JP2012048728A - Token-based transaction authentication under condition of presence of individual - Google Patents

Token-based transaction authentication under condition of presence of individual Download PDF

Info

Publication number
JP2012048728A
JP2012048728A JP2011204303A JP2011204303A JP2012048728A JP 2012048728 A JP2012048728 A JP 2012048728A JP 2011204303 A JP2011204303 A JP 2011204303A JP 2011204303 A JP2011204303 A JP 2011204303A JP 2012048728 A JP2012048728 A JP 2012048728A
Authority
JP
Japan
Prior art keywords
token
host
user
authentication
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011204303A
Other languages
Japanese (ja)
Inventor
Dibb Alan
ジブ アラン
Mordechai Teicher
テイチェル モルデチャイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Western Digital Israel Ltd
Original Assignee
SanDisk IL Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SanDisk IL Ltd filed Critical SanDisk IL Ltd
Priority to JP2011204303A priority Critical patent/JP2012048728A/en
Publication of JP2012048728A publication Critical patent/JP2012048728A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To protect an authentication token connected to a computer from being hijacked by a malicious program.SOLUTION: In order to authenticate a transaction between a host and a server, a token is connected to the host. The host receives an identification certificate of a user. The identification certificate is then verified by the token and/or the server. When the token detects an artificial specified operation, the token generates token authentication data, and the host transmits the token authentication data to the server. Upon receiving the authentication data, the server authenticates the transaction.

Description

本発明は、コミュニケーション・ネットワーク上のトランザクションを認証するための
ハードウェア・トークンに関する。
The present invention relates to a hardware token for authenticating a transaction on a communication network.

インターネットおよび移動コミュニケーション・ネットワークは、主に電子商取引に関
連して、ますます金融取引に用いられるようになって来ている。ほとんどのトランザクシ
ョンでは、トランザクションを要請する者のIDが証明されなければならない。コミュニ
ケーション・ネットワークは、しばしば不安定であり、また、悪意のあるソフトウェアが
存在することも当り前になっている。その結果、個人のパソコンおよび携帯電話は、信用
できるとはみなされず、パソコンあるいは携帯電話へタイプ入力したこと、また、そのよ
うなデバイスを用いて通信したことは、何であれ、他者によるハッキングによって暴露さ
れるものである。結果、詐欺的なトランザクションからの損害は、毎年何億ドルもあり、
消費者、販売業者および金融機関が負担している。
The Internet and mobile communication networks are increasingly used for financial transactions, primarily in the context of electronic commerce. For most transactions, the identity of the person requesting the transaction must be certified. Communication networks are often unstable, and it is commonplace for malicious software to exist. As a result, personal personal computers and mobile phones are not considered trustworthy, and whatever you type into a personal computer or mobile phone and communicate using such a device can be hacked by others. To be exposed. As a result, there are hundreds of millions of dollars per year from fraudulent transactions,
It is borne by consumers, distributors and financial institutions.

より安全な識別を提供するために、「トークン」または「スマートカード」という形態
の、特殊な電子ハードウェアが開発されて来た。そのようなハードウェアは、通常の攻撃
に十分に耐えるよう、改ざん不可能な構造と暗号法とを組み合わせている。「チャレンジ
&レスポンス」、「一度きりのパスワード」または「時間依存キー」として知られる技術
は、たとえトークンによるトランザクション・セッションが遮断されたとしても、再度の
トランザクションにセッションを再利用できないことを保証している。
Special electronic hardware in the form of “tokens” or “smart cards” has been developed to provide more secure identification. Such hardware combines a structure that cannot be tampered with cryptography to withstand normal attacks well. Techniques known as “challenge and response”, “one-time password” or “time-dependent key” ensure that a session cannot be reused for another transaction even if the transaction session with the token is blocked. ing.

したがって、金融機関が発行したトークンを、例えば、USBインターフェイスあるい
はスマートカード・リーダを用いてパソコンに結合したとき、金融機関のサーバとパソコ
ンとの間の認証セッションは、トークンの真正を満足に検証する。検証の一部として、ト
ークンは、トークン認証データをサーバへ送信する。トークンの真正のそのような検証を
、本文では、トークンの「認証」と呼ぶ。しかしながら、実際に重要なのは、トークンの
真正ではなく、トークンの所有者の真正である。これは、トークンの不正使用に関わる二
つの抜け道が依然として存在することを示す。1)トークンが物理的に遺失または盗難さ
れた場合、それを、その合法的な所有者のIDを盗むために用いることができる。2)コ
ンピュータ内の悪意あるプログラムは、コンピュータに結合したトークンを操作して、犯
人の利益となるトランザクションを不正に発生させることができる。第一の抜け道を解決
するために、セキュリティ・プロバイダは、「あなたが持っているもの」(すなわち、ト
ークン)を、「あなたが知っていること」(例えば、PINコード)および「あなたが誰
であるか」(例えば、指紋等の生物学的属性)の少なくとも一つと組み合わせたマルチ・
ファクタ認証パラダイムを開発している。
Therefore, when a token issued by a financial institution is coupled to a personal computer using, for example, a USB interface or a smart card reader, the authentication session between the financial institution server and the personal computer satisfactorily verifies the authenticity of the token. . As part of the verification, the token sends token authentication data to the server. Such verification of the authenticity of the token is referred to in the text as “authentication” of the token. However, what really matters is not the authenticity of the token, but the authenticity of the token owner. This indicates that there are still two loopholes involved in token misuse. 1) If a token is physically lost or stolen, it can be used to steal the ID of its legal owner. 2) A malicious program in the computer can illegally generate a transaction that will benefit the criminal by manipulating the token associated with the computer. In order to solve the first loophole, the security provider can identify "what you have" (ie token), "what you know" (eg PIN code) and "who you are Multi-combination combined with at least one of “is there” (eg biological attribute such as fingerprint)
A factor authentication paradigm is being developed.

悪意のあるプログラムの制御下で作動しているコンピュータのケースは、ウイルス感染
した個人のコンピュータ、またはインターネット・カフェあるいはオフィス・サービス店
にある不特定多数の者が使用するコンピュータである。両ケースでは、コンピュータのキ
ーボードから入力したPIN、あるいはパソコンに結合したデバイスで読み込んだ指紋イ
メージが、悪意あるプログラムによって傍受され、それから不正なトランザクションのた
めにトークンを作動させるのに再利用される可能性がある。長時間に亘ってトークンをホ
ストに挿入したままにすると、この危険性は大いに高まる。トークンが、例えば、USB
フラッシュメモリ・キー等の多目的デバイスの一部を形成している場合、コンピュータに
何時間も結合された状態になる可能性がある。そのような脆弱性への有効な改善策は、ト
ークンそれ自体内に、あるいはトークンを含む多目的デバイス内に、PINパッドまたは
指紋リーダを含ませることである。しかしながら、そのような追加は、トークンを大型化
する、また高価なものとするため、多くの場合望ましいことではない。
Cases of computers operating under the control of malicious programs are personal computers infected by viruses or computers used by an unspecified number of people in Internet cafes or office service stores. In both cases, a PIN entered from a computer keyboard or a fingerprint image read by a device coupled to a personal computer can be intercepted by a malicious program and then reused to activate a token for fraudulent transactions. There is sex. This risk is greatly increased if the token is left inserted in the host for a long time. Token is, for example, USB
If it forms part of a multipurpose device such as a flash memory key, it can remain coupled to the computer for hours. An effective remedy for such vulnerabilities is to include a PIN pad or fingerprint reader in the token itself or in a multipurpose device that includes the token. However, such additions are often undesirable because they increase the size and cost of the token.

人間の存在を検出する別な方法には、「CAPTCHA」と呼ぶものがある。例えば、
「http://www.captcha.net.」を参照のこと。人間には判読可能で
あるが、悪意のあるプログラムには判読不可能なフォントを用いて視覚的にユーザへ提示
されたランダムな文字列を、ユーザはタイプするように要求される。この技術の欠点は、
悪意のあるプログラムが、CAPTCHAグラフィクスを、他の場所にいる人間の共犯者
へ送信する、いわゆる「仲裁者」攻撃である。
Another method for detecting human presence is called “CAPTCHA”. For example,
See "http://www.captcha.net." The user is required to type a random character string visually presented to the user using a font that is readable by humans but not readable by malicious programs. The disadvantage of this technology is
A malicious program is a so-called “arbiter” attack that sends CAPTCHA graphics to human accomplices elsewhere.

したがって、トークンは、PINを受信するための、あるいはユーザの生物学的属性を
生体情報へ変換するための入力デバイスを含むことを必要とせずに、コンピュータに結合
した認証トークンを、悪意のあるプログラムに乗っ取られないように保護する方法の必要
性が広く認識される、また、そのような方法を得ることは非常に有利である。
Thus, a token can be used to maliciously connect an authentication token coupled to a computer without having to include an input device for receiving a PIN or converting a user's biological attributes into biometric information. The need for a method of protecting against hijacking is widely recognized and it is highly advantageous to obtain such a method.

本発明の目的は、トークンが、PINを受信するための、または生物学的属性を測定す
るための入力デバイスを含むことを要求することなく、コンピュータに接続した認証トー
クンを、悪意のあるプログラムに乗っ取られることから保護するためのシステムおよび機
能を提供することである。より詳しくは、本発明の目的は、ユーザのコンピュータ上で作
動する悪意のあるプログラムが、直前の正規の認証セッションの間に傍受したPINを利
用するとともにコンピュータに接続されたトークンを利用して実行する、意図しない、そ
して目立たない認証セッションから、トークンのユーザを保護することである。
It is an object of the present invention to turn an authentication token connected to a computer into a malicious program without requiring that the token include an input device for receiving a PIN or measuring a biological attribute. It is to provide a system and function to protect against being hijacked. More specifically, the object of the present invention is to execute a malicious program running on a user's computer using a PIN intercepted during the last legitimate authentication session and using a token connected to the computer. To protect the token user from unintentional and unobtrusive authentication sessions.

