JP4169790B2 - セキュリティチェックの実行 - Google Patents
セキュリティチェックの実行 Download PDFInfo
- Publication number
- JP4169790B2 JP4169790B2 JP53826498A JP53826498A JP4169790B2 JP 4169790 B2 JP4169790 B2 JP 4169790B2 JP 53826498 A JP53826498 A JP 53826498A JP 53826498 A JP53826498 A JP 53826498A JP 4169790 B2 JP4169790 B2 JP 4169790B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- data
- data set
- partial
- biometric
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/25—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
- G07C9/257—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/30—Individual registration on entry or exit not involving the use of a pass
- G07C9/32—Individual registration on entry or exit not involving the use of a pass in combination with an identity check
- G07C9/37—Individual registration on entry or exit not involving the use of a pass in combination with an identity check using biometric data, e.g. fingerprints, iris scans or voice recognition
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Collating Specific Patterns (AREA)
- Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
- Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
Description
本発明は、自動的にセキュリティチェックを実行する方法に関する。本発明は、制限はしないが、とくに遠隔通信リンクを経由してアクセスするコンピュータのセキュリティに関して有益である。
最も基本的なレベルでは、セキュリティチェックの実行は、一人の人物がいて、その者が認めた人々のみに通過を許可することとする。しかしながら、セキュリティチェックを行う人物によって認めることが各人々にとって実現できないほど大人数の人々が承認されるようになると、この基本的なシステムは動作できなくなる。このため、このようなチェックはしばしば、チェックを通過することを承認された全ての人々に、そのように承認されたことを示すポータブルデバイス(可搬形装置)を供給することによって行われる。ポータブルデバイスがそれを供給された以外の人々によって使用されるのを防ぐために、ポータブルデバイスを承認された人ごとに特定してもよい。例えば、ポータブルデバイスに承認された人の写真を備えたり、または承認された人によってサインをしてもよい。写真を備える例には所有者の写真が添付してあるパスポートがあり、サインをする例には所有者によってサインされたチェック保証カード(cheque guarantee card)がある。写真とその人の外見、またはその人のサインとカードのサインとが実質的に同じであると判断されると、パスポートまたはクレジットカードの所有者は関係するセキュリティチェックを通過することを許可され、ここで示した例では国境を超えるか、または口座から現金を引き落とすことができるようになる。
多くの場合、セキュリティチェックの実行を自動化することが望ましい。これは普通、各承認されたユーザを、各ユーザによって記憶されることになるデータシーケンスに割当てることによって達成される。例えば、銀行口座の所有者は、承認されたユーザに割当てられた個人識別番号(PIN)をもち、コンピュータにアクセスすることを承認された人は承認されたユーザに割当てられたパスワードをもつことができる。
さらに最近では、生物測定、すなわち人の生物学的特徴の統計的または量子的測定に少なくとも部分的に依存して、データを捕捉することに関するセキュリティチェックが開発された。例えば、米国特許第5,291,560号明細書は、人間の眼を作像して、そのアイリスによって表示される空間輝度分配(spatial luminance distribution)を表すデータを得て;その画像データを“アイリスコード(iris code)”へ変換して、承認されたユーザの記憶されたアイリスコードと比較するデバイスを開示した。他の生物測定、例えばサインおよび指紋の捕捉も提案されている。
自動的なセキュリティチェックにおいて使用されるデータシーケンスが承認されていない人の手に入ってしまうとすると、その承認されていない人がデータシーケンスを使用して、セキュリティチェックを破ることができるために、問題が生じる。
セキュリティチェックが破られる1つの方法として、承認されたユーザがセキュリティチェックを通過しようとしているとき、このユーザのパスワード、PIN、またはアイリスコードを得た盗聴者が、それが通信リンク上を送られるときに、セキュリティを破るといったものがある。そこでパスワード、PIN、またはアイリスコードが盗聴者によって再び送られ、盗聴者はセキュリティチェックを通過することができる。ここで“通信リンク”という用語は電話線(銅ケーブルまたは光ファイバ)、無線または他のワイヤレス通信リンク、別々の住宅内の電子デバイス間のケーブリング(ケーブル配線)、および他の類似のタイプのリンクを含むことを意図している。このようなケーブリングは、通信リンクに備え付けられた記録デバイスを使用して、または恐らくはリンクから放出している電磁放射をモニタすることによってモニタすることができる。
承認されたユーザが携帯している、データシーケンスを記憶したポータブルデバイス−例えば、PINを記憶している銀行のカード−が盗まれて読取られるときに、類似の問題が生じる。
これらの問題に対する一般的なアプローチは、エンクリプション(暗号化)アルゴリズムを使用して、パスワードまたはPINをエンクリプト(暗号化)することである。しかしながら多くの市販のシステムは暗号化技術に依存しているが、この暗号化技術は有能な暗号解読者による攻撃に弱いことが分かっている。さらに高度な暗号化技術、例えばRSA暗号化について考えられているセキュリティは、一定の数学的演算がコンピュータ処理上実行できないという根本的な仮定に基づいている。
いわゆる一方向ハッシュ関数を使用して、データシーケンスを処理することも知られている。一方向ハッシュの機能は、このデータシーケンスを処理して“特徴を識別する(fingerprint)”のに十分な長さに短くされたデータシーケンスを供給する。例えば、中央のサーバにパスワードを記憶するという問題は、このような一方向のハッシュ関数を使用してパスワードを処理することから得られた短くされたデータシーケンスを代わりに記憶して避けることができる−すなわち短くされたデータシーケンスが整合するとすると、有効なパスワードがそのユーザにより入力されたと仮定することが合理的である。したがって中央のサーバにパスワードそれ自体を記憶する必要なく、パスワードによるセキュリティを与えることができる。
暗号化アルゴリズムおよび一方向ハッシュ関数の両方は、かなり目立つ処理オーバーヘッドをもたらすが、何れもセキュリティを保証することを示すことはできない。処理オーバーヘッドは、データ送信レートを低減し、装置のコストを増加するので市販のシステムにおいては望ましくない。
本発明の1つの態様にしたがって、自動セキュリティチェックを実行する方法であって:
ユーザデータ捕捉デバイスを動作して、
(a)セキュリティチェックを通過しようとしているユーザからユーザデータの組を得て;
(b)ユーザデータの組からの選択に関係し、ユーザの部分的なデータの組を導き出し;
前記部分的なデータの組を通信リンクを経由して認証装置へ送り、1または複数の受取り可能なデータの組を準備するように動作する段階と;
前記認証装置を動作して、前記ユーザの部分的なデータの組を前記受取り可能なデータの組と比較して、前記ユーザが前記セキュリティチェックを通過するのに承認された人であるか否かを判断する段階とを含む方法を提供する。
本発明の第2の態様にしたがって、承認された人がセキュリティチェックを通過できるようにするのに使用するポータブルデバイスであって、前記承認された人と関係するユーザデータの組から選択される要素を含む受取り可能なデータの組を、前記ユーザデータの組内の残りの要素の何れもエンコードすることなく記憶する記憶手段を含むポータブルデバイスを提供する。
1または複数の承認された人と関係するより大きなユーザデータの組から選択された要素に基づくデータを送信することによって、このときユーザデータの残りは送信されたデータから導き出すことはできないので、大きいユーザデータの組それ自体を変更せずに、選択の性質(nature)を変更することによって、セキュリティが侵害された後にセキュリティを回復することができる。
同様のやり方で、ポータブルデバイス上に1または複数の承認された人が関係しているより大きなユーザデータの組から選ばれた要素のみを記憶することによって、仮にポータブルデバイスが盗まれても、承認されたユーザに、より大きなユーザデータの組からの要素についての異なる選択を特徴付ける別のポータブルデバイスに発給することによって、システム上のセキュリティを回復することができる。このポータブルデバイスと協働して、セキュリティチェックを行う装置は、より大きなユーザデータの組からの新しい選択のみを受取るように再構成することができる。この方法では、より大きなユーザデータの組それ自体を変更する必要なしに、セキュリティを回復することができる。多くの生物測定は人の生物学的特徴の持続を表し、したがって容易に変更できないので、多くの生物測定に関して重要である。
さらに、本発明で行われる選択は、より複雑な一方向ハッシュ関数よりも、要求される処理が少ない。一方向ハッシュ関数が複雑なために、元のデータシーケンスを短くされたデータシーケンスから導き出すことができないことを証明するのが困難であるが、その一方でnの独立要素をもつデータの組からmの要素を単に選択することは(n>m)、盗聴者が元のデータシーケンスを設定することを明らかに妨げる。重要なことは、所定のユーザから得られるユーザの生物測定のデータの組それ自体は、測定されるユーザの生物測定の特徴の変化または測定処理それ自体の変化にわずかに依存して変化してよい。ほんのわずかに異なるユーザの生物測定のデータの組は、このデータの組についての著しく異なるハッシュに導くことができるので、受け入れてもよい生物測定のデータの組とハッシュとの比較は著しく問題が多い。
好ましくは、(例えば、送信の)時間に依存してユーザデータの組を導き出すときの選択処理を自動的に変更する段階をこの方法が含むことである。この特徴により、先に傍受した部分的なデータシーケンスを再び送る盗聴者は、セキュリティチェックを侵害できる可能性が低くなる結果をもたらす。送信時間の依存性は、1日の時刻、日付に依存することであり、すなわちユーザデータ捕捉デバイスおよび認証装置が同期して追随する擬似ランダムシーケンスにしたがって選択することができる。
幾つかの実施形態では、認証デバイスからユーザデータ捕捉デバイスへ信号を送信することによってユーザデータ捕捉デバイスへ選択の種類を示すことができる。このような方法により、本発明の方法を実行する装置を一層効率的に構成することができる。
エンコードされるユーザデータが生物測定を表すとき、その種類による生物測定が承認されたユーザの生物学的特徴に少なくとも部分的に依存するのでセキュリティが向上する。生物学的特徴、それ自体は記憶する必要はない。生物特徴を表すユーザデータの個々の長所は、典型的なものでは多数の独立したデータ要素をもつ生物測定を表すデータの組であり、したがってとくに本発明の方法で使用するのに適している。
選択された生物測定がイメージ(画像)の生物測定、例えばユーザの顔の造り、またはアイリス全体の空間輝度(ルミナンス)分配であるとき、ユーザがユーザデータ捕捉デバイスと物理的に接触する必要はない。したがってユーザデータ捕捉デバイスは一層使い易くなり、セキュリティチェックの処理をより迅速にできる可能性が高い。
ユーザの一方のアイリスの1つについての輝度パターンを使用することの特別な長所は、アイリスが指紋よりも一層独特な(ユニークな)識別子であり、不正行為をしようとする者にとって受け入れることができない危険を伴わずにはアイリスを変更することはほぼ不可能なことである。
これに加えて、ユーザのデータの部分的なデータの組を送信前にエンクリプトすることができる。上で示唆したように、ユーザの組が部分的にデクリプトされていたとしても、本発明の技法は簡単な暗号化よりもしっかりしているので、完全なユーザデータの組は、セキュリティチェックを侵害しようとする人に使用できない。
本発明の第3の態様にしたがって:(a)セキュリティチェックを通過しようとしているユーザから、ユーザデータの組を得て;(b)ユーザデータの組から要素の全てではないが幾つかに関係し、ユーザデータの組からユーザの部分的なデータの組を導き出し、動作可能なユーザの部分的なデータ捕捉デバイスを含むセキュリティチェック端末を提供する。
ユーザの部分的なデータの組のみを送信する端末を準備することによって、端末によって出力される信号を聞いている盗聴者は、完全なユーザデータの組の知識を得ることができないのでセキュリティが向上する。したがって、1または複数の端末をもつ通信ネットワークのセキュリティが向上する。さらに、著しくコストを増加し、速度を低減せずに端末に選択能力を与えることができる。
好ましくは、ユーザの部分的なデータ捕捉デバイスはユーザデータの組を捕捉するように動作し、ユーザの部分的なデータの組を導き出すときにユーザのデータの組から要素を選択するように動作する1または複数の処理手段に直接に接続される。
捕捉デバイスと処理手段とを直接に接続することによって、ユーザデータの組の通信のセキュリティを向上することができる。例えば、ユーザデータの組の捕捉および処理を同じ集積回路で行うことができる。
