEC1010を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。また、電子装置1030は、デジタル署名1086を復号して、EC1010のメッセージの信憑性を確認する。復号は、秘密鍵1095に対応し、デジタル署名1086と共に受信され得るか、あるいは、受信側にとって既知であるか、または、前もって入手された公開鍵を用いて行われる。当然、比較のためにハッシュ値を計算することにおいて、電子装置1030は、デジタル署名が作成されたメッセージダイジェストを生成するため、メッセージに対する任意の必要な処理を行う。
【0125】
検証データ1051および予め格納されたデータ1042が機密を表し、検証データ1051と予め格納されたデータ1042との比較が、好ましくは、起こり得る4つのアウトカムから1つの結果を生成する。これらは、デバイス1040のリセット後から、検証データ1050が無いことを表す第1のアウトカム、検証データ1051と予め格納されたデータ1042との間の整合、および整合してから、デバイス1040から出力されたインジケータ1060が他に無いことをさらに表す第2のアウトカム、検証データ1051と予め格納されたデータ1042との間の不整合を表す第3のアウトカム、ならびに検証データ1051と予め格納されたデータ1042との間の整合を表し、および整合してからのインジケータ1060の出力をさらに表す第4のアウトカムを含む。
【0126】
第1の検証データ1053および予め格納されたデータ1044がバイオメトリック特性を表し、予め格納されたデータ1044とともに受信された検証データ1053との比較は、好適には、所定の数の起こり得るアウトカムから1つの結果を生成する。各アウトカムは、デバイス1040のリセット後から、検証データ1053の入力が無いことを表す検証ステータスと共に、検証データ1053と予め格納されたデータ1044との間の整合の、許容される可能なパーセンテージ(または差異の程度)を表す。例えば、検証データ1053と予め格納されたデータ1044とのパーセンテージの整合を含む所定のアウトカムは、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表すアウトカムの各1つもまた、検証データ1053を表す入力が最後に受信されてから、インジケータ1060がデバイス1040から出力されたか否かをさらに表す。
【0127】
デバイス1040は、好ましくは、メモリ1074内に格納され、デバイスの所定の検証ステータスのセットのうちの1つを含む識別マーカ(「IM」)1072を含む。所定の検証ステータスのセットは、好適には、検証データ1051と予め格納されたデータ1042との比較からのアウトカムの可能なすべての組み合わせ、ならびに、予め格納されたデータ1044との検証データ1053の比較からのアウトカムの可能なすべての組み合わせを含む。さらに、デバイス1040から出力されるインジケータ1060は、好ましくは、デバイス1040の識別マーカの値と所定の検証ステータスとの対応が受信側にとって既知である状態で、識別マーカ1072の値を含む。検証データ1051、1053または予め格納されたデータ1042、1044のいずれかを示す検証ステータスは無い。従って、送信側1020と受信側との間で「共有機密」は必要とされず、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスから、機密についての正確な認識、およびバイオメトリック値の正確な入力の両方を推論し得る。
【0128】
図10aの第5の好適な実施形態1000に基づいた変形が図10bに示される。この変形は、I/Oサポートエレメント1062を備え、このI/Oサポートエレメントから、検証データ1051、1053を表す入力、およびメッセージデータ1022を表す入力がデバイス1040によって受信される。I/Oサポートエレメント1062は、送信側1020からの入力が受信されるユーザインターフェース1058、ならびに検証データ1051、1053を表す入力をデバイス1040に通信するI/Oインターフェース1059を備える。メッセージデータ1022は、I/Oサポートエレメント1062から入来することが示されるが、いくつかまたはすべてのメッセージデータ1022を、デバイス1040または装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図10cに示される。ここで、I/Oサポートエレメント1062は、デバイス1040から出力されるインジケータ1060およびデジタル署名1086を受信する。I/Oサポートエレメント1062は、次に、インジケータ1060およびデジタル署名1086を電子装置1030に伝送する。
【0129】
示されるように、I/Oサポートエレメント1062から伝送されるインジケータ1060およびデジタル署名1086は、デバイス1040から出力されるインジケータ1060およびデジタル署名1086と同じである。しかしながら、I/Oサポートエレメント1062から伝送されるインジケータは、デバイス1040から出力されるインジケータ1060によって示される検証ステータスを受信側が決定することができる限りは、デバイス1040から出力されるインジケータとは異なり得る。例えば、I/Oサポートエレメント1062から伝送されるインジケータは、デバイス1040の検証ステータスだけでなく、I/Oサポートエレメント1062それ自体が検証ステータスを識別する場合、I/Oサポートエレメント1062の検証ステータスも示し得る。さらに、I/Oサポートエレメント1062から伝送されるインジケータ1060およびデジタル署名1086は、I/Oサポートエレメント1062によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0130】
さらに、図10a、図10bおよび図10cにおいて、EC1010は、インジケータ1060およびデジタル署名1086から分離して伝送されることが示される。しかしながら、図10aの好適な実施形態、およびその任意の変形において、インジケータ1060およびデジタル署名1086は、EC1010の一部として伝送されることによって、同様に、EC1010と関連付けられ得る。さらに、EC1010は、デバイス1040、関連するI/Oサポートエレメント1062(図10aに図示せず)または他の装置から出力され得る。
【0131】
図10a、図10bおよび図10cのデバイスの動作の好適なモード1100が図11に示され、1102におけるデバイスの時間切れまたは電源投入に続くデバイスのリセット(工程1102)で開始する。リセット中に、機密またはバイオメトリック特性のいずれかの検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1106にて開始し、かつ1116にて終了する循環ループに入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0132】
依然として図11を参照して、ループ内の第1の工程は、好適には、機密についての検証データ(SVD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程1108)を含む。工程1108における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、機密についての検証データ(SVD)とデバイスのメモリ内に予め格納された機密についてのデータ(SPD)とを比較することによって識別される(工程1118)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しくなるように、デバイスのメモリ内に格納された識別マーカが割り当てられる(工程1120)ことによって記録される。
【0133】
工程1108において、受信される機密についての検証データを表す入力が無い場合、または識別マーカの値が工程1120において記録された後、ループ内の次の工程は、好適には、バイオメトリック特性についての検証データ(BVD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1110)を含む。工程1110における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、バイオメトリック特性についての検証データ(BVD)と、デバイスのメモリ内に予め格納されたバイオメトリック特性についてのデータ(BPD)とを比較することによって識別される(工程1122)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しくなるように、デバイスのメモリ内に格納された識別マーカを割り当てることによって記録される(工程1124)。
【0134】
工程1110にて受信されるバイオメトリック特性についての検証データを表す入力が無い場合、または識別マーカの値が工程1124にて記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1112)を含む。工程1112における決定が肯定的である場合、デバイスは、メッセージデータのためのデジタル署名を作成する(工程1126)。メッセージデータのためのデジタル署名は、その後、デバイスから出力される(工程1128)。
【0135】
工程1112において、受信されるメッセージデータを表す入力が無い場合、またはメッセージデータについてのデジタル署名が工程1128において出力された後、信号(S)がデバイスによって受信されたか、または受信されているところか否かが決定される(工程1114)。信号が受信されていない場合、ループは工程1106を再スタートする。信号が受信される場合、工程1114における決定は、肯定的であり、デバイスの現在の検証ステータスのインジケータが出力される(工程1130)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータの出力に続いて、インジケータ出力が、機密についての検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程1132)。
【0136】
工程1132における決定が肯定的である場合、工程1108において機密についての検証データを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程1136)。工程1132における決定が否定的である場合、または識別マーカの値が工程1136にて新たに記録された後、インジケータ出力が、バイオメトリック特性についての検証データを表す入力の受信後から出力された最初のインジケータ出力であるか否かという決定がなされる(工程1134)。
【0137】
工程1134における決定が肯定的である場合、検証ステータスは、バイオメトリック特性についての検証データを表す入力が受信されてからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1138)。工程1134における決定が否定的である場合、または識別マーカの値が工程1138にて新たに記録された後、ループは再スタートする(工程1106)。
【0138】
(6.第6の好適な実施形態(インジケータとしてのデジタル署名))
本発明の第6の好適な実施形態1200が図12aに示される。ここで、送信側1220からのメッセージを含むEC1210は、電子装置1230によって表される受信側により受信され、デバイス1240は、検証データ(VD)1250を表す入力をデバイスインターフェース1252にて受信する。デバイスインターフェース1252は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1220から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0139】
デバイス1240は、メモリ1254内に予め格納された送信側1220のデータ(PD)1270を維持する検証素子を備える。この検証データ1250および予め格納されたデータ1270は、機密またはバイオメトリック値を表す。検証素子は、検証データ1250と予め格納されたデータ1270との比較に基づいて、デバイス1240の現在の検証ステータスを1256にて識別し、デバイス1240の最後に識別された(すなわち「現在の」)検証ステータスを、メモリ1274内に格納された識別マーカ(IM)1272に値を割り当てることによって記録する。
【0140】
デバイス1240は、EC1210のメッセージを表すデータ(MD)1222をデバイスインターフェース1252にて受信する。メッセージデータは、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージ(M)の任意の他の処理の結果を含み得る。デバイス1240は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1222を受信すると、識別マーカ1272のための値を取得し、メッセージデータを、この値の関数として(本明細書中で用いられる場合「関数」は、xの特定の値に対する可能な関数f(x)を含み得る)1277にて改変する。
【0141】
デジタル署名素子は、その後、1290にてハッシュ値を計算することによって、および、その後、公開−秘密鍵の対の秘密鍵1295を用いてハッシュ値を1292にて暗号化することによって、改変されたメッセージデータ(MD’)のためのデジタル署名1299を作成する。信頼性および信用度を向上させるために、秘密鍵1295は、メモリ1294内に安全に保持され、従って、デバイス1240から決してエクスポートされず、デバイス1240の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAにより作成される。従って、デジタル署名1299は、乱数発生器を用いて生成され、1290におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名1299は、その後、デバイス1240の検証ステータスのインジケータ1260として受信側に伝送するためのデバイス1240から出力される。デバイス1240から出力されたデジタル署名1299は、実際、改変プロセスの結果として、検証ステータス(IVS)1260のインジケータを含む。インジケータ1260は、その後、EC1210と関連して受信側に伝送される。これによって、この受信側は、インジケータ1260をEC1210に関係するとして識別することができる。
【0142】
デバイス1240は、各々が検証データ1250と予め格納されたデータ1270との間の各々の関係の一致(relational correspondence)を表す、所定の検証ステータスのセットを含む。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス1240からインジケータ1260が出力されたか否かをさらに表す。セットは、デバイス1240の時間切れの後でのリセットから、または電源投入後から、検証データ1250を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス1240から出力されたインジケータ1260は、検証データ1250と予め格納されたデータ1270との比較に基づくが、これは、検証データ1250を表す入力が、デバイス1240がリセットされてから受信された場合にのみ当てはまる。検証データを表す入力が受信されない場合、インジケータ1260は、デバイス1240がリセットされてから、検証データ1250を表す入力が無いことを示す。
【0143】
電子装置1230は、インジケータ1260を受信することができるインターフェース(図示せず)を備える。電子装置1230は、インジケータ1260に基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1220から受信されたEC1210を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。この点に関して、電子装置1230は、公開鍵を有するデジタル署名を復号化する。この公開鍵は、秘密鍵1295に対応し、デジタル署名と関連して受信されるか、あるいは受信側によって予め知られるかまたは取得され得る。受信側は、さらに、デバイスの所定の検証ステータスの各1つについてのメッセージを、計算されたハッシュ値が復号化されたデジタル署名のハッシュ値と等しくなるまで改変する(およびその後、このメッセージのハッシュ値を計算する)。比較のためにハッシュ値を計算する際に、電子装置1230は、デバイス1240内で改変されたメッセージデータを生成するために、メッセージに対して任意の必要な処理をさらに実行する。受信側によって計算されたハッシュ値が、復号化されたデジタル署名のハッシュ値と等しい場合、受信側は、デバイス1240の現在の検証ステータスを決定する。この決定は、さらに、EC1210のメッセージの信憑性を確認する。さらに、リソースの消費を最小化するために、好適な実施形態1200のこの好適なデバイス1240が用いられる場合、デバイスの検証ステータスのセットは、限定された数の検証ステータスのみを含むように予め定義される。
検証データ1250および予め格納されたデータ1270が機密を含む場合、検証ステータスの所定のセットは、4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスがリセットされてから、検証データ1250が無いことを表す第1の検証ステータス、検証データ1250と予め格納されたデータ1270との間の整合を表し、および整合してから、デバイス1240から他のインジケータ1260が出力されないことをさらに表す第2の検証ステータス、検証データ1250と予め格納されたデータ1270との間の不整合を表す第3の検証ステータス、ならびに検証データ1250と予め格納されたデータ1270との間の整合を表し、および整合してからのインジケータ1260の出力をさらに表す第4の検証ステータスである。メモリ1274に格納される識別マーカ1272は、好適には、デバイス1240によって識別される現在の検証ステータスを表す4つのバイナリ数のうちの1つを含む。当然、識別マーカ1272の値とデバイスの所定の検証ステータスとの間の一致は、受信側によって予め知られる。
【0144】
4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、1277におけるメッセージデータ1222の改変は、好適には、識別マーカ1272の値をメッセージデータ内に埋め込むことを含み、これは、メッセージデータ内あるいはメッセージの開始部分または終了部分の所定の位置にて値を挿入することを含む。さらに、理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、識別マーカ1272が「00」と等しい場合等に、メッセージデータを改変しないことを含み得る。しかしながら、この場合でさえ、デジタル署名1299は、デバイスの検証ステータスを、デバイスがリセットされてから、受信された検証データ1250が無いことを表すこととして識別する。さらに、改変されたメッセージのためのデジタル署名1299は、検証データ1250も予め格納されたデータ1270も示さないことが理解される。従って、好適な実施形態1200における送信側と受信側との間で「共有機密(shared secret)」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0145】
あるいは、検証データ1250および予め格納されたデータ1270がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス1240のリセット後から、検証データ1250を表す入力が無いことを表す検証ステータスと共に、検証データ1250と予め格納されたデータ1270との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ1250と予め格納されたデータ1270とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを20%刻みで含む。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ1250を表す入力が最後に受信されてから、インジケータ1260がデバイス1240から出力されたか否かをさらに表す。メモリ1274に格納された識別マーカ1272は、好適には、パーセンテージの整合に加えて、デバイス1240によって識別される、インジケータ1260の出力に関するフラグを含む。当然、識別マーカ1272の値とデバイス1240の所定の検証ステータスとの間の一致は、受信側によって予め知られている。さらに、この場合、1277におけるメッセージデータ1222の改変は、好適には、識別マーカ1272の値をメッセージデータ内に埋め込むことを含み、これは、メッセージデータ内あるいはメッセージの開始部分または終了部分の所定の位置にて値を挿入することを含む。さらに理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、デバイス1240のリセット後から、検証データ1250が受信されなかった場合等に、メッセージデータを改変しないことを含み得る。しかしながら、この場合でさえ、デジタル署名1299は、デバイス1240の検証ステータスを、デバイス1240のリセット後から、受信された検証データ1250が無いことを表すこととして識別する。さらに、改変されたメッセージのためのデジタル署名1299は、検証データ1250も予め格納されたデータ1270も示さないことが理解される。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側1220の存在があるのではないかと推論し得る。
【0146】
図12aの第6の好適な実施形態1200に基づいた変形が図12bに示される。この変形は、I/Oサポートエレメント1262を備え、このサポートエレメントから、検証データ1250を表す入力、およびメッセージデータ1222を表す入力がデバイス1240によって受信される。I/Oサポートエレメント1262は、送信側1220からの入力が受信されるユーザインターフェース1258、ならびに検証データ1250を表す入力およびメッセージデータ1222を表す入力をデバイス1240に通信するI/Oインターフェース1259を備える。メッセージデータ1222は、I/Oサポートエレメント1262から入来することが示されるが、いくつかまたはすべてのメッセージデータ1222を、デバイス1240または装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図12cに示される。ここで、I/Oサポートエレメント1262は、デバイス1240から出力されるインジケータ1260を受信する。I/Oサポートエレメント1262は、次に、インジケータ1260を電子装置1230に伝送する。示されるように、I/Oサポートエレメント1262から伝送されるインジケータ1260は、デバイス1240から出力されるインジケータ1260と同じである。しかしながら、I/Oサポートエレメント1262から伝送されるインジケータ1260は、I/Oサポートエレメント1262によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。さらに、図12a、図12bおよび図12cにおいて、EC1210は、インジケータ1260から分離して伝送されることが示される。しかしながら、図12aの好適な実施形態、およびその任意の変形において、インジケータ1260は、EC1210の部分として伝送されることによって、同様に、EC1210と関連付けられ得る。さらに、EC1210は、デバイス1240、関連するI/Oサポートエレメント1262(図12aに図示せず)または他の装置から出力され得る。
【0147】
図12a、図12bおよび図12cのデバイスの動作の好適なモード1300が図13に示され、1302におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程1304)で開始する。リセット中に、検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1306にて開始し、かつ1312にて終了する循環ループ(repeating loop)に入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0148】
依然として図13を参照して、ループ内の第1の工程は、好適には、検証データを表す任意の入力がデバイスによって受信されたか否かの決定(工程1308)を含む。工程1308における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程1314)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカが割り当てられる(工程1316)ことによって記録される。
【0149】
工程1308において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程1316において記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1310)を含む。工程1310における決定が否定的である場合、ループは工程1306を再スタートする。工程1310における決定が肯定的である場合、デバイスは、その後、識別マーカに基づいてメッセージデータを改変する(工程1318)。次に、デバイスは、改変されたメッセージデータのためのデジタル署名を作成する(工程1320)。改変されたメッセージデータのためのデジタル署名は、その後、デバイスから出力される(工程1322)。改変されたメッセージのためのデジタル署名の出力に続いて、出力されたデジタル署名が、工程1308における検証データの入力の受信後から最初に出力されたデジタル署名であるか否かという決定がなされる(工程1324)。工程1324における決定が否定的である場合、ループは再スタートする(工程1306)。工程1324における決定が肯定的である場合、工程1322において出力されたデジタル署名によって示された検証ステータスを表し、およびデジタル署名が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程1326)。ループは、その後、工程1306を再スタートする。
【0150】
(7.第7の好適な実施形態(デジタル的にサインされるメッセージおよびインジケータ)
本発明の第7の好適な実施形態1400は、図14aに示される。ここで、送信側1420からのメッセージを含むEC1410は、電子装置1430によって表される受信側によって受信され、ここで、デバイス1440は、デバイスインターフェース1452における検証データ(VD)を表す入力を受信する。デバイスインターフェース1452は、適宜、以下のうちから1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1420から直接的に受信するためのバイオメトリックスキャナ、電子接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0151】
デバイス1440は、メモリ1454に予め格納された送信側1420のデータ(PD)1470を維持する検証素子を備える。検証データ1450および予め格納されたデータ1470は、機密またはバイオメトリック値を表す。検証素子は、検証データ1450と予め格納されたデータ1470との比較に基づいたデバイス1440の現在の検証ステータスを1456にて識別し、メモリ1474に格納された識別マーカ(IM)1472に値を割り当てることによってデバイス1440の、最後に識別された(すなわち「現在の」)検証ステータスを記録する。
【0152】
デバイス1440は、さらに、デバイスインターフェース1452にて、EC1410のメッセージ(M)を表すメッセージデータ(MD)1422を受信する。このメッセージデータ1422は、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージ(M)の任意の他の処理の結果を含み得る。デバイス1440は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1422を受信すると、識別マーカ1472のための値を取得し、メッセージデータをこの値の関数として(本明細書中で用いられる場合「関数」は、xの特定の値に対する可能な関数f(x)を含み得る)1477にて改変する。デジタル署名素子は、その後、1490にてハッシュ値を計算することによって、および、その後、公開−秘密鍵の対の秘密鍵1495を用いてハッシュ値を1492にて暗号化することによって、改変されたメッセージデータ(MD’)のためのデジタル署名1299を作成する。信頼性および信用度を向上させるために、秘密鍵1495は、メモリ1494内に安全に保持され、従って、デバイス1440から決してエクスポートされず、デバイス1440の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAにより作成される。従って、デジタル署名1499は、乱数発生器を用いて生成され、1490におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名1499は、その後、受信側に伝送するためのデバイス1440の検証ステータス(IVS)のインジケータ1460として識別マーカ1472の値と共にデバイス1440から出力される。デジタル署名1499およびインジケータ1460は、その後、EC1410と関連して受信側に伝送される。これによって、この受信側は、インジケータ1460をEC1410に関係するとして識別することができる。
【0153】
デバイス1440は、各々の検証データ1450と予め格納されたデータ1470との間の関係の一致を表す、所定の検証ステータスのセットを含む。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス1440よりインジケータ1460が出力されたか否かをさらに表す。セットは、デバイス1440が時間切れの後にリセットされてから、または電源投入後から、検証データ1450を表す入力が無いことを表すさらなる所定の検証をさらに含む。デバイス1440から出力されたインジケータ1460は、検証データ1450と予め格納されたデータ1470との比較に基づくが、これは、検証データ1450を表す入力が、デバイス1440がリセットされてから受信された場合にのみ当てはまる。受信される検証データを表す入力が無い場合、インジケータ1460は、デバイス1440がリセットされてから、検証データ1450を表す入力が無いことを示す。
【0154】
電子装置1430は、インジケータ1460を受信することができるインターフェース(図示せず)を備える。電子装置1430は、インジケータ1460に基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1420から受信されたEC1410を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。この点に関して、電子装置1430は、公開鍵を有するデジタル署名を復号化する。この公開鍵は、秘密鍵1495に対応し、デジタル署名1499と関連して受信されるか、あるいは受信側によって予め知られるかまたは取得され得る。受信側は、さらに、インジケータ1460によって識別される検証ステータスに基づいて、メッセージを改変する(およびその後、このメッセージのハッシュ値を計算する)。比較のためにハッシュ値を計算する際に、電子装置1430は、デバイス1440内で改変されたメッセージデータを生成するために、メッセージに対して任意の必要な処理をさらに実行する。受信側によって計算されたハッシュ値が、復号化されたデジタル署名のハッシュ値と等しい場合、受信側は、インジケータ1460によって表示される、デバイス1440の現在の検証ステータスの信憑性を確認、およびEC1410のメッセージの信憑性を確認する。
【0155】
検証データ1450および予め格納されたデータ1470が機密を含む場合、検証ステータスの所定のセットは、4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスのリセット後から、検証データ1450の無いことを表す第1の検証ステータス、検証データ1450と予め格納されたデータ1470との間の整合を表し、および整合してから、デバイス1440から他のインジケータ1460が出力されないことをさらに表す第2の検証ステータス、検証データ1450と予め格納されたデータ1470との間の不整合を表す第3の検証ステータス、ならびに検証データ1450と予め格納されたデータ1470との間の整合を表し、および整合してからのインジケータ1460の出力をさらに表す第4の検証ステータスである。メモリ1474に格納される識別マーカ1472は、好適には、デバイス1440によって識別される現在の検証ステータスを表す4つのバイナリ数のうちの1つを含む。当然、識別マーカ1472の値とデバイスの所定の検証ステータスとの間の一致は、受信側によって予め知られる。
【0156】
4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、1477におけるメッセージデータ1422の改変は、好適には、識別マーカ1472の値をメッセージデータ内に埋め込むことを含み、これは、メッセージデータ内あるいはメッセージの開始部分または終了部分における所定の位置にて値を挿入することを含む。さらに、理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、識別マーカ1472が「00」と等しい場合等に、メッセージデータを改変しないことを含み得る。しかしながら、この場合でさえ、デジタル署名1499は、デバイスの検証ステータスを、デバイスのリセット後から、受信された検証データ1450が無いことを表すこととして識別する。さらに、改変されたメッセージのためのデジタル署名1499もインジケータ1460も、検証データ1450または予め格納されたデータ1470を示さないことが理解される。従って、好適な実施形態1400において、送信側1420と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0157】
あるいは、検証データ1450および予め格納されたデータ1470がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス1440のリセット後から、検証データ1450を表す入力が無いことを表す検証ステータスと共に、検証データ1450と予め格納されたデータ1470との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ1450と予め格納されたデータ1470とのパーセンテージの整合を含む所定の検証ステータスは、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ1450を表す入力の最後の受信後から、インジケータ1460がデバイス1440から出力されたか否かをさらに表す。メモリ1474に格納された識別マーカ1472は、好適には、パーセンテージの整合に加えて、デバイス1440によって識別される、インジケータ1460の出力に関するフラグを含む。当然、識別マーカ1472の値とデバイス1440の所定の検証ステータスとの間の一致は、受信側によって予め知られている。
【0158】
さらに、この場合、1477におけるメッセージデータ1422の改変は、好適には、識別マーカ1472の値をメッセージデータ内に埋め込むことを含み、これは、メッセージデータ内あるいはメッセージの開始部分または終了部分における所定の位置にて値を挿入することを含む。さらに理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、デバイス1440のリセット後から、検証データ1450が受信されなかった場合等に、メッセージデータを改変しないことを含み得る。しかしながら、この場合でさえ、デジタル署名1499は、デバイス1440の検証ステータスを、デバイス1440のリセット後から、受信された検証データ1450が無いことを表すこととして識別する。さらに、改変されたメッセージのためのデジタル署名1499もインジケータ1460も、検証データ1450または予め格納されたデータ1470を示さないことが理解される。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側1420の存在があるのではないかと推論し得る。
【0159】
図14aの第7の好適な実施形態1400に基づいた変形が図14bに示される。この変形は、I/Oサポートエレメント1462を備え、このサポートエレメントから、検証データ1450を表す入力、およびメッセージデータ1422を表す入力がデバイス1440によって受信される。I/Oサポートエレメント1462は、送信側1420からの入力が受信されるユーザインターフェース1458、ならびに検証データ1450を表す入力およびメッセージデータ1422を表す入力をデバイス1440に通信するI/Oインターフェース1459を備える。メッセージデータ1422は、I/Oサポートエレメント1462から入来することが示されるが、いくつかまたはすべてのメッセージデータ1422を、デバイス1440または装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図14cに示される。ここで、I/Oサポートエレメント1462は、デバイス1440から出力されるインジケータ1460およびデジタル署名1499を受信する。I/Oサポートエレメント1462は、次に、インジケータ1460およびデジタル署名1499を電子装置1430に伝送する。
【0160】
示されるように、I/Oサポートエレメント1462から伝送されるインジケータ1460およびデジタル署名1499は、デバイス1440から出力されるインジケータ1460およびデジタル署名1486と同じである。しかしながら、I/Oサポートエレメント1462から伝送されるインジケータは、デバイス1440から出力されたインジケータ1460によって示される検証ステータスおよびメッセージが改変された際に基礎となった識別マーカ1472のビットパターンの両方を受信側が決定することができる限りは、デバイス1440から出力されたインジケータとは異なり得る。例えば、I/Oサポートエレメント1462それ自体が検証ステータスを識別する場合、I/Oサポートエレメント1462から伝送されるインジケータは、デバイス1440の検証ステータスだけでなく、I/Oサポートエレメント1462の検証ステータスも示し得る。さらに、I/Oサポートエレメント1462から伝送されるインジケータ1460およびデジタル署名1499は、I/Oサポートエレメント1462によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0161】
さらに、図14a、図14bおよび図14cにおいて、EC1410は、インジケータ1460およびデジタル署名1499から分離して伝送されることが示される。しかしながら、図14aの好適な実施形態、およびその任意の変形において、インジケータ1460およびデジタル署名1499は、EC1410の部分として伝送されることによって、同様に、EC1410と関連付けられ得る。さらに、EC1410は、デバイス1440、関連するI/Oサポートエレメント1462(図14aに図示せず)または他の装置から出力され得る。
【0162】
図14a、図14bおよび図14cのデバイスの動作の好適なモード1500が図15に示され、1502におけるデバイスの時間切れまたは電源投入に続くデバイスのリセット(工程1504)で開始する。リセット中に、検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1506にて開始し、かつ1512にて終了する循環ループに入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0163】
依然として図15を参照して、ループ内の第1の工程は、好適には、検証データを表す任意の入力がデバイスによって受信されたか否かの決定(工程1508)を含む。工程1508における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程1514)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカを割り当てる(工程1516)ことによって記録される。
【0164】
工程1508において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程1516において記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1510)を含む。工程1510における決定が否定的である場合、ループは工程1506を再スタートする。
【0165】
工程1510における決定が肯定的である場合、デバイスは、その後、識別マーカに基づいてメッセージデータを改変する(工程1518)。次に、デバイスは、改変されたメッセージデータのためのデジタル署名を作成する(工程1520)。改変されたメッセージデータのためのデジタル署名、および識別マーカの値は、その後、デバイスから出力される(工程1522)。改変されたメッセージのためのデジタル署名、および識別マーカの値の出力に続いて、出力された識別マーカの値が、工程1508において検証データを表す入力が受信されてから出力された最初の値であるか否かという決定がなされる(工程1524)。工程1524における決定が否定的である場合、ループは再スタートする(工程1506)。工程1524における決定が肯定的である場合、工程1522において出力された識別マーカの値によって識別された検証ステータスを表し、および識別マーカの値が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程1526)。ループは、その後、工程1506を再スタートする。
【0166】
(8.第8の好適な実施形態(インジケータ、およびデジタル的にサインされたメッセージを有する複数の検証データ)
本発明の第8の好適な実施形態1600は、図16aに示される。ここで、送信側1620からのメッセージを含むEC1610は、電子装置1630によって表される受信側によって受信され、ここで、デバイス1640は、デバイスインターフェース1652における第1の検証データ(VD1)を表す入力1651、および第2の検証データ(VD2)を表す入力1653を受信する。デバイスインターフェース1652は、適宜、以下のうちから1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1620から直接的に受信するためのバイオメトリックスキャナ、電子接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0167】
デバイス1640は、デバイス1640のメモリ内に予め格納されたデータを維持する検証素子を備える。第1の予め格納されたデータ(PD1)1642は、メモリ1641に配置(locate)され、第2の予め格納されたデータ(PD2)1644は、メモリ1643に配置される。検証素子は、1656にて、第1の検証データ1651と第1の予め格納されたデータ1642との比較、および第2の検証データ1653と第2の格納されたデータ1644との比較に基づいて、デバイス1640の現在の検証ステータスを識別し、メモリ1674に格納された識別マーカ(IM)1672に値を割り当てることによってデバイス1640の、最後に識別された(すなわち「現在の」)検証ステータスを記録する。
【0168】
デバイス1640は、さらに、デバイスインターフェース1652にて、EC1610のメッセージ(M)を表すメッセージデータ(MD)1622を受信する。このメッセージデータ1622は、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージ(M)の任意の他の処理の結果を含み得る。デバイス1640は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1622を受信すると、識別マーカ1672のための値を取得し、メッセージデータをこの値の関数として(本明細書中で用いられる場合「関数」は、xの特定の値に対する可能な関数f(x)を含み得る)1677にて改変する。メッセージの改変は、好適には、メッセージデータ内に識別マーカ1672の値を埋め込むことを含み、これは、メッセージデータ内あるいは開始部分または終了部分における所定の位置にて値を挿入することを含む。理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、メッセージデータを改変しないことを含み得る。
【0169】
デジタル署名素子は、その後、1690にてハッシュ値を計算することによって、および、その後、公開−秘密鍵の対の秘密鍵1695を用いてハッシュ値を1692にて暗号化することによって、改変されたメッセージデータ(MD’)のためのデジタル署名1699を作成する。信頼性および信用度を向上させるために、秘密鍵1695は、メモリ1694内に安全に保持され、従って、デバイス1640から決してエクスポートされず、デバイス1640の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAにより作成される。従って、デジタル署名1699は、乱数発生器を用いて生成され、1690におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名1699は、その後、受信側に伝送するためのデバイス1640の検証ステータス(IVS)のインジケータ1660として識別マーカ1672の値と共にデバイス1640から出力される。デジタル署名1699およびインジケータ1660は、その後、EC1610と関連して受信側に伝送される。これによって、この受信側は、インジケータ1660をEC1610に関係するとして識別することができる。
【0170】
デバイス1640は、各々が検証データ1651、1653と予め格納されたデータ1642、1644との間の関係の一致を表す、所定の検証ステータスのセットを含む。このセットの検証ステータスは、第1の検証データ1651および第2の検証データ1653のどちらか、または両方に基づいて最後に成功した検証から、あるいは第1の検証データ1651および第2の検証データ1653のどちらか、または両方を表す入力が最後に受信されてから、インジケータ1660がデバイス1640から出力されたか否かをさらに表す。セットは、デバイス1640が時間切れの後に、または電源投入後にリセットされてから、第1の検証データ1651および第2の検証データ1653の入力の無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス1640から出力されたインジケータ1660は、検証データと予め格納されたデータとの比較に基づくが、これは、それぞれの検証データを表す入力が、デバイス1640のリセット後から受信された場合にのみ当てはまる。受信される検証データを表す入力が無い場合、インジケータ1660は、デバイス1640のリセット後から、第1の検証データ1651および第2の検証データ1653を表す入力が無いことを示す。
【0171】
電子装置1630は、インジケータ1660を受信することができるインターフェース(図示せず)を備える。電子装置1630は、インジケータ1660に基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1620から受信されたEC1610を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。この点に関して、電子装置1630は、公開鍵を有するデジタル署名を復号化する。この公開鍵は、秘密鍵1695に対応し、デジタル署名1699と関連して受信されるか、あるいは受信側によって予め知られるかまたは取得され得る。受信側は、さらに、インジケータ1660によって識別された検証ステータスに基づいて、メッセージを改変(およびその後、このメッセージのハッシュ値を計算する)。比較のためにハッシュ値を計算する際に、電子装置1630は、デバイス1640内で改変されたメッセージデータを生成するために、メッセージに対して任意の必要な処理をさらに実行する。受信側によって計算されたハッシュ値が、復号化されたデジタル署名のハッシュ値と等しい場合、受信側は、インジケータ1660によって表示された、デバイス1640の現在の検証ステータスの信憑性を確認し、およびEC1610のメッセージの信憑性を確認する。
【0172】
第1の検証データ1651または第2の検証データ1653のどちらか(およびそのための予め格納されたデータ)が機密を含む場合、これについての比較の結果の所定のセットは、4つの可能なアウトカムを含む。これらは、デバイス1640のリセット後から、検証データが無いことを表す第1のアウトカム、検証データと予め格納されたデータとの間の整合、および整合してから、デバイス1640から出力されたインジケータ1660が他に無いことをさらに表す第2のアウトカム、検証データと予め格納されたデータとの間の不整合を表す第3のアウトカム、ならびに検証データと予め格納されたデータとの間の整合を表し、および整合してからのインジケータ1660の出力をさらに表す第4のアウトカムである。
【0173】
第1の検証データ1651または第2の検証データ1653のどちらか(およびそのための予め格納されたデータ)がバイオメトリック特性を表す場合、そのための比較の結果の所定のセットは、好適には、所定の数の可能なアウトカムから結果を生成する。各アウトカムは、デバイス1640のリセット後から、検証データの入力が無いことを表す検証ステータスと共に、検証データと予め格納されたデータとの間の整合の、認められた可能なパーセンテージ(または差異の程度)を表す。
【0174】
例えば、検証データと予め格納されたデータとのパーセンテージの整合を含む所定のアウトカムは、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表すアウトカムの各1つもまた、検証データを表す入力が最後に受信されてから、インジケータ1660がデバイス1640から出力されたか否かをさらに表す。
【0175】
識別マーカ1672は、メモリ1674に格納され、デバイス1640の所定の検証ステータスのセットの1つを表す値を含む。所定の検証ステータスのセットは、好適には、第1の検証データ1651および第2の検証データ1653についてのそれぞれの比較からのアウトカムの可能なすべての組み合わせを含む。当然、識別マーカ1672の可能な値とデバイス1640の所定の検証ステータスとの一致は、受信側によって予め知られている。さらに検証データ1651、1653または予め格納されたデータ1642、1644のいずれかを示す検証ステータスは無い。従って、送信側1620と受信側との間で「共有機密」は必要とされない。さらに、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスから、機密についての正確な認識、およびバイオメトリック特性を読み出すことによって送信側の存在の両方を推論し得る。
【0176】
図16aの第8の好適な実施形態に基づく変形が図16bに示され、第1の検証データ1651および第2の検証データ1653を表す入力、ならびにメッセージデータ1622を表す入力がデバイス1640によって受信されるI/Oサポートエレメント1662を含む。このI/Oサポートエレメント1662は、送信側1620からの入力が受信されるユーザインターフェース1658、ならびに第1の検証データ1651および第2の検証データ1653を表す入力と、メッセージデータ1622を表す入力とをデバイス1649に伝達するI/Oインターフェース1659を備える。
【0177】
メッセージデータ1622は、I/Oサポートエレメント1662から入来することが示されるが、いくつかまたはすべてのメッセージデータ1622を、デバイス1640または別の装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図16cに示される。ここで、I/Oサポートエレメント1662は、デバイス1640から出力されるインジケータ1660およびデジタル署名1699を受信する。I/Oサポートエレメント1662は、次に、インジケータ1660およびデジタル署名1699を電子装置1630に伝送する。
【0178】
示されるように、I/Oサポートエレメント1662から伝送されるインジケータ1660およびデジタル署名1699は、デバイス1640から出力されるインジケータ1660およびデジタル署名1686と同じである。しかしながら、I/Oサポートエレメント1662から伝送されるインジケータは、デバイス1640により出力されたインジケータ1660によって示される検証ステータスおよびメッセージが改変された際に基礎となった識別マーカ1672のビットパターンの両方を受信側が決定することができる限りは、デバイス1640から出力されるインジケータとは異なり得る。例えば、I/Oサポートエレメント1662から伝送されるインジケータは、デバイス1640の検証ステータスのみではなく、I/Oサポートエレメント1662それ自体が検証ステータスを識別する場合、I/Oサポートエレメント1662の検証ステータスも示し得る。さらに、I/Oサポートエレメント1662から伝送されるインジケータ1660およびデジタル署名1699は、I/Oサポートエレメント1662によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0179】
さらに、図16a、図16bおよび図16cにおいて、EC1610は、インジケータ1660およびデジタル署名1699から分離して伝送されることが示される。しかしながら、図16aの好適な実施形態、およびその任意の変形において、インジケータ1660およびデジタル署名1699は、EC1610の部分として伝送されることによって、同様に、EC1610と関連付けられ得る。さらに、EC1610は、デバイス1640、関連するI/Oサポートエレメント1662(図16aに図示せず)または他の装置から出力され得る。
【0180】
図16a、図16bおよび図16cのデバイスの動作の好適なモード1700が図17に示され、1702におけるデバイスの時間切れまたは電源投入に続くデバイスのリセット(工程1704)で開始する。リセット中に、検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1706にて開始し、かつ1714にて終了する循環ループに入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0181】
依然として図17を参照して、ループ内の第1の工程は、好適には、第1の検証データ(VD1)を表す任意の入力がデバイスによって受信されたか否かの決定(工程1708)を含む。工程1708における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、第1の検証データ(VD1)とデバイスのメモリ内に予め格納された第1のデータ(PD1)とを比較することによって識別される(工程1716)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカに割り当てられる(工程1718)ことによって記録される。工程1708において、受信される第1の検証データを表す入力が無い場合、または識別マーカの値が工程1718において記録された後、ループ内の次の工程は、好適には、第2の検証データ(VD2)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1710)を含む。工程1710における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、第2の検証データ(VD2)と、デバイスのメモリ内に予め格納された第2のデータ(PD2)とを比較することによって識別される(工程1720)。識別された検証ステータスは、その後、識別された検証ステータスに対応する予め定義された値と等しい、デバイスのメモリ内に格納された識別マーカを割り当てることによって記録される(工程1722)。
【0182】
工程1710にて受信される第2の検証データを表す入力が無い場合、または識別マーカの値が工程1722にて記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1712)を含む。工程1712における決定が否定的である場合、ループは工程1706を再スタートする。
【0183】
工程1712における決定が肯定的である場合、デバイスは、その後、識別マーカに基づいてメッセージデータを改変する(工程1724)。次に、デバイスは、改変されたメッセージデータのためのデジタル署名を作成する(工程1726)。改変されたメッセージデータのためのデジタル署名、および識別マーカの値は、その後、デバイスから出力される(工程1728)。改変されたメッセージのためのデジタル署名、および識別マーカの値の出力に続いて、出力された識別マーカの値が、工程1708において第1の検証データを表す入力の受信後から出力された最初の値であるか否かという決定がなされる(工程1730)。
【0184】
工程1730における決定が肯定的である場合、検証ステータスは、1728にて出力された識別マーカに値によって識別された検証ステータスを表し、および識別マーカの値が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1734)。工程1730における決定が否定的である場合、または識別マーカの値が工程1734にて新たに記録された後、ループ内の次の工程は、好適には、工程1710において第2の検証データを表す入力の受信後から出力された、その最初の値であるか否かという決定(工程1732)を含む。
【0185】
工程1732における決定が肯定的である場合、検証ステータスは、その後、工程1728にて出力された識別マーカの値によって識別された検証ステータスを表し、および識別マーカの値が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1736)。工程1732における決定が否定的である場合、または識別マーカの値が工程1736にて新たに記録された後、ループは再スタートする(工程1706)。
【0186】
(9.第9の実施形態(インジケータとしてデジタル署名を有する複数の検証データ)
本発明の第9の好適な実施形態1800は、図18aに示される。ここで、送信側1820からのメッセージを含むEC1810は、電子装置1830によって表される受信側によって受信され、ここで、デバイス1840は、デバイスインターフェース1852における第1の検証データ(VD1)を表す入力1851、および第2の検証データ(VD2)を表す入力1853を受信する。デバイスインターフェース1852は、適宜、以下のうちから1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1820から直接的に受信するためのバイオメトリックスキャナ、電子接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0187】
デバイス1840は、デバイス1840のメモリ内に予め格納されたデータを維持する検証素子を備える。第1の予め格納されたデータ(PD1)1842は、メモリ1841に配置され、第2の予め格納されたデータ(PD2)1844は、メモリ1843に配置される。検証素子は、1856にて、第1の検証データ1851と第1の予め格納されたデータ1842との比較、および第2の検証データ1853と第2の予め格納されたデータ1844との比較に基づいて、デバイス1840の現在の検証ステータスを1865にて識別し、メモリ1874に格納された識別マーカ(IM)1872に値を割り当てることによってデバイス1840の、最後に識別された(すなわち「現在の」)検証ステータスを記録する。検証データの複数の入力の比較がなされるこの場合、識別マーカ1872は、第1の比較の結果を表す第1の比較マーカに割り当てられる値、および第2の比較の結果を表す第2の比較マーカに割り当てられる値を含む。
【0188】
デバイス1840は、さらに、デバイスインターフェース1852にて、EC1810のメッセージ(M)を表すメッセージデータ(MD)1822を受信する。このメッセージデータ1822は、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージの任意の他の処理の結果を含み得る。デバイス1840は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1822を受信すると、識別マーカ1872のための値を取得し、メッセージデータをこの値の関数として(本明細書中で用いられる場合「関数」は、xの特定の値に対する可能な関数f(x)を含み得る)1877にて改変する。メッセージの改変は、好適には、メッセージデータ内に識別マーカ1872の値を埋め込むことを含み、これは、メッセージデータ内あるいは開始部分または終了部分における所定の位置にて値を挿入することを含む。理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、メッセージデータを改変しないことを含み得る。
【0189】
デジタル署名素子は、その後、1890にてハッシュ値を計算することによって、および、その後、公開−秘密鍵の対の秘密鍵1895を用いてハッシュ値を1892にて暗号化することによって、改変されたメッセージデータ(MD’)のためのデジタル署名1899を作成する。信頼性および信用度を向上させるために、秘密鍵1895は、メモリ1894内に安全に保持され、従って、デバイス1840から決してエクスポートされず、デバイス1840の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAにより作成される。従って、デジタル署名1899は、乱数発生器を用いて生成され、1890におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名1899は、その後、受信側に伝送するためのデバイス1840の検証ステータス(IVS)のインジケータ1860としてデバイス1640から出力される。デバイス1840から出力されたデジタル署名1899は、実際、改変プロセスの結果として、検証ステータス(IVS)のインジケータを含む。第1の比較の現在のアウトカム(VD1とPD1との比較の結果)は、結果(R)1896としてさらに出力される。インジケータ1860および結果1896は、その後、EC1810と関連して受信側に伝送される。これによって、この受信側は、インジケータ1860および結果1896をEC1810に関係することとして識別することができる。
【0190】
デバイス1840は、各々が検証データ1851、1853と予め格納されたデータ1842、1844との間の関係の一致を表す、所定の検証ステータスのセットを含む。このセットの検証ステータスは、第1の検証データ1851および第2の検証データ1853のどちらか、または両方に基づいて最後に成功した検証から、あるいは第1の検証データ1851および第2の検証データ1853のどちらか、または両方を表す入力の最後の受信後から、インジケータ1860がデバイス1840から出力されたか否かをさらに表す。セットは、デバイス1840の時間切れの後にリセットされてから、または電源投入後から、第1の検証データ1851および第2の検証データ1853の両方の入力が無いことを表す予め定義された検証ステータスをさらに含む。デバイス1840から出力されたインジケータ1860は、検証データと予め格納されたデータとの比較に基づくが、これは、デバイス1840のリセット後から、検証データを表す入力が受信された場合にのみ当てはまる。受信される検証データを表す入力が無い場合、インジケータ1860は、デバイス1840のリセット後から、第1の検証データ1851および第2の検証データ1853の両方のための入力が無いことを示す。
【0191】
電子装置1830は、インジケータ1860を受信することができるインターフェース(図示せず)を備える。電子装置1830は、インジケータ1860に基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1820から受信されたEC1810を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。この点に関して、電子装置1830は、公開鍵を有するデジタル署名を復号化する。この公開鍵は、秘密鍵1895に対応し、デジタル署名1899と関連して受信されるか、あるいは受信側によって予め知られるかまたは取得され得る。受信側は、計算されたハッシュ値が復号化されたデジタル署名の値のハッシュ値と等しくなるまで、結果1896に基づいて、および第2の比較の各可能なアウトカムに関してメッセージを改変する(およびその後、このメッセージのハッシュ値を計算する)。比較のためにハッシュ値を計算する際に、電子装置1830は、デバイス1840内で改変されたメッセージデータを生成するために、メッセージに対して任意の必要な処理をさらに実行する。受信側によって計算されたハッシュ値が、復号化されたデジタル署名のハッシュ値と等しい場合、受信側は、これによって、デバイス1840の現在の検証ステータスを決定する。この決定は、またEC1810のメッセージの信憑性を確認する。さらに、リソースの消費を最小化するために、第2の比較(VD2とPD2との)のアウトカムの第2のセットが、限定された数のアウトカムのみを含むように予め定義される。例えば、第1の検証データおよびそのために予め格納されたデータは、好適には、バイオメトリック特性を表し、第2の検証データおよびそのために予め格納されたデータは、好適には、機密を表す。
【0192】
第1の検証データ1851または第2の検証データ1853のどちらか(およびそのために予め格納されたデータ)が機密を含む場合、これについての比較のアウトカムの所定のセットは、4つの可能なアウトカムを含む。これらは、デバイス1840のリセット後から、検証データが無いことを表す第1のアウトカム、検証データと予め格納されたデータとの間の整合、および整合してから、デバイス1840から出力されたインジケータ1860が他に無いことをさらに表す第2のアウトカム、検証データと予め格納されたデータとの間の不整合を表す第3のアウトカム、ならびに検証データと予め格納されたデータとの間の整合を表し、および整合してからのインジケータ1860の出力をさらに表す第4のアウトカムである。
【0193】
第1の検証データ1851または第2の検証データ1853のどちらか(およびそのために予め格納されたデータ)がバイオメトリック特性を表す場合、これについての比較のアウトカムの所定のセットは、好適には、所定の数の可能なアウトカムから結果を生成する。各アウトカムは、デバイス1840のリセット後から、検証データの入力が無いことを表す検証ステータスと共に、検証データと許容された予め格納されたデータとの間の整合の認められた可能なパーセンテージ(または差異の程度)を表す。例えば、検証データと予め格納されたデータとのパーセンテージの整合を含む所定のアウトカムは、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表すアウトカムの各1つもまた、検証データを表す入力が最後に受信されてから、インジケータ1860がデバイス1840から出力されたか否かをさらに表す。
【0194】
識別マーカ1872は、メモリ1874に格納され、デバイス1840の所定の検証ステータスのセットの1つを表す値を含む。所定の検証ステータスのセットは、好適には、第1の検証データ1851および第2の検証データ1853についてのそれぞれの比較からのアウトカムの可能なすべての組み合わせを含む。当然、識別マーカ1872の可能な値とデバイス1840の所定の検証ステータスとの一致は、受信側によって予め知られている。検証データ1851、1853または予め格納されたデータ1842、1844のいずれかを示す検証ステータスは無い。従って、送信側1820と受信側との間で「共有機密」は必要とされない。さらに、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスから、機密についての正確な認識、および送信側の存在の両方を推論し得る。
【0195】
図18aの第9の好適な実施形態1800に基づいた変形が図18bに示される。この変形は、I/Oサポートエレメント1862を備え、このサポートエレメントから、第1の検証データ1851および第2の検証データ1853を表す入力、およびメッセージデータ1822を表す入力がデバイス1840によって受信される。I/Oサポートエレメント1862は、送信側1820からの入力が受信されるユーザインターフェース1858、ならびに第1の検証データ1851および第2の検証データ1853を表す入力およびメッセージデータ1822を表す入力をデバイス1840に通信するI/Oインターフェース1858を備える。メッセージデータ1822は、I/Oサポートエレメント1862から入来することが示されるが、いくつかまたはすべてのメッセージデータ1822を、デバイス1840または装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図18cに示される。ここで、I/Oサポートエレメント1862は、デバイス1840から出力されるインジケータ1860および結果1896を受信する。I/Oサポートエレメント1862は、次に、インジケータ1860および結果1896を電子装置1830に伝送する。
【0196】
示されるように、I/Oサポートエレメント1862から伝送されるインジケータ1860および結果1896は、デバイス1840から出力されるインジケータ1860および結果1896と同じである。しかしながら、I/Oサポートエレメント1862から伝送される結果は、メッセージが改変された際に部分的に基礎となった結果1872のビットパターンを受信側が決定することができる限りは、デバイス1840から出力される結果とは異なり得る。例えば、I/Oサポートエレメント1862から伝送される結果は、デバイス1840に入力された第1の検証ステータスデータの比較の結果だけでなく、I/Oサポートエレメント1862それ自体が検証ステータスを識別する場合、I/Oサポートエレメント1862の検証ステータスも示し得る。さらに、I/Oサポートエレメント1862から伝送されるインジケータ1860および結果1896は、I/Oサポートエレメント1862によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0197】
さらに、図18a、図18bおよび図18cにおいて、EC1810は、インジケータ1860および結果1896から分離して伝送されることが示される。しかしながら、図18aの好適な実施形態、およびその任意の変形において、インジケータ1860および結果1896は、EC1810の部分として伝送されることによって、同様に、EC1810と関連付けられ得る。さらに、EC1810は、デバイス1840、関連するI/Oサポートエレメント1862(図18aに図示せず)または他の装置から出力され得る。
【0198】
図18a、図18bおよび図18cのデバイスの動作の好適なモード1900が図19に示され、1902におけるデバイスの時間切れまたは電源投入に続くデバイスのリセット(工程1904)で開始する。リセット中に、いずれかの検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1906にて開始し、かつ1914にて終了する循環ループに入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0199】
依然として図19を参照して、ループ内の第1の工程は、好適には、第1の検証データ(VD1)を表す任意の入力がデバイスによって受信されたか否かの決定(工程1908)を含む。工程1908における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、第1の検証データ(VD1)とデバイスのメモリ内に予め格納された第1のデータ(PD1)とを比較することによって識別される(工程1916)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカが割り当てられる(工程1918)ことによって記録される。工程1908において、受信される第1の検証データを表す入力が無い場合、または識別マーカの値が工程1918において記録された後、ループ内の次の工程は、好適には、第1の検証データ(VD1)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1910)を含む。工程1910における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、第2の検証データ(VD2)と、デバイスのメモリ内に予め格納された第2のデータ(PD2)とを比較することによって識別される(工程1920)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカを割り当てることによって記録される(工程1922)。
【0200】
工程1910にて受信される第2の検証データを表す入力が無い場合、または識別マーカの値が工程1922にて記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1912)を含む。工程1912における決定が否定的である場合、ループは工程1906を再スタートする。
【0201】
工程1912における決定が肯定的である場合、デバイスは、その後、識別マーカに基づいてメッセージを改変する(工程1924)。次に、このデバイスは、改変されたメッセージデータのためのデジタル署名を作成する(工程1926)。改変されたメッセージデータのためのデジタル署名および第1の比較の結果の値は、その後、デバイスから出力される(工程1928)。改変されたメッセージのためのデジタル署名、および第1の比較の結果の値の出力に続いて、このデジタル署名が、工程1908における第1の検証データを表す入力の受信後からの最初の出力であるか否かという決定がなされる(工程1930)。工程1930における決定が肯定的である場合、検証ステータスは、1928にて出力されたデジタル署名マーカによって識別された検証ステータスを表し、およびデジタル署名が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1934)。
【0202】
工程1930における決定が否定的である場合、または識別マーカの値が工程1934にて新たに記録された後、ループ内の次の工程は、好適には、デジタル署名が、工程1910において第2の検証データを表す入力の受信後から出力された最初のデジタル署名であるか否かという決定(工程1932)を含む。工程1932における決定が肯定的である場合、検証ステータスは、その後、1928にて出力されたデジタル署名によって識別された検証ステータスを表し、およびデジタル署名が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1936)。工程1932における決定が否定的である場合、または識別マーカの値が工程1936にて新たに記録された後、ループは再スタートする(工程1906)。
【0203】
(C.本発明のデータフォーマット、実施形態、およびインプリメンテーション)
本発明のすべての局面によれば、デバイスは、ハードウェア、ソフトウェアおよび/またはファームウェアを備え、特に、コンピュータチップ、集積回路、内部に適切なソフトウェアを有するコンピュータにより読み出し可能な媒体、またはこれらの組み合わせを備える。デバイスは、さらに、ハードウェアトークンまたは埋め込みトークン、コンピュータチップ、集積回路、ソフトウェアまたはこれらの組み合わせを含むトークンといった物理的オブジェクトを備え得る。デバイスがハードウェアトークンである場合、これは、好適には、指輪または他の装身具、ドングル、電子鍵、ICカード、スマートカード、デビットカード、クレジットカード、IDバッジ、安全バッジ、駐車カードまたは通行カードといったカード等の形態をとる。デバイスが埋め込みトークンである場合、これは、好適には、携帯電話、電話、テレビ、携帯情報端末(PDA)、腕時計、コンピュータ、コンピュータハードウェア等の形態をとる。このデバイスは、好適には、無線通信ポート、シリアルポート、USBポート、パラレルポートまたは赤外線ポートを含むポートか、有接点または無接点の、少なくとも1つの外部の電子装置と通信するための任意の他の物理インターフェースを備える。デバイスは、上述のように、および上述のTCPAドキュメントにて説明かつ記載されるように、プラットフォームの信用度を向上させるハードウェアおよびソフトウェアを備えるtrusted platform module(TPM)を備え得る。上述のデバイスのうちのいくつかは、デバイスがメッセージデータまたは検証データを受信することを可能にするためにI/Oサポートエレメントの使用を必要とする。デバイスのうちのいくつかは、他のタイプのデータは受信せず、特定のタイプの検証データを受信するためにI/Oサポートエレメントを必要とする。デバイスのうちのいくつかは、検証ステータス、デジタル署名およびメッセージに関する情報をECの受信側に伝送するためにI/Oサポートエレメントを必要とする。デバイスのうちのいくつかは、内臓(self−contained)されている。これは、これらのデバイスが、外部の装置を用いることなく、メッセージ、デジタル署名および検証ステータスのインジケータを生成および伝送し得ることを意味する。いくつかのデバイスは、内臓されてはいるが、所望ならば、I/Oサポートエレメントといった外部の装置と双方向通信することができる。I/Oサポートエレメントは、これが用いられる特定の用途に依存して、およびこれと双方向通信するデバイスのタイプに依存して、任意の数の異なった装置の形態をとり得る。
【0204】
より高度な安全上の用途に対して、デバイス(またはI/Oサポートエレメントとの組み合わせられるデバイス)は、好適には、以下の素子を含む。これらは、キーパッド(英数字)、双方向ディスプレイ、またはECの送信側がメッセージを構成または改変することを可能にする他のタイプのユーザデータ入力メカニズム(本明細書中では、まとめて「ユーザインターフェース」と呼ばれる)、機密検証データを入力するためのユーザインターフェース(メッセージを生成または改変するためのユーザインターフェースは、機密検証データを入力するためのユーザインターフェースと同じであり得るが、同じである必要はないことに留意されたい)、メッセージおよび/または機密を、デバイスを用いてECの送信側に示すためのディスプレイ、少なくとも1つのタイプのバイオメトリック検証データを受信するためのスキャナまたはリーダ、機密(単数または複数)、予め格納されたバイオメトリックデータ、および秘密鍵(PrK)を安全に格納するためのメモリ、種々の比較を実行するため、および、デバイスの検証ステータスを識別するためのプロセッサまたは回路、デジタル署名を生成または作成するためのプロセッサまたは回路、ならびにデバイスから情報を出力し、これを電子装置に伝送するための手段である。好適には、このデバイスは、特定の秘密鍵(PrK)と関連付けられた公開鍵(PuK)を格納およびエクスポートするための、およびアカウント情報、ユーザID等のさらなるユーザ情報を格納するためのメモリを備える。これほど高度でない安全上の用途に対しては、上述の素子のすべてが必要とは限らない。
【0205】
この点について、本発明は、デバイスへの、およびデバイスからのデータの流れ、ならびにデバイス内またはデバイスと通信する構成素子によって実行される、このようなデータの操作に議論を集中してきた。本節は、例えば、好適なデータベースフォーマットおよび例示のデータ値、ならびに検証データ、予め格納されたデータ、検証ステータスの構造、ならびに識別マーカおよび検証ステータスのインジケータに関してさらなる詳細を提供する。本節は、検証データが機密、バイオメトリック特性、またはこれら両方の組み合わせを表す場合、検証ステータスを識別するための好適な方法をさらに示す。さらに、本節は、デバイスとして、または本発明のデバイスの部分として用いられ得る、好適なコンピュータチップの関数上の局面を示す。最後に、本節は、本発明による使用のために適合されるデバイス(この場合、ICカード)のいくつかの特定のインプリメンテーションを提供する。
(1.予め格納されたデータ、検証データ、および検証ステータスのインジケータ)
(a.予め格納されたデータの記録フォーマット)
図20a、図20bおよび図20cに示されるように、デバイスの認可されたユーザの予め格納されたデータ(一般に、PDと呼ばれる)は、デバイスのデータベース内の適切なレコード2000a、2000bおよび2000cにて、それぞれ維持され得る。図20aに示されるように、デバイスが、PIN2003等の機密のみを受信および処理するように適合される単純な用途については、レコード2000aは、Secret Prestored Data(SPD)2042(または一般にPD2070と呼ばれる)の「値」2005を単に含む。図20bに示されるように、デバイスが1つの特定のタイプ2002のバイオメトリックデータ2007のみを受信および処理するように適合される、わずかにより複雑な用途については、レコード2000bは、適用可能なBiometric Prestored Data(BPD)2044(一般に、PD2070とも呼ばれる)の「値」2009を単に含む。
【0206】
図20cに示されるように、デバイスが、複数の特定のタイプの検証データを受信および処理するように適合される他の用途については、レコード2000cは、機密およびバイオメトリック的特性の両方を表す、可能な検証データのタイプ2002のリストを含む。検証データの各タイプ2002(機密またはバイオメトリックを問わず)は、対応するプリセット識別子2004およびそのために予め格納されたデータ2070を含む、対応する一意に定まる値2006をそれと関連付けている。特定のデータタイプ2002と関連付けられた特定の識別子2004は、図20cに示されるように、任意(arbitrary)であり、任意の業界標準規格、あるいは現在または後から進展させられる規則(例えば、「Biometric Information Management and Security for the Financial Services Industry」Document Number X9.84−2000WD、American Institute、2000に記載される標準規格等であり、本標準規格は、参考のため、本明細書中に援用され、http://webstore.ansi.orgにてダウンロードして利用し得る)に従うようにフォーマット化または確定され得る。さらに、図20cに示されるデータのタイプ2002のリストは、例示であることが意図されるにすぎず、実際、レコード2000cは、より詳細な、あまり詳細でない、または異なった詳細のデータのタイプ2002を含み得る。
【0207】
さらに、参照および説明を容易にするために、データのタイプ2002は、レコード2000a、2000bおよび2000cに示されるが、各データタイプ2002とその対応する識別子2004との間の関係が別の方法で知られている場合、タイプ2002を示す列に現れる情報が、実際にこれらのレコードに維持される必要はない。通常、4〜10桁の英数字ストリングを含むPINに関する予め格納されたデータ(値2005、2008)を除いて、バイオメトリックデータの各タイプ2002と関連する値2009、2010は、通常、認可されたユーザのバイオメトリック特性のデジタル表現に対応する数値である。例えば、電子指紋走査の現在のF.B.I.標準は、「40point minutiae」である。このような値は、走査し、およびこのような走査を特定のバイオメトリックデータのタイプ2002のデジタル表現に変換することができる適切かつ一般的なバイオメトリックスキャナによって取得され得る。一般に、任意の特定のバイオメトリックデータのタイプ2002については、このようなデータが、予め格納されたデータを生成する目的でデバイスに入力されるとき、および検証ステータスを識別する目的で、検証データが後からデバイスに入力される毎の、デバイスの両方の個人専用化ステージにて、同じ標準、縮尺または規則が用いられることが望ましい。データの特定のタイプ2002との比較のためにデータが予め格納されていない場合、このデータタイプ2002の対応する値2012は、ゼロ、零または同様の等価の値にセットされる。
【0208】
(b.デバイスへの検証データフォーマットの入力)
図21aに示されるように、デバイスが機密(再び、PIN等)のみを受信および処理するように適合される単純な用途については、検証データ2150が、デバイスを用いる場合に、ECの送信側によって入力される値2102を有するSecret Verification Data(SVD)2151を含むことが望ましい。図21bに示されるように、デバイスが1つの特定のタイプのバイオメトリック検証データのみを受信および処理するように適合される、わずかにより複雑な用途については、検証データ2150が、デバイスを用いる場合に、送信側によって提供されるバイオメトリック特性の走査に応答して入力される値2104を有するBiometric Verification Data(BVD)2153を含むことが好ましい。最後に、図21cに示されるように、デバイスが複数の特定のタイプの検証データを受信および処理するように適合される他の用途については、機密またはバイオメトリックを問わず、検証データ2150が、識別子2106および対応する値2108の両方を含むことが望ましい。識別子2106は、デバイスに入力された検証データのタイプを示し、従って、デバイスが、比較の目的で、参照を必要とする予め格納されたデータを示す。図示されていないが、識別子を用いる代わりにソフトウェアまたはデバイスコマンドまたはインストラクションを検出データ2150の入力と組み合わせて用いて、特定のタイプの検証データ2150が入力されることをデバイスに通知することが可能であることが理解されるべきである。
【0209】
(c.検証ステータスの比較プロセスおよび識別)
ここで、図22、図23a、図23bおよび図24を参照して、デバイスが検証データと予め格納されたデータとを比較し、これによって検証ステータスを識別するためのいくつかの例示のプロセスがかなり詳細に説明される。再び、図22に示されるように、およびデバイスが機密の検証データのみを受信および処理するように適合された単純な用途を最初に参照して、デバイスは、検証データを表す入力(例えば、図3における工程308に示される)が実際に受信されたか否かを最初に決定し、および受信された場合、このような検証データが機密であるか否かを決定する(工程2202)。機密の検証データが受信されない場合、デバイスは、現在の検証ステータス(そのスタートアップデフォルト値が「No PIN entered」である)を維持する(工程2204)。
【0210】
機密の検証データが受信された場合、デバイスは、対応する予め格納されたデータ(SPD)、例えば、図20aにおけるレコード2000aからの値2005を取り出す(工程2206)。次に、デバイスは、入力値と予め格納されたデータ値とを比較する(工程2208)。比較の結果(Rs)が値が等しいというものである場合、デバイスは、検証ステータスを「PIN match」として識別する(工程2210)。比較の結果(Rs)が値が等しくないというものである場合、デバイスは、検証ステータスを「PIN no match」として識別する(工程2212)。さらに、図22は、検証ステータスを記述フォーマット(例えば、「No PIN entered」「PIN match」および「PIN no match」)で示すが、デバイスは、好適には、識別マーカ(IM)を任意値にセットすることが理解される。この任意値は、この簡単な例において、さらに、比較の結果(Rs)と等しいそれぞれの検証ステータスと直接的に対応する。等価の識別マーカ値のいくつかの可能な例が図25aに示される。それにもかかわらず、図25aに一覧化される識別マーカ値に対応する適切な等価の検証ステータスについて、多数の異なったタイプ、規則、またはフォーマットが本発明の範囲内で選択され得ることが当業者に明らかである。図25に示されるように、機密検証結果(Rs1)2502を含む第1の識別マーカは、基数フォーマットである。機密検証結果(Rs2)2504を含む第2の識別マーカは、バイナリフォーマットである。さらに、示される機密検証結果(Rs3)2506を含む第3の識別マーカは、図25aの第1の列に一覧化される検証ステータスの、異なった文字ストリング表現にすぎない。図22に戻って参照して、工程2210および工程2212に示される、結果として生じた識別マーカ値は、上述の第2の規則を用いる。
【0211】
ここで、図23aおよび図23bを参照して、デバイスが、バイオメトリック検証データの1つの特定のタイプのみを受信および処理するように適合される、わずかにより複雑な用途については、デバイスは、バイオメトリック検証データが実際に受信したことを最初に決定する(工程2302)。バイオメトリック検証データが受信されなかった場合、デバイスは、現在の検証ステータス(スタートアップデフォルト値が「No BIO input」)を維持する(工程2304)。デバイスがバイオメトリック検証データを受信した場合、デバイスは、対応する予め格納されたデータ(BVD)(例えば、図20bにおけるレコード2000bからの値2009)を取り出す(工程2306)。バイオメトリックデータの比較においては、機密データの比較と異なり、比較の結果(Rb)は、検証データと予め格納されたデータとの間の整合(または差異)の程度またはパーセンテージを含むことが望ましい。従って、好適な実施形態において、デバイスは、バイオメトリック検証データを予め格納されたデータで除算し、2つの値間のパーセンテージ整合を取得し、結果(Rb)を識別マーカに割り当てることによって検証ステータスを識別する(工程2308a)。
【0212】
図23bに示されるように、あるいは、デバイスは、2つの値間の差異の絶対値を計算し(工程2308b)その数を予め格納されたデータで除算し、その後、その結果(Rb)を識別マーカに割り当てることによって2つの値間のパーセンテージの差異を取得し得る。等価のバイオメトリック識別マーカ値のいくつかの例が図26に示される。しかしながら、バイオメトリック検証データと予め格納されたデータ(例えば、図26において説明されたデータ等)との間の整合または差異の程度またはパーセンテージを示す識別マーカ値について、異なったタイプ、規則またはフォーマットが本発明の範囲内で選択され得ることが当業者に明らかである。例えば、バイオメトリック検証結果(Rb1)2602を含む第1の識別マーカは、2つの値(「##」に代入され、算出された数を有する)間の整合または差異の程度に対応するパーセンテージ値(2桁)である。バイオメトリック検証結果(Rb2)2604を含む第2の識別マーカは、2つの値間の整合または差異の程度に対応する小数値(2桁)である。バイオメトリック検証結果(Rb3)2606を含む第3の識別マーカは、図の第1の列における対応する検証ステータスと関連する文字ストリングである。
【0213】
上述のように、好適な実施形態において、デバイスは、バイオメトリック検証データに基づいて、検証ステータスのインジケータを、バイオメトリック検証データと予め格納されたデータとの間の整合の程度(またはパーセンテージ)あるいは差異の程度(またはパーセンテージ)の形態で出力する。検証データをこの態様で提供することによって、電子装置(または受信側)が、固有のロジックまたはビジネス規則に基づいて、デバイスによって取得および提供された整合の程度が、特定のビジネス目的または用途に必要とされる安全閾値を満たすか否かを決定することを可能にする。このことは、各々がバイオメトリック検証データについて固有の閾値要求を有する、異なった受信側によってデバイスが用いられることを可能にする。あるいは、デバイスそれ自体が、予めプログラミングされる(pre−programmed)か、または予めハードウェアに組み込まれ(pre−hardwired)得、バイオメトリック検証データが任意に決定された閾値に関して予め格納されたデータを「整合」とみなすか「不整合」とみなすかを、デバイス内で決定することが理解されるべきである(この場合、その識別マーカは、単に、機密の識別データの比較の識別マーカと同じである)。
【0214】
ここで、図24を参照して、デバイスが、機密およびバイオメトリック検証データを受信および処理するように適合される他の用途については、デバイスは、複数のタイプの検証データが受信されるそれらの用途に関する各入力を処理する目的で、最初にループを開始する(工程2402)。ループ内の第1の工程において、デバイスは、検証データが受信されたか否かを決定する(工程2404)。検証データが受信されなかった場合、デバイスは、現在の検証ステータス(スタートアップが「No PIN entered;No BIO entered」)を維持する(工程2406)。検証データが受信された場合、デバイスは、このような検証データの識別子(図21cからの2106)に対応する、予め格納されたデータ(図2000cからの2006)を取り出す(工程2410)。余談のように、および上述のように、別の実施形態は、検証データと共に送信されたデバイスまたはコンピュータのコマンドが、識別子2106(図21cに示される)を用いずに入力される検証データのタイプを示すことを可能にする。次に、デバイスは、識別子(またはコマンド入力)に基づいて、検証データが機密を表すかバイオメトリック特性を表すかを決定する(工程2412)。
【0215】
検証データが機密を表す場合、デバイスは、その検証データと、そのような機密の対応する予め格納されたデータとを比較する(工程2414)。値が等しい場合、デバイスは、比較の結果が「整合」として識別し(工程2416)、および本例示の実施形態において、Rsを「01」の値と等しくセットする(図25aのバイナリ規則を用いて)。ループは、その後、再スタートする(工程2408)。値が等しくない場合、デバイスは、比較の結果を「不整合」として識別し(工程2416)、および本例示において、Rsを「10」の値と等しくセットする(再び、図25aのバイナリ規則を用いて)。ループは、その後、工程2408にて再スタートする。他方、検証データがバイオメトリック特性を表すことをデバイスが決定した場合、デバイスは、検証データと、対応する予め格納されたデータとを比較し、これらの間のパーセンテージ整合を計算することによって検証ステータスを識別する(工程2420)。この点について、デバイスは、バイオメトリック検証データの特定のタイプ(###によって表示される)のRbをパーセンテージ整合の値と等しくセットする。ループは、その後、工程2408にて再スタートする。本例示の実施形態において、検証ステータスに対応する識別マーカ(IM)の値は、Rsの値、および各バイオメトリックタイプの各Rbの値を含む。
【0216】
特定の数を用いるいくつかの例は、このプロセスを説明することを支援する。第1の例において、データ(PIN、および右手の手形等の、1つのタイプのバイオメトリック検証データを仮定されたい)、デバイスを用いるECの送信側によってデバイスに入力される。この例示の実施例において、(図20cおよび図c21に関して、ならびに図25aの列および図26の列2702に関して説明された上述の規則を用いて、適切な検出ステータスは、以下の値
001,10,012,90(コンマ付またはコンマ無)
を含む識別マーカによって表される。この識別マーカは、不正確なPINが受信され、整合の程度が90%の右手の手形が受信された検証ステータスを示す。
【0217】
第2の例において、データ(3つのタイプのバイオメトリック検証データを仮定されたい(右手親指、左手親指および右目の虹彩走査))が入力される。この第2の例において(再び、同じ規則を用いて)適切な検証ステータスは、以下の値
002,95,007,93,018,87(コンマ付またはコンマ無)
を含む識別マーカによって表される。この識別マーカは、右手親指の指紋が95%の整合を有し、左手親指の指紋が93%の整合を有し、右目の虹彩走査が87%の整合を生成した検証ステータスを示す。
【0218】
別の実施形態において、上述の工程が実行された後、デバイスは、検証ステータスを、対応するRsまたはRb値が追従する、あらゆる可能な識別子2004(または、図20cのその特定のサブセット)含む識別マーカとして識別する。従って、個々のタイプの検証データに入力が提供されないにもかかわらず、識別マーカは、すべての識別子2004およびそれらの対応するRsおよびRb値を含む。入力が受信されないこれらのタイプについては、RsまたはRbの対応する値が、好適には、0または零あるいは適切な等価値を含むデフォルト値である。この第3の例において、適切な検証ステータスが
001,01,002,00,003,00,004,0.25,005,00,006,0.96,...024,0.95
の識別マーカとして表される。
【0219】
「...」は、単に、「00」が追従する007と023との間の各識別子を含む(すなわち、識別子007〜023と対応する検証データ入力は無い)ことを想定して、この例示の実施形態における識別マーカは、正確なPINが有力され、右手中指の指紋が25%の整合を有し、右手小指の指紋が96%の整合を有し、DNA走査が95%の整合を有した検証ステータスを示す。単に比較する目的で、上述の例と異なって、本例示の実施形態は、図26の列2604に関する上述のRbの規則を用いる。
【0220】
別の代替的実施形態において、受信側が、デバイスによって用いられる規則はどれかを知っている場合、識別マーカから、識別マーカ値またはデータストリーム内の各検証データタイプを提供するシーケンスを含む、すべての識別子2004を消去することが可能である。例えば、上述の両方の規則を、すべての23個の識別子(Rs値に関する図25aの列2504および第1の識別マーカにおけるRb値に関する図26の列2602下、ならびにRsに関する図25aの列2504および第2の識別マーカにおけるRs値に関する図26の列2604下)に対して用いて、および検証データタイプの順序が図20cにおける23個の識別子2004と同じであると想定して、上述の検証ステータスの識別マーカは、代替的に、以下のように
0100000.25000.9600000000000000000000000000000000000.95
または
010000250096000000000000000000000000000000000095
提供され得る。
【0221】
上述の各識別マーカは、正確なPINが入力され、右手中指の指紋が25%の整合を有し、右手小指の指紋が96%の整合を有し、DNA走査が95%の整合を有する検証ステータスを識別する。
【0222】
(2.ECに関して認可された特定の送信側の関連付け)
デバイスの検証ステータスが「永久(persistent)」ステータスであるか否か、検証ステータスが、特に、検証ステータスのインジケータが関連付けられるECに当てはまるか否かに関して、受信側に追加的情報を提供することも可能および有利である。このような情報は、受信側によって用いられ、ECの送信側が前のメッセージに対して正確な機密を入力したか否か、またはデジタル的にサインされたEC内に含まれるトランザクションまたはリクエストの特定の承認または認証として、正確な機密が入力されたか否かが決定され得る。同じ利点がバイオメトリック特性の場合に当てはまる。
【0223】
例えば、上述のように、PIN等の機密の検証データを受信するようにのみ構成されたデバイスについては、図25aのフォーマットを用いて識別マーカによって識別され得る3つの検証ステータスまたは「状態(state)」がある。これらは、PINが入力されない(Rs=00);正確なPIN(Rs=01)および不正確なPIN(Rs=10)である。本発明の、このさらなる特徴により、図25bに、より完全に示されるように、さらなる「状態」がこれらの3つに付加される。このさらなる状態は、正確なPINが入力されたこと、しかしながら、それ以後、検証ステータスのインジケータが出力されたか、ECに関連してデジタル署名が生成されたことを表す。この第4の状態は、図25bの列2508に示される基数フォーマット、図25bの列2510に示されるバイナリフォーマット、および図25bの列2512に示される文字ストリングフォーマットを含む、上述のフォーマットのいずれかを用いて示され得る。バイナリフォーマットを用いて、インジケータが出力されたか、またはデジタル署名が生成され、セットされることによって、識別マーカは「01」と等しく、さらに、識別マーカが「11」と等しい場合、第4の状態が識別される。
【0224】
あるいは、デバイスは、カウンタまたは「デジタル署名フラグ」(本明細書中では、以後、一般に「DSFlag」と呼ばれる)を維持する。この点について、DSFlagは、最初に0にセットされ、およびデバイスから検証ステータスのインジケータが出力されるか、またはデジタル署名がデバイスによって生成される毎に1またはそれ以上を数える。その後、DSFlagは、検証データがデバイスによって再び受信されるまで、出力される各インジケータまたは生成されるデジタル署名について1に留まり(または1を数えることを継続)、その後、DSFlagは、0にリセットされる。この場合、DSFlagの値は、情報の追加的ビットとして、識別マーカの値に取り入れられる。例えば、識別マーカの可能な値は、従って、以下の値を含む。ここで、「/」は、例示目的で、Rsのバイナリ値および対応するDSFlag値を分離する。これらは、00/0(PIN無し入力;IVSおよびDSが内入力)、00/1(PIN無し入力;PINおよびDSが無い入力);01/0(PIN整合;PINの整合後からIVSおよびDSが無い出力);および01/1(PIN整合;PINの整合後からIVSまたはDSの出力);10/0(PIN不整合;IVSおよびDSが無い出力);および10/1(PIN不整合;IVSまたはDSの出力)である。
【0225】
1つのタイプのバイオメトリック検証データのみを受信するように構成されるデバイスについては、デバイスは、好適には、上述の方法と同様の態様で、識別マーカの部分としてDSFlagを含む。例えば、デジタル署名を作成し、1つの特定のタイプのバイオメトリック検証データを受信および処理することのみが可能なデバイスについては、識別マーカは、DSFlagの整合の程度および値を含む。従って、ECの送信側が親指の指紋を発信した場合、この指紋は90%の整合を有すると判定され、デジタル署名が生成されなかった場合、識別マーカの適切な値は「90/0」であり(「/」は、単に2つの値の分離を示す)、Rbの「90」の値は、整合の程度を示し、DSFlagの「0」の値は、検証データが最後に受信されてから、デジタル署名が生成されていないことを示す。逆に、上述の例において、親指の指紋走査がデバイスに発信されてから、1つ以上のデジタル署名がデバイスによって生成された場合、識別マーカは「90/1」である(またはカウンタの場合、「90/x」であり、ただし、「x」は0より大きい任意の数である)。
【0226】
複数のタイプの入力された検証データ(機密および/またはバイオメトリック)を受信することができるデバイスについては、各タイプの検証データの各比較結果(R)が固有のDSFlagを有することが望ましい。この状態において、デジタル署名が作成される毎に、すべてのDSFlagsが1にセットされる(または、そうでない場合、上述のようにインクリメントされる)。しかしながら、さらなる検証データがデバイスによって受信される毎に、特定のタイプの検証データのDSFlagは0にセットされる。この状態で、情報を電子装置に伝送するために、上述のように、特定の識別子を含むことが望ましい。前節の例を用いて、適切な識別マーカは、
001,01,1,002,00,1,003,00,1,004,0.25,0,005,00,1,006,0.96,1,...024,0.95,1と現れる。この識別マーカは、正確な機密が入力され、右手中指の指紋が25%の整合を有し、右手小指の指紋が96%の整合を有し、DNA走査が95%の整合を有し、右手中指の指紋は、デバイスによって最後にデジタル署名が生成されてから入力されたという検証ステータスを示す。
【0227】
ここで図27を参照して、表は、本発明のデバイスへの仮定的な一連のアクション(主に、異なったタイプの検証データの入力)、および(もしあれば)識別マーカの値に結果として生じた変化を示す。この例において、デバイスは、PINを維持し、デバイスの認可されたユーザの右手親指の指紋のデジタル化された値(識別子=002)、およびデバイスの承認されたユーザの右目の網膜のデジタル化されたバージョン(識別子=016)を維持する。さらに、本例示において、デバイスの識別マーカ(IM)は、Rs値、Rb(002)値、DSFlag(002)値、Rb(016)およびDSFlag(016)を含む。識別マーカは、Rsの値の2桁バイナリ規則(すなわち、図25bの列2510の)、Rb(002)の値およびRb(016)の値の2桁パーセンテージ整合規則(図26の列2602の)、および各バイオメトリック検証データタイプと関連するDSFlagのバイナリ値を用いる。従って、DSFlag値は、「0」(特定のタイプのバイオメトリック検証データが受信されてから、デジタル署名の生成および検証ステータスのインジケータの出力がなかったことを示す)か、または「1」(特定のタイプのバイオメトリック検証データが受信されてから、デジタル署名が生成されたか、またはインジケータが出力されたことを示す)のどちらかである。