「トークン」は、データを含む、および/あるいはデバイスに関連するユニークなID
を認証するための処理能力を含むポータブル・デバイスを意味する。トークンのための模
範的なフォーム・ファクタは、スマートカード、USBキー、そして電話機またはハンド
ヘルド・コンピュータ用の拡張カードを含む。トークンは、独立型デバイスであっても、
またはUSBフラッシュメモリ・ディスク等の、別のデバイスの一部を形成するものであ
ってもよい。
A “token” is a unique ID that contains data and / or is associated with a device
Means a portable device that includes the processing power to authenticate. Exemplary form factors for tokens include smart cards, USB keys, and expansion cards for phones or handheld computers. Even if the token is a standalone device,
Alternatively, it may form part of another device such as a USB flash memory disk.

「ホスト」は、典型的に販売業者または金融機関である「プロバイダ」の「サーバ」と
のトランザクションを実行するための処理および通信デバイスを意味する。ホストの例と
しては、パーソナルデスクトップまたはラップトップ・コンピュータ、携帯電話、2ウェ
イ・ポケットベル、そしてハンドヘルド・コンピュータを含む。
“Host” means a processing and communication device for performing transactions with a “server” of a “provider”, typically a merchant or financial institution. Examples of hosts include personal desktop or laptop computers, cell phones, 2-way pagers, and handheld computers.

「ユーザ」は、プロバイダとのトランザクションの実行を望み、トランザクションを実
行するためにIDの認証が必要な、彼あるいは彼女自身を代表する、または組織に代わっ
て操作する個人を意味する。
A “user” means an individual who wants to perform a transaction with a provider and needs to authenticate his or her identity or operate on behalf of an organization that requires authentication of the identity to execute the transaction.

「トランザクション」は、当事者の相互確約を伴う、ユーザとプロバイダとの間のビジ
ネス・プロセスを意味する。
“Transaction” means a business process between a user and a provider with mutual commitment of the parties.

「個人識別番号」または「PIN」は、個人に既知である、その個人を認証するための
、数字で表した秘密の文字列を意味する。一つの共通なパラダイムによれば、PINは、
ユーザおよびプロバイダにのみ既知である。代替的な共通パラダイムによれば、PINは
、ユーザと彼(女)のトークンにのみ既知である。したがって、トークンをアンロックす
るように機能する。「パスワード」または「パスフレーズ」は、その目的においてPIN
と同様であるが、通常、英文字および記号をも含む。したがって、PINは、パスワード
の特別なケースである。「生物学的属性」は、個人の身体の特徴(例えば、指紋または虹
彩パターン)であり、適当なセンサで読み込んでデジタル化する。したがって、センサが
生成するデジタルデータは、本文で「生体情報」と呼ぶ。「ユーザ識別」は、PIN、パ
スワードまたは生体情報のいずれかを受信して検証することを意味する。PIN、パスワ
ードおよび生体情報は、識別証明の例である。「識別証明」は、トランザクションを要請
する許可が与えられた個人のみからの受信が予想されるデータを意味する。「あなたが知
っていること」(例えば、パスワードまたはPIN)、あるいは「あなたであること」(
例えば、生体情報)のいずれかである。
“Personal identification number” or “PIN” means a secret character string represented by a number that is known to the individual and that authenticates the individual. According to one common paradigm, PIN is
Known only to users and providers. According to an alternative common paradigm, the PIN is known only to the user and his (female) token. Therefore, it functions to unlock the token. “Password” or “Passphrase” is PIN for that purpose.
But usually also includes letters and symbols. Thus, a PIN is a special case of a password. A “biological attribute” is a characteristic of an individual's body (eg, a fingerprint or iris pattern) that is read by a suitable sensor and digitized. Therefore, digital data generated by the sensor is referred to as “biological information” in the text. “User identification” means receiving and verifying either a PIN, password, or biometric information. PIN, password, and biometric information are examples of identification credentials. “Identification proof” means data that is expected to be received only from an individual authorized to request a transaction. “What you know” (for example, a password or PIN) or “You are” (
For example, biometric information).

「認可」は、トークンおよびユーザIDからの情報を組み合わせた、ユーザ識別に関す
る信頼性の高い検証を意味する。トークンおよびユーザIDからの情報の組み合わせが、
二つの別個の、必須な情報として、プロバイダのサーバに到達する、あるいはユーザIDがローカルで検証されて、トークンをアンロックして作動させるようローカルで使用され、それからトークンからの情報のみが、プロバイダのサーバで(または専用ハードウェアで、あるいはプロバイダのサーバに関連した認証サービスによって)チェックされる。
“Authorization” means reliable verification of user identification, combining information from tokens and user IDs. The combination of information from the token and user ID is
Two separate pieces of essential information are used to reach the provider's server, or the user ID is verified locally to unlock and operate the token, and then only the information from the token is Server (or on dedicated hardware or by an authentication service associated with the provider's server).

「悪意のあるプログラム」は、偽の認証を介して詐欺的なトランザクションを生成する
目的で、ホスト上に不正にインストールされたソフトウェア・コードを意味する。悪意の
あるプログラムが、ホストへ結合した入力デバイス(例えば、従来のキーボードあるいは
指紋リーダ)を介して入力されたPIN、パスワードまたは生体情報を傍受すること、ま
た、ホストへ接続したトークンにアクセスすることが可能である、と仮定する。
“Malicious program” means software code that has been illegally installed on a host for the purpose of generating fraudulent transactions via fake authentication. A malicious program intercepts a PIN, password or biometric information entered via an input device (eg, a conventional keyboard or fingerprint reader) coupled to the host, and accesses a token connected to the host Is possible.

「人間による規定の作用」は、個人のみが行うことが可能な、同じ目的に役立つ可能性
のある機械が生成する作用を除外するという特定目的のために定義した作用を意味する。
例えば、本発明の人間による規定の作用の目的は、ホストへ接続したトークンによって、
個人の存在を検出することである。これは、例えば、トークンを切り離して再接続するこ
とを要求することによって、またはトークンに、個人の存在を検証するために押されなけ
ればならないボタンを備えることによって成就できる。
“Human-defined action” means an action defined for a specific purpose that excludes actions that can only be performed by individuals and that are generated by machines that may serve the same purpose.
For example, the purpose of the human prescribed action of the present invention is by the token connected to the host:
It is to detect the presence of an individual. This can be accomplished, for example, by requiring the token to be disconnected and reconnected, or by providing the token with a button that must be pressed to verify the presence of the individual.

「アノニマス相互作用」は、デバイスまたはシステムとの個人による相互作用を意味す
る。この動作は、例えば、PINまたはパスワード等の制限情報を所有している個人に、
個人を識別することを要求せず、また、個人に特有で個人を識別する生物学的特徴等の属
性を持つことを個人に要求しない。したがって、アノニマス相互作用は、個人の存在を検
証するが、個人を識別しない。
“Anonymous interaction” means an interaction by an individual with a device or system. For example, this action can be applied to individuals who have restricted information such as PINs or passwords.
It does not require the individual to be identified, nor does he require the individual to have attributes such as biological features that are unique to the individual and identify the individual. Thus, anonymous interactions verify the presence of an individual but do not identify the individual.

本発明の目的は、正規のトランザクションにおいて入力されたユーザIDデータを傍受
したホスト上の悪意のあるプログラムが、透過的にトランザクションを生成してユーザに
代わってトランザクションを不正に認可することを防止することである。
An object of the present invention is to prevent a malicious program on a host that intercepts user ID data input in a regular transaction from transparently generating a transaction and unauthorizedly authorizing the transaction on behalf of the user. That is.

本発明のゴールは、トークンの本体内にキーパッドおよび/あるいは指紋センサを埋め
込むことによって、成就することが可能であるが、そのような追加を行うと、トークンは
、よりかさばって、より高価なものとなる。本発明は、したがって、トークン内に埋め込
んだPINあるいはパスワード・キーパッド、または生物測定センサを用いることなく、
上述の目的を達成することを目指す。
The goal of the present invention can be accomplished by embedding a keypad and / or fingerprint sensor in the body of the token, but with such additions, the token becomes more bulky and more expensive. It will be a thing. The present invention, therefore, without the use of a PIN or password keypad or biometric sensor embedded in the token,
Aiming to achieve the above objectives.

したがって、本発明によれば、ホストのユーザが開始した、ホストとサーバとの間のト
ランザクションを認可するための、次のステップからなる方法が提供される。(a)ホス
トへトークンを接続操作するステップ。(b)ホストによって、ユーザの識別証明を受信
するステップ。(c)トークンおよびサーバからなるグループから選択した少なくとも一
つのデバイスによって、識別証明を検証するステップ。(d)トークンによって、人間に
よる規定の作用を検出するステップ。(e)検出を条件として、前記トークンによって、
トークン認証データを生成するステップ。(f)ホストによって、トークン認証データを
サーバへ送信するステップ。そして(g)トークン認証データを受信したことを条件とし
て、サーバによって、トランザクションを認可するステップ。
Thus, according to the present invention, there is provided a method comprising the following steps for authorizing a host-server transaction initiated by a host user. (A) A step of connecting a token to the host. (B) receiving a user identification certificate by the host; (C) verifying the identity certificate with at least one device selected from the group consisting of a token and a server; (D) detecting a prescribed action by a human by means of a token; (E) Subject to detection, by the token,
Generating token authentication data; (F) Sending token authentication data to the server by the host. And (g) authorizing the transaction by the server on the condition that the token authentication data has been received.

