JPH09510561A

JPH09510561A - リソースのアクセスにトークンを使用する方法及び装置

Info

Publication number: JPH09510561A
Application number: JP7524140A
Authority: JP
Inventors: ウェイス，ケネス・ピー
Original assignee: セキュリティ・ダイナミックス・テクノロジーズ・インコーポレーテッド
Priority date: 1994-03-16
Filing date: 1995-03-16
Publication date: 1997-10-21
Also published as: CA2183629A1; KR970701956A; AU1992495A; EP0750814A1; CA2183629C; EP0750814A4; US5657388A; AU681500B2; WO1995025391A1

Abstract

(57)【要約】システム（１０）はトークン（１２）、トークン・プロセッサ（１４）、及びホスト・プロセッサ（１６）を有する。トークン（１２）は「ダム」トークンであり得、秘密ユーザ・コード（２２）と読み出し／書き込みエレメンと（２０）とからなるメモリ（１８）を含む。メモリ（１８）はまた、パブリック・コード（２４）、アルゴリズム（２６）、及び時間変化値（２８）を含み得る。トークンは、入力デバイスとして数字キーパッド（３０）を含み得る。

Description

【発明の詳細な説明】リソースのアクセスにトークンを使用する方法及び装置発明の分野本発明は、電子情報又は他のリソースへのアクセスを制御する技術に関し、特に、比較的簡単なトークンを遠隔かつ／又はポータブルのプロセッサと関連して用いることにより、そのようなリソースへのアクセスを保護的に制御する方法及び装置に関する。関連の発明本出願は、保護トークン・コードのための強化された機密保護（ENHANCED SEC URITY FOR A SECURE TOKEN CODE）と題された１９９３年５月２５日に出願された出願番号第０８／０６７，５１７号の出願の継続出願である。発明の背景データベースのような情報リソースが維持される多くの応用がある。そのようなリソースは、許可された個人がアクセスを要求するような、しかし、法的、倫理的、個人的、商業的又はその他の理由により、許可されていない個人がアクセスできないような、秘密（sensitive）情報を含む。そのようなリソース又はデータベースの例は病院又は他の医療施設における医療記録を含み、この例においては、特定の患者に関わる医師又は看護士のような特定の人が過度の遅延なくその記録へのアクセスを要求できる。しかし、それを知る必要のない病院内の人や病院外の人に対して、その記録は使用可能にはされない。同様に、会社は、エンジニアリング、ビジネス、会計、その他の会社の記録をデータ処理システム内にもち、許可された人はデータベースの選択された部分へのみ簡単にアクセスすることを要求し、そして、そうでない場合にはアクセスは拒否される。リソースはまた、許可された人に対してのみにアクセスが制限されることを要求するビルディング、部屋、ファイル、キャビネット、セーフ（safe）、コンテナ、又はその他のエリア又はアイテムであり得る。ここで用いられる用語「リソース」は、一般に、情報リソース及びこれらその他のタイプのリソースの両方を含むと考えられる。これまでは、そのようなリソースへのアクセスの制御は、主に、ユーザのみが知るパーソナル・アイデンティフィケーション・コード（ＰＩＮ）又はパスワードを用い、アクセス要求を行う前にそれをシステムにキー入力又はダイアル入力することによって達成されてきた。しかしながら、これは静的な値（static val ue）であるため、許可されていない個人が、許可された人々のＰＩＮを、例えば、ＰＩＮが送られるデータ・ラインを監視することによって、または入力されるＰＩＮを不正に観察することによって、不正につきとめることがある。ＰＩＮが妥協されている（compromised）という事実は、大量のデータ又は他のリソースが不適切に獲得及び／又は使用される或る時間の間、知られない。更に、個人がひとたびシステムにアクセスすると、彼はデータベース又は他のリソースに変更を行うかもしれず、その変更は組織への更なる重大問題の原因となるかもしれない。パスワード・システムは、保護システムを提供するために使用可能な３つの可能なファクターのうちの１つのみ、即ち、ユーザが知っている何かのものを用いる。他の２つのファクターは、許可された個人がもつ何かのもの、例えば、トークンと、個人がもつ何かのもの、例えば、バイオキャラクタリスティック（bioc haracteristic）である。より保護されたリソース・アクセス・システムは、少なくとも２つのファクターを含む。それらは、通常、個人が知る何かのもの、及び個人が所有する何かのものである。しかしながら、秘密の（即ち、観察不可能な）静的なコード値を含むトークンもまた、例えば、その値を送信するラインを監視することによって不正に検出されることが発見されている。この問題は、ローカル及びワイド・エリア・ネットワークの拡張した使用により、また、データを送信するための無線波の使用により、悪化してきている。