高レベルのセキュリティが不可欠でないような状態でセキュリティチェック端末としても有益な端末を準備するために、この装置はさらに:
承認されたユーザと関係するデータの組の要素の全てではないが、いくつかから導き出された受取り可能なデータの組を記憶する記憶手段を含むポータブルデバイス上に記憶される受取り可能なデータの組を読取るための読取り機と;
前記ユーザの部分的なデータの組を受取り可能なデータの組と比較する比較手段と;
前記比較手段によって行われた比較に基づいてユーザが承認された人であるか否かを示す信号を生成するように動作する認証信号生成手段とを含むことができる。
このような装置は、ポイントオブセールス(POS)装置として使用することもできる。次に、例えば50ポンド未満の転送に関するトランザクション(取引)を承認するために、認証装置との通信を要求することなく、捕捉されたユーザの部分的なデータとポータブルデバイス(通常のシステムでは、磁気ストリップ記録データを保持するクレジットカードである)上に記憶された受取り可能なデータとの間で比較を行うことができる。
しかしながら、このような端末は、中央で管理される認証装置よりも認証されていない人に一層アクセス可能であり、したがってユーザの部分的なデータの組がユーザデータからどのように導き出されるかを示す認証装置から信号を入力する入力と、こうして導き出されたユーザの部分的なデータの組を認証装置へ出力するための出力とをさらに含むことが好ましい。
本発明の第4の態様にしたがって、認証装置は:
部分的なユーザデータの組の入力手段と;
認証信号出力手段と;
1または複数の記憶されたデータの組の中に記録された1または複数の記憶媒体と、遠隔のユーザが承認された人であることを確認するのに実行可能なプロセッサ読取り可能コードとを含み、前記コードは:
前記入力手段を介してユーザの部分的なデータの組を読取るために実行可能なユーザの部分的なデータ入力コードと;
前記記憶されたデータの組の1または複数に基づいて1または複数の受取り可能なデータの組を準備するのに実行可能な受取り可能なデータの組の獲得コードと;
ユーザの部分的なデータの組および受取り可能なデータの組が、遠隔のユーザが承認された人であることを確認するのに十分に似ているか否かを確立するために実行可能なデータの組の比較コードと;
十分に似ている前記ユーザデータの組において前記出力手段を介して認証信号を出力するように実行可能な認証信号生成コードとを含む認証装置を提供する。
本発明の第5の態様にしたがって、
本発明の第4の態様にしたがう1または複数の認証装置と;
本発明の第3の態様にしたがう1または複数のセキュリティチェック端末と;
前記認証装置と端末との間の1または複数のデータ通信リンクとを含む通信ネットワークを提供する。
ここで本発明の実施形態を添付の図面を参照して例示的に記載することにする:
図1は、本発明の第1の実施形態に関係し、中間のルーティングコンピュータを介して、会社のサーバに接続されたユーザコンピュータを模式的に示す;
図2は、第1の実施形態に関係して使用するためのイメージ捕捉装置の模式図である;
図3は、イメージ捕捉装置のための1つの可能なハードウエアアーキテクチャを示す1つの可能なハードウエアアーキテクチャを示す模式図である;
図4は、図1の装置で行われる遠隔のログイン動作のフローチャートである;
図5は、図4のアイリスコード捕捉および送信段階を示すフローチャートである;
図6は、本発明の第2の実施形態に関係し、金融トランザクション(取引)サービス会社によって使用する通信ネットワークを示す;
図7は、通信ネットワークにおいてポイントオブセール端末に組込まれる追加の要素を示す;
図8は、低価格の金融トランザクションに関係して使用されるときに、本発明の第2の実施形態の要素の動作を示すフローチャートである;
図9は、より高い値の金融トランザクションに関係して使用されるときにネットワークの要素の動作を示すフローチャートである;
図10は、ユーザ認証の確実性を増加するために、付加的に後続させることができる別の動作のシーケンスを示すフローチャートである。
図1は、ユーザのパーソナルコンピュータ(PC)10を示し、PC10は正規の入力/出力デバイスおよび関係するインターフェイスに加えて、赤外線受信機22、送信機23、および赤外線信号インターフェイスカード(図示されていない)を有する。これらの追加の構成要素は、ユーザPC10とイメージ捕捉装置12との間のデータ通信を可能にする。
ユーザPC10は、モデム14および遠隔通信ライン16とを経由して中間ルーティングコンピュータ18へ接続され、中間ルーティングコンピュータ18はユーザPC10からサーバ20へ信号をルート設定する。サーバ20は、例えば会社に属し、その会社にとって重要な価値をもつファイルを含む記憶手段を有することができる。しかしながら、PC10のユーザがその会社の雇用者であるとき、PC10とサーバ20との間の通信リンクを備えることによって、雇用者は自宅で働くことができるという長所を有する。
イメージ捕捉装置12とユーザPC10との間のデータ転送は、暗号化または本発明の方法の何れも含まない。その理由はこのリンクは遠隔通信リンク16と比べて比較的に安全であると考えられるからである。とくにルーティングコンピュータ18では、いわゆる“スニッファ(sniffer)”プログラムを実行して、パスワードまたはそれに類似するものがサーバ20へ送信されるときにそれを記録することができる。
さらに詳しくいうと、イメージ捕捉装置(図2の参照符号12)は適切なハウジング126内に含まれている。ユーザは、ハウジング126の後部ウインドウ120のアイカップ115に適切に顔を置くことによって眼110を位置付ける。アイカップは、装置に入る周辺光の量を最小にする手段として、またユーザの眼をウインドウに整列させる手段として機能する。
アイカップ115はハウジング126内に形成されたバレル130に取付けられていて、眼110と固定焦点電荷結合素子(CCD)カメラ135との間に一定の間隔を与えている。バレル130はユーザに、後部ウインドウ120からハウジング126を経由して正面ウインドウ140に至る視線を与える。
眼110とカメラ135との間の光路は、部分反射ミラー145のために90°に対し、バレルを通る視線に対して45°の角度を有する。
赤外線(IR)照明源150をミラー145と眼110との間に置いて、眼を照明する。源は関係付けするスクリーン145を有し、IR光が源150からミラー145を経由してカメラ135へ直接に進むのを妨げる。
IR送信機160および受信機162は、バレル130を通る視線と一致してハウジング126の正面に配置され、トリガボタン165は、アイリスの像が捕捉されるときにユーザが制御するハウジング上に含まれている。
バレル130の正面はIRフィルタ170を含み、装置に入るIRの迷放射線量を最小にする。CCDカメラ135は、カメラとバレルとの間に配置された可視光フィルタ175を使用して迷可視迷光から保護される。CCDカメラは標準の白黒カメラであり、これはIR光放射も感知する。
装置はさらに、ハウジング(図3に関係してさらに詳しく記載する)に含まれる適切な電子回路180を含む。
バレル内に配置される光インジケータ185は、ユーザの視界内の赤色発光ダイオード(LED)および緑色LEDを含む。
部分反射ミラー145は、IRおよび近赤外線(NIR)の光放射を反射し、可視光を送るように表面コーティングされたガラススクリーンを含む。このタイプのスクリーンは、熱反射フィルタまたは‘ホットミラー’として知られている。このタイプのミラーの長所は、少なくともある程度、ミラーが眼に到達するIR放射、およびカメラに到達する可視光に対するフィルタとして機能する。
装置の全体的な大きさは主として、眼120の開口部の大きさおよび、装置のユーザによって要求される使い易さのレベルに依存する。装置のハードウエアは、単一のアプリケーション指定集積回路(ASIC)上に設計され、ASICの大きさは装置の大きさに対する制限要素ではない。さらに、周知のCCDカメラはミリメータのオーダの寸法をもつが、これも装置の大きさの制限要素ではない。
図3は、回路180に対する1つの可能なハードウエアアーキテクチャ構成を示す。上述のように、処理ハードウエアは単一のASIC上に設計されることが好ましい。装置は、読取り専用メモリ(ROM)205内に保持されるソフトウエアを実行するプロセッサ200によって制御される。ROM205内のソフトウエアは、米国特許第5,291,560号に記載されたアルゴリズムを使用して、CCDカメラ135から得られるイメージデータを処理して、256バイトのアイリスコードを生成するように実行できる。プロセッサ200は、バス210を介してROM205、ランダムアクセスメモリ(RAM)215、および入力/出力(I/O)制御装置220へ接続される。RAMは眼の少なくとも1つの捕捉されたイメージを保持するのに十分な大きさである。I/O制御装置220は適切な回路、IR送信機160および受信機162、CCDカメラ135、トリガ165、IR照明源150、および光インジケータ185に対するドライバ(図示されていない)によって接続される。全装置は適切なバッテリ(図示されていない)によって動力を与えられる。
プロセッサ200は、トリガ165、IR受信機162、およびCCDカメラ135から受信される信号を感知する。さらに、プロセッサはIR送信機160、IR照明源、CCDカメラの動作、および光インジケータ185を制御する。
赤外線受信機22および送信機23はユーザPC10の外部に装着され、PCの出力ポートの1つに接続されたケーブルを介して赤外線信号インターフェイスカード(図示されていない)に接続されている。他のデバイスには普通、すなわちモデム14、送信ライン16、ルーティングコンピュータ18、およびサーバ20がある。ユーザPC10およびサーバ20は、図4に関係して後に記載する適切な処理段階を実行するPCおよびサーバによって実行可能なソフトウエアプログラムを記憶する。プログラミングの当業者は、これらの処理段階を実行するのに適切なコードを容易に準備することができる。
ここで図4を参照すると、PC10を介してサーバへログオンする要求をユーザが行うとき、PC10は、サーバ20へのアクセスを要求するモデムを介して信号を出力するように制御される(段階30)。この要求を受取ると、サーバ20はPCへの要求に応答して、部分的なアイリスコードをサーバ20へ送る。要求される部分的なアイリスコードは、その要求を使用して1ないし8の数字#Nを送るサーバによって指示される(段階32)。
段階34では、PCがサーバ20から応答を受取ると、メッセージがPCのスクリーン上に表示され、ユーザにイメージ捕捉装置を動作して、PC10によってアイリスコードを得られるように促す。段階36(図5に関係して以下でさらに詳しく記載する)では、アイリスコードをイメージ捕捉装置12からPC10へ送信する。
PC10のRAMに記憶されたプログラムを実行して、送信されたアイリスコードから、サーバ20によって要求された部分的なアイリスコードを導き出す。このプログラムは、256バイトのアイリスコードにおいて各バイト内のN番目のビットを選択して、32バイトの部分的なアイリスコードを与えるように動作する。例えば、段階32でサーバ20が部分的なアイリスコード#1を要求すると、PCはユーザから得られるアイリスコードの各バイトの1番目のビットを選択する。アイリスコードのバイトの順序は、バイトが取出される完全なアイリスコード内のバイトの順序と同じである。この部分的なアイリスコードが導き出されると、エンクリプトされ(段階39)、モデム14およびルーティングコンピュータ18を経由してサーバ20へ送信される(段階40)。
受信するとき、エンクリプトされた部分的なアイリスコードはデクリプトされ(段階41)、段階42でサーバ20はプログラムでPC10から受取った部分的なアイリスコードを記憶された受理可能なアイリスコードと比較する。この記憶された受理可能なアイリスコードはユーザのアイリスコードからユーザの部分的なアイリスコードを導き出すのと同じ方法で承認されたユーザのアイリスコードから予め導き出されたものであり、すなわち導き出されたときには同じN番目のビットが完全なアイリスコードの各バイトから選ばれている。プログラムは、送信された部分的なアイリスコードが、サーバ20へのアクセスを認めるにあたって、同様に生成された記憶された受理可能なコードと十分に類似しているか否かを示すアクセス判断を出力する(段階44)。2つが十分に似ていないときは、この判断を表す信号はネットワークを渡ってPC10へ送られ、サーバへのアクセスが拒否されたことを示す。PCはこの結果に対するメッセージを表示する(段階48)。2つが十分に似ているときは、PC10によるサーバ20の制御はイネーブルされる。
ユーザ名およびユーザのアイリスコードを要求するためには、この実施形態をどのように改良するかは当業者によって理解されるであろう。この実施形態では、サーバはデータベースに記憶されたアイリスコードの1つと比較することだけが必要であるので遠隔のログイン動作は一層迅速になる。
ここで段階38で捕捉された完全なアイリスコードから選択された部分的なアイリスコードを導き出すことに関して、図5を参照してさらに詳しく記載することにする。
図5のフローチャートは、捕捉に関する1つの可能なプロセス、およびイメージ捕捉装置12からユーザPC10への完全なアイリスコードの送信を示す。
段階300ではイメージング(作像)装置はPC10に接続されたディスプレイが、ユーザがアイリスコードを入力すべき状態にあり、プロセスを開始するためにトリガの押下を待っていることを示す状態である。ユーザは最初にアイカップ115を眼に当てて、イメージ捕捉装置12を方向付けることによって、その位置を調整すると、ユーザはハウジング126の中を通してPC10の外側に据え付けられた受信機22を観察することができる。次に、ユーザがトリガ165を押すと、トリガは信号を生成し、この信号はプロセッサ126によって受信される。次にプロセッサはIR送信機を制御して、段階305で信号をユーザPC10へ送信して、通信を開始する。応答して、ユーザPC10は戻りメッセージをイメージング装置12へ送り戻す。
段階315で戻りメッセージがイメージング装置12によって受信されないとき、例えばその結果ユーザPC10が第1の信号を受取らないとき、光インジケータ185の赤色LEDが点灯して(段階320)、失敗を示し、トリガを再び押すことによってユーザが処理を再スタートすることを知らせる。
戻りメッセージがイメージング装置12によって受取られると、段階325で処理手段は、イメージを捕捉するCCDカメラ135へ信号を送信する。捕捉されたイメージは、RAM215に記憶される。段階330では、プロセッサ200は記憶されたイメージがエンコーディングに適しているか否かを判断する。イメージが適していないときは、プロセッサ200はカメラ135へ信号を送って、別のイメージを捕捉する。
