難読化された移動デバイス・ユーザ識別を用いた移動デバイス
【課題】難読化された移動デバイス・ユーザ識別を用いた移動デバイスを提供する。
【解決手段】一般に移動デバイスの要求に付随する移動デバイス識別子(MSISDNなど)が、移動デバイス・ユーザのホーム・オペレータを明らかにしながらも移動デバイスの(およびひいては、デバイス・ユーザの)識別を難読化する「強化型」識別子によって代替される。一実施形態では、識別子は、第1部分と第2部分とを含む。第1部分は、移動デバイス・ユーザのホーム・オペレータを(直接あるいはデータベース検索を通じて)特定するデータ列を含む。一方、第2部分は不透明なデータ列であり、1度だけ使用する一意の識別子(UID)、あるいはMSISDN(または同様のもの)の関数としてその他の形で導き出された値などである。不透明なデータ列は、好ましくはユーザのホーム・オペレータ(またはユーザのホーム・オペレータにより権限を付与されたエンティティ)によってのみ元に戻すことのできるやり方で、移動デバイスの識別を符号化する。移動デバイス・ユーザがフォーリン・ネットワークへローミングする際、そのネットワークは、MSISDNの代わりに強化型識別子を受信する。フォーリン・ネットワークは、第1部分を使って移動デバイス・ユーザのホーム・ネットワークを特定し、例えば、要求されたアクセスを許可するかどうか(または、他の何らかの付加価値サービスを提供するかどうか)の判断などを行う。ただしフォーリン・ネットワークは、第2部分を復号することはできない;故に、移動デバイスの識別(ならびに移動デバイス・ユーザの識別)は、不明なままである。これにより、ユーザのプライバシが確実に維持されるようにすると同時に、第三者がMSISDNまたは同様の識別子を含んだ要求に基づいてデバイスのプロファイルを構築するのを阻止する。
【解決手段】一般に移動デバイスの要求に付随する移動デバイス識別子(MSISDNなど)が、移動デバイス・ユーザのホーム・オペレータを明らかにしながらも移動デバイスの(およびひいては、デバイス・ユーザの)識別を難読化する「強化型」識別子によって代替される。一実施形態では、識別子は、第1部分と第2部分とを含む。第1部分は、移動デバイス・ユーザのホーム・オペレータを(直接あるいはデータベース検索を通じて)特定するデータ列を含む。一方、第2部分は不透明なデータ列であり、1度だけ使用する一意の識別子(UID)、あるいはMSISDN(または同様のもの)の関数としてその他の形で導き出された値などである。不透明なデータ列は、好ましくはユーザのホーム・オペレータ(またはユーザのホーム・オペレータにより権限を付与されたエンティティ)によってのみ元に戻すことのできるやり方で、移動デバイスの識別を符号化する。移動デバイス・ユーザがフォーリン・ネットワークへローミングする際、そのネットワークは、MSISDNの代わりに強化型識別子を受信する。フォーリン・ネットワークは、第1部分を使って移動デバイス・ユーザのホーム・ネットワークを特定し、例えば、要求されたアクセスを許可するかどうか(または、他の何らかの付加価値サービスを提供するかどうか)の判断などを行う。ただしフォーリン・ネットワークは、第2部分を復号することはできない;故に、移動デバイスの識別(ならびに移動デバイス・ユーザの識別)は、不明なままである。これにより、ユーザのプライバシが確実に維持されるようにすると同時に、第三者がMSISDNまたは同様の識別子を含んだ要求に基づいてデバイスのプロファイルを構築するのを阻止する。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本願は、以下の米国特許出願に関連する:
2007年5月24日に出願された、名称を「Method and apparatus for accessing a foreign network with an obfuscated mobile device user identity」とする、米国特許出願第11/752988号。
2007年5月24日に出願された、名称を「Method and apparatus for managing obfuscated mobile device user identities」とする、米国特許出願第11/752962号。
【0002】
本発明の技術分野
本発明は、全般的に、移動ネットワーキング環境においてプライバシ保護を維持することに関する。
【背景技術】
【0003】
移動環境内では、一般に移動デバイス・ユーザは、モバイル・オペレータのネットワークへアクセスするために各自が使用するデバイスに基づいて特定される。ユーザが、どこへ移動してもなお移動接続性を有する機能を求めるため、移動ネットワークのオペレータは、「ローミング」をサポートするように取り計らい、その結果特定のカバレージ・エリアにおいてユーザのホーム・オペレータが何もサービスを提供していない場合であっても、ユーザが自分のオペレータのサービスへアクセスできるようにしてきた。このことは、ユーザの移動デバイスがローミングした「フォーリン」ネットワークへ、このデバイスがアクセスできるようにすることによって、達成される。
【0004】
一般に、ネットワーク・オペレータは、デバイス/ユーザに結び付けられたデバイス電話番号(MSISDN)または同様の識別子といった情報のタグをユーザのサービス要求へ付加することによって、移動デバイス・ユーザを特定する。故に、移動デバイスがフォーリン・ネットワークへとローミングしてサービスを要求する場合、一般に、そのデバイスが自分のMSISDNまたはIMSIをローカルのサービス・オペレータへ伝え、その結果このローカルのサービス・オペレータが、ユーザの識別(または最低限でも、ユーザの移動デバイス識別)を知った上でではあるが、要求されたサービスを提供することができる。そのような識別子は、ユーザのホーム・ネットワーク・オペレータを特定しつつ、ユーザの移動デバイス、ひいてはユーザにも結び付けられている。
【発明の概要】
【発明が解決しようとする課題】
【0005】
フォーリン・ネットワークへ接続され認証されると、ユーザは、自分のデバイスを使用してサービスを受けることができる。例えばユーザは、ミニ・ブラウザを用いてウェブ・サイトへアクセスしコンテンツの一部を入手することができる。移動デバイスの要求はデバイス識別子を含んでいるので、理論上、第三者であるコンテンツ・プロバイダが、ユーザの不変の識別(すなわち、MSISDNまたはIMSI)へアクセスできる。プライバシおよび競合の問題がますます一般化するにつれ、ネットワーク・オペレータは、もはや、こうした識別子を暗号化せずにユーザの要求の中に入れることはできなくなっている。実際に、欧州の一部のプライバシ擁護派により、MSISDNを移動サービス要求に含めることはプライバシ法に関わるとの指摘が出てきており、さらにはそのような識別子はネットワーク層から全面的に排除されるべきであるという提案もなされてきた。このような課題に導かれて、多くのネットワーク・オペレータが、例えばユーザの要求から識別子を完全に排除するなどといった別の方法を検討している。このようなソリューションはプライバシの厄介な問題を回避する一方で、今度は、フォーリン・ネットワークのオペレータでさえも、ユーザもしくはそのユーザのホーム・オペレータを特定することがもはや不可能になるため、別の複雑な問題を生じさせる。
【0006】
移動サービス要求にデバイス識別子を含めることはさらに、任意のエンティティがそのデータにアクセスして移動デバイスのプロファイルを構築することを可能にする。理論的には、このプロファイルが移動デバイス・ユーザへマッピングされる可能性があり、このことは望ましいことではないと考えられる。
【課題を解決するための手段】
【0007】
本発明の一態様によれば、一般に移動デバイス要求に付随する移動デバイス識別子(MSISDNまたは他の同様の識別子など)が、移動デバイス・ユーザのホーム・オペレータを明らかにする一方で移動デバイス(およびひいては、デバイス・ユーザ)の識別を難読化する新しい「強化型」識別子によって、置き換えられる(あるいは、少なくとも補われる)。一実施形態では、強化型識別子が、第1部分と第2部分とを含む。第1部分は、移動デバイス・ユーザのホーム・オペレータを(直接またはデータ・ベース検索を通じて)特定するデータ列を含む。第2部分は、1度だけ使用する一意の識別子(UID:unique identifier)、あるいはMSISDN(または同様のもの)の関数としてその他の形で導き出された値などの、不透明なデータ列である。オペレータのホーム・ネットワークの識別を突き止めるのにいかなるネットワークによっても使用可能な第1部分とは異なり、不透明なデータ列は、好ましくはユーザのホーム・オペレータ(またはユーザのホーム・オペレータにより権限を付与されたエンティティ)によってのみ元に戻すことが可能なやり方で、移動デバイスの識別を符号化する。第2部分は、第1部分の後ろに付加されてもよいし、あるいはその逆でもよい。第2部分は、セキュリティを強化するために、定期的(例えば数日ごと)に変更されることが好ましい。
【0008】
一実施形態では、一意の識別子が、好ましくは定期的に、ユーザのホーム・ネットワーク・プロバイダ(HNP:home network provider)によって設定されて移動デバイスへダウンロードされる。最初、HNPは、移動デバイスのHNPネットワークへの登録中に(デバイスとHNPとの間の)交渉の一環として、この値を設定することができる。HNPは、ユーザがローミングしているときでも、例えば移動デバイスへダウンロードされておりHNPと安全なチャネルを使って通信するアプリケーションを使用するなどして、この値を設定することができる。
【0009】
別の実施形態では、移動デバイス自体が、強化型識別子を生成する。この選択肢で十分となるのは、デバイスが、長期間にわたりローミングしていてHNPネットワークを離れている場合であろう。
【0010】
1つの使用シナリオでは、移動デバイス・ユーザがフォーリン・ネットワークへローミングし、このデバイスがサービスを求めて最初の要求を行うとき、フォーリン・ネットワークは、好ましくはMSISDNなどの識別子の代わりに、強化型識別子を受信する。フォーリン・ネットワークは、例えば要求されたアクセスを許可する(あるいは他の何らかの付加価値サービスを提供する)かどうかを判断するために、第1部分を使って移動デバイス・ユーザのホーム・ネットワークを特定する。しかし、フォーリン・ネットワークは、第2部分を復号することはできない;故に、移動デバイスの識別(ならびに移動デバイス・ユーザの識別)は、不明のままである。依然として、フォーリン・ネットワークは、HNPからフォーリン・ネットワーク・プロバイダ(FNP:foreign network provider)へと返信された1つ以上の許可に基づいて(および特に、HNPによる、難読化された値の、既知のMSISDNなどへの内部マッピングに基づいて)ユーザへサービスを提供することができる。これにより、第三者に、MSISDNなどを含む要求に基づいてデバイスのプロファイルを構築させないようにすると同時に、ユーザのプライバシが確実に維持されるようにする。
【0011】
上記は、本発明の、より適切な特徴の一部を概説してきたものである。これらの特徴は、単なる例示に過ぎないと解釈されるべきである。記載するように、開示される発明を別のやり方で適用することによって、あるいは本発明を変更することによって、他の多数の有益な結果を得ることができる。
【0012】
以下、単なる事例として、本発明の実施形態(単数または複数)を添付の図面に関連して記載する。
【図面の簡単な説明】
【0013】
【図1】本発明を実装するとよいワイヤレス・エリア・ネットワーク環境を示す図である。
【図2】移動デバイス・ユーザのホーム・ネットワーク、または移動デバイスが内部へローミングすることのあるフォーリン・ネットワークに相当し得る、代表的なワイド・エリア・ワイヤレス・ネットワークを示す図である。
【図3】代表的な移動デバイスのブロック図である。
【図4】本発明の好適な実施形態の、拡張型識別子の第1構成を示す図である。
【図5】拡張型識別子の第2構成を示す図である。
【図6】移動デバイスにて拡張型識別子がどのように生成され使用されるかを示すプロセス・フロー図である。
【図7】サービス・プロバイダが拡張型識別子をどのように使用するかを示すプロセス・フロー図である。
【図8】本発明の好適な実施形態にて使用するデータ処理システムを示す図である。
【発明を実施するための形態】
【0014】
