ネットワークベースの認証
【課題】ローカルエリアネットワークの改変を必要とせずに、アプリケーション層認証をサポートする装置および方法を提供する。
【解決手段】認証モジュールと、アプリケーションソフトウェアと、データ通信ネットワークを介して、リモートサーバと通信するインターフェースとを備え、該アプリケーションソフトウェアは、該認証モジュールを用いて、該リモートサーバにアプリケーション層相互作用を認可する命令を含む装置。
【解決手段】認証モジュールと、アプリケーションソフトウェアと、データ通信ネットワークを介して、リモートサーバと通信するインターフェースとを備え、該アプリケーションソフトウェアは、該認証モジュールを用いて、該リモートサーバにアプリケーション層相互作用を認可する命令を含む装置。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の引用)
本出願は、米国指定のPCT出願PCT/US/2005/025353(発明の名称:「PRESENCE DETECTION AND HANDOFF FOR CELLULAR AND INTERNET PROTOCOL TELEPHONY」、国際公開第2006/020168号A2パンフレットとして、2006年2月23日に公開)に関連し、該出願の内容は、本明細書にて、参考として援用される。
【0002】
(背景)
本明細書は、ネットワークベースの認証(authentication)に関する。
【背景技術】
【0003】
GSMセルラ電話システムは、例えば、ユーザの移動電話(MS、移動局)内の加入者識別モジュール(SIM)を用いて、そのMSとの電話コールを確立する前に認証を行う。一つのアプローチにおいて、AuC(認証センター)とともにHLR(ホームロケーションレジスタ)HLR内に登録されている各ユーザに対し、SIMを用いて、秘密認証データ(例えば、秘密キーKi)を分かち合う。
【0004】
SIMは、秘密認証データを開示しないように設計され、AuC/HLRも、また、そのデータを保護する。コールに対して認証が必要とされるとき、MSを扱っているネットワークのMSC(移動交換センタ)は、AuC/HLRからデータをリクエストする。このデータは、一般に「三つ組(triplet)」と称され、RAND、SRESおよびKcからなる。RANDは、乱数であり、これがKiと組み合わさって、MS内のSIMに知られた秘密認証データは、SRES(署名応答)およびKc(機密性キー)を生成し得る。MSCは、RANDをMSに渡し、このMSは、SIMカードによるRANDの暗号化処理を用いて、SRESおよびKcを生成する。このMSは、MSCにSRESを返信する。MSCは、自身がAuC/HLRから受信したSRESの値と、自身がMSから受信した値とを比較し、この両者が合致すれば、MSCは、MSが認証されたものとして扱う。次いで、MSCとMSとは、両者が共有し、今や知っているセッションキーKcに基づいて、安全に通信する。GSMネットワークにおいて、Kcは、MSCから基地トランシーバ局に送信され、無線チャネルを暗号化/解読できるようになる。
【0005】
SIMは、ユーザが電話を変更したとき、電話から電話へと移動され得る取り外し可能なカードとして、典型的に実行され得る。SIMカードは、ユーザに対して個人的であるデータ(例えば、電話番号簿、コール履歴、およびテキストまたは音声メッセージを含む)に対するストレージを含み得る。
【0006】
SIM機能は、コンピュータベースのデバイスの中に組み込まれ、例えば、安全な商取引のために使用される。例えば、商用サーバは、GSMネットワークで使用されるのと同様な交換において、クレジットカードを認証し得る。
【0007】
SIM機能は、また、無線ネットワークに対するアクセス制御に対して使用されている。
この無線ネットワークにおいて、無線ネットワークに対する認証サーバ(例えば、RADIUSプロトコルを用いて無線デバイスと相互作用するサーバ)は、無線電話ネットワークのHLR/AuC機能を用いて通信し、(RAND、SRES、Kc)三つ組を受信する。この認証サーバは、この三つ組を用いて無線デバイスにネットワークアクセスを提供するかどうかを判断する。一部のこのようなアプローチにおいて、EAP(拡張可能認証プロトコル)−SIMおよび802.1xプロトコルが、無線デバイスと認証サーバとの間で使用される。このようなアプローチにおけるSIM機能は、コンピュータの中に挿入するUSBまたはPCMCIAカードの中に組み込まれ、このコンピュータは、無線ネットワークにアクセスするために認証されるように求め得る。
【発明の開示】
【課題を解決するための手段】
【0008】
(発明の概要)
(項目1)
認証モジュールと、
アプリケーションソフトウェアと、
データ通信ネットワークを介して、リモートサーバと通信するインターフェースと
を備え、
該アプリケーションソフトウェアは、該認証モジュールを用いて、該リモートサーバとのアプリケーション層相互作用を認可する命令を含む、装置。
(項目2)
上記装置は、コンピュータシステムに、取り外し可能なように取り付け可能である、項目1に記載の装置。
(項目3)
上記インターフェースは、汎用シリアルバス(USB)インターフェースを備える、項目1に記載の装置。
(項目4)
上記アプリケーションソフトウェアは、上記コンピュータシステム上で実行するためのものである、項目2に記載の装置。
(項目5)
上記アプリケーションソフトウェアは、通信アプリケーションに対する命令を含む、項目1に記載の装置。
(項目6)
上記通信アプリケーションは、ソフトフォンアプリケーションを備える、項目5に記載の装置。
(項目7)
上記通信アプリケーションは、複数の移動電話デバイスのうちの1つをエミュレートするように構成可能なユーザインターフェースを備える、項目5に記載の装置。
(項目8)
上記認証モジュールは、移動電話ネットワークにおける認証と互換性を有するモジュールを備える、項目1に記載の装置。
(項目9)
上記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを備える、項目8に記載の装置。
(項目10)
上記アプリケーション層相互作用は、音声通信相互作用を備える、項目1に記載の装置。
(項目11)
上記アプリケーション層相互作用は、登録相互作用を備える、項目1に記載の装置。
(項目12)
上記登録相互作用は、セッション開始プロトコル(SIP)相互作用を含む、項目11に記載の装置。
(項目13)
上記認証モジュールを用いて、上記アプリケーション層相互作用を認可する上記命令は、電話ネットワーク認証システム経由で認証を引き起こす命令を含む、項目1に記載の装置。
(項目14)
位置決めシステムをさらに備える、項目1に記載の装置。
(項目15)
上記位置決めシステムは、グローバルポジショニングシステム(GPS)を備える、項目14に記載の装置。
(項目16)
上記アプリケーションソフトウェアは、上記位置決めシステムにアクセスする命令と、上記データ通信ネットワークを介するロケーション情報を提供する命令とを備える、項目14に記載の装置。
(項目17)
取り外し可能なデバイスから実行可能なソフトウェアをロードすることと、
ソフトウェアを実行することであって、
該取り外し可能なデバイス上の認証モジュールにアクセスすることと、
データ通信ネットワークを介してリモートサーバと通信することと、
該認証モジュールを用いて、該リモートサーバとのアプリケーション層相互作用を認可することと
を含む、ソフトウェアを実行することと
を包含する、方法。
(項目18)
上記ソフトウェアを実行することは、上記取り外し可能なデバイスが取り付けられる移動コンピュータシステム上で実行される、項目17に記載の方法。
(項目19)
上記取り外し可能なデバイスを上記コンピュータシステムに取り付けることをさらに包含する、項目18に記載の方法。
(項目20)
上記ソフトウェアを実行することは、通信アプリケーションを実行することを包含する、項目17に記載の方法。
(項目21)
上記通信アプリケーションを実行することは、ソフトフォンアプリケーションを実行することを包含する、項目20に記載の方法。
(項目22)
データ通信ネットワークを介して、クライアントからアプリケーション層リクエストを受信することと、
電気通信ネットワークを介する認証サービスを用いて、該クライアント向けの認証交換を実行することであって、該クライアント向けの認証データを受信することを含む、認証交換を実行することと、
該認証データを用いて、該データ通信ネットワークを介して、該クライアントと認証交換を実行することと
を包含する、方法。
(項目23)
上記アプリケーション層リクエストを受信することは、セッション開始リクエストを受信することを含む、項目22に記載の方法。
(項目24)
上記セッション開始リクエストを受信することは、セッション開始プロトコル(SIP)登録リクエストを受信することを含む、項目23に記載の方法。
(項目25)
上記電気通信ネットワークを介して上記認証交換を実行することは、該電気通信ネットワークにアクセスする移動局用の認証交換をエミュレートすることを含む、項目22に記載の方法。
(項目26)
上記クライアントと上記認証交換を実行した後に、上記データ通信ネットワークおよび上記電気通信ネットワークを経由して、該クライアント向けの通信サービスを提供することをさらに包含する、項目22に記載の方法。
(項目27)
コンテンツ配給業者で、データ通信ネットワークを介して、クライアントデバイスからコンテンツリクエストを受信することと、
該コンテンツ配給業者と認証サービスとの間の該クライアントデバイスに対し、認証交換を実行することであって、該コンテンツ配給業者で、該クライアントデバイスに対する認証データを受信することを含む、認証交換を実行することと、
該認証データを用いて、該クライアントデバイスに安全にコンテンツを分配することと
を包含する、方法。
(項目28)
上記クライアントデバイスに上記コンテンツを安全に分配することは、上記認証サービスと該クライアントデバイスとの間で共有される秘密情報に基づいて、暗号化を実行することを包含する、項目27に記載の方法。
(項目29)
上記認証サービスと上記クライアントデバイスとの間で共有される上記秘密情報は、上記クライアントデバイスで、認証モジュール上に格納された情報を含む、項目28に記載の方法。
(項目30)
上記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを備える、項目29に記載の方法。
(項目31)
上記認証サービスは、上記クライアントデバイスの製造業者、移動ネットワークオペレータ、クレジットカード会社、コンピュータまたはソフトウェアの会社、およびメディア販売業者のうちの少なくとも1つと関連する、項目27に記載の方法。
(項目32)
1つ以上の認証センタと、
該認証センタと通信する複数のコンテンツ配給業者であって、該コンテンツ配給業者のうちの少なくとも一部は、該認証センタのうちの共通の1つの認証センタと通信中する、複数のコンテンツ配給業者と、
複数のクライアントデバイスであって、各クライアントデバイスは、該コンテンツ配給業者の1つ以上からコンテンツを安全に受信するように構成され、各クライアントデバイスは、該コンテンツ配給業者に該クライアントデバイスを認証するために使用する認証モジュールを含む、複数のクライアントデバイスと
を備え、
各コンテンツ配給業者は、該認証センタのうちの1つと、クライアントデバイスとの認証交換とを用いて、該クライアントデバイスを認証し、
該クライアントデバイスに送信するために、コンテンツを暗号化して安全にするように構成され、該安全にされたコンテンツが、そのクライアントで、該認証モジュールを用いてアクセス可能になる、権利管理システム。
(項目33)
上記クライアントデバイスでの上記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも1つを備える、項目32に記載の権利管理システム。
【0009】
(要旨)
一局面において、一般的に、サーバからリモートにあるデータネットワークベースのアプリケーション層認証が、該アプリケーションにアクセス可能なSIM機能と、該サーバにアクセス可能な電話ネットワーク認証サービスとを利用する。一部の例において、該アプリケーションは、該サーバと通信するために、SIP(セッション開始プロトコル)を使用し、該認証サービスは、GSMベースの電話ネットワーク経由で提供される。
【0010】
別の局面において、一般的に、装置(apparatus)は、認証モジュールと、アプリケーションソフトウェアと、データ通信ネットワークを介して、リモートサーバと通信するインターフェースとを含む。該アプリケーションソフトウェアは、該認証モジュールを用いて、該リモートサーバにとのアプリケーション層相互作用を認可する命令を含む。
【0011】
1つ以上の以下の特徴が、含まれ得る。
【0012】
上記装置は、コンピュータシステムに、取り外し可能なように取り付け可能である。例えば、上記インターフェースは、汎用シリアルバス(USB)インターフェースを含む。
【0013】
上記アプリケーションソフトウェアは、上記コンピュータシステム上で実行するためのものである。
【0014】
上記アプリケーションソフトウェアは、通信アプリケーションに対する命令を含む。例えば、該通信アプリケーションは、ソフトフォンアプリケーションを備える。該通信アプリケーションは、複数の移動電話デバイスのうちの1つをエミュレートするように構成可能なユーザインターフェースを含み得る。