さらに、本発明によれば、ホストとサーバとの間のトランザクションを認証するための
、次のものを含むデバイスが提供される。(a)ホストに相互作用するためのデバイス・
インターフェイス。(b)ホストへ取り外し可能にデバイス・インターフェイスを接続操
作するためのコネクタ。そして(c)アノニマスな人間による規定の作用の、コントロー
ラによる検出を条件として、デバイス・インターフェイスを介してホストからトランザク
ション認証要求を受信すると、一度だけトランザクションを認証するように作動可能なコ
ントローラ。
In addition, according to the present invention, there is provided a device for authenticating a transaction between a host and a server, including: (A) Device for interacting with the host
Interface. (B) A connector for detachably connecting the device interface to the host. And (c) a controller operable to authenticate a transaction only once upon receipt of a transaction authentication request from the host via the device interface, subject to detection by the controller of a prescribed action by an anonymous human.

さらに、本発明によれば、個人によってホストへ接続操作された周辺デバイスにその個
人の存在を確認する、次のステップを含む方法が提供される。(a)ホストにホスト・ユ
ーザ入力インターフェイスを提供するステップ。(b)周辺デバイスにデバイス・ユーザ
出力インターフェイスを提供するステップ。(c)周辺デバイスによって、デバイス・ユ
ーザ出力インターフェイスに少なくとも一つの出力を生成するステップ。(d)少なくと
も一つの出力の各々に対して、ホストによって、対応する入力を捉えるためにホスト・ユ
ーザ入力インターフェイスを監視するステップ。そして(e)ホストによって、対応する
入力の各々を周辺デバイスへ報告するステップ。各報告が周辺デバイスによって受信され
た場合にのみ、個人の存在が確認される。
Furthermore, according to the present invention, there is provided a method including the following steps for confirming the presence of an individual in a peripheral device connected to the host by the individual. (A) providing a host user input interface to the host; (B) Providing a device user output interface to the peripheral device. (C) generating at least one output at the device user output interface by the peripheral device; (D) For each of the at least one output, monitoring the host user input interface by the host to capture the corresponding input. And (e) reporting each of the corresponding inputs to the peripheral device by the host. An individual's presence is confirmed only when each report is received by a peripheral device.

さらに、本発明によれば、ホストとサーバとの間のトランザクションを認証するための
、次のものを含むデバイスが提供される。(a)ホストに相互作用するためのデバイス・
インターフェイス。(b)ユーザ・インターフェイス。そして(c)デバイス・インター
フェイスを介してホストからトランザクション認証要求を受信すると、サーバを検証し、
そしてユーザ・インターフェイスを介して、検証の成功を表示するように作動可能なコン
トローラ。
In addition, according to the present invention, there is provided a device for authenticating a transaction between a host and a server, including: (A) Device for interacting with the host
Interface. (B) User interface. And (c) upon receiving a transaction authentication request from the host via the device interface, verifying the server,
And a controller operable to indicate successful verification via the user interface.

さらに、本発明によれば、ホストとサーバとの間のトランザクションを認証するための
、次のステップを含む方法が提供される。(a)ホストへトークンを接続操作するステッ
プ。(b)トークンによって、サーバを検証するステップ。そして(c)トークンのユー
ザ・インターフェイスを介して、トークンによって、検証の成功を表示するステップ。
Furthermore, according to the present invention, there is provided a method including the following steps for authenticating a transaction between a host and a server. (A) A step of connecting a token to the host. (B) verifying the server with the token; And (c) displaying a successful verification by token via the token user interface.

本発明の第一の方法は、ホストのユーザが開始した、ホストとサーバとの間のトランザ
クションを認可するための方法である。基本的な方法によれば、トークンは、ホストへ接
続操作される。ホストは、ユーザの識別証明を受信する。識別証明は、トークンによって
、またはサーバによって、あるいはトークンおよびサーバの両方によって検証される。識
別証明が、ホスト上で作動する悪意のあるプログラムによって生成されたものではないこ
とを保証するために、トークンが、人間による規定の作用を検出した場合にのみ、トーク
ンは、トークン認証データを生成する。それから、ホストは、トークン認証データをサー
バへ送信する。サーバがトークン認証データを受信した場合、サーバは、トランザクショ
ンを許可する。
The first method of the present invention is a method for authorizing a host-server transaction initiated by a host user. According to the basic method, the token is connected to the host. The host receives a user identity certificate. Identity credentials are verified by token, by server, or by both token and server. To ensure that the identity proof is not generated by a malicious program running on the host, the token generates token authentication data only if the token detects a prescribed human action. To do. The host then sends token authentication data to the server. If the server receives token authentication data, the server authorizes the transaction.

ホストが受信する識別証明は、PIN等のパスワードである、あるいは択一的に生体情
報であることが好ましい。
The identification certificate received by the host is preferably a password such as a PIN, or alternatively, biometric information.

トークンが検出する人間による規定の作用は、トークンがホストへ作動可能に接続され
ている間に少なくとも部分的に実行される、個人とトークンとの間の相互作用を含むこと
が好ましい。トークンがホストへ作動可能に接続されている間に相互作用を少なくとも部
分的に実行しなければならないことは、相互作用の定義の範囲から、最初にホストからト
ークンを分離することをせずに単にホストへトークンを接続操作することを除外する。こ
の点に関して、オペレーションの開始時にはトークンがホストへ実際に作動可能に接続さ
れているのだから、ホストからトークンを分離操作することは、トークンがホストへ作動
可能に接続されている間に実行すべきオペレーションである、とみなすことに注意すべき
である。
Preferably, the human defined action that the token detects includes an interaction between the individual and the token that is performed at least in part while the token is operatively connected to the host. The fact that the interaction must be performed at least partially while the token is operatively connected to the host is simply from the scope of the interaction definition, without first separating the token from the host. Excludes connecting token to host. In this regard, separating the token from the host should be performed while the token is operatively connected to the host, since the token is actually operatively connected to the host at the start of the operation. Note that it is considered an operation.

本発明の範囲は、例えば識別証明の受信を介して個人を識別する相互作用を含むが、識
別証明が、トークンによってではなく、ホストによって受信されるので、トークンは、例
えば、キーパッドまたは生物測定センサ等の、大きな、そしてコスト高なユーザ・インタ
ーフェイスを含む必要がない。それでいて、個人を識別することなく個人の存在を検出す
るために、トークンに、ボタンあるいはLED等の、小さな、安価なユーザ・インターフ
ェイスを設けることは、本発明の範囲内にある。ホスト・ユーザ・インターフェイスを介
したユーザ識別を、最小のトークン・ユーザ・インターフェイスを介したトークンによる
アノニマス・ユーザ存在検出に組み合わせることは、本発明の重要な要素である。
The scope of the present invention includes interactions that identify an individual, eg, through receipt of an identification proof, but because the identification proof is received by the host rather than by the token, the token may be, for example, a keypad or biometric There is no need to include a large and costly user interface such as a sensor. Nevertheless, it is within the scope of the present invention to provide a token with a small, inexpensive user interface, such as a button or LED, to detect the presence of an individual without identifying the individual. Combining user identification via the host user interface with anonymous user presence detection by token via a minimal token user interface is an important element of the present invention.

アノニマス相互作用は、個人とトークンとの間の直接的な相互作用であることが好まし
い。相互作用が「直接的である」というのは、例えばホスト等の、もう一つのエンティテ
ィによって調停されないことを意味する。そのような直接的な相互作用の例としては、ホ
ストからトークンを分離操作してから、トークンをホストへ再接続操作し、そしてトーク
ンを構成する(最小限の)ユーザ・インターフェイスをアノニマスに操作することを含む
。もう一つの、そのような直接的な相互作用は、トークンに、トークンがもうすぐ認証デ
ータを生成することを合図するためのユーザ・インターフェイスを設けることを必要とす
る。関連する相互作用は、その合図後の少なくとも所定の時間だけ、トークンをホストへ
作動可能に接続したままにすることである。
The anonymous interaction is preferably a direct interaction between the individual and the token. An interaction is “direct” means that it is not arbitrated by another entity, eg, a host. An example of such a direct interaction is to decouple the token from the host, then reconnect the token to the host, and manipulate the (minimal) user interface that composes the token anonymously Including that. Another such direct interaction requires the token to be provided with a user interface to signal that the token will soon generate authentication data. The associated interaction is to leave the token operably connected to the host for at least a predetermined time after the signal.

択一的に、アノニマス相互作用は、トークンに直接的にではなく、ホストによって調停
する。トークンがユーザ・インターフェイスを備える、そのような調停相互作用の一つの
例は、例えば、ホストのキーボードでキーを押すことによって、ホストに相互作用するこ
とである。この場合、ホストは、トークンのユーザ・インターフェイスから、少なくとも
一つの信号の各々に実質的に同期された、好ましくは複数の信号の各々に実質的に同期さ
れた対応するユーザ入力を受信する。入力を受信すると、ホストは、すぐに入力の受信を
トークンへ報告する。対応する信号の生成に実質的に同期されたこれらの報告の受信は、
トークンによる、人間による規定の作用の検出を構成する。この文脈における「同期」は
、通常の人間の反応時間を考慮して定義する。例えば、信号を聞いた後の1秒以内にキー
を押すことは、信号に同期させることであるが、信号を聞いて20秒後にキーを押すこと
は、信号に同期させたことにはならない。
Alternatively, anonymous interactions are arbitrated by the host rather than directly on the token. One example of such arbitration interaction where the token comprises a user interface is interacting with the host, for example by pressing a key on the host keyboard. In this case, the host receives corresponding user input from the token user interface that is substantially synchronized to each of the at least one signal, and preferably substantially synchronized to each of the plurality of signals. Upon receiving input, the host immediately reports receipt of input to the token. The reception of these reports substantially synchronized with the generation of the corresponding signal is
Configures the detection of prescribed actions by humans with tokens. “Synchronization” in this context is defined taking into account normal human reaction time. For example, pressing a key within 1 second after listening to a signal means synchronizing with the signal, but pressing a key after 20 seconds after listening to the signal does not mean synchronizing with the signal.

