通信デバイスへの接続を許可する分散認証システム及び方法
本発明では、携帯電話又は通信デバイスは、例えば無線経由プログラミング(over-the-air programming; OAP)を介して受信するアプリケーションによって行われるデバイス固有データへの接続リクエストを途中で捕捉する。デバイス固有データは、IMEI又は他のシリアル値、或いは加入者識別子値のようなハードウェア識別子、電話帳、コンタクト・リスト、メッセージング情報又は他の情報等の個人設定を含む。アプリケーションによるそのようなタイプのデータへの接続リクエストは、例えば通信デバイスで実行されるアプリケーション・プログラミング・インターフェースによって途中で捕捉される。アプリケーション・プログラミング・インターフェースは、リクエストを行っているアプリケーションを識別する情報と共に、当該リクエストをリモート認証サーバに送信する。機器は、アプリケーション識別子又は他の情報を、デバイス固有データへの接続が認証されているアプリケーション群から成るリスト又はテーブルと比較する。承認、拒否、保留又は他の決定をデバイスに返信して、それに応じて接続を承認又は拒否することができる。リモート・ホスト・サーバに対するこのようなデータのリクエスト手順によって、例えばウィルス、ローグ・アプリケーション又は他のタイプのウィルス侵入によって機密性のあるデータとの接続が行なわれるか、又はデータが壊れる、という事態を防止することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は通信分野に関し、特に、携帯電話又は他のデバイスの電話帳、ハードウェア識別子又は他のデータのようなデータであって、オンボード・アプリケーションによって行なわれる移動体ユニットのデータとの接続を、リモート・サーバ又は他のリソースに対して実行される認証プロセスによって規制する分散認証システムに関する。
【0002】
関連出願
本出願の主たる内容は、本出願と同一日に出願され、本出願と発明者が同一であり、本出願と同じ事業体に譲渡されるか、又は譲渡する義務のある「通信デバイスに対する分散認証及び分散認証の無線経由(over−the−air)プロビジョニングを可能にするシステム及び方法」と題する米国出願の整理番号CM03699Jの主たる内容に関するものであり、この出願を本明細書において参照することによりその内容が本発明の開示に含まれ、かつこの出願はモトローラ社に譲渡される。
【背景技術】
【0003】
多くの携帯電話及び他の通信デバイスは、今では種々の方法によりプログラムすることができる。例えば、多くの携帯電話は、繰り返し使用するか、又は重要な電話番号を利便性よく記憶してダイアルするための編集可能な電話帳を含む。他の携帯電話又は他のデバイスは、グラフィカル・ユーザ・インターフェース、ボイス・コマンド、又は他のインターフェースのいずれを使用するのかに関係なく、ウェブ・ブラウジング、ファイル・シェアリング、及び他の先端機能を備える。更に、GPS又は他の位置特定サービスを利用して、ハンドセットの位置を追跡、記録、及び送受信する機能のような統合位置特定機能を備える携帯電話が利用できるようになっている。他のサービスが現在展開中であり、展開予定である。Javaプログラミング言語を用いる標準としての無線経由(over−the−air)プログラミング(OAP)標準によって、このようなサービスのオンデマンド形態での、又は他の形態での配信が高機能化している。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、携帯電話及び他のデバイスのプログラム性が高くなるのに伴い、リスクが生じる。ハンドセット及び他のデバイスは、種々の機密性のある、又は個人的な情報を記憶するための記憶能力及び性能を有することができ、このような情報としては、例えばハンドセットの国際移動機器識別子(International Mobile Equipment Identity:IMEI)データ、通話加入者識別モジュール(subscriber identity module:SIM)ID又は他の関連データ、モジュール割り当て番号(number assignment module:NAM)データ、モバイル識別番号(mobile identification number:MIN)データ、電子シリアル番号(electronic serial number:ESN)データ、電話帳、位置追跡情報、又は他の情報が挙げられる。Javaコード又は他の無線経由コード(over−the−air code)を承認するデバイスには、ウィルス、有害なゲーム又は着信音、或いは他のコード又はデータ等の悪意のあるコードによるセキュリティ・リスクが生じ得る。一旦、悪意のあるプロセスがデバイスに侵入すると、ユーザの重要なハードウェア、電話帳、位置特定データ又は他のデータが危険に晒され、欠陥が生じる。
【0005】
ハードウェア、電話帳、又は他のデータとの接続を許可する前に、ユーザの立場に立ったセキュリティ対策をハンドセット・インターフェースのパスワードを要求するような形で取り入れることができるが、無線経由(over−the−air)及び他の脅威主体により、移動体デバイス及びそのデータの完全性がテストされ続けられる。例えばアプリケーション・プログラミング・インターフェース(application programming interfaces:API)及び他のオープン・ポート又はインターフェース等の比較的低レベルのデバイスに入り込む低レベルコードを通してテストが行われる。通信デバイスでは、改良されたコア・レベルのセキュリティが望まれる。この他にも問題が存在する。
【課題を解決するための手段】
【0006】
先行技術におけるこれらの問題及び他の問題を解決する本発明は、一つの態様において通信デバイスとの接続を可能にする分散認証システム及び方法に関する。このシステム及び方法では、他の通信デバイスの携帯電話が、Java又は他のアプリケーションによって機密性のあるオンボードデータのリクエストを受信するように構成される。デバイス自体の任意のレベルのデータと接続しようとするユーザ又はプロセスに対して自律認証を行なう代わりに、本発明によれば、認証プロセスはリモート・サーバ又は他のリソースを介して開始する。一実施形態においては、通信デバイスは、内部においてプログラムを実行するアプリケーション・プログラミングインターフェース(API)を備え、このインターフェースを通して、機密性のあるデータへの全てのリクエストを行なうことができる。APIは、これらのリクエストを、例えば無線経由インターフェースを介してリモートサポートサーバに送信して認証を得る。一実施形態では、認証は、リクエストされるレベルのデータへの接続権限を有する有効なプログラム又はプロセスを列挙した接続許可リストとの照合により行なわれる。リクエストが正当であると確認されると、許可が通信デバイスに返信されて、リクエスト・コードによる所望のデータの取得が可能になる。