【0015】
上記認証モジュールは、移動電話ネットワークにおける認証と互換性を有するモジュールを含む。例えば、該認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを含む。
【0016】
上記アプリケーション層相互作用は、音声通信相互作用を含む。
【0017】
上記アプリケーション層相互作用は、登録相互作用を含む。例えば、該登録相互作用は、セッション開始プロトコル(SIP)相互作用を含む。
【0018】
上記認証モジュールを用いて、上記アプリケーション層相互作用を認可する上記命令は、電話ネットワーク認証システム経由で認証を引き起こす命令を含む。
【0019】
上記装置は、位置決めシステムをさらに含む。例えば、該位置決めシステムは、グローバルポジショニングシステム(GPS)を含む。
【0020】
上記アプリケーションソフトウェアは、上記位置決めシステムにアクセスする命令と、上記データ通信ネットワークを介するロケーション情報を提供する命令とを含む。
【0021】
別の局面において、実行可能なソフトウェアが、取り外し可能なデバイスからロードされる。該ソフトウェアが実行される。この実行は、該取り外し可能なデバイス上の認証モジュールにアクセスすることと、データ通信ネットワークを介してリモートサーバと通信することと、該認証モジュールを用いて、該リモートサーバにアプリケーション層相互作用を認可することとを含む。
【0022】
1つ以上の以下の特徴が、含まれ得る。
【0023】
上記ソフトウェアを実行することは、上記取り外し可能なデバイスが取り付けられる移動コンピュータシステム上で実行される。
【0024】
上記取り外し可能なデバイスは、上記コンピュータシステムに取り付けられる。
【0025】
上記ソフトウェアを実行することは、通信アプリケーションを実行することを含む。例えば、該通信アプリケーションは、ソフトフォンアプリケーションを含む。
【0026】
別の局面において、一般的に、アプリケーション層リクエストが、データ通信ネットワークを介して、クライアントから受信される。認証交換が、電気通信ネットワークを介する認証サービスを用いて、該クライアントに対し実行される。この交換は、該クライアント向けの認証データを受信することを含む。該認証データは、該データ通信ネットワークを介して、該クライアントと認証交換を実行するために使用される。
【0027】
1つ以上の以下の特徴が、含まれ得る。
【0028】
上記アプリケーション層リクエストを受信することは、セッション開始リクエストを受信することを含む。例えば、該セッション開始リクエストは、セッション開始プロトコル(SIP)登録リクエストを受信することを含む。
【0029】
上記電気通信ネットワークを介して上記認証交換を実行することは、該電気通信ネットワークにアクセスする移動局用の認証交換をエミュレートすることを含む。
【0030】
上記クライアントと上記認証交換を実行した後に、通信サービスが、上記データ通信ネットワークおよび上記電気通信ネットワークを経由して、該クライアントに対して提供される。
【0031】
別の局面において、一般的に、コンテンツリクエストが、コンテンツ配給業者で、データ通信ネットワークを介して、クライアントデバイスから受信される。認証交換は、該コンテンツ配給業者と認証サービスとの間の該クライアントデバイスに対して実行される。この交換は、該コンテンツ配給業者で、該クライアントデバイスに対する認証データを受信することを含む。該認証データは、コンテンツを該クライアントデバイスに安全に分配するために使用される。
【0032】
1つ以上の以下の特徴が、含まれ得る。
【0033】
上記クライアントデバイスに上記コンテンツを安全に分配することは、上記認証サービスと該クライアントデバイスとの間で共有される秘密情報に基づいて、暗号化を実行することを含む。例えば、該認証サービスと該クライアントデバイスとの間で共有される該秘密情報は、該クライアントデバイスで、認証モジュール上に格納された情報を含む。該認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを含み得る。
【0034】
上記認証サービスは、上記クライアントデバイスの製造業者、移動ネットワークオペレータ、クレジットカード会社、コンピュータまたはソフトウェアの会社、およびメディア販売業者のうちの少なくとも1つと関連する。
【0035】
別の局面において、一般的に、権利管理システムは、1つ以上の認証センタと、該認証センタと通信中の一式のコンテンツ配給業者であって、該コンテンツ配給業者のうちの少なくとも一部は、該認証センタのうちの共通の1つの認証センタと通信する、複数のコンテンツ配給業者とを含む。複数のクライアントデバイスは、各クライアントデバイスが、該コンテンツ配給業者の1つ以上からコンテンツを安全に受信するように構成され、各クライアントデバイスが、該コンテンツ配給業者に該クライアントデバイスを認証するために使用する認証モジュールを含む、複数のクライアントデバイスとを含む。各コンテンツ配給業者は、該認証センタのうちの1つと、クライアントデバイスとの認証交換とを用いて、該クライアントデバイスを認証し、該クライアントデバイスに送信するために、コンテンツを暗号化して安全にするように構成され、該安全にされたコンテンツが、そのクライアントで、該認証モジュールを用いてアクセス可能になる。該クライアントデバイスでの該認証モジュールは、例えば、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも1つを含む。
【0036】
インプリメンテーションは、1つ以上の以下の利点を有し得る。
【0037】
SIMを用いるアプリケーション層通信の認証によって、おそらく異なるメカニズムを用いて、アクセスの制御からアプリケーション機能まで、ネットワーク接続性が個別に制御されることを可能になる。
【0038】
SIMを用いて新たなキーを繰り返し生成し、メディアストリームを保護することによって、全体のセッションに対して単一のキーを用いることに比べ、より良好なセキュリティが提供され得る。例えば、安全なVoIPコールは、SIMによって生成され、SIP信号伝達および/またはRTPデータストリームを保護するために使用されるキーを頻繁に変更して利用し得る。
【0039】
ローカルエリアネットワークのインフラの改変は、アプリケーション層認証をサポートするために必ずしも必要とされない。例えば、無線デバイスは、プロキシ認証サービスのようなデバイスを一切必要とせずに、無線通信ネットワークを介して、例えば、公共の場で無線LANに参加し得、認証された通信を個別に確立し、ローカルネットワーク上に存在し得る。
【0040】
ユーザは、通信アプリケーションとSIM機能との双方を保持するパーソナルドングルを有し得る。これによって、ユーザは、このような通信に対するサポートが元々なかったコンピュータから安全な通信を確立することができる。例えば、ユーザは、ネットワーク化されたコンピュータに対するアクセスを有し得、このようなUSBドングルを挿入することによって、このドングルに格納されたアプリケーションを実行し得、このドングル上でSIM機能を用いてアプリケーションを認証し得る。これは、たとえ、そのコンピュータが、そのアプリケーションまたは認証へのアプローチに対して特定のサポートを一切有しなくても行われ得る。
【0041】
オープンな権利管理システムが、確立され得、このシステムにおいて、認証センタは、コンテンツ配給業者から分離される。例えば、各演出デバイス(例えば、音楽プレイヤ)は、対応する認証センタと関連し得る。コンテンツ配給業者が、演出デバイスを認証する必要があるとき、コンテンツ配給業者は、そのデバイスに対して適切な認証センタを用いる。このように、コンテンツ演出デバイスのユーザは、使用するコンテンツ配給業者が、適切な認証センタを用いることができる限り、特定のコンテンツ配給業者のいずれとも結び付けられない。
【0042】
他の特徴および利点は、以下の説明および請求項から明らかになる。
【0043】
データネットワークベースのアプリケーションのアプリケーション層認証は、アプリケーションにアクセス可能なSIM機能と、該アプリケーションへのサーバにアクセス可能な電話ネットワーク認証サービスとを利用する。例えば、アプリケーションは、サーバと通信するために、SIP(セッション開始プロトコル)を用い、認証サービスは、GSMベースの電話ネットワーク経由で提供される。一つのインプリメンテーションにおいて、デバイス(「ドングル」)は、認証モジュールと、アプリケーションソフトウェアと、データ通信ネットワークを介してリモートサーバと通信するためのインターフェースとを含む。このアプリケーションソフトウェアは、認証モジュールを用いて、リモートサーバとのアプリケーション層相互作用を認可する命令を含む。
【発明を実施するための最良の形態】
【0044】
(詳細な説明)
図1を参照すると、「ドングル」100は、ラップトップパーソナルコンピュータなどのクライアントコンピュータ200(図2参照)とともに使用されるように構成される。(「ドングル」は、典型的には、セキュリティまたは認証デバイスを含む。このデバイスは、コンピュータなどの他のデバイスのポートの中に差し込まれるか、またはさもなければ他のデバイスに接続されるかによって、デバイス上の特定の機能を可能にする。)この例において、ドングル100は、コンピュータとの通信用USB(汎用シリアルバス)インターフェース110を使用する。USBインターフェース110が、電気的信号プロトコルサポートを提供することで、コンピュータは、ドングル上の機能と通信し、これらの機能にアクセスすることが可能になる。例えば、USBインターフェース110が、ストレージデバイス(例えば、ディスクドライブ)インターフェースを提供することで、コンピュータは、例えば、ディスクフォーマットに従って(例えば、ファイルおよびディレクトリなどで)フォーマット化されたドングル100上の不揮発性メモリ120(例えば、フラッシュメモリ)にアクセスすることが可能になる。USBインターフェース110は、また、ドングルの中に組み込まれた(あるいは、代替的にドングルの中で使用される別個のSIMカードとして取り外し可能なように挿入された)SIM130に対するSIMデバイスインターフェースを提供する。SIMデバイスインターフェースは、例えば、コンピュータからRANDを提供するため、ならびに、SIM内のプロセッサ132によって計算され、RAND、およびSIM130内の秘密認証データ134に依存するSRESおよびKcを戻すためのメカニズムを含む機能性を提供する。
【0045】
ドングル100上のメモリ120は、ドングルが取り付けられるコンピュータ上で実行され得るアプリケーション122を含む。例えば、アプリケーションは、実行可能な命令を含む一つ以上のファイル(例えば、Microsoft Windows(登録商標)オペレーティングシステムの一つのバージョンの下で実行される.exeファイルおよび.dllファイル)、ならびに実行するアプリケーションによって使用される構成ファイルを含み得る。アプリケーションは、他のオペレーティングシステム(例えば、Apple Mac OS X)または他のオペレーティング環境(例えば、JAVA(登録商標) Virtual Machine)用の適切なバージョンを、代替として、または追加として含み得る。
【0046】
メモリ120は、ユーザに特定であるユーザデータ124も含み得る。例えば、そのようなデータは、ユーザのアドレス帳、および/または通信アプリケーションに関連する情報を含み得る。メモリ120は、また、SIMによってアクセスされるSIMデータ126も含み得る。あるいは代替的に、そのようなSIMデータは、SIMの範囲内において保持され得る。これは、例えば、SIMが取り外し可能なカードの場合においてである。
【0047】
一部の例において、ドングル100は、ドングルの地理的ロケーションを決定し得るGPS受信機140も含む。一部の例において、ロケーション情報は、ユーザデータ124内に格納され、後に、USBインターフェース110を介してアクセスされる。これは、USBインターフェース110経由でアクセスされ得る。一部の例において、GPSで受信された140におけるロケーション情報は、USBインターフェース110を介して直接アクセスされる。
【0048】
図2を参照すると、クライアントコンピュータ200は、ネットワーク251への無線アクセスポイント250経由で、無線通信を確立している。例えば、アクセスポイント250は、コンピュータをローカルエリアネットワークに結合する。このローカルエリアネットワークは、(例えば、LAN上のDHCP(動的ホスト構成プロトコル)サーバを使用して)インターネットプロトコルホストアドレスを有するコンピュータを提供し、公衆インターネットへのゲートウェーのようなワイドエリアIPネットワークへのゲートウェーを提供する。ローカルネットワークは、ドングルによって提供される機能性を特に利用するようには、必ずしも構成されなくてもよい。例えば、ローカルネットワークは、インターネットへの公衆アクセスを無料または有料で提供するインターネットの「ホットスポット」または「カフェ」であり得る。
【0049】