この方法は、また、トークンにユーザ・インターフェイスを提供すること、トークンに
よってサーバを検証すること、そしてトークンによって、検証が成功したかどうかを表示
することを含むことが好ましい。この場合、人間による規定の作用は、検証の成功を条件
とする。検証が失敗ならば、ユーザは、トークンと相互作用することを控える。
The method also preferably includes providing a user interface to the token, validating the server with the token, and indicating with the token whether the validation was successful. In this case, the prescribed action by humans is conditional on successful verification. If verification fails, the user refrains from interacting with the token.

ホストとサーバとの間のトランザクションを認証するための、本発明の基本的な第一の
デバイスは、ホストに相互作用するためのデバイス・インターフェイス、ホストへ取り外
し可能にデバイスを接続操作するためのコネクタ、そしてデバイス・インターフェイスを
介してホストからトランザクション認証要求を受信し、コントローラによってアノニマス
な人間による規定の作用を検出したときにのみ、一度だけトランザクションを認証するコ
ントローラを含む。
A basic first device of the present invention for authenticating a transaction between a host and a server is a device interface for interacting with the host, and a connector for removably connecting the device to the host. And a controller that authenticates the transaction only once when a transaction authentication request is received from the host via the device interface and the prescribed action by the anonymous human is detected by the controller.

そのような人間による規定の作用の一例は、認証要求が受信される前の所定時限内に、
ホストへデバイス・インターフェイスを接続操作することである。この状態を、デバイス
・インターフェイスを介して検出する。
An example of such a human prescribed action is within a predetermined time period before an authentication request is received,
To connect the device interface to the host. This state is detected through the device interface.

人間による規定の作用の他の例は、デバイスがユーザ・インターフェイスをも含むこと
を要求する。そのような一例は、認証を可能にするための、ユーザ・インターフェイスと
の相互作用である。もう一つの、そのような例は、デバイス・インターフェイスを、認証
要求が受信されたことをユーザ・インターフェイスが表示した後の少なくとも所定の時間
だけ、ホストへ作動可能に接続されたままにしておくことである。もう一つの、そのよう
な例は、ユーザ・インターフェイスからの少なくとも一つの信号の各々に実質的に同期さ
せてホストに相互作用することである。しかし、この場合は、ユーザ・インターフェイス
からの複数の信号の各々に同期させることが好ましい。後の例における、コントローラに
よって人間による規定の作用を検出することは、ホストから相互作用の通知を受信するた
めのコントローラを含む。
Another example of human prescribed behavior requires that the device also include a user interface. One such example is interaction with the user interface to allow authentication. Another such example is to leave the device interface operatively connected to the host for at least a predetermined time after the user interface indicates that an authentication request has been received. It is. Another such example is interacting with the host in substantial synchronization with each of the at least one signal from the user interface. However, in this case, it is preferable to synchronize with each of a plurality of signals from the user interface. In a later example, detecting a prescribed action by a human by the controller includes a controller for receiving an interaction notification from the host.

コントローラによる認証は、また、デバイス・インターフェイスを介してのコントロー
ラによる、ホストで入力した識別証明(例えば、パスワード、PINまたは生体情報)の
受信、そしてコントローラによる識別証明の検証を条件とすることが好ましい。
Authentication by the controller is also preferably contingent upon receipt of identification credentials (eg, password, PIN or biometric information) entered at the host by the controller via the device interface and verification of the identification credentials by the controller .

デバイスは、また、ユーザ・インターフェイスを含み、そしてコントローラは、また、
サーバを検証し、ユーザ・インターフェイスを介して、サーバの検証が成功したかどうか
を表示するように作動可能であることが好ましい。
The device also includes a user interface, and the controller also
Preferably, the server is operable and operable to display via the user interface whether the server verification was successful.

デバイスは、また、デバイス・インターフェイスを介してホストから受信したデータを
記憶するなどの、トランザクションの認証には関係しない機能を提供するために、例えば
メモリ等の、機能コンポーネントを含むことが好ましい。デバイス・インターフェイスが
ホストへ接続操作されたとき、認証要求が懸案になっていれば、コントローラは、その機
能をホストへ提供することなく、必要条件が満たされたので認証要求を満足させることに
よって、あるいは必要条件が満たされなかったので認証要求を拒否することによって認証
要求を取り扱い、そうではなく、認証要求が懸案でない場合は、コントローラは、ホスト
へその機能を提供することが最も好ましい。認証要求を取り扱った後、コントローラが、
デバイス・インターフェイスを介して、ホストへ機能を提供するよう要求を受信したとき
、コントローラは、ホストからデバイス・インターフェイスを分離操作してからデバイス
・インターフェイスをホストへ再接続操作するよう、ユーザに促すことが最も好ましい。
また、コントローラが、ホストへ機能を提供している間に認証要求を受信した場合、コン
トローラは、デバイス・インターフェイスをホストから分離操作してからデバイス・イン
ターフェイスをホストへ再接続操作するよう、ユーザに促すことが最も好ましい。
The device also preferably includes a functional component, such as a memory, to provide functions not related to transaction authentication, such as storing data received from the host via the device interface. If the authentication request is pending when the device interface is connected to the host, the controller will satisfy the requirement because the requirement has been met without providing that functionality to the host, Alternatively, it is most preferred that the controller handle the authentication request by rejecting the authentication request because the requirements were not met, otherwise the controller provides the function to the host if the authentication request is not a concern. After handling the authentication request, the controller
When a request is received via the device interface to provide functionality to the host, the controller prompts the user to detach the device interface from the host and then reconnect the device interface to the host. Is most preferred.
Also, if the controller receives an authentication request while providing functionality to the host, the controller will prompt the user to disconnect the device interface from the host and then reconnect the device interface to the host. It is most preferable to prompt.

択一的に、認証要求を取り扱った後、コントローラが、デバイス・インターフェイスを
介して、ホストへ機能を提供するよう要求を受信したとき、コントローラは、ホストへ機
能を提供することを開始する。コントローラが、ホストへ機能を提供している間に認証要
求を受信した場合、コントローラは、ホストへの機能の提供を停止して、その代わりに、
認証要求を取り扱う。
Alternatively, after handling an authentication request, when the controller receives a request to provide functionality to the host via the device interface, the controller begins to provide functionality to the host. If the controller receives an authentication request while providing functionality to the host, the controller stops providing functionality to the host and instead
Handle authentication requests.

本発明のもう一つの方法は、個人がホストへ接続操作したトークン等の周辺デバイスに
、その個人が実際に存在することを確認するための方法である。基本的な方法によれば、
ホストはホスト・ユーザ入力インターフェイスを備え、周辺デバイスは、デバイス・ユー
ザ出力インターフェイスを備え、そのデバイス・ユーザ出力インターフェイスで少なくと
も一つの出力を生成し、そして、ホストは、その出力の各々への対応する入力を捉えるよ
う、ホスト・ユーザ入力インターフェイスを監視し、その入力を周辺デバイスへ報告する
。周辺デバイスが、対応する(単数あるいは複数の)報告を実際に受信した場合にのみ、
個人の存在が確認される。この文脈における「入力インターフェイス」は、ユーザからの
入力を受信するための、例えばボタンまたはキーボード等のインターフェイスであり、「
出力インターフェイス」は、ユーザへ出力を提供するための、例えばLEDまたはディス
プレイ・スクリーン等のインターフェイスである。実際、この方法を適用するホストは、
ほぼ、どのケースでも入力インターフェイスおよび出力インターフェイスを含むが、方法
は、ホストの入力インターフェイスのみを用いる。周辺デバイスは、入力インターフェイ
スを含んでも、あるいは含まなくてもよいが、出力インターフェイスを含まなければなら
ない。
Another method of the present invention is a method for confirming that an individual actually exists in a peripheral device such as a token connected to the host by the individual. According to the basic method,
The host has a host user input interface, the peripheral device has a device user output interface, generates at least one output at the device user output interface, and the host has a corresponding to each of its outputs Monitor the host user input interface to capture the input and report the input to the peripheral device. Only when the peripheral device actually receives the corresponding report (s)
The presence of the individual is confirmed. An “input interface” in this context is an interface, such as a button or a keyboard, for receiving input from a user.
An “output interface” is an interface, such as an LED or display screen, for providing output to the user. In fact, the host applying this method
Almost every case includes an input interface and an output interface, but the method uses only the host input interface. A peripheral device may or may not include an input interface, but must include an output interface.

周辺デバイスは、時間的にランダムに分散させた、複数の出力を生成することが好まし
い。また、ホストによる対応する出力の生成に実質的に同期されて、各報告が周辺デバイ
スによって受信された場合にのみ、個人の存在が確認されることが好ましい。
The peripheral device preferably generates a plurality of outputs that are randomly distributed in time. It is also preferred that an individual's presence be confirmed only when each report is received by a peripheral device substantially in synchrony with the generation of the corresponding output by the host.