【0228】
13の一連のアクションが、図27の表の第1の列に連続して示される。デバイスに対する、より具体的には、デバイスの現在の検証ステータスを識別する、デバイスの識別マーカに対するこれらのアクションの各々のインパクトは、表の残りの列を水平方向に横切って示される。第1のアクションにおいて、デバイスが活性化され、スイッチオンされるか、またはそうでない場合、リセットされる。このアクションは、示されるように、識別マーカを構成する値の各々を0のデフォルト値にリセットさせる。第2のアクションにおいて、不正確なPINが入力される。これは、Rsの値を「10」に変更させる。次の正確なPINがデバイスに入力され、Rs値を「01」に切り換える。デジタル署名の生成、識別マーカの値の出力、またはデバイスの検証ステータスの他の出力は、Rsの値を「11」に切り換えさせ、両方のDSFlagを「1」にトグルさせる。第4のアクション工程の出力内に含まれたRsの値が「01」であったことに留意されたい(出力の時点にてRsの「現在の」値であった、表の前の行から)。第5のアクションによって示されるように、デジタル署名の第2の生成、識別マーカの値の出力、またはデバイスの検証ステータスの他の出力は、識別マーカへの影響を有さない。しかしながら、Rsの値およびDSFlagの値は、第4のアクション中に出力された値とは異なることに留意されたい。
【0229】
第6のアクションとしての正確なPINの入力は、Rsの値を「01」にセットするが、右手親指の指紋および右目の網膜に関して、DSFlagへのインパクトを有さないことに留意されたい。第7のアクションにおいて、右手親指の指紋がデバイスに提供され、結果として、予め格納された右手親指の指紋値と85%の整合を有する。このことは、Rb(002)の値が「85」にセットされ、DSFlag(002)の値が「0」にセットされるようにする。第8のアクションにおいて、右目の網膜走査の結果がデバイスに提供され、予め格納された値と90%整合する。これは、Rb(016)の値が「90」にセットされ、DSFlag(016)の値が「0」にセットされるようにする。
【0230】
依然として図27を参照して、第9のアクションは、デジタル署名の第3の生成、識別マーカの出力、または第8のアクションの後に有効であった識別マーカを含む、デバイスの検証ステータスの他の出力であり、Rsを「11」に切り換えさせ、両方のDSFlagをトグルして「1」に戻す(toggle back)。第10のアクションにおいて、第2の右手親指の指紋がデバイスに提供される。これは、88%整合し、Rb(002)の値を「88」に、およびDSFlag(002)の値を「0」に変更する。この時点における不正確なPINの入力は、第11のアクションにおいて、単に、Rsの値を「10」に変更する。第12のアクションにおいて、デジタル署名の第4の生成、識別マーカの出力、またはデバイスの検証ステータスの他の出力は、DSFlag(002)をトグルして「1」に戻させるが、Rs値への、またはすでに「1」にセットされているDSFlag(016)値への影響を有さない。第13のアクションにおいて、デバイスに提供される第2の右目の網膜は、89%整合し、Rb(016)の値を「89」に変更し、DSFlag(016)の値を切り換えて「0」に戻す。第14のアクションにおいて(具体的に示されない)、デバイスへのリセット信号は、すべての値を、第1のアクションの後に示された値に戻す。
【0231】
識別マーカおよび検証ステータスのインジケータに関するものを含む、本発明のさらなる特徴および利益は、本発明の特定のデバイスおよびインプリメンテーションに関する以下の議論から明らかになる。
【0232】
(3.コンピュータチップの設計)
ここで、図28を参照して、ICカード、PDA、携帯電話、パーソナルコンピュータ、または本発明による他のデバイスとの関連で用いられ得る好適なコンピュータチップ50が示される。示されるように、コンピュータチップ50は、電力52、クロック入力54、および外部ソース90のリセットまたはマスタークリア入力(master clear input)56を受け取る。このコンピュータチップ50は、さらに、グラウンド58と接続され、外部ソース90を介して入力および出力データ60を交換する。外部ソース90は、場合によっては、ICカード、PDA、携帯電話、パーソナルコンピュータ、あるいはコンピュータチップ50がインストールされるか、ICカード、PDA、携帯電話、パーソナルコンピュータ、または他のデバイスと通信するI/Oサポートエレメント(図示せず)の部分であり得る他のデバイスの部分であり得る。
【0233】
内部で、コンピュータチップ50は、I/Oルータ62、中央制御器64、公開−秘密鍵の対の秘密鍵を安全に格納するためのメモリロケーション66、公開/秘密鍵の対の対応する公開鍵を格納するためのメモリロケーション68、専用公開/秘密鍵生成器回路70、秘密鍵破壊回路72、予め格納されたデフォルトメッセージ(default prestored message)を格納するためのメモリロケーション65、デジタル署名回路71(ハッシュ関数回路73、乱数発生器74、および暗号化回路75を含む)、データを予め格納するためのメモリロケーション76(機密および/またはバイオメトリックデータ)、選択された予め格納されたデータをメモリロケーション76から取り出すための選択マルチプレクサ78、種々のアカウントおよび他のユーザ情報を格納するためのメモリロケーション80、選択された情報をメモリロケーション80から取り出すための選択マルチプレクサ82、Rsの値(機密の)および各Rbの値(デバイス50内に格納された各バイオメトリック検証データタイプの)、およびRs値およびRb値と対応するDSFlagの値を含む、コンピュータチップ50の現在の検証ステータスを(好適には、識別マーカ(IM)の形態で)格納するためのメモリロケーション83、ならびにメモリロケーション83に読み出しおよび書き込みする選択マルチプレクサ84を含む。
【0234】
好適には、コンピュータチップ50は、以下の性能と共に設計される。これらは、データを安全および永久に(特に、秘密鍵)格納する能力、公開−秘密鍵の対を、チップ内で乱数発生器74から生成された乱数を用いて、ワンタイムオンリーベースで(one−time only basis)チップ上に生成する能力、およびリクエストされた場合、FIPS PUB 186−2に従って、チップ内で乱数発生器74から生成された乱数を用いて、デジタル署名を作成する能力である。コンピュータチップ50は、さらに、好適には、干渉(tampering)されず、Differential Power Attacksおよび他の物理解析に耐性を有する。予め格納された機密のデータは、好適には、さらに、網羅的探索攻撃(exhaustive search attacks)から保護される。秘密鍵を「保護」する一つの方法は、コンピュータチップ50に自爆回路(destruct circuit)72を用いて設計することによる。この自爆回路は、電子、物理および他の公知の手段によって秘密鍵が任意の干渉または盗みの試みによりトリガーされると、秘密鍵を破壊する。このような状態のもとで、自爆回路72は、コンピュータチップ50がさらなるデジタル署名を生成することを防止すること、およびメモリロケーション66に保持される情報を破壊することによってコンピュータチップ50を使用できなくする。
依然として図28を参照して、コンピュータチップ50は、さらに、製造中にチップ内にロードされるか、チップ50上の読み出し専用メモリ(ROM)内に永久的にエッチングされる、改変不可能なオペレーティングソフトウェアを含む。このようなソフトウェアは、コンピュータチップ50が特定のコマンドのセットに応答するか、このコマンドに従って動作することを可能にする。このようなコマンドは、例えば、コンピュータチップ50が個人専用化(personalize)されることを可能にする。個人専用化は、機密、バイオメトリック特性、ユーザ名およびアカウントナンバー(単数または複数)のデータを入力および予め格納することを含む。好適には、予め格納された機密のデータは、現在の機密検証データの入力が成功すると、変更することができる。しかしながら、予め格納されたバイオメトリックデータは、好適には、メモリ内に、永久的に一度限りロードされる(permanent once loaded)。
【0235】
ソフトウェアは、鍵生成回路70に一意に定まる公開−秘密鍵の対をコンピュータチップ50内にワンタイムオンリーベースで、直接的に生成させるコマンドをさらに含む。上述のように、秘密鍵は、メモリロケーション66内に安全に格納される。公開鍵は、メモリロケーション68内に格納される。ソフトウェアは、公開鍵がコンピュータチップ50からエクスポートされることを可能にするコマンドを含む。公開鍵をエクスポートするコマンドは、公開鍵へのアクセスに対して厳格な制御が所望されるか否かに依存して、複数回または一度限り実行可能であり得る。ソフトウェアは、検証データが入力されていることをコンピュータチップ50に通知するコマンドを含む。選択的に、別個のコマンド(またはコマンドと共に含まれる別個の情報)が用いられ、入力される検証データが機密であるか、バイオメトリック特性であるかを示し、バイオメトリック特性である場合、バイオメトリックタイプである。好適には、コンピュータチップ50は、さらに、検証データを受信するときはいつも検証ステータスを自動的に識別する。
【0236】
ソフトウェアは、メッセージデータが入力されることをコンピュータチップ50に通知するコマンドをさらに含む。多くの状態において、コンピュータチップ50に入力または提供されるメッセージデータが、コンピュータチップ50上のメモリロケーション80内に維持される特定のアカウント情報または他のユーザデータを取り込むことが必要または望ましい。このような情報をメモリロケーション80から抽出し、この情報をコンピュータチップ50に送信されるメッセージデータ内に含むために、一般に、2つの技術がある。
【0237】
第1の技術において、すべてのアカウントおよび他のユーザ情報は、コンピュータチップ50から抽出され、ユーザは、コンピュータチップ50を用いてデジタル的にサインされるべきメッセージの部分として含まれるべき適切なアカウントまたはユーザ情報を選択することをディスプレイを介して指示される。メッセージデータコマンドは、その後、デジタル署名を作成するためにコンピュータチップ50に送信され、選択されたアカウントまたはユーザ情報はメッセージデータ内に含まれる。例えば、コンピュータチップ50が、リーダまたは他のI/Oサポートエレメントと関連してICカード内で用いられる場合、I/Oサポートエレメントは、すべてのアカウントおよびユーザ情報を抽出するためにコマンドをコンピュータチップ50に送信する。ユーザは、その後、I/Oサポートエレメントによって提供されるディスプレイから、コンピュータチップ50を用いてデジタル的にサインされるべきメッセージの部分として含まれるべきI/Oサポートエレメントによって提供されるディスプレイから、適切なアカウントまたはユーザ情報を選択する。その後、メッセージデータコマンドは、デジタル署名を作成するためにコンピュータチップ50に送信され、選択されたアカウントまたはユーザ情報はメッセージデータに含まれる。
【0238】
第2の技術において、コンピュータチップ50に提供されるメッセージデータコマンドは、1つ以上の「零フィールド(null fields)」または他の適切な「タグ」を含む。これらは、特定のアカウントフィールドまたはユーザ情報フィールドを識別するが、中に値が供給されない。タグに応答して、コンピュータチップ50は、コンテンツアドレッサブルメモリを検索し、メモリ内に維持される対応するフィールドを識別する。対応するフィールドのロケーションに関して、コンピュータチップ50は、タグの零値の代わりに、メッセージデータ内にこのようなフィールドの値を供給する。この方法を用いて、メモリロケーション80内のアカウントを含む各データセルまたはユーザ情報は、固有のタグまたはコンテンツアドレスを有する。好適には、このようなタグまたはコンテンツアドレスは、標準化され、従って、アカウントまたはユーザ情報がメモリロケーション80内に正確に格納され、かつ後で必要な場合は、タグを用いて用意に取り出され得る。このようなタグはXMLタグを含み得る。
【0239】
例えば、メッセージデータコマンドは、コンピュータチップ50に送信され得、このコンピュータチップ内で、メッセージデータは、<ユーザ名>がメッセージデータのテキスト内の特定のロケーションに挿入されることをリクエストする零フィールドまたはタグを含む。このようなメッセージデータがコンピュータチップ50に提供されるときはいつも、コンピュータチップ50は、挿入することによってメッセージデータを自動的に完成させ、この場合、「ユーザ名」がチップ50のメモリロケーション80の第3のセル内に格納される。好適には、タグが用いられ、コンピュータチップ50のメモリロケーション80内に維持される種々のフィールド値(例えば、クレジットカード口座番号、銀行口座番号、ユーザ名、雇い主アカウントナンバー、ウェブサイトアカウントナンバー等)のいずれかを抽出および挿入し得る。
【0240】
メッセージデータが、上述の技術のうちの1つを用いて、リクエストされたすべてのアカウントおよびユーザ情報を備えて「完成される」と、このようなメッセージデータは、その後、以下のための準備が整う。これらは、コンピュータチップの現在の検証ステータスによる改変(IMの値を用いて)、改変されたメッセージデータのハッシュ値の計算、デジタル署名を生成するためのハッシュ値の暗号化、およびデジタル署名の出力である。
【0241】
あるいは、コンピュータチップ50は、デジタル署名を生成する適切なコマンドに応答して、同様に、(インポートされたメッセージデータではなく)メモリロケーション65内に予め格納されたメッセージを用いてデジタル署名を生成する。
【0242】
理解されるように、上述の構成素子および関数性を含み、本発明により、検証ステータスを提供する際に用いられるコンピュータチップは、それ自体、新規性があり、かつ進歩性があり、従って、このようなコンピュータチップは、実際に、本発明の局面を含む。
【0243】
(4.本発明の特定のインプリメンテーション)
図29〜図33(図28にしばしば戻って参照して)は、本発明による関数のために構成され、適切なコンピュータチップ50を含む(例えば、図28を参照する上記のような)単一のICカード95が、ICカード95の疑わしいユーザによって複数の異なった用途および状況にて用いられ得る態様が示される。ICカード95の構造は、中にコンピュータチップ50が埋め込まれ、ICカード95内で、ICカードリーダとコンピュータチップ50との間の通信を可能にする表面接点を有する従来型である。表面接点は、ISO/IEC7816対応である。ISO/IEC14443対応の近接カードまたは7816および14443オペレーションの両方が可能である組み合わせ回路を有することも可能である。
これらを例示する目的で、コンピュータチップ50(図28に示される)が、上述の方法で生成された一意に定まる公開/秘密鍵の対をすでに含むことが想定される。PIN(これらの例示における機密)および認可されたユーザの右手の親指の指紋、右目の網膜および声紋のデジタル化されたバージョンがチップ50(再び、図28に示される)のメモリロケーション76(セル001、002、016および020それぞれ)に入力および予め格納されることが想定される。認可されたユーザ名、クレジットカード口座番号、当座預金口座、建物およびコンピュータへのアクセスのための関係者ID番号、およびウェブサイト仲介業者の口座番号が、上述のように、提供されるメッセージデータ内に含まれる適切なタグを用いて、必要に応じて外部ソースからICカード95にアクセスするためにメモリロケーション80内に予め適切に格納されていることも想定される。さらに、コンピュータチップ50上に格納される公開鍵が、認可されたユーザの雇い主、クレジットカード会計処理会社、銀行、および仲介業者に提供され、これらの各々は、従って、その固有のデータベース内で関連付けられて、認可されたユーザのアカウントを有する公開鍵を有することが想定される。本例示の目的で、コンピュータチップ50が識別マーカ(IM)の値を出力することがさらに想定される。この識別マーカは、図25の列2504に示されるように、規則を用いてRsの値を含むデータストリングである(すなわち、PIN無し(Rs=00)、正確なPINであり、IVSまたはDS(Rs=01)および不正確なPIN(Rs=10)には用いられない)。識別マーカの値は、すべてのバイオメトリック検証データタイプの、タイプ識別子(0xx)およびRbの値(図26の列2602に示されるように、2つのパーセンテージ整合(xx)のフォーマットで)を含む。さらに、識別マーカは、Rs値および各Rb値と関連するそれぞれのDSFlagを含む。
【0244】
ここで、図29を特に参照して、第1の例は、疑わしいユーザ46によって用いられているICカード95を示す。この第1の例において、疑わしいユーザ46は、駐車場2902へのアクセスを獲得するためのICカード95を提供する。駐車場2902は、駐車場ゲート2904によって守られる。このゲートは、アーム2906を有し、駐車場ゲート制御器2908によって制御される。次に、駐車場ゲート制御器2908は、ICカードリーダ2910と通信している。駐車場ゲート2904から分離されて示されるが、制御器2908およびICカードリーダ2910は、実際、駐車場ゲート2904のハウジング内に物理的に組み込まれ得る。
【0245】
アーム2906を持ち上げるために、疑わしいユーザ46は、ICカード95をリーダ2910に挿入する(または、14443オペレーションの場合リーダの近傍にカードを配置する)。これは、比較的、低いセキュリティレベルの駐車場2902であるので、ICカードリーダ2910は、関連するキーバッドおよびバイオメトリックスキャナを有さない。従って、疑わしいユーザ46が任意の検証データを入力し得るために用いる手段が無い。従って、駐車場へのアクセスは、ICカード95の任意の特定の検証ステータスに依存しない。駐車場ゲート制御器2908は、駐車場ゲート2906を、駐車場ゲート制御器を用いて予め登録されたICカード95の適切な提示によってのみ開く。好適には、予めの登録は、コンピュータチップ50のメモリ80内(図28に示される)保持される、カードの認可されたユーザが自分の名前(「ユーザ名」)、駐車場ゲート制御器2908に提供すること、または、逆に、駐車場ゲート2904のオペレータ(例えば、認可されたユーザの雇い主またはエージェント)を有し、従業員アカウントナンバーをコンピュータチップ50のメモリロケーション80(図28に示される)に入力することによって、駐車場ゲートシステムを用いるためのICカード95を「承認する」ことを含む。セキュリティを改善するために、カード95の認可されたユーザは、さらに、自分の公開鍵(チップ50上に保持される)を駐車場ゲート制御器2908に提供し、この制御器はユーザの名前または従業員アカウントナンバーをこの公開鍵と関連付ける(本明細書中において、以後、「ユーザ情報」と呼ばれる)。
【0246】
ICカード95がカードリーダ2910に挿入される(またはカードリーダ2910に近接させる)と、カードリーダ2910は初期化される。カードリーダ2910の初期化は従来通りであり、カードリーダ2910によって物理的にICカード95を検出するか、または、ICカードが、最初にカードリーダ2910から電力を受け取ると、ICカード95がカードリーダ2910に「リセット」メッセージを出力するかどちらかによって達成される。ICカード95が電力を受け取ると、PINおよび欠く適用可能なバイオメトリックタイプの識別マーカおよびすべてのDSFlagがリセットされる。あるいは、電力がカード95から除去された場合、すべてのこのような値はリセットされ得る。
【0247】
初期化に続いて、カードリーダ2910は、メッセージ入力コマンドをICカード95に送信する。少なくとも、メッセージ入力コマンドは、「ユーザ名」または「従業員アカウントナンバー」等のユーザ情報をメモリロケーション80(図28に示される)内の適切なデータフィールドからリクエストするタグを含む。本例示において、タグ以外のさらなるメッセージは無い。
【0248】
メッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50(図28に示される)は、リクエストされたユーザ情報(このようなユーザ情報は、メッセージデータの部分になる)をメモリロケーション80(図28に示される)から取出し、識別マーカの現在の値を取り出し、識別マーカの値を有するメッセージデータの前に値を付加することによって改変し、改変されたメッセージデータのハッシュ値を計算し、ハッシュ値を暗号化してデジタル署名を生成し、デジタル署名、リクエストされたユーザ情報および識別マーカの値をカードリーダ2910にエクスポートする。カードリーダは、このようなデータを処理するための制御器2908に転送する。
【0249】
その後、制御器2908は、ICカード95から取出された、リクエストされたユーザ情報(名前または従業員アカウントナンバー)と、そのデータベース内に維持された、認可された名前または認可された従業員アカウントナンバーのリストとを最初に比較する。認証を考慮しない低い程度のセキュリティについては、ICカード95から受信されたユーザ情報が、そのデータベース内の認可された名前または認可された従業員アカウントナンバーのうちの1つと整合する場合、制御器2908は、駐車場ゲート2906を開く。偽造ICカードから守る高いセキュリティについては、制御器2908は、整合するユーザ情報と関連付けられた公開鍵を用いて、ICカード95から受信されたデジタル署名を復号化する。デジタル署名からの復号化されたハッシュ値が、ICカード95によって提供されるユーザ情報(すなわち、メッセージデータ)に基づいて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、制御器2908は、デジタル署名が受信されるICカード95が、駐車場2904のオペレータによって予め登録されたユーザと関連付けられた一意に定まる秘密鍵を含むと決定し、駐車場ゲートアーム2906を持ち上げる(この場合のゲートを持ち上げる決定は、ファクタ A エンティティ 認証に基づく)。
【0250】
ここで、図30および図31を参照して、最初に、安全な(secure)建物3002内への、その後、この安全な建物3002内に位置する安全な部屋3102へのアクセスを獲得するために、同じICカード95が疑わしいユーザ46によって用いられ得る。図30に示されるように、1つのICカードリーダ3004が、建物3002への安全な入口3010の隣に取付けられる。このICカードリーダ3004は、英数字キーパッド3006およびディスプレイ画面3008を備える。ICカードリーダ3004は、建物セキュリティ制御器3014と電子通信し、入口3010の鎖錠メカニズム3012を制御する。建物の内部において、図31に示されるように、別のICカードリーダ3104が安全なドア3110の隣の壁に取付けられる。このICカードリーダ3104は、網膜スキャナ3106およびディスプレイ3108を備える。同様に、このICカードリーダ3104は、建物セキュリティ制御器3114と電子通信する。この制御器は、ドア3110の鎖錠メカニズム3112を制御する。駐車場2902(図29の)が安全な建物3002と同じファシリティの部分である場合、駐車場ゲート制御器2908および建物セキュリティ制御器3014、3114は、同じ装置、同じコンピュータシステムの部分であるか、またはICカード95の認可されたユーザおよび公開鍵に関する、同じ情報のデータベースを共有することが可能である。
【0251】
最初に、図30を参照して、安全な建物3002内にアクセスするために、ICカード95がICカードリーダ3004に挿入される(または、カードリーダ3004の近傍に運ばれる)。リーダ3004は、図29におけるカードリーダ2910とほとんど同じ方法で初期化される。識別マーカおよびすべてのDSFlagは、電力がICカード95に最初に供給されるとリセットされる。
【0252】
初期化された場合、カードリーダ3004は、ディスプレイ3008を用いて、疑わしいユーザ46に指示して、PINを入力させる。PINがキーパッド3006を用いて入力される場合、カードリーダ3004は、このPINを、建物セキュリティ制御器3014ではなく、ICカード95に直接的に伝送する。
【0253】
ICカード95がPIN検証データを受信した場合、コンピュータチップ50(図28に示される)上の制御器64は、メモリロケーション76(セル001)から予め格納されたPINデータを取り出し、2つの値を比較する(ファクタB エンティティ 認証)。整合/不整合の決定は、制御器64によってなされる。これは、検証ステータスをRs=01(整合)またはRs=10(不整合)として識別する。
【0254】
カードリーダ3304の制御にプログラミングされる、適切な(短い)遅延の後、カードリーダ3004は、メッセージ入力コマンドをICカード95に送信する。図29との関連で前に説明されたように、メッセージ入力コマンドは、メモリロケーションン80(図28に示される)内の適切なデータフィールドからユーザ情報(例えば、「ユーザ名」または「従業員アカウントナンバー」)をリクエストする「タグ」を含む。再び、メッセージデータはタグのみを含み、他のいかなる追加の情報も含まないことが想定される。
【0255】
メッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50は、リクエストされたユーザ情報をメモリロケーション80(図28に示される)から取り出し、識別マーカの現在の値を取り出し、識別マーカの値を有するユーザ情報(すなわち、メッセージデータ)の前に値を付加することによって改変し、改変されたユーザ情報のハッシュ値を計算してデジタル署名を生成し、ハッシュ値を暗号化し、デジタル署名、リクエストされたユーザ情報および識別マーカの値をカードリーダ3104にエクスポートする。コンピュータチップ50(図28に示される)は、その後、DSFlagの値のすべてを「1」にインクリメントする。換言すると、コンピュータチップ50は、カード95の電源投入後から、任意の検証データ入力が受信された特定の検証データタイプについてDSFlagの値を「1」にインクリメントするだけである。
【0256】
カードリーダ3004によって受信されたデジタル署名、識別マーカの値、およびユーザ情報は、建物セキュリティ制御器3014に伝達される。建物セキュリティ制御器3014は、ユーザ情報が、建物3002にアクセスするための認可された名前または認可された従業員アカウントナンバーのどちらかと整合することを最初に確認する。整合する場合、建物セキュリティ制御器3014は、その後、整合する認可されたユーザ情報と関連する公開鍵を用いて、デジタル署名を復号化する。デジタル署名の復号化されたハッシュ値がICカード95から受信されたユーザ情報に基づいて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、建物セキュリティ制御器3014は、デジタル署名が受信されるICカード95が一意に定まる秘密鍵を含むことを決定する。最後に、建物セキュリティ制御器3014は、識別マーカの値によって示される検証ステータスを点検して、ICカード95の疑わしいユーザ46が、実際、ICカード95の認可されたユーザであるか否かを決定する。示された検証ステータスが整合を表す場合(すなわち、Rs=01の値)、建物セキュリティ制御器3014は、疑わしいユーザ46が認可されたユーザなのではないかと推論し、その後、信号を鎖錠メカニズム3012に送信し、入口を解錠および/またはドア3010を開ける。
【0257】
図31の安全な部屋3102内へのアクセスについては、ICカード95がICカードリーダ3104に挿入される(または、カードリーダ3104の近傍に運ばれる)。リーダ3104は、カードリーダ3004とほぼ同じ方法で初期化され、識別マーカおよびすべてのDSFlagは、ICカード95に電力が最初に供給されるとリセットされる。初期化された場合、カードリーダ3104は、ディスプレイ3108を用いて、疑わしいユーザ46に指示して、右目をスキャナ3106の前に配置させる。網膜スキャナ3106は、疑わしいユーザ46の右目を走査し、そのデジタル化されたバージョンを取得する。カードリーダ3104は、その後、バイオメトリック検証データ(これは識別子および右目網膜のデジタル走査の値を含む)を、建物セキュリティ制御器3114ではなく、比較するためにICカード95に伝送する。
【0258】
バイオメトリック検証データがICカード95によって受信された場合、制御器64(図28に示される)は、受信された(識別子に基づいて)バイオメトリック検証データのタイプを決定し、認可されたユーザの右目網膜に関する対応する予め格納されたバイオメトリックデータをメモリロケーション76(セル016)から取りだし、2つの値(ファクタ C Entry 認証)を比較する。決定/計算の整合の程度は、制御器64によって得られる。これは、Rb(016)をパーセンテージ整合と対応する2桁の数(再び、図28に示される)にセットする。
【0259】
適切な(短い)遅延の後、カードリーダ3104は、メッセージ入力コマンドをICカード95に送信する。上述のように、メッセージ入力コマンドは、メモリロケーションン80内の適切なデータフィールドからユーザ情報をリクエストする「タグ」を含む。再び、メッセージデータはタグのみを含み、他のいかなる追加の情報も含まないことが想定される。
【0260】
メッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50は、リクエストされたユーザ情報をメモリロケーション80から取り出し、識別マーカの現在の値(その中に、カードがカードリーダ3104に挿入された場合、0にリセットされたRb(016)の値およびDSFlag(016)の値を含む)を取り出し、識別マーカの値を有するユーザ情報を、ユーザ情報の前に値を付加することによって改変し、改変されたユーザ情報のハッシュ値を計算し、ハッシュ値を暗号化してデジタル署名を生成し、デジタル署名、リクエストされたユーザ情報および識別マーカの値をカードリーダ3104にエクスポートする。コンピュータチップ50は、その後、DSFlagの値のすべてを「1」にインクリメントする。
【0261】
ICカード95から受信されたデジタル署名、ユーザ情報、および識別マーカの値は、その後、カードリーダ3104によって建物セキュリティ制御器3114に伝達される。建物セキュリティ制御器3114は、ICカード95から受信されたユーザ情報が、部屋3102にアクセスするための認可されたユーザ名または従業員アカウントナンバーと整合することを最初に確認する。整合する場合、建物セキュリティ制御器3114は、その後、整合するユーザ情報と関連する公開鍵を用いて、デジタル署名を復号化する。デジタル署名の復号化されたハッシュ値がICカード95から受信されたユーザ情報に基づいて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、建物セキュリティ制御器3114は、デジタル署名が受信されるICカード95が一意に定まる秘密鍵を含むことを決定する。最後に、建物セキュリティ制御器3114は、識別マーカの値によって示される検証ステータスを点検して、ICカード95の疑わしいユーザ46が、実際、ICカード95の認可されたユーザであるか否かを決定する。この点について、走査された網膜の値と、認可されたユーザの網膜に関する予め格納された値との間の整合の程度が、建物セキュリティ制御器3114による閾値要求(例えば、90%またはそれより良好な整合)のセットを満たす場合、建物セキュリティ制御器3114は、疑わしいユーザ46が認可されたユーザなのではないかと推論し、その後、信号を鎖錠メカニズム3112に送信し、入口を解錠および/またはドア3110を開ける。
建物セキュリティ制御器3114は、走査された網膜と予め格納された網膜との間の整合が「完全」または100%である場合、部屋3102へのアクセスを拒絶するビジネスロジックを含み得る。なぜなら、このような比較は、おそらく、不正な入力検証データを示すからである。カード95から受信された整合の程度が、この部屋3102のための建物セキュリティ制御器3114によってセットされる必要な閾値セットを超過しない場合、さらなる網膜走査がリクエストされ得、上述の手順が繰返され得る。ICカード95が、カードリーダ3104から除去された場合、およびICカード95が、新しい網膜スキャンが行われるか、またはICカード95に無事に伝送された場合、カード95によって出力された検証ステータスは、「1」の値にセットされる右目網膜のDSFlagを含む。このDSFlagは、建物セキュリティ制御器3114に、新しい網膜走査が入力されなかったか、またはICカード95によって正確に受信されたことを信号で伝える。新しい網膜走査が行われ、ICカード95に伝送された場合、右目網膜のDSFlag(DSFlag(016))は0にリセットされる。同じ目の網膜走査は、一般に、走査毎にわずかに異なるので(他のタイプのバイオメトリック情報のほとんどの操作がそうであるように)、新しい整合決定の程度が、同じICカード95からの同じバイオメトリック特性に関する前の決定と全く同一である場合、建物セキュリティ制御器3114は、ICカード95によって受信された不正なバイオメトリック検証データの潜在性を警戒する。
【0262】
カード95から受信された初期の整合の程度が、この部屋3102のための建物セキュリティ制御器3114によってセットされる必要な閾値を超過した場合であっても、建物セキュリティ制御器3114は、それにもかかわらず、単に、バイオメトリック入力が不正であったか否かを決定する目的で、疑わしいユーザ46のフォローアップ網膜走査をリクエストし得る(すなわち、フォローアップの整合の程度が初期の整合の程度と同じか否か)。建物セキュリティ制御器3114は、走査された網膜と予め格納された網膜との間の整合が「完全」または100%である場合、部屋3102へのアクセスを拒絶するビジネスロジックをさらに含み得る。なぜなら、このような比較、さらに、おそらく不正な入力検証データを示すからである。図32aを参照して、疑わしいユーザ46は、ここで、自分の机の前にすわり、自分のパーソナルコンピュータ3202にアクセスする。コンピュータ3202は、キーボード3204、モニタ3206、およびマウス3208を含む従来型である。コンピュータ3202は、カードリーダ3210をさらに備える。このカードリーダは、コンピュータ3202の適切なポート(例えば、シリアル、パラレル、USB等)を介してコンピュータ3202とデータを交換する。カードリーダ3210は、上述のカードリーダと同じであり、中に挿入される(またはその近傍に運ばれる)と、ICカード95と情報を交換することができる。本例示において、コンピュータ3202は、疑わしいユーザ46の声等の音声入力を受信するためのマイクロフォン3212をさらに備える。カードリーダ3210に適正なICカード95が挿入されることなく、コンピュータ3202が電源投入されることを回避することが可能であるが、本例示は、コンピュータ3202が電源投入され、セキュリティスクリーンを立ち上がるが(boot up)(コンピュータ3202上にインストールされた適切なソフトウェアを用いて)、コンピュータ3202上に維持されたプログラムまたはデータベースへの、あるいはコンピュータのオペレーティングシステム等への実質的なアクセスは、疑わしいユーザ46が認証されるまで可能にならないことを想定する。あるいは、建物セキュリティ制御器3114は、さらに、不正な入力の疑いがある場合、さらなるPINおよび/またはバイオ入力をリクエストし得る。
電源投入された後、コンピュータ3202は、モニタ3206上に表示されたセキュリティスクリーン上で、疑わしいユーザ46に指示して、ICカード95をカードリーダ3210に挿入し、さらにスクリーン上に表示された適切なデータ入力ウィンドウに入力し、(声紋を取得する目的で)自分の名前を名乗らせる(音響式で)(名、中間名の頭文字および姓)。
【0263】
ICカード95がリーダ3210に挿入された場合、リーダ3210は、初期化され(上述のように)、カード95に供給された電力は、コンピュータチップ50上の識別マーカおよびDSFlagのすべてをリセットさせる。キーボード3204を用いてPINが入力された場合、および疑わしいユーザ46が自分の名前をマイクロフォン3212に向かって名乗った場合、コンピュータ3202は、PINおよび声紋のデジタル化されたバージョンの両方を、カードリーダ3210を介してICカード95に伝送する。カードリーダ3210は、PINの値および声紋を識別子(例えば、PINについては001、および声紋については020)と共にカード95に伝送し、それぞれについて、検証データ入力のタイプおよび順序を識別する。
【0264】
PINおよびバイオメトリック検証データがICカード95によって受信されると、コンピュータチップ50上の制御器64(図28に戻って参照して)は、識別子に基づいて受信された検証データのタイプを最初に決定し、その後、適切な予め格納されたデータをメモリロケーション76から取出す。この例示において、制御器64は、PINのために予め格納されたデータを、メモリロケーション76内のメモリロケーションデータセル001から最初に取出し、その後、その値を、カードリーダ3210から受信されたPIN検証データの値と比較する(ファクタ B エンティティ 認証)。整合/不整合の決定 は、制御器64によって成される。この制御器は、Rsの値を、「01」(整合)または「10」(不整合)としてセットする。次に、制御器64は、認可されたユーザの声紋に関する予め格納されたデータをメモリロケーション76内のデータセル020から取り出し、その後、この値を、カードリーダ3210から受信されたデジタル化された声紋(ファクタ C エンティティ 認証)と比較する。整合の程度の決定/計算は、制御器64によってなされる。この制御器は、パーセンテージ整合に対応するRb(020)の値を2桁の数にセットする。
【0265】
適切な(短い)遅延の後、コンピュータ3202は、その後、メッセージ入力コマンドを、カードリーダ3210を介してICカード95に送信する。この場合、メッセージ入力コマンドは、メモリロケーション80内の適切なデータフィールドからユーザ情報をリクエストするタグを含む(再び、図28に示される)。再び、メッセージデータは、タグのみを含み、他のいかなる追加の情報も含まないことが想定される。
【0266】
メッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50は、リクエストされた、認可されたユーザ情報を(メッセージデータとして)メモリロケーション80から取り出し、識別マーカの現在の値を取り出し(この識別マーカは、カードがカードリーダ3210に挿入されたときに0にリセットされたRsの値およびDSFlag(001)の値を含み、さらにゼロにリセットされたDSFlag(020)の値を含む)、メッセージデータの前に値を付加することによって、識別マーカを有するメッセージデータを改変し、改変されたメッセージデータのハッシュ値を計算し、ハッシュ値を暗号化して、デジタル署名を生成し、デジタル署名、リクエストされたユーザ情報、および識別マーカの値をカードリーダ3210にエクスポートする。コンピュータチップ50は、その後、コンピュータチップ50上のDSFlagのすべての値を「1」にインクリメントする(少なくとも、PINおよび声紋のDSFlag、すなわちDSFlag(001)およびDSFlag(002)が「1」にインプリメントされる)。
【0267】
カードリーダ3210によって受信されたデジタル署名、ユーザインフォーメーションおよび識別マーカの値は、その後、処理するためのコンピュータ3202に伝達される。コンピュータ3202がスタンドアロンコンピュータである場合、処理は、コンピュータ3202自体の中で行われる。しかしながら、コンピュータ3202は、ネットワーク化され、サーバと通信する(図示せず)可能性がより高い。このサーバは、疑わしいユーザ46がコンピュータ3202へのアクセスを獲得するか否かを実際に決定する。
【0268】
サーバが含まれることを想定して、サーバは、ICカード95から受信されたユーザ情報が、特定のコンピュータ3202へアクセスするため、および特定のコンピュータを使用するための、認可されたユーザ名または従業員アカウントナンバーと整合することを最初に確認する。サーバは、その後、整合するユーザ情報と関連する公開鍵を用いて、デジタル署名を復号化する。デジタル署名の復号化されたハッシュ値が、ICカード95から受信されたユーザ情報に基づいて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、サーバは、デジタル署名が受信されるICカード95が一意に定まる秘密鍵を含むことを決定する。最後に、サーバは、識別マーカの値によって示される検証ステータスを点検し、疑わしいユーザ46が、実際、ICカード95の認可されたユーザであるか否かを決定する。これは、異なったタイプの検証データがICカード95によって受信され、カード95の検証ステータスを識別するために用いられるため、2工程プロセスである。第1の工程において、Rsの値が「01」(整合)である場合、サーバは、疑わしいユーザ46が認可されたユーザなのではないかと推論する。第2の工程において、サーバは、疑わしいユーザ46によって提供された声紋が、ICカード95上に格納された、認可されたユーザの声紋と十分に類似であるか否かを決定するためのビジネスロジックまたはルールベースを用いて、疑わしいユーザ46が認可されたユーザなのではないかと再び推論する。
【0269】
サーバのビジネスロジックおよびルールベースは、RsおよびRb値(PINおよび声紋)の種々の組み合わせを容認するようにプログラミングされ得、疑わしいユーザ46が認可されたユーザなのではないかと推論する。例えば、正確なPIN単独で、正確なPINに加えて声紋が少なくとも70%整合、声紋が95%を超過したが不正確なPIN、および不正確なPINであるが2つの声紋が90%を超過するということは、すべて、サーバが、疑わしいユーザ46が認可されたユーザであると想定し、コンピュータ3202へのアクセスを与えるために十分であり得る異なったタイプの検証ステータスである。明らかに、ビジネスロジックまたはルールベースは、所望される必要な回路に依存して、かなり多様であり得る。
【0270】
ここで、図32bを参照して、ICカード95は、さらに、インターネット3222等の安全でないネットワーク上の安全ななウェブサイトにアクセスする際に、疑わしいユーザ46によって用いられ得る。このさらなる例示において、疑わしいユーザ46が自分の仲介業者3220の安全ななウェブサイト3224にアクセスすることが想定される。ユーザは、この仲介業者との口座をすでに開設している。ウェブサイト3224を運営する仲介業者3220は、アカウントデータベース3225に格納されおよび認可されたユーザのアカウントと関連するICカード95から、認可されたユーザの公開鍵をすでに有している。疑わしいユーザ46は図32aからのコンピュータ3202を用いてウェブサイト3224にアクセスし、カード95は、コンピュータ3202へのアクセスを獲得するために用いられてから、カードリーダ3210から除去されていず、従って、DSFlagは「1」にセットされた状態であることがさらに想定される。
【0271】
ウェブサイト3224にアクセスする場合、疑わしいユーザ46はユーザIDをウェブサイトのログインスクリーンに入力する。ユーザIDは、仲介業者3220が、従来のように、ユーザの適切なアカウントを容易に突き止めることを可能にする。しかしながら、ユーザIDをパスワードと共に暗号化し、その後、暗号化された情報をインターネット上に送信するよりは、むしろ、コンピュータ3202は、ユーザIDをカードリーダ3210を介してICカード95に送信する。ウェブサイト3224がコンピュータ3202に指図して、インターネットを介してウェブサイト3224に直接的に送信させるのではなく、ユーザIDをICカード95に送信させるプロセスは本発明の範囲を超える。しかしながら、このプロセスは、いくつかの異なった方法で容易に達成され得る。1つの例示において、ウェブサイト3224は、適切なICカード95(または、本発明の他のデバイス)を有するユーザによってのみ使用される専用のログインページを有する。この場合、このようなログインページへのユーザIDの入力は、コンピュータ3202に自動的に指図し、ユーザIDを処理するためにICカード95に送信する。あるいは、ウェブサイト3224のためのログインページは、ユーザがIDおよびパスワードを用いて従来型のログインを選択し、または自分のICカード95を用いてログインすることを可能にし得る。上述の例のどちらかにおいて、ユーザIDは、従来のように、コンピュータ3202上のメモリ内の「クッキー」に実際に格納され得る。これは、ユーザが、ウェブサイト3224のログインページ上の一つのボタンをクリックするだけで、コンピュータ3202にユーザIDをICカード95に送信させることを可能にする。
【0272】
ユーザIDを含むメッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50は、識別マーカの現在の値を取り出し、値をユーザIDの前に付加することによって、識別マーカの値を有するカードリーダ3210から受信されたユーザIDを改変し、改変されたユーザIDのハッシュ値を計算し、このハッシュ値を暗号化してデジタル署名を生成し、デジタル署名および識別マーカの値をカードリーダ3210を介してコンピュータ3202に戻す。この場合、DSFlagの値はインクリメントされない。なぜなら、これらの値は、「1」に既にセットされているからである。
【0273】
ユーザID,デジタル署名および識別マーカの値は、その後、処理するために、ECにおいて、コンピュータ3202によってインターネットを介してウェブサイト3224に伝達される。ウェブサイト3224と関連するコンピュータプログラミングは、疑わしいユーザ46が、ユーザIDとアカウントとの整合によって、仲介業者とのアカウントを維持することを最初に確認する。整合するユーザIDを有するアカウントが見出される場合、コンピュータプログラミングは、次に、識別されたアカウントと関連する公開鍵を用いて、デジタル署名を復号化する。デジタル署名から復号化されたハッシュ値が、ICカード95から受信されたユーザIDに基づいていて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、デジタル署名が受信されるICカード95は、ユーザのアカウントと対応する一意に定まる秘密鍵を含むことが決定される。最後に、ウェブサイト3224と関連するコンピュータプログラミングは、識別マーカの値によって示される検証ステータスを点検し、疑わしいユーザ46が、実際、ICカード95の認可されたユーザであると決定する。
【0274】
好適には、コンピュータプログラミングは、最初の評価をするために、識別マーカの値からRsの値のみを抽出する。Rsの値が「00」(PIN無し入力)である場合、ウェブサイト3224は、リクエストデータをユーザのPINの入力をリクエストするコンピュータ3202に戻す。Rsの値が「10」(不正確なPIN)である場合、ウェブサイト3224は、疑わしいユーザ46のリクエストを送信し、PINを再入力する。どちらの場合でも、適切なスクリーンがコンピュータ3202のモニタ3206上に表示され、疑わしいユーザ46をPINを入力することを可能にする。このようなPINは、コンピュータ3202のキーボードによってカード95に伝送されるが、インターネット3222上には伝送されないことが再び強調される。Rsの値が「01」(正確なPIN)である場合、ウェブサイト3224は、疑わしいユーザ46が、実際、認可されたユーザであるのではないかと推論し、ウェブサイト3224へのアクセスを与える。従って、単なるウェブサイト3224へのアクセスについては、PINがユーザIDのデジタル署名を生成する直前に入力される必要はない(ウェブサイト3224にアクセスするために、正確なPINの以前の入力で十分である)。
【0275】
他方、ウェブサイト3224を精読した後、「今−認可された」ユーザが、在庫品の購入等、トランザクションをリクエストした場合、ウェブサイト3224は、リクエストされたトランザクションの詳細な確認を伝送し、特に、PINの入力をリクエストし、発注書の特定の承認を確認する。PINが疑わしいユーザ46によって入力された場合、コンピュータ3202は、これをICカード95に提供する。
【0276】
PINを受信すると、制御器64は、PINの予め格納されたデータを、メモリロケーション76内のメモリロケーションデータセル001から最初に取り出し、これを、コンピュータ3202から受信されたPINと比較する。整合/不整合の決定が、その後、制御器64によってなされ、Rsの値が整合を表す「01」または不整合を表す「10」にセットされ、DSFlag(001)も「0」にセットされる。
【0277】
適切な(短い)遅延の後、コンピュータ3202は、その後、メッセージ入力コマンド発注書を含む)をICカード95に送信する。ICカード95上のコンピュータチップ50は、識別マーカの現在の値(この中にRsの値およびDSFlag(001)を含む)を取り出し、メッセージデータの前に値を付加することによって、識別マーカの値を有するコンピュータ3202から受信されたメッセージデータを改変し、改変されたメッセージデータのハッシュ値を計算し、このハッシュ値を暗号化してデジタル署名を生成し、デジタル署名および識別マーカの値をコンピュータ3202にエクスポートし、このコンピュータは、その後、この値をウェブサイト3224上に転送する。コンピュータチップ50は、その後、DSFlagのすべての値を「1」にインクリメントする。本例示において、ウェブサイト3224は、識別マーカの値がその中に「01」のRsの値および「0」のDSFlag(001)の値を含む場合、リクエストされたトランザクションのみを承認する。
【0278】
所望される場合、コンピュータ3202とウェブサイト3224との間の通信は、従来のようにSecure Socket Layering(SSL)プロトコルを用いて実行され得る。このようなプロトコルは、例えば、米国特許第5,848,161号に記載され、本出願は、参考のため、本明細書中に援用される。このようなプロトコルにおいて、コンピュータ3202がSSL通信のセッション鍵を生成する際に用いるための乱数を生成することが一般的である。本発明のさらなる特徴により、ICカード95は、セッション鍵を生成するための乱数を供給するために用いられる。特に、デジタル署名は、ICカード95によって作成され、セッション鍵を生成する目的で、乱数それ自体として用いられる。FIPS PUB 186−2に規定されるDSAおよびECDSAの間接的結果は、結果として生じるデジタル署名それ自体が乱数であることであるということである。pretty good privacy(PGP)暗号化法を用いる通信用のセッション鍵は、さらに、ICカード95のデジタル署名に基づいて生成され得る。
【0279】
ここで、図33を参照して、販売時点ロケーション(point of sale location)でのICカード95の使用が図示される。販売時点カードリーダ3308は、英数字キーパッド3310、ディスプレイ3314、および、この場合、親指の指紋リーダ3312を備える。販売時点カードリーダ3308は、データコネクタ3306を介して、固有のディスプレイ3304を有する業者レジ/端末3302と通信する。販売時点カードリーダ3308は、さらに、インターネット3322等の安全でないネットワーク上で銀行業務を行う機関(baking authority)3320と通信する。銀行業務を行う機関3320は、ICカード95の認可されたユーザの代わりに銀行口座またはクレジットカード口座を維持する金融機関か、またはこのような金融機関の認可された承認代理業者または会計処理組織である。どちらの場合でも、銀行業務を行う機関3320は、データベース3325を維持する。このデータベースは、カード95の公開鍵を、ICカード95の認可されたユーザの対応するアカウントに関連付け、このようなアカウントに対してリクエストされたオンライントランザクションを承認するか、または承認しない権限を有する。
【0280】
商品が疑わしいユーザ46によって購入される場合、業者はレジ/端末3302上に商品を「記録し(ring up)」、ディスプレイ3304上で疑わしいユーザ46に全不足額が表示される。支払うために、疑わしいユーザ46は、ICカード95を販売時点カードリーダ3308に挿入する(またはICカード05をカードリーダ3308の近傍に運ぶ)。挿入する(または近付ける)と、販売時点カードリーダ3308は、上述のカードリーダと同様の方法で初期化される。ICカード95のコンピュータチップ50上の識別マーカおよびすべてのDSFlagは、電力が販売時点カードリーダ3308によってカード95に最初に供給されるとリセットされる。
【0281】
次に、業者のレジ/端末3302は、不足額をデータコネクタ3306を介して販売時点カードリーダ3308に伝送する。販売時点カードリーダ3308は、ディスプレイ3314上に不足額を表示する。1実施形態において、ディスプレイ3314は、さらに、疑わしいユーザ46に指示して、このユーザがデビット口座を用いて支払うことを所望するのか、クレジットカード口座を用いて支払うことを所望するのかを選択させる。代替的実施形態において、販売時点カードリーダ3308は、「口座情報取り出し」コマンドをICカード95に送信する。このICカードは、利用可能な当座預金、クレジットカード、またはコンピュータチップ50上のメモリロケーション80内に維持される、支払が行われ得る他のアカウントの一覧を戻す。この代替的実施形態において、ディスプレイ3314は、疑わしいユーザ46に指示して、支払のために、取り出されたアカウントの一つを選択させる。ディスプレイ3314は、次に、疑わしいユーザ46に指示して、英数字キーパッド3310を用いてPINを入力させ、そのユーザの右手親指を親指の指紋スキャナ3312上に配置させる。PINおよび親指の指紋が入力された場合、販売時点カードリーダ3308は、PINおよび親指の指紋のデジタルバージョンの両方をICカード95に伝送する。カードリーダ3308は、PINの値およびデジタル化された親指の指紋を識別子(例えば、PINが001、および親指の指紋が002)と共に各々について伝送し、従って、カード95が検証データ入力のタイプおよび順序を「知る」。
【0282】
PINおよび親指の指紋のデジタルバージョンがICカード95によって受信された後、カード95上のコンピュータチップ50は、上述の方法で、ICカード95の検証ステータスを識別する。適切な(短い)遅延の後、販売時点カードリーダ3308は、その後、メッセージ入力コマンドをICカード95に送信する。この場合、メッセージ入力コマンドは、購入された商品の領収書、全不足額、および疑わしいユーザ46によって指定される支払い口座を含むメッセージデータを含む。第1の実施形態において、アカウントは、(コンピュータチップ50上の)メモリロケーション80から取り出され、適切な「タグ」を用いてメッセージデータに挿入される。タグは、主要デビット口座番号が用いられるのか、主要クレジットカード口座番号がもちいられるのかを示す。代替的実施形態において、ディスプレイ3314上に表示された利用可能な口座の一覧から、疑わしいユーザ46によって特別に選択された口座の口座番号は、カードリーダ3308から受信されたメッセージデータ内に含まれる。
【0283】
メッセージ入力コマンドがICカード95によって受信される場合、ICカード95上のコンピュータチップ50は、識別マーカの現在の値を(RsおよびDSFlag(001)の値を中に含み、および中にRb(002)およびDSFlag(002)の値を中に含む)取り出し、メッセージデータの前に値を付加することによって、識別マーカの値を有する販売時点カードリーダ3308から受信されたメッセージデータを改変し、改変されたメッセージデータのハッシュ値を計算し、このハッシュ値を暗号化してデジタル署名を生成し、デジタル署名および識別マーカの値を販売時点カードリーダ3308にエクスポートする。コンピュータチップ50は、その後、DSFlagのすべての値を「1」にインクリメントする。デジタル署名、識別マーカの値、およびメッセージデータ(アカウントナンバーおよび購入金額を含む)が、その後、販売時点カードリーダ3308によって、処理するために銀行業務を行う機関3320に伝達される。
【0284】
銀行業務を行う機関3320は、特定のアカウントナンバーが有効アカウントナンバーであることを最初に確認する。銀行業務を行う機関3320は、その後、データベース3325内の識別されたアカウントナンバーと関連付けられた公開鍵を用いて、デジタル署名を復号化する。デジタル署名の復号化されたハッシュ値が、メッセージデータのハッシュ値と整合した場合、ICカード95から受信された識別マーカの値によって改変され、その後、デジタル署名が受信されるICカード95は一意に定まる秘密鍵を含み、領収書および全不足額を含むメッセージデータは改変されない。なぜなら、これは、デジタル的にサインされたからである。
【0285】
次に、銀行業務を行う機関3320は、ICカード95によって提供される識別マーカの値によって示される検証ステータスを点検し、疑わしいユーザ46が、実際、ICカード95の認可されたユーザであるか否かを決定する。これは、2つの異なったタイプの検証データがICカード95によって受信され、ICカード95の検証ステータスを識別するために用いられるという、2工程プロセスである。第1の工程において、Rsの値が「01」(整合)である場合、銀行業務を行う機関3320は、疑わしいユーザ46が認可されたユーザであるのではないかと推論する。第2の工程において、銀行業務を行う機関3320は、ビジネスロジックまたはルールベースを用いて、疑わしいユーザ46によって提供された親指の指紋が、カード95上に格納された、認可されたユーザの親指の指紋と十分に類似であるか否かを決定して、この疑わしいユーザ46が認可されたユーザであるのではないかと再び推論する。
【0286】
銀行業務を行う機関3320のビジネスロジックおよびルールベースは、疑わしいユーザ46を認可されたユーザと容認して、Rs(PIN)の値とRb(002)の値(親指の指紋)との可変の組み合わせに依存し得るようになっている。例えば、正確なPIN単独で、正確なPINに加えて親指の指紋が少なくとも60%整合、親指の指紋が96%を超過したが不正確なPIN、および不正確なPINであるが2つの親指の指紋が90%を超過する(が同一ではない)場合は、すべて異なったタイプの検証ステータスであり、銀行業務を行う機関3320が、カード95によって、疑わしいユーザ46のファクタ BおよびC エンティティ 認証を容認するために十分であり得る。
【0287】
最後に、特定の口座が、リクエストされた購入金額を満たす十分な残高を有し、トランザクションの拒否を保証するファクタ(例えば、盗難が報告されたカード、複製のリクエスト(duplicate request)等)が他に無い場合、銀行業務を行う機関3320がトランザクションの承認を与え、これの確認を販売時点カードリーダ3308に戻す。明らかに、ビジネスロジック、ルールベースおよび、銀行業務を行う機関3320によって考慮に入れられる他のファクタは、銀行業務を行う機関3320によって所望される必要なセキュリティレベルに依存して大きな幅があり得る。
【0288】
(5.さらなるセキュリティおよびプライバシー措置)
(a.不正なディスプレイに対からの保護)
図33に示される例と関連して、ICカード95等のデバイスを用いるリスクは、ICカード95のユーザが、デジタル署名を生成するために、ICカード95を用いて表示されたメッセージの実際の表現を提供するために、販売時点業者の制御の下にあるカードリーダ3308のディスプレイ3314に頼らなければならないという事実である。悪徳業者は、例えば、ある額の購入価格を表示するが、より高い購入価格を有するために、カードリーダ3308によってICカード95に伝送されるメッセージデータを有することが可能である。このような不正のリスクを最小化するために、コンピュータチップ50(図28に示される)が、PDAまたは携帯電話等の、固有のディスプレイを有する(おそらくデバイスの所有者の制御のもとにある)、より高性能なデバイスにインストールされることが望ましい。PDAまたは携帯電話は、そのデジタル署名をデバイスを用いて生成する前にメッセージデータの全テキストを正確に表示するようにプログラミングされ得るので、業者が顧客に1つの購入価格を「提供」するが、実際には異なった購入価格がデジタル的にサインされるベきメッセージ内に含まれることがより困難である。
【0289】
(b.アカウント情報の保護)
ICカード95と異なって、PDAまたは携帯電話は、さらに、はるかに大きい柔軟性およびプライバシーを提供する。例えば、図33の図の参照を続けて、販売時点リーダ3308を有して、ユーザに指示して、主要支払口座の限定された数のみから選択させる代わりに、PDAまたは携帯電話は、ユーザがデバイス上に格納されたすべての支払口座から格納および選択することを可能にする。さらに、販売時点リーダ3308を有して、プライバシーに関わる問題をいくらか発生させるすべての利用可能な支払口座をICカード95から実際に取り出す代わりに、PDAまたは携帯電話は、ユーザがデバイスによって提供されるが、販売時点業者によっては提供されない一覧から口座を選択することを可能にする。しかしながら、販売時点業者が、デバイスによって維持される口座番号の一覧を密かに知ることは決してない。
【0290】
(c.リプレイ攻撃に対する保護)
図29〜図33に示される例のすべてにおいて、ICカード95によって生成されるデジタル署名を受信するパーティは、場合によってはリプレイ攻撃を受ける。リプレイ攻撃は、デバイスから元のデジタル署名がコピーされ、その後、認可されていない方法で再使用される場合に起こる。デジタル署名のオリジナルおよびコピーの両方が、適切な公開鍵を用いて復号化されるので、デジタル署名を受信するパーティは、現物と後のコピーとの間を識別するなんらかの方法を有することを必要とする。
【0291】
記録されたデジタル署名の受け入れを防ぐために、リプレイ攻撃に対して警戒するパーティは、デジタル署名を作成するためのデバイスに送信される各メッセージ入力コマンドの部分として、乱数または一意に定まるメッセージ(例えば、日時、日付および逆の組み合わせ)を含み、乱数または一意に定まるメッセージが、デジタル的にサインされたものの中に含まれることを要求とすることのみを必要とする。これによってデジタル署名を再び受け取るパーティは、メッセージ認証に応答して、デバイスから受信されたデジタル署名が、対応するメッセージ入力コマンドに直接的に応答して、デバイスによって実際に生成されたことを確認することができる。このような技術は、例えば、Federal Information Processing Standards Publication 196、Entity Authentication Using Public Key Cryptography、US DOC/NBS(1997年2月18日出願)(本明細書中では、以後「FIPS PUB 196」)に記載される。本出願は、参考のため、本明細書中に援用され、http//csrc.nist.gov/publications/fipsにてダウンロードして利用可能である。
【0292】
デジタル署名を受信するパーティ(例えば、カードリーダまたは関連する制御器)が、任意の所定の時間にて、および実質的に同時に応答が期待される場合(例えば、デバイスがリーダ内またはリーダの近傍にある場合)に単一の認証セッションに含まれる用途については、期待される時間間隔内に再び受け取られるデジタル署名が、適切な乱数または一意に定まるメッセージを含むことを保証するために十分長い時間、コンピュータメモリ内に乱数または一意に定まるメッセージを維持することのみが必要である。この乱数または一意に定まるメッセージは、唯一のデジタル署名の間有効であり、パーティによって受信される第1のデジタル署名がオリジナルであることが想定され、次の同じデジタル署名は、むしろ不正なコピーであり、そのように扱われることが想定される。
【0293】
デジタル署名を受信するパーティが、例えば、サイトへのエントリーおよび/またはこのサイトを介するトランザクションのために、同時に複数のユーザからリクエストを受け入れるウェブサイトといった、複数の認証セッションに任意の所定の時間において含まれる用途については、このパーティが、デジタル署名を生成するためのすべてのデバイスに発信されたすべての乱数または一意に定まるメッセージのログを維持することが必要である。パーティがこのような乱数または一意に定まる各メッセージを、それが用いられる特定のセッションとリンクすること、または、そうでない場合、関連付けることがさらに必要である。従って、デジタル署名が特定のセッション内に戻ってくると、パーティは、正確な乱数が受信され、かつこのようなセッションに関してデジタル的にサインされたことを確認し得る。
【0294】
乱数の生成は、例えば、FIPS PUB 186−2の付録3に記載される乱数発生器のいずれかを用いて実行され得る。
【0295】
従って、本発明の好適な実施形態、デバイス、および方法の上述の説明を考慮して、本発明が幅広い実用性および用途を許すことが、当業者によって容易に理解される。本明細書中に記載されるもの以外の本発明の複数の方法、実施形態、および改造、および複数の変形、改変および等価の構成が、本発明の趣旨または範囲から逸脱することなく、本発明およびその追従する詳細な説明から明らかであるか、または分かり易く(reasonably)提示される。さらに、種々のプロセスの工程が、好適な順番または時系列で実施されることが場合によっては示されかつ説明されるが、このようなプロセスの工程は、このような特定の順番または順序で実施されることに必ずしも限定されないことが、当業者によって理解されかつ認識される。むしろ、多くの場合、本明細書中に記載されたプロセスの工程は、種々の異なった順番および順序で実施され得る一方で、依然として本発明の範囲内に入る。従って、本発明は、好適な方法およびデバイスに関して、本明細書中で詳細に記載されるが、この詳細な説明は、本発明の例示および模式にすぎず、単に、本発明を完全かつ容易な開示を提供する目的でなされることが理解される。本明細書中で記載される詳細な説明は、本発明を限定すると解釈することも、または、そうでない場合、本発明の任意のそのような他の実施形態、改造、変形、改変および等価の構成を除外すると解釈することも意図されない。本発明は、本明細書に添付の請求項およびその等価物によってのみ限定される。
【図面の簡単な説明】
【図1】
図1は、本発明の概念的な枠組みのブロック図である。
【図2a】
図2aは、本発明の第1の好適な実施形態を示す図である。
【図2b】
図2bは、図2aの実施形態の変形例を示す図である。
【図2c】
図2cは、図2aの実施形態の変形例を示す図である。
【図3】
図3は、図2a、2b、および2cのデバイスの動作の好ましいモードを示す図である。
【図4a】
図4aは、本発明の第2の好適な実施形態を示す図である。
【図4b】
図4bは、図4aの実施形態の変形例を示す図である。
【図4c】
図4cは、図4aの実施形態の変形例を示す図である。
【図5】
図5は、図4a、4b、および4cのデバイスの動作の好ましいモードを示す図である。
【図6a】
図6aは、本発明の第3の好適な実施形態を示す図である。
【図6b】
図6bは、図6aの実施形態の変形例を示す図である。
【図6c】
図6cは、図6aの実施形態の変形例を示す図である。
【図7】
図7は、図6a、6b、および6cのデバイスの動作の好ましいモードを示す図である。
【図8a】
図8aは、本発明の第4の好適な実施形態を示す図である。
【図8b】
図8bは、図8aの実施形態の変形例を示す図である。
【図8c】
図8cは、図8aの実施形態の変形例を示す図である。
【図8d】
図8dは、図8aの実施形態の変形例を示す図である。
【図9】
図9は、図8a、8b、および8cのデバイスの動作の好ましいモードを示す図である。
【図10a】
図10aは、本発明の第5の好適な実施形態を示す図である。
【図10b】
図10bは、図10aの実施形態の変形例を示す図である。
【図10c】
図10cは、図10aの実施形態の変形例を示す図である。
【図11】
図11は、図10a、10b、および10cのデバイスの動作の好ましいモードを示す図である。
【図12a】
図12aは、本発明の第6の好適な実施形態を示す図である。
【図12b】
図12bは、図12aの実施形態の変形例を示す図である。
【図12c】
図12cは、図12aの実施形態の変形例を示す図である。
【図13】
図13は、図12a、12b、および12cのデバイスの動作の好ましいモードを示す図である。
【図14a】
図14aは、本発明の第7の好適な実施形態を示す図である。
【図14b】
図14bは、図14aの実施形態の変形例を示す図である。
【図14c】
図14cは、図14aの実施形態の変形例を示す図である。
【図15】
図15は、図14a、14b、および14cのデバイスの動作の好ましいモードを示す図である。
【図16a】
図16aは、本発明の第8の好適な実施形態を示す図である。
【図16b】
図16bは、図16aの実施形態の変形例を示す図である。
【図16c】
図16cは、図16aの実施形態の変形例を示す図である。
【図17】
図17は、図16a、16b、および16cのデバイスの動作の好ましいモードを示す図である。
【図18a】
図18aは、本発明の第9の好適な実施形態を示す図である。
【図18b】
図18bは、図18aの実施形態の変形例を示す図である。
【図18c】
図18cは、図18aの実施形態の変形例を示す図である。
【図19】
図19は、図18a、18b、および18cのデバイスの動作の好ましいモードを示す図である。
【図20a】
図20aは、本発明の予め格納されたデータの好ましいフォーマットを示す図である。
【図20b】
図20bは、本発明の予め格納されたデータの好ましいフォーマットを示す図である。
【図20c】
図20cは、本発明の予め格納されたデータの好ましいフォーマットを示す図である。
【図21a】
図21aは、本発明の検証データの好ましいフォーマットを示す図である。
【図21b】
図21bは、本発明の検証データの好ましいフォーマットを示す図である。
【図21c】
図21cは、本発明の検証データの好ましいフォーマットを示す図である。
【図22】
図22は、本発明の好ましい比較および検証ステータス識別プロセスを示す図である。
【図23a】
図23aは、本発明の好ましい比較および検証ステータス識別プロセスを示す図である。
【図23b】
図23bは、本発明の好ましい比較および検証ステータス識別プロセスを示す図である。
【図24】
図24は、本発明の好ましい比較および検証ステータス識別プロセスを示す図である。
【図25a】
図25aは、本発明の識別マーカの好ましいフォーマットを示す図である。
【図25b】
図25bは、本発明の識別マーカの好ましいフォーマットを示す図である。
【図26】
図26は、本発明の識別マーカの好ましいフォーマットを示す図である。
【図27】
図27は、本発明による、仮定的な一連の検証データ入力から得られる、識別マーカーの表である。
【図28】
図28は、コンピュータチップを用いる本発明のインプリメンテーション内の好ましいデータフローチャートである。
【図29】
図29は、ICカードを用いる、本発明の第1の特定のインプリメンテーションを示す図である。
【図30】
図30は、ICカードを用いる、本発明の第2の特定のインプリメンテーションを示す図である。
【図31】
図31は、ICカードを用いる、本発明の第3の特定のインプリメンテーションを示す図である。
【図32a】
図32aは、ICカードを用いる、本発明の第4および第5の特定のインプリメンテーションを示す図である。
【図32b】
図32bは、ICカードを用いる、本発明の第4および第5の特定のインプリメンテーションを示す図である。
【図33】
図33は、ICカードを用いる、本発明の第6の特定のインプリメンテーションを示す図である。
(I.関連出願の相互参照)
本出願について、米国においては、米国特許法119条に基づいて、世界においては、パリ条約に基づいて、Wheelerらによる米国仮特許出願第60/223,076号の出願日に対する優先権を主張する。米国仮特許出願第60/223,076号は、2000年8月4日に出願され、本明細書中で参考として援用される。また、本出願は、本明細書中で、以下のAnneおよびLynn Wheelerの3つの国際出願および3つの米国特許出願のそれぞれを参考として援用する。これらの出願は、本出願と同時に、2001年8月6日に、米国特許庁に出願され、それぞれの出願番号は、PCT/US / (名称は、「Person−Centric Account−Based Digital Signature System」)および第09/ , 号(名称は、「Account−Based Digital Signature(ABDS)System」)、第09/ , 号(名称は、「Modifying Message Data and Generating Random Number Digital Signature Within Computer Chip」)、PCT/US / (名称は、「Linking Public Key of Device to Information During Manufacture」)および第09/ , 号(名称は、「Manufacturing Unique Devices That Generate Digital Signatures」)、ならびにPCT/US / (名称は、「Trusted Authentication Digital Signature (TADS) System」)である。
【0002】
(II.発明の分野)
本発明は、概して、エンティティ認証、具体的には、電子通信の分野におけるエンティティ認証に関する。
【0003】
(III.発明の背景)
本明細書で用いられる場合、電子通信(「EC」)とは、あらゆる電子形態の通信であると考えられる。ECは、今日、特に、インターネットおよびeコマースの成長とともに、商取引の不可欠な部分となってきている。ECは、例えば、情報または物理的な領域へのアクセスに対するリクエスト、銀行に対する資金の振り替え依頼のような金融取引、あるいは、実行される契約の交付のような法的行為を表し得る。
【0004】
近年、デジタル署名も、eコマースの重要な部分となってきている。デジタル署名の作成は、概して、(1)メッセージダイジェストの計算(例えば、ハッシュ値)、および(2)その後のメッセージダイジェストの暗号化を含む。メッセージダイジェストは、概して、公開−秘密鍵暗号法(非対称暗号法としても公知である)において用いられる鍵の対における秘密鍵を用いて、電子デバイスによって暗号化される。得られる暗号文自体が、通常、典型的にはメッセージに添付されてECを形成するデジタル署名を構成する。デジタル署名作成の第2の部分(秘密鍵による暗号化を用いる)を、本明細書中で、デジタル署名を「生成する」工程と呼ぶ。2つの工程を組み合わせて、本明細書中で、デジタル署名を「作成する」工程と呼ぶ。さらに、デジタル署名の生成は、従来は、メッセージダイジェストの暗号化であると理解されるが、本明細書中のデジタル署名の生成には、メッセージダイジェストではなく、単なるメッセージの暗号化も含まれ得ると考えられる。デジタル署名が重要である理由は、ECにおけるメッセージに対する任意の変化はどんな変化でも、メッセージおよびデジタル署名の解析から検出可能なことである。この点から、デジタル署名は、EC内に含まれるメッセージを「認証」する(以下、「メッセージ認証」と呼ぶ)ために用いられる。
【0005】
例えば、メッセージダイジェストは、ハッシングアルゴリズム(例えば、SHA−1アルゴリズム)をメッセージに適用することによって、計算され得る。ハッシングアルゴリズムは、デバイス内、またはデバイスの外部のいずれかにおいて適用され得、その後、得られるハッシュ値は、デジタル署名の生成のために、デバイスに送信される。この例において、メッセージ認証を行うためには、ECの受信側にとって、メッセージに適用されるハッシングアルゴリズムのアイデンティティと、メッセージダイジェストを暗号化するために用いられる秘密鍵に対応する公開鍵(「PuK」)との両方が、既知であるか、または入手可能である必要がある。この知識を用いて、受信側は、適切なハッシングアルゴリズムをメッセージに適用して、ハッシュ値を計算する。受信側は、公開鍵を用いてデジタル署名を解読する。受信側によって計算されたハッシュ値が、解読されたデジタル署名のハッシュ値と等しい場合、受信側は、ECに含まれるメッセージの内容が、ハッシュ値を変化させた送信において変更されなかったと判定する。
【0006】
メッセージ認証を行うとき、受信側も、ECの送信側が、メッセージを認証するように首尾よく用いられた公開鍵に対応する秘密鍵を所持していたことを確認することによって、ECの送信側を認証する。これは、エンティティ認証のタイプのうちの1つであり、送信側が何を「有する」かに基づく(以下、「ファクターAエンティティ認証」と呼ぶ)。ファクターAエンティティ認証は、ECの受信側が、秘密鍵の所有者のアイデンティティに関する信用できる情報を有する場合に有用である。このような信用できる情報は、ECに伴い、かつ、秘密鍵所有者のアイデンティティを公開鍵と結合する、信用できる第三者によって発行された、デジタル証明書から発生され得る。また、この信用できる知識は、受信側自体が秘密鍵または秘密鍵を含むデバイスを所有者に対して発行した場合など、秘密鍵所有者のアイデンティティについての実際の知識も含み得る。
【0007】
理解されるように、デジタル署名システムにおける信頼は、秘密鍵の正当な所持および使用、すなわち、ECの送信側が実際に秘密鍵の所有者であるかに依存する。ECのデジタル署名を生成するための秘密鍵の不正な使用は、現行では、上記のメッセージ認証およびファクターAエンティティ認証手順を介して検出されることができない。従って、デジタル署名システムは、デバイスの中の秘密鍵を発見し、その後コピーし、デジタル署名を生成する能力を有する他のデバイスにおいて用いること、あるいは、秘密鍵を含むデバイスを物理的に盗むことのいずれかによって、デバイスの秘密鍵が盗まれる場合に、不正を受けやすい。
【0008】
秘密鍵の発見、その後に続くコピー、他のデバイスにおいて用いられることを防止するため、デバイスは、デバイスの中に含まれている秘密鍵(および他のプロテクトされたデータ)を保護する、電子的遮蔽、ゼロ化、検査、改竄証拠および改竄応答、ならびに他のセキュリティ機能を用いて製造される。このようなセキュリティ機能は、ハードウェア、ソフトウェア、およびファームウェアを含み、暗号のモジュールを有するセキュアコンピュータチップおよび他のデバイスを製造する技術においては周知である。
【0009】
このようなセキュリティ機能の要件は、例えば、Federal Information Processing Standards Publication 140−1, Security Requirements for Cryptographic Modules(US DOC/NBS、1994年1月11日)(本明細書中では、「FIPS PUB 140−1」)、およびFederal Information Processing Standards Publication 140−2, Security Requirements for Cryptographic Modules(US DOC/NBS、2001年5月25日)(本明細書中では、「FIPS PUB 140−2」)において明記されている。これらは、本明細書中で参考として援用され、http://crsc.nist.gov/publications/fips.からダウンロードすることが可能である。また、FIPS PUB 140−1およびFIPS PUB 140−2は、デバイスのセキュリティ機能に基づいてデバイスが満たし得るセキュリティレベルを規定し、これらの規定されたセキュリティレベルのそれぞれが、概して、デバイスの秘密鍵を認識しようとする試みにおいて遭遇され得る(時間および金額の面での)困難の各種のレベルを表す。現行では、4つのセキュリティレベルが規定され、セキュリティレベル4が、利用可能なセキュリティの最も高いレベルである。
このようなセキュリティ機能の仕様は、Trusted Computing Platform Alliance Trusted Platform Module Protection Profile Version 0.45(TRUSTED COMPUTING PLATFORM ALLIANCE、2000年9月)、Trusted Platform Module(TPM)Security Policy Version 0.45(TRUSTED COMPUTING PLATFORM ALLIANCE、2000年10月)、およびTCPA PC Implementations Specification Version 0.95(TRUSTED COMPUTING PLATFORM ALLIANCE、2001年7月4日)にも述べられている。これらの文献は、本明細書中で参考として援用され(まとめて「TCPA文献」と呼ばれる)、http://www.trustedpc.comからダウンロードすることが可能である。また、Common Criteria for Information Technology Security Evaluation,Smart Card Protection Profile,Draft Version 2.1d(SMART CARD SECURITY USER GROUP、2001年3月21日)にも述べられている。この文献は、本明細書中で参考として援用され(以下、「Smart Card Protection Profile」と呼ばれる)、http://csrc.nist.govからダウンロードされる。
【0010】
デバイス自体が盗まれることによる、デバイスの不正な使用を防止するため、個人識別番号(PIN)、パスワード、またはパスフレーズ(まとめて、本明細書中では「機密」と呼ぶ)が、典型的には、デバイス内に予め格納され、デバイスがデジタル署名を生成するように動作する前に、デバイスに入力される必要がある。あるいは、機密は、前もって、受信側と共有されており、ECが後で受信側に送信されるときに、機密もメッセージと共に受信側に送られる。第1の場合において、機密の検証は、デバイスのユーザを認証し(以下、「ユーザ認証」と呼ぶ)、第2の場合において、機密の検証は、ECの送信側を認証する(以下、「送信側認証」と呼ぶ)。いずれの場合でも、機密の確認は、ユーザまたは送信側が何を「知っている」かに基づくエンティティ認証(以下、「ファクターBエンティティ認証」)を表す。
【0011】
物理的に盗まれることによるデバイスの不正な使用に対する他の対策は、デバイスのユーザまたはECの送信側のバイオメトリクス的な特徴(例えば、指紋)の検証を含む。このタイプの認証は、ユーザまたは送信側が何で「ある」かに基づく(以下、「ファクターCエンティティ認証」と呼ぶ)。機密と同様に、バイオメトリクス的な値は、ユーザ認証のためデバイス内に維持されるか、または、受信側による送信側認証のため、前もって受信側と共有されるかのいずれかである。
【0012】
ファクターBエンティティ認証およびファクターCエンティティ認証は、両方とも、メッセージ用にデジタル署名を生成する、デバイスの不正な使用のリスクを低減するが、両方とも、大きな欠点を有する。例えば、機密またはバイオメトリクス的な値が、受信側による送信側認証のため、メッセージと共に受信側に通信される場合、機密またはバイオメトリック値は、まず、前もって受信側と共有され、確立された関係の一部として、受信側によって保護されている必要がある。従って、この従来のパラダイムは、このような既存の関係を有さないエンティティ間でのファクターBエンティティ認証およびファクターCエンティティ認証の両方を予め排除する。
【0013】
また、このパラダイムは、機密またはバイオメトリック値自体を、盗まれるより大きなリスクにさらす。第1に、検証のための機密またはバイオメトリック値の送信は、伝送中の傍受および発見のリスクを伴う。第2に、機密またはバイオメトリック値は、受信側によって保護される必要があるが、このことにより、機密を受信側から盗まれる危険にさらす。これは、特に、悪意のある従業員が保護された機密またはバイオメトリック値を盗む可能性がある(インサイダーの不正は、歴史的に見て最も大きいリスクである)、会社組織などの場合において、顕著である。
【0014】
また、このパラダイムの下で、機密またはバイオメトリック値が盗まれる場合、潜在的な損害は広範囲にわたる。個人にとって、複数の受信側用の複数の機密を記憶することは困難であるため、個人が、異なる受信側について、同じ機密を用いることは、一般的である。例えば、クレジットカードに関して、通常、同じ機密が、便宜上、全てのクレジットカード会社と共有され、通常、口座保有者の母親の旧姓を含む。1つのクレジットカード会社から機密が盗まれることによって、他の全てのクレジットカード口座が、少なくとも、機密を変更するまで、危険にさらされる。バイオメトリック特性が盗まれる場合、損害は、さらに深刻になる。なぜなら、人間のバイオメトリック特性を変更することはできず、一旦失われると、バイオメトリック特徴を用いる、将来のあらゆるエンティティ認証が、潜在的に危うくなるからである。
【0015】
あるいは、ユーザ認証のため、デバイス内に、機密またはバイオメトリック値が予め格納され、維持される場合、受信側による機密またはバイオメトリック値の保護、ならびに、受信側への機密またはバイオメトリック値の送信に伴うリスクは、避けられる。この従来のパラダイムにおいて、受信側は、実際には、検証を行わない。検証は、デバイスレベルで行われる。
【0016】
しかし、この代替的なパラダイムの欠点として、正しいユーザの機密またはバイオメトリック値が入力されるまで、デバイスが実行不可能なままであるので、機密またはバイオメトリック値を推測しようと繰り返される試みを、受信側がモニタすることができないことがある。さらに、正しい機密またはバイオメトリック値が入力され、整合した結果によってデバイスがイネーブルされる場合、デバイスは、典型的には、その後、所定の期間、例えば、電源が切られるか、または、リセットされるまで、イネーブルされたままになる。この代替的なパラダイムにおいて、デバイスはイネーブルされた後、不活性化される前に盗まれた可能性があるが、受信側は、このような期間中に送られた特定のECが、不正に生成されたデジタル署名を含んでいるか否かを判定することが不可能である。従って、この代替的なパラダイムにおいては、ユーザ認証はあるが、本質的に、送信側認証の予備はない。
【0017】
さらに他の欠点として、この代替的なパラダイムは、特に、バイオメトリック値がデバイス内に予め格納され、維持される(かつ、デバイスによってファクターCエンティティ認証が行われる)場合に、異なる受信側にECを送るというデバイスの使用に適応しないことがある。この点に関して、異なる受信側が、検証が成功するバイオメトリック「整合」を構成するものについて、異なる要件を有し得る。バイオメトリック整合は、入力されたバイオメトリック値が、少なくとも最低限のセキュリティ閾値を満たす程度、充分に、格納されているバイオメトリック値と近い価であるか否かについての判定である。セキュリティ閾値は、各受信側によって主観的に設定され、不正に送られたECに基づく動作および反応についての通信の性質および受信側の信頼性の程度のようなファクターを含む。異なる受信側は、送信側のバイオメトリック値を各受信側が前もって受け取らない場合に、自身の要件、規格、および基準に基づいて、自身で整合/不整合の判定を行い、自身で、バイオメトリック値のメッセージと共に受け取られるさらなるバイオメトリック値の各々との比較を行い、比較が整合となる程度に充分近いか否かについて自身で事務的に判定を加えることができない。
【0018】
従って、ファクターBエンティティ認証および/またはファクターCエンティティ認証が用いられるが、このような認証手順を用いる従来のパラダイムの上記の欠点が克服された、新たなパラダイムに対する需要が存在する。特に、受信側に機密またはバイオメトリック値のいずれかを保護することを要求することなく、ファクターBエンティティ認証および/またはファクターCエンティティ認証のいずれかまたは両方を用いる、ユーザ認証および送信側認証の両方に備えるパラダイムに対する需要が存在する。この点に関して、ファクターBエンティティ認証およびファクターCエンティティ認証が、受信側が認証情報に内々に関与することなしに、受信側によって確実に推論され、そのことによって、秘密上の問題に対処するパラダイムに対する需要が存在する。さらに、受信側が、主観的な事務的判定で、ファクターCエンティティ認証が用いられる場合に、認められるバイオメトリック整合を構成するものを判定することが可能である、パラダイムに対する需要が存在する。また、受信側が、機密またはバイオメトリック値を推測するために、繰り返されるデバイスへのアタックをモニタすることが可能であるパラダイム、ならびに、単一デバイスを用いて、様々な無関係な受信側に対してECを送ることにさらに適応するパラダイムに対する需要が存在する。
【0019】
(IV.本発明の要旨)
(A.本発明の第1の局面)
本発明の第1の局面は、デバイスの検証ステータスの提供に関し、デバイス内で、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、デバイスに入力された検証データおよびデバイス内に予め格納されたデータの関数として識別する工程と、識別された検証ステータスに関わらず、識別された検証ステータスをデバイスの外部の電子装置に伝送する工程とを含む。所定の検証ステータスのうちの1つは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の検証ステータスは、検証データが予め格納されたデータとは異なることを表す。前記識別された検出ステータスのインジケータは、前記デバイスから出力される。
【0020】
本発明のこの局面の変形例において、検証ステータスは、デバイスを用いるエンティティ認証に関する。この変形例は、エンティティの検証データを含む入力をデバイス内に受信する工程と、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、検証データおよびデバイス内に予め格納されたデータの関数としてデバイス内で識別する工程と、識別された検証ステータスに関わらず、識別された検証ステータスのインジケータをデバイスから出力する工程とを含む。また、所定の検証ステータスのうちの1つは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の検証ステータスは、検証データが予め格納されたデータとは異なることを表す。
【0021】
他の変形例において、第1のエンティティは、第2のエンティティに対して認証される。この変形例において、第1のエンティティのデータは、検証素子の個人専用化の間に、デバイスの検証構成素子内に格納される。検証データは、後からデバイス内に入力され、デバイスの検証素子内で受信される。現在の検証ステータスは、検証データとデバイスの検証素子内に予め格納されたデータとの関数として識別される。識別された検証ステータスは、検証データが予め格納されたデータと同じであることを表す検証ステータス、ならびに、検証データが予め格納されたデータとは異なることを表す少なくとも1つの検証ステータスを含む、デバイスの複数の所定の検証ステータスのうちの1つである。識別された検証ステータスに関わらず、このような検証ステータスは第2のエンティティに伝達される。検証ステータスは、検証素子から、検証ステータスのインジケータを出力し、出力インジケータを第2のエンティティに伝送することによって、第2のエンティティに伝送される。
【0022】
本発明の第4の変形例において、検証データがデバイスによってまだ受信されていない場合のエンティティ認証に関する検証ステータスが提供される。特に、この場合の方法は、デバイスの検証ステータスを、デバイスに予め格納されたデータおよび後から入力された検証データの関数として識別するために、エンティティの予め格納されたデータをデバイス内に維持する工程と、所定の期間の間、任意の検証データの入力が無いことを表すデバイスの現在の検証ステータスをデバイス内で識別する工程と、識別された検証ステータスのインジケータを、その評価のため、デバイスから出力する工程とを含む。好ましくは、その後、ある点で、検証データを含む入力がデバイス内で受信され、デバイス内で、現在の検証ステータスが、デバイスの複数の所定の検証ステータスから、受信した検証データと予め格納されたデータとを比較することによって識別され、識別された検証ステータスのインジケータが、その評価のため、再度デバイスから入力される。ここで、第2のインジケータは、比較に基づいて識別された検証ステータスを示す。好ましくは、デバイスの複数の所定の検証ステータスのうちの1つの検証ステータスは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の検証ステータスは、検証データが予め格納されたデータとは異なることを表す。
【0023】
本発明のこの局面の好ましい実施形態において、予め格納されたデータは、機密またはバイオメトリック特性のいずれか、あるいは両方を表し、現在の検証ステータスとして識別された検証ステータスは、検証データまたは予め格納されたデータのいずれも明らかにすることなく、検証データと予め格納されたデータとの間の相関関係を表し、デバイスは、デジタル署名を生成することができる。さらに、リクエストは、識別された検証ステータスに基づいて、ビジネスロジックで評価される。
【0024】
(B.本発明の第2の局面)
本発明の第2の局面は、デバイスの検証ステータスの提供に関し、デバイス内で、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、デバイスに入力されたバイオメトリック検証データおよびデバイス内に予め格納されたバイオメトリックデータの関数として識別する工程と、識別された検証ステータスに関わらず、識別された検証ステータスのインジケータをデバイスの外部の電子装置に伝送する工程とを含む。インジケータは、検証データまたは予め格納されたデータのいずれも明らかにすることなく、識別された検証ステータスを示す。前記識別された検出ステータスのインジケータは、前記デバイスから出力される。
【0025】
本発明のこの局面の変形例において、検証ステータスは、デバイスを用いるエンティティ認証に関する。この変形例は、エンティティのバイオメトリック検証データを含む入力をデバイス内に受信する工程と、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、検証データおよびデバイス内に予め格納されたバイオメトリックデータの関数としてデバイス内で識別する工程と、識別された検証ステータスに関わらず、識別された検証ステータスのインジケータをデバイスから出力する工程とを含む。インジケータは、検証データまたは予め格納されたデータのいずれも明らかにすることなく、識別された検証ステータスを示す。
【0026】
他の変形例において、第1のエンティティは、第2のエンティティに対して認証される。この変形例において、第1のエンティティのバイオメトリックデータは、検証素子の個人専用化の間に、デバイスの検証素子内に格納される。バイオメトリック検証データは、後からデバイス内に入力され、デバイスの検証素子内で受信される。現在の検証ステータスは、検証データとデバイスの検証素子内に予め格納されたデータとの関数として識別される。識別された検証ステータスに関わらず、検証素子から、識別された検証ステータスのインジケータを出力し、出力インジケータを第2のエンティティに伝送することによって、このような検証ステータスは第2のエンティティに伝達される。インジケータは、検証データまたは予め格納されたデータのいずれも明らかにすることなく、識別された検証ステータスを示す。
【0027】
本発明の第4の変形例において、検証データがデバイスによってまだ受信されていない場合のエンティティ認証に関する検証ステータスが提供される。特に、この場合の方法は、デバイスの検証ステータスを、デバイスに予め格納されたデータおよび後から入力されたバイオメトリック検証データの関数として識別するために、エンティティの予め格納されたバイオメトリックデータをデバイス内に維持する工程と、所定の期間の間、任意の検証データの入力が無いことを表すデバイスの現在の検証ステータスをデバイス内で識別する工程と、識別された検証ステータスのインジケータを、その評価のため、デバイスから出力する工程とを含む。好ましくは、その後、ある点で、検証データを含む入力がデバイス内で受信され、デバイス内で、現在の検証ステータスが、デバイスの複数の所定の検証ステータスから、受信した検証データと予め格納されたデータとを比較することによって識別され、識別された検証ステータスのインジケータが、その評価のため、再度デバイスから入力される。ここで、第2のインジケータは、比較に基づいて、検証データまたは予め格納されたデータのいずれも明らかにすることなく、識別された検証ステータスを示す。
【0028】
本発明のこの局面の好ましい実施形態において、デバイスの複数の所定の検証ステータスのうちの1つの検証ステータスは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の所定の検証ステータスは、検証データが予め格納されたデータとは異なることを表し、デバイスは、デジタル署名を生成することができる。さらに、リクエストは、識別された検証ステータスに基づいて、ビジネスロジックで評価される。
【0029】
(C.本発明の第3の局面)
本発明の第3の局面は、デバイスの検証ステータスの提供に関し、デバイス内で、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを識別する工程と、生成されたデジタル署名が、識別された検証ステータスのインジケータを含むように、デバイス内で、識別されたデバイスの検証ステータスの関数としてメッセージを表すデータを改変することを含む、識別された検証ステータスの関数として、デバイス内でメッセージについてのデジタル署名を生成する工程と、生成されたデジタル署名をデバイスの外部の電子装置に伝送する工程とを含む。現在の検証ステータスの識別は、デバイスに入力された検証データとデバイス内に予め格納されたデータとの関数としての識別である。
【0030】
本発明のこの局面の変形例において、検証ステータスは、エンティティ認証に関する。この変形例は、エンティティの検証データを含む入力をデバイス内に受信する工程と、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、検証データおよびデバイス内に予め格納されたデータの関数としてデバイス内で識別する工程と、生成されたデジタル署名が、識別された検証ステータスのインジケータを含むように、デバイス内で、識別されたデバイスの検証ステータスの関数としてメッセージを表すデータを改変することを含む、識別された検証ステータスの関数として、デバイス内でメッセージについてのデジタル署名を生成する工程と、生成されたデジタル署名をデバイスから出力する工程とを含む。
【0031】
他の変形例において、第1のエンティティは、第2のエンティティに対して認証される。この変形例において、第1のエンティティのデータは、検証素子の個人専用化の間に、デバイスの検証素子内に格納される。検証データは、後からデバイス内に入力され、デバイスの検証素子内で受信される。現在の検証ステータスは、検証データとデバイスの検証素子内に予め格納されたデータとの関数として識別される。識別された検証ステータスは、デバイスの複数の所定の検証ステータスのうちの1つである。その後、デジタル署名は、デバイス内で、メッセージについて、識別された検証ステータスの関数として生成され、デバイス内で、識別されたデバイスの検証ステータスの関数としてメッセージを表すデータを改変することを含む。生成されたデジタル署名は、識別された検証ステータスのインジケータを含む。デジタル署名は、デバイスの検証素子から出力され、その後、第2のエンティティティに通信される。
【0032】
本発明の第4の変形例において、検証データがデバイスによってまだ受信されていない場合のエンティティ認証に関する検証ステータスが提供される。特に、この場合の方法は、デバイスの検証ステータスを、デバイスに予め格納されたデータおよび後から入力された検証データの関数として識別するために、エンティティの予め格納されたデータをデバイス内に維持する工程と、所定の期間の間、任意の検証データの入力が無いことを表すデバイスの現在の検証ステータスをデバイス内で識別する工程と、生成されたデジタル署名が、識別された検証ステータスのインジケータを含むように、デバイス内で、メッセージについてデジタル署名を生成する工程と、識別された検証ステータスの評価のため、生成されたデジタル署名をデバイスから出力する工程とを含む。好ましくは、その後、ある点で、検証データを含む入力がデバイス内で受信され、デバイス内で、現在の検証ステータスが、デバイスの複数の所定の検証ステータスから、受信した検証データと予め格納されたデータとを比較することによって識別され、他のデジタル署名が、デバイス内で、メッセージについて、識別された検証ステータスの関数として生成される。この面において、メッセージを表すデータは、デバイス内で、デバイスの識別された関数として改変される。識別された検証ステータスのインジケータを含む第2の生成されたデジタル署名は、その評価のため、デバイスから出力される。
【0033】
本発明のこの局面の好ましい実施形態において、デバイスの複数の所定の検証ステータスのうちの1つの検証ステータスは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の検証ステータスは、検証データが予め格納されたデータとは異なることを表し、識別された検証ステータスのインジケータは、予め格納されたデータも検証データも示さず、予め格納されたデータは機密を表し、予め格納されたデータはバイオメトリック特性を表す。さらに、リクエストは、識別された検証ステータスに基づいて、ビジネスロジックで評価される。
【0034】
デジタル署名の生成は、デバイス内で、公開秘密鍵の対の秘密鍵を用いて、改変されたデータについて、デバイス内で計算されたメッセージダイジェストを暗号化する工程を含む。好適な実施形態において、メッセージを表す、改変されたデータについてのデジタル署名は、デバイスから出力されるが、改変されたデータ自体はデバイスから出力されない。
【0035】
いくつかの好適な実施形態において、メッセージは、デバイス内で、デバイスのユーザによって構成される。好ましくは、デジタル署名がそのために生成されたメッセージは、ユーザによって検討され、承認されるために、デバイスのディスプレイ画面上に表示される。あるいは、メッセージは、デバイスの外部のI/Oサポートエレメント内で構成される。I/Oサポートエレメントは、次に、メッセージを表す入力を、デバイスのインターフェースを介してデバイスに伝送する。他の好適な実施形態において、メッセージの一部は、デバイスの外部のI/Oサポートエレメント内で構成される。I/Oサポートエレメントは、次に、メッセージの一部を表す入力を、デバイスのインターフェースを介して、デバイスに伝送し、メッセージの残りの部分は、デバイス内で構成される。I/Oサポートエレメントは、例えば、販売地点端末、バイオメトリックスキャナ、カードリーダ、またはコンピュータを含み得る。
【0036】
メッセージ自体は、金融取引の実行、法的行為の実行、データベースへのアクセス、物理的空間へのアクセス、ウェブサイトへのアクセス、またはコンピュータプログラムへのアクセスについてであり得る。また、メッセージは、予め定められ、スタチックであり得、デバイス自体に格納され得る。また、検証データは、他のタイプのメッセージについて、または、メッセージにおいて実施されるリクエストの承認とデバイスの電源遮断との間の所定の期間について、デバイスに入力されることを必要とされなくてもよい。
【0037】
メッセージを表すデータは、メッセージのハッシュ値を含むか、あるいは、メッセージを表すデータは、メッセージについてのメッセージダイジェストを含む。メッセージを表すデータは、デバイス内に格納され得る。メッセージを表すデータの改変は、好ましくは、メッセージを表すデータに識別マーカの割り当てられた値を埋め込む工程と、識別マーカの割り当てられた値をメッセージを表すデータの後ろに付ける工程と、識別マーカの割り当てられた値をメッセージを表すデータの開始部分の後ろに付ける工程と、識別マーカの割り当てられた値をメッセージを表すデータの末尾の後ろに付ける工程とを含む。
【0038】