一部の例S1において、ドングル100上に格納された通信アプリケーション122(図1参照)は、ボイスオーバーIP通信アプリケーション(例えば、「ソフトフォン」)である。このような例において、ユーザは、ドングル100をクライアントコンピュータ200の中に挿入する。ユーザは、ドングルのメモリ120へのアクセスを有し、例えば、メモリ内に表示されたファイルシステムを手動でナビゲートすることによって、通信アプリケーションを実行する。代替として、通信アプリケーションは、オペレーティングシステムがコンピュータ200のUSBインターフェースの中にドングルが挿入されたことを検出した結果として、「自動実行」する。
【0050】
通信アプリケーションを実行することは、コンピュータのディスプレイ220上のユーザインターフェース222(例えば、電話ダイヤルキーパッドを示す)に表示する。コンピュータは、また、実行アプリケーションに結合されるオーディオ入力/出力デバイス210も有し、例えば、アプリケーションのユーザに対し、スピーチの入力/出力インターフェースを提供する。一部の例において、ソフトフォンアプリケーションは、ユーザインターフェースが、物理的な移動電話モデル(例えば、アプリケーションのユーザが所有する別の電話)に合致するように構成可能である。
【0051】
図3を参照すると、コールを発信または受信するために、クライアントコンピュータ200上で実行する通信アプリケーションは、ゲートウェー(NCG)310と登録する。このNCG310は、無線アクセスポイント250経由でコンピュータ200と通信するインターネット340と、無線ネットワーク内の機能と通信する無線陸上ネットワーク350との双方に結合される。この例において、ゲートウェー310は、標準GSM/MAP/SS7プロトコルを用いて、ネットワークエレメントと通信する。認証サービス320は、この例において、AuC(認証センタ)323とともにHLR(ホームロケーションレジスタ)322によって提供され、ネットワーク350に結合される。
【0052】
参考として援用されるPCT出願「PRESENCE DETECTION AND HANDOFF FOR CELLULAR AND INTERNET PROTOCOL TELEPHONY」に記載されたアプローチにおいて、ゲートウェー310(また、「ネットワーク収束ゲートウェー(NCG)」とも称される)は、コンピュータ200上で稼動するVoIPアプリケーションが、アプリケーションとゲートウェー310との間のSIPプロトコルを用いて、コールを発信および受信することを可能にする。その間、ゲートウェーは、無線ネットワーク技術を用いて、無線ネットワーク内でコールを発信し、維持する。
【0053】
NCG310と関連する機能の説明を続ける前に、移動局(MS)300(例えば、電話)の従来式認証が、記載される。MS300が、MSと無線ネットワークとの間の接続性をBS(基地局)経由で提供しているMSC(移動交換センタ)330によって認証される必要があるとき、MSCは、MSを識別する情報を、典型的には、その電話に対するIMSI(国際移動加入者識別子)を受信する。MSCは、IMSIを認証サービス320に送信し、認証サービス320は、(RAND、SRES、Kc)三つ組をMSC330に返す。MSCはRANDを電話330に送信し、電話330は、RANDを電話の中のSIMカード302に渡す。SIMカード302は、SRESおよびKcを電話に返し、この電話は、SRESのみをMSCに転送し戻す。MSC認証は、認証サービスからのSRESと、電話からのSRESとが合致するかどうかを認証する。MSCは、認証サービスからのSRESと、電話からのSRESとが合致する場合、電話を認証する。
【0054】
図4を参照すると、クライアントコンピュータ200上で実行する通信アプリケーション122の場合、交換の関連シーケンスが実行される(以下のカッコ内の参照番号は、図4に示されるメッセージまたはステップを表す)。図4において、クライアントコンピュータは、既にインターネットを介するネットワーク接続性を有し、標準IPおよびUDP/TCPベースの通信を用いて、NCG310にアクセスし得ることに留意されたい。通信アプリケーションの実行の最初のステップとして、アプリケーションは、リクエストをドングル100に送信して、アプリケーションが登録すべきNCGサーバ310のアイデンティティを読む。ドングル100は、例えば、IMSI@nomadic.com.のように、アプリケーションが登録すべきSIPアイデンティティを戻す。通信アプリケーション122は、次いで、SIPアイデンティティを含むSIP登録メッセージをNCG310に送信する(420)。NCGは、SIMベースの認証が要求されると判断する。これは、例えば、その認証が全てのSIP登録に対して要求されるから、あるいは、このような認証がこのクライアントに要求されると識別する構成データに基づいて要求されるからである。MSC330(図3参照)と認証サービス320との間で使用されるのと同じプロトコルを用いて、NCG310は、SIM用のIMSIを認証サービス320に送信し(430)、それと引き換えに、認証サービスは、(RAND、SRES、Kc)三つ組を戻す(432)。例えば、より長い、または追加のキーKcが必要とされる場合、複数の三つ組が、複数のメッセージ432で戻され得る。NCGは、登録リクエストに、「407は認可されず、要認証」というSIPメッセージを通信アプリケーションに返答する(422)。
【0055】
NCG310から通信アプリケーション122への返答422には、RAND、次の登録リクエストでデータに付与するためのハッシュ(hash)アルゴリズム(例えば、SIMv1−MD5)の識別子、およびRANDおよびサーバ特定の情報に依存するNonceを含む。通信アプリケーション122は、返答(422)を受信し、NonceからRANDを抽出し、RANDをドングル100に渡す(440)。それと引き換えに、ドングルは、SRESおよびKcを通信アプリケーション122に戻す(442)。通信アプリケーション122は、SRESを用いて、新たな登録リクエストに対するパスワードを計算する(450)。NCGは、同じ値のSRESを用いて、ハッシュを計算する(452)。通信アプリケーション122は、計算されたパスワードを含むSIP登録リクエストをNCGに送信する(460)。NCGは、パスワードを比較して(468)、パスワードが合致した場合、通信アプリケーションを認証する。NCG310は、ロケーション更新リクエスト(470)をSS7経由でHLRに送信し、このHLRは、NCGを介して配信されるべきユーザに電話コールを生じさせる。HLRは、加入者データをリクエストし得(474)、これに、NCGが返答を提供する(476)。HLRは、ロケーション更新を確認する(472)。この時点で、NCGは、SIP登録リクエストにOKメッセージを添えて応答する(462)。
【0056】
この時点で、NCG310と通信アプリケーション122は、AuC/HLRによって提供されるRANDから計算されたセッションキーKcの知識を共有する。このキーは、通信アプリケーションとNCGとの間に通信を暗号化するために、随意に使用される。例えば、VoIPコールが、通信アプリケーションとNCGにあるメディアサーバとの間のRTP(リアルタイムプロトコル)メディアセッションを用いて確立されるとき、セッションキーKcは、データを保護するために、随意に使用される。同じKcは、NCGとの通信アプリケーションが登録されている間にわたって使用され得る。NCGは、承認サービス320から(三つ組の一部として)受信された新たなRANDを用いて、通信アプリケーションを、定期的にチャレンジし得て、この各チャレンジへの応答を用いて、通信アプリケーションおよびNCGは、キーを更新する。それゆえ、同じキーが、長期間にわたって使用される必要はない。アクティブなVoIPコール内においてでさえ、RTPデータストリームを保護するKcの値は、例えば、毎分1回、変更されるので、コールの間にわたり同じ値のKcを使う場合に比べ、より高い暗号化保護を提供する。
【0057】
上述のSIP/SIMベースの認証は、データリンクまたはネットワーク/トランスポート層においてよりも、むしろ、アプリケーション層(すなわち、ISO層5以上)においてであり、アクセスポイント250経由で無線LAN上のクライアントコンピュータへのネットワーク接続性を確立するために使用される認証に追加として、および/または、その認証とは別としてである。
【0058】
本アプローチの一部の例において、SIMは、ドングル100内に組み込まれない。例えば、SIM機能は、マザーボードの一部としてコンピュータに内蔵され得るし、あるいは、標準SIMカードを受けるソケットの中に装備され得る。同様に、Ethernet(登録商標)に直接接続するVoIP電話は、SIM内蔵またはソケットに差し込まれたSIMカードを有し得る。これらの例のそれぞれにおいて、デバイスとNCGとの間の通信は、図4を参照して上述されたアプローチに従う。同様に、セルラ無線ネットワークでも無線LAN上でも動作し得るデュアルモード電話は、上述のようにNCGと通信するSIPベースの通信アプリケーションをホストし得る。
【0059】
ドングル100がGPS受信機140を含む例において、ロケーションデータは、例えば、SIP登録の一部として、NCG310に提供され得、次いで、HLRまたは他のネットワークエレメントに提供され得る。このロケーション情報は、例えば、緊急コール(e911コール)のために使用され、発信電話のロケーションを決定し得る。アプリケーションが実行中であるロケーションで、GPS受信が利用可能でない例において、GPS受信機140は、ドングルのユーザデータ124の中で直近に知ったロケーションを格納し得、この直近に知ったロケーションが、ネットワークエレメントに提供され得る。
【0060】
図3を再び参照すると、NCGは、ユーザの個人データに関連する追加サービスを提供し得る。図3において、ユーザは、電話300およびパーソナルコンピュータ200を有し得る。これらの双方は、コンタクト(電話番号簿)データベース、コール履歴、ならびに音声およびテキストメッセージなどの個人データを有し得る。電話において、このデータは、SIMカード上のSIMデータ308の中に、典型的には格納される。コンピュータにおいて、このデータは、ドングル100上に格納され得、コンピュータ自体のメモリの中に格納され得る。NCG、または別のサーバは、集中ストレージ(データベースは必要とされず、より一般的な意味)312を用いて、このユーザデータを同期化する方法を提供する。例えば、電話300は、IPベースの通信(例えば、GPRSプロトコルを用いて)を用いてNCGと通信し、そのデータをデータベースと同期化し得る。同様に、クライアントコンピュータ200は、IPを用いてデータベースと通信する。上述されたタイプのSIMベースの認証は、データを保護するために使用され得る。代替として、電話300は、SMS、USSD、あるいは他の回路交換または移動パケット交換技術を用いて通信して、そのデータをデータベースと同期化する。
【0061】
上述のアプローチは、また、通信アプリケーション以外のアプリケーションに対しても使用され得る。例えば、ドングルは、認証を要求するアプリケーションを有し得るが、層でない場合は、NCGとの相互作用をし得える。アプリケーションは、認証と共有秘密Kcの生成とのためのNCGと通信し得るが、次いで、アプリケーションは、別のサーバと相互作用するように進み得る。NCGは、サーバにクライアントアプリケーションを導入するメカニズムとして、クライアントとサーバとが安全に通信する方法を提供するための双方で、Kcをその別のサーバと共有する。サーバがクライアントに対する商取引を実行する場合、サーバは、NCGと通信し得、ゲートウェーに、無線ネットワーク内での課金サービスへのゲートウェーを提供する。例えば、クライアントアプリケーションとサーバとの間の商取引は、ユーザの無線口座に課金され得る。
【0062】
一部の例において、SIM機能性を含むユーザデバイスは、必ずしも電話またはコンピュータであるとは限らない。例えば、デバイスは、ネットワーク化されたゲーム機であり得る。このゲーム機は、NCGを認証に用い、そして、おそらく、無線ネットワーク経由の課金サービスも使用し得る。ゲーム機の場合、ドングルが使用され得る。このように、ゲームは、SIM機能性を組み込んだゲーム機を改変することなく、ネットワーク化されたゲーム機上で使用するドングルとともに配給され得る。
【0063】
一部の例において、ユーザデバイスは、例えば、認証、および/または目的変更のためにSIMを使用することに加え、デジタル権利管理(DRM)のためにSIMを使用する。図5および図6を参照すると、一部の例において、メディアプレイヤ500は、SIM530を含む。メディア配給業者610は、ネットワーク640を介して(例えば、インターネットを介して、または電気通信ネットワークを介して)、メディアプレイヤが適切なSIMを有しないと、そのメディアプレイヤがそのメディアを利用し得ないように、また、その保護されたデータが異なるSIMを有する他のメディアプレイヤでは使用され得ないように、メディアプレイヤに保護されたメディアを提供する。
【0064】
図5を参照すると、メディアプレイヤ500は、インターフェース540を有し、インターフェース540は、SIM530にチャレンジするメディア配給業者610に対する方法を提供する。例えば、通信アプリケーションの範疇で上述したように、メディアプレイヤを認証する目的のために行われる。さらに、メディア配給業者610は、プレイヤに配給されるメディアを保護するために、SIMの機能性を独立して使用し得る。
【0065】
