JP2014529964A - モバイル機器経由の安全なトランザクション処理のシステムおよび方法 - Google Patents

モバイル機器経由の安全なトランザクション処理のシステムおよび方法 Download PDF

Info

Publication number
JP2014529964A
JP2014529964A JP2014527810A JP2014527810A JP2014529964A JP 2014529964 A JP2014529964 A JP 2014529964A JP 2014527810 A JP2014527810 A JP 2014527810A JP 2014527810 A JP2014527810 A JP 2014527810A JP 2014529964 A JP2014529964 A JP 2014529964A
Authority
JP
Japan
Prior art keywords
user
mobile
secure
stage
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014527810A
Other languages
English (en)
Inventor
ヤコブ ワイナー、アビシュ
ヤコブ ワイナー、アビシュ
ネマン、ラン
ベン・シェメン、シュムエル
Original Assignee
ピング アイデンティティ コーポレーション
ピング アイデンティティ コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to US201161529258P priority Critical
Priority to US61/529,258 priority
Priority to US201161566660P priority
Priority to US61/566,660 priority
Application filed by ピング アイデンティティ コーポレーション, ピング アイデンティティ コーポレーション filed Critical ピング アイデンティティ コーポレーション
Publication of JP2014529964A publication Critical patent/JP2014529964A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption

Abstract

ユーザセキュリティドメインを持つセキュアエレメントにおいて、このユーザセキュリティドメインはセキュリティドメイン制御回路と、セキュリティドメイン制御回路に対応するエンコーダ/デコーダ機能と、セキュリティドメイン制御回路と通信する安全が保証された鍵保管庫から構成され、前記エンコーダ/デコーダ機能は安全が保証された鍵保管庫に格納されている少なくとも1つの第1鍵に対応してデータをエンコードし、エンコードされたデータを出力し、安全が保証された鍵保管庫に格納されている少なくとも1つの第2鍵に対応して受け取ったデータをデコードし、デコードされたデータを出力するように構成される。【選択図】 図1A

Description

この出願は、“METHOD AND APPARATUS FOR SECURE TRANSACTIONS WITH A MOBILE DEVICE”と題する2011年8月31日に提出された米国仮特許出願S/N第61/529,258号明細書および“SYSTEM AND METHOD FOR SECURE TRANSACTION PROCESS VIA MOBILE DEVICE”と題する2011年12月4日に提出された米国仮特許出願S/N第61/566,660号明細書の優先権を主張する(これらはいずれも参照により本出願に全面的に含まれている)。

本開示は、一般的にはトランザクションシステムの分野に関し、より具体的にはモバイル機器およびトランザクションサーバを利用して安全なトランザクションを行うためのシステムおよび方法に関する。

クレジットカードまたはデビットカードによる支払いは、消費者支出の大きな部分を占めている。歴史的には、クレジットカードまたはデビットカードは、磁気ストライブによりエンコードされた。これらのカードは、磁気ストライブ上にエンコードされた情報を読み取るように構成されたトランザクションデバイスに対応し、安全な方法によるトランザクションを可能にする。磁気ストライプを読み取るデバイスは、一般的にトランザクションネットワーク経由でクレジット発行者と通信し、クレジット発行者が最終的にトランザクションを承認する。不幸なことにクレジットカードまたはデビットカードは盗難に遭いやすく、また、ユーザがかなり長い期間その盗難に気づかないことがある。

技術の進歩は、ISO/IEC 7810およびISO/IEC 14443において定義されているような非接触型スマートカードの開発をもたらしたが、これは近距離無線通信(NFC)とも呼ばれている。一般的に無線自動識別(RFID)と称されるその他の規格またはプロトコルを満たす同様な技術が利用可能であるが、RFIDの範囲は一般的にNFCの範囲と同程度に限られている。この文書全体を通じて使用される用語、非接触素子(CE)は、NFC、RFIDまたはその他のいずれかの短距離通信規格に準拠して動作するNFCの距離と同程度の距離の短距離通信機器を指す。この場合、一般的に、CEをリーダと並置する必要がある。光学的に読み取り可能なコードの使用は、CEの定義により本出願に明確に包含される。このようなCEスマートカードはトランザクションのために使用できるが、しかしそれは約4cm以内に存在する任意のリーダにより読み取り可能であるので、高いセキュリティは提供しない。したがって、CEスマートカードは、一般的に低額のトランザクションについてのみ使用されている。この場合、少額の金額がCEスマートカードにあらかじめチャージされ、そして限度に達するまでトランザクションごとに少額の金額が減価される。

モバイル機器(MD)は、その遍在性、画面および入力機器の利用可能性のために、ますます広く金融トランザクションのために使用されている。本出願において使用されるMDは、マルチメディア再生、ネットワーク経由のデータ通信または音声通信のような個人機能のために使用される任意の電子MDを含む。MDの1つの実施形態は移動局であり、それは、モバイル通信機器、移動電話機、携帯電話機、手持ち電話機、無線電話機、セル式無線携帯電話、セルラー電話機、セルラー電話、モバイル電話機またはセル電話機などと呼ばれる。

IEEE 802.11の制定およびその結果の無線ネットワークの広範な定着に伴い、携帯電話機能に加えて、利用可能な無線ネットワーク経由で通信する種々のMDが開発された。さらに、無線ネットワークおよび/またはセルラーネットワークの両方経由でインターネットにアクセスする機能をもつ種々のMDが開発された。

ユーザ識別および代金徴収のための関連機能をもつユビキタスモバイル機器によりMDを電子財布として利用する機会が提供されている。サービスまたは製品、特に、電話利用または通信時間以外の製品またはサービスに対する支払い手段を携帯電話の利用により提供するいくつかの既知の方法が存在する。

MDと連携するCEは、次の2つの主要なグループに発展してきた。MDのCPUなどのMDのコントローラと通信するデバイス、およびMDのCPUと通信しないデバイスである。MDのCPUと通信するCEの場合、「SIM非接触素子」(SCE)とも呼ばれるSIMカード上のNFCデバイス、NFCデバイスを備えるSDカードなどの外部カード、SIMアドオン非接触素子(SCCE)、MDのハードウェア内に見出されるNFCデバイスのような種々の装置が存在する。本出願において「組み込みCE」(ECE)デバイスとして記述される上記グループのデバイスは、アプリケーションのためにMDのCPUと接続されないCEデバイスと同じ方法で使用することができる。この場合、CEリーダはCEデバイスと直接通信するが、その通信はMDのCPUの動作に依存しない。CEがMDのディスプレイに表示される光学的に読み取り可能なコードを含む場合、このMDは本質的にECEデバイスであることに注意するべきである。

MD CPUに接続されないCEのグループは、MDに貼り付けられるNFCまたはRFIDのタグ、ステッカー、キーフォブ、光学的に読み取り可能なコードおよびその他の形式の要素を含むであろう。このようなCEは、MDに関連して安全が保証される場合、CEの近傍に存在するリーダにより読み取られる識別番号を与えるために利用することができる。

安全に関する懸念が高まり、CE利用可能なMD、すなわち、CEがMDのコントローラと通信するようになっているMDには、いまやセキュアエレメント(SE)を設けることが好ましい。セキュアエレメントは、本出願においては、要求されるレベルのセキュリティおよび機能をもつアプリケーションを組み込むために構成される耐タンパ性エレメントとして定義される。さらに詳しくは、SEは、SEに格納されるデータまたは機能に対するアクセスがセキュリティレベルにより制御され、それにより、許可された当事者のみ、そのデータまたは機能にアクセスできるようになっているエレメントである。したがって、SEの内容は、アクセスが管理されている所定の安全鍵なしに、そのコピー、書込または読み出しができない。用語、安全鍵は、この出願においては、具体的には、暗号生成法において知られている鍵を指し、物理的または機械的な鍵を意味しない。一般的に、セキュリティは、SE発行者により管理される1つ以上の鍵との連携により与えられる。SEは、CEの一部として、MDの一部として、またはMDから取り外し可能な追加エレメントとして供給され得る。MD上のSEの個数に制限はなく、具体的には複数のSEが1個のMD上に共存できる。SEの1つは、1個の加入者識別モジュール(SIM)として無制限に実現できる。

有利な点として、SEは、安全が保証された保管庫を提供するように構成され、その結果、個人情報をそこに保管することができる。不利な点として、SEは、一般的にサイズにおいて、すなわちメモリ空間的に制限され、したがって全種類の個人情報を格納することはできない。

トランザクションシステムはますます複雑となり、また、その使用はますます普及してきたので、不正トランザクションの発生も増加している。ポータブルコンピュータなどのユーザデバイスが巧妙な侵入を被るようになってきたために、バンキングおよびショッピングサイトのような安全なウェブサイトへのアクセスが問題になっている。パスワードおよび/または任意のその他の入力情報が不正なハッカーにより不正に取得される可能性があるからである。同様に、インターネットカフェのような共用コンピュータからの安全なウェブサイトへのアクセスは、無防備なユーザのユーザネームとパスワードの両方を危険にさらす恐れがある。

MDが種々のトランザクションのためにますます利用されるようになり、また、それにセキュリティ機能が適切に配備されるので、それにさらなる機能を追加すれば便利であるが、それはときおり更新を要する情報を含むであろう。SE発行者により管理が維持されているSE製造の現状では、この提案の実現を困難にしている。

必要なことおよび先行技術により提供されていないものは、MDと連携して安全なトランザクションを提供し、それにより高度のセキュリティをユーザに与えるシステムおよび方法である。

上述の検討およびその他の考察を考慮して、本開示は、安全なトランザクションを遂行する従来および現在の方法の不都合な点の一部またはすべてを克服する方法および装置を提供する。この方法および装置のその他の新しくかつ有用な長所についても本出願において記述する。それは、当業者により正しく理解され得る。

有利な点として、相異なるセキュリティレベルをもつ複数の識別子を出力するように構成されるセキュアエレメントが提供される。また、セキュアエレメントは、好ましくはモバイル機器アプリケーションプロセッサに関連するメモリ上に、暗号化方法により情報の格納を可能にする暗号化および暗号解読のような追加セキュリティ機能を、さらに提供する。

1つの独立実施形態では、ユーザセキュリティドメインを持つセキュアエレメントを提供する。このユーザセキュリティドメインは、セキュリティドメイン制御回路、セキュリティ制御回路に対応するエンコーダ/デコーダ機能およびセキュリティドメイン制御回路と通信する安全が保証された鍵保管庫を含む。エンコード/デコーダ機能は、安全が保証された鍵保管庫に格納された少なくとも1つの第1鍵に対応してデータをエンコードし、エンコードされたデータを出力し、安全が保証された鍵保管庫に格納された少なくとも1つの第2鍵に対応して受け取ったデータをデコードし、およびデコードされたデータを出力するように構成される。

1つの実施形態では、セキュアエレメントはセキュリティドメイン制御回路と通信するメモリをさらに含み、エンコーダ/デコーダ機能はセキュリティドメイン制御回路に対応したメモリ上に出力エンコードデータを格納するように構成される。さらなる一つの実施形態では、エンコーダ/デコーダ機能は、セキュリティドメイン制御回路に対応したメモリから出力エンコードデータを受け取ったデータとして読み出すように構成される。別の実施形態では、ユーザセキュリティドメインは、セキュリティドメイン制御回路に対応するファイヤーウォール機能をさらに含む。このファイヤーウォール機能は、データをカプセル化するように構成される。

1つの実施形態では、ユーザセキュリティドメインは、セキュリティドメイン制御回路に対応するファイヤーウォール機能をさらに含み、このファイヤーウォール機能は、近距離無線通信機器から受け取ったデータをカプセル化し、カプセル化されたデータをモバイル機器プロセッサに送るように構成される。別の実施形態では、ユーザセキュリティドメインはセキュリティドメイン制御回路に対応する検証機能をさらに含み、この検証機能は少なくとも1つの検証暗証番号を検証し、検証に対応する状態の検証信号を出力する。

別の実施形態では、セキュアエレメントは検証機能と通信するメモリをさらに含み、このメモリはPIN検証値を保管庫として構成されるものであり、この検証暗証番号がPINである場合、検証機能はPIN検証値に対応してPINを検証するように構成される。さらに別の実施形態では、検証機能は安全が保証された鍵保管庫と通信し、検証暗証番号は安全が保証された鍵保管庫に格納されている少なくとも1つの第3鍵と連携して検証される。

1つの実施態様では、ユーザセキュリティドメインはセキュリティドメイン制御回路に対応し、かつ、安全が保証された鍵保管庫と通信するデジタル署名機能をさらに含み、このデジタル署名機能はデータを受け取り、安全が保証された鍵保管庫に格納されている少なくとも1つの第4鍵に対応してデジタル的に署名してその受け取ったデータを返すように構成される。他の実施形態では、ユーザセキュリティドメインは、安全が保証された第1識別子保管機能と、第1疑似乱数生成機能と連携してエンコードされた第2識別子を出力するように構成される、安全が保証された第2識別子と、をさらに含む。

さらに別の実施形態では、安全が保証された第2識別子は、別々にエンコードされた第2識別子をモバイル機器プロセッサおよび近距離通信コントローラのそれぞれに出力するように構成される。さらに別の実施形態では、安全が保証された第2識別子は、安全が保証された鍵保管庫と通信し、この第2識別子は第1疑似乱数生成機能と連携し安全が保証された鍵保管庫に格納されている少なくとも1つの第4鍵に対応してエンコードされる。

さらに別の実施形態では、識別子は、第2疑似乱数生成機能と連携してエンコードされた第3識別子を出力するように構成される。さらに別の実施形態では、安全が保証された第3識別子は、別々にエンコードされた第3識別子をモバイル機器プロセッサおよび近距離通信コントローラのそれぞれに出力するように構成される。さらに別の実施形態では、安全が保証された第3識別子は安全が保証された鍵保管庫と通信し、この第3識別子は第2疑似乱数生成機能と連携し安全が保証された鍵保管庫に格納されている少なくとも1つの第5鍵に対応してエンコードされる。

もう1つの独立実施形態では、モバイル機器が設けられ、このモバイル機器は、モバイル機器プロセッサと、データ入力機器と、ユーザセキュリティドメインを持ち、モバイル機器プロセッサと通信するセキュアエレメントと、第1モードにおいてデータ入力機器からの情報をモバイル機器プロセッサに提供し、第2モードにおいてデータ入力機器からの情報をユーザセキュリティドメインに提供するように構成されるセキュリティ管理と、を含む。

1つの実施形態では、セキュリティ管理は、第1モードにおいてデータ入力機器からの情報をモバイル機器プロセッサに差し向け、第2モードにおいてデータ入力機器からの情報をセキュアエレメントに差し向けるように切り替え可能に構成される。別の実施形態では、セキュリティ管理は、安全が保証された暗号化鍵を含み、このセキュリティ管理は第1モードにおいてデータ入力機器からの情報をモバイル機器プロセッサに非暗号化形態で渡すように構成され、第2モードにおいてセキュリティ管理はデータ入力機器からの情報をモバイル機器プロセッサに暗号化形態で渡すように構成され、このモバイル機器プロセッサは暗号化情報をユーザセキュリティドメインに送るように構成される。

1つの実施形態では、モバイル機器は周辺機器をさらに含み、セキュリティ管理は、第1モードにおいて周辺機器からの情報をモバイル機器プロセッサに提供し、第2モードにおいて周辺機器からの情報をセキュアエレメントに提供するように構成される。別の実施形態では、モバイル機器は、モバイル機器プロセッサと通信する周辺機器をさらに含み、セキュリティ管理は第2モードにおいて周辺機器からの情報を暗号化し、暗号化された周辺機器からの情報をモバイル機器プロセッサに提供するように構成される。

1つの実施形態では、モバイル機器は、セキュリティ管理が第2モードにあるときに、表示するためのインジケータをさらに含む。もう1つの実施形態では、モバイル機器は、セキュアエレメントと通信し、かつ、モバイル機器プロセッサと通信しない安全なキーパッドをさらに含む。

1つの実施形態では、セキュアエレメントのユーザセキュリティドメインは、セキュリティドメイン制御回路と、セキュリティドメイン制御回路に対応するエンコーダ/デコーダ機能と、セキュリティドメイン制御回路と通信する安全が保証された鍵保管庫と、を含む。もう1つの実施形態では、セキュアエレメントのユーザセキュリティドメインは、セキュリティドメイン制御回路と、第2モードにおいてデータ入力機器から受け取った検証暗証番号を検証し、検証に対応する状態の検証信号をセキュリティドメイン制御回路に出力するように構成される、セキュリティドメイン制御回路に対応する検証機能と、を含む。

1つの独立実施形態では、モバイル機器が設けられ、このモバイル機器は、モバイル機器プロセッサと、モバイル機器プロセッサと通信するセキュアエレメントと、モバイル機器プロセッサおよびセキュアエレメントと通信するセキュリティ管理と、セキュリティ管理と通信するデータ入力機器と、を含み、セキュリティ管理は、第1モードにおいてデータ入力機器からの情報をモバイル機器プロセッサに提供し、第2モードにおいて情報をセキュアエレメントに提供するように構成され、セキュアエレメントは、提供された情報を暗号化し、暗号化された情報をモバイル機器プロセッサに提供するように構成される。

1つの実施形態では、モバイル機器はモバイル機器プロセッサおよびセキュリティ管理と通信する周辺機器をさらに含み、周辺機器からの情報はモバイル機器プロセッサおよびセキュリティ管理に同時に送られる。さらに別の実施形態では、セキュリティ管理は、周辺機器からの情報を暗号化し、暗号化された周辺機器からの情報をモバイル機器プロセッサに提供するようにさらに構成される。さらに別の実施形態では、モバイル機器プロセッサは、提供された周辺機器から暗号化情報をモバイル機器と通信するリモートサーバに伝送するように構成される。

本発明のさらなる機能および優れた点は、以下の図面および記述から明らかとなるであろう。

本発明のより良き理解のため、および本発明の実現方法を示すために、純粋に例示としてこれから添付図面を参照する。以下の図面において同様な番号は、全体を通じて対応する要素または部分を指す。

これから行う詳細図面に対する個々の参照において、示されている詳細は、例示であり、本発明の好ましい実施形態の実例的考察のみを目的としており、本発明の原理および概念的態様の最も有益にしてかつ容易に理解できる記述と考えられるものの提供を目的としていることを強調する。この点に関して、本発明の構造的詳細について、本発明の基本的理解のために必要な範囲を超えて説明することは試みない。図面とともに与えられる記述は、本発明のいくつかの形態を実際に具体化する方法を当業者にとって明らかにする。

図1Aは、トランザクションシステムの実施形態のハイレベルブロック図である。このシステムは、統合サーバと連携して有利なパーティション分割を提供し、それによりプロバイダシステムで使用される帯域外認証を可能にする。 図1Bは、トランザクションシステムの実施形態のハイレベルブロック図である。このシステムは、有利なパーティション分割を提供し、それにより金融サービスプロバイダなどのプロバイダで使用されるウェブ帯域外ログイン(OOBL)を可能にする。 図1Cは、図1Bのトランザクションシステムの動作の例示的実施形態のハイレベルフローチャートを示す。これは、プロバイダ帯域において個人ユーザネームまたはパスワードを渡さない安全が保証されたログイン機能をユーザデバイスに提供する。 図1Dは、図1Cのログイン承認の伝送前に任意選択的に行われるワンタイムパスワード(OTP)を利用する追加セキュリティ強化を示す。 図1Eは、画像選択を利用する追加セキュリティ強化を示す。 図1Fは、パターン選択を利用し、かつ、さらに任意選択的にセキュリティシステム妥当性確認のための相互識別を提供する追加セキュリティ強化を示す。 図1Gは、複数の画像を利用する追加セキュリティ強化を示す。 図1Hは、モバイル機器情報クエリー同期方法を利用する追加セキュリティ強化を示す。 図1Iは、モバイル機器トランザクション同期方法を利用する追加セキュリティ強化を示す。 図2Aは、トランザクションシステムの実施形態のハイレベルブロック図である。このシステムは、有利なパーティション分割を提供し、それによりウェブOOBLを可能にする。この場合、ユーザMDには、SE内に疑似乱数生成機能が設けられる 図2Bは、図2Aのトランザクションシステムの動作の例示的実施形態のハイレベルフローチャートを示す。このシステムは、プロバイダ帯域において個人ユーザネームまたはパスワードを渡さない安全なログイン機能をユーザデバイスに提供する。 図3Aは、トランザクションシステムの実施形態のハイレベルブロック図である。このシステムは、ウェブベーストランザクションシステムのために有利なパーティション分割を提供し、それによりウェブ帯域外ログイン(OOBL)を可能にする。 図3Bは、図3Aのトランザクションシステムの動作の典型的実施形態のハイレベルフローチャートを示す。これは、プロバイダ帯域においてユーザ資格情報を渡さない安全なサポートをユーザ認証に提供する。 図3Cは、図3Aのトランザクションシステムの動作の典型的実施形態のハイレベルフローチャートを示す。これは、プロバイダ帯域においてユーザ資格情報を渡さない安全なサポートをユーザ認証に提供する。 図4Aは、トランザクションシステムの実施形態のハイレベルブロック図である。このシステムは、有利なパーティション分割を提供し、それにより現金自動預け払い機(ATM)で使用する帯域外ログイン(OOBL)を可能にする。 図4Bは、図4Aのトランザクションシステムの動作の例示的実施形態のハイレベルフローチャートを示す。このシステムは、ATMのキーパッドにおいて物理的カードまたはPINを提示しないATMに対する安全なアクセスを提供する。 図5Aは、図示のようにチェックポイントと通信するユーザセキュリティドメインをもつユーザMDのハイレベルアーキテクチャを示す。 図5Bは、安全が保証された高度な入力をSEに提供するMDの種々の実施形態のハイレベルブロック図を示す。 図5Cは、安全が保証された高度な入力をSEに提供するMDの種々の実施形態のハイレベルブロック図を示す。 図5Dは、安全が保証された高度な入力をSEに提供するMDの種々の実施形態のハイレベルブロック図を示す。 図6Aは、キーパッドおよびセキュリティ管理と連携して安全が保証された金融トランザクションを提供するMDの動作の例示的実施形態のハイレベルフローチャートを示す。 図6Bは、MDのセキュリティ管理に対応して高度のセキュリティを提供するユーザMDの動作のハイレベルフローチャートを示す。 図6Cは、種々の実施形態においてMDのセキュリティ管理に対応して高度のセキュリティを提供するユーザMDの動作のハイレベルフローチャートを示す。 図6Dは、種々の実施形態においてMDのセキュリティ管理に対応して高度のセキュリティを提供するユーザMDの動作のハイレベルフローチャートを示す。 図6Eは、種々の実施形態においてMDのセキュリティ管理に対応して高度のセキュリティを提供するユーザMDの動作のハイレベルフローチャートを示す。 図7Aは、USDと連携してたとえばホテルの客室に入るためのデジタル鍵の安全が保証された受領および保管を提供するMDアプリケーションの動作のハイレベルフローチャートを示す。 図7Bは、USDと連携してたとえばホテルの客室に入るためのデジタル鍵の安全が保証された読み出しおよびデコードを提供するMDアプリケーションの動作のハイレベルフローチャートを示す。 図7Cは、USDと連携して公共輸送機関などのためのアクセス管理用のチケットの安全が保証された保管を提供するMDアプリケーションの動作のハイレベルフローチャートを示す。

少なくとも1つの実施形態について詳しく説明する前置きとして、当然のことながら本発明は、その適用において以下の記述において示されるかまたは図面において描かれる構成要素の構造および構成に制限されない。本発明は、種々の方法により、他の実施形態に適用されるか、または実現されるか、または実行される。また、当然のことながら、本出願において使用された表現および用語は記述のためであり、制限するものと解するべきではない。特に、本出願において使用された用語、接続されるは、直接接続に限定されず、任意の種類の通信を含み、かつ、無制限に中間のデバイスまたは構成要素を考慮している。

以下の説明において、用語、モバイル機器(MD)は、移動局(MS)を含むがそれらに限られないマルチメディア再生、ネットワーク上のデータ通信または音声通信などの個人機能のために使用される任意の電子モバイル機器を含む。明確にするために、用語、MSは、基地局のネットワーク経由のモバイル音声またはデータ通信のために使用される任意のモバイル通信機器、モバイル電話、モバイル電話機、手持ち電話機、無線電話機、セルホン、セルラーホン、セルラー電話機、セル電話機、またはその他の電子デバイスを指す。以下の記述において、通信は、一例として、セルラー通信、具体的には、グローバルシステムフォーモバイルコミュニケーションズ(GSM)を使用する一定の実施形態において記述されるが、当然のことながら、本発明の範囲はこの点に関して制限されず、また、使用される通信方法は、ユニバーサルモバイルテレコミュニケーションシステム(UMTS)、IEEE 802.11、IEEE 802.16xおよびCDMAを無制限に含む任意の適切な通信プロトコルに基づき得る。用語、「解読される」および「デコードされる」は、この文書全体を通じて互換的に使用され、同じ意味を持つ。同様に、この明細書全体において、用語「暗号化される」および「エンコードされる」は互換的に使用され、同じ意味をもつ。

