JP4949032B2 - 安全な計算装置を使って身元情報の窃盗を防ぐシステムおよび方法 - Google Patents

安全な計算装置を使って身元情報の窃盗を防ぐシステムおよび方法 Download PDF

Info

Publication number
JP4949032B2
JP4949032B2 JP2006538984A JP2006538984A JP4949032B2 JP 4949032 B2 JP4949032 B2 JP 4949032B2 JP 2006538984 A JP2006538984 A JP 2006538984A JP 2006538984 A JP2006538984 A JP 2006538984A JP 4949032 B2 JP4949032 B2 JP 4949032B2
Authority
JP
Japan
Prior art keywords
user
computer
secure
server computer
computing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006538984A
Other languages
English (en)
Other versions
JP2007513406A (ja
Inventor
アリ,アサド・マーブーブ
ルー,ハンチエン・カレン
Original Assignee
ジエマルト・エス・アー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ジエマルト・エス・アー filed Critical ジエマルト・エス・アー
Publication of JP2007513406A publication Critical patent/JP2007513406A/ja
Application granted granted Critical
Publication of JP4949032B2 publication Critical patent/JP4949032B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/346Cards serving only as information carrier of service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • Computer Hardware Design (AREA)
  • General Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

本出願は、本明細書によりその内容全体が参照によって明確に組み込まれている米国特許仮出願第60/520022号および第60/506992号の優先権を主張する。
本発明は概して、コンピュータネットワークの分野に関し、詳細には、コンピュータネットワークを介した、対話中の身元情報の窃盗を防ぐシステムおよび方法に関する。
コンピュータネットワークを介した商取引が、非常に流行している。このような商取引は、本の購入ならびにAmazon.comでの本およびepuck.comでのホッケー道具など、オンラインベンダでの売買から、オンラインでの銀行取引および株取引の実施まで、多くの形をとる。このようなすべてのトランザクションに共通するのは、安全を確保された私的情報を伝達する必要性である。通常、トランザクションは、暗号化された安全な接続を介して執り行われる。しかし、依然として、巧妙な人間が、オンライントランザクション中に使われる私的情報を取り込むための方式、たとえば、パスワード、個人識別番号(PIN)、社会保障番号、ドライバの免許証番号および口座番号を取得するための企みを目論む機会がある。このような情報の不法な入手およびこのような情報の不正な使用は一般に、「身元情報の窃盗」と呼ばれる。連邦取引委員会によれば、2002年だけで、990万人の身元情報窃盗の被害者がいた。2002年、この窃盗によって、企業にとっては476億ドル、個人にとっては50億ドルの損害となった(Federal trade Commission、「Federal trade Commission Identity Theft Survey Report」、September 2003、http://www.ftc.gov/os/2003/09/synovatereport.pdf.)。
インターネットを介したトランザクションは、本明細書において例示的な目的のために使われる。インターネットは、圧倒的に最大かつ最も普及しているコンピュータネットワークであり、本明細書において論じられる問題および解決策は、他のネットワークにおいても起こり、当てはまり得る。たとえば、身元情報の窃盗は完全に、企業ネットワークの範囲内でも大学のネットワークの範囲内でも起こり得、そこでは不正を働く人間がネットワーク経由のトランザクションを使って、従業員または学生の記録へのアクセスを与えるPINを盗む。身元情報の窃盗問題を、インターネットの状況において論じるのは好都合であるが、この状況が、本発明の範囲を限定するものと解釈されるべきではない。
オンラインでの身元情報の窃盗を行う1つの形は、キーストロークロガーを使って、個々のキーストロークのログをとり、パスワードおよびクレジットカード番号などの情報を、ログから抽出するものである。知られている2つの事例が、ニューヨークでのKinkoの事例およびボストンカレッジの事例である(Jesdanun, A.、「Thief captures every keystroke to access accounts」、Seattle Post、July、2003、http://seattlepi.nwsource.com/national/131961_snoop23.html; Poulsen, k.、「Guilty Plea in Kinko’s Keystroke Caper」、SecurityFocus、July 18、2003 http://www.securityfocus.com/printable/news/6447)。両方の事例において、窃盗犯は、Kinkoの店舗内または大学のキャンパス内の公共インターネットコンピュータに、キーストロークロガーソフトウェアをインストールした。窃盗犯は、ユーザID、ユーザ名、およびパスワードを取り込み、これらを使ってオンラインの銀行口座にアクセスし、または開設もし、購入を行い、建物に不法に侵入した。
キーストロークロガーは、人間がコンピュータ上にインストールするソフトウェア、または人間がキーボードケーブルとコンピュータの間を接続する1つのハードウェア、もしくはキーボード内に構築されるハードウェアのいずれかである。オンライン識別窃盗犯は通常、ユーザに見えないので、ソフトウェアキーストロークロガーを使う。
通常のオンライントランザクションにおいて、新規アカウントを作成し、または既存のアカウントにアクセスすると、ユーザは、コンピュータスクリーン上のグラフィカルヒューマンインタフェースを介してオンライントランザクションを行い、キーボードを使って、ヒューマンインタフェースによって要求された情報を入力する。このグラフィカルヒューマンインタフェースは通常、銀行またはオンライン小売業者のインターネットクライアントアプリケーションを表す。ユーザは、機密の個人情報、たとえば名前、パスワード、社会保障番号、クレジットカード番号などを、キーボードを使ってタイプ入力する。この機密情報は、キーボードからコンピュータに平文で流れる。インターネットクライアントアプリケーションは、コンピュータまたはコンピュータに接続されたスマートカードを使って、リモートサーバに送る前に情報を暗号化することができる。しかし、キーストロークロガーもスクリーンキャプチャラも、暗号化される前に機密の個人情報を取り込むことができるであろう。現在のセキュリティ機構の多くは、コンピュータおよびそのキーボードまたは他の入力装置が安全であることを前提としているが、それが成り立たない場合がある。
図1a〜図1cは、キーボードロガーまたは同様のプログラムもしくはハードウェアを使って実現され得る身元情報の窃盗問題の例示である。図1aは、キーボード101からの、正常な情報の概略である。情報は、オンラインサービス、たとえば銀行のeコマースサイトの顧客によって使われるコンピュータ105に接続されたスクリーン103上に表示されてもよい。コンピュータ105またはスマートカード(図示せず)内のどちらかにある暗号化プロセッサ107が、インターネット110に送られる前に情報を暗号化してもよいであろう。この暗号化プロセッサ107は、ハードウェア装置でもよく、完全に、コンピュータ105上で実行されるソフトウェアとして実装されてもよい。図1bは、キーストロークロガーソフトウェア109がコンピュータ105上にインストールされている際の情報の流れを示す。キーストロークロガー109は、情報がそれ以外のどこかへ行く前、したがって、既存のセキュリティ機構が適用される前、たとえば、暗号化プロセッサ107が情報を暗号化する機会さえないうちに、ユーザによってキーボード101上でタイプ入力された情報を取り込む。図1cは、ハードウェアキーストロークロガー111がインストールされているときの構成および情報の流れを示す。ハードウェアキーストロークロガー111は、キーボード101とコンピュータ105の間にある。あるいは、ハードウェアキーストロークロガー111は、キーボード111の中に構築されてもよい。どちらのケースでも、情報は、コンピュータ105に入る前に取り込まれる。
キーボードロガーに関連した問題は、様々な形の悪意のあるソフトウェア(マルウェア)、すなわち抗ウィルスソフトウェアが対抗する能力のない、望まれないコードによって提示される。こうした望まれないコード、たとえばキーストロークロガー、スパイウェア、スヌープウェア、トロイの木馬などは、目に見えず、再現不可能である。この種類のソフトウェアは、ローカルにインストールされる場合も、リモートに分散される場合もある。一部のキーストロークロガーは、たとえば、キーストロークをひそかに記録するだけでなく、リモートインターネットノードにキーログをひそかに伝送する。抗キーロガーなどの様々な抗非ウィルス性マルウェアプログラムが、こうした望まれないコードに対抗する。こうしたほとんどの製品は、知られている悪意のあるプログラムを検出し、それに対抗する。一方、巧妙に設計された悪意のあるプログラムは、抵抗のための抗検出機構を有し得る。新たな悪意のあるソフトウェアが出現し、新たな抗悪意ソフトウェアの開発が必要になる。この戦いは、医学におけるバクテリアと抗生物質の間の戦いに似ている。
従来技術による、安全なインターネット商取引および他のオンライントランザクションを提供するいくつかの手法が存在する。一つの方法は、トランザクションに関与する2つのノードの間のすべてのメッセージが確実に暗号化されるようにするものである。インターネットノードの一方が、暗号化される前にメッセージを取り込む悪意のあるソフトウェアによって危険にさらされた場合、手遅れなので、安全な通信機構は助けとならない。たとえば、暗号化は、キーボードロガー、スクリーンキャプチャおよびコンピュータのユーザによって入力された情報を取り込む他の技術を用いて行われる身元情報の窃盗問題を解決しない。というのは、上述したように、暗号化はあまりに遅く、すなわち、情報が既に取り込まれてしまった後で実施されるからである。