【発明を実施するための最良の形態】
【0007】
本発明について添付の図を参照しつつ説明するが、これらの図では、同様な構成要素は同様な参照番号が付されている。
図1は、本発明の一実施形態により動作する分散認証アーキテクチャを示している。当該図面に示されるように、通信デバイス102は認証サーバ118との無線通信し、通信デバイス102において実行されるアプリケーションによって行われる、デバイス固有データとの接続のためのリクエストを送信し、有効性を確認する。通信デバイス102は、例えば携帯電話、携帯情報端末(personal digital assistant:PDA)等のネットワーク利用の無線デバイス、又はIEEE 802.11bを装備する個人情報管理装置(personal information manager:PIM)、又は他の無線インターフェース、或いはIEEE 802.11bを装備するラップトップ又は他の携帯型コンピュータ、或いは他の無線インターフェース、又は他の通信デバイス又はクライアント・デバイスであるか、あるいは、それらのうちのいずれかを含む。通信デバイス102は、認証サーバ118とアンテナ112を介して、例えば800/900MHz,1.9GHz,2.4GHz又は他の周波数帯域で、或いは光リンク又は他のリンクを通して通信することができる。
【0008】
デバイス固有データ110は、例えばIMEIデータ、SIMからのデータ、チップレベルのデータ、電話帳又はコンタクト・リスト、或いは他の個人ユーザ設定、位置追跡、電子財布、スケジューリング、携帯電話サービス又は他の決済、ショート・メッセージ・サービス(SMS)又は他のテキストのようなメッセージング、又は他のメッセージング、或いは他のハードウェア関連情報、ユーザ情報又は他の情報であるか、又はそれらのうちのいずれかを含む。デバイス固有データ110は、通信デバイス102における、例えば電気的にプログラム可能なメモリ(EPROM)、フラッシュカード、又は他の電子媒体、光媒体又は他の媒体に記憶することができる。
【0009】
通信デバイス102は、一つ以上のアプリケーション104、例えばJavaアプリケーションを実行し、Javaアプリケーションは一実施形態においては、ジャバ・マイクロ・エディション(Java Micro Edition)アプリケーション,C又はC++或いは他のプログラム又はコードを含む。一実施形態においては、アプリケーション104は、例えばコンタクト・スケジューラ・アプリケーション、電話帳アプリケーション、ウェブ・ブラウジング・アプリケーション、財務アプリケーション、個人情報管理(PIM)アプリケーション、又は他のアプリケーション或いはサービスであるか、又はそれらのうちのいずれかを含む。一実施形態においては、アプリケーション104は、Javaモバイル情報デバイス・プロファイル(mobile information device profile:MIDP)標準に準拠するか、又は標準を使用して実行することができ、これらのアプリケーションは、MIDletsと呼ぶか、又は他の言語で書かれたものとするか、或いは他の環境で実行することができる。一実施形態においては、アプリケーション104は、アンテナ112を通して無線により受信されるか、又はケーブル接続によってダウンロードされるように、他のソースから受信されるか、或いは他のソースから記憶される。
【0010】
アプリケーション104は、アプリケーション・プログラミング・インターフェース106と通信する。インターフェース106は、認証サーバ118と、更には通信デバイス102において実行されるネイティブ・レイヤ108と通信する。アプリケーション・プログラミング・インターフェース106は、アプリケーション104のプログラミング・インターフェースとして機能して、通信デバイス102の一連のデバイス固有データ110に対するリクエストの仲介を行ない、かつ他のタスクを実行する。一実施形態において、アプリケーション・プログラミング・インターフェース106は、例えばネットワーク、ユーザ・インターフェース、データ属性及びデータコンテンツ、及び他のリソース等のデータ・クラス又はオブジェクト・クラスに対するアプリケーション接続可能なインターフェースとして機能する。ネイティブ・レイヤ108は、一実施形態において、通信デバイス102の比較的低いレベルで動作し、アプリケーション・プログラミング・インターフェース106によって提供されるデバイス固有データ110に対するリクエストを実行する。ネイティブ・レイヤ108は、例えば、一実施形態においては、監視、ファイル管理及びメモリ管理、及び他のタスクを実行する。
【0011】
アプリケーション104がデバイス固有データ110との接続リクエスト114を提示すると、当該データの完全性を保証し、当該情報に対して権限の無い、又は悪意のある接続が行なわれるのを防止するために、アプリケーション・プログラミング・インターフェース106は、デバイス固有データ110の開放を許可する前には必ず、当該接続リクエスト114をデバイスから離れた位置での処理(offboard processing)のためにシステム・レベルで捕捉する。
【0012】
詳しくは、アプリケーション・プログラミング・インターフェース106がデバイス固有データ110に対する接続リクエスト114をアプリケーション104から受信すると、アプリケーション・プログラミング・インターフェース106は認証サーバ118と通信して、当該接続リクエスト114の認証を行なう。アプリケーション・プログラミング・インターフェース106は、認証サーバ118とサーバ・アンテナ116、又は他の無線又は有線インターフェースを介して通信することができる。アプリケーション・プログラミング・インターフェース106は、接続リクエスト114を認証サーバ118に送信することができ、この接続リクエスト114は、例えば一連のデバイス固有データ110によりリクエストされるデータのタイプ、アプリケーション104に関する名前又は他の識別情報、最後の接続時間のような接続パラメータ、リクエストされる場合のパスワード、又はデバイス固有データ110の一部又は全部に対する接続リクエスト114に関連する他のデータを含む。
