セルラーネットワークを介したデバイスの安全な認証登録
【課題】 セルラーネットワークを介して信頼できないデバイスを認証し、安全に登録する方法およびシステムを提供する。
【解決手段】 操作中、モバイルデバイスは、(セルラーネットワークなどの)第1のネットワーク(信頼できないかまたは部分的に信頼できないネットワークの場合もある)上の通信トランスポートを介して(モバイルデバイスの電話番号などの)識別子を送信する。サーバは、伝送を受信し、(SMSシステムなどの)信頼できるネットワークにわたってモバイルデバイスにトークンを送信する。トークンは、モバイルデバイスにより第1のネットワークを介してサーバに送信される。サーバは、トークンを検査し、たとえば、デバイスの認証のためのデジタル証明書を発行することができる。
【解決手段】 操作中、モバイルデバイスは、(セルラーネットワークなどの)第1のネットワーク(信頼できないかまたは部分的に信頼できないネットワークの場合もある)上の通信トランスポートを介して(モバイルデバイスの電話番号などの)識別子を送信する。サーバは、伝送を受信し、(SMSシステムなどの)信頼できるネットワークにわたってモバイルデバイスにトークンを送信する。トークンは、モバイルデバイスにより第1のネットワークを介してサーバに送信される。サーバは、トークンを検査し、たとえば、デバイスの認証のためのデジタル証明書を発行することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セルラーネットワークを介したデバイスの安全な認証登録に関する。
【背景技術】
【0002】
携帯用通信および/またはコンピューティングデバイス(「モバイルデバイス」)は、多くの場合さまざまなネットワークにリンクすることができる。たとえば、携帯電話を使用して、インターネット経由で提供されているWebサイトをブラウズすることができる。さらに、携帯電話は、通常の音声通信を提供することに加えて、テキストメッセージを送受信することができる。
【0003】
Short Message Service(SMS)は、モバイルデバイスを使用してテキストメッセージを送受信する機能を提供する。SMSメッセージのテキストには、文字、数字、または英数字の組合せを含めることができる。SMSは、Global System for Mobiles(GSM)デジタル携帯電話規格に組み込まれている。単一のSMSメッセージは、デフォルトのGSMアルファベットコード化を使用する場合には最大160文字の長さにすることができるが、キリル文字セットが使用される場合は140文字まで、UCS2国際文字コードが使用される場合は最大70文字の長さにしかすることができない。
【0004】
モバイルデバイスは、金融取引の実施および/または個人情報の取得に使用することができるため、モバイルデバイスがネットワークにリンクされる場合にはこれを認証することが必要になることが多い。ただし、信頼できないモバイルデバイス(untrusted mobile device)を登録して、部分的に委任されているセルラーネットワークを介してデジタル証明書を取得し、そのモバイルデバイスの識別を証明することは、モバイルデバイスに特有の限界があるために現在のところ扱いにくいプロセスである。
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、セルラーネットワークを介して信頼できないデバイスを安全に登録するためのシステムおよび方法を提供することを目的としている。操作中、モバイルデバイスは、(セルラーネットワークなどの)第1のネットワーク(信頼できないかまたは部分的に信頼できないネットワークの場合もある)上の通信トランスポートを介して(モバイルデバイスの電話番号などの)識別子を送信する。サーバは、伝送を受信し、(SMSシステムなどの)信頼できるネットワークを介してモバイルデバイスにトークンを送信する。トークンは、モバイルデバイスにより第1のネットワークを介してサーバに送信される。サーバは、トークンを検査し、たとえば、デバイスの認証のためのデジタル証明書を発行することができる。
【課題を解決するための手段】
【0006】
本発明の態様によれば、モバイルデバイスを認証するためのコンピュータ実施方法は、第1のネットワークを介してモバイルデバイスから認証トークンに対する認証要求を受信することであって、認証要求は第1の識別子を備え、受信した要求に応じて前記認証トークンを発行することと、第2の信頼できるネットワークを介して前記発行されたトークンをモバイルデバイスに送信することと、第1のネットワークを介してモバイルデバイスから検証要求を受信することであって、検証要求は第1の識別子および発行されたトークンを備えていることと、検証要求の第1の識別子が認証要求の第1の識別子と一致し、検証要求の発行されたトークンが発行された認証トークンと一致することを検査することとを含む。
【0007】
本発明のもう1つの態様によれば、モバイルデバイスを認証するためのシステムは、第1のネットワークを介してモバイルデバイスから認証要求を受信するように構成されたトークンジェネレータであって、認証要求は第1の識別子を備えているトークンジェネレータと、受信した要求に対応して認証トークンを発行し、第2の信頼できるネットワークを介して前記発行されたトークンをモバイルデバイスに送信するように構成されたネットワークインターフェースと、第1のネットワークを介してモバイルデバイスから検証要求を受信するように構成され、検証要求は第1の識別子および発行されたトークンを備え、検証要求の第1の識別子が認証要求の第1の識別子と一致し、検証要求の発行されたトークンが発行された認証トークンと一致することを検査するように構成されたべリファイヤとを備えている。
【0008】
本発明により、認証システムは、第2の信頼できるネットワークおよび任意のネットワークを介して以前信頼できなかったデバイスを自動的に(または少なくとも手作業を軽減して)認証するために使用することができる。認証プロセスは、デジタル証明書をモバイルデバイスが使用できるように提供することを備えることができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明について、本明細書の一部を形成し、例示により本発明を実施するための特定の模範的な実施形態を示す添付の図を参照して詳細に説明される。ただし、本発明は、多くのさまざまな形態で実施することができ、本明細書に示されている実施形態に限定されるものとして解釈すべきではない。むしろ、これらの実施形態は、本開示が十分かつ完全なものになるよう、また本発明の範囲を当業者に十分に伝えられるように提供されている。特に、本発明は、方法またはデバイスとして実施することができる。したがって、本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、またはソフトウェアおよびハードウェアの態様を組み合わせた実施形態をとることができる。したがって、以下の詳細な説明は、限定的な意味で解釈すべきではない。
【0010】
(例示的なオペレーティング環境)
図1を参照すると、本発明を実装するための1つの模範的なシステムは、コンピューティングデバイス100等のコンピューティングデバイスを含んでいる。コンピューティングデバイスは、クライアント、サーバ、モバイルデバイス、または任意の他のコンピューティングデバイスとして構成することができる。極めて基本的な構成において、コンピューティングデバイス100は通常、少なくとも1つの処理ユニット102およびシステムメモリ104を含んでいる。コンピューティングデバイスの正確な構成および種類に応じて、システムメモリ104は揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)、またはこの2つの組合せであってもよい。システムメモリ104は通常、オペレーティングシステム105、1つまたは複数のアプリケーション106を含み、プログラムデータ107を含むこともできる。1つの実施形態において、アプリケーション106は、認証アプリケーション120を含んでいる。この基本構成は、図1において、破線108内のコンポーネントにより表されている。
【0011】