イメージ捕捉段階は、照明源150の制御を含む。照明源150は制御ループに接続され、それによってプロセッサ200は、例えばユーザのアイリスの色彩に依存して源150の輝度を変化させることができ、例えばライトブルーのアイリスはさらに多くの光を反射し、ダークブラウンのアイリスよりも必要な照明は少ない。プロセッサ200には、ビデオシーケンスに似た幾つかの連続的に捕捉されたイメージが必要であり、プロセッサ200はソフトウエアを実行して、適切なイメージを得る前に、眼に最適な照明を判断する。
多数のイメージを捕捉することにより、例えば、1つのイメージを捕捉するときの時点でのユーザのブリンキング(まばたき)を克服することもできる。周知のディジタル信号処理技術を使用して、何れの技術が最良であるかを確立して、不適切なイメージを拒否することができる。
適切なイメージが得られると、RAM215からイメージデータを検索して、ROMに記憶されたアイリスコード生成アルゴリズムを使用して(段階315)、段階335で、アイリスコードを形成するように処理される。生成された256バイトのアイリスコードはRAM215内に記憶される。次に段階345でアイリスコードは、IR送信機160によってユーザPCへ送られる。
ユーザPC10によってデータを検索することに成功すると、送信機23は“成功”信号をイメージ捕捉装置12へ送る(段階350)。プロセッサ200は応答して、光インジケータ185の緑色LEDを点灯して、段階360で手続きが成功したことをユーザに示す。データ送信に繰返し失敗したとき、例えば5回試行した後に、光インジケータの赤色LEDを点灯して(段階355)、ユーザは全手続きを再び始めることが必要になる。
ユーザのアイリスコードについて選んだ8番目を送るだけで、盗聴者が承認なしにサーバ20へログオンできるという機会は大幅に減らされる。
本発明の別の実施形態、すなわち金融トランザクション承認装置を図6に示した。金融トランザクション承認装置は、X25規格にしたがって構成された私設通信ネットワーク50を含み、非同期転送モード(ATM)リンク52を介して、大メモリ容量をもつハードディスク56を有するUNIXワークステーション54へ接続される。ハードディスク56は、金融サービス会社の全ての承認された顧客のアイリスコードを記憶し、各顧客は最初に、エンクリプトされた部分的なアイリスコードを記録する磁気ストリップを保持するプラスチックカードを準備する。この部分的なアイリスコードは最初に、記憶したアイリスコードの各バイトの1番目のビットを含み、(カードの有効期限切れおよび盗難による)2回目のカード発行はアイリスコードの各バイトの2番目のビットをエンコードし、3回目のカード発行は各バイトの3番目のビットをエンコードし、以下同様に続く。磁気カードはさらに完全なアイリスコードからユーザの口座番号および選択の種類をエンコードする。
私設データネットワーク50は、小売店に設置された複数のポイントオブセール装置58にも接続される。これらのポイントオブセール装置58は、液晶ディスプレイ(LCD)、とくにトランザクションの値を入力するキーパッド、承認スリップを印刷するプリンタ、およびユーザカード上の磁気ストリップからデータを読取るカード読取り機のような従来の機構を含む。各端末58はさらに、データをネットワーク50へ転送するための出力をもつ。
この実施形態のポイントオブセール装置58は、多数の追加の機構をもつ。図7はこれらの追加の構成要素を記憶し、該構成要素がポイントオブセールス装置58に取付けられたデータバス60を介してどのように接続できるかを示している。2バイト以上のデータ転送を太い矢印で示し、2バイト以下のデータ転送は細い矢印で示した。データバス60は暗号化/デクリプションモジュール63を介してネットワークインターフェイス62へ接続され、ネットワークインターフェイス62はX25ネットワーク50との間で信号送信を可能にする。
上述のように、装置の承認されたユーザへ送られたカード上の磁気ストリップは、エンクリプトされた32バイトの部分的なアイリスコードおよびカード上に記憶された対応する口座番号を有する。ポイントオブセール装置はカード読取り機64を含み、カード読取り機64はカード上のデータを読取り、データバス上にデータを配置して、暗号化/デクリプションモジュール63によってデクリプトできるように動作する。追加の構成要素は電荷結合素子(CCD)カメラ66も含み、CCDカメラ66はオートフォーカス機構をもち、オートフォーカス機構はディジタルでユーザのイメージを捕捉し、それをデータバス60へ送るように動作できる。望むのであれば、オートフォーカス機構は、カメラ66内に含まれる焦点距離制御ユニット68へ信号を送ることによってオーバーライドすることができる。焦点距離制御信号は、データバス60を経由して送信することができる。応用特定集積回路(ASIC)70は、カメラ66によって捕捉されるディジタルイメージを入力するように動作して、そのイメージ内のユーザの右アイリスを識別し、その後(再び、米国特許第5,291,560号で開示された方法に類似した方法を使用して)256のアイリスコードを生成し、生成されたアイリスコードを2つの部分的なアイリスコード導出モジュール72、74の一方へ入力する。この一方のモジュール72はデータバス60から3ビットの二進値を入力し、第1の実施形態において部分的なアイリスコードを導き出したのと類似した方法で導き出される32バイトの部分的なアイリスコードを出力し、データバス60へ3ビットの二進数の値にしたがって選択されるビットを特徴付けるように動作する。第2のモジュール74は、データバス60から13ビットの値を入力し、160バイトの部分的なアイリスコードをデータバス60へ出力するように動作する。デバイス58は、ディジタルイメージデータを記憶するRAMユニット76、部分的なアイリスコード、およびネットワーク上を送信され、カード読取り機64を使用して得られる受取り可能なコードを記憶するRAM76をさらに含む。最後に、装置は比較ユニット78を有し、比較ユニット78は、データバス60を介して送られるカード読取り機64およびASIC70からデータバス60を介して送られる部分的なアイリスコードから受取り可能なデータの組を入力するように動作することができる。
低価格の金融トランザクション(取引)を実行するとき(図8参照)、ユーザは店員にカードを渡し、カードは端末デバイス58の読取り機に通される。読取り機64は、カード上に記憶されたエンクリプトされた受取り可能なデータをデータバス60へ出力する(段階80)。データはデクリプションモジュール63によってデクリプトされ(段階81)、RAM76に記憶される。その後、店員はトランザクションの値のキーを押し、値は再びRAM76に記憶される。その後、装置はネットワーク50を介してサーバ54と通信し、ユーザがトランザクションの資金を調達するのに十分な貯金残高をもつか否かを確立する。(含まれる段階は通常の装置で実行される段階と類似しているので、説明しない)。ユーザが十分な預金残高をもつと仮定すると、カメラ66はユーザのアイリスのイメージを捕捉するように制御される(段階82)。イメージを表すディジタルデータは、データバス60およびASIC70へロードされる。ASIC70は256バイトのアイリスコードを生成して、モジュール72へ送り、カードの発行番号によって示される部分的なアイリスコードを導き出し、その番号はRAM76から送られる(段階84)。
次にこのやり方で生成される部分的なアイリスコードはデータバス、さらに比較ユニット78へ出力され、比較ユニット78で部分的なアイリスコード(P.I.C.)はRAM76内に取付けられたカード読取り機64から得た受取り可能なデータの組と比較される(段階85)。部分的なアイリスコードが受取り可能なデータの組と十分に類似しているときは、低い値のトランザクションが認められ、店員はトランザクションを完成することができる。2つのデータの組が十分に類似していないときは、トランザクションは拒否される(段階87)。
上述の場合において、アイリスコードチェック手続きはユーザ認証の現在の方法、すなわちサインを比較することに代わる。しかしながら、図9の段階を図8の段階の代りに行うとき、トランザクションのセキュリティをさらに向上することができる。
図9に示した方法では、部分的なアイリスコード(この場合は、#Xで示される)は、256バイトのアイリスコードの各バイトにおいて8ビットごとに5ビットを選択することによって導き出される。56の異なる方法で選択を行うことができ、選択した5ビットを120の異なる方法で順序付け、部分的なアイリスコードを導き出す6720の可能な方法を与えることが認識されるであろう。したがって、選択を特定する値が、サーバ54によって擬似乱数的に選択される1ないし6720の間の数を表す13ビットの二進数の値である。段階87ではこの13ビットの数値はサーバによってネットワーク全体で送信され、ポイントオブセール装置に到達するとき、RAM76に記憶される。
トランザクション処理を開始するために、店員はユーザのカードをカード読取り機64に通し、カード読取り機は、カード上の磁気ストリップからユーザの口座番号に関係するデータを集める。次に口座番号をRAM76に記憶する。その後、店員はキーパッドを使用してトランザクションの値をキーで入力する。これらの情報項目の両方は周知のやり方でサーバ54へ送られ(段階88)、サーバ54は、トランザクションに使用できる預金残高が不十分であることを示す信号を送るか、またはその代りに部分的なアイリスコード#Xを導きだす方法を示す13ビットの信号を送る(段階89)。ポイントオブセール装置で受取るとき、13ビットの二進数の値はRAM76に記憶され、カメラ66はユーザのアイリスのイメージを捕捉するように制御される(段階90)。次にディジタルイメージを表すデータは、アイリスコード生成ASIC70に送られて、入力ディジタルデータを処理して256バイトのアイリスコードを供給する(段階91)。次にそのアイリスコードは部分的なアイリスコードモジュール74へ入力され、部分的なアイリスコードモジュール74はさらにRAM76から13ビットの値を受取る。アイリスコードは13ビットの値にしたがってモジュールによって動作され、要求されるアイリスコードを供給する(段階92)。当業者はASIC内にハードウエアを構成し、必要なオペレーションを行なわせる。要求される部分的なアイリスコードは、データベース60を介してエンクリプション/デクリプション(暗号/解号)モジュール63へ送られて、エンクリプト(暗号化)され(段階93)、その後ネットワークインターフェイス62を通って、サーバ54へ戻される(段階94)。
一方で、サーバ54でソフトウエアを実行して、ユーザのハードディスク(図6の参照符号56)に記録されたデータベースの一部として記憶されているエンロールされた256バイトのアイリスコードを用いて、ポイントオブセール装置58において捕捉されたアイリスコードで行なわれる動作と類似の動作をエンロールされたアイリスコードに対して行うことによって、口座所有者が受取り可能なデータの組をコンピュータで処理する(段階95)。この動作を代りにポイントオブセール装置のASIC70内に含まれるモジュール74に類似したハードウエアを使用して実行できることが当業者には認識されるであろう。
次にサーバ54は、ポイントオブセール装置から送られるエンクリプトされた部分的なアイリスコードをデクリプトし(段階96)、サーバ54がコンピュータ処理を行ったばかりの受取り可能なコードと送信された部分的なアイリスコードとを比較する。サーバ54は、比較の結果を示す信号を送る(段階98)。2つのコードが十分に類似しているとき、サーバは、ポイントオブセール装置によって受信されるトランザクションの承認(approval)を表す信号を出力し(段階99)、トランザクションを継続することができる。しかしながら、コンピュータがトランザクションの承認不可(disapproval)の信号を送信するとき、段階100でポイントオブセール装置58はトランザクションの拒否を表示する。
上述の手続きでは、13ビットの値をサーバ54によって擬似ランダムで導き出される。しかしながら、値が要求時刻に依存する別の構成を考えることができる。例えば、段階88でポイントオブセール装置58は付加的に要求の時刻と日付の指標をサーバへ送ることができる。サーバおよびポイントオブセールの両方は、1ないし6720の数字のシーケンスに同期して従い、各々が要求の時刻に有効な番号にしたがって部分的なアイリスコードを導き出す。このシーケンスは、単に5分ごとに1だけインクレメントされる数字を含むか、またはサーバ54およびポイントオブセール装置58の両方によって同時に継続する擬似ランダムシーケンスであってもよい。当業者には多くの他の可能性が考えられるであろう。
図9に示した手続きは、サーバ54によって行われる比較を削除することによって変更することができ(段階96−98)、ポイントオブセール装置58のサーバによって導き出される受取り可能なコードを送信する代りに、比較ユニット78によって比較を行う。
トランザクションに対するセキュリティの度合いをさらに一層高めるために、図10に示した付加的な段階を実行することができる。これらの段階は、例えば図8に示した段階86に代って、または図9の段階99でトランザクションが許可された後に実行することができる。
図8および9を参照して上述で記載した方法を使用して、ユーザが認証する確実性の第1のレベルに対して設定して、ポイントオブセール装置がイメージから導き出される部分的なアイリスコード#Xを供給する要求をサーバが送り、カメラ66上の光学系の焦点距離は自動的に設定されるのではなく、焦点距離制御ユニット68によって設定されるようにすることによってセキュリティをさらに向上できる。この場合、段階101では、サーバ54はネットワークを横切ってポイントオブセール装置58へ要求されている所望の焦点距離を示す信号と部分的なアイリスコードの何れかを示す信号とを含む信号を送る。この例では、信号は焦点距離が、オートフォーカス(A.F.)機構によって計算された値の1.2倍に増加することを示す。
これらの値はポイントオブセール装置58によって入力され、部分的なアイリスコード番号はRAM76に記憶され、焦点距離コードは焦点距離制御ユニット68へ送られる。焦点距離制御ユニットはカメラの光学系が新しい焦点距離をもつように調節するように動作し(段階102)、その後ユーザのアイリスコードのイメージが得られる。次に、図8の段階82ないし84に関係して既に記載したように、個々の部分的なアイリスコードを導き出し、エンクリプトし、送信する(段階103)。一方で、サーバ54は、図9の段階95に関係して既に記載したように受取り可能なデータの組をコンピュータ処理する(段階104)。