【0013】
認証サーバ118は、デバイス固有データ110との接続を要求する接続リクエスト114を処理する際にその接続リクエスト114と照合される一連の認証パラメータ120を維持する。図2に示すように、例えば認証パラメータ120は、認証テーブル124に維持することができ、この認証テーブルは認証サーバ118に記憶するか、又は認証サーバ118によりアクセスされる。認証テーブル124は、一連のアプリケーション識別子126(APP IDENTIFIER1,APP IDENTIFIER2 ... APP IDENTIFIERN,Nは任意の数)を含む。これらの一連のアプリケーション識別子は、一実施形態においてアプリケーション名、又は「phonebook.MID」,「contactlist.c」,「positiontrack.exe」又は他の名前、或いは表示等の他の識別子から成るリストを含んでもよい。認証テーブル124は、同様に、アプリケーション名又は他の表示によって関連付けられる一連の関連接続レベル128を含む。これらの接続レベルによって、任意のアプリケーション104がデバイス固有データ110との接続を許可されるかどうかが示され、かつ一実施形態において、当該接続がどのレベルで、又はどのような特権(例えば、読み出し、編集、又はその他)が付与されて許可されるのかが示される。
【0014】
アプリケーション104による許可申請中の接続リクエスト114が認証サーバ118により認証パラメータ120と照合されて、リクエストが正当であることを確認すると、認証サーバ118は認証メッセージ122を通信デバイス102に送信する。認証メッセージ122は、例えば、アプリケーション104がデバイス固有データ110との接続を行なうことができるコード、フラグ又は他の表示を含む。一実施形態では、認証メッセージ122は、更に別のフィールド又は変数を含んでもよく、これらのフィールド又は変数によって、デバイス固有データ110との接続を規制することができる。これらのフィールド又は変数としては、例えば特権フィールド又は特権フラグが挙げられ、これらの特権フィールド又は特権フラグによって、アプリケーション104がデバイス固有データ110を読み出す、変更する、消去する、又はデバイス固有データ110に関する他の動作を実行する権限を有しているかどうかが示される。認証メッセージ122は、タイムアウト・フィールドを含んでもよく、このタイムアウト・フィールドによってアプリケーション104が所望のデータとの接続を行なうことができる期間が設定され、この期間が経過すると認証期限が過ぎてしまう。他のセキュリティ変数を使用することができる。一実施形態では、例えば認証は、単一のアプリケーション104に対して、又は二以上のアプリケーションに対して、或いは異なる時間に異なるアプリケーションに対して行なうことができる。一実施形態では、認証メッセージ122に反映される、デバイス固有データ110との接続に関する認証は、当該データの異なる部分に対して異なるレベルで行なうことができ、いずれのレベルで行なうかは、データの特性、接続リクエスト114を行なうアプリケーション104の種類、及び他の要素によって変わる。
【0015】
通信デバイス102が認証メッセージ122を受信し、所望の接続が承認されると、アプリケーション・プログラミング・インターフェース106は接続リクエスト114をネイティブ・レイヤ108に供給し、ネイティブ・レイヤ108はデバイス固有データ110からリクエストされたデータを取得する。次に、ネイティブ・レイヤ108は取得したデバイス固有データ110と通信し、当該データがアプリケーション104に配信されるようにそのデータをアプリケーション・プログラミング・インターフェース106に供給する。次に、アプリケーション104はデバイス固有データ110のリクエストのあった一部又は全部を受け取り、かつ読み出して、当該データを処理するか、又は変更する。一実施形態では、アプリケーション104はまた、認証を受信して、変更データをデバイス固有データ110に格納し、このデバイス固有データ110をアンテナ112の無線インターフェースを通して送信するか、又は受信する認証のタイプ又はレベル、ネットワーク・セキュリティ及び他のパラメータに応じて他の動作を実行する。
【0016】
認証サーバ118が接続リクエスト114を認証パラメータ120と照合して接続リクエスト114を認証できない場合、認証メッセージ122は、アプリケーション104がデバイス固有データ110の一部又はいずれの部分にも接続することができないことを示す拒否フラグ又は他の表示子を含んでもよい。この場合、図3に示すように、一実施形態では、通信デバイス102はユーザに、アプリケーション又はサービスがデバイス固有情報又は機密性のある情報との接続を拒否されたことを通知する。図示のように、当該通知は、例えば文字メッセージその他により示される、図示のテキスト・インターフェース又はグラフィカル・ユーザ・インターフェース130に表示されるポップアップ・メッセージ132とすることができる。この通知によって、例えばユーザが通信デバイス102のアンチウィルス・ユーティリティ又は他のユーティリティを実行するか、又は他の動作を実行するかの判断を下し易くなる。一実施形態では、デバイス固有データ110との接続が拒否されることによってアプリケーション104の自動ロギング(automatic logging)、通信デバイス102へのアンチウィルス・ユーティリティ又は他のユーティリティの自動送信、或いは他の動作を起動することができる。
【0017】