また、トークンを「借り」、適当なデバイスで読んで秘密のユーザ・コードを獲得し、トークンがなくなっていることを所有者が気づく前に戻すことも、可能である。何れの場合においても、ある期間の時間、コードを含むトークンが再生成され且つ使用され、検出されることなくデータベース内又はその他の情報リソース内の秘密情報へのアクセスが得られる。従って、アメリカ合衆国特許第４,７２０,８６０号及び第５,０２３,９０８号及び多種の関連する特許に説明されているような、改良された「スマート（smart）」トークンは、時間とともに予測不可能な方法で値を変化させて一意的な一時コード（one-time code）を提供する或るアルゴリズムに従って、トークンに記憶された値を変化させるか、又は、少なくとも、トークンから出力される値を変化させる。しかしながら、そのようなデバイスは秘密アクセス・コードに対して大いに強化された機密保護を提供し、従って、そのようなデバイスが用いられるデータ処理システム、データベース、又はその他の情報リソースに対して大いに強化された機密保護を提供するが、「スマート」カード（本出願の目的では、データ処理能力をもつカードとして規定される）は、そのようなシステムを用いることを必要とされる。スマート・カードは、通常、標準のクレジット・カードよりも幾分大きく且つ重く、且つかなり高価である。それらのデバイスは典型的にバッテリーで動作し、それらは典型的には約３年の有限の寿命であるので、その時期に取りかえる必要があり、従って、それらデバイスを使用するには更なるコストがかかる。多数の許可されたユーザをもつシステムに対して、この費用はたいへんなものとなり、そして、そのカードの大きさへの幾らかの抵抗と関連して、そのようなシステムの応用を制限する。従って、一時コードと２ファクターの可能性との利点を提供しつつ、安価かつ比較的小型であり理論的には寿命がないトークンの使用を可能にする、改良された保護アクセス（secure access）技術が必要がある。発明の概要本発明の教示に従うと「ダム（dumb）・トークン」が用いられ、このトークンは好適には、ユーザのアイデンティティを識別又は検証するために用いられ得るための、及び／又は、暗号化キーのための及び／又はファイル圧縮のためのデータを提供するための、選択された情報を記憶するのみである。そのような情報は、機械が読み取り可能な形式で記憶されている。トークンは、以下に示すような標準の遠隔及び／又はポータブルのプロセッサで用いるように設計されている。（ｉ）ラップトップ・コンピュータ、ノートブック・コンピュータ、パームトップ（palm-top）（即ち、ハンドヘルド（hand-held））・コンピュータ又はパーソナル・アシスタント、又は、（ii）電話、クレジット・カード・ベリファイヤ（verifier）又はキーボード／キーパッド（又はそれと同等のもの）をもつ他のデバイス、カード又は他のトークン読み取り機、及びプロセッサ。このプロセッサ／デバイス（以下、トークン・プロセッサという）はまた、通常、ホスト・プロセッサ、ネットワーク、ファイル・サーバ、他の遠隔リソース又はそれと同様のもの（以下、ホスト・プロセッサという）へのインターフェースを提供する。トークン・プロセッサは、トークンから及びトークン・プロセッサ入力デバイスを通じてユーザからの両方から受信した入力から一時の予測不可能なコード（on e-time nonpredictable code）を生成するために、及び、そのようなコード又はそのようなコードを表すものを直接に自動的に用いるために及び／又はホスト・プロセッサに送信するために用いられ、そこにおいて、それは、アメリカ合衆国特許第５,２３７,６１４号で教示されたような、個人の識別、リソースへのアクセスの検証又は暗号化キーの推論のような機能のために使用される。基本的システムは、複数の方法で用いることができる。例えば、トークンはまた、ユーザに対してのパプリック（public、公衆）ＩＤを含んでもよい。このＩＤは最初に読まれてホストに送られ、ホストは次にそのユーザに対して適切な質問を生成する。その質問はトークン・プロセッサら送られ、次にトークン・プロセッサはトークンから読み取った秘密ユーザ・コード、及び好適にはＰＩＮ又はユーザからの他のコード入力、と関連してその質問を用い、予測不可能な一時のコード化された応答を生成し、それがホストに送られる。トークン・プロセッサにおいて生成又は記憶された、時間により変化する、事象により変化する、使用により変化する、又はそれら同様の値（以下、「時間変化値」又は「一時コード」という）はまた、予測不可能なコード化された応答を生成するのに用いられ得る。好適な実施例については、ポータブル・プロセッサはクロックを時間変化値エレメントとして用いる。別の実施例については、時間変化値エレメントは、トークンがトークン・プロセッサで用いられる毎にその値を変更する。この変更は、例えば、トークンが挿入されたとき又はトークンが取り除かれたときに、なされる。このシステムで用いられ得る１つのオプションは、静的な秘密コードがトークンに記憶されるかわりに、前の使用の間に生成された予測不可能なコードや、それを生成するときの或る中間値や、別の関連の値のような値が、トークンに、以前記憶された値の代わりに、秘密ユーザ・コードとして記憶される。これが行われると、予測不可能なコードの生成において入力として時間変化値エレメントを含む必要がない。