JP5049127B2 - アクセス有効化用の携帯装置 - Google Patents
アクセス有効化用の携帯装置 Download PDFInfo
- Publication number
- JP5049127B2 JP5049127B2 JP2007531645A JP2007531645A JP5049127B2 JP 5049127 B2 JP5049127 B2 JP 5049127B2 JP 2007531645 A JP2007531645 A JP 2007531645A JP 2007531645 A JP2007531645 A JP 2007531645A JP 5049127 B2 JP5049127 B2 JP 5049127B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- portable device
- computer
- terminal
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Biomedical Technology (AREA)
- Biodiversity & Conservation Biology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、コンピュータネットワークにおけるまたはコンピュータネットワークを介したアクセスを有効化するための携帯装置に関する。本発明は更に、コンピュータネットワークにおけるまたはコンピュータネットワークを介したアクセスを有効化するためのシステムおよび方法に関する。
コンピュータネットワークにおけるまたはコンピュータネットワークを介したユーザのアクセスを有効化するための、多くの異なる手順および様々な補助手段が知られている。このアクセスは、例えば、特定の(特に料金制の)インターネットページやインターネットを介してアクセス可能なインターネットバンキング等のアプリケーションに対するものであり得る。多くのケースにおいて、そのようなアクセスの有効化の際には、例えば、最初に表示されるアクセスページの専用の入力フィールドに、ユーザIDおよびパスワードを正しく入力することが要求される。入力は、コンピュータネットワークに接続された端末を用いて手動で行われ得る。ユーザが複数の異なるインターネットページまたはアプリケーションへのアクセスを所望する場合には、ユーザは、それらに対応する数のユーザ名および関連付けられたパスワードを知っている必要があり、各場合にそれらを端末に入力する必要がある。同じデータを多重使用することも可能ではあるが、セキュリティ面が犠牲になる。
パスワードを手動で入力する代わりに、ユーザが、認証の実行に用いる携帯型セキュリティデータキャリアを装備することも可能である。しかし、これには、端末(依然として必要である)に、携帯型セキュリティデータキャリアへのアクセスを可能にする適切なソフトウェアがインストールされていることが前提となる。そのようなソフトウェアをインストールすることは、特に、アクセスが第三者の端末を介して行われる場合には問題となる。この状況は、例えば、営業担当者が顧客に電話中に、営業担当者が自社サーバへのアクセスを所望した場合に生じ得る。インターネットカフェのコンピュータを用いてアクセスする場合にも、同様の問題が生じる。このような場合には、ユーザがソフトウェアをインストールすることは問題外であるので、いつものセキュリティデータキャリアを使用できないのが通例である。
この問題を解決するために、ボタンに触れるとディスプレイに数が表示される装置を用いることが知られている。ユーザはこの数を読み取り、この数を、例えば、保護されたインターネットページに対する1回限りのパスワードとして、端末を用いて入力する。これにより、ユーザは、或る時間にわたり、端末を介して所望のサーバにアクセスできるようになる。しかし、この手順の短所は、1回限りのパスワードを端末に毎回打ち込まなければならないことである。更なる短所は、パスワード生成用の装置を所持していれば、誰でもシステムにアクセスできることである。従って、装置を紛失することは非常に危険であり得る。セキュリティデータキャリアを介したアクセスと1回限りのパスワードを介したアクセスとの両方を可能にする場合には、各アクセス方法に対してそれぞれ別のポータルが必要である。例えば、インターネットバンキングでは、多くの銀行が、HBCIカードによるアクセス用のポータルと、PIN/TAN方式用のポータルとの両方を提供している。HBCIとはホームバンキング・コンピュータインターフェイス(Home Banking Computer Interface)の略であり、PINとは暗証番号(Persona Identification Number)の略であり、TANとは取引番号(TransAction Number)の略である。この二本立てのアプローチは、提供者側の並ならぬ努力によるものである。
特許文献1には、コンピュータに対するアクセスを制限するためのシステムが開示されている。このシステムは認証用のゲートウェイを有し、ユーザはこのゲートウェイを介してコンピュータにアクセスできる。認証用ゲートウェイは、ユーザから1つ以上のアクセスコードを受け取り、そのユーザのIDを認証する。認証用ゲートウェイは更に、ユーザがコンピュータにアクセスできるように、そのコンピュータに1つ以上の認証済アクセスコードを供給する。これにより、ユーザは認証用ゲートウェイに対して自分の認証を行うだけでよいので、ユーザ側の負担は軽くなる。しかし、毎回、認証用ゲートウェイが利用可能であることが必要なので、システムの柔軟性はあまり高くない。更に、認証用ゲートウェイが攻撃を受けた場合には、非常に多くのユーザに影響が及ぶのが通例であるので、有効なセキュリティ対策が必要である。
米国特許公開第2003/0051173号明細書
本発明は、安全且つ快適であり、好ましくは普遍的に利用可能な、コンピュータネットワークにおけるまたはコンピュータネットワークを介したアクセスの有効化を可能にするという課題に基づくものである。
上記課題は、請求項1の構成要件の組み合わせを有する携帯装置によって解決される。
本発明による、端末が少なくとも一時的に接続されるコンピュータネットワークにおけるまたはコンピュータネットワークを介したアクセスを有効化するための携帯装置には、端末とコンピュータネットワークとの間の通信経路に当該携帯装置を介在させる機能と、ユーザを認証する機能と、アクセスを有効化させるためのアクセスデータを供給する機能とが実装される。
