知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6153669
(24)【登録日】2017年6月9日
(45)【発行日】2017年6月28日
(54)【発明の名称】資格情報を通信するためのシステムおよび方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20170619BHJP
G06F 21/42 20130101ALI20170619BHJP
【FI】
G06F21/62 345
G06F21/42
【請求項の数】36
【全頁数】29
(21)【出願番号】特願2016-545876(P2016-545876)
(86)(22)【出願日】2015年1月9日
(65)【公表番号】特表2017-505050(P2017-505050A)
(43)【公表日】2017年2月9日
(86)【国際出願番号】EP2015050354
(87)【国際公開番号】WO2015104387
(87)【国際公開日】20150716
【審査請求日】2017年4月27日
(31)【優先権主張番号】14150856.4
(32)【優先日】2014年1月10日
(33)【優先権主張国】EP
【早期審査対象出願】
(73)【特許権者】
【識別番号】516201917
【氏名又は名称】プリヴィティ プライベート リミテッド
(74)【代理人】
【識別番号】110000796
【氏名又は名称】特許業務法人三枝国際特許事務所
(72)【発明者】
【氏名】バリー ジェラード
(72)【発明者】
【氏名】バリー デクラン
【審査官】
中里 裕正
(56)【参考文献】
【文献】
米国特許出願公開第2005/006950(US,A1)
【文献】
特開2007−73040(JP,A)
【文献】
特開2008−27323(JP,A)
【文献】
特開2011−34223(JP,A)
【文献】
特開2011−128967(JP,A)
【文献】
特開2012−27582(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
G06F 21/42
(57)【特許請求の範囲】
【請求項1】
プレゼンタに結びつけられる少なくとも1つの管理された資格情報セットのサーバからネットワークエンドポイントまでの通信を許可するためのシステム(100)であって、
少なくとも1つのネットワークエンドポイントと、
受入れ側機器通信(104)を送信するように構成される少なくとも1つの受入れ側機器(109)であって、前記受入れ側機器通信は、前記プレゼンタに関する秘密キーコード(109a)および一回限りの共用キーコード(109b)を含む、少なくとも1つの受入れ側機器(109)と、
提示側機器通信(105)を送信するように構成される少なくとも1つの提示側機器(108)であって、前記提示側機器通信は、前記プレゼンタに関するプレゼンタ識別子(108a)および一回限りの共用キーコード(108b)を含む、少なくとも1つの提示側機器と、
プロセッサと、少なくとも1つの通信インタフェースと、前記結びつけられる少なくとも1つの管理された資格情報セットに関する少なくとも1つのエントリ(103)を記憶するメモリとをさらに備える少なくとも1つのサーバと、
少なくとも1つのレコード(102)に関係づけられ、前記レコードは、何れかのプレゼンタに関し、プレゼンタ識別子と、前記プレゼンタ識別子へバインドされる秘密キーコードとを含む各エントリと、を備え、
前記少なくとも1つのサーバは、
a)前記受入れ側機器通信(104)を受信し、
b)前記提示側機器通信(105)を受信し、
c)前記受入れ側機器通信(104)に含まれる前記一回限りの共用キーコード(109b)と、前記提示側機器通信(105)に含まれる前記一回限りの共用キーコード(108b)とのマッチングを求め、
d)前記受入れ側機器通信(104)における前記秘密キーコードと、前記提示側機器通信(105)における前記プレゼンタ識別子とをリンクさせることにより、ターゲットレコードの探索を開始し、前記受入れ側機器通信及び前記提示側機器通信の両方は、同じ前記一回限りの共用キーコード(108b,109b)を含み、
e)前記秘密キーコード(109a)および前記プレゼンタ識別子(108a)の双方を含む前記ターゲットレコードの探索を実行し、
f)前記ターゲットレコードと関係づけられるエントリ(103)を識別し、
g)前記エントリ(103)に関する前記結びつけられる少なくとも1つの管理された資格情報セットの検索を許可し、かつ前記結びつけられる少なくとも1つの管理された資格情報セットの前記ネットワークエンドポイント(110)へのリリースを許可するように構成される制御サーバであり、前記ネットワークエンドポイントは、前記結びつけられるタイプの少なくとも1つの管理された資格情報セットの許可された受信者である、システム。
少なくとも1つのネットワークエンドポイントと、
受入れ側機器通信(104)を送信するように構成される少なくとも1つの受入れ側機器(109)であって、前記受入れ側機器通信は、前記プレゼンタに関する秘密キーコード(109a)および一回限りの共用キーコード(109b)を含む、少なくとも1つの受入れ側機器(109)と、
提示側機器通信(105)を送信するように構成される少なくとも1つの提示側機器(108)であって、前記提示側機器通信は、前記プレゼンタに関するプレゼンタ識別子(108a)および一回限りの共用キーコード(108b)を含む、少なくとも1つの提示側機器と、
プロセッサと、少なくとも1つの通信インタフェースと、前記結びつけられる少なくとも1つの管理された資格情報セットに関する少なくとも1つのエントリ(103)を記憶するメモリとをさらに備える少なくとも1つのサーバと、
少なくとも1つのレコード(102)に関係づけられ、前記レコードは、何れかのプレゼンタに関し、プレゼンタ識別子と、前記プレゼンタ識別子へバインドされる秘密キーコードとを含む各エントリと、を備え、
前記少なくとも1つのサーバは、
a)前記受入れ側機器通信(104)を受信し、
b)前記提示側機器通信(105)を受信し、
c)前記受入れ側機器通信(104)に含まれる前記一回限りの共用キーコード(109b)と、前記提示側機器通信(105)に含まれる前記一回限りの共用キーコード(108b)とのマッチングを求め、
d)前記受入れ側機器通信(104)における前記秘密キーコードと、前記提示側機器通信(105)における前記プレゼンタ識別子とをリンクさせることにより、ターゲットレコードの探索を開始し、前記受入れ側機器通信及び前記提示側機器通信の両方は、同じ前記一回限りの共用キーコード(108b,109b)を含み、
e)前記秘密キーコード(109a)および前記プレゼンタ識別子(108a)の双方を含む前記ターゲットレコードの探索を実行し、
f)前記ターゲットレコードと関係づけられるエントリ(103)を識別し、
g)前記エントリ(103)に関する前記結びつけられる少なくとも1つの管理された資格情報セットの検索を許可し、かつ前記結びつけられる少なくとも1つの管理された資格情報セットの前記ネットワークエンドポイント(110)へのリリースを許可するように構成される制御サーバであり、前記ネットワークエンドポイントは、前記結びつけられるタイプの少なくとも1つの管理された資格情報セットの許可された受信者である、システム。
【請求項2】
前記少なくとも1つのサーバは制御サーバ(101)を備える、請求項1に記載のシステム。
【請求項3】
前記制御サーバ(101)は、さらに、前記一回限りの共用キーコードを生成し、かつこれを前記受入れ側機器(109)で利用可能にするように構成される、請求項2に記載のシステム。
【請求項4】
前記受入れ側機器は、前記一回限りの共用キーコードを生成し、前記秘密キーコード(109a)を前記プレゼンタから受信し、かつ前記受入れ側機器通信を前記制御サーバ(101)へ送信するようにさらに、構成される、請求項2に記載のシステム。
【請求項5】
前記提示側機器は、前記一回限りの共用キーコードを受入れ側機器(109)から受信し、前記プレゼンタ識別子をそのメモリから検索し、かつ前記提示側機器通信(105)を前記制御サーバ(101)へ送信するようにさらに構成される、請求項3に記載のシステム。
【請求項6】
前記プレゼンタ識別子および前記秘密キーコードを含む前記レコードは、前記プレゼンタ識別子に関連づけられかつ前記結びつけられる少なくとも1つの管理された資格情報セットに関するエントリ(103)に関係づけられるエイリアスをさらに含む、請求項1〜5のいずれか一項に記載のシステム。
【請求項7】
前記提示側機器通信は、前記プレゼンタ識別子に関連づけられかつ前記結びつけられる少なくとも1つの管理された資格情報セットに関するエントリ(103)に関係づけられるエイリアスをさらに含み、前記ターゲットレコードの探索は、さらに、前記提示側機器通信(105)に含まれる前記エイリアスを利用して、前記プレゼンタ識別子(108a)および前記秘密キーコードを備えることに加えて前記エイリアスを備える前記ターゲットレコードを探索する、請求項1〜6のいずれか一項に記載のシステム。
【請求項8】
前記ネットワークエンドポイントは、前記受入れ側機器(109)を備え、かつ、1つまたは複数のタイプの前記結びつけられる少なくとも1つの管理された資格情報セットの指定された受信者として設定される、請求項1〜7のいずれか一項に記載のシステム。
【請求項9】
前記ネットワークエンドポイントは、前記受入れ側機器へリンクされ、かつ、1つまたは複数のタイプの前記結びつけられる少なくとも1つの管理された資格情報セットの指定された受信者として設定される、請求項1〜7のいずれか一項に記載のシステム。
【請求項10】
前記結びつけられる少なくとも1つの管理された資格情報セットは、前記制御サーバ(101)上の前記ターゲットレコード(102)におけるエントリを備える、請求項2に記載のシステム。
【請求項11】
前記結びつけられる少なくとも1つの管理された資格情報セットは、前記少なくとも1つのサーバのうちの他のものへのエントリを備え、前記エントリは前記制御サーバ(101)上の前記ターゲットレコードに関係づけられる、請求項2に記載のシステム。
【請求項12】
前記受入れ側機器通信(104)には有効期間が割り当てられ、前記ステップc)は、前記有効期間が経過しているかどうかを確立することをさらに含む、請求項1〜11のいずれか一項に記載のシステム。
【請求項13】
前記提示側機器通信(105)には有効期間が割り当てられ、前記ステップc)は、前記有効期間が経過しているかどうかを確立することをさらに含む、請求項1〜11のいずれか一項に記載のシステム。
【請求項14】
前記一回限りの共用キーコードには有効期間が割り当てられ、前記ステップc)は、前記有効期間が経過しているかどうかを確立することをさらに含む、請求項1〜11のいずれか一項に記載のシステム。
【請求項15】
前記一回限りの共用キーコードは、その有効期間の持続時間に渡って一意である、請求項14に記載のシステム。
【請求項16】
前記受入れ側機器通信(104)は、1つまたは複数の既定の補助パラメータをさらに、含み、前記提示側機器通信も前記1つまたは複数の既定の補助パラメータをさらに含む、請求項1〜15のいずれか一項に記載のシステム。
【請求項17】
前記制御サーバ(101)は、前記提示側機器通信(105)からの前記既定の補助パラメータのうちの少なくとも1つと、前記受入れ側機器通信(104)からの対応する前記既定の補助パラメータとのマッチングを求めることをさらに含み、少なくとも1つの相互作用及び確証をさらに与える、請求項2〜5のいずれか一項に従属する請求項16に記載のシステム。
【請求項18】