コンピューティングデバイス100は、追加の特徴または機能を備えることもできる。たとえば、コンピューティングデバイス100は、たとえば磁気ディスク、光ディスク、またはテープなどの追加のデータ記憶デバイス(取り外し式および/または固定)を含むこともできる。そのような追加のストレージは、取り外し式ストレージ109および固定式ストレージ110によって図1に示されている。コンピュータストレージ媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータなどの情報のストレージのための任意の方法または技術において実装された揮発性および不揮発性の、取り外し式および固定の媒体を含むことができる。システムメモリ104、取り外し式ストレージ109および固定式ストレージ110はすべて、コンピュータストレージ媒体の例である。コンピュータストレージ媒体は、RAM、ROM、EEPROM、フラッシュメモリその他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)または他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージその他の磁気ストレージデバイス、あるいは望ましい情報を格納するために使用することができ、コンピューティングデバイス100によってアクセスすることができる他の媒体を含んでいるが、これらに限定されることはない。そのようなコンピュータストレージ媒体は、デバイス100の一部にすることができる。コンピューティングデバイス100はさらに、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの入力デバイス112を備えることもできる。ディスプレイ、スピーカ、プリンタなどの出力デバイス114も含めることができる。
【0012】
コンピューティングデバイス100は、デバイスがネットワークなどを介して他のコンピューティングデバイス118と通信できるようにする通信接続116も含んでいる。通信接続116は、通信媒体の一例である。通信媒体は通常、搬送波その他の搬送機構などの変調データ信号で、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータによって実施され、任意の情報伝達媒体を含んでいる。「変調データ信号」という用語は、1つまたは複数の特性セットを備える信号、または信号の情報をコード化するような方法で変更された信号を意味する。たとえば、通信媒体は、有線ネットワークまたは直接配線接続等の有線媒体、および音響、RF、赤外線など無線媒体を含んでいるが、これらに限定されることはない。本明細書で使用されているコンピュータ可読媒体という用語は、ストレージ媒体および通信媒体を共に含んでいる。
【0013】
図2は、本発明において実質的に使用されるモバイルデバイスの代替動作環境を示している。本発明の1つの実施形態において、モバイルデバイス200は、統合型携帯情報端末(PDA)および携帯電話などのコンピュータデバイスとして組み込まれている。
【0014】
本実施形態において、モバイルデバイス200は、プロセッサ260、メモリ262、ディスプレイ228、およびキーパッド232を有している。メモリ262は一般に、揮発性メモリ(たとえばRAM)および不揮発性メモリ(たとえばROM、フラッシュメモリなど)を含んでいる。モバイルデバイス200は、メモリ262に常駐してプロセッサ260上で実行するオペレーティングシステム264を含んでいる。キーパッド232は、(通常の電話機等の)プッシュボタン式数字ダイヤルパッド、(従来のキーボード等の)マルチキーのキーボードであってもよく、タッチスクリーンまたはスタイラスを考慮したモバイルデバイスに含まれなくてもよい。ディスプレイ228は、液晶ディスプレイ、またはモバイルコンピューティングデバイスに一般に使用される他の種類のディスプレイであってもよい。ディスプレイ228は、タッチスクリーン式であってもよく、その場合入力デバイスとしての役割も果たす。
【0015】
1つまたは複数のアプリケーションプログラム266は、メモリ262にロードされ、オペレーティングシステム264上で実行する。アプリケーションプログラムの例としては、電話ダイヤラプログラム、電子メールプログラム、スケジューリングプログラム、PIM(パーソナルインフォメーションマネージャ)プログラム、文書処理プログラム、スプレッドシートプログラム、インターネットブラウザプログラムなどが含まれる。1つの実施形態において、アプリケーションプログラム266は、認証アプリケーション280を含んでいる。モバイルデバイス200はさらに、メモリ262内に不揮発性ストレージ268を含んでいる。不揮発性ストレージ268は、モバイルデバイス200の電源を落とした場合に失われてはならない永続的情報を格納するために使用することができる。アプリケーション266は、電子メールアプリケーションが使用する電子メールまたは他のメッセージ、PIMが使用する連絡先情報、スケジューリングプログラムが使用するアポイントメント情報、文書処理アプリケーションが使用する文書などの情報を使用し、ストレージ268に格納することができる。同期化アプリケーションもまたモバイルデバイスに常駐し、ホストコンピュータに常駐の対応する同期化アプリケーションと対話して、ストレージ268に格納されている情報がホストコンピュータに格納されている対応する情報と同期をとるようにプログラムされている。
【0016】
モバイルデバイス200は、1つまたは複数のバッテリとして実装することのできる電源装置270を有している。電源装置270はさらに、ACアダプタまたはバッテリを補足または再充電する電動ドッキングクレードルなどの外部電源を含むこともできる。
【0017】
モバイルデバイス200はまた、LED240およびオーディオインターフェース274という2つのタイプの外部通知メカニズムと共に示されている。これらのデバイスは、電源装置270に直接接続することができ、アクティブにした場合は、たとえプロセッサ260および他のコンポーネントがバッテリ残量を節約するためにシャットダウンしても通知メカニズムによって指示された期間オン状態を維持するようになっている。LED240は、ユーザが操作を行うまで無期限にオン状態を維持してデバイスの電源投入状態を示すようにプログラムすることができる。オーディオインターフェース274は、ユーザとの間で可聴信号を送受信するために使用される。たとえば、オーディオインターフェース274は、電話会話を容易にするような場合、可聴出力を提供するためにスピーカに接続し、可聴入力を受信するためにマイクロホンに接続することができる。
【0018】
モバイルデバイス200はまた、無線周波数通信を送受信する機能を実行する無線インタフェースレイヤー272を含んでいる。無線インタフェースレイヤー272は、通信キャリアまたはサービスプロバイダを介して、モバイルデバイス200および外部世界の間の無線接続を容易にする。無線インタフェースレイヤー272との間の伝送は、オペレーティングシステム264の制御のもとに行われる。つまり、無線インタフェースレイヤー272によって受信された通信は、オペレーティングシステム264を介してアプリケーションプログラム266に伝えることができ、その逆の場合も可能である。
【0019】
無線インタフェースレイヤー272は、モバイルデバイス200がネットワークなどを介して他のコンピューティングデバイスと通信できるようにする。無線インタフェースレイヤー272は、通信媒体の一例である。通信媒体は通常、搬送波その他の搬送機構などの変調データ信号で、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータによって実施され、任意の情報伝達媒体を含んでいる。「変調データ信号」という用語は、1つまたは複数の特性セットを備える信号、または信号の情報をコード化するような方法で変更された信号を意味する。たとえば、通信媒体は、有線ネットワークまたは直接配線接続等の有線媒体、および音響、RF、赤外線など無線媒体を含んでいるが、これらに限定されることはない。本明細書で使用されているコンピュータ可読媒体という用語は、ストレージ媒体および通信媒体を共に含んでいる。
【0020】
(信頼できないモバイルデバイスの認証)
本発明は一般に、形態電話ネットワークなどの信頼できない(または部分的に信頼できない)ネットワークを介してモバイルデバイスを認証することを目的としている。信頼できないネットワークとは、信頼できないデバイスがリンクされているネットワークである。部分的に信頼できないネットワークとは、あるレベルのセキュリティはインストールされているが、ネットワークの少なくとも1つのセキュリティメカニズムによって完全に信頼されない一部コンポーネントをまだ含んでいるネットワークである。
【0021】
本発明によれば、ユーザデバイスは、特定のモバイルオペレータまたはネットワークを使用する必要なく認証することができる。さらに、モバイルデバイスのユーザは、初期および/またはそれ以降のログインにおいて証明書を(求められることもあるが)入力する必要はない。本発明を使用する実施例のシナリオにおいて、携帯電話ユーザはインターネットのWebサイトをブラウズする。ユーザは、MDS(MetaData Service)クライアントをダウンロードするためのリンクを選択する。クライアントは携帯電話にダウンロードされ、呼び出される。MDSクライアントが初めてユーザに呼び出された場合、クライアントのセットアップウィザードは、携帯電話の電話番号などの識別情報を収集する。モバイルデバイスは、識別情報を使用して匿名MDS Webサービスに要求を送信する。匿名MDSは、トークンを識別情報に関連付け、SMSメッセージを使用してトークンを含む許可メッセージをモバイルデバイスに送信する。
