サービスアクセス認証データ管理システム
少なくとも1つのサービスにアクセスするためのアクセス装置(10)を備える、少なくとも1つのサービスアクセス認証データ項目を管理するためのシステムであって、本発明によれば、前記システムは、更に、− 前記認証データ項目及び前記サービスの識別子を管理する管理手段(210)を有する携帯端末(20)と、− 前記アクセス装置(10)と前記管理手段(210)との間の通信インタフェース(32)と、− 前記サービスの識別子を判定することができると共に、前記サービスにアクセスする際に、前記通信インタフェース(32)を経由して、前記管理手段(210)を利用することができるソフトウェアインタフェース(31)とを備え、ウェブサイトアクセス認証サービスに適用できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、少なくとも1つのサービスアクセス認証データ項目を管理するためのシステムに関するものである。
【0002】
本発明は、携帯端末におけるサービス、特に携帯電話及びウェブ(WEB)サイトアクセス認証サービスの分野において特に有利に適用できる。
【背景技術】
【0003】
今日、ウェブサイトで利用可能なサービスにアクセスするためのアクセス装置を有するユーザは、電子メール、オンラインバンキング、商業サイト等のような、彼が定期的に閲覧するサイトによって認証されるために、平均的に5つの識別子とパスワードのペアを保存している。これらの認証データに加えられるものは、クレジットカードコード、携帯電話コード、建物アクセスコード等のような、職業上の生活(professional life)及び私生活において使用されるデータである。通常、個人によって記憶されているべき認証データの量は、大抵の場合、彼の記憶能力を越えている。この問題を克服するために、いくらかの人々は、複数の異なるアプリケーションに対して、同じコード、または同じ識別子/パスワードのペアを使用することに頼る。そのような行動が明らかにアクセスセキュリティ(access security)を下げるということは了解済みであろう。
【0004】
これのために、全てがもはや多量の認証データを記憶しなければならないことはない利点をユーザに提供する、多数の認証データ管理システムが開発された。
【発明の開示】
【発明が解決しようとする課題】
【0005】
提案された解決方法の中に、パーソナルコンピュータにおけるウェブブラウザと連結された管理ソフトウェアパッケージがある。概して、これらの既知のソフトウェアパッケージは、ユーザによって訪問されたウェブサイトと関連付けられて識別子/パスワードが保存されることを可能にする。それらの内のいくつかは、更に、彼らがこれらのサイトにログオンするたびに、しかるべきフォーム(form)に前記識別子/パスワードを自動的に入力することを可能にする。更に、認証データは、アクセスキーによって保護されたファイルに保存される。
【0006】
更に、最先端技術から知られているのは、ユーザが、パーソナルコンピュータに連結された適切な読み取り装置を経由して、チップカードに彼の識別子/パスワードを保存することを可能にする管理システムである。これらのシステムは、上述の専用のソフトウェアパッケージと同じであるが、しかしチップカードタイプの安全な媒体上で認証データの記憶装置を提供するという加えられた利点を有する機能性を提供する。
【0007】
しかしながら、チップカードを包含するこのタイプの管理システムが、それが必要とされる場合に、各パーソナルコンピュータ上のカードリーダの存在と、彼の識別子及びパスワードを管理するシステムによって提供されたサービスを彼がいつでも使用したいと望むならば、ユーザがいつでも彼と一緒に持っていなければならないこのアプリケーションに特に専用であるチップカードの存在を要求するという欠点を提示するということは明白である。
【0008】
従って、本発明の主題によって解決されるべき技術的な問題は、少なくとも既知のチップカード管理システムによって提示されたセキュリティレベルに相当するセキュリティレベルを獲得することを可能にするが、しかしながら、特定のカード、またはこのカードを読み取ることを意図している装置を必要としない、少なくとも1つのサービスにアクセスするためのアクセス装置を備える少なくとも1つのサービスアクセス認証データ項目を管理するためのシステムを、どのように提案するか、ということである。
【課題を解決するための手段】
【0009】
本発明の主題は、少なくとも1つのサービスアクセス認証データ項目を管理するためのシステムであって、− 少なくとも1つのサービスにアクセスするためのアクセス装置と、− 前記認証データ項目及び前記サービスの識別子を管理する手段を有する携帯端末と、− 前記アクセス装置と前記管理手段との間の通信インタフェースと、− 前記サービスの識別子を判定することができると共に、前記サービスにアクセスする際に、前記通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記管理手段を利用することができるソフトウェアインタフェースとを備えることを特徴とするシステムである。
【0010】
従って、前記認証データ項目を管理する管理手段を、ユーザが通常彼と一緒に常に携帯するありふれたものである携帯端末内に実装することは、例えば、ユーザが、彼の識別子及びパスワードをいつでも検索することができると共に、専用のチップカードのような他の媒体を持たずに本発明の機能を有する管理システムを利用することを可能にするということが理解されることになる。更に、これより後に詳細に説明されることになるように、カードリーダのような、システムの汎用性を損なうであろう特別な重要もしくは高価な装置は考慮される必要がない。セキュリティモジュールに書かれることを意図しているショートメッセージの使用は、簡単かつ安全に管理手段を制御することを可能にする。
【0011】
本発明によれば、前記管理手段は、前記サービスの識別子に関連して前記認証データ項目を保存すると共に、復元する手段である。
【0012】
本発明の一つの特別な実施例によれば、管理手段は、前記携帯端末のセキュリティモジュールか、または前記携帯端末のメモリに実装される。
【0013】
本発明の一つの特別な実施例によれば、前記携帯端末は、移動電話網を経由して通信する手段を備えると共に、セキュリティモジュールは、前記移動電話網に関する加入者IDカードである。加入者IDカードは、パスワード、またはパスワードを管理するためのショートメッセージのような信用データを安全に保存するために使用される。
【0014】
チップカードのような、データを安全に保存することを可能にするあらゆる他のセキュリティモジュールが同様に使用され得る。用語“セキュリティモジュール”は、データの記憶、及び/または、サービスまたはプログラムの実行のための信用証明となる環境を形成する、あらゆるソフトウェア及び/またはハードウェア手段を意味すると理解されるべきである。
【0015】
変形において、前記管理手段は、加入者IDカードに実装される。実際には、前記加入者IDカードは、SIMカード、またはUICCカード(汎用集積回路カード)であり得る。
【0016】
加入者IDカード、特にSIMカードを装備されている携帯端末の使用は、ある種の利点を提示する。実際には、カードがパーソナルコンピュータのような装置から直接アクセス可能ではないので、それは高い度合いの安全性を提示する。更に、SIMカードがネットワークと連結されるので、窃盗の場合には、カードが含む認証データを遠隔操作で消去することが可能である。同様に、ユーザは、携帯電話ネットワークにおいて、前記認証データのバックアップを作成することができる。最終的に、前記少なくとも1つの認証データ項目が識別子、及びパスワードを含む場合、特にネットワークにおける電話リンクによって生成された要求に基づいて、パスワードプロバイダによって前記管理手段に供給された前記パスワードを有していると想定することが可能である。そうではない場合、前記パスワードは、識別子と同様に前記記憶手段に保存される。
【0017】
更に、携帯端末は、多数のユーザに、スクリーン及びキーパッドのような、本発明に照らして有利に開発され得る対話機能性を提供する。キーパッドの利点は、実際には、前記管理手段が識別コードによって、読み出し保護及び書き込み保護される場合に、それは、キーパッドがハイジャックに対して更に敏感であるアクセスコンピュータ上のキーボードを使用するよりむしろ全く完全にSIMカードにアクセスするためのPINコードを入力することを可能にするので、特記する価値がある。使用される様々な識別子は、端末のスクリーン上でももちろん見られ得る。
【0018】
1つの有利な変形によれば、管理手段は、携帯端末のキーパッド及びスクリーンを介してアクティブにされる適切なユーザインタフェースモジュールを用いて駆動されることができるように設計されている。このように、ユーザは、暇なときに、彼のパスワードのリストを調べる、特定の使用されていないパスワードを削除する、新しいパスワードをマニュアルで挿入する、メッセージによって1つまたは他のパスワードを第三者に伝送する等の操作を実行することができる。
【0019】
デジコード(digicode)、ボイスメール(voicemail)アクセスパスワード、様々な盗難防止用コード、電気通信サービスコード等のような他の個人的なユーザコードをSIMカードに保存することができる可能性を指摘することは、同様に重要である。
【0020】
本発明の1つの特別な実施例によれば、前記アクセス装置は、前記携帯端末に組み込まれる。この場合、前記携帯端末は、スマートフォン(smartphone)タイプの携帯端末、すなわち携帯情報機器、またはコンピュータの機能と共に提供された携帯電話であろうと想定される。
【0021】
一般的に、前記サービス識別子は、電気通信網における前記サービスのアドレス、例えば前記サービスを提供するウェブサイトのURLを含む。しかしながら、本発明は、通信ネットワークにおける前記サービスのアドレスのダイジェスト(digest)、すなわち特に、前記URLアドレスにハッシング関数を適用することによって獲得されるダイジェストを含むように前記サービス識別子を有利に提供する。この実施例によって、実際には、本発明のシステムの安全性のレベルを著しく増加することが可能になる。実際には、前記ダイジェストは、前記ソフトウェアインタフェースによって生成されると共に、上述の例における携帯端末の管理手段、SIMカードに供給される。この場合、サービス識別子は、好ましくはダイジェストの形式で保存される。
【0022】
本発明の主題である管理システムの1つの特徴によれば、前記通信インタフェースは、ローカル通信リンクを経由する通信のためのインタフェースである。特に、前記ローカルリンクは、赤外線リンク、ブルートゥース(Bluetooth)リンク、NFCリンク、またはケーブルリンクの中から選択される。
【0023】
最終的に、有利に、前記通信インタフェースは、好ましくは、加入者IDカードの中のショートメッセージを書き込み、そして読み出すためにATコマンドを使用するモデム通信インタフェースである。
【0024】
1つの特別な実施例によれば、前記携帯端末は、携帯電話ネットワークを介してアクセス可能な、認証データのプロバイダと通信するための手段を備える。パスワードは、従って、パスワードプロバイダによって管理手段に供給され得る。
【0025】
更に本発明は、少なくとも1つのサービスアクセス認証データ項目及び前記サービスの識別子を管理する手段を有する携帯端末であって、前記管理手段が、通信インタフェースを経由して前記サービスにアクセスするためのアクセス装置に連結されると共に、前記管理手段が、前記サービスにアクセスする際に、前記通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記サービスの識別子を判定することができるソフトウェアインタフェースによって利用されることを特徴とする携帯端末に関係する。
【0026】
更に本発明は、少なくとも1つのサービスにアクセスするためのアクセス装置と、少なくとも1つのサービスアクセス認証データ項目及び前記サービスの識別子を管理する手段との間のソフトウェアインタフェースであって、前記ソフトウェアインタフェースが、前記サービスの識別子を判定することができると共に、通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記管理手段を制御することができることを特徴とするソフトウェアインタフェースに関係する。
【0027】
更に本発明は、上記のようなソフトウェアインタフェースを含む、少なくとも1つのサービスにアクセスするためのアクセス装置に関係する。
【0028】
更に本発明は、少なくとも1つのサービスにアクセスするアクセス手段を有するアクセス装置に関する少なくとも1つのサービスアクセス認証データ項目を管理する方法であって、前記方法が、前記サービスにアクセスする際に、前記アクセス手段を有するソフトウェアインタフェースを用いて実行することを基礎とすると共に、前記方法が、− 前記サービスにアクセスするための少なくとも1つの認証データ項目に関する要求を検出する段階と、− 前記サービスの識別子を判定する段階と、− 前記認証データ項目及び前記識別子を管理する携帯端末内の手段を、前記アクセス装置と前記管理手段との間の通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、利用する段階とを含むことを特徴とする方法に関係する。
【0029】
本発明の方法は、有利に、サービスアクセス手段と通信する簡単なソフトウェアインタフェースを用いて実行されると共に、特に前記認証データ項目及び前記識別子を管理する管理手段を制御するために利用することができる。
【0030】
制限しない一例として与えられた、添付図面を踏まえて以下に続く説明は、本発明が何を含むか、そしてどのように形成され得るかを明らかに示すことになる。
【発明を実施するための最良の形態】
【0031】
図1は、サービスアクセス認証データ管理システムに関する構造を示す。
【0032】
図1の代表的な実施例において、この管理システムは、一方ではパーソナルコンピュータ(PC)のようなコンピュータワークステーション11、そして一方ではウェブブラウザとも呼ばれるワールドワイドウェブ(World Wide Web)を探索するソフトウェアパッケージ12を含む前記サービスにアクセスするためのアクセス装置10を備える。前記装置10のユーザが例えばTCP/IPリンクを経由してサービスを提供するウェブサイト40にアクセスすることができるのは、このブラウザ12を経由してである。
【0033】
ほとんどの場合、ワールドワイドウェブ上のユーザによって命令されたサービスの実際の提供は、対応するウェブサイト40上で前記ユーザの認証の目的のために提供されたフォームにおいて、前記ユーザを認証するデータの提出を要求する。
【0034】
それは、同一のユーザが今記憶しなければならない、ますます大きくなる量の認証データが原因であり、本発明は、その主な目的が以下に示す、− ウェブページ上の認証フォームを検出すること、− 後で説明されることになる管理手段に、認証データ、大抵の場合は、最初にアクセスするウェブサイト40に入力された認証フォームにおける識別子及びパスワードを安全に保存すること、− 次のアクセスに関してこのウェブサイト40で自動認証を実行するために、このデータを復元すること、である管理システムを提案する。
【0035】
図1の管理システムは、更に、この例においては電気通信網加入者IDカード21を装備した携帯電話である、携帯端末20を備える。SIMカードのようなこのカード21は、携帯電話20に挿入されると共に、主として携帯電話会社のネットワークへのアクセスを保護するために使用される。SIMカードは、いわゆる第三世代(3G)携帯電話に取り付けられるならば、UICCカードと交換され得る。通常、SIMカードまたはUICCカード21は、PINコードとして知られている暗号によって、読み出し保護及び書き込み保護される。
【0036】
本発明に照らして、IDカード21は、同様に、それらがアクセスを可能にするサービスの認証データ及び識別子を管理する管理手段を提供するために利用される。例えば、前記サービス識別子は、対応するウェブサイトのURLアドレスであるか、または、ハッシング関数を前記URLアドレスに適用することによって獲得された同等のダイジェストである。
【0037】
前記管理システムは、図1において、前記データ及びサービス識別子を安全に保存することを可能にするアプリケーションを指定する参照符号210によって総合的に表されると共に、前記サービスにアクセスするための認証フォームに対する自動入力のためにそれらを復元する。このアプリケーション210は、Java(登録商標)カードタイプのアプリケーションか、または前記PINコードによって保護された簡単なファイルのいずれかであり得る。
【0038】
最終的に、携帯端末20が、ここで詳細に説明されることになる端末とアクセス装置10との間をインターフェイスするためのモジュール30を有するローカルリンクの1つの末端22を備えることは、図1において見られることになる。
【0039】
アクセス装置10及びインターフェイスモジュール(interfacing module)30は、好ましくは同一のコンピュータ装置、例えばパーソナルコンピュータ(PC)またはデータ処理サーバに組み込まれる。
【0040】
例えば前記インターフェイスモジュール30は、ウェブブラウザ12とインターフェイスされることに適当なソフトウェアモジュールの形式をとる。それは、ブラウザを有するソフトウェアインタフェース31、及びローカル通信リンクを介して携帯電話にアクセスするための通信インタフェース32を備える。
【0041】
ソフトウェアインタフェース31の1つの目的は、ブラウザ12によってロードされた各ウェブページを識別し、ブラウザ12によってロードされた各ウェブページを分析し、その中の認証フォームの存在を検出し、フォームの認証フィールドが自動的に入力されることを可能にする、ユーザを認証するためのメカニズムを起動することである。
【0042】
ウェブブラウザ12がインターネットエクスプローラ(Internet Explorer)(登録商標)である場合において、ソフトウェアインタフェース31は、COM(Component Object Model)オブジェクト形式で実装されると共に、“ブラウザヘルパーオブジェクト(Browser Helper Object)”として宣言される。このように、それは、インターネットエクスプローラ(Internet Explorer)(登録商標)ブラウザによって自動的に開始される。ブラウザが開始されるとき、インタフェース31は、ウェブブラウザ12を有するインターフェースを表す“IWebBrowser2”と名前を付けられると共に、ウェブブラウザ12によってロードされたウェブページを構文解析して処理するために使用されるクラスのオブジェクトを例示する。各ウェブページに関して、インタフェース31は、“パスワード”タイプの1つの<INPUT>要素を従えている“テキスト”タイプの<INPUT>要素を含む<FORM>タイプのフォームを検索する。もしウェブページがこれらの基準に対応するならば、ソフトウェアインタフェース31は、処理されたウェブページに対応するアドレスが参照されるかどうかを確かめるために、カード21を管理する管理手段210に問い合わせを行う。もしアドレスが参照される場合、インタフェース31は、前記ウェブページに対応する認証データをインタフェース31に返信するように、管理手段210に依頼すると共に、認証データは、その場合に、インタフェース31がユーザにPINコード、通常は携帯端末のPINコードまたは認証アプリケーションのために設定される同等のPINコードの入力を促した後、ウェブページに自動的に注入される。他の場合は、ユーザは、彼の識別子及びパスワードを入力するように促されると共に、識別子及びパスワードは、その場合に、ソフトウェアインタフェース31によって獲得され、そしてウェブサイトのアドレスを伴う管理手段210に送信される。その場合に、これらの3つのデータ要素は、カード21内のPINコードによって保護されたファイルに保存される。特に通信インタフェース32の選択に基づいた実施に応じて、PINコードは、携帯端末20もしくはコンピュータ11上で要求され得る。
【0043】
もちろん、PINコードが、なりすましを試みるアクセスに更に弱いコンピュータ11で入力されるよりも携帯端末20で入力されることは安全保障上の理由で好ましい。本発明に基づいた管理システムが統合された入力キーパッドを備えている携帯端末を使用する利点が、従って理解されることになる。
【0044】
ソフトウェアインタフェース31のパーザ関数は、認証フォームの存在を検出するために、ウェブページの内容をスキャンすることを可能にする。ウェブページをダウンロードすることが完結するとき、この関数は実行される。ウェブページは、以下のようにスキャンされる。
【0045】
− HTML文書の復元。
【0046】
− 文書に含まれる<FORM>要素のスキャン。
【0047】
− <FORM>要素に含まれる全ての要素のスキャン、及び<INPUT>要素の復元。
【0048】
− 識別子、パスワード、及びフォームの提出フィールドを発見するための<INPUT>要素のタイプの復元。
【0049】
− 文書の<FRAME>要素のスキャン及び各要素のための関数に対する再帰呼出し。
【0050】
認証フォーム検出機能は、従って、ウェブページにおける識別子/パスワードフィールドを検出するために使用される。認証フォームは、それがパスワードを従えている識別子を含むときに検出される。HTML文書は、ウェブページ構文解析プログラム(parser)を用いてスキャンされると共に、各“<FORM>”要素に関して、以下の構成が適用されるかどうかを判定するために、“<INPUT>”要素がスキャンされる。
【0051】
【表1】
【0052】
もしHTML文書がそのような認証フォームを有している場合、その場合には、2つの可能性がある。
【0053】
− もしそれがウェブサイトへの最初の訪問であるならば、ユーザによって入力された認証データは、ユーザがこのデータの登録を許可する場合に限って、カード21に保存される。
【0054】
− もしユーザがこのウェブサイトで既に認証されているならば、認証データは、カード21に読み込まれると共に、認証フォームに自動的に入力される。
【0055】
ソフトウェアインタフェース31によって実行されるアルゴリズムは、図2において表される。
【0056】
通信インタフェース32の目的は、まさに説明されたように、携帯端末20を介して管理手段210にアクセスするために、ソフトウェアインタフェース31を有効にすることである。
【0057】
携帯端末20のカード21がSIMカードである場合において、インタフェース32は、コンピュータ11内に提供された(hosted:主催された)“SIMアクセスクライアント(SIM Access Client)”と名前を付けられたモジュールを備えると共に、それは、携帯電話20と、インタフェース32が一方の末端320を有し、他方の末端22が端末20に位置しているローカルリンクとを経由して、SIMカード21と通信する。
【0058】
前記ローカルリンクは、IrDAの赤外線リンク、ブルートゥース(Bluetooth)の短距離のラジオリンク、NFC(Near Field Communication)の非常に短距離のリンク、または同等のケーブルリンクであり得る。
【0059】
通信インタフェース32は、SIMカードが収容されるモデムのATコマンドによって実行され得る。実際には、それは、カード内に提供された(hosted:主催された)管理手段210を起動するために、SIMカードの中のショートメッセージ(SMS)を書くと共に読むための前記ATコマンドを使用することが可能である。これのために、これらの手段にとって、“ETSI GSM 11.14”標準において示された“Event Download”メカニズムを使用すると共に、SMSが書かれるとすぐにアクティブにされるために、“EVENT_UNFORMATTED_SMS_PP_UPD”イベントに署名することは、必要にして十分である。管理手段210は、その場合に、SMSを読みさえすれば良いと共に、応答を生成し、そしてSIMカードのSMSファイルに前記応答を書き込むために、その中に含まれるデータを処理することになる。一般的に、ATコマンドは、“標準”において定義される。この代表的な実施に更に明確に関連しているATコマンドは、SIMカードにSMSを書くためのコマンド(AT+CMGW)、及びSIMカード内のSMSを読むためのコマンド(AT+CMGR)である。
【0060】
ATコマンドで送信された着信データは、データブロックにカプセル化された、ウェブサイトのURLアドレスのダイジェスト(“ハッシュ(hash)”)である。発信データは、ATコマンドに対する応答にカプセル化された認証データである。
【0061】
通信インタフェース32は、同様に、国際特許出願番号“PCT FR 03/02802”号明細書において説明された方法を用いて実施され得る。この場合、ソフトウェアインタフェース31は、SIMカードにアクセスするためにPC/SCインタフェースを使用すると共に、管理アプリケーションとの対話を可能にするAPDU(Application Protocol Data Unit)タイプの命令を使用する。
【0062】
本発明のシステムの単純化されたバージョンにおいて、管理手段210によって扱われる認証データの保存機能は、SIMカードに配置される基本ファイル(elementary file:EF)によって実施される。この実施に対応する処理は、図3及び図4で例証される。
【0063】
1.認証要求において、ソフトウェアインタフェース31は、ウェブサイトのURLを、ローカルリンクに選ばれた媒体(IrDA、ブルートゥース(Bluetooth)等)を経由してSIMカード21の管理手段210に送信する。
【0064】
2.管理手段210は、管理アプリケーションに特有であり得るか、もしくはSIMカードのPINコードに等しいPINコードが提示されるのを待つと共に、入力されたPINコードの有効性をチェックする。
【0065】
3.管理手段210は、SIMカードに配置された基本ファイル(elementary file)において供給されたURLを探索する。
【0066】
4.管理手段210は、ソフトウェアインタフェース31に、もしそれらが存在するならば対応する認証データを返信し、さもなければ、それらは、ソフトウェアインタフェース31に、“not found”状態(status)を返信する。
【0067】
更に洗練されたバージョンにおいて、管理手段210によって扱われる認証データの保存機能は、SIMカード21内に提供された(hosted:主催された)アプリケーションによって実施される。このアプリケーションは、URLのダイジェスト(“ハッシュ”)及び認証データを含む安全なデータベースを備える。
【0068】
この実施に対応する運動学(kinematics)は、図5及び図6で例証される。
【0069】
1.認証要求において、ソフトウェアインタフェース31は、ウェブサイトのURLのダイジェストをローカルリンクに選ばれた媒体(IrDA、ブルートゥース(Bluetooth)等)を経由してSIMカード21に配置されたアプリケーションに送信する。
【0070】
2.アプリケーションは、管理アプリケーションに特有であり得るか、もしくはSIMカードのCHV1 PINコードに等しいPINコードが入力されるのを待つと共に、入力されたPINコードの有効性をチェックする。
【0071】
3.アプリケーションは、“BHA”データベース内のダイジェストを探索する。
【0072】
4.アプリケーションは、ソフトウェアインタフェース31に、もしそれらが存在するならば対応する認証データを返信し、さもなければ、それらは、ソフトウェアインタフェース31に、“not found”状態(status)を返信する。
【0073】
URLのダイジェストを使用する後者の方法は、分かりやすく言えば、URLをSIMカードに保存しなくて良いことを可能にする。その場合に、もしカードをなくした場合に、もしくはPINコードが盗まれた場合に、認証データと関連付けられたサイトを検索することは不可能である。更に、認証データを暗号化するか、もしくはスクランブルをかけることを考えることが可能である。
【0074】
総括すると、管理手段210は、− 認証データ(識別子、パスワード、及びURL形式またはURLダイジェスト形式におけるウェブサイトアドレス)をカード21の独自仕様のファイルに安全に保存すること、− PINコード入力によってユーザを認証すること、− 自動認証のためにカード21上のこれらのデータを読み取ること、− 携帯端末そのものでアクセスしたWEB/WAPサイト上の認証データを使用すること、− 携帯端末の端末スクリーン上で認証データを見ること、− 通信事業者のネットワークにおいて認証データのバックアップを作成すること、− 後で説明されるように、OTP(ワンタイムパスワード)タイプのパスワードを管理すること、を可能にする。
【0075】
SIMカード21内の管理アプリケーションに送信された命令は、“エンベロープ(envelope:外層)”コマンドにおいて、または独自仕様のAPDU(Application Protocol Data Unit)コマンドを送信することによって、カプセル化される。
【0076】
そのような命令の一般的な形式は、(ここでは様々な命令フィールドの長さがバイト数として与えられる)以下の表によって与えられる。
【0077】
【表2】
【0078】
この命令に対する応答の一般的な形式は、以下の表によって与えられる。
【0079】
【表3】
【0080】
アプリケーションによって受け付けられた様々な命令/応答は、以下のようになる。
【0081】
【表4】
【0082】
【表5】
【0083】
【表6】
【0084】
【表7】
【0085】
【表8】
【0086】
【表9】
【0087】
認証データは、それに対するアクセスがPINコードによって保護されている“EF RDPWD”と名前を付けられたファイルに保存される。このファイル“EF RDPWD”は、“DF SIMPASS”と名前を付けられた新しいディレクトリに挿入される。ファイル“EF RDPWD”は、固定長のレコードを含む。以下の表において示されたように、それは、ウェブサイトのURL、またはURLのダイジェスト、及び対応する識別子/パスワードを含む。
【0088】
【表10】
【0089】
第1の要素(表の第1の列)は、存在フラグ(presence flag)であり、それは、そのレコードが書かれているか否かを示す(“0x01”は、レコードにデータが書かれていることを示し、“0x00”は、レコードが空であることを示す)。
【0090】
第2の要素(表の第2の列)は、認証データのタイプを定義し、“01:固定パスワード”、または“10:OTP(ワンタイムパスワード)”であり得る。
【0091】
次のフィールド(表の第3の列、“URL”、“識別子”、“パスワード”、“ドメイン”、及び“config”)は、TLV(type/length/value)フォーマットで保存される。
【0092】
保存されたURLは、サイトのURLに対応すると共に、それがあまりにも長くなるのを防止するために、それは特別なフォーマットである。例えば、移動通信事業者“ABC”のサイトに関して、もし完全なURLが“http://www.abc.fr/0/visiteur/PV”である場合、URLは、“www.abc.fr”の形式で保存されることになる。
【0093】
その次にくるのは、識別子、パスワード、恐らくはドメイン、及びコンフィギュレーションデータブロック“config”である。
【0094】
OTPパスワードタイプの場合は、コンフィギュレーションデータブロック“config”は、OTPサーバのアドレスを含むファイルに対するポインタを定義する。
【0095】
本発明の主題である管理システムが、どのようにOTPパスワードを管理するサーバと共に機能するかに関する記述が以下に続いて説明される。
【0096】
OTPが、特定のサイトを強力に、そして動的に保護するために使用されるワンタイムパスワードであることが記憶されているであろう。OTPは、パスワードの分配及び保存の問題を解決する。このメカニズムは、一般的には以下のとおりに機能する。
【0097】
1.ユーザは、ウェブサイトにログオンする。
【0098】
2.サイトは認証フォームにOTPを入力することを促す。
【0099】
3.ユーザは、最も一般的には、USSD(Unstructured Supplementary Services Data)モードにおいて、彼の電話でOTPサーバの番号に電話をかけることで、OTPサーバを呼び出す。
【0100】
4.OTPサーバは、認証フォームに打ち込まれるべき一時的なパスワードを彼に送信する。
【0101】
5.クライアントは、彼の電話事業者によって課金される。
【0102】
本発明に照らすと、カード21における管理アプリケーション210は、図7において例証された以下の機能モードに基づくOTPマネージャとして使用される。
【0103】
1.ソフトウェアインタフェース31は、認証フォームを検出すると共に、対応するサイトが、OTPを使用するサイトとしてSIMカードに記録される。OTPの使用に関係する情報は、ファイル“EF RDPWD”(表の列2)に存在する。
【0104】
2.ソフトウェアインタフェース31は、OTP要求(OTP request)を実行するために、プロキシ要求(proxy request)を管理カード21のアプリケーションに送信する。
【0105】
3.アプリケーションは、OTPサーバの番号に電話をかけることによるUSSDリンクによって、そのアドレスが認証データベース、すなわちファイル“EF RDPWD”の“config”データブロックに設定されるサーバに対してこのOTP要求を実行する。
【0106】
4.管理アプリケーションは、OTPを復元する。
【0107】
5.アプリケーションは、OTPをソフトウェアインタフェース31に返信する。
【0108】
6.ソフトウェアインタフェースは、サイトのウェブページにおける“パスワード”フィールドを完成する。
【0109】
本発明の1つの有利なアプリケーションは、いわゆるスマートフォン(smartphone)と呼ばれる携帯電話を形成する携帯電話にアクセス装置10の機能が組み込まれる場合に関係する。この場合に、ソフトウェアインタフェース31は、携帯電話用ブラウザ(WAP、またはXHTML)に追加されると共に、関係のあるウェブページと関連付けられた認証データを記録し、復元するために、SIMカード21に配置される管理アプリケーション210と通信を行う。以下の実施は、図8に表された“Microsoft Windows(登録商標)”モバイルタイププラットフォームに基づいている。
【0110】
このアーキテクチャにおいて、電話のモデムに収容されるSIMカードにアクセスする1つの方法は、SIMカードへのアクセスの権利を有する独自仕様のプログラムを生成することを可能にするRIL(Radio Interface Layer)である下位層のライブラリを使用することである。この下位層のアプリケーション層は、特許出願番号“EP 1 233 343”号明細書の主題である。
【0111】
ソフトウェアインタフェース31によって、管理アプリケーションと対話するために使用されるRIL関数は、以下のとおりである。
【0112】
“RIL_Initialize()”:クライアントによる使用のために“RIL Driver”を初期化することを可能にする。RILドライバは、モデムとの対話、及びSIMカードとの対話を管理する。
【0113】
“RIL_SendSimToolkitEnvelopeCmd()”:いわゆる“エンベロープ”コマンドをSIMカードへ送信する。“エンベロープ”コマンドは、SIMカードに配置されたアプリケーションを起動すると共に、SMSフォームのダウンロード(SIMデータダウンロード)において、SMSがアプリケーションサーバから来たのと同じ方法で、SIMカードに配置されたアプリケーションにデータを送信するために使用される。
【0114】
RILによって提供された“コールバック(callback)”メカニズムは、呼び出されたRIL関数に対する応答を復元するために使用される。この場合に、このシステムは、ソフトウェアインタフェース31が、“エンベロープ”コマンドで送信された、URL(またはそのダイジェスト)に対応する認証データを復元することを可能にする。
【0115】
コマンド“RIL_SendSimToolkitEnvelopeCmd”の使用は、ソフトウェアインタフェース31が、SIMカードに配置された管理アプリケーション210を起動すると共に、SIMカードに配置された管理アプリケーション210に、“03.48”形式でデータブロックにカプセル化されたサイトのURL(またはそのダイジェスト)を着信データとして送信し、そして命令に対する応答にカプセル化された認証データを発信データとして送信することを可能にする。管理アプリケーションを起動するために、“エンベロープ”コマンドは、TARフィールドが3バイトのアプリケーションの識別子に等しくなければならない“03.48”形式のヘッダを含まなければならない。それが起動された後で、管理アプリケーションは、ユーザに、彼を認証するためのPINコードを入力するように要求しなければならない。ユーザとのこの対話を実行するために、アプリケーションは、例えば“SIM TOOLKIT”と名前を付けられた開発キットの一部分である“DISPLAY TEXT”コマンド及び“GET INPUT”コマンドを使用する。“SIM TOOLKIT”のコマンドは、3G(第3世代)のための標準31.111、及び2G(第2世代)のための標準11.14で定義される。“DISPLAY TEXT”コマンドは、アプリケーションの要求で携帯端末のスクリーン上にテキストを表示するために使用され得る。“GET INPUT”コマンドは、ユーザによるデータ入力、この場合にはPINコードをアプリケーションに返信するために使用され得る。
【図面の簡単な説明】
【0116】
【図1】本発明に基づいた管理システムの一般的なアーキテクチャの図である。
【図2】本発明のシステムのソフトウェアインタフェースにおいて実行されるアルゴリズムを示す図である。
【図3】認証データを記録する第1の方法を示す図である。
【図4】図3に従って記録されたデータを自動的に認証する第1の方法を示す図である。
【図5】認証データを記録する第2の方法を示す図である。
【図6】図5に従って記録されたデータを自動的に認証する第2の方法を示す図である。
【図7】OTPによる自動認証の方法を示す図である。
【図8】“Microsoft Windows(登録商標)”モバイルアーキテクチャの機能を示す図である。
【符号の説明】
【0117】
10 アクセス装置
11 コンピュータワークステーション
12 ウェブブラウザ
20 携帯端末
21 電気通信網加入者IDカード
22 ローカルリンクの1つの末端
30 インターフェイスモジュール
31 ソフトウェアインタフェース
32 通信インタフェース
40 ウェブサイト
210 管理手段(管理アプリケーション)
320 ローカルリンクの1つの末端
【技術分野】
【0001】
本発明は、少なくとも1つのサービスアクセス認証データ項目を管理するためのシステムに関するものである。
【0002】
本発明は、携帯端末におけるサービス、特に携帯電話及びウェブ(WEB)サイトアクセス認証サービスの分野において特に有利に適用できる。
【背景技術】
【0003】
今日、ウェブサイトで利用可能なサービスにアクセスするためのアクセス装置を有するユーザは、電子メール、オンラインバンキング、商業サイト等のような、彼が定期的に閲覧するサイトによって認証されるために、平均的に5つの識別子とパスワードのペアを保存している。これらの認証データに加えられるものは、クレジットカードコード、携帯電話コード、建物アクセスコード等のような、職業上の生活(professional life)及び私生活において使用されるデータである。通常、個人によって記憶されているべき認証データの量は、大抵の場合、彼の記憶能力を越えている。この問題を克服するために、いくらかの人々は、複数の異なるアプリケーションに対して、同じコード、または同じ識別子/パスワードのペアを使用することに頼る。そのような行動が明らかにアクセスセキュリティ(access security)を下げるということは了解済みであろう。
【0004】
これのために、全てがもはや多量の認証データを記憶しなければならないことはない利点をユーザに提供する、多数の認証データ管理システムが開発された。
【発明の開示】
【発明が解決しようとする課題】
【0005】
提案された解決方法の中に、パーソナルコンピュータにおけるウェブブラウザと連結された管理ソフトウェアパッケージがある。概して、これらの既知のソフトウェアパッケージは、ユーザによって訪問されたウェブサイトと関連付けられて識別子/パスワードが保存されることを可能にする。それらの内のいくつかは、更に、彼らがこれらのサイトにログオンするたびに、しかるべきフォーム(form)に前記識別子/パスワードを自動的に入力することを可能にする。更に、認証データは、アクセスキーによって保護されたファイルに保存される。
【0006】
更に、最先端技術から知られているのは、ユーザが、パーソナルコンピュータに連結された適切な読み取り装置を経由して、チップカードに彼の識別子/パスワードを保存することを可能にする管理システムである。これらのシステムは、上述の専用のソフトウェアパッケージと同じであるが、しかしチップカードタイプの安全な媒体上で認証データの記憶装置を提供するという加えられた利点を有する機能性を提供する。
【0007】
しかしながら、チップカードを包含するこのタイプの管理システムが、それが必要とされる場合に、各パーソナルコンピュータ上のカードリーダの存在と、彼の識別子及びパスワードを管理するシステムによって提供されたサービスを彼がいつでも使用したいと望むならば、ユーザがいつでも彼と一緒に持っていなければならないこのアプリケーションに特に専用であるチップカードの存在を要求するという欠点を提示するということは明白である。
【0008】
従って、本発明の主題によって解決されるべき技術的な問題は、少なくとも既知のチップカード管理システムによって提示されたセキュリティレベルに相当するセキュリティレベルを獲得することを可能にするが、しかしながら、特定のカード、またはこのカードを読み取ることを意図している装置を必要としない、少なくとも1つのサービスにアクセスするためのアクセス装置を備える少なくとも1つのサービスアクセス認証データ項目を管理するためのシステムを、どのように提案するか、ということである。
【課題を解決するための手段】
【0009】
本発明の主題は、少なくとも1つのサービスアクセス認証データ項目を管理するためのシステムであって、− 少なくとも1つのサービスにアクセスするためのアクセス装置と、− 前記認証データ項目及び前記サービスの識別子を管理する手段を有する携帯端末と、− 前記アクセス装置と前記管理手段との間の通信インタフェースと、− 前記サービスの識別子を判定することができると共に、前記サービスにアクセスする際に、前記通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記管理手段を利用することができるソフトウェアインタフェースとを備えることを特徴とするシステムである。
【0010】
従って、前記認証データ項目を管理する管理手段を、ユーザが通常彼と一緒に常に携帯するありふれたものである携帯端末内に実装することは、例えば、ユーザが、彼の識別子及びパスワードをいつでも検索することができると共に、専用のチップカードのような他の媒体を持たずに本発明の機能を有する管理システムを利用することを可能にするということが理解されることになる。更に、これより後に詳細に説明されることになるように、カードリーダのような、システムの汎用性を損なうであろう特別な重要もしくは高価な装置は考慮される必要がない。セキュリティモジュールに書かれることを意図しているショートメッセージの使用は、簡単かつ安全に管理手段を制御することを可能にする。
【0011】
本発明によれば、前記管理手段は、前記サービスの識別子に関連して前記認証データ項目を保存すると共に、復元する手段である。
【0012】
本発明の一つの特別な実施例によれば、管理手段は、前記携帯端末のセキュリティモジュールか、または前記携帯端末のメモリに実装される。
【0013】
本発明の一つの特別な実施例によれば、前記携帯端末は、移動電話網を経由して通信する手段を備えると共に、セキュリティモジュールは、前記移動電話網に関する加入者IDカードである。加入者IDカードは、パスワード、またはパスワードを管理するためのショートメッセージのような信用データを安全に保存するために使用される。
【0014】
チップカードのような、データを安全に保存することを可能にするあらゆる他のセキュリティモジュールが同様に使用され得る。用語“セキュリティモジュール”は、データの記憶、及び/または、サービスまたはプログラムの実行のための信用証明となる環境を形成する、あらゆるソフトウェア及び/またはハードウェア手段を意味すると理解されるべきである。
【0015】
変形において、前記管理手段は、加入者IDカードに実装される。実際には、前記加入者IDカードは、SIMカード、またはUICCカード(汎用集積回路カード)であり得る。
【0016】
加入者IDカード、特にSIMカードを装備されている携帯端末の使用は、ある種の利点を提示する。実際には、カードがパーソナルコンピュータのような装置から直接アクセス可能ではないので、それは高い度合いの安全性を提示する。更に、SIMカードがネットワークと連結されるので、窃盗の場合には、カードが含む認証データを遠隔操作で消去することが可能である。同様に、ユーザは、携帯電話ネットワークにおいて、前記認証データのバックアップを作成することができる。最終的に、前記少なくとも1つの認証データ項目が識別子、及びパスワードを含む場合、特にネットワークにおける電話リンクによって生成された要求に基づいて、パスワードプロバイダによって前記管理手段に供給された前記パスワードを有していると想定することが可能である。そうではない場合、前記パスワードは、識別子と同様に前記記憶手段に保存される。
【0017】
更に、携帯端末は、多数のユーザに、スクリーン及びキーパッドのような、本発明に照らして有利に開発され得る対話機能性を提供する。キーパッドの利点は、実際には、前記管理手段が識別コードによって、読み出し保護及び書き込み保護される場合に、それは、キーパッドがハイジャックに対して更に敏感であるアクセスコンピュータ上のキーボードを使用するよりむしろ全く完全にSIMカードにアクセスするためのPINコードを入力することを可能にするので、特記する価値がある。使用される様々な識別子は、端末のスクリーン上でももちろん見られ得る。
【0018】
1つの有利な変形によれば、管理手段は、携帯端末のキーパッド及びスクリーンを介してアクティブにされる適切なユーザインタフェースモジュールを用いて駆動されることができるように設計されている。このように、ユーザは、暇なときに、彼のパスワードのリストを調べる、特定の使用されていないパスワードを削除する、新しいパスワードをマニュアルで挿入する、メッセージによって1つまたは他のパスワードを第三者に伝送する等の操作を実行することができる。
【0019】
デジコード(digicode)、ボイスメール(voicemail)アクセスパスワード、様々な盗難防止用コード、電気通信サービスコード等のような他の個人的なユーザコードをSIMカードに保存することができる可能性を指摘することは、同様に重要である。
【0020】
本発明の1つの特別な実施例によれば、前記アクセス装置は、前記携帯端末に組み込まれる。この場合、前記携帯端末は、スマートフォン(smartphone)タイプの携帯端末、すなわち携帯情報機器、またはコンピュータの機能と共に提供された携帯電話であろうと想定される。
【0021】
一般的に、前記サービス識別子は、電気通信網における前記サービスのアドレス、例えば前記サービスを提供するウェブサイトのURLを含む。しかしながら、本発明は、通信ネットワークにおける前記サービスのアドレスのダイジェスト(digest)、すなわち特に、前記URLアドレスにハッシング関数を適用することによって獲得されるダイジェストを含むように前記サービス識別子を有利に提供する。この実施例によって、実際には、本発明のシステムの安全性のレベルを著しく増加することが可能になる。実際には、前記ダイジェストは、前記ソフトウェアインタフェースによって生成されると共に、上述の例における携帯端末の管理手段、SIMカードに供給される。この場合、サービス識別子は、好ましくはダイジェストの形式で保存される。
【0022】
本発明の主題である管理システムの1つの特徴によれば、前記通信インタフェースは、ローカル通信リンクを経由する通信のためのインタフェースである。特に、前記ローカルリンクは、赤外線リンク、ブルートゥース(Bluetooth)リンク、NFCリンク、またはケーブルリンクの中から選択される。
【0023】
最終的に、有利に、前記通信インタフェースは、好ましくは、加入者IDカードの中のショートメッセージを書き込み、そして読み出すためにATコマンドを使用するモデム通信インタフェースである。
【0024】
1つの特別な実施例によれば、前記携帯端末は、携帯電話ネットワークを介してアクセス可能な、認証データのプロバイダと通信するための手段を備える。パスワードは、従って、パスワードプロバイダによって管理手段に供給され得る。
【0025】
更に本発明は、少なくとも1つのサービスアクセス認証データ項目及び前記サービスの識別子を管理する手段を有する携帯端末であって、前記管理手段が、通信インタフェースを経由して前記サービスにアクセスするためのアクセス装置に連結されると共に、前記管理手段が、前記サービスにアクセスする際に、前記通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記サービスの識別子を判定することができるソフトウェアインタフェースによって利用されることを特徴とする携帯端末に関係する。
【0026】
更に本発明は、少なくとも1つのサービスにアクセスするためのアクセス装置と、少なくとも1つのサービスアクセス認証データ項目及び前記サービスの識別子を管理する手段との間のソフトウェアインタフェースであって、前記ソフトウェアインタフェースが、前記サービスの識別子を判定することができると共に、通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記管理手段を制御することができることを特徴とするソフトウェアインタフェースに関係する。
【0027】
更に本発明は、上記のようなソフトウェアインタフェースを含む、少なくとも1つのサービスにアクセスするためのアクセス装置に関係する。
【0028】
更に本発明は、少なくとも1つのサービスにアクセスするアクセス手段を有するアクセス装置に関する少なくとも1つのサービスアクセス認証データ項目を管理する方法であって、前記方法が、前記サービスにアクセスする際に、前記アクセス手段を有するソフトウェアインタフェースを用いて実行することを基礎とすると共に、前記方法が、− 前記サービスにアクセスするための少なくとも1つの認証データ項目に関する要求を検出する段階と、− 前記サービスの識別子を判定する段階と、− 前記認証データ項目及び前記識別子を管理する携帯端末内の手段を、前記アクセス装置と前記管理手段との間の通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、利用する段階とを含むことを特徴とする方法に関係する。
【0029】
本発明の方法は、有利に、サービスアクセス手段と通信する簡単なソフトウェアインタフェースを用いて実行されると共に、特に前記認証データ項目及び前記識別子を管理する管理手段を制御するために利用することができる。
【0030】
制限しない一例として与えられた、添付図面を踏まえて以下に続く説明は、本発明が何を含むか、そしてどのように形成され得るかを明らかに示すことになる。
【発明を実施するための最良の形態】
【0031】
図1は、サービスアクセス認証データ管理システムに関する構造を示す。
【0032】
図1の代表的な実施例において、この管理システムは、一方ではパーソナルコンピュータ(PC)のようなコンピュータワークステーション11、そして一方ではウェブブラウザとも呼ばれるワールドワイドウェブ(World Wide Web)を探索するソフトウェアパッケージ12を含む前記サービスにアクセスするためのアクセス装置10を備える。前記装置10のユーザが例えばTCP/IPリンクを経由してサービスを提供するウェブサイト40にアクセスすることができるのは、このブラウザ12を経由してである。
【0033】
ほとんどの場合、ワールドワイドウェブ上のユーザによって命令されたサービスの実際の提供は、対応するウェブサイト40上で前記ユーザの認証の目的のために提供されたフォームにおいて、前記ユーザを認証するデータの提出を要求する。
【0034】
それは、同一のユーザが今記憶しなければならない、ますます大きくなる量の認証データが原因であり、本発明は、その主な目的が以下に示す、− ウェブページ上の認証フォームを検出すること、− 後で説明されることになる管理手段に、認証データ、大抵の場合は、最初にアクセスするウェブサイト40に入力された認証フォームにおける識別子及びパスワードを安全に保存すること、− 次のアクセスに関してこのウェブサイト40で自動認証を実行するために、このデータを復元すること、である管理システムを提案する。
【0035】
図1の管理システムは、更に、この例においては電気通信網加入者IDカード21を装備した携帯電話である、携帯端末20を備える。SIMカードのようなこのカード21は、携帯電話20に挿入されると共に、主として携帯電話会社のネットワークへのアクセスを保護するために使用される。SIMカードは、いわゆる第三世代(3G)携帯電話に取り付けられるならば、UICCカードと交換され得る。通常、SIMカードまたはUICCカード21は、PINコードとして知られている暗号によって、読み出し保護及び書き込み保護される。
【0036】
本発明に照らして、IDカード21は、同様に、それらがアクセスを可能にするサービスの認証データ及び識別子を管理する管理手段を提供するために利用される。例えば、前記サービス識別子は、対応するウェブサイトのURLアドレスであるか、または、ハッシング関数を前記URLアドレスに適用することによって獲得された同等のダイジェストである。
【0037】
前記管理システムは、図1において、前記データ及びサービス識別子を安全に保存することを可能にするアプリケーションを指定する参照符号210によって総合的に表されると共に、前記サービスにアクセスするための認証フォームに対する自動入力のためにそれらを復元する。このアプリケーション210は、Java(登録商標)カードタイプのアプリケーションか、または前記PINコードによって保護された簡単なファイルのいずれかであり得る。
【0038】
最終的に、携帯端末20が、ここで詳細に説明されることになる端末とアクセス装置10との間をインターフェイスするためのモジュール30を有するローカルリンクの1つの末端22を備えることは、図1において見られることになる。
【0039】
アクセス装置10及びインターフェイスモジュール(interfacing module)30は、好ましくは同一のコンピュータ装置、例えばパーソナルコンピュータ(PC)またはデータ処理サーバに組み込まれる。
【0040】
例えば前記インターフェイスモジュール30は、ウェブブラウザ12とインターフェイスされることに適当なソフトウェアモジュールの形式をとる。それは、ブラウザを有するソフトウェアインタフェース31、及びローカル通信リンクを介して携帯電話にアクセスするための通信インタフェース32を備える。
【0041】
ソフトウェアインタフェース31の1つの目的は、ブラウザ12によってロードされた各ウェブページを識別し、ブラウザ12によってロードされた各ウェブページを分析し、その中の認証フォームの存在を検出し、フォームの認証フィールドが自動的に入力されることを可能にする、ユーザを認証するためのメカニズムを起動することである。
【0042】
ウェブブラウザ12がインターネットエクスプローラ(Internet Explorer)(登録商標)である場合において、ソフトウェアインタフェース31は、COM(Component Object Model)オブジェクト形式で実装されると共に、“ブラウザヘルパーオブジェクト(Browser Helper Object)”として宣言される。このように、それは、インターネットエクスプローラ(Internet Explorer)(登録商標)ブラウザによって自動的に開始される。ブラウザが開始されるとき、インタフェース31は、ウェブブラウザ12を有するインターフェースを表す“IWebBrowser2”と名前を付けられると共に、ウェブブラウザ12によってロードされたウェブページを構文解析して処理するために使用されるクラスのオブジェクトを例示する。各ウェブページに関して、インタフェース31は、“パスワード”タイプの1つの<INPUT>要素を従えている“テキスト”タイプの<INPUT>要素を含む<FORM>タイプのフォームを検索する。もしウェブページがこれらの基準に対応するならば、ソフトウェアインタフェース31は、処理されたウェブページに対応するアドレスが参照されるかどうかを確かめるために、カード21を管理する管理手段210に問い合わせを行う。もしアドレスが参照される場合、インタフェース31は、前記ウェブページに対応する認証データをインタフェース31に返信するように、管理手段210に依頼すると共に、認証データは、その場合に、インタフェース31がユーザにPINコード、通常は携帯端末のPINコードまたは認証アプリケーションのために設定される同等のPINコードの入力を促した後、ウェブページに自動的に注入される。他の場合は、ユーザは、彼の識別子及びパスワードを入力するように促されると共に、識別子及びパスワードは、その場合に、ソフトウェアインタフェース31によって獲得され、そしてウェブサイトのアドレスを伴う管理手段210に送信される。その場合に、これらの3つのデータ要素は、カード21内のPINコードによって保護されたファイルに保存される。特に通信インタフェース32の選択に基づいた実施に応じて、PINコードは、携帯端末20もしくはコンピュータ11上で要求され得る。
【0043】
もちろん、PINコードが、なりすましを試みるアクセスに更に弱いコンピュータ11で入力されるよりも携帯端末20で入力されることは安全保障上の理由で好ましい。本発明に基づいた管理システムが統合された入力キーパッドを備えている携帯端末を使用する利点が、従って理解されることになる。
【0044】
ソフトウェアインタフェース31のパーザ関数は、認証フォームの存在を検出するために、ウェブページの内容をスキャンすることを可能にする。ウェブページをダウンロードすることが完結するとき、この関数は実行される。ウェブページは、以下のようにスキャンされる。
【0045】
− HTML文書の復元。
【0046】
− 文書に含まれる<FORM>要素のスキャン。
【0047】
− <FORM>要素に含まれる全ての要素のスキャン、及び<INPUT>要素の復元。
【0048】
− 識別子、パスワード、及びフォームの提出フィールドを発見するための<INPUT>要素のタイプの復元。
【0049】
− 文書の<FRAME>要素のスキャン及び各要素のための関数に対する再帰呼出し。
【0050】
認証フォーム検出機能は、従って、ウェブページにおける識別子/パスワードフィールドを検出するために使用される。認証フォームは、それがパスワードを従えている識別子を含むときに検出される。HTML文書は、ウェブページ構文解析プログラム(parser)を用いてスキャンされると共に、各“<FORM>”要素に関して、以下の構成が適用されるかどうかを判定するために、“<INPUT>”要素がスキャンされる。
【0051】
【表1】
【0052】
もしHTML文書がそのような認証フォームを有している場合、その場合には、2つの可能性がある。
【0053】
− もしそれがウェブサイトへの最初の訪問であるならば、ユーザによって入力された認証データは、ユーザがこのデータの登録を許可する場合に限って、カード21に保存される。
【0054】
− もしユーザがこのウェブサイトで既に認証されているならば、認証データは、カード21に読み込まれると共に、認証フォームに自動的に入力される。
【0055】
ソフトウェアインタフェース31によって実行されるアルゴリズムは、図2において表される。
【0056】
通信インタフェース32の目的は、まさに説明されたように、携帯端末20を介して管理手段210にアクセスするために、ソフトウェアインタフェース31を有効にすることである。
【0057】
携帯端末20のカード21がSIMカードである場合において、インタフェース32は、コンピュータ11内に提供された(hosted:主催された)“SIMアクセスクライアント(SIM Access Client)”と名前を付けられたモジュールを備えると共に、それは、携帯電話20と、インタフェース32が一方の末端320を有し、他方の末端22が端末20に位置しているローカルリンクとを経由して、SIMカード21と通信する。
【0058】
前記ローカルリンクは、IrDAの赤外線リンク、ブルートゥース(Bluetooth)の短距離のラジオリンク、NFC(Near Field Communication)の非常に短距離のリンク、または同等のケーブルリンクであり得る。
【0059】
通信インタフェース32は、SIMカードが収容されるモデムのATコマンドによって実行され得る。実際には、それは、カード内に提供された(hosted:主催された)管理手段210を起動するために、SIMカードの中のショートメッセージ(SMS)を書くと共に読むための前記ATコマンドを使用することが可能である。これのために、これらの手段にとって、“ETSI GSM 11.14”標準において示された“Event Download”メカニズムを使用すると共に、SMSが書かれるとすぐにアクティブにされるために、“EVENT_UNFORMATTED_SMS_PP_UPD”イベントに署名することは、必要にして十分である。管理手段210は、その場合に、SMSを読みさえすれば良いと共に、応答を生成し、そしてSIMカードのSMSファイルに前記応答を書き込むために、その中に含まれるデータを処理することになる。一般的に、ATコマンドは、“標準”において定義される。この代表的な実施に更に明確に関連しているATコマンドは、SIMカードにSMSを書くためのコマンド(AT+CMGW)、及びSIMカード内のSMSを読むためのコマンド(AT+CMGR)である。
【0060】
ATコマンドで送信された着信データは、データブロックにカプセル化された、ウェブサイトのURLアドレスのダイジェスト(“ハッシュ(hash)”)である。発信データは、ATコマンドに対する応答にカプセル化された認証データである。
【0061】
通信インタフェース32は、同様に、国際特許出願番号“PCT FR 03/02802”号明細書において説明された方法を用いて実施され得る。この場合、ソフトウェアインタフェース31は、SIMカードにアクセスするためにPC/SCインタフェースを使用すると共に、管理アプリケーションとの対話を可能にするAPDU(Application Protocol Data Unit)タイプの命令を使用する。
【0062】
本発明のシステムの単純化されたバージョンにおいて、管理手段210によって扱われる認証データの保存機能は、SIMカードに配置される基本ファイル(elementary file:EF)によって実施される。この実施に対応する処理は、図3及び図4で例証される。
【0063】
1.認証要求において、ソフトウェアインタフェース31は、ウェブサイトのURLを、ローカルリンクに選ばれた媒体(IrDA、ブルートゥース(Bluetooth)等)を経由してSIMカード21の管理手段210に送信する。
【0064】
2.管理手段210は、管理アプリケーションに特有であり得るか、もしくはSIMカードのPINコードに等しいPINコードが提示されるのを待つと共に、入力されたPINコードの有効性をチェックする。
【0065】
3.管理手段210は、SIMカードに配置された基本ファイル(elementary file)において供給されたURLを探索する。
【0066】
4.管理手段210は、ソフトウェアインタフェース31に、もしそれらが存在するならば対応する認証データを返信し、さもなければ、それらは、ソフトウェアインタフェース31に、“not found”状態(status)を返信する。
【0067】
更に洗練されたバージョンにおいて、管理手段210によって扱われる認証データの保存機能は、SIMカード21内に提供された(hosted:主催された)アプリケーションによって実施される。このアプリケーションは、URLのダイジェスト(“ハッシュ”)及び認証データを含む安全なデータベースを備える。
【0068】
この実施に対応する運動学(kinematics)は、図5及び図6で例証される。
【0069】
1.認証要求において、ソフトウェアインタフェース31は、ウェブサイトのURLのダイジェストをローカルリンクに選ばれた媒体(IrDA、ブルートゥース(Bluetooth)等)を経由してSIMカード21に配置されたアプリケーションに送信する。
【0070】
2.アプリケーションは、管理アプリケーションに特有であり得るか、もしくはSIMカードのCHV1 PINコードに等しいPINコードが入力されるのを待つと共に、入力されたPINコードの有効性をチェックする。
【0071】
3.アプリケーションは、“BHA”データベース内のダイジェストを探索する。
【0072】
4.アプリケーションは、ソフトウェアインタフェース31に、もしそれらが存在するならば対応する認証データを返信し、さもなければ、それらは、ソフトウェアインタフェース31に、“not found”状態(status)を返信する。
【0073】
URLのダイジェストを使用する後者の方法は、分かりやすく言えば、URLをSIMカードに保存しなくて良いことを可能にする。その場合に、もしカードをなくした場合に、もしくはPINコードが盗まれた場合に、認証データと関連付けられたサイトを検索することは不可能である。更に、認証データを暗号化するか、もしくはスクランブルをかけることを考えることが可能である。
【0074】
総括すると、管理手段210は、− 認証データ(識別子、パスワード、及びURL形式またはURLダイジェスト形式におけるウェブサイトアドレス)をカード21の独自仕様のファイルに安全に保存すること、− PINコード入力によってユーザを認証すること、− 自動認証のためにカード21上のこれらのデータを読み取ること、− 携帯端末そのものでアクセスしたWEB/WAPサイト上の認証データを使用すること、− 携帯端末の端末スクリーン上で認証データを見ること、− 通信事業者のネットワークにおいて認証データのバックアップを作成すること、− 後で説明されるように、OTP(ワンタイムパスワード)タイプのパスワードを管理すること、を可能にする。
【0075】
SIMカード21内の管理アプリケーションに送信された命令は、“エンベロープ(envelope:外層)”コマンドにおいて、または独自仕様のAPDU(Application Protocol Data Unit)コマンドを送信することによって、カプセル化される。
【0076】
そのような命令の一般的な形式は、(ここでは様々な命令フィールドの長さがバイト数として与えられる)以下の表によって与えられる。
【0077】
【表2】
【0078】
この命令に対する応答の一般的な形式は、以下の表によって与えられる。
【0079】
【表3】
【0080】
アプリケーションによって受け付けられた様々な命令/応答は、以下のようになる。
【0081】
【表4】
【0082】
【表5】
【0083】
【表6】
【0084】
【表7】
【0085】
【表8】
【0086】
【表9】
【0087】
認証データは、それに対するアクセスがPINコードによって保護されている“EF RDPWD”と名前を付けられたファイルに保存される。このファイル“EF RDPWD”は、“DF SIMPASS”と名前を付けられた新しいディレクトリに挿入される。ファイル“EF RDPWD”は、固定長のレコードを含む。以下の表において示されたように、それは、ウェブサイトのURL、またはURLのダイジェスト、及び対応する識別子/パスワードを含む。
【0088】
【表10】
【0089】
第1の要素(表の第1の列)は、存在フラグ(presence flag)であり、それは、そのレコードが書かれているか否かを示す(“0x01”は、レコードにデータが書かれていることを示し、“0x00”は、レコードが空であることを示す)。
【0090】
第2の要素(表の第2の列)は、認証データのタイプを定義し、“01:固定パスワード”、または“10:OTP(ワンタイムパスワード)”であり得る。
【0091】
次のフィールド(表の第3の列、“URL”、“識別子”、“パスワード”、“ドメイン”、及び“config”)は、TLV(type/length/value)フォーマットで保存される。
【0092】
保存されたURLは、サイトのURLに対応すると共に、それがあまりにも長くなるのを防止するために、それは特別なフォーマットである。例えば、移動通信事業者“ABC”のサイトに関して、もし完全なURLが“http://www.abc.fr/0/visiteur/PV”である場合、URLは、“www.abc.fr”の形式で保存されることになる。
【0093】
その次にくるのは、識別子、パスワード、恐らくはドメイン、及びコンフィギュレーションデータブロック“config”である。
【0094】
OTPパスワードタイプの場合は、コンフィギュレーションデータブロック“config”は、OTPサーバのアドレスを含むファイルに対するポインタを定義する。
【0095】
本発明の主題である管理システムが、どのようにOTPパスワードを管理するサーバと共に機能するかに関する記述が以下に続いて説明される。
【0096】
OTPが、特定のサイトを強力に、そして動的に保護するために使用されるワンタイムパスワードであることが記憶されているであろう。OTPは、パスワードの分配及び保存の問題を解決する。このメカニズムは、一般的には以下のとおりに機能する。
【0097】
1.ユーザは、ウェブサイトにログオンする。
【0098】
2.サイトは認証フォームにOTPを入力することを促す。
【0099】
3.ユーザは、最も一般的には、USSD(Unstructured Supplementary Services Data)モードにおいて、彼の電話でOTPサーバの番号に電話をかけることで、OTPサーバを呼び出す。
【0100】
4.OTPサーバは、認証フォームに打ち込まれるべき一時的なパスワードを彼に送信する。
【0101】
5.クライアントは、彼の電話事業者によって課金される。
【0102】
本発明に照らすと、カード21における管理アプリケーション210は、図7において例証された以下の機能モードに基づくOTPマネージャとして使用される。
【0103】
1.ソフトウェアインタフェース31は、認証フォームを検出すると共に、対応するサイトが、OTPを使用するサイトとしてSIMカードに記録される。OTPの使用に関係する情報は、ファイル“EF RDPWD”(表の列2)に存在する。
【0104】
2.ソフトウェアインタフェース31は、OTP要求(OTP request)を実行するために、プロキシ要求(proxy request)を管理カード21のアプリケーションに送信する。
【0105】
3.アプリケーションは、OTPサーバの番号に電話をかけることによるUSSDリンクによって、そのアドレスが認証データベース、すなわちファイル“EF RDPWD”の“config”データブロックに設定されるサーバに対してこのOTP要求を実行する。
【0106】
4.管理アプリケーションは、OTPを復元する。
【0107】
5.アプリケーションは、OTPをソフトウェアインタフェース31に返信する。
【0108】
6.ソフトウェアインタフェースは、サイトのウェブページにおける“パスワード”フィールドを完成する。
【0109】
本発明の1つの有利なアプリケーションは、いわゆるスマートフォン(smartphone)と呼ばれる携帯電話を形成する携帯電話にアクセス装置10の機能が組み込まれる場合に関係する。この場合に、ソフトウェアインタフェース31は、携帯電話用ブラウザ(WAP、またはXHTML)に追加されると共に、関係のあるウェブページと関連付けられた認証データを記録し、復元するために、SIMカード21に配置される管理アプリケーション210と通信を行う。以下の実施は、図8に表された“Microsoft Windows(登録商標)”モバイルタイププラットフォームに基づいている。
【0110】
このアーキテクチャにおいて、電話のモデムに収容されるSIMカードにアクセスする1つの方法は、SIMカードへのアクセスの権利を有する独自仕様のプログラムを生成することを可能にするRIL(Radio Interface Layer)である下位層のライブラリを使用することである。この下位層のアプリケーション層は、特許出願番号“EP 1 233 343”号明細書の主題である。
【0111】
ソフトウェアインタフェース31によって、管理アプリケーションと対話するために使用されるRIL関数は、以下のとおりである。
【0112】
“RIL_Initialize()”:クライアントによる使用のために“RIL Driver”を初期化することを可能にする。RILドライバは、モデムとの対話、及びSIMカードとの対話を管理する。
【0113】
“RIL_SendSimToolkitEnvelopeCmd()”:いわゆる“エンベロープ”コマンドをSIMカードへ送信する。“エンベロープ”コマンドは、SIMカードに配置されたアプリケーションを起動すると共に、SMSフォームのダウンロード(SIMデータダウンロード)において、SMSがアプリケーションサーバから来たのと同じ方法で、SIMカードに配置されたアプリケーションにデータを送信するために使用される。
【0114】
RILによって提供された“コールバック(callback)”メカニズムは、呼び出されたRIL関数に対する応答を復元するために使用される。この場合に、このシステムは、ソフトウェアインタフェース31が、“エンベロープ”コマンドで送信された、URL(またはそのダイジェスト)に対応する認証データを復元することを可能にする。
【0115】
コマンド“RIL_SendSimToolkitEnvelopeCmd”の使用は、ソフトウェアインタフェース31が、SIMカードに配置された管理アプリケーション210を起動すると共に、SIMカードに配置された管理アプリケーション210に、“03.48”形式でデータブロックにカプセル化されたサイトのURL(またはそのダイジェスト)を着信データとして送信し、そして命令に対する応答にカプセル化された認証データを発信データとして送信することを可能にする。管理アプリケーションを起動するために、“エンベロープ”コマンドは、TARフィールドが3バイトのアプリケーションの識別子に等しくなければならない“03.48”形式のヘッダを含まなければならない。それが起動された後で、管理アプリケーションは、ユーザに、彼を認証するためのPINコードを入力するように要求しなければならない。ユーザとのこの対話を実行するために、アプリケーションは、例えば“SIM TOOLKIT”と名前を付けられた開発キットの一部分である“DISPLAY TEXT”コマンド及び“GET INPUT”コマンドを使用する。“SIM TOOLKIT”のコマンドは、3G(第3世代)のための標準31.111、及び2G(第2世代)のための標準11.14で定義される。“DISPLAY TEXT”コマンドは、アプリケーションの要求で携帯端末のスクリーン上にテキストを表示するために使用され得る。“GET INPUT”コマンドは、ユーザによるデータ入力、この場合にはPINコードをアプリケーションに返信するために使用され得る。
【図面の簡単な説明】
【0116】
【図1】本発明に基づいた管理システムの一般的なアーキテクチャの図である。
【図2】本発明のシステムのソフトウェアインタフェースにおいて実行されるアルゴリズムを示す図である。
【図3】認証データを記録する第1の方法を示す図である。
【図4】図3に従って記録されたデータを自動的に認証する第1の方法を示す図である。
【図5】認証データを記録する第2の方法を示す図である。
【図6】図5に従って記録されたデータを自動的に認証する第2の方法を示す図である。
【図7】OTPによる自動認証の方法を示す図である。
【図8】“Microsoft Windows(登録商標)”モバイルアーキテクチャの機能を示す図である。
【符号の説明】
【0117】
10 アクセス装置
11 コンピュータワークステーション
12 ウェブブラウザ
20 携帯端末
21 電気通信網加入者IDカード
22 ローカルリンクの1つの末端
30 インターフェイスモジュール
31 ソフトウェアインタフェース
32 通信インタフェース
40 ウェブサイト
210 管理手段(管理アプリケーション)
320 ローカルリンクの1つの末端
【特許請求の範囲】
【請求項1】
少なくとも1つのサービスアクセス認証データ項目を管理するためのシステムであって、
− 少なくとも1つのサービスにアクセスするためのアクセス装置(10)と、
− 前記認証データ項目及び前記サービスの識別子を管理する手段(210)を有する携帯端末(20)と、
− 前記アクセス装置(10)と前記管理手段(210)との間の通信インタフェース(32)と、
− 前記サービスの識別子を判定することができると共に、前記サービスにアクセスする際に、前記通信インタフェース(32)を経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記管理手段(210)を利用することができるソフトウェアインタフェース(31)と
を備えることを特徴とするシステム。
【請求項2】
前記携帯端末が、移動電話網を経由して通信する手段を備えると共に、
前記セキュリティモジュールが、前記移動電話網に関する加入者IDカードである
ことを特徴とする請求項1に記載のシステム。
【請求項3】
前記管理手段(210)が、前記セキュリティモジュールに実装される
ことを特徴とする請求項1または請求項2のいずれか一項に記載のシステム。
【請求項4】
前記管理手段(210)が、前記携帯端末のメモリに実装される
ことを特徴とする請求項1または請求項2のいずれか一項に記載のシステム。
【請求項5】
前記管理手段(210)が、前記サービスの識別子に関連して前記認証データ項目を保存すると共に、復元する手段である
ことを特徴とする請求項1から請求項4のいずれか一項に記載のシステム。
【請求項6】
前記携帯端末(20)が、移動電話網を経由してアクセス可能な認証データ(OTP)のプロバイダと通信するための手段を備える
ことを特徴とする請求項1から請求項5のいずれか一項に記載のシステム。
【請求項7】
前記管理手段(210)が、識別コードによって、読み出し保護及び書き込み保護される
ことを特徴とする請求項1から請求項6のいずれか一項に記載のシステム。
【請求項8】
前記通信インタフェース(32)が、ローカル通信リンクを経由する通信のためのインタフェースである
ことを特徴とする請求項1から請求項7のいずれか一項に記載のシステム。
【請求項9】
前記通信インタフェース(32)が、前記加入者IDカード(21)の中のショートメッセージ(SMS)を書き込み、そして読み出すためにATコマンドを使用するモデム通信インタフェースである
ことを特徴とする請求項2から請求項10のいずれか一項に記載のシステム。
【請求項10】
少なくとも1つのサービスアクセス認証データ項目及び前記サービスの識別子を管理する手段(210)を有する携帯端末(20)であって、
前記管理手段(210)が、通信インタフェース(32)を経由して前記サービスにアクセスするためのアクセス装置(10)に連結されると共に、
前記管理手段が、前記サービスにアクセスする際に、前記通信インタフェース(32)を経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記サービスの識別子を判定することができるソフトウェアインタフェース(31)によって利用される
ことを特徴とする携帯端末。
【請求項11】
少なくとも1つのサービスにアクセスするためのアクセス装置(10)と、少なくとも1つのサービスアクセス認証データ項目及び前記サービスの識別子を管理する手段(210)との間のソフトウェアインタフェース(31)であって、
前記ソフトウェアインタフェース(31)が、前記サービスの識別子を判定することができると共に、通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記管理手段(210)を利用することができる
ことを特徴とするソフトウェアインタフェース。
【請求項12】
請求項11に記載されたソフトウェアインタフェースを含む、少なくとも1つのサービスにアクセスするためのアクセス装置。
【請求項13】
少なくとも1つのサービスにアクセスするアクセス手段(12)を有するアクセス装置(10)に関する少なくとも1つのサービスアクセス認証データ項目を管理する方法であって、
前記方法が、前記サービスにアクセスする際に、前記アクセス手段を有するソフトウェアインタフェース(31)を用いて実行することを基礎とすると共に、
前記方法が、
− 前記サービスにアクセスするための少なくとも1つの認証データ項目に関する要求を検出する段階と、
− 前記サービスの識別子を判定する段階と、
− 前記認証データ項目及び前記識別子を管理する携帯端末(20)内の手段(210)を、前記アクセス装置(10)と前記管理手段との間の通信インタフェース(32)を経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、利用する段階と
を含むことを特徴とする方法。
【請求項1】
少なくとも1つのサービスアクセス認証データ項目を管理するためのシステムであって、
− 少なくとも1つのサービスにアクセスするためのアクセス装置(10)と、
− 前記認証データ項目及び前記サービスの識別子を管理する手段(210)を有する携帯端末(20)と、
− 前記アクセス装置(10)と前記管理手段(210)との間の通信インタフェース(32)と、
− 前記サービスの識別子を判定することができると共に、前記サービスにアクセスする際に、前記通信インタフェース(32)を経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記管理手段(210)を利用することができるソフトウェアインタフェース(31)と
を備えることを特徴とするシステム。
【請求項2】
前記携帯端末が、移動電話網を経由して通信する手段を備えると共に、
前記セキュリティモジュールが、前記移動電話網に関する加入者IDカードである
ことを特徴とする請求項1に記載のシステム。
【請求項3】
前記管理手段(210)が、前記セキュリティモジュールに実装される
ことを特徴とする請求項1または請求項2のいずれか一項に記載のシステム。
【請求項4】
前記管理手段(210)が、前記携帯端末のメモリに実装される
ことを特徴とする請求項1または請求項2のいずれか一項に記載のシステム。
【請求項5】
前記管理手段(210)が、前記サービスの識別子に関連して前記認証データ項目を保存すると共に、復元する手段である
ことを特徴とする請求項1から請求項4のいずれか一項に記載のシステム。
【請求項6】
前記携帯端末(20)が、移動電話網を経由してアクセス可能な認証データ(OTP)のプロバイダと通信するための手段を備える
ことを特徴とする請求項1から請求項5のいずれか一項に記載のシステム。
【請求項7】
前記管理手段(210)が、識別コードによって、読み出し保護及び書き込み保護される
ことを特徴とする請求項1から請求項6のいずれか一項に記載のシステム。
【請求項8】
前記通信インタフェース(32)が、ローカル通信リンクを経由する通信のためのインタフェースである
ことを特徴とする請求項1から請求項7のいずれか一項に記載のシステム。
【請求項9】
前記通信インタフェース(32)が、前記加入者IDカード(21)の中のショートメッセージ(SMS)を書き込み、そして読み出すためにATコマンドを使用するモデム通信インタフェースである
ことを特徴とする請求項2から請求項10のいずれか一項に記載のシステム。
【請求項10】
少なくとも1つのサービスアクセス認証データ項目及び前記サービスの識別子を管理する手段(210)を有する携帯端末(20)であって、
前記管理手段(210)が、通信インタフェース(32)を経由して前記サービスにアクセスするためのアクセス装置(10)に連結されると共に、
前記管理手段が、前記サービスにアクセスする際に、前記通信インタフェース(32)を経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記サービスの識別子を判定することができるソフトウェアインタフェース(31)によって利用される
ことを特徴とする携帯端末。
【請求項11】
少なくとも1つのサービスにアクセスするためのアクセス装置(10)と、少なくとも1つのサービスアクセス認証データ項目及び前記サービスの識別子を管理する手段(210)との間のソフトウェアインタフェース(31)であって、
前記ソフトウェアインタフェース(31)が、前記サービスの識別子を判定することができると共に、通信インタフェースを経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、前記管理手段(210)を利用することができる
ことを特徴とするソフトウェアインタフェース。
【請求項12】
請求項11に記載されたソフトウェアインタフェースを含む、少なくとも1つのサービスにアクセスするためのアクセス装置。
【請求項13】
少なくとも1つのサービスにアクセスするアクセス手段(12)を有するアクセス装置(10)に関する少なくとも1つのサービスアクセス認証データ項目を管理する方法であって、
前記方法が、前記サービスにアクセスする際に、前記アクセス手段を有するソフトウェアインタフェース(31)を用いて実行することを基礎とすると共に、
前記方法が、
− 前記サービスにアクセスするための少なくとも1つの認証データ項目に関する要求を検出する段階と、
− 前記サービスの識別子を判定する段階と、
− 前記認証データ項目及び前記識別子を管理する携帯端末(20)内の手段(210)を、前記アクセス装置(10)と前記管理手段との間の通信インタフェース(32)を経由して、前記携帯端末のセキュリティモジュールに前記管理手段によって読まれることを目的としてショートメッセージを書き込むことを可能にする命令を用いて、利用する段階と
を含むことを特徴とする方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2008−547100(P2008−547100A)
【公表日】平成20年12月25日(2008.12.25)
【国際特許分類】
【出願番号】特願2008−517558(P2008−517558)
【出願日】平成18年6月20日(2006.6.20)
【国際出願番号】PCT/FR2006/050612
【国際公開番号】WO2006/136752
【国際公開日】平成18年12月28日(2006.12.28)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(591034154)フランス テレコム (290)
【Fターム(参考)】
【公表日】平成20年12月25日(2008.12.25)
【国際特許分類】
【出願日】平成18年6月20日(2006.6.20)
【国際出願番号】PCT/FR2006/050612
【国際公開番号】WO2006/136752
【国際公開日】平成18年12月28日(2006.12.28)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(591034154)フランス テレコム (290)
【Fターム(参考)】
[ Back to top ]