次にサーバはアルゴリズムを実行して(段階105)、導き出された部分的なアイリスコードを比較して、送信されたアイリスコードが受取り可能なデータの組よりも高さが少ない空間周波数情報を含む。イエスのときは、ネットワークの端末間のセキュリティの指標として取ることができ、段階107でトランザクションの承認を表す信号を出力する。その代りに、より高い空間周波数情報の予測される損失が分からないときは、段階106でトランザクションの承認不可を表す信号を出力する。
最も基本的なレベルでは、セキュリティチェックの実行は、一人の人物がいて、その者が認めた人々のみに通過を許可することとする。しかしながら、セキュリティチェックを行う人物によって認めることが各人々にとって実現できないほど大人数の人々が承認されるようになると、この基本的なシステムは動作できなくなる。このため、このようなチェックはしばしば、チェックを通過することを承認された全ての人々に、そのように承認されたことを示すポータブルデバイス(可搬形装置)を供給することによって行われる。ポータブルデバイスがそれを供給された以外の人々によって使用されるのを防ぐために、ポータブルデバイスを承認された人ごとに特定してもよい。例えば、ポータブルデバイスに承認された人の写真を備えたり、または承認された人によってサインをしてもよい。写真を備える例には所有者の写真が添付してあるパスポートがあり、サインをする例には所有者によってサインされたチェック保証カード(cheque guarantee card)がある。写真とその人の外見、またはその人のサインとカードのサインとが実質的に同じであると判断されると、パスポートまたはクレジットカードの所有者は関係するセキュリティチェックを通過することを許可され、ここで示した例では国境を超えるか、または口座から現金を引き落とすことができるようになる。
多くの場合、セキュリティチェックの実行を自動化することが望ましい。これは普通、各承認されたユーザを、各ユーザによって記憶されることになるデータシーケンスに割当てることによって達成される。例えば、銀行口座の所有者は、承認されたユーザに割当てられた個人識別番号(PIN)をもち、コンピュータにアクセスすることを承認された人は承認されたユーザに割当てられたパスワードをもつことができる。
さらに最近では、生物測定、すなわち人の生物学的特徴の統計的または量子的測定に少なくとも部分的に依存して、データを捕捉することに関するセキュリティチェックが開発された。例えば、米国特許第5,291,560号明細書は、人間の眼を作像して、そのアイリスによって表示される空間輝度分配(spatial luminance distribution)を表すデータを得て;その画像データを“アイリスコード(iris code)”へ変換して、承認されたユーザの記憶されたアイリスコードと比較するデバイスを開示した。他の生物測定、例えばサインおよび指紋の捕捉も提案されている。
自動的なセキュリティチェックにおいて使用されるデータシーケンスが承認されていない人の手に入ってしまうとすると、その承認されていない人がデータシーケンスを使用して、セキュリティチェックを破ることができるために、問題が生じる。
セキュリティチェックが破られる1つの方法として、承認されたユーザがセキュリティチェックを通過しようとしているとき、このユーザのパスワード、PIN、またはアイリスコードを得た盗聴者が、それが通信リンク上を送られるときに、セキュリティを破るといったものがある。そこでパスワード、PIN、またはアイリスコードが盗聴者によって再び送られ、盗聴者はセキュリティチェックを通過することができる。ここで“通信リンク”という用語は電話線(銅ケーブルまたは光ファイバ)、無線または他のワイヤレス通信リンク、別々の住宅内の電子デバイス間のケーブリング(ケーブル配線)、および他の類似のタイプのリンクを含むことを意図している。このようなケーブリングは、通信リンクに備え付けられた記録デバイスを使用して、または恐らくはリンクから放出している電磁放射をモニタすることによってモニタすることができる。
承認されたユーザが携帯している、データシーケンスを記憶したポータブルデバイス−例えば、PINを記憶している銀行のカード−が盗まれて読取られるときに、類似の問題が生じる。
これらの問題に対する一般的なアプローチは、エンクリプション(暗号化)アルゴリズムを使用して、パスワードまたはPINをエンクリプト(暗号化)することである。しかしながら多くの市販のシステムは暗号化技術に依存しているが、この暗号化技術は有能な暗号解読者による攻撃に弱いことが分かっている。さらに高度な暗号化技術、例えばRSA暗号化について考えられているセキュリティは、一定の数学的演算がコンピュータ処理上実行できないという根本的な仮定に基づいている。
いわゆる一方向ハッシュ関数を使用して、データシーケンスを処理することも知られている。一方向ハッシュの機能は、このデータシーケンスを処理して“特徴を識別する(fingerprint)”のに十分な長さに短くされたデータシーケンスを供給する。例えば、中央のサーバにパスワードを記憶するという問題は、このような一方向のハッシュ関数を使用してパスワードを処理することから得られた短くされたデータシーケンスを代わりに記憶して避けることができる−すなわち短くされたデータシーケンスが整合するとすると、有効なパスワードがそのユーザにより入力されたと仮定することが合理的である。したがって中央のサーバにパスワードそれ自体を記憶する必要なく、パスワードによるセキュリティを与えることができる。
暗号化アルゴリズムおよび一方向ハッシュ関数の両方は、かなり目立つ処理オーバーヘッドをもたらすが、何れもセキュリティを保証することを示すことはできない。処理オーバーヘッドは、データ送信レートを低減し、装置のコストを増加するので市販のシステムにおいては望ましくない。
本発明の1つの態様にしたがって、自動セキュリティチェックを実行する方法であって:
ユーザデータ捕捉デバイスを動作して、
(a)セキュリティチェックを通過しようとしているユーザからユーザデータの組を得て;
(b)ユーザデータの組からの選択に関係し、ユーザの部分的なデータの組を導き出し;
前記部分的なデータの組を通信リンクを経由して認証装置へ送り、1または複数の受取り可能なデータの組を準備するように動作する段階と;
前記認証装置を動作して、前記ユーザの部分的なデータの組を前記受取り可能なデータの組と比較して、前記ユーザが前記セキュリティチェックを通過するのに承認された人であるか否かを判断する段階とを含む方法を提供する。
本発明の第2の態様にしたがって、承認された人がセキュリティチェックを通過できるようにするのに使用するポータブルデバイスであって、前記承認された人と関係するユーザデータの組から選択される要素を含む受取り可能なデータの組を、前記ユーザデータの組内の残りの要素の何れもエンコードすることなく記憶する記憶手段を含むポータブルデバイスを提供する。
1または複数の承認された人と関係するより大きなユーザデータの組から選択された要素に基づくデータを送信することによって、このときユーザデータの残りは送信されたデータから導き出すことはできないので、大きいユーザデータの組それ自体を変更せずに、選択の性質(nature)を変更することによって、セキュリティが侵害された後にセキュリティを回復することができる。
同様のやり方で、ポータブルデバイス上に1または複数の承認された人が関係しているより大きなユーザデータの組から選ばれた要素のみを記憶することによって、仮にポータブルデバイスが盗まれても、承認されたユーザに、より大きなユーザデータの組からの要素についての異なる選択を特徴付ける別のポータブルデバイスに発給することによって、システム上のセキュリティを回復することができる。このポータブルデバイスと協働して、セキュリティチェックを行う装置は、より大きなユーザデータの組からの新しい選択のみを受取るように再構成することができる。この方法では、より大きなユーザデータの組それ自体を変更する必要なしに、セキュリティを回復することができる。多くの生物測定は人の生物学的特徴の持続を表し、したがって容易に変更できないので、多くの生物測定に関して重要である。
さらに、本発明で行われる選択は、より複雑な一方向ハッシュ関数よりも、要求される処理が少ない。一方向ハッシュ関数が複雑なために、元のデータシーケンスを短くされたデータシーケンスから導き出すことができないことを証明するのが困難であるが、その一方でnの独立要素をもつデータの組からmの要素を単に選択することは(n>m)、盗聴者が元のデータシーケンスを設定することを明らかに妨げる。重要なことは、所定のユーザから得られるユーザの生物測定のデータの組それ自体は、測定されるユーザの生物測定の特徴の変化または測定処理それ自体の変化にわずかに依存して変化してよい。ほんのわずかに異なるユーザの生物測定のデータの組は、このデータの組についての著しく異なるハッシュに導くことができるので、受け入れてもよい生物測定のデータの組とハッシュとの比較は著しく問題が多い。
好ましくは、(例えば、送信の)時間に依存してユーザデータの組を導き出すときの選択処理を自動的に変更する段階をこの方法が含むことである。この特徴により、先に傍受した部分的なデータシーケンスを再び送る盗聴者は、セキュリティチェックを侵害できる可能性が低くなる結果をもたらす。送信時間の依存性は、1日の時刻、日付に依存することであり、すなわちユーザデータ捕捉デバイスおよび認証装置が同期して追随する擬似ランダムシーケンスにしたがって選択することができる。
幾つかの実施形態では、認証デバイスからユーザデータ捕捉デバイスへ信号を送信することによってユーザデータ捕捉デバイスへ選択の種類を示すことができる。このような方法により、本発明の方法を実行する装置を一層効率的に構成することができる。
エンコードされるユーザデータが生物測定を表すとき、その種類による生物測定が承認されたユーザの生物学的特徴に少なくとも部分的に依存するのでセキュリティが向上する。生物学的特徴、それ自体は記憶する必要はない。生物特徴を表すユーザデータの個々の長所は、典型的なものでは多数の独立したデータ要素をもつ生物測定を表すデータの組であり、したがってとくに本発明の方法で使用するのに適している。
選択された生物測定がイメージ(画像)の生物測定、例えばユーザの顔の造り、またはアイリス全体の空間輝度(ルミナンス)分配であるとき、ユーザがユーザデータ捕捉デバイスと物理的に接触する必要はない。したがってユーザデータ捕捉デバイスは一層使い易くなり、セキュリティチェックの処理をより迅速にできる可能性が高い。
ユーザの一方のアイリスの1つについての輝度パターンを使用することの特別な長所は、アイリスが指紋よりも一層独特な(ユニークな)識別子であり、不正行為をしようとする者にとって受け入れることができない危険を伴わずにはアイリスを変更することはほぼ不可能なことである。
これに加えて、ユーザのデータの部分的なデータの組を送信前にエンクリプトすることができる。上で示唆したように、ユーザの組が部分的にデクリプトされていたとしても、本発明の技法は簡単な暗号化よりもしっかりしているので、完全なユーザデータの組は、セキュリティチェックを侵害しようとする人に使用できない。
本発明の第3の態様にしたがって:(a)セキュリティチェックを通過しようとしているユーザから、ユーザデータの組を得て;(b)ユーザデータの組から要素の全てではないが幾つかに関係し、ユーザデータの組からユーザの部分的なデータの組を導き出し、動作可能なユーザの部分的なデータ捕捉デバイスを含むセキュリティチェック端末を提供する。
ユーザの部分的なデータの組のみを送信する端末を準備することによって、端末によって出力される信号を聞いている盗聴者は、完全なユーザデータの組の知識を得ることができないのでセキュリティが向上する。したがって、1または複数の端末をもつ通信ネットワークのセキュリティが向上する。さらに、著しくコストを増加し、速度を低減せずに端末に選択能力を与えることができる。
好ましくは、ユーザの部分的なデータ捕捉デバイスはユーザデータの組を捕捉するように動作し、ユーザの部分的なデータの組を導き出すときにユーザのデータの組から要素を選択するように動作する1または複数の処理手段に直接に接続される。
捕捉デバイスと処理手段とを直接に接続することによって、ユーザデータの組の通信のセキュリティを向上することができる。例えば、ユーザデータの組の捕捉および処理を同じ集積回路で行うことができる。
高レベルのセキュリティが不可欠でないような状態でセキュリティチェック端末としても有益な端末を準備するために、この装置はさらに:
承認されたユーザと関係するデータの組の要素の全てではないが、いくつかから導き出された受取り可能なデータの組を記憶する記憶手段を含むポータブルデバイス上に記憶される受取り可能なデータの組を読取るための読取り機と;
前記ユーザの部分的なデータの組を受取り可能なデータの組と比較する比較手段と;
前記比較手段によって行われた比較に基づいてユーザが承認された人であるか否かを示す信号を生成するように動作する認証信号生成手段とを含むことができる。
このような装置は、ポイントオブセールス(POS)装置として使用することもできる。次に、例えば50ポンド未満の転送に関するトランザクション(取引)を承認するために、認証装置との通信を要求することなく、捕捉されたユーザの部分的なデータとポータブルデバイス(通常のシステムでは、磁気ストリップ記録データを保持するクレジットカードである)上に記憶された受取り可能なデータとの間で比較を行うことができる。
しかしながら、このような端末は、中央で管理される認証装置よりも認証されていない人に一層アクセス可能であり、したがってユーザの部分的なデータの組がユーザデータからどのように導き出されるかを示す認証装置から信号を入力する入力と、こうして導き出されたユーザの部分的なデータの組を認証装置へ出力するための出力とをさらに含むことが好ましい。
本発明の第4の態様にしたがって、認証装置は:
部分的なユーザデータの組の入力手段と;
認証信号出力手段と;
1または複数の記憶されたデータの組の中に記録された1または複数の記憶媒体と、遠隔のユーザが承認された人であることを確認するのに実行可能なプロセッサ読取り可能コードとを含み、前記コードは:
前記入力手段を介してユーザの部分的なデータの組を読取るために実行可能なユーザの部分的なデータ入力コードと;
前記記憶されたデータの組の1または複数に基づいて1または複数の受取り可能なデータの組を準備するのに実行可能な受取り可能なデータの組の獲得コードと;
ユーザの部分的なデータの組および受取り可能なデータの組が、遠隔のユーザが承認された人であることを確認するのに十分に似ているか否かを確立するために実行可能なデータの組の比較コードと;
十分に似ている前記ユーザデータの組において前記出力手段を介して認証信号を出力するように実行可能な認証信号生成コードとを含む認証装置を提供する。
本発明の第5の態様にしたがって、