図1は、本発明を実装するとよいワイヤレス・ネットワーキング環境を示す。本例では、2つのワイヤレス・ネットワーク、すなわちワイヤレス・ネットワーク100およびワイヤレス・ネットワーク102が示されている。各々のワイヤレス・ネットワークは、既知の技術およびプロトコルを用いてワイヤレス通信をサポートする通信ネットワークである。移動デバイス・ユーザと関連する移動デバイス104は、双方のネットワークにおいて使用可能である。「移動デバイス」とは、任意のワイヤレスのクライアント・デバイスであり、例えばセル方式電話、ページャ、パーソナル・デジタル・アシスタント、スマート・フォン・クライアントを備えた移動コンピュータなどである。ワイド・エリア・ワイヤレス通信の場合、典型的な移動対応のデバイスは、接続されたネットワークに対してデータをワイヤレスに送信および受信することのできるワイヤレス・アクセス・プロトコルをサポートする。一般に、移動対応のデバイスは、グラフィカルなディスプレイを使用しており、ミニブラウザあるいはマイクロブラウザと称するブラウザ上で、インターネット(もしくは他の通信ネットワーク)へアクセス可能である。上記のブラウザは、手持ち式デバイスの抑えられたメモリ制限ならびにワイヤレス・ネットワークの低帯域幅制限に適応可能な、ファイル・サイズの小さいウェブ・ブラウザである。典型的な移動デバイスは、GSMネットワーク用のデータ技術であるGPRS(General Packet Radio Service:汎用パケット無線サービス)によって動作する、セルラ式電話である。従来の音声通信に加え、所与の移動デバイスが、多数の異なるタイプのメッセージ転送技術を介して別のそのようなデバイスと通信することが可能である。メッセージ転送技術には、SMS(short message service:ショート・メッセージ・サービス)、拡張型SMS(EMS:enhanced SMS)、マルチメディア・メッセージ(MMS:multi−media message)、電子メールWAP、ページング、またはその他の既知のワイヤレス・データ形式が含まれる。
【0015】
説明のために、ワイヤレス・ネットワーク100および102は、別々のネットワーク・オペレータ(時によりサービス・プロバイダと称される)によって保守され運営されていると仮定する。ネットワーク・オペレータは、そのオペレータのネットワークへワイヤレス・デバイスを用いてアクセスする1者以上の移動デバイス・ユーザに対してサービスを提供するエンティティである。こうしたサービスには、基本的なワイヤレス・サービスのほか、他の付加価値サービスが含まれる場合もある。図1では、移動デバイス・ユーザは、ワイヤレス・ネットワーク100の加入者であると仮定されている。従ってネットワーク100は、この移動デバイス・ユーザに関して、本明細書にて時により「ホーム・ネットワーク」と称される。ホーム・ネットワーク・プロバイダは、本明細書にて時によりHNPと称される。「ホーム・ネットワーク」は、これに対して移動デバイス・ユーザが所与の関係を有するネットワークであり、上記所与の関係とは一般に、サービス料と引き換えに1つ以上のワイヤレス・サービス(単数または複数)を受ける契約上の取り決めである。記載されるように、ホーム・ネットワークは、移動デバイス・ユーザがワイヤレス・サービスにアクセスしこれを使用できるようにするのに必要な1つ以上の機能(認証、権限付与、アカウンティングなど)を提供する。従って、例えば移動デバイス・ユーザが、Nextelをプロバイダとするサービスに加入する場合、Nextelのワイヤレス・ネットワークが、そのユーザの「ホーム・ネットワーク」とみなされる。移動デバイス・ユーザがローミングするいずれかの他の(第三者の)ネットワーク(ネットワーク102など)は、故に、「フォーリン・ネットワーク」とみなされる。フォーリン・ネットワーク・プロバイダは、時によりFNPと称される。無論、図1に示すように、別個のワイヤレス・ネットワークの範囲のカバレージは重複し得る。当然のことながら、「ホーム」および「フォーリン」という呼称は、単に説明として提示するものに過ぎず、本発明の範囲を限定しようとするものではない。
【0016】
図2は、代表的なワイヤレス・ネットワークをより詳細に示している。本ネットワークは、図1のホーム・ネットワーク100またはフォーリン・ネットワーク102のいずれかに相当し得る。以下に述べるように、本発明はこのタイプのワイド・エリア・ワイヤレス・ネットワークでの使用に限定されるものではなく、これが典型的な動作環境となる。本例では、ワイヤレス・ネットワーク(例えば、2.5Gネットワーク)が、1つ以上のコンポーネントを含む:例えば、移動交換局200(MSC:mobile switching center)(移動加入者の呼操作をつかさどる拡張型ISDNスイッチ)、ビジタ・ロケーション・レジスタ202(VLR:visitor location register)(VLRに登録された移動デバイスによって発せられたまたは受信された呼に対処するのに必要なデータを一時的に保存する、インテリジェントなデータベース)、ホーム・ロケーション・レジスタ204(HLR:home location register)(各加入者のレコードの管理をつかさどるインテリジェント・データベース)、1つ以上の基地局206(それぞれBS:base station)(セルを用いて無線カバレージを設ける)、基地局コントローラ208(BSC:base station controller)(トラフィックのローカル・コンセントレータとして機能し、ローカルの切り替えを行って基地局相互間にハンドオーバをもたらすスイッチ)、およびパケット制御ユニット210(PCU:packet control unit)(移動デバイスから来るデータ・トラフィックを分別するデバイス)などである。HLR204は、さらに、着信する呼に関連する何らかのサービスを制御する。移動デバイスは、加入者によって使用される物理的な機器である。一般的な使用状況では、移動デバイスが、基地局(BS)に接続する。複数の基地局が、基地局コントローラ(BSC)に接続する。HLR204は一般に、認証を管理し、着信する呼に関連するその他の何らかのサービスを制御する。音声トラフィックが、BSCから移動デバイスへ送信される。PCUは、移動デバイスから来るデータ・トラフィックを分別する。(音声とは対照的に)データのトラフィックは、オペレータのワイヤレス・データ・ネットワークによって管理される。故に例えば、データ・トラフィックは一般に、サービングGPRSサービス・ノード(SGSN:Serving GPRS Service Node)212へ進む。このタイプのキャリアのネットワークは、一般に複数のSGSNを有する。SGSNは、HLRにクエリを行うことによって、移動ユーザを認証する。SGSN212は、さらに、データ・トラフィックを管理し、データ・トラフィックを、キャリアのGPRSネットワーク上でゲートウェイGPRSサービス・ノード(GGSN:Gateway GPRS Service Node)214へルーティングする。GGSN214は、GPRSネットワークに出入りするトラフィックをパブリック・インターネットへルーティングする境界ルータである。ユーザがセル間を越えて移動するに従い、ユーザは、様々なSGSNに関連することになる。各SGSNは、ユーザの移動性の管理をつかさどる。
【0017】
図3に示すような移動デバイス300は、一般に、加入者固有の情報を保持するスマート・カードである加入者識別モジュール302(SIM:subscriber identity module)と、移動機器304(例えば、無線および関連信号の処理デバイス)と、マンマシン・インターフェース306(MMI:man−machine interface)と、外部デバイス(コンピュータ、PDAなど)に対する1つ以上のインターフェース308と、を含む。移動デバイスは、さらに、プロセッサ310と、オペレーティング・システム312と、1つ以上のソフトウェア・アプリケーション314とを含み、使用中、オペレーティング・システム312およびアプリケーション314は、システム・メモリ316にてサポートされる。本発明は、以下に記載するように、ソフトウェア・アプリケーション314の1つとして、ソフトウェアにより実現されることが好ましい。
【0018】
本発明によれば、一般に移動デバイス要求に付随する移動デバイス識別子(MSISDN、IMSIなど)が、移動デバイス・ユーザのホーム・オペレータを明らかにしながらも移動デバイスの(およびひいては、デバイス・ユーザの)識別を難読化する「強化型」識別子315(図3に示す)によって、代替(あるいは、少なくとも補足)される。図4に示すように、一実施形態では、強化型識別子400が、第1部分402と、第2部分404とを含む。第1部分402は、移動デバイス・ユーザのホーム・オペレータを(直接またはデータベース検索を通じて)特定するデータ列を含む。第2部分は、一意の識別子(UID)などの不透明なデータ列である。UIDは、1度だけ使用する識別子としてもよいし、あるいはむしろ、誰かほかの人がUIDを入手した場合に絶対に再生されない何らかの方法で一意であることが保証されている、使用回数に限定のある識別子であってもよい。第2部分は、MSISDNまたはその他の識別子に関数を適用することによって導き出すとよい。オペレータのホーム・ネットワークの識別を突き止めるのにいかなるネットワークによっても使用可能な第1部分とは異なり、不透明なデータ列は、好ましくはユーザのホーム・オペレータ(あるいはユーザのホーム・オペレータにより権限を付与されたエンティティ)によってのみ元に戻すことが可能なやり方で、移動デバイスの識別を符号化する。第2部分は第1部分の後ろに付加されてもよいし、あるいは、図5に示すもう1つの実施形態で説明されているように、その逆でもよい。いずれの場合も、強化型識別子の不透明な部分は、セキュリティを強化するために定期的に変更されることが好ましい。実際のところ、強化型識別子は、デバイスの電源が入れられるたびに、または定期的に(毎日もしくは数日ごとなど)、さらには使用中もっと頻繁に、変更されてもよい。
【0019】
従って一例として、移動デバイス・ユーザがNextel加入者であって、このユーザのデバイスのMSISDNは1−555−345−1234であると仮定する。周知のように、MSISDNは、あらゆるオペレータによって検索可能な番号であり、この例では、Nextelに帰属している番号であってNextelには当該の加入者に帰属することがわかっている番号として特定可能な番号である。本発明によれば、(図4に示す形での)強化型識別子を123456_4fac542fbとしてもよく、データ列123456は、(直接またはデータベース検索によって)Nextelに帰属することを判断する値であり、この場合にNextel(またはNextelに関連するエンティティ)のみが、「4fac542fb」が当該の加入者に帰属しているかまたは他の方法で当該の加入者を特定しているということを、突き止めることができる。所与の時間の経過後(例えば数日後)、強化型の加入者が123456_5ca3b57cとなっていてもよく、この場合もやはり、値123456がNextelに関連することは容易に突き止められるが、それに対し「5ca3b57c」がまたもやその加入者を特定していることを突き止めることができるのは、Nextel(あるいは許可されたエンティティ)のみである。この手法を用いると、Nextelだけが、2日前のユーザ「4fac542fb」が現在の「5ca3b57c」と同一であることを突き止めることができる。無論、上記の値は説明のためだけに提示したものであり、本発明を限定しようとするものではない。
【0020】
移動デバイスには、強化型識別子を管理しサービス要求に関連してその識別子を提供する、UID管理ソフトウェア(例えば、プロセッサにおいて実行可能な一連のプログラム命令など)が含まれる。一実施形態では、この識別子の管理には、初期UID値の移動デバイスに対するブートストラッピングと、ローミング・ネットワークへの登録プロセスの一環としての上記値のアサーションと、(ゆくゆくはユーザの真の識別の漏洩につながるであろう、匿名ユーザによるプロファイル構築を防止するための)上記値の定期的な更新と、が含まれる。UID管理ソフトウェアは、さらに、不透明な識別子あるいは新しい不透明な識別子を入手するべくHNPに対する要求を引き起こすのに使用することもできる。必要に応じてUID管理ソフトウェアは、ネットワーク・アクセス交渉の一環として、どのネットワーク・プロバイダがアクセスされているのかを突き止め、異なるプロバイダ各々に対し別々のUIDを使用してもよい。従ってより一般的には、難読化された部分が、単一のデバイスと関係しているいくつかのインスタンスを有するとよく、その場合個別のインスタンスのそれぞれが、ただ1つのローミング・プロバイダに向けて用意される。
【0021】
典型的な実施形態として、難読化しているUIDの初期ブートストラップが、ユーザの情報(MSISDNなど)を備えたSIMカードのプロビジョニングの一部として、SIMカードへ付加されるとよい。管理ソフトウェアはさらに、移動デバイスのホーム・ネットワークに対する本当に最初の登録に際し、必要なUIDを要求することをつかさどるとよい。この場合、UID管理アプリケーションが、そのユーザ向けのUIDを要求し、それを移動デバイスに保存することになる。管理ソフトウェアはさらに、このUID値の存続期間を示し、かつソフトウェアが新しいUID値を要求すべき時期に関するヒントとして使われる、タイムスタンプのような値をも保存するとよい。あるいはUID管理ソフトウェアが、新しい値を定期的に(例えば、毎週月曜日東部標準時午前2時に)要求するようにプログラムされてもよい。
【0022】