【0022】
MDSクライアントは、許可メッセージを取り込み、デバイスのクライアントは認証要求を生成する。認証要求は、証明機関(certificate authority)のWebサービスに通話を申し込むことによって、証明機関Webサービスに送信される。認証要求は、識別情報およびトークンを備えている。証明機関は、トークンおよび識別情報の間の関連を検証する。検証に成功した場合、証明機関はそのモバイルデバイスに対してデジタル証明書を発行することができる。デジタル証明書は、Webサービスを使用している電話機に返すことができる。
【0023】
図3は、本発明の態様によるモバイルデバイス管理システム300を一般的に示す機能ブロック図である。モバイルデバイス310、Webサービスサーバ332、MDSデータベース342、MDSサーバ344、証明機関352、およびSMS集合体372は、図1および図2を参照して上記で説明されているようなコンピューティングデバイスである。MDSデータベースおよびサーバは例示であり、たとえば認証データベースおよびサーバなどによって、さまざまな実施形態で置き換えることもできる。
【0024】
モバイルデバイス310は、インターネット(320)経由でWebサービスサーバ332に接続されている。モバイルデバイス310がインターネット(320)に接続されているリンクは任意であり、無線または「ハードワイヤード」ネットワーク接続であってもよい。さらに、ネットワーク接続は、前述のように、信頼できないか、または部分的に信頼できない接続であってもよい。
【0025】
モバイルデバイス310はさらに、モバイルオペレータネットワーク360に接続されている。モバイルオペレータネットワーク360経由のネットワーク接続は、たとえば、SMS接続にすることもできる。SMSは、(少なくとも特定の電話機または加入者を検証する目的では)信頼できるネットワークである。SMSは、(たとえば)トークンを渡すのに十分な大きさであるが、単一のメッセージが任意の認証スキームを単独でサポートするのに十分な情報を搬送することができる範囲内に制限されている。したがって、認証の追加情報は、本発明による第2のネットワークを介して搬送することができる。
【0026】
Webサービスサーバ332は、MDSデータベース342およびMDSサーバ344を備える信頼できるネットワーク340にリンクされている。MDSサーバ344は、内部ネットワーク350を使用して証明機関352に接続されている。MDSサーバ344は、インターネット(370)に常駐することもあるSMS集合体372を使用してモバイルオペレータネットワーク360に接続されている。
【0027】
図4は、本発明の態様によるモバイルデバイスを認証するための例示のプロセスの動作フロー図を示している。プロセス400は、開始ブロックにおいて開始し、ブロック410に続く。
【0028】
ブロック410において、許可トークンが要求される。モバイルデバイスのデバイスクライアントが(MDSリンクの選択に応じて)開始されると、モバイルデバイスは、(選択された)MDSによって発行された有効な証明書があるかどうかユーザの個人証明書ストアを調べる。有効な証明書は通常、ユーザの電話番号(または他の識別情報)およびモバイルオペレータの名前(または他の識別情報)を備えている。
【0029】
有効な証明書が見つからない場合、クライアントアプリケーションは、たとえばユーザの電話番号(たとえば特定の電話機を確認するために使用できる)の入力をユーザに促すことができる。さまざまな実施形態において、他の識別情報を使用することができる。たとえば、加入者識別モジュール(SIM)からの情報は、自動的に使用および/または入力することができる。さらに(または代替方法において)、ユーザは、(たとえば)ユーザに関連付けられているパスワードまたは固有の番号を要求することによって確認することができる。
【0030】
許可トークン要求は、証明書管理Webサービスを呼び出すことによって送信することができる。許可トークン要求は通常、デバイスの電話番号(または他の識別情報)およびモバイルオペレータ識別子を備えている。サービスの呼び出しに成功した後、クライアントは、許可トークンを含むSMSメッセージを待つ。処理は、ブロック420に続く。
【0031】
ブロック420において、許可トークンが取り込まれる。許可トークンは、たとえば特別にフォーマットされたSMSメッセージを使用することによってデバイスに送信することができる。特別にフォーマットされたSMSメッセージは、「MDSMSM AUTH{GUID}」にすることもできる。ここでGUIDはグローバルユーザ識別子である。GUIDは通常、サーバに生成される32バイトの値で、その後許可トークンとして使用される。メッセージは、(ユーザの受信トレイに表示される前に)メールルールクライアントインターフェースによってモバイルデバイス内で取り込むことができる。処理は、ブロック430に続く。
【0032】
ブロック430において、証明書要求が生成される。許可トークンが取り込まれた後、モバイルデバイスは、暗号化API(アプリケーションプログラミングインターフェース)呼び出しを使用することによって証明書要求を生成することができる。たとえば、呼び出し側はAPIを呼び出し、必要なバッファサイズを取得して、バッファサイズを必要なサイズに設定することができる。証明書の対象プロパティは通常、モバイルオペレータ識別、許可トークン要求の値(たとえばGUID)、およびモバイルデバイスの電話番号または他の識別情報を含んでいる。他のプロパティは、エンコード方式タイプ(たとえばPKCS_7_ASN_ENCODINGまたはX509_ASN_ENCODING)などの情報を含むこともできる。処理は、ブロック440に続く。
【0033】
ブロック440において、クライアント証明書がインストールされる。モバイルデバイスは、認証要求、許可トークン、およびモバイルデバイスの電話番号(または他の識別情報)を選択されたWebサービスに送信する。
【0034】
選択されたWebサービスは、許可トークンをユーザの電話番号(または他の識別情報)およびモバイルオペレータ識別とマッチングする。情報のマッチングに成功した後、Webサービスは(通常、デバイスの電話番号または他の識別情報およびモバイルオペレータ識別を含む)証明書を生成し、証明書をモバイルデバイスに返す。
【0035】
証明書の受信に対応して、モバイルデバイスは、選択されたMDSサービスへのWeb要求を署名するために証明書を使用できるように、証明書を証明書ストアにインストールする。処理は、ブロック450に続く。
【0036】
ブロック450において、現在のユーザが確認される。選択されたMDSサービスへのWebサービス要求が必要な場合、モバイルデバイスは通常、ユーザの電話番号(または他の識別情報)に割り当てられているクライアント側証明書を使用してメッセージを署名する。Webサービス要求を(証明書を使用して)署名する前に、MDSクライアントアプリケーションは、MDSクライアント証明書に格納されている情報をマッチングすることによりユーザを確認する。
【0037】
情報が一致しない場合、ユーザには、たとえば元のSIMを挿入し、新しい許可トークンを要求することによって新しい証明書を取得するように促すことができる。処理は、ブロック460に続く。
【0038】
ブロック460において、選択されたMDS Webサービス要求は署名される。正しい証明書が見つかった後、MDS Webサービスに要求は、クライアント証明書を使用して署名することができる。MDS Webサービス要求が署名された後、処理は、プロセス400が終了する終了ブロックに進む。
【0039】
もう1つの実施形態において、トークンは時間フレームに関連付けることができる。トークンは、(たとえば)トークンの発行時間をトークンがモバイルデバイスによって証明機関に返される時間と比較することにより、証明機関が検査することができる。「失効した」(stale)トークンを調べることは、本発明による認証システムのセキュリティを高める上で役立つ。これにより、トークンが「ハッカーの」携帯電話に傍受および公表されるおそれのある時間を短縮することができるからである。
【0040】
前述の仕様、例およびデータは、本発明の構造の製造および使用について詳細に説明している。本発明の多くの実施例は、本発明の精神および範囲を逸脱することなく実行することができるため、本発明は添付されている特許請求の範囲に属している。
【図面の簡単な説明】
【0041】
【図1】本発明の1つの例示的な実施形態により使用することができる例示的なコンピューティングデバイスを示す図である。
【図2】本発明の1つの例示的な実施形態により使用することができる例示的なモバイルデバイスを示す図である。