図1Aは、先行技術の認証方法の有利なパーティション分割を提供するトランザクションシステム1の実施形態のハイレベルのブロック図を示す。このシステムは、支払い手段認証方法および/またはユーザ認証方法を無制限に含み、それにより高度の柔軟性を提供する。トランザクションシステム1は、50A、50Bおよび50C(まとめてデバイス50)のようなデバイスのいずれかまたはすべてを含み得るデバイスとプロバイダ帯域70経由で通信するプロバイダサーバ20、統合サーバ(IS) 30、IS 30と通信する優待サービス8、MDサーバ40、および関連SE 64をもち、かつ、MD 60に関連するメモリ上でアプリケーション62をオンボード実行し得るMD 60、MD 60のプロセッサ上で実行し得るアプリケーション62を含む。別のアプリケーションもSE 64に関連するメモリ上に格納することができ、SE 64のコントローラ上で実行され得る。MDサーバ40とMD 60間の通信は、顧客帯域80経由で提供される。この帯域は、一般的にプロバイダ帯域70とは別の異なる帯域である。プロバイダサーバ20、IS 30およびMDサーバ40のそれぞれは、必要に応じてデータおよび動作命令を格納するメモリ90を備えており、また、それぞれは、さらに、本出願において記載される方法を実行し、サービスを提供するためにプロセッサを備えている。メモリ90は、無制限に関連デバイスの内蔵または外付けとすることができる。

プロバイダサーバ20は、先行技術において既知のプロバイダシステムを実現する。このシステムは、コンピュータ50A、ATM 50Bおよびゲート50Cなどのデバイス50経由でユーザにサービスを提供するように構成されている。MDサーバ40は、先行技術の既知のMD認証システムを実現する。このシステムは、アプリケーション62および好ましくはSE64と連携してログインおよび購入などの金融サービスをMD経由で提供する。以下においてさらに詳しく説明するように、プロバイダサーバ20は、さらに、IS 30と連携して拡張機能を提供する。

先行技術によるプロバイダサーバ20と種々のデバイス50の間の認証は、独占所有権技術であり、不正を防止するために継続的努力が尽くされなければならない。プロバイダ帯域70を経由するプロバイダサーバ20および種々のデバイス50の構成は、プロバイダシステムとして知られている。プロバイダサーバ20は、水平ハッチの施されている両方向矢印により示されているプロバイダ帯域70経由で各ユーザデバイス50と両方向通信を行う。この帯域は、インターネット経由で実現され得る。さらに、水平ハッチの施されている両方向矢印は、両方向通信セッションも表している。

先行技術によるMDサーバ40とMD 60間の認証は、独占所有権技術であり、不正を防止するために継続的努力が尽くされなければならない。MD 60は、一般的に限定個数のMDサーバ40に拘束される。先行技術によるMD 60は、それぞれ、MD 60に格納されたそれらのそれぞれのアプリケーションをもっており、したがって、セキュリティ対策を含む独占所有権技術の煩雑なインストールプロセスなしにMDサーバ40を自由に選択することはできない。顧客帯域80を経由するMDサーバ40およびMD60の構成は、MD認証システムとして知られている。アプリケーション62は、一般的に「モバイル財布」として知られている。網目模様の両方向矢印で示されている顧客帯域80は、無線LANまたはIEEE 802.11互換接続などのMD 60とMDサーバ40の間のデータ接続経由で実現することができる。さらに、網目模様の両方向矢印は、両方向通信セッションを表している。本出願においてさらに説明するように、MDサーバ40は、以下においてさらに述べるようにIS 30と連携して拡張機能を提供する。

本出願において後にさらに述べるように、IS 30は、有利に、かつ、革新的にプロバイダシステムとMD認証システム間の連携を与える。具体的には、IS 30は、プロバイダサーバ20およびMDサーバ40のそれぞれと両方向通信して高度なサービスを提供しつつ、先行技術のパーティション分割を維持する。

かかるパーティション分割は、IS 30と連携して、有利に、先行技術の認証プロトコルとの統合をし、かつ、MD 60利用ユーザの経験を強化するとともに、プロバイダのサービス遍在性を向上させつつ、セキュリティを強化し、かつ、コスト節減に貢献する。トランザクションシステム1は、1つまたは複数の認証システム40をサポートできるので、オープンシステムである。したがって、プロバイダシステム20は、あらかじめ定義され、かつ、あらかじめ統合された認証ベンダの集まりに依存しない。さらに、トランザクションシステム1は、複数のプロバイダシステムをサポートし、かつ、少なくとも1つのMDサーバ40により複数のユーザMD 60をサポートすることができる。MDサーバ40は、好ましくはすべてのプロバイダのシステム20にシングルサインオンを与える。したがって、トランザクションシステム1は、複数のプロバイダのシステム20向けに1個のMDサーバ40をもつことができる。

動作において、IS 30は、プロバイダサーバ20とMDサーバ40間の統合を提供する。具体的には、また後述するように、IS 30は、プロバイダサーバ20がデバイス50にサービスを提供するために、MDサーバ40が認証を与えることを可能にする。

幾分より詳細に説明すると、プロバイダサーバ20は、プロバイダ帯域70経由でユーザデバイス50と両方向通信するが、それはインターネット経由で実現され得る。また、そのような通信は、オンラインバンキングシステムなどの多数のシステムの1つにおいて具現化され得る。その場合、デバイス50は、ユーザPC 50AまたはATM 50Bにより具現化され、また自動販売機システムおよび/またはアクセス制御システムにおけるゲート50Cのように実現される。先行技術によるプロバイダサーバ20は、一般的に磁気クレジットカード受理装置のようなデバイス50におけるユーザによる資格情報の提示に基づく内部認証方法を含んでいる。さらに、デバイス50のデータ入力装置においてユーザ識別またはパスワードの入力が要求され得る。しかし、上述したように、資格情報、具体的にはユーザIDおよびパスワードの提示の要求は、デバイス50に不正にロードされるキーロガーソフトウェアのような不正な攻撃にユーザをさらす。以下においてさらに詳しく述べるように、IS 30の動作は、デバイス50における高度の秘密資格情報の提供の必要がないプロバイダサーバ20からデバイス50へのサービスの安全な提供を可能にする。

その代わりに、かなり低いレベルの情報を利用する。すなわち、侵害された場合に高度の秘密資格情報の侵害よりもかなり少ない損害を引き起こすレベルの情報である。たとえば、侵害された場合に迷惑を被るような損害のみが生じ得るが、直接的な金銭的損害は生じ得ない。安全対策未実施識別情報の侵害は最小限の損害を引き起こすので、このような識別情報は、安全対策未実施識別情報と呼ぶ。さらに詳しく述べるように、安全対策未実施識別情報はトランザクションシステム1に安全なユーザ認証をもたらす。1つの実施形態において、プロバイダサーバ20は、無制限に複数のIS 30と通信することができる。ある実施形態では、デバイス50を通じてのプロバイダサーバ20に対する安全対策未実施IDの提示は、キーパッド上のデータの1回以上のエントリ、音声識別経由、またはRFID、NFC、Bluetooth、I.Rなどの短距離無線利用情報の読み取りまたはBarcodeの読み取りにより無制限に行われる。

MDサーバ40は、少なくともMD 60のユーザに対する認証要求および任意の受け取った応答の認証を含む認証サービスを提供する。MDサーバ40および/またはIS 30による認証は、ユーザのMD 60と連携して行われるが、それは、1つ以上の認証要素および帯域外認証を含み得る。MD 60は、好ましくは、インストールされたセキュリティソフトウェアをもつSE 64を含む。それは、以下において詳述するようにトランザクションシステム10により達成される高いセキュリティレベルに貢献する。

IS 30は、トランザクションシステム1がオープンシステムとして稼働することを可能にする。オープンシステムは、ユーザが一つより多いMDサーバ40により認証されることを無制限に可能にする。各MDサーバ40を固有のアプリケーション62と関連付けることは可能であり、または複数のMDサーバ40が単一のアプリケーション62を無制限に共用することできる。トランザクションシステム1は、1つ以上のMDサーバ40と連携して補助ユーザ認証サービスをプロバイダ20に提供する。IS 30と通信する優待サービス8は、クーポンまたは広告サービスのような高度なサービスをIS 30のために供給する。1つの実施形態では、IS 30はMDサーバ40に組み込まれ、他の実施形態ではプロバイダサーバ20とIS 30の両方がMDサーバ40に組み込まれる。トランザクションシステム1は、好ましくは、プロバイダサーバ20により使用されるプロトコルに関係なく、ユーザの安全対策未実施識別情報を捕捉するデバイス50と連携して高度のトランザクションセキュリティを実現するように構成される。統合サーバ30は、ユーザ事前設定、ユーザアプリケーション62から生ずるプレトランザクション時間指示およびプロバイダサーバ20の選択を含む複数のパラメータの1つに対応して複数のMDサーバ40の1つを選択するようにプログラムすることができる。

プロバイダサーバ20から生ずるIS 30に対する認証要求は、所望認証タイプおよび認証プロセスを支援するトランザクション情報を含み得る。かかるトランザクション情報は、デバイス50に関する位置情報を有利に含み得る。この情報は、好ましくは、MDサーバ40によりMD 60の物理的位置に関する位置情報と照合して確認される。認証タイプは、ユーザ真正性表示のいずれかまたはすべてを含み得る。ユーザ真正性表示は、ユーザの所有している何か、ユーザの知っている何かおよびユーザの位置、認証リスク点数、支払い認証、ユーザ詳細、MDサーバ40詳細を無制限に含み得る。1つの実施形態では、認証プロセスは、複数の中間ステップを含む。それらは、少なくとも1つの画像をMD 60のディスプレイ上に表示すること(それは、以下の図1Fにおいて詳述されるように、デバイス50のディスプレイに表示される一つより多い画像とともに動作することが好ましい)など、IS 30とMDサーバ40間の相互作用を含む。別の実施形態では、認証プロセスの一環として、プロバイダサーバ20は、ユーザに対しMD 60上でプロバイダサーバ20に関するパスワードの入力を要求し得る。

1つの実施形態では、ユーザの安全対策未実施識別情報の捕捉は、ユーザのキーパッド入力ではなく、ユーザMD 60からNFCまたはその他の短距離通信経由で与えられる自動プロトコルにより行われ得る。このような場合、安全対策未実施識別情報を捕捉するステージ中に、さらなる情報がデバイス50からユーザMD 60に伝送され得る。かかる情報は、デバイス50に格納されているアドレスのようなプロバイダサーバ20関連のアドレスを有利に含み得る。かかる情報は、期待される情報値と対比して検証されたときに、中間者攻撃のような不正の検知を支援し得る。

上述したように、プロバイダサーバ20、IS 30およびMDサーバ40のそれぞれは、プロセッサを備え、かつ、上述したように、範囲を超えることなく内蔵または外付けとすることができるメモリ90と通信する。メモリ90は、一時的でないコンピュータ読み取り可能媒体を備えており、以下で述べるように、この媒体にプロバイダサーバ20、IS 30およびMDサーバ40のそれぞれの動作のための命令が格納される。メモリ90は、さらに、必要に応じてデータの格納のために利用され得る。種々のメモリ90が物理的に別個のものでなければならない要求はなく、種々のメモリ90は、範囲を超えることなく、単一のクラウドサーバ上に実現し得る。

図1Bは、トランザクションシステム10の実施形態のハイレベルブロック図である。このシステムは、有利なパーティション分割を提供し、それにより金融サービスプロバイダなどのプロバイダで使用されるウェブ帯域外ログイン(OOBL)を可能にする。システムは、図1Aに関連して説明したトランザクションシステム1の特定の例であり、したがって、プロバイダサーバ20がウェブサーバ20Aにおいて実現される特定の実施形態に関連して、このシステムの動作のより深い理解を可能にする。具体的には、トランザクションシステム10は、ウェブサーバ20A、IS 30、およびMDサーバ40を含んでいる。これらのそれぞれは、それと通信するメモリ90をもっている。ウェブサーバ20AおよびMDサーバ40は、単一のサービスプロバイダと関係づけられることが好ましい。明確にするために、携帯コンピュータとして無制限に図示されているユーザデバイス50AおよびユーザMD 60がさらに示されている。ユーザMD 60は、その上にアプリケーション62を実装しており、さらに好ましくはSE 64を含む。サービスプロバイダウェブサーバ20は、水平方向ハッチの施されている両方向矢印で示されているプロバイダ帯域70経由でユーザデバイス50Aと両方向通信する。この帯域は、インターネット経由で実現できる。さらに、水平方向ハッチの施されている両方向矢印は、両方向通信セッションを示している。サービス提供MDサーバ40は、網目模様の両方向矢印で示されている顧客帯域80経由でユーザMD60と両方向通信する。この帯域は、無線LANまたはIEEE 802.11互換接続などのMDデータ接続により実現できる。さらに、網目模様の両方向矢印は、両方向通信セッションを表している。セキュリティ情報は、不正を防止するために有利なようにコンパートメント化される。

ウェブサーバ20A、IS 30およびMDサーバ40のそれぞれはプロセッサを備えており、また、上述のように、内蔵または範囲を超えずに外付けとすることができるメモリ90と通信する。メモリ90は、一時的でないコンピュータ読み取り可能媒体を備えており、以下で述べるように、この媒体にウェブサーバ20A、IS 30およびMDサーバ40のそれぞれの動作のための命令が格納される。メモリ90は、さらに、必要に応じてデータの格納のために利用される。種々のメモリ90が物理的に別個のものでなければならない要求はなく、種々のメモリ90は、範囲を超えることなく、単一のクラウドサーバ上に実現し得る。

図1Cは、図1Bのトランザクションシステム10の動作の例示的実施形態のハイレベルフローチャートを示す。これは、プロバイダ帯域70において個人ユーザネームまたはパスワードを渡さない安全が保証されたログイン機能をユーザデバイス50Aに提供する。かかる実施形態は、ユーザデバイス50Aが、インターネットカフェのパソコン(PC)のように単なる個人資産ではない場合に特に有益である。しかし、これは、決して制限を意味するものではない。明確にするために、ステージ間の流れは、図1Aと同様に表示されており、したがってプロバイダ帯域70内の流れは水平方向ハッチの矢印として、顧客帯域80内の流れは網目模様の矢印として、IS 30とウェブサーバ20またはMDサーバ40間の流れは実線として示されている。個々のステージは、上述したように、それぞれのメモリ90に格納されている命令に対応して実行される。この流れおよび図1D〜1Gにおける流れは、さらに初期ログイン後に行われるトランザクションのためのトランザクション認証のような別の例示的実施形態にしかるべき適合を伴って適用できることに注意するべきである。

ステージ1000において、ユーザデバイス50Aは、プロバイダ帯域70経由でウェブサーバ20Aの特定のページまたはサイトにアクセスし、ユーザMD 60経由のログインを要求する。任意選択的に、ウェブサーバ20Aによりユーザデバイス50Aに与えられる初期ログインページは、クイックOOBLロゴ52を表示する。これは、選択後にユーザMD 60経由でログインが完了することをユーザに通知する。OOBLロゴ52は、ユーザデバイス50Aの表示部に明確に表示される。代替案として、ログインは、一定のトランザクションに関してOOBL経由に限定される。ユーザデバイス50Aは、ローカルメモリに格納されているユーザデバイス50Aを識別するクッキー情報を提供することが好ましい。任意選択的に、提供されるクッキー情報は、シリアルナンバーまたはその他のコンフィギュレーションデータなどのコンピュータ識別情報を含む。ウェブサーバ20Aは、任意選択的にユーザデバイス50のインターネットプロトコルアドレスに対応して、ユーザデバイス50の位置情報を決定することが好ましい。ウェブサーバ20Aの特定のページまたはサイトは、無制限に金融機関、マーチャントまたはサービス供給者に関連づけられ得る。

ステージ1010において、ウェブサーバ20は、ユーザデバイス50AにユーザID、好ましくはユーザ安全対策未実施IDを要求する。それは、無制限にユーザが選択する任意のIDとすることができ、少なくともIS 30またはMDサーバ40に登録される。1つの例示的実施形態では、eメールアドレスがユーザ安全対策未実施IDとして利用され、別の実施形態では、ユーザMD 60のMSISDNなどの電話番号がユーザ安全対策未実施IDとして利用される。当然のことながら、ユーザ安全対策未実施IDを少なくとも1つのMDサーバ40に関連付けるIS 30への事前登録(MDサーバ40は、さらにユーザMD 60に関連付けられる)は、好ましくは事前登録ステージにおいて行われる。この場合、好ましくはユーザ安全対策未実施IDとは異なるユーザネームおよびパスワードが定義され、ユーザ安全対策未実施IDに関連付けられているMDサーバ40からアクセス可能なメモリ90の一部に格納される。

ステージ1020において、ステージ1010の要求に対応して、ユーザは、ユーザデバイス50A経由でユーザ安全対策未実施IDを提示する。任意選択のステージ1030において、提示されたユーザ安全対策未実施IDは、上述したウェブサーバ20Aによりアクセス可能なメモリ中に格納されている事前定義ユーザ安全対策未実施IDと対比して妥当性が確認される。提示されたユーザ安全対策未実施IDの妥当性が確認されない場合、ステージ1180においてログイン失敗メッセージが生成され、ユーザデバイス50Aのディスプレイデバイスに表示される。

ステージ1040において、「MD経由ログイン」メッセージがウェブサーバ20によりユーザデバイス50Aに伝送され、ユーザデバイス50Aのディスプレイデバイスに表示される。それによりユーザMD 60上でログインを継続するようユーザに促す。MD 60は、ステージ1070においてさらなるログイン指示を自動的に表示することが好ましい。

ステージ1050において、ステージ1020のユーザ安全対策未実施IDおよびステージ1000の任意選択的に決定された位置情報が認証要求としてウェブサーバ20AからIS 30に送られる。

ステージ1060において、IS 30は、ステージ1020のユーザ安全対策未実施IDおよびステージ1000で任意選択的に決定された位置情報を含むMD経由ログイン要求をMDサーバ40に送る。

ステージ1070において、MDサーバ40は、ログイン認証要求をMD 60に伝送する。MD 60は、さらなるログイン指示を自動的に表示するMDアプリケーション62を起動することが好ましい。代替案として、ユーザは、さらなるログイン指示を表示するMDアプリケーション62を起動することができる。

ステージ1080において、ステージ1070のMDサーバ40からの認証要求に対応して、MD 60は、MDサーバ40にユーザMD 60の位置情報および識別子を与える。これらは、無制限にクッキー、IMSI、IMEI、BT IDなどのユーザMD 60に固有のMSISDNまたはその他の識別子または識別子のその他のグループとすることができ、かつ、MDサーバ40により検証可能である。好ましくは、ユーザMD60のローカルメモリ上に格納されており、ユーザMD60上で実行されるアプリケーション62がMDサーバ40へのアクセスを行い、かつ、上述のデータを提供する。さらに好ましくは、ユーザMD 60とMDサーバ40間の情報伝送は、セキュアソケットレイヤ(SSL)リンク経由である。

ステージ1090において、MDサーバ40は、受信したユーザMD 60識別子および位置情報をすべての未解決のログイン認証要求トランザクションと対比して、ステージ1040〜1060に関連して上述した一致未解決ログイントランザクションを発見する。当然のことながら、上述したように、MDサーバ40のメモリ90は、未解決トランザクションの任意のユーザIDが受信したユーザMD 60識別子と一致するか否か、すなわち、相互参照されているか否か決定するために、ステージ1010に関連して上述したユーザIDの相互参照およびユーザMD 60の識別子を含んでいる。不正を防止するために、さらに位置情報が一致するか否か対比されることが好ましい。位置情報一致が正確でなければならないという要求条件は存在しない。特に、ユーザMD 60の位置情報は、非常に高い精度を与えない三角測量により与えられ、また、ユーザデバイス50の位置情報も同様に非常に高い精度を与えないIPアドレスにより与えられることがあるからである。したがって、好ましくは位置一致の大まかな定義を利用し、物理的に不可能な位置不一致のみ不一致結果を導くように設定する。任意選択的に、範囲を超えることなく位置フィルタを無視することもできる。

ステージ1090においてユーザMD 60識別子および位置情報が未解決ログイントランザクションと一致した場合、MDサーバ40は、後述するように、次のステップに進んでユーザMD 60にログイン情報を要求する。具体的には、任意選択のステージ1100において、セキュリティ要素強化の一環として、MDサーバ40は、ユーザMD 60に対しSMSチャレンジを行う。より詳しくは、MDサーバ40は、任意選択的に英数字コードを含むSMSメッセージをユーザMD 60に伝送する。ステージ1110において、ユーザMD 60上で実行する上述のアプリケーションは、好ましくは受信した英数字コードを返すことにより、SMSチャレンジに対応する。上述のSMSチャレンジおよび対応は、モバイル金融トランザクションの当業者にとって周知であり、したがって簡潔性のために、ここでは、これ以上触れない。

任意選択のステージ1100〜1110におけるSMSチャレンジおよび対応が成功した場合、または任意選択のステージ1100〜1110が実行されない場合、ステージ1120においてMDサーバ40は、ステージ1000の未解決ログイントランザクションに関して利用されるユーザネームおよびパスワードの要求をユーザMD 60に伝送する。

ステージ1130において、ユーザMD 60は、ユーザ入力ジェスチャに対応して、ユーザネームおよびパスワードをMDサーバ40に伝送する。ユーザネームおよびパスワードは、1つの実施形態では、MDサーバ40に事前登録されるので、ウェブサーバ20Aとの通信なしにMDサーバ40により妥当性確認され得る。代替的実施形態では、ユーザネームおよびパスワードは、IS 30またはウェブサーバ20Aに無制限に登録され、そして妥当性確認は該当サーバにより行われる。代替的実施形態では、ユーザネームは要求されず、パスワードのみユーザに対し要求される。1つの実施形態では、ユーザネームおよびパスワードは、任意選択のステージ1100のSMSチャレンジの一部に対応する情報に対応してエンコードされてユーザMD 60から伝送される。ユーザMD 60からの他の情報も同様に無制限にエンコードされ得る。

ステージ1140において、受信されたユーザネームおよびパスワードは、それらがMDサーバ40上に格納されているユーザネームおよびパスワードに一致することを確認するため妥当性確認される。受信されたユーザネームおよびパスワードの妥当性が確認された場合、ステージ1140においてMDサーバ40は、「ログイン完了、ユーザデバイス経由で続けてください」のようなメッセージをユーザMD 60に伝送する。

ステージ1150において、ステージ1140のユーザネームおよびパスワードの妥当性確認に対応して、MDサーバ40は、認証をIS 30に送り、ステージ1130の伝送されたユーザネームおよびパスワードに対応してウェブサーバ20Aへのログインを許可する。

ステージ1160において、IS 30は、ユーザ、ユーザMD 60の識別子および妥当性確認のための確認コードを識別するために利用される認証方法の表示を含む認証メッセージをウェブサーバ20Aに送る。

ステージ1170において、ウェブサーバ20Aは、ステージ1160の受け取った認証メッセージに対応して、要望されたユーザページをユーザデバイス50Aに伝送する。ユーザネームおよびパスワード情報は、プロバイダ帯域70において伝送されず、顧客帯域80内においてのみ伝送され、それによりセキュリティが強化されたことに注意するべきである。

ステージ1030において安全対策未実施IDの妥当性確認ができなかった場合、またはステージ1090においてユーザMD 60および位置の一致が失敗した場合、またはステージ1140においてユーザネームおよびパスワードの妥当性確認ができなかった場合、ステージ1180においてログイン試行は失敗となる。好ましくは、ログイン失敗の通知は、ユーザMD 60とユーザデバイス50Aの両方に伝送される。

1つの実施形態では、MD 60経由のユーザデバイス50Aに関するログイン認証は、ステージ1020に先立ち、自発的に起動するユーザによりまたはMDアプリケーション62によるMDサーバ40へのログインにより開始され得る。

