【課題を解決するための手段】
【0006】
したがって、本発明は、第一の態様では、デバイス内に内蔵されたバイオメトリックセンサを用いて、ポータブルバイオメトリック認証デバイスのベアラの身元を認証する工程と、認証の信頼スコアを決定し、ベアラが認証されて信頼スコアが所定の閾値を下回る場合に第1のアクションを許可し、そして、ベアラが認証されて信頼スコアが所定の閾値を上回る場合に第2のアクションを許可する工程とを含む方法を提供する。
【0007】
この方法は、指紋、拇印、または他のバイオメトリックスキャンが完全に一致しないときでも、デバイスの使用を許可する。これは、例えば、指紋の場合、ベアラが指を切ったり焼いたりするとき、指紋の変化がデバイスに以前に記録された指紋と比較して損害をもたらす場合に起こり得る。
【0008】
本明細書で用いられるように、「ポータブル」という用語は、例えば、壁またはより大きなデバイスに取り付けられたものなどの固定スキャナと区別するために理解されるべきである。種々の実施形態では、ポータブルデバイスは、100グラム未満の質量および/または100立方センチメートル未満の体積を有していてもよい。デバイスは、カード、フォブなどの形態であってもよい。
【0009】
大部分のバイオメトリック検証アルゴリズムは、バイオメトリックスキャンを認証するときに、単に、はい/いいえ出力を提供するだけでなく、この名前では必ずしも知られていないが、何らかの形式の「信頼スコア」も提供し、これは一致の精度における信頼度を示すものと理解されよう。
【0010】
典型的には、信頼スコアは、認証後にのみ一致の信頼度を示す。すなわち、指紋が一致するとみなされない場合、信頼スコアはないかも知れない。しばしば、信頼スコアは、0または0%(ほとんど一致しない)から1または100%(完全に一致)までの範囲になる(またはその逆)。しかし、信頼スコアは、アルゴリズムに応じて、一致と決定するために用いられるそれ自体であってもよい。例えば、閾値の信頼スコアを上回ると、一致と決定される。
【0011】
好ましくは、ベアラが認証されて信頼スコアが閾値を上回る場合、第2のアクションセットが許可される。第2のアクションセットは、好ましくは、第1のアクションと、ベアラが認証されて信頼スコアが所定の閾値を下回る場合に許可されない少なくとも1つのアクションとを含む。
【0012】
いくつかの実施形態では、ベアラが認証されて信頼スコアが閾値を下回る場合、第1のアクションセットが許可されてもよい。第2のアクションセットは、好ましくは、第1のアクションセットにない1つ以上のアクションを含み、そして、好ましくは、第1のアクションセットのすべてを含む。
【0013】
第1のアクションまたはアクションセットは、好ましくは、不正に行われることになると、第2のアクションまたはアクションセットよりも害が少なくなる。すなわち、バイオメトリックスキャンに影響を及ぼす身体の損傷などの場合に、より低いセキュリティのアクションがベアラに許可されて、類似のバイオメトリックスキャンを有する権限のない人により発生し得るデバイスの不正使用を最小限にするために、より高いセキュリティ機能へのアクセスを制限する一方、ユーザのデバイスは完全には無効にならない。
【0014】
いくつかの実施形態では、1つ以上のアクションは取引であってもよい。例えば、1つ以上のアクションは、支払い、現金自動預払機からなどの現金引出、銀行振込、または任意の他の金融取引を含む金融取引であってもよい。
【0015】
一実施形態では、第1のアクションは、口座の残高照会、またはカードの再発行請求などの非金融アクションであってもよく、第2のアクションは、支払い、現金引出、または銀行振込などの金融アクションであってもよい。上記のように、これは、デバイスの何らかの使用をなお許可する一方で、不正な金融取引が行われるというリスクを減らす。
【0016】
一実施形態では、第1および第2のアクションは金融アクションであってもよい。第1の金融取引は、所定の第1の金融上限を超えない金融取引であってもよい。次いで、第2の金融取引は、所定の第2のより高い金融上限を超えないか、または金融上限のない金融取引であってもよい。
