▶ キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニーの特許一覧
特表2024-513782トランザクションカードベースの認証のシステム及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-03-27
(54)【発明の名称】トランザクションカードベースの認証のシステム及び方法
(51)【国際特許分類】
G06F 21/44 20130101AFI20240319BHJP
H04L 9/32 20060101ALI20240319BHJP
H04L 9/14 20060101ALI20240319BHJP
【FI】
G06F21/44
H04L9/32 200B
H04L9/32 200F
H04L9/14
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023558904
(86)(22)【出願日】2022-03-21
(85)【翻訳文提出日】2023-11-24
(86)【国際出願番号】 US2022021088
(87)【国際公開番号】W WO2022203990
(87)【国際公開日】2022-09-29
(31)【優先権主張番号】17/214,073
(32)【優先日】2021-03-26
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.BLUETOOTH
(71)【出願人】
【識別番号】519111877
【氏名又は名称】キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー
【氏名又は名称原語表記】Capital One Services, LLC
(74)【代理人】
【識別番号】100145403
【弁理士】
【氏名又は名称】山尾 憲人
(74)【代理人】
【識別番号】100135703
【弁理士】
【氏名又は名称】岡部 英隆
(72)【発明者】
【氏名】オズボーン,ケビン
(72)【発明者】
【氏名】エドワーズ,サミュエル パトリック
(72)【発明者】
【氏名】ゴ,ビンセント ビー
(57)【要約】
方法は、カードデータプロセッサと、近距離無線通信(NFC)インタフェースと、固有カード識別子を格納するカードメモリと、を有するトランザクションカードとの通信のために提供される。当該方法において、ユーザ通信装置は、トランザクションカードとのNFCセッションを確立し、セッション固有チャレンジ情報を含むNFCデータ交換フォーマット(NDEF)ライトタグコマンドをトランザクションカードに送信する。ユーザ通信装置は、NDEFリードタグコマンドをトランザクションカードに送信し、カード固有チャレンジレスポンス情報をトランザクションカードから受信する。チャレンジレスポンス情報は、トランザクションカードを認証するために使用される。
【特許請求の範囲】
【請求項1】
データプロセッサと、近距離カードフィールド通信(NFC)インタフェースと、固有カード識別子を格納するカードメモリと、を有するトランザクションカードと通信する方法であって、ユーザ通信装置が前記トランザクションカードとの第1NFCセッションを確立することと、
前記ユーザ通信装置が前記トランザクションカードにセッション固有のチャレンジ情報を含むNFCデータ交換フォーマット(NDEF)ライトタグコマンドを送信することと、
前記ユーザ通信装置が前記トランザクションカードにNDEFリードタグコマンドを送信することと、
前記ユーザ通信装置が前記トランザクションカードからカード固有チャレンジレスポンス情報を受信することと、
前記チャレンジレスポンス情報を使用して前記トランザクションカードを認証することと、
を含む、方法。
【請求項2】
前記カード固有チャレンジレスポンス情報は、カード暗号化情報を含む、請求項1に記載の方法。
【請求項3】
前記トランザクションカードを認証する動作は、前記固有カード識別子に関連付けられた少なくとも1つのカード固有鍵を使用して前記カード暗号化情報を復号することを試みることと、
前記カード暗号化情報の復号が成功したことに応答して、肯定的な認証結果を確立することと、
を含む、請求項2に記載の方法。
【請求項4】
前記カード固有チャレンジレスポンス情報はさらに、デジタル認証証明書を含む、請求項2に記載の方法。
【請求項5】
前記セッション固有チャレンジ情報は、前記セッションのために生成された乱数または擬似乱数であるか、前記乱数または擬似乱数を含む、請求項1に記載の方法。
【請求項6】
前記セッション固有チャレンジ情報は、前記ユーザ通信装置によって生成され、認証する動作は前記ユーザ通信装置によって実行される、請求項1に記載の方法。
【請求項7】
前記ユーザ通信装置が認証サーバから前記セッション固有チャレンジ情報を受信することをさらに含む、請求項1に記載の方法。
【請求項8】
前記トランザクションカードを認証する動作は、前記チャレンジレスポンス情報を前記認証サーバに送信することと、
認証結果を前記認証サーバから受信することと、
を含む、請求項7に記載の方法。
【請求項9】
前記リードタグコマンドを送信する動作の前に、前記第1NFCセッションを送信することと、
前記ユーザ通信装置が前記第1NFCセッションの終了後、所定時間間隔内に、前記トランザクションカードとの第2NFCセッションを確立することと、
をさらに含む、請求項1に記載の方法。
【請求項10】
通信装置データプロセッサと、前記データプロセッサと通信し、1つまたは複数のトランザクションカードと通信するように構成された近距離無線通信(NFC)インタフェースと、
前記データプロセッサによりアクセス可能であり、かつ前記データプロセッサにより実行される命令を備えるカード通信アプリケーションを含む通信装置メモリと、
を備え、前記通信アプリケーションは、
トランザクションカードとの第1NFCセッションを確率し、
前記トランザクションカードに、セッション固有チャレンジ情報を含むNFCデータ交換フォーマット(NDEF)ライトタグコマンドを送信し、
前記トランザクションカードに、NDEFリードタグコマンドを送信し、
前記トランザクションカードから、カード固有チャレンジレスポンス情報を受信し、
前記トランザクションカードを認証する、
ように構成される、ユーザ通信装置。
【請求項11】
前記カード固有チャレンジレスポンス情報は、カード暗号化情報を含み、前記通信アプリケーションは、認証する動作の一部として、前記トランザクションカードに関連付けられた少なくとも1つのカード固有鍵を使用して前記カード暗号化情報を復号しようと試み、
前記カード暗号化情報の復号の成功に応答して、肯定的な認証結果を確立する、
ように構成される、請求項10に記載のユーザ通信装置。
【請求項12】
前記通信アプリケーションは、前記セッション固有チャレンジ情報に含めるための乱数または擬似乱数を生成するようにさらに構成される、請求項10に記載のユーザ通信装置。
【請求項13】
前記通信装置データプロセッサと通信し、かつネットワークを介して認証サーバと選択的に通信するように構成されたネットワーク通信インタフェースをさらに備え、前記通信アプリケーションは、前記セッション固有チャレンジ情報を前記認証サーバから受信するようにさらに構成される、
請求項10に記載のユーザ通信装置。
【請求項14】
前記通信アプリケーションは、認証する動作の一部として、前記チャレンジレスポンス情報を前記認証サーバに送信し、
認証結果を前記認証サーバから受信する、
ようにさらに構成される、請求項13に記載のユーザ通信装置。
【請求項15】
前記通信アプリケーションは、前記リードタグコマンドの送信および前記カード固有チャレンジレスポンス情報の受信の動作の間の時間間隔を決定し、
前記時間間隔が所定最大通信間隔未満である場合のみ、前記トランザクションカードを認証する動作を実行する
ようにさらに構成される、請求項10に記載のユーザ通信装置。
【請求項16】
前記通信アプリケーションは、前記リードタグコマンドを送信する動作の前に、前記第1NFCセッションを終了し、
前記トランザクションカードとの第2NFCセッションを確立する、
ようにさらに構成される、請求項10に記載のユーザ通信装置。
【請求項17】
前記第2NFCセッションを確立する動作は、前記第1NFCセッションを終了する動作の後、所定時間間隔内に行われる、請求項16に記載のユーザ通信装置。
【請求項18】
カードマイクロプロセッサと、近距離無線通信(NFC)インタフェースと、
カード識別子および1つまたは複数のアプレットを格納するカードメモリと、
を備え、前記1つまたは複数のアプレットは、前記カードマイクロプロセッサが
前記NFCインタフェースを介してユーザ通信装置から、チャレンジ情報を含むNFCデータ交換フォーマット(NDEF)ライトタグコマンドを受信し、
前記チャレンジ情報を使用してデジタル署名を生成し、
前記NFCインタフェースを介して前記ユーザ通信装置から、NDEFリードタグコマンドを受信し、
前記ユーザ通信装置に、前記デジタル署名を送信する、
ための命令を含む、トランザクションカード。
【請求項19】
前記カードメモリは、少なくとも1つのカード固有暗号鍵を格納し、前記デジタル署名は、前記チャレンジ情報の少なくとも一部および少なくとも1つのカード固有暗号鍵を使用して暗号化された暗号文であるか、前記暗号文を含む、
請求項18に記載のトランザクションカード。
【請求項20】
前記カードメモリは、少なくとも1つの公開鍵証明書を格納し、前記1つまたは複数のアプレットは、前記カードマイクロプロセッサが前記カード識別子および前記デジタル署名とともに前記少なくとも1つの公開鍵証明書を送信するための命令を含む、請求項19に記載のトランザクションカード。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、概してトランザクションセキュリティに関し、より具体的には、トランザクションカードを使用してチャレンジレスポンスセキュリティプロトコルを実行するための例示的なシステム、方法、およびコンピュータアクセス可能記憶媒体に関する。
【0002】
(関連出願への相互参照)
本出願は、2021年3月26日に出願された米国特許出願第17/214,073号の優先権を主張し、その開示全体を本件明細書に援用する。
本出願は、2021年3月26日に出願された米国特許出願第17/214,073号の優先権を主張し、その開示全体を本件明細書に援用する。
【背景技術】
【0003】
電子商取引の発展は、消費者と企業の利便性をもたらしてきた。トランザクションは、事実上あらゆる場所から任意の時間に当事者間で実行され得る。クレジットカードやデビットカードなどのカードの使用により、消費者は名前、カード番号、及び例えばカードの有効期限、カードのセキュリティコード又は請求先の郵便番号などのその他のデータを含む認証情報を提供するだけで、購入トランザクション又はその他のビジネスを行うことができるため、ネットワーク上でトランザクションを行う能力が強化されている。
【0004】
しかし、カードの使用が増えると、詐欺や盗難のリスクも高まる。カードベースのトランザクションをより安全にするための取り組みにもかかわらず、スマートカード及びその他の装置は、カード及び/又はトランザクション情報が傍受され、その後に不正に使用されてさらなるトランザクションが実行されるリプレイアタックに対して脆弱であることがよくある。
【発明の概要】
【0005】
本発明の例示的な態様は、カードデータプロセッサ、近距離カードフィールド通信(NFC)インタフェース、および固有のカード識別子が格納されたカードメモリを有するトランザクションカードと通信する方法を提供する。この方法は、ユーザ通信装置によってトランザクションカードとの第1NFCセッションを確立するステップと、ユーザ通信装置によってトランザクションカードに、セッション固有のチャレンジ情報を含むNFCデータ交換フォーマット(NDEF)ライトタグコマンドを送信するステップとを含む。方法は、ユーザ通信装置によってトランザクションカードにNDEFリードタグコマンドを送信するステップと、ユーザ通信装置によってトランザクションカードからカード固有のチャレンジレスポンス情報を受信するステップとをさらに含む。方法はまた、チャレンジレスポンス情報を使用してトランザクションカードを認証することを含む。
【0006】
本発明の別の態様は、通信装置データプロセッサと、データプロセッサと通信するNFCインタフェースとを備えるユーザ通信装置を提供する。NFCインタフェースは、1つまたは複数のトランザクションカードと通信するように構成されている。ユーザ通信装置は、データプロセッサによってアクセス可能であり、データプロセッサによって実行される命令を備えたカード通信アプリケーションを含む通信装置メモリをさらに備える。通信アプリケーションは、トランザクションカードとの第1NFCセッションを確立し、セッション固有のチャレンジ情報を含むNDEFライトタグコマンドをトランザクションカードに送信するように構成される。アプリケーションはさらに、トランザクションカードにNDEFリードタグコマンドを送信し、トランザクションカードからカード固有のチャレンジレスポンス情報を受信し、トランザクションカードを認証するように構成される。
【0007】
本発明の別の態様は、カードマイクロプロセッサ、近距離無線通信(NFC)インタフェース、およびカード識別子および1つまたは複数のアプレットが記憶されたカードメモリを備えるトランザクションカードを提供する。1つまたは複数のアプレットは、カードマイクロプロセッサがNFCインタフェースを介してユーザ通信装置からチャレンジ情報を含むNDEFライトタグコマンドを受信し、チャレンジ情報を使用してデジタル署名を生成するための命令を含む。1つまたは複数のアプレットは、NFCインタフェースを介してユーザ通信装置からNDEFリードタグコマンドを受信し、ユーザ通信装置にデジタル署名を送信するためのさらなる命令を含む。
【図面の簡単な説明】
【0008】
【図3】本発明の実施形態によるトランザクションカード認証システムの概略図である。
【発明を実施するための形態】
【0009】
以下の実施形態の説明は、本発明のさまざまな態様の特徴および教示を特に説明するために、符号を参照して非限定的な代表的な例を提供する。本発明を特定の実施形態および環境に関連して説明するが、本発明はこれらの実施形態および環境に限定されないことが理解されるであろう。逆に、説明される本発明の精神および範囲内に、様々な代替物、修正物、および均等物が含まれることが企図される。さらに、説明される実施形態は、別個に実施することも、他の実施形態と組み合わせることもできるものとして認識されるべきである。
【0010】
本明細書で使用される「トランザクションカード」という用語は、ユーザまたはユーザアカウントに関連付けられた任意の識別カードまたは支払いカードを指す。これには、具体的には、サービス提供者が発行したクレジットカード、デビットカード、またはギフトカードが含まれ得る。スマートトランザクションカードは、トランザクション処理装置との近距離無線通信(NFC)または短時間の接触通信(「タップ」など)を通じてトランザクションを実行するためによく使用される。トランザクション処理デバイスにおける固有の制限があるため、このようなカードは、低レベルプロトコルの一部としての場合を除き、認証での使用には適さない場合がある。
【0011】
本発明は、多要素セキュリティプロトコルを実行する際のスマートトランザクションカードの価値を高めるアプローチを提供する。当該アプローチには、ユーザ処理装置の機能を利用してNFCデータ交換フォーマット(NFC data exchange format:NDEF)の書き込み(ライト:WRITE)および読み込み(リード:READ)コマンドをトランザクションカードに送信するチャレンジレスポンスプロトコルが含まれる。本発明の方法では、ユーザは、(例えば、タップするか、カードの通信範囲内にユーザ装置を近づけることによって)トランザクションカードとユーザ装置との間にNFC通信セッションを確立できる。ユーザ装置は、ライトNDEFをトランザクションカードに送信する。トランザクションカードは、ライトコマンドから情報を読み取り、それを使用してデジタル署名を作成する。そして、ユーザ装置は、リードNDEFコマンドをトランザクションカードに送信し、トランザクションカードは、デジタル署名をユーザ装置に送信する。署名には、信頼できる機関によって署名された証明書が添付され得る。そして、ユーザ装置自体がカード署名を検証することも、署名を検証システムに渡すこともできる。いずれの場合でも、署名の検証は、トランザクションカードの存在の認証および/またはユーザの多要素認証における認証要素として使用され得る。
【0012】
図1は、ユーザ通信装置とトランザクションカードとの間の通信の基本的な方法M100を示す。方法M100は、ユーザおよび/またはカード認証プロセスの一部として使用され得る。以下により詳細に説明するように、本発明の方法で使用可能なトランザクションカードは、カードデータプロセッサ、近距離無線通信インタフェース、およびカードメモリを有し得る。カードメモリは、固有のカード識別子を含むカード固有の情報を記憶できる。いくつかの実施形態では、カードメモリは、1つまたは複数の暗号鍵を格納し得る。ユーザ通信装置は、近距離無線通信機能を有する任意のデータ処理装置であってよく、通常はネットワーク対応コンピュータシステムである。本明細書で使用される場合、ネットワーク対応コンピュータシステム(および/または装置)という用語には、限定されないが、サーバ、マイクロプロセッサ若しくはマイクロプロセッサのシステム、ネットワークアプライアンス、パーソナルコンピュータ(PC)、ワークステーション、およびスマートフォン、スマートパッド、ハンドヘルドPC、携帯情報端末(PDA)などの携帯処理装置が含まれ得る。いくつかの例では、コンピュータ装置は、コンピュータアクセス可能な記憶媒体(例えば、ハードディスク、フロッピーディスク、メモリスティック、CD-ROM、RAM、ROMなどの記憶装置、またはそれらの集合)に格納された命令を使用できる。コンピュータアクセス可能な記憶媒体には、実行可能な命令を含めることができる。加えて、または代わりに、本明細書に記載されるような、ある例示的な手順、プロセス、および方法を実行するように処理装置を構成するように、処理装置に命令を提供できる、コンピュータアクセス可能な記憶媒体とは別に記憶装置を提供できる。具体的には、携帯処理装置は、装置同士を接触させたり、近接させたりすることで、他のNFC対応装置との通信を可能にするNFC機能を含んでもよい。
【0013】
本発明のいくつかの実施形態では、ユーザ通信装置は、金融取引および他のトランザクションを実行するように構成された販売者端末または他の装置であってもよい。このような販売者装置は、トランザクションカードおよび/またはトランザクションカード管理者もしくは処理者に関連付けられたアカウントに基づいてトランザクションを実行するように特に構成され得る。本発明の他の実施形態では、ユーザ通信装置は、トランザクションカードに関連付けられたアカウントの所有者であるユーザに関連付けられる携帯装置であってもよい。
【0014】
方法M100のS110では、ユーザ通信装置とトランザクションカードとの間でNFC通信セッションが開始される。これは通常、カードをユーザ通信装置にタップするか、カードをユーザ通信装置のNFC通信範囲内に持ってくることによって達成される。NFCセッションを開始する動作は、トランザクションカードに関連付けられたアカウントが関与する購入またはその他のトランザクションの一部として実行され得る。しかしながら、いくつかの実施形態では、動作は、トランザクションカードに関連付けられたアカウントが関与しないトランザクションに関連した認証または許可プロトコルの一部として実行されてもよい。たとえば、別のカードを使用して販売者から購入が行われてもよい。販売者は、スマートトランザクションカードを使用するユーザ/アカウント所有者の認証を要求でき、これにより、販売者端末とトランザクションカードとの間でNFC通信が確立され得る。
【0015】
いくつかの実施形態では、NFC通信を確立する動作は、トランザクション処理サーバまたは認証サーバからの認証要求の受信に応答して実行され得る。このような要求は、トランザクションカードの存在の検証を必要とする、またはトランザクションカード若しくはユーザの認証を必要とするトランザクションを実行する要求に応答して、サーバによって送信され得る。認証要求を受信すると、ユーザ通信装置は、トランザクションカードとのNFC通信を開始するための命令を表示または伝達できる。
【0016】
本発明の実施形態では、ユーザ通信装置は、NFC対応装置と通信するための標準化されたNDEFメッセージを送信するためのアプリケーションを含むことができる。このような方法は、具体的には、標準化されたタグ(例えば、無線周波数識別(RFID)タグ)との通信に使用され、タグに情報を割り当てるための「ライトタグ(WRITE TAG)」コマンドと、タグから情報を読み取るための「リードタグ(READ TAG)」コマンドとを含む。方法M100のS120において、ユーザ通信装置は、ライトタグコマンドをトランザクションカードに送信する。ライトタグコマンドには、トランザクションカードがチャレンジレスポンスを生成する際に使用するチャレンジ情報が含まれている。チャレンジ情報は、NFCセッションに固有の情報であるか、またはNFCセッションに固有の情報を含むことができる。これには、たとえば、1回限り(ワンタイム)の、ランダム、擬似ランダム、またはその他の予測不可能な数値が含まれてもよい。チャレンジ情報は、ユーザ通信装置によって生成されてもよいし、要求側の処理サーバまたは認証サーバによって生成されてもよい。いくつかの実施形態では、チャレンジ情報は、処理サーバまたは認証サーバからユーザ通信装置によって受信される認証要求に含まれてもよい。他の場合には、ユーザ通信装置は、NFCセッション情報を要求側サーバに送信し、その応答としてセッション固有のチャレンジ情報を受信してもよい。
【0017】
ユーザ通信装置は、S130でリードタグコマンドをトランザクションカードに送信し、S140で、送信されたリードタグ応答をトランザクションカードから受信する。本発明のいくつかの実施形態では、リードタグコマンドは、ライトタグコマンドと同じNFC通信セッション内でトランザクションカードに送信されなければならない。このような実施形態では、リードタグコマンドの前にNFCセッションを終了すると、トランザクションカードの認証が行われずに終了することになる。このような状況では、カード認証には新しいNFCセッションと新しいチャレンジ情報が必要になる。しかしながら、他の実施形態では、方法M100は、リードタグコマンドを送信する動作の前に、(例えば、NFC通信範囲からのトランザクションカードの除去による)NFCセッションの終了と、第2NFC通信セッションの開始とを含んでもよい。いくつかの実施形態では、このようなNFC通信の終了および再開始は許容される出来事であるが、他の実施形態では、それが要求されてもよい。
【0018】
単一のNFCセッションが使用されるか複数のセッションが使用されるかにかかわらず、方法M100は、リードタグコマンドを送信するための時間制限を含んでもよい。この時間制限は、ライトタグコマンドの送信とリードタグコマンドの送信との間の所定の最大時間間隔に基づいてもよい。複数のNFCセッションが許可または要求される実施形態では、第1セッションの終了と第2セッションの開始との間の最大時間間隔は指定され得る。
【0019】
リードタグ応答には、トランザクションカードに固有のチャレンジレスポンス情報が含まれる。これには、たとえばカード識別子が含まれてもよい。チャレンジレスポンス情報は、トランザクションカードのメモリに永続的に割り当てられるおよび/または配線される情報を使用してトランザクションカードのデータ処理チップによって生成される情報であるか、または当該情報を含んでもよい。特定の実施形態では、チャレンジレスポンス情報は、カードデータ処理チップによって暗号化された情報を含んでもよい。チャレンジレスポンス情報は、また、信頼できる情報源からのデジタル認証証明書を含んでもよい。このような証明書は、チャレンジレスポンス情報の暗号化および復号の際の公開鍵として使用され得る。
【0020】
S150において、トランザクションカードは、チャレンジレスポンス情報を使用して認証される。いくつかの実施形態では、認証動作は完全にユーザ通信装置によって実行されてもよい。これには、カード固有の情報と以前に格納されたカード情報との比較が含まれてもよい。代替的または追加的に、認証には、トランザクションカードデータプロセッサによる暗号化された情報の復号が含まれてもよい。復号の成功は、トランザクションカードの肯定的な認証を示す。しかしながら、前述のアプローチでは、トランザクションカードメモリに格納された1つ以上の秘密暗号鍵もユーザ通信装置で利用できる必要があることを要求してもよい。この要件を回避するために、いくつかの実施形態では、ユーザ通信装置は、チャレンジレスポンス情報の一部またはすべてを認証要求側サーバに、またはカード固有の暗号鍵にアクセスできる認証サーバに直接、送信してもよい。このような実施形態では、ユーザ通信装置は、トランザクションカードが認証されたこと、または認証が失敗したことを示す認証応答を受信できる。
【0021】
認証がユーザ通信装置によって実行される実施形態では、方法M100は、認証の結果を要求側処理サーバまたは認証サーバに送信することをさらに含んでもよい。
【0022】
図2は、本発明の例示的な実施形態による、スマートトランザクションカードがユーザ通信装置との通信を認証するための基本的な方法M200を示す。方法M200を実行するために使用可能な典型的なトランザクションカードは、カードデータプロセッサ、NFCインタフェース、および固有のカード識別子が格納されたカードメモリを有する。いくつかの実施形態では、カードメモリには、1つまたは複数のカード固有の暗号鍵が格納されていてもよい。方法M200のS210では、カードデータプロセッサとユーザ通信装置との間にNFC通信セッションが確立される。ユーザ通信装置は、例えば、販売者トランザクション端末、携帯ユーザ装置、または他のネットワーク対応装置またはシステムであってもよい。NFC通信セッションは、カードをユーザ通信装置にタップするか、またはカードをユーザ通信装置のNFC通信範囲内に持ってくることによって開始され得る。S220において、カードデータプロセッサは、カードのNFCインタフェースを介してユーザ通信装置からライトタグコマンドを受信する。ライトタグコマンドには、NFCセッションに固有の情報であるか、またはNFCセッションに固有の情報を含み得るチャレンジ情報が含まれる。これには、たとえば、1回限りの、ランダム、擬似ランダム、またはその他の予測不可能な数値が含まれてもよい。
【0023】
S230において、カードデータプロセッサは、チャレンジ情報を使用してチャレンジレスポンスを生成する。チャレンジレスポンス情報は、カード固有の署名および/またはセッション固有の署名であってもよいし、カード固有の署名および/またはセッション固有の署名を含んでもよい。特定の実施形態では、署名は、1つまたは複数のカード固有の暗号鍵を使用してカードプロセッサによって暗号化されたチャレンジ情報からの情報であるか、または当該情報を含むことができる。公開鍵(信頼できるソース証明書など)も暗号化に使用されてもよい。また、チャレンジレスポンスには、チャレンジ情報の暗号化に使用されるカード識別子および/または公開鍵が含まれてもよい。
【0024】
カードデータプロセッサは、S240でカードNFCインタフェースを介してユーザ通信装置からリードタグコマンドを受信し、S250でチャレンジレスポンスをユーザ通信装置に返信する。
【0025】
図3を参照すると、本発明の一実施形態による例示的なトランザクションカード認証システム100は、ユーザ装置110、トランザクションカード150、処理サーバ120、及びカード情報データベース140を含むことができる。ユーザ装置110は、ネットワーク105を介して処理サーバ120と通信できる。また、処理サーバ120および/またはユーザ装置110は、認証サーバ130と通信できる。図3は、特定の方法で接続された特定の構成要素を示しているが、システム100は、様々な方法で接続された追加の構成要素または複数の構成要素を含むことができる。具体的には、システム100は、複数のユーザ装置110および複数のトランザクションカード150を含んでもよい。
【0026】
システム100のシステムおよび構成要素は、アカウント関連トランザクションを処理するように構成されたネットワーク対応コンピュータ装置およびシステムであるか、またはそれらを含んでもよい。具体的には、これらのシステムは、例えば、販売者トランザクション装置またはアカウント所有者の装置から発生するトランザクションを処理するために、ネットワーク対応コンピュータシステムにアクセスするエンティティから入力としてデータを受信し、受信したデータを処理し、ネットワークを介してデータを送信し、ネットワークを介してデータを受信する、1つまたは複数のソフトウェアアプリケーションを実行するように構成され得る。さまざまなネットワーク対応コンピュータシステムは、(例えば、アカウント所有者のコンピュータシステムまたは携帯装置を介して)アカウント所有者に通知を送信するための1つまたは複数のソフトウェアアプリケーションを含んでもよい。図3の描写は単なる例であり、本明細書で説明される機能およびプロセスは、任意の数のネットワーク対応コンピュータによって実行され得ることが理解されるであろう。また、図示のシステム100が特定の構成要素のインスタンスを1つだけ有する場合でも、これらの構成要素の複数のインスタンスを使用できることも理解されよう。また、システム100は、図3に示されていない他の装置を含んでもよい。
【0027】
本明細書に示される例示的な実施形態では、アカウント所有者は、トランザクションアカウントを使用して販売者とトランザクション(金融取引であってもよいが、これに限定されない)を行うことを望む任意の個人または団体であってよい。アカウントは、電子形式を含むがこれに限定されないあらゆる形式でお金を保持したりトランザクションを実行したりするための、任意の場所、位置、物体、実体、またはその他のメカニズムによって保持されてもよい。アカウントは、例えば、クレジットカード、デビットカード、またはプリペイドカードなどの1つまたは複数のトランザクションカードに関連付けられてもよい。
【0028】
システム100の様々な構成要素は、特に、スマートトランザクションカード150などのトランザクションカードの使用を伴うトランザクションを処理するように構成され得る。トランザクションカード150は、NFCを介して通信し、デジタルトランザクションを実行するように構成されたプロセッサを有し、識別情報および暗号化情報を格納できるメモリを有する任意の装置であり得る。これには、チップを搭載したトランザクションカード(「スマート」カード)、携帯および非携帯ユーザコンピューティング装置が含まれてもよい。図3および図4に示すように、本発明のさまざまな実施形態で使用可能な典型的なトランザクションカード150は、マイクロプロセッサチップ151を備えるスマートカードである。マイクロプロセッサチップ151は、マイクロプロセッサ152およびメモリ156を含む、情報を格納および処理するための処理回路を含む。処理回路は、本明細書に記載の機能を実行するために必要に応じて、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカ、データエンコーダ、衝突防止アルゴリズム、コントローラ、コマンドデコーダ、セキュリティプリミティブ、および改ざん防止ハードウェアを含むさらなる構成要素を含んでもよいことが理解されよう。メモリ156は、RAM、ROM、およびEEPROMなどの、読み取り専用メモリ(read-only memory)、ライトワンスリードマルチメモリ(write-once read-multiple memory)、またはリード/ライトメモリであってもよく、チップ151は、これらのメモリの1つまたは複数を含んでもよい。メモリ156は、マイクロプロセッサ152による実行のために1つまたは複数のソフトウェアアプリケーションを格納するように構成され得る。また、アカウントに関連付けられた情報はメモリ156に格納されてもよい。具体的には、メモリ156は、固有の英数字識別子と、1つまたは複数の公開カード暗号鍵および秘密カード暗号鍵とを永続的に記憶できる。
【0029】
マイクロプロセッサチップ151は、カード150が所定のNFC範囲内にある場合に、ユーザ装置110または他の装置との通信を確立するように構成されたNFCインタフェース154をさらに含む。いくつかの実施形態では、NFCインタフェース154は、NFCまたは他の短距離プロトコルを介して通信するように構成された無線周波数識別チップを備えてもよい。いくつかの実施形態では、マイクロプロセッサチップ151は、ブルートゥース(登録商標)、衛星通信、Wi-Fi(登録商標)、有線通信、および/または無線接続と有線接続の任意の組み合わせなどの他の手段を介してユーザデバイス110と通信するように構成された回路を含んでもよい。
【0030】
特定の実施形態では、チップ151、マイクロプロセッサチップ151のメモリ156は、暗号化された情報を生成し、それをNFCインタフェース154を介して受信装置(例えば、ユーザ装置110)に送信するための命令を備える1つまたは複数のアプレットを格納していてもよい。このような暗号化された情報は、トランザクションカード150の存在を認証および検証するためにユーザ装置110または処理サーバ120によって使用され得る、暗号化された検証ブロックまたは署名であるか、またはそれらを含んでもよい。
【0031】
メモリ156は、具体的には、データプロセッサ152がユーザ通信装置110とのNFC通信セッションを確立し、ユーザ通信装置110によって送信されたライトタグコマンドをNFCインタフェース154を介して受信するための命令を有する認証アプリケーションを記憶してもよい。アプリケーションは、ライトタグコマンドを認証チャレンジとして認識し、そのような認識に基づいて、そこに含まれるチャレンジ情報に基づいてチャレンジレスポンスを生成するように構成され得る。チャレンジレスポンスには、トランザクションカードに固有のチャレンジレスポンス情報が含まれてもよい。これには、たとえばカード識別子が含まれてもよい。チャレンジレスポンス情報は、カードメモリ156に永続的または一時的に格納された情報を使用してデータプロセッサ152によって生成される情報であるか、または当該情報を含んでもよい。特定の実施形態では、認証アプリケーションは、トランザクションカード150および/またはNFCセッションに固有のデジタル署名をプロセッサ152に生成させるように構成される。デジタル署名および/または他のチャレンジレスポンス情報は、カードデータ処理チップによってライトタグコマンドで受信されたチャレンジ情報を使用して暗号化された暗号文であってもよいし、当該暗号文を含んでもよい。暗号文は、メモリ156に格納された公開暗号鍵および秘密暗号鍵のうちの1つまたは複数を使用して、プロセッサ152によって作成され得る。また、チャレンジレスポンス情報には、メモリ156から取得されたデジタル認証証明書が含まれてもよい。
【0032】
認証アプリケーションはまた、ユーザ通信装置110からNFCを介してリードタグコマンドを受信するように構成され得る。応答において、アプリケーションは、NFCインタフェース154を介してチャレンジレスポンスを送信できる。いくつかの実施形態では、認証アプリケーションは、リードタグコマンドが受信されない限り、または受信されるまで、デジタル署名および/または他のチャレンジレスポンス情報を生成する動作が実行されないように構成され得る。このような実施形態では、チャレンジレスポンス情報を生成する動作およびチャレンジレスポンス情報を送信する動作は両方とも、リードタグコマンドの受信に応答して実行され得る。いくつかの実施形態では、これらの動作のいずれかまたは両方は、ライトタグコマンドとリードタグコマンドとの間の時間間隔が指定された最大時間間隔未満であることを条件とできる。最大時間間隔を超えた場合、マイクロプロセッサ152は、NFCインタフェース154を介して「タイムアウト」エラーメッセージをユーザ通信装置110に送信できる。
【0033】
いくつかの実施形態では、認証アプリケーションは、リードタグコマンドを受信する前にユーザ通信装置110とのNFCセッションが終了した場合に、認証手順を終了するように構成され得る。他の実施形態では、アプリケーションは、ライトタグコマンドを受信した後での最初のNFCセッションの終了と、その後のリードタグコマンドを受信する第2NFCセッションの確立を許可または要求できる。上記と同様に、チャレンジレスポンスの送信は、ライトタグコマンド後の最大時間間隔内にリードタグコマンドが受信されることを条件とできる。
【0034】
ユーザ通信装置110は、サーバ、ネットワークアプライアンス、パーソナルコンピュータ(PC)、ワークステーション、およびスマートフォン、スマートパッド、ハンドヘルドPC、または携帯情報端末(PDA)などの携帯インタフェース装置を含む任意のコンピュータ装置または通信装置であってよい。ユーザ通信装置110は、アカウント所有者との金融取引および他のやりとりを実行するために使用されるトランザクション端末(例えば、販売者または銀行端末)であってもよい。ユーザ装置110は、メモリモジュール113、ユーザインタフェース114、ネットワーク通信インタフェース112、およびNFCインタフェース116と通信するオンボードデータプロセッサ111を含む。ユーザ装置110は、選択的に、画像取り込み装置115(例えば、デジタルカメラ)を含んでもよい。データプロセッサ111は、マイクロプロセッサおよび関連する処理回路を含んでもよく、本明細書に記載の機能を実行するために必要に応じて、プロセッサ、メモリ、エラーおよびパリティ/CRCチェッカ、データエンコーダ、衝突防止アルゴリズム、コントローラ、コマンドデコーダ、セキュリティプリミティブ、および改ざん防止ハードウェアを含むさらなる構成要素を含んでもよい。メモリ113は、例えば、RAM、ROM、およびEEPROMなどの、読み取り専用メモリ、ライトワンスリードマルチメモリ、またはリード/ライトメモリであり得、ユーザ装置110は、これらのメモリの1つまたは複数を含み得る。
【0035】
装置110のユーザインタフェース114は、ユーザ入力機構を含み、当該機構は、タッチスクリーン、キーボード、マウス、カーソル制御装置、マイク、スタイラスまたはデジタルカメラなど、ユーザ装置110に情報および命令を入力するための任意の装置であり得る。ユーザインタフェース114はまた、ディスプレイを含んでもよく、ディスプレイは、液晶ディスプレイ、発光ダイオードディスプレイ、プラズマパネル、およびブラウン管ディスプレイを含む、コンピュータモニタ、フラットパネルディスプレイ、および携帯装置ディスプレイなどの視覚情報を表示するための任意のタイプの装置であり得る。
【0036】
ネットワーク通信インタフェース112は、装置110をネットワーク105または他の通信ネットワークに接続するための有線または無線のデータ通信機能を確立およびサポートするように構成されている。通信インタフェース112は、Bluetoothなどの短距離システムを介した通信のための短距離無線通信インタフェースとの通信をサポートするように構成することもできる。
【0037】
ユーザ装置のNFCインタフェース116は、特にトランザクションカード150のデータ処理チップ151を含む他のNFC対応装置との近距離無線通信を確立するように構成されている。NFCインーフェース116はさらに、チップNFCインタフェース154を介してデータ処理チップ151に情報を送信し、データ処理チップ151によって送信された情報を受信するように構成されている。
【0038】
本発明の実施形態では、メモリ113は、ユーザ装置110と、ネットワーク105を介して1つまたは複数の処理サーバ120および認証サーバ130と、および/またはNFC、短距離通信またはネットワーク105を介して1つまたは複数の販売者トランザクション端末(図示せず)との間のトランザクションを実行および/または監視するためにデータプロセッサ111によって使用可能な1つまたは複数のアプリケーションを記憶していてもよい。これらのアプリケーションは、トランザクションイベントを識別し、イベントデータをメモリ113に格納し、イベントデータをサーバ120、130に通信するためにデータプロセッサ111によって使用可能な命令を含み得る。いくつかのアプリケーションは、1つまたは複数の処理サーバ120または1つまたは複数の認証サーバ130からの命令の受信および解釈に関連する命令を含んでもよい。
【0039】
特定の実施形態では、メモリ113は、NFC対応タグ装置(例えば、RFIDタグ)にNDEFフォーマット情報を書き込む、および/またはそのような装置からフォーマット情報を読み取るように構成された1つまたは複数のアプレットを含み得る。これらのアプレットには、特に、フォーマット情報が受信タグのメモリに送信され、当該メモリに格納されるようにするライトタグコマンドを実行するための命令と、フォーマット情報がタグによって送信され、ユーザ装置110によって受信されるようにするリードタグコマンドを実行するための命令とが含まれてもよい。メモリ113はまた、トランザクションカード150との通信セッションで使用するためにNDEFアプレットを呼び出すことができるカード通信アプリケーションをその中に記憶していてもよい。カード通信アプリケーションは、データプロセッサ111が、NFCインタフェース116を介してトランザクションカード150との第1NFCセッションを確立し、そして、NFCインタフェース116を介してトランザクションカード150にNDEFライトタグコマンドを送信するための命令を含んでもよい。また、アプリケーションには、NDEFライトタグコマンドを介して送信するためにフォーマットされ得るセッション固有のチャレンジ情報を組み立てまたは受信するための命令が含まれてもよい。このようなチャレンジ情報には、たとえば、NFCセッションを他のセッションから区別するためのセッション識別子やタイムスタンプが含まれ得る。チャレンジ情報は、その代わりに、またはそれに加えて、認証または認可プロセスを完了するためにその存在が必要とされる、意図されたトランザクションカード150に特有の情報を含んでもよい。チャレンジ情報は、ネットワーク通信インタフェース112を介して処理サーバ120または認証サーバ130からデータプロセッサ111によって受信された情報、および/またはメモリ113に格納された情報を使用して、データプロセッサ111によって生成されてもよい。
【0040】
いくつかの実施形態では、アプリケーションは、トランザクション処理サーバ120または認証サーバ130から認証要求を受信するように構成され得る。このような要求は、特定のトランザクションカード150の存在の検証を必要とする、またはトランザクションカード150またはユーザの認証を必要とするトランザクションを実行する要求に応答して、サーバによって送信され得る。このような要求には、ライトタグコマンドに含められるチャレンジ情報が含まれ得る。アプリケーションは、ユーザインタフェース114を介してユーザ通信装置110のユーザに情報および命令を表示するようにさらに構成され得る。ユーザ命令には、例えば、トランザクションカード150とのNFC通信を開始する命令が含まれてもよい。
【0041】
カード通信アプリケーションは、データプロセッサ111がトランザクションカード150にNDEFリードタグコマンドを送信し、その返答としてフォーマットレスポンス情報をトランザクションカード150から受信するための命令をさらに含むことができる。レスポンス情報は、カード識別子、および/またはチャレンジ情報を使用してトランザクションカード150によって構築されるチャレンジレスポンス情報を含んでもよい。アプリケーションはまた、データプロセッサ111がチャレンジレスポンス情報を使用してトランザクションカード150を認証するための命令を含んでもよい。これは、チャレンジ応答情報と、メモリ113に格納されている、または要求側処理サーバ120または認証サーバ130から受信した想定されるレスポンス情報とを直接比較することによって達成され得る。
【0042】
いくつかの実施形態では、トランザクションカード150を認証する動作は、チャレンジレスポンス情報を認証サーバ130に送信すること、および認証サーバ130から返信される認証レスポンスを受信することを含んでもよい。いくつかの実施形態では、チャレンジレスポンス情報は、ネットワーク105を介して認証サーバ130に直接送信されてもよい。他の実施形態では、ユーザ通信装置110は、ネットワーク105を介してチャレンジレスポンス情報を処理サーバ120に送信してもよく、処理サーバ120は、チャレンジレスポンス情報を認証サーバ130に送信する。
【0043】
いくつかの実施形態では、チャレンジレスポンス情報認証は、カードまたはアカウントに関連付けられた暗号鍵を使用してトランザクションカードによって暗号化された情報を含むことができる。このような実施形態では、カード通信アプリケーションは、必要な暗号鍵をメモリ113から取得し、それらを使用して暗号化された情報を復号するように構成され得る。アプリケーションは、チャレンジレスポンス情報の復号の成功をカード150の認証に条件としてもよい。
【0044】
通信アプリケーションは、認証結果を確立すると、ネットワーク105を介して処理サーバ120、認証サーバ130、または他の要求側システムに認証結果を送信するように構成され得る。
【0045】
処理サーバ120は、トランザクションカード150に関連付けられたアカウントのトランザクションを処理するように構成された1つまたは複数のネットワーク対応処理サーバのシステムである。処理サーバ120は、ネットワーク105を介して、1つまたは複数のユーザ通信装置110(例えば、アカウント所有者の携帯装置または他の装置および販売者トランザクション端末)と選択的に通信するように構成されている。処理サーバ120は、アカウント情報データベース(図示せず)にアカウントおよびトランザクション情報を、カード情報データベース140にトランザクションカード情報を格納および取得するように構成され得る。処理サーバ120は、ユーザ装置110のいずれかからトランザクション処理要求を受信でき、そのような要求からの情報を使用して、要求されたトランザクションを処理すべきかどうかを決定するように構成される。
【0046】
いくつかの実施形態では、処理サーバ120は、トランザクションを処理するために、認可されたトランザクションカード150の存在の検証を必要としてもよい。いくつかのそのような実施形態では、処理サーバは、カード150またはその関連アカウントに関連付けられたユーザ通信装置110に検証要求を送信できる。他の実施形態では、処理サーバ120は、処理されるトランザクションに関連付けられたユーザ通信装置110(例えば、販売者端末)に要求を送信できる。いずれの場合も、検証要求には、カード150がアカウント所有者によって所有されていること、および/またはトランザクション要求者の存在下にあることを検証するために、ユーザ通信装置110とトランザクションカード150との間にNFC通信セッションを確立するためのユーザ通信装置110に対する命令が含まれる。いくつかの実施形態では、検証はユーザ通信装置110によって実行され、処理システム120は検証結果を示す応答を装置110から受信するだけである。しかしながら、いくつかの実施形態では、ユーザ通信装置110は検証を実行せず、その代わりに、トランザクションカード150から受信したチャレンジレスポンス情報を処理サーバ120に送信してもよい。処理サーバ120は、チャレンジレスポンス情報を使用して、トランザクションカード150の認証/検証を完了するように構成され得る。しかしながら、いくつかの実施形態では、処理サーバ120は、認証/検証プロセスを完了するためにチャレンジレスポンス情報を認証サーバ130に転送できる。
【0047】
いくつかの実施形態では、処理サーバ120は、ユーザ通信装置110によるカード150への提出のための検証要求に含まれ得るチャレンジ情報を生成し得る。チャレンジ情報には、カードおよび/またはトランザクション固有の情報が含まれ得る。代わりに、またはそれに加えて、乱数または擬似乱数などの予測不可能なチャレンジ値が含まれてもよい。
【0048】
認証サーバ130は、ネットワーク105を介してユーザ通信装置110および/または処理サーバ120と選択的に通信するように構成された1つまたは複数のネットワーク対応処理サーバのシステムであってもよい。認証プロセッサ130はまた、ネットワーク105を介して直接または処理サーバ120を介してカード情報データベース140にアクセスできてもよい。認証サーバ130は、ユーザ通信装置110にカード認証要求を送信し、ユーザ通信装置110から認証応答を受信するように構成され得る。認証サーバ130は、認証要求に含めるためのチャレンジ情報を生成するように構成され得る。このようなチャレンジ情報は、カードデータベース140から取得されるカード固有の情報であってもよいし、当該情報を含んでもよい。チャレンジ情報はまた、またはその代わりに、チャレンジレスポンス情報を生成するためにトランザクションカード150によって使用されるワンタイムリクエストまたはトランザクション固有の情報を含んでもよい。認証サーバ130は、ユーザ通信装置110から認証要求応答を受信するようにさらに構成され得、この応答は、トランザクションカード150によって生成されたチャレンジレスポンス情報を含む。認証サーバ130は、チャレンジレスポンス情報を使用して、そのような情報が想定されたトランザクションカード150によって生成されたことを検証するように構成され得る。
【0049】
カードデータベース140は、トランザクションカード150に関連付けられた1つまたは複数のデータ記録を格納していてもよい。いくつかの実施形態では、これらの記録は、トランザクションカード150に割り当てられ、カードメモリ156に記憶される1つまたは複数の秘密暗号鍵を含んでもよい。1つまたは複数の暗号鍵は、チャレンジレスポンス情報に含まれるカード暗号化情報の復号のために、必要に応じて処理サーバ120または認証サーバ130によってアクセスされ得る。処理サーバ120および/または認証サーバ130は、トランザクションカードに関連付けられた復号鍵および1つまたは複数の公開鍵を使用してカード暗号化情報を復号し、チャレンジレスポンス情報が想定されるトランザクションカード150によって提供されたことを検証するように構成され得る。いくつかの実施形態では、公開暗号鍵は、チャレンジレスポンス情報の一部であるか、チャレンジレスポンス情報に含まれていてもよい。
【0050】
本発明は、認証されたトランザクションカードの存在を保証するプロセスに強化されたセキュリティを提供することにより、トランザクションセキュリティの大幅な改善を提供する。セッション固有の情報をカード固有の情報と組み合わせて使用して、特定のアカウント関連カードの存在を認証することにより、本発明は、傍受エンティティがリプレイアタックでその情報を使用することを困難または不可能にする。この方法は、カードおよびアクセスが制限されたカードデータベースからのみ利用可能な秘密暗号鍵を使用して、カード自体にセッション固有の情報を暗号化させることによってさらに強化できる。
【0051】
本発明が広範な実用性および応用が可能であることは、当業者には容易に理解されるであろう。本明細書に記載したもの以外の本発明の多くの実施形態および適用、ならびに多くの変形、修正および同等の構成は、本発明の本質または範囲から逸脱することなく、本発明およびその前述の説明から明らかであるか、またはそれらによって合理的に示唆されるであろう。
【図1】
【図2】
【図3】
【図4】
【国際調査報告】