本発明の第4の態様にしたがう1または複数の認証装置と;
本発明の第3の態様にしたがう1または複数のセキュリティチェック端末と;
前記認証装置と端末との間の1または複数のデータ通信リンクとを含む通信ネットワークを提供する。
ここで本発明の実施形態を添付の図面を参照して例示的に記載することにする:
図1は、本発明の第1の実施形態に関係し、中間のルーティングコンピュータを介して、会社のサーバに接続されたユーザコンピュータを模式的に示す;
図2は、第1の実施形態に関係して使用するためのイメージ捕捉装置の模式図である;
図3は、イメージ捕捉装置のための1つの可能なハードウエアアーキテクチャを示す1つの可能なハードウエアアーキテクチャを示す模式図である;
図4は、図1の装置で行われる遠隔のログイン動作のフローチャートである;
図5は、図4のアイリスコード捕捉および送信段階を示すフローチャートである;
図6は、本発明の第2の実施形態に関係し、金融トランザクション(取引)サービス会社によって使用する通信ネットワークを示す;
図7は、通信ネットワークにおいてポイントオブセール端末に組込まれる追加の要素を示す;
図8は、低価格の金融トランザクションに関係して使用されるときに、本発明の第2の実施形態の要素の動作を示すフローチャートである;
図9は、より高い値の金融トランザクションに関係して使用されるときにネットワークの要素の動作を示すフローチャートである;
図10は、ユーザ認証の確実性を増加するために、付加的に後続させることができる別の動作のシーケンスを示すフローチャートである。
図1は、ユーザのパーソナルコンピュータ(PC)10を示し、PC10は正規の入力/出力デバイスおよび関係するインターフェイスに加えて、赤外線受信機22、送信機23、および赤外線信号インターフェイスカード(図示されていない)を有する。これらの追加の構成要素は、ユーザPC10とイメージ捕捉装置12との間のデータ通信を可能にする。
ユーザPC10は、モデム14および遠隔通信ライン16とを経由して中間ルーティングコンピュータ18へ接続され、中間ルーティングコンピュータ18はユーザPC10からサーバ20へ信号をルート設定する。サーバ20は、例えば会社に属し、その会社にとって重要な価値をもつファイルを含む記憶手段を有することができる。しかしながら、PC10のユーザがその会社の雇用者であるとき、PC10とサーバ20との間の通信リンクを備えることによって、雇用者は自宅で働くことができるという長所を有する。
イメージ捕捉装置12とユーザPC10との間のデータ転送は、暗号化または本発明の方法の何れも含まない。その理由はこのリンクは遠隔通信リンク16と比べて比較的に安全であると考えられるからである。とくにルーティングコンピュータ18では、いわゆる“スニッファ(sniffer)”プログラムを実行して、パスワードまたはそれに類似するものがサーバ20へ送信されるときにそれを記録することができる。
さらに詳しくいうと、イメージ捕捉装置(図2の参照符号12)は適切なハウジング126内に含まれている。ユーザは、ハウジング126の後部ウインドウ120のアイカップ115に適切に顔を置くことによって眼110を位置付ける。アイカップは、装置に入る周辺光の量を最小にする手段として、またユーザの眼をウインドウに整列させる手段として機能する。
アイカップ115はハウジング126内に形成されたバレル130に取付けられていて、眼110と固定焦点電荷結合素子(CCD)カメラ135との間に一定の間隔を与えている。バレル130はユーザに、後部ウインドウ120からハウジング126を経由して正面ウインドウ140に至る視線を与える。
眼110とカメラ135との間の光路は、部分反射ミラー145のために90°に対し、バレルを通る視線に対して45°の角度を有する。
赤外線(IR)照明源150をミラー145と眼110との間に置いて、眼を照明する。源は関係付けするスクリーン145を有し、IR光が源150からミラー145を経由してカメラ135へ直接に進むのを妨げる。
IR送信機160および受信機162は、バレル130を通る視線と一致してハウジング126の正面に配置され、トリガボタン165は、アイリスの像が捕捉されるときにユーザが制御するハウジング上に含まれている。
バレル130の正面はIRフィルタ170を含み、装置に入るIRの迷放射線量を最小にする。CCDカメラ135は、カメラとバレルとの間に配置された可視光フィルタ175を使用して迷可視迷光から保護される。CCDカメラは標準の白黒カメラであり、これはIR光放射も感知する。
装置はさらに、ハウジング(図3に関係してさらに詳しく記載する)に含まれる適切な電子回路180を含む。
バレル内に配置される光インジケータ185は、ユーザの視界内の赤色発光ダイオード(LED)および緑色LEDを含む。
部分反射ミラー145は、IRおよび近赤外線(NIR)の光放射を反射し、可視光を送るように表面コーティングされたガラススクリーンを含む。このタイプのスクリーンは、熱反射フィルタまたは‘ホットミラー’として知られている。このタイプのミラーの長所は、少なくともある程度、ミラーが眼に到達するIR放射、およびカメラに到達する可視光に対するフィルタとして機能する。
装置の全体的な大きさは主として、眼120の開口部の大きさおよび、装置のユーザによって要求される使い易さのレベルに依存する。装置のハードウエアは、単一のアプリケーション指定集積回路(ASIC)上に設計され、ASICの大きさは装置の大きさに対する制限要素ではない。さらに、周知のCCDカメラはミリメータのオーダの寸法をもつが、これも装置の大きさの制限要素ではない。
図3は、回路180に対する1つの可能なハードウエアアーキテクチャ構成を示す。上述のように、処理ハードウエアは単一のASIC上に設計されることが好ましい。装置は、読取り専用メモリ(ROM)205内に保持されるソフトウエアを実行するプロセッサ200によって制御される。ROM205内のソフトウエアは、米国特許第5,291,560号に記載されたアルゴリズムを使用して、CCDカメラ135から得られるイメージデータを処理して、256バイトのアイリスコードを生成するように実行できる。プロセッサ200は、バス210を介してROM205、ランダムアクセスメモリ(RAM)215、および入力/出力(I/O)制御装置220へ接続される。RAMは眼の少なくとも1つの捕捉されたイメージを保持するのに十分な大きさである。I/O制御装置220は適切な回路、IR送信機160および受信機162、CCDカメラ135、トリガ165、IR照明源150、および光インジケータ185に対するドライバ(図示されていない)によって接続される。全装置は適切なバッテリ(図示されていない)によって動力を与えられる。
プロセッサ200は、トリガ165、IR受信機162、およびCCDカメラ135から受信される信号を感知する。さらに、プロセッサはIR送信機160、IR照明源、CCDカメラの動作、および光インジケータ185を制御する。
赤外線受信機22および送信機23はユーザPC10の外部に装着され、PCの出力ポートの1つに接続されたケーブルを介して赤外線信号インターフェイスカード(図示されていない)に接続されている。他のデバイスには普通、すなわちモデム14、送信ライン16、ルーティングコンピュータ18、およびサーバ20がある。ユーザPC10およびサーバ20は、図4に関係して後に記載する適切な処理段階を実行するPCおよびサーバによって実行可能なソフトウエアプログラムを記憶する。プログラミングの当業者は、これらの処理段階を実行するのに適切なコードを容易に準備することができる。
ここで図4を参照すると、PC10を介してサーバへログオンする要求をユーザが行うとき、PC10は、サーバ20へのアクセスを要求するモデムを介して信号を出力するように制御される(段階30)。この要求を受取ると、サーバ20はPCへの要求に応答して、部分的なアイリスコードをサーバ20へ送る。要求される部分的なアイリスコードは、その要求を使用して1ないし8の数字#Nを送るサーバによって指示される(段階32)。
段階34では、PCがサーバ20から応答を受取ると、メッセージがPCのスクリーン上に表示され、ユーザにイメージ捕捉装置を動作して、PC10によってアイリスコードを得られるように促す。段階36(図5に関係して以下でさらに詳しく記載する)では、アイリスコードをイメージ捕捉装置12からPC10へ送信する。
PC10のRAMに記憶されたプログラムを実行して、送信されたアイリスコードから、サーバ20によって要求された部分的なアイリスコードを導き出す。このプログラムは、256バイトのアイリスコードにおいて各バイト内のN番目のビットを選択して、32バイトの部分的なアイリスコードを与えるように動作する。例えば、段階32でサーバ20が部分的なアイリスコード#1を要求すると、PCはユーザから得られるアイリスコードの各バイトの1番目のビットを選択する。アイリスコードのバイトの順序は、バイトが取出される完全なアイリスコード内のバイトの順序と同じである。この部分的なアイリスコードが導き出されると、エンクリプトされ(段階39)、モデム14およびルーティングコンピュータ18を経由してサーバ20へ送信される(段階40)。
受信するとき、エンクリプトされた部分的なアイリスコードはデクリプトされ(段階41)、段階42でサーバ20はプログラムでPC10から受取った部分的なアイリスコードを記憶された受理可能なアイリスコードと比較する。この記憶された受理可能なアイリスコードはユーザのアイリスコードからユーザの部分的なアイリスコードを導き出すのと同じ方法で承認されたユーザのアイリスコードから予め導き出されたものであり、すなわち導き出されたときには同じN番目のビットが完全なアイリスコードの各バイトから選ばれている。プログラムは、送信された部分的なアイリスコードが、サーバ20へのアクセスを認めるにあたって、同様に生成された記憶された受理可能なコードと十分に類似しているか否かを示すアクセス判断を出力する(段階44)。2つが十分に似ていないときは、この判断を表す信号はネットワークを渡ってPC10へ送られ、サーバへのアクセスが拒否されたことを示す。PCはこの結果に対するメッセージを表示する(段階48)。2つが十分に似ているときは、PC10によるサーバ20の制御はイネーブルされる。
ユーザ名およびユーザのアイリスコードを要求するためには、この実施形態をどのように改良するかは当業者によって理解されるであろう。この実施形態では、サーバはデータベースに記憶されたアイリスコードの1つと比較することだけが必要であるので遠隔のログイン動作は一層迅速になる。
ここで段階38で捕捉された完全なアイリスコードから選択された部分的なアイリスコードを導き出すことに関して、図5を参照してさらに詳しく記載することにする。
図5のフローチャートは、捕捉に関する1つの可能なプロセス、およびイメージ捕捉装置12からユーザPC10への完全なアイリスコードの送信を示す。
段階300ではイメージング(作像)装置はPC10に接続されたディスプレイが、ユーザがアイリスコードを入力すべき状態にあり、プロセスを開始するためにトリガの押下を待っていることを示す状態である。ユーザは最初にアイカップ115を眼に当てて、イメージ捕捉装置12を方向付けることによって、その位置を調整すると、ユーザはハウジング126の中を通してPC10の外側に据え付けられた受信機22を観察することができる。次に、ユーザがトリガ165を押すと、トリガは信号を生成し、この信号はプロセッサ126によって受信される。次にプロセッサはIR送信機を制御して、段階305で信号をユーザPC10へ送信して、通信を開始する。応答して、ユーザPC10は戻りメッセージをイメージング装置12へ送り戻す。
段階315で戻りメッセージがイメージング装置12によって受信されないとき、例えばその結果ユーザPC10が第1の信号を受取らないとき、光インジケータ185の赤色LEDが点灯して(段階320)、失敗を示し、トリガを再び押すことによってユーザが処理を再スタートすることを知らせる。
戻りメッセージがイメージング装置12によって受取られると、段階325で処理手段は、イメージを捕捉するCCDカメラ135へ信号を送信する。捕捉されたイメージは、RAM215に記憶される。段階330では、プロセッサ200は記憶されたイメージがエンコーディングに適しているか否かを判断する。イメージが適していないときは、プロセッサ200はカメラ135へ信号を送って、別のイメージを捕捉する。
イメージ捕捉段階は、照明源150の制御を含む。照明源150は制御ループに接続され、それによってプロセッサ200は、例えばユーザのアイリスの色彩に依存して源150の輝度を変化させることができ、例えばライトブルーのアイリスはさらに多くの光を反射し、ダークブラウンのアイリスよりも必要な照明は少ない。プロセッサ200には、ビデオシーケンスに似た幾つかの連続的に捕捉されたイメージが必要であり、プロセッサ200はソフトウエアを実行して、適切なイメージを得る前に、眼に最適な照明を判断する。
多数のイメージを捕捉することにより、例えば、1つのイメージを捕捉するときの時点でのユーザのブリンキング(まばたき)を克服することもできる。周知のディジタル信号処理技術を使用して、何れの技術が最良であるかを確立して、不適切なイメージを拒否することができる。
適切なイメージが得られると、RAM215からイメージデータを検索して、ROMに記憶されたアイリスコード生成アルゴリズムを使用して(段階315)、段階335で、アイリスコードを形成するように処理される。生成された256バイトのアイリスコードはRAM215内に記憶される。次に段階345でアイリスコードは、IR送信機160によってユーザPCへ送られる。
ユーザPC10によってデータを検索することに成功すると、送信機23は“成功”信号をイメージ捕捉装置12へ送る(段階350)。プロセッサ200は応答して、光インジケータ185の緑色LEDを点灯して、段階360で手続きが成功したことをユーザに示す。データ送信に繰返し失敗したとき、例えば5回試行した後に、光インジケータの赤色LEDを点灯して(段階355)、ユーザは全手続きを再び始めることが必要になる。
ユーザのアイリスコードについて選んだ8番目を送るだけで、盗聴者が承認なしにサーバ20へログオンできるという機会は大幅に減らされる。
本発明の別の実施形態、すなわち金融トランザクション承認装置を図6に示した。金融トランザクション承認装置は、X25規格にしたがって構成された私設通信ネットワーク50を含み、非同期転送モード(ATM)リンク52を介して、大メモリ容量をもつハードディスク56を有するUNIXワークステーション54へ接続される。ハードディスク56は、金融サービス会社の全ての承認された顧客のアイリスコードを記憶し、各顧客は最初に、エンクリプトされた部分的なアイリスコードを記録する磁気ストリップを保持するプラスチックカードを準備する。この部分的なアイリスコードは最初に、記憶したアイリスコードの各バイトの1番目のビットを含み、(カードの有効期限切れおよび盗難による)2回目のカード発行はアイリスコードの各バイトの2番目のビットをエンコードし、3回目のカード発行は各バイトの3番目のビットをエンコードし、以下同様に続く。磁気カードはさらに完全なアイリスコードからユーザの口座番号および選択の種類をエンコードする。
