電子ペンからの情報の安全な管理のための方法およびシステム
電子ペンによって記録された位置データに関してセキュリティを提供する方法とシステムが考え出されている。位置データは、位置符号化パターンの特定の領域から生じ、パターンの特定の領域を割り当てられている特定のアプリケーションサービスハンドラ、すなわちASHへと送られる予定のものである。ペンは、1以上のペンアプリケーションライセンス、すなわちPALを格納する。PALの各々は、暗号化鍵と関連付けられるライセンスデータを含み、ライセンスデータは、パターンの領域を特定する。所与のPALの暗号化鍵は、所与のASHの暗号化鍵と対応する。こうして、PALにより、ペンは、パターンの特定の領域から生じて記録された位置データを、受け取り側ASHの暗号化鍵と関係付けられた暗号化鍵で暗号化できる。ライセンスデータは、一群のペンと有効期間とをさらに規定してよく、それにより、PALを生成する者はその利用を管理できる。PALの生成は、権限付与者から引き出されたPAL検証データによって与えられる、事前の認可を必要としてよい。PALに含まれることになるPAL検証データは、PALに含まれることができるライセンスデータについて限界を設定してよく、また、権限付与者によってデジタル署名されてもよい。ペンは、PALのライセンスデータがPAL検証データに対して適正に検証されることができない限り、PALをインストールすることを禁止されてよい。
【発明の詳細な説明】
【関連出願へのクロスリファレンス】
【0001】
本出願は、2004年10月12日に出願された米国仮特許出願第60/617,193号と、2005年6月30日に出願されたスウェーデン特許出願第0501520−1号と、2005年7月5日に出願された米国仮特許出願第60/695,851号との利益を主張し、すべての当該出願は、参照によりここに組み込まれているものとする。
【技術分野】
【0002】
本発明は、電子ペンによって記録された位置データに関してセキュリティを提供する方法およびシステムに関する。
【背景技術】
【0003】
本発明の出願人は、位置符号を備えた書込み面を有する製品を利用するシステム基盤(インフラストラクチャ)を開発した。このようなシステムでは、デジタルデバイスとしても知られる電子ペンが、書込み面への書込みに用いられると同時に、位置符号化された面の位置を記録できるようになっている。電子ペンは、センサを用いて位置符号を検出し、書き込まれたペンストロークに対応する位置を計算する。
【0004】
位置符号は、多数の位置の座標を符号化できる位置符号化パターンの一部である。従って、パターンは、パターンが符号化できるすべての位置によって規定される仮想面あるいは基準面を形成していると見ることができる。仮想面上の別々の位置は、別々の機能、またはサービス、および/またはアクタ(actor)のために割り当てられている。仮想面は、典型的には別々の部分集合(サブセット)に分割されている。この部分集合は、パターンのうちの限られた領域を含んでよい。このような限られた領域は、実際のページ(物理的なページ)の大きさに対応する大きさを有してよく、従って、パターンページといってもよい。各パターンページは、固有のページアドレスで表される。このような場合、各絶対位置は、ページアドレスと、関連するパターンページ内の局所位置とによって表されてよい。
【0005】
電子ペンは、仮想面上のある機能領域を規定するためにあらかじめペンに格納された、いわゆるテンプレートによって、仮想面の情報を有してよい。ペンは、これらのテンプレートによって示された機能に基づいて、記録された位置を処理してよい。
【0006】
電子ペンおよび複数の位置符号化製品に加えて、システムは、システム内でアプリケーションサービスハンドラとして働く複数のアプリケーションサーバを含む。アプリケーションサービスハンドラ、すなわちASHは、デジタル情報の格納または中継、情報または項目の受取人への送信の開始などといったサービスを、電子ペンに代わって実行する。
【0007】
システム基盤は、位置符号によって規定される仮想面と、この仮想面に関する情報とを管理し、特に、どのASHがどの位置と関連付けられているかを管理する。仮想面の別々の領域を別々の送り先ユニットと関連付けることによって、ペンからの情報を、処理のために正しい送り先ユニットへ向かわせることができる。例えば、システムは、中間サーバを含んでよい。中間サーバは、ペンから1以上の絶対位置を受信して、あるいはページアドレスを受信して、正しいASHの、関連するネットワークアドレスを特定し、このネットワークアドレスへ情報データを向かわせたりルーティングしたりする。
【0008】
さらに、中間サーバは、さまざまな管理規則を、例えばページアドレスによって特定された、仮想面上の別々の領域と関連付けてもよい。管理規則は、そのような領域の位置データがどのように管理され、あるいは処理されるかを決定する。具体的には、そのようなある領域についての管理規則は、位置データをその意図された宛先へ送信する前にペンが位置データを暗号化すべきか、を管理してもよく、また、その場合にはどの暗号化鍵を用いるか、を管理してもよい。
【0009】
上記の仮想面や、デジタルデバイス、すなわち電子ペンに備えられた例示的な操作、機能、サービスを持つ例示的なシステム基盤の全体は、公開された特許出願である米国第2002/0091711号、米国第2003/0046256号、および米国第2003/0061188号にさらに記述されている。これらはすべて、本出願人によって出願されたものであり、参照によりここに組み込まれているものとする。また、例えば米国第6,570,104号、米国第6,330,976号、および米国第2004/0085287号に開示されているような他の形式の位置符号化パターンも、本発明の範囲内で同様に可能であることが留意されるであろう。
【発明の開示】
【発明が解決しようとする課題】
【0010】
この類のシステムの難点の一つは、位置符号化パターンのある領域の位置と関連付けられたASHが、安全なサービスをシステム内に配備(デプロイ)するために、特定の暗号化鍵を用いて位置データを暗号化するようペンに要請した場合、そのような暗号化鍵に対応する管理規則を構成するために、上記のような中間サーバと情報交換する必要がある、ということである。
【0011】
上記のような、システムでの安全なサービスの配備(デプロイメント)および利用に関して、本出願人は、このような配備および利用にとって望ましい、互いに独立かつ非排他的な、いくつかの特性を明らかにした。
【0012】
第1に、アプリケーションサービスハンドラの管理者のような者(party)が、安全な方法で情報が送信かつ管理される新しいサービスを配備しようと欲する場合、電子ペンのみとの情報交換に基づいてそのような安全なサービスを配備できることが望まれる。その者がサービスを配備する時に、中間ノードや中間サーバなどの、システム基盤の他の構成要素と情報交換する必要なしに、である。
【0013】
第2に、安全なサービスを配備される電子ペンが、その安全なサービスを信頼できる、ということも望まれる。つまり、サービス利用時に送信される情報が、誤った受取人に利用されてしまうことはない、と信頼できることが望まれる。
【0014】
第3に、電子ペンは多数のサービスを利用できる方がよいので、同一のペンに関して、別々のアプリケーションサービスハンドラが別々の安全なサービスを配備できる方がよく、ペンは、これらの安全なサービスのそれぞれを信頼できる方がよい。
【0015】
そして第4に、安全なサービスの配備者(デプロイヤ)自体をペンが信頼することができれば、これもまた有利である。つまり、情報が安全なサービスの配備者のみに提供されるだけでなく、ペンから情報を受信する権利を配備者が有し、あるいは、配備者が、信頼できる配備者としてシステム基盤から資格を与えられていることである。
【0016】
上述した特性の一つ一つは、他の特性の実現とは無関係に、それ独自の効果を提供することが留意されるであろう。以上、および以下において、「配備者」という用語は、サービスを配備するもの、すなわち、配備者する者、典型的にはアプリケーションサービスハンドラ、と解釈されるものとする。
【0017】
本発明の目的は、電子ペンによって記録された位置データを管理するときに、上に列挙した安全なサービスの特性のうちの少なくとも一つが得られるようにセキュリティを提供することである。
【0018】
この目的は、独立請求項に記載された方法、コンピュータプログラム製品、およびシステムによって達成される。有利な実施の形態は、従属請求項に記載されている。
【課題を解決するための手段】
【0019】
本発明の実施の形態によれば、電子ペンは、別々のアプリケーションサービスハンドラへ送られることになっている位置データを有する位置符号化パターンの別々の領域を、それぞれの暗号化鍵と関連付け、この関連付けによって、電子ペンは、パターンのうちのある領域に属する記録された位置データを、関連付けられた暗号化鍵で暗号化できるようになっている。
【0020】
従って、記録された位置データを暗号化するために使われた暗号化鍵に対応する暗号化鍵を保持するアプリケーションサービスハンドラ(ASH)だけが、記録された位置データを利用でき、他の受取人に対しては、暗号化されたデータの機密が保たれる、ということを、関連付けによって確実にすることができる。
【0021】
パターンの領域と暗号化鍵との関連付けは、安全なサービスを配備するそれぞれのASHか、またはその管理者によって提供されてよい。それぞれの関連付けは、ペンアプリケーションライセンス、すなわちPALを用いて、ペンに提供されてもよい。PALは、パターンの領域を規定する領域指定を含むライセンスデータと、暗号化鍵とを格納し、対応する暗号化鍵は、ASHにインストールされている。電子ペンにPALを提供することにより、ASHは、システムにおいてサービスを配備する際、他の中間ノードまたはサーバと情報交換する必要なしに、情報が安全に暗号化されているサービスを配備することができる。
【0022】
もう一つの全般的な効果は、電子ペンからの1方向の通信しか提供しないシステム基盤、すなわち、中間サーバまたはASHのような他の基盤構成要素による安全な通信をするようペンを構成することができないシステム基盤において、安全なサービスを実行できる、ということである。
【0023】
ある実施の形態においては、ペンからASHへデータを伝達するために、非対称暗号化が用いられる。従って、PALの暗号化鍵は、非対称鍵ペアのうちの公開鍵でよく、ASHの暗号化鍵は、前記鍵ペアのうちの秘密鍵でよい。
【0024】
ある実施の形態によれば、位置符号化パターンのある一部を管理する権利を有する管理アクタが、その部分またはその部分の下位領域がシステムにおいてどのように用いられるかを管理できるようにするため、PALのPAL検証データが用いられ、ペンはこれに対してPALのパラメータを検証する。PAL検証データは、原則的にはいつでも、管理アクタによってASHへ提供されてよい。ASHがサービスを配備しようとする場合、ASHはPAL検証データを含むPALを生成してよく、PAL検証データはそこで1以上の電子ペンへ提供される。例えば、ある範囲のペン識別子を規定するパラメータは、PALに含まれてもPALのPAL検証データに含まれてもよく、このパラメータを、位置符号化パターンのある一部で動作できるようになっている特定の組の電子ペンを制御するために使うことができる。同様に、有効期間を規定するパラメータによって、位置符号化パターンのある一部をどれくらいの期間使ってよいか、を管理することができる。有効期間は、時限として、あるいはまた、位置符号化パターンのある一部をそのサービスで使ってよい最大の回数として、規定されてよい。
【0025】
さらなる実施の形態によれば、ASHはいつでも、PALにおいて領域指定と関連付けられる自らの暗号化鍵を、上述した管理アクタへ提供することができる。この管理アクタ自体は、電子ペンによって信頼されることができるアクタであってよい。この信頼は、ペンの製造時または初期構成においてインストールされた公開暗号化鍵であって、信頼されたアクタの中の対応する秘密暗号化鍵に対応する公開暗号化鍵を、ペンが有することによってもたらされてよい。信頼されたアクタは、自らの秘密暗号化鍵を使って、ASHから受信した暗号化鍵に署名し、そうして生成されたデジタル署名を返す。
【0026】
あるいは、管理アクタは単なる中間管理アクタであり、ペンは、ペンの中の公開鍵に対応する秘密鍵を持つ者である他の者を信頼することだけができる。この後者の場合、今度はこの中間管理アクタが、自身の公開鍵を他の者へ送信する必要がある。他の者は、ペンから信頼された者でもよく、あるいは、さらに別の中間管理アクタであってもよい。返信として、中間管理アクタは、信頼された者または中間管理アクタのいずれかの資格で前記他のアクタによってデジタル署名された、自身の公開鍵を受信する。中間管理アクタは、自身の秘密鍵を使って、ASHから受信した暗号化鍵にデジタル署名する。そして、結果として得られた署名は、前記他のアクタから受信した署名とともにASHへ伝えられる。
【0027】
ASHは、受信したすべてのデジタル署名をPALに含める。その結果、ペンは、PALに含まれるデジタル署名の連鎖(チェイン)を検証するために、自身が格納している信頼された者の公開鍵を用いてよい。そして結果として、PALに含まれた暗号化鍵であって、領域指定と関連付けられたASHの暗号化鍵が検証される。このようにして、信頼された者から直接的あるいは間接的にASHが信頼されているという前提で、ペンは、新しいサービスを配備するASHを信頼することができる。
【0028】
さらなる実施の形態によれば、代わりの方法として、各デジタル署名が、PALおよびPAL検証データ部に含まれるライセンスデータにデジタル署名することにより生成されてもよい。署名されたライセンスデータパラメータを検証することにより、ペンは、パラメータで明記された事柄に従ってサービスを配備する権利をASHが有する、ということを確かめることができる。同時に、そのような仕組みにより、信頼された者は、ASHがサービスに関連して特定のパターン領域をどのように使うことができるか、ということを管理できる。
【0029】
本発明のさらなる特徴ならびにその効果は、以下に述べる、本発明のいくつかの例示的な実施の形態の詳細な説明から、より簡単に明白になるであろう。当然ながら、添付の請求の範囲によって規定された本発明の範囲に入るさまざまな変更、改変、および特徴の種々の組み合わせは、ここに述べられた全般的な教示および以下の詳細な説明を研究すれば、当業者にとって明らかになるであろう。
【発明を実施するための最良の形態】
【0030】
本発明の例示的な実施の形態について、添付の図面を参照して説明する。
【0031】
図1Aは、本発明の実施の形態が実装された、本出願人によって開発されたシステム基盤を示す。この基盤については上の背景の節で述べたが、以下にさらに詳細に述べる。
【0032】
図1Aのシステムは、電子ペン100またはユーザユニットと、書込み面120、121および機能領域または起動アイコン125を含む位置符号(図示せず)を持つ複数の製品110とを備える。図では、電子ペン1本と製品1つだけが示されている。また、システムは、ネットワーク接続ユニット130と、それぞれ150、160と表示された2つのアプリケーションサービスハンドラASH1、ASH2とを備える。アプリケーションサービスハンドラ150、160はサーバであり、電子ペン100が利用することのできるサービスを管理する第三者によって管理されている。アプリケーションサービスハンドラASH1の150とASH2の160とのそれぞれは、本発明に従って働くようにASHを管理する処理手段を含む。処理手段は、それぞれ151、161と表示されている。これらの処理手段は、典型的には、サーバとして働くコンピュータに通常含まれる単一または複数のプロセッサによって実現される。
【0033】
さらに、システムは、信頼された者のサーバ140、つまり、電子ペン100によって信頼されることができる者のサーバ140と、位置符号化パターンのある一部を管理する権利を有する管理アクタ145とを備える。管理アクタ145は、それ自体がアプリケーションサービスハンドラであってもよく、あるいは、管理アクタ145によって管理される位置符号化パターンの一部に関して、異なるアプリケーションサービスハンドラがシステム内でサービスを配備できるようにするために用いられるサーバであってもよい。
【0034】
図1Aにおいて、ネットワーク接続ユニット130は、移動局(モバイルステーション)またはラップトップコンピュータとして例示されている。しかし、ユニット130は、代わりに、パーソナルデジタルアシスタント(PDA)、据え置き型のデスクトップコンピュータ、LANアクセスポイントなどの好適な電子装置であってもよい。ネットワーク接続ユニット130は、電子ペンが全システム内の他の部分と通信するのを中継するデバイスアプリケーションを含んでもよい。典型的には、上述のシステムは、複数の電子ペン100および製品110に加えて、複数のネットワーク接続ユニット130と、複数のアプリケーションサービスハンドラ150、160とを含むことになる。
【0035】
電子ペンは、製品110上の符号化パターンの記号を検出することによって、符号化パターンによって符号化されることができる全仮想面のうちの絶対座標を1つ以上求めることができる。仮想面は広大であり、典型的には1〜107km2の範囲に及ぶことが理解されよう。
【0036】