一部の例において、各メディアプレイヤ500は、SIM530を有し、秘密(Ki)を認証センタ(AuC)600と共有する。様々な例において、AuC600は、メディアプレイヤ500の製造業者、コンピュータまたはソフトウェアの製造業者、メディア販売業者または配給業者(例えば、オンライン音楽ストア)、クレジットカード会社、および移動ネットワークオペレータ(例えば、AuC600は、通信アプリケーションの範疇において、図3に示されるようなAuC323と同じであり得る)と、関連し得る。
【0066】
一部の例において、一連の相互変更は、メディアプレイヤ500、メディア配給業者610、および認証センタ600との間で起こり得る。複数のAuC600があり得、例えば、そのそれぞれが、異なるセットのメディアプレイヤと関連し得ること、あるいは、メディアプレイヤ内に使用される異なるSIMと関連し得ることに留意されたい。一般に、複数のメディア配給業者610があり、一部の例において、それぞれは、複数の異なるAuC600を利用し得る。
【0067】
図6を参照すると、メディアプレイヤは、SIMに格納されたIMSIのような識別をメディア配給業者610に提供する。複数のAuC600の場合、メディア配給業者610は、識別を用いて、どのAuC600が、メディアプレイヤ用認証データを提供するかを決定する。メディア配給業者610は、メディアプレイヤに対する識別情報をAuC600に渡す。AuC600およびメディア配給業者610は、AuC600が配給業者に情報を提供するという条件を定めるしかるべき商用DRM契約を有する。AuCが、認証情報を配給業者610に提供することを選択したら、AuCは、自身が(RAND、SRES、Kc)三つ組を生成するための識別情報と関連して知っているKiの値を用い、この三つ組をメディア配給業者に戻す。メディアプレイヤを認証するために、メディア配給業者は、RANDをメディアプレイヤに送信し、このメディアプレイヤが、SRESを計算して、返却する。メディアプレイヤからのSRESとAuCからのSRESとが合致した場合、メディアプレイヤは、認証される。
【0068】
メディア配給業者610は、メディアキーKmで暗号化された暗号化メディア516を含むバンドル510を送信する。このメディアキーKmは、そのバンドル内のメディアに特定であるが、必ずしも、プレイヤまたはユーザに特定である必要はない。バンドル510は、また、RAND値512および暗号化されたメディアキーKm514も含む。メディアキーKm514の暗号化は、SIMで生成され、RAND512に対応するキーKcを用いて暗号化される。
【0069】
プレイヤ500が、メディアをプレイする必要があるとき、解読器520は、RAND512およびKc暗号化Km514を受け入れ、SIM530からKcを、RANDと引き換えに入手する。プレイヤ500は、Kcを用いて、Kmを解読し、次いで、Kmを用いてメディアを解読する。
【0070】
同様のDRMアプリケーションの一部の例において、サーバアプリケーションの一部の機能は、例えば、プレイヤ500と結合されたクライアントコンピュータで実行され得る。例えば、プレイヤ500は、クライアントコンピュータへのUSBインターフェースを有し得るので、クライアントコンピュータ上のアプリケーションは、アプリケーションの認証のために、プレイヤ内のSIM530を使用する。
【0071】
上述のアプローチは、代替として、汎用加入者識別モジュール(USIM)または3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)を使用する。別の例において、IS−41/SS7または3GPP2プロトコルは、CMDAまたは3GPP2ネットワークにおいて、同様のアプローチに使用される。一部の例において、標準のSIM、USIMまたはISIMを使用することは、必ずしも要求されない。例えば、他の暗号化アプローチでも、同様の結果を達成し得る。一部の例において、他のセルラ認証プロトコルが使用され得る。例えば、SIMに基づく現行のプロトコルでなく、むしろ、認証・キー契約(AKA)プロトコルを用いて行われる。同様に、セルラ電話ネットワークは、必ずしも、GSMベースのネットワークである必要はない。一部の例において、CDMAおよび3GPP2ネットワーク用と同様の暗号認証メカニズムが、使用される。一部の例において、CMDA/CAVEプロトコルが使用される。
【0072】
実施形態は、ハードウェアで、またはソフトウェアで、あるいはハードウェアとソフトウェアとの双方の組み合わせで、インプリメントされ得る。ソフトウェアコンポーネントとしては、不揮発性メモリおよび磁気または光学ディスクのようなコンピュータ可読媒体に格納された命令を含み得る。命令は、様々な種類の物理的プロセッサまたはバーチャルプロセッサ(一般目的コンピュータ、特別目的コントローラ、信号処理デバイス、命令インタープリータおよびバーチャルマシンを含む)上で実行するためのものであり得る。
【0073】
他の実施形態は、以下の請求項の範囲内に収まり得る。
【図面の簡単な説明】
【0074】
【図1】例えば、USB(汎用シリアルバス)インターフェースを経由するコンピュータで使用するドングルである。
【図2】無線アクセスポイントに結合されたクライアントコンピュータであり、この無線アクセスポイントは、クライアントコンピュータへのネットワーク接続性を提供する。
【図3】コンピュータおよび通信ネットワークシステムである。
【図4】システムのエレメント間の相互作用を示す図である。
【図5】メディアプレイヤである。
【図6】メディアプレイヤをメディア配給業者に結合するネットワークである。
【符号の説明】
【0075】
100 ドングル
110 USB(汎用シリアルバス)インターフェース
120 メモリ
122 通信アプリケーション
124 ユーザデータ
126 SIMデータ
130 SIM
132 プロセッサ
134 認証データ
140 GPS受信機
200 クライアントコンピュータ
210 オーディオ入力/出力デバイス
220 ディスプレイ
222 ユーザインターフェース
250 無線アクセスポイント
251 ネットワーク
【技術分野】
【0001】
(関連出願の引用)
本出願は、米国指定のPCT出願PCT/US/2005/025353(発明の名称:「PRESENCE DETECTION AND HANDOFF FOR CELLULAR AND INTERNET PROTOCOL TELEPHONY」、国際公開第2006/020168号A2パンフレットとして、2006年2月23日に公開)に関連し、該出願の内容は、本明細書にて、参考として援用される。
【0002】
(背景)
本明細書は、ネットワークベースの認証(authentication)に関する。
【背景技術】
【0003】
GSMセルラ電話システムは、例えば、ユーザの移動電話(MS、移動局)内の加入者識別モジュール(SIM)を用いて、そのMSとの電話コールを確立する前に認証を行う。一つのアプローチにおいて、AuC(認証センター)とともにHLR(ホームロケーションレジスタ)HLR内に登録されている各ユーザに対し、SIMを用いて、秘密認証データ(例えば、秘密キーKi)を分かち合う。
【0004】
SIMは、秘密認証データを開示しないように設計され、AuC/HLRも、また、そのデータを保護する。コールに対して認証が必要とされるとき、MSを扱っているネットワークのMSC(移動交換センタ)は、AuC/HLRからデータをリクエストする。このデータは、一般に「三つ組(triplet)」と称され、RAND、SRESおよびKcからなる。RANDは、乱数であり、これがKiと組み合わさって、MS内のSIMに知られた秘密認証データは、SRES(署名応答)およびKc(機密性キー)を生成し得る。MSCは、RANDをMSに渡し、このMSは、SIMカードによるRANDの暗号化処理を用いて、SRESおよびKcを生成する。このMSは、MSCにSRESを返信する。MSCは、自身がAuC/HLRから受信したSRESの値と、自身がMSから受信した値とを比較し、この両者が合致すれば、MSCは、MSが認証されたものとして扱う。次いで、MSCとMSとは、両者が共有し、今や知っているセッションキーKcに基づいて、安全に通信する。GSMネットワークにおいて、Kcは、MSCから基地トランシーバ局に送信され、無線チャネルを暗号化/解読できるようになる。
【0005】
SIMは、ユーザが電話を変更したとき、電話から電話へと移動され得る取り外し可能なカードとして、典型的に実行され得る。SIMカードは、ユーザに対して個人的であるデータ(例えば、電話番号簿、コール履歴、およびテキストまたは音声メッセージを含む)に対するストレージを含み得る。
【0006】
SIM機能は、コンピュータベースのデバイスの中に組み込まれ、例えば、安全な商取引のために使用される。例えば、商用サーバは、GSMネットワークで使用されるのと同様な交換において、クレジットカードを認証し得る。
【0007】
SIM機能は、また、無線ネットワークに対するアクセス制御に対して使用されている。
この無線ネットワークにおいて、無線ネットワークに対する認証サーバ(例えば、RADIUSプロトコルを用いて無線デバイスと相互作用するサーバ)は、無線電話ネットワークのHLR/AuC機能を用いて通信し、(RAND、SRES、Kc)三つ組を受信する。この認証サーバは、この三つ組を用いて無線デバイスにネットワークアクセスを提供するかどうかを判断する。一部のこのようなアプローチにおいて、EAP(拡張可能認証プロトコル)−SIMおよび802.1xプロトコルが、無線デバイスと認証サーバとの間で使用される。このようなアプローチにおけるSIM機能は、コンピュータの中に挿入するUSBまたはPCMCIAカードの中に組み込まれ、このコンピュータは、無線ネットワークにアクセスするために認証されるように求め得る。
【発明の開示】
【課題を解決するための手段】
【0008】
(発明の概要)
(項目1)
認証モジュールと、
アプリケーションソフトウェアと、
データ通信ネットワークを介して、リモートサーバと通信するインターフェースと
を備え、
該アプリケーションソフトウェアは、該認証モジュールを用いて、該リモートサーバとのアプリケーション層相互作用を認可する命令を含む、装置。
(項目2)
上記装置は、コンピュータシステムに、取り外し可能なように取り付け可能である、項目1に記載の装置。
(項目3)
上記インターフェースは、汎用シリアルバス(USB)インターフェースを備える、項目1に記載の装置。
(項目4)
上記アプリケーションソフトウェアは、上記コンピュータシステム上で実行するためのものである、項目2に記載の装置。
(項目5)
上記アプリケーションソフトウェアは、通信アプリケーションに対する命令を含む、項目1に記載の装置。
(項目6)
上記通信アプリケーションは、ソフトフォンアプリケーションを備える、項目5に記載の装置。
(項目7)
上記通信アプリケーションは、複数の移動電話デバイスのうちの1つをエミュレートするように構成可能なユーザインターフェースを備える、項目5に記載の装置。
(項目8)
上記認証モジュールは、移動電話ネットワークにおける認証と互換性を有するモジュールを備える、項目1に記載の装置。
(項目9)
上記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを備える、項目8に記載の装置。
(項目10)
上記アプリケーション層相互作用は、音声通信相互作用を備える、項目1に記載の装置。
(項目11)
上記アプリケーション層相互作用は、登録相互作用を備える、項目1に記載の装置。
(項目12)
上記登録相互作用は、セッション開始プロトコル(SIP)相互作用を含む、項目11に記載の装置。
(項目13)
上記認証モジュールを用いて、上記アプリケーション層相互作用を認可する上記命令は、電話ネットワーク認証システム経由で認証を引き起こす命令を含む、項目1に記載の装置。
(項目14)
位置決めシステムをさらに備える、項目1に記載の装置。
(項目15)
上記位置決めシステムは、グローバルポジショニングシステム(GPS)を備える、項目14に記載の装置。
(項目16)
上記アプリケーションソフトウェアは、上記位置決めシステムにアクセスする命令と、上記データ通信ネットワークを介するロケーション情報を提供する命令とを備える、項目14に記載の装置。
(項目17)
取り外し可能なデバイスから実行可能なソフトウェアをロードすることと、
ソフトウェアを実行することであって、
該取り外し可能なデバイス上の認証モジュールにアクセスすることと、
データ通信ネットワークを介してリモートサーバと通信することと、
該認証モジュールを用いて、該リモートサーバとのアプリケーション層相互作用を認可することと
を含む、ソフトウェアを実行することと
を包含する、方法。
(項目18)
上記ソフトウェアを実行することは、上記取り外し可能なデバイスが取り付けられる移動コンピュータシステム上で実行される、項目17に記載の方法。
(項目19)
上記取り外し可能なデバイスを上記コンピュータシステムに取り付けることをさらに包含する、項目18に記載の方法。
(項目20)
上記ソフトウェアを実行することは、通信アプリケーションを実行することを包含する、項目17に記載の方法。
(項目21)
上記通信アプリケーションを実行することは、ソフトフォンアプリケーションを実行することを包含する、項目20に記載の方法。
(項目22)
データ通信ネットワークを介して、クライアントからアプリケーション層リクエストを受信することと、
電気通信ネットワークを介する認証サービスを用いて、該クライアント向けの認証交換を実行することであって、該クライアント向けの認証データを受信することを含む、認証交換を実行することと、