好ましい実施形態において、検証データは、最後に成功した検証後の所定の期間に続いて、デバイスに入力されることが必要とされ得、検証データは、特定のタイプのメッセージの各々について、デバイスに入力されることが必要とされ得る。特定のタイプのメッセージには、例えば、金融取引についてのリクエストが含まれ得る。
【0039】
さらなる好適な実施形態は、デバイス内で生成されたデジタル署名を用いてメッセージ認証を含み、デバイスの疑わしい検証ステータスの関数としてリクエストを実施するメッセージを表すデータを改変する工程と、メッセージダイジェストを改変されたデータの関数として計算する工程と、公開−秘密鍵の対の公開鍵を用いて生成されたデジタル署名を復号する工程と、計算されたメッセージダイジェストが復号されたデジタル署名と整合する場合、デバイスの検証ステータスがデバイスの疑わしい検証ステータスであると結論を下す工程を含む。
【0040】
デバイスは、好ましくは、デバイス内の識別マーカを、所定の検証ステータスに対応する、所定の値のセットのうちのある値と等しくなるように割り当てることによって、デバイスの現在の検証ステータスを識別する。好ましい実施形態において、識別マーカには、成功した検証と等しくされた値が割り当てられ、割り当てられた値は、検証データが最後にデバイスに入力されてからデジタル署名が生成されたか否かをさらに表す。さらに、生成されたデジタル署名は、好ましくは、インジケータを含む。
【0041】
(D.本発明の第4の局面)
本発明の第4の局面は、デバイスの検証ステータスの提供に関し、デバイス内で、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、デバイスに入力された検証データおよびデバイス内に予め格納されたデータの関数として識別する工程を含む。この工程は、機密を表す検証データとデバイス内に予め格納されたデータとを比較する工程と、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第1の比較マーカに割り当てる工程と、バイオメトリックデータを表す検証データとデバイスに予め格納されたデータとを比較して、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第2の比較マーカに割り当てる工程とを含む。メッセージを表すデータは、デバイス内で、第1および第2の比較マーカについての割り当てられた値の関数として改変される。その後、デバイス内で、改変されたデータについて、生成されたデジタル署名が識別された検証ステータスのインジケータを含むように、デジタル署名が生成される。その後、生成されたデジタル署名が、デバイス外部の電子装置に伝送される。
【0042】
本発明のこの局面の変形例において、検証ステータスは、エンティティ認証に関する。この変形例は、エンティティの検証データを含む入力をデバイス内に受信する工程であって、検証データはエンティティの機密およびバイオメトリック特性を表す、工程と、デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、検証データおよびデバイス内に予め格納されたデータの関数としてデバイス内で識別する工程と、生成されたデジタル署名が、識別された検証ステータスのインジケータを含むように、デバイス内で、識別されたデバイスの検証ステータスの関数としてメッセージを表すデータを改変し、識別された検証ステータスの関数として、デバイス内でメッセージについてのデジタル署名を生成する工程と、生成されたデジタル署名をデバイスから出力する工程とを含む。検証ステータスの識別は、機密を表す検証データとデバイス内に予め格納されたデータとを比較する工程と、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第1の比較マーカに割り当てる工程と、バイオメトリックデータを表す検証データとデバイスに予め格納されたデータとを比較して、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第2の比較マーカに割り当てる工程とを含む。メッセージデータの改変は、第1および第2の比較マーカについて、割り当てられた値の関数としてデータを改変する工程を含む。
【0043】
他の変形例において、第1のエンティティは、第2のエンティティに対して認証される。この変形例において、第1のエンティティの機密およびバイオメトリックデータの両方を表すデータは、検証素子の個人専用化の間に、デバイスの検証素子内に格納される。検証データは、後からデバイス内に入力され、デバイスの検証素子内で受信される。現在の検証ステータスは、検証データとデバイスの検証素子内に予め格納されたデータとの関数として識別される。検証ステータスの識別は、機密を表す検証データとデバイス内に予め格納されたデータとを比較する工程と、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第1の比較マーカに割り当てる工程と、バイオメトリックデータを表す検証データとデバイスに予め格納されたデータとを比較して、比較に基づいて、所定の値のセットのうちのある値と等しくなるようにデバイス内の第2の比較マーカに割り当てる工程とを含む。デジタル署名は、まず、デバイス内で、メッセージを表すデータを、第1および第2の比較マーカについて、割り当てられた値の関数として改変し、その後、生成されたデジタル署名が識別された検証ステータスのインジケータを含むように、改変されたデータを暗号化することによって、デバイス内でメッセージについて生成される。その後、デジタル署名は、検証素子から出力され、第2のエンティティティに伝送される。
【0044】
本発明のこの第4の局面の好ましい実施形態において、デバイスの複数の所定の検証ステータスのうちの1つの検証ステータスは、検証データが予め格納されたデータと同じであることを表し、少なくとも1つの他の所定の検証ステータスは、検証データが予め格納されたデータとは異なることを表す。第1の比較マーカの割り当てられた値、第2の比較マーカの割り当てられた値、または、第1および第2の比較マーカの割り当てられた値は、生成されたデジタル署名とともにデバイスから出力され、メッセージの改変は、メッセージを表すデータに第1の比較マーカの割り当てられた値、第2の比較マーカの割り当てられた値、またはその両方を、メッセージを表すデータに埋め込む工程、あるいは、このような割り当てられた値(単数または複数)を、メッセージを表すデータの後ろに付ける工程であって、メッセージデータの開始部分または末尾の後ろに付けることを含む工程とを含む。さらに、リクエストは、識別された検証ステータスに基づいて、ビジネスロジックで評価される。
【0045】
本発明のこの第4の局面の別の実施形態において、メッセージを表すデータは、第1および第2の比較マーカについて、割り当てられた値のうちの1つのみの関数として改変される。さらに、メッセージ、ならびに第1および第2の比較マーカについての他の割り当てられた値についての生成されたデジタル署名は、第2のエンティティに伝送される。
【0046】
(E.本発明の第5の局面)
本発明の第5の局面は、デジタル署名を生成するデバイスの現在の検証ステータスの決定に関し、デジタル署名を受信する工程と、公開−秘密鍵の対の公開鍵を用いてデジタル署名を復号する工程と、デバイスの複数の所定の検証ステータスの各々について、所定の検証ステータスの関数として、メッセージを表すデータを改変する工程と、デバイスの現在の検証ステータスが、改変されたデータが復号されたデジタル署名とそれについて整合する所定の検証ステータスであるとして識別する工程とを含む。この局面の変形例において、メッセージダイジェストは、改変に続いて、改変されたデータの関数として計算される。改変されたデータの関数としてのメッセージダイジェストの計算は、改変されたデータについてのハッシュ値の計算を含み得る。
【0047】
本発明のこの第4の局面の好適な実施形態において、検証ステータスの各々は、デバイスに入力された検証データと、デバイス内に予め格納されたデータとの間の相関関係を表す。さらに、各検証ステータスは、現在の検証ステータスがそれについて決定される、デバイスの検証データまたは予め格納されたデータのいずれも示さない。
【0048】
好ましくは、現在の検証ステータスは、リクエストに関連する。リクエストは、例えば、金融取引の実行、または法的行為の実行についてであり得る。リクエストは、例えば、予め定められ、スタチックであり得、所定のメッセージに含まれ得る。リクエストは、データベースへのアクセス、物理的空間へのアクセス、ウェブサイトへのアクセス、またはコンピュータプログラムへのアクセスについてであり得る。好ましくは、リクエストは、デジタル署名とともに受信され、デジタル署名によって示される現在の検証ステータスに基づいて評価される。リクエストの評価は、デジタル署名を生成するデバイスの保証レベルを考慮する工程を含む。リクエストは、デジタル署名の受信において暗黙的であってもよい。リクエストは、公開または秘密に、コンピュータネットワークのような電子通信媒体を介して通信され得る。
【0049】
さらに、好適な実施形態において、所定の検証ステータスの内の1つは、成功しない検証を表し、所定の検証ステータスのうちの1つは、成功した検証を表し、所定の検証ステータスのうちの1つは、検証データが最後にデバイスに入力されてから、デジタル署名がデバイスによって生成されたか否かをさらに表し、所定の検証ステータスのうちの1つは、デジタル署名が、デバイスに入力された検証データとデバイス内に予め格納されたデータとの比較に続いて生成されたか否かをさらに表し、所定の検証ステータスのうちの1つは、所定の期間、例えば、最後に成功した検証の時間またはデバイスのリセットからの時間内に、任意の検証データがデバイスに入力されたか否かをさらに表す。
【0050】
さらに、好ましい実施形態において、所定の検証ステータスのうちの1つは、デバイスに入力された検証データとデバイス内に予め格納されたデータとの間の差異を表し、所定の検証ステータスのうちの1つは、デバイスに入力されたバイオメトリック検証データとデバイス内に予め格納されたバイオメトリックデータとの間の整合の程度を表し、所定の検証ステータスのうちの1つは、デバイスに入力されたバイオメトリック検証データとデバイス内に予め格納されたバイオメトリックデータとの間の整合のパーセンテージをさらに表し、所定の検証ステータスのうちの1つは、検証データが最後にデバイスに入力されてから、デバイスによってデジタル署名が生成された否かをさらに表し、所定の検証ステータスのうちの1つは、デジタル署名が、デバイスに入力された検証データとデバイス内に予め格納されたデータとの比較に続いて生成されたか否かをさらに表し、所定の検証ステータスのうちの1つは、所定の期間内に、任意の検証データがデバイスに入力されたか否かをさらに表す。
【0051】
(F.本発明の特徴)
本発明の上記の局面の特徴において、デバイスは、好ましくは、所定の検証ステータスと対応する所定の値のセットのうちのある値と等しくなるようにデバイス内の識別マーカを割り当てることによって、デバイスの現在の検証ステータスを識別する。好ましい実施形態において、比較の結果が、(例えば、データが機密を表す場合)精密な整合を含む整合である場合、成功した検証と等しくされた値が識別マーカに割り当てられ、(例えば、データがバイオメトリック特性を表す場合)比較の結果が整合するが、精密な整合でない場合、成功した検証と等しくされた値が識別マーカに割り当てられ、検証データと予め格納されたデータとの間の比較によって整合が得られない場合、成功しない検証と等しくされた値が識別マーカに割り当てられる。
【0052】
さらに、好適な実施形態において、検証データと予め格納されたデータとの間の差異を表す値が識別マーカに割り当てられ、検証データと予め格納されたデータとの間の整合の程度を表す値が識別マーカに割り当てられ、検証データと予め格納されたデータとの間の整合のパーセンテージと等しくされた値が識別マーカに割り当てられ、所定の期間、例えば、最後の成功した検証の時間、またはデバイスがリセットされてからの時間内に、任意の検証データがデバイスに入力されたか否かを表す値が識別されたマーカに割り当てられる。
【0053】
成功する検証と等しくされた値が識別マーカに割り当てられる好ましい実施形態において、割り当てられた値は、成功する検証の後にインジケータが出力された否か、あるいは、検証データが最後にデバイスに入力されてからインジケータが出力されたか否かをさらに表す。さらなる特徴において、インジケータは、識別マーカの割り当てられた値を含み、割り当てられた値は、検証データが最後にデバイスに入力されてから、デバイスによってデジタル署名が生成されたか否かをさらに表す。さらに、デバイスは、好ましくは、デバイスによって受信される外部の問い合わせに応答するか、メッセージを表すデータの受信に応答するか、または、検証データを含む入力の受信に応答して、デジタル署名を生成する。
【0054】
本発明の他の特徴は、検証データがユーザによって直接デバイスに入力されること、ならびに、代替的に、検証データを表す入力が、デバイスの外部のI/Oサポートエレメント内で受信され、その後デバイスに伝送されることを含む。I/Oサポートエレメントは、例えば、販売地点端末、バイオメトリックスキャナ、カードリーダ、ATMマシン、またはコンピュータを含み得る。
【0055】
さらなる特徴において、インジケータは、決定的に(すなわち、曖昧さなしに)、デバイスの単一の所定の検証ステータスを指し示し、機密および/またはバイオメトリックデータも、デバイスに入力される検証データも、デバイスからエクスポートされず、デバイスは、デバイスの複数のユーザについて、データを予め格納し、デジタル署名は、デバイス内で生成され、識別マーカの値とともにデバイスから出力される。
【0056】
予め格納されたデータがバイオメトリックデータを含む場合、本発明の特徴において、バイオメトリックデータのタイプを表す値が識別マーカに割り当てられる。さらに、バイオメトリックデータは、例えば、デジタル化された指紋、デジタル化された手形または手の形状、デジタル化された網膜、デジタル化された虹彩、デジタル化された声紋、デジタル化された顔面スキャン、デジタル化された手書きのサイン、またはデジタル化されたDNA試料を表し得る。このような場合、デバイスは、検証データを入力するバイオメトリックスキャナを含み得る。また、デバイスは、複数の異なるタイプのバイオメトリックデータについて、1人の人間か、または複数の人間のいずれかのデータを予め格納し得る。
【0057】
識別された検証ステータスに基づいてリクエストが評価される、本発明の他の特徴において、検証データは、特定のタイプのリクエスト、例えば、金融取引の各々について、デバイスに入力されることが必要とされる。検証データは、他のタイプのリクエストについて、デバイスに入力されることが必要とされないこともあり得る。また、検証データは、特定のタイプのリクエストについて、デバイスに入力されることが必要とされるが、リクエストの評価が承認に終わるまでであり、その後、所定の期間、例えば、リクエストの承認とデバイスのリセットとの間の時間、検証データは、このようなタイプのさらなるリクエストについて、デバイスに入力されることが必要とされないこともあり得る。
【0058】
乱数が、セッション鍵の生成のための多くのコンピュータアプリケーション、例えば、安全ソケット層(SSL)プロトコル、ならびにプリティグッドプライバシー(PGP)のようなセキュリティプロトコルにおいて利用される。本発明のさらに他の特徴は、得られるデジタル署名が、乱数としてこのようなアプリケーションにおいて用いられる、デジタル署名アルゴリズムを用いるデジタル署名の生成を含む。
【0059】
本発明の方法のデバイスは、好ましくは、ECの送信側の個人用デバイスである。また、デバイスは、好ましくは、例えば、英数字キーパッド、電気接点、タッチスクリーン式のディスプレイ、コンピュータバスを有する標準的電子インターフェース、または、アンテナのようなデバイスインターフェースを含む。また、デバイスインターフェースは、無線通信ポート、シリアルポート、USBポート、パラレルポート、または赤外線ポートのようなデバイスのポートを含み得る。デバイスは、好ましくは、携帯可能であり、ハンドヘルド形式ファクターである。デバイスは、好ましくは、コンピュータチップ、および/または、集積回路を含み得、例えば、携帯電話、PDA、デジタル化されたキー、ドングル、皮下インプラント、装身具、集積回路カード(ICカード)、クレジットカード、デビットカード、スマートカード、セキュリティカード、IDバッジ、またはコンピュータであり得る。
【0060】
本発明の他の特徴は、本発明方法の工程を1つ以上実行させるコンピュータ実行可能命令を有するコンピュータ読み出し可能媒体と共に提供されるデバイスと、本発明方法の工程を1つ以上実行する集積回路と、本発明方法の工程を1つ以上実行するコンピュータチップとを含む。
【0061】
本発明の利点およびさらなる特徴が、以下の図面と共に、本発明の好ましい実施形態の詳細な説明から明らかである。図面において、同一の参照符号は、同一の要素を指す。
【0062】
(VI.好適な実施形態の詳細な説明)
予備的な問題として、当業者であれば、本発明のデバイス、システム、および方法についての以下の詳細な説明を考慮することによって、本発明は、幅広く実行し、適用されることが可能であることを容易に理解する。本発明の実体または範囲から逸脱することなく、本明細書中に記載されている以外の多くの本発明の実施形態および適応例、ならびに、多くの変形例、改変例、および均等な構成は、本発明、および以下の本発明の詳細な説明によって、明らかであるか、または、合理的に示唆される。さらに、当業者であれば、いくつかの例において様々なプロセスの工程が、好ましい流れまたは時間的な順序で実行されるように示され、説明されているが、このようなプロセスの工程は、必ずしもこのような特定の流れまたは順序で実行されるように限定されないことを理解し、正当に評価する。むしろ、多くの例において、本明細書中で説明されるプロセスの工程は、様々な、異なる流れおよび順序で実行され得るが、依然として、本発明の範囲内に含まれる。従って、本発明は、本明細書中で、好適な実施形態に関して、詳細に説明されるが、この詳細な説明は、本発明の実証および例示に過ぎず、本発明の完全、且つ実施を可能するような開示を提供するために行われるに過ぎないことが理解されるべきである。本明細書中で述べられる詳細な説明は、本発明を限定するか、あるいは、本発明の任意の他の実施形態、適応例、変形例、改変例および均等な構成を除外するように意図されていないし、そのように解釈されるべきではない。本発明は、添付の特許請求の範囲およびその均等物によってのみ限定される。
【0063】
(A.本発明の概要)
概念的に、本発明は、図1に最も良好に示されている。ここで、送信側120からのメッセージを含むEC110は、受信側130により受信される。本発明によると、デバイス140は、送信側120の検証データを表す入力150を受信し、デバイス140の現在の検証ステータスを識別し、識別された検証ステータス(VS)160をEC110とともに受信側130に通信する機能を行う、デバイス140の検証素子を備える。入力150によって表される検証データは、機密またはバイオメトリック値を含む。
【0064】
以下に詳細に説明する、本発明の好ましい実施形態において、検証ステータス160は、好ましくは、送信側120の予め格納されたデータを維持し、予め格納されたデータを入力された検証データと比較することによって、デバイス内で識別される。従って、予め格納されたデータも、機密またはバイオメトリック値を含む。
【0065】
好ましい実施形態において、デバイス140は、また、複数の予め定義された検証ステータスを含む。検証ステータスの各々は、検証データと予め格納されたデータとの間の相関関係を表す。しかし、検証ステータスのうち、検証データまたは予め格納されたデータを実際に示すものはない。従って、送信側120と受信側130との間に「共有の機密」が存在する必要はない。デバイス140は、所定の検証ステータスのうちの1つが、現在の検証ステータス160であることを、検証データと予め格納されたデータとの比較に基づいて識別し、デバイス140は、識別された検証ステータスのインジケータをデバイス140から出力させ、その後受信側130に送信することによって、識別された検証ステータス160を受信側130に通信する。インジケータは、検証ステータス160を、実際に含んでいてもよいし、含んでいなくてもよい。しかし、インジケータは、デバイス内で識別された検証ステータス160を、受信側130に示す(または、受信側130が判定することを可能にする)。
【0066】
さらにデバイス140は、好ましくは、所定の期間内に入力150が受信されなかったことを表す所定の検証ステータスを含む。デバイス140は、このような所定の期間内に入力150が受信されない場合、この検証ステータスが、現在の検証ステータス160であると識別し、適切なときに、このような識別ステータスを、EC110とともに受信側130に通信する。所定の期間には、例えば、デバイス140のリセット以後の時間、または単に所定の長さの時間が含まれ得る。さらに、電圧または適切な信号(例えば、内部電源からの電圧、外部電源からの電圧、RF信号の受信など)がデバイス140に印加されるときのみ、「オンになる」デバイス140については、所定の長さの時間には、デバイス140が実際に「オンになった」以後の時間が含まれ得る。
【0067】
可能な検証ステータスの例には、検証データと予め格納されたデータとの間の「整合」および「不整合」、(例えば、検証データおよび予め格納されたデータがバイオメトリック値を含む場合には)検証データと予め格納されたデータとの間の整合または違いの度合いが含まれる。また、検証ステータスは、さらに、検証ステータスが、所定の期間内に受信側130に提供されたか否かをさらに表し得る。所定の期間には、例えば、最後に検証が成功した検証データと予め格納されたデータとの比較以後の時間、検証データを表す入力150の最後の受信以後の時間、または、上述したように、単に所定の長さの時間が含まれる。
【0068】
受信側130は、好ましくは、検証ステータス160に基づいて、EC110に伴うリスクのレベルを判定する能力を有する。この判定されたEC110に伴うリスクのレベルによって、受信側130は、EC110のメッセージを評価することがより可能になる。受信側130は、好ましくは、デバイス140から送信されるインジケータを受信するインターフェースと、受信したインジケータに基づいて、送信側120からのEC110を評価するビジネスロジックを内蔵するロジック回路部またはソフトウェアとを含む電子装置によって表される。電子装置は、デバイス140から遠隔に位置し得るが、例えば、電子通信ネットワーク(例えば、インターネット、イントラネット、無線ネットワークなど)を介して、デバイス140と電子通信できる範囲内に配置される。
【0069】
送信側120および受信側130がインタラクトする状況に依存して、メッセージは、明示的であってもよいし、暗黙的であってもよいことが理解されるべきである。明示的である場合、メッセージの内容は、予め規定される。例えば、受信側130による、デバイス140の検証ステータスのインジケータを受信する実際の行動は、それ自体が、受信側120と受信側130との間でメッセージが同意されたことを表し得る。このような場合、メッセージを含むEC110が送られる必要はない。さらに、EC110が、実際に、送信側120から受信側130に送信される場合、EC110の一部または全ては、図1に示すようにデバイス140から分離しているのではなく、デバイス140から、構成されて送られる。
【0070】
(B.本発明の好適な実施形態)
(1.第1の好適な実施形態(基本モデル))
本発明の第1の好適な実施形態200が図2aに示される。ここで、送信側220からのメッセージを含むEC210は、電子装置230によって表される受信側により受信され、デバイス240は、検証データ(VD)250を表す入力をデバイスインターフェース252にて受信する。デバイス240は、デバイス240のメモリ254内に予め格納された送信側220のデータ(PD)270を維持する検証素子をその中に備える。この検証データ250および予め格納されたデータ270は、機密またはバイオメトリック値を表す。
【0071】
検証素子は、検証データ250と予め格納されたデータ270との比較に基づいて、デバイス240の現在の検証ステータスを256にて識別する。信号(S)280を受信すると、インジケータ260をデバイス240から出力させ、その後、EC210とともに受信側に送信することによって、デバイス240の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。信号280は、デバイス240に送られ、インジケータ260を出力するようにデバイス240をトリガする。信号280は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側220によって、電子装置230または他の装置(図示せず)によって生成される。デバイスのインターフェース252は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側220から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0072】
また、デバイス240は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ250と予め格納されたデータ270との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス240からインジケータ260が出力されたか否かをさらに表す。セットは、デバイス240の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ250を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。検証データ250を表す入力が、デバイス240がリセットされてから受信された場合にのみ、デバイス240から出力されたインジケータ260は、検証データ250と予め格納されたデータ270との比較に基づく。検証データを表す入力が受信されない場合、インジケータ260は、デバイス240のリセット後から、検証データ250を表す入力が無いことを示す。いずれの場合においても、インジケータ260は、EC210とともに送信され、これによって、この受信側は、インジケータ260をEC210に関係するとして識別することができる。電子装置230は、デバイス240からインジケータ260を受信することができるインターフェース(図示せず)を備える。電子装置230は、インジケータ260に基づいてデバイスの検証ステータスを決定するため、およびデバイス240の検証ステータスに基づいて送信側220から受信されたEC210を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。
【0073】
検証データ250および予め格納されたデータ270が機密を含む場合、検証ステータスの所定のセットは、少なくとも4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスのリセット後から、検証データ250が無いことを表す第1の検証ステータス、検証データ250と予め格納されたデータ270との間の整合を表し、および整合してから、デバイス240から他のインジケータ260が出力されないことをさらに表す第2の検証ステータス、検証データ250と予め格納されたデータ270との間の不整合を表す第3の検証ステータス、ならびに検証データ250と予め格納されたデータ270との間の整合を表し、および整合してからのインジケータ260の出力をさらに表す第4の検証ステータスである。デバイス240は、好ましくは、メモリ274内に格納され、デバイス240によって識別された現在の検証ステータスを表す、4つのバイナリ数のうち1つを含む識別マーカ(「IM」)272を含む。4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、デバイス240から出力されたインジケータ260は、好ましくは、値とデバイス240の所定の検証ステータスとの対応が、受信側にとって以前から既知である状態で、識別マーカ272の値を含む。いずれの検証ステータスも、実際には、検証データ250または予め格納されたデータ270を示さない。従って、送信側220と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0074】
あるいは、検証データ250および予め格納されたデータ270がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス240のリセット後から、検証データ250を表す入力が無いことを表す検証ステータスと共に、検証データ250と予め格納されたデータ270との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ250と予め格納されたデータ270とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ250を表す入力が最後に受信されてから、インジケータ260がデバイス240から出力されたか否かをさらに表す。デバイス240は、好ましくは、デバイス240によって現在の検証ステータスとして識別された検証ステータスを表す値を格納する識別マーカ272を含む。さらに、デバイス240から出力されるインジケータ260は、好ましくは、このような値とデバイスの所定の検証ステータスとの間の対応が、受信側によって予め知られている、識別マーカ272の値を含む。また、検証データ250または予め格納されたデータ270のいずれかを実際に示す検証データはない。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側220の存在があるのではないかと推論し得る。
【0075】
図2aの第1の好適な実施形態200に基づいた変形が図2bに示される。この変形は、I/Oサポートエレメント262を備え、このI/Oサポートエレメントから、検証データ250を表す入力がデバイスインターフェース252にて受信される。I/Oサポートエレメント262は、送信側からの入力が受信されるユーザインターフェース258、ならびに検証データ250を表す入力をデバイス240に通信するI/Oインターフェース259を備える。さらに、これの別の変形が図2cに示される。ここで、I/Oサポートエレメント262は、デバイス240から出力されるインジケータ260を受信する。I/Oサポートエレメント262は、次に、インジケータ260を電子装置230に伝送する。
【0076】
示されるように、I/Oサポートエレメント262から伝送されるインジケータ260は、デバイス240から出力されるインジケータ260と同じである。しかしながら、I/Oサポートエレメント262から伝送されるインジケータ260は、デバイス240から出力されるインジケータ260によって示される検証ステータスを受信側が決定することが可能である限り、デバイス240から出力されるインジケータ260と異なり得る。例えば、I/Oサポートエレメント262から伝送されるインジケータは、I/Oサポートエレメント262自体が検証ステータスを識別する場合に、デバイス240のインジケータだけではなく、I/Oサポートエレメント262の検証ステータスも示し得る。さらに、I/Oサポートエレメント262から伝送されるインジケータ260は、I/Oサポートエレメント262によってデジタル的に署名される、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0077】
図2a、図2bおよび図2cにおいて、EC210は、インジケータ260から分離して伝送されることが示される。しかしながら、図2aの好適な実施形態、およびその任意の変形において、インジケータ260は、EC210の一部として伝送されることによって、同様に、EC210と関連付けられ得る。さらに、EC210は、デバイス240、関連するI/Oサポートエレメント262(図2aに図示せず)または他の装置から出力され得る。
【0078】
図2a、図2bおよび図2cのデバイスの動作の好適なモード300が図3に示され、302におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程304)で開始する。リセット中に、検証データを表す入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、306にて開始し、312にて終了する循環ループ(repeating loop)に入り、デバイスがリセットされるか、電源が切られるか、または所定の長さの時間後に不活性になるまで、このループ内で繰り返しを継続する。ループ内の第1の工程は、好適には、検証データ(VD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程308)を含む。工程308における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程314)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい値を、デバイスのメモリ内に格納された識別マーカに割り当てる(工程316)ことによって記録される。
【0079】
工程308において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程316において割り当てられた後、信号(S)がデバイスによって受信されたか否かが決定される。信号が受信されていない場合、ループは工程306を再スタートする。信号が受信される場合、工程310における決定は、肯定的であり、デバイスの現在の検証ステータスのインジケータが出力される(工程318)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータの出力に続いて、インジケータ出力が、検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程320)。工程320における決定が否定的である場合、ループは再スタートする(工程306)。工程320における決定が肯定的である場合、工程308において検証データを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程322)。ループは、その後、工程306を再スタートする。
【0080】
(2.第2の好適な実施形態(インジケータ用のデジタル署名))
本発明の第2の好適な実施形態400が図4aに示される。ここで、送信側420からのメッセージを含むEC410は、電子装置430によって表される受信側により受信され、デバイス440は、検証データ(VD)450を表す入力をデバイスインターフェース452にて受信する。デバイス440は、デバイス440のメモリ454内に予め格納された送信側420のデータ(PD)470を維持する検証素子をその中に備える。この検証データ450および予め格納されたデータ470は、機密またはバイオメトリック値を表す。
【0081】
検証素子は、検証データ450と予め格納されたデータ470との比較に基づいて、デバイス440の現在の検証ステータスを456にて識別する。信号(S)480を受信すると、インジケータ460をデバイス440から出力させ、その後、EC410とともに受信側に送信することによって、デバイス440の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。また、信号(S)480を受信すると、デバイス440のデジタル署名素子は、490で、インジケータのハッシュ値を計算し、492で、公開−秘密鍵の対のうちの秘密鍵495を用いてハッシュ値を暗号化することによって、インジケータ460用のデジタル署名(DS)482を作成する。その後、デジタル署名482は、デバイス440から出力され、インジケータ460と共に受信側に伝送される。信頼性および信用性を増大させるため、秘密鍵495は、メモリ494内に確実に保持されるので、デバイス440から決してエクスポートされず、デバイス440の外部から発見が不可能である。
【0082】
この好適な実施形態において、デジタル署名は、Federal Information Processing Standards Publication 186−2,Digital Signature Standard(US DOC/NBS、1994年1月11日)(以下、「FIPS PUB 186−2」)に記載される楕円曲線デジタル署名アルゴリズム(ECDSA)に従って、作成される。FIPS PUB 186−2は、本明細書中で参考として援用され、http://csrc.nist.gov/publications/fipsからダウンロードすることができる。従って、デジタル署名482は、ランダム番号生成器を用いて生成され、490において、素子456から受信した入力のサイズに関わらず20バイト出力を生成し、安全ハッシュアルゴリズム(「SHA−1」)を用いてハッシュ関数が実行される。SHA−1自体は、Federal Information Processing Standards Publication 180−1,Secure Hash Standard(US DOC/NBS、1995年4月17日)(以下、「FIPS PUB 180−1」)に記載されている。FIPS PUB 180−1は、本明細書中で参考として援用され、http://csrc.nist.gov/publications/fipsからダウンロードすることができる。
【0083】
信号480は、デバイス440に送られ、インジケータ460を出力するようデバイス440をトリガする。信号480は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側420によって、電子装置430または他の装置(図示せず)によって生成される。デバイスインターフェース452は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側420から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0084】
また、デバイス440は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ450と予め格納されたデータ470との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイスからインジケータ460が出力されたか否かをさらに表す。セットは、デバイス440の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ450を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス440から出力されたインジケータ460は、検証データ450と予め格納されたデータ470との比較に基づくが、これは、検証データ450を表す入力が、デバイス440がリセットされてから受信された場合にのみ当てはまる。検証データを表す入力が受信されない場合、インジケータ460は、デバイス440のリセット後から、検証データ450を表す入力が無いことを示す。いずれの場合においても、インジケータ460は、デジタル署名482とともに、従って、EC210とともに送信され、これによって、この受信側は、インジケータ460をEC410に関係するとして識別することができる。
【0085】
電子装置430は、デバイス440からインジケータ460およびデジタル署名482を受信することができるインターフェース(図示せず)を備える。電子装置430は、インジケータ460に基づいてデバイスの検証ステータスを決定するため、およびデバイス440の検証ステータスに基づいて送信側420から受信されたEC410を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。また、電子装置430は、デジタル署名482を復号して、インジケータ460の信憑性を確認する(すなわち、電子装置430は、インジケータ460に対してメッセージ認証を行う)。復号は、秘密鍵495に対応し、デジタル署名482と共に受信され得るか、あるいは、受信側にとって既知であるか、または、前もって入手された公開鍵を用いて行われる。
【0086】
検証データ450および予め格納されたデータ470が機密を含む場合、検証ステータスの所定のセットは、少なくとも4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスがリセットされてから、検証データ450が無いことを表す第1の検証ステータス、検証データ450と予め格納されたデータ470との間の整合を表し、および整合してから、デバイス440から他のインジケータ460が出力されないことをさらに表す第2の検証ステータス、検証データ450と予め格納されたデータ470との間の不整合を表す第3の検証ステータス、ならびに検証データ450と予め格納されたデータ470との間の整合を表し、および整合してからのインジケータ460の出力をさらに表す第4の検証ステータスである。デバイス440は、好ましくは、メモリ474内に格納され、デバイス440によって識別された現在の検証ステータスを表す、4つのバイナリ数のうち1つを含む識別マーカ(「IM」)472を含む。4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、デバイス440から出力されたインジケータ460は、好ましくは、値とデバイス440の所定の検証ステータスとの対応が、受信側にとって以前から既知である状態で、識別マーカ472の値を含む。いずれの検証ステータスも、実際には、検証データ450または予め格納されたデータ470を示さない。従って、送信側420と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0087】
あるいは、検証データ450および予め格納されたデータ470がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス240のリセット後から、検証データ450を表す入力が無いことを表す検証ステータスと共に、検証データ450と予め格納されたデータ470との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ450と予め格納されたデータ470とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ450を表す入力が最後に受信されてから、インジケータ460がデバイス440から出力されたか否かをさらに表す。デバイス440は、好ましくは、デバイス440によって現在の検証ステータスとして識別された検証ステータスを表す値を格納する識別マーカ472を含む。さらに、デバイス440から出力されるインジケータ460は、好ましくは、識別マーカ472の値を含み、このような値とデバイスの所定の検証ステータスとの間の対応が、受信側によって予め知られている。また、検証データ450または予め格納されたデータ470のいずれかを実際に示す検証データはない。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側420の存在があるのではないかと推論し得る。
【0088】
図4aの第2の好適な実施形態400に基づいた変形が図4bに示される。この変形は、I/Oサポートエレメント462を備え、このI/Oサポートエレメントから、検証データ450を表す入力がデバイスインターフェース452にて受信される。I/Oサポートエレメント462は、送信側420からの入力が受信されるユーザインターフェース458、ならびに検証データ450を表す入力をデバイス440に通信するI/Oインターフェース459を備える。さらに、これの別の変形が図4cに示される。ここで、I/Oサポートエレメント462は、デバイス440から出力されるインジケータ460およびデジタル署名482を受信する。I/Oサポートエレメント462は、次に、インジケータ460およびデジタル署名482を電子装置430に伝送する。
【0089】
示されるように、I/Oサポートエレメント462から伝送されるインジケータ460は、デバイス440から出力されるインジケータ460と同じである。しかしながら、I/Oサポートエレメント462から伝送されるインジケータは、デバイス440から出力されるインジケータ460によって示される検証ステータスと、それについてデジタル署名がデバイス440によって作成される、インジケータ460のビットパターンとの両方とを受信側が決定することが可能である限り、デバイス440から出力されるインジケータと異なり得る。例えば、I/Oサポートエレメント462から伝送されるインジケータは、I/Oサポートエレメント462自体が検証ステータスを識別する場合に、デバイス440のインジケータだけではなく、I/Oサポートエレメント462の検証ステータスも示し得る。さらに、I/Oサポートエレメント462から伝送されるインジケータ460は、I/Oサポートエレメント462によってデジタル的に署名される、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
さらに、図4a、図4bおよび図4cにおいて、EC410は、インジケータ460およびデジタル署名482から分離して伝送されることが示される。しかしながら、図4aの好適な実施形態、およびその任意の変形において、インジケータ460は、EC410の一部として伝送されることによって、同様に、EC410と関連付けられ得る。さらに、EC410は、デバイス440、関連するI/Oサポートエレメント462(図4aに図示せず)または他の装置から出力され得る。
【0090】
図4a、図4bおよび図4cのデバイスの動作の好適なモード500が図5に示され、502におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程504)で開始する。リセット中に、検証データを表す入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、506にて開始し、512にて終了する循環ループに入り、デバイスがリセットされるか、電源が切られるか、または所定の長さの時間後に不活性になるまで、このループ内で繰り返しを継続する。ループ内の第1の工程は、好適には、検証データ(VD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程508)を含む。工程508における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程514)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい値を、デバイスのメモリ内に格納された識別マーカに割り当てる(工程516)ことによって記録される。
【0091】
工程508において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程516において割り当てられた後、信号(S)がデバイスによって受信されたか、または受信されているところか否かが決定される。信号が受信されていない場合、ループは工程506を再スタートする。信号が受信される場合、工程510における決定は、肯定的であり、現在の検証ステータスのインジケータについてデジタル署名が作成される(工程518)。その後、インジケータおよびデジタル署名は、出力される(工程520)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータおよびデジタル署名の出力に続いて、インジケータ出力が、検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程522)。工程522における決定が否定的である場合、ループは再スタートする(工程506)。工程522における決定が肯定的である場合、工程508において検証ステータスを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程524)。ループは、その後、工程506を再スタートする。
【0092】
(3.第3の好適な実施形態(メッセージ用のデジタル署名)
本発明の第3の好適な実施形態600が図6aに示される。ここで、送信側620からのメッセージを含むEC610は、電子装置630によって表される受信側により受信され、デバイス640は、検証データ(VD)650を表す入力をデバイスインターフェース652にて受信する。デバイス640は、デバイス640のメモリ654内に予め格納された送信側620のデータ(PD)670を維持する検証素子をその中に備える。この検証データ650および予め格納されたデータ670は、機密またはバイオメトリック値を表す。
【0093】
検証素子は、検証データ650と予め格納されたデータ670との比較に基づいて、デバイス640の現在の検証ステータスを656にて識別する。信号(S)680を受信すると、インジケータ660をデバイス640から出力させ、その後、EC610とともに受信側に送信することによって、デバイス640の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。信号680は、デバイス640に送られ、インジケータ660を出力するようデバイス640をトリガする。信号680は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側620によって、電子装置630または他の装置(図示せず)によって生成される。デバイスインターフェース652は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側620から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0094】
デバイス640は、EC610のメッセージを表すデータ(MD)622をデバイスインターフェース652にて受信する。メッセージデータは、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージ(M)の任意の他の処理の結果を含み得る。デバイス640は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ622を受信すると、デジタル署名(DS)686を作成する。デジタル署名686は、メッセージデータ622用のハッシュ値を690にて計算し、公開−秘密鍵の対の秘密鍵695を用いてハッシュ値を692にて暗号化することによって、作成される。信頼性および信用度を向上させるために、秘密鍵695は、メモリ694内に安全に保持され、従って、デバイス640から決してエクスポートされず、デバイス640の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAに従って作成される。従って、デジタル署名682は、乱数発生器を用いて生成され、690におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名686は、その後、デバイス640から出力され、インジケータ660とともに受信側に伝送される。
【0095】
別の好適な実施形態において、メッセージデータ622がデバイス640によって受信される前に既にハッシュされている場合、ハッシュ関数は省略される。このような別の実施形態において、デバイス640は、任意のメッセージデータ622をハッシュしないように、または、特定の命令、信号、またはコマンドを受信する場合にはメッセージデータ622をハッシュしないように、設定される。
また、デバイス640は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ650と予め格納されたデータ670との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス640からインジケータ660が出力されたか否かをさらに表す。セットは、デバイス640の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ650を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス640から出力されたインジケータ660は、検証データ650と予め格納されたデータ670との最後の比較に基づくが、これは、検証データ650を表す入力が、デバイス640がリセットされてから受信された場合にのみ当てはまる。検証データを表す入力が受信されない場合、インジケータ660は、デバイス640のリセット後から、検証データ650を表す入力が無いことを示す。
【0096】
いずれの場合においても、インジケータ660は、デジタル署名686とともに、かつ、EC610とともに送信され、これによって、この受信側は、インジケータ660およびデジタル署名686をEC610に関係するとして識別することができる。電子装置630は、デバイス640からインジケータ660およびデジタル署名686を受信することができるインターフェース(図示せず)を備える。電子装置630は、インジケータに基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側620から受信されたEC610を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。また、電子装置630は、デジタル署名686を復号して、EC610のメッセージの信憑性を確認する。復号は、秘密鍵695に対応し、デジタル署名686と共に受信され得るか、あるいは、受信側にとって既知であるか、または、前もって入手された公開鍵を用いて行われる。当然、比較のためにハッシュ値を計算することにおいて、電子装置630は、デジタル署名がそのために作成されたメッセージデータを生成するため、メッセージに対する任意の必要な処理を行う。
【0097】
検証データ650および予め格納されたデータ670が機密を含む場合、検証ステータスの所定のセットは、少なくとも4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスがリセットされてから、検証データ650が無いことを表す第1の検証ステータス、検証データ650と予め格納されたデータ670との間の整合を表し、および整合してから、デバイス640から他のインジケータ660が出力されないことをさらに表す第2の検証ステータス、検証データ650と予め格納されたデータ670との間の不整合を表す第3の検証ステータス、ならびに検証データ650と予め格納されたデータ670との間の整合を表し、および整合してからのインジケータ660の出力をさらに表す第4の検証ステータスである。デバイス640は、好ましくは、メモリ674内に格納され、デバイス640によって識別された現在の検証ステータスを表す、4つのバイナリ数のうち1つを含む識別マーカ(「IM」)672を含む。4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、デバイス640から出力されたインジケータ660は、好ましくは、値とデバイスの所定の検証ステータスとの対応が、受信側にとって以前から既知である状態で、識別マーカ672の値を含む。いずれの検証ステータスも、実際には、検証データ650または予め格納されたデータ670を示さない。従って、送信側620と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0098】
あるいは、検証データ650および予め格納されたデータ670がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス640のリセット後から、検証データ650を表す入力が無いことを表す検証ステータスと共に、検証データ650と予め格納されたデータ670との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ650と予め格納されたデータ670とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ650を表す入力が最後に受信されてから、インジケータ660がデバイス640から出力されたか否かをさらに表す。デバイス640は、好ましくは、デバイス640によって現在の検証ステータスとして識別された検証ステータスを表す値を格納する識別マーカ672を含む。さらに、デバイス640から出力されるインジケータ660は、好ましくは、識別マーカ672の値を含み、このような値と所定の検証ステータスとの間の対応が、受信側によって予め知られている。また、検証データ650または予め格納されたデータ670のいずれかを実際に示す検証データはない。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側の存在があるのではないかと推論し得る。
【0099】
図6aの第3の好適な実施形態600に基づいた変形が図6bに示される。この変形は、I/Oサポートエレメント662を備え、このI/Oサポートエレメントから、検証データ650を表す入力およびメッセージデータ622を表す入力がデバイス640によって受信される。I/Oサポートエレメント662は、送信側620からの入力がそこから受信されるユーザインターフェース658、ならびに検証データ650を表す入力およびメッセージデータ622を表す入力をデバイス640に通信するI/Oインターフェース659を備える。メッセージデータ622がI/Oインターフェース662から来ているように示されているが、メッセージデータ622の一部または全てが、デバイス640または他の装置(図示せず)内で構成されることが可能である。さらに、これの別の変形が図6cに示される。ここで、I/Oサポートエレメント662は、デバイス640から出力されるインジケータ660およびデジタル署名686を受信する。I/Oサポートエレメント662は、次に、インジケータ660およびデジタル署名686を電子装置630に伝送する。
【0100】
示されるように、I/Oサポートエレメント662から伝送されるインジケータ660は、デバイス640から出力されるインジケータ660と同じである。しかしながら、I/Oサポートエレメント662から伝送されるインジケータは、デバイス640から出力されるインジケータ660によって示される検証ステータスを受信側が決定することが可能である限り、デバイス640から出力されるインジケータと異なり得る。例えば、I/Oサポートエレメント662から伝送されるインジケータは、I/Oサポートエレメント662自体が検証ステータスを識別する場合に、デバイス640のインジケータだけではなく、I/Oサポートエレメント662の検証ステータスも示し得る。さらに、I/Oサポートエレメント662から伝送されるインジケータ660およびデジタル署名686は、I/Oサポートエレメント662によってデジタル的に署名される、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0101】
さらに、図6a、6b、および6cにおいて、EC610は、インジケータ660およびデジタル署名686から分離して伝送されることが示される。しかしながら、図6aの好適な実施形態、およびその任意の変形において、インジケータ660およびデジタル署名686は、EC610の一部として伝送されることによって、同様に、EC610と関連付けられ得る。さらに、EC610は、デバイス640、関連するI/Oサポートエレメント662(図6aに図示せず)または他の装置から出力され得る。
【0102】
図6a、図6bおよび図6cのデバイスの動作の好適なモード700が図7に示され、702におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程704)で開始する。リセット中に、検証データを表す入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、706にて開始し、714にて終了する循環ループに入り、デバイスがリセットされるか、電源が切られるか、または所定の長さの時間後に不活性になるまで、このループ内で繰り返しを継続する。ループ内の第1の工程は、好適には、検証データ(VD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程708)を含む。工程708における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程716)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい値を、デバイスのメモリ内に格納された識別マーカに割り当てる(工程718)ことによって記録される。
【0103】
工程708において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程718において割り当てられた後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程710)を含む。工程710における決定が肯定的である場合、デバイスは、そのメッセージデータについてデジタル署名を作成する(工程720)。その後、メッセージデータについてのデジタル署名は、出力される(工程722)。
【0104】
工程710において、受信されるメッセージデータを表す入力が無い場合、またはメッセージデータについてのデジタル署名が工程522において出力された後、信号(S)がデバイスによって受信されたか、または受信されているところか否かが決定される。信号が受信されていない場合、ループは工程506を再スタートする。信号が受信される場合、工程712における決定は、肯定的であり、デバイスの現在の検証ステータスのインジケータが作成される(工程724)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータの出力に続いて、インジケータ出力が、検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程726)。工程726における決定が否定的である場合、ループは再スタートする(工程706)。工程726における決定が肯定的である場合、工程708において検証ステータスを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程728)。ループは、その後、工程706を再スタートする。
【0105】
(4.第4の好適な実施形態(予め格納されたメッセージ用のデジタル署名)
本発明の第4の好適な実施形態800が図8aに示される。ここで、デバイス840は、デバイス840のメモリ内に維持される所定のメッセージを表すメッセージデータ(MD)822を含む。さらに、所定のメッセージのコンテンツは、受信側にとって前もって公知であり、メッセージは、メッセージデータ822用のデジタル署名886を受信しているときに、受信側によって明示的に受信される。しかし、受信側が所定のメッセージの知識を有さない場合、デバイス840は、好ましくは、図8aにおいて点線で示すように、受信側に通信するためのメッセージデータ822をエクスポートするオプションを含む。
【0106】
デバイス840は、デジタル署名素子を含む。このデジタル署名素子は、デバイスインターフェース852にて信号(S1)898を受信すると、890で、インジケータのハッシュ値を計算し、892で、公開−秘密鍵の対のうちの秘密鍵895を用いてハッシュ値を暗号化することによって、メッセージデータ822用のデジタル署名(DS)886を作成し、その後、受信側に伝送するために、デジタル署名886を出力する。信頼性および信用性を増大させるため、秘密鍵895は、メモリ894内に確実に保持されるので、デバイス840から決してエクスポートされず、デバイス840の外部からの発見が不可能である。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAに従って作成される。従って、デジタル署名882は、乱数発生器を用いて生成され、890におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。
信号898は、例えば、デジタル署名886を受信側に通信するため、送信側820によって生成されるリクエスト、またはコマンドを表すか、あるいは、信号898は、単に、デバイス840による検証データ850を表す入力の受信側820からの受信を含む。この点に関して、デバイス840は、検証データ(VD)850を表す入力をデバイスインターフェース852にて受信する。デバイス840は、デバイス840のメモリ854内に予め格納された送信側820のデータ(PD)870を維持する検証素子をその中に備える。この検証データ850および予め格納されたデータ870は、機密またはバイオメトリック値を表す。デバイス840の検証素子は、検証データ850と予め格納されたデータ870との比較に基づいて、デバイス840の現在の検証ステータスを856にて識別する。
【0107】
信号(S2)880を受信すると、インジケータ(IVS)860をデバイス840から出力させ、その後、デジタル署名886とともに受信側に送信することによって、デバイス840の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。信号880は、デバイス840に送られ、インジケータ860を出力するようデバイス840をトリガする。信号880は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側820によって、電子装置830または他の装置(図示せず)によって生成される。あるいは、信号880は、検証データ850自体を表す入力の受信を含み得る。従って、信号(S1)898および信号(S2)880が同じ信号になることは不可能である。
【0108】
デバイスのインターフェース852は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側820から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0109】
デバイス840は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ850と予め格納されたデータ870との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データ850を表す入力が最後に受信されてからデバイス840からインジケータ860が出力されたか否かをさらに表す。また、セットは、デバイス840の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ850を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス840から出力されたインジケータ860は、検証データ850と予め格納されたデータ870との最後の比較に基づくが、これは、検証データ850を表す入力が、デバイス840がリセットされてから受信された場合にのみ当てはまる。検証データを表す入力が受信されない場合、インジケータ860は、デバイス840のリセット後から、検証データ850を表す入力が無いことを示す。
【0110】
いずれの場合においても、インジケータ860は、デジタル署名886とともに送信され、これによって、この受信側は、インジケータ860をデジタル署名886に関係するとして識別することができる。電子装置830は、インジケータ860およびデジタル署名886を受信することができるインターフェース(図示せず)を備える。また、電子装置830は、インジケータ860に基づいてデバイス840の検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側820から受信された暗黙的(または明示的)メッセージを評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。また、電子装置830は、デジタル署名886を復号して、メッセージの信憑性を確認する。復号は、秘密鍵895に対応し、デジタル署名886と共に受信され得るか、あるいは、受信側にとって既知であるか、または、前もって入手された公開鍵を用いて行われる。
【0111】
検証データ850および予め格納されたデータ870が機密を含む場合、検証ステータスの所定のセットは、少なくとも4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスがリセットされてから、検証データ850が無いことを表す第1の検証ステータス、検証データ850と予め格納されたデータ870との間の整合を表し、および整合してから、デバイス840から他のインジケータ860が出力されないことをさらに表す第2の検証ステータス、検証データ850と予め格納されたデータ870との間の不整合を表す第3の検証ステータス、ならびに検証データ850と予め格納されたデータ870との間の整合を表し、および整合してからのインジケータ860の出力をさらに表す第4の検証ステータスである。デバイス840は、好ましくは、メモリ874内に格納され、デバイス840によって識別された現在の検証ステータスを表す、4つのバイナリ数のうち1つを含む識別マーカ(「IM」)872を含む。4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、デバイス840から出力されたインジケータ860は、好ましくは、値とデバイスの所定の検証ステータスとの対応が、受信側にとって以前から既知である状態で、識別マーカ872の値を含む。いずれの検証ステータスも、実際には、検証データ850または予め格納されたデータ870を示さない。従って、送信側820と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0112】
あるいは、検証データ850および予め格納されたデータ870がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス840のリセット後から、検証データ850を表す入力が無いことを表す検証ステータスと共に、検証データ850と予め格納されたデータ870との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ850と予め格納されたデータ870とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ850を表す入力が最後に受信されてから、インジケータ860がデバイス840から出力されたか否かをさらに表す。デバイス840は、好ましくは、デバイス840によって現在の検証ステータスとして識別された検証ステータスを表す値を格納する識別マーカ872を含む。さらに、デバイス840から出力されるインジケータ860は、好ましくは、識別マーカ872の値を含み、このような値と所定の検証ステータスとの間の対応が、受信側によって予め知られている。また、検証データ850または予め格納されたデータ870のいずれかを実際に示す検証データはない。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側の存在があるのではないかと推論し得る。
【0113】
図8aの第4の好適な実施形態800に基づいた変形が図8bに示される。この変形は、I/Oサポートエレメント862を備え、このサポートエレメントから、検証データ850を表す入力がデバイス840によって受信される。I/Oサポートエレメント862は、送信側820からの入力がそこから受信されるユーザインターフェース858、ならびに検証データ850を表す入力をデバイス840に通信するI/Oインターフェース859を備える。さらに、これの別の変形が図8cに示される。ここで、I/Oサポートエレメント862は、デバイス840から出力されるインジケータ860およびデジタル署名886(ならびに、必要に応じてメッセージデータ822)を受信する。I/Oサポートエレメント862は、次に、インジケータ860およびデジタル署名886(ならびに、必要に応じてメッセージデータ822)を電子装置830に伝送する。
【0114】
示されるように、I/Oサポートエレメント862から伝送されるインジケータ860およびデジタル署名886は、デバイス840から出力されるインジケータ860およびデジタル署名886と同じである。しかしながら、I/Oサポートエレメント862から伝送されるインジケータは、デバイス840から出力されるインジケータ860によって示される検証ステータスを受信側が決定することが可能である限り、デバイス840から出力されるインジケータと異なり得る。例えば、I/Oサポートエレメント862から伝送されるインジケータは、I/Oサポートエレメント862自体が検証ステータスを識別する場合に、デバイス840のインジケータだけではなく、I/Oサポートエレメント862の検証ステータスも示し得る。さらに、I/Oサポートエレメント862から伝送されるインジケータ860およびデジタル署名886は、I/Oサポートエレメント862によってデジタル的に署名される、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0115】
図8aの第4の好適な実施形態800に基づくさらなる変形例が、図8dに示される。この変形例において、デバイス840に格納されているメッセージデータ822は、所定のメッセージの計算されたハッシュ値である。この場合、デバイス840は、892においてメッセージデータ822を直接暗号化することによって所定のメッセージ用のデジタル署名886を生成し、図8aにおけるハッシュ値を計算する素子890は、図8dのデバイスからは省略されている。この例においては、受信側にとって、デバイス840内に格納されたメッセージデータ822に対応する所定のメッセージが既知であると仮定される。従って、デバイス840から受信側にメッセージ(または、メッセージデータ822)を通信する必要はない。
【0116】
図8a、図8b、図8cおよび図8dのデバイスの動作の好適なモード900が図9に示され、902におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程904)で開始する。リセット中に、検証データを表す入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、906にて開始し、914にて終了する循環ループに入り、デバイスがリセットされるか、電源が切られるか、または所定の長さの時間後に不活性になるまで、このループ内で繰り返しを継続する。ループ内の第1の工程は、好適には、検証データ(VD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程908)を含む。工程908における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程916)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい値を、デバイスのメモリ内に格納された識別マーカに割り当てる(工程918)ことによって記録される。
【0117】
工程908において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程918において割り当てられた後、ループ内の次の工程は、好適には、任意の信号S1がデバイスによって受信されるか否かの決定(工程910)を含む。工程910における決定が肯定的である場合、デバイスは、その所定のメッセージデータについてデジタル署名を作成する(または、適用できる場合には、生成する)(工程920)。その後、所定のメッセージデータについてのデジタル署名は、出力される(工程922)。
【0118】
工程910において、受信される信号S1が無い場合、または所定のメッセージデータについてのデジタル署名が工程922において出力された後、信号S2がデバイスによって受信されたか、または受信されているところか否かが決定される。信号S2が受信されていない場合、ループは工程906を再スタートする。信号S2が受信される場合、工程912における決定は、肯定的であり、デバイスの現在の検証ステータスのインジケータが作成される(工程924)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータの出力に続いて、インジケータ出力が、検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程926)。工程926における決定が否定的である場合、ループは再スタートする(工程906)。工程926における決定が肯定的である場合、工程908において検証ステータスを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程928)。ループは、その後、工程906を再スタートする。
【0119】
(5.第5の好適な実施形態(機密およびバイオメトリック検証データ)
本発明の第5の好適な実施形態1000が図10aに示される。ここで、送信側1020からのメッセージを含むEC1010は、電子装置1030によって表される受信側により受信され、デバイス1040は、機密についての検証データ(SVD)1051を表す入力およびバイオメトリック特性(BVD)1053を表す入力をデバイスインターフェース1052にて受信する。デバイス1040は、デバイス1040のメモリ内に予め格納された送信側1020のデータ(PD)1270を維持する検証素子を備える。予め格納されたデータ1042は、メモリ1041内に位置し、機密の値を含み、予め格納されたデータ(BPD)1044は、メモリ1043に位置し、バイオメトリック特性の値を含む。
【0120】
検証素子は、検証データ1051、1053と予め格納されたデータ1042、1044との比較に基づいて、デバイス1040の現在の検証ステータスを1056にて識別する。信号(S)1080を受信すると、インジケータ1060をデバイス1040から出力させ、その後、EC1010とともに受信側に送信することによって、デバイス1040の最後に識別された(すなわち「現在の」)検証ステータスを、受信側に通信する。信号1080は、デバイス1040に送られ、インジケータ1060を出力するようにデバイス1040をトリガする。信号1080は、例えば、検証ステータスを受信側に提供するリクエスト、またはコマンドを表し、送信側1020によって、電子装置1030または他の装置(図示せず)によって生成される。デバイスインターフェース1052は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1020から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0121】
デバイス1040は、EC1010のメッセージを表すデータ(MD)1022をデバイスインターフェース1052にて受信する。メッセージデータ1022は、メッセージ(M)それ自体、そのメッセージダイジェスト、またはメッセージの任意の他の処理の結果を含み得る。デバイス1040は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1022を受信すると、メッセージデータ1022用のハッシュ値を1090にて計算し、公開−秘密鍵の対の秘密鍵1095を用いてハッシュ値を暗号化することによって、メッセージデータ1022用のデジタル署名(DS)1086を作成する。信頼性および信用度を向上させるために、秘密鍵1095は、メモリ1094内に安全に保持され、従って、デバイス1040から決してエクスポートされず、デバイス11040の外部から発見することができない。その後、デジタル署名1086は、デバイス1040から出力され、インジケータ1060とともに受信側に伝送される。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAに従って作成される。従って、デジタル署名1082は、乱数発生器を用いて生成され、1090におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。
【0122】
別の好適な実施形態において、メッセージデータ1022がデバイス1040によって受信される前に既にハッシュされている場合、ハッシュ関数は省略される。このような別の実施形態において、デバイス1040は、任意のメッセージデータ1022をハッシュしないように、または、特定の命令、信号、またはコマンドを受信する場合にはメッセージデータ1022をハッシュしないように、設定される。
【0123】
また、デバイス1040は、所定の検証ステータスのセットを含む。検証ステータスの各々は、検証データ1051、1053と予め格納されたデータ1042、1043との相関関係を表す。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス1040からインジケータ1060が出力されたか否かをさらに表す。セットは、デバイス1040の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ1050を表す入力が無いことを表すさらなる所定の検証ステータスと、デバイス1040の時間切れの後でのリセットから、または電源投入後のリセットから、検証データ1053を表す入力が無いことを表す所定の検証ステータスとをさらに含む。デバイス1040から出力されたインジケータ1060は、検証データ1051の各々(受信される場合)と予め格納されたデータ1042との最後の比較および検証データ1053の各々(受信される場合)と予め格納されたデータ1044との最後の比較に基づく。検証データが受信されない場合、インジケータ1060は、デバイス1040のリセット後から、検証データ1051、1053を表す入力が無いことを示す。
【0124】
いずれの場合においても、インジケータ1060は、デジタル署名1086とともに、かつ、EC1010とともに送信され、これによって、この受信側は、インジケータ1060およびデジタル署名1086をEC1010に関係するとして識別することができる。電子装置1030は、インジケータ1060およびデジタル署名1086を受信することができるインターフェース(図示せず)を備える。電子装置1030は、インジケータ1060に基づいてデバイス1040の検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1020から受信されたEC1010を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。また、電子装置1030は、デジタル署名1086を復号して、EC1010のメッセージの信憑性を確認する。復号は、秘密鍵1095に対応し、デジタル署名1086と共に受信され得るか、あるいは、受信側にとって既知であるか、または、前もって入手された公開鍵を用いて行われる。当然、比較のためにハッシュ値を計算することにおいて、電子装置1030は、デジタル署名が作成されたメッセージダイジェストを生成するため、メッセージに対する任意の必要な処理を行う。
【0125】
検証データ1051および予め格納されたデータ1042が機密を表し、検証データ1051と予め格納されたデータ1042との比較が、好ましくは、起こり得る4つのアウトカムから1つの結果を生成する。これらは、デバイス1040のリセット後から、検証データ1050が無いことを表す第1のアウトカム、検証データ1051と予め格納されたデータ1042との間の整合、および整合してから、デバイス1040から出力されたインジケータ1060が他に無いことをさらに表す第2のアウトカム、検証データ1051と予め格納されたデータ1042との間の不整合を表す第3のアウトカム、ならびに検証データ1051と予め格納されたデータ1042との間の整合を表し、および整合してからのインジケータ1060の出力をさらに表す第4のアウトカムを含む。
【0126】
第1の検証データ1053および予め格納されたデータ1044がバイオメトリック特性を表し、予め格納されたデータ1044とともに受信された検証データ1053との比較は、好適には、所定の数の起こり得るアウトカムから1つの結果を生成する。各アウトカムは、デバイス1040のリセット後から、検証データ1053の入力が無いことを表す検証ステータスと共に、検証データ1053と予め格納されたデータ1044との間の整合の、許容される可能なパーセンテージ(または差異の程度)を表す。例えば、検証データ1053と予め格納されたデータ1044とのパーセンテージの整合を含む所定のアウトカムは、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表すアウトカムの各1つもまた、検証データ1053を表す入力が最後に受信されてから、インジケータ1060がデバイス1040から出力されたか否かをさらに表す。
【0127】
デバイス1040は、好ましくは、メモリ1074内に格納され、デバイスの所定の検証ステータスのセットのうちの1つを含む識別マーカ(「IM」)1072を含む。所定の検証ステータスのセットは、好適には、検証データ1051と予め格納されたデータ1042との比較からのアウトカムの可能なすべての組み合わせ、ならびに、予め格納されたデータ1044との検証データ1053の比較からのアウトカムの可能なすべての組み合わせを含む。さらに、デバイス1040から出力されるインジケータ1060は、好ましくは、デバイス1040の識別マーカの値と所定の検証ステータスとの対応が受信側にとって既知である状態で、識別マーカ1072の値を含む。検証データ1051、1053または予め格納されたデータ1042、1044のいずれかを示す検証ステータスは無い。従って、送信側1020と受信側との間で「共有機密」は必要とされず、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスから、機密についての正確な認識、およびバイオメトリック値の正確な入力の両方を推論し得る。
【0128】
図10aの第5の好適な実施形態1000に基づいた変形が図10bに示される。この変形は、I/Oサポートエレメント1062を備え、このI/Oサポートエレメントから、検証データ1051、1053を表す入力、およびメッセージデータ1022を表す入力がデバイス1040によって受信される。I/Oサポートエレメント1062は、送信側1020からの入力が受信されるユーザインターフェース1058、ならびに検証データ1051、1053を表す入力をデバイス1040に通信するI/Oインターフェース1059を備える。メッセージデータ1022は、I/Oサポートエレメント1062から入来することが示されるが、いくつかまたはすべてのメッセージデータ1022を、デバイス1040または装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図10cに示される。ここで、I/Oサポートエレメント1062は、デバイス1040から出力されるインジケータ1060およびデジタル署名1086を受信する。I/Oサポートエレメント1062は、次に、インジケータ1060およびデジタル署名1086を電子装置1030に伝送する。
【0129】
示されるように、I/Oサポートエレメント1062から伝送されるインジケータ1060およびデジタル署名1086は、デバイス1040から出力されるインジケータ1060およびデジタル署名1086と同じである。しかしながら、I/Oサポートエレメント1062から伝送されるインジケータは、デバイス1040から出力されるインジケータ1060によって示される検証ステータスを受信側が決定することができる限りは、デバイス1040から出力されるインジケータとは異なり得る。例えば、I/Oサポートエレメント1062から伝送されるインジケータは、デバイス1040の検証ステータスだけでなく、I/Oサポートエレメント1062それ自体が検証ステータスを識別する場合、I/Oサポートエレメント1062の検証ステータスも示し得る。さらに、I/Oサポートエレメント1062から伝送されるインジケータ1060およびデジタル署名1086は、I/Oサポートエレメント1062によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0130】
さらに、図10a、図10bおよび図10cにおいて、EC1010は、インジケータ1060およびデジタル署名1086から分離して伝送されることが示される。しかしながら、図10aの好適な実施形態、およびその任意の変形において、インジケータ1060およびデジタル署名1086は、EC1010の一部として伝送されることによって、同様に、EC1010と関連付けられ得る。さらに、EC1010は、デバイス1040、関連するI/Oサポートエレメント1062(図10aに図示せず)または他の装置から出力され得る。
【0131】
図10a、図10bおよび図10cのデバイスの動作の好適なモード1100が図11に示され、1102におけるデバイスの時間切れまたは電源投入に続くデバイスのリセット(工程1102)で開始する。リセット中に、機密またはバイオメトリック特性のいずれかの検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1106にて開始し、かつ1116にて終了する循環ループに入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0132】
依然として図11を参照して、ループ内の第1の工程は、好適には、機密についての検証データ(SVD)を表す任意の入力がデバイスによって受信されたか否かの決定(工程1108)を含む。工程1108における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、機密についての検証データ(SVD)とデバイスのメモリ内に予め格納された機密についてのデータ(SPD)とを比較することによって識別される(工程1118)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しくなるように、デバイスのメモリ内に格納された識別マーカが割り当てられる(工程1120)ことによって記録される。
【0133】
工程1108において、受信される機密についての検証データを表す入力が無い場合、または識別マーカの値が工程1120において記録された後、ループ内の次の工程は、好適には、バイオメトリック特性についての検証データ(BVD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1110)を含む。工程1110における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、バイオメトリック特性についての検証データ(BVD)と、デバイスのメモリ内に予め格納されたバイオメトリック特性についてのデータ(BPD)とを比較することによって識別される(工程1122)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しくなるように、デバイスのメモリ内に格納された識別マーカを割り当てることによって記録される(工程1124)。
【0134】
工程1110にて受信されるバイオメトリック特性についての検証データを表す入力が無い場合、または識別マーカの値が工程1124にて記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1112)を含む。工程1112における決定が肯定的である場合、デバイスは、メッセージデータのためのデジタル署名を作成する(工程1126)。メッセージデータのためのデジタル署名は、その後、デバイスから出力される(工程1128)。
【0135】
工程1112において、受信されるメッセージデータを表す入力が無い場合、またはメッセージデータについてのデジタル署名が工程1128において出力された後、信号(S)がデバイスによって受信されたか、または受信されているところか否かが決定される(工程1114)。信号が受信されていない場合、ループは工程1106を再スタートする。信号が受信される場合、工程1114における決定は、肯定的であり、デバイスの現在の検証ステータスのインジケータが出力される(工程1130)。上述したように、インジケータは、デバイス内のメモリに維持された識別マーカの値を含む。インジケータの出力に続いて、インジケータ出力が、機密についての検証データを表す入力を受信してから最初のインジケータ出力であるか否かという決定がなされる(工程1132)。
【0136】
工程1132における決定が肯定的である場合、工程1108において機密についての検証データを表す入力を受信してからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程1136)。工程1132における決定が否定的である場合、または識別マーカの値が工程1136にて新たに記録された後、インジケータ出力が、バイオメトリック特性についての検証データを表す入力の受信後から出力された最初のインジケータ出力であるか否かという決定がなされる(工程1134)。
【0137】
工程1134における決定が肯定的である場合、検証ステータスは、バイオメトリック特性についての検証データを表す入力が受信されてからインジケータが出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1138)。工程1134における決定が否定的である場合、または識別マーカの値が工程1138にて新たに記録された後、ループは再スタートする(工程1106)。
【0138】
(6.第6の好適な実施形態(インジケータとしてのデジタル署名))
本発明の第6の好適な実施形態1200が図12aに示される。ここで、送信側1220からのメッセージを含むEC1210は、電子装置1230によって表される受信側により受信され、デバイス1240は、検証データ(VD)1250を表す入力をデバイスインターフェース1252にて受信する。デバイスインターフェース1252は、適宜、以下のうちの1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1220から直接的に受信するためのバイオメトリックスキャナ、電気接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0139】
デバイス1240は、メモリ1254内に予め格納された送信側1220のデータ(PD)1270を維持する検証素子を備える。この検証データ1250および予め格納されたデータ1270は、機密またはバイオメトリック値を表す。検証素子は、検証データ1250と予め格納されたデータ1270との比較に基づいて、デバイス1240の現在の検証ステータスを1256にて識別し、デバイス1240の最後に識別された(すなわち「現在の」)検証ステータスを、メモリ1274内に格納された識別マーカ(IM)1272に値を割り当てることによって記録する。
【0140】
デバイス1240は、EC1210のメッセージを表すデータ(MD)1222をデバイスインターフェース1252にて受信する。メッセージデータは、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージ(M)の任意の他の処理の結果を含み得る。デバイス1240は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1222を受信すると、識別マーカ1272のための値を取得し、メッセージデータを、この値の関数として(本明細書中で用いられる場合「関数」は、xの特定の値に対する可能な関数f(x)を含み得る)1277にて改変する。
【0141】
デジタル署名素子は、その後、1290にてハッシュ値を計算することによって、および、その後、公開−秘密鍵の対の秘密鍵1295を用いてハッシュ値を1292にて暗号化することによって、改変されたメッセージデータ(MD’)のためのデジタル署名1299を作成する。信頼性および信用度を向上させるために、秘密鍵1295は、メモリ1294内に安全に保持され、従って、デバイス1240から決してエクスポートされず、デバイス1240の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAにより作成される。従って、デジタル署名1299は、乱数発生器を用いて生成され、1290におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名1299は、その後、デバイス1240の検証ステータスのインジケータ1260として受信側に伝送するためのデバイス1240から出力される。デバイス1240から出力されたデジタル署名1299は、実際、改変プロセスの結果として、検証ステータス(IVS)1260のインジケータを含む。インジケータ1260は、その後、EC1210と関連して受信側に伝送される。これによって、この受信側は、インジケータ1260をEC1210に関係するとして識別することができる。
【0142】
デバイス1240は、各々が検証データ1250と予め格納されたデータ1270との間の各々の関係の一致(relational correspondence)を表す、所定の検証ステータスのセットを含む。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス1240からインジケータ1260が出力されたか否かをさらに表す。セットは、デバイス1240の時間切れの後でのリセットから、または電源投入後から、検証データ1250を表す入力が無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス1240から出力されたインジケータ1260は、検証データ1250と予め格納されたデータ1270との比較に基づくが、これは、検証データ1250を表す入力が、デバイス1240がリセットされてから受信された場合にのみ当てはまる。検証データを表す入力が受信されない場合、インジケータ1260は、デバイス1240がリセットされてから、検証データ1250を表す入力が無いことを示す。
【0143】
電子装置1230は、インジケータ1260を受信することができるインターフェース(図示せず)を備える。電子装置1230は、インジケータ1260に基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1220から受信されたEC1210を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。この点に関して、電子装置1230は、公開鍵を有するデジタル署名を復号化する。この公開鍵は、秘密鍵1295に対応し、デジタル署名と関連して受信されるか、あるいは受信側によって予め知られるかまたは取得され得る。受信側は、さらに、デバイスの所定の検証ステータスの各1つについてのメッセージを、計算されたハッシュ値が復号化されたデジタル署名のハッシュ値と等しくなるまで改変する(およびその後、このメッセージのハッシュ値を計算する)。比較のためにハッシュ値を計算する際に、電子装置1230は、デバイス1240内で改変されたメッセージデータを生成するために、メッセージに対して任意の必要な処理をさらに実行する。受信側によって計算されたハッシュ値が、復号化されたデジタル署名のハッシュ値と等しい場合、受信側は、デバイス1240の現在の検証ステータスを決定する。この決定は、さらに、EC1210のメッセージの信憑性を確認する。さらに、リソースの消費を最小化するために、好適な実施形態1200のこの好適なデバイス1240が用いられる場合、デバイスの検証ステータスのセットは、限定された数の検証ステータスのみを含むように予め定義される。
検証データ1250および予め格納されたデータ1270が機密を含む場合、検証ステータスの所定のセットは、4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスがリセットされてから、検証データ1250が無いことを表す第1の検証ステータス、検証データ1250と予め格納されたデータ1270との間の整合を表し、および整合してから、デバイス1240から他のインジケータ1260が出力されないことをさらに表す第2の検証ステータス、検証データ1250と予め格納されたデータ1270との間の不整合を表す第3の検証ステータス、ならびに検証データ1250と予め格納されたデータ1270との間の整合を表し、および整合してからのインジケータ1260の出力をさらに表す第4の検証ステータスである。メモリ1274に格納される識別マーカ1272は、好適には、デバイス1240によって識別される現在の検証ステータスを表す4つのバイナリ数のうちの1つを含む。当然、識別マーカ1272の値とデバイスの所定の検証ステータスとの間の一致は、受信側によって予め知られる。
【0144】
4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、1277におけるメッセージデータ1222の改変は、好適には、識別マーカ1272の値をメッセージデータ内に埋め込むことを含み、これは、メッセージデータ内あるいはメッセージの開始部分または終了部分の所定の位置にて値を挿入することを含む。さらに、理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、識別マーカ1272が「00」と等しい場合等に、メッセージデータを改変しないことを含み得る。しかしながら、この場合でさえ、デジタル署名1299は、デバイスの検証ステータスを、デバイスがリセットされてから、受信された検証データ1250が無いことを表すこととして識別する。さらに、改変されたメッセージのためのデジタル署名1299は、検証データ1250も予め格納されたデータ1270も示さないことが理解される。従って、好適な実施形態1200における送信側と受信側との間で「共有機密(shared secret)」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0145】
あるいは、検証データ1250および予め格納されたデータ1270がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス1240のリセット後から、検証データ1250を表す入力が無いことを表す検証ステータスと共に、検証データ1250と予め格納されたデータ1270との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ1250と予め格納されたデータ1270とのパーセンテージの整合を含む所定の検証ステータスは、本実施形態において、0%〜100%の範囲のパーセンテージのセットを20%刻みで含む。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ1250を表す入力が最後に受信されてから、インジケータ1260がデバイス1240から出力されたか否かをさらに表す。メモリ1274に格納された識別マーカ1272は、好適には、パーセンテージの整合に加えて、デバイス1240によって識別される、インジケータ1260の出力に関するフラグを含む。当然、識別マーカ1272の値とデバイス1240の所定の検証ステータスとの間の一致は、受信側によって予め知られている。さらに、この場合、1277におけるメッセージデータ1222の改変は、好適には、識別マーカ1272の値をメッセージデータ内に埋め込むことを含み、これは、メッセージデータ内あるいはメッセージの開始部分または終了部分の所定の位置にて値を挿入することを含む。さらに理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、デバイス1240のリセット後から、検証データ1250が受信されなかった場合等に、メッセージデータを改変しないことを含み得る。しかしながら、この場合でさえ、デジタル署名1299は、デバイス1240の検証ステータスを、デバイス1240のリセット後から、受信された検証データ1250が無いことを表すこととして識別する。さらに、改変されたメッセージのためのデジタル署名1299は、検証データ1250も予め格納されたデータ1270も示さないことが理解される。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側1220の存在があるのではないかと推論し得る。
【0146】
図12aの第6の好適な実施形態1200に基づいた変形が図12bに示される。この変形は、I/Oサポートエレメント1262を備え、このサポートエレメントから、検証データ1250を表す入力、およびメッセージデータ1222を表す入力がデバイス1240によって受信される。I/Oサポートエレメント1262は、送信側1220からの入力が受信されるユーザインターフェース1258、ならびに検証データ1250を表す入力およびメッセージデータ1222を表す入力をデバイス1240に通信するI/Oインターフェース1259を備える。メッセージデータ1222は、I/Oサポートエレメント1262から入来することが示されるが、いくつかまたはすべてのメッセージデータ1222を、デバイス1240または装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図12cに示される。ここで、I/Oサポートエレメント1262は、デバイス1240から出力されるインジケータ1260を受信する。I/Oサポートエレメント1262は、次に、インジケータ1260を電子装置1230に伝送する。示されるように、I/Oサポートエレメント1262から伝送されるインジケータ1260は、デバイス1240から出力されるインジケータ1260と同じである。しかしながら、I/Oサポートエレメント1262から伝送されるインジケータ1260は、I/Oサポートエレメント1262によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。さらに、図12a、図12bおよび図12cにおいて、EC1210は、インジケータ1260から分離して伝送されることが示される。しかしながら、図12aの好適な実施形態、およびその任意の変形において、インジケータ1260は、EC1210の部分として伝送されることによって、同様に、EC1210と関連付けられ得る。さらに、EC1210は、デバイス1240、関連するI/Oサポートエレメント1262(図12aに図示せず)または他の装置から出力され得る。