オンライン商取引のセキュリティを保護する別の形は、たとえば、Kerberos(「Kerberos:The Network Authentication Protocol」、http://web.mit.edu/kerberos/www/)およびマイクロソフトパスポート(Microsoft.Net Passport、Microsoft Cooperation、http://www.passport.net/)など、識別の連携または認証の連携を介した、トランザクションに関与する個人の認証である。しかし、こうした機構も、キーボードロガーおよび同様の方式に対して保護するものではない。
クレジットカード詐欺の普及を抑制し、オンライントランザクション中の消費者の信頼を高めるための作業において、いくつかのクレジットカード企業(たとえばCitibank)が、仮想クレジットカード番号を提供している。こうしたクレジットカード番号は、一回限りの使用のためのものであり、オンライントランザクション中にユーザの実際のクレジットカード番号を保護するのを助ける。実際の番号を使うのではなく、ユーザは、オンラインでのショッピングの際、仮想番号を入力する。仮想番号が盗まれたとしても、その番号は、最初のトランザクション以降は再利用されることができないので、ほとんど使い物にならない。
この手法は、ユーザが自分の実際のクレジットカード番号の悪意のある使用から身を守るのを助けるが、身元情報の窃盗の比較的広範な予防フレームワークに関して2つの欠点を有している。第1に、この手法は、クレジットカード番号に限定され、他の機密情報に拡大されることはできない。第2に、一度しか使用できないクレジットカード番号を得るために、ユーザは依然として、銀行に対して自分自身の認証を行わなければならない。このオンライン認証プロセス自体が、キーボードロガー攻撃が疑われるので、弱いつながりである可能性がある。悪意のあるユーザは、ユーザになりすまし、本人に代わって仮想クレジットカード番号を得ることができる。このシナリオにおいて、ユーザの実際のクレジットカード番号は安全だが、ユーザの識別は安全ではない。
オンラインセキュリティを改善するのに、スマートカードが使われる場合もある。スマートカードとは、改竄が難しく、安全、かつポータブルなマイクロプロセッサカードである。スマートカードは、様々なアプリケーションにおいてセキュリティのために使われている(Jurgensen,T.M.and Guthery,S.B.「Smart Cards」、Pearson Education,Inc.、2002.)。スマートカードは、コンピュータおよびネットワークアクセス、ならびに安全な通信のためのセキュリティトークンである。スマートカードを使う際、カードは、ホストコンピュータに接続される。安全な通信への公開鍵インフラストラクチャ(PKI)を用いて、カードは、その所有者の秘密鍵を保持する。インターネットを介して、あるユーザから別のユーザにメッセージを送るために、送信者のコンピュータは、ランダムな共有鍵を生成し、共有鍵を使ってメッセージを暗号化し、受信機の公開鍵を使って共有鍵を暗号化する。暗号化メッセージおよび暗号化された鍵は両方とも、受信機に送られる。受信機のコンピュータは、受信機のスマートカード中に記憶された受信機の秘密鍵を使って、暗号化された共有鍵を復号する。コンピュータは次いで、共有鍵を使って、メッセージを復号する。このようにして、対象とされた受信機のみが、メッセージを読むことができる。しかし、キーストロークロガーがユーザのコンピュータを危険にさらした場合、ロガーは、スマートカード機構が適用される前に情報を取り込む予定である。
別の既存の方法は、ユーザの機密情報をスマートカード上に記憶するものである。オンライントランザクションのために、コンピュータ上で実行されるミドルウェアは、スマートカードから情報を取得し、ウェブフォーム中の適切なフィールドに記入する。この手法は、コンピュータ上に特殊なソフトウェアを必要とする。この手法は、ウェブブラウザ中で機密情報が暗号化されていない形なので、ウェブフォームの手入力よりも確かなセキュリティは提供しない。この点において、セキュリティ上の機能ではなく、利便性のための機能である。
したがって、公開されているワークステーションでキーボードロガーを利用することによって実現され、そうすることによって、ユーザがインターネット上で安全なトランザクションを行う際に用いたユーザの私的情報を取り込むことができる身元情報の窃盗に対抗する、従来以上のシステムおよび方法が必要である。
好ましい実施形態では、本発明は、オンラインサービスのユーザが、キーボードロガーまたは同様のソフトウェアもしくはハードウェア装置による取込みの対象となるように機密の個人情報を入力する必要なく、そのオンラインサービスで取引を行うのに必要な機密の個人情報を伝送することを可能にする機構を提供する。好ましい実施形態では、機密の私的情報は、ユーザの物理的制御の下で、インターネットスマートカードに記憶される。ユーザは、安全な接続を介してオンラインサービスのサーバに機密の私的情報を伝送するよう、スマートカードに指令する。機密の私的情報は、トランザクションを行うユーザによって使われるコンピュータ上で、暗号化されていない形で存在することはない。
信頼できないコンピュータから行われる身元情報の窃盗を未然に防ぐように設計されたやり方で、コンピュータネットワークを介して安全なトランザクションを遂行するシステムおよび方法である。クライアントコンピュータが、ユーザにユーザインタフェースを提供する、クライアントコンピュータからネットワークへの接続、サーバコンピュータからネットワークへの接続、および安全なポータブル計算装置からネットワークへの接続が、ユーザからサーバへの私的な機密ユーザ情報の安全な伝送を実現する。私的情報は、ユーザが対話しているコンピュータ上で取り込まれる可能性なく、安全な接続を介して安全な計算装置からサーバへ直接伝送される。
本発明は、キーボードロガー、スクリーンキャプチャ、リモート監視を使って、かつユーザの肩ごしに見ている人からも行われる身元情報の窃盗を、パスワード、社会保障番号、銀行口座番号、クレジットカード番号などの機密情報が、インターネットを介して安全なトランザクションを行っている際にワークステーションのユーザによって入力されることがないようにする機構を提供することによって防ぐ。
暗号化されていない機密情報が、短期間ではあっても一定の持続期間コンピュータ内に存在するので、ロギング機構を用いたオンラインでの身元情報の窃盗が可能である。悪意のあるユーザが、どのセキュリティ機構も適用されないうちに、機密情報へのアクセスを得ることができる。しかし、機密情報、たとえばパスワード、SSN、クレジットカード番号などが、コンピュータ内でもオンラインでも平文で現れることがない場合、ロギング機構は役に立たない。ユーザがこのような機密情報を入力しないようにすることを可能にする機構の提供という概念が、本発明の背景にある根本的概念である。本発明の好ましい実施形態の一構成要素は、機密の個人情報を記憶するためのインターネットスマートカードである。カードの所有者によって必要とされ認証されると、情報は、ユーザのワークステーションで表示されることもキー入力されることもなく、カードからリモートインターネットクライアントまたはサーバに安全に流れる。カードは、完全にカードの内部で情報を暗号化し復号する。情報は、ユーザがオンライントランザクション用に使っているコンピュータを経由して伝送されるが、情報は、そのコンピュータに入力される前に暗号化され、したがって、安全なままである。情報通過の観点からは、ユーザのコンピュータは、ネットワーク上の単なるもう1つのルータである。
インターネットスマートカードは、安全なポータブルネットワークノードなので、キーストロークロギング問題(および関連した問題)に対抗することができる。1個人が、カードを物理的に所有し、そのPIN番号をもち、かつ/またはカードを使うためにはカード中の生体情報ストアの所有者でなければならない。いくつかのレベルのセキュリティが存在する。すなわち、自分が知っていること、自分がもっているもの、自分が何者であるかということである。したがって、PINの知識およびカードの所有の両方を用いる機構、または生体情報を介して実証される識別さえも提供することによって、セキュリティが高められる。セキュリティは、完全に暗号化された方式以外で、関連付けられた情報を、エンドツーエンドで絶対に提供しないこと、何らかの形のオンライン商取引を行うユーザによって使われるコンピュータでないコンピュータにさえも提供しないことによってさらに高められる。
どのオンラインアカウントトランザクション、たとえば、キーボードロガー、スクリーンキャプチャ、またはユーザの肩ごしに見ている何者からでさえもスヌープされる可能性がある機密の個人情報をタイプ入力するのではなく、新規アカウントの申し込みまたは既存のアカウントへのアクセスに対しても、本発明によれば、ユーザは、ユーザのスマートカードとサービスプロバイダの安全なリモートサーバ、たとえば、銀行またはオンライン商店のサーバとの間の安全なインターネット接続を確立する。インターネットクライアントアプリケーションのインタフェース、たとえば、ウェブブラウザを介して、ユーザは、どのような情報を直接入力するか、サーバがスマートカードから得ることができる(またはスマートカードがサーバに自動的に送る)のはどのような情報か決定する。たとえば、SSNまたはクレジットカード番号に対して、ユーザは、その情報をスマートカードからサーバに直接送ることを選ぶことができる。この極めて機密の個人情報は、最初にスマートカード中に暗号化される。トランザクションの間、ローカルコンピュータには、カード上にオリジナルの形で記憶された機密の個人情報が見えることはなく、ユーザの肩越しに見ている人々にも、すべてのキーストローク、すべてのスクリーンショット、またはコンピュータの他の部分を取り込む窃盗犯にも見えることはない。
インターネットスマートカードにアクセスするために、ユーザは、PINコードも自分の生体情報も入力する必要はない。ホストコンピュータが危険にさらされ、PINコードが取り込まれた場合でも、窃盗犯は、カードをもっていないので、PINを使ってもほとんど何もすることができない。さらに、取り込まれたほとんどの情報は、オフラインで分析される。どのPINがどのスマートカード用であるかを算出するのは、不可能ではなくとも極めて難しい。
図2aおよび図2bは、本発明の好ましい実施形態において利用される2つの代替物理構成の例示である。リモートサーバが、リモートコンピュータ201または201’上で実行される。ローカルクライアントは、ユーザ205または205’が使っているローカルコンピュータ203または203’上で実行される。いずれの場合でも、コンピュータ201、203は両方とも、インターネット209に接続される。インターネットスマートカード207または207’が、ルータとして作用するローカルコンピュータ203に直接接続することによって、または、別の装置(図示せず)に接続することによってインターネット209に接続される。インターネット209への接続は、有線でも無線でもよいであろう。
これ以降、リモートコンピュータ、ローカルコンピュータ、インターネットスマートカード、およびユーザは、プライム記号のついていない参照番号を使って参照される。ただし、このような参照は、図2aおよび図2bに提示される両方のシナリオならびに他のどの等価物も指す。