該認証データを用いて、該データ通信ネットワークを介して、該クライアントと認証交換を実行することと
を包含する、方法。
(項目23)
上記アプリケーション層リクエストを受信することは、セッション開始リクエストを受信することを含む、項目22に記載の方法。
(項目24)
上記セッション開始リクエストを受信することは、セッション開始プロトコル(SIP)登録リクエストを受信することを含む、項目23に記載の方法。
(項目25)
上記電気通信ネットワークを介して上記認証交換を実行することは、該電気通信ネットワークにアクセスする移動局用の認証交換をエミュレートすることを含む、項目22に記載の方法。
(項目26)
上記クライアントと上記認証交換を実行した後に、上記データ通信ネットワークおよび上記電気通信ネットワークを経由して、該クライアント向けの通信サービスを提供することをさらに包含する、項目22に記載の方法。
(項目27)
コンテンツ配給業者で、データ通信ネットワークを介して、クライアントデバイスからコンテンツリクエストを受信することと、
該コンテンツ配給業者と認証サービスとの間の該クライアントデバイスに対し、認証交換を実行することであって、該コンテンツ配給業者で、該クライアントデバイスに対する認証データを受信することを含む、認証交換を実行することと、
該認証データを用いて、該クライアントデバイスに安全にコンテンツを分配することと
を包含する、方法。
(項目28)
上記クライアントデバイスに上記コンテンツを安全に分配することは、上記認証サービスと該クライアントデバイスとの間で共有される秘密情報に基づいて、暗号化を実行することを包含する、項目27に記載の方法。
(項目29)
上記認証サービスと上記クライアントデバイスとの間で共有される上記秘密情報は、上記クライアントデバイスで、認証モジュール上に格納された情報を含む、項目28に記載の方法。
(項目30)
上記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを備える、項目29に記載の方法。
(項目31)
上記認証サービスは、上記クライアントデバイスの製造業者、移動ネットワークオペレータ、クレジットカード会社、コンピュータまたはソフトウェアの会社、およびメディア販売業者のうちの少なくとも1つと関連する、項目27に記載の方法。
(項目32)
1つ以上の認証センタと、
該認証センタと通信する複数のコンテンツ配給業者であって、該コンテンツ配給業者のうちの少なくとも一部は、該認証センタのうちの共通の1つの認証センタと通信中する、複数のコンテンツ配給業者と、
複数のクライアントデバイスであって、各クライアントデバイスは、該コンテンツ配給業者の1つ以上からコンテンツを安全に受信するように構成され、各クライアントデバイスは、該コンテンツ配給業者に該クライアントデバイスを認証するために使用する認証モジュールを含む、複数のクライアントデバイスと
を備え、
各コンテンツ配給業者は、該認証センタのうちの1つと、クライアントデバイスとの認証交換とを用いて、該クライアントデバイスを認証し、
該クライアントデバイスに送信するために、コンテンツを暗号化して安全にするように構成され、該安全にされたコンテンツが、そのクライアントで、該認証モジュールを用いてアクセス可能になる、権利管理システム。
(項目33)
上記クライアントデバイスでの上記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも1つを備える、項目32に記載の権利管理システム。
【0009】
(要旨)
一局面において、一般的に、サーバからリモートにあるデータネットワークベースのアプリケーション層認証が、該アプリケーションにアクセス可能なSIM機能と、該サーバにアクセス可能な電話ネットワーク認証サービスとを利用する。一部の例において、該アプリケーションは、該サーバと通信するために、SIP(セッション開始プロトコル)を使用し、該認証サービスは、GSMベースの電話ネットワーク経由で提供される。
【0010】
別の局面において、一般的に、装置(apparatus)は、認証モジュールと、アプリケーションソフトウェアと、データ通信ネットワークを介して、リモートサーバと通信するインターフェースとを含む。該アプリケーションソフトウェアは、該認証モジュールを用いて、該リモートサーバにとのアプリケーション層相互作用を認可する命令を含む。
【0011】
1つ以上の以下の特徴が、含まれ得る。
【0012】
上記装置は、コンピュータシステムに、取り外し可能なように取り付け可能である。例えば、上記インターフェースは、汎用シリアルバス(USB)インターフェースを含む。
【0013】
上記アプリケーションソフトウェアは、上記コンピュータシステム上で実行するためのものである。
【0014】
上記アプリケーションソフトウェアは、通信アプリケーションに対する命令を含む。例えば、該通信アプリケーションは、ソフトフォンアプリケーションを備える。該通信アプリケーションは、複数の移動電話デバイスのうちの1つをエミュレートするように構成可能なユーザインターフェースを含み得る。
【0015】
上記認証モジュールは、移動電話ネットワークにおける認証と互換性を有するモジュールを含む。例えば、該認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを含む。
【0016】
上記アプリケーション層相互作用は、音声通信相互作用を含む。
【0017】
上記アプリケーション層相互作用は、登録相互作用を含む。例えば、該登録相互作用は、セッション開始プロトコル(SIP)相互作用を含む。
【0018】
上記認証モジュールを用いて、上記アプリケーション層相互作用を認可する上記命令は、電話ネットワーク認証システム経由で認証を引き起こす命令を含む。
【0019】
上記装置は、位置決めシステムをさらに含む。例えば、該位置決めシステムは、グローバルポジショニングシステム(GPS)を含む。
【0020】
上記アプリケーションソフトウェアは、上記位置決めシステムにアクセスする命令と、上記データ通信ネットワークを介するロケーション情報を提供する命令とを含む。
【0021】
別の局面において、実行可能なソフトウェアが、取り外し可能なデバイスからロードされる。該ソフトウェアが実行される。この実行は、該取り外し可能なデバイス上の認証モジュールにアクセスすることと、データ通信ネットワークを介してリモートサーバと通信することと、該認証モジュールを用いて、該リモートサーバにアプリケーション層相互作用を認可することとを含む。
【0022】
1つ以上の以下の特徴が、含まれ得る。
【0023】
上記ソフトウェアを実行することは、上記取り外し可能なデバイスが取り付けられる移動コンピュータシステム上で実行される。
【0024】
上記取り外し可能なデバイスは、上記コンピュータシステムに取り付けられる。
【0025】
上記ソフトウェアを実行することは、通信アプリケーションを実行することを含む。例えば、該通信アプリケーションは、ソフトフォンアプリケーションを含む。
【0026】
別の局面において、一般的に、アプリケーション層リクエストが、データ通信ネットワークを介して、クライアントから受信される。認証交換が、電気通信ネットワークを介する認証サービスを用いて、該クライアントに対し実行される。この交換は、該クライアント向けの認証データを受信することを含む。該認証データは、該データ通信ネットワークを介して、該クライアントと認証交換を実行するために使用される。
【0027】
1つ以上の以下の特徴が、含まれ得る。
【0028】
上記アプリケーション層リクエストを受信することは、セッション開始リクエストを受信することを含む。例えば、該セッション開始リクエストは、セッション開始プロトコル(SIP)登録リクエストを受信することを含む。
【0029】
上記電気通信ネットワークを介して上記認証交換を実行することは、該電気通信ネットワークにアクセスする移動局用の認証交換をエミュレートすることを含む。
【0030】
上記クライアントと上記認証交換を実行した後に、通信サービスが、上記データ通信ネットワークおよび上記電気通信ネットワークを経由して、該クライアントに対して提供される。
【0031】
別の局面において、一般的に、コンテンツリクエストが、コンテンツ配給業者で、データ通信ネットワークを介して、クライアントデバイスから受信される。認証交換は、該コンテンツ配給業者と認証サービスとの間の該クライアントデバイスに対して実行される。この交換は、該コンテンツ配給業者で、該クライアントデバイスに対する認証データを受信することを含む。該認証データは、コンテンツを該クライアントデバイスに安全に分配するために使用される。
【0032】
1つ以上の以下の特徴が、含まれ得る。
【0033】
上記クライアントデバイスに上記コンテンツを安全に分配することは、上記認証サービスと該クライアントデバイスとの間で共有される秘密情報に基づいて、暗号化を実行することを含む。例えば、該認証サービスと該クライアントデバイスとの間で共有される該秘密情報は、該クライアントデバイスで、認証モジュール上に格納された情報を含む。該認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを含み得る。
【0034】
上記認証サービスは、上記クライアントデバイスの製造業者、移動ネットワークオペレータ、クレジットカード会社、コンピュータまたはソフトウェアの会社、およびメディア販売業者のうちの少なくとも1つと関連する。
【0035】
別の局面において、一般的に、権利管理システムは、1つ以上の認証センタと、該認証センタと通信中の一式のコンテンツ配給業者であって、該コンテンツ配給業者のうちの少なくとも一部は、該認証センタのうちの共通の1つの認証センタと通信する、複数のコンテンツ配給業者とを含む。複数のクライアントデバイスは、各クライアントデバイスが、該コンテンツ配給業者の1つ以上からコンテンツを安全に受信するように構成され、各クライアントデバイスが、該コンテンツ配給業者に該クライアントデバイスを認証するために使用する認証モジュールを含む、複数のクライアントデバイスとを含む。各コンテンツ配給業者は、該認証センタのうちの1つと、クライアントデバイスとの認証交換とを用いて、該クライアントデバイスを認証し、該クライアントデバイスに送信するために、コンテンツを暗号化して安全にするように構成され、該安全にされたコンテンツが、そのクライアントで、該認証モジュールを用いてアクセス可能になる。該クライアントデバイスでの該認証モジュールは、例えば、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも1つを含む。
【0036】
インプリメンテーションは、1つ以上の以下の利点を有し得る。
【0037】
SIMを用いるアプリケーション層通信の認証によって、おそらく異なるメカニズムを用いて、アクセスの制御からアプリケーション機能まで、ネットワーク接続性が個別に制御されることを可能になる。
【0038】
SIMを用いて新たなキーを繰り返し生成し、メディアストリームを保護することによって、全体のセッションに対して単一のキーを用いることに比べ、より良好なセキュリティが提供され得る。例えば、安全なVoIPコールは、SIMによって生成され、SIP信号伝達および/またはRTPデータストリームを保護するために使用されるキーを頻繁に変更して利用し得る。
【0039】
ローカルエリアネットワークのインフラの改変は、アプリケーション層認証をサポートするために必ずしも必要とされない。例えば、無線デバイスは、プロキシ認証サービスのようなデバイスを一切必要とせずに、無線通信ネットワークを介して、例えば、公共の場で無線LANに参加し得、認証された通信を個別に確立し、ローカルネットワーク上に存在し得る。
【0040】
ユーザは、通信アプリケーションとSIM機能との双方を保持するパーソナルドングルを有し得る。これによって、ユーザは、このような通信に対するサポートが元々なかったコンピュータから安全な通信を確立することができる。例えば、ユーザは、ネットワーク化されたコンピュータに対するアクセスを有し得、このようなUSBドングルを挿入することによって、このドングルに格納されたアプリケーションを実行し得、このドングル上でSIM機能を用いてアプリケーションを認証し得る。これは、たとえ、そのコンピュータが、そのアプリケーションまたは認証へのアプローチに対して特定のサポートを一切有しなくても行われ得る。
【0041】
オープンな権利管理システムが、確立され得、このシステムにおいて、認証センタは、コンテンツ配給業者から分離される。例えば、各演出デバイス(例えば、音楽プレイヤ)は、対応する認証センタと関連し得る。コンテンツ配給業者が、演出デバイスを認証する必要があるとき、コンテンツ配給業者は、そのデバイスに対して適切な認証センタを用いる。このように、コンテンツ演出デバイスのユーザは、使用するコンテンツ配給業者が、適切な認証センタを用いることができる限り、特定のコンテンツ配給業者のいずれとも結び付けられない。
【0042】
他の特徴および利点は、以下の説明および請求項から明らかになる。
【0043】