本発明の一実施形態による通信デバイスに対する分散認証の全体的な処理を図4に示す。ステップ402では、アプリケーション104は、アプリケーション・プログラミング・インターフェース106及びネイティブ・レイヤ108を介してデバイス固有データ110の一つ以上の部分を通信デバイス102からAPIレベル又は他のレベルでリクエストする。ステップ404では、接続リクエスト114は認証サーバ118に、例えば無線経由(over−the−air)プロトコル(OTAP)により送信され、この認証サーバは、セキュア・ソケット・レイヤ(secure socket layer:SSL)、ハイパー・テキスト・トランスファー・プロトコル・セキュア(hyper text transfer protocol secure:HTTPS)等のセキュア・プロトコル又は他のプロトコル、或いは他のプロトコル又はインターフェースを使用して通信される。リクエストは、一実施形態では、アプリケーション104の名前又は他の識別子、リクエスト対象のデバイス固有データ110のタイプ、及び他の情報等のデータをカプセル化してもよい。
【0018】
ステップ406では、認証サーバ118は、アプリケーション104からの接続リクエスト114を認証パラメータ120、又は他のセキュリティ・フィールド又はテンプレートと照合し、認証判定を行ない、認証メッセージ122を通信デバイス102に送信する。認証メッセージ122は、接続リクエスト114が承認される、拒否される、保留されることを、更に情報が必要であることを、或いは他の動作を行なう必要があることを示す通知を含むことができる。ステップ408では、認証サーバ118から承認判定を受け取ると、ネイティブ・レイヤ108は、アプリケーション104による接続が認証されているデバイス固有データ110の一つ以上の部分を読み出す。ステップ410では、ネイティブ・レイヤ108は、アプリケーション104によるアプリケーション・プログラミング・インターフェース106への接続が認証されているデバイス固有データ110のうちの一つ以上の部分をアプリケーション・プログラミング・インターフェース106に送信する。ステップ412では、アプリケーション・プログラミング・インターフェース106は、リクエストされたデバイス固有データ110をアプリケーション104に送信する。次に処理を繰り返して、以前のポイントに戻り、更に処理を継続するか、又は終了する。
【0019】
本発明による通信デバイスとの接続に関する分散認証システム及び方法についての上記の説明は例示であり、この技術分野の当業者であれば構成及び実施形態に変更を加えることができるものと考えられる。例えば、本発明は概して、単一の認証サーバ118に関連する形で実施されるものとして説明したが、一実施形態においては、一つ以上のサーバ又は他のリソースを展開配置することができる。同様に、本発明は概して、認証を一連の認証パラメータと照合する形で行なうものとして説明したが、一実施形態においては、リクエストが認証される照合先となるセキュリティ・データは、複数のローカル・データ・ストア又はリモート・データ・ストアにより構成することができる。
【0020】
同様に、本発明は概して、中間ネイティブ・レイヤ108を有する通信デバイス102に関連する形で説明したが、実施形態においては、通信デバイス102は、当該タイプのローカル・レイヤを使用することなく、例えば認証サーバ118又は他のサーバに分散される幾つかの機能を使用して動作してもよい。通信デバイス102は、逆に、他の監視レイヤ又は複数の監視レイヤを含むか、或いはこれらのレイヤで動作してもよい。単体として記載される他のハードウェア、ソフトウェア又は他のリソースは、複数のリソース又は分散リソースとして具体化されてもよく、同時に分散される構成で記載される他のハードウェア、ソフトウェア又は他のリソースは同様に、統合リソースとして具体化されてもよい。従って本発明の技術範囲は、請求項によってのみ規定されるものである。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施形態による分散認証アーキテクチャを示す図。
【図2】本発明の一実施形態による認証パラメータを記憶するテーブルを例示する図。
【図3】本発明の一実施形態による認証通知を表示する通信デバイスのユーザ・インターフェースを示す図。
【図4】本発明の一実施形態による認証処理のフローチャートを示す図。
【技術分野】
【0001】
本発明は通信分野に関し、特に、携帯電話又は他のデバイスの電話帳、ハードウェア識別子又は他のデータのようなデータであって、オンボード・アプリケーションによって行なわれる移動体ユニットのデータとの接続を、リモート・サーバ又は他のリソースに対して実行される認証プロセスによって規制する分散認証システムに関する。
【0002】
関連出願
本出願の主たる内容は、本出願と同一日に出願され、本出願と発明者が同一であり、本出願と同じ事業体に譲渡されるか、又は譲渡する義務のある「通信デバイスに対する分散認証及び分散認証の無線経由(over−the−air)プロビジョニングを可能にするシステム及び方法」と題する米国出願の整理番号CM03699Jの主たる内容に関するものであり、この出願を本明細書において参照することによりその内容が本発明の開示に含まれ、かつこの出願はモトローラ社に譲渡される。
【背景技術】
【0003】
多くの携帯電話及び他の通信デバイスは、今では種々の方法によりプログラムすることができる。例えば、多くの携帯電話は、繰り返し使用するか、又は重要な電話番号を利便性よく記憶してダイアルするための編集可能な電話帳を含む。他の携帯電話又は他のデバイスは、グラフィカル・ユーザ・インターフェース、ボイス・コマンド、又は他のインターフェースのいずれを使用するのかに関係なく、ウェブ・ブラウジング、ファイル・シェアリング、及び他の先端機能を備える。更に、GPS又は他の位置特定サービスを利用して、ハンドセットの位置を追跡、記録、及び送受信する機能のような統合位置特定機能を備える携帯電話が利用できるようになっている。他のサービスが現在展開中であり、展開予定である。Javaプログラミング言語を用いる標準としての無線経由(over−the−air)プログラミング(OAP)標準によって、このようなサービスのオンデマンド形態での、又は他の形態での配信が高機能化している。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、携帯電話及び他のデバイスのプログラム性が高くなるのに伴い、リスクが生じる。ハンドセット及び他のデバイスは、種々の機密性のある、又は個人的な情報を記憶するための記憶能力及び性能を有することができ、このような情報としては、例えばハンドセットの国際移動機器識別子(International Mobile Equipment Identity:IMEI)データ、通話加入者識別モジュール(subscriber identity module:SIM)ID又は他の関連データ、モジュール割り当て番号(number assignment module:NAM)データ、モバイル識別番号(mobile identification number:MIN)データ、電子シリアル番号(electronic serial number:ESN)データ、電話帳、位置追跡情報、又は他の情報が挙げられる。Javaコード又は他の無線経由コード(over−the−air code)を承認するデバイスには、ウィルス、有害なゲーム又は着信音、或いは他のコード又はデータ等の悪意のあるコードによるセキュリティ・リスクが生じ得る。一旦、悪意のあるプロセスがデバイスに侵入すると、ユーザの重要なハードウェア、電話帳、位置特定データ又は他のデータが危険に晒され、欠陥が生じる。