本発明の第二のデバイスも、ホストとサーバとの間のトランザクションを認証するため
のデバイスである。このデバイスは、ホストに相互作用するためのデバイス・インターフ
ェイス、ユーザ・インターフェイスおよびコントローラを含む。コントローラが、デバイ
ス・インターフェイスを介して、ホストからのトランザクション認証要求を受信したとき
、コントローラは、サーバを検証し、ユーザ・インターフェイスを使用して、サーバの検
証が成功したかどうかを表示する。
The second device of the present invention is also a device for authenticating a transaction between a host and a server. The device includes a device interface, a user interface and a controller for interacting with the host. When the controller receives a transaction authentication request from the host via the device interface, the controller validates the server and uses the user interface to indicate whether the server validation was successful.

ホストとサーバとの間のトランザクションを認証するための、本発明の第三の方法は、
第二のデバイスに対応する。ホストに作動可能に接続されたトークンが、サーバを検証し
、そのユーザ・インターフェイスを介して、検証が成功したかどうかを表示する。
A third method of the present invention for authenticating a transaction between a host and a server comprises:
Corresponds to the second device. A token operatively connected to the host validates the server and indicates whether validation was successful via its user interface.

本発明を、例としてのみ、添付の図面を参照して説明する。     The invention will now be described, by way of example only, with reference to the accompanying drawings.

本発明によるシステムを表す、高度なブロック図である。FIG. 2 is an advanced block diagram representing a system according to the present invention. 図1に示すシステムを作動させる二つの方法を表すフロー・チャートである。2 is a flow chart representing two methods of operating the system shown in FIG. 図1に示すシステムを作動させる二つの方法を表すフロー・チャートである。2 is a flow chart representing two methods of operating the system shown in FIG. 本発明によるもう一つのシステムを表す、高度なブロック図である。FIG. 3 is a high level block diagram representing another system according to the present invention. 図3に示すシステムを作動させる二つの方法を表すフロー・チャートである。4 is a flow chart representing two methods of operating the system shown in FIG. 図3に示すシステムを作動させる二つの方法を表すフロー・チャートである。4 is a flow chart representing two methods of operating the system shown in FIG. 図5は、必須の、人間による許可のための好適方法を表すフロー・チャートである。FIG. 5 is a flow chart representing the preferred preferred method for human permission.

本発明は、トークンがユーザ特定情報を直接的に受信する必要のない、ユーザ認証に使
用可能なトークンに関する。
The present invention relates to a token that can be used for user authentication, where the token does not need to receive user specific information directly.

本発明によるトークンの原理および作用は、図面とその説明文を参照することによって
、よりよく理解できる。
The principles and operation of a token according to the present invention can be better understood with reference to the drawings and descriptions thereof.

さて、図面を参照する。図1は、本発明によって構成されたシステムの好適実施例10
0を表し、多目的ポータブル・デバイス110の一部を形成する認証トークン112に関
する。多目的ポータブル・デバイス110は、認証トークン112のトークン機能を、例
えば記憶等の、他の機能114に組み合わせる。コントローラ115は、多目的ポータブ
ル・デバイス110のオペレーションを制御し、また、認証トークン112および機能1
14を制御する。インジケータ118は、コントローラ115の制御下で、音声および/
あるいは視覚信号をユーザへ提供する。ボタン120は、ユーザが許可信号を提供するた
めのオプションである。ボタン120は、物理的な押しボタン、または択一的に、インジ
ケータ118と連動する光センサでもよい。例えば、ユーザが多目的ポータブル・デバイ
ス110の本体に接触すると、彼(女)の指がインジケータ118から来る光を反射し、
これを、ボタン120の一部を形成する感光性センサが感知する。デバイス・インターフ
ェイス116は、デバイス側の、USB(ユニバーサル・シリアル・バス)インターフェ
イスまたはSD(セキュア・デジタル)インターフェイス等の、標準的な電気および論理
インターフェイスである。デバイス・コネクタ130は、ホスト150へのリンク140
を介して、配線接続または無線接続を提供する。
Reference is now made to the drawings. FIG. 1 illustrates a preferred embodiment 10 of a system constructed in accordance with the present invention.
Represents an authentication token 112 that represents 0 and forms part of the multipurpose portable device 110. The multipurpose portable device 110 combines the token function of the authentication token 112 with other functions 114, such as storage. The controller 115 controls the operation of the multipurpose portable device 110, and the authentication token 112 and function 1
14 is controlled. The indicator 118 is under the control of the controller 115 and is audible and / or
Alternatively, a visual signal is provided to the user. The button 120 is an option for the user to provide a permission signal. Button 120 may be a physical push button or, alternatively, a light sensor that interacts with indicator 118. For example, when a user touches the body of the multipurpose portable device 110, his (female) finger reflects light coming from the indicator 118,
This is sensed by a photosensitive sensor forming part of the button 120. The device interface 116 is a standard electrical and logical interface, such as a USB (Universal Serial Bus) interface or an SD (Secure Digital) interface on the device side. The device connector 130 is a link 140 to the host 150.
Provide a wired connection or wireless connection via.

例えば、パソコン、携帯電話あるいは2ウェイ・ポケットベル等のホスト150は、ユ
ーザが、例えばインターネットまたは携帯リンクへの結合等のネットワーク接続172を
介して、プロバイダ(図示せず)の遠隔サーバとトランザクションを実行することを可能
にする。CPU156は、オペレーティングシステム、ワープロ、通信プログラム等の、
ソフトウェアプログラムであるサービス154の下で、ホスト150のオペレーションを
制御する。ユーザは、例えば、キーボード、指紋リーダおよび/あるいはスクリーンを含
むユーザ・インターフェイス152を使用して、ホスト150を操作する、また、ユーザ
IDとして、PIN、パスワードあるいは生体情報を提供する。ホスト・インターフェイ
ス158は、ホスト側の、多目的ポータブル・デバイス110との、標準的な電気および
論理インターフェイスを提供し、ホスト・コネクタ170は、多目的ポータブル・デバイ
ス110との、リンク140を介した有線または無線接続を提供する。悪意のあるプログ
ラム160は、ホスト150内に存在し、ユーザ・インターフェイス152を介して入力
されるPIN、パスワードおよび/あるいは生体情報を傍受し、それから、多目的ポータ
ブル・デバイス110がホスト150に接続されたときに認証トークン112を利用しよ
うと試み、多目的ポータブル・デバイス110の正規の所有者になりすまして不正なトラ
ンザクションを生成する、と推定する。
For example, a host 150, such as a personal computer, mobile phone or two-way pager, allows a user to transaction with a remote server of a provider (not shown) via a network connection 172, such as a connection to the Internet or a mobile link. Make it possible to execute. CPU 156 is an operating system, word processor, communication program, etc.
The operation of the host 150 is controlled under the service 154 which is a software program. The user operates the host 150 using a user interface 152 including, for example, a keyboard, a fingerprint reader, and / or a screen, and provides a PIN, password, or biometric information as a user ID. The host interface 158 provides a standard electrical and logical interface to the host side, multipurpose portable device 110, and the host connector 170 is wired or wired via the link 140 to the multipurpose portable device 110. Provide wireless connection. A malicious program 160 exists in the host 150 and intercepts the PIN, password and / or biometric information entered via the user interface 152, and then the multipurpose portable device 110 is connected to the host 150. It is presumed that sometimes an attempt is made to use the authentication token 112 to impersonate the legitimate owner of the multi-purpose portable device 110 and generate a fraudulent transaction.

図2は、図1に示す多目的ポータブル・デバイス110のオペレーションのための、第
一の好適方法を表すフロー・チャートである。上述したように、本方法の主要な目的は、
多目的ポータブル・デバイス110が、機能114を目的としてホスト150に接続され
ているとき、例えば、機能114内に記憶機能を含む多目的ポータブル・デバイス110
が、記憶の目的でホスト150に長時間接続されているとき、悪意のあるプログラム16
0が不正なトランザクションを生成することを防止することである。ステップ200で、
多目的ポータブル・デバイス110をホスト150へ作動可能に接続する。接続の一部と
して、デバイス・インターフェイス116とホスト・インターフェイス158との間で、
論理ハンドシェイクが行われる。これは、ステップ202で、ホスト150が懸案の認証
セッションの最中であるかどうかを、コントローラ115が識別できるようにする。答え
が否定である場合、ステップ210において、コントローラ115は、機能114の機能
のために、多目的ポータブル・デバイス110のみをマウントする。すなわち、認証トー
クン112は、分離され、ホスト150へのアクセスが不可能である。ステップ212で
、認証トークン112が使用不能である間、ホスト150は、サービス154を実行する
、および/あるいは多目的ポータブル・デバイス110の機能114と連動する(例えば
、機能114内に含まれるデータ記憶デバイス上での、読み込みおよび書き込みオペレー
ションを実行する)。明らかであるが、この段階では、認証トークン112が接続されて
いないため、悪意のあるプログラム160は、少しの認証トランザクションも実行できな
い。サービスの一つが認証を必要とする場合、このことがステップ214で検出されるこ
とによって、ステップ230へ進む。ここで、ユーザは、ホスト150から多目的ポータ
ブル・デバイス110を取り外して、それから、多目的ポータブル・デバイス110をホ
スト150に再接続するよう、ホスト150に促される。これは、人間の関与を必要とす
る、悪意あるプログラム160が実行できない手作業である。ステップ230でユーザが
従った場合にのみ、システム100はステップ200へ戻るが、今度は、ホスト150は
、CPU156がホスト・インターフェイス158に通知して、認証を待つ。多目的ポー
タブル・デバイス110とホスト150との間のハンドシェイク中のこの時点で、ステッ
プ202が、懸案の認証があることを識別した場合、それに応じて、ステップ220へ進
む。そこで、認証トークン112の機能のために、多目的ポータブル・デバイス110が
マウントされ、機能114は使用不能になる。ステップ221で、ユーザは、ユーザ・イ
ンターフェイス152へ、彼(女)のPIN、パスワードまたは生物学的識別属性を提示
するよう促され、ステップ222で、単一の認証セッションが実行され、その後、認証ト
ークン112は使用不能になる。もし、ステップ226で、機能114による追加のオペ
レーションを望むなら、ステップ230で促されたとき、多目的ポータブル・デバイス1
10を再接続する必要がある。
FIG. 2 is a flow chart representing a first preferred method for operation of the multipurpose portable device 110 shown in FIG. As mentioned above, the main purpose of the method is to
When the multipurpose portable device 110 is connected to the host 150 for the purpose of the function 114, for example, the multipurpose portable device 110 that includes a storage function within the function 114.
Is connected to the host 150 for a long time for storage purposes, the malicious program 16
It is to prevent 0 from generating an illegal transaction. In step 200,
The multipurpose portable device 110 is operatively connected to the host 150. As part of the connection, between device interface 116 and host interface 158,
A logical handshake is performed. This allows the controller 115 to identify at step 202 whether the host 150 is in a pending authentication session. If the answer is no, at step 210 the controller 115 mounts only the multipurpose portable device 110 for the function 114 function. That is, the authentication token 112 is separated and access to the host 150 is impossible. At step 212, while the authentication token 112 is unavailable, the host 150 performs the service 154 and / or works with the function 114 of the multipurpose portable device 110 (eg, a data storage device included within the function 114). Perform read and write operations above). Obviously, at this stage, since the authentication token 112 is not connected, the malicious program 160 cannot execute any authentication transaction. If one of the services requires authentication, this is detected in step 214 and proceeds to step 230. Here, the user is prompted to remove the multipurpose portable device 110 from the host 150 and then reconnect the multipurpose portable device 110 to the host 150. This is a manual task that requires human involvement and cannot be executed by the malicious program 160. Only when the user follows in step 230, the system 100 returns to step 200, but this time the host 150 notifies the host interface 158 by the CPU 156 and waits for authentication. At this point in the handshake between the multipurpose portable device 110 and the host 150, if step 202 identifies that there is a pending authentication, then proceed to step 220 accordingly. Thus, for the function of the authentication token 112, the multi-purpose portable device 110 is mounted and the function 114 is disabled. In step 221, the user is prompted to present his (female) PIN, password, or biological identification attribute to the user interface 152, and in step 222, a single authentication session is performed, after which the authentication is performed. The token 112 becomes unusable. If, in step 226, additional operations by function 114 are desired, the multipurpose portable device 1 when prompted in step 230
10 need to be reconnected.