データネットワークベースのアプリケーションのアプリケーション層認証は、アプリケーションにアクセス可能なSIM機能と、該アプリケーションへのサーバにアクセス可能な電話ネットワーク認証サービスとを利用する。例えば、アプリケーションは、サーバと通信するために、SIP(セッション開始プロトコル)を用い、認証サービスは、GSMベースの電話ネットワーク経由で提供される。一つのインプリメンテーションにおいて、デバイス(「ドングル」)は、認証モジュールと、アプリケーションソフトウェアと、データ通信ネットワークを介してリモートサーバと通信するためのインターフェースとを含む。このアプリケーションソフトウェアは、認証モジュールを用いて、リモートサーバとのアプリケーション層相互作用を認可する命令を含む。
【発明を実施するための最良の形態】
【0044】
(詳細な説明)
図1を参照すると、「ドングル」100は、ラップトップパーソナルコンピュータなどのクライアントコンピュータ200(図2参照)とともに使用されるように構成される。(「ドングル」は、典型的には、セキュリティまたは認証デバイスを含む。このデバイスは、コンピュータなどの他のデバイスのポートの中に差し込まれるか、またはさもなければ他のデバイスに接続されるかによって、デバイス上の特定の機能を可能にする。)この例において、ドングル100は、コンピュータとの通信用USB(汎用シリアルバス)インターフェース110を使用する。USBインターフェース110が、電気的信号プロトコルサポートを提供することで、コンピュータは、ドングル上の機能と通信し、これらの機能にアクセスすることが可能になる。例えば、USBインターフェース110が、ストレージデバイス(例えば、ディスクドライブ)インターフェースを提供することで、コンピュータは、例えば、ディスクフォーマットに従って(例えば、ファイルおよびディレクトリなどで)フォーマット化されたドングル100上の不揮発性メモリ120(例えば、フラッシュメモリ)にアクセスすることが可能になる。USBインターフェース110は、また、ドングルの中に組み込まれた(あるいは、代替的にドングルの中で使用される別個のSIMカードとして取り外し可能なように挿入された)SIM130に対するSIMデバイスインターフェースを提供する。SIMデバイスインターフェースは、例えば、コンピュータからRANDを提供するため、ならびに、SIM内のプロセッサ132によって計算され、RAND、およびSIM130内の秘密認証データ134に依存するSRESおよびKcを戻すためのメカニズムを含む機能性を提供する。
【0045】
ドングル100上のメモリ120は、ドングルが取り付けられるコンピュータ上で実行され得るアプリケーション122を含む。例えば、アプリケーションは、実行可能な命令を含む一つ以上のファイル(例えば、Microsoft Windows(登録商標)オペレーティングシステムの一つのバージョンの下で実行される.exeファイルおよび.dllファイル)、ならびに実行するアプリケーションによって使用される構成ファイルを含み得る。アプリケーションは、他のオペレーティングシステム(例えば、Apple Mac OS X)または他のオペレーティング環境(例えば、JAVA(登録商標) Virtual Machine)用の適切なバージョンを、代替として、または追加として含み得る。
【0046】
メモリ120は、ユーザに特定であるユーザデータ124も含み得る。例えば、そのようなデータは、ユーザのアドレス帳、および/または通信アプリケーションに関連する情報を含み得る。メモリ120は、また、SIMによってアクセスされるSIMデータ126も含み得る。あるいは代替的に、そのようなSIMデータは、SIMの範囲内において保持され得る。これは、例えば、SIMが取り外し可能なカードの場合においてである。
【0047】
一部の例において、ドングル100は、ドングルの地理的ロケーションを決定し得るGPS受信機140も含む。一部の例において、ロケーション情報は、ユーザデータ124内に格納され、後に、USBインターフェース110を介してアクセスされる。これは、USBインターフェース110経由でアクセスされ得る。一部の例において、GPSで受信された140におけるロケーション情報は、USBインターフェース110を介して直接アクセスされる。
【0048】
図2を参照すると、クライアントコンピュータ200は、ネットワーク251への無線アクセスポイント250経由で、無線通信を確立している。例えば、アクセスポイント250は、コンピュータをローカルエリアネットワークに結合する。このローカルエリアネットワークは、(例えば、LAN上のDHCP(動的ホスト構成プロトコル)サーバを使用して)インターネットプロトコルホストアドレスを有するコンピュータを提供し、公衆インターネットへのゲートウェーのようなワイドエリアIPネットワークへのゲートウェーを提供する。ローカルネットワークは、ドングルによって提供される機能性を特に利用するようには、必ずしも構成されなくてもよい。例えば、ローカルネットワークは、インターネットへの公衆アクセスを無料または有料で提供するインターネットの「ホットスポット」または「カフェ」であり得る。
【0049】
一部の例S1において、ドングル100上に格納された通信アプリケーション122(図1参照)は、ボイスオーバーIP通信アプリケーション(例えば、「ソフトフォン」)である。このような例において、ユーザは、ドングル100をクライアントコンピュータ200の中に挿入する。ユーザは、ドングルのメモリ120へのアクセスを有し、例えば、メモリ内に表示されたファイルシステムを手動でナビゲートすることによって、通信アプリケーションを実行する。代替として、通信アプリケーションは、オペレーティングシステムがコンピュータ200のUSBインターフェースの中にドングルが挿入されたことを検出した結果として、「自動実行」する。
【0050】
通信アプリケーションを実行することは、コンピュータのディスプレイ220上のユーザインターフェース222(例えば、電話ダイヤルキーパッドを示す)に表示する。コンピュータは、また、実行アプリケーションに結合されるオーディオ入力/出力デバイス210も有し、例えば、アプリケーションのユーザに対し、スピーチの入力/出力インターフェースを提供する。一部の例において、ソフトフォンアプリケーションは、ユーザインターフェースが、物理的な移動電話モデル(例えば、アプリケーションのユーザが所有する別の電話)に合致するように構成可能である。
【0051】
図3を参照すると、コールを発信または受信するために、クライアントコンピュータ200上で実行する通信アプリケーションは、ゲートウェー(NCG)310と登録する。このNCG310は、無線アクセスポイント250経由でコンピュータ200と通信するインターネット340と、無線ネットワーク内の機能と通信する無線陸上ネットワーク350との双方に結合される。この例において、ゲートウェー310は、標準GSM/MAP/SS7プロトコルを用いて、ネットワークエレメントと通信する。認証サービス320は、この例において、AuC(認証センタ)323とともにHLR(ホームロケーションレジスタ)322によって提供され、ネットワーク350に結合される。
【0052】
参考として援用されるPCT出願「PRESENCE DETECTION AND HANDOFF FOR CELLULAR AND INTERNET PROTOCOL TELEPHONY」に記載されたアプローチにおいて、ゲートウェー310(また、「ネットワーク収束ゲートウェー(NCG)」とも称される)は、コンピュータ200上で稼動するVoIPアプリケーションが、アプリケーションとゲートウェー310との間のSIPプロトコルを用いて、コールを発信および受信することを可能にする。その間、ゲートウェーは、無線ネットワーク技術を用いて、無線ネットワーク内でコールを発信し、維持する。
【0053】
NCG310と関連する機能の説明を続ける前に、移動局(MS)300(例えば、電話)の従来式認証が、記載される。MS300が、MSと無線ネットワークとの間の接続性をBS(基地局)経由で提供しているMSC(移動交換センタ)330によって認証される必要があるとき、MSCは、MSを識別する情報を、典型的には、その電話に対するIMSI(国際移動加入者識別子)を受信する。MSCは、IMSIを認証サービス320に送信し、認証サービス320は、(RAND、SRES、Kc)三つ組をMSC330に返す。MSCはRANDを電話330に送信し、電話330は、RANDを電話の中のSIMカード302に渡す。SIMカード302は、SRESおよびKcを電話に返し、この電話は、SRESのみをMSCに転送し戻す。MSC認証は、認証サービスからのSRESと、電話からのSRESとが合致するかどうかを認証する。MSCは、認証サービスからのSRESと、電話からのSRESとが合致する場合、電話を認証する。
【0054】
図4を参照すると、クライアントコンピュータ200上で実行する通信アプリケーション122の場合、交換の関連シーケンスが実行される(以下のカッコ内の参照番号は、図4に示されるメッセージまたはステップを表す)。図4において、クライアントコンピュータは、既にインターネットを介するネットワーク接続性を有し、標準IPおよびUDP/TCPベースの通信を用いて、NCG310にアクセスし得ることに留意されたい。通信アプリケーションの実行の最初のステップとして、アプリケーションは、リクエストをドングル100に送信して、アプリケーションが登録すべきNCGサーバ310のアイデンティティを読む。ドングル100は、例えば、IMSI@nomadic.com.のように、アプリケーションが登録すべきSIPアイデンティティを戻す。通信アプリケーション122は、次いで、SIPアイデンティティを含むSIP登録メッセージをNCG310に送信する(420)。NCGは、SIMベースの認証が要求されると判断する。これは、例えば、その認証が全てのSIP登録に対して要求されるから、あるいは、このような認証がこのクライアントに要求されると識別する構成データに基づいて要求されるからである。MSC330(図3参照)と認証サービス320との間で使用されるのと同じプロトコルを用いて、NCG310は、SIM用のIMSIを認証サービス320に送信し(430)、それと引き換えに、認証サービスは、(RAND、SRES、Kc)三つ組を戻す(432)。例えば、より長い、または追加のキーKcが必要とされる場合、複数の三つ組が、複数のメッセージ432で戻され得る。NCGは、登録リクエストに、「407は認可されず、要認証」というSIPメッセージを通信アプリケーションに返答する(422)。
【0055】
NCG310から通信アプリケーション122への返答422には、RAND、次の登録リクエストでデータに付与するためのハッシュ(hash)アルゴリズム(例えば、SIMv1−MD5)の識別子、およびRANDおよびサーバ特定の情報に依存するNonceを含む。通信アプリケーション122は、返答(422)を受信し、NonceからRANDを抽出し、RANDをドングル100に渡す(440)。それと引き換えに、ドングルは、SRESおよびKcを通信アプリケーション122に戻す(442)。通信アプリケーション122は、SRESを用いて、新たな登録リクエストに対するパスワードを計算する(450)。NCGは、同じ値のSRESを用いて、ハッシュを計算する(452)。通信アプリケーション122は、計算されたパスワードを含むSIP登録リクエストをNCGに送信する(460)。NCGは、パスワードを比較して(468)、パスワードが合致した場合、通信アプリケーションを認証する。NCG310は、ロケーション更新リクエスト(470)をSS7経由でHLRに送信し、このHLRは、NCGを介して配信されるべきユーザに電話コールを生じさせる。HLRは、加入者データをリクエストし得(474)、これに、NCGが返答を提供する(476)。HLRは、ロケーション更新を確認する(472)。この時点で、NCGは、SIP登録リクエストにOKメッセージを添えて応答する(462)。
【0056】
この時点で、NCG310と通信アプリケーション122は、AuC/HLRによって提供されるRANDから計算されたセッションキーKcの知識を共有する。このキーは、通信アプリケーションとNCGとの間に通信を暗号化するために、随意に使用される。例えば、VoIPコールが、通信アプリケーションとNCGにあるメディアサーバとの間のRTP(リアルタイムプロトコル)メディアセッションを用いて確立されるとき、セッションキーKcは、データを保護するために、随意に使用される。同じKcは、NCGとの通信アプリケーションが登録されている間にわたって使用され得る。NCGは、承認サービス320から(三つ組の一部として)受信された新たなRANDを用いて、通信アプリケーションを、定期的にチャレンジし得て、この各チャレンジへの応答を用いて、通信アプリケーションおよびNCGは、キーを更新する。それゆえ、同じキーが、長期間にわたって使用される必要はない。アクティブなVoIPコール内においてでさえ、RTPデータストリームを保護するKcの値は、例えば、毎分1回、変更されるので、コールの間にわたり同じ値のKcを使う場合に比べ、より高い暗号化保護を提供する。
【0057】
上述のSIP/SIMベースの認証は、データリンクまたはネットワーク/トランスポート層においてよりも、むしろ、アプリケーション層(すなわち、ISO層5以上)においてであり、アクセスポイント250経由で無線LAN上のクライアントコンピュータへのネットワーク接続性を確立するために使用される認証に追加として、および/または、その認証とは別としてである。
【0058】