前記レコードが前記制御サーバ(101)上の前記結びつけられる少なくとも1つの管理された資格情報セットのエントリを構成すれば、前記ステップf)及びg)が前記制御サーバで実行され、前記結びつけられる少なくとも1つの管理された資格情報セットの通信が前記制御サーバで実行される、請求項2〜5のいずれか一項に記載のシステム。
【請求項19】
前記レコードが前記制御サーバとは異なるサーバ上の前記結びつけられる少なくとも1つの管理された資格情報セットのエントリを構成すれば、前記ステップf)及びg)が前記異なるサーバで実行され、前記結びつけられる少なくとも1つの管理された資格情報セットの通信が前記制御サーバ及び前記異なるサーバの1つを用いて実行される、請求項2〜5のいずれか一項に記載のシステム。
【請求項20】
前記受入れ側機器通信(104)と前記提示側機器通信(105)との間のマッチングが前記制御サーバ(101)で発見されなければ、前記制御サーバは、設定されたさらなるアクションを終了させ、このような状態を記録する、請求項2〜5のいずれか一項に記載のシステム。
【請求項21】
ターゲットレコードが前記制御サーバ(101)で発見されなければ、前記制御サーバは、設定されたさらなるアクションを終了させ、このような状態を記録する、請求項2〜5のいずれか一項に記載のシステム。
【請求項22】
前記制御サーバ(101)は、発生するイベントの状態を記録し、かつ、このような状態を前記受入れ側機器(109)および前記提示側周辺機器(108)の少なくとも1つに中継するようにさらに構成される、請求項2〜5のいずれか一項に記載のシステム。
【請求項23】
前記サーバ、前記ネットワークエンドポイント(110)、前記受入れ側機器(109)および前記提示側周辺機器(108)は、それぞれ、プロセッサ、通信インタフェース、メモリ、入力コンソール及び出力コンソールの少なくとも1つを備える、請求項1〜22のいずれか一項に記載のシステム。
【請求項24】
当該システムは、通信ネットワーク(106,107,111)上で動作可能である、請求項1〜23のいずれか一項に記載のシステム。
【請求項25】
プレゼンタに結びつけられる少なくとも1つの管理された資格情報セットの、少なくとも1つのサーバからネットワークエンドポイント(110)への通信を許可するための方法であって、
(a)前記プレゼンタに関する秘密キーコード(109a)および一回限りの共用キーコード(109b)を含む受入れ側機器通信(104)を受信することと、
(b)前記プレゼンタに関するプレゼンタ識別子(108a)および一回限りの共用キーコード(108b)を含む提示側機器通信(105)を受信することと、
(c)前記受入れ側機器通信(104)に含まれる前記一回限りの共用キーコード(109b)と、前記提示側機器通信(105)に含まれる前記一回限りの共用キーコード(108b)とのマッチングを求めることと、
(d)前記受入れ側機器通信(104)の前記秘密キーコード(109a)と、前記提示側機器通信(105)における前記プレゼンタ識別子(108a)とをリンクさせることにより、ターゲットレコードの探索を開始することであって、前記両通信は、同じ一回限りの共用キーコード(108b,109b)を含む、開始することと、
(e)前記秘密キーコード(109a)および前記プレゼンタ識別子(108a)の双方を含む前記ターゲットレコードの探索を実行することと、
(f)前記ターゲットレコードと関係づけられるエントリ(103)を識別することであって、前記エントリは、前記結びつけられる少なくとも1つの管理された資格情報セットに関する、識別することと、
(g)前記エントリに関する前記結びつけられる少なくとも1つの管理された資格情報セットの検索を許可し、かつ前記資格情報セットの、前記ネットワークエンドポイント(110)へのリリースを許可することであって、前記エンドポイントは、前記結びつけられる少なくとも1つの管理された資格情報セットの前記許可された受信者である、許可することとを含む、方法。
(a)前記プレゼンタに関する秘密キーコード(109a)および一回限りの共用キーコード(109b)を含む受入れ側機器通信(104)を受信することと、
(b)前記プレゼンタに関するプレゼンタ識別子(108a)および一回限りの共用キーコード(108b)を含む提示側機器通信(105)を受信することと、
(c)前記受入れ側機器通信(104)に含まれる前記一回限りの共用キーコード(109b)と、前記提示側機器通信(105)に含まれる前記一回限りの共用キーコード(108b)とのマッチングを求めることと、
(d)前記受入れ側機器通信(104)の前記秘密キーコード(109a)と、前記提示側機器通信(105)における前記プレゼンタ識別子(108a)とをリンクさせることにより、ターゲットレコードの探索を開始することであって、前記両通信は、同じ一回限りの共用キーコード(108b,109b)を含む、開始することと、
(e)前記秘密キーコード(109a)および前記プレゼンタ識別子(108a)の双方を含む前記ターゲットレコードの探索を実行することと、
(f)前記ターゲットレコードと関係づけられるエントリ(103)を識別することであって、前記エントリは、前記結びつけられる少なくとも1つの管理された資格情報セットに関する、識別することと、
(g)前記エントリに関する前記結びつけられる少なくとも1つの管理された資格情報セットの検索を許可し、かつ前記資格情報セットの、前記ネットワークエンドポイント(110)へのリリースを許可することであって、前記エンドポイントは、前記結びつけられる少なくとも1つの管理された資格情報セットの前記許可された受信者である、許可することとを含む、方法。
【請求項26】
前記プレゼンタ識別子(108a)および秘密キーコード(109a)を含むターゲットレコードは、前記プレゼンタ識別子(108a)に関連づけられかつ前記結びつけられる少なくとも1つの管理された資格情報セットに関する前記エントリ(103)に関係づけられるエイリアスをさらに含み、
前記提示側機器通信(105)は、前記プレゼンタ識別子(108a)に関連づけられ、前記結びつけられる少なくとも1つの管理された資格情報セットに関する前記エントリに関係づけられるエイリアスをさらに含み、
前記ステップ(e)は、前記レコードの各エイリアスと前記提示側機器通信とをマッチングすることをさらに含む、請求項25に記載の方法。
前記提示側機器通信(105)は、前記プレゼンタ識別子(108a)に関連づけられ、前記結びつけられる少なくとも1つの管理された資格情報セットに関する前記エントリに関係づけられるエイリアスをさらに含み、
前記ステップ(e)は、前記レコードの各エイリアスと前記提示側機器通信とをマッチングすることをさらに含む、請求項25に記載の方法。
【請求項27】
前記少なくとも1つのサーバは、制御サーバ(101)を含み、前記制御サーバで前記ステップ(a)〜(g)が実行される、請求項25または26に記載の方法。
【請求項28】
前記少なくとも1つのサーバは、制御サーバ(101)を備え、前記結びつけられる少なくとも1つの管理された資格情報セットは、前記制御サーバ(101)とは異なるサーバ上のエントリを構成し、前記エントリは、前記ターゲットレコードと関係づけられ、
前記資格情報セットを識別するステップは、前記異なるサーバにおいて実行され、前記ステップ(e)〜(g)は、前記制御サーバ(101)または異なるサーバの何れかにおいて実行される、請求項25または26に記載の方法。
前記資格情報セットを識別するステップは、前記異なるサーバにおいて実行され、前記ステップ(e)〜(g)は、前記制御サーバ(101)または異なるサーバの何れかにおいて実行される、請求項25または26に記載の方法。
【請求項29】
前記受入れ側機器通信(104)、前記提示側機器通信(105)および前記一回限りの共用コードの少なくとも1つに有効期間が割り当てられ、前記ステップ(c)は、前記有効期間が経過しているかどうかを確立することをさらに含む、請求項25〜28のいずれか一項に記載の方法。
【請求項30】
前記一回限りの共用キーコードは、その有効期間の持続時間に渡って一意である、請求項29に記載の方法。
【請求項31】
前記提示側機器通信(105)および前記受入れ側機器通信(104)は、それぞれ、1つまたは複数の既定の補助パラメータをさらに含み、
前記ステップ(c)は、さらに、前記提示側機器通信における前記既定の補助パラメータのうちの少なくとも1つと、前記受入れ側機器通信における対応する前記既定の補助パラメータのうちの少なくとも1つとのマッチングを求めることを含む、請求項25〜29のいずれか一項に記載の方法。
前記ステップ(c)は、さらに、前記提示側機器通信における前記既定の補助パラメータのうちの少なくとも1つと、前記受入れ側機器通信における対応する前記既定の補助パラメータのうちの少なくとも1つとのマッチングを求めることを含む、請求項25〜29のいずれか一項に記載の方法。
【請求項32】
前記レコードが前記制御サーバ(101)上の前記結びつけられる少なくとも1つの管理された資格情報セットのエントリを構成すれば、前記ステップ(f)及び(g)が前記制御サーバで実行され、
当該方法は、前記結びつけられる少なくとも1つの管理された資格情報セットを前記制御サーバからリリースすることをさらに含む、請求項27に記載の方法。
当該方法は、前記結びつけられる少なくとも1つの管理された資格情報セットを前記制御サーバからリリースすることをさらに含む、請求項27に記載の方法。
【請求項33】
前記少なくとも1つのサーバが制御サーバ(101)を備え、前記レコードが前記制御サーバ(101)とは異なるサーバ上の前記結びつけられる少なくとも1つの管理された資格情報セットのエントリを構成すれば、前記ステップ(f)及び(g)が前記異なるサーバで実行され、
当該方法は、前記結びつけられる少なくとも1つの管理された資格情報セットを、前記制御サーバ及び前記異なるサーバの1つからリリースすることをさらに含む、請求項25または26に記載の方法。
当該方法は、前記結びつけられる少なくとも1つの管理された資格情報セットを、前記制御サーバ及び前記異なるサーバの1つからリリースすることをさらに含む、請求項25または26に記載の方法。
【請求項34】
前記受入れ側機器通信(104)と前記提示側機器通信(105)との間のマッチングが発見されなければ、設定されたさらなるアクションを終了させ、このような状態を前記制御サーバ(101)に記録することをさらに含む、請求項27または28に記載の方法。
【請求項35】
ターゲットレコードが発見されなければ、設定されたさらなるアクションを終了させ、このような状態を前記制御サーバ(101)に記録することをさらに含む、請求項27または28に記載の方法。
【請求項36】
前記制御サーバ(101)に前記イベントの状態を記録し、かつ、このような状態を前記受入れ側機器(109)および提示側周辺機器(108)の少なくとも1つへ中継する、請求項27または28に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報通信技術、情報通信技術に委ねられるデータ交換の当事者間関係、ならびに情報通信技術により通信される資格情報内に広がる当事者間関係の保存および保護に関する。当事者間関係という用語は、エンティティに関する任意の情報、またはエンティティと何れかの特定の個人とを繋ぐ任意の資格情報セットの所有、またはこれへの関与、を指す。具体的には、本発明は、資格情報セットの関連当事者が、個人情報および管理された資格情報の機密保持および守秘権の現行の保存および保全を保証しながら、保護された安全な方法で秘密裏にリリースすることに同意し得る、かつこれを許可し得る私的な個人情報および管理された資格情報のセットを含むデータ、の様々な目的での許可されたリリースに関するが、この限りではない。管理された資格情報とは、管理された資格情報のオーナ/発行事業者と管理された資格情報の保持者/占有者とを繋ぐ情報を指す。