HNPにあるアプリケーションからの新しいUID値をUID管理に定期的に要求させることに代わる方法として、HNPが、各MSISDNに関するUID値を定期的に更新してこの値を移動デバイスへプッシュしてもよく、移動デバイスでは、この値がUID管理ソフトウェアによって拾い上げられ、移動デバイスに保存される。
【0023】
図6には、移動デバイスをベースにして、関連するHNPからUIDを「プルすること」を説明しているプロセス・フロー図を示す。本プロセスは、移動デバイスにて、アプリケーション、プロセス、実行スレッドなどとして実行される。本プロセスは、ステップ600にて、新しい識別子が必要とされているかどうかを判断するテストにより開始される。新しい識別子が必要とされていない場合、ルーチンが繰り返される。ステップ600が肯定的であれば、ルーチンは、ステップ602に進み、新しいUIDを入手するのに必要な処理をする。上述のように、ステップ602はいくつもの方法で実現可能であり、移動デバイスにおいて新しいUIDを自己生成すること、HNPにあるUID管理アプリケーションに新しいUIDを要求すること、HNPにあるUID管理アプリケーションからUIDが受信されるのを待機することなどが挙げられる。
【0024】
従って、例えば移動デバイスにて新しいUIDを生成する1つの手法は、移動デバイスにてUID管理アプリケーションから一意の識別子(例えば、一意ID、UID、さらには汎用一意ID、すなわちUUID(universally unique ID)など)を入手することである。UIDはHNPの全域で一意であることしか必要としないのに対し、UUIDは、一意であることが保証されている。データ列を生成する別の手法は、MSISDNおよびタイムスタンプならびに何らかの共有秘密鍵(または「ソルト」、すなわち、移動デバイスとHNPとの間で共有された値であって、解空間を広げるために初期値へ特別の不確定性を取り入れ、それにより総当たり攻撃が必ずフィルタにかけられるようにすることを目的とする値)を暗号化することである。当業者には当然のことながら、上述のような移動デバイス・ベースの難読化技術はいずれも、ユーザのサービス・プロバイダ(あるいはユーザのサービス・プロバイダにより権限を付与されているもの)が同様にその技術の知識を有しており、その技術を適用することあるいは必要に応じて逆に辿ってデータ列からユーザを特定することができることを前提として使用可能となっている。無論一般に、UIDの生成に関連する計算資源は、解析されやすく潜在的な攻撃を受けやすいデバイス上とは対照的に、HNPにおいて、より適切に維持される。
【0025】
移動デバイスのUID管理ソフトウェアは、難読化しているUIDの生成を(この手法が使用されていれば)つかさどる。ただし好適な手法では、UIDは、デバイスではなくHNPによって生成され、その場合UID管理ソフトウェアは、ユーザのHNPと対話することをつかさどり、移動デバイスにて保存するHNPベースのUIDを取得する。このような実施形態の1つでは、ステップ602にて、移動デバイスが、HNPにあるアプリケーションに、UID(またはUUIDも)に関してクエリを行うとよい。HNPは、そのユーザ/移動デバイス用に新しいUIDを生成し、この値の、関連するMSISDNへのマッピングを、ローカルに保存することになる。移動デバイスがホーム・ネットワーク上にある場合、上記の取得は、電源投入時にデバイス登録をしている間など任意の時点で、あるいはデバイスが現在自分が保存しているUIDは「新鮮でない」と判断するときはいつでも、起こり得る。一方、移動デバイスがホーム・ネットワーク上にない(例えば、ユーザが別のネットワーク・プロバイダのネットワークでローミングしている)場合には、移動デバイスにある専門のアプリケーションが、ホーム・ネットワークにあるアプリケーションへの安全なチャネルを開き、新しいUIDを要求する。この後者の値は、ホーム・ネットワークによって生成されると、次いで移動デバイスへ返送され、移動デバイスにて保存されてフォーリン・ネットワークとの登録プロセスの一環として使用される。
【0026】
さらに別の実施形態では、HNPにあるUID管理アプリケーションが、所与のMSISDNに関して新しいUID値が必要とされていると判断し、新しいUIDを生成してローカルに保存し(それにより、ローミング・ネットワークによって提起された場合に、このローカルのMSISDNを元に戻せるようにする)、それを移動デバイスへ送信する。移動デバイスにて、この新しいUIDが、移動デバイスのUID管理アプリケーションによって保存される。
【0027】
HNPベースのUID生成手法の利点は、HNPが、整合性のために、全てのUID/MSISDNのマッピング値を保守することが可能な点である。故にHNPは、必要に応じて、自分がそのMSISDNに関してそのUIDを生成したこと、およびその値は、例えば或る一定の期間「有効」であったことを、遡って証明することができる。このことは、値の時間的衝突がある場合に非常に有用となり得る。例えば、512−555−1234の移動デバイスが或るユーザ用に4fac542fbを生成し、その3週間後に、移動デバイス212−555−4321が同じ値を生成する(かつ、この移動デバイスは不正な操作に携わるのに使われる)場合などである。HNPがUIDの生成をつかさどれば、HNPは、a)いかなるときも自分のいずれかのユーザに対して同じ値が再使用されることはないと保証すること、ならびにb)プロバイダ間の衝突はいずれもプロバイダの監査ログに基づいて解決可能であると保証することができる。
【0028】
図6に戻ると、プロセスはステップ604へと進み、ステップ602で生成されたデータ列が、移動デバイスがローミング・ネットワークへの登録を試みる際に登録プロセスの一環としてユーザのホーム・ネットワーク・サービス・プロバイダを特定するかあるいは特定するのに使用可能なデータ列に対して、(場合に応じて)後ろに付加されるか、あるいは先頭に付加される。一般に、この後者のデータ列は、経時変化することはなく、移動デバイスのホーム・オペレータが所与のサービス・プロバイダ(Nextelなど)であることを突き止めるのに、あらゆるオペレータによって使用可能である。所望に応じて、強化型識別子のサービス・プロバイダの部分も同様に、定期的に変化させることができる。ステップ606にて、強化型識別子が保存される。
【0029】
ステップ608にて、移動デバイスがフォーリンすなわちローミング・ネットワークへ登録しようとするとき、デバイスは、登録プロセスの一環として、ユーザのMSISDNの代わりに上記の強化型識別子を使用することになる。
【0030】
従って、移動デバイス・ユーザがフォーリン・ネットワークへローミングし、デバイスがフォーリン(ローミング)ネットワークへの登録プロセスに関与するとき、フォーリン・ネットワークは、図7のプロセス・フロー図のステップ700に示すように、強化型識別子を受信する。強化型識別子は、MSISDNなどの識別子に代わって、サービス要求と一緒に受け渡されていることが好ましい。ステップ702にて、フォーリン・ネットワークは、識別子の第1部分(すなわち、ホーム・ネットワーク・サービス・プロバイダに関連する部分)を使って、移動デバイス・ユーザのホーム・ネットワークまたはネットワーク・プロバイダを特定する。
【0031】
登録プロセスの一環として、フォーリン・ネットワークは、強化型識別子を使って、このデバイスが利用可能なサービスのタイプ(例えば、ローミング、メッセージ配信など)について、デバイスのホーム・ネットワークに問い合わせることになる。HNPは(既知のMSISDNに対する難読化された値の初期マッピングに基づいて)1つ以上の許可を返信する。1つ以上の許可に基づいて、FNPは、1つ以上の上述のようなサービスをローミング・デバイスに対して提供する。
【0032】
具体的には、ステップ704にて、ホーム・ネットワーク・プロバイダの識別によってアサートされた権限に基づいて、フォーリン・ネットワークが、要求されたアクセスを許可する(またはその他何らかの付加価値サービスを提供する)。ステップ704には、ローカルでの判断を含めてもよく、あるいはフォーリン・ネットワーク・プロバイダが、この判断を下すのに外部のデバイス、サーバ、プロキシ、エンティティ、またはサービスを使ってもよい。ただし、上述のように、フォーリン・ネットワークは、強化型識別子の不透明な部分を復号することはできない;故に、移動デバイスの識別(ならびに移動デバイス・ユーザの識別)は、依然として不明であり保護されている。
【0033】
従って、本発明の好適な実施形態によれば、一般に移動デバイスの要求に付随する移動デバイス識別子(MSISDNなど)が、移動デバイス・ユーザのホーム・オペレータを明らかにしながらも移動デバイスの(およびひいては、デバイス・ユーザの)識別を難読化する「強化型」識別子によって代替される。強化型識別子の第1部分は、移動デバイス・ユーザのホーム・オペレータを(直接またはデータベース検索を通じて)特定するデータ列を含む。強化型識別子の第2の、不透明な部分は、好ましくはユーザのホーム・オペレータ(またはユーザのホーム・オペレータにより権限を付与されたエンティティ)によってのみ元に戻すことが可能なやり方で、移動デバイスの識別を難読化する。移動デバイス・ユーザがフォーリン・ネットワークへローミングする際、ネットワークは、好ましくはMSISDNまたはその他の識別子の代わりに、強化型識別子を受信する。フォーリン・ネットワークは、第1部分を使って移動デバイス・ユーザのホーム・ネットワークを特定するが、移動デバイスの識別を突き止めることはできない。ユーザのプライバシは維持され、第三者が、例えばMSISDNまたは同様の識別子を含んだ要求に基づいてデバイスのプロファイルを構築することは阻止される。
【0034】
本発明は、加入者が、加入者のホーム・ネットワーク上にいようとフォーリン(ローミング)ネットワーク上にいようと、第三者プロバイダの提供する資源にアクセスすることを可能にする。同様に本発明は、プロバイダ(加入者がナビゲートする可能性のあるコンテンツ・プロバイダ・ウェブ・サイトなど)が、加入者のホーム・ネットワークを容易に突き止めることを可能にする;これにより、そのような第三者が付加価値サービスを提案し提供することができるようになる。上述のような付加価値サービスの例としては、加入者のホーム・ネットワークに関連する地理的地域における所与の製品またはサービスの広告などが考えられる。
【0035】
第三者プロバイダおよびローミング・オペレータは移動デバイスあるいはそのユーザを知らないのではあるが、こうした第三者は、ホーム・ネットワーク・サービス・プロバイダの提供する情報を要求することによって、加入者に関する追加的な情報を突き止めることができる。上述のような要求は、共有エイリアス(すなわち、ホーム・ネットワーク・サービス・プロバイダと上述のような第三者との間で共有されているエイリアス)を用いて実行されればよく、上記共有エイリアスは、2004年7月21日に出願された米国特許出願公開第2006/0021018号に記載されているように、フェデレーテッド環境との関係で生成される。この文献に記載されているように、フェデレーテッド異機種環境により、企業がユーザへシングルサインオンの体験を提供することが可能になる。そのような環境では、ユーザが、第1ドメインに対して認証されると、その後、トランザクションに関与し得る後段のドメイン各々に対する適切なアサーションを、その第1ドメインに提供させることができる。こうした後段のドメインは、第1ドメインと他のこうした後段のドメインとの間に予め決められたアサーション形式がなくても、認証アサーションまたは他のタイプのアサーションあるいはその両方を理解し信頼することができるようになっている必要がある。アサーションを認識することに加えて、後段のドメインは、予め決められた識別のマッピング関係がなくても、アサーションに含まれている識別を、個々のドメインにおいてユーザを表す識別へと変換することができるようになっている必要がある。別の方法では、第三者プロバイダまたはオペレータが、Webサービス・トラスト言語(WS−Trust:Web Service Trust Language)で定義されたものなどの要求形式を使用することによって、加入者に関する情報をホーム・ネットワーク・サービス・プロバイダから入手する。無論、その他任意の都合のよい信頼性強化技術またはプロトコルを使用することができる。
【0036】