アクセスデータは毎回携帯装置によって供給されるので、本発明は、ユーザがアクセスデータを知っている必要がないという長所を有する。これは、異なるアクセスデータを用いて複数のアクセスを有効化する場合に特に有益である。この場合にも、ユーザは、携帯装置に対して自分を認証できるだけでよく、携帯装置を用いて所望のアクセスを有効化できる。この有効化には、ユーザによる手動入力は必要ないので、時間が節約される。有効化に必要な携帯装置に対するユーザの認証は非常にセキュアにすることができるので、このオペレータの利便性はセキュリティに反するものではない。
本発明の更なる長所は、ユーザが携帯装置を携帯できるので、任意の端末からのアクセスを有効化できることである。端末に、携帯装置を用いるための専用ソフトウェアをインストールする必要はない。特に、所望のアクセスと連携する専用インターフェイスや他の追加装置の必要はない。これにより、携帯装置の使用が容易になると共に柔軟性が高まる。携帯装置はサービス提供者に代わってアクセス有効化の従来の手順をシミュレートするので、携帯装置の使用に際しては、アクセス対象のサービスの提供者側にはいかなる努力も付加されず、携帯装置を用いても用いなくても等しく使用可能な1つのアクセスポータルを提供して維持するだけでよい。
本発明の更なる長所は、ユーザが、適宜設計された携帯装置を用いて、アクセス有効化のために満たされるべき要件とは別に、アクセスを得るために自分がどの要件を満たさなければならないかを自分で決定できることである。これにより、ユーザの選択の優先傾向およびユーザのセキュリティの必要性を最適に考慮に入れることが可能になる。
ユーザはもはや、自分のアクセスデータを書きとめたり、複数の異なるアクセスに対してアクセスデータを多重使用したり、アクセスデータをセキュアでない環境に格納したりしようとは思わなくなるので、この携帯装置はシステムのセキュリティを更に高める。
携帯装置を1ユーザまたは1グループのユーザに対して個人用に関連付けることができる。形態装置を使用するには、装置を所有していることと正しい認証とが必要なので、これにより更にセキュリティが高まる。更に、攻撃が成功した場合でも、損害は1ユーザまたは1グループのユーザのアクセスデータの不正使用に限定される。
一実施形態において、携帯装置は、生体的特徴を検出するセンサ装置を有する。これにより、生体的特徴のみに基づいてまたは生体的特徴にも更に基づいて、携帯装置に対するユーザの認証を行うことが可能になる。
携帯装置には、サーバプログラムが実装されるのが好ましい。特に、携帯装置はプロキシサーバとして動作可能である。これは、端末に専用ソフトウェアを更にインストールせずとも、端末とコンピュータネットワークとの間の通信経路に、非常に簡単に携帯装置を介在させることができるという長所を有する。
アクセスデータはアクセスから保護されるように携帯装置に格納され得る。また、携帯装置を用いてアクセスデータを生成することも可能である。いずれの場合にも、高いセキュリティレベルを得ることができる。携帯装置がアクセスを有効化するための措置を自動的に行う場合には、これは特に有益である。これにより、迅速且つ信頼性が高いアクセス有効化が実現可能になる。
好ましい一実施形態において、携帯装置は、当該携帯装置を用いて有効化されるべき1または複数のアクセスに関して設定可能である。これにより、携帯装置の普遍的適用性が保証される。設定は、アクセスデータを供給するモダリティおよび/またはアクセスデータの内容を指定可能である。設定は、アクセス有効化のシーケンスの少なくとも一部を手動でおよび/またはソフトウェアに支援されて実行することによって生成可能である。これにより、簡単且つ快適な設定の生成が可能になる。
本発明の主な適用分野はインターネットの領域である。即ち、コンピュータネットワークはインターネットであるのが好ましい。携帯装置はチップカードの形態であるのが好ましい。チップカードは高いセキュリティ基準を満たし、ユーザによって良好に携帯可能であり、高い費用効果で入手可能である。
本発明による、コンピュータネットワークにおけるまたはコンピュータネットワークを介したアクセスを有効化するためのシステムは、コンピュータネットワークに少なくとも一時的に接続される端末と、携帯装置とを有する。携帯装置には、該携帯装置を端末とコンピュータネットワークとの間の通信経路に介在させる機能と、ユーザを認証する機能と、アクセスを有効化させるためのアクセスデータを供給する機能とが実装される。
本発明は更に、端末が少なくとも一時的に接続されるコンピュータネットワークにおけるまたはコンピュータネットワークを介したアクセスを有効化する方法に関する。本発明の方法では、端末と携帯装置との間にアクセスデータを供給するためのデータ接続が設けられ、携帯装置を端末とコンピュータネットワークとの間の通信経路に介在させ、携帯装置がユーザの認証を行い、ユーザの認証が成功した場合には、携帯装置がアクセスデータを用いてアクセスを有効化させる。
端末は、携帯装置と通信するために、端末がコンピュータネットワークとの通信に用いるのと同じソフトウェアまたは携帯装置に格納されているソフトウェアを用いることができる。いずれの場合にも、携帯装置との通信用の専用ソフトウェアを端末にインストールする必要はない。
本発明の方法で必要な、携帯装置に対するユーザの認証は、端末に入力される秘密情報および/または携帯装置によって検出されるユーザの生体的特徴を用いて、或いは他の公知の方法によって行うことができる。
本発明の方法の好ましい一実施形態では、アクセスを有効化するための手順はユーザから隠される。特に、アクセスの有効化は、携帯装置がアクセスページの1または複数の入力フィールドにアクセスデータを入力することによって生じる。本発明の方法は、例えば、データまたはアプリケーションに対するアクセスを有効化するために用いられ得る。
以下、図示されている実施形態を参照し、本発明を説明する。
図1は、本発明によるアクセスを有効化するための構成の模式的なブロック図である。図1には、端末1と、携帯装置2と、サービス提供者のコンピュータ3と、コンピュータネットワーク4とが示されている。この目的で少なくとも一時的にコンピュータネットワーク4に接続される端末1は、コンピュータ3を介して利用可能なアプリケーションまたはデータへのアクセスを得るために用いられる。コンピュータ3もコンピュータネットワーク4に接続されているか、またはコンピュータ3はコンピュータネットワーク4の構成要素である。