【0147】
図12a、図12bおよび図12cのデバイスの動作の好適なモード1300が図13に示され、1302におけるデバイスの時間切れまたは電源投入に続く、デバイスのリセット(工程1304)で開始する。リセット中に、検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1306にて開始し、かつ1312にて終了する循環ループ(repeating loop)に入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0148】
依然として図13を参照して、ループ内の第1の工程は、好適には、検証データを表す任意の入力がデバイスによって受信されたか否かの決定(工程1308)を含む。工程1308における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程1314)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカが割り当てられる(工程1316)ことによって記録される。
【0149】
工程1308において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程1316において記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1310)を含む。工程1310における決定が否定的である場合、ループは工程1306を再スタートする。工程1310における決定が肯定的である場合、デバイスは、その後、識別マーカに基づいてメッセージデータを改変する(工程1318)。次に、デバイスは、改変されたメッセージデータのためのデジタル署名を作成する(工程1320)。改変されたメッセージデータのためのデジタル署名は、その後、デバイスから出力される(工程1322)。改変されたメッセージのためのデジタル署名の出力に続いて、出力されたデジタル署名が、工程1308における検証データの入力の受信後から最初に出力されたデジタル署名であるか否かという決定がなされる(工程1324)。工程1324における決定が否定的である場合、ループは再スタートする(工程1306)。工程1324における決定が肯定的である場合、工程1322において出力されたデジタル署名によって示された検証ステータスを表し、およびデジタル署名が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程1326)。ループは、その後、工程1306を再スタートする。
【0150】
(7.第7の好適な実施形態(デジタル的にサインされるメッセージおよびインジケータ)
本発明の第7の好適な実施形態1400は、図14aに示される。ここで、送信側1420からのメッセージを含むEC1410は、電子装置1430によって表される受信側によって受信され、ここで、デバイス1440は、デバイスインターフェース1452における検証データ(VD)を表す入力を受信する。デバイスインターフェース1452は、適宜、以下のうちから1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1420から直接的に受信するためのバイオメトリックスキャナ、電子接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0151】
デバイス1440は、メモリ1454に予め格納された送信側1420のデータ(PD)1470を維持する検証素子を備える。検証データ1450および予め格納されたデータ1470は、機密またはバイオメトリック値を表す。検証素子は、検証データ1450と予め格納されたデータ1470との比較に基づいたデバイス1440の現在の検証ステータスを1456にて識別し、メモリ1474に格納された識別マーカ(IM)1472に値を割り当てることによってデバイス1440の、最後に識別された(すなわち「現在の」)検証ステータスを記録する。
【0152】
デバイス1440は、さらに、デバイスインターフェース1452にて、EC1410のメッセージ(M)を表すメッセージデータ(MD)1422を受信する。このメッセージデータ1422は、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージ(M)の任意の他の処理の結果を含み得る。デバイス1440は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1422を受信すると、識別マーカ1472のための値を取得し、メッセージデータをこの値の関数として(本明細書中で用いられる場合「関数」は、xの特定の値に対する可能な関数f(x)を含み得る)1477にて改変する。デジタル署名素子は、その後、1490にてハッシュ値を計算することによって、および、その後、公開−秘密鍵の対の秘密鍵1495を用いてハッシュ値を1492にて暗号化することによって、改変されたメッセージデータ(MD’)のためのデジタル署名1299を作成する。信頼性および信用度を向上させるために、秘密鍵1495は、メモリ1494内に安全に保持され、従って、デバイス1440から決してエクスポートされず、デバイス1440の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAにより作成される。従って、デジタル署名1499は、乱数発生器を用いて生成され、1490におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名1499は、その後、受信側に伝送するためのデバイス1440の検証ステータス(IVS)のインジケータ1460として識別マーカ1472の値と共にデバイス1440から出力される。デジタル署名1499およびインジケータ1460は、その後、EC1410と関連して受信側に伝送される。これによって、この受信側は、インジケータ1460をEC1410に関係するとして識別することができる。
【0153】
デバイス1440は、各々の検証データ1450と予め格納されたデータ1470との間の関係の一致を表す、所定の検証ステータスのセットを含む。このセットの検証ステータスは、最後に成功した検証から、または検証データを表す入力が最後に受信されてからデバイス1440よりインジケータ1460が出力されたか否かをさらに表す。セットは、デバイス1440が時間切れの後にリセットされてから、または電源投入後から、検証データ1450を表す入力が無いことを表すさらなる所定の検証をさらに含む。デバイス1440から出力されたインジケータ1460は、検証データ1450と予め格納されたデータ1470との比較に基づくが、これは、検証データ1450を表す入力が、デバイス1440がリセットされてから受信された場合にのみ当てはまる。受信される検証データを表す入力が無い場合、インジケータ1460は、デバイス1440がリセットされてから、検証データ1450を表す入力が無いことを示す。
【0154】
電子装置1430は、インジケータ1460を受信することができるインターフェース(図示せず)を備える。電子装置1430は、インジケータ1460に基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1420から受信されたEC1410を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。この点に関して、電子装置1430は、公開鍵を有するデジタル署名を復号化する。この公開鍵は、秘密鍵1495に対応し、デジタル署名1499と関連して受信されるか、あるいは受信側によって予め知られるかまたは取得され得る。受信側は、さらに、インジケータ1460によって識別される検証ステータスに基づいて、メッセージを改変する(およびその後、このメッセージのハッシュ値を計算する)。比較のためにハッシュ値を計算する際に、電子装置1430は、デバイス1440内で改変されたメッセージデータを生成するために、メッセージに対して任意の必要な処理をさらに実行する。受信側によって計算されたハッシュ値が、復号化されたデジタル署名のハッシュ値と等しい場合、受信側は、インジケータ1460によって表示される、デバイス1440の現在の検証ステータスの信憑性を確認、およびEC1410のメッセージの信憑性を確認する。
【0155】
検証データ1450および予め格納されたデータ1470が機密を含む場合、検証ステータスの所定のセットは、4つの検証ステータスを含む。これらの4つの検証ステータスは、デバイスのリセット後から、検証データ1450の無いことを表す第1の検証ステータス、検証データ1450と予め格納されたデータ1470との間の整合を表し、および整合してから、デバイス1440から他のインジケータ1460が出力されないことをさらに表す第2の検証ステータス、検証データ1450と予め格納されたデータ1470との間の不整合を表す第3の検証ステータス、ならびに検証データ1450と予め格納されたデータ1470との間の整合を表し、および整合してからのインジケータ1460の出力をさらに表す第4の検証ステータスである。メモリ1474に格納される識別マーカ1472は、好適には、デバイス1440によって識別される現在の検証ステータスを表す4つのバイナリ数のうちの1つを含む。当然、識別マーカ1472の値とデバイスの所定の検証ステータスとの間の一致は、受信側によって予め知られる。
【0156】
4つのバイナリ数は、それぞれ4つの検証ステータスに対応し、第1の検証ステータスを識別する「00」、第2の検証ステータスを識別する「01」、第3の検証ステータスを識別する「10」、第4の検証ステータスを識別する「11」を含む。さらに、1477におけるメッセージデータ1422の改変は、好適には、識別マーカ1472の値をメッセージデータ内に埋め込むことを含み、これは、メッセージデータ内あるいはメッセージの開始部分または終了部分における所定の位置にて値を挿入することを含む。さらに、理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、識別マーカ1472が「00」と等しい場合等に、メッセージデータを改変しないことを含み得る。しかしながら、この場合でさえ、デジタル署名1499は、デバイスの検証ステータスを、デバイスのリセット後から、受信された検証データ1450が無いことを表すこととして識別する。さらに、改変されたメッセージのためのデジタル署名1499もインジケータ1460も、検証データ1450または予め格納されたデータ1470を示さないことが理解される。従って、好適な実施形態1400において、送信側1420と受信側との間で「共有機密」は必要とされない。しかしながら、受信側は、検証ステータスから機密について正確に推論し得る。
【0157】
あるいは、検証データ1450および予め格納されたデータ1470がバイオメトリック値を含む場合、所定の検証ステータスのセットは、デバイス1440のリセット後から、検証データ1450を表す入力が無いことを表す検証ステータスと共に、検証データ1450と予め格納されたデータ1470との間の整合の可能なパーセンテージ(または差異の程度)を含む。例えば、検証データ1450と予め格納されたデータ1470とのパーセンテージの整合を含む所定の検証ステータスは、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表す検証ステータスの各1つは、検証データ1450を表す入力の最後の受信後から、インジケータ1460がデバイス1440から出力されたか否かをさらに表す。メモリ1474に格納された識別マーカ1472は、好適には、パーセンテージの整合に加えて、デバイス1440によって識別される、インジケータ1460の出力に関するフラグを含む。当然、識別マーカ1472の値とデバイス1440の所定の検証ステータスとの間の一致は、受信側によって予め知られている。
【0158】
さらに、この場合、1477におけるメッセージデータ1422の改変は、好適には、識別マーカ1472の値をメッセージデータ内に埋め込むことを含み、これは、メッセージデータ内あるいはメッセージの開始部分または終了部分における所定の位置にて値を挿入することを含む。さらに理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、デバイス1440のリセット後から、検証データ1450が受信されなかった場合等に、メッセージデータを改変しないことを含み得る。しかしながら、この場合でさえ、デジタル署名1499は、デバイス1440の検証ステータスを、デバイス1440のリセット後から、受信された検証データ1450が無いことを表すこととして識別する。さらに、改変されたメッセージのためのデジタル署名1499もインジケータ1460も、検証データ1450または予め格納されたデータ1470を示さないことが理解される。従って、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスからバイオメトリック特性を読み出すことによって、送信側1420の存在があるのではないかと推論し得る。
【0159】
図14aの第7の好適な実施形態1400に基づいた変形が図14bに示される。この変形は、I/Oサポートエレメント1462を備え、このサポートエレメントから、検証データ1450を表す入力、およびメッセージデータ1422を表す入力がデバイス1440によって受信される。I/Oサポートエレメント1462は、送信側1420からの入力が受信されるユーザインターフェース1458、ならびに検証データ1450を表す入力およびメッセージデータ1422を表す入力をデバイス1440に通信するI/Oインターフェース1459を備える。メッセージデータ1422は、I/Oサポートエレメント1462から入来することが示されるが、いくつかまたはすべてのメッセージデータ1422を、デバイス1440または装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図14cに示される。ここで、I/Oサポートエレメント1462は、デバイス1440から出力されるインジケータ1460およびデジタル署名1499を受信する。I/Oサポートエレメント1462は、次に、インジケータ1460およびデジタル署名1499を電子装置1430に伝送する。
【0160】
示されるように、I/Oサポートエレメント1462から伝送されるインジケータ1460およびデジタル署名1499は、デバイス1440から出力されるインジケータ1460およびデジタル署名1486と同じである。しかしながら、I/Oサポートエレメント1462から伝送されるインジケータは、デバイス1440から出力されたインジケータ1460によって示される検証ステータスおよびメッセージが改変された際に基礎となった識別マーカ1472のビットパターンの両方を受信側が決定することができる限りは、デバイス1440から出力されたインジケータとは異なり得る。例えば、I/Oサポートエレメント1462それ自体が検証ステータスを識別する場合、I/Oサポートエレメント1462から伝送されるインジケータは、デバイス1440の検証ステータスだけでなく、I/Oサポートエレメント1462の検証ステータスも示し得る。さらに、I/Oサポートエレメント1462から伝送されるインジケータ1460およびデジタル署名1499は、I/Oサポートエレメント1462によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0161】
さらに、図14a、図14bおよび図14cにおいて、EC1410は、インジケータ1460およびデジタル署名1499から分離して伝送されることが示される。しかしながら、図14aの好適な実施形態、およびその任意の変形において、インジケータ1460およびデジタル署名1499は、EC1410の部分として伝送されることによって、同様に、EC1410と関連付けられ得る。さらに、EC1410は、デバイス1440、関連するI/Oサポートエレメント1462(図14aに図示せず)または他の装置から出力され得る。
【0162】
図14a、図14bおよび図14cのデバイスの動作の好適なモード1500が図15に示され、1502におけるデバイスの時間切れまたは電源投入に続くデバイスのリセット(工程1504)で開始する。リセット中に、検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1506にて開始し、かつ1512にて終了する循環ループに入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0163】
依然として図15を参照して、ループ内の第1の工程は、好適には、検証データを表す任意の入力がデバイスによって受信されたか否かの決定(工程1508)を含む。工程1508における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、検証データ(VD)とデバイスのメモリ内に予め格納されたデータ(PD)とを比較することによって識別される(工程1514)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカを割り当てる(工程1516)ことによって記録される。
【0164】
工程1508において、受信される検証データを表す入力が無い場合、または識別マーカの値が工程1516において記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1510)を含む。工程1510における決定が否定的である場合、ループは工程1506を再スタートする。
【0165】
工程1510における決定が肯定的である場合、デバイスは、その後、識別マーカに基づいてメッセージデータを改変する(工程1518)。次に、デバイスは、改変されたメッセージデータのためのデジタル署名を作成する(工程1520)。改変されたメッセージデータのためのデジタル署名、および識別マーカの値は、その後、デバイスから出力される(工程1522)。改変されたメッセージのためのデジタル署名、および識別マーカの値の出力に続いて、出力された識別マーカの値が、工程1508において検証データを表す入力が受信されてから出力された最初の値であるか否かという決定がなされる(工程1524)。工程1524における決定が否定的である場合、ループは再スタートする(工程1506)。工程1524における決定が肯定的である場合、工程1522において出力された識別マーカの値によって識別された検証ステータスを表し、および識別マーカの値が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、検証ステータスが新たに記録される(工程1526)。ループは、その後、工程1506を再スタートする。
【0166】
(8.第8の好適な実施形態(インジケータ、およびデジタル的にサインされたメッセージを有する複数の検証データ)
本発明の第8の好適な実施形態1600は、図16aに示される。ここで、送信側1620からのメッセージを含むEC1610は、電子装置1630によって表される受信側によって受信され、ここで、デバイス1640は、デバイスインターフェース1652における第1の検証データ(VD1)を表す入力1651、および第2の検証データ(VD2)を表す入力1653を受信する。デバイスインターフェース1652は、適宜、以下のうちから1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1620から直接的に受信するためのバイオメトリックスキャナ、電子接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0167】
デバイス1640は、デバイス1640のメモリ内に予め格納されたデータを維持する検証素子を備える。第1の予め格納されたデータ(PD1)1642は、メモリ1641に配置(locate)され、第2の予め格納されたデータ(PD2)1644は、メモリ1643に配置される。検証素子は、1656にて、第1の検証データ1651と第1の予め格納されたデータ1642との比較、および第2の検証データ1653と第2の格納されたデータ1644との比較に基づいて、デバイス1640の現在の検証ステータスを識別し、メモリ1674に格納された識別マーカ(IM)1672に値を割り当てることによってデバイス1640の、最後に識別された(すなわち「現在の」)検証ステータスを記録する。
【0168】
デバイス1640は、さらに、デバイスインターフェース1652にて、EC1610のメッセージ(M)を表すメッセージデータ(MD)1622を受信する。このメッセージデータ1622は、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージ(M)の任意の他の処理の結果を含み得る。デバイス1640は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1622を受信すると、識別マーカ1672のための値を取得し、メッセージデータをこの値の関数として(本明細書中で用いられる場合「関数」は、xの特定の値に対する可能な関数f(x)を含み得る)1677にて改変する。メッセージの改変は、好適には、メッセージデータ内に識別マーカ1672の値を埋め込むことを含み、これは、メッセージデータ内あるいは開始部分または終了部分における所定の位置にて値を挿入することを含む。理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、メッセージデータを改変しないことを含み得る。
【0169】
デジタル署名素子は、その後、1690にてハッシュ値を計算することによって、および、その後、公開−秘密鍵の対の秘密鍵1695を用いてハッシュ値を1692にて暗号化することによって、改変されたメッセージデータ(MD’)のためのデジタル署名1699を作成する。信頼性および信用度を向上させるために、秘密鍵1695は、メモリ1694内に安全に保持され、従って、デバイス1640から決してエクスポートされず、デバイス1640の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAにより作成される。従って、デジタル署名1699は、乱数発生器を用いて生成され、1690におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名1699は、その後、受信側に伝送するためのデバイス1640の検証ステータス(IVS)のインジケータ1660として識別マーカ1672の値と共にデバイス1640から出力される。デジタル署名1699およびインジケータ1660は、その後、EC1610と関連して受信側に伝送される。これによって、この受信側は、インジケータ1660をEC1610に関係するとして識別することができる。
【0170】
デバイス1640は、各々が検証データ1651、1653と予め格納されたデータ1642、1644との間の関係の一致を表す、所定の検証ステータスのセットを含む。このセットの検証ステータスは、第1の検証データ1651および第2の検証データ1653のどちらか、または両方に基づいて最後に成功した検証から、あるいは第1の検証データ1651および第2の検証データ1653のどちらか、または両方を表す入力が最後に受信されてから、インジケータ1660がデバイス1640から出力されたか否かをさらに表す。セットは、デバイス1640が時間切れの後に、または電源投入後にリセットされてから、第1の検証データ1651および第2の検証データ1653の入力の無いことを表すさらなる所定の検証ステータスをさらに含む。デバイス1640から出力されたインジケータ1660は、検証データと予め格納されたデータとの比較に基づくが、これは、それぞれの検証データを表す入力が、デバイス1640のリセット後から受信された場合にのみ当てはまる。受信される検証データを表す入力が無い場合、インジケータ1660は、デバイス1640のリセット後から、第1の検証データ1651および第2の検証データ1653を表す入力が無いことを示す。
【0171】
電子装置1630は、インジケータ1660を受信することができるインターフェース(図示せず)を備える。電子装置1630は、インジケータ1660に基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1620から受信されたEC1610を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。この点に関して、電子装置1630は、公開鍵を有するデジタル署名を復号化する。この公開鍵は、秘密鍵1695に対応し、デジタル署名1699と関連して受信されるか、あるいは受信側によって予め知られるかまたは取得され得る。受信側は、さらに、インジケータ1660によって識別された検証ステータスに基づいて、メッセージを改変(およびその後、このメッセージのハッシュ値を計算する)。比較のためにハッシュ値を計算する際に、電子装置1630は、デバイス1640内で改変されたメッセージデータを生成するために、メッセージに対して任意の必要な処理をさらに実行する。受信側によって計算されたハッシュ値が、復号化されたデジタル署名のハッシュ値と等しい場合、受信側は、インジケータ1660によって表示された、デバイス1640の現在の検証ステータスの信憑性を確認し、およびEC1610のメッセージの信憑性を確認する。
【0172】
第1の検証データ1651または第2の検証データ1653のどちらか(およびそのための予め格納されたデータ)が機密を含む場合、これについての比較の結果の所定のセットは、4つの可能なアウトカムを含む。これらは、デバイス1640のリセット後から、検証データが無いことを表す第1のアウトカム、検証データと予め格納されたデータとの間の整合、および整合してから、デバイス1640から出力されたインジケータ1660が他に無いことをさらに表す第2のアウトカム、検証データと予め格納されたデータとの間の不整合を表す第3のアウトカム、ならびに検証データと予め格納されたデータとの間の整合を表し、および整合してからのインジケータ1660の出力をさらに表す第4のアウトカムである。
【0173】
第1の検証データ1651または第2の検証データ1653のどちらか(およびそのための予め格納されたデータ)がバイオメトリック特性を表す場合、そのための比較の結果の所定のセットは、好適には、所定の数の可能なアウトカムから結果を生成する。各アウトカムは、デバイス1640のリセット後から、検証データの入力が無いことを表す検証ステータスと共に、検証データと予め格納されたデータとの間の整合の、認められた可能なパーセンテージ(または差異の程度)を表す。
【0174】
例えば、検証データと予め格納されたデータとのパーセンテージの整合を含む所定のアウトカムは、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表すアウトカムの各1つもまた、検証データを表す入力が最後に受信されてから、インジケータ1660がデバイス1640から出力されたか否かをさらに表す。
【0175】
識別マーカ1672は、メモリ1674に格納され、デバイス1640の所定の検証ステータスのセットの1つを表す値を含む。所定の検証ステータスのセットは、好適には、第1の検証データ1651および第2の検証データ1653についてのそれぞれの比較からのアウトカムの可能なすべての組み合わせを含む。当然、識別マーカ1672の可能な値とデバイス1640の所定の検証ステータスとの一致は、受信側によって予め知られている。さらに検証データ1651、1653または予め格納されたデータ1642、1644のいずれかを示す検証ステータスは無い。従って、送信側1620と受信側との間で「共有機密」は必要とされない。さらに、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスから、機密についての正確な認識、およびバイオメトリック特性を読み出すことによって送信側の存在の両方を推論し得る。
【0176】
図16aの第8の好適な実施形態に基づく変形が図16bに示され、第1の検証データ1651および第2の検証データ1653を表す入力、ならびにメッセージデータ1622を表す入力がデバイス1640によって受信されるI/Oサポートエレメント1662を含む。このI/Oサポートエレメント1662は、送信側1620からの入力が受信されるユーザインターフェース1658、ならびに第1の検証データ1651および第2の検証データ1653を表す入力と、メッセージデータ1622を表す入力とをデバイス1649に伝達するI/Oインターフェース1659を備える。
【0177】
メッセージデータ1622は、I/Oサポートエレメント1662から入来することが示されるが、いくつかまたはすべてのメッセージデータ1622を、デバイス1640または別の装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図16cに示される。ここで、I/Oサポートエレメント1662は、デバイス1640から出力されるインジケータ1660およびデジタル署名1699を受信する。I/Oサポートエレメント1662は、次に、インジケータ1660およびデジタル署名1699を電子装置1630に伝送する。
【0178】
示されるように、I/Oサポートエレメント1662から伝送されるインジケータ1660およびデジタル署名1699は、デバイス1640から出力されるインジケータ1660およびデジタル署名1686と同じである。しかしながら、I/Oサポートエレメント1662から伝送されるインジケータは、デバイス1640により出力されたインジケータ1660によって示される検証ステータスおよびメッセージが改変された際に基礎となった識別マーカ1672のビットパターンの両方を受信側が決定することができる限りは、デバイス1640から出力されるインジケータとは異なり得る。例えば、I/Oサポートエレメント1662から伝送されるインジケータは、デバイス1640の検証ステータスのみではなく、I/Oサポートエレメント1662それ自体が検証ステータスを識別する場合、I/Oサポートエレメント1662の検証ステータスも示し得る。さらに、I/Oサポートエレメント1662から伝送されるインジケータ1660およびデジタル署名1699は、I/Oサポートエレメント1662によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0179】
さらに、図16a、図16bおよび図16cにおいて、EC1610は、インジケータ1660およびデジタル署名1699から分離して伝送されることが示される。しかしながら、図16aの好適な実施形態、およびその任意の変形において、インジケータ1660およびデジタル署名1699は、EC1610の部分として伝送されることによって、同様に、EC1610と関連付けられ得る。さらに、EC1610は、デバイス1640、関連するI/Oサポートエレメント1662(図16aに図示せず)または他の装置から出力され得る。
【0180】
図16a、図16bおよび図16cのデバイスの動作の好適なモード1700が図17に示され、1702におけるデバイスの時間切れまたは電源投入に続くデバイスのリセット(工程1704)で開始する。リセット中に、検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1706にて開始し、かつ1714にて終了する循環ループに入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0181】
依然として図17を参照して、ループ内の第1の工程は、好適には、第1の検証データ(VD1)を表す任意の入力がデバイスによって受信されたか否かの決定(工程1708)を含む。工程1708における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、第1の検証データ(VD1)とデバイスのメモリ内に予め格納された第1のデータ(PD1)とを比較することによって識別される(工程1716)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカに割り当てられる(工程1718)ことによって記録される。工程1708において、受信される第1の検証データを表す入力が無い場合、または識別マーカの値が工程1718において記録された後、ループ内の次の工程は、好適には、第2の検証データ(VD2)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1710)を含む。工程1710における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、第2の検証データ(VD2)と、デバイスのメモリ内に予め格納された第2のデータ(PD2)とを比較することによって識別される(工程1720)。識別された検証ステータスは、その後、識別された検証ステータスに対応する予め定義された値と等しい、デバイスのメモリ内に格納された識別マーカを割り当てることによって記録される(工程1722)。
【0182】
工程1710にて受信される第2の検証データを表す入力が無い場合、または識別マーカの値が工程1722にて記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1712)を含む。工程1712における決定が否定的である場合、ループは工程1706を再スタートする。
【0183】
工程1712における決定が肯定的である場合、デバイスは、その後、識別マーカに基づいてメッセージデータを改変する(工程1724)。次に、デバイスは、改変されたメッセージデータのためのデジタル署名を作成する(工程1726)。改変されたメッセージデータのためのデジタル署名、および識別マーカの値は、その後、デバイスから出力される(工程1728)。改変されたメッセージのためのデジタル署名、および識別マーカの値の出力に続いて、出力された識別マーカの値が、工程1708において第1の検証データを表す入力の受信後から出力された最初の値であるか否かという決定がなされる(工程1730)。
【0184】
工程1730における決定が肯定的である場合、検証ステータスは、1728にて出力された識別マーカに値によって識別された検証ステータスを表し、および識別マーカの値が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1734)。工程1730における決定が否定的である場合、または識別マーカの値が工程1734にて新たに記録された後、ループ内の次の工程は、好適には、工程1710において第2の検証データを表す入力の受信後から出力された、その最初の値であるか否かという決定(工程1732)を含む。
【0185】
工程1732における決定が肯定的である場合、検証ステータスは、その後、工程1728にて出力された識別マーカの値によって識別された検証ステータスを表し、および識別マーカの値が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1736)。工程1732における決定が否定的である場合、または識別マーカの値が工程1736にて新たに記録された後、ループは再スタートする(工程1706)。
【0186】
(9.第9の実施形態(インジケータとしてデジタル署名を有する複数の検証データ)
本発明の第9の好適な実施形態1800は、図18aに示される。ここで、送信側1820からのメッセージを含むEC1810は、電子装置1830によって表される受信側によって受信され、ここで、デバイス1840は、デバイスインターフェース1852における第1の検証データ(VD1)を表す入力1851、および第2の検証データ(VD2)を表す入力1853を受信する。デバイスインターフェース1852は、適宜、以下のうちから1つ以上を含む。これらは、英数字キーパッド等のユーザインターフェース、タッチスクリーン式のディスプレイ、または入力を送信側1820から直接的に受信するためのバイオメトリックスキャナ、電子接点、コンピュータバスを有する標準的電子インターフェース、アンテナ、あるいはシリアルポート、USBポート、パラレルポート、赤外線ポートまたは他の無線通信ポートといった通信ポートである。
【0187】
デバイス1840は、デバイス1840のメモリ内に予め格納されたデータを維持する検証素子を備える。第1の予め格納されたデータ(PD1)1842は、メモリ1841に配置され、第2の予め格納されたデータ(PD2)1844は、メモリ1843に配置される。検証素子は、1856にて、第1の検証データ1851と第1の予め格納されたデータ1842との比較、および第2の検証データ1853と第2の予め格納されたデータ1844との比較に基づいて、デバイス1840の現在の検証ステータスを1865にて識別し、メモリ1874に格納された識別マーカ(IM)1872に値を割り当てることによってデバイス1840の、最後に識別された(すなわち「現在の」)検証ステータスを記録する。検証データの複数の入力の比較がなされるこの場合、識別マーカ1872は、第1の比較の結果を表す第1の比較マーカに割り当てられる値、および第2の比較の結果を表す第2の比較マーカに割り当てられる値を含む。
【0188】
デバイス1840は、さらに、デバイスインターフェース1852にて、EC1810のメッセージ(M)を表すメッセージデータ(MD)1822を受信する。このメッセージデータ1822は、メッセージそれ自体、そのメッセージダイジェスト、またはメッセージの任意の他の処理の結果を含み得る。デバイス1840は、デジタル署名素子を含む。このデジタル署名素子は、メッセージデータ1822を受信すると、識別マーカ1872のための値を取得し、メッセージデータをこの値の関数として(本明細書中で用いられる場合「関数」は、xの特定の値に対する可能な関数f(x)を含み得る)1877にて改変する。メッセージの改変は、好適には、メッセージデータ内に識別マーカ1872の値を埋め込むことを含み、これは、メッセージデータ内あるいは開始部分または終了部分における所定の位置にて値を挿入することを含む。理解されるように、検証ステータスのうちの1つについてのメッセージデータの「改変」は、メッセージデータを改変しないことを含み得る。
【0189】
デジタル署名素子は、その後、1890にてハッシュ値を計算することによって、および、その後、公開−秘密鍵の対の秘密鍵1895を用いてハッシュ値を1892にて暗号化することによって、改変されたメッセージデータ(MD’)のためのデジタル署名1899を作成する。信頼性および信用度を向上させるために、秘密鍵1895は、メモリ1894内に安全に保持され、従って、デバイス1840から決してエクスポートされず、デバイス1840の外部から発見することができない。デジタル署名は、FIPS PUB186−2に規定されているとおりにECDSAにより作成される。従って、デジタル署名1899は、乱数発生器を用いて生成され、1890におけるハッシュ関数は、SHA−1を用いて実行される。この乱数発生器は、受信される入力の大きさに関わらず、20byteの出力を生成する。デジタル署名1899は、その後、受信側に伝送するためのデバイス1840の検証ステータス(IVS)のインジケータ1860としてデバイス1640から出力される。デバイス1840から出力されたデジタル署名1899は、実際、改変プロセスの結果として、検証ステータス(IVS)のインジケータを含む。第1の比較の現在のアウトカム(VD1とPD1との比較の結果)は、結果(R)1896としてさらに出力される。インジケータ1860および結果1896は、その後、EC1810と関連して受信側に伝送される。これによって、この受信側は、インジケータ1860および結果1896をEC1810に関係することとして識別することができる。
【0190】
デバイス1840は、各々が検証データ1851、1853と予め格納されたデータ1842、1844との間の関係の一致を表す、所定の検証ステータスのセットを含む。このセットの検証ステータスは、第1の検証データ1851および第2の検証データ1853のどちらか、または両方に基づいて最後に成功した検証から、あるいは第1の検証データ1851および第2の検証データ1853のどちらか、または両方を表す入力の最後の受信後から、インジケータ1860がデバイス1840から出力されたか否かをさらに表す。セットは、デバイス1840の時間切れの後にリセットされてから、または電源投入後から、第1の検証データ1851および第2の検証データ1853の両方の入力が無いことを表す予め定義された検証ステータスをさらに含む。デバイス1840から出力されたインジケータ1860は、検証データと予め格納されたデータとの比較に基づくが、これは、デバイス1840のリセット後から、検証データを表す入力が受信された場合にのみ当てはまる。受信される検証データを表す入力が無い場合、インジケータ1860は、デバイス1840のリセット後から、第1の検証データ1851および第2の検証データ1853の両方のための入力が無いことを示す。
【0191】
電子装置1830は、インジケータ1860を受信することができるインターフェース(図示せず)を備える。電子装置1830は、インジケータ1860に基づいてデバイスの検証ステータスを決定するため、および決定された検証ステータスに基づいて送信側1820から受信されたEC1810を評価するために、ビジネスロジックを内蔵する論理回路またはソフトウェアをさらに含む。この点に関して、電子装置1830は、公開鍵を有するデジタル署名を復号化する。この公開鍵は、秘密鍵1895に対応し、デジタル署名1899と関連して受信されるか、あるいは受信側によって予め知られるかまたは取得され得る。受信側は、計算されたハッシュ値が復号化されたデジタル署名の値のハッシュ値と等しくなるまで、結果1896に基づいて、および第2の比較の各可能なアウトカムに関してメッセージを改変する(およびその後、このメッセージのハッシュ値を計算する)。比較のためにハッシュ値を計算する際に、電子装置1830は、デバイス1840内で改変されたメッセージデータを生成するために、メッセージに対して任意の必要な処理をさらに実行する。受信側によって計算されたハッシュ値が、復号化されたデジタル署名のハッシュ値と等しい場合、受信側は、これによって、デバイス1840の現在の検証ステータスを決定する。この決定は、またEC1810のメッセージの信憑性を確認する。さらに、リソースの消費を最小化するために、第2の比較(VD2とPD2との)のアウトカムの第2のセットが、限定された数のアウトカムのみを含むように予め定義される。例えば、第1の検証データおよびそのために予め格納されたデータは、好適には、バイオメトリック特性を表し、第2の検証データおよびそのために予め格納されたデータは、好適には、機密を表す。
【0192】
第1の検証データ1851または第2の検証データ1853のどちらか(およびそのために予め格納されたデータ)が機密を含む場合、これについての比較のアウトカムの所定のセットは、4つの可能なアウトカムを含む。これらは、デバイス1840のリセット後から、検証データが無いことを表す第1のアウトカム、検証データと予め格納されたデータとの間の整合、および整合してから、デバイス1840から出力されたインジケータ1860が他に無いことをさらに表す第2のアウトカム、検証データと予め格納されたデータとの間の不整合を表す第3のアウトカム、ならびに検証データと予め格納されたデータとの間の整合を表し、および整合してからのインジケータ1860の出力をさらに表す第4のアウトカムである。
【0193】
第1の検証データ1851または第2の検証データ1853のどちらか(およびそのために予め格納されたデータ)がバイオメトリック特性を表す場合、これについての比較のアウトカムの所定のセットは、好適には、所定の数の可能なアウトカムから結果を生成する。各アウトカムは、デバイス1840のリセット後から、検証データの入力が無いことを表す検証ステータスと共に、検証データと許容された予め格納されたデータとの間の整合の認められた可能なパーセンテージ(または差異の程度)を表す。例えば、検証データと予め格納されたデータとのパーセンテージの整合を含む所定のアウトカムは、0%〜100%の範囲のパーセンテージのセットを1%刻みで含み得る。好適には、パーセンテージの整合を表すアウトカムの各1つもまた、検証データを表す入力が最後に受信されてから、インジケータ1860がデバイス1840から出力されたか否かをさらに表す。
【0194】
識別マーカ1872は、メモリ1874に格納され、デバイス1840の所定の検証ステータスのセットの1つを表す値を含む。所定の検証ステータスのセットは、好適には、第1の検証データ1851および第2の検証データ1853についてのそれぞれの比較からのアウトカムの可能なすべての組み合わせを含む。当然、識別マーカ1872の可能な値とデバイス1840の所定の検証ステータスとの一致は、受信側によって予め知られている。検証データ1851、1853または予め格納されたデータ1842、1844のいずれかを示す検証ステータスは無い。従って、送信側1820と受信側との間で「共有機密」は必要とされない。さらに、送信側の交換不可能なバイオメトリック特性を表すバイオメトリック値は、受信側に通信されない。しかしながら、受信側は、検証ステータスから、機密についての正確な認識、および送信側の存在の両方を推論し得る。
【0195】
図18aの第9の好適な実施形態1800に基づいた変形が図18bに示される。この変形は、I/Oサポートエレメント1862を備え、このサポートエレメントから、第1の検証データ1851および第2の検証データ1853を表す入力、およびメッセージデータ1822を表す入力がデバイス1840によって受信される。I/Oサポートエレメント1862は、送信側1820からの入力が受信されるユーザインターフェース1858、ならびに第1の検証データ1851および第2の検証データ1853を表す入力およびメッセージデータ1822を表す入力をデバイス1840に通信するI/Oインターフェース1858を備える。メッセージデータ1822は、I/Oサポートエレメント1862から入来することが示されるが、いくつかまたはすべてのメッセージデータ1822を、デバイス1840または装置(図示せず)によって作成することが可能である。さらに、これの別の変形が図18cに示される。ここで、I/Oサポートエレメント1862は、デバイス1840から出力されるインジケータ1860および結果1896を受信する。I/Oサポートエレメント1862は、次に、インジケータ1860および結果1896を電子装置1830に伝送する。
【0196】
示されるように、I/Oサポートエレメント1862から伝送されるインジケータ1860および結果1896は、デバイス1840から出力されるインジケータ1860および結果1896と同じである。しかしながら、I/Oサポートエレメント1862から伝送される結果は、メッセージが改変された際に部分的に基礎となった結果1872のビットパターンを受信側が決定することができる限りは、デバイス1840から出力される結果とは異なり得る。例えば、I/Oサポートエレメント1862から伝送される結果は、デバイス1840に入力された第1の検証ステータスデータの比較の結果だけでなく、I/Oサポートエレメント1862それ自体が検証ステータスを識別する場合、I/Oサポートエレメント1862の検証ステータスも示し得る。さらに、I/Oサポートエレメント1862から伝送されるインジケータ1860および結果1896は、I/Oサポートエレメント1862によってデジタル的にサインされる、さらなる情報を含む別の通信内にパッケージ化されるか、または埋め込まれ得る。
【0197】
さらに、図18a、図18bおよび図18cにおいて、EC1810は、インジケータ1860および結果1896から分離して伝送されることが示される。しかしながら、図18aの好適な実施形態、およびその任意の変形において、インジケータ1860および結果1896は、EC1810の部分として伝送されることによって、同様に、EC1810と関連付けられ得る。さらに、EC1810は、デバイス1840、関連するI/Oサポートエレメント1862(図18aに図示せず)または他の装置から出力され得る。
【0198】
図18a、図18bおよび図18cのデバイスの動作の好適なモード1900が図19に示され、1902におけるデバイスの時間切れまたは電源投入に続くデバイスのリセット(工程1904)で開始する。リセット中に、いずれかの検証データの入力が受信されないことを表し、インジケータがまだ出力されていないという事実をさらに表す検証ステータスに対応する値が識別マーカに割り当てられる。デバイスは、その後、1906にて開始し、かつ1914にて終了する循環ループに入り、所定の時間の長さの後、デバイスがリセットされ、電源が切られるか、または不活性化されるまで、このループ内で繰り返しを継続する。
【0199】
依然として図19を参照して、ループ内の第1の工程は、好適には、第1の検証データ(VD1)を表す任意の入力がデバイスによって受信されたか否かの決定(工程1908)を含む。工程1908における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、第1の検証データ(VD1)とデバイスのメモリ内に予め格納された第1のデータ(PD1)とを比較することによって識別される(工程1916)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカが割り当てられる(工程1918)ことによって記録される。工程1908において、受信される第1の検証データを表す入力が無い場合、または識別マーカの値が工程1918において記録された後、ループ内の次の工程は、好適には、第1の検証データ(VD1)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1910)を含む。工程1910における決定が肯定的である場合、デバイスの現在の検証ステータス(VS)は、第2の検証データ(VD2)と、デバイスのメモリ内に予め格納された第2のデータ(PD2)とを比較することによって識別される(工程1920)。識別された検証ステータスは、その後、識別された検証ステータスに対応する所定の値と等しい、デバイスのメモリ内に格納された識別マーカを割り当てることによって記録される(工程1922)。
【0200】
工程1910にて受信される第2の検証データを表す入力が無い場合、または識別マーカの値が工程1922にて記録された後、ループ内の次の工程は、好適には、メッセージデータ(MD)を表す任意の入力がデバイスによって受信されるか否かの決定(工程1912)を含む。工程1912における決定が否定的である場合、ループは工程1906を再スタートする。
【0201】
工程1912における決定が肯定的である場合、デバイスは、その後、識別マーカに基づいてメッセージを改変する(工程1924)。次に、このデバイスは、改変されたメッセージデータのためのデジタル署名を作成する(工程1926)。改変されたメッセージデータのためのデジタル署名および第1の比較の結果の値は、その後、デバイスから出力される(工程1928)。改変されたメッセージのためのデジタル署名、および第1の比較の結果の値の出力に続いて、このデジタル署名が、工程1908における第1の検証データを表す入力の受信後からの最初の出力であるか否かという決定がなされる(工程1930)。工程1930における決定が肯定的である場合、検証ステータスは、1928にて出力されたデジタル署名マーカによって識別された検証ステータスを表し、およびデジタル署名が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1934)。
【0202】
工程1930における決定が否定的である場合、または識別マーカの値が工程1934にて新たに記録された後、ループ内の次の工程は、好適には、デジタル署名が、工程1910において第2の検証データを表す入力の受信後から出力された最初のデジタル署名であるか否かという決定(工程1932)を含む。工程1932における決定が肯定的である場合、検証ステータスは、その後、1928にて出力されたデジタル署名によって識別された検証ステータスを表し、およびデジタル署名が出力されたという事実をさらに表す識別マーカに値を割り当てることによって、新たに記録される(工程1936)。工程1932における決定が否定的である場合、または識別マーカの値が工程1936にて新たに記録された後、ループは再スタートする(工程1906)。
【0203】
(C.本発明のデータフォーマット、実施形態、およびインプリメンテーション)
本発明のすべての局面によれば、デバイスは、ハードウェア、ソフトウェアおよび/またはファームウェアを備え、特に、コンピュータチップ、集積回路、内部に適切なソフトウェアを有するコンピュータにより読み出し可能な媒体、またはこれらの組み合わせを備える。デバイスは、さらに、ハードウェアトークンまたは埋め込みトークン、コンピュータチップ、集積回路、ソフトウェアまたはこれらの組み合わせを含むトークンといった物理的オブジェクトを備え得る。デバイスがハードウェアトークンである場合、これは、好適には、指輪または他の装身具、ドングル、電子鍵、ICカード、スマートカード、デビットカード、クレジットカード、IDバッジ、安全バッジ、駐車カードまたは通行カードといったカード等の形態をとる。デバイスが埋め込みトークンである場合、これは、好適には、携帯電話、電話、テレビ、携帯情報端末(PDA)、腕時計、コンピュータ、コンピュータハードウェア等の形態をとる。このデバイスは、好適には、無線通信ポート、シリアルポート、USBポート、パラレルポートまたは赤外線ポートを含むポートか、有接点または無接点の、少なくとも1つの外部の電子装置と通信するための任意の他の物理インターフェースを備える。デバイスは、上述のように、および上述のTCPAドキュメントにて説明かつ記載されるように、プラットフォームの信用度を向上させるハードウェアおよびソフトウェアを備えるtrusted platform module(TPM)を備え得る。上述のデバイスのうちのいくつかは、デバイスがメッセージデータまたは検証データを受信することを可能にするためにI/Oサポートエレメントの使用を必要とする。デバイスのうちのいくつかは、他のタイプのデータは受信せず、特定のタイプの検証データを受信するためにI/Oサポートエレメントを必要とする。デバイスのうちのいくつかは、検証ステータス、デジタル署名およびメッセージに関する情報をECの受信側に伝送するためにI/Oサポートエレメントを必要とする。デバイスのうちのいくつかは、内臓(self−contained)されている。これは、これらのデバイスが、外部の装置を用いることなく、メッセージ、デジタル署名および検証ステータスのインジケータを生成および伝送し得ることを意味する。いくつかのデバイスは、内臓されてはいるが、所望ならば、I/Oサポートエレメントといった外部の装置と双方向通信することができる。I/Oサポートエレメントは、これが用いられる特定の用途に依存して、およびこれと双方向通信するデバイスのタイプに依存して、任意の数の異なった装置の形態をとり得る。
【0204】
より高度な安全上の用途に対して、デバイス(またはI/Oサポートエレメントとの組み合わせられるデバイス)は、好適には、以下の素子を含む。これらは、キーパッド(英数字)、双方向ディスプレイ、またはECの送信側がメッセージを構成または改変することを可能にする他のタイプのユーザデータ入力メカニズム(本明細書中では、まとめて「ユーザインターフェース」と呼ばれる)、機密検証データを入力するためのユーザインターフェース(メッセージを生成または改変するためのユーザインターフェースは、機密検証データを入力するためのユーザインターフェースと同じであり得るが、同じである必要はないことに留意されたい)、メッセージおよび/または機密を、デバイスを用いてECの送信側に示すためのディスプレイ、少なくとも1つのタイプのバイオメトリック検証データを受信するためのスキャナまたはリーダ、機密(単数または複数)、予め格納されたバイオメトリックデータ、および秘密鍵(PrK)を安全に格納するためのメモリ、種々の比較を実行するため、および、デバイスの検証ステータスを識別するためのプロセッサまたは回路、デジタル署名を生成または作成するためのプロセッサまたは回路、ならびにデバイスから情報を出力し、これを電子装置に伝送するための手段である。好適には、このデバイスは、特定の秘密鍵(PrK)と関連付けられた公開鍵(PuK)を格納およびエクスポートするための、およびアカウント情報、ユーザID等のさらなるユーザ情報を格納するためのメモリを備える。これほど高度でない安全上の用途に対しては、上述の素子のすべてが必要とは限らない。
【0205】
この点について、本発明は、デバイスへの、およびデバイスからのデータの流れ、ならびにデバイス内またはデバイスと通信する構成素子によって実行される、このようなデータの操作に議論を集中してきた。本節は、例えば、好適なデータベースフォーマットおよび例示のデータ値、ならびに検証データ、予め格納されたデータ、検証ステータスの構造、ならびに識別マーカおよび検証ステータスのインジケータに関してさらなる詳細を提供する。本節は、検証データが機密、バイオメトリック特性、またはこれら両方の組み合わせを表す場合、検証ステータスを識別するための好適な方法をさらに示す。さらに、本節は、デバイスとして、または本発明のデバイスの部分として用いられ得る、好適なコンピュータチップの関数上の局面を示す。最後に、本節は、本発明による使用のために適合されるデバイス(この場合、ICカード)のいくつかの特定のインプリメンテーションを提供する。
(1.予め格納されたデータ、検証データ、および検証ステータスのインジケータ)
(a.予め格納されたデータの記録フォーマット)
図20a、図20bおよび図20cに示されるように、デバイスの認可されたユーザの予め格納されたデータ(一般に、PDと呼ばれる)は、デバイスのデータベース内の適切なレコード2000a、2000bおよび2000cにて、それぞれ維持され得る。図20aに示されるように、デバイスが、PIN2003等の機密のみを受信および処理するように適合される単純な用途については、レコード2000aは、Secret Prestored Data(SPD)2042(または一般にPD2070と呼ばれる)の「値」2005を単に含む。図20bに示されるように、デバイスが1つの特定のタイプ2002のバイオメトリックデータ2007のみを受信および処理するように適合される、わずかにより複雑な用途については、レコード2000bは、適用可能なBiometric Prestored Data(BPD)2044(一般に、PD2070とも呼ばれる)の「値」2009を単に含む。
【0206】
図20cに示されるように、デバイスが、複数の特定のタイプの検証データを受信および処理するように適合される他の用途については、レコード2000cは、機密およびバイオメトリック的特性の両方を表す、可能な検証データのタイプ2002のリストを含む。検証データの各タイプ2002(機密またはバイオメトリックを問わず)は、対応するプリセット識別子2004およびそのために予め格納されたデータ2070を含む、対応する一意に定まる値2006をそれと関連付けている。特定のデータタイプ2002と関連付けられた特定の識別子2004は、図20cに示されるように、任意(arbitrary)であり、任意の業界標準規格、あるいは現在または後から進展させられる規則(例えば、「Biometric Information Management and Security for the Financial Services Industry」Document Number X9.84−2000WD、American Institute、2000に記載される標準規格等であり、本標準規格は、参考のため、本明細書中に援用され、http://webstore.ansi.orgにてダウンロードして利用し得る)に従うようにフォーマット化または確定され得る。さらに、図20cに示されるデータのタイプ2002のリストは、例示であることが意図されるにすぎず、実際、レコード2000cは、より詳細な、あまり詳細でない、または異なった詳細のデータのタイプ2002を含み得る。
【0207】
さらに、参照および説明を容易にするために、データのタイプ2002は、レコード2000a、2000bおよび2000cに示されるが、各データタイプ2002とその対応する識別子2004との間の関係が別の方法で知られている場合、タイプ2002を示す列に現れる情報が、実際にこれらのレコードに維持される必要はない。通常、4〜10桁の英数字ストリングを含むPINに関する予め格納されたデータ(値2005、2008)を除いて、バイオメトリックデータの各タイプ2002と関連する値2009、2010は、通常、認可されたユーザのバイオメトリック特性のデジタル表現に対応する数値である。例えば、電子指紋走査の現在のF.B.I.標準は、「40point minutiae」である。このような値は、走査し、およびこのような走査を特定のバイオメトリックデータのタイプ2002のデジタル表現に変換することができる適切かつ一般的なバイオメトリックスキャナによって取得され得る。一般に、任意の特定のバイオメトリックデータのタイプ2002については、このようなデータが、予め格納されたデータを生成する目的でデバイスに入力されるとき、および検証ステータスを識別する目的で、検証データが後からデバイスに入力される毎の、デバイスの両方の個人専用化ステージにて、同じ標準、縮尺または規則が用いられることが望ましい。データの特定のタイプ2002との比較のためにデータが予め格納されていない場合、このデータタイプ2002の対応する値2012は、ゼロ、零または同様の等価の値にセットされる。
【0208】
(b.デバイスへの検証データフォーマットの入力)
図21aに示されるように、デバイスが機密(再び、PIN等)のみを受信および処理するように適合される単純な用途については、検証データ2150が、デバイスを用いる場合に、ECの送信側によって入力される値2102を有するSecret Verification Data(SVD)2151を含むことが望ましい。図21bに示されるように、デバイスが1つの特定のタイプのバイオメトリック検証データのみを受信および処理するように適合される、わずかにより複雑な用途については、検証データ2150が、デバイスを用いる場合に、送信側によって提供されるバイオメトリック特性の走査に応答して入力される値2104を有するBiometric Verification Data(BVD)2153を含むことが好ましい。最後に、図21cに示されるように、デバイスが複数の特定のタイプの検証データを受信および処理するように適合される他の用途については、機密またはバイオメトリックを問わず、検証データ2150が、識別子2106および対応する値2108の両方を含むことが望ましい。識別子2106は、デバイスに入力された検証データのタイプを示し、従って、デバイスが、比較の目的で、参照を必要とする予め格納されたデータを示す。図示されていないが、識別子を用いる代わりにソフトウェアまたはデバイスコマンドまたはインストラクションを検出データ2150の入力と組み合わせて用いて、特定のタイプの検証データ2150が入力されることをデバイスに通知することが可能であることが理解されるべきである。
【0209】
(c.検証ステータスの比較プロセスおよび識別)
ここで、図22、図23a、図23bおよび図24を参照して、デバイスが検証データと予め格納されたデータとを比較し、これによって検証ステータスを識別するためのいくつかの例示のプロセスがかなり詳細に説明される。再び、図22に示されるように、およびデバイスが機密の検証データのみを受信および処理するように適合された単純な用途を最初に参照して、デバイスは、検証データを表す入力(例えば、図3における工程308に示される)が実際に受信されたか否かを最初に決定し、および受信された場合、このような検証データが機密であるか否かを決定する(工程2202)。機密の検証データが受信されない場合、デバイスは、現在の検証ステータス(そのスタートアップデフォルト値が「No PIN entered」である)を維持する(工程2204)。
【0210】
機密の検証データが受信された場合、デバイスは、対応する予め格納されたデータ(SPD)、例えば、図20aにおけるレコード2000aからの値2005を取り出す(工程2206)。次に、デバイスは、入力値と予め格納されたデータ値とを比較する(工程2208)。比較の結果(Rs)が値が等しいというものである場合、デバイスは、検証ステータスを「PIN match」として識別する(工程2210)。比較の結果(Rs)が値が等しくないというものである場合、デバイスは、検証ステータスを「PIN no match」として識別する(工程2212)。さらに、図22は、検証ステータスを記述フォーマット(例えば、「No PIN entered」「PIN match」および「PIN no match」)で示すが、デバイスは、好適には、識別マーカ(IM)を任意値にセットすることが理解される。この任意値は、この簡単な例において、さらに、比較の結果(Rs)と等しいそれぞれの検証ステータスと直接的に対応する。等価の識別マーカ値のいくつかの可能な例が図25aに示される。それにもかかわらず、図25aに一覧化される識別マーカ値に対応する適切な等価の検証ステータスについて、多数の異なったタイプ、規則、またはフォーマットが本発明の範囲内で選択され得ることが当業者に明らかである。図25に示されるように、機密検証結果(Rs1)2502を含む第1の識別マーカは、基数フォーマットである。機密検証結果(Rs2)2504を含む第2の識別マーカは、バイナリフォーマットである。さらに、示される機密検証結果(Rs3)2506を含む第3の識別マーカは、図25aの第1の列に一覧化される検証ステータスの、異なった文字ストリング表現にすぎない。図22に戻って参照して、工程2210および工程2212に示される、結果として生じた識別マーカ値は、上述の第2の規則を用いる。
【0211】
ここで、図23aおよび図23bを参照して、デバイスが、バイオメトリック検証データの1つの特定のタイプのみを受信および処理するように適合される、わずかにより複雑な用途については、デバイスは、バイオメトリック検証データが実際に受信したことを最初に決定する(工程2302)。バイオメトリック検証データが受信されなかった場合、デバイスは、現在の検証ステータス(スタートアップデフォルト値が「No BIO input」)を維持する(工程2304)。デバイスがバイオメトリック検証データを受信した場合、デバイスは、対応する予め格納されたデータ(BVD)(例えば、図20bにおけるレコード2000bからの値2009)を取り出す(工程2306)。バイオメトリックデータの比較においては、機密データの比較と異なり、比較の結果(Rb)は、検証データと予め格納されたデータとの間の整合(または差異)の程度またはパーセンテージを含むことが望ましい。従って、好適な実施形態において、デバイスは、バイオメトリック検証データを予め格納されたデータで除算し、2つの値間のパーセンテージ整合を取得し、結果(Rb)を識別マーカに割り当てることによって検証ステータスを識別する(工程2308a)。
【0212】
図23bに示されるように、あるいは、デバイスは、2つの値間の差異の絶対値を計算し(工程2308b)その数を予め格納されたデータで除算し、その後、その結果(Rb)を識別マーカに割り当てることによって2つの値間のパーセンテージの差異を取得し得る。等価のバイオメトリック識別マーカ値のいくつかの例が図26に示される。しかしながら、バイオメトリック検証データと予め格納されたデータ(例えば、図26において説明されたデータ等)との間の整合または差異の程度またはパーセンテージを示す識別マーカ値について、異なったタイプ、規則またはフォーマットが本発明の範囲内で選択され得ることが当業者に明らかである。例えば、バイオメトリック検証結果(Rb1)2602を含む第1の識別マーカは、2つの値(「##」に代入され、算出された数を有する)間の整合または差異の程度に対応するパーセンテージ値(2桁)である。バイオメトリック検証結果(Rb2)2604を含む第2の識別マーカは、2つの値間の整合または差異の程度に対応する小数値(2桁)である。バイオメトリック検証結果(Rb3)2606を含む第3の識別マーカは、図の第1の列における対応する検証ステータスと関連する文字ストリングである。
【0213】
上述のように、好適な実施形態において、デバイスは、バイオメトリック検証データに基づいて、検証ステータスのインジケータを、バイオメトリック検証データと予め格納されたデータとの間の整合の程度(またはパーセンテージ)あるいは差異の程度(またはパーセンテージ)の形態で出力する。検証データをこの態様で提供することによって、電子装置(または受信側)が、固有のロジックまたはビジネス規則に基づいて、デバイスによって取得および提供された整合の程度が、特定のビジネス目的または用途に必要とされる安全閾値を満たすか否かを決定することを可能にする。このことは、各々がバイオメトリック検証データについて固有の閾値要求を有する、異なった受信側によってデバイスが用いられることを可能にする。あるいは、デバイスそれ自体が、予めプログラミングされる(pre−programmed)か、または予めハードウェアに組み込まれ(pre−hardwired)得、バイオメトリック検証データが任意に決定された閾値に関して予め格納されたデータを「整合」とみなすか「不整合」とみなすかを、デバイス内で決定することが理解されるべきである(この場合、その識別マーカは、単に、機密の識別データの比較の識別マーカと同じである)。
【0214】
ここで、図24を参照して、デバイスが、機密およびバイオメトリック検証データを受信および処理するように適合される他の用途については、デバイスは、複数のタイプの検証データが受信されるそれらの用途に関する各入力を処理する目的で、最初にループを開始する(工程2402)。ループ内の第1の工程において、デバイスは、検証データが受信されたか否かを決定する(工程2404)。検証データが受信されなかった場合、デバイスは、現在の検証ステータス(スタートアップが「No PIN entered;No BIO entered」)を維持する(工程2406)。検証データが受信された場合、デバイスは、このような検証データの識別子(図21cからの2106)に対応する、予め格納されたデータ(図2000cからの2006)を取り出す(工程2410)。余談のように、および上述のように、別の実施形態は、検証データと共に送信されたデバイスまたはコンピュータのコマンドが、識別子2106(図21cに示される)を用いずに入力される検証データのタイプを示すことを可能にする。次に、デバイスは、識別子(またはコマンド入力)に基づいて、検証データが機密を表すかバイオメトリック特性を表すかを決定する(工程2412)。
【0215】
検証データが機密を表す場合、デバイスは、その検証データと、そのような機密の対応する予め格納されたデータとを比較する(工程2414)。値が等しい場合、デバイスは、比較の結果が「整合」として識別し(工程2416)、および本例示の実施形態において、Rsを「01」の値と等しくセットする(図25aのバイナリ規則を用いて)。ループは、その後、再スタートする(工程2408)。値が等しくない場合、デバイスは、比較の結果を「不整合」として識別し(工程2416)、および本例示において、Rsを「10」の値と等しくセットする(再び、図25aのバイナリ規則を用いて)。ループは、その後、工程2408にて再スタートする。他方、検証データがバイオメトリック特性を表すことをデバイスが決定した場合、デバイスは、検証データと、対応する予め格納されたデータとを比較し、これらの間のパーセンテージ整合を計算することによって検証ステータスを識別する(工程2420)。この点について、デバイスは、バイオメトリック検証データの特定のタイプ(###によって表示される)のRbをパーセンテージ整合の値と等しくセットする。ループは、その後、工程2408にて再スタートする。本例示の実施形態において、検証ステータスに対応する識別マーカ(IM)の値は、Rsの値、および各バイオメトリックタイプの各Rbの値を含む。
【0216】
特定の数を用いるいくつかの例は、このプロセスを説明することを支援する。第1の例において、データ(PIN、および右手の手形等の、1つのタイプのバイオメトリック検証データを仮定されたい)、デバイスを用いるECの送信側によってデバイスに入力される。この例示の実施例において、(図20cおよび図c21に関して、ならびに図25aの列および図26の列2702に関して説明された上述の規則を用いて、適切な検出ステータスは、以下の値
001,10,012,90(コンマ付またはコンマ無)
を含む識別マーカによって表される。この識別マーカは、不正確なPINが受信され、整合の程度が90%の右手の手形が受信された検証ステータスを示す。
【0217】
第2の例において、データ(3つのタイプのバイオメトリック検証データを仮定されたい(右手親指、左手親指および右目の虹彩走査))が入力される。この第2の例において(再び、同じ規則を用いて)適切な検証ステータスは、以下の値
002,95,007,93,018,87(コンマ付またはコンマ無)
を含む識別マーカによって表される。この識別マーカは、右手親指の指紋が95%の整合を有し、左手親指の指紋が93%の整合を有し、右目の虹彩走査が87%の整合を生成した検証ステータスを示す。
【0218】
別の実施形態において、上述の工程が実行された後、デバイスは、検証ステータスを、対応するRsまたはRb値が追従する、あらゆる可能な識別子2004(または、図20cのその特定のサブセット)含む識別マーカとして識別する。従って、個々のタイプの検証データに入力が提供されないにもかかわらず、識別マーカは、すべての識別子2004およびそれらの対応するRsおよびRb値を含む。入力が受信されないこれらのタイプについては、RsまたはRbの対応する値が、好適には、0または零あるいは適切な等価値を含むデフォルト値である。この第3の例において、適切な検証ステータスが
001,01,002,00,003,00,004,0.25,005,00,006,0.96,...024,0.95
の識別マーカとして表される。
【0219】
「...」は、単に、「00」が追従する007と023との間の各識別子を含む(すなわち、識別子007〜023と対応する検証データ入力は無い)ことを想定して、この例示の実施形態における識別マーカは、正確なPINが有力され、右手中指の指紋が25%の整合を有し、右手小指の指紋が96%の整合を有し、DNA走査が95%の整合を有した検証ステータスを示す。単に比較する目的で、上述の例と異なって、本例示の実施形態は、図26の列2604に関する上述のRbの規則を用いる。
【0220】
別の代替的実施形態において、受信側が、デバイスによって用いられる規則はどれかを知っている場合、識別マーカから、識別マーカ値またはデータストリーム内の各検証データタイプを提供するシーケンスを含む、すべての識別子2004を消去することが可能である。例えば、上述の両方の規則を、すべての23個の識別子(Rs値に関する図25aの列2504および第1の識別マーカにおけるRb値に関する図26の列2602下、ならびにRsに関する図25aの列2504および第2の識別マーカにおけるRs値に関する図26の列2604下)に対して用いて、および検証データタイプの順序が図20cにおける23個の識別子2004と同じであると想定して、上述の検証ステータスの識別マーカは、代替的に、以下のように
0100000.25000.9600000000000000000000000000000000000.95
または
010000250096000000000000000000000000000000000095
提供され得る。
【0221】
上述の各識別マーカは、正確なPINが入力され、右手中指の指紋が25%の整合を有し、右手小指の指紋が96%の整合を有し、DNA走査が95%の整合を有する検証ステータスを識別する。
【0222】
(2.ECに関して認可された特定の送信側の関連付け)
デバイスの検証ステータスが「永久(persistent)」ステータスであるか否か、検証ステータスが、特に、検証ステータスのインジケータが関連付けられるECに当てはまるか否かに関して、受信側に追加的情報を提供することも可能および有利である。このような情報は、受信側によって用いられ、ECの送信側が前のメッセージに対して正確な機密を入力したか否か、またはデジタル的にサインされたEC内に含まれるトランザクションまたはリクエストの特定の承認または認証として、正確な機密が入力されたか否かが決定され得る。同じ利点がバイオメトリック特性の場合に当てはまる。
【0223】
例えば、上述のように、PIN等の機密の検証データを受信するようにのみ構成されたデバイスについては、図25aのフォーマットを用いて識別マーカによって識別され得る3つの検証ステータスまたは「状態(state)」がある。これらは、PINが入力されない(Rs=00);正確なPIN(Rs=01)および不正確なPIN(Rs=10)である。本発明の、このさらなる特徴により、図25bに、より完全に示されるように、さらなる「状態」がこれらの3つに付加される。このさらなる状態は、正確なPINが入力されたこと、しかしながら、それ以後、検証ステータスのインジケータが出力されたか、ECに関連してデジタル署名が生成されたことを表す。この第4の状態は、図25bの列2508に示される基数フォーマット、図25bの列2510に示されるバイナリフォーマット、および図25bの列2512に示される文字ストリングフォーマットを含む、上述のフォーマットのいずれかを用いて示され得る。バイナリフォーマットを用いて、インジケータが出力されたか、またはデジタル署名が生成され、セットされることによって、識別マーカは「01」と等しく、さらに、識別マーカが「11」と等しい場合、第4の状態が識別される。
【0224】
あるいは、デバイスは、カウンタまたは「デジタル署名フラグ」(本明細書中では、以後、一般に「DSFlag」と呼ばれる)を維持する。この点について、DSFlagは、最初に0にセットされ、およびデバイスから検証ステータスのインジケータが出力されるか、またはデジタル署名がデバイスによって生成される毎に1またはそれ以上を数える。その後、DSFlagは、検証データがデバイスによって再び受信されるまで、出力される各インジケータまたは生成されるデジタル署名について1に留まり(または1を数えることを継続)、その後、DSFlagは、0にリセットされる。この場合、DSFlagの値は、情報の追加的ビットとして、識別マーカの値に取り入れられる。例えば、識別マーカの可能な値は、従って、以下の値を含む。ここで、「/」は、例示目的で、Rsのバイナリ値および対応するDSFlag値を分離する。これらは、00/0(PIN無し入力;IVSおよびDSが内入力)、00/1(PIN無し入力;PINおよびDSが無い入力);01/0(PIN整合;PINの整合後からIVSおよびDSが無い出力);および01/1(PIN整合;PINの整合後からIVSまたはDSの出力);10/0(PIN不整合;IVSおよびDSが無い出力);および10/1(PIN不整合;IVSまたはDSの出力)である。
【0225】
1つのタイプのバイオメトリック検証データのみを受信するように構成されるデバイスについては、デバイスは、好適には、上述の方法と同様の態様で、識別マーカの部分としてDSFlagを含む。例えば、デジタル署名を作成し、1つの特定のタイプのバイオメトリック検証データを受信および処理することのみが可能なデバイスについては、識別マーカは、DSFlagの整合の程度および値を含む。従って、ECの送信側が親指の指紋を発信した場合、この指紋は90%の整合を有すると判定され、デジタル署名が生成されなかった場合、識別マーカの適切な値は「90/0」であり(「/」は、単に2つの値の分離を示す)、Rbの「90」の値は、整合の程度を示し、DSFlagの「0」の値は、検証データが最後に受信されてから、デジタル署名が生成されていないことを示す。逆に、上述の例において、親指の指紋走査がデバイスに発信されてから、1つ以上のデジタル署名がデバイスによって生成された場合、識別マーカは「90/1」である(またはカウンタの場合、「90/x」であり、ただし、「x」は0より大きい任意の数である)。
【0226】
複数のタイプの入力された検証データ(機密および/またはバイオメトリック)を受信することができるデバイスについては、各タイプの検証データの各比較結果(R)が固有のDSFlagを有することが望ましい。この状態において、デジタル署名が作成される毎に、すべてのDSFlagsが1にセットされる(または、そうでない場合、上述のようにインクリメントされる)。しかしながら、さらなる検証データがデバイスによって受信される毎に、特定のタイプの検証データのDSFlagは0にセットされる。この状態で、情報を電子装置に伝送するために、上述のように、特定の識別子を含むことが望ましい。前節の例を用いて、適切な識別マーカは、
001,01,1,002,00,1,003,00,1,004,0.25,0,005,00,1,006,0.96,1,...024,0.95,1と現れる。この識別マーカは、正確な機密が入力され、右手中指の指紋が25%の整合を有し、右手小指の指紋が96%の整合を有し、DNA走査が95%の整合を有し、右手中指の指紋は、デバイスによって最後にデジタル署名が生成されてから入力されたという検証ステータスを示す。
【0227】
ここで図27を参照して、表は、本発明のデバイスへの仮定的な一連のアクション(主に、異なったタイプの検証データの入力)、および(もしあれば)識別マーカの値に結果として生じた変化を示す。この例において、デバイスは、PINを維持し、デバイスの認可されたユーザの右手親指の指紋のデジタル化された値(識別子=002)、およびデバイスの承認されたユーザの右目の網膜のデジタル化されたバージョン(識別子=016)を維持する。さらに、本例示において、デバイスの識別マーカ(IM)は、Rs値、Rb(002)値、DSFlag(002)値、Rb(016)およびDSFlag(016)を含む。識別マーカは、Rsの値の2桁バイナリ規則(すなわち、図25bの列2510の)、Rb(002)の値およびRb(016)の値の2桁パーセンテージ整合規則(図26の列2602の)、および各バイオメトリック検証データタイプと関連するDSFlagのバイナリ値を用いる。従って、DSFlag値は、「0」(特定のタイプのバイオメトリック検証データが受信されてから、デジタル署名の生成および検証ステータスのインジケータの出力がなかったことを示す)か、または「1」(特定のタイプのバイオメトリック検証データが受信されてから、デジタル署名が生成されたか、またはインジケータが出力されたことを示す)のどちらかである。
【0228】
13の一連のアクションが、図27の表の第1の列に連続して示される。デバイスに対する、より具体的には、デバイスの現在の検証ステータスを識別する、デバイスの識別マーカに対するこれらのアクションの各々のインパクトは、表の残りの列を水平方向に横切って示される。第1のアクションにおいて、デバイスが活性化され、スイッチオンされるか、またはそうでない場合、リセットされる。このアクションは、示されるように、識別マーカを構成する値の各々を0のデフォルト値にリセットさせる。第2のアクションにおいて、不正確なPINが入力される。これは、Rsの値を「10」に変更させる。次の正確なPINがデバイスに入力され、Rs値を「01」に切り換える。デジタル署名の生成、識別マーカの値の出力、またはデバイスの検証ステータスの他の出力は、Rsの値を「11」に切り換えさせ、両方のDSFlagを「1」にトグルさせる。第4のアクション工程の出力内に含まれたRsの値が「01」であったことに留意されたい(出力の時点にてRsの「現在の」値であった、表の前の行から)。第5のアクションによって示されるように、デジタル署名の第2の生成、識別マーカの値の出力、またはデバイスの検証ステータスの他の出力は、識別マーカへの影響を有さない。しかしながら、Rsの値およびDSFlagの値は、第4のアクション中に出力された値とは異なることに留意されたい。
【0229】
第6のアクションとしての正確なPINの入力は、Rsの値を「01」にセットするが、右手親指の指紋および右目の網膜に関して、DSFlagへのインパクトを有さないことに留意されたい。第7のアクションにおいて、右手親指の指紋がデバイスに提供され、結果として、予め格納された右手親指の指紋値と85%の整合を有する。このことは、Rb(002)の値が「85」にセットされ、DSFlag(002)の値が「0」にセットされるようにする。第8のアクションにおいて、右目の網膜走査の結果がデバイスに提供され、予め格納された値と90%整合する。これは、Rb(016)の値が「90」にセットされ、DSFlag(016)の値が「0」にセットされるようにする。
【0230】
依然として図27を参照して、第9のアクションは、デジタル署名の第3の生成、識別マーカの出力、または第8のアクションの後に有効であった識別マーカを含む、デバイスの検証ステータスの他の出力であり、Rsを「11」に切り換えさせ、両方のDSFlagをトグルして「1」に戻す(toggle back)。第10のアクションにおいて、第2の右手親指の指紋がデバイスに提供される。これは、88%整合し、Rb(002)の値を「88」に、およびDSFlag(002)の値を「0」に変更する。この時点における不正確なPINの入力は、第11のアクションにおいて、単に、Rsの値を「10」に変更する。第12のアクションにおいて、デジタル署名の第4の生成、識別マーカの出力、またはデバイスの検証ステータスの他の出力は、DSFlag(002)をトグルして「1」に戻させるが、Rs値への、またはすでに「1」にセットされているDSFlag(016)値への影響を有さない。第13のアクションにおいて、デバイスに提供される第2の右目の網膜は、89%整合し、Rb(016)の値を「89」に変更し、DSFlag(016)の値を切り換えて「0」に戻す。第14のアクションにおいて(具体的に示されない)、デバイスへのリセット信号は、すべての値を、第1のアクションの後に示された値に戻す。
【0231】
識別マーカおよび検証ステータスのインジケータに関するものを含む、本発明のさらなる特徴および利益は、本発明の特定のデバイスおよびインプリメンテーションに関する以下の議論から明らかになる。
【0232】
(3.コンピュータチップの設計)
ここで、図28を参照して、ICカード、PDA、携帯電話、パーソナルコンピュータ、または本発明による他のデバイスとの関連で用いられ得る好適なコンピュータチップ50が示される。示されるように、コンピュータチップ50は、電力52、クロック入力54、および外部ソース90のリセットまたはマスタークリア入力(master clear input)56を受け取る。このコンピュータチップ50は、さらに、グラウンド58と接続され、外部ソース90を介して入力および出力データ60を交換する。外部ソース90は、場合によっては、ICカード、PDA、携帯電話、パーソナルコンピュータ、あるいはコンピュータチップ50がインストールされるか、ICカード、PDA、携帯電話、パーソナルコンピュータ、または他のデバイスと通信するI/Oサポートエレメント(図示せず)の部分であり得る他のデバイスの部分であり得る。
【0233】
内部で、コンピュータチップ50は、I/Oルータ62、中央制御器64、公開−秘密鍵の対の秘密鍵を安全に格納するためのメモリロケーション66、公開/秘密鍵の対の対応する公開鍵を格納するためのメモリロケーション68、専用公開/秘密鍵生成器回路70、秘密鍵破壊回路72、予め格納されたデフォルトメッセージ(default prestored message)を格納するためのメモリロケーション65、デジタル署名回路71(ハッシュ関数回路73、乱数発生器74、および暗号化回路75を含む)、データを予め格納するためのメモリロケーション76(機密および/またはバイオメトリックデータ)、選択された予め格納されたデータをメモリロケーション76から取り出すための選択マルチプレクサ78、種々のアカウントおよび他のユーザ情報を格納するためのメモリロケーション80、選択された情報をメモリロケーション80から取り出すための選択マルチプレクサ82、Rsの値(機密の)および各Rbの値(デバイス50内に格納された各バイオメトリック検証データタイプの)、およびRs値およびRb値と対応するDSFlagの値を含む、コンピュータチップ50の現在の検証ステータスを(好適には、識別マーカ(IM)の形態で)格納するためのメモリロケーション83、ならびにメモリロケーション83に読み出しおよび書き込みする選択マルチプレクサ84を含む。
【0234】
好適には、コンピュータチップ50は、以下の性能と共に設計される。これらは、データを安全および永久に(特に、秘密鍵)格納する能力、公開−秘密鍵の対を、チップ内で乱数発生器74から生成された乱数を用いて、ワンタイムオンリーベースで(one−time only basis)チップ上に生成する能力、およびリクエストされた場合、FIPS PUB 186−2に従って、チップ内で乱数発生器74から生成された乱数を用いて、デジタル署名を作成する能力である。コンピュータチップ50は、さらに、好適には、干渉(tampering)されず、Differential Power Attacksおよび他の物理解析に耐性を有する。予め格納された機密のデータは、好適には、さらに、網羅的探索攻撃(exhaustive search attacks)から保護される。秘密鍵を「保護」する一つの方法は、コンピュータチップ50に自爆回路(destruct circuit)72を用いて設計することによる。この自爆回路は、電子、物理および他の公知の手段によって秘密鍵が任意の干渉または盗みの試みによりトリガーされると、秘密鍵を破壊する。このような状態のもとで、自爆回路72は、コンピュータチップ50がさらなるデジタル署名を生成することを防止すること、およびメモリロケーション66に保持される情報を破壊することによってコンピュータチップ50を使用できなくする。
依然として図28を参照して、コンピュータチップ50は、さらに、製造中にチップ内にロードされるか、チップ50上の読み出し専用メモリ(ROM)内に永久的にエッチングされる、改変不可能なオペレーティングソフトウェアを含む。このようなソフトウェアは、コンピュータチップ50が特定のコマンドのセットに応答するか、このコマンドに従って動作することを可能にする。このようなコマンドは、例えば、コンピュータチップ50が個人専用化(personalize)されることを可能にする。個人専用化は、機密、バイオメトリック特性、ユーザ名およびアカウントナンバー(単数または複数)のデータを入力および予め格納することを含む。好適には、予め格納された機密のデータは、現在の機密検証データの入力が成功すると、変更することができる。しかしながら、予め格納されたバイオメトリックデータは、好適には、メモリ内に、永久的に一度限りロードされる(permanent once loaded)。
【0235】
ソフトウェアは、鍵生成回路70に一意に定まる公開−秘密鍵の対をコンピュータチップ50内にワンタイムオンリーベースで、直接的に生成させるコマンドをさらに含む。上述のように、秘密鍵は、メモリロケーション66内に安全に格納される。公開鍵は、メモリロケーション68内に格納される。ソフトウェアは、公開鍵がコンピュータチップ50からエクスポートされることを可能にするコマンドを含む。公開鍵をエクスポートするコマンドは、公開鍵へのアクセスに対して厳格な制御が所望されるか否かに依存して、複数回または一度限り実行可能であり得る。ソフトウェアは、検証データが入力されていることをコンピュータチップ50に通知するコマンドを含む。選択的に、別個のコマンド(またはコマンドと共に含まれる別個の情報)が用いられ、入力される検証データが機密であるか、バイオメトリック特性であるかを示し、バイオメトリック特性である場合、バイオメトリックタイプである。好適には、コンピュータチップ50は、さらに、検証データを受信するときはいつも検証ステータスを自動的に識別する。
【0236】
ソフトウェアは、メッセージデータが入力されることをコンピュータチップ50に通知するコマンドをさらに含む。多くの状態において、コンピュータチップ50に入力または提供されるメッセージデータが、コンピュータチップ50上のメモリロケーション80内に維持される特定のアカウント情報または他のユーザデータを取り込むことが必要または望ましい。このような情報をメモリロケーション80から抽出し、この情報をコンピュータチップ50に送信されるメッセージデータ内に含むために、一般に、2つの技術がある。
【0237】
第1の技術において、すべてのアカウントおよび他のユーザ情報は、コンピュータチップ50から抽出され、ユーザは、コンピュータチップ50を用いてデジタル的にサインされるべきメッセージの部分として含まれるべき適切なアカウントまたはユーザ情報を選択することをディスプレイを介して指示される。メッセージデータコマンドは、その後、デジタル署名を作成するためにコンピュータチップ50に送信され、選択されたアカウントまたはユーザ情報はメッセージデータ内に含まれる。例えば、コンピュータチップ50が、リーダまたは他のI/Oサポートエレメントと関連してICカード内で用いられる場合、I/Oサポートエレメントは、すべてのアカウントおよびユーザ情報を抽出するためにコマンドをコンピュータチップ50に送信する。ユーザは、その後、I/Oサポートエレメントによって提供されるディスプレイから、コンピュータチップ50を用いてデジタル的にサインされるべきメッセージの部分として含まれるべきI/Oサポートエレメントによって提供されるディスプレイから、適切なアカウントまたはユーザ情報を選択する。その後、メッセージデータコマンドは、デジタル署名を作成するためにコンピュータチップ50に送信され、選択されたアカウントまたはユーザ情報はメッセージデータに含まれる。
【0238】
第2の技術において、コンピュータチップ50に提供されるメッセージデータコマンドは、1つ以上の「零フィールド(null fields)」または他の適切な「タグ」を含む。これらは、特定のアカウントフィールドまたはユーザ情報フィールドを識別するが、中に値が供給されない。タグに応答して、コンピュータチップ50は、コンテンツアドレッサブルメモリを検索し、メモリ内に維持される対応するフィールドを識別する。対応するフィールドのロケーションに関して、コンピュータチップ50は、タグの零値の代わりに、メッセージデータ内にこのようなフィールドの値を供給する。この方法を用いて、メモリロケーション80内のアカウントを含む各データセルまたはユーザ情報は、固有のタグまたはコンテンツアドレスを有する。好適には、このようなタグまたはコンテンツアドレスは、標準化され、従って、アカウントまたはユーザ情報がメモリロケーション80内に正確に格納され、かつ後で必要な場合は、タグを用いて用意に取り出され得る。このようなタグはXMLタグを含み得る。
【0239】
例えば、メッセージデータコマンドは、コンピュータチップ50に送信され得、このコンピュータチップ内で、メッセージデータは、<ユーザ名>がメッセージデータのテキスト内の特定のロケーションに挿入されることをリクエストする零フィールドまたはタグを含む。このようなメッセージデータがコンピュータチップ50に提供されるときはいつも、コンピュータチップ50は、挿入することによってメッセージデータを自動的に完成させ、この場合、「ユーザ名」がチップ50のメモリロケーション80の第3のセル内に格納される。好適には、タグが用いられ、コンピュータチップ50のメモリロケーション80内に維持される種々のフィールド値(例えば、クレジットカード口座番号、銀行口座番号、ユーザ名、雇い主アカウントナンバー、ウェブサイトアカウントナンバー等)のいずれかを抽出および挿入し得る。
【0240】
メッセージデータが、上述の技術のうちの1つを用いて、リクエストされたすべてのアカウントおよびユーザ情報を備えて「完成される」と、このようなメッセージデータは、その後、以下のための準備が整う。これらは、コンピュータチップの現在の検証ステータスによる改変(IMの値を用いて)、改変されたメッセージデータのハッシュ値の計算、デジタル署名を生成するためのハッシュ値の暗号化、およびデジタル署名の出力である。
【0241】
あるいは、コンピュータチップ50は、デジタル署名を生成する適切なコマンドに応答して、同様に、(インポートされたメッセージデータではなく)メモリロケーション65内に予め格納されたメッセージを用いてデジタル署名を生成する。
【0242】
理解されるように、上述の構成素子および関数性を含み、本発明により、検証ステータスを提供する際に用いられるコンピュータチップは、それ自体、新規性があり、かつ進歩性があり、従って、このようなコンピュータチップは、実際に、本発明の局面を含む。
【0243】
(4.本発明の特定のインプリメンテーション)
図29〜図33(図28にしばしば戻って参照して)は、本発明による関数のために構成され、適切なコンピュータチップ50を含む(例えば、図28を参照する上記のような)単一のICカード95が、ICカード95の疑わしいユーザによって複数の異なった用途および状況にて用いられ得る態様が示される。ICカード95の構造は、中にコンピュータチップ50が埋め込まれ、ICカード95内で、ICカードリーダとコンピュータチップ50との間の通信を可能にする表面接点を有する従来型である。表面接点は、ISO/IEC7816対応である。ISO/IEC14443対応の近接カードまたは7816および14443オペレーションの両方が可能である組み合わせ回路を有することも可能である。
これらを例示する目的で、コンピュータチップ50(図28に示される)が、上述の方法で生成された一意に定まる公開/秘密鍵の対をすでに含むことが想定される。PIN(これらの例示における機密)および認可されたユーザの右手の親指の指紋、右目の網膜および声紋のデジタル化されたバージョンがチップ50(再び、図28に示される)のメモリロケーション76(セル001、002、016および020それぞれ)に入力および予め格納されることが想定される。認可されたユーザ名、クレジットカード口座番号、当座預金口座、建物およびコンピュータへのアクセスのための関係者ID番号、およびウェブサイト仲介業者の口座番号が、上述のように、提供されるメッセージデータ内に含まれる適切なタグを用いて、必要に応じて外部ソースからICカード95にアクセスするためにメモリロケーション80内に予め適切に格納されていることも想定される。さらに、コンピュータチップ50上に格納される公開鍵が、認可されたユーザの雇い主、クレジットカード会計処理会社、銀行、および仲介業者に提供され、これらの各々は、従って、その固有のデータベース内で関連付けられて、認可されたユーザのアカウントを有する公開鍵を有することが想定される。本例示の目的で、コンピュータチップ50が識別マーカ(IM)の値を出力することがさらに想定される。この識別マーカは、図25の列2504に示されるように、規則を用いてRsの値を含むデータストリングである(すなわち、PIN無し(Rs=00)、正確なPINであり、IVSまたはDS(Rs=01)および不正確なPIN(Rs=10)には用いられない)。識別マーカの値は、すべてのバイオメトリック検証データタイプの、タイプ識別子(0xx)およびRbの値(図26の列2602に示されるように、2つのパーセンテージ整合(xx)のフォーマットで)を含む。さらに、識別マーカは、Rs値および各Rb値と関連するそれぞれのDSFlagを含む。
【0244】
ここで、図29を特に参照して、第1の例は、疑わしいユーザ46によって用いられているICカード95を示す。この第1の例において、疑わしいユーザ46は、駐車場2902へのアクセスを獲得するためのICカード95を提供する。駐車場2902は、駐車場ゲート2904によって守られる。このゲートは、アーム2906を有し、駐車場ゲート制御器2908によって制御される。次に、駐車場ゲート制御器2908は、ICカードリーダ2910と通信している。駐車場ゲート2904から分離されて示されるが、制御器2908およびICカードリーダ2910は、実際、駐車場ゲート2904のハウジング内に物理的に組み込まれ得る。
【0245】
アーム2906を持ち上げるために、疑わしいユーザ46は、ICカード95をリーダ2910に挿入する(または、14443オペレーションの場合リーダの近傍にカードを配置する)。これは、比較的、低いセキュリティレベルの駐車場2902であるので、ICカードリーダ2910は、関連するキーバッドおよびバイオメトリックスキャナを有さない。従って、疑わしいユーザ46が任意の検証データを入力し得るために用いる手段が無い。従って、駐車場へのアクセスは、ICカード95の任意の特定の検証ステータスに依存しない。駐車場ゲート制御器2908は、駐車場ゲート2906を、駐車場ゲート制御器を用いて予め登録されたICカード95の適切な提示によってのみ開く。好適には、予めの登録は、コンピュータチップ50のメモリ80内(図28に示される)保持される、カードの認可されたユーザが自分の名前(「ユーザ名」)、駐車場ゲート制御器2908に提供すること、または、逆に、駐車場ゲート2904のオペレータ(例えば、認可されたユーザの雇い主またはエージェント)を有し、従業員アカウントナンバーをコンピュータチップ50のメモリロケーション80(図28に示される)に入力することによって、駐車場ゲートシステムを用いるためのICカード95を「承認する」ことを含む。セキュリティを改善するために、カード95の認可されたユーザは、さらに、自分の公開鍵(チップ50上に保持される)を駐車場ゲート制御器2908に提供し、この制御器はユーザの名前または従業員アカウントナンバーをこの公開鍵と関連付ける(本明細書中において、以後、「ユーザ情報」と呼ばれる)。
【0246】
ICカード95がカードリーダ2910に挿入される(またはカードリーダ2910に近接させる)と、カードリーダ2910は初期化される。カードリーダ2910の初期化は従来通りであり、カードリーダ2910によって物理的にICカード95を検出するか、または、ICカードが、最初にカードリーダ2910から電力を受け取ると、ICカード95がカードリーダ2910に「リセット」メッセージを出力するかどちらかによって達成される。ICカード95が電力を受け取ると、PINおよび欠く適用可能なバイオメトリックタイプの識別マーカおよびすべてのDSFlagがリセットされる。あるいは、電力がカード95から除去された場合、すべてのこのような値はリセットされ得る。
【0247】
初期化に続いて、カードリーダ2910は、メッセージ入力コマンドをICカード95に送信する。少なくとも、メッセージ入力コマンドは、「ユーザ名」または「従業員アカウントナンバー」等のユーザ情報をメモリロケーション80(図28に示される)内の適切なデータフィールドからリクエストするタグを含む。本例示において、タグ以外のさらなるメッセージは無い。
【0248】
メッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50(図28に示される)は、リクエストされたユーザ情報(このようなユーザ情報は、メッセージデータの部分になる)をメモリロケーション80(図28に示される)から取出し、識別マーカの現在の値を取り出し、識別マーカの値を有するメッセージデータの前に値を付加することによって改変し、改変されたメッセージデータのハッシュ値を計算し、ハッシュ値を暗号化してデジタル署名を生成し、デジタル署名、リクエストされたユーザ情報および識別マーカの値をカードリーダ2910にエクスポートする。カードリーダは、このようなデータを処理するための制御器2908に転送する。
【0249】
その後、制御器2908は、ICカード95から取出された、リクエストされたユーザ情報(名前または従業員アカウントナンバー)と、そのデータベース内に維持された、認可された名前または認可された従業員アカウントナンバーのリストとを最初に比較する。認証を考慮しない低い程度のセキュリティについては、ICカード95から受信されたユーザ情報が、そのデータベース内の認可された名前または認可された従業員アカウントナンバーのうちの1つと整合する場合、制御器2908は、駐車場ゲート2906を開く。偽造ICカードから守る高いセキュリティについては、制御器2908は、整合するユーザ情報と関連付けられた公開鍵を用いて、ICカード95から受信されたデジタル署名を復号化する。デジタル署名からの復号化されたハッシュ値が、ICカード95によって提供されるユーザ情報(すなわち、メッセージデータ)に基づいて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、制御器2908は、デジタル署名が受信されるICカード95が、駐車場2904のオペレータによって予め登録されたユーザと関連付けられた一意に定まる秘密鍵を含むと決定し、駐車場ゲートアーム2906を持ち上げる(この場合のゲートを持ち上げる決定は、ファクタ A エンティティ 認証に基づく)。