図2のプロシージャが、多目的ポータブル・デバイス110の所有者を、悪意のあるプ
ログラム160が、彼または彼女に代わって認証トークン112を作動させて、気づかれ
ないように不正なトランザクションを繰り返すことから保護することは明らかである。し
かしながら、悪意のあるプログラム160が利用可能な、いくつかの抜け道は依然として
存在する。これらの抜け道は、図2のステップ223、224、225および227で、
少なくとも部分的に解決できる。第一の抜け道は、悪意あるプログラム160が、バック
グラウンドで不正なトランザクションを準備することである。これは、ユーザが、機能1
14内のある機能を実行するために、ホスト150へ多目的ポータブル・デバイス110
を接続するとき、悪意あるプログラムが、ステップ202で、認証ペンディング・ステー
タスを実際に生成し、不正なトランザクションを実行できることである。この場合、認証
のためにステップ220への移動があり機能の使用が不能になるため、ユーザは、彼(女
)の所望の機能にアクセスすることに失敗するが、多くのユーザは、単にハードウェアの
不良を非難し、不正なトランザクションに気づくことはない。これを防止するためには、
オプションとして、ステップ224での、人間による明確な許可が必要となる。この明確
な許可は、ボタン120を押すことによって、または以下の図5で説明する方法の下で、
ホストのユーザ・インターフェイス152を通しても提供できる。代替的に、あるいは追
加的に、ステップ225で、トランザクションに気づかないことがないよう、ユーザにト
ランザクションを知らせるために、インジケータ118が特別な音声および/あるいは視
覚的な信号を生成する。さらに、視聴覚信号を、認証セッションに対して2、3秒先行で
きるので、ユーザには、トランザクションを防止するに十分な、ステップ227に示す、
ホスト150から多目的ポータブル・デバイス110を取り外すための時間がある。もう
一つの予防措置は、ユーザが、異なるウェブサイトに接続されているのに彼/彼女が正規
のウェブサイトでトランザクションを実行している、とユーザに信じ込ませる「フィッシ
ング」に対して取ることができる。フィッシングは、ステップ223におけるホスト検証
によって防止する。この場合、ステップ222の認証を拡張して、ネットワーク接続17
2を介して接続されたプロバイダのサーバのIDの暗号検証を含め、そして相手側のホス
トが照合され、そのIDが認証トークン112によって記録されたことを、インジケータ
118を介して(例えば、特別な音または点滅緑光によって)合図する。
The procedure of FIG. 2 protects the owner of the multipurpose portable device 110 from malicious programs 160 activating the authentication token 112 on his or her behalf and repeating unauthorized transactions without being noticed. It is clear to do. However, there are still some loopholes where the malicious program 160 is available. These loopholes are steps 223, 224, 225 and 227 of FIG.
At least partially solve. The first loophole is that the malicious program 160 prepares a fraudulent transaction in the background. This is the function 1
14 to the host 150 to perform certain functions
A malicious program can actually generate an authentication pending status and execute a fraudulent transaction in step 202. In this case, the user fails to access his (female) desired function because there is a move to step 220 for authentication and the use of the function is disabled, but many users simply You don't blame your wearer and don't notice fraudulent transactions. To prevent this,
Optionally, explicit human permission at step 224 is required. This explicit permission can be achieved by pressing button 120 or under the method described in FIG. 5 below.
It can also be provided through the host user interface 152. Alternatively or additionally, in step 225, indicator 118 generates a special audio and / or visual signal to inform the user of the transaction so that it is not unaware of the transaction. In addition, the audiovisual signal can precede the authentication session for a few seconds, so the user is shown in step 227, sufficient to prevent the transaction,
There is time to remove the multipurpose portable device 110 from the host 150. Another precaution may be taken against “phishing” that causes the user to believe that he / she is executing a transaction on a legitimate website while connected to a different website. it can. Phishing is prevented by host verification in step 223. In this case, the authentication in step 222 is extended to the network connection 17.
2, including cryptographic verification of the ID of the provider's server connected via 2 and that the other host has been verified and that ID was recorded by the authentication token 112 via an indicator 118 (eg, a special Signal (by sound or flashing green light).

図2Aは、認証と他の機能セッションとの間でホスト150から多目的ポータブル・デ
バイス110を物理的に取り外すことを必要としない、オペレーティングシステム100
の代替的な方法を表すフロー・チャートである。以下の点を除き、すべてのステップは、
図2のものと同様である。ボタン120を押す、あるいは 図5の方法を適用することに
よって、ステップ224の、人間による明確な許可を示すことは必須である。ステップ2
30および240のいずれのモードに対するマウントも、コントローラ115の制御下で
論理的に実行されるため、ホスト150から多目的ポータブル・デバイス110を物理的
に取り外す必要はない。ステップ234および236における、一方から他方へのモード
切り換えは、物理的な再マウントではなく、論理的な再マウントで実行する。注目すべき
ことは、論理マウントを用いる代わりに、認証トークン112および機能114の両方を
同時にマウントしたままにしておいて、コントローラ115がそれらの機能を単に切り替
えてもよい、ということである。したがって、単語「マウントする」に代わるものとして
、単語「作動させる」がステップ230および240に現れる。明らかなことは、図2A
の実施例の下では、人間による許可224が必須であるため、一回の許可につき、単一の
認証のみを行うことが可能である。
FIG. 2A illustrates an operating system 100 that does not require physical removal of the multipurpose portable device 110 from the host 150 between authentication and other functional sessions.
6 is a flow chart showing an alternative method of All steps except for the following:
It is the same as that of FIG. It is imperative to indicate the explicit human permission of step 224 by pressing button 120 or applying the method of FIG. Step 2
Mounting for both 30 and 240 modes is logically performed under the control of the controller 115, so there is no need to physically remove the multipurpose portable device 110 from the host 150. The mode switching from one to the other in steps 234 and 236 is performed by logical remount, not physical remount. It should be noted that instead of using a logical mount, both the authentication token 112 and the function 114 may remain mounted at the same time, and the controller 115 may simply switch between those functions. Thus, the word “activate” appears in steps 230 and 240 as an alternative to the word “mount”. What is clear is that FIG.
Under this embodiment, since human permission 224 is essential, only a single authentication can be performed per permission.

図3は、本発明のもう一つの、好適なシステム300を図解する。これは、図1に示す
多目的ポータブル・デバイス110を、認証以外の機能を全く持たない単一目的ポータブ
ル・トークン310で置換している。ホスト151は、サービス155が、多目的ポータ
ブル・デバイス110の追加的機能114を必要とするサービスを含む必要がないという
こと以外において、ホスト150と同様である。トークン・インターフェイス318およ
びトークン・コネクタ330は、各々、図1に示すデバイス・インターフェイス116お
よびデバイス・コネクタ130と同様である。クリプトコントローラ316はポータブル
・トークン310のオペレーションを制御し、インジケータ118およびボタン120は
、図1に示すそれらの対照物と同じである。
FIG. 3 illustrates another preferred system 300 of the present invention. This replaces the multipurpose portable device 110 shown in FIG. 1 with a single purpose portable token 310 that has no function other than authentication. Host 151 is similar to host 150 except that service 155 need not include services that require additional functionality 114 of multipurpose portable device 110. Token interface 318 and token connector 330 are similar to device interface 116 and device connector 130, respectively, shown in FIG. The crypto controller 316 controls the operation of the portable token 310 and the indicators 118 and buttons 120 are the same as their counterparts shown in FIG.