端末1は、例えば、パーソナルコンピュータ、電話、パーソナルデジタルアシスタント等である。端末1はブラウザプログラム5を実行する。ブラウザプログラム5は、端末1にインストールされてもよく、または、携帯装置2に格納されて、携帯装置2から端末1にロードされてもよい。端末1は、ユーザによるデータの入力およびユーザに対する出力を可能にするために、図示しないキーボードおよびディスプレイを有し得る。携帯装置2は、単一のユーザまたは1グループのユーザに対して個人化され、例えば、チップカードまたはトークンの形態をとる。携帯装置2には、秘密のアクセスデータがアクセスから保護されるよう格納されている。或いはまたはそれに加えて、端末1および/または携帯装置2はアクセスデータを生成できる。携帯装置2はサーバプログラム6を実行する。携帯装置2はサーバプログラム6によって、端末1とコンピュータ3との間の通信を仲介するプロキシサーバの機能を与えられる。例えばサービス提供者としての銀行によって稼動されるコンピュータ3には、サーバプログラム7がインストールされる。ユーザがアクセスを所望する、コンピュータ3を介して利用可能な典型的なサービスとして、以下、ユーザがインターネット接続を介して銀行取引を行うインターネットバンキングを例として考える。従って、コンピュータネットワーク4は特にインターネットであり得る。しかし、本発明の範囲内では、他のサービスや情報へのアクセスも有効化でき、インターネット以外のコンピュータネットワーク4も用いられ得る。
端末1と携帯装置2とは、第1の通信チャネル8を介して相互接続され、端末1のブラウザプログラム5と携帯装置2のサーバプログラム6とが互いに通信できるようになっている。第1の通信チャネル8を構成するために、端末1と携帯装置2とを、例えばUSB接続を介して接続できる。USBとはUniversal Serial Busの略である。携帯装置2が導体パッドを有するチップカードの形態である場合には、端末1のコンタクト装置が導体パッドに接触することにより、接続が行われる。更に、電気的接続または無線接続によって端末1と携帯装置2との間のデータ接続を設けて第1の通信チャネル8を構成するための別の方法が多数ある。
携帯装置2は、第2の通信チャネル9を介してコンピュータ3に接続される。コンピュータネットワーク4への物理的接続は端末1を介して行われるのが通例であるので、第2の通信チャネル9は、携帯装置2から端末1を介し、そこから更にコンピュータネットワーク4を介して、コンピュータ3まで延びる。しかし、携帯装置2からコンピュータネットワーク4までの直接接続も考えられる。
端末1は、コンピュータネットワーク4に接続されているにも関わらず、コンピュータネットワーク4を介してコンピュータ3と直接通信せず、2つの通信チャネル8および9によって提供されるように、この目的でプロキシサーバとして動作する携帯装置2を介して間接的に通信する。データ送信はハイパーテキスト・トランスファー・プロトコル(HTTP)によって行われる。端末1とコンピュータ3との間の通信に携帯装置2を含めることにより、コンピュータ3を介して利用可能なサービスや情報へのアクセスの有効化への、本発明による携帯装置2の関与が可能となる。携帯装置2は、既存のソフトウェアに基づいて、端末1とコンピュータ3との間の通信に含まれるので、携帯装置2を使用するための専用ソフトウェアを端末1に更にインストールする必要はない。コンピュータ3にも追加のソフトウェアをインストールする必要はない。端末1からコンピュータネットワーク4へのネットワークを介した直接アクセスも依然として同時に可能である。
以下、図2〜図4を例として参照し、インターネットバンキングポータルへのアクセスの有効化について説明する。
図2は、本発明の有効化方法の開始時における図1の構成の模式的なブロック図である。通信チャネル8および9の代わりに、本発明の有効化方法のセッション中の情報の流れが示されている。図3および図4についても同様である。
図2による構成を形成するために、ユーザは、自分の携帯装置2を端末1に接続し、端末1からインターネットバンキングへの接続が行われる。ユーザは、更に、端末1のブラウザプログラム5を開始する。ブラウザプログラム5は、適切な設定で端末1にインストールされているか、または、携帯装置2からロードされ、携帯装置2をプロキシサーバとしてアドレス設定する。ユーザは、第2の通信チャネル9を開くプログラムも開始する。携帯装置2のサーバプログラム6は、第2の通信チャネル9を介して、コンピュータネットワーク4およびコンピュータ3との接続を開始できる。適切に利用可能なチャネルが、既にインストールされているオペレーティングシステムの一部である場合には、この処理は省略できる。更に、このプログラムは、第1の通信チャネル8を開く、即ち適切に設定するよう機能し得る。
次に、ユーザは、例えば自分の口座の残高を照会するために、端末1に対して対応する入力を行うことにより、銀行のインターネットバンキングのアクセスページを呼び出す。このアクセスページは図3に示されており、参照番号12が付されている。端末1のブラウザプログラム5は、要求を携帯装置2に渡す。これは、図2の端末1から携帯装置2への矢印D1によって示されている。このように、図2、図3および図4では、端末1、携帯装置2およびコンピュータ3の間の他の情報の流れも、各情報の流れの方向を示す矢印によって示されている。携帯装置2は、端末1の要求に応答するために、格納されている認証ページ10をデータD2として端末1のブラウザプログラム5に送信する。認証ページ10で、ユーザは、携帯装置2に対する自分のPIN、即ち自分の暗証番号を入力フィールド11に入力するよう要求される。この認証ページ10の可能な実施形態が図2に示されている。PINは、許可されていない第三者による携帯装置2の使用を防止するために、携帯装置2に対してユーザを認証するために必要となる。或いは、生体的特徴による認証も可能である。この目的で、携帯装置2に、例えば指紋センサ等といった生体測定センサを設けることもできる。本発明の有効化方法の更なる過程が図3に示されている。
図3は、本発明の有効化方法の途中のその後の時点における図2に対応するブロック図である。端末1にPINが入力されたら、PINはデータD3として端末1から携帯装置2に送られる。携帯装置2は、受け取ったPINが正しいか否か、およびそれに従って認証が成功したか否かをチェックする。認証が成功したら、携帯装置2は自動的に、即ち、この時はユーザや端末1から特に働きかけられずに、コンピュータネットワーク4を介してコンピュータ3からの銀行のアクセスページ12を要求する。この要求は、図3にデータD4として示されており、この処理はユーザに知られないように実行されるのが好ましい。この要求の送信は、携帯装置2とコンピュータ3との間の他の全ての通信と同様に、端末1のネットワーク接続を介して行われる。端末1は通信には影響せず、単にデータを渡す役割をする。
