トランザクションの容易化および認証
WindowsベースPC(10)などのコンピュータが、GSMセル電話システムで使用されるタイプのものなどのSIM(Subscriber Identity Module)(12)を関連付けられる。SIM(12)は、網の電話受話器ユーザのSIMの認証と同一の形で電話網(16)によって認証することができ、この形で、PC(10)のユーザまたはPC(10)自体を認証することができる。そのような認証によって、たとえば、認証が満足に完了した後にPC(10)に解放される特定のアプリケーションに関するPC(10)の使用を許可することができる。アプリケーションは、認証処理の満足な完了の後に、これに応答して、第三者によってPC(10)に解放することができる。セッションの料金を、遠隔通信網によってユーザの借方に記入し、その後、第三者に渡すことができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、トランザクションの容易化および認証に関する。
【背景技術】
【0002】
【発明の開示】
【発明が解決しようとする課題】
【0003】
【課題を解決するための手段】
【0004】
例としてのみ下で詳細に説明する本発明の実施形態で、データ処理装置(パーソナルコンピュータなど)またはそのユーザと、(多分リモートの)第三者との間のトランザクションが、容易にされ、認証され、そのような容易化および認証に、ユーザによってまたはユーザの代わりに行われる第三者への支払いまたはデータ転送の容易化および認証も含めることができる。
【0005】
本発明によれば、
データ処理装置とのトランザクションを認証する方法であって、前記データ処理装置は、所定の認証情報を保管する認証記憶手段に機能的に関連付けられ、前記トランザクションを認証するために通信リンクを介して認証処理を実行する前記ステップを含み、前記認証処理は、前記所定の認証情報の前記使用を含む、方法
が提供される。
【0006】
本発明によれば、
前記データ処理装置とのトランザクションの前記認証に関する所定の情報を保管する認証記憶手段と組み合わされるデータ処理装置であって、前記認証記憶手段が、前記データ処理装置に機能的に関連する時に、前記トランザクションを認証するために通信リンクを介して実行される認証処理に応答し、前記認証処理が、前記所定の情報の前記使用を含む、データ処理装置
も提供される。
【0007】
本発明によれば、さらに、
データ処理装置内でこれによって使用されるデータを担持するデータキャリアであって、前記データキャリアは、前記データキャリアによって担持される前記データの使用を伴うトランザクションを認証するためにリモート動作する認証プロセスで使用される前記入力メッセージおよび前記認証情報に依存する応答を導出するために入力メッセージに応答する所定の認証情報を保管する認証記憶手段も組み込む、データキャリア
が提供される。
【0008】
パーソナルコンピュータなどのデータ処理装置を含むトランザクションの容易化および認証の本発明による方法および本発明を実施するデータ処理装置(パーソナルコンピュータなど)に接続する装置を、例としてのみ、添付図面を参照してこれから説明する。
【発明を実施するための最良の形態】
【0009】
図面では、同一の要素が、一般に同一の符号によって示される。
データ処理装置の使用を伴うトランザクションが認証を必要とする、多数の例がある。たとえば、データ処理装置が、それとの通信が遠隔通信リンクを介して(インターネット経由を含む)行われなければならないリモートの第三者など、第三者との、情報の交換などのトランザクションを実行することを要求される場合がある。第三者は、トランザクションを行う前に、データ処理装置またはその当座のユーザが、第三者の満足のいくように認証されることを要求することができる。
【0010】
上で述べたように、トランザクションは、単に情報の交換を用いる場合がある。たとえば、データ処理装置のユーザは、単に、第三者から情報をダウンロードするために認証されることを必要とする場合がある。そのような情報は、データ処理装置のユーザのために第三者によって保たれる情報とすることができる(たとえば、ユーザの銀行口座に関する情報)。その代わりに、情報を、ユーザが接続されるか雇用される組織または商業的実体に属するデータネットワークなどの他のデータ処理装置で保持され、したがってユーザが旅行している時にユーザによるそのネットワークへのアクセスを容易にする情報とすることができる。もう1つの可能なトランザクションに、データ処理装置による、リモート位置からのソフトウェアのダウンロードを含めることができる。
【0011】
さらに、トランザクションは、トランザクションを行うために、提供される情報の返礼の第三者への支払いなど、支払いがユーザによって行われることを必要とすることができる。明らかに、そのような支払いが伴う時に、ユーザが、第三者の満足がゆくように認証されることと、支払いが、安全で単純な保護された形で行われることが重要である。
【0012】
前述の議論では、データ処理装置の「ユーザ」に言及したが、上述のトランザクションの少なくとも一部は、実際に人間のユーザにかかわらない場合があり、データ処理装置が、自動的に動作する(たとえば、情報収集または監視の役割で間欠的に動作し、その結果を第三者に報告する)ことを要求される場合がある。その場合に、代替としてまたは追加して、データ処理装置が、第三者の満足のゆくようにそれ自体を認証する必要がある場合がある。
【0013】
データ処理装置は、装置またはその特定のユーザを認証する所定の認証情報を保管する手段(認証記憶手段)を備えるか、これに関連する。一実施形態で、所定の情報を保管する手段は、取り外し可能であり、したがって、ユーザが持ち運び、それを受けるように適合された任意のデータ処理装置(またはコンピュータ)に挿入できて、そのコンピュータを用いてそのユーザによって実行されるトランザクションに関してユーザを認証することが可能になる。有利なことに、その場合に、所定の情報を保管する手段が、スマートカードの形である。
【0014】
より具体的な例で、スマートカードは、GSM(Group Special Mobile)または3G(第3世代)網などの携帯電話網またはセル遠隔通信網で受話器の使用の認証に使用されるタイプのSIM(Subscriber Identity Module)である。そのようなネットワークは、そのユーザ(加入者)のSIMの詳細を保管する。ネットワークの動作で、ユーザの受話器は、ネットワークがそのSIMを組み込んだ受話器にチャレンジを送信し、それに応答して、SIMが応答(SIMに保持される所定の情報(通常は認証アルゴリズムおよび一意の鍵Ki)に依存する)を計算し、ネットワークに送り返し、ネットワークが、その情報を、認証処理を完了するためにそのユーザまたは加入者に関するネットワーク自体の情報に対して検査することによって、認証される(たとえば、ユーザが発呼または着呼のためにネットワークで受話器をアクティブ化する時に)。したがって、同一の形で、SIMを、データ処理装置またはコンピュータでまたはそれに関連して使用することができ、その結果、同一の形の認証処理を実行できるようになる。SIMが、特定のセル遠隔通信網の加入者のSIMである場合に、認証処理は、その網が実行することができる。
【0015】
説明される認証処理が、必ずしもユーザの人間としての身元を認証しないことに留意されたい。たとえば、セル遠隔通信網は、前払いと引き換えに、その網での発呼を可能にするSIMを発行された前払い加入者を有する。しかし、そのような前払い加入者の身元は、網に未知である(または必ずしも既知でない)。それでも、そのようなユーザは、網がそのユーザのSIMを認証するまで、すなわち、そのユーザがその網の特定の前払いアカウントを有する特定のユーザであることを確認するまで、その網を利用することができない。そのような前払いユーザまたは加入者のSIMは、ユーザを認証するために、データ処理装置またはコンピュータでまたはこれに関連して同等に使用することができる(説明する形で)。
【0016】
SIMは、物理的な(取外し可能の)スマートカードの形である必要はなく、その代わりに、たとえばソフトウェアの形でまたはチップとしての表現で、データ処理装置またはコンピュータに組み込むことによってシミュレートすることができる。
【0017】
変化する状況を考慮に入れるために、SIM(またはシミュレートされたSIM)の認証情報を変更できることが望ましい場合がある。たとえば、SIMは、特定のセル遠隔通信網(データ処理装置またはコンピュータが使用される国または地域にあてはまる網)に登録されたSIMとすることができる。しかし、異なるセル遠隔通信網にSIMを再登録することが望ましいか必要である状況が生じる可能性がある(たとえば、装置またはコンピュータが、異なる国または地域に物理的に移動される)。これを行う形は、本出願人の同時係属の英国特許出願第0118406.8号明細書、英国特許出願第0122712.3号明細書、および英国特許出願第0130790.9号明細書と、対応するPCT出願第GB02/003265号、PCT出願第GB02/003260号、およびPCT出願第GB02/003252号に開示されている。本明細書で詳細に説明するように、SIMは(および、したがって、シミュレートされたSIMも)、当初は、複数のネットワークのそれぞれに関する認証(および他の)情報を与えられ、異なるネットワークに関する情報が、選択的にアクティブ化される。
【0018】
しかし、ユーザが、遠隔通信網の加入者である必要はない。その代わりに、ユーザを、遠隔通信網と同一の形で認証処理を実行することができる他の集中システムに登録された加入者とすることができる。その場合に、SIM(またはシミュレートされたSIM)の登録を、1つのそのような集中システムから別の集中システムに、上で説明したものと同一の形で転送することができる。
【0019】
上で説明したように、認証処理の目的は、データ処理装置またはコンピュータと第三者の間のトランザクションを容易にすることである。認証処理が、遠隔通信網によって、またはSIMのユーザがその加入者である他のシステムによって実行される場合に、認証処理の満足な完了が、そのネットワークまたはシステムによって第三者に通信されて、トランザクションを進行できるようになる。
【0020】
説明するタイプのトランザクションの多くについて、第三者に対するユーザによる支払いが含まれる場合がある。ユーザがその加入者である遠隔通信網または他の集中システムによって認証処理が実行される、上で説明した配置は、そのような支払いを行うことを有利に容易にし、(しばしばそうであるように)支払いが小額である(たとえば、気象情報または交通情報などの情報の受け取りに対する、または特定のソフトウェアの一時的使用に対する返礼の支払い)場合に特に有利である;その場合に、支払いを、遠隔通信網または他の集中システムによって保持される加入者の口座の借方に記入することができ、その後、もちろん、多分取扱手数料の差し引きの後に、第三者に渡すことができる。
【0021】
図1のブロック図に、上で説明した方法を動作させる形の1つを概略的に示す。
WindowsベースのパーソナルコンピュータまたはPC 10が示されている(「Windows」は商標である)。PC 10は、12に概略的に示されているSIMを受けるように適合される。SIMは、ユーザ(すなわち、SIMの所有者)を識別するのに使用するためにPCに取り外し可能にはめ込むことができれ、あるいは、PC内に固定することができる(PC自体を識別するために)。PC 10に、SIMと相互作用し、SIMの機能の一部を制御するトランザクション管理ソフトウェア14が組み込まれる。
【0022】
PC 10がSIMを受けるように適合された配置を説明したが、SIM以外のスマートカードを使用することができ、これが本発明によるものであることを諒解されたい。さらに、PCによって受けられるSIM(またはスマートカード)(PCに取り外し可能にはめられるかPC内に固定されることによって)ではなく、SIM(またはスマートカード)を、SIM(またはスマートカード)とPC 10の間の通信を可能にする形でPCに関連付けることができる。たとえば、SIM(またはスマートカード)を、PC 10との有線通信または無線通信を可能にする「ドングル」(その例を下で詳細に説明する)と共に提供することができる。SIM(またはスマートカード)とPC 10の間の通信が、保護されることが好ましい。通信を暗号化することができ、あるいはセキュア通信の他の手段を使用することができる。
【0023】
図1には、Vodafone(商標)ネットワークなどのセル電話網16も示されており、SIM 12がネットワーク16に登録されると仮定する。
図1に示されたシステムの動作を、図2の流れ図に関して説明する。
【0024】
ステップAで、PC 10のユーザが、PC上の特定のアプリケーション17の使用を要求する。たとえば、ユーザが、暗号化され、したがって一般に使用可能ではない、特殊化された情報を含むウェブページを見ることを望む場合がある。これを行うために、ユーザは、「セッション鍵」すなわち、たとえば、特定のアプリケーションの時間を制限された使用を伴うトランザクションを実行する許可を要求する。セッション鍵の要求は、トランザクションマネージャ14にアドレッシングされる。トランザクションマネージャ14は、SIM 12から導出される識別情報(「I am here」メッセージ)を、ネットワーク16のセキュリティサービス部分18に送信する(ステップB)。この「I am here」メッセージに応答して、ネットワークは、トランザクションマネージャ14にランダムチャレンジを送信し(ステップC)、このチャレンジは、ネットワークに既知の、SIM 12に関する情報に基づく。
【0025】
図1の両方向の矢印19は、PC 10とネットワーク16の間の両方向データ通信を概略的に示すものである。このデータ通信は、適当な通信媒体を介するものとすることができる。たとえば、通信媒体は、固定電話網(PSTNなど)または無線ネットワークとすることができる。たとえば、無線ネットワークは、セキュリティサービス18を提供するネットワーク16と同一とすることができ、あるいは、別のネットワークとすることができる。データ通信は、インターネットを介して実行することができる。データ通信は、保護され暗号化された形であることが好ましい。
【0026】
ステップDで、トランザクションマネージャ14が、チャレンジおよびSIMで保持される鍵から導出される回答を供給することによって、チャレンジに対するSIM 12からの応答を送信する。この応答が、ネットワーク16のセキュリティサービス部分18によって検査される。応答が満足であると仮定すると、セキュリティサービス部分18は、ユーザを認証し、多分移植セキュリティトークンを供給することによって、これをトランザクションマネージャ14に確認する(ステップE)。それと同時に、ネットワーク内のセキュリティサービス部分18が、ネットワーク16のアプリケーションサービス部分22にセッション鍵を送信する(ステップF)。
【0027】
トランザクションマネージャ14は、このセッション鍵をアプリケーション17にも送信する(ステップG)。
説明する実施形態では、トランザクションマネージャが、SIM 12との間のデータの転送を容易にする。トランザクションマネージャが、このデータを理解できまたは解釈できることに関する要件はない。説明される実施形態のトランザクションマネージャの機能は、SIM 12との間で渡されるデータの導管として働くことである。
【0028】
ユーザは、特定のアプリケーションに関する要求を行うことができ(ステップH)、このアプリケーション要求に、ステップGで受け取ったセッション鍵を付随させる。ステップHのアプリケーション要求は、アプリケーションサービス部分22に送信され、アプリケーションサービス部分22は、ネットワーク16の一部とすることができ(図示の通り)、あるいは、別々で第三者によって制御されるものとすることができる。ステップIで、アプリケーションサービス部分が、アプリケーション要求と共に受信した(ステップH)セッション鍵を、ステップFで受信したセッション鍵と比較する。この検査の結果が満足であると仮定すると、アプリケーションサービス部分22は、アプリケーション要求の受入をPC 10に送信し(ステップJ)、アプリケーションが進行する。セッション鍵は、状況に応じて、アプリケーションサーバ22の時間を限られた使用、単一の使用、または無期限の使用を許可することができる。ネットワークは、そのセッションの料金をユーザの口座の借方に記入することができる。アプリケーションサービス部分22とセキュリティサービス部分18の間にリンクを設けて、これらの部分の間でのデータ交換を可能にすることができ、たとえば、セキュリティサービス部分18が、ネットワーク16のユーザの口座に借方記入するように配置することができる。
【0029】
前述は、もちろん、説明されるものの実施形態の1つの単純な例にすぎない。
代替実施形態では、データキャリアは、上で説明した形の1つなど、すなわちSIMまたは(多分)SIMをシミュレートするソフトウェアなどの所定の情報を保管する手段を備えることができる。シミュレートされたSIMは、データキャリアに保管されるデータに関連する。データキャリアは、たとえば、DVD、CD ROM、または他の類似するデータキャリアとすることができ、その上のデータは、ソフトウェアまたはソフトウェアの組とすることができる。
【0030】
シミュレートされたSIMは、データキャリア上のデータ(ソフトウェアなど)の識別および認証に使用することができる。シミュレートされたSIMは、上で説明したものと同一の形で、遠隔通信網または他の集中システムに登録することができる。データキャリアが、その中での使用のために、コンピュータなどのデータ処理装置に置かれる時に、SIMを使用して、データキャリアおよびそれに保管されたデータを識別し、認証することができ、(たとえば)コンピュータでの使用のためのソフトウェアのダウンロードを可能にすることができる。この形で、SIMを後に使用して、ソフトウェアのさらなる使用(たとえば別のコンピュータでの)を阻止し、または所定の回数だけデータを使用することを許可する(同一のコンピュータ内または異なるコンピュータ内のいずれであれ)ことができる。たとえば、データキャリア(SIMを有する)が、特定のユーザのSIMも受け取ったコンピュータに置かれる場合に、(a)データキャリア上のSIMを使用して、ソフトウェアを識別し、認証することができ、(b)コンピュータ内のまたはコンピュータに関連するSIMを使用して、ユーザを認証することができ、その後に、ソフトウェアの使用に関する支払いとしてそのユーザの借方に料金を記入できるようにするのに使用することができる。
【0031】
SIMと共にデータキャリアに保管されるデータを、たとえば暗号化されたデータとすることができる。その暗号化されたデータは、データキャリア上のSIMによって提供される情報を使用して暗号化することだけができる。この形で、データキャリア上のSIMが、データキャリアに保管されたデータの使用を制御することができる。たとえば、データキャリアを、データキャリア上のデータを使用する制限付きの権利をユーザに与える特定のライセンスと共に販売することができる。ユーザは、所定の時間期間または所定の回数だけそのデータを使用することを許可されることができる。データが使用されるたびに、そのデータが、SIMに保管されたデータを使用して暗号化解除される。データが暗号化解除された回数のレコードが、SIM(または他所)内で維持される。データが暗号化解除された回数が、データキャリアと共に販売されたライセンスで提供される回数と等しい時に、SIMは、データを暗号化解除しないことによって、そのデータのそれ以上の使用を防ぐ。データが、所定の時まで有効なライセンスと共に提供される場合に、SIMがデータを暗号化解除するたびに、SIMは、現在時刻(たとえばSIM、PC 10で提供される適当なクロックに関して、またはネットワーク16に関して)を検査し、その結果、データの暗号化が、データキャリアと共に販売されたライセンスで指定される時までに限って実行されるようになる。
【0032】
シミュレートされたSIMを上で説明したが、SIMは、より安全なのでハードウェアで実施されることが、現在は好ましい。ハードウェアSIM上の秘密の認証データは、許可されない人がアクセス不能である。
【0033】
SIM 12を受けるようにPC 10を適合させるか、SIMまたはSIMをシミュレートするソフトウェアを組み込むようにデータキャリアを変更するのではなく、SIM 12を受けるためにまたはSIM 12をシミュレートするソフトウェアを組み込むために、別々のデバイスまたは「ドングル」30を設けることができる。
【0034】
図3に、トランザクションの認証(または他の適当な目的)のためにデータをドングル30とPC 10の間でおよびネットワーク16との間で前に渡せるようにするドングル30を示す。
【0035】
ドングル30に、SIM 12を受けるスロットを有するハウジング32が含まれる。ハウジング32は、適当な材料から作ることができる。この材料は、電気的に絶縁性であることが好ましい。たとえば、ハウジングに、レーザ硬化型の樹脂またはプラスティックを含めることができる。
【0036】
適当なコネクタ(図示せず)が、SIM 12とドングル30の間のデータの電子交換を可能にするためにハウジング32内に設けられる。ドングル30に、さらに、PC 10とのデータ通信目的の接続を可能にする適当なコネクタ34が含まれる。たとえば、このコネクタは、USBコネクタ、Firewire 1394コネクタ、または他の適当なコネクタとすることができる。もちろん、ドングルの異なる構成も、設けることができる。たとえば、SIM 12を、ドングル30に完全に収納することができ、ハウジング32を開くことによってドングル30から取外し可能とすることができ、あるいは、SIM 12を、ドングルケーシング32内に永久的に密封またはカプセル化することができる。後者の配置が設けられる場合に、遠隔通信システムのユーザに、たとえば携帯電話受話器で使用される第1SIMを与えることができ、PC 10を介してトランザクションを実行するのに使用される別々のSIMを収納したドングル30を与えることができる。望まれる場合に、遠隔通信網に、ユーザの携帯受話器内のSIMおよびユーザのドングル内のSIMが同一所有者によって所有されることを示すレコードが含まれ、この情報を使用して、ユーザに、両方のSIMの使用に関してこうむる料金の単一の口座を便利に提供することができる。
【0037】
ドングル30は、PC 10との通信を制御するドングルインターフェースドライバ36を備える。PC 10からのすべての通信が、ドングルインターフェースドライバ36を介してルーティングされ、SIM 12に保管されたデータには、ドングルインターフェースドライバ36を使用することによらなければアクセスできない。対応するPCインターフェースドライバ38が、PC 10に設けられる。PCインターフェースドライバ38に、たとえば、PC 10にロードされ、これによって実行されるコンピュータプログラムの形の一連のコマンドを含めることができる。PCインターフェースドライバ38は、たとえば、ネットワーク16によってまたはこれによる制御の下で供給することができる。したがって、PCインターフェースドライバ38は、ネットワーク16によって「信頼」され、SIM 12に存在するセキュリティ情報を危険にさらすことを許容しない承認された形でのドングル30へのアクセスを可能にし、その結果としてSIM 12へのアクセスを可能にするように構成される。
【0038】
PCインターフェースドライバ38が代替ドライバに置換されるかバイパスされること(SIM 12のデータのセキュリティを危険にさらす可能性がある)を防ぐかその可能性を減らすために、PCインターフェースドライバ38およびドングルインターフェースドライバ36に、めいめいの共有される秘密鍵40および42が与えられる。PCインターフェースドライバ38からドングル30への通信のそれぞれが、共有される秘密鍵40を使用して暗号化される。PC 10からドングル30へのすべての通信が、ドングルインターフェースドライバ36によって受け取られる。ドングルインターフェースドライバ36に、その秘密鍵42を使用して、受け取られた通信を暗号化解除する処理手段が含まれる。セキュリティを高めるために、ドングルインターフェースドライバ36は、共有される秘密鍵40を使用して暗号化されていないすべての通信が、SIM 12にデータを送るかSIM 12からデータを受け取ることを防ぐ。
【0039】
したがって、PCインターフェースドライバ38は、SIM 12へのアクセスの許可されない試みによってSIM 12に保管されたデータが危険にさらされる可能性を減らすために、ドングル30およびSIM 12へのアクセスを制御し、監督する。
【0040】
SIM 12のデータへのアクセスの要求が、PCインターフェースドライバによって承認され(たとえば、ネットワーク16によって設定される判断基準に従って)、したがって、適当な鍵40を用いてドングルインターフェースドライバ36に通信されるならば、図1および2に関して説明した形で、SIM 12を使用するトランザクションを認証することができる。
【0041】
共有される秘密鍵40および42の提供は、有利であるが、秘密鍵40および42の提供が、本発明に必須ではないことを諒解されたい。
代替の配置では、PCインターフェースドライバ38が、特定の秘密鍵40を備えない。しかし、ドングルインターフェースドライバ36は、鍵42を備える。ドングル30が、PC 10に結合される時に、PCインターフェースドライバ38は、そのドングルインターフェースドライバに鍵42が設けられていることを検出する。PCインターフェースドライバ38は、PCインターフェースドライバ13とドングルインターフェースドライバ36の間のデータ交換を鍵42を使用して暗号化できるようにする鍵を、通信リンク19を介してネットワーク16から入手することができる。たとえば、ドングルインターフェースドライバ36の鍵42を、秘密鍵とすることができ、ネットワーク16によってPCインターフェースドライバに供給される鍵40を、公開鍵とすることができる(この2つの鍵は、公開鍵/秘密鍵対である)。ネットワーク16によって供給される鍵は、アプリケーションによる要求の際に供給されないことが好ましい。たとえば、ネットワーク16を、信頼されるPCインターフェースドライバだけにおよび/またはある認証処理の後に限って、これらの鍵を供給するように構成することができる。