図3は、本発明によるインターネットスマートカードを用いた、インターネットを介した論理接続を図示したものである。ユーザは、ローカルコンピュータ301上で実行される1つのウェブブラウザ305を使って、ユーザのインターネットスマートカード207に接続する。ユーザは、ユーザのスマートカード207に、安全なリモートサーバ303と安全な接続を確立するよう要求することができ、トランザクションを認証することができ、トランザクションを監視することができる。インターネットスマートカード207は、ユーザ、すなわち、その所有者によって要求されたように、安全なリモートサーバ303に接続する。安全な接続を介して伝送されるすべてのデータトランザクション。ユーザの機密個人データは、スマートカード207および安全なリモートサーバ303の中で暗号化され復号される。ローカルコンピュータ301は、インターネット209内のノードの1つである。ユーザは、別のウェブブラウザ307を使って、サーバアプリケーション309を実行するリモートサーバ303に接続する。
この機構は、たとえば、新規アカウントを作成し既存のアカウントにアクセスする、インターネットを用いるすべてのタイプの電子トランザクションに適用可能である。カード所有者は、カード207内部に保持される個人情報の種類を決定する。たとえば、カード207は、パスワード、SSN、およびクレジットカード番号を含み得る。情報は、スマートカード207内部で、または安全なリモートサーバ303内部で暗号化され/復号されるので、情報は、ユーザが使うローカルコンピュータ203から隠される。キーストロークロギングも他のロギング機構も、トランザクションを成立させるのに必要な機密の個人情報を取得することはできない。
本発明の実施形態の一特徴は、スマートカード207とサービスプロバイダのリモートサーバ303との間の安全なインターネット接続を確立し、安全な接続を介して、スマートカード207とサーバ303の間で、暗号化された情報を直接送ることである。2つの代替実施形態は、(1)カード207がリモートサーバ303に機密個人データを送ること、および(2)リモートサーバ303がカード207からデータを取り出すことを含む。
インターネットスマートカードを使って好ましい実施形態が説明されるが、本発明のシステムおよび方法は、他の安全なトークンにも当てはまる。
インターネットスマートカード207
インターネットスマートカード207が、同時係属中の米国特許出願第60/506992号「SECURE NETWORKING USING A RESOURCE―CONSTRAINED DEVICE」明細書においてより詳細に記載されている。スマートカードとは、改竄が難しく、安全、かつポータブルなマイクロプロセッサカードである。インターネットスマートカード207はさらに、米国特許出願第60/506992号明細書に記載されているように、安全なインターネットノードである。したがって、インターネットスマートカード207と他のインターネットノードの間に安全なインターネット接続を確立することが可能である。セキュリティ境界は、インターネットスマートカード207の内部であり、たとえば、インターネットスマートカードは、SSLまたはTLSとして実装される。したがって、カード207と別のインターネットノード、たとえば、リモートサーバ303との間に、安全なSSL/TLS接続が確立され得る。これは実際には、カード207からリモートアプリケーション、たとえばサーバアプリケーション309へのSSL VPNである。
本発明の一実施形態において、ユーザ情報は、カードのパーソナライズプロセス中に、スマートカード207上に記憶される。発行後のパーソナライズによって、カードが発行された後に追加個人情報をカード207上に記憶しても、カード207上の情報を安全に変更してもよいであろう。ユーザは、安全なコンピュータを使ってスマートカードをカスタマイズし、たとえば、PINを変えることもできる。スマートカードは、ユーザの許可において信頼できるクライアントまたはサーバに情報を公開するだけである。
好ましい実施形態では、インターネットスマートカード207は、以下のことを行うことができる。
1.インターネットクライアントおよびインターネットサーバとの安全な接続を同時に確立する。カードは、インターネットクライアントに対してサーバである。カードは、リモートサーバに対してクライアントにもサーバにもなり得る。
2.インターネットクライアントと安全に通信する。
3.インターネットサーバと安全に直接通信する。スマートカードは、カード内部のデータを暗号化し、暗号化されたデータを他のインターネットノードに送り、カード内部のデータを復号する。
4.リモートサーバが情報を得ようとすると、クライアントアプリケーションを介してユーザに通知する。ユーザが認証したときのみ、情報を公開する。
インターネットスマートカード207が接続されたとき、相互認証が実施されることが重要である。SSLを用いた場合、クライアント認証は任意選択である。ただし、サーバとしてインターネットスマートカード207を用いた場合、クライアント認証は必須である。それ以外の場合、サーバ認証が実施されさえすれば、クライアントは保護されるが、スマートカード207は保護されない。
インターネットクライアントアプリケーション
ウェブブラウザ305、307は、インターネットクライアントアプリケーションである。こうしたブラウザは、ローカルコンピュータ301上で実行されるローカルクライアントである。ユーザ205は、ウェブブラウザを使って、インターネットサービスプロバイダによって提供されるサービスにアクセスする。この書類に提示される技術は、インターネットエクスプローラ、Netscape、SafariまたはMozillaなど、標準ウェブブラウザに対するいかなる変更も必要としない。ウェブブラウザに対する唯一の要件は、HTTPS接続をサポートすることである。ユーザ205は、ウェブブラウザの1つのインスタンス307を使って、サービスプロバイダのリモートサーバ303に接続し、ウェブブラウザの別のインスタンス305を使って、自分のインターネットスマートカード207に接続する。
ユーザ対話
本発明の一実施形態による、身元情報の窃盗を防ぐ技術は、ユーザ205が、ブラウザなどのインターネットクライアントアプリケーションを介して安全なリモートサーバ303と対話する際、特定のユーザ対話をもたらす。機密の個人情報に対して、タイプ入力するのではなく、ユーザ205は、自分のインターネットスマートカード207から信頼できるサーバ、たとえば、リモートサーバ303に情報を直接送ることを選ぶことができる。たとえば、ユーザ205は、本発明によってオンライントランザクションを実施するため、たとえば、銀行で新規口座を作成し、または既存の口座にアクセスするために、以下のステップを行ってよい。
1.ウェブブラウザ(B1)305からユーザのインターネットスマートカード207まで、安全な接続を確立する。スマートカード207がユーザ205を識別するのに、PIN番号または生体情報が使われる。
2.ブラウザ(B1)305を介して、スマートカード207に、安全なリモートサーバ303との安全な接続を確立するよう要求する。
3.別のウェブブラウザ(B2)307をスタートし、B2 307からリモートサーバ303まで、安全な接続を確立する。入力要求されると、ユーザ205は、共有の秘密の値を入力する。
4.B2 307において、要求されたフォーム、たとえば、新規口座を作成するフォームや、既存の口座にアクセスするフォームに記入する。機密の個人情報、たとえば、社会保障番号やクレジットカード番号に対して、ユーザ205は、スマートカード207からリモートサーバ303へデータを直接かつ安全に送ることを選ぶ。
5.ブラウザB1 305から、スマートカード207中に記憶された情報を選択し、スマートカード207は、情報をリモートサーバ303に送る。
6.終了すると、ユーザ205は、両方のブラウザインスタンス、すなわちB1 305およびB2 307からログアウトする。
以下のワークフローに関するセクションは、ユーザ205、ブラウザインスタンス305、307の間の相互作用のより詳細な説明を含む。スマートカードと接続する段階(上のステップ1)で、ホストコンピュータ203(ローカルクライアントアプリケーション、ブラウザB1 305が実行されている)が危険にさらされ、PINコードが、たとえばキーボードロガーを介して取り込まれたとしても、窃盗犯は、カード207を所有していないので、PINを使ってもほとんど何もすることができない。さらに、取り込まれたほとんどの情報は、オフラインで分析される。PINを取り込んだ何者にとっても、PINがどのスマートカード用であるか判定するのは、不可能ではないとしても極めて困難であろう。
リモートサーバ303の観点からのスマートカード207とユーザ205の間の関連づけ
サービスプロバイダのリモートサーバ303は通常、相異なるインターネットノードから多数のクライアントアプリケーションに同時にサービス提供することができる。したがって、リモートサーバ303は、多数のインターネットスマートカード207に同時に接続してよい。クライアントアプリケーション307、スマートカード207およびリモートサーバ303の間の安全なトランザクションに対して、本発明の好ましい実施形態は、以下の疑問に対処するための機構を提供する。
1.ユーザ205は、自分のスマートカード207とは異なるインターネットノード203中にクライアントアプリケーション307が存在するある特定のセッションのために、リモートサーバ303に、自分のクライアントアプリケーション307を自分のスマートカード207にどのように関連付けさせるのか?
2.あるユーザ205が、自分のクライアントアプリケーション307を介して、他のユーザのスマートカードに関連付けるのをどのようにして防止するのか?
図4は、本発明による、サーバと多数のクライアントおよびスマートカードの間の安全な論理接続を図示したものである。グラフ400中のノードは、サーバ303、クライアント301、またはスマートカード207を表す(文字による指定(k、m、n)は、同様の装置の異なるインスタンスを示すのに使われる)。
接続はすべて安全であり、各々が、一意の共有の秘密に関連づけている。エッジ401{ノードi、ノードj}は、したがって、チャネルによって指定され、四つ組(quadruplet){(ノードiのIPアドレスおよびポート番号)、(ノードjのIPアドレスおよびポート番号)}、ならびにノードiとノードjの間の共有の秘密である。各ノードは、ノードに接続するエッジを知っており、それだけを知っている。上の疑問は、以下のように言い換えられ得る。
1.安全なリモートサーバ303は、クライアントn(301n)をカードn 207nにどのように関連付けるのか?
2.クライアントノードk 301kは、サーバノード303に、カード207nと関連付けるよう依頼するのをどのようにして防止するのか?