携帯装置2の要求に従い、コンピュータ3は、携帯装置2にデータD5としてアクセスページ12を送信する。携帯装置2が受け取ったアクセスページ12は図3に示されている。アクセスページ12は、口座番号およびインターネットバンキング用のユーザのPINを入力するための2つの入力フィールド11を有する。このPINは、携帯装置2を使用するためのPINとは無関係であり、通例、異なる値を有する。携帯装置2は、入力フィールド11を自動的に、特に、ユーザの知識を用いずに埋める。この目的で、携帯装置2は、携帯装置2の安全な環境に格納された秘密情報を用いる。従って、入力フィールド11に必要な情報をユーザが知っている必要はない。ユーザは、携帯装置2に対する認証に必要な情報のみを知っていればよい。最後に、本発明の有効化方法の図4に示されている工程が実行される。
アクセスデータの入力前、またはデータがコンピュータ3に送られる前に、携帯装置2は、コンピュータ3上のアクセスページおよび/または他のページが変更されたか否かをチェックして、変更されている場合には、アクセスデータの入力を拒否できる。携帯装置2は、例えばハッシュ値によって、最も最近の呼び出し以降、最初の呼び出し以降、または携帯装置の設定以降にページが変更されたか否かをチェックする。
図4は、本発明の有効化方法の途中の更に後の時点における図2に対応するブロック図である。携帯装置2は、埋められたアクセスページ12をデータD6としてコンピュータ3に送り返す。コンピュータ3は、入力フィールド11に入力されたデータをチェックする。データが正しい場合には、コンピュータ3は、インターネットバンキングへのアクセスを有効にする。インターネットバンキングで行われる1つのアクションとして、銀行のコンピュータ3は、ユーザの口座の残高を示す結果ページ13をデータD7として携帯装置2に送信する。これを受けて、携帯装置2は、結果ページ13をデータD8として端末1に送る。端末1は、例えば図4に示されるように、受け取った結果ページ13をユーザに対して表示する。
その後、ユーザは、携帯装置2を介して、端末1に対して対応する入力を行うことによって、コンピュータ3からの更なる情報を要求したり、送金等の取引を行ったりすることができる。特に、取引を行うには、取引を許可するための取引番号(TAN)の送信が必要となり得る。TANは、或る取引について1回だけ使用できるものであり、それ以後は無効となる。携帯装置2は、1回限りのパスワードの生成器を用いて、特定の必要なTANを生成するよう構成され得る。或いは、携帯装置2が、携帯装置2内の安全な環境に格納されているリストからTANを読み取ることも可能である。いずれにしても、この目的で、コンピュータ3から携帯装置2に送信された銀行のページ上の専用に設けられた入力フィールド11に、TANが入力される。しかし、これは、携帯装置2が適法に用いられる、即ち、携帯装置2に対するユーザの認証が既に行われて成功していることを前提とする。
従って、携帯装置2を、他のサービスや情報に対するアクセスを得るために用いることもできる。これは、サービスや情報が複数の異なる提供者によって提供される場合にも可能である。各場合に必要となるのは、単に、ユーザが既に携帯装置2に対して認証されていることのみである。ユーザは、特定のサービスや情報へのアクセスを得ることの詳細に関わる必要はない。特に、必要なアクセスデータは携帯装置2に安全に格納されているので、ユーザは、必要なアクセスデータのいかなる知識も持たなくてよい。従って、それぞれ異なるアクセスデータを必要とする複数のアクセスを有効化するために、ユーザは、1つのPINのみを覚えていればよいか、または、同じ生体的特徴を用いることができる。
携帯装置2が入力フィールド11に必要なデータを自動的に入力できるようにするために、事前に少なくとも1回設定を行う必要がある。この設定には、どの入力フィールド11にどのデータを埋めるかを定義することが含まれる。これは、例えばスクリプトによって実現され得る。図5を参照し、アクセスページ12に対する設定の手順を例として説明する。或いは、サービス提供者がインターネットページ上で、例えばスクリプトとして設定データを提供することも可能である。
図5は、携帯装置2の設定の可能な手順を示すフローチャートである。設定を行うために、外部でまたは携帯装置2上で設定プログラムが実行される。更に別の変形例として、設定プログラムの一部を外部で実行し、一部を携帯装置2で実行することも可能である。外部での実行として、例えば、パーソナルコンピュータ上で実行され得る、以下に説明する設定実行のための変形例は、更に、ユーザによる手動入力を必要とする。完全に自動化されたまたは完全に手動の設定も基本的に可能である。
フローチャートの実行は、ステップS1で、携帯装置2によって自動的に埋められるべきアクセスページ12をロードすることで開始する。ステップS1に続き、ステップS2では、設定プログラムのユーザによって、埋めるべきアクセスページ12の入力フィールド11が選択される。次に、ステップS3で、設定プログラムのユーザによって、アクセスページ12の入力フィールド11に入力されるべきデータが供給される。最後に、ステップS4で、アクセスページ12の分析、選択された入力フィールド11および入力フィールド11用に供給されたデータに基づき、例えば1つ以上のスクリプトの形態のデータ記録が生成される。携帯装置2は、そのプロキシサーバとしての機能において、以後アクセスページ12が呼び出された際に、このデータ記録を用いてデータを入力フィールド11に自動的に入力できる。ステップS4は、フローチャートの実行を終了させ、アクセスページ12に対する携帯装置2の設定を完了させる。別のアクセスページ12に対しても同様の設定を行うことができる。
携帯装置2の発展として、携帯装置2はアクセスの有効化の際に、チャレンジ・レスポンス方式、公開鍵方式等といった複雑な認証法を実行できる。
オプションとして、例えばユーザによって最優先のPINが入力された後または他のユーザ認証後に、携帯装置からアクセスデータを読み出すことも可能である。このオプションは、携帯装置を再設定する際に、または携帯装置を用いずにサービスに直接アクセスするためにこのデータが必要な場合に有用であり得る。
Claims (17)
- コンピュータネットワーク(4)に少なくとも一時的に接続され、サービス提供者のコンピュータ(3)を介して利用可能なアプリケーションまたはデータへのアクセスを得るために用いられる端末(1)の前記サービス提供者のコンピュータ(3)へのアクセスを有効化するための携帯装置(2)であって、
前記携帯装置(2)には、前記端末(1)と前記サービス提供者のコンピュータ(3)との間の通信を仲介する機能を提供するサーバプログラムが実装されており、該サーバプログラムが、前記端末(1)による前記サービス提供者のコンピュータ(3)へのアクセスを有効化させるためのアクセスデータを前記サービス提供者のコンピュータ(3)へ供給ものであり、