【0042】
代替案では、ドングルインターフェースドライバ36とPCインターフェースドライバ38の間のデータ転送を、暗号化しないことができ、あるいは、異なる機器で提供される多数のドングルインターフェースドライバおよびPCインターフェースドライバに共通する形で暗号化することができ、これは、ドングル30を複数の異なるPCと共に使用できるようになるという長所を有する。
【0043】
追加のセキュリティ手段として、PCインターフェースドライバ38とトランザクションマネージャ14の間の通信を暗号化することができる。たとえば、これらの部分のそれぞれが、共有される秘密鍵を有することができ、これらの間の通信を、その共有される秘密鍵を使用して暗号化することができる。
【0044】
本発明のもう1つの実施形態を、図4に関して説明する。図4によれば、ドングル30が、そのハウジング32内に完全に収納されたSIM 12を有し、したがって、SIMは、この図では見ることができない。ドングル30は、図3の実施形態に似た形の、PC 10に接続するコネクタ34を有する。ケーシング32の反対の端に、任意選択のループコネクタ44を設けて、それをユーザの鍵輪に取り付けることによって、ドングル30を持ち運ぶ便利な手段を提供することができる。
【0045】
ハウジング32の1面は、さまざまな押しボタン46を取り付けられ、押しボタン46のうちの10個が、それぞれの数0から9を表示されている。この実施形態では、ドングル30に、適当に指定された押しボタン46を操作することによってユーザからのPIN番号の入力を受け取る手段(ソフトウェアなど)が含まれ、このPIN番号は、SIM 12のために供給され、SIM 12に保管されたPIN番号と比較される。GSM遠隔通信網で使用されるSIMは、便利にそのようなPINを備える。
【0046】
ハウジング32は、さらに、任意選択として、PIN番号を入力するようにユーザに促し、かつ/または望まれる場合に入力されたPIN番号を表示するディスプレイ48を備えることができる。押しボタン46を使用するPIN番号の入力時に、入力されたPIN番号が、SIMに保管されたPIN番号と比較される。PINが一致するとわかった場合に、SIMとPC 10の間の通信が許可されて、1つまたは複数のトランザクションが認証される。入力されたPIN番号とSIM 12に保管されたPIN番号の間の比較は、ドングル30内で実行され、入力されたPIN番号またはSINに保管されたPIN番号の両方が、PC 10に通信されない。これによって、許可された当事者への開示によってPINが危険にさらされる可能性が、なくなるか減る。
【0047】
PINの入力を可能にするために、ドングル30は、電源を必要とする。電力は、PC 10によって供給することができる。有利なことに、PINは、それ自体の一時的電源を有し、これによって、PINを入力し、検証することが可能になる。その後、電源が切られ、PINデータが失われる。これは、追加のセキュリティ機能であり、下で詳細に説明する。
【0048】
図4のPIN入力比較配置は、図3に示された配置のインターフェースドライバ36および38ならびに共有される秘密鍵40および42に加えてまたはその代替として提供することができる。
【0049】
押しボタン46の代替として、PIN入力を可能にする他の手段を設けることができることを諒解されたい。代替案では、ユーザからある他のセキュリティ情報を入手し、これをSIM 12に保管されたデータと比較することによって、ユーザが、SIMを使用することを認証されることができる。たとえば、入手されるデータは、ユーザの指紋または、たとえば適当なバイオメトリックデータなど、別の人で再び生じる可能性が低い他の特性とすることができる。指紋(または他の情報)の詳細は、その特性を表す入力データとの比較のためにSIMに保管される。
【0050】
図4の実施形態の追加のセキュリティ特徴として、SIM 12からの情報を要求するアプリケーションまたは組織の名前を表示するディスプレイを設けることができる。これによって、ユーザが、自分のSIM 12に対して行われる要求を監視できるようになる。
【0051】
図3に関して説明しためいめいのインターフェースドライバ36および38ならびに共有される秘密鍵40および42が、追加のレベルのセキュリティを提供するために、図4に関して説明したPIN入力比較配置も含むシステムで使用される場合に、ドングル30を、SIM 12にデータを要求するアプリケーションまたは組織の名前を表示するようにプログラムすることができ、その後、キーパッド46を使用してユーザのPINを入力することによって各または選択されたアプリケーション/組織に関するデータの供給を承認するようにユーザに促すことができる。PIN入力の代替案として、ユーザに、「トランザクション確認」ボタンまたは類似物をアクティブ化するように促すことができる。
【0052】
ドングル30を使用して、PC以外のデータ処理装置とのトランザクションを容易にすることができる。たとえば、ネットワーク16のアカウントを有し、ドングル30を与えられたユーザは、ネットワーク16に接続可能なパーキングメーターの適当に構成されたスロットにコネクタ34を挿入することができる。そのドングル30に含まれるSIM 12は、パーキングメーター内に設けられるトランザクションマネージャを使用して、上で説明した形で認証される。この手段によって、駐車料金支払いを、ネットワーク16のユーザの口座から適当な額を差し引くことによって行うことができる。有利なことに、ドングル30に、押しボタン46を設けることができ、ドングルは、PINを入力するようにユーザに促し、このPINが、SIMに保管されたPINと比較され、その結果、ドングル30を、許可されない当事者が使用できなくなる。ドングルは、パーキングメーターの制御下で、トランザクションに関連するデータ、たとえば駐車スペースが必要な時間の長さを入力することを押しボタン46が可能にすることを可能にするようにプログラムすることができる。
【0053】
ドングル30は、たとえば、類似する形で、適当に構成されたDVDプレイヤと共に使用して、ネットワーク16のユーザの口座から差し引かれる料金の支払いに対してフィルムを見られるようにすることもできる。本願と同一の日付に出願された「Data Processing」と称する同時係属の特許出願に記載されているように、ディジタル権利管理方式の鍵としてドングル30が動作できるようにシステムを配置することができる。ドングルは、適当に構成された自動販売機から製品を購入できるようにするか、適当に構成された券売機から切符を購入できるようにすることもできる。そのような機械に、PC 10のトランザクションマネージャ14によって実行される機能に対応する機能をその機械が実行できるようにするプロセッサが含まれる。
【0054】
上の説明では、トランザクションの認証に使用されるSIMが、PC 10内の適当なスロットに挿入されるかドングル30(設けられる場合)内のいずれかの普通のSIMの形を有することを示した。これは、単に、モバイルネットワークの加入者が普通の携帯端末で発呼および着呼に使用するSIMとすることができる。代替案では、SIM 12を、PC 10またはドングル30内に組み込むことができる(簡単に取り外せないか全く取り外せないように)。もう1つの代替案では、SIMが、別々の物理的な形を有するのではなく、PC 10またはドングル30内のソフトウェアおよび/またはハードウェアによってシミュレートされるものとすることができる。SIMは、シミュレートするか、PC 10のチップセットに組み込むことができる。たとえば、SIMを、PC 10の中央処理装置内に組み込むか、中央処理装置でシミュレートすることができる。そのような配置では、SIM(またはシミュレートされたSIM)をPC 10から除去できなくなる(PC 10を役に立たなくしない限り)。
【0055】
SIMが、PC 10またはドングル30から簡単に除去可能でない形の場合に、遠隔通信システムの加入者に、たとえば彼の携帯受話器内での使用のために第2のSIMを与えることができる。
【0056】
しかし、同一のSIM(PC 10内またはドングル30内)が、トランザクションの認証に使用され、遠隔通信網で普通の形で使用される(たとえば、携帯電話機を使用する発呼および着呼に)場合に、呼が行われる時に携帯電話網でSIMを認証するのに使用されるのと同一のデータを使用して、トランザクションの認証を提供することができる。代替案では、SIMが、各認証タイプを実行する別々のレコードを有することができる。トランザクションの認証に使用されるデータおよび/またはアルゴリズムを含む第1レコードと、遠隔通信網で端末を認証するのに普通の形で使用される第2の別々のレコードを設けることができる。第1および第2のレコードは、めいめいの認証鍵、遠隔通信網への一意の識別子、および/または独自の認証アルゴリズムを有することができる。
【0057】
第1のレコード自体に、それぞれが遠隔通信網に登録された、認識され別々に請求される別々のレコードの制御の下でトランザクションを認証できるようにする、一連の別々のレコードを含めることができる。これを、図5に関して詳細に説明する。図5では、ドングル30に、複数のSIM 12を含めることができ、あるいは、ドングル内でシミュレートされる複数のSIMを有することができる。代替案では、複数の完全なSIMを設けるかシミュレートするのではなく、複数の異なるレコードをドングル30に保管することができる。複数のSIMが設けられるか、複数のシミュレートされたSIMが提供されるか、複数の代替のレコードが設けられるのどれであれ、これらを、遠隔通信網に識別可能なめいめいの一意のデータレコードとみなすことができる。
【0058】
そのような配置は、たとえば、ユーザまたは加入者が複数の環境でドングル30を使用することを望む時に望ましい可能性がある。ユーザまたは加入者が、雇用者に対する義務を実行している時に、ドングル30は、雇用者に関連するデータレコードをアクティブ化する。そのデータレコードを使用して許可されるトランザクションは、適当な場合に、雇用者の口座に対する請求をもたらす。ユーザまたは加入者が、雇用者に対する義務を実行していない時には、個人データレコードがアクティブ化される。ドングル30を使用して認証されるトランザクションは、そのユーザの個人口座から差し引かれる料金をもたらす。これによって、雇用者の代わりに実行されるものと別々の個人の立場でユーザまたは加入者によって実行されるトランザクションが可能になる。ドングル30のモード(すなわち、雇用者のデータレコードと個人データレコードのどちらがアクティブ化されるか)は、ドングル30に設けられるモードスイッチ50によって制御することができ、あるいは、PC 10で動作するトランザクションマネージャ14またはPCインターフェースドライバ38内に設けられるソフトウェアを使用してモードを変更することができる。ユーザによって指示される時に、このソフトウェアは、適当な信号をドングル30に送らせて、アクティブなSIM、アクティブなシミュレートされたSIM、またはアクティブなデータレコードを変更する。
【0059】
追加のセキュリティ手段として、ドングルは、SIMの異なるモード(たとえば「従業員」モードまたは「個人」モード)をアクティブ化するために、加入者がPINを入力する(または他のデータを提供する)ことを要求することができる。各モードをアクティブ化するのに、異なるPINを要求することができる。
【0060】
これまでに説明したドングル30は、PC 10とのデータ通信を可能にする物理的なコネクタ34(USBコネクタなど)を有する。物理的なコネクタ34の代替案として、ドングル30とPC 10の間の無線リンクを設けることができる。データ交換は、たとえば、Bluetooth技術を使用するニアフィールド技法を使用することによって、赤外線シグナリングによって、または他の適当な手段によって行うことができる。
【0061】
別々のドングル30を設けるのではなく、ユーザのSIMを、便利な形で携帯端末(携帯電話受話器など)に配置することができる。SIMは、携帯端末とPC 10の間の適当なデータ交換によって、PC 10を用いるトランザクションを認証することができる。これは、トランザクションの認証が要求される時にPC 10に接続するための物理的コネクタ(USBコネクタなど)を携帯端末に設けることによって達成することができ、あるいは、上で説明した無線技法のいずれかによって行うことができる。この通信が、暗号化されるか、他の形で保護されることが好ましい。SIMが、普通の携帯遠隔通信用とトランザクション認証用の別々のデータレコードを設けられる場合に、たとえば遠隔通信網との電話呼とPC 10を用いるトランザクションの認証を同時に行うことを可能にすることができる。携帯端末は、PC 10とネットワーク16の間の通信リンクを便利に提供することができる。したがって、この配置でのPC 10への携帯端末の結合は、トランザクションの認証を可能にするだけではなく、PC 10とネットワーク16の間の通信媒体も便利に提供する。代替の配置では、携帯端末が、携帯遠隔通信網を介する通信を提供するが、これがネットワーク16と異なる。
【0062】
ドングル30は、PC(または他のコンピューティングデバイス)と共に使用される普通のデータカードの機能も実行することができる。この配置では、ドングルが、適当なサイズになり、ドングルに、上で説明した機能を有するほかに、データカードとして動作できるようにするのに適するコネクタが含まれる。
【0063】
トランザクションを認証する配置のもう1つの機能強化された実施形態を、図6と、図7A、7B、および7Cに示された流れ図とを参照して説明する。
PC 10などのクライアントプラットフォームに、トランザクションマネージャ14が含まれる。その中にSIM 12を有するドングル30が、設けられ、ドングル30とトランザクションマネージャ14の間の通信が、接続34(有線接続または無線接続とすることができる)を介して実行される。この実施形態では、トランザクションマネージャ14に、図3に示されたPCインターフェースドライバ38が組み込まれ、したがって、PCインターフェースドライバは、図6では別々の項目として示されていない。同様に、ドングル30に、図3の36に示されたドングルインターフェースドライバが組み込まれ、したがって、別々のドングルインターフェースドライバは、図6に示されていない。
【0064】
PC 10は、たとえば、Windows(登録商標)オペレーティングシステムを使用することができる。
複数のクライアントアプリケーション17が、PC 10で供給され、これによって、ユーザが、めいめいのリモートサービスプロバイダ22からサービスを入手できるようになる。「リモート」は、PC 10とサービスプロバイダ22の間に特定の地理的距離が存在しなければならないことを暗示することを意図されていないことを理解されたい。しかし、一般に、サービスプロバイダ22は、PC 10と独立に制御される(これは必須ではない)。
【0065】
この実施形態で、携帯遠隔通信網16は、SMS、MMS、ロケーションベースサービスなどのネットワークサービス100を提供する。ネットワーク16は、認証サービス102および支払いサービス104も提供する。しかし、このネットワークを、任意のタイプのネットワークとすることができ、本発明が携帯遠隔通信網に制限されないことを理解されたい。たとえば、認証サービス102および支払いサービス104を、ローカルエリアネットワーク、広域ネットワーク、および/またはインターネットによってPC 10にリンクされたコンピュータで提供することができる。
【0066】
加入者が、リモートサービスプロバイダ22によって提供されるサービスを使用することを望む時に(図7Aの流れ図のステップA)、加入者は、SIM 12を含むドングル30をPC 12の適当な接続スロットに挿入するか無線リンクを使用することによって、PC 10にSIM 12を結合する(ステップB)。次に、加入者は、PC 10で関連するクライアントアプリケーション17をアクティブ化して、必要なサービスを得る(ステップC)。たとえば、クライアントアプリケーション17は、加入者のPC 10でのインストールのためにサービスプロバイダ22によってまたはその制御の下で供給される特殊なソフトウェアとすることができる。代替案では、クライアントアプリケーション17を、サービスプロバイダ22の適当なウェブサイトを訪れるためのウェブブラウザとすることができる。
【0067】
図6に示されたシステムの動作を示すために、サービスプロバイダ22である売り手から特定のCDを購入することを望む加入者に関する例を示す。PC 10で提示されるグラフィカルユーザインターフェースを使用して、加入者は、PC 10で提供されるウェブブラウザソフトウェアを起動し、インターネットを介して、サービスプロバイダ22のウェブサイトにアクセスする。ウェブブラウザソフトウェアは、クライアントアプリケーション17を構成し、CDを配布するサービスプロバイダ22に関連するウェブサイトへのアクセスを可能にする。
【0068】
クライアントアプリケーション17とサービスプロバイダ22の間のデータ通信は、固定網(たとえばPSTN)または無線ネットワーク(ネットワーク16または別の携帯遠隔通信網など)によるものとすることができる。
【0069】
加入者がウェブサイトにログインする機能を提供することができる。有利なことに、ネットワーク16によって承認されたサービスプロバイダは、加入者がサービスプロバイダに「偽名」を登録することを許可することができる。偽名は、サービスプロバイダからサービスを得る時に使用することを加入者が望む可能性があるデータを関連付けられる。このデータは、ネットワーク16によって保管される。このデータは、たとえば加入者のSIM識別子に関して、サービスプロバイダによって永久的には保管されない(もちろん、サービスプロバイダは、ネットワーク16の加入者に関連する偽名のリストを維持するが)。
【0070】
認証サービスは、サービスプロバイダが、加入者の許可を得て、SIMに対して偽名データを保管することを許可することができる。偽名データは、中央で保管され、認証サービス提供者によってSIMに配布することができる。
【0071】
ネットワーク16が加入者(加入者A)に関して保持する情報の例を、下に示す。
加入者Aのデータ
・SIM識別子
・MSISDN
・偽名
○サービスプロバイダAに関して
■氏名
■住所
■プリファレンス
■銀行口座の詳細
○サービスプロバイダBに関して
■氏名
■住所
■プリファレンス
■銀行口座の詳細
○サービスプロバイダCに関して
■氏名
■住所
■プリファレンス
■銀行口座の詳細
【0072】
ネットワーク16は、加入者のSIMおよびそのMSISDNに関するデータを保管するのと同様に、加入者がさまざまなサービスプロバイダ(サービスプロバイダA、B、C、…)について確立した偽名のリストも含む。特定のサービスプロバイダについて保管される情報は、異なる場合があり、サービスプロバイダが加入者に有用に要求する情報および加入者が喜んでサービスプロバイダに供給する情報に依存する。示された例では、偽名に、加入者の氏名および住所の詳細と、特定のサービスに関して加入者が有する可能性があるプリファレンスを含めることができる。加入者がサービスプロバイダ22からCDを購入することを望む例では、これに、加入者の特定のタイプの音楽に関する好みを含めることができ、これによって、サービスプロバイダは、多分加入者が好むタイプの音楽に関するCDを加入者に提供するように、そのサービスを調整できるようになる。
【0073】
ユーザがウェブサイトにアクセスする時に、サービスプロバイダ22は、ログイン手順の一部として、ウェブブラウザを使用して、加入者が前にそのサービスプロバイダ22に登録した可能性がある「偽名」を入力するように加入者に促させる(ステップD)。偽名が、その加入者によってそのサービスプロバイダ22に前に登録された場合に、加入者は、自分の偽名を入力し、これが、クライアントアプリケーション17によってサービスプロバイダ22送られる(ステップE)。次に、サービスプロバイダ22は、リンク106(図6)によって、この偽名をネットワーク16の認証サービス102に送信する。認証サービス102は、ネットワーク16に関してその偽名が有効であるかどうかを判定し、有効と判定される場合に、ネットワークは、その偽名に関連してネットワークによって保管された詳細をサービスプロバイダ22に送信する(ステップF)。
【0074】
偽名が存在しない場合に、加入者は、サービスプロバイダ22が要求する詳細(氏名および住所など)を入力する(ステップG)。
この時点で、サービスプロバイダ22は、加入者にプロンプトを出して、そのサービスプロバイダについて使用される偽名をセットアップしたいかどうかを尋ねることができる。加入者が、そのサービスプロバイダについて偽名をセットアップすることを望む場合に、サービスプロバイダは、氏名、住所、音楽の好みの詳細、および類似物などの関連情報を加入者に要求する。この情報の一部は、偽名のセットアップに必須である可能性がある(加入者の氏名および住所など)が、他のデータは、任意選択とすることができる(加入者の音楽の好みなど)。加入者が、偽名での使用についてサービスプロバイダに供給される情報を選択できることが有利と考えられ、偽名が特定のサービスプロバイダだけについて使用されることも有利と考えられる。偽名を確立するデータが入力された時に、この情報が、リンク106を介してネットワーク16の認証サービス102に渡される。偽名は、サービスプロバイダ22によって保管されるが、その偽名に関連するデータは、サービスプロバイダ22によって永久的には保管されない(その情報は、要求時にネットワーク16の認証サービス102によってサービスプロバイダ22に供給される)。
【0075】
サービスプロバイダ22が、加入者がそのサービスプロバイダに関して使用する特定の偽名に関連するデータへのアクセスだけを有することに留意することが重要である。他のサービスプロバイダに関する偽名に関連する別々のレコードが、ネットワーク16によって別々に保管される。これが有利であるのは、たとえば加入者が、医者からサービスを得る時に使用する偽名に個人医療データを関連付けたいが、この情報を他のサービスプロバイダから使用可能にしたくない場合があるからである。
【0076】
加入者は、ウェブサイトを検索して、購入したいCDを識別する。加入者によって要求されるCDが識別された時に、加入者は、たとえばウェブサイトによって供給される「CD購入」ボタンをマウスでクリックすることによって、クライアントアプリケーション17に、サービスプロバイダ22にサービス要求メッセージを送信させる(ステップH)。このメッセージには、要求されるCDを識別するデータ、加入者を識別するデータ(加入者のSIM識別子など)(加入者が加入者のSIM 12によってトランザクションを認証できるトランザクションマネージャ14をPCにインストールしたことを示すフィールドを含む)が含まれる。
【0077】
トランザクションのこの段階で、サービスプロバイダ22は、加入者の氏名、住所、および加入者が注文したいCDを含む、加入者のある詳細を与えられている。この情報は、実際には加入者でない誰かによって供給された可能性がある。このトランザクションを認証するために、サービスプロバイダ22は、サービスコンテキストSCを構成する(ステップI)。サービスコンテキストは、次のフィールドを含むデータパケットである。
【0078】
○サービスプロバイダ22の識別子
○加入者の氏名(または、SIM識別子などの他の識別子)
○認証されるトランザクションの詳細(この場合にはCDの購入)
もちろん、追加のまたは代替の情報も提供することができる。
【0079】
サービスコンテキストSCは、インターネットを介してクライアントアプリケーション17に送信される。クライアントアプリケーション17は、サービスコンテキストSCをトランザクションマネージャ14に渡す(ステップJ)。クライアントアプリケーション17は、サービスコンテキストSCにそれ自体の識別子を追加して、ネットワーク16が、どのクライアントアプリケーションからそのトランザクションが導出されたかを識別できるようにすることができる。
【0080】
トランザクションマネージャ14は、サービスコンテキストを分析し、ネットワーク16によるトランザクションの認証の要求が必要であることを確立する。トランザクションマネージャは、SIM 12を含む加入者のドングル30が存在するかどうかを検出する(ステップK)。ドングル30が存在しない場合に、ユーザは、ドングルを使用可能にするように促される。トランザクションマネージャ14は、認証されるトランザクションの説明も表示することができ、加入者に、トランザクションを承認するか不認可とする選択肢を提供することができる。ドングルが存在し、トランザクションが加入者によって承認されたと仮定すると、トランザクションマネージャ14は、セキュリティトークンSXに関する要求をネットワーク16の認証サービス102に送信する(ステップL)。認証サービス102に送られる要求に、サービスコンテキストSCが含まれる。そのデータは、適当なネットワークを介して送信することができる。そのデータを、インターネットを介して送信することができる。そのデータを、固定電話網を介して、または遠隔通信網16の携帯インフラストラクチャもしくはセルインフラストラクチャを介して送信することができる。
【0081】
ドングル30に、図4に関して上で説明したようにPINまたはバイオメトリックデータを入力できるようにする手段を含めることができる。加入者が、トランザクションの認証の前に、PINを入力するか他のデータを供給するように促される場合に、これによって、追加のレベルのセキュリティが提供される。トランザクションマネージャ14および/またはSIM 12は、信頼されるクライアントアプリケーション17のリストを保管することができる。これらのアプリケーションに、鍵(または他の識別データ)を与えることができる。信頼されるアプリケーションについて、加入者にPINを入力するように要求するのではなく、この鍵を受け入れるようにトランザクションマネージャおよびSIMを構成することができる。
【0082】
追加のセキュリティ特徴として、ドングルに、図3および4の実施形態に関して説明したように、SIM 12に情報を要求するアプリケーションまたは組織の名前を表示する画面を設けることができる。これによって、ユーザが、自分のSIM 12に対して行われる要求を監視できるようになる。ドングル30は、SIM 12にデータを要求するアプリケーションまたは組織の名前を表示するようにプログラムすることができ、その後、キーパッドを使用してユーザのPINを入力するか他の識別データを供給することによって各または選択されたアプリケーション/組織に関するデータの供給を承認するようにユーザに促すことができる。