【0017】
第1の金融取引は、第1の金融アクションセットを含み、第2の金融取引は、第1の金融アクションセットにない金融アクションを含む第2の金融アクションセットを含んでもよい。
【0018】
代替の実施形態では、アクションは、1つ以上のセキュアエリアにアクセスする工程を含んでもよい。本明細書では、セキュアエリアとは、アクセスカードまたは他のアクセス認証を要求するエリアのような、一般公衆が容易にアクセスできないエリアを指す。
【0019】
好ましくは、第1のアクションは、1つ以上の低セキュリティ・セキュアエリアにアクセスする工程を含み、第2のアクションは、1つ以上の低セキュリティ・セキュアエリアと1つ以上の高セキュリティ・セキュアエリアとにアクセスする工程を含む。
【0020】
例えば、低セキュリティエリアは、1つ以上のパーキングエリア、ロビー、休憩室などへのアクセスを許可するなど、安全なサイト内の共有エリアを含み得る一方、高セキュリティエリアは、より制限されたアクセス、例えば、サイトのユーザのサブセットのみがアクセスできるエリア、例えば、機密情報を有するエリアや高価値商品などを保存するエリアを含み得る。
【0021】
いくつかの実施形態では、本方法は、ベアラが認証されて信頼スコアが所定の閾値を下回るときと、および任意に、1つ以上の他の基準が満たされるときとに、アラートを送信する工程を含んでもよい。このような基準は、例えば、高レベルの認証が行われた後、または所定数の第1のアクションが行われた後の数日を含んでもよい。アラートは、デバイス発行者および/またはデバイスのベアラに送信されてもよい。これは、デバイス発行者が、例えば、使用が疑わしいかどうかを監視するために、デバイスがこのモードで用いられていることを知っているために望ましいことであり得る。また、知っていない場合、劣化モードでデバイスを用いていることをベアラに知らせてもよい。これは、例えば、新しいバイオメトリック識別子を登録することによって、状況を解決するよう促し得る。
【0022】
いくつかの実施形態では、複数の閾値が用いられてもよく、信頼スコアがより高い閾値を超える際に追加のアクションが許可される。
【0023】
好ましい実施形態では、バイオメトリックセンサは指紋センサである。しかし、EKG読み取りなどのような他のバイオメトリック識別子が用いられてもよいことは理解されよう。
【0024】
本方法は、反復される不成功の認証試行を検知する工程を含んでもよい。これは、デバイスそれ自体によって、または別のコンピュータシステムによって検知されてもよい。ベアラの指紋がデバイスに保存された参照指紋と一致しないため、不成功の認可試行は失敗し得るが、他の検知手段が採用されてもよい。
【0025】
本方法は、反復される不成功の認証試行の検知に応答して、可能な不正を示すアラートを送信する工程をさらに含んでもよい。このアラートは、所定回数の試行の後、および/または、ある他の基準が満たされたことに応答して送信されてもよい。例えば、デバイスが第2のアクションを許可するために用いられているというアラートを送信する前には、第1のアクションを許可するために用いられているときよりも必要な試行回数は少なくて済み得る。
【0026】
本方法は、反復される不成功の認証試行の検知に応答して、および/または、可能な不正使用を検知して、ベアラの第1および/または第2のアクションを制限する工程をさらに含んでもよい。例えば、ベアラは、高い信頼スコアが検知されたとしても、第2のアクションを行うことを許可されない可能性がある。あるいは、またはさらに、ベアラは、低い信頼スコアでアクションを取ることを許可されない可能性がある。
【0027】
いくつかの実施形態では、ベアラは、第2の認証工程を通過するなど、第1および/または第2のアクションを行うために追加の基準を満たすよう要求されてもよい。第2の認証工程は、例えば、PINを入力する工程を含んでもよい。
【0028】
制限は、権限のある人または法人によって除去されるまで、残り得る。これは、例えば、ベアラまたはデバイス発行者によって認証された任意の人であり得る。
【0029】