【0250】
ここで、図30および図31を参照して、最初に、安全な(secure)建物3002内への、その後、この安全な建物3002内に位置する安全な部屋3102へのアクセスを獲得するために、同じICカード95が疑わしいユーザ46によって用いられ得る。図30に示されるように、1つのICカードリーダ3004が、建物3002への安全な入口3010の隣に取付けられる。このICカードリーダ3004は、英数字キーパッド3006およびディスプレイ画面3008を備える。ICカードリーダ3004は、建物セキュリティ制御器3014と電子通信し、入口3010の鎖錠メカニズム3012を制御する。建物の内部において、図31に示されるように、別のICカードリーダ3104が安全なドア3110の隣の壁に取付けられる。このICカードリーダ3104は、網膜スキャナ3106およびディスプレイ3108を備える。同様に、このICカードリーダ3104は、建物セキュリティ制御器3114と電子通信する。この制御器は、ドア3110の鎖錠メカニズム3112を制御する。駐車場2902(図29の)が安全な建物3002と同じファシリティの部分である場合、駐車場ゲート制御器2908および建物セキュリティ制御器3014、3114は、同じ装置、同じコンピュータシステムの部分であるか、またはICカード95の認可されたユーザおよび公開鍵に関する、同じ情報のデータベースを共有することが可能である。
【0251】
最初に、図30を参照して、安全な建物3002内にアクセスするために、ICカード95がICカードリーダ3004に挿入される(または、カードリーダ3004の近傍に運ばれる)。リーダ3004は、図29におけるカードリーダ2910とほとんど同じ方法で初期化される。識別マーカおよびすべてのDSFlagは、電力がICカード95に最初に供給されるとリセットされる。
【0252】
初期化された場合、カードリーダ3004は、ディスプレイ3008を用いて、疑わしいユーザ46に指示して、PINを入力させる。PINがキーパッド3006を用いて入力される場合、カードリーダ3004は、このPINを、建物セキュリティ制御器3014ではなく、ICカード95に直接的に伝送する。
【0253】
ICカード95がPIN検証データを受信した場合、コンピュータチップ50(図28に示される)上の制御器64は、メモリロケーション76(セル001)から予め格納されたPINデータを取り出し、2つの値を比較する(ファクタB エンティティ 認証)。整合/不整合の決定は、制御器64によってなされる。これは、検証ステータスをRs=01(整合)またはRs=10(不整合)として識別する。
【0254】
カードリーダ3304の制御にプログラミングされる、適切な(短い)遅延の後、カードリーダ3004は、メッセージ入力コマンドをICカード95に送信する。図29との関連で前に説明されたように、メッセージ入力コマンドは、メモリロケーションン80(図28に示される)内の適切なデータフィールドからユーザ情報(例えば、「ユーザ名」または「従業員アカウントナンバー」)をリクエストする「タグ」を含む。再び、メッセージデータはタグのみを含み、他のいかなる追加の情報も含まないことが想定される。
【0255】
メッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50は、リクエストされたユーザ情報をメモリロケーション80(図28に示される)から取り出し、識別マーカの現在の値を取り出し、識別マーカの値を有するユーザ情報(すなわち、メッセージデータ)の前に値を付加することによって改変し、改変されたユーザ情報のハッシュ値を計算してデジタル署名を生成し、ハッシュ値を暗号化し、デジタル署名、リクエストされたユーザ情報および識別マーカの値をカードリーダ3104にエクスポートする。コンピュータチップ50(図28に示される)は、その後、DSFlagの値のすべてを「1」にインクリメントする。換言すると、コンピュータチップ50は、カード95の電源投入後から、任意の検証データ入力が受信された特定の検証データタイプについてDSFlagの値を「1」にインクリメントするだけである。
【0256】
カードリーダ3004によって受信されたデジタル署名、識別マーカの値、およびユーザ情報は、建物セキュリティ制御器3014に伝達される。建物セキュリティ制御器3014は、ユーザ情報が、建物3002にアクセスするための認可された名前または認可された従業員アカウントナンバーのどちらかと整合することを最初に確認する。整合する場合、建物セキュリティ制御器3014は、その後、整合する認可されたユーザ情報と関連する公開鍵を用いて、デジタル署名を復号化する。デジタル署名の復号化されたハッシュ値がICカード95から受信されたユーザ情報に基づいて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、建物セキュリティ制御器3014は、デジタル署名が受信されるICカード95が一意に定まる秘密鍵を含むことを決定する。最後に、建物セキュリティ制御器3014は、識別マーカの値によって示される検証ステータスを点検して、ICカード95の疑わしいユーザ46が、実際、ICカード95の認可されたユーザであるか否かを決定する。示された検証ステータスが整合を表す場合(すなわち、Rs=01の値)、建物セキュリティ制御器3014は、疑わしいユーザ46が認可されたユーザなのではないかと推論し、その後、信号を鎖錠メカニズム3012に送信し、入口を解錠および/またはドア3010を開ける。
【0257】
図31の安全な部屋3102内へのアクセスについては、ICカード95がICカードリーダ3104に挿入される(または、カードリーダ3104の近傍に運ばれる)。リーダ3104は、カードリーダ3004とほぼ同じ方法で初期化され、識別マーカおよびすべてのDSFlagは、ICカード95に電力が最初に供給されるとリセットされる。初期化された場合、カードリーダ3104は、ディスプレイ3108を用いて、疑わしいユーザ46に指示して、右目をスキャナ3106の前に配置させる。網膜スキャナ3106は、疑わしいユーザ46の右目を走査し、そのデジタル化されたバージョンを取得する。カードリーダ3104は、その後、バイオメトリック検証データ(これは識別子および右目網膜のデジタル走査の値を含む)を、建物セキュリティ制御器3114ではなく、比較するためにICカード95に伝送する。
【0258】
バイオメトリック検証データがICカード95によって受信された場合、制御器64(図28に示される)は、受信された(識別子に基づいて)バイオメトリック検証データのタイプを決定し、認可されたユーザの右目網膜に関する対応する予め格納されたバイオメトリックデータをメモリロケーション76(セル016)から取りだし、2つの値(ファクタ C Entry 認証)を比較する。決定/計算の整合の程度は、制御器64によって得られる。これは、Rb(016)をパーセンテージ整合と対応する2桁の数(再び、図28に示される)にセットする。
【0259】
適切な(短い)遅延の後、カードリーダ3104は、メッセージ入力コマンドをICカード95に送信する。上述のように、メッセージ入力コマンドは、メモリロケーションン80内の適切なデータフィールドからユーザ情報をリクエストする「タグ」を含む。再び、メッセージデータはタグのみを含み、他のいかなる追加の情報も含まないことが想定される。
【0260】
メッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50は、リクエストされたユーザ情報をメモリロケーション80から取り出し、識別マーカの現在の値(その中に、カードがカードリーダ3104に挿入された場合、0にリセットされたRb(016)の値およびDSFlag(016)の値を含む)を取り出し、識別マーカの値を有するユーザ情報を、ユーザ情報の前に値を付加することによって改変し、改変されたユーザ情報のハッシュ値を計算し、ハッシュ値を暗号化してデジタル署名を生成し、デジタル署名、リクエストされたユーザ情報および識別マーカの値をカードリーダ3104にエクスポートする。コンピュータチップ50は、その後、DSFlagの値のすべてを「1」にインクリメントする。
【0261】
ICカード95から受信されたデジタル署名、ユーザ情報、および識別マーカの値は、その後、カードリーダ3104によって建物セキュリティ制御器3114に伝達される。建物セキュリティ制御器3114は、ICカード95から受信されたユーザ情報が、部屋3102にアクセスするための認可されたユーザ名または従業員アカウントナンバーと整合することを最初に確認する。整合する場合、建物セキュリティ制御器3114は、その後、整合するユーザ情報と関連する公開鍵を用いて、デジタル署名を復号化する。デジタル署名の復号化されたハッシュ値がICカード95から受信されたユーザ情報に基づいて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、建物セキュリティ制御器3114は、デジタル署名が受信されるICカード95が一意に定まる秘密鍵を含むことを決定する。最後に、建物セキュリティ制御器3114は、識別マーカの値によって示される検証ステータスを点検して、ICカード95の疑わしいユーザ46が、実際、ICカード95の認可されたユーザであるか否かを決定する。この点について、走査された網膜の値と、認可されたユーザの網膜に関する予め格納された値との間の整合の程度が、建物セキュリティ制御器3114による閾値要求(例えば、90%またはそれより良好な整合)のセットを満たす場合、建物セキュリティ制御器3114は、疑わしいユーザ46が認可されたユーザなのではないかと推論し、その後、信号を鎖錠メカニズム3112に送信し、入口を解錠および/またはドア3110を開ける。
建物セキュリティ制御器3114は、走査された網膜と予め格納された網膜との間の整合が「完全」または100%である場合、部屋3102へのアクセスを拒絶するビジネスロジックを含み得る。なぜなら、このような比較は、おそらく、不正な入力検証データを示すからである。カード95から受信された整合の程度が、この部屋3102のための建物セキュリティ制御器3114によってセットされる必要な閾値セットを超過しない場合、さらなる網膜走査がリクエストされ得、上述の手順が繰返され得る。ICカード95が、カードリーダ3104から除去された場合、およびICカード95が、新しい網膜スキャンが行われるか、またはICカード95に無事に伝送された場合、カード95によって出力された検証ステータスは、「1」の値にセットされる右目網膜のDSFlagを含む。このDSFlagは、建物セキュリティ制御器3114に、新しい網膜走査が入力されなかったか、またはICカード95によって正確に受信されたことを信号で伝える。新しい網膜走査が行われ、ICカード95に伝送された場合、右目網膜のDSFlag(DSFlag(016))は0にリセットされる。同じ目の網膜走査は、一般に、走査毎にわずかに異なるので(他のタイプのバイオメトリック情報のほとんどの操作がそうであるように)、新しい整合決定の程度が、同じICカード95からの同じバイオメトリック特性に関する前の決定と全く同一である場合、建物セキュリティ制御器3114は、ICカード95によって受信された不正なバイオメトリック検証データの潜在性を警戒する。
【0262】
カード95から受信された初期の整合の程度が、この部屋3102のための建物セキュリティ制御器3114によってセットされる必要な閾値を超過した場合であっても、建物セキュリティ制御器3114は、それにもかかわらず、単に、バイオメトリック入力が不正であったか否かを決定する目的で、疑わしいユーザ46のフォローアップ網膜走査をリクエストし得る(すなわち、フォローアップの整合の程度が初期の整合の程度と同じか否か)。建物セキュリティ制御器3114は、走査された網膜と予め格納された網膜との間の整合が「完全」または100%である場合、部屋3102へのアクセスを拒絶するビジネスロジックをさらに含み得る。なぜなら、このような比較、さらに、おそらく不正な入力検証データを示すからである。図32aを参照して、疑わしいユーザ46は、ここで、自分の机の前にすわり、自分のパーソナルコンピュータ3202にアクセスする。コンピュータ3202は、キーボード3204、モニタ3206、およびマウス3208を含む従来型である。コンピュータ3202は、カードリーダ3210をさらに備える。このカードリーダは、コンピュータ3202の適切なポート(例えば、シリアル、パラレル、USB等)を介してコンピュータ3202とデータを交換する。カードリーダ3210は、上述のカードリーダと同じであり、中に挿入される(またはその近傍に運ばれる)と、ICカード95と情報を交換することができる。本例示において、コンピュータ3202は、疑わしいユーザ46の声等の音声入力を受信するためのマイクロフォン3212をさらに備える。カードリーダ3210に適正なICカード95が挿入されることなく、コンピュータ3202が電源投入されることを回避することが可能であるが、本例示は、コンピュータ3202が電源投入され、セキュリティスクリーンを立ち上がるが(boot up)(コンピュータ3202上にインストールされた適切なソフトウェアを用いて)、コンピュータ3202上に維持されたプログラムまたはデータベースへの、あるいはコンピュータのオペレーティングシステム等への実質的なアクセスは、疑わしいユーザ46が認証されるまで可能にならないことを想定する。あるいは、建物セキュリティ制御器3114は、さらに、不正な入力の疑いがある場合、さらなるPINおよび/またはバイオ入力をリクエストし得る。
電源投入された後、コンピュータ3202は、モニタ3206上に表示されたセキュリティスクリーン上で、疑わしいユーザ46に指示して、ICカード95をカードリーダ3210に挿入し、さらにスクリーン上に表示された適切なデータ入力ウィンドウに入力し、(声紋を取得する目的で)自分の名前を名乗らせる(音響式で)(名、中間名の頭文字および姓)。
【0263】
ICカード95がリーダ3210に挿入された場合、リーダ3210は、初期化され(上述のように)、カード95に供給された電力は、コンピュータチップ50上の識別マーカおよびDSFlagのすべてをリセットさせる。キーボード3204を用いてPINが入力された場合、および疑わしいユーザ46が自分の名前をマイクロフォン3212に向かって名乗った場合、コンピュータ3202は、PINおよび声紋のデジタル化されたバージョンの両方を、カードリーダ3210を介してICカード95に伝送する。カードリーダ3210は、PINの値および声紋を識別子(例えば、PINについては001、および声紋については020)と共にカード95に伝送し、それぞれについて、検証データ入力のタイプおよび順序を識別する。
【0264】
PINおよびバイオメトリック検証データがICカード95によって受信されると、コンピュータチップ50上の制御器64(図28に戻って参照して)は、識別子に基づいて受信された検証データのタイプを最初に決定し、その後、適切な予め格納されたデータをメモリロケーション76から取出す。この例示において、制御器64は、PINのために予め格納されたデータを、メモリロケーション76内のメモリロケーションデータセル001から最初に取出し、その後、その値を、カードリーダ3210から受信されたPIN検証データの値と比較する(ファクタ B エンティティ 認証)。整合/不整合の決定 は、制御器64によって成される。この制御器は、Rsの値を、「01」(整合)または「10」(不整合)としてセットする。次に、制御器64は、認可されたユーザの声紋に関する予め格納されたデータをメモリロケーション76内のデータセル020から取り出し、その後、この値を、カードリーダ3210から受信されたデジタル化された声紋(ファクタ C エンティティ 認証)と比較する。整合の程度の決定/計算は、制御器64によってなされる。この制御器は、パーセンテージ整合に対応するRb(020)の値を2桁の数にセットする。
【0265】
適切な(短い)遅延の後、コンピュータ3202は、その後、メッセージ入力コマンドを、カードリーダ3210を介してICカード95に送信する。この場合、メッセージ入力コマンドは、メモリロケーション80内の適切なデータフィールドからユーザ情報をリクエストするタグを含む(再び、図28に示される)。再び、メッセージデータは、タグのみを含み、他のいかなる追加の情報も含まないことが想定される。
【0266】
メッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50は、リクエストされた、認可されたユーザ情報を(メッセージデータとして)メモリロケーション80から取り出し、識別マーカの現在の値を取り出し(この識別マーカは、カードがカードリーダ3210に挿入されたときに0にリセットされたRsの値およびDSFlag(001)の値を含み、さらにゼロにリセットされたDSFlag(020)の値を含む)、メッセージデータの前に値を付加することによって、識別マーカを有するメッセージデータを改変し、改変されたメッセージデータのハッシュ値を計算し、ハッシュ値を暗号化して、デジタル署名を生成し、デジタル署名、リクエストされたユーザ情報、および識別マーカの値をカードリーダ3210にエクスポートする。コンピュータチップ50は、その後、コンピュータチップ50上のDSFlagのすべての値を「1」にインクリメントする(少なくとも、PINおよび声紋のDSFlag、すなわちDSFlag(001)およびDSFlag(002)が「1」にインプリメントされる)。
【0267】
カードリーダ3210によって受信されたデジタル署名、ユーザインフォーメーションおよび識別マーカの値は、その後、処理するためのコンピュータ3202に伝達される。コンピュータ3202がスタンドアロンコンピュータである場合、処理は、コンピュータ3202自体の中で行われる。しかしながら、コンピュータ3202は、ネットワーク化され、サーバと通信する(図示せず)可能性がより高い。このサーバは、疑わしいユーザ46がコンピュータ3202へのアクセスを獲得するか否かを実際に決定する。
【0268】
サーバが含まれることを想定して、サーバは、ICカード95から受信されたユーザ情報が、特定のコンピュータ3202へアクセスするため、および特定のコンピュータを使用するための、認可されたユーザ名または従業員アカウントナンバーと整合することを最初に確認する。サーバは、その後、整合するユーザ情報と関連する公開鍵を用いて、デジタル署名を復号化する。デジタル署名の復号化されたハッシュ値が、ICカード95から受信されたユーザ情報に基づいて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、サーバは、デジタル署名が受信されるICカード95が一意に定まる秘密鍵を含むことを決定する。最後に、サーバは、識別マーカの値によって示される検証ステータスを点検し、疑わしいユーザ46が、実際、ICカード95の認可されたユーザであるか否かを決定する。これは、異なったタイプの検証データがICカード95によって受信され、カード95の検証ステータスを識別するために用いられるため、2工程プロセスである。第1の工程において、Rsの値が「01」(整合)である場合、サーバは、疑わしいユーザ46が認可されたユーザなのではないかと推論する。第2の工程において、サーバは、疑わしいユーザ46によって提供された声紋が、ICカード95上に格納された、認可されたユーザの声紋と十分に類似であるか否かを決定するためのビジネスロジックまたはルールベースを用いて、疑わしいユーザ46が認可されたユーザなのではないかと再び推論する。
【0269】
サーバのビジネスロジックおよびルールベースは、RsおよびRb値(PINおよび声紋)の種々の組み合わせを容認するようにプログラミングされ得、疑わしいユーザ46が認可されたユーザなのではないかと推論する。例えば、正確なPIN単独で、正確なPINに加えて声紋が少なくとも70%整合、声紋が95%を超過したが不正確なPIN、および不正確なPINであるが2つの声紋が90%を超過するということは、すべて、サーバが、疑わしいユーザ46が認可されたユーザであると想定し、コンピュータ3202へのアクセスを与えるために十分であり得る異なったタイプの検証ステータスである。明らかに、ビジネスロジックまたはルールベースは、所望される必要な回路に依存して、かなり多様であり得る。
【0270】
ここで、図32bを参照して、ICカード95は、さらに、インターネット3222等の安全でないネットワーク上の安全ななウェブサイトにアクセスする際に、疑わしいユーザ46によって用いられ得る。このさらなる例示において、疑わしいユーザ46が自分の仲介業者3220の安全ななウェブサイト3224にアクセスすることが想定される。ユーザは、この仲介業者との口座をすでに開設している。ウェブサイト3224を運営する仲介業者3220は、アカウントデータベース3225に格納されおよび認可されたユーザのアカウントと関連するICカード95から、認可されたユーザの公開鍵をすでに有している。疑わしいユーザ46は図32aからのコンピュータ3202を用いてウェブサイト3224にアクセスし、カード95は、コンピュータ3202へのアクセスを獲得するために用いられてから、カードリーダ3210から除去されていず、従って、DSFlagは「1」にセットされた状態であることがさらに想定される。
【0271】
ウェブサイト3224にアクセスする場合、疑わしいユーザ46はユーザIDをウェブサイトのログインスクリーンに入力する。ユーザIDは、仲介業者3220が、従来のように、ユーザの適切なアカウントを容易に突き止めることを可能にする。しかしながら、ユーザIDをパスワードと共に暗号化し、その後、暗号化された情報をインターネット上に送信するよりは、むしろ、コンピュータ3202は、ユーザIDをカードリーダ3210を介してICカード95に送信する。ウェブサイト3224がコンピュータ3202に指図して、インターネットを介してウェブサイト3224に直接的に送信させるのではなく、ユーザIDをICカード95に送信させるプロセスは本発明の範囲を超える。しかしながら、このプロセスは、いくつかの異なった方法で容易に達成され得る。1つの例示において、ウェブサイト3224は、適切なICカード95(または、本発明の他のデバイス)を有するユーザによってのみ使用される専用のログインページを有する。この場合、このようなログインページへのユーザIDの入力は、コンピュータ3202に自動的に指図し、ユーザIDを処理するためにICカード95に送信する。あるいは、ウェブサイト3224のためのログインページは、ユーザがIDおよびパスワードを用いて従来型のログインを選択し、または自分のICカード95を用いてログインすることを可能にし得る。上述の例のどちらかにおいて、ユーザIDは、従来のように、コンピュータ3202上のメモリ内の「クッキー」に実際に格納され得る。これは、ユーザが、ウェブサイト3224のログインページ上の一つのボタンをクリックするだけで、コンピュータ3202にユーザIDをICカード95に送信させることを可能にする。
【0272】
ユーザIDを含むメッセージ入力コマンドがICカード95によって受信された場合、ICカード95上のコンピュータチップ50は、識別マーカの現在の値を取り出し、値をユーザIDの前に付加することによって、識別マーカの値を有するカードリーダ3210から受信されたユーザIDを改変し、改変されたユーザIDのハッシュ値を計算し、このハッシュ値を暗号化してデジタル署名を生成し、デジタル署名および識別マーカの値をカードリーダ3210を介してコンピュータ3202に戻す。この場合、DSFlagの値はインクリメントされない。なぜなら、これらの値は、「1」に既にセットされているからである。
【0273】
ユーザID,デジタル署名および識別マーカの値は、その後、処理するために、ECにおいて、コンピュータ3202によってインターネットを介してウェブサイト3224に伝達される。ウェブサイト3224と関連するコンピュータプログラミングは、疑わしいユーザ46が、ユーザIDとアカウントとの整合によって、仲介業者とのアカウントを維持することを最初に確認する。整合するユーザIDを有するアカウントが見出される場合、コンピュータプログラミングは、次に、識別されたアカウントと関連する公開鍵を用いて、デジタル署名を復号化する。デジタル署名から復号化されたハッシュ値が、ICカード95から受信されたユーザIDに基づいていて計算されたハッシュ値と整合する場合、ICカード95から受信された識別マーカの値によって改変されると、デジタル署名が受信されるICカード95は、ユーザのアカウントと対応する一意に定まる秘密鍵を含むことが決定される。最後に、ウェブサイト3224と関連するコンピュータプログラミングは、識別マーカの値によって示される検証ステータスを点検し、疑わしいユーザ46が、実際、ICカード95の認可されたユーザであると決定する。
【0274】
好適には、コンピュータプログラミングは、最初の評価をするために、識別マーカの値からRsの値のみを抽出する。Rsの値が「00」(PIN無し入力)である場合、ウェブサイト3224は、リクエストデータをユーザのPINの入力をリクエストするコンピュータ3202に戻す。Rsの値が「10」(不正確なPIN)である場合、ウェブサイト3224は、疑わしいユーザ46のリクエストを送信し、PINを再入力する。どちらの場合でも、適切なスクリーンがコンピュータ3202のモニタ3206上に表示され、疑わしいユーザ46をPINを入力することを可能にする。このようなPINは、コンピュータ3202のキーボードによってカード95に伝送されるが、インターネット3222上には伝送されないことが再び強調される。Rsの値が「01」(正確なPIN)である場合、ウェブサイト3224は、疑わしいユーザ46が、実際、認可されたユーザであるのではないかと推論し、ウェブサイト3224へのアクセスを与える。従って、単なるウェブサイト3224へのアクセスについては、PINがユーザIDのデジタル署名を生成する直前に入力される必要はない(ウェブサイト3224にアクセスするために、正確なPINの以前の入力で十分である)。
【0275】
他方、ウェブサイト3224を精読した後、「今−認可された」ユーザが、在庫品の購入等、トランザクションをリクエストした場合、ウェブサイト3224は、リクエストされたトランザクションの詳細な確認を伝送し、特に、PINの入力をリクエストし、発注書の特定の承認を確認する。PINが疑わしいユーザ46によって入力された場合、コンピュータ3202は、これをICカード95に提供する。
【0276】
PINを受信すると、制御器64は、PINの予め格納されたデータを、メモリロケーション76内のメモリロケーションデータセル001から最初に取り出し、これを、コンピュータ3202から受信されたPINと比較する。整合/不整合の決定が、その後、制御器64によってなされ、Rsの値が整合を表す「01」または不整合を表す「10」にセットされ、DSFlag(001)も「0」にセットされる。
【0277】
適切な(短い)遅延の後、コンピュータ3202は、その後、メッセージ入力コマンド発注書を含む)をICカード95に送信する。ICカード95上のコンピュータチップ50は、識別マーカの現在の値(この中にRsの値およびDSFlag(001)を含む)を取り出し、メッセージデータの前に値を付加することによって、識別マーカの値を有するコンピュータ3202から受信されたメッセージデータを改変し、改変されたメッセージデータのハッシュ値を計算し、このハッシュ値を暗号化してデジタル署名を生成し、デジタル署名および識別マーカの値をコンピュータ3202にエクスポートし、このコンピュータは、その後、この値をウェブサイト3224上に転送する。コンピュータチップ50は、その後、DSFlagのすべての値を「1」にインクリメントする。本例示において、ウェブサイト3224は、識別マーカの値がその中に「01」のRsの値および「0」のDSFlag(001)の値を含む場合、リクエストされたトランザクションのみを承認する。
【0278】
所望される場合、コンピュータ3202とウェブサイト3224との間の通信は、従来のようにSecure Socket Layering(SSL)プロトコルを用いて実行され得る。このようなプロトコルは、例えば、米国特許第5,848,161号に記載され、本出願は、参考のため、本明細書中に援用される。このようなプロトコルにおいて、コンピュータ3202がSSL通信のセッション鍵を生成する際に用いるための乱数を生成することが一般的である。本発明のさらなる特徴により、ICカード95は、セッション鍵を生成するための乱数を供給するために用いられる。特に、デジタル署名は、ICカード95によって作成され、セッション鍵を生成する目的で、乱数それ自体として用いられる。FIPS PUB 186−2に規定されるDSAおよびECDSAの間接的結果は、結果として生じるデジタル署名それ自体が乱数であることであるということである。pretty good privacy(PGP)暗号化法を用いる通信用のセッション鍵は、さらに、ICカード95のデジタル署名に基づいて生成され得る。
【0279】
ここで、図33を参照して、販売時点ロケーション(point of sale location)でのICカード95の使用が図示される。販売時点カードリーダ3308は、英数字キーパッド3310、ディスプレイ3314、および、この場合、親指の指紋リーダ3312を備える。販売時点カードリーダ3308は、データコネクタ3306を介して、固有のディスプレイ3304を有する業者レジ/端末3302と通信する。販売時点カードリーダ3308は、さらに、インターネット3322等の安全でないネットワーク上で銀行業務を行う機関(baking authority)3320と通信する。銀行業務を行う機関3320は、ICカード95の認可されたユーザの代わりに銀行口座またはクレジットカード口座を維持する金融機関か、またはこのような金融機関の認可された承認代理業者または会計処理組織である。どちらの場合でも、銀行業務を行う機関3320は、データベース3325を維持する。このデータベースは、カード95の公開鍵を、ICカード95の認可されたユーザの対応するアカウントに関連付け、このようなアカウントに対してリクエストされたオンライントランザクションを承認するか、または承認しない権限を有する。
【0280】
商品が疑わしいユーザ46によって購入される場合、業者はレジ/端末3302上に商品を「記録し(ring up)」、ディスプレイ3304上で疑わしいユーザ46に全不足額が表示される。支払うために、疑わしいユーザ46は、ICカード95を販売時点カードリーダ3308に挿入する(またはICカード05をカードリーダ3308の近傍に運ぶ)。挿入する(または近付ける)と、販売時点カードリーダ3308は、上述のカードリーダと同様の方法で初期化される。ICカード95のコンピュータチップ50上の識別マーカおよびすべてのDSFlagは、電力が販売時点カードリーダ3308によってカード95に最初に供給されるとリセットされる。
【0281】
次に、業者のレジ/端末3302は、不足額をデータコネクタ3306を介して販売時点カードリーダ3308に伝送する。販売時点カードリーダ3308は、ディスプレイ3314上に不足額を表示する。1実施形態において、ディスプレイ3314は、さらに、疑わしいユーザ46に指示して、このユーザがデビット口座を用いて支払うことを所望するのか、クレジットカード口座を用いて支払うことを所望するのかを選択させる。代替的実施形態において、販売時点カードリーダ3308は、「口座情報取り出し」コマンドをICカード95に送信する。このICカードは、利用可能な当座預金、クレジットカード、またはコンピュータチップ50上のメモリロケーション80内に維持される、支払が行われ得る他のアカウントの一覧を戻す。この代替的実施形態において、ディスプレイ3314は、疑わしいユーザ46に指示して、支払のために、取り出されたアカウントの一つを選択させる。ディスプレイ3314は、次に、疑わしいユーザ46に指示して、英数字キーパッド3310を用いてPINを入力させ、そのユーザの右手親指を親指の指紋スキャナ3312上に配置させる。PINおよび親指の指紋が入力された場合、販売時点カードリーダ3308は、PINおよび親指の指紋のデジタルバージョンの両方をICカード95に伝送する。カードリーダ3308は、PINの値およびデジタル化された親指の指紋を識別子(例えば、PINが001、および親指の指紋が002)と共に各々について伝送し、従って、カード95が検証データ入力のタイプおよび順序を「知る」。
【0282】
PINおよび親指の指紋のデジタルバージョンがICカード95によって受信された後、カード95上のコンピュータチップ50は、上述の方法で、ICカード95の検証ステータスを識別する。適切な(短い)遅延の後、販売時点カードリーダ3308は、その後、メッセージ入力コマンドをICカード95に送信する。この場合、メッセージ入力コマンドは、購入された商品の領収書、全不足額、および疑わしいユーザ46によって指定される支払い口座を含むメッセージデータを含む。第1の実施形態において、アカウントは、(コンピュータチップ50上の)メモリロケーション80から取り出され、適切な「タグ」を用いてメッセージデータに挿入される。タグは、主要デビット口座番号が用いられるのか、主要クレジットカード口座番号がもちいられるのかを示す。代替的実施形態において、ディスプレイ3314上に表示された利用可能な口座の一覧から、疑わしいユーザ46によって特別に選択された口座の口座番号は、カードリーダ3308から受信されたメッセージデータ内に含まれる。
【0283】
メッセージ入力コマンドがICカード95によって受信される場合、ICカード95上のコンピュータチップ50は、識別マーカの現在の値を(RsおよびDSFlag(001)の値を中に含み、および中にRb(002)およびDSFlag(002)の値を中に含む)取り出し、メッセージデータの前に値を付加することによって、識別マーカの値を有する販売時点カードリーダ3308から受信されたメッセージデータを改変し、改変されたメッセージデータのハッシュ値を計算し、このハッシュ値を暗号化してデジタル署名を生成し、デジタル署名および識別マーカの値を販売時点カードリーダ3308にエクスポートする。コンピュータチップ50は、その後、DSFlagのすべての値を「1」にインクリメントする。デジタル署名、識別マーカの値、およびメッセージデータ(アカウントナンバーおよび購入金額を含む)が、その後、販売時点カードリーダ3308によって、処理するために銀行業務を行う機関3320に伝達される。
【0284】
銀行業務を行う機関3320は、特定のアカウントナンバーが有効アカウントナンバーであることを最初に確認する。銀行業務を行う機関3320は、その後、データベース3325内の識別されたアカウントナンバーと関連付けられた公開鍵を用いて、デジタル署名を復号化する。デジタル署名の復号化されたハッシュ値が、メッセージデータのハッシュ値と整合した場合、ICカード95から受信された識別マーカの値によって改変され、その後、デジタル署名が受信されるICカード95は一意に定まる秘密鍵を含み、領収書および全不足額を含むメッセージデータは改変されない。なぜなら、これは、デジタル的にサインされたからである。
【0285】
次に、銀行業務を行う機関3320は、ICカード95によって提供される識別マーカの値によって示される検証ステータスを点検し、疑わしいユーザ46が、実際、ICカード95の認可されたユーザであるか否かを決定する。これは、2つの異なったタイプの検証データがICカード95によって受信され、ICカード95の検証ステータスを識別するために用いられるという、2工程プロセスである。第1の工程において、Rsの値が「01」(整合)である場合、銀行業務を行う機関3320は、疑わしいユーザ46が認可されたユーザであるのではないかと推論する。第2の工程において、銀行業務を行う機関3320は、ビジネスロジックまたはルールベースを用いて、疑わしいユーザ46によって提供された親指の指紋が、カード95上に格納された、認可されたユーザの親指の指紋と十分に類似であるか否かを決定して、この疑わしいユーザ46が認可されたユーザであるのではないかと再び推論する。
【0286】
銀行業務を行う機関3320のビジネスロジックおよびルールベースは、疑わしいユーザ46を認可されたユーザと容認して、Rs(PIN)の値とRb(002)の値(親指の指紋)との可変の組み合わせに依存し得るようになっている。例えば、正確なPIN単独で、正確なPINに加えて親指の指紋が少なくとも60%整合、親指の指紋が96%を超過したが不正確なPIN、および不正確なPINであるが2つの親指の指紋が90%を超過する(が同一ではない)場合は、すべて異なったタイプの検証ステータスであり、銀行業務を行う機関3320が、カード95によって、疑わしいユーザ46のファクタ BおよびC エンティティ 認証を容認するために十分であり得る。
【0287】
最後に、特定の口座が、リクエストされた購入金額を満たす十分な残高を有し、トランザクションの拒否を保証するファクタ(例えば、盗難が報告されたカード、複製のリクエスト(duplicate request)等)が他に無い場合、銀行業務を行う機関3320がトランザクションの承認を与え、これの確認を販売時点カードリーダ3308に戻す。明らかに、ビジネスロジック、ルールベースおよび、銀行業務を行う機関3320によって考慮に入れられる他のファクタは、銀行業務を行う機関3320によって所望される必要なセキュリティレベルに依存して大きな幅があり得る。
【0288】
(5.さらなるセキュリティおよびプライバシー措置)
(a.不正なディスプレイに対からの保護)
図33に示される例と関連して、ICカード95等のデバイスを用いるリスクは、ICカード95のユーザが、デジタル署名を生成するために、ICカード95を用いて表示されたメッセージの実際の表現を提供するために、販売時点業者の制御の下にあるカードリーダ3308のディスプレイ3314に頼らなければならないという事実である。悪徳業者は、例えば、ある額の購入価格を表示するが、より高い購入価格を有するために、カードリーダ3308によってICカード95に伝送されるメッセージデータを有することが可能である。このような不正のリスクを最小化するために、コンピュータチップ50(図28に示される)が、PDAまたは携帯電話等の、固有のディスプレイを有する(おそらくデバイスの所有者の制御のもとにある)、より高性能なデバイスにインストールされることが望ましい。PDAまたは携帯電話は、そのデジタル署名をデバイスを用いて生成する前にメッセージデータの全テキストを正確に表示するようにプログラミングされ得るので、業者が顧客に1つの購入価格を「提供」するが、実際には異なった購入価格がデジタル的にサインされるベきメッセージ内に含まれることがより困難である。
【0289】
(b.アカウント情報の保護)
ICカード95と異なって、PDAまたは携帯電話は、さらに、はるかに大きい柔軟性およびプライバシーを提供する。例えば、図33の図の参照を続けて、販売時点リーダ3308を有して、ユーザに指示して、主要支払口座の限定された数のみから選択させる代わりに、PDAまたは携帯電話は、ユーザがデバイス上に格納されたすべての支払口座から格納および選択することを可能にする。さらに、販売時点リーダ3308を有して、プライバシーに関わる問題をいくらか発生させるすべての利用可能な支払口座をICカード95から実際に取り出す代わりに、PDAまたは携帯電話は、ユーザがデバイスによって提供されるが、販売時点業者によっては提供されない一覧から口座を選択することを可能にする。しかしながら、販売時点業者が、デバイスによって維持される口座番号の一覧を密かに知ることは決してない。
【0290】
(c.リプレイ攻撃に対する保護)
図29〜図33に示される例のすべてにおいて、ICカード95によって生成されるデジタル署名を受信するパーティは、場合によってはリプレイ攻撃を受ける。リプレイ攻撃は、デバイスから元のデジタル署名がコピーされ、その後、認可されていない方法で再使用される場合に起こる。デジタル署名のオリジナルおよびコピーの両方が、適切な公開鍵を用いて復号化されるので、デジタル署名を受信するパーティは、現物と後のコピーとの間を識別するなんらかの方法を有することを必要とする。
【0291】
記録されたデジタル署名の受け入れを防ぐために、リプレイ攻撃に対して警戒するパーティは、デジタル署名を作成するためのデバイスに送信される各メッセージ入力コマンドの部分として、乱数または一意に定まるメッセージ(例えば、日時、日付および逆の組み合わせ)を含み、乱数または一意に定まるメッセージが、デジタル的にサインされたものの中に含まれることを要求とすることのみを必要とする。これによってデジタル署名を再び受け取るパーティは、メッセージ認証に応答して、デバイスから受信されたデジタル署名が、対応するメッセージ入力コマンドに直接的に応答して、デバイスによって実際に生成されたことを確認することができる。このような技術は、例えば、Federal Information Processing Standards Publication 196、Entity Authentication Using Public Key Cryptography、US DOC/NBS(1997年2月18日出願)(本明細書中では、以後「FIPS PUB 196」)に記載される。本出願は、参考のため、本明細書中に援用され、http//csrc.nist.gov/publications/fipsにてダウンロードして利用可能である。
【0292】
デジタル署名を受信するパーティ(例えば、カードリーダまたは関連する制御器)が、任意の所定の時間にて、および実質的に同時に応答が期待される場合(例えば、デバイスがリーダ内またはリーダの近傍にある場合)に単一の認証セッションに含まれる用途については、期待される時間間隔内に再び受け取られるデジタル署名が、適切な乱数または一意に定まるメッセージを含むことを保証するために十分長い時間、コンピュータメモリ内に乱数または一意に定まるメッセージを維持することのみが必要である。この乱数または一意に定まるメッセージは、唯一のデジタル署名の間有効であり、パーティによって受信される第1のデジタル署名がオリジナルであることが想定され、次の同じデジタル署名は、むしろ不正なコピーであり、そのように扱われることが想定される。
【0293】
デジタル署名を受信するパーティが、例えば、サイトへのエントリーおよび/またはこのサイトを介するトランザクションのために、同時に複数のユーザからリクエストを受け入れるウェブサイトといった、複数の認証セッションに任意の所定の時間において含まれる用途については、このパーティが、デジタル署名を生成するためのすべてのデバイスに発信されたすべての乱数または一意に定まるメッセージのログを維持することが必要である。パーティがこのような乱数または一意に定まる各メッセージを、それが用いられる特定のセッションとリンクすること、または、そうでない場合、関連付けることがさらに必要である。従って、デジタル署名が特定のセッション内に戻ってくると、パーティは、正確な乱数が受信され、かつこのようなセッションに関してデジタル的にサインされたことを確認し得る。
【0294】
乱数の生成は、例えば、FIPS PUB 186−2の付録3に記載される乱数発生器のいずれかを用いて実行され得る。
【0295】
従って、本発明の好適な実施形態、デバイス、および方法の上述の説明を考慮して、本発明が幅広い実用性および用途を許すことが、当業者によって容易に理解される。本明細書中に記載されるもの以外の本発明の複数の方法、実施形態、および改造、および複数の変形、改変および等価の構成が、本発明の趣旨または範囲から逸脱することなく、本発明およびその追従する詳細な説明から明らかであるか、または分かり易く(reasonably)提示される。さらに、種々のプロセスの工程が、好適な順番または時系列で実施されることが場合によっては示されかつ説明されるが、このようなプロセスの工程は、このような特定の順番または順序で実施されることに必ずしも限定されないことが、当業者によって理解されかつ認識される。むしろ、多くの場合、本明細書中に記載されたプロセスの工程は、種々の異なった順番および順序で実施され得る一方で、依然として本発明の範囲内に入る。従って、本発明は、好適な方法およびデバイスに関して、本明細書中で詳細に記載されるが、この詳細な説明は、本発明の例示および模式にすぎず、単に、本発明を完全かつ容易な開示を提供する目的でなされることが理解される。本明細書中で記載される詳細な説明は、本発明を限定すると解釈することも、または、そうでない場合、本発明の任意のそのような他の実施形態、改造、変形、改変および等価の構成を除外すると解釈することも意図されない。本発明は、本明細書に添付の請求項およびその等価物によってのみ限定される。
【図面の簡単な説明】
【図1】
図1は、本発明の概念的な枠組みのブロック図である。
【図2a】
図2aは、本発明の第1の好適な実施形態を示す図である。
【図2b】
図2bは、図2aの実施形態の変形例を示す図である。
【図2c】
図2cは、図2aの実施形態の変形例を示す図である。
【図3】
図3は、図2a、2b、および2cのデバイスの動作の好ましいモードを示す図である。
【図4a】
図4aは、本発明の第2の好適な実施形態を示す図である。
【図4b】
図4bは、図4aの実施形態の変形例を示す図である。
【図4c】
図4cは、図4aの実施形態の変形例を示す図である。
【図5】
図5は、図4a、4b、および4cのデバイスの動作の好ましいモードを示す図である。
【図6a】
図6aは、本発明の第3の好適な実施形態を示す図である。
【図6b】
図6bは、図6aの実施形態の変形例を示す図である。
【図6c】
図6cは、図6aの実施形態の変形例を示す図である。
【図7】
図7は、図6a、6b、および6cのデバイスの動作の好ましいモードを示す図である。
【図8a】
図8aは、本発明の第4の好適な実施形態を示す図である。
【図8b】
図8bは、図8aの実施形態の変形例を示す図である。
【図8c】
図8cは、図8aの実施形態の変形例を示す図である。
【図8d】
図8dは、図8aの実施形態の変形例を示す図である。
【図9】
図9は、図8a、8b、および8cのデバイスの動作の好ましいモードを示す図である。
【図10a】
図10aは、本発明の第5の好適な実施形態を示す図である。
【図10b】
図10bは、図10aの実施形態の変形例を示す図である。
【図10c】
図10cは、図10aの実施形態の変形例を示す図である。
【図11】
図11は、図10a、10b、および10cのデバイスの動作の好ましいモードを示す図である。
【図12a】
図12aは、本発明の第6の好適な実施形態を示す図である。
【図12b】
図12bは、図12aの実施形態の変形例を示す図である。
【図12c】
図12cは、図12aの実施形態の変形例を示す図である。
【図13】
図13は、図12a、12b、および12cのデバイスの動作の好ましいモードを示す図である。
【図14a】
図14aは、本発明の第7の好適な実施形態を示す図である。
【図14b】
図14bは、図14aの実施形態の変形例を示す図である。
【図14c】
図14cは、図14aの実施形態の変形例を示す図である。
【図15】
図15は、図14a、14b、および14cのデバイスの動作の好ましいモードを示す図である。
【図16a】
図16aは、本発明の第8の好適な実施形態を示す図である。
【図16b】
図16bは、図16aの実施形態の変形例を示す図である。
【図16c】
図16cは、図16aの実施形態の変形例を示す図である。
【図17】
図17は、図16a、16b、および16cのデバイスの動作の好ましいモードを示す図である。
【図18a】
図18aは、本発明の第9の好適な実施形態を示す図である。
【図18b】
図18bは、図18aの実施形態の変形例を示す図である。
【図18c】
図18cは、図18aの実施形態の変形例を示す図である。
【図19】
図19は、図18a、18b、および18cのデバイスの動作の好ましいモードを示す図である。
【図20a】
図20aは、本発明の予め格納されたデータの好ましいフォーマットを示す図である。
【図20b】
図20bは、本発明の予め格納されたデータの好ましいフォーマットを示す図である。
【図20c】
図20cは、本発明の予め格納されたデータの好ましいフォーマットを示す図である。
【図21a】
図21aは、本発明の検証データの好ましいフォーマットを示す図である。
【図21b】
図21bは、本発明の検証データの好ましいフォーマットを示す図である。
【図21c】
図21cは、本発明の検証データの好ましいフォーマットを示す図である。
【図22】
図22は、本発明の好ましい比較および検証ステータス識別プロセスを示す図である。
【図23a】
図23aは、本発明の好ましい比較および検証ステータス識別プロセスを示す図である。
【図23b】
図23bは、本発明の好ましい比較および検証ステータス識別プロセスを示す図である。
【図24】
図24は、本発明の好ましい比較および検証ステータス識別プロセスを示す図である。
【図25a】
図25aは、本発明の識別マーカの好ましいフォーマットを示す図である。
【図25b】
図25bは、本発明の識別マーカの好ましいフォーマットを示す図である。
【図26】
図26は、本発明の識別マーカの好ましいフォーマットを示す図である。
【図27】
図27は、本発明による、仮定的な一連の検証データ入力から得られる、識別マーカーの表である。
【図28】
図28は、コンピュータチップを用いる本発明のインプリメンテーション内の好ましいデータフローチャートである。
【図29】
図29は、ICカードを用いる、本発明の第1の特定のインプリメンテーションを示す図である。
【図30】
図30は、ICカードを用いる、本発明の第2の特定のインプリメンテーションを示す図である。
【図31】
図31は、ICカードを用いる、本発明の第3の特定のインプリメンテーションを示す図である。
【図32a】
図32aは、ICカードを用いる、本発明の第4および第5の特定のインプリメンテーションを示す図である。
【図32b】
図32bは、ICカードを用いる、本発明の第4および第5の特定のインプリメンテーションを示す図である。
【図33】
図33は、ICカードを用いる、本発明の第6の特定のインプリメンテーションを示す図である。
Claims (316)
- デバイスの検証ステータスを提供する方法であって、
(a)デバイス内で、該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、該デバイスに入力された検証データおよび該デバイス内に予め格納されたデータの関数として識別する工程であって、該検証データを表す該所定の検証ステータスの1つは、該予め格納されたデータと同じであり、該検証データを表す少なくとも1つの他の検証ステータスは、該予め格納されたデータとは異なる、工程と、
(b)識別された検証ステータスに関わらず、該識別された検証ステータスを該デバイスの外部の電子装置に伝送する工程と、
を包含する方法。 - 前記識別された検出ステータスのインジケータを、前記デバイスから出力する工程をさらに包含する、請求項1に記載の方法。
- エンティティ認証に関する検証ステータスを提供する方法であって、
(a)エンティティの検証データを含む入力をデバイス内に受信する工程と、
(b)該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、該デバイス内の該検証データおよび予め格納されたデータの関数としてデバイス内で識別する工程であって、該検証データを表す該所定の検証ステータスの1つは、該予め格納されたデータと同じであり、該検証データを表す該検証データの少なくとも1つの他の検証ステータスは、該予め格納されたデータとは異なる、工程と、
(c)識別された検証ステータスに関わらず、該識別された検証ステータスのインジケータを該デバイスから出力する工程と、
を包含する方法。 - 第1のエンティティを第2のエンティティに対して認証する方法であって、
(a)デバイスの検証素子内で、
(i)該検証素子の個人専用化の間に、該第1のエンティティのデータを格納する工程と、
(ii)該デバイス内で入力された検証データを後から受信する工程と、
(iii)該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、該検証データおよび予め格納されたデータの関数として識別する工程であって、該検証データを表す1つの検証ステータスは、該格納されたデータと同じであること、および該検証データを表す少なくとも1つの他の検証ステータスは、該格納されたデータとは異なること、を含む、工程と、
(b)該識別された検証ステータスに関わらず、該識別された検証ステータスを該第2のエンティティに伝達する工程と、
を包含する方法。 - 前記識別された検証ステータスを前記第2のエンティティに伝達する工程は、該識別された検証ステータスのインジケータを前記検証素子から出力する工程と、該出力されたインジケータを該第2のエンティティに伝送する工程と、を包含する、請求項4に記載の方法。
- エンティティ認証に関する検証ステータスを提供する方法であって、
(a)デバイスの検証ステータスを、該デバイスに該予め格納されたデータおよび後から入力された検証データの関数として識別するために、エンティティの予め格納されたデータをデバイス内に維持する工程と、
(b)所定の期間の間、任意の検証データの入力が無いことを表す該デバイスの現在の検証ステータスをデバイス内で識別する工程と、
(c)該識別された検証ステータスのインジケータを評価するために、該インジケータを該デバイスから出力する工程と、
を包含する、方法。 - (a)検証データを含む入力を、前記デバイス内に受信する工程と、
(b)該受信された検証データと前記予め格納されたデータとを比較することによって、該デバイス内で、該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを識別する工程と、
(c)該識別された検証ステータスのインジケータを評価するために、該インジケータを該デバイスから再び出力する工程であって、第2のインジケータは、該比較に基づいて、該識別された検証ステータスを示す、工程と、
をさらに包含する、請求項6に記載の方法。 - 前記デバイスの前記複数の所定の検証ステータスのうちの1つの検証ステータスは、前記予め格納されたデータと同じ前記検証データを表し、少なくとも1つの他の所定の検証ステータスは、該予め格納されたデータとは異なる該検証データを表す、請求項7に記載の方法。
- 前記インジケータのデジタル署名を生成する工程と、該デジタル署名を前記デバイスから出力する工程と、をさらに包含する、請求項2、3、5または7に記載の方法。
- 前記予め格納されたデータは、機密を含む、請求項2、3、5または6に記載の方法。
- 前記予め格納されたデータは、バイオメトリックデータを含む、請求項2、3、5または6に記載の方法。
- 前記現在の検証ステータスとして識別された該検証ステータスは、前記検証データまたは前記予め格納されたデータのどちらかを示すことなく、該検証データと該予め格納されたデータとの間の関係の一致を表す、請求項1、3、4または7に記載の方法。
- 前記予め格納されたデータはバイオメトリックデータを含む、請求項1、3、4または6に記載の方法。
- 前記デバイスは、該デバイスの複数のユーザに関するデータを予め格納する、請求項1、3、4または6に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を包含する、請求項1に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を包含する、請求項3に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を包含する、請求項4に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を包含する、請求項7に記載の方法。
- 前記デバイス内でデジタル署名を生成する工程と、該デバイスから該デジタル署名および前記識別マーカの値を出力する工程と、をさらに包含する、請求項15、16、17または18に記載の方法。
- 前記識別マーカの値に基づいて、前記デジタル署名が生成される、請求項19に記載の方法。
- 前記デジタル署名は、前記識別マーカの値から分離して前記デバイスから出力される、請求項19に記載の方法。
- 予め格納されたデータは、バイオメトリックデータを含み、バイオメトリックデータのタイプを表す値が前記識別マーカに割り当てられる、請求項15、16、17または18に記載の方法。
- 前記識別された検証ステータスに基づいて、前記電子装置内に組み込まれたビジネスロジックを用いてリクエストを評価する工程をさらに包含する、請求項1に記載の方法。
- 前記出力されたインジケータに基づいて、リクエストを受信および評価する工程をさらに包含する、請求項3に記載の方法。
- 前記伝達された検証ステータスに基づいて、リクエストを受信および評価する工程をさらに包含する、請求項4に記載の方法。
- 前記出力されたインジケータに基づいて、リクエストを受信および評価する工程をさらに包含する、請求項6に記載の方法。
- 前記出力されたインジケータに基づいて、リクエストを受信および評価する工程をさらに包含する、請求項7に記載の方法。
- デバイスの検証ステータスを提供する方法であって、
(a)該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、該デバイスに入力されたバイオメトリック検証データおよび該デバイス内に予め格納されたバイオメトリックデータの関数として該デバイス内で識別する工程と、
(b)識別された該検証ステータスに関わらず、該識別された検証ステータスのインジケータを該デバイスの外部の電子装置に伝送する工程であって、該インジケータは、該検証データまたは該予め格納されたデータのどちらかを示すことなく、該識別された検証ステータスを示す、工程と、
を包含する、方法。 - 前記識別された検証ステータスの前記インジケータを、前記デバイスから出力する工程をさらに包含する、請求項28に記載の方法。
- エンティティ認証に関する検証ステータスを提供する方法であって、
(a)エンティティのバイオメトリック検証データを含む入力をデバイス内に受信する工程と、
(b)デバイス内で、該デバイスの複数の所定の検証ステータスの中から、現在の検証ステータスを、該デバイス内の該検証データおよび予め格納されたバイオメトリックデータの関数として識別する工程と、
(c)識別された該検証ステータスに関わらず、該検証ステータスのインジケータを該デバイスから出力する工程であって、該インジケータは、該検証データまたは該予め格納されたデータのどちらかを示すことなく、該識別された検証ステータスを示す、工程と、
を包含する、方法。 - 第1のエンティティを第2のエンティティに対して認証する方法であって、
(a)デバイスの検証素子内で、
(i)該検証素子の個人専用化の間に、該第1のエンティティのバイオメトリックデータを格納する工程と、
(ii)該デバイス内に入力されたたイオメトリック検証データを後から受信する工程と、
(iii)該デバイスの複数の検証ステータスのうちの現在の検証ステータスを、該検証データおよび予め格納されたデータの関数として識別する工程と、
(b)該識別された検証ステータスに関わらず、該識別された検証ステータスのインジケータを該検証素子から出力すること、および該出力されたインジケータを該第2のエンティティに伝送することによって、該識別された検証ステータスを該第2のエンティティに伝達する工程であって、該インジケータは、該検証データまたは該予め格納されたデータのどちらかを示すことなく、該識別された検証ステータスを示す(reveal)、工程と、
を包含する方法。 - エンティティ認証に関する検証ステータスを提供する方法であって、
(a)デバイスの検証ステータスを、予め格納されたデータおよび該デバイス内に後から入力されたバイオメトリック検証データの関数として識別するために、エンティティの予め格納されたバイオメトリックデータをデバイス内に維持する工程と、
(b)所定の期間の間、任意の検証データの入力が無いことを表す該デバイスの現在の検証ステータスを該デバイス内で識別する工程と、
(c)該識別された検証ステータスのインジケータを評価するために、該インジケータを該デバイスから出力する工程と、
(d)検証データを含む入力を該デバイス内に受信する工程と、
(e)該受信された検証データと該予め格納されたデータとを比較することによって、該デバイス内で、該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを該デバイス内で識別する工程と、
(f)該識別された検証ステータスのインジケータを評価するために、該インジケータを該デバイスから再び出力する工程であって、第2のインジケータは、該比較に基づいて、該識別された検証ステータスを示すが、該検証データおよび該予め格納されたデータを示さない、工程と、
を包含する方法。 - 前記デバイスの前記複数の所定の検証ステータスからの1つの検証ステータスは、前記予め格納されたデータと同じ前記検証データを表し、少なくとも1つの他の所定の検証ステータスは、該予め格納されたデータとは異なる該検証データを表す、請求項28、30、31または32に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を含む、請求項28に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を含む、請求項30に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を含む、請求項31に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を含む、請求項32に記載の方法。
- バイオメトリックデータのタイプを表す値が前記識別マーカに割り当てられる、請求項34、35、36または37に記載の方法。
- 前記識別マーカに、成功した検証と等しくされた値が割り当てられ、インジケータは、該識別マーカの割り当てられた値を含む、請求項35または37に記載の方法。
- デバイスは、デジタル署名を生成する、請求項39に記載の方法。
- 割り当てられた値は、前記デバイスに検証データが最後に入力されてから、デジタル署名が該デバイスによって生成されたか否かをさらに表す、請求項40に記載の方法。
- 前記識別された検証ステータスに基づいて、前記電子装置内に組み込まれたビジネスロジックを用いてリクエストを評価する工程をさらに包含する、請求項28に記載の方法。
- 前記出力されたインジケータに基づいて、リクエストを受信および評価する工程をさらに包含する、請求項30に記載の方法。
- 前記伝達された検証ステータスに基づいて、リクエストを受信および評価する工程をさらに包含する、請求項31に記載の方法。
- 前記出力されたインジケータに基づいて、リクエストを受信および評価する工程をさらに包含する、請求項32に記載の方法。
- デバイスの検証ステータスを提供する方法であって、
(a)デジタル署名を生成するデバイス内で、該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを識別する工程と、
(b)識別された検証ステータスの関数としてのメッセージのためのデジタル署名を該デバイス内に生成する工程であって、該デバイス内で、該メッセージを表すデータを、該デバイスの該識別された検証ステータスの関数として改変する工程を包含し、該生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む、工程と、
(c)該生成されたデジタル署名を該デバイスの外部の電子装置に伝送する工程と、
を包含する、方法。 - 前記現在の検証ステータスを識別する工程は、前記デバイスに入力された検証データおよび該デバイス内に予め格納されたデータの関数として識別する工程である、請求項46に記載の方法。
- エンティティの認証に関する検証ステータスを提供する方法であって、
(a)デジタル署名を生成するデバイス内で、エンティティの検証データを含む入力を受信する工程と、
(b)該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、該検証データおよび該デバイス内に予め格納されたデータの関数として該デバイス内で識別する工程と、
(c)該デバイス内で、該識別された検証ステータスの関数としてのメッセージのためのデジタル署名を生成する工程であって、該デバイス内で、該メッセージを表すデータを、該デバイスの該識別された検証ステータスの関数として改変する工程を包含し、該生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む工程と、
(d)該生成されたデジタル署名を該デバイスから出力する工程と、
を包含する、方法。 - 第1のエンティティを第2のエンティテに対して認証する方法であって、
(a)デジタル署名を生成するデバイスの検証素子内で、
(i)該検証素子の個人専用化の間に、該第1のエンティティのデータを格納する工程と、
(ii)該デバイス内に受信された検証データを後から受信する工程と、
(iii)該デバイスの複数の所定の検証ステータスのうちの現在の検証を、該検証データおよび該デバイス内で予め格納されたデータの関数として識別する工程と、
(iv)該識別された検証ステータスの関数としてのメッセージのためのデジタル署名を該デバイス内に生成する工程であって、該デバイス内で、該メッセージを該デバイスの該識別された検証ステータスの関数として表すデータを改変する工程を包含し、該生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む、工程と、
(v)該生成されたデジタル署名を該検証素子から出力する工程と、
(b)該生成された該デジタル署名を該第2のエンティティに伝送することによって、該識別された検証ステータスを該第2のエンティティに伝達する工程と、
を包含する方法。 - エンティティ認証に関する検証ステータスを提供する方法であって、
(a)デバイスの検証ステータスを、該デバイスに予め格納されたデータおよび後から入力された検証データの関数として識別するために、エンティティの予め格納されたデータをデバイス内に維持する工程と、
(b)期間の間、任意の検証データの入力が無いことを表す該デバイスの現在の検証ステータスを該デバイス内で識別する工程と、
(c)公開−秘密鍵の対の秘密鍵を用いて、メッセージのためのデジタル署名を該デバイス内に生成し、該生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む、工程と、
(d)該生成されたデジタル署名を評価するために、該生成されたデジタル署名を該デバイスから出力する工程と、
を包含する、方法。 - (a)検証データを含む入力を前記デバイス内に受信する工程と、
(b)該デバイスの複数の所定の検証ステータスうちの現在の検証ステータスを、該受信された検証データおよび該予め格納されたデータの関数として該デバイス内で識別する工程と、
(c)該識別された検証ステータスの関数としてのメッセージのための別のデジタル署名を該デバイス内に生成する工程であって、該デバイスの該識別された検証ステータスの関数としての該メッセージを表すデータを、該デバイス内で改変する工程を含み、第2の生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む、工程と、
(d)該第2の生成されたデジタル署名を評価するために、該第2の生成されたデジタル署名を該デバイスから出力する工程と、
をさらに包含する、請求項50に記載の方法。 - 前記デジタル署名を生成する工程は、公開−秘密鍵の対の秘密鍵を用いて、前記改変されたデータを、前記デバイス内で暗号化する工程をさらに包含する、請求項46、48、49または51に記載の方法。
- 前記デジタル署名を生成する工程は、公開−秘密鍵の対の秘密鍵を用いて、前記改変されたデータに関して、該デバイス内で計算されたメッセージダイジェストを前記デバイス内で暗号化する工程を含む、請求項46、48、49または51に記載の方法。
- 改変されたデータのための前記デジタル署名を前記デバイスから出力するが、該改変されたデータは出力しない工程をさらに包含する、請求項46、48、49および51に記載の方法。
- 前記メッセージを表す前記データは、該メッセージのハッシュ値を含む、請求項46、48、49または50に記載の方法。
- 前記メッセージを表す前記データは、該メッセージのメッセージダイジェストを含む、請求項46、48、49または50に記載の方法。
- 前記メッセージを表す前記データは、前記デバイス内に格納される、請求項46、48、49または50に記載の方法。
- 前記メッセージは、前記デバイスのユーザによって該デバイス内に作成される、請求項46、48、49または50に記載の方法。
- 前記メッセージの一部分は、前記デバイスの外部のI/Oサポートエレメント内に作成され、該デバイスは、次に、該メッセージの該部分を表す入力を、該デバイスのインターフェースを介して該デバイスに伝送する、請求項46、48、49または50に記載の方法。
- 前記メッセージの残りの部分は、前記デバイス内に作成される、請求項59に記載の方法。
- 前記メッセージは、前記デバイスの外部のI/Oサポートエレメント内に作成され、該デバイスは、次に、該メッセージを表す前記入力を該デバイスのインターフェースを介して該デバイスに伝送する、請求項46、48、49または50に記載の方法。
- 前記I/Oサポートエレメントは、販売時点の端末を含む、請求項61に記載の方法。
- 前記I/Oサポートエレメントは、バイオメトリックスキャナを含む、請求項61に記載の方法。
- 前記I/Oサポートエレメントは、カードリーダを含む、請求項61に記載の方法。
- 前記I/Oサポートエレメントは、コンピュータを含む、請求項61に記載の方法。
- ユーザによるレビューおよび承認のために、前記メッセージを前記デバイスのディスプレイ画面上に表示する工程をさらに包含する、請求項61に記載の方法。
- 最後に成功した検証の後の所定の期間に続いて、検証データが前記デバイスに入力されることを必要とする工程をさらに包含する、請求項46、48、49または51に記載の方法。
- メッセージの特定のタイプの各1つについて、検証データが前記デバイスに入力されることを必要とする工程をさらに包含する、請求項46、48、49または51に記載の方法。
- 前記特定のタイプのメッセージは、金融トランザクションに関するリクエストである、請求項68に記載の方法。
- 他のタイプのメッセージに関して、検証データが前記デバイスに入力されることを必要としない工程をさらに包含する、請求項68に記載の方法。
- 所定の期間の間、検証データが前記デバイスに入力されることを必要としない工程をさらに包含する、請求項46、48、49または51に記載の方法。
- 前記所定の期間は、メッセージ内に具体化されたリクエストの承認と、前記デバイスの電源が切られるまでの間の時間を含む、請求項71に記載の方法。
- 前記生成されたデジタル署名を用いて、前記メッセージを認証する工程をさらに包含し、該工程は、
(a)リクエストが具体化された該メッセージを表すデータを、前記デバイスの疑わしい検証ステータスの関数として改変する工程と、
(b)メッセージダイジェストを該改変されたデータの関数として計算する工程と、
(c)公開−秘密鍵の対の該公開鍵を用いて、前記生成されたデジタル署名を復号化する工程と、
(d)該計算されたメッセージダイジェストが該復号化されたデジタル署名と整合する場合、該デバイスの検証ステータスを該デバイスの該疑わしい検証ステータスとして結論を下す工程と、
を包含する、請求項46、48、49または51に記載の方法。 - 前記デバイスの前記複数の所定の検証ステータスのうちの1つの検証ステータスは、前記予め格納されたデータと同じ該検証データを表し、少なくとも1つの他の所定の検証ステータスは、該予め格納されたデータとは異なる該検証データを表す、請求項47、48、49または51に記載の方法。
- 前記識別された検証ステータスの前記インジケータは、前記予め格納されたデータおよび前記検証データのどちらも示さない、請求項47、48、49または51に記載の方法。
- 前記メッセージは、金融トランザクションの実行に関する、請求項46、48、49または50に記載の方法。
- 前記メッセージは、訴訟の実行に関する、請求項46、48、49または50に記載の方法。
- 前記メッセージは、予め定義され、かつ静的である、請求項46、48、49または50に記載の方法。
- 前記メッセージは、前記デバイス内に予め格納される、請求項46、48、49または50に記載の方法。
- 前記メッセージは、前記検証データである、請求項46、48、49または50に記載の方法。
- 前記メッセージは、物理的空間へのアクセスに関するリクエストである、請求項46、48、49または50に記載の方法。
- 前記メッセージは、ウェブサイトへのアクセスに関するリクエストである、請求項46、48、49または50に記載の方法。
- 前記メッセージは、データベースへのアクセスに関するリクエストである、請求項46、48、49または50に記載の方法。
- 前記メッセージは、コンピュータプログラムへのアクセスに関するリクエストである、請求項46、48、49または50に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を包含する、請求項46に記載の方法。
- 前記現在の検証ステータスを識別する工程は、前記デバイス内に入力された検証データおよび該デバイス内に予め格納されたデータの関数として識別する工程を含む、請求項85に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を包含する、請求項48に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を包含する、請求項49に記載の方法。
- 前記識別する工程は、前記所定の検証ステータスに対応する所定の値のセットからの値と等しくなるように、前記デバイス内の識別マーカに割り当てられる工程を包含する、請求項51に記載の方法。
- 前記デジタル署名を生成する工程は、公開−秘密鍵の対の秘密鍵を用いて、前記改変されたデータに関して、該デバイス内で計算されたメッセージダイジェストを前記デバイス内で暗号化する工程を含む、請求項85、87、88または89に記載の方法。
- 前記現在の検証ステータスを前記検証データおよび前記予め格納されたデータの関数として識別する工程は、該検証データと該予め格納されたデータとを比較することを含む、請求項86、87または88に記載の方法。
- 前記デバイスの前記複数の所定の検証ステータスのうちの1つの検証ステータスは、前記予め格納されたデータと同じ前記検証データを表し、少なくとも1つの他の所定の検証ステータスは、該予め格納されたデータとは異なる該検証データを表す、請求項86、87、88または89に記載の方法。
- 前記格納されたデータは、機密を含む、請求項86、87、88または89に記載の方法。
- 前記予め格納されたデータは、バイオメトリックデータを含む、請求項86、87、88または89に記載の方法。
- バイオメトリックデータのタイプを表す値が識別マーカに割り当てられる、請求項94に記載の方法。
- 前記改変する工程は、前記識別マーカに割り当てられた前記値を、前記メッセージを表す前記データ内に埋め込む工程を包含する、請求項85、87、88または89に記載の方法。
- 前記改変する工程は、前記識別マーカに割り当てられた前記値を、前記メッセージを表す前記データの後尾に追加する工程を包含する、請求項85、87、88または89に記載の方法。
- 前記改変する工程は、前記識別マーカに割り当てられた前記値を、前記メッセージを表す前記データの開始部分の後に追加する工程を包含する、請求項97に記載の方法。
- 前記改変する工程は、前記識別マーカに割り当てられた前記値を、前記メッセージを表す前記データの最後の部分の後に追加する工程を包含する、請求項97に記載の方法。
- 成功した検証と等しい値が前記識別マーカに割り当てられ、該割り当てられた値は、前記デバイスに検証データが最後に入力されてから、デジタル署名が生成されたか否かをさらに表す、請求項86、87、88または89に記載の方法。
- 前記生成されたデジタル署名は、インジケータを含む、請求項100に記載の方法。
- 前記生成されたデジタル署名に基づいて、前記電子装置内に組み込まれたビジネスロジックを用いてリクエストを評価する工程をさらに包含する、請求項46に記載の方法。
- 現在の検証ステータスを識別する工程は、デバイスに入力された検証データおよび該デバイス内に予め格納されたデータの関数として識別される工程を包含する、請求項102に記載の方法。
- 前記生成されたデジタル署名に基づいて、リクエストを受信および評価する工程をさらに包含する、請求項48に記載の方法。
- 前記生成されたデジタル署名に基づいて、リクエストを受信および評価する工程をさらに包含する、請求項49に記載の方法。
- 前記生成されたデジタル署名に基づいて、リクエストを受信および評価する工程をさらに包含する、請求項51に記載の方法。
- (a)検証データを含む入力をデバイス内に受信する工程と、
(b)該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、前記受信された検証データおよび前記予め格納されたデータの関数として該デバイス内で識別する工程と、
(c)該デバイス内で、該識別された検証ステータスの関数としてのメッセージのためのデジタル署名を生成する工程であって、該デバイス内で、該メッセージを表すデータを、該デバイスの該識別された検証ステータスの関数として改変する工程を包含し、第2の生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む、工程と、
(d)該第2の生成されたデジタル署名を該デバイスから出力する工程と、
(e)該第2の生成されたデジタル署名に基づいて、前記リクエストを評価する工程と、
をさらに包含する、請求項106に記載の方法。 - 前記デジタル署名を生成する工程は、公開−秘密鍵の対の秘密鍵を用いて、前記改変されたデータを、前記デバイス内で暗号化する工程をさらに包含する、請求項102、104、105または107に記載の方法。
- 前記デジタル署名を生成する工程は、公開−秘密鍵の秘密鍵を用いて、前記改変されたデータに関して、該デバイス内で計算されたメッセージダイジェストを前記デバイス内で暗号化する工程を含む、請求項102、104、105または107に記載の方法。
- 現在の検証ステータスとして識別された該検証ステータスは、検証データまたは予め格納されたデータのどちらかを示すことなく、検証データと前記予め格納されたデータとの間の関係の一致を表す、請求項109に記載の方法。
- 前記予め格納されたデータは、機密を含む、請求項102、104、105または106に記載の方法。
- 前記予め格納されたデータは、バイオメトリックデータを含む、請求項102、104、105または106に記載の方法。
- デバイスの検証ステータスを提供する方法であって、
(a)デジタル署名を生成するデバイス内で、該デバイスの複数の検証ステータスのうちの検証ステータスを、該デバイス内に予め格納されたデータおよび後から入力された検証データの関数として識別する工程であって、該工程は、
(i)機密を表す検証データと該デバイス内に予め格納された該データとを比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第1の比較マーカに割り当てる工程と、
(ii)バイオメトリックデータを表す検証データと該デバイス内に予め格納された該データとを比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第2の比較マーカに割り当てる工程と、を包含する工程と、を包含する工程と、
(b)メッセージのためのデジタル署名を該デバイス内に生成する工程であって、該デバイス内で、該メッセージを表すデータを、該第1および該第2の比較マーカに割り当てられた該値の関数として改変する工程を包含し、該生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む、工程と、
(c)該生成されたデジタル署名を該デバイスの外部の電子装置に伝送する工程と、
を包含する、方法。 - エンティティ認証に関する検証ステータスを提供する方法であって、
(a)デジタル署名を生成するデバイス内で、エンティティの検証データを含む入力を受信し、該検証データは、機密およびバイオメトリックデータの両方を表す、工程と、
(b)該デバイスの複数の検証ステータスのうちの1つの検証ステータスを、該デバイス内に予め格納されたデータの関数として該デバイス内で識別する工程であって、該工程は、
(i)該機密を表す検証データと該デバイス内に予め格納された該データとを比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第1の比較マーカに割り当てる工程と、
(ii)バイオメトリックデータを表す検証データと該デバイス内に予め格納された該データとを比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第2の比較マーカに割り当てる工程と、
を包含する工程と、
(c)メッセージのためのデジタル署名を該デバイス内に生成する工程であって、該メッセージを表すデータを、該第1および該第2の比較マーカに割り当てられた該値の関数として該デバイス内で改変する工程を包含し、該生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む、工程と、
(d)該生成されたデジタル署名を該デバイスから出力する工程と、
を包含する、方法。 - 第1のエンティティを第2のエンティティに対して認証する方法であって、
(a)デジタル署名を作成するデバイスの検証素子内で、
(i)該検証素子の個人専用化の間に、該第1のエンティティのデータを格納する工程であって、該予め格納されたデータは、該第1のエンティティの機密およびバイオメトリックデータを表す、工程と、
(ii)該デバイス内に入力された検証データを後から受信する工程と、
(iii)該デバイスの複数の所定の検証ステータスのうちの現在の検証ステータスを、該予め格納されたデータおよび検証データの関数として識別する工程と、
(A)該機密を表す検証データと該デバイス内に予め格納されたデータとを比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第1の比較マーカに割り当てる工程と、
(B)バイオメトリックデータを表す検証データと該デバイス内に格納されたデータとを比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第2の比較マーカに割り当てる工程と、を包含する工程と、
(iv)メッセージのためのデジタル署名を該デバイス内で生成する工程であって、該メッセージを表すデータを、該第1および該第2の比較マーカに割り当てられた該値の関数として該デバイス内で改変し、該生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む、工程と、
(v)該生成されたデジタル署名を該検証素子から出力する工程と、を包含する、工程と、
(b)該生成されたデジタル署名を該第2のエンティティに伝送することによって、該識別された検証ステータスを該第2のエンティティに伝達する工程と、
を包含する、方法。 - デバイスの検証ステータスを提供する方法であって、
(a)デジタル署名を生成するデバイス内で、複数の該デバイスの検証ステータスのうちの1つの検証ステータスを、該デバイス内に予め格納されたデータおよび後から入力された検証データの関数として識別する工程であって、該工程は、
(i)機密を表す検証データと該デバイス内に予め格納された該データとを該デバイス内で比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第1の識別マーカを割り当てる工程と、
(ii)バイオメトリックデータを表す検証データと該デバイス内に予め格納された該データとを比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第2の比較マーカに割り当てる工程と、を包含する工程と、
(b)メッセージのためのデジタル署名を該デバイス内で生成する工程であって、該メッセージを表すデータを、該第1および該第2の比較マーカに割り当てられた該値のうちの1つのみの関数として該デバイス内で改変する工程を包含し、該生成されたデジタル署名は、該識別された検証ステータスのインジケータを含む、工程と、
(c)該第1および該第2の比較マーカに割り当てられた値の他の値を、該デバイスの外部の電子装置に伝送する工程と、
を包含する方法。 - エンティティ認証に関する検証ステータスを提供する方法であって、
(a)デジタル署名を生成するデバイス内で、エンティティの検証データを含む入力を受信する工程であって、該検証データは、機密およびバイオメトリックデータの両方を表す、工程と、
(b)該デバイスの複数の検証ステータスのうちの1つの検証ステータスを、該デバイス内に予め格納されたデータおよび該デバイスに後から入力された検証データの関数として該デバイス内で識別する工程であって、該工程は、
(i)該機密を表す検証データと該デバイス内に予め格納された該データとを比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第1の比較マーカに割り当てる工程と、
(ii)バイオメトリックデータを表す検証データと該デバイス内に予め格納された該データとを比較し、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第2の比較マーカに割り当てる、工程と、を包含する工程と、
(c)メッセージを表すデータを該第1および該第2の比較マーカに割り当てられた値のうちの1つのみの関数として該デバイス内で改変する工程と、
(d)該生成されたデジタル署名が該識別された検証ステータスのインジケータを含むように、該改変されたデータを暗号化することによって、該メッセージのためのデジタル署名を該デバイス内で生成する工程と、
(e)該生成されたデジタル署名、ならびに該第1および該第2の比較マーカに割り当てられた該値の他の値を該デバイスから出力する工程と、
を包含する、方法。 - 第1のエンティティを第2のエンティティに対して認証する方法であって、
(a)デジタル署名を作成するデバイスの検証素子内で、
(i)該検証素子の個人専用化の間、該第1のエンティティのデータを格納し、該予め格納されたデータは、該第のエンティティの機密およびバイオメトリックデータの両方を表す工程と、
(ii)該デバイス内に入力された検証データを後から受信する工程と、
(iii)該デバイスの複数の検証ステータスのうちの現在の検証ステータスを、該予め格納されたデータおよび検証データの関数として識別する工程であって、該工程は、
(A)該機密を表す検証データと該デバイス内に予め格納されたデータとを比較して、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第1の比較マーカを割り当てる工程と、
(B)バイオメトリックデータを表す検証データと該デバイス内に格納されたデータとを比較して、該比較に基づいて、所定の値のセットからの値と等しくなるように、該デバイス内の第2の比較マーカに割り当てる工程と、を包含する工程と、を包含する、工程と、
(iv)メッセージを表すデータを、該第1および該第2の比較マーカに割り当てられた該値のうちの1つのみの関数として該デバイス内で改変する工程と、
(v)該生成されたデジタル署名が該識別された検証ステータスのインジケータを含むように、該改変されたデータを暗号化することによって、該メッセージのためのデジタル署名を該デバイス内で改変する工程と、
(vi)該生成されたデジタル署名および該第1および該第2の比較マーカに割り当てられた値の他の値を該検証素子から出力する工程と、を包含する、工程と、
(b)該生成されたデジタル署名を該第2のエンティティに伝送することによって、該識別された検証ステータスを該第2のエンティティに伝達する工程と、
を包含する、方法。 - 前記デジタル署名を生成する工程は、公開−秘密鍵の対の秘密鍵を用いて、改変されたデータを前記デバイス内で暗号化する工程をさらに包含する、請求項113、114、115、116、117または118に記載の方法。
- 前記デジタル署名を生成する工程は、公開−秘密鍵の対の秘密鍵を用いて、改変されたデータに関して、前記デバイス内で計算されたメッセージを該デバイス内で暗号化する工程を包含する、請求項113、114、115、116、117または118に記載の方法。
- 前記比較の結果が、正確な整合を含む整合である場合、成功した検証と等しくされた値が前記第1の比較マーカに割り当てられる、請求項113、114、115、116、117または118に記載の方法。
- 前記割り当てられた値は、機密を表す検証データが前記デバイスに最後に入力されてから、デジタル署名が生成されたか否かをさらに表す、請求項121に記載の方法。
- 機密を表す任意の検証データが、所定の期間内に前記デバイスに入力されたか否かを示す値が前記第1の比較マーカに割り当てられる、請求項121に記載の方法。
- 前記所定の期間は、検証が最後に成功してからの時間を含む、請求項123に記載の方法。
- 前記所定の期間は、前記デバイスがリセットされてからの時間を含む、請求項123に記載の方法。
- 前記比較の結果が整合であるが、正確な整合でない場合、成功した検証と等しくされた値が前記第2の比較マーカに割り当てられる、請求項113、114、115、116、117または118に記載の方法。
- 前記割り当てられた値は、比較の結果が整合になったことに続いて、デジタル署名が生成されたか否かをさらに表す、請求項126に記載の方法。
- 前記機密を表す前記検証データと前記格納されたデータとの間の前記比較から決定された差異を表す値が前記第1の比較マーカに割り当てられる、請求項113、114、115、116、117または118に記載の方法。
- 前記バイオメトリックデータを表す前記検証データと前記格納されたデータとの間の整合の程度を表す値が前記第2の比較マーカに割り当てられる、請求項113、114、115、116、117または118に記載の方法。
- 前記値は、前記バイオメトリックデータを表す前記検証データと前記予め格納されたデータとの間の整合のパーセンテージと等しくされる、請求項129に記載の方法。
- デバイスに入力されたバイオメトリックデータのタイプをさらに表す値が前記第2の比較マーカに割り当てられる、請求項129に記載の方法。
- 前記比較の結果が正確な整合であった場合、失敗した検証と等しくされた値が前記第2の比較マーカに割り当てられる、請求項113、114、115、116、117または118に記載の方法。
- 前記比較の結果がほぼ整合であった場合、成功した検証と等しくされた値が前記第2の比較マーカに割り当てられる、請求項113、114、115、116、117または118に記載の方法。
- 前記割り当てられた値は、前記比較の結果がほぼ整合であったことに続いて、デジタル署名が生成されたか否かをさらに表す、請求項133に記載の方法。
- 前記割り当てられた値は、バイオメトリックデータを表す検証データが最後にデバイスに入力されてから、デジタル署名が生成されたか否かをさらに表す、請求項133に記載の方法。
- 前記割り当てられた値は、バイオメトリックデータを表す任意の検証データが所定の期間内にデバイスに入力されたか否かをさらに表す、請求項133に記載の方法。
- 前記所定の期間は、最後に成功した検証からの時間を含む、請求項136に記載の方法。
- 前記所定の期間は、前記デバイスがリセットされてからの時間を含む、請求項136に記載の方法。
- 前記第1の比較マーカに割り当てられた前記値を出力する工程をさらに包含する、請求項113、114、115、116、117または118に記載の方法。
- 前記第2の比較マーカに割り当てられた前記値を出力する工程をさらに包含する、請求項113、114、115、116、117または118に記載の方法。
- 前記第1および前記第2の比較マーカに割り当てられた値を出力する工程をさらに包含する、請求項113、114、115、116、117または118に記載の方法。
- 前記改変する工程は、前記第1の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データ内に埋め込む工程を包含する、請求項113、114、115、116、117または118に記載の方法。
- 前記改変する工程は、前記第1の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データの後に付加する工程を包含する、請求項113、114、115、116、117または118に記載の方法。
- 前記改変する工程は、前記第1の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データの開始部分の後に付加する工程を包含する請求項143に記載の方法。
- 前記改変する工程は、前記第1の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データの後尾に付加する工程を包含する、請求項143に記載の方法。
- 前記改変する工程は、前記第2の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データ内に埋め込む工程を包含する、請求項113、114、115、116、117または118に記載の方法。
- 前記改変する工程は、前記第2の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データの後に付加する工程を包含する、請求項113、114、115、116、117または118に記載の方法。
- 前記第2の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データの開始部分の後に付加する工程を包含する、請求項147に記載の方法。
- 前記改変する工程は、前記第2の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データの後尾に付加する、請求項147に記載の方法。
- 前記改変する工程は、前記第1および前記第2の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データ内に埋め込む工程を包含する、請求項113、114または115に記載の方法。
- 前記改変する工程は、前記第1および前記第2の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データの後に付加する、請求項113、114または115に記載の方法。
- 前記改変する工程は、前記第1および前記第2の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データの開始部分の後に付加する工程を包含する、請求項151に記載の方法。
- 前記改変する工程は、前記第1および前記第2の比較マーカに割り当てられた前記値を、前記メッセージを表す前記データの後尾に付加する、請求項151に記載の方法。
- 前記所定の期間は、最後に成功した検証からの時間を含む、請求項6、32、51、89または107に記載の方法。
- 前記所定の期間は、成功した検証に続いて、固定された時間間隔を含む、請求項6、32、51、89または107に記載の方法。
- 前記所定の期間は、前記デバイスがリセットされてからの時間を含む、請求項6、32、51、89または107に記載の方法。
- 前記現在の検証ステータスを、前記検証データおよび前記予め格納されたデータの関数として識別する工程は、前記検証データと該予め格納されたデータとを比較する工程を包含する、請求項1、3、4、28、30、31、47、48、49、103、104または105に記載の方法。
- 前記デバイス内でデジタル署名を生成する工程、および該デバイスから該デジタル署名を出力する工程をさらに包含する、請求項2、3、5、7、28、30または31に記載の方法。
- 前記生成されたデジタル署名は、前記インジケータを含む、請求項158に記載の方法。
- (a)メッセージを表すデータを、前記デバイスの前記識別された検証ステータスの関数として該デバイス内で改変する工程と、
(b)該改変されたデータのメッセージダイジェストを該デバイス内で計算する工程と、
(c)前記公開−秘密鍵の対の秘密鍵を用いて、該計算されたメッセージダイジェストを該デバイス内で暗号化し、該メッセージのためのデジタル署名を生成し、該生成されたデジタル署名は、該識別された検証ステータスの該インジケータを含む、工程と、
を包含する、請求項2、3、5、7、28、30、31または32に記載の方法。 - 前記デバイスによって受信された外部照会に応答して、該デバイスは、デジタル署名を生成する、請求項160に記載の方法。
- 前記メッセージを表すデータの受信に応答して、前記デバイスは、デジタル書名を生成する、請求項160に記載の方法。
- 前記検証データを含む入力の受信に応答して、前記デバイスは、デジタル署名を生成する、請求項160に記載の方法。
- 前記インジケータは、前記デバイスの単一の検証ステータスを決定的に指す、請求項2、3、5、6、28、30、31、32、47、48、49、51、85、87、88、89、104、105、106または107に記載の方法。
- 前記インジケータは、前記検証データまたは前記予め格納されたデータのうちのどちらかを示すことなく、前記識別された検証ステータスを示す、請求項2、3、5、6、28、30、31、32、47、48、49、51、86、87、88または89に記載の方法。
- 前記デバイスに入力される検証データは、前記デバイスからエクスポートできない、請求項1、3、4、7、28、30、31、32、47、48、49または51に記載の方法。
- 前記デバイスの外部のI/Oサポートエレメント内に前記検証データを受信し、該検証データを含む該入力を該I/Oサポートエレメントから該デバイスに伝送する工程をさらに包含する、請求項1、3、4、7、28、30、31、32、47、48、49または51に記載の方法。
- 前記I/Oサポートエレメントは、販売時点の端末を含む、請求項167に記載の方法。
- 前記I/Oサポートエレメントは、バイオメトリックスキャナを含む、請求項167に記載の方法。
- 前記I/Oサポートエレメントは、カードリーダを含む、請求項167に記載の方法。
- 前記I/Oサポートエレメントは、コンピュータを含む、請求項167に記載の方法。
- 前記予め格納されたデータは、前記デバイスからエクスポートできない、請求項1、3、4、6、28、30、31、32、47、48、49または50に記載の方法。
- 前記予め格納されたデータは、デジタル化された指紋を表す、請求項172に記載の方法。
- 前記予め格納されたデータは、デジタル化された手形または手の形状を表す、請求項172に記載の方法。
- 前記予め格納されたデータは、デジタル化された網膜を表す、請求項172に記載の方法。
- 前記予め格納されたデータは、デジタル化された虹彩を表す、請求項172に記載の方法。
- 前記予め格納されたデータは、デジタル化された声紋を表す、請求項172に記載の方法。
- 前記予め格納されたデータは、デジタル化された顔の走査を表す、請求項172に記載の方法。
- 前記予め格納されたデータは、デジタル化された手書きの署名を表す、請求項172に記載の方法。
- 前記予め格納されたデータは、デジタル化されたDNAサンプルを表す、請求項172に記載の方法。
- 前記デバイスは、検証データを入力するためのバイオメトリックスキャナを備える、請求項172に記載の方法。
- 前記デバイスは、複数の異なったタイプのバイオメトリックデータに関するデータを予め格納する、請求項172に記載の方法。
- 前記異なったタイプの前記バイオメトリックデータは、前記デバイスの一人のユーザに関する、請求項182に記載の方法。
- 前記異なったタイプの前記バイオメトリックデータは、それぞれ、前記デバイスの異なったユーザに関する、請求項182に記載の方法。
- 前記予め格納されたデータは、前記デバイスの認可されたユーザに関する、請求項1、3、4、6、28、30、31、32、47、48、49または50に記載の方法。
- 前記予め格納されたデバイスは、ユーザのパーソナルデバイスである、請求項185に記載の方法。
- 前記デバイスの前記検証ステータスは、該デバイスによって受信された外部照会に応答して識別される、請求項1、3、4、6、28、30、31、32、46、48、49、50、85、87、88または89に記載の方法。
- 前記デバイスは、デバイスインターフェースを備える、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスインターフェースは、英数字キーパッドを備える、請求項188に記載の方法。
- 前記デバイスインターフェースは、電気接点を備える、請求項188に記載の方法。
- 前記デバイスインターフェースは、タッチスクリーンディスプレイを備える、請求項188に記載の方法。
- 前記デバイスインターフェースは、コンピュータバスを有する標準的電子インターフェースを備える、請求項188に記載の方法。
- 前記デバイスインターフェースは、アンテナを備える、請求項188に記載の方法。
- 前記デバイスインターフェースは、前記デバイスのポートを備える、請求項188に記載の方法。
- 前記ポートは、無線通信ポートである、請求項194に記載の方法。
- 前記ポートは、シリアルポートである、請求項194に記載の方法。
- 前記ポートは、USBポートである、請求項194に記載の方法。
- 前記ポートは、パラレルポートである、請求項194に記載の方法。
- 前記ポートは、赤外線ポートである、請求項194に記載の方法。
- 前記デバイスは、ポータブルである、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、ハンドヘルドデバイスを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、コンピュータチップを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、集積回路を含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、携帯電話を含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、PDAを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、デジタル化された鍵を含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、ドングルを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、皮下生め込みを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、装身具を含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、集積回路カードを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、クレジットカードを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、デビットカードを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、セキュリティカードを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、IDバッジを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記デバイスは、コンピュータを含む、請求項1、3、4、6、28、30、31、32、46、48、49または50に記載の方法。
- 前記識別マーカの前記値を前記デバイスから出力する工程をさらに包含する、請求項15、16、17、18、34、35、36、37、85、87、88または89に記載の方法。
- 前記検証データと前記予め格納されたデータとの間の比較から決定された差異を表す値が前記識別マーカに割り当てられる、請求項15、16、17、18、34、35、36、37、86、87、88または89に記載の方法。
- 前記検証データと前記予め格納されたデータとの間の整合の程度を表す値が前記識別マーカに割り当てられる、請求項15、16、17、18、34、35、36、37、86、87、88または89に記載の方法。
- 前記検証データと前記予め格納されたデータとの間の整合のパーセンテージと等しくされた値が前記識別マーカに割り当てられる、請求項218に記載の方法。
- 前記検証データと前記予め格納されたデータとの間の比較の結果が整合である場合、成功した検証と等しくされた値が前記識別マーカに割り当てられる、請求項15、16、17、18、34、35、36、37、85、86、87、88または89に記載の方法。
- 前記整合は、正確な整合である、請求項220に記載の方法。
- 前記比較の結果が正確な整合でない場合、失敗した検証と等しくされた値が前記識別マーカに割り当てられる、請求項220に記載の方法。
- 前記整合は、ほぼ整合であり、正確な整合ではない、請求項220に記載の方法。
- 前記検証データと前記予め格納されたデータとの間の比較の結果が整合でない場合、失敗した検証と等しくされた値が前記識別マーカに割り当てられる、請求項15、16、17、18、34、35、36、37、86、87、88または89に記載の方法。