【0083】
その後、加入者は、認証サービス102がSIMとのチャレンジレスポンスセッションを実行することによって(トランザクションマネージャ14を介してデータを送信することによって)認証される(ステップM)。たとえば、認証サービス102は、ランダムチャレンジをトランザクションマネージャ14に送り、これがSIMに送られる。SIMは、そのSIM内にあり、その特定の加入者に割り当てられた認証アルゴリズムおよび一意の鍵Kiの両方を使用してランダムチャレンジを暗号化解除することによって応答する。この応答は、トランザクションマネージャによって認証サービス102に送られる。認証サービス102は、この応答を分析して、その加入者のSIMから期待される応答であるかどうかを判定する。応答が期待通りである場合に、認証サービス106は、セキュリティトークンSXを発行し、これをトランザクションマネージャに送る(ステップN)。トランザクションマネージャ14自体は、チャレンジレスポンス手順中に交換されるデータを理解する必要はなく、単にこのデータの導管として働く。
【0084】
図3に関して説明したように、トランザクションマネージャ14が代替アプリケーション(SIM 12のデータのセキュリティを危険にさらすことができる)に置換されるかバイパスされることを防ぐかその可能性を減らすために、トランザクションマネージャ14およびドングルインターフェースドライバに、めいめいの共有される秘密鍵を設けることができる。トランザクションマネージャ14からドングル30への通信のそれぞれが、共有される秘密鍵40を使用して暗号化される。PC 10からドングル30へのすべての通信が、ドングルインターフェースドライバによって受け取られる。ドングルインターフェースドライバに、その秘密鍵を使用して、受け取った通信を暗号化解除する処理手段が含まれる。セキュリティを高めるために、ドングルインターフェースドライバは、共有される秘密鍵を使用して暗号化されたもの以外のすべての通信が、SIM 12にデータを送るかこれからデータを受け取ることを防ぐ。
【0085】
したがって、トランザクションマネージャ14は、ドングル30およびSIM 12へのアクセスを制御し、監視して、SIM 12へのアクセスの許可されない試みによってSIM 12に保管されたデータが危険にさらされる可能性を減らす。
【0086】
しかし、そのような共有される秘密鍵の使用が、必須でないことを諒解されたい。
トランザクションの支払いが必要な場合に、必要な支払いの詳細が、サービスコンテキストSCに含まれる。この情報は、認証サービス102によってセキュリティコンテキストSCから抽出される。認証サービス102は、リンク105を介して支払いサービス104にメッセージを送り、支払いサービス104は、ネットワーク16の加入者の口座の資金を予約する。この段階で、支払いが行われず、許可されないことに留意することが重要である。しかし、支払いサービス104は、支払いがすぐに要求される可能性が高いことを知っており、適当な資金が、そのトランザクションに関してユーザの口座で予約される。
【0087】
セキュリティトークンは、セキュリティトークンSXおよび次のフィールドを含むデータパケットである。
○加入者の識別−SIM識別子など
○サービスプロバイダ22の識別の表示
○認証されるサービスの表示−この例では特定のCDの注文
○認証サービス102の識別の表示
○支払いサービスを使用しなければならないかどうかの表示(支払いが必要な場合に)
状況に応じて、これに追加してまたはこれの代わりに他のフィールドを設けることができる。
【0088】
セキュリティトークンSXが、クライアントアプリケーション17に渡される(ステップO)。
クライアントアプリケーション17は、セキュリティトークンをサービスプロバイダ22に渡す(ステップP)。
【0089】
セキュリティトークンSXには、特定の加入者およびサービスプロバイダ22による件に関するトランザクションに固有のデータが含まれる。多数のトランザクションを、ネットワーク16、トランザクションマネージャ14、およびサービスプロバイダ22によって並列に処理することができる。これらは、セキュリティトークンSX内のサービスプロバイダ22による件に関する特定のトランザクションに固有のデータのおかげで、互いに区別可能である。
【0090】
セキュリティトークンSXが、ネットワーク16とトランザクションマネージャ14の間、またはクライアントアプリケーション17とサービスプロバイダ22の間で渡される時に傍受される場合に、そのセキュリティトークンは、傍受者に対する価値を有しない。セキュリティトークンSXは、サービスプロバイダ22による件に関する特定のトランザクションおよび特定の加入者に対するサービスの提供に固有である。
【0091】
サービスプロバイダ22がセキュリティトークンSXを受け取る時に、その内容が分析され、それがサービスプロバイダ22によって発行されたサービスコンテキストSCに対応することが確立される場合に、サービスプロバイダ22は、サービスの要求(CDの注文)が、加入者によって正当に行われたと仮定することができる。サービスプロバイダ22は、セキュリティトークンSXを認証サービス102に提示して、そのトークンの有効性を検査することができる。認証サービス102は、セキュリティトークンSXの保全性を検査し、セキュリティトークンSXの内容を検証する。次に、認証サービス102は、セキュリティトークンSXが有効であることを示す応答をサービスプロバイダ22に送る。代替案では、認証サービス102は、サービスプロバイダ22自体がセキュリティトークンSXの保全性および有効性を判定できるようにするデータをサービスプロバイダ22に送ることができる。
【0092】
次に、サービスプロバイダ22は、支払いを行う必要があるかどうかを判定する(ステップQ)。支払いが必要でない場合には、CDを発送することができる。しかし、支払いが必要な場合には、サービスプロバイダ22は、次のフィールドを含む支払いコンテキストPCを生成する。
【0093】
○セキュリティトークンSX
○要求された支払いの額
もちろん、状況に従って、さらなるまたは追加のフィールドが必要になる場合がある。
【0094】
支払いコンテキストPCが、クライアントアプリケーション17に送られる(ステップR)。クライアントアプリケーションは、支払いコンテキストPCをトランザクションマネージャ14に送る(ステップS)。
【0095】
トランザクションマネージャ17は、ネットワーク16の支払いサービス104に支払いコンテキストPCを送る(ステップT)。支払いコンテキストPCは、支払いサービス106によって分析される。支払いコンテキスト内のセキュリティトークンSXの存在は、これがセキュリティトークンSXによって示される加入者に関連する支払いに関する真正の要求であることを支払いサービスに示し、支払いサービスは、ネットワーク16のその加入者の口座に問い合わせて、支払いを許可できる(加入者の信用レーティングおよび/またはネットワーク16に関する支払い履歴および/または前払い額の状況に依存する可能性がある)かどうかを判定し、適当である場合に、支払いトークンPXを発行することによって、その支払いを許可する(ステップU)。
【0096】
次に、トランザクションマネージャ14が、支払いトークンPXをクライアントアプリケーション17に送る(ステップV)。クライアントアプリケーション17は、支払いトークンPXをサービスプロバイダ22に送る(ステップW)。サービスプロバイダ22は、支払いトークンPXを使用して、ネットワーク16の支払いサービス106からの支払いを得る(ステップX)。これを行うために、サービスプロバイダ22は、リンク108を介して支払いサービス104に支払いトークンPXを送る。支払いサービスは、支払いトークンPXを分析し、これが、支払いサービスによってトランザクションマネージャ14に正当に発行された支払いトークンであることを認識し、次に、ネットワーク16に関する加入者の口座に対する適当な調整を行う。
【0097】
有利なことに、ユーザが、サービスプロバイダ22に関連する偽名を有する場合に、サービスプロバイダ22は、そのトランザクションから加入者について知られたすべての新しい情報(たとえば音楽の趣味の変化)に基づいて、偽名を更新することができる。
【0098】
PC 10とネットワーク16の間の通信は、上で説明したように、暗号化されることが好ましい。PC 10内およびネットワーク16内の構成要素間の通信が、たとえば共有される鍵の使用によって、暗号化されることも好ましい。
【0099】
上で説明した配置では、加入者は、CDの購入を望む時に限って認証される。代替配置では、加入者がウェブサイトにログオンする時に、加入者を認証することができる。その場合に、サービスプロバイダは、ウェブサイトとのその加入者のセッションに関するセキュリティトークンSXを有する。加入者が購入を行うことを望む時に、このセキュリティトークンSXが、認証サービス102に送られる。認証サービス22は、購入の価格に応じて、たとえば、セキュリティトークンSXを検証するか、クライアントアプリケーション17およびトランザクションマネージャ14を介して、上で説明した形でさらなるセキュリティトークンを入手するようにサービスプロバイダ22に要求することができる。その加入者およびそのサービスプロバイダ22に関するすべての偽名データを、加入者の認証時にサービスプロバイダ22に供給することができる。
【0100】
セキュリティトークンSXは、限られた時間期間の間だけ有効とすることができる。SIMは、有利なことに、真の時刻を正確に判定する手段、たとえば、耐タンパ内部クロック、PC 10によって供給されるクロック、またはネットワーク16からの時刻表示(「信頼される」時間になる)を備えることができる。
【0101】
加入者は、サービスをサービスプロバイダ22から入手する形に似た形でネットワーク16からネットワークサービス100を入手することができる。すなわち、ネットワークサービスプロバイダ100は、サービスに関する要求がクライアントアプリケーション17から受け取られる時に、サービスコンテキストSCを発行する。セキュリティトークンSCは、SIM 12を使用する認証に続いて、トランザクションマネージャ14を介して認証サービス102から入手される。ネットワークサービスに関する加入者による支払いは、サービスプロバイダ22に関して説明した形で実行することができる(支払いコンテキストPCの発行および支払いトークンPXの生成による)。
【0102】
リンク107によって示されるように、リモートサービスプロバイダ22とネットワークサービスプロバイダ100の間に直接リンクを設けることも可能である。これによって、サービスプロバイダ22に対して行われるリモートサービス要求によって、加入者にネットワークサービスを提供できるようになる。
【0103】
リモートサービスプロバイダ22がネットワークサービスプロバイダ100からサービスを入手するために、リモートサービスプロバイダ22に、ネットワークサービスプロバイダ100と共に使用される一意識別子が与えられる。リモートサービスプロバイダ22が、加入者の代わりにネットワークサービスプロバイダ100からネットワークサービスを入手することを望む時に、この一意識別子が、ネットワークサービスに関する要求と共にネットワークサービスプロバイダに送信される。次に、ネットワークサービスが、要求された通りに提供され、料金が、ネットワークサービスプロバイダ100によって、ネットワーク16に関するサービスプロバイダ22の口座に対して請求される。リモートサービスプロバイダ22は、通常、関連するネットワークサービスの使用について加入者に対して料金を請求することを望み(リモートサービスプロバイダ22がこうむるコストおよびリモートサービスプロバイダ22によって提供される追加サービスの料金を含めるために)、この支払いは、上で説明した形で、支払いコンテキストPCを発行し、支払いトークンPXを入手することによって得られる。
【0104】
上で、トランザクションマネージャ14およびクライアントアプリケーション17を、PC 10以外の装置(たとえば、パーキングメーターまたは自動販売機または券売機)で提供できることを既に説明した。
【0105】
このシステムの使用のもう1つの例を、乗物のレンタルに関して説明する。ネットワーク16への加入者は、乗物レンタル会社のオフィスにあるPC 10(または他の処理装置)にドングルを結合する。PC 10には、乗物レンタルサービスプロバイダ22へのアクセスを提供するトランザクションマネージャ14およびクライアントアプリケーション17が含まれる。
【0106】
加入者が、サービスプロバイダ22と共に使用される偽名を有する場合に、その加入者は、これをサービスプロバイダ22に供給し、サービスプロバイダ22は、ネットワーク16の認証サービス102から、その加入者に関する関連データにアクセスすることができる。加入者が、サービスプロバイダ22に関連する偽名を有しない場合には、そのユーザは、サービスプロバイダ22によって促された時に、加入者の氏名、住所、借りたい乗物のタイプ、およびレンタル期間の持続時間などの関連する詳細を供給する。
【0107】
次に、サービスプロバイダ22は、適当なサービスコンテキストSCを作成し、これをクライアントアプリケーション17に送信する。トランザクションマネージャ14が、そのサービスコンテキストSCを受け取り、これをネットワーク16の認証サービス102に渡して、認証サービス102とSIM 12の間でトランザクションマネージャ14を介して上で説明した形で行われるチャレンジレスポンプ手順によるトランザクションの認証の後に、セキュリティトークンSXを探す。SIM 12が、ネットワーク16の認証サービス102によって認証される場合に、セキュリティトークンSXが、トランザクションマネージャ14に発行される。セキュリティトークンSSが、クライアントアプリケーション17に渡され、そこからサービスプロバイダ22に渡されて、トランザクションが認証される。
【0108】
認証サービス102と支払いサービス104の間のリンク105によって、適当な資金が、ネットワーク16に関連する加入者の口座から予約される。たとえば、資金を予約して、期待されるレンタル料および多分預かり金を含めることができる。
【0109】
自動車レンタルの料金総額は、既知でない場合がある(加入者が移動した距離、加入者が乗物を運転して過ごした時間の長さ、および乗物が実際に返却された日付に依存する可能性がある)ので、支払いコンテキストPCは、この段階ではサービスプロバイダ22によって発行されない場合がある。
【0110】
これまでで、加入者が、乗物レンタル会社とのトランザクションを認証された。次に、乗物レンタル会社は、自動車を割り当てる。この実施形態の任意選択の特徴によれば、ドングルを用いると、ユーザが、車に乗り込み、運転できるようになる、すなわち、ドングルは、乗物の普通の鍵の代用品として働く。これは、乗物に、加入者のドングルのSIMを認証する手段を設けることによって達成することができ、あるいはその代わりに、ドングルに、乗物レンタル会社に固有のセキュリティ情報を保管する記憶位置を設けることによって実行することができる。このセキュリティ情報が、乗物によって問い合わされ、検証される場合に、乗物の使用が可能になる。
【0111】
ドングルが、乗物へのアクセスを得るのに実際に使用され、乗物を運転できるようにするか否かにかかわらず、乗物にドングルを結合することによって、モバイルネットワーク16へのアクセスを、乗物に組み込まれた携帯電話トランシーバを使用して普通の形で提供することができる。乗物の遠隔通信システムへのドングルの結合は、加入者のSIMを乗物に設けられた固定電話機に挿入することに類似する。乗物が位置する区域がネットワーク16によってカバーされない場合に、それでも、加入者のネットワーク16と、乗物の近くで動作するネットワークとの間のローミング契約が存在する場合に、電話をかけることができる。
【0112】
乗物システムへのドングルの結合によって、加入者が乗物を使用して過ごした時間の長さを乗物レンタル会社が計算できるようにすることもでき、乗物レンタル会社は、これに基づいてユーザに請求することを望むことができる。
【0113】
乗物がレンタル会社に返される時に、適当な料金が、乗物レンタル会社のサービスプロバイダ22によって(多分上で説明した乗物システムからの情報を使用して)計算され、適当な支払いコンテキストPCが、生成され、PC 10(乗物レンタル会社とのトランザクションを開始するのに使用されたPC 10と異なるPCとすることができる)に存在するクライアントアプリケーション17に送信される。PC 10のトランザクションマネージャ14は、支払いコンテキストPCを受け取り、ネットワーク16の支払いサービス104から支払いトークンPXを入手する。これが、トランザクションマネージャ14およびクライアントアプリケーション17を介してサービスプロバイダ22に渡され、このサービスプロバイダ22は、ネットワーク16の支払いサービス104から適当な支払いを集金することができる。
【0114】
もう1つの例で、トランザクションマネージャ14およびクライアントアプリケーション17は、乗物の中で、乗物のオンボード遠隔通信システムの一部として設けられる。乗物には、たとえばダッシュボードの便利な位置に、加入者のドングル30を受けるコネクタが含まれる(もちろん、その代わりに無線接続を使用することができる)。加入者がドングル30を挿入する時に、サービスプロバイダ22によって提供されるリモートサービスへのアクセスを、上で図6および7に関して説明した形で、トランザクションマネージャ14およびクライアントアプリケーション17を使用して入手することができる。
【0115】
乗物は、もちろん移動するので、クライアントアプリケーション17とサービスプロバイダ22の間の通信およびトランザクションマネージャ14と認証サービス102および支払いサービス104の間の通信(またはクライアントアプリケーション17とネットワークサービス100の間の通信)は、乗物に既に存在する電話トランシーバを使用する移動ラジオネットワークまたはセルラジオネットワークの使用によるなど、無線リンクによって提供される。これらの通信を実行するのに使用されるネットワークは、認証サービス102および支払いサービス104を提供するネットワーク16と同一とすることができ、あるいは、異なるネットワークとすることができる。
【0116】
乗物のコネクタにドングル30が挿入されている間に、ユーザは、SIMカードを乗物の固定された携帯電話システムに挿入したかのように、普通の形で電話をかけ、受け取ることもできる。しかし、トランザクションマネージャ14およびクライアントアプリケーション17が存在するので、加入者は、リモートサービスプロバイダ22から他のサービスを入手することもできる。たとえば、加入者は、MP3ファイルの形で音楽を自動車オーディオシステムにダウンロードすることを望むことができ、あるいは、ナビゲーション情報または交通情報を得ることができる。
【0117】
上で図6および7に関して説明した認証および支払いの手順は、ステップNから変更することができる。認証サービス102が、サービスコンテキストSCを受け取り、加入者を認証した時に、支払いサービス104への要求が、リンク105を介して行われて、適当な資金が予約される。この要求には、セキュリティトークンSXが含まれ、このセキュリティトークンSXによって、支払いサービス104が要求を検証できるようになる。次に、支払いサービス104が、支払いトークンPXを発行する。次に、トランザクションマネージャ14が、セキュリティトークンSXと共に支払いトークンPXをクライアントアプリケーション17に渡す。クライアントアプリケーション17は、セキュリティトークンSXと共に支払いトークンPXをサービスプロバイダ22に渡す。サービスプロバイダ22は、リンク108を介して支払いサービス104に支払いトークンPXを送ることによって支払いトークンPXの有効性を確認し、リンク106を介して認証サービス102にセキュリティトークンSXを送ることによって、セキュリティトークンSXの有効性を確認する。
【0118】
上で説明した形で加入者偽名を入手することの代替案として、サービスプロバイダ22は、SIM 12およびサービスプロバイダ22に関連する偽名に関する要求と共に、認証サービス102にセキュリティトークンSXを提示することができる。認証サービス102は、そのトークンを検証し、適当な偽名(または関連データ)をサービスプロバイダ22に返す。
【0119】
システムのセキュリティを高めるために、サービスプロバイダ22に、サービスプロバイダ22から認証サービス102へのすべての要求をエンコードするのに使用される証明書(共有される鍵)を与えることができる。したがって、認証サービス22は、偽名および関連するSIMデータに関する要求を誰が行っているかに関するある度合の信頼を有することができる。
【0120】
サービスプロバイダは、加入者または支払いが認証されることを確信して、CDを加入者に発送することができる。
支払いを得るために、サービスプロバイダ22は、1つまたは2つの形で進行することができる。
【0121】
第1の手順では、サービスプロバイダ22は、支払いトークンPX(およびセキュリティトークンSX)を含むデータパケットをクライアントアプリケーション17に送信することによって、支払い清算の要求を発行する。クライアントアプリケーション17は、この支払い清算要求をトランザクションマネージャ14に渡し、トランザクションマネージャ14は、その支払い清算要求を(支払いトークンPXと共に)支払いサービス104に渡す。この時点で、任意選択のステップであるが、支払いサービスは、SIM 12と交換されるチャレンジレスポンスデータによって(トランザクションマネージャ14を介して)加入者を認証するように、リンク105を介して認証サービス102に指示する。どの場合でも、支払いサービス104は、支払いトークンPXおよびセキュリティトークンSX(同一のパケットに含まれる)を検査し、次に、ネットワーク16に関する加入者の口座の資金を清算する。支払いサービス104は、変更された支払いトークンPx1をトランザクションマネージャ14に送る。トランザクションマネージャ14は、クライアントアプリケーション17を介してサービスプロバイダ22に変更された支払いトークンPx1を渡す。次に、サービスプロバイダ22が、支払いサービス104との直接のリンク108によって、支払いトークンを検証することができる。
【0122】
上で説明した手順の代替案として、サービスプロバイダ22が、適当な支払いトークンPXを送信することによって、リンク108を介して支払いサービス104に支払い清算を要求することができる。次に、支払いサービス104が、支払いトークンを検証し、資金を清算する。支払いサービス104は、サービスプロバイダ22に応答して、支払いが清算されたことを確認する。
【0123】
図8から11に、図4に示された第1構成および図5に示された第2構成の代替案として、図1または6に関して説明したシステムと共に使用することができるドングル構成のさらなる例を示す。
【0124】
図8Aから8Dに、全般的に250に示されたドングルの第3構成を示す。ドングル250には、ディスプレイまたは押しボタンが含まれない。ドングル50は、全般的に楕円形の断面を有し、その上端に形成された全般的に長方形の開口252を含み、この開口によって、全般的に長方形の断面を有する電気コネクタ254がそこから突き出ることができる。開口252は、クロージャ部材256によって閉じられ、このクロージャ部材256は、全般的にC字形の断面を有し、ドングル250の頂部から各側面258に沿って延び、中央に取り付けられたピボット点260の回りでピボット回転する。ドングルのクロージャ部材256と側壁258の間の、ピボット点60での接続によって、矢印262によって示されるように、クロージャ部材256をピボット点260の回りで回転できるようになる。
【0125】
図8Cは、図8Bの線X−Xに沿った断面であり、電気コネクタ254を、図8Aおよび8Bに示された、コネクタ54が完全にドングル250のケーシング内に含まれる第1位置と、図8Cおよび8Dに示された、電気コネクタ254がドングル250のケーシングから突き出す第2位置との間で移動できる機構を概略的に示す。電気コネクタ254のこの移動を提供する機構に、コネクタ254に結合されたラック264と、ピボット点260に取り付けられ、その歯がラック264と係合する協力するピニオン266が含まれる。ピニオン266は、クロージャ部材256に関して固定される。クロージャ部材256の回転が、ピニオン266の回転を引き起こし、これが、矢印268によって示される、ラック264の直線変位を引き起こす。もちろん、電気コネクタ254およびラック264を滑り可能に指示する機構が、当業者に理解される形で設けられるが、ここでさらに説明はせず、図示しない。
【0126】
図9Aから9Dに、ドングルの第4構成を示す。図8Aから8Dに関して説明したドングルの第3構成と同様に、電気コネクタ254は、図9Aおよび9Bに示された、コネクタがドングル270のケーシング内に完全に含まれる第1位置と、図9Cおよび9Dに示された、コネクタ254がドングル270から突き出す第2位置との間で移動可能である。しかし、第3構成では、矢印268の方向での電気コネクタ254の直線移動が、矢印274によって示される、ドングル270のケーシングに関してノブ272を回転することによってもたらされる。1方向へのノブ272の回転が、コネクタ254をドングル270のケーシングから出させ、反対方向への回転が、コネクタ254をドングル270のケーシング内に引っ込める。ノブ272の回転運動をコネクタ254の直線運動に変換する、任意の適当な機構を設けることができる。たとえば、口紅スイベル機構に関する、米国特許第5813421号明細書(参照によって本明細書に組み込まれる)に記載の機構を使用することができる。他の適切な機構が、関連技術の技量を有するものに既知である。
【0127】