仮想面は、個別にアドレス指定できる単位へと、論理的に細分されている。一例が図1Bに記載されているが、この例では、仮想面180またはその一部が、ページ単位の階層構造へと仕切られている。具体的には、仮想面180は、いくつかのセグメント190へと分割され、各セグメント190は、いくつかのシェルフ191へと分割される。各シェルフ191は、いくつかのブック192へと分割され、各ブック192は、いくつかのページ単位またはパターンページ193へと分割されている。ペンは、求められた絶対位置を位置符号化パターンのある領域または部分へ、さらには、その領域または部分の中のある局所的な位置へ、関係付けることができる。そのような領域または部分は、この例では、あるパターンページであり、「セグメント.シェルフ.ブック.ページ」というフォーマットを用いて特定される(例えば、「1.2.3.4」であれば、セグメント「1」における、シェルフ「2」の、ブック「3」の、パターンページ「4」、を示す)。この表記法は、ページアドレスを規定する。このように、仮想面のグローバル座標系194において求められた各絶対位置は、ページアドレスと、ローカル座標系195において与えられた、パターンページ193内の局所位置、という形で仮想面内の論理位置として解釈され得る位置データを表す。
【0037】
以下において、ページアドレスフォーマットは、特定のパターンページを特定するために用いられるばかりでなく、「1.2.3.x」、「1.2.x.x」、または「1.x.x.x」という表記を用いることによって、パターンページの範囲を特定するためにも用いられる。ここで、「x」は、それぞれ特定のブック、シェルフ、セグメントのすべてのパターンページを表す。このアドレス指定の仕組みは、前置きとして参照した前述の米国第2003/0061188号に、さらに記述されている。仮想面の他の仕切り方および他のアドレス指定の仕組みが同様に可能であること、また、そのような仕切り方およびアドレス指定の仕組みであっても、本発明の範囲内にあることが理解されよう。
【0038】
ユーザが製品110の表面を横切るように電子ペン100を移動させると、ペンは、表面の記号を検出し対応する絶対座標を求めて、情報を記録する。情報は、典型的には、ページアドレスと、関連するパターンページ上の一続きの位置とである。これは、ペン100の内部に含まれるセンサと、各種メモリと、処理回路とによって遂行される。電子ペンは、典型的には規定データを格納し、ペンは、規定データによって、記録された絶対座標に基づいて関連するページアドレスを引き出すことができる。この情報、すなわち位置データは、ネットワーク接続ユニット130を介して、あるいは移動通信ネットワーク170を介して、中間サーバ165へと伝達されてよい。
【0039】
図1Aに示すように、中間サーバ165は、インターネットへ接続され、情報をページアドレスに基づいて関連するASHのネットワークアドレスへとルーティングするよう構成されたサーバであってよい。しかし、このルーティング機能は、代わりに、情報を関連するASHのネットワークアドレスへと向かわせるためのルーティングテーブルを含むネットワーク接続ユニット130によって実行されるデバイスアプリケーションに含まれてもよい。
【0040】
このように、ペンの機能は、位置符号化パターンの特定の部分でペンを操作するユーザによって、少なくとも部分的に制御される。ペンは、位置符号化パターンの別々の部分から記録された情報がどのように解釈されるべきかを規定する別々のテンプレートを格納する。例えば、ページ階層における特定の部分集合、例えばセグメント190あるいはシェルフ191は、テンプレートと関連付けられてよい。それによって、そのテンプレートは、その特定の部分集合内のすべてのパターンページ193について有効となる。テンプレートは、ペンの操作に影響を及ぼし得るあらゆる機能領域(「ピジェット(pidgets)」)の大きさと、配置(座標系195における配置)と、機能とを規定する。
【0041】
テンプレートにおいて、パターンページ内でピジェットに占められていないすべての位置は、描画領域に属しているものと規定される。描画領域で検出された位置は、ペンストロークとして記録され格納されるべきものとペンに解釈される。
【0042】
電子ペン100のユーザが情報の送信を開始したい場合は、送り領域125に「印付け(tick)」をしてもよい。すると、送り領域125の少なくとも1個所の位置の記録が、テンプレートによって、送りピジェット内の位置として電子ペン100に認識される。送りピジェットは、特定の送り命令と関連付けられている。
【0043】
ペンに利用されるべきネットワーク接続ユニット130を特定するデバイス選択領域を、他のピジェットが規定してもよい。つまり、それがPCであるべきか、移動機器であるべきか、LANアクセスポイントであるべきか、等である。さらに、テンプレートは、複数のピジェットの機能を同一のピジェットに結合してもよい。例えば、送り領域125に対応するピジェットが、ネットワーク接続ユニットとしての移動電話と関連付けられているものと規定されてもよい。
【0044】
以下でさらに詳しく説明するように、ペンは、好ましくは、パターン領域指定と公開暗号化鍵との特定の関連付けを規定するペンアプリケーションライセンス、すなわちPALを格納する。典型的には、あるパターン部分(例えばセグメントまたはシェルフ)内において、その部分の別々の領域(例えばパターンページまたはブック)は、いくつかのPALによって、別々の公開暗号化鍵と関連付けられている。そのようなあるパターン部分についてのテンプレートが、いくつかの別々のPALと動的に関連付けられ、あるいはこれらを含むことができ、各PALがそのパターン部分のそれぞれの領域について公開暗号化鍵を規定するように構成されると有利である。PALは、典型的には、特定の拡張セッションにおいてペンにインストールされ、その結果、PALまたはPALからペンによって引き出されたデータが、ペンのメモリに格納される。その後、ペンは、そうしてインストールされたPALデータにサポートされたすべてのパターンページで、安全なサービスを実行できるようになる。
【0045】
ある実施の形態において、ペン100は、窓または開口を規定する、ペンの形をしたケースまたは外殻を有しており、窓または開口を通して画像が記録される。ケースは、カメラシステムと、電子システムと、電源とを収容する。
【0046】
カメラシステムは、少なくとも一つの照明用光源と、レンズ配列と、光学式画像読取装置とを備える(いずれも図示しない)。光源は、好適には発光ダイオード(LED)またはレーザダイオードであるが、窓を通して見える領域の一部を、赤外線によって照明する。見えた領域の画像は、レンズ配列によって画像読取装置上に投影される。画像読取装置は、二次元CCDまたはCMOS検出器であってよい。二次元CCDまたはCMOS検出器は、一定の割合または変動する割合で、典型的にはおよそ70〜100Hzで画像を取り込むようトリガーを掛けられている。
【0047】
電子システムは、メモリ手段106に接続された処理手段105を備える。処理手段は、電子ペンの別々の機能を受け持っており、CPU(「中央処理装置」)のような市販のマイクロプロセッサや、DSP(「デジタルシグナルプロセッサ」)によって、または、FPGA(「フィールド・プログラマブル・ゲート・アレイ」)もしくはASIC(「特定用途向け集積回路」)、個別のアナログおよびデジタル部品、またはこれらの適当な組み合わせといった、他のプログラム可能な論理装置によって実装されることができると有利である。メモリ手段106は、作業メモリ(例えばRAM)や、プログラムコードと固定記憶用のメモリ(不揮発性メモリ、例えばフラッシュメモリ)といった、さまざまな型のメモリを備えてよい。関連するソフトウェアは、メモリ手段106に格納されており、電子ペンの全般の操作だけでなく、電子ペンの本発明に従った操作も扱うペン制御システムを提供するために、処理手段105によって実行される。メモリ手段106は、公開暗号化鍵を保持する。この公開暗号化鍵は、ペンの製造時または初期構成時に、ペンに対して提供されている。この公開鍵は、システムのアクタが所有する秘密鍵に対応する。鍵が符合するというこの秘密/公開鍵ペアの長所によって、このアクタは、システム内の信頼された者140であると、ペンに見なされることになる。
【0048】
ペン100のケースは、ペン先も保持している。ユーザは、ペン先に蓄えられた顔料系のマーキングインクで、表面に物理的に書いたり描いたりすることができる。ペン先のマーキングインクは、電子ペンにおける光電子工学的な検出との干渉を避けるため、照射光に対して透明であることが好適である。ペン先には密着センサが動作可能に接続されており、いつペンが当てられ(ペンダウン)、および/または持ち上げられるか(ペンアップ)を検出するようになっている。また、オプションとして、押し当てる力を求めることができるようになっている。カメラシステムは、密着センサの出力に基づいて、ペンダウンとペンアップとの間、画像を取り込むよう制御される。その結果として得られる時間的につながった一連の位置が、ペンストロークの電子的表示を形成する。
【0049】
ペンの電子システムは、処理手段105に制御されて情報データを持つファイル108をネットワーク接続ユニット130へ出力する通信インターフェースをさらに備える。ネットワーク接続ユニットは局所ユニットである必要はなく、ネットワークサーバ等のような遠隔ユニットによって実装されてもよいことが留意されるであろう。通信インターフェースは、こうして、有線もしくは無線の短距離通信(例えばUSB、RS232、無線伝送、赤外線伝送、超音波伝送、誘導結合など)のための構成要素、および/または、典型的にはコンピュータ、電話、もしくは衛星通信ネットワークを介した、有線もしくは無線の遠隔通信のための構成要素を提供してよい。
【0050】
さらにまた、ペンは、ペンが起動および/または制御されることができるようにするための、1以上のボタン(図示せず)を含んでもよい。
【0051】
典型的には、電子ペン100は、関連するすべての情報データを持つ上記ファイル108を生成するように構成される。そのような情報データは、位置符号化された面から読み取られた位置データを、ペンに格納された種々のプロパティに関するデータとともに含んでよい。ファイルはそこで、場合によっては中間サーバ165を介して、受け取り側ASHへとルーティングするため、ネットワーク接続ユニット130へと転送されることになっている。ネットワーク接続ユニット130へのファイルの転送は、送り領域125に「印付け」をすることによって実行されてもよいし、あるいは、電子ペンをネットワーク接続ユニット130へ接続した時に自動的に行われてもよい。代わりに、ファイルの転送は、音声命令またはペンのボタン押下をペンが登録(レジスタ)した時に実行されてもよい。
【0052】
電子ペンは、例えば、情報データを持つファイルを、OBEX(オブジェクト交換プロトコル)プッシュ(push)によって、ネットワーク接続ユニット130のデバイスアプリケーションへとプッシュするよう設計されてもよい。OBEXは、標準化された、当業者に知られているプロトコルである。あるいは、電子ペンが、デバイスアプリケーションに、ペンからファイルをプル(pull)させるようにすることもできる。例えば、ファイルは、例えばUSB(ユニバーサルシリアルバス)、FTP(ファイル転送プロトコル)、HTTP(ハイパーテキスト転送プロトコル)などの好適なプロトコルを介してデバイスアプリケーションへアクセスすることのできる、メモリ手段106のファイルシステムに格納されてもよい。
【0053】
電子ペン100によって出力されたファイル108は、典型的には、少なくともページデータ部と、プロパティデータ部とを含む。そのような部分を含むフォーマットを有するファイルは、本出願人によって規定され、ペン生成座標ファイル、すなわちPGCファイルという名前が割り当てられており、本出願人の独自のフォーマットとなっている。プロパティデータ部は、ペンに格納されたプロパティパラメータを含む。プロパティパラメータは、例えば、ペンに固有の識別符号、ペンで用いられるソフトウェアのバージョン、ペンの製造者の識別符号や、名前、送り状のアドレス、電子メールアドレスなどといった電子ペンのユーザに特有のさまざまな情報などである。ファイルのASHへのルーティングは、ページアドレスに基づくこともできる。しかし、ファイルのルーティングは、代わりに、ファイル内のプロパティデータのどのパラメータに基づいてもよい。例えば、中間サーバ165、あるいはネットワーク接続ユニット130が、ペンの識別符号またはユーザの電子メールアドレスを特定のASHのネットワークアドレスに変換するルーティングテーブルを含むこともできる。
【0054】
PGCファイルフォーマットは、そのようなファイルを生成して見せるための、ペンの制御ソフトウェアおよび回路とともに、2005年6月29日に出願された本出願人の同時係属の国際特許出願第PCT/SE2005/001025号にさらに記述されている。同出願は、この参照によりここに共に組み込まれているものとする。
【0055】
ファイル108の情報データの安全な転送を考慮して、ペンによって位置データを記録される位置符号化パターンの特定の領域は、特定の公開暗号化鍵と関連付けられている。パターンの別々の領域と別々の公開鍵との関連付けは、安全なサービスを配備するそれぞれのASH150、160か、またはそれらの管理者によって提供されてよい。各関連付けは、パターンの領域を規定するパターン領域指定と公開鍵とを格納するペンアプリケーションライセンス、すなわちPALを用いてペンに提供される。対応する秘密鍵は、ASHにインストールされている。これらの鍵は、ディフィー・ヘルマン(DH)アルゴリズムあるいはリベスト・シャミル・エイドルマン(RSA)アルゴリズムのような、任意の公知の公開鍵アルゴリズムに従った暗号化/復号に用いられることができる。
【0056】
本発明の実施の形態に従ってASHと電子ペンの例示的な操作について説明する前に、PALフォーマットを規定するデータ構造について紹介し、簡単に説明する。
【0057】
PALの概略的な構造を以下に示す。
【表1】
【0058】
PAL検証データフィールドは、パターンの関連部分を管理するアクタから受信したデータを含む。この管理アクタまたは権限付与者は、このアクタパターン部についてPALの生成を管理する権利を有する。例示すると、アクタパターン部に含まれるパターン領域のためにPALを生成するASHは、PALのこのフィールドに、パターン領域指定、ペン識別子の範囲、有効期間等のような、管理アクタによって規定されるライセンス限界を提供するデータを含むことになる。PAL検証データフィールドのパラメータは、PALのライセンスデータフィールドに含まれるパラメータに対応する。また、以下にさらに記述するように、PAL検証データは、管理アクタの非対称鍵ペアのうちの公開鍵を、管理アクタから受信したデジタル署名とともに含むことになる。
【0059】
管理アクタがASHへ提供するPAL検証データは、上記のPALの構造と同様のフィールドを有する。すなわち、PAL検証データもまた、公開鍵、ライセンスデータ、署名のフィールドを含み、上位の管理アクタから受信したさらなるPAL検証データがある場合は、それも含む。この上位の管理アクタは、少なくとも前述のアクタパターン部を管理する権利を有しており、また、上位の管理アクタが、下位の管理アクタ、すなわち上で論じたアクタにもこの部分を管理させてもよい。あるいは、上で論じた管理アクタが、ペンによって信頼された者からアクタパターン部を管理する権利を取得した1番目のアクタである場合、または、この管理アクタが、信頼された者そのものである場合は、PAL検証データは、さらなるPAL検証データは含まず、このフィールドは「NULL」の値を有することになる。
【0060】
このように、あるパターン領域について管理アクタの階層があってよい。それは、例えば、各アクタが、上記のページ階層におけるそれぞれのレベルで、関連するパターン部を管理することによって実現される。管理アクタの階層に伴い、PALのPAL検証データフィールドは、PAL検証データの連鎖を含んでよい。その場合、連鎖の各リンクは、階層におけるそれぞれの管理アクタと関連を持つ。例えば、PAL検証データの各リンクは、階層におけるそれぞれの上位の管理アクタから受信したデジタル署名だけでなく、それぞれの管理アクタのライセンス限界および公開鍵も規定してよい。
【0061】
ここでPALの構造に戻ると、PALの公開鍵フィールドは、ASHによって生成された、あるいはASHにおいて格納された秘密/公開暗号化鍵ペアのうちの公開鍵を含む。このASH公開鍵は、ライセンスデータフィールドのパターン領域指定パラメータと暗黙的に関連付けられている。この領域指定は、安全なサービスを利用するときに電子ペンが位置データを記録することを許されるパターン領域を規定する。パターン領域は、1以上のページアドレスまたはある範囲のページアドレスによって規定される。ライセンスデータフィールドは、有効期間(例えば、ある日付から別の日付まで)やある範囲のペン識別子のような、いくつかのさらなるライセンス限界パラメータを含んでよい。
【0062】
PALの署名フィールドは、ASH公開鍵のデジタル署名を含み、また、PALのライセンスデータのデジタル署名も含む場合がある。この署名は、管理アクタにより、管理アクタの非対称暗号化鍵ペアのうちの秘密鍵を用いて生成されたものである。
【0063】
すでに述べたように、PAL検証データフィールドもまた、PALの構造と同様のフィールドを含む。しかし、その公開鍵は、記録された位置データを暗号化するためにペンによって用いられるのではなく、PALのデジタル署名を検証するために用いられる。PALを検証する際の、ペンによるPAL検証データの利用について、以下にさらに述べる。
【0064】