私設データネットワーク50は、小売店に設置された複数のポイントオブセール装置58にも接続される。これらのポイントオブセール装置58は、液晶ディスプレイ(LCD)、とくにトランザクションの値を入力するキーパッド、承認スリップを印刷するプリンタ、およびユーザカード上の磁気ストリップからデータを読取るカード読取り機のような従来の機構を含む。各端末58はさらに、データをネットワーク50へ転送するための出力をもつ。
この実施形態のポイントオブセール装置58は、多数の追加の機構をもつ。図7はこれらの追加の構成要素を記憶し、該構成要素がポイントオブセールス装置58に取付けられたデータバス60を介してどのように接続できるかを示している。2バイト以上のデータ転送を太い矢印で示し、2バイト以下のデータ転送は細い矢印で示した。データバス60は暗号化/デクリプションモジュール63を介してネットワークインターフェイス62へ接続され、ネットワークインターフェイス62はX25ネットワーク50との間で信号送信を可能にする。
上述のように、装置の承認されたユーザへ送られたカード上の磁気ストリップは、エンクリプトされた32バイトの部分的なアイリスコードおよびカード上に記憶された対応する口座番号を有する。ポイントオブセール装置はカード読取り機64を含み、カード読取り機64はカード上のデータを読取り、データバス上にデータを配置して、暗号化/デクリプションモジュール63によってデクリプトできるように動作する。追加の構成要素は電荷結合素子(CCD)カメラ66も含み、CCDカメラ66はオートフォーカス機構をもち、オートフォーカス機構はディジタルでユーザのイメージを捕捉し、それをデータバス60へ送るように動作できる。望むのであれば、オートフォーカス機構は、カメラ66内に含まれる焦点距離制御ユニット68へ信号を送ることによってオーバーライドすることができる。焦点距離制御信号は、データバス60を経由して送信することができる。応用特定集積回路(ASIC)70は、カメラ66によって捕捉されるディジタルイメージを入力するように動作して、そのイメージ内のユーザの右アイリスを識別し、その後(再び、米国特許第5,291,560号で開示された方法に類似した方法を使用して)256のアイリスコードを生成し、生成されたアイリスコードを2つの部分的なアイリスコード導出モジュール72、74の一方へ入力する。この一方のモジュール72はデータバス60から3ビットの二進値を入力し、第1の実施形態において部分的なアイリスコードを導き出したのと類似した方法で導き出される32バイトの部分的なアイリスコードを出力し、データバス60へ3ビットの二進数の値にしたがって選択されるビットを特徴付けるように動作する。第2のモジュール74は、データバス60から13ビットの値を入力し、160バイトの部分的なアイリスコードをデータバス60へ出力するように動作する。デバイス58は、ディジタルイメージデータを記憶するRAMユニット76、部分的なアイリスコード、およびネットワーク上を送信され、カード読取り機64を使用して得られる受取り可能なコードを記憶するRAM76をさらに含む。最後に、装置は比較ユニット78を有し、比較ユニット78は、データバス60を介して送られるカード読取り機64およびASIC70からデータバス60を介して送られる部分的なアイリスコードから受取り可能なデータの組を入力するように動作することができる。
低価格の金融トランザクション(取引)を実行するとき(図8参照)、ユーザは店員にカードを渡し、カードは端末デバイス58の読取り機に通される。読取り機64は、カード上に記憶されたエンクリプトされた受取り可能なデータをデータバス60へ出力する(段階80)。データはデクリプションモジュール63によってデクリプトされ(段階81)、RAM76に記憶される。その後、店員はトランザクションの値のキーを押し、値は再びRAM76に記憶される。その後、装置はネットワーク50を介してサーバ54と通信し、ユーザがトランザクションの資金を調達するのに十分な貯金残高をもつか否かを確立する。(含まれる段階は通常の装置で実行される段階と類似しているので、説明しない)。ユーザが十分な預金残高をもつと仮定すると、カメラ66はユーザのアイリスのイメージを捕捉するように制御される(段階82)。イメージを表すディジタルデータは、データバス60およびASIC70へロードされる。ASIC70は256バイトのアイリスコードを生成して、モジュール72へ送り、カードの発行番号によって示される部分的なアイリスコードを導き出し、その番号はRAM76から送られる(段階84)。
次にこのやり方で生成される部分的なアイリスコードはデータバス、さらに比較ユニット78へ出力され、比較ユニット78で部分的なアイリスコード(P.I.C.)はRAM76内に取付けられたカード読取り機64から得た受取り可能なデータの組と比較される(段階85)。部分的なアイリスコードが受取り可能なデータの組と十分に類似しているときは、低い値のトランザクションが認められ、店員はトランザクションを完成することができる。2つのデータの組が十分に類似していないときは、トランザクションは拒否される(段階87)。
上述の場合において、アイリスコードチェック手続きはユーザ認証の現在の方法、すなわちサインを比較することに代わる。しかしながら、図9の段階を図8の段階の代りに行うとき、トランザクションのセキュリティをさらに向上することができる。
図9に示した方法では、部分的なアイリスコード(この場合は、#Xで示される)は、256バイトのアイリスコードの各バイトにおいて8ビットごとに5ビットを選択することによって導き出される。56の異なる方法で選択を行うことができ、選択した5ビットを120の異なる方法で順序付け、部分的なアイリスコードを導き出す6720の可能な方法を与えることが認識されるであろう。したがって、選択を特定する値が、サーバ54によって擬似乱数的に選択される1ないし6720の間の数を表す13ビットの二進数の値である。段階87ではこの13ビットの数値はサーバによってネットワーク全体で送信され、ポイントオブセール装置に到達するとき、RAM76に記憶される。
トランザクション処理を開始するために、店員はユーザのカードをカード読取り機64に通し、カード読取り機は、カード上の磁気ストリップからユーザの口座番号に関係するデータを集める。次に口座番号をRAM76に記憶する。その後、店員はキーパッドを使用してトランザクションの値をキーで入力する。これらの情報項目の両方は周知のやり方でサーバ54へ送られ(段階88)、サーバ54は、トランザクションに使用できる預金残高が不十分であることを示す信号を送るか、またはその代りに部分的なアイリスコード#Xを導きだす方法を示す13ビットの信号を送る(段階89)。ポイントオブセール装置で受取るとき、13ビットの二進数の値はRAM76に記憶され、カメラ66はユーザのアイリスのイメージを捕捉するように制御される(段階90)。次にディジタルイメージを表すデータは、アイリスコード生成ASIC70に送られて、入力ディジタルデータを処理して256バイトのアイリスコードを供給する(段階91)。次にそのアイリスコードは部分的なアイリスコードモジュール74へ入力され、部分的なアイリスコードモジュール74はさらにRAM76から13ビットの値を受取る。アイリスコードは13ビットの値にしたがってモジュールによって動作され、要求されるアイリスコードを供給する(段階92)。当業者はASIC内にハードウエアを構成し、必要なオペレーションを行なわせる。要求される部分的なアイリスコードは、データベース60を介してエンクリプション/デクリプション(暗号/解号)モジュール63へ送られて、エンクリプト(暗号化)され(段階93)、その後ネットワークインターフェイス62を通って、サーバ54へ戻される(段階94)。
一方で、サーバ54でソフトウエアを実行して、ユーザのハードディスク(図6の参照符号56)に記録されたデータベースの一部として記憶されているエンロールされた256バイトのアイリスコードを用いて、ポイントオブセール装置58において捕捉されたアイリスコードで行なわれる動作と類似の動作をエンロールされたアイリスコードに対して行うことによって、口座所有者が受取り可能なデータの組をコンピュータで処理する(段階95)。この動作を代りにポイントオブセール装置のASIC70内に含まれるモジュール74に類似したハードウエアを使用して実行できることが当業者には認識されるであろう。
次にサーバ54は、ポイントオブセール装置から送られるエンクリプトされた部分的なアイリスコードをデクリプトし(段階96)、サーバ54がコンピュータ処理を行ったばかりの受取り可能なコードと送信された部分的なアイリスコードとを比較する。サーバ54は、比較の結果を示す信号を送る(段階98)。2つのコードが十分に類似しているとき、サーバは、ポイントオブセール装置によって受信されるトランザクションの承認(approval)を表す信号を出力し(段階99)、トランザクションを継続することができる。しかしながら、コンピュータがトランザクションの承認不可(disapproval)の信号を送信するとき、段階100でポイントオブセール装置58はトランザクションの拒否を表示する。
上述の手続きでは、13ビットの値をサーバ54によって擬似ランダムで導き出される。しかしながら、値が要求時刻に依存する別の構成を考えることができる。例えば、段階88でポイントオブセール装置58は付加的に要求の時刻と日付の指標をサーバへ送ることができる。サーバおよびポイントオブセールの両方は、1ないし6720の数字のシーケンスに同期して従い、各々が要求の時刻に有効な番号にしたがって部分的なアイリスコードを導き出す。このシーケンスは、単に5分ごとに1だけインクレメントされる数字を含むか、またはサーバ54およびポイントオブセール装置58の両方によって同時に継続する擬似ランダムシーケンスであってもよい。当業者には多くの他の可能性が考えられるであろう。
図9に示した手続きは、サーバ54によって行われる比較を削除することによって変更することができ(段階96−98)、ポイントオブセール装置58のサーバによって導き出される受取り可能なコードを送信する代りに、比較ユニット78によって比較を行う。
トランザクションに対するセキュリティの度合いをさらに一層高めるために、図10に示した付加的な段階を実行することができる。これらの段階は、例えば図8に示した段階86に代って、または図9の段階99でトランザクションが許可された後に実行することができる。
図8および9を参照して上述で記載した方法を使用して、ユーザが認証する確実性の第1のレベルに対して設定して、ポイントオブセール装置がイメージから導き出される部分的なアイリスコード#Xを供給する要求をサーバが送り、カメラ66上の光学系の焦点距離は自動的に設定されるのではなく、焦点距離制御ユニット68によって設定されるようにすることによってセキュリティをさらに向上できる。この場合、段階101では、サーバ54はネットワークを横切ってポイントオブセール装置58へ要求されている所望の焦点距離を示す信号と部分的なアイリスコードの何れかを示す信号とを含む信号を送る。この例では、信号は焦点距離が、オートフォーカス(A.F.)機構によって計算された値の1.2倍に増加することを示す。
これらの値はポイントオブセール装置58によって入力され、部分的なアイリスコード番号はRAM76に記憶され、焦点距離コードは焦点距離制御ユニット68へ送られる。焦点距離制御ユニットはカメラの光学系が新しい焦点距離をもつように調節するように動作し(段階102)、その後ユーザのアイリスコードのイメージが得られる。次に、図8の段階82ないし84に関係して既に記載したように、個々の部分的なアイリスコードを導き出し、エンクリプトし、送信する(段階103)。一方で、サーバ54は、図9の段階95に関係して既に記載したように受取り可能なデータの組をコンピュータ処理する(段階104)。
次にサーバはアルゴリズムを実行して(段階105)、導き出された部分的なアイリスコードを比較して、送信されたアイリスコードが受取り可能なデータの組よりも高さが少ない空間周波数情報を含む。イエスのときは、ネットワークの端末間のセキュリティの指標として取ることができ、段階107でトランザクションの承認を表す信号を出力する。その代りに、より高い空間周波数情報の予測される損失が分からないときは、段階106でトランザクションの承認不可を表す信号を出力する。
Claims (8)
- (a)セキュリティチェックを通る試行をするユーザから、ユーザデータの組を得て、(b)該ユーザデータの組からユーザの部分的なデータ組を導き出し、該導き出すことは該ユーザデータの組からの要素選択を含み、該要素選択が時間に依存して自動的に変更されるように動作可能なユーザの部分的なデータ捕捉デバイスと、
承認された人がセキュリティチェックを通過できるようにするのに使用するポータブルデバイス上に記憶される容認可能なデータの組を読取る読取り機であって、前記容認可能なデータの組は承認されたユーザと関係する承認されたユーザデータの組から選択される要素を含み、前記ユーザデータの組内の残りの要素の何れもエンコードしない読取り機と、
前記ユーザの部分的なデータの組と前記容認可能なデータの組とを比較する比較手段と、
前記比較手段によってなされる該比較に基づいてユーザが承認された人かどうかを示す信号を生成するように動作する認証信号生成手段とを含み、
前記ユーザデータ捕捉デバイスがユーザの生物測定データ捕捉デバイスを含み、前記ユーザデータの組は単一の生物測定を表すユーザの生物測定データの組を含み、前記ユーザの部分的なデータの組がユーザの部分的な生物測定データの組を含み、および前記容認できるデータの組は容認できる部分的な生物測定データの組を含む、セキュリティチェック端末。 - 前記部分的なデータ組を導き出す要素選択は、ユーザデータを構成するコードからビットの部分集合を選択することであり、該ビットは該コードの各バイトから任意のビット位置に基づいて選択される請求項1に記載の端末。
- 前記ユーザの部分的なデータ捕捉デバイスは、ユーザデータ捕捉デバイスと1または複数の処理手段とを含み、
前記ユーザデータ捕捉デバイスがユーザデータの組を捕捉するように動作し、前記1または複数の処理手段に直接に接続され、前記処理手段が前記ユーザデータの組から要素を選択して、ユーザの部分的なデータの組を導き出すように動作する請求項1または2に記載の端末。 - 生物測定を表す前記ユーザの生物測定データの組が、イメージの生物測定を表し、前記生物測定データ捕捉デバイスがイメージングデバイスを含む請求項1に記載の端末。
