JPH11511882A - 電子取引および電子送信の承認のためのトークンレス識別システム - Google Patents

Abstract

(57)【要約】 トランザクションおよび送信を承認するためのトークンレス識別システムおよび方法が開示される。本発明によるトークンレスシステムおよび方法は、主として、未知のユーザ本人から直接、収集された、指紋や声紋記録のようなユニークなバイオメトリックサンプルを、以前に得られ格納された同一タイプの認証済みバイオメトリックサンプルと相関的に比較することに基づいている。本発明は、その他の独立したコンピュータシステム間の完全な、または部分的な仲立ちとして作用するようにネットワーク化されうるし、あるいは、必要なすべての実行事項をおこなう単独のコンピュータシステムであってもよい。また、本発明は、識別が完了し、そのコンピュータシステムがアクセスされたことをユーザに認証し、示した後に、ユーザに返送されるプライベートコードの使用も考慮に入れている。さらに、本発明による識別システムおよび方法は、承認されたユーザが、アクセスの企ては強要されたものであることを機関に警告することを可能にする緊急通知手段をさらに備えている。

Description

【発明の詳細な説明】 電子取引および電子送信の承認のためのトークンレス識別システム 背景 今日の金融界ではトークンおよびクレジットカードの使用が広く普及している 。トークンは何らかの無生物であり、これを提示する個人に、権限をあたえるも のである。金融口座への遠隔アクセスはすべてトークンまたはプラスチックカー ドを用いて行われる。デビットカード（debit card）で食品雑貨を購入する場合 も、クレジットカードで消費財を購入する場合も、その取引の中心にあるのは、 個人と、個人がアクセスしている金融口座とを識別する役割を果たすクレジット カードまたは「スマートカード（smart card）」などのトークンによって可能と なる金銭の移動である。残念なことに、この便利なトークンベースの金銭移動シ ステムと組み合わせた現在の技術で得られたシステムは、盗みおよび詐欺が起こ りやすいシステムである。 ユーザ同一性の検証は、個人間で容易に再生できかつやりとりできるトークン にあるデータのみに基づいて行われ、そのような場合の安全性は、承認されたユ ーザおよびマーチャントがこの情報を所有物として維持する際の努力と運とをあ てにしなければならないものである。しかし、トークンは、その本質により、個 人とあまり強い関連があるわけではない。トークンの正当な所有者の識別はどう みても十分ではない。このことは、トークンの正当な所有者以外の個人がこれら のトークンを用いてマーチャントおよび他の消費財供給者に詐欺行為をはたらい ていることから容易に証明される。 このシステムがその性質上非常に無防備であるため、クレジット業界では多く の様々な地域で詐欺による損害が起こっているが、この損害は主に、紛失したカ ード、盗まれたカード、あるいは偽造カードによるものである。クレジッドカー ドは個人識別コード（personal identification code）（ＰＩＣ）を使用しなけ れば使えないため、紛失カードが他人の手に渡った場合、カードを現金に換える ことができる。ジステムの詐欺の大部分がトークンを盗むことにより起こってい るため、偽造クレジットカードの使用が増加し続けている。クレジットカードは より高度な技術を持つ者によって偽造されており、カード保有者の有効な口座番 号を得て、この有効な番号を用いて偽造カードを作っている。偽造者は、磁気ス トリップを符号化し、偽造プラスチックカードに口座番号を打ち出す（emboss） 。このカードをマーチャントに提示すると、正当なカード保有者の口座に支払い が請求される。他の形態の損害は、マーチャントがカード保有者の口座番号を不 正に利用するという犯罪行為によって起こる損害である。さらに、承認されたカ ード保有者がトークンを用いて買い物をし、その後にトークンを紛失したあるい は盗まれたとして申請するというタイプの詐欺もある。すべてのタイプの詐欺に よる損害は年間９億５０００万ドルを越えると推定される。 一般に、デビットカードは個人識別コード（ＰＩＣ）とともに用いられる。デ ビットカードの偽造は、口座番号だけではなくＰＩＣも知る必要があり、それを 知って初めてカードを作ることができるため、クレジットカードの場合よりも困 難である。しかし、様々な戦略を用いて、不注意なカード保有者からＰＩＣを得 ており、この戦略には、ショッピングモールにあり、現金を分配するがＰＩＣを 記録するトロイの木馬のように危険な現金自動預け払い機（automated teller m achine）すなわちＡＴＭから、これもＰＩＣを記録するマーチャント用販売時点 情報管理（ＰＯＳ）デバイス、およびカード保有者がＡＴＭでＰＩＣを入力する のを双眼鏡で見る人といったものがある。その後に偽造したデビットカードを様 々なＡＴＭ機で用いてその不運な口座が空になるまで使うのである。 この偽造詐欺のため、産業界では、過去１０年間にわたって、クレジットカー ド取引システムの使用については根本的な変更はせずにトークンを変更した。こ の対処法は、顧客に自分のカードをアクティベートするように発行者に依頼して もらうといった主に管理上の変更であった。他の変更としては、ホログラム、写 真ＩＤ、または改良を加えた署名領域の追加がある。これらのタイプの変更は特 に、システムで個人の真の識別がなされていないために詐欺が容易であることを 示している。これらの変更を行えば、製造コストが年間20億ドルに倍増すると推 定される。 銀行業界は、近い将来、「スマートカード」と呼ばれるさらに高価なカードに 移行するであろうと予測している。スマートカードは、最初のホームコンピュー タのうちの幾つかのものが持っていた計算力と同等の計算力を含む。第１世代の スマートカードの現在のコスト見積は、流通コストを除いて約３．５０ドルであ ると推定され、これは、プラスチックカードブランクの０．３０ドルよりもかな り高い。 電子金融取引の普及に加えて、およびその普及に伴って、現在では、電子ファ クシミリ、電子メールメッセージおよび同様の電子通信が広く用いられている。 個人が適切に識別されないという金融取引に関する問題点と同様に、電子送信に 関しても個人が適切に識別されないという問題点がある。電子通信は、その簡便 さおよび速度ならびに従来の郵便よりも低いコストによって、似通った個人およ びビジネス間におけるえり抜きの通信方法となった。しかし、ファクシミリおよ び電子メール（または、「Ｅ−メール」もしくは「ｅメール」）などの非常に多 くの電子メッセージの場合、それを送ってもそれが真の宛先に届いているかどう か、または特定の個人が実際にその電子メッセージを送信もしくは受信したかど うかは分からない。さらに、電子メッセージを送信または受信した個人の識別名 （identify）を確かめる方法がない。 以上のことに鑑みて、詐欺が非常に起こりにくく、実用的で、ユーザが迅速に 電子取引および電子伝送を操作しかつ実行するのに効率的なコンピュータアクセ スシステムが長い間必要とされている。 個人が個人間で自由にやりとりできる何らかの物理的なものを所有しているか どうかを検証するのではなく、承認されたユーザに固有で身体的に個人的なもの であるバイオメトリクスと、個人識別コードとのみに基づいてユーザの個人識別 名を検証することができるコンピュータシステムも必要とされている。 特に、多数のまたは厄介なコードを覚える必要性を大幅に少なくするまたはな くし、アクセスリクエストを開始するために所有者の財産物（proprietary obje ct）を所有し、携帯し、提示する必要性をなくす金融取引システムが必要とされ ている。 さらに、ユーザが、多数の口座にアクセスし、ユーザに対して承認されたすべ てのサービスを獲得し、すべての金融口座における取引およびすべての金融口座 間の取引を行い、購入品の支払いを忘れずに行い、様々なサービスを受けること ができるようにするコンピュータシステムも要求されている。 さらに、このコンピュータシステムは、様々な電子取引デバイス、電子送信デ バイス、およびシステム構成を有する既存のネットワークと動作的に互換性があ るほど十分に柔軟で、手頃なものでなければならない。 最後に、電子メールメッセージおよび電子ファクシミリが安全に送信および受 信され、電子メッセージの内容が承認されていない個人に漏れないように保護さ れ、送り手または受け手の識別名を高い確実性で得ることができるようにする必 要がある。 発明の要旨 本発明は、送信権要求ステップの間に収集された個人のバイオメトリックサン プルおよび個人識別コードを、その個人について、登録ステップの間に収集され 、データ処理センターのある遠隔サイトに格納されたバイオメトリックスサンプ ルおよび個人識別コードと比較することによって個人の同一性を判定する、改善 された識別システムを提供することによって、これらの要求を満たす。本発明は 、入力されたバイオメトリックサンプルおよび個人識別コードを比較する手段を 備え、さまざまなデータバスおよびメモリモジュールを備えた、コンピュータネ ットワークホストシステムを備えている。また、本発明は、バイオメトリックス および個人識別コード入力装置と、いったん個人の同一性が判定された後、要求 されたトランザクションおよび送信をホストシステムにより実行する情報を提供 するためのデータ入力端末と、を備えている。また、本発明は、ホストシステム を、端末およびバイオメトリックス入力装置に接続する手段をも備えている。 コンピュータは、また、従来のデータ格納および変更と共に、さまざまなトラ ンザクションおよび送信を実行する手段も備えている。さらに、コンピュータは 、バイオメトリックス−ＰＩＣ（「個人識別コード」）の比較の評価、およびト ランザクションまたは送信の何らかの実行について、識別評価またはステータス の判定を出力することができる。また、コンピュータシステムは、登録ステップ の間に個人により以前に選択された秘密コードをその個人に返送することによっ て、 そのコンピュータシステムがアクセスされたことを、現在、識別されている個人 に通知し、そのことを認証する。 好ましくは、このコンピュータシステムは、電子的盗聴および電子的侵入およ びウイルスから保護される。バイオメトリックサンプルおよび個人識別コードを 収集するためにこのコンピュータにより用いられる装置は、ａ）ハードウェア部 品およびソフトウェア部品を有し、バイオメトリックサンプルを収集する、少な くとも１つのバイオメトリック入力装置と、ｂ）補助データを入力し、付加する 、バイオメトリック入力手段と機能的にその一部または全部が一体化された、少 なくとも１つの端末装置と、ｃ）個人識別コードを入力する少なくとも１つのデ ータ入力装置であって、バイオメトリック入力装置または端末装置のいずれか１ つと一体化されている、データ入力装置と、ｄ）バイオメトリック入力装置、デ ータ入力装置および端末を相互接続する手段と、を備えている。この端末装置は 、また、データおよび情報を表示する少なくとも１つの表示装置を備えている。 さらなるセキュリティを保証するために、このコンピュータシステムは、バイオ メトリック入力装置を固有のものとして識別し、バイオメトリック入力装置に接 続されている端末に関わる相手側の識別コードすなわちマーチャント識別コード を通して、相手側すなわちマーチャントを固有のものとして識別する。また、好 ましくは、このバイオメトリック入力装置は物理的および電子的改変から保護さ れており、この装置が物理的に侵害された場合には、その装置内の部品を物理的 および／または電子的に破壊し、および／または装置のメモリモジュールから重 要なデータを消去する手段が用いられる。 加えて、このバイオメトリック入力装置は、データ処理モジュールと、データ およびソフトウェアを格納する消去可能メモリモジュールおよび非消去可能メモ リモジュールと、バイオメトリックデータを入力するバイオメトリックスキャナ 装置と、データを入力するデータ入力装置と、ディジタル通信ポートと、を備え たハードウェア部品を備えている。 バイオメトリック入力装置、端末およびコンピュータネットワーク間で送られ た電子的データの完全性および秘匿性を保護するためには、このデータは暗号化 され、シールされるのが好ましい。 ホストコンピュータシステムは、また、その他の独立したコンピュータシステ ム、データベース、ファクシミリ機、およびその他のネットワークと、従来の手 段を介して接続されており、それらと通信することができる。 本発明の方法は、個人により提供された少なくとも１つのバイオメトリックサ ンプルと、やはりその個人により提供された個人識別コードとを検査することに より、トークンを全く用いず、自発的に個人を識別することを含む。登録ステッ プにおいて、個人は、システムに対して、認証されたバイオメトリックサンプル と、個人識別コードと、秘密コードとを登録することが求められる。その後、送 信権要求ステップにおいて、この個人のバイオメトリックスサンプルおよび個人 識別コードが収集され、登録ステップの間に登録されたものと比較される。個人 識別コードおよびバイオメトリックスサンプルが一致すると、その個人が肯定的 に識別される。現実のコンピュータシステムにアクセスされたことを識別された 個人に認証するために、登録ステップにおいて集められた個人の秘密コードは、 個人に返送される。 本発明の方法は、好ましくは、登録の間にバイオメトリックスサンプルを検査 し、以前に悪事を企てたとして指定されている個人、または実際に詐欺によりシ ステムに悪事を働いた個人から集められたバイオメトリックスサンプルと、その ようなバイオメトリックスサンプルとを比較する方法を含む。 好ましい実施の形態では、本発明は、緊急状況の存在、または承認されたユー ザが脅迫されていることを機関に通知する方法を含む。 また、ファクシミリまたは電子メールメッセージのような何らかの文書が、そ の文書を将来識別するためのアルゴリズムを用いて、固有のものとしてチェック サムされるのも好ましい。 本発明のさらに別の方法は、異なる複数の個人からのいくつかの類似していな いバイオメトリックスサンプルを、ある個人識別コードにより識別される電子バ スケットに格納し、個人のバイオメトリックスサンプルおよび個人識別コードを 検査することによって、その個人を迅速に識別することができる。 本発明のある実施の形態では、コンピュータシステムは、各個人が、遠隔デー タ処理センターにより選択された１グループの個人識別コード（「ＰＩＣ」）か ら 自らのＰＩＣを選択することを可能にする。これは、いったん個人のバイオメト リックが収集されると、データ処理センターが、記憶するにふさわしい（condus tive to）いくつかのＰＩＣをランダムに選択する方法においておこなわれる。 その後、データ処理センターは、収集されたこれらのバイオメトリックと、ＰＩ Ｃバスケットまたはグループに既に存在しているバイオメトリックとの比較をお こなう。新規登録者のバイオメトリックが、これらのランダムに選択されたＰＩ Ｃグループのいずれか１つに対して割り当てられ、以前に登録されたバイオメト リックと類似している場合には、そのＰＩＣは、新しい個人により使用されるデ ータベースにより拒絶され、別のそのようなバイオメトリック比較をおこなうた めに、代わりのＰＩＣが選択される。いったんデータ処理センターが、いくつか の類似したバイオメトリックスを混同することなく、いくつかのＰＩＣオプショ ンを発生した後、これらのＰＩＣは、新規登録者に提示され、個人は、そこから １つのＰＩＣを選択することができる。 本発明のある実施の形態では、第１の個人からの少なくとも１つの以前に格納 された第１のバイオメトリックサンプルを、個人識別コードバスケットを用いて 迅速にサーチする方法において、個人識別コードバスケットが、上記個人識別コ ードバスケットにより識別される少なくとも１人の第２の個人からの少なくとも １つのアルゴリズム的にユニークな第２のバイオメトリックサンプルを含みうる 、方法が提供される。この方法は、まず、格納ステップであって、ａ）第１の個 人による秘密コードの選択と、ｂ）上記第１の個人による個人識別コードの選択 と、ｃ）上記第１の個人からのバイオメトリックサンプルの入力と、ｄ）上記第 １の個人により選択された個人識別コードにより識別された個人識別コードバス ケットの位置を特定することと、ｅ）上記第１の個人から取られたバイオメトリ ックサンプルを、上記選択された個人識別コードバスケット内に以前に格納され たバイオメトリックサンプルのいずれかと比較することにより、上記第１の個人 により入力されたバイオメトリックサンプルが、少なくとも１人の第２の個人に より提供され、以前に格納された少なくとも１つのバイオメトリックサンプルと 比ベてアルゴリズム的にユニークであることを確かめることと、ｆ）もし上記サ ンプルが、上記少なくとも１人の第２の個人からの上記少なくとも１つの以前に 格納 されたバイオメトリックサンプルと比べてアルゴリズム的にユニークであるのな ら、上記第１の個人からの入力されたバイオメトリックサンプルを選択された個 人識別コードバスケットに格納することと、を含む、格納ステップを含む。また 、送信権要求ステップであって、ａ）上記第１の個人により上記選択された個人 識別コードを入力することと、ｂ）上記第１の個人によりバイオメトリックサン プルを入力することと、を含む、送信権要求ステップをも含む。さらには、比較 ステップであって、ａ）上記第１の個人により入力された上記個人識別コードに より識別される個人識別コードバスケットを検索することと、ｂ）上記第１の個 人からの入力されたバイオメトリックサンプルを、上記入力された個人識別コー ドバスケットにおける上記少なくとも１人の第２の個人からの上記少なくとも１ つの格納されたバイオメトリックサンプルと比較することにより、識別成功また は識別失敗のいずれかの結果を生じることと、を含む、比較ステップをも含む。 また、ａ）コマンドが処理され実行されることによって、判定を生じる、実行ス テップと、ｂ）上記識別結果または上記判定が外面化され表示される、出力ステ ップと、ｃ）上記第１の個人の識別に成功するとただちに、上記秘密コードが上 記第１の個人へと提示される、提示ステップと、をも含む。 本発明のある実施の形態によれば、ホストシステムは、識別されている個人と 、アクセスされるべき別のコンピュータネットワークとの間に直列に位置づけら れることによって、インタフェースとして作用する。なお、この実施の形態にお いて、ユーザは、ＶＩＳＡＮＥＴのような他の独立し安全の保証されたコンピュ ータシステムと動作的にインタラクティブである、本発明によるホストコンピュ ータシステムへと直接、アクセスリクエストを提出することは理解されたい。よ って、このコンピュータシステムは、それがサービスする安全の保証されたコン ピュータシステムそれぞれのすべての承認済みユーザについて認証されたバイオ メトリックデータサンプルを維持する。これらのデータは、承認済みユーザ各人 により相互参照される。よって、同一性の検証が終了した後、セキュリティシス テムは、ユーザに対して、ユーザがアクセスを承認されているシステムのリスト を提供し、ユーザに対して所望のネットワークを選択するようプロンプトする。 その後、リクエストされた実行ステップおよびトランザクションに関する情報は 、今日、マ ーチャントとクレジットカード会社との間でやりとりされている通信と似たタイ プの選択された独立コンピュータネットワークへと送出される。 第２の実施の形態では、ホストシステムは、また、例えば、金融アカウントか ら借り受けたり、そこへ貸し付けたりすることのような、その他の独立したコン ピュータシステムの機能を実行することもできる。このシステムでは、本発明の コンピュータシステムは、外部の独立したコンピュータネットワークを用いずに 、個人によりリクエストされた機能を実行する。 本発明によるさらに別の実施の形態によれば、ホストコンピュータシステムへ のアクセスをリクエストするサードパーティによりユーザが強要されているアク セスの企ての間に、予め指定された機関へと警告を発する手段が提供される。こ のような実施の形態では、承認されたユーザは、いくつかのコードをもつことに なる。これらのコードの大半は、コンピュータシステムにより標準的アクセスコ ードとして認識されることになるが、他のものは、緊急コードとして認識される ことになる。本発明のコンピュータシステムの比較手段は、承認されたユーザ１ 人につき少なくとも１つのコードを受け入れ、認識するように構成されており、 ユーザにより入力されたコードが緊急コードと一致する時にはいつでも、緊急警 告手段を作動させるように構成される。同時に、ユーザについて承認済みの同一 性が判定されると、おそらくは制約されるように予め定められたアクセスレベル 、またおそらくはミスリーディングデータ（すなわち「偽の画面」）が表示され る結果となるアクセスレベルにおいて、リクエストされた安全の保証されたコン ピュータシステムへのアクセスがそのユーザに許される結果となる。これにより 、ユーザにより緊急通知が入力されたことを、強要者のサードパーティが知るの を防止できる。緊急コードは、ユーザの個人識別コードの一部として、あるいは それと同時に入力されるか、またはコンピュータシステムへのアクセス時に緊急 アカウントインデックスを選択することによって入力される。いずれの場合にせ よ、アクセスをリクエストするユーザの利益は、もしそのユーザが機関への通知 を企てていたことを強要者であるサードパーティが知ったのなら、危険にさらさ れることになる。 本発明は、いくつかの点で、明らかに従来技術よりもすぐれている。第１に、 ユーザにとって、特にユーザが金融アカウントにアクセスしようとしている時に は、本発明は、きわめて簡単で、効率がよい。なぜなら、人は、アカウントにア クセスするのに、トークンをもっていることも提示することも必要なくなるから である。本発明は、要求された何らかのトークンを携帯し、安全保護し、その在 処を突き止めることに関わるあらゆる不便をなくす。また、トークンは、特定の トークンに割り当てられた秘密コードを覚えていることをさらに要求する特定の コンピュータシステムに固有であることがよくあるので、本発明は、そのような トークンを一切排除し、ただ１つの個人識別コードを用いてすべての資産へのア クセスを実現することによって、消費者にますます要求されている記憶および義 務励行の量を大幅に減らすことができる。よって、一回限りのトークンレストラ ンザクションで、消費者は、銀行アカウントからの現金の引き出しから、契約条 項へと同意することを認めること、テレビジョンから直接、購入すること、さら には固定資産税の支払いに至るまで、ほとんどありとあらゆる商業的やりとりま たは電子的メッセージのやりとりを効率よく、かつ安全に実行することができる 。 このような電子トランザクションは、また、操作コストを大幅に削減すること によって、マーチャントおよび銀行が、大量の時間および出費を節約することを 可能にする。本発明のシステムは、消費者が自らのもつ金融アカウントのすべて に対して同時に直接、アクセスすることを可能にするように設計されているので 、金銭、小切手、商業書類その他を伴うトランザクションの必要性は大幅に低く なり、それにより、このようなトランザクション用の設備コストおよび収集・計 算に必要なスタッフを減らすことができる。また、クレジットカード、ＡＴＭカ ード、名刺などを発行し、再発行するための実質的な製造コストおよび配布コス トをなくすことができるので、マーチャント、銀行ひいては消費者にとってさら に経済的な節約が可能になる。 本発明は、ユーザの１つ以上のユニークなバイオメトリックス特徴の分析に基 づきユーザの同一性を判定することによって、非承認ユーザにアクセス権を賦与 する危険性を実質的に排除することができる。 また、本発明は、認証データを維持し、ユーザのリクエストしているアクセス からは操作的に分離されたシステムにおける一点で同一性検証操作を実行するこ とによって、詐欺に対する抵抗力をさらに強化し、それにより、ユーザが、認証 データのコピーを取ったり、検証プロセスを改変したりするのを防止することが できる。このようなシステムは、例えば、パーソナルコードのような認証情報が トークンに基づいて格納され、トークンから復元されうることになっており、か つ実際の同一性判定が、アクセスプロセス中にユーザと操作を通じてコンタクト を取っておこなわれる可能性のある、現存のトークンに基づくシステムよりも明 らかに優れている。 よって、本発明の目的は、システムアクセスリクエストを開始するに当たって 、ユーザが、例えばトークンのような物理的オブジェクトを所有し、提示する必 要がないようにするコンピュータアクセス識別システムを提供することにある。 本発明の別の目的は、所有物および所有情報の所有を検証するのではなく、ユ ーザの同一性を検証できるコンピュータアクセス識別システムを提供することに ある。 本発明のさらに別の目的は、ユーザにとって物理的に個人独特のものである１ つ以上のユニークな特性に基づいて、ユーザの同一性を検証することにある。 ユーザにより提供された所望のコンフィギュレーションに従って、コンピュー タシステム上でユーザのトランザクション能力を自動的に制約するコンピュータ アクセス識別システムもまた必要とされている。本発明の上記利点およびその他 の利点は、添付の図面と併せて、以下に述べる本発明の詳細な説明を読めば、さ らに明らかになるであろう。 図面の簡単な説明 図１は、本発明のシステムの図である。 図２は、データプロセシングセンター（ＤＰＣ）およびその内部データベースお よび実行モジュールの図である。 図３は、小売ＰＯＳターミナル、バイオメトリックス入力装置およびその構成要 素、およびそれらの間の相互接続の図である。 図４は、リクエストパケットを生成するための、バイオメトリックス入力装置お よびターミナルの動作のフローチャートである。 図５は、リクエストパケットおよびそれが包含する必須およびオプショナルデー タを描写した図である。 図６は、レスポンスパケットおよびそれが包含する必須およびオプショナルデー タを描写した図である。 図７は、バイオメトリックス入力デバイスにおける、データ暗号化およびシーリ ングプロセスを表すフローチャートである。 図８は、ＤＰＣにおけるデータ復号化およびカウンタパーティ識別プロセスを表 すフローチャートである。 図９は、ＤＰＣにおけるデータ暗号化およびシーリングプロセスを表すフローチ ャートである。 図１０は、登録プロセス中の個人の登録を表すフローチャートである。 図１１は、個人の識別および個人へプライベートコードを返すプロセスを示すフ ローチャートである。 図１２は、ＤＰＣおよびある実行ステップで起こるプロセスの概略のフローチャ ートである。 図１３は、ＤＰＣにおける緊急リクエストおよびレスポンスプロセスのフローチ ャートである。 図１４は、ＤＰＣにおける小売トランザクション承認実行動作の全体のフローチ ャートである。 図１５は、ＤＰＣにおける遠隔トランザクション承認実行動作の全体のフローチ ャートである。 図１６は、ＤＰＣにおけるＡＴＭアカウントアクセス実行動作の全体のフローチ ャートである。 図１７は、ＤＰＣにおける発行者バッチ改変実行動作の全体のフローチャートで ある。 図１８は、ＤＰＣにおける安全なファックス入力および電子文書入力実行動作の 全体のフローチャートである。 図１９は、ＤＰＣにおける安全なファックスデータおよび電子文書データ実行動 作の全体のフローチャートである。 図２０Ａは、電子署名リクエストパケットを描写した図である。 図２０Ｂは、電子署名レスポンスパケットを描写した図である。 図２０Ｃは、電子署名検証リクエストパケットを描写した図である。 図２０Ｄは、電子署名検証リクエストパケットを描写した図である。 図２１は、ＤＰＣにおける電子署名実行動作の全体のフローチャートである。 図２２は、ＤＰＣにおける電子署名検証実行動作の全体のフローチャートである 。 発明の詳細な説明 このように、本発明の主な目的は、金融取引および金融以外の伝送を行うこと を目的とした、個人を識別するための、多くのユーザーに対応できる、トークン レス装置および方法を提供することである。消費者が、いかなるトークン、クレ ジットカード、バッジ、あるいは運転免許証を含む身分証明書を使用することな く、これらの取引を遂行することができる、ということが、本発明の本質である 。システムは、複数の銀行やクレジットアカウント（credit accounts）から、 クレジットカードによる購入やＡＴＭサービスのような金融取引を完了するのに 必要な速度で動作する。本システムは安全であるので、個人の記録およびバイオ メトリックス情報は、個人を識別し、取引を承認するコンピューターシステム内 においても、またコンピュータシステムとそのコンピューターシステムが通信す る遠隔地との間のデータ転送中においても、機密かつ安全なままである。さらに 、このシステムは、識別および承認における誤りが、システムの使用を阻害した り、扱いにくくしたりしてはいけないという点において、信頼性がある。個人の 識別には、バイオメトリックスの使用のみが想定されているので、システムには 、緊急の場合には、承認されたユーザーに対してでさえ、アクセスを削減したり 、当局（authorities）に通報したりする安全対策が講じられている。 ここで図を見ることにする。本発明の全体的な構成およびその構成要素が図１ に示されている。基本的に、データプロセシングセンター（ＤＰＣ）１は、いく つかのタイプの内の１つであり得る、様々なタイプの通信手段３によって、様々 なターミナル２に接続されている。ＤＰＣはまた、独立したコンピュータネット ワーク４に接続され、これと通信する。ＤＰＣは、図２に示すように、いくつか のデータベースおよびソフトウェア実行モジュールを含む。発明の好適な実施形 態では、データベースは、安全保護のため、バックアップされるか「ミラーリン グ」されている。ファイアウォールマシン５はシステムの電子的侵入を防止する 役割を果たしているのに対し、ゲートウェイマシン６は全データベースの追加、 削除およびその他の改変を含む、ユーザーからのすべてのリクエストを実行する 役割を果たしている。ゲートウェイマシンはまた、ＭＡＣＭモジュール７、ＭＤ Ｍモジュール８、およびＳＮＭモジュール９を用いたターミナルから届いたデー タを復号およびデパッケージ（de-packaging）する役割も果たす。ＰＧＬモジュ ール１０およびＩＭＬモジュール１１は、適切な個人識別コードおよびバイオメ トリックスサンプルバスケットを見つけるために使用される。図３はターミナル およびバイオメトリックススキャナー１３、キーパッドあるいはＰＩＮパッド１ ４のようなデータ入力手段および表示パネル１５を有するバイオメトリックス入 力デバイス１２の一例を示している。バイオメトリックススキャナーは、指紋ス キャナー、音声認識、掌紋スキャナー、網膜スキャナー等のいずれでもあり得る が、指紋スキャナーを例として使用する。バイオメトリックス入力デバイスはさ らに、コンピューティングモジュール１６、デバイスドライバ、および消去可能 および消去不可能メモリモジュールを備えている。バイオメトリックス入力デバ イスは、好適にはシリアルポート１７を通してターミナルと通信する。ターミナ ル２は、従来のモデム１８、リクエストパケット１９およびレスポンスパケット ２０を通し、ケーブルネットワーク、セルラー電話ネットワーク、電話ネットワ ーク、インターネット、ＡＴＭネットワーク、あるいはＸ．２５のような、図１ の相互接続手段の１つを用いてＤＰＣ１と通信する。図４は、リクエストパケッ ト１９およびバイオメトリックス入力デバイスソフトウェアによるその生成方法 を描写した図である。図５および図６は、オプショナルおよび必須のデータセグ メントを有するリクエストパケットおよびレスポンスパケットを描写した図であ る。さらに、パケットのどの部分が暗号化されており、どの部分がシールされて いるかも示されている。図７は、データの暗号化およびシーリングの全体的なプ ロセスのブロック図であり、メッセージ認証コードキー（ＭＡＣ）２１を用いた リクエストパケットシーリング前の、追加データ付加前の、データ暗号化用のＤ ＵＫＰＴキーデータ２０の使用を示している。図８および図９は、ＤＰＣでの復 号化および暗号化プロセスを示している。図１２から１９および２１から２２は 、ＤＰＣで続行される実行ステップの選択例のブロック図である。 図面、図、フローチャートの説明、およびハードウェア構成要素、ソフトウェ ア構成要素、実行モジュール、データベース、接続手段、それらの間で転送され たデータを含む本発明の説明、および本発明の方法の説明を、以下で詳細に行う 。 バイオメトリック入力装置（ＢＩＡ） ＢＩＡは、個人の識別に使用するためのバイオメトリック入力を収集、コード 化および暗号化することをそのジョブとするハードウェアおよびソフトウェアの 組み合わせである。ＢＩＡのすべてのアクションは、ターミナルと呼ばれる外部 の制御エンティティ（controlling entity）によって指令され、これはＢＩＡの シリアルライン上でコマンドを発行し、結果を受け取る。 ＢＩＡのハードウェアには４つの基本バージョン、すなわち、標準、ワイヤレ ス、一体型電話／ケーブルテレビ（すなわち「ＣＡＴＶ」）／ファックス、およ びＡＴＭがある。ＢＩＡハードウェアの各変形体は、市場の特定のニーズに対処 し、構成に相違があるため、各変形体のセキュリティのレベルは異なる。 ＢＩＡソフトウェアには７つの基本バージョン、すなわち、パーソナルコンピ ュータ（すなわち「ＰＣ」）、小売、ＡＴＭ、登録、インターナル（internal） ，発行者，および集積型リモート（integrated remote）がある。各ソフトウェ アをロードすると、異なった、特定の用途のためのコマンドのセットが提供され る。例えば、登録ソフトウェアをロードすると、小売トランザクションのメッセ ージを形成するリクエストは受け付けられない。同様に、小売ソフトウェアのコ マンドセットは個人の登録メッセージを送ることはできない。別のセキュリティ 層を提供するために、ＤＰＣは各ＢＩＡにどのソフトウェアパッケージがロード されているかを知っており、ＢＩＡによる、通常送ることのできないメッセージ を送ろうとする試みはいかなるものであれ拒絶され、重大なセキュリティ違反と して扱われる。 ＢＩＡの外付けインターフェースは厳しく限定されているため、ＢＩＡの構成 により、そのコンテンツを不正改変することは極度に困難になる。さらに各ＢＩ Ａは、ＤＰＣしか知らない固有の暗号化コードを持っており、各ＢＩＡはそれに 指定された機能に限定された動作しか行えないようになっている。各バイオメト リック入力手段は、ＤＰＣに予め登録されたハードウェア識別コードを有してお り、このためバイオメトリック入力手段は、そのバイオメトリック入力デバイス からの後続する各転送において、ＤＰＣにとって一意に識別できるものとなる。 ターミナルのレンジは、パーソナルコンピュータ上で動作するソフトウェアア プリケーションから、小売ＰＯＳのような特定の用途に開発された専用ハードウ ェア／ソフトウェアシステムにまで至る。特定のモデルにかかわらず、暗号化さ れていないバイオメトリック情報を漏らすＢＩＡはない。表示手段のないＢＩＡ モデル（例えばＬＣＤ、ＬＥＤあるいはクォーツスクリーン）は、表示用ターミ ナルに、選択された情報（例えば個人プライベートコード）を明らかにしなけれ ばならず、その結果、それらの特定のターミナル−ＢＩＡの組み合わせは、安全 性が劣ると考えられている。 当面のタスクにより、ＢＩＡモデルは、部分的にあるいは完全にターミナルと 一体化される。部分的に一体化されているデバイスは、ターミナルと物理的に離 れており、それらはワイヤレスおよび標準小売ＰＯＳのＢＩＡを含む。完全に一 体化されたデバイスは、例えばＡＴＭや電話のようなターミナル自体に物理的に 包含されている。ＢＩＡは、いかなる外部のソースにであれ、秘密の暗号化コー ドを明らかにすることはない。 ＢＩＡモデル 具体的なＢＩＡハードウェアモデルは、異なる構成を有する。以下にそれらを 簡単に紹介する。 ＢＩＡ 標準モデルは、演算モジュール（すなわち、マルチチップモジュール）、バイ オメトリックスキャナ（すなわち、単一の指紋スキャナ）、表示手段（すなわち 、ＬＣＤスクリーン）、通信ポート（すなわち、シリアルポート）、不正改変不 可能 なケースの中に包まれたデータエントリ手段（すなわち、マニュアルデータエン トリキーボードまたはＰＩＣパッド）、および電子検出手段（すなわち、ＲＦシ ールド）を有する。 ＢＩＡ/ワイヤレス 標準モデルであって、シリアルラインが、外部アンテナを用いる広スペクトル （spread-spectrum）ワイヤレス通信モジュールに置き換わった標準モデル。レ ストランＰＯＳ（point of sale）において用いられる。 ＢＩＡ/ＡＴＭ マルチチップモジュールと共に、ヘビーデューティスキャナおよびシリアルポ ートを有する。ＬＤＣがターミナルの一部であってＢＩＡ手段の一部ではないと いう事実は、セキュリティを低下させる。なぜなら、ＬＣＤは、秘密コードをタ ーミナルへ知らせなければいけないから。ＡＴＭにおいて用いられる。 ＢＩＡ/Ｃatv ライトデューティスキャナを有する。それ以外はＡＴＭと同様である。電話、 ＣＡＴＶリモート、およびファクスマシンにおいて用いられる。ＬＣＤおよびＰ ＩＣパッドがターミナルの一部であってＢＩＡの一部ではないために、さらに市 場の低コスト性（low-cost nature）のために、最もセキュリティが弱い。 ＢＩＡコマンドセットメッセージ それぞれのＢＩＡソフトウェアコマンドセットは、動作の異なるセットを提供 する。以下にそれらを簡単に紹介する。 