以前言及したように、ユーザ205は、自分のインターネットスマートカード207(カードn)に、カード207とリモートサーバ303の間の接続を開始するよう要求する。カード207は、リモートサーバ303にユーザのログイン証明、クライアントノード(クライアントn)のIPアドレスおよび秘密PIN(sPin)を送る。リモートサーバ303は、こうした情報を用いて、ユーザ205、クライアントノード301およびスマートカード207の間の関連づけを確立する。ユーザ205は、ウェブブラウザ307(クライアントn 307n)を介してリモートサーバ303にアクセスすると、sPinを入力する。クライアントノード301のIPアドレスおよび秘密PINから、リモートサーバ303は、ユーザ205のスマートカード207n(カードn)にマップする。悪意のあるユーザ、すなわちクライアントk 301kが、クライアントnのIPアドレスを介してサーバ303に接続しようと装う場合があるが、秘密PINをもたないので、関連づけを確立することができない。
各インターネットスマートカード207の所有者は、そのカード用の秘密PINを制御する。リモートサーバ303は、1つのセッションのみに対して、秘密PINの記録を維持する。秘密PINを含む、ユーザ、クライアント、カードの間の関連づけは、セッションが終了されると削除される。セキュリティのために、この秘密PINは、ユーザがカードにログインするのに使うスマートカードPINとは異なるべきである。
この秘密PINは、セッション中、ユーザ205とリモートサーバ303の間の共有の秘密として作用する。ユーザは、この秘密が自分のインターネットスマートカードからのものなので、この秘密を知っている。ユーザは、カード中に記憶された信頼できるサービスプロバイダそれぞれに対してsPINを制御する。一方、リモートサーバ303は、この秘密がスマートカード207からリモートサーバ303に安全に渡されたものなので、この秘密を知っている。
ユーザ205が、危険にさらされる公開PCに向かっている場合、ユーザがタイプ入力するどのキーストロークも、ユーザが知ることなく取り込まれ記憶される可能性がある。従来のユーザ名/パスワードログイン機構を用いた場合、悪意のある人が、取り込まれたユーザ名/パスワードを使って、リモートサーバにあるユーザのアカウントにログインすることができる。ユーザ名/パスワードは、リモートサーバ上に残る。一方、sPinは、リモートサーバの観点からは、一回限りのPINである。したがって、sPinが取り込まれたとしても、sPinは、インターネットスマートカード207なしでは、再度ログインするのに使われることができない。
sPinが使われない場合、悪意のあるコードが、ローカルPCと同じIPアドレスからのものと装って、リモートサーバ303にログイン要求を送る可能性もある。この悪意のあるコードは、リモートサーバ303へのアクセスを獲得し、ユーザのインターネットスマートカード207から機密情報を取得することができる。sPINの使用は、この可能な抜け穴を塞ぐ。
ワークフロー
上述したように、機密情報がリモートサーバ303によってプルされるのか(プルモデル)、それともリモートサーバ303にプッシュされるのか(プッシュモデル)に関して、本発明の2つの代替実施形態がある。両方のケースにおいて、情報は、インターネットスマートカード207からリモートサーバ303に流れる。プッシュモデルは、インターネットスマートカード207がIPアドレスを有し、インターネット209に接続されるほとんどのネットワーク構成において使われ得る。しかしながら、プルモデルは、インターネットスマートカード207が、接続されているLAN外部からグローバルにアクセス可能な場合にのみ使われ得る。
図5は、スマートカード207が機密個人データをリモートサーバ303にプッシュするプッシュモデルを示し、このモデルにおける3つの主要要素、すなわち、ローカルPC203、インターネットスマートカード207およびサービスプロバイダのリモートサーバ303の対話を示すタイミングおよびデータフロー図である。プッシュモデルにおいて、インターネットスマートカード207のIPアドレスは、スマートカード207が接続されているLANの外部からアクセス可能でも、可能でなくてもよい。要素間の相互作用を指す矢印はすべて、SSL/TLSプロトコルを用いたHTTPS接続を表す。
1.ユーザ205は、ローカルPC203上でウェブブラウザB1 305をスタートする。ブラウザB1 305は、インターネットクライアントアプリケーションとして作用する。
2.ステップ502で、B1 305から、ユーザは、インターネットスマートカード207に接続し、安全なHTTPS接続を介し自分のPINを使って自分の認証を行う。
3.認証されると、ユーザ205は、信頼できるサービスプロバイダ503のリストを提示される。ユーザは、サービスプロバイダを選び、ステップ505で、インターネットスマートカードに、このサービスプロバイダとの安全な接続を確立するよう依頼する。
4.インターネットスマートカード207は、選択されたサービスプロバイダに対応するリモートサーバ303のIPアドレスを知る。カード207は、ステップ507で、SSL/TLSプロトコルを用いてリモートサーバ303との安全な接続を確立し、スマートカード上に記憶された以下のデータ509をリモートサーバ303に送る。
a.クライアントIP:ローカルPC203のIPアドレス
b.カードIP:インターネットスマートカード207のIPアドレス
c.ログイン証明:こうした証明は、ユーザ205がリモートサーバ303において認証されることを可能にする。こうした証明の例は、ユーザ名およびパスワードでよい。
d.sPin:ユーザがリモートサーバ303とのセッションを実際に開始する際に一段階上のレベルの認証をもたらす共有の秘密PIN。
5.ステップ4で送られたデータ509を受け取った後、リモートサーバ303は、ステップ511で、クライアントIPを他の3つの属性、すなわちカードIP、ログイン証明、sPinとリンクする内部マップを作成する。
6.ユーザ205はここで、B1 305中のリンクをクリックして、ウェブブラウザの別のインスタンス、すなわちB2 307を、リモートサーバ303の認証ページに設定されたURLで起動する(ステップ513)。
7.第2のブラウザインスタンスB2 307が、ステップ515で、リモートサーバ303に接続して、新規セッションを要求する。
8.ローカルPC203から新規セッション要求を受け取った後、リモートサーバ303は、要求が、ステップ4においてメッセージ509中で渡されたのと同じクライアントIPアドレスからのものであると判定することができる。リモートサーバ303は、ステップ517で、このクライアントIPのマッピングに、「接続済」とフラグを立てるが、まだ「認証済」ではない。接続済は、ユーザが対応するIPアドレスから接続していることを意味し、1つの接続しか許可されないので、後に続くどの接続要求も引き受けられない。
9.現在のセッションを認証するために、リモートサーバ303は、この接続に対応するsPinを入力するようユーザ205に依頼するメッセージ519をユーザ205に送る。
10.次に、リモートサーバ303は、ステップ521で、トランザクションを続けるようにユーザ205が認証され許可され得るかどうか判定する。ユーザ205によって入力されたsPinが、クライアントIP用のマップ中のものと一致する場合、ユーザ205は、やはり同じマップ中に記憶されている、適切な証明を用いてログインしている。ワークフローはここで、ステップ12(図5に要素523と示される)で継続し得る。
11.しかし、ユーザ205によって入力されたsPinがマップ中のものと一致しない場合、リモートサーバ303は、ユーザ205への接続を閉じる。アクセスは許可されない。さらに、クライアントIPをある特定のユーザアカウントおよびインターネットスマートカードにリンクするマップが、ステップ521’で破棄される。以下に列挙される、後に続くステップは無意味になる。
12.アクセスが認められると、ユーザ205は、この時点で、ブラウザB2 307を介してリモートサーバ303によって提供されるウェブサービスと対話することができる(523)。この対話における一ステップは、何らかの機密情報(たとえばユーザのクレジットカード番号および有効期限)が、手でタイプされるのではなく、インターネットスマートカードから取り出されることを要求するものでよい。ユーザ205は、リモートサーバ303に、インターネットスマートカード207がこの情報を送ることを指示する。
13.リモートサーバ303はここで、機密情報がインターネットスマートカード207から届くのを待つ(525)。リモートサーバ303でのトランザクションならびにウェブブラウザB2 307上でのユーザインタフェースは、待機モードに入る。
14.ユーザ205はここで、インターネットスマートカード上で、ウェブサーバに接続されるブラウザB1 305に切り換える。ユーザ205は、ステップ527で、リモートサーバ303に送る機密情報を選択し、メッセージ529で、カード207と対話して、リモートサーバ303に送られるべき機密情報を送るようカードに命令する。これは、リモートサーバ303が待っているのと同じ情報である。
15.スマートカード207は、ステップ531で、リモートサーバに選択された情報を送り、リモートサーバ303からの応答メッセージ533を読む。応答は、トランザクションの状況およびリモートサーバ303が返送したいと望むどの付加情報も含み得る。
16.リモートサーバは、メッセージ531中で受け取られた機密情報を使って、ステップ13で待機状態に置かれたトランザクションをステップ535で完了する。
17.リモートサーバ303は、ブラウザB2 307にアップデートメッセージ537を送って、ブラウザB2 307上のユーザインタフェースを、要求されたトランザクションが完了されたことを示すように更新させる。
18.ユーザ205は、メッセージ539で、リモートサーバ303からログアウトする。
19.ユーザログアウト要求539を受け取った後、リモートサーバは、ステップ541で、クライアントIPのマッピングを消去する。この消去は、後に続くトランザクションがスマートカード207に送られるのを防ぐ。
20.ユーザ205は、メッセージ543で、自分のインターネットスマートカード207からログアウトし、リーダからスマートカード207を取り外してよい。
プルモデル
プルモデルにおいて、インターネットスマートカード207は、接続されているLANの外部からアクセス可能であるようにネットワーク209に接続される。この接続は、外部のクライアントが、インターネットスマートカード207上のウェブサーバに接続し、機密情報をプルすることを可能にする。図6は、リモートサーバ303がインターネットスマートカード207から機密個人データをプルするプルモデルを示すタイミングおよびデータフロー図であり、このモデルにおける3つのキー要素、すなわち、ローカルPC203、インターネットスマートカード207およびサービスプロバイダのリモートサーバ303の対話を示す。図5でのように、要素間の相互作用を指すすべての矢印は、SSL/TLSプロトコルを用いたHTTPS接続を表す。
プルモデルにおけるいくつかのステップ(番号1〜11)は、プッシュモデルと同一であるが、完全に説明するためにここで繰り返される。同様に、同じ要素およびアクションは、図5、6中で同じ参照番号を有する。
1.ユーザ205は、ローカルPC203上でウェブブラウザB1 305をスタートする。ブラウザB1 305は、インターネットクライアントアプリケーションとして作用する。
2.ステップ502で、B1 305から、ユーザは、インターネットスマートカード207に接続し、安全なHTTPS接続を介し自分のPINを使って自分の認証を行う。