なぜならば、本質的に、時間変化する秘密コードは、各使用に対して別の予測不可能コードが生成されることを確実にするからである。トークンがなるべく少ない量の情報を記憶するのが好適であるが、トークンにおける予測不可能コードの生成において用いられるアルゴリズムを記憶することに利点のある応用がある。これは、システム上で各個人、又は少なくとも選択された個人のグループが、別のアルゴリズムを用いることを可能にし、更にシステムの機密保護を強化する。これは、１つのトークン・プロセッサが複数の個人によって使用されるところにおいて、例えば、異なる勤務時間帯の看護士が同じトークン・プロセッサを使用する病院環境において、特に望ましい。また、トークン・プロセッサにおいてではなく、トークンに時間変化値を記憶させることも可能である。例えば、トークンに最初に記憶された値が、トークンが使用される毎に、所定の方法で増分又は減分され、そして、その値はトークン・プロセッサに読み取られ、予測不可能コードを生成するためのアルゴリズムにおいて時間変化値として用いられる。あらためて言うと、この手順は、トークン・プロセッサが各個人に対する適当なクロック値を記憶する必要性を除くので、１つのトークン・プロセッサが色々な人によって使用されるときに、利点がある。しかしながら、プロセッサ・クロック自身を時間変化入力として使用する応用において、このクロックがホストのクロックと同期するかぎり、これは問題ではない。そのような同期の何れかの欠如を補償する技術は、アメリカ合衆国特許第４,８８５,７７８号に教示されている。互換的な技術は、１９９３年２月５日に出願された出願番号第０７／９８１,８０８号に教示されているように、一時コードとともに送信される遠隔プロセッサの時間の或るハッシュ／表示（hash/representation）に対するものである。ポータブル・プロセッサにおける送信器とホスト・プロセッサにおける受信器は、電話線ネットワーク・インターフェースによって相互接続されたモデムであり得、また、送信器及び受信器は、無線／セルラー（radio/cellular）・ネットワークのエレメントであり得る。当該技術において知られているプロセッサ間の他の通信技術もまた使用され得る。更に、好適な実施例においてトークンは「ダム・カード」であるが、処理能力及び自身のクロックをもつ「スマート・カード」が用いられ得るアプリケーションがあり、それは、トークン・プロセッサが使用可能ではないときにスマート・カードとして従来の特許で説明されている様式で用いられ得るが、しかし、トークン・プロセッサとともに用いられることができ、そのモードで動作するのが好適である状況において、そこに記憶されたシード（seed）又は秘密ユーザ・コードが、トークン・プロセッサに読み取られる。機械が読み取り可能な秘密ユーザ・コードを含むトークンはまた、補助メモリ（即ち、ファイル、アプリケーション・ソフトウエア、特定の人に対する又は機密のデータ、個人的暗号化キー単一サインオン（private enscription keys singl e sign-on）情報、などを含むＲＡＭ又はＲＯＭチップ）、又は、モデム、ネットワーク・インターフェース、ＦＡＸ、組み合わされ且つ一体化された暗号化／圧縮化エンジンのようなシステム特徴を付加するためのハードウエア／ソフトウエアのような、他の機能を行うために用いられ得る。本発明の上記の及び他の目的、特徴及び利点は、添付の図面に示された本発明の好適な実施例の以下のより特定的な説明から明らかになるであろう。図面において図１は、本発明の教示を実施するために用いるのに適するハードウエアの半概略図である。図２は、本発明の多種の実施例の実施に従った図１のシステムのオペレーションのフロー図である。詳細な説明図１は、本発明の教示を実施するのに用いられるシステム１０の３つの基本的コンポーネントを示す。これらのコンポーネントは、トークン１２、トークン・プロセッサ１４、ホスト・プロセッサ１６である。トークン１２は好適には「ダム」トークンであり、メモリ１８及び機械読み出し可能エレメントのみを、又は幾つかの実施例に関しては読み出し／書き込みエレメント２０を、含む。最も簡単な場合、メモリ１８は秘密ユーザ・コード２２のみを含む。しかしながら、本発明の多種の実施例に関しては、メモリ１８がパブリック・コード２４、アルゴリズム２６、及び／又は時間変化値２８を記憶することが望ましい。後に詳細に説明するように、幾つかの実施例に関しては、秘密ユーザ・コード２２と時間変化値２８が同じ値であり得る。好適ではないが、トークン１２が、数字キーパッド３０のような入力デバイスをもつことや、後に詳細に説明するが、特定の処理及び／又は表示の能力をもつ「スマート・カード」として機能することも可能である。トークン・プロセッサ１４は、市場で現在入手可能な任意の多種の遠隔及び／又はポータブルのプロセッサでよい。そのようなプロセッサは２つの一般的なクラスに属する。第１のクラスは、ラップトップ・コンピュータ、パームトップ（ハンドヘルド（手持ち））・コンピュータ、ノートブック・コンピュータ、パーソナル・アシスタント、又はその他の同様の計算デバイスのようなプロセッサを含む。そのようなコンピュータの最近の成長により、多くのものは、フロッピー・ディスクや、ＰＣＭＣＩＡスロットのようなカード又はそれ同様のものへのリンクや、データ・ボタンのような、過剰な記憶及び処理能力や入力／出力能力をもつようになったので、そのようなコンピュータは、この応用に対して理想的なものとなった。