図4は、図3のシステム300のオペレーションを表すフローチャートである。ステッ
プ400で、ポータブル・トークン310を、ホスト151に作動可能に接続する。ポー
タブル・トークン310の唯一の目的は認証であるのだから、実際の認証オペレーション
は、ステップ404でチェックするように、所定の時限(例えば、1分間)内に実行され
る、と推定する。この時限内に認証を開始すると、ステップ221および222で、図2
のものに同様な、単一の認証オペレーションが実行され、図2の場合のように、オプショ
ンとして、ホスト検証223、人間による許可224、そして視聴覚表示225も行われ
る。もし、ステップ426で、ユーザが、図3に示すサービス155の一つを介して、も
う一回の認証セッションを行いたい場合、彼/彼女は、ステップ430で、ポータブル・
トークン310を物理的に切り離してホスト151へ再接続するよう促される。もしステ
ップ404で、認証が(例えば)1分間という所定の時限内に開始されなかった場合は、
ステップ410で、トークンは使用不能になる。ステップ414において認証の必要があ
る場合には、ユーザは、ステップ430で、ポータブル・トークン310を物理的に切り
離してホスト151へ再接続するよう促される。
FIG. 4 is a flowchart representing the operation of system 300 of FIG. At step 400, portable token 310 is operatively connected to host 151. Since the only purpose of the portable token 310 is authentication, it is assumed that the actual authentication operation is performed within a predetermined time period (eg, 1 minute) as checked in step 404. If the authentication is started within this time limit, steps 221 and 222 are executed as shown in FIG.
A single authentication operation is performed, similar to that of FIG. 2, with optional host verification 223, human authorization 224, and audiovisual display 225 as well. If at step 426 the user wishes to perform another authentication session via one of the services 155 shown in FIG.
You are prompted to physically disconnect token 310 and reconnect to host 151. If at step 404 authentication is not initiated within a predetermined time period of (for example) 1 minute,
At step 410, the token is disabled. If authentication is required in step 414, the user is prompted to physically disconnect portable token 310 and reconnect to host 151 in step 430.

図4Aは、認証セッション間でホスト151からポータブル・トークン310を物理的
に取り外すことを必要としない、オペレーティングシステム300の代替的な方法を表す
フロー・チャートである。ステップ400で、ポータブル・トークン310をホスト15
1へ接続する。ステップ221、222、223、224および225は、人間による明
確な許可が必須であるステップ224以外、図4のものと同じである。ステップ426は
、必須である人間による明確な許可222などによって、(ステップ221のユーザID
を繰り返す必要が全くなく)ステップ222におけるもう一回の認証オペレーションへ導
いてもよい。
FIG. 4A is a flow chart representing an alternative method of operating system 300 that does not require physical removal of portable token 310 from host 151 between authentication sessions. In step 400, the portable token 310 is transferred to the host 15
Connect to 1. Steps 221, 222, 223, 224 and 225 are the same as those in FIG. 4 except for step 224 where explicit human permission is essential. Step 426 may be performed (such as the user ID of step 221), such as with a clear human permission 222 that is mandatory.
May be led to another authentication operation in step 222).

図5は、図2、2A、4および4Aに示す必須の人間による許可224のための、ボタ
ン120を押すことを代替する好適方法を表すフローチャートである。キー押しを検出す
るアプリケーションが、ホスト150またはホスト151上で作動し、キーが押される度
に、接続された多目的ポータブル・デバイス110またはポータブル・トークン310へ
瞬時に報告する。ゴールは、ユーザ許可のためにユーザ・インターフェイス152(例え
ば、従来のキーボード)を、悪意のあるプログラム160が模倣できない様式で用いるこ
とを可能にすることである。これは、ユーザに、視聴覚インジケータ118から受信した
信号に同期させて、ユーザ・インターフェイス152上のキーを押させることによって実
行する。(信号を、コントローラ115によって、あるいはクリプトコントローラ316
によって自動的に生成するとき)人間であるユーザは信号に気づくが、悪意あるプログラ
ム160は信号にに対して盲目であるため、人間である操作者の存在が確認できる。図解
の例示的なプロシージャは、ユーザに、ホスト・コンピュータのユーザ・インターフェイ
ス152上の一つのキーを、インジケータ118から受信した信号に同期させて、四度連
続で押すことを要請する。もしユーザが、第一回目の、四度押しセッション中の、いずれ
のキー押しをミスしても、彼/彼女は、四度のキー押しに対する、もう二回のチャンスが
ある。彼/彼女が三回連続でセッションに失敗すると、トークンはそれ自体をロックする
。ロックしたトークンのアンロックには、例えば、サービス事務所への訪問等の、人間で
あるユーザによる決定的な手作業が必要である。この要件は、悪意のあるプログラムが、
複数のセッションに渡って、正しいタイミングが推測できるまで、キー押しの正しいタイ
ミングをランダムに推測することを繰り返し試みることを防止するために提供されるもの
である。失敗を探知するために、コントローラ115(図1)の、またはクリプトコント
ローラ316(図3)の一部を形成する失敗カウンタが設けられている。この失敗カウン
タは、製造時、パーソナライズ時、または例えば、悪意あるプログラムが到達不可能であ
ろうサービス事務所の信頼できるコンピュータで、ユーザが他の決定的な手作業を行った
とき、ゼロに予めセットされる。また、失敗カウンタは、以下のステップ540で説明す
るように、一連のキー押しが成功したとき、ゼロにリセットされる。
FIG. 5 is a flow chart representing a preferred alternative to pressing button 120 for the mandatory human permission 224 shown in FIGS. 2, 2A, 4 and 4A. An application that detects key presses runs on host 150 or host 151 and reports instantly to the connected multipurpose portable device 110 or portable token 310 each time a key is pressed. The goal is to allow the user interface 152 (eg, a conventional keyboard) to be used in a manner that the malicious program 160 cannot imitate for user authorization. This is done by having the user press a key on the user interface 152 in synchronization with the signal received from the audiovisual indicator 118. (Signal is sent by controller 115 or crypto controller 316
Although the human user notices the signal), the malicious program 160 is blind to the signal, so the presence of the human operator can be confirmed. The illustrated exemplary procedure prompts the user to press a key on the user interface 152 of the host computer four times in succession in synchronization with the signal received from the indicator 118. If the user misses any key press during the first, fourth press session, he / she has two more chances for the fourth key press. If he / she fails the session three times in a row, the token locks itself. Unlocking a locked token requires decisive manual work by a human user, for example, a visit to a service office. This requirement means that malicious programs
It is provided to prevent repeated attempts to randomly guess the correct timing of key presses until a correct timing can be estimated across multiple sessions. To detect failure, a failure counter is provided that forms part of controller 115 (FIG. 1) or of crypto controller 316 (FIG. 3). This failure counter is pre-zeroed at the time of manufacture, personalization, or when a user performs other definitive manual work on a trusted computer in a service office where a malicious program would not be reachable. Set. Also, the failure counter is reset to zero when a series of key presses are successful, as will be described in step 540 below.

したがって、ステップ500において、成功フラグを論理真へセットし、その後、ステ
ップ502で、4つのキー押し入力のセッションを介してループする。ステップ504で
、コントローラ115またはクリプトコントローラ316が、0と4の間の乱数を生成し
て、インジケータ118がオフの間、この秒数だけ待機する。ステップ506で、もしこ
の待ち時間内にキー押しが検出されると、成功フラグは、偽へセットされる。それから、
ステップ508で、コントローラ115またはクリプトコントローラ316によって、イ
ンジケータ118を介して信号を生成する。そしてステップ510で、信号持続時間内に
キー押しを期待する。キー押しが検出されたら、四度のキー押しセッション・ループはス
テップ502へ戻る。そうでない場合、ステップ512で、成功フラグを偽へセットし、
その後、ステップ502におけるループを継続する。全四セッションが完了すると、ルー
プはステップ530の方へ出て、そこで成功フラグが調べられる。ユーザ・インターフェ
イス152におけるすべての四度のキー押しが、インジケータ118からの信号に同期し
ていた場合にだけ、成功フラグは真に留まる。このことは、ステップ540で、コントロ
ーラ115またはクリプトコントローラ316内に含んだ失敗カウンタをゼロへリセット
すること、それから、ステップ542で、認証を是認することへ導く。すなわち、図2、
2A、4および4Aのいずれにあっても、ステップ222の実行へ導く。キー押しと信号
との同期における一度の失敗でさえ、ループ502は、ステップ530で、成功=偽で終
了する。このことは、ステップ532へ導き、先に言及した失敗カウンタを1だけ増加す
る。もし失敗カウンタが許容失敗数、例えば3を超過した場合、ステップ534は、コン
トローラ115またはクリプトコントローラ316が、ステップ536において、それ自
体をロックするように導き、ステップ538でサービスを拒絶する(すなわち、図2、2
A、4および4Aのいずれにおいても、ステップ222で認証は実行されない)。しかし
、最高二度の先の失敗に対しては、ステップ534は、ステップ498で、インジケータ
118および/あるいはユーザ・インターフェイス152を介してメッセージを生成する
よう導き、ステップ500で、ユーザにもう一度試すよう勧める。
Accordingly, in step 500, the success flag is set to logic true, and then in step 502, a loop is made through a session of four key presses. At step 504, controller 115 or crypto controller 316 generates a random number between 0 and 4 and waits this number of seconds while indicator 118 is off. In step 506, if a key press is detected within this waiting time, the success flag is set to false. then,
At step 508, a signal is generated via indicator 118 by controller 115 or crypto controller 316. In step 510, a key press is expected within the signal duration. If a key press is detected, the fourth key press session loop returns to step 502. Otherwise, in step 512, the success flag is set to false,
Thereafter, the loop in step 502 is continued. When all four sessions are complete, the loop goes to step 530 where the success flag is checked. The success flag remains true only if all four key presses on the user interface 152 are synchronized to the signal from the indicator 118. This leads to resetting the failure counter included in controller 115 or crypto controller 316 to zero at step 540 and then authorizing authentication at step 542. That is, FIG.
Any of 2A, 4 and 4A leads to execution of step 222. Even with a single failure in key press and signal synchronization, the loop 502 ends with success = false at step 530. This leads to step 532 and increments the previously mentioned failure counter by one. If the failure counter exceeds the allowable number of failures, e.g. 3, step 534 leads controller 115 or crypto controller 316 to lock itself in step 536 and rejects service in step 538 (i.e. 2 and 2
In any of A, 4 and 4A, authentication is not performed in step 222). However, for up to two previous failures, step 534 leads to generate a message via indicator 118 and / or user interface 152 at step 498 and to try the user again at step 500. recommend.