いくつかの実施形態では、ベアラは、第2の認証を通過した後にのみ制限を除去するよう認証されてもよい。例えば、ベアラは、郵便、電子メール、テキストなどによって、制限を除去するために端末(例えば、銀行端末)に入力され得る再活性化コードが送信されてもよい。あるいは、ベアラは、例えば、デジタルコントロールパネル(例えば、オンラインバンキングまたはセキュアコンピュータインターフェース)にログオンすることによって、パスワードを用いて制限を除去できてもよい。さらに別の実施形態では、ベアラは、その後、制限を除去し得る銀行窓口に写真付身分証明書を提示することなどによって、デバイス発行者に身分証明書を提示するよう要求されてもよい。
【0030】
この制限された動作モードは、低い信頼スコアのため劣化動作モードと組み合わされてもよいが、別々に用いられてもよい。
【0031】
したがって、本発明は、別の態様では、内蔵されたバイオメトリックセンサを備えたポータブルバイオメトリック認証デバイスの可能な不正使用を検知する工程と、可能な不正使用が停止した後に、デバイスのその後の使用を制限するが防止しない工程とを含む方法を提供してもよい。本方法は、任意に、上記方法に関連して記載の任意の1つ以上またはすべてのオプションの特徴を含んでもよい。
【0032】
この方法によれば、バイオメトリックセンサに伴うリスクの一部は、可能な不正使用が検知されたときにデバイスの後の使用を制限することによって無効にし得るが、デバイスを完全に無効にすることはできない。したがって、システムがおそらく不正使用を検知した場合、この可能な不正使用が停止すると、デバイスはアクティブのままであるが機能性
は低下する。もちろん、この劣化動作モードの有効性は、デバイスが盗まれたり、他に損なわれるときなど、実際の不正が認められる場合などに、従来の方法でデバイスを完全に無効にすることを妨げるものではない。
【0033】
上記のように、可能な不正使用を検知する工程は、バイオメトリックセンサを用いて認証を得るための反復される不成功の認証試行を検知する工程を含んでもよい。これは、デバイスそれ自体または別のコンピュータシステムによって検知されてもよい。ベアラの指紋がデバイスに保存された参照指紋と一致しないため、不成功の認証試行は失敗し得るが、他の検知手段も採用してもよい。
【0034】
本方法は、可能な不正の検知に応答して、反復される不成功の認証試行を検知する工程などによって、可能な不正を示すアラートを送信する工程をさらに含んでもよい。このアラートは、所定数の試行の後、および/または、ある他の基準が満たされることに応答して送信されてもよい。例えば、ベアラがあるアクションを行おうと試みているというアラートを送信する前には、別のアクションよりも必要な試行回数は少なくて済み得る。
【0035】
劣化動作モードでは、ベアラは、いったん認証されると、少なくとも1つのアクションをなお行い得る。すなわち、この動作モードでは、デバイスは完全には無効になっていない。制限には、ベアラが第1のアクションを行うことを許可されるが、通常は許可される第2のアクションを行うことは許可されないことが含まれてもよい。あるいは、またはさらに、認証には、1つ以上のアクションについては、通常必要とされるよりもより高い信頼スコアが必要とされてもよい。
【0036】
制限には、第2の認証工程を通過する工程など、1つ以上のアクションを行うためにベアラが追加の基準を満たすよう要求されることが含まれてもよい。第2の認証工程は、例えば、PINを入力する工程を含んでもよい。
【0037】
制限は、権限のある人または法人によって除去されるまで残り得る。これは、例えば、デバイス発行者の権限のある人によって行い得る。あるいは、ベアラは、例えば、郵便、電子メール、テキストなどによって、制限を除去するために端末(例えば、銀行端末)に入力され得る再活性化コードが送信されてもよい。さらに、あるいは、ベアラは、非常に権限のある場合、例えば、デジタルコントロールパネル(例えば、オンラインバンキングまたはセキュアコンピュータインターフェース)を用いて、制限それ自体を除去できてもよい。
【0038】