- 所定の期間内に、任意の識別データが前記デバイスに入力されたか否かを表す値が前記識別マーカに割り当てられる、請求項15、16、17、18、34、35、36、37、86、87、88または89に記載の方法。
- 前記所定の期間は、最後に成功した検証からの時間を含む、請求項225に記載の方法。
- 前記所定の期間は、デバイスがリセットされてからの時間を含む請求項225に記載の方法。
- 成功した検証と等しくされた値に前記検証マーカが割り当てられ、該割り当てられた値は、該成功した検証に続いてインジケータが出力されたか否かをさらに表す、請求項15、16、17、18、34、35、36、37、85、87、88または89に記載の方法。
- 成功した検証と等しくされた値に検証マーカが割り当てられ、該割り当てられた値は、検証データが前記デバイスに最後に入力されてから出力されたか否かをさらに表す、請求項15、16、17、18、34、35、36、37、85、87、88または89に記載の方法。
- 前記リクエストは、前記インジケータの受信に固有である、請求項24、26、42、43、44または45に記載の方法。
- 前記リクエストを評価する工程は、前記デバイスが前記検証ステータスを識別する確実性のレベルを考慮する工程を含む、請求項23、24、25、26、42、43、44、45、102、104、105または106に記載の方法。
- 前記リクエストは、訴訟の実行に関する、請求項23、24、25、26、42、43、44、45、102、104、105または106に記載の方法。
- 前記リクエストは、予め定義され、かつ静的である、請求項23、24、25、26、42、43、44、45、102、104、105または106に記載の方法。
- 前記リクエストは、物理的空間へのアクセスに関する、請求項23、24、25、26、42、43、44、45、102、104、105または106に記載の方法。
- 前記リクエストは、ウェブサイトへのアクセスに関する、請求項23、24、25、26、42、43、44、45、102、104、105または106に記載の方法。
- 前記リクエストは、データベースへのアクセス関する、請求項23、24、25、26、42、43、44、45、102、104、105または106に記載の方法。
- 前記リクエストは、コンピュータプログラムへのアクセス関する、請求項23、24、25、26、42、43、44、45、102、104、105または106に記載の方法。
- 前記リクエストは、電子通信において受信される、請求項23、24、25、26、42、43、44、45、102、104、105または106に記載の方法。
- 前記リクエストは、電子通信の前記受信において暗黙である、請求項238に記載の方法。
- 前記リクエストは、メッセージに埋め込まれる、請求項239に記載の方法。
- 特定のタイプのリクエストの各1つについて、前記検証データが前記デバイスに入力されることを必要とする工程をさらに包含する、請求項23、24、25、27、42、43、44、45、103、104、105または107に記載の方法。
- 特定のタイプのリクエストについて、検証データが前記デバイスに入力されることを必要とするが、リクエストの前記評価の結果が承認になるまでのみ必要とし、その後、所定の期間の間、このようなタイプのさらなるリクエストに関して、検証データが該デバイスに入力されることを必要としない、請求項23、24、25、27、42、43、44、45、103、104、105または107に記載の方法。
- 前記特定のタイプのリクエストは、金融トランザクションの実行に関する、請求項242に記載の方法。
- 他のタイプのリクエストに関して、検証データが前記デバイスに入力されることを必要としない工程をさらに包含する、請求項242に記載の方法。
- 前記所定の期間は、前記リクエストの前記承認と前記デバイスのリセットとの間の時間を含む、請求項242に記載の方法。
- 前記デバイスは、前記方法の前記工程を実行するというコンピュータによって実行可能なインストラクションを有する、コンピュータにより読み出し可能な媒体を備える、請求項1、3、4,6、7、15、16、17、18、23、24、25、26、28、30、31、32、34、35、36、37、42、43、44、45、46、48、49、50、51、85、87、88、89、102、103、104、105または106に記載の方法。
- 前記デバイスは、前記方法の前記工程を実行する集積回路を備える、請求項1、3、4,6、7、15、16、17、18、23、24、25、26、28、30、31、32、34、35、36、37、42、43、44、45、46、48、49、50、51、85、87、88、89、102、103、104、105または106に記載の方法。
- 前記デバイスは、前記方法の前記工程を実行するコンピュータチップを備える、請求項1、3、4,6、7、15、16、17、18、23、24、25、26、28、30、31、32、34、35、36、37、42、43、44、45、46、48、49、50、51、85、87、88、89、102、103、104、105または106に記載の方法。
- コンピュータにより読み出し可能な媒体を備えるデバイスであって、該媒体は、請求項1、3、4、6、7、15、16、17、18、28、30、31、32、34、35、36、37、46、48、49、50、51、85、87、88または89に記載の方法の工程を実行するという、コンピュータによって実行可能なインストラクションを含む、デバイス。
- 請求項1、3、4、6、7、15、16、17、18、28、30、31、32、34、35、36、37、46、48、49、50、51、85、87、88または89に記載の方法の工程を実行するための回路を含むデバイス。
- 請求項1、3、4、6、7、15、16、17、18、28、30、31、32、34、35、36、37、46、48、49、50、51、85、87、88または89に記載の方法の工程を実行するための手段を含むデバイス。
- デジタル署名アルゴリズムを用いて、その後、乱数を必要とする用途における乱数として、該生成されたデジタル署名を用いて、前記デバイス内にデジタル署名を生成する工程をさらに包含する、請求項1、3、4、6、7、28、30、31、32、46、48、49、50または51に記載の方法。
- 前記デジタル署名を乱数として用いて、リプレイアタックから保護する工程をさらに包含する、請求項252に記載の方法。
- 前記デジタル署名を用いて、暗号化された通信のセッション鍵を生成する工程をさらに包含する、請求項252に記載の方法。
- デジタル署名を生成するデバイスの現在の検証ステータスを決定する方法であって、
(a)デジタル署名を受信する工程と、
(b)公開−秘密鍵の対の秘密鍵を用いて、該デジタル署名を復号化する工程と、
(c)該デバイスの複数の所定の検証ステータスの各1つについて、メッセージを表すデータを、該所定の検証ステータスの関数として改変する工程と、
(d)該デバイスの現在の該検証ステータスを、該改変されたデータが復号化されたデジタル署名と整合する該所定の検証ステータスであるとして識別する工程と、
を包含する、方法。 - デジタル署名を生成するデバイスの現在の検証ステータスを決定する方法であって、
(a)デジタル署名を受信する工程と、
(b)公開−秘密鍵の対の秘密鍵を用いて、該デジタル署名を復号化する工程と、
(c)該デバイスの複数の所定の検証ステータスの各1つについて、
(i)メッセージを表すデータを、該所定の検証ステータスの関数として改変する工程と、
(ii)メッセージダイジェストを該改変されたデータの関数として計算する工程と、
(d)該デバイスの該現在の検証ステータスを、該計算されたメッセージダイジェストが復号化されたデジタル署名と整合する該所定の検証ステータスであるとして識別される工程と、
を包含する、方法。 - 前記デジタル署名を受信する工程に加えて、前記メッセージを表す前記データを受信する工程をさらに包含する、請求項256に記載の方法。
- 前記デジタル署名を受信する工程に加えて、前記メッセージを表す前記データを受信する工程をさらに包含する、請求項255または256に記載の方法。
- 前記メッセージは予め定義される、請求項255または256に記載の方法。
- 前記検証ステータスの各1つは、前記デバイスに入力された検証データと該デバイス内に予め格納されたデータとの間の関係の一致を表す、請求項255または256に記載の方法。
- 各検証ステータスは、現在の検証データが決定される該デバイスの検証データまたは予め格納されたデータのうちのどちらかを示さない、請求項260に記載の方法。
- 前記現在の検証ステータスは、リクエストと関連する、請求項255または256に記載の方法。
- 前記リクエストは、金融トランザクションに関する、請求項262に記載の方法。
- 前記リクエストは、訴訟の実行に関する、請求項262に記載の方法。
- 前記リクエストは、予め定義され、かつ静的である、請求項262に記載の方法。
- 前記リクエストは、物理的空間にアクセスする、請求項262に記載の方法。
- 前記リクエストは、ウェブサイトにアクセスする、請求項262に記載の方法。
- 前記リクエストは、データベースにアクセスする、請求項262に記載の方法。
- 前記リクエストは、コンピュータプログラムにアクセスする、請求項262に記載の方法。
- 前記現在の検証ステータスに基づいて、前記リクエストを受信し、かつ前記リクエストを評価する工程をさらに包含する、請求項262に記載の方法。
- 前記リクエストを評価する工程は、前記デバイスの確実性のレベルを考慮する工程を包含する、請求項270に記載の方法。
- 前記リクエストは、前記デジタル署名の受信において暗黙である、請求項270に記載の方法。
- 前記リクエストは、電子通信媒体を介して伝達される、請求項270に記載の方法。
- 前記電子通信媒体は、コンピュータネットワークを含む、請求項273に記載の方法。
- 前記所定の検証ステータスのうちの1つは、失敗した検証を表す、請求項255または256に記載の方法。
- 前記所定の検証ステータスのうちの1つは、成功した検証を表す、請求項255または256に記載の方法。
- 前記所定の検証ステータスのうちの1つは、検証データが前記デバイスに最後に入力されてから、該デバイスによってデジタル署名が生成されたか否かをさらに表す、請求項276に記載の方法。
- 前記所定の検証ステータスのうちの1つは、前記デバイスに入力された検証データと該デバイス内に予め格納されたデータとの比較に続いて、デジタル署名が生成されたか否かをさらに表す、請求項277に記載の方法。
- 前記所定の検証ステータスのうちの1つは、所定の期間内に、検証データが前記デバイスに入力されたか否かをさらに表す、請求項278に記載の方法。
- 前記所定の期間は、最後に成功した検証からの時間を含む、請求項279に記載の方法。
- 前記所定の期間は、前記デバイスがリセットされてからの時間を含む、請求項279に記載の方法。
- 前記所定の検証ステータスのうちの1つは、前記デバイスに入力された検証データと該デバイス内に予め格納されたデータとの間の差異を表す、請求項255または256に記載の方法。
- 前記所定の検証ステータスのうちの1つは、前記デバイスに入力されたバイオメトリック検証データと該デバイス内に予め格納されたバイオメトリックデータとの間の整合の程度を表す、請求項255または256に記載の方法。
- 前記所定の検証ステータスのうちの1つは、前記デバイスに入力されたバイオメトリック検証データと該デバイス内に予め格納されたバイオメトリックデータとの間の整合のパーセンテージをさらに表す、請求項283に記載の方法。
- 前記所定の検証ステータスのうちの1つは、前記デバイスに検証データが最後に入力されてから、デジタル署名が該デバイスによって生成されたか否かをさらに表す、請求項283に記載の方法。
- 前記所定の検証ステータスのうちの1つは、前記デバイスに入力された検証データと該デバイス内に予め格納されたデータとの比較に続いて、デジタル署名が生成されたか否かをさらに表す、請求項283に記載の方法。
- 前記所定の検証ステータスのうちの1つは、所定の期間内に、任意の検証データが前記デバイスに入力されたか否かを表す、請求項283に記載の方法。
- 前記所定の期間は、最後に成功した検証からの時間を含む、請求項287に記載の方法。
- 前記所定の期間は、前記デバイスがリセットされてからの時間を含む、請求項287に記載の方法。
- 前記デバイスは、ユーザのパーソナルデバイスである、請求項255または256に記載の方法。
- 前記デバイスは、ハンドヘルドデバイスである、請求項255または256に記載の方法。
- 請求項255または256に記載の方法の工程を実行するというコンピュータにより実行可能なインストラクションを含む、コンピュータにより読み出し可能な媒体を含む電子装置。
- 請求項255または256に記載の方法の工程を実行するための回路を備える、電子装置。
- 請求項255または256に記載の方法を実行するための手段を備える、電子装置。
- 前記デジタル署名は、デジタル署名アルゴリズムを用いて生成され、該受信されたデジタル署名を、乱数を必要とする用途において乱数として用いる工程をさらに包含する、請求項255または257に記載の方法。
- 前記デジタル署名を乱数として用いて、リプレイアタックから保護する工程をさらに包含する、請求項295に記載の方法。
- 前記デジタル署名を用いて、暗号化された通信のためのセッション鍵を生成する、請求項295に記載の方法。
- コンピュータチップ内にデジタル署名を生成する方法であって、メッセージを表すデータを受信する工程と、該メッセージのためのデジタル署名を
(a)さらなるデータを用いてメッセージデータを改変する工程と、
(b)その後、該コンピュータチップ内に格納された公開−秘密鍵の対の秘密鍵を用いて、該改変されたメッセージデータを暗号化する工程と、
によって生成する工程とを包含する、方法。 - コンピュータチップ内にデジタル署名を生成する方法であって、メッセージを表すデータを受信する工程と、該メッセージのためのデジタル署名を
(a)さらなるデータを後に付加することによって、メッセージデータを改変する工程と、
(b)該改変されたメッセージのハッシュ値を計算する工程と、
(c)その後、公開−秘密鍵の対の秘密鍵を用いて、該計算されたハッシュ値を暗号化する工程と、
によって生成する工程とを包含する、方法。 - 前記改変する工程は、前記メッセージデータの後に前記さらなるデータを付加する工程を含む、請求項298または299に記載の方法。
- 前記改変する工程は、前記メッセージデータ内にさらなるデータを埋め込む工程を包含する、請求項298または299に記載の方法。
- 前記さらなるデータは、前記コンピュータチップのメモリ内に予め格納されるデータを含む、請求項298または299に記載の方法。
- 前記メッセージデータは、前記コンピュータチップのメモリ内に予め格納されたデータのフィールドに対応するフィールド識別子を含み、該フィールド識別子は、零値を有し、該メッセージデータを改変する工程は、フィールド識別子によって識別されたメモリロケーション内に格納された値を取り出す工程と、該フィールド識別子内の該メッセージデータ内に該取り出された値を埋め込む工程とを包含する、請求項298または299に記載の方法。
- 前記さらなるデータが格納された前記コンピュータチップの前記メモリは、コンテンツ検索可能なメモリである、請求項303に記載の方法。
- 前記メッセージデータは、XMLを書式設定を含む、請求項303に記載の方法。
- コンピュータチップからユーザ情報を抽出する方法であって、該コンピュータチップは、データの異なったフィールドが予め格納されるコンテンツ検索可能なメモリを含み、該コンピュータチップ内に予め格納されたデータの特定のフィールドの識別子を、その零値と共に伝送する工程を包含する、方法。
- 前記コンピュータチップに伝送された前記識別子および零値は、XML書式設定を含む、請求項306に記載の方法。
- 乱数を必要とする用途において利用するために乱数を取得する方法であって、デジタル署名アルゴリズムを用いてデジタル署名を生成する工程と、その後、該生成されたデジタル署名を該用途において該乱数として用いる工程と、を包含する、方法。
- 前記デジタル署名を乱数として用いて、リプレイアタックから保護する工程をさらに包含する、請求項308に記載の方法。
- 前記デジタル署名を用いて、安全な電子通信のためのセッション鍵を生成する工程をさらに包含する、請求項308に記載の方法。
- 前記デジタル署名は、コンピュータチップ内に生成される、請求項308に記載の方法。
- 前記コンピュータチップは、乱数発生器を備える、請求項309に記載の方法。
- 前記デジタル署名は、公開−秘密鍵の対の秘密鍵を用いて、前記コンピュータチップ内に生成され、乱数が前記乱数発生器から取得される、請求項310に記載の方法。
- 前記デジタル署名を生成するために、楕円カーブデジタル署名アルゴリズム(elliptical curve digital signature algorithm)が利用される、請求項311に記載の方法。
- 乱数発生器は、コンピュータチップの外部からは、直接的にアクセスできない、請求項312に記載の方法。
- 乱数発生器は、デジタル署名回路によってのみアクセスできる、請求項312に記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US22307600P | 2000-08-04 | 2000-08-04 | |
PCT/US2001/041562 WO2002013116A1 (en) | 2000-08-04 | 2001-08-06 | Entity authentication in electronic communications by providing verification status of device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004506361A true JP2004506361A (ja) | 2004-02-26 |
Family
ID=22834916
Family Applications (6)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002518685A Withdrawn JP2004506380A (ja) | 2000-08-04 | 2001-08-06 | 人中心アカウントベースのデジタル署名システム |
JP2002518668A Withdrawn JP2004517381A (ja) | 2000-08-04 | 2001-08-06 | 電子契約のために電子通信を用いる方法およびシステム |
JP2002518678A Withdrawn JP2004506245A (ja) | 2000-08-04 | 2001-08-06 | デバイスの公開鍵と製造中の情報とのリンク |
JP2002518399A Withdrawn JP2004506361A (ja) | 2000-08-04 | 2001-08-06 | デバイスの検証ステータスを提供することによる電子通信におけるエンティティ認証 |
JP2002518677A Withdrawn JP2004519874A (ja) | 2000-08-04 | 2001-08-06 | 信頼された認証デジタル署名(tads)システム |
JP2002518667A Withdrawn JP2004515840A (ja) | 2000-08-04 | 2001-08-06 | アクセス認証エンティティ用の方法および装置 |
Family Applications Before (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002518685A Withdrawn JP2004506380A (ja) | 2000-08-04 | 2001-08-06 | 人中心アカウントベースのデジタル署名システム |
JP2002518668A Withdrawn JP2004517381A (ja) | 2000-08-04 | 2001-08-06 | 電子契約のために電子通信を用いる方法およびシステム |
JP2002518678A Withdrawn JP2004506245A (ja) | 2000-08-04 | 2001-08-06 | デバイスの公開鍵と製造中の情報とのリンク |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002518677A Withdrawn JP2004519874A (ja) | 2000-08-04 | 2001-08-06 | 信頼された認証デジタル署名(tads)システム |
JP2002518667A Withdrawn JP2004515840A (ja) | 2000-08-04 | 2001-08-06 | アクセス認証エンティティ用の方法および装置 |
Country Status (6)
Country | Link |
---|---|
US (15) | US7500272B2 (ja) |
EP (6) | EP1316168A4 (ja) |
JP (6) | JP2004506380A (ja) |
AU (8) | AU8716401A (ja) |
CA (6) | CA2418050C (ja) |
WO (6) | WO2002013444A2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016092522A (ja) * | 2014-10-31 | 2016-05-23 | 株式会社アドバンテスト | 認証システム、認証方法およびサービス提供システム |
JP2016537879A (ja) * | 2013-11-04 | 2016-12-01 | アップル インコーポレイテッド | Nfcに基づく支払のための生体認証の使用 |
Families Citing this family (764)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8015597B2 (en) * | 1995-10-02 | 2011-09-06 | Corestreet, Ltd. | Disseminating additional data used for controlling access |
US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
US7357312B2 (en) * | 1998-05-29 | 2008-04-15 | Gangi Frank J | System for associating identification and personal data for multiple magnetic stripe cards or other sources to facilitate a transaction and related methods |
US6131811A (en) | 1998-05-29 | 2000-10-17 | E-Micro Corporation | Wallet consolidator |
US7083087B1 (en) | 2000-09-18 | 2006-08-01 | E-Micro Corporation | Method and apparatus for associating identification and personal data for multiple magnetic stripe cards or other sources |
US6816968B1 (en) * | 1998-07-10 | 2004-11-09 | Silverbrook Research Pty Ltd | Consumable authentication protocol and system |
US7194092B1 (en) * | 1998-10-26 | 2007-03-20 | Microsoft Corporation | Key-based secure storage |
US7174457B1 (en) * | 1999-03-10 | 2007-02-06 | Microsoft Corporation | System and method for authenticating an operating system to a central processing unit, providing the CPU/OS with secure storage, and authenticating the CPU/OS to a third party |
JP2003524220A (ja) | 1998-12-23 | 2003-08-12 | ジェイピーモルガン・チェース・バンク | 取引書類の作成、処理、及びトラッキングを含む取引活動を統合するためのシステム及び方法 |
US7578439B2 (en) * | 1999-08-19 | 2009-08-25 | E2Interactive, Inc. | System and method for authorizing stored value card transactions |
US8706630B2 (en) | 1999-08-19 | 2014-04-22 | E2Interactive, Inc. | System and method for securely authorizing and distributing stored-value card data |
US8793160B2 (en) | 1999-12-07 | 2014-07-29 | Steve Sorem | System and method for processing transactions |
AU2001270169A1 (en) | 2000-06-30 | 2002-01-14 | Plurimus Corporation | Method and system for monitoring online computer network behavior and creating online behavior profiles |
US7266684B2 (en) * | 2000-08-08 | 2007-09-04 | Wachovia Corporation | Internet third-party authentication using electronic tickets |
US7058641B1 (en) * | 2000-08-08 | 2006-06-06 | Franz Gregory J | Information distribution system and method |
US7689560B2 (en) * | 2000-10-13 | 2010-03-30 | Miosoft Corporation | Persistent data storage techniques |
US7831467B1 (en) | 2000-10-17 | 2010-11-09 | Jpmorgan Chase Bank, N.A. | Method and system for retaining customer loyalty |
US7134016B1 (en) * | 2000-11-14 | 2006-11-07 | Harris Scott C | Software system with a biometric dongle function |
US20020083012A1 (en) * | 2000-11-16 | 2002-06-27 | Steve Bush | Method and system for account management |
US7802174B2 (en) | 2000-12-22 | 2010-09-21 | Oracle International Corporation | Domain based workflows |
US7937655B2 (en) * | 2000-12-22 | 2011-05-03 | Oracle International Corporation | Workflows with associated processes |
US8015600B2 (en) * | 2000-12-22 | 2011-09-06 | Oracle International Corporation | Employing electronic certificate workflows |
US7475151B2 (en) * | 2000-12-22 | 2009-01-06 | Oracle International Corporation | Policies for modifying group membership |
US7085834B2 (en) * | 2000-12-22 | 2006-08-01 | Oracle International Corporation | Determining a user's groups |
US7581011B2 (en) * | 2000-12-22 | 2009-08-25 | Oracle International Corporation | Template based workflow definition |
US7213249B2 (en) * | 2000-12-22 | 2007-05-01 | Oracle International Corporation | Blocking cache flush requests until completing current pending requests in a local server and remote server |
US7415607B2 (en) * | 2000-12-22 | 2008-08-19 | Oracle International Corporation | Obtaining and maintaining real time certificate status |
US7711818B2 (en) * | 2000-12-22 | 2010-05-04 | Oracle International Corporation | Support for multiple data stores |
PL345054A1 (en) * | 2001-01-11 | 2002-07-15 | Igor Hansen | Personal database system and method of managing the access to such database |
US7451116B2 (en) * | 2001-03-07 | 2008-11-11 | Diebold, Incorporated | Automated transaction machine digital signature system and method |
US8261975B2 (en) | 2001-03-07 | 2012-09-11 | Diebold, Incorporated | Automated banking machine that operates responsive to data bearing records |
US7711122B2 (en) * | 2001-03-09 | 2010-05-04 | Arcot Systems, Inc. | Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys |
US7908304B2 (en) * | 2001-03-15 | 2011-03-15 | Versata Development Group, Inc. | Method and system for managing distributor information |
US7958024B2 (en) * | 2001-03-15 | 2011-06-07 | Versata Development Group, Inc. | Method and apparatus for processing sales transaction data |
US20030018481A1 (en) * | 2001-03-15 | 2003-01-23 | Cheng Zhou | Method and apparatus for generating configurable documents |
US7925513B2 (en) * | 2001-03-15 | 2011-04-12 | Versata Development Group, Inc. | Framework for processing sales transaction data |
US8849716B1 (en) | 2001-04-20 | 2014-09-30 | Jpmorgan Chase Bank, N.A. | System and method for preventing identity theft or misuse by restricting access |
US20020198994A1 (en) * | 2001-05-15 | 2002-12-26 | Charles Patton | Method and system for enabling and controlling communication topology, access to resources, and document flow in a distributed networking environment |
AU2002312381A1 (en) | 2001-06-07 | 2002-12-16 | First Usa Bank, N.A. | System and method for rapid updating of credit information |
CA2450601C (en) | 2001-06-12 | 2012-10-16 | Research In Motion Limited | System and method for compressing secure e-mail for exchange with a mobile data communication device |
JP4460283B2 (ja) * | 2001-06-12 | 2010-05-12 | リサーチ イン モーション リミテッド | モバイルデータ通信デバイスと交換するために暗号化されたメッセージを処理する方法 |
US20030005317A1 (en) * | 2001-06-28 | 2003-01-02 | Audebert Yves Louis Gabriel | Method and system for generating and verifying a key protection certificate |
US7366772B2 (en) * | 2001-06-29 | 2008-04-29 | International Business Machines Corporation | Method and apparatus for creating and exposing order status within a supply chain having disparate systems |
US7904326B2 (en) * | 2001-06-29 | 2011-03-08 | Versata Development Group, Inc. | Method and apparatus for performing collective validation of credential information |
US7266839B2 (en) | 2001-07-12 | 2007-09-04 | J P Morgan Chase Bank | System and method for providing discriminated content to network users |
US20030023478A1 (en) * | 2001-07-26 | 2003-01-30 | Piccionelli Gregory A. | Electronic initiative petition |
US8020754B2 (en) | 2001-08-13 | 2011-09-20 | Jpmorgan Chase Bank, N.A. | System and method for funding a collective account by use of an electronic tag |
US7333996B2 (en) * | 2001-08-22 | 2008-02-19 | International Business Machines Corporation | Management of contract data |
JP2003069559A (ja) * | 2001-08-23 | 2003-03-07 | Sony Corp | コンテンツ保護システム |
KR100440783B1 (ko) * | 2001-09-10 | 2004-07-21 | (주)아이디스 | 멀티미디어 데이터의 암호화 방법 |
CA2460668C (en) | 2001-09-20 | 2010-10-26 | Hitwise Pty. Ltd. | Method and system for characterization of online behavior |
US7437330B1 (en) * | 2002-09-20 | 2008-10-14 | Yt Acquisition Corp. | System and method for categorizing transactions |
US7464059B1 (en) | 2001-09-21 | 2008-12-09 | Yt Acquisition Corporation | System and method for purchase benefits at a point of sale |
US9189788B1 (en) | 2001-09-21 | 2015-11-17 | Open Invention Network, Llc | System and method for verifying identity |
US7269737B2 (en) | 2001-09-21 | 2007-09-11 | Pay By Touch Checking Resources, Inc. | System and method for biometric authorization for financial transactions |
US7991386B2 (en) * | 2003-11-14 | 2011-08-02 | E2Interactive, Inc. | System and method for authorizing the activation of a communication device |
US7194553B2 (en) | 2001-10-16 | 2007-03-20 | Microsoft Corporation | Resolving virtual network names |
EP1303097A3 (en) * | 2001-10-16 | 2005-11-30 | Microsoft Corporation | Virtual distributed security system |
US7536712B2 (en) * | 2001-10-16 | 2009-05-19 | Microsoft Corporation | Flexible electronic message security mechanism |
US20030074579A1 (en) * | 2001-10-16 | 2003-04-17 | Microsoft Corporation | Virtual distributed security system |
US8015204B2 (en) | 2001-10-16 | 2011-09-06 | Microsoft Corporation | Scoped access control metadata element |
US7676540B2 (en) * | 2001-10-16 | 2010-03-09 | Microsoft Corporation | Scoped referral statements |
US7451157B2 (en) * | 2001-10-16 | 2008-11-11 | Microsoft Corporation | Scoped metadata in a markup language |
SE523290C2 (sv) * | 2001-10-19 | 2004-04-06 | Smarttrust Systems Oy | Metod och anordning i ett kommunikationsnätverk |
WO2003036866A1 (fr) * | 2001-10-23 | 2003-05-01 | Matsushita Electric Industrial Co., Ltd. | Appareil de traitement d'information |
JP3987710B2 (ja) * | 2001-10-30 | 2007-10-10 | 株式会社日立製作所 | 認定システムおよび認証方法 |
US7899047B2 (en) | 2001-11-27 | 2011-03-01 | Microsoft Corporation | Virtual network with adaptive dispatcher |
US7225256B2 (en) * | 2001-11-30 | 2007-05-29 | Oracle International Corporation | Impersonation in an access system |
US7987501B2 (en) | 2001-12-04 | 2011-07-26 | Jpmorgan Chase Bank, N.A. | System and method for single session sign-on |
US10360545B2 (en) | 2001-12-12 | 2019-07-23 | Guardian Data Storage, Llc | Method and apparatus for accessing secured electronic data off-line |
US10033700B2 (en) * | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
US7921284B1 (en) | 2001-12-12 | 2011-04-05 | Gary Mark Kinghorn | Method and system for protecting electronic data in enterprise environment |
US7380120B1 (en) | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
US8065713B1 (en) | 2001-12-12 | 2011-11-22 | Klimenty Vainstein | System and method for providing multi-location access management to secured items |
US7921450B1 (en) * | 2001-12-12 | 2011-04-05 | Klimenty Vainstein | Security system using indirect key generation from access rules and methods therefor |
US7921288B1 (en) | 2001-12-12 | 2011-04-05 | Hildebrand Hal S | System and method for providing different levels of key security for controlling access to secured items |
US7565683B1 (en) | 2001-12-12 | 2009-07-21 | Weiqing Huang | Method and system for implementing changes to security policies in a distributed security system |
US7260555B2 (en) | 2001-12-12 | 2007-08-21 | Guardian Data Storage, Llc | Method and architecture for providing pervasive security to digital assets |
US7930756B1 (en) | 2001-12-12 | 2011-04-19 | Crocker Steven Toye | Multi-level cryptographic transformations for securing digital assets |
US7251730B2 (en) * | 2001-12-21 | 2007-07-31 | Qualcomm Incorporated | Method and apparatus for simplified audio authentication |
US7386468B2 (en) * | 2002-01-08 | 2008-06-10 | International Business Machines Corporation | System and method for resource reduction receipt log and audit trail |
DE10202286A1 (de) * | 2002-01-22 | 2003-07-31 | Siemens Ag | Verwaltungsverfahren für Datensätze mit personenbezogenen Inhalten mittels einer Recheneinrichtung |
US8176334B2 (en) | 2002-09-30 | 2012-05-08 | Guardian Data Storage, Llc | Document security system that permits external users to gain access to secured files |
US7966497B2 (en) * | 2002-02-15 | 2011-06-21 | Qualcomm Incorporated | System and method for acoustic two factor authentication |
EP1339199A1 (en) * | 2002-02-22 | 2003-08-27 | Hewlett-Packard Company | Dynamic user authentication |
US7366905B2 (en) * | 2002-02-28 | 2008-04-29 | Nokia Corporation | Method and system for user generated keys and certificates |
US20030163685A1 (en) * | 2002-02-28 | 2003-08-28 | Nokia Corporation | Method and system to allow performance of permitted activity with respect to a device |
US7130886B2 (en) * | 2002-03-06 | 2006-10-31 | Research In Motion Limited | System and method for providing secure message signature status and trust status indication |
US7349538B2 (en) * | 2002-03-21 | 2008-03-25 | Ntt Docomo Inc. | Hierarchical identity-based encryption and signature schemes |
US7899753B1 (en) | 2002-03-25 | 2011-03-01 | Jpmorgan Chase Bank, N.A | Systems and methods for time variable financial authentication |
US7533270B2 (en) * | 2002-04-15 | 2009-05-12 | Ntt Docomo, Inc. | Signature schemes using bilinear mappings |
US7840803B2 (en) * | 2002-04-16 | 2010-11-23 | Massachusetts Institute Of Technology | Authentication of integrated circuits |
US7487365B2 (en) * | 2002-04-17 | 2009-02-03 | Microsoft Corporation | Saving and retrieving data based on symmetric key encryption |
US7890771B2 (en) | 2002-04-17 | 2011-02-15 | Microsoft Corporation | Saving and retrieving data based on public key encryption |
US7662094B2 (en) * | 2002-05-14 | 2010-02-16 | Given Imaging Ltd. | Optical head assembly with dome, and device for use thereof |
US7401224B2 (en) | 2002-05-15 | 2008-07-15 | Qualcomm Incorporated | System and method for managing sonic token verifiers |
US7216163B2 (en) * | 2002-05-15 | 2007-05-08 | Oracle International Corporation | Method and apparatus for provisioning tasks using a provisioning bridge server |
US7840658B2 (en) * | 2002-05-15 | 2010-11-23 | Oracle International Corporation | Employing job code attributes in provisioning |
JP2003346149A (ja) * | 2002-05-24 | 2003-12-05 | Omron Corp | 顔照合装置および生体情報照合装置 |
EP2278545A3 (en) * | 2002-05-29 | 2011-04-13 | Sony Corporation | Information processing system |
US20040044591A1 (en) * | 2002-06-19 | 2004-03-04 | Gilliland Ramelle L. | Method and system for electronic procurement involving electronic requests for quotation |
US20040015432A1 (en) * | 2002-07-19 | 2004-01-22 | Lewis Harry D. | Business method for creating and managing multilateral contractual relationships electronically and on a large scale |
AU2002101053B4 (en) * | 2002-07-24 | 2006-05-25 | Bqt Solutions (Australia) Pty Ltd | Biometric smartcard system |
US8393001B1 (en) | 2002-07-26 | 2013-03-05 | Mcafee, Inc. | Secure signature server system and associated method |
JP3737462B2 (ja) * | 2002-07-30 | 2006-01-18 | ソニー・エリクソン・モバイルコミュニケーションズ株式会社 | 情報処理システム、情報通信端末および方法、情報処理装置および方法、記録媒体、並びにプログラム |
US7590861B2 (en) | 2002-08-06 | 2009-09-15 | Privaris, Inc. | Methods for secure enrollment and backup of personal identity credentials into electronic devices |
US7822688B2 (en) * | 2002-08-08 | 2010-10-26 | Fujitsu Limited | Wireless wallet |
US20040107170A1 (en) * | 2002-08-08 | 2004-06-03 | Fujitsu Limited | Apparatuses for purchasing of goods and services |
US7784684B2 (en) | 2002-08-08 | 2010-08-31 | Fujitsu Limited | Wireless computer wallet for physical point of sale (POS) transactions |
US7606560B2 (en) * | 2002-08-08 | 2009-10-20 | Fujitsu Limited | Authentication services using mobile device |
US7801826B2 (en) * | 2002-08-08 | 2010-09-21 | Fujitsu Limited | Framework and system for purchasing of goods and services |
WO2004017592A1 (en) | 2002-08-19 | 2004-02-26 | Research In Motion Limited | System and method for secure control of resources of wireless mobile communication device |
US7657748B2 (en) * | 2002-08-28 | 2010-02-02 | Ntt Docomo, Inc. | Certificate-based encryption and public key infrastructure |
KR100477670B1 (ko) * | 2002-09-26 | 2005-03-18 | 삼성전자주식회사 | 스마트 카드를 이용한 모니터 보안 장치 및 그 방법 |
US20040122736A1 (en) | 2002-10-11 | 2004-06-24 | Bank One, Delaware, N.A. | System and method for granting promotional rewards to credit account holders |
DE10249801B3 (de) * | 2002-10-24 | 2004-05-06 | Giesecke & Devrient Gmbh | Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers |
US7694139B2 (en) * | 2002-10-24 | 2010-04-06 | Symantec Corporation | Securing executable content using a trusted computing platform |
US8301493B2 (en) | 2002-11-05 | 2012-10-30 | Jpmorgan Chase Bank, N.A. | System and method for providing incentives to consumers to share information |
US7895443B2 (en) * | 2002-11-05 | 2011-02-22 | Safenet, Inc. | Secure authentication using hardware token and computer fingerprint |
JP4349789B2 (ja) | 2002-11-06 | 2009-10-21 | 富士通株式会社 | 安全性判断装置及び安全性判断方法 |
US7661127B2 (en) * | 2002-11-12 | 2010-02-09 | Millipore Corporation | Instrument access control system |
US20040103317A1 (en) * | 2002-11-22 | 2004-05-27 | Burns William D. | Method and apparatus for protecting secure credentials on an untrusted computer platform |
US7892087B1 (en) * | 2002-12-02 | 2011-02-22 | Sca Promotions, Inc. | Authentication of game results |
US8100323B1 (en) | 2002-12-26 | 2012-01-24 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Apparatus and method for verifying components of an ATM |
US7461260B2 (en) * | 2002-12-31 | 2008-12-02 | Intel Corporation | Methods and apparatus for finding a shared secret without compromising non-shared secrets |
US7565545B2 (en) * | 2003-02-19 | 2009-07-21 | International Business Machines Corporation | Method, system and program product for auditing electronic transactions based on biometric readings |
US7386721B1 (en) * | 2003-03-12 | 2008-06-10 | Cisco Technology, Inc. | Method and apparatus for integrated provisioning of a network device with configuration information and identity certification |
WO2004084029A2 (en) * | 2003-03-14 | 2004-09-30 | Citibank, N.A. | Method and system of transaction security |
US7451113B1 (en) * | 2003-03-21 | 2008-11-11 | Mighty Net, Inc. | Card management system and method |
EP1606736B1 (en) * | 2003-03-24 | 2010-04-21 | BRITISH TELECOMMUNICATIONS public limited company | Announcement method in a publish-subscribe architecture |
US7867083B2 (en) | 2003-03-25 | 2011-01-11 | Igt | Methods and apparatus for limiting access to games using biometric data |
US8123616B2 (en) | 2003-03-25 | 2012-02-28 | Igt | Methods and apparatus for limiting access to games using biometric data |
JP2004302921A (ja) * | 2003-03-31 | 2004-10-28 | Toshiba Corp | オフライン情報を利用したデバイス認証装置及びデバイス認証方法 |
JP2004310581A (ja) * | 2003-04-09 | 2004-11-04 | Nec Corp | ネットワーク接続方法およびネットワークシステム |
WO2004092993A1 (en) * | 2003-04-09 | 2004-10-28 | Gtech Rhode Island Corporation | Electronic payment system |
US8352725B1 (en) * | 2003-04-21 | 2013-01-08 | Cisco Technology, Inc. | Method and apparatus for managing secure communications |
KR101001048B1 (ko) * | 2003-04-25 | 2010-12-14 | 애플 인크. | 보안 네트워크를 통한 콘텐츠의 분배 방법 및 그 시스템 |
US7447660B2 (en) * | 2003-04-30 | 2008-11-04 | Lexcel Solutions, Inc. | System and method for capacity testing of electronic funds transfer systems |
US7647344B2 (en) * | 2003-05-29 | 2010-01-12 | Experian Marketing Solutions, Inc. | System, method and software for providing persistent entity identification and linking entity information in an integrated data repository |
US8707034B1 (en) | 2003-05-30 | 2014-04-22 | Intellectual Ventures I Llc | Method and system for using remote headers to secure electronic files |
US8306907B2 (en) | 2003-05-30 | 2012-11-06 | Jpmorgan Chase Bank N.A. | System and method for offering risk-based interest rates in a credit instrument |
EP1631881A4 (en) * | 2003-06-02 | 2008-07-16 | Infocus Corp | DATA SECURITY IN A NETWORK |
HUE029807T2 (en) * | 2003-06-10 | 2017-03-28 | Mastercard International Inc | Systems and procedures for executing a secure payment transaction using a formatted data structure |
KR20050007830A (ko) * | 2003-07-11 | 2005-01-21 | 삼성전자주식회사 | 기기간 컨텐츠 교환을 위한 도메인 인증 방법 |
US7669236B2 (en) * | 2004-11-18 | 2010-02-23 | Biogy, Inc. | Determining whether to grant access to a passcode protected system |
US7376834B2 (en) * | 2003-07-18 | 2008-05-20 | Palo Alto Research Center Incorporated | System and method for securely controlling communications |
CN1286306C (zh) * | 2003-08-05 | 2006-11-22 | 中兴通讯股份有限公司 | 媒体网关鉴权的方法 |
US20050039016A1 (en) * | 2003-08-12 | 2005-02-17 | Selim Aissi | Method for using trusted, hardware-based identity credentials in runtime package signature to secure mobile communications and high-value transaction execution |
JP4339648B2 (ja) * | 2003-08-13 | 2009-10-07 | 富士通フロンテック株式会社 | 電子決済システム、電子決済プログラム及び電子決済装置、 |
US7526652B2 (en) * | 2003-09-04 | 2009-04-28 | Accullink, Inc. | Secure PIN management |
US8175908B1 (en) | 2003-09-04 | 2012-05-08 | Jpmorgan Chase Bank, N.A. | Systems and methods for constructing and utilizing a merchant database derived from customer purchase transactions data |
JP4712325B2 (ja) * | 2003-09-12 | 2011-06-29 | 株式会社リコー | 通信装置、通信システム、通信方法及びプログラム |
TW200513087A (en) * | 2003-09-19 | 2005-04-01 | Hui Lin | Mail server login security authentication system and method, and IC card authentication hardware |
TW200513086A (en) * | 2003-09-19 | 2005-04-01 | Hui Lin | Internet passing security authentication system and method, and IC card authentication hardware |
FI20031361A0 (fi) * | 2003-09-22 | 2003-09-22 | Nokia Corp | IPSec-turva-assosiaatioiden kaukohallinta |
US8127366B2 (en) | 2003-09-30 | 2012-02-28 | Guardian Data Storage, Llc | Method and apparatus for transitioning between states of security policies used to secure electronic documents |
US7703140B2 (en) | 2003-09-30 | 2010-04-20 | Guardian Data Storage, Llc | Method and system for securing digital assets using process-driven security policies |
US7536724B1 (en) * | 2003-10-01 | 2009-05-19 | Symantec Corporation | Risk profiling for optimizing deployment of security measures |
EP1521390B1 (en) * | 2003-10-01 | 2008-08-13 | Hewlett-Packard Development Company, L.P. | Digital signature method and apparatus |
US7904487B2 (en) | 2003-10-09 | 2011-03-08 | Oracle International Corporation | Translating data access requests |
US7882132B2 (en) | 2003-10-09 | 2011-02-01 | Oracle International Corporation | Support for RDBMS in LDAP system |
US9614772B1 (en) | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
JP4070708B2 (ja) * | 2003-11-14 | 2008-04-02 | 株式会社リコー | セキュリティ確保支援プログラム及びそのプログラムを実行するサーバ装置並びにそのプログラムを記憶した記憶媒体 |
US7437328B2 (en) * | 2003-11-14 | 2008-10-14 | E2Interactive, Inc. | Value insertion using bill pay card preassociated with biller |
US8655309B2 (en) | 2003-11-14 | 2014-02-18 | E2Interactive, Inc. | Systems and methods for electronic device point-of-sale activation |
KR101332993B1 (ko) * | 2003-12-01 | 2013-11-25 | 인터디지탈 테크날러지 코포레이션 | 사용자 개시 핸드오프에 기초한 세션 개시 프로토콜(sip) |
US7908208B2 (en) * | 2003-12-10 | 2011-03-15 | Alphacap Ventures Llc | Private entity profile network |
US7263608B2 (en) * | 2003-12-12 | 2007-08-28 | Lenovo (Singapore) Pte. Ltd. | System and method for providing endorsement certificate |
GB0329039D0 (en) * | 2003-12-15 | 2004-01-14 | Ncipher Corp Ltd | Cryptographic security module method and apparatus |
US20070094129A1 (en) * | 2003-12-19 | 2007-04-26 | E2Interactive, Inc. D/B/A E2Interactive, Inc. | System and method for adding value to a stored-value account using provider specific pin |
US7751568B2 (en) * | 2003-12-31 | 2010-07-06 | International Business Machines Corporation | Method for securely creating an endorsement certificate utilizing signing key pairs |
US7644278B2 (en) * | 2003-12-31 | 2010-01-05 | International Business Machines Corporation | Method for securely creating an endorsement certificate in an insecure environment |
US8495361B2 (en) * | 2003-12-31 | 2013-07-23 | International Business Machines Corporation | Securely creating an endorsement certificate in an insecure environment |
US20050166051A1 (en) * | 2004-01-26 | 2005-07-28 | Mark Buer | System and method for certification of a secure platform |
US7877605B2 (en) * | 2004-02-06 | 2011-01-25 | Fujitsu Limited | Opinion registering application for a universal pervasive transaction framework |
US20050177504A1 (en) * | 2004-02-10 | 2005-08-11 | Bottomline Technologies (De) Inc. | System and method for remotely authorizing a payment transaction file over an open network |
US7236957B2 (en) * | 2004-02-10 | 2007-06-26 | Bottomline Technologies (De) Inc. | Method for remotely authorizing a payment transaction file over an open network |
US7828652B2 (en) * | 2004-02-12 | 2010-11-09 | Igt | Player verification method and system for remote gaming terminals |
US7400878B2 (en) | 2004-02-26 | 2008-07-15 | Research In Motion Limited | Computing device with environment aware features |
US20050192839A1 (en) * | 2004-02-27 | 2005-09-01 | P2P Link Llc | Method and system for managing paperless claim processing |
US9020854B2 (en) | 2004-03-08 | 2015-04-28 | Proxense, Llc | Linked account system using personal digital key (PDK-LAS) |
US7475245B1 (en) | 2004-03-15 | 2009-01-06 | Cardiac Pacemakers, Inc. | System and method for providing secure exchange of sensitive information with an implantable medical device |
US7831828B2 (en) * | 2004-03-15 | 2010-11-09 | Cardiac Pacemakers, Inc. | System and method for securely authenticating a data exchange session with an implantable medical device |
AU2004201058B1 (en) * | 2004-03-15 | 2004-09-09 | Lockstep Consulting Pty Ltd | Means and method of issuing Anonymous Public Key Certificates for indexing electronic record systems |
AU2005220988B2 (en) * | 2004-03-15 | 2011-01-06 | Lockstep Consulting Pty Ltd | System and method for anonymously indexing electronic record systems |
US20050229005A1 (en) * | 2004-04-07 | 2005-10-13 | Activcard Inc. | Security badge arrangement |
US20050234756A1 (en) * | 2004-04-14 | 2005-10-20 | Mitac International Corp. | Management system for integrating multiple logistic bodies and method thereof |
CA2564914C (en) | 2004-04-30 | 2016-09-20 | Research In Motion Limited | System and method for handling data transfers |
JP4582619B2 (ja) * | 2004-05-06 | 2010-11-17 | 大日本印刷株式会社 | 暗号化もしくは復号化処理用のicカードならびにこれを用いた暗号通信システムおよび暗号通信方法 |
JP4314152B2 (ja) * | 2004-05-21 | 2009-08-12 | 株式会社東芝 | 電子情報保証システム、業務端末 |
US20050273604A1 (en) * | 2004-06-04 | 2005-12-08 | Chengshing Lai | [mobile phone with file encryption function and method of encrypting/decrypting file thereof] |
US7272728B2 (en) * | 2004-06-14 | 2007-09-18 | Iovation, Inc. | Network security and fraud detection system and method |
US8583921B1 (en) | 2004-06-30 | 2013-11-12 | Lingyan Shu | Method and system for identity authentication |
US20060041930A1 (en) * | 2004-08-23 | 2006-02-23 | Hafeman Joseph E | Accessing personal information |
US20060078790A1 (en) * | 2004-10-05 | 2006-04-13 | Polyplus Battery Company | Solid electrolytes based on lithium hafnium phosphate for active metal anode protection |
US7886144B2 (en) | 2004-10-29 | 2011-02-08 | Research In Motion Limited | System and method for retrieving certificates associated with senders of digitally signed messages |
AT500997B1 (de) * | 2004-11-09 | 2007-02-15 | Kapsch Trafficcom Ag | Verfahren und anlage zur benutzerspezifischen initialisierung von identifikationsgeräten im feld |
JP5437548B2 (ja) * | 2004-11-15 | 2014-03-12 | ハイデルベルガー ドルツクマシーネン アクチエンゲゼルシヤフト | 電子制御システムにおける入力署名 |
US20060107309A1 (en) * | 2004-11-18 | 2006-05-18 | Michael Fiske | Using an access key |
US20090228714A1 (en) * | 2004-11-18 | 2009-09-10 | Biogy, Inc. | Secure mobile device with online vault |
US7702911B2 (en) * | 2004-11-18 | 2010-04-20 | Biogy, Inc. | Interfacing with a system that includes a passcode authenticator |
US7565548B2 (en) * | 2004-11-18 | 2009-07-21 | Biogy, Inc. | Biometric print quality assurance |
US7770018B2 (en) * | 2004-11-18 | 2010-08-03 | Biogy, Inc. | Setting up a security access system |
US7886155B2 (en) | 2004-12-20 | 2011-02-08 | Biogy, Inc. | System for generating requests to a passcode protected entity |
US8209751B2 (en) * | 2004-11-18 | 2012-06-26 | Biogy, Inc. | Receiving an access key |
US7707622B2 (en) | 2004-11-18 | 2010-04-27 | Biogy, Inc. | API for a system having a passcode authenticator |
US20060107041A1 (en) * | 2004-11-18 | 2006-05-18 | Michael Fiske | Assembling a security access system |
US20060107312A1 (en) * | 2004-11-18 | 2006-05-18 | Michael Fiske | System for handing requests for access to a passcode protected entity |
US7979716B2 (en) * | 2004-11-18 | 2011-07-12 | Biogy, Inc. | Method of generating access keys |
US20060107315A1 (en) * | 2004-11-18 | 2006-05-18 | Michael Fiske | System that uses access keys |
US8224753B2 (en) * | 2004-12-07 | 2012-07-17 | Farsheed Atef | System and method for identity verification and management |
RU2007127725A (ru) * | 2004-12-20 | 2009-01-27 | ПРОКСЕНС, ЭлЭлСи (US) | Аутентификация по биометрическому ключу персональных данных (pdk) |
US20080288786A1 (en) * | 2004-12-20 | 2008-11-20 | Michael Stephen Fiske | System with access keys |
US20060136717A1 (en) * | 2004-12-20 | 2006-06-22 | Mark Buer | System and method for authentication via a proximate device |
US8295484B2 (en) | 2004-12-21 | 2012-10-23 | Broadcom Corporation | System and method for securing data from a remote input device |
US20060156013A1 (en) * | 2005-01-07 | 2006-07-13 | Beeson Curtis L | Digital signature software using ephemeral private key and system |
US8874544B2 (en) * | 2005-01-13 | 2014-10-28 | International Business Machines Corporation | System and method for exposing internal search indices to internet search engines |
US7568104B2 (en) * | 2005-01-19 | 2009-07-28 | International Business Machines Corporation | Method and apparatus for adding signature information to electronic documents |
US7603562B2 (en) * | 2005-02-02 | 2009-10-13 | Insyde Software Corporation | System and method for reducing memory requirements of firmware |
US20060179009A1 (en) * | 2005-02-08 | 2006-08-10 | International Business Machines Corporation | Management of terms and conditions for an agreement |
JP4615344B2 (ja) * | 2005-03-24 | 2011-01-19 | 株式会社日立製作所 | データ処理システム及びデータベースの管理方法 |
JP2006277199A (ja) * | 2005-03-29 | 2006-10-12 | Fujitsu Ltd | 配達物管理システムおよび配達物保管庫 |
US20060236098A1 (en) | 2005-03-31 | 2006-10-19 | Alexander Gantman | Multisigning - a protocol for robust multiple party digital signatures |
US8175889B1 (en) | 2005-04-06 | 2012-05-08 | Experian Information Solutions, Inc. | Systems and methods for tracking changes of address based on service disconnect/connect data |
DE102005018676B4 (de) * | 2005-04-21 | 2008-09-25 | Wincor Nixdorf International Gmbh | Verfahren zur Schlüsselverwaltung für Kryptographiemodule |
US7401731B1 (en) | 2005-05-27 | 2008-07-22 | Jpmorgan Chase Bank, Na | Method and system for implementing a card product with multiple customized relationships |
US20060288225A1 (en) * | 2005-06-03 | 2006-12-21 | Jung Edward K | User-centric question and answer for authentication and security |
CA2510366C (en) * | 2005-06-14 | 2013-02-26 | Certicom Corp. | System and method for remote device registration |
US7624432B2 (en) * | 2005-06-28 | 2009-11-24 | International Business Machines Corporation | Security and authorization in management agents |
US7614082B2 (en) | 2005-06-29 | 2009-11-03 | Research In Motion Limited | System and method for privilege management and revocation |
US20070027820A1 (en) * | 2005-07-28 | 2007-02-01 | Amir Elharar | Methods and systems for securing electronic transactions |
US20070030257A1 (en) * | 2005-08-04 | 2007-02-08 | Bhogal Kulvir S | Locking digital pen |
US7925578B1 (en) | 2005-08-26 | 2011-04-12 | Jpmorgan Chase Bank, N.A. | Systems and methods for performing scoring optimization |
US20070049265A1 (en) * | 2005-08-30 | 2007-03-01 | Kaimal Biju R | Apparatus and method for local device management |
US8183980B2 (en) * | 2005-08-31 | 2012-05-22 | Assa Abloy Ab | Device authentication using a unidirectional protocol |
US20070079125A1 (en) * | 2005-09-27 | 2007-04-05 | Lexmark International, Inc. | Interface protocol method and system |
US8306986B2 (en) * | 2005-09-30 | 2012-11-06 | American Express Travel Related Services Company, Inc. | Method, system, and computer program product for linking customer information |
US7748034B2 (en) * | 2005-10-12 | 2010-06-29 | Cisco Technology, Inc. | Strong anti-replay protection for IP traffic sent point to point or multi-cast to large groups |
US20070084638A1 (en) * | 2005-10-19 | 2007-04-19 | Clyde Bohnsack | Drilling fluid flow facilitation |
FR2892875B1 (fr) * | 2005-10-28 | 2008-01-04 | Gemplus Sa | Procede de securisation des paiements par decoupage des montants |
EA200501605A1 (ru) * | 2005-11-11 | 2007-04-27 | Фонд Сопровождения Инвестиционных Проектов "Генкей" | Способ и устройство получения и хранения личного цифрового сертификата и способ защищенного обмена цифровой информацией |
US20070118485A1 (en) * | 2005-11-15 | 2007-05-24 | Norbert Gugerbauer | Interactive contract service |
US8181220B2 (en) | 2005-12-19 | 2012-05-15 | Adobe Systems Incorporated | Method and apparatus for digital rights management policies |
US8281386B2 (en) * | 2005-12-21 | 2012-10-02 | Panasonic Corporation | Systems and methods for automatic secret generation and distribution for secure systems |
US8234494B1 (en) | 2005-12-21 | 2012-07-31 | At&T Intellectual Property Ii, L.P. | Speaker-verification digital signatures |
US20070150415A1 (en) * | 2005-12-22 | 2007-06-28 | Bundy Ross E | Method and apparatus for creating and entering a PIN code |
FR2895608B1 (fr) * | 2005-12-23 | 2008-03-21 | Trusted Logic Sa | Procede pour la realisation d'un compteur securise sur un systeme informatique embarque disposant d'une carte a puce |
DE102005062307A1 (de) * | 2005-12-24 | 2007-06-28 | T-Mobile International Ag & Co. Kg | Verfahren zur Vorbereitung einer Chipkarte für elektronische Signaturdienste |
US7929703B2 (en) * | 2005-12-28 | 2011-04-19 | Alcatel-Lucent Usa Inc. | Methods and system for managing security keys within a wireless network |
US8340672B2 (en) | 2006-01-06 | 2012-12-25 | Proxense, Llc | Wireless network synchronization of cells and client devices on a network |
US11206664B2 (en) | 2006-01-06 | 2021-12-21 | Proxense, Llc | Wireless network synchronization of cells and client devices on a network |
US20070179903A1 (en) * | 2006-01-30 | 2007-08-02 | Microsoft Corporation | Identity theft mitigation |
US8122252B2 (en) * | 2006-02-28 | 2012-02-21 | Kryptiq Corporation | Cascaded digital signatures |
ATE551793T1 (de) * | 2006-02-28 | 2012-04-15 | Certicom Corp | System und verfahren zur produktregistration |
US7849312B2 (en) * | 2006-03-24 | 2010-12-07 | Atmel Corporation | Method and system for secure external TPM password generation and use |
US20070237366A1 (en) * | 2006-03-24 | 2007-10-11 | Atmel Corporation | Secure biometric processing system and method of use |
US8615663B2 (en) * | 2006-04-17 | 2013-12-24 | Broadcom Corporation | System and method for secure remote biometric authentication |
US7593549B2 (en) * | 2006-04-27 | 2009-09-22 | Bruce Reiner | Apparatus and method for utilizing biometrics in medical applications |
US7904718B2 (en) * | 2006-05-05 | 2011-03-08 | Proxense, Llc | Personal digital key differentiation for secure transactions |
US9401063B2 (en) * | 2006-06-08 | 2016-07-26 | Mastercard International Incorporated | All-in-one proximity payment device with local authentication |
CA2550698A1 (en) * | 2006-06-19 | 2007-12-19 | Daniel Mccann | Method and apparatus for encryption and pass-through handling of confidential information in software applications |
US8341397B2 (en) * | 2006-06-26 | 2012-12-25 | Mlr, Llc | Security system for handheld wireless devices using-time variable encryption keys |
US20080015986A1 (en) * | 2006-06-30 | 2008-01-17 | Wright Robert E | Systems, methods and computer program products for controlling online access to an account |
EP1876549A1 (de) * | 2006-07-07 | 2008-01-09 | Swisscom Mobile AG | Verfahren und System zur verschlüsselten Datenübertragung |
US11019007B1 (en) * | 2006-07-13 | 2021-05-25 | United Services Automobile Association (Usaa) | Systems and methods for providing electronic official documents |
US7949867B2 (en) | 2006-07-19 | 2011-05-24 | Rel-Id Technologies, Inc. | Secure communications |
US20080031459A1 (en) * | 2006-08-07 | 2008-02-07 | Seth Voltz | Systems and Methods for Identity-Based Secure Communications |
US8670564B1 (en) | 2006-08-14 | 2014-03-11 | Key Holdings, LLC | Data encryption system and method |
EP2074572A4 (en) | 2006-08-17 | 2011-02-23 | Experian Inf Solutions Inc | SYSTEM AND METHOD FOR PROVIDING A BRAND FOR A USED VEHICLE |
US8321677B2 (en) * | 2006-09-21 | 2012-11-27 | Google Inc. | Pre-binding and tight binding of an on-line identity to a digital signature |
US7912865B2 (en) * | 2006-09-26 | 2011-03-22 | Experian Marketing Solutions, Inc. | System and method for linking multiple entities in a business database |
JP2008084229A (ja) * | 2006-09-28 | 2008-04-10 | Fujitsu Ltd | 情報漏洩防止装置および情報漏洩防止方法 |
CN101523427A (zh) * | 2006-09-29 | 2009-09-02 | 丹·斯卡梅尔 | 在电子交易中验证用户的身份的系统和方法 |
US7802719B2 (en) * | 2006-09-29 | 2010-09-28 | Sony Ericsson Mobile Communications Ab | System and method for presenting multiple transaction options in a portable device |
US8892887B2 (en) * | 2006-10-10 | 2014-11-18 | Qualcomm Incorporated | Method and apparatus for mutual authentication |
US8166532B2 (en) * | 2006-10-10 | 2012-04-24 | Honeywell International Inc. | Decentralized access control framework |
US8719954B2 (en) | 2006-10-11 | 2014-05-06 | Bassilic Technologies Llc | Method and system for secure distribution of selected content to be protected on an appliance-specific basis with definable permitted associated usage rights for the selected content |
US20080092239A1 (en) | 2006-10-11 | 2008-04-17 | David H. Sitrick | Method and system for secure distribution of selected content to be protected |
US8619982B2 (en) * | 2006-10-11 | 2013-12-31 | Bassilic Technologies Llc | Method and system for secure distribution of selected content to be protected on an appliance specific basis |