注目すべきことは、悪意あるプログラムが単独で認証を完了することを防止するために
、上記のすべての異形実施例が、人間のみが実行できる必須の手作業ステップを要求する
ことである。また、そのようなステップが認証のために要求されることは珍しいし、他の
ことで用いられるとしたら意味のないことである。そのような手作業ステップの例は、以
下のものを含む。ホストへのデバイスの再接続、特殊目的ボタンを押すこと、不正な認証
が発生する前にユーザがトークンの接続を断つことができるよう警告信号を送信すること
、タイムリーな様式でトークンをホストへ接続すること、そしてトークンから受信した視
聴覚信号に同期させてホストのキーを押すこと。
It should be noted that all variant embodiments described above require mandatory manual steps that can only be performed by humans in order to prevent malicious programs from completing authentication alone. Also, it is rare for such a step to be required for authentication, and it makes no sense if used elsewhere. Examples of such manual steps include: Reconnect the device to the host, press a special purpose button, send a warning signal to allow the user to disconnect the token before unauthorized authentication occurs, and send the token to the host in a timely manner Connect and press the host key in sync with the audiovisual signal received from the token.

したがって、本発明の焦点は、悪意のあるプログラムが単独でトークンを操作すること
を防止するために、人間である操作者が実際に存在して管理していることを確認すること
にある。人間である操作者は、ホストへPIN、パスワードまたは生物学的属性を提示す
ることによって、別個に識別される必要がある。ユーザ識別の要求は、紛失または盗難に
対してのものであり、トークンを、(PIN、パスワードまたは生体情報を傍受した、と
推定する)悪意のあるプログラムから保護するに至っていない。したがって、拾った、あ
るいは盗んだトークンで、不正なトランザクションを生成しようと試みる犯人は、トーク
ンの所有者が使用するホスト上に、悪意あるプログラムをこっそりとインストールする犯
人と同じではない、と暗黙のうちに仮定する。ホストに悪意のあるプログラムをインスト
ールし、その後、ホスト上で使用されたトークンを手に入れる犯人は、容易にトークンの
所有者のふりをすることができる。本発明は、そのようなシナリオに対しては無力である
が、そのようなシナリオは、ほとんどあり得ないため、本発明の一般的な有用性は保たれ
る。
Therefore, the focus of the present invention is to confirm that a human operator actually exists and manages in order to prevent a malicious program from manipulating the token alone. A human operator needs to be identified separately by presenting a PIN, password or biological attribute to the host. The user identification request is for loss or theft, and has not protected the token from malicious programs (assuming that a PIN, password or biometric information was intercepted). Therefore, an implied that a criminal who attempts to generate a fraudulent transaction with a picked-up or stolen token is not the same as a criminal who secretly installs a malicious program on the host used by the token owner I will assume that. A criminal who installs a malicious program on a host and then obtains a token used on the host can easily pretend to be the owner of the token. Although the present invention is powerless for such scenarios, the general usefulness of the present invention is maintained because such scenarios are rarely possible.

本発明を限られた数の実施例に関して説明したが、本発明の多くの変形、修正、そして
他の応用が可能であることは明らかである。
Although the invention has been described with respect to a limited number of embodiments, it will be appreciated that many variations, modifications and other applications of the invention are possible.

Claims (1)

ホストのユーザが開始した、前記ホストとサーバとの間のトランザクションを認可するための方法であって、
(a)前記ホストへトークンを操作上接続するステップ、
(b)前記ホストによって、前記ユーザの識別証明を受信するステップ、
(c)前記トークンおよび前記サーバからなるグループから選択した少なくとも一つのデ
バイスで、前記識別証明を検証するステップ、
(d)前記トークンによって、人間による規定の作用を検出するステップ、
(e)前記検出を条件として、前記トークンによって、トークン認証データを生成するス
テップ、
(f)前記ホストによって、前記トークン認証データを前記サーバへ送信するステップ、
そして
(g)前記トークン認証データを受信することを条件として、前記サーバによってトラン
ザクションを認可するステップからなる、方法。
A method for authorizing a transaction between a host and a server initiated by a user of the host, comprising:
(A) operably connecting a token to the host;
(B) receiving the user's identity certificate by the host;
(C) verifying the identity certificate with at least one device selected from the group consisting of the token and the server;
(D) detecting a prescribed action by a human by the token;
(E) generating token authentication data with the token, subject to the detection;
(F) sending the token authentication data to the server by the host;
And (g) comprising the step of authorizing a transaction by the server, provided that the token authentication data is received.
JP2011204303A 2011-09-20 2011-09-20 Token-based transaction authentication under condition of presence of individual Pending JP2012048728A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011204303A JP2012048728A (en) 2011-09-20 2011-09-20 Token-based transaction authentication under condition of presence of individual

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011204303A JP2012048728A (en) 2011-09-20 2011-09-20 Token-based transaction authentication under condition of presence of individual

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2008511863A Division JP5049962B2 (en) 2005-05-19 2006-05-17 Transaction authentication by token, subject to individual presence

Publications (1)

Publication Number Publication Date
JP2012048728A true JP2012048728A (en) 2012-03-08

Family

ID=45903445

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011204303A Pending JP2012048728A (en) 2011-09-20 2011-09-20 Token-based transaction authentication under condition of presence of individual

Country Status (1)

Country Link
JP (1) JP2012048728A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020004486A1 (en) 2018-06-26 2020-01-02 日本通信株式会社 Online service provision system and application program
WO2020004495A1 (en) 2018-06-26 2020-01-02 日本通信株式会社 Online service provision system and application program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002527012A (en) * 1998-10-02 2002-08-20 コムセンス・テクノロジーズ・リミテッド Card for interaction with computer
US20030028435A1 (en) * 2000-06-28 2003-02-06 Joel Gaillard System and method for deferred purchase of a product
WO2003071403A1 (en) * 2002-02-22 2003-08-28 Fujitsu Limited Information processing unit and authentication processing program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002527012A (en) * 1998-10-02 2002-08-20 コムセンス・テクノロジーズ・リミテッド Card for interaction with computer
US20030028435A1 (en) * 2000-06-28 2003-02-06 Joel Gaillard System and method for deferred purchase of a product
WO2003071403A1 (en) * 2002-02-22 2003-08-28 Fujitsu Limited Information processing unit and authentication processing program

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020004486A1 (en) 2018-06-26 2020-01-02 日本通信株式会社 Online service provision system and application program
WO2020004495A1 (en) 2018-06-26 2020-01-02 日本通信株式会社 Online service provision system and application program
US11617084B2 (en) 2018-06-26 2023-03-28 Japan Communications Inc. Online service providing system and application program
US11870907B2 (en) 2018-06-26 2024-01-09 Japan Communications Inc. Online service providing system and application program

Similar Documents

Publication Publication Date Title
JP5049962B2 (en) Transaction authentication by token, subject to individual presence
TWI667585B (en) Method and device for safety authentication based on biological characteristics
CN106464673B (en) Enhanced security for authenticating device registration
CN112425114B (en) Password manager protected by public key-private key pair
US8996867B2 (en) Method and device for end-user verification of an electronic transaction
TWI435272B (en) Mobile smartcard based authentication
EP2936369A1 (en) Verification of password using a keyboard with a secure password entry mode
US20140258718A1 (en) Method and system for secure transmission of biometric data
US20120095919A1 (en) Systems and methods for authenticating aspects of an online transaction using a secure peripheral device having a message display and/or user input
TWI739778B (en) The login mechanism of the operating system
US9977886B2 (en) Methods, apparatus and computer programs for entity authentication
KR101272349B1 (en) User authentication method using plural one time password
WO2005119397A1 (en) Controlling access to a secure service by means of a removable security device.
US10845990B2 (en) Method for executing of security keyboard, apparatus and system for executing the method
JP2012048728A (en) Token-based transaction authentication under condition of presence of individual
CN115643081A (en) Industrial control system authentication method and device and computer equipment
Singh Multi-factor authentication and their approaches
WO2017145273A1 (en) User authentication device
JP2012198914A (en) Transaction authentication by token under condition of existence of person
KR20150089960A (en) Authentication method, digital system, and authentication system thereof
KR101584219B1 (en) Authentication method, digital system, and authentication system thereof
KR20160087519A (en) Authentication method for financial transaction, transaction apparatus, authentication apparatus, and financial transaction system
KR101674314B1 (en) The method for authenticating one time security character using captcha
TW202127289A (en) Method for cross-platform authorizing access to resources and authorization system thereof
KR20160099766A (en) Secure payment method, digital system, and payment system thereof

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120203

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120501

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120601

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121207

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130305

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130308

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130404

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130409

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130628