本発明を、或る1つの2.5Gネットワークからもう1つの2.5Gネットワークへの移動デバイス・ユーザのローミングに照らして記載してきたが、本発明は、いずれかの特定タイプのワイヤレス・ネットワークでの使用に限定されるものではない。実際に、本明細書に記載の難読化技術は、移動デバイスまたは移動デバイス・ユーザに関連するデータがサービスを求める要求に付随し得る、あらゆるワイヤレス・ネットワーキング環境にて使用されるとよい。故に代表的な実施形態では、本発明の技術を、任意のタイプのワイヤレス・ネットワークにて使用することができ、例えば、アナログ・セルラ、デジタル・セルラ、パーソナル通信システム(PCS:Personal Communication System)、セルラ式デジタル・パケット・データ・システム(CDPD:Cellular Digital Packet Data system)、ARDIS、RAM移動データ、Metricom社のRicochet、ページング、および拡張特殊化移動体無線(ESMR:Enhanced Specialized Mobile Radio)などが挙げられるが、これらに限定されるものではない。ワイド・エリア・ワイヤレス・ネットワーク用の例示的な通信プロトコルとしては、時分割多重アクセス(TDMA:Time Division Multiple Access、例えばIS−136など)、符号分割多重アクセス(CDMA:Code Division Multiple Access)、1xRTT、汎用パケット無線サービス(GPRS:General Packet Radio Service)、GSMエボリューション用拡張データ・レート(EDGE:Enhanced Data rates for GSM Evolution)、移動体通信用グローバル・システム(GSM:Global System for Mobile Communications)、ユニバーサル移動電話システム(UMTS:Universal Mobile Telecommunications System)、および統合デジタル拡張ネットワーク(iDEN:Integrated Digital Enhanced Network)パケット・データなどが挙げられるが、これらに限定されるものではない。その上、本発明の技術は、802.11、HomeRF、Bluetooth(R)、HiperLANなどに準拠したワイヤレス・ローカル・エリア・ネットワーク(WLAN:wireless local area networks)など、免許不要の周波数帯にて利用することもできる。
【0037】
本明細書に記載されるようなホーム・ネットワークまたはフォーリン・ネットワークにて提供される機能は、任意のコントローラ上で実現することができる。コントローラは、パーソナル・コンピュータ、サーバ、または同様のマシンなど、任意の都合のよいやり方で実現されればよい。代表的なコントローラとしては、Pentium(R)(または同等品)プロセッサ上の、Linux(R)2.4(または同等品)オペレーティング・システム・カーネルを実行しているラックマウント型PCであり、本デバイスは、ソフトウェア・アプリケーションおよび関連データをサポートするシステム・メモリと外部ストレージとを含む。本コントローラは、さらに、上記に記載の諸機能を促進する標準的なネットワーク・インターフェースを含む。本コントローラは、一般に、管理、処理および監視用の、ウェブベースの(または同等の)インターフェースをエクスポートする。従ってHNPに照らすと、本コントローラは、UID生成機能に使用される。
【0038】
図8は、上記に記載したコントローラに使用されるとよい代表的なデータ処理システムである。プログラム・コードの保存または実行あるいはその両方に適したデータ処理システム800は、少なくとも1つのプロセッサ802を含み、該プロセッサは、システム・バス805を通じて、直接または間接的にメモリ要素に接続されている。メモリ要素には、プログラム・コードの実際の実行中に使用されるローカル・メモリ804と、大容量ストレージ806と、実行中にコードを大容量ストレージから検索しなければならない回数を減らすべく少なくとも一部のプログラム・コードの一時的なストレージを提供するキャッシュ・メモリ808と、を含めることができる。入力/出力すなわちI/O(Input/output)デバイス(キーボード810、ディスプレイ812、ポインティング・デバイス814などを含むがこれらに限定されない)を、直接あるいは介在しているI/Oコントローラ816を介して、システムに接続させることができる。ネットワーク・アダプタ818も同様にシステムに接続されて、本データ処理システムが、介在するプライベートまたはパブリックのネットワーク820を通じて、他のデータ処理システムまたはデバイスへ接続されるようにするとよい。
【0039】
当業者には当然のことながら、移動デバイス自体が、同様のデータ処理コンポーネントを含む。
【0040】
本発明は、完全なハードウェアの実施形態、または完全なソフトウェアの実施形態、あるいはハードウェアおよびソフトウェア双方の要素を含む実施形態の形をとることができる。好適な一実施形態では、本発明が、ファームウェア、常駐ソフトウェア、マイクロコードなどが挙げられるがこれらに限定されないソフトウェアによって実現される。さらに、上述のように、本発明は、コンピュータ使用可能なまたはコンピュータ可読の媒体からアクセス可能なコンピュータ・プログラム製品の形をとることができ、該コンピュータ・プログラム製品は、コンピュータまたは何らかの命令実行システムによってあるいはこれらと関連して使用されるプログラム・コードを提供する。本説明の目的上、コンピュータ使用可能またはコンピュータ可読の媒体は、命令実行システム、装置またはデバイスによってあるいはこれらと関連して使用されるプログラムを収容、保存、通信、伝搬、または搬送することの可能な任意の装置とすることができる。媒体は、電子、磁気、光、電磁気、赤外線、または半導体のシステム(または装置もしくはデバイス)あるいは伝搬媒体とすることができる。コンピュータ可読媒体の例としては、半導体すなわちソリッド・ステートのメモリ、磁気テープ、着脱可能なコンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read−only memory)、固定型磁気ディスクおよび光ディスクが挙げられる。光ディスクの現行の例としては、コンパクト・ディスク−読み取り専用メモリ(CD−ROM:compact disk−read only memory)、コンパクト・ディスク−読み/書き(CD−R/W:compact disk−read/write)およびDVDが挙げられる。
【0041】
上記には、本発明の或る特定の実施形態によって実施される、動作の特定の順序が述べられているが、当然のことながら、上記のような順序は例示的なものであり、別の実施形態では異なる順序で動作を実施すること、或る特定の動作を組み合わせること、或る特定の動作を重複させることなどが可能である。本明細書における所与の実施形態に対する参照は、記載されたその実施形態が特定の機能、構造または特徴を含むことがある一方で、必ずしも全ての実施形態がその特定の機能、構造または特徴を含まなくてもよいことを意味する。
【0042】
最後に、システムの所与のコンポーネントを別個に記載してきたが、当業者には当然のことながら、記載された機能の一部は、所与の命令、プログラム・シーケンス、コード部などにて組み合わされてもあるいは共有されてもよい。
【0043】
発明に関する記載を終えたので、ここで以下の通り請求する。
【技術分野】
【0001】
関連出願の相互参照
本願は、以下の米国特許出願に関連する:
2007年5月24日に出願された、名称を「Method and apparatus for accessing a foreign network with an obfuscated mobile device user identity」とする、米国特許出願第11/752988号。
2007年5月24日に出願された、名称を「Method and apparatus for managing obfuscated mobile device user identities」とする、米国特許出願第11/752962号。
【0002】
本発明の技術分野
本発明は、全般的に、移動ネットワーキング環境においてプライバシ保護を維持することに関する。
【背景技術】
【0003】
移動環境内では、一般に移動デバイス・ユーザは、モバイル・オペレータのネットワークへアクセスするために各自が使用するデバイスに基づいて特定される。ユーザが、どこへ移動してもなお移動接続性を有する機能を求めるため、移動ネットワークのオペレータは、「ローミング」をサポートするように取り計らい、その結果特定のカバレージ・エリアにおいてユーザのホーム・オペレータが何もサービスを提供していない場合であっても、ユーザが自分のオペレータのサービスへアクセスできるようにしてきた。このことは、ユーザの移動デバイスがローミングした「フォーリン」ネットワークへ、このデバイスがアクセスできるようにすることによって、達成される。
【0004】
一般に、ネットワーク・オペレータは、デバイス/ユーザに結び付けられたデバイス電話番号(MSISDN)または同様の識別子といった情報のタグをユーザのサービス要求へ付加することによって、移動デバイス・ユーザを特定する。故に、移動デバイスがフォーリン・ネットワークへとローミングしてサービスを要求する場合、一般に、そのデバイスが自分のMSISDNまたはIMSIをローカルのサービス・オペレータへ伝え、その結果このローカルのサービス・オペレータが、ユーザの識別(または最低限でも、ユーザの移動デバイス識別)を知った上でではあるが、要求されたサービスを提供することができる。そのような識別子は、ユーザのホーム・ネットワーク・オペレータを特定しつつ、ユーザの移動デバイス、ひいてはユーザにも結び付けられている。
【発明の概要】
【発明が解決しようとする課題】
【0005】
フォーリン・ネットワークへ接続され認証されると、ユーザは、自分のデバイスを使用してサービスを受けることができる。例えばユーザは、ミニ・ブラウザを用いてウェブ・サイトへアクセスしコンテンツの一部を入手することができる。移動デバイスの要求はデバイス識別子を含んでいるので、理論上、第三者であるコンテンツ・プロバイダが、ユーザの不変の識別(すなわち、MSISDNまたはIMSI)へアクセスできる。プライバシおよび競合の問題がますます一般化するにつれ、ネットワーク・オペレータは、もはや、こうした識別子を暗号化せずにユーザの要求の中に入れることはできなくなっている。実際に、欧州の一部のプライバシ擁護派により、MSISDNを移動サービス要求に含めることはプライバシ法に関わるとの指摘が出てきており、さらにはそのような識別子はネットワーク層から全面的に排除されるべきであるという提案もなされてきた。このような課題に導かれて、多くのネットワーク・オペレータが、例えばユーザの要求から識別子を完全に排除するなどといった別の方法を検討している。このようなソリューションはプライバシの厄介な問題を回避する一方で、今度は、フォーリン・ネットワークのオペレータでさえも、ユーザもしくはそのユーザのホーム・オペレータを特定することがもはや不可能になるため、別の複雑な問題を生じさせる。
【0006】
移動サービス要求にデバイス識別子を含めることはさらに、任意のエンティティがそのデータにアクセスして移動デバイスのプロファイルを構築することを可能にする。理論的には、このプロファイルが移動デバイス・ユーザへマッピングされる可能性があり、このことは望ましいことではないと考えられる。
【課題を解決するための手段】
【0007】
本発明の一態様によれば、一般に移動デバイス要求に付随する移動デバイス識別子(MSISDNまたは他の同様の識別子など)が、移動デバイス・ユーザのホーム・オペレータを明らかにする一方で移動デバイス(およびひいては、デバイス・ユーザ)の識別を難読化する新しい「強化型」識別子によって、置き換えられる(あるいは、少なくとも補われる)。一実施形態では、強化型識別子が、第1部分と第2部分とを含む。第1部分は、移動デバイス・ユーザのホーム・オペレータを(直接またはデータ・ベース検索を通じて)特定するデータ列を含む。第2部分は、1度だけ使用する一意の識別子(UID:unique identifier)、あるいはMSISDN(または同様のもの)の関数としてその他の形で導き出された値などの、不透明なデータ列である。オペレータのホーム・ネットワークの識別を突き止めるのにいかなるネットワークによっても使用可能な第1部分とは異なり、不透明なデータ列は、好ましくはユーザのホーム・オペレータ(またはユーザのホーム・オペレータにより権限を付与されたエンティティ)によってのみ元に戻すことが可能なやり方で、移動デバイスの識別を符号化する。第2部分は、第1部分の後ろに付加されてもよいし、あるいはその逆でもよい。第2部分は、セキュリティを強化するために、定期的(例えば数日ごと)に変更されることが好ましい。
【0008】
一実施形態では、一意の識別子が、好ましくは定期的に、ユーザのホーム・ネットワーク・プロバイダ(HNP:home network provider)によって設定されて移動デバイスへダウンロードされる。最初、HNPは、移動デバイスのHNPネットワークへの登録中に(デバイスとHNPとの間の)交渉の一環として、この値を設定することができる。HNPは、ユーザがローミングしているときでも、例えば移動デバイスへダウンロードされておりHNPと安全なチャネルを使って通信するアプリケーションを使用するなどして、この値を設定することができる。
【0009】
別の実施形態では、移動デバイス自体が、強化型識別子を生成する。この選択肢で十分となるのは、デバイスが、長期間にわたりローミングしていてHNPネットワークを離れている場合であろう。
【0010】