【0005】
ハードウェア、電話帳、又は他のデータとの接続を許可する前に、ユーザの立場に立ったセキュリティ対策をハンドセット・インターフェースのパスワードを要求するような形で取り入れることができるが、無線経由(over−the−air)及び他の脅威主体により、移動体デバイス及びそのデータの完全性がテストされ続けられる。例えばアプリケーション・プログラミング・インターフェース(application programming interfaces:API)及び他のオープン・ポート又はインターフェース等の比較的低レベルのデバイスに入り込む低レベルコードを通してテストが行われる。通信デバイスでは、改良されたコア・レベルのセキュリティが望まれる。この他にも問題が存在する。
【課題を解決するための手段】
【0006】
先行技術におけるこれらの問題及び他の問題を解決する本発明は、一つの態様において通信デバイスとの接続を可能にする分散認証システム及び方法に関する。このシステム及び方法では、他の通信デバイスの携帯電話が、Java又は他のアプリケーションによって機密性のあるオンボードデータのリクエストを受信するように構成される。デバイス自体の任意のレベルのデータと接続しようとするユーザ又はプロセスに対して自律認証を行なう代わりに、本発明によれば、認証プロセスはリモート・サーバ又は他のリソースを介して開始する。一実施形態においては、通信デバイスは、内部においてプログラムを実行するアプリケーション・プログラミングインターフェース(API)を備え、このインターフェースを通して、機密性のあるデータへの全てのリクエストを行なうことができる。APIは、これらのリクエストを、例えば無線経由インターフェースを介してリモートサポートサーバに送信して認証を得る。一実施形態では、認証は、リクエストされるレベルのデータへの接続権限を有する有効なプログラム又はプロセスを列挙した接続許可リストとの照合により行なわれる。リクエストが正当であると確認されると、許可が通信デバイスに返信されて、リクエスト・コードによる所望のデータの取得が可能になる。
【発明を実施するための最良の形態】
【0007】
本発明について添付の図を参照しつつ説明するが、これらの図では、同様な構成要素は同様な参照番号が付されている。
図1は、本発明の一実施形態により動作する分散認証アーキテクチャを示している。当該図面に示されるように、通信デバイス102は認証サーバ118との無線通信し、通信デバイス102において実行されるアプリケーションによって行われる、デバイス固有データとの接続のためのリクエストを送信し、有効性を確認する。通信デバイス102は、例えば携帯電話、携帯情報端末(personal digital assistant:PDA)等のネットワーク利用の無線デバイス、又はIEEE 802.11bを装備する個人情報管理装置(personal information manager:PIM)、又は他の無線インターフェース、或いはIEEE 802.11bを装備するラップトップ又は他の携帯型コンピュータ、或いは他の無線インターフェース、又は他の通信デバイス又はクライアント・デバイスであるか、あるいは、それらのうちのいずれかを含む。通信デバイス102は、認証サーバ118とアンテナ112を介して、例えば800/900MHz,1.9GHz,2.4GHz又は他の周波数帯域で、或いは光リンク又は他のリンクを通して通信することができる。
【0008】
デバイス固有データ110は、例えばIMEIデータ、SIMからのデータ、チップレベルのデータ、電話帳又はコンタクト・リスト、或いは他の個人ユーザ設定、位置追跡、電子財布、スケジューリング、携帯電話サービス又は他の決済、ショート・メッセージ・サービス(SMS)又は他のテキストのようなメッセージング、又は他のメッセージング、或いは他のハードウェア関連情報、ユーザ情報又は他の情報であるか、又はそれらのうちのいずれかを含む。デバイス固有データ110は、通信デバイス102における、例えば電気的にプログラム可能なメモリ(EPROM)、フラッシュカード、又は他の電子媒体、光媒体又は他の媒体に記憶することができる。
【0009】
通信デバイス102は、一つ以上のアプリケーション104、例えばJavaアプリケーションを実行し、Javaアプリケーションは一実施形態においては、ジャバ・マイクロ・エディション(Java Micro Edition)アプリケーション,C又はC++或いは他のプログラム又はコードを含む。一実施形態においては、アプリケーション104は、例えばコンタクト・スケジューラ・アプリケーション、電話帳アプリケーション、ウェブ・ブラウジング・アプリケーション、財務アプリケーション、個人情報管理(PIM)アプリケーション、又は他のアプリケーション或いはサービスであるか、又はそれらのうちのいずれかを含む。一実施形態においては、アプリケーション104は、Javaモバイル情報デバイス・プロファイル(mobile information device profile:MIDP)標準に準拠するか、又は標準を使用して実行することができ、これらのアプリケーションは、MIDletsと呼ぶか、又は他の言語で書かれたものとするか、或いは他の環境で実行することができる。一実施形態においては、アプリケーション104は、アンテナ112を通して無線により受信されるか、又はケーブル接続によってダウンロードされるように、他のソースから受信されるか、或いは他のソースから記憶される。
【0010】