インターネットページの変更を認識する手段を備え、アクセスページ(12)上の変更が認識された場合には前記アクセスデータを供給しないことを特徴とする携帯装置。 - 1ユーザまたは1グループのユーザに対して個人用に関連付けられることを特徴とする請求項1記載の携帯装置。
- ユーザ認証機能を有することを特徴とする請求項1記載の携帯装置。
- 生体的特徴を検出するセンサ装置を有することを特徴とする請求項1〜3のいずれか記載の携帯装置。
- 前記アクセスデータがアクセスから保護されるよう当該携帯装置内に格納されることを特徴とする請求項1〜4のいずれか記載の携帯装置。
- 前記アクセスデータを生成可能であることを特徴とする請求項1〜5のいずれか記載の携帯装置。
- アクセスを有効化させるための措置を自動的に実行可能であることを特徴とする請求項1〜6のいずれか記載の携帯装置。
- 有効化されるべき1又は複数のアクセスに関して、前記アクセスデータを供給するモダリティおよび/または前記アクセスデータの内容を設定可能であることを特徴とする請求項1〜7のいずれか記載の携帯装置。
- 前記設定は、アクセス有効化のシーケンスの少なくとも一部を手動でおよび/またはソフトウェアに支援されて実行することによって生成可能であることを特徴とする請求項8記載の携帯装置。
- 前記コンピュータネットワーク(4)がインターネットであることを特徴とする請求項1〜9のいずれか記載の携帯装置。
- チップカードの形態であることを特徴とする請求項1〜10のいずれか記載の携帯装置。
- コンピュータネットワーク(4)におけるまたはコンピュータネットワーク(4)を介したアクセスを有効化するためのシステムであって、
前記コンピュータネットワーク(4)に少なくとも一時的に接続され、サービス提供者のコンピュータ(3)を介して利用可能なアプリケーションまたはデータへのアクセスを得るために用いられる端末(1)と、
前記サービス提供者のコンピュータ(3)へのアクセスを有効化するための携帯装置(2)とを備え、
前記携帯装置(2)には、前記端末(1)と前記サービス提供者のコンピュータ(3)との間の通信を仲介する機能を提供するサーバプログラムが実装されており、該サーバプログラムが、前記端末(1)による前記サービス提供者のコンピュータ(3)へのアクセスを有効化させるためのアクセスデータを前記サービス提供者のコンピュータ(3)へ供給するものであり、前記携帯装置(2)が、インターネットページの変更を認識する手段を備え、アクセスページ(12)上の変更が認識された場合には前記アクセスデータを供給しないことを特徴とするアクセス有効化システム。 - 端末(1)が少なくとも一時的に接続されるコンピュータネットワーク(4)におけるまたはコンピュータネットワーク(4)を介したアクセスを有効化する方法であって、
前記コンピュータネットワーク(4)に少なくとも一時的に接続され、サービス提供者のコンピュータ(3)を介して利用可能なアプリケーションまたはデータへのアクセスを得るために用いられる端末(1)と、前記サービス提供者のコンピュータ(3)へのアクセスを有効化するための携帯装置(2)とを接続する工程と、
前記携帯装置(2)に実装された、前記端末(1)と前記サービス提供者のコンピュータ(3)との間の通信を仲介する機能を提供するサーバプログラムが、前記端末(1)による前記サービス提供者のコンピュータ(3)へのアクセスを有効化させるためのアクセスデータを前記サービス提供者のコンピュータ(3)へ供給する工程と有し、
前記アクセスデータの供給の前に、インターネットページが変更されたか否かをチェックし、アクセスページ(12)上の変更が認識された場合には前記アクセスデータを供給しない工程、
を有することを特徴とするアクセス有効化方法。 - 前記端末(1)が前記携帯装置(2)と通信するために、前記端末(1)が前記コンピュータネットワーク(4)との通信に用いるのと同じソフトウェアまたは前記携帯装置(2)に格納されているソフトウェアを少なくとも部分的に用いることを特徴とする請求項13記載のアクセス有効化方法。
- 前記携帯装置(2)に対するユーザ認証が、前記端末(1)に入力される秘密情報および/または前記携帯装置(2)によって検出されるユーザの生体的特徴を用いて行われることを特徴とする請求項13または14記載のアクセス有効化方法。
- アクセス有効化の手順がユーザから隠されることを特徴とする請求項13〜15のいずれか記載のアクセス有効化方法。
- 前記携帯装置(2)がアクセスページ(12)の1または複数の入力フィールド(11)に前記アクセスデータを入力することによって、アクセスが有効化されることを特徴とする請求項13〜16のいずれか記載のアクセス有効化方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102004044454A DE102004044454A1 (de) | 2004-09-14 | 2004-09-14 | Tragbares Gerät zur Freischaltung eines Zugangs |
| DE102004044454.4 | 2004-09-14 | ||
| PCT/EP2005/009670 WO2006029758A1 (de) | 2004-09-14 | 2005-09-08 | Tragbares gerät zur freischaltung eines zugangs |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008513860A JP2008513860A (ja) | 2008-05-01 |
| JP5049127B2 true JP5049127B2 (ja) | 2012-10-17 |
Family
ID=35462110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007531645A Expired - Fee Related JP5049127B2 (ja) | 2004-09-14 | 2005-09-08 | アクセス有効化用の携帯装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8438620B2 (ja) |
| EP (1) | EP1792248A1 (ja) |
| JP (1) | JP5049127B2 (ja) |
| CN (1) | CN101057203B (ja) |
| DE (1) | DE102004044454A1 (ja) |
| WO (1) | WO2006029758A1 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002236667A (ja) * | 2001-02-09 | 2002-08-23 | Sony Corp | 認証方法、認証システム、認証装置および認証用モジュール |