1つの使用シナリオでは、移動デバイス・ユーザがフォーリン・ネットワークへローミングし、このデバイスがサービスを求めて最初の要求を行うとき、フォーリン・ネットワークは、好ましくはMSISDNなどの識別子の代わりに、強化型識別子を受信する。フォーリン・ネットワークは、例えば要求されたアクセスを許可する(あるいは他の何らかの付加価値サービスを提供する)かどうかを判断するために、第1部分を使って移動デバイス・ユーザのホーム・ネットワークを特定する。しかし、フォーリン・ネットワークは、第2部分を復号することはできない;故に、移動デバイスの識別(ならびに移動デバイス・ユーザの識別)は、不明のままである。依然として、フォーリン・ネットワークは、HNPからフォーリン・ネットワーク・プロバイダ(FNP:foreign network provider)へと返信された1つ以上の許可に基づいて(および特に、HNPによる、難読化された値の、既知のMSISDNなどへの内部マッピングに基づいて)ユーザへサービスを提供することができる。これにより、第三者に、MSISDNなどを含む要求に基づいてデバイスのプロファイルを構築させないようにすると同時に、ユーザのプライバシが確実に維持されるようにする。
【0011】
上記は、本発明の、より適切な特徴の一部を概説してきたものである。これらの特徴は、単なる例示に過ぎないと解釈されるべきである。記載するように、開示される発明を別のやり方で適用することによって、あるいは本発明を変更することによって、他の多数の有益な結果を得ることができる。
【0012】
以下、単なる事例として、本発明の実施形態(単数または複数)を添付の図面に関連して記載する。
【図面の簡単な説明】
【0013】
【図1】本発明を実装するとよいワイヤレス・エリア・ネットワーク環境を示す図である。
【図2】移動デバイス・ユーザのホーム・ネットワーク、または移動デバイスが内部へローミングすることのあるフォーリン・ネットワークに相当し得る、代表的なワイド・エリア・ワイヤレス・ネットワークを示す図である。
【図3】代表的な移動デバイスのブロック図である。
【図4】本発明の好適な実施形態の、拡張型識別子の第1構成を示す図である。
【図5】拡張型識別子の第2構成を示す図である。
【図6】移動デバイスにて拡張型識別子がどのように生成され使用されるかを示すプロセス・フロー図である。
【図7】サービス・プロバイダが拡張型識別子をどのように使用するかを示すプロセス・フロー図である。
【図8】本発明の好適な実施形態にて使用するデータ処理システムを示す図である。
【発明を実施するための形態】
【0014】
図1は、本発明を実装するとよいワイヤレス・ネットワーキング環境を示す。本例では、2つのワイヤレス・ネットワーク、すなわちワイヤレス・ネットワーク100およびワイヤレス・ネットワーク102が示されている。各々のワイヤレス・ネットワークは、既知の技術およびプロトコルを用いてワイヤレス通信をサポートする通信ネットワークである。移動デバイス・ユーザと関連する移動デバイス104は、双方のネットワークにおいて使用可能である。「移動デバイス」とは、任意のワイヤレスのクライアント・デバイスであり、例えばセル方式電話、ページャ、パーソナル・デジタル・アシスタント、スマート・フォン・クライアントを備えた移動コンピュータなどである。ワイド・エリア・ワイヤレス通信の場合、典型的な移動対応のデバイスは、接続されたネットワークに対してデータをワイヤレスに送信および受信することのできるワイヤレス・アクセス・プロトコルをサポートする。一般に、移動対応のデバイスは、グラフィカルなディスプレイを使用しており、ミニブラウザあるいはマイクロブラウザと称するブラウザ上で、インターネット(もしくは他の通信ネットワーク)へアクセス可能である。上記のブラウザは、手持ち式デバイスの抑えられたメモリ制限ならびにワイヤレス・ネットワークの低帯域幅制限に適応可能な、ファイル・サイズの小さいウェブ・ブラウザである。典型的な移動デバイスは、GSMネットワーク用のデータ技術であるGPRS(General Packet Radio Service:汎用パケット無線サービス)によって動作する、セルラ式電話である。従来の音声通信に加え、所与の移動デバイスが、多数の異なるタイプのメッセージ転送技術を介して別のそのようなデバイスと通信することが可能である。メッセージ転送技術には、SMS(short message service:ショート・メッセージ・サービス)、拡張型SMS(EMS:enhanced SMS)、マルチメディア・メッセージ(MMS:multi−media message)、電子メールWAP、ページング、またはその他の既知のワイヤレス・データ形式が含まれる。
【0015】
説明のために、ワイヤレス・ネットワーク100および102は、別々のネットワーク・オペレータ(時によりサービス・プロバイダと称される)によって保守され運営されていると仮定する。ネットワーク・オペレータは、そのオペレータのネットワークへワイヤレス・デバイスを用いてアクセスする1者以上の移動デバイス・ユーザに対してサービスを提供するエンティティである。こうしたサービスには、基本的なワイヤレス・サービスのほか、他の付加価値サービスが含まれる場合もある。図1では、移動デバイス・ユーザは、ワイヤレス・ネットワーク100の加入者であると仮定されている。従ってネットワーク100は、この移動デバイス・ユーザに関して、本明細書にて時により「ホーム・ネットワーク」と称される。ホーム・ネットワーク・プロバイダは、本明細書にて時によりHNPと称される。「ホーム・ネットワーク」は、これに対して移動デバイス・ユーザが所与の関係を有するネットワークであり、上記所与の関係とは一般に、サービス料と引き換えに1つ以上のワイヤレス・サービス(単数または複数)を受ける契約上の取り決めである。記載されるように、ホーム・ネットワークは、移動デバイス・ユーザがワイヤレス・サービスにアクセスしこれを使用できるようにするのに必要な1つ以上の機能(認証、権限付与、アカウンティングなど)を提供する。従って、例えば移動デバイス・ユーザが、Nextelをプロバイダとするサービスに加入する場合、Nextelのワイヤレス・ネットワークが、そのユーザの「ホーム・ネットワーク」とみなされる。移動デバイス・ユーザがローミングするいずれかの他の(第三者の)ネットワーク(ネットワーク102など)は、故に、「フォーリン・ネットワーク」とみなされる。フォーリン・ネットワーク・プロバイダは、時によりFNPと称される。無論、図1に示すように、別個のワイヤレス・ネットワークの範囲のカバレージは重複し得る。当然のことながら、「ホーム」および「フォーリン」という呼称は、単に説明として提示するものに過ぎず、本発明の範囲を限定しようとするものではない。
【0016】
図2は、代表的なワイヤレス・ネットワークをより詳細に示している。本ネットワークは、図1のホーム・ネットワーク100またはフォーリン・ネットワーク102のいずれかに相当し得る。以下に述べるように、本発明はこのタイプのワイド・エリア・ワイヤレス・ネットワークでの使用に限定されるものではなく、これが典型的な動作環境となる。本例では、ワイヤレス・ネットワーク(例えば、2.5Gネットワーク)が、1つ以上のコンポーネントを含む:例えば、移動交換局200(MSC:mobile switching center)(移動加入者の呼操作をつかさどる拡張型ISDNスイッチ)、ビジタ・ロケーション・レジスタ202(VLR:visitor location register)(VLRに登録された移動デバイスによって発せられたまたは受信された呼に対処するのに必要なデータを一時的に保存する、インテリジェントなデータベース)、ホーム・ロケーション・レジスタ204(HLR:home location register)(各加入者のレコードの管理をつかさどるインテリジェント・データベース)、1つ以上の基地局206(それぞれBS:base station)(セルを用いて無線カバレージを設ける)、基地局コントローラ208(BSC:base station controller)(トラフィックのローカル・コンセントレータとして機能し、ローカルの切り替えを行って基地局相互間にハンドオーバをもたらすスイッチ)、およびパケット制御ユニット210(PCU:packet control unit)(移動デバイスから来るデータ・トラフィックを分別するデバイス)などである。HLR204は、さらに、着信する呼に関連する何らかのサービスを制御する。移動デバイスは、加入者によって使用される物理的な機器である。一般的な使用状況では、移動デバイスが、基地局(BS)に接続する。複数の基地局が、基地局コントローラ(BSC)に接続する。HLR204は一般に、認証を管理し、着信する呼に関連するその他の何らかのサービスを制御する。音声トラフィックが、BSCから移動デバイスへ送信される。PCUは、移動デバイスから来るデータ・トラフィックを分別する。(音声とは対照的に)データのトラフィックは、オペレータのワイヤレス・データ・ネットワークによって管理される。故に例えば、データ・トラフィックは一般に、サービングGPRSサービス・ノード(SGSN:Serving GPRS Service Node)212へ進む。このタイプのキャリアのネットワークは、一般に複数のSGSNを有する。SGSNは、HLRにクエリを行うことによって、移動ユーザを認証する。SGSN212は、さらに、データ・トラフィックを管理し、データ・トラフィックを、キャリアのGPRSネットワーク上でゲートウェイGPRSサービス・ノード(GGSN:Gateway GPRS Service Node)214へルーティングする。GGSN214は、GPRSネットワークに出入りするトラフィックをパブリック・インターネットへルーティングする境界ルータである。ユーザがセル間を越えて移動するに従い、ユーザは、様々なSGSNに関連することになる。各SGSNは、ユーザの移動性の管理をつかさどる。
【0017】
図3に示すような移動デバイス300は、一般に、加入者固有の情報を保持するスマート・カードである加入者識別モジュール302(SIM:subscriber identity module)と、移動機器304(例えば、無線および関連信号の処理デバイス)と、マンマシン・インターフェース306(MMI:man−machine interface)と、外部デバイス(コンピュータ、PDAなど)に対する1つ以上のインターフェース308と、を含む。移動デバイスは、さらに、プロセッサ310と、オペレーティング・システム312と、1つ以上のソフトウェア・アプリケーション314とを含み、使用中、オペレーティング・システム312およびアプリケーション314は、システム・メモリ316にてサポートされる。本発明は、以下に記載するように、ソフトウェア・アプリケーション314の1つとして、ソフトウェアにより実現されることが好ましい。
【0018】
本発明によれば、一般に移動デバイス要求に付随する移動デバイス識別子(MSISDN、IMSIなど)が、移動デバイス・ユーザのホーム・オペレータを明らかにしながらも移動デバイスの(およびひいては、デバイス・ユーザの)識別を難読化する「強化型」識別子315(図3に示す)によって、代替(あるいは、少なくとも補足)される。図4に示すように、一実施形態では、強化型識別子400が、第1部分402と、第2部分404とを含む。第1部分402は、移動デバイス・ユーザのホーム・オペレータを(直接またはデータベース検索を通じて)特定するデータ列を含む。第2部分は、一意の識別子(UID)などの不透明なデータ列である。UIDは、1度だけ使用する識別子としてもよいし、あるいはむしろ、誰かほかの人がUIDを入手した場合に絶対に再生されない何らかの方法で一意であることが保証されている、使用回数に限定のある識別子であってもよい。第2部分は、MSISDNまたはその他の識別子に関数を適用することによって導き出すとよい。オペレータのホーム・ネットワークの識別を突き止めるのにいかなるネットワークによっても使用可能な第1部分とは異なり、不透明なデータ列は、好ましくはユーザのホーム・オペレータ(あるいはユーザのホーム・オペレータにより権限を付与されたエンティティ)によってのみ元に戻すことが可能なやり方で、移動デバイスの識別を符号化する。第2部分は第1部分の後ろに付加されてもよいし、あるいは、図5に示すもう1つの実施形態で説明されているように、その逆でもよい。いずれの場合も、強化型識別子の不透明な部分は、セキュリティを強化するために定期的に変更されることが好ましい。実際のところ、強化型識別子は、デバイスの電源が入れられるたびに、または定期的に(毎日もしくは数日ごとなど)、さらには使用中もっと頻繁に、変更されてもよい。
【0019】