ＢＩＡ/ＡＴＭ アカウントアクセス（Ａccount Ａccess） ＢＩＡ/Ｃatv 遠隔取引承認（Ｒemote Ｔransaction Ａuthorization） ＢＩＡ/ファクス 安全ファクス提出（Ｓecure Ｆax Ｓubmit） 安全ファクスデータ（Ｓecure Ｆax Ｄata） 安全ファクス追跡（Ｓecure Ｆax Ｔracking） 安全ファクス取り出し（Ｓecure Ｆax Ｒetrieve） 安全ファクス拒否（Ｓecure Ｆax Ｒeject） 安全ファクスアーカイブ（Ｓecure Ｆax Ａrchive） 安全ファクス契約受諾（Ｓecure Ｆax Ｃontact Ａccept） 安全なファクス契約拒否（Ｓecure Ｆax Ｃontact Ｒeject） 電子ドキュメントアーカイブ取り出し（Ｅlectronic Ｄocument Ａrchive Ｒe trieve） ＢＩＡ/内部 個人の識別（Ｉndividual Ｉdentification） ＢＩＡ/発行者 発行者バッチ（Ｉssure Ｂatch） ＢＩＡ/ＰＣ 電子ドキュメント提出（Ｅlectronic Ｄocument Ｓubmit） 電子ドキュメントデータ（Ｅlectronic Ｄocument Ｄata） 電子ドキュメント追跡（Ｅlectronic Ｄocument Ｔracking） 電子ドキュメント取り出し（Ｅlectronic Ｄocument Ｒetrieve） 電子ドキュメント拒否（Ｅlectronic Ｄocument Ｒeject） 電子ドキュメントアーカイブ（Ｅlectronic Ｄocument Ａrchive） 電子ドキュメントアーカイブ取り出し（Ｅlectronic Ｄocument Ａrchive Ｒe trieve） 電子署名サブミッション（Ｅlectronic Ｓignature Ｓubmission） 電子署名チェック（Ｅlectronic Ｓignature Ｃheck） 遠隔取引承認（Ｒemote Ｔransaction Ａuthorization） ネットワーククレデンシャル（Ｎetwork Ｃredential） 保護された接続（Ｓecured Ｃonnection） ＢＩＡ/登録 個人の識別（Ｉndividual Ｉdentification） バイオメトリック登録（Ｂiometric Ｒegistration） ＢＩＡ/小売 取引承認（Ｔransaction Ａuthorization） ＩＡハードウェア：標準モデル 標準ＢＩＡハードウェアは、固い不正改変不可能なケースの中に包まれた単一 のプリントスキャナ、ＬＣＤスクリーン、シリアルポート、およびＰＩＣパッド と組み合わされたマルチチップモジュールである。固い不正改変不可能なケース は、コンテンツのためのＲＦシールドを提供するとともに、侵入する企てを明白 にさせる。 次のコンポーネンツは、ＢＩＡマルチチップモジュール（当該分野において公 知な、いくつかのプロセッサを一つの物理シェルに閉じ込めるためのプロセス） と呼ばれるマルチチップモジュールに合併されている。マルチチップモジュール は、デバイス間の通信経路を簡単な傍受から防護するように構築されている。 ・シリアルプロセッサ ・ＰＩＣパッドプロセッサ ・ＬＣＤスクリーンプロセッサ ・ＣＣＤスキャナＡ/Ｄプロセッサ ・フラッシュおよびマスクＲＯＭの両方を含む高速ＤＳＰプロセッサ ・汎用マイクロプロセッサ ・標準ＲＡＭ ・ＥＥＰＲＯＭ 次のソフトウエアパッケージおよびデータは、マスクＲＯＭに記憶されている 。マスクＲＯＭは、読み出し専用メモリの他のタイプよりも安価であるが、しか しリバースエンジニアされやすく、そして電子的に消去することができない。そ のようなものとして、ここでは重要でない一般に利用可能なコードを並べるにと どめる。（マスクＲＯＭは当該分野において公知である）。 ・ＭＡＣ計算ライブラリ ・ＤＵＫＰＴ鍵管理ライブラリ ・ＤＥＳ（ＣＢＳともに）暗号化ライブラリ ・Ｂase-64（８ビットから印刷可能なＡＳＣＩＩへの）コンバータライブラリ ・公開鍵暗号化ライブラリ ・埋込みオペレーティングシステム ・シリアルラインデバイスドライバ ・ＬＣＤデバイスドライバ ・ＰＩＣパッドデバイスドライバ ・スキャナデバイスドライバ ・ユニークハードウエア識別（identification）コード ・マルチ−言語プロファイル 次の標準データおよびソフトウエアパッケージはフラッシュＲＯＭにおいて記 憶される。フラッシュＲＯＭは、より高価であるが、リバースエンジニアするこ とがさらにより困難であり、そして最も重要なことだが、電子的に消去可能であ る。より重要な情報の全てはここに記憶される。フラッシュＲＯＭは、ＢＩＡを 複製することの困難さを増加させる試みで用いられる。（フラッシュＲＯＭは、 当該分野において公知である）。 ・ユニークＤＵＫＰＴ未来鍵（future key）テーブル ・ユニーク112−ビットＭＡＣ鍵 ・ＤＳＰバイオメトリック品質（biometric quality）決定アルゴリズム ・ＤＳＰバイオメトリックコード化（encoding）アルゴリズム ・乱数発生アルゴリズム ・コマンドファンクションテーブル ＢＩＡからメッセージが送られる毎にインクリメントされるメッセージシーケ ンス番号は、ＥＥＰＲＯＭにおいて記憶される。ＥＥＰＲＯＭは、何回も消去さ れてもよいが、しかし非揮発性である−そのコンテンツは、電源の遮断を越えて 有効のままである。（ＥＥＰＲＯＭは、当該分野において公知である）。 次のデータはＲＡＭにおいて記憶されている。ＲＡＭは、性質上一時的であり 、電源が失われた場合は、いつでも失われる。 ・コード化されたバイオメトリックレジスタ（Ｅncoded Ｂiometric Ｒegiste r） ・ＰＩＣレジスタ（ＰＩＣ Ｒegister） ・アカウントインデックスコードレジスタ（Ａcount Ｉndex Ｃode Ｒegister ） ・タイトルインデックスコードレジスタ（Ｔitle Ｉndex Ｃode Ｒegister） ・アマウントレジスタ（Ａmount Ｒegister） ・ドキュメント名レジスタ（Ｄocument Ｎame Ｒegister） ・ＰＩＣ−ブロック鍵（ＰＩＣ-Ｂlock Ｋey） ・メッセージ鍵（Ｍessage Ｋey） ・レスポンス鍵（Ｒesponse Ｋey） ・共有セッション鍵（Ｓhared Ｓession Ｋey） ・秘密セッション鍵（Ｐrivate Ｓession Ｋey） ・８汎用レジスタ（８ Ｇeneral Ｒegisters） ・スタックおよびヒープ空間（stack and heap space） それぞれのマルチチップモジュールは、フラッシュＲＯＭの初期化に続いて不 可逆にセットされる「一度の書き込み（write-once）」メモリロケーションを含 む。フラッシュＲＯＭへソフトウエアをダウンロードする試みが行われた場合に はいつでも、このメモリロケーションはチェックされる。もし、それがすでにセ ットされていたならば、その後、ＢＩＡはロードすることを拒否する。この方法 で、重要なソフトウエアおよびデータ鍵は、製造時に一度だけ、デバイスにダウ ンロードされうる。 次の関連するハードウエアコンポーネンツは、標準ＢＩＡハードウエアモジュ ールを備える。 ・ＢＩＡマルチチップモジュール（ＢＩＡ Ｍultichip module） ・ＣＣＤシングル−プリントスキャナ（ＣＣＤ single-print scanner） ・容量検出板（capacitance detector plate）（当該分野において公知） ・照明されたＰＩＣキーパッド（lighted ＰＩＣ keypad） ・２−ライン40−カラムＬＣＤスクリーン（２-line 40-column ＬＣＤ scree n） ・ＲＦシールド（ＲＦ shielding） ・不正改変不可能なケース（tamper-resistant case） ・シリアルコネクション（57.6kbまで）（serial connection） ・ブリーチ検出ハードウエア（breech detection hardware）（当該分野にお いて公知） ・マルチチップモジュールに取り付けられた、選択可能なテルミットチャージ （thermite charge）（当該分野において公知） これらの値を計算するために用いられる、全ての一時記憶手段および内部ハー ドウエアおよびソフトウエアは、保護される。このことは、それらが、それらの 現在の値、または機能に関するそれらの意味を決定するいかなる試みにも耐える 。この特徴は、この発明のセキュリティにとって本質的てある。ＢＩＡの「傍受 」や、そして特に、不正手段のためのバイオメトリック−ＰＩＣブロックの収集 が可能な限り困難にされることが、まさに重要だからである。 マルチチップモジュールとコンポーネンツとは、実際には、露出した配線が存 在することなく、物理的に接続されている。 ＢＩＡの電子コンポーネンツを防護しているエンクロージャーは、製造中に溶 接されて蓋をされる。それは、ケースへの重大なダメージなしでは、いかなる状 況下でも開けられ得ない。エンクロージャーのいかなる開封（またはダメージ） を 検出した際には、ＢＩＡは、フラッシュＲＯＭにある、いかなる全ての鍵につい て緊急電子的ゼロ（emergency electronic zero）を実行し、その次に、ソフト ウエアライブラリの全てついて実行する。特定のブリーチ（breech）検出メソッ ドは、極秘かつ独占（Ｐroprietary）を維持される。 コンテンツを防護することに加えて、ケースは、ＲＦ信号検出器から、内部動 作をシールドする。 ＢＩＡの超安全な（supersecure）バージョンが存在し、それによってブリー チ（breech）検出メソッドは、検出メソッドそれ自体だけでなくマルチチップモ ジュールをも物理的に破壊する機構に接続されている。 ＢＩＡハードウエア：ワイヤレスモデル ＢＩＡハードウエアのワイヤレスバージョンは、それが、外部シリアルポート の代わりに、外部アンテナを用いた広スペクトルワイヤレス通信モジュールをエ クスポートすることを除いて、構造上標準モデルと同じである。 このバージョンは、レストランにおいて用いられるように設計されている。レ ストランでは、顧客の都合に合わせて、取引が承認される。 次の記述において、標準セットに追加されるアイテムは、＋文字によって表記 される。一方、標準セットから除去されるアイテムは、−文字によって表記され る。 マルチチップモジュール： ・ドキュメント名レジスタ（Ｄocument Ｎame Ｒegister） ・共有セッション鍵（Ｓhared Ｓession Ｋey） ・秘密セッション鍵（Ｐrivate Ｓession Ｋey） ・メッセージ鍵（Ｍessage Ｋey） コンポーネンツ： ・シリアルポート（Ｓerial port） ・外部アンテナ（Ｅxternal antenna） ・広スペクトルワイヤレスシリアルモジュール（当該分野において公知） ＢＩＡハードウエア：ＡＴＭ（自動テラーマシン）モデル ＢＩＡハードウエアのＡＴＭバージョンは、ヘビーデューティシングル−プリ ントスキャナ（heavy-duty single-print scanner）とシリアルポートとに結合 されたマルチチップモジュールである。コンポーネンツは、不正改変不可能なケ ースの中に包まれる。不正改変不可能なケースは、コンテンツのためのＲＦシー ルドを提供するとともに、侵入する企てを明白にさせる。 このバージョンは、ＡＴＭの位置において改装されるように設計される。その ようなものとして、スキャナパッドは、ヘビーデューティセンサパッドであり、 全体の構造は、ＡＴＭそれ自体において存在するスクリーンおよびキーパッドを 利用する。 次の記述において、標準セットに追加されるアイテムは、＋文字によって表記 される。一方、標準セットから除去されるアイテムは、−文字によって表記され る。 マルチチップモジュール： ・アマウントレジスタ（Ａmount Ｒegister） ・ドキュメント名レジスタ（Ｄocument Ｎame Ｒegister） ・共有セッション鍵（Ｓhared Ｓession Ｋey） ・秘密セッション鍵（Ｐrivate Ｓession Ｋey） ・メッセージ鍵コンポーネンツ：（Ｍassage Ｋey Ｃomponents:） ・照明されたＰＩＣキーパッド（lighted ＰＩＣ keypad） ・２−ライン40−カラムＬＣＤスクリーン（２-line 40-column ＬＣＤ scree n） ＡＴＭはＬＣＤスクリーンまたはＰＩＣキーパッドを有さないので、実は、マ スクＲＯＭにおいてそれらのデバイスドライバが必要ないことに注意されたい。 ＢＩＡハードウエア：電話／ＣＡＴＶモデル ＢＩＡハードウエアの電話／ＣＡＴＶバージョンは、シングル−プリントスキ ャナ （single-print scanner）とシリアルポートとに結合されたマルチチップモジュ ールである。モジュールは、物理的にスキャナに取り付けられており、全体は、 干渉を行うのをより困難にするために、プラスチックの中に包まれている。かな りの量のＲＦシールドがコンポーネンツのために提供される。 このバージョンは、電話機、テレビジョンリモートコントロールおよびファク スマシンと一体化されるように設計される。結果として、それは、存在するキー パッド、ＬＣＤまたはテレビジョンスクリーンを利用して、値をエンターまたは 表示する。また、それはホストターミナルの通信機能を使う。例えば、ファクス マシンはビルトインファクスモデムを用い、テレビジョンリモートは、ＣＡＴＶ ケーブルネットワークを用いる。 このハードウエアモデルは、（他のモデルと比較して）比較的安全性が低い。 それらのデバイスが、可能な限りコストがかからず、軽重量であり、存在する低 コストデバイスと容易に一体化できるように意図されるからである。 次の記述において、標準セットに追加されるアイテムは、＋文字によって表記 される。一方、標準セットから除去されるアイテムは、−文字によって表記され る。 マルチチップモジュール： ・ドキュメント名レジスタ（Ｄocument Ｎame Ｒegister） ・共有セッション鍵（Ｓhared Ｓession Ｋey） ・秘密セッション鍵（Ｐrivate Ｓession Ｋey） ・メッセージ鍵（Ｍessage Ｋey） コンポーネンツ： ・照明されたＰＩＣキーパッド（lighted ＰＩＣ keypad） ・２−ライン40−カラムＬＣＤスクリーン（２-line 40-column ＬＣＤ scree n） ＢＩＡソフトウエア ＢＩＡソフトウエアコマンドインターフェイス ＢＩＡへの外部インターフェイスは、標準モデムによく似ている。外部シリア ルラインを用いて、コマンドが制御ターミナルからＢＩＡに送られる。コマンド が完了した場合、レスポンスコードがＢＩＡからターミナルへ送られる。 それぞれのＢＩＡソフトウエアロード（software load）は、動作の異なるセ ットをサポートする。例えば、小売ロード（retail load）は、取引承認だけを サポートし、一方、登録ロード（registration load）は、個人の識別（identif ication）およびバイオメトリック登録をサポートする。 全てのＢＩＡデータフィールドは、プリント可能なＡＳＣＩＩの形態であり、 fs制御文字で分離されたフィールド、および復帰改行（newlines）によって分離 されたレコードとを有する。暗号化されたフィールドは、base-64変換ライブラ リを用いて64−ビットＡＳＣＩＩに変換されたバイナリである（これらは当該分 野において公知である）。 いくらかのコマンドは、いくらかの構成において利用できない。例えば、ＡＴ ＭＢＩＡは、「Ｇet ＰＩＣ」できない。なぜなら、ＰＩＣパッドが取り付けら れていないから。そのかわり、ＡＴＭＢＩＡは、「Ｓet ＰＩＣ」コマンドをサ ポートする。 レスポンスコード： 時間切れ： コマンドに割り当てられた時間が満了した。その効果に対するメッセージが、 ＬＣＤスクリーンが利用可能ならば、それ上に表示される。所定のコマンドに対 して時間が満了した場合、ＢＩＡは、キャンセルボタンが押されたかのように動 作する。 キャンセルされた： キャンセルボタンが押され、そして全動作がキャンセルされた。これは、集め られた全ての情報を取り除くという副効果を有する。その効果に対するメッセー ジが、ＬＣＤスクリーンが利用可能ならば、それ上に表示される。 Ｏk： コマンドが成功した。 その他： それぞれのコマンドが、それに対してのみ有効な、特定の他のレスポンスコー ドを有してもよい。これらのレスポンスコードは一般に、コードに付随するテキ ストを有してもよい。テキストは、ＬＣＤスクリーンが利用可能ならば、それ上 に表示される。 メッセージ： これは、コマンドが進行中であることを示し、しかしＢＩＡがターミナルに中 間結果のメッセージを送りたいことを示す。この結果は、また、ＬＣＤスクリー ンが利用可能ならば、それ上に表示される。この機能は、ステータスメッセージ だけでなくプロンプトのためにも用いられる。 コマンド 以下のコマンドの引数（argument）リストにおいて、〈〉の文字で個々の引数 を囲み、[]の文字でオプショナルな引数を囲み、｜の文字は、ある引数が示され た選択肢のうちの１つからなり得ることを示す。 Set language〈言語名〉 このコマンドは、ユーザ入力を促す（prompt）ための、ＢＩＡ内で符号化され る複数の異なる言語のうち１つを選択する。 Get Biometric〈時間〉［１次｜２次］ このコマンドは、ＢＩＡに、そのスキャナを作動させて、個人からバイオメト リック入力を得て、符号化バイオメトリックレジスタに格納することを要求する 。 まず、「点灯したパネル上に指をおいて下さい」のメッセージがＬＣＤパネル 上に表示され、ターミナルに返される。スキャナパッドが照明されて、個人がそ のバイオメトリックをエンターするように促す。 〈時間〉値がゼロであることは、バイオメトリックスキャン入力に時間制限が ないことを意味する。 スキャニングモードにおいて、指紋スキャンがとられ、紋品質アルゴリズム(p rint quality algorithm)によって予備分析がなされる。スキャンが十分よくな い場合は、ＢＩＡは〈時間〉秒が経過するまで新しいスキャンをとり続ける。時 間が経過して紋のスナップショットがとられて分析されると、メッセージがＬＣ Ｄスクリーンに掲示されて、紋品質ソフトウェアによって検知された問題に基づ きターミナルに送られる。適切な品質の紋が得られない場合は、ＢＩＡは時間が 過ぎたことを示すエラーコードを返し、その旨のメッセージをＬＣＤ上に表示す る。 紋品質アルゴリズムが紋スキャンの品質を是認(affirm)すると、紋の詳細(min utiae)が紋符号化アルゴリズムによって抽出される。識別に十分な量を保持する ように注意しながら、詳細の部分集合のみをランダムに選択する。次に詳細をラ ンダムに並べ、符号化バイオメトリックレジスタに入れる。すると、ＢＩＡは成 功結果コードでもって応答する。 もし［１次｜２次］が指定されていれば（バイオメトリック登録コマンドセッ トにおいてのみ利用可能）詳細セットの小さな部分集合だけでなくその全体が選 択される。同様に、１次／２次バイオメトリック選択は、符号化されたバイオメ トリックを適切なレジスタに入れることになる。 動作が成功するか否かに関わらず、スキャニングが終わるとともに、スキャニ ングが進行中であることを示すライトが消灯される。 同じバイオメトリック入力が異なる符号結果（encoding）を生みだすことによ り、手に入れた（capture）ＢＩＡの暗号化コードを発見しようとする者の作業 を複雑にすることが非常に重要である。これは、ランダムな部分集合を選択し、 符号化バイオメトリックをランダムに並べることにより、達成される。 Get PIC〈時間〉 このコマンドは、ＢＩＡがキーパッドからの読み取りを行うことによってＰＩ Ｃレジスタを埋めることを要求する。 まず、「あなたのＰＩＣを入力してから〈エンター〉を押して下さい」のメッ セージがＬＣＤディスプレイ上に表示されてターミナルに送られ、適切なキーパ ッドライトが点灯され、次にキーパッドスキャニングが開始される。 〈時間〉秒数が切れたときか、個人が〈エンター〉キーを押したときに、スキ ャニングが終了する。 ＰＩＣの個々の数字はＬＣＤ上に表示されす、個々がタイプする各数字に対し て星印「*」が現れることにより個人にフィードバックを行う。「訂正」キーが 押されたとき、最後にエンターされた数字が消去され、個人が入力ミスを直すこ とを可能にする。 ＰＩＣ入力が終了すると、キーパッドライトが消灯する。 成功すれば、コマンドはＯＫを返す。 Get Account Index Code〈時間〉 まず、「ではあなたのアカウントインデックスコードを入力してから〈エンタ ー〉を押して下さい」のメッセージがＬＣＤ上に表示されてターミナルに送られ る。これにより、個人は自分のアカウントインデックスコードをエンターするよ うに促される。各キーが押されたとき、その値がＬＣＤパネル上に現れる。訂正 ボタンをおすことによって値のうち１つを消去することかできる。「エンター」 ボタンが押されると、アカウントインデックスコードレジスタがセットされる。 入力中、適切なキーパッドのキーが点灯され、入力が完結したとき、キーパッ ドのライトが消灯される。 成功すれば、コマンドはＯＫを返す。 Get Title Index Code〈時間〉 まず、「あなたのタイトルインデックスコードを入力してから〈エンター〉を 押して下さい」のメッセージがＬＣＤ上に表示されてターミナルに送られる。こ れにより、個人は自分のタイトルインデックスコードをエンターするように促さ れる。各キーが押されたとき、その値がＬＣＤパネル上に現れる。訂正ボタンを おすことによって値のうち１つを消去することができる。「エンター」ボタンが 押されると、タイトルインデックスコードレジスタがセットされる。 入力中、適切なキーパッドのキーが点灯され、入力が完結したとき、キーパッ ドのライトが消灯される。 成功すれば、コマンドはＯＫを返す。 Validate Amount〈金額〉〈時間〉 Validate Amountコマンドは、「金額〈金額〉ＯＫ？」のメッセージをターミ ナルに送り、これをＬＣＤスクリーン上に表示する。もし個人が「はい」（また はエンター）ボタンを押すことにより金額を確認すれば、金額レジスタが〈金額 〉にセットされる。〈金額〉値は、制御文字やスペースなどの無い、有効な数字 でなればならない。プロンプトを出している間、はい、いいえ、およびキャンセ ルボタンが点灯される。プロンプトが完了すると、全てのライトが消灯される。 もし個人が「いいえ」をエンターすると、トランザクションはキャンセルされ る。 Enter Amount〈時間〉 Enter Amountコマンドは、「金額を入力して下さい」のメッセージをターミナ ルに送り、これをＬＣＤスクリーン上にも表示する。個人は次にドル金額を自分 でエンターしなければならない。エンターされた各文字は、ＬＣＤスクリーン上 に表示される。全ての適切なボタンが点灯される。エンターボタンが押されると 、金額レジスタがキーボード上でエンターされた値にセットされる。入力が完了 すると、全てのライトが消灯される。 Validate文書〈名称〉〈時間〉 Validate Documentコマンドは、「文書〈名称〉ＯＫ？」のメッセージをター ミナルに送り、これをＬＣＤスクリーン上にも表示する。もし個人が「はい」（ またはエンター）ボタンを押すことにより文書を確認すれば、文書名レジスタが 〈名称〉にセットされる。〈名称〉値は、制御文字や前後のスペースなどの無い 、印刷可能なASCII文字でなればならない。プロンプトを出している間、はい、 いいえ、およびキャンセルボタンが点灯される。プロンプトが完了すると、全て のライトが消灯される。 もし個人が「いいえ」をエンターすると、トランザクションはキャンセルされ る。 Assign Register〈レジスタ〉〈テキスト〉 assign registerコマンドは、指定された一般〈レジスタ〉を値〈テキスト〉 を有するようにセットする。これは、マーチャントコード、製品情報などの情報 をセットするために用いられる。 Get Message Key Get Message Keyコマンドは、ＢＩＡに、制御装置がメッセージに追加したい 任意のメッセージ本体を暗号化するために制御ハードウェアが使用する、５６ビ ットランダム鍵を生成させる。生成された鍵は、１６進数フォーマット（当該分 野では公知）でＢＩＡに返される。メッセージ鍵が次にバイオメトリック−ＰＩ Ｃブロックに追加される。 Form Message〈タイプ識別｜トランザクション｜アカウントアクセス...〉 Form Messageコマンドは、ＢＩＡに、集めた全ての情報を含むメッセージを出 力するように命令する。また、その特定のメッセージ〈タイプ〉に適切な全ての レジスタがセットされたことを確実にするためチェックする。もし全てのレジス タがセットされていなければ、ＢＩＡはエラーを返す。特定のコマンドセットソ フトウェアが、そのＢＩＡモデルによってどのメッセージが形成され得るかを決 定し、その他は全て拒否される。 各メッセージは、ＢＩＡの固有のハードウェア識別コードからなる送信コード および、インクリメントするシーケンス番号を含んでいる。送信コードは、送っ ているＢＩＡをＤＰＣが識別し、再入力攻撃(resubmission attack)を検知する ことを可能にする。 ＢＩＡは、ＤＵＫＰＴ鍵管理システムを用いて、将来鍵テーブルからバイオメ トリック−ＰＩＣブロック暗号化５６ビットＤＥＳ鍵を選択する。この鍵は次に 、暗号化ブロックチェイニング（ＣＢＣ）(cipher block chaining)を用いてバ イオメトリック−ＰＩＣブロックを暗号化するために使用される。また、レスポ ンスＤＥＳ鍵もランダムに生成され、レスポンスの中で暗号化される必要のある 部分を暗号化するためにＤＰＣによって使用される。 注：レスポンス鍵をバイオメトリック−ＰＩＣブロック鍵は、非常に重要であ る。なぜなら、各暗号化鍵はその責任範囲でのみ使用されなければならないから である。このようにすれば、もし何者かが秘密コードを符号化している鍵を破ろ うとしても、バイオメトリック−ＰＩＣの露呈には至らない。 ＢＩＡ−ＰＩＣブロックの構成フィールド： ・３００バイト承認バイオメトリック ・４−１２桁ＰＩＣ ・５６ビットレスポンス鍵 ・［オプショナルな５６ビットメッセージ鍵］ メッセージ鍵は、制御ターミナルがこのメッセージに対するメッセージ鍵を要求 した場合にのみ存在することに注意せよ。メッセージ鍵を用いてトランザクショ ン承認リクエストに添付されたメッセージ本体の暗号化は、制御ターミナルに委 ねられる。 全ての暗号化が完了すると、ＢＩＡは、メッセージ承認コード（ＭＡＣ）によ って終了かつ保護される、適切なリクエストメッセージ（例えばトランザクショ ン承認リクエストメッセージなど）の本体を出力する。 ＭＡＣフィールドは、ＢＩＡのシークレット１１２ビットＤＥＳＭＡＣ鍵を用 いて計算され、１番目から最後までの全てのメッセージフィールドをカバーする 。ＭＡＣは、制御ターミナルが平文フィールドを検査(inspect)することを可能 にしながら、メッセージ内に、効果的にメッセージを密封することを変更するも のは何もなかったことを、ＤＰＣに対して保証する。 Form Messageコマンドが実行されると、ＢＩＡは、「ＤＰＣ中央と通話してい ます」のメッセージをターミナルに送り、ＬＣＤスクリーンにもこれを表示し、 作業がリクエストに対して進行中であることを示す。 コマンドが完了すると、コマンドは、形成されたメッセージ全体を返すととも にＯＫを返す。 Show Response〈暗号化レスポンス〉〈時間〉 Show Responseコマンドは、ＢＩＡに、その現在のレスポンス鍵を用いてシス テムから秘密コードを復号化するように命令する。 復号化後、チャイムが鳴り、秘密コードがＬＣＤスクリーンに〈時間〉秒間表 示される。このコマンドは、復号化された秘密コードを制御ターミナルに送信す ることは、いかなる時点においてもない。 Validate Private〈復号化された有効性証明〉〈時間〉 このコマンドは、安全なネットワーク通信セッション中において、個人に外部 ソースからのメッセージを有効性証明するように依頼するために、ターミナルに よって用いられる。メッセージは、暗号化され、かつチャレンジおよびレスポン スの２部分に分けてやって来る。 Validate Privateコマンドを受け取った際、ＢＩＡは、チャレンジメッセージ のテキストを、「ＯＫ〈チャレンジ〉？」のようにＬＣＤ上に表示するが、ター ミナルにはこれを送らない。個人がチャレンジを有効性証明したとき、レスポン スがＢＩＡによって秘密セッション鍵を用いて暗号化され、ＯＫレスポンスコー ドとともにターミナルに返される。個人がチャレンジの有効性証明をしなかった とき、ＢＩＡは、ＬＣＤスクリーンにも表示される「あなたのリクエストにより トランザクションをキャンセルしました」というテキストとともに、「失敗」レ スポンスコードを返す。 ターミナルは、チャレンジまたはレスポンスの平文を見ることを許可されるこ とは決してないことに注意せよ。 Reset Resetコマンドは、ＢＩＡに、全ての一時的レジスタＬＣＤスクリーン、全て の一時的鍵レジスタをクリアし、点灯している可能性のある全てのキーパッドラ イトを消灯するように命令する。 Set ＰＩＣ〈値〉 このコマンドは、ＢＩＡのＰＩＣレジスタを〈値〉に割り当てる。安全にされ ていない(non-secured)装置がＰＩＣを提供することを許すことは、セキュリテ ィ問題になる可能性があることに注意せよ。なぜなら、安全にされていない装置 は、盗聴または交換にあう危険性がずっと大きいからである。 Set Account index code〈値〉 このコマンドは、ＢＩＡのアカウントインデックスコードレジスタを〈値〉に 割り当てる。安全にされていない装置がアカウントインデックスコードを提供す ることを許すことは、セキュリティ問題になる可能性があることに注意せよ。な ぜなら、安全にされていない装置は、盗聴または交換にあう危険性がずっと大き いからである。 Set Title Index Code〈値〉 このコマンドは、ＢＩＡのタイトルインデックスコードレジスタを〈値〉に割 り当てる。安全にされていない装置がタイトルインデックスコードを提供するこ とを許すことは、セキュリティ問題になる可能性があることに注意せよ。なぜな ら、安全にされていない装置は、盗聴または交換にあう危険性がずっと大きいか らである。 Set金額〈値〉 このコマンドは、ＢＩＡの金額レジスタを〈値〉に割り当てる。 Decrypt Response〈暗号化されたレスポンスメッセージ〉 Decrypt Responseコマンドは、ＢＩＡに、その現在のレスポンス鍵を用いてレ スポンスメッセージの暗号化された部分を復号化するように命令する。復号化が なされると、レスポンスは制御装置に返され、おそらくはＡＴＭターミナルのＬ ＥＤスクリーン上で表示される。 この復号能力を提供することはセキュリティ問題である。なぜなら、ターミナ ルは、平文がＢＩＡを離れると、それを用いてそれが行うであろうことを行う能 力を有するからてある。 ＢＩＡソフトウェア：サポートライブラリ ＢＩＡソフトウェアは、いくつかの異なるソフトウェアライブラリによってサ ポートされる。そのいくつかは標準的、一般に利用可能なライブラリであるが、 またいくつかは、ＢＩＡに関して特別な要求事項を有するものである。 乱数発生器 ＢＩＡは、メッセージ本体およびメッセージレスポンス暗号化に使用するため に、常にランダムなＤＥＳ鍵を選択しているため、選択された鍵が予測不可能な 鍵であることが重要である。もし乱数発生器が１日の時刻あるいはその他の外部 的に予測可能なメカニズムによっていると、暗号化鍵はそのアルゴリズムを知っ ている敵による類推がずっと容易になってしまう。ＢＩＡで用いる暗号化技術の セキュリティを確実にするために、乱数発生器アルゴリズムと暗号化アルゴリズ ムの両方とも公知であると仮定する。 ＤＥＳ鍵を生成するための標準的な乱数発生アルゴリズムは、ＡＮＳＩ Ｘ９ ．１７、appendixＣ（当該技術において公知）中に定義されている。 ＤＳＰバイオメトリック符号化アルゴリズム バイオメトリック符号化アルゴリズムは、人間の指先上の、うね(ridge)の終 わりかたおよび分岐によって形成される詳細を探すための、専用の(proprietary )アルゴリズムである。詳細の完全なリストがＤＰＣ内にリファレンスとして格 納されている一方、識別候補と登録された個人との間の比較を行う際には、部分 的なリストのみしかアルゴリズムは要求しない。 バイオメトリック登録および識別の両方の際において、符号化アルゴリズムは 、バイオメトリック入力ステップが終わるまでに十分な詳細が見つけられる(fou n d)ことを確実にする。 オペレーティングシステムおよびデバイスドライバ ＢＩＡはリアルタイム計算環境であり、そのため、それを実行するためのリア ルタイム埋め込みオペレーティングシステムが必要である。オペレーティングシ ステムは、装置から割り込み(interrupt)をとり、タスクをスケジューリングす る役目を果たす。 各デバイスドライバは、オペレーティングシステムと特定のハードウェアとの 間のインターフェースの役割を果たす。例えばＰＩＣパッドデバイスドライバや ＣＣＤスキャナデバイスドライバである。ハードウェアは、「ＰＩＣパッドキー が押された」や「ＣＣＤスキャナのスキャンが完了した」などのイベントの源で ある。デバイスドライバは、そのような割り込みを扱い、イベントを解釈し、イ ベントに対するアクションを行う。 ＤＥＳ暗号化ライブラリ ＤＥＳのインプリメンテーションは公知のものがいくらでもある。ＤＥＳのイ ンプリメンテーションは、５６ビットシークレット鍵を用いて、平文から暗号文 (ciphertext)へのシークレット鍵型暗号化および、暗号文から平文への復号化を 、提供する。 公開鍵暗号化ライブラリ 公開鍵暗号化サポートライブラリは、ＲＳＡ公開鍵特許（当該分野で公知）の 所有者であるPublic Key Partnersから入手可能である。公開鍵暗号システム（P ublic Key cryptosystem）は、コストがかかるシークレット鍵の交換を必要とす ることなしに通信することを可能にする、非対称暗号化システムである。公開鍵 暗号化システムを使用するためには、公開鍵を用いてＤＥＳ鍵を暗号化し、次に ＤＥＳ鍵を用いてメッセージを暗号化する。ＢＩＡは、公開鍵暗号システムを用 いて、シークレット鍵の安全な交換を可能にする。 残念なことに、公開鍵システムはシークレット鍵システムよりもテストが非常 に遅れており、そのためこの種のアルゴリズム全体に対する信頼レベルが低い。 従って、本発明は、公開鍵暗号作成法を、通信セキュリティおよび短期信用情報 交換(credential exchange)に用い、秘密(secrets)の長期保存には用いない。ネ ットワーククリデンシャルを作成するために、エンドユーザー個人および銀行の 両方が、ＤＰＣによって識別される。ネットワーククリデンシャルは、エンドユ ーザー個人の識別ならびに、接続の文脈（すなわちＴＣＰ／ＩＰソースおよび行 先ポート(destination port)）を包含する。 ＤＵＫＰＴ鍵管理ライブラリ 最初の鍵と、メッセージシーケンス番号が与えられれば、デライブドユニーク 鍵／トランザクション（ＤＵＫＰＴ）管理を用いて、将来のＤＥＳ鍵を作成する 。将来の鍵は、将来鍵テーブルに格納されている。ある鍵は、いったん使用され るとテーブルからクリアされる。最初の鍵は、最初の将来鍵テーブルを作成する ためのみに用いられる。従って、最初の鍵はＢＩＡに格納されない。 ＤＵＫＰＴの使用は、最初の鍵を痕跡を残すことなく、各トランザクションに 対して異なるＤＥＳ鍵を提供する鍵管理メカニズムを作成することを意図してい る。この意味するところは、もし将来鍵テーブルがうまく手に入れられて解体(d issect)されたとしても、以前に送られたメッセージが曝露されることはないと いうことであり、送信される情報の寿命が何十年にもなる場合には、これは非常 に重要なゴールである。ＤＵＫＰＴは、ＡＮＳＩ Ｘ９．２４（当該分野におい て公知）に完全に規定されている。 ＤＵＫＰＴはもともと、デビットカード(debit card)トランザクション用の、 ＰＩＣ暗号化メカニズムをサポートするために開発された。この環境においては 、全てのトランザクションを保護することが重要であった。犯罪者が、６ヶ月間 暗号化トランザクションを記録して、ＰＩＣパッドを手に入れそこから暗号化コ ードを抽出するのに成功したと仮定する。すると犯罪者は、その６ヶ月間の間に 送信された各メッセージに対して、１つの新しい偽造デビットカードを製造する ことができる。しかしＤＵＫＰＴ下においては、犯罪者の窃盗および解体によっ て以前のメッセージが復号化されることはない（ただし犯罪者が解体後にＰＩＣ パ ッドを交換したとすれば新しいメッセージは依然として復号化可能である） バイオメトリック−ＰＩＣ状況においては、犯罪者にとってより困難性が増す 。なぜなら、メッセージが復号化されたとしても、デジタルバイオメトリック− ＰＩＣを肉体的な指紋に変換することは、アカウントナンバー−ＰＩＣをプラス チックカードに変換することよりもずっと困難であるためであり、これは、トー クンレスシステムの大きな利点の１つである。 しかしながら、もし犯罪者が復号化することが可能であるならば、暗号化もで きるわけであり、バイオメトリック−ＰＩＣをシステムに電子的に入力して詐欺 的なトランザアクションを承認させることが可能かもしれない。これは非常に困 難ではあるが、それでも犯罪者に利用可能なオプションはなるべく制限する方が よいため、ＤＵＫＰＴを使用する。 ＢＩＡソフトウエアコマンドセット ＢＩＡソフトウエア：小売コマンドセット ＢＩＡ／小売ソフトウエアインターフェースは、特定の小売ＰＯＳターミナル がシステムと相互作用することを許すインターフェースをエクスポートする。 ＢＩＡ／小売インターフェースは、ターミナルが次の動作を実行することを許 すように設計されている。 取引承認 それらの動作を履行するために、ＢＩＡ／小売は、次のコマンドセットを供給 する。 ・Ｓet Ｌanguage〈言語−名〉 ・Ｇet Ｂiometric〈時間〉 ・Ｇet ＰＩＣ〈時間〉 ・Ａssign Ｒegister〈レジスタ〉〈値〉 ．Ｇet Ａccount index code〈時間〉 ・Ｖalidate Ａmount〈アマウント〉〈時間〉 ・Ｅnter Ａmount〈時間〉 ・Ｆorm Ｍessage〈タイプ〉 ・Ｓhow Ｒesponse〈暗号化されたレスポンス〉〈時間〉 ・Ｒeset ＢＩＡソフトウエア：ＣＡＴＶ（一体化されたリモート）コマンドセット ＢＩＡ／ＣＡＴＶソフトウエアインターフェースは、電話／ＣＡＴＶＢＩＡと 一体化されたターミナルがシステムと相互作用することを許すコマンドセットを エクスポートする。次の動作がサポートされる。 遠隔取引承認 その動作を履行するために、ＢＩＡ/ＣＡＴＶは、次のコマンドセットを提供 する。 ・Ｇet Ｂiometric〈時間〉 ・Ｓet ＰＩＣ〈テキスト〉 ・Ａssign Ｒegister〈レジスタ〉〈テキスト〉 ・Ｓet Ａccount index code〈テキスト〉 ・Ｆorm Ｍessage〈タイプ〉 ・Ｄecrypt Ｒesponse〈暗号化されたレスポンスメッセージ〉 ・Ｒeset ＢＩＡソフトウエア：一体化されたファクスコマンドセット ＢＩＡ／ファクスソフトウエアインターフェースは、ファクスＢＩＡと一体化 されたターミナルがシステムと相互作用することを許すコマンドセットをエクス ポートする。次の動作がサポートされる。 ・安全ファクス提出（Ｓecure Ｆax Ｓubmit） ・安全ファクスデータ（Ｓecure Ｆax Ｄata） ・安全ファクス追跡（Ｓecure Ｆax Ｔracking） ・安全ファクス取り出し（Ｓecure Ｆax Ｒetrieve） ・安全ファクス拒否（Ｓecure Ｆax Ｒeject） ・安全ファクスアーカイブ（Ｓecure Ｆax Ａrchive） ・安全ファクス契約受諾（Ｓecure Ｆax Ｃontact Ａccept） ・安全ファクス契約拒否（Ｓecure Ｆax Ｃontact Ｒeject） ・電子ドキュメントアーカイブ取り出し（Ｅlectronic Ｄocument Ａrchive Ｒetrieve） これらの動作を履行するために、ＢＩＡ／ファクスは、次のコマンドセットを 提供する。 ・Ｇet Ｂiometric〈時間〉 ・Ｓet ＰＩＣ〈テキスト〉 ・Ｓet Ｔitle Ｉndex Ｃode〈テキスト〉 ・Ａssign Ｒegister〈レジスタ〉〈値〉 ・Ｇet Ｍessage Ｋey ・Ｆorm Ｍessage〈タイプ〉 ・Ｄecrypt Ｒesponse〈暗号化されたレスポンスメッセージ〉 ・Ｒeset ＢＩＡソフトウエア：登録コマンドセット ＢＩＡ／Ｒegインターフェースは、汎用コンピュータが個人を識別し登録する ようにシステムと相互作用することを許すインターフェースをエクスポートする 。次の動作がサポートされる。 個人の識別 バイオメトリック登録 それらの動作をサポートするために、ＢＩＡ/Ｒegは、次のコマンドセットを 提供する。 ・Ｓet Ｌanguage〈言語−名〉 ・Ｇet Ｂiometric〈時間〉［プライマリ｜セカンダリ］ ・Ｇet ＰＩＣ〈時間〉 ・Ａssign Ｒegister〈レジスタ〉〈テキスト〉 ・Ｇet Ｍessage Ｋey ・Ｆorm Ｍessage〈タイプ〉 ・Ｓhow Ｒesponse〈暗号化されたレスポンス〉〈時間〉 ・Ｒeset ＢＩＡソフトウエア：ＰＣコマンドセット ＢＩＡ／ＰＣソフトウエアインターフェースは、汎用コンピュータが電子ドキ ュメントを送り、受信し、電子ドキュメントに署名し、ネットワークにわたって 取引きを指揮し、ネットワーク上のサイトへのバイオメトリック−導出（biomet ric-derived）クレデンシャルを提供することを許すコマンドセットをエクスポ ートする。次の動作がサポートされる。 ・電子ドキュメント提出（Ｅlectronic Ｄocument Ｓubmit） ・電子ドキュメントデータ（Ｅlectronic Ｄocument Ｄata） ・電子ドキュメント追跡（Ｅlectronic Ｄocument Ｔracking） ・電子ドキュメント取り出し（Ｅlectronic Ｄocument Ｒetrieve） ・電子ドキュメント拒否（Ｅlectronic Ｄocument Ｒeject） ・電子ドキュメントアーカイブ（Ｅlectronic Ｄocument Ａrchive） ・電子ドキュメントアーカイブ取り出し（Ｅlectronic Ｄocument Ａrchive Ｒetrieve） ・電子署名サブミッション（Ｅlectronic Ｓignature Ｓubmission） ・電子署名チェック（Ｅlectronic Ｓignature Ｃheck） ・遠隔取引承認（Ｒemote Ｔransaction Ａuthorization） ・ネットワーククレデンシャル（Ｎetwork Ｃredential） ・保護された接続（Ｓecured Ｃonnection） これらの動作をサポートするために、ＢＩＡ／ＰＣは、次のコマンドセットを 提供する。 ・Ｓet Ｌanguage〈言語−名〉 ・Ｇet Ｂiometric〈時間〉 ・Ｇet ＰＩＣ〈時間〉 ・Ｇet Ａccount index code〈時間〉 ・Ｖalidate Ａmount〈アマウント〉〈時間〉 ・Ｅnter Ａmount〈時間〉 ・Ｖalidate Ｄocument〈名〉〈時間〉 ・Ａssign Ｒegister〈レジスタ〉〈テキスト〉 ・Ｇet Ｍessage Ｋey ・Ｆorm Ｍessage〈タイプ〉 ・Ｓhow Ｒesponse〈暗号化された応答〉〈時間〉 ・Ｖalidate Ｐrivate〈暗号化された有効性証明〉〈時間〉 ・Ｒeset ＢＩＡソフトウエア：発行者コマンドセット ＢＩＡ／Ｉssソフトウエアインターフェースは、汎用コンピュータがバッチ変 更リクエストを認証し提出するようにシステムと相互作用することを許すインタ ーフェースをエクスポートする。次の動作がサポートされる。 発行者バッチ この動作を履行するために、ＢＩＡ／Ｉssは、次のコマンドセットを提供する 。 ・Ｓet Ｌanguage〈言語−名〉 ・Ｇet Ｂiometric〈時間〉［プライマリ｜セカンダリ］ ・Ｇet ＰＩＣ〈時間〉 ・Ａssign Ｒegister〈レジスタ〉〈値〉 ・Ｇet Ｍessage Ｋey ・Ｆorm Ｍessage〈タイプ〉 ・Ｓhow Ｒesponse〈暗号化されたレスポンス〉〈時間〉 ・Ｒeset ＢＩＡソフトウエア：内部コマンドセット ＢＩＡ／Ｉntは、汎用コンピュータが個人を識別するようにシステムと相互作 用することを許すコマンドセットをエクスポートする。次の動作がサポートされ る。 個人の識別 この動作を履行するために、ＢＩＡ／Ｉntは、次のコマンドセットを提供する 。 ・Ｓet Ｌanguage〈言語−名〉 ・Ｇet Ｂiometric〈時間〉 ・Ｇet ＰＩＣ〈時間〉 ・Ａssign Ｒegister〈レジスタ〉〈値〉 ・Ｇet Ｍessage Ｋey ・Ｆorm Ｍessage〈タイプ〉 ・Ｓhow Ｒesponse〈暗号化されたレスポンス〉〈時間〉 ・Ｒeset ＢＩＡソフトウエア：ＡＴＭコマンドセット ＢＩＡ／ＡＴＭソフトウエアインターフェースは、ＡＴＭが個人を識別（iden tify）することを許すコマンドセットをエクスポートする。次の動作がサポート される。 アカウントアクセス この動作を履行するために、ＢＩＡ／ＡＴＭは次のコマンドセットを提供する 。 ・Ｇet Ｂiometric〈時間〉 ・Ｓet ＰＩＣ〈テキスト〉 ・Ｓet Ａccount index code〈テキスト〉 ・Ａssign Ｒegister〈レジスタ〉〈値〉 ・Ｆorm Ｍessage〈タイプ〉 ・Ｄecrypt Ｒesponse〈暗号化されたレスポンスメッセージ〉 ・Ｒeset ターミナル ターミナルは、ＢＩＡを制御し、モデム、X.25接続、またはインターネット接 続（業界において公知の方法）を介してＤＰＣと接続する装置である。ターミナ ルは、異なる形状および大きさを有し、タスクを実行するために異なるバージョ ンのＢＩＡを必要する。バイオメトリック入力装置にコマンドを発行、およびそ こから答を受け取る電子装置はいずれもターミナルであり得る。 一部のターミナルは、汎用マイクロコンピュータ上でランされるアプリケーシ ョンプログラムであり、他のターミナルは、特定目的ハードウェアおよびソフト ウェアのコンビネーションである。 ターミナルが、全体的にシステムの機能にとって決定的に重要である一方で、 システム自体はターミナルに少しも信頼をおいていない。ターミナルがシステム に情報を提供する度に、確認のための個人への提示、または他の予め登録された 情報とのクロスチェックによって、システムは常に何らかの手法によりそれを確 認する。 ターミナルが、データがＢＩＡに適切に処理されたことを確認するためにＢＩ Ａメッセージの一部を読みとることが可能な一方で、ターミナルはバイオメトリ ック、ＰＩＣ、暗号化鍵、またはアカウントインデックスコードを含むバイオメ トリック識別情報を読みとることはできない。 特定のＢＩＡは、ＰＩＣエントリ、および秘密コードディスプレイなど何らか のセキュリティ機能をターミナルにエクスポートする。その結果、そのような装 置は、完全に内蔵された同一のもの(their entirely self-contained counterpa rts)と比べて安全性が低いとみなされ、そのため結果的に低いセキュリティ評点 を有することになる。 多くの異なるターミナルのタイプがあり、それぞれは特定のモデルＢＩＡに接 続される。それぞれのターミナルを、以下に簡単に説明する。 ＡＴＭ(Automated Teller Machinery) ＡＴＭソフトウェアのロードを伴う一体型ＢＩＡ/ＡＴＭは、ＡＴＭキャッシ ュディスペンサへのバイオメトリック-ＰＩＣのアクセスを提供する。 ＢＲＴ(Biometric Registration Terminal) マイクロコンピュータに付属するレジスタレーションソフトウェアのロードを 伴う標準ＢＩＡは、銀行に、財政アカウント評価および他の個人情報とともに新 規の個人のシステムへの登録を可能にする。 ＣＥＴ(Certified Email Terminal) マイクロコンピュータに付属するＰＣソフトウェアのロードを伴う標準ＢＩＡ は、個人が、認証された電子メールメッセージを送信、受信、アーカイブ化、拒 否、およびトラックすることを可能にする。 ＣＰＴ(Cable-TV Point of Sale Terminal) ＣＡＴＶ広帯域に付属するＣＡＴＶソフトウェアのロードを伴うＢＩＡ/ｃａ ｔｖは、バイオメトリック-テレビ(または「ＴＶ」)リモコンを有する個人が、 テレビショッピングでの購入を承認することを可能にする。 ＣＳＴ(Customer Service Terminal) マイクロコンピュータシステムに付属するインターナルソフトウェアのロード を伴う標準ＢＩＡは、従業員が顧客サービスの目的でデータベースリクエストを 構築することを承認する。 ＥＳＴ(Electronic Signature Terminal) マイクロコンピュータに付属するパーソナルコンピュータソフトウェアのロー ドを伴う標準ＢＩＡは、個人が、書類への電子署名を構築し検証することを可能 にする。 ＩＰＴ(Internet Point of Sale Terminal) マイクロコンピュータに付属するパーソナルコンピュータソフトウェアのロー ドを伴う標準ＢＩＡは、インターネット接続を有する個人が、インターネットに 接続したマーチャントから製品を購入することを可能にする。 ＩＴ(Issuer Terminal) マイクロコンピュータに付属する発行者ソフトウェアのロードを伴う標準ＢＩ Ａは、銀行が、資産アカウントのバッチされた変更をＤＰＣへ送信することを可 能にする。 ＩＴＴ(Internet Teller Terminal) インターネット接続を有するマイクロコンピュータに付属するパーソナルコン ピュータソフトウェアのロードを伴う標準ＢＩＡは、個人が、所望のインターネ ット銀行とのトランザクションを行うことを可能にする。 ＰＰＴ(Phone Point of Sale Terminal) 電話と一体化されたＣＡＴＶソフトウェアのロードを伴うＢＩＡ/ｃａｔｖは 、個人が、電話でのトランザクションを承認することを可能にする。 ＲＰＴ(Retail Point of Sale Terminal) X.25ネットワークに付属するまたはモデムを使用するリテイルソフトウェアの ロードを伴う標準ＢＩＡは、個人が店においてトランザクション承認を使用して アイテムを購入することを許可する。 ＳＦＴ(Secure Fax Terminal) ファックスマシンと一体化されたファックスソフトウェアのロードを伴うＢＩ Ａ/ｃａｔｖは、個人が、安全なファックスメッセージを送信、受信、拒否、ア ーカイブ化、およびトラックすることを可能にする。 ターミナル：小売りPOSターミナル RPTの目的は、個人が現金、小切手、デビットカードまたはクレジットカード のいずれをも用いる必要なく店舗で品物を購入することを可能にすることである 。 RPTは、個人からマーチャントへの金銭的トランザクションを承認するためにB IA／小売りを用いる。RPTは、バイオメトリック−PIC承認を受け入れるために用 いられることに加えて、標準のデビットカードおよびクレジットカード走査機能 をも提供する。 RPTはまた、オプションのスマートカードリーダだけでなく、標準のクレジッ トおよびデビット磁気ストライプカードリーダをも含むと考えられる。 各RPTは、モデム、X.25ネットワーク接続、ISDN接続、または同様のメカニズ ムによりDPCに接続される。RPTはまた、トランザクションの量およびマーチャン トコードが得られる電子キャッシュレジスタなどの他のデバイスにも接続され得 る。 RPTの構成： ・BIA／小売り ・低価格のマイクロプロセッサ ・9.6kbモデム／X.25ネットワークインターフェースハードウェア ・不揮発性RAM内のマーチャント識別子コードナンバ ・BIAに接続されるDTCシリアルポート ・磁気ストライプカードリーダ（当該分野で公知である） ・ECR（電子キャッシュレジスタ）接続ポート ・オプションのスマードカードリーダ（当該分野で公知である） DPCがBIAトランザクション承認要求に対して肯定的に応答するためには２つの エンティティ、すなわち、個人とマーチャントとが識別される必要がある。 個人はバイオメトリック−PICにより識別され、マーチャントはDPCにより識別 される。DPCは、BIAのVAD記録内に含まれるマーチャントコードを、RPTによりト ランザクション要求に追加されたマーチャントコードとクロスチェックする。 まず、マーチャントがトランザクションの値を電子キャッシュレジスタにエン タする。次いで、個人がバイオメトリック−PICおよびアカウントインデックス コードをエンタし、その後量を確認する。RPTはその後、製品情報とマーチャン トコードとをBIAに追加し、トランザクションを作成するようにBIAに指示し、そ してネットワーク接続（モデム、X.25など）を介してトランザクションをDPCに 送信する。 DPCは、このメッセージを受け取ると、バイオメトリック−PICの有効性を証明 し、インデックスコードを用いてアカウントナンバを獲得し、メッセージ内のマ ーチャントコードを、BIAの登録されたオーナとクロスチェックする。すべてが 合致した場合、DPCは交換を実行するためにクレジット／デビットトランザクシ ョンを形成して送信する。クレジット／デビットネットワークからのレスポンス は、秘密コードに追加されてトランザクションレスポンスメッセージを形成する 。DPCはその後、トランザクションレスポンスメッセージをRPTに送り返す。RPT は、承認が成功したか否かを見るためにレスポンスを調べ、その後レスポンスを BIAにフォワードする。するとBIAは、個人の秘密コードを表示して、トランザク ションを終了する。 RPTとDPCとの間のメッセージは、暗号化およびBIAからのMAC演算によって安全 化される。MACは、RPTがメッセージの暗号化されていない部分を調べることを可 能にするが、RPTは上記部分を変更することができない。暗号化は、メッセージ の暗号化された部分がRPTに開示されることを妨げる。 各小売りBIAは、マーチャントに登録されなければならない。このことは、BIA 窃盗を思いとどまらせることを補助する。さらに、RPTは各メッセージにマーチ ャントコードを追加するため、マーチャントのBIAが異なるBIAで置換されると、 DPCで行われるクロスチェックにより検出される。 ターミナル：インターネットPOS インターネットPOS(IPT)の目的は、コンピュータを使用している個人からマー チャントへのクレジットおよびデビットの金銭的トランザクションを承認するこ とである。この場合、個人およびマーチャントの両方がインターネット上にいる 。 インターネットは、単に、マーチャント、DPC、およびIPTのすべてがリアルタ イムで互いに接続できる汎用ネットワークを表すにすぎないことに留意されたい 。その結果、このメカニズムは、他のいずれの汎用ネットワークとも全く同様に 作用する。 IPTの構成： ・BIA／PC ・マイクロコンピュータ ・インターネットショッパソフトウェアアプリケーション ・インターネット（または他のネットワーク）接続 IPTは、個人を識別することに加えて、トランザクションの相手である遠隔の マーチャントをも識別しなければならない。マーチャントはまた、DPCとIPTの両 方を識別しなければならない。 インターネットショッパプログラムは、購入が行われているマーチャントのホ ストネーム（または他の形態のネットネーム）を、マーチャントが誰であるかを 検証するために格納する。マーチャントはすべての合法なインターネットホスト をDPCに登録しているため、このことは、DPCがマーチャントコードを、ホストネ ームで格納されているマーチャントコードとクロスチェックしてマーチャントが 誰であるかを検証することを可能にする。 まず、IPTは、インターネットを用いてマーチャントに接続する。一旦接続が 確立されると、IPTはセッション鍵を生成してマーチャントに送信することによ り、接続を安全化する。セッション鍵が開示されないように保護されていること を保証するために、セッション鍵は、公開鍵暗号化を用いてマーチャントの公開 鍵で暗号化される。マーチャントは、暗号化されたセッション鍵を受け取ると、 秘密鍵を用いてそれを復号化する。このプロセスを、公開鍵暗号化シークレット 鍵交換を介して接続を安全化するという。 一旦接続されると、IPTは、マーチャントからマーチャントコード、および価 格と製品との両方の情報をダウンロードする。一旦個人が購入を行う準備ができ ると、個人は購入したい商品を選択する。その後、個人は、BIA／PCを用いてバ イオメトリック−PICをエンタする。IPTはマーチャントコード、製品識別情報、 および量をBIAに送信し、遠隔トランザクション承認要求を作成するようにBIAに 指示する。その後、IPTは安全なチャネルを介して要求をマーチャントに送信す る。 マーチャントは、IPTがマーチャントと有するものと同一の種類の安全な接続 を介して、すなわち、公開鍵暗号化を用いて、DPCに接続して安全なセッション 鍵を送信する。しかし、IPT−マーチャント接続とは異なり、マーチャント−DPC セッション鍵は、１接続だけでなく１日中有効である。 マーチャントはDPCに接続して、セッション鍵を用いて接続を安全化し、有効 性証明のためにトランザクションをDPCにフォワードする。DPCは、バイオメトリ ック−PICの有効性を証明し、要求に含まれるマーチャントコードを要求内で送 信されたホストネームで格納されているマーチャントコードとクロスチェックし 、その後トランザクションをクレジット／デビットネットワークに送信する。一 旦クレジット／デビットネットワークが応答すると、DPCは、クレジット／デビ ットの承認、暗号化された秘密コード、および個人のアドレスを含む応答メッセ ージを作成して、そのメッセージをマーチャントに送り返す。 マーチャントは一旦応答を受け取ると、応答から個人のメーリングアドレスを コピーして、承認コードを記録し、IPTに応答メッセージをフォワードする。 IPTはBIAへの応答を取り扱い、BIAは秘密コードを復号化してLCDスクリーン上 に表示し、DPCが個人を認識したことを示す。IPTはまた、成功したか失敗であっ たかにかかわらず、トランザクションの結果を示す。 システムは概して、ネットワーク上の敵はいずれの点においてもネットワーク 接続をハイジャックすることが可能であると仮定しているため、すべてのパーテ ィはリアルタイムインタラクション中に安全な通信を有していなければならない 。主な懸念は、情報の開示ではなく、メッセージの挿入または再送信である。 公開鍵暗号化のシステム全体が公開鍵用の信頼されたソースを有することに依 存している。これらの信頼されたソースは、証明オーソリティと呼ばれており、 このようなソースが近い将来インターネット上で使用可能であると考える。 ターミナル：インターネットテラーターミナル インターネットテラーターミナル(ＩＴＴ)は、インターネット銀行トランザク ションセッションの際に個人を識別するために利用される。ＤＰＣ、銀行のコン ピュータシステム、および個人は全てインターネットに接続している。 ２つの主要タスクがある。第１の主要タスクは、ＩＴＴからインターネット銀 行への安全な通信チャネルを提供することである。第２の主要タスクは、インタ ーネット銀行に完璧な識別証明書を提供することである。この両方が達成されれ ばすぐに、ＩＴＴは、安全なインターネット銀行トランザクションセッションを 提供することができる。さらに、ＢＩＡの課題である応答検証能力は、全ての高 額および/またはイレギュラーなトランザクションに対してさらなる安全性を提 供するために使用される。 ＩＴＴは、以下から構成される、すなわち ・ＢＩＡ(標準ＰＣモデル) ・マイクロコンピュータ ・インターネットテラー（Internet Teller）ソフトウェアアプリケーション ・インターネット接続 ＩＴＴは、個人のインターネットターミナルとして機能するマイクロコンピュ ータに接続されたＢＩＡ／ＰＣを用いて、バイオメトリック識別を承認する。 個人および銀行の両方か、ＤＰＣによって識別され、それによって、ネットワ ーククリデンシャルが作成される。ネットワーククリデンシャルは、個人の識別 および接続の内容（すなわち、ＴＣＰ／ＩＰソースおよびデスティネーションポ ート）を含む。 ＤＰＣは、ＩＴＴがＤＰＣに送る銀行のホストネームと、銀行がＩＴＴに送る コードとをクロスチェックすることにより銀行を識別する。 第１に、ＩＴＴはインターネット銀行に接続し、銀行が、個人のための新しい セッションを扱うために必要とされるコンピューティングリソースを有すること を確認する。銀行が十分なリソースを有する場合、銀行識別コードをＩＴＴに送 り返す。 一旦接続されれば、ＩＴＴは、バイオメトリックＰＩＣおよびアカウントイン デックスコードを個人から入手することをＢＩＡに指示する。次にＩＴＴは、銀 行のホストネームおよび銀行コードの両方を加える。この情報の全てを用いて、 ＢＩＡは、次に、インターネットを介してＩＴＴがＤＰＣに送るネットワークク リデンシャルリクエストメッセージを作成するように依頼される。 ＤＰＣがこのメッセージを受け取れば、ＤＰＣは、バイオメトリックＰＩＣの 有効性を証明し、インデックスコードを用いてアカウントナンバーを入手し、メ ッセージからの銀行コードが、遠隔マーチャントデータベースにおける銀行のホ ストネームの下に格納された銀行コードと一致するかどうかを確認する。ＤＰＣ はまた、インデックスコードによって返されたアカウントナンバーが、銀行のも のであるかの確認を行うためにチェックする。すべてがチェックされれば、次に 、ＤＰＣは、個人のアカウント識別、その日の時間、および銀行コードを用いて ネットワーククリデンシャルを作成する。ＤＰＣは、公開鍵暗号化およびＤＰＣ の秘密鍵を用いて、このクリデンシャルに署名する。ＤＰＣは、銀行の公開鍵お よび個人の秘密コードを取り出し、そしてクリデンシャルを用いてネットワーク クリデンシャルレスポンスメッセージを形成する。レスポンスメッセージは、Ｂ ＩＡレスポンス鍵を用いて暗号化され、その後、ＩＴＴに送り返される。 ＩＴＴがそのレスポンスを受け取る時、ＩＴＴは、ＢＩＡにレスポンスメッセ ージを渡す。ＢＩＡは、復号化を行い、次に、個人の秘密コードをＬＣＤスクリ ーン上に表示する。銀行の公開鍵は、公開鍵レジスタに格納される。２つのラン ダムセッション鍵は、ＢＩＡによって生成される。共用セッション鍵と呼ばれる 第１の鍵は、平文でＩＴＴに明らかにされる。ＩＴＴは、この共用セッション鍵 を用いることにより、銀行との接続を確実にする。 秘密セッション鍵と呼ばれる他方のセッション鍵は、ＩＴＴと共用されない。 これは、ＢＩＡのチャレンジ−レスポンスメカニズムのために用いられ、このメ カニズムは、銀行が、（信用できない）ＩＴＴに関与することなしに、個人から 直接の非ルーチントランザクションに対する特定の有効性の証明を得ることを可 能する。 共用セッション鍵を受け取った後、ＩＴＴは、ＢＩＡに、セッション鍵とネッ トワーククリデンシャルの両方を含み、銀行の公開鍵を用いて全て暗号化される 安全接続要求メッセージを作成するように依頼する。ＩＴＴは次に、安全接続要 求メッセージを銀行に送る。 銀行は、リクエストメッセージを受け取ると、銀行自身の秘密鍵を用いてメッ セージを復号化する。その後、ＤＰＣの公開鍵を用いて実際のネットワーククリ デンシャルを復号化する。ネットワーククリデンシャルが有効で、期限が切れて いなければ（クリデンシャルは、ある数分後に時間切れとなる）、その個人は承 認され、安全を確実にするために使用されるセッション鍵を用いて、会話が継続 する。 個人が、非ルーチンまたは高価値のトランザクションを行う場合、銀行は、さ らなる安全のために個人がこれらのトランザクションの有効性の証明をすること を求めることを所望し得る。そうするためには、銀行は、秘密セッション鍵を用 いて暗号化されたチャレンジ−レスポンスメッセージをＩＴＴに送り、ＩＴＴは 、そのチャレンジ−レスポンスメッセージをＢＩＡにフォワードする。ＢＩＡは 、メッセージを復号化し、チャレンジ（通常、「$2031.23をリック・アダムスに 振替ＯＫ？」の形態）を表示し、個人がＯＫボタンを打つことにより有効性の証 明をすれば、ＢＩＡは秘密セッション鍵を用いてレスポンスを再び暗号化し、そ のメッセージをＩＴＴに送り、ＩＴＴは、そのメッセージを銀行にフォワードし 、トランザクションの有効性を証明する。 このシステムは、クリデンシャルを提供し、かつＩＴＴと銀行との間の通信を 確実とするために公開鍵暗号系を利用する。 このメカニズムが正しく機能するためには、銀行はＤＰＣの公開鍵を知ってい なければならず、ＤＰＣは、銀行の公開鍵を知っていなければならない。システ ムの安全のためには、両方のパーティが、承認されていない改変から、互いの公 開鍵を安全に管理することが重要である。公開鍵は、誰によっても読むことが可 能であるが、ただ、誰によっても改変可能となることはできないことに注意され たい。もちろん、どのようなセッションまたは秘密鍵は、観察から安全に管理さ れなければならず、これらの秘密鍵は、セッションの終了後に破壊されなければ ならない。 非ルーチントランザクションのための余分な確認ステップは、ウイルス、ハッ カー、および個人の無知が原因で、インターネット上でパーソナルコンピュータ アプリケーションを保護することが比較的困難であるので、必要である。銀行は 、ユーティリティ会社、主なクレジットカードのベンダーなどのよく知られた機 関への金銭振替のみを包含するように、ＩＴＴに利用可能なルーチン金銭振替を おそらく限定すべきである。 ターミナル：電子署名 電子署名ターミナル（ＥＳＴ）は、電子文書に関して偽造不可能である電子署 名を作成するために個人によって使用される。ＥＳＴにより、個人が電子文書に 署名すること、または、そのような文書にすでにある電子署名を検証することが 可能となる。 ＥＳＴの構成： ・ＢＩＡ／ＰＣ ・マイクロコンピュータ ・メッセージダイジェストエンコーダアルゴリズム ・モデム、Ｘ．２５接続、またはインターネット接続 ・電子署名ソフトウェアアプリケーション ＥＳＴは、電子署名ソフトウェアアプリケーションによって制御されたイベン トに関して、マイクロコンピュータに取り付けられたＢＩＡ／ＰＣを使用する。 ある種の公開／秘密鍵をかけられたトークンを使用することなしにデジタル署 名を作成するためには、３つの事が行われなければならない。第１に、署名され る文書は、固有に識別されなければならず、その日の時刻が記録されなければな らず、署名を行っている個人が識別されなければならない。これにより、文書、 個人、および時刻がリンクされ、一意のタイムスタンプされた電子署名が作成さ れる。 第１に、署名される文書は、メッセージダイジェストコードを生成するメッセ ージダイジェストコード化アルゴリズムによって処理される。このようなアルゴ リズムの１つに、当該分野でよく知られている、ＲＳＡによるＭＤ５アルゴリズ ムがある。本来、メッセージダイジェストアルゴリズムは、同じメッセージダイ ジェストコードを生成する別の文書を提示することがほとんど不可能となるよう に特別に設計されている。 次に、個人は、ＢＩＡを用いてバイオメトリックＰＩＣを入力し、メッセージ ダイジェストコードはＢＩＡに渡され、文書名が加えられ、その結果生じるデジ タル署名リクエストメッセージが、識別および保存のためにＤＰＣに送られる。 ＤＰＣはリクエストを受け取り、バイオメトリック識別チェックを行い、個人 が一旦検証されれば、メッセージダイジェストコード化と、個人のバイオメトリ ックアカウントナンバーと、その日のその時の時刻と、文書名と、署名を集めた ＢＩＡの識別を収集し、それら全てを電子署名データベース（ＥＳＤ）に格納す る。ＤＰＣはその後、ＥＳＤレコードナンバー、日付、時刻、および署名者の名 前から成る署名コードテキストストリングを作成し、この署名コードを個人の秘 密コードと共に、ＥＳＴに送り返す。 電子署名をチェックするために、文書は、ＭＤ５アルゴリズム（当該分野で公 知）を通して送られ、その結果生じる値は、電子署名コードと一緒に、ＢＩＡお よびリクエストしている個人のバイオメトリックＰＩＣに与えられ、メッセージ はＤＰＣに送られる。ＤＰＣは、各署名の有効性チェックを行い、適切に応答す る。 ＢＩＡは、電子署名に関係するどのようなデータも暗号化しないので、特定の ＭＤ５の値と共に、文書タイトルが、平文で送られる。署名の有効性の証明に対 しても、同じ状況が当てはまる。 従って、署名が偽造され得ない一方で、詳細のいくつか（文書名を含む）は、 妨害に弱い。 ターミナル：証明された電子メールターミナル 証明電子メールターミナル（ＣＥＴ）の目的は、個人に、送り手の識別、受け 取りおよび受け手両方の検証を提供し、メッセージ配送の秘密性を確実としなが ら、電子メッセージをシステム内の他の個人に送る方法を提供することである。 ＣＥＴは、ＢＩＡ／ＰＣを用いることにより、送り手および受け手の両方を識 別する。安全は、メッセージを暗号化し、その後、アップロードの間に、送り手 のＢＩＡを用いてメッセージ鍵を暗号化し、次に、ダウンロードの間に、受け手 のＢＩＡを用いてメッセージ鍵を復号化する。 送信者および受け手のＣＥＴの構成： ・ＢＩＡ ・マイクロコンピューター ・モデム、Ｘ．２５接続、またはインターネット接続 ・電子メールを受け取る能力 ・証明された電子メールアプリケーション 実際、ＣＥＴは、電子メールアプリケーションと、証明された電子メールを送 信および受信するためのバイオメトリックＰＩＣ承認を生じさせるためにＢＩＡ を呼び出すネットワーク接続とを有するマイクロコンピュータである。 メッセージの配送を保証するために、送り手および受け手は共に、識別されな ければならない。 送り手は、メッセージをＤＰＣにアップロードするときに、バイオメトリック ＰＩＣを用いて、自分自身を識別する。送り手が文書を送ることを望む各受け手 は、バイオメトリックアカウント識別ナンバーまたはファックス番号のどちらか 一方、およびエクステンションによって識別される。受け手が、メッセージをダ ウンロードするためには、自分のバイオメトリックＰＩＣを用いて自分自身を識 別する。この手順は、指名電話に似ている。 メッセージの配送は、個人が、文書またはメッセージをアップロードし、バイ オメトリックＰＩＣを用いて自分自身を識別することで始まる。個人は、その後 、文書名を検証し、電子メールメッセージは、暗号化され、アップロードされる 。 メッセージが一旦アップロードされれば、送り手は、各受け手に対する文書の 現在の配送ステータスをリクエストするために使用され得るメッセージ識別コー ドを受け取る。 ＤＰＣは、電子メールメッセージを各受け手に送り、証明されたメッセージが 到着した時に、受け手に知らせる。 一旦受け手が告知を受け取れば、受け手は、都合のよい時に、バイオメトリッ クＰＩＣを入手し、ＤＰＣに有効性の証明をさせることにより、メッセージまた はメッセージ群を受けるまたは拒否することのどちらかを選択し得る。 一旦、全ての受け手にうまく送信されれば、所定の期間後、通常２４時間後、 文書は取り除かれる。文書を、メッセージが送られた全ての個人の表示と共にア ーカイブ化することを望む個人は、メッセージの削除の前に、メッセージアーカ イブリクエストを入力し得る。 送信の安全な面をもたらすために、文書は、途中で公開されることから保護さ れる。ＣＥＴは、ＢＩＡによって生成される５６ビットメッセージ鍵を用いるこ とにより、これを達成する。ＢＩＡは、バイオメトリックＰＩＣの一部としてメ ッセージ鍵を暗号化する責任を引き受けるので、暗号化鍵は、安全にＤＰＣに送 られる。 個人がメッセージをダウンロードする時に、メッセージ鍵は、秘密コードとと もに暗号化されて送られることにより、受け手がメッセージを復号化することが 可能となる。全員が同じメッセージを受け取るので、全ての受け手がこのメッセ ージ鍵を持つようにしてもよいことに注目されたい。 ＩＴＴの場合と同じように、一旦個人が文書名の有効性を証明すれば、改変さ れたＣＥＴが所望のどのような文書も送ることができるので、個人は、ＣＥＴア プリケーションソフトウェアを不正な改変から保護するように注意しなければな らない。 ターミナル：安全ファックスターミナル 安全ファックスターミナル（ＳＦＴ）の目的は、個人に、送り手の識別、受け 取りおよび受け手両方の検証を提供し、メッセージ配送の秘密性を確実としなが ら、ファックスメッセージをシステム内の他の個人に配送する方法を提供するこ とである。 各ＳＦＴは、送り手および受け手の両方を識別するために、集積型ＢＩＡ／ケ ーブルテレビを使用する。通信セキュリティは、暗号化を通して達成される。 送信者および受け手両方のＳＦＴの構成： ・ＢＩＡ／ケーブルテレビ ・ファックスマシン ・オプショナルのＩＳＤＮモデム ＳＦＴは、モデムを介してＤＰＣに接続されたファックスマシンである。この システムは、ファクスを、証明された電子メールの単なる別のタイプのものとし て扱う。 安全なファックスに関して、セキュリティのいくつかの異なるレベルが存在す るが、最も安全なバージョンにおいては、送り手および全ての受け手の身元が検 証される。 送り手は、メッセージをＤＰＣに送る際に、バイオメトリックＰＩＣおよびタ イトルインデックスコードを用いて、自分自身を識別する。ファックスを受け取 るためには、リストされた各受け手が、バイオメトリックＰＩＣおよびタイトル インデックスコードを再び用いて自分自身を識別する。 さらに、受け取りサイトは電話番号によって識別される。この電話番号は、Ｄ ＰＣを用いて登録される。安全な秘密のファックスに関しては、各受け手が、電 話番号およびエクステンションを用いて識別される。 ＳＦＴが送ることのできるファクスには５つの基本的なタイプがある。 Ｉ．非安全性ファックス 安全にされていないファックスは、標準のファックスに等しい。送り手は、受 け手のサイトの電話番号を入力し、ファックスを送る。この場合、送り手は、識 別されないままで、ファックスは、正しい受け手に配送されることを期待して、 与えられた電話番号に送られる。ＳＦＴは、そのような全ての安全にされていな いファックスのトップラインに、「非安全性」（「UNSECURED」）であると目立 つように印をつける。非ＳＦＴファックスマシンから受け取られた全てのファッ クスは、常に、非安全性であると印がつけられている。 ＩＩ．送り手安全ファックス 送り手安全ファックスにおいては、送り手は、ファックスマシンの「送り手安 全」モードを選択し、タイトルインデックスコードに続いてバイオメトリックＰ ＩＣを入力する。次に、ファックスマシンは、ＤＰＣに接続し、バイオメトリッ クＰＩＣ情報を送る。一旦ＤＰＣが個人の同一性を検証すれば、個人は次に文書 をファックススキャナに送り込むことによりファックスを送る。この場合、ファ ックスは、実際に、ファックスをデジタル形式で格納するＤＰＣに送られる。一 旦全部のファックスがＤＰＣに到着すれば、ＤＰＣは、各宛先にファックスを送 ることを開始し、各ページは、各ページのトップに「送り手安全」（「SENDER-S ECURED」）の大見出しとともに、名前、タイトル、および送り手の会社をラベル 表示する。 ＩＩＩ．安全ファックス 安全ファックスにおいては、送り手は、ファックスマシンの「安全」モードを 選択し、タイトルインデックスコードに続いてバイオメトリックＰＩＣを入力し 、その後、受け手の電話番号を入力する。一旦システムが送り手の身元および各 受け手の電話番号を検証すれば、その後、個人は、文書をファックススキャナに 送り込むことによりファックスを送る。次に、ファックスは、ファックスをデジ タル形式に格納するＤＰＣに送られる。一旦全部のファックスがＤＰＣに届けば 、ＤＰＣは、未完の安全ファックス、送り手のタイトルおよび身元、そして、ト ラッキングコードと共に待機中のページ数を示す小さなカバーページを宛先に送 る。このトラッキングコードは、自動的に受け手のファックスマシンのメモリに 入力される。 ファックスを取り出すためには、受け手の会社の従業員が、ファックスマシン の「ファックス取り出し」ボタンを選択し、トラッキングコードを用いることに より、未完のどのファックスを取り出すかを選択し、次に、バイオメトリックＰ ＩＣを入力し得る。ファックスが不要な場合は、個人は、「ファックス拒絶」ボ タンを押し得るが、それでもやはり、そうするためには、システムに対して自分 自身の識別を行わなければならない。一旦会社のメンバーとして有効性を証明さ れれば、次に、ファックスは受け手のファックスマシンにダウンロードされる。 各ページは、各ページのトップに、送り手の身元およびタイトル情報と共に、 「安全」（「SECURED」）の文字を有する。 ＩＶ．安全性秘匿ファックス 安全性秘匿ファックスにおいては、送り手は、ファックスマシンの「安全性秘 匿」モードを選択し、タイトルおよびインデックスコードに続いてバイオメトリ ックＰＩＣを入力し、次に、各受け手の電話番号およびシステムエクステンショ ンを入力する。一旦ＤＰＣが送り手の身元および各受け手の電話番号およびエク ステンションを検証すれば、個人は次に、ファックススキャナに文書を送り込む ことにより、ファックスを送る。ファックスは、ファックスをデジタル形式で格 納するＤＰＣに送られる。一旦全部のファックスがＤＰＣに届けば、ＤＰＣは、 未完の安全性秘匿ファックス、送り手のタイトルおよび身元、受け手のタイトル および身元、そして、トラッキングコードと共に、待機中のページ数を示す小さ なカバーページを各宛先に送る。このトラッキングコードは、自動的に受け手の ファックスのメモリに入力される。しかし、ファックスを取り出すことのできる 唯一の個人は、エクステンションコードが示されている個人である。 この個人は、「ファックス取り出し」ボタンを選択し、取り出すべき未完のフ ァックスを選択し、次にバイオメトリックＰＩＣを入力する。一旦受け手として の有効性を証明されれば、ファックスは、次に受け手のファックスマシンにダウ ンロードされる。各ページは、各ページのトップに、送り手のタイトルおよび身 元情報と共に「安全性秘匿」（「SECURED-CONFIDENTIAL」）の文字を有する。 Ｖ．安全性秘匿契約ファックス このファックスは、受け手に対するファックスの実際の配送に関しては、ファ ックスが、安全性秘匿の代わりに「契約」とタイトルを付けられることを除いて は、安全性秘匿ファックスと同様に処理される。さらに、ＤＰＣは、自動的に契 約ファックスをアーカイブ化する。どのような受け手も、契約ファックスの受け 取りに続くＳＦＴによって、契約を受けるまたは拒絶し得る。従って、オプショ ンで、ＤＰＣは電子書記の役割を果たす。 