アプリケーション104は、アプリケーション・プログラミング・インターフェース106と通信する。インターフェース106は、認証サーバ118と、更には通信デバイス102において実行されるネイティブ・レイヤ108と通信する。アプリケーション・プログラミング・インターフェース106は、アプリケーション104のプログラミング・インターフェースとして機能して、通信デバイス102の一連のデバイス固有データ110に対するリクエストの仲介を行ない、かつ他のタスクを実行する。一実施形態において、アプリケーション・プログラミング・インターフェース106は、例えばネットワーク、ユーザ・インターフェース、データ属性及びデータコンテンツ、及び他のリソース等のデータ・クラス又はオブジェクト・クラスに対するアプリケーション接続可能なインターフェースとして機能する。ネイティブ・レイヤ108は、一実施形態において、通信デバイス102の比較的低いレベルで動作し、アプリケーション・プログラミング・インターフェース106によって提供されるデバイス固有データ110に対するリクエストを実行する。ネイティブ・レイヤ108は、例えば、一実施形態においては、監視、ファイル管理及びメモリ管理、及び他のタスクを実行する。
【0011】
アプリケーション104がデバイス固有データ110との接続リクエスト114を提示すると、当該データの完全性を保証し、当該情報に対して権限の無い、又は悪意のある接続が行なわれるのを防止するために、アプリケーション・プログラミング・インターフェース106は、デバイス固有データ110の開放を許可する前には必ず、当該接続リクエスト114をデバイスから離れた位置での処理(offboard processing)のためにシステム・レベルで捕捉する。
【0012】
詳しくは、アプリケーション・プログラミング・インターフェース106がデバイス固有データ110に対する接続リクエスト114をアプリケーション104から受信すると、アプリケーション・プログラミング・インターフェース106は認証サーバ118と通信して、当該接続リクエスト114の認証を行なう。アプリケーション・プログラミング・インターフェース106は、認証サーバ118とサーバ・アンテナ116、又は他の無線又は有線インターフェースを介して通信することができる。アプリケーション・プログラミング・インターフェース106は、接続リクエスト114を認証サーバ118に送信することができ、この接続リクエスト114は、例えば一連のデバイス固有データ110によりリクエストされるデータのタイプ、アプリケーション104に関する名前又は他の識別情報、最後の接続時間のような接続パラメータ、リクエストされる場合のパスワード、又はデバイス固有データ110の一部又は全部に対する接続リクエスト114に関連する他のデータを含む。
【0013】
認証サーバ118は、デバイス固有データ110との接続を要求する接続リクエスト114を処理する際にその接続リクエスト114と照合される一連の認証パラメータ120を維持する。図2に示すように、例えば認証パラメータ120は、認証テーブル124に維持することができ、この認証テーブルは認証サーバ118に記憶するか、又は認証サーバ118によりアクセスされる。認証テーブル124は、一連のアプリケーション識別子126(APP IDENTIFIER1,APP IDENTIFIER2 ... APP IDENTIFIERN,Nは任意の数)を含む。これらの一連のアプリケーション識別子は、一実施形態においてアプリケーション名、又は「phonebook.MID」,「contactlist.c」,「positiontrack.exe」又は他の名前、或いは表示等の他の識別子から成るリストを含んでもよい。認証テーブル124は、同様に、アプリケーション名又は他の表示によって関連付けられる一連の関連接続レベル128を含む。これらの接続レベルによって、任意のアプリケーション104がデバイス固有データ110との接続を許可されるかどうかが示され、かつ一実施形態において、当該接続がどのレベルで、又はどのような特権(例えば、読み出し、編集、又はその他)が付与されて許可されるのかが示される。
【0014】
アプリケーション104による許可申請中の接続リクエスト114が認証サーバ118により認証パラメータ120と照合されて、リクエストが正当であることを確認すると、認証サーバ118は認証メッセージ122を通信デバイス102に送信する。認証メッセージ122は、例えば、アプリケーション104がデバイス固有データ110との接続を行なうことができるコード、フラグ又は他の表示を含む。一実施形態では、認証メッセージ122は、更に別のフィールド又は変数を含んでもよく、これらのフィールド又は変数によって、デバイス固有データ110との接続を規制することができる。これらのフィールド又は変数としては、例えば特権フィールド又は特権フラグが挙げられ、これらの特権フィールド又は特権フラグによって、アプリケーション104がデバイス固有データ110を読み出す、変更する、消去する、又はデバイス固有データ110に関する他の動作を実行する権限を有しているかどうかが示される。認証メッセージ122は、タイムアウト・フィールドを含んでもよく、このタイムアウト・フィールドによってアプリケーション104が所望のデータとの接続を行なうことができる期間が設定され、この期間が経過すると認証期限が過ぎてしまう。他のセキュリティ変数を使用することができる。一実施形態では、例えば認証は、単一のアプリケーション104に対して、又は二以上のアプリケーションに対して、或いは異なる時間に異なるアプリケーションに対して行なうことができる。一実施形態では、認証メッセージ122に反映される、デバイス固有データ110との接続に関する認証は、当該データの異なる部分に対して異なるレベルで行なうことができ、いずれのレベルで行なうかは、データの特性、接続リクエスト114を行なうアプリケーション104の種類、及び他の要素によって変わる。
【0015】
通信デバイス102が認証メッセージ122を受信し、所望の接続が承認されると、アプリケーション・プログラミング・インターフェース106は接続リクエスト114をネイティブ・レイヤ108に供給し、ネイティブ・レイヤ108はデバイス固有データ110からリクエストされたデータを取得する。次に、ネイティブ・レイヤ108は取得したデバイス固有データ110と通信し、当該データがアプリケーション104に配信されるようにそのデータをアプリケーション・プログラミング・インターフェース106に供給する。次に、アプリケーション104はデバイス固有データ110のリクエストのあった一部又は全部を受け取り、かつ読み出して、当該データを処理するか、又は変更する。一実施形態では、アプリケーション104はまた、認証を受信して、変更データをデバイス固有データ110に格納し、このデバイス固有データ110をアンテナ112の無線インターフェースを通して送信するか、又は受信する認証のタイプ又はレベル、ネットワーク・セキュリティ及び他のパラメータに応じて他の動作を実行する。