3.認証されると、ユーザ205は、信頼できるサービスプロバイダ503のリストを提示される。ユーザは、サービスプロバイダを選び、ステップ505で、インターネットスマートカードに、このサービスプロバイダとの安全な接続を確立するよう依頼する。
4.インターネットスマートカード207は、選択されたサービスプロバイダに対応するリモートサーバ303のIPアドレスを知る。カード207は、ステップ507で、SSL/TLSプロトコルを用いてリモートサーバ303との安全な接続を確立し、スマートカード上に記憶された以下のデータ509をリモートサーバ303に送る。
a.クライアントIP:ローカルPC203のIPアドレス
b.カードIP:インターネットスマートカード207のIPアドレス
c.ログイン証明:こうした証明は、ユーザ205がリモートサーバ303において認証されることを可能にする。こうした証明の例は、ユーザ名およびパスワードでよい。
d.sPin:ユーザがリモートサーバ303とのセッションを実際に開始する際に一段階上のレベルの認証をもたらす共有の秘密PIN。
5.ステップ4で送られたデータ509を受け取った後、リモートサーバ303は、ステップ511で、クライアントIPを他の3つの属性、すなわちカードIP、ログイン証明、sPinとリンクする内部マップを作成する。
6.ユーザ205はここで、B1 305中のリンクをクリックして、ウェブブラウザの別のインスタンス、すなわちB2 307を、リモートサーバ303の認証ページに設定されたURLで起動する(ステップ513)。
7.第2のブラウザインスタンスB2 307が、ステップ515で、リモートサーバ303に接続して、新規セッションを要求する。
8.ローカルPC203から新規セッション要求を受け取った後、リモートサーバ303は、要求が、ステップ4においてメッセージ509中で渡されたのと同じクライアントIPアドレスからのものであると判定することができる。リモートサーバ303は、ステップ517で、このクライアントIPのマッピングに、「接続済」とフラグを立てるが、まだ「認証済」ではない。接続済は、ユーザが対応するIPアドレスから接続していることを意味し、1つの接続しか許可されないので、後に続くどの接続要求も引き受けられない。
9.現在のセッションを認証するために、リモートサーバ303は、この接続に対応するsPinを入力するようユーザ205に依頼するメッセージ519をユーザ205に送る。
10.次に、リモートサーバ303は、ステップ521で、トランザクションを続けるようにユーザ205が認証され許可され得るかどうか判定する。ユーザ205によって入力されたsPinが、クライアントIP用のマップ中のものと一致する場合、ユーザ205は、やはり同じマップ中に記憶されている、適切な証明を用いてログインしている。ワークフローはここで、ステップ12(図6に要素623と示される)で継続し得る。
11.しかし、ユーザ205によって入力されたsPinがマップ中のものと一致しない場合、リモートサーバ303は、ユーザ205への接続を閉じる。アクセスは許可されない。さらに、クライアントIPをある特定のユーザアカウントおよびインターネットスマートカードにリンクするマップが、ステップ521’で破棄される。以下に列挙される、後に続くステップは無意味になる。
12.アクセスが認められると、ユーザ205は、この時点で、ステップ623でB2 307を介してリモートサーバ303によって提供されるウェブサービスと対話することができる。この対話の一側面は、何らかの機密情報(たとえばユーザのクレジットカード番号および有効期限)が、手でタイプされるのではなく、リモートサーバ303によってインターネットスマートカード207から取り出されることを要求するものでよい。
13.リモートサーバ303は、メッセージ625で、この要求をインターネットスマートカード207にフォワードする。リモートサーバ303は、機密情報を求める要求を開始するので、プルモデルである。リモートサーバ303は、インターネットスマートカード207から情報をプルしている。
14.インターネットスマートカード207は、要求された機密情報を直ちに返送するわけではない。そうではなく、メッセージ627で、リモートサーバ303がこの情報を要求していることをユーザ205に通知する。この通知は、インターネットスマートカード207に接続されたウェブブラウザB1 305を介してユーザ205に送られる。
15.ユーザは、メッセージ629で、承認または拒否どちらかで応答する。
16.インターネットスマートカード207は次いで、メッセージ631で、ユーザ205から受け取られた応答に基づいてリモートサーバ303に応答する。ユーザ205が承認した場合、機密情報は、リモートサーバ303に送られる。承認しなかった場合、拒絶メッセージが送られる。
17.スマートカード207によって機密情報が送られると、リモートサーバ303は、ステップ633で、トランザクションを完了する。拒絶メッセージが受け取られると、リモートサーバ303は、トランザクションを破棄する(図示せず)。トランザクションが完了した後、リモートサーバは、メッセージ635で、状況およびどの付加情報もインターネットスマートカードに送る。
18.ユーザは、メッセージ637で、リモートサーバからログアウトする。
19.ユーザログアウト要求を受け取った後、リモートサーバは、ステップ639で、クライアントIPのマッピングを消去する。この消去は、後に続くトランザクションがスマートカードに送られるのを防ぐ。
20.ユーザは、メッセージ641で、自分のインターネットスマートカード207からログアウトする。
プッシュおよびプルモデルの比較
上述したように、インターネットスマートカード207がIPアドレスを有する限り、ほとんどのネットワーク構成においてプッシュモデルが使われ得る。このIPアドレスは、グローバルにアクセス可能でも、一意でもよい。さらに、インターネットスマートカード207上で実行されるウェブサーバへの直接外部アクセスを防ぐファイアウォールが存在してよい。インターネットスマートカード207は、TCP/IP接続を開始し、LAN外部のウェブサーバに接続することができるので、プッシュモデルは、安全なオンライントランザクションをサポートすることができる。
対照的に、プルモデルは、インターネットスマートカード207が、LAN外部から見え、アクセス可能であるようにネットワークに接続される場合に使われ得るに過ぎない。このモデルでは、外部エンティティ、たとえばリモートサーバ303が、インターネットスマートカード207上で実行されるウェブサーバに接続する。
使用シナリオ
通常の使用シナリオにおいて、ユーザ205は、インターネットスマートカード207を携行する。カード207は、どのPC203を介してもネットワーク209に接続され得る。PC203は、公共の場所にあってよく、安全でなくてよいが、依然として、安全なオンライントランザクションのためにインターネットスマートカード207をインターネット209に接続するのに使われ得る。このシナリオは、「自分がもっているもの」というパラダイムのセキュリティを付加する。インターネットスマートカード207は、トランザクションが完了されると、ネットワークから取り外され、ユーザのポケットの中に返され得る。ユーザのポケットの中にあるときは、悪意のあるコードがインターネットスマートカード207に対して攻撃をしかけることはできない。このような攻撃に対抗する保護策も存在するが、ネットワーク上にカード207を置かないことが、このような攻撃が起こる万が一の可能性さえも妨げる。
身元情報の窃盗に基づくスクリーンキャプチャの防止
キーストロークロガーに加え、人々がコンピュータ上で何をしているかを監視し、インターネットを介してログを送ることができる他のスパイ機構が存在する。たとえば、一部の製品は、コンピュータスクリーンを取り込み、他の製品は、スクリーンおよびキーストローク両方を取り込む。取り込まれた情報は、インターネット経由で伝送されるか、または機密情報、たとえばパスワードを抽出する分析のために後で取り出される。
本発明による、身元情報の窃盗を防止する方法は、オンラインの身元情報の窃盗に基づくスクリーンキャプチャも防止することができる。機密情報は、暗号化され、インターネットスマートカード207と安全なリモートサーバ303の間で直接送られる。ユーザ205が使っているローカルコンピュータ203には、このような情報は平文で見えず、したがって、スクリーンに表示することができない。したがって、スクリーンキャプチャラは、情報を得ることができない。
ユーザ205によって手入力される機密情報のただ2つの部分は、スマートカードに対して自分を認証するための自分のPIN、およびリモートサーバ303に対して認証するためのsPinである。このいずれも、現在のセッションをいかなる形でも危険にさらすことはない。取り込まれた場合であっても、PINおよびsPINは、インターネットスマートカード207への物理的アクセスなしでは有用でない。さらに、こうした値は両方とも、ユーザが、たとえばユーザの家庭または職場における安全なPC環境に戻ると、容易に変えられ得る。
結論
本発明は、インターネットスマートカードを使って、オンラインでの身元情報の窃盗を防止し、オンライントランザクションを安全にする新たなシステムおよび方法を提示する。この新たな方法を用いると、スマートカード207と、銀行などのサービスプロバイダの安全なリモートサーバ303との間に、安全なインターネット接続が確立される。パスワード、SSN、およびクレジットカード番号などの個人情報は、スマートカード207中に記憶される。情報は、スマートカード207中に暗号化され、ユーザの許可によりカードからサーバ303に直接安全に送られる。したがって、どの機密の個人情報も、ローカルコンピュータ203およびインターネット209を平文(暗号化されていない)形式で経由しない。この機構は、暗号化される前に情報をコンピュータ上で取り込む身元情報の窃盗機構に対抗する。この方法は、安全なインターネットスマートカードの形に限定されない。この方法は、インターネットノードであるとともにトークン内部のセキュリティ境界を有する他の安全なトークンにも当てはまる。
キーボードロガーまたは同様のプログラムもしくはハードウェアを使って、身元情報の窃盗がどのようにして実現され得るかを示す図である。 キーボードロガーまたは同様のプログラムもしくはハードウェアを使って、身元情報の窃盗がどのようにして実現され得るかを示す図である。 キーボードロガーまたは同様のプログラムもしくはハードウェアを使って、身元情報の窃盗がどのようにして実現され得るかを示す図である。 本発明の好ましい実施形態において利用される2つの代替物理構成を示す図である。 本発明の好ましい実施形態において利用される2つの代替物理構成を示す図である。 本発明によるインターネットスマートカードを用いた、インターネットを介した論理接続を示す図である。 本発明による、サーバと多数のクライアントおよびスマートカードとの間の安全な論理接続を示す図である。 本発明による、インターネットスマートカードからリモートサーバに機密の私的情報を伝送するプッシュモデルを示すタイミングおよびデータフロー図である。 本発明による、インターネットスマートカードから機密の私的情報をリモートサーバによって取り出すプルモデルを示すタイミングおよびデータフロー図である。