図1Dは、図1Cのステージ1150のIS 30に対する許可の送出に先立って任意選択的に行われるワンタイムパスワード(OTP)を利用する追加セキュリティ強化を示す。ステージ1300において、好ましくはステージ1140の妥当性確認の正常完了に対応して、かつ、好ましくはステージ1150の許可メッセージの送出に先立ち、MDサーバ40がOTPを生成する。ステージ1320において、MDサーバ40は、好ましくは有効期限をもつ受け取ったOTPをユーザMD 60に顧客帯域80経由で伝送する。受信されたOTPは、ユーザMD 60のディスプレイデバイスに表示される。

ステージ1330において、MDサーバ40は、IS 30経由でウェブサーバ20Aに対してOTPログイン画面をユーザデバイス50Aに提示するよう指示する。ユーザは、ステージ1320の受け取ったOTPに対応して、受け取ったOTPをユーザデバイス50Aの入力機器上で入力する。ステージ1340において、入力されたOTPは、ユーザデバイス50Aからウェブサーバ20Aに伝送され、かつ、ステージ1350においてOTPは、ウェブサーバ20AからMDサーバ40へIS 30経由で転送される。

ステージ1360において、ウェブサーバ20Aから受け取られたOTPは、ステージ1320のMDサーバ40により送られたOTPと対比される。受け取られたOTPが伝送されてきたOTPと一致し、かつ、任意選択の有効期間内である場合、ステージ1370においてMDサーバ40は、IS 30経由でログイン承認をウェブサーバ20Aに送る。このログイン承認メッセージの中には、ステージ1150〜1160に関連して上述したステージ1010のユーザIDが含まれている。ステージ1380において、ステージ1370のメッセージに対応して、ウェブサーバ20Aは、要望されたユーザページをユーザデバイス50Aに伝送する。ユーザネームおよびパスワード情報は、プロバイダ帯域70において伝送されず、顧客帯域80内においてのみ伝送され、それによりセキュリティが強化されたが、それがコンピュータチャネル窃取を防止する有効期限付きOTPの使用によりさらに強化されたことに注意するべきである。1つの実施形態では、OTPは、範囲を超えることなく、ステージ1320においてウェブサーバ20Aに伝送され、ユーザデバイス50A上に表示され、かつ、ユーザによりMD 60に入力される。かかる実施形態は、ユーザによる生産性の向上を可能にし得る。

ステージ1360においてOTPの妥当性確認ができなかった場合、ステージ1190において、ログイン試行は上述のように失敗となる。

図1Eは、図1Cのステージ1150の許可メッセージの送出に先立って任意選択的に行われる画像選択を利用する追加セキュリティ強化を示す。ステージ1500において、好ましくはステージ1140の妥当性確認の正常完了に対応して、かつ、好ましくはステージ1150の許可メッセージの送出に先立ち、MDサーバ40は、セキュリティエレメントとして使用される画像を選択する。このセキュリティ画像は、関連メモリ90上に格納されている画像の事前格納選択対象から選択される。ステージ1520において、MDサーバ40は、好ましくは有効期限付きの受信したセキュリティ画像を顧客帯域80経由でユーザMD 60に伝送する。受信されたセキュリティ画像は、ユーザMD 60のディスプレイデバイス上に表示される。

ステージ1530においてMDサーバ40は、ユーザデバイス50のディスプレイデバイスに表示するために、IS 30経由でウェブサーバ20Aにステージ1500のセキュリティ画像を含む複数の画像を送る。ステージ1540において、ユーザは、ユーザMD 60上の表示に対応して、ユーザデバイス50A上に表示された複数の画像からセキュリティ画像をユーザデバイス50Aの入力機器経由で選択する。ステージ1550において、選択された画像またはそれのエンコードされた識別子がユーザデバイス50AからMDサーバ40へウェブサーバ20AおよびIS 30経由で伝送される。

ステージ1560において、MDサーバ40は、受け取った被選択画像をステージ1500の選択したセキュリティ画像と対比する。受け取った被選択画像が伝送されたセキュリティ画像と一致し、かつ、任意選択の有効期間内である場合、ステージ1570においてMDサーバ40は、ログイン承認をウェブサーバ20AにIS 30経由で送る。このログイン承認メッセージの中にはステージ1150〜1160に関連して上述したステージ1010のユーザIDが含まれている。ステージ1580において、ステージ1570のメッセージに対応して、ウェブサーバ20Aは、要望されたユーザページをユーザデバイス50Aに伝送する。ユーザネームおよびパスワード情報は、プロバイダ帯域70において伝送されず、顧客帯域80内においてのみ伝送され、それによりセキュリティが強化されたが、それがコンピュータチャネル窃取を防止する有効期限付きセキュリティ画像の使用によりさらに強化されたことに注意するべきである。セキュリティ画像の使用は、その使用が容易であることからユーザによる望ましいセキュリティ措置である。

ステージ1560においてセキュリティ画像の妥当性確認ができなかった場合、ステージ1190においてログイン試行は、上述したように失敗に帰する。1つの実施形態では、範囲を超えることなく、複数のセキュリティ画像がステージ1500において選択され、ユーザMD 60のディスプレイに表示され、かつ、以下の図において示されるようにユーザデバイス50A上においてユーザにより指摘される必要がある。他の実施形態では、ステージ1500において選択された1つまたは複数の画像がユーザデバイス50A上に表示され、かつ、MD 60上においてユーザにより選択される。

図1Fは、パターン選択を利用し、かつ、さらに任意選択的にセキュリティシステムの妥当性確認のための相互識別を提供する追加セキュリティ強化を示す。これは、図1Cのステージ1150のログイン許可メッセージの伝送に先立って任意選択的に行われる。図1Gは、図1Fの流れをさらに示すために、パターンおよび組み込まれた画像の例を示す。

ステージ1700において、好ましくはステージ1140の妥当性確認の正常完了に対応して、かつ、好ましくはステージ1150の許可メッセージの送出に先立ち、MDサーバ40は、セキュリティエレメントとして使用されるパターンを選択する。このパターンは、関連メモリ90に格納されているパターンまたは代替案として無作為に生成されるパターンの事前格納選択対象から選択される。さらに任意選択的に、MDサーバ40は、ステージ1020のユーザIDに関連付けられている事前選択画像を読み出す。事前選択されている画像は、許可システムが認定されている真正のシステムであることの確認をユーザに与えるために、MD 60のユーザにより選択される。

ステージ1720において、MDサーバ40は、他の要素中に組み込まれている強調表示される要素の選択されたパターンを、ステージ1700の任意選択の事前選択画像とともに、好ましくは有効時間を付して、顧客帯域80経由でユーザMD 60に伝送する。他の要素中に組み込まれている要素の受信された被選択パターンが任意選択の画像とともに、図1Gに示すように、ユーザMD 60のディスプレイデバイス上に表示される。ここでは、要素の選択されたパターンが強調表示されている。特に、一定の実施形態では、要素のランダムパターンが表示される。その場合、一部の要素(それらは数個実施され得る)が強調表示される。

ステージ1730において、MDサーバ40は、ステージ1700の他の要素中に埋め込まれる要素の選択されるパターンを強調表示なしでユーザデバイス50Aのディスプレイデバイス上に表示するためにIS 30経由でウェブサーバ20Aに伝送する。1つの実施形態では、MDサーバ40は、範囲を超えることなく、強調表示された要素をIS 30経由でウェブサーバ20に送り、また、強調表示されていない要素をMD 60に伝送する。かかる実施形態では、選択は、ユーザによりMD 60の入力経由で行われ得る。ステージ1740において、ユーザは、ユーザMD 60上の強調表示された要素に応じて、ユーザデバイス50A上に表示された複数の要素の中から特定の要素をデバイス50Aの入力機器経由で選択する。当然のことながら、ステージ1720においてユーザMD 60上に表示された任意選択の事前選択された画像がユーザにより呼び戻された事前選択画像と一致しない場合、ユーザは、セキュリティ侵害を認識し、ステージ1740に進まない。

ステージ1750において、選択された要素、またはそれのエンコードされた識別子がユーザデバイス50AからMDサーバ40にウェブサーバ20AおよびIS 30経由で伝送される。

ステージ1760において、受信された被選択要素がステージ1700の強調表示される要素の伝送された被選択パターンと対比される。受信された被選択要素が強調表示される要素の伝送された被選択パターンと一致し、かつ、任意選択の有効期間内である場合、ステージ1770においてMDサーバ40は、ログイン承認をウェブサーバ20AにIS 30経由で送る。ステージ1150〜1160に関して上述したようにログイン承認メッセージの中にはステージ1010のユーザIDが含まれている。ステージ1780において、ステージ1770のメッセージに対応して、ウェブサーバ20Aは、要望されたユーザページをユーザデバイス50Aに伝送する。ユーザネームおよびパスワード情報は、プロバイダ帯域70において伝送されず、顧客帯域80内においてのみ伝送され、それによりセキュリティが強化されたが、それがコンピュータチャネル窃取を防止する有効期限付きセキュリティ多数画像の使用によりさらに強化されたことに注意するべきである。

ステージ1760においてセキュリティ画像の妥当性確認ができなかった場合、ステージ1190においてログイン試行は、上述したように失敗となる。

図1H、1Iは、進行中ウェブセッション検証のためにリアルタイム、同期化、モバイル監視を利用する追加セキュリティ強化を示す。MD 60を使用してユーザは、ウェブの1セッションまたは複数のセッションのすべての活動を絶え間なく監視できる。それにより、フィッシング、セッションハイジャック、クロスサイトスクリプティング、中間者または同様な不正によりもたらされる損害を低減する。MD 60は、ユーザデバイス50Aの進行中ウェブセッション活動を表示する画像またはアイコンを表示することが好ましい。

ステージ1800において、ユーザは、好ましくは図1B〜1Fに関連して上述したOOBLにより、ユーザデバイス50Aからウェブサーバ20Aへのログインを行う。ステージ1810において、ユーザデバイス50Aは、ウェブサーバ20Aに対し情報検索動作を要求する。代替案として、明示的なユーザ認証を必要としないトランザクションまたは構成変更を要求する。ステージ1820において、ウェブサーバ20Aは、要求された情報をユーザデバイス50Aに与える。好ましくは、ユーザデバイスは、それをユーザに表示する。ステージ1830において、ウェブサーバ20Aは、情報要求動作の表示をMDサーバ40にIS 30経由で、好ましくはユーザデバイス50Aへの情報応答と同時に送る。この表示は、好ましくは要求された情報の種類を含み、かつ、その他の詳細を含み得る。ステージ1840において、MDサーバ40は、情報要求表示をMD 60に伝送する。MD 60は、これをそのディスプレイ部においてユーザに表示する。この表示は、ウェブセッションの冒頭から行われたその他の動作との関係において好ましくは時間的順序に従って、好ましくはユーザから見やすいようにグラフィック的に記号化して、表示される。任意選択のステージ1850において、ユーザは、ユーザMD 60上のディスプレイにより反映された情報要求動作がユーザデバイス50A上で要求された適切な動作であること、および不適切なステップによる置き換えが行われていないことの妥当性を確認する。ステージ1850において行われた妥当性確認プロセスが正常に完了した場合、ステージ1860においてユーザは、ユーザデバイス50A上のウェブセッションを継続する。好ましくは、MD 60ウェブセッション監視は、ユーザがユーザデバイス50AによりまたはMD 60によりウェブサーバ20Aからログオフするまで、動作を継続する。ステージ1850において行われた一致の妥当性確認プロセスが失敗した場合、ステージ1870においてユーザは、この失敗に応答して、任意選択的にさらなる動作情報をMD 60経由で要求するか、または不正の疑いがあるため、このウェブセッションを終了することができる。別の実施形態では、ユーザは、ユーザデバイス50Aのユーザにより実際に行われなかった動作の表示が監視MD 60上に表示されていないことを検証する。これらの表示は、不正な攻撃の兆候であり得るからである。

図1Iは、図1Hと同様な流れを示しているが、相違は動作の種類である。図1Iでは、動作は、明示的なユーザ認証を要求している。この動作も動作時系列表示として提示されるので、ユーザは、望ましくはウェブセッションにおいて行われたすべての動作の包括的な、しかし分かりやすい一覧を与えられる。見慣れない動作表示または期待していた表示と実際のMD 60表示の不一致の場合、ユーザは、任意選択的にユーザMD 60経由でさらなる情報を要求するか、セッションを終了するか、またはセッション異常をウェブサーバ20Aに通知することができる。

図2Aは、有利なパーティション分割を実現し、それによりウェブOOBLを可能にするトランザクションシステム200の実施形態のハイレベルブロック図を示している。この場合、ユーザMD 210のSE 240内に疑似乱数生成機能を設ける。具体的には、トランザクションシステム200は、ウェブサーバ20A、IS 30、およびMDサーバ40を含み、これらのそれぞれは、それと通信するメモリ90をもっている。ウェブサーバ20AおよびMDサーバ40は、それぞれ、好ましくは本出願において記述されるIS 30に対応するサービスのほかに単一のサービスプロバイダに関連付けられる先行技術のサービスをサポートする。無制限に携帯コンピュータとして示されているユーザデバイス50AおよびユーザMD 210がさらに示されている。ユーザMD 210は、ディスプレイ220、コントローラ230、およびSE 240を含んでいる。SE 240は、安全なID保管場所250、疑似乱数生成器(PRNG)260および安全な鍵保管場所270を含んでいる。ID保管場所250に格納されたIDはID1として表示され、そしてID1はコントローラ230により読み取り可能である。PRNG260は、鍵保管場所270およびコントローラ230と通信する。ID保管場所250は、コントローラ230と通信する。SE 240は、以下において詳述するように第1レベルのユーザセキュリティドメイン(USD)を提供する。アプリケーション62はMD 210のプロセッサ上で実行され、かつ、好ましくはそのローカルメモリに格納される。

トランザクションシステム10に関連して上述したように、サービスプロバイダウェブサーバ20Aは、水平方向ハッチの施されている両方向矢印として示されているプロバイダ帯域70経由でユーザデバイス50Aと両方向通信する。この帯域は、インターネット経由で実現することができる。サービスプロバイダMDサーバ40は、網目模様の両方向矢印として示されている顧客帯域80経由でユーザMD 210と両方向通信する。この帯域は、無線LANまたはIEEE 802.11互換接続などのMDデータ接続経由で実現することができる。セキュリティ情報は、不正を防止するために有利なようにコンパートメント化される。

ウェブサーバ20A、IS 30およびMDサーバ40のそれぞれは、プロセッサを備え、かつ、上で示したように、範囲を超えることなく内蔵でも外付けでもよいメモリ90と通信する。メモリ90は、非一時的コンピュータ読み取り可能媒体を備えており、その上にそれぞれのウェブサーバ20A、IS 30およびMDサーバ40の動作のための命令が下記で説明するように格納される。メモリ90は、さらに、必要に応じてデータの保管場所として利用することもできる。種々のメモリ90が物理的に別個のものでなければならない要求はなく、種々のメモリ90は、範囲を超えることなく、単一のクラウドサーバ上に実現し得る。

PRNG260は、コントローラ230から受け取った要求に対応してPRNを生成し、生成した疑似乱数をコントローラ230に返す。PRNG260により生成されたPRNは、鍵保管場所270に格納されている1つ以上の鍵に対応しており、したがって鍵保管場所270に格納されている1つ以上の鍵に関する情報をもっているデバイスにより一意に識別可能である。妥当性確認のために必要な情報は、無制限に、共用鍵、またはMDサーバ40に関連付けられているメモリ90上に格納されている非対称鍵アルゴリズムの一部として生成される鍵とすることができる。追加SE 240の機能および能力について以下においてさらに詳しく説明する。

図2Bは、図2Aのトランザクションシステム200の動作の例示的実施形態のハイレベルフローチャートを示している。これは、個人ユーザネームまたはパスワードをプロバイダ帯域70上で渡さない安全なログイン便益をユーザデバイス50に与える。かかる実施形態は、ユーザデバイス50Aが、インターネットカフェのパソコン(PC)のように単なる個人資産ではない場合に特に有益である。しかし、これは、決して制限を意味するものではない。明確にするために、ステージ間の流れは、図2Aの帯域情報と同じ方法で示されており、したがってプロバイダ帯域70内の流れは水平方向ハッチの矢印として、顧客帯域80内の流れは網目模様の矢印として、IS 30とウェブサーバ20AまたはMDサーバ40間の流れは実線として示されている。個々のステージは、上述したように、それぞれのメモリ90に格納されている命令に対応して実行される。

ステージ2000において、ユーザデバイス50Aは、提供された帯域70経由でウェブサーバ20Aの特定のページまたはサイトにアクセスし、そしてユーザMD 210経由のログインを要求する。ユーザデバイス50Aは、好ましくは、ローカルメモリ上に格納された、ユーザデバイス50Aを識別するクッキー情報を提供する。任意選択的に、提示されるクッキー情報は、シリアルナンバーまたはその他のコンフィグレーションデータなどのコンピュータ識別情報を含む。ウェブサーバ20Aは、任意選択的にユーザデバイス50Aのインターネットプロトコルアドレスに対応するユーザデバイス50Aの位置情報を決定することが好ましい。ウェブサーバ20Aの特定のページまたはサイトは、無制限に金融機関、マーチャントまたはサービス供給者に関係づけられ得る。

ステージ2010において、ウェブサーバ20Aは、ユーザID、好ましくは上述したユーザ安全対策未実施IDをユーザデバイス50Aに要求する。例示的実施形態では、eメールアドレスがユーザ安全対策未実施IDとして利用され、別の典型的実施形態ではユーザのモバイル番号(MSISDN)がユーザ安全対策未実施IDとして利用される。当然のことであるが、ユーザMDサーバ40をユーザの安全対策未実施IDに関連付けるIS 30への事前登録は、事前登録ステージで行われることが好ましい。この場合、好ましくはユーザの安全対策未実施IDと異なるユーザネームおよびパスワードが定義され、ユーザの安全対策未実施IDおよびMD 210に関連付けられるMDサーバ40によりアクセス可能なメモリ90の一部に格納される。

ステージ2020において、ステージ2010の要求に対応して、ユーザは、ユーザデバイス50A経由でユーザの安全対策未実施IDを提示する。任意選択のステージ2030において、提示されたユーザの安全対策未実施IDは、未登録ユーザ認証によるIS 30およびMDサーバ40の過負荷を回避するために、上述したようにウェブサーバ20Aによりアクセス可能なメモリ90に格納されている事前定義ユーザIDと対比して妥当性確認される。ユーザの安全対策未実施IDの妥当性が確認されなかった場合、ステージ2160において、ログイン失敗メッセージが生成され、ユーザデバイス50Aのディスプレイデバイス上に表示される。

ステージ2040において、「MD経由ログイン」などのメッセージがウェブサーバ20Aからユーザデバイス50Aに伝送され、ユーザデバイス50Aのディスプレイデバイス上に表示される。これによりユーザは、MD 210にアクセスしてトランザクションを続けるよう促される。MD 210は、好ましくは、ステージ2080において記述されているようにトランザクションを続けるためのさらなるログイン指示を自動的に表示する。

ステージ2050において、ステージ2020のユーザIDおよび任意選択的に決定されたステージ2000の位置情報がウェブサーバ20AによりIS 30に送られる。

任意選択のステージ2060において、提示されたユーザの安全対策未実施IDが、前述のようにIS 30によりアクセス可能なメモリ90に格納されている事前定義のユーザIDと対比して妥当性確認される。ユーザの安全対策未実施IDの妥当性が確認されなかった場合、ステージ2160においてログイン失敗メッセージが生成され、ユーザデバイス50Aのディスプレイデバイスに表示される。

ステージ2070において、IS 30は、ログイン認証要求をMDサーバ40に送る。

ステージ2080において、MDサーバ40は、ログイン認証要求をMD 210に伝送する。それにより起動されたMDアプリケーション62は、さらなるログイン指示を自動的に表示する。

ステージ2090において、ステージ2080のMDサーバ40からの認証要求に対応して、MD 210は、ユーザMD 210の位置情報、PRNおよび識別子をMDサーバ40に与える。与えられる識別子は、無制限に、クッキー、IMSI、IMEI、またはBT IDなどのユーザMD 210に固有のMSISDNまたはその他の識別子または識別子の集まりとすることができ、かつ、MDサーバ40により検証可能である。好ましくは、ユーザMD 210上で実行されるアプリケーション62は、MDサーバ40にアクセスし、上述のデータを提供する。具体的には、コントローラ230は、ID保管場所250からID1を読み出し、さらにPRNG 260にPRNの生成を要求する(このPRNはMPRN2として表示される)。このPRNは、MDサーバ40に関連付けられた鍵保管場所270に格納されている鍵と連携して生成するよう要求される。アプリケーション62は、MDサーバ40のページまたはサーバまたはサイトにアクセスする。また、アプリケーション62は、MDサーバ40にアクセスするプロセスの一環として、MD 210の位置情報、読み出したID1、生成されたPRNおよび周辺機器識別子などのその他の識別情報を提供する。1つの実施形態では、SE 240のシリアルナンバーなどのユーザMD 210の固有の識別子も無制限に提供される。好ましくは、ユーザMD 210とMD サーバ40間の情報伝送は、SSLリンク経由とする。

有利なように、要求に応じて、格納されている鍵に対応するPRNを提供し、さらにID1を提供するSE 240の能力は、以下においてさらに説明するように第1レベルのUSDを表している。

ステージ2100において、MDサーバ40は、受信したユーザMD 210のID1および好ましくは位置情報をステージ2050の与えられた情報(前述したように事前登録情報により相互参照されている)と対比してMD 210の真正性を検証する。PRNは、MDサーバ40のメモリ90上に格納されている鍵に対応して、さらに検証されることが好ましい。当然のことながら、上述したように、MDサーバ40のメモリ90は、ステージ2070に関連して上述したユーザIDの相互参照を含んでおり、また、ユーザMD 210は、ユーザデバイス50Aから受け取った任意のユーザIDが受け取ったユーザMD 210識別子ID1と一致するか、すなわち相互参照されているか否か決定するためにID1を識別する。位置情報は、不正を防止するために、さらに一致対比することが好ましい。位置情報一致が正確でなければならないという要求条件は存在しない。特に、ユーザMD 210の位置情報は、非常に高い精度を与えない三角測量により与えられ、また、ユーザデバイス50Aの位置情報も同様に非常に高い精度を与えないIPアドレスにより与えられ得るからである。したがって、好ましくは位置一致の大まかな定義を利用し、物理的に不可能な位置不一致のみ不一致結果を導くように設定する。任意選択的に、範囲を超えることなく位置フィルタを無視することもできる。

ステージ2100においてユーザMD 210識別子ID1および位置情報がログイン認証要求トランザクションと一致し、かつ、および受け取ったMPRN2が格納されていた鍵に対応して妥当性が確認された場合、MDサーバ40は、次に進んでログイン情報を受け取る。

ステージ2110において、MDサーバ40は、ステージ2000の未解決ログイントランザクションに関して利用するためにユーザネームおよびパスワードの要求をユーザMD 210に伝送する。ステージ2120において、ユーザの入力ジェスチャに対応して、ユーザMD 210は、ユーザネームおよびパスワードをMDサーバ40に伝送する。ユーザネームおよびパスワードは、MDサーバ40に事前登録されており、それによりMDサーバ40によりウェブサーバ20AまたはIS 30と通信することなく妥当性確認できることが好ましい。代替的実施形態では、ユーザネームおよびパスワードはIS 30またはウェブサーバ20Aに無制限に登録され、妥当性確認は該当サーバにより行われる。他の代替的実施形態では、パスワードまたはPINコードはSE 240により妥当性確認され、かつ、PPRN2が妥当性確認のためにMDサーバ40に送られる。

ステージ2130において、受け取られたユーザネームおよびパスワードは、それらがMDサーバ40上に格納されているユーザネームおよびパスワードと一致するか否か、確認される。ユーザネームおよびパスワードがIS 30またはウェブサーバ20Aに無制限に事前登録される代替的実施形態では、ユーザネームおよびパスワードは、該当サーバに送られ、そこで妥当性確認される。PPRN2がMDサーバ40に送られる実施形態では、MDサーバ40がPPRN2の妥当性を確認する。

受け取ったユーザネームおよびパスワードがMDサーバ40において妥当性確認された場合、ステージ2140においてMDサーバ40は、ステージ2010のユーザIDの識別子および妥当性確認のための確認コードを含む認証メッセージをIS 30経由でウェブサーバ20Aに送る。