上記の変形形態では、関連するASHの明示的な宛先アドレスも、PALに含まれており、それによって、宛先アドレスは、PALの領域指定と暗黙的に関連付けられている。宛先アドレスは、URL(ユニフォーム・リソース・ロケータ)、電子メールアドレス、IP(インターネットプロトコル)アドレス等のような、ネットワークアドレスとして与えられてよい。そのようなアドレスをPALに含めることによって、システム基盤におけるルーティングが単純化されてよい。ある例では、ペンは、PGCファイル108を関連するASHへ直接プッシュしてよい。別の例では、ペンは、ファイル108に明示的な宛先アドレスを含んでよい。それにより、中間サーバ165またはネットワーク接続ユニット130が、直接このアドレスに作用して、関連するASHへファイルをルーティングすることができるようにする。これにより、システムにおいてルーティングテーブルを維持する必要性が低減される。
【0065】
図2を参照して、図1Aのシステムに含まれるASHの例示的な動作について、またシステムにおいてどの動作が安全なサービスの配備に関係しているかについて、説明する。
【0066】
以下において、動作はASHによって行われるものとして説明する。ただし、いくつかの動作は、それらの動作をASHに自動的に行わせる代わりに、適切なプログラミングツールを用いてASHの管理者により行われ得る、ということが理解されよう。
【0067】
直ちにまたは将来のいつかにサービスを配備しようとするASH、例えばASH1の150は、秘密/公開暗号化鍵ペアを生成して、秘密鍵を格納する(ステップ200)。次に、ASH1の150は、公開鍵を管理アクタ、例えばアクタ145へと送信するが、この管理アクタは、ASH1が自身のサービス(または自身の複数のサービス)を関連付けようとしているパターン領域を含む位置符号化パターンの一部について、その一部を管理する権利を有し、またその一部についてペンアプリケーションライセンスを発行する権利を有する、とASH1に認識されている管理アクタである(ステップ210)。管理アクタは、それ自身の秘密/公開暗号化鍵ペアを有する。管理アクタ145は、自身の秘密鍵を用いて、ASH1から受信した公開鍵にデジタル署名し、署名済みの鍵をASH1に返信する(ステップ220)。次に、ASH1は、管理アクタからPAL検証データを取得する(ステップ230)。管理アクタ145がペンによって信頼された者でない場合には、PAL検証データは、管理アクタ145の公開鍵のデジタル署名を含むことになるが、これは、電子ペンにあらかじめ格納された公開鍵に対応する秘密鍵を用いて、信頼された者140によって生成されたものである。あるいは、PAL検証データは、デジタル署名の連鎖を含む。デジタル署名の連鎖は、デジタル署名された中間管理アクタ(図示せず)の公開鍵で構成され、信頼された者140によって生成されたデジタル署名に始まり、デジタル署名された管理アクタ145の公開暗号化鍵で構成され、別の中間管理アクタ(図示せず)によって生成されたデジタル署名で終わる。ASH1の150はこの時点で、いつでも、PALを生成し、管理アクタ145によってデジタル署名された自身の公開鍵を含めることができる。もし必要であれば、デジタル署名の連鎖を持つPAL検証データを含めることができる。そしてこのPALは、電子ペンへ提供され、電子ペンによって検証されることができる。
【0068】
ここで、ASH1が新しい安全なサービスを配備しようとしていると仮定する。ASH1は、サービスに用いられるテンプレートを選択し、サービスで用いられるパターン領域指定を1以上のページアドレスの形で、例えば、製品110の表面に印刷されたパターン領域120を含むページアドレスという形で、規定する。領域指定は、ASH1の秘密/公開暗号化鍵ペアのうちの公開鍵と関連付けられるが、これは、領域指定と公開鍵とを、上で論じたPALフォーマットを有するデータ構造に格納することによって行われる(ステップ240)。次に、領域指定以外のライセンスパラメータ(または領域指定以外の複数のライセンスパラメータ)と、場合によってはいわゆるクッキーとが、PALに格納されてよい(ステップ250)。そのようなライセンスパラメータの例については、上で論じた。ライセンスパラメータの値または範囲は、PAL検証データにおける対応するパラメータの値または範囲を超えてはならない。超えると、後で、PALのインストールの際に電子ペンがPALを検証できなくなる。クッキーは、典型的には、パターン領域指定によって規定された位置符号化パターンから記録された位置データとともに送られる情報を規定してよい。そのような情報は、ペンに格納された上記のプロパティパラメータを1以上含んでよい。
【0069】
次に、ASH1の150は、PAL検証データをPALに格納する(ステップ260)。図2のフローチャートには示されていないが、ASH1は、PALに格納されたライセンスデータパラメータを管理アクタ145へ送信してもよく、その場合、アクタは、これらのパラメータに自身の秘密鍵で署名して、生じたデジタル署名をASH1へ返信することができる。この工程は、このデジタル署名が、管理アクタ145がPALの公開鍵とライセンスデータパラメータとの両方に同時に署名することの結果として得られるというものであってもよい、ということが理解されるであろう。次に、ASH1は、管理アクタ145によって生成されASH1へと転送されたデジタル署名を格納する(ステップ270)。この時点でPALは完全になり、ペン100によって用いられるファイルとして提供されてよい(ステップ280)。
【0070】
次に、図3および図4を参照して、図1Aのシステムに含まれる電子ペン100の例示的な動作について説明する。
【0071】
ユーザは、対応するペンアプリケーションライセンス、すなわちPALのインストールを開始する。このユーザは、ASH1の150のようなASHによって提供される特定のサービスを利用しようとする、電子ペン100のようなペンのユーザである。これは、例えば、ネットワーク接続ユニット130を用いて別のサービスを閲覧し、閲覧ソフトのウィンドウにあるリンクをクリックして、ダウンロードする対応PALを選択し、その後、ネットワーク接続ユニット130が、メモリ手段106への格納のためにPALを電子ペン100へ転送することによって行われる。PALファイルをペンへダウンロードする他の方法については、当業者に理解されるであろう。PALを受信すると、電子ペンは、ペンにおいてPALをインストールして検証する(ステップ300)。
【0072】
特定のサービスのPALがペンにインストールされたら、ペンはそのサービスを利用し始めてよい。典型的には、サービスの利用は、サービスでの利用に向けられた、製品110のパターン領域から、ペンが位置データを記録することから開始する(ステップ310)。表面から位置データを記録したら、ユーザは、サービスを提供するASH、例えばASH1の150への記録された情報の転送を開始するために、送り領域125に印付けをしてよい。上で論じたように、記録された領域120の位置データ、あるいは座標は、特定のページアドレスを特定することになる。ペンはそこで、格納されている自身のPALの中にそのページアドレスと関連付けられたPALがあるかどうかを、含まれている処理手段105を用いて、PALのパターン領域指定を頼りに調べることになる(ステップ320)。
【0073】
次に、処理手段105は、こうして特定されたPALから公開鍵を引き出し、ASH1へ転送される情報データを暗号化するために、この公開鍵を用いる(ステップ330)。このような暗号化は、いくつかの方法で実現することができる。ある実施の形態によれば、計算上の複雑さを最小化するために、ペンは、情報データを暗号化するのに用いる対称鍵のような、ランダムセッション鍵を生成して使用する。そして、このランダムセッション鍵は、PALの公開鍵を用いて暗号化される。こうして、ASH1は後に、インストールされた自身の秘密鍵を用いて、暗号化されたセッション鍵を復号し、そして復号されたセッション鍵を用いて、暗号化された情報データを復号することができるようになる。
【0074】
次に、公開鍵で暗号化された情報データは、ASH1へのルーティングのために、前述したペン生成座標ファイル、すなわちPGCファイルに格納される(ステップ340)。上で論じたように、ルーティングは、中間サーバ165によっても、あるいはネットワーク接続ユニット130によっても実現される。ルーティングを可能にするため、位置データのページアドレスは、暗号化されずにPGCファイルに格納されてもよい。それによって、ページアドレスに基づいたルーティングが可能になる。しかしながら、例えば固有のペン識別子またはペンのユーザの電子メールアドレスといった、ペンから引き出されたペンプロパティパラメータのうちの一つのような、暗号化されずにPGCファイルに格納され得る、いくつかの代わりのパラメータに基づいてルーティングが行われてもよいことを、当業者は理解するであろう。さらに、ルーティングは、PALから引き出されてPGCファイルに格納された明示的な宛先アドレスに基づいて行われてもよい。
【0075】
典型的には、電子ペンは、さらに別の第2のPALをインストールしてよい。第2のPALは、図1Aにおいて参照番号121で描かれているパターン領域のような、位置符号化パターンの別の領域に関してASH2の160によって提供されるサービスを利用できるようにするためのものである。第2のPALのインストールおよびASH2によって提供されるサービスの利用は、ASH1に関して上述した内容に対応する。電子ペンは、多くのパターン領域に関して多くのサービスと関連して用いられる、多くのさらなるPALをインストールしてよい。
【0076】
次に、図4のフローチャートを参照して、ペンにおけるPALのインストールおよび検証に関する図3のステップ300について、さらに記述する。
【0077】
PALのインストールおよび検証が開始すると(ステップ400)、まずペンがPALからPAL検証データを抽出する(ステップ410)。次に、ペンは、PALの各ライセンスデータパラメータをPAL検証データの対応するパラメータと比較し(ステップ420)、そのようなライセンスデータパラメータのそれぞれがPAL検証データの対応するパラメータの限界を超えないこと(すなわち、部分集合であること)を確認する(ステップ430)。いずれかのライセンスデータパラメータがそのような限界を超えている場合は、ペンはPALのインストールを中止する(ステップ470)。越えていない場合は、インストールが続く。ここで、ペンが、自身のペン識別子がPALのライセンスデータによって設定されたペン識別子の範囲内にあること、および/またはペンの時間回路によって与えられた現在時刻がPALのライセンスデータによって設定された有効期間内にあることを、検証する必要もあり得る。
【0078】
続行されたインストールにおける次なるステップでは、PALから公開鍵のデジタル署名を抽出する(ステップ440)。PALのこの公開鍵は、公開鍵のデジタル署名を持つPAL検証データの連鎖について繰り返して、連鎖の各リンクの公開鍵を検証することにより、検証される(ステップ450)。繰り返しでは、まず、ペンによって信頼された者によってデジタル署名された、最上位のPAL検証データの公開鍵を、ペンにあらかじめ格納された、信頼された者の公開鍵を用いて検証する。そして、こうして検証された公開鍵が、PAL検証データの連鎖における、次のデジタル署名の公開鍵を検証するために用いられ、PALそれ自体の公開鍵が検証され得るまで続けられる。このような検証ステップのそれぞれが、チェックサムの復号と計算に基づいて行われてよいことは、当業者に広く知られている通りである。連鎖中の公開鍵が検証できない場合(ステップ460)、インストールは中止される(ステップ470)。
【0079】
あるいは、ステップ450における繰り返しは、今のリンクのPAL検証データに含まれる検証データである、PAL検証データのライセンスデータフィールドの各パラメータが、先行リンク(前のリンク)のPAL検証データの、対応するパラメータの部分集合であることを、連鎖中の各リンクについて最上位のリンクから確認すること、を含むこともできる。また、各リンクのそのようなライセンスデータパラメータ(または複数のライセンスデータパラメータ)は、公開鍵とともに暗号化されてよく、その場合、各リンクにおけるパラメータの検証は、パラメータを復号し、復号されたパラメータを平文のパラメータと比較することも含む。いずれかのリンクのいずれかのパラメータが検証に成功しない場合、インストールは中止される。この方法で最上位のリンクを検証できるようにするため、繰り返しではまず、パラメータを、パターン領域指定=「パターン全体」、ペン識別子の範囲=「すべてのペン」、有効期間=「永久」と設定する。
【0080】
上記の検証は、代わりに、例えばペンに接続されたダウンロード局といった、外部のアプリケーションにおいて実行されてもよい。外部のアプリケーションは、上記の方法論に従って、各PALを受信して検証する。検証が成功した後、外部のアプリケーションは、すべての、または選ばれたPALデータをペンへ提供してよい。
【0081】
最後に、本発明の例示的な実施の形態をさらに説明する単純な例について、再び図1Aを参照して以下に論じる。
【0082】
管理アクタ145が、信頼された者140との間で、位置符号化パターンのあるセグメントすべて、例えばセグメント17の、例えば2005年1月1日から2014年12月31日までの、10年間にわたる利用を管理することに合意した、と仮定する。前述した表記法を用いると、問題のセグメントは「17.*.*.*」と特定することができ、それにより、ワイルドカード「*」を用いて、そのセグメントのすべてのシェルフと、それらのシェルフのすべてのブックと、すべてのブックのすべてのパターンページとが示される。管理アクタ145が、他の点では、セグメント17を完全に管理している、すなわち、その利用に関して、10年の有効期間以外には何ら制限がない、とさらに仮定する。信頼された者140からPAL検証データを取得するため、管理アクタ145は、非対称鍵ペアのうちの自身の公開鍵を、信頼された者へ転送する。さらに、管理アクタは、一組のライセンスデータパラメータを転送してもよい。それに対する応答として、管理アクタ145は、信頼された者140によって、システムのすべてのペン100にあらかじめ格納された公開鍵に対応する秘密鍵を用いて生成された、デジタル署名を受信することになる。信頼された者は、管理アクタの公開鍵に署名するために、場合によっては管理アクタのライセンスデータにも署名するために、自身の秘密鍵を使うことによって、この署名を生成する。そして、管理アクタ145は、上述したようなフィールドを有する一組のPAL検証データをまとめることになり、結果として生じるPAL検証データは、以下のようになる。
【0083】
【表2】
【0084】
この例で、ライセンスデータは、追加のパラメータである「セキュリティレベル」と、「スタンドアローン」と、「サブライセンス」とを含む。「セキュリティレベル」パラメータは、後に生成されるPALに対し、セキュリティに関して限界を設定する。セキュリティに関して、とは、すなわち、サービスの利用に関連してペンから伝達されたデータの、暗号化ならびに非暗号化の可否を定めるように、ということである。「スタンドアローン」パラメータは、PAL検証データは生成されるPALに含まれるという前提で、PALがPALの公開鍵とライセンスデータとのデジタル署名を含まずに生成されることができるか否かを示す。このオプションにより、ASHは、管理アクタとさらに情報交換することなくPALを生成することができ、それによって、セキュリティの低下を犠牲にしつつ配備を簡略化できる。最後に、「サブライセンス」パラメータは、別のアクタまたはASHが当該ライセンス限界内でPAL検証データを生成することを、管理アクタが認めてよいか否か、を示す。
【0085】
この時点で、管理アクタ145は、潜在的なサービス配備者へ、すなわち潜在的なASHへ、PAL検証データを配布してよい。
【0086】
次に、ASH1が、上記のPAL検証データを前もって受信しており、今、セグメント17に関連付けられるべきサービスに対してPALを生成しようとしている、と仮定する。そして、ASH1は、PAL検証データの限界を超えないライセンスデータパラメータを有するPALを、いつでも生成してよい。PALがこの限界を越えるパラメータ(または複数のパラメータ)を含む場合は、電子ペンにおけるPALの検証が失敗することになる。ASH1によって生成されたPALのフィールドは、以下のデータを有してよい。
【0087】
【表3】
【0088】
「スタンドアローン」パラメータが「イエス」の値を有しているので、ASH1がその公開鍵とライセンスデータパラメータとのデジタル署名をPALに含める必要はない、ということに気付くかもしれない。これにより、ASH1は、管理アクタ145または信頼された者140との情報交換なしに、いつでもPALを生成することができる。
【0089】
ペンにおいて上記のPALを検証するにあたり、ペンは、あらかじめ格納された自身の公開鍵を用いてPAL検証データのデジタル署名を検証し、PAL検証データからライセンスデータを取り出し、そして、PALのライセンスデータの各パラメータがPAL検証データにおける対応するライセンスデータパラメータの限界を超えないことを確認することになる。検証後、ペンは、セグメント17から記録されたすべての位置データ出力を暗号化するためにPALの公開鍵を用いることになる。
【0090】
本発明のさまざまな実施の形態についての上記の詳細な記述は、例としてのみ与えられたものであり、したがって、これらは本発明の範囲を限定するものと意図されてはおらず、本発明の範囲は添付の請求の範囲によって規定される、ということが留意されるであろう。さらに、添付の請求の範囲にある多様な変更および修正は、請求の範囲および詳細な説明を研究すれば、当業者にとって明らかになるであろう、ということが理解されるであろう。
【0091】
例えば、本発明の原理は、システム基盤におけるペンの通信方法にかかわらず適用できる、ということが理解されよう。例えば、ペンは、ファイルを出力する代わりに、記録されたデータをリアルタイムにシステム基盤へ出力してもよい。また、ペンは、双方向プロトコルを用いて基盤構成要素と通信できてもよい。
【0092】
さらに、上述した非対称暗号化技術(公開鍵アルゴリズム)は、例えばDES、RSA、またはIDEAなどのアルゴリズムに基づいた、対称暗号化技術と置き換えることができる。例えば、ペンとASHが、ペンにインストールされたPALを介して、対称暗号化鍵を共有してもよい。同様に、PALに含まれる1以上のデジタル署名が、対称暗号化に基づいてもよい。
【0093】
PALはいかなる好適なフォーマットを有してもよい、ということが理解されよう。PALは、オブジェクトコードまたはスクリプトを含んでよい。オブジェクトコードまたはスクリプトは、PALの検証および関連するPALデータの格納のためにペン管理システムによって実行されるか、あるいは、PALを検証し、関連するPALデータをペン管理システムへ、もしくは直接ペンメモリへ提供する、ペンに接続されたダウンロード局の外部アプリケーションによって実行されるものである。代わりに、または加えて、PALにおいては、外部アプリケーションおよび/またはペン管理システムによって同様に処理されるように、情報共有フォーマットにデータを収めてもよく、情報共有フォーマットは、タグ付きでもタグなしでも、あるいは文字符号化されたものでも非文字符号化されたもの(例えばバイナリ)でもよい。
【0094】
上記の実施の形態では、位置符号化パターンの分割は、パターンは絶対位置を符号化するだけであり、それが、ペンメモリに格納された規定データを用いて論理位置へと変換される、という点において動的である。代わりの実施の形態では、パターンの分割は、パターン内で符号化されることにより、静的であってよい。例えば、米国第6,330,976号は、ある符号化パターンを開示しており、この符号化パターンにおいては、符号化セルが製品表面にタイル状に並べられ、各セルが局所位置とページ識別子との両方を符号化する。従って、ペンは、パターン内で符号化されたデータから自身の論理位置を直接推論できる。
【0095】
説明した実施の形態は、システム基盤における暗号化鍵の配布とも無関係に特異な効果を提供する特徴を含んでよい。そのような特徴は、開示された概念を含むが、これに限定されることはない。この開示された概念とは、管理アクタによって設定された限界データに基づいてライセンスファイルを検証するにあたり、ライセンスファイルのパラメータ(または複数のパラメータ)を限界データの対応するパラメータ(または複数のパラメータ)と照合し、ペンがライセンスファイルを検証できるようにするため、信頼された者のデジタル署名をライセンスファイルに含め、管理アクタの階層を表す、ライセンスファイルを検証するためのデジタル署名の連鎖を用い、ライセンスファイルの生成の権限を付与するために管理アクタによって提供された検証データを用いることによって検証する、というものである。
【図面の簡単な説明】
【0096】
【図1A】図1Aは、本発明の例示的な実施の形態が含まれた、本出願人によって開発されたシステム基盤を模式的に示す図である。
【図1B】図1Bは、図1Aのシステム基盤で利用される仮想位置面の論理的な分割の例を示す図である。
【図2】図2は、図1を参照して説明された実施の形態に従ってアプリケーションサービスハンドラの動作を説明するフローチャートである。
【図3】図3は、図1を参照して説明された実施の形態に従って電子ペンの動作を説明するフローチャートである。
【図4】図4は、図1を参照して説明された実施の形態に従って電子ペンの動作を説明するフローチャートである。
【関連出願へのクロスリファレンス】
【0001】
本出願は、2004年10月12日に出願された米国仮特許出願第60/617,193号と、2005年6月30日に出願されたスウェーデン特許出願第0501520−1号と、2005年7月5日に出願された米国仮特許出願第60/695,851号との利益を主張し、すべての当該出願は、参照によりここに組み込まれているものとする。
【技術分野】
【0002】
本発明は、電子ペンによって記録された位置データに関してセキュリティを提供する方法およびシステムに関する。
【背景技術】
【0003】
本発明の出願人は、位置符号を備えた書込み面を有する製品を利用するシステム基盤(インフラストラクチャ)を開発した。このようなシステムでは、デジタルデバイスとしても知られる電子ペンが、書込み面への書込みに用いられると同時に、位置符号化された面の位置を記録できるようになっている。電子ペンは、センサを用いて位置符号を検出し、書き込まれたペンストロークに対応する位置を計算する。
【0004】
位置符号は、多数の位置の座標を符号化できる位置符号化パターンの一部である。従って、パターンは、パターンが符号化できるすべての位置によって規定される仮想面あるいは基準面を形成していると見ることができる。仮想面上の別々の位置は、別々の機能、またはサービス、および/またはアクタ(actor)のために割り当てられている。仮想面は、典型的には別々の部分集合(サブセット)に分割されている。この部分集合は、パターンのうちの限られた領域を含んでよい。このような限られた領域は、実際のページ(物理的なページ)の大きさに対応する大きさを有してよく、従って、パターンページといってもよい。各パターンページは、固有のページアドレスで表される。このような場合、各絶対位置は、ページアドレスと、関連するパターンページ内の局所位置とによって表されてよい。
【0005】
電子ペンは、仮想面上のある機能領域を規定するためにあらかじめペンに格納された、いわゆるテンプレートによって、仮想面の情報を有してよい。ペンは、これらのテンプレートによって示された機能に基づいて、記録された位置を処理してよい。
【0006】
電子ペンおよび複数の位置符号化製品に加えて、システムは、システム内でアプリケーションサービスハンドラとして働く複数のアプリケーションサーバを含む。アプリケーションサービスハンドラ、すなわちASHは、デジタル情報の格納または中継、情報または項目の受取人への送信の開始などといったサービスを、電子ペンに代わって実行する。
【0007】
システム基盤は、位置符号によって規定される仮想面と、この仮想面に関する情報とを管理し、特に、どのASHがどの位置と関連付けられているかを管理する。仮想面の別々の領域を別々の送り先ユニットと関連付けることによって、ペンからの情報を、処理のために正しい送り先ユニットへ向かわせることができる。例えば、システムは、中間サーバを含んでよい。中間サーバは、ペンから1以上の絶対位置を受信して、あるいはページアドレスを受信して、正しいASHの、関連するネットワークアドレスを特定し、このネットワークアドレスへ情報データを向かわせたりルーティングしたりする。
【0008】
さらに、中間サーバは、さまざまな管理規則を、例えばページアドレスによって特定された、仮想面上の別々の領域と関連付けてもよい。管理規則は、そのような領域の位置データがどのように管理され、あるいは処理されるかを決定する。具体的には、そのようなある領域についての管理規則は、位置データをその意図された宛先へ送信する前にペンが位置データを暗号化すべきか、を管理してもよく、また、その場合にはどの暗号化鍵を用いるか、を管理してもよい。
【0009】
上記の仮想面や、デジタルデバイス、すなわち電子ペンに備えられた例示的な操作、機能、サービスを持つ例示的なシステム基盤の全体は、公開された特許出願である米国第2002/0091711号、米国第2003/0046256号、および米国第2003/0061188号にさらに記述されている。これらはすべて、本出願人によって出願されたものであり、参照によりここに組み込まれているものとする。また、例えば米国第6,570,104号、米国第6,330,976号、および米国第2004/0085287号に開示されているような他の形式の位置符号化パターンも、本発明の範囲内で同様に可能であることが留意されるであろう。
【発明の開示】
【発明が解決しようとする課題】
【0010】
この類のシステムの難点の一つは、位置符号化パターンのある領域の位置と関連付けられたASHが、安全なサービスをシステム内に配備(デプロイ)するために、特定の暗号化鍵を用いて位置データを暗号化するようペンに要請した場合、そのような暗号化鍵に対応する管理規則を構成するために、上記のような中間サーバと情報交換する必要がある、ということである。
【0011】
上記のような、システムでの安全なサービスの配備(デプロイメント)および利用に関して、本出願人は、このような配備および利用にとって望ましい、互いに独立かつ非排他的な、いくつかの特性を明らかにした。
【0012】
第1に、アプリケーションサービスハンドラの管理者のような者(party)が、安全な方法で情報が送信かつ管理される新しいサービスを配備しようと欲する場合、電子ペンのみとの情報交換に基づいてそのような安全なサービスを配備できることが望まれる。その者がサービスを配備する時に、中間ノードや中間サーバなどの、システム基盤の他の構成要素と情報交換する必要なしに、である。
【0013】
第2に、安全なサービスを配備される電子ペンが、その安全なサービスを信頼できる、ということも望まれる。つまり、サービス利用時に送信される情報が、誤った受取人に利用されてしまうことはない、と信頼できることが望まれる。
【0014】
第3に、電子ペンは多数のサービスを利用できる方がよいので、同一のペンに関して、別々のアプリケーションサービスハンドラが別々の安全なサービスを配備できる方がよく、ペンは、これらの安全なサービスのそれぞれを信頼できる方がよい。
【0015】
そして第4に、安全なサービスの配備者(デプロイヤ)自体をペンが信頼することができれば、これもまた有利である。つまり、情報が安全なサービスの配備者のみに提供されるだけでなく、ペンから情報を受信する権利を配備者が有し、あるいは、配備者が、信頼できる配備者としてシステム基盤から資格を与えられていることである。
【0016】
上述した特性の一つ一つは、他の特性の実現とは無関係に、それ独自の効果を提供することが留意されるであろう。以上、および以下において、「配備者」という用語は、サービスを配備するもの、すなわち、配備者する者、典型的にはアプリケーションサービスハンドラ、と解釈されるものとする。
【0017】
本発明の目的は、電子ペンによって記録された位置データを管理するときに、上に列挙した安全なサービスの特性のうちの少なくとも一つが得られるようにセキュリティを提供することである。
【0018】
この目的は、独立請求項に記載された方法、コンピュータプログラム製品、およびシステムによって達成される。有利な実施の形態は、従属請求項に記載されている。
【課題を解決するための手段】
【0019】
本発明の実施の形態によれば、電子ペンは、別々のアプリケーションサービスハンドラへ送られることになっている位置データを有する位置符号化パターンの別々の領域を、それぞれの暗号化鍵と関連付け、この関連付けによって、電子ペンは、パターンのうちのある領域に属する記録された位置データを、関連付けられた暗号化鍵で暗号化できるようになっている。
【0020】
従って、記録された位置データを暗号化するために使われた暗号化鍵に対応する暗号化鍵を保持するアプリケーションサービスハンドラ(ASH)だけが、記録された位置データを利用でき、他の受取人に対しては、暗号化されたデータの機密が保たれる、ということを、関連付けによって確実にすることができる。
【0021】
パターンの領域と暗号化鍵との関連付けは、安全なサービスを配備するそれぞれのASHか、またはその管理者によって提供されてよい。それぞれの関連付けは、ペンアプリケーションライセンス、すなわちPALを用いて、ペンに提供されてもよい。PALは、パターンの領域を規定する領域指定を含むライセンスデータと、暗号化鍵とを格納し、対応する暗号化鍵は、ASHにインストールされている。電子ペンにPALを提供することにより、ASHは、システムにおいてサービスを配備する際、他の中間ノードまたはサーバと情報交換する必要なしに、情報が安全に暗号化されているサービスを配備することができる。
【0022】
もう一つの全般的な効果は、電子ペンからの1方向の通信しか提供しないシステム基盤、すなわち、中間サーバまたはASHのような他の基盤構成要素による安全な通信をするようペンを構成することができないシステム基盤において、安全なサービスを実行できる、ということである。
【0023】
ある実施の形態においては、ペンからASHへデータを伝達するために、非対称暗号化が用いられる。従って、PALの暗号化鍵は、非対称鍵ペアのうちの公開鍵でよく、ASHの暗号化鍵は、前記鍵ペアのうちの秘密鍵でよい。
【0024】
ある実施の形態によれば、位置符号化パターンのある一部を管理する権利を有する管理アクタが、その部分またはその部分の下位領域がシステムにおいてどのように用いられるかを管理できるようにするため、PALのPAL検証データが用いられ、ペンはこれに対してPALのパラメータを検証する。PAL検証データは、原則的にはいつでも、管理アクタによってASHへ提供されてよい。ASHがサービスを配備しようとする場合、ASHはPAL検証データを含むPALを生成してよく、PAL検証データはそこで1以上の電子ペンへ提供される。例えば、ある範囲のペン識別子を規定するパラメータは、PALに含まれてもPALのPAL検証データに含まれてもよく、このパラメータを、位置符号化パターンのある一部で動作できるようになっている特定の組の電子ペンを制御するために使うことができる。同様に、有効期間を規定するパラメータによって、位置符号化パターンのある一部をどれくらいの期間使ってよいか、を管理することができる。有効期間は、時限として、あるいはまた、位置符号化パターンのある一部をそのサービスで使ってよい最大の回数として、規定されてよい。
【0025】
さらなる実施の形態によれば、ASHはいつでも、PALにおいて領域指定と関連付けられる自らの暗号化鍵を、上述した管理アクタへ提供することができる。この管理アクタ自体は、電子ペンによって信頼されることができるアクタであってよい。この信頼は、ペンの製造時または初期構成においてインストールされた公開暗号化鍵であって、信頼されたアクタの中の対応する秘密暗号化鍵に対応する公開暗号化鍵を、ペンが有することによってもたらされてよい。信頼されたアクタは、自らの秘密暗号化鍵を使って、ASHから受信した暗号化鍵に署名し、そうして生成されたデジタル署名を返す。
【0026】
あるいは、管理アクタは単なる中間管理アクタであり、ペンは、ペンの中の公開鍵に対応する秘密鍵を持つ者である他の者を信頼することだけができる。この後者の場合、今度はこの中間管理アクタが、自身の公開鍵を他の者へ送信する必要がある。他の者は、ペンから信頼された者でもよく、あるいは、さらに別の中間管理アクタであってもよい。返信として、中間管理アクタは、信頼された者または中間管理アクタのいずれかの資格で前記他のアクタによってデジタル署名された、自身の公開鍵を受信する。中間管理アクタは、自身の秘密鍵を使って、ASHから受信した暗号化鍵にデジタル署名する。そして、結果として得られた署名は、前記他のアクタから受信した署名とともにASHへ伝えられる。
【0027】
ASHは、受信したすべてのデジタル署名をPALに含める。その結果、ペンは、PALに含まれるデジタル署名の連鎖(チェイン)を検証するために、自身が格納している信頼された者の公開鍵を用いてよい。そして結果として、PALに含まれた暗号化鍵であって、領域指定と関連付けられたASHの暗号化鍵が検証される。このようにして、信頼された者から直接的あるいは間接的にASHが信頼されているという前提で、ペンは、新しいサービスを配備するASHを信頼することができる。
【0028】
さらなる実施の形態によれば、代わりの方法として、各デジタル署名が、PALおよびPAL検証データ部に含まれるライセンスデータにデジタル署名することにより生成されてもよい。署名されたライセンスデータパラメータを検証することにより、ペンは、パラメータで明記された事柄に従ってサービスを配備する権利をASHが有する、ということを確かめることができる。同時に、そのような仕組みにより、信頼された者は、ASHがサービスに関連して特定のパターン領域をどのように使うことができるか、ということを管理できる。
【0029】
本発明のさらなる特徴ならびにその効果は、以下に述べる、本発明のいくつかの例示的な実施の形態の詳細な説明から、より簡単に明白になるであろう。当然ながら、添付の請求の範囲によって規定された本発明の範囲に入るさまざまな変更、改変、および特徴の種々の組み合わせは、ここに述べられた全般的な教示および以下の詳細な説明を研究すれば、当業者にとって明らかになるであろう。
【発明を実施するための最良の形態】
【0030】
本発明の例示的な実施の形態について、添付の図面を参照して説明する。
【0031】
図1Aは、本発明の実施の形態が実装された、本出願人によって開発されたシステム基盤を示す。この基盤については上の背景の節で述べたが、以下にさらに詳細に述べる。
【0032】
図1Aのシステムは、電子ペン100またはユーザユニットと、書込み面120、121および機能領域または起動アイコン125を含む位置符号(図示せず)を持つ複数の製品110とを備える。図では、電子ペン1本と製品1つだけが示されている。また、システムは、ネットワーク接続ユニット130と、それぞれ150、160と表示された2つのアプリケーションサービスハンドラASH1、ASH2とを備える。アプリケーションサービスハンドラ150、160はサーバであり、電子ペン100が利用することのできるサービスを管理する第三者によって管理されている。アプリケーションサービスハンドラASH1の150とASH2の160とのそれぞれは、本発明に従って働くようにASHを管理する処理手段を含む。処理手段は、それぞれ151、161と表示されている。これらの処理手段は、典型的には、サーバとして働くコンピュータに通常含まれる単一または複数のプロセッサによって実現される。
【0033】
さらに、システムは、信頼された者のサーバ140、つまり、電子ペン100によって信頼されることができる者のサーバ140と、位置符号化パターンのある一部を管理する権利を有する管理アクタ145とを備える。管理アクタ145は、それ自体がアプリケーションサービスハンドラであってもよく、あるいは、管理アクタ145によって管理される位置符号化パターンの一部に関して、異なるアプリケーションサービスハンドラがシステム内でサービスを配備できるようにするために用いられるサーバであってもよい。
【0034】
図1Aにおいて、ネットワーク接続ユニット130は、移動局(モバイルステーション)またはラップトップコンピュータとして例示されている。しかし、ユニット130は、代わりに、パーソナルデジタルアシスタント(PDA)、据え置き型のデスクトップコンピュータ、LANアクセスポイントなどの好適な電子装置であってもよい。ネットワーク接続ユニット130は、電子ペンが全システム内の他の部分と通信するのを中継するデバイスアプリケーションを含んでもよい。典型的には、上述のシステムは、複数の電子ペン100および製品110に加えて、複数のネットワーク接続ユニット130と、複数のアプリケーションサービスハンドラ150、160とを含むことになる。
【0035】
電子ペンは、製品110上の符号化パターンの記号を検出することによって、符号化パターンによって符号化されることができる全仮想面のうちの絶対座標を1つ以上求めることができる。仮想面は広大であり、典型的には1〜107km2の範囲に及ぶことが理解されよう。
【0036】
仮想面は、個別にアドレス指定できる単位へと、論理的に細分されている。一例が図1Bに記載されているが、この例では、仮想面180またはその一部が、ページ単位の階層構造へと仕切られている。具体的には、仮想面180は、いくつかのセグメント190へと分割され、各セグメント190は、いくつかのシェルフ191へと分割される。各シェルフ191は、いくつかのブック192へと分割され、各ブック192は、いくつかのページ単位またはパターンページ193へと分割されている。ペンは、求められた絶対位置を位置符号化パターンのある領域または部分へ、さらには、その領域または部分の中のある局所的な位置へ、関係付けることができる。そのような領域または部分は、この例では、あるパターンページであり、「セグメント.シェルフ.ブック.ページ」というフォーマットを用いて特定される(例えば、「1.2.3.4」であれば、セグメント「1」における、シェルフ「2」の、ブック「3」の、パターンページ「4」、を示す)。この表記法は、ページアドレスを規定する。このように、仮想面のグローバル座標系194において求められた各絶対位置は、ページアドレスと、ローカル座標系195において与えられた、パターンページ193内の局所位置、という形で仮想面内の論理位置として解釈され得る位置データを表す。
【0037】
以下において、ページアドレスフォーマットは、特定のパターンページを特定するために用いられるばかりでなく、「1.2.3.x」、「1.2.x.x」、または「1.x.x.x」という表記を用いることによって、パターンページの範囲を特定するためにも用いられる。ここで、「x」は、それぞれ特定のブック、シェルフ、セグメントのすべてのパターンページを表す。このアドレス指定の仕組みは、前置きとして参照した前述の米国第2003/0061188号に、さらに記述されている。仮想面の他の仕切り方および他のアドレス指定の仕組みが同様に可能であること、また、そのような仕切り方およびアドレス指定の仕組みであっても、本発明の範囲内にあることが理解されよう。
【0038】
ユーザが製品110の表面を横切るように電子ペン100を移動させると、ペンは、表面の記号を検出し対応する絶対座標を求めて、情報を記録する。情報は、典型的には、ページアドレスと、関連するパターンページ上の一続きの位置とである。これは、ペン100の内部に含まれるセンサと、各種メモリと、処理回路とによって遂行される。電子ペンは、典型的には規定データを格納し、ペンは、規定データによって、記録された絶対座標に基づいて関連するページアドレスを引き出すことができる。この情報、すなわち位置データは、ネットワーク接続ユニット130を介して、あるいは移動通信ネットワーク170を介して、中間サーバ165へと伝達されてよい。
【0039】
図1Aに示すように、中間サーバ165は、インターネットへ接続され、情報をページアドレスに基づいて関連するASHのネットワークアドレスへとルーティングするよう構成されたサーバであってよい。しかし、このルーティング機能は、代わりに、情報を関連するASHのネットワークアドレスへと向かわせるためのルーティングテーブルを含むネットワーク接続ユニット130によって実行されるデバイスアプリケーションに含まれてもよい。
【0040】
このように、ペンの機能は、位置符号化パターンの特定の部分でペンを操作するユーザによって、少なくとも部分的に制御される。ペンは、位置符号化パターンの別々の部分から記録された情報がどのように解釈されるべきかを規定する別々のテンプレートを格納する。例えば、ページ階層における特定の部分集合、例えばセグメント190あるいはシェルフ191は、テンプレートと関連付けられてよい。それによって、そのテンプレートは、その特定の部分集合内のすべてのパターンページ193について有効となる。テンプレートは、ペンの操作に影響を及ぼし得るあらゆる機能領域(「ピジェット(pidgets)」)の大きさと、配置(座標系195における配置)と、機能とを規定する。
【0041】
テンプレートにおいて、パターンページ内でピジェットに占められていないすべての位置は、描画領域に属しているものと規定される。描画領域で検出された位置は、ペンストロークとして記録され格納されるべきものとペンに解釈される。
【0042】
電子ペン100のユーザが情報の送信を開始したい場合は、送り領域125に「印付け(tick)」をしてもよい。すると、送り領域125の少なくとも1個所の位置の記録が、テンプレートによって、送りピジェット内の位置として電子ペン100に認識される。送りピジェットは、特定の送り命令と関連付けられている。
【0043】
ペンに利用されるべきネットワーク接続ユニット130を特定するデバイス選択領域を、他のピジェットが規定してもよい。つまり、それがPCであるべきか、移動機器であるべきか、LANアクセスポイントであるべきか、等である。さらに、テンプレートは、複数のピジェットの機能を同一のピジェットに結合してもよい。例えば、送り領域125に対応するピジェットが、ネットワーク接続ユニットとしての移動電話と関連付けられているものと規定されてもよい。
【0044】
以下でさらに詳しく説明するように、ペンは、好ましくは、パターン領域指定と公開暗号化鍵との特定の関連付けを規定するペンアプリケーションライセンス、すなわちPALを格納する。典型的には、あるパターン部分(例えばセグメントまたはシェルフ)内において、その部分の別々の領域(例えばパターンページまたはブック)は、いくつかのPALによって、別々の公開暗号化鍵と関連付けられている。そのようなあるパターン部分についてのテンプレートが、いくつかの別々のPALと動的に関連付けられ、あるいはこれらを含むことができ、各PALがそのパターン部分のそれぞれの領域について公開暗号化鍵を規定するように構成されると有利である。PALは、典型的には、特定の拡張セッションにおいてペンにインストールされ、その結果、PALまたはPALからペンによって引き出されたデータが、ペンのメモリに格納される。その後、ペンは、そうしてインストールされたPALデータにサポートされたすべてのパターンページで、安全なサービスを実行できるようになる。
【0045】
ある実施の形態において、ペン100は、窓または開口を規定する、ペンの形をしたケースまたは外殻を有しており、窓または開口を通して画像が記録される。ケースは、カメラシステムと、電子システムと、電源とを収容する。
【0046】
カメラシステムは、少なくとも一つの照明用光源と、レンズ配列と、光学式画像読取装置とを備える(いずれも図示しない)。光源は、好適には発光ダイオード(LED)またはレーザダイオードであるが、窓を通して見える領域の一部を、赤外線によって照明する。見えた領域の画像は、レンズ配列によって画像読取装置上に投影される。画像読取装置は、二次元CCDまたはCMOS検出器であってよい。二次元CCDまたはCMOS検出器は、一定の割合または変動する割合で、典型的にはおよそ70〜100Hzで画像を取り込むようトリガーを掛けられている。
【0047】
電子システムは、メモリ手段106に接続された処理手段105を備える。処理手段は、電子ペンの別々の機能を受け持っており、CPU(「中央処理装置」)のような市販のマイクロプロセッサや、DSP(「デジタルシグナルプロセッサ」)によって、または、FPGA(「フィールド・プログラマブル・ゲート・アレイ」)もしくはASIC(「特定用途向け集積回路」)、個別のアナログおよびデジタル部品、またはこれらの適当な組み合わせといった、他のプログラム可能な論理装置によって実装されることができると有利である。メモリ手段106は、作業メモリ(例えばRAM)や、プログラムコードと固定記憶用のメモリ(不揮発性メモリ、例えばフラッシュメモリ)といった、さまざまな型のメモリを備えてよい。関連するソフトウェアは、メモリ手段106に格納されており、電子ペンの全般の操作だけでなく、電子ペンの本発明に従った操作も扱うペン制御システムを提供するために、処理手段105によって実行される。メモリ手段106は、公開暗号化鍵を保持する。この公開暗号化鍵は、ペンの製造時または初期構成時に、ペンに対して提供されている。この公開鍵は、システムのアクタが所有する秘密鍵に対応する。鍵が符合するというこの秘密/公開鍵ペアの長所によって、このアクタは、システム内の信頼された者140であると、ペンに見なされることになる。
【0048】
ペン100のケースは、ペン先も保持している。ユーザは、ペン先に蓄えられた顔料系のマーキングインクで、表面に物理的に書いたり描いたりすることができる。ペン先のマーキングインクは、電子ペンにおける光電子工学的な検出との干渉を避けるため、照射光に対して透明であることが好適である。ペン先には密着センサが動作可能に接続されており、いつペンが当てられ(ペンダウン)、および/または持ち上げられるか(ペンアップ)を検出するようになっている。また、オプションとして、押し当てる力を求めることができるようになっている。カメラシステムは、密着センサの出力に基づいて、ペンダウンとペンアップとの間、画像を取り込むよう制御される。その結果として得られる時間的につながった一連の位置が、ペンストロークの電子的表示を形成する。
【0049】
ペンの電子システムは、処理手段105に制御されて情報データを持つファイル108をネットワーク接続ユニット130へ出力する通信インターフェースをさらに備える。ネットワーク接続ユニットは局所ユニットである必要はなく、ネットワークサーバ等のような遠隔ユニットによって実装されてもよいことが留意されるであろう。通信インターフェースは、こうして、有線もしくは無線の短距離通信(例えばUSB、RS232、無線伝送、赤外線伝送、超音波伝送、誘導結合など)のための構成要素、および/または、典型的にはコンピュータ、電話、もしくは衛星通信ネットワークを介した、有線もしくは無線の遠隔通信のための構成要素を提供してよい。
【0050】
さらにまた、ペンは、ペンが起動および/または制御されることができるようにするための、1以上のボタン(図示せず)を含んでもよい。
【0051】
典型的には、電子ペン100は、関連するすべての情報データを持つ上記ファイル108を生成するように構成される。そのような情報データは、位置符号化された面から読み取られた位置データを、ペンに格納された種々のプロパティに関するデータとともに含んでよい。ファイルはそこで、場合によっては中間サーバ165を介して、受け取り側ASHへとルーティングするため、ネットワーク接続ユニット130へと転送されることになっている。ネットワーク接続ユニット130へのファイルの転送は、送り領域125に「印付け」をすることによって実行されてもよいし、あるいは、電子ペンをネットワーク接続ユニット130へ接続した時に自動的に行われてもよい。代わりに、ファイルの転送は、音声命令またはペンのボタン押下をペンが登録(レジスタ)した時に実行されてもよい。
【0052】
電子ペンは、例えば、情報データを持つファイルを、OBEX(オブジェクト交換プロトコル)プッシュ(push)によって、ネットワーク接続ユニット130のデバイスアプリケーションへとプッシュするよう設計されてもよい。OBEXは、標準化された、当業者に知られているプロトコルである。あるいは、電子ペンが、デバイスアプリケーションに、ペンからファイルをプル(pull)させるようにすることもできる。例えば、ファイルは、例えばUSB(ユニバーサルシリアルバス)、FTP(ファイル転送プロトコル)、HTTP(ハイパーテキスト転送プロトコル)などの好適なプロトコルを介してデバイスアプリケーションへアクセスすることのできる、メモリ手段106のファイルシステムに格納されてもよい。
【0053】
電子ペン100によって出力されたファイル108は、典型的には、少なくともページデータ部と、プロパティデータ部とを含む。そのような部分を含むフォーマットを有するファイルは、本出願人によって規定され、ペン生成座標ファイル、すなわちPGCファイルという名前が割り当てられており、本出願人の独自のフォーマットとなっている。プロパティデータ部は、ペンに格納されたプロパティパラメータを含む。プロパティパラメータは、例えば、ペンに固有の識別符号、ペンで用いられるソフトウェアのバージョン、ペンの製造者の識別符号や、名前、送り状のアドレス、電子メールアドレスなどといった電子ペンのユーザに特有のさまざまな情報などである。ファイルのASHへのルーティングは、ページアドレスに基づくこともできる。しかし、ファイルのルーティングは、代わりに、ファイル内のプロパティデータのどのパラメータに基づいてもよい。例えば、中間サーバ165、あるいはネットワーク接続ユニット130が、ペンの識別符号またはユーザの電子メールアドレスを特定のASHのネットワークアドレスに変換するルーティングテーブルを含むこともできる。
【0054】
PGCファイルフォーマットは、そのようなファイルを生成して見せるための、ペンの制御ソフトウェアおよび回路とともに、2005年6月29日に出願された本出願人の同時係属の国際特許出願第PCT/SE2005/001025号にさらに記述されている。同出願は、この参照によりここに共に組み込まれているものとする。
【0055】
ファイル108の情報データの安全な転送を考慮して、ペンによって位置データを記録される位置符号化パターンの特定の領域は、特定の公開暗号化鍵と関連付けられている。パターンの別々の領域と別々の公開鍵との関連付けは、安全なサービスを配備するそれぞれのASH150、160か、またはそれらの管理者によって提供されてよい。各関連付けは、パターンの領域を規定するパターン領域指定と公開鍵とを格納するペンアプリケーションライセンス、すなわちPALを用いてペンに提供される。対応する秘密鍵は、ASHにインストールされている。これらの鍵は、ディフィー・ヘルマン(DH)アルゴリズムあるいはリベスト・シャミル・エイドルマン(RSA)アルゴリズムのような、任意の公知の公開鍵アルゴリズムに従った暗号化/復号に用いられることができる。
【0056】
本発明の実施の形態に従ってASHと電子ペンの例示的な操作について説明する前に、PALフォーマットを規定するデータ構造について紹介し、簡単に説明する。
【0057】
PALの概略的な構造を以下に示す。
【表1】
【0058】
PAL検証データフィールドは、パターンの関連部分を管理するアクタから受信したデータを含む。この管理アクタまたは権限付与者は、このアクタパターン部についてPALの生成を管理する権利を有する。例示すると、アクタパターン部に含まれるパターン領域のためにPALを生成するASHは、PALのこのフィールドに、パターン領域指定、ペン識別子の範囲、有効期間等のような、管理アクタによって規定されるライセンス限界を提供するデータを含むことになる。PAL検証データフィールドのパラメータは、PALのライセンスデータフィールドに含まれるパラメータに対応する。また、以下にさらに記述するように、PAL検証データは、管理アクタの非対称鍵ペアのうちの公開鍵を、管理アクタから受信したデジタル署名とともに含むことになる。
【0059】
管理アクタがASHへ提供するPAL検証データは、上記のPALの構造と同様のフィールドを有する。すなわち、PAL検証データもまた、公開鍵、ライセンスデータ、署名のフィールドを含み、上位の管理アクタから受信したさらなるPAL検証データがある場合は、それも含む。この上位の管理アクタは、少なくとも前述のアクタパターン部を管理する権利を有しており、また、上位の管理アクタが、下位の管理アクタ、すなわち上で論じたアクタにもこの部分を管理させてもよい。あるいは、上で論じた管理アクタが、ペンによって信頼された者からアクタパターン部を管理する権利を取得した1番目のアクタである場合、または、この管理アクタが、信頼された者そのものである場合は、PAL検証データは、さらなるPAL検証データは含まず、このフィールドは「NULL」の値を有することになる。
【0060】
このように、あるパターン領域について管理アクタの階層があってよい。それは、例えば、各アクタが、上記のページ階層におけるそれぞれのレベルで、関連するパターン部を管理することによって実現される。管理アクタの階層に伴い、PALのPAL検証データフィールドは、PAL検証データの連鎖を含んでよい。その場合、連鎖の各リンクは、階層におけるそれぞれの管理アクタと関連を持つ。例えば、PAL検証データの各リンクは、階層におけるそれぞれの上位の管理アクタから受信したデジタル署名だけでなく、それぞれの管理アクタのライセンス限界および公開鍵も規定してよい。
【0061】
ここでPALの構造に戻ると、PALの公開鍵フィールドは、ASHによって生成された、あるいはASHにおいて格納された秘密/公開暗号化鍵ペアのうちの公開鍵を含む。このASH公開鍵は、ライセンスデータフィールドのパターン領域指定パラメータと暗黙的に関連付けられている。この領域指定は、安全なサービスを利用するときに電子ペンが位置データを記録することを許されるパターン領域を規定する。パターン領域は、1以上のページアドレスまたはある範囲のページアドレスによって規定される。ライセンスデータフィールドは、有効期間(例えば、ある日付から別の日付まで)やある範囲のペン識別子のような、いくつかのさらなるライセンス限界パラメータを含んでよい。
【0062】
PALの署名フィールドは、ASH公開鍵のデジタル署名を含み、また、PALのライセンスデータのデジタル署名も含む場合がある。この署名は、管理アクタにより、管理アクタの非対称暗号化鍵ペアのうちの秘密鍵を用いて生成されたものである。
【0063】
すでに述べたように、PAL検証データフィールドもまた、PALの構造と同様のフィールドを含む。しかし、その公開鍵は、記録された位置データを暗号化するためにペンによって用いられるのではなく、PALのデジタル署名を検証するために用いられる。PALを検証する際の、ペンによるPAL検証データの利用について、以下にさらに述べる。
【0064】
上記の変形形態では、関連するASHの明示的な宛先アドレスも、PALに含まれており、それによって、宛先アドレスは、PALの領域指定と暗黙的に関連付けられている。宛先アドレスは、URL(ユニフォーム・リソース・ロケータ)、電子メールアドレス、IP(インターネットプロトコル)アドレス等のような、ネットワークアドレスとして与えられてよい。そのようなアドレスをPALに含めることによって、システム基盤におけるルーティングが単純化されてよい。ある例では、ペンは、PGCファイル108を関連するASHへ直接プッシュしてよい。別の例では、ペンは、ファイル108に明示的な宛先アドレスを含んでよい。それにより、中間サーバ165またはネットワーク接続ユニット130が、直接このアドレスに作用して、関連するASHへファイルをルーティングすることができるようにする。これにより、システムにおいてルーティングテーブルを維持する必要性が低減される。
【0065】
図2を参照して、図1Aのシステムに含まれるASHの例示的な動作について、またシステムにおいてどの動作が安全なサービスの配備に関係しているかについて、説明する。
【0066】
以下において、動作はASHによって行われるものとして説明する。ただし、いくつかの動作は、それらの動作をASHに自動的に行わせる代わりに、適切なプログラミングツールを用いてASHの管理者により行われ得る、ということが理解されよう。
【0067】
直ちにまたは将来のいつかにサービスを配備しようとするASH、例えばASH1の150は、秘密/公開暗号化鍵ペアを生成して、秘密鍵を格納する(ステップ200)。次に、ASH1の150は、公開鍵を管理アクタ、例えばアクタ145へと送信するが、この管理アクタは、ASH1が自身のサービス(または自身の複数のサービス)を関連付けようとしているパターン領域を含む位置符号化パターンの一部について、その一部を管理する権利を有し、またその一部についてペンアプリケーションライセンスを発行する権利を有する、とASH1に認識されている管理アクタである(ステップ210)。管理アクタは、それ自身の秘密/公開暗号化鍵ペアを有する。管理アクタ145は、自身の秘密鍵を用いて、ASH1から受信した公開鍵にデジタル署名し、署名済みの鍵をASH1に返信する(ステップ220)。次に、ASH1は、管理アクタからPAL検証データを取得する(ステップ230)。管理アクタ145がペンによって信頼された者でない場合には、PAL検証データは、管理アクタ145の公開鍵のデジタル署名を含むことになるが、これは、電子ペンにあらかじめ格納された公開鍵に対応する秘密鍵を用いて、信頼された者140によって生成されたものである。あるいは、PAL検証データは、デジタル署名の連鎖を含む。デジタル署名の連鎖は、デジタル署名された中間管理アクタ(図示せず)の公開鍵で構成され、信頼された者140によって生成されたデジタル署名に始まり、デジタル署名された管理アクタ145の公開暗号化鍵で構成され、別の中間管理アクタ(図示せず)によって生成されたデジタル署名で終わる。ASH1の150はこの時点で、いつでも、PALを生成し、管理アクタ145によってデジタル署名された自身の公開鍵を含めることができる。もし必要であれば、デジタル署名の連鎖を持つPAL検証データを含めることができる。そしてこのPALは、電子ペンへ提供され、電子ペンによって検証されることができる。
【0068】
ここで、ASH1が新しい安全なサービスを配備しようとしていると仮定する。ASH1は、サービスに用いられるテンプレートを選択し、サービスで用いられるパターン領域指定を1以上のページアドレスの形で、例えば、製品110の表面に印刷されたパターン領域120を含むページアドレスという形で、規定する。領域指定は、ASH1の秘密/公開暗号化鍵ペアのうちの公開鍵と関連付けられるが、これは、領域指定と公開鍵とを、上で論じたPALフォーマットを有するデータ構造に格納することによって行われる(ステップ240)。次に、領域指定以外のライセンスパラメータ(または領域指定以外の複数のライセンスパラメータ)と、場合によってはいわゆるクッキーとが、PALに格納されてよい(ステップ250)。そのようなライセンスパラメータの例については、上で論じた。ライセンスパラメータの値または範囲は、PAL検証データにおける対応するパラメータの値または範囲を超えてはならない。超えると、後で、PALのインストールの際に電子ペンがPALを検証できなくなる。クッキーは、典型的には、パターン領域指定によって規定された位置符号化パターンから記録された位置データとともに送られる情報を規定してよい。そのような情報は、ペンに格納された上記のプロパティパラメータを1以上含んでよい。
【0069】
次に、ASH1の150は、PAL検証データをPALに格納する(ステップ260)。図2のフローチャートには示されていないが、ASH1は、PALに格納されたライセンスデータパラメータを管理アクタ145へ送信してもよく、その場合、アクタは、これらのパラメータに自身の秘密鍵で署名して、生じたデジタル署名をASH1へ返信することができる。この工程は、このデジタル署名が、管理アクタ145がPALの公開鍵とライセンスデータパラメータとの両方に同時に署名することの結果として得られるというものであってもよい、ということが理解されるであろう。次に、ASH1は、管理アクタ145によって生成されASH1へと転送されたデジタル署名を格納する(ステップ270)。この時点でPALは完全になり、ペン100によって用いられるファイルとして提供されてよい(ステップ280)。
【0070】
次に、図3および図4を参照して、図1Aのシステムに含まれる電子ペン100の例示的な動作について説明する。
【0071】
ユーザは、対応するペンアプリケーションライセンス、すなわちPALのインストールを開始する。このユーザは、ASH1の150のようなASHによって提供される特定のサービスを利用しようとする、電子ペン100のようなペンのユーザである。これは、例えば、ネットワーク接続ユニット130を用いて別のサービスを閲覧し、閲覧ソフトのウィンドウにあるリンクをクリックして、ダウンロードする対応PALを選択し、その後、ネットワーク接続ユニット130が、メモリ手段106への格納のためにPALを電子ペン100へ転送することによって行われる。PALファイルをペンへダウンロードする他の方法については、当業者に理解されるであろう。PALを受信すると、電子ペンは、ペンにおいてPALをインストールして検証する(ステップ300)。
【0072】
特定のサービスのPALがペンにインストールされたら、ペンはそのサービスを利用し始めてよい。典型的には、サービスの利用は、サービスでの利用に向けられた、製品110のパターン領域から、ペンが位置データを記録することから開始する(ステップ310)。表面から位置データを記録したら、ユーザは、サービスを提供するASH、例えばASH1の150への記録された情報の転送を開始するために、送り領域125に印付けをしてよい。上で論じたように、記録された領域120の位置データ、あるいは座標は、特定のページアドレスを特定することになる。ペンはそこで、格納されている自身のPALの中にそのページアドレスと関連付けられたPALがあるかどうかを、含まれている処理手段105を用いて、PALのパターン領域指定を頼りに調べることになる(ステップ320)。
【0073】
次に、処理手段105は、こうして特定されたPALから公開鍵を引き出し、ASH1へ転送される情報データを暗号化するために、この公開鍵を用いる(ステップ330)。このような暗号化は、いくつかの方法で実現することができる。ある実施の形態によれば、計算上の複雑さを最小化するために、ペンは、情報データを暗号化するのに用いる対称鍵のような、ランダムセッション鍵を生成して使用する。そして、このランダムセッション鍵は、PALの公開鍵を用いて暗号化される。こうして、ASH1は後に、インストールされた自身の秘密鍵を用いて、暗号化されたセッション鍵を復号し、そして復号されたセッション鍵を用いて、暗号化された情報データを復号することができるようになる。
【0074】
次に、公開鍵で暗号化された情報データは、ASH1へのルーティングのために、前述したペン生成座標ファイル、すなわちPGCファイルに格納される(ステップ340)。上で論じたように、ルーティングは、中間サーバ165によっても、あるいはネットワーク接続ユニット130によっても実現される。ルーティングを可能にするため、位置データのページアドレスは、暗号化されずにPGCファイルに格納されてもよい。それによって、ページアドレスに基づいたルーティングが可能になる。しかしながら、例えば固有のペン識別子またはペンのユーザの電子メールアドレスといった、ペンから引き出されたペンプロパティパラメータのうちの一つのような、暗号化されずにPGCファイルに格納され得る、いくつかの代わりのパラメータに基づいてルーティングが行われてもよいことを、当業者は理解するであろう。さらに、ルーティングは、PALから引き出されてPGCファイルに格納された明示的な宛先アドレスに基づいて行われてもよい。
【0075】
典型的には、電子ペンは、さらに別の第2のPALをインストールしてよい。第2のPALは、図1Aにおいて参照番号121で描かれているパターン領域のような、位置符号化パターンの別の領域に関してASH2の160によって提供されるサービスを利用できるようにするためのものである。第2のPALのインストールおよびASH2によって提供されるサービスの利用は、ASH1に関して上述した内容に対応する。電子ペンは、多くのパターン領域に関して多くのサービスと関連して用いられる、多くのさらなるPALをインストールしてよい。
【0076】
次に、図4のフローチャートを参照して、ペンにおけるPALのインストールおよび検証に関する図3のステップ300について、さらに記述する。
【0077】
PALのインストールおよび検証が開始すると(ステップ400)、まずペンがPALからPAL検証データを抽出する(ステップ410)。次に、ペンは、PALの各ライセンスデータパラメータをPAL検証データの対応するパラメータと比較し(ステップ420)、そのようなライセンスデータパラメータのそれぞれがPAL検証データの対応するパラメータの限界を超えないこと(すなわち、部分集合であること)を確認する(ステップ430)。いずれかのライセンスデータパラメータがそのような限界を超えている場合は、ペンはPALのインストールを中止する(ステップ470)。越えていない場合は、インストールが続く。ここで、ペンが、自身のペン識別子がPALのライセンスデータによって設定されたペン識別子の範囲内にあること、および/またはペンの時間回路によって与えられた現在時刻がPALのライセンスデータによって設定された有効期間内にあることを、検証する必要もあり得る。
【0078】
続行されたインストールにおける次なるステップでは、PALから公開鍵のデジタル署名を抽出する(ステップ440)。PALのこの公開鍵は、公開鍵のデジタル署名を持つPAL検証データの連鎖について繰り返して、連鎖の各リンクの公開鍵を検証することにより、検証される(ステップ450)。繰り返しでは、まず、ペンによって信頼された者によってデジタル署名された、最上位のPAL検証データの公開鍵を、ペンにあらかじめ格納された、信頼された者の公開鍵を用いて検証する。そして、こうして検証された公開鍵が、PAL検証データの連鎖における、次のデジタル署名の公開鍵を検証するために用いられ、PALそれ自体の公開鍵が検証され得るまで続けられる。このような検証ステップのそれぞれが、チェックサムの復号と計算に基づいて行われてよいことは、当業者に広く知られている通りである。連鎖中の公開鍵が検証できない場合(ステップ460)、インストールは中止される(ステップ470)。
【0079】
あるいは、ステップ450における繰り返しは、今のリンクのPAL検証データに含まれる検証データである、PAL検証データのライセンスデータフィールドの各パラメータが、先行リンク(前のリンク)のPAL検証データの、対応するパラメータの部分集合であることを、連鎖中の各リンクについて最上位のリンクから確認すること、を含むこともできる。また、各リンクのそのようなライセンスデータパラメータ(または複数のライセンスデータパラメータ)は、公開鍵とともに暗号化されてよく、その場合、各リンクにおけるパラメータの検証は、パラメータを復号し、復号されたパラメータを平文のパラメータと比較することも含む。いずれかのリンクのいずれかのパラメータが検証に成功しない場合、インストールは中止される。この方法で最上位のリンクを検証できるようにするため、繰り返しではまず、パラメータを、パターン領域指定=「パターン全体」、ペン識別子の範囲=「すべてのペン」、有効期間=「永久」と設定する。
【0080】
上記の検証は、代わりに、例えばペンに接続されたダウンロード局といった、外部のアプリケーションにおいて実行されてもよい。外部のアプリケーションは、上記の方法論に従って、各PALを受信して検証する。検証が成功した後、外部のアプリケーションは、すべての、または選ばれたPALデータをペンへ提供してよい。
【0081】
最後に、本発明の例示的な実施の形態をさらに説明する単純な例について、再び図1Aを参照して以下に論じる。
【0082】
管理アクタ145が、信頼された者140との間で、位置符号化パターンのあるセグメントすべて、例えばセグメント17の、例えば2005年1月1日から2014年12月31日までの、10年間にわたる利用を管理することに合意した、と仮定する。前述した表記法を用いると、問題のセグメントは「17.*.*.*」と特定することができ、それにより、ワイルドカード「*」を用いて、そのセグメントのすべてのシェルフと、それらのシェルフのすべてのブックと、すべてのブックのすべてのパターンページとが示される。管理アクタ145が、他の点では、セグメント17を完全に管理している、すなわち、その利用に関して、10年の有効期間以外には何ら制限がない、とさらに仮定する。信頼された者140からPAL検証データを取得するため、管理アクタ145は、非対称鍵ペアのうちの自身の公開鍵を、信頼された者へ転送する。さらに、管理アクタは、一組のライセンスデータパラメータを転送してもよい。それに対する応答として、管理アクタ145は、信頼された者140によって、システムのすべてのペン100にあらかじめ格納された公開鍵に対応する秘密鍵を用いて生成された、デジタル署名を受信することになる。信頼された者は、管理アクタの公開鍵に署名するために、場合によっては管理アクタのライセンスデータにも署名するために、自身の秘密鍵を使うことによって、この署名を生成する。そして、管理アクタ145は、上述したようなフィールドを有する一組のPAL検証データをまとめることになり、結果として生じるPAL検証データは、以下のようになる。
【0083】
【表2】
【0084】
この例で、ライセンスデータは、追加のパラメータである「セキュリティレベル」と、「スタンドアローン」と、「サブライセンス」とを含む。「セキュリティレベル」パラメータは、後に生成されるPALに対し、セキュリティに関して限界を設定する。セキュリティに関して、とは、すなわち、サービスの利用に関連してペンから伝達されたデータの、暗号化ならびに非暗号化の可否を定めるように、ということである。「スタンドアローン」パラメータは、PAL検証データは生成されるPALに含まれるという前提で、PALがPALの公開鍵とライセンスデータとのデジタル署名を含まずに生成されることができるか否かを示す。このオプションにより、ASHは、管理アクタとさらに情報交換することなくPALを生成することができ、それによって、セキュリティの低下を犠牲にしつつ配備を簡略化できる。最後に、「サブライセンス」パラメータは、別のアクタまたはASHが当該ライセンス限界内でPAL検証データを生成することを、管理アクタが認めてよいか否か、を示す。
【0085】
この時点で、管理アクタ145は、潜在的なサービス配備者へ、すなわち潜在的なASHへ、PAL検証データを配布してよい。
【0086】
次に、ASH1が、上記のPAL検証データを前もって受信しており、今、セグメント17に関連付けられるべきサービスに対してPALを生成しようとしている、と仮定する。そして、ASH1は、PAL検証データの限界を超えないライセンスデータパラメータを有するPALを、いつでも生成してよい。PALがこの限界を越えるパラメータ(または複数のパラメータ)を含む場合は、電子ペンにおけるPALの検証が失敗することになる。ASH1によって生成されたPALのフィールドは、以下のデータを有してよい。
【0087】
【表3】
【0088】
「スタンドアローン」パラメータが「イエス」の値を有しているので、ASH1がその公開鍵とライセンスデータパラメータとのデジタル署名をPALに含める必要はない、ということに気付くかもしれない。これにより、ASH1は、管理アクタ145または信頼された者140との情報交換なしに、いつでもPALを生成することができる。
【0089】
ペンにおいて上記のPALを検証するにあたり、ペンは、あらかじめ格納された自身の公開鍵を用いてPAL検証データのデジタル署名を検証し、PAL検証データからライセンスデータを取り出し、そして、PALのライセンスデータの各パラメータがPAL検証データにおける対応するライセンスデータパラメータの限界を超えないことを確認することになる。検証後、ペンは、セグメント17から記録されたすべての位置データ出力を暗号化するためにPALの公開鍵を用いることになる。
【0090】
本発明のさまざまな実施の形態についての上記の詳細な記述は、例としてのみ与えられたものであり、したがって、これらは本発明の範囲を限定するものと意図されてはおらず、本発明の範囲は添付の請求の範囲によって規定される、ということが留意されるであろう。さらに、添付の請求の範囲にある多様な変更および修正は、請求の範囲および詳細な説明を研究すれば、当業者にとって明らかになるであろう、ということが理解されるであろう。
【0091】
例えば、本発明の原理は、システム基盤におけるペンの通信方法にかかわらず適用できる、ということが理解されよう。例えば、ペンは、ファイルを出力する代わりに、記録されたデータをリアルタイムにシステム基盤へ出力してもよい。また、ペンは、双方向プロトコルを用いて基盤構成要素と通信できてもよい。
【0092】
さらに、上述した非対称暗号化技術(公開鍵アルゴリズム)は、例えばDES、RSA、またはIDEAなどのアルゴリズムに基づいた、対称暗号化技術と置き換えることができる。例えば、ペンとASHが、ペンにインストールされたPALを介して、対称暗号化鍵を共有してもよい。同様に、PALに含まれる1以上のデジタル署名が、対称暗号化に基づいてもよい。
【0093】
PALはいかなる好適なフォーマットを有してもよい、ということが理解されよう。PALは、オブジェクトコードまたはスクリプトを含んでよい。オブジェクトコードまたはスクリプトは、PALの検証および関連するPALデータの格納のためにペン管理システムによって実行されるか、あるいは、PALを検証し、関連するPALデータをペン管理システムへ、もしくは直接ペンメモリへ提供する、ペンに接続されたダウンロード局の外部アプリケーションによって実行されるものである。代わりに、または加えて、PALにおいては、外部アプリケーションおよび/またはペン管理システムによって同様に処理されるように、情報共有フォーマットにデータを収めてもよく、情報共有フォーマットは、タグ付きでもタグなしでも、あるいは文字符号化されたものでも非文字符号化されたもの(例えばバイナリ)でもよい。
【0094】
上記の実施の形態では、位置符号化パターンの分割は、パターンは絶対位置を符号化するだけであり、それが、ペンメモリに格納された規定データを用いて論理位置へと変換される、という点において動的である。代わりの実施の形態では、パターンの分割は、パターン内で符号化されることにより、静的であってよい。例えば、米国第6,330,976号は、ある符号化パターンを開示しており、この符号化パターンにおいては、符号化セルが製品表面にタイル状に並べられ、各セルが局所位置とページ識別子との両方を符号化する。従って、ペンは、パターン内で符号化されたデータから自身の論理位置を直接推論できる。
【0095】
説明した実施の形態は、システム基盤における暗号化鍵の配布とも無関係に特異な効果を提供する特徴を含んでよい。そのような特徴は、開示された概念を含むが、これに限定されることはない。この開示された概念とは、管理アクタによって設定された限界データに基づいてライセンスファイルを検証するにあたり、ライセンスファイルのパラメータ(または複数のパラメータ)を限界データの対応するパラメータ(または複数のパラメータ)と照合し、ペンがライセンスファイルを検証できるようにするため、信頼された者のデジタル署名をライセンスファイルに含め、管理アクタの階層を表す、ライセンスファイルを検証するためのデジタル署名の連鎖を用い、ライセンスファイルの生成の権限を付与するために管理アクタによって提供された検証データを用いることによって検証する、というものである。
【図面の簡単な説明】
【0096】
【図1A】図1Aは、本発明の例示的な実施の形態が含まれた、本出願人によって開発されたシステム基盤を模式的に示す図である。
【図1B】図1Bは、図1Aのシステム基盤で利用される仮想位置面の論理的な分割の例を示す図である。
【図2】図2は、図1を参照して説明された実施の形態に従ってアプリケーションサービスハンドラの動作を説明するフローチャートである。
【図3】図3は、図1を参照して説明された実施の形態に従って電子ペンの動作を説明するフローチャートである。
【図4】図4は、図1を参照して説明された実施の形態に従って電子ペンの動作を説明するフローチャートである。
【特許請求の範囲】
【請求項1】
電子ペンにより位置符号化パターンから記録された位置データに関してセキュリティを提供する方法であって、
前記記録された位置データは、特定のアプリケーションサービスハンドラ(ASH)へ送られる予定のものであり、
前記方法は、
電子ペンが前記ASHとどのように情報交換するかを管理するペンアプリケーションライセンス(PAL)を生成することと、
電子ペンでのインストールのために前記PALを提供することと、
を備え、
PALを生成する前記ステップは、ライセンスデータを第1の暗号化鍵と関連付けて前記PALに格納することを含み、前記ライセンスデータは、前記ASHへ送られる予定の位置データを有する前記位置符号化パターンの領域を規定する領域指定を含み、前記第1の暗号化鍵は、前記ASHにインストールされた第2の暗号化鍵に対応しており、
これによって、前記電子ペンが、前記第1の暗号化鍵を用いて、前記領域指定内において記録された位置データに暗号化を施すことが可能であることを特徴とする方法。
【請求項2】
前記第1および第2の暗号化鍵は、非対称鍵ペアのうちの、それぞれ公開鍵および秘密鍵であることを特徴とする請求項1に記載の方法。
【請求項3】
前記ライセンスデータは、電子ペン識別子の範囲と前記PALの有効期間とで構成される一群のパラメータのうち、少なくとも一つのさらなるパラメータを含むことを特徴とする請求項1または2に記載の方法。
【請求項4】
前記位置符号化パターンの一部のためのPALの生成を管理する権限を付与されたアクタへ、前記アクタが前記アクタの非対称検証鍵ペアのうちの秘密鍵で署名するために、少なくとも前記第1の暗号化鍵を送信することと、
前記第1の暗号化鍵のデジタル署名であって、前記アクタによって生成されたデジタル署名を、前記送信ステップに応じた前記アクタから受信することと、
をさらに備え、
PALを生成する前記ステップは、前記デジタル署名を前記PALの一部として格納することを含むことを特徴とする請求項1〜3のいずれか一つに記載の方法。
【請求項5】
前記送信ステップは、前記ライセンスデータを前記アクタへ送信することを含み、
前記受信ステップは、前記アクタによって生成されたデジタル署名を受信することを含み、
前記デジタル署名は、デジタル署名されたバージョンの前記送信された第1の暗号化鍵と、前記送信されたライセンスデータを備えることを特徴とする請求項4に記載の方法。
【請求項6】
前記領域指定によって規定された前記位置符号化パターンの前記一部から記録された位置データと共に送られる情報を規定するクッキーを、前記PALに格納することをさらに備える請求項1〜5のいずれか一つに記載の方法。
【請求項7】
前記位置符号化パターンの一部のためのPALの生成を管理する権限を付与されたアクタから、前記一部についての領域指定を含むPAL検証データを取得することをさらに備え、
前記PALの前記領域指定は、前記一部についての前記領域指定の限界を超えないよう規定されており、
PALを生成する前記ステップは、前記PAL検証データを前記PALの一部として格納することを含むことを特徴とする請求項1〜6のいずれか一つに記載の方法。
【請求項8】
前記PAL検証データの前記領域指定は、前記PAL検証データに含まれる一組のライセンスデータに含まれ、
前記PAL検証データの前記ライセンスデータは、電子ペン識別子の範囲と有効期間とで構成される一群のパラメータのうち、少なくとも一つのさらなるパラメータを含むことを特徴とする請求項7に記載の方法。
【請求項9】
前記PALの前記ライセンスデータにおける前記少なくとも一つのさらなるパラメータは、前記PAL検証データの中の対応するパラメータの限界を超えないよう規定されていることを特徴とする請求項8に記載の方法。
【請求項10】
前記PAL検証データの少なくとも一部についてのデジタル署名を取得することと、
前記デジタル署名を前記PAL検証データの一部として前記PALに格納することとをさらに備える請求項7〜9のいずれか一つに記載の方法。
【請求項11】
前記デジタル署名は、信頼された者により非対称鍵ペアのうちの秘密鍵を用いて生成されたものであり、対応する公開鍵が、前記PALが提供される前記電子ペンにあらかじめ格納されていることを特徴とする請求項10に記載の方法。
【請求項12】
PAL検証データを格納する前記ステップは、PAL検証データの連鎖を格納することを含み、
前記連鎖の各リンクは、アクタを表し、また、前記連鎖の各リンクは、前記アクタの非対称鍵ペアのうちの公開鍵と、先行リンクに相当するアクタによって生成された前記公開鍵のデジタル署名とを含み、
前記連鎖の最上位のリンクの前記デジタル署名は、信頼された者により非対称鍵ペアのうちの秘密鍵を用いて生成されたものであり、対応する公開鍵が、前記PALが提供される前記電子ペンにあらかじめ格納されていることを特徴とする請求項7〜10のいずれか一つに記載の方法。
【請求項13】
PAL検証データの前記連鎖の各リンクは、ライセンスデータパラメータを含み、
前記ライセンスデータパラメータは、前記連鎖の先行リンクにおけるPAL検証データの中の対応するライセンスデータパラメータの限界を超えないよう規定されていることを特徴とする請求項12に記載の方法。
【請求項14】
前記送信ステップおよび前記受信ステップの前記アクタは、信頼された者であり、
前記デジタル署名を生成するために前記信頼された者によって用いられる前記秘密鍵は、前記PALが提供される前記電子ペンにあらかじめ格納された公開鍵に対応することを特徴とする請求項4または5に記載の方法。
【請求項15】
コンピュータ実行可能コンポーネントを格納するコンピュータ読取可能媒体であって、
前記コンピュータ実行可能コンポーネントは、サーバに含まれる汎用コンピュータ上で実行されたときに、請求項1〜14のいずれか一つに記載されたステップを前記サーバに行わせることを特徴とするコンピュータ読取可能媒体。
【請求項16】
位置符号化パターンから記録された位置データを管理するときにセキュリティを提供するために、電子ペンで用いられる方法であって、
前記パターンの別々の領域からの前記記録された位置データは、別々のアプリケーションサービスハンドラ(ASH)へ送られる予定のものであり、
前記方法は、
前記位置符号化パターンの前記領域の一つから位置データを記録することと、
前記位置符号化パターンの別々の領域を別々の暗号化鍵と関連付ける前記ペンによって、データが記録された前記領域と関連付けて格納される暗号化鍵を決定することと、
前記決定された暗号化鍵を用いて、前記記録された位置データに暗号化を施すことと
を備えることを特徴とする方法。
【請求項17】
前記位置符号化パターンの領域と暗号化鍵との各関連付けは、格納のために前記ペンによりインストールされてライセンスデータを前記暗号化鍵と関連付けるペンアプリケーションライセンス(PAL)を用いて提供され、
前記ライセンスデータは、前記位置符号化パターンの前記領域を規定する領域指定を含むことを特徴とする請求項16に記載の方法。
【請求項18】
前記位置符号化パターンの領域と暗号化鍵との各関連付けのためにPALをインストールすることを含む請求項17に記載の方法。
【請求項19】
前記ライセンスデータは、電子ペン識別子の範囲と前記PALの有効期間とで構成される一群のパラメータのうち、少なくとも一つのさらなるパラメータを含むことを特徴とする請求項17または18に記載の方法。
【請求項20】
前記PALは、前記領域指定によって規定された前記位置符号化パターンから記録された位置データと共に送られる情報を規定するクッキーをさらに含むことを特徴とする請求項17〜19のいずれか一つに記載の方法。
【請求項21】
前記PALをインストールする前記ステップは、
前記PALに含まれるPAL検証データであって、インストールされる前記PALの生成の権限を付与したアクタのライセンスデータを含むPAL検証データを抽出することと、
前記PALの前記ライセンスデータの各パラメータについて、前記パラメータが、前記PAL検証データの前記ライセンスデータ部の中の対応するパラメータの限界を超えないことを検証することと、
前記パラメータのいずれかが、前記PAL検証データによって与えられた前記限界を超える場合は、前記インストールを中止することと
を含むことを特徴とする請求項17〜20のいずれか一つに記載の方法。
【請求項22】
前記PAL検証データの前記ライセンスデータは、領域指定を含み、
前記検証ステップは、
前記PALの前記領域指定が前記PAL検証データの前記領域指定の部分集合であることを確認することと、
前記領域指定の部分集合でない場合には、前記インストールを中止することと、
を含むことを特徴とする請求項21に記載の方法。
【請求項23】
前記PAL検証データの前記ライセンスデータは、一組の電子ペン識別子を含み、
前記検証ステップは、
前記PALの前記ライセンスデータに含まれる電子ペン識別子の範囲が前記PAL検証データの前記一組の電子ペン識別子の部分集合であることを確認することと、
前記電子ペン識別子の部分集合でない場合には、前記インストールを中止することと、
を含むことを特徴とする請求項21または22に記載の方法。
【請求項24】
前記PAL検証データの前記ライセンスデータは、有効期間を含み、
前記検証ステップは、
前記PALの前記ライセンスデータに含まれる前記有効期間が前記PAL検証データの前記有効期間の部分集合であることを確認することと、
前記有効期間の部分集合でない場合には、前記インストールを中止することと、
を含むことを特徴とする請求項21〜23のいずれか一つに記載の方法。
【請求項25】
前記PALをインストールする前記ステップは、
前記電子ペン自体の識別子が前記PALの前記ライセンスデータに含まれる前記電子ペン識別子の範囲に含まれること、および、前記電子ペン識別子の範囲に含まれない場合には前記インストールが中止されることを確認することを含む請求項17〜24のいずれか一つに記載の方法。
【請求項26】
PALをインストールする前記ステップは、
前記PALから、前記PALに含まれる前記暗号化鍵のデジタル署名を抽出することと、
前記PAL内でPAL検証データの連鎖について繰り返すことによって前記PALの前記デジタル署名を検証することであって、前記連鎖の最上位のPAL検証データにおける非対称鍵ペアのうちの公開鍵のデジタル署名が、前記電子ペンにあらかじめ格納された信頼された者の公開鍵を用いて検証され、前記最上位の公開鍵が、前記PAL検証データ連鎖の次のリンクにおける次の公開鍵の次のデジタル署名を検証するために用いられ、前記PALに含まれる前記公開鍵の前記デジタル署名が検証されるまで前記連鎖について繰り返すことによって、前記PALの前記デジタル署名を検証することと、
前記繰り返しの間にいずれかの検証が失敗した場合には、前記インストールを中止することと
を含むことを特徴とする請求項17〜25のいずれか一つに記載の方法。
【請求項27】
対応するASHへルーティングするために、前記位置符号化パターンの前記一部から記録された前記暗号化された位置データを、前記電子ペンによって生成されたファイルに格納することを含む請求項16〜26のいずれか一つに記載の方法。
【請求項28】
前記記録された位置データに暗号化を施す前記ステップは、
ランダムセッション鍵を生成することと、
前記ランダムセッション鍵を用いて、前記位置データを暗号化することと、
前記記録されたデータが送られる予定のASHの非対称鍵ペアのうちの秘密鍵に対応する公開鍵である前記暗号化鍵を用いて、前記ランダムセッション鍵を暗号化することと、
前記暗号化されたランダムセッション鍵を、前記電子ペンによって生成された前記ファイルに格納することと、
を含むことを特徴とする請求項27に記載の方法。
【請求項29】
前記決定された暗号化鍵は、前記記録されたデータが送られる予定のASHの符合する暗号化鍵に対応することを特徴とする請求項16〜28のいずれか一つに記載の方法。
【請求項30】
前記決定された暗号化鍵は、前記記録されたデータが送られる予定のASHの非対称鍵ペアのうちの秘密鍵に対応する公開鍵であることを特徴とする請求項16〜29のいずれか一つに記載の方法。
【請求項31】
コンピュータ実行可能コンポーネントを格納するコンピュータ読取可能媒体であって、
前記コンピュータ実行可能コンポーネントは、電子ペンに含まれる汎用コンピュータ上で実行されたときに、請求項16〜30のいずれか一つに記載されたステップを前記電子ペンに行わせることを特徴とするコンピュータ読取可能媒体。
【請求項32】
電子ペンにより位置符号化パターンから記録された位置データに関してセキュリティを提供するシステムであって、
前記記録された位置データは、特定のアプリケーションサービスハンドラ(ASH)へ送られる予定のものであり、
前記システムは、
非対称鍵ペアのうちの秘密鍵を格納する少なくとも一つのASHと、
前記位置符号化パターンから位置データを記録するよう構成された少なくとも一つの電子ペンと、
を含み、
各ASHは、
電子ペンが前記ASHとどのように情報交換するかを管理するペンアプリケーションライセンス(PAL)を生成するとともに、ライセンスデータを公開鍵と関連付けて前記PALに提供するASH処理手段
を含み、
前記ライセンスデータは、前記ASHへ送られる予定の位置データを有する前記位置符号化パターンの領域を規定する領域指定を含み、
前記公開鍵は、前記ASHにインストールされた前記秘密鍵に対応しており、
各電子ペンは、
ASHによって生成された少なくとも一つのPALを格納するメモリ手段であって、前記位置符号化パターンの別々の領域が、それぞれのPALによって別々の公開鍵と関連付けられるメモリ手段と、
データが記録された前記位置符号化パターンの領域と関連付けられた公開鍵を、前記格納された少なくとも一つのPALに基づいて決定するペン処理手段と、
前記決定された公開鍵を用いて、前記記録された位置データに暗号化を施す暗号化手段と、
を含むことを特徴とするシステム。
【請求項33】
前記ASH処理手段は、請求項2〜14のいずれか一つに記載されたさらなるステップを行うよう構成されていることを特徴とする請求項32に記載のシステム。
【請求項34】
前記ペン処理手段は、請求項19〜30のいずれか一つに記載されたさらなるステップを行うよう構成されていることを特徴とする請求項32または33に記載のシステム。
【請求項1】
電子ペンにより位置符号化パターンから記録された位置データに関してセキュリティを提供する方法であって、
前記記録された位置データは、特定のアプリケーションサービスハンドラ(ASH)へ送られる予定のものであり、
前記方法は、
電子ペンが前記ASHとどのように情報交換するかを管理するペンアプリケーションライセンス(PAL)を生成することと、
電子ペンでのインストールのために前記PALを提供することと、
を備え、
PALを生成する前記ステップは、ライセンスデータを第1の暗号化鍵と関連付けて前記PALに格納することを含み、前記ライセンスデータは、前記ASHへ送られる予定の位置データを有する前記位置符号化パターンの領域を規定する領域指定を含み、前記第1の暗号化鍵は、前記ASHにインストールされた第2の暗号化鍵に対応しており、
これによって、前記電子ペンが、前記第1の暗号化鍵を用いて、前記領域指定内において記録された位置データに暗号化を施すことが可能であることを特徴とする方法。
【請求項2】
前記第1および第2の暗号化鍵は、非対称鍵ペアのうちの、それぞれ公開鍵および秘密鍵であることを特徴とする請求項1に記載の方法。
【請求項3】
前記ライセンスデータは、電子ペン識別子の範囲と前記PALの有効期間とで構成される一群のパラメータのうち、少なくとも一つのさらなるパラメータを含むことを特徴とする請求項1または2に記載の方法。
【請求項4】
前記位置符号化パターンの一部のためのPALの生成を管理する権限を付与されたアクタへ、前記アクタが前記アクタの非対称検証鍵ペアのうちの秘密鍵で署名するために、少なくとも前記第1の暗号化鍵を送信することと、
前記第1の暗号化鍵のデジタル署名であって、前記アクタによって生成されたデジタル署名を、前記送信ステップに応じた前記アクタから受信することと、
をさらに備え、
PALを生成する前記ステップは、前記デジタル署名を前記PALの一部として格納することを含むことを特徴とする請求項1〜3のいずれか一つに記載の方法。
【請求項5】
前記送信ステップは、前記ライセンスデータを前記アクタへ送信することを含み、
前記受信ステップは、前記アクタによって生成されたデジタル署名を受信することを含み、
前記デジタル署名は、デジタル署名されたバージョンの前記送信された第1の暗号化鍵と、前記送信されたライセンスデータを備えることを特徴とする請求項4に記載の方法。
【請求項6】
前記領域指定によって規定された前記位置符号化パターンの前記一部から記録された位置データと共に送られる情報を規定するクッキーを、前記PALに格納することをさらに備える請求項1〜5のいずれか一つに記載の方法。
【請求項7】
前記位置符号化パターンの一部のためのPALの生成を管理する権限を付与されたアクタから、前記一部についての領域指定を含むPAL検証データを取得することをさらに備え、
前記PALの前記領域指定は、前記一部についての前記領域指定の限界を超えないよう規定されており、
PALを生成する前記ステップは、前記PAL検証データを前記PALの一部として格納することを含むことを特徴とする請求項1〜6のいずれか一つに記載の方法。
【請求項8】
前記PAL検証データの前記領域指定は、前記PAL検証データに含まれる一組のライセンスデータに含まれ、
前記PAL検証データの前記ライセンスデータは、電子ペン識別子の範囲と有効期間とで構成される一群のパラメータのうち、少なくとも一つのさらなるパラメータを含むことを特徴とする請求項7に記載の方法。
【請求項9】
前記PALの前記ライセンスデータにおける前記少なくとも一つのさらなるパラメータは、前記PAL検証データの中の対応するパラメータの限界を超えないよう規定されていることを特徴とする請求項8に記載の方法。
【請求項10】
前記PAL検証データの少なくとも一部についてのデジタル署名を取得することと、
前記デジタル署名を前記PAL検証データの一部として前記PALに格納することとをさらに備える請求項7〜9のいずれか一つに記載の方法。
【請求項11】
前記デジタル署名は、信頼された者により非対称鍵ペアのうちの秘密鍵を用いて生成されたものであり、対応する公開鍵が、前記PALが提供される前記電子ペンにあらかじめ格納されていることを特徴とする請求項10に記載の方法。
【請求項12】
PAL検証データを格納する前記ステップは、PAL検証データの連鎖を格納することを含み、
前記連鎖の各リンクは、アクタを表し、また、前記連鎖の各リンクは、前記アクタの非対称鍵ペアのうちの公開鍵と、先行リンクに相当するアクタによって生成された前記公開鍵のデジタル署名とを含み、
前記連鎖の最上位のリンクの前記デジタル署名は、信頼された者により非対称鍵ペアのうちの秘密鍵を用いて生成されたものであり、対応する公開鍵が、前記PALが提供される前記電子ペンにあらかじめ格納されていることを特徴とする請求項7〜10のいずれか一つに記載の方法。
【請求項13】
PAL検証データの前記連鎖の各リンクは、ライセンスデータパラメータを含み、
前記ライセンスデータパラメータは、前記連鎖の先行リンクにおけるPAL検証データの中の対応するライセンスデータパラメータの限界を超えないよう規定されていることを特徴とする請求項12に記載の方法。
【請求項14】
前記送信ステップおよび前記受信ステップの前記アクタは、信頼された者であり、
前記デジタル署名を生成するために前記信頼された者によって用いられる前記秘密鍵は、前記PALが提供される前記電子ペンにあらかじめ格納された公開鍵に対応することを特徴とする請求項4または5に記載の方法。
【請求項15】
コンピュータ実行可能コンポーネントを格納するコンピュータ読取可能媒体であって、
前記コンピュータ実行可能コンポーネントは、サーバに含まれる汎用コンピュータ上で実行されたときに、請求項1〜14のいずれか一つに記載されたステップを前記サーバに行わせることを特徴とするコンピュータ読取可能媒体。
【請求項16】
位置符号化パターンから記録された位置データを管理するときにセキュリティを提供するために、電子ペンで用いられる方法であって、
前記パターンの別々の領域からの前記記録された位置データは、別々のアプリケーションサービスハンドラ(ASH)へ送られる予定のものであり、
前記方法は、
前記位置符号化パターンの前記領域の一つから位置データを記録することと、
前記位置符号化パターンの別々の領域を別々の暗号化鍵と関連付ける前記ペンによって、データが記録された前記領域と関連付けて格納される暗号化鍵を決定することと、
前記決定された暗号化鍵を用いて、前記記録された位置データに暗号化を施すことと
を備えることを特徴とする方法。
【請求項17】
前記位置符号化パターンの領域と暗号化鍵との各関連付けは、格納のために前記ペンによりインストールされてライセンスデータを前記暗号化鍵と関連付けるペンアプリケーションライセンス(PAL)を用いて提供され、
前記ライセンスデータは、前記位置符号化パターンの前記領域を規定する領域指定を含むことを特徴とする請求項16に記載の方法。
【請求項18】
前記位置符号化パターンの領域と暗号化鍵との各関連付けのためにPALをインストールすることを含む請求項17に記載の方法。
【請求項19】
前記ライセンスデータは、電子ペン識別子の範囲と前記PALの有効期間とで構成される一群のパラメータのうち、少なくとも一つのさらなるパラメータを含むことを特徴とする請求項17または18に記載の方法。
【請求項20】
前記PALは、前記領域指定によって規定された前記位置符号化パターンから記録された位置データと共に送られる情報を規定するクッキーをさらに含むことを特徴とする請求項17〜19のいずれか一つに記載の方法。
【請求項21】
前記PALをインストールする前記ステップは、
前記PALに含まれるPAL検証データであって、インストールされる前記PALの生成の権限を付与したアクタのライセンスデータを含むPAL検証データを抽出することと、
前記PALの前記ライセンスデータの各パラメータについて、前記パラメータが、前記PAL検証データの前記ライセンスデータ部の中の対応するパラメータの限界を超えないことを検証することと、
前記パラメータのいずれかが、前記PAL検証データによって与えられた前記限界を超える場合は、前記インストールを中止することと
を含むことを特徴とする請求項17〜20のいずれか一つに記載の方法。
【請求項22】
前記PAL検証データの前記ライセンスデータは、領域指定を含み、
前記検証ステップは、
前記PALの前記領域指定が前記PAL検証データの前記領域指定の部分集合であることを確認することと、
前記領域指定の部分集合でない場合には、前記インストールを中止することと、
を含むことを特徴とする請求項21に記載の方法。
【請求項23】
前記PAL検証データの前記ライセンスデータは、一組の電子ペン識別子を含み、
前記検証ステップは、
前記PALの前記ライセンスデータに含まれる電子ペン識別子の範囲が前記PAL検証データの前記一組の電子ペン識別子の部分集合であることを確認することと、
前記電子ペン識別子の部分集合でない場合には、前記インストールを中止することと、
を含むことを特徴とする請求項21または22に記載の方法。
【請求項24】
前記PAL検証データの前記ライセンスデータは、有効期間を含み、
前記検証ステップは、
前記PALの前記ライセンスデータに含まれる前記有効期間が前記PAL検証データの前記有効期間の部分集合であることを確認することと、
前記有効期間の部分集合でない場合には、前記インストールを中止することと、
を含むことを特徴とする請求項21〜23のいずれか一つに記載の方法。
【請求項25】
前記PALをインストールする前記ステップは、
前記電子ペン自体の識別子が前記PALの前記ライセンスデータに含まれる前記電子ペン識別子の範囲に含まれること、および、前記電子ペン識別子の範囲に含まれない場合には前記インストールが中止されることを確認することを含む請求項17〜24のいずれか一つに記載の方法。
【請求項26】
PALをインストールする前記ステップは、
前記PALから、前記PALに含まれる前記暗号化鍵のデジタル署名を抽出することと、
前記PAL内でPAL検証データの連鎖について繰り返すことによって前記PALの前記デジタル署名を検証することであって、前記連鎖の最上位のPAL検証データにおける非対称鍵ペアのうちの公開鍵のデジタル署名が、前記電子ペンにあらかじめ格納された信頼された者の公開鍵を用いて検証され、前記最上位の公開鍵が、前記PAL検証データ連鎖の次のリンクにおける次の公開鍵の次のデジタル署名を検証するために用いられ、前記PALに含まれる前記公開鍵の前記デジタル署名が検証されるまで前記連鎖について繰り返すことによって、前記PALの前記デジタル署名を検証することと、
前記繰り返しの間にいずれかの検証が失敗した場合には、前記インストールを中止することと
を含むことを特徴とする請求項17〜25のいずれか一つに記載の方法。
【請求項27】
対応するASHへルーティングするために、前記位置符号化パターンの前記一部から記録された前記暗号化された位置データを、前記電子ペンによって生成されたファイルに格納することを含む請求項16〜26のいずれか一つに記載の方法。
【請求項28】
前記記録された位置データに暗号化を施す前記ステップは、
ランダムセッション鍵を生成することと、
前記ランダムセッション鍵を用いて、前記位置データを暗号化することと、
前記記録されたデータが送られる予定のASHの非対称鍵ペアのうちの秘密鍵に対応する公開鍵である前記暗号化鍵を用いて、前記ランダムセッション鍵を暗号化することと、
前記暗号化されたランダムセッション鍵を、前記電子ペンによって生成された前記ファイルに格納することと、
を含むことを特徴とする請求項27に記載の方法。
【請求項29】
前記決定された暗号化鍵は、前記記録されたデータが送られる予定のASHの符合する暗号化鍵に対応することを特徴とする請求項16〜28のいずれか一つに記載の方法。
【請求項30】
前記決定された暗号化鍵は、前記記録されたデータが送られる予定のASHの非対称鍵ペアのうちの秘密鍵に対応する公開鍵であることを特徴とする請求項16〜29のいずれか一つに記載の方法。
【請求項31】
コンピュータ実行可能コンポーネントを格納するコンピュータ読取可能媒体であって、
前記コンピュータ実行可能コンポーネントは、電子ペンに含まれる汎用コンピュータ上で実行されたときに、請求項16〜30のいずれか一つに記載されたステップを前記電子ペンに行わせることを特徴とするコンピュータ読取可能媒体。
【請求項32】
電子ペンにより位置符号化パターンから記録された位置データに関してセキュリティを提供するシステムであって、
前記記録された位置データは、特定のアプリケーションサービスハンドラ(ASH)へ送られる予定のものであり、
前記システムは、
非対称鍵ペアのうちの秘密鍵を格納する少なくとも一つのASHと、
前記位置符号化パターンから位置データを記録するよう構成された少なくとも一つの電子ペンと、
を含み、
各ASHは、
電子ペンが前記ASHとどのように情報交換するかを管理するペンアプリケーションライセンス(PAL)を生成するとともに、ライセンスデータを公開鍵と関連付けて前記PALに提供するASH処理手段
を含み、
前記ライセンスデータは、前記ASHへ送られる予定の位置データを有する前記位置符号化パターンの領域を規定する領域指定を含み、
前記公開鍵は、前記ASHにインストールされた前記秘密鍵に対応しており、
各電子ペンは、
ASHによって生成された少なくとも一つのPALを格納するメモリ手段であって、前記位置符号化パターンの別々の領域が、それぞれのPALによって別々の公開鍵と関連付けられるメモリ手段と、
データが記録された前記位置符号化パターンの領域と関連付けられた公開鍵を、前記格納された少なくとも一つのPALに基づいて決定するペン処理手段と、
前記決定された公開鍵を用いて、前記記録された位置データに暗号化を施す暗号化手段と、
を含むことを特徴とするシステム。
【請求項33】
前記ASH処理手段は、請求項2〜14のいずれか一つに記載されたさらなるステップを行うよう構成されていることを特徴とする請求項32に記載のシステム。
【請求項34】
前記ペン処理手段は、請求項19〜30のいずれか一つに記載されたさらなるステップを行うよう構成されていることを特徴とする請求項32または33に記載のシステム。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図1B】
【図2】
【図3】
【図4】
【公表番号】特表2008−516550(P2008−516550A)
【公表日】平成20年5月15日(2008.5.15)
【国際特許分類】
【出願番号】特願2007−536650(P2007−536650)
【出願日】平成17年10月10日(2005.10.10)
【国際出願番号】PCT/SE2005/001489
【国際公開番号】WO2006/041387
【国際公開日】平成18年4月20日(2006.4.20)
【出願人】(506145326)アノト アクティエボラーク (49)
【Fターム(参考)】
【公表日】平成20年5月15日(2008.5.15)
【国際特許分類】
【出願日】平成17年10月10日(2005.10.10)
【国際出願番号】PCT/SE2005/001489
【国際公開番号】WO2006/041387
【国際公開日】平成18年4月20日(2006.4.20)
【出願人】(506145326)アノト アクティエボラーク (49)
【Fターム(参考)】
[ Back to top ]