Claims (17)

  1. 信頼できないクライアントコンピュータから行われる個人情報の盗難を未然に防ぐように設計されたやり方で、ユーザインタフェースを有する信頼できないクライアントコンピュータとコンピュータネットワークに接続されたサーバコンピュータを含むコンピュータネットワークを介してトランザクションを安全にするために安全な計算装置を使用する方法であって、
    信頼できないクライアントコンピュータとネットワークに、有線接続又は無線接続で安全な計算装置を接続すること、
    安全な計算装置が、信頼できないクライアントコンピュータに利用可能なサービスのリストを伝達すること、
    信頼できないクライアントコンピュータが、利用可能なサービスのリストの受取りに応答して、ユーザインタフェースを用いて、利用可能なサービスのリストをユーザに表示すること、
    ユーザによる、利用可能な1つのサービスの選択に応答して、安全な計算装置が、サーバコンピュータまで安全な接続を確立すること、
    安全な接続を介して、安全な計算装置が、サーバコンピュータに、ログイン証明と共有の秘密を含む私的情報を安全に伝達すること、
    信頼できないクライアントコンピュータが、サーバコンピュータまで安全な接続を確立すること、
    サーバコンピュータが、安全な計算装置と信頼できないクライアントコンピュータの間に一対一のマッピングを生成すること、
    サーバコンピュータが、信頼できないクライアントコンピュータからユーザによる共有鍵の試みられた入力を受信すること、
    前記共有鍵の試みられた入力が、前記共有の秘密と一致する場合には、サーバコンピュータが、信頼できないクライアントコンピュータにサーバコンピュータにより提供されるサービスと対話することを許可すること、
    を含む方法。
  2. 私的情報に基づいてユーザを認証すること、および
    ユーザの認証の成功に応答して、クライアントコンピュータとサーバコンピュータの間のトランザクションを行うことをさらに含む請求項1に記載の方法。
  3. 共有の秘密が、秘密の個人識別番号(SPIN)である請求項1に記載の方法。
  4. ユーザ識別情報が安全な計算装置からサーバコンピュータに伝送され、前記ユーザ識別情報は信頼できないクライアントコンピュータについての一意の識別子を含み、一対一マッピングが一意の識別子を使用して生成される請求項1に記載の方法。
  5. 安全な計算装置がスマートカードである請求項1に記載の方法。
  6. 信頼できないクライアントコンピュータから行われる個人情報の盗難を未然に防ぐように設計されたやり方での、ユーザインタフェースを有する信頼できないクライアントコンピュータとサーバコンピュータを含むコンピュータネットワークを介した安全なトランザクションのための方法であって、
    ネットワークに、有線接続又は無線接続で安全な計算装置を接続すること、
    安全な計算装置が、サーバコンピュータへ安全な接続を確立すること、
    安全な接続を介して、安全な計算装置が、サーバコンピュータに、ログイン証明と共有の秘密を含む私的情報を安全に伝達すること、
    信頼できないクライアントコンピュータが、サーバコンピュータまで安全な接続を確立すること、
    サーバコンピュータが、安全な計算装置と信頼できないクライアントコンピュータの間に一対一のマッピングを生成すること、
    サーバコンピュータが、信頼できないクライアントコンピュータからユーザによる共有鍵の試みられた入力を受信すること、
    サーバコンピュータが、私的情報のログイン証明を使ってユーザを認証すること、および
    ユーザの認証の成功に応答して、サーバコンピュータが、信頼できないクライアントコンピュータとサーバコンピュータの間のトランザクションを行うことを含む方法。
  7. 私的情報を安全に伝達するステップは、サーバコンピュータへ私的情報を伝送するように安全な計算装置を動作させることを含む請求項6に記載の方法。
  8. サービスへのユーザ認証の成功に応答して、
    安全な計算装置がトランザクションに必要な情報を送るという指示をサーバに伝送するように、クライアントを動作させること、
    安全な計算装置からの情報を待つように、サーバを動作させること、
    トランザクションに必要な情報がクライアント上で選択されるように、クライアントを動作させること、および
    クライアント上で選択されたトランザクションに必要な情報に応答して、選択された情報を安全にサーバに伝送するように、安全な計算装置を動作させることをさらに含む請求項7に記載の方法。
  9. 私的情報を安全に伝達するステップは、安全な計算装置から私的情報を取得するように、サーバコンピュータを動作させることを含む請求項6に記載の方法。
  10. ユーザ認証の成功に応答して、トランザクションを完了するのに必要な情報を提供するための要求を安全な計算装置に伝送するように、サーバを動作させること、
    サーバからの、トランザクションを完了するのに必要な情報を求める要求に応答して、トランザクションを完了するのに必要な情報を求める要求をサーバが行ったことをクライアントに通知するように、安全な計算装置を動作させること、
    トランザクションを完了するのに必要な情報をサーバが要求しているという、安全な計算装置からの通知に応答して、要求に対するユーザの承認または拒否を取得するように、クライアントを動作させること、および
    ユーザの承認に応答して、要求された情報を、安全な計算装置からサーバコンピュータに安全に伝送することをさらに含む請求項6に記載の方法。
  11. キーストロークロギングを介した個人情報の盗難を未然に防ぐように設計されたやり方で、ユーザインタフェースを有する信頼できないクライアントコンピュータとサーバコンピュータを含むコンピュータネットワークを介して安全なトランザクションを遂行するシステムであって、
    コンピュータネットワークに接続され、サーバコンピュータおよび信頼できないクライアントコンピュータとの安全な接続を確立することが可能な安全な計算装置とを備え、
    安全な計算装置が、ログイン証明と共有の秘密を含む私的情報を記憶するように動作可能な論理回路を有し、
    安全な計算装置が、信頼できないクライアントコンピュータを操作するユーザとサーバコンピュータの間のトランザクションの開始に応答して、サーバコンピュータに私的情報を安全に伝送するように動作可能な論理回路を有し、
    サーバコンピュータは、識別情報を含むメッセージを受信するように動作可能な論理回路を有し、
    サーバコンピュータが、識別情報を含むメッセージの受信に応答して、安全な計算装置と信頼できないクライアントコンピュータの間に一対一のマッピングを生成し、
    サーバコンピュータが、信頼できないクライアントコンピュータからユーザによる共有鍵の試みられた入力を受信し、
    前記共有鍵の試みられた入力が、前記共有の秘密と一致する場合には、サーバコンピュータが、信頼できないクライアントコンピュータにサーバコンピュータにより提供されるサービスと対話することを許可する、システム。
  12. 安全な計算装置が、サーバコンピュータにマップを伝送するための論理回路を有し、マップが、クライアントIP、カードIP、ログイン証明、および秘密の個人識別番号(SPIN)である要素を有し、
    サーバコンピュータが、SPINを入力するよう、ユーザに要求するための論理回路および入力されたSPINがマップ中のSPINと一致することを検証するための論理回路を有する請求項11に記載のコンピュータネットワークを介して安全なトランザクションを遂行するシステム。
  13. サーバコンピュータが、ユーザによって入力されたSPINがマップのSPINと一致しない場合、サーバコンピュータに伝送された前記マップを破棄するための論理回路を有する請求項12に記載のコンピュータネットワークを介して安全なトランザクションを遂行するシステム。
  14. ユーザによって要求されると、安全な計算装置が、私的情報を伝送する請求項11に記載のコンピュータネットワークを介して安全なトランザクションを遂行するシステム。
  15. サーバコンピュータによって要求されると、安全な計算装置が、私的情報を伝送する請求項12に記載のコンピュータネットワークを介して安全なトランザクションを遂行するシステム。
  16. 安全な計算装置が、ユーザによって許可された場合のみ、サーバコンピュータに私的情報を伝送する請求項15に記載のコンピュータネットワークを介して安全なトランザクションを遂行するシステム。
  17. サーバコンピュータが、無効なSPIN、ユーザからの許可の拒否、およびトランザクション完了に応答して、サーバコンピュータに伝送された前記マップを破棄する請求項16に記載のコンピュータネットワークを介して安全なトランザクションを遂行するシステム。
JP2006538984A 2003-11-13 2004-11-10 安全な計算装置を使って身元情報の窃盗を防ぐシステムおよび方法 Active JP4949032B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US52002203P 2003-11-13 2003-11-13
US60/520,022 2003-11-13
US10/750,430 2003-12-31
US10/750,430 US7392534B2 (en) 2003-09-29 2003-12-31 System and method for preventing identity theft using a secure computing device
PCT/IB2004/003681 WO2005048087A1 (en) 2003-11-13 2004-11-10 System and method for preventing identity theft using a secure computing device.