ステージ2150において、ステージ2140のメッセージに対応して、ウェブサーバ20Aは、要望されたユーザページをユーザデバイス50Aに伝送する。ユーザネーム、パスワードおよびハードウェア生成コードPRN情報は、プロバイダ帯域70において伝送されず、顧客帯域80内においてのみ伝送され、それによりセキュリティが強化されたことに注意するべきである。ユーザデバイス50AとMD 60は、ユーザがおそらくユーザデバイス50A上で上述したようにログオフを促すまで、ユーザウェブセッション中、同期を保つことが好ましい。MD 60は、ユーザデバイス50A上に表示される活動を表す画像を表示することが好ましい。

ステージ2030または2060においてIDの妥当性が確認できなかった場合、またはステージ2100においてユーザMD 210識別子ID1の妥当性が確認できなかった場合、またはPRN妥当性確認または位置一致ができなかった場合、またはステージ2130においてユーザネームおよびパスワードの妥当性が確認できなかった場合、ステージ2160において、ログイン試行は失敗となる。ログイン失敗の通知は、ユーザMD 210とユーザデバイス50Aの両方に伝送することが好ましい。

図1D〜1Iに関連して上述した代替案の追加セキュリティ方法は、範囲を超えることなく、トランザクションシステム200により同様に実現され得る。

図3Aは、トランザクションシステム300の実施形態のハイレベルブロック図を示している。このシステムは、ウェブベースのトランザクションシステムの有利なパーティション分割を提供し、それによりウェブ帯域外ログイン(OOBL)を可能にする。具体的には、トランザクションシステム300は、ウェブサーバ320、IS 30、および発行者MDアクセスポイントサーバ340を含み、これらのそれぞれは、それと通信するメモリ90を備えている。ウェブサーバ320は、好ましくはマーチャントまたはサービスプロバイダと関連付けられ、また、発行者ウェブまたはMDアクセスポイントサーバ340は、無制限にクレジットまたはデビットカード発行者またはその他の金融トランザクション許可手段と関連付けられる。明確にするために、無制限に携帯コンピュータとして示されているユーザデバイス50AおよびユーザMD 60がさらに示されている。上述したように任意のユーザデバイス50が利用され得る。ウェブサーバ320は、インターネット経由で実現でき、水平のハッチの施されている両方向矢印として示されているプロバイダ帯域70経由でユーザデバイス50Aと両方向通信する。発行者ウェブまたはMDアクセスポイントサーバ340は、網目模様の両方向矢印として示されている顧客帯域80経由でユーザMD 60と両方向通信する。この帯域は、無線LANまたはIEEE 802.11互換接続などのMDデータ接続経由で実現できる。不正を防止するためにセキュリティ情報は、有利にコンパートメント化される。

ウェブサーバ320、IS 30および発行者ウェブまたはMDアクセスポイントサーバ340は、プロセッサを備えており、また、上述したように、範囲を超えることなく内蔵または外付けとすることができるメモリ90と通信する。メモリ90は、非一時的コンピュータ読み取り可能媒体を備えている。この媒体上にウェブサーバ320、IS 30および発行者MDアクセスポイントサーバ340それぞれの動作のための命令が、以下に述べるように、格納される。メモリ90は、さらに必要に応じて、それぞれに見合った顧客の記録、ユーザネームおよびIDなどのデータの格納のために利用することができる。種々のメモリ90が物理的に別個のものでなければならないという要求はなく、種々のメモリ90は、範囲を超えることなく、単一のクラウドサーバ上に実現し得る。

図3B〜3Cは、図3Aのトランザクションシステム300の動作の例示的実施形態のハイレベルフローチャートを示している。このシステムは、個人のユーザネームまたはパスワードをプロバイダ帯域70上で渡さない安全な金融サポートをユーザデバイス50Aに提供する。この場合、好ましくは、ウェブサーバ320はユーザの機密に関わる金融細目にタッチせず、また、任意選択的にユーザ手動によるチェックアウト詳細入力を行わない。かかる実施形態は、ユーザデバイス50が、インターネットカフェのPCのように単なる個人資産ではない場合に特に有益である。しかし、これは、決して制限を意味するものではない。同様に、ユーザは、ウェブサービスプロバイダまたはマーチャントのセキュリティに不安を抱く場合がある。明確にするために、ステージ間の流れは、図3Aの帯域情報と同じ方法で表示されており、したがってプロバイダ帯域70内の流れは水平方向ハッチの矢印として、顧客帯域80内の流れは網目模様の矢印として、IS 30とウェブサーバ320または発行者MDアクセスポイントサーバ340間の流れは実線として示されている。それぞれのメモリ90上に格納されている命令に対応して、上述のように、個々のステージが実行される。

ステージ3000において、ユーザデバイス50Aは、プロバイダ帯域70経由でウェブサーバ320の特定のページまたはサイトにアクセスし、これから行う買い物のようなトランザクションを選択する。チェックアウトにおいて、OOBLチェックアウトを含む多数の任意選択がウェブサーバ320により無制限に提供され得る。ステージ3000においてOOBLチェックアウト、すなわちユーザMD 60経由のチェックアウトが要求された場合。代替案として、一定のトランザクションについては、チェックアウトはOOBL経由とするように制約される。

ステージ3010において、ウェブサーバ320は、ユーザの安全対策未実施IDをユーザデバイス50Aに要求する。例示的実施形態では、eメールアドレスをユーザの安全対策未実施IDとして利用する。当然のことながら、MDアクセスポイントサーバ340(それは、さらにユーザMD 60に関連付けられる)をユーザの安全対策未実施IDに関連付けるIS 30への事前登録は、事前登録ステージにおいて行われることが好ましい。好ましくは安全対策未実施IDとは相異なるユーザネームおよびパスワードが定義され、MDアクセスポイントサーバ340によりアクセス可能なメモリ90の一部に格納される。

ステージ3020において、ステージ3010の要求に対応して、ユーザは、ユーザデバイス50A経由で安全対策未実施IDを提示する。任意選択のステージ3030において、提示された安全対策未実施IDは、前述のようにウェブサーバ320によりアクセス可能なメモリに格納されている事前に定義されている安全対策未実施IDと対比して妥当性確認される。安全対策未実施IDの妥当性が確認されなかった場合、ステージ3290においてチェックアウト失敗メッセージが生成され、ユーザデバイス50Aのディスプレイデバイスに表示される。

ステージ3040において、「MD経由チェックアウト」を示すメッセージがウェブサーバ320よりユーザデバイス50Aに伝送され、ユーザデバイス50Aのディスプレイデバイス上に表示される。これによりユーザは、ユーザのMD 60によるチェックアウトプロセスを続けるよう促される。これに続いて、ステージ3080に関連して以下において詳述するように、MD 60は、さらなるOOBLチェックアウト指示を自動的に表示することが好ましい。

ステージ3050において、ステージ3020の安全対策未実施IDおよび任意選択のトランザクションの情報または決定された位置の情報がウェブサーバ320によりIS 30に送られる。追加セキュリティのための位置の使用は、トランザクションシステム10に関連してすでに述べたので、簡潔を尊ぶためにここではこれ以上説明しない。しかし、当然のことながら、有効性を確認し、かつ、不正トランザクションを回避するための地理的一致の利用は、トランザクションシステム300においても等しく適用できる。トランザクションの情報は、好ましくは、マーチャント名、マーチャントID、価格、任意選択的に要求されるユーザの入力するチェックアウト詳細、および任意選択的にの購入品目の一覧表などのさらなる詳細を含む。

ステージ3060において、安全対策未実施IDは、上述したようにIS 30によりアクセス可能なメモリに格納されている事前に定義されているユーザの安全対策未実施IDまたはその他の規則と対比して妥当性確認される。ユーザの安全対策未実施IDの妥当性が確認されなかった場合、メッセージがウェブサーバ320に送られ、また、ステージ3290においてチェックアウト失敗メッセージが生成され、ユーザデバイス50Aのディスプレイデバイス上に表示される。

ステージ3070において、ステージ3020の安全対策未実施IDおよび任意選択のトランザクションの情報または決定された位置の情報がIS 30により発行者MDアクセスポイントサーバ340に送られる。

ステージ3080において、発行者MDアクセスポイントサーバ340は、チェックアウトトランザクション認証要求をMD 60に伝送する。これによりMDアプリケーション62が起動されてさらなるチェックアウト指示を自動的に表示する。

ステージ3090において、発行者MDアクセスポイントサーバ340にアクセスするプロセスの一環として、ユーザMD 60は、任意選択的にMD 60の位置情報および識別子を提示する。これは、ユーザMD 60に固有のMSISDNまたはその他の識別子とすることができる。好ましくは、上述したように、アプリケーション62は、ユーザMD 60上で実行され発行者MDアクセスポイントサーバ340にアクセスする。ユーザMD 60のローカルメモリ上に格納されているアプリケーション62は、発行者MDアクセスポイントサーバ340に対するアクセスを行い、かつ、上述のデータを提示することが好ましい。さらに好ましくは、ユーザMD 60と発行者MDアクセスポイントサーバ340間の情報伝送は、セキュアソケットレイヤ(SSL)リンク経由である。

ステージ3100において、ステージ3090において受け取られたユーザMD 60の識別子が発行者MDアクセスポイントサーバ340により妥当性確認され、また、任意選択的に、図1Cに関連して上述したように、ユーザMD 60から受け取られた任意の位置情報が発行者MDアクセスポイントサーバ340により、プロバイダウェブサーバ320からIS 30経由で受け取られた任意選択の位置情報と対比される。上述したあらゆる重要な不一致は、発行者MDアクセスポイントサーバ340による無効メッセージの発行をもたらし、それによりあらゆる疑わしい不正トランザクションを防止することができる。

任意選択のステージ3110において、発行者MDアクセスポイントサーバ340は、ユーザMD 60に対しSMSチャレンジを行う。さらに詳しくは、発行者MDアクセスポイントサーバ340は、任意選択的に英数字コードを含むSMSメッセージをユーザMD 60に伝送する。ステージ3120において、上述したようにユーザMD 60上で実行されるアプリケーション62は、好ましくは受け取った英数字コードを返すことによりSMSチャレンジに応答する。上述のSMSチャレンジおよび応答は、モバイル金融トランザクション技術の当業者により既知であるので、簡潔を尊ぶためにここではこれ以上触れないこととする。チャレンジの結果は、発行者MDアクセスポイントサーバ340またはIS 30に無制限に報告され得る。

任意選択のステージ3110〜3120のSMSチャレンジおよび応答が正常に完了した場合、または任意選択のステージ3110〜3120が行われない場合、ステージ3130において発行者MDアクセスポイントサーバ340は、発送先として使用される自宅の住所および連絡情報として使用されるモバイル電話番号(MSISDN)などのユーザの既存の必要なチェックアウト詳細を発行者MDアクセスポイントサーバ340のメモリ90から読み出す。発行者MDアクセスポイントサーバ340は、さらに、購入トランザクション承認の要求をユーザMD 60に伝送する。これは、好ましくは、ユーザネームおよびパスワードならびにステージ3000の未解決チェックアウトトランザクションに関して発行者MDアクセスポイントサーバ340により記入された詳細の確認(これは、後にウェブサーバ320に送られる)を含む。任意選択的に、クーポンまたは掛け売り条件などの支払い協定の選択をユーザMD60に無制限に提供することができる。さらにオープンクレジット残額などのその他の金融情報も範囲を超えることなく提供することができる。一定の基準を満たすトランザクションの場合、PINの再入力および/または1つ以上のセキュリティ質問に対する対応も行うことができる。

ステージ3140において、ユーザMD 60は、ユーザ入力ジェスチャに対応して、ユーザネームおよびパスワードならびにトランザクション確認および好ましくは発行者MDアクセスポイントサーバ340により記入された詳細の確認を発行者MDアクセスポイントサーバ340に伝送する。発行者MDアクセスポイントサーバ340は、登録ステージにおいてすでにユーザMD 60のユーザネームおよびパスワードを与えられているので、発行者MDアクセスポイントサーバ340は、ウェブサーバ320を参照することなく、その真正性を検証できることに注意するべきである。1つの実施形態では、ユーザは、記入されているチェックアウト詳細をMD 60上で削除、修正または追加することができ、したがって、たとえば別の発送先アドレスを入力することができる。

ステージ3150において、受け取られたユーザネームおよびパスワードを妥当性確認し、それが発行者MDアクセスポイントサーバ340上に格納されているユーザネームおよびパスワードと一致するか確認する。妥当性確認は、さらに、範囲を超えることなく、受け取られたユーザネームおよび/またはパスワードの解読を要求し得る。

ステージ3160において、発行者MDアクセスポイントサーバ340は、安全対策未実施ID、ユーザの確認したチェックアウト詳細およびこれが「ユーザデバイス経由チェックアウト」トランザクションであることの表示を含むトランザクション許可をIS 30に送る。ステージ3170において、IS 30は、安全対策未実施ID、ユーザの確認したチェックアウト詳細およびこれが「ユーザデバイス経由チェックアウト」トランザクションであることの表示を含むトランザクション許可をウェブサーバ320に送る。

ステージ3180において、ステージ3170の受け取ったトランザクション許可メッセージに対応して、ウェブサーバ320は、顧客データベースを含み得る関連メモリ90から該当する顧客関連情報を読み出し、かつ、好ましくはさらに特定のウェブサーバ320ページにふさわしいフォーマット情報を読み出し、次に請求情報、出荷情報およびトランザクションチェックアウトが発行者MDアクセスポイントサーバ340によりユーザMD 60経由で受け取られた入力に対応してすでに承認されていることの表示を含むすべてのトランザクション詳細を含むすぐ署名できる書式を作成する。ウェブサーバ320は、さらに詳細の記入されたチェックアウトページを表示する。次にステージ3190においてユーザデバイス50Aのユーザは、その中の情報を受け入れるかまたは調整することができる。ユーザの承認ジェスチャに対応してこのトランザクションは最終決定される。

ステージ3200において、ウェブサーバ320は、好ましくは金融トランザクション決済を含めてユーザの確認した購入トランザクションを実行する。さらに、ウェブサーバ320は、トランザクション承認メッセージをIS 30に送る。ステージ3210において、IS 30は、トランザクション承認メッセージを決済監査のためのトランザクション識別子とともに発行者MDアクセスポイントサーバ340に送る。

ステージ3220において、発行者MDアクセスポイントサーバ340は、承認されたトランザクションの確認をユーザMD 60に送る。後者は、その結果、アプリケーション62を背景処理モードに設定できる。1つの実施形態では、IS 30は、このトランザクションをユーザの口座により決済する。他の実施形態では、発行者MDアクセスポイントサーバ340がこのトランザクションをユーザの口座により決済する。

ステージ3030においてIDの妥当性が確認されなかった場合、またはステージ3060においてID妥当性が確認されなかった場合、またはステージ3100においてユーザの安全対策未実施IDがユーザのMD識別子と一致しなかった場合、または位置の妥当性が確認されなかった場合、またはステージ3150においてユーザネームおよびパスワードの妥当性が確認されなかった場合、ステージ3290においてチェックアウト試行は失敗となる。好ましくは、チェックアウト失敗の通知は、ユーザMD 60とユーザデバイス50Aの両方に伝送する。

図1D〜1Iに関連して上述した代替案の追加セキュリティ方法は、範囲を超えることなく、トランザクションシステム300により同様に実現することができる。ユーザMD 60の代わりにユーザMD 210を使用することは、その追加セキュリティ利得を保持しつつ、範囲を超えることなく、トランザクションシステム300においても利用できる。

図4Aは、トランザクションシステム400の1つの実施形態のハイレベルブロック図を示している。このシステムは、有利なパーティション分割を提供し、それにより現金自動預け払い機(ATM)で使用する帯域外ログイン(OOBL)を可能にする。具体的には、トランザクションシステム400は、ATMサーバ410、キーパッド430を備えるATMデバイス420、IS 30、および発行者MDアクセスポイントサーバ340を含む。ATMサーバ410、IS 30および発行者MDアクセスポイントサーバ340のそれぞれは、それらと通信するメモリ90を備えている。上述したように無制限にユーザMD 210として実現できるユーザMD 60がさらに示されている。発行者MDアクセスポイントサーバ340は、網目模様の両方向矢印で示されている顧客帯域80経由でユーザMD 60と両方向通信する。この帯域は、無線LANまたはIEEE 802.11互換接続などのMDデータ接続により実現できる。セキュリティ情報は、不正を防止するために有利にコンパートメント化される。

ATMサーバ410、IS 30および発行者MDアクセスポイントサーバ340のそれぞれは、プロセッサを備え、かつ、上で示したように範囲を超えずに内蔵または外付けとすることができるメモリ90と通信する。メモリ90は、非一時的コンピュータ読み取り可能媒体を備えており、その上にATMサーバサーバ410、IS 30および発行者MDアクセスポイントサーバサーバ340のそれぞれの動作のための命令が下記で説明するように格納される。メモリ90は、さらに、必要に応じてデータの保管場所として利用することもできる。種々のメモリ90が物理的に別個のものでなければならない要求はなく、種々のメモリ90は、範囲を超えることなく、単一のクラウドサーバ上に実現し得る。

図4Bは、図4Aのトランザクションシステム400の動作の例示的実施形態のハイレベルフローチャートを示している。このシステムは、キーパッド430において物理的なカードまたはPINを提示することのないATM 420への安全なアクセスを提供する。かかる実施形態は、ユーザがカードの携帯を好まない場合に特に有益であり、かつ、安全でない場所で使用する場合にPINの窃取を回避するために有利である。明確にするために、ステージ間の流れは、図4Aの帯域情報と同じ方法で表示されており、したがって顧客帯域80内の流れは網目模様の矢印として、IS 30と発行者MDアクセスポイントサーバ340またはATMサーバ410の間の流れは実線として示されている。個々のステージは、上述したように、それぞれのメモリ90に格納されている命令に対応して実行される。1つの実施形態では、デバイス50がATM 420の中に組み込まれ、かつ、プロバイダサーバ20がウェブサーバ20AではなくATMサーバ410に組み込まれるトランザクションシステム400に対し、上述した図1Cの流れが適用できることに注意するべきである。図4Bのフローは、好ましくはアプリケーション62を使用するユーザのアクティブログインを含み、かつ、そのときのみ認証が実行される(MD 60上において自動的に開始される認証ではなく)代替案フローを示している。別の実施形態では、図4Bのフローチャートは、システム1、10、200、および300に適用される。

ステージ4000において、ユーザは、ユーザMD 60を利用して、好ましくは登録プロセスの一環としてロードされているオンボードアプリケーション62経由で発行者MDアクセスポイントサーバ340にアクセスする。ユーザMD 60のローカルメモリ上に格納されているアプリケーション62は、発行者MDアクセスポイントサーバ340に対するアクセスを実行する。ログインプロセスの一環として、ユーザMD 60に固有のMSISDNまたはその他の識別子とすることができるユーザMD 60の識別子が提供され、かつ、好ましくは位置情報およびその他の周辺機器情報がユーザMD 60により提供される。ユーザMD 60にリアルタイム位置識別装置が設けられていない場合、位置情報は、好ましくは三角測量によるネットワークアクセスまたは信号時間遅延計算から入手する。好ましくは、ユーザMD 60と発行者MDアクセスポイントサーバ340間の情報伝送は、セキュアソケットレイヤ(SSL)経由である。

任意選択のステージ4010において、発行者MDアクセスポイントサーバ340は、ユーザMD 60に対しSMSチャレンジを行う。さらに詳しくは、発行者MDアクセスポイントサーバ340は、任意選択的に英数字コードを含むSMSメッセージをユーザMD 60に伝送する。任意選択のステージ4020において、上述したようにユーザMD 60上で実行されるアプリケーションが好ましくは受け取った英数字コードを返すことよりSMSチャレンジに応答する。上述のSMSチャレンジおよび応答は、モバイル金融トランザクション技術の当業者により既知であるので、簡潔を尊ぶためにここではこれ以上触れないこととする。

任意選択のステージ4010〜4020におけるSMSチャレンジおよび応答の正常完了の場合、または任意選択のステージ4010〜4020が行われない場合、ステージ4030において発行者MDアクセスポイントサーバ340は、ユーザネームおよびパスワードの要求をユーザMD 60に伝送する。ステージ4040において、ユーザの入力ジェスチャに対応して、ユーザMD 60は、ユーザネームおよびパスワードを発行者MDアクセスポイントサーバ340に伝送する。ユーザネームおよびパスワードは発行者MDアクセスポイントサーバ340にすでに事前登録されているので、ステージ4050において受け取られたユーザネームおよびパスワードは妥当性確認され、それが発行者MDアクセスポイントサーバ340に格納されているユーザネームおよびパスワードと一致するか確認される。

受け取られたユーザネームおよびパスワードの妥当性が確認された場合、ステージ4060において発行者MDアクセスポイントサーバ340は、選択可能なトランザクションの選択範囲をユーザMD 60に伝送する。1つの実施形態では、トランザクションの選択範囲の伝送および表示は、上述したユーザMD 60でオンボード実行されるアプリケーション62との連携で表示される。

ステージ4070において、「ATMアクセス」を選択するユーザのジェスチャに対応して、ユーザMD 60は、その選択を発行者MDアクセスポイントサーバ340に伝送する。任意選択のステージ4080において、ステージ4000の位置情報に対応して、発行者MDアクセスポイントサーバ340は、ユーザ位置および好ましくはユーザネームを含むATM位置トランザクション要求をIS 30に送るか、またはIS 30経由でATMサーバ410に送る。

任意選択のステージ4090において、受け取った位置情報に対応して、IS 30は、関連ATM識別子および好ましくはそれらの位置の一覧表を発行者MDアクセスポイントサーバ340に送る。次にこれらは、任意選択的に発行者MDアクセスポイントサーバ340により管理されるフォーマットでユーザMD 60に転送される。別の実施形態では、ATMサーバ410は、関連ATM識別子および好ましくはそれらの位置の前記一覧表をIS 30経由で伝送する。

ステージ4100において、関連ATM識別子の任意選択の一覧表に対応して、またはATMの識別子の走査に対応して、またはユーザMD 60のCEリーダを特定のATMに関連付けられているトランスミッタに並置することにより、特定のATMが選択される。具体的には、任意選択のステージ4080〜4090に関連して上述したように関連ATMの選択範囲がユーザMD 60にすでに送られている場合、ユーザMD 60の入力機器上で行われたユーザのジェスチャに対応して特定のATMが識別される。選択されたATMの識別子は、発行者MDアクセスポイントサーバ340に伝送される。

ステージ4110において、選択されたATMの識別子および許可されたトランザクションの金融限度が発行者MDアクセスポイントサーバ340によりIS 30に送られる。ステージ4120において、IS 30は、任意選択的にワンタイムパスワード(OTP)を生成し、次にステージ4130においてこの生成されたOTPを、ステージ4120の有効期限を付して、発行者MDアクセスポイントサーバ340経由でユーザMD 60に送る。次にそれは、ユーザMD 60のディスプレイデバイス上に表示される。1つの実施形態では、IS 30による生成の代わりに、発行者MDアクセスポイントサーバ340がOTPを生成し、次に、それをステージ4110内においてIS 30に、ステージ4130内においてMD 60に送る。ステージ4140において、ユーザID、ステージ4120の有効期限付きで任意選択的に生成されたOTPおよびステージ4110の金融限度を含むATMアクセス要求が、許可された特定のATMの識別とともに、ATMサーバ410に送られる。

ステージ4150において、ユーザMD 60のユーザは、ステージ4130の表示されたOTPを特定のATM 420の入力機器430に入力し、次にさらに現金引き出しのような要求トランザクションに関するデータを入力する。ステージ4160において、特定のATM 420は、受け取ったOTPおよびトランザクションデータをATMサービス410に伝送する。次にATMサーバ410は、OTPおよびトランザクションデータをステージ4140の受け取ったOTPおよび金融限度と対比する。OTPの妥当性が確認された場合、すなわち、有効期間内であり、かつ、特定のATM 420に関連付けられており、かつ、当該トランザクションが受け取った金融限度以内である場合、ステージ4170において、トランザクションが許可され、かつ、ATMサーバ410によるユーザMD 60の口座からの引き落としなどにより決済される。続いて確認がATM 420に伝送される。ステージ4180において、ATMサーバ410は、ATM 420によるトランザクションの実行の確認に対応して、トランザクション確認、すなわち、トランザクションが発生したことの確認をIS 30に送る。

ステージ4140〜4180は、1つの実施形態において説明されている。この実施形態では、トランザクション承認は、ATMサーバ410により、受け取られたOTP、期限および金融限度に対応して行われるが、しかし、これは決して制限を意味するものではない。代替的実施形態(図示せず)では、トランザクション承認は、IS 30によりATMサーバ410により転送されたトランザクション情報およびOTP情報に対応して行われる。

ステージ4190において、IS 30は、トランザクション確認を発行者MDアクセスポイントサーバ340に送る。次にステージ4200において、発行者MDアクセスポイントサーバ340は、ユーザMD 60の口座からの引き落としなどにより金融トランザクションを決済する。さらに、発行者MDアクセスポイントサーバ340は、確認メッセージをユーザMD 60に伝送する。1つの実施形態では、発行者MDアクセスポイントサーバ340は、ATMサーバ410の代わりに金融トランザクションをユーザMD 60の口座からの引き落としなどにより決済する。他の実施形態では、IS 30が金融トランザクションを決済する。

ステージ4050において、受け取られたユーザネームおよびパスワードの妥当性が確認されなかった場合、またはステージ4160においてOTPのいずれかが無効であるか、特定のATM 420に関連付けられていないか、またはトランザクションが受け取られた金融限度以内である場合、ステージ4250においてこのトランザクションは失敗に帰する。好ましくは、ATMアクセス失敗の通知は、ユーザMD 60に伝送される。

上記は、OTPがIS 30により生成され、ユーザMD 60のユーザによりATM 420の識別目的のために利用される実施形態において説明された。しかし、これは、決して制限を意味するものではない。別の方法として、範囲を超えることなく、画像検証も図1Dに関連して上述したように、または図1F〜1Gに関連して上述したように、利用することができる。

図5Aは、チェックポイント510と通信するように示されているユーザMD 500のハイレベルアーキテクチャを示している。具体的には、MD 500は、MDアプリケーションプロセッサ520、MDメモリ530、NFCコントローラ560、およびUSD 540をもつSE 550を含んでいる。USD 540は、SE 550の一部であり、したがって以下において詳述するようにアクセスは安全な鍵を必要とする。1つの例示的実施形態では、USD 540は、SE 550上の複数のセキュリティドメインの1つである。別の実施形態では、複数のSE 550が設けられ、それらの複数のSE 550の1つがUSD 540を含んでいる。アプリケーションプロセッサ520は、以下において詳述するように、USD 540、NFCコントローラ560およびメモリ530のそれぞれと両方向通信する。

USD 540は、安全が保証されたID1保管機能570、安全が保証されたID2 PRN生成機能580、安全が保証されたID3 PRN生成機能590、安全が保証された鍵保管庫600、USD制御回路620、メモリ630、エンコーダ/デコーダ機能640、検証機能650、デジタル署名機能660、およびファイヤーウォール機能670を含む。メモリ630はUSD 540内に存在するものとして示されているが、しかし、これは決して制限を意味するものではない。別の実施形態では、メモリ630は、SE 550上に存在し、USD制御回路620と通信する。この場合、暗号化されたデータのみメモリ630に格納されるように構成される。

安全が保証されたID2 PRN生成機能580は、NFC関連ID2 PRN生成機能582およびMD関連ID2 PRN生成機能586を含んでいる(これらは、単一のPRN生成機能の2つの機能として実現してもよい)。安全が保証されたID3保管機能590は、NFC関連ID3 PRN生成機能592およびMD関連ID3 PRN生成機能596を含んでいる(これらは、単一のPRN生成機能の2つの機能として実現してもよい)。NFC関連ID2 PRN生成機能582、MD関連ID2 PRN生成機能586、NFC関連ID3 PRN生成機能592およびMD関連ID3 PRN生成機能596のそれぞれは、安全が保証された鍵保管庫600に安全に格納されている1つ以上の鍵に対応して疑似乱数を生成するように構成されている。

ID1機能570、ID2機能580、ID3機能590、安全が保証された鍵保管庫600、メモリ630、エンコーダ/デコーダ機能640、検証機能650、デジタル署名機能660およびファイヤーウォール機能670は、USD制御回路620と通信し、かつ、それに対応する。USD 540、具体的にはUSD制御回路620は、以下においてさらに詳しく述べるようにMDアプリケーションプロセッサ520およびNFCコントローラ560のそれぞれと両方向通信する。有利なように、USD制御回路620およびその他のUSD 540機能は、本出願において述べる場合を除き、MDアプリケーションプロセッサ520からのコマンドに一般的に対応せず、それによりUSD 540がSEアプリケーションの定義を満たすようにしている。

チェックポイント510は、NFC通信インターフェース515を含み、かつ、NFCコントローラ560に並置されたとき、それと短波電波通信するように構成されている。

エンコーダ/デコーダ機能640は、安全が保証された鍵保管庫600に格納されている1つ以上の鍵に対応し、かつ、制御620から受け取ったコマンドに対応して、データをエンコードし、かつ、USD制御回路620から受け取ったデータをデコードするように構成されている。エンコーダ/デコーダ機能640は、さらに、暗号化されたデータをUSD制御回路620に返すように構成されている。USD制御回路620は、MDアプリケーションプロセッサ520およびNFCコントローラ560からデータを受け取り、かつ、受け取ったデータを必要に対応してエンコードまたはデコードのためにエンコーダ/デコーダ機能640に送ることができる。したがって、1つの実施形態では、データは、MDアプリケーションプロセッサ520から読み取られ、エンコーダ/デコーダ機能640によりエンコードされ、送出またはMDメモリ530における格納のためにMDアプリケーションプロセッサ520に返される。別の実施形態では、チェックポイント510がNFCコントローラ560に並置されたとき、暗号化されたデータはチェックポイント510などへのNFC応用通信のためNFCコントローラ560に差し向けられる。

エンコーダ/デコーダ機能640は、さらに、USD制御回路620に対応し、安全が保証された鍵保管庫600に安全に格納されている1つ以上の鍵に対応してデータをデコードするように構成される。デコードされたデータは、USD制御回路620によりメモリ630に格納され、安全が保証された鍵保管庫600に格納されているキーを更新するために利用され、好ましくはMDメモリ530における保管のため、またはNFCコントローラ560経由の出力送信のためにMDアプリケーションプロセッサ520に送られ得る。

検証機能650は、無制限に、PIN、パスワード、ユーザ質問、ユーザジェスチャ、絵柄または音響の1つ以上を含む1つ以上の検証暗証番号のいずれかを検証するように構成されている。検証機能650は、任意選択的に検証情報の格納のためにメモリ630を利用する。また、検証機能は、任意選択的に安全が保証された鍵保管庫600と通信する。それは、この保管庫に格納された1つ以上の鍵に対応して検証を行い得る。1つの実施形態では、PIN検証値(PVV)をメモリ630に格納することが好ましい。かかる実施形態では、検証機能650は、格納されているPVVに対応して受け取ったPINを検証するように構成される。1つの例示的実施形態では、受け取られたPIN入力に対応して、USD制御回路620は、受け取ったPIN入力を検証機能650に送る。検証機能は、さらに、検証情報、好ましくはPVVを読み出す。検証機能650は、受け取ったPINの真正性を受け取った検証情報に対応して検証し、検証に対応する値をもつPIN検証結果を出力するように構成される。PINが検証された場合、USD制御回路620は、検証機能650から受け取ったPIN検証信号の正値に対応してPIN検証表示をMDアプリケーションプロセッサ520に出力するように構成される。USD制御回路620は、さらに、検証機能650から受け取ったPIN検証信号の負値に対応してPIN非検証表示をMDアプリケーションプロセッサ520に出力するように構成される。任意選択的に、USD制御回路620は、さらに、所定期間内の複数の連続負値PIN検証信号に対応するさらなるPIN入力要求を無視するように構成される。

デジタル署名機能660は、USD制御回路620に対応し、データを受け取り、かつ、安全が保証された鍵保管庫600に安全に格納されている1つ以上の鍵に対応してデジタル的に署名したその受け取ったデータを返すように構成される。好ましくはユーザにより否定されないであろうトランザクションに関して、デジタル署名がユーザまたはサービスプロバイダにより要求される場合に、デジタル署名機能660は有利である。1つの実施形態では、デジタル署名機能660は、安全が保証された鍵保管庫600に格納されている鍵をもつ秘密/公開鍵署名システムと連携してデジタル署名を与えるように構成される。

ファイヤーウォール機能670は、受け取ったデータをUSD制御回路620に対応して検査し、かつ、各メッセージの以降の取り扱いを決定するように構成される。1つの実施形態では、以下においてさらに説明するように、NFCコントローラ560から受け取られるデータはファイヤーウォール機能670によりカプセル化され、MDアプリケーションプロセッサ520による無線送信のためにカプセル化された形態でMDアプリケーションプロセッサ520に転送される。かかる実施形態は、上述したIS 30またはMDサーバ40などのサーバへの送信のためのデータのNFCコントローラ560による受領を感染の危険なしに可能にする。かかる実施形態では、IS 30またはMDサーバ40は、MDアプリケーションプロセッサ520をNFCコントローラ560経由で受け取られるワーム、ウィルスまたはその他の好ましくないコードの危険にさらすことなく、データをカプセルから取り出し、その真正性を検証するように構成される。別の実施形態では、ファイヤーウォール機能670は、受け取ったデータまたはその特定の部分をエンコーダ/デコーダ機能640の利用によりエンコードするように構成される。USD制御回路620は、次に部分的に暗号化されたデータをMDアプリケーションプロセッサ520に送る。かかる実施形態は、チケットまたはクーポンなどのユーザ資格情報のNFCコントローラ560によるチェックポイント510からの読み取りおよびそれらのMDアプリケーションプロセッサ520のメモリ530への安全な格納のために有益である。これにより、エンコードされた資格情報は、後にデコードされ、安全に商品と引き換えられ得る。格納された資格情報、チケットまたはクーポンのデコードは、USD 540により安全が保証されたそれの鍵保管庫600に格納されている特定の鍵に対応して行われ得るのみであるからである。別の実施形態では、ファイヤーウォール機能670は、受け取ったデータをメモリ630に格納することができる。別の実施形態では、ファイヤーウォール機能670は、以下で述べるように、ID2またはID3の要求に対し、対応するMPRN1またはPPRN1により応答することができる。別の実施形態では、ファイヤーウォール機能670は、一定のデータパラメータに対応して、どのようなデータであれ受け取ったデータを修正せず、それを以降の取り扱いのためにMDアプリケーションプロセッサ520に転送することができる。

動作において、以下においてさらに詳しく説明するように、安全が保証されたID1保管機能570は、MDアプリケーションプロセッサ520からまたはNFC通信インターフェース560経由でチェックポイント510から受け取った識別要求に、本出願においてID1として表記される識別情報により応答するように構成される。要求に応じてMDアプリケーションプロセッサ520に送られるID1は、ID1−2として表示される。要求に応じてチェックポイント510に送られ、NFC通信インターフェース560経由で受け取られるID1は、ID1−1として表示される。ID1−1またはID1−2は、それぞれ、ユーザの安全対策未実施IDとして使用されるように構成され、好ましくはMSISDNまたはIS 30のようなトランザクションサーバによりアドレスに変換可能なその他の識別子などのユーザMD 500のアドレスを含む。安全が保証されたID1保管機能570は、MDアプリケーションプロセッサ520により読み取られるように構成される。安全が保証されたID1保管機能570は、任意選択的に独立に動作するように構成される。または代替案として安全が保証されたID1保管機能570は、無制限にUSD制御回路620に対応するように構成することもできる。したがって図示のように、MDアプリケーションプロセッサ520またはNFCコントローラ560は、要求ID1を安全が保証されたID1保管機能570に送り、かつ、それに応じて、対応するID1を含む応答を受信し得る。

NFC関連ID2 PRN生成機能582は、NFCコントローラ560と通信し、かつ、ID2すなわちマシン生成PRN(MPRN1として表示される)の要求に応じて安全が保証された鍵保管庫600に格納されている1つ以上の鍵に対応するPRNを生成し、かつ、生成されたMPRNで応答するように構成される。有利に、安全が保証された鍵保管庫600に保管される鍵は、IS 30またはMDサーバ40に事前登録され、かつ、MPRN1の真正性を検証するためにIS 30またはMDサーバ40としてのサーバにより解読可能である。MDアプリケーションプロセッサ520は、NFC関連ID2 PRN生成機能582からMPRN1を取得できないことが好ましいことに注意する。任意選択的に、NFC関連ID2 PRN生成機能582は、無許可のMPRN1の発行を防止するためにMDアプリケーションプロセッサ520に対応して機能停止させることができる。NFC関連ID2 PRN生成機能582は、任意選択的に独立して動作するように構成される。または代替案として、NFC関連ID2 PRN生成機能582は、無制限にUSD制御回路620に対応するように構成することもできる。

MD関連ID2 PRN生成機能586は、MDアプリケーションプロセッサ520と通信し、かつ、かつ、マシン生成PRN(MPRN2として表示される)の要求に対応して安全が保証された鍵保管庫600に格納されている1つ以上の鍵に対応するPRNを生成し、かつ、生成されたMPRN2で応答するように構成される。1つの実施形態では、かかる要求は、安全にエンコードされた要求を必要とする。有利に、安全が保証された鍵保管庫600に保管される鍵は、IS 30またはMDサーバ40としてのサーバに事前登録され、かつ、MPRN2の真正性を検証するためにIS 30またはMDサーバ40により解読可能である。MPRN2はMPRN1から区別されることが好ましい。それらは、範囲を超えることなく、安全が保証された鍵保管庫600に保管されている異なる鍵によりエンコードされ得る。MD関連ID2 PRN生成機能586は、任意選択的に独立して動作するように構成される。または代替案として、MD関連ID2 PRN生成機能586は、無制限にUSD制御回路620に対応するように構成することもできる。MPRN1およびMPRN2は、ともにID2として表記されることに注意する

NFC関連ID3 PRN生成機能592は、NFCコントローラ560と通信し、かつ、以下においてさらに説明するようにMDアプリケーションプロセッサ520または安全が保証されたキーパッドから提供されるPINに対応して、安全が保証された鍵保管庫600に格納されている1つ以上の鍵に対応するPRNを生成し、かつ、PPRN1として表示される生成されたPINサポートPRNにより応答するように構成される。1つの実施形態では、PINが検証機能650により最初に検証される。この検証機能は、1つの実施形態では、PVVを決定するように構成される。また、PPRN1の生成および/または出力は、該当PIN検証の成否に対応する。この実施形態では、そのような適切なPVVまたは期待されるPIN値が存在しない場合、PPRN1は、NFCコントローラ560に出力されない。別の実施形態では、ユーザの入力したPINは、USD 540によりエンコードされ、かつ、PPRN1の一部である。また、この実施形態では検証機能650は利用されない。有利に、かつ、上述したように、安全が保証された鍵保管庫600に格納されている鍵は、IS 30またはMDサーバ40のようなサーバに事前登録され、かつ、PPRN1の真正性を検証するためにIS 30またはMDサーバ40により解読可能である。MDアプリケーションプロセッサ520は、NFC関連ID3 PRN生成機能592からPPRN1を取得できないことが好ましいことに注意する。MDアプリケーションプロセッサ520または安全が保証されたキーパッド525、またはその他の安全が保証された周辺機器から与えられたPINが存在しない場合、以下の図5Bにおいて述べるように、NFC関連ID3 PRN生成機能592は、PPRN1を生成しないこと、およびエラー応答がNFCコントローラ560に返され得ることに注意する。ID3は、さらに、PPRN1をチェックポイント510にNFCコントローラ560経由で出力するように動作する。NFC関連ID3 PRN生成機能592は、任意選択的に独立に動作するように構成される。または代替案としてNFC関連ID3 PRN生成機能592は、無制限にUSD制御回路620に対応するように構成され得る。

MD関連ID3 PRN生成機能596は、MDアプリケーションプロセッサ520と通信し、かつ、PINサポートPRN(PPRN2として表示される)の要求に対応して、安全が保証された鍵保管庫600に格納されている1つ以上の鍵およびMDアプリケーションプロセッサ520から、または安全が保証されたキーパッド525から、または以下において述べるようにその他の周辺機器から受け取ったPINに対応するPRNを生成し、かつ、生成されたPPRN2により応答するように構成される。1つの実施形態では、かかる要求は、安全にエンコードされた要求を必要とする。有利に、かつ、上述したように、安全が保証された鍵保管庫600に格納されている鍵は、IS 30またはMDサーバ40のようなサーバに事前登録され、かつ、PPRN2の真正性を検証するためにIS 30またはMDサーバ40により解読可能である。PPRN2はPPRN1から区別されることが好ましい。それらは、範囲を超えることなく、安全が保証された鍵保管庫600に保管されている異なる鍵によりエンコードされ得る。MD関連ID3 PRN生成機能596は、任意選択的に独立に動作するように構成される。または代替案としてMD関連ID3 PRN生成機能596は、無制限にUSD制御回路620に対応するように構成することもできる。1つの実施形態では、ユーザの入力したPINは、USD 540によりエンコードされ、かつ、PPRN2の一部であり、また、検証機能650は利用されない。PPRN1およびPPRN2は、ともにID3として表記される。

図5Bは、ユーザMD 500の実施形態のハイレベルブロック図であり、さらなる詳細を示している。具体的には、ユーザMD 500は、ディスプレイデバイス790、ディスプレイデバイス790と通信するMDアプリケーションプロセッサ520、任意選択的にディスプレイデバイス790と通信するSE 550、NFCコントローラ560、周辺機器528、安全が保証されたキーパッド525、キーパッド526、セキュリティ管理527、およびインジケータ531を含む。周辺機器528の第1の出力は、アプリケーションプロセッサ520に接続され、また、周辺機器528の第2の出力は、セキュリティ管理527の入力に接続される。キーパッド526は、セキュリティ管理527の入力に接続されている。セキュリティ管理527の第1の出力は、USD 540に接続され、セキュリティ管理527の第2の出力は、アプリケーションプロセッサ520に接続され、また、セキュリティ管理527の第3の出力は、インジケータ531に接続される。安全が保証されたキーパッド525の出力は、USD 540に接続される。用語、キーパッドは、物理的キーパッドに限られない。具体的には、無制限にタッチ画面を含む任意のデータ入力機器を意味する。

MDアプリケーションプロセッサ520は、ブラウザ機能、マン/マシンインターフェース(MMI)、モデム782、midlet 785、JSR 257などの非接触通信アプリケーションプログラムインターフェース(API)およびJSR 177などのセキュリティ信頼サービスAPIを含んでいる。モデムはMDアプリケーションプロセッサ520の一部として示されているが、これは決して制限を意味するものではなく、モデムは、範囲を超えることなくMDアプリケーションプロセッサの外付けとすることができる。

SE 550は、任意選択のセキュアカードウェブサーバ(SCWS)、任意選択のSIMツールキット(STK)プロアクティブ通信機能、任意選択のMNO安全保証ドメインアプリケーション、および任意選択のその他の安全保証ドメインアプリケーション(それは、1つ以上のクレジットまたはデビットカードの安全保証ドメインを表し得る)、上述のUSD 540、およびNFC APIを含む。

NFCコントローラ560は、他のNFCデバイス(図示せず)との通信のためのピアツーピア通信インターフェース、NFCポスタ/タグ(図示せず)などのデバイスと連携して使用するための読取/書込インターフェースおよびチェックポイント510(図示せず)を併用するためのカードエミュレーションインターフェース(店頭システムで実現され得る)を含む。

ブラウザ機能は、MMIおよびSCWSと通信する。midlet 785は、モデム782、MMI、JSR 177およびJSR 257のそれぞれと通信する。JSR 257は、NFCコントローラ560と通信する。STKプロアクティブ通信機能は、モデム782と通信する。NFC APIは、NFCコントローラ560と通信する。

周辺機器528は、無制限にBluetooth受信器/送信器、GPS受信器またはMDアプリケーションプロセッサ520の外付けモデム782とすることができる。1つの実施形態では、周辺機器528は、MD 500に関するリアルタイム位置情報などの情報を与える。周辺機器528は、MDアプリケーションプロセッサ520およびセキュリティ管理527と通信する。

キーパッド526は、無制限に物理的キーパッドまたはタッチ画面またはその他の画面に現れる仮想キーパッドとすることができ、かつ、セキュリティ管理527と通信する。1つの実施形態では、示されていないが、安全が保証されたキーパッド526は、MDアプリケーションプロセッサ520と直接通信する。それは、安全対策未実施入力として一般的に利用できる。1つの実施形態では、安全が保証されたキーパッド525またはキーパッド526は、無制限に、その入力が「あなたが知っていること」または「あなたがだれであるか」認証要因要素として使用できる指紋読取器などの任意の周辺機器である。安全が保証されたキーパッド525は、SE 550と直接通信し、かつ、具体的にはUSD 540に、好ましくは図5Aに関連して上述したようにUSD制御回路620に接続される。インジケータは、無制限に、セキュリティ管理527の状態をユーザに表示するように構成されたLEDなどの視覚インジケータとすることができる。具体的には、キーパッド526がUSD 540に接続されていること、すなわちキーパッド526がセキュリティモードにあることをインジケータ531が表示しているときのみ、安全が保証されたユーザ入力が実行されるようにしている。インジケータ531は、セキュリティ管理527と通信するように示されているが、しかし、これは決して制限を意味せず、代替的実施形態では表示531はSE 550と通信する。

周辺機器528、キーパッド526および安全が保証されたキーパッド525は、すべて、IDをもつ周辺機器であり、トランザクションまたは接続認証の流れの一部とすることができるその他の有益なセキュリティ情報を入力し得る。悪意あるソフトウェアを含む恐れのあるMDプロセッサ520による修正を許容することなく、周辺機器528および/またはキーパッド526からUSD 540へ入力を送ることは、トランザクションのセキュリティを高める。上述したように、SE 550および具体的にはUSD 540は、前記周辺機器528およびキーパッド526からの改ざんされていない入力をもつ受け取った情報をMD サーバ40またはIS 30のようなサーバのみにより正常に解読され得るメッセージに暗号化するように構成される。好ましくは次の安全が保証された3つの認証要因、「あなたがもっているもの」、「あなたが知っていること」、「あなたがいる場所」から結果を得ることにより、高いセキュリティが達成される。図6B〜6Dは、安全が保証された情報を周辺機器528およびキーパッド526からSE 550へ安全な方法により送出することを含む方法の実施形態のハイレベルフローチャートである。

動作において、範囲を超えることなくハードウェアまたはソフトウェアのスイッチとして実現できるセキュリティ管理527は、キーパッド526の出力をMDアプリケーションプロセッサ520(接続532経由)およびSE 550(接続533経由)のいずれかに結合するように構成される。キーパッド526がSE 550に結合されている場合(セキュリティ管理527はセキュリティモードとして表示されている)、MDアプリケーションプロセッサ520上に常駐するキーロギングソフトウェアまたはその他の悪意あるソフトウェアは、PINまたはセキュリティ質問応答のようなユーザの知っている安全な情報のコピーまたは改ざんに失敗する。これらの情報は、SE 550に差し向けられ、MDアプリケーションプロセッサ520により見られないからである。セキュリティ管理527は、SE 550によりまたはMD アプリケーションプロセッサ520によりセキュリティモードに設定され得る(簡明を期するために接続は図示せず)。周辺機器528は、MDアプリケーションプロセッサ520と直接接続するように示されている。セキュリティ管理527がセキュリティモードに設定されている場合、周辺機器528の出力は、セキュリティ管理527によりSE 550に対し、MDアプリケーションプロセッサ520への上記直接接続と同時に与えられる。代替案では(図示せず)、周辺機器528とMDアプリケーションプロセッサ520間の直接接続は設けず、かつ、キーパッド526に関連して上述したように、セキュリティ管理527は、周辺機器528による情報出力をMDアプリケーションプロセッサ520とSE 550のいずれかに与えるように構成する。

接続532は、無制限に物理的接続ラインにより実現できる両方向接続とすることが好ましい。接続532は、セキュリティ管理527からの安全対策未実施情報(それは、無制限に、直接ユーザ入力、アスタリスクのような入力されたユーザ入力の表示またはその他の安全対策未実施情報でよい)をMDアプリケーションプロセッサ520に送る。

接続533は、無制限に物理的接続ラインにより実現できる両方向接続である。接続533は、セキュリティ管理527からの情報をSE 550に、具体的にはUSD 540に送り、それにより情報の安全が確保され、かつ、MDアプリケーションプロセッサ520の悪意あるソフトウェアに漏れないようにする。送られる情報は、無制限にキーパッド526からの直接ユーザ入力、周辺機器528により生成された情報またはその他の安全が保証された情報とすることができる。

1つの実施形態では、安全が保証されたキーパッド525は、SE 550に接続されるハードウェア入力として設けられる。かかる安全が保証されたキーパッド525は、セキュリティ管理527と無関係に、PINまたはその他のセキュリティ情報のSE 550への直接入力を可能にする。

別の実施形態では、SE 550にディスプレイ790への接続が設けられ、任意選択的にビデオオーバレイを使用する。かかる接続は、現在のトランザクションまたはSE 550の状態を、MDアプリケーションプロセッサ520による操作を受けることなく、安全にユーザに提示するために使用され得る。表示531は、さらに、SE 550の出力に対応して、表示された情報の真正性をユーザに表示するように構成し得る。

midlet機能785は、MDアプリケーションプロセッサ520上で実行されるアプリケーションに、SE 550および具体的にはUSD 540への格納およびアクセスを与えるために、IS 30との通信を制御する機能を与える。midlet 785は、無制限に任意の種類のアプリケーションまたはソフトウェア要素として実現し得る。信頼できる第三者サーバ(図示せず)およびMNOサーバ(図示せず)のそれぞれは、当業者に知られているように、それら自身のmidlet又はAPIを利用してSE 550のそれぞれの部分にアクセスするか、または単一のmidlet 785をUSD 540と共用することができる。midlet 785は、さらに、以下においてさらに説明するように、オフライン動作で使用する一定の鍵を格納する。これらの鍵は、メモリ530に格納される。midlet 785は、さらにIS 30またはMDサーバ40により使用されるハードウェア指紋(HFP)およびアプリケーション指紋(AFP)を含むクッキーも格納することが好ましい。通信に先立ち、midlet 785は、任意選択的に、さらにユーザMD 500のオンボードGPSアプリケーション(図示せず)から、または周辺機器528から読み出した現在の位置情報および上述したID1を追加することができる。

モデム782は、MDアプリケーションプロセッサ520との間の両方向無線通信および/またはSE 550からIS 30、信用できる第三者サーバ(図示せず)またはMNOサーバ(図示せず)などのサーバへのSTKプロアクティブ通信を与える。IS 30、信用できる第三者サーバおよびMNOサーバのすべてが設けられなければならないという要求条件はない。

システム周辺機器セキュリティがセキュリティ管理527により得られるので、MD 500は、既存の安全対策未実施の周辺機器528およびキーパッド526を有利に利用することができる。

図5CはユーザMD 500の代替的実施形態のハイレベルブロック図であるが、ある程度の詳細を示している。図5CのMD 500は、すべての点に関して、以下の記述を除き、図5Bと同様である。

具体的には、セキュリティ管理527は、それぞれ周辺機器528およびキーパッド526から構成される別々のコントローラとして実現される。したがって、キーパッド526および各周辺機器528に関連付けられるセキュリティ管理527は、上述のように、MDアプリケーションプロセッサ520およびSE 550のそれぞれへの出力接続を備えている。インジケータ531は、キーパッド526に接続され、それにより起動されるが、多数のキーパッド526が存在する場合には、種々のキーパッド526のいずれか1つのセキュリティ管理527により起動され得ることが好ましい。接続532は、各周辺機器528および各キーパッド526をMDアプリケーションプロセッサ520に接続するが、安全対策未実施情報のみを運ぶことが好ましい。接続533は、各周辺機器528および各キーパッド526をSE 550に接続するが、好ましくは、それぞれのセキュリティ管理527の設定に対応して安全な情報を転送する。したがって、安全は、セキュリティ管理527がセキュリティ起動設定に設定されている場合にMDアプリケーションプロセッサの入力情報へのアクセスを阻止するセキュリティ管理527の具備により確保される。セキュリティ管理527のそれぞれは、MDアプリケーションプロセッサ520により、または1つの実施形態ではSE 550により個別にセキュリティモードに設定することができる。

図5CのMD 500の設計は、既存周辺機器528およびキーパッド526を利用することができ、新しい構成要素を必要としないので、MD 500のオンボード構成要素の個数および空間に関して経済的である。既存先行技術周辺機器528およびキーパッド526の一部は、セキュリティ管理527ならびにSE 550への接続533およびMDアプリケーションプロセッサ520への接続532という二重の接続をサポートするためにアップグレードを必要とするであろう。

1つの代替的実施形態では、周辺機器528は、セキュリティ管理527の設定に関係なく、接続532経由で出力情報をMDアプリケーションプロセッサ520に与える。セキュリティ管理527は、起動されている場合、周辺機器528から出力される情報をSE 550に同時に与える。

図5DはユーザMD 500の代替的実施形態のハイレベルブロック図であるが、ある程度の詳細を示している。図5DのMD 500は、すべての点に関して、以下の記述を除き、図5Bと同様である。

具体的には、セキュリティ管理527は、安全が保証された暗号化鍵523を含み、かつ、周辺機器528、キーパッド526、MDアプリケーションプロセッサ520、インジケータ531および安全保証モード起動鍵529と通信する。キーパッド526の出力は、セキュリティ管理527がセキュリティモードに設定されている場合、安全が保証された暗号化鍵523に対応して暗号化される。セキュリティ管理527がセキュリティモードに設定されていない場合には、キーパッド526の出力は暗号化されない。同様に、周辺機器528の出力は、セキュリティ管理527がセキュリティモードに設定されている場合、安全が保証された暗号化鍵523に対応して暗号化される。セキュリティ管理527がセキュリティモードに設定されていない場合には、周辺機器528の出力は暗号化されない。任意選択的に、図示のように、周辺機器528の出力は、さらに、セキュリティ管理527の設定に関係なく、暗号化されない方法でMDアプリケーションプロセッサ520に与えられる。したがって、セキュリティ管理527がセキュリティモードにある場合、MDアプリケーションプロセッサ520は、周辺機器528から出力情報を暗号化されない方法により受け取る。これと同時に、周辺機器528からの出力情報は、セキュリティ管理527に供給される。セキュリティ管理527は与えられた情報を暗号化し、周辺機器528からの暗号化情報を、暗号化されていない情報と並列に、MDアプリケーションプロセッサ520に与える。セキュリティ管理527の出力は、MDアプリケーションプロセッサ520の入力に接続され、SE 550への接続は設けられない。暗号化のために、MDアプリケーションプロセッサ520は、受け取った入力を解読できず、受け取った入力を解読および任意選択の検証のためにSE 550、具体的にはUSD 540に転送する。SE 550への安全が保証された代替入力は、上述したように安全が保証されたキーパッド525により与えられる。

安全が保証された暗号化鍵523は、無制限に、MDサーバ40のようなサーバまたはSE 550と、または両方と同期する。セキュリティ管理527は、リプレイ攻撃から保護するために、任意選択的にクロック入力または受け取ったトークンを使用することにより時間依存の安全が保証された情報を与えるように構成することが好ましい。キーパッド526からの安全が保証された暗号化情報は、ユーザがPINコードの入力を完了したときなどの入力ステージ終了後に、MDアプリケーションプロセッサ520に送ることが好ましい。MDアプリケーションプロセッサ520は、要求されたPINの開始時にセキュリティ管理527をセキュリティモードに設定し(インジケータ531により検証される)、セキュリティ入力の終了時にセキュリティ管理527を安全対策非実施モードに設定する。代替的に、安全保証モード起動鍵529を利用してMDアプリケーションプロセッサ520を無視し、それによりユーザがMDアプリケーションプロセッサ520の状態に関係なく安全が保証された入力を強制することを可能にすることもできる。

安全保証モード起動鍵529は、さらに、無制限に図5Bおよび図5Cの実施形態に適用できる。安全保証モード起動鍵529は、設けられている場合に図5Bおよび図5Cの実施形態と連携して、図5DのMDアプリケーションプロセッサ520経由または直接のUSD 540への安全が保証されたキーパッド526安全保証情報送出を開始する。セキュリティモード起動鍵529は、さらにUSD 540への安全が保証されたキーパッド526安全情報転送を終了するように構成することが好ましい。安全保証モード起動鍵529の押し下げまたは起動は、キーパッド526からの受け取った安全が保証されたデータがセキュリティ管理527により暗号鍵523を使用して暗号化され、それにより暗号化された入力のみMDアプリケーションプロセッサ520において受け取れられることを保証する。

セキュリティ管理527によりシステム周辺セキュリティが達成されるので、MD 500は、先行技術の安全対策未実施の周辺機器528およびキーパッド526を利用することができる。さらに、MD 500は、特に安全が保証されたキーパッド525およびディスプレイデバイス790への直接接続が実現されない場合、既存SE 550の構成要素を利用することができる。SE 550のハードウェア接続は、すべての点に関して、先行技術のSE 550の設計と同様であるからである。USD 540を実現するSE 550の内部パーティション分割は、ソフトウェア設計により達成することができるので、SE 550に対するハードウェア変更は必ずしも要求されない。

図6Aは、セキュリティ管理527と連携する安全が保証されたキーパッド525およびキーパッド526などの安全が保証されたMD周辺機器と連携して安全が保証された金融トランザクションを提供するMD 500の動作の例示的実施形態のハイレベルフローチャートを示している。ステージ5000において、ディスプレイデバイス790と結合されるタッチ画面上に無制限に具現化され得る安全が保証されたキーパッド525またはキーパッド526上のユーザジェスチャに対応して、メモリ530上に格納されているmidlet 785のようなアプリケーションがMDアプリケーションプロセッサ520上で起動されて実行される。ステージ5010において、ステージ5000のアプリケーションは、安全が保証されたID1保管機能570からUSD 540経由でID1を読み出し、かつ、好ましくはユーザMD 500上で実行されるGPSアプリケーションのようなリアルタイム位置情報機能から現在の位置情報をさらに読み出す。リアルタイム位置情報が周辺機器528によりハードウェア的に有効化される1つの実施形態では、USD 540がリアルタイム位置情報を安全に読み出し、それをエンコードし、そしてそれをステージ5000のアプリケーションに与える。

1つの実施形態では、ステージ5000のアプリケーションは、それにチャレンジ情報を与えるようUSD 540に要求する。この情報は、以下においてさらに説明するように、後に応答サーバのUSD 540認証のために使用される。midlet 785は、上述したようにHFPおよびAFP情報をさらに読み出し、1つの実施形態ではモデム782経由でMDサーバ40に接続し、次に読み出したデータ、すなわちHFP、AFP、ID1、チャレンジおよび位置情報を含むトランザクション要求を送る。HFP情報が周辺機器528によりハードウェア的に有効化され、かつ、その安全がセキュリティ管理527との連携により確保される1つの実施形態では、USD 540は、HFP情報を安全に読み出し、それをMD伝送のためにエンコードし、次にそれをステージ5000のアプリケーションに与える。ローカルクッキーに格納されているその他の情報もさらに供給される。別の実施形態では、無制限に、上述のmidlet 785がモデム782経由でIS 30に接続する。midlet 785とMDサーバ40間のすべての通信が暗号化され、さらに、USD 540とMDサーバ40間のすべての通信または情報交換がmidlet 785により使用されたものと異なる鍵により暗号化され、それによりmidlet 785に対して通信が秘密にされることが好ましい。

ステージ5020において、MDサーバ40は、midlet 785にモデム782経由でMPRN2要求を伝送する。チャレンジ要求がSE 550により送られた1つの実施形態では、MPRN2要求は、さらにチャレンジ応答を含む。MPRN2要求は、midlet 785によりSE 550に送られる。

ステージ5030において、SE 550、具体的にはUSD 540は、具体的にはチャレンジ応答の妥当性を確認することにより、受け取ったデータの妥当性を確認する。任意選択的に、制御620は、安全が保証されたID2 PRN生成機能580と通信し、かつ、その要求のデコードおよび妥当性確認をエンコーダ/デコーダ機能640経由で行う。受け取った要求の正常な妥当性確認は、MDサーバ40がUSD 540のSE 550内での動作の許可を、具体的にはUSD制御回路620から取得することを可能にする。かかる許可は、midlet 785の許可とは異なり得る。MDサーバ40の信頼度は、一般的により高いからである。要求の妥当性確認に対応して、MD関連ID2 PRN生成機能586がMPRN2を生成する。生成されたMPRN2は、SE 550によりmidlet 785に送られ、かつ、好ましくはモデム782経由でMDサーバ40に伝送される。

ステージ5040において、ステージ5030の受け取られたMPRN2は妥当性確認され、妥当性確認された受け取られたMPRN2に対応して、MDサーバ40は、midlet 785にPPRN2要求を送る。受け取られたPPRN2要求は、midlet 785によりUSD 540および安全が保証されたID3 PRN生成機能590に転送される。PINの要求は、さらにディスプレイデバイス790上に表示される。任意選択的に、ユーザのカーソルがPIN入力位置にある場合、セキュリティ管理527は、キーパッド526から受け取った入力をSE 550に差し向けるように切り換えられる。好ましくは、インジケータ531を起動してキーパッド526における入力が安全が保証された入力モードにあることをユーザに表示する。1つの実施形態では、PIN妥当性確認の代わりに顔認識用カメラまたは指紋読取器などの非キーパッド入力構成要素をユーザの妥当性確認のために使用する。別の実施形態では、非キーパッド入力構成要素を周辺機器528として設ける。

ステージ5050において、キーパッド526または安全が保証されたキーパッド525経由のPINのユーザ入力に対応して、無制限に、入力されたPINは、SE 550のUSD 540、具体的には検証機能650および安全が保証されたID3 PRN生成機能590に与えられる。セキュリティ管理527がハードウェア的に有効化されない実施形態では、midlet 785が、入力されたPINをSE 550に与えるが、これは、キーロガー不正プログラムによるユーザパスワードの取得を可能とすることによりセキュリティレベルの低下という不利な結果を招くことがある。安全が保証されたID3 PRN生成機能590は、1つの実施形態では、受け取ったPINを検証できるように構成するためにPVVを与えられ、また、別の実施形態では、安全が保証されたID3 PRN生成機能590は、USD制御回路620と通信し、そのUSD制御回路620は検証機能650と連携してPIN検証を行う。PINが検証されたとき、MD関連ID3 PRN生成機能596は、PPRN2を生成する。安全保証モードインジケータ531がステージ5040において起動されていた場合、それは停止される。生成されたPPRN2は、SE 550によりmidlet 785に送られ、midlet 785は受け取ったPPRN2をモデム782経由でMDサーバ40に送る。セキュリティ管理527が設けられているが、起動されていない場合、キーパッド526の出力は、非安全保証モードでMDアプリケーションプロセッサ520にリダイレクトされる。

「あなたがもっているもの」、「あなたが知っていること」および「あなたがいる場所」が与えられたステージ5010、5030および5050の各通信に対応して、MDサーバ40はユーザMD 500の有効性を強力に検証したことに注意する。ユーザMD 500は、ステージ5020の受け取ったチャレンジ応答に対応しMDサーバ40をさらに検証した。1つの実施形態では、上述のようにMD 500とIS 30間の、手動での妥当性確認が行われる。

ステージ5060において、midlet 785は、アイドルモードにあり、MDサーバ40から伝送されるトランザクションを待機している。

ステージ5070において、MDサーバ40は、好ましくはUSD 540のための暗号化されたトランザクション詳細および任意選択の暗号化鍵を含むトランザクション詳細をmidlet 785に与える。midlet 785解読可能トランザクション詳細がさらに与えられる。1つの実施形態では、ユーザのジェスチャまたはキーパッド526上の入力に対応して、ユーザは、行われるべき特定のトランザクションをmidlet 785により用意される選択対象(任意選択的にディスプレイデバイス790上に表示される)から選択する。

ステージ5080において、midlet 785は、好ましくは暗号化されたトランザクション詳細および任意選択的に暗号化された鍵をUSD 540に与える。それは、続いて、好ましくはメモリ630に格納されているナレッジベースチャレンジ質問または暗証番号を無制限に要求することができる。上述したように、MDサーバ40により供給される暗号化鍵は、midlet 785上で利用できる暗号化鍵と同じである必要はないことに注意するべきである。

ステージ5090において、USD 540は、拡張許可表示として働く受け取った暗号化鍵および受け取った暗号化トランザクション詳細を、任意選択的にエンコーダ/デコーダ機能640経由で妥当性確認する。要求された場合、USD 540は、1つ以上のナレッジベース質問をメモリ630からmidlet 785に与える。ステージ5100において、midlet 785は、受け取った1つ以上のナレッジベース質問をディスプレイデバイス790上に表示し、トランザクションを完了するために必要な場合、不足情報をさらに要求する。完全なトランザクション詳細がMDサーバ40により既に提供されていた場合、トランザクション情報はユーザに要求されず、受け取られたトランザクション上のユーザ署名として利用されるナレッジベース質問のみ要求される。1つの実施形態では、USD 540は、1つ以上のナレッジベース質問をディスプレイデバイス790上に表示し、かつ、受け取ったトランザクション情報を表示するか、またはトランザクションの金額に関する情報および特定の口座情報をさらに要求する。ユーザは、要求された情報を好ましくは安全が保証されたキーパッド526または安全が保証されたキーパッド525を使用して入力する。任意選択的に、ユーザのカーソルがナレッジベース回答入力位置にある場合、セキュリティ管理527は、安全が保証されたキーパッド526から受け取った入力をSE 550に差し向けるように切り換えられる。ユーザのカーソルがナレッジベース回答入力位置にあるとき、インジケータ531は起動されてユーザに安全が保証され入力モードの状態を表示し、かつ、ユーザがナレッジベース回答の入力を終了したときに停止することが好ましい。ナレッジベースチャレンジ質問に対するユーザ回答は、ディスプレイデバイス790上にエコー表示しないか、またはアスタリスクまたはその他のコードに置換することが好ましい。

ステージ5110において、キーパッド526のようなユーザ入力機器経由のユーザ入力に対応して、トランザクション詳細に関する任意選択のユーザ回答が暗号化のためにUSD 540に転送され、かつ、任意選択的にナレッジベースチャレンジ質問に対するユーザ回答が検証のためにUSD 540に転送される。

ステージ5120において、制御620および検証機能650は、ステージ5100および5110において受け取ったナレッジベース質問回答をメモリ630に格納されている情報に対応して妥当性確認するように構成される。制御620は、さらに、正常完了妥当性確認に対応して、ステージ5110またはステージ5080において受け取ったトランザクション詳細を含むトランザクション確認(好ましくはエンコーダ/デコーダ640と連携して暗号化した)を生成するように構成される。デジタル署名機能660との連携により、このメッセージ全体がデジタル的に署名されることが好ましい。

ステージ5130において、ステージ5120の好ましくはデジタル的に署名されたトランザクション確認がUSD 540によりmidlet 785に送られ、そのmidlet 785はトランザクション確認をMDサーバ40に伝送する。ステージ5140において、MDサーバ40は、ステージ5120の好ましくはデジタル的に署名されている受け取ったトランザクションの妥当性を確認し、かつ、正常に妥当性が確認された場合に、任意選択として必要に応じてIS 30およびその他のサービスプロバイダを使用して金融トランザクションを実行する。任意選択的に、確認メッセージがディスプレイデバイス790上に表示されるためにmidlet 785に転送される。したがって、図6Aの方法は、MDサーバ40とUSD 540間の相互の妥当性確認により金融トランザクションのための高いセキュリティを与える。確認メッセージは、任意選択的にmidlet 785によりUSD 540に転送され得る。

図6Bは、セキュリティ管理527に対応してセキュリティを強化する図5B〜5CのMD 500の第1の方法のハイレベルフローチャートを示している。ステージ5300において、MDアプリケーションプロセッサ520上で実行されるmidlet 785のようなアプリケーションは、セキュリティ管理527をセキュリティモードに設定する。図示の実施形態では、セキュリティ管理527はUSD 540に対応するが、これは、決して限定を意味するものではない。セキュリティ管理527をセキュリティモードに設定すると、セキュリティ管理527が切り換わり、キーパッド526に入力されたデータは通信チャネル533経由でUSD 540に渡され、かつ、好ましくは、キーパッド526に入力されたデータが通信チャネル532を経由してMDアプリケーションプロセッサ520に到達することを阻止する。入力されるデータは、金融金額、口座番号またはセキュリティ情報を無制限に含み得る。インジケータ531は安全モードの視覚的表示を与えるように設定される。

ステージ5310において、USD 540は、MDアプリケーションプロセッサ520に対し金額および口座番号の要求をディスプレイデバイス790に表示することによりそれらを要求するよう促す。代替案として、MDアプリケーションプロセッサ520は、トランザクションフォームをディスプレイデバイス790上に表示する。代替案として、上述したように、一部の実施形態では、要求の表示を可能にするためにUSD 540またはSE 550の別の部分にディスプレイデバイス790への直接入力を設ける。

ステージ5320において、キーパッド526において受け取った入力をUSD 540に渡す。1つの実施形態では、キーパッド526において受け取った入力データは、USD 540に直接渡されるが、別の実施形態では、この入力データは鍵523により暗号化され、MDアプリケーションプロセッサ520は、このように暗号化されたデータを処理のためにUSD 540に渡すように構成される。USD 540は、ディスプレイ790上にデータ入力、金額および口座番号をエコー表示する。代替案として、MDアプリケーションプロセッサ520は、アスタリスク表示のような入力に対する視覚フィードバックを表示する。受け取られたデータは、USD 540により暗号化される。ステージ5330において、キーパッド526経由の入力データは、任意選択的に検証され、かつ、暗号化された金額および口座番号がmidlet 785またはその他のアプリケーションに転送される。midlet 785は上述のアプリケーション62のより詳細な記述であるが、これは決して限定する意味ではないことに注意するべきである。

ステージ5340において、midlet 785は、USD制御回路620経由でセキュリティ管理527を設定して周辺機器528からの情報を暗号化のためにUSD 540に渡す。どのような範囲の周辺機器528もサポートされるが、この方法は、分かりやすくするために、特にGPS受信器のようなリアルタイム位置決め装置に関して説明する。ステージ5350において、ステージ5340に対応して、周辺機器528からのGPSデータは、USD 540に直接転送され、また、これと並列してMDアプリケーションプロセッサ520に渡され、midlet 785により受け取られる。ステージ5360において、受け取られたデータは、USD 540によりエンコーダ/デコーダ機能640に対応して暗号化され、この暗号化されたデータがmidlet 785に転送される。

ステージ5370において、midlet 785は、さらにセキュリティ管理527を設定してキーパッド526から受け取った入力をUSD 540に渡し、かつ、その入力をMDアプリケーションプロセッサ520に与えない。インジケータ531が起動されて視覚表示を提供する。かかるモードでは、PIN情報は、USD 540に直接渡される。代替案では、上述したように、キーパッド526から受け取られた入力は、midlet 785により受け取られ、鍵523に対応して暗号化され、この暗号化されたデータがmidlet 785によりUSD 540に渡される。midlet 785は、USD 540に対しPIN情報を検証するようさらに指示する。

ステージ5380において、midlet 785は、ユーザPINの要求をディスプレイ790に出力する。ステージ5370と5380の順序は交換可能であり、かつ、両方ともステージ5390のユーザPIN入力の前に行うことが好ましい。ステージ5390において、ユーザ入力またはジェスチャに対応してユーザPINがUSD 540において受け取られる。USD 540は、好ましくは、受け取った各入力鍵に対応してアスタリスクのようなダミー文字をディスプレイ790にmidlet 785経由で送り返す。

ステージ5400において、PINなどの安全な情報の入力の完了後、USD 540は、セキュリティ管理527を非セキュリティモードに設定し、したがってインジケータ531を停止する。ステージ5410において、USD 540は、受け取った情報を好ましくは検証機能650と連携して検証し、かつ、受け取ったPINなどの情報の妥当性が確認された場合、確認をmidlet 785に返す。

図6Cは、図5DのMD 500の第2の方法のハイレベルフローチャートを示している。これは、特に図5Dの実施形態に関して説明したセキュリティ管理527に対応してセキュリティを強化する。ステージ6200において、アプリケーション62、すなわちmidlet 785は、キーパッドおよび周辺機器からの安全保証モード情報読み取りが必要であると決定する。これは、主としてこのアプリケーションの当該ステージのセキュリティ設定の機能であり、したがって、受け取ったパラメータに対応してmidlet 785の初期プログラミングにより設定される。

ステージ6210において、midlet 785は、セキュリティ管理527を設定してキーパッド526上で受け取られた入力を鍵523に対応して暗号化して渡す。好ましくはインジケータ531を起動する。ステージ6220において、ユーザPINの要求がディスプレイ790上に表示され、それによりユーザにキーパッド526経由の入力を促す。ステージ6230において、キーパッド526上のユーザ入力に対応して、受け取った各入力に対しアスタリスクなどのダミー鍵情報がディスプレイ790上に視覚フィードバックとして表示される。セキュリティ管理527は、入力されたデータキーストロークをローカルメモリに格納する。ステージ6240において、入力の完了がセキュリティ管理527により、代替案ではmidlet 785により検出される。セキュリティ管理527は、受け取ったデータを安全が保証された鍵523に対応して暗号化し、その暗号化したデータをmidlet 785に送るように構成されている。

ステージ6250において、インジケータ531が好ましくはセキュリティ管理527により停止される。任意選択のステージ6260において、midlet 785は、暗号化されたPINまたはその他のセキュリティデータを解読および妥当性確認のためにIS 30またはMDサーバ40またはUSD 540に送る。

したがって、midlet 785は、暗号化されていないPINまたはその他のセキュリティ情報を一切受け取らず、よって不正ソフトウェアは不正なトランザクションに参加することができない。

図6Dは、図5DのMD 500の第3の方法のハイレベルフローチャートを示している。これは、特に周辺機器528に関してセキュリティ管理527に対応してセキュリティを強化する。ステージ6270において、midlet 785またはアプリケーション62は、セキュリティ管理527を設定して周辺機器528からのデータのセキュリティを与える。周辺機器528からのデータは、非暗号化フォーマットでMDアプリケーションプロセッサ520により受け取られる。同時に、セキュリティ管理527は、周辺機器528から受け取ったデータフローを安全が保証された鍵523に対応して暗号化し、その暗号化したデータをmidlet 785に送る。代替案では、図5Bおよび5Cの実施形態に関連して上述したように、USD 540は、セキュリティ管理527がアクティブであるとき周辺機器528からのデータを暗号化し、以下において述べるようにその暗号化されたデータをmidlet 785に送出から与えることができる。USD 540による暗号化は、好ましくは、上述のようにエンコーダ/デコーダ機能640により行われる。

ステージ6280において、周辺機器528からの暗号化データは、安全が保証された鍵523を用いてエンコードされるので、強化されたセキュリティをもち、「信頼できるデータ」である。midlet 785は、したがって周辺機器520からの暗号化されたデータを位置検証のためにIS 30またはMDサーバ40またはUSD 540に送り得る。

図6Eは、セキュリティ管理527に対応してセキュリティを強化する図5DのMD 500の第4の方法のハイレベルフローチャートを示している。ステージ6300において、アプリケーション62またはmidlet 785は、セキュリティ管理527を設定してキーパッド入力を暗号化方法により通過させる一方、同時にそのキーパッド入力をMD画面790に表示する。かかる設定は、金額および口座番号の入力について好ましい。それは、ユーザがデータ入力を視覚的に検証することを可能にしつつ、詐欺師として知られている詐欺ソフトウェアのようなデータを操作する不正なソフトウェア攻撃に対してセキュリティを維持するからである。インジケータ531が起動され、モードの視覚的表示をユーザに与える。

ステージ6310において、midlet 785は、金額または口座番号の要求をディスプレイ790上に表示することによりユーザからの安全が保証された入力を要求する。ステージ6320において、キーパッド526経由で受け取られたユーザ入力はディスプレイ790上に表示され、したがってユーザはデータ入力を視覚的に検証することができる。同時にこのユーザ入力は、セキュリティ管理527のローカルメモリに格納される。入力が完了した後に、セキュリティ管理527がキーパッド526から受け取ったデータを安全が保証された鍵523に対応して暗号化し、その暗号化されたデータをmidlet 785に送ることが好ましい。代替案として、範囲を超えることなく、個々のキーストロークを暗号化してmidlet 785に送ることもできる。

ステージ6330において、キーパッド526から受け取られた暗号化データは、安全が保証された鍵530を用いてエンコードされているので、強化されたセキュリティをもつ「信頼できるデータ」である。したがって、midlet 785は、周辺機器528からの暗号化データを妥当性確認のためにIS 30、MDサーバ40、またはUSD 540に送ることができる。

図7Aは、USD 540と連携してたとえばホテルの客室に入室するためのデジタル鍵の安全が保証された受領および保管を提供するmidlet 785の動作のハイレベルフローチャートを示す。ステージ6500において、暗号化されたアクセス鍵がユーザMD 500に伝送される。暗号化されたアクセス鍵は、eメール、SMSによりまたはMDサーバ40またはIS 30からの無線送信により送ることができる。ステージ6510において、midlet 785は、PINを要求する。midlet 785は、ユーザに対しナレッジベース質問を要求することができる。このナレッジベース質問は、USD 540のメモリ630から読み出すことができる。上述したように、PINおよびナレッジベース質問に対する回答は、好ましくはディスプレイデバイス790上にエコー表示されない。ステージ6520において、受け取られたPINおよび1つ以上のナレッジベース質問に対する回答は、USD 540、具体的には検証機能650により妥当性確認される。PINおよびナレッジベース質問の妥当性確認に応答して、ステージ6530において、鍵がダウンロードされ、エンコーダ/デコーダ機能640によりエンコードされ、エンコードされたフォーマットでメモリ530に格納される。

別の実施形態では、PINおよびナレッジベース質問の妥当性確認に応答して、鍵がUSD 540にダウンロードされ、エンコーダ/デコーダ機能640によりエンコードされ、midlet 785のようなMDアプリケーションに送られ、そしてそれによりエンコードされたフォーマットでメモリ530上に格納される。

図7Bは、USD 540と連携してたとえばホテルの客室に入室するためのデジタル鍵の安全が保証された読み出しおよびデコードを提供するmidlet 785の動作のハイレベルフローチャートを示す。ステージ6700において、midlet 785の財布アプリケーションがアクセスされる。ステージ6710において、格納された鍵の読み出しがステージ6700の財布アプリケーション中の利用可能なサービスのメニューから選択され、かつ、具体的には要望された鍵が選択される。

ステージ6720において、PINがユーザに対して要求され、midlet 785からの要求に対応してUSD 540により検証される。好ましくは、上述したように、PINは、検証機能650と連携して検証される。また、ユーザに要求したナレッジベース質問は、検証機能650により検証され得る。ステージ6730において、検証されたPINおよび検証されたナレッジベース質問に対応して、midlet 785は、暗号化鍵をそのデコードおよびNFCコントローラ560への出力指示とともにUSD 540に送る。この鍵は、エンコーダ/デコーダ機能640と連携してデコードされ、このデコードされた鍵がNFCコントローラ560に出力される。NFCコントローラ560が該当ドアまたはチェックポイント510などのその他のチェックポイントのNFCデバイスと並置されたとき、ドアの機構が受け取られてデコードされた鍵に対応して開く。

上記は、ドアアクセスに関して説明したが、これは、決して限定を意味するものではなく、同様な機能はどのような制御デバイスについて利用できる。

図7Cは、USD 540と連携して公共輸送機関などに関するアクセス管理のためのチケットの安全が保証された保管を提供するするmidlet 785の動作のハイレベルフローチャートを示す。ステージ6800において、midlet 785が起動され、設定されてNFCコントローラ560経由でチケットを読み出し、格納し、かつ提示する。任意選択的に、PINが与えられ、かつ、USD 540により、具体的には上述したように検証機能650により検証される。ステージ6810において、チケットが自動販売機などから購入され、購入されたチケットが自動販売機のチェックポイント510と並置されたときに、NFCコントローラ560により受け取られる。ステージ6820において、購入されたチケットは、エンコーダ/デコーダ機能640により暗号化され、midlet 785に保管のために渡され、暗号化されたチケットがそのメモリ530に格納される。別の実施形態では、チケットは自動販売機により暗号化され、自動販売機のチェックポイント510に並置されたときNFCコントローラ560により受け取られる。

ステージ6830において、midlet 785の財布アプリケーションがアクセスされ、かつ、ステージ6840においてチケットアクセスが選択される。ステージ6850において、midlet 785は、ユーザに対するナレッジベース質問の一例であるPINを要求する。他のナレッジベース質問を追加すること、あるいはそれをPIN要求に代えることができる。また、PINに対する回答は、ディスプレイデバイス790にエコー表示しないことが好ましい。受け取られたPINは、USD 540により妥当性確認される。具体的には、受け取られたPINは、検証機能650により妥当性確認される。PINの妥当性確認に対応して、暗号化鍵が任意選択的にメモリ530から読み出され、エンコーダ/デコーダ機能鍵640と連携して解読され、解読された鍵がNFCコントローラ560に出力される。NFCコントローラ560が発券ゲートのような該当アクセスデバイスのNFCデバイスに並置されたとき、ゲートが開いて受け取られ解読された鍵へのアクセスを許容する。

高く評価されることであるが、明確を期するために別々の実施形態を用いて記述された本発明の一定の特徴は単一の実施形態において組み合わせて実現することもできる。反対に、明確を期するために単一の実施形態を用いて記述された本発明の種々の特徴は、別々に、または任意の適切な部分的組み合わせとして実現することもできる。

別段の定義がなされていない限り、本出願において使用された技術的および科学的用語は、この発明の属する技術における当業者により一般的に理解されるものと同じ意味を持っている。本発明の実施または試験において、本出願において記述されたものと類似または等価の方法を使用することができるが、本出願においては適切な方法について説明した。

本出願において言及されたすべての刊行物、特許出願、特許、およびその他の参考文献は、参照により本出願に全面的に含まれる。矛盾する場合、定義を含む特許明細書が優先する。さらに、材料、方法、および例はもっぱら説明のためであり、限定を意図していない。

本出願において使用された用語、「含む」、「包含する」および「もつ」ならびにその活用形は、「含むが必ずしもそれに限られない」を意味する。用語、「接続される」は直接接続に限定されず、かつ、具体的に言うと中間デバイス経由の接続を含む。

本発明は、本出願において具体的に図示され、かつ、説明された内容に限定されないことが当業者により正しく評価されるであろう。むしろ、本発明の範囲は、添付請求項により定義され、かつ、上述された種々の特徴の組み合わせと部分的組み合わせの両方および前記記述を読了した当業者に着想されるそれらのバリエーションおよび変更を含む。

Claims (28)

  1. ユーザセキュリティドメインを持つセキュアエレメントにおいて、前記ユーザセキュリティドメインは、
    セキュリティドメイン制御回路と、
    前記セキュリティドメイン制御回路に対応するエンコーダ/デコーダ機能と、
    前記セキュリティドメイン制御回路と通信する安全が保証された鍵保管庫と、
    を含み、
    前記エンコーダ/デコーダ機能は、
    前記安全が保証された鍵保管庫に格納されている少なくとも1つの第1鍵に対応してデータをエンコードし、エンコードデータを出力すること、および
    前記安全が保証された鍵保管庫に格納されている少なくとも1つの第2鍵に対応して受け取ったデータをデコードし、デコードデータを出力すること
    を行うように構成される
    セキュアエレメント。
  2. 前記セキュリティドメイン制御回路と通信するメモリをさらに含み、前記エンコーダ/デコーダ機能は前記セキュリティドメイン制御回路に対応した前記メモリ上に前記エンコードデータを格納するように構成される、請求項1に記載のセキュアエレメント。
  3. 前記エンコーダ/デコーダ機能は、前記出力エンコードデータを前記受け取ったデータとして、前記セキュリティドメイン制御回路に対応した前記メモリから読み出すように構成される、請求項2に記載のセキュアエレメント。
  4. 前記ユーザセキュリティドメインは前記セキュリティドメイン制御回路に対応するファイヤーウォール機能をさらに含み、前記ファイヤーウォール機能はデータをカプセル化するように構成される、請求項1に記載のセキュアエレメント。
  5. 前記ユーザセキュリティドメインは前記セキュリティドメイン制御回路に対応するファイヤーウォール機能をさらに含み、前記ファイヤーウォール機能は近距離無線通信機器から受け取ったデータをカプセル化し、前記カプセル化したデータをモバイル機器プロセッサに送るように構成される、請求項1に記載のセキュアエレメント。
  6. 前記ユーザセキュリティドメインは前記セキュリティドメイン制御回路に対応する検証機能をさらに含み、前記検証機能は少なくとも1つの検証暗証番号を検証し、その検証に対応する状態の検証信号を出力するように構成される、請求項1に記載のセキュアエレメント。
  7. 前記検証機能と通信するメモリをさらに含み、前記メモリはPIN検証値の保管庫として構成されるものであり、
    前記検証暗証番号がPINである場合、前記検証機能はPIN検証値に対応してPINを検証するように構成される、請求項6に記載のセキュアエレメント。
  8. 前記検証機能は前記安全が保証された鍵保管庫と通信し、前記検証暗証番号は前記安全が保証された鍵保管庫に格納されている少なくとも1つの第3鍵と連携して検証される、請求項6または7に記載のセキュアエレメント。
  9. 前記ユーザセキュリティドメインは、前記セキュリティドメイン制御回路に対応し、かつ、前記安全の保証された鍵保管庫と通信するデジタル署名機能をさらに含み、前記デジタル署名機能は、
    データを受け取り、
    前記安全が保証された鍵保管庫に格納されている少なくとも1つの第4鍵に対応してデジタル的に署名してその受け取ったデータを返すように構成される、請求項1に記載のセキュアエレメント。
  10. 前記ユーザセキュリティドメインは、
    安全が保証された第1識別子保管機能と、
    第1疑似乱数生成機能と連携してエンコードされた第2識別子を出力するように構成される、安全が保証された第2識別子と、
    をさらに含む、請求項1に記載のセキュアエレメント。
  11. 前記安全が保証された第2識別子は別々にエンコードされた第2識別子をモバイル機器プロセッサおよび近距離無線通信コントローラのそれぞれに出力するように構成される、請求項10に記載のセキュアエレメント。
  12. 前記安全が保証された第2識別子は前記安全が保証された鍵保管庫と通信し、前記第2識別子は前記第1疑似乱数生成機能と連携し前記安全が保証された鍵保管庫に格納されている少なくとも1つの第4鍵に対応してエンコードされる、請求項10または11のいずれか一項に記載のセキュアエレメント。
  13. 安全が保証された第3識別子をさらに含み、前記識別子は第2疑似乱数生成機能と連携してエンコードされた第3識別子を出力するように構成される、請求項10に記載のセキュアエレメント。
  14. 前記安全が保証された第3識別子は別々にエンコードされた第3識別子をモバイル機器プロセッサおよび近距離無線通信コントローラのそれぞれに出力するように構成される、請求項13に記載のセキュアエレメント。
  15. 前記安全が保証された第3識別子は前記安全が保証された鍵保管庫と通信し、前記第3識別子は前記第2疑似乱数生成機能と連携し前記安全が保証された鍵保管庫に格納されている少なくとも1つの第5鍵に対応してエンコードされる、請求項13または14のいずれか一項に記載のセキュアエレメント。
  16. モバイル機器プロセッサと、
    データ入力機器と、
    ユーザセキュリティドメインを持ち、前記モバイル機器プロセッサと通信するセキュアエレメントと、
    第1モードにおいて前記データ入力機器からの情報を前記モバイル機器プロセッサに提供し、第2モードにおいて前記データ入力機器からの情報を前記ユーザセキュリティドメインに提供するように構成されるセキュリティ管理と、
    を含むモバイル機器。
  17. 前記セキュリティ管理は、前記第1モードにおいて前記データ入力機器からの情報を前記モバイル機器プロセッサに差し向け、前記第2モードにおいて前記データ入力機器からの前記情報をセキュアエレメントに差し向けるように切り換え可能に構成される、請求項16に記載のモバイル機器。
  18. 前記セキュリティ管理は、安全が保証された暗号化鍵を含み、前記セキュリティ管理は前記第1モードにおいて前記データ入力機器からの情報を前記モバイル機器プロセッサに非暗号化形態で渡すように構成され、また、前記第2モードにおいて前記セキュリティ管理は前記データ入力機器からの情報を前記モバイル機器プロセッサに暗号化形態で渡すように構成され、前記のモバイル機器プロセッサは前記暗号化情報を前記ユーザセキュリティドメインに送るように構成される、請求項16に記載のモバイル機器。
  19. 周辺機器をさらに含み、前記セキュリティ管理は、前記第1モードにおいて前記周辺機器からの情報を前記モバイル機器プロセッサに提供し、第2モードにおいて前記周辺機器からの情報を前記セキュアエレメントに提供するように構成される、請求項16に記載のモバイル機器。
  20. 前記モバイル機器プロセッサと通信する周辺機器をさらに含み、前記セキュリティ管理は前記第2モードにおいて、
    前記周辺機器からの情報を暗号化することと、
    前記暗号化された前記周辺機器からの情報を前記モバイル機器プロセッサに提供することと、
    を行うように構成される、
    請求項16に記載のモバイル機器。
  21. 前記セキュリティ管理が前記第2モードにあるときに、表示するためのインジケータをさらに含む、請求項16に記載のモバイル機器。
  22. 前記セキュアエレメントと通信し、かつ、前記モバイル機器プロセッサと通信しない安全なキーパッドをさらに含む、請求項16に記載のモバイル機器。
  23. 前記セキュアエレメントの前記ユーザセキュリティドメインは、
    セキュリティドメイン制御回路と、
    前記セキュリティドメイン制御回路に対応するエンコーダ/デコーダ機能と、
    前記セキュリティドメイン制御回路と通信する安全が保証された鍵保管庫と、
    を含む、請求項16に記載のモバイル機器。
  24. 前記セキュアエレメントの前記ユーザセキュリティドメインは、
    セキュリティドメイン制御回路と
    前記第2モードにおいて前記データ入力機器から受け取った検証暗証番号を検証し、前記検証に対応する状態の検証信号を前記セキュリティドメイン制御回路に出力するように構成される、前記セキュリティドメイン制御回路に対応する検証機能と、
    を含む、請求項16に記載のモバイル機器。
  25. モバイル機器プロセッサと、
    前記モバイル機器プロセッサと通信するセキュアエレメントと、
    前記モバイル機器プロセッサおよび前記セキュアエレメントと通信するセキュリティ管理と、
    前記セキュリティ管理と通信するデータ入力機器と、
    を含み、
    前記セキュリティ管理は、第1モードにおいて前記データ入力機器からの情報を前記モバイル機器プロセッサに提供し、第2モードにおいて情報を前記セキュアエレメントに提供するように構成され、
    前記セキュアエレメントは、前記提供された情報を暗号化し、前記暗号化された情報を前記モバイル機器プロセッサに提供するように構成される、モバイル機器。
  26. 前記モバイル機器プロセッサおよび前記セキュリティ管理と通信する周辺機器をさらに含み、前記周辺機器からの情報は前記モバイル機器プロセッサおよび前記セキュリティ管理に同時に送られる、請求項25に記載のモバイル機器。
  27. 前記セキュリティ管理は、前記周辺機器からの前記情報を暗号化し、前記暗号化された前記周辺機器からの前記情報を前記モバイル機器プロセッサに提供するようにさらに構成される、請求項26に記載のモバイル機器。
  28. 前記モバイル機器プロセッサは、前記提供された前記周辺機器からの暗号化情報をこのモバイル機器と通信するリモートサーバに伝送するように構成される、請求項27に記載のモバイル機器。
JP2014527810A 2011-08-31 2012-08-26 モバイル機器経由の安全なトランザクション処理のシステムおよび方法 Pending JP2014529964A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
US201161529258P true 2011-08-31 2011-08-31
US61/529,258 2011-08-31
US201161566660P true 2011-12-04 2011-12-04
US61/566,660 2011-12-04

Publications (1)

Publication Number Publication Date
JP2014529964A true JP2014529964A (ja) 2014-11-13

Family

ID=47080762

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014527810A Pending JP2014529964A (ja) 2011-08-31 2012-08-26 モバイル機器経由の安全なトランザクション処理のシステムおよび方法

Country Status (6)

Country Link
US (1) US9886688B2 (ja)
EP (1) EP2751756A1 (ja)
JP (1) JP2014529964A (ja)
AU (1) AU2012303620B2 (ja)
CA (1) CA2883318A1 (ja)
WO (1) WO2013030832A1 (ja)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9576119B2 (en) 2008-12-26 2017-02-21 Facebook, Inc. Preventing phishing attacks based on reputation of user locations
EP2710540A1 (en) 2011-05-17 2014-03-26 Accells Technologies (2009) Ltd. System and method for performing a secure transaction
CA2883318A1 (en) 2011-08-31 2013-03-07 Ping Identity Corporation System and method for secure transaction process via mobile device
US8819428B2 (en) * 2011-10-21 2014-08-26 Ebay Inc. Point of sale (POS) personal identification number (PIN) security
US8346672B1 (en) * 2012-04-10 2013-01-01 Accells Technologies (2009), Ltd. System and method for secure transaction process via mobile device
US9578499B2 (en) * 2012-08-21 2017-02-21 Facebook, Inc. Authenticating user sessions based on information obtained from mobile devices
US8983543B2 (en) * 2012-09-12 2015-03-17 Li Li Methods and apparatus for managing data within a secure element
DE102013201027A1 (de) * 2013-01-23 2014-07-24 Bundesdruckerei Gmbh Verfahren zur Authentisierung eines Nutzers gegenüber einem Automat
EP3011713B1 (en) * 2013-06-20 2018-05-16 CensorNet A/S Method and system protecting against identity theft or replication abuse
US20150006385A1 (en) * 2013-06-28 2015-01-01 Tejas Arvindbhai Shah Express transactions on a mobile device
US10453041B1 (en) * 2013-08-06 2019-10-22 Patricia A. Walker Automated banking machine system that operates to make cash available to a mobile device user
US9160729B2 (en) * 2013-08-20 2015-10-13 Paypal, Inc. Systems and methods for location-based device security
CA2921718C (en) * 2013-10-22 2019-02-26 Accenture Global Services Limited Facilitating secure transactions using a contactless interface
CA2869233A1 (en) * 2013-11-01 2015-05-01 Blair LIVINGSTON System and method for distribution and consumption of content
SG2014008932A (en) * 2014-02-06 2015-09-29 Mastercard Asia Pacific Pte Ltd A method and a corresponding proxy server, system, computer-readable storage medium and computer program
US9860241B2 (en) * 2014-04-15 2018-01-02 Level 3 Communications, Llc Device registration, authentication, and authorization system and method
EP2940619B1 (en) * 2014-04-28 2017-08-02 Alcatel Lucent Access control with authentication
US9324065B2 (en) 2014-06-11 2016-04-26 Square, Inc. Determining languages for a multilingual interface
US10496975B2 (en) * 2014-07-23 2019-12-03 Square, Inc. Point of sale system with secure and unsecure modes
US20160078581A1 (en) * 2014-09-16 2016-03-17 The Government of the United States of America, as Represented by the Secretary, Department of Homel Mobile customs declaration system and method
US9746938B2 (en) * 2014-12-15 2017-08-29 At&T Intellectual Property I, L.P. Exclusive view keyboard system and method
US10250594B2 (en) 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
GB201506135D0 (en) * 2015-04-10 2015-05-27 Mastercard International Inc Vending machine transactions
US9781105B2 (en) 2015-05-04 2017-10-03 Ping Identity Corporation Fallback identity authentication techniques
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10164971B2 (en) * 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
US10257205B2 (en) 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
WO2017070412A1 (en) 2015-10-23 2017-04-27 Oracle International Corporation Password-less authentication for access management
US10313351B2 (en) 2016-02-22 2019-06-04 At&T Intellectual Property I, L.P. Dynamic passcodes in association with a wireless access point
CN107085899A (zh) * 2017-03-27 2017-08-22 深圳怡化电脑股份有限公司 金融自助端的身份认证方法及金融自助端
US10685103B2 (en) * 2017-05-04 2020-06-16 Tyco Fire & Security Gmbh Challenge and response system for identifying non-credentialed occupants and method
US20190066106A1 (en) * 2017-08-31 2019-02-28 Bank Of America Corporation Cross channel interlinked resource deployment system
KR20200025950A (ko) * 2018-08-31 2020-03-10 삼성전자주식회사 디지털 키를 처리하는 전자 디바이스 및 그 동작 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005276025A (ja) * 2004-03-26 2005-10-06 Dainippon Printing Co Ltd リーダライタ、携帯型情報記憶媒体のシステム及びリーダライタのプログラム
US20090044025A1 (en) * 2007-08-06 2009-02-12 Mitac International Corp. Smart card data protection method and system thereof
JP2009058637A (ja) * 2007-08-30 2009-03-19 Panasonic Corp 不揮発性記憶装置へのデータ書き込みシステムおよび不揮発性記憶装置
JP2010250374A (ja) * 2009-04-10 2010-11-04 Sony Corp 認証装置、認証方法、及びプログラム
US20110078081A1 (en) * 2009-09-30 2011-03-31 Kiushan Pirzadeh Mobile payment application architecture

Family Cites Families (163)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6687346B1 (en) 1993-08-25 2004-02-03 Symbol Technologies, Inc. Cellular telephone for acquiring data encoded in bar code indicia
US5420606A (en) 1993-09-20 1995-05-30 Begum; Paul G. Instant electronic coupon verification system
TW299410B (ja) 1994-04-04 1997-03-01 At & T Corp
US5991407A (en) 1995-10-17 1999-11-23 Nokia Telecommunications Oy Subscriber authentication in a mobile communications system
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6705517B1 (en) 1996-11-27 2004-03-16 Die Old, Incorporated Automated banking machine system and method
US5875394A (en) 1996-12-27 1999-02-23 At & T Wireless Services Inc. Method of mutual authentication for secure wireless service provision
AU6292498A (en) 1997-01-31 1998-08-25 Maz Mikroelektronik Anwendungszentrum Hamburg Gmbh Method of detecting mobile radio telephone stations
US5903721A (en) 1997-03-13 1999-05-11 cha|Technologies Services, Inc. Method and system for secure online transaction processing
US6082620A (en) 1997-12-24 2000-07-04 Bone, Jr.; Wilburn I. Liquid crystal dynamic barcode display
EP1016960A4 (en) 1998-05-14 2002-04-03 Sega Enterprises Kk INFORMATION PROCESSOR, INFORMATION PROCESSING METHOD, INFORMATION RECORDING MEDIUM, AND INFORMATION PROCESSING SYSTEM
US6338140B1 (en) 1998-07-27 2002-01-08 Iridium Llc Method and system for validating subscriber identities in a communications network
US7110984B1 (en) 1998-08-13 2006-09-19 International Business Machines Corporation Updating usage conditions in lieu of download digital rights management protected content
US7047416B2 (en) 1998-11-09 2006-05-16 First Data Corporation Account-based digital signature (ABDS) system
JP4503143B2 (ja) 1999-07-14 2010-07-14 パナソニック株式会社 電子チケットシステムとサービスサーバとモバイル端末
US7137006B1 (en) 1999-09-24 2006-11-14 Citicorp Development Center, Inc. Method and system for single sign-on user access to multiple web servers
US7089322B1 (en) 1999-10-28 2006-08-08 Motient Communications Inc. System and method of aggregating data from a plurality of data generating machines
US8195565B2 (en) 1999-11-05 2012-06-05 Lead Core Fund, L.L.C. Systems and methods for point of interaction based policy routing of transactions
US6584309B1 (en) 1999-12-16 2003-06-24 The Coca-Cola Company Vending machine purchase via cellular telephone
US20010014870A1 (en) 2000-02-02 2001-08-16 Kabushiki Kaisha Toshiba Electronic coupon sending and collecting scheme and information collecting and managing scheme using radio LAN
NO311658B1 (no) 2000-03-27 2001-12-27 Scan & Pay As Fremgangsmåte for å gjennomföre handel og betalings- /kredittformidling
JP3207192B1 (ja) 2000-05-02 2001-09-10 株式会社 ジェネス 認証方法および装置
GB2362979A (en) 2000-06-02 2001-12-05 Nokia Mobile Phones Ltd Enabling provision of goods or services
GB0014759D0 (en) 2000-06-17 2000-08-09 Hewlett Packard Co Service delivery method and system
WO2002008981A1 (en) 2000-07-25 2002-01-31 Image Media Design Co., Ltd. Business transacting method
JP3527211B2 (ja) 2000-08-01 2004-05-17 日立マクセル株式会社 電子クーポン・システム
AUPQ952400A0 (en) 2000-08-18 2000-09-14 Telefonaktiebolaget Lm Ericsson (Publ) Improved method and system of effecting a financial transaction
AU7882301A (en) 2000-08-29 2002-03-13 Jung-Yong Kim Credit bar-code circulating method by mobile communication terminal, and computer readable medium stored thereon computer executable instruction for performing the same
JP2002117360A (ja) 2000-10-11 2002-04-19 Sharp Corp 決済システム、決済方法、発注装置、情報提供装置
WO2002042926A1 (en) 2000-11-20 2002-05-30 Ecrio Inc. Method for downloading bar code encoded information with a mobile communication
GB0101836D0 (en) 2001-01-24 2001-03-07 Worldplay Ltd Data transaction authentication
JP2004530210A (ja) 2001-04-30 2004-09-30 ノキア コーポレイション コンテンツデリバリーに関する改良
JP2002366819A (ja) 2001-05-31 2002-12-20 Hewlett Packard Co <Hp> 識別子に基づいた電子クーポンの配布システム
GB2376382A (en) 2001-06-08 2002-12-11 Ericsson Telefon Ab L M Transmission of SMS cell broadcast messages
US20060237528A1 (en) 2001-07-10 2006-10-26 Fred Bishop Systems and methods for non-traditional payment
US7225156B2 (en) 2001-07-11 2007-05-29 Fisher Douglas C Persistent dynamic payment service
US6685093B2 (en) 2001-09-25 2004-02-03 Ecrio, Inc. System, method and apparatus for communicating information between a mobile communications device and a bar code reader
US20030058261A1 (en) 2001-09-25 2003-03-27 Nagesh Challa Static display of a bar code on a display of a mobile communications device
FR2832829B1 (fr) 2001-11-28 2004-02-27 Francois Brion Procede, systeme et dispositif permettant d'authentifier des donnees transmises et/ou recues par un utilisateur
DE10159398A1 (de) * 2001-12-04 2003-06-12 Giesecke & Devrient Gmbh Speichern von und Zugreifen auf Daten in einem Mobilgerät und einem Benutzermodul
EP1329787B1 (en) * 2002-01-16 2019-08-28 Texas Instruments Incorporated Secure mode indicator for smart phone or PDA
US20030163567A1 (en) 2002-02-28 2003-08-28 Mcmorris Patrick Domain name validation using mapping table
US6917344B2 (en) 2002-04-12 2005-07-12 Andrew Corporation System for isolating an auxiliary antenna from a main antenna mounted in a common antenna assembly
US7680688B2 (en) 2002-05-28 2010-03-16 American Express Travel Related Services Company, Inc. System and method for exchanging loyalty points for acquisitions
JP2005533316A (ja) 2002-07-12 2005-11-04 エクスファンド,インコーポレイテッド インタラクティブ電子商取引及びメッセージ交換システム
EP1424861A1 (de) 2002-11-26 2004-06-02 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur Identifizierung eines Benutzers mittels eines mobilen Endgerätes
US20040117262A1 (en) 2002-12-17 2004-06-17 Berger Jeffrey Keith System and method for conducting a monetary transaction
US20040121781A1 (en) 2002-12-19 2004-06-24 Sammarco Anthony J. Wireless terminals that scan for alternate protocol systems responsive to terminal movement and methods of same
US20040186768A1 (en) 2003-03-21 2004-09-23 Peter Wakim Apparatus and method for initiating remote content delivery by local user identification
US20040243519A1 (en) 2003-06-02 2004-12-02 Nokia Corporation Prompted electronic mobile-service information communications with validation
FR2858732B1 (fr) 2003-08-05 2005-09-16 France Telecom Systeme de selection automatique d'authentification
US20050071673A1 (en) 2003-08-25 2005-03-31 Saito William H. Method and system for secure authentication using mobile electronic devices
FR2861236B1 (fr) 2003-10-21 2006-02-03 Cprm METHOD AND DEVICE FOR AUTHENTICATION IN A TELECOMMUNICATION NETWORK USING PORTABLE EQUIPMENT
CN100437551C (zh) 2003-10-28 2008-11-26 联想(新加坡)私人有限公司 使多个用户设备自动登录的方法和设备
US20050120213A1 (en) 2003-12-01 2005-06-02 Cisco Technology, Inc. System and method for provisioning and authenticating via a network
JP2005173982A (ja) 2003-12-11 2005-06-30 Dainippon Printing Co Ltd 情報記録媒体を利用した電子情報配信システム
US7471199B2 (en) 2004-01-09 2008-12-30 Intermec Ip Corp. Mobile key using read/write RFID tag
US20050166060A1 (en) 2004-01-26 2005-07-28 Flora Goldthwait System and method for controlling access to resources
US20050165684A1 (en) 2004-01-28 2005-07-28 Saflink Corporation Electronic transaction verification system
JP2005215849A (ja) 2004-01-28 2005-08-11 Seiko Epson Corp クーポン配信装置、携帯端末、pos端末、クーポン配信システムおよびクーポン配信プログラム
JP4595379B2 (ja) 2004-04-30 2010-12-08 日本電気株式会社 移動通信サービスシステムおよび方法
JP4421397B2 (ja) 2004-06-29 2010-02-24 京セラ株式会社 通信システムおよび携帯端末ならびに通信方法
JP4257277B2 (ja) 2004-08-25 2009-04-22 株式会社東芝 無線タグ装置、タグ識別装置および無線通信システム
US8700729B2 (en) 2005-01-21 2014-04-15 Robin Dua Method and apparatus for managing credentials through a wireless network
US7552464B2 (en) 2005-01-29 2009-06-23 Cisco Technology, Inc. Techniques for presenting network identities at a human interface
JP2006221351A (ja) 2005-02-09 2006-08-24 Casio Hitachi Mobile Communications Co Ltd 残高照会装置びプログラム
JP2008532133A (ja) 2005-02-24 2008-08-14 アールエスエイ セキュリティー インコーポレーテッド Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法
CN1841425A (zh) 2005-03-31 2006-10-04 华为技术有限公司 移动终端购物方法及其系统
US20060230145A1 (en) 2005-04-08 2006-10-12 Microsoft Corporation Methods and systems for a multi-service federated content distribution network
US8996423B2 (en) 2005-04-19 2015-03-31 Microsoft Corporation Authentication for a commercial transaction using a mobile module
GB2426359A (en) 2005-05-18 2006-11-22 Vodafone Plc Authenticated searching of data
JP4742698B2 (ja) 2005-05-30 2011-08-10 株式会社ジード クーポンを利用した店舗の販売促進システム
US7347361B2 (en) 2005-06-13 2008-03-25 Robert Lovett System, method and program product for account transaction validation
JP2006350450A (ja) 2005-06-13 2006-12-28 Nec Corp 決済システム、決済端末、ユーザ端末及び決済方法
US7810720B2 (en) 2005-06-13 2010-10-12 Robert Lovett Account payment using barcode information exchange
US20070037552A1 (en) 2005-08-11 2007-02-15 Timothy Lee Method and system for performing two factor mutual authentication
WO2007030764A2 (en) 2005-09-06 2007-03-15 Daniel Chien Identifying a network address source for authentication
US8352376B2 (en) 2005-10-11 2013-01-08 Amazon Technologies, Inc. System and method for authorization of transactions
FR2892545B1 (fr) 2005-10-26 2008-04-25 Customer Product Relationship METHOD AND DEVICE FOR JUSTIFYING MONETARY TRANSACTION
EP1802155A1 (en) 2005-12-21 2007-06-27 Cronto Limited System and method for dynamic multifactor authentication
US20070156436A1 (en) 2005-12-31 2007-07-05 Michelle Fisher Method And Apparatus For Completing A Transaction Using A Wireless Mobile Communication Channel And Another Communication Channel
JP2007188150A (ja) 2006-01-11 2007-07-26 Media Ring:Kk 携帯電話機、広告配信装置、広告配信サーバ、広告配信システム
US8016187B2 (en) 2006-02-21 2011-09-13 Scanbury, Inc. Mobile payment system using barcode capture
US8195131B2 (en) 2006-02-24 2012-06-05 Qualcomm Incorporated Replying to an SMS broadcast message
TWI311258B (ja) 2006-03-08 2009-06-21 Sunplus Technology Co Ltd
US7552867B2 (en) 2006-03-15 2009-06-30 Qualcomm Incorporated M-commerce virtual cash system, method, and apparatus
US7492258B1 (en) 2006-03-21 2009-02-17 Radiofy Llc Systems and methods for RFID security
CA2647602A1 (en) 2006-03-30 2008-03-06 Obopay Inc. Mobile person-to-person payment system
US7873573B2 (en) 2006-03-30 2011-01-18 Obopay, Inc. Virtual pooled account for mobile banking
WO2007117073A1 (en) 2006-04-07 2007-10-18 Dong Gyu Kim System and method for authentication using a bar-code
US7512567B2 (en) 2006-06-29 2009-03-31 Yt Acquisition Corporation Method and system for providing biometric authentication at a point-of-sale via a mobile device
US20080147546A1 (en) 2006-09-19 2008-06-19 Walter Weichselbaumer Wireless device electronic wallet transaction validation
HUE035449T2 (en) 2006-10-05 2018-05-02 Eureka S A Systems and methods for automated wireless authorization for entry into a geographic area
JP5266717B2 (ja) 2007-01-30 2013-08-21 大日本印刷株式会社 非接触リーダライタ、情報提供システム、リダイレクトサーバ、及びアドレス情報提供方法等
US20080222031A1 (en) 2007-02-01 2008-09-11 Amos Shattner Method and system for fee payment for automotive services
US9846866B2 (en) 2007-02-22 2017-12-19 First Data Corporation Processing of financial transactions using debit networks
JP4686491B2 (ja) 2007-03-02 2011-05-25 株式会社シリウステクノロジーズ 広告情報表示方法、広告情報表示システム、及び広告情報送信プログラム
US8374634B2 (en) 2007-03-16 2013-02-12 Finsphere Corporation System and method for automated analysis comparing a wireless device location with another geographic location
US20100146263A1 (en) 2007-06-20 2010-06-10 Mchek India Payment Systems Pvt. Ltd. Method and system for secure authentication
KR20090021796A (ko) 2007-08-28 2009-03-04 삼성전자주식회사 단말 및 그의 기기 제어 방법
US7909243B2 (en) 2007-08-28 2011-03-22 American Express Travel Related Services Company, Inc. System and method for completing a secure financial transaction using a wireless communications device
WO2009052634A1 (en) 2007-10-24 2009-04-30 Securekey Technologies Inc. Method and system for effecting secure communication over a network
US20090165121A1 (en) 2007-12-21 2009-06-25 Nvidia Corporation Touch Pad based Authentication of Users
US20100049615A1 (en) 2008-01-24 2010-02-25 Qualcomm Incorporated Mobile commerce authentication and authorization system
WO2009100230A1 (en) * 2008-02-07 2009-08-13 Inflexis Corporation Mobile electronic security apparatus and method
JP5307415B2 (ja) 2008-02-12 2013-10-02 フェリカネットワークス株式会社 決済端末、決済処理システム、及び決済処理方法
US20090235178A1 (en) 2008-03-12 2009-09-17 International Business Machines Corporation Method, system, and computer program for performing verification of a user
US8060413B2 (en) * 2008-03-14 2011-11-15 Research In Motion Limited System and method for making electronic payments from a wireless mobile device
CN102007505A (zh) 2008-03-14 2011-04-06 艾维什·雅各布·温纳 用于通过蜂窝电话提供产品或服务的系统和方法
US7706784B2 (en) 2008-03-14 2010-04-27 Accells Technologies (2009), Ltd. Method and system for providing a product or service using a mobile communication device
US8185956B1 (en) 2008-03-31 2012-05-22 Symantec Corporation Real-time website safety reputation system
WO2009143084A1 (en) 2008-05-18 2009-11-26 Zetawire, Inc. Secured electronic transaction system
GB2460275B (en) 2008-05-23 2012-12-19 Exacttrak Ltd A Communications and Security Device
US20090307140A1 (en) * 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
KR101063287B1 (ko) 2008-06-10 2011-09-07 삼성전자주식회사 위치 정보를 이용한 서비스 정보 제공 방법 및 시스템
CN102057385A (zh) 2008-06-12 2011-05-11 环球娱乐株式会社 电子结算系统
CN102067184B (zh) * 2008-06-24 2014-05-14 Nxp股份有限公司 安全移动环境中访问应用的方法
JP4667488B2 (ja) 2008-06-25 2011-04-13 日立オムロンターミナルソリューションズ株式会社 決済処理システム、決済処理方法、及び決済処理装置
US20100031349A1 (en) 2008-07-29 2010-02-04 White Electronic Designs Corporation Method and Apparatus for Secure Data Storage System
US8127999B2 (en) 2008-08-14 2012-03-06 Visa U.S.A. Inc. Wireless mobile communicator for contactless payment on account read from removable card
CN102203765B (zh) 2008-08-26 2014-05-28 美迪亚斯坦普有限责任公司 在没有明确地提供的装置或用户识别信息的情况下唯一地识别网络分布式装置
US8386773B2 (en) 2008-12-09 2013-02-26 Research In Motion Limited Verification methods and apparatus for use in providing application services to mobile communication devices
US8126505B2 (en) 2008-12-19 2012-02-28 Ncr Corporation Data verification system for a near field communications enabled display
US9208634B2 (en) 2008-12-19 2015-12-08 Nxp B.V. Enhanced smart card usage
KR101057817B1 (ko) 2009-01-30 2011-08-19 양승무 광고 중인 상품 관련 컨텐츠 전송 장치 및 그 방법
JP5166463B2 (ja) 2009-03-02 2013-03-21 株式会社トリニティ ポイント管理システム
US20100248779A1 (en) 2009-03-26 2010-09-30 Simon Phillips Cardholder verification rule applied in payment-enabled mobile telephone
US8131596B2 (en) 2009-04-15 2012-03-06 Mcquilken George C Method and system of payment for parking using a smart device
US9572025B2 (en) 2009-04-16 2017-02-14 Telefonaktiebolaget Lm Ericsson (Publ) Method, server, computer program and computer program product for communicating with secure element
WO2010140876A1 (en) 2009-06-01 2010-12-09 Bemobile Sdn. Bhd. Method, system and secure server for multi-factor transaction authentication
US9697510B2 (en) 2009-07-23 2017-07-04 Boku, Inc. Systems and methods to facilitate retail transactions
WO2011009495A1 (en) * 2009-07-24 2011-01-27 Nokia Corporation Sensing and secure processing
JP5275175B2 (ja) 2009-08-31 2013-08-28 日本放送協会 コンテンツ表示システム、携帯端末、およびサーバ
US8265669B2 (en) 2009-09-18 2012-09-11 Verizon Patent And Licensing Inc. Method and system for providing bearer tag identification-based messaging
US20110137804A1 (en) 2009-12-03 2011-06-09 Recursion Software, Inc. System and method for approving transactions
WO2011083471A1 (en) 2010-01-07 2011-07-14 Accells Technologies (2009) Ltd. System and method for performing a transaction responsive to a mobile device
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US20120005026A1 (en) 2010-05-27 2012-01-05 Mohammad Khan Methods, systems and computer readable media for utilizing a consumer opt-in management system
CN101916487A (zh) 2010-08-13 2010-12-15 周绍君 一种防止纳税人超地理范围开票的系统和方法
US20130204690A1 (en) 2010-10-12 2013-08-08 Geocast Holdings Limited Determining coupon redemption validity via mobile devices
US8494961B1 (en) 2010-10-14 2013-07-23 Jpmorgan Chase Bank, N.A. Image authentication and security system and method
US8805434B2 (en) * 2010-11-23 2014-08-12 Microsoft Corporation Access techniques using a mobile communication device
US9318114B2 (en) 2010-11-24 2016-04-19 At&T Intellectual Property I, L.P. System and method for generating challenge utterances for speaker verification
US8510820B2 (en) 2010-12-02 2013-08-13 Duo Security, Inc. System and method for embedded authentication
US8555355B2 (en) 2010-12-07 2013-10-08 Verizon Patent And Licensing Inc. Mobile pin pad
US9282085B2 (en) 2010-12-20 2016-03-08 Duo Security, Inc. System and method for digital user authentication
US9196111B1 (en) 2011-01-04 2015-11-24 Bank Of America Corporation Automated teller machine (“ATM”) dynamic keypad
GB201105765D0 (en) 2011-04-05 2011-05-18 Visa Europe Ltd Payment system
US8887257B2 (en) 2011-04-26 2014-11-11 David T. Haggerty Electronic access client distribution apparatus and methods
EP2710540A1 (en) 2011-05-17 2014-03-26 Accells Technologies (2009) Ltd. System and method for performing a secure transaction
US9098850B2 (en) 2011-05-17 2015-08-04 Ping Identity Corporation System and method for transaction security responsive to a signed authentication
EP2716094A4 (en) 2011-06-03 2014-12-03 Blackberry Ltd SYSTEM AND METHOD FOR ACCESSING PRIVATE NETWORKS
CA2875445A1 (en) 2011-06-09 2012-12-13 Accells Technologies (2009), Ltd. A transaction system and method for use with a mobile device
US20120331518A1 (en) 2011-06-23 2012-12-27 Salesforce.Com, Inc. Flexible security token framework
CA2883318A1 (en) 2011-08-31 2013-03-07 Ping Identity Corporation System and method for secure transaction process via mobile device
US8892885B2 (en) 2011-08-31 2014-11-18 Duo Security, Inc. System and method for delivering a challenge response in an authentication protocol
US8763077B2 (en) 2011-10-07 2014-06-24 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
WO2013063326A1 (en) 2011-10-25 2013-05-02 Toopher, Inc. Two-factor authentication systems and methods
EP2611097A1 (en) 2011-12-28 2013-07-03 Gemalto SA Method for authenticating a user using a second mobile device
US8346672B1 (en) 2012-04-10 2013-01-01 Accells Technologies (2009), Ltd. System and method for secure transaction process via mobile device
CN103942898B (zh) 2013-01-22 2017-02-15 华为终端有限公司 实现近场通信中选择安全单元的方法、移动终端与pos机
US9130929B2 (en) 2013-03-15 2015-09-08 Aol Inc. Systems and methods for using imaging to authenticate online users
US9100300B2 (en) 2013-06-25 2015-08-04 International Business Machines Corporation Mitigating network connection problems using supporting devices

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005276025A (ja) * 2004-03-26 2005-10-06 Dainippon Printing Co Ltd リーダライタ、携帯型情報記憶媒体のシステム及びリーダライタのプログラム
US20090044025A1 (en) * 2007-08-06 2009-02-12 Mitac International Corp. Smart card data protection method and system thereof
JP2009058637A (ja) * 2007-08-30 2009-03-19 Panasonic Corp 不揮発性記憶装置へのデータ書き込みシステムおよび不揮発性記憶装置
JP2010250374A (ja) * 2009-04-10 2010-11-04 Sony Corp 認証装置、認証方法、及びプログラム
US20110078081A1 (en) * 2009-09-30 2011-03-31 Kiushan Pirzadeh Mobile payment application architecture

Also Published As

Publication number Publication date
US9886688B2 (en) 2018-02-06
AU2012303620A1 (en) 2014-04-03
CA2883318A1 (en) 2013-03-07
WO2013030832A1 (en) 2013-03-07
EP2751756A1 (en) 2014-07-09
AU2012303620B2 (en) 2017-09-14
WO2013030832A8 (en) 2014-04-10
US20140214688A1 (en) 2014-07-31

Similar Documents

Publication Publication Date Title
US20200074469A1 (en) Secure wireless card reader
US10592872B2 (en) Secure registration and authentication of a user using a mobile device
US10289996B2 (en) Apparatuses and methods for operating a portable electronic device to conduct mobile payment transactions
US10699267B2 (en) Secure account provisioning
EP3518567B1 (en) Remote server encrypted data provisioning system and methods
US10515352B2 (en) System and method for providing diverse secure data communication permissions to trusted applications on a portable communication device
JP6648110B2 (ja) クライアントをデバイスに対して認証するシステム及び方法
CN105684346B (zh) 确保移动应用和网关之间空中下载通信安全的方法
US20200294026A1 (en) Trusted remote attestation agent (traa)
US9467292B2 (en) Hardware-based zero-knowledge strong authentication (H0KSA)
JP2018088292A (ja) モバイル機器による安全なトランザクションプロセスのためのシステム及び方法
US10120993B2 (en) Secure identity binding (SIB)
US8930273B2 (en) System and method for generating a dynamic card value
US10496832B2 (en) System and method for initially establishing and periodically confirming trust in a software application
CA2849324C (en) Systems and methods for contactless transaction processing
JP6818679B2 (ja) セキュアホストカードエミュレーションクレデンシャル
US10445722B2 (en) Systems and methods for enabling secure transactions with mobile devices
US20160019536A1 (en) Secure processing of data
AU2011342282B2 (en) Authenticating transactions using a mobile device identifier
US9642005B2 (en) Secure authentication of a user using a mobile device
US8417643B2 (en) Trusted service manager (TSM) architectures and methods
US20190156339A1 (en) Method and Device for End-User Verification of an Electronic Transaction
US20150324789A1 (en) Cryptocurrency Virtual Wallet System and Method
KR101451214B1 (ko) 결제 방법, 이를 실행하는 결제 서버, 이를 저장한 기록 매체 및 이를 실행하는 시스템
US9953319B2 (en) Payment system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150608

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160426

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20160722

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20160722

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20160912

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161026

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170314

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170613

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170810

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20171114