システムに送られ、その後、受け手にフォワードされるどのようなファックス も、送信ファックスマシンをタイアップすることなしに、いかなる数の受け手に も送られ得る。さらに、送られたいかなるファックスのトラッキングナンバーが 、ファックスマシンのメモリに入力され、継続中のいかなるファックスのステー タスレポートが、「ステータス」ボタンを選択し、その後、特定のファックス未 完トラッキングコードを選択することにより、送信マシンにおいて生成され得る 。ＤＰＣは、各受け手に対する送信状態を詳述し、送信ファックスマシンに直ち に送られるレポートを発行する。 いかなる安全または安全性秘匿ファックスに関して、送り手または受け手の１ 人のどちらか一方が、今後の参考のために、ファックスを（誰がファックスを送 り、誰がファックスを受け取ったかに関する詳細と共に）アーカイブ化するとい うオプションが存在する。このために、いかなる安全ファックスも、成功した配 送の後、ある期間（すなわち２４時間）保持される。アーカイブトラッキングコ ードは、アーカイブのリクエストがあればいつでも個人に戻される。このアーカ イブコードは、ファックスと、システムにアーカイブ化されたファックスステー タスレポートとの取り出しに使用される。 アーカイブされたファックスは、ある期間（すなわち２４時間）の後、読み取 り専用の二次記憶装置に配置される。アーカイブ化されたファックスを取り出す ことは、人の介入を必要とし、遂行に２４時間までかかり得る。 ＳＦＴシステムは、受け手が送り手の身元を確かめるために懸命に働き、受け 手が実際に文書の受け取りを了承したことを送り手が確かめるために、同じ様に 懸命に働く。 送り手と受け手との間の通信の妨害に対して保護を行うために、ファックスタ ーミナルは、ＢＩＡによって提供されるメッセージ鍵機能を用いてファックスを 暗号化する。ＢＩＡは、バイオメトリックＰＩＣの１部としてメッセージ鍵を暗 号化する責任を取るので、暗号化鍵は、安全にＤＰＣに送られる。 個人が、いかなるタイプの安全ファックスを受け取るときには、メッセージ鍵 は、秘密コードとともに暗号化されて送られることにより、受け手がメッセージ を復号化することが可能となる。全員が同じメッセージを受け取るので、全ての 受け手がこのメッセージ鍵を有するようにしてもよいことに注目されたい。 ターミナル：バイオメトリック登録ターミナル バイオメトリック登録ターミナル（ＢＲＴ）の目的は、バイオメトリックＰＩ Ｃ、メーリングアドレス、秘密コード、電子メールアドレス、タイトルと電子メ ッセージおよびファックスの送信および受信に用いられるタイトルインデックス コードのリスト、および、財政的資産アカウントおよびアクセスでき得るアカウ ントインデックスコードのリストを含む新しい個人の登録をすべて、バイオメト リックＰＩＣを用いて行うことである。 登録プロセスの目的は、情報の有効性が証明され得る責任機関の場所で、個人 から個人情報を得ることである。これは、リテイル銀行店および企業の人事部を 含むが、それらに限定されるものではない。参加している責任機関の各々は、登 録を行うことを承認された従業員のグループによって使用される１つのＢＲＴを 有する。各従業員は、登録された各個人に対して責任がある。 ＢＲＴの構成： ・マイクロコンピューター、およびスクリーン、キーボード、マウス ・ＢＩＡ／Ｒｅｇ ・９．６ｋｂモデム／Ｘ．２５ネットワーク接続（当該分野で公知） ・バイオメトリック登録ソフトウェアアプリケーション ＢＲＴは、バイオメトリック入力に対して、取り付けられたＢＩＡ／Ｒｅｇを 用い、９．６ｋｂモデムまたはＸ．２５ネットワーク接続（当該分野で公知）に よってシステムに接続される。バイオメトリック登録ターミナルは、リテイル銀 行店などの物理的に安全な場所に位置する。 ＤＰＣがＢＩＡ／Ｒｅｇ登録リクエストに確実に応答するためには、３つのエ ンティティ：登録する従業員、機関およびＢＩＡ／Ｒｅｇが識別される必要があ る。従業員は、個人をその機関に登録するためには承認されていなければならな い。 機関およびＢＩＡは、ＢＩＡの所有者とＢＲＴによって設定された機関コード とをクロスチェックすることにより識別される。従業員は、登録アプリケーショ ンを開始させる際に自分のバイオメトリックＰＩＣを入力することにより、シス テムに対して自分を識別させる。 機関は、個人をシステムに登録する前に、標準顧客識別プロシージャ（署名カ ード、従業員記録、個人情報など）を用いる。登録する個人は、随意にアカウン トから金銭を転送および／または電子メッセージを会社の名前を使って送る権限 を与えられるので、機関にとって個人の同一性をできる限り根気強く検証するこ とが重要である。 登録する間に、個人は第一次および二次のバイオメトリックの両方を入力する 。個人は、両方の人差し指を使用しなければならず、個人に人差し指がない場合 には、隣りの親指が使用され得る。特定の指が使われることを要求することによ り、以前の詐欺のチェックを行うことが可能となる。 個人は、第１の指および第２の指を選択することを奨励され、ＤＰＣ同一性チ ェックの間、第１の指が優先されるので、個人は、第１の指として、最もよく使 う指を示すべきである。もちろん、ＤＰＣは、そうすることが重要であると判明 すれば、操作に基づく第１および第２のバイオメトリックスの指定を変更するこ とを選択することも可能である。 バイオメトリックコード化プロセスの一部として、ＢＩＡ／Ｒは、個人が「良 い指紋」を入力したかどうかを決定する。研磨剤または酸を用いて働く個人など 、仕事が、結果として偶発的な指紋の除去につながる個人もいることに注意され たい。残念なことに、これらの個人は、このシステムを使用することができない 。彼らは、プロセスのこの段階で検知され、関与できないことを告げられる。 個人は、システムの中心データベースによって提供される一連のＰＩＣオプシ ョンから、４から１２桁からなるＰＩＣを選択する。しかし、ＰＩＣは、システ ムによって有効性を証明されなければならない。これは、２つのチェックを伴い 、１つは、（ＰＩＣは、バイオメトリック比較アルゴリズムによってチェックさ れる個人の数を減らすために使用されるので）同じＰＩＣを用いる他の個人の数 が多すぎないこと、そして、生物測定的にいって、登録されている個人が、同じ ＰＩＣグループの他の個人とあまりにも「近く」ないことである。どちらかが起 こった場合、登録は拒否され、エラーメッセージがＢＲＴに戻され、個人は異な るＰＩＣをリクエストすることを指示される。このシステムは、個人がＰＩＣ下 の システムにおいて記録をすでに有することを示す「同一性一致」エラー状態を、 任意に返答し得る。 ０のＰＩＣにより、システムがＰＩＣを個人に割り当てることが可能となる。 個人は、ワードまたはフレーズからなる秘匿性秘密コードを作成する。個人が それを作成することを望まない場合は、秘密コードが、ターミナルによってラン ダムに作成される。 個人は、その金融資産コードリストをアレンジすることもできる。このリスト には、どのアカウントインデックスコードがどのアカウント（即ち、１．借方、 ２．貸方、３．緊急借方、等）を指しているのかが記されている。これは、登録 機関が銀行であり、且つ、アカウントがその特定の銀行機関によって所有されて いる場合にのみ行われ得る。 登録後であっても、以前の詐欺のチェックが完了するまでは、システムを使用 して実際に処理を行うことはできない。一般に、これにかかるのは数分であるが 、ハイロードの時間帯には最高数時間かかる。システムが以前の詐欺の事例が全 くないことを認めるまでは、その個人のアカウントはアクティベートされない。 個人が、それまでに１回でもシステムを詐取したことがあると認められた場合 、ＤＰＣは、その犯罪者について、全データベース強制バイオメトリックデータ ベースサーチ(database-wide involuntary biometric database search)を開始 する。これらの中のいくつかは毎晩行われ、軽いアクティビティ条件の間に(dur ing conditions of light activity)時間のかかる処理を行うことによって、シ ステムから特に指名手配されている個人がデータベースから吹き飛ばされる。 ターミナル：顧客サービス 顧客サービスターミナル（ＣＳＴ）の目的は、内部のＤＰＣサポート職員に、シ ステムデータベースの様々な局面へのアクセスを提供することである。サポート 係は、システムに関するトラブルをかかえる個人、発行者、機関、およびマーチ ャントの問い合わせに答えなければならない。 ＣＳＴの構成： ・マイクロコンピュータ ・ＢＩＡ／Ｉｎｔ ・イーサネット／トークンリング／ＦＤＤＩネットワークインターフェース ・データベース検査および改変用アプリケーション 各ＣＳＴは、トークンリング、イーサネット、ファイバ（ＦＤＤＩ）等の高速 ローカルエリアネットワーク接続を介してシステムに接続される。各ＣＳＴは、 データベースのそれぞれに対して照会を行って、その照会結果を表示することが できる。但し、ＣＳＴは個々のターミナルユーザの特権に基づいたフィールドお よび記録だけを表示する。例えば、標準的な(standard)顧客サービス従業員は、 そのＢＩＡを現在どのマーチャントあるいは個人が所有しているのかを見ること はできるが、所与のＢＩＡのＶＤＢ記録の暗号化コードを見ることはできない。 ＣＳＴによってデータベースへのアクセスが許可されるには、その個人および そのＢＩＡがシステムによって識別されなければならない。さらに、データベー スがアクセスを適切に制限するためには、その個人の特権レベルも決定されなけ ればならない。 ＣＳＴを使用する個人は、そのバイオメトリックＰＩＣを入力して識別子を提 供することによってセッションを開始する。ＢＩＡは、認識リクエストメッセー ジを作成して、それを、検証のためにＤＰＣに送信する。システムがその個人を 検証すると、ＣＳＴアプリケーションは、予め指定されたその個人のＤＰＣ特権 レベルによって制限されるものの、通常処理を行うことができるようになる。 故意に、あるいは知らない間にウィルスが導入される等、いかなる方法によっ てもデータベースアプリケーションが改変されないことが重要である。この目的 のために、個々のＣＳＴには、フロッピードライブや他の取り外し可能な媒体が 全くない。さらに、実行可能なデータベースアプリケーションへの読出しアクセ スは、知る必要性のある者だけにきびしく限定される。 不正な改変や漏洩(disclosure)からＣＳＴおよびデータベース間の通信を保護 するために、ＣＳＴは、ＣＳＴおよびデータベース間のトラフィックを全て暗号 化する。これを行うために、ＣＳＴはセッション鍵を生成する。この鍵は、シス テムとのログインセッションの間にサーバに送信される。このセッション鍵を用 いて、期間中に生じるＤＰＣとの全通信の暗号化および復号化を行う。 通信が安全であり、データベースアプリケーションの改変が全くないと仮定し た上で、ＤＰＣは、ＣＳＴを使用している個人にはアクセス不可能なＤＰＣデー タフィールドがＣＳＴデータベースアプリケーションに送信されることがないよ うにする。同様に、どの時点においても、いかなるＣＳＴ職員にも、個人のバイ オメトリック情報を改変するためのアクセスあるいは許可は与えられない。 ＤＰＣとサポートセンタとは同じ場所にあってもよいし、あるいは、ＣＳＴ周 辺のセキュリティはかなり厳重であるので、サポートセンタを分けて独立させて もよい。 ターミナル：発行者ターミナル 発行者ターミナルの目的は、発行銀行(issuing banks)の従業員が、ＤＰＣに 対するバッチ資産アカウント改変処理の入力を安全且つ識別可能に行うことがで きるようにすることである。 ＩＴの構成： ・マイクロコンピュータ ・モデム、Ｘ．２５ネットワーク、あるいはシステムへのインターネット接続 ・ＢＩＡ／Ｉｓｓ ・銀行の内部ネットワークへのネットワーク接続 発行者ターミナルは発行者ＢＩＡを用いて、金融資産情報に関する大量の追加 および削除を承認する。 この処理においては、銀行が識別されなければならず、適正に承認された銀行 の従業員が識別されなければならず、また、資産アカウントの追加または削除を 行っている個人が全て識別されなければならない。 銀行は、銀行のアカウント(口座)を資産アカウントリストに追加しようとして いる個人を識別する役割を有する。バイオメトリック登録の場合と同様に、これ は、署名カードおよび個人情報を用いて銀行によって行われる。ＩＴによって入 力された発行者コードとＢＩＡ／ＩｓｓのＶＡＤ記録内に登録されている発行者 コードとをクロスチェックすることによって、ＤＰＣは銀行を識別する。バイオ メトリックＰＩＣを用いて、そのバッチを実際に入力している銀行の従業員を識 別する。 金融資産アカウントを追加する際、個人は、追加するアカウント(口座)と一緒 に、その個人のバイオメトリック識別番号を銀行に与える（この識別番号は、初 めのバイオメトリック登録ステップの際に個人に与えられる）。個人が適切に識 別された後、この識別コードおよびアカウントリストをＩＴにフォワードして、 それ以降のバッチのシステムへの入力を行う。 銀行が適切であると認める場合はいつでも、銀行の承認された個人は、ＩＴに 命令を与えて、ＤＰＣへのバッチ化されたアカウント追加／削除をアップロード させる。これを行うために、承認された個人はバイオメトリックＰＩＣを入力し 、ＩＴはセッション鍵の追加および銀行の発行者コードの追加を行い、これによ り、ＢＩＡ／Ｉｓｓは、発行者バッチリクエストメッセージを作成し、その後、 ＩＴはこれをＤＰＣにフォワードする。ＩＴは、メッセージコードを用いてその バッチを暗号化した後、その送信も行う。 システムは、発行者バッチリクエストを受信すると、そのＢＩＡがＢＩＡ／Ｉ ｓｓであること、そのＢＩＡ／Ｉｓｓが発行者コードによって要求されている銀 行に登録されていること、ならびに、そのバイオメトリックＰＩＣにおいて識別 される個人がその銀行についてＤＰＣにバッチリクエストを入力することを許可 されていることを確認する。そうである場合、ＤＰＣは、必要に応じてエラーの 記録をとりながら、全てのリクエストを処理する。これが終了すると、ＤＰＣは 、処理中に生じた全てのエラーを有する暗号化されたバッチと一緒に、個人の秘 密コードを返す。 このシステムのセキュリティにとって、このトランザクションのセキュリティ は決定的である。詐欺行為をしようとする悪意があれば、他人のアカウントを自 分のバイオメトリック識別コードに追加する方法を見つけるだけで、思いのまま に詐欺行為を行うことができるようになる。最終的には、その犯罪者はとらえら れて、データベースから一掃されるのだが、それは、その犯罪者が他人のアカウ ントを空にしてからのことである。 銀行とＢＩＡ／Ｉｓｓとをクロスチェックするということは、ＩＴおよびＢＩ Ａが共に偽の追加／削除メッセージをＤＰＣに入力するようにしなければならな いことを意味する。従って、銀行は、ＩＴが物理的に安全であり、且つそのアク セスが承認された個人だけに許可されていることを確実にしなければならない。 ターミナル：自動預金支払機(Automated Teller Machinery) バイオメトリックＡＴＭの目的は、インターバンクカード(interbank card)を 用いる必要なく、現金へのアクセスおよび他のＡＴＭ機能を個人に提供すること である。これは、バイオメトリックＰＩＣおよびアカウントインデックスコード を入力して、銀行口座番号を取り出すことによって行われる。システムのユーザ にとって、これは、インターバンクカード（当該分野では公知）＋口座を識別し て個人を承認するための方法としてのＰＩＣメカニズムにとって代わるものであ る。全てのＡＴＭが依然としてインターバンクカードを受けつけるものと仮定す る。 ＡＴＭの構成： ・標準的なＡＴＭ ・一体型ＢＩＡ／ＡＴＭ（スキャナのみ） ・ＤＰＣへの接続 バイオメトリックＡＴＭは、一体型ＢＩＡ／ＡＴＭを用いて、個人を識別する とともにその個人がバイオメトリックＰＩＣおよびアカウントインデックスを用 いて金融資産にアクセスできるようにする。ＢＩＡ／ＡＴＭはＡＴＭ内に設置さ れ、ＰＩＣおよびアカウントインデックスコードの入力用には、既存のＡＴＭの ＰＩＣパッドを利用する。ＡＴＭは、Ｘ．２５あるいはモデムを用いてシステム に接続される。 ＢＩＡ／ＡＴＭは、現存のＡＴＭネットワークとの一体化ができるだけ簡単に なるように構成される。ＤＰＣがＢＩＡ／ＡＴＭアカウントリクエストに適切に 応答するためには、次のエンティティが識別される必要がある：個人、銀行およ びＢＩＡ／ＡＴＭ。 ＡＴＭの格納銀行コードとＢＩＡ／ＡＴＭの銀行コードとをクロスチェックす ることによって、銀行が識別される。ＢＩＡ／ＡＴＭは、ＶＡＤ内におけるＢＩ Ａ／ＡＴＭの特定が成功することによって識別され、個人は、標準的なバイオメ トリックＰＩＣによって識別される。 ＡＴＭにアクセスするために、個人は、アカウントインデックスコードと共に 、バイオメトリックＰＩＣをＢＩＡに入力する。ＢＩＡは、アカウントアクセス リクエストメッセージを作成し、このアカウントアクセスリクエストメッセージ はその後ＡＴＭによってＤＰＣに送信される。ＤＰＣは、緊急アカウントインデ ックスコードとともに、バイオメトリックＰＩＣの有効性を証明し、その後、得 られた資産アカウント番号を秘密コードと一緒にＡＴＭに送り返す。 ＡＴＭは、ＢＩＡにレスポンスを復号化するように要求し、その後、ＡＴＭの ディスプレイスクリーン上に秘密コードを表示する。また、ＡＴＭはレスポンス を検査して、その個人が標準的なアカウントアクセスを行っているのか、それと も、「脅迫(duress)」アカウントアクセスを行っているのかを確認する。脅迫ア カウントアクセスであることが分かると、ＡＴＭは、その個人が利用可能である 金額に関する偽あるいは誤解させるような情報を提供してもよい。この動作の詳 細はＡＴＭによって異なる。但し、いかなるＡＴＭも、脅迫トランザクション(d uress transaction)が進行中であることをその個人に示すことはない。 ＡＴＭおよびＤＰＣ間のメッセージの安全性は、暗号化およびＢＩＡからのＭ ＡＣ計算によって保たれる。ＭＡＣは、ＡＴＭが検知されずにメッセージのコン テンツを変更することはできないことを意味し、暗号化はそのメッセージの暗号 化された部分の漏洩を防ぐ。 ＢＩＡ／ＡＴＭには、ＬＣＤやＰＩＣパッドが付いていないので、ＡＴＭには 、あらゆるテキストプロンプトを提供して、その個人からの入力を全て集めるこ とが要求される。これは、ＢＩＡによってこの処理を行う場合に比べて比較的安 全 でないが、一般にＡＴＭは物理的に頑丈であるので、おそらく問題にはならない とされるであろう。 偽のスクリーンは、不正確になるように意図的に予め決められたデータの表示 であるので、脅迫者が、ある個人の金融資産についての正確なデータを不法に入 手することはない。 ターミナル：電話ＰＯＳターミナル 電話ＰＯＳターミナル（ＰＰＴ）の目的は、特別装備の電話を用いてマーチャ ントからの購入を行う個人からの貸方あるいは借方金融トランザクションを承認 することである。 ＰＰＴの構成： ・ＢＩＡ／ｃａｔｖ ・高速接続デジタルモデム［VoiceView特許（当該分野では公知）を参照］ ・電話（キーパッド、受話器、マイク） ・マイクロコンピュータ ・ＤＳＰ（デジタル信号プロセッサ） ・標準的な電話線 ＰＰＴは、コードレス電話、セルラー電話、あるいは標準的な電話に接続され 一体化されたＢＩＡ／ｃａｔｖを用いて、バイオメトリック識別子を受け付ける 。 ＤＰＣがトランザクションを承認するためには、個人およびマーチャントの両 者を識別しなければならない。個人を識別するために、バイオメトリックＰＩＣ 識別が用いられる。 電話注文マーチャントを識別するために、マーチャントと、個人がかけるマー チャントの電話番号の全てをＤＰＣに登録する。従って、個人は、承認を入力す る際に、その個人がかけた電話番号も入力する。その後、この電話番号を、マー チャントの電話番号リストとクロスチェックする。 個人は、紙のカタログ、新聞、雑誌、あるいは他の基本的な印刷媒体メカニズ ムを用いて商品を販売しているマーチャントに電話をかける。ＰＰＴは、電話音 声ラインを共有する専用モデムを用いて、マーチャントとデジタル情報を交換す る。 個人が電話をかける度に、個人が購入を決定した場合のために、ＰＰＴは、ユ ーザによって押された電話番号の記録をとる。ＤＳＰを用いて、発信音、呼出し 音(ring)、接続(connection)等を検知し、これにより、内線、あるいは電話メッ セージシステムの案内等と区別して、入力された実際の電話番号が何であったの かを知る。 マーチャントに電話がかかると、そのマーチャントの販売員は、商品、価格、 およびマーチャントコードを含む関連する情報を全てＰＰＴにデジタル方式でダ ウンロードする。使用中、モデムはスピーカを切る(disconnect)ことに留意され たい。 商品情報がダウンロードされると、その後、ＰＰＴは個人にプロンプトを出し てバイオメトリックＰＩＣ、アカウントインデックスコードを促し、その後、個 人に購入金額の有効性を証明するように要求する。その後、電話番号およびマー チャントコードを追加して、メッセージを暗号化する。高速接続モデムを再び用 いて、マーチャントに承認情報を送信する。 マーチャントは、承認情報を受信すると、価格および商品情報が正しいことを 検証し、その後、インターネットあるいは他の汎用ネットワークを用いた安全な 通信チャネルを使って、トランザクションをＤＰＣにフォワードする。公開鍵暗 号化および秘密鍵交換を用いて、ＤＰＣへの接続の安全性が保たれる。 電話承認の受信および復号化の際に、ＤＰＣはマーチャントコードに対してそ の電話番号をチェックし、そのバイオメトリックＰＩＣの有効性を証明し、その 後、トランザクションを承認のために貸方／借方ネットワークに送信する。承認 が成功すれば、ＤＰＣは購入者のアドレスをレスポンスメッセージに添付し、そ のレスポンスをマーチャントに送信する。 マーチャントは、ＤＰＣからレスポンスを受信し、その宛先をコピーし、そし て、高速接続モデムを用いた短時間のセッションによってメッセージを再び個人 にフォワードする。ＩＰＴへの送信が完了すると、チャイムが鳴り、モデムを切 断し、個人の秘密コード（ＢＩＡによって復号化）をＬＣＤスクリーン上に表示 する。マーチャントの販売代理人は、個人の宛先が有効であることを確認し、有 効であれば電話を切ってトランザクションを完了する。 ターミナル：ケーブルＴＶＰＯＳ ＣＡＴＶ販売時点情報管理ターミナル（ＣＰＴ）の目的は、テレビ受信機（ま たは「ＴＶ」）の前にいる個人から、テレビ放送で商品を紹介しているマーチャ ントへの貸方または借方財政的トランザクションを承認することである。 ＣＰＴの構成： ・ＢＩＡ／catv ・集積型ＢＩＡ／catvを有するテレビのリモコン ・ケーブルＴＶデジタル信号デコーダ ・ケーブルＴＶリモコン読み取り装置 ・オンスクリーン表示メカニズム ・ケーブルＴＶ広帯域双方向通信チャンネルへのアクセス ＣＰＴは、テレビのリモコンデバイスに組み込まれたＢＩＡ／catvを用いて、 バイオメトリック識別を受け取る。リモコンは、それ自体が広帯域ケーブルテレ ビネットワークと通信するテレビのトップボックスと通信する。ターミナルは、 ＢＩＡと通信するテレビ遠隔ロジックおよびケーブル広帯域ネットワークで通信 するテレビのトップボックスを含む。 このトランザクションにおいて、トランザクションを実行するためには、マー チャントおよび個人は共に識別されなければならない。個人は、バイオメトリッ クＰＩＣによって識別される。マーチャントは、製品がテレビ放送で見せられる 時にＣＡＴＶ放送局によって作成されるマーチャントクリデンシャルによって識 別される。各製品の放送は、マーチャントコード、時刻、持続期間、および公開 鍵暗号化とＣＡＴＶネットワーク放送局の秘密鍵とを用いて署名される価格で構 成されているマーチャント製品クリデンシャルを有する。このマーチャント製品 クリデンシャルは、ネットワーク放送局によってのみ作成され得る。 テレビ公告、インフォマーシャルまたはホームショッピングチャンネルは、製 品を表示するので、ケーブルテレビネットワークも、簡単な説明、価格、および マーチャント製品クリデンシャルを説明する同時デジタル情報を放送する。この デジタル情報はＣＰＴによって処理されて一時的に格納され、購入の決断がなさ れれば、個人によって直ちにアクセスできる。 現在表示されている物を購入するためには、個人は、ＣＰＴに命令を与えて、 現在視聴している製品に関する文字情報をスクリーン上に表示させる専用テレビ リモコンのオンスクリーン表示機能を選択する。 個人は、まず、オンスクリーンディスプレイを介して購入するアイテムの希望 数の入力をプロンプトにより促される。次に、その個人のバイオメトリックＰＩ Ｃ、およびその個人のアカウントインデックスコードの入力をプロンプトにより 促される。その個人が最終購入額が適切であると検証するとすぐに、バイオメト リックＰＩＣとともに、製品、価格、マーチャントコード、マーチャント製品ク リデンシャル、およびチャネル番号を使用して、遠隔トランザクション承認リク エストメッセージが作成される。このリクエストは、ケーブルテレビジョン広帯 域双方向通信チャネルを用いて、承認のためにマーチャントに送信される。 このような手法で製品を購買することを望むマーチャントは、各自、広帯域ケ ーブルテレビジョンネットワークを使用して注文情報を受信することが可能であ る必要がある。 承認リクエストの受信に伴って、マーチャントはそれを、安全なインターネッ ト接続またはX.25接続を使用してＤＰＣに入力する。 ＤＰＣがトランザクションを承認すると、承認コードに加えて個人の宛先、お よび暗号化された秘密コードを含む承認レスポンスを作成する。マーチャントは 、承認を受信するとすぐに、承認、および郵送住所をコピーし、次に承認を転送 してＣＰＴに戻し、次にＣＰＴは、個人に秘密コードを表示し、トランザクショ ンを終了する。 このアーキテクチャは、犯罪者がケーブルＴＶ広帯域から受信したメッセージ を再生することを許可しないが、彼らがそれらを部分的に読むことは可能である 。これが望ましくない場合には、(業界で知られている)ＣＡＴＶセットトップボ ックスとＣＡＴＶローカルオフィスとの間で、オプションであるＣＡＴＶセンタ ー の公開鍵、または他の「リンクレベル」暗号化を使用して、メッセージを暗号化し 得る。 マーチャントとＤＰＣとの接続を安全にするために、この接続は、公開鍵暗号 化鍵交換システムを使用して予め交換された、毎日変更されるセッション鍵を使 用する。 システム記述：データプロセッシングセンタ データプロセッシングセンタ（ＤＰＣ）は、その責任下における主な仕事とし て、金融取引き承認（financlal transaction authorizations）と個人の登録と を扱う。さらに、ＤＰＣは、安全なファクス（secure faxes）、電子ドキュメン トおよび電子署名のための、記憶と取出しとを提供する。 それぞれのＤＰＣサイトは、ＤＰＣ概略図（番号＊＊）に示されるように、Ｌ ＡＮ（当該分野において公知）によって、ともに接続された多くのコンピュータ およびデータベースからなっている。複数の同一のＤＰＣサイトは、どの一つの ＤＰＣサイトで、災害または深刻なハードウエアの故障に直面しても、信頼ある サービスを確実にする。さらに、それぞれのＤＰＣサイトは、電源バックアップ およびＤＰＣの重要なハードウエアおよびデータベースシステムの全てにおいて 、複数の重複を有する。 ＤＰＣコンポーネントは、３つのカテゴリに分かれる。ハードウエア、ソフト ウエアおよびデータベースである。下記は、カテゴリによる、それぞれのコンポ ーネントの簡潔な記述である。より詳細な記述は、次のセクションに現れる。 ＦＷ： ファイアウオールマシン（Ｆirewall Ｍachine）：ＤＰＣサイトのエントリ点 。 ＧＭ： ゲートウェイマシン（Ｇateway Ｍachine）：システムコーディネータおよび メッセージプロセッサ。 ＤＰＣＬＡＮ ＤＰＣローカルエリアネットワーク（ＤＣＰ Ｌocal Ａrea Ｎetwork）：ＤＰ Ｃサイト を接続する。 データベース ＩＢＤ 個人のバイオメトリックデータベース（Ｉndividual Ｂirometric Ｄatabase ）：個人のバイオメトリックおよびＰＩＣコードから個人を識別する。 ＰＦＤ 以前の詐欺のデータベース（Ｐrior Ｆraud Ｄatabase）：システムに対して 詐欺行為を行った個人をリストし、バイオメトリックがそれらの個人のいずれか に一致すれば、チェックすることができる。 ＶＡＤ 有効な装置のデータベース（Ｖalid Ａpparatus Ｄatabase）：ＢＩＡメッセ ージの有効性を検査し復号化するのに要求される情報を記憶する。 ＡＯＤ 装置のオーナーのデータベース（Ａpparatus Ｏwner Ｄatabase）：ＢＩＡデ バイスのオーナーに関する情報を記憶する。 ＩＤ 発行者データベース（Ｉssuer Ｄatabase）：システムに参加する発行銀行を 識別する。 ＡＩＤ 承認された個人データベース（Ａuthorized Ｉndividual Ｄatabase）：パー ソナルまたは発行者ＢＩＡデバイスを用いることが許された個人のリストを記憶 する。 ＲＭＤ リモートマーチャントデータベース（Ｒemote Ｍerchant Ｄatabase）：電話 およびケーブルテレビジョンマーチャントとともに取引を処理するために必要な 情報を記憶する。 ＥＤＤ 電子ドキュメントデータベース（Ｅlectronic Ｄocument Ｄatabase）：承認 された個人による取出しのために、ファクスおよび電子メール等の、電子ドキュ メン トを記憶する。 ＥＳＤ 電子署名データベース（Ｅlectronic Ｓignature Ｄatabase）：第３者による 有効性証明のために、電子ドキュメント署名を記憶する。 ソフトウエア ＭＰＭ メッセージプロセッシングモジュール（Ｍessage Ｐrocessing Ｍodule）：他 のソフトウエアモジュールとメッセージのタスクを実行するために要求されるデ ータベースとに整合することで、それぞれのメッセージのプロセッシングを取り 扱う。 ＳＮＭ シーケンス番号モジュール（Ｓequence Ｎumber Ｍodule）：ＤＵＫＰＴシー ケンス番号プロセッシングを取り扱う。 ＭＡＣＭ メッセージ承認コードモジュール（Ｍessage Ａuthentication Ｃode Ｍodule ）：ＭＡＣの有効性の証明および生成を取り扱う。 ＭＤＭ メッセージ復号化モジュール（Ｍessage Ｄecrypt Ｍodule）：ＢＩＡ要求お よびレスポンスの暗号化および復号化を取り扱う。 ＰＧＬ ＰＩＣグループリスト（ＰＩＣ Ｇroup Ｌist）：ＰＩＣと、ＰＩＣグループ のリストに依存するデータベースエレメントの構成とによって、ＰＩＣグループ のルックアップを取り扱う。 ＩＭＬ ＩＢＤマシンリスト（ＩＢＤ Ｍachine Ｌist）：所定のＰＩＣグループのた めにＩＢＤレコードを保持することを専門とした、メインおよびバックアップデ ータベースマシンのルックアップを取り扱う。 術語 データベースのスキーマ（schema）を定義する際に、次の術語がフィールドタ イプを記述するために用いられる。 int〈Ｘ〉 〈Ｘ〉バイトの記憶を用いる整数タイプ char〈Ｘ〉 〈Ｘ〉バイトの文字列 テキスト 可変長文字列 〈タイプ〉[Ｘ] 特定のタイプの長さ〈X〉の配列 時間 時間および日付を記憶するために用いられるタイプ バイオメトリック バイオメトリックを記憶するために用いられるバイナ リデータタイプ ファクス ファクス画像を記憶するために用いられるバイナリデ ータタイプ データベースの記憶要件を記述する際に、語「expected」は、完全にロードさ れたシステムの予想される状況を意味する。 プロトコルの説明 ターミナルは、DPCサイトにリクエストパケットを送信することによってその タスクを成し遂げる。DPCサイトは、そのリクエストの成功または失敗に関する ステータスを含む応答パケットを送り返す。 通信は、X.25接続、TCP/IP接続、またはモデムバンクへの電話呼出などの論理 的または物理的な接続によるメッセージ配送メカニズムを介して行われる。各セ ッションでは、DPCがその応答をターミナルに送り返すまでターミナルへの接続 が保持される。 リクエストパケットは、BIAメッセージ部およびターミナルメッセージ部を含 む。 BIAメッセージ部 プロトコルバージョンNo. メッセージタイプ ４−バイトBIA識別 ４−バイトシーケンスNo. 〈メッセージ特定データ〉 メッセージ認証コード（MAC） ターミナルメッセージ部 〈ターミナル特定データ〉 BIAメッセージ部は、BIAデバイスによって作成される。BIAメッセージ部は、 １つまたは２つのバイオメトリック、PIC、承認量、およびターミナルによって 設定される一般的なレジスタのコンテンツを含む。 注：BIAメッセージ部のMACは、BIA部にのみ適用され、ターミナル部には適用 されない。 ターミナルは、リクエストメッセージに関する他のデータをターミナルメッセ ージ部に配置し得る。BIAは、メッセージ鍵を提供し、ターミナルがターミナル 部データを確保できるようにする。BIAは、必要に応じて、メッセージ鍵をパケ ットの暗号化バイオメトリック−PICブロックに自動的に含む。しかし、ターミ ナルは、メッセージ鍵暗号化自体を実施する。 レスポンスパケットは、標準ヘッダと、MACを有する部およびMACを有さない部 の２つのオプショナルフリー形態のメッセージ部とを含む。 標準ヘッダ プロトコルバージョンNo. メッセージタイプ 〈メッセージ特定データ〉 MAC MACを有さないオプショナルフリー形態のメッセージ部 〈他のメッセージ特定データ〉 MACを有するメッセージ部は、BIAに送信され、この部分の応答に不正変更が加 えられず、個人の秘密コードが表示されていないことの有効性を証明し得る。MA Cを有さないメッセージ部は、BIAのターミナル接続の帯域が限定され得るため、 MAC有効性の証明のためにBIAに送信されないファックス画像などの大量のデータ を送信するために用いられる。 処理パケット 多数のDPCサイトを有する本発明の実施態様において、ターミナルは、そのリ クエストをDPCサイトの１つ（通常最も近いサイト）にのみ送信する必要がある 。なぜなら、そのサイトは、必要に応じて、配布されたトランザクションを実行 することによってその他のサイトの更新を自動的に取り扱うからである。 DPCのファイアウォールマシン（Firewall Machines）の１つがパケットを受信 すると、そのマシンはそのパケットをGMマシンの１つにフォワードして実際の処 理を行う。各GMは、リクエストを処理するために必要なDPC構成要素間の協調を 取り扱い、応答を送信者に送り返すメッセージ処理モジュールを有する。 パケットの有効性の証明および復号化 DPCが受信するBIAによって作成されないパケットを除くすべてのパケットは、 BIAハードウェア識別コード（パケットのBIA識別）、シーケンスNo.、およびメ ッセージ認証コード（MAC）を含む。GMは、MACモジュールにパケットMACの有効 性を証明するように要求し、次に、シーケンスNo.モジュールを用いてシーケン スNo.をチェックする。この２つが確認されると、GMは、パケットをメッセージ 復号化モジュールに送りパケットを復号化する。いずれか１つが確認されない場 合には、GMは、警告をロッグし、パケットの処理を停止し、エラーメッセージを BIAデバイスに戻す。 現在、BIAによって作成されないメッセージタイプは、安全ファックスデータ リクエストおよび電子文書データリクエストのみである。 応答パケット DPCが受信する各パケットは、パケットの暗号化バイオメトリック−PICブロッ クに格納されるオプショナル応答鍵を含んでいてもよい。DPCは、応答鍵を含む リクエストに応答する前に、応答パケットを応答鍵で暗号化する。さらに、DPC は、メッセージ認証コードを生成し、それをパケットに追加する。 レスポンスパケットを暗号化しない唯一の例外としてエラーメッセージが挙げ られる。エラーは暗号化されず、機密情報を含まない。しかし、大抵のレスポン スパケットは、リクエストが成功したか否かを示すことができるステータスまた は応答コードを含む。例えば、DPCがクレジット認証を拒否するとき、DPCはエラ ーパケットを戻さずに、「失敗（failed）」と設定された応答コードを有する通 常のトランザクションレスポンスパケットを戻す。 DPCプロシージャ DPCは、リクエストを処理する間に通常用いられる２つのプロシージャ、即ち 、個人識別プロシージャおよび緊急応答プロシージャを有する。 個人識別プロシージャ DPCが個人を識別することを要求するリクエストの場合、DPCは、以下のプロシ ージャを実行する： DPCは、 PICコードを用いて、IBDマシンリストをサーチし てこの与えられたPICコードに対する識別を取り扱う主要IBDマシンおよびバック アップIBDマシンを求める。次に、DPCは、主要マシンまたはバックアップマシン のいずれかのロードの少ない方に識別リクエストを送信する。IBDマシンは、個 人に関するIBDレコードまたは「個人不明（individual no found）」エラーを用 いて応答する。 IBDマシンは、与えられたPICに対するすべてのIBDレコードを取り出す。所有 者バイオメトリックハードウェアデバイスを用いて、IBDマシンは、各レコード の第一のバイオメトリックと、個人のバイオメトリックとを比較し、これら２つ のバイオメトリックの類似性を示す比較スコアに到達する。いずれのバイオメト リックも十分な類似性を有する比較スコアを有さない場合、第二のバイオメトリ ックを用いて比較が繰り返される。第２のバイオメトリックのいずれも十分な類 似性を有する比較スコアを有さない場合、IBDマシンは、「個人不明」エラーを 戻す。あるいは、IBDマシンは、秘密コード、アカウントNo.、タイトル、等のフ ィールドが得られる個人のIBDレコード全体を戻す。 緊急応答プロシージャ アカウントインデックスを含むリクエストに関しては、DPCは、個人がその緊 急アカウントインデックスを選択する場合を取り扱う。リクエストがDPCカスタ マサポートスタッフに即座に通知するGM処理では、警告がロッグされ、レスポン スパケットが応答コードを有する場合、そのレスポンスパケットは「緊急」とし て設定される。「緊急」応答コードに注意し、ATMターミナルセクションに記載 されるような疑似スクリーンメカニズムなどのさらなる援助を提供するのは、リ クエストを入力したBIAデバイスのオーナの責任である。DPCはまた、緊急アカウ ントインデックスがアクセスされる度に、個人のIBDレコードの緊急使用カウン トを増加させる。 プロトコルリクエスト 以下のセクションでは、各プロトコルのリクエスト／応答およびそのプロトコ ルを実施するためにDPCが行うアクションについて記載する。 