- 前記イメージングデバイスが制御可能なパラメータを有し、光パラメータの1つ以上を特定するために外部から前記イメージングデバイスへ呼掛け信号を送信する請求項4に記載の端末。
- 前記外部から制御可能な光パラメータが、イメージングデバイスの焦点距離を含み、該呼掛け信号が焦点距離を特定するのに効果的な請求項5に記載の端末。
- 生物測定を表す前記ユーザの生物測定データの組がユーザのアイリスの1つの輝度パターンを表す請求項1、4、5および6の何れか1項に記載の端末。
- 請求項1乃至請求項7のいずれか1項記載のセキュリティチェック端末と結合して使用する携帯デバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP97301383.2 | 1997-03-03 | ||
| EP97301383A EP0863491A1 (en) | 1997-03-03 | 1997-03-03 | Security check provision |
| PCT/GB1998/000638 WO1998039740A1 (en) | 1997-03-03 | 1998-03-02 | Security check provision |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2001513931A JP2001513931A (ja) | 2001-09-04 |
| JP2001513931A5 JP2001513931A5 (ja) | 2005-11-10 |
| JP4169790B2 true JP4169790B2 (ja) | 2008-10-22 |
Family
ID=8229233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP53826498A Expired - Lifetime JP4169790B2 (ja) | 1997-03-03 | 1998-03-02 | セキュリティチェックの実行 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US20010014167A1 (ja) |
| JP (1) | JP4169790B2 (ja) |
| AU (1) | AU744065B2 (ja) |
| CA (1) | CA2282016C (ja) |
| DE (1) | DE69830306T2 (ja) |
| ES (1) | ES2244049T3 (ja) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010014167A1 (en) * | 1997-03-03 | 2001-08-16 | Maurice M Gifford | Security check provision |
| US6930709B1 (en) * | 1997-12-04 | 2005-08-16 | Pentax Of America, Inc. | Integrated internet/intranet camera |
| US7010501B1 (en) * | 1998-05-29 | 2006-03-07 | Symbol Technologies, Inc. | Personal shopping system |
| JP4529263B2 (ja) * | 2000-09-18 | 2010-08-25 | 沖電気工業株式会社 | アイリス認識装置 |
| US7562380B2 (en) * | 2000-10-27 | 2009-07-14 | Hoya Corporation | Internet camera system |
| IL141389A0 (en) * | 2001-02-12 | 2002-03-10 | Weiss Golan | A system and a method for person's identity authentication |
| US7442629B2 (en) | 2004-09-24 | 2008-10-28 | President & Fellows Of Harvard College | Femtosecond laser-induced formation of submicrometer spikes on a semiconductor substrate |
| US7057256B2 (en) | 2001-05-25 | 2006-06-06 | President & Fellows Of Harvard College | Silicon-based visible and near-infrared optoelectric devices |
| US20020194003A1 (en) * | 2001-06-05 | 2002-12-19 | Mozer Todd F. | Client-server security system and method |
| DE10140152A1 (de) * | 2001-08-16 | 2003-03-06 | Kurt Staehle | Verfahren zur Erstellung und Auswertung einer medizinischen Datenbank |
| KR100842501B1 (ko) * | 2002-02-21 | 2008-07-01 | 엘지전자 주식회사 | 홍채 인식 시스템의 눈위치 표시장치 |
| US7127094B1 (en) * | 2003-01-02 | 2006-10-24 | Electro Optical Sciences Inc | Method of controlling data gathered at remote locations |
| AU2003903392A0 (en) * | 2003-07-03 | 2003-07-17 | Argus Solutions Pty Ltd | Management control of assets |
| JP4793179B2 (ja) * | 2005-11-14 | 2011-10-12 | オムロン株式会社 | 認証装置及び携帯端末 |
| JP4462231B2 (ja) * | 2006-05-09 | 2010-05-12 | 株式会社デンソー | 車両用オートライト装置 |
| JP2007304792A (ja) | 2006-05-10 | 2007-11-22 | Hitachi Omron Terminal Solutions Corp | 認証システムを構成する処理装置及び認証システム及びその動作方法 |
| US20080004892A1 (en) * | 2006-06-30 | 2008-01-03 | Jerry Zucker | Biometric aid for customer relations |
| US8239325B2 (en) * | 2007-01-18 | 2012-08-07 | Paymentone Corporation | Method and system to verify the identity of a user |
| GB2450537A (en) * | 2007-06-28 | 2008-12-31 | Symbian Software Ltd | Identity verification using a subset of identification symbols |
| US20090033458A1 (en) * | 2007-07-31 | 2009-02-05 | Prastel S.P.A. | Integrated apparatus for the control of the accesses |
| US8787623B2 (en) * | 2008-11-26 | 2014-07-22 | Bioptigen, Inc. | Methods, systems and computer program products for diagnosing conditions using unique codes generated from a multidimensional image of a sample |
| US9911781B2 (en) | 2009-09-17 | 2018-03-06 | Sionyx, Llc | Photosensitive imaging devices and associated methods |
| US9673243B2 (en) | 2009-09-17 | 2017-06-06 | Sionyx, Llc | Photosensitive imaging devices and associated methods |
| US8692198B2 (en) | 2010-04-21 | 2014-04-08 | Sionyx, Inc. | Photosensitive imaging devices and associated methods |
| CN103081128B (zh) | 2010-06-18 | 2016-11-02 | 西奥尼克斯公司 | 高速光敏设备及相关方法 |
| US20120234918A1 (en) * | 2011-03-16 | 2012-09-20 | Lindsay Peter R | Card reader device for a cell phone and method of use |
| US9496308B2 (en) | 2011-06-09 | 2016-11-15 | Sionyx, Llc | Process module for increasing the response of backside illuminated photosensitive imagers and associated methods |
| US20170161557A9 (en) * | 2011-07-13 | 2017-06-08 | Sionyx, Inc. | Biometric Imaging Devices and Associated Methods |
| US20130016203A1 (en) | 2011-07-13 | 2013-01-17 | Saylor Stephen D | Biometric imaging devices and associated methods |
| JP5483629B2 (ja) * | 2012-02-29 | 2014-05-07 | 東芝テック株式会社 | 情報処理装置、店舗システム及びプログラム |
| US9064764B2 (en) | 2012-03-22 | 2015-06-23 | Sionyx, Inc. | Pixel isolation elements, devices, and associated methods |
| KR20150130303A (ko) | 2013-02-15 | 2015-11-23 | 사이오닉스, 아이엔씨. | 안티 블루밍 특성 및 관련 방법을 가지는 높은 동적 범위의 cmos 이미지 센서 |
| WO2014151093A1 (en) | 2013-03-15 | 2014-09-25 | Sionyx, Inc. | Three dimensional imaging utilizing stacked imager devices and associated methods |
| US10075618B2 (en) * | 2013-04-22 | 2018-09-11 | Sony Corporation | Security feature for digital imaging |
| US9209345B2 (en) | 2013-06-29 | 2015-12-08 | Sionyx, Inc. | Shallow trench textured regions and associated methods |
| US20150172285A1 (en) * | 2013-12-17 | 2015-06-18 | Mei Ling LO | Method for Accessing E-Mail System |
| US20170124313A1 (en) * | 2015-11-02 | 2017-05-04 | BIOMIDS Inc. | Authentication System and Method |
| GB2547954B (en) * | 2016-03-03 | 2021-12-22 | Zwipe As | Attack resistant biometric authorised device |
| CN109697404A (zh) * | 2018-09-28 | 2019-04-30 | ***股份有限公司 | 身份识别***和方法、终端以及计算机存储介质 |
| US11223645B2 (en) * | 2018-10-15 | 2022-01-11 | Paypal, Inc. | Deep intelligence context engine |
| US11082452B2 (en) | 2018-10-15 | 2021-08-03 | Paypal, Inc. | Multi-dimensional drift nuance intelligence threat engine |
| US12003273B2 (en) * | 2021-12-20 | 2024-06-04 | Microsoft Technology Licensing, Llc | Secure element authentication using over the air optical communication |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3857018A (en) * | 1973-12-07 | 1974-12-24 | Business Electronics Inc | Controlled access systems |
| CA1176335A (en) | 1981-06-05 | 1984-10-16 | Exide Electronics Corporation | Computer communications control |
| KR900000116B1 (ko) * | 1985-03-01 | 1990-01-20 | 미쓰비시 뎅기 가부시끼가이샤 | 개인 식별 시스템(system) |