【背景技術】
【0002】
現代社会において、個人は、膨大な個人データアレイに関連づけられる。このような個人データの幾つかの例には、氏名、住所、生年月日、国籍、社会保障番号、パスポート番号、運転免許証番号、(所定の組織の)会員番号、旧姓(該当すれば)、母親の旧姓、雇用者情報、銀行口座番号、クレジットカード番号、他が含まれるが、この限りではない。この個人データは、個人が他の個人および組織と相互作用することになった場合に、多くの方法で使用される。これらの相互作用の多くは、個人に固有でありかつ問題の相互作用に必要でもあるデータセットの正確度に大きく依存する。したがって、このような各データセット(以後、「資格情報セット」と称する)は、個人に固有でありかつ相互作用に必要でもあることから、望ましくは当事者間関係の状態で保持される機密情報である。この情報は、追加的なセキュリティ機能、例えば所定の証書に関連づけられる秘密のキーコード、に関するデータ等の、慎重に扱うべき(よって、望ましくは当事者間関係の状態で保持される)追加的な関連データである。レコードからの資格情報セットのリリースが意図される場合でも、関連データは、それが追加的なセキュリティ機能に関する場合は特に、絶対にリリースされない点を保証する必要があり得ることは理解されるであろう。
【0003】
このようなレコードレジストリは、典型的には、次のようにしてポピュレートされる。あるプレゼンタに関する資格情報セットがコントローラへ提供され、この資格情報セットが検証されかつ検認される。資格情報セットが検証されかつ検認されると、この資格情報セットを有する証書が生成され、かつこの資格情報セットがプレゼンタへ提供される。また、資格情報セットは、レコードレジストリ上の新しいレコードにも入力され、かつ典型的には、対応する証書に関する任意のデータ(通し番号、他等)および他の任意の関連データ(生体認証、他を含む、但しこれらに限定されない追加的なセキュリティ機能データ等)を補足される。
【0004】
資格情報セットをこのような特注証書上へレンダリングする方法は、進化を遂げている。歴史的に、このようなデータは、発行される証書上へインクで書かれるか、タイピングされるか、ラベリングされている可能性がある。その次に、このようなデータは、発行される証書上へエンボス加工されるか、彫り込まれるか、暗号化されるか、埋め込まれている可能性がある。最近では、機械読取り可能媒体(磁気ストライプまたは磁気チップ等)が証書として使用されてきていて、関連の資格情報セットは、このような媒体上に電子的に記憶される。多くの証書のフォーマット(および、資格情報セットを記憶するフォーマット)は、国際標準化機構によって管理される。例えば、ISO7501は、機械可読旅行文書のフォーマットを管理し、ISO7810およびISO7811は、ICカードのフォーマットを管理し、ISO7812およびISO7816は、異なる発行事業者がカードを提供し得る方法を管理する。
【0005】
プレゼンタの資格情報セットを有する証書の提供が進んでいるにも関わらず、未だ詐欺行為の危険性はある。よって、引き続き、資格情報セットを含む証書を有するプレゼンタが有効な/真正のプレゼンタであること(即ち、証書は、盗難または模造の経歴がなく、よって不正使用されないこと)、および、資格情報セットを含む差し出された証書が実際に真正であること(即ち、資格情報が正確であり、かつ証書が完全な偽造ではないこと)、の双方を検証できることが必要である。これは、このような証書の持参人が自身の資格情報セットをリリースする頻度が高まるにつれて増える懸念事項である。資格情報セットは、当初、資格情報セットのプレゼンタとそのコントローラとの間に存在する機密/秘密環境において保持されるが、この機密/秘密環境は、資格情報セットが第三者との交換の間にリリースされる度に危険に曝される。資格情報セットをリリースする方法のセキュリティは、この機密/秘密環境を強化しようと改善されてきたが、未だ脆弱さが残っている。
【0006】
例えば、旅券証書を読み取るための自動システムの出現を以てしても、乗客が何れかの検問官または何れかの国境管理局(「受納者」)へそのパスポートを提示する場合、発行証書に記載されている管理された資格情報が、読取りデバイスにおける管理された資格情報の捕捉前後で受納者の目に触れかつ受納者により処理される。プライバシーポリシ違反において、見えたままの前記資格情報が受納者により、単なる捕捉および処理ではなく、コピーされかつ共有されれば、旅券証書資格情報に元々備わっているプライバシ状態は、危険に曝される。同様の欠陥は、運転免許証、ポイント/会員カードおよび支払いカード等の、資格情報自動捕捉システムが開発されている他の証書についても存在する。
【0007】
よって、依然として、プレゼンタが、他の個人または組織との交換において資格情報セットを、資格情報セットの真正、および資格情報セットを有するプレゼンタの真正の双方を保証するようにして差し出し得る、改良された方法およびシステムが必要とされている。開示される際の完璧な機密/秘密環境を保証する方法およびシステムを提供することは、極めて望ましいと思われる。このような改良された方法およびシステムが何れも、改良された方法およびシステムが円滑かつ段階的に実行され得るように、一般に使用されている既存の方法およびシステムと後方互換性を有することは、極めて好ましいことであると思われる。これは、新しいシステムおよび方法へ高い費用かつ時間をかけて移行する必要がなくなるという理由で、極めて効果的であると思われる。さらに、新しい改良された方法およびシステムが何れも、単一のシステムおよび方法を介して複数の多様な資格情報セットに対応し得るようにスケーラブルであることも、好ましいと思われる。
【発明の概要】
【課題を解決するための手段】
【0008】
本発明の一態様は、プレゼンタに結びつけられる少なくとも1つの管理された資格情報セットのネットワークエンドポイントへの通信を許可し、一方で、プレゼンタに結びつけられる前記管理された資格情報に広がる当事者間関係を保全するためのシステムを含み、前記システムは、少なくとも1つの受入れ側機器と、少なくとも1つの提示側機器と、少なくとも1つのネットワークエンドポイントと、少なくとも1つのサーバとを備え、前記サーバのうちの1つは、1つまたは複数のレコードを備える。各レコードは、所定のプレゼンタに関連し、プレゼンタ識別子と、各プレゼンタ識別子にバインドされた秘密キーコードとを含み、かつプレゼンタに結びつけられる管理された資格情報セットに関する少なくとも1つのエントリと関係づけられる。各エントリは、前記所定のプレゼンタに関連づけられる少なくとも1つの資格情報セットに関する。各エントリは、少なくとも1つのエイリアスにも関し、各エイリアスは、各々前記資格情報セットのうちの1つと結びつけられる。各ネットワークエンドポイントは、プレゼンタに結びつけられるタイプの管理された資格情報の指定された受信者であり、前記エンドポイントは、受入れ側機器、またはこの受入れ側機器にリンクされる指定された第三者の受入れ側機器、の何れかであり、プレゼンタに結びつけられる少なくとも1つの管理された資格情報セットの通信許可は、提示側インタラクタと受入れ側インタラクタとの間の相互作用のコンテキストにおいて実行され、かつ、許可が関連する資格情報セットは、提示側インタラクタに関連づけられる。前記サーバのうちの1つは、(a)受入れ側機器からの通信、以後受入れ側機器通信と称する、を受信することであって、前記通信は、プレゼンタに関する秘密キーコードと一回限りの共用キーコードとを含む、受信することと、(b)提示側機器からの通信、以後提示側機器通信と称する、を受信することであって、前記通信は、プレゼンタに関するプレゼンタ識別子と一回限りの共用キーコードとを含む、受信することと、(c)受入れ側機器通信に含まれる一回限りの共用キーコードと、提示側機器通信に含まれる、対応する一回限りの共用キーコードとのマッチングを求めることと、(d)前記受入れ側機器通信に含まれる秘密キーコードと、前記提示側機器通信に含まれるプレゼンタ識別子とをリンクさせることにより、ターゲットレコードの探索を開始することであって、前記両通信は、同じ共用キーコードを含む、開始することと、(e)前記秘密キーコードおよび前記プレゼンタ識別子の双方を含む前記ターゲットレコードの探索を実行することと、(f)前記ターゲットレコードと関係づけられるエントリを識別することであって、前記エントリは、プレゼンタに結びつけられる管理された資格情報セットに関連する、識別することと、(g)前記エントリに関する前記資格情報セットの検索を許可し、かつ前記資格情報セットの前記ネットワークエンドポイントへのリリースを許可することであって、前記エンドポイントは、前記プレゼンタに結びつけられる管理された資格情報セットの許可された受信者であり、かつ前記エンドポイントは、受入れ側機器、またはこの受入れ側機器2へリンクされる指定された第三者の受入れ側機器の何れかである、許可することと、を実行するようにさらに構成される制御サーバとして機能する。
【0009】
本発明の別の態様は、プレゼンタに結びつけられる少なくとも1つの管理された資格情報セットのサーバからネットワークエンドポイントへの通信を許可し、一方で、プレゼンタに結びつけられる前記管理された資格情報に広がる当事者間関係を保全するための方法を含み、あるサーバは、1つまたは複数のレコードを備え、各レコードは、プレゼンタ(サーバによりプレゼンタおよび/または受納者として登録される所定の当事者)に関連し、かつ各レコードは、プレゼンタ識別子(および/または受納者識別子4)および前記プレゼンタ識別子にバインドされる(プレゼンタおよび/または受納者4の)秘密キーコードを含み、かつ各レコードは、前記プレゼンタに結びつけられる(前記当事者4に関連づけられる)管理された資格情報セットに関するエントリと関係づけられ、前記方法は、(a)受入れ側機器において、一回限りの共用キーコードを提示側インタラクタが利用可能であるようにすることと、(b)受入れ側機器において、提示側インタラクタに関する(プレゼンタ4の)秘密キーコードを受信することであって、前記(プレゼンタ4の)秘密キーコードは、受入れ側機器において提示側インタラクタにより入力される、受信することと、(c)受入れ側機器において、受入れ側機器通信をサーバのうちの少なくとも1つへ通信することであって、前記受入れ側機器通信は、一回限りの共用キーコードおよび(プレゼンタ4の)秘密キーコードを含む、通信することと、(d)提示側インタラクタの提示側機器において、一回限りの共用キーコードを受信することと、(e)提示側機器において、提示側機器上のストレージロケーションから、提示側インタラクタに関するプレゼンタ識別子を検索することと、(f)提示側機器において、提示側機器通信を前記サーバへ通信することであって、前記提示側機器通信は、一回限りの共用キーコードおよびプレゼンタ識別子を含む、通信することと、(g)前記受入れ側機器通信および前記提示側機器通信を受信すると、サーバにおいて、プレゼンタに結びつけられる管理された資格情報セットの通信が許可され、これによりサーバにおけるその検索を許可し、かつこれによりネットワークエンドポイントへのそのリリースを許可するかどうかを確かめるために、前記通信を処理することであって、前記エンドポイントは、許可された受信者であり、かつ前記エンドポイントは、受入れ側機器、またはこの受入れ側機器へリンクされる指定された第三者の受入れ側機器の何れかである、処理することと、を含む。
【0010】
本発明の一態様において、プレゼンタに結びつけられる全ての資格情報セット(または、資格情報セットに関係づけられるエイリアス)は、前記レコードにおけるエントリとして包含されてもよい。
【0011】