プロトコルパケットのリストは、 個人識別 トランザクション承認 登録 アカウントアクセス 発行者バッチ 安全ファックス入力 安全ファックスデータ 安全ファックス追跡 安全ファックス取り出し 安全ファックス拒否 安全ファックスアーカイブ 安全ファックス契約受理 安全ファックス契約拒否 安全ファックス機構変更 電子文書入力 電子文書データ 電子文書追跡 電子文書取り出し 電子文書拒否 電子文書アーカイブ 電子文書アーカイブ取り出し 電子署名 電子署名検証 ネットワーククリデンシャル 個人識別 個人識別リクエスト BIA部： ４−バイトBIA識別 ４−バイトシーケンスNo. 暗号化（DUKPT鍵）バイオメトリック−PICブロック 300−バイト承認バイオメトリック ４−12ディジットPIC 56-ビット応答鍵 MAC ターミナル部：（使用されない） 個人識別応答 暗号化（応答鍵）： 秘密コードテキスト 個人名 バイオメトリック識別コード MAC 個人識別リクエストは、バイオメトリック−ＰＩＣブロックを有し、DPCはこ のブロックを個人識別プロシージャを用いて使用し、個人を識別する。個人が識 別されると、DPCは、個人の名前、バイオメトリック識別、および秘密コードを 用いて応答する。あるいは、DPCは、「個人不明」エラーを用いて応答する。 トランザクション承認 トランザクション承認リクエスト BIA部： ４−バイトBIA識別 ４−バイトシーケンスNo. 暗号化（DUKPT鍵）バイオメトリック−PICブロック： 300−バイト承認バイオメトリック ４−12ディジットPIC 56−ビット応答鍵 ［オプショナル56−ビットメッセージ鍵］ アカウントインデックス 価格 マーチャント識別 ［オプショナルフリーフォーマット製品情報］ ［オプショナルマーチャントコード（電話＃、チャネル＃＋時間、店主名） ］ ［オプショナル送信アドレスリクエスト］ MAC ターミナル部：（使用されない） トランザクション承認応答 暗号化（応答鍵）： 秘密コードテキスト 承認応答 承認詳細（承認コード、トランザクション識別、等） ［オプショナル個人アドレス情報］ 応答コード（失敗、ok、緊急） MAC ２つの基本的なトランザクション承認サブタイプ、即ち、リテイル承認および 遠隔承認がある。 リテイル承認に関しては、DPCは、リクエストのバイオメトリック−PICブロッ クによって購入者個人を識別する。個人を識別することができない場合には、DP Cは、「個人不明」エラーを用いて応答する。 次に、DPCは、外部承認リクエスト（BIAデバイスのオーナの資産アカウントに 対する貸方の記入および個人資産アカウントに対する借方の記入）を、関係する 資産アカウントのタイプ（ビザまたはアメリカンエキスプレスなど）に応じて、 いくつかの現存する経済的承認サービスの１つに送信する。外部経済的承認サー ビスがトランザクションを認める場合、DPCは、外部承認コードおよび「ok」応 答コードをBIAデバイスに戻す。あるいは、DPCは、承認が拒否された理由を戻し 、応答コードを「失敗」に設定する。いずれにせよ、DPCは、応答中に個人の秘 密コードを含む。 DPCが、リクエストのアカウントインデックスを用いて個人の資産アカウント を調べるとき、選択されたアカウントは、「緊急」のアカウントであり得る。こ のようなことが発生する場合、DPCは、緊急応答プロシージャに従う。しかし、 それでも外部承認は発生する。 遠隔承認は、電話、メールオーダー、またはケーブルテレビマーチャントによ って発生する。DPCは、以下を除いて、リテイル承認と同様に遠隔承認を取り扱 う。 i）遠隔承認は、遠隔マーチャントコードを有し、DPCはこのコードを遠隔マーチ ャントデータベースと照合してチェックし、パケットのマーチャント識別がデー タベースに格納されたものと一致するかどうかの有効性を検証する。さらに、貸 方に記入された資産アカウントは、遠隔マーチャントのアカウントであって、 BIAデバイスのオーナのアカウントではない。 ii）さらに、遠隔承認を発生させるBIAデバイスは、個人のBIAデバイスである場 合が多い。DPCは、BIAデバイスの使用を許可された個人の承認された個人データ ベースリストと照合して識別された個人のバイオメトリック識別をチェックする 。個人がデバイスの使用を承認されていない場合には、DPCは、承認リクエスト を拒否する。 iii）最後に、承認パケットは、「送信アドレス」インジケータを含み得る。こ のインジケータは、DPCに個人のアドレスを応答パケットに含むように通知し、 通常、メールオーダ購入に対してのみ使用される。 登録 登録リクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ）バイオメトリック−ＰＩＣブロック： 1000-バイト 第１のバイオメトリック 1000-バイト 第２のバイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 56-ビット メッセージ鍵 ＭＡＣ ターミナル部： 暗号化された（メッセージ鍵）： 名前 住所 郵便番号 秘密コード 資産アカウントリスト（アカウントインデックスコード、アカウント番号 ） 緊急アカウント（アカウントインデックスコード、アカウント番号） タイトルリスト（タイトルインデックスコード、タイトル名） 登録レスポンス ステータスコード 暗号化された（レスポンス鍵） 秘密コードテキスト ＰＩＣ バイオメトリック識別コード ＤＰＣ選出ＰＩＣリスト（元々選択されたＰＩＣが拒否された場合） ステータスコード（ｏｋ、拒否） ＭＡＣ 個人は、バイオメトリック登録ターミナル（ＢＲＴ）を通じてＤＰＣに登録を 行う。ＢＲＴは、個人の名前、住所、金融資産アカウントのリスト、秘密コード および緊急アカウントといった付属的データとともに、第１のおよび第２のバイ オメトリック、および個人識別コードを含む登録パケットをＤＰＣに送信する。 任意に、個人は電子メールアドレス、ならびにタイトルおよびタイトルインデッ クスコードを有するタイトルリスト、さらに社会保障番号（すなわち「ＳＳＮ」 ）を含ませ得る。個人は、自分のＰＩＣコードを選んでもよいし、システムに選 ばせてもよい。改変ステップにおいて、以前に入力されたいかなるデータも改変 、または削除できる。 容易に実施できるように、どの所与の時点においても、登録サイトとして機能 するのはある一つのＤＰＣサイトだけである。非登録ＤＰＣサイトが受け取った 登録リクエストパケットは、現在の登録サイトにフォワードされる。登録ＤＰＣ サイトは、登録チェック全体、ＩＢＤマシーンへのＩＢＤ記録の割り当て、およ び他の全てのＤＰＣサイトを更新するために必要な、ディストリビューティドト ランザクション(distributed transaction)を行う。 登録ＤＰＣサイトは、他のＤＰＣサイトを更新するためにディストリビューテ ィドトランザクションを実行する前に、登録リクエストに対して、ＰＩＣコード を指定していないものについて選出し、ＩＢＤ記録を（ＰＩＣグループリストに おいて指定される）メインおよびバックアップＩＢＤマシーンに格納し、ＰＩＣ および登録パケットのバイオメトリック適合性をチェックする。 ＤＰＣは、個人識別コードおよびバイオメトリックサンプル複製チェックステ ップを実行し、登録ステップ中に集められたバイオメトリックスおよび個人識別 コードを、同一の個人識別コードに現在関連づけられている、以前に登録された 全てのバイオメトリックスに対してチェックする。ＤＰＣは、次のような理由で 登録を拒否し得る：ＰＩＣコードが一般的すぎる、あるいは、バイオメトリック スが、選ばれたＰＩＣ下に格納された他のバイオメトリックスと類似しすぎてい る。許容可能なＰＩＣを選ぶ際に個人を助けるべく、ＤＰＣは、それについては 登録されることが確実に保証されるＰＩＣコードの短いリストを生成し、これを 一定期間保存する。ＢＲＴは次に、個人にプロンプトを与えて、新しいＰＩＣの 入力を促すか、この新しいＰＩＣは、上記適合ＰＩＣリストから選出されてもよ い。 アカウント（口座）アクセス アカウントアクセスリクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 ［任意の56-ビット メッセージ鍵］ アカウントインデックス ＭＡＣ ターミナル部：（不使用） アカウントアクセスレスポンス 暗号化された（レスポンス鍵）： 秘密コードテキスト ［任意のＰＩＣ］ 資産アカウント番号 返答コード（失敗、ｏｋ、緊急） ＭＡＣ アカウントアクセスリクエストにより、ＢＩＡを装備した自動預金支払機が、 個人がＡＴＭに対して身分証明を行う、より安全で便利な方法を提供することが 可能になる。 ＧＭは、パケットのバイオメトリックＰＩＣによって個人を識別し、指定され たアカウントインデックスを用いて、どの資産アカウント番号を取り出すのかを 選ぶ。 リクエストのアカウントインデックスを用いて、ＧＭが個人の資産アカウント をルックアップするとき、選ばれたアカウントは、「緊急」アカウントであり得 る。このことが起こった場合、ＧＭは緊急レスポンスプロシージャに従う。 発行者バッチ 発行者バッチリクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 56-ビット メッセージ鍵 発行者コード ＭＡＣ ターミナル部： 暗号化された（メッセージ鍵） ａｄｄ〈バイオメトリックＩｄ〉〈アカウントインデックス〉〈資産アカ ウント〉［〈緊急フラグ〉］ ｒｅｍｏｖｅ〈バイオメトリックＩｄ〉〈アカウントインデックス〉〈資 産アカウント〉 発行者バッチレスポンス 暗号化された（レスポンス鍵）： 秘密コードテキスト 返答コード（失敗、ｏｋ、緊急） ＭＡＣ 暗号化された（メッセージ鍵）失敗リスト： 失敗した〈コマンド〉〈コード〉 ・・・ 発行者バッチリクエストにより、発行銀行またはその他の機関が個人バイオメ トリックデータベースのルーチン維持を行うことが可能になる。ＤＰＣはまた、 ＤＰＣが非発行者ＢＩＡデバイスから発行者バッチリクエストを受け取った場合 、セキュリティ違反警告(security violation warning)を記録し、またリクエス トの処理を拒否する。 ＤＰＣは、個人識別プロシージャに従ってバッチリクエストを入力している個 人を識別する。ＤＰＣは次に、個人が承認された個人データベースに登録され、 送信発行者ターミナル内にあるＢＩＡデバイスを使用できる状態にあることをチ ェックする。 ＤＰＣはまた、リクエスト内の発行者コードを用いて発行者データベース内の 装置所有者識別をルックアップし、それを有効装置データベース内に格納される 装置所有者識別に対して比較して発行者コードが偽造されていないことを確認す る。 ＤＰＣは次にメッセージ鍵により暗号化されたバッチリスト内のコマンドの追 加および削除を実行する。バッチリストは、復帰改行分割コマンドリスト(newli ne separated list of commands)である。有効コマンドは以下のとおりである。 ａｄｄ（追加）〈バイオメトリックＩｄ〉〈アカウントインデックス〉〈資産ア カウント〉［〈緊急フラグ〉］ 追加コマンドは、指定されたアカウントインデックスのアカウントリストに資 産アカウントを追加する。任意の緊急フラグは、特定のアカウントインデックス が個人の緊急アカウントとして取り扱われたかどうかを示す。現在アカウントリ ストに格納されている資産アカウントが発行者のものではない場合、コマンドは 失敗する。この特徴により、ある銀行が、個人の認知あるいは承認なしで他の銀 行の顧客の資産アカウントを追加または除去することを防ぐ。 ｒｅｍｏｖｅ（除去）〈バイオメトリックＩｄ〉〈アカウントインデックス〉〈 資産アカウント〉 除去コマンドは、アカウントリスト内の指定されたアカウントインデックスに 格納された個人の資産アカウントを消去する。現在アカウントリストに格納され ている資産アカウントが、発行者が除去しようとしているアカウントに一致しな い場合、コマンドは失敗する。 正しく実行することに失敗したバッチ内のコマンド各々について、ＧＭがセキ ュリティ違反警告を記録し、失敗したレスポンスのリストにエントリを添付(app ends)する。失敗したエントリは、コマンドのテキストおよびエラーコードを含 む。 安全ファックス入力 安全ファックス入力リクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 56-ビット メッセージ鍵 セキュリティモード（保証無(unsecured)、送り手保証(sender-secured) 、保証(secured)、保証秘匿(secured-confidential)） 送り手タイトルインデックスコード 送り手ファックス番号 送り手ファックス内線 受け手リスト ［任意のアーカイブファックスインジケータ］ ［任意の契約／同意インジケータ］ ターミナル部：（不使用） 安全ファックス入力レスポンス 暗号化された（レスポンス鍵） 秘密コードテキスト ファックストラッキング番号 ＭＡＣ ＤＰＣが安全ファックス入力リクエストを受け取るとき、ＤＰＣは、個人識別 プロシージャに従って、リクエストのバイオメトリック−ＰＩＣから個人を識別 する。タイトルインデックスで記述された個人のタイトルとともに、この識別は 受取人に提示され、そのことによってファックスの送り手は常時確実に識別され る。 ＤＰＣがトラッキングの目的でトラッキング番号を生成し、そのトラッキング 番号、送り手のバイオメトリック識別、セキュリティモード、およびメッセージ 鍵を新しく作成されたＥＥＤ文書記録内に格納する。受け手リスト内の受け手各 々に対して、ＤＰＣは、受け手記録も作成する。ＤＰＣは次に、送信中のファッ クスマシーンがこのメッセージ鍵で暗号化されたファックスデータを送信するの を待つ。 リクエストが「アーカイブファックス」または「契約／同意」インジケータを 含んでいる場合、ＥＤＤは、文書および受け手記録のコピーをアーカイブデータ ベースに入れる。これらの記録への以降の更新は全て保存版(archived version) にされる。 ファックスデータは別のステップで送信され、これにより送り手がバイオメト リックおよびＰＩＣの入力を間違えた場合、ファックスマシーンに文書をフィー ドする時間を浪費する前にシステムが送り手に通知する。 安全ファックスデータ 安全ファックスデータリクエスト ＢＩＡ部：（不使用） ターミナル部： ファックストラッキング番号 暗号化された（メッセージ鍵）： ファクスイメージデータ 安全ファックスデータレスポンス ステータス（未完、ｏｋ） 安全ファックスデータリクエストは、安全ファックスマシーンに、ファックス イメージをＤＰＣに送って前に指定した受け手への送信を行わせる。このリクエ ストは、安全にイメージを送信するために、バイオメトリック識別およびそれに 代わるシークレットメッセージ鍵に依存するものを含んでいない。 ファックスイメージデータは、安全ファックス入力リクエストにより登録され るメッセージ鍵によって暗号化される。ＤＰＣがファックス全体を受け取ってし まえば、ＤＰＣは、各受け手のファックス番号へ安全ファックス着信通知(Secur e Fax Arrival Notice)メッセージを送る。ＤＰＣは、ファックストラッキング 番号を有する全ての受け手記録についてＥＤＤを照会することによって、受け手 リストを取り出す。受け手記録はデスティネーションファックス番号および任意 の拡張を有している。着信通知を送信後、ＤＰＣは、各受け手記録の送信ステー タスフィールドを「通知済み」へと更新する。注：デスティネーションファック ス番号がビジーの場合、ＤＰＣが送信ステータスフィールドに「ビジー」と記し 、成功するまで通知を定期的（例えば１０分毎）に送信を再試行し、成功した時 にはステータスフィールドを「通知済み」に更新する。 着信通知は以下のようなものである。 安全ファックス着信通知（ファックスメッセージ） 送り手の名前、会社名(company)、タイトル、およびファックス番号 ファックストラッキング番号 ファックスのダウンロード方法についての指示 ＤＰＣは、全ての受け手がファックスを取り出しまたは拒否した後にファック スを介して、送り手にステータス通知を送るだけである。送り手は、安全ファッ クストラッキングリクエスト（下記参照）を用いてＤＰＣを照会し、受け手全員 の現在のステータスを得る。 安全ファックスステータス通知（ファックスメッセージ） 安全な送り手の名前、会社名、タイトル、およびファックス番号 ファックストラッキング番号 以下のものを示す受け手リスト： 名前、会社名、タイトル、およびファックス番号 送信データおよびステータス 契約／同意ステータス ＤＰＣは、ＥＤＤ組織テーブル内の個人の会社名およびタイトル情報のそれぞ れを検索する。システムに登録されておらず、従って安全ファックスを受け取る ことができない個人、あるいは非受け手安全モードの場合、ＤＰＣは、安全ファ ックス着信通知を送らない。その代わりに、ＤＰＣは、ファックスを直接送る。 ファックスラインがビジーの場合、ＤＰＣはファックスの送信に成功するまで１ ０分毎に再試行を行う。 ファックストラッキング 安全ファックストラッキングリクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 56-ビット メッセージ鍵 ファックストラッキング番号 ＭＡＣ ターミナル部：（不使用） 安全ファックストラッキングレスポンス 暗号化された（レスポンス鍵）： 秘密コードテキスト トラッキングレスポンスファックスイメージのメッセージダイジェスト ステータスコード（ｏｋ、失敗） ＭＡＣ 受け手ステータスリストのファックスイメージ ＤＰＣは、そのファックスについての全てのＥＤＤ受け手記録を引き出すこと により、および記録を表示するためのファックスメッセージを生成することによ り、安全ファックストラッキングリクエストを処理する。トラッキングリクエス トを行っている個人がファック文書の送り手ではない場合、ＤＰＣはステータス コードを失敗にセットし、レスポンスに空ファックスを入れる。 トラッキングレスポンスファックスは、受け手各々に対する送信ステータスを 説明する情報を含んでいる。このファックスは、ラインビジー、ファックス着信 通知送信済み、ファックス送信済み、ファックス拒否、契約受諾、などのステー タス情報を含んでいる。 トラッキング通知は以下のとおりである。 安全ファックストラッキング通知（ファックスメッセージ） 送り手の名前、会社名、タイトル、およびファックス番号 ファックストラッキング番号 以下のものを示す受け手リスト： 名前、会社名、タイトル、およびファックス番号 送信データおよびステータス 契約ステータス 安全ファックス取り出し 安全ファックス取り出しリクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 ファックストラッキング番号 ＭＡＣ ターミナル部：（不使用） 安全ファックス取り出しレスポンス 暗号化された（レスポンス鍵）： 秘密コード 56-ビットメッセージ鍵 ステータス（未完、ｏｋ、受け手無効） ファックスイメージのメッセージダイジェスト ＭＡＣ 暗号化された（メッセージ鍵）： ファックスイメージ ＤＰＣはバイオメトリック−ＰＩＣを用いて、個人識別プロシージャに従って 取り出しリクエストを行っている個人を識別する。その個人および指定されたフ ァックスに関してＥＤＤ受け手記録が存在しない場合、ＤＰＣは、「受け手無効 」ステータスを返す。 ＤＰＣは暗号化されたファックスイメージを、正しいファックストラッキング 番号、および要求者に返信されるバイオメトリック識別とともにＥＤＤドキュメ ント記録から取り出す。 ファックスイメージは、ファックスが契約／同意のものかどうかを、および送 り手の名前、会社名、タイトル、ファックス番号、および拡張(extension)を表 示するカバーページを含んでいる。 最後の受け手がファックスの受取りあるいは拒否のどちらかを完了すると、Ｄ ＰＣは、そのファックスの送り手にファックスを介してステータス通知を送り（ 上記の安全ファックスデータ参照）、次に設定可能時間内にＥＤＤから文書およ び受け手記録を削除するように予定を立てる。この時間は、ファックスをアーカ イブするかどうかを決定するのに十分な時間を受け手に与えるためのものである 。 安全ファックス拒否 安全ファックス拒否リクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 ファックストラッキング番号 ＭＡＣ ターミナル部：（不使用） 安全ファックス拒否レスポンス 暗号化された（レスポンス鍵）： 秘密コード ステータスコード（ｏｋ、受け手無効） ＭＡＣ ＤＰＣはバイオメトリック−ＰＩＣを用いて、安全ファックス拒否リクエスト を行っている個人を識別する。ＤＰＣは、リクエストのファックストラッキング 番号および個人のバイオメトリック識別によって鍵がかけられたＥＤＤ受け手記 録を検索する。この記録が見つからない場合、リクエストは「受け手無効」ステ ータスとともに失敗する。 最後の受け手がファックスの受取りあるいは拒否のどちらかを完了すると、Ｄ ＰＣは、そのファックスの送り手にファックスを介してステータス通知を送り（ 上記の安全ファックスデータ参照）、次に設定可能時間内にＥＤＤからファック スおよびトラッキング記録を削除するように予定を立てる。この時間は、ファッ クスをアーカイブするかどうかを決定するのに十分な時間を受け手に与えるため のものである。 安全ファックスアーカイブ 安全ファックスアーカイブリクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 ファックストラッキング番号 ＭＡＣ ターミナル部：（不使用） 安全ファックスアーカイブレスポンス 暗号化された（レスポンス鍵）： 秘密コード ステータスコード（ｏｋ、個人無効） ＭＡＣ ＤＰＣはバイオメトリック−ＰＩＣを用いて、安全ファックスアーカイブリク エストを行っている個人を識別する。ＤＰＣは、リクエストのファックストラッ キング番号および個人のバイオメトリック識別によって鍵がかけられたＥＤＤ受 け手記録を検索する。この記録が見つからず、個人が送り手でも受け手の一人で もない場合、リクエストは「個人無効」ステータスとともに失敗する。そうでな ければＤＰＣは、ＥＤＤアーカイブデータベースの中に文書および受け手記録を コピーする。これら記録への以降の変更は全て、保存版へコピーされる。 安全ファックス契釣受諾 安全ファックス契約受諾リクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 ファックストラッキング番号 ＭＡＣ ターミナル部：（不使用） 安全ファックス契約受諾レスポンス 暗号化された（レスポンス鍵）： 秘密コード ステータスコード（ｏｋ、受け手無効） ＭＡＣ ＤＰＣはバイオメトリック−ＰＩＣを用いて、契約受諾リクエストを行ってい る個人を識別する。ＤＰＣは、リクエストのファックストラッキング番号および 個人のバイオメトリック識別によって鍵がかけられたＥＤＤ受け手記録を検索す る。この記録が見つからない場合、リクエストは「受け手無効」ステータスとと もに失敗する。そうでなければＤＰＣは、受け手記録の契約ステータスフィール ドを「受諾」に更新し、またファックスの送り手に対してステータス通知を生成 する（上記ファックスデータ参照）。 安全ファックス契約拒否 安全ファックス契約拒否リクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 ファックストラッキング番号 ＭＡＣ ターミナル部：（不使用） 安全ファックス契約拒否レスポンス 暗号化された（レスポンス鍵）： 秘密コード ステータスコード（ｏｋ、個人無効） ＭＡＣ ＤＰＣはバイオメトリック−ＰＩＣを用いて、契約拒否リクエストを行ってい る個人を識別する。ＤＰＣは、リクエストのファックストラッキング番号および 個人のバイオメトリック識別によって鍵がかけられたＥＤＤ受け手記録を検索す る。この記録が見つからない場合、リクエストは「受け手無効」ステータスとと もに失敗する。そうでなければＤＰＣは、受け手記録の契約ステータスフィール ドを「拒否」に更新し、またファックスの送り手に対してステータス通知を生成 する（上記ファックスデータ参照）。 安全ファックス組織変更 安全ファックス組織変更（安全ファックスメッセージ） 送り手の名前、会社名、タイトル、およびファックス番号 組織変更のリスト 組織変更は、安全ファックスメッセージを介してＤＰＣに入力される。顧客サ ポートエンジニアが、その特定の会社に個人を登録することをそのリクエストを 入力している個人が許可されているかを確認しながら、ファックスメッセージに おいてリクエストされた変更を入力する。このファックスは安全ファックスなの で、送り手の同一性は送り手のタイトル同様、確証済みである。 電子文書入力 電子文書入力リクエスト ＢＩＡ部： 4-バイト ＢＩＡ識別 4-バイト シーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリック−ＰＩＣブロック： 300-バイト 承認バイオメトリック 4-12ディジット ＰＩＣ 56-ビット レスポンス鍵 56-ビット メッセージ鍵 受け手リスト ＭＡＣ ターミナル部：（不使用） 電子文書入力レスポンス 暗号化された（レスポンス鍵）： 秘密コードテキスト トラッキング番号 ステータスコード（ｏｋ、受け手無効） ＭＡＣ ＤＰＣは、電子文書入力リクエストを受け取ると、個人識別プロシージャに従 って個人を識別する。 ＤＰＣは次にＥＤＤ文書記録を作成し、そのＥＤＤ文書記録に固有トラッキン グ番号を割り当てる。ＤＰＣは、記録の送り手識別コードを初期化して、識別し た個人のバイオメトリック識別コードとし、またメッセージ鍵を初期化して、そ のリクエストのメッセージ鍵とする。 次にＤＰＣは、受け手各々について識別バイオメトリックデータベースをサー チし、各々一人についてＥＤＤ受け手記録を作成する。各記録を、トラッキング 番号、受け手のバイオメトリック識別コード、および送信ステータス「未完」で 初期化する。受け手が一人として見つからない場合、ＤＰＣは、「受け手無効」 ステータスを返答する。 電子文書データ 電子文書データリクエスト ＢＩＡ部：（不使用） ターミナル部： トラッキング番号 コマンド（アボートあるいはデータ） ［任意のメッセージオフセット］ 完了指標(indication) 暗号化された（メッセージ鍵）： メッセージ本文 電子文書データレスポンス ステータス（未完、ｏｋ） 電子文書データリクエストにより個人が文書テキスト（一部またはそれ以上の 部分）をＥＤＤに送って、受け手への送信を行うことが可能になる。このリクエ ストはバイオメトリック識別を全く用いず、代わりに、文書テキストを安全に送 信するためのシークレットメッセージ鍵を用いている。 リクエストテキストは、ＥＤＤ文書記録に格納されるメッセージ鍵によって暗 号化されたものと仮定され、この記録に既に格納されている文書テキストに添付 される。 ＥＤＤは、「文書完全性」インジケータを伴うパケットを受け取ったとき、送 り手が文書の送信を完了したことを知る。次にＥＤＤは、インターネット電子メ ールを介してその文書の受け手全員に着信通知を送り、受け手に待期文書がある ことを知らせる。 着信通知は以下のとおりである。 電子文書着信通知（インターネットＥ−メールメッセージ） 送り手の名前、会社名、タイトル、およびｅ−メールアドレス トラッキング番号 電子文文書の受信に関する指示 ＥＤＤはまた、ＥＤＤ受け手記録のステータスを「通知済」に更新する。全て の受け手がその電子文書の取出しあるいは拒否のいずれかを完了すると、ＤＰＣ 0は、インターネット電子メールを介して、文書編成者(document originator)に ステータス通知を送る。 ステータス通知は以下の通りである。 電子文書ステータス通知（インターネットＥメールメッセージ） 送り手の名前、会社名、タイトル、およびｅメールアドレス トラッキング番号 各人の名前、会社名、タイトル、ｅ−メールアドレスを示す受け手のリスト 送信データおよびステータス ＤＰＣは、ＥＤＤ組織テーブル内の個人の会社名およびタイトル情報の各々を検 索する。 電子文書取り出し 電子文書取り出しリクエスト ＢＩＡ部： ４バイトＢＩＡ識別 ４バイトシーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリックＰＩＣブロック： ３００バイト承認バイオメトリック ４−１２ディジットＰＩＣ ５６ビットレスポンス鍵 トラッキング番号 ＭＡＣ ターミナル部：（不使用） 電子文書取り出しレスポンス 暗号化（レスポンス鍵）： 秘密コード ５６ビットメッセージ鍵 ステータス（未完、ＯＫ、受け手無効） ＭＡＣ 暗号化（メッセージ鍵）： 文書テキスト ＤＰＣは、個人識別手続きに従って、電子文書取り出しリクエストを行ってい る個人を識別するためにバイオメトリックＰＩＣを使用する。 続いてＤＰＣは、トラッキング番号及び個人のバイオメトリック識別子によっ て鍵をかけられたＥＤＤ受け手記録を発見する。 記録が発見できなければ、リクエストは「受け手無効」ステータスをもって失 敗となる。それ以外の場合には、ＤＰＣは文書のメッセージ鍵及び（メッセージ 鍵によって暗号化されたままの）文書を要求人に送る。 そしてＥＤＤは、ＥＤＤ受け手記録ステータスを「取り出し済み」に更新する 。すべての受け手が文書の取り出しあるいは拒否を行ったら、ＤＰＣは文書編成 者（上記電子文書データ参照）にインターネット電子メールでステータス通知を 送り、そして文書記録及び受け手記録（上記安全ファックス取り出し参照）の削 除の予定をたてる。 電子文書拒否 電子文書拒否リクエスト ＢＩＡ部： ４バイトＢＩＡ識別 ４バイトシーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリックＰＩＣブロック： ３００バイト承認バイオメトリック ４−１２ディジットＰＩＣ ５６ビットレスポンス鍵 メッセージトラッキング番号 ＭＡＣ ターミナル部：（不使用） 電子文書拒否レスポンス 暗号化（レスポンス鍵）： 秘密コード ステータスコード（ＯＫ、受け手無効） ＭＡＣ ＤＰＣは、個人識別手続きに従って電子文書拒否リクエストを行っている個人 を識別するためにバイオメトリックＰＩＣを使用する。 続いてＤＰＣは、トラッキング番号及び個人のバイオメトリック識別子によっ て鍵をかけられたＥＤＤ受け手記録を発見する。 記録が発見できなければ、リクエストは「受け手無効」ステータスをもって失 敗する。 ＥＤＤは、ＥＤＤ受け手記録ステータスを「拒否」に更新する。そしてＤＰＣ は電子文書取り出しにおいて述べたものと同じ通知及び削除手続きを続いて行う 。 電子文書アーカイブ 電子文書アーカイブリクエスト ＢＩＡ部： ４バイトＢＩＡ識別 ４バイトシーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリックＰＩＣブロック： ３００バイト承認バイオメトリック ４−１２ディジットＰＩＣ ５６ビットレスポンス鍵 トラッキング番号 ＭＡＣ ターミナル部：（不使用） 電子文書アーカイブレスポンス 暗号化（レスポンス鍵）： 秘密コード ステータスコード（ＯＫ、個人無効） ＭＡＣ ＤＰＣは、個人識別手続きに従って電子文書アーカイブリクエストを行ってい る個人を識別するためにバイオメトリックＰＩＣを使用する。 ＤＰＣは、リクエストのトラッキング番号及び個人のバイオメトリック識別子 によって鍵をかけられたＥＤＤ受け手記録を発見する。 記録が発見できず、その個人が送り主あるいは受け手の一人でない場合、リク エストは「個人無効」ステータスをもって失敗する。それ以外の場合には、ＤＰ Ｃは文書及び受け手記録をＥＤＤアーカイブデータベースにコピーする。それ以 降のこれらの記録に対する変更は、全て保存版にコピーされる。 電子文書アーカイブ取り出し 電子文書アーカイブ取り出しリクエスト ＢＩＡ部： ４バイトＢＩＡ識別 ４バイトシーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリックＰＩＣブロック： ３００バイト承認バイオメトリック ４−１２ディジットＰＩＣ ５６ビットレスポンス鍵 任意のタイトルインデックスコード、送信ファックス番号、内線 トラッキング番号 ＭＡＣ ターミナル部：（不使用） 電子文書アーカイブ取り出しレスポンス 暗号化（レスポンス鍵）： 秘密コード ステータスコード（ＯＫ、個人無効） ＭＡＣ ＤＰＣは、安全ファックスターミナルあるいは認可された（Certified）Ｅメ ールターミナルいずれからも、電子文書アーカイブ取り出しリクエストを受けう る。ＤＰＣは、アーカイブ取り出しリクエストを出している個人を判定するため に、個人識別手続きを使用する。個人は送り主あるいは受け手の一人でなければ ならず、それ以外の場合は、ＤＰＣはステータスコードを「個人無効」とするこ とによって、リクエストを拒否する。しかし、アーカイブ文書が法人名を用いて 送られたファックスであるならば、ＤＰＣは、その法人の位階制度上、より高い 役職名を有する更なる個人にもアーカイブ文書の取り出しを許可する。 ＥＤＤはアーカイブデータベースを保持するが、データベースは、文書の元の トラッキング番号によってインデックスされ、ＣＤ−ＲＯＭやアーカイブ文書の 取り出しにかなりの時間を要しうるテープのようなオフライン記憶媒体に格納さ れる。その結果、ＤＰＣはアーカイブ文書をすぐに返送するのではなく、それに 代えてＤＰＣが検索を開始したことを要求人に報告する。後日、ＤＰＣが検索を 終えた時、もとの文書のフォーマットに応じて、ファックスやＥメールといった 標準的な文書着信通知メカニズムによって、保存された文書が取り出せる状態に あることを要求人に通知する。ＤＰＣはＥＤＤアーカイブリクエスト記録を生成 して、要求人についての情報を格納し、それによって、検索が終了した際、ＤＰ Ｃはその文書を誰に送信すべきかを改めて知ることができる。 電子署名 電子署名リクエスト ＢＩＡ部： ４バイトＢＩＡ識別 ４バイトシーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリックＰＩＣブロック： ３００バイト承認バイオメトリック ４−１２ディジットＰＩＣ ５６ビットレスポンス鍵 文書名 文書ＭＤ５計算 ＭＡＣ ターミナル部：（不使用） 電子署名レスポンス 暗号化（レスポンス鍵）： 秘密コードテキスト 署名文字列 ＭＡＣ 電子署名リクエストを処理するため、ＤＰＣはまず、バイオメトリックＰＩＣ を用いてバイオメトリック識別を行う。そして、ＤＰＣはＥＳＤ記録を生成し、 それに固有の署名識別コードを割り当て、記録の署名フィールドをそのリクエス ト内の電子署名に設定する。そしてＤＰＣは、後の検証において提出されうる署 名文字列を返す。 ”〈Dr．Bunsen HoneyDew〉〈Explosions in the Laboratory〉5/17/95 13:00 P ST 950517000102” 電子署名検証 電子署名検証リクエスト ＢＩＡ部： ４バイトＢＩＡ識別 ４バイトシーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリックＰＩＣブロック： ３００バイト承認バイオメトリック ４−１２ディジットＰＩＣ ５６ビットレスポンス鍵 署名文字列 ＭＡＣ ターミナル部：（不使用） 電子署名検証レスポンス 暗号化（レスポンス鍵）： 秘密コードテキスト 署名文字列 ステータス（検証済み、失敗） ＭＡＣ ＤＰＣはバイオメトリック識別を行い、署名文字列から署名トラッキングコー ドを抽出し、示されたＥＳＤ記録を取り出して、それが署名文字列に一致するこ とを検証する。ＤＰＣは秘密コード及び署名の比較の結果を返す。 ネットワーククリデンシャル ネットワーククリデンシャルリクエスト ＢＩＡ部： ４バイトＢＩＡ識別 ４バイトシーケンス番号 暗号化された（ＤＵＫＰＴ鍵）バイオメトリックＰＩＣブロック： ３００バイト承認バイオメトリック ４−１２ディジットＰＩＣ ５６ビットレスポンス鍵 アカウントインデックス 銀行コード 銀行ホストネーム ターミナルポート及び銀行ポート（ＴＣＰ／ＩＰ アドレス） ＭＡＣ ネットワーククリデンシャルレスポンス 暗号化（レスポンス鍵）： 秘密コード 署名（ＤＰＣ秘密鍵）： クリデンシャル（時間、アカウント、ターミナルポート、銀行ポート） 銀行公開鍵 ステータスコード（ｏｋ，失敗） ＭＡＣ ＤＰＣはリクエストのバイオメトリックＰＩＣを用いて個人を識別し、特定さ れたインデックスに格納された個人の資産のアカウントを取り出す。アカウント インデックスが緊急アカウントなら、ネットワーククリデンシャルレスポンスス テータスコードは「失敗」と設定され、クリデンシャルは生成されない。 ＤＰＣは現在時間、取り出された資産アカウント、ターミナル及び銀行のＴＣ Ｐ／ＩＰアドレスを用いてクリデンシャルを作成する。そしてＤＰＣは公開鍵暗 号化を用いてその秘密鍵でクリデンシャルに署名する。レスポンスはまた、銀行 のパブリック鍵を含むが、これはＤＰＣが遠隔マーチャントデータベースから取 り出したものである。 顧客サポート及びシステム管理メッセージ ＤＰＣは内部メッセージに分類されるさらなるメッセージタイプを扱う。ＤＰ Ｃは一般に、非ＤＰＣシステムからのこれらのメッセージを受け付けない。その メッセージはデータベースベンダー特有である。しかし、内部ネットワークは更 なるセキュリティのためＤＥＳ暗号化パケットを用いている。 顧客サポート及びシステム管理タスクは、データベースベンダーの照会言語及 びアプリケーション開発ツールを用いて実行される。 顧客サービスタスク ・ＩＢＤ：記録の検索、起動、終了、削除、訂正 ・ＡＩＤ：承認された個人の追加または、削除 ・ＡＯＤ：記録の検索、追加、削除、訂正 ・ＶＡＤ：記録の検索、起動、終了、削除、訂正 ・ＲＭＤ：記録の検索、追加、削除、訂正 ・ＰＦＤ：記録の追加、削除、訂正 システム管理タスク ・以前の詐欺チェックの実行 ・有効なサイトリストの修正 ・ログ情報（警告、エラー等）の要約 ・ＰＩＣグループリストの修正 ・パフォーマンス監視 ・バックアップの実行 ・クラッシュ回復手続き ・ＤＰＣサイトの時間同期化 ・主要な登録サイトの変更 ・シークレットＤＥＳ暗号鍵の変更 ・古い文書トラッキング番号の削除 ・ＢＩＡハードウェア識別コード、ＭＡＣ暗号化鍵及び、ＤＵＫＰＴベース鍵の 三つ組みリスト生成。鍵読み込みデバイス用の暗号フロッピーへの格納。 ファイアウォールマシン FWマシンは、ネットワークウイルスおよびコンピュータハッカーに対する第１ 線の防御を提供する。DPCサイトへの及びDPCサイトからのすべての通信リンクは 、まず安全なFWマシンを通過する。インターネット−ローカルネットルータであ るFWマシンは、GMマシン用のメッセージを取り扱うにすぎない。BIA搭載ターミ ナルは、モデム、X.25、または他の通信媒体を介して単一のDPCサイトにパケッ トを送信する。