制限には、バイオメトリックセンサを無効にする工程、または他に、バイオメトリックセンサを用いてベアラの認証を防止する工程が含まれてもよい。したがって、デバイスは、署名、または、チップ・アンド・ピンのような他の手段によってのみ用いられ得る。
【0039】
本発明はまた、スマートカードであり得る、この方法で用いるためのポータブルバイオメトリック認証デバイスを提供してもよい。したがって、ポータブルバイオメトリック認証デバイスは、内蔵されたバイオメトリックセンサを備えてもよく、バイオメトリックセンサの可能な不正使用を検知して制限動作モードに入るように構成される。デバイスは、上記方法の任意の態様を実施してもよい。
【0040】
一実施形態では、ベアラが認証されて制限動作モードで動作しているときに、デバイスは、制限動作モードで動作しているという表示を含むベアラの認証を示すメッセージを送信してもよい。
【0041】
他の実施形態では、ベアラが認証されて制限動作モードで動作しているときに、デバイスは、認証されたベアラに対して通常許可されるアクションのサブセットのみを許可するメッセージを送信してもよい。
【0042】
第1の方法に戻ると、種々の実施形態では、認証は、デバイス上で(局所的に)行われてもよく、例えば、スキャンした指紋はデバイスを離れない。例えば、デバイスは、ベアラの身元を認証した後、ベアラが認証されたことを示すメッセージを送信してもよく、メッセージは、信頼スコアを含んでもよいか、または、信頼スコアを示してもよい(例えば、信頼スコアが所定の閾値を下回っている場合に第1のメッセージを送信し、そして、信頼スコアが所定の閾値を上回っている場合に第2の異なるメッセージを送信してもよい)。
【0043】
さらなる態様では、本発明はまた、上記方法で用いるための、ポータブルバイオメトリック認証デバイスを提供してもよい。したがって、ポータブルバイオメトリック認証デバイスは、内蔵されたバイオメトリックセンサを備えてもよく、バイオメトリックセンサを用いてデバイスのベアラの身元を認証し、認証の信頼スコアを決定し、そして、ベアラが認証されたかどうかを示し、認証の信頼スコアを示すメッセージを送信するように構成される。
【0044】
デバイスは、好ましくは、RFIDまたはNFC通信を用いるなど、無線通信が可能である。しかし、デバイスは、例えば、接触パッドなどを介する接触接続を備えていてもよい。種々の実施形態では、デバイスは、無線通信と接触通信との両方を可能にしてもよい。
【0045】
例示的なデバイスとしては、アクセスカード、クレジットカード、デビットカード、プリペイドカード、ポイントカード、IDカード、および暗号カードのうちの1つが挙げられる。
【0046】
デバイスは、好ましくは、85.47mm〜85.72mmの幅と、53.92mm〜54.03mmの高さとを有するスマートカードであってもよい。スマートカードは、0.84mm未満、好ましくは通常のスマートカードの厚さである約0.76mm(例えば±0.08mm)の厚さを有していてもよい。より一般的には、スマートカードは、スマートカードの仕様であるISO7816に準拠していてもよい。
【0047】
上記方法は、このポータブルバイオメトリック認証デバイスの任意の特徴のすべてのうちの任意の1つ以上を採用するデバイスを用いてもよいことが理解されよう。
【0048】
さらに別の態様では、本発明は、また、内蔵バイオメトリックセンサを備えるポータブルバイオメトリック認証デバイスと通信するためのデバイスリーダーを備えるコンピュータシステムであって、デバイスのベアラの認証の信頼スコアの表示を受信するように構成され、ベアラが認証されて信頼スコアが所定の閾値を下回る場合に第1のアクションを許可し、そして、ベアラが認証されて信頼スコアが所定の閾値を上回る場合に第2のアクションを許可するように構成されているコンピュータシステムを提供してもよい。
【0049】
コンピュータシステムは、上記の任意のおよび好ましい特徴のうちの任意の1つ以上またはすべてを行うように構成されていてもよい。
【0050】
以下に、本発明の好ましい実施形態を、例示のみを意図して添付の図面を参照しながらより詳細に説明する。