【図3】本発明の態様によるモバイルデバイスを認証するためのシステムを示す機能ブロック図である。
【図4】本発明の態様によるモバイルデバイスを認証するための方法を示す動作フロー図である。
【符号の説明】
【0042】
100 コンピューティングデバイス
102 処理装置
104 システムメモリ
105 オペレーティングシステム
106 アプリケーション
120 認証
107 プログラムデータ
109 取り外し式ストレージ
110 固定式ストレージ
112 入力デバイス
114 出力デバイス
116 通信接続
118 他のコンピューティングデバイス
260 プロセッサ
262 メモリ
264 OS
266 APP
280 認証
268 ストレージ
270 電源装置
228 ディスプレイ
230 周辺機器ポート
232 キーパッド
274 オーディオインターフェース
272 無線インターフェースレイヤ
240 LED
310 モバイルデバイス
320 インターネット
330 「ファイアウォール」ゾーン
332 Webサービスサーバ
340 信頼できるネットワーク
342 MDSデータベース
344 MDSサーバ
350 内部ネットワーク
352 証明機関
360 モバイルオペレータネットワーク
370 インターネット
372 SMSc/SMS集合体
【技術分野】
【0001】
本発明は、セルラーネットワークを介したデバイスの安全な認証登録に関する。
【背景技術】
【0002】
携帯用通信および/またはコンピューティングデバイス(「モバイルデバイス」)は、多くの場合さまざまなネットワークにリンクすることができる。たとえば、携帯電話を使用して、インターネット経由で提供されているWebサイトをブラウズすることができる。さらに、携帯電話は、通常の音声通信を提供することに加えて、テキストメッセージを送受信することができる。
【0003】
Short Message Service(SMS)は、モバイルデバイスを使用してテキストメッセージを送受信する機能を提供する。SMSメッセージのテキストには、文字、数字、または英数字の組合せを含めることができる。SMSは、Global System for Mobiles(GSM)デジタル携帯電話規格に組み込まれている。単一のSMSメッセージは、デフォルトのGSMアルファベットコード化を使用する場合には最大160文字の長さにすることができるが、キリル文字セットが使用される場合は140文字まで、UCS2国際文字コードが使用される場合は最大70文字の長さにしかすることができない。
【0004】
モバイルデバイスは、金融取引の実施および/または個人情報の取得に使用することができるため、モバイルデバイスがネットワークにリンクされる場合にはこれを認証することが必要になることが多い。ただし、信頼できないモバイルデバイス(untrusted mobile device)を登録して、部分的に委任されているセルラーネットワークを介してデジタル証明書を取得し、そのモバイルデバイスの識別を証明することは、モバイルデバイスに特有の限界があるために現在のところ扱いにくいプロセスである。
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、セルラーネットワークを介して信頼できないデバイスを安全に登録するためのシステムおよび方法を提供することを目的としている。操作中、モバイルデバイスは、(セルラーネットワークなどの)第1のネットワーク(信頼できないかまたは部分的に信頼できないネットワークの場合もある)上の通信トランスポートを介して(モバイルデバイスの電話番号などの)識別子を送信する。サーバは、伝送を受信し、(SMSシステムなどの)信頼できるネットワークを介してモバイルデバイスにトークンを送信する。トークンは、モバイルデバイスにより第1のネットワークを介してサーバに送信される。サーバは、トークンを検査し、たとえば、デバイスの認証のためのデジタル証明書を発行することができる。
【課題を解決するための手段】
【0006】
本発明の態様によれば、モバイルデバイスを認証するためのコンピュータ実施方法は、第1のネットワークを介してモバイルデバイスから認証トークンに対する認証要求を受信することであって、認証要求は第1の識別子を備え、受信した要求に応じて前記認証トークンを発行することと、第2の信頼できるネットワークを介して前記発行されたトークンをモバイルデバイスに送信することと、第1のネットワークを介してモバイルデバイスから検証要求を受信することであって、検証要求は第1の識別子および発行されたトークンを備えていることと、検証要求の第1の識別子が認証要求の第1の識別子と一致し、検証要求の発行されたトークンが発行された認証トークンと一致することを検査することとを含む。
【0007】
本発明のもう1つの態様によれば、モバイルデバイスを認証するためのシステムは、第1のネットワークを介してモバイルデバイスから認証要求を受信するように構成されたトークンジェネレータであって、認証要求は第1の識別子を備えているトークンジェネレータと、受信した要求に対応して認証トークンを発行し、第2の信頼できるネットワークを介して前記発行されたトークンをモバイルデバイスに送信するように構成されたネットワークインターフェースと、第1のネットワークを介してモバイルデバイスから検証要求を受信するように構成され、検証要求は第1の識別子および発行されたトークンを備え、検証要求の第1の識別子が認証要求の第1の識別子と一致し、検証要求の発行されたトークンが発行された認証トークンと一致することを検査するように構成されたべリファイヤとを備えている。
【0008】
本発明により、認証システムは、第2の信頼できるネットワークおよび任意のネットワークを介して以前信頼できなかったデバイスを自動的に(または少なくとも手作業を軽減して)認証するために使用することができる。認証プロセスは、デジタル証明書をモバイルデバイスが使用できるように提供することを備えることができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明について、本明細書の一部を形成し、例示により本発明を実施するための特定の模範的な実施形態を示す添付の図を参照して詳細に説明される。ただし、本発明は、多くのさまざまな形態で実施することができ、本明細書に示されている実施形態に限定されるものとして解釈すべきではない。むしろ、これらの実施形態は、本開示が十分かつ完全なものになるよう、また本発明の範囲を当業者に十分に伝えられるように提供されている。特に、本発明は、方法またはデバイスとして実施することができる。したがって、本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、またはソフトウェアおよびハードウェアの態様を組み合わせた実施形態をとることができる。したがって、以下の詳細な説明は、限定的な意味で解釈すべきではない。
【0010】
(例示的なオペレーティング環境)
図1を参照すると、本発明を実装するための1つの模範的なシステムは、コンピューティングデバイス100等のコンピューティングデバイスを含んでいる。コンピューティングデバイスは、クライアント、サーバ、モバイルデバイス、または任意の他のコンピューティングデバイスとして構成することができる。極めて基本的な構成において、コンピューティングデバイス100は通常、少なくとも1つの処理ユニット102およびシステムメモリ104を含んでいる。コンピューティングデバイスの正確な構成および種類に応じて、システムメモリ104は揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)、またはこの2つの組合せであってもよい。システムメモリ104は通常、オペレーティングシステム105、1つまたは複数のアプリケーション106を含み、プログラムデータ107を含むこともできる。1つの実施形態において、アプリケーション106は、認証アプリケーション120を含んでいる。この基本構成は、図1において、破線108内のコンポーネントにより表されている。
【0011】
コンピューティングデバイス100は、追加の特徴または機能を備えることもできる。たとえば、コンピューティングデバイス100は、たとえば磁気ディスク、光ディスク、またはテープなどの追加のデータ記憶デバイス(取り外し式および/または固定)を含むこともできる。そのような追加のストレージは、取り外し式ストレージ109および固定式ストレージ110によって図1に示されている。コンピュータストレージ媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータなどの情報のストレージのための任意の方法または技術において実装された揮発性および不揮発性の、取り外し式および固定の媒体を含むことができる。システムメモリ104、取り外し式ストレージ109および固定式ストレージ110はすべて、コンピュータストレージ媒体の例である。コンピュータストレージ媒体は、RAM、ROM、EEPROM、フラッシュメモリその他のメモリ技術、CD−ROM、デジタル多用途ディスク(DVD)または他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージその他の磁気ストレージデバイス、あるいは望ましい情報を格納するために使用することができ、コンピューティングデバイス100によってアクセスすることができる他の媒体を含んでいるが、これらに限定されることはない。そのようなコンピュータストレージ媒体は、デバイス100の一部にすることができる。コンピューティングデバイス100はさらに、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの入力デバイス112を備えることもできる。ディスプレイ、スピーカ、プリンタなどの出力デバイス114も含めることができる。