【0016】
認証サーバ118が接続リクエスト114を認証パラメータ120と照合して接続リクエスト114を認証できない場合、認証メッセージ122は、アプリケーション104がデバイス固有データ110の一部又はいずれの部分にも接続することができないことを示す拒否フラグ又は他の表示子を含んでもよい。この場合、図3に示すように、一実施形態では、通信デバイス102はユーザに、アプリケーション又はサービスがデバイス固有情報又は機密性のある情報との接続を拒否されたことを通知する。図示のように、当該通知は、例えば文字メッセージその他により示される、図示のテキスト・インターフェース又はグラフィカル・ユーザ・インターフェース130に表示されるポップアップ・メッセージ132とすることができる。この通知によって、例えばユーザが通信デバイス102のアンチウィルス・ユーティリティ又は他のユーティリティを実行するか、又は他の動作を実行するかの判断を下し易くなる。一実施形態では、デバイス固有データ110との接続が拒否されることによってアプリケーション104の自動ロギング(automatic logging)、通信デバイス102へのアンチウィルス・ユーティリティ又は他のユーティリティの自動送信、或いは他の動作を起動することができる。
【0017】
本発明の一実施形態による通信デバイスに対する分散認証の全体的な処理を図4に示す。ステップ402では、アプリケーション104は、アプリケーション・プログラミング・インターフェース106及びネイティブ・レイヤ108を介してデバイス固有データ110の一つ以上の部分を通信デバイス102からAPIレベル又は他のレベルでリクエストする。ステップ404では、接続リクエスト114は認証サーバ118に、例えば無線経由(over−the−air)プロトコル(OTAP)により送信され、この認証サーバは、セキュア・ソケット・レイヤ(secure socket layer:SSL)、ハイパー・テキスト・トランスファー・プロトコル・セキュア(hyper text transfer protocol secure:HTTPS)等のセキュア・プロトコル又は他のプロトコル、或いは他のプロトコル又はインターフェースを使用して通信される。リクエストは、一実施形態では、アプリケーション104の名前又は他の識別子、リクエスト対象のデバイス固有データ110のタイプ、及び他の情報等のデータをカプセル化してもよい。
【0018】
ステップ406では、認証サーバ118は、アプリケーション104からの接続リクエスト114を認証パラメータ120、又は他のセキュリティ・フィールド又はテンプレートと照合し、認証判定を行ない、認証メッセージ122を通信デバイス102に送信する。認証メッセージ122は、接続リクエスト114が承認される、拒否される、保留されることを、更に情報が必要であることを、或いは他の動作を行なう必要があることを示す通知を含むことができる。ステップ408では、認証サーバ118から承認判定を受け取ると、ネイティブ・レイヤ108は、アプリケーション104による接続が認証されているデバイス固有データ110の一つ以上の部分を読み出す。ステップ410では、ネイティブ・レイヤ108は、アプリケーション104によるアプリケーション・プログラミング・インターフェース106への接続が認証されているデバイス固有データ110のうちの一つ以上の部分をアプリケーション・プログラミング・インターフェース106に送信する。ステップ412では、アプリケーション・プログラミング・インターフェース106は、リクエストされたデバイス固有データ110をアプリケーション104に送信する。次に処理を繰り返して、以前のポイントに戻り、更に処理を継続するか、又は終了する。
【0019】
本発明による通信デバイスとの接続に関する分散認証システム及び方法についての上記の説明は例示であり、この技術分野の当業者であれば構成及び実施形態に変更を加えることができるものと考えられる。例えば、本発明は概して、単一の認証サーバ118に関連する形で実施されるものとして説明したが、一実施形態においては、一つ以上のサーバ又は他のリソースを展開配置することができる。同様に、本発明は概して、認証を一連の認証パラメータと照合する形で行なうものとして説明したが、一実施形態においては、リクエストが認証される照合先となるセキュリティ・データは、複数のローカル・データ・ストア又はリモート・データ・ストアにより構成することができる。
【0020】
同様に、本発明は概して、中間ネイティブ・レイヤ108を有する通信デバイス102に関連する形で説明したが、実施形態においては、通信デバイス102は、当該タイプのローカル・レイヤを使用することなく、例えば認証サーバ118又は他のサーバに分散される幾つかの機能を使用して動作してもよい。通信デバイス102は、逆に、他の監視レイヤ又は複数の監視レイヤを含むか、或いはこれらのレイヤで動作してもよい。単体として記載される他のハードウェア、ソフトウェア又は他のリソースは、複数のリソース又は分散リソースとして具体化されてもよく、同時に分散される構成で記載される他のハードウェア、ソフトウェア又は他のリソースは同様に、統合リソースとして具体化されてもよい。従って本発明の技術範囲は、請求項によってのみ規定されるものである。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施形態による分散認証アーキテクチャを示す図。
【図2】本発明の一実施形態による認証パラメータを記憶するテーブルを例示する図。
【図3】本発明の一実施形態による認証通知を表示する通信デバイスのユーザ・インターフェースを示す図。
【図4】本発明の一実施形態による認証処理のフローチャートを示す図。
【特許請求の範囲】
【請求項1】
通信デバイスのデータへの接続リクエストを処理するシステムであって、
デバイス固有データと、
前記デバイス固有データへの接続リクエストを生成する少なくとも一つのアプリケーションと、
リモート認証機器に対するインターフェースと、
前記通信デバイスに関連して動作するアプリケーション・プログラミング・インターフェースであって、前記少なくとも一つのアプリケーション及び前記デバイス固有データとの接続を行ない、前記デバイス固有データへの接続リクエストを前記リモート認証機器に前記インターフェースを介して送信して、認証判定を要求するアプリケーション・プログラミング・インターフェースと、を備えるシステム。
【請求項2】
請求項1記載のシステムにおいて、前記デバイス固有データは、国際移動機器識別子情報、加入者識別モジュール情報、モジュール割り当て番号情報、モバイル識別番号情報、電子シリアル番号情報、チップレベル情報、電話帳情報、コンタクト・リスト情報、位置追跡情報、電子財布情報、スケジューリング情報、決済情報、及びメッセージング情報のうちの少なくとも一つを含む、システム。
【請求項3】
請求項1記載のシステムにおいて、前記リモート認証機器に対する前記インターフェースは、無線インターフェースを含む、システム。
【請求項4】
請求項1記載のシステムにおいて、前記通信デバイスは、少なくとも一つの携帯電話及びネットワーク利用デジタル情報デバイスを含む、システム。
【請求項5】
請求項1記載のシステムにおいて、前記リモート認証機器はサーバを含む、システム。
【請求項6】
請求項1記載のシステムにおいて、前記リモート認証機器は認証パラメータ群の記憶部を含む、システム。
【請求項7】
請求項6記載のシステムにおいて、前記認証パラメータの前記記憶部は、少なくとも一連の認証アプリケーション識別子を含む、システム。
【請求項8】
請求項7記載のシステムにおいて、前記認証パラメータ群は更に、前記認証アプリケーション識別子に関連する認証レベルを含む、システム。
【請求項9】
請求項1記載のシステムにおいて、前記少なくとも一つのアプリケーションは、無線インターフェースを介して受信されるアプリケーションを含む、システム。
【請求項10】
請求項1記載のシステムにおいて、認証判定は、前記デバイス固有データへの接続の認証、前記デバイス固有データへの接続の拒否、前記デバイス固有データへの接続の保留、及び更なる認証判定を行なうための更なる情報のリクエストのうちの少なくとも一つを含む、システム。
【請求項1】
通信デバイスのデータへの接続リクエストを処理するシステムであって、
デバイス固有データと、
前記デバイス固有データへの接続リクエストを生成する少なくとも一つのアプリケーションと、
リモート認証機器に対するインターフェースと、
前記通信デバイスに関連して動作するアプリケーション・プログラミング・インターフェースであって、前記少なくとも一つのアプリケーション及び前記デバイス固有データとの接続を行ない、前記デバイス固有データへの接続リクエストを前記リモート認証機器に前記インターフェースを介して送信して、認証判定を要求するアプリケーション・プログラミング・インターフェースと、を備えるシステム。
【請求項2】
請求項1記載のシステムにおいて、前記デバイス固有データは、国際移動機器識別子情報、加入者識別モジュール情報、モジュール割り当て番号情報、モバイル識別番号情報、電子シリアル番号情報、チップレベル情報、電話帳情報、コンタクト・リスト情報、位置追跡情報、電子財布情報、スケジューリング情報、決済情報、及びメッセージング情報のうちの少なくとも一つを含む、システム。
【請求項3】
請求項1記載のシステムにおいて、前記リモート認証機器に対する前記インターフェースは、無線インターフェースを含む、システム。
【請求項4】
請求項1記載のシステムにおいて、前記通信デバイスは、少なくとも一つの携帯電話及びネットワーク利用デジタル情報デバイスを含む、システム。
【請求項5】
請求項1記載のシステムにおいて、前記リモート認証機器はサーバを含む、システム。
【請求項6】
請求項1記載のシステムにおいて、前記リモート認証機器は認証パラメータ群の記憶部を含む、システム。
【請求項7】
請求項6記載のシステムにおいて、前記認証パラメータの前記記憶部は、少なくとも一連の認証アプリケーション識別子を含む、システム。
【請求項8】
請求項7記載のシステムにおいて、前記認証パラメータ群は更に、前記認証アプリケーション識別子に関連する認証レベルを含む、システム。
【請求項9】
請求項1記載のシステムにおいて、前記少なくとも一つのアプリケーションは、無線インターフェースを介して受信されるアプリケーションを含む、システム。
【請求項10】
請求項1記載のシステムにおいて、認証判定は、前記デバイス固有データへの接続の認証、前記デバイス固有データへの接続の拒否、前記デバイス固有データへの接続の保留、及び更なる認証判定を行なうための更なる情報のリクエストのうちの少なくとも一つを含む、システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2006−514763(P2006−514763A)
【公表日】平成18年5月11日(2006.5.11)
【国際特許分類】
【出願番号】特願2004−565539(P2004−565539)
【出願日】平成15年12月16日(2003.12.16)
【国際出願番号】PCT/US2003/040125
【国際公開番号】WO2004/062243
【国際公開日】平成16年7月22日(2004.7.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
JAVA
【出願人】(390009597)モトローラ・インコーポレイテッド (649)
【氏名又は名称原語表記】MOTOROLA INCORPORATED
【Fターム(参考)】
【公表日】平成18年5月11日(2006.5.11)
【国際特許分類】
【出願日】平成15年12月16日(2003.12.16)
【国際出願番号】PCT/US2003/040125
【国際公開番号】WO2004/062243
【国際公開日】平成16年7月22日(2004.7.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
JAVA
【出願人】(390009597)モトローラ・インコーポレイテッド (649)
【氏名又は名称原語表記】MOTOROLA INCORPORATED
【Fターム(参考)】
[ Back to top ]