US20080097777A1 (en) * | 2006-10-23 | 2008-04-24 | Ctm Software Corporation | Electronic document execution |
US8751815B2 (en) * | 2006-10-25 | 2014-06-10 | Iovation Inc. | Creating and verifying globally unique device-specific identifiers |
US7613915B2 (en) | 2006-11-09 | 2009-11-03 | BroadOn Communications Corp | Method for programming on-chip non-volatile memory in a secure processor, and a device so programmed |
US9269221B2 (en) | 2006-11-13 | 2016-02-23 | John J. Gobbi | Configuration of interfaces for a location detection system and application |
US8700014B2 (en) | 2006-11-22 | 2014-04-15 | Bindu Rama Rao | Audio guided system for providing guidance to user of mobile device on multi-step activities |
US11256386B2 (en) | 2006-11-22 | 2022-02-22 | Qualtrics, Llc | Media management system supporting a plurality of mobile devices |
US10803474B2 (en) | 2006-11-22 | 2020-10-13 | Qualtrics, Llc | System for creating and distributing interactive advertisements to mobile devices |
US8380175B2 (en) * | 2006-11-22 | 2013-02-19 | Bindu Rama Rao | System for providing interactive advertisements to user of mobile devices |
US8478250B2 (en) | 2007-07-30 | 2013-07-02 | Bindu Rama Rao | Interactive media management server |
US8116456B2 (en) * | 2006-11-28 | 2012-02-14 | Oracle International Corporation | Techniques for managing heterogeneous key stores |
GB2446198A (en) * | 2006-12-01 | 2008-08-06 | David Irvine | Non-repudiation of messages in peer-to-peer network |
GB0625052D0 (en) * | 2006-12-15 | 2007-01-24 | Hewlett Packard Development Co | Evidence of manufacturing processes |
FR2910666B1 (fr) * | 2006-12-26 | 2013-02-08 | Oberthur Card Syst Sa | Dispositif electronique portable et procede de securisation d'un tel dispositif |
US11783925B2 (en) | 2006-12-29 | 2023-10-10 | Kip Prod P1 Lp | Multi-services application gateway and system employing the same |
US9569587B2 (en) * | 2006-12-29 | 2017-02-14 | Kip Prod Pi Lp | Multi-services application gateway and system employing the same |
US8397264B2 (en) | 2006-12-29 | 2013-03-12 | Prodea Systems, Inc. | Display inserts, overlays, and graphical user interfaces for multimedia systems |
US11316688B2 (en) | 2006-12-29 | 2022-04-26 | Kip Prod P1 Lp | Multi-services application gateway and system employing the same |
US9602880B2 (en) | 2006-12-29 | 2017-03-21 | Kip Prod P1 Lp | Display inserts, overlays, and graphical user interfaces for multimedia systems |
US20170344703A1 (en) | 2006-12-29 | 2017-11-30 | Kip Prod P1 Lp | Multi-services application gateway and system employing the same |
US20080168273A1 (en) * | 2007-01-05 | 2008-07-10 | Chung Hyen V | Configuration mechanism for flexible messaging security protocols |
US8239688B2 (en) | 2007-01-07 | 2012-08-07 | Apple Inc. | Securely recovering a computing device |
US8254568B2 (en) | 2007-01-07 | 2012-08-28 | Apple Inc. | Secure booting a computing device |
US20080172331A1 (en) * | 2007-01-16 | 2008-07-17 | Graves Phillip C | Bill Payment Card Method and System |
US20080179393A1 (en) * | 2007-01-30 | 2008-07-31 | Nizam Antoo | Method and system using portable consumer device including payment capability |
US8606666B1 (en) | 2007-01-31 | 2013-12-10 | Experian Information Solutions, Inc. | System and method for providing an aggregation tool |
CN101622849B (zh) | 2007-02-02 | 2014-06-11 | 网圣公司 | 添加上下文以防止经由计算机网络的数据泄漏的系统和方法 |
US20080185429A1 (en) * | 2007-02-05 | 2008-08-07 | First Data Corporation | Authentication Of PIN-Less Transactions |
US9418501B2 (en) * | 2007-02-05 | 2016-08-16 | First Data Corporation | Method for digital signature authentication of pin-less debit card account transactions |
US20080189209A1 (en) * | 2007-02-05 | 2008-08-07 | First Data Corporation | Real-Time Funds Transfer |
US9069967B2 (en) * | 2007-02-16 | 2015-06-30 | Veracode, Inc. | Assessment and analysis of software security flaws |
US8566247B1 (en) * | 2007-02-19 | 2013-10-22 | Robert H. Nagel | System and method for secure communications involving an intermediary |
US20080208735A1 (en) * | 2007-02-22 | 2008-08-28 | American Expresstravel Related Services Company, Inc., A New York Corporation | Method, System, and Computer Program Product for Managing Business Customer Contacts |
US9660812B2 (en) * | 2007-02-28 | 2017-05-23 | Red Hat, Inc. | Providing independent verification of information in a public forum |
US8090954B2 (en) | 2007-03-16 | 2012-01-03 | Microsoft Corporation | Prevention of unauthorized forwarding and authentication of signatures |
US8285656B1 (en) | 2007-03-30 | 2012-10-09 | Consumerinfo.Com, Inc. | Systems and methods for data verification |
US20080263644A1 (en) * | 2007-04-23 | 2008-10-23 | Doron Grinstein | Federated authorization for distributed computing |
US20080271145A1 (en) * | 2007-04-30 | 2008-10-30 | Schiller Mark R | Tamper indication system and method for a computing system |
US20080301016A1 (en) * | 2007-05-30 | 2008-12-04 | American Express Travel Related Services Company, Inc. General Counsel's Office | Method, System, and Computer Program Product for Customer Linking and Identification Capability for Institutions |
US8583915B1 (en) * | 2007-05-31 | 2013-11-12 | Bby Solutions, Inc. | Security and authentication systems and methods for personalized portable devices and associated systems |
US20090006846A1 (en) | 2007-06-27 | 2009-01-01 | Apple Inc. | Bluetooth device as security access key |
SE532600C2 (sv) * | 2007-06-29 | 2010-03-02 | Oniteo Ab | Metod och system för säker provisionering av hårdvara |
US7930249B2 (en) | 2007-07-11 | 2011-04-19 | Qualcomm Incorporated | Mobile wireless financial instrument for automatically selecting a payment instrument |
US7978850B2 (en) * | 2007-07-31 | 2011-07-12 | Lsi Corporation | Manufacturing embedded unique keys using a built in random number generator |
US8230490B2 (en) * | 2007-07-31 | 2012-07-24 | Keycorp | System and method for authentication of users in a secure computer system |
EP2186332A4 (en) * | 2007-09-11 | 2012-02-08 | Lg Electronics Inc | SECURE SIGNATURE METHOD, SECURE AUTHENTICATION METHOD, AND IPTV SYSTEM |
US8170998B2 (en) * | 2007-09-12 | 2012-05-01 | American Express Travel Related Services Company, Inc. | Methods, systems, and computer program products for estimating accuracy of linking of customer relationships |
US8121957B1 (en) | 2007-10-01 | 2012-02-21 | Google Inc. | Discrete verification of payment information |
US8060502B2 (en) | 2007-10-04 | 2011-11-15 | American Express Travel Related Services Company, Inc. | Methods, systems, and computer program products for generating data quality indicators for relationships in a database |
CA2705023A1 (en) * | 2007-11-07 | 2009-05-14 | Toposis Corporation | System and method for multiparty billing of network services |
US8659427B2 (en) | 2007-11-09 | 2014-02-25 | Proxense, Llc | Proximity-sensor supporting multiple application services |
US9143561B2 (en) * | 2007-11-09 | 2015-09-22 | Topia Technology, Inc. | Architecture for management of digital files across distributed network |
KR101442169B1 (ko) * | 2007-11-27 | 2014-11-03 | 삼성전자주식회사 | 공개키 기반의 블루투스 스마트 키 시스템 및 동작 방법 |
US20090144170A1 (en) * | 2007-11-30 | 2009-06-04 | Mark Dickelman | Buyer-Seller Interfaces and Methods for Disparate Network Systems |
CN101170407B (zh) * | 2007-12-03 | 2011-01-12 | 北京深思洛克软件技术股份有限公司 | 一种安全地生成密钥对和传送公钥或证书申请文件的方法 |
US8171528B1 (en) | 2007-12-06 | 2012-05-01 | Proxense, Llc | Hybrid device having a personal digital key and receiver-decoder circuit and methods of use |
US8127986B1 (en) | 2007-12-14 | 2012-03-06 | Consumerinfo.Com, Inc. | Card registry systems and methods |
US20090153290A1 (en) * | 2007-12-14 | 2009-06-18 | Farpointe Data, Inc., A California Corporation | Secure interface for access control systems |
US9990674B1 (en) | 2007-12-14 | 2018-06-05 | Consumerinfo.Com, Inc. | Card registry systems and methods |
WO2009079666A1 (en) | 2007-12-19 | 2009-06-25 | Proxense, Llc | Security system and method for controlling access to computing resources |
US9818071B2 (en) | 2007-12-21 | 2017-11-14 | Invention Science Fund I, Llc | Authorization rights for operational components |
US9071436B2 (en) | 2007-12-21 | 2015-06-30 | The Invention Science Fund I, Llc | Security-activated robotic system |
US20110178619A1 (en) * | 2007-12-21 | 2011-07-21 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Security-activated robotic tasks |
US9626487B2 (en) * | 2007-12-21 | 2017-04-18 | Invention Science Fund I, Llc | Security-activated production device |
US8429754B2 (en) * | 2007-12-21 | 2013-04-23 | The Invention Science Fund I, Llc | Control technique for object production rights |
US8752166B2 (en) | 2007-12-21 | 2014-06-10 | The Invention Science Fund I, Llc | Security-activated operational components |
US9128476B2 (en) | 2007-12-21 | 2015-09-08 | The Invention Science Fund I, Llc | Secure robotic operational system |
US8286236B2 (en) * | 2007-12-21 | 2012-10-09 | The Invention Science Fund I, Llc | Manufacturing control system |
US8622308B1 (en) | 2007-12-31 | 2014-01-07 | Jpmorgan Chase Bank, N.A. | System and method for processing transactions using a multi-account transactions device |
JP4993122B2 (ja) * | 2008-01-23 | 2012-08-08 | 大日本印刷株式会社 | プラットフォーム完全性検証システムおよび方法 |
GB0802585D0 (en) | 2008-02-12 | 2008-03-19 | Mtld Top Level Domain Ltd | Determining a property of communication device |
WO2009102979A2 (en) | 2008-02-14 | 2009-08-20 | Proxense, Llc | Proximity-based healthcare management system with automatic access to private information |
US8370948B2 (en) * | 2008-03-19 | 2013-02-05 | Websense, Inc. | System and method for analysis of electronic information dissemination events |
US9015842B2 (en) | 2008-03-19 | 2015-04-21 | Websense, Inc. | Method and system for protection against information stealing software |
US8407784B2 (en) * | 2008-03-19 | 2013-03-26 | Websense, Inc. | Method and system for protection against information stealing software |
US9130986B2 (en) | 2008-03-19 | 2015-09-08 | Websense, Inc. | Method and system for protection against information stealing software |
US9286596B2 (en) * | 2008-04-01 | 2016-03-15 | Topaz Systems, Inc. | Signing ceremony system and method |
WO2009126732A2 (en) | 2008-04-08 | 2009-10-15 | Proxense, Llc | Automated service-based order processing |
US8320638B2 (en) * | 2008-04-10 | 2012-11-27 | Pitt Alan M | Anonymous association system utilizing biometrics |
US8140855B2 (en) * | 2008-04-11 | 2012-03-20 | Microsoft Corp. | Security-enhanced log in |
US8150039B2 (en) * | 2008-04-15 | 2012-04-03 | Apple Inc. | Single security model in booting a computing device |
JP4807377B2 (ja) * | 2008-05-13 | 2011-11-02 | ソニー株式会社 | 通信装置、通信方法、通信システム及びサービス発行方法 |
US8812701B2 (en) * | 2008-05-21 | 2014-08-19 | Uniloc Luxembourg, S.A. | Device and method for secured communication |
US7522723B1 (en) | 2008-05-29 | 2009-04-21 | Cheman Shaik | Password self encryption method and system and encryption by keys generated from personal secret information |
JP5083042B2 (ja) * | 2008-05-30 | 2012-11-28 | 富士通株式会社 | アクセス制御ポリシーの遵守チェック用プログラム |
US9832069B1 (en) | 2008-05-30 | 2017-11-28 | F5 Networks, Inc. | Persistence based on server response in an IP multimedia subsystem (IMS) |
US8209394B2 (en) * | 2008-06-02 | 2012-06-26 | Microsoft Corporation | Device-specific identity |
US7853493B2 (en) * | 2008-06-18 | 2010-12-14 | Consumerinfo.Com, Inc. | Personal finance integration system and method |
FR2932937B1 (fr) * | 2008-06-24 | 2011-02-11 | Alcatel Lucent | Routeur associe a un dispositif securise. |
EP2138970A1 (en) * | 2008-06-26 | 2009-12-30 | Nokia Siemens Networks Oy | Ordering scheme |
US8935528B2 (en) * | 2008-06-26 | 2015-01-13 | Microsoft Corporation | Techniques for ensuring authentication and integrity of communications |
US8312033B1 (en) | 2008-06-26 | 2012-11-13 | Experian Marketing Solutions, Inc. | Systems and methods for providing an integrated identifier |
US9704161B1 (en) * | 2008-06-27 | 2017-07-11 | Amazon Technologies, Inc. | Providing information without authentication |
US9449319B1 (en) | 2008-06-30 | 2016-09-20 | Amazon Technologies, Inc. | Conducting transactions with dynamic passwords |
KR101508794B1 (ko) * | 2008-07-09 | 2015-04-06 | 삼성전자주식회사 | Ndef 메시지에서 선택적으로 레코드들을 보안하기 위한 방법 |
US8196213B2 (en) * | 2008-07-11 | 2012-06-05 | Microsoft Corporation | Verification of un-trusted code for consumption on an insecure device |
JP2010020712A (ja) * | 2008-07-14 | 2010-01-28 | Canon Inc | 情報処理装置、情報処理装置の制御方法、記憶媒体及びプログラム |
US8250627B2 (en) * | 2008-07-28 | 2012-08-21 | International Business Machines Corporation | Transaction authorization |
JP4623158B2 (ja) * | 2008-07-29 | 2011-02-02 | コニカミノルタビジネステクノロジーズ株式会社 | Icカード認証装置、icカード認証方法、icカード認証プログラムおよび記録媒体 |
US8358783B2 (en) * | 2008-08-11 | 2013-01-22 | Assa Abloy Ab | Secure wiegand communications |
EP2157526B1 (en) * | 2008-08-14 | 2014-04-30 | Assa Abloy Ab | RFID reader with embedded attack detection heuristics |
US8447669B2 (en) | 2008-08-26 | 2013-05-21 | Visa U.S.A. Inc. | System and method for implementing financial assistance programs |
US8516259B2 (en) * | 2008-09-03 | 2013-08-20 | Alcatel Lucent | Verifying authenticity of voice mail participants in telephony networks |
EP2166483A1 (en) * | 2008-09-17 | 2010-03-24 | Tds Todos Data System Ab | Method and device for creating a digital signature |
GB2465138B (en) | 2008-10-10 | 2012-10-10 | Afilias Technologies Ltd | Transcoding web resources |
US9112910B2 (en) * | 2008-10-14 | 2015-08-18 | International Business Machines Corporation | Method and system for authentication |
US8060424B2 (en) | 2008-11-05 | 2011-11-15 | Consumerinfo.Com, Inc. | On-line method and system for monitoring and reporting unused available credit |
US20100131409A1 (en) * | 2008-11-22 | 2010-05-27 | Google Inc. | Identification verification with user challenge |
US20100146281A1 (en) * | 2008-12-05 | 2010-06-10 | Amalto Technologies Corp. | Security and certificate management for electronic business to business transactions |
US20100146050A1 (en) * | 2008-12-05 | 2010-06-10 | Amalto Technologies Corp. | Distributed document transformation for electronic business to business transactions |
WO2010067433A1 (ja) | 2008-12-11 | 2010-06-17 | 三菱電機株式会社 | 自己認証通信機器、自己認証検証通信機器、機器認証システム、機器認証システムの機器認証方法、自己認証通信プログラムおよび自己認証検証通信プログラム |
EP2394225B1 (en) | 2009-02-05 | 2019-01-09 | Wwpass Corporation | Centralized authentication system with safe private data storage and method |
US8296564B2 (en) | 2009-02-17 | 2012-10-23 | Microsoft Corporation | Communication channel access based on channel identifier and use policy |
US8423779B2 (en) * | 2009-02-23 | 2013-04-16 | Wms Gaming, Inc. | Compounding security with a security dongle |
US20100241690A1 (en) * | 2009-03-20 | 2010-09-23 | Microsoft Corporation | Component and dependency discovery |
US8224375B2 (en) | 2009-05-01 | 2012-07-17 | Qualcomm Incorporated | Proximity purchase ringtones |
WO2010132492A2 (en) | 2009-05-11 | 2010-11-18 | Experian Marketing Solutions, Inc. | Systems and methods for providing anonymized user profile data |
CN102598007B (zh) | 2009-05-26 | 2017-03-01 | 韦伯森斯公司 | 有效检测采指纹数据和信息的系统和方法 |
US20100301993A1 (en) * | 2009-05-28 | 2010-12-02 | International Business Machines Corporation | Pattern based security authorization |
US20100306076A1 (en) * | 2009-05-29 | 2010-12-02 | Ebay Inc. | Trusted Integrity Manager (TIM) |
US8484723B2 (en) * | 2009-06-05 | 2013-07-09 | Signix, Inc. | Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer |
US8590003B2 (en) * | 2009-06-15 | 2013-11-19 | Microsoft Corporation | Controlling access to resources by hosted entities |
US8326874B2 (en) * | 2009-06-17 | 2012-12-04 | Microsoft Corporation | Model-based implied authorization |
CA2767723C (en) * | 2009-07-10 | 2018-08-28 | Certicom Corp. | System and method for performing serialization of devices |
US8914874B2 (en) * | 2009-07-21 | 2014-12-16 | Microsoft Corporation | Communication channel claim dependent security precautions |
US8504726B2 (en) * | 2009-07-27 | 2013-08-06 | Corista LLC | User targeted medical imaging and information packaging, compression and distribution system |
EP2460139A4 (en) * | 2009-07-27 | 2015-05-27 | Corista LLC | SYSTEM FOR REPLACING DISEASE DOCUMENTS THROUGH A DIGITAL NETWORK |
US8356054B2 (en) * | 2009-11-10 | 2013-01-15 | International Business Machines Corporation | Management of resources in a host system |
WO2011063269A1 (en) * | 2009-11-20 | 2011-05-26 | Alert Enterprise, Inc. | Method and apparatus for risk visualization and remediation |
US10019677B2 (en) | 2009-11-20 | 2018-07-10 | Alert Enterprise, Inc. | Active policy enforcement |
US10027711B2 (en) | 2009-11-20 | 2018-07-17 | Alert Enterprise, Inc. | Situational intelligence |
US20110137740A1 (en) | 2009-12-04 | 2011-06-09 | Ashmit Bhattacharya | Processing value-ascertainable items |
EP2348447B1 (en) * | 2009-12-18 | 2014-07-16 | CompuGroup Medical AG | A computer implemented method for generating a set of identifiers from a private key, computer implemented method and computing device |
EP2348449A3 (en) | 2009-12-18 | 2013-07-10 | CompuGroup Medical AG | A computer implemented method for performing cloud computing on data being stored pseudonymously in a database |
EP2348452B1 (en) * | 2009-12-18 | 2014-07-02 | CompuGroup Medical AG | A computer implemented method for sending a message to a recipient user, receiving a message by a recipient user, a computer readable storage medium and a computer system |
EP2365456B1 (en) | 2010-03-11 | 2016-07-20 | CompuGroup Medical SE | Data structure, method and system for predicting medical conditions |
US9418205B2 (en) | 2010-03-15 | 2016-08-16 | Proxense, Llc | Proximity-based system for automatic application or data access and item tracking |
US8676684B2 (en) | 2010-04-12 | 2014-03-18 | Iovation Inc. | System and method for evaluating risk in fraud prevention |
US9141724B2 (en) | 2010-04-19 | 2015-09-22 | Afilias Technologies Limited | Transcoder hinting |
US20110295908A1 (en) * | 2010-05-27 | 2011-12-01 | International Business Machines Corporation | Detecting counterfeit devices |
US9183560B2 (en) | 2010-05-28 | 2015-11-10 | Daniel H. Abelow | Reality alternate |
TWI422206B (zh) * | 2010-05-31 | 2014-01-01 | Intercity Business Corp | 包容式金鑰認證方法 |
DE102010030590A1 (de) * | 2010-06-28 | 2011-12-29 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Zertifikats |
US9118666B2 (en) | 2010-06-30 | 2015-08-25 | Google Inc. | Computing device integrity verification |
US8700895B1 (en) | 2010-06-30 | 2014-04-15 | Google Inc. | System and method for operating a computing device in a secure mode |
US8554631B1 (en) | 2010-07-02 | 2013-10-08 | Jpmorgan Chase Bank, N.A. | Method and system for determining point of sale authorization |
GB2481843A (en) | 2010-07-08 | 2012-01-11 | Mtld Top Level Domain Ltd | Web based method of generating user interfaces |
US8918854B1 (en) | 2010-07-15 | 2014-12-23 | Proxense, Llc | Proximity-based system for automatic application initialization |
US8555332B2 (en) | 2010-08-20 | 2013-10-08 | At&T Intellectual Property I, L.P. | System for establishing communications with a mobile device server |
US9152727B1 (en) | 2010-08-23 | 2015-10-06 | Experian Marketing Solutions, Inc. | Systems and methods for processing consumer information for targeted marketing applications |
US20130041961A1 (en) | 2010-09-13 | 2013-02-14 | Frederick Mitchell Thrower, III | Systems and methods for electronic communication using unique identifiers associated with electronic addresses |
US8438285B2 (en) | 2010-09-15 | 2013-05-07 | At&T Intellectual Property I, L.P. | System for managing resources accessible to a mobile device server |
GB2484268A (en) | 2010-09-16 | 2012-04-11 | Uniloc Usa Inc | Psychographic profiling of users of computing devices |
US8959451B2 (en) | 2010-09-24 | 2015-02-17 | Blackberry Limited | Launching an application based on data classification |
US9147085B2 (en) | 2010-09-24 | 2015-09-29 | Blackberry Limited | Method for establishing a plurality of modes of operation on a mobile device |
WO2012037657A2 (en) | 2010-09-24 | 2012-03-29 | Research In Motion Limited | Method and apparatus for differentiated access control |
CN103229183B (zh) | 2010-09-24 | 2016-05-11 | 黑莓有限公司 | 用于差异化的访问控制的方法和设备 |
US10164922B2 (en) * | 2010-09-27 | 2018-12-25 | International Business Machines Corporation | Secure electronic message conveyance |
AU2010224455B8 (en) * | 2010-09-28 | 2011-05-26 | Mu Hua Investments Limited | Biometric key |
US8504449B2 (en) * | 2010-10-01 | 2013-08-06 | At&T Intellectual Property I, L.P. | Apparatus and method for managing software applications of a mobile device server |
US8610546B2 (en) | 2010-10-01 | 2013-12-17 | At&T Intellectual Property I, L.P. | System for selecting resources accessible to a mobile device server |
US8989055B2 (en) | 2011-07-17 | 2015-03-24 | At&T Intellectual Property I, L.P. | Processing messages with a device server operating in a telephone |
US8639616B1 (en) | 2010-10-01 | 2014-01-28 | Experian Information Solutions, Inc. | Business to contact linkage system |
US8516039B2 (en) | 2010-10-01 | 2013-08-20 | At&T Intellectual Property I, L.P. | Apparatus and method for managing mobile device servers |
US8478905B2 (en) | 2010-10-01 | 2013-07-02 | At&T Intellectual Property I, Lp | System for synchronizing to a mobile device server |
US8443420B2 (en) | 2010-10-01 | 2013-05-14 | At&T Intellectual Property I, L.P. | System for communicating with a mobile device server |
US8863240B2 (en) * | 2010-10-20 | 2014-10-14 | T-Mobile Usa, Inc. | Method and system for smart card migration |
US20120124496A1 (en) | 2010-10-20 | 2012-05-17 | Mark Rose | Geographic volume analytics apparatuses, methods and systems |
US9525548B2 (en) * | 2010-10-21 | 2016-12-20 | Microsoft Technology Licensing, Llc | Provisioning techniques |
US9392316B2 (en) | 2010-10-28 | 2016-07-12 | At&T Intellectual Property I, L.P. | Messaging abstraction in a mobile device server |
US10042993B2 (en) | 2010-11-02 | 2018-08-07 | Homayoon Beigi | Access control through multifactor authentication with multimodal biometrics |
US9064257B2 (en) * | 2010-11-02 | 2015-06-23 | Homayoon Beigi | Mobile device transaction using multi-factor authentication |
US8800050B2 (en) * | 2010-11-09 | 2014-08-05 | Microsoft Corporation | Security system for computing resources pre-releases |
US8484186B1 (en) | 2010-11-12 | 2013-07-09 | Consumerinfo.Com, Inc. | Personalized people finder |
EP2453631B1 (en) | 2010-11-15 | 2016-06-22 | BlackBerry Limited | Data source based application sandboxing |
US8775794B2 (en) | 2010-11-15 | 2014-07-08 | Jpmorgan Chase Bank, N.A. | System and method for end to end encryption |
US9147042B1 (en) | 2010-11-22 | 2015-09-29 | Experian Information Solutions, Inc. | Systems and methods for data verification |
US9066123B2 (en) | 2010-11-30 | 2015-06-23 | At&T Intellectual Property I, L.P. | System for monetizing resources accessible to a mobile device server |
US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
IL210169A0 (en) | 2010-12-22 | 2011-03-31 | Yehuda Binder | System and method for routing-based internet security |
US8306914B2 (en) | 2011-01-07 | 2012-11-06 | American Express Travel Related Services Company, Inc. | Offsite financial account onboarding |
US8341080B2 (en) | 2011-01-07 | 2012-12-25 | Serve Virtual Enterprises, Inc. | Offsite financial account onboarding |
CN103608829A (zh) * | 2011-01-18 | 2014-02-26 | 舍德Ip有限责任公司 | 用于基于编码完整性进行计算机化协商的系统和方法 |
US20120195234A1 (en) * | 2011-01-31 | 2012-08-02 | Yigang Cai | Method for policy-based control of enterprise messaging |
US8817984B2 (en) | 2011-02-03 | 2014-08-26 | mSignia, Inc. | Cryptographic security functions based on anticipated changes in dynamic minutiae |
US11063920B2 (en) | 2011-02-03 | 2021-07-13 | mSignia, Inc. | Cryptographic security functions based on anticipated changes in dynamic minutiae |
WO2012106655A2 (en) * | 2011-02-05 | 2012-08-09 | Visa International Service Association | Merchant-consumer bridging platform apparatuses, methods and systems |
CN103415863B (zh) * | 2011-02-07 | 2020-06-16 | 世根卡控股(香港)有限公司 | 具有识别装置的智能卡 |
US9953334B2 (en) | 2011-02-10 | 2018-04-24 | Visa International Service Association | Electronic coupon issuance and redemption apparatuses, methods and systems |
US10586227B2 (en) | 2011-02-16 | 2020-03-10 | Visa International Service Association | Snap mobile payment apparatuses, methods and systems |
CN103765453B (zh) | 2011-02-16 | 2018-08-14 | 维萨国际服务协会 | 快拍移动支付装置,方法和系统 |
US8857716B1 (en) | 2011-02-21 | 2014-10-14 | Proxense, Llc | Implementation of a proximity-based system for object tracking and automatic application initialization |
BR112013021057A2 (pt) | 2011-02-22 | 2020-11-10 | Visa International Service Association | aparelhos, métodos e sistemas de pagamento eletrônico universal |
WO2012118870A1 (en) | 2011-02-28 | 2012-09-07 | Visa International Service Association | Secure anonymous transaction apparatuses, methods and systems |
WO2012122060A1 (en) | 2011-03-04 | 2012-09-13 | Visa International Service Association | Cloud service facilitator apparatuses, methods and systems |
US11514451B2 (en) | 2011-03-15 | 2022-11-29 | Capital One Services, Llc | Systems and methods for performing financial transactions using active authentication |
US9081982B2 (en) | 2011-04-18 | 2015-07-14 | Raytheon Company | Authorized data access based on the rights of a user and a location |
WO2012155081A1 (en) | 2011-05-11 | 2012-11-15 | Visa International Service Association | Electronic receipt manager apparatuses, methods and systems |
US8769642B1 (en) | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
EP2715633A4 (en) | 2011-06-03 | 2014-12-17 | Visa Int Service Ass | APPARATUSES, METHODS, AND SYSTEMS FOR SELECTING VIRTUAL PORTFOLIO CARD |
US8600061B2 (en) | 2011-06-24 | 2013-12-03 | Broadcom Corporation | Generating secure device secret key |
US10068084B2 (en) | 2011-06-27 | 2018-09-04 | General Electric Company | Method and system of location-aware certificate based authentication |
US9355393B2 (en) | 2011-08-18 | 2016-05-31 | Visa International Service Association | Multi-directional wallet connector apparatuses, methods and systems |
US9582598B2 (en) | 2011-07-05 | 2017-02-28 | Visa International Service Association | Hybrid applications utilizing distributed models and views apparatuses, methods and systems |
AU2012278963B2 (en) | 2011-07-05 | 2017-02-23 | Visa International Service Association | Electronic wallet checkout platform apparatuses, methods and systems |
US9483606B1 (en) | 2011-07-08 | 2016-11-01 | Consumerinfo.Com, Inc. | Lifescore |
US8639930B2 (en) | 2011-07-08 | 2014-01-28 | Credibility Corp. | Automated entity verification |
US10438176B2 (en) | 2011-07-17 | 2019-10-08 | Visa International Service Association | Multiple merchant payment processor platform apparatuses, methods and systems |
WO2013019742A2 (en) * | 2011-07-29 | 2013-02-07 | Andrew Phipps | Systems and methods for electronic communication using unique identifiers associated with electronic addresses |
US20130039266A1 (en) | 2011-08-08 | 2013-02-14 | Research In Motion Limited | System and method to increase link adaptation performance with multi-level feedback |
US10825001B2 (en) | 2011-08-18 | 2020-11-03 | Visa International Service Association | Multi-directional wallet connector apparatuses, methods and systems |
US9710807B2 (en) | 2011-08-18 | 2017-07-18 | Visa International Service Association | Third-party value added wallet features and interfaces apparatuses, methods and systems |
US10318941B2 (en) | 2011-12-13 | 2019-06-11 | Visa International Service Association | Payment platform interface widget generation apparatuses, methods and systems |
US10242358B2 (en) | 2011-08-18 | 2019-03-26 | Visa International Service Association | Remote decoupled application persistent state apparatuses, methods and systems |
US9928485B2 (en) | 2011-09-07 | 2018-03-27 | Elwha Llc | Computational systems and methods for regulating information flow during interactions |
US9747561B2 (en) | 2011-09-07 | 2017-08-29 | Elwha Llc | Computational systems and methods for linking users of devices |
US20130060624A1 (en) * | 2011-09-07 | 2013-03-07 | Elwha LLC, a limited liability company of the State of Delaware | Computational systems and methods for regulating information flow during interactions |
US9491146B2 (en) | 2011-09-07 | 2016-11-08 | Elwha Llc | Computational systems and methods for encrypting data for anonymous storage |
US10546306B2 (en) * | 2011-09-07 | 2020-01-28 | Elwha Llc | Computational systems and methods for regulating information flow during interactions |
US10185814B2 (en) * | 2011-09-07 | 2019-01-22 | Elwha Llc | Computational systems and methods for verifying personal information during transactions |
US10523618B2 (en) | 2011-09-07 | 2019-12-31 | Elwha Llc | Computational systems and methods for identifying a communications partner |
US10074113B2 (en) | 2011-09-07 | 2018-09-11 | Elwha Llc | Computational systems and methods for disambiguating search terms corresponding to network members |
US9167099B2 (en) | 2011-09-07 | 2015-10-20 | Elwha Llc | Computational systems and methods for identifying a communications partner |
US9432190B2 (en) | 2011-09-07 | 2016-08-30 | Elwha Llc | Computational systems and methods for double-encrypting data for subsequent anonymous storage |
US9690853B2 (en) | 2011-09-07 | 2017-06-27 | Elwha Llc | Computational systems and methods for regulating information flow during interactions |
US10198729B2 (en) * | 2011-09-07 | 2019-02-05 | Elwha Llc | Computational systems and methods for regulating information flow during interactions |
US20130060852A1 (en) * | 2011-09-07 | 2013-03-07 | Elwha LLC, a limited liability company of the State of Delaware | Computational systems and methods for regulating information flow during interactions |
WO2013036816A1 (en) * | 2011-09-08 | 2013-03-14 | Silver Spring Networks, Inc. | Systems and methods for securing the manufacturing supply chain |
AU2011101296B4 (en) | 2011-09-15 | 2012-06-28 | Uniloc Usa, Inc. | Hardware identification through cookies |
US9106691B1 (en) | 2011-09-16 | 2015-08-11 | Consumerinfo.Com, Inc. | Systems and methods of identity protection and management |
US9117225B2 (en) | 2011-09-16 | 2015-08-25 | Visa International Service Association | Apparatuses, methods and systems for transforming user infrastructure requests inputs to infrastructure design product and infrastructure allocation outputs |
US10223730B2 (en) | 2011-09-23 | 2019-03-05 | Visa International Service Association | E-wallet store injection search apparatuses, methods and systems |
EP2745461B1 (en) * | 2011-09-27 | 2014-12-03 | Koninklijke Philips N.V. | Management of group secrets by group members |
US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
US20130085800A1 (en) * | 2011-10-03 | 2013-04-04 | Sap Ag | System and Method of Business Risk Based Authorization |
US8738516B1 (en) | 2011-10-13 | 2014-05-27 | Consumerinfo.Com, Inc. | Debt services candidate locator |
US9161226B2 (en) | 2011-10-17 | 2015-10-13 | Blackberry Limited | Associating services to perimeters |
US9497220B2 (en) | 2011-10-17 | 2016-11-15 | Blackberry Limited | Dynamically generating perimeters |
US9613219B2 (en) | 2011-11-10 | 2017-04-04 | Blackberry Limited | Managing cross perimeter access |
US8799227B2 (en) | 2011-11-11 | 2014-08-05 | Blackberry Limited | Presenting metadata from multiple perimeters |
CN102496218A (zh) * | 2011-12-06 | 2012-06-13 | 广州广电运通金融电子股份有限公司 | 一种自动柜员机业务处理方法及其系统 |
US9953378B2 (en) * | 2012-04-27 | 2018-04-24 | Visa International Service Association | Social checkout widget generation and integration apparatuses, methods and systems |
US10096022B2 (en) * | 2011-12-13 | 2018-10-09 | Visa International Service Association | Dynamic widget generator apparatuses, methods and systems |
US20130173467A1 (en) * | 2011-12-29 | 2013-07-04 | Ebay Inc. | Methods and systems for using a co-located group as an authorization mechanism |
US10223710B2 (en) | 2013-01-04 | 2019-03-05 | Visa International Service Association | Wearable intelligent vision device apparatuses, methods and systems |
US11308227B2 (en) | 2012-01-09 | 2022-04-19 | Visa International Service Association | Secure dynamic page content and layouts apparatuses, methods and systems |
US10262148B2 (en) | 2012-01-09 | 2019-04-16 | Visa International Service Association | Secure dynamic page content and layouts apparatuses, methods and systems |
US8984276B2 (en) | 2012-01-10 | 2015-03-17 | Jpmorgan Chase Bank, N.A. | System and method for device registration and authentication |
US9262604B2 (en) | 2012-02-01 | 2016-02-16 | Blackberry Limited | Method and system for locking an electronic device |
AU2013214801B2 (en) | 2012-02-02 | 2018-06-21 | Visa International Service Association | Multi-source, multi-dimensional, cross-entity, multimedia database platform apparatuses, methods and systems |
US9698975B2 (en) | 2012-02-15 | 2017-07-04 | Blackberry Limited | Key management on device for perimeters |
US9077622B2 (en) | 2012-02-16 | 2015-07-07 | Blackberry Limited | Method and apparatus for automatic VPN login on interface selection |
EP2629478B1 (en) | 2012-02-16 | 2018-05-16 | BlackBerry Limited | Method and apparatus for separation of connection data by perimeter type |
US8931045B2 (en) | 2012-02-16 | 2015-01-06 | Blackberry Limited | Method and apparatus for management of multiple grouped resources on device |
CA2799903C (en) | 2012-02-17 | 2017-10-24 | Research In Motion Limited | Certificate management method based on connectivity and policy |
EP2629480B1 (en) | 2012-02-17 | 2019-04-03 | BlackBerry Limited | Designation Of Classes For Certificates And Keys |
US9811827B2 (en) | 2012-02-28 | 2017-11-07 | Google Inc. | System and method for providing transaction verification |
EP2820851A1 (en) | 2012-03-01 | 2015-01-07 | Ologn Technologies AG | Systems, methods and apparatuses for the secure transmission and restricted use of media content |
US9559845B2 (en) * | 2012-03-01 | 2017-01-31 | Ologn Technologies Ag | Systems, methods and apparatuses for the secure transmission of media content |
US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
US10332112B2 (en) * | 2012-03-27 | 2019-06-25 | International Business Machines Corporation | Authentication for transactions using near field communication |
US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
WO2013147891A1 (en) | 2012-03-30 | 2013-10-03 | Intel Corporation | Client security scoring |
US9853959B1 (en) | 2012-05-07 | 2017-12-26 | Consumerinfo.Com, Inc. | Storage and maintenance of personal data |
US9369466B2 (en) | 2012-06-21 | 2016-06-14 | Blackberry Limited | Managing use of network resources |
US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
US8959337B2 (en) | 2012-06-25 | 2015-02-17 | International Business Machines Corporation | Digital certificate issuer-correlated digital signature verification |
US8972762B2 (en) | 2012-07-11 | 2015-03-03 | Blackberry Limited | Computing devices and methods for resetting inactivity timers on computing devices |
WO2014026384A1 (zh) * | 2012-08-17 | 2014-02-20 | 华为技术有限公司 | 用户设备配对处理方法、网络侧设备和用户设备 |
US9087191B2 (en) | 2012-08-24 | 2015-07-21 | Vmware, Inc. | Method and system for facilitating isolated workspace for applications |
US9094413B2 (en) * | 2012-08-27 | 2015-07-28 | Vmware, Inc. | Configuration profile validation on iOS Using SSL and redirect |
US9054863B2 (en) | 2012-09-04 | 2015-06-09 | Rockwell Automation Asia Pacific Business Center Pte. Ltd. | Industrial protocol system authentication and firewall |
WO2014061326A1 (ja) * | 2012-10-15 | 2014-04-24 | 日本電気株式会社 | セキュリティ機能設計支援装置、セキュリティ機能設計支援方法、およびプログラム |
US8656016B1 (en) | 2012-10-24 | 2014-02-18 | Blackberry Limited | Managing application execution and data access on a device |
US9075955B2 (en) | 2012-10-24 | 2015-07-07 | Blackberry Limited | Managing permission settings applied to applications |
US9654541B1 (en) | 2012-11-12 | 2017-05-16 | Consumerinfo.Com, Inc. | Aggregating user web browsing data |
US9916621B1 (en) | 2012-11-30 | 2018-03-13 | Consumerinfo.Com, Inc. | Presentation of credit score factors |
US9241259B2 (en) | 2012-11-30 | 2016-01-19 | Websense, Inc. | Method and apparatus for managing the transfer of sensitive information to mobile devices |
US9462332B2 (en) | 2012-12-05 | 2016-10-04 | At&T Intellectual Property I, L.P. | Method and apparatus for controlling a media device |
US9239937B2 (en) * | 2013-01-07 | 2016-01-19 | Lenovo (Singapore) Pte. Ltd. | Targeted security policy override |
US9197700B2 (en) * | 2013-01-18 | 2015-11-24 | Apple Inc. | Keychain syncing |
US9124637B2 (en) | 2013-01-18 | 2015-09-01 | Apple Inc. | Data protection for keychain syncing |
CN104969176B (zh) | 2013-01-29 | 2019-12-27 | 黑莓有限公司 | 一种管理应用对证书和密钥的访问的方法、设备及介质 |
US9697263B1 (en) | 2013-03-04 | 2017-07-04 | Experian Information Solutions, Inc. | Consumer data request fulfillment system |
US8972400B1 (en) | 2013-03-11 | 2015-03-03 | Consumerinfo.Com, Inc. | Profile data management |
US10102570B1 (en) | 2013-03-14 | 2018-10-16 | Consumerinfo.Com, Inc. | Account vulnerability alerts |
US9406085B1 (en) | 2013-03-14 | 2016-08-02 | Consumerinfo.Com, Inc. | System and methods for credit dispute processing, resolution, and reporting |
US8959595B2 (en) | 2013-03-15 | 2015-02-17 | Bullaproof, Inc. | Methods and systems for providing secure transactions |
US10270748B2 (en) * | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
US9305298B2 (en) | 2013-03-22 | 2016-04-05 | Nok Nok Labs, Inc. | System and method for location-based authentication |
AU2013100802B4 (en) | 2013-04-11 | 2013-11-14 | Uniloc Luxembourg S.A. | Device authentication using inter-person message metadata |
CN105392947A (zh) * | 2013-04-16 | 2016-03-09 | 奥的斯电梯公司 | 在不与安全供应商整合的情况下控制流通量 |
US10685398B1 (en) | 2013-04-23 | 2020-06-16 | Consumerinfo.Com, Inc. | Presenting credit score information |
US8695068B1 (en) | 2013-04-25 | 2014-04-08 | Uniloc Luxembourg, S.A. | Device authentication using display device irregularity |
US9405898B2 (en) | 2013-05-10 | 2016-08-02 | Proxense, Llc | Secure element as a digital pocket |
US9961077B2 (en) | 2013-05-30 | 2018-05-01 | Nok Nok Labs, Inc. | System and method for biometric authentication with device attestation |
US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
US9641339B2 (en) * | 2013-07-31 | 2017-05-02 | Arista Networks, Inc. | System and method for authentication for field replaceable units |
EP3029879B1 (en) * | 2013-08-05 | 2018-07-04 | Sony Corporation | Information processing device, information processing method, and computer program |
CN104424419A (zh) * | 2013-08-30 | 2015-03-18 | 鸿富锦精密工业(武汉)有限公司 | 基于声纹识别技术的加密与解密方法及系统 |
US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
US10042489B2 (en) | 2013-09-30 | 2018-08-07 | Synaptics Incorporated | Matrix sensor for image touch sensing |
US20150091842A1 (en) | 2013-09-30 | 2015-04-02 | Synaptics Incorporated | Matrix sensor for image touch sensing |
US9298325B2 (en) | 2013-09-30 | 2016-03-29 | Synaptics Incorporated | Processing system for a capacitive sensing device |
US10756906B2 (en) | 2013-10-01 | 2020-08-25 | Kalman Csaba Toth | Architecture and methods for self-sovereign digital identity |
US9646150B2 (en) * | 2013-10-01 | 2017-05-09 | Kalman Csaba Toth | Electronic identity and credentialing system |
EP2860904A1 (en) * | 2013-10-08 | 2015-04-15 | Thomson Licensing | Method for signing a set of binary elements, and updating such signature, corresponding electronic device and computer program product |
US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
US9942396B2 (en) | 2013-11-01 | 2018-04-10 | Adobe Systems Incorporated | Document distribution and interaction |
US9058626B1 (en) | 2013-11-13 | 2015-06-16 | Jpmorgan Chase Bank, N.A. | System and method for financial services device usage |
US10102536B1 (en) | 2013-11-15 | 2018-10-16 | Experian Information Solutions, Inc. | Micro-geographic aggregation system |
US10325314B1 (en) | 2013-11-15 | 2019-06-18 | Consumerinfo.Com, Inc. | Payment reporting systems |
US9477737B1 (en) | 2013-11-20 | 2016-10-25 | Consumerinfo.Com, Inc. | Systems and user interfaces for dynamic access of multiple remote databases and synchronization of data based on user rules |
US9282107B1 (en) * | 2013-11-21 | 2016-03-08 | Intuit Inc. | Secure verification of website claims |
US9529851B1 (en) | 2013-12-02 | 2016-12-27 | Experian Information Solutions, Inc. | Server architecture for electronic data quality processing |
US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
US9544149B2 (en) * | 2013-12-16 | 2017-01-10 | Adobe Systems Incorporated | Automatic E-signatures in response to conditions and/or events |
CN103763103B (zh) * | 2013-12-31 | 2017-02-01 | 飞天诚信科技股份有限公司 | 一种智能卡生成脱机认证凭据的方法 |
CN104767613B (zh) * | 2014-01-02 | 2018-02-13 | 腾讯科技(深圳)有限公司 | 签名验证方法、装置及系统 |
US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
US9270662B1 (en) | 2014-01-13 | 2016-02-23 | Amazon Technologies, Inc. | Adaptive client-aware session security |
US9619614B2 (en) * | 2014-02-03 | 2017-04-11 | Roberto Rodriguez | Method, apparatus, and computer-readable medium for integrating and sharing patient-related information via an authenticated application programming interface |
US10262362B1 (en) | 2014-02-14 | 2019-04-16 | Experian Information Solutions, Inc. | Automatic generation of code for attributes |
US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
US20150281468A1 (en) * | 2014-03-27 | 2015-10-01 | Globalpay Solutions Usa, Inc. | Method for Financing Purchases for Others Using a Sender's Charge Account |
US9892457B1 (en) | 2014-04-16 | 2018-02-13 | Consumerinfo.Com, Inc. | Providing credit data in search results |
CN105100129B (zh) | 2014-04-25 | 2019-10-25 | 阿里巴巴集团控股有限公司 | 一种数据传输的方法、装置和系统 |
US9413533B1 (en) | 2014-05-02 | 2016-08-09 | Nok Nok Labs, Inc. | System and method for authorizing a new authenticator |
US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
US9577999B1 (en) | 2014-05-02 | 2017-02-21 | Nok Nok Labs, Inc. | Enhanced security for registration of authentication devices |
US10558969B2 (en) * | 2014-06-23 | 2020-02-11 | Visa International Service Association | Modified confirmation element data for transaction confirmation |
DE102014108911A1 (de) * | 2014-06-25 | 2015-12-31 | Paschalis Papagrigoriou | Uhr mit erweiterter Funktionalität zur Absicherung elektronischer Transaktionen mit sicheren elektronischen Signaturen |
US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
US9584530B1 (en) * | 2014-06-27 | 2017-02-28 | Wickr Inc. | In-band identity verification and man-in-the-middle defense |
US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
US9245268B1 (en) * | 2014-07-10 | 2016-01-26 | Bank Of America Corporation | Dynamic card validation |
US9749131B2 (en) | 2014-07-31 | 2017-08-29 | Nok Nok Labs, Inc. | System and method for implementing a one-time-password using asymmetric cryptography |
US9875347B2 (en) | 2014-07-31 | 2018-01-23 | Nok Nok Labs, Inc. | System and method for performing authentication using data analytics |
US9455979B2 (en) | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
JP6219248B2 (ja) * | 2014-08-25 | 2017-10-25 | 株式会社東芝 | 情報処理装置及び通信装置 |
WO2016040920A1 (en) * | 2014-09-14 | 2016-03-17 | Thompson Aerospace, Inc. | Method and system for security and authentication of aircraft data transmissions |
US9736154B2 (en) | 2014-09-16 | 2017-08-15 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
US9489508B2 (en) | 2014-11-13 | 2016-11-08 | Seagate Technology Llc | Device functionality access control using unique device credentials |
US20160173502A1 (en) * | 2014-12-15 | 2016-06-16 | International Business Machines Corporation | Jurisdictional cloud data access |
US10333696B2 (en) | 2015-01-12 | 2019-06-25 | X-Prime, Inc. | Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency |
US11216468B2 (en) | 2015-02-08 | 2022-01-04 | Visa International Service Association | Converged merchant processing apparatuses, methods and systems |
NZ762158A (en) * | 2015-03-03 | 2022-05-27 | Wonderhealth Llc | Access control for encrypted data in machine-readable identifiers |
US9774571B2 (en) | 2015-03-10 | 2017-09-26 | Microsoft Technology Licensing, Llc | Automatic provisioning of meeting room device |
US20160269409A1 (en) | 2015-03-13 | 2016-09-15 | Microsoft Technology Licensing, Llc | Meeting Join for Meeting Device |
SE539942C2 (en) * | 2015-03-25 | 2018-02-06 | Crunchfish Ab | Asset authentication in a dynamic, proximity-based network of communication devices |
CN104821021A (zh) * | 2015-03-30 | 2015-08-05 | 无锡市崇安区科技创业服务中心 | 一种基于密码信息自动推送的储物柜控制系统 |
KR102284954B1 (ko) * | 2015-04-08 | 2021-08-03 | 삼성전자 주식회사 | 무선 통신 시스템에서 단말에 프로파일을 다운로드 하는 방법 및 장치 |
EP3292484B1 (en) | 2015-05-05 | 2021-07-07 | Ping Identity Corporation | Identity management service using a block chain |
WO2016186678A1 (en) * | 2015-05-21 | 2016-11-24 | Hewlett Packard Enterprise Development Lp | Contract token including sensor data |
US10868672B1 (en) | 2015-06-05 | 2020-12-15 | Apple Inc. | Establishing and verifying identity using biometrics while protecting user privacy |
US11140171B1 (en) | 2015-06-05 | 2021-10-05 | Apple Inc. | Establishing and verifying identity using action sequences while protecting user privacy |
US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
US10878399B1 (en) | 2015-07-02 | 2020-12-29 | Jpmorgan Chase Bank, N.A. | System and method for implementing payment with a mobile payment device |
US11521203B2 (en) * | 2015-07-09 | 2022-12-06 | Cryptography Research, Inc. | Generating a cryptographic key based on transaction data of mobile payments |
WO2017010455A1 (ja) * | 2015-07-13 | 2017-01-19 | 日本電信電話株式会社 | 契約合意方法、合意検証方法、契約合意システム、合意検証装置、契約合意装置、契約合意プログラム及び合意検証プログラム |
US10129035B2 (en) | 2015-08-10 | 2018-11-13 | Data I/O Corporation | Device birth certificate |
DE102015011076A1 (de) * | 2015-08-24 | 2017-03-02 | Giesecke & Devrient Gmbh | Transaktionssystem |
US9935777B2 (en) | 2015-08-31 | 2018-04-03 | Adobe Systems Incorporated | Electronic signature framework with enhanced security |
US20170134280A1 (en) * | 2015-11-11 | 2017-05-11 | Mastercard International Incorporated | Method and system for validation of hashed data via acceptance frames |
CN105447934B (zh) * | 2015-11-13 | 2018-07-10 | 珠海唯码科技有限公司 | 一种多重远程认证数码防盗锁 |
CN105306490B (zh) * | 2015-11-23 | 2018-04-24 | 小米科技有限责任公司 | 支付验证系统、方法及装置 |
US10067587B2 (en) | 2015-12-29 | 2018-09-04 | Synaptics Incorporated | Routing conductors in an integrated display device and sensing device |
US20170200244A1 (en) * | 2016-01-07 | 2017-07-13 | Adobe Systems Incorporated | Systems and Techniques for Integrating Electronic Signature Platforms with Social Messaging Applications for Authenticated Electronic Documents |
CN105471918B (zh) * | 2016-01-13 | 2018-06-12 | 中山大学 | 一种代理重指定验证者签名方法 |
US10476680B2 (en) | 2016-02-03 | 2019-11-12 | Ememory Technology Inc. | Electronic device with self-protection and anti-cloning capabilities and related method |