DPCは、第三者に依存して、呼の量を取り扱うため、およびDPCバ ックボーンへデータを供給するために必要なモデムバンクを供給する。 DPCからDPCへの通信、主に配布されたトランザクションおよびシーケンスナン バの更新のために、FWマシンは、２倍の長さのDES暗号化パケットを送出する。D PC LANコンポーネントが、暗号化および復号化を取り扱い、FWは、パケットを復 号化する能力を有していない。 適切に構成されたネットワークスニファ(sniffer)は、FW用のバックアップと しての侵入者検出器として作用する。変則的なメッセージが検出された場合、侵 入するメッセージはその全体が記録されて、オペレータに警告が発され、FWはス ニファにより物理的にシャットダウンされる。FWは、内部ネットワークからイン ターネットのそれ以外の部分への送信を禁止する。 トランザクション承認要求は約400バイトを必要とし、登録パケットは約2KBを 必要とする。１秒あたり1000個のトランザクション承認および１秒あたり１個の 登録パケットを扱うために、FWマシンは１秒あたり約400KBを処理する能力があ る（すべては当該分野で知られている）。 各DPCサイトは、第三者のモデムバンクおよび他のDPCサイトへの３つのT1接続 を総合した帯域幅を必要とする。 ゲートウェイマシン GMマシン(GM)は、FWマシンを介して、外界（BIA搭載ターミナルおよび他のDP C）をDPCの内部コンポーネントにリンクする。DPCは、複数、通常２つのGMを有 する。 GMは、各BIA要求の処理を監督し、必要に応じて様々なDPCコンポーネントと通 信し、要求の暗号化結果を送り手に送り返す。このタスクを行うソフトウェアは 、メッセージプロセシングモジュールと呼ばれる。 GMは、それが受け取るすべての要求、および通信するコンポーネントからのい ずれの警告をも履歴に残す。例えば、GMは、いずれの緊急アカウントアクセス、 シーケンスナンバギャップ、および無効パケットをも履歴に残す。要求の処理は 、GMが、他のすべてのDPCにおけるGMに、DPCデータベース内の変更を通知するこ とを必要とする。これが起こると、GMは、遠隔データベースを更新するために、 配布されたトランザクションを行う。 配布されたトランザクションは、２つのカテゴリ、すなわち、同期および非同 期に分類される。同期配布されたトランザクションは、パケットの処理を続ける 前に、配布されたトランザクションの送信に関する最終決定がなされることを、 GMが待つことを必要とする。非同期配布されたトランザクションは、GMが最終決 定がなされることを待つことを必要とせず、配布されたトランザクションの送信 に関する最終決定がなされたか否かにかかわらずGMが要求の処理を終了すること を許可する。非同期配布されたトランザクションは、データベースの一貫性が絶 対に必要な事項ではないデータを更新するために用いられるのみである。シーケ ンスナンバおよびバイオメトリックチェックサム記録は、非同期に行われ得、他 方、インディビジュアルバイオメトリック記録などのデータベース記録の作成は 行われ得ない。 同期配布されたトランザクションを実行する場合に、すべてのサイトがローカ ルにトランザクションの送信に関する最終決定をすることに成功し得る場合、要 求を出すGMは、トランザクション全体が成功したと考えるのみである。そうでな い場合、GMは、ローカルに変更を取り消して、トランザクションエラーによる要 求を拒否する。 有効なDPCサイトのリストは、通常全てのサイトである。しかし、極端なサイ ト障害(failure)の場合、システム管理者は、有効なサイトのリストからそのサ イトを手動で除去し得る。しかし、配布されたトランザクションのフェイラの最 も可能性の高い原因は、いずれのDPC装置とも無関係な一時的なネットワークフ ェイラである。同期配布されたトランザクションを必要とする要求は、ネットワ ークの接続可能性が回復されるか、またはサイトが有効サイトのリストから除去 されるまで、行うことができない。サイトが有効なサイトのリストに再び追加さ れることができる前に、システム管理者は、サイトのデータベースを現在アクテ ィブなサイトのデータベースまで更新する。 各GMは、性能上の理由で、ローカルに以下のソフトウェアを実行する。 メッセージプロセシングモジュール メッセージ認証コードモジュール メッセージ復号化モジュール インディビジュアルバイオメトリックデータベースマシンリスト GMにより必要とされるメッセージの帯域幅は、FWマシンにより必要とされるも のと同様である。FDDIネットワークインターフェースは、１秒あたり100Mビット を提供し、いずれの帯域幅の必要要件をも容易にカバーしている。 DPC LAN DPCローカルエリアネットワーク(LAN)は、光ファイバトークンリングを用いて 、DPCサイトのマシンを互いにリンクする。光ファイバトークンリングは、高域 幅と良好な物理的安全性との両方を提供する。 DPC LAN上のマシンにより用いられるネットワークインターフェースは、暗号 化鍵がない場合、パケットを盗み見ることまたは傍受することを無益にする暗号 化ハードウェアを含む。暗号化鍵は、LAN上のすべてのマシン用のものと同一で あり、暗号化ハードウェア内に格納される。 適切に構成されたネットワークスニファは、FW用のバックアップとしての侵入 者検出器として作用する。変則的なメッセージが検出された場合、侵入するメッ セージはその全体が記録されて、オペレータに警告が発され、FWはスニファによ り物理的にシャットダウンされる。 メッセージプロセシングモジュール メッセージプロセシングモジュール(MPM)は、要求パケット用の処理を扱う。M PMは、そのタスクを実行するために必要に応じてDPCの他のコンポーネントと通 信する。マシン上にMPMが存在することにより、マシンはGMと呼ばれる。 MPMは、現在処理中の各要求の要求コンテキストを維持する。要求コンテキス トは、要求を行っているターミナルに対するネットワーク接続を維持するために 必要な情報、BIAデバイス情報、レスポンス鍵、およびレスポンスパケットを含 む。 メッセージ認証コードモジュール メッセージ認証コードモジュール(MACM)タスクは、送られてくるパケット上の メッセージ認証コードの有効性を証明すること、および送出されるパケットにメ ッセージ認証コードを付加することである。MACMは、BIAハードウェア識別コー ドにより鍵をかけられた112ビットのMAC暗号化鍵のメモリ内ハッシュテーブルを 維持する。 MACMは、パケットのMACの有効性を証明するようにという要求をGMから受け取 ると、まずハッシュテーブル内のパケットのハードウェア識別コードを参照する 。エントリがない場合、MACMはGMに「無効なハードウェア識別コード」エラーで あると応答する。 そうでない場合、MACMは、112ビットの暗号化鍵を用いて、パケットのBIAメッ セージ部のMACチェックを行う。MACチェックが失敗した場合、MACMはGMに、「無 効なMAC」エラーであると応答する。そうでない場合、MACMは、「有効なMAC」メ ッセージであると応答する。 パケットがマーチャントコードを含む場合、MACMはさらに、ハッシュテーブル 内のオーナ識別コードに照らしてマーチャントコードをチェックする。コードが 合致しない場合、MACMは「無効なオーナ」エラーであると応答する。 MACMは、パケット用のMACを生成するようにという要求をGMから受け取ると、 パケットのハードウェア識別コードを用いてMAC暗号化鍵を参照する。MACMは、M AC暗号化鍵で、MACを生成してパケットに付加する。MACMがハードウェア識別コ ードを見つけることができない場合、MACMは、代わりに、無効なハードウェア識 別コードエラーであると応答する。 MAMCハッシュテーブルエントリは、以下を含む。 MACMエントリ： hardwareID=int4 ownerID=int4 macEncryptionKey=int16 テーブルは、ハードウェア識別コードによりハッシュされる。 500万のBIA搭載デバイスがサービスを行っているとすると、ハッシュテーブル は、約120MBの記憶容量を必要とする。性能上の理由により、このハッシュテー ブルは、メモリ内で完全にキャッシュされる。 MACMは、アクティブなBIAハードウェア識別コードおよびアクティブな装置オ ーナを参照する記録を含むのみである。装置または装置オーナが一時使用不可能 にされるか、またはシステムから削除される毎に、MACMはその識別コードを参照 するエントリを除去する。装置がアクティベートされると、MACMはその装置用の エントリを追加する。 MAMCはまた、有効な装置データベースからMAC暗号化鍵をキャッシュする。シ ステムはBIAの暗号化鍵が変更されることを許可しないため、MACMは暗号化鍵の 更新を受け取ることに対して懸念する必要はない。 メッセージ復号化モジュール メッセージ復号化モジュール(MDM)タスクは、DUKPTトランザクション鍵を再構 築すること、およびそれによりパケットのバイオメトリック−PICブロックを復 号化することである。メッセージ復号モジュール(MDM)は、トランザクション鍵 を生成するために必要なDUKPTベース鍵のリストを維持する。 MDMは、DUKPTトランザクションカウンタとしてのパケットのシーケンスナンバ 、DUKPT不正改変不可能な安全なモジュール(すなわち「TRSM」)識別子としてのB IAハードウェア識別コードの上位22ビット、およびDUKPT鍵セット識別子として のBIAハードウェア識別コードの下位10ビットを用いて、DUPKTトランザクション 鍵を再構築する。 DUKPT標準は、トランザクション鍵がどのように生成されるかを特定する。鍵 セット識別子は、ベース鍵リストからベース鍵を参照するために用いられる。ベ ース鍵は、DES暗号化／復号化／暗号化のサイクルを介して、TRSM識別子を初期 鍵に変換するために用いられる。その後、トランザクションカウンタは、一連の DES暗号化／復号化／暗号化のサイクルとしての初期鍵を、トランザクション鍵 を生成するために適用するために用いられる。 更なる安全性のために、２つのベース鍵リストが維持される。１つは低安全性 BIAデバイス用であり、１つは高安全性デバイス用である。MDMは、デバイスの安 全性レベルに応じて、いずれのベース鍵を用いるかを選択する。 MDMベース鍵リストエントリは、以下を含む。 MDMエントリ： baseKey：int16 ベース鍵リストは、鍵セット識別子によりインデックスを付けられる。 MDMは、DUKPTベース鍵のメモリ内リストを維持する。各鍵は、112ビットを必 要とする。MDMは、1024鍵を２組必要とし、合計32KBを必要とする。MDMは、他の いずれのDPCコンポーネントにも直接依存しない。 PICグループリスト PICグループリスト(PGL)は、インディビジュアルバイオメトリックデータベー スマシンリストと共に、IBDマシンの構成を定義する。PGLは、PICの管理を簡素 化するために用いられるシステム内にPICグループのリストを格納する。PICグル ープは、一連の連続したPICコードである。PGLは、各GMマシン(GM)上に存在する 。 PGLは、PICコードを与えられると、上記PICコードを含むグループを見つける ためにPICグループのリストをサーチする。PGLはグループのリストを順序立てて 維持し、正しいグループを迅速に見つけるためにバイナリサーチを用いる。 PGLの初期構成は、全ての可能性のあるPICを含む１つの巨大なPICグループで ある。PICの閾値ナンバが割り当てられた後、巨大なPICグループは２つに分割さ れる。その後、このプロセスが全てのPICグループに適用される。 PICグループが分割されると、PGLは、早いものからサーブする(first-come-fi rst serve)様式で入手可能な記憶容量に基づいて、新しいメインおよびバックア ップIBDマシンを割り当てる。PGLは、IBDマシンと協力して、まず、影響を受け る記録を古いメインおよびバックアップマシンから新しいものにコピーし、IML 記録を更新し、最後に古いメインおよびバックアップコピーを除去する。PICグ ループを分割することは、複雑なタスクである。PGLバッチは、DPCのロードが軽 いとき、例えば夜に実行されるように、要求を分割する。 システム管理者はさらに、マシンのフリーな記憶容量が予測された量の新しい 登録を取り扱うために要するレベルを下回る場合、与えられたPICグループ用の メインおよびバックアップIBDマシンを変更し得る。 PICグループ記録用のスキーマは以下の通りである。 PICグループ： lowPin=int8 highPin=int8 used=int4 各PICグループは、固有の識別子により識別される。便宜上、PICグループ識別 コードをグループ用のlowPinコードとするが、そうでない場合システムはこの事 実に依存しない。PGLはlowPinフィールドにより鍵をかけられる。 PGLグループは、約3000グループを含むと予測される（各PICグループは約1000 のアクティブなPICを含むが、数百万の実際のPICをカバーし得る）。PGL全体は 、約72KBの記憶容量を要し、メモリ内で完全にキャッシュされる。 PICグループが追加、マージ、または分割されると、PGLはIBDマシンリストに 変更を通知し且つ１つのIBDマシンから別のIBDマシンへのIBD記録の移動を指示 する責任がある。 インディビジュアルバイオメトリックデータベースマシンリスト IBDマシンリスト(IML)は、PICグループリストと共に、IBDマシンの構成を分類 する。IMLは、PICコードを、PIC用のIBD記録を格納するメインおよびバックアッ プIBDマシンにマッピングする。IMLは実際、個々のPICではなくPICグループ（連 続したPICコードのセット）により鍵をかけられる。なぜなら、この方が、リス トを格納するために要するメモリが減少するからである。IMLは各GMマシン(GM) 上に存在する。 GMがバイオメトリック識別子を必要とする要求を処理すると、GMは、バイオメ トリックのPICグループにより鍵をかけられたIML記録を見つける。そうすると、 GMは、バイオメトリック識別子用に用いるべきメインおよびバックアップIBDマ シンを知る。 IMLリストエントリ用のスキーマは以下の通りである。 マシンペア： pinGroup=int8 main=int2 backup=int2 IMLはpinGroupにより鍵をかけられる。 IMLは、約3000のエントリ（PICグループの数）を含むと予測される。各マシン ペア記録は12バイトであって約36KBの記憶容量を要し、メモリ内に完全にキャッ シュされる。IBDマシンの構成のいずれの変更もが、IMLに反映されることになる 。更に、IMLは、PICグループリストが改変されるとIMLもまた更新されるように 、鍵用にPICグループを用いる。 シーケンスナンバモジュール シーケンスナンバモジュール(SNM)の主要な機能は、パケットのシーケンスナ ンバの有効性を証明することによりレプレイ攻撃を防ぐことである。その二次的 なタスクは、遠隔DPCサイトの他のSNMにシーケンスナンバの更新を通知すること により再入力攻撃の影響を最小にすること、および有効な装置データベース内の シーケンスナンバを定期的に更新することである。SNMは、BIAハードウェア識別 コードによって鍵をかけられたシーケンスナンバのメモリ内ハッシュテーブルを 維持して、パケットシーケンスナンバの迅速な有効性証明を可能にする。 SNMは、与えられたハードウェア識別コードとシーケンスナンバに対する有効 性証明要求をGMから受け取ると、ハッシュテーブル内のハードウェア識別コード を参照する。エントリが存在しない場合、SNMはGMに「無効はハードウェア識別 コード」エラーであると応答する。 そうでない場合、SNMは、ハッシュテーブルエントリ内に格納されたシーケン スナンバに照らして与えられたシーケンスナンバをチェックする。シーケンスナ ンバが格納されたシーケンスナンバ以下である場合、SNMは「無効なシーケンス ナンバ」エラーであると応答する。そうでない場合、SNMは、ハッシュテーブル エントリ内のシーケンスナンバを、上記与えられたシーケンスナンバに設定して 、 「有効なシーケンスナンバ」メッセージであると応答する。 SNMはしばしばシーケンスナンバギャップを観察し得る。シーケンスナンバギ ャップは、SNMがハッシュテーブルエントリ内に格納されたシーケンスナンバよ りも１を越えた分だけ大きいシーケンスナンバを受け取るときに起こる。換言す ると、シーケンスナンバはスキップされた。 SNMは、シーケンスナンバギャップを発見すると、「有効なシーケンスナンバ 」メッセージに代えて「シーケンスナンバギャップ」メッセージであるとGMに応 答する。GMは、パケットを有効なものとして扱うが、また「シーケンスナンバギ ャップ」警告を履歴に残す。 シーケンスナンバギャップは通常、ネットワーク接続可能性が失われたとき、 例えば、パケットがドロップしたり、あるいはネットワークが回復して作動する まで送信できないときに起こる。しかし、シーケンスナンバギャップは、詐欺的 な理由によっても起こる。悪意のある者が、パケットを傍受してDPCに到着する ことを妨げること、あるいは、パケットを偽造することさえあり得る（すぐに拒 否されないように大きなシーケンスナンバで）。 SNMの二次的機能は、更新されたシーケンスナンバを他のDPCに通知することで ある。すべてのDPCサイトにおいてシーケンスナンバを迅速に更新することは、 悪意のある者が１つのDPCサイトに向けられたパケットをモニタして、１つのDPC サイトから別のDPCサイトへのシーケンスナンバ更新の送信遅延を利用すること を期待して即刻異なるDPCサイトにコピーを送り、その結果、第１のサイトのみ がパケットを受け入れるべきときに両方のサイトがパケットを有効なものとして 受け入れるという、再入力攻撃を防ぐ。 SNMは、有効なシーケンスナンバを受け取る毎に更新メッセージを互いに送信 し合う。SNMは、ハッシュテーブル内に現在格納されているシーケンスナンバ以 下のシーケンスナンバへの更新メッセージを受け取った場合、シーケンスナンバ 再入力警告を履歴に残す。すべての再入力攻撃はこのようにして検出される。 再入力攻撃を完全に防ぐ、より簡単な方法は、１つのSNMのみにパケットの有 効性を証明させることてある。このスキームの場合、再入力攻撃で利用される更 新遅延ウィンドウはない。あるいは、同一のBIA搭載デバイス用のシーケンスナ ンバの有効性の証明を取り扱うSNMがない場合、複数のSNMが同時にアクティブに なり得る。 SNMは、ブートアップすると、VAD内に格納されたアクティブなBIA用のシーケ ンスナンバから、シーケンスナンバハッシュテーブルをロードする。SNMは、１ 日に１度、現在のシーケンスナンバを、ローカルな有効装置データベース(VAD) にダウンロードする。 VADは、SNMハッシュテーブルを最新の状態に維持するためにアクティベートま たはディアクティベートされるいずれのBIA搭載デバイスに対しても、エントリ 追加およびエントリ除去メッセージをSNMに送信する責任を有する。 SNMハッシュテーブルエントリは、以下を含む。 SNMエントリ： hardwareID=int4 sequenceNumber=int4 ハッシュテーブルは、hardwareIDによって鍵をかけられる。 約500万のBIA搭載デバイスがサービスを行っているとすると、約40MBのハッシ ュテーブルが必要である。 SNMは、有効な装置データベースに依存する。装置が一時使用不可能にされる かデータベースから除去されると、SNMは対応するエントリを除去する。装置が アクティベートされると、SNMはそのためのエントリを作成する。 SNMは、１秒あたり1000の更新シーケンスナンバメッセージを処理するために １秒あたり約8KBの送信帯域幅を必要とする。更新シーケンスナンバメッセージ は、実際に送られるメッセージの数を最小にするために、バッファに保持されて １秒に１度送出される。 発行者データベース 発行者データベース（ＩＤ）は、システムを通じてその資産アカウントへのア クセスが許される銀行及び他の金融機関についての情報を格納している。発行機 関は、資産アカウント番号を、与えられた個人のＩＢＤ記録に追加したりそこか ら除去したりできる、唯一の存在である。 ＤＰＣは、ＩＤを使用して、発行者ターミナルの発行者コードを含む記録を求 めてＩＤをサーチすることによって、発行者ターミナルからのリクエストの有効 性を検査する。記録に格納された所有者の識別子は、発行者ターミナルに記録さ れたＢＩＡのための有効装置データベースに格納された所有者と、一致しなけれ ばならない。 発行者記録のためのスキーマは、 発行者記録： issuerCode＝int6 ownerId＝int4 name＝char50 phoneNumber＝char12 address＝char50 zipCode＝char9 である。 発行者データベースは、issuerCodeによって鍵をかけられる。 発行者データベースは、約100,000のエントリィを取り扱う。各々のエントリ は、２ＭＢより少なく要求する127バイトである。ＩＤのコピーが、各々のＧＭ に格納される。 発行者データベースは、他の何れのＤＰＣコンポーネントにも、直接の依存性 を有さない。 電子文書データベース 電子文書データベース（ＥＤＤ）は、特定の個人に向けられたファックスイメ ージや電子メールメッセージのような電子文書を格納し、且つトラックする。そ れはまた、会社組織のチャートを維持して、送り手及び受け手の両方の公式な肩 書きを提供する。ＥＤＤはまた、送り手或いは受け手のリクエストに応じて文書 をアーカイブし、システムを通じて提出された契約同意事項に、中立の第３者の 検証を与える。 ＤＰＣは、個人からファックス或いは他の電子文書を受領すると、ＥＤＤ文書 記録を生成して、承認された受け手によってピックアップされるまで、その文書 を格納する。 ファックス文書に関しては、受け手は、ファックス番号及び内線によって特定 される。他の電子文書に関しては、受け手は、電子メールアドレスによって特定 される。ＤＰＣは、ファックス番号及び内線或いはｅメールアドレスによって個 々の受け手を求めて、組織記録を調べる。もし、記録が発見されないと、ＤＰＣ は次に、受け手がｅメールアドレスによって特定されるときにのみ、個人バイオ メトリック記録を見る。個々の受け手に関して、ＤＰＣは、文書、及び、もし発 見された場合には組織或いはＩＢＤ記録によって特定された受け手のバイオメト リック識別子、の両方を参照する受け手記録を生成する。ＤＰＣは、システムに 登録されていない受け手を許容するが、そのときにはＤＰＣは、これらの受け手 に対する配達或いは機密性を保証できない。 ＥＤＤは、十分にフレキシブルであって、ファックス文書が個人のｅメールア ドレスに送られたり、ｅメールメッセージがファックス番号に送られることを、 許容する。 文書上にシステムによって電子署名が置かれていない間は、システムは、証明 されたＥメール或いはセキュリティファックスターミナルによって受領（或いは 復号）されたメッセージが個人によって送られたことを、暗号化を通じて保証す る。 組織の正式に承認されたオフィサーは、ＤＰＣへのファックス或いは電子メッ セージへの肩書きの割り当て及びファックス番号への内線の割り当て、メンバの 肩書きやファックス番号の更新、或いは、いなくなったメンバの削除、を確実に 行う。 個人が組織のツリーから削除されると、ＤＰＣは、内線番号を１年間引き上げ る。この引き上げ期間は、その内線番号でのコンフィデンシャルファックスを彼 がもはや受領することができず、従って、その内線において、彼或いは彼女を意 図していないファックスを受領し得る可能性がある他の誰かを組織が誤ってアク ティベートすることがない旨を、コンフィダントに伝えるための個別の十分な時 間を許容する。 ＥＤＤは、文書の送り手或いは受け手の一人によってリクエストされたときに 、文書及び受け手記録のコピーを含むアーカイブデータベースを維持する。アー カイブデータベースは、ＣＤ−ＲＯＭの上に定期的に移動される。 ＥＤＤは、３つの記録タイプを有する： 文書記録： documentNumber＝int8 senderId＝int4 documentFax＝fax documentText＝text messageKey＝int8 status＝int1 受け手記録： documentNumber＝int8 recipientId＝int4 recipientFaxNumber＝char12 recipientFaxExtension＝char8 recipientEmailAddr＝text receivedBy＝int4 lastModified＝time deliveryStatus＝int1 contactStatus＝int1 アーカイブリクエスト記録： biometricId＝int4 documentNumber＝int8 requestorFaxNumber＝char12 requestorFaxExtension＝char8 requestorEmailAddr＝text 組織記録： biometricId＝int4 registeredBy＝int4 company＝text title＝text faxNumber＝char12 faxExtension＝char8 emailAddr＝text activeDate＝time priv＝int2 status＝int1 文書記録ステータスフィールドは、 ０：incomplete １：ok の一つである。 受け手記録デリバリステータスフィールドは、 ０：incomplete １：notified ２：rejected ３：retrieved ４：retrieved unsecured ５：busy の一つである。 受け手記録コントラクトステータスフィールドは、 ０：none １：accepted ２：rejected の一つである。 組織記録ステータスフィールドは、 ０：active １：suspended の一つである。 組織記録privsフィールドは、ＤＰＣがその個人にどの特権を許容するかを示 すために使用される。 ０：registration 文書、受け手、及びアーカイブ取り出し記録は、documentNumberによって鍵を かけられる。組織記録は、biometricIdによって鍵をかけられる。ＥＤＤは、文 書のsenderIdフィールド、受け手のrecipientIdフィールド、及び組織の会社名 及び肩書きフィールドに、副インデックスを維持する。 ＥＤＤのストレジ要求は、主として、それが格納しなければならないファック スのページ数に依存する。なぜなら、ｅメールメッセージは、ファックスページ に比べて比較的に小さいからである。各々のファックスページは、約１１０ＫＢ のストレジを必要とする。１つのファックス毎に４ページ、一人一日当たり２つ のファックスであって、３千万台のファックス機があるとすれば、ＥＤＤは、１ 日分のファックスをスプールするために、２４ＧＢのストレジを必要とする。 文書は、ＢＩＡ暗号化メカニズムを使用して、暗号化されたシステムへ、及び そこから、送られる。しかし、暗号化の鍵は、文書と同じデータベースに格納さ れている。文書は、偶然の開示を防ぐために、暗号化された形式で残される。し かし、システムに格納された文書のセキュリティに関心がある個人は、付加的な 暗号化それ自身のために、何らかのアレンジメントを行う。 各々のファックスページは約１１０ＫＢを必要とし、そのことは、1.54MBits ／秒のスループットを有するＴ１接続が、１秒当たり1.75ファックスページを取 り扱えることを意味している。 電子署名データベース 電子署名データベースは、システムによって生成された全ての電子署名を認証 してトラックする。 システムのメンバである個人は、バイオメトリックＰＩＣとともに文書に関す る１６バイトの「メッセージダイジェスト」を提出して、永久にシステムにおけ るファイル上に残る「デジタル署名」を得る。このデジタル署名は、個人の名前 、バイオメトリック識別子、承認された署名記録番号、文書のタイトルを、文書 が署名された時刻印とともにコード化する。 署名を検証するために、文書に関するメッセージダイジェストが（例えばＲＳ ＡのＭＤＳを使用して）最初に計算されて、文書の署名タグと共に送られる。Ｅ ＳＤは、署名タグを調べて、データベースに格納されたメッセージダイジェスト に対して、つい最近計算されたメッセージダイジェストの有効性を検査する。 電子署名のためのスキーマは、 電子署名： signatureNumber＝int8 signer＝int4 documentName＝text checksum＝int16 date＝time である。 署名者は、文書に署名する個人に対するバイオメトリック識別コードである。 電子署名記録は、signatureNumberによってハッシュされる。 １ＧＢの副ストレジ毎に、電子署名データベースは、2700万の記録（各記録は 約３２バイト）を格納する。 ＥＳＤは、署名者のバイオメトリック識別子に対する依存性を有する。これら の署名は、本質的に永久に有効であるので、ＥＳＤ記録は、システムが署名者の 個人バイオメトリック記録を削除するときに、除去されない。これは、ＩＢＤが バイオメトリック識別子を決して再利用しないことを必要とする旨に、留意され たい。 リモートマーチャントデータベース リモートマーチャントデータベース（ＲＭＤ）は、電話、ケーブルテレビネッ トワーク、或いはインターネットを通じて商品やサービスを提供するマーチャン トに関する情報を格納する。適切に備えられたターミナルを使用して個人によっ て送られた各オーダは、マーチャントのオーダターミナルを通じてシステムにル ートされる。 個人のリモートトランザクションの承認がＤＰＣによって受領され、且つＭＡ Ｃの有効性が検査されると、マーチャントコードがＲＭＤのマーチャントコード と比較される。マーチャントコードは、それが電話番号、マーチャント−製品ク レデンシャル、或いはインターネットアドレスであれば、ＲＭＤ記録の中におい て、正しいマーチャント識別コードの下に存在し、そうでなければ、ＤＰＣター ミナルがリクエストを終了して、無効なマーチャントコードエラーを送り手のＢ ＩＡターミナルデバイスに送り返す。 リモートマーチャント記録のためのスキーマは、 リモートマーチャント： merchantId＝int4 merchantCode＝char16 merchantType＝int1 publicKey＝int16 である。 リモートマーチャントのmerchantTypeは、 ０：telephone １：ＣＡＴＶ ２：Internet の一つである。 merchantId及びmerchantCodeは、どちらも主要な鍵である。２つのＲＭＤ記録 が同じmerchantId及びmerchantCodeの組合せを有することはない。 約100,000のリモートマーチャントが存在するとすれば、ＲＭＤは、必要とさ れる約2.4ＭＢのストレジの総量のために、１記録当たり約２４バイトを必要と する。ＲＭＤは、他のＤＰＣコンポーネントの何れに対しても直接の依存性を有 さない。 システムのパフォーマンス 鍵となるパフォーマンス数は、ＤＰＣが１秒当たりいくつの金融承認トランザ クションを取り扱えるかである。 ＧＭにおいて： １．ＭＡＣＭがＭＡＣをチェックする（ローカル） ２．ＳＮＭがシーケンス番号をチェックする（ネットワークメッセージ） ３．ＭＤＭがバイオメトリック−ＰＩＣブロックを復号する（ローカル） ４．ＩＢＤマシンを見つける（ローカル） ５．識別リクエストをＩＢＤマシンに送る（ネットワークメッセージ） ＩＢＤマシンにおいて： ６．ＰＩＣのための全てのＩＢＤ記録を取り出す（ｘがバイオメトリック記録 を格納するために必要とされるページ数であるときに、ｘ回のシーク及びｘ回の 読み出し） ７．各記録毎に、その主バイオメトリックに対して比較する（ｙが取り出され た記録数であるときに、ｙ／２ｍｓ） ８．適切なマッチングがなければ、ステップ９を繰り返すが、副バイオメトリ ックに対して比較する（ｙが取り出された記録数であり、ｚがマッチングが発見 されない確率であるときに、ｚ×ｙ／２ｍｓ） ９．ベストマッチングのＩＢＤ記録のチェックサム列を更新して、可能性のあ るリプレイアタックをチェックする（１回のシーク、１回の読み出し、及び１回 の書き込み） １０．ベストマッチングのＩＢＤ記録、或いはみしマッチングが十分に近くな いときにはエラーを、戻す（ネットワークメッセージ） ＧＭにおいて： １１．外部プロセッサでリクエストを承認する（ネットワークメッセージ） １２．ＧＭがレスポンスを暗号化してＭＡＣする（ローカル） １３．レスポンスパケットを送り返す（ネットワークメッセージ） 全ディスクコスト： ｘ×（ｓ＋ｒ）＋ｙ／２×（１＋ｚ）＋ｓ＋ｒ＋ｗ＋５×ｎ ＝（ｘ＋１）×（ｓ＋ｒ）＋ｙ／２×（１＋ｚ）＋ｗ＋５×ｎ ［ｘが２０であり、ｙが３０であり、ｚが５％であり、ｓ＝１０ｍｓ、ｒ＝０ｍ ｓ、ｗ＝０ｍｓ、ｎ＝０ｍｓであるとすれば］ ＝２１×１０ｍｓ＋１５×１．０５ｍｓ ＝２２６ｍｓ ＝４．４ＴＰＳ ［ｘが１０であり、ｙが１５であり、ｚが５％であり、ｓ＝１０ｍｓ、ｒ＝０ｍ ｓ、ｗ＝０ｍｓ、ｎ＝０ｍｓであるとすれば］ ＝１１×１０ｍｓ＋７．５×１．０５ｍｓ ＝１１８ｍｓ ＝８．４ＴＰＳ ［ｘが１であり、ｙが１であり、ｚが５％であり、ｓ＝１０ｍｓ、ｒ＝０ｍｓ、 ｗ＝０ｍｓ、ｎ＝０ｍｓであるとすれば］ ＝２×１０ｍｓ＋¹/₂×１．０５ｍｓ ＝２１ｍｓ ＝４７ＴＰＳ バックアップＩＢＤマシンが、やはり２重に有効なＴＰＳをリクエストする。 最悪のケース（２つのマシンが使用されている）： Individuals/PIC ＴＰＳ ３０ ８ １５ １６ １ ９４ 平均のケース（２０のマシンが使用されている）： Individuals/PIC ＴＰＳ ３０ ８８ １５ １６８ １ ９４０ 最良のケース（４０のマシンが使用されている）： Individuals/PIC ＴＰＳ ３０ １７６ １５ ３３６ １ １８８０ 上記は、商業的に存立し得る方法によって実行可能なシステムのある構成の、 単なる一例である。しかし、本発明が、より速いコンピュータ、より多くのコン ピュータ、及び他のそのような変化を盛り込み得る他の多くの方法によって構成 され得ることが、期待される。 ターミナルプロトコルフローチャート 以下のプロトコルフローのセットは、特定のターミナル、ＤＰＣ、付属された ＢＩＡ、及びクレジット／デビットプロセッサなどの他の関係者の間でのやりと りを記述する。 小売ＰＯＳターミナル この場合、ＲＰＴターミナルは、小売ＢＩＡ及びＤＰＣと通信して、トランザ クションを承認する。トランザクション量は452.33であって、個人のアカウント は4024-2256-5521-1212であって、マーチャントコードは123456であって、個人 のプライベートコードは「私はそれを完全に確信している」である。 RPT → BIA set Language 〈英語〉 BIA → RPT Ok RPT → BIA Get Biometric 〈２０〉 BIA/LCD: 〈明るくされたパネルに指を置いて下さい〉 個人がスキャナに指を置く BIA → RPT Ok RPT → BIA Get Pin 〈４０〉 BIA/LCD: 〈あなたのＰＩＣを入力し、その後に〈enter〉を押して下さ い〉 個人がＰＩＣを入力し、その後に〈enter〉する BIA → RPT Ok RPT → BIA Get Account Number 〈４０〉 BIA/LCD: 〈あなたのアカウントインデックスコードを入力し、その後に 〈enter〉を押して下さい〉 個人がコードを入力し、その後に〈enter〉する BIA → RPT Ok RPT → BIA Validate Amount 〈452.33〉〈４０〉 BIA/LCD: 〈452.33という量はＯＫ？〉 個人がＯＫを入力する BIA → RPT Ok 装置オーナーデータベース 装置オーナーデータベース（ＡＯＤ）は、ＢＩＡ−装備の装置を所有する個人 または組織の情報を蓄積する。この情報は、金融上の貸方と借方のトランザクシ ョンのための資産アカウント情報を提供し、そして特定な個人または組織が所有 する全てのＢＩＡの識別を可能にするために、ＢＩＡ装置は正当なオーナーによ ってのみ使用さるということの、２重のチェックを行うために使用される。 ＤＰＣが、オーナーのＢＩＡ−装備の装置の１つにより寄託される金融上のト ランザクションを処理する時、各々のＡＯＤレコードは、オーナーの貸方と借方 の資産アカウントを含む。例えば、販売拠点の小売り地点に取り付けられたＢＩ Ａから寄託されたトランザクションは、資産アカウントに対する貸方を含み、一 方、認可された電子郵便トランザクションは資産アカウントの借方となる。 装置オーナーのレコードの概要は 装置のオーナー： ownerId＝int４ name＝char５０ address＝char５０ ZipCode＝char９ assetAccont＝char１６ status＝int１ ステータス領域の１つは： ０：停止 １：動作 装置オーナーデータベースは、オーナーＩｄによって鍵がかかる。 ＡＯＤは、約２百万の装置オーナーレコードを記憶すると予想される。約２６ ０ＭＢの記憶領域を必要とする。各エントリは１３０バイトとなる。ＡＯＤは、 オーナー識別コードによって鍵がかかるハッシュドファイルとして記憶される。 ＡＯＤのコピーは各々のＧＭに蓄えられる。 登録がＡＯＤから削除または停止される時、これらの装置オーナーを参照する いかなる正当なデータベース装置記録も停止としてマークされる。さらに、ＭＡ Ｃモジュールとシーケンスナンバーモジュールは停止された装置に対するそれら の登録を削除する。 正当な装置のデータベース 正当な装置のデータベース（ＶＡＤ）は、現在までに製造されたＢＩＡの全て を表す記録の集大成である。ＢＩＡが作動しているか、送信待ちか、または破壊 されたとしてマークされているかの表示と共に、ＶＡＤ記録は、各ＢＩＡのため のメセージ認証コードの暗号化鍵を持っている。ＢＩＡからのメセージを復号化 するためには、ＢＩＡが存在してＶＡＤ内にアクティブなレコードを持たなけれ ばならない。 製造時、各々のＢＩＡは固有の公開識別コードと固有のＭＡＣの暗号化鍵とを 有し、これらは共にＢＩＡの展開の前にＶＡＤレコードに入れられる。 ＢＩＡは最初に構成される時、固有のハードェア識別コードを与えられる。Ｂ ＩＡが使用される時、そのハードェア識別コードはシステムにおいて登録される 。最初、そのオーナーもしくはＢＩＡの信用できる団体は装置オーナーデータベ ース（ＡＯＤ）の中に入れられる。次に、ＶＡＤレコードは、ＡＯＤ記録にポイ ントされ、そしてＢＩＡは、アクティブにセットされる。ＢＩＡからの要求はＤ ＰＣによって受け入れられる。 ＢＩＡは使用から除外される時は、非アクティブとしてマークされ、そしてＡ ＯＤ記録へのリンクは壊される。ＢＩＡからの通信は受け入れられない。 各ＢＩＡタイプおよびモデルには、物理上のセキュリティレベルであるセキュ リティレベルが割り当てられている。ＤＰＣは、そのＢＩＡからの要求を処理す る時、どの種類の動作が許可されるかを判定するためにＢＩＡのセキュリティレ ベルを使用する。ＤＰＣは、また外部の金融トランザクション認証サービスにセ キュリティレベルを提供する。 認証サービスも、リスクに基づいてトランザクションのためにどれほどチャー ジするかのガイドとしてセキュリティレベルを使用できる。セキュリティレベル とそれらが許可する動作は、操作において決定される。 正当な装置のレコードの概要は 正当な装置： hardwareId＝int４ macEncryptionKey＝int１６ ownerId＝int８ mfgDate＝time inServiceDate＝time securityLevel＝int２ status＝int１ type＝int１ use＝int１ ステータスフィールドの可能な数値は： ０：停止 １：動作（アクティブ） ２：破壊 タイプフィールドの可能な数値は（各ターミナルタイプに対して１つ）： ０：ＡＴＭ １：ＢＲＴ ２：ＣＥＴ ３：ＣＰＴ ４：ＣＳＴ ５：ＥＳＴ ６：ＩＰＴ ７：ＩＴ ８：ＩＴＴ ９：ＰＰＴ １０：ＲＰＴ １１：ＳＦＴ 使用フィールドの可能な数値は： ０：リテイル １：個人 ２：発行人 ３：遠隔 正当な装置のデータベースはハードウェアの識別コードによって鍵がかかる。 ＶＡＤは約５百万のリテイル、発行人、および遠隔の正当な装置エントリを扱 う。各エントリは５１バイトとなり、合計約２５５ＭＢを必要とする。ＶＡＤは 、ハードウェア識別コードによって鍵がかかるハッシュドファイルとして記憶さ れる。ＶＡＤのコピーは各ＧＭ上に記憶される。 個人的な正当な装置エントリの数は、３千万の範囲であり、１．５ＭＢの記憶 領域を必要とする。 ＶＡＤレコードがステータスに変わる時、ＭＡＣモジュールおよびシーケンス ナンバーモジュールは、そのステータスの変化について通知される。例えば、装 置がアダプティブになると、ＭＡＣＰ及びＳＮＭは、新しくアダプティブとなっ た装置のエントリを追加する。装置が非アダプティブになると、ＭＡＣＰ及びＳ ＮＭは、その装置のエントリを削除する。 個人バイオメトリックデータベース 個人バイオメトリックデータベース（ＩＢＤ）レコードは個人の情報を記憶し 、それらは、１次的、２次的なバイオメトリック、ＰＩＣコード、金融資産アカ ウントのリスト、プライベートコード、緊急アカウント、アドレス、そして電話 番号を含む。個人は、これらのＳＳＮと電子メールアドレスを選択的に持ってい る。この情報は、バイオメトックか個人情報のどちらかによって個人を識別する か、アカウントの情報にアクセスするか、または追加された検証のためアドレス または電話番号を遠隔のトランザクション者に提供するために必要である。 世界規模のリテイル銀行組織内で、またはローカルシステムオフィス内に位置 する登録されたバイオメトリック登録ターミナルでの個人記録プロセスの間に、 個人はシステムに追加される。登録の間、個人は、その個人識別ナンバーを選択 し、そして、そのバイオメトリックとＰＩＣコとの組み合わせに金融資産アカウ ントを追加する。 個人は、発行ナンバーによって不正活動が報告されると、データベースから削 除され得る。これが起こると、認可された内部システムの代表によって、個人の アカウント情報はＩＢＤから以前の詐欺データベース（ＰＦＤ）に移動される。 ＰＦＤ内のレコードにためのバイオメトリックＩｄはＩＢＤ内のレコードのため に使用されない。 そのＩＢＤは、複数の装置に存在し、各々の装置は、過剰と負荷分担の両方に 対して、２つの異なる装置に記憶された各レコードのコピーと共にＩＢＤレコー ドの下位集合に責任がある。 個人バイオメトリックレコードの概要は： 個人バイオメトリック： primaryBiometric＝Biometric secondaryBiometric＝Biometric BiometricId＝int４ ＰＩＣ＝char１０ phoneNumber＝char１２ lastName＝char２４ firstName＝char２４ middleInitial＝char２ ＳＳＮ＝char９ privateCode＝char４０ address＝char５０ ZipCode＝char９ publicKey＝char６４ checksums＝int４［１０］ accontLinks＝char３０［１０］ emergencyIndex＝char１ emergencyLink＝char１ privs＝char１０ enroller＝int８ emergencyUseCount＝int４ status＝int１ ステータスフィールドは次の１つ： ０：停止 １：動作 ２：以前の詐欺 ＩＢＤはＰＩＣによって鍵がかけられる。 各々のＩＢＤ装置は、ＩＢＤへのアクセスを容易にするため、個人のセキュリ ティナンバー、バイオメトリック識別コード、ラストネーム、ファーストネーム 、そして電話番号について付加的なインデックスを持っている 各ＩＢＤ装置は１つ以上のＲＡＩＤデバイスによって提供される４０ＭＢの２ 次記憶装置を持っている。各々のＩＢＤレコードは、バイオメトリックが各々１ Ｋと仮定すると２６５８バイトであり、装置あたり１５百万レコードまで可能で ある。ＩＢＤレコードは、ＰＩＣ上の（おそらく群状の）２次インデックスを使 って記憶される。インデックスはメモリーに記憶され、６４ＭＢ（６４ＭＢイン デックスは約１６百万のエントリを扱う）しか必要としない。３億の個人のため のレコードを記憶するためには、ＤＰＣは、少なくとも４０のＩＢＤ装置が、主 記憶装置として２０個のＩＢＤ装置およびバックアップとしてさらに２０個が必 要となる。 ＩＢＤ装置の数は、登録される個人の数によって容易に増減される。 ＩＢＤ装置、ＰＩＣグループリスト、そしてＩＢＤ装置リストは、どのＰＩＣ がどの装置上のあるのかによって、最新のもので残される。ＰＩＣグループが再 構成されるか、またはＰＩＣグループのメインとバックアップが変わる時、ＩＢ Ｄ装置は、これらのデータベースとインデックスを適切に更新する。 承認された個人データベース 各々の発行人または個人のＢＩＡ装備デバイスに対して、認可された個人デー タベース（ＡＩＤ）は、デバイスのオーナーによって使用が承認された個人のリ ストを保持する。 ＡＩＤは次の２つの理由にために存在する。その第一理由はターミナルに限さ れたアクセスを提供することである。例えば、発行人のターミナルは、承認され た銀行の代表によってのみ使用され得る。ＡＩＤの第２の理由は、犯罪者が電話 ターミナルの個人のＢＩＡに秘密裏に置き換え、リテイルＰＯＳターミナルのＢ ＩＡを販売拠点のリテイル点において、すべての購入物を犯罪者によって設定さ れた遠隔のトランザクション者のアカウントに仕向けるのを防ぐことである。 承認された個人のレコードの概要は： 承認された個人： hardwareId＝int４ biometricId＝int４ HardwareＩｄは、正当な装置のデータベースにおけるレコードを意味し、そし てbiometricＩｄは、個人のバイオメトリックデータベースを意味する。 ＤＰＣは、個人が個人または発行人ＢＩＡデバイスを利用することが承認される かどうかのチェックが必要なときはいつでも、ＤＰＣは、正しいHardwareＩｄと biometricＩｄとを持つ承認された個人レコードの存在をチェックする。 個人ＢＩＡデバイスは、正当な装置のデータベースにおいて１（個人）に設定 された使用フィールドによって識別される。発行人ＢＩＡデバイスは正当な装置 のデータベースにおいて２（発行人）に設定された使用フィールドによって識別 される。 各発行人のターミナルは、それを使うことが承認された１０の個人を持ち、各 個人デバイスが、２つの追加の承認された個人を持ち、サーバ内には１，０００ ，０００の個人デバイスがあるとすると、ＡＩＤの蓄積は： １０×１００，０００＋２×１，０００，０００−３，０００，０００エントリ を記憶する。データベース全体は約２４ＭＢの記憶領域を必要とする。 承認されたオーナーデーターベースレコードまたは正当な装置データベースレ コードが削除される時、それらを参照している全ての承認された個人レコードが 削除される。 以前の詐欺のデータベース 以前の詐欺のデータベース（ＰＦＤ）は、過去におけるある時点でだまされた メンバー発行人を持つ個人を表わすレコードの集大成である。ＰＦＤはまた、Ｐ ＦＤ内に一致した記録を持つＩＢＤ内の個人を除去するため、低いシステム動作 期間の間、背景のトランザクションを走らせる。 個人が再度登録を試みていることを検出しない限り、システムは、自動的に個 人をＰＦＤ内に入れることはない。個人をＰＦＤに置くことは、本明細書の範囲 外の微妙な施策事項である。 新しいＩＢＤレコードがアクティブであるとしてマークされる前に、個人の１ 次的そして２次的なバイオメトリックスは、個人の識別手続きで使用されるもの と同じバイオメトリック比較技術を用いてＰＦＤにおける各々のそして全てのバ イオメトリックに対してチェックされる。新しいＩＢＤレコードに一致が見つか ると、ＩＢＤレコードのステータスは「以前の詐欺」に設定される。以前の詐欺 のチェックが、登録要求の一部として実行される場合は、ＧＭは「以前の詐欺を 持つ個人を登録中」という警告を出す。 ＰＦＤは、比較的小さいままであると仮定する。自発的でないバイオメトリッ クサーチのため、ＰＦＤを動かすコストは、高い。 以前の詐欺レコードの概要は： 以前の詐欺： primaryBiometric＝Biometric secondaryBiometric＝Biometric BiometricId＝int４ ＰＩＣ＝char１０ phoneNumber＝char１２ lastName＝char２４ firstName＝char２４ middleInitial＝char２ ＳＳＮ＝char９ privateSignal＝char４０ address＝char５０ ZipCode＝char９ publicKey＝char６４ checksums＝int４［１０］ accontLinks＝char３０［１０］ emergencyIndex＝char１ emergencyLink＝char１ privs＝char１０ enroller＝int８ emergencyUseCount＝int４ status＝int１ ステータス領域は次の１つ： ０：停止 １：動作（アクティブ） ２：以前の詐欺 ＰＦＤは、バイオメトリック識別コードによって鍵をかけられる。 ＰＦＤレコードは、ＩＢＤレコードと同じである。幸運にも、ＤＰＣは、これ らのほんの僅かしか記憶する必要がないため、データベース全体を記憶するため には２つのデータベース装置が必要なだけである。これらの内、１つはバックア ップである。ＰＦＤは、他のいずれのＤＰＣ構成要素にも直接依存しない。 ＲＰＴ→ＢＩＡ レジスタを割り当てよ 〈１〉〈１２３４５６〉 ＢＩＡ→ＲＰＴ ＯＫ ＲＰＴ→メッセージを形成〈トランザクション〉 ＢＩＡ→ＲＰＴ 〈トランザクションリクエストメッセージ〉 ＢＩＡ→ＲＰＴ ＯＫ ＢＩＡ／ＬＣＤ：〈ＤＰＣ本部と対話中〉 ＲＰＴ→ＤＰＣ 〈トランザクションリクエストメッセージ〉 ＤＰＣ：バイオメトリックの有効性証明、アカウント番号取り出し →４０２４−２２５６−５５２１−１２１２ ＤＰＣ→ＶＩＳＡ 〈承認 ４０２４−２２５６−５５２１−１２１２ ４５２．３３ １２３４５６〉 ＶＩＳＡ→ＤＰＣ 〈ＯＫ ４０２４−２２５６−５５２１−１２１２ ４５２．３３ １２３４５６ 承認コード〉 ＤＰＣ：秘密コード取得 ＤＰＣ→ＲＰＴ 〈トランザクションレスポンスメッセージ〉 ＲＰＴ→ＢＩＡ レスポンスを示せ〈トランザクションレスポンスメッ セージ〉〈８〉 ＢＩＡ／ＬＣＤ：〈トランザクション ＯＫ：Ｉ am fully persua d ed of it〉 ＢＩＡ→ＲＰＴ 〈ＯＫ〈承認コード〉〉 ＲＰＴ：承認コードをレシートに印刷せよ インターネットＰＯＳ端末（Internet Point of Sale Terminal） この場合、ＩＰＴはトランザクションの承認のため標準ＢＩＡ、ＤＰＣと通信 する。トランザクション量は４５２．３３、個人アカウントは４０２４−２２５ ６−５５２１−１２１２、インターネット商人はｍｅｒｃｈａｎｔ．ｃｏｍに位 置し、その商人コードは１２３４５６、そして個人の秘密コードは「Ｉ am full y persuaded of it.」である。 ＩＰＴ→ｍｅｒｃｈａｎｔ．ｃｏｍ 〈リソースが使用可能であれば商 人コードを私に送れ〉 ｍｅｒｃｈａｎｔ．ｃｏｍ→ＩＰＴ 〈ＯＫ １２３４５６ ｍｅｒｃ ｈａｎｔ．ｃｏ ｍ公開鍵〉 ＩＰＴはセッション鍵を生成し、ｍｅｒｃｈａｎｔ．ｃｏｍ公開鍵 で暗号化 ＩＰＴ→ｍｅｒｃｈａｎｔ．ｃｏｍ 〈セッション鍵〉 商人との全てのその後の通信はセッション鍵で暗号化 ｍｅｒｃｈａｎｔ．ｃｏｍ→ＩＰＴ 〈価格及び製品情報〉 ＩＰＴ／スクリーン：価格及び製品情報を表示 個人：「フルーツケーキ、価格４５．３３」の項目を選択 ＩＰＴ→ＢＩＡ 言語を設定せよ〈英語〉 ＢＩＡ→ＩＰＴ ＯＫ ＩＰＴ−ＢＩＡ バイオメトリックを取得せよ〈２０〉 ＢＩＡ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＩＰＴ ＯＫ ＩＰＴ→ＢＩＡ ＰＩＮを取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はＰＩＣを入力し、その後〈入力〉を押す。 ＢＩＡ→ＩＰＴ ＯＫ ＩＰＴ→ＢＩＡ アカウント番号を取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈今度はあなたのアカウントインデックスコード を入力し、その後〈入力〉を押して下さい。〉 個人はコードを入力し、その後〈入力〉を押す。 ＢＩＡ→ＩＰＴ ＯＫ ＩＰＴ→ＢＩＡ 量の有効性を証明せよ〈４５．３３ 〉〈４０ 〉 ＢＩＡ／ＬＣＤ：〈量４５．３３ ＯＫ？〉 個人はＯＫを入力する ＢＩＡ→ＩＰＴ ＯＫ ＩＰＴ→ＢＩＡ レジスタを割り当てよ 〈１〉〈１２３４５６〉 ＢＩＡ→ＩＰＴ ＯＫ ＩＰＴ→ＢＩＡ レジスタを割り当てよ 〈２〉〈ｍｅｒｃｈａｎｔ． ｃｏｍ〉 ＢＩＡ→ＩＰＴ ＯＫ ＩＰＴ→ＢＩＡ レジスタを割り当てよ 〈３〉〈フルーツケーキ〉 ＢＩＡ→ＩＰＴ ＯＫ ＩＰＴ→ＢＩＡ メッセージ形成 〈遠隔トランザクション〉 ＢＩＡ→ＩＰＴ 〈遠隔トランザクションリクエストメッセージ〉 ＢＩＡ→ＩＰＴ ＯＫ ＢＩＡ／ＬＣＤ：〈ＤＰＣ本部と対話中〉 ＩＰＴ→ｍｅｒｃｈａｎｔ．ｃｏｍ 〈遠隔トランザクションリクエス トメッセージ〉 ｍｅｒｃｈａｎｔ．ｃｏｍ→ＤＰＣ公開鍵を用いてＤＰＣと安全接続 ｍｅｒｃｈａｎｔ．ｃｏｍ→ＤＰＣ 〈遠隔トランザクションリクエス トメッセージ〉 ＤＰＣ：バイオメトリックの有効性証明、アカウント番号取り出し →４０２４−２２５６−５５２１−１２１２ ＤＰＣ：コード１２３４５６によりインターネットｍｅｒｃｈａｎ ｔ．ｃｏｍの有効性証明 ＤＰＣ→ＶＩＳＡ 〈承認 ４０２４−２２５６−５５２１−１２１２ ４５．３３ １２３４５６〉 ＶＩＳＡ→ＤＰＣ 〈 ＯＫ ４０２４−２２５６−５５２１−１２１ ２ ４５．３３ １２３４５６ 承認コード〉 ＤＰＣ：秘密コードを取得 ＤＰＣ→ｍｅｒｃｈａｎｔ．ｃｏｍ〈トランザクションレスポンスメッ セージ〉 ｍｅｒｃｈａｎｔ．ｃｏｍは承認コードを格納 ｍｅｒｃｈａｎｔ．ｃｏｍ→ＩＰＴ〈トランザクションレスポンスメッ セージ〉 ＩＰＴ→ＢＩＡ レスポンスを示せ〈トランザクションレスポンスメッ セージ〉〈８〉 ＢＩＡ／ＬＣＤ：〈トランザクションＯＫ：I am fully persuaded of it〉 ＢＩＡ→ＩＰＴ〈トランザクション ＯＫ〉 インターネット料金計算ターミナル（Internet Teller Terminal） この場合、ＩＴＴは定型または非定型のホームバンキング操作を実行するため に標準ＢＩＡ、ＤＰＣ及び銀行のインターネットサーバと通信する。ＤＰＣは実 際には、トランザクションの有効性を承認することには関わらず、ネットワーク クレデンシャルの有効セットを作成すること及び銀行との通信回線の確保をする ことについてのみ責任を負う。 ＩＴＴ→ｂａｎｋ．ｃｏｍ 〈リソースが使用可能であれば銀行コード を私に送れ〉〉 ｂａｎｋ．ｃｏｍ→ＩＴＴ〈ＯＫ １２００〉 ＩＴＴ→ＢＩＡ 言語を設定せよ〈英語〉 ＢＩＡ→ＩＴＴ ＯＫ ＩＴＴ→ＢＩＡ バイオメトリックを取得せよ 〈２０〉 ＢＩＡ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＩＴＴ ＯＫ ＩＴＴ→ＢＩＡ ＰＩＮを取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はＰＩＣを入力し、その後〈入力〉を押す。 ＢＩＡ→ＩＴＴ ＯＫ ＲＰＴ→ＢＩＡ アカウント番号を取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈次にアカウントインデックスコードを入力し、 そして、〈入力〉を押して下さい〉 個人はコードを入力し、〈入力〉を押す。 ＢＩＡ→ＩＴＴ ＯＫ ＩＴＴ→ＢＩＡ レジスタを割り当てよ 〈１〉〈１２００〉（銀行コ ード） ＢＩＡ→ＩＴＴ ＯＫ ＩＴＴ→ＢＩＡ レジスタを割り当てよ 〈２〉〈ｂａｎｋ．ｃｏｍ〉 ＢＩＡ→ＩＴＴ ＯＫ ＩＴＴ→ＢＩＡ レジスタを割り当てよ 〈３〉〈ＩＴＴ．ｐｏｒｔ、 ｂａｎｋ．ｃｏｍ．ｐｏｒｔ〉（ＴＣＰ／ＩＰアドレス） ＢＩＡ→ＩＴＴ ＯＫ ＩＴＴ→メッセージを形成せよ 〈ネットクレデンシャル〉 ＢＩＡ→ＩＴＴ 〈ネットワーククレデンシャルリクエスト〉 ＢＩＡ→ＩＴＴ ＯＫ ＢＩＡ／ＬＣＤ：〈ＤＰＣ本部と対話中〉 ＩＴＴ→ＤＰＣ 〈ネットワーククレデンシャルリクエスト〉 ＤＰＣ：バイオメトリックの有効性証明、クレデンシャル（時間、 アカウント、銀行）を生成 ＤＰＣ：秘密コード取得 ＤＰＣ→ＩＴＴ 〈ネットワーククレデンシャルレスポンス〉 ＩＴＴ→ＢＩＡ レスポンスを示せ 〈ネットワーククレデンシャルレ スポンス〉 ＢＩＡはレスポンスを復号化し、レスポンスを検査する ＢＩＡ／ＬＣＤ：〈クレデンシャルＯＫ：I am fully persuaded of it〉 ＢＩＡは銀行の公開鍵を用いて、クレデンシャル、セッション鍵、 チャレンジ鍵を暗号化する ＢＩＡ→ＩＴＴ 〈安全接続リクエストメッセージ〉 ＢＩＡ→ＩＴＴ 〈セッション鍵〉 ＢＩＡ→ＩＴＴ ＯＫ ＢＩＡ／ＬＣＤ：〈ｂａｎｋ．ｃｏｍとの安全接続中〉 ＩＴＴ→ｂａｎｋ．ｃｏｍ 〈安全接続リクエストメッセージ〉 ｂａｎｋ．ｃｏｍは秘密鍵を用いて暗号し、クレデンシャルの有効 性を証明し、共用鍵を使用する。 ｂａｎｋ．ｃｏｍ→ＩＴＴ 〈ＯＫ〉 ＩＴＴ→ｂａｎｋ．ｃｏｍ接続の更なるトランザクションは全てＩＴＴ／銀行 セッション鍵を用いてＩＴＴによって暗号化される。 銀行が非定型であると決定するあらゆるトランザクションは、ＢＩＡのチャレ ンジ−レスポンス機構を用いて個人によって確認されなければならない。チャレ ンジ−レスポンス機構は、ＢＩＡが「安全接続」状態にある場合にのみ利用可能 である。 ｂａｎｋ．ｃｏｍ→ＩＴＴ 〈〈有効性証明要求〉の有効性を証 明〉 ＩＴＴ→ＢＩＡ 秘密〈暗号化有効性証明要求〉の有効性を証明 ＢＩＡはチャレンジセクションを復号化し、表示する。 ＢＩＡ／ＬＣＤ：〈ＯＫです：１２，４２０．００から１０２３− ３３０２−２１０１−１１００に転送〉 個人はＯＫを入力する。 ＢＩＡはチャレンジ鍵を用いてレスポンスの再暗号化をする。 ＢＩＡ／ＬＣＤ：〈ｂａｎｋ．ｃｏｍに安全接続中〉 ＢＩＡ→ＩＴＴ 〈ＯＫ〈暗号化された有効性証明レスポンス〉〉 ＩＴＴ→ｂａｎｋ．ｃｏｍ 〈暗号化された有効性証明レスポンス〉 電子署名端末（Electronic Signature Terminal） この場合、ＥＳＴはディジタル署名を作成するため、標準ＢＩＡ及びＤＰＣと 通信する。個人の秘密コードは「I am fully persuaded of it.」であ り、署名される文書は「The Letter of Marque.」と呼ばれる。 ＣＥＴ→ＢＩＡ 言語を設定せよ〈英語〉 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ バイオメトリックを取得せよ 〈２０〉 ＢＩＡ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ ＰＩＮを取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はＰＩＣを入力し、その後〈入力〉を押す。 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ 文書の有効性を証明せよ 〈Letter of Marque〉〈４ ０〉 ＢＩＡ／ＬＣＤ：〈文書「Letter of Marque」 ＯＫ？〉 個人はＯＫを入力する。 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ レジスタを割り当てよ 〈１〉〈文書ＭＤ５値〉 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→メッセージを形成せよ 〈署名提出〉 ＢＩＡ→ＣＥＴ 〈電子署名リクエスト〉 ＢＩＡ→ＣＥＴ ＯＫ ＢＩＡ／ＬＣＤ：〈ＤＰＣ本部と対話中〉 ＣＥＴ→ＤＰＣ 〈電子署名リクエスト〉 ＤＰＣ：バイオメトリックの有効性を証明、署名を生成、署名テキ ストコードを返す ＤＰＣ：秘密コード取得 ＤＰＣ−ＣＥＴ 〈電子署名レスポンス〉 ＣＥＴ→ＢＩＡ レスポンスを示せ 〈電子署名レスポンス〉〈８〉 ＢＩＡ／ＬＣＤ：〈文書ＯＫ：I am fully persuaded of it.〉 ＢＩＡ→ＣＥＴ 〈ＯＫ〈署名テキストコード〉〉 認可された電子メールターミナル（Certified Email Terminal） この場合は、ＣＥＴは認可された電子メールを送信するために、標準ＢＩＡ及 びＤＰＣと通信する。個人の秘密コードは「I am fully persuaded of it.」で あり、文書名は「Post Captain.」である。 ＣＥＴ→ＢＩＡ 言語を設定せよ〈英語〉 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ バイオメトリックを取得せよ 〈２０〉 ＢＩＡ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ ＰＩＮを取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はＰＩＣを入力し、その後〈入力〉を押す。 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ 文書の有効性を証明せよ 〈Post Captain〉〈４０〉 ＢＩＡ／ＬＣＤ：〈文書「Post Captain」でＯＫ？〉 個人はＯＫを入力する。 ＣＥＴ／スクリーン： 〈受け手リスト？〉 個人は〈fred@telerate.com joe@reuters.com〉を入力する。 ＣＥＴ→ＢＩＡ レジスタを割り当てよ 〈１〉〈fred@telerate.com joe@reuters.com〉 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→メッセージを形成せよ 〈文書提出〉 ＢＩＡ→ＣＥＴ 〈電子文書提出リクエスト〉 ＢＩＡ→ＣＥＴ ＯＫ ＢＩＡ／ＬＣＤ：〈ＤＰＣ本部と対話中〉 ＣＥＴ→ＤＰＣ 〈電子文書提出リクエスト〉 ＤＰＣ：バイオメトリックの有効性を証明、メッセージを生成、メ ッセージ＃００１２３４を返す。 ＤＰＣ：秘密コード取得 ＤＰＣ→ＣＥＴ 〈電子文書提出レスポンス〉 ＣＥＴ→ＢＩＡ レスポンスを示せ 〈電子文書提出レスポンス〉〈８ 〉 ＢＩＡ／ＬＣＤ：〈文書ＯＫ：I am fully persuaded of it.〉 ＢＩＡ→ＣＥＴ 〈文書ＯＫ 〈１２３４〉〉 ＣＥＴ→ＤＰＣ 〈電子文書データリクエスト、１２３４、セクション １、未完〉 ＤＰＣ→ＣＥＴ 〈電子文書データレスポンス、未完〉 ＣＥＴ→ＤＰＣ 〈電子文書データリクエスト、１２３４、セクション ２、未完〉 ＤＰＣ→ＣＥＴ 〈電子文書データレスポンス、未完〉 ＣＥＴ→ＤＰＣ 〈電子文書データリクエスト、１２３４、セクション ３、未完〉 ＤＰＣ→ＣＥＴ 〈電子文書データレスポンス、未完〉 ＣＥＴ→ＤＰＣ 〈電子文書データリクエスト、１２３４、セクション ４、終了〉 ＤＰＣ→ＣＥＴ 〈電子文書データレスポンス、トラック１２３４．１ １２３４．２〉 ＤＰＣ→fred@telerate.com 〈ｅメール １２３４．１ メッセージ 到着〉 ＤＰＣ→joe@reuters.com 〈ｅメール １２３４．２ メッセージ到 着〉 mailer@telerate.com →ＤＰＣ 〈１２３４．１ の受理通知ｅメール 〉 ＤＰＣ→sender@company.com〈ｅメール １２３４．１ 受け手に通 知された〉 mailer@reuters.com→ＤＰＣ 〈１２３４．２ の受理通知ｅメール 〉 ＤＰＣ→sender@company.com〈ｅメール １２３４．２ 受け手に通 知された〉 ［フレッドのＣＥＴでは、フレッドは「メッセージ到着」の電子メ ールメッセージを見て、すぐにそのメッセージを採用することを決 める］ ＣＥＴ→ＢＩＡ 言語を設定せよ〈英語〉 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ バイオメトリックを取得せよ 〈２０〉 ＢＩＡ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ ＰＩＮを取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あな たのＰＩＣを入力しして下さい。〉 個人はＰＩＣを入力し、その後〈入力〉を押す。 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→ＢＩＡ レジスタを割り当てよ 〈１〉〈１２３４．１〉 ＢＩＡ→ＣＥＴ ＯＫ ＣＥＴ→メッセージを形成せよ 〈文書取り出し〉 ＢＩＡ→ＣＥＴ 〈電子文書取り出しリクエスト〉 ＢＩＡ→ＣＥＴ ＯＫ ＢＩＡ／ＬＣＤ：〈ＤＰＣ本部と対話中〉 ＣＥＴ→ＤＰＣ 〈電子文書取り出しリクエスト〉 ＤＰＣ：バイオメトリックの有効性証明、１２３４．１の検索 ＤＰＣ：秘密コード取得 ＤＰＣ→ＣＥＴ 〈電子文書取り出しレスポンス〉 ＣＥＴ→ＢＩＡ レスポンスを示せ 〈電子文書取り出しレスポンス〉 〈８〉 ＢＩＡ／ＬＣＤ：〈文書ＯＫ：I am fully persuaded of it.〉 ＢＩＡ→ＣＥＴ 〈文書ＯＫ 〈メッセージ鍵〉〉 ＣＥＴ／スクリーン：復号化し、その後文書表示 安全ファックス端末（Secure Fax Terminal） この場合、ＳＦＴは安全なファックスを送信するため、ＢＩＡ／ｃａｔｖ及び ＤＰＣと通信する。 ＳＦＴ→ＢＩＡ バイオメトリックを取得せよ 〈２０〉 ＢＩＡ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＳＦＴ ＯＫ ＢＩＡ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はＰＩＣを入力し、その後〈入力〉を押す。 ＳＦＴ→ＢＩＡ ＰＩＮを設定せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あなたのタイトルインデックスを入力し、その 後〈入力〉を押して下さい。〉 個人はタイトルインデックスを入力し、その後〈入力〉を押す。 ＳＦＴ→ＢＩＡ タイトルインデックスコードを設定せよ 〈４０〉 ＢＩＡ→ＳＦＴ ＯＫ ＳＦＴ／スクリーン： 〈受け手？（内線は＊を追加して、最後に ＃を付ける）〉 個人は〈１ ５１０ ９４４−６３００＊５２５＃〉を入力 ＳＦＴ／スクリーン： 〈受け手？（内線は＊を追加して、最後に ＃を付ける）〉 個人は〈１ ４１５−８７７−７７７０＃〉を入力 ＳＦＴ／スクリーン： 〈受け手？（内線は＊を追加して、最後に ＃を付ける）〉 個人は〈＃〉を入力 ＳＦＴ→ＢＩＡ レジスタを割り当てよ 〈１〉〈１５１０９４４６３ ００＊５２５ １４１５８７７７７７０〉 ＢＩＡ→ＳＦＴ ＯＫ ＳＦＴ−メッセージを形成せよ 〈文書提出〉 ＢＩＡ→ＳＦＴ 〈安全ファックス提出リクエスト〉 ＢＩＡ→ＳＦＴ ＯＫ ＢＩＡ／ＬＣＤ：〈ＤＰＣ本部と対話中〉 ＳＦＴ→ＤＰＣ 〈安全ファックス提出リクエスト〉 ＤＰＣ：バイオメトリックの有効性証明、メッセージを生成、メッ セージ＃００１２３４を返す。 ＤＰＣ：秘密コード取得 ＤＰＣ→ＳＦＴ 〈安全ファックス提出レスポンス〉 ＳＦＴ→ＢＩＡ レスポンスを示せ〈安全ファックス提出レスポンス〉 〈１０〉 ＢＩＡ／ＬＣＤ：〈文書ＯＫ：I am fully persuaded of it.〉 ＢＩＡ→ＳＦＴ 〈文書ＯＫ 〈００１２３４〉〉 ＳＦＴ→ＤＰＣ 〈安全ファックスデータリクエスト、１２３４、セク ション １、未完〉 ＤＰＣ→ＳＦＴ 〈安全ファックスデータレスポンス、未完〉 ＳＦＴ→ＤＰＣ 〈安全ファックスデータリクエスト、１２３４、セク ション ２、未完〉 ＤＰＣ→ＳＦＴ 〈安全ファックスデータレスポンス、未完〉 ＳＦＴ→ＤＰＣ 〈安全ファックスデータリクエスト、１２３４、セク ション ３、未完〉 ＤＰＣ→ＳＦＴ 〈安全ファックスデータレスポンス、未完〉 ＳＦＴ→ＤＰＣ 〈安全ファックスデータリクエスト、１２３４、セク ション ４、終了〉 ＤＰＣ→ＳＦＴ 〈安全ファックスデータレスポンス〉 ＤＰＣ→ファックス接続 １５１０９４４６３００ ＤＰＣ→ＳＦＴ６３００ 〈ファックスの表紙 「Sam Spade」 「Fr e d Jones」より １２３４．１ ４ページ待ち〉 ＤＰＣ→接続切断 ＤＰＣ→ファックス接続 １４１５８７７７７７０ ＤＰＣ→ＳＦＴ７７００ 〈ファックスの表紙 「John Jett」 「Fr e d Jones」より １２３４．２ ４ページ待ち〉 ＤＰＣ→接続切断 ［サムのＳＦＴでは、サムはフレッドから到着した文書ファックス の表紙を見て、トラッキングコード１２３４．１を用いてＤＰＣからの 文書の取り出しを開始する。］ ＳＦＴ→ＢＩＡ バイオメトリックを取得せよ 〈２０〉 ＢＩＡ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人（サム）は指をスキャナーの上に置く。 ＢＩＡ→ＳＦＴ ＯＫ ＳＦＴ→ＢＩＡ ＰＩＮを取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はＰＩＣを入力し、その後〈入力〉を押す。 ＢＩＡ→ＳＦＴ ＯＫ ＳＦＴ→ＢＩＡ レジスタを割り当てよ 〈１〉〈１２３４．１〉 ＢＩＡ→ＳＦＴ ＯＫ ＳＦＴ→メッセージを形成せよ 〈文書取り出し〉 ＢＩＡ→ＳＦＴ 〈安全ファックス取り出しリクエスト〉 ＢＩＡ→ＳＦＴ ＯＫ ＢＩＡ／ＬＣＤ：〈ＤＰＣ本部と対話中〉 ＳＦＴ→ＤＰＣ 〈安全ファックス取り出しリクエスト〉 ＤＰＣ：バイオメトリックの有効性を証明、１２３４．１の検索、 バイオメトリックＰＩＣ−Sam Spade を確認する。 ＤＰＣ：データベースの秘密コードを検索 ＤＰＣ→ＳＦＴ 〈安全ファックス取り出しレスポンス〉 ＳＦＴ→ＢＩＡ レスポンスを示せ 〈安全ファックス取り出しレスポ ンス〉〈８〉 ＢＩＡ→ＳＦＴ 〈文書ＯＫ：I am fully persuaded of it 〈メッセ ージ鍵〉〉 ＳＦＴ／スクリーン：〈文書ＯＫ：I am fully persuaded of it〉 ＳＦＴ／スクリーン：ファックス印字 バイオメトリック登録端末（Biometric Registration Terminal） この場合には、ＢＲＴは個人をシステムに登録するために、登録ＢＩＡおよび ＤＰＣと交信する。 ＢＲＴ→ＢＩＡ 言語を設定せよ〈英語〉 ＢＩＡ→ＢＲＴ ＯＫ ＢＲＴ→ＢＩＡ バイオメトリックを取得せよ〈２０〉〈人差し指〉 ＢＩＡ／ＬＣＤ：〈人差し指を光っているパネルの上に置いて下さ い。〉 個人は人差し指をスキャナーの上に置く。 ＢＩＡ→ＢＲＴ ＯＫ ＢＲＴ→ＢＩＡ バイオメトリックを取得せよ〈２０〉〈中指〉 ＢＩＡ／ＬＣＤ：〈中指を光っているパネルの上に置いて下さい。 〉 個人は中指をスキャナーの上に置く。 ＢＩＡ→ＢＲＴ ＯＫ ＢＲＴ→ＢＩＡ ＰＩＮを取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人は１２３４５６と入力し、その後〈入力〉を押す。 ＢＩＡ→ＢＲＴ ＯＫ ＢＲＴ→ＢＩＡ メッセージ鍵を取得せよ ＢＩＡ→ＢＲＴ 〈ＯＫ〈メッセージ鍵〉〉 ＢＩＡ→〈登録要求メッセージ〉 ＢＲＴ／スクリーン：〈名前：〉 代表者は入力する。〈フレッド＝Ｇ＝シュルツ（Fred G.Shultz） 〉 ＢＲＴ／スクリーン：〈住所：〉 代表者は入力する。〈メイン州 北 １２３４〉 ＢＲＴ／スクリーン：〈郵便番号〉 代表者は入力する。〈９４０４２〉 ＢＲＴ／スクリーン：〈秘密コード〉 代表者は個人に照会し、その後入力する。〈私はそれを完全に信じ る。（I am fully persuaded of it.）〉 ＢＲＴ／スクリーン：〈資産アカウントリスト〉 代表者は入力する。〈２，１００１−２００１−１０２０−２０１ １〉 （クレジットカード） 代表者は入力する。〈３，１００１−１００２−００３９−２２１ ２〉 （当座預金） ＢＲＴ／スクリーン：〈緊急のアカウント〉 代表者は入力する。〈１，１００１−１００２−００３９−２２１ ２〉 （緊急、当座預金） ＢＲＴ→メッセージを作成せよ〈登録〉 ＢＩＡ→ＢＲＴ 〈登録要求メッセージ〉 ＢＩＡ→ＢＲＴ ＯＫ ＢＩＡ／ＬＣＤ：〈私はＤＰＣ中央と対話している〉 ＢＲＴはメッセージ鍵により暗号化された個人情報を要求に付加 する。 ＢＲＴ→ＤＰＣ 〈登録要求メッセージ〉〈暗号化された個人情報〉 ＤＰＣ：ＰＩＣ１２３４５６を検証する。 ＤＰＣ→ＢＲＴ 〈登録応答メッセージ〉 ＢＲＴ→ＢＩＡ 応答を示せ〈登録応答メッセージ〉〈８〉 ＢＩＡ／ＬＣＤ：〈登録ＯＫ：私はそれを完全に信じる。（I am fully persuaded of it.）、１２３４５６〉 ＢＩＡ→ＢＲＴ 〈ＯＫ〉 消費者サービス端末（Customer Service Terminal） この場合には、ＣＳＴは個人の同一性およびクリデンシャルを検証するために 、標準ＢＩＡおよびＤＰＣと交信する。 ＣＳＴ→ＢＩＡ 言語を設定せよ〈英語〉 ＢＩＡ→ＣＳＴ ＯＫ ＣＳＴ→ＢＩＡ バイオメトリックを取得せよ〈２０〉 ＢＩＡ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＣＳＴ ＯＫ ＣＳＴ→ＢＩＡ ＰＩＮを取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はＰＩＣを入力し、その後〈入力〉を押す。 ＢＩＡ→ＣＳＴ ＯＫ ＣＳＴ→ＢＩＡ メッセージ鍵を取得せよ ＢＩＡ→ＣＳＴ 〈ＯＫ〈メッセージ鍵〉〉 ＣＳＴ→メッセージを作成せよ〈個人同一性要求〉 ＢＩＡ→ＣＳＴ 〈個人同一性要求〉 ＢＩＡ→ＣＳＴ ＯＫ ＢＩＡ／ＬＣＤ：〈私はＤＰＣ中央と対話している〉 ＣＳＴ→ＤＰＣ 〈個人同一性要求〉 ＤＰＣ：秘密コード、すなわち個人の秘密コード（priv）を取得す る。 ＤＰＣ→ＣＳＴ 〈個人同一性返答〉 ＣＳＴ→ＢＩＡ 応答を示せ〈個人同一性返答〉〈８〉 ＢＩＡ／ＬＣＤ：〈同一性ＯＫ ：私はそれを完全に信じる。（I am fully persuaded of it.）〉 ＢＩＡ→ＣＳＴ 〈ＯＫ〈個人名秘密コード（priv）〉〉 ＣＳＴ：ＣＳＴの使用にとって十分であるか知るために秘密コード （priv）を検査する。 発行者端末（Issuer Terminal） この場合、ＩＴはアカウントの追加および削除の要求のバッチを承認し、ＤＰ Ｃに対して送信するために、標準ＢＩＡおよびＤＰＣと交信する。個人の秘密コ ードは「私はそれを完全に信じる。（I am fully pursuaded of it.）」であり 、銀行コードは１２００である。 ＩＴ→ＢＩＡ 言語を設定せよ〈英語〉 ＢＩＡ→ＩＴ ＯＫ ＩＴ→ＢＩＡ バイオメトリックを取得せよ〈２０〉 ＢＩＡ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＩＴ ＯＫ ＩＴ→ＢＩＡ ＰＩＮを取得せよ〈４０〉 ＢＩＡ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はＰＩＣを入力し、その後〈入力〉を押す。 ＢＩＡ→ＩＴ ＯＫ ＩＴ→ＢＩＡ レジスタを割り当てよ〈１〉〈１２００〉 ＢＩＡ→ＩＴ ＯＫ ＩＴ→ＢＩＡ メッセージ鍵を取得せよ ＢＩＡ→ＩＴ 〈メッセージ鍵〉 ＢＩＡ→ＩＴ ＯＫ ＩＴ→ＢＩＡ メッセージを作成せよ〈発行者要求〉 ＢＩＡ→ＩＴ 〈発行者バッチ要求〉 ＢＩＡ→ＩＴ ＯＫ ＢＩＡ／ＬＣＤ：〈私はＤＰＣ中央と対話している〉 ＩＴ→ＤＰＣ 〈発行者バッチ要求〉〈メッセージ鍵により暗号化され た発行者バッチ〉 ＤＰＣ：ＢＩＡの識別に対してバイオメトリックの有効性を証明し 、 銀行コードの有効性を証明する。 ＤＰＣ：秘密コードを取得する。 ＤＰＣ：メッセージ鍵を用いてメッセージを復号化し、発行者バッ チを実行する。 ＤＰＣ→ＩＴ 〈発行者バッチ返答〉 ＩＴ→ＢＩＡ 応答を示せ〈発行者バッチ返答〉〈８〉 ＢＩＡ／ＬＣＤ：〈バッチＯＫ：私はそれを完全に信じる。（I am fully persuaded of it.）〉 ＢＩＡ→ＩＴ 〈ＯＫ〉 自動預金支払機（Automated Teller Machinery） この場合、ＡＴＭは個人を識別し、銀行アカウント番号を取得するために、統 合されたＡＴＭＢＩＡおよびＤＰＣと交信する。個人のアカウントは２１００− ０２４５−３７７８−１２０１であり、銀行コードは２１００であり、個人の秘 密コードは「私はそれを完全に信じる。（I am fully pursuaded of it.）」で ある。 ＡＴＭ→ＢＩＡ バイオメトリックを取得せよ〈２０〉 ＡＴＭ／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＡＴＭ ＯＫ ＡＴＭ／ＬＣＤ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はＡＴＭのキーボード上で１２３４５６を入力し、その後〈入 力〉を押す。 ＡＴＭ→ＢＩＡ ＰＩＮを設定せよ〈１２３４５６〉 ＢＩＡ→ＡＴＭ ＯＫ ＡＴＭ／ＬＣＤ：〈それではあなたのアカウント索引コードを入力 し、その後〈入力〉を押して下さい。〉 個人は２を入力し、その後〈入力〉を入力する ＡＴＭ→ＢＩＡ アカウント索引コードを設定せよ〈２〉 ＢＩＡ→ＡＴＭ ＯＫ ＡＴＭ−）ＢＩＡ レジスタを割り当てよ〈１〉〈２１００〉 ＢＩＡ→ＡＴＭ ＯＫ ＡＴＭ→メッセージを作成せよ〈アカウントアクセス〉 ＢＩＡ→ＡＴＭ 〈アカウントアクセス要求メッセージ〉 ＢＩＡ→ＡＴＭ ＯＫ ＡＴＭ／ＬＣＤ：〈私はＤＰＣ中央と対話している〉 ＡＴＭ→ＤＰＣ 〈アカウントアクセス要求メッセージ〉 ＤＰＣ：バイオメトリックの有効性を証明し、アカウント番号〉２ １００ ０２４５ ３７７８ １２０１を取り出す。 ＤＰＣ：秘密コードを取得する。 ＤＰＣ→ＡＴＭ 〈アカウントアクセス応答メッセージ〉 ＡＴＭ→ＢＩＡ 応答を復号化せよ〈アカウントアクセス応答メッセー ジ〉 ＢＩＡ→ＡＴＭ 〈２１００−０２４５−３７７８−１２０１〉〈緊急 ではない〉〈私はそれを完全に信じる。（I am fully persuaded of it.）〉 ＡＴＭ／ＬＣＤ：〈私はそれを完全に信じる。（I am fully persu -aded of it.）〉 この時点では、ＡＴＭは続ける必要があるアカウント番号を持っているため、 アカウント番号に関連した情報を取り出し、個人との対話を始める。 電話ＰＯＳ端末（Phone Point of sale Terminal） この場合、ＰＰＴは安全に電話を使って情報をダウンロードし、物品を購入す るために、統合された電話ＢＩＡおよび電話マーチャントと交信する。個人のＰ ＩＣは１２３４であり、アカウント索引コードは１であり、マーチャントの電話 番号は１ ８００ ５４２−２２３１であり、マーチャントコードは１２３４５ ６であり、実際のアカウント番号は４０２４−２２５６−５５２１−１２１２で ある。 ここで、電話が電話番号をシステムに渡す前に、電話番号から地域コード（１ −８００）を取り除くことに注意すること。 個人は電話で１８００５４２２２３１をダイヤルする。 ＰＰＴ→マーチャント１８００５４２２２３１に接続する ＰＰＴ→ＢＩＡ レジスタを割り当てよ１〈５４２２２３１〉 販売データベース（Sales rep）は答える。個人は物品「フルー ツケーキ」を選ぶ。販売データベースは情報をダウンロードする。 マーチャント→ＰＰＴ 〈１２３４５６ フルーツケーキ ４３．５４ 〉 ＰＰＴ→ＢＩＡ バイオメトリックを取得せよ〈２０〉 電話／ＬＣＤ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＰＰＴ ＯＫ 電話／ＬＣＤ：〈あなたのＰＩＣを入力し、その後＃を押して下さ い。〉 個人はキーパッド上で１２３４を入力し、その後＃又は＊（入力） を入力する。 ＰＰＴ→ＢＩＡ ＰＩＮを設定せよ〈１２３４〉 ＢＩＡ→ＰＰＴ ＯＫ 電話／ＬＣＤ：〈それではあなたのアカウント索引コードを入力し て下さい。〉 個人は１を入力し、その後〈入力〉を入力する ＲＰＴ→ＢＩＡ アカウント索引コードを設定せよ〈１〉 ＢＩＡ→ＰＰＴ ＯＫ ＲＰＴ→ＢＩＡ レジスタを割り当てよ〈２〉〈１２３４５６〉 ＢＩＡ→ＰＰＴ ＯＫ 電話／ＬＣＤ：〈数量４５．５４でよければ＃を押して下さい。〉 個人は＃（はい）を入力する。 ＰＰＴ→ＢＩＡ 数量を設定せよ〈４３．５４〉 ＢＩＡ→ＰＰＴ ＯＫ ＰＰＴ→メッセージを作成せよ〈リモートトランザクション〉 ＢＩＡ→ＰＰＴ 〈リモートトランザクション要求〉 ＢＩＡ→ＰＰＴ ＯＫ 電話／ＬＣＤ：〈私はＤＰＣ中央と対話している〉 ＰＰＴ→マーチャント 〈電話トランザクション要求〉 マーチャント→ＤＰＣ ＤＰＣ公開鍵を用いて安全にＤＰＣに接続する。 マーチャント→ＤＰＣ 〈電話トランザクション要求〉 ＤＰＣ：バイオメトリックの有効性を証明し、アカウント番号を取 り出す。→４０２４−２２５６−５５２１−１２１２ ＤＰＣ：マーチャント５４２２２３１がコード１２３４５６を有す ることの有効性を証明する。 ＤＰＣ→ＶＩＳＡ 〈４０２４−２２５６−５５２１−１２１２ ４３ ．５４ １２３４５６を承認せよ〉 ＶＩＳＡ→ＤＰＣ 〈ＯＫ 承認コード４０２４−２２５６−５５２１ −１２１２ ４３．５４ １２３４５６〉 ＤＰＣ：秘密コードを取得する。 ＤＰＣ→マーチャント 〈トランザクション応答要求〉 マーチャントは応答コードを検査する。 マーチャント→ＰＰＴ 〈トランザクション応答メッセージ〉 ＰＰＴ→ＢＩＡ 応答を復号化せよ〈トランザクション応答メッセージ 〉 ＢＩＡ→ＰＰＴ 〈ＯＫ 〈私はそれを完全に信じる。（I am fully persuaded of it.）〉 〈承認コード〉〉 電話／ＬＣＤ：〈チャイム〉トランザクションＯＫ：私はそれを完 全に信じる。（I am fully persuaded of it.） ケーブルテレビＰＯＳ端末（Cable-TV Point of sale terminal） この場合、ＣＰＴは安全にケーブルテレビの広帯域ネットワークを使って情報 をダウンロードし、物品を購入するために、統合されたケーブルテレビＢＩＡお よび電話マーチャントと交信する。個人のＰＩＣは１２３４であり、アカウント 索引コードは１であり、チャンネルは５であり、マーチャントコードは１２３４ ５６であり、実際のアカウント番号は４０２４−２２５６−５５２１−１２１２ である。 個人はテレビのチャンネルを５に合わせる。 マーチャント→ＣＰＴ 〈フルーツケーキ ４３．５４ １２３４５６ 〉（放送） 個人はテレビのリモコン上の「買う」を押す。 ＣＰＴ／テレビ：〈フルーツケーキを４３．５４ドルで購入中〉 ＣＰＴ→ＢＩＡ バイオメトリックを取得せよ〈２０〉 ＣＰＴ／テレビ：〈指を光っているパネルの上に置いて下さい。〉 個人は指をスキャナーの上に置く。 ＢＩＡ→ＣＰＴ ＯＫ ＣＰＴ／テレビ：〈あなたのＰＩＣを入力し、その後〈入力〉を押 して下さい。〉 個人はキーパッド上で１２３４を入力し、その後「買う」を入力す る。 ＣＰＴ→ＢＩＡ ＰＩＮを設定せよ〈１２３４〉 ＢＩＡ→ＣＰＴ ＯＫ ＣＰＴ／テレビ：〈それではあなたのアカウント索引コードを入力 して下さい。〉 個人は１を入力し、その後〈入力〉を入力する ＲＰＴ→ＢＩＡ アカウント索引コードを設定せよ〈１〉 ＢＩＡ→ＣＰＴ ＯＫ ＲＰＴ→ＢＩＡ レジスタを割り当てよ〈１〉〈チャンネル５、１５： ３０： ２０ ＰＳＴ〉 ＢＩＡ→ＲＰＴ ＯＫ ＣＰＴ→ＢＩＡ レジスタを割り当てよ〈２〉〈１２３４５６〉 ＢＩＡ→ＣＰＴ ＯＫ ＣＰＴ／テレビ：〈数量４５．５４でよければ「買う」を押して下 さい。〉 個人は「買う」を入力する。 ＣＰＴ−ＢＩＡ 数量を設定せよ〈４３．５４〉 ＢＩＡ→ＣＰＴ ＯＫ ＣＰＴ→メッセージを作成せよ〈ケーブルテレビトランザクション〉 ＢＩＡ→ＣＰＴ 〈ケーブルテレビトランザクション要求〉 ＢＩＡ→ＣＰＴ ＯＫ ＣＰＴ／テレビ：〈私はＤＰＣ中央と対話している〉 ＣＰＴ→ＣＴＶセンター 〈ケーブルテレビトランザクション要求〉 ＣＴＶセンター→マーチャント 〈ケーブルテレビトランザクション要 求〉 マーチャント→ＤＰＣ ＤＰＣ公開鍵を用いて安全にＤＰＣに接続する 。 マーチャント＿ＤＰＣ 〈ケーブルテレビトランザクション要求〉 ＤＰＣ：バイオメトリックの有効性を証明し、アカウント番号を取 り出す。→４０２４−２２５６−５５２１−１２１２ ＤＰＣ：チャンネル５で現在放映されているマーチャントがコード １２３４５６を有することの有効性を証明する。 ＤＰＣ→ＶＩＳＡ 〈４０２４−２２５６−５５２１−１２１２ ４３ ．５４ １２３４５６を承認せよ〉 ＶＩＳＡ→ＤＰＣ 〈ＯＫ 承認コード４０２４−２２５６−５５２１ −１２１２ ４３．５４ １２３４５６〉 ＤＰＣ：秘密コード、郵送先住所を取得する。 ＤＰＣ→マーチャント 〈トランザクション応答要求〉 マーチャントは応答コードを検査し、郵送先住所を記録する。 マーチャント→ＣＴＶセンター 〈トランザクション応答メッセージ〉 ＣＴＶセンター→ＣＰＴ 〈トランザクション応答メッセージ〉 ＣＰＴ→ＢＩＡ 応答を復号化せよ〈トランザクション応答メッセージ 〉 ＢＩＡ→ＣＰＴ 〈ＯＫ 〈私はそれを完全に信じる。（I am fully persuaded of it.）〉 〈承認コード〉〉 ＣＰＴ／テレビ：〈チャイム〉トランザクションＯＫ：私はそれを 完全に信じる。（I am fully persuaded of it.） 前述の内容より、いかにして本発明の目的および特徴が実現されるかが評価さ れるであろう。 第一に、本発明は使用者がシステムアクセス要求を開始する目的で、トークン のような物理的な物体を所持し、提出する必要をなくすコンピューター識別シス テムを提供する。第二に、本発明は所有者の物体と情報を所持することを検証す ることに対向したものとして、使用者の同一性を検証することが可能なコンピュ ーター識別システムを提供する。第三に、本発明は使用者にとって身体的に個人 的な１以上の特徴に基づいて、使用者の同一性を検証する。第四に、本発明は承 認されていない使用者による不正なアクセスの試みに対して高い抵抗性を有する 、コンピューターシステムに安全にアクセスできるシステムを提供する。第五に 、本発明は電子メッセージおよび／又はファクシミリの送り手と受け手の識別を 可能にする識別システムを提供する。 本発明は特定のトークン不要の識別システムおよび方法に関して述べられてい るが、本発明から離れることなく装置および方法の様々な変形が可能であること は評価されるであろう。そして本発明は、以下に述べられた請求項により定義さ れる。 用語解説 アカウント索引コード： 特定の金融資産アカウントに対応した単一の数字又は英数字の連続。 ＡＩＤ： 承認された個人データベース：個人および発行者ＢＩＡの装置を使用 するために承認された個人のリストを含む。 ＡＯＤ： 装置所有者データベース：各々のＢＩＡについての、地理的および接 続の情報を含む中央データベース。 ＡＳＣＩＩ： 情報交換のためのアメリカ標準コード。 ＡＴＭ： 自動預金支払機：金融資産管理システムへのアクセスを行うために符 号化されたバイオメトリック同一性情報を使用する。金融資産管理には 、現金引き出し管理およびアカウント管理を含む。 ＢＩＡ： バイオメトリック入力装置；バイオメトリック同一性情報を集め、そ れを符号化し暗号化する。またそれを承認できるようにする。異なるハ ードウェアのモデルおよびソフトウェアのバージョンが入ってくる。 バイオメトリック： 個人の身体的外観のいくつかの側面につきシステムにより行われる測 定。 バイオメトリックＩＤ： 個人のバイオメトリック記録を独特に識別するためシステムにより用 いられる識別子（ＩＲＩＤ−個人の記録ＩＤ）。 ＢＩＯ−ＰＩＣグループ： 同一の個人識別コードと連関した、アルゴリズム的に非類似のバイオ メトリックのサンプル。 ＢＲＴ： バイオメトリック登録端末；リテイルバンキングの出口に位置し、バ イオメトリック登録情報を個人と結びつける。バイオメトリック登録情 報は、選ばれたＰＩＮおよびシステムに個人を登録するための選ばれた 個人情報である。 ＣＢＣ： 暗号ブロック連結；ＤＥＳのための暗号化モード。 ＣＣＤ： 荷電結合素子。 ＣＥＴ： 保証された電子メール端末;送り手を認識するためにＢＩＡを使用し、 文書を暗号化し、システムに送信する。システムはシステム内のメッセ ージの到着を維持し、それを受け手に告知する。伝送装置への告知は、 文書が送られると行われる。文書は検証されて送信され、ＢＩＡ暗号化 により安全に保たれる。伝送装置は送信状況を調査することもある。参 加者は両方ともシステムのメンバーでなければならない。 コマンド： ＤＰＣ内て繰り返されるプログラム又はサブルーチンであり、特定の タスクを実行し、ＢＩＡを装備した端末から送られる要求メッセージに よって活性化する。 契約受諾／拒否： 個人が自分のＢＩＯ−ＰＩＣを入力し、相手方の個人に電子ファクシ ミリで送信した文書内に含まれる、当該個人の契約の受諾又は拒否の単 語を登録させるためにＤＰＣに命令する過程。 ＣＰＴ： ケーブルテレビＰＯＳ端末：テレビの上のケーブルボックスに製品の 映像とともに製品情報を知らせるデジタル信号を、同時放送するオンス クリーンディスプレイと、バイオメトリックＰＩＮ有効化をＣＡＴＶコ ミュニケーションネットワークを用いて実行するＢＩＡ制御リモコンを 結合したもの。注文／承認／郵送先住所／物品ＩＤがマーチャントに送 られる。承認の結果はテレビ上に表示される。 ＣＳＴ： 消費者サービス端末；アカウントの問題から人々を救うために、（ア クセス特権に基づいて）アクセスの度合いを検査することで、個人の情 報を取り出し、変形することができる能力をシステム消費者サービス職 員に与える。 データシーリングステップ： そのままのテキストを暗号テキストに変換すること（「暗号化」とし て知られる）。変換は、メッセージの暗号化されたチェックサム生成と の組み合わせで行われる。いかなる実質的なメッセージの変形も検出す る手段を同時に提供することにより、情報がそのままのテキストに残る ことを可能にする。 ＤＥＳ： デジタル暗号化標準:暗号によるデジタルデータの保護のための標準。 標準ＡＮＳＩ Ｘ３．９２−１９８１参照。 決定： 処理されて実行ステップ中にあるコマンドの状態。 ＤＰＣ： データ処理センター。すなわち、複数ギガバイトのバイオメトリック 同一性データベースをサポートする目標のために、ハードウェア、ソフ トウェアおよび職員が配置されている場所および要素。ＤＰＣは電子メ ッセージを処理する。そして、ほとんどの電子メッセージは資金の移動、 ファックスの送信、又は電子メールの送信のような何らかの行動を実行 する準備としてバイオメトリック同一性検査の実行を包含する。 ＤＳＰ： デジタル信号プロセッサ：集積回路の一分類であり、信号処理アプリ ケーションにより要求される数学的操作に特化している。 ＤＵＫＰＴ： トランザクションについて固有の派生した鍵：標準ＡＮＳＩ／ＡＢＡ Ｘ９．２４−１９９２参照。 ＥＤＤ： 電子文書データベース：すべての通信中のファックスおよび個人の読 み取りを待っている電子メッセージを含む中央データベース。 緊急アカウント索引： 個人により選択される英数字又はその連続であって、アクセスされた 時は、システムにより緊急トランザクションとしてラベル付けされたト ランザクションとなる。潜在的には誤りスクリーンの表示、および／又 は当該個人が伝送又はトランザクションの実行を強制された旨の承認の 告知を引き起こす。 ＥＳＤ： 電子署名データベース：すべてのＭＤ５およびすべての文書のいかな る人により署名された電子署名も含む中央データベース。承認番号によ り参照される。 ＥＳＴ： 電子署名端末；個人の識別のためにＢＩＡを使用する。コンピュータ ーは文書のチェックサムを計算し、システムにチェックサムを送る。シ ステムは有効化し、タイムスタンプを付し、チェックサムを保存し、署 名コード（sig code）とともに返す。通信手段としてインターネットを 使用する。ＥＳＴはまた署名コードおよびＭＤ５計算を与えられた署名 を検証する。 ＦＡＲ（誤り受け取り率）： ある個人のバイオメトリックが誤って他の個人のバイオメトリックと して識別される統計的近似値。 誤りスクリーン： 微妙に不正確になるように意図的に予め決められた情報の表示であり 、他人が情報の変化を知らないでいる限り、他人に違法に個人の金融資産 についての正確なデータを得させないようにしている。 ＦＤＤＩ： ファイバーデジタル機器インターフェース：ファイバー光トークンリ ングを使えるようにするためのネットワーク機器。 ＦＳ： フィールドセパレータ。 ＦＷ： ファイアウォール機器：ＤＰＣに入り、ＤＰＣから出るトラフィック を規制するインターネットルータ。 ＧＭ： ゲートウェイ機器：ＤＰＣ内の主要処理コンピュータであり、ほとん どのソフトウェアを動作させる。 ＩＢＤ： 個人バイオメトリックデータベース：バイオメトリック、金融資産、 および他の個人情報のための中央データベース。バイオメトリックデー タベースに対する調査はトランザクション承認および伝送のために用い られる。 ＩＤ： 発行者データベース：金融資産アカウント番号を追加し、削除するこ とを許可する構成を含む中央データベース。 ＩＭＬ： ＩＢＤ機器リスト：どのＩＢＤ機器がどのＰＩＮコードに対応できる かを決定するソフトウェアモジュール。 インターネットマーチャント： インターネット電子ネットワークの手段によりサービス又は物を消費 者に売るリテールアカウント。 ＩＰＴ： インターネットＰＯＳ端末：インターネットからの品目およびマーチ ャントコード、有効化のためのＢＩＡバイオメトリックＰＩＮをインタ ーネットを使ってシステムに送信し、承認／注文／ＰＯ＃をマーチャン トに転送する。システムもインターネットを使って応答し、結果をスク リーンに表示する。 発行者： ＤＰＣで登録される金融資産のための金融アカウント発行者。 発行者バッチ： ＤＰＣに対する発行者によって検証され、入力されるバイオメトリッ クＩＤ、金融資産アカウント、アカウント索引コードと共に完成する 「追加」および「削除」命令の集まり。 ＩＴ： 発行者端末；特定の個人のＩＢＤ記録から（彼ら自身の）金融資産ア カウント番号を追加し、削除するために、システムに関連あるバッチを 発行者に提供する。 ＩＴＴ： インターネット対話端末；バイオメトリックＩＤを用いてＤＰＣから 得られる暗号化された証明書を使って、ネットワーク端末セッションを 承認する。 ＬＣＤ： 液晶ディスプレイ：テキストを表示するために用いられる技術。 ＭＡＣ： メッセージ承認コード：暗号化チェックサムアルゴリズム。ＭＡＣは ＭＡＣの計算後変更されていないメッセージの内容に保証を与える。Ａ ＮＳＩ Ｘ９．９−１９８６参照。 ＭＡＣＭ： メッセージ承認コードモジュール：行きおよび帰りのパケットのため のＭＡＣが行う有効化および生成を扱うＤＰＣ内のソフトウェアモジュ ール。 ＭＤＭ： メッセージ復号化モジュール：ＢＩＡ機器からの、あるいはＢＩＡ機 器へ向かうパケットを暗号化し、復号化するＤＰＣ内のソフトウェアモ ジュール。 ＭＰＭ： メッセージ処理モジュール：要求パケットの処理を行うＤＰＣ内のソ フトウェアモジュール。 ネットワーククリデンシャル： 個人と銀行の双方がＤＰＣによりネットワーククリデンシャルを作る ために識別される。証明書は接続の状況（例えば、ＴＣＰ／ＩＰソー ス・ディスティネーションポート）と共に、個人の識別を含む。ＤＰＣ は個人のアカウントＩＤ、時刻および銀行コードを用いてネットワーク クリデンシャルを作る。ＤＰＣは公開鍵による暗号化およびＤＰＣの秘 密鍵を用いてこのクリデンシャルに署名する。 ＰＦＤ： 以前の詐欺行為データベース：関連して詐欺行為があったＩＢＤ記録 のための中央データベース。すべての新しい消費者のバイオメトリック スは、常習犯を減らすために全てのＰＦＤ記録に対して検査される。 ＰＧＬ： ＰＩＮグループリスト：ＩＢＣ機器の構成を維持するために責任を有 するＤＰＣ内のソフトウェアモジュール ＰＩＮ： 個人識別番号；少なくとも１つの番号からなる秘密の知識を通じて、 個人のアカウントに対するアクセスを防止する方法。 ＰＩＣ： 個人識別コード；数字、記号又はアルファベット文字から作成される ＰＩＮ。 ＰＯＳ： ポイント・オブ・セール；物が売られる場所。 ＰＰＴ： 電話ＰＯＳ端末；ＢＩＡを装備した電話を通じてのトランザクション を承認するため、電話番号をマーチャントの価格・製品情報に結合させ る。 注文／承認／郵送先住所／ＰＯはマーチャントに転送される。承認の 結果は個人の秘密コードとともに電話のＬＣＤ上に表示され、又は「話 される」。 ＲＡＭ： ランダムアクセスメモリ。 ＲＦ： 無線周波数：一般に電気機器の通常動作中に放出される高周波エネル ギーのことをいう。 レジスタ： 特定の目的、データのために予約されるメモリ。集積回路の脇に置か れ、命令に対してオペランドを蓄える。 要求： ＢＩＡからＤＰＣに対しての電子命令であり、ＤＰＣに個人を識別し、 その後識別に成功すれば個人のコマンドを処理するように命令する。 ＲＭＤ： 遠隔マーチャントデータベース：マーチャントの電話と、ケーブルテ レビ注文店についての、マーチャントＩＤで索引付けされたすべてのマ ーチャントの識別コードを含む。マーチャントごとのシステムの暗号化 コードも含む。 ＲＰＴ： リテールＰＯＳ端末；暗号化されたバイオメトリック同一性情報を、 リテールトランザクション情報（現金レジスターからの情報の場合もあ る）に結合させる。また、システムの承認要求をＸ．２５ネットワーク、 モデム等を使って案出する。 安全伝送： 少なくとも一人の参加者がＤＰＣに識別されている場合における電子 メッセージ又はファクシミリ。 ＳＦＴ： 安全ファックス端末；送り手を識別するためにＢＩＡを用いる。安全 にされていないファックス、送り手により安全にされているファックス、 安全にされているファックス、証明書により安全にされているファック スのいずれも送信する。後者の２つについては、受け手がバイオメトリ ックＰＩＮを用いて自分自身を識別することが要求される。行きのファ ックスをラベル付けするために「タイトル」（タイトル索引数字を用い て特定される）を用いる。送り手は伝達状況を調べることもある。双方 の参加者はシステムのメンバーでなければならない。送り手と受け手の いずれもがファックスが実現されることを要求できる。 ＳＮＭ： 連続番号モジュール：帰りの要求パケットのためのＤＵＫＰＴ連続番 号処理を扱うＤＰＣ内のソフトウェアモジュール。連続番号処理は再試 行（replayattacks）を防止する。 端末： バイオメトリックサンプルを集め、要求メッセージを形成するために ＢＩＡを使用する装置。要求メッセージはその後承認および実行のため にＤＰＣに送信される。端末はほとんど常に、要求メッセージに相手方 および同様の者を識別する補助的な情報を付加する。 タイトル索引コード： 個人の承認された役割又は能力を、その個人の職業の状況と共に固有 に識別する英数字の連続。 トークン： 能力を与える動かない物体。 トラッキングコード： ＤＰＣにより蓄積され又は伝送されたデータに割り当てられた英数字 の連続。連続は、データを回復（recall）し、データ伝送の状態につい ての報告を得るために用いられることもあるように、割り当てられてい る。 トランザクション： 電子による金融の取引。 伝送： 電子による金融の取引以外の電子のメッセージ（message）。 ＶＡＤ： 有効装置データベース：ＢＩＡの所有者に加えて、各々のＢＩＡ（関 連する特有の暗号化コードとともに）が認識される、中央データベース。

───────────────────────────────────────────────────── フロントページの続き (81)指定国 ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＤＥ， ＤＫ，ＥＳ，ＦＩ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，ＩＴ，Ｌ Ｕ，ＭＣ，ＮＬ，ＰＴ，ＳＥ)，ＯＡ(ＢＦ，ＢＪ，ＣＦ ，ＣＧ，ＣＩ，ＣＭ，ＧＡ，ＧＮ，ＭＬ，ＭＲ，ＮＥ， ＳＮ，ＴＤ，ＴＧ)，ＡＰ(ＫＥ，ＬＳ，ＭＷ，ＳＤ，Ｓ Ｚ，ＵＧ)，ＡＭ，ＡＴ，ＡＵ，ＢＢ，ＢＧ，ＢＲ，Ｂ Ｙ，ＣＡ，ＣＨ，ＣＮ，ＣＺ，ＤＥ，ＤＫ，ＥＳ，ＦＩ ，ＧＢ，ＧＥ，ＨＵ，ＪＰ，ＫＥ，ＫＧ，ＫＰ，ＫＲ， ＫＺ，ＬＫ，ＬＴ，ＬＵ，ＬＶ，ＭＤ，ＭＧ，ＭＮ，Ｍ Ｗ，ＭＸ，ＮＯ，ＮＺ，ＰＬ，ＰＴ，ＲＯ，ＲＵ，ＳＤ ，ＳＥ，ＳＩ，ＳＫ，ＴＪ，ＴＴ，ＵＡ，ＵＺ，ＶＮ (72)発明者 リー，ジョナサン エイ. アメリカ合衆国 カリフォルニア 94704, バークレー，シャタック スクエア 46, スイート 12

Claims (1)

1. 【特許請求の範囲】 １．送信権要求ステップの間に収集された少なくとも１つのバイオメトリック サンプルおよび個人識別コードの検査と、登録ステップの間に収集され、以前に 記録されたバイオメトリックサンプルおよび個人識別コードとの比較とによって 個人の同一性を判定する、自発的なトークンレス識別コンピュータシステムであ って、 ａ．少なくとも１つのコンピュータと、 ｂ．該登録ステップの間に、個人に、少なくとも１つのバイオメトリックサン プル、個人識別コード、およびプライベートコードを自発的に入力させる、第１ の収集および表示手段であって、該プライベートコードが該個人により選択され る、第１の収集および表示手段と、 ｃ．該送信権要求ステップの間に、個人に、少なくとも１つのバイオメトリッ クサンプルおよび個人識別コードを自発的に入力させる、第２の収集および表示 手段と、 ｄ．該第１および該第２の収集および表示手段を該コンピュータに相互接続す ることによって、該収集されたバイオメトリックサンプル、該個人識別コードお よび該プライベートコードを該第１および該第２の収集手段から該コンピュータ へと送信する、第１の相互接続手段と、 ｅ．該送信権要求ステップの間に収集された該バイオメトリックサンプルおよ び該個人識別コードを、該登録ステップの間に収集された該バイオメトリックサ ンプルおよび該個人識別コードと比較することにより、評価を生じる手段と、 ｆ．データを格納し、コマンドを処理、実行することによって、判定を生じる 、該コンピュータ内の実行手段と、 ｇ．該コンピュータから該評価、該判定あるいは該プライベートコードを出力 する手段と、 を備えた自発なトークンレス識別コンピュータシステム。 ２．前記第１および第２の収集および表示手段が、 ａ．ハードウェア部品およびソフトウェア部品をさらに有し、バイオメトリッ クサンプルを収集する、少なくとも１つのバイオメトリック入力手段と、 ｂ．追加データを入力し、付加する、該バイオメトリック入力手段と機能的に その一部または全部が一体化された、少なくとも１つの端末手段と、 ｃ．個人識別コードを入力する少なくとも１つのデータ入力手段であって、該 バイオメトリック入力手段または該端末手段のいずれか１つと一体化されている 、データ入力手段と、 ｄ．該バイオメトリック入力手段、該データ入力手段および該端末を相互接続 する、第２の相互接続手段と、 をさらに備えている、請求項１に記載の装置。 ３．前記バイオメトリック入力手段が、前記コンピュータに対して以前に登録 されたハードウェア識別コードを有しており、該ハードウェア識別コードが、該 バイオメトリック入力手段を該コンピュータにとって固有のものとして識別可能 とする、請求項２に記載の装置。 ４．前記ハードウェア部品が、 ａ．データを処理する少なくとも１つのコンピューティングモジュールと、 ｂ．データおよびソフトウェアを格納する消去可能メモリモジュールおよび非 消去可能メモリモジュールと、 ｃ．バイオメトリックデータを入力するバイオメトリックスキャナ装置と、 ｄ．データを入力するデータ入力手段と、 ｅ．ディジタル通信ポートと、 ｆ．電子的盗聴を防止する手段と、 をさらに備えている、請求項２に記載の装置。 ５．前記ハードウェア部品が、無線通信手段をさらに備えている、請求項２に 記載の装置。 ６．前記ソフトウェア部品がコンピューティングモジュール内に常駐しており 、かつ ａ．少なくとも１つのコマンドインタフェースモジュールと、前記バイオメト リック入力装置の意図的使用のために特に構成された、第１セットのソフトウェ アおよび関連づけられたデータと、データとが格納されている、電子的に消去可 能なメモリモジュールと、 ｂ．第２セットのソフトウェアおよび関連づけられたデータが格納される、非 消去可能なメモリモジュールと、 をさらに備えている、請求項２に記載の装置。 ７．前記ソフトウェア部品が、 ａ．平文から暗号文へとデータを暗号化する手段と、 ｂ．少なくとも１つのデバイスドライバと、 をさらに備えている、請求項８に記載の装置。 ８．前記端末が、ファクシミリ機、電話、テレビジョンリモートコントロール 、パーソナルコンピュータ、クレジット／デビットカードプロセッサ、キャッシ ュレジスタ、自動預金支払機および無線パーソナルコンピュータからなる群から 選択される、請求項２に記載の装置。 ９．前記比較手段が、前記バイオメトリック入力手段を識別する手段をさらに 備えている、請求項１に記載の装置。 10．前記コンピュータシステムが、 ａ．少なくとも１つの独立したコンピュータネットワークシステムと ｂ．該コンピュータシステムを相手側のコンピュータシステムに相互接続する 第３の相互接続手段と、 をさらに備えている、請求項１に記載の装置。 11．前記データベースが、個人バイオメトリックデータベースをさらに備えて いる、請求項13に記載の装置。 12．個人を自発的にトークンなしに識別し、該識別を認証する方法であって、 ａ．個人からの少なくとも１つのバイオメトリックサンプル、個人識別コード およびプライベートコードが収集され、格納される、登録ステップと、 ｂ．個人からの少なくとも１つのバイオメトリックサンプルおよび個人識別コ ードが収集される、送信権要求ステップと、 ｃ．該送信権要求ステップの間に収集された該バイオメトリックサンプルおよ び該個人識別コードが、該登録ステップの間に収集され格納された該バイオメト リックサンプルおよび該個人識別コードと比較されることにより、識別成功また は識別失敗の結果を生じる、比較ステップと、 ｄ．コマンドが処理され実行されることによって、判定を生じる、実行ステッ プと、 ｅ．該識別結果または該判定が外面化され、表示される、出力ステップと、 ｆ．該個人の識別に成功するとただちに、該プライベートコードが該識別され ている該個人へと提示される、提示ステップと、 を含む方法。 13．アカウントインデックスが緊急アカウントとしてラベルが付けられ、該ア カウントがアクセスされた場合には、該緊急時が適切な機関に通知される、緊急 アカウントインデックス割り当てステップをさらに含んでいる、請求項12に記載 の方法。 14．前記登録ステップおよび前記送信権要求ステップが、前記データを平文か ら暗号文へと変換する暗号化ステップをさらに含んでいる、請求項12に記載 の方法。 15．前記送信権要求ステップまたは前記登録ステップには、ユニークなハード ウェア識別コードを有し、送信の度に１ずつ増加するシーケンスナンバをインク リメントする、ユニークな送信コードがさらに設けられている、請求項12に記載 の方法。 16．前記比較ステップが、反復送信を検出するのに前記ユニークな送信コード を使用することを含む、請求項12に記載の方法。 17．前記比較ステップが、相手側の識別コードおよび前記ユニークな送信コー ドを用いる相手側識別ステップをさらに含む、請求項12に記載の方法。 18．前記比較ステップが、前記送信権要求ステップの間に収集された前記個人 の前記個人識別コードおよび前記バイオメトリックスを、前記登録ステップの間 に収集された前記個人識別コードおよび前記バイオメトリックスと照合すること により、該個人を肯定的に識別することを含む、請求項12に記載の方法。 19．前記実行ステップが、借受／貸付トランザクションステップをさらに含む 、請求項12に記載の方法。 20．前記実行ステップが、アーカイブ化ステップと、データをアーカイブする トラッキングコード割り当てステップとをさらに含む、請求項12に記載の方法。 21．前記提示ステップが、前記プライベートコードを外面化することをさらに 含む、請求項12に記載の方法。 22．第１の個人からの少なくとも１つの以前に格納された第１のバイオメト リックサンプルを、個人識別コードバスケットを用いて迅速にサーチする方法に おいて、該個人識別コードバスケットが、該個人識別コードバスケットにより識 別される少なくとも１人の第２の個人からの少なくとも１つのアルゴリズム的に ユニークな第２のバイオメトリックサンプルを含みうる、方法であって、 ａ．格納ステップであって、 ｉ．該第１の個人による個人識別コードの選択と、 ii．該第１の個人からのバイオメトリックサンプルの入力と、 iii．該第１の個人により選択された該個人識別コードにより識別された該個 人識別コードバスケットの位置を特定することと、 iv．該第１の個人から取られた該バイオメトリックサンプルを、該選択された 個人識別コードバスケット内に以前に格納されたバイオメトリックサンプルのい ずれかと比較することにより、該第１の個人により入力された該バイオメトリッ クサンプルが、少なくとも１人の第２の個人により提供され、以前に格納された 少なくとも１つのバイオメトリックサンプルと比べてアルゴリズム的にユニーク であることを確かめることと、 ｖ．もし該サンプルが、該少なくとも１人の第２の個人からの該少なくとも１ つの以前に格納されたバイオメトリックサンプルと比べてアルゴリズム的にユニ ークであるのなら、該第１の個人からの該入力されたバイオメトリックサンプル を該選択された個人識別コードバスケットに格納することと、 を含む、格納ステップと、 ｂ．送信権要求ステップであって、 ｉ．該第１の個人により該選択された個人識別コードを入力することと、 ii．該第１の個人によりバイオメトリックサンプルを入力することと、 を含む、送信権要求ステップと、 ｃ．比較ステップであって、 ｉ．該第１の個人により入力された該個人識別コードにより識別される該個人 識別コードバスケットを検索することと、 ii．該第１の個人からの該入力されたバイオメトリックサンプルを、該入力さ れた個人識別コードバスケットにおける該少なくとも１人の第２の個人からの該 少なくとも１つの格納されたバイオメトリックサンプルと比較することにより、 識別成功または識別失敗のいずれかの結果を生じることと、 をさらに含む、比較ステップと、 を含む方法。 23．送信権要求ステップの間に収集された少なくとも１つのバイオメトリック サンプルおよび個人識別コードの検査と、登録ステップの間に収集され以前に記 録されたバイオメトリックサンプルおよび個人識別コードとの比較と、によって 個人の同一性を判定する、自発的なトークンレス識別コンピュータシステムであ って、 ａ．少なくとも１つのコンピュータと、 ｂ．該登録ステップの間に、個人に、少なくとも１つのバイオメトリックサン プルおよび個人識別コードを自発的に入力させる、第１の収集および表示手段と 、 ｃ．該送信権要求ステップの間に、個人に、少なくとも１つのバイオメトリッ クサンプルおよび個人識別コードを自発的に入力させる、第２の収集および表示 手段と、 ｄ．該第１および該第２の収集および表示手段を該コンピュータに相互接続す ることによって、該収集されたバイオメトリックサンプルおよび該個人識別コー ドを該第１および該第２の収集手段から該コンピュータへと送信する、第１の相 互接続手段と、 ｅ．該送信権要求ステップの間に収集された該バイオメトリックサンプルおよ び該個人識別コードを、該登録ステップの間に収集された該バイオメトリックサ ンプルおよび該個人識別コードと比較することにより、評価を生じる手段と、 ｆ．データを格納し、コマンドを処理、実行することによって、判定を生じる 、該コンピュータ内の実行手段と、 ｇ．該コンピュータから該評価または該判定を出力する手段と、 を備えた自発的なトークンレス識別コンピュータシステム。 24．前記第１および第２の収集および表示手段が、 ａ．ハードウェア部品およびソフトウェア部品をさらに有し、バイオメトリッ クサンプルを収集する、少なくとも１つのバイオメトリック入力手段と、 ｂ．追加データを入力し、付加する、該バイオメトリック入力手段と機能的に その一部または全部が一体化された、少なくとも１つの端末手段と、 ｃ．個人識別コードを入力する少なくとも１つのデータ入力手段であって、該 バイオメトリック入力手段または該端末手段のいずれか１つと一体化されている 、データ入力手段と、 ｄ．該バイオメトリック入力手段、該データ入力手段および該端末を相互接続 する、第２の相互接続手段と、 をさらに備えている、請求項23に記載の装置。 25．前記バイオメトリック入力手段が、前記コンピュータに対して以前に登録 されたハードウェア識別コードを有しており、該ハードウェア識別コードが、該 バイオメトリック入力手段を該コンピュータにとって固有のものとして識別可能 とする、請求項24に記載の装置。 26．前記ハードウェア部品が、 ａ．データを処理する少なくとも１つのコンピューティングモジュールと、 ｂ．データおよびソフトウェアを格納する消去可能メモリモジュールおよび非 消去可能メモリモジュールと、 ｃ．バイオメトリックデータを入力するバイオメトリックスキャナ装置と、 ｄ．データを入力するデータ入力手段と、 ｅ．ディジタル通信ポートと、 ｆ．電子盗聴を防止する手段と、 を備えている、請求項24に記載の装置。 27．前記ハードウェア部品が、無線通信手段をさらに備えている、請求項24に 記載の装置。 28．前記ソフトウェア部品がコンピューティングモジュール内に常駐しており 、かつ ａ．少なくとも１つのコマンドインタフェースモジュールと、前記バイオメト リック入力装置の意図的使用のために特に構成された、第１セットのソフトウェ アおよび関連づけられたデータと、データとが格納されている、電子的に消去可 能なメモリモジュールと、 ｂ．第２セットのソフトウェアおよび関連づけられたデータが格納される、非 消去可能なメモリモジュールと、 をさらに備えている、請求項24に記載の装置。 29．前記相互接続手段が、無線通信用の手段である、請求項24に記載の装置。 30．前記比較手段が、前記バイオメトリック入力装置を識別する手段をさらに 備えている、請求項23に記載の装置。 31．前記コンピュータシステムが、 ａ．少なくとも１つの相手側コンピュータシステムと、 ｂ．該コンピュータシステムを該相手側コンピュータシステムに相互接続する 第３の相互接続手段と、 をさらに備えている、請求項23に記載の装置。 32．個人を自発的にトークンなしに識別し、該識別を認証する方法であって、 ａ．個人からの少なくとも１つのバイオメトリックサンプルおよび個人識別コ ードが収集され、格納される、登録ステップと、 ｂ．個人からの少なくとも１つのバイオメトリックサンプルおよび個人識別コ ードが収集される、送信権要求ステップと、 ｃ．該送信権要求ステップの間に収集された該バイオメトリックサンプルおよ び該個人識別コードが、該登録ステップの間に収集され格納された該バイオメト リックサンプルおよび該個人識別コードと比較されることにより、識別成功また は識別失敗の結果を生じる、比較ステップと、 ｄ．コマンドが処理され実行されることによって、判定を生じる、実行ステッ プと、 ｅ．該識別結果または該判定が外面化され表示される、出力ステップと、 を含む方法。 33．アカウントインデックスが緊急アカウントとしてラベルが付けられ、該ア カウントがアクセスされた場合には、該緊急時が適切な機関に通知される、緊急 アカウントインデックス割り当てステップをさらに含んでいる、請求項32に記載 の方法。 34．前記登録ステップおよび前記送信権要求ステップが共に、データの改変を 検出する能力を提供するデータ隠蔽ステップをさらに含んでおり、 ａ．秘密鍵と、 ｂ．該秘密鍵なしには再生されえない該データの非可逆的一方向変換と、 を含む、請求項32に記載の方法。 35．前記比較ステップが、反復送信を検出するのに前記ユニークな送信コード を使用することをさらに含む、請求項32に記載の方法。 36．前記比較ステップが、前記送信権要求ステップの間に収集された前記個人 の前記個人識別コードおよび前記バイオメトリックスを、前記登録ステップの間 に収集された前記個人識別コードおよび前記バイオメトリックスと照合すること により、該個人を肯定的に識別することを含む、請求項32に記載の方法。