【0012】
コンピューティングデバイス100は、デバイスがネットワークなどを介して他のコンピューティングデバイス118と通信できるようにする通信接続116も含んでいる。通信接続116は、通信媒体の一例である。通信媒体は通常、搬送波その他の搬送機構などの変調データ信号で、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータによって実施され、任意の情報伝達媒体を含んでいる。「変調データ信号」という用語は、1つまたは複数の特性セットを備える信号、または信号の情報をコード化するような方法で変更された信号を意味する。たとえば、通信媒体は、有線ネットワークまたは直接配線接続等の有線媒体、および音響、RF、赤外線など無線媒体を含んでいるが、これらに限定されることはない。本明細書で使用されているコンピュータ可読媒体という用語は、ストレージ媒体および通信媒体を共に含んでいる。
【0013】
図2は、本発明において実質的に使用されるモバイルデバイスの代替動作環境を示している。本発明の1つの実施形態において、モバイルデバイス200は、統合型携帯情報端末(PDA)および携帯電話などのコンピュータデバイスとして組み込まれている。
【0014】
本実施形態において、モバイルデバイス200は、プロセッサ260、メモリ262、ディスプレイ228、およびキーパッド232を有している。メモリ262は一般に、揮発性メモリ(たとえばRAM)および不揮発性メモリ(たとえばROM、フラッシュメモリなど)を含んでいる。モバイルデバイス200は、メモリ262に常駐してプロセッサ260上で実行するオペレーティングシステム264を含んでいる。キーパッド232は、(通常の電話機等の)プッシュボタン式数字ダイヤルパッド、(従来のキーボード等の)マルチキーのキーボードであってもよく、タッチスクリーンまたはスタイラスを考慮したモバイルデバイスに含まれなくてもよい。ディスプレイ228は、液晶ディスプレイ、またはモバイルコンピューティングデバイスに一般に使用される他の種類のディスプレイであってもよい。ディスプレイ228は、タッチスクリーン式であってもよく、その場合入力デバイスとしての役割も果たす。
【0015】
1つまたは複数のアプリケーションプログラム266は、メモリ262にロードされ、オペレーティングシステム264上で実行する。アプリケーションプログラムの例としては、電話ダイヤラプログラム、電子メールプログラム、スケジューリングプログラム、PIM(パーソナルインフォメーションマネージャ)プログラム、文書処理プログラム、スプレッドシートプログラム、インターネットブラウザプログラムなどが含まれる。1つの実施形態において、アプリケーションプログラム266は、認証アプリケーション280を含んでいる。モバイルデバイス200はさらに、メモリ262内に不揮発性ストレージ268を含んでいる。不揮発性ストレージ268は、モバイルデバイス200の電源を落とした場合に失われてはならない永続的情報を格納するために使用することができる。アプリケーション266は、電子メールアプリケーションが使用する電子メールまたは他のメッセージ、PIMが使用する連絡先情報、スケジューリングプログラムが使用するアポイントメント情報、文書処理アプリケーションが使用する文書などの情報を使用し、ストレージ268に格納することができる。同期化アプリケーションもまたモバイルデバイスに常駐し、ホストコンピュータに常駐の対応する同期化アプリケーションと対話して、ストレージ268に格納されている情報がホストコンピュータに格納されている対応する情報と同期をとるようにプログラムされている。
【0016】
モバイルデバイス200は、1つまたは複数のバッテリとして実装することのできる電源装置270を有している。電源装置270はさらに、ACアダプタまたはバッテリを補足または再充電する電動ドッキングクレードルなどの外部電源を含むこともできる。
【0017】
モバイルデバイス200はまた、LED240およびオーディオインターフェース274という2つのタイプの外部通知メカニズムと共に示されている。これらのデバイスは、電源装置270に直接接続することができ、アクティブにした場合は、たとえプロセッサ260および他のコンポーネントがバッテリ残量を節約するためにシャットダウンしても通知メカニズムによって指示された期間オン状態を維持するようになっている。LED240は、ユーザが操作を行うまで無期限にオン状態を維持してデバイスの電源投入状態を示すようにプログラムすることができる。オーディオインターフェース274は、ユーザとの間で可聴信号を送受信するために使用される。たとえば、オーディオインターフェース274は、電話会話を容易にするような場合、可聴出力を提供するためにスピーカに接続し、可聴入力を受信するためにマイクロホンに接続することができる。
【0018】
モバイルデバイス200はまた、無線周波数通信を送受信する機能を実行する無線インタフェースレイヤー272を含んでいる。無線インタフェースレイヤー272は、通信キャリアまたはサービスプロバイダを介して、モバイルデバイス200および外部世界の間の無線接続を容易にする。無線インタフェースレイヤー272との間の伝送は、オペレーティングシステム264の制御のもとに行われる。つまり、無線インタフェースレイヤー272によって受信された通信は、オペレーティングシステム264を介してアプリケーションプログラム266に伝えることができ、その逆の場合も可能である。
【0019】
無線インタフェースレイヤー272は、モバイルデバイス200がネットワークなどを介して他のコンピューティングデバイスと通信できるようにする。無線インタフェースレイヤー272は、通信媒体の一例である。通信媒体は通常、搬送波その他の搬送機構などの変調データ信号で、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータによって実施され、任意の情報伝達媒体を含んでいる。「変調データ信号」という用語は、1つまたは複数の特性セットを備える信号、または信号の情報をコード化するような方法で変更された信号を意味する。たとえば、通信媒体は、有線ネットワークまたは直接配線接続等の有線媒体、および音響、RF、赤外線など無線媒体を含んでいるが、これらに限定されることはない。本明細書で使用されているコンピュータ可読媒体という用語は、ストレージ媒体および通信媒体を共に含んでいる。
【0020】
(信頼できないモバイルデバイスの認証)
本発明は一般に、形態電話ネットワークなどの信頼できない(または部分的に信頼できない)ネットワークを介してモバイルデバイスを認証することを目的としている。信頼できないネットワークとは、信頼できないデバイスがリンクされているネットワークである。部分的に信頼できないネットワークとは、あるレベルのセキュリティはインストールされているが、ネットワークの少なくとも1つのセキュリティメカニズムによって完全に信頼されない一部コンポーネントをまだ含んでいるネットワークである。
【0021】
本発明によれば、ユーザデバイスは、特定のモバイルオペレータまたはネットワークを使用する必要なく認証することができる。さらに、モバイルデバイスのユーザは、初期および/またはそれ以降のログインにおいて証明書を(求められることもあるが)入力する必要はない。本発明を使用する実施例のシナリオにおいて、携帯電話ユーザはインターネットのWebサイトをブラウズする。ユーザは、MDS(MetaData Service)クライアントをダウンロードするためのリンクを選択する。クライアントは携帯電話にダウンロードされ、呼び出される。MDSクライアントが初めてユーザに呼び出された場合、クライアントのセットアップウィザードは、携帯電話の電話番号などの識別情報を収集する。モバイルデバイスは、識別情報を使用して匿名MDS Webサービスに要求を送信する。匿名MDSは、トークンを識別情報に関連付け、SMSメッセージを使用してトークンを含む許可メッセージをモバイルデバイスに送信する。
【0022】