GB2547954B (en) * | 2016-03-03 | 2021-12-22 | Zwipe As | Attack resistant biometric authorised device |
US10587609B2 (en) | 2016-03-04 | 2020-03-10 | ShoCard, Inc. | Method and system for authenticated login using static or dynamic codes |
US10007826B2 (en) | 2016-03-07 | 2018-06-26 | ShoCard, Inc. | Transferring data files using a series of visual codes |
US10509932B2 (en) | 2016-03-07 | 2019-12-17 | ShoCard, Inc. | Large data transfer using visual codes with feedback confirmation |
US10863558B2 (en) * | 2016-03-30 | 2020-12-08 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing trusted relationships in a software defined network |
TWI599990B (zh) * | 2016-04-07 | 2017-09-21 | 永奕科技股份有限公司 | 使用標籤進行巡檢之方法、系統和通訊終端 |
US11120450B1 (en) | 2016-05-11 | 2021-09-14 | United Services Automobile Association (Usaa) | Dynamic risk assessment for security features |
US10347215B2 (en) | 2016-05-27 | 2019-07-09 | Adobe Inc. | Multi-device electronic signature framework |
JP6721435B2 (ja) * | 2016-07-04 | 2020-07-15 | 株式会社東芝 | Icカード、携帯可能電子装置及び情報処理方法 |
US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
WO2018063167A1 (en) * | 2016-09-27 | 2018-04-05 | Visa International Service Association | Distributed electronic record and transaction history |
US9742742B1 (en) | 2016-11-18 | 2017-08-22 | Vaultara LLC | Secure data transfer system and method |
US10715520B2 (en) | 2016-12-08 | 2020-07-14 | Mastercard International Incorporated | Systems and methods for decentralized biometric enrollment |
US10452877B2 (en) | 2016-12-16 | 2019-10-22 | Assa Abloy Ab | Methods to combine and auto-configure wiegand and RS485 |
US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
US10366392B2 (en) | 2017-01-12 | 2019-07-30 | Bank Of America Corporation | Marker code generation for resource distribution authority flagging |
BR112019015920A8 (pt) | 2017-01-31 | 2020-04-28 | Experian Inf Solutions Inc | ingestão de dados heterogêneos em escala massiva e resolução de usuário |
US10498541B2 (en) | 2017-02-06 | 2019-12-03 | ShocCard, Inc. | Electronic identification verification methods and systems |
US20180248869A1 (en) * | 2017-02-28 | 2018-08-30 | Panasonic Intellectual Property Management Co., Ltd. | Mobile device theme park or resort experience dongle |
US10503919B2 (en) | 2017-04-10 | 2019-12-10 | Adobe Inc. | Electronic signature framework with keystroke biometric authentication |
US11526955B2 (en) * | 2017-05-30 | 2022-12-13 | Entersekt International Limited | Protocol-based system and method for establishing a multi-party contract |
US10489609B1 (en) * | 2017-06-06 | 2019-11-26 | Xilinx, Inc. | Restricting programmable integrated circuits to specific applications |
US10708244B2 (en) * | 2017-06-07 | 2020-07-07 | Virtual Connect Technologies, Inc. | System and method for encryption, storage and transmission of digital information |
SG10201705868TA (en) * | 2017-07-18 | 2019-02-27 | Mastercard International Inc | Electronic signature processing apparatus and methods |
US10447486B2 (en) * | 2017-07-19 | 2019-10-15 | Spyrus, Inc. | Remote attestation of a security module's assurance level |
US20190031145A1 (en) * | 2017-07-28 | 2019-01-31 | Alclear, Llc | Biometric identification system connected vehicle |
US10713657B2 (en) * | 2017-08-01 | 2020-07-14 | Capital One Services, Llc | Systems and methods for estimating authenticity of local network of device initiating remote transaction |
CN107491678A (zh) * | 2017-08-16 | 2017-12-19 | 合肥庆响网络科技有限公司 | 计算机虹膜识别开机系统 |
CN107395370B (zh) * | 2017-09-05 | 2020-07-14 | 深圳奥联信息安全技术有限公司 | 基于标识的数字签名方法和装置 |
US10887090B2 (en) * | 2017-09-22 | 2021-01-05 | Nec Corporation | Scalable byzantine fault-tolerant protocol with partial tee support |
EP3704830B1 (en) * | 2017-10-30 | 2021-09-29 | Visa International Service Association | Multi-party threshold authenticated encryption |
US10666446B2 (en) * | 2017-11-15 | 2020-05-26 | Xage Security, Inc. | Decentralized enrollment and revocation of devices |
US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
EP3721578B1 (en) | 2017-12-08 | 2022-09-07 | Ping Identity Corporation | Methods and systems for recovering data using dynamic passwords |
EP3502941B1 (en) | 2017-12-19 | 2021-01-20 | Riddle & Code GmbH | Dongles and method for providing a digital signature |
CN109982150B (zh) * | 2017-12-27 | 2020-06-23 | 国家新闻出版广电总局广播科学研究院 | 智能电视终端的信任链建立方法和智能电视终端 |
US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
US20200402167A1 (en) * | 2018-02-08 | 2020-12-24 | 2Bc Innovations, Llc | Updating a portfolio of blockchain-encoded rived longevity-contingent instruments |
US20210004906A1 (en) * | 2018-02-08 | 2021-01-07 | 2Bc Innovations, Llc | Modifying a portfolio of blockchain-encoded rived longevity-contingent instruments |
US10795986B2 (en) | 2018-02-12 | 2020-10-06 | Ge Energy Power Conversion Technology Limited | Method and system for authenticating a component in a power converter |
US11188897B2 (en) * | 2018-02-13 | 2021-11-30 | Bank Of America Corporation | Multi-tiered digital wallet security |
EP3537337B1 (en) * | 2018-03-05 | 2023-10-25 | Nxp B.V. | User authentication system and method for enrolling fingerprint reference data |
US10887305B1 (en) * | 2018-03-30 | 2021-01-05 | Mckesson Corporation | Method and apparatus for generating and providing a temporary password to control access to a record created in response to an electronic message |
US10404454B1 (en) | 2018-04-25 | 2019-09-03 | Blockchain Asics Llc | Cryptographic ASIC for derivative key hierarchy |
EP3564846A1 (en) | 2018-04-30 | 2019-11-06 | Merck Patent GmbH | Methods and systems for automatic object recognition and authentication |
WO2019246399A1 (en) * | 2018-06-20 | 2019-12-26 | Google Llc | Digital ledger for unique item ids with ownership |
US11373202B2 (en) * | 2018-07-16 | 2022-06-28 | Mastercard International Incorporated | Method and system for referral fraud prevention via blockchain |
US11057187B2 (en) * | 2018-08-09 | 2021-07-06 | Guardtime Sa | Blockchain-assisted hash-based data signature system and method |
DE102018119530A1 (de) * | 2018-08-10 | 2020-02-13 | Bundesdruckerei Gmbh | Netzwerkmodul zum Bereitstellen einer Kommunikationsverbindung zwischen einer Datenverarbeitungsentität und einem Kommunikationsnetzwerk |
US10880313B2 (en) | 2018-09-05 | 2020-12-29 | Consumerinfo.Com, Inc. | Database platform for realtime updating of user data from third party sources |
US10963434B1 (en) | 2018-09-07 | 2021-03-30 | Experian Information Solutions, Inc. | Data architecture for supporting multiple search models |
US11301853B2 (en) * | 2018-09-13 | 2022-04-12 | Paypal, Inc. | Speculative transaction operations for recognized devices |
US10489781B1 (en) * | 2018-10-02 | 2019-11-26 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
CN109493023B (zh) * | 2018-10-17 | 2022-01-25 | 珠海横琴井通容智科技信息有限公司 | 基于防篡改加密算法的移动支付清结算方法 |
US10979227B2 (en) | 2018-10-17 | 2021-04-13 | Ping Identity Corporation | Blockchain ID connect |
US11082221B2 (en) | 2018-10-17 | 2021-08-03 | Ping Identity Corporation | Methods and systems for creating and recovering accounts using dynamic passwords |
US11315179B1 (en) | 2018-11-16 | 2022-04-26 | Consumerinfo.Com, Inc. | Methods and apparatuses for customized card recommendations |
TWI682301B (zh) * | 2018-11-19 | 2020-01-11 | 歐生全科技股份有限公司 | 多功能認證裝置與運作方法 |
JP2020108070A (ja) | 2018-12-28 | 2020-07-09 | 株式会社東芝 | 通信制御装置および通信制御システム |
CN109872233A (zh) * | 2019-01-17 | 2019-06-11 | 深圳壹账通智能科技有限公司 | 合同签订方法、装置、计算机设备及存储介质 |
US11050571B2 (en) | 2019-02-14 | 2021-06-29 | Carrott Richard F | Systems for producing and maintaining verified electronic signatures |
US11238656B1 (en) | 2019-02-22 | 2022-02-01 | Consumerinfo.Com, Inc. | System and method for an augmented reality experience via an artificial intelligence bot |
US11765164B2 (en) * | 2019-02-26 | 2023-09-19 | Amazon Technologies, Inc. | Server-based setup for connecting a device to a local area network |
US10425230B1 (en) * | 2019-03-01 | 2019-09-24 | Capital One Services, Llc | Identity and electronic signature verification in blockchain |
US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
US20200364722A1 (en) * | 2019-05-16 | 2020-11-19 | Alclear, Llc | Biometric payment processing that configures payment processing for a determined merchant of record |
TWI772654B (zh) * | 2019-06-21 | 2022-08-01 | 天宿智能科技股份有限公司 | 跨區塊鏈第三方仲裁履約保證系統及其方法 |
US11783342B1 (en) * | 2019-07-09 | 2023-10-10 | Wells Fargo Bank, N.A. | Blockchain blacklist anti-money laundering system (BBAMLS) |
CN110532807B (zh) * | 2019-07-30 | 2024-03-08 | 平安科技(深圳)有限公司 | 电子化凭证生成方法、装置、计算机设备及存储介质 |
US11941065B1 (en) | 2019-09-13 | 2024-03-26 | Experian Information Solutions, Inc. | Single identifier platform for storing entity data |
US11349660B2 (en) * | 2019-09-19 | 2022-05-31 | Bose Corporation | Secure self-identification of a device |
US20210111902A1 (en) * | 2019-10-11 | 2021-04-15 | Qualcomm Incorporated | System information protection at a network function in the core network |
US11526859B1 (en) | 2019-11-12 | 2022-12-13 | Bottomline Technologies, Sarl | Cash flow forecasting using a bottoms-up machine learning approach |
US11532040B2 (en) | 2019-11-12 | 2022-12-20 | Bottomline Technologies Sarl | International cash management software using machine learning |
TWI725623B (zh) * | 2019-11-15 | 2021-04-21 | 倍加科技股份有限公司 | 基於管理者自發行票券的點對點權限管理方法 |
CN110929300B (zh) * | 2019-12-11 | 2022-02-08 | 中国人民解放军国防科技大学 | 一种基于标识密码的可信计算安全芯片构建方法 |
US11659001B2 (en) | 2019-12-12 | 2023-05-23 | General Electric Company | Non-intrusive replay attack detection system |
US20240046258A1 (en) * | 2019-12-18 | 2024-02-08 | Wells Fargo Bank, N.A. | Group payment accounts |
US11438152B2 (en) * | 2020-01-31 | 2022-09-06 | Visa International Service Association | Distributed symmetric encryption |
FR3106909B1 (fr) | 2020-01-31 | 2022-02-18 | St Microelectronics Grenoble 2 | Circuit intégré configuré pour réaliser des opérations de chiffrement symétrique avec protection de clé secrète |
US11121864B1 (en) * | 2020-03-13 | 2021-09-14 | International Business Machines Corporation | Secure private key distribution between endpoint instances |
CN111401901B (zh) * | 2020-03-23 | 2021-06-04 | 腾讯科技(深圳)有限公司 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
US11704671B2 (en) | 2020-04-02 | 2023-07-18 | Bottomline Technologies Limited | Financial messaging transformation-as-a-service |
US11539648B2 (en) * | 2020-07-27 | 2022-12-27 | Bytedance Inc. | Data model of a messaging service |
CN112039674B (zh) * | 2020-08-06 | 2021-07-20 | 珠海格力电器股份有限公司 | 中控系统访问和签名标识生成方法、装置及存储介质 |
US11593351B2 (en) | 2020-09-22 | 2023-02-28 | Bank Of America Corporation | Error correction for data control ledgers |
US11573953B2 (en) | 2020-09-22 | 2023-02-07 | Bank Of America Corporation | Error correction for integrated data control ledgers |
US11763296B2 (en) | 2020-09-22 | 2023-09-19 | Bank Of America Corporation | Information security using integrated data control ledgers |
US11658832B2 (en) | 2020-09-22 | 2023-05-23 | Bank Of America Corporation | Information security using data control ledgers |
US20220245122A1 (en) * | 2021-01-29 | 2022-08-04 | Docusign, Inc. | Document package modifications based on organization policies in a document management platform |
CN112948831B (zh) * | 2021-03-12 | 2024-02-13 | 安天科技集团股份有限公司 | 应用程序风险识别的方法和装置 |
WO2022192659A1 (en) * | 2021-03-12 | 2022-09-15 | Visa International Service Association | System, method, and computer program product for secure client device and consumer authentication |
US11880377B1 (en) | 2021-03-26 | 2024-01-23 | Experian Information Solutions, Inc. | Systems and methods for entity resolution |
US11170130B1 (en) | 2021-04-08 | 2021-11-09 | Aster Key, LLC | Apparatus, systems and methods for storing user profile data on a distributed database for anonymous verification |
US20230011621A1 (en) * | 2021-07-10 | 2023-01-12 | Artema Labs, Inc | Artifact Origination and Content Tokenization |
US11790057B2 (en) | 2021-08-17 | 2023-10-17 | Sap Se | Controlling program execution using an access key |
US20230062244A1 (en) * | 2021-09-01 | 2023-03-02 | Qualcomm Incorporated | Extended reality control of smart devices |
US11750502B2 (en) | 2021-09-01 | 2023-09-05 | Schweitzer Engineering Laboratories, Inc. | Detection of in-band software defined network controllers using parallel redundancy protocol |
US11336564B1 (en) | 2021-09-01 | 2022-05-17 | Schweitzer Engineering Laboratories, Inc. | Detection of active hosts using parallel redundancy protocol in software defined networks |
US20230385840A1 (en) * | 2022-05-27 | 2023-11-30 | Capital One Services, Llc | System and method for reducing government identification fraud |
US11843619B1 (en) * | 2022-10-07 | 2023-12-12 | Uab 360 It | Stateless system to enable data breach notification |
CN115660878B (zh) * | 2022-11-03 | 2023-05-05 | 深圳标普云科技有限公司 | 一种电子发票的实现方法及系统 |
Family Cites Families (211)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US501196A (en) * | 1893-07-11 | Whip-hanger | ||
JPS5331209B2 (ja) * | 1973-10-05 | 1978-09-01 | ||
US3962539A (en) * | 1975-02-24 | 1976-06-08 | International Business Machines Corporation | Product block cipher system for data security |
US4200770A (en) * | 1977-09-06 | 1980-04-29 | Stanford University | Cryptographic apparatus and method |
US4218582A (en) * | 1977-10-06 | 1980-08-19 | The Board Of Trustees Of The Leland Stanford Junior University | Public key cryptographic apparatus and method |
US4405829A (en) * | 1977-12-14 | 1983-09-20 | Massachusetts Institute Of Technology | Cryptographic communications system and method |
US4408203A (en) * | 1978-01-09 | 1983-10-04 | Mastercard International, Inc. | Security system for electronic funds transfer system |
US4424414A (en) * | 1978-05-01 | 1984-01-03 | Board Of Trustees Of The Leland Stanford Junior University | Exponentiation cryptographic apparatus and method |
US4825050A (en) * | 1983-09-13 | 1989-04-25 | Transaction Security Corporation | Security transaction system for financial data |
DE3587083T2 (de) * | 1984-04-18 | 1993-06-03 | Nec Corp | Identifizierungssystem durch pruefung von fingerabdruecken. |
JPS619052A (ja) * | 1984-06-25 | 1986-01-16 | Toshiba Corp | 通信ネツトワ−クシステム |
JPS6136844U (ja) * | 1984-08-07 | 1986-03-07 | 株式会社 ニツクス | X線フイルム符号シ−ト |
US4652698A (en) * | 1984-08-13 | 1987-03-24 | Ncr Corporation | Method and system for providing system security in a remote terminal environment |
US4734564A (en) * | 1985-05-02 | 1988-03-29 | Visa International Service Association | Transaction system with off-line risk assessment |
US5018196A (en) * | 1985-09-04 | 1991-05-21 | Hitachi, Ltd. | Method for electronic transaction with digital signature |
JPS6256043A (ja) * | 1985-09-04 | 1987-03-11 | Hitachi Ltd | 電子取引方式 |
FR2592502B1 (fr) * | 1985-12-26 | 1990-03-30 | Lefevre Jean Pierre | Certificateur a memorisation sequentielle |
US4798668A (en) * | 1986-01-31 | 1989-01-17 | Union Oil Company Of California | Extraction of hydrocarbon-containing solids |
JPH0754536B2 (ja) * | 1986-02-17 | 1995-06-07 | 株式会社日立製作所 | Icカ−ド利用システム |
FR2596177B1 (fr) * | 1986-03-19 | 1992-01-17 | Infoscript | Procede et dispositif de sauvegarde qualitative de donnees numerisees |
SE450604B (sv) * | 1986-04-28 | 1987-07-06 | Eric Rothfjell | Forfarande jemte en anordning for signaturverifiering |
EP0244498B1 (de) * | 1986-05-06 | 1991-06-12 | Siemens Aktiengesellschaft | Anordnung und Verfahren zur Ermittelung der Berechtigung von Personen durch Überprüfen ihrer Fingerabdrücke |
US4748668A (en) * | 1986-07-09 | 1988-05-31 | Yeda Research And Development Company Limited | Method, apparatus and article for identification and signature |
US4797920A (en) * | 1987-05-01 | 1989-01-10 | Mastercard International, Inc. | Electronic funds transfer system with means for verifying a personal identification number without pre-established secret keys |
US4850017A (en) * | 1987-05-29 | 1989-07-18 | International Business Machines Corp. | Controlled use of cryptographic keys via generating station established control values |
CA1271624A (en) * | 1987-06-19 | 1990-07-17 | Donald W. Dunbar | Sheath cutting tool |
US5140634A (en) * | 1987-09-07 | 1992-08-18 | U.S Philips Corporation | Method and apparatus for authenticating accreditations and for authenticating and signing messages |
US4868877A (en) * | 1988-02-12 | 1989-09-19 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
US4879747A (en) * | 1988-03-21 | 1989-11-07 | Leighton Frank T | Method and system for personal identification |
US5025373A (en) * | 1988-06-30 | 1991-06-18 | Jml Communications, Inc. | Portable personal-banking system |
US5225978A (en) * | 1989-01-25 | 1993-07-06 | Usisys Corp. | Document processing system having integrated expert module |
CA2011396C (en) | 1989-03-03 | 1995-01-03 | Kazue Tanaka | Cipher-key distribution system |
US5649114A (en) * | 1989-05-01 | 1997-07-15 | Credit Verification Corporation | Method and system for selective incentive point-of-sale marketing in response to customer shopping histories |
US5455865A (en) * | 1989-05-09 | 1995-10-03 | Digital Equipment Corporation | Robust packet routing over a distributed network containing malicious failures |
DE3926166A1 (de) * | 1989-08-08 | 1991-02-14 | Bosch Gmbh Robert | Kraftstoffeinspritzpumpe fuer dieselbrennkraftmaschinen |
US5001752A (en) * | 1989-10-13 | 1991-03-19 | Fischer Addison M | Public/key date-time notary facility |
GB2237670B (en) * | 1989-11-03 | 1993-04-07 | De La Rue Syst | Reciprocal transfer system |
WO1991018459A2 (de) * | 1990-05-18 | 1991-11-28 | Ascom Tech Ag | Vorrichtung für das umwandeln eines digitalblockes und verwendung derselben |
US5231668A (en) * | 1991-07-26 | 1993-07-27 | The United States Of America, As Represented By The Secretary Of Commerce | Digital signature algorithm |
US5473143A (en) * | 1991-09-23 | 1995-12-05 | Atm Communications International, Inc. | ATM/POS based electronic mail system |
US5557518A (en) * | 1994-04-28 | 1996-09-17 | Citibank, N.A. | Trusted agents for open electronic commerce |
US5453601A (en) * | 1991-11-15 | 1995-09-26 | Citibank, N.A. | Electronic-monetary system |
US5280527A (en) * | 1992-04-14 | 1994-01-18 | Kamahira Safe Co., Inc. | Biometric token for authorizing access to a host system |
US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
US5540711A (en) * | 1992-06-02 | 1996-07-30 | General Surgical Innovations, Inc. | Apparatus and method for developing an anatomic space for laparoscopic procedures with laparoscopic visualization |
DE69332633T2 (de) * | 1992-07-20 | 2003-11-06 | Compaq Computer Corp | Verfahren und Sytem um, auf Bescheinigung gestützt, Alias zu entdecken |
US5396558A (en) * | 1992-09-18 | 1995-03-07 | Nippon Telegraph And Telephone Corporation | Method and apparatus for settlement of accounts by IC cards |
US5412703A (en) * | 1993-02-04 | 1995-05-02 | Institute For Radiological Image Science, Inc. | Reduced partial volume artifacts in image reconstruction, with application to X-ray computed tomography |
US5675138A (en) | 1993-04-02 | 1997-10-07 | Psc, Inc. | Non-contact actuated trigger apparatus for bar code laser scanner |
US5422953A (en) * | 1993-05-05 | 1995-06-06 | Fischer; Addison M. | Personal date/time notary device |
US5677953A (en) * | 1993-09-14 | 1997-10-14 | Spyrus, Inc. | System and method for access control for portable data storage media |
JP2821348B2 (ja) * | 1993-10-21 | 1998-11-05 | 日本電気ソフトウェア株式会社 | 指紋照合装置 |
US5625690A (en) * | 1993-11-15 | 1997-04-29 | Lucent Technologies Inc. | Software pay per use system |
WO1995016238A1 (en) * | 1993-12-06 | 1995-06-15 | Telequip Corporation | Secure computer memory card |
WO1995016971A1 (en) * | 1993-12-16 | 1995-06-22 | Open Market, Inc. | Digital active advertising |
AU1680395A (en) * | 1994-01-13 | 1995-08-01 | Bankers Trust Company | Cryptographic system and method with key escrow feature |
US5787172A (en) * | 1994-02-24 | 1998-07-28 | The Merdan Group, Inc. | Apparatus and method for establishing a cryptographic link between elements of a system |
HU214593B (hu) * | 1994-03-23 | 1998-06-29 | HYD Kutató-Fejlesztő Kft. | Kozmetikai, higiéniai, valamint szépség- és testápoló készítmények és eljárás azok előállítására |
JPH09510636A (ja) * | 1994-03-24 | 1997-10-28 | ミネソタ マイニング アンド マニュファクチャリング カンパニー | 生物測定の個人認証システム |
US5598474A (en) * | 1994-03-29 | 1997-01-28 | Neldon P Johnson | Process for encrypting a fingerprint onto an I.D. card |
US5509071A (en) * | 1994-04-01 | 1996-04-16 | Microelectronics And Computer Technology Corporation | Electronic proof of receipt |
US5563946A (en) * | 1994-04-25 | 1996-10-08 | International Business Machines Corporation | Method and apparatus for enabling trial period use of software products: method and apparatus for passing encrypted files between data processing systems |
US5799087A (en) | 1994-04-28 | 1998-08-25 | Citibank, N.A. | Electronic-monetary system |
GB9410337D0 (en) | 1994-05-24 | 1994-07-13 | Cryptech Systems Inc | Key transmission system |
US5473692A (en) * | 1994-09-07 | 1995-12-05 | Intel Corporation | Roving software license for a hardware agent |
US5539828A (en) * | 1994-05-31 | 1996-07-23 | Intel Corporation | Apparatus and method for providing secured communications |
US5586036A (en) * | 1994-07-05 | 1996-12-17 | Pitney Bowes Inc. | Postage payment system with security for sensitive mailer data and enhanced carrier data functionality |
US5546463A (en) * | 1994-07-12 | 1996-08-13 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
AU698454B2 (en) * | 1994-07-19 | 1998-10-29 | Certco Llc | Method for securely using digital signatures in a commercial cryptographic system |
US5694471A (en) * | 1994-08-03 | 1997-12-02 | V-One Corporation | Counterfeit-proof identification card |
US5475886A (en) * | 1994-09-14 | 1995-12-19 | Klear-Vu Corporation | Combination pillow and chair cushion with tie string accomodating pocket |
US5606609A (en) * | 1994-09-19 | 1997-02-25 | Scientific-Atlanta | Electronic document verification system and method |
DE4436734A1 (de) * | 1994-10-14 | 1996-04-18 | Bosch Gmbh Robert | Bedienprotokolliergerät für ein elektrisches Gerät |
JP3563783B2 (ja) | 1994-10-19 | 2004-09-08 | キヤノン株式会社 | 複合画像形成装置 |
US5659626A (en) * | 1994-10-20 | 1997-08-19 | Calspan Corporation | Fingerprint identification system |
US5715314A (en) * | 1994-10-24 | 1998-02-03 | Open Market, Inc. | Network sales system |
EP0709809B1 (en) * | 1994-10-28 | 2002-01-23 | Oki Electric Industry Company, Limited | Image encoding and decoding method and apparatus using edge synthesis and inverse wavelet transform |
US6044154A (en) * | 1994-10-31 | 2000-03-28 | Communications Devices, Inc. | Remote generated, device identifier key for use with a dual-key reflexive encryption security system |
US5555751A (en) * | 1994-10-31 | 1996-09-17 | Strickland; Frederick W. | Semiautomatic operated handcuffs with pivotal arcuate blades |
US5636280A (en) * | 1994-10-31 | 1997-06-03 | Kelly; Tadhg | Dual key reflexive encryption security system |
US6950810B2 (en) * | 1994-11-28 | 2005-09-27 | Indivos Corporation | Tokenless biometric electronic financial transactions via a third party identicator |
US5764789A (en) * | 1994-11-28 | 1998-06-09 | Smarttouch, Llc | Tokenless biometric ATM access system |
US5870723A (en) * | 1994-11-28 | 1999-02-09 | Pare, Jr.; David Ferrin | Tokenless biometric transaction authorization method and system |
US5671258A (en) * | 1994-12-20 | 1997-09-23 | 3Com Corporation | Clock recovery circuit and receiver using same |
US5615268A (en) * | 1995-01-17 | 1997-03-25 | Document Authentication Systems, Inc. | System and method for electronic transmission storage and retrieval of authenticated documents |
US5774525A (en) * | 1995-01-23 | 1998-06-30 | International Business Machines Corporation | Method and apparatus utilizing dynamic questioning to provide secure access control |
US5619177A (en) * | 1995-01-27 | 1997-04-08 | Mjb Company | Shape memory alloy microactuator having an electrostatic force and heating means |
US5604801A (en) * | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
DE69605654T2 (de) * | 1995-02-08 | 2000-06-29 | Cryptomathic A S Aarhus | Elektronisch verhandelbare dokumente |
US5619574A (en) * | 1995-02-13 | 1997-04-08 | Eta Technologies Corporation | Personal access management system |
US5812666A (en) * | 1995-03-31 | 1998-09-22 | Pitney Bowes Inc. | Cryptographic key management and validation system |
US5590197A (en) * | 1995-04-04 | 1996-12-31 | V-One Corporation | Electronic payment system and method |
US5677955A (en) * | 1995-04-07 | 1997-10-14 | Financial Services Technology Consortium | Electronic funds transfer instruments |
FR2733379B1 (fr) | 1995-04-20 | 1997-06-20 | Gemplus Card Int | Procede de generation de signatures electroniques, notamment pour cartes a puces |
US5577120A (en) * | 1995-05-01 | 1996-11-19 | Lucent Technologies Inc. | Method and apparatus for restrospectively identifying an individual who had engaged in a commercial or retail transaction or the like |
US5708780A (en) * | 1995-06-07 | 1998-01-13 | Open Market, Inc. | Internet server access control and monitoring systems |
US5745886A (en) * | 1995-06-07 | 1998-04-28 | Citibank, N.A. | Trusted agents for open distribution of electronic money |
US6000522A (en) * | 1995-06-12 | 1999-12-14 | Alice A Johnson | Multi-compartment and acceptors computerized vending machine |
US5790677A (en) * | 1995-06-29 | 1998-08-04 | Microsoft Corporation | System and method for secure electronic commerce transactions |
US5778072A (en) * | 1995-07-07 | 1998-07-07 | Sun Microsystems, Inc. | System and method to transparently integrate private key operations from a smart card with host-based encryption services |
US5615266A (en) * | 1995-07-13 | 1997-03-25 | Motorola, Inc | Secure communication setup method |
DE19526254C2 (de) * | 1995-07-19 | 1998-01-29 | Mannesmann Vdo Ag | Passiver magnetischer Positionssensor |
US5809144A (en) * | 1995-08-24 | 1998-09-15 | Carnegie Mellon University | Method and apparatus for purchasing and delivering digital goods over a network |
US5721779A (en) * | 1995-08-28 | 1998-02-24 | Funk Software, Inc. | Apparatus and methods for verifying the identity of a party |
US5817723A (en) | 1995-09-07 | 1998-10-06 | E. I. Du Pont De Nemours And Company | Toughened thermoplastic polymer compositions |
US5999629A (en) | 1995-10-31 | 1999-12-07 | Lucent Technologies Inc. | Data encryption security module |
US5671279A (en) * | 1995-11-13 | 1997-09-23 | Netscape Communications Corporation | Electronic commerce using a secure courier system |
US6279112B1 (en) * | 1996-10-29 | 2001-08-21 | Open Market, Inc. | Controlled transfer of information in computer networks |
US5949881A (en) | 1995-12-04 | 1999-09-07 | Intel Corporation | Apparatus and method for cryptographic companion imprinting |
US5692047A (en) * | 1995-12-08 | 1997-11-25 | Sun Microsystems, Inc. | System and method for executing verifiable programs with facility for using non-verifiable programs from trusted sources |
US5671285A (en) * | 1995-12-13 | 1997-09-23 | Newman; Bruce D. | Secure communication system |
US5943423A (en) * | 1995-12-15 | 1999-08-24 | Entegrity Solutions Corporation | Smart token system for secure electronic transactions and identification |
US5919574A (en) * | 1995-12-29 | 1999-07-06 | The United States Of America, As Represented By The Secretary Of Agriculture | Biodegradable laminated films fabricated from pectin and chitosan |
US5870475A (en) * | 1996-01-19 | 1999-02-09 | Northern Telecom Limited | Facilitating secure communications in a distribution network |
IL117085A (en) | 1996-02-08 | 2005-07-25 | Milsys Ltd | Secure computer system |
JP3525275B2 (ja) * | 1996-02-23 | 2004-05-10 | 光洋精工株式会社 | 電動パワーステアリング装置 |
US5751813A (en) * | 1996-04-29 | 1998-05-12 | Motorola, Inc. | Use of an encryption server for encrypting messages |
US6085320A (en) * | 1996-05-15 | 2000-07-04 | Rsa Security Inc. | Client/server protocol for proving authenticity |
US5848161A (en) * | 1996-05-16 | 1998-12-08 | Luneau; Greg | Method for providing secured commerical transactions via a networked communications system |
US5677120A (en) * | 1996-05-23 | 1997-10-14 | Eastman Kodak Company | Tellurium complexes as chemical sensitizers for silver halides |
US5802592A (en) * | 1996-05-31 | 1998-09-01 | International Business Machines Corporation | System and method for protecting integrity of alterable ROM using digital signatures |
US5781723A (en) * | 1996-06-03 | 1998-07-14 | Microsoft Corporation | System and method for self-identifying a portable information device to a computing unit |
US5862327A (en) * | 1996-06-10 | 1999-01-19 | Tactica Corporation | Activity based long-lived transaction system |
US6324525B1 (en) | 1996-06-17 | 2001-11-27 | Hewlett-Packard Company | Settlement of aggregated electronic transactions over a network |
US6253027B1 (en) * | 1996-06-17 | 2001-06-26 | Hewlett-Packard Company | System, method and article of manufacture for exchanging software and configuration data over a multichannel, extensible, flexible architecture |
US6373950B1 (en) * | 1996-06-17 | 2002-04-16 | Hewlett-Packard Company | System, method and article of manufacture for transmitting messages within messages utilizing an extensible, flexible architecture |
US5825884A (en) * | 1996-07-01 | 1998-10-20 | Thomson Consumer Electronics | Method and apparatus for operating a transactional server in a proprietary database environment |
CA2261947C (en) * | 1996-08-07 | 2008-11-18 | Silvio Micali | Simultaneous electronic transactions with visible trusted parties |
US5878143A (en) * | 1996-08-16 | 1999-03-02 | Net 1, Inc. | Secure transmission of sensitive information over a public/insecure communications medium |
US5884272A (en) * | 1996-09-06 | 1999-03-16 | Walker Asset Management Limited Partnership | Method and system for establishing and maintaining user-controlled anonymous communications |
US5884270A (en) * | 1996-09-06 | 1999-03-16 | Walker Asset Management Limited Partnership | Method and system for facilitating an employment search incorporating user-controlled anonymous communications |
US5982506A (en) * | 1996-09-10 | 1999-11-09 | E-Stamp Corporation | Method and system for electronic document certification |
US6023509A (en) * | 1996-09-30 | 2000-02-08 | Intel Corporation | Digital signature purpose encoding |
US5956404A (en) * | 1996-09-30 | 1999-09-21 | Schneier; Bruce | Digital signature with auditing bits |
US6029150A (en) * | 1996-10-04 | 2000-02-22 | Certco, Llc | Payment and transactions in electronic commerce system |
FI113224B (fi) * | 1996-11-11 | 2004-03-15 | Nokia Corp | Laskutuksen toteuttaminen tietoliikennejärjestelmässä |
US5794254A (en) * | 1996-12-03 | 1998-08-11 | Fairbanks Systems Group | Incremental computer file backup using a two-step comparison of first two characters in the block and a signature with pre-stored character and signature sets |
US5917913A (en) * | 1996-12-04 | 1999-06-29 | Wang; Ynjiun Paul | Portable electronic authorization devices and methods therefor |
US5903882A (en) * | 1996-12-13 | 1999-05-11 | Certco, Llc | Reliance server for electronic transaction system |
US6285991B1 (en) * | 1996-12-13 | 2001-09-04 | Visa International Service Association | Secure interactive electronic account statement delivery system |
WO1998037655A1 (en) * | 1996-12-20 | 1998-08-27 | Financial Services Technology Consortium | Method and system for processing electronic documents |
US5887131A (en) * | 1996-12-31 | 1999-03-23 | Compaq Computer Corporation | Method for controlling access to a computer system by utilizing an external device containing a hash value representation of a user password |
US6104815A (en) * | 1997-01-10 | 2000-08-15 | Silicon Gaming, Inc. | Method and apparatus using geographical position and universal time determination means to provide authenticated, secure, on-line communication between remote gaming locations |
US5991292A (en) | 1997-03-06 | 1999-11-23 | Nortel Networks Corporation | Network access in multi-service environment |
US6105012A (en) * | 1997-04-22 | 2000-08-15 | Sun Microsystems, Inc. | Security system and method for financial institution server and client web browser |
US6282522B1 (en) * | 1997-04-30 | 2001-08-28 | Visa International Service Association | Internet payment system using smart card |
CA2287857C (en) * | 1997-05-09 | 2008-07-29 | Gte Cybertrust Solutions Incorporated | Biometric certificates |
US6202151B1 (en) | 1997-05-09 | 2001-03-13 | Gte Service Corporation | System and method for authenticating electronic transactions using biometric certificates |
JPH10327147A (ja) * | 1997-05-21 | 1998-12-08 | Hitachi Ltd | 電子認証公証方法およびシステム |
US6085976A (en) * | 1998-05-22 | 2000-07-11 | Sehr; Richard P. | Travel system and methods utilizing multi-application passenger cards |
FI104667B (fi) * | 1997-07-14 | 2000-04-14 | Nokia Networks Oy | Liittymäpalvelun toteuttaminen |
US5910988A (en) * | 1997-08-27 | 1999-06-08 | Csp Holdings, Inc. | Remote image capture with centralized processing and storage |
US6161180A (en) | 1997-08-29 | 2000-12-12 | International Business Machines Corporation | Authentication for secure devices with limited cryptography |
US6213391B1 (en) | 1997-09-10 | 2001-04-10 | William H. Lewis | Portable system for personal identification based upon distinctive characteristics of the user |
US6000832A (en) | 1997-09-24 | 1999-12-14 | Microsoft Corporation | Electronic online commerce card with customer generated transaction proxy number for online transactions |
US5883810A (en) * | 1997-09-24 | 1999-03-16 | Microsoft Corporation | Electronic online commerce card with transactionproxy number for online transactions |
US6061794A (en) * | 1997-09-30 | 2000-05-09 | Compaq Computer Corp. | System and method for performing secure device communications in a peer-to-peer bus architecture |
US5970147A (en) * | 1997-09-30 | 1999-10-19 | Intel Corporation | System and method for configuring and registering a cryptographic device |
US6125349A (en) * | 1997-10-01 | 2000-09-26 | At&T Corp. | Method and apparatus using digital credentials and other electronic certificates for electronic transactions |
US6111956A (en) | 1997-10-23 | 2000-08-29 | Signals, Inc. | Method for secure key distribution over a nonsecure communications network |
US6061799A (en) * | 1997-10-31 | 2000-05-09 | International Business Machines Corp. | Removable media for password based authentication in a distributed system |
US6292897B1 (en) * | 1997-11-03 | 2001-09-18 | International Business Machines Corporation | Undeniable certificates for digital signature verification |
US6073237A (en) * | 1997-11-06 | 2000-06-06 | Cybercash, Inc. | Tamper resistant method and apparatus |
US6385728B1 (en) * | 1997-11-26 | 2002-05-07 | International Business Machines Corporation | System, method, and program for providing will-call certificates for guaranteeing authorization for a printer to retrieve a file directly from a file server upon request from a client in a network computer system environment |
WO1999028452A1 (fr) | 1997-11-28 | 1999-06-10 | Mochida Pharmaceutical Co., Ltd. | Composes non codants de matrilysine |
US5991399A (en) * | 1997-12-18 | 1999-11-23 | Intel Corporation | Method for securely distributing a conditional use private key to a trusted entity on a remote system |
US6314519B1 (en) * | 1997-12-22 | 2001-11-06 | Motorola, Inc. | Secure messaging system overlay for a selective call signaling system |
US6084969A (en) * | 1997-12-31 | 2000-07-04 | V-One Corporation | Key encryption system and method, pager unit, and pager proxy for a two-way alphanumeric pager network |
EP1047992B1 (en) * | 1998-01-16 | 2002-04-10 | Macrovision Corporation | System and method for authenticating peer components |
US6192405B1 (en) | 1998-01-23 | 2001-02-20 | Novell, Inc. | Method and apparatus for acquiring authorized access to resources in a distributed system |
US6144949A (en) | 1998-02-12 | 2000-11-07 | Motorola, Inc. | Radio frequency communication system with subscribers arranged to authenticate a received message |
US6233565B1 (en) * | 1998-02-13 | 2001-05-15 | Saranac Software, Inc. | Methods and apparatus for internet based financial transactions with evidence of payment |
US6233577B1 (en) * | 1998-02-17 | 2001-05-15 | Phone.Com, Inc. | Centralized certificate management system for two-way interactive communication devices in data networks |
US6108644A (en) * | 1998-02-19 | 2000-08-22 | At&T Corp. | System and method for electronic transactions |
US6230269B1 (en) * | 1998-03-04 | 2001-05-08 | Microsoft Corporation | Distributed authentication system and method |
US6161181A (en) | 1998-03-06 | 2000-12-12 | Deloitte & Touche Usa Llp | Secure electronic transactions using a trusted intermediary |
US6199052B1 (en) * | 1998-03-06 | 2001-03-06 | Deloitte & Touche Usa Llp | Secure electronic transactions using a trusted intermediary with archive and verification request services |
US6073242A (en) * | 1998-03-19 | 2000-06-06 | Agorics, Inc. | Electronic authority server |
US6532451B1 (en) * | 1998-03-23 | 2003-03-11 | Novell, Inc. | Nested strong loader apparatus and method |
US6484260B1 (en) | 1998-04-24 | 2002-11-19 | Identix, Inc. | Personal identification system |
CA2329032C (en) * | 1998-05-05 | 2004-04-13 | Jay C. Chen | A cryptographic system and method for electronic transactions |
US6189096B1 (en) | 1998-05-06 | 2001-02-13 | Kyberpass Corporation | User authentification using a virtual private key |
US6655585B2 (en) * | 1998-05-11 | 2003-12-02 | Citicorp Development Center, Inc. | System and method of biometric smart card user authentication |
US6102287A (en) * | 1998-05-15 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for providing product survey information in an electronic payment system |
US6263447B1 (en) | 1998-05-21 | 2001-07-17 | Equifax Inc. | System and method for authentication of network users |
JP3112076B2 (ja) * | 1998-05-21 | 2000-11-27 | 豊 保倉 | ユーザ認証システム |
US6092202A (en) * | 1998-05-22 | 2000-07-18 | N*Able Technologies, Inc. | Method and system for secure transactions in a computer system |
US6317829B1 (en) | 1998-06-19 | 2001-11-13 | Entrust Technologies Limited | Public key cryptography based security system to facilitate secure roaming of users |
US6751729B1 (en) * | 1998-07-24 | 2004-06-15 | Spatial Adventures, Inc. | Automated operation and security system for virtual private networks |
US6167518A (en) | 1998-07-28 | 2000-12-26 | Commercial Electronics, Llc | Digital signature providing non-repudiation based on biological indicia |
US6226618B1 (en) * | 1998-08-13 | 2001-05-01 | International Business Machines Corporation | Electronic content delivery system |
KR100358426B1 (ko) | 1998-08-18 | 2003-01-29 | 한국전자통신연구원 | 전자현금거래방법 |
JP4181667B2 (ja) * | 1998-09-04 | 2008-11-19 | キヤノン株式会社 | 画像処理装置、画像処理方法、及び記録媒体 |
WO2000028452A1 (en) * | 1998-11-05 | 2000-05-18 | Secure Accounts Ltd. | Secure architecture for exchange executes digitally signed contracts |
WO2000028493A1 (en) * | 1998-11-10 | 2000-05-18 | Kent Ridge Digital Labs | A method of encryption and apparatus therefor |
US6154543A (en) | 1998-11-25 | 2000-11-28 | Hush Communications Anguilla, Inc. | Public key cryptosystem with roaming user capability |
US6070154A (en) * | 1998-11-27 | 2000-05-30 | Activepoint Ltd. | Internet credit card security |
US6567913B1 (en) * | 1998-12-24 | 2003-05-20 | Pitney Bowes Inc. | Selective security level certificate meter |
US6571339B1 (en) * | 1998-12-30 | 2003-05-27 | Intel Corporation | Use of a processor identification for authentication |
US6418472B1 (en) * | 1999-01-19 | 2002-07-09 | Intel Corporation | System and method for using internet based caller ID for controlling access to an object stored in a computer |
US6601171B1 (en) * | 1999-02-18 | 2003-07-29 | Novell, Inc. | Deputization in a distributed computing system |
US6615264B1 (en) * | 1999-04-09 | 2003-09-02 | Sun Microsystems, Inc. | Method and apparatus for remotely administered authentication and access control |
US6671805B1 (en) * | 1999-06-17 | 2003-12-30 | Ilumin Corporation | System and method for document-driven processing of digitally-signed electronic documents |
CA2371168A1 (en) * | 1999-04-28 | 2000-11-09 | Unicate B.V. | Transaction method and system for data networks, like internet |
CA2271178A1 (en) | 1999-05-06 | 1999-07-06 | Connotech Experts-Conseils Inc. | Server-side public key cryptography apparatus with private key protection and isolation from public networks |
US6594633B1 (en) * | 1999-07-07 | 2003-07-15 | Vincent S. Broerman | Real estate computer network |
US6609198B1 (en) | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
US6691232B1 (en) * | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
US6775772B1 (en) * | 1999-10-12 | 2004-08-10 | International Business Machines Corporation | Piggy-backed key exchange protocol for providing secure low-overhead browser connections from a client to a server using a trusted third party |
US6757832B1 (en) * | 2000-02-15 | 2004-06-29 | Silverbrook Research Pty Ltd | Unauthorized modification of values in flash memory |
CA2354372A1 (en) * | 2001-02-23 | 2002-08-23 | Efunds Corporation | Electronic payment and authentication system with debit and identification data verification and electronic check capabilities |
-
2001
- 2001-08-06 EP EP01966671A patent/EP1316168A4/en not_active Ceased
- 2001-08-06 CA CA2418050A patent/CA2418050C/en not_active Expired - Lifetime
- 2001-08-06 WO PCT/US2001/024563 patent/WO2002013444A2/en active Application Filing
- 2001-08-06 AU AU8716401A patent/AU8716401A/xx active Pending
- 2001-08-06 EP EP01965856A patent/EP1317816A4/en not_active Ceased
- 2001-08-06 US US09/923,213 patent/US7500272B2/en not_active Expired - Fee Related
- 2001-08-06 AU AU2001284721A patent/AU2001284721A1/en not_active Abandoned
- 2001-08-06 CA CA2417922A patent/CA2417922C/en not_active Expired - Lifetime
- 2001-08-06 WO PCT/US2001/024572 patent/WO2002013445A2/en active Application Filing
- 2001-08-06 JP JP2002518685A patent/JP2004506380A/ja not_active Withdrawn
- 2001-08-06 US US10/312,164 patent/US7200749B2/en not_active Expired - Lifetime
- 2001-08-06 AU AU2001283128A patent/AU2001283128A1/en not_active Abandoned
- 2001-08-06 CA CA2417770A patent/CA2417770C/en not_active Expired - Lifetime
- 2001-08-06 JP JP2002518668A patent/JP2004517381A/ja not_active Withdrawn
- 2001-08-06 CA CA2417901A patent/CA2417901C/en not_active Expired - Lifetime
- 2001-08-06 JP JP2002518678A patent/JP2004506245A/ja not_active Withdrawn
- 2001-08-06 US US09/923,075 patent/US20020016913A1/en not_active Abandoned
- 2001-08-06 AU AU2001287165A patent/AU2001287165A1/en not_active Abandoned
- 2001-08-06 CA CA2417919A patent/CA2417919C/en not_active Expired - Lifetime
- 2001-08-06 JP JP2002518399A patent/JP2004506361A/ja not_active Withdrawn
- 2001-08-06 WO PCT/US2001/041562 patent/WO2002013116A1/en active Application Filing
- 2001-08-06 AU AU2001286415A patent/AU2001286415A1/en not_active Abandoned
- 2001-08-06 EP EP01961902A patent/EP1320956A4/en not_active Ceased
- 2001-08-06 EP EP01966672A patent/EP1316171A4/en not_active Ceased
- 2001-08-06 WO PCT/US2001/024567 patent/WO2002013434A1/en active Application Filing
- 2001-08-06 WO PCT/US2001/041587 patent/WO2002013455A1/en active Application Filing
- 2001-08-06 EP EP01956178A patent/EP1323089A4/en not_active Ceased
- 2001-08-06 EP EP01963801A patent/EP1320953A4/en not_active Withdrawn
- 2001-08-06 WO PCT/US2001/041586 patent/WO2002013435A1/en active Search and Examination
- 2001-08-06 AU AU2001278205A patent/AU2001278205A1/en not_active Abandoned
- 2001-08-06 JP JP2002518677A patent/JP2004519874A/ja not_active Withdrawn
- 2001-08-06 CA CA002417916A patent/CA2417916A1/en not_active Abandoned
- 2001-08-06 AU AU2001287164A patent/AU2001287164B2/en not_active Ceased
- 2001-08-06 JP JP2002518667A patent/JP2004515840A/ja not_active Withdrawn
-
2003
- 2003-01-31 US US10/248,606 patent/US6950940B2/en not_active Expired - Lifetime
- 2003-01-31 US US10/248,605 patent/US6938156B2/en not_active Expired - Lifetime
- 2003-01-31 US US10/248,603 patent/US6851054B2/en not_active Expired - Lifetime
- 2003-01-31 US US10/248,604 patent/US7143284B2/en not_active Expired - Lifetime
- 2003-02-01 US US10/248,620 patent/US6952773B2/en not_active Expired - Lifetime
- 2003-02-01 US US10/248,624 patent/US7028185B2/en not_active Expired - Lifetime
- 2003-02-01 US US10/248,629 patent/US6959381B2/en not_active Expired - Lifetime
- 2003-02-01 US US10/248,627 patent/US6892302B2/en not_active Expired - Lifetime
- 2003-02-01 US US10/248,625 patent/US6915430B2/en not_active Expired - Lifetime
- 2003-02-01 US US10/248,628 patent/US6957336B2/en not_active Expired - Lifetime
- 2003-02-01 US US10/248,626 patent/US7047414B2/en not_active Expired - Lifetime
-
2008
- 2008-08-05 AU AU2008203506A patent/AU2008203506B2/en not_active Ceased
-
2009
- 2009-01-16 US US12/355,712 patent/US7784106B2/en not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016537879A (ja) * | 2013-11-04 | 2016-12-01 | アップル インコーポレイテッド | Nfcに基づく支払のための生体認証の使用 |
US10121144B2 (en) | 2013-11-04 | 2018-11-06 | Apple Inc. | Using biometric authentication for NFC-based payments |
JP2016092522A (ja) * | 2014-10-31 | 2016-05-23 | 株式会社アドバンテスト | 認証システム、認証方法およびサービス提供システム |
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7558965B2 (en) | Entity authentication in electronic communications by providing verification status of device | |
CA2417901C (en) | Entity authentication in electronic communications by providing verification status of device | |
US7552333B2 (en) | Trusted authentication digital signature (tads) system | |
US8132722B2 (en) | System and method for binding a smartcard and a smartcard reader | |
US8447991B2 (en) | Card authentication system | |
US8737623B2 (en) | Systems and methods for remotely loading encryption keys in a card reader systems | |
KR100768754B1 (ko) | 휴대용 전자식 청구 및 인증 장치와 이를 위한 방법 | |
US7673799B2 (en) | Card reader for use with web based transactions | |
US20030101348A1 (en) | Method and system for determining confidence in a digital transaction | |
US20130219481A1 (en) | Cyberspace Trusted Identity (CTI) Module | |
US8251286B2 (en) | System and method for conducting secure PIN debit transactions | |
KR20030074483A (ko) | 서비스 제공자 장치로부터 네트워크를 통하여 서비스이용자 장치에 서비스를 제공하는 서비스 제공 시스템 | |
US20120095919A1 (en) | Systems and methods for authenticating aspects of an online transaction using a secure peripheral device having a message display and/or user input | |
US20140258718A1 (en) | Method and system for secure transmission of biometric data | |
US9977886B2 (en) | Methods, apparatus and computer programs for entity authentication | |
JP4584192B2 (ja) | 認証システム、認証サーバ、端末、認証方法、プログラム | |
AU2008203481B2 (en) | Entity authentication in electronic communications by providing verification status of device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20081007 |