本発明の別の態様において、プレゼンタに結びつけられる全ての資格情報セット(または、関連のエイリアス)は、制御サーバと通信する異なるサーバ上に別のエントリとして包含されてもよい。あるいは、プレゼンタに結びつけられる一部の資格情報セットおよび関連のエイリアスは、前記レコードにおけるエントリとして包含されてもよく、その他は、前記サーバにおける別のエントリとして、または異なるサーバにおける別のエントリとして包含されてもよい。
【0012】
受入れ側機器通信は、前記サーバ*へ第1の通信チャネル上で通信されてもよく、かつ提示側機器通信は、前記サーバへ第2の通信チャネル上で通信されてもよい。
【0013】
本発明の一態様において、一回限りの共用キーコードは、サーバ*において生成され、かつ提示側インタラクタおよび/または提示側機器が前記一回限りの共用キーコードを利用できるようになる前に、受入れ側機器へ通信されてもよい。
【0014】
本発明の別の態様において、一回限りの共用キーコードは、提示側インタラクタおよび/または提示側機器が前記一回限りの共用キーコードを利用できるようになる前に、受入れ側機器において生成されてもよい。
【0015】
一回限りの共用キーコードのコピーは、受入れ側機器から提示側機器へ無線技術を介して通信されてもよく、前記無線技術は、随意により、Wifi、ブルートゥース(登録商標)、NFCまたはRFIDを含むグループから選択される。
【0016】
本発明の一態様において、受入れ側機器通信および提示側機器通信および/または共用キーコードには、有効期間が割り当てられてもよい。これは、受入れ側機器通信が、後に論じるように所定の時間枠(有効期間)内に提示側機器通信にマッチングされなければ、このような通信を失効させ、よって無効にしてさらなるプロセスを冗長とすることを保証する。このような通信が失効して無効となり、さらなるプロセスが冗長とされる場合、この通信に関するデータはパージされることが可能であって、さらなる通信処理のためのリソースが解放される。通信が、有効期間を有する共用キーコードを含んで生成され、送信され、または受信される場合、有効期間は、より短い、さほど複雑でない共用キーコードの使用可能性を、これらの属性によりその再使用を実行できるという理由で保証することができる。共用キーコードの有効期間が経過すれば、前記方法の後続反復において同じ共用キーコードが再使用されてもよい。
【0017】
本発明の一態様において、提示側インタラクタおよび/または提示側機器は、受入れ側機器に包含されるスクリーンを介して、または受入れ側機器からのプリントアウト上で、一回限りの共用キーコードのコピーを利用できるようになってもよく、(a)一回限りの共用キーコードのコピーは、例えばUTF−8である機械可読文字フォーマットで利用できるようにされ、かつ一回限りの共用キーコードのコピーは、提示側周辺機器において、提示側インタラクタおよび/または受入れ側インタラクタおよび/または受入れ側機器からの入力を介して受信されるか、(b)一回限りの共用キーコードのコピーは、QRコード(登録商標)に包含され、かつ一回限りの共用キーコードのコピーは、提示側機器において、提示側機器内に包含される、クイック・レスポンス・コードを捕捉して一回限りの共用キーコードのコピーを抽出するために使用されるカメラ機能を介して受信される。
【0018】
受入れ側機器通信は、さらに、1つまたは複数の予め決められた補助パラメータを含んでもよく、かつ提示側機器通信もさらに、前記1つまたは複数の予め決められた補助パラメータを含んでもよい。これらの補助パラメータは、随意により、任意のターゲットレコードの探索を開始しかつ実行すべく、後に詳述するように、確証作業が奏功する前にマッチングされなければならないこともある。確証プロセスにおけるこのさらなるマッチング条件は、共用キーコードに加えて命じられる場合、受入れ側機器通信と提示側機器通信とのマッチングを求めるプロセスに追加基準を導入する前記方法をさらに強化する。予め決められる補助パラメータは、受入れ側インタラクタと提示側インタラクタとの間で合意されるコードであってもよく、または、意図されるトランザクションの値等の、提示側インタラクタと受入れ側インタラクタとの間の相互作用に関する値であってもよい。
【0019】
一回限りの共用キーコードに有効期間が割り当てられる場合、前記共用キーコードは、その有効期間の持続時間に渡って一意であってもよい。
【0020】
本発明の別の態様は、サーバにおける、ネットワークエンドポイントへの、プレゼンタに結びつけられる少なくとも1つの管理された資格情報セットの通信を許可し、一方でプレゼンタに結びつけられる管理された資格情報セット内に広がる当事者間関係を保全するための方法を含み、許可は、共用キーコードおよびプレゼンタの秘密キーコードを含む受入れ側機器通信、および共用キーコードおよびプレゼンタ識別子を含む提示側機器通信を含み、前記方法は、(a)サーバにおいて、受入れ側機器通信を受信することと、(b)サーバにおいて、提示側機器通信を受信することと、(c)サーバにおいて、受入れ側機器通信に含まれる一回限りの共用キーコードと、提示側機器通信に含まれる、対応する一回限りの共用キーコードとのマッチングを求めることと、(d)サーバにおいて、受入れ側機器通信に含まれる(プレゼンタの)秘密キーコードと、提示側機器通信に含まれるプレゼンタ識別子とをリンクさせることにより、ターゲットレコードの探索を開始することであって、前記両通信は、同じ共用キーコードを含む、開始することと、(e)サーバにおいて、前記(プレゼンタの)秘密キーコードおよび前記プレゼンタ識別子の双方を含む前記ターゲットレコードの探索を実行することと、(f)ターゲットレコードが識別されれば、サーバにおいて、前記ターゲットレコードと関係づけられるエントリを識別することであって、前記エントリは、プレゼンタに結びつけられる管理された資格情報に関連する、識別することと、(g)サーバにおいて、ターゲットレコードに関係づけられる前記エントリにより識別される前記資格情報セットの検索を許可し、かつ前記資格情報セットの前記ネットワークエンドポイントへのリリースを許可することであって、前記エンドポイントは、プレゼンタに結びつけられる管理された資格情報セットの許可された受信者であり、かつ前記エンドポイントは、受入れ側機器、またはこの受入れ側機器へリンクされる指定された第三者の受入れ側機器である、許可することと、を含む。
【0021】
前記サーバにおけるターゲットレコードは、さらに、プレゼンタに結びつけられる各資格情報セットに関する前記エントリに関連づけられるエイリアスも含んでもよく、かつ提示側機器通信は、さらに、提示側機器において箇条書きにされたエイリアスリストから選択されるエイリアスのコピーを含んでもよく、同じプレゼンタ識別子および秘密キーコードを含むターゲットレコードの探索を実行するステップは、同じプレゼンタ識別子および秘密キーコードに加えて提示側機器通信に含まれるエイリアスのコピーも利用して、前記同じエイリアスを含むターゲットレコードを探索する。
【0022】
プレゼンタに結びつけられる資格情報セットに関するエントリは、プレゼンタに結びつけられる資格情報セットの検索およびリリースを許可するように構成される前記制御サーバ上の前記ターゲットレコードに含まれてもよく、かつプレゼンタに結びつけられる資格情報セットを検索するステップ、およびプレゼンタに結びつけられる資格情報セットをリリースするステップは、プレゼンタに結びつけられる資格情報セットの検索およびリリースを許可するように構成される前記制御サーバにおいて実行される。
【0023】
プレゼンタに結びつけられる資格情報セットは、プレゼンタに結びつけられる資格情報セットの検索およびリリースを許可するように構成される前記制御サーバから分離されて、異なるサーバ上の別個のエントリに含まれてもよく、別個のエントリは、ターゲットレコードと関係づけられ、資格情報セットを検索するステップおよびリリースするステップは、プレゼンタに結びつけられる資格情報セットの検索およびリリースを許可するように構成される前記制御サーバ、またはプレゼンタに結びつけられる資格情報セットの検索およびリリースを許可するように構成される前記制御サーバとは別個の前記異なるサーバの何れかにおいて実行される。
【0024】
有効期間は、受入れ側機器通信、および/または提示側機器通信、および/または受入れ側機器通信に含まれる、かつ/または提示側機器通信に含まれる共用キーコードへ割り当てられてもよく、受入れ側機器通信に含まれる共用キーコードと、提示側機器通信に含まれる共用キーコードとのマッチングを求めるステップは、有効期間が経過しているかどうかを確立することをさらに含む。これは、受入れ側機器通信が、後に論じるように所定の時間枠(有効期間)内に提示側機器通信にマッチングされなければ、このような相互作用/通知/通信を失効させ、よって無効にしてさらなるプロセスを冗長とすることを保証する。何れかの有効期間が失効して無効となり、さらなるプロセスが冗長とされる場合、この通信に関するデータはパージされることが可能であって、さらなる通信処理のためのリソースが解放される。任意の通信が、生成され/送信され/受信され、かつこれが有効期間を有する共用キーコードを含む場合、有効期間は、より短い、さほど複雑でない共用キーコードの使用可能性を、これらの属性によりその再使用を実行できるという理由で保証することができる。共用キーコードの有効期間が経過すれば、前記方法の後続反復において同じ共用キーコードが再使用されてもよい。
【0025】
共用キーコードに有効期間が割り当てられる場合、前記共用キーコードは、その有効期間の持続時間に渡って一意であってもよい。
【0026】
受入れ側機器通信は、さらに、1つまたは複数の予め決められた補助パラメータを含んでもよく、かつ提示側機器通信もさらに、前記1つまたは複数の予め決められた補助パラメータを含んでもよく、共用キーコードのマッチングを求めるステップは、さらに、受入れ側機器通信に含まれる予め決められた補助パラメータ、および提示側機器通信に含まれる対応する予め決められた補助パラメータを確証することを求めるステップを含む。
【0027】
本発明のさらなる態様は、サーバにおける、ネットワークエンドポイントへの、プレゼンタに結びつけられる管理された資格情報セットの通信を許可し、一方でプレゼンタに結びつけられる資格情報内に広がる当事者間関係を保全するための方法を含み、許可は、先に述べた本発明の態様の何れかに従って行われ/与えられ、前記方法は、(a)サーバにおいて、受入れ側機器通信を受信することと、(b)サーバにおいて、提示側機器通信を受信することと、(c)サーバにおいて、受入れ側機器通信に含まれる一回限りの共用キーコードと、提示側インタラクタ通信に含まれる、対応する一回限りの共用キーコードとのマッチング(よって、前記受入れ側機器通信と前記提示側機器通信とのマッチング)を求めることと、(d)サーバにおいて、受入れ側機器通信に含まれる秘密キーコードと、提示側機器通信に含まれるプレゼンタ識別子とをリンクさせることにより、ターゲットレコードの探索を開始することと、(e)サーバにおいて、前記秘密キーコードおよび前記プレゼンタ識別子の双方を含むターゲットレコードの探索を実行することと、(f)ターゲットレコードが識別されれば、プレゼンタに結びつけられかつ関連づけられる資格情報セットに関するエントリを識別することと、(g)プレゼンタに結びつけられる資格情報セットが識別されれば、サーバにおいて、プレゼンタに結びつけられる資格情報セットの検索を許可し、かつプレゼンタに結びつけられる前記資格情報セットの前記ネットワークエンドポイントへのリリースを許可することであって、前記エンドポイントは、プレゼンタに結びつけられる資格情報セットの許可された受信者であり、かつ前記エンドポイントは、受入れ側機器、またはこの受入れ側機器へリンクされる指定された第三者の受入れ側機器である、許可することと、を含む。
【0028】
プレゼンタに結びつけられる前記資格情報セットが、管理された資格情報の検索およびリリースを許可するように構成される前記制御サーバ上のレコードに含まれていれば、プレゼンタに結びつけられる資格情報セットを検索するステップ、およびプレゼンタに結びつけられる資格情報セットを通信するステップは、管理された資格情報の検索およびリリースを許可するように構成される前記制御サーバにおいて実行されてもよい。
【0029】
プレゼンタに結びつけられる前記資格情報セットが、管理された資格情報の検索およびリリースを許可するように構成される前記制御サーバから分離されている異なるサーバ上の別個のエントリに含まれていれば、(プレゼンタに結びつけられる資格情報セットに関するエントリを識別するステップは、管理された資格情報の検索およびリリースを許可するように構成される前記制御サーバとは分離された前記異なるサーバにおいて実行されてもよく、)結びつけられる資格情報セットを検索するステップおよび結びつけられる資格情報セットをリリースするステップは、プレゼンタに結びつけられる資格情報セットの検索およびリリースを許可するように構成される制御サーバ、またはプレゼンタに結びつけられる資格情報セットの検索およびリリースを許可するように構成される前記制御サーバとは別個の異なるサーバの何れかにおいて実行されてもよい。
【0030】
共用キーコードのマッチングを求めるステップは、さらに、有効期間が経過しているかどうかを確立することを含んでもよい。
【0031】
共用キーコードのマッチングを求めるステップは、さらに、受入れ側機器通信に含まれる予め決められた補助パラメータと、提示側機器通信に含まれる、対応する予め決められた補助パラメータとのマッチングを求めることを含んでもよい。
【0032】
一回限りの共用キーコードに有効期間が割り当てられる場合、前記共用キーコードは、その有効期間の持続時間に渡って一意であってもよい。
【0033】
本発明の別の態様における方法は、(a)受入れ側機器が、一回限りの共用キーコードを提示側インタラクタが利用できるようにすることと、(b)提示側インタラクタに属するプレゼンタの秘密キーコードを受入れ側機器において受信することであって、前記プレゼンタの秘密キーコードは、端末において提示側インタラクタにより入力される、受信することと、(c)受入れ側機器通信を受入れ側機器からサーバへ通信することであって、受入れ側機器通信は、一回限りの共用キーコードおよびプレゼンタの秘密キーコードを含む、通信することと、(d)提示側機器が一回限りの共用キーコードを受信することと、(e)プレゼンタ機器が、提示側インタラクタに属するプレゼンタ識別子を、提供側の周辺機器または機器上のストレージロケーションから検索することと、(f)提示側周辺機器が、提示側機器通信を制御サーバへ通信することであって、提示側機器通信は、一回限りの共用キーコードおよびプレゼンタ識別子を含む、通信することと、を含む。
【0034】
前記サーバにおけるターゲットレコードは、さらに、プレゼンタに結びつけられる各資格情報セットに関する前記エントリに関連づけられるエイリアスも含んでもよく、かつ提示側機器通信は、さらに、提示側機器において箇条書きにされたエイリアスリストから選択されるエイリアスのコピーを含んでもよく、同じプレゼンタ識別子および秘密キーコードを含むターゲットレコードの探索を実行するステップは、同じプレゼンタ識別子および秘密キーコードに加えて提示側機器通信に含まれるエイリアスも利用して、前記同じエイリアスを含むターゲットレコードを探索する。
【0035】
資格情報セットは、管理された資格情報の検索およびリリースを許可するように構成される前記制御サーバ上の前記ターゲットレコードに包含されてもよく、かつ資格情報セットを検索するステップ、および資格情報セットをリリースするステップは、管理された資格情報の検索およびリリースを許可するように構成される前記制御サーバにおいて実行される。
【0036】
資格情報セットは、管理された資格情報の検索およびリリースを許可するように構成される前記制御サーバとは別個の異なるサーバ上にエントリとして含まれてもよく、別個のエントリは、ターゲットレコードと関係づけられ、かつ資格情報セットを検索するステップおよびリリースするステップは、管理された資格情報の検索およびリリースを許可するように構成される前記制御サーバ、または管理された資格情報の検索およびリリースを許可するように構成される前記制御サーバとは別個の異なるサーバの何れかにおいて実行されてもよい。
【0037】
本発明のさらなる態様は、先に述べた提示側機器によるステップのうちの1つまたはそれ以上を実行するように構成される提示側機器を含む。
【0038】
本発明の別の態様は、先に述べた受入れ側機器によるステップのうちの1つまたはそれ以上を実行するように構成される受入れ側機器を含む。
【0039】
本発明の追加の態様は、先に述べた前記サーバによるステップのうちの1つまたはそれ以上を実行するように構成されるサーバを含む。
【0040】
本発明のさらなる態様は、2つ以上の提示側機器と、2つ以上の受入れ側機器と、先に述べたような実施形態のうちの1つまたはそれ以上を実行するように構成される前記制御サーバとを含むシステムを含む。
【0041】
本発明の追加の態様は、内部に格納されるコンピュータプログラムを保持するコンピュータ読取り可能記憶媒体を含み、前記プログラムは、1つまたは複数の処理モジュールにより実行されると、先に述べた方法ステップのうちの1つまたはそれ以上を実行するように適合化されるコンピュータ実行可能命令を備える。
【図面の簡単な説明】
【0042】
【図1】当事者間関係を、資格情報セットが関連する関係者により承認された受信者への許可された格納資格情報セットのリリースをも促進するようにして保存するための中央システムを示す線図である。
【図1A】当事者間関係を、資格情報セットが関連する関係者により承認された受信者への許可された格納資格情報セットのリリースをも促進するようにして保存するための中央システムを示す線図である。
【図1B】当事者間関係を、資格情報セットが関連する関係者により承認された受信者への許可された格納資格情報セットのリリースをも促進するようにして保存するための中央システムを示す線図である。
【図2】本発明の一実施形態による、新しい潜在的申込者がサーバ101にプレゼンタとして登録する方法を示すフローチャートである。
【図4】本発明の一実施形態による、プレゼンタに結びつけられる少なくとも1つの管理された資格情報セットのリリースを許可し、同時に前記資格情報内に広がる当事者間関係を保全する方法を示すフローチャートである。
【図5A】受入れ側機器において実行されるプロセスを開示するフローチャートである。
【図5B】受入れ側機器において実行されるプロセスを開示するフローチャートである。
【図6A】提示側機器において実行されるプロセスを開示するフローチャートである。
【図6B】提示側機器において実行されるプロセスを開示するフローチャートである。
【図7】プレゼンタに結びつけられる管理された資格情報に関するエントリを表している。
【図7A】制御サーバまたは資格情報サーバ上へレコードを格納する実施形態を表している。
【図7B】制御サーバまたは資格情報サーバ上へレコードを格納する実施形態を表している。
【図7C】制御サーバまたは資格情報サーバ上へレコードを格納する実施形態を表している。
【図7D】制御サーバまたは資格情報サーバ上へレコードを格納する実施形態を表している。
【図7E】制御サーバまたは資格情報サーバ上へレコードを格納する実施形態を表している。
【図8】プレゼンタに結びつけられる管理された資格情報に関するエントリを表している。
【図9A】制御サーバにおける提示側インタラクタ及び受入れ側インタラクタからメッセージを通信するプロセス、および管理された資格情報を許可された宛先へディスパッチするプロセスに関するグラフ表示を開示している。
【図9B】制御サーバにおける提示側インタラクタ及び受入れ側インタラクタからメッセージを通信するプロセス、および管理された資格情報を許可された宛先へディスパッチするプロセスに関するグラフ表示を開示している。
【図10】提示側インタラクタにより識別されるロケーションにおけるストレージ内の資格情報セットを検索し、かつ資格情報セットを提示側インタラクタが許可する受信者のファシリティへリリースするための許可を与え得る、本発明の一実施形態による、サーバと、提示側インタラクタと、提示側機器と、ネットワークエンドポイントと、受入れ側機器とが関与するプロセスを示すシーケンス図である。
【発明を実施するための形態】
【0043】
図1は、当事者間関係を、資格情報セットが関連する関係者により承認された受信者への許可された格納資格情報セットのリリースをも促進するようにして保存するための中央システムを示す線図である。システム100は、資格情報セットの無認可の自称受信者による無認可アクセスから資格情報セットを保護し、かつ資格情報セットが、資格情報セットを自分のものとして詐欺的に提示する者によって使用されないように防止する点において、安全である。システムに登録される当事者を、本発明の方法におけるその役割、および本発明のシステムと相互作用するその方法によって、「プレゼンタ」および「受納者」と呼ぶ。プレゼンタと受納者との相互作用の過程で、プレゼンタは、プレゼンタが関連づけられる資格情報セットをリリースする必要があり得る。このような相互作用にアクティブに関与するプレゼンタおよび受納者を、各々、「提示側インタラクタ」および「受入れ側インタラクタ」と呼ぶ。本発明の多くの実施形態において、プレゼンタは各々、プレゼンタ固有の資格情報セットに関連づけられ、よって、プレゼンタは、資格情報セットに「一対一」方式で関連づけられることが認識されるであろう。しかしながら、本発明は、多くのプレゼンタが1つの資格情報セットに関連づけられ、しかも前記資格情報セットを当事者間関係状態に保全することが望ましい、プレゼンタと資格情報セットとの間に「多対一」関係が存在するシナリオも想定している。
【0044】
本発明の一実施形態によれば、本発明のシステムおよび方法は、このような提示側インタラクタによって、前記提示側インタラクタに関連づけられる資格情報セットを一人または複数の受信者へ、資格情報セットの当事者間関係を保全するようにしてリリースするために使用される。本発明の他の実施形態によれば、本発明のシステムおよび方法は、受入れ側インタラクタによって、受入れ側インタラクタに関連づけられる資格情報セットを一人または複数の受信者へ、前記当事者間関係状態を保存しながらリリースするために使用されてもよい。本発明の他の実施形態は、各々提示側インタラクタおよび受入れ側インタラクタに関連づけられるプレゼンタおよび受納者資格情報セット双方の同時的開示を想定している。プレゼンタおよび受納者の双方は、共働して、システムからこのような資格情報セットのリリースを促進する。指定される受信者は、受入れ側インタラクタであっても、提示側インタラクタであっても、信頼される第三者であってもよい。
【0045】
システム100は、少なくとも1つのサーバ101を備え、サーバは、プレゼンタレコードのコレクション102を備える。各プレゼンタレコードは、前記サーバ101にプレゼンタとして登録している所定の関係者に関連し、かつ前記レコードは各々、そのプレゼンタに関する1つまたは複数の資格情報セットを含む。より具体的には、各プレゼンタレコードは、プレゼンタ識別子と、プレゼンタの秘密キーコードと、前記プレゼンタに関連づけられる少なくとも1つの資格情報セットと、少なくとも1つのエイリアスとを含み、各資格情報セットは、各々1つのエイリアスと結びつけられ、これにより、プレゼンタレコード内の各エイリアスは、そのプレゼンタレコードの残りのエイリアスとは区別可能である。プレゼンタ識別子は、プレゼンタレコード・コレクションの所定のプレゼンタレコードを識別するために使用される一意の文字列である。プレゼンタの秘密キーコードは、プレゼンタのみが知る文字列である。プレゼンタが、プレゼンタの資格情報セットを指定受信者へリリースする目的でシステムと相互作用する場合(このようなプレゼンタを「提示側インタラクタ」と称する)、プレゼンタは、そのプレゼンタ識別子を提供し、かつそのプレゼンタ秘密キーコードは、次に、何れかの資格情報セットがリリースされる前に、提示側インタラクタを認証するために利用されることが可能である。プレゼンタ識別子およびプレゼンタ秘密キーコードに加えて、各プレゼンタレコードは、少なくとも1つの資格情報セットを含む。先に述べたように、各資格情報セットは、一個人に固有でありかつ所定の相互作用に必要な個人データセットを含む。各資格情報セットは、区別可能なエイリアスにも関連づけられる。例示として、「ジョン・ブラウン」という名の個人は、運転免許証に関する第1の資格情報セットと、店のポイントカードに関する第2の資格情報セットとを有してもよい。第1の資格情報セットは、「ジョン・ブラウン」という氏名、生年月日、運転免許証番号および有効期限日を含んでもよい。第2の資格情報セットは、「ジョン・ブラウン」という氏名、住所およびロイヤルティクラブ会員番号を含んでもよい。第1の資格情報セットは、「運転免許証」というエイリアスに関連づけられてもよいのに対して、第2の資格情報セットは、「ポイントカード1」というエイリアスに関連づけられてもよい。各プレゼンタレコードが唯一の資格情報セットを含むことが想定される、本発明の実施形態では、プレゼンタレコードが、各資格情報セットに結びつけられるエイリアスをさらに含む必要のないことは認識されるであろう。どちらかといえば、このような例では、相互作用するプレゼンタに関するレコードの識別によって、リリースされるべき資格情報セットも自動的に示される。
【0046】
さらに、本発明の一部の実施形態において、サーバ101は、別々の受納者レコードのコレクションも含む。各受納者レコードは、サーバに受納者として登録している個人または組織に関連し、かつこの受納者に関連づけられる1つまたは複数の資格情報セットを含む。各受納者レコードは、さらに、受納者識別子と、随意により、受納者の秘密キーコードとを含む。受納者識別子は、受納者レコードコレクション内の所定の受納者レコードを識別するために使用される一意の文字列である。受納者の秘密キーコード(該当する場合)は、受納者のみが知る文字列である。受納者が、提示側インタラクタに関連づけられるプレゼンタの資格情報セットのリリースを促進する目的でシステムと相互作用する場合(このような受納者を「受入れ側インタラクタ」と称する)、受入れ側インタラクタの受納者識別子が提供され、かつ受入れ側インタラクタの受納者秘密キーコード(利用される場合)は、次に、何れかの資格情報セットが開示される前に、受入れ側インタラクタを認証するために使用されることが可能である。
【0047】
本発明のこの記述している実施形態では、プレゼンタレコードおよび受納者レコードは区別的なものであって、典型的には別個のレコードコレクションとして保全されるが、本発明の他の実施形態では、サーバ101がプレゼンタレコードおよび受納者レコードの双方を含む1つのレコードコレクションを備えてもよいことは認識されるであろう。さらに、ある実施形態では、受納者および/またはプレゼンタの資格情報セットが1つのサーバに記憶されるが、複数のサーバも想定されていて、各サーバが、1つまたは複数の資格情報セットタイプを含むレコードの記憶を任されることも認識されるであろう。
【0048】
さらに、本発明の一部の実施形態では、サーバ101がプレゼンタレコードを含むのみで、受納者レコードを含まないことも想定されている。好ましくは、このような実施形態において、サーバ101および潜在的な受入れ側インタラクタは、各々の既存のソフトウェアシステムを介して互いに通信することができる。本発明のこの実施形態は、受納者の事前登録が不要であって、これにより、潜在的な受入れ側インタラクタ間にクレームしているシステムおよび方法を取り込むための障害がなくなる、という理由で効果的である。したがって、これは、システムおよび方法の使い易さを向上させる。
【0049】
サーバ101は、1つまたは複数の機器108と通信チャネル上で通信可能である。通信チャネル106がインターネット、専用ネットワークまたはこれらの組合せを含み得ることは、認識されるであろう。機器108は、バラバラに位置決めされてもよく、かつ通信チャネル106へ、PSTN、イーサネット(登録商標)、DSL、ISDN、Wi−Fi、WiMax、2G、3G、LTE、4G、他等の様々な技術のうちの1つまたはそれ以上によって接続してもよい。機器108は、デスクトップ・パーソナル・コンピュータ、ラップトップ、タブレット・パーソナル・コンピュータ、パーソナル・デジタル・アシスタント、携帯電話、スマートフォン、他を含む様々なデバイスのうちの何れであってもよい。あるいは、機器108は、銀行業、金融、航空業、旅行、国土安全保障、国境管理、エネルギー、輸送、小売業および/または電気通信業を含む様々な産業において使用されるような特注コンピューティングシステムを含んでもよい。したがって、機器は、販売時点管理デバイスとして作用するように構成されるデバイスを含んでもよい。本発明のコンテキストでは、これらの機器を「受入れ側機器」と称する。
【0050】
サーバ101は、通信チャネル107上で1つまたは複数の機器109とも通信可能である。このような機器には、例えば、無線基地局またはルータを介してサーバ101と通信できる無線デバイスが含まれてもよい。無線デバイスには、ラップトップ、タブレット・パーソナル・コンピュータ、パーソナル・デジタル・アシスタント、携帯電話、スマートフォン、他を含むあらゆる形式の無線デバイスが含まれてもよい。このような周辺デバイスには、さらに、有線接続を介して通信チャネル104上で通信可能なデバイスが含まれてもよく、よって、例えば、デスクトップコンピュータ、ならびに販売時点管理システムを含む、但しこれに限定されない前述の産業固有の特注コンピューティングシステムが含まれてもよい。本発明のコンテキストでは、これらの周辺デバイスを「提示側周辺機器」と称する。ある実施形態において、提示側周辺機器は、パスワードで保護される場合もあり、または通信開始にプレゼンタからの追加的許可を必要とする場合もある。提示側周辺機器は、バラバラに位置決めされてもよく、PSTN、イーサネット(登録商標)、DSLおよびISDN等の様々な手段を介して通信チャネル107上でサーバ101と通信してもよい。無線デバイスを含む提示側周辺機器は、Wi−Fi、WiMax、2G、3G、LTE、4G、他等の様々な無線通信技術のうちの1つまたはそれ以上によってルータ103と通信してもよい。通信チャネル107は、インターネット、専用ネットワークまたはこれらの組合せを含んでもよい。提示側周辺機器は、サーバ101との通信を促進するアプリケーションによって構成される。受入れ側機器109とサーバ101との間の接続が第1の通信チャネル106を含み、かつ提示側機器間の接続が第2の通信チャネル107を含むことから、システム100の組成は、「マルチチャネル」であるとされてもよい。これは、資格情報セットおよび他の機密データを、当事者間関係状態に保ちながらネットワークエンドポイント110へ記憶しかつリリースし得る、より安全な機構を保証する。実施形態によっては、ネットワークエンドポイント110は、受入れ側機器通信における指定の宛先に依存して、別個の機器または受入れ側機器自体の何れであってもよい。
【0051】
この実施形態では、資格情報セットおよび関連エイリアスが、サーバ上のプレゼンタおよび/または受納者レコードに包含されると記述されているが、本発明の他の実施形態では、前記資格情報セットおよび関連エイリアスは、代替方法で前記プレゼンタおよび/または受納者レコードと関係づけられ得ることが予想されている。例えば、資格情報セットおよび関連エイリアスは、識別子および秘密鍵を含むレコードを備える、サーバ上のレコードセットとは別個の1つまたは複数のレコードセット内に含まれてもよい。これらの別個のレコードセットは、1つまたは複数の異なるサーバ上に収容されてもよい。本発明の一部の実施形態において、資格情報セットを収容する異なるサーバは、前記資格情報セットを含む証書の発行を担当するコントローラによって管理される。
【0052】
図2は、本発明の一実施形態による、新しい潜在的申込者がサーバ101にプレゼンタとして登録する方法を示すフローチャートである。ステップ200では、サーバ101によりホストされるウェブページが、新規プレゼンタ申込者により、好ましくはその提示側周辺機器105、107および109を用いてアクセスされる。ウェブページは、このステップにおいて、新規プレゼンタ申込者が、氏名、住所、メールアドレス、居住国、他等の一般的な登録詳細事項を提供し、かつこれらをサーバ101へ提出するように構成される。本発明の一部の実施形態では、登録詳細事項がサーバ101へ直に提供されるが、他の実施形態では、登録詳細事項が、サーバ101における詳細事項のエントリに先行して前処理を行うために予め間接的に提供され得ることは認識されるであろう。ウェブページは、コネクション上でこの手順の持続時間に渡ってアクセスされてもよく、あるいは、機密情報(資格情報セット、またはプレゼンタの秘密キーコード等の追加データ等)が送信される場合にのみ、単にセキュアコネクションが使用されてもよい。また、完成した書式をメール、ファックス、他で提出すること等による、代替的な登録手段が可能であることも認識されるであろう。
【0053】
次に、ステップ202では、サーバ101上にプレゼンタ申込者の新しいアカウントが生成される。これは、プレゼンタレコードのコレクション内に新しいプレゼンタレコードを生成することによって行われる。ステップ200またはステップ202の何れかでは、新規プレゼンタ申込者が新しいプレゼンタ秘密キーコードを選択して入力するようにプロンプトされ、次に、これが新規プレゼンタ申込者のプレゼンタレコードへ追加される。本発明の代替実施形態では、新しいプレゼンタレコードに一時的なプレゼンタ秘密キーコードが自動的に提供されてもよく、続いてこれが、プレゼンタ申込者によって後にカスタムプレゼンタ秘密キーコードに更新されてもよい。このような一時的秘密キーコードは、ウェブページによって、または好ましくは、電子メール、SMSメッセージ、電話呼またはポストを含む何れかの形式の通信が含まれ得る第2の通信チャネルによって提供されてもよい。本発明の一部の実施形態では、例えば原秘密キーコードが忘れられたり漏洩したりした場合に、置換秘密キーコードを提供するための追加範囲が存在する。このような置換秘密キーコードも同様に、ウェブサイト、電子メール、SMS、電話呼またはポストによることを含む、何れかの通信形式を介して提供されてもよい。
【0054】
ステップ204において、新規プレゼンタ申込者は、新規プレゼンタ申込者の新たに作成されたアカウントへ資格情報セットを追加するようにプロンプトされる。先に述べたように、これらの資格情報セットは、様々な個人データを含んでもよく、様々な異なる行政または民間監視団体により発行される資格情報セット記載証書に付随するものであってもよい。各資格情報セットは、その親プレゼンタレコード固有のエイリアスに結びつけられる(即ち、各エイリアスは、「ローカルで一意」である)。ある実施形態では、新規プレゼンタ申込者は、ステップ206において、提供される資格情報セット毎にローカルで一意なエイリアスを提供するようにプロンプトされてもよい。代替実施形態では、資格情報セット毎にデフォルトのエイリアスが提供されてもよい。ある実施形態において、エイリアスは、続いてプレゼンタにより編集可能であってもよい。本発明の一部の実施形態において、プレゼンタレコードは、登録後に、既存の資格情報セットおよび関連エイリアスが編集または削除され得る程度まで、かつ/または新しい資格情報セットおよび関連エイリアスが追加され得る程度まで編集可能であってもよい。本発明の一部の実施形態において、提示側インタラクタレコードは、登録後に、既存の資格情報セットおよび関連エイリアスが編集または削除され得る程度まで、または新しい資格情報セットおよび関連エイリアスが追加され得る程度まで編集可能であってもよい。
【0055】
ステップ206において、新規プレゼンタ申込者は、特定の行政または民間監視団体に関連づけられる資格情報セットの処理および使用、およびこれらに付随する相互作用タイプに関連づけられる固有の選好を設定する機会を与えられる。例として、航空ロイヤルティ会員に関する資格情報セットに関して言えば、プレゼンタは、その会員選好に従って、好みの機内食、座席参照または地方空港等の追加的選好を設定するオプションを与えられてもよい。さらなる例として、クレジットカードに関する資格情報セットに関して言えば、プレゼンタは、カード選好利用、直接通貨換算、旅行者のための付加価値税還付または複数のカードに渡る分割払い等の機能を有効化するオプションを与えられてもよい。
【0056】
次に、ステップ208において、新規プレゼンタ申込者は、その提示側周辺機器上へ特注アプリケーションをインストールするようにプロンプトされる。特注アプリケーションは、後により詳しく述べるように、サーバが資格情報セットをリリースすることを許可するプロセスの間の必要に応じたサーバとの通信、およびこのような通信される許可の認証プロセスを促進するように構成される。特注アプリケーションをインストールする過程で、アプリケーションは、提示側周辺機器上に保持される一意のプレゼンタ識別子に関連づけられる。ある好適な実施形態において、プレゼンタ識別子は、サーバによって割り当てられ、アプリケーションが提示側周辺機器上へインストールされる前、最中または後に、アプリケーション内に埋め込まれる。あるいは、プレゼンタ識別子は、提示側周辺機器にもともと備わっている文字列、例えばIMEI番号またはシリアル番号、から導出されてもよい。この文字列は、一意のプレゼンタ識別子に達するように修正されてもよい。提示側周辺機器上での保持に加えて、プレゼンタ識別子は、サーバ101上のプレゼンタレコード・コレクションにおけるプレゼンタレコードへも追加される。特注アプリケーションをインストールする過程で、アプリケーションには、ステップ204で格納される所定のプレゼンタの資格情報セットに結びつけられるエイリアスも提供される。したがって、アプリケーションが新規プレゼンタによって相互作用に使用される場合、これは、プレゼンタ識別子およびエイリアスが適宜サーバ101へ通信され得るように、プレゼンタ識別子、および新規プレゼンタの資格情報セットに結びつけられるエイリアスの双方を自由に使える。
【0057】
ある好適な実施形態において、汎用バージョンのアプリケーションは、新規プレゼンタ申込者の提示側周辺機器上へ初めにインストールされてもよい。ステップ200−ステップ208に記述されているプロセスに続いて、新規プレゼンタ申込者は、電子メールに応答することにより、かつ/またはサーバからのプロンプトに応答してそのプレゼンタ秘密キーコードを追認することにより、そのアカウントを認証するようにプロンプトされてもよい。この認証に続いて、新規プレゼンタ申込者の提示側周辺機器上の汎用バージョンのアプリケーションは、新規プレゼンタ申込者のプレゼンタ識別子、新規プレゼンタ申込者の資格情報セットに結びつけられるエイリアス、およびステップ206において設定される新規プレゼンタ申込者の選好によってカスタマイズされてもよい。このデータは、新規プレゼンタ申込者の提示側周辺機器上へ暗号フォーマットで格納されてもよい。図3は、図2に類似するフローチャートであって、本発明の一実施形態による、ある当事者がサーバ’101に受納者として登録し得るステップを描いている。先に指摘したように、本発明は、受納者がアクティブにサーバに登録しなければならない実施形態、ならびに、受納者がサーバに登録する必要がない実施形態を想定している。さらに、本発明の他の実施形態では、後により詳しく述べるように、受納者の登録は、「パッシブに」行われてもよい。ステップ300において、サーバ101によりホストされるウェブページは、当事者(以後、「新規受納者申込者」と称する)により、好ましくは受入れ側機器111を用いてアクセスされる。図2のステップ200と同様にして、ウェブページは、このステップにおいて新規受納者申込者が、個人または組織の名称、住所、メールアドレス、他等の一般的な登録詳細事項を提供し、かつこれらをサーバ101へ提出するように構成される。ウェブページは、セキュアコネクション上でこの手順の持続時間に渡ってアクセスされてもよく、あるいは、機密情報(受納者の秘密キーコードまたは受納者の資格情報セット等)が送信される場合にのみ、単にセキュアコネクションが使用されてもよい。さらに、新規受納者申込者の登録が、メールまたはファックス等の他の手段によって行われてもよいことは、認識されるであろう。あるいは、受納者が、リンクされた第三者(例えば、アクワイアラによりカード支払い販売時点管理デバイスを管理するために使用される端末管理システム等)によって遠隔制御される受入れ側機器を操作すれば、受納者の登録は、このリンクされた第三者によって開始されてもよい。このようなシナリオにおいて、受納者自身は、一切の情報を提供する必要がない場合がある。
【0058】
ステップ302では、受納者レコードコレクション内に新しい受納者申込者レコードを生成することにより、サーバ101上に新しいアカウントが作成される。
【0059】
プレゼンタ資格情報セットの開示を手配するためには、下記で詳述するように、許可が与えられなければならない。本発明の一実施形態において、受納者から発するプレゼンタ資格情報セットのリリースに対する許可は何れも、受納者が識別されることを要求し、よって、プレゼンタ資格情報セットのリリースに対する許可は何れも、受納者資格情報セットの初期提供を要求してもよい。したがって、プレゼンタレコードの場合と全く同様に、受納者レコードにおいても、受納者が加わろうと希望する相互作用タイプ毎に別個の受納者資格情報セットが必要とされることが想定される。相互作用タイプは、広義に定義されてもよく、例えば、運転免許証のリリースと、支払いカード証書のリリースとは、異なる相互作用タイプと考えられてもよい。あるいは、相互作用タイプは、狭義に定義されてもよく、例えば、異なる支払いカード証書(例えば、マスターカード、ビザデビット)は、異なる相互作用タイプと考えられてもよい。したがって、実施形態によっては、例えば、受納者資格情報セットは、概して全ての支払いカードに適用されてもよいが、他の実施形態では、受納者は、受納者が扱う異なる支払いカードタイプ毎に異なる資格情報セットを有してもよい。
【0060】
ステップ306において、新規受納者申込者は、特定の相互作用タイプに関連づけられる資格情報セットの処理および使用に関連する固有の選好を設定する機会を与えられる。例として、クレジットカードに関する資格情報セットについて言えば、新規受納者申込者は、受納者資格情報セットがリリースされると、資格情報セットに関連づけられる、直接通貨換算、旅行者のための付加価値税還付または複数のカードに渡る分割払い等のダウンストリーム機能の提供を希望するかどうかを示すオプションを与えられてもよい。
【0061】
次に、ステップ308において、受入れ側機器は、サーバと通信し得るように構成される。これは、様々な方法で行われてもよい。受入れ側機器が第三者によって遠隔制御される本発明の実施形態では、必要に応じて、第三者が受入れ側機器の自動再構成を開始してもよい。本発明の他の実施形態では、新規受納者申込者が、図2に記述されているものに類似する方法で、特注アプリケーションのインストールを介して再構成を開始してもよい。
【0062】
図4は、本発明の一実施形態による、プレゼンタに結びつけられる少なくとも1つの管理された資格情報セットのリリースを許可し、同時に前記資格情報内に広がる当事者間関係を保全する方法を示すフローチャートである。制御サーバは、秘密キーコードおよび一回限りの共用キーコードを含む受入れ側機器通信と、プレゼンタ識別子および一回限りの共用キーコードを含む提示側機器通信とを受信する。ステップ403では、通信メッセージが比較される。マッチングが成功しなければ、方法が終了され、相互作用命令は完了されない。共用キーコードがマッチングすれば、ステップ404において、秘密キーコードとプレゼンタ識別子とをリンクすることにより、サーバ上のターゲットレコードの探索が開始される。受入れ側機器通信および提示側機器通信に含まれるものと同じプレゼンタ識別子および秘密キーコードを含むあらゆるターゲットレコードに関する探索。ターゲットレコードが発見されれば、レコード内に存在するストレージロケーションにおける関連の資格情報セットが検索され、ネットワークエンドポイントである指定された宛先へのリリースが許可される。
【0063】
図5Aおよび図5Bは、受入れ側機器において実行されるプロセスを開示している。一回限りの共用キーコードは、受入れ側機器によって生成され、提示側機器へ伝達される。受入れ側機器は、さらに、プレゼンタ秘密キーコードを受信し、かつ、図1において101で描かれているような制御サーバへ送信されるべき通信を生成する。前記通信は、プレゼンタ秘密キーコードおよび一回限りの共用キーコードで構成される。
【0064】
図6Aおよび図6Bは、提示側機器において実行されるプロセスを開示している。プレゼンタ識別子は、メモリから検索される。受入れ側機器から一回限りの共用キーコードを受信すると、プレゼンタ識別子および一回限りの共用キーコードで構成される通信が制御サーバ101へ送信される。図7および図8は、プレゼンタに結びつけられる管理された資格情報に関するエントリを表している。各エントリは、プレゼンタ識別子および秘密キーコードに関連づけられている。図7Aから図7Eまでは、制御サーバまたは資格情報サーバ101上へレコードを格納する様々な実施形態を表している。一部の実施形態において、提示側インタラクタのレコードは、マスクされ、図7Aおよび図7Cに記述されているようなルックアップリストを用いて位置決めされてもよい。各プレゼンタ・インタラクタ・レコードが1つのエイリアスに関連づけられる、別の実施形態が存在する場合もある。
【0065】
図9Aおよび図9Bは、制御サーバにおける提示側インタラクタおよび受入れ側インタラクタからメッセージを通信するプロセス、および管理された資格情報を許可された宛先へディスパッチするプロセスに関するグラフ表示を開示している。図10は、提示側インタラクタ1002により識別されるロケーションにおけるストレージ内の資格情報セットを検索し、かつ資格情報セットを提示側インタラクタ1002が許可する受信者のファシリティへリリースするための許可を与え得る、本発明の一実施形態による、サーバ1001と、提示側インタラクタ1002と、提示側機器1003と、ネットワークエンドポイント1004と、受入れ側機器1005とが関与するプロセスを示すシーケンス図である。プレゼンタの資格情報セットを検索しかつリリースする許可を与えることは、同時に受納者の資格情報セットを検索する要求も伴ってもよく、受入れ側機器1005および提示側機器1003は、依然としてサーバ1001へ各々の通信を提出することは認識されるであろう。さらに、本発明の一部の実施形態では、資格情報セットをリリースする許可が、具体的には、(提示側インタラクタ1002に関連づけられる)プレゼンタの資格情報セットをネットワークエンドポイント1004または受入れ側機器1005へリリースする許可となることも認識されるであろう。しかしながら、本発明の他の実施形態において、許可は、受納者またはプレゼンタの資格情報セットを、ネットワークエンドポイント1004または受入れ側機器1005へリンクされる信用のある第三者のそれと共用するためのものになる。例えば、支払いカード証書に関するプレゼンタの資格情報セットを共有するための許可が提出される場合、支払いカード資格情報セットが信用のある第三者のトランザクションプロセッサへ送信されることが意図されているかもしれない。
【0066】
図10において、提示側機器通信を生成してサーバ1001へ送信するように構成される提示側機器1003を保有する提示側インタラクタ1002は、ネットワークエンドポイント1004および/または受入れ側機器1005を備える受入れ側インタラクタにおいて動作するファシリティを識別し(ネットワークエンドポイント1004は、受入れ側機器1005であり、またはネットワークエンドポイント1004は、受入れ側機器1005へリンクされる)、これにより、受入れ側機器は、受入れ側機器通信を生成してサーバ1001へ送信するように構成される。提示側インタラクタ1002は、このようなファシリティにおいて、提示側インタラクタ1002に結びつけられる資格情報セットの読取り値がネットワークエンドポイント1004または受入れ側機器1005へリリースされることを許可するという意図で相互作用することを決定してもよい。また、受入れ側インタラクタは、このようなファシリティにおいて、ネットワークエンドポイント1004または受入れ側機器1005において提示側インタラクタ1002に結びつけられる資格情報セットを受信すると、受入れ側インタラクタに結びつけられる資格情報セットの読取り値がネットワークエンドポイント1004または受入れ側機器1005へ戻されることを要求するという意図で相互作用することも決定してもよい。より具体的には、本発明のこの好適な実施形態では、提示側インタラクタ1002に結びつけられる資格情報内に広がる当事者間関係状態が保存され、よって、提示側インタラクタ1002に結びつけられる資格情報セットの読取り値は、受入れ側インタラクタには見えず、または受入れ側インタラクタによってアクセスされ得ず、また提示側機器1003との間で通信もされず、単にネットワークエンドポイント1004または受入れ側機器1005へ機密的に通信される。
【0067】
図10では、1010に先行するイベントにおいて、ネットワークエンドポイント1004または受入れ側機器1005で提示側インタラクタ1002へ、提示側インタラクタ1002が本発明で考案される前記方法をネットワークエンドポイント1004または受入れ側機器1005において使用可能であることを示す信号が伝達され、これにより、ネットワークエンドポイント1004にこのような受入れ側機器1005が装備され、かつこのような受入れ側機器1005は、サーバ1001と通信するように構成される。実際には、本発明において考案される前記方法は、ネットワークエンドポイント1004において提示側インタラクタ1002から資格情報を得るために利用可能な方法のうちの1つである。
【0068】
図10では、1011に先行するイベントにおいて、提示側インタラクタ1002は、受入れ側インタラクタで動作されるファシリティにおいて、本発明により考案される方法プロセスに従って、提示側機器通信を生成してこのようなサーバ1001へ送信するように構成される提示側機器1003を利用し、かつ受入れ側機器通信を生成してこのようなサーバ1001へ送信するように構成される受入れ側機器1005を利用することにより、相互作用を開始することを決定する。実際には、提示側インタラクタ1002は、受入れ側インタラクタのファシリティにおいて、本発明により考案される方法プロセスに従って相互作用を開始することを選択し、受入れ側インタラクタで動作されるファシリティにおいて、提示側インタラクタ1002から資格情報を入手するためにネットワークエンドポイント1004において利用可能な先行技術による他の任意のプロセスに従って相互作用を開始することを控える。
【0069】
ステージ1012では、サーバ1001との受入れ側機器通信を促進するように構成される受入れ側機器1005を起動することにより、相互作用が開始される。1012における起動と同時に、受入れ側機器1005において一回限りの共用キーコードが生成される。1012の一実施形態において、共用キーコードは、サーバ1001によって生成されて受入れ側機器1005へ送信される。2012の別の実施形態において、共用キーコードは、受入れ側機器1005で生成される。
【0070】
ステージ1013では、サーバ1001との提示側機器通信を促進する提示側機器1003を起動することにより、相互作用が開始される。1013における起動と同時に、提示側機器1003上のストレージロケーションからプレゼンタ識別子が検索される。1013における一実施形態では、提示側機器1003上の何らかのストレージロケーションから、プレゼンタ識別子に関する提示側インタラクタ1002に結びつけられる資格情報に関連するエイリアスのリストも検索される。1012のこのような実施形態において、提示側インタラクタに結びつけられる資格情報に関連するこのようなエイリアスのリストは、プレゼンタ識別子1002による選択のために提示側周辺機器1003上に箇条書きにされる。
【0071】
ステージ1014では、受入れ側機器1005において、共用キーコードが提示側インタラクタ1002および提示側機器1003によって利用できるようにされる。1014の一実施形態において、これは、受入れ側機器1005において人が見て読み取れるものにされる。1014の別の実施形態において、これは、受入れ側機器1005において機械可読にされる。
【0072】
ステージ1015では、提示側機器1003において適宜共用キーコードが取得される。1015の一実施形態において、これは、受入れ側機器1005でこれを読み取り、かつこれを提示側機器1003へ入力することによって取得される。1015の別の実施形態では、これは、受入れ側機器1005でこれを走査し、かつこれを提示側機器1003上へ捕捉することによって取得される。ある実施形態では、受入れ側機器1005は、ステージ1014において一回限りの共用キーコードを提示側機器1003へ直に送信するが、別の実施形態では、受入れ側機器1005は、ステージ1014において提示側インタラクタ1002が共用キーコードを利用できるようにし、提示側インタラクタ1002は、ステージ1016においてこれを提示側機器1003へ入力する。本発明の一部の実施形態では、共用キーコードに有効期間が割り当てられてもよい。これは、受信された受入れ側機器通信および受信された提示側機器通信が、所定の時間枠(有効期間)内で(後にさらに論じるように)一回限りの共用キーコードのマッチングを求めることによって、所定の時間枠内に確証されなければ、相互作用が失効して無効となり、さらなるプロセスが冗長とされ得ることを保証する。したがって、共用キーコードの有効期間が経過すれば、前記方法の後続反復において同じ共用キーコードが再使用されてもよい。したがって、有効期間は、より短い、さほど複雑でない秘密鍵の使用可能性を、これらの属性により共用キーコードの再使用を実行できるという理由で保証することができる。これは、提示側インタラクタが共用キーコードを提示側周辺機器へ入力する必要がある本発明の実施形態では、複雑さが低減されたキーコードにより本方法のこの実施形態がさらに扱いやすくなることに起因して効果的である。
【0073】
実施形態によっては、提示側機器は、前記提示側インタラクタに結びつけられる異なるプレゼンタ資格情報セットに関するエイリアスのリストも表示してもよい。提示側インタラクタは、次に、提示側インタラクタに結びつけられる望ましい資格情報セットに関連づけられるエイリアスを選択する。
【0074】
ステージ1016において、受入れ側機器は、プレゼンタの秘密キーコードを受入れ側機器1005上に入力するように提示側インタラクタ1002をプロンプトすることにより、提示側インタラクタの秘密キーコードを取得することを求める。ある実施形態において、受入れ側機器1005は、さらに、相互作用をさらに相関しかつ受入れ側機器通信および提示側機器通信を確証するために、ステージ1012において既定の補助パラメータを提示側インタラクタ1002へ表示してもよい。
【0075】
1017では、受入れ側機器1005によって秘密キーコードが取得される。ある実施形態において、提示側インタラクタ1002は、キーパッドを用いて受入れ側機器1005上へ秘密キーコードを入力する。別の実施形態では、プレゼンタインタラクタ1002は、デバイスを用いて受入れ側機器1005へ秘密キーコードを伝達してもよい。
【0076】
次に、ステージ1019において、受入れ側機器1005は、サーバ1001へ受入れ側機器通信を送信し、提示側インタラクタ1003に結びつけられる特定の資格情報セットを提示側インタラクタ1002により許可される受信者のファシリティへリリースすることを許可する。受入れ側機器通信は、1017で取得されるプレゼンタの秘密キーコード、および1012で生成される一回限りの共用キーコードを含む。受入れ側機器通信は、1012に続いて検索されている場合の受入れ側インタラクタ、および1012に続いて捕捉されている場合の任意の既定補助パラメータに関する識別子も含んでもよい。
【0077】
ステージ1018において、提示側機器1003は、サーバ1001へ提示側機器通信を送信し、提示側インタラクタ1002により識別されるロケーションにおけるストレージでの提示側インタラクタ1002に結びつけられる特定の資格情報セットの検索を可能にする。提示側機器通信は、1013において検索されるプレゼンタ識別子、および1015において取得される一回限りの共用キーコードを含む。提示側機器通信は、1013で箇条書きにされて1016で選択されている場合の選択された資格情報セットに関連づけられるエイリアスも含んでもよく、1016に続いて捕捉されている場合の任意の既定の補助パラメータも含んでもよい。
【0078】
1020において、サーバ1001は、受入れ側機器通信に含まれる一回限りの共用キーコードと、提示側機器通信に含まれる一回限りの共用キーコードとのマッチングを求めることにより、受信される受入れ側機器通信と受信される提示側機器通信とのマッチングを求める。1020の一部の実施形態において、受入れ側機器通信および/または提示側機器通信は、有効期間を割り当てられてもよい。受入れ側機器通信および提示側機器通信が指定された有効期間内にマッチングされなければ、相互作用は失効して無効と見なされ、さらなるプロセスが冗長とされる。相互作用が失効して無効となり、さらなるプロセスが冗長とされる場合、この相互作用(即ち、インタラクタ通信)に関するデータはシステムからパージされることが可能であって、受信されるさらなる許可を処理するためのリソースが解放される。1020の他の実施形態では、1019における受入れ側機器通信および1018における提示側機器通信に、値または既定の補助パラメータが含まれていてもよい。含まれていたとすれば、値は、共用キーコードに加えて、1020において受入れ側機器通信および提示側機器通信のマッチングを求めるための既定の補助パラメータとして使用される。
【0079】
ステージ1021では、1020においてマッチングが発見されている場合、サーバ1001は、提示側機器通信に含まれる提示側識別子と、受入れ側機器通信に含まれる秘密キーコードとをリンクすることによって探索を開始し、提示側機器通信に含まれる共用キーコードは、1020による受入れ側機器通信に含まれる共用キーコードと同じである。したがって、1020においてマッチングが発見されなければ、方法は1021に