本アプローチの一部の例において、SIMは、ドングル100内に組み込まれない。例えば、SIM機能は、マザーボードの一部としてコンピュータに内蔵され得るし、あるいは、標準SIMカードを受けるソケットの中に装備され得る。同様に、Ethernet(登録商標)に直接接続するVoIP電話は、SIM内蔵またはソケットに差し込まれたSIMカードを有し得る。これらの例のそれぞれにおいて、デバイスとNCGとの間の通信は、図4を参照して上述されたアプローチに従う。同様に、セルラ無線ネットワークでも無線LAN上でも動作し得るデュアルモード電話は、上述のようにNCGと通信するSIPベースの通信アプリケーションをホストし得る。
【0059】
ドングル100がGPS受信機140を含む例において、ロケーションデータは、例えば、SIP登録の一部として、NCG310に提供され得、次いで、HLRまたは他のネットワークエレメントに提供され得る。このロケーション情報は、例えば、緊急コール(e911コール)のために使用され、発信電話のロケーションを決定し得る。アプリケーションが実行中であるロケーションで、GPS受信が利用可能でない例において、GPS受信機140は、ドングルのユーザデータ124の中で直近に知ったロケーションを格納し得、この直近に知ったロケーションが、ネットワークエレメントに提供され得る。
【0060】
図3を再び参照すると、NCGは、ユーザの個人データに関連する追加サービスを提供し得る。図3において、ユーザは、電話300およびパーソナルコンピュータ200を有し得る。これらの双方は、コンタクト(電話番号簿)データベース、コール履歴、ならびに音声およびテキストメッセージなどの個人データを有し得る。電話において、このデータは、SIMカード上のSIMデータ308の中に、典型的には格納される。コンピュータにおいて、このデータは、ドングル100上に格納され得、コンピュータ自体のメモリの中に格納され得る。NCG、または別のサーバは、集中ストレージ(データベースは必要とされず、より一般的な意味)312を用いて、このユーザデータを同期化する方法を提供する。例えば、電話300は、IPベースの通信(例えば、GPRSプロトコルを用いて)を用いてNCGと通信し、そのデータをデータベースと同期化し得る。同様に、クライアントコンピュータ200は、IPを用いてデータベースと通信する。上述されたタイプのSIMベースの認証は、データを保護するために使用され得る。代替として、電話300は、SMS、USSD、あるいは他の回路交換または移動パケット交換技術を用いて通信して、そのデータをデータベースと同期化する。
【0061】
上述のアプローチは、また、通信アプリケーション以外のアプリケーションに対しても使用され得る。例えば、ドングルは、認証を要求するアプリケーションを有し得るが、層でない場合は、NCGとの相互作用をし得える。アプリケーションは、認証と共有秘密Kcの生成とのためのNCGと通信し得るが、次いで、アプリケーションは、別のサーバと相互作用するように進み得る。NCGは、サーバにクライアントアプリケーションを導入するメカニズムとして、クライアントとサーバとが安全に通信する方法を提供するための双方で、Kcをその別のサーバと共有する。サーバがクライアントに対する商取引を実行する場合、サーバは、NCGと通信し得、ゲートウェーに、無線ネットワーク内での課金サービスへのゲートウェーを提供する。例えば、クライアントアプリケーションとサーバとの間の商取引は、ユーザの無線口座に課金され得る。
【0062】
一部の例において、SIM機能性を含むユーザデバイスは、必ずしも電話またはコンピュータであるとは限らない。例えば、デバイスは、ネットワーク化されたゲーム機であり得る。このゲーム機は、NCGを認証に用い、そして、おそらく、無線ネットワーク経由の課金サービスも使用し得る。ゲーム機の場合、ドングルが使用され得る。このように、ゲームは、SIM機能性を組み込んだゲーム機を改変することなく、ネットワーク化されたゲーム機上で使用するドングルとともに配給され得る。
【0063】
一部の例において、ユーザデバイスは、例えば、認証、および/または目的変更のためにSIMを使用することに加え、デジタル権利管理(DRM)のためにSIMを使用する。図5および図6を参照すると、一部の例において、メディアプレイヤ500は、SIM530を含む。メディア配給業者610は、ネットワーク640を介して(例えば、インターネットを介して、または電気通信ネットワークを介して)、メディアプレイヤが適切なSIMを有しないと、そのメディアプレイヤがそのメディアを利用し得ないように、また、その保護されたデータが異なるSIMを有する他のメディアプレイヤでは使用され得ないように、メディアプレイヤに保護されたメディアを提供する。
【0064】
図5を参照すると、メディアプレイヤ500は、インターフェース540を有し、インターフェース540は、SIM530にチャレンジするメディア配給業者610に対する方法を提供する。例えば、通信アプリケーションの範疇で上述したように、メディアプレイヤを認証する目的のために行われる。さらに、メディア配給業者610は、プレイヤに配給されるメディアを保護するために、SIMの機能性を独立して使用し得る。
【0065】
一部の例において、各メディアプレイヤ500は、SIM530を有し、秘密(Ki)を認証センタ(AuC)600と共有する。様々な例において、AuC600は、メディアプレイヤ500の製造業者、コンピュータまたはソフトウェアの製造業者、メディア販売業者または配給業者(例えば、オンライン音楽ストア)、クレジットカード会社、および移動ネットワークオペレータ(例えば、AuC600は、通信アプリケーションの範疇において、図3に示されるようなAuC323と同じであり得る)と、関連し得る。
【0066】
一部の例において、一連の相互変更は、メディアプレイヤ500、メディア配給業者610、および認証センタ600との間で起こり得る。複数のAuC600があり得、例えば、そのそれぞれが、異なるセットのメディアプレイヤと関連し得ること、あるいは、メディアプレイヤ内に使用される異なるSIMと関連し得ることに留意されたい。一般に、複数のメディア配給業者610があり、一部の例において、それぞれは、複数の異なるAuC600を利用し得る。
【0067】
図6を参照すると、メディアプレイヤは、SIMに格納されたIMSIのような識別をメディア配給業者610に提供する。複数のAuC600の場合、メディア配給業者610は、識別を用いて、どのAuC600が、メディアプレイヤ用認証データを提供するかを決定する。メディア配給業者610は、メディアプレイヤに対する識別情報をAuC600に渡す。AuC600およびメディア配給業者610は、AuC600が配給業者に情報を提供するという条件を定めるしかるべき商用DRM契約を有する。AuCが、認証情報を配給業者610に提供することを選択したら、AuCは、自身が(RAND、SRES、Kc)三つ組を生成するための識別情報と関連して知っているKiの値を用い、この三つ組をメディア配給業者に戻す。メディアプレイヤを認証するために、メディア配給業者は、RANDをメディアプレイヤに送信し、このメディアプレイヤが、SRESを計算して、返却する。メディアプレイヤからのSRESとAuCからのSRESとが合致した場合、メディアプレイヤは、認証される。
【0068】
メディア配給業者610は、メディアキーKmで暗号化された暗号化メディア516を含むバンドル510を送信する。このメディアキーKmは、そのバンドル内のメディアに特定であるが、必ずしも、プレイヤまたはユーザに特定である必要はない。バンドル510は、また、RAND値512および暗号化されたメディアキーKm514も含む。メディアキーKm514の暗号化は、SIMで生成され、RAND512に対応するキーKcを用いて暗号化される。
【0069】
プレイヤ500が、メディアをプレイする必要があるとき、解読器520は、RAND512およびKc暗号化Km514を受け入れ、SIM530からKcを、RANDと引き換えに入手する。プレイヤ500は、Kcを用いて、Kmを解読し、次いで、Kmを用いてメディアを解読する。
【0070】
同様のDRMアプリケーションの一部の例において、サーバアプリケーションの一部の機能は、例えば、プレイヤ500と結合されたクライアントコンピュータで実行され得る。例えば、プレイヤ500は、クライアントコンピュータへのUSBインターフェースを有し得るので、クライアントコンピュータ上のアプリケーションは、アプリケーションの認証のために、プレイヤ内のSIM530を使用する。
【0071】
上述のアプローチは、代替として、汎用加入者識別モジュール(USIM)または3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)を使用する。別の例において、IS−41/SS7または3GPP2プロトコルは、CMDAまたは3GPP2ネットワークにおいて、同様のアプローチに使用される。一部の例において、標準のSIM、USIMまたはISIMを使用することは、必ずしも要求されない。例えば、他の暗号化アプローチでも、同様の結果を達成し得る。一部の例において、他のセルラ認証プロトコルが使用され得る。例えば、SIMに基づく現行のプロトコルでなく、むしろ、認証・キー契約(AKA)プロトコルを用いて行われる。同様に、セルラ電話ネットワークは、必ずしも、GSMベースのネットワークである必要はない。一部の例において、CDMAおよび3GPP2ネットワーク用と同様の暗号認証メカニズムが、使用される。一部の例において、CMDA/CAVEプロトコルが使用される。
【0072】
実施形態は、ハードウェアで、またはソフトウェアで、あるいはハードウェアとソフトウェアとの双方の組み合わせで、インプリメントされ得る。ソフトウェアコンポーネントとしては、不揮発性メモリおよび磁気または光学ディスクのようなコンピュータ可読媒体に格納された命令を含み得る。命令は、様々な種類の物理的プロセッサまたはバーチャルプロセッサ(一般目的コンピュータ、特別目的コントローラ、信号処理デバイス、命令インタープリータおよびバーチャルマシンを含む)上で実行するためのものであり得る。
【0073】
他の実施形態は、以下の請求項の範囲内に収まり得る。
【図面の簡単な説明】
【0074】
【図1】例えば、USB(汎用シリアルバス)インターフェースを経由するコンピュータで使用するドングルである。
【図2】無線アクセスポイントに結合されたクライアントコンピュータであり、この無線アクセスポイントは、クライアントコンピュータへのネットワーク接続性を提供する。
【図3】コンピュータおよび通信ネットワークシステムである。
【図4】システムのエレメント間の相互作用を示す図である。
【図5】メディアプレイヤである。
【図6】メディアプレイヤをメディア配給業者に結合するネットワークである。
【符号の説明】
【0075】
100 ドングル
110 USB(汎用シリアルバス)インターフェース
120 メモリ
122 通信アプリケーション
124 ユーザデータ
126 SIMデータ
130 SIM
132 プロセッサ
134 認証データ
140 GPS受信機
200 クライアントコンピュータ
210 オーディオ入力/出力デバイス
220 ディスプレイ
222 ユーザインターフェース
250 無線アクセスポイント
251 ネットワーク
【特許請求の範囲】
【請求項1】
認証モジュールと、
アプリケーションソフトウェアと、
データ通信ネットワークを介して、リモートサーバと通信するインターフェースと
を備え、
該アプリケーションソフトウェアは、該認証モジュールを用いて、該リモートサーバとのアプリケーション層相互作用を認可する命令を含む、装置。
【請求項2】
前記装置は、コンピュータシステムに、取り外し可能なように取り付け可能である、請求項1に記載の装置。
【請求項3】
前記インターフェースは、汎用シリアルバス(USB)インターフェースを備える、請求項2に記載の装置。
【請求項4】
前記アプリケーションソフトウェアは、前記コンピュータシステム上で実行するためのものである、請求項2に記載の装置。
【請求項5】
前記アプリケーションソフトウェアは、通信アプリケーションに対する命令を含む、請求項1に記載の装置。
【請求項6】
前記通信アプリケーションは、ソフトフォンアプリケーションを備える、請求項5に記載の装置。
【請求項7】
前記通信アプリケーションは、複数の移動電話デバイスのうちの1つをエミュレートするように構成可能なユーザインターフェースを備える、請求項5に記載の装置。
【請求項8】
前記認証モジュールは、移動電話ネットワークにおける認証と互換性を有するモジュールを備える、請求項1に記載の装置。
【請求項9】
前記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを備える、請求項8に記載の装置。
【請求項10】
前記アプリケーション層相互作用は、音声通信相互作用を備える、請求項1に記載の装置。
【請求項11】
前記アプリケーション層相互作用は、登録相互作用を備える、請求項1に記載の装置。
【請求項12】
前記登録相互作用は、セッション開始プロトコル(SIP)相互作用を含む、請求項11に記載の装置。
【請求項13】
前記認証モジュールを用いて、前記アプリケーション層相互作用を認可する前記命令は、電話ネットワーク認証システム経由で認証を引き起こす命令を含む、請求項1に記載の装置。
【請求項14】
位置決めシステムをさらに備える、請求項1に記載の装置。
【請求項15】
前記位置決めシステムは、グローバルポジショニングシステム(GPS)を備える、請求項14に記載の装置。
【請求項16】
前記アプリケーションソフトウェアは、前記位置決めシステムにアクセスする命令と、前記データ通信ネットワークを介するロケーション情報を提供する命令とを備える、請求項14に記載の装置。