Publications (2)

Publication Number Publication Date
JP2007513406A JP2007513406A (ja) 2007-05-24
JP4949032B2 true JP4949032B2 (ja) 2012-06-06

Family

ID=34594985

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006538984A Active JP4949032B2 (ja) 2003-11-13 2004-11-10 安全な計算装置を使って身元情報の窃盗を防ぐシステムおよび方法

Country Status (6)

Country Link
US (1) US7392534B2 (ja)
EP (1) EP1716468B1 (ja)
JP (1) JP4949032B2 (ja)
AT (1) ATE527615T1 (ja)
ES (1) ES2378298T3 (ja)
WO (1) WO2005048087A1 (ja)

Families Citing this family (103)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8209753B2 (en) * 2001-06-15 2012-06-26 Activcard, Inc. Universal secure messaging for remote security tokens
US20040218762A1 (en) 2003-04-29 2004-11-04 Eric Le Saint Universal secure messaging for cryptographic modules
US7840459B1 (en) * 2003-05-22 2010-11-23 Visa U.S.A. Inc. Method and apparatus for identity theft prevention
US20050269401A1 (en) * 2004-06-03 2005-12-08 Tyfone, Inc. System and method for securing financial transactions
EP1782324B1 (en) * 2004-08-24 2009-10-07 Gemalto SA A personal token and a method for controlled authentication
DE102004044454A1 (de) * 2004-09-14 2006-03-30 Giesecke & Devrient Gmbh Tragbares Gerät zur Freischaltung eines Zugangs
US9537768B2 (en) 2004-09-30 2017-01-03 Rockwell Automation Technologies, Inc. System that provides for removal of middleware in an industrial automation environment
US8160244B2 (en) * 2004-10-01 2012-04-17 Broadcom Corporation Stateless hardware security module
US20070229350A1 (en) * 2005-02-01 2007-10-04 Scalisi Joseph F Apparatus and Method for Providing Location Information on Individuals and Objects using Tracking Devices
US7598855B2 (en) 2005-02-01 2009-10-06 Location Based Technologies, Inc. Apparatus and method for locating individuals and objects using tracking devices
US7581678B2 (en) 2005-02-22 2009-09-01 Tyfone, Inc. Electronic transaction card
JP4961798B2 (ja) * 2005-05-20 2012-06-27 株式会社日立製作所 暗号化通信方法及びシステム
US7610345B2 (en) * 2005-07-28 2009-10-27 Vaporstream Incorporated Reduced traceability electronic message system and method
US9282081B2 (en) 2005-07-28 2016-03-08 Vaporstream Incorporated Reduced traceability electronic message system and method
US20070037552A1 (en) * 2005-08-11 2007-02-15 Timothy Lee Method and system for performing two factor mutual authentication
US20070067620A1 (en) * 2005-09-06 2007-03-22 Ironkey, Inc. Systems and methods for third-party authentication
US8117255B2 (en) * 2005-09-07 2012-02-14 Sap Ag Systems and methods for smart client remote data monitoring
US7861077B1 (en) * 2005-10-07 2010-12-28 Multiple Shift Key, Inc. Secure authentication and transaction system and method
EP1798943A1 (en) * 2005-12-13 2007-06-20 Axalto SA SIM messaging client
ES2303422B1 (es) * 2005-12-19 2009-06-23 Universidad De Zaragoza Sistema y procedimiento de registro y certificacion de la actividad y/o comunicacion entre terminales.
US8566608B2 (en) * 2006-02-02 2013-10-22 Strikeforce Technologies, Inc. Methods and apparatus for securing keystrokes from being intercepted between the keyboard and a browser
US8434137B2 (en) * 2006-03-22 2013-04-30 Gemalto Sa Method of securely logging into remote servers
US8434148B2 (en) * 2006-03-30 2013-04-30 Advanced Network Technology Laboratories Pte Ltd. System and method for providing transactional security for an end-user device
US9112897B2 (en) * 2006-03-30 2015-08-18 Advanced Network Technology Laboratories Pte Ltd. System and method for securing a network session
WO2007148768A1 (en) * 2006-06-23 2007-12-27 Semiconductor Energy Laboratory Co., Ltd. Personal data management system and nonvolatile memory card
US20080103798A1 (en) * 2006-10-25 2008-05-01 Domenikos Steven D Identity Protection
US8359278B2 (en) 2006-10-25 2013-01-22 IndentityTruth, Inc. Identity protection
US7991158B2 (en) 2006-12-13 2011-08-02 Tyfone, Inc. Secure messaging
EP2115569A1 (en) * 2007-01-26 2009-11-11 Verdasys, Inc. Ensuring trusted transactions with compromised customer machines
US20080244208A1 (en) * 2007-03-30 2008-10-02 Narendra Siva G Memory card hidden command protocol
US8244468B2 (en) * 2007-11-06 2012-08-14 Location Based Technology Inc. System and method for creating and managing a personalized web interface for monitoring location information on individuals and objects using tracking devices
US8102256B2 (en) 2008-01-06 2012-01-24 Location Based Technologies Inc. Apparatus and method for determining location and tracking coordinates of a tracking device
US8224355B2 (en) * 2007-11-06 2012-07-17 Location Based Technologies Inc. System and method for improved communication bandwidth utilization when monitoring location information
US9111189B2 (en) * 2007-10-31 2015-08-18 Location Based Technologies, Inc. Apparatus and method for manufacturing an electronic package
US9118665B2 (en) 2007-04-18 2015-08-25 Imation Corp. Authentication system and method
US8925073B2 (en) * 2007-05-18 2014-12-30 International Business Machines Corporation Method and system for preventing password theft through unauthorized keylogging
US8527757B2 (en) * 2007-06-22 2013-09-03 Gemalto Sa Method of preventing web browser extensions from hijacking user information
CN101119232A (zh) * 2007-08-09 2008-02-06 北京艾科网信科技有限公司 日志记录方法及其记录系统
US8712050B2 (en) * 2007-09-11 2014-04-29 International Business Machines Corporation Method for implementing dynamic pseudorandom keyboard remapping
US8712049B2 (en) * 2007-09-11 2014-04-29 International Business Machines Corporation System for implementing dynamic pseudorandom keyboard remapping
US8654974B2 (en) * 2007-10-18 2014-02-18 Location Based Technologies, Inc. Apparatus and method to provide secure communication over an insecure communication channel for location information using tracking devices
DE102007050836A1 (de) * 2007-10-24 2009-04-30 Giesecke & Devrient Gmbh Internet-Smart-Card
US9741027B2 (en) * 2007-12-14 2017-08-22 Tyfone, Inc. Memory card based contactless devices
US20090172388A1 (en) * 2007-12-31 2009-07-02 Intel Corporation Personal guard
US20090172389A1 (en) * 2007-12-31 2009-07-02 Intel Corporation Secure client/server transactions
US20090172396A1 (en) * 2007-12-31 2009-07-02 Intel Corporation Secure input
US8914901B2 (en) * 2008-01-11 2014-12-16 Microsoft Corporation Trusted storage and display
DE102008004384A1 (de) * 2008-01-15 2009-07-16 Giesecke & Devrient Gmbh Sichere Datenkommunikation
US8918865B2 (en) 2008-01-22 2014-12-23 Wontok, Inc. System and method for protecting data accessed through a network connection
WO2009094371A1 (en) 2008-01-22 2009-07-30 Authentium, Inc. Trusted secure desktop
US9596250B2 (en) 2009-04-22 2017-03-14 Trusted Knight Corporation System and method for protecting against point of sale malware using memory scraping
WO2009137371A2 (en) 2008-05-02 2009-11-12 Ironkey, Inc. Enterprise device recovery
US8451122B2 (en) 2008-08-08 2013-05-28 Tyfone, Inc. Smartcard performance enhancement circuits and systems
US20100033310A1 (en) * 2008-08-08 2010-02-11 Narendra Siva G Power negotation for small rfid card
US7961101B2 (en) 2008-08-08 2011-06-14 Tyfone, Inc. Small RFID card with integrated inductive element
EP2340504A1 (en) * 2008-09-04 2011-07-06 Walletex Microelectronics Ltd. Method and apparatus for carrying out secure electronic communication
US9928379B1 (en) * 2008-09-08 2018-03-27 Steven Miles Hoffer Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor
EP2332313B1 (de) 2008-09-22 2016-04-27 Bundesdruckerei GmbH Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
US20100146605A1 (en) * 2008-12-04 2010-06-10 Pitney Bowes Inc. Method and system for providing secure online authentication
US20100153275A1 (en) * 2008-12-16 2010-06-17 Palo Alto Research Center Incorporated Method and apparatus for throttling access using small payments
JP4814965B2 (ja) * 2009-02-17 2011-11-16 本田技研工業株式会社 エゼクタおよびこのエゼクタを用いた燃料電池システム
TWI420398B (zh) * 2009-02-24 2013-12-21 Tyfone Inc 具有微型天線的無接觸裝置
US8311938B2 (en) * 2009-02-24 2012-11-13 Doxo, Inc. Provider relationship management system that facilitates interaction between an individual and organizations
US20100293090A1 (en) * 2009-05-14 2010-11-18 Domenikos Steven D Systems, methods, and apparatus for determining fraud probability scores and identity health scores
US8713325B2 (en) * 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8423783B2 (en) * 2009-11-27 2013-04-16 International Business Machines Corporation Secure PIN management of a user trusted device
US10535044B2 (en) * 2010-01-08 2020-01-14 Intuit Inc. Authentication of transactions in a network
US8438288B2 (en) * 2010-02-17 2013-05-07 Microsoft Corporation Device-pairing by reading an address provided in device-readable form
US20110238476A1 (en) * 2010-03-23 2011-09-29 Michael Carr Location-based Coupons and Mobile Devices
US8140403B2 (en) 2010-03-23 2012-03-20 Amazon Technologies, Inc. User profile and geolocation for efficient transactions
US9652802B1 (en) 2010-03-24 2017-05-16 Consumerinfo.Com, Inc. Indirect monitoring and reporting of a user's credit data
US8595840B1 (en) 2010-06-01 2013-11-26 Trend Micro Incorporated Detection of computer network data streams from a malware and its variants
EP2426652A1 (fr) * 2010-09-06 2012-03-07 Gemalto SA Procédé simplifié de personnalisation de carte à puce et dispositif associé
WO2012088344A1 (en) * 2010-12-21 2012-06-28 Visa International Service Association Transaction rate processing apparatuses, methods and systems
FR2971350B1 (fr) * 2011-02-08 2015-08-21 Morpho Procede et dispositif de connexion a un service distant depuis un dispositif hote
EP2676197B1 (en) 2011-02-18 2018-11-28 CSidentity Corporation System and methods for identifying compromised personally identifiable information on the internet
US9832183B2 (en) 2011-04-19 2017-11-28 Early Warning Services, Llc Key management using quasi out of band authentication architecture
US9965768B1 (en) 2011-05-19 2018-05-08 Amazon Technologies, Inc. Location-based mobile advertising
US8819793B2 (en) 2011-09-20 2014-08-26 Csidentity Corporation Systems and methods for secure and efficient enrollment into a federation which utilizes a biometric repository
US11030562B1 (en) 2011-10-31 2021-06-08 Consumerinfo.Com, Inc. Pre-data breach monitoring
US8812387B1 (en) 2013-03-14 2014-08-19 Csidentity Corporation System and method for identifying related credit inquiries
US9367339B2 (en) * 2013-07-01 2016-06-14 Amazon Technologies, Inc. Cryptographically attested resources for hosting virtual machines
US9407654B2 (en) * 2014-03-20 2016-08-02 Microsoft Technology Licensing, Llc Providing multi-level password and phishing protection
US9942196B2 (en) 2014-05-01 2018-04-10 The Johns Hopkins University Canonical network isolator component
US10339527B1 (en) 2014-10-31 2019-07-02 Experian Information Solutions, Inc. System and architecture for electronic fraud detection
US10382961B2 (en) * 2014-12-05 2019-08-13 Ademco Inc. System and method of preventing unauthorized SIM card usage
US11151468B1 (en) 2015-07-02 2021-10-19 Experian Information Solutions, Inc. Behavior analysis using distributed representations of event data
KR102366809B1 (ko) * 2015-07-17 2022-02-23 삼성전자주식회사 애플리케이션 프로세서를 인증하기 위한 디스플레이 드라이버 집적 회로 그리고 이를 포함하는 모바일 장치
PH22016000048Y1 (en) * 2016-01-13 2016-02-05 Renato C Valencia A system for proximate and/or remote electronic transaction authorization based on user authentication and/or biometric identification
US10050957B1 (en) * 2016-04-08 2018-08-14 Parallels International Gmbh Smart card redirection
US10862927B2 (en) 2017-05-15 2020-12-08 Forcepoint, LLC Dividing events into sessions during adaptive trust profile operations
US10917423B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Intelligently differentiating between different types of states and attributes when using an adaptive trust profile
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US9882918B1 (en) 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US10999297B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Using expected behavior of an entity when prepopulating an adaptive trust profile
US10129269B1 (en) 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
US10915643B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Adaptive trust profile endpoint architecture
US10318729B2 (en) * 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
US10699028B1 (en) 2017-09-28 2020-06-30 Csidentity Corporation Identity security architecture systems and methods
US10896472B1 (en) 2017-11-14 2021-01-19 Csidentity Corporation Security and identity verification system and architecture
US11258772B2 (en) 2018-06-19 2022-02-22 Cypress Semiconductor Corporation Secured communication from within non-volatile memory device
US11665166B2 (en) * 2018-11-09 2023-05-30 Barry Ian Dynkin Secure computing platform
US10997295B2 (en) 2019-04-26 2021-05-04 Forcepoint, LLC Adaptive trust profile reference architecture

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5960085A (en) * 1997-04-14 1999-09-28 De La Huerga; Carlos Security badge for automated access control and secure data gathering
US7290288B2 (en) * 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US5983273A (en) * 1997-09-16 1999-11-09 Webtv Networks, Inc. Method and apparatus for providing physical security for a user account and providing access to the user's environment and preferences
US6269395B1 (en) * 1998-12-21 2001-07-31 Nortel Networks Limited Method and system in a computer-based system for providing access to services associated with different access points
US6944766B2 (en) * 2000-05-02 2005-09-13 Canon Kabushiki Kaisha Information processing apparatus
JP2001312512A (ja) * 2000-05-02 2001-11-09 Canon Inc 情報配信システム、情報端末装置、情報センター、情報配信方法及び記憶媒体
JP3987710B2 (ja) * 2001-10-30 2007-10-10 株式会社日立製作所 認定システムおよび認証方法
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
JP2003263417A (ja) * 2002-03-11 2003-09-19 Ryutaro Yoshida 認証システム
ATE253745T1 (de) * 2002-03-18 2003-11-15 Ubs Ag Sichere benutzer- und datenauthenifizierung über ein kommunikationsnetzwerk

Also Published As

Publication number Publication date
WO2005048087A1 (en) 2005-05-26
US7392534B2 (en) 2008-06-24
EP1716468B1 (en) 2011-10-05
ES2378298T3 (es) 2012-04-10
JP2007513406A (ja) 2007-05-24
ATE527615T1 (de) 2011-10-15
EP1716468A1 (en) 2006-11-02
US20050071282A1 (en) 2005-03-31

Similar Documents

Publication Publication Date Title
JP4949032B2 (ja) 安全な計算装置を使って身元情報の窃盗を防ぐシステムおよび方法
US10187211B2 (en) Verification of password using a keyboard with a secure password entry mode
Claessens et al. On the security of today’s online electronic banking systems
JP5619007B2 (ja) サーバ・オペレーションの認可を行うための装置、システムおよびコンピュータ・プログラム
TWI543574B (zh) 使用瀏覽器認證線上交易的方法
US9112842B1 (en) Secure authentication and transaction system and method
Dhamija et al. Phish and hips: Human interactive proofs to detect phishing attacks
Das et al. On the security of SSL/TLS-enabled applications
US8869238B2 (en) Authentication using a turing test to block automated attacks
Oppliger Microsoft. net passport: A security analysis
US20060294023A1 (en) System and method for secure online transactions using portable secure network devices
US20080148057A1 (en) Security token
US20080022085A1 (en) Server-client computer network system for carrying out cryptographic operations, and method of carrying out cryptographic operations in such a computer network system
US20050005133A1 (en) Proxy server security token authorization
US20090031125A1 (en) Method and Apparatus for Using a Third Party Authentication Server
US20170288873A1 (en) Network Authentication Of Multiple Profile Accesses From A Single Remote Device
CN101227468A (zh) 用于认证用户到网络的方法、设备和系统
US20240202722A1 (en) Secure authentication and transaction system and method
US20090177892A1 (en) Proximity authentication
US20100146605A1 (en) Method and system for providing secure online authentication
US20090271629A1 (en) Wireless pairing ceremony
Claessens et al. A tangled world wide web of security issues
Lu et al. Prevent Online Identity Theft–Using Network Smart Cards for Secure Online Transactions
Razumov et al. Ensuring the security of web applications operating on the basis of the SSL/TLS protocol
EP2530618B1 (en) Sign-On system with distributed access

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101116

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110210

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110516

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110712

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111007

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20111017

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120307

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150316

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4949032

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250