| EP1849119B1 (en) * | 2005-02-18 | 2019-07-10 | EMC Corporation | Derivative seeds |
| DE102006048797A1 (de) | 2006-10-16 | 2008-04-17 | Giesecke & Devrient Gmbh | Verfahren zum Ausführen einer Applikation mit Hilfe eines tragbaren Datenträgers |
| US20080244272A1 (en) * | 2007-04-03 | 2008-10-02 | Aten International Co., Ltd. | Hand cryptographic device |
| DE102007026870A1 (de) * | 2007-06-11 | 2008-12-18 | Giesecke & Devrient Gmbh | Ressourcenzugriff unter Vermittlung durch ein Sicherheitsmodul |
| DE102008025660A1 (de) * | 2008-05-13 | 2009-11-19 | Deutsche Telekom Ag | Vorrichtung zur mobilen Datenverarbeitung |
| US20110258690A1 (en) * | 2009-01-13 | 2011-10-20 | Human Interface Security Ltd. | Secure handling of identification tokens |
| DE102009016532A1 (de) * | 2009-04-06 | 2010-10-07 | Giesecke & Devrient Gmbh | Verfahren zur Durchführung einer Applikation mit Hilfe eines tragbaren Datenträgers |
| US8710953B2 (en) * | 2009-06-12 | 2014-04-29 | Microsoft Corporation | Automatic portable electronic device configuration |
| US7865937B1 (en) | 2009-08-05 | 2011-01-04 | Daon Holdings Limited | Methods and systems for authenticating users |
| US7685629B1 (en) | 2009-08-05 | 2010-03-23 | Daon Holdings Limited | Methods and systems for authenticating users |
| US8443202B2 (en) | 2009-08-05 | 2013-05-14 | Daon Holdings Limited | Methods and systems for authenticating users |
| US8826030B2 (en) | 2010-03-22 | 2014-09-02 | Daon Holdings Limited | Methods and systems for authenticating users |
| EP2405374A1 (en) | 2010-07-06 | 2012-01-11 | Gemalto SA | Portable device for accessing a server, corresponding system, server and method |
| US20120023139A1 (en) * | 2010-07-22 | 2012-01-26 | Samsung Electronics Co. Ltd. | Intelligent attached storage |
| CN103782578B (zh) * | 2011-07-14 | 2017-06-13 | 约翰逊控制技术公司 | 用于向车辆内远程通信系统提供基于网络的内容的系统和方法 |
| DE102011119441A1 (de) * | 2011-11-25 | 2013-05-29 | Giesecke & Devrient Gmbh | Verfahren zur Durchführung einer elektronischen Transaktion zwischen einem mobilen Endgerät und einem Terminal |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2153455T3 (es) * | 1995-08-04 | 2001-03-01 | Belle Gate Invest B V | Sistema de intercambio de datos que incluye unidades portatiles de procesamiento de datos. |
| WO2001003392A1 (en) * | 1999-07-01 | 2001-01-11 | Koninklijke Philips Electronics N.V. | Voice-over-ip gateway |
| US7505941B2 (en) * | 1999-08-31 | 2009-03-17 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions using biometrics |
| EP1959369A1 (en) * | 1999-12-10 | 2008-08-20 | Fujitsu Limited | User verification system, and portable electronic device with user verification function utilising biometric information |
| FR2805108B1 (fr) * | 2000-02-10 | 2002-04-05 | Bull Cp8 | Procede d'enregistrement d'un usager sur un serveur d'annuaire d'un reseau de type internet et/ou de localisation d'un usager sur ce reseau, et carte a puce pour la mise en oeuvre du procede |