【請求項17】
取り外し可能なデバイスから実行可能なソフトウェアをロードすることと、
ソフトウェアを実行することであって、
該取り外し可能なデバイス上の認証モジュールにアクセスすることと、
データ通信ネットワークを介してリモートサーバと通信することと、
該認証モジュールを用いて、該リモートサーバとのアプリケーション層相互作用を認可することと
を含む、ソフトウェアを実行することと
を包含する、方法。
【請求項18】
前記ソフトウェアを実行することは、前記取り外し可能なデバイスが取り付けられる移動コンピュータシステム上で実行される、請求項17に記載の方法。
【請求項19】
前記取り外し可能なデバイスを前記コンピュータシステムに取り付けることをさらに包含する、請求項18に記載の方法。
【請求項20】
前記ソフトウェアを実行することは、通信アプリケーションを実行することを包含する、請求項17に記載の方法。
【請求項21】
前記通信アプリケーションを実行することは、ソフトフォンアプリケーションを実行することを包含する、請求項20に記載の方法。
【請求項22】
データ通信ネットワークを介して、クライアントからアプリケーション層リクエストを受信することと、
電気通信ネットワークを介する認証サービスを用いて、該クライアント向けの認証交換を実行することであって、該クライアント向けの認証データを受信することを含む、認証交換を実行することと、
該認証データを用いて、該データ通信ネットワークを介して、該クライアントと認証交換を実行することと
を包含する、方法。
【請求項23】
前記アプリケーション層リクエストを受信することは、セッション開始リクエストを受信することを含む、請求項22に記載の方法。
【請求項24】
前記セッション開始リクエストを受信することは、セッション開始プロトコル(SIP)登録リクエストを受信することを含む、請求項23に記載の方法。
【請求項25】
前記電気通信ネットワークを介して前記認証交換を実行することは、該電気通信ネットワークにアクセスする移動局用の認証交換をエミュレートすることを含む、請求項22に記載の方法。
【請求項26】
前記クライアントと前記認証交換を実行した後に、前記データ通信ネットワークおよび前記電気通信ネットワークを経由して、該クライアント向けの通信サービスを提供することをさらに包含する、請求項22に記載の方法。
【請求項27】
コンテンツ配給業者で、データ通信ネットワークを介して、クライアントデバイスからコンテンツリクエストを受信することと、
該コンテンツ配給業者と認証サービスとの間の該クライアントデバイスに対し、認証交換を実行することであって、該コンテンツ配給業者で、該クライアントデバイスに対する認証データを受信することを含む、認証交換を実行することと、
該認証データを用いて、該クライアントデバイスに安全にコンテンツを分配することと
を包含する、方法。
【請求項28】
前記クライアントデバイスに前記コンテンツを安全に分配することは、前記認証サービスと該クライアントデバイスとの間で共有される秘密情報に基づいて、暗号化を実行することを包含する、請求項27に記載の方法。
【請求項29】
前記認証サービスと前記クライアントデバイスとの間で共有される前記秘密情報は、前記クライアントデバイスで、認証モジュール上に格納された情報を含む、請求項28に記載の方法。
【請求項30】
前記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを備える、請求項29に記載の方法。
【請求項31】
前記認証サービスは、前記クライアントデバイスの製造業者、移動ネットワークオペレータ、クレジットカード会社、コンピュータまたはソフトウェアの会社、およびメディア販売業者のうちの少なくとも1つと関連する、請求項27に記載の方法。
【請求項32】
1つ以上の認証センタと、
該認証センタと通信する複数のコンテンツ配給業者であって、該コンテンツ配給業者のうちの少なくとも一部は、該認証センタのうちの共通の1つの認証センタと通信中する、複数のコンテンツ配給業者と、
複数のクライアントデバイスであって、各クライアントデバイスは、該コンテンツ配給業者の1つ以上からコンテンツを安全に受信するように構成され、各クライアントデバイスは、該コンテンツ配給業者に該クライアントデバイスを認証するために使用する認証モジュールを含む、複数のクライアントデバイスと
を備え、
各コンテンツ配給業者は、該認証センタのうちの1つと、クライアントデバイスとの認証交換とを用いて、該クライアントデバイスを認証し、
該クライアントデバイスに送信するために、コンテンツを暗号化して安全にするように構成され、該安全にされたコンテンツが、そのクライアントで、該認証モジュールを用いてアクセス可能になる、権利管理システム。
【請求項33】
前記クライアントデバイスでの前記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも1つを備える、請求項32に記載の権利管理システム。
【請求項1】
認証モジュールと、
アプリケーションソフトウェアと、
データ通信ネットワークを介して、リモートサーバと通信するインターフェースと
を備え、
該アプリケーションソフトウェアは、該認証モジュールを用いて、該リモートサーバとのアプリケーション層相互作用を認可する命令を含む、装置。
【請求項2】
前記装置は、コンピュータシステムに、取り外し可能なように取り付け可能である、請求項1に記載の装置。
【請求項3】
前記インターフェースは、汎用シリアルバス(USB)インターフェースを備える、請求項2に記載の装置。
【請求項4】
前記アプリケーションソフトウェアは、前記コンピュータシステム上で実行するためのものである、請求項2に記載の装置。
【請求項5】
前記アプリケーションソフトウェアは、通信アプリケーションに対する命令を含む、請求項1に記載の装置。
【請求項6】
前記通信アプリケーションは、ソフトフォンアプリケーションを備える、請求項5に記載の装置。
【請求項7】
前記通信アプリケーションは、複数の移動電話デバイスのうちの1つをエミュレートするように構成可能なユーザインターフェースを備える、請求項5に記載の装置。
【請求項8】
前記認証モジュールは、移動電話ネットワークにおける認証と互換性を有するモジュールを備える、請求項1に記載の装置。
【請求項9】
前記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを備える、請求項8に記載の装置。
【請求項10】
前記アプリケーション層相互作用は、音声通信相互作用を備える、請求項1に記載の装置。
【請求項11】
前記アプリケーション層相互作用は、登録相互作用を備える、請求項1に記載の装置。
【請求項12】
前記登録相互作用は、セッション開始プロトコル(SIP)相互作用を含む、請求項11に記載の装置。
【請求項13】
前記認証モジュールを用いて、前記アプリケーション層相互作用を認可する前記命令は、電話ネットワーク認証システム経由で認証を引き起こす命令を含む、請求項1に記載の装置。
【請求項14】
位置決めシステムをさらに備える、請求項1に記載の装置。
【請求項15】
前記位置決めシステムは、グローバルポジショニングシステム(GPS)を備える、請求項14に記載の装置。
【請求項16】
前記アプリケーションソフトウェアは、前記位置決めシステムにアクセスする命令と、前記データ通信ネットワークを介するロケーション情報を提供する命令とを備える、請求項14に記載の装置。
【請求項17】
取り外し可能なデバイスから実行可能なソフトウェアをロードすることと、
ソフトウェアを実行することであって、
該取り外し可能なデバイス上の認証モジュールにアクセスすることと、
データ通信ネットワークを介してリモートサーバと通信することと、
該認証モジュールを用いて、該リモートサーバとのアプリケーション層相互作用を認可することと
を含む、ソフトウェアを実行することと
を包含する、方法。
【請求項18】
前記ソフトウェアを実行することは、前記取り外し可能なデバイスが取り付けられる移動コンピュータシステム上で実行される、請求項17に記載の方法。
【請求項19】
前記取り外し可能なデバイスを前記コンピュータシステムに取り付けることをさらに包含する、請求項18に記載の方法。
【請求項20】
前記ソフトウェアを実行することは、通信アプリケーションを実行することを包含する、請求項17に記載の方法。
【請求項21】
前記通信アプリケーションを実行することは、ソフトフォンアプリケーションを実行することを包含する、請求項20に記載の方法。
【請求項22】
データ通信ネットワークを介して、クライアントからアプリケーション層リクエストを受信することと、
電気通信ネットワークを介する認証サービスを用いて、該クライアント向けの認証交換を実行することであって、該クライアント向けの認証データを受信することを含む、認証交換を実行することと、
該認証データを用いて、該データ通信ネットワークを介して、該クライアントと認証交換を実行することと
を包含する、方法。
【請求項23】
前記アプリケーション層リクエストを受信することは、セッション開始リクエストを受信することを含む、請求項22に記載の方法。
【請求項24】
前記セッション開始リクエストを受信することは、セッション開始プロトコル(SIP)登録リクエストを受信することを含む、請求項23に記載の方法。
【請求項25】
前記電気通信ネットワークを介して前記認証交換を実行することは、該電気通信ネットワークにアクセスする移動局用の認証交換をエミュレートすることを含む、請求項22に記載の方法。
【請求項26】
前記クライアントと前記認証交換を実行した後に、前記データ通信ネットワークおよび前記電気通信ネットワークを経由して、該クライアント向けの通信サービスを提供することをさらに包含する、請求項22に記載の方法。
【請求項27】
コンテンツ配給業者で、データ通信ネットワークを介して、クライアントデバイスからコンテンツリクエストを受信することと、
該コンテンツ配給業者と認証サービスとの間の該クライアントデバイスに対し、認証交換を実行することであって、該コンテンツ配給業者で、該クライアントデバイスに対する認証データを受信することを含む、認証交換を実行することと、
該認証データを用いて、該クライアントデバイスに安全にコンテンツを分配することと
を包含する、方法。
【請求項28】
前記クライアントデバイスに前記コンテンツを安全に分配することは、前記認証サービスと該クライアントデバイスとの間で共有される秘密情報に基づいて、暗号化を実行することを包含する、請求項27に記載の方法。
【請求項29】
前記認証サービスと前記クライアントデバイスとの間で共有される前記秘密情報は、前記クライアントデバイスで、認証モジュール上に格納された情報を含む、請求項28に記載の方法。
【請求項30】
前記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも一つを備える、請求項29に記載の方法。
【請求項31】
前記認証サービスは、前記クライアントデバイスの製造業者、移動ネットワークオペレータ、クレジットカード会社、コンピュータまたはソフトウェアの会社、およびメディア販売業者のうちの少なくとも1つと関連する、請求項27に記載の方法。
【請求項32】
1つ以上の認証センタと、
該認証センタと通信する複数のコンテンツ配給業者であって、該コンテンツ配給業者のうちの少なくとも一部は、該認証センタのうちの共通の1つの認証センタと通信中する、複数のコンテンツ配給業者と、
複数のクライアントデバイスであって、各クライアントデバイスは、該コンテンツ配給業者の1つ以上からコンテンツを安全に受信するように構成され、各クライアントデバイスは、該コンテンツ配給業者に該クライアントデバイスを認証するために使用する認証モジュールを含む、複数のクライアントデバイスと
を備え、
各コンテンツ配給業者は、該認証センタのうちの1つと、クライアントデバイスとの認証交換とを用いて、該クライアントデバイスを認証し、
該クライアントデバイスに送信するために、コンテンツを暗号化して安全にするように構成され、該安全にされたコンテンツが、そのクライアントで、該認証モジュールを用いてアクセス可能になる、権利管理システム。
【請求項33】
前記クライアントデバイスでの前記認証モジュールは、加入者識別モジュール(SIM)、汎用加入者識別モジュール(USIM)、3GPP IPマルチメディアサブシステムサービス識別モジュール(ISIM)、およびCDMAまたは3GPP2ネットワークと互換性を有するモジュールのうちの少なくとも1つを備える、請求項32に記載の権利管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2008−27423(P2008−27423A)
【公開日】平成20年2月7日(2008.2.7)
【国際特許分類】
【外国語出願】
【出願番号】特願2007−96929(P2007−96929)
【出願日】平成19年4月2日(2007.4.2)
【出願人】(505061643)ブリッジポート ネットワークス, インコーポレイテッド (8)
【Fターム(参考)】
【公開日】平成20年2月7日(2008.2.7)
【国際特許分類】
【出願番号】特願2007−96929(P2007−96929)
【出願日】平成19年4月2日(2007.4.2)
【出願人】(505061643)ブリッジポート ネットワークス, インコーポレイテッド (8)
【Fターム(参考)】
[ Back to top ]