ドングル270に、PIN番号を入力するようにユーザに促すための、および/または入力時にPIN番号を表示するためのディスプレイ248が含まれる。ドングル270は、一連の押しボタン(数字キーパッドなど)を有するのではなく、データ入力ノブ276を含み、このデータ入力ノブ276は、矢印278によって示されるように回転し、矢印280によって示されるように、ドングルに関して直線移動するようにドングルに取り付けられる。PIN番号の各数字は、ユーザが276をつかみ、ドングル270のケーシングから離れる方向(矢印280の方向)に引っ張ることによって入力される。点滅するカーソルなどの表示が、ディスプレイ248に現れ、PIN番号の最初の数字が期待されることを示す。数字は、ノブ276の回転(矢印278)によって入力され、表示される数字は、ノブ276のさらなる回転に伴って値が増える。必要な番号がディスプレイ248に現れた時に、ユーザは、ノブ276を矢印280と反対の方向に押すことによって、それが入力したい数字であることを確認する。PIN番号の次の数字を入力するために、ノブ276をもう一度持ち上げ(矢印280)、ノブを回転することによって正しい数字を選択する。矢印280と反対の方向に移動することによってノブ276を元の位置に戻すことによって、必要な数字を入力する。PIN番号の数字のすべてが入力されるまで、この手順を繰り返す。PIN番号の各数字は、入力される時にディスプレイ248に表示される。
【0128】
ドングル270の図9Aから9Dの実施形態では、圧電セル282が、ノブ280に関連する。圧電セル282は、ノブ276の移動によって電力を生成できるようにする。この電力は、一体のコンデンサにたくわえるか、圧電セル282に電気的に結合される任意選択の電池284にたくわえることができる。そのような配置は、ドングル270がそれ自体の交換可能な電源を有するという要件を無くすと同時に、PC 10に接続されていない時でもドングルが動作できるようにする。圧電セルによって生成される電荷は、過渡的であり、ある時間(たとえば5分)の後に、電荷が、散逸し、ノブ276によって入力されたPIN番号が、ドングル270のメモリから失われ、その後には、電力が供給された時であっても取り出すことができない。これは、ドングル270の追加のセキュリティ特徴を提供する。もちろん、ドングル270が、電荷がまだ存在する間(上の例では、PINの入力から5分以内)にPC 10に接続される場合に、そのPINを検証でき、ドングルは、コネクタ254を介してPC 10から電力を得ることができ、これによって、圧電セル282からの電力の過渡的な性質にかかわらず、上で説明した認証動作を実行できるようになる。
【0129】
図10Aから10Dに、ドングル290の第5構成を示す。この実施形態では、ドングル290に、コネクタ254が固定された位置に取り付けられる本体部分292と、定位置にある時に本体292およびコネクタ254を覆って、これらの構成要素を保護し、ドングル290に魅力的な外見を与える取り外し可能な保護キャップ294が含まれる。
【0130】
本体292の上端で、環状ノブ296が、矢印298によって示されるように本体292に関して回転するように本体292に取り付けられる。ノブ296には、ドングル290のユーザに可視の一連のマーキング300が含まれ、たとえば、各マーク300が、0から9までの異なる数字を示す。マーキング302が、ケーシング292の頂部に設けられる。この実施形態では、ユーザのPIN番号の最初の数字が、PIN番号の正しい数字(300に示される)がマーク302とそろうまでノブ96を回転することによって入力される。関連する数字とマーク302がそろった時に、ユーザは、ノブ296の回転を止める。ノブ296の移動が停止した時に、ノブ296の位置が、ドングル290によって記録され、その結果、PIN番号の数字を検出することができる。PIN番号の次の数字は、PIN番号の関連する数字がマーキング302とそろうまで、反時計方向(矢印298と反対)にノブ296を回転することによって入力される。やはり、ノブの回転が停止した時に、ノブの位置が記録され、その結果、PIN番号をドングル290によって記録することができる。PIN番号の次の数字は、296の時計回りの回転によって入力され、以下同様にして、PIN番号のすべての数字が入力される。ノブ296およびマーキング302を使用するデータ入力の形は、金庫の番号の入力に使用されるものに似る。
【0131】
ドングル290に、さらに、ノブ296の回転軸に取り付けられた(本体292に関して固定される)任意選択のディジタルカメラ304が含まれる。ドングル290に、処理手段およびカメラ304によって取り込まれた1つまたは複数の画像を保管するメモリが含まれ、これらの画像を、コネクタ254を使用してPC 10に転送することができる。
【0132】
図11Aから11Cに、ドングル310の第6構成を示す。ドングル310に、その一方に開口部314を有するケーシング312が含まれる。ケーシング312内に、コネクタ254が固定される結合部分316が含まれる。結合部分316は、結合部分316が破線318によって示される軸の回りに回転可能になる形でケーシング312に接続される。
【0133】
ループコネクタ244に接続されているのが、リング320であり、このリング320は、ケーシング312に関して滑るように取り付けられた滑り可能部分322を矢印324の向きでケーシング312に関して移動できる便利な手段を提供する。ラックアンドピニオンまたは他の適切な機構(図示せず)によって、滑り可能部分322の、矢印324の向きでのケーシング312に関する移動を、軸318の回りの結合部分316の回転運動に変換する。滑り可能部分322がケーシング312に関して移動される際に結合部分316が移動する異なる位置を、図11Cのゴーストラインによって示す。
【0134】
滑り可能部分322が、矢印324の方向の最大移動量に達した時に、結合部分316が、ケーシング312に関して180°回転する。結合部分316は、滑り可能部分322を矢印324と反対の方向に滑らせることによって、図11Aおよび11Bに示された位置に戻される。結合部分316が、図11Aおよび11Bに示された位置にある時に、コネクタ254は、滑り可能部分322によって保護される。
【0135】
図8、9、10、および11に示された実施形態は、必要でない時に電気コネクタ254を隠し、保護することができるさまざまな形を提供する。
図9の実施形態では、ドングルの電源が、圧電セル282である。
【0136】
類似する電源を、図8、10、および11に示されたドングルに設けることができ、電力は、図8のドングル250のクロージャ部材256の移動、図107のドングル290のノブ296の移動、または図11の滑り可能部分322の移動によって生成される。その代わりにまたはそれに加えて、これらのドングルに、交換可能な電池、あるいはドングル250、280、290、または310がPC 10に接続された時に再充電される再充電可能な電池を含めることができる。
【0137】
説明したドングルに、USBコネクタとして図示された電気コネクタ254が含まれるが、他の適切なタイプの電気コネクタを設けられることを諒解されたい。たとえば、コネクタ254を、SmartMedia(商標)デバイスとすることができる。その代わりに、データおよび/または電力を、たとえばNFCIP−1(Near Field Communication Interface and Protocol)プロトコルによる「ニアフィールド」技術によってドングルとPC 10の間で伝送することができる。ニアフィールド技術が使用される場合に、移動可能な電気コネクタ254を設けることは、必要でなくなる。
【0138】
図8から11のドングルに、図3および4に関して説明したドングルインターフェースドライバ36を含めても含めなくてもよい。
図9および10のドングルは、検証のためにPC 10にPINを渡すことができるものとすることができ、あるいは、セキュリティを改善するために、そのような検証をドングル内で実行することができる。
【0139】
もちろん、必要な場合に、図8および11のドングルにPIN入力手段を設けることができる。
【図面の簡単な説明】
【0140】
【図1】データ処理装置に関する本発明の動作を説明するブロック図である。
【図2】図1のブロック図を理解するのに使用される流れ図である。
【図3】本発明による「ドングル」が使用される、図1に対応するブロック図である。
【図4】ドングルの1構成を示す透視図である。
【図5】ドングルのもう1つの構成を示す側面図である。
【図6】データ処理装置を使用するトランザクションを認証する方法の動作を説明するブロック図である。
【図7A】図6のデータ処理装置によって実行される認証処理を理解するのに使用される流れ図である。
【図7B】図6のデータ処理装置によって実行される認証処理を理解するのに使用される流れ図である。
【図7C】図6のデータ処理装置によって実行される認証処理を理解するのに使用される流れ図である。
【図8】図8Aは、ドングルの第3の構成を示す正面図である。図8Bは、図8Aのドングルの側面図である。図8Cは、図8Bの線x−xに沿った、ドングルコネクタが延長された状態の断面図である。図8Dは、図8Bに対応するがドングルコネクタが延長された状態の側面図である。
【図9】図9Aは、ドングルの第4の構成を示す正面図である。図9Bは、図9Aのドングルの側面図である。図9Cは、図9Aに対応するが、ドングルコネクタが延長された状態の正面図である。図9Dは、図9Bに対応するが、ドングルコネクタが延長された状態の側面図である。
【図10】図10Aは、ドングルの第5の構成を示す正面図である。図10Bは、図10Aのドングルの側面図である。図10Cは、図10Aに対応するが、ドングルコネクタが延長された状態の正面図である。図10Dは、図10Bに対応するが、ドングルコネクタが延長された状態の側面図である。
【図11】図11Aは、ドングルの第6の構成を示す正面図である。図11Bは、図11Aのドングルの側面図である。図11Cは、電気コネクタがドングルのケーシングからどのように出るかを示す図である。
【技術分野】
【0001】
本発明は、トランザクションの容易化および認証に関する。
【背景技術】
【0002】
【発明の開示】
【発明が解決しようとする課題】
【0003】
【課題を解決するための手段】
【0004】
例としてのみ下で詳細に説明する本発明の実施形態で、データ処理装置(パーソナルコンピュータなど)またはそのユーザと、(多分リモートの)第三者との間のトランザクションが、容易にされ、認証され、そのような容易化および認証に、ユーザによってまたはユーザの代わりに行われる第三者への支払いまたはデータ転送の容易化および認証も含めることができる。
【0005】
本発明によれば、
データ処理装置とのトランザクションを認証する方法であって、前記データ処理装置は、所定の認証情報を保管する認証記憶手段に機能的に関連付けられ、前記トランザクションを認証するために通信リンクを介して認証処理を実行する前記ステップを含み、前記認証処理は、前記所定の認証情報の前記使用を含む、方法
が提供される。
【0006】
本発明によれば、
前記データ処理装置とのトランザクションの前記認証に関する所定の情報を保管する認証記憶手段と組み合わされるデータ処理装置であって、前記認証記憶手段が、前記データ処理装置に機能的に関連する時に、前記トランザクションを認証するために通信リンクを介して実行される認証処理に応答し、前記認証処理が、前記所定の情報の前記使用を含む、データ処理装置
も提供される。
【0007】
本発明によれば、さらに、
データ処理装置内でこれによって使用されるデータを担持するデータキャリアであって、前記データキャリアは、前記データキャリアによって担持される前記データの使用を伴うトランザクションを認証するためにリモート動作する認証プロセスで使用される前記入力メッセージおよび前記認証情報に依存する応答を導出するために入力メッセージに応答する所定の認証情報を保管する認証記憶手段も組み込む、データキャリア
が提供される。
【0008】
パーソナルコンピュータなどのデータ処理装置を含むトランザクションの容易化および認証の本発明による方法および本発明を実施するデータ処理装置(パーソナルコンピュータなど)に接続する装置を、例としてのみ、添付図面を参照してこれから説明する。
【発明を実施するための最良の形態】
【0009】
図面では、同一の要素が、一般に同一の符号によって示される。
データ処理装置の使用を伴うトランザクションが認証を必要とする、多数の例がある。たとえば、データ処理装置が、それとの通信が遠隔通信リンクを介して(インターネット経由を含む)行われなければならないリモートの第三者など、第三者との、情報の交換などのトランザクションを実行することを要求される場合がある。第三者は、トランザクションを行う前に、データ処理装置またはその当座のユーザが、第三者の満足のいくように認証されることを要求することができる。
【0010】
上で述べたように、トランザクションは、単に情報の交換を用いる場合がある。たとえば、データ処理装置のユーザは、単に、第三者から情報をダウンロードするために認証されることを必要とする場合がある。そのような情報は、データ処理装置のユーザのために第三者によって保たれる情報とすることができる(たとえば、ユーザの銀行口座に関する情報)。その代わりに、情報を、ユーザが接続されるか雇用される組織または商業的実体に属するデータネットワークなどの他のデータ処理装置で保持され、したがってユーザが旅行している時にユーザによるそのネットワークへのアクセスを容易にする情報とすることができる。もう1つの可能なトランザクションに、データ処理装置による、リモート位置からのソフトウェアのダウンロードを含めることができる。
【0011】
さらに、トランザクションは、トランザクションを行うために、提供される情報の返礼の第三者への支払いなど、支払いがユーザによって行われることを必要とすることができる。明らかに、そのような支払いが伴う時に、ユーザが、第三者の満足がゆくように認証されることと、支払いが、安全で単純な保護された形で行われることが重要である。
【0012】
前述の議論では、データ処理装置の「ユーザ」に言及したが、上述のトランザクションの少なくとも一部は、実際に人間のユーザにかかわらない場合があり、データ処理装置が、自動的に動作する(たとえば、情報収集または監視の役割で間欠的に動作し、その結果を第三者に報告する)ことを要求される場合がある。その場合に、代替としてまたは追加して、データ処理装置が、第三者の満足のゆくようにそれ自体を認証する必要がある場合がある。
【0013】
データ処理装置は、装置またはその特定のユーザを認証する所定の認証情報を保管する手段(認証記憶手段)を備えるか、これに関連する。一実施形態で、所定の情報を保管する手段は、取り外し可能であり、したがって、ユーザが持ち運び、それを受けるように適合された任意のデータ処理装置(またはコンピュータ)に挿入できて、そのコンピュータを用いてそのユーザによって実行されるトランザクションに関してユーザを認証することが可能になる。有利なことに、その場合に、所定の情報を保管する手段が、スマートカードの形である。
【0014】
より具体的な例で、スマートカードは、GSM(Group Special Mobile)または3G(第3世代)網などの携帯電話網またはセル遠隔通信網で受話器の使用の認証に使用されるタイプのSIM(Subscriber Identity Module)である。そのようなネットワークは、そのユーザ(加入者)のSIMの詳細を保管する。ネットワークの動作で、ユーザの受話器は、ネットワークがそのSIMを組み込んだ受話器にチャレンジを送信し、それに応答して、SIMが応答(SIMに保持される所定の情報(通常は認証アルゴリズムおよび一意の鍵Ki)に依存する)を計算し、ネットワークに送り返し、ネットワークが、その情報を、認証処理を完了するためにそのユーザまたは加入者に関するネットワーク自体の情報に対して検査することによって、認証される(たとえば、ユーザが発呼または着呼のためにネットワークで受話器をアクティブ化する時に)。したがって、同一の形で、SIMを、データ処理装置またはコンピュータでまたはそれに関連して使用することができ、その結果、同一の形の認証処理を実行できるようになる。SIMが、特定のセル遠隔通信網の加入者のSIMである場合に、認証処理は、その網が実行することができる。
【0015】
説明される認証処理が、必ずしもユーザの人間としての身元を認証しないことに留意されたい。たとえば、セル遠隔通信網は、前払いと引き換えに、その網での発呼を可能にするSIMを発行された前払い加入者を有する。しかし、そのような前払い加入者の身元は、網に未知である(または必ずしも既知でない)。それでも、そのようなユーザは、網がそのユーザのSIMを認証するまで、すなわち、そのユーザがその網の特定の前払いアカウントを有する特定のユーザであることを確認するまで、その網を利用することができない。そのような前払いユーザまたは加入者のSIMは、ユーザを認証するために、データ処理装置またはコンピュータでまたはこれに関連して同等に使用することができる(説明する形で)。
【0016】
SIMは、物理的な(取外し可能の)スマートカードの形である必要はなく、その代わりに、たとえばソフトウェアの形でまたはチップとしての表現で、データ処理装置またはコンピュータに組み込むことによってシミュレートすることができる。
【0017】
変化する状況を考慮に入れるために、SIM(またはシミュレートされたSIM)の認証情報を変更できることが望ましい場合がある。たとえば、SIMは、特定のセル遠隔通信網(データ処理装置またはコンピュータが使用される国または地域にあてはまる網)に登録されたSIMとすることができる。しかし、異なるセル遠隔通信網にSIMを再登録することが望ましいか必要である状況が生じる可能性がある(たとえば、装置またはコンピュータが、異なる国または地域に物理的に移動される)。これを行う形は、本出願人の同時係属の英国特許出願第0118406.8号明細書、英国特許出願第0122712.3号明細書、および英国特許出願第0130790.9号明細書と、対応するPCT出願第GB02/003265号、PCT出願第GB02/003260号、およびPCT出願第GB02/003252号に開示されている。本明細書で詳細に説明するように、SIMは(および、したがって、シミュレートされたSIMも)、当初は、複数のネットワークのそれぞれに関する認証(および他の)情報を与えられ、異なるネットワークに関する情報が、選択的にアクティブ化される。
【0018】
しかし、ユーザが、遠隔通信網の加入者である必要はない。その代わりに、ユーザを、遠隔通信網と同一の形で認証処理を実行することができる他の集中システムに登録された加入者とすることができる。その場合に、SIM(またはシミュレートされたSIM)の登録を、1つのそのような集中システムから別の集中システムに、上で説明したものと同一の形で転送することができる。
【0019】
上で説明したように、認証処理の目的は、データ処理装置またはコンピュータと第三者の間のトランザクションを容易にすることである。認証処理が、遠隔通信網によって、またはSIMのユーザがその加入者である他のシステムによって実行される場合に、認証処理の満足な完了が、そのネットワークまたはシステムによって第三者に通信されて、トランザクションを進行できるようになる。
【0020】
説明するタイプのトランザクションの多くについて、第三者に対するユーザによる支払いが含まれる場合がある。ユーザがその加入者である遠隔通信網または他の集中システムによって認証処理が実行される、上で説明した配置は、そのような支払いを行うことを有利に容易にし、(しばしばそうであるように)支払いが小額である(たとえば、気象情報または交通情報などの情報の受け取りに対する、または特定のソフトウェアの一時的使用に対する返礼の支払い)場合に特に有利である;その場合に、支払いを、遠隔通信網または他の集中システムによって保持される加入者の口座の借方に記入することができ、その後、もちろん、多分取扱手数料の差し引きの後に、第三者に渡すことができる。
【0021】
図1のブロック図に、上で説明した方法を動作させる形の1つを概略的に示す。
WindowsベースのパーソナルコンピュータまたはPC 10が示されている(「Windows」は商標である)。PC 10は、12に概略的に示されているSIMを受けるように適合される。SIMは、ユーザ(すなわち、SIMの所有者)を識別するのに使用するためにPCに取り外し可能にはめ込むことができれ、あるいは、PC内に固定することができる(PC自体を識別するために)。PC 10に、SIMと相互作用し、SIMの機能の一部を制御するトランザクション管理ソフトウェア14が組み込まれる。
【0022】
PC 10がSIMを受けるように適合された配置を説明したが、SIM以外のスマートカードを使用することができ、これが本発明によるものであることを諒解されたい。さらに、PCによって受けられるSIM(またはスマートカード)(PCに取り外し可能にはめられるかPC内に固定されることによって)ではなく、SIM(またはスマートカード)を、SIM(またはスマートカード)とPC 10の間の通信を可能にする形でPCに関連付けることができる。たとえば、SIM(またはスマートカード)を、PC 10との有線通信または無線通信を可能にする「ドングル」(その例を下で詳細に説明する)と共に提供することができる。SIM(またはスマートカード)とPC 10の間の通信が、保護されることが好ましい。通信を暗号化することができ、あるいはセキュア通信の他の手段を使用することができる。
【0023】
図1には、Vodafone(商標)ネットワークなどのセル電話網16も示されており、SIM 12がネットワーク16に登録されると仮定する。
図1に示されたシステムの動作を、図2の流れ図に関して説明する。
【0024】
ステップAで、PC 10のユーザが、PC上の特定のアプリケーション17の使用を要求する。たとえば、ユーザが、暗号化され、したがって一般に使用可能ではない、特殊化された情報を含むウェブページを見ることを望む場合がある。これを行うために、ユーザは、「セッション鍵」すなわち、たとえば、特定のアプリケーションの時間を制限された使用を伴うトランザクションを実行する許可を要求する。セッション鍵の要求は、トランザクションマネージャ14にアドレッシングされる。トランザクションマネージャ14は、SIM 12から導出される識別情報(「I am here」メッセージ)を、ネットワーク16のセキュリティサービス部分18に送信する(ステップB)。この「I am here」メッセージに応答して、ネットワークは、トランザクションマネージャ14にランダムチャレンジを送信し(ステップC)、このチャレンジは、ネットワークに既知の、SIM 12に関する情報に基づく。
【0025】
図1の両方向の矢印19は、PC 10とネットワーク16の間の両方向データ通信を概略的に示すものである。このデータ通信は、適当な通信媒体を介するものとすることができる。たとえば、通信媒体は、固定電話網(PSTNなど)または無線ネットワークとすることができる。たとえば、無線ネットワークは、セキュリティサービス18を提供するネットワーク16と同一とすることができ、あるいは、別のネットワークとすることができる。データ通信は、インターネットを介して実行することができる。データ通信は、保護され暗号化された形であることが好ましい。
【0026】
ステップDで、トランザクションマネージャ14が、チャレンジおよびSIMで保持される鍵から導出される回答を供給することによって、チャレンジに対するSIM 12からの応答を送信する。この応答が、ネットワーク16のセキュリティサービス部分18によって検査される。応答が満足であると仮定すると、セキュリティサービス部分18は、ユーザを認証し、多分移植セキュリティトークンを供給することによって、これをトランザクションマネージャ14に確認する(ステップE)。それと同時に、ネットワーク内のセキュリティサービス部分18が、ネットワーク16のアプリケーションサービス部分22にセッション鍵を送信する(ステップF)。
【0027】
トランザクションマネージャ14は、このセッション鍵をアプリケーション17にも送信する(ステップG)。
説明する実施形態では、トランザクションマネージャが、SIM 12との間のデータの転送を容易にする。トランザクションマネージャが、このデータを理解できまたは解釈できることに関する要件はない。説明される実施形態のトランザクションマネージャの機能は、SIM 12との間で渡されるデータの導管として働くことである。
【0028】
ユーザは、特定のアプリケーションに関する要求を行うことができ(ステップH)、このアプリケーション要求に、ステップGで受け取ったセッション鍵を付随させる。ステップHのアプリケーション要求は、アプリケーションサービス部分22に送信され、アプリケーションサービス部分22は、ネットワーク16の一部とすることができ(図示の通り)、あるいは、別々で第三者によって制御されるものとすることができる。ステップIで、アプリケーションサービス部分が、アプリケーション要求と共に受信した(ステップH)セッション鍵を、ステップFで受信したセッション鍵と比較する。この検査の結果が満足であると仮定すると、アプリケーションサービス部分22は、アプリケーション要求の受入をPC 10に送信し(ステップJ)、アプリケーションが進行する。セッション鍵は、状況に応じて、アプリケーションサーバ22の時間を限られた使用、単一の使用、または無期限の使用を許可することができる。ネットワークは、そのセッションの料金をユーザの口座の借方に記入することができる。アプリケーションサービス部分22とセキュリティサービス部分18の間にリンクを設けて、これらの部分の間でのデータ交換を可能にすることができ、たとえば、セキュリティサービス部分18が、ネットワーク16のユーザの口座に借方記入するように配置することができる。
【0029】
前述は、もちろん、説明されるものの実施形態の1つの単純な例にすぎない。
代替実施形態では、データキャリアは、上で説明した形の1つなど、すなわちSIMまたは(多分)SIMをシミュレートするソフトウェアなどの所定の情報を保管する手段を備えることができる。シミュレートされたSIMは、データキャリアに保管されるデータに関連する。データキャリアは、たとえば、DVD、CD ROM、または他の類似するデータキャリアとすることができ、その上のデータは、ソフトウェアまたはソフトウェアの組とすることができる。
【0030】