| FR2805107B1 (fr) * | 2000-02-10 | 2002-04-05 | Bull Cp8 | Procede de gestion de transmissions de donnees multimedias via un reseau de type internet, notamment de donnees telephoniques, et carte a puce pour la mise en oeuvre du procede |
| GB2362069A (en) * | 2000-05-03 | 2001-11-07 | Motorola Inc | Optimising communication wherein a transmission procedure is determined according to information about the environment in which a mobile station is located |
| US7565326B2 (en) * | 2000-05-25 | 2009-07-21 | Randle William M | Dialect independent multi-dimensional integrator using a normalized language platform and secure controlled access |
| WO2002023367A1 (en) | 2000-09-14 | 2002-03-21 | Gemplus | Smart device facilitating computer network interaction |
| US6717801B1 (en) * | 2000-09-29 | 2004-04-06 | Hewlett-Packard Development Company, L.P. | Standardized RF module insert for a portable electronic processing device |
| GB2370383A (en) * | 2000-12-22 | 2002-06-26 | Hewlett Packard Co | Access to personal computer using password stored in mobile phone |
| US20030051173A1 (en) * | 2001-09-10 | 2003-03-13 | Krueger Steven J. | Computer security system |
| KR100458516B1 (ko) * | 2001-12-28 | 2004-12-03 | 한국전자통신연구원 | 웹-리소스 불법 변경 감지 장치 및 그 방법 |
| US20030158891A1 (en) * | 2002-02-21 | 2003-08-21 | Warp 9 Inc. | Utilizing mobile devices as a communication proxy for non-connected terminals |
| US8027635B2 (en) * | 2002-05-22 | 2011-09-27 | Hewlett-Packard Development Company, L.P. | Relaying third party wireless communications through a portable wireless system |
| US20040123106A1 (en) | 2002-08-27 | 2004-06-24 | Lexent Technologies, Inc. | Apparatus and methods for motion and proximity enhanced remote identity broadcast with biometric authentication |
| US20040123113A1 (en) * | 2002-12-18 | 2004-06-24 | Svein Mathiassen | Portable or embedded access and input devices and methods for giving access to access limited devices, apparatuses, appliances, systems or networks |
| JP3989383B2 (ja) * | 2003-02-06 | 2007-10-10 | 富士通株式会社 | 情報処理装置、情報処理システム、プログラム、ゲートウェイカード、ゲートウェイ装置およびゲートウェイ制御プログラム |
| US7392534B2 (en) * | 2003-09-29 | 2008-06-24 | Gemalto, Inc | System and method for preventing identity theft using a secure computing device |
| US7577659B2 (en) * | 2003-10-24 | 2009-08-18 | Microsoft Corporation | Interoperable credential gathering and access modularity |
| WO2008121389A2 (en) * | 2007-03-31 | 2008-10-09 | Synccode Llc | Banking transaction processing system |
-
2004
- 2004-09-14 DE DE102004044454A patent/DE102004044454A1/de not_active Withdrawn
-
2005
- 2005-09-08 CN CN200580038829XA patent/CN101057203B/zh not_active Expired - Fee Related
- 2005-09-08 EP EP05785243A patent/EP1792248A1/de not_active Ceased
- 2005-09-08 US US11/662,655 patent/US8438620B2/en active Active
- 2005-09-08 WO PCT/EP2005/009670 patent/WO2006029758A1/de active Application Filing