MDSクライアントは、許可メッセージを取り込み、デバイスのクライアントは認証要求を生成する。認証要求は、証明機関(certificate authority)のWebサービスに通話を申し込むことによって、証明機関Webサービスに送信される。認証要求は、識別情報およびトークンを備えている。証明機関は、トークンおよび識別情報の間の関連を検証する。検証に成功した場合、証明機関はそのモバイルデバイスに対してデジタル証明書を発行することができる。デジタル証明書は、Webサービスを使用している電話機に返すことができる。
【0023】
図3は、本発明の態様によるモバイルデバイス管理システム300を一般的に示す機能ブロック図である。モバイルデバイス310、Webサービスサーバ332、MDSデータベース342、MDSサーバ344、証明機関352、およびSMS集合体372は、図1および図2を参照して上記で説明されているようなコンピューティングデバイスである。MDSデータベースおよびサーバは例示であり、たとえば認証データベースおよびサーバなどによって、さまざまな実施形態で置き換えることもできる。
【0024】
モバイルデバイス310は、インターネット(320)経由でWebサービスサーバ332に接続されている。モバイルデバイス310がインターネット(320)に接続されているリンクは任意であり、無線または「ハードワイヤード」ネットワーク接続であってもよい。さらに、ネットワーク接続は、前述のように、信頼できないか、または部分的に信頼できない接続であってもよい。
【0025】
モバイルデバイス310はさらに、モバイルオペレータネットワーク360に接続されている。モバイルオペレータネットワーク360経由のネットワーク接続は、たとえば、SMS接続にすることもできる。SMSは、(少なくとも特定の電話機または加入者を検証する目的では)信頼できるネットワークである。SMSは、(たとえば)トークンを渡すのに十分な大きさであるが、単一のメッセージが任意の認証スキームを単独でサポートするのに十分な情報を搬送することができる範囲内に制限されている。したがって、認証の追加情報は、本発明による第2のネットワークを介して搬送することができる。
【0026】
Webサービスサーバ332は、MDSデータベース342およびMDSサーバ344を備える信頼できるネットワーク340にリンクされている。MDSサーバ344は、内部ネットワーク350を使用して証明機関352に接続されている。MDSサーバ344は、インターネット(370)に常駐することもあるSMS集合体372を使用してモバイルオペレータネットワーク360に接続されている。
【0027】
図4は、本発明の態様によるモバイルデバイスを認証するための例示のプロセスの動作フロー図を示している。プロセス400は、開始ブロックにおいて開始し、ブロック410に続く。
【0028】
ブロック410において、許可トークンが要求される。モバイルデバイスのデバイスクライアントが(MDSリンクの選択に応じて)開始されると、モバイルデバイスは、(選択された)MDSによって発行された有効な証明書があるかどうかユーザの個人証明書ストアを調べる。有効な証明書は通常、ユーザの電話番号(または他の識別情報)およびモバイルオペレータの名前(または他の識別情報)を備えている。
【0029】
有効な証明書が見つからない場合、クライアントアプリケーションは、たとえばユーザの電話番号(たとえば特定の電話機を確認するために使用できる)の入力をユーザに促すことができる。さまざまな実施形態において、他の識別情報を使用することができる。たとえば、加入者識別モジュール(SIM)からの情報は、自動的に使用および/または入力することができる。さらに(または代替方法において)、ユーザは、(たとえば)ユーザに関連付けられているパスワードまたは固有の番号を要求することによって確認することができる。
【0030】
許可トークン要求は、証明書管理Webサービスを呼び出すことによって送信することができる。許可トークン要求は通常、デバイスの電話番号(または他の識別情報)およびモバイルオペレータ識別子を備えている。サービスの呼び出しに成功した後、クライアントは、許可トークンを含むSMSメッセージを待つ。処理は、ブロック420に続く。
【0031】
ブロック420において、許可トークンが取り込まれる。許可トークンは、たとえば特別にフォーマットされたSMSメッセージを使用することによってデバイスに送信することができる。特別にフォーマットされたSMSメッセージは、「MDSMSM AUTH{GUID}」にすることもできる。ここでGUIDはグローバルユーザ識別子である。GUIDは通常、サーバに生成される32バイトの値で、その後許可トークンとして使用される。メッセージは、(ユーザの受信トレイに表示される前に)メールルールクライアントインターフェースによってモバイルデバイス内で取り込むことができる。処理は、ブロック430に続く。
【0032】
ブロック430において、証明書要求が生成される。許可トークンが取り込まれた後、モバイルデバイスは、暗号化API(アプリケーションプログラミングインターフェース)呼び出しを使用することによって証明書要求を生成することができる。たとえば、呼び出し側はAPIを呼び出し、必要なバッファサイズを取得して、バッファサイズを必要なサイズに設定することができる。証明書の対象プロパティは通常、モバイルオペレータ識別、許可トークン要求の値(たとえばGUID)、およびモバイルデバイスの電話番号または他の識別情報を含んでいる。他のプロパティは、エンコード方式タイプ(たとえばPKCS_7_ASN_ENCODINGまたはX509_ASN_ENCODING)などの情報を含むこともできる。処理は、ブロック440に続く。
【0033】
ブロック440において、クライアント証明書がインストールされる。モバイルデバイスは、認証要求、許可トークン、およびモバイルデバイスの電話番号(または他の識別情報)を選択されたWebサービスに送信する。
【0034】
選択されたWebサービスは、許可トークンをユーザの電話番号(または他の識別情報)およびモバイルオペレータ識別とマッチングする。情報のマッチングに成功した後、Webサービスは(通常、デバイスの電話番号または他の識別情報およびモバイルオペレータ識別を含む)証明書を生成し、証明書をモバイルデバイスに返す。
【0035】
証明書の受信に対応して、モバイルデバイスは、選択されたMDSサービスへのWeb要求を署名するために証明書を使用できるように、証明書を証明書ストアにインストールする。処理は、ブロック450に続く。
【0036】
ブロック450において、現在のユーザが確認される。選択されたMDSサービスへのWebサービス要求が必要な場合、モバイルデバイスは通常、ユーザの電話番号(または他の識別情報)に割り当てられているクライアント側証明書を使用してメッセージを署名する。Webサービス要求を(証明書を使用して)署名する前に、MDSクライアントアプリケーションは、MDSクライアント証明書に格納されている情報をマッチングすることによりユーザを確認する。
【0037】
情報が一致しない場合、ユーザには、たとえば元のSIMを挿入し、新しい許可トークンを要求することによって新しい証明書を取得するように促すことができる。処理は、ブロック460に続く。
【0038】
ブロック460において、選択されたMDS Webサービス要求は署名される。正しい証明書が見つかった後、MDS Webサービスに要求は、クライアント証明書を使用して署名することができる。MDS Webサービス要求が署名された後、処理は、プロセス400が終了する終了ブロックに進む。
【0039】
もう1つの実施形態において、トークンは時間フレームに関連付けることができる。トークンは、(たとえば)トークンの発行時間をトークンがモバイルデバイスによって証明機関に返される時間と比較することにより、証明機関が検査することができる。「失効した」(stale)トークンを調べることは、本発明による認証システムのセキュリティを高める上で役立つ。これにより、トークンが「ハッカーの」携帯電話に傍受および公表されるおそれのある時間を短縮することができるからである。
【0040】
前述の仕様、例およびデータは、本発明の構造の製造および使用について詳細に説明している。本発明の多くの実施例は、本発明の精神および範囲を逸脱することなく実行することができるため、本発明は添付されている特許請求の範囲に属している。
【図面の簡単な説明】
【0041】
【図1】本発明の1つの例示的な実施形態により使用することができる例示的なコンピューティングデバイスを示す図である。
【図2】本発明の1つの例示的な実施形態により使用することができる例示的なモバイルデバイスを示す図である。
【図3】本発明の態様によるモバイルデバイスを認証するためのシステムを示す機能ブロック図である。
【図4】本発明の態様によるモバイルデバイスを認証するための方法を示す動作フロー図である。
【符号の説明】
【0042】
100 コンピューティングデバイス
102 処理装置
104 システムメモリ
105 オペレーティングシステム
106 アプリケーション
120 認証
107 プログラムデータ
109 取り外し式ストレージ
110 固定式ストレージ
112 入力デバイス
114 出力デバイス
116 通信接続
118 他のコンピューティングデバイス
260 プロセッサ
262 メモリ
264 OS
266 APP
280 認証
268 ストレージ
270 電源装置
228 ディスプレイ
230 周辺機器ポート
232 キーパッド
274 オーディオインターフェース
272 無線インターフェースレイヤ
240 LED
310 モバイルデバイス
320 インターネット
330 「ファイアウォール」ゾーン
332 Webサービスサーバ
340 信頼できるネットワーク
342 MDSデータベース
344 MDSサーバ
350 内部ネットワーク
352 証明機関
360 モバイルオペレータネットワーク
370 インターネット
372 SMSc/SMS集合体
【特許請求の範囲】
【請求項1】
モバイルデバイスを認証するためのコンピュータ実施方法であって、
第1のネットワークを介して前記モバイルデバイスから認証トークンに対する認証要求を受信することであって、前記認証要求は第1の識別子を備えていること、
前記受信した要求に応じて前記認証トークンを発行すること、
第2の信頼できるネットワークを介して前記発行されたトークンを前記モバイルデバイスに送信すること、
前記第1のネットワークを介して前記モバイルデバイスから検証要求を受信することであって、前記検証要求は前記第1の識別子および前記発行されたトークンを備えていること、
前記検証要求の前記第1の識別子が前記認証要求の前記第1の識別子と一致し、前記検証要求の前記発行されたトークンが発行された前記認証トークンと一致することを検査することとを含むことを特徴とする方法。
【請求項2】
前記検証要求の成功した検査に対応して前記モバイルデバイスの証明書を発行することをさらに含むことを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項3】
前記発行された証明書を使用して前記モバイルデバイスからの要求をさらに検証することをさらに含むことを特徴とする請求項2に記載のコンピュータ実施方法。
【請求項4】
前記発行された証明書は、前記第2の信頼できるネットワークを識別する識別子を含むことを特徴とする請求項2に記載のコンピュータ実施方法。
【請求項5】
前記第1のネットワークは、部分的に信頼できないことを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項6】
前記第1のネットワークは、信頼できないことを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項7】
前記第1のネットワークは、携帯電話ネットワークであることを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項8】
前記第1の識別子は、前記モバイルデバイスの電話番号であることを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項9】
前記発行されたトークンは、グローバルユーザ識別子であることを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項10】
前記トークンは、特定の時間フレーム後に無効化されることを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項11】
モバイルデバイスを認証するためのシステムであって、
第1のネットワークを介して前記モバイルデバイスから認証要求を受信するように構成されたトークンジェネレータであって、前記認証要求は第1の識別子を備えているトークンジェネレータと、
前記受信した要求に対応して前記認証トークンを発行し、第2の信頼できるネットワークを介して前記発行されたトークンを前記モバイルデバイスに送信するように構成されたネットワークインターフェースと、
前記第1のネットワークを介してモバイルデバイスから検証要求を受信するように構成され、前記検証要求は前記第1の識別子および前記発行されたトークンを備え、前記検証要求の前記第1の識別子が前記認証要求の前記第1の識別子と一致し、前記検証要求の前記発行されたトークンが発行された前記認証トークンと一致することを検査するように構成されたべリファイヤとを備えることを特徴とするシステム。
【請求項12】
前記検証要求の成功した検査に対応して前記モバイルデバイスの証明書を発行するように構成された証明機関をさらに備えることを特徴とする請求項11に記載のシステム。
【請求項13】
前記ベリファイヤは、前記発行された証明書を使用して前記モバイルデバイスからの要求をさらに検証するように構成されることを特徴とする請求項12に記載のシステム。
【請求項14】
前記発行された証明書は、前記第2の信頼できるネットワークを識別する識別子を備えることを特徴とする請求項12に記載のシステム。
【請求項15】
前記第1のネットワークは、部分的に信頼できないことを特徴とする請求項11に記載のシステム。
【請求項16】
前記第1のネットワークは、信頼できないことを特徴とする請求項11に記載のシステム。
【請求項17】
前記第1のネットワークは、携帯電話ネットワークであることを特徴とする請求項11に記載のシステム。
【請求項18】
前記第1の識別子は、前記モバイルデバイスの電話番号であることを特徴とする請求項11に記載のシステム。
【請求項19】
前記発行されたトークンは、グローバルユーザ識別子であることを特徴とする請求項11に記載のシステム。
【請求項20】
前記ベリファイヤは、特定の時間フレーム後に前記トークンを無効化するように構成されることを特徴とする請求項11に記載のシステム。
【請求項21】
モバイルデバイスを認証するためのコンピュータ実行可能命令を有するコンピュータ可読媒体であって、
第1のネットワークを介して前記モバイルデバイスから認証トークンに対する認証要求を受信することであって、前記認証要求は第1の識別子を備えていること、
前記受信した要求に応じて前記認証トークンを発行すること、
第2の信頼できるネットワークを介して前記発行されたトークンを前記モバイルデバイスに送信すること、
前記第1のネットワークを介して前記モバイルデバイスから検証要求を受信することであって、前記検証要求は前記第1の識別子および前記発行されたトークンを備えていること、
前記検証要求の前記第1の識別子が前記認証要求の前記第1の識別子と一致し、前記検証要求の前記発行されたトークンが発行された前記認証トークンと一致することを検査することとを備えることを特徴とするコンピュータ可読媒体。
【請求項22】
前記検証要求の成功した検査に対応して前記モバイルデバイスの証明書を発行するための命令をさらに備えることを特徴とする請求項21に記載のコンピュータ可読媒体。
【請求項23】
前記発行された証明書を使用して前記モバイルデバイスからの要求をさらに検証するための命令をさらに備えることを特徴とする請求項22に記載のコンピュータ可読媒体。
【請求項24】
前記発行された証明書は前記第2の信頼できるネットワークを識別する識別子を備えることを特徴とする請求項22に記載のコンピュータ可読媒体。
【請求項25】
前記第1の識別子は前記モバイルデバイスの電話番号であることを特徴とする請求項21に記載のコンピュータ可読媒体。
【請求項26】
モバイルデバイスを認証するためのシステムであって、
第1のネットワークを介して前記モバイルデバイスから認証トークンに対する認証要求を受信するための手段であって、前記認証要求は第1の識別子を備えている手段と、
前記受信した要求に応じて前記認証トークンを発行するための手段と、
第2の信頼できるネットワークを介して前記発行されたトークンを前記モバイルデバイスに送信するための手段と、
前記第1のネットワークを介して前記モバイルデバイスから検証要求を受信するための手段であって、前記検証要求は前記第1の識別子および前記発行されたトークンを備えている手段と、
前記検証要求の前記第1の識別子が前記認証要求の前記第1の識別子と一致し、前記検証要求の前記発行されたトークンが発行された前記認証トークンと一致することを検査するための手段とを備えることを特徴とするシステム。
【請求項27】
前記検証要求の成功した検査に対応して前記モバイルデバイスの証明書を発行するための手段をさらに備えることを特徴とする請求項26に記載のシステム。
【請求項28】
前記発行された証明書を使用して前記モバイルデバイスからの要求をさらに検証するための手段をさらに備えることを特徴とする請求項27に記載のシステム。
【請求項29】
前記発行された証明書は、前記第2の信頼できるネットワークを識別する識別子を備えることを特徴とする請求項27に記載のシステム。
【請求項30】
前記第1の識別子は、前記モバイルデバイスの電話番号であることを特徴とする請求項26に記載のシステム。
【請求項1】
モバイルデバイスを認証するためのコンピュータ実施方法であって、
第1のネットワークを介して前記モバイルデバイスから認証トークンに対する認証要求を受信することであって、前記認証要求は第1の識別子を備えていること、
前記受信した要求に応じて前記認証トークンを発行すること、
第2の信頼できるネットワークを介して前記発行されたトークンを前記モバイルデバイスに送信すること、
前記第1のネットワークを介して前記モバイルデバイスから検証要求を受信することであって、前記検証要求は前記第1の識別子および前記発行されたトークンを備えていること、
前記検証要求の前記第1の識別子が前記認証要求の前記第1の識別子と一致し、前記検証要求の前記発行されたトークンが発行された前記認証トークンと一致することを検査することとを含むことを特徴とする方法。
【請求項2】
前記検証要求の成功した検査に対応して前記モバイルデバイスの証明書を発行することをさらに含むことを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項3】
前記発行された証明書を使用して前記モバイルデバイスからの要求をさらに検証することをさらに含むことを特徴とする請求項2に記載のコンピュータ実施方法。
【請求項4】
前記発行された証明書は、前記第2の信頼できるネットワークを識別する識別子を含むことを特徴とする請求項2に記載のコンピュータ実施方法。
【請求項5】
前記第1のネットワークは、部分的に信頼できないことを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項6】
前記第1のネットワークは、信頼できないことを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項7】
前記第1のネットワークは、携帯電話ネットワークであることを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項8】
前記第1の識別子は、前記モバイルデバイスの電話番号であることを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項9】
前記発行されたトークンは、グローバルユーザ識別子であることを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項10】
前記トークンは、特定の時間フレーム後に無効化されることを特徴とする請求項1に記載のコンピュータ実施方法。
【請求項11】
モバイルデバイスを認証するためのシステムであって、
第1のネットワークを介して前記モバイルデバイスから認証要求を受信するように構成されたトークンジェネレータであって、前記認証要求は第1の識別子を備えているトークンジェネレータと、
前記受信した要求に対応して前記認証トークンを発行し、第2の信頼できるネットワークを介して前記発行されたトークンを前記モバイルデバイスに送信するように構成されたネットワークインターフェースと、
前記第1のネットワークを介してモバイルデバイスから検証要求を受信するように構成され、前記検証要求は前記第1の識別子および前記発行されたトークンを備え、前記検証要求の前記第1の識別子が前記認証要求の前記第1の識別子と一致し、前記検証要求の前記発行されたトークンが発行された前記認証トークンと一致することを検査するように構成されたべリファイヤとを備えることを特徴とするシステム。
【請求項12】
前記検証要求の成功した検査に対応して前記モバイルデバイスの証明書を発行するように構成された証明機関をさらに備えることを特徴とする請求項11に記載のシステム。
【請求項13】
前記ベリファイヤは、前記発行された証明書を使用して前記モバイルデバイスからの要求をさらに検証するように構成されることを特徴とする請求項12に記載のシステム。
【請求項14】
前記発行された証明書は、前記第2の信頼できるネットワークを識別する識別子を備えることを特徴とする請求項12に記載のシステム。
【請求項15】
前記第1のネットワークは、部分的に信頼できないことを特徴とする請求項11に記載のシステム。
【請求項16】
前記第1のネットワークは、信頼できないことを特徴とする請求項11に記載のシステム。
【請求項17】
前記第1のネットワークは、携帯電話ネットワークであることを特徴とする請求項11に記載のシステム。
【請求項18】
前記第1の識別子は、前記モバイルデバイスの電話番号であることを特徴とする請求項11に記載のシステム。
【請求項19】
前記発行されたトークンは、グローバルユーザ識別子であることを特徴とする請求項11に記載のシステム。
【請求項20】
前記ベリファイヤは、特定の時間フレーム後に前記トークンを無効化するように構成されることを特徴とする請求項11に記載のシステム。
【請求項21】
モバイルデバイスを認証するためのコンピュータ実行可能命令を有するコンピュータ可読媒体であって、
第1のネットワークを介して前記モバイルデバイスから認証トークンに対する認証要求を受信することであって、前記認証要求は第1の識別子を備えていること、
前記受信した要求に応じて前記認証トークンを発行すること、
第2の信頼できるネットワークを介して前記発行されたトークンを前記モバイルデバイスに送信すること、
前記第1のネットワークを介して前記モバイルデバイスから検証要求を受信することであって、前記検証要求は前記第1の識別子および前記発行されたトークンを備えていること、
前記検証要求の前記第1の識別子が前記認証要求の前記第1の識別子と一致し、前記検証要求の前記発行されたトークンが発行された前記認証トークンと一致することを検査することとを備えることを特徴とするコンピュータ可読媒体。
【請求項22】
前記検証要求の成功した検査に対応して前記モバイルデバイスの証明書を発行するための命令をさらに備えることを特徴とする請求項21に記載のコンピュータ可読媒体。
【請求項23】
前記発行された証明書を使用して前記モバイルデバイスからの要求をさらに検証するための命令をさらに備えることを特徴とする請求項22に記載のコンピュータ可読媒体。
【請求項24】
前記発行された証明書は前記第2の信頼できるネットワークを識別する識別子を備えることを特徴とする請求項22に記載のコンピュータ可読媒体。
【請求項25】
前記第1の識別子は前記モバイルデバイスの電話番号であることを特徴とする請求項21に記載のコンピュータ可読媒体。
【請求項26】
モバイルデバイスを認証するためのシステムであって、
第1のネットワークを介して前記モバイルデバイスから認証トークンに対する認証要求を受信するための手段であって、前記認証要求は第1の識別子を備えている手段と、
前記受信した要求に応じて前記認証トークンを発行するための手段と、
第2の信頼できるネットワークを介して前記発行されたトークンを前記モバイルデバイスに送信するための手段と、
前記第1のネットワークを介して前記モバイルデバイスから検証要求を受信するための手段であって、前記検証要求は前記第1の識別子および前記発行されたトークンを備えている手段と、
前記検証要求の前記第1の識別子が前記認証要求の前記第1の識別子と一致し、前記検証要求の前記発行されたトークンが発行された前記認証トークンと一致することを検査するための手段とを備えることを特徴とするシステム。
【請求項27】
前記検証要求の成功した検査に対応して前記モバイルデバイスの証明書を発行するための手段をさらに備えることを特徴とする請求項26に記載のシステム。
【請求項28】
前記発行された証明書を使用して前記モバイルデバイスからの要求をさらに検証するための手段をさらに備えることを特徴とする請求項27に記載のシステム。
【請求項29】
前記発行された証明書は、前記第2の信頼できるネットワークを識別する識別子を備えることを特徴とする請求項27に記載のシステム。
【請求項30】
前記第1の識別子は、前記モバイルデバイスの電話番号であることを特徴とする請求項26に記載のシステム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2006−48653(P2006−48653A)
【公開日】平成18年2月16日(2006.2.16)
【国際特許分類】
【外国語出願】
【出願番号】特願2005−184986(P2005−184986)
【出願日】平成17年6月24日(2005.6.24)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公開日】平成18年2月16日(2006.2.16)
【国際特許分類】
【出願番号】特願2005−184986(P2005−184986)
【出願日】平成17年6月24日(2005.6.24)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]