従って一例として、移動デバイス・ユーザがNextel加入者であって、このユーザのデバイスのMSISDNは1−555−345−1234であると仮定する。周知のように、MSISDNは、あらゆるオペレータによって検索可能な番号であり、この例では、Nextelに帰属している番号であってNextelには当該の加入者に帰属することがわかっている番号として特定可能な番号である。本発明によれば、(図4に示す形での)強化型識別子を123456_4fac542fbとしてもよく、データ列123456は、(直接またはデータベース検索によって)Nextelに帰属することを判断する値であり、この場合にNextel(またはNextelに関連するエンティティ)のみが、「4fac542fb」が当該の加入者に帰属しているかまたは他の方法で当該の加入者を特定しているということを、突き止めることができる。所与の時間の経過後(例えば数日後)、強化型の加入者が123456_5ca3b57cとなっていてもよく、この場合もやはり、値123456がNextelに関連することは容易に突き止められるが、それに対し「5ca3b57c」がまたもやその加入者を特定していることを突き止めることができるのは、Nextel(あるいは許可されたエンティティ)のみである。この手法を用いると、Nextelだけが、2日前のユーザ「4fac542fb」が現在の「5ca3b57c」と同一であることを突き止めることができる。無論、上記の値は説明のためだけに提示したものであり、本発明を限定しようとするものではない。
【0020】
移動デバイスには、強化型識別子を管理しサービス要求に関連してその識別子を提供する、UID管理ソフトウェア(例えば、プロセッサにおいて実行可能な一連のプログラム命令など)が含まれる。一実施形態では、この識別子の管理には、初期UID値の移動デバイスに対するブートストラッピングと、ローミング・ネットワークへの登録プロセスの一環としての上記値のアサーションと、(ゆくゆくはユーザの真の識別の漏洩につながるであろう、匿名ユーザによるプロファイル構築を防止するための)上記値の定期的な更新と、が含まれる。UID管理ソフトウェアは、さらに、不透明な識別子あるいは新しい不透明な識別子を入手するべくHNPに対する要求を引き起こすのに使用することもできる。必要に応じてUID管理ソフトウェアは、ネットワーク・アクセス交渉の一環として、どのネットワーク・プロバイダがアクセスされているのかを突き止め、異なるプロバイダ各々に対し別々のUIDを使用してもよい。従ってより一般的には、難読化された部分が、単一のデバイスと関係しているいくつかのインスタンスを有するとよく、その場合個別のインスタンスのそれぞれが、ただ1つのローミング・プロバイダに向けて用意される。
【0021】
典型的な実施形態として、難読化しているUIDの初期ブートストラップが、ユーザの情報(MSISDNなど)を備えたSIMカードのプロビジョニングの一部として、SIMカードへ付加されるとよい。管理ソフトウェアはさらに、移動デバイスのホーム・ネットワークに対する本当に最初の登録に際し、必要なUIDを要求することをつかさどるとよい。この場合、UID管理アプリケーションが、そのユーザ向けのUIDを要求し、それを移動デバイスに保存することになる。管理ソフトウェアはさらに、このUID値の存続期間を示し、かつソフトウェアが新しいUID値を要求すべき時期に関するヒントとして使われる、タイムスタンプのような値をも保存するとよい。あるいはUID管理ソフトウェアが、新しい値を定期的に(例えば、毎週月曜日東部標準時午前2時に)要求するようにプログラムされてもよい。
【0022】
HNPにあるアプリケーションからの新しいUID値をUID管理に定期的に要求させることに代わる方法として、HNPが、各MSISDNに関するUID値を定期的に更新してこの値を移動デバイスへプッシュしてもよく、移動デバイスでは、この値がUID管理ソフトウェアによって拾い上げられ、移動デバイスに保存される。
【0023】
図6には、移動デバイスをベースにして、関連するHNPからUIDを「プルすること」を説明しているプロセス・フロー図を示す。本プロセスは、移動デバイスにて、アプリケーション、プロセス、実行スレッドなどとして実行される。本プロセスは、ステップ600にて、新しい識別子が必要とされているかどうかを判断するテストにより開始される。新しい識別子が必要とされていない場合、ルーチンが繰り返される。ステップ600が肯定的であれば、ルーチンは、ステップ602に進み、新しいUIDを入手するのに必要な処理をする。上述のように、ステップ602はいくつもの方法で実現可能であり、移動デバイスにおいて新しいUIDを自己生成すること、HNPにあるUID管理アプリケーションに新しいUIDを要求すること、HNPにあるUID管理アプリケーションからUIDが受信されるのを待機することなどが挙げられる。
【0024】
従って、例えば移動デバイスにて新しいUIDを生成する1つの手法は、移動デバイスにてUID管理アプリケーションから一意の識別子(例えば、一意ID、UID、さらには汎用一意ID、すなわちUUID(universally unique ID)など)を入手することである。UIDはHNPの全域で一意であることしか必要としないのに対し、UUIDは、一意であることが保証されている。データ列を生成する別の手法は、MSISDNおよびタイムスタンプならびに何らかの共有秘密鍵(または「ソルト」、すなわち、移動デバイスとHNPとの間で共有された値であって、解空間を広げるために初期値へ特別の不確定性を取り入れ、それにより総当たり攻撃が必ずフィルタにかけられるようにすることを目的とする値)を暗号化することである。当業者には当然のことながら、上述のような移動デバイス・ベースの難読化技術はいずれも、ユーザのサービス・プロバイダ(あるいはユーザのサービス・プロバイダにより権限を付与されているもの)が同様にその技術の知識を有しており、その技術を適用することあるいは必要に応じて逆に辿ってデータ列からユーザを特定することができることを前提として使用可能となっている。無論一般に、UIDの生成に関連する計算資源は、解析されやすく潜在的な攻撃を受けやすいデバイス上とは対照的に、HNPにおいて、より適切に維持される。
【0025】
移動デバイスのUID管理ソフトウェアは、難読化しているUIDの生成を(この手法が使用されていれば)つかさどる。ただし好適な手法では、UIDは、デバイスではなくHNPによって生成され、その場合UID管理ソフトウェアは、ユーザのHNPと対話することをつかさどり、移動デバイスにて保存するHNPベースのUIDを取得する。このような実施形態の1つでは、ステップ602にて、移動デバイスが、HNPにあるアプリケーションに、UID(またはUUIDも)に関してクエリを行うとよい。HNPは、そのユーザ/移動デバイス用に新しいUIDを生成し、この値の、関連するMSISDNへのマッピングを、ローカルに保存することになる。移動デバイスがホーム・ネットワーク上にある場合、上記の取得は、電源投入時にデバイス登録をしている間など任意の時点で、あるいはデバイスが現在自分が保存しているUIDは「新鮮でない」と判断するときはいつでも、起こり得る。一方、移動デバイスがホーム・ネットワーク上にない(例えば、ユーザが別のネットワーク・プロバイダのネットワークでローミングしている)場合には、移動デバイスにある専門のアプリケーションが、ホーム・ネットワークにあるアプリケーションへの安全なチャネルを開き、新しいUIDを要求する。この後者の値は、ホーム・ネットワークによって生成されると、次いで移動デバイスへ返送され、移動デバイスにて保存されてフォーリン・ネットワークとの登録プロセスの一環として使用される。
【0026】
さらに別の実施形態では、HNPにあるUID管理アプリケーションが、所与のMSISDNに関して新しいUID値が必要とされていると判断し、新しいUIDを生成してローカルに保存し(それにより、ローミング・ネットワークによって提起された場合に、このローカルのMSISDNを元に戻せるようにする)、それを移動デバイスへ送信する。移動デバイスにて、この新しいUIDが、移動デバイスのUID管理アプリケーションによって保存される。
【0027】
HNPベースのUID生成手法の利点は、HNPが、整合性のために、全てのUID/MSISDNのマッピング値を保守することが可能な点である。故にHNPは、必要に応じて、自分がそのMSISDNに関してそのUIDを生成したこと、およびその値は、例えば或る一定の期間「有効」であったことを、遡って証明することができる。このことは、値の時間的衝突がある場合に非常に有用となり得る。例えば、512−555−1234の移動デバイスが或るユーザ用に4fac542fbを生成し、その3週間後に、移動デバイス212−555−4321が同じ値を生成する(かつ、この移動デバイスは不正な操作に携わるのに使われる)場合などである。HNPがUIDの生成をつかさどれば、HNPは、a)いかなるときも自分のいずれかのユーザに対して同じ値が再使用されることはないと保証すること、ならびにb)プロバイダ間の衝突はいずれもプロバイダの監査ログに基づいて解決可能であると保証することができる。
【0028】
図6に戻ると、プロセスはステップ604へと進み、ステップ602で生成されたデータ列が、移動デバイスがローミング・ネットワークへの登録を試みる際に登録プロセスの一環としてユーザのホーム・ネットワーク・サービス・プロバイダを特定するかあるいは特定するのに使用可能なデータ列に対して、(場合に応じて)後ろに付加されるか、あるいは先頭に付加される。一般に、この後者のデータ列は、経時変化することはなく、移動デバイスのホーム・オペレータが所与のサービス・プロバイダ(Nextelなど)であることを突き止めるのに、あらゆるオペレータによって使用可能である。所望に応じて、強化型識別子のサービス・プロバイダの部分も同様に、定期的に変化させることができる。ステップ606にて、強化型識別子が保存される。
【0029】
ステップ608にて、移動デバイスがフォーリンすなわちローミング・ネットワークへ登録しようとするとき、デバイスは、登録プロセスの一環として、ユーザのMSISDNの代わりに上記の強化型識別子を使用することになる。
【0030】
従って、移動デバイス・ユーザがフォーリン・ネットワークへローミングし、デバイスがフォーリン(ローミング)ネットワークへの登録プロセスに関与するとき、フォーリン・ネットワークは、図7のプロセス・フロー図のステップ700に示すように、強化型識別子を受信する。強化型識別子は、MSISDNなどの識別子に代わって、サービス要求と一緒に受け渡されていることが好ましい。ステップ702にて、フォーリン・ネットワークは、識別子の第1部分(すなわち、ホーム・ネットワーク・サービス・プロバイダに関連する部分)を使って、移動デバイス・ユーザのホーム・ネットワークまたはネットワーク・プロバイダを特定する。
【0031】
登録プロセスの一環として、フォーリン・ネットワークは、強化型識別子を使って、このデバイスが利用可能なサービスのタイプ(例えば、ローミング、メッセージ配信など)について、デバイスのホーム・ネットワークに問い合わせることになる。HNPは(既知のMSISDNに対する難読化された値の初期マッピングに基づいて)1つ以上の許可を返信する。1つ以上の許可に基づいて、FNPは、1つ以上の上述のようなサービスをローミング・デバイスに対して提供する。
【0032】
具体的には、ステップ704にて、ホーム・ネットワーク・プロバイダの識別によってアサートされた権限に基づいて、フォーリン・ネットワークが、要求されたアクセスを許可する(またはその他何らかの付加価値サービスを提供する)。ステップ704には、ローカルでの判断を含めてもよく、あるいはフォーリン・ネットワーク・プロバイダが、この判断を下すのに外部のデバイス、サーバ、プロキシ、エンティティ、またはサービスを使ってもよい。ただし、上述のように、フォーリン・ネットワークは、強化型識別子の不透明な部分を復号することはできない;故に、移動デバイスの識別(ならびに移動デバイス・ユーザの識別)は、依然として不明であり保護されている。
【0033】
従って、本発明の好適な実施形態によれば、一般に移動デバイスの要求に付随する移動デバイス識別子(MSISDNなど)が、移動デバイス・ユーザのホーム・オペレータを明らかにしながらも移動デバイスの(およびひいては、デバイス・ユーザの)識別を難読化する「強化型」識別子によって代替される。強化型識別子の第1部分は、移動デバイス・ユーザのホーム・オペレータを(直接またはデータベース検索を通じて)特定するデータ列を含む。強化型識別子の第2の、不透明な部分は、好ましくはユーザのホーム・オペレータ(またはユーザのホーム・オペレータにより権限を付与されたエンティティ)によってのみ元に戻すことが可能なやり方で、移動デバイスの識別を難読化する。移動デバイス・ユーザがフォーリン・ネットワークへローミングする際、ネットワークは、好ましくはMSISDNまたはその他の識別子の代わりに、強化型識別子を受信する。フォーリン・ネットワークは、第1部分を使って移動デバイス・ユーザのホーム・ネットワークを特定するが、移動デバイスの識別を突き止めることはできない。ユーザのプライバシは維持され、第三者が、例えばMSISDNまたは同様の識別子を含んだ要求に基づいてデバイスのプロファイルを構築することは阻止される。
【0034】
本発明は、加入者が、加入者のホーム・ネットワーク上にいようとフォーリン(ローミング)ネットワーク上にいようと、第三者プロバイダの提供する資源にアクセスすることを可能にする。同様に本発明は、プロバイダ(加入者がナビゲートする可能性のあるコンテンツ・プロバイダ・ウェブ・サイトなど)が、加入者のホーム・ネットワークを容易に突き止めることを可能にする;これにより、そのような第三者が付加価値サービスを提案し提供することができるようになる。上述のような付加価値サービスの例としては、加入者のホーム・ネットワークに関連する地理的地域における所与の製品またはサービスの広告などが考えられる。
【0035】
第三者プロバイダおよびローミング・オペレータは移動デバイスあるいはそのユーザを知らないのではあるが、こうした第三者は、ホーム・ネットワーク・サービス・プロバイダの提供する情報を要求することによって、加入者に関する追加的な情報を突き止めることができる。上述のような要求は、共有エイリアス(すなわち、ホーム・ネットワーク・サービス・プロバイダと上述のような第三者との間で共有されているエイリアス)を用いて実行されればよく、上記共有エイリアスは、2004年7月21日に出願された米国特許出願公開第2006/0021018号に記載されているように、フェデレーテッド環境との関係で生成される。この文献に記載されているように、フェデレーテッド異機種環境により、企業がユーザへシングルサインオンの体験を提供することが可能になる。そのような環境では、ユーザが、第1ドメインに対して認証されると、その後、トランザクションに関与し得る後段のドメイン各々に対する適切なアサーションを、その第1ドメインに提供させることができる。こうした後段のドメインは、第1ドメインと他のこうした後段のドメインとの間に予め決められたアサーション形式がなくても、認証アサーションまたは他のタイプのアサーションあるいはその両方を理解し信頼することができるようになっている必要がある。アサーションを認識することに加えて、後段のドメインは、予め決められた識別のマッピング関係がなくても、アサーションに含まれている識別を、個々のドメインにおいてユーザを表す識別へと変換することができるようになっている必要がある。別の方法では、第三者プロバイダまたはオペレータが、Webサービス・トラスト言語(WS−Trust:Web Service Trust Language)で定義されたものなどの要求形式を使用することによって、加入者に関する情報をホーム・ネットワーク・サービス・プロバイダから入手する。無論、その他任意の都合のよい信頼性強化技術またはプロトコルを使用することができる。
【0036】
本発明を、或る1つの2.5Gネットワークからもう1つの2.5Gネットワークへの移動デバイス・ユーザのローミングに照らして記載してきたが、本発明は、いずれかの特定タイプのワイヤレス・ネットワークでの使用に限定されるものではない。実際に、本明細書に記載の難読化技術は、移動デバイスまたは移動デバイス・ユーザに関連するデータがサービスを求める要求に付随し得る、あらゆるワイヤレス・ネットワーキング環境にて使用されるとよい。故に代表的な実施形態では、本発明の技術を、任意のタイプのワイヤレス・ネットワークにて使用することができ、例えば、アナログ・セルラ、デジタル・セルラ、パーソナル通信システム(PCS:Personal Communication System)、セルラ式デジタル・パケット・データ・システム(CDPD:Cellular Digital Packet Data system)、ARDIS、RAM移動データ、Metricom社のRicochet、ページング、および拡張特殊化移動体無線(ESMR:Enhanced Specialized Mobile Radio)などが挙げられるが、これらに限定されるものではない。ワイド・エリア・ワイヤレス・ネットワーク用の例示的な通信プロトコルとしては、時分割多重アクセス(TDMA:Time Division Multiple Access、例えばIS−136など)、符号分割多重アクセス(CDMA:Code Division Multiple Access)、1xRTT、汎用パケット無線サービス(GPRS:General Packet Radio Service)、GSMエボリューション用拡張データ・レート(EDGE:Enhanced Data rates for GSM Evolution)、移動体通信用グローバル・システム(GSM:Global System for Mobile Communications)、ユニバーサル移動電話システム(UMTS:Universal Mobile Telecommunications System)、および統合デジタル拡張ネットワーク(iDEN:Integrated Digital Enhanced Network)パケット・データなどが挙げられるが、これらに限定されるものではない。その上、本発明の技術は、802.11、HomeRF、Bluetooth(R)、HiperLANなどに準拠したワイヤレス・ローカル・エリア・ネットワーク(WLAN:wireless local area networks)など、免許不要の周波数帯にて利用することもできる。
【0037】
本明細書に記載されるようなホーム・ネットワークまたはフォーリン・ネットワークにて提供される機能は、任意のコントローラ上で実現することができる。コントローラは、パーソナル・コンピュータ、サーバ、または同様のマシンなど、任意の都合のよいやり方で実現されればよい。代表的なコントローラとしては、Pentium(R)(または同等品)プロセッサ上の、Linux(R)2.4(または同等品)オペレーティング・システム・カーネルを実行しているラックマウント型PCであり、本デバイスは、ソフトウェア・アプリケーションおよび関連データをサポートするシステム・メモリと外部ストレージとを含む。本コントローラは、さらに、上記に記載の諸機能を促進する標準的なネットワーク・インターフェースを含む。本コントローラは、一般に、管理、処理および監視用の、ウェブベースの(または同等の)インターフェースをエクスポートする。従ってHNPに照らすと、本コントローラは、UID生成機能に使用される。
【0038】
図8は、上記に記載したコントローラに使用されるとよい代表的なデータ処理システムである。プログラム・コードの保存または実行あるいはその両方に適したデータ処理システム800は、少なくとも1つのプロセッサ802を含み、該プロセッサは、システム・バス805を通じて、直接または間接的にメモリ要素に接続されている。メモリ要素には、プログラム・コードの実際の実行中に使用されるローカル・メモリ804と、大容量ストレージ806と、実行中にコードを大容量ストレージから検索しなければならない回数を減らすべく少なくとも一部のプログラム・コードの一時的なストレージを提供するキャッシュ・メモリ808と、を含めることができる。入力/出力すなわちI/O(Input/output)デバイス(キーボード810、ディスプレイ812、ポインティング・デバイス814などを含むがこれらに限定されない)を、直接あるいは介在しているI/Oコントローラ816を介して、システムに接続させることができる。ネットワーク・アダプタ818も同様にシステムに接続されて、本データ処理システムが、介在するプライベートまたはパブリックのネットワーク820を通じて、他のデータ処理システムまたはデバイスへ接続されるようにするとよい。
【0039】
当業者には当然のことながら、移動デバイス自体が、同様のデータ処理コンポーネントを含む。
【0040】
本発明は、完全なハードウェアの実施形態、または完全なソフトウェアの実施形態、あるいはハードウェアおよびソフトウェア双方の要素を含む実施形態の形をとることができる。好適な一実施形態では、本発明が、ファームウェア、常駐ソフトウェア、マイクロコードなどが挙げられるがこれらに限定されないソフトウェアによって実現される。さらに、上述のように、本発明は、コンピュータ使用可能なまたはコンピュータ可読の媒体からアクセス可能なコンピュータ・プログラム製品の形をとることができ、該コンピュータ・プログラム製品は、コンピュータまたは何らかの命令実行システムによってあるいはこれらと関連して使用されるプログラム・コードを提供する。本説明の目的上、コンピュータ使用可能またはコンピュータ可読の媒体は、命令実行システム、装置またはデバイスによってあるいはこれらと関連して使用されるプログラムを収容、保存、通信、伝搬、または搬送することの可能な任意の装置とすることができる。媒体は、電子、磁気、光、電磁気、赤外線、または半導体のシステム(または装置もしくはデバイス)あるいは伝搬媒体とすることができる。コンピュータ可読媒体の例としては、半導体すなわちソリッド・ステートのメモリ、磁気テープ、着脱可能なコンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read−only memory)、固定型磁気ディスクおよび光ディスクが挙げられる。光ディスクの現行の例としては、コンパクト・ディスク−読み取り専用メモリ(CD−ROM:compact disk−read only memory)、コンパクト・ディスク−読み/書き(CD−R/W:compact disk−read/write)およびDVDが挙げられる。
【0041】
上記には、本発明の或る特定の実施形態によって実施される、動作の特定の順序が述べられているが、当然のことながら、上記のような順序は例示的なものであり、別の実施形態では異なる順序で動作を実施すること、或る特定の動作を組み合わせること、或る特定の動作を重複させることなどが可能である。本明細書における所与の実施形態に対する参照は、記載されたその実施形態が特定の機能、構造または特徴を含むことがある一方で、必ずしも全ての実施形態がその特定の機能、構造または特徴を含まなくてもよいことを意味する。
【0042】
最後に、システムの所与のコンポーネントを別個に記載してきたが、当業者には当然のことながら、記載された機能の一部は、所与の命令、プログラム・シーケンス、コード部などにて組み合わされてもあるいは共有されてもよい。
【0043】
発明に関する記載を終えたので、ここで以下の通り請求する。
【特許請求の範囲】
【請求項1】
移動デバイスであって、
加入者固有の情報が保存されているデータ・ストアであって、前記加入者固有の情報は、ホーム・ネットワークに対して前記移動デバイスのユーザを特定する、データ・ストアと、
プロセッサと、
方法を実施するためのプロセッサ実行可能命令を含むコードと、
を含み、前記方法は、
前記加入者固有の情報と前記移動デバイスとを関連付ける一意の識別子を入手するステップと、
前記一意の識別子を保存するステップと、
サービス要求に関連して、前記データ・ストアにある前記加入者固有の情報の代わりに前記一意の識別子を提供するステップと、
を含む、移動デバイス。
【請求項2】
前記加入者固有の情報は、MSISDN、および前記移動デバイスを加入者に結び付ける他の任意の識別子のうちの1つである、請求項1に記載の移動デバイス。
【請求項3】
前記一意の識別子は、前記一意の識別子を前記移動デバイスにて生成することによって入手される、請求項1に記載の移動デバイス。
【請求項4】
前記一意の識別子は、前記一意の識別子をホーム・ネットワーク・プロバイダから受信することによって入手される、請求項1に記載の移動デバイス。
【請求項5】
前記ホーム・ネットワーク・プロバイダに、前記移動デバイスに対する前記一意の識別子を発行するようにクエリを行うステップをさらに含む、請求項4に記載の移動デバイス。
【請求項6】
前記ホーム・ネットワーク・プロバイダは、前記移動デバイスがフォーリン・ネットワークへローミングしているときにクエリされる、請求項5に記載の移動デバイス。
【請求項7】
前記一意の識別子を入手する前記ステップは、定期的に生じる、請求項1に記載の移動デバイス。
【請求項8】
前記一意の識別子を入手する前記ステップは、前記加入者固有の情報のプロビジョニング中に生じる、請求項1に記載の移動デバイス。
【請求項9】
前記一意の識別子を入手する前記ステップは、前記移動デバイスのホーム・ネットワークへの登録中に生じる、請求項1に記載の移動デバイス。
【請求項10】
前記サービス要求は、ホーム・ネットワーク・プロバイダの識別がそこから把握できるデータ列をさらに含む、請求項1に記載の移動デバイス。
【請求項11】
前記データ・ストアのデータ列は、前記一意の識別子と連結させられる、請求項1に記載の移動デバイス。
【請求項12】
前記一意の識別子は、前記加入者固有の情報を符号化する、請求項1に記載の移動デバイス。
【請求項13】
前記一意の識別子は、前記加入者固有の情報の関数である、請求項1に記載の移動デバイス。
【請求項14】
前記関数は、前記加入者固有の情報、タイムスタンプ、およびソルトを暗号化する、請求項13に記載の移動デバイス。
【請求項15】
前記ソルトは、前記移動デバイスとホーム・ネットワーク・プロバイダとの間で共有されている秘密鍵である、請求項14に記載の移動デバイス。
【請求項16】
前記データ・ストアは、加入者識別モジュール(SIM)カードである、請求項1に記載の移動デバイス。
【請求項17】
加入者識別モジュール(SIM)、ワイヤレス・トランシーバ、およびプロセッサを含む移動デバイスであって、前記SIMは、ホーム・ネットワークに対して前記移動デバイスのユーザを識別する加入者固有の情報を含み、前記移動デバイスは、
一意の識別子を入手し保存する第1プロセッサ実行可能命令であって、前記一意の
識別子は、前記加入者固有の情報と前記移動デバイスとを関連付けている、第1プロセッサ実行可能命令と、
サービス要求に関連して、前記一意の識別子を前記加入者固有の情報の代わりに提供する、第2プロセッサ実行可能命令と、
を含む、移動デバイス。
【請求項18】
前記第1プロセッサ実行可能命令は、前記移動デバイスにて前記一意の識別子を生成することによって前記一意の識別子を入手する、請求項17に記載の移動デバイス。
【請求項19】
前記第1プロセッサ実行可能命令は、ホーム・ネットワーク・プロバイダから前記一意の識別子を受信することによって前記一意の識別子を入手する、請求項18に記載の移動デバイス。
【請求項20】
前記第1プロセッサ実行可能命令は、前記一意の識別子を要求するべく前記ホーム・ネットワーク・プロバイダへクエリを行う、請求項19に記載の移動デバイス。
【請求項21】
前記第1プロセッサ実行可能命令は、1つ以上の追加的な一意の識別子を入手し保存する、請求項17に記載の移動デバイス。
【請求項22】
ネットワーク・プロバイダに対する所与のサービス要求に応じて、前記ネットワーク・プロバイダの識別に基づいて所与の一意の識別子を選択する第3プロセッサ実行可能命令をさらに含む、請求項21に記載の移動デバイス。
【請求項23】
前記第2プロセッサ実行可能命令は、前記一意の識別子に加えて、ホーム・ネットワーク・プロバイダの識別をそこから把握することができるデータ列をさらに提供する、請求項17に記載の移動デバイス。
【請求項24】
前記第2プロセッサ実行可能命令は、前記ユーザの識別子と前記データ列とを連結させる、請求項23に記載の移動デバイス。
【請求項25】
前記一意の識別子は、前記加入者固有の情報を符号化する、請求項17に記載の移動デバイス。
【請求項26】
前記一意の識別子は、前記加入者固有の情報の関数である、請求項17に記載の移動デバイス。
【請求項27】
前記関数は、前記加入者固有の情報、タイムスタンプ、およびソルトを暗号化する、請求項26に記載の移動デバイス。
【請求項28】
前記ソルトは、前記移動デバイスとホーム・ネットワーク・プロバイダとによって共有された秘密鍵である、請求項27に記載の移動デバイス。
【請求項29】
加入者識別モジュール(SIM)、ワイヤレス・トランシーバ、およびプロセッサを含む移動デバイスであって、前記SIMは、ホーム・ネットワークに対して前記移動デバイスのユーザを特定する加入者固有の情報を有し、前記移動デバイスは、
コンピュータ可読媒体をさらに含み、
前記コンピュータ可読媒体はその内部に以下のもの:
1つ以上の一意の識別子を入手する一連の第1プロセッサ実行可能命令であって、前記一意の識別子の各々は、前記加入者固有の情報と前記移動デバイスとを関連付けており、ホーム・ネットワーク・プロバイダ以外のネットワーク・プロバイダに対して前記移動デバイスのユーザの識別を不明にするのに有用である、一連の第1プロセッサ実行可能命令;および
前記1つ以上の一意の識別子を管理する一連の第2プロセッサ実行可能命令、
を保存してある、移動デバイス。
【請求項30】
前記第2プロセッサ実行可能命令は、前記移動デバイスから発行されたサービス要求と一緒に一意の識別子を提供する、請求項29に記載の移動デバイス。
【請求項31】
前記第2プロセッサ実行可能命令は、前記サービス要求と一緒に提供される前記一意の識別子を、前記ネットワーク・プロバイダに基づいて選択する、請求項30に記載の移動デバイス。
【請求項32】
前記第1プロセッサ実行可能命令は、前記ホーム・ネットワーク・プロバイダに対して要求を発行することによって少なくとも1つの一意の識別子を入手する、請求項29に記載の移動デバイス。
【請求項33】
前記要求は、定期的に前記ホーム・ネットワーク・プロバイダに対して発行される、請求項32に記載の移動デバイス。
【請求項34】
前記要求は、前記移動デバイスのプロビジョニング、および前記移動デバイスの登録のうちの1つの期間中に、前記ホーム・ネットワーク・プロバイダに対して発行される、請求項32に記載の移動デバイス。
【請求項35】
前記第2プロセッサ実行可能命令は、前記一意の識別子に加えて、前記ホーム・ネットワーク・プロバイダの識別をそこから把握することができるデータ列を提供する、請求項30に記載の移動デバイス。
【請求項1】
移動デバイスであって、
加入者固有の情報が保存されているデータ・ストアであって、前記加入者固有の情報は、ホーム・ネットワークに対して前記移動デバイスのユーザを特定する、データ・ストアと、
プロセッサと、
方法を実施するためのプロセッサ実行可能命令を含むコードと、
を含み、前記方法は、
前記加入者固有の情報と前記移動デバイスとを関連付ける一意の識別子を入手するステップと、
前記一意の識別子を保存するステップと、
サービス要求に関連して、前記データ・ストアにある前記加入者固有の情報の代わりに前記一意の識別子を提供するステップと、
を含む、移動デバイス。
【請求項2】
前記加入者固有の情報は、MSISDN、および前記移動デバイスを加入者に結び付ける他の任意の識別子のうちの1つである、請求項1に記載の移動デバイス。
【請求項3】
前記一意の識別子は、前記一意の識別子を前記移動デバイスにて生成することによって入手される、請求項1に記載の移動デバイス。
【請求項4】
前記一意の識別子は、前記一意の識別子をホーム・ネットワーク・プロバイダから受信することによって入手される、請求項1に記載の移動デバイス。
【請求項5】
前記ホーム・ネットワーク・プロバイダに、前記移動デバイスに対する前記一意の識別子を発行するようにクエリを行うステップをさらに含む、請求項4に記載の移動デバイス。
【請求項6】
前記ホーム・ネットワーク・プロバイダは、前記移動デバイスがフォーリン・ネットワークへローミングしているときにクエリされる、請求項5に記載の移動デバイス。
【請求項7】
前記一意の識別子を入手する前記ステップは、定期的に生じる、請求項1に記載の移動デバイス。
【請求項8】
前記一意の識別子を入手する前記ステップは、前記加入者固有の情報のプロビジョニング中に生じる、請求項1に記載の移動デバイス。
【請求項9】
前記一意の識別子を入手する前記ステップは、前記移動デバイスのホーム・ネットワークへの登録中に生じる、請求項1に記載の移動デバイス。
【請求項10】
前記サービス要求は、ホーム・ネットワーク・プロバイダの識別がそこから把握できるデータ列をさらに含む、請求項1に記載の移動デバイス。
【請求項11】
前記データ・ストアのデータ列は、前記一意の識別子と連結させられる、請求項1に記載の移動デバイス。
【請求項12】
前記一意の識別子は、前記加入者固有の情報を符号化する、請求項1に記載の移動デバイス。
【請求項13】
前記一意の識別子は、前記加入者固有の情報の関数である、請求項1に記載の移動デバイス。
【請求項14】
前記関数は、前記加入者固有の情報、タイムスタンプ、およびソルトを暗号化する、請求項13に記載の移動デバイス。
【請求項15】
前記ソルトは、前記移動デバイスとホーム・ネットワーク・プロバイダとの間で共有されている秘密鍵である、請求項14に記載の移動デバイス。
【請求項16】
前記データ・ストアは、加入者識別モジュール(SIM)カードである、請求項1に記載の移動デバイス。
【請求項17】
加入者識別モジュール(SIM)、ワイヤレス・トランシーバ、およびプロセッサを含む移動デバイスであって、前記SIMは、ホーム・ネットワークに対して前記移動デバイスのユーザを識別する加入者固有の情報を含み、前記移動デバイスは、
一意の識別子を入手し保存する第1プロセッサ実行可能命令であって、前記一意の
識別子は、前記加入者固有の情報と前記移動デバイスとを関連付けている、第1プロセッサ実行可能命令と、
サービス要求に関連して、前記一意の識別子を前記加入者固有の情報の代わりに提供する、第2プロセッサ実行可能命令と、
を含む、移動デバイス。
【請求項18】
前記第1プロセッサ実行可能命令は、前記移動デバイスにて前記一意の識別子を生成することによって前記一意の識別子を入手する、請求項17に記載の移動デバイス。
【請求項19】
前記第1プロセッサ実行可能命令は、ホーム・ネットワーク・プロバイダから前記一意の識別子を受信することによって前記一意の識別子を入手する、請求項18に記載の移動デバイス。
【請求項20】
前記第1プロセッサ実行可能命令は、前記一意の識別子を要求するべく前記ホーム・ネットワーク・プロバイダへクエリを行う、請求項19に記載の移動デバイス。
【請求項21】
前記第1プロセッサ実行可能命令は、1つ以上の追加的な一意の識別子を入手し保存する、請求項17に記載の移動デバイス。
【請求項22】
ネットワーク・プロバイダに対する所与のサービス要求に応じて、前記ネットワーク・プロバイダの識別に基づいて所与の一意の識別子を選択する第3プロセッサ実行可能命令をさらに含む、請求項21に記載の移動デバイス。
【請求項23】
前記第2プロセッサ実行可能命令は、前記一意の識別子に加えて、ホーム・ネットワーク・プロバイダの識別をそこから把握することができるデータ列をさらに提供する、請求項17に記載の移動デバイス。
【請求項24】
前記第2プロセッサ実行可能命令は、前記ユーザの識別子と前記データ列とを連結させる、請求項23に記載の移動デバイス。
【請求項25】
前記一意の識別子は、前記加入者固有の情報を符号化する、請求項17に記載の移動デバイス。
【請求項26】
前記一意の識別子は、前記加入者固有の情報の関数である、請求項17に記載の移動デバイス。
【請求項27】
前記関数は、前記加入者固有の情報、タイムスタンプ、およびソルトを暗号化する、請求項26に記載の移動デバイス。
【請求項28】
前記ソルトは、前記移動デバイスとホーム・ネットワーク・プロバイダとによって共有された秘密鍵である、請求項27に記載の移動デバイス。
【請求項29】
加入者識別モジュール(SIM)、ワイヤレス・トランシーバ、およびプロセッサを含む移動デバイスであって、前記SIMは、ホーム・ネットワークに対して前記移動デバイスのユーザを特定する加入者固有の情報を有し、前記移動デバイスは、
コンピュータ可読媒体をさらに含み、
前記コンピュータ可読媒体はその内部に以下のもの:
1つ以上の一意の識別子を入手する一連の第1プロセッサ実行可能命令であって、前記一意の識別子の各々は、前記加入者固有の情報と前記移動デバイスとを関連付けており、ホーム・ネットワーク・プロバイダ以外のネットワーク・プロバイダに対して前記移動デバイスのユーザの識別を不明にするのに有用である、一連の第1プロセッサ実行可能命令;および
前記1つ以上の一意の識別子を管理する一連の第2プロセッサ実行可能命令、
を保存してある、移動デバイス。
【請求項30】
前記第2プロセッサ実行可能命令は、前記移動デバイスから発行されたサービス要求と一緒に一意の識別子を提供する、請求項29に記載の移動デバイス。
【請求項31】
前記第2プロセッサ実行可能命令は、前記サービス要求と一緒に提供される前記一意の識別子を、前記ネットワーク・プロバイダに基づいて選択する、請求項30に記載の移動デバイス。
【請求項32】
前記第1プロセッサ実行可能命令は、前記ホーム・ネットワーク・プロバイダに対して要求を発行することによって少なくとも1つの一意の識別子を入手する、請求項29に記載の移動デバイス。
【請求項33】
前記要求は、定期的に前記ホーム・ネットワーク・プロバイダに対して発行される、請求項32に記載の移動デバイス。
【請求項34】
前記要求は、前記移動デバイスのプロビジョニング、および前記移動デバイスの登録のうちの1つの期間中に、前記ホーム・ネットワーク・プロバイダに対して発行される、請求項32に記載の移動デバイス。
【請求項35】
前記第2プロセッサ実行可能命令は、前記一意の識別子に加えて、前記ホーム・ネットワーク・プロバイダの識別をそこから把握することができるデータ列を提供する、請求項30に記載の移動デバイス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2010−532019(P2010−532019A)
【公表日】平成22年9月30日(2010.9.30)
【国際特許分類】
【出願番号】特願2010−508790(P2010−508790)
【出願日】平成20年5月8日(2008.5.8)
【国際出願番号】PCT/EP2008/055692
【国際公開番号】WO2008/141948
【国際公開日】平成20年11月27日(2008.11.27)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公表日】平成22年9月30日(2010.9.30)
【国際特許分類】
【出願日】平成20年5月8日(2008.5.8)
【国際出願番号】PCT/EP2008/055692
【国際公開番号】WO2008/141948
【国際公開日】平成20年11月27日(2008.11.27)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]