第２のクラスのデバイスは、電話、キーボード／キーパッド（又はそれと同等の入力デバイス）をもつクレジット・カード・ベリファイヤ又はそれと同様の他のデバイス、トークン及びマイクロプロセッサ又は他のプロセッサ・デバイスに記憶された値を読むために適用されるカード読み取り機又は他のデバイスを含む。従って、トークン・プロセッサ１４は、典型的に、トークン読み取り機又はトークン読み出し／書き込みデバイス４０、マイクロプロセッサ又は他の処理デバイス４２、プロセッサ４２の一部又はプロセッサ４２において与えられたメモリに付加されるものであり得る少なくとも１つのメモリ・デバイス４４、プロセッサ４６にデータを入力するためのキーボード又は他のデータ入力デバイス４６、時間変化値を生成するクロック４８又は他のデバイス、及び送信器又は好適には送信器／受信器５０を含む。多種のプロセッサ１４に対して、デバイス５０はモデムであり得、それは、プロセッサを電話線、ネットワーク・インターフェース、又はセルラー電話エレメントのような或る種の無線通信デバイスに、相互接続する。デバイス５０はホスト・プロセッサ１６におけるコンパチブルのデバイス６０と通信する。ホスト・プロセッサ１６は、典型的に、多種の機能を行うために用いられるプロセッサであり、例えば、それを通じて多種のデータベース又は他の情報リソース又は或る他の遠隔リソースへのアクセスを得ることができるサーバであり得る。ホスト・プロセッサ１６はネットワークの一部であり得、そのネッ卜ワークは複数のそのようなプロセッサを含み得る。本発明と関連して考慮されるホスト・プロセッサ１６の機能は、少なくとも、ユーザの所有するトークン１６がシステムへのアクセスを許可されていることを検証することである。この機能を行うにあたり、ホスト・プロセッサ１６はそこに含まれるプロセッサ・エレメント６２、及びトークン上の及びそのようなトークンに対する許可されたユーザの情報を含むメモリ６４を用いる。ホスト・プロセッサ１６がひとたびユーザを検証（verify）すると、ユーザに特定のリソースへのアクセスを与え、また、本発明の一部ではない多種の他の機能を行い得る。図２を参照すると、システム１０の使用における第１のステップは、ユーザがトークン１２の読み出し／書き込みエレメント２０をトークン・プロセッサ１４のトークン読み出し／書き込みデバイス４０に挿入することに対するものである。読み出し／書き込みエレメント２０が、例えば、磁気ストリップ又は電極であるところでは、このオペレーションは、トークン１２の少なくとも一部を読み出し／書き込みデバイス４０に物理的に挿入することを含む。発光ダイオード（ＬＥＤ）及びフォト・ダイオード又は赤外線エミッタ及びデテクタのような光学エレメント又はＲＦエレメントが読み出し／書き込みエレメントとして使用されるところでは、このオペレーションは、トークンの読み出し／書き込みエレメントをトークン・プロセッサの読み出し／書き込みデバイスに近接するようにもっていくことによって、行われる。何れの場合においても、これが行われるとき、１つ又はそれ以上の記憶されたコード、及び可能性としては更なる情報、がトークンからトークン・プロセッサ１４に読み取られる（ステップ７０）。読み出される情報は、典型的には、プロセッサ４２の制御のもとでデバイス４０によってスキャンされるか、又はシーケンシャルに呈示されるかの何れかである。好適な実施例については、秘密コード２２のみがトークン１２に記憶され、これがステップ７０で読まれるコードである。このコードは１つの入力としてプロセッサ４２に与えられる。クロック４８での現在の時間変化値もまた入力としてプロセッサ４２に与えられ（ステップ７２）、そして、プロセッサはまた、メモリ４４又はその内部メモリから、一時の予測不可能なコードを生成するために受信した入力を用いるためのアルゴリズムを、受信する（ステップ７４）。最後に、ユーザはキーボード４６を用いて、一般にはユーザのみが知っているユーザの個人識別番号（ＰＩＮ）又は他の秘密コードを入力する（ステップ７６）。トークンのコードを変更し得るＰＩＮがプロセッサ４２に最終的入力として与えられ、次にプロセッサは、トークンからの秘密コードと、クロック４８からの時間変化する又は一時の値と、受信したＰＩＮとをアルゴリズムにおいて使用し、選択された予測不可能なコードを生成する。時間変化値がこのコードの生成に関与するので、このコードは一時のコードであり、従って、何人もそのコードを不正に盗み取ったとしても、そのコードはその人にとって価値のないものである。なぜなら、将来におけるリソースへのアクセスを得るための効力がないからである。ステップ７８の間に生成された一時の予測不可能なコードは、次に、ステップ８０の間にホスト・プロセッサ１６に送られる。ホスト・プロセッサ１６において、予測不可能コードはデバイス６０によって受信され（ステップ８２）、プロセッサ６２に与えられる。プロセッサ６２は識別モードで動作し得、その場合には、入力されたコードが、許可されたユーザに対する或る時間間隔に対するコードと比較され、もし、受信した一時の予測不可能なコードが、ホストで生成されたその或る時間間隔に対するコードと一致した場合には、そのユーザが許可されたユーザとして識別される。時間変化入力がクロック４８のようなクロックからのものであるところでは、このクロックは通常、識別が行われるようにするために、ホスト・プロセッサ１６における対応するクロックと同期することが要求される。アメリカ合衆国特許第４,８８５,７７８号は、本発明の教示を実施するにあたって利用できる機構を教示し、それは、クロックが同期しないときにそのような識別が成されることを可能にし、かつクロックが再び同期されることを可能にする。また、ステップ８４の間に、プロセッサ６２が検証モードで動作することも可能である。検証をもって、パブリック（公衆）・コードもまた一時の予測不可能なコードと送信される。パブリック・コードは、トークン１２から得られるか又はトークン・プロセッサ１４に記憶される。プロセッサ６２は受信したパブリック・コードを用いてパブリック・コードによって示されたユーザに対する適切な一時の予測不可能なコードを検索又は生成し、次に、これと受信した一時の予測不可能なコードとを比較してユーザを検証する。ステップ８４の間の検証又は識別がうまくいくと、プロセッサ６２は、ユーザが選択されたリソースへアクセスすることを許可する（ステップ８６）。リソースへのアクセスが許可されるときの特定の様式は応用に依存するものであり、これが達成される特定の方法は本発明の一部を形成するものではない。例えば、病院の応用において、ひとたびアクセスが許可されると、ユーザはキーボード４６を用いて少なくとも選択された患者の医療記録をリクエストし、そのようなリクエストはホスト・プロセッサ６０に送られ、そして、ホスト・プロセッサ６０は、そのメモリ６４からそのような記録を検索してそのような記録をプロセッサ１４に送り、そこで表示されるか、プリント・アウトされるか、又は、さもなければ、ユーザに対して使用可能とされる。１つのオプションは、静的な秘密ユーザ・コード２２をトークン１２に記憶しておくかわりに、プロセッサ４２によって生成された一時の予測不可能なコードか、予測不可能なコードの生成において作られた或る中間値か、或る別の関連の値かの何れかを、秘密ユーザ・コードとしてトークン１２のメモリ１８に各使用の後に書き込むことである。この値は一時の時間変化するコードであるので、この値を用いると、プロセッサ４２への更なる入力として用いられるクロック４８の必要性を除くことができ、従って、同期の問題も除くこととなる。しかしながら、これは、トークン１２が１つのホスト・プロセッサ１６でのみ使用されるときに、または、ホスト・プロセッサ１６が何らかのネットワークになっていて、各ホスト・プロセッサが現在の一時コードがトークンに記憶されていることを気づくようにされているときにのみ、成され得る。トークンにこの一時コードを記憶することは、ステップ８８で示されている。別のオプションは、システム１０が問い合わせ／応答（query/response）モードで動作することである。このモードで動作するとき、以前に説明したステップに加えて、パブリック・コード２４がまたトークン１２から読まれ、トークン・プロセッサ１４によってホスト・プロセッサ１６に送られる（ステップ９０）。送信されたパブリック・コードはホスト・プロセッサ１６の送信器／受信器デバイス６０で受信され、プロセッサ６２に与えられ、このプロセッサはこのパブリック・コードを用いて、或るユーザに対して一意的な問い合わせを生成する（ステップ９２）。問い合わせは、次に、ホスト・プロセッサのデバイス６０によって送信され（ステップ９４）、トークン・プロセッサのデバイス５０によって受信される（ステップ９６）。受信された問い合わせは更なる入力としてプロセッサ４２に与えられ、この入力は、トークン１２から読まれた秘密コード、時間変化値、及びＰＩＮとともにアルゴリズムにおいて適当な一時の予測不可能なコード化された応答を生成するために用いられる（ステップ７８）。この応答は、次に、ステップ８０の間にホスト・プロセッサに送られ、ホスト・プロセッサに受け取られ、プロセッサ６２に与えられ、プロセッサ６２は応答が正しいことを検証し、検証された応答に応答してリソースへのアクセスを許可する。また、ステップ９０の間に送信されたパブリック・コードが、ステップ８４の間にホスト・プロセッサによって使用されるようにし、ユーザを検証する適切な予測不可能コードを検索するようにすることも可能である。これが行われるとき、ＰＩＮを受信するステップ７６は必要ではないが、このステップは機密保護を付加するためには望ましい。ステップ７２の間に現在の時間変化値を受信することは、通常、以前説明したように、現在のクロック値４８を読むことによって達成されるが、このステップは、静的秘密コードではなく一時コードが機密ユーザ・コード２２として記憶されるところでは、除くことができる。また、幾つかの応用においては、トークン１２が、時間が同期していない多種のトークン・プロセッサで用いられ得ることも可能である。そのような場合には、トークン１２がそれ自身のクロックを含むことが望ましく、ステップ７２の間にそのクロックが読まれ、現在の時間変化値として用いられる。互換的には、トークン１２が、トークンが使用されるたびに又は選択された事象の発生に応答して変化する一時の時間変化する値２８を記憶してもよい。この場合、ステップ７０の間にトークンが読まれるときに、そのコード値は使用するために読み出され、そして、この値は所定のアルゴリズムに従って変更され得、変更された値は次にメモリのエリア２８に記憶される。互換的には、値は、例えば、或るセッションの間にリソースがアクセスされる毎に変化するようにし、トークンがトークン・プロセッサ１４から取り除かれる前に最後の時間変化値がエリア２８に記憶されるようにしてもよい。一時コードを生成するための当該技術で知られているその他の技術を用いてもよい。同様に、アルゴリズムを受信するステップ７４は、通常、アルゴリズムをプロセッサ４２のメモリから又はバックアップ・メモリ４４から得ることを含む。しかしながら、アルゴリズムが保護されることが一般に望ましく、幾つかの応用においては、トークン・プロセッサよりもトークンの機密保護を確保することを維持することの方がより容易である。更に、幾つかの応用においては、予測不可能な一時コードを生成するために用いられるアルゴリズムが、システムの各ユーザに対して又は少なくとも特定のクラスのユーザに対して異なることが、望ましい。そのような応用において、これらの目的は、アルゴリズムをトークン１２に、例えば、トークンのメモリのエリア２６に記憶し、ステップ７４の間にそのアルゴリズムをトークン１２からプロセッサ４２に読み出すことによって、達成され得る。ほとんどの応用において、、トークン１２はユーザを証明する機能の専用の「ダム・トークン」であるが、これは、本発明を制限するためのものではない。例えば、今日、多くのプロセッサは、デバイス４０のような読み出し／書き込みデバイスをスロットとして用い、そこには、モデム機能やネットワーク・インターフェースやファックスやそれ同様のもののような付加的機能を含むカードが含まれ得る。そのようなカードは付加的メモリ及び他の選択されたハードウエアを含み得る。これらの機能カードのうちの１つを、ユーザの秘密コードをそのカードに単に付加して且つトークン・プロセッサをカードからそのコードを読んでそれを用いるようにプログラムして上記で説明した様式で最初のログオン手続きの一部としてユーザを識別／検証するようにすることによって、トークンとして用いることが可能である。更に、例えば、標準の電話からリソースへのアクセスを獲得するためのような、トークン・プロセッサが使用できない応用において、特定のユーザが彼のトークンを使用する必要がある応用がある。そのような応用の場合、前に述べたアメリカ合衆国特許第４,７２０,８６０号に説明されたようなトークンを用いることができ、それは、記憶されたシード及びそれ自身の内部クロックで生成された時間変化値を用い、ユーザによって使用されるために表示される一時の予測不可能なコードを生成することができる。しかしながら、このトークンはまた読み出し／書き込みエレメント２０をもち、シードがまたトークン・プロセッサ１４に読み取られることを可能にし、トークンがまたシステム１０において使用されることを可能とする。しかしながら、上記で説明したスマート・カードの必要性は、トークン・プロセッサ１４が、例えば、航空機ターミナルや他の公共の場所で現在使用可能なクレジット・カード読み取り機及び他の処理能力を含んだ電話のような電話である場合には、除かれる。そのようなアプリケーションにおいて、トークン１２は使用されるアルゴリズムをエリア２６に含み得、かつクロック又は時間変化値をエリア２８に含み得る。それらは、電話の一部を形成するトークン読み取り機によってトークンから読み取られ、そして、これもまた電話の一部を形成するプロセッサにおいて処理されて一時の予測不可能なコードが生成される。ユーザは、彼のＰＩＮを、そのような電話の多くに備わっている小型のディスプレイに現れる視覚的プロンプトに応答して、又は電話のハンドセットに与えられる音声的プロンプトに応答して、電話のタッチ・キーに入力することができる。従って、「ダム」トークンは、そのような電話のある何れの場所においても使用可能である。標準のクレジット・カード・ベリファイヤもまた、システム１０におけるダム・トークンを用いるトークン・プロセッサとして機能するようにプログラムすることができ、また、トークン読み取り能力と、ＰＩＮが入力されるようにする何らかのタイプの入力デバイスと、一時の予測不可能なコードを生成する機能を行うようにプログラムされ得るプロセッサと、その値をホスト・プロセッサに送るための少なくとも１つの送信器とを含むような、現存する又は将来開発される他のデバイスも使用することができる。更に、好適な実施例では、リソースへのアクセスはホストを通じてのみ得られたが、幾つかの応用においては、少なくとも幾つかのローカルのリソース（１つ以上）へのアクセスは、トークン・プロセッサで又はその制御のもとで許可される。また、使用されるプロセッサはプログラマブル・プロセッサであると仮定されている。しかしながら、適切な応用において、ハイブリッドの又は特定目的用のプロセッサを用いてもよい。従って、本発明を、好適な実施例を参照して上記で特定的に示し且つ説明したが、形及び詳細における上述の及び他の変更は、本発明の精神及び範囲からはなれることなく、その中において、当業者によって行われ得る。

【手続補正書】特許法第１８４条の７第１項【提出日】１９９５年７月４日【補正内容】１９条補正英文明細書第１８ページ（請求の範囲の請求項３〜９）に対応３．請求項２に記載のシステムにおいて、前記応答はまた、ユーザによって入力された秘密個人識別コードの関数である、システム。４．請求項１に記載のシステムにおいて、前記時間変化値エレメントはクロックである、システム。５．請求項１に記載のシステムにおいて、前記時間変化値エレメントは、トークンが前記ポータブル・プロセッサで使用される度に値を変える、システム。６．請求項５に記載のシステムにおいて、各生成された予測不可能なコード、各予測不可能なコードの生成において用いられる中間値、及び前記予測不可能なコードに関連する別の値を、秘密ユーザ・コードとして前記トークンに、前に記憶されたコードの代わりに、記憶する手段を含む、システム。７．請求項１に記載のシステムにおいて、前記トークンはまた、前記予測不可能なコードを生成するために前記トークン・プロセッサによって使用可能なアルゴリズムを記憶し、前記アルゴリズムは前記トークン読み取り機によって前記トークン・プロセッサに読み取られ、且つ前記予測不可能なコードを生成するために前記の受信し生成するための手段によって用いられる、システム。８．（請求項８を削除する。）９．請求項１に記載のシステムにおいて、前記の予測不可能なコードを生成するための手段はまた、ユーザによって入力された秘密個人識別コードを受信し且つ使用する、システム。英文明細書第２０〜２１ページ（請求の範囲の請求項１７〜１９）に対応１７．選択されたリソースへの許可されたユーザによる保護アクセスを提供するシステムにおいて、ユーザが所有し、システムに対する秘密ユーザ・コードを記憶するトークンであって、該コードは機械が読み取り可能な形で記憶されている、トークンと、前記トークンに対する読み取り機と、時間変化値エレメントと、コード入力デバイスと、前記トークンから読み取られた前記秘密ユーザ・コード、ユーザによって前記入力デバイスに入力された秘密個人識別コード、及び時間変化値をを受信し且つそれに応答して一時の予測不可能なコードを生成する手段と、生成された前記予測不可能なコードに応答して、前記コードが受け入れられるかを決定するようにし、前記予測不可能なコードが受け入れられるという決定に応答して前記選択されたリソースへのアクセスを許可する手段と、をもつトークン・プロセッサと、を備えるシステム。１８．選択されたリソースへの許可されたユーザによる保護アクセスを提供する方法において、ａ）秘密ユーザ・コードをトークンからトークン・プロセッサに読み取るステップと、ｂ）前記トークン・プロセッサにおいて時間変化値とアルゴリズムとを獲得するステップと、ｃ）前記トークン・プロセッサが、ユーザが入力した秘密個人識別コードを受信するステップと、ｄ）前記トークン・プロセッサが、一時の予測不可能なコードを得るために前記アルゴリズムにおいて前記秘密ユーザ・コード、時間変化値、及び秘密個人識別コードを用いるステップと、ｅ）前記トークン・プロセッサが、生成した一時の予測不可能なコードをホスト・プロセッサに送信するステップと、ｆ）前記ホスト・プロセッサが、受信した前記予測不可能なコードを用いて、そのユーザが前記リソースへのアクセスを許可されているかを決定するステップと、ｇ）前記ホスト・プロセッサが、そのユーザは許可されているという決定に応答して、ユーザに前記リソースへのアクセスを与えるステップと、を備える方法。１９．請求項１８に記載の方法において、ｈ）前記トークン・プロセッサが、前記トークンからパブリック・コードを読み取り、該パブリック・コードを前記ホスト・プロセッサに送信するステップと、ｉ）前記ホスト・プロセッサが、前記パブリック・コードを用いて問い合わせを生成し、該問い合わせを前記トークン・プロセッサに送信するステップと、ｊ）前記トークン・プロセッサが、一時の予測不可能なコードの生成においてステップ（ｄ）の間に前記問い合わせを用いるステップであって、これもまた前記問い合わせに対する応答である、ステップと、ｋ）ステップ（ｆ）が、正しい応答を受信したことを検証するステップを含むステップと、を備える方法。

Claims

【特許請求の範囲】１．選択されたリソースへの許可されたユーザによる保護アクセスを提供するシステムにおいて、ユーザが所有し、システムに対する秘密ユーザ・コードを記憶するトークンであって、該コードは機械が読み取り可能な形で記憶されている、トークンと、前記トークンに対する読み取り機、時間変化値エレメント、コード入力デバイス、前記トークンから読み取られた前記秘密ユーザ・コードを受信し且つそれに応答して一時の予測不可能なコードを生成する手段、及び生成された前記予測不可能なコードを送信するための送信器をもつトークン・プロセッサと、送信された前記予測不可能なコードに対する受信器、及び受信した予測不可能なコードに応答して前記選択されたリソースへのアクセスを許可する手段をもつホスト・プロセッサと、を備えるシステム。２．請求項１に記載のシステムにおいて、前記トークンはまた機械が読み取り可能な形でパブリック・コードを記憶するものであり、前記トークン・プロセッサの前記トークン読み取り機は前記パブリック・コードを読み取り、且つ前記の送信するための手段は読み取られたパブリック・コードを前記ホスト・プロセッサに送信するものであり、前記ホスト・プロセッサは受信したパブリック・コードに応答して選択された問い合わせを生成し、その問い合わせはポータブルのプロセッサに送信されるものであり、前記予測不可能なコードは前記問い合わせへの応答であり、それは少なくとも前記問い合わせと前記トークンから読み取られた前記秘密コードとの関数である、システム。３．請求項２に記載のシステムにおいて、前記応答はまた、ユーザによって入力された秘密個人識別コードの関数である、システム。