- 2005-09-08 JP JP2007531645A patent/JP5049127B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008513860A (ja) | 2008-05-01 |
| DE102004044454A1 (de) | 2006-03-30 |
| US20080244720A1 (en) | 2008-10-02 |
| EP1792248A1 (de) | 2007-06-06 |
| CN101057203B (zh) | 2010-08-18 |
| CN101057203A (zh) | 2007-10-17 |
| WO2006029758A1 (de) | 2006-03-23 |
| US8438620B2 (en) | 2013-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5049127B2 (ja) | アクセス有効化用の携帯装置 | |
| US9985993B2 (en) | Query system and method to determine authentication capabilities | |
| AU2010272570B2 (en) | Method for reading attributes from an ID token | |
| US8799666B2 (en) | Secure user authentication using biometric information | |
| US9397988B2 (en) | Secure portable store for security skins and authentication information | |
| EP2839603B1 (en) | Abstracted and randomized one-time passwords for transactional authentication | |
| JP4733167B2 (ja) | 情報処理装置、情報処理方法、情報処理プログラムおよび情報処理システム | |
| US7114078B2 (en) | Method and apparatus for storage of usernames, passwords and associated network addresses in portable memory | |
| US20140189360A1 (en) | System and method for implementing transaction signing within an authentication framework | |
| US20230106348A1 (en) | Method and system for authenticating a secure credential transfer to a device | |
| JP2004534988A (ja) | 機密ネットワークアクセス | |
| JP2003517670A (ja) | 認可によってアクセスするアプリケーション向けのデータ処理システム | |
| JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
| US20110289567A1 (en) | Service access control | |
| US20030159068A1 (en) | Personal identification system and method for carrying it out | |
| CN115918033A (zh) | 账户验证升级的系统和方法 | |
| IL176378A (en) | Method for activation of an access to a computer system or to a program | |
| CN108959878A (zh) | 用户认证系统中采用的方法以及其中包括的信息处理装置 | |
| KR100858146B1 (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| JP2005346120A (ja) | ネットワークマルチアクセス方法およびネットワークマルチアクセス用の生体情報認証機能を備えた電子デバイス | |
| US11716331B2 (en) | Authentication method, an authentication device and a system comprising the authentication device | |
| JP4914725B2 (ja) | 認証システム、認証プログラム | |
| JP2002245008A (ja) | 証明書を用いた権利の検証方法及び装置並びにプログラム及び記録媒体 | |
| TWI647942B (zh) | 電子證件認證授權存取系統及方法 | |
| KR20030060658A (ko) | 운영체제 로그인 정보를 이용한 웹 사이트 자동 인증시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080826 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110426 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110726 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110802 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110825 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120228 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120525 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120626 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120720 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150727 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5049127 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |