データ通信ネットワークにおけるプライバシーおよび本人確認情報
データ通信ネットワークにおいて本人確認情報を管理するための方法は、ユーザ制御のセキュリティー保護された保存装置を受取ること、およびユーザをオーソリティーネットワークサイトに登録することを含む。この登録は、オーソリティーネットワークサイトによって要求された情報を提供することを含む。また、当該方法は、上記登録に応答してユーザデータを受け取ることと、ユーザデータを、ユーザ制御のセキュリティー保護された保存装置に保存することと、ユーザ制御のセキュリティー保護された保存装置にユーザデータを放出させることを可能にすることと、サービスを得るためにサービスプロバイダネットワークサイトで該ユーザデータを使用することとを含む。
【発明の詳細な説明】
【発明の詳細な説明】
【0001】
(発明の分野)
本発明はコンピュータサイエンスの分野に関する。更に特定すれば、本発明はワールドワイドウェッブにおける本人確認を管理するためのシステムおよび方法に関する。
【0002】
(発明の背景)
ワールドワイドウェッブ(WWW)の出現は、インターネット接続を有するコンピュータを用いて、誰もが遥かに多くの情報を入手することを可能にしている。不幸なことに、現在の方法は、ユーザに関する特定のデータを用いて特定のユーザを同定するのを比較的容易にしており、従ってプライバシーの問題を生じている。
【0003】
ウエッブ上での本人確認およびプライバシーに関する一つの問題は、Webブラウザがユーザデータを得る方法に関する。典型的には、Webブラウザは、ローカルハードディスクに保存された一以上のクッキーからユーザデータを得ている。このクッキーはデリケートなユーザ情報を含む可能性がある。
図1Aは、クッキーからユーザ情報を得るための典型的な方法を示すフロー図である。100において、Webブラウザは、クッキーを使用するWebサイトにアクセスする。105において、ユーザコンピュータのローカルディスクにクッキーが存在するかどうかに関する判断が行われる。クッキーが存在しなければ、110において、ブラウザはWebサーバのユニバーサルリソースロケータ(URL)およびWebサーバが与えたユーザデータを用いてクッキーを作成する。クッキーが存在すれば、115において、ブラウザはユーザコンピュータのローカルディスク上にある該クッキーを使用する。
【0004】
図1Bは、クッキーを示すブロック図である。クッキー120は、サーバ識別子およびユーザデータを含んでいる。ユーザデータは、ユーザの名前および住所のようなユーザに関する情報を含んでいる。
【0005】
単にクッキーの内容を調べるだけで、当該ユーザデータに対応付けられたユーザの個人情報を決定することが比較的容易なので、不幸なことに、このアプローチによって与えられるプライバシーは低い。
【0006】
Web上での本人確認およびプライバシーについてのもう一つの問題は、ユーザの認証に関するものである。Web上でのユーザの認証は、典型的にはユーザ名およびパスワードを使用して達成される。図2は、ユーザ名およびパスワードを使用してユーザの認証を行うための典型的な方法を図示している。200において、ユーザはサービスプロバイダのWebサイトを訪問する。2005において、このサービスプロバイダWebサイトは、静的ユーザ名およびパスワードに基づいて当該ユーザを認証する。この形態のユーザ認証には、典型的には、Web上で要求されるサービスに関連すると思われるデータについての様式に全部書き込むことが含まれる。210において、ユーザ認証が成功したかどうかが決定される。もし、ユーザ認証が不成功であれば、215においてサービスが拒否される。ユーザ認証に成功すれば、220においてサービスが提供される。このアプローチによって得られるプライバシー保護およびセキュリティーは低い。
【0007】
更に、上記様式上に収集されるデータの正確さおよび適切さは保証されない。例えば、ユーザによって完成されたサービスプロバイダの様式が運転免許番号の入力を要求するとき、サービスプロバイダは典型的には、ユーザが入力した番号がサービス要求に適しているかどうかを判断しない(例えば、運転免許番号が指示されているとき、釣り免許番号の入力は不適切である)。また、サービスプロバイダは、入力された運転免許番号が実際に該番号を入力した人物のものであるかどうかを判断しない。
【0008】
図3は、「ノートと本(bricks and mortar)」のアプローチを使用して、このようなユーザ認証の問題に対処する方法を示している。図3は、本人が商品およびサービスに対する支払いをするための、典型的な方法を示すフロー図である。300において、購入者は商品またはサービスに対する支払いのためのチェックを記入する。305において、売主は、支払いを受けるために必要なユーザ認証の方法に適した資格認定を要求する。このような資格認定の例には、運転免許およびATMカードが含まれる。このユーザ認証は、購入者の本人確認に関する或るレベルの信頼性を提供する。異なるタイプの取引には異なるレベルのユーザ認証が与えられる。例えば、購入者が比較的安価な品目を購入しようとする場合は、売主はユーザ認証なしの支払いチェックを許容してもよいであろう。購入者が中程度の価格の品目を購入しようとするならば、売主は運転免許のような一つの形態の本人確認を要求すればよいであろう。購入者が比較的高価な品目を購入しようとするならば、売主は追加の形態の本人確認を要求することができるであろう。購入者が要求された形態のユーザ認証(310)を提供したときに、売主は要求された形態のユーザ認証を使用して、資格認定の信頼性、正確さおよび完全さを確認する(315)。
売主が資格認定を充分に確認できなければ、325において取引は拒絶される。資格認定が充分に確認されれば、330において販売が完成する
【0009】
図4は、ワールドワイドウェッブ上におけるユーザ特異的な情報の維持を示すブロック図である。各インターネットユーザ400〜425が、サービスプロバイダのWebサーバ(435〜460)を介して、サービスプロバイダWebサイトにアクセスする。各Webサーバ435〜460は、ユーザ名およびパスワードの入力を促すことによってユーザを認証する。各Webサーバ435〜460はまた、夫々の(ユーザ名、パスワード)組合せについての別の組のユーザデータを維持する。このユーザデータは各ユーザに関する情報を含んでいる。例えば、一つのWebサイトは、ユーザ名に関連する郵便番号を保存して、ユーザがそのWebサイトにログインしたときは何時でも、当該郵便番号における現在の天気が表示されるようにしてもよい。もう一つのWebサイトは、当該Webサイトで購入された品目のリストを維持し、ユーザがそのサイトを再度訪れたときに、同様の製品に関する情報を表示できるようにしてもよい。
【0010】
各Webサイトについて別々のユーザ認証スキームを維持することは、ユーザが、各サイトについてのユーザ名およびパスワードを覚えていなければならないことを意味する。多くの場合、個々人は、各Webサイトについて同じユーザ名およびパスワードを使用するであろう。従って、一つのWebサイトについての当該ユーザのユーザ名およびパスワードが分かれば、同じユーザ名およびパスワードを使用して、他のWebサイトでも同じユーザの情報にアクセスすることができる。更に、個々人は、彼等のユーザ名およびパスワードを、社会保証番号または誕生日のような個人情報に基づかせることが多い。これにより、パスワードはハッカーによる攻撃を受け易くなる。
【0011】
図5は、集中化されたユーザ認証システムを示すブロック図である。540において、ユーザはサーバアクセス入口505にアクセスする。545において、サービスアクセス入口505はユーザ認証データを収集する。ユーザが既に登録されていれば、該ユーザはユーザ名およびパスワードの入力を促され、チケット発生器520がユーザ認証データベース524とインターフェースして、ユーザ名およびパスワードに基づいて当該ユーザを認証する。チケット発生器520は、ケルベロス(KerberosTM)チケット発生器であってよい。該チケット発生器520は、ユーザ認証データベース525とインターフェースしてユーザ認証を行い、565においてユーザ認証トークンを発生する。ユーザが未だ登録されていなければ、ユーザは545においてユーザデータおよび選択されたパスワードの入力を促され、この情報はユーザデータ発生器530に送られる。ユーザデータ発生器530は、ユーザデータベース535とインターフェースして該ユーザデータを保存する。また、ユーザデータ発生器530は、ユーザ認証データベース525とインターフェースして、該ユーザのためのユーザ認証情報を提供する。560において、ユーザデータ発生器530はチケット発生器520とインターフェースして、ユーザ認証トークンを発生する。565において、ユーザ認証トークンはサービスプロバイダ505に返送される。
【0012】
570において、ユーザ認証トークンはユーザ500に返送される。サービスプロバイダ505は、ユーザおよびサービスプロバイダ間のその後の通信(575,580)において、該ユーザ認証トークンをクッキーまたはセッション識別子として使用する。これらの通信は、ユーザデータベース535に保存されたユーザデータの要求585を含んでいてもよい。このような要求585は、ユーザデータ検索器515によって受信される。ユーザデータ検索器515は、ユーザデータベース535からユーザデータを検索し、590において該ユーザデータを返送する。
【0013】
不運なことに、この機構を使用するサービスプロバイダは単一点制御である。ユーザは、何時何処でユーザデータが入手されるか、また何時何処でサービスプロバイダがユーザデータを使用するかに対する制御をもっていない。ユーザが彼自身を確認したら、全てのユーザデータは開放されている。
【0014】
図6は、多数のWebサイトにアクセスするための、単回ログオンを与える機構を示すブロック図である。グローバル認証者630は、(ユーザ名、パスワード)の組合せの入力を促すことによって、ユーザ600〜625を認証する。ユーザ600〜625が認証されたら、ユーザは、夫々の特定のWebサイト635〜660にサインオンすることなく、各メンバーWebサイト635〜660にアクセスすることができる。グローバル認証者630はまた、グローバル顧客データベース665における各ユーザネームについてのプロファイルを保持する。
【0015】
図6に示すように、一旦グローバル認証者630を介してログインしたら、ユーザは多数のメンバーWebサイトを訪れることができる。従って、グローバル顧客データベース665は、ユーザのために、訪問される全てのサイトに関連した情報を含まなければならない。例えば、或るユーザが金融Webサイトおよび医療計画Webサイトを訪問するならば、グローバル顧客データベース665は、医療情報ならびに金融情報を含むであろう。更に、グローバル認証者630は、Webサイト訪問のような個人のWeb活動をモニターまたは追跡するように構成されてもよい。データを組込む能力およびWeb活動をモニターする能力の混合は、プライバシーの懸念を生じさせる。
【0016】
ワールドワイドウエッブを使用することに伴う追加の問題は、有効なユーザ認証として、サービスプロバイダが何を許容したかの形跡を作製する方法がないことである。ユーザは、何れかの人物またはプログラムが入力したユーザ名およびパスワードを使用してログインし、多数のサービスへの無制限のアクセスを付与されるか、或いは、ユーザは間違ったユーザ名およびパスワードを入力して何も得られないかの何れかである。
【0017】
従って、サービスを提供するためにユーザに関する情報が要求されるシステムにおいて、プライバシーを保護するソリューションが必要とされている。更に、不適切または不必要な情報を明らかにすることなく、サービスプロバイダが或る人物に関する情報を交換することを可能にするソリューションについての必要性が存在する。プライバシーを維持しながら、インターネットのような開放ネットワーク上でのユーザの取引を管理するソリューションについての、更なる必要性が存在する。ユーザデータにおける信頼性を管理し、この信頼性評価および該評価が行われるプロセスの形跡を作成するソリューションについての、更なる必要性が存在する。クッキーに保存されたユーザデータを保護するソリューションについての更なる必要性が存在する
【0018】
(発明の簡単な説明)
データ通信ネットワークにおける本人確認を管理する方法は、ユーザ制御されるセキュリティー保護された保存装置を受取り、該ユーザをオーソリティーサイトに登録することを含む。この登録には、管轄ネットワークサイトが要求した情報を提供することが含まれる。該方法はまた、前記登録に応答してユーザデータを受取ることと、該ユーザデータを前記ユーザ制御されるセキュリティー保護された保存装置に保存することと、該ユーザ制御されるセキュリティー保護された保存装置が、ユーザデータを解放することを可能にすることと、サービスプロバイダネットワークサイトにおいて、前記ユーザデータを使用してサービスを得ることとを含む。
【0019】
もう一つの側面に従えば、 データ通信ネットワーク上での本人確認における強化されたプライバシー保護のための方法は、前記データ通信ネットワーク上のサービスについて登録することと;前記登録に応答して、ランダム化された識別子(ID)を受取ることと;前記ランダム化されたIDを保存することと;前記ランダム化されたIDを使用して、前記データ通信ネットワーク上でのサービスを得ることと;を含む。データ通信ネットワーク上でサービスを得るための装置は、登録要求を受入れるように構成された登録オーソリティーを含む。該登録オーソリティーは更に、登録要求に応答して、登録結果を戻すように構成される。この登録結果はユーザデータを含み、該登録結果を使用して、サービスプロバイダからのサービスを得ることができる。
【0020】
もう一つの側面に従えば、データ通信ネットワークにおける本人確認の強化された品質のための方法には、本人確認サーバIDおよび本人確認ランダム化IDを含むユーザ識別子を得ることが含まれる。本人確認サーバIDは、本人確認サーバ対等グループを識別する。この本人確認サーバ対等グループは少なくとも一つのサーバを含んでおり、該サーバは、特定のランダム化IDに関連したユーザを認証できる本人確認ランダム化IDとユーザ認証対等グループとの間のマッピングと、該本人確認ランダム化IDとユーザ情報との間のマッピングを保持する。この方法にはまた、ユーザ識別子を対応する本人確認サーバ対等グループに提示することによって、当該ユーザの決済を要求することが含まれる。本人確認サーバ対等グループにおける各サーバは、一以上の適合について、前記ランダム化IDを含むエントリーをサーチするように構成される。
【0021】
もう一つの側面に従えば、データ通信ネットワーク上に分配された資源へのユーザアクセスを制御する方法は、資源要求を受取ることを含む。該要求は、データ通信ネットワーク上の資源へのアクセスを提供するための、少なくとも一つのキーを含む権利キー資格認定を含んでいる。また、この権利キー資格認定は、資源サーバ対等グループIDおよびランダム化IDを含む資源識別子を含んでいる。資源サーバ対等グループIDは、資源サーバ対等グループを識別する。この資源サーバ対等グループは少なくとも一つのサーバを含んでおり、該サーバはランダム化IDと少なくとも一つのキーとの間のマッピングを保持している。この方法はまた、少なくとも一つのキーを使用することによる資源へのアクセスを提供する。
【0022】
もう一つの側面に従えば、データ通信ネットワークをブラウズする方法は、ユーザデータを要求するネットワークサイトがアクセスされるならば、ユーザ制御のセキュリティー保護された装置からのユーザデータを要求することを含む。この要求は、もう一つの装置からのユーザデータを要求することに先立って行われる。当該方法はまた、ユーザデータをユーザ制御のセキュリティー保護された装置から受取るならば、このユーザデータをネットワークサーバに送信することを含む。もう一つの側面に従えば、データ通信ネットワーク情報ユニットをサービスする方法は、ネットワークサイトに関連したユーザデータを受信すること、ユーザデータが静的ユーザデータを含むならば、該ユーザデータを使用すること、および該ユーザデータがダイナミックなユーザデータを含むならば、該ユーザデータを使用する前にユーザデータを再構成することを含む。
【0023】
もう一つの側面に従えば、データ通信ネットワークをブラウズする装置は、ユーザデータを要求するネットワークサイトがアクセスされるならば、ユーザ制御のセキュリティー保護された装置からユーザデータを要求するように構成されたネットワークブラウザを含んでいる。この要求は、もう一つの装置からのユーザデータを要求する前に生じる。当該ネットワークブラウザは更に、ユーザデータがユーザ制御のセキュリティー保護された装置から受信されるならば、このユーザデータを当該ネットワークサイトに関連したネットワークサーバに送信するように構成される。
【0024】
もう一つの側面に従えば、データ通信ネットワークをブラウズするための装置は、ユーザデータについての要求を受取るように構成されたスマートカードを含んでいる。該スマートカードは更に、ユーザデータが見つかり、当該要求のためにユーザデータの返送を可能にされ、また当該ユーザデータが静的ユーザデータを含む場合には、当該ユーザデータを戻すように構成される。このスマートカードは更に、ユーザデータが見つかり、当該要求のためにユーザデータの返送を可能にされ、また当該ユーザデータが動的ユーザデータを含む場合には、当該ユーザデータを再設定するように構成される。
【0025】
もう一つの側面に従えば、データ通信ネットワーク情報ユニットをサービスするための装置は、ネットワークサイトに関連したユーザデータを受信するように構成されたネットワークサーバを含んでいる。このネットワークサーバは更に、ユーザデータが静的ユーザデータを含んでいれば、当該ユーザデータを使用するように構成される。このネットワークサーバは更に、当該ユーザデータが動的ユーザデータを含んでいる場合には、該ユーザデータを使用する前に、ユーザデータを再設定するように構成される。
【0026】
もう一つの側面に従えば、データ通信上でサービスを得るための方法は、オーソリティーに登録することと、該登録結果を使用してサービスプロバイダからサービスを得ることを含んでいる。この登録は、ユーザデータを含む登録結果を生じる。当該サービスプロバイダは、登録結果を確認するために前記オーソリティーと通信することができる。
【0027】
もう一つの側面に従えば、データ通信ネットワーク上でサービスを得るための装置は、登録要求を承認するように構成された登録オーソリティーを含んでいる。この登録オーソリティーは更に、前記登録要求に応答して、登録結果を戻すように構成される。この登録結果は、サービスプロバイダからのサービスを得る際に使用するためのユーザデータを含んでいる。もう一つの側面に従えば、データ通信ネットワーク上でサービスを得るための装置は、サービス要求および登録オーソリティーから得た登録結果を承認するように構成されたサービスプロバイダを含んでいる。該サービスプロバイダは、前記登録結果を確認するために前記オーソリティーと通信することができ、また前記サービスプロバイダは、前記登録結果および前記登録オーソリティーからの応答に基づいてサービスを提供するように構成されている。
【0028】
もう一つの側面に従えば、データ通信ネットワーク上でプライバシーを保護するための方法は、ユーザ識別子および該ユーザ識別子に関連した特定のユーザデータを受取ることを含む。この特別のユーザデータは、ネットワークユーザに関するデータを含んでいる。当該方法はまた、特定のユーザデータに基づいて一般化されたユーザデータを作成することと、該一般化されたユーザデータを前記ユーザ識別子に関連させることとを含んでいる。当該方法はまた、前記ユーザ識別子および一般化されたユーザデータを返送することを含んでいる。もう一つの側面に従えば、データ通信ネットワーク上でのプライバシーを保護する方法は、ユーザ制御のセキュリティー保護された装置に、少なくとも一つのサービスプロバイダサーバについてのユーザログオン情報を保存することを含んでいる。この少なくとも一つのサービスプロバイダサーバは、ユーザにサービスを提供できる少なくとも一つのネットワークサーバを含んでいる。当該方法はまた、前記装置にログオンして、前記少なくとも一つのサービスプロバイダサーバへのアクセスを提供することを含んでいる。
【0029】
添付の図面は、本明細書に組込まれてその一部を構成するものであり、詳細な説明と共に、本発明の原理および実施を説明するために役立つ一以上の本発明の実施形態を例示するものである。
【0030】
図面についての説明は、後述の「図面の簡単な説明」に記載した通りである。
【0031】
(好ましい実施形態の詳細な説明)
ここでは、ワールドワイドウエッブにおける本人確認およびプライバシーのための方法および装置に関して、本発明の実施形態を説明する。当業者は、以下の本発明の詳細な説明が例示に過ぎず、如何なる意味でも限定的であることを意図しないものであることを理解するであろう。この開示の利益を有する当業者には、本発明の他の実施形態が容易に示唆されるであろう。次に、添付の図面に示された本発明の実施形態を詳細に参照する。これらの図面および以下の詳細な説明を通して、同じ参照符号は、同じ部分または同様の部分を指す。
【0032】
明瞭さのために、ここで説明する実施形態におけるルーチンの特徴の全部は図示されず、また説明もされない。当然ながら、このような何れかの現実の実施の開発においては、開発者の特別な目的を達成するため、例えばアプリケーション関連およびビジネス関連の束縛に従うために、多くの実施特異的な決定がなされなければならないこと、またこれらの特別な目的は実施毎および開発者毎に異なることが容易に理解されるであろう。更に、このような開発努力は複雑かつ時間を要するが、この開示の利益を有する当業者にとっては、エンジニアリングにおけるルーチンの仕事であろう。
【0033】
本発明の関連において、「ネットワーク」の用語には、構内ネットワーク、広域ネットワーク、インターネット、ケーブルテレビシステム、電話システム、無線通信システム、光ファイバーネットワーク、ATMネットワーク、フレームリレーネットワーク、衛星通信システム等が含まれる。このようなネットワークは当該技術において周知であるから、ここで更に説明することはしない。
【0034】
ワールドワイドウエッブを参照して本発明の実施形態を説明する。如何なるデータ通信ネットワークも、ワールドワイドウエッブと同様に構成することができる。
【0035】
本発明の一実施形態に従えば、コンポーネント、プロセスおよび/またはデータ構造は、高性能コンピュータ(例えば、そのオペレーティングシステムとしてSun SolarisTMを動作させるEnterprise 2000TMサーバ;Enterprise 2000TMサーバおよびSun SolarisTMオペレーティングシステムは、カリホルニア州マウンテンビューのサンマイクロシステムズInc.社から入手可能な製品である)上で動作する、CまたはC++プログラムを使用して実施すればよい。異なる装置を使用してもよく、他の種類のオペレーティングシステム、コンピュータ処理フォーマット、コンピュータプログラム、ファームウエア、コンピュータ言語および/または汎用マシンを含んでいてもよい。加えて、当業者は、ここに開示する発明概念の範囲および精神を逸脱することなく、汎用性の低い装置、例えば配線連結式の装置、書替え可能ゲートアレイ(field programmable gate arrays)、アプリケーション特異的集積回路(ASICs)等も使用できることを理解するであろう。
【0036】
次に、図7を参照すると、本発明の一実施形態に従ってオーソリティーにより認証されたユーザデータを使用した、ワールドワイドウエッブ上でのセキュリティー保護された取引の実行を示すブロック図が提示されている。三つのエンティティー、即ち、顧客またはユーザ700、オーソリティー705、およびサービスプロバイダ715が表示されている。ユーザ700は、サービスプロバイダからサービスを要求して受取る実体要素を表す。サービスプロバイダ715は、サービスを提供するエンティティーを表す。オーソリティー705は、資格認定または他のユーザデータを認証して、資格認定または他のユーザデータの品質基準または信頼性のレベル、正確さおよび完全さを明らかにするエンティティーを表す。
【0037】
資格認定の発行者は、資格認定のデータ認証を行う。資格認定は、申告者が権利を有することの表示として、サービス要求と共にサービスプロバイダに提示される証明書である。
【0038】
本発明の実施形態に従えば、ユーザは最初にオーソリティーに登録し、返送される認証された資格認定を受取る。次いで、ユーザはこの資格認定およびサービス要求を、サービスプロバイダに提示する。資格認定の受理は無条件ではない。サービスプロバイダはこの要求および資格認定を審査して、サービスを拒否するか、またはサービスを付与する。撚り詳細には、720において、ユーザ700はオーソリティー705と通信し、資格認定要求を行う。この要求には、関連のパラメータおよびデータが含まれてもよい。該関連のパラメータおよびデータは、例えば、要求された資格認定の発行に必要なユーザ認証の少なくとも一部を実行できるユーザ認証サーバ710の識別に関連していてもよい。この要求はまた、補助資格認定を含んでいてもよい。オーソリティー705は、この資格認定を認証して、当該資格認定の品質基準、信頼性の表示、正確さおよび完全さを明らかにする。このオーソリティー705は、ユーザ認証を行う際に副オーソリティー710と協働してもよい。725において、該オーソリティーは認証された資格認定をユーザ700に返送する。
【0039】
サービスを得るための資格認定の使用は、サービス要求で始まる。参照番号735によって示すように、ユーザ700はサービスプロバイダ715と通信してサービス要求を発する。この要求は、資格認定、並びに関連の資格認定パラメータおよびデータを含んでいてもよい。サービスプロバイダ715は、資格認定要求および補助情報を評価する。サービスプロバイダ715は、オーソリティー705と協働して、動的資格認定の認証(740,745)を行ってもよい。オーソリティー705はまた、ユーザ認証を行うに際して副オーソリティー710と協働してもよい。750において、サービスプロバイダは要求されたサービスを提供する。
【0040】
次に、図8を参照すると、本発明の一実施形態に従って、オーソリティーにより認証されたユーザデータを使用して、ワールドワイドウエッブ上でセキュリティー保護された取引を行うための方法を示すフロー図が与えられている。800において、資格認定が発生される。この資格認定は、資格認定要求および補助データをオーソリティーに提示することによって作成される。該補助データには、同じオーソリティーまたは他のオーソリティーによって先に作成された資格認定が含まれていてもよい。該資格認定は、非デジタルであってもよい。例えば、運転免許または出生証明書を使用してもよい。要求された認証の種類に応じて、資格認定は全てデジタルのものでもよく、全て非デジタルのものでもよく、またデジタルおよび非デジタルの組合せであってもよい。
【0041】
本発明の一実施形態に従えば、資格認定は、その使用に制限を付して作成されてもよい。例えば、該資格認定は一回だけの使用、制限された回数の使用、または特定の場所での使用のために作成されてもよい。
【0042】
本発明のもう一つの実施形態に従えば、この資格認定は、Webサーバ、スマートカード、個人用デジタルアシスタンス(PDA)、携帯電話等に保存されてもよい。
【0043】
再度図8を参照すると、805において、それが資格認定を使用するときであるかどうかに関して決定が行われる。資格認定を使用するときの一例は、サービスを得るために資格認定が必要とされるときである。それが資格認定を使用するときであれば、810において、資格認定または資格認定への参照がサービスプロバイダに提示され、次いで該プロバイダはサービスを行うことができる。このサービスは、資格認定に含まれた情報によって直接的または間接的に特定されてもよい。サービスプロバイダは、暗号データ認証を行った後に、資格認定データを受理してもよい。815において、この資格認定が未だ有効であるかどうかに関して決定がなされる。この資格認定を使用してサービスを得るプロセスは、資格認定が有効でなくなるまで継続される。
【0044】
図9Aおよび図9Bは、本発明の実施形態に従った二つの資格認定データフォーマットを示している。図9Aを参照すると、資格認定900は、資格認定識別子910、資格認定暗号915、資格認定オーソリティー対等グループID 920、資格認定パラメータ925、資格認定データ930、シールされた資格認定データ935、および入れ子式資格認定940を含んでいる。本発明の一実施形態に従えば、資格認定識別子910は、ユーザに割当てられたユニークな識別子を含んでなるものである。本発明の一実施形態に従えば、資格認定識別子910は、ユーザに付与されたランダム化された識別子を含んでなるものである。
【0045】
資格認定暗号915は、資格認定事項925、930、935および940を認証するために使用される。好ましくは、資格認定暗号915はまた、資格認定オーソリティー対等グループID 920を認証するためにも使用される。このデータ認証は、資格認定オーソリティーによって特定されたキーおよびアルゴリズムを使用してよい。このキーおよびデータ認証アルゴリズムは、資格認定パラメータ925として特定されてもよい。
【0046】
本発明の一実施形態によれば、全体の資格認定暗号(915,945)が資格認定IDとして使用される。本発明の他の実施形態に従えば、この暗号のサブセットが資格認定IDとして使用される。
【0047】
資格認定オーソリティー対等グループID 920は、資格認定900のためのデータ認証を提供したエンティティーを識別する。データ認証を提供したエンティティーは、一つのサーバを含んでなるものであってよい。或いは、データ認証を提供したエンティティーは複数の資格認定オーソリティーサーバを含み、その内の一つが、資格認定IDに対応する資格認定データを維持するものであってもよい。特定の資格認定オーソリティー対等グループを含む複数の資格認定オーソリティーサーバは、資格認定IDに対応した資格認定データの位置を突止めるように協働する。
【0048】
資格認定パラメータ925は、名称を付したパラメータデータを意味する。資格認定パラメータは、例えば、データ認証機構またはユーザ認証機構を含んでもよい。資格認定パラメータはまた、要求された資格認定の発行のために必要な、ユーザ認証の少なくとも一部を実行できるユーザ認証サーバのアイデンティティーを特定してもよい。資格認定パラメータ925はまた、資格認定データをシールまたはシール解除するために使用される資格認定データフォーマットおよび機構を特定してもよい。資格認定パラメータ925はまた、サービス品質(QoS)識別子を含んでいてもよい。該QoS識別子は、ユーザ登録の際に資格認定の発行者によって行われる確認照合を表示する。この確認にはユーザ認証が含まれてもよい。該確認照合はまた、何等かの補助資格認定の品質評価を含んでもよい。また、該確認照合には、資格認定データの信頼性、正確性および完全性の評価を含めてもよい。
【0049】
資格認定データ930は、資格認定に関連したデータを含んでなるものである。シールされた資格認定データ935は、暗号化された資格認定データを含んでいる。入れ子式の資格認定940は、一以上の追加の資格認定を含む。なお、セキュリティー保護されたネスティングを行うためには、資格認定暗号915だけが認証されなければならない。
【0050】
資格認定ID 910、資格認定暗号915、および資格認定オーソリティー対等グループID 920の組合せを使用して、全体の資格認定900を表してもよい。資格認定の残部(参照番号925、930、935および940は、別途に保存すればよい。例えば、資格認定ID 910、 資格認定 暗号915および資格認定オーソリティー対等グループID 920は、スマートカードのようなセキュリティー保護装置に保存する一方、資格認定の残部(参照番号925、930、935および940)はWebサーバに保存してよい。
【0051】
図9Aが別の資格認定ID 910を含むのに対して、図9Bに示された資格認定は識別子として資格認定暗号945を使用する点を除き、図9Bは図9Aと同様である。
【0052】
資格認定データ要素910〜940は一緒に保存すればよい。或いは、幾つかの資格認定要素910〜920は完全な資格認定を表すために使用し、他の資格認定要素925〜940は別途保存してもよい。
【0053】
次に、図9Bを参照すると、本発明の一実施形態に従って、暗号を識別子に使用した資格認定を示すブロック図が提示されている。図9Bの資格認定暗号945が識別子としても使用される点を除き、図9Bは図9Aと同様である。
【0054】
次に、図10を参照すると、本発明の一実施形態に従って、資格認定を発生するための方法を示すフロー図が提示されている。図10は、図8の参照番号800についての更なる詳細を提供する。1000において、資格認定オーソリティーは、一以上の補助資格認定を含む資格認定要求を受取る。この補助資格認定は、当該資格認定オーソリティーが以前に作成した資格認定を含んでいてもよい。また、補助資格認定は、他の資格認定オーソリティーが以前に作成した資格認定を含んでいてもよい。1005において、これらの資格認定が処理される。1010において、この資格認定が首尾良く処理されたかどうかに関する決定が行われる。資格認定が首尾良く処理されなければ、1015において不合格が登録され、1020において不合格ポリシーが適用される。この不合格ポリシーは、不合格が検出されたときに行われた動作を特定する。不合格ポリシーの一例は、エラーが検出されたときにユーザ告知機能を実行する。
【0055】
図10を更に参照すると、資格認定が首尾良く処理されたときには、1025において新たな資格認定が作成され、1030において、この資格認定はそれを要求したユーザに返送される。本発明の一実施形態に従えば、全体の資格認定がユーザに戻される。本発明のもう一つの実施形態によれば、当該資格認定のユニークな識別情報が返送され、該資格認定の残部は別途保存される。例えば、図9Aの資格認定フォーマットを使用する実施形態は、資格認定ID 910、資格認定暗号915、および資格認定オーソリティー対等グループID 920を返送するであろう。図9Bの資格認定フォーマットを使用する実施形態は、資格認定暗号945および資格認定オーソリティー対等グループID 950を返送するであろう。
【0056】
次に、図11を参照すると、本発明の一実施形態に従って、資格認定を処理するための方法を示すフロー図が提示されている。図11は、図10の参照番号1005についての更なる詳細を提供する。1100において、資格認定の暗号データ認証が行われる。一例として図9Aの資格認定を用いれば、資格認定暗号915を使用して、資格認定フィールド925、930、935および940が認証される。或いは、特別のデータ認証機構が、資格認定対等グループID 920を認証してもよい。一例として図9Bの資格認定フォーマットを用いると、資格認定暗号945を使用して、資格認定フィールド955、960、965および970が認証される。ここでも、特別のデータ認証機構が、資格認定オーソリティー対等ID 950を認証してもよい。1105において、資格認定暗号が資格認定データを認証するかどうかに関する決定がなされる。資格認定暗号がこの資格認定データを認証しなければ、1145においてプロセスは終了し、不合格が表示される。
【0057】
図11を再度参照すると、1110において、首尾よい暗号データ認証の後には資格認定評価ポリシーが適用され、(1)それが別に保存されていれば資格認定データを得、(2)暗号化された資格認定データを解読し、また(3)資格認定データの有効性を決定する。1120では資格認定データが評価されて、提示された資格認定データの種類、該資格認定データの内容および要求されたサービス品質(QoS)に関して、該資格認定データが適正であることが確認される。1130においては、当該資格認定が実際に資格認定要求を行ったユーザに関連することを確認するために、ユーザ認証が行われる。参照番号1100、1110、1120または1130が不合格であれば、このプロセスは1145で終了して不合格が指示される。そうでなければ、当該プロセスは1140において成功裏に終了する。
【0058】
次に、図12を参照すると、本発明の一実施形態に従って、資格認定評価ポリシーを適用するための方法を示すフロー図が提示されている。図12は、図11における参照番号1110についての更なる詳細を提供する。上記で述べたように、資格認定のユニークな識別情報は、資格認定データの残部とは別に保存される可能性がある。従って、1200では、当該資格認定に資格認定データが含まれているかどうかに関する決定が行われる。資格認定データが当該資格認定に含まれていなければ、1205において、該資格認定データが入手される。資格認定データが当該資格認定に含まれていれば、1210において、必要とされる全ての生め込まれた資格認定が、当該資格認定に含まれているかどうかに関する決定が行われる。このような資格認定の全てが含まれていないならば、1215において、必要とされる資格認定が入手される。全ての必要な資格認定が含まれていれば、1220において、当該資格認定における何れかのデータがシール解除されねばならないかどうかに関して決定がなされる。シール解除されるべき資格認定は、入れ子式の資格認定データを含む可能性がある。データがシール解除されねばならないならば、それは1225においてシール解除される。シール解除を必要とするデータがなければ、1230において、該資格認定が有効であるかどうかに関して決定がなされる。該データが無効であれば、1240において、当該プロセスは不合格の表示を伴って終了する。データが有効であれば、当該プロセスは1240において成功裏に終了する。
【0059】
次に、図13を参照すると、 本発明の一実施形態に従って資格認定を評価するための方法を示すフロー図が提示されている。図13は、図11における参照番号1120についての更なる詳細を提供する。1300においては、提示された資格認定データの種類が、出された要求にとって充分であるかどうかに関する決定が行われる。換言すれば、この資格認定はその完全性について評価される。例えば、資格認定オーソリティーが特定の資格認定要求について運転免許を要求するなら、当該資格認定データが運転免許を含んでいるかどうかについての決定がなされる。資格認定データが運転免許を含んでいなければ、その資格認定データは当該要求のためには不充分である。資格認定データが不充分であれば、当該要求は拒絶される。或いは、ユーザが、要求された資格認定データの入力を促されることもあり得るであろう。
【0060】
図13を更に参照すると、1305において、その資格認定データが当該要求に適合するかどうかの決定がなされる。資格認定データの内容が評価される。例えば、特定の資格認定のための資格認定付与ポリシーが、有効な運転免許を要求するとしよう。この場合、資格認定要求が運転免許を含んでいるかどうかは1300において決定されるのに対して、その運転免許が期限切れであるかどうかは1305において決定される。この決定が不成功に終われば、1325において失敗の表示が返送される。図13に示されたプロセスは、登録プロセスの際にオーソリティーによって、およびサービスを提供するプロセスにおいてはサービスプロバイダによって、資格認定を評価するために使用される。オーソリティーは資格認定を作成し、従って資格認定データにQoS指標のような値を割当てなければならない。サービスプロバイダはサーsビスを提供し、資格認定を作成する必要はない(当該サービスプロバイダが、実際にはサービスとしての資格認定を提供するオーソリティーでない限り)。従って、1330では、資格認定が作成される必要があるかどうかに関する決定がなされる。資格認定が作成される必要があれば、1315において、作成される資格認定のサービス品質(QoS)が決定される。
【0061】
資格認定を有効にする一部として、オーソリティーまたはサービスプロバイダは、一定レベルのユーザ認証を要求してもよい。ユーザ認証は、その資格認定が、実際のユーザを偽装した他の誰かではなく、実際に当該要求を行ったユーザに関連しており、または該ユーザに属するかどうかを決定する。ユーザ認証は、例えば、指紋もしくは網膜スキャン等のような追加の生物学的基準の要求を含んでいてもよい。ユーザ認証はまた、当該ユーザに属することが知られた携帯電話に配信されるパスワードチャレンジを含んでいてもよい。
【0062】
QoSは、資格認定が如何にして作成されたかに関する情報を、当該資格認定を使用しまたはアクセスする他のエンティティーに転送する方法である。該QoSは、単一のオーソリティーまたはオーソリティーのグループによって確率されたポリシー陳述への言及である。例えば、資格認定のQoSパラメータは、オーソリティーがユーザの運転免許または出生証明書をチェックしたことを示すことができる。異なるQoSは、当該オーソリティーがユーザの運転免許、出生証明書および社会保証カードをチェックしたことを示すことができるであろう。
【0063】
資格認定は、資格認定を認証したエンティティーによって行われたユーザ認証のレベルを示すQoS指標を含んでいてもよい。サービスプロバイダは、資格認定において指示されたQoSが、要求されたサービスを与えるためには不充分であることを決定してもよい。もしそうであれば、当該サービスプロバイダは、追加のユーザ認証を要求してもよい。また、資格認定は、追加のユーザ認証を行うことができるユーザ認証サーバに関する情報を含んでいてもよい。
【0064】
本発明のもう一つの実施形態によれば、ログオン資格認定は、ユーザ認証のための特定のプロセスを明らかにするための入れ子式資格認定を含んでいる。換言すれば、ログオン資格認定は、ユーザ認証のためのQoSを含んだ入れ子式資格認定を含んでいる。このログオン資格認定は、その資格認定パラメータの一部としてうめ込まれた、それ自身のQoSを有している。該ログオン資格認定はまた、予め定められた寿命を有している。例えば、ログオン資格認定のQoSパラメータは、特定形式の追加のユーザ認証(例えば指紋、または他の生物学的基準)を、予め定められた間隔または事象において要求することができるであろう。
【0065】
従って、本発明の一実施形態によれば、第一の資格認定は、より制限された範囲を有する新たな資格認定を行うために使用される。例えば、Webページまたは情報ユニットを見るためのアクセスを与える第一の資格認定は、第一のWebページによって直接参照された第二のWebページへの10分間だけのアクセスを与える第二の資格認定を作成するために使用してもよい。この同じ第一の資格認定は、現在のWebページから直接参照された何れか他のWebページへのアクセスを与える第三の資格認定を作成するために使用してもよいであろう。一以上の資格認定を使用してもう一つの資格認定を作成する更に多くの例を、図39を参照して以下に提示する。
【0066】
次に、図14を参照すると、本発明の一実施形態に従ってユーザ認証を行うための方法を示すフロー図が提示されている。図14は、図11の参照番号1130についての更なる詳細を提供するものである。1400においては、ユーザ認証が要求されるかどうかに関する決定がなされる。この決定は、ユーザが提供したユーザ認証資格認定および要求されるQoSに基づいている。このユーザが提供したユーザ認証資格認定が、要求されたQoSよりも低いQoSを与えるならば、追加のユーザ認証が要求される。ユーザ認証が要求されるときは、1405において、ユーザが提供したまたは入れ子式の資格認定が、資格認定を作成する場合に要求され、またはサービスプロバイダによって要求されるQoSを満足するために充分であるかどうかに関する決定がなされる。これらの資格認定が不充分であれば、1410においてユーザ認証が行われる。
【0067】
次に、図15を参照すると、本発明の一実施形態に従って、サービスを得るために資格認定を使用するための方法を示すフロー図が提示されている。図15は、ユーザおよびサーバによって行われる動作を含めて、図8における参照番号810の更なる詳細を提供する。1500において、ユーザはWebサイトを訪問する。1505において、サービス要求およびユーザに関連する一以上の資格認定が、サービスプロバイダサーバに提示される。1540において、該サーバはサービス要求および資格認定を受取る。1550において、サービスプロバイダは、図11に関連して上記で述べた資格認定を処理する。1555において、サーバは、資格認定が成功裏に処理されたかどうかを決定する。資格認定が成功裏に処理されなければ、1560において要求されたサービスは拒否され、サービス拒否1565が、当該サービスを要求したユーザに送信される。資格認定が成功裏に処理されれば、1570において当該サービスが提供される。1510において、ユーザは、当該サービス要求が成功したかどうかを決定する。サービス要求が成功しなかったときは、1520において不合格表示がなされ、1525において処理が終了する。サービス要求が成功した時は、1530において当該サービスが使用される。
【0068】
図16〜図33は、ワールドワイドウエッブ上でのプライバシーを高めるために、セキュリティー保護されたユーザデータ記憶装置に保存されたユーザデータを使用した、本発明の実施形態を示している。図17〜23は、セキュリティー保護されたユーザデータ記憶装置に保存されたユーザデータを使用した、本発明の実施形態を示している。図24〜図30Aは、ユーザデータのための資格認定フォーマットを用いる本発明の実施形態を示している。この資格認定フォーマットは、図9Aおよび図9Bを参照して上記に示した通りである。図30B〜図33は、セキュリティー保護されたユーザデータ記憶装置のために、スマートカードを使用した本発明の実施形態を示している。
【0069】
次に図16を参照すると、本発明の一実施形態に従った、1個人に対する複数のアイデンティティーの付与を示すブロック図が提示されている。図16に示すように、個人1600は、異なる目的のための複数のアイデンティティーを有することができる。個人1600は、クレジットカード(1602,1618)のような支払いオーソリティーの顧客、ゴルファー1604、軍隊のメンバー1606、および医学の患者1608であるかもしれない。個人はまた、学生1610、 投資家1612、被雇用者1614、大学の同窓生1616、および自動車ドライバ1620である可能性がある。夫々のアイデンティティー1602〜1620 は、関連のデータに結び付けられる。例えば、ゴルファーアイデンティティー1604のための関連データは、ゴルファーのハンデキャップ1624を含んでいてもよい。医療患者アイデンティティー1608は、患者の医療履歴1628を含んでいてよい。しかし、ゴルファーアイデンティティー1604は、何等かの医療履歴情報1628を知る必要はなく、また医療患者アイデンティティー1608は、ゴルファーのハンディキャップ1624について知る必要はない。
【0070】
図16を更に参照すると、一つのアイデンティティーについての関連データの幾つかまたは全ては、もう一つのアイデンティティーについての関連データと同じであるかもしれない。例えば、学生アイデンティティー1610についての幾つかの関連データ(例えば学位課程)は、同窓生アイデンティティー1616についての関連データと同じであるかもしれない。
【0071】
次に図17を参照すると、本発明の一実施形態に従った、アイデンティティーのための複数組のユーザデータ付与を示すブロック図が提示されている。図17に示すように、ユーザデータ1704〜1720はセキュリティー保護されたユーザデータ記憶装置1702に保存される。セキュリティー保護されたユーザデータ記憶装置1702は、ユーザによって制御される(ユーザ制御される)。ユーザデータ1704〜1720は、暗号化されたデータおよび/または認証されたデータを含んでいてよい。セキュリティー保護されたユーザデータ記憶装置1702は、携帯電話、PDAまたはスマートカード等のような携帯可能な装置含んでなるものであってもよい。セキュリティー保護されたユーザデータ記憶装置1702はまた、Webサーバまたは他のコンピュータ上のファイルを含んでいてもよい。
【0072】
本発明の一実施形態によれば、ユーザデータの一部はピットマップ化される。該ユーザデータは、例えば、グループまたはカテゴリーにおける帰属に基づいてビットマップ化される。例えば、ユーザのデータの一部は、当該ユーザが興味を持っている書物のカテゴリーに従ってビットマップ化される。
【0073】
次に図18を参照すると、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上の複数の団体間での取引の実行を示すブロック図が提示されている。図18は、売主のWebサイトからの製品の購入を示している。セキュリティー保護されたユーザデータ記憶装置1802は、図17の参照番号1702に関連して先に示したように、本人確認のための複数組のユーザデータを保存している。セキュリティー保護されたユーザデータ装置708は、デスクトップコンピュータ、スマートカード、PDA等上にあってよい。1829において、ユーザは支払いエージェントのWebサイトにおいて、支払いエージェント1(1810)に登録する。当該ユーザの登録に特異的なユーザデータは、セキュリティー保護されたユーザデータ記憶装置1802に保存される。支払いエージェント(1810)は、ユーザ認証が要求されるかどうかを決定する。ユーザ認証が要求されれば、支払いエージェント1(1810)はまた、ユーザ認証の要求されるレベルを決定する。更に、支払いエージェント1(1810)は、ユーザの登録に特異的なユーザデータが暗号化されなければならないかどうかを決定する。
【0074】
本発明の実施形態に従えば、ユーザ登録データは、その後のサービスプロバイダWebサイトへの訪問のために使用されるユーザ認証情報を含んでいる。換言すれば、サービスプロバイダに特異的なユーザまたはユーザデータへの参照は、同じサービスプロバイダのWebサイトを訪問するためにユーザデータの組が使用されるときは何時でも、サービスプロバイダWebサイトに提示される。この特定のサービスプロバイダWebサイトのユーザ認証要件は、追加のユーザ認証が必要とされるかどうかを決定するであろう。例えば、保存されたユーザ認証データは、インターネットに基づく電子メールサイトに繰返し訪問するためには充分であるかもしれないが、軍隊Webサイトへの接続には、保存されたユーザ認証データにかかわらず、そのサイトを訪問する毎に、生物測定のような追加のユーザ認証手段を要求される可能性がある。
【0075】
図18を更に参照すると、1828において、出荷エージェント1818に登録するために同じユーザデータ組が使用される。こうして、出荷エージェントWebサイト1818は、何等かの要求されたデータ認証および/またはユーザデータの暗号化を実行し、該ユーザデータをセキュリティー保護されたユーザデータ記憶装置1802へと返送する。この時点で、セキュリティー保護されたユーザデータ記憶装置1802は、二つのWebサイト(1810,1818)に登録するために使用したユーザデータ組を含んでいる。1830においては、該ユーザデータ組を使用して、売主AのWebサイト(1806)で品目が購入される。売主A 1806は、支払い決済のために、該ユーザデータを支払いエージェント1(1810)に送信する。ユーザデータの暗号化が要求されるならば、支払いエージェント1(1810)は該ユーザデータを解読する。エージェント1(1810)は、売主が提供する取引の詳細と共に該ユーザデータを使用して、この購入が決済されるかどうかを決定する。1832において、支払いエージェント1(1810)は売主A 1806に決済指示を送信する。次に、売主1806は、セキュリティー保護されたユーザデータ記憶装置1802から、注文情報および出荷情報を含む履行記録を作成する。1838において、売主A 1806は、該履行記録を履行会社1814に送信し、該履行会社1814は、ユーザデータに由来する履行記録からの出荷情報を使用して、当該注文を履行する。1840において、履行会社1814は購入された商品を出荷エージェント1818に輸送する。1842において、出荷エージェントは、安全データ記憶装置1(1802)からの出荷情報の住所へと商品を配送する。
【0076】
同様の方法で、他の多くの装置およびサブシステム(図示せず)を接続してもよい。また、上記のように、本発明を実施するためには、図7における全ての装置が存在する必要はない。更に、この装置およびサブシステムは、図7に示したものとは異なる方法で相互接続されてもよい。本発明を実施するためのコードは、システムメモリーに動作可能に配置されてもよく、または固定ディスク、フレキシブルディスクまたはCD-ROMのような記憶媒体に保存されてもよい。
【0077】
本発明の一実施形態に従えば、Webサイトは、ユーザのプロファイルを保持する。 プロファイルの用途の一例は、特定のWebサイトでのユーザの活動を追跡することである。このプロファイルは、売主Aとのユーザの活動の性質に関する情報を保持する。例えば、該プロファイルは、訪問の頻度、以前に購入された品目、調査されたが購入されなかった品目、好ましい出荷方法および好ましい支払方法に関する情報を保持し、売主A 1806が、特定のユーザデータ組の購入パターンに適合した知的サービスを提供することを可能にする。
【0078】
セキュリティー保護されたユーザデータ記憶装置1(1802)におけるユーザデータ組に関して上記で述べた同じプロセスは、セキュリティー保護されたユーザデータ記憶装置2(1804)におけるユーザデータ組にも同様に適用される。
【0079】
次に図19を参照すると、本発明の一実施形態に従って、プライバシーを維持しながら複数の団体の間で取引を行うための方法を示すフロー図が提示されている。1900において、ユーザは、ユーザ制御された保存装置、またはWeb上でこのような装置へのアクセスを制御するためのキーを受け取る。1905において、サービスプロバイダに登録するときであるかどうかに関する決定がなされる。サービスプロバイダに登録するときであれば、1910において、登録プロセスから得られたユーザデータがユーザ制御の安全保存装置に保存される。幾つかのユーザデータは暗号化されてもよい。加えて、幾つかのユーザデータは暗号的に認証される。1915において、ユーザ制御の安全保存装置に保存されたユーザデータを使用するときであるどうかの決定が、ユーザによって行われる。該ユーザデータを使用するときであれば、1920において、一以上のサービスを得るために、ユーザ制御のセキュリティー保護された記憶装置に保存されたユーザデータが使用される。1925において、ユーザデータが未だ有効であるかどうかの判断がなされる。ユーザデータが未だ有効であれば、1915において実行が後続される。ユーザデータが最早有効でなければ、それは1930において破棄される。
【0080】
本発明の一実施形態に従えば、新たなサービスを得るために必要なユーザデータは、新たなサービス要求を、先の登録から得られた少なくとも一つのユ一つのユーザデータ組と組合せることによって得られる。例えば、第一の書籍売主Webで買物をするユーザは、Webサイトで購入した書籍および調査したが購入しなかった書籍の両方に基づいて、一定のカテゴリーに属する書籍についての一以上の嗜好選択を示してもよい。第一の書籍売主は、この情報をプロファイルに保存する。当該ユーザは、第二の書籍売主Webサイトで買物をするときに、この情報の全部または一部を使用することを望むかもしれない。従って、第二の書籍売主Webサイトでのサービスについてユーザが行うサービス要求は、第一の書籍売主サイトでの買物で使用したプロファイル情報と自動的に組合わされて、第二の書籍売主Webサイトでの買物のときにユーザが使用するための新たなプロファイルが形成される。
【0081】
次に、図20を参照すると、本発明の一実施形態に従い、ユーザ制御の装置に保存されたユーザデータを使用してサービスを得る方法を示すフロー図が提示されている。図20は、図19の参照番号1920についての更なる詳細を提供するものである。2000において、ユーザはWebサイトを訪問する。2005において、サービス要求および関連のユーザデータが、サービスプロバイダのサーバに提示される。2030において、サーバはこのサービス要求および関連のユーザデータを受取る。2040において、サービスプロバイダは該ユーザデータを処理して、提供されたユーザデータがその要求を許可するのに充分であるかどうかを決定する。2045において、該サーバは、このユーザデータが首尾良く処理されたかどうかを決定する。もし、このユーザデータが成功裏に処理されなければ、要求されたサービスは2050において拒絶され、サービスを要求したユーザに対してサービスの拒絶2055が送られる。ユーザデータが首尾良く処理されれば、2060においてサービスが提供される。2010において、ユーザはサービス要求が成功したかどうかを決定する。サービス要求が不成功であれば、2015で失敗の表示がなされ、2075においてプロセスは終了する。サービス要求が成功すれば、2025においてサービスが使用される。
【0082】
図21および図22は、図20の参照番号2060についての更なる詳細を提供するものである。図21は、保存されたユーザデータに基づくWebサイトのカスタマイズによるサービス提供を示しているのに対して、図22は、製品を購入し且つ該製品をユーザに配送してもらうために、ユーザ制御の装置に保存されたユーザデータを使用することによるサービス提供を示している。これらのサービス提供の例は、如何なる意味でも制限的なものではない。当業者は、サービスを提供し得る他の多くの形態を理解するであろう。
【0083】
次に、図21を参照すると、本発明の一実施形態に従うサービス提供のための方法を示すフロー図が提示されている。図21は、図20の参照番号2060についての更なる詳細を提供するものである。2100において、ユーザデータが受理される。2105において、Webサイトの一以上のWebページが、ユーザ制御の装置に保存されたユーザデータに基づいてカスタマイズされる。
【0084】
次に、図22を参照すると、本発明の一実施形態に従って、ユーザデータに従うサービスを提供するための方法を示すフロー図が提示されている。図22は、図20の参照番号2060についての更なる詳細を提供するものである。2200において、売主は、ユーザ制御のセキュリティー保護された装置からの支払いデータを用いて支払い決済を行う。2205において、売主は、ユーザ制御のセキュリティー保護された装置からの注文および出荷情報を含んだ履行記録を作成する。2210において、売主は、履行記録を履行会社に送信する。2215において、該履行会社は、ユーザデータに由来する履行記録からの出荷情報を使用して、当該注文を履行する。2220において、履行会社は購入された商品を出荷エージェントに輸送する。2225において、出荷エージェントは、ユーザ制御によるセキュリティー保護された装置からの情報にある出荷宛先へと商品を配送する。
【0085】
次に、図23を参照すると、本発明に従って、セキュリティー保護された装置からの支払い情報を使用して支払い決済を行うための方法を示すフロー図が提示されている。図23は、図22の参照番号2200についての更なる詳細を提供するものである。2300において、売主は、セキュリティー保護装置に由来する支払いデータを使用して、当該要求に課される料金等の取引の詳細を含む支払い要求を、支払い-清算エージェントに送信する。2305において、支払い-清算エージェントは、支払い要求および請求額を受取る。2310において、支払い-清算エージェントは回答を送信する。例えば、この支払い-清算エージェントは、取引IDおよび請求額を送信すればよい。該回答の内容に応じて、該回答の全部または一部は、暗号法により暗号化されたメッセージを含んでいてもよい。
【0086】
図24〜図30Aは、ユーザデータについての資格認定フォーマットを用いた本発明の実施形態を示している。この資格認定フォーマットは、図9Aおよび図9Bを参照して上記で説明した通りである。該資格認定フォーマットの使用は、説明目的のためだけに提示されるものである。当業者は、他のフォーマットも使用し得ることを理解するであろう。
【0087】
次に、図24を参照すると、本発明の一実施形態に従った、本人確認のための複数の資格認定付与を示すブロック図が提示されている。図24は、サービス資格認定2404〜2420がセキュリティー保護された装置2402に保存される点を除き、図17と同様である。換言すれば、図24のサービス資格認定2404〜2420は、直接的または間接的に、図17のユーザデータ1704〜1720に基づいており、且つこれらを含んでいる。
【0088】
次に、図25を参照すると、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上においてサービス資格認定を使用することによる複数の団体の間での取引の実行を示すブロック図が提示されている。図25は、売主Webサイトからの製品の購入を示している。セキュリティー保護されたサービス資格認定記憶装置2502は、図24の参照番号2402に関して先に説明したように、本人確認のための複数組のサービス資格認定を保存する。セキュリティー保護されたサービス資格認定記憶装置2052は、デスクトップコンピュータ、スマートカード、PDAなどに存在すればよい。2526において、ユーザは、支払いエージェントのWebサイトで支払いエージェント1(2510)に登録する。当該ユーザの登録に特異的なサービス資格認定が、セキュリティー保護されたサービス資格認定記憶装置2502に保存される。支払いエージェント1(2510)は、ユーザ認証が要求されるかどうかを決定する。ユーザ認証が要求されるならば、支払いエージェント1(2510)はまた、要求されるユーザ認証のレベルを決定する。加えて、支払いエージェント1(2510)は、当該ユーザの登録に特異的なサービス資格認定に含まれるユーザデータが、暗号化されなければならないかどうかを決定する。
【0089】
本発明の実施形態に従って、ユーザデータは、その後のサービスプロバイダWebサイトへの訪問のために使用されるユーザ認証情報を含んでいる。換言すれば、サービス資格認定を使用して、同じサービスプロバイダWebサイトに訪問するときは常に、オーソリティー特異的な認証データまたは該データへの参照が、該サービスプロバイダWebサイトに提示される。特定のサービスプロバイダWebサイトのユーザ認証要件は、追加のユーザ認証が必要かどうかを決定するであろう。例えば、保存されたユーザ認証データは、インターネットに基づく電子メールサイトへの反復訪問には充分であり得るが、軍隊Webサイトにサインインするためには、保存されたユーザ認証データにかかわらず、訪問する毎に生物学的基準のような追加のユーザ認証手段を要求されるかもしれない。
【0090】
図25を更に参照すると、2528において、ユーザ2500は出荷エージェント2518に登録して、出荷宛先のような特定のデータを提供する。出荷エージェント2518に登録するときに2528において提供されたデータは、2528で支払いエージェント2510に登録するときに提供されたデータとは、全体的または部分的に異なるかもしれない。従って、出荷エージェントWebサイト2518は、サービス資格認定の何等かの必要なデータ認証および/または暗号化を行い、該サービス認定をセキュリティー保護されたサービス資格認定記憶装置2502に返送する。この時点で、セキュリティー保護されたサービス資格認定記憶装置2502は、オーソリティーとして機能する二つのWebサイト(2510,2518)に登録することにより作成された、サービス資格認定の組を含んでいる。2530では、売主AのWebサイト(2506)での買い物のようなサービスを得るために、このサービス資格認定の組が使用される。購入のための品目が選択されたら、売主A 2506は、セキュリティー保護されたサービス資格認定記憶装置から得たサービス資格認定を、支払い決済のための支払いエージェント1(2510)へと送信する。何等かの必要なデータが暗号化されていれば、支払いエージェント1(2500)は、サービス資格認定に含まれる如何なるデータをも解読する。支払いエージェント(2510)は、売主が提供した取引の詳細と共に該サービス資格認定に含まれるデータを使用して、当該購入が決済されるかどうかを決定する。2532において、支払いエージェント1(2510)は決済指示を売主A2506に送信する。次いで、売主A2506は、セキュリティー保護されたサービス資格認定記憶装置2502から得た注文情報および出荷情報を含んだ、履行メッセージを作成する。本発明の一実施形態に従えば、この履行メッセージは履行資格認定を含んでいる。2538において、売主A2506は、該履行メッセージを履行会社2514に送信し、履行会社2514は、この履行メッセージからの出荷情報を使用して当該注文を履行する。2540において、履行会社2514は購入された商品を出荷エージェント2518へと輸送する。2542において、出荷エージェントは該商品を、セキュリティー保護されたデータ記憶装置1(2502)からの出荷情報にある宛先へと商品を配送する。
【0091】
次に、図26を参照すると、本発明の一実施形態に従ってプライバシーを維持しながら、開放ネットワーク上において、サービス資格認定を使用して複数の団体間で取引を行うための方法を示すフロー図が提示されている。2600において、サービス資格認定が付与される。2605において、該資格認定を使用する時点であるかどうかに関する決定がなされる。それがサービス資格認定を使用する時点であれば、2610において、サービスを得るために該サービス資格認定が使用される。2615において、当該資格認定が未だ有効であるかどうかに関する決定がなされる。該サービス資格認定が未だ有効であれば、2620において、該サービス資格認定が更新されなければならないかどうかに関する決定がなされる。該サービス資格認定が更新されなければならないならば、それは2625において更新される。サービス資格認定が最早有効でなければ、それは2630において破棄される。
【0092】
次に、図27を参照すると、本発明の一実施形態に従った、入れ子式資格認定の使用を示すブロック図が提示されている。図27は、図25を参照して述べた例のための、図9Bの資格認定フォーマットの使用を示している。この例では、01-JAN-2002に、ユーザがWeb体験を開始する。ログイン資格認定2700が、当該Webへのユーザのアクセスを可能にする。ログイン資格認定2700は、二つの資格認定パラメータ2708を含んでいる。「タイプ」パラメータは、その資格認定が「ログオン」資格認定であり、また資格認定データがユーザプロファイルであることを示す。「QoS」パラメータは、(ユーザ名、パスワード)の組合せがユーザを認証するために使用されたことを示す。また、「有効期限」パラメータは、資格認定が01-JAN-2002に満了することを示す。この資格認定データ2710は、ビットマップ化された顧客プロファイルを含んでおり、シールされた資格認定データ2712は存在しない。ログオン資格認定2700はまた、入れ子式資格認定2714を含んでいる。参照番号2702は、入れ子式資格認定2714の拡大図である。
【0093】
入れ子式資格認定(2714,2702)は、支払い資格認定2716および出荷エージェント資格認定2718を含んでいる。支払い資格認定パラメータ2724は、該資格認定がクレジットカード支払い資格認定であることを示している。資格認定データ2726は、資格認定の保有者が許諾される購入クラスを含んでいる。購入クラスの例には、例えば特定の最大価格についてのホテル支払いまたは書籍支払いが含まれる。シールされた資格認定データ2728は、口座番号および実際の利用限度額のようなカード保有者の詳細が含まれる。
【0094】
出荷エージェント資格認定パラメータ2736は、当該資格認定が「出荷」資格認定であることを示す。資格認定データ2738は、顧客における最新の出荷エージェントの場所およびサービスの種類を含んでいる。シールされた資格認定データ2740は、出荷エージェントの口座番号および出荷宛先を含んでいる。
【0095】
次に、図28Aを参照すると、本発明の一実施形態に従ってプライバシーを維持しながら、開放ネットワーク上において、サービス資格認定を使用して複数の団体の間で取引を行うための方法を示すフロー図が提示されている。2800において、セキュリティー保護されたサービス資格認定記憶装置が受取られる。2805において、それがオーソリティーに登録する時であるかどうかに関する決定がなされる。それが登録する時であれば、2810において、登録要求で与えられた情報に基づいてサービス資格認定が付与される。2815では、資格認定暗号および資格認定オーソリティー対等グループIDが保存される。それらは、ユーザ制御されたパーソナル装置に保存される。ユーザ制御されたパーソナル装置の例には、例えば、スマートカード、携帯電話、個人用デジタルアシスタント(PDA)等が含まれる。或いは、それらはWebロッカーに保存されてもよく、該ロッカーへのデジタルキーはセキュリティー保護された装置に保存すればよい。2820において、それがサービス資格認定を使用する時点であるかどうかに関する決定がなされる。それがサービス資格認定を使用する時点であれば。2825において、サービスを得るためにサービス資格認定が使用される。2830においては、サービス資格認定が未だ有効であるかどうかに関する決定がなされる。サービス資格認定が未だ有効であれば、2835において、サービス資格認定が更新されなければならないかどうかに関する決定がなされる。サービス資格認定を更新しなければならないならば、それは2840において更新される。資格認定が未だ有効であるときは、2820において実行が継続される。資格認定が最早有効でなければ、それは2845において破棄される。
【0096】
次に、図28Bを参照すると、本発明の一実施形態に従ってサービスを得るために、ユーザ制御された装置上に保存されたサービス資格認定を使用するための方法を示すフロー図が提示されている。図28Bは、図28Aの参照番号2825についての更なる詳細を提供する。図20がユーザデータの使用を示しているのに対して、図28Bはサービス資格認定の使用を示していることを除き、図28Bは図20と同じである。
【0097】
次に、図29を参照すると、本発明の一実施形態に従って、サービスを提供するための方法を示すフロー図が提示されている。図29は、図28Bの参照番号2850についての更なる詳細を提供する。2900において、売主は、購入されるものに特異的な顧客サービス資格認定から抽出された、入れ子式の支払い資格認定を使用して支払い決済を行う。2905において、この売主は、注文情報および顧客サービス資格認定から抽出された出荷資格認定を含んだ履行メッセージを作成する。本発明の一実施形態に従えば、この履行メッセージは履行資格認定を含んでなるものである。2910において、売主は、該履行メッセージを履行会社へ送信する。2915において、該履行会社は、この履行メッセージから抽出された入れ子式の出荷資格認定を使用して、当該注文を履行する。2920において、該履行会社は、購入された商品を出荷エージェントへと輸送する。2925において、出荷エージェントは、当該商品を、資格認定のシールされた部分に暗号化された宛先へと配送する。
【0098】
上記例における資格認定の使用は、如何なる意味でも制限的であることを意図するものではない。当業者は、他のデータフォーマットを使用してもよいことを理解するであろう。
【0099】
当該注文を履行するために履行会社を使用しない本発明の一実施形態に従えば、履行メッセージ(図29の参照番号2905)が作成された後、該履行メッセージはセキュリティー保護されたサービス資格認定記憶装置に保存される。本発明の一実施形態に従えば、当該履行メッセージは、PDA、携帯電話またはスマートカードのような携帯装置に保存される。本発明のもう一つの実施形態に従えば、履行資格認定を含むWebロッカーへのデジタルキーが該装置に保存される。次いで、ユーザはセキュリティー保護されたサービス資格認定記憶装置を売主の店に持って行き、自分でサービス資格認定を売主に提示する。売主はこの資格認定を処理し、何等かの必要とされるユーザ認証を行う。ユーザが適正に認証されたら、売主は購入された品目をこの顧客に与える。
【0100】
次に、図30Aを参照すると、本発明の一実施形態に従って、サービス資格認定から抽出された入れ子式の支払い資格認定を使用して、支払いを決済するための方法を示すフロー図が提示されている。図30Aは、図29の参照番号2900についての更なる詳細を提供する。3000において、売主は、請求額のような要求された取引の詳細を含む、サービス資格認定からの入れ子式支払い資格認定を使用して、支払い-清算エージェントに対して支払い要求を送信する。3005において、支払い-清算エージェントは、入れ子式資格認定のシールされた部分を暗号化する。3010において、支払い-清算エージェントは回答を送信する。例えば、清算エージェントは、取引識別子および請求額を含む回答を送信すればよい。該応答の内容に応じて、該応答の全部または一部が、暗号法的に暗号化されたメッセージからなるものであってもよい。
【0101】
図30B〜図33は、セキュリティー保護されたユーザデータ補完のためにスマートカードを使用した、本発明の実施形態を示している。
【0102】
資源制約を受けた装置は、典型的なデスクトップコンピュータ等に比較して、一般に、メモリーおよび/または計算処理能力または速度において比較的限定されたものとみなされる。以下で述べる特定の実施はスマートカードを参照して説明するが、本発明は他の資源制約を受ける装置と共に使用することができ、これには携帯電話、境界スキャン装置、フィールドプログラマブル装置、パーソナルデジタルアシスタント(PDA)およびポケットベル、並びに他の小型または小フットプリントの装置が含まれるが、これらに限定されない。本発明はまた、資源制約のない装置上でも使用できる。
【0103】
この開示の目的において、「プロセッサ」の用語は、物理的コンピュータまたはバーチャルマシンを意味するために使用され得る。
【0104】
次に、図30Bを参照すると、本発明の一実施形態に従った、本人確認のための複数組のユーザデータの付与を示すブロック図が提示されている。図31Aは、セキュリティー保護されたデータ記憶装置(図17の参照番号1702)としてスマートカード3050が使用されている点を除き、図17と同じである。
【0105】
次に、図31を参照すると、本発明の一実施形態に従ってプライバシーを維持しながら、開放ネットワーク上でスマートカードを使用した、複数の団体間での取引の実施を示すブロック図が提示されている。図31は、セキュリティー保護されたユーザデータ記憶装置(図18の参照番号1802および1804)としてスマートカード(3102,1304)が使用されることを除き、図18と同じである。
【0106】
次に、図32を参照すると、スマートカードのような資源制約を受ける装置のための、セキュリティー保護されたユーザアクセス制御機能を提供するために使用できるアプレットの開発を示すブロック図が提示されている。スマートカード3240のような資源制約された装置のためのアプレットの開発は、JavaTMプログラムの開発と同様にして開始される。即ち、開発者は、一以上のJavaTMクラスを書き、JavaTMコンパイラを用いてソースコードをコンパイルして、一以上のクラスファイル3210を作成する。該アプレットは、カード3240上の環境をエミュレートするためのシミュレーションツールを使用して、例えばワークステーション上で実行、試験、およびデバッグすることができる。該アプレットをカード3240へダウンロードする準備ができたときに、クラスファイル3210は、コンバータ3214によって変換されたアプレット(CAP)ファイル3216に変換される。該コンバータ3214は、デスクトップコンピュータによって実行されるJavaTMアプリケーションであることができる。コンバータ3214は、その入力として、変換すべきクラスファイル3210に加え、一以上のエクスポートファイルを許容することができる。エクスポートファイル3212は、変換されるクラスによってインポートされる他のパッケージの内容のための名称またはリンク情報を含んでいる。
【0107】
一般に、CAPファイル3216は、単一のJavaTMパッケージにおいて定義された全てのクラスおよびインターフェースを含んでおり、8ビットバイトのストリームによって表される。全ての16ビット量および32ビット量は、それぞれ、二つまたは四つの連続する8ビットバイトで読取ることによって構築される。とりわけ、CAPファイル3216は一定のプールコンポーネント(または「一定プール」)3218を含んでおり、これは方法コンポーネント3220とは別にパッケージされる。一定プール3218は、方法およびフィールド参照を含む種々のタイプの定数を含むことができ、これらはプログラムがスマートカード3240にリンクされるとき、または該カードにダウンロードされるとき、または該スマートカードによる実行のときに分離される。方法コンポーネント3220は、スマートカード3240にダウンロードされ且つその後に該スマートカードによって実行されるべき、アプリケーション命令を特定する。
【0108】
変換の後、CAPファイル3216は、ハードディスク、フレキシブルディスク、光記憶媒体、フラッシュ装置または他の幾つかの適切な媒体のような、コンピュータ読み取り可能な媒体3217に保存することができる。或いは、このコンピュータ読取り可能な媒体は、キャリア波の形態、例えば、ネットワークデータ送信または無線周波数(RF)データリンクであることができる。
【0109】
次いで、このCAPファイル3216は、周辺カード読取り器3224を備えたデスクトップコンピュータのような端末3222にコピーまたは転送される。カード読取り器3224は、スマートカード3240に情報を書き込み、または該カードから検索することを可能にする。カード読取り器3224は、スマートカード3240を挿入できるカードポート(図示せず)を含んでいる。挿入されると、コネクタからの接点がスマートカード3240の表面接続領域に圧接して、スマートカードに電力を与え、また該カードとの通信を可能にするが、他の実施形態ででは無接触通信を使用することができる。端末3222はまた、カード3240への送信のためのCAPファイル3216をロードするインストールツール3226を含んでいる。
【0110】
スマートカード3240は、一組の接点を含むことができる入力/出力(I/O)ポート3242を有しており、これを通してプログラム、データおよび他の通信が提供される。カード3240はまた、CAPファイル3216の内容を受信し、カード3240上で実行するためのアプレットを調製するためのインストールツール3246を含んでいる。このインストールツール3246は、例えばJavaTMプログラムとして構築することができ、またカード3240上で実行することができる。カード3240はまた、RAM 3250のような揮発性メモリーを含むメモリーを有している。また、カード3240は、ROM 3252、およびEEPROM 3254のような不揮発性メモリーを有している。コントローラ3244によって調製されたアプレットは、EEPROM 3254に保存することができる。
【0111】
一つの特定の実施において、該アプレットは、マイクロプロセッサ3248上で動作するバーチャルマシン3249によって実行される。バーチャルマシン3249(JavaTMカードバーチャルマシンと称することができる)は、CAPファイル3216をロードまたは操作する必要はない。むしろ、JavaカードTMバーチャルマシン3249は、CAPファイル3216として先に保存されたアプレットコードを実行する。JavaカードTMバーチャルマシン3249とインストールツール3246の間の機能的分割は、該バーチャルマシンおよびインストールツールの両方を比較的小さく維持することを可能にする。
【0112】
一般に、器具、およびスマートカード3240のような資源制約されたプラットホームのために書かれたアプレットは、JavaTMプラットホームパッケージのための標準規則に従う。JavaTMバーチャルマシンおよびJavaTMプログラム言語は、T, Lindholm et al., The JavaTM Virtual Machine Specification (1997);および K. Arnold et al., The JavaTM Programming Language Second Edition (1998)に記載されている。スマートカードプラットホームのためのアプリケーションプログラミングインターフェース(API)クラスは、パッケージ指定を含むJavaTMソースファイルとして書くことができ、ここでのパッケージは多くの複合ユニットを含み且つユニークな名称を有している。パッケージ機構は、クラス、フィールドおよび方法を同定し、これらへのアクセスを制御するために使用される。このJavaカードTMAPIは、JavaTMカードを有効にした一つのプラットホームのために書かれたアプリケーションを、JavaカードTMが有効な他の何れかのプラットホーム上で動作させることを可能にする。加えて、JavaカードTMAPIは、ISO 7816のような正式の国際標準およびEuropay/MasterCard/Visa (EMV)のような産業特異的な標準との互換性がある。
【0113】
マイクロプロセッサ3248上で動作するバーチャルマシン3249は、スマートカード3240上でバイトコード(bytecodes)を実行するための一つの実現として記載されているが、別の実現においては、代りにアプリケーション特異的集積回路(ASIC)、またはハードウエアおよびファームウエアの組合せを使用することもできる。
【0114】
図32を参照すると、コントローラ3244は、CAPファイル3216の内容を受信して、プロセッサ3248により実行されるアプレットを調製するために、インストールツール3246を使用する。該インストールツール3246は、例えば、スマートカード3240上で実行されるように適切に変換されたJavaTMプログラムとして実現することができる。下記の説明においては、コントローラ3244はマイクロプロセッサ3248上で動作するバーチャルマシンプログラム3249を含んでなることが仮定される。バーチャルマシン3249は、CAPファイル3216をロードまたは操作する必要がない。むしろ、バーチャルマシン3249は、CAPファイル3216におけるアプレットコードを実行する。該バーチャルマシン3249とインストールツール3246との間での機能分割は、バーチャルマシンおよびインストールツールの両方を比較的小さく維持することを可能にする。別の実現においては、コントローラ3244をアプリケーション特異的集積回路(ASIC)として配線で接続することができ、或いは、それをハードウエアおよびファームウエアの組合せとして実現することもできる。
【0115】
図33Aに示すように、コンピュータ3322には、図32のカード3240を収容するためのカード読取り器3324が装備される。該コンピュータ3322は、サーバ3347のような他の複数のコンピュータ処理装置と通信するデータ通信ネットワーク3345に接続されてもよい。カードを装備した装置を使用することにより、データ通信ネットワーク3345上で、データおよびソフトウエアをスマートカードにロードすることが可能である。この種のダウンロードには、スマートカードにロードされるべきアプレットまたは他のプログラム、並びに種々の電子商取引および他のアプリケーションに従って使用されるプロファイルデータ、デジタルキャッシュおよび他の情報を含めることができる。カード読取り器およびスマートカードの処理素子を制御するために使用される命令およびデータは、揮発性または不揮発性メモリーに保存しても良く、或いは、例えば該命令および/またはデータを含むキャリア波として、通信リンク上で直接受信してもよい。更に、例えば、ネットワーク3345はLAN、またはインターネットのようなWAN、または他のネットワークであることができる。
【0116】
本発明の実施形態に従えば、複数のユーザデータフォーマットを使用して、ユーザデータを同じセキュリティー保護されたユーザデータ記憶装置に保存してもよい。図33Bに示したように、セキュリティー保護されたユーザデータ記憶装置TBDは、次の五つのユーザデータフォーマットを使用する:サービス資格認定(3340,3344,3356,3358)、クッキー(3342,3350)、データフォーマット(3346)、テキストファイル(3348,3354)およびデータフォーマットB(3352)。当業者は、他のフォーマットが可能であることを理解するであろう。
【0117】
図33Bは、本発明の一実施形態に従った、本人確認のための、種々のタイプのユーザデータの割付けを示すブロック図である。
<プライバシー保護ログオン機構>
【0118】
図34〜図41は、ワールドワイドウエッブ上でユーザの個人情報を保護するために、ランダム化されたIDを使用する本発明の実施形態を示している。
【0119】
図34を参照すると、本発明の一実施形態に従った識別子を示すブロック図が提示されている。識別子3400は、本人確認サーバID 3450およびランダム化されたID 3410を含んでいる。本人確認サーバID 3450は、ランダム化されたID 3410に関連した追加の情報を含む一つの本人確認サーバを含んだ、一以上の連合された本人確認サーバの集合を識別する。本発明の実施形態に従えば、本人確認ランダム化ID 3414は、IDに関連し且つ本人確認連合サーバの一つの保存されたデータに対してコンピュータ処理される。本発明の一実施形態に従えば、該コンピュータ処理は、暗号アルゴリズムを使用することを含み、この場合、ID 3410は、図9Aの参照番号915および図9Bの参照番号945に関連して先に説明した、保存データの暗号を含んでいる。
【0120】
次に、図35を参照すると、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るためにランダム化ユーザ識別子を使用した、本人確認連合サーバおよびユーザ認証連合サーバの使用を示すブロック図が提示されている。図35は、ユーザ3530が、クライアントホスト3500に接続されたパーソナル装置(3540、3545、3550)を使用して、一以上のサービスプロバイダサーバ3515へのアクセスを得るための二つの機構を図示している。両機構は、図34のランダム化されたIDを使用してユーザの本人確認を行い、ユーザのプライバシーを保護する。第一の機構は、クライアントホスト3500との通信において、入口3505を用いる。該入口は、スマートカード3540、PDA3545または携帯電話3550を介してサービスプロバイダ3550への接続を可能にするために、本人確認機能およびユーザ認証機能を実行する。第二の機構は、パーソナル装置(3540、3545、3550)から直接、またはパーソナル装置(3540、3545、3550)からクライアントホスト3500を介して、サービスへのアクセスを可能にする。
【0121】
クライアントホスト3500は、ユーザ入力を受信でき、またユーザに情報を提示することができる端末またはキオスクを備えている。クライアントホスト3500は、Webに対するインターフェースを提供する。クライアントホスト3500は、スマートカードを許容するカード読取り器を備えるように構成すればよい。
【0122】
サービス入口3505は、Web体験を開始するために作成されたWebページのようなユーザインターフェースを含んでいる。該サービス入口3505は、ユーザがログオン資格認定を得る場所である。該ログオン資格認定は、実行されたユーザ認証の時刻印およびQoSの表示を含んでいてもよい。サービスプロバイダは、追加のユーザ認証を要求してもよい。
【0123】
サービスプロバイダサーバ3515は、Web上でアクセス可能な全てのWebサーバを表しており、これらはサービス入口3505を通して参照される。サービスプロバイダサーバ3505は、Web上でアクセス可能な全てのサービスを含んでおり、これらはそれ自身の入口を持たず、ユーザがログオンされることを要求する。この開示の目的において、「ログオン」されるとは、特定のサーバが、サービスを与えることに関連して、ユーザプロファイル等のユーザ特異的な情報を処理するための要件を意味する。例えば、サービスプロバイダサーバ3515は、資格認定オーソリティー、出荷エージェント、支払いエージェント、注文履行会社等を含むことができる。従って、サービスプロバイダサーバ3515は、サービス入口3505を介してユーザによりアクセスされてよい。また、一以上のサービスプロバイダサーバ3515は、直接または入れ子式資格認定を介してサービスプロバイダサーバを参照する資格認定を使用して、直接アクセスされてもよい。
【0124】
本人確認連合サーバ3520は、当該データに関連した品質陳述に従って、登録されるデータの信頼性、正確性および完全性を主張する。QoSは、実行される確認のレベルを表示するポリシー陳述への参照であってもよい。
【0125】
ユーザ認証連合サーバ3525は、GnutellaにおけるピアートゥピアーサーチプロトコルおよびJXTATMのような、対等グループ様式でユーザ認証を行う。
【0126】
PDA3454および携帯電話3550は、Bluetooth、IEEE 802.15、並びにFast Infrared(FIR)およびSerial Infraredを含む赤外データ協会(IrDA)データ標準を含むプロトコルを使用して、クライアントホスト3500と通信してもよい。当業者は、他のプロトコルを同様に使用し得ることを理解するであろう。
【0127】
PDA3545および携帯電話3550装置は、外部スマートカードを収容するカード読取り器を装備していてもよい。外部カード読取り器およびクライアントホスト3500へのリンクを装備していれば、PDA3545または携帯電話3550は、カード読取り器3535として使用してもよい。或いは、PDA3545および携帯電話3550は、外部カードなしで使用してもよい。更に、携帯電話3550は、サービスプロバイダサーバ3515と直接通信してもよい。
【0128】
本発明の一実施形態に従えば、クライアントホスト3500は好ましいサービス入口のリストを保有している。他のサービス入口を介して接続する前に、この好ましいリストにあるサービス入口を介しての接続が試みられる。
<サービスプロバイダサーバーへの直接アクセス>
【0129】
先に述べたように、サービスプロバイダサーバはユーザがログオンされることを要求する。本発明の一実施形態に従えば、入口は、それがユーザ認証を行い且つ認証ログオンメッセージを作成することにおいて、オーソリティーまたは単一のサインオンサービスサーバとして働く。本発明の一実施形態に従えば、該ログオンメッセージは、図9Aおよび図9Bを参照して説明した資格認定を含むものである。次いで、このログオン資格認定は、その後の単回サインオントークンとして使用するために、ユーザに返送される。ユーザは、この単回サインオントークンを、スマートカード、携帯電話またはPDAのようなパーソナル装置に保存してもよい。ログオン資格認定または単回サインオントークンは、ユーザがサービスプロバイダサーバに直接アクセスすることを可能にする。サーバへのアクセスのために必要とされるとき、ユーザはPDA、スマートカードまたは携帯電話のアクセスコントロールを活性化し、単回サインオントークンをサービスプロバイダサーバに送信する。サービスプロバイダサーバは、要求されたサービスの種類に応じて追加のユーザ認証を要求してもよい。
【0130】
次に、図36を参照すると、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るために、ランダム化ユーザ識別子を用いて、本人確認連合サーバおよびユーザ認証連合サーバを使用する方法を示すフロー図が提示されている。3605において、資格認定を使用する時点であるかどうかの決定がなされる。それが資格認定を使用する時点であれば、3610において、ランダム化されたIDがサービス入口に提示される。3615において、サービス入口は、ランダム化された識別子を含んだ個人情報連合サーバへとユーザ認証要求を送信する。3620において、本人確認サーバ対等グループの全てのサーバが、該ランダム化された識別子に適合するものをサーチする。3625において、適合するものが見つかったかどうかに関する決定がなされる。適合したものが存在しなければ、3630において指示がなされる。適合したものが存在すれば、3635において、適合するエントリーが個人情報連合サーバからユーザ認証連合サーバに提示され、単一の有効なユーザデータエントリーが決定される。要求されるユーザ認証の量および各ユーザ認証サーバの能力に応じて、要求されたユーザ認証を提供する際に複数のユーザ認証サーバが協働してもよい。
【0131】
本発明の一実施形態に従えば、連合した個人情報対等グループはサブグループから構成され、各サブグループには優先値が割当てられる。ランダム化されたIDは、該サブグループの優先度に従ってサーチされる。最も高い優先度を有するサブグループが最初に、ランダム化されたIDをサーチする。ランダム化されたIDが見つからなければ、次に高い優先値を有するサブグループがサーチを実行する。
【0132】
次に、図37を参照すると、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るために、ランダム化されたユーザ識別子を使用して本人確認連合サーバおよびユーザ認証連合サーバを使用する方法を示すフロー図が提示されている。3700において、ユーザはサービスについて登録する。3705では、この登録に応答して、ランダム化されたIDが受領される。本発明の一実施形態に従えば、印刷されたランダム化IDが受領される。本発明のもう一つの実施形態に従えば、このランダム化されたIDを表示するバーコードが受領される。3710において、該ランダム化されたIDが保存される。3715において、該IDを使用する時点であるかどうかに関する決定がなされる。それがIDを使用する時点であれば、3720において、サービスを得るために該ランダム化されたIDが使用される。
【0133】
ランダム化ID作成者とランダム化IDユーザとの間のポリシーが、ランダム化IDが有効であるかどうかを決定する。本発明の一実施形態によれば、ランダム化されたIDは予め定められた時間だけ有効である。本発明のもう一つの実施形態によれば、ランダム化IDは予め定められた使用回数だけ有効である。即ち、該IDは、それが無効になる前に、予め定められた回数だけ使用することができる。当業者は、他のID有効性メカニズムが可能であることを理解するであろう。
【0134】
図37を再度参照すると、3725において、当該IDが未だ有効であるかどうかに関する決定がなされる。該IDが未だ有効であれば、3715においてIDの使用が開始される。IDがバーコード形態であれば、それは該バーコードを操作することにより使用される。携帯電話、PDAまたはスマートカードのようなパーソナル装置にIDが保存されるならば、該番号はこのパーソナル装置からサービスプロバイダWebサーバに通信される。当該IDが最早有効でなければ、3720において新たなIDが受領され、サービスを得るために3710においてその使用が開始される。
【0135】
次に、図38を参照すると、本発明の一実施形態に従った本人確認サーバへの登録を示すブロック図が提示されている。3850において、ユーザ3825は、クライアントホスト3800を直接使用して、またはスマートカード3835、PDA3840または携帯電話3845のようなパーソナル装置を介してクライアントホスト3800を使用することにより、本人確認資格認定要求を本人確認連合サーバ3815に通信する。ユーザは、このユーザ本人確認資格認定要求3850の中に、保存すべきデータを含める。該要求はまた、好ましいユーザ認証機構およびサービス品質(QoS)インジケータを含んでいてもよい。本人確認連合サーバ3815は、QoSインジケータに従って、保存すべきデータの信頼性、正確さおよび完全さをい確認する。この確認には、上記で述べたデータ認証が含まれてもよい。また、この認証にはユーザ認証が含まれてもよい。
【0136】
本人確認連合サーバ3815が当該データを確認したら、該本人確認連合サーバ3815は、ユーザ認証連合サーバのうちの一つにこのユーザを登録する。これは、将来のログオン要求において、当該ユーザを認証するための一以上の特定のユーザ認証手続の実行を要求される可能性がある。3855において、本人確認サーバ3815は、クライアントホスト3800を介して、ユーザ本人確認資格認定をユーザ3825に返送する。
【0137】
ユーザ3825がサービス入口3805を使用してWeb上でサービスを得る前に、ユーザ3825は認証されなければならない。これは、ユーザ本人確認資格認定およびその中の認証されたデータを使用することによって達成される。これにより、サービス資格認定を生じることができる。ユーザ3825は、サーバグループIDおよびユーザ本人確認資格認定を含んだサービス要求を発する。サービス入口3805は、当該ユーザを認証するために、この本人確認資格認定を、サーバグループIDによって指示された本人確認連合サーバグループに回送する。本人確認連合サーバ3815は、幾つかまたは全てのユーザ認証の仕事を、ユーザ認証連合サーバ3820に委託してもよい。
【0138】
本発明の一実施形態に従えば、ユーザ認証には、ユーザ認証連合サーバ3820からユーザのパーソナル装置(3835、3840、3845)へと直接チャレンジを発することが含まれる。本発明の一実施形態に従えば、ユーザ認証には、ユーザ認証連合サーバ3820からクライアントホスト3800を介して、ユーザのパーソナル装置(3835、3840、3845)へチャレンジを発することが含まれる。
【0139】
本発明の一実施形態に従えば、チャレンジに対する応答は、チャレンジを発したユーザ認証連合サーバ3820へと直接に通信される。本発明のもう一つの実施形態に従えば、チャレンジに対する応答は、クライアントホスト3800を介して、チャレンジを発したユーザ認証連合サーバ3820に返送される。本発明の一実施形態に従えば、チャレンジに対する応答は携帯電話、スマートカード、PDAによって暗号処理される。
【0140】
ユーザが認証されたら、サービス入口3805は、クライアントホスト3800を介して、ログオン資格認定をクライアント3825に返送する。ユーザは、該ログオン資格認定を使用し、サービス入口3805を介してアクセス可能なサービスプロバイダからサービスを得ることができる。
【0141】
次に、図39を参照すると、本発明の一実施形態に従った可能な資格認定タイプを示すブロック図が提示されている。参照番号3900は、ユーザ本人確認資格認定の作成を表している。ユーザ本人確認資格認定は、ランダム化されたIDおよび本人確認オーソリティーのIDを含んでなるものである。
【0142】
ユーザ本人確認資格認定は、ユーザが、ユーザ本人確認連合サーバによって提供される単回サインオンサービスについて登録されていることを示す。ユーザ本人確認資格認定は、図38を参照して上記で説明された。
【0143】
ユーザ本人確認資格認定が得られたら、次いで、ユーザはログオンプロセスを実行してログオン資格認定を作成する。ログオン資格認定3905は、「セッションIDクッキー」として、クライアントホストに保存すればよい。ログオン資格認定3905は、該ログオン資格認定が何時失効するかの表示、およびクライアントホストIPアドレスまたは他のユニークな識別子を含んでおり、従って、特定のクライアントホストを、ログオン資格証明および該資格認定により表されるユーザに固定する。こうして、ログオン資格認定3905は時間および場所において制限される。ログオン資格認定の作成は、図38を参照して説明された。
【0144】
ログオン資格認定は、ユーザが、特定の場所の特定のクライアントホストを通してログされたことを示す。これは、正しい装置に配信されなければならない情報または他のコンテンツについてのセキュリティー保護された財産の配送または支払いを可能にする。ログオン資格認定は、ユーザがクライアントホストで作業しているときにのみ有効なので、クライアントホストに保存すればよい。
【0145】
ログオン資格認定3905を得るプロセスにおいて、新しい動的ユーザ本人確認資格認定を得てもよい。それは、再登録プロセスにおいて、追加のユーザデータおよび資格認定3910を用いて更新される。或いは、該ログオン資格認定3905は、サービス資格認定を作成するために使用してもよい。
【0146】
サービス資格認定は、サービスにアクセスするときにログオン資格認定を適用することにより得ることができる、特定のサーバとのセッションのための一回使用トークンであるのに対して、ログオン資格認定は、複数のサービスプロバイダについて複数の同時セッションのために使用することができる。サービスプロバイダは、それ自身の使用のためのサービス資格認定を作成する。サービス資格認定は、即時の使用または履行のために、または延期された使用もしくは履行のために、更なる特定のサービスを得るように適用してもよい。サービス資格認定が直ちにサービスを使用するために適用されれば、該要求された使用を満たすように履行資格認定3925が動的に作成され得る。参照番号3939は、それ以降は当該履行資格認定が最早使用できずに廃棄されるような、履行資格認定の消費または使用を表している。
【0147】
サービス資格認定が、後で使用するためのサービスに適用されるのであれば、権利キー資格認定を作成されればよい。この全体の権利キー資格認定は、セキュリティー保護されたクライアントホストまたはパーソナル装置に保存すればよい。或いは、この権利キー資格認定をロッカー39502保存し、ロッカーアクセス資格認定を作成し3955、次いでセキュリティー保護されたホストまたは個人用アクセス装置に保存してもよい。換言すれば、第一の方法は全体の権利キー資格認定をセキュリティー保護装置に保存するのに対して、第二の方法は全体の権利キーをWebの何処かの資源サーバに保存またはロックし、該権利キーに対するキーをセキュリティー保護された装置に保存する。ロッカーアクセス資格認定は特別な権利キー資格認定であり、ここでの権利キーによって保護された資源は、他の資格認定である。
【0148】
ロッカー機構の使用の一例は次の通りである:ユーザは、売主Webサイトで買物をし、1年間に亘って音楽トラックのセレクションを聞く権利を購入する。ユーザが購入した権利を保存するために一組の権利キー資格認定が使用され、また該権利キーは、後で当該資源に直接アクセスするために使用される。
【0149】
本発明のもう一つの実施形態に従えば、ログオン資格、サービス資格認定および履行資格認定の何れかははクッキーである。
【0150】
図39を参照して説明したプロセスは、如何なる意味でも限定的であることを意図しない。当業者は、他の目的のために、他の資格認定を作成してもよいことを理解するであろう。更に、図39に示した以外のシーケンスを使用して、資格認定を作成してもよい。
【0151】
次に、図40を参照すると、本発明の一実施形態に従って、プライバシーを維持しつつ分布した資源にアクセスするための、ランダム化された識別子の使用を示すブロック図が提示されている。図40に示すように、ユーザデータは複数の場所の間に分布する。ユーザが所有する資源へのアクセスは、一以上の資格認定によって保護される。資格認定にはランダム化されたIDが含まれ、レシピエントに関する何事も明らかにしない。このサーチおよび適合操作は、該データにアクセスするエンティティーの個人情報を完全に隠蔽し、従って、該資源を開きまたは該資源にアクセスすることによるユーザの個人情報の漏出を防止する。更に、幾つかの対等グループに亘ってデータを分布させることにより、何れの単一のエンティティーも、実際にはこれらグループの夫々が保存するユーザ情報を使用できないから、プライバシーが確保される。
【0152】
本発明の実施形態に従えば、ユーザ認証連合サーバは、本人確認連合サーバからの適合エントリーに対してユーザ認証を行う。このユーザ認証連合サーバは、要求されるQoSを支持するために十分なレベルのユーザ認証を行う。ユーザ認証は、第一のQoSを支持する資格認定を受け取り、追加のユーザ認証を行い、次いでより高いレベルのQoSを裏付ける資格認定を返送してもよい。
【0153】
次に、図41を参照すると、本発明の一実施形態に従って単一の有効なユーザデータエントリーを決定するために、適合するエントリーを本人確認連合サーバからユーザ認証連合サーバに提示するための方法を示すフロー図が与えられている。図41は、図36の参照番号3635のための更なる詳細を提供している。4100では、各ユーザ認証サーバについて、本人確認サーバによって見つかったユーザのためのユーザ記録が検索される。4105において、ユーザ認証のために要求されたQoSが現在のユーザ認証サーバに適合するかどうかに関する決定がなされる。現在のユーザ認証サーバが必要なQoSに適合できなければ、4110において、追加のユーザ認証を行うために、一以上の他の協働するユーザ認証サーバについての要求がなされる。現在のユーザ認証サーバが必要なQoSに適合すれば、4115において、クライアントはチャレンジ-応答プロトコルまたは他のプロトコルに使用に従事して、必要なQoSを得る。この関係において、「QoS」は、当該ユーザが実際に端末に存在し、また例えば購入取引のようなサービス要求を進めようとしていることを確立するために、協働するユーザ認証サーバによって如何に多くの努力がなされたかの指標である。4120において、ユーザ認証資格認定が返送される。
【0154】
本発明の一実施形態に従えば、ユーザ認証は、ユーザの携帯電話番号を決定し、携帯電話を介して、ユーザに対してユーザ認証チャレンジを発することを含んでいる。
【0155】
本発明のもう一つの実施形態に従えば、ユーザ認証は、網膜スキャンまたは指紋のような生物学的基準の使用を含んでいる。
【0156】
本発明のもう一つの実施形態に従えば、ユーザ認証は、スマートカードに対して、ユーザがカードのPIN数を入力したことを確認するための暗号化プロトコルに従事するように求めることを含んでいる。
【0157】
本発明のもう一つの実施形態に従えば、ユーザ認証は、スマートカードに対して、該カードに保存された生物学的基準を使用してユーザを認証するためのプロトコルに従事するように求めることを含んでいる。
【0158】
本発明のもう一つの実施形態に従えば、該カードのPIN数を入力するために、暗号化されたPINパッドが使用される。
【0159】
本発明のもう一つの実施形態に従えば、ユーザ認証は、パスワード/PINおよび生物学的基準の組合せを含んでいる。
【0160】
本発明のもう一つの実施形態に従えば、ユーザ認証連合サーバは、単回タイプのユーザ認証を行うように特化された少なくとも一つのユーザ認証サーバを含んでいる。異なる機能を行う別のユーザ認証サーバを有することは、個人に関するデータが複数のサーバ間に分散されるので、プライバシーを高める。
【0161】
図42A〜図46Cは、データにアクセスするために一以上の資格認定を用いる本発明の実施形態を図示している。
【0162】
図42Aを参照すると、本発明の一実施形態に従って資源サーバに保存されたデータを示すブロック図が提示されている。
図42Aに示すように、資源サーバは、資源4200および関連の権利キー資格認定識別子を含んでいる。資源は、例えば、Webページまたはオーディオトラックへのアクセスであってよい。各権利キー資格認定は、関連資源へのアクセスを可能にする一以上の暗号キーを含んでいる。従って、識別子4205は、資源へのアクセスを与える資格認定の識別子である。
【0163】
ユーザが資源を使用したいとき、ユーザは、権利キー資格認定および資源のための要求を資源サーバに提示する。資源サーバは、権利キー資格認定に適合する資源を見付ける。該資格認定における権利キーは、資源を開き、または該資源へのアクセスを得るために使用される。
【0164】
本発明の一実施形態に従えば、全体の権利キー資格認定が、セキュリティー保護された装置に保存される本発明のもう一つの実施形態に従えば、資格認定IDはセキュリティー保護された装置に保存され、権利キーの残部は別途保存される。
【0165】
この実施形態の一つの使用例は、所有者ではないが、該資源にアクセスするための所有者の許可を有する第三者(例えば、ユーザデータにアクセスする商人)が資源を要求する場合である。この場合、資源の所有者が登録していれば、該資源所有者はこの第三者に対して、該所有者の資格認定にアクセスしてそれを第三者の資格認定機構にコピーする権限を与えることにより、資格認定により保護された資源への間接的なアクセスを該第三者に提供することが可能である。第二の権利キーIDは、所有者ユーザが保有する権利キー資格認定を参照する資源に関連していてもよい。
【0166】
次に、図42Bを参照すると、本発明の一実施形態に従って資源サーバに保存されたデータを示すブロック図が提示されている。図42Bは、資源内容をユーザに配信するときに暗号保護を与える使用のために利用可能な、暗号保護機構4220への一以上の参照を含んでいる点を除き、図42Aと同じである。
【0167】
次に、図43Aを参照すると、本発明の一実施形態に従う、一組の権利キーを含む資源要求に応答した資源サーバからの資源の入手を示すブロック図が提示されている。
【0168】
次に、図43Bを参照すると、本発明の一実施形態に従う、一組の権利キーおよび配信保護機構への参照ならびに任意に標的装置を含む資源要求に応答した、資源サーバからの資源の入手を示すブロック図が提示されている。この実施形態に従えば、参照された暗号機構の保護の下で、クライアントホストまたは任意に提供された標的装置へと資源が配信される。
【0169】
次に、図43Cを参照すると、本発明の一実施形態に従った権利キー資格認定を示すブロック図が提示されている。資格認定データフィールド4346およびシールされた資格認定データフィールド4370は、暗号キーデータを含んでいる。公開キーは資格認定データフィールド4365に保存されてもよいが、秘密キーはシールされた資格認定データフィールド3740に保存される。入れ子式資格認定4375は、資源配信機構に関連した資格認定を参照してもよい。例えば、ユーザにMP3ファイルをプレーする権利を与える資格認定をもったユーザは、クライアントホストへの赤外接続を介して、MP3のようなクライアント装置との接続が直接なされるべきことを指示してもよい。これは、遠くに保存された資源の使用に対するユーザ制御を増大する。
【0170】
次に、図44を参照すると、本発明の一実施形態に従って、多重キーを要求する資源へのアクセスを得るための方法を示すフロー図が提示されている。4400において、資源サーバは、権利キー資格認定を含む資源要求を送信される。4405において、資源サーバは、当該キーを資源に関連した一組の識別子の中の識別子と照合する。4410において、新たなIDを作成しなければならないかどうかに関する決定がなされる。新たなIDを作成しなければならなければ、それは4415において作成される。この場合であれば、IDがユーザに返送される。4420において、4450で見つかった資源が返送される。
【0171】
次に、図45を参照すると、本発明の一実施形態に従って、多重キーを要求する資源へのアクセスを得るための方法を示すフロー図が提示されている。例えば、資源の所有者および該資源を要求するエンティティーが異なるエンティティーであるときに、多重キーが使用される可能性がある。4500において、資源サーバは、第一の権利キー資格認定および第二の権利キー資格認定を含む資源要求を送信される。4505において、資源サーバは両方のキーを、資源に関連した一組の識別子の中の識別子と照合する。4510において、新たなIDを作成しなければならないかどうかに関する決定がなされる。一方または両方のIDを作成しなければならないかもしれず、また何れのIDも作成する必要がないかもしれない。新たなIDを作成しなければならなければ、それは4515において作成される。4520においては、4505で見つかった資源が返送される。
【0172】
図46Aは、本発明の一実施形態に従って、資源サーバ対等グループにおけるサーバに保存された特定種類の資源にアクセスするための権利キー資格認定を含んだ、ユニバーサルリソースロケータ(URL)を示すブロック図が提示されている。図46Aに示すように、URL4600は、資源サーバ対等グループ4620、特定タイプの資源のための資源ディレクトリー4625、および該資源のための権利キー4630を含んでいる。
【0173】
図46Bは、本発明の一実施形態に従った、権利キー資格認定データを含むハイパーテキスト転送プロトコル(HTTP)を示すブロック図である。
【0174】
図46Cは、本発明の一実施形態に従った、権利管理アプレットを含むスマートカードを示すブロック図である。
【0175】
図46D、図47および図48は、ユーザがプライバシーに敏感な方法でサービスを得るために概略ユーザデータを使用した本発明の実施形態を示している。
【0176】
本発明の目的において、「集合」の用語は、特定のユーザデータを特異性の低いより概略的なユーザデータに変換することを意味し、また「集合オーソリティー」の用語は、この機能を実行するオーソリティーを意味する。集合は、ユーザに関する正確でない情報の入手を含んでいる。例えば、サービスプロバイダは、WebページURLまたはWebページ自身を保存する代りに、一定の属性を持った何れかのWebページがアクセスされた回数を保存してもよいであろう。
【0177】
集合オーソリティーは、該オーソリティーが適用する集合ポリシーに関して分類されてもよい。外部集合オーソリティーは、公的に許容された集合ポリシーを適用する。対等集合オーソリティーは、もう一つの対等集合オーソリティーと共通の集合ポリシーを適用する。内部集合オーソリティーは、それ自身のプライベート集合ポリシーを適用する。対等グループのオーソリティーは、そのポリシーへのアクセスをその対等者に限定してもよい。
【0178】
集合自身は静的であってもよく、または動的であってもよい。「静的集合」の用語は、ユーザが提供した情報にのみ基づいて集合を実行することを意味する。集合オーソリティーは、ユーザが提供した情報を受取り、該ユーザが提供したデータに集合ポリシーを適用し、概略化されたユーザデータをユーザに返送する。
【0179】
「動的集合」の用語は、ユーザが提供した情報、およびサービスとの相互作用の際にユーザに集められたユーザに関するローカル情報に基づいて、集合を実施することを意味する。動的集合において、サービスプロバイダはユーザからユーザデータを受取る。また、該サービスプロバイダは、ユーザに関するそれ自身の情報も保存し、集合化する。該サービスプロバイダは、両方のタイプのユーザデータをオーソリティーに提供する。集合オーソリティーは、この組合されたデータに対して集合ポリシーを適用し、新たな概略ユーザデータを得、該新たな概略ユーザデータをサービスプロバイダに返送する。
【0180】
次に、図46Dを参照すると、本発明の一実施形態に従った、ユーザデータの動的集合体を示すブロック図が提示されている。図46Dは、ユーザ4645、第一の売主Webサイト4635、第二の売主Webサイト4640、およびオーソリティー4630を含んでいる。ユーザ4645は、第一の売主Webサイトおよび第二の売主Webサイト4640で買物をする。これらの売主(4635,4640)はオーソリティー4630と通信する。該Webサイトでのユーザ行動のような一以上の特定のユーザデータに基づいて、概略ユーザデータを得る。この概略ユーザデータは、他のWebサイトを訪問するときに使用するためにユーザが保持するユーザデータの一部になる。本発明の一実施形態に従えば、該ユーザデータはセキュリティー保護されたユーザデータ記憶装置に保存される。
【0181】
更に詳細にいうと、4650において、ユーザ4645は、ユーザプロファイルを第一の書籍売主4635に提示する。第一の書籍売主4635は、第一の書籍売主のWebサイトを使用して閲覧または購入された書籍の種類に関する情報を収集する。例えば、書籍売主4635は、ユーザが購入した空想科学小説の数および園芸本の数を記録してもよい。4655において、書籍売主は、この収集されたユーザデータおよびユーザ4645から得たユーザプロファイルを、オーソリティー4630に提示する。該オーソリティーは、該ユーザプロファイルおよび該収集されたユーザデータに集合ポリシーを適用して、概略ユーザデータを得る。例えば、一つの可能な集合ポリシーは、通常許容されるカテゴリーの組を使用して、書籍カテゴリーにおけるユーザの興味を評価することであってもよい。ユーザデータが、ユーザ4645は空想科学小説にも園芸にも興味がないことを示し、また収集されたデータが、ユーザ4645は書籍売主4635から最近になって各カテゴリーの本を10冊購入したことを示すならば、ユーザデータは、これら二つのカテゴリーにおけるユーザの興味の評価を含むように修飾される。
【0182】
図46Dを更に参照すると、4670において、ユーザ4645は、後で第二の書籍売主Webサイトで買物をする可能性がある。ユーザ4640は、該ユーザが第一の売主4635のWebサイトを訪問したときに作成された、概略ユーザデータを含むユーザプロファイルを提示する。第二の書籍売主4640は、この概略ユーザ情報を使用して、第二の売主Webサイトで買物をする間にユーザの経験を適合調整してもよい。第二の書籍売主4640はまた、第二の書籍売主のWebサイトを使用して閲覧または購入された書籍のタイプに関する情報を収集し、この情報をオーソリティー4630に提示して、第一の売主4635に関して述べたのと同じプロセスを使用することにより、更新された概略ユーザデータを受領してもよい。
【0183】
次に、図47を参照すると、本発明の一実施形態に従った、ユーザデータの動的集合のための方法を示すフロー図が提示されている。4700において、サービスプロバイダはサービス要求および関連のユーザデータを受領する。該ユーザデータおよびユーザプロファイル情報または該情報への参照が、4705においてオーソリティーに提示される。4715において、サービスプロバイダは、該オーソリティーから概略ユーザ情報を受取る。
【0184】
次に、図48を参照すると、本発明の一実施形態に従った、ユーザデータの静的集合のための方法を示すフロー図が提示されている。4800においてユーザデータが受領される。4805では、概略ユーザデータを得るために、このユーザデータに対して集合ポリシーが適用される。4810において、概略ユーザデータがユーザに返送される。
【0185】
本発明の一実施形態に従えば、集合化されたユーザデータは資格認定の中に保存される。本発明のもう一つの実施形態に従えば、プロファイルは一以上の資格認定を含み、これらは集合化されたユーザデータを含む。従って、プロファイルは、ユーザに関する情報の集合の形態である。本発明のもう一つの実施形態に従えば、プロファイルの中のデータの一部はビットマップ化される。
【0186】
集合化は、保存された情報が正確ではないのでプライバシー保護的である。従って、それは個人としてのユーザに関しては何も明らかにしない。如何なるユーザも、ユーザの個人情報を明らかにすることなしに、概略化されたユーザ情報を使用して記述されることはできないであろう。更に、該情報をコンパイルするための機構は隠蔽されてもよい。
【0187】
次に、図49を参照すると、本発明の一実施形態に従った、クッキーを安全に保存し且つ再構成するためのスマートカードの使用を示すブロック図が提示されている。図49に示すように、コンピュータ4930は、スマートカード4940を収容するためのカード読取り器4935を装備している。コンピュータ4930は、Webサーバ4900のような複数の他のコンピュータ処理装置と通信するネットワーク4920に接続すればよい。Webサーバ4900は、クッキー処理ロジック4915、再構成されたクッキー4910、およびスマートカード上のアプレット4945と共有される少なくとも一つの秘密事項4905を含んでいる。スマートカード4940はまた、クッキー処理ロジック4960および少なくとも一つのクッキー4955のための記憶装置を含んでいる。
【0188】
動作において、Webサーバ4900は、コンピュータ4930によって受取られるクッキー要求発する。要求されたクッキーがスマートカード4940にあれば、また該クッキーが動的クッキーを含んでいれば、クッキー処理ロジック4960は共有された秘密事項4940を使用して該クッキービットパターンを再構成し、該再構成されたクッキーはコンピュータ4930を介してWebサーバ4900に送信される。Webサーバ4900上のクッキー処理ロジックは、この再構成されたクッキーを受取って、該クッキーを再構成する必要があるかどうかを決定する。該クッキーを再構成する必要があれば、クッキー処理ロジック4915は、共有された秘密事項4905を使用して該クッキーを再構成する。クッキーは送信される前に再構成されるので、パケットスニッファ5025または同様の装置は、クッキーデータを特定のユーザと照合することはできない。
【0189】
本発明の一実施形態に従えば、クッキーは時刻印に関連している。時刻印によって当該クッキーは古いことが示されれば、当該クッキーは処理されない。
【0190】
本発明のもう一つの実施形態に従えば、カード上の全てのクッキーが静的であり、共有された秘密事項(4905,4950)についての必要性は回避される。
【0191】
本発明のもう一つの実施形態に従えば、クッキー管理資格認定は、実行されるべきクッキー管理のタイプを特定する。
【0192】
次に、図50を参照すると、本発明の一実施形態に従った、クッキーをセキュリティー保護して安全に保存し且つ再構成するための、スマートカードの使用を示すブロック図が提示されている。図50は、秘密事項5065がWebサーバ5000にだけ存在し、スマートカード5040と共有されていない点を除き、図49と同様である。更に、クッキー更新ロジック(5005,5050)が使用されて、スマートカード5040上のクッキーが周期的に更新される。
【0193】
次に、図51を参照すると、本発明の一実施形態に従って、ワールドワイドウエッブ(WWW)をブラウズするための方法を示すフロー図が提示されている。5100において、カードはカード読取り器の中に配置される。5135において、ブラウザはWebサイトにアクセスする。5140では、クッキーが必要とされるかどうかに関する決定がなされる。クッキーが必要であれば、5145において、ブラウザはカードからクッキーを要求する。5105において、カードはこのクッキー要求を受取り、該カードが該要求に合致するクッキーを有しているかどうかを決定する。カードが当該要求に適合するクッキーを有していれば、5110において、ユーザが該要求のためのクッキーをカードが返送できるようにしているかどうか(例えばPINの入力)に関する決定がなされる。カードが当該要求のためにクッキーを可能にしていれば、5115において、該クッキーが動的であるかどうかに関する決定がなされる。クッキーが動的であれば、5120において該クッキーのビットパターンが再構成され、5125において再構成されたクッキーが返送される。クッキーが動的であれば、該クッキーは再構成されることなく5125において返送される。カードが当該要求に適合したクッキーを有していなければ、またはユーザが当該要求のためにクッキーを有効にしていなければ、5130において、クッキーは返送されないことの表示が返送される。
【0194】
5150において、ブラウザは、クッキーがカードから返送されたかどうかに関する決定を行う。クッキーがカードから返送されなかったならば、クッキーは、ローカルハードドライブのような当該カード以外から入手され、5160において、該クッキーがサーバに送られる。
【0195】
クッキーがカードから返送されたならば、該カードからのクッキーは5160においてサーバに送信される。165において、サーバは、クッキーがブラウザから返送されたかどうかを決定する。クッキーがブラウザから返送されなかったならば、5185において、このプロセスは終了する。クッキーがブラウザから返送されたならば、5171において、該クッキーを再構成する必要があるかどうかに関して決定がなされる。クッキーを再構成する必要があれば、それは5175において再構成され、5180において使用される。クッキーを再構成する必要がなければ、如何なる場合にも、それは5180において使用される。
【0196】
本発明の実施形態は多くの利点を有している。サービスプロバイダは、不適切または不必要な情報を明らかにすることなく、個人に関する情報を交換することができ、従って、プライバシーを維持しながら、インターネットのような開放ネットワーク上で商取引を実行することができる。
【0197】
本発明の実施形態および応用を示し、説明してきたが、混開示の利益を有する当業者は、ここでの発明概念から逸脱することなく、上記で述べた以外の多くの更なる変形が可能であることを理解するであろう。従って、本発明は特許請求の範囲の精神における限定を除き、制限されるものではない。
【図面の簡単な説明】
【0198】
【図1A】図1Aは、クッキーからユーザ情報を得るための典型的な方法を示すフロー図である。
【図1B】図1Bは、クッキーを例示したブロック図である。
【図2】図2は、ユーザ名およびパスワードを使用してユーザ認証を行うための典型的な方法を示すフロー図である。
【図3】図3は、商品およびサービスについて本人が支払いをするための典型的な方法を示すフロー図である。
【図4】図4は、ワールドワイドウエッブ上におけるユーザ特異的な情報の維持を示すブロック図である。
【図5】図5は、集中化されたユーザ認証システムを示すブロック図である。
【図6】図6は、多数のWebサイトにアクセスするための単回ログオンを提供する機構を示すブロック図である。
【図7】図7は、本発明の一実施形態に従って、オーソリティーにより認証されたユーザデータを使用した、ワールドワイドウエッブ上でのセキュリティー保護された取引の実行を示すブロック図である。
【図8】図8は、本発明の一実施形態に従い、オーソリティーにより認証されたユーザデータを使用して、ワールドワイドウエッブ上でセキュリティー保護された取引を実行するための方法を示すフロー図である。
【図9A】図9Aは、本発明の一実施形態に従った資格認定を示すブロック図である。
【図9B】図9Bは、本発明の一実施形態に従って、暗号を識別子として使用した資格認定を示すブロック図である。
【図10】図10は、本発明の一実施形態に従って資格認定を発生するための方法を示すフロー図である。
【図11】図11は、本発明の一実施形態に従って資格認定を処理するための方法を示すフロー図である。
【図12】図12は、本発明の一実施形態に従って資格認定評価ポリシーを適用するための方法を示すフロー図である。
【図13】図13は、本発明の一実施形態に従って資格認定データを評価するためのための方法を示すフロー図である。
【図14】図14は、本発明の一実施形態に従ってユーザ認証を行うための方法を示すフロー図である。
【図15】図15は、本発明の一実施形態に従って、サービスを得るために資格k認定を使用いするための方法を示すフロー図である。
【図16】図16は、本発明の一実施形態に従った、一人の個人への複数の識別子の割付けを示すブロック図である。
【図17】図17は、本発明の一実施形態に従った、本人確認のための複数組のユーザデータ付与を示すブロック図である。
【図18】図18は、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上の複数の団体間での取引の実行を示すブロック図である。
【図19】図19は、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上の複数の団体間で取引を行う方法を示すフロー図である。
【図20】図20は、本発明の一実施形態に従って、ユーザ制御された装置に保存されたユーザデータを使用してサービスを得るための方法を示すフロー図である。
【図21】図21は、本発明の一実施形態に従って、サービスを提供するための方法を示すフロー図である。
【図22】図22は、本発明の一実施形態に従い、ユーザデータに従ってサービスを提供するための方法を示すフロー図である。
【図23】図23は、本発明の一実施形態に従って、セキュリティー保護装置からの支払いデータを使用して、支払い決済を行うための方法を示すフロー図である。
【図24】図24は、本発明の一実施形態に従った、本人確認のための複数の資格認定の割付けを示すブロック図である。
【図25】図25は、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上においてサービス資格認定を使用することによる複数の団体の間での取引の実行を示すブロック図である。
【図26】図26は、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上において、サービス資格認定を使用することにより複数の団体の間で取引を実行するための方法を示すフロー図である。
【図27】図27は、本発明の一実施形態に従った、入れ子式資格認定の使用を示すブロック図である。
【図28A】図28Aは、本発明の一実施形態に従って、プライバシーを維持しながら、開放ネットワーク上でサービス資格認定を使用して、複数の団体の間で取引を行うための方法を示すフロー図である。
【図28B】図28Bは、本発明の一実施形態に従い、ユーザ制御された装置に保存されたサービス資格認定を使用してサービスを得るための方法を示すフロー図である。
【図29】図29は、本発明の一実施形態に従ってサービス提供するための方法を示すフロー図である。
【図30A】図30Aは、本発明の一実施形態に従って、サービス資格認定から抽出した入れ子式支払い資格認定を使用して、支払い決済を行うための方法を示すフロー図である。
【図30B】図30Bは、本発明の一実施形態に従った、本人確認のための複数組のユーザデータの割付けを示すブロック図である。
【図31】図31は、本発明の一実施形態に従って、プライバシーを維持しつつ開放ネットワーク上においてスマートカードを使用した、複数の団体の間での取引の実行を示すブロック図である。
【図32】図32は、スマートカードのような、資源拘束性装置のためのセキュリティー保護されたユーザアクセス制御機能を提供するために使用できるアプレットの開発を示すブロック図である。
【図33A】図33Aは、インターネットに接続され、且つスマートカードを収容するためのカード読取り器が装備されたコンピュータを示すブロック図である。
【図33B】図33Bは、本発明の一実施形態に従った、本人確認のための、種々のタイプのユーザデータの割付けを示すブロック図である。
【図34】図34は、本発明の一実施形態に従った識別子を示すブロック図である。
【図35】図35は、本発明の一実施形態に従って、プライバシーを維持しながら、サービスへのアクセスを得るためにランダム化ユーザ識別子を使用した、本人確認連合サーバおよびユーザ認証連合サーバの使用を示すブロック図である。
【図36】図36は、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るために、ランダム化ユーザ識別子を使用して本人確認連合サーバおよびユーザ認証連合サーバを使用する方法を示すフロー図である。
【図37】図37は、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るために、ランダム化ユーザ識別子を使用して本人確認連合サーバおよびユーザ認証連合サーバを使用する方法を示すフロー図である。
【図38】図38は、本発明の一実施形態に従った、本人確認サーバを用いた登録を示すブロック図である。
【図39】図39は、本発明の一実施形態に従った可能な資格認定タイプを示すブロック図である。
【図40】図40は、本発明の一実施形態に従って、プライバシーを維持しつつ分配された資源にアクセスするための、ランダム化された識別子の使用を示すブロック図である。
【図41】図41は、本発明の一実施形態に従って、単一の有効なユーザデータエントリーを決定するために、適合するエントリーを本人確認連合サーバからユーザ認証連合サーバに提示するための方法を示すフロー図である。
【図42A】図42Aは、本発明の一実施形態に従って資源サーバに保存されたデータを示すブロック図である。
【図42B】図42Bは、本発明の一実施形態に従って資源サーバに保存されたデータを示すブロック図である。
【図43A】図43Aは、本発明の一実施形態に従う、一組の権利キーを含む資源要求に応答した資源サーバからの資源の入手を示すブロック図である。
【図43B】図43Bは、本発明の一実施形態に従う、一組の権利キーおよび配信保護機構への参照ならびに任意に標的装置を含む資源要求に応答した、資源サーバからの資源の入手を示すブロック図である。
【図43C】図43Cは、本発明の一実施形態に従った、権利キー資格認定を示すブロック図である。
【図44】図44は、本発明の一実施形態に従って、資源ソースへのアクセスを得るための方法を示すフロー図である。
【図45】図45は、本発明の一実施形態に従って、多重キーを要求する資源へのアクセスを得るための方法を示すフロー図である。
【図46A】図46Aは、本発明の一実施形態に従って、資源サーバ対等グループにおけるサーバ上に保存された特定の種類の資源にアクセスするための権利キー資格認定を含んだ、ユニバーサルリソースロケータ(URL)を示すブロック図である。
【図46B】図46Bは、本発明の一実施形態に従った、権利キー資格認定データを含むハイパーテキスト転送プロトコル(HTTP)を示すブロック図である。
【図46C】図46Cは、本発明の一実施形態に従った、権利管理アプレットを含むスマートカードを示すブロック図である。
【図46D】図46Dは、本発明の一実施形態に従った、ユーザデータの動的集合体を示すブロック図である。
【図47】図47は、本発明の一実施形態に従った、ユーザデータの動的集合のための方法を示すフロー図である。
【図48】図48は、本発明の一実施形態に従った、ユーザデータの静的集合のための方法を示すフロー図である。
【図49】図49は、本発明の一実施形態に従った、クッキーを安全に保存し且つ再構成するためのスマートカードの使用を示すブロック図である。
【図50】図50は、本発明の一実施形態に従った、クッキーを安全に保存し且つ再構成するためのスマートカードの使用を示すブロック図である。
【図51】図51は、本発明の一実施形態に従って、ワールドワイドウエッブ(WWW)をブラウズするための方法を示すフロー図である。
【発明の詳細な説明】
【0001】
(発明の分野)
本発明はコンピュータサイエンスの分野に関する。更に特定すれば、本発明はワールドワイドウェッブにおける本人確認を管理するためのシステムおよび方法に関する。
【0002】
(発明の背景)
ワールドワイドウェッブ(WWW)の出現は、インターネット接続を有するコンピュータを用いて、誰もが遥かに多くの情報を入手することを可能にしている。不幸なことに、現在の方法は、ユーザに関する特定のデータを用いて特定のユーザを同定するのを比較的容易にしており、従ってプライバシーの問題を生じている。
【0003】
ウエッブ上での本人確認およびプライバシーに関する一つの問題は、Webブラウザがユーザデータを得る方法に関する。典型的には、Webブラウザは、ローカルハードディスクに保存された一以上のクッキーからユーザデータを得ている。このクッキーはデリケートなユーザ情報を含む可能性がある。
図1Aは、クッキーからユーザ情報を得るための典型的な方法を示すフロー図である。100において、Webブラウザは、クッキーを使用するWebサイトにアクセスする。105において、ユーザコンピュータのローカルディスクにクッキーが存在するかどうかに関する判断が行われる。クッキーが存在しなければ、110において、ブラウザはWebサーバのユニバーサルリソースロケータ(URL)およびWebサーバが与えたユーザデータを用いてクッキーを作成する。クッキーが存在すれば、115において、ブラウザはユーザコンピュータのローカルディスク上にある該クッキーを使用する。
【0004】
図1Bは、クッキーを示すブロック図である。クッキー120は、サーバ識別子およびユーザデータを含んでいる。ユーザデータは、ユーザの名前および住所のようなユーザに関する情報を含んでいる。
【0005】
単にクッキーの内容を調べるだけで、当該ユーザデータに対応付けられたユーザの個人情報を決定することが比較的容易なので、不幸なことに、このアプローチによって与えられるプライバシーは低い。
【0006】
Web上での本人確認およびプライバシーについてのもう一つの問題は、ユーザの認証に関するものである。Web上でのユーザの認証は、典型的にはユーザ名およびパスワードを使用して達成される。図2は、ユーザ名およびパスワードを使用してユーザの認証を行うための典型的な方法を図示している。200において、ユーザはサービスプロバイダのWebサイトを訪問する。2005において、このサービスプロバイダWebサイトは、静的ユーザ名およびパスワードに基づいて当該ユーザを認証する。この形態のユーザ認証には、典型的には、Web上で要求されるサービスに関連すると思われるデータについての様式に全部書き込むことが含まれる。210において、ユーザ認証が成功したかどうかが決定される。もし、ユーザ認証が不成功であれば、215においてサービスが拒否される。ユーザ認証に成功すれば、220においてサービスが提供される。このアプローチによって得られるプライバシー保護およびセキュリティーは低い。
【0007】
更に、上記様式上に収集されるデータの正確さおよび適切さは保証されない。例えば、ユーザによって完成されたサービスプロバイダの様式が運転免許番号の入力を要求するとき、サービスプロバイダは典型的には、ユーザが入力した番号がサービス要求に適しているかどうかを判断しない(例えば、運転免許番号が指示されているとき、釣り免許番号の入力は不適切である)。また、サービスプロバイダは、入力された運転免許番号が実際に該番号を入力した人物のものであるかどうかを判断しない。
【0008】
図3は、「ノートと本(bricks and mortar)」のアプローチを使用して、このようなユーザ認証の問題に対処する方法を示している。図3は、本人が商品およびサービスに対する支払いをするための、典型的な方法を示すフロー図である。300において、購入者は商品またはサービスに対する支払いのためのチェックを記入する。305において、売主は、支払いを受けるために必要なユーザ認証の方法に適した資格認定を要求する。このような資格認定の例には、運転免許およびATMカードが含まれる。このユーザ認証は、購入者の本人確認に関する或るレベルの信頼性を提供する。異なるタイプの取引には異なるレベルのユーザ認証が与えられる。例えば、購入者が比較的安価な品目を購入しようとする場合は、売主はユーザ認証なしの支払いチェックを許容してもよいであろう。購入者が中程度の価格の品目を購入しようとするならば、売主は運転免許のような一つの形態の本人確認を要求すればよいであろう。購入者が比較的高価な品目を購入しようとするならば、売主は追加の形態の本人確認を要求することができるであろう。購入者が要求された形態のユーザ認証(310)を提供したときに、売主は要求された形態のユーザ認証を使用して、資格認定の信頼性、正確さおよび完全さを確認する(315)。
売主が資格認定を充分に確認できなければ、325において取引は拒絶される。資格認定が充分に確認されれば、330において販売が完成する
【0009】
図4は、ワールドワイドウェッブ上におけるユーザ特異的な情報の維持を示すブロック図である。各インターネットユーザ400〜425が、サービスプロバイダのWebサーバ(435〜460)を介して、サービスプロバイダWebサイトにアクセスする。各Webサーバ435〜460は、ユーザ名およびパスワードの入力を促すことによってユーザを認証する。各Webサーバ435〜460はまた、夫々の(ユーザ名、パスワード)組合せについての別の組のユーザデータを維持する。このユーザデータは各ユーザに関する情報を含んでいる。例えば、一つのWebサイトは、ユーザ名に関連する郵便番号を保存して、ユーザがそのWebサイトにログインしたときは何時でも、当該郵便番号における現在の天気が表示されるようにしてもよい。もう一つのWebサイトは、当該Webサイトで購入された品目のリストを維持し、ユーザがそのサイトを再度訪れたときに、同様の製品に関する情報を表示できるようにしてもよい。
【0010】
各Webサイトについて別々のユーザ認証スキームを維持することは、ユーザが、各サイトについてのユーザ名およびパスワードを覚えていなければならないことを意味する。多くの場合、個々人は、各Webサイトについて同じユーザ名およびパスワードを使用するであろう。従って、一つのWebサイトについての当該ユーザのユーザ名およびパスワードが分かれば、同じユーザ名およびパスワードを使用して、他のWebサイトでも同じユーザの情報にアクセスすることができる。更に、個々人は、彼等のユーザ名およびパスワードを、社会保証番号または誕生日のような個人情報に基づかせることが多い。これにより、パスワードはハッカーによる攻撃を受け易くなる。
【0011】
図5は、集中化されたユーザ認証システムを示すブロック図である。540において、ユーザはサーバアクセス入口505にアクセスする。545において、サービスアクセス入口505はユーザ認証データを収集する。ユーザが既に登録されていれば、該ユーザはユーザ名およびパスワードの入力を促され、チケット発生器520がユーザ認証データベース524とインターフェースして、ユーザ名およびパスワードに基づいて当該ユーザを認証する。チケット発生器520は、ケルベロス(KerberosTM)チケット発生器であってよい。該チケット発生器520は、ユーザ認証データベース525とインターフェースしてユーザ認証を行い、565においてユーザ認証トークンを発生する。ユーザが未だ登録されていなければ、ユーザは545においてユーザデータおよび選択されたパスワードの入力を促され、この情報はユーザデータ発生器530に送られる。ユーザデータ発生器530は、ユーザデータベース535とインターフェースして該ユーザデータを保存する。また、ユーザデータ発生器530は、ユーザ認証データベース525とインターフェースして、該ユーザのためのユーザ認証情報を提供する。560において、ユーザデータ発生器530はチケット発生器520とインターフェースして、ユーザ認証トークンを発生する。565において、ユーザ認証トークンはサービスプロバイダ505に返送される。
【0012】
570において、ユーザ認証トークンはユーザ500に返送される。サービスプロバイダ505は、ユーザおよびサービスプロバイダ間のその後の通信(575,580)において、該ユーザ認証トークンをクッキーまたはセッション識別子として使用する。これらの通信は、ユーザデータベース535に保存されたユーザデータの要求585を含んでいてもよい。このような要求585は、ユーザデータ検索器515によって受信される。ユーザデータ検索器515は、ユーザデータベース535からユーザデータを検索し、590において該ユーザデータを返送する。
【0013】
不運なことに、この機構を使用するサービスプロバイダは単一点制御である。ユーザは、何時何処でユーザデータが入手されるか、また何時何処でサービスプロバイダがユーザデータを使用するかに対する制御をもっていない。ユーザが彼自身を確認したら、全てのユーザデータは開放されている。
【0014】
図6は、多数のWebサイトにアクセスするための、単回ログオンを与える機構を示すブロック図である。グローバル認証者630は、(ユーザ名、パスワード)の組合せの入力を促すことによって、ユーザ600〜625を認証する。ユーザ600〜625が認証されたら、ユーザは、夫々の特定のWebサイト635〜660にサインオンすることなく、各メンバーWebサイト635〜660にアクセスすることができる。グローバル認証者630はまた、グローバル顧客データベース665における各ユーザネームについてのプロファイルを保持する。
【0015】
図6に示すように、一旦グローバル認証者630を介してログインしたら、ユーザは多数のメンバーWebサイトを訪れることができる。従って、グローバル顧客データベース665は、ユーザのために、訪問される全てのサイトに関連した情報を含まなければならない。例えば、或るユーザが金融Webサイトおよび医療計画Webサイトを訪問するならば、グローバル顧客データベース665は、医療情報ならびに金融情報を含むであろう。更に、グローバル認証者630は、Webサイト訪問のような個人のWeb活動をモニターまたは追跡するように構成されてもよい。データを組込む能力およびWeb活動をモニターする能力の混合は、プライバシーの懸念を生じさせる。
【0016】
ワールドワイドウエッブを使用することに伴う追加の問題は、有効なユーザ認証として、サービスプロバイダが何を許容したかの形跡を作製する方法がないことである。ユーザは、何れかの人物またはプログラムが入力したユーザ名およびパスワードを使用してログインし、多数のサービスへの無制限のアクセスを付与されるか、或いは、ユーザは間違ったユーザ名およびパスワードを入力して何も得られないかの何れかである。
【0017】
従って、サービスを提供するためにユーザに関する情報が要求されるシステムにおいて、プライバシーを保護するソリューションが必要とされている。更に、不適切または不必要な情報を明らかにすることなく、サービスプロバイダが或る人物に関する情報を交換することを可能にするソリューションについての必要性が存在する。プライバシーを維持しながら、インターネットのような開放ネットワーク上でのユーザの取引を管理するソリューションについての、更なる必要性が存在する。ユーザデータにおける信頼性を管理し、この信頼性評価および該評価が行われるプロセスの形跡を作成するソリューションについての、更なる必要性が存在する。クッキーに保存されたユーザデータを保護するソリューションについての更なる必要性が存在する
【0018】
(発明の簡単な説明)
データ通信ネットワークにおける本人確認を管理する方法は、ユーザ制御されるセキュリティー保護された保存装置を受取り、該ユーザをオーソリティーサイトに登録することを含む。この登録には、管轄ネットワークサイトが要求した情報を提供することが含まれる。該方法はまた、前記登録に応答してユーザデータを受取ることと、該ユーザデータを前記ユーザ制御されるセキュリティー保護された保存装置に保存することと、該ユーザ制御されるセキュリティー保護された保存装置が、ユーザデータを解放することを可能にすることと、サービスプロバイダネットワークサイトにおいて、前記ユーザデータを使用してサービスを得ることとを含む。
【0019】
もう一つの側面に従えば、 データ通信ネットワーク上での本人確認における強化されたプライバシー保護のための方法は、前記データ通信ネットワーク上のサービスについて登録することと;前記登録に応答して、ランダム化された識別子(ID)を受取ることと;前記ランダム化されたIDを保存することと;前記ランダム化されたIDを使用して、前記データ通信ネットワーク上でのサービスを得ることと;を含む。データ通信ネットワーク上でサービスを得るための装置は、登録要求を受入れるように構成された登録オーソリティーを含む。該登録オーソリティーは更に、登録要求に応答して、登録結果を戻すように構成される。この登録結果はユーザデータを含み、該登録結果を使用して、サービスプロバイダからのサービスを得ることができる。
【0020】
もう一つの側面に従えば、データ通信ネットワークにおける本人確認の強化された品質のための方法には、本人確認サーバIDおよび本人確認ランダム化IDを含むユーザ識別子を得ることが含まれる。本人確認サーバIDは、本人確認サーバ対等グループを識別する。この本人確認サーバ対等グループは少なくとも一つのサーバを含んでおり、該サーバは、特定のランダム化IDに関連したユーザを認証できる本人確認ランダム化IDとユーザ認証対等グループとの間のマッピングと、該本人確認ランダム化IDとユーザ情報との間のマッピングを保持する。この方法にはまた、ユーザ識別子を対応する本人確認サーバ対等グループに提示することによって、当該ユーザの決済を要求することが含まれる。本人確認サーバ対等グループにおける各サーバは、一以上の適合について、前記ランダム化IDを含むエントリーをサーチするように構成される。
【0021】
もう一つの側面に従えば、データ通信ネットワーク上に分配された資源へのユーザアクセスを制御する方法は、資源要求を受取ることを含む。該要求は、データ通信ネットワーク上の資源へのアクセスを提供するための、少なくとも一つのキーを含む権利キー資格認定を含んでいる。また、この権利キー資格認定は、資源サーバ対等グループIDおよびランダム化IDを含む資源識別子を含んでいる。資源サーバ対等グループIDは、資源サーバ対等グループを識別する。この資源サーバ対等グループは少なくとも一つのサーバを含んでおり、該サーバはランダム化IDと少なくとも一つのキーとの間のマッピングを保持している。この方法はまた、少なくとも一つのキーを使用することによる資源へのアクセスを提供する。
【0022】
もう一つの側面に従えば、データ通信ネットワークをブラウズする方法は、ユーザデータを要求するネットワークサイトがアクセスされるならば、ユーザ制御のセキュリティー保護された装置からのユーザデータを要求することを含む。この要求は、もう一つの装置からのユーザデータを要求することに先立って行われる。当該方法はまた、ユーザデータをユーザ制御のセキュリティー保護された装置から受取るならば、このユーザデータをネットワークサーバに送信することを含む。もう一つの側面に従えば、データ通信ネットワーク情報ユニットをサービスする方法は、ネットワークサイトに関連したユーザデータを受信すること、ユーザデータが静的ユーザデータを含むならば、該ユーザデータを使用すること、および該ユーザデータがダイナミックなユーザデータを含むならば、該ユーザデータを使用する前にユーザデータを再構成することを含む。
【0023】
もう一つの側面に従えば、データ通信ネットワークをブラウズする装置は、ユーザデータを要求するネットワークサイトがアクセスされるならば、ユーザ制御のセキュリティー保護された装置からユーザデータを要求するように構成されたネットワークブラウザを含んでいる。この要求は、もう一つの装置からのユーザデータを要求する前に生じる。当該ネットワークブラウザは更に、ユーザデータがユーザ制御のセキュリティー保護された装置から受信されるならば、このユーザデータを当該ネットワークサイトに関連したネットワークサーバに送信するように構成される。
【0024】
もう一つの側面に従えば、データ通信ネットワークをブラウズするための装置は、ユーザデータについての要求を受取るように構成されたスマートカードを含んでいる。該スマートカードは更に、ユーザデータが見つかり、当該要求のためにユーザデータの返送を可能にされ、また当該ユーザデータが静的ユーザデータを含む場合には、当該ユーザデータを戻すように構成される。このスマートカードは更に、ユーザデータが見つかり、当該要求のためにユーザデータの返送を可能にされ、また当該ユーザデータが動的ユーザデータを含む場合には、当該ユーザデータを再設定するように構成される。
【0025】
もう一つの側面に従えば、データ通信ネットワーク情報ユニットをサービスするための装置は、ネットワークサイトに関連したユーザデータを受信するように構成されたネットワークサーバを含んでいる。このネットワークサーバは更に、ユーザデータが静的ユーザデータを含んでいれば、当該ユーザデータを使用するように構成される。このネットワークサーバは更に、当該ユーザデータが動的ユーザデータを含んでいる場合には、該ユーザデータを使用する前に、ユーザデータを再設定するように構成される。
【0026】
もう一つの側面に従えば、データ通信上でサービスを得るための方法は、オーソリティーに登録することと、該登録結果を使用してサービスプロバイダからサービスを得ることを含んでいる。この登録は、ユーザデータを含む登録結果を生じる。当該サービスプロバイダは、登録結果を確認するために前記オーソリティーと通信することができる。
【0027】
もう一つの側面に従えば、データ通信ネットワーク上でサービスを得るための装置は、登録要求を承認するように構成された登録オーソリティーを含んでいる。この登録オーソリティーは更に、前記登録要求に応答して、登録結果を戻すように構成される。この登録結果は、サービスプロバイダからのサービスを得る際に使用するためのユーザデータを含んでいる。もう一つの側面に従えば、データ通信ネットワーク上でサービスを得るための装置は、サービス要求および登録オーソリティーから得た登録結果を承認するように構成されたサービスプロバイダを含んでいる。該サービスプロバイダは、前記登録結果を確認するために前記オーソリティーと通信することができ、また前記サービスプロバイダは、前記登録結果および前記登録オーソリティーからの応答に基づいてサービスを提供するように構成されている。
【0028】
もう一つの側面に従えば、データ通信ネットワーク上でプライバシーを保護するための方法は、ユーザ識別子および該ユーザ識別子に関連した特定のユーザデータを受取ることを含む。この特別のユーザデータは、ネットワークユーザに関するデータを含んでいる。当該方法はまた、特定のユーザデータに基づいて一般化されたユーザデータを作成することと、該一般化されたユーザデータを前記ユーザ識別子に関連させることとを含んでいる。当該方法はまた、前記ユーザ識別子および一般化されたユーザデータを返送することを含んでいる。もう一つの側面に従えば、データ通信ネットワーク上でのプライバシーを保護する方法は、ユーザ制御のセキュリティー保護された装置に、少なくとも一つのサービスプロバイダサーバについてのユーザログオン情報を保存することを含んでいる。この少なくとも一つのサービスプロバイダサーバは、ユーザにサービスを提供できる少なくとも一つのネットワークサーバを含んでいる。当該方法はまた、前記装置にログオンして、前記少なくとも一つのサービスプロバイダサーバへのアクセスを提供することを含んでいる。
【0029】
添付の図面は、本明細書に組込まれてその一部を構成するものであり、詳細な説明と共に、本発明の原理および実施を説明するために役立つ一以上の本発明の実施形態を例示するものである。
【0030】
図面についての説明は、後述の「図面の簡単な説明」に記載した通りである。
【0031】
(好ましい実施形態の詳細な説明)
ここでは、ワールドワイドウエッブにおける本人確認およびプライバシーのための方法および装置に関して、本発明の実施形態を説明する。当業者は、以下の本発明の詳細な説明が例示に過ぎず、如何なる意味でも限定的であることを意図しないものであることを理解するであろう。この開示の利益を有する当業者には、本発明の他の実施形態が容易に示唆されるであろう。次に、添付の図面に示された本発明の実施形態を詳細に参照する。これらの図面および以下の詳細な説明を通して、同じ参照符号は、同じ部分または同様の部分を指す。
【0032】
明瞭さのために、ここで説明する実施形態におけるルーチンの特徴の全部は図示されず、また説明もされない。当然ながら、このような何れかの現実の実施の開発においては、開発者の特別な目的を達成するため、例えばアプリケーション関連およびビジネス関連の束縛に従うために、多くの実施特異的な決定がなされなければならないこと、またこれらの特別な目的は実施毎および開発者毎に異なることが容易に理解されるであろう。更に、このような開発努力は複雑かつ時間を要するが、この開示の利益を有する当業者にとっては、エンジニアリングにおけるルーチンの仕事であろう。
【0033】
本発明の関連において、「ネットワーク」の用語には、構内ネットワーク、広域ネットワーク、インターネット、ケーブルテレビシステム、電話システム、無線通信システム、光ファイバーネットワーク、ATMネットワーク、フレームリレーネットワーク、衛星通信システム等が含まれる。このようなネットワークは当該技術において周知であるから、ここで更に説明することはしない。
【0034】
ワールドワイドウエッブを参照して本発明の実施形態を説明する。如何なるデータ通信ネットワークも、ワールドワイドウエッブと同様に構成することができる。
【0035】
本発明の一実施形態に従えば、コンポーネント、プロセスおよび/またはデータ構造は、高性能コンピュータ(例えば、そのオペレーティングシステムとしてSun SolarisTMを動作させるEnterprise 2000TMサーバ;Enterprise 2000TMサーバおよびSun SolarisTMオペレーティングシステムは、カリホルニア州マウンテンビューのサンマイクロシステムズInc.社から入手可能な製品である)上で動作する、CまたはC++プログラムを使用して実施すればよい。異なる装置を使用してもよく、他の種類のオペレーティングシステム、コンピュータ処理フォーマット、コンピュータプログラム、ファームウエア、コンピュータ言語および/または汎用マシンを含んでいてもよい。加えて、当業者は、ここに開示する発明概念の範囲および精神を逸脱することなく、汎用性の低い装置、例えば配線連結式の装置、書替え可能ゲートアレイ(field programmable gate arrays)、アプリケーション特異的集積回路(ASICs)等も使用できることを理解するであろう。
【0036】
次に、図7を参照すると、本発明の一実施形態に従ってオーソリティーにより認証されたユーザデータを使用した、ワールドワイドウエッブ上でのセキュリティー保護された取引の実行を示すブロック図が提示されている。三つのエンティティー、即ち、顧客またはユーザ700、オーソリティー705、およびサービスプロバイダ715が表示されている。ユーザ700は、サービスプロバイダからサービスを要求して受取る実体要素を表す。サービスプロバイダ715は、サービスを提供するエンティティーを表す。オーソリティー705は、資格認定または他のユーザデータを認証して、資格認定または他のユーザデータの品質基準または信頼性のレベル、正確さおよび完全さを明らかにするエンティティーを表す。
【0037】
資格認定の発行者は、資格認定のデータ認証を行う。資格認定は、申告者が権利を有することの表示として、サービス要求と共にサービスプロバイダに提示される証明書である。
【0038】
本発明の実施形態に従えば、ユーザは最初にオーソリティーに登録し、返送される認証された資格認定を受取る。次いで、ユーザはこの資格認定およびサービス要求を、サービスプロバイダに提示する。資格認定の受理は無条件ではない。サービスプロバイダはこの要求および資格認定を審査して、サービスを拒否するか、またはサービスを付与する。撚り詳細には、720において、ユーザ700はオーソリティー705と通信し、資格認定要求を行う。この要求には、関連のパラメータおよびデータが含まれてもよい。該関連のパラメータおよびデータは、例えば、要求された資格認定の発行に必要なユーザ認証の少なくとも一部を実行できるユーザ認証サーバ710の識別に関連していてもよい。この要求はまた、補助資格認定を含んでいてもよい。オーソリティー705は、この資格認定を認証して、当該資格認定の品質基準、信頼性の表示、正確さおよび完全さを明らかにする。このオーソリティー705は、ユーザ認証を行う際に副オーソリティー710と協働してもよい。725において、該オーソリティーは認証された資格認定をユーザ700に返送する。
【0039】
サービスを得るための資格認定の使用は、サービス要求で始まる。参照番号735によって示すように、ユーザ700はサービスプロバイダ715と通信してサービス要求を発する。この要求は、資格認定、並びに関連の資格認定パラメータおよびデータを含んでいてもよい。サービスプロバイダ715は、資格認定要求および補助情報を評価する。サービスプロバイダ715は、オーソリティー705と協働して、動的資格認定の認証(740,745)を行ってもよい。オーソリティー705はまた、ユーザ認証を行うに際して副オーソリティー710と協働してもよい。750において、サービスプロバイダは要求されたサービスを提供する。
【0040】
次に、図8を参照すると、本発明の一実施形態に従って、オーソリティーにより認証されたユーザデータを使用して、ワールドワイドウエッブ上でセキュリティー保護された取引を行うための方法を示すフロー図が与えられている。800において、資格認定が発生される。この資格認定は、資格認定要求および補助データをオーソリティーに提示することによって作成される。該補助データには、同じオーソリティーまたは他のオーソリティーによって先に作成された資格認定が含まれていてもよい。該資格認定は、非デジタルであってもよい。例えば、運転免許または出生証明書を使用してもよい。要求された認証の種類に応じて、資格認定は全てデジタルのものでもよく、全て非デジタルのものでもよく、またデジタルおよび非デジタルの組合せであってもよい。
【0041】
本発明の一実施形態に従えば、資格認定は、その使用に制限を付して作成されてもよい。例えば、該資格認定は一回だけの使用、制限された回数の使用、または特定の場所での使用のために作成されてもよい。
【0042】
本発明のもう一つの実施形態に従えば、この資格認定は、Webサーバ、スマートカード、個人用デジタルアシスタンス(PDA)、携帯電話等に保存されてもよい。
【0043】
再度図8を参照すると、805において、それが資格認定を使用するときであるかどうかに関して決定が行われる。資格認定を使用するときの一例は、サービスを得るために資格認定が必要とされるときである。それが資格認定を使用するときであれば、810において、資格認定または資格認定への参照がサービスプロバイダに提示され、次いで該プロバイダはサービスを行うことができる。このサービスは、資格認定に含まれた情報によって直接的または間接的に特定されてもよい。サービスプロバイダは、暗号データ認証を行った後に、資格認定データを受理してもよい。815において、この資格認定が未だ有効であるかどうかに関して決定がなされる。この資格認定を使用してサービスを得るプロセスは、資格認定が有効でなくなるまで継続される。
【0044】
図9Aおよび図9Bは、本発明の実施形態に従った二つの資格認定データフォーマットを示している。図9Aを参照すると、資格認定900は、資格認定識別子910、資格認定暗号915、資格認定オーソリティー対等グループID 920、資格認定パラメータ925、資格認定データ930、シールされた資格認定データ935、および入れ子式資格認定940を含んでいる。本発明の一実施形態に従えば、資格認定識別子910は、ユーザに割当てられたユニークな識別子を含んでなるものである。本発明の一実施形態に従えば、資格認定識別子910は、ユーザに付与されたランダム化された識別子を含んでなるものである。
【0045】
資格認定暗号915は、資格認定事項925、930、935および940を認証するために使用される。好ましくは、資格認定暗号915はまた、資格認定オーソリティー対等グループID 920を認証するためにも使用される。このデータ認証は、資格認定オーソリティーによって特定されたキーおよびアルゴリズムを使用してよい。このキーおよびデータ認証アルゴリズムは、資格認定パラメータ925として特定されてもよい。
【0046】
本発明の一実施形態によれば、全体の資格認定暗号(915,945)が資格認定IDとして使用される。本発明の他の実施形態に従えば、この暗号のサブセットが資格認定IDとして使用される。
【0047】
資格認定オーソリティー対等グループID 920は、資格認定900のためのデータ認証を提供したエンティティーを識別する。データ認証を提供したエンティティーは、一つのサーバを含んでなるものであってよい。或いは、データ認証を提供したエンティティーは複数の資格認定オーソリティーサーバを含み、その内の一つが、資格認定IDに対応する資格認定データを維持するものであってもよい。特定の資格認定オーソリティー対等グループを含む複数の資格認定オーソリティーサーバは、資格認定IDに対応した資格認定データの位置を突止めるように協働する。
【0048】
資格認定パラメータ925は、名称を付したパラメータデータを意味する。資格認定パラメータは、例えば、データ認証機構またはユーザ認証機構を含んでもよい。資格認定パラメータはまた、要求された資格認定の発行のために必要な、ユーザ認証の少なくとも一部を実行できるユーザ認証サーバのアイデンティティーを特定してもよい。資格認定パラメータ925はまた、資格認定データをシールまたはシール解除するために使用される資格認定データフォーマットおよび機構を特定してもよい。資格認定パラメータ925はまた、サービス品質(QoS)識別子を含んでいてもよい。該QoS識別子は、ユーザ登録の際に資格認定の発行者によって行われる確認照合を表示する。この確認にはユーザ認証が含まれてもよい。該確認照合はまた、何等かの補助資格認定の品質評価を含んでもよい。また、該確認照合には、資格認定データの信頼性、正確性および完全性の評価を含めてもよい。
【0049】
資格認定データ930は、資格認定に関連したデータを含んでなるものである。シールされた資格認定データ935は、暗号化された資格認定データを含んでいる。入れ子式の資格認定940は、一以上の追加の資格認定を含む。なお、セキュリティー保護されたネスティングを行うためには、資格認定暗号915だけが認証されなければならない。
【0050】
資格認定ID 910、資格認定暗号915、および資格認定オーソリティー対等グループID 920の組合せを使用して、全体の資格認定900を表してもよい。資格認定の残部(参照番号925、930、935および940は、別途に保存すればよい。例えば、資格認定ID 910、 資格認定 暗号915および資格認定オーソリティー対等グループID 920は、スマートカードのようなセキュリティー保護装置に保存する一方、資格認定の残部(参照番号925、930、935および940)はWebサーバに保存してよい。
【0051】
図9Aが別の資格認定ID 910を含むのに対して、図9Bに示された資格認定は識別子として資格認定暗号945を使用する点を除き、図9Bは図9Aと同様である。
【0052】
資格認定データ要素910〜940は一緒に保存すればよい。或いは、幾つかの資格認定要素910〜920は完全な資格認定を表すために使用し、他の資格認定要素925〜940は別途保存してもよい。
【0053】
次に、図9Bを参照すると、本発明の一実施形態に従って、暗号を識別子に使用した資格認定を示すブロック図が提示されている。図9Bの資格認定暗号945が識別子としても使用される点を除き、図9Bは図9Aと同様である。
【0054】
次に、図10を参照すると、本発明の一実施形態に従って、資格認定を発生するための方法を示すフロー図が提示されている。図10は、図8の参照番号800についての更なる詳細を提供する。1000において、資格認定オーソリティーは、一以上の補助資格認定を含む資格認定要求を受取る。この補助資格認定は、当該資格認定オーソリティーが以前に作成した資格認定を含んでいてもよい。また、補助資格認定は、他の資格認定オーソリティーが以前に作成した資格認定を含んでいてもよい。1005において、これらの資格認定が処理される。1010において、この資格認定が首尾良く処理されたかどうかに関する決定が行われる。資格認定が首尾良く処理されなければ、1015において不合格が登録され、1020において不合格ポリシーが適用される。この不合格ポリシーは、不合格が検出されたときに行われた動作を特定する。不合格ポリシーの一例は、エラーが検出されたときにユーザ告知機能を実行する。
【0055】
図10を更に参照すると、資格認定が首尾良く処理されたときには、1025において新たな資格認定が作成され、1030において、この資格認定はそれを要求したユーザに返送される。本発明の一実施形態に従えば、全体の資格認定がユーザに戻される。本発明のもう一つの実施形態によれば、当該資格認定のユニークな識別情報が返送され、該資格認定の残部は別途保存される。例えば、図9Aの資格認定フォーマットを使用する実施形態は、資格認定ID 910、資格認定暗号915、および資格認定オーソリティー対等グループID 920を返送するであろう。図9Bの資格認定フォーマットを使用する実施形態は、資格認定暗号945および資格認定オーソリティー対等グループID 950を返送するであろう。
【0056】
次に、図11を参照すると、本発明の一実施形態に従って、資格認定を処理するための方法を示すフロー図が提示されている。図11は、図10の参照番号1005についての更なる詳細を提供する。1100において、資格認定の暗号データ認証が行われる。一例として図9Aの資格認定を用いれば、資格認定暗号915を使用して、資格認定フィールド925、930、935および940が認証される。或いは、特別のデータ認証機構が、資格認定対等グループID 920を認証してもよい。一例として図9Bの資格認定フォーマットを用いると、資格認定暗号945を使用して、資格認定フィールド955、960、965および970が認証される。ここでも、特別のデータ認証機構が、資格認定オーソリティー対等ID 950を認証してもよい。1105において、資格認定暗号が資格認定データを認証するかどうかに関する決定がなされる。資格認定暗号がこの資格認定データを認証しなければ、1145においてプロセスは終了し、不合格が表示される。
【0057】
図11を再度参照すると、1110において、首尾よい暗号データ認証の後には資格認定評価ポリシーが適用され、(1)それが別に保存されていれば資格認定データを得、(2)暗号化された資格認定データを解読し、また(3)資格認定データの有効性を決定する。1120では資格認定データが評価されて、提示された資格認定データの種類、該資格認定データの内容および要求されたサービス品質(QoS)に関して、該資格認定データが適正であることが確認される。1130においては、当該資格認定が実際に資格認定要求を行ったユーザに関連することを確認するために、ユーザ認証が行われる。参照番号1100、1110、1120または1130が不合格であれば、このプロセスは1145で終了して不合格が指示される。そうでなければ、当該プロセスは1140において成功裏に終了する。
【0058】
次に、図12を参照すると、本発明の一実施形態に従って、資格認定評価ポリシーを適用するための方法を示すフロー図が提示されている。図12は、図11における参照番号1110についての更なる詳細を提供する。上記で述べたように、資格認定のユニークな識別情報は、資格認定データの残部とは別に保存される可能性がある。従って、1200では、当該資格認定に資格認定データが含まれているかどうかに関する決定が行われる。資格認定データが当該資格認定に含まれていなければ、1205において、該資格認定データが入手される。資格認定データが当該資格認定に含まれていれば、1210において、必要とされる全ての生め込まれた資格認定が、当該資格認定に含まれているかどうかに関する決定が行われる。このような資格認定の全てが含まれていないならば、1215において、必要とされる資格認定が入手される。全ての必要な資格認定が含まれていれば、1220において、当該資格認定における何れかのデータがシール解除されねばならないかどうかに関して決定がなされる。シール解除されるべき資格認定は、入れ子式の資格認定データを含む可能性がある。データがシール解除されねばならないならば、それは1225においてシール解除される。シール解除を必要とするデータがなければ、1230において、該資格認定が有効であるかどうかに関して決定がなされる。該データが無効であれば、1240において、当該プロセスは不合格の表示を伴って終了する。データが有効であれば、当該プロセスは1240において成功裏に終了する。
【0059】
次に、図13を参照すると、 本発明の一実施形態に従って資格認定を評価するための方法を示すフロー図が提示されている。図13は、図11における参照番号1120についての更なる詳細を提供する。1300においては、提示された資格認定データの種類が、出された要求にとって充分であるかどうかに関する決定が行われる。換言すれば、この資格認定はその完全性について評価される。例えば、資格認定オーソリティーが特定の資格認定要求について運転免許を要求するなら、当該資格認定データが運転免許を含んでいるかどうかについての決定がなされる。資格認定データが運転免許を含んでいなければ、その資格認定データは当該要求のためには不充分である。資格認定データが不充分であれば、当該要求は拒絶される。或いは、ユーザが、要求された資格認定データの入力を促されることもあり得るであろう。
【0060】
図13を更に参照すると、1305において、その資格認定データが当該要求に適合するかどうかの決定がなされる。資格認定データの内容が評価される。例えば、特定の資格認定のための資格認定付与ポリシーが、有効な運転免許を要求するとしよう。この場合、資格認定要求が運転免許を含んでいるかどうかは1300において決定されるのに対して、その運転免許が期限切れであるかどうかは1305において決定される。この決定が不成功に終われば、1325において失敗の表示が返送される。図13に示されたプロセスは、登録プロセスの際にオーソリティーによって、およびサービスを提供するプロセスにおいてはサービスプロバイダによって、資格認定を評価するために使用される。オーソリティーは資格認定を作成し、従って資格認定データにQoS指標のような値を割当てなければならない。サービスプロバイダはサーsビスを提供し、資格認定を作成する必要はない(当該サービスプロバイダが、実際にはサービスとしての資格認定を提供するオーソリティーでない限り)。従って、1330では、資格認定が作成される必要があるかどうかに関する決定がなされる。資格認定が作成される必要があれば、1315において、作成される資格認定のサービス品質(QoS)が決定される。
【0061】
資格認定を有効にする一部として、オーソリティーまたはサービスプロバイダは、一定レベルのユーザ認証を要求してもよい。ユーザ認証は、その資格認定が、実際のユーザを偽装した他の誰かではなく、実際に当該要求を行ったユーザに関連しており、または該ユーザに属するかどうかを決定する。ユーザ認証は、例えば、指紋もしくは網膜スキャン等のような追加の生物学的基準の要求を含んでいてもよい。ユーザ認証はまた、当該ユーザに属することが知られた携帯電話に配信されるパスワードチャレンジを含んでいてもよい。
【0062】
QoSは、資格認定が如何にして作成されたかに関する情報を、当該資格認定を使用しまたはアクセスする他のエンティティーに転送する方法である。該QoSは、単一のオーソリティーまたはオーソリティーのグループによって確率されたポリシー陳述への言及である。例えば、資格認定のQoSパラメータは、オーソリティーがユーザの運転免許または出生証明書をチェックしたことを示すことができる。異なるQoSは、当該オーソリティーがユーザの運転免許、出生証明書および社会保証カードをチェックしたことを示すことができるであろう。
【0063】
資格認定は、資格認定を認証したエンティティーによって行われたユーザ認証のレベルを示すQoS指標を含んでいてもよい。サービスプロバイダは、資格認定において指示されたQoSが、要求されたサービスを与えるためには不充分であることを決定してもよい。もしそうであれば、当該サービスプロバイダは、追加のユーザ認証を要求してもよい。また、資格認定は、追加のユーザ認証を行うことができるユーザ認証サーバに関する情報を含んでいてもよい。
【0064】
本発明のもう一つの実施形態によれば、ログオン資格認定は、ユーザ認証のための特定のプロセスを明らかにするための入れ子式資格認定を含んでいる。換言すれば、ログオン資格認定は、ユーザ認証のためのQoSを含んだ入れ子式資格認定を含んでいる。このログオン資格認定は、その資格認定パラメータの一部としてうめ込まれた、それ自身のQoSを有している。該ログオン資格認定はまた、予め定められた寿命を有している。例えば、ログオン資格認定のQoSパラメータは、特定形式の追加のユーザ認証(例えば指紋、または他の生物学的基準)を、予め定められた間隔または事象において要求することができるであろう。
【0065】
従って、本発明の一実施形態によれば、第一の資格認定は、より制限された範囲を有する新たな資格認定を行うために使用される。例えば、Webページまたは情報ユニットを見るためのアクセスを与える第一の資格認定は、第一のWebページによって直接参照された第二のWebページへの10分間だけのアクセスを与える第二の資格認定を作成するために使用してもよい。この同じ第一の資格認定は、現在のWebページから直接参照された何れか他のWebページへのアクセスを与える第三の資格認定を作成するために使用してもよいであろう。一以上の資格認定を使用してもう一つの資格認定を作成する更に多くの例を、図39を参照して以下に提示する。
【0066】
次に、図14を参照すると、本発明の一実施形態に従ってユーザ認証を行うための方法を示すフロー図が提示されている。図14は、図11の参照番号1130についての更なる詳細を提供するものである。1400においては、ユーザ認証が要求されるかどうかに関する決定がなされる。この決定は、ユーザが提供したユーザ認証資格認定および要求されるQoSに基づいている。このユーザが提供したユーザ認証資格認定が、要求されたQoSよりも低いQoSを与えるならば、追加のユーザ認証が要求される。ユーザ認証が要求されるときは、1405において、ユーザが提供したまたは入れ子式の資格認定が、資格認定を作成する場合に要求され、またはサービスプロバイダによって要求されるQoSを満足するために充分であるかどうかに関する決定がなされる。これらの資格認定が不充分であれば、1410においてユーザ認証が行われる。
【0067】
次に、図15を参照すると、本発明の一実施形態に従って、サービスを得るために資格認定を使用するための方法を示すフロー図が提示されている。図15は、ユーザおよびサーバによって行われる動作を含めて、図8における参照番号810の更なる詳細を提供する。1500において、ユーザはWebサイトを訪問する。1505において、サービス要求およびユーザに関連する一以上の資格認定が、サービスプロバイダサーバに提示される。1540において、該サーバはサービス要求および資格認定を受取る。1550において、サービスプロバイダは、図11に関連して上記で述べた資格認定を処理する。1555において、サーバは、資格認定が成功裏に処理されたかどうかを決定する。資格認定が成功裏に処理されなければ、1560において要求されたサービスは拒否され、サービス拒否1565が、当該サービスを要求したユーザに送信される。資格認定が成功裏に処理されれば、1570において当該サービスが提供される。1510において、ユーザは、当該サービス要求が成功したかどうかを決定する。サービス要求が成功しなかったときは、1520において不合格表示がなされ、1525において処理が終了する。サービス要求が成功した時は、1530において当該サービスが使用される。
【0068】
図16〜図33は、ワールドワイドウエッブ上でのプライバシーを高めるために、セキュリティー保護されたユーザデータ記憶装置に保存されたユーザデータを使用した、本発明の実施形態を示している。図17〜23は、セキュリティー保護されたユーザデータ記憶装置に保存されたユーザデータを使用した、本発明の実施形態を示している。図24〜図30Aは、ユーザデータのための資格認定フォーマットを用いる本発明の実施形態を示している。この資格認定フォーマットは、図9Aおよび図9Bを参照して上記に示した通りである。図30B〜図33は、セキュリティー保護されたユーザデータ記憶装置のために、スマートカードを使用した本発明の実施形態を示している。
【0069】
次に図16を参照すると、本発明の一実施形態に従った、1個人に対する複数のアイデンティティーの付与を示すブロック図が提示されている。図16に示すように、個人1600は、異なる目的のための複数のアイデンティティーを有することができる。個人1600は、クレジットカード(1602,1618)のような支払いオーソリティーの顧客、ゴルファー1604、軍隊のメンバー1606、および医学の患者1608であるかもしれない。個人はまた、学生1610、 投資家1612、被雇用者1614、大学の同窓生1616、および自動車ドライバ1620である可能性がある。夫々のアイデンティティー1602〜1620 は、関連のデータに結び付けられる。例えば、ゴルファーアイデンティティー1604のための関連データは、ゴルファーのハンデキャップ1624を含んでいてもよい。医療患者アイデンティティー1608は、患者の医療履歴1628を含んでいてよい。しかし、ゴルファーアイデンティティー1604は、何等かの医療履歴情報1628を知る必要はなく、また医療患者アイデンティティー1608は、ゴルファーのハンディキャップ1624について知る必要はない。
【0070】
図16を更に参照すると、一つのアイデンティティーについての関連データの幾つかまたは全ては、もう一つのアイデンティティーについての関連データと同じであるかもしれない。例えば、学生アイデンティティー1610についての幾つかの関連データ(例えば学位課程)は、同窓生アイデンティティー1616についての関連データと同じであるかもしれない。
【0071】
次に図17を参照すると、本発明の一実施形態に従った、アイデンティティーのための複数組のユーザデータ付与を示すブロック図が提示されている。図17に示すように、ユーザデータ1704〜1720はセキュリティー保護されたユーザデータ記憶装置1702に保存される。セキュリティー保護されたユーザデータ記憶装置1702は、ユーザによって制御される(ユーザ制御される)。ユーザデータ1704〜1720は、暗号化されたデータおよび/または認証されたデータを含んでいてよい。セキュリティー保護されたユーザデータ記憶装置1702は、携帯電話、PDAまたはスマートカード等のような携帯可能な装置含んでなるものであってもよい。セキュリティー保護されたユーザデータ記憶装置1702はまた、Webサーバまたは他のコンピュータ上のファイルを含んでいてもよい。
【0072】
本発明の一実施形態によれば、ユーザデータの一部はピットマップ化される。該ユーザデータは、例えば、グループまたはカテゴリーにおける帰属に基づいてビットマップ化される。例えば、ユーザのデータの一部は、当該ユーザが興味を持っている書物のカテゴリーに従ってビットマップ化される。
【0073】
次に図18を参照すると、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上の複数の団体間での取引の実行を示すブロック図が提示されている。図18は、売主のWebサイトからの製品の購入を示している。セキュリティー保護されたユーザデータ記憶装置1802は、図17の参照番号1702に関連して先に示したように、本人確認のための複数組のユーザデータを保存している。セキュリティー保護されたユーザデータ装置708は、デスクトップコンピュータ、スマートカード、PDA等上にあってよい。1829において、ユーザは支払いエージェントのWebサイトにおいて、支払いエージェント1(1810)に登録する。当該ユーザの登録に特異的なユーザデータは、セキュリティー保護されたユーザデータ記憶装置1802に保存される。支払いエージェント(1810)は、ユーザ認証が要求されるかどうかを決定する。ユーザ認証が要求されれば、支払いエージェント1(1810)はまた、ユーザ認証の要求されるレベルを決定する。更に、支払いエージェント1(1810)は、ユーザの登録に特異的なユーザデータが暗号化されなければならないかどうかを決定する。
【0074】
本発明の実施形態に従えば、ユーザ登録データは、その後のサービスプロバイダWebサイトへの訪問のために使用されるユーザ認証情報を含んでいる。換言すれば、サービスプロバイダに特異的なユーザまたはユーザデータへの参照は、同じサービスプロバイダのWebサイトを訪問するためにユーザデータの組が使用されるときは何時でも、サービスプロバイダWebサイトに提示される。この特定のサービスプロバイダWebサイトのユーザ認証要件は、追加のユーザ認証が必要とされるかどうかを決定するであろう。例えば、保存されたユーザ認証データは、インターネットに基づく電子メールサイトに繰返し訪問するためには充分であるかもしれないが、軍隊Webサイトへの接続には、保存されたユーザ認証データにかかわらず、そのサイトを訪問する毎に、生物測定のような追加のユーザ認証手段を要求される可能性がある。
【0075】
図18を更に参照すると、1828において、出荷エージェント1818に登録するために同じユーザデータ組が使用される。こうして、出荷エージェントWebサイト1818は、何等かの要求されたデータ認証および/またはユーザデータの暗号化を実行し、該ユーザデータをセキュリティー保護されたユーザデータ記憶装置1802へと返送する。この時点で、セキュリティー保護されたユーザデータ記憶装置1802は、二つのWebサイト(1810,1818)に登録するために使用したユーザデータ組を含んでいる。1830においては、該ユーザデータ組を使用して、売主AのWebサイト(1806)で品目が購入される。売主A 1806は、支払い決済のために、該ユーザデータを支払いエージェント1(1810)に送信する。ユーザデータの暗号化が要求されるならば、支払いエージェント1(1810)は該ユーザデータを解読する。エージェント1(1810)は、売主が提供する取引の詳細と共に該ユーザデータを使用して、この購入が決済されるかどうかを決定する。1832において、支払いエージェント1(1810)は売主A 1806に決済指示を送信する。次に、売主1806は、セキュリティー保護されたユーザデータ記憶装置1802から、注文情報および出荷情報を含む履行記録を作成する。1838において、売主A 1806は、該履行記録を履行会社1814に送信し、該履行会社1814は、ユーザデータに由来する履行記録からの出荷情報を使用して、当該注文を履行する。1840において、履行会社1814は購入された商品を出荷エージェント1818に輸送する。1842において、出荷エージェントは、安全データ記憶装置1(1802)からの出荷情報の住所へと商品を配送する。
【0076】
同様の方法で、他の多くの装置およびサブシステム(図示せず)を接続してもよい。また、上記のように、本発明を実施するためには、図7における全ての装置が存在する必要はない。更に、この装置およびサブシステムは、図7に示したものとは異なる方法で相互接続されてもよい。本発明を実施するためのコードは、システムメモリーに動作可能に配置されてもよく、または固定ディスク、フレキシブルディスクまたはCD-ROMのような記憶媒体に保存されてもよい。
【0077】
本発明の一実施形態に従えば、Webサイトは、ユーザのプロファイルを保持する。 プロファイルの用途の一例は、特定のWebサイトでのユーザの活動を追跡することである。このプロファイルは、売主Aとのユーザの活動の性質に関する情報を保持する。例えば、該プロファイルは、訪問の頻度、以前に購入された品目、調査されたが購入されなかった品目、好ましい出荷方法および好ましい支払方法に関する情報を保持し、売主A 1806が、特定のユーザデータ組の購入パターンに適合した知的サービスを提供することを可能にする。
【0078】
セキュリティー保護されたユーザデータ記憶装置1(1802)におけるユーザデータ組に関して上記で述べた同じプロセスは、セキュリティー保護されたユーザデータ記憶装置2(1804)におけるユーザデータ組にも同様に適用される。
【0079】
次に図19を参照すると、本発明の一実施形態に従って、プライバシーを維持しながら複数の団体の間で取引を行うための方法を示すフロー図が提示されている。1900において、ユーザは、ユーザ制御された保存装置、またはWeb上でこのような装置へのアクセスを制御するためのキーを受け取る。1905において、サービスプロバイダに登録するときであるかどうかに関する決定がなされる。サービスプロバイダに登録するときであれば、1910において、登録プロセスから得られたユーザデータがユーザ制御の安全保存装置に保存される。幾つかのユーザデータは暗号化されてもよい。加えて、幾つかのユーザデータは暗号的に認証される。1915において、ユーザ制御の安全保存装置に保存されたユーザデータを使用するときであるどうかの決定が、ユーザによって行われる。該ユーザデータを使用するときであれば、1920において、一以上のサービスを得るために、ユーザ制御のセキュリティー保護された記憶装置に保存されたユーザデータが使用される。1925において、ユーザデータが未だ有効であるかどうかの判断がなされる。ユーザデータが未だ有効であれば、1915において実行が後続される。ユーザデータが最早有効でなければ、それは1930において破棄される。
【0080】
本発明の一実施形態に従えば、新たなサービスを得るために必要なユーザデータは、新たなサービス要求を、先の登録から得られた少なくとも一つのユ一つのユーザデータ組と組合せることによって得られる。例えば、第一の書籍売主Webで買物をするユーザは、Webサイトで購入した書籍および調査したが購入しなかった書籍の両方に基づいて、一定のカテゴリーに属する書籍についての一以上の嗜好選択を示してもよい。第一の書籍売主は、この情報をプロファイルに保存する。当該ユーザは、第二の書籍売主Webサイトで買物をするときに、この情報の全部または一部を使用することを望むかもしれない。従って、第二の書籍売主Webサイトでのサービスについてユーザが行うサービス要求は、第一の書籍売主サイトでの買物で使用したプロファイル情報と自動的に組合わされて、第二の書籍売主Webサイトでの買物のときにユーザが使用するための新たなプロファイルが形成される。
【0081】
次に、図20を参照すると、本発明の一実施形態に従い、ユーザ制御の装置に保存されたユーザデータを使用してサービスを得る方法を示すフロー図が提示されている。図20は、図19の参照番号1920についての更なる詳細を提供するものである。2000において、ユーザはWebサイトを訪問する。2005において、サービス要求および関連のユーザデータが、サービスプロバイダのサーバに提示される。2030において、サーバはこのサービス要求および関連のユーザデータを受取る。2040において、サービスプロバイダは該ユーザデータを処理して、提供されたユーザデータがその要求を許可するのに充分であるかどうかを決定する。2045において、該サーバは、このユーザデータが首尾良く処理されたかどうかを決定する。もし、このユーザデータが成功裏に処理されなければ、要求されたサービスは2050において拒絶され、サービスを要求したユーザに対してサービスの拒絶2055が送られる。ユーザデータが首尾良く処理されれば、2060においてサービスが提供される。2010において、ユーザはサービス要求が成功したかどうかを決定する。サービス要求が不成功であれば、2015で失敗の表示がなされ、2075においてプロセスは終了する。サービス要求が成功すれば、2025においてサービスが使用される。
【0082】
図21および図22は、図20の参照番号2060についての更なる詳細を提供するものである。図21は、保存されたユーザデータに基づくWebサイトのカスタマイズによるサービス提供を示しているのに対して、図22は、製品を購入し且つ該製品をユーザに配送してもらうために、ユーザ制御の装置に保存されたユーザデータを使用することによるサービス提供を示している。これらのサービス提供の例は、如何なる意味でも制限的なものではない。当業者は、サービスを提供し得る他の多くの形態を理解するであろう。
【0083】
次に、図21を参照すると、本発明の一実施形態に従うサービス提供のための方法を示すフロー図が提示されている。図21は、図20の参照番号2060についての更なる詳細を提供するものである。2100において、ユーザデータが受理される。2105において、Webサイトの一以上のWebページが、ユーザ制御の装置に保存されたユーザデータに基づいてカスタマイズされる。
【0084】
次に、図22を参照すると、本発明の一実施形態に従って、ユーザデータに従うサービスを提供するための方法を示すフロー図が提示されている。図22は、図20の参照番号2060についての更なる詳細を提供するものである。2200において、売主は、ユーザ制御のセキュリティー保護された装置からの支払いデータを用いて支払い決済を行う。2205において、売主は、ユーザ制御のセキュリティー保護された装置からの注文および出荷情報を含んだ履行記録を作成する。2210において、売主は、履行記録を履行会社に送信する。2215において、該履行会社は、ユーザデータに由来する履行記録からの出荷情報を使用して、当該注文を履行する。2220において、履行会社は購入された商品を出荷エージェントに輸送する。2225において、出荷エージェントは、ユーザ制御によるセキュリティー保護された装置からの情報にある出荷宛先へと商品を配送する。
【0085】
次に、図23を参照すると、本発明に従って、セキュリティー保護された装置からの支払い情報を使用して支払い決済を行うための方法を示すフロー図が提示されている。図23は、図22の参照番号2200についての更なる詳細を提供するものである。2300において、売主は、セキュリティー保護装置に由来する支払いデータを使用して、当該要求に課される料金等の取引の詳細を含む支払い要求を、支払い-清算エージェントに送信する。2305において、支払い-清算エージェントは、支払い要求および請求額を受取る。2310において、支払い-清算エージェントは回答を送信する。例えば、この支払い-清算エージェントは、取引IDおよび請求額を送信すればよい。該回答の内容に応じて、該回答の全部または一部は、暗号法により暗号化されたメッセージを含んでいてもよい。
【0086】
図24〜図30Aは、ユーザデータについての資格認定フォーマットを用いた本発明の実施形態を示している。この資格認定フォーマットは、図9Aおよび図9Bを参照して上記で説明した通りである。該資格認定フォーマットの使用は、説明目的のためだけに提示されるものである。当業者は、他のフォーマットも使用し得ることを理解するであろう。
【0087】
次に、図24を参照すると、本発明の一実施形態に従った、本人確認のための複数の資格認定付与を示すブロック図が提示されている。図24は、サービス資格認定2404〜2420がセキュリティー保護された装置2402に保存される点を除き、図17と同様である。換言すれば、図24のサービス資格認定2404〜2420は、直接的または間接的に、図17のユーザデータ1704〜1720に基づいており、且つこれらを含んでいる。
【0088】
次に、図25を参照すると、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上においてサービス資格認定を使用することによる複数の団体の間での取引の実行を示すブロック図が提示されている。図25は、売主Webサイトからの製品の購入を示している。セキュリティー保護されたサービス資格認定記憶装置2502は、図24の参照番号2402に関して先に説明したように、本人確認のための複数組のサービス資格認定を保存する。セキュリティー保護されたサービス資格認定記憶装置2052は、デスクトップコンピュータ、スマートカード、PDAなどに存在すればよい。2526において、ユーザは、支払いエージェントのWebサイトで支払いエージェント1(2510)に登録する。当該ユーザの登録に特異的なサービス資格認定が、セキュリティー保護されたサービス資格認定記憶装置2502に保存される。支払いエージェント1(2510)は、ユーザ認証が要求されるかどうかを決定する。ユーザ認証が要求されるならば、支払いエージェント1(2510)はまた、要求されるユーザ認証のレベルを決定する。加えて、支払いエージェント1(2510)は、当該ユーザの登録に特異的なサービス資格認定に含まれるユーザデータが、暗号化されなければならないかどうかを決定する。
【0089】
本発明の実施形態に従って、ユーザデータは、その後のサービスプロバイダWebサイトへの訪問のために使用されるユーザ認証情報を含んでいる。換言すれば、サービス資格認定を使用して、同じサービスプロバイダWebサイトに訪問するときは常に、オーソリティー特異的な認証データまたは該データへの参照が、該サービスプロバイダWebサイトに提示される。特定のサービスプロバイダWebサイトのユーザ認証要件は、追加のユーザ認証が必要かどうかを決定するであろう。例えば、保存されたユーザ認証データは、インターネットに基づく電子メールサイトへの反復訪問には充分であり得るが、軍隊Webサイトにサインインするためには、保存されたユーザ認証データにかかわらず、訪問する毎に生物学的基準のような追加のユーザ認証手段を要求されるかもしれない。
【0090】
図25を更に参照すると、2528において、ユーザ2500は出荷エージェント2518に登録して、出荷宛先のような特定のデータを提供する。出荷エージェント2518に登録するときに2528において提供されたデータは、2528で支払いエージェント2510に登録するときに提供されたデータとは、全体的または部分的に異なるかもしれない。従って、出荷エージェントWebサイト2518は、サービス資格認定の何等かの必要なデータ認証および/または暗号化を行い、該サービス認定をセキュリティー保護されたサービス資格認定記憶装置2502に返送する。この時点で、セキュリティー保護されたサービス資格認定記憶装置2502は、オーソリティーとして機能する二つのWebサイト(2510,2518)に登録することにより作成された、サービス資格認定の組を含んでいる。2530では、売主AのWebサイト(2506)での買い物のようなサービスを得るために、このサービス資格認定の組が使用される。購入のための品目が選択されたら、売主A 2506は、セキュリティー保護されたサービス資格認定記憶装置から得たサービス資格認定を、支払い決済のための支払いエージェント1(2510)へと送信する。何等かの必要なデータが暗号化されていれば、支払いエージェント1(2500)は、サービス資格認定に含まれる如何なるデータをも解読する。支払いエージェント(2510)は、売主が提供した取引の詳細と共に該サービス資格認定に含まれるデータを使用して、当該購入が決済されるかどうかを決定する。2532において、支払いエージェント1(2510)は決済指示を売主A2506に送信する。次いで、売主A2506は、セキュリティー保護されたサービス資格認定記憶装置2502から得た注文情報および出荷情報を含んだ、履行メッセージを作成する。本発明の一実施形態に従えば、この履行メッセージは履行資格認定を含んでいる。2538において、売主A2506は、該履行メッセージを履行会社2514に送信し、履行会社2514は、この履行メッセージからの出荷情報を使用して当該注文を履行する。2540において、履行会社2514は購入された商品を出荷エージェント2518へと輸送する。2542において、出荷エージェントは該商品を、セキュリティー保護されたデータ記憶装置1(2502)からの出荷情報にある宛先へと商品を配送する。
【0091】
次に、図26を参照すると、本発明の一実施形態に従ってプライバシーを維持しながら、開放ネットワーク上において、サービス資格認定を使用して複数の団体間で取引を行うための方法を示すフロー図が提示されている。2600において、サービス資格認定が付与される。2605において、該資格認定を使用する時点であるかどうかに関する決定がなされる。それがサービス資格認定を使用する時点であれば、2610において、サービスを得るために該サービス資格認定が使用される。2615において、当該資格認定が未だ有効であるかどうかに関する決定がなされる。該サービス資格認定が未だ有効であれば、2620において、該サービス資格認定が更新されなければならないかどうかに関する決定がなされる。該サービス資格認定が更新されなければならないならば、それは2625において更新される。サービス資格認定が最早有効でなければ、それは2630において破棄される。
【0092】
次に、図27を参照すると、本発明の一実施形態に従った、入れ子式資格認定の使用を示すブロック図が提示されている。図27は、図25を参照して述べた例のための、図9Bの資格認定フォーマットの使用を示している。この例では、01-JAN-2002に、ユーザがWeb体験を開始する。ログイン資格認定2700が、当該Webへのユーザのアクセスを可能にする。ログイン資格認定2700は、二つの資格認定パラメータ2708を含んでいる。「タイプ」パラメータは、その資格認定が「ログオン」資格認定であり、また資格認定データがユーザプロファイルであることを示す。「QoS」パラメータは、(ユーザ名、パスワード)の組合せがユーザを認証するために使用されたことを示す。また、「有効期限」パラメータは、資格認定が01-JAN-2002に満了することを示す。この資格認定データ2710は、ビットマップ化された顧客プロファイルを含んでおり、シールされた資格認定データ2712は存在しない。ログオン資格認定2700はまた、入れ子式資格認定2714を含んでいる。参照番号2702は、入れ子式資格認定2714の拡大図である。
【0093】
入れ子式資格認定(2714,2702)は、支払い資格認定2716および出荷エージェント資格認定2718を含んでいる。支払い資格認定パラメータ2724は、該資格認定がクレジットカード支払い資格認定であることを示している。資格認定データ2726は、資格認定の保有者が許諾される購入クラスを含んでいる。購入クラスの例には、例えば特定の最大価格についてのホテル支払いまたは書籍支払いが含まれる。シールされた資格認定データ2728は、口座番号および実際の利用限度額のようなカード保有者の詳細が含まれる。
【0094】
出荷エージェント資格認定パラメータ2736は、当該資格認定が「出荷」資格認定であることを示す。資格認定データ2738は、顧客における最新の出荷エージェントの場所およびサービスの種類を含んでいる。シールされた資格認定データ2740は、出荷エージェントの口座番号および出荷宛先を含んでいる。
【0095】
次に、図28Aを参照すると、本発明の一実施形態に従ってプライバシーを維持しながら、開放ネットワーク上において、サービス資格認定を使用して複数の団体の間で取引を行うための方法を示すフロー図が提示されている。2800において、セキュリティー保護されたサービス資格認定記憶装置が受取られる。2805において、それがオーソリティーに登録する時であるかどうかに関する決定がなされる。それが登録する時であれば、2810において、登録要求で与えられた情報に基づいてサービス資格認定が付与される。2815では、資格認定暗号および資格認定オーソリティー対等グループIDが保存される。それらは、ユーザ制御されたパーソナル装置に保存される。ユーザ制御されたパーソナル装置の例には、例えば、スマートカード、携帯電話、個人用デジタルアシスタント(PDA)等が含まれる。或いは、それらはWebロッカーに保存されてもよく、該ロッカーへのデジタルキーはセキュリティー保護された装置に保存すればよい。2820において、それがサービス資格認定を使用する時点であるかどうかに関する決定がなされる。それがサービス資格認定を使用する時点であれば。2825において、サービスを得るためにサービス資格認定が使用される。2830においては、サービス資格認定が未だ有効であるかどうかに関する決定がなされる。サービス資格認定が未だ有効であれば、2835において、サービス資格認定が更新されなければならないかどうかに関する決定がなされる。サービス資格認定を更新しなければならないならば、それは2840において更新される。資格認定が未だ有効であるときは、2820において実行が継続される。資格認定が最早有効でなければ、それは2845において破棄される。
【0096】
次に、図28Bを参照すると、本発明の一実施形態に従ってサービスを得るために、ユーザ制御された装置上に保存されたサービス資格認定を使用するための方法を示すフロー図が提示されている。図28Bは、図28Aの参照番号2825についての更なる詳細を提供する。図20がユーザデータの使用を示しているのに対して、図28Bはサービス資格認定の使用を示していることを除き、図28Bは図20と同じである。
【0097】
次に、図29を参照すると、本発明の一実施形態に従って、サービスを提供するための方法を示すフロー図が提示されている。図29は、図28Bの参照番号2850についての更なる詳細を提供する。2900において、売主は、購入されるものに特異的な顧客サービス資格認定から抽出された、入れ子式の支払い資格認定を使用して支払い決済を行う。2905において、この売主は、注文情報および顧客サービス資格認定から抽出された出荷資格認定を含んだ履行メッセージを作成する。本発明の一実施形態に従えば、この履行メッセージは履行資格認定を含んでなるものである。2910において、売主は、該履行メッセージを履行会社へ送信する。2915において、該履行会社は、この履行メッセージから抽出された入れ子式の出荷資格認定を使用して、当該注文を履行する。2920において、該履行会社は、購入された商品を出荷エージェントへと輸送する。2925において、出荷エージェントは、当該商品を、資格認定のシールされた部分に暗号化された宛先へと配送する。
【0098】
上記例における資格認定の使用は、如何なる意味でも制限的であることを意図するものではない。当業者は、他のデータフォーマットを使用してもよいことを理解するであろう。
【0099】
当該注文を履行するために履行会社を使用しない本発明の一実施形態に従えば、履行メッセージ(図29の参照番号2905)が作成された後、該履行メッセージはセキュリティー保護されたサービス資格認定記憶装置に保存される。本発明の一実施形態に従えば、当該履行メッセージは、PDA、携帯電話またはスマートカードのような携帯装置に保存される。本発明のもう一つの実施形態に従えば、履行資格認定を含むWebロッカーへのデジタルキーが該装置に保存される。次いで、ユーザはセキュリティー保護されたサービス資格認定記憶装置を売主の店に持って行き、自分でサービス資格認定を売主に提示する。売主はこの資格認定を処理し、何等かの必要とされるユーザ認証を行う。ユーザが適正に認証されたら、売主は購入された品目をこの顧客に与える。
【0100】
次に、図30Aを参照すると、本発明の一実施形態に従って、サービス資格認定から抽出された入れ子式の支払い資格認定を使用して、支払いを決済するための方法を示すフロー図が提示されている。図30Aは、図29の参照番号2900についての更なる詳細を提供する。3000において、売主は、請求額のような要求された取引の詳細を含む、サービス資格認定からの入れ子式支払い資格認定を使用して、支払い-清算エージェントに対して支払い要求を送信する。3005において、支払い-清算エージェントは、入れ子式資格認定のシールされた部分を暗号化する。3010において、支払い-清算エージェントは回答を送信する。例えば、清算エージェントは、取引識別子および請求額を含む回答を送信すればよい。該応答の内容に応じて、該応答の全部または一部が、暗号法的に暗号化されたメッセージからなるものであってもよい。
【0101】
図30B〜図33は、セキュリティー保護されたユーザデータ補完のためにスマートカードを使用した、本発明の実施形態を示している。
【0102】
資源制約を受けた装置は、典型的なデスクトップコンピュータ等に比較して、一般に、メモリーおよび/または計算処理能力または速度において比較的限定されたものとみなされる。以下で述べる特定の実施はスマートカードを参照して説明するが、本発明は他の資源制約を受ける装置と共に使用することができ、これには携帯電話、境界スキャン装置、フィールドプログラマブル装置、パーソナルデジタルアシスタント(PDA)およびポケットベル、並びに他の小型または小フットプリントの装置が含まれるが、これらに限定されない。本発明はまた、資源制約のない装置上でも使用できる。
【0103】
この開示の目的において、「プロセッサ」の用語は、物理的コンピュータまたはバーチャルマシンを意味するために使用され得る。
【0104】
次に、図30Bを参照すると、本発明の一実施形態に従った、本人確認のための複数組のユーザデータの付与を示すブロック図が提示されている。図31Aは、セキュリティー保護されたデータ記憶装置(図17の参照番号1702)としてスマートカード3050が使用されている点を除き、図17と同じである。
【0105】
次に、図31を参照すると、本発明の一実施形態に従ってプライバシーを維持しながら、開放ネットワーク上でスマートカードを使用した、複数の団体間での取引の実施を示すブロック図が提示されている。図31は、セキュリティー保護されたユーザデータ記憶装置(図18の参照番号1802および1804)としてスマートカード(3102,1304)が使用されることを除き、図18と同じである。
【0106】
次に、図32を参照すると、スマートカードのような資源制約を受ける装置のための、セキュリティー保護されたユーザアクセス制御機能を提供するために使用できるアプレットの開発を示すブロック図が提示されている。スマートカード3240のような資源制約された装置のためのアプレットの開発は、JavaTMプログラムの開発と同様にして開始される。即ち、開発者は、一以上のJavaTMクラスを書き、JavaTMコンパイラを用いてソースコードをコンパイルして、一以上のクラスファイル3210を作成する。該アプレットは、カード3240上の環境をエミュレートするためのシミュレーションツールを使用して、例えばワークステーション上で実行、試験、およびデバッグすることができる。該アプレットをカード3240へダウンロードする準備ができたときに、クラスファイル3210は、コンバータ3214によって変換されたアプレット(CAP)ファイル3216に変換される。該コンバータ3214は、デスクトップコンピュータによって実行されるJavaTMアプリケーションであることができる。コンバータ3214は、その入力として、変換すべきクラスファイル3210に加え、一以上のエクスポートファイルを許容することができる。エクスポートファイル3212は、変換されるクラスによってインポートされる他のパッケージの内容のための名称またはリンク情報を含んでいる。
【0107】
一般に、CAPファイル3216は、単一のJavaTMパッケージにおいて定義された全てのクラスおよびインターフェースを含んでおり、8ビットバイトのストリームによって表される。全ての16ビット量および32ビット量は、それぞれ、二つまたは四つの連続する8ビットバイトで読取ることによって構築される。とりわけ、CAPファイル3216は一定のプールコンポーネント(または「一定プール」)3218を含んでおり、これは方法コンポーネント3220とは別にパッケージされる。一定プール3218は、方法およびフィールド参照を含む種々のタイプの定数を含むことができ、これらはプログラムがスマートカード3240にリンクされるとき、または該カードにダウンロードされるとき、または該スマートカードによる実行のときに分離される。方法コンポーネント3220は、スマートカード3240にダウンロードされ且つその後に該スマートカードによって実行されるべき、アプリケーション命令を特定する。
【0108】
変換の後、CAPファイル3216は、ハードディスク、フレキシブルディスク、光記憶媒体、フラッシュ装置または他の幾つかの適切な媒体のような、コンピュータ読み取り可能な媒体3217に保存することができる。或いは、このコンピュータ読取り可能な媒体は、キャリア波の形態、例えば、ネットワークデータ送信または無線周波数(RF)データリンクであることができる。
【0109】
次いで、このCAPファイル3216は、周辺カード読取り器3224を備えたデスクトップコンピュータのような端末3222にコピーまたは転送される。カード読取り器3224は、スマートカード3240に情報を書き込み、または該カードから検索することを可能にする。カード読取り器3224は、スマートカード3240を挿入できるカードポート(図示せず)を含んでいる。挿入されると、コネクタからの接点がスマートカード3240の表面接続領域に圧接して、スマートカードに電力を与え、また該カードとの通信を可能にするが、他の実施形態ででは無接触通信を使用することができる。端末3222はまた、カード3240への送信のためのCAPファイル3216をロードするインストールツール3226を含んでいる。
【0110】
スマートカード3240は、一組の接点を含むことができる入力/出力(I/O)ポート3242を有しており、これを通してプログラム、データおよび他の通信が提供される。カード3240はまた、CAPファイル3216の内容を受信し、カード3240上で実行するためのアプレットを調製するためのインストールツール3246を含んでいる。このインストールツール3246は、例えばJavaTMプログラムとして構築することができ、またカード3240上で実行することができる。カード3240はまた、RAM 3250のような揮発性メモリーを含むメモリーを有している。また、カード3240は、ROM 3252、およびEEPROM 3254のような不揮発性メモリーを有している。コントローラ3244によって調製されたアプレットは、EEPROM 3254に保存することができる。
【0111】
一つの特定の実施において、該アプレットは、マイクロプロセッサ3248上で動作するバーチャルマシン3249によって実行される。バーチャルマシン3249(JavaTMカードバーチャルマシンと称することができる)は、CAPファイル3216をロードまたは操作する必要はない。むしろ、JavaカードTMバーチャルマシン3249は、CAPファイル3216として先に保存されたアプレットコードを実行する。JavaカードTMバーチャルマシン3249とインストールツール3246の間の機能的分割は、該バーチャルマシンおよびインストールツールの両方を比較的小さく維持することを可能にする。
【0112】
一般に、器具、およびスマートカード3240のような資源制約されたプラットホームのために書かれたアプレットは、JavaTMプラットホームパッケージのための標準規則に従う。JavaTMバーチャルマシンおよびJavaTMプログラム言語は、T, Lindholm et al., The JavaTM Virtual Machine Specification (1997);および K. Arnold et al., The JavaTM Programming Language Second Edition (1998)に記載されている。スマートカードプラットホームのためのアプリケーションプログラミングインターフェース(API)クラスは、パッケージ指定を含むJavaTMソースファイルとして書くことができ、ここでのパッケージは多くの複合ユニットを含み且つユニークな名称を有している。パッケージ機構は、クラス、フィールドおよび方法を同定し、これらへのアクセスを制御するために使用される。このJavaカードTMAPIは、JavaTMカードを有効にした一つのプラットホームのために書かれたアプリケーションを、JavaカードTMが有効な他の何れかのプラットホーム上で動作させることを可能にする。加えて、JavaカードTMAPIは、ISO 7816のような正式の国際標準およびEuropay/MasterCard/Visa (EMV)のような産業特異的な標準との互換性がある。
【0113】
マイクロプロセッサ3248上で動作するバーチャルマシン3249は、スマートカード3240上でバイトコード(bytecodes)を実行するための一つの実現として記載されているが、別の実現においては、代りにアプリケーション特異的集積回路(ASIC)、またはハードウエアおよびファームウエアの組合せを使用することもできる。
【0114】
図32を参照すると、コントローラ3244は、CAPファイル3216の内容を受信して、プロセッサ3248により実行されるアプレットを調製するために、インストールツール3246を使用する。該インストールツール3246は、例えば、スマートカード3240上で実行されるように適切に変換されたJavaTMプログラムとして実現することができる。下記の説明においては、コントローラ3244はマイクロプロセッサ3248上で動作するバーチャルマシンプログラム3249を含んでなることが仮定される。バーチャルマシン3249は、CAPファイル3216をロードまたは操作する必要がない。むしろ、バーチャルマシン3249は、CAPファイル3216におけるアプレットコードを実行する。該バーチャルマシン3249とインストールツール3246との間での機能分割は、バーチャルマシンおよびインストールツールの両方を比較的小さく維持することを可能にする。別の実現においては、コントローラ3244をアプリケーション特異的集積回路(ASIC)として配線で接続することができ、或いは、それをハードウエアおよびファームウエアの組合せとして実現することもできる。
【0115】
図33Aに示すように、コンピュータ3322には、図32のカード3240を収容するためのカード読取り器3324が装備される。該コンピュータ3322は、サーバ3347のような他の複数のコンピュータ処理装置と通信するデータ通信ネットワーク3345に接続されてもよい。カードを装備した装置を使用することにより、データ通信ネットワーク3345上で、データおよびソフトウエアをスマートカードにロードすることが可能である。この種のダウンロードには、スマートカードにロードされるべきアプレットまたは他のプログラム、並びに種々の電子商取引および他のアプリケーションに従って使用されるプロファイルデータ、デジタルキャッシュおよび他の情報を含めることができる。カード読取り器およびスマートカードの処理素子を制御するために使用される命令およびデータは、揮発性または不揮発性メモリーに保存しても良く、或いは、例えば該命令および/またはデータを含むキャリア波として、通信リンク上で直接受信してもよい。更に、例えば、ネットワーク3345はLAN、またはインターネットのようなWAN、または他のネットワークであることができる。
【0116】
本発明の実施形態に従えば、複数のユーザデータフォーマットを使用して、ユーザデータを同じセキュリティー保護されたユーザデータ記憶装置に保存してもよい。図33Bに示したように、セキュリティー保護されたユーザデータ記憶装置TBDは、次の五つのユーザデータフォーマットを使用する:サービス資格認定(3340,3344,3356,3358)、クッキー(3342,3350)、データフォーマット(3346)、テキストファイル(3348,3354)およびデータフォーマットB(3352)。当業者は、他のフォーマットが可能であることを理解するであろう。
【0117】
図33Bは、本発明の一実施形態に従った、本人確認のための、種々のタイプのユーザデータの割付けを示すブロック図である。
<プライバシー保護ログオン機構>
【0118】
図34〜図41は、ワールドワイドウエッブ上でユーザの個人情報を保護するために、ランダム化されたIDを使用する本発明の実施形態を示している。
【0119】
図34を参照すると、本発明の一実施形態に従った識別子を示すブロック図が提示されている。識別子3400は、本人確認サーバID 3450およびランダム化されたID 3410を含んでいる。本人確認サーバID 3450は、ランダム化されたID 3410に関連した追加の情報を含む一つの本人確認サーバを含んだ、一以上の連合された本人確認サーバの集合を識別する。本発明の実施形態に従えば、本人確認ランダム化ID 3414は、IDに関連し且つ本人確認連合サーバの一つの保存されたデータに対してコンピュータ処理される。本発明の一実施形態に従えば、該コンピュータ処理は、暗号アルゴリズムを使用することを含み、この場合、ID 3410は、図9Aの参照番号915および図9Bの参照番号945に関連して先に説明した、保存データの暗号を含んでいる。
【0120】
次に、図35を参照すると、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るためにランダム化ユーザ識別子を使用した、本人確認連合サーバおよびユーザ認証連合サーバの使用を示すブロック図が提示されている。図35は、ユーザ3530が、クライアントホスト3500に接続されたパーソナル装置(3540、3545、3550)を使用して、一以上のサービスプロバイダサーバ3515へのアクセスを得るための二つの機構を図示している。両機構は、図34のランダム化されたIDを使用してユーザの本人確認を行い、ユーザのプライバシーを保護する。第一の機構は、クライアントホスト3500との通信において、入口3505を用いる。該入口は、スマートカード3540、PDA3545または携帯電話3550を介してサービスプロバイダ3550への接続を可能にするために、本人確認機能およびユーザ認証機能を実行する。第二の機構は、パーソナル装置(3540、3545、3550)から直接、またはパーソナル装置(3540、3545、3550)からクライアントホスト3500を介して、サービスへのアクセスを可能にする。
【0121】
クライアントホスト3500は、ユーザ入力を受信でき、またユーザに情報を提示することができる端末またはキオスクを備えている。クライアントホスト3500は、Webに対するインターフェースを提供する。クライアントホスト3500は、スマートカードを許容するカード読取り器を備えるように構成すればよい。
【0122】
サービス入口3505は、Web体験を開始するために作成されたWebページのようなユーザインターフェースを含んでいる。該サービス入口3505は、ユーザがログオン資格認定を得る場所である。該ログオン資格認定は、実行されたユーザ認証の時刻印およびQoSの表示を含んでいてもよい。サービスプロバイダは、追加のユーザ認証を要求してもよい。
【0123】
サービスプロバイダサーバ3515は、Web上でアクセス可能な全てのWebサーバを表しており、これらはサービス入口3505を通して参照される。サービスプロバイダサーバ3505は、Web上でアクセス可能な全てのサービスを含んでおり、これらはそれ自身の入口を持たず、ユーザがログオンされることを要求する。この開示の目的において、「ログオン」されるとは、特定のサーバが、サービスを与えることに関連して、ユーザプロファイル等のユーザ特異的な情報を処理するための要件を意味する。例えば、サービスプロバイダサーバ3515は、資格認定オーソリティー、出荷エージェント、支払いエージェント、注文履行会社等を含むことができる。従って、サービスプロバイダサーバ3515は、サービス入口3505を介してユーザによりアクセスされてよい。また、一以上のサービスプロバイダサーバ3515は、直接または入れ子式資格認定を介してサービスプロバイダサーバを参照する資格認定を使用して、直接アクセスされてもよい。
【0124】
本人確認連合サーバ3520は、当該データに関連した品質陳述に従って、登録されるデータの信頼性、正確性および完全性を主張する。QoSは、実行される確認のレベルを表示するポリシー陳述への参照であってもよい。
【0125】
ユーザ認証連合サーバ3525は、GnutellaにおけるピアートゥピアーサーチプロトコルおよびJXTATMのような、対等グループ様式でユーザ認証を行う。
【0126】
PDA3454および携帯電話3550は、Bluetooth、IEEE 802.15、並びにFast Infrared(FIR)およびSerial Infraredを含む赤外データ協会(IrDA)データ標準を含むプロトコルを使用して、クライアントホスト3500と通信してもよい。当業者は、他のプロトコルを同様に使用し得ることを理解するであろう。
【0127】
PDA3545および携帯電話3550装置は、外部スマートカードを収容するカード読取り器を装備していてもよい。外部カード読取り器およびクライアントホスト3500へのリンクを装備していれば、PDA3545または携帯電話3550は、カード読取り器3535として使用してもよい。或いは、PDA3545および携帯電話3550は、外部カードなしで使用してもよい。更に、携帯電話3550は、サービスプロバイダサーバ3515と直接通信してもよい。
【0128】
本発明の一実施形態に従えば、クライアントホスト3500は好ましいサービス入口のリストを保有している。他のサービス入口を介して接続する前に、この好ましいリストにあるサービス入口を介しての接続が試みられる。
<サービスプロバイダサーバーへの直接アクセス>
【0129】
先に述べたように、サービスプロバイダサーバはユーザがログオンされることを要求する。本発明の一実施形態に従えば、入口は、それがユーザ認証を行い且つ認証ログオンメッセージを作成することにおいて、オーソリティーまたは単一のサインオンサービスサーバとして働く。本発明の一実施形態に従えば、該ログオンメッセージは、図9Aおよび図9Bを参照して説明した資格認定を含むものである。次いで、このログオン資格認定は、その後の単回サインオントークンとして使用するために、ユーザに返送される。ユーザは、この単回サインオントークンを、スマートカード、携帯電話またはPDAのようなパーソナル装置に保存してもよい。ログオン資格認定または単回サインオントークンは、ユーザがサービスプロバイダサーバに直接アクセスすることを可能にする。サーバへのアクセスのために必要とされるとき、ユーザはPDA、スマートカードまたは携帯電話のアクセスコントロールを活性化し、単回サインオントークンをサービスプロバイダサーバに送信する。サービスプロバイダサーバは、要求されたサービスの種類に応じて追加のユーザ認証を要求してもよい。
【0130】
次に、図36を参照すると、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るために、ランダム化ユーザ識別子を用いて、本人確認連合サーバおよびユーザ認証連合サーバを使用する方法を示すフロー図が提示されている。3605において、資格認定を使用する時点であるかどうかの決定がなされる。それが資格認定を使用する時点であれば、3610において、ランダム化されたIDがサービス入口に提示される。3615において、サービス入口は、ランダム化された識別子を含んだ個人情報連合サーバへとユーザ認証要求を送信する。3620において、本人確認サーバ対等グループの全てのサーバが、該ランダム化された識別子に適合するものをサーチする。3625において、適合するものが見つかったかどうかに関する決定がなされる。適合したものが存在しなければ、3630において指示がなされる。適合したものが存在すれば、3635において、適合するエントリーが個人情報連合サーバからユーザ認証連合サーバに提示され、単一の有効なユーザデータエントリーが決定される。要求されるユーザ認証の量および各ユーザ認証サーバの能力に応じて、要求されたユーザ認証を提供する際に複数のユーザ認証サーバが協働してもよい。
【0131】
本発明の一実施形態に従えば、連合した個人情報対等グループはサブグループから構成され、各サブグループには優先値が割当てられる。ランダム化されたIDは、該サブグループの優先度に従ってサーチされる。最も高い優先度を有するサブグループが最初に、ランダム化されたIDをサーチする。ランダム化されたIDが見つからなければ、次に高い優先値を有するサブグループがサーチを実行する。
【0132】
次に、図37を参照すると、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るために、ランダム化されたユーザ識別子を使用して本人確認連合サーバおよびユーザ認証連合サーバを使用する方法を示すフロー図が提示されている。3700において、ユーザはサービスについて登録する。3705では、この登録に応答して、ランダム化されたIDが受領される。本発明の一実施形態に従えば、印刷されたランダム化IDが受領される。本発明のもう一つの実施形態に従えば、このランダム化されたIDを表示するバーコードが受領される。3710において、該ランダム化されたIDが保存される。3715において、該IDを使用する時点であるかどうかに関する決定がなされる。それがIDを使用する時点であれば、3720において、サービスを得るために該ランダム化されたIDが使用される。
【0133】
ランダム化ID作成者とランダム化IDユーザとの間のポリシーが、ランダム化IDが有効であるかどうかを決定する。本発明の一実施形態によれば、ランダム化されたIDは予め定められた時間だけ有効である。本発明のもう一つの実施形態によれば、ランダム化IDは予め定められた使用回数だけ有効である。即ち、該IDは、それが無効になる前に、予め定められた回数だけ使用することができる。当業者は、他のID有効性メカニズムが可能であることを理解するであろう。
【0134】
図37を再度参照すると、3725において、当該IDが未だ有効であるかどうかに関する決定がなされる。該IDが未だ有効であれば、3715においてIDの使用が開始される。IDがバーコード形態であれば、それは該バーコードを操作することにより使用される。携帯電話、PDAまたはスマートカードのようなパーソナル装置にIDが保存されるならば、該番号はこのパーソナル装置からサービスプロバイダWebサーバに通信される。当該IDが最早有効でなければ、3720において新たなIDが受領され、サービスを得るために3710においてその使用が開始される。
【0135】
次に、図38を参照すると、本発明の一実施形態に従った本人確認サーバへの登録を示すブロック図が提示されている。3850において、ユーザ3825は、クライアントホスト3800を直接使用して、またはスマートカード3835、PDA3840または携帯電話3845のようなパーソナル装置を介してクライアントホスト3800を使用することにより、本人確認資格認定要求を本人確認連合サーバ3815に通信する。ユーザは、このユーザ本人確認資格認定要求3850の中に、保存すべきデータを含める。該要求はまた、好ましいユーザ認証機構およびサービス品質(QoS)インジケータを含んでいてもよい。本人確認連合サーバ3815は、QoSインジケータに従って、保存すべきデータの信頼性、正確さおよび完全さをい確認する。この確認には、上記で述べたデータ認証が含まれてもよい。また、この認証にはユーザ認証が含まれてもよい。
【0136】
本人確認連合サーバ3815が当該データを確認したら、該本人確認連合サーバ3815は、ユーザ認証連合サーバのうちの一つにこのユーザを登録する。これは、将来のログオン要求において、当該ユーザを認証するための一以上の特定のユーザ認証手続の実行を要求される可能性がある。3855において、本人確認サーバ3815は、クライアントホスト3800を介して、ユーザ本人確認資格認定をユーザ3825に返送する。
【0137】
ユーザ3825がサービス入口3805を使用してWeb上でサービスを得る前に、ユーザ3825は認証されなければならない。これは、ユーザ本人確認資格認定およびその中の認証されたデータを使用することによって達成される。これにより、サービス資格認定を生じることができる。ユーザ3825は、サーバグループIDおよびユーザ本人確認資格認定を含んだサービス要求を発する。サービス入口3805は、当該ユーザを認証するために、この本人確認資格認定を、サーバグループIDによって指示された本人確認連合サーバグループに回送する。本人確認連合サーバ3815は、幾つかまたは全てのユーザ認証の仕事を、ユーザ認証連合サーバ3820に委託してもよい。
【0138】
本発明の一実施形態に従えば、ユーザ認証には、ユーザ認証連合サーバ3820からユーザのパーソナル装置(3835、3840、3845)へと直接チャレンジを発することが含まれる。本発明の一実施形態に従えば、ユーザ認証には、ユーザ認証連合サーバ3820からクライアントホスト3800を介して、ユーザのパーソナル装置(3835、3840、3845)へチャレンジを発することが含まれる。
【0139】
本発明の一実施形態に従えば、チャレンジに対する応答は、チャレンジを発したユーザ認証連合サーバ3820へと直接に通信される。本発明のもう一つの実施形態に従えば、チャレンジに対する応答は、クライアントホスト3800を介して、チャレンジを発したユーザ認証連合サーバ3820に返送される。本発明の一実施形態に従えば、チャレンジに対する応答は携帯電話、スマートカード、PDAによって暗号処理される。
【0140】
ユーザが認証されたら、サービス入口3805は、クライアントホスト3800を介して、ログオン資格認定をクライアント3825に返送する。ユーザは、該ログオン資格認定を使用し、サービス入口3805を介してアクセス可能なサービスプロバイダからサービスを得ることができる。
【0141】
次に、図39を参照すると、本発明の一実施形態に従った可能な資格認定タイプを示すブロック図が提示されている。参照番号3900は、ユーザ本人確認資格認定の作成を表している。ユーザ本人確認資格認定は、ランダム化されたIDおよび本人確認オーソリティーのIDを含んでなるものである。
【0142】
ユーザ本人確認資格認定は、ユーザが、ユーザ本人確認連合サーバによって提供される単回サインオンサービスについて登録されていることを示す。ユーザ本人確認資格認定は、図38を参照して上記で説明された。
【0143】
ユーザ本人確認資格認定が得られたら、次いで、ユーザはログオンプロセスを実行してログオン資格認定を作成する。ログオン資格認定3905は、「セッションIDクッキー」として、クライアントホストに保存すればよい。ログオン資格認定3905は、該ログオン資格認定が何時失効するかの表示、およびクライアントホストIPアドレスまたは他のユニークな識別子を含んでおり、従って、特定のクライアントホストを、ログオン資格証明および該資格認定により表されるユーザに固定する。こうして、ログオン資格認定3905は時間および場所において制限される。ログオン資格認定の作成は、図38を参照して説明された。
【0144】
ログオン資格認定は、ユーザが、特定の場所の特定のクライアントホストを通してログされたことを示す。これは、正しい装置に配信されなければならない情報または他のコンテンツについてのセキュリティー保護された財産の配送または支払いを可能にする。ログオン資格認定は、ユーザがクライアントホストで作業しているときにのみ有効なので、クライアントホストに保存すればよい。
【0145】
ログオン資格認定3905を得るプロセスにおいて、新しい動的ユーザ本人確認資格認定を得てもよい。それは、再登録プロセスにおいて、追加のユーザデータおよび資格認定3910を用いて更新される。或いは、該ログオン資格認定3905は、サービス資格認定を作成するために使用してもよい。
【0146】
サービス資格認定は、サービスにアクセスするときにログオン資格認定を適用することにより得ることができる、特定のサーバとのセッションのための一回使用トークンであるのに対して、ログオン資格認定は、複数のサービスプロバイダについて複数の同時セッションのために使用することができる。サービスプロバイダは、それ自身の使用のためのサービス資格認定を作成する。サービス資格認定は、即時の使用または履行のために、または延期された使用もしくは履行のために、更なる特定のサービスを得るように適用してもよい。サービス資格認定が直ちにサービスを使用するために適用されれば、該要求された使用を満たすように履行資格認定3925が動的に作成され得る。参照番号3939は、それ以降は当該履行資格認定が最早使用できずに廃棄されるような、履行資格認定の消費または使用を表している。
【0147】
サービス資格認定が、後で使用するためのサービスに適用されるのであれば、権利キー資格認定を作成されればよい。この全体の権利キー資格認定は、セキュリティー保護されたクライアントホストまたはパーソナル装置に保存すればよい。或いは、この権利キー資格認定をロッカー39502保存し、ロッカーアクセス資格認定を作成し3955、次いでセキュリティー保護されたホストまたは個人用アクセス装置に保存してもよい。換言すれば、第一の方法は全体の権利キー資格認定をセキュリティー保護装置に保存するのに対して、第二の方法は全体の権利キーをWebの何処かの資源サーバに保存またはロックし、該権利キーに対するキーをセキュリティー保護された装置に保存する。ロッカーアクセス資格認定は特別な権利キー資格認定であり、ここでの権利キーによって保護された資源は、他の資格認定である。
【0148】
ロッカー機構の使用の一例は次の通りである:ユーザは、売主Webサイトで買物をし、1年間に亘って音楽トラックのセレクションを聞く権利を購入する。ユーザが購入した権利を保存するために一組の権利キー資格認定が使用され、また該権利キーは、後で当該資源に直接アクセスするために使用される。
【0149】
本発明のもう一つの実施形態に従えば、ログオン資格、サービス資格認定および履行資格認定の何れかははクッキーである。
【0150】
図39を参照して説明したプロセスは、如何なる意味でも限定的であることを意図しない。当業者は、他の目的のために、他の資格認定を作成してもよいことを理解するであろう。更に、図39に示した以外のシーケンスを使用して、資格認定を作成してもよい。
【0151】
次に、図40を参照すると、本発明の一実施形態に従って、プライバシーを維持しつつ分布した資源にアクセスするための、ランダム化された識別子の使用を示すブロック図が提示されている。図40に示すように、ユーザデータは複数の場所の間に分布する。ユーザが所有する資源へのアクセスは、一以上の資格認定によって保護される。資格認定にはランダム化されたIDが含まれ、レシピエントに関する何事も明らかにしない。このサーチおよび適合操作は、該データにアクセスするエンティティーの個人情報を完全に隠蔽し、従って、該資源を開きまたは該資源にアクセスすることによるユーザの個人情報の漏出を防止する。更に、幾つかの対等グループに亘ってデータを分布させることにより、何れの単一のエンティティーも、実際にはこれらグループの夫々が保存するユーザ情報を使用できないから、プライバシーが確保される。
【0152】
本発明の実施形態に従えば、ユーザ認証連合サーバは、本人確認連合サーバからの適合エントリーに対してユーザ認証を行う。このユーザ認証連合サーバは、要求されるQoSを支持するために十分なレベルのユーザ認証を行う。ユーザ認証は、第一のQoSを支持する資格認定を受け取り、追加のユーザ認証を行い、次いでより高いレベルのQoSを裏付ける資格認定を返送してもよい。
【0153】
次に、図41を参照すると、本発明の一実施形態に従って単一の有効なユーザデータエントリーを決定するために、適合するエントリーを本人確認連合サーバからユーザ認証連合サーバに提示するための方法を示すフロー図が与えられている。図41は、図36の参照番号3635のための更なる詳細を提供している。4100では、各ユーザ認証サーバについて、本人確認サーバによって見つかったユーザのためのユーザ記録が検索される。4105において、ユーザ認証のために要求されたQoSが現在のユーザ認証サーバに適合するかどうかに関する決定がなされる。現在のユーザ認証サーバが必要なQoSに適合できなければ、4110において、追加のユーザ認証を行うために、一以上の他の協働するユーザ認証サーバについての要求がなされる。現在のユーザ認証サーバが必要なQoSに適合すれば、4115において、クライアントはチャレンジ-応答プロトコルまたは他のプロトコルに使用に従事して、必要なQoSを得る。この関係において、「QoS」は、当該ユーザが実際に端末に存在し、また例えば購入取引のようなサービス要求を進めようとしていることを確立するために、協働するユーザ認証サーバによって如何に多くの努力がなされたかの指標である。4120において、ユーザ認証資格認定が返送される。
【0154】
本発明の一実施形態に従えば、ユーザ認証は、ユーザの携帯電話番号を決定し、携帯電話を介して、ユーザに対してユーザ認証チャレンジを発することを含んでいる。
【0155】
本発明のもう一つの実施形態に従えば、ユーザ認証は、網膜スキャンまたは指紋のような生物学的基準の使用を含んでいる。
【0156】
本発明のもう一つの実施形態に従えば、ユーザ認証は、スマートカードに対して、ユーザがカードのPIN数を入力したことを確認するための暗号化プロトコルに従事するように求めることを含んでいる。
【0157】
本発明のもう一つの実施形態に従えば、ユーザ認証は、スマートカードに対して、該カードに保存された生物学的基準を使用してユーザを認証するためのプロトコルに従事するように求めることを含んでいる。
【0158】
本発明のもう一つの実施形態に従えば、該カードのPIN数を入力するために、暗号化されたPINパッドが使用される。
【0159】
本発明のもう一つの実施形態に従えば、ユーザ認証は、パスワード/PINおよび生物学的基準の組合せを含んでいる。
【0160】
本発明のもう一つの実施形態に従えば、ユーザ認証連合サーバは、単回タイプのユーザ認証を行うように特化された少なくとも一つのユーザ認証サーバを含んでいる。異なる機能を行う別のユーザ認証サーバを有することは、個人に関するデータが複数のサーバ間に分散されるので、プライバシーを高める。
【0161】
図42A〜図46Cは、データにアクセスするために一以上の資格認定を用いる本発明の実施形態を図示している。
【0162】
図42Aを参照すると、本発明の一実施形態に従って資源サーバに保存されたデータを示すブロック図が提示されている。
図42Aに示すように、資源サーバは、資源4200および関連の権利キー資格認定識別子を含んでいる。資源は、例えば、Webページまたはオーディオトラックへのアクセスであってよい。各権利キー資格認定は、関連資源へのアクセスを可能にする一以上の暗号キーを含んでいる。従って、識別子4205は、資源へのアクセスを与える資格認定の識別子である。
【0163】
ユーザが資源を使用したいとき、ユーザは、権利キー資格認定および資源のための要求を資源サーバに提示する。資源サーバは、権利キー資格認定に適合する資源を見付ける。該資格認定における権利キーは、資源を開き、または該資源へのアクセスを得るために使用される。
【0164】
本発明の一実施形態に従えば、全体の権利キー資格認定が、セキュリティー保護された装置に保存される本発明のもう一つの実施形態に従えば、資格認定IDはセキュリティー保護された装置に保存され、権利キーの残部は別途保存される。
【0165】
この実施形態の一つの使用例は、所有者ではないが、該資源にアクセスするための所有者の許可を有する第三者(例えば、ユーザデータにアクセスする商人)が資源を要求する場合である。この場合、資源の所有者が登録していれば、該資源所有者はこの第三者に対して、該所有者の資格認定にアクセスしてそれを第三者の資格認定機構にコピーする権限を与えることにより、資格認定により保護された資源への間接的なアクセスを該第三者に提供することが可能である。第二の権利キーIDは、所有者ユーザが保有する権利キー資格認定を参照する資源に関連していてもよい。
【0166】
次に、図42Bを参照すると、本発明の一実施形態に従って資源サーバに保存されたデータを示すブロック図が提示されている。図42Bは、資源内容をユーザに配信するときに暗号保護を与える使用のために利用可能な、暗号保護機構4220への一以上の参照を含んでいる点を除き、図42Aと同じである。
【0167】
次に、図43Aを参照すると、本発明の一実施形態に従う、一組の権利キーを含む資源要求に応答した資源サーバからの資源の入手を示すブロック図が提示されている。
【0168】
次に、図43Bを参照すると、本発明の一実施形態に従う、一組の権利キーおよび配信保護機構への参照ならびに任意に標的装置を含む資源要求に応答した、資源サーバからの資源の入手を示すブロック図が提示されている。この実施形態に従えば、参照された暗号機構の保護の下で、クライアントホストまたは任意に提供された標的装置へと資源が配信される。
【0169】
次に、図43Cを参照すると、本発明の一実施形態に従った権利キー資格認定を示すブロック図が提示されている。資格認定データフィールド4346およびシールされた資格認定データフィールド4370は、暗号キーデータを含んでいる。公開キーは資格認定データフィールド4365に保存されてもよいが、秘密キーはシールされた資格認定データフィールド3740に保存される。入れ子式資格認定4375は、資源配信機構に関連した資格認定を参照してもよい。例えば、ユーザにMP3ファイルをプレーする権利を与える資格認定をもったユーザは、クライアントホストへの赤外接続を介して、MP3のようなクライアント装置との接続が直接なされるべきことを指示してもよい。これは、遠くに保存された資源の使用に対するユーザ制御を増大する。
【0170】
次に、図44を参照すると、本発明の一実施形態に従って、多重キーを要求する資源へのアクセスを得るための方法を示すフロー図が提示されている。4400において、資源サーバは、権利キー資格認定を含む資源要求を送信される。4405において、資源サーバは、当該キーを資源に関連した一組の識別子の中の識別子と照合する。4410において、新たなIDを作成しなければならないかどうかに関する決定がなされる。新たなIDを作成しなければならなければ、それは4415において作成される。この場合であれば、IDがユーザに返送される。4420において、4450で見つかった資源が返送される。
【0171】
次に、図45を参照すると、本発明の一実施形態に従って、多重キーを要求する資源へのアクセスを得るための方法を示すフロー図が提示されている。例えば、資源の所有者および該資源を要求するエンティティーが異なるエンティティーであるときに、多重キーが使用される可能性がある。4500において、資源サーバは、第一の権利キー資格認定および第二の権利キー資格認定を含む資源要求を送信される。4505において、資源サーバは両方のキーを、資源に関連した一組の識別子の中の識別子と照合する。4510において、新たなIDを作成しなければならないかどうかに関する決定がなされる。一方または両方のIDを作成しなければならないかもしれず、また何れのIDも作成する必要がないかもしれない。新たなIDを作成しなければならなければ、それは4515において作成される。4520においては、4505で見つかった資源が返送される。
【0172】
図46Aは、本発明の一実施形態に従って、資源サーバ対等グループにおけるサーバに保存された特定種類の資源にアクセスするための権利キー資格認定を含んだ、ユニバーサルリソースロケータ(URL)を示すブロック図が提示されている。図46Aに示すように、URL4600は、資源サーバ対等グループ4620、特定タイプの資源のための資源ディレクトリー4625、および該資源のための権利キー4630を含んでいる。
【0173】
図46Bは、本発明の一実施形態に従った、権利キー資格認定データを含むハイパーテキスト転送プロトコル(HTTP)を示すブロック図である。
【0174】
図46Cは、本発明の一実施形態に従った、権利管理アプレットを含むスマートカードを示すブロック図である。
【0175】
図46D、図47および図48は、ユーザがプライバシーに敏感な方法でサービスを得るために概略ユーザデータを使用した本発明の実施形態を示している。
【0176】
本発明の目的において、「集合」の用語は、特定のユーザデータを特異性の低いより概略的なユーザデータに変換することを意味し、また「集合オーソリティー」の用語は、この機能を実行するオーソリティーを意味する。集合は、ユーザに関する正確でない情報の入手を含んでいる。例えば、サービスプロバイダは、WebページURLまたはWebページ自身を保存する代りに、一定の属性を持った何れかのWebページがアクセスされた回数を保存してもよいであろう。
【0177】
集合オーソリティーは、該オーソリティーが適用する集合ポリシーに関して分類されてもよい。外部集合オーソリティーは、公的に許容された集合ポリシーを適用する。対等集合オーソリティーは、もう一つの対等集合オーソリティーと共通の集合ポリシーを適用する。内部集合オーソリティーは、それ自身のプライベート集合ポリシーを適用する。対等グループのオーソリティーは、そのポリシーへのアクセスをその対等者に限定してもよい。
【0178】
集合自身は静的であってもよく、または動的であってもよい。「静的集合」の用語は、ユーザが提供した情報にのみ基づいて集合を実行することを意味する。集合オーソリティーは、ユーザが提供した情報を受取り、該ユーザが提供したデータに集合ポリシーを適用し、概略化されたユーザデータをユーザに返送する。
【0179】
「動的集合」の用語は、ユーザが提供した情報、およびサービスとの相互作用の際にユーザに集められたユーザに関するローカル情報に基づいて、集合を実施することを意味する。動的集合において、サービスプロバイダはユーザからユーザデータを受取る。また、該サービスプロバイダは、ユーザに関するそれ自身の情報も保存し、集合化する。該サービスプロバイダは、両方のタイプのユーザデータをオーソリティーに提供する。集合オーソリティーは、この組合されたデータに対して集合ポリシーを適用し、新たな概略ユーザデータを得、該新たな概略ユーザデータをサービスプロバイダに返送する。
【0180】
次に、図46Dを参照すると、本発明の一実施形態に従った、ユーザデータの動的集合体を示すブロック図が提示されている。図46Dは、ユーザ4645、第一の売主Webサイト4635、第二の売主Webサイト4640、およびオーソリティー4630を含んでいる。ユーザ4645は、第一の売主Webサイトおよび第二の売主Webサイト4640で買物をする。これらの売主(4635,4640)はオーソリティー4630と通信する。該Webサイトでのユーザ行動のような一以上の特定のユーザデータに基づいて、概略ユーザデータを得る。この概略ユーザデータは、他のWebサイトを訪問するときに使用するためにユーザが保持するユーザデータの一部になる。本発明の一実施形態に従えば、該ユーザデータはセキュリティー保護されたユーザデータ記憶装置に保存される。
【0181】
更に詳細にいうと、4650において、ユーザ4645は、ユーザプロファイルを第一の書籍売主4635に提示する。第一の書籍売主4635は、第一の書籍売主のWebサイトを使用して閲覧または購入された書籍の種類に関する情報を収集する。例えば、書籍売主4635は、ユーザが購入した空想科学小説の数および園芸本の数を記録してもよい。4655において、書籍売主は、この収集されたユーザデータおよびユーザ4645から得たユーザプロファイルを、オーソリティー4630に提示する。該オーソリティーは、該ユーザプロファイルおよび該収集されたユーザデータに集合ポリシーを適用して、概略ユーザデータを得る。例えば、一つの可能な集合ポリシーは、通常許容されるカテゴリーの組を使用して、書籍カテゴリーにおけるユーザの興味を評価することであってもよい。ユーザデータが、ユーザ4645は空想科学小説にも園芸にも興味がないことを示し、また収集されたデータが、ユーザ4645は書籍売主4635から最近になって各カテゴリーの本を10冊購入したことを示すならば、ユーザデータは、これら二つのカテゴリーにおけるユーザの興味の評価を含むように修飾される。
【0182】
図46Dを更に参照すると、4670において、ユーザ4645は、後で第二の書籍売主Webサイトで買物をする可能性がある。ユーザ4640は、該ユーザが第一の売主4635のWebサイトを訪問したときに作成された、概略ユーザデータを含むユーザプロファイルを提示する。第二の書籍売主4640は、この概略ユーザ情報を使用して、第二の売主Webサイトで買物をする間にユーザの経験を適合調整してもよい。第二の書籍売主4640はまた、第二の書籍売主のWebサイトを使用して閲覧または購入された書籍のタイプに関する情報を収集し、この情報をオーソリティー4630に提示して、第一の売主4635に関して述べたのと同じプロセスを使用することにより、更新された概略ユーザデータを受領してもよい。
【0183】
次に、図47を参照すると、本発明の一実施形態に従った、ユーザデータの動的集合のための方法を示すフロー図が提示されている。4700において、サービスプロバイダはサービス要求および関連のユーザデータを受領する。該ユーザデータおよびユーザプロファイル情報または該情報への参照が、4705においてオーソリティーに提示される。4715において、サービスプロバイダは、該オーソリティーから概略ユーザ情報を受取る。
【0184】
次に、図48を参照すると、本発明の一実施形態に従った、ユーザデータの静的集合のための方法を示すフロー図が提示されている。4800においてユーザデータが受領される。4805では、概略ユーザデータを得るために、このユーザデータに対して集合ポリシーが適用される。4810において、概略ユーザデータがユーザに返送される。
【0185】
本発明の一実施形態に従えば、集合化されたユーザデータは資格認定の中に保存される。本発明のもう一つの実施形態に従えば、プロファイルは一以上の資格認定を含み、これらは集合化されたユーザデータを含む。従って、プロファイルは、ユーザに関する情報の集合の形態である。本発明のもう一つの実施形態に従えば、プロファイルの中のデータの一部はビットマップ化される。
【0186】
集合化は、保存された情報が正確ではないのでプライバシー保護的である。従って、それは個人としてのユーザに関しては何も明らかにしない。如何なるユーザも、ユーザの個人情報を明らかにすることなしに、概略化されたユーザ情報を使用して記述されることはできないであろう。更に、該情報をコンパイルするための機構は隠蔽されてもよい。
【0187】
次に、図49を参照すると、本発明の一実施形態に従った、クッキーを安全に保存し且つ再構成するためのスマートカードの使用を示すブロック図が提示されている。図49に示すように、コンピュータ4930は、スマートカード4940を収容するためのカード読取り器4935を装備している。コンピュータ4930は、Webサーバ4900のような複数の他のコンピュータ処理装置と通信するネットワーク4920に接続すればよい。Webサーバ4900は、クッキー処理ロジック4915、再構成されたクッキー4910、およびスマートカード上のアプレット4945と共有される少なくとも一つの秘密事項4905を含んでいる。スマートカード4940はまた、クッキー処理ロジック4960および少なくとも一つのクッキー4955のための記憶装置を含んでいる。
【0188】
動作において、Webサーバ4900は、コンピュータ4930によって受取られるクッキー要求発する。要求されたクッキーがスマートカード4940にあれば、また該クッキーが動的クッキーを含んでいれば、クッキー処理ロジック4960は共有された秘密事項4940を使用して該クッキービットパターンを再構成し、該再構成されたクッキーはコンピュータ4930を介してWebサーバ4900に送信される。Webサーバ4900上のクッキー処理ロジックは、この再構成されたクッキーを受取って、該クッキーを再構成する必要があるかどうかを決定する。該クッキーを再構成する必要があれば、クッキー処理ロジック4915は、共有された秘密事項4905を使用して該クッキーを再構成する。クッキーは送信される前に再構成されるので、パケットスニッファ5025または同様の装置は、クッキーデータを特定のユーザと照合することはできない。
【0189】
本発明の一実施形態に従えば、クッキーは時刻印に関連している。時刻印によって当該クッキーは古いことが示されれば、当該クッキーは処理されない。
【0190】
本発明のもう一つの実施形態に従えば、カード上の全てのクッキーが静的であり、共有された秘密事項(4905,4950)についての必要性は回避される。
【0191】
本発明のもう一つの実施形態に従えば、クッキー管理資格認定は、実行されるべきクッキー管理のタイプを特定する。
【0192】
次に、図50を参照すると、本発明の一実施形態に従った、クッキーをセキュリティー保護して安全に保存し且つ再構成するための、スマートカードの使用を示すブロック図が提示されている。図50は、秘密事項5065がWebサーバ5000にだけ存在し、スマートカード5040と共有されていない点を除き、図49と同様である。更に、クッキー更新ロジック(5005,5050)が使用されて、スマートカード5040上のクッキーが周期的に更新される。
【0193】
次に、図51を参照すると、本発明の一実施形態に従って、ワールドワイドウエッブ(WWW)をブラウズするための方法を示すフロー図が提示されている。5100において、カードはカード読取り器の中に配置される。5135において、ブラウザはWebサイトにアクセスする。5140では、クッキーが必要とされるかどうかに関する決定がなされる。クッキーが必要であれば、5145において、ブラウザはカードからクッキーを要求する。5105において、カードはこのクッキー要求を受取り、該カードが該要求に合致するクッキーを有しているかどうかを決定する。カードが当該要求に適合するクッキーを有していれば、5110において、ユーザが該要求のためのクッキーをカードが返送できるようにしているかどうか(例えばPINの入力)に関する決定がなされる。カードが当該要求のためにクッキーを可能にしていれば、5115において、該クッキーが動的であるかどうかに関する決定がなされる。クッキーが動的であれば、5120において該クッキーのビットパターンが再構成され、5125において再構成されたクッキーが返送される。クッキーが動的であれば、該クッキーは再構成されることなく5125において返送される。カードが当該要求に適合したクッキーを有していなければ、またはユーザが当該要求のためにクッキーを有効にしていなければ、5130において、クッキーは返送されないことの表示が返送される。
【0194】
5150において、ブラウザは、クッキーがカードから返送されたかどうかに関する決定を行う。クッキーがカードから返送されなかったならば、クッキーは、ローカルハードドライブのような当該カード以外から入手され、5160において、該クッキーがサーバに送られる。
【0195】
クッキーがカードから返送されたならば、該カードからのクッキーは5160においてサーバに送信される。165において、サーバは、クッキーがブラウザから返送されたかどうかを決定する。クッキーがブラウザから返送されなかったならば、5185において、このプロセスは終了する。クッキーがブラウザから返送されたならば、5171において、該クッキーを再構成する必要があるかどうかに関して決定がなされる。クッキーを再構成する必要があれば、それは5175において再構成され、5180において使用される。クッキーを再構成する必要がなければ、如何なる場合にも、それは5180において使用される。
【0196】
本発明の実施形態は多くの利点を有している。サービスプロバイダは、不適切または不必要な情報を明らかにすることなく、個人に関する情報を交換することができ、従って、プライバシーを維持しながら、インターネットのような開放ネットワーク上で商取引を実行することができる。
【0197】
本発明の実施形態および応用を示し、説明してきたが、混開示の利益を有する当業者は、ここでの発明概念から逸脱することなく、上記で述べた以外の多くの更なる変形が可能であることを理解するであろう。従って、本発明は特許請求の範囲の精神における限定を除き、制限されるものではない。
【図面の簡単な説明】
【0198】
【図1A】図1Aは、クッキーからユーザ情報を得るための典型的な方法を示すフロー図である。
【図1B】図1Bは、クッキーを例示したブロック図である。
【図2】図2は、ユーザ名およびパスワードを使用してユーザ認証を行うための典型的な方法を示すフロー図である。
【図3】図3は、商品およびサービスについて本人が支払いをするための典型的な方法を示すフロー図である。
【図4】図4は、ワールドワイドウエッブ上におけるユーザ特異的な情報の維持を示すブロック図である。
【図5】図5は、集中化されたユーザ認証システムを示すブロック図である。
【図6】図6は、多数のWebサイトにアクセスするための単回ログオンを提供する機構を示すブロック図である。
【図7】図7は、本発明の一実施形態に従って、オーソリティーにより認証されたユーザデータを使用した、ワールドワイドウエッブ上でのセキュリティー保護された取引の実行を示すブロック図である。
【図8】図8は、本発明の一実施形態に従い、オーソリティーにより認証されたユーザデータを使用して、ワールドワイドウエッブ上でセキュリティー保護された取引を実行するための方法を示すフロー図である。
【図9A】図9Aは、本発明の一実施形態に従った資格認定を示すブロック図である。
【図9B】図9Bは、本発明の一実施形態に従って、暗号を識別子として使用した資格認定を示すブロック図である。
【図10】図10は、本発明の一実施形態に従って資格認定を発生するための方法を示すフロー図である。
【図11】図11は、本発明の一実施形態に従って資格認定を処理するための方法を示すフロー図である。
【図12】図12は、本発明の一実施形態に従って資格認定評価ポリシーを適用するための方法を示すフロー図である。
【図13】図13は、本発明の一実施形態に従って資格認定データを評価するためのための方法を示すフロー図である。
【図14】図14は、本発明の一実施形態に従ってユーザ認証を行うための方法を示すフロー図である。
【図15】図15は、本発明の一実施形態に従って、サービスを得るために資格k認定を使用いするための方法を示すフロー図である。
【図16】図16は、本発明の一実施形態に従った、一人の個人への複数の識別子の割付けを示すブロック図である。
【図17】図17は、本発明の一実施形態に従った、本人確認のための複数組のユーザデータ付与を示すブロック図である。
【図18】図18は、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上の複数の団体間での取引の実行を示すブロック図である。
【図19】図19は、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上の複数の団体間で取引を行う方法を示すフロー図である。
【図20】図20は、本発明の一実施形態に従って、ユーザ制御された装置に保存されたユーザデータを使用してサービスを得るための方法を示すフロー図である。
【図21】図21は、本発明の一実施形態に従って、サービスを提供するための方法を示すフロー図である。
【図22】図22は、本発明の一実施形態に従い、ユーザデータに従ってサービスを提供するための方法を示すフロー図である。
【図23】図23は、本発明の一実施形態に従って、セキュリティー保護装置からの支払いデータを使用して、支払い決済を行うための方法を示すフロー図である。
【図24】図24は、本発明の一実施形態に従った、本人確認のための複数の資格認定の割付けを示すブロック図である。
【図25】図25は、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上においてサービス資格認定を使用することによる複数の団体の間での取引の実行を示すブロック図である。
【図26】図26は、本発明の一実施形態に従って、プライバシーを維持しつつ、開放ネットワーク上において、サービス資格認定を使用することにより複数の団体の間で取引を実行するための方法を示すフロー図である。
【図27】図27は、本発明の一実施形態に従った、入れ子式資格認定の使用を示すブロック図である。
【図28A】図28Aは、本発明の一実施形態に従って、プライバシーを維持しながら、開放ネットワーク上でサービス資格認定を使用して、複数の団体の間で取引を行うための方法を示すフロー図である。
【図28B】図28Bは、本発明の一実施形態に従い、ユーザ制御された装置に保存されたサービス資格認定を使用してサービスを得るための方法を示すフロー図である。
【図29】図29は、本発明の一実施形態に従ってサービス提供するための方法を示すフロー図である。
【図30A】図30Aは、本発明の一実施形態に従って、サービス資格認定から抽出した入れ子式支払い資格認定を使用して、支払い決済を行うための方法を示すフロー図である。
【図30B】図30Bは、本発明の一実施形態に従った、本人確認のための複数組のユーザデータの割付けを示すブロック図である。
【図31】図31は、本発明の一実施形態に従って、プライバシーを維持しつつ開放ネットワーク上においてスマートカードを使用した、複数の団体の間での取引の実行を示すブロック図である。
【図32】図32は、スマートカードのような、資源拘束性装置のためのセキュリティー保護されたユーザアクセス制御機能を提供するために使用できるアプレットの開発を示すブロック図である。
【図33A】図33Aは、インターネットに接続され、且つスマートカードを収容するためのカード読取り器が装備されたコンピュータを示すブロック図である。
【図33B】図33Bは、本発明の一実施形態に従った、本人確認のための、種々のタイプのユーザデータの割付けを示すブロック図である。
【図34】図34は、本発明の一実施形態に従った識別子を示すブロック図である。
【図35】図35は、本発明の一実施形態に従って、プライバシーを維持しながら、サービスへのアクセスを得るためにランダム化ユーザ識別子を使用した、本人確認連合サーバおよびユーザ認証連合サーバの使用を示すブロック図である。
【図36】図36は、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るために、ランダム化ユーザ識別子を使用して本人確認連合サーバおよびユーザ認証連合サーバを使用する方法を示すフロー図である。
【図37】図37は、本発明の一実施形態に従って、プライバシーを維持しながらサービスへのアクセスを得るために、ランダム化ユーザ識別子を使用して本人確認連合サーバおよびユーザ認証連合サーバを使用する方法を示すフロー図である。
【図38】図38は、本発明の一実施形態に従った、本人確認サーバを用いた登録を示すブロック図である。
【図39】図39は、本発明の一実施形態に従った可能な資格認定タイプを示すブロック図である。
【図40】図40は、本発明の一実施形態に従って、プライバシーを維持しつつ分配された資源にアクセスするための、ランダム化された識別子の使用を示すブロック図である。
【図41】図41は、本発明の一実施形態に従って、単一の有効なユーザデータエントリーを決定するために、適合するエントリーを本人確認連合サーバからユーザ認証連合サーバに提示するための方法を示すフロー図である。
【図42A】図42Aは、本発明の一実施形態に従って資源サーバに保存されたデータを示すブロック図である。
【図42B】図42Bは、本発明の一実施形態に従って資源サーバに保存されたデータを示すブロック図である。
【図43A】図43Aは、本発明の一実施形態に従う、一組の権利キーを含む資源要求に応答した資源サーバからの資源の入手を示すブロック図である。
【図43B】図43Bは、本発明の一実施形態に従う、一組の権利キーおよび配信保護機構への参照ならびに任意に標的装置を含む資源要求に応答した、資源サーバからの資源の入手を示すブロック図である。
【図43C】図43Cは、本発明の一実施形態に従った、権利キー資格認定を示すブロック図である。
【図44】図44は、本発明の一実施形態に従って、資源ソースへのアクセスを得るための方法を示すフロー図である。
【図45】図45は、本発明の一実施形態に従って、多重キーを要求する資源へのアクセスを得るための方法を示すフロー図である。
【図46A】図46Aは、本発明の一実施形態に従って、資源サーバ対等グループにおけるサーバ上に保存された特定の種類の資源にアクセスするための権利キー資格認定を含んだ、ユニバーサルリソースロケータ(URL)を示すブロック図である。
【図46B】図46Bは、本発明の一実施形態に従った、権利キー資格認定データを含むハイパーテキスト転送プロトコル(HTTP)を示すブロック図である。
【図46C】図46Cは、本発明の一実施形態に従った、権利管理アプレットを含むスマートカードを示すブロック図である。
【図46D】図46Dは、本発明の一実施形態に従った、ユーザデータの動的集合体を示すブロック図である。
【図47】図47は、本発明の一実施形態に従った、ユーザデータの動的集合のための方法を示すフロー図である。
【図48】図48は、本発明の一実施形態に従った、ユーザデータの静的集合のための方法を示すフロー図である。
【図49】図49は、本発明の一実施形態に従った、クッキーを安全に保存し且つ再構成するためのスマートカードの使用を示すブロック図である。
【図50】図50は、本発明の一実施形態に従った、クッキーを安全に保存し且つ再構成するためのスマートカードの使用を示すブロック図である。
【図51】図51は、本発明の一実施形態に従って、ワールドワイドウエッブ(WWW)をブラウズするための方法を示すフロー図である。
【特許請求の範囲】
【請求項1】
データ通信ネットワークにおいて本人確認情報を管理するための方法であって:該方法は、
ユーザ制御のセキュリティー保存装置を受け取ることと;
前記ユーザをオーソリティーネットワークサイトに登録し、該登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含むことと;
前記登録に応答してユーザデータを受け取ることと;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存することと;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にすることと;
サービスを得るために、サービスプロバイダネットワークサイトにおいて前記ユーザデータを使用することと;
を含んでなる方法。
【請求項2】
データ通信ネットワークにおいて本人確認情報を管理するための方法であって:該方法は、
ユーザ制御のセキュリティー保存装置を受け取ることと;
前記ユーザをオーソリティーネットワークサイトに登録し、該登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含むことと;
前記登録に応答してユーザデータを受け取り、前記ユーザデータは第一の部分および第二の部分を含んでなり、前記第一の部分は前記第二の部分に基づいて計算された暗号を含むことと;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存することと;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にすることと;
サービスを得るために、サービスプロバイダネットワークサイトにおいて前記ユーザデータを使用することと;
を含んでなる方法。
【請求項3】
データ通信ネットワークにおいて本人確認情報を管理するための方法であって:該方法は、
本人確認資格認定要求および保存すべきデータを、クライアントホストを介して連合本人確認サーバに提示することと;
前記本人確認資格認定要求に応答して本人確認資格認定を受取り、該本人確認資格認定は、ランダム化されたIDおよび本人確認オーソリティーIDを含み、前記連合本人確認サーバは、前記保存すべきデータの信頼性、正確さおよび完全さを確認できることと;
サービス要求および前記本人確認資格認定を前記サービス入口に提示し、該サービス入口は、前記連合本人確認サーバに対して認証を発行するように構成されることと;
前記サービス要求に応答してログオン資格認定を受取り、該ログオン資格認定は、前記ユーザによって使用されるクライアントホストの表示を含むことと;
前記サービス入口を介してアクセス可能なサービスプロバイダからサービスを得るために、前記ログオン資格認定を使用することと;
を含んでなる方法。
【請求項4】
データ通信ネットワークにおいて本人確認情報を管理する方法を実行するために機械によって実行可能な命令のプログラムを組込んだ、前記機械による読取りが可能なプログラム保存装置であって:前記方法が、
ユーザ制御のセキュリティー保存装置を受け取ることと;
前記ユーザをオーソリティーネットワークサイトに登録し、該登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含むことと;
前記登録に応答してユーザデータを受け取ることと;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存することと;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にすることと;
サービスを得るために、前記ユーザデータをサービスプロバイダネットワークサイトにおいて使用することと;
を含んでなる装置。
【請求項5】
データ通信ネットワークにおいて本人確認情報を管理する方法を実行するために機械によって実行可能な命令のプログラムを組込んだ、前記機械による読取りが可能なプログラム保存装置であって:前記方法が、
ユーザ制御のセキュリティー保存装置を受け取ることと;
前記ユーザをオーソリティーネットワークサイトに登録し、該登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含むことと;
前記登録に応答してユーザデータを受け取り、前記ユーザデータは第一の部分および第二の部分を含んでなり、前記第一の部分は前記第二の部分に基づいて計算された暗号を含むことと;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存することと;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にすることと;
サービスを得るために、前記ユーザデータをサービスプロバイダネットワークサイトにおいて使用することと;
を含んでなる装置。
【請求項6】
データ通信ネットワークにおいて本人確認情報を管理する方法を実行するために機械によって実行可能な命令のプログラムを組込んだ、前記機械による読取りが可能なプログラム保存装置であって:前記方法が、
本人確認資格認定要求および保存すべきデータを、クライアントホストを介して連合本人確認サーバに提示することと;
前記本人確認資格認定要求に応答して本人確認資格認定を受取り、該本人確認資格認定は、ランダム化されたIDおよび本人確認オーソリティーIDを含み、前記連合本人確認サーバは、前記保存すべきデータの信頼性、正確さおよび完全さを確認できることと;
サービス要求および前記本人確認資格認定を前記サービス入口に提示し、該サービス入口は、前記連合本人確認サーバに対して認証を発行するように構成されることと;
前記サービス要求に応答してログオン資格認定を受取り、該ログオン資格認定は、前記ユーザによって使用されるクライアントホストの表示を含むことと;
前記サービス入口を介してアクセス可能なサービスプロバイダからサービスを得るために、前記ログオン資格認定を使用することと;
を含んでなる装置。
【請求項7】
データ通信ネットワークにおいて本人確認情報を管理するための装置であって:該装置は、
ユーザ制御のセキュリティー保存装置を受け取るための手段と;
前記ユーザをオーソリティーネットワークサイトに登録するための手段であって、この登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含む手段と;
前記登録に応答してユーザデータを受け取るための手段と;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存するための手段と;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にするための手段と;
サービスを得るために、サービスプロバイダネットワークサイトにおいて前記ユーザデータを使用するための手段と;
具備する装置。
【請求項8】
データ通信ネットワークにおいて本人確認情報を管理するための装置であって:該装置は、
ユーザ制御のセキュリティー保存装置を受け取るための手段と;
前記ユーザをオーソリティーネットワークサイトに登録するための手段であって、この登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含む手段と;
前記登録に応答してユーザデータを受け取るための手段であって、前記ユーザデータは第一の部分および第二の部分を含んでなり、前記第一の部分は前記第二の部分に基づいて計算された暗号を含む手段と;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存するための手段と;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にするための手段と;
サービスを得るために、サービスプロバイダネットワークサイトにおいて前記ユーザデータを使用するための手段と;
を含んでなる装置。
【請求項9】
データ通信ネットワークにおいて本人確認情報を管理するための装置であって:該装置は、
本人確認資格認定要求および保存すべきデータを、クライアントホストを介して連合本人確認サーバに提示するための手段と;
前記本人確認資格認定要求に応答して本人確認資格認定を受取るための手段であって、この本人確認資格認定は、ランダム化されたIDおよび本人確認オーソリティーIDを含み、前記連合本人確認サーバは、前記保存すべきデータの信頼性、正確さおよび完全さを確認できる手段と;
サービス要求および前記本人確認資格認定を前記サービス入口に提示するための手段であって、このサービス入口は、前記連合本人確認サーバに対して認証を発行するように構成される手段と;
前記サービス要求に応答してログオン資格認定を受取るための手段であって、このログオン資格認定は、前記ユーザによって使用されるクライアントホストの表示を含む手段と;
前記サービス入口を介してアクセス可能なサービスプロバイダからサービスを得るために、前記ログオン資格認定を使用するための手段と;
を含んでなる装置。
【請求項10】
データ通信ネットワーク上でプライバシーを保護するための方法であって:該方法は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータを受け取り、該特異的なユーザデータはネットワークユーザに関するデータを含むことと;
前記特異的なユーザデータに基づいて、一般化されたユーザデータを作成することと;
前記一般化されたユーザデータを、前記ユーザ識別子に関連させることと;
前記ユーザ識別子および前記一般化されたユーザデータを戻すことと;
を含んでなる方法。
【請求項11】
データ通信ネットワーク上でプライバシーを保護するための方法であって:該方法は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータをオーソリティーに提示し、この特異的なユーザデータはネットワークユーザに関するデータを含むことと;
前記提示に応答して、前記特異的なユーザデータに基く一般化されたユーザデータを受け取ることと;
前記データ通信ネットワーク上でサービスを得るために、前記一般化されたユーザデータを使用することと;
を含んでなる方法。
【請求項12】
データ通信ネットワーク上でプライバシーを保護するための方法であって:該方法は、
少なくとも一つのサービスプロバイダサーバのためのユーザログオン情報を、ユーザ制御のセキュリティー保護された装置に保存し、前記少なくとも一つのサービスプロバイダサーバは、ユーザにサービスを提供できる少なくとも一つのネットワークサーバを含むことと;
前記装置にログオンし、該ログオンは、前記少なくとも一つのサービスプロバイダサーバへのアクセスを与えることと;
を含んでなる方法。
【請求項13】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータを受け取るための手段であって、この特異的なユーザデータはネットワークユーザに関するデータを含む手段と;
前記特異的なユーザデータに基づいて、一般化されたユーザデータを作成するための手段と;
前記一般化されたユーザデータを、前記ユーザ識別子に関連させるための手段と;
前記ユーザ識別子および前記一般化されたユーザデータを戻すための手段と;
を具備する装置。
【請求項14】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータをオーソリティーに提示するための手段であって、この特異的なユーザデータはネットワークユーザに関するデータを含む手段と;
前記提示に応答して、前記特異的なユーザデータに基く一般化されたユーザデータを受け取るための手段と;
前記データ通信ネットワーク上でサービスを得るために、前記一般化されたユーザデータを使用するための手段と;
を具備する装置。
【請求項15】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
少なくとも一つのサービスプロバイダサーバのためのユーザログオン情報を、ユーザ制御のセキュリティー保護された装置に保存するための手段であって、前記少なくとも一つのサービスプロバイダサーバは、ユーザにサービスを提供できる少なくとも一つのネットワークサーバを含む手段と;
前記装置にログオンするための手段であって、該ログオンは、前記少なくとも一つのサービスプロバイダサーバへのアクセスを与える手段と;
を具備する装置。
【請求項16】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータを受け取り、該特異的なユーザデータはネットワークユーザに関するデータを含むことと;
前記特異的なユーザデータに基づいて、一般化されたユーザデータを作成することと;
前記一般化されたユーザデータを、前記ユーザ識別子に関連させることと;
前記ユーザ識別子および前記一般化されたユーザデータを戻すことと;
を含んでなる装置。
【請求項17】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータをオーソリティーに提示し、この特異的なユーザデータはネットワークユーザに関するデータを含むことと;
前記提示に応答して、前記特異的なユーザデータに基く一般化されたユーザデータを受け取ることと;
前記データ通信ネットワーク上でサービスを得るために、前記一般化されたユーザデータを使用することと;
を含んでなる装置。
【請求項18】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
少なくとも一つのサービスプロバイダサーバのためのユーザログオン情報を、ユーザ制御のセキュリティー保護された装置に保存するための手段であって、前記少なくとも一つのサービスプロバイダサーバは、ユーザにサービスを提供できる少なくとも一つのネットワークサーバを含む手段と;
前記装置にログオンするための手段であって、該ログオンは、前記少なくとも一つのサービスプロバイダサーバへのアクセスを与える手段と;
を具備する装置。
【請求項19】
データ処理システム上で実行されるアプリケーションプログラムによるアクセスのためのデータを保存するためのメモリーであって:
前記メモリーに保存されるデータ構造を含んでなり、該データ構造は、データ通信ネットワークユーザに関連したビットマップフィールドを含み、該フィールドにおける各ビットの値は、前記ユーザが前記ビットに関連したグループのメンバーであるかどうかによって決定され、前記マッピングは、前記フィールドにおけるビットと集合オーソリティーによって維持されるグループのメンバーシップとの間のためのものであるメモリー装置。
【請求項1】
データ通信ネットワークにおいて本人確認情報を管理するための方法であって:該方法は、
ユーザ制御のセキュリティー保存装置を受け取ることと;
前記ユーザをオーソリティーネットワークサイトに登録し、該登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含むことと;
前記登録に応答してユーザデータを受け取ることと;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存することと;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にすることと;
サービスを得るために、サービスプロバイダネットワークサイトにおいて前記ユーザデータを使用することと;
を含んでなる方法。
【請求項2】
データ通信ネットワークにおいて本人確認情報を管理するための方法であって:該方法は、
ユーザ制御のセキュリティー保存装置を受け取ることと;
前記ユーザをオーソリティーネットワークサイトに登録し、該登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含むことと;
前記登録に応答してユーザデータを受け取り、前記ユーザデータは第一の部分および第二の部分を含んでなり、前記第一の部分は前記第二の部分に基づいて計算された暗号を含むことと;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存することと;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にすることと;
サービスを得るために、サービスプロバイダネットワークサイトにおいて前記ユーザデータを使用することと;
を含んでなる方法。
【請求項3】
データ通信ネットワークにおいて本人確認情報を管理するための方法であって:該方法は、
本人確認資格認定要求および保存すべきデータを、クライアントホストを介して連合本人確認サーバに提示することと;
前記本人確認資格認定要求に応答して本人確認資格認定を受取り、該本人確認資格認定は、ランダム化されたIDおよび本人確認オーソリティーIDを含み、前記連合本人確認サーバは、前記保存すべきデータの信頼性、正確さおよび完全さを確認できることと;
サービス要求および前記本人確認資格認定を前記サービス入口に提示し、該サービス入口は、前記連合本人確認サーバに対して認証を発行するように構成されることと;
前記サービス要求に応答してログオン資格認定を受取り、該ログオン資格認定は、前記ユーザによって使用されるクライアントホストの表示を含むことと;
前記サービス入口を介してアクセス可能なサービスプロバイダからサービスを得るために、前記ログオン資格認定を使用することと;
を含んでなる方法。
【請求項4】
データ通信ネットワークにおいて本人確認情報を管理する方法を実行するために機械によって実行可能な命令のプログラムを組込んだ、前記機械による読取りが可能なプログラム保存装置であって:前記方法が、
ユーザ制御のセキュリティー保存装置を受け取ることと;
前記ユーザをオーソリティーネットワークサイトに登録し、該登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含むことと;
前記登録に応答してユーザデータを受け取ることと;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存することと;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にすることと;
サービスを得るために、前記ユーザデータをサービスプロバイダネットワークサイトにおいて使用することと;
を含んでなる装置。
【請求項5】
データ通信ネットワークにおいて本人確認情報を管理する方法を実行するために機械によって実行可能な命令のプログラムを組込んだ、前記機械による読取りが可能なプログラム保存装置であって:前記方法が、
ユーザ制御のセキュリティー保存装置を受け取ることと;
前記ユーザをオーソリティーネットワークサイトに登録し、該登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含むことと;
前記登録に応答してユーザデータを受け取り、前記ユーザデータは第一の部分および第二の部分を含んでなり、前記第一の部分は前記第二の部分に基づいて計算された暗号を含むことと;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存することと;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にすることと;
サービスを得るために、前記ユーザデータをサービスプロバイダネットワークサイトにおいて使用することと;
を含んでなる装置。
【請求項6】
データ通信ネットワークにおいて本人確認情報を管理する方法を実行するために機械によって実行可能な命令のプログラムを組込んだ、前記機械による読取りが可能なプログラム保存装置であって:前記方法が、
本人確認資格認定要求および保存すべきデータを、クライアントホストを介して連合本人確認サーバに提示することと;
前記本人確認資格認定要求に応答して本人確認資格認定を受取り、該本人確認資格認定は、ランダム化されたIDおよび本人確認オーソリティーIDを含み、前記連合本人確認サーバは、前記保存すべきデータの信頼性、正確さおよび完全さを確認できることと;
サービス要求および前記本人確認資格認定を前記サービス入口に提示し、該サービス入口は、前記連合本人確認サーバに対して認証を発行するように構成されることと;
前記サービス要求に応答してログオン資格認定を受取り、該ログオン資格認定は、前記ユーザによって使用されるクライアントホストの表示を含むことと;
前記サービス入口を介してアクセス可能なサービスプロバイダからサービスを得るために、前記ログオン資格認定を使用することと;
を含んでなる装置。
【請求項7】
データ通信ネットワークにおいて本人確認情報を管理するための装置であって:該装置は、
ユーザ制御のセキュリティー保存装置を受け取るための手段と;
前記ユーザをオーソリティーネットワークサイトに登録するための手段であって、この登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含む手段と;
前記登録に応答してユーザデータを受け取るための手段と;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存するための手段と;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にするための手段と;
サービスを得るために、サービスプロバイダネットワークサイトにおいて前記ユーザデータを使用するための手段と;
具備する装置。
【請求項8】
データ通信ネットワークにおいて本人確認情報を管理するための装置であって:該装置は、
ユーザ制御のセキュリティー保存装置を受け取るための手段と;
前記ユーザをオーソリティーネットワークサイトに登録するための手段であって、この登録は前記オーソリティーネットワークサイトによって要求された情報を提供することを含む手段と;
前記登録に応答してユーザデータを受け取るための手段であって、前記ユーザデータは第一の部分および第二の部分を含んでなり、前記第一の部分は前記第二の部分に基づいて計算された暗号を含む手段と;
前記ユーザデータを、前記ユーザ制御のセキュリティー保護された保存装置に保存するための手段と;
前記ユーザ制御のセキュリティー保護された保存装置に、前記ユーザデータを放出させることを可能にするための手段と;
サービスを得るために、サービスプロバイダネットワークサイトにおいて前記ユーザデータを使用するための手段と;
を含んでなる装置。
【請求項9】
データ通信ネットワークにおいて本人確認情報を管理するための装置であって:該装置は、
本人確認資格認定要求および保存すべきデータを、クライアントホストを介して連合本人確認サーバに提示するための手段と;
前記本人確認資格認定要求に応答して本人確認資格認定を受取るための手段であって、この本人確認資格認定は、ランダム化されたIDおよび本人確認オーソリティーIDを含み、前記連合本人確認サーバは、前記保存すべきデータの信頼性、正確さおよび完全さを確認できる手段と;
サービス要求および前記本人確認資格認定を前記サービス入口に提示するための手段であって、このサービス入口は、前記連合本人確認サーバに対して認証を発行するように構成される手段と;
前記サービス要求に応答してログオン資格認定を受取るための手段であって、このログオン資格認定は、前記ユーザによって使用されるクライアントホストの表示を含む手段と;
前記サービス入口を介してアクセス可能なサービスプロバイダからサービスを得るために、前記ログオン資格認定を使用するための手段と;
を含んでなる装置。
【請求項10】
データ通信ネットワーク上でプライバシーを保護するための方法であって:該方法は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータを受け取り、該特異的なユーザデータはネットワークユーザに関するデータを含むことと;
前記特異的なユーザデータに基づいて、一般化されたユーザデータを作成することと;
前記一般化されたユーザデータを、前記ユーザ識別子に関連させることと;
前記ユーザ識別子および前記一般化されたユーザデータを戻すことと;
を含んでなる方法。
【請求項11】
データ通信ネットワーク上でプライバシーを保護するための方法であって:該方法は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータをオーソリティーに提示し、この特異的なユーザデータはネットワークユーザに関するデータを含むことと;
前記提示に応答して、前記特異的なユーザデータに基く一般化されたユーザデータを受け取ることと;
前記データ通信ネットワーク上でサービスを得るために、前記一般化されたユーザデータを使用することと;
を含んでなる方法。
【請求項12】
データ通信ネットワーク上でプライバシーを保護するための方法であって:該方法は、
少なくとも一つのサービスプロバイダサーバのためのユーザログオン情報を、ユーザ制御のセキュリティー保護された装置に保存し、前記少なくとも一つのサービスプロバイダサーバは、ユーザにサービスを提供できる少なくとも一つのネットワークサーバを含むことと;
前記装置にログオンし、該ログオンは、前記少なくとも一つのサービスプロバイダサーバへのアクセスを与えることと;
を含んでなる方法。
【請求項13】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータを受け取るための手段であって、この特異的なユーザデータはネットワークユーザに関するデータを含む手段と;
前記特異的なユーザデータに基づいて、一般化されたユーザデータを作成するための手段と;
前記一般化されたユーザデータを、前記ユーザ識別子に関連させるための手段と;
前記ユーザ識別子および前記一般化されたユーザデータを戻すための手段と;
を具備する装置。
【請求項14】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータをオーソリティーに提示するための手段であって、この特異的なユーザデータはネットワークユーザに関するデータを含む手段と;
前記提示に応答して、前記特異的なユーザデータに基く一般化されたユーザデータを受け取るための手段と;
前記データ通信ネットワーク上でサービスを得るために、前記一般化されたユーザデータを使用するための手段と;
を具備する装置。
【請求項15】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
少なくとも一つのサービスプロバイダサーバのためのユーザログオン情報を、ユーザ制御のセキュリティー保護された装置に保存するための手段であって、前記少なくとも一つのサービスプロバイダサーバは、ユーザにサービスを提供できる少なくとも一つのネットワークサーバを含む手段と;
前記装置にログオンするための手段であって、該ログオンは、前記少なくとも一つのサービスプロバイダサーバへのアクセスを与える手段と;
を具備する装置。
【請求項16】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータを受け取り、該特異的なユーザデータはネットワークユーザに関するデータを含むことと;
前記特異的なユーザデータに基づいて、一般化されたユーザデータを作成することと;
前記一般化されたユーザデータを、前記ユーザ識別子に関連させることと;
前記ユーザ識別子および前記一般化されたユーザデータを戻すことと;
を含んでなる装置。
【請求項17】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
ユーザ識別子および該ユーザ識別子に関連した特異的なユーザデータをオーソリティーに提示し、この特異的なユーザデータはネットワークユーザに関するデータを含むことと;
前記提示に応答して、前記特異的なユーザデータに基く一般化されたユーザデータを受け取ることと;
前記データ通信ネットワーク上でサービスを得るために、前記一般化されたユーザデータを使用することと;
を含んでなる装置。
【請求項18】
データ通信ネットワーク上でプライバシーを保護するための装置であって:該装置は、
少なくとも一つのサービスプロバイダサーバのためのユーザログオン情報を、ユーザ制御のセキュリティー保護された装置に保存するための手段であって、前記少なくとも一つのサービスプロバイダサーバは、ユーザにサービスを提供できる少なくとも一つのネットワークサーバを含む手段と;
前記装置にログオンするための手段であって、該ログオンは、前記少なくとも一つのサービスプロバイダサーバへのアクセスを与える手段と;
を具備する装置。
【請求項19】
データ処理システム上で実行されるアプリケーションプログラムによるアクセスのためのデータを保存するためのメモリーであって:
前記メモリーに保存されるデータ構造を含んでなり、該データ構造は、データ通信ネットワークユーザに関連したビットマップフィールドを含み、該フィールドにおける各ビットの値は、前記ユーザが前記ビットに関連したグループのメンバーであるかどうかによって決定され、前記マッピングは、前記フィールドにおけるビットと集合オーソリティーによって維持されるグループのメンバーシップとの間のためのものであるメモリー装置。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28A】
【図28B】
【図29】
【図30A】
【図30B】
【図31】
【図32】
【図33A】
【図33B】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42A】
【図42B】
【図43A】
【図43B】
【図43C】
【図44】
【図45】
【図46A】
【図46B】
【図46C】
【図46D】
【図47】
【図48】
【図49】
【図50】
【図51】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28A】
【図28B】
【図29】
【図30A】
【図30B】
【図31】
【図32】
【図33A】
【図33B】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】
【図42A】
【図42B】
【図43A】
【図43B】
【図43C】
【図44】
【図45】
【図46A】
【図46B】
【図46C】
【図46D】
【図47】
【図48】
【図49】
【図50】
【図51】
【公表番号】特表2006−502456(P2006−502456A)
【公表日】平成18年1月19日(2006.1.19)
【国際特許分類】
【出願番号】特願2003−540775(P2003−540775)
【出願日】平成14年10月29日(2002.10.29)
【国際出願番号】PCT/US2002/034709
【国際公開番号】WO2003/038577
【国際公開日】平成15年5月8日(2003.5.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
ポケットベル
Bluetooth
【出願人】(595034134)サン・マイクロシステムズ・インコーポレイテッド (21)
【氏名又は名称原語表記】Sun Microsystems, Inc.
【Fターム(参考)】
【公表日】平成18年1月19日(2006.1.19)
【国際特許分類】
【出願日】平成14年10月29日(2002.10.29)
【国際出願番号】PCT/US2002/034709
【国際公開番号】WO2003/038577
【国際公開日】平成15年5月8日(2003.5.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
ポケットベル
Bluetooth
【出願人】(595034134)サン・マイクロシステムズ・インコーポレイテッド (21)
【氏名又は名称原語表記】Sun Microsystems, Inc.
【Fターム(参考)】
[ Back to top ]