４．請求項１に記載のシステムにおいて、前記時間変化値エレメントはクロックである、システム。５．請求項１に記載のシステムにおいて、前記時間変化値エレメントは、トークンが前記ポータブル・プロセッサで使用される度に値を変える、システム。６．請求項５に記載のシステムにおいて、各生成された予測不可能なコード、各予測不可能なコードの生成において用いられる中間値、又は前記予測不可能なコードに関連する別の値を、秘密ユーザ・コードとして前記トークンに、前に記憶されたコードの代わりに、記憶する手段を含む、システム。７．請求項１に記載のシステムにおいて、前記トークンはまた、前記予測不可能なコードを生成するために前記トークン・プロセッサによって使用可能なアルゴリズムを記憶し、前記アルゴリズムは前記トークン読み取り機によって前記トークン・プロセッサに読み取られ、且つ前記予測不可能なコードを生成するために前記の受信し生成するための手段によって用いられる、システム。８．請求項１に記載のシステムにおいて、前記トークンは時間変化値生成器をもち、前記時間変化値エレメントは、前記時間変化値生成器によって生成された及び前記トークンから読み取られた時間変化値を受信する、システム。９．請求項１に記載のシステムにおいて、前記の予測不可能なコードを生成するための手段はまた、ユーザによって入力された秘密個人識別コードを受信し且つ使用する、システム。１０．請求項９に記載のシステムにおいて、前記秘密個人識別コードは、前記トークン・プロセッサの前記コード入力デバイスにユーザによって入力される、システム。１１．請求項９に記載のシステムにおいて、前記トークンはコード入力デバイスを含み、前記秘密個人識別コードが前記コード入力デバイスでユーザによって前記トークンに入力され、前記秘密個人識別コードは、前記秘密ユーザ・コードから別個に又はそれとアルゴリズム的に組合わされての何れかで、前記の受信するための手段によって準備できている、システム。１２．請求項１に記載のシステムにおいて、前記送信器および前記受信器は、電話線によって相互接続されたモデムである、システム。１３．請求項１に記載のシステムにおいて、前記送信器および前記受信器は、無線ネットワークのエレメントである、システム。１４．請求項１に記載のシステムにおいて、前記送信器および前記受信器は、ネットワーク・インターフェースのエレメントである、システム。１５．請求項１に記載のシステムにおいて、前記トークンはまた、一時コード生成器と、そこに記憶された前記秘密ユーザ・コードに及び現在の一時コードに応答して、読み取り可能な予測不可能にコードを生成するための手段とを含む、システム。１６．請求項１に記載のシステムにおいて、前記トークン・プロセッサは、トークン読み取り機及びそれに関連するプロセッサを有する電話である、システム。１７．選択されたリソースへの許可されたユーザによる保護アクセスを提供するシステムにおいて、ユーザが所有し、システムに対する秘密ユーザ・コードを記憶するトークンであって、該コードは機械が読み取り可能な形で記憶されている、トークンと、前記トークンに対する読み取り機と、時間変化値エレメントと、コード入力デバイスと、前記トークンから読み取られた前記秘密ユーザ・コード、ユーザによって前記入力デバイスに入力された秘密個人識別コード、及び時間変化値をを受信し且つそれに応答して一時の予測不可能なコードを生成する手段と、生成された前記予測不可能なコードに応答して、前記コードが受け入れられるかを決定するようにし、受け入れられた予測不可能なコードに応答して前記選択されたリソースへのアクセスを許可する手段と、をもつトークン・プロセッサと、を備えるシステム。１８．選択されたリソースへの許可されたユーザによる保護アクセスを提供する方法において、ａ）秘密ユーザ・コードをトークンからトークン・プロセッサに読み取るステップと、ｂ）前記トークン・プロセッサにおいて時間変化値とアルゴリズムとを獲得するステップと、ｃ）前記トークン・プロセッサが、ユーザが入力した秘密個人識別コードを受信するステップと、ｄ）前記トークン・プロセッサが、一時の予測不可能なコードを得るために前記アルゴリズムにおいて前記秘密ユーザ・コード、時間変化値、及び秘密個人識別コードを用いるステップと、ｅ）前記トークン・プロセッサが、生成した一時の予測不可能なコードをホスト・プロセッサに送信するステップと、ｆ）前記ホスト・プロセッサが、受信した前記予測不可能なコードを用いて、そのユーザが前記リソースへのアクセスを許可されているかを決定するステップと、ｇ）前記ホスト・プロセッサが、そのユーザは許可されているという決定に応答して、ユーザに前記リソースへのアクセスを与えるステップと、を備える方法。１９．請求項１８に記載の方法において、ｈ）前記トークン・プロセッサが、前記トークンからパブリック・コードを読み取り、それを前記ホスト・プロセッサに送信するステップと、ｉ）前記ホスト・プロセッサが、前記パブリック・コードを用いて問い合わせを生成し、該問い合わせを前記トークン・プロセッサに送信するステップと、ｊ）前記トークン・プロセッサが、一時の予測不可能なコードの生成においてステップ（ｄ）の間に前記問い合わせを用いるステップであって、これもまた前記問い合わせに対する応答である、ステップと、ｋ）ステップ（ｆ）が、正しい応答を受信したことを検証するステップを含むステップと、を備える方法。