シミュレートされたSIMは、データキャリア上のデータ(ソフトウェアなど)の識別および認証に使用することができる。シミュレートされたSIMは、上で説明したものと同一の形で、遠隔通信網または他の集中システムに登録することができる。データキャリアが、その中での使用のために、コンピュータなどのデータ処理装置に置かれる時に、SIMを使用して、データキャリアおよびそれに保管されたデータを識別し、認証することができ、(たとえば)コンピュータでの使用のためのソフトウェアのダウンロードを可能にすることができる。この形で、SIMを後に使用して、ソフトウェアのさらなる使用(たとえば別のコンピュータでの)を阻止し、または所定の回数だけデータを使用することを許可する(同一のコンピュータ内または異なるコンピュータ内のいずれであれ)ことができる。たとえば、データキャリア(SIMを有する)が、特定のユーザのSIMも受け取ったコンピュータに置かれる場合に、(a)データキャリア上のSIMを使用して、ソフトウェアを識別し、認証することができ、(b)コンピュータ内のまたはコンピュータに関連するSIMを使用して、ユーザを認証することができ、その後に、ソフトウェアの使用に関する支払いとしてそのユーザの借方に料金を記入できるようにするのに使用することができる。
【0031】
SIMと共にデータキャリアに保管されるデータを、たとえば暗号化されたデータとすることができる。その暗号化されたデータは、データキャリア上のSIMによって提供される情報を使用して暗号化することだけができる。この形で、データキャリア上のSIMが、データキャリアに保管されたデータの使用を制御することができる。たとえば、データキャリアを、データキャリア上のデータを使用する制限付きの権利をユーザに与える特定のライセンスと共に販売することができる。ユーザは、所定の時間期間または所定の回数だけそのデータを使用することを許可されることができる。データが使用されるたびに、そのデータが、SIMに保管されたデータを使用して暗号化解除される。データが暗号化解除された回数のレコードが、SIM(または他所)内で維持される。データが暗号化解除された回数が、データキャリアと共に販売されたライセンスで提供される回数と等しい時に、SIMは、データを暗号化解除しないことによって、そのデータのそれ以上の使用を防ぐ。データが、所定の時まで有効なライセンスと共に提供される場合に、SIMがデータを暗号化解除するたびに、SIMは、現在時刻(たとえばSIM、PC 10で提供される適当なクロックに関して、またはネットワーク16に関して)を検査し、その結果、データの暗号化が、データキャリアと共に販売されたライセンスで指定される時までに限って実行されるようになる。
【0032】
シミュレートされたSIMを上で説明したが、SIMは、より安全なのでハードウェアで実施されることが、現在は好ましい。ハードウェアSIM上の秘密の認証データは、許可されない人がアクセス不能である。
【0033】
SIM 12を受けるようにPC 10を適合させるか、SIMまたはSIMをシミュレートするソフトウェアを組み込むようにデータキャリアを変更するのではなく、SIM 12を受けるためにまたはSIM 12をシミュレートするソフトウェアを組み込むために、別々のデバイスまたは「ドングル」30を設けることができる。
【0034】
図3に、トランザクションの認証(または他の適当な目的)のためにデータをドングル30とPC 10の間でおよびネットワーク16との間で前に渡せるようにするドングル30を示す。
【0035】
ドングル30に、SIM 12を受けるスロットを有するハウジング32が含まれる。ハウジング32は、適当な材料から作ることができる。この材料は、電気的に絶縁性であることが好ましい。たとえば、ハウジングに、レーザ硬化型の樹脂またはプラスティックを含めることができる。
【0036】
適当なコネクタ(図示せず)が、SIM 12とドングル30の間のデータの電子交換を可能にするためにハウジング32内に設けられる。ドングル30に、さらに、PC 10とのデータ通信目的の接続を可能にする適当なコネクタ34が含まれる。たとえば、このコネクタは、USBコネクタ、Firewire 1394コネクタ、または他の適当なコネクタとすることができる。もちろん、ドングルの異なる構成も、設けることができる。たとえば、SIM 12を、ドングル30に完全に収納することができ、ハウジング32を開くことによってドングル30から取外し可能とすることができ、あるいは、SIM 12を、ドングルケーシング32内に永久的に密封またはカプセル化することができる。後者の配置が設けられる場合に、遠隔通信システムのユーザに、たとえば携帯電話受話器で使用される第1SIMを与えることができ、PC 10を介してトランザクションを実行するのに使用される別々のSIMを収納したドングル30を与えることができる。望まれる場合に、遠隔通信網に、ユーザの携帯受話器内のSIMおよびユーザのドングル内のSIMが同一所有者によって所有されることを示すレコードが含まれ、この情報を使用して、ユーザに、両方のSIMの使用に関してこうむる料金の単一の口座を便利に提供することができる。
【0037】
ドングル30は、PC 10との通信を制御するドングルインターフェースドライバ36を備える。PC 10からのすべての通信が、ドングルインターフェースドライバ36を介してルーティングされ、SIM 12に保管されたデータには、ドングルインターフェースドライバ36を使用することによらなければアクセスできない。対応するPCインターフェースドライバ38が、PC 10に設けられる。PCインターフェースドライバ38に、たとえば、PC 10にロードされ、これによって実行されるコンピュータプログラムの形の一連のコマンドを含めることができる。PCインターフェースドライバ38は、たとえば、ネットワーク16によってまたはこれによる制御の下で供給することができる。したがって、PCインターフェースドライバ38は、ネットワーク16によって「信頼」され、SIM 12に存在するセキュリティ情報を危険にさらすことを許容しない承認された形でのドングル30へのアクセスを可能にし、その結果としてSIM 12へのアクセスを可能にするように構成される。
【0038】
PCインターフェースドライバ38が代替ドライバに置換されるかバイパスされること(SIM 12のデータのセキュリティを危険にさらす可能性がある)を防ぐかその可能性を減らすために、PCインターフェースドライバ38およびドングルインターフェースドライバ36に、めいめいの共有される秘密鍵40および42が与えられる。PCインターフェースドライバ38からドングル30への通信のそれぞれが、共有される秘密鍵40を使用して暗号化される。PC 10からドングル30へのすべての通信が、ドングルインターフェースドライバ36によって受け取られる。ドングルインターフェースドライバ36に、その秘密鍵42を使用して、受け取られた通信を暗号化解除する処理手段が含まれる。セキュリティを高めるために、ドングルインターフェースドライバ36は、共有される秘密鍵40を使用して暗号化されていないすべての通信が、SIM 12にデータを送るかSIM 12からデータを受け取ることを防ぐ。
【0039】
したがって、PCインターフェースドライバ38は、SIM 12へのアクセスの許可されない試みによってSIM 12に保管されたデータが危険にさらされる可能性を減らすために、ドングル30およびSIM 12へのアクセスを制御し、監督する。
【0040】
SIM 12のデータへのアクセスの要求が、PCインターフェースドライバによって承認され(たとえば、ネットワーク16によって設定される判断基準に従って)、したがって、適当な鍵40を用いてドングルインターフェースドライバ36に通信されるならば、図1および2に関して説明した形で、SIM 12を使用するトランザクションを認証することができる。
【0041】
共有される秘密鍵40および42の提供は、有利であるが、秘密鍵40および42の提供が、本発明に必須ではないことを諒解されたい。
代替の配置では、PCインターフェースドライバ38が、特定の秘密鍵40を備えない。しかし、ドングルインターフェースドライバ36は、鍵42を備える。ドングル30が、PC 10に結合される時に、PCインターフェースドライバ38は、そのドングルインターフェースドライバに鍵42が設けられていることを検出する。PCインターフェースドライバ38は、PCインターフェースドライバ13とドングルインターフェースドライバ36の間のデータ交換を鍵42を使用して暗号化できるようにする鍵を、通信リンク19を介してネットワーク16から入手することができる。たとえば、ドングルインターフェースドライバ36の鍵42を、秘密鍵とすることができ、ネットワーク16によってPCインターフェースドライバに供給される鍵40を、公開鍵とすることができる(この2つの鍵は、公開鍵/秘密鍵対である)。ネットワーク16によって供給される鍵は、アプリケーションによる要求の際に供給されないことが好ましい。たとえば、ネットワーク16を、信頼されるPCインターフェースドライバだけにおよび/またはある認証処理の後に限って、これらの鍵を供給するように構成することができる。
【0042】
代替案では、ドングルインターフェースドライバ36とPCインターフェースドライバ38の間のデータ転送を、暗号化しないことができ、あるいは、異なる機器で提供される多数のドングルインターフェースドライバおよびPCインターフェースドライバに共通する形で暗号化することができ、これは、ドングル30を複数の異なるPCと共に使用できるようになるという長所を有する。
【0043】
追加のセキュリティ手段として、PCインターフェースドライバ38とトランザクションマネージャ14の間の通信を暗号化することができる。たとえば、これらの部分のそれぞれが、共有される秘密鍵を有することができ、これらの間の通信を、その共有される秘密鍵を使用して暗号化することができる。
【0044】
本発明のもう1つの実施形態を、図4に関して説明する。図4によれば、ドングル30が、そのハウジング32内に完全に収納されたSIM 12を有し、したがって、SIMは、この図では見ることができない。ドングル30は、図3の実施形態に似た形の、PC 10に接続するコネクタ34を有する。ケーシング32の反対の端に、任意選択のループコネクタ44を設けて、それをユーザの鍵輪に取り付けることによって、ドングル30を持ち運ぶ便利な手段を提供することができる。
【0045】
ハウジング32の1面は、さまざまな押しボタン46を取り付けられ、押しボタン46のうちの10個が、それぞれの数0から9を表示されている。この実施形態では、ドングル30に、適当に指定された押しボタン46を操作することによってユーザからのPIN番号の入力を受け取る手段(ソフトウェアなど)が含まれ、このPIN番号は、SIM 12のために供給され、SIM 12に保管されたPIN番号と比較される。GSM遠隔通信網で使用されるSIMは、便利にそのようなPINを備える。
【0046】
ハウジング32は、さらに、任意選択として、PIN番号を入力するようにユーザに促し、かつ/または望まれる場合に入力されたPIN番号を表示するディスプレイ48を備えることができる。押しボタン46を使用するPIN番号の入力時に、入力されたPIN番号が、SIMに保管されたPIN番号と比較される。PINが一致するとわかった場合に、SIMとPC 10の間の通信が許可されて、1つまたは複数のトランザクションが認証される。入力されたPIN番号とSIM 12に保管されたPIN番号の間の比較は、ドングル30内で実行され、入力されたPIN番号またはSINに保管されたPIN番号の両方が、PC 10に通信されない。これによって、許可された当事者への開示によってPINが危険にさらされる可能性が、なくなるか減る。
【0047】
PINの入力を可能にするために、ドングル30は、電源を必要とする。電力は、PC 10によって供給することができる。有利なことに、PINは、それ自体の一時的電源を有し、これによって、PINを入力し、検証することが可能になる。その後、電源が切られ、PINデータが失われる。これは、追加のセキュリティ機能であり、下で詳細に説明する。
【0048】
図4のPIN入力比較配置は、図3に示された配置のインターフェースドライバ36および38ならびに共有される秘密鍵40および42に加えてまたはその代替として提供することができる。
【0049】
押しボタン46の代替として、PIN入力を可能にする他の手段を設けることができることを諒解されたい。代替案では、ユーザからある他のセキュリティ情報を入手し、これをSIM 12に保管されたデータと比較することによって、ユーザが、SIMを使用することを認証されることができる。たとえば、入手されるデータは、ユーザの指紋または、たとえば適当なバイオメトリックデータなど、別の人で再び生じる可能性が低い他の特性とすることができる。指紋(または他の情報)の詳細は、その特性を表す入力データとの比較のためにSIMに保管される。
【0050】
図4の実施形態の追加のセキュリティ特徴として、SIM 12からの情報を要求するアプリケーションまたは組織の名前を表示するディスプレイを設けることができる。これによって、ユーザが、自分のSIM 12に対して行われる要求を監視できるようになる。
【0051】
図3に関して説明しためいめいのインターフェースドライバ36および38ならびに共有される秘密鍵40および42が、追加のレベルのセキュリティを提供するために、図4に関して説明したPIN入力比較配置も含むシステムで使用される場合に、ドングル30を、SIM 12にデータを要求するアプリケーションまたは組織の名前を表示するようにプログラムすることができ、その後、キーパッド46を使用してユーザのPINを入力することによって各または選択されたアプリケーション/組織に関するデータの供給を承認するようにユーザに促すことができる。PIN入力の代替案として、ユーザに、「トランザクション確認」ボタンまたは類似物をアクティブ化するように促すことができる。
【0052】
ドングル30を使用して、PC以外のデータ処理装置とのトランザクションを容易にすることができる。たとえば、ネットワーク16のアカウントを有し、ドングル30を与えられたユーザは、ネットワーク16に接続可能なパーキングメーターの適当に構成されたスロットにコネクタ34を挿入することができる。そのドングル30に含まれるSIM 12は、パーキングメーター内に設けられるトランザクションマネージャを使用して、上で説明した形で認証される。この手段によって、駐車料金支払いを、ネットワーク16のユーザの口座から適当な額を差し引くことによって行うことができる。有利なことに、ドングル30に、押しボタン46を設けることができ、ドングルは、PINを入力するようにユーザに促し、このPINが、SIMに保管されたPINと比較され、その結果、ドングル30を、許可されない当事者が使用できなくなる。ドングルは、パーキングメーターの制御下で、トランザクションに関連するデータ、たとえば駐車スペースが必要な時間の長さを入力することを押しボタン46が可能にすることを可能にするようにプログラムすることができる。
【0053】
ドングル30は、たとえば、類似する形で、適当に構成されたDVDプレイヤと共に使用して、ネットワーク16のユーザの口座から差し引かれる料金の支払いに対してフィルムを見られるようにすることもできる。本願と同一の日付に出願された「Data Processing」と称する同時係属の特許出願に記載されているように、ディジタル権利管理方式の鍵としてドングル30が動作できるようにシステムを配置することができる。ドングルは、適当に構成された自動販売機から製品を購入できるようにするか、適当に構成された券売機から切符を購入できるようにすることもできる。そのような機械に、PC 10のトランザクションマネージャ14によって実行される機能に対応する機能をその機械が実行できるようにするプロセッサが含まれる。
【0054】
上の説明では、トランザクションの認証に使用されるSIMが、PC 10内の適当なスロットに挿入されるかドングル30(設けられる場合)内のいずれかの普通のSIMの形を有することを示した。これは、単に、モバイルネットワークの加入者が普通の携帯端末で発呼および着呼に使用するSIMとすることができる。代替案では、SIM 12を、PC 10またはドングル30内に組み込むことができる(簡単に取り外せないか全く取り外せないように)。もう1つの代替案では、SIMが、別々の物理的な形を有するのではなく、PC 10またはドングル30内のソフトウェアおよび/またはハードウェアによってシミュレートされるものとすることができる。SIMは、シミュレートするか、PC 10のチップセットに組み込むことができる。たとえば、SIMを、PC 10の中央処理装置内に組み込むか、中央処理装置でシミュレートすることができる。そのような配置では、SIM(またはシミュレートされたSIM)をPC 10から除去できなくなる(PC 10を役に立たなくしない限り)。
【0055】
SIMが、PC 10またはドングル30から簡単に除去可能でない形の場合に、遠隔通信システムの加入者に、たとえば彼の携帯受話器内での使用のために第2のSIMを与えることができる。
【0056】
しかし、同一のSIM(PC 10内またはドングル30内)が、トランザクションの認証に使用され、遠隔通信網で普通の形で使用される(たとえば、携帯電話機を使用する発呼および着呼に)場合に、呼が行われる時に携帯電話網でSIMを認証するのに使用されるのと同一のデータを使用して、トランザクションの認証を提供することができる。代替案では、SIMが、各認証タイプを実行する別々のレコードを有することができる。トランザクションの認証に使用されるデータおよび/またはアルゴリズムを含む第1レコードと、遠隔通信網で端末を認証するのに普通の形で使用される第2の別々のレコードを設けることができる。第1および第2のレコードは、めいめいの認証鍵、遠隔通信網への一意の識別子、および/または独自の認証アルゴリズムを有することができる。
【0057】
第1のレコード自体に、それぞれが遠隔通信網に登録された、認識され別々に請求される別々のレコードの制御の下でトランザクションを認証できるようにする、一連の別々のレコードを含めることができる。これを、図5に関して詳細に説明する。図5では、ドングル30に、複数のSIM 12を含めることができ、あるいは、ドングル内でシミュレートされる複数のSIMを有することができる。代替案では、複数の完全なSIMを設けるかシミュレートするのではなく、複数の異なるレコードをドングル30に保管することができる。複数のSIMが設けられるか、複数のシミュレートされたSIMが提供されるか、複数の代替のレコードが設けられるのどれであれ、これらを、遠隔通信網に識別可能なめいめいの一意のデータレコードとみなすことができる。
【0058】
そのような配置は、たとえば、ユーザまたは加入者が複数の環境でドングル30を使用することを望む時に望ましい可能性がある。ユーザまたは加入者が、雇用者に対する義務を実行している時に、ドングル30は、雇用者に関連するデータレコードをアクティブ化する。そのデータレコードを使用して許可されるトランザクションは、適当な場合に、雇用者の口座に対する請求をもたらす。ユーザまたは加入者が、雇用者に対する義務を実行していない時には、個人データレコードがアクティブ化される。ドングル30を使用して認証されるトランザクションは、そのユーザの個人口座から差し引かれる料金をもたらす。これによって、雇用者の代わりに実行されるものと別々の個人の立場でユーザまたは加入者によって実行されるトランザクションが可能になる。ドングル30のモード(すなわち、雇用者のデータレコードと個人データレコードのどちらがアクティブ化されるか)は、ドングル30に設けられるモードスイッチ50によって制御することができ、あるいは、PC 10で動作するトランザクションマネージャ14またはPCインターフェースドライバ38内に設けられるソフトウェアを使用してモードを変更することができる。ユーザによって指示される時に、このソフトウェアは、適当な信号をドングル30に送らせて、アクティブなSIM、アクティブなシミュレートされたSIM、またはアクティブなデータレコードを変更する。
【0059】
追加のセキュリティ手段として、ドングルは、SIMの異なるモード(たとえば「従業員」モードまたは「個人」モード)をアクティブ化するために、加入者がPINを入力する(または他のデータを提供する)ことを要求することができる。各モードをアクティブ化するのに、異なるPINを要求することができる。
【0060】
これまでに説明したドングル30は、PC 10とのデータ通信を可能にする物理的なコネクタ34(USBコネクタなど)を有する。物理的なコネクタ34の代替案として、ドングル30とPC 10の間の無線リンクを設けることができる。データ交換は、たとえば、Bluetooth技術を使用するニアフィールド技法を使用することによって、赤外線シグナリングによって、または他の適当な手段によって行うことができる。
【0061】
別々のドングル30を設けるのではなく、ユーザのSIMを、便利な形で携帯端末(携帯電話受話器など)に配置することができる。SIMは、携帯端末とPC 10の間の適当なデータ交換によって、PC 10を用いるトランザクションを認証することができる。これは、トランザクションの認証が要求される時にPC 10に接続するための物理的コネクタ(USBコネクタなど)を携帯端末に設けることによって達成することができ、あるいは、上で説明した無線技法のいずれかによって行うことができる。この通信が、暗号化されるか、他の形で保護されることが好ましい。SIMが、普通の携帯遠隔通信用とトランザクション認証用の別々のデータレコードを設けられる場合に、たとえば遠隔通信網との電話呼とPC 10を用いるトランザクションの認証を同時に行うことを可能にすることができる。携帯端末は、PC 10とネットワーク16の間の通信リンクを便利に提供することができる。したがって、この配置でのPC 10への携帯端末の結合は、トランザクションの認証を可能にするだけではなく、PC 10とネットワーク16の間の通信媒体も便利に提供する。代替の配置では、携帯端末が、携帯遠隔通信網を介する通信を提供するが、これがネットワーク16と異なる。
【0062】
ドングル30は、PC(または他のコンピューティングデバイス)と共に使用される普通のデータカードの機能も実行することができる。この配置では、ドングルが、適当なサイズになり、ドングルに、上で説明した機能を有するほかに、データカードとして動作できるようにするのに適するコネクタが含まれる。
【0063】
トランザクションを認証する配置のもう1つの機能強化された実施形態を、図6と、図7A、7B、および7Cに示された流れ図とを参照して説明する。
PC 10などのクライアントプラットフォームに、トランザクションマネージャ14が含まれる。その中にSIM 12を有するドングル30が、設けられ、ドングル30とトランザクションマネージャ14の間の通信が、接続34(有線接続または無線接続とすることができる)を介して実行される。この実施形態では、トランザクションマネージャ14に、図3に示されたPCインターフェースドライバ38が組み込まれ、したがって、PCインターフェースドライバは、図6では別々の項目として示されていない。同様に、ドングル30に、図3の36に示されたドングルインターフェースドライバが組み込まれ、したがって、別々のドングルインターフェースドライバは、図6に示されていない。
【0064】
PC 10は、たとえば、Windows(登録商標)オペレーティングシステムを使用することができる。
複数のクライアントアプリケーション17が、PC 10で供給され、これによって、ユーザが、めいめいのリモートサービスプロバイダ22からサービスを入手できるようになる。「リモート」は、PC 10とサービスプロバイダ22の間に特定の地理的距離が存在しなければならないことを暗示することを意図されていないことを理解されたい。しかし、一般に、サービスプロバイダ22は、PC 10と独立に制御される(これは必須ではない)。
【0065】
この実施形態で、携帯遠隔通信網16は、SMS、MMS、ロケーションベースサービスなどのネットワークサービス100を提供する。ネットワーク16は、認証サービス102および支払いサービス104も提供する。しかし、このネットワークを、任意のタイプのネットワークとすることができ、本発明が携帯遠隔通信網に制限されないことを理解されたい。たとえば、認証サービス102および支払いサービス104を、ローカルエリアネットワーク、広域ネットワーク、および/またはインターネットによってPC 10にリンクされたコンピュータで提供することができる。
【0066】
加入者が、リモートサービスプロバイダ22によって提供されるサービスを使用することを望む時に(図7Aの流れ図のステップA)、加入者は、SIM 12を含むドングル30をPC 12の適当な接続スロットに挿入するか無線リンクを使用することによって、PC 10にSIM 12を結合する(ステップB)。次に、加入者は、PC 10で関連するクライアントアプリケーション17をアクティブ化して、必要なサービスを得る(ステップC)。たとえば、クライアントアプリケーション17は、加入者のPC 10でのインストールのためにサービスプロバイダ22によってまたはその制御の下で供給される特殊なソフトウェアとすることができる。代替案では、クライアントアプリケーション17を、サービスプロバイダ22の適当なウェブサイトを訪れるためのウェブブラウザとすることができる。
【0067】
図6に示されたシステムの動作を示すために、サービスプロバイダ22である売り手から特定のCDを購入することを望む加入者に関する例を示す。PC 10で提示されるグラフィカルユーザインターフェースを使用して、加入者は、PC 10で提供されるウェブブラウザソフトウェアを起動し、インターネットを介して、サービスプロバイダ22のウェブサイトにアクセスする。ウェブブラウザソフトウェアは、クライアントアプリケーション17を構成し、CDを配布するサービスプロバイダ22に関連するウェブサイトへのアクセスを可能にする。
【0068】
クライアントアプリケーション17とサービスプロバイダ22の間のデータ通信は、固定網(たとえばPSTN)または無線ネットワーク(ネットワーク16または別の携帯遠隔通信網など)によるものとすることができる。
【0069】
加入者がウェブサイトにログインする機能を提供することができる。有利なことに、ネットワーク16によって承認されたサービスプロバイダは、加入者がサービスプロバイダに「偽名」を登録することを許可することができる。偽名は、サービスプロバイダからサービスを得る時に使用することを加入者が望む可能性があるデータを関連付けられる。このデータは、ネットワーク16によって保管される。このデータは、たとえば加入者のSIM識別子に関して、サービスプロバイダによって永久的には保管されない(もちろん、サービスプロバイダは、ネットワーク16の加入者に関連する偽名のリストを維持するが)。
【0070】
認証サービスは、サービスプロバイダが、加入者の許可を得て、SIMに対して偽名データを保管することを許可することができる。偽名データは、中央で保管され、認証サービス提供者によってSIMに配布することができる。
【0071】
ネットワーク16が加入者(加入者A)に関して保持する情報の例を、下に示す。
加入者Aのデータ
・SIM識別子
・MSISDN
・偽名
○サービスプロバイダAに関して
■氏名
■住所
■プリファレンス
■銀行口座の詳細
○サービスプロバイダBに関して
■氏名
■住所
■プリファレンス
■銀行口座の詳細
○サービスプロバイダCに関して
■氏名
■住所
■プリファレンス
■銀行口座の詳細
【0072】
ネットワーク16は、加入者のSIMおよびそのMSISDNに関するデータを保管するのと同様に、加入者がさまざまなサービスプロバイダ(サービスプロバイダA、B、C、…)について確立した偽名のリストも含む。特定のサービスプロバイダについて保管される情報は、異なる場合があり、サービスプロバイダが加入者に有用に要求する情報および加入者が喜んでサービスプロバイダに供給する情報に依存する。示された例では、偽名に、加入者の氏名および住所の詳細と、特定のサービスに関して加入者が有する可能性があるプリファレンスを含めることができる。加入者がサービスプロバイダ22からCDを購入することを望む例では、これに、加入者の特定のタイプの音楽に関する好みを含めることができ、これによって、サービスプロバイダは、多分加入者が好むタイプの音楽に関するCDを加入者に提供するように、そのサービスを調整できるようになる。
【0073】
ユーザがウェブサイトにアクセスする時に、サービスプロバイダ22は、ログイン手順の一部として、ウェブブラウザを使用して、加入者が前にそのサービスプロバイダ22に登録した可能性がある「偽名」を入力するように加入者に促させる(ステップD)。偽名が、その加入者によってそのサービスプロバイダ22に前に登録された場合に、加入者は、自分の偽名を入力し、これが、クライアントアプリケーション17によってサービスプロバイダ22送られる(ステップE)。次に、サービスプロバイダ22は、リンク106(図6)によって、この偽名をネットワーク16の認証サービス102に送信する。認証サービス102は、ネットワーク16に関してその偽名が有効であるかどうかを判定し、有効と判定される場合に、ネットワークは、その偽名に関連してネットワークによって保管された詳細をサービスプロバイダ22に送信する(ステップF)。
【0074】
偽名が存在しない場合に、加入者は、サービスプロバイダ22が要求する詳細(氏名および住所など)を入力する(ステップG)。
この時点で、サービスプロバイダ22は、加入者にプロンプトを出して、そのサービスプロバイダについて使用される偽名をセットアップしたいかどうかを尋ねることができる。加入者が、そのサービスプロバイダについて偽名をセットアップすることを望む場合に、サービスプロバイダは、氏名、住所、音楽の好みの詳細、および類似物などの関連情報を加入者に要求する。この情報の一部は、偽名のセットアップに必須である可能性がある(加入者の氏名および住所など)が、他のデータは、任意選択とすることができる(加入者の音楽の好みなど)。加入者が、偽名での使用についてサービスプロバイダに供給される情報を選択できることが有利と考えられ、偽名が特定のサービスプロバイダだけについて使用されることも有利と考えられる。偽名を確立するデータが入力された時に、この情報が、リンク106を介してネットワーク16の認証サービス102に渡される。偽名は、サービスプロバイダ22によって保管されるが、その偽名に関連するデータは、サービスプロバイダ22によって永久的には保管されない(その情報は、要求時にネットワーク16の認証サービス102によってサービスプロバイダ22に供給される)。
【0075】
サービスプロバイダ22が、加入者がそのサービスプロバイダに関して使用する特定の偽名に関連するデータへのアクセスだけを有することに留意することが重要である。他のサービスプロバイダに関する偽名に関連する別々のレコードが、ネットワーク16によって別々に保管される。これが有利であるのは、たとえば加入者が、医者からサービスを得る時に使用する偽名に個人医療データを関連付けたいが、この情報を他のサービスプロバイダから使用可能にしたくない場合があるからである。
【0076】
加入者は、ウェブサイトを検索して、購入したいCDを識別する。加入者によって要求されるCDが識別された時に、加入者は、たとえばウェブサイトによって供給される「CD購入」ボタンをマウスでクリックすることによって、クライアントアプリケーション17に、サービスプロバイダ22にサービス要求メッセージを送信させる(ステップH)。このメッセージには、要求されるCDを識別するデータ、加入者を識別するデータ(加入者のSIM識別子など)(加入者が加入者のSIM 12によってトランザクションを認証できるトランザクションマネージャ14をPCにインストールしたことを示すフィールドを含む)が含まれる。
【0077】
トランザクションのこの段階で、サービスプロバイダ22は、加入者の氏名、住所、および加入者が注文したいCDを含む、加入者のある詳細を与えられている。この情報は、実際には加入者でない誰かによって供給された可能性がある。このトランザクションを認証するために、サービスプロバイダ22は、サービスコンテキストSCを構成する(ステップI)。サービスコンテキストは、次のフィールドを含むデータパケットである。
【0078】
○サービスプロバイダ22の識別子
○加入者の氏名(または、SIM識別子などの他の識別子)
○認証されるトランザクションの詳細(この場合にはCDの購入)
もちろん、追加のまたは代替の情報も提供することができる。
【0079】
サービスコンテキストSCは、インターネットを介してクライアントアプリケーション17に送信される。クライアントアプリケーション17は、サービスコンテキストSCをトランザクションマネージャ14に渡す(ステップJ)。クライアントアプリケーション17は、サービスコンテキストSCにそれ自体の識別子を追加して、ネットワーク16が、どのクライアントアプリケーションからそのトランザクションが導出されたかを識別できるようにすることができる。
【0080】
トランザクションマネージャ14は、サービスコンテキストを分析し、ネットワーク16によるトランザクションの認証の要求が必要であることを確立する。トランザクションマネージャは、SIM 12を含む加入者のドングル30が存在するかどうかを検出する(ステップK)。ドングル30が存在しない場合に、ユーザは、ドングルを使用可能にするように促される。トランザクションマネージャ14は、認証されるトランザクションの説明も表示することができ、加入者に、トランザクションを承認するか不認可とする選択肢を提供することができる。ドングルが存在し、トランザクションが加入者によって承認されたと仮定すると、トランザクションマネージャ14は、セキュリティトークンSXに関する要求をネットワーク16の認証サービス102に送信する(ステップL)。認証サービス102に送られる要求に、サービスコンテキストSCが含まれる。そのデータは、適当なネットワークを介して送信することができる。そのデータを、インターネットを介して送信することができる。そのデータを、固定電話網を介して、または遠隔通信網16の携帯インフラストラクチャもしくはセルインフラストラクチャを介して送信することができる。
【0081】
ドングル30に、図4に関して上で説明したようにPINまたはバイオメトリックデータを入力できるようにする手段を含めることができる。加入者が、トランザクションの認証の前に、PINを入力するか他のデータを供給するように促される場合に、これによって、追加のレベルのセキュリティが提供される。トランザクションマネージャ14および/またはSIM 12は、信頼されるクライアントアプリケーション17のリストを保管することができる。これらのアプリケーションに、鍵(または他の識別データ)を与えることができる。信頼されるアプリケーションについて、加入者にPINを入力するように要求するのではなく、この鍵を受け入れるようにトランザクションマネージャおよびSIMを構成することができる。
【0082】
追加のセキュリティ特徴として、ドングルに、図3および4の実施形態に関して説明したように、SIM 12に情報を要求するアプリケーションまたは組織の名前を表示する画面を設けることができる。これによって、ユーザが、自分のSIM 12に対して行われる要求を監視できるようになる。ドングル30は、SIM 12にデータを要求するアプリケーションまたは組織の名前を表示するようにプログラムすることができ、その後、キーパッドを使用してユーザのPINを入力するか他の識別データを供給することによって各または選択されたアプリケーション/組織に関するデータの供給を承認するようにユーザに促すことができる。
【0083】
その後、加入者は、認証サービス102がSIMとのチャレンジレスポンスセッションを実行することによって(トランザクションマネージャ14を介してデータを送信することによって)認証される(ステップM)。たとえば、認証サービス102は、ランダムチャレンジをトランザクションマネージャ14に送り、これがSIMに送られる。SIMは、そのSIM内にあり、その特定の加入者に割り当てられた認証アルゴリズムおよび一意の鍵Kiの両方を使用してランダムチャレンジを暗号化解除することによって応答する。この応答は、トランザクションマネージャによって認証サービス102に送られる。認証サービス102は、この応答を分析して、その加入者のSIMから期待される応答であるかどうかを判定する。応答が期待通りである場合に、認証サービス106は、セキュリティトークンSXを発行し、これをトランザクションマネージャに送る(ステップN)。トランザクションマネージャ14自体は、チャレンジレスポンス手順中に交換されるデータを理解する必要はなく、単にこのデータの導管として働く。
【0084】
図3に関して説明したように、トランザクションマネージャ14が代替アプリケーション(SIM 12のデータのセキュリティを危険にさらすことができる)に置換されるかバイパスされることを防ぐかその可能性を減らすために、トランザクションマネージャ14およびドングルインターフェースドライバに、めいめいの共有される秘密鍵を設けることができる。トランザクションマネージャ14からドングル30への通信のそれぞれが、共有される秘密鍵40を使用して暗号化される。PC 10からドングル30へのすべての通信が、ドングルインターフェースドライバによって受け取られる。ドングルインターフェースドライバに、その秘密鍵を使用して、受け取った通信を暗号化解除する処理手段が含まれる。セキュリティを高めるために、ドングルインターフェースドライバは、共有される秘密鍵を使用して暗号化されたもの以外のすべての通信が、SIM 12にデータを送るかこれからデータを受け取ることを防ぐ。
【0085】
したがって、トランザクションマネージャ14は、ドングル30およびSIM 12へのアクセスを制御し、監視して、SIM 12へのアクセスの許可されない試みによってSIM 12に保管されたデータが危険にさらされる可能性を減らす。
【0086】
しかし、そのような共有される秘密鍵の使用が、必須でないことを諒解されたい。
トランザクションの支払いが必要な場合に、必要な支払いの詳細が、サービスコンテキストSCに含まれる。この情報は、認証サービス102によってセキュリティコンテキストSCから抽出される。認証サービス102は、リンク105を介して支払いサービス104にメッセージを送り、支払いサービス104は、ネットワーク16の加入者の口座の資金を予約する。この段階で、支払いが行われず、許可されないことに留意することが重要である。しかし、支払いサービス104は、支払いがすぐに要求される可能性が高いことを知っており、適当な資金が、そのトランザクションに関してユーザの口座で予約される。
【0087】
セキュリティトークンは、セキュリティトークンSXおよび次のフィールドを含むデータパケットである。
○加入者の識別−SIM識別子など
○サービスプロバイダ22の識別の表示
○認証されるサービスの表示−この例では特定のCDの注文
○認証サービス102の識別の表示
○支払いサービスを使用しなければならないかどうかの表示(支払いが必要な場合に)
状況に応じて、これに追加してまたはこれの代わりに他のフィールドを設けることができる。
【0088】
セキュリティトークンSXが、クライアントアプリケーション17に渡される(ステップO)。
クライアントアプリケーション17は、セキュリティトークンをサービスプロバイダ22に渡す(ステップP)。
【0089】
セキュリティトークンSXには、特定の加入者およびサービスプロバイダ22による件に関するトランザクションに固有のデータが含まれる。多数のトランザクションを、ネットワーク16、トランザクションマネージャ14、およびサービスプロバイダ22によって並列に処理することができる。これらは、セキュリティトークンSX内のサービスプロバイダ22による件に関する特定のトランザクションに固有のデータのおかげで、互いに区別可能である。
【0090】
セキュリティトークンSXが、ネットワーク16とトランザクションマネージャ14の間、またはクライアントアプリケーション17とサービスプロバイダ22の間で渡される時に傍受される場合に、そのセキュリティトークンは、傍受者に対する価値を有しない。セキュリティトークンSXは、サービスプロバイダ22による件に関する特定のトランザクションおよび特定の加入者に対するサービスの提供に固有である。
【0091】
サービスプロバイダ22がセキュリティトークンSXを受け取る時に、その内容が分析され、それがサービスプロバイダ22によって発行されたサービスコンテキストSCに対応することが確立される場合に、サービスプロバイダ22は、サービスの要求(CDの注文)が、加入者によって正当に行われたと仮定することができる。サービスプロバイダ22は、セキュリティトークンSXを認証サービス102に提示して、そのトークンの有効性を検査することができる。認証サービス102は、セキュリティトークンSXの保全性を検査し、セキュリティトークンSXの内容を検証する。次に、認証サービス102は、セキュリティトークンSXが有効であることを示す応答をサービスプロバイダ22に送る。代替案では、認証サービス102は、サービスプロバイダ22自体がセキュリティトークンSXの保全性および有効性を判定できるようにするデータをサービスプロバイダ22に送ることができる。
【0092】
次に、サービスプロバイダ22は、支払いを行う必要があるかどうかを判定する(ステップQ)。支払いが必要でない場合には、CDを発送することができる。しかし、支払いが必要な場合には、サービスプロバイダ22は、次のフィールドを含む支払いコンテキストPCを生成する。
【0093】
○セキュリティトークンSX
○要求された支払いの額
もちろん、状況に従って、さらなるまたは追加のフィールドが必要になる場合がある。
【0094】
支払いコンテキストPCが、クライアントアプリケーション17に送られる(ステップR)。クライアントアプリケーションは、支払いコンテキストPCをトランザクションマネージャ14に送る(ステップS)。
【0095】
トランザクションマネージャ17は、ネットワーク16の支払いサービス104に支払いコンテキストPCを送る(ステップT)。支払いコンテキストPCは、支払いサービス106によって分析される。支払いコンテキスト内のセキュリティトークンSXの存在は、これがセキュリティトークンSXによって示される加入者に関連する支払いに関する真正の要求であることを支払いサービスに示し、支払いサービスは、ネットワーク16のその加入者の口座に問い合わせて、支払いを許可できる(加入者の信用レーティングおよび/またはネットワーク16に関する支払い履歴および/または前払い額の状況に依存する可能性がある)かどうかを判定し、適当である場合に、支払いトークンPXを発行することによって、その支払いを許可する(ステップU)。
【0096】
次に、トランザクションマネージャ14が、支払いトークンPXをクライアントアプリケーション17に送る(ステップV)。クライアントアプリケーション17は、支払いトークンPXをサービスプロバイダ22に送る(ステップW)。サービスプロバイダ22は、支払いトークンPXを使用して、ネットワーク16の支払いサービス106からの支払いを得る(ステップX)。これを行うために、サービスプロバイダ22は、リンク108を介して支払いサービス104に支払いトークンPXを送る。支払いサービスは、支払いトークンPXを分析し、これが、支払いサービスによってトランザクションマネージャ14に正当に発行された支払いトークンであることを認識し、次に、ネットワーク16に関する加入者の口座に対する適当な調整を行う。
【0097】
有利なことに、ユーザが、サービスプロバイダ22に関連する偽名を有する場合に、サービスプロバイダ22は、そのトランザクションから加入者について知られたすべての新しい情報(たとえば音楽の趣味の変化)に基づいて、偽名を更新することができる。
【0098】
PC 10とネットワーク16の間の通信は、上で説明したように、暗号化されることが好ましい。PC 10内およびネットワーク16内の構成要素間の通信が、たとえば共有される鍵の使用によって、暗号化されることも好ましい。
【0099】
上で説明した配置では、加入者は、CDの購入を望む時に限って認証される。代替配置では、加入者がウェブサイトにログオンする時に、加入者を認証することができる。その場合に、サービスプロバイダは、ウェブサイトとのその加入者のセッションに関するセキュリティトークンSXを有する。加入者が購入を行うことを望む時に、このセキュリティトークンSXが、認証サービス102に送られる。認証サービス22は、購入の価格に応じて、たとえば、セキュリティトークンSXを検証するか、クライアントアプリケーション17およびトランザクションマネージャ14を介して、上で説明した形でさらなるセキュリティトークンを入手するようにサービスプロバイダ22に要求することができる。その加入者およびそのサービスプロバイダ22に関するすべての偽名データを、加入者の認証時にサービスプロバイダ22に供給することができる。
【0100】
セキュリティトークンSXは、限られた時間期間の間だけ有効とすることができる。SIMは、有利なことに、真の時刻を正確に判定する手段、たとえば、耐タンパ内部クロック、PC 10によって供給されるクロック、またはネットワーク16からの時刻表示(「信頼される」時間になる)を備えることができる。
【0101】
加入者は、サービスをサービスプロバイダ22から入手する形に似た形でネットワーク16からネットワークサービス100を入手することができる。すなわち、ネットワークサービスプロバイダ100は、サービスに関する要求がクライアントアプリケーション17から受け取られる時に、サービスコンテキストSCを発行する。セキュリティトークンSCは、SIM 12を使用する認証に続いて、トランザクションマネージャ14を介して認証サービス102から入手される。ネットワークサービスに関する加入者による支払いは、サービスプロバイダ22に関して説明した形で実行することができる(支払いコンテキストPCの発行および支払いトークンPXの生成による)。
【0102】
リンク107によって示されるように、リモートサービスプロバイダ22とネットワークサービスプロバイダ100の間に直接リンクを設けることも可能である。これによって、サービスプロバイダ22に対して行われるリモートサービス要求によって、加入者にネットワークサービスを提供できるようになる。
【0103】
リモートサービスプロバイダ22がネットワークサービスプロバイダ100からサービスを入手するために、リモートサービスプロバイダ22に、ネットワークサービスプロバイダ100と共に使用される一意識別子が与えられる。リモートサービスプロバイダ22が、加入者の代わりにネットワークサービスプロバイダ100からネットワークサービスを入手することを望む時に、この一意識別子が、ネットワークサービスに関する要求と共にネットワークサービスプロバイダに送信される。次に、ネットワークサービスが、要求された通りに提供され、料金が、ネットワークサービスプロバイダ100によって、ネットワーク16に関するサービスプロバイダ22の口座に対して請求される。リモートサービスプロバイダ22は、通常、関連するネットワークサービスの使用について加入者に対して料金を請求することを望み(リモートサービスプロバイダ22がこうむるコストおよびリモートサービスプロバイダ22によって提供される追加サービスの料金を含めるために)、この支払いは、上で説明した形で、支払いコンテキストPCを発行し、支払いトークンPXを入手することによって得られる。
【0104】
上で、トランザクションマネージャ14およびクライアントアプリケーション17を、PC 10以外の装置(たとえば、パーキングメーターまたは自動販売機または券売機)で提供できることを既に説明した。
【0105】
このシステムの使用のもう1つの例を、乗物のレンタルに関して説明する。ネットワーク16への加入者は、乗物レンタル会社のオフィスにあるPC 10(または他の処理装置)にドングルを結合する。PC 10には、乗物レンタルサービスプロバイダ22へのアクセスを提供するトランザクションマネージャ14およびクライアントアプリケーション17が含まれる。
【0106】
加入者が、サービスプロバイダ22と共に使用される偽名を有する場合に、その加入者は、これをサービスプロバイダ22に供給し、サービスプロバイダ22は、ネットワーク16の認証サービス102から、その加入者に関する関連データにアクセスすることができる。加入者が、サービスプロバイダ22に関連する偽名を有しない場合には、そのユーザは、サービスプロバイダ22によって促された時に、加入者の氏名、住所、借りたい乗物のタイプ、およびレンタル期間の持続時間などの関連する詳細を供給する。
【0107】
次に、サービスプロバイダ22は、適当なサービスコンテキストSCを作成し、これをクライアントアプリケーション17に送信する。トランザクションマネージャ14が、そのサービスコンテキストSCを受け取り、これをネットワーク16の認証サービス102に渡して、認証サービス102とSIM 12の間でトランザクションマネージャ14を介して上で説明した形で行われるチャレンジレスポンプ手順によるトランザクションの認証の後に、セキュリティトークンSXを探す。SIM 12が、ネットワーク16の認証サービス102によって認証される場合に、セキュリティトークンSXが、トランザクションマネージャ14に発行される。セキュリティトークンSSが、クライアントアプリケーション17に渡され、そこからサービスプロバイダ22に渡されて、トランザクションが認証される。
【0108】
認証サービス102と支払いサービス104の間のリンク105によって、適当な資金が、ネットワーク16に関連する加入者の口座から予約される。たとえば、資金を予約して、期待されるレンタル料および多分預かり金を含めることができる。
【0109】
自動車レンタルの料金総額は、既知でない場合がある(加入者が移動した距離、加入者が乗物を運転して過ごした時間の長さ、および乗物が実際に返却された日付に依存する可能性がある)ので、支払いコンテキストPCは、この段階ではサービスプロバイダ22によって発行されない場合がある。
【0110】
これまでで、加入者が、乗物レンタル会社とのトランザクションを認証された。次に、乗物レンタル会社は、自動車を割り当てる。この実施形態の任意選択の特徴によれば、ドングルを用いると、ユーザが、車に乗り込み、運転できるようになる、すなわち、ドングルは、乗物の普通の鍵の代用品として働く。これは、乗物に、加入者のドングルのSIMを認証する手段を設けることによって達成することができ、あるいはその代わりに、ドングルに、乗物レンタル会社に固有のセキュリティ情報を保管する記憶位置を設けることによって実行することができる。このセキュリティ情報が、乗物によって問い合わされ、検証される場合に、乗物の使用が可能になる。
【0111】
ドングルが、乗物へのアクセスを得るのに実際に使用され、乗物を運転できるようにするか否かにかかわらず、乗物にドングルを結合することによって、モバイルネットワーク16へのアクセスを、乗物に組み込まれた携帯電話トランシーバを使用して普通の形で提供することができる。乗物の遠隔通信システムへのドングルの結合は、加入者のSIMを乗物に設けられた固定電話機に挿入することに類似する。乗物が位置する区域がネットワーク16によってカバーされない場合に、それでも、加入者のネットワーク16と、乗物の近くで動作するネットワークとの間のローミング契約が存在する場合に、電話をかけることができる。
【0112】
乗物システムへのドングルの結合によって、加入者が乗物を使用して過ごした時間の長さを乗物レンタル会社が計算できるようにすることもでき、乗物レンタル会社は、これに基づいてユーザに請求することを望むことができる。
【0113】
乗物がレンタル会社に返される時に、適当な料金が、乗物レンタル会社のサービスプロバイダ22によって(多分上で説明した乗物システムからの情報を使用して)計算され、適当な支払いコンテキストPCが、生成され、PC 10(乗物レンタル会社とのトランザクションを開始するのに使用されたPC 10と異なるPCとすることができる)に存在するクライアントアプリケーション17に送信される。PC 10のトランザクションマネージャ14は、支払いコンテキストPCを受け取り、ネットワーク16の支払いサービス104から支払いトークンPXを入手する。これが、トランザクションマネージャ14およびクライアントアプリケーション17を介してサービスプロバイダ22に渡され、このサービスプロバイダ22は、ネットワーク16の支払いサービス104から適当な支払いを集金することができる。
【0114】
もう1つの例で、トランザクションマネージャ14およびクライアントアプリケーション17は、乗物の中で、乗物のオンボード遠隔通信システムの一部として設けられる。乗物には、たとえばダッシュボードの便利な位置に、加入者のドングル30を受けるコネクタが含まれる(もちろん、その代わりに無線接続を使用することができる)。加入者がドングル30を挿入する時に、サービスプロバイダ22によって提供されるリモートサービスへのアクセスを、上で図6および7に関して説明した形で、トランザクションマネージャ14およびクライアントアプリケーション17を使用して入手することができる。
【0115】
乗物は、もちろん移動するので、クライアントアプリケーション17とサービスプロバイダ22の間の通信およびトランザクションマネージャ14と認証サービス102および支払いサービス104の間の通信(またはクライアントアプリケーション17とネットワークサービス100の間の通信)は、乗物に既に存在する電話トランシーバを使用する移動ラジオネットワークまたはセルラジオネットワークの使用によるなど、無線リンクによって提供される。これらの通信を実行するのに使用されるネットワークは、認証サービス102および支払いサービス104を提供するネットワーク16と同一とすることができ、あるいは、異なるネットワークとすることができる。
【0116】
乗物のコネクタにドングル30が挿入されている間に、ユーザは、SIMカードを乗物の固定された携帯電話システムに挿入したかのように、普通の形で電話をかけ、受け取ることもできる。しかし、トランザクションマネージャ14およびクライアントアプリケーション17が存在するので、加入者は、リモートサービスプロバイダ22から他のサービスを入手することもできる。たとえば、加入者は、MP3ファイルの形で音楽を自動車オーディオシステムにダウンロードすることを望むことができ、あるいは、ナビゲーション情報または交通情報を得ることができる。
【0117】
上で図6および7に関して説明した認証および支払いの手順は、ステップNから変更することができる。認証サービス102が、サービスコンテキストSCを受け取り、加入者を認証した時に、支払いサービス104への要求が、リンク105を介して行われて、適当な資金が予約される。この要求には、セキュリティトークンSXが含まれ、このセキュリティトークンSXによって、支払いサービス104が要求を検証できるようになる。次に、支払いサービス104が、支払いトークンPXを発行する。次に、トランザクションマネージャ14が、セキュリティトークンSXと共に支払いトークンPXをクライアントアプリケーション17に渡す。クライアントアプリケーション17は、セキュリティトークンSXと共に支払いトークンPXをサービスプロバイダ22に渡す。サービスプロバイダ22は、リンク108を介して支払いサービス104に支払いトークンPXを送ることによって支払いトークンPXの有効性を確認し、リンク106を介して認証サービス102にセキュリティトークンSXを送ることによって、セキュリティトークンSXの有効性を確認する。
【0118】
上で説明した形で加入者偽名を入手することの代替案として、サービスプロバイダ22は、SIM 12およびサービスプロバイダ22に関連する偽名に関する要求と共に、認証サービス102にセキュリティトークンSXを提示することができる。認証サービス102は、そのトークンを検証し、適当な偽名(または関連データ)をサービスプロバイダ22に返す。
【0119】
システムのセキュリティを高めるために、サービスプロバイダ22に、サービスプロバイダ22から認証サービス102へのすべての要求をエンコードするのに使用される証明書(共有される鍵)を与えることができる。したがって、認証サービス22は、偽名および関連するSIMデータに関する要求を誰が行っているかに関するある度合の信頼を有することができる。
【0120】
サービスプロバイダは、加入者または支払いが認証されることを確信して、CDを加入者に発送することができる。
支払いを得るために、サービスプロバイダ22は、1つまたは2つの形で進行することができる。
【0121】
第1の手順では、サービスプロバイダ22は、支払いトークンPX(およびセキュリティトークンSX)を含むデータパケットをクライアントアプリケーション17に送信することによって、支払い清算の要求を発行する。クライアントアプリケーション17は、この支払い清算要求をトランザクションマネージャ14に渡し、トランザクションマネージャ14は、その支払い清算要求を(支払いトークンPXと共に)支払いサービス104に渡す。この時点で、任意選択のステップであるが、支払いサービスは、SIM 12と交換されるチャレンジレスポンスデータによって(トランザクションマネージャ14を介して)加入者を認証するように、リンク105を介して認証サービス102に指示する。どの場合でも、支払いサービス104は、支払いトークンPXおよびセキュリティトークンSX(同一のパケットに含まれる)を検査し、次に、ネットワーク16に関する加入者の口座の資金を清算する。支払いサービス104は、変更された支払いトークンPx1をトランザクションマネージャ14に送る。トランザクションマネージャ14は、クライアントアプリケーション17を介してサービスプロバイダ22に変更された支払いトークンPx1を渡す。次に、サービスプロバイダ22が、支払いサービス104との直接のリンク108によって、支払いトークンを検証することができる。
【0122】
上で説明した手順の代替案として、サービスプロバイダ22が、適当な支払いトークンPXを送信することによって、リンク108を介して支払いサービス104に支払い清算を要求することができる。次に、支払いサービス104が、支払いトークンを検証し、資金を清算する。支払いサービス104は、サービスプロバイダ22に応答して、支払いが清算されたことを確認する。
【0123】
図8から11に、図4に示された第1構成および図5に示された第2構成の代替案として、図1または6に関して説明したシステムと共に使用することができるドングル構成のさらなる例を示す。
【0124】
図8Aから8Dに、全般的に250に示されたドングルの第3構成を示す。ドングル250には、ディスプレイまたは押しボタンが含まれない。ドングル50は、全般的に楕円形の断面を有し、その上端に形成された全般的に長方形の開口252を含み、この開口によって、全般的に長方形の断面を有する電気コネクタ254がそこから突き出ることができる。開口252は、クロージャ部材256によって閉じられ、このクロージャ部材256は、全般的にC字形の断面を有し、ドングル250の頂部から各側面258に沿って延び、中央に取り付けられたピボット点260の回りでピボット回転する。ドングルのクロージャ部材256と側壁258の間の、ピボット点60での接続によって、矢印262によって示されるように、クロージャ部材256をピボット点260の回りで回転できるようになる。
【0125】
図8Cは、図8Bの線X−Xに沿った断面であり、電気コネクタ254を、図8Aおよび8Bに示された、コネクタ54が完全にドングル250のケーシング内に含まれる第1位置と、図8Cおよび8Dに示された、電気コネクタ254がドングル250のケーシングから突き出す第2位置との間で移動できる機構を概略的に示す。電気コネクタ254のこの移動を提供する機構に、コネクタ254に結合されたラック264と、ピボット点260に取り付けられ、その歯がラック264と係合する協力するピニオン266が含まれる。ピニオン266は、クロージャ部材256に関して固定される。クロージャ部材256の回転が、ピニオン266の回転を引き起こし、これが、矢印268によって示される、ラック264の直線変位を引き起こす。もちろん、電気コネクタ254およびラック264を滑り可能に指示する機構が、当業者に理解される形で設けられるが、ここでさらに説明はせず、図示しない。
【0126】
図9Aから9Dに、ドングルの第4構成を示す。図8Aから8Dに関して説明したドングルの第3構成と同様に、電気コネクタ254は、図9Aおよび9Bに示された、コネクタがドングル270のケーシング内に完全に含まれる第1位置と、図9Cおよび9Dに示された、コネクタ254がドングル270から突き出す第2位置との間で移動可能である。しかし、第3構成では、矢印268の方向での電気コネクタ254の直線移動が、矢印274によって示される、ドングル270のケーシングに関してノブ272を回転することによってもたらされる。1方向へのノブ272の回転が、コネクタ254をドングル270のケーシングから出させ、反対方向への回転が、コネクタ254をドングル270のケーシング内に引っ込める。ノブ272の回転運動をコネクタ254の直線運動に変換する、任意の適当な機構を設けることができる。たとえば、口紅スイベル機構に関する、米国特許第5813421号明細書(参照によって本明細書に組み込まれる)に記載の機構を使用することができる。他の適切な機構が、関連技術の技量を有するものに既知である。
【0127】
ドングル270に、PIN番号を入力するようにユーザに促すための、および/または入力時にPIN番号を表示するためのディスプレイ248が含まれる。ドングル270は、一連の押しボタン(数字キーパッドなど)を有するのではなく、データ入力ノブ276を含み、このデータ入力ノブ276は、矢印278によって示されるように回転し、矢印280によって示されるように、ドングルに関して直線移動するようにドングルに取り付けられる。PIN番号の各数字は、ユーザが276をつかみ、ドングル270のケーシングから離れる方向(矢印280の方向)に引っ張ることによって入力される。点滅するカーソルなどの表示が、ディスプレイ248に現れ、PIN番号の最初の数字が期待されることを示す。数字は、ノブ276の回転(矢印278)によって入力され、表示される数字は、ノブ276のさらなる回転に伴って値が増える。必要な番号がディスプレイ248に現れた時に、ユーザは、ノブ276を矢印280と反対の方向に押すことによって、それが入力したい数字であることを確認する。PIN番号の次の数字を入力するために、ノブ276をもう一度持ち上げ(矢印280)、ノブを回転することによって正しい数字を選択する。矢印280と反対の方向に移動することによってノブ276を元の位置に戻すことによって、必要な数字を入力する。PIN番号の数字のすべてが入力されるまで、この手順を繰り返す。PIN番号の各数字は、入力される時にディスプレイ248に表示される。
【0128】
ドングル270の図9Aから9Dの実施形態では、圧電セル282が、ノブ280に関連する。圧電セル282は、ノブ276の移動によって電力を生成できるようにする。この電力は、一体のコンデンサにたくわえるか、圧電セル282に電気的に結合される任意選択の電池284にたくわえることができる。そのような配置は、ドングル270がそれ自体の交換可能な電源を有するという要件を無くすと同時に、PC 10に接続されていない時でもドングルが動作できるようにする。圧電セルによって生成される電荷は、過渡的であり、ある時間(たとえば5分)の後に、電荷が、散逸し、ノブ276によって入力されたPIN番号が、ドングル270のメモリから失われ、その後には、電力が供給された時であっても取り出すことができない。これは、ドングル270の追加のセキュリティ特徴を提供する。もちろん、ドングル270が、電荷がまだ存在する間(上の例では、PINの入力から5分以内)にPC 10に接続される場合に、そのPINを検証でき、ドングルは、コネクタ254を介してPC 10から電力を得ることができ、これによって、圧電セル282からの電力の過渡的な性質にかかわらず、上で説明した認証動作を実行できるようになる。
【0129】
図10Aから10Dに、ドングル290の第5構成を示す。この実施形態では、ドングル290に、コネクタ254が固定された位置に取り付けられる本体部分292と、定位置にある時に本体292およびコネクタ254を覆って、これらの構成要素を保護し、ドングル290に魅力的な外見を与える取り外し可能な保護キャップ294が含まれる。
【0130】
本体292の上端で、環状ノブ296が、矢印298によって示されるように本体292に関して回転するように本体292に取り付けられる。ノブ296には、ドングル290のユーザに可視の一連のマーキング300が含まれ、たとえば、各マーク300が、0から9までの異なる数字を示す。マーキング302が、ケーシング292の頂部に設けられる。この実施形態では、ユーザのPIN番号の最初の数字が、PIN番号の正しい数字(300に示される)がマーク302とそろうまでノブ96を回転することによって入力される。関連する数字とマーク302がそろった時に、ユーザは、ノブ296の回転を止める。ノブ296の移動が停止した時に、ノブ296の位置が、ドングル290によって記録され、その結果、PIN番号の数字を検出することができる。PIN番号の次の数字は、PIN番号の関連する数字がマーキング302とそろうまで、反時計方向(矢印298と反対)にノブ296を回転することによって入力される。やはり、ノブの回転が停止した時に、ノブの位置が記録され、その結果、PIN番号をドングル290によって記録することができる。PIN番号の次の数字は、296の時計回りの回転によって入力され、以下同様にして、PIN番号のすべての数字が入力される。ノブ296およびマーキング302を使用するデータ入力の形は、金庫の番号の入力に使用されるものに似る。
【0131】
ドングル290に、さらに、ノブ296の回転軸に取り付けられた(本体292に関して固定される)任意選択のディジタルカメラ304が含まれる。ドングル290に、処理手段およびカメラ304によって取り込まれた1つまたは複数の画像を保管するメモリが含まれ、これらの画像を、コネクタ254を使用してPC 10に転送することができる。
【0132】
図11Aから11Cに、ドングル310の第6構成を示す。ドングル310に、その一方に開口部314を有するケーシング312が含まれる。ケーシング312内に、コネクタ254が固定される結合部分316が含まれる。結合部分316は、結合部分316が破線318によって示される軸の回りに回転可能になる形でケーシング312に接続される。
【0133】
ループコネクタ244に接続されているのが、リング320であり、このリング320は、ケーシング312に関して滑るように取り付けられた滑り可能部分322を矢印324の向きでケーシング312に関して移動できる便利な手段を提供する。ラックアンドピニオンまたは他の適切な機構(図示せず)によって、滑り可能部分322の、矢印324の向きでのケーシング312に関する移動を、軸318の回りの結合部分316の回転運動に変換する。滑り可能部分322がケーシング312に関して移動される際に結合部分316が移動する異なる位置を、図11Cのゴーストラインによって示す。
【0134】
滑り可能部分322が、矢印324の方向の最大移動量に達した時に、結合部分316が、ケーシング312に関して180°回転する。結合部分316は、滑り可能部分322を矢印324と反対の方向に滑らせることによって、図11Aおよび11Bに示された位置に戻される。結合部分316が、図11Aおよび11Bに示された位置にある時に、コネクタ254は、滑り可能部分322によって保護される。
【0135】
図8、9、10、および11に示された実施形態は、必要でない時に電気コネクタ254を隠し、保護することができるさまざまな形を提供する。
図9の実施形態では、ドングルの電源が、圧電セル282である。
【0136】
類似する電源を、図8、10、および11に示されたドングルに設けることができ、電力は、図8のドングル250のクロージャ部材256の移動、図107のドングル290のノブ296の移動、または図11の滑り可能部分322の移動によって生成される。その代わりにまたはそれに加えて、これらのドングルに、交換可能な電池、あるいはドングル250、280、290、または310がPC 10に接続された時に再充電される再充電可能な電池を含めることができる。
【0137】
説明したドングルに、USBコネクタとして図示された電気コネクタ254が含まれるが、他の適切なタイプの電気コネクタを設けられることを諒解されたい。たとえば、コネクタ254を、SmartMedia(商標)デバイスとすることができる。その代わりに、データおよび/または電力を、たとえばNFCIP−1(Near Field Communication Interface and Protocol)プロトコルによる「ニアフィールド」技術によってドングルとPC 10の間で伝送することができる。ニアフィールド技術が使用される場合に、移動可能な電気コネクタ254を設けることは、必要でなくなる。
【0138】
図8から11のドングルに、図3および4に関して説明したドングルインターフェースドライバ36を含めても含めなくてもよい。
図9および10のドングルは、検証のためにPC 10にPINを渡すことができるものとすることができ、あるいは、セキュリティを改善するために、そのような検証をドングル内で実行することができる。
【0139】
もちろん、必要な場合に、図8および11のドングルにPIN入力手段を設けることができる。
【図面の簡単な説明】
【0140】
【図1】データ処理装置に関する本発明の動作を説明するブロック図である。
【図2】図1のブロック図を理解するのに使用される流れ図である。
【図3】本発明による「ドングル」が使用される、図1に対応するブロック図である。
【図4】ドングルの1構成を示す透視図である。
【図5】ドングルのもう1つの構成を示す側面図である。
【図6】データ処理装置を使用するトランザクションを認証する方法の動作を説明するブロック図である。
【図7A】図6のデータ処理装置によって実行される認証処理を理解するのに使用される流れ図である。
【図7B】図6のデータ処理装置によって実行される認証処理を理解するのに使用される流れ図である。
【図7C】図6のデータ処理装置によって実行される認証処理を理解するのに使用される流れ図である。
【図8】図8Aは、ドングルの第3の構成を示す正面図である。図8Bは、図8Aのドングルの側面図である。図8Cは、図8Bの線x−xに沿った、ドングルコネクタが延長された状態の断面図である。図8Dは、図8Bに対応するがドングルコネクタが延長された状態の側面図である。
【図9】図9Aは、ドングルの第4の構成を示す正面図である。図9Bは、図9Aのドングルの側面図である。図9Cは、図9Aに対応するが、ドングルコネクタが延長された状態の正面図である。図9Dは、図9Bに対応するが、ドングルコネクタが延長された状態の側面図である。
【図10】図10Aは、ドングルの第5の構成を示す正面図である。図10Bは、図10Aのドングルの側面図である。図10Cは、図10Aに対応するが、ドングルコネクタが延長された状態の正面図である。図10Dは、図10Bに対応するが、ドングルコネクタが延長された状態の側面図である。
【図11】図11Aは、ドングルの第6の構成を示す正面図である。図11Bは、図11Aのドングルの側面図である。図11Cは、電気コネクタがドングルのケーシングからどのように出るかを示す図である。
【特許請求の範囲】
【請求項1】
データ処理装置とのトランザクションを認証する方法であって、前記データ処理装置は、所定の認証情報を保管する認証記憶手段に機能的に関連付けられ、前記トランザクションを認証するために通信リンクを介して認証処理を実行する前記ステップを含み、前記認証処理は、前記所定の認証情報の前記使用を含む、方法。
【請求項2】
前記トランザクションが、前記データ処理装置の前記データ処理機能の使用を含むトランザクションである、請求項1に記載の方法。
【請求項3】
複数の前記認証記憶手段がある、請求項1または2に記載の方法。
【請求項4】
前記認証処理を実行する前記ステップが、前記複数の認証記憶装置のすべての前記認証記憶装置に共通する認証手段によって少なくとも部分的に実行される、請求項3に記載の方法。
【請求項5】
各認証記憶手段が、特定のデータ処理装置に関連する、請求項3または4に記載の方法。
【請求項6】
それぞれが前記データ処理装置の複数の特定のユーザのうちのめいめいの特定の1つの複数の前記認証記憶手段があり、前記認証記憶手段の特定の1つからの前記所定の情報の前記使用を伴う前記認証処理が、前記認証記憶手段のめいめいの前記指定されたユーザの前記1つによるトランザクションを認証する、請求項1または2に記載の方法。
【請求項7】
前記認証処理を実行する前記ステップが、すべての前記ユーザに共通する認証手段によって少なくとも部分的に実行される、請求項6に記載の方法。
【請求項8】
すべての前記ユーザに共通する前記認証手段が、すべての前記認証記憶手段が登録されるシステムの一部である認証手段である、請求項7に記載の方法。
【請求項9】
前記システムが、遠隔通信網であり、ユーザごとに前記認証記憶手段によって保管される前記所定の情報が、前記遠隔通信網に関してそのユーザを認証するのに使用される情報に対応する、請求項8に記載の方法。
【請求項10】
各ユーザが、スマートカードまたはサブスクライバ・アイデンティティ・モジュール(たとえばSIM)の前記使用によって前記システム内で認証され、そのユーザのめいめいの前記認証記憶手段が、そのユーザの前記スマートカードに対応するかこれをシミュレートする、請求項8または9に記載の方法。
【請求項11】
前記認証記憶手段の1つまたは複数を異なるシステムに登録する前記ステップを含む、請求項8から10のいずれか一項に記載の方法。
【請求項12】
前記認証記憶手段が、前記データ処理装置による使用のためのデータまたはソフトウェアに関連付けられることによって、そのデータ処理装置に関連する、前の請求項のいずれか一項に記載の方法。
【請求項13】
前記認証記憶手段が、前記データまたはソフトウェアのデータキャリアに組み込まれる、請求項12に記載の方法。
【請求項14】
前記認証処理が、メッセージの前記送信ならびに前記メッセージおよび前記所定の情報に依存する応答の前記生成を含む、前の請求項のいずれか一項に記載の方法。
【請求項15】
認証される時に前記トランザクションに関する料金を徴収する前記ステップを含む、前の請求項のいずれか一項に記載の方法。
【請求項16】
認証される時に前記トランザクションに関する料金を徴収する前記ステップを含み、前記料金を徴収する前記ステップが、前記システムによって実行される、請求項8から11のいずれか一項に記載の方法。
【請求項17】
前記データ処理装置が、パーソナルコンピュータである、前の請求項のいずれか一項に記載の方法。
【請求項18】
前記データ処理装置とのトランザクションの前記認証に関する所定の情報を保管する認証記憶手段と組み合わされるデータ処理装置であって、前記認証記憶手段が、前記データ処理装置に機能的に関連する時に、前記トランザクションを認証するために通信リンクを介して実行される認証処理に応答し、前記認証処理が、前記所定の情報の前記使用を含む、データ処理装置。
【請求項19】
前記トランザクションが、前記データ処理装置の前記データ処理機能の使用を含むトランザクションである、請求項18に記載の装置。
【請求項20】
前記認証記憶手段が、前記データ処理装置に固有である、請求項18または19に記載の装置。
【請求項21】
それぞれが複数の指定されたユーザの任意の1つに関する所定の認証情報を保管し、それぞれが前記指定されたユーザの前記めいめいの1つによる前記データ処理装置とのトランザクションの前記認証に関する、複数の前記認証記憶手段がある、請求項18または19に記載の装置。
【請求項22】
前記認証処理を少なくとも部分的に実行し、すべての前記ユーザが登録されるシステムの一部であるリモート認証手段を含む、請求項21に記載の装置。
【請求項23】
前記システムが、遠隔通信網であり、各ユーザのめいめいの前記所定の認証情報が、前記遠隔通信網内でそのユーザを認証するのに使用される情報に対応する、請求項22に記載の装置。
【請求項24】
各ユーザが、スマートカードの前記形のサブスクライバ・アイデンティティ・モジュール(SIM)の前記使用によって前記システム内で認証され、そのユーザのめいめいの前記認証記憶手段が、そのユーザの前記サブスクライバ・アイデンティティ・モジュールに対応するかこれをシミュレートする、請求項22に記載の装置。
【請求項25】
前記認証処理は、メッセージの前記送信ならびに前記メッセージおよび前記所定の情報に依存する応答の前記生成を含む、請求項18から24のいずれか一項に記載の装置。
【請求項26】
データ処理装置内でこれによって使用されるデータを担持するデータキャリアであって、前記データキャリアは、前記データキャリアによって担持される前記データの使用を伴うトランザクションを認証するためにリモート動作する認証プロセスで使用される前記入力メッセージおよび前記認証情報に依存する応答を導出するために入力メッセージに応答する所定の認証情報を保管する認証記憶手段も組み込む、データキャリア。
【請求項27】
前記データキャリアによって担持される前記データが、ソフトウェアを含む、請求項26に記載のデータキャリア。
【請求項28】
前記認証記憶手段が、前記認証処理を実行する認証手段を含む、共通システムに登録された複数のそのような認証記憶手段の1つである、請求項26または27に記載のデータキャリア。
【請求項29】
前記共通システムが、遠隔通信網である、請求項28に記載のデータキャリア。
【請求項30】
前記遠隔通信網が、スマートカードの前記形のめいめいのサブスクライバ・アイデンティティ・モジュール(SIM)の前記使用によってその中で認証される、それに登録された複数のユーザを有し、前記認証記憶手段が、そのようなsubscriber identity modulesに対応するかこれをシミュレートする、請求項29に記載のデータキャリア。
【請求項31】
前記認証記憶手段が、前記トランザクションを認証するために無線で通信する、請求項1から17のいずれか一項に記載の方法。
【請求項32】
前記スマートカードまたはSIMは、前記スマートカードまたはSIMが携帯端末で動作する時に、前記トランザクションを認証する、請求項10に記載の方法。
【請求項33】
前記スマートカードまたはSIMは、前記システムで使用される携帯端末を認証するようにさらに動作する、請求項10に記載の方法。
【請求項34】
前記認証記憶手段が、前記データ処理装置に結合可能なキャリアを提供される、請求項1から17のいずれか一項に記載の方法。
【請求項35】
前記認証記憶手段が、前記トランザクションを認証するために無線で通信する、請求項18から29のいずれか一項に記載の装置。
【請求項36】
前記スマートカードまたはSIMは、前記スマートカードまたはSIMが携帯端末で動作する時に、前記トランザクションを認証する、請求項24に記載の装置。
【請求項37】
前記スマートカードまたはSIMは、前記システムで使用される携帯端末を認証するようにさらに動作する、請求項24に記載の装置。
【請求項38】
前記認証記憶手段が、前記データ処理装置に結合可能なキャリアを提供される、請求項18から29のいずれか一項に記載の装置。
【特許請求の範囲】
【請求項1】
複数のユーザのうちのいずれか1つによるデータ処理装置(10)との後続のトランザクションを認証する認証処理を実行する方法であって、
前記認証処理中に、前記ユーザのめいめいの複数の認証記憶手段(12)の選択された1つを前記データ処理装置(10)に機能的に関連付ける前記ステップであって、各認証記憶手段(12)が、所定の認証情報を保管し、前記ユーザがそれに関するめいめいの遠隔通信端末を有する共通遠隔通信システム(16)に登録可能である、ステップと、
前記共通遠隔通信システム(16)との通信リンク(19)を介して認証処理を実行する前記ステップとを含み、
前記認証処理が、前記遠隔通信システム(16)に組み込まれた認証手段(18;102)によって実行され、前記選択された1つの認証記憶手段(12)によって保管される前記所定の認証情報の前記使用を含み、各認証記憶手段(12)によって保管される前記所定の認証情報が、前記遠隔通信システム(16)に関してそのユーザの遠隔通信端末を認証するのに使用される情報に対応するが、前記データ処理装置(10)とのそのユーザによる前記トランザクションを認証する前記認証処理が、そのユーザの遠隔通信端末の使用を必要とせず、前記遠隔通信システム(16)に関してその情報によって前記遠隔通信端末が実際に認証されることを必要としない、方法。
【請求項2】
前記認証記憶手段(12)が、前記データ処理装置(10)による使用のためのデータまたはソフトウェアに関連付けられることによって、前記データ処理装置(10)に関連する、請求項1に記載の方法。
【請求項3】
前記認証記憶手段(12)が、前記データまたはソフトウェア用のデータキャリアに組み込まれる、請求項2に記載の方法。
【請求項4】
前記認証記憶手段(12)が、処理手段を含む、請求項1に記載の方法。
【請求項5】
各ユーザが、スマートカードまたはサブスクライバ・アイデンティティ・モジュール(たとえばSIM)の前記使用によって前記遠隔通信システム(16)内で認証され、そのユーザのめいめいの前記認証記憶手段(16)が、そのユーザの前記スマートカードに対応するかこれをシミュレートする、請求項4に記載の方法。
【請求項6】
前記認証処理が、メッセージの前記送信ならびに前記メッセージおよび前記所定の情報に依存する応答の前記生成を含む、請求項1乃至6のいずれか一項に記載の方法。
【請求項7】
認証される時に前記トランザクションに関する料金を徴収するステップを含む、請求項1乃至6のいずれか一項に記載の方法。
【請求項8】
前記料金を徴収する前記ステップが、前記システム(16)によって実行される、請求項7に記載の方法。
【請求項9】
前記データ処理装置(10)が、パーソナルコンピュータである、請求項1乃至8のいずれか一項に記載の方法。
【請求項10】
前記認証記憶手段(12)が、前記トランザクションを認証するために無線で通信する、請求項1から9のいずれか一項に記載の方法。
【請求項11】
前記認証記憶手段(12)が、前記システム(16)内で使用される前記ユーザの遠隔通信端末を認証するように動作可能であるスマートカードまたはSIMである、請求項5に記載の方法。
【請求項12】
前記認証記憶手段(12)が、前記データ処理装置(10)に結合可能なキャリア(32)を提供される、請求項1から11のいずれか一項に記載の方法。
【請求項13】
ユーザのめいめいの、データ処理装置(10)との前記ユーザによる後続トランザクションを認証するための認証処理の前記実行に関する所定の認証情報をそれぞれが保管する複数の認証記憶手段(12)の選択された1つと組み合わされる前記データ処理装置(10)であって、前記認証記憶手段(12)のすべてが、前記ユーザがそれに関するめいめいの遠隔通信端末を有する共通遠隔通信システムに登録可能であり、前記認証記憶手段(12)が、前記データ処理装置(10)に機能的に関連する時に、前記システムとの通信リンク(19)を介して前記認証処理を実行するように動作し、前記認証処理が、前記システム(10)に組み込まれた認証手段(18;102)によって実行され、前記選択された1つの認証記憶手段(12)によって保管される前記所定の情報の前記使用を含み、各認証記憶手段(12)によって保管される前記所定の認証情報が、前記遠隔通信システム(16)に関してそのユーザの遠隔通信端末を認証するのに使用される情報に対応するが、前記データ処理装置(10)とのそのユーザによる前記トランザクションを認証する前記認証処理が、そのユーザの遠隔通信端末の使用を必要とせず、前記遠隔通信システム(16)に関してその情報によって前記遠隔通信端末が実際に認証されることを必要としない、データ処理装置。
【請求項14】
前記認証記憶手段(12)が、処理手段を含む、請求項13に記載の装置。
【請求項15】
各ユーザが、スマートカードまたはサブスクライバ・アイデンティティ・モジュール(たとえばSIM)の前記使用によって前記遠隔通信システム(16)内で認証され、そのユーザのめいめいの前記認証記憶手段(16)が、そのユーザの前記スマートカードに対応するかこれをシミュレートする、請求項13または14に記載の装置。
【請求項16】
前記認証処理が、メッセージの前記送信ならびに前記メッセージおよび前記所定の情報に依存する応答の前記生成を含む、請求項13、14、または15に記載の装置。
【請求項17】
許可される時に前記トランザクションに関する料金を徴収する手段を含む、請求項13から16のいずれか一項に記載の装置。
【請求項18】
前記料金を徴収する前記手段が、前記共通システム(16)の一部である、請求項17に記載の装置。
【請求項19】
前記認証記憶手段(12)が、前記トランザクションを認証するために無線で通信する、請求項13から18のいずれか一項に記載の装置。
【請求項20】
前記認証記憶手段(12)が、前記システム内で使用される前記ユーザの遠隔通信端末を認証するようにさらに動作可能である前記スマートカードまたはSIMである、請求項15に記載の装置。
【請求項21】
前記認証記憶手段(12)が、前記データ処理装置(10)に結合可能なキャリア(32)を提供される、請求項13から20のいずれか一項に記載の装置。
【請求項22】
データ処理装置(10)および別々の認証手段(18;102)の前記使用を伴う認証処理の後に前記データ処理装置内でこれによって使用されるデータを担持するデータキャリアであって、前記データキャリアは、めいめいのユーザの所定の認証情報を保管する認証記憶手段(12)も組み込み、前記認証記憶手段(12)は、前記認証手段(18;102)を含み、前記ユーザがそれに関する遠隔通信端末を有する遠隔通信システム(16)に登録され、前記認証記憶手段(12)は、前記ユーザによる前記データ処理装置との、前記データキャリアによって担持される前記データの使用を伴う後続トランザクションを認証するために、前記認証手段(18;102)が前記システム(16)内の前記認証手段(18;102)との通信リンク(19)を介して前記認証処理を実行することを可能にするために前記入力メッセージおよび前記認証情報に依存する応答を導出するために入力メッセージに応答し、前記認証記憶手段(12)によって保管される前記所定の認証情報は、前記遠隔通信システム(16)内でのそのユーザの遠隔通信端末の使用に関して前記遠隔通信システム(16)に登録された前記ユーザを認証するのに使用される情報に対応するが、前記データ処理装置(10)とのそのユーザによる前記トランザクションを認証する前記認証処理は、前記ユーザの遠隔通信端末の使用を必要とせず、前記遠隔通信端末が前記遠隔通信システム(16)に関してその情報によって実際に認証されることを必要としない、データキャリア。
【請求項23】
前記認証記憶手段が、スマートカードの前記形のめいめいのsubscriber identity modules(SIM)に対応するかこれをシミュレートする、請求項22に記載のデータキャリア。
【請求項24】
前記データキャリアによって担持される前記データが、ソフトウェアを含む、請求項22または23に記載のデータキャリア。
【請求項25】
前記認証記憶手段(12)が、前記トランザクションを認証するために無線で通信する、請求項22から24のいずれか一項に記載のデータキャリア。
【請求項26】
前記認証記憶手段(12)が、前記システムでの使用のために前記ユーザの遠隔通信端末を認証するようにさらに動作する前記スマートカードまたはSIMである、請求項23に記載のデータキャリア。
【請求項1】
データ処理装置とのトランザクションを認証する方法であって、前記データ処理装置は、所定の認証情報を保管する認証記憶手段に機能的に関連付けられ、前記トランザクションを認証するために通信リンクを介して認証処理を実行する前記ステップを含み、前記認証処理は、前記所定の認証情報の前記使用を含む、方法。
【請求項2】
前記トランザクションが、前記データ処理装置の前記データ処理機能の使用を含むトランザクションである、請求項1に記載の方法。
【請求項3】
複数の前記認証記憶手段がある、請求項1または2に記載の方法。
【請求項4】
前記認証処理を実行する前記ステップが、前記複数の認証記憶装置のすべての前記認証記憶装置に共通する認証手段によって少なくとも部分的に実行される、請求項3に記載の方法。
【請求項5】
各認証記憶手段が、特定のデータ処理装置に関連する、請求項3または4に記載の方法。
【請求項6】
それぞれが前記データ処理装置の複数の特定のユーザのうちのめいめいの特定の1つの複数の前記認証記憶手段があり、前記認証記憶手段の特定の1つからの前記所定の情報の前記使用を伴う前記認証処理が、前記認証記憶手段のめいめいの前記指定されたユーザの前記1つによるトランザクションを認証する、請求項1または2に記載の方法。
【請求項7】
前記認証処理を実行する前記ステップが、すべての前記ユーザに共通する認証手段によって少なくとも部分的に実行される、請求項6に記載の方法。
【請求項8】
すべての前記ユーザに共通する前記認証手段が、すべての前記認証記憶手段が登録されるシステムの一部である認証手段である、請求項7に記載の方法。
【請求項9】
前記システムが、遠隔通信網であり、ユーザごとに前記認証記憶手段によって保管される前記所定の情報が、前記遠隔通信網に関してそのユーザを認証するのに使用される情報に対応する、請求項8に記載の方法。
【請求項10】
各ユーザが、スマートカードまたはサブスクライバ・アイデンティティ・モジュール(たとえばSIM)の前記使用によって前記システム内で認証され、そのユーザのめいめいの前記認証記憶手段が、そのユーザの前記スマートカードに対応するかこれをシミュレートする、請求項8または9に記載の方法。
【請求項11】
前記認証記憶手段の1つまたは複数を異なるシステムに登録する前記ステップを含む、請求項8から10のいずれか一項に記載の方法。
【請求項12】
前記認証記憶手段が、前記データ処理装置による使用のためのデータまたはソフトウェアに関連付けられることによって、そのデータ処理装置に関連する、前の請求項のいずれか一項に記載の方法。
【請求項13】
前記認証記憶手段が、前記データまたはソフトウェアのデータキャリアに組み込まれる、請求項12に記載の方法。
【請求項14】
前記認証処理が、メッセージの前記送信ならびに前記メッセージおよび前記所定の情報に依存する応答の前記生成を含む、前の請求項のいずれか一項に記載の方法。
【請求項15】
認証される時に前記トランザクションに関する料金を徴収する前記ステップを含む、前の請求項のいずれか一項に記載の方法。
【請求項16】
認証される時に前記トランザクションに関する料金を徴収する前記ステップを含み、前記料金を徴収する前記ステップが、前記システムによって実行される、請求項8から11のいずれか一項に記載の方法。
【請求項17】
前記データ処理装置が、パーソナルコンピュータである、前の請求項のいずれか一項に記載の方法。
【請求項18】
前記データ処理装置とのトランザクションの前記認証に関する所定の情報を保管する認証記憶手段と組み合わされるデータ処理装置であって、前記認証記憶手段が、前記データ処理装置に機能的に関連する時に、前記トランザクションを認証するために通信リンクを介して実行される認証処理に応答し、前記認証処理が、前記所定の情報の前記使用を含む、データ処理装置。
【請求項19】
前記トランザクションが、前記データ処理装置の前記データ処理機能の使用を含むトランザクションである、請求項18に記載の装置。
【請求項20】
前記認証記憶手段が、前記データ処理装置に固有である、請求項18または19に記載の装置。
【請求項21】
それぞれが複数の指定されたユーザの任意の1つに関する所定の認証情報を保管し、それぞれが前記指定されたユーザの前記めいめいの1つによる前記データ処理装置とのトランザクションの前記認証に関する、複数の前記認証記憶手段がある、請求項18または19に記載の装置。
【請求項22】
前記認証処理を少なくとも部分的に実行し、すべての前記ユーザが登録されるシステムの一部であるリモート認証手段を含む、請求項21に記載の装置。
【請求項23】
前記システムが、遠隔通信網であり、各ユーザのめいめいの前記所定の認証情報が、前記遠隔通信網内でそのユーザを認証するのに使用される情報に対応する、請求項22に記載の装置。
【請求項24】
各ユーザが、スマートカードの前記形のサブスクライバ・アイデンティティ・モジュール(SIM)の前記使用によって前記システム内で認証され、そのユーザのめいめいの前記認証記憶手段が、そのユーザの前記サブスクライバ・アイデンティティ・モジュールに対応するかこれをシミュレートする、請求項22に記載の装置。
【請求項25】
前記認証処理は、メッセージの前記送信ならびに前記メッセージおよび前記所定の情報に依存する応答の前記生成を含む、請求項18から24のいずれか一項に記載の装置。
【請求項26】
データ処理装置内でこれによって使用されるデータを担持するデータキャリアであって、前記データキャリアは、前記データキャリアによって担持される前記データの使用を伴うトランザクションを認証するためにリモート動作する認証プロセスで使用される前記入力メッセージおよび前記認証情報に依存する応答を導出するために入力メッセージに応答する所定の認証情報を保管する認証記憶手段も組み込む、データキャリア。
【請求項27】
前記データキャリアによって担持される前記データが、ソフトウェアを含む、請求項26に記載のデータキャリア。
【請求項28】
前記認証記憶手段が、前記認証処理を実行する認証手段を含む、共通システムに登録された複数のそのような認証記憶手段の1つである、請求項26または27に記載のデータキャリア。
【請求項29】
前記共通システムが、遠隔通信網である、請求項28に記載のデータキャリア。
【請求項30】
前記遠隔通信網が、スマートカードの前記形のめいめいのサブスクライバ・アイデンティティ・モジュール(SIM)の前記使用によってその中で認証される、それに登録された複数のユーザを有し、前記認証記憶手段が、そのようなsubscriber identity modulesに対応するかこれをシミュレートする、請求項29に記載のデータキャリア。
【請求項31】
前記認証記憶手段が、前記トランザクションを認証するために無線で通信する、請求項1から17のいずれか一項に記載の方法。
【請求項32】
前記スマートカードまたはSIMは、前記スマートカードまたはSIMが携帯端末で動作する時に、前記トランザクションを認証する、請求項10に記載の方法。
【請求項33】
前記スマートカードまたはSIMは、前記システムで使用される携帯端末を認証するようにさらに動作する、請求項10に記載の方法。
【請求項34】
前記認証記憶手段が、前記データ処理装置に結合可能なキャリアを提供される、請求項1から17のいずれか一項に記載の方法。
【請求項35】
前記認証記憶手段が、前記トランザクションを認証するために無線で通信する、請求項18から29のいずれか一項に記載の装置。
【請求項36】
前記スマートカードまたはSIMは、前記スマートカードまたはSIMが携帯端末で動作する時に、前記トランザクションを認証する、請求項24に記載の装置。
【請求項37】
前記スマートカードまたはSIMは、前記システムで使用される携帯端末を認証するようにさらに動作する、請求項24に記載の装置。
【請求項38】
前記認証記憶手段が、前記データ処理装置に結合可能なキャリアを提供される、請求項18から29のいずれか一項に記載の装置。
【特許請求の範囲】
【請求項1】
複数のユーザのうちのいずれか1つによるデータ処理装置(10)との後続のトランザクションを認証する認証処理を実行する方法であって、
前記認証処理中に、前記ユーザのめいめいの複数の認証記憶手段(12)の選択された1つを前記データ処理装置(10)に機能的に関連付ける前記ステップであって、各認証記憶手段(12)が、所定の認証情報を保管し、前記ユーザがそれに関するめいめいの遠隔通信端末を有する共通遠隔通信システム(16)に登録可能である、ステップと、
前記共通遠隔通信システム(16)との通信リンク(19)を介して認証処理を実行する前記ステップとを含み、
前記認証処理が、前記遠隔通信システム(16)に組み込まれた認証手段(18;102)によって実行され、前記選択された1つの認証記憶手段(12)によって保管される前記所定の認証情報の前記使用を含み、各認証記憶手段(12)によって保管される前記所定の認証情報が、前記遠隔通信システム(16)に関してそのユーザの遠隔通信端末を認証するのに使用される情報に対応するが、前記データ処理装置(10)とのそのユーザによる前記トランザクションを認証する前記認証処理が、そのユーザの遠隔通信端末の使用を必要とせず、前記遠隔通信システム(16)に関してその情報によって前記遠隔通信端末が実際に認証されることを必要としない、方法。
【請求項2】
前記認証記憶手段(12)が、前記データ処理装置(10)による使用のためのデータまたはソフトウェアに関連付けられることによって、前記データ処理装置(10)に関連する、請求項1に記載の方法。
【請求項3】
前記認証記憶手段(12)が、前記データまたはソフトウェア用のデータキャリアに組み込まれる、請求項2に記載の方法。
【請求項4】
前記認証記憶手段(12)が、処理手段を含む、請求項1に記載の方法。
【請求項5】
各ユーザが、スマートカードまたはサブスクライバ・アイデンティティ・モジュール(たとえばSIM)の前記使用によって前記遠隔通信システム(16)内で認証され、そのユーザのめいめいの前記認証記憶手段(16)が、そのユーザの前記スマートカードに対応するかこれをシミュレートする、請求項4に記載の方法。
【請求項6】
前記認証処理が、メッセージの前記送信ならびに前記メッセージおよび前記所定の情報に依存する応答の前記生成を含む、請求項1乃至6のいずれか一項に記載の方法。
【請求項7】
認証される時に前記トランザクションに関する料金を徴収するステップを含む、請求項1乃至6のいずれか一項に記載の方法。
【請求項8】
前記料金を徴収する前記ステップが、前記システム(16)によって実行される、請求項7に記載の方法。
【請求項9】
前記データ処理装置(10)が、パーソナルコンピュータである、請求項1乃至8のいずれか一項に記載の方法。
【請求項10】
前記認証記憶手段(12)が、前記トランザクションを認証するために無線で通信する、請求項1から9のいずれか一項に記載の方法。
【請求項11】
前記認証記憶手段(12)が、前記システム(16)内で使用される前記ユーザの遠隔通信端末を認証するように動作可能であるスマートカードまたはSIMである、請求項5に記載の方法。
【請求項12】
前記認証記憶手段(12)が、前記データ処理装置(10)に結合可能なキャリア(32)を提供される、請求項1から11のいずれか一項に記載の方法。
【請求項13】
ユーザのめいめいの、データ処理装置(10)との前記ユーザによる後続トランザクションを認証するための認証処理の前記実行に関する所定の認証情報をそれぞれが保管する複数の認証記憶手段(12)の選択された1つと組み合わされる前記データ処理装置(10)であって、前記認証記憶手段(12)のすべてが、前記ユーザがそれに関するめいめいの遠隔通信端末を有する共通遠隔通信システムに登録可能であり、前記認証記憶手段(12)が、前記データ処理装置(10)に機能的に関連する時に、前記システムとの通信リンク(19)を介して前記認証処理を実行するように動作し、前記認証処理が、前記システム(10)に組み込まれた認証手段(18;102)によって実行され、前記選択された1つの認証記憶手段(12)によって保管される前記所定の情報の前記使用を含み、各認証記憶手段(12)によって保管される前記所定の認証情報が、前記遠隔通信システム(16)に関してそのユーザの遠隔通信端末を認証するのに使用される情報に対応するが、前記データ処理装置(10)とのそのユーザによる前記トランザクションを認証する前記認証処理が、そのユーザの遠隔通信端末の使用を必要とせず、前記遠隔通信システム(16)に関してその情報によって前記遠隔通信端末が実際に認証されることを必要としない、データ処理装置。
【請求項14】
前記認証記憶手段(12)が、処理手段を含む、請求項13に記載の装置。
【請求項15】
各ユーザが、スマートカードまたはサブスクライバ・アイデンティティ・モジュール(たとえばSIM)の前記使用によって前記遠隔通信システム(16)内で認証され、そのユーザのめいめいの前記認証記憶手段(16)が、そのユーザの前記スマートカードに対応するかこれをシミュレートする、請求項13または14に記載の装置。
【請求項16】
前記認証処理が、メッセージの前記送信ならびに前記メッセージおよび前記所定の情報に依存する応答の前記生成を含む、請求項13、14、または15に記載の装置。
【請求項17】
許可される時に前記トランザクションに関する料金を徴収する手段を含む、請求項13から16のいずれか一項に記載の装置。
【請求項18】
前記料金を徴収する前記手段が、前記共通システム(16)の一部である、請求項17に記載の装置。
【請求項19】
前記認証記憶手段(12)が、前記トランザクションを認証するために無線で通信する、請求項13から18のいずれか一項に記載の装置。
【請求項20】
前記認証記憶手段(12)が、前記システム内で使用される前記ユーザの遠隔通信端末を認証するようにさらに動作可能である前記スマートカードまたはSIMである、請求項15に記載の装置。
【請求項21】
前記認証記憶手段(12)が、前記データ処理装置(10)に結合可能なキャリア(32)を提供される、請求項13から20のいずれか一項に記載の装置。
【請求項22】
データ処理装置(10)および別々の認証手段(18;102)の前記使用を伴う認証処理の後に前記データ処理装置内でこれによって使用されるデータを担持するデータキャリアであって、前記データキャリアは、めいめいのユーザの所定の認証情報を保管する認証記憶手段(12)も組み込み、前記認証記憶手段(12)は、前記認証手段(18;102)を含み、前記ユーザがそれに関する遠隔通信端末を有する遠隔通信システム(16)に登録され、前記認証記憶手段(12)は、前記ユーザによる前記データ処理装置との、前記データキャリアによって担持される前記データの使用を伴う後続トランザクションを認証するために、前記認証手段(18;102)が前記システム(16)内の前記認証手段(18;102)との通信リンク(19)を介して前記認証処理を実行することを可能にするために前記入力メッセージおよび前記認証情報に依存する応答を導出するために入力メッセージに応答し、前記認証記憶手段(12)によって保管される前記所定の認証情報は、前記遠隔通信システム(16)内でのそのユーザの遠隔通信端末の使用に関して前記遠隔通信システム(16)に登録された前記ユーザを認証するのに使用される情報に対応するが、前記データ処理装置(10)とのそのユーザによる前記トランザクションを認証する前記認証処理は、前記ユーザの遠隔通信端末の使用を必要とせず、前記遠隔通信端末が前記遠隔通信システム(16)に関してその情報によって実際に認証されることを必要としない、データキャリア。
【請求項23】
前記認証記憶手段が、スマートカードの前記形のめいめいのsubscriber identity modules(SIM)に対応するかこれをシミュレートする、請求項22に記載のデータキャリア。
【請求項24】
前記データキャリアによって担持される前記データが、ソフトウェアを含む、請求項22または23に記載のデータキャリア。
【請求項25】
前記認証記憶手段(12)が、前記トランザクションを認証するために無線で通信する、請求項22から24のいずれか一項に記載のデータキャリア。
【請求項26】
前記認証記憶手段(12)が、前記システムでの使用のために前記ユーザの遠隔通信端末を認証するようにさらに動作する前記スマートカードまたはSIMである、請求項23に記載のデータキャリア。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図7C】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図7C】
【公表番号】特表2006−506756(P2006−506756A)
【公表日】平成18年2月23日(2006.2.23)
【国際特許分類】
【出願番号】特願2005−501311(P2005−501311)
【出願日】平成15年10月9日(2003.10.9)
【国際出願番号】PCT/GB2003/004390
【国際公開番号】WO2004/036513
【国際公開日】平成16年4月29日(2004.4.29)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
Bluetooth
【出願人】(504456972)ヴォウダフォン・グループ・ピーエルシー (12)
【Fターム(参考)】
【公表日】平成18年2月23日(2006.2.23)
【国際特許分類】
【出願日】平成15年10月9日(2003.10.9)
【国際出願番号】PCT/GB2003/004390
【国際公開番号】WO2004/036513
【国際公開日】平成16年4月29日(2004.4.29)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
Bluetooth
【出願人】(504456972)ヴォウダフォン・グループ・ピーエルシー (12)
【Fターム(参考)】
[ Back to top ]