| US4975969A (en) * | 1987-10-22 | 1990-12-04 | Peter Tal | Method and apparatus for uniquely identifying individuals by particular physical characteristics and security system utilizing the same |
| US4993068A (en) * | 1989-11-27 | 1991-02-12 | Motorola, Inc. | Unforgeable personal identification system |
| US5233655A (en) * | 1991-02-19 | 1993-08-03 | Shapiro Sanford S | Data access verification system |
| US5291560A (en) * | 1991-07-15 | 1994-03-01 | Iri Scan Incorporated | Biometric personal identification system based on iris analysis |
| JPH06197078A (ja) | 1992-12-24 | 1994-07-15 | Fujitsu Ltd | 通信端末接続方式 |
| JPH0728755A (ja) | 1993-07-08 | 1995-01-31 | Toshiba Corp | 個人認証装置 |
| JP2755127B2 (ja) | 1993-10-15 | 1998-05-20 | 日本電気株式会社 | 個人認証装置 |
| US5642160A (en) * | 1994-05-27 | 1997-06-24 | Mikohn Gaming Corporation | Digital image capture system for photo identification cards |
| ES2169142T3 (es) * | 1994-07-26 | 2002-07-01 | Internat Data Matrix Inc | Articulos de autoverificacion inalterable. |
| US5870723A (en) * | 1994-11-28 | 1999-02-09 | Pare, Jr.; David Ferrin | Tokenless biometric transaction authorization method and system |
| US5615277A (en) * | 1994-11-28 | 1997-03-25 | Hoffman; Ned | Tokenless security system for authorizing access to a secured computer system |
| JPH08180021A (ja) | 1994-12-20 | 1996-07-12 | Canon Inc | 質問応答型個人認証装置、質問応答型個人認証方法、通信装置および通信方法 |
| FR2730076B1 (fr) | 1995-01-31 | 1997-03-28 | Sorep Sa | Procede d'authentification par un serveur du porteur d'un objet portatif a microprocesseur, serveur et objet portatif correspondants |
| JP3452685B2 (ja) * | 1995-05-10 | 2003-09-29 | 三菱電機株式会社 | 顔画像の処理装置 |
| JPH0950524A (ja) | 1995-06-01 | 1997-02-18 | Shozo Hagiwara | 携帯用身元確認保証装置 |
| GB9513790D0 (en) | 1995-07-06 | 1995-09-06 | Highwater Fbi Limited | Method of authenticating digital data works |
| JPH0927032A (ja) | 1995-07-11 | 1997-01-28 | Mitsubishi Electric Corp | 指紋照合システム |
| US5850470A (en) * | 1995-08-30 | 1998-12-15 | Siemens Corporate Research, Inc. | Neural network for locating and recognizing a deformable object |
| US5815252A (en) * | 1995-09-05 | 1998-09-29 | Canon Kabushiki Kaisha | Biometric identification process and system utilizing multiple parameters scans for reduction of false negatives |
| JPH09212644A (ja) * | 1996-02-07 | 1997-08-15 | Oki Electric Ind Co Ltd | 虹彩認識装置および虹彩認識方法 |
| US6076167A (en) * | 1996-12-04 | 2000-06-13 | Dew Engineering And Development Limited | Method and system for improving security in network applications |
| US20010014167A1 (en) * | 1997-03-03 | 2001-08-16 | Maurice M Gifford | Security check provision |
| US6615277B1 (en) * | 1999-03-29 | 2003-09-02 | International Business Machines Corporation | Cross-platform program, system, and method having a global registry object for mapping registry equivalent functions in an operating system environment |
-
1998
- 1998-03-02 US US09/068,151 patent/US20010014167A1/en active Granted
- 1998-03-02 ES ES98908207T patent/ES2244049T3/es not_active Expired - Lifetime
- 1998-03-02 US US09/068,151 patent/US6907135B2/en not_active Expired - Lifetime
- 1998-03-02 JP JP53826498A patent/JP4169790B2/ja not_active Expired - Lifetime
- 1998-03-02 CA CA002282016A patent/CA2282016C/en not_active Expired - Fee Related
- 1998-03-02 AU AU66289/98A patent/AU744065B2/en not_active Ceased
- 1998-03-02 DE DE69830306T patent/DE69830306T2/de not_active Expired - Lifetime
-
2005
- 2005-02-16 US US11/058,256 patent/US7424135B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CA2282016A1 (en) | 1998-09-11 |
| DE69830306D1 (de) | 2005-06-30 |
| AU744065B2 (en) | 2002-02-14 |
| CA2282016C (en) | 2007-05-01 |
| ES2244049T3 (es) | 2005-12-01 |
| DE69830306T2 (de) | 2006-02-02 |
| US6907135B2 (en) | 2005-06-14 |
| AU6628998A (en) | 1998-09-22 |
| US7424135B2 (en) | 2008-09-09 |
| US20010014167A1 (en) | 2001-08-16 |
| US20050147279A1 (en) | 2005-07-07 |
| JP2001513931A (ja) | 2001-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4169790B2 (ja) | セキュリティチェックの実行 | |
| US6333988B1 (en) | Personal identification | |
| EP0966729B1 (en) | Security check provision | |
| US6270011B1 (en) | Remote credit card authentication system | |
| US20200019683A1 (en) | Biometric identification device with removable card capabilities | |
| US7591425B1 (en) | Method and system for securing a transaction | |
| US7631193B1 (en) | Tokenless identification system for authorization of electronic transactions and electronic transmissions | |
| US6636620B1 (en) | Personal identification authenticating with fingerprint identification | |
| US8966268B2 (en) | Strong authentication token with visual output of PKI signatures | |
| US8397988B1 (en) | Method and system for securing a transaction using a card generator, a RFID generator, and a challenge response protocol | |
| US9542542B2 (en) | Single step transaction authentication using proximity and biometric input | |
| AU2009200408B2 (en) | Password generator | |
| JP2006146914A (ja) | バイオセンサを有するidカード及びユーザー認証方法 | |
| Clarke et al. | The untrusted computer problem and camera-based authentication | |
| US20030120934A1 (en) | Random biometric authentication apparatus | |
| KR20050109404A (ko) | 이동단말기에 탑재될 수 있는 디지털 카드 및 상기 디지털카드를 이용한 결제 시스템 및 그 방법 | |
| US20120144204A1 (en) | Updates of biometric access systems | |
| US20120138693A1 (en) | Data transmission to optical terminals | |
| US20200234285A1 (en) | Offline Interception-Free Interaction with a Cryptocurrency Network Using a Network-Disabled Device | |
| KR100711863B1 (ko) | 본인 확인 기능을 가진 무인 단말 장치 | |
| WO1999046881A1 (en) | Transaction card security system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050302 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050302 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070410 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070706 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070820 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071010 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071127 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080212 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080324 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080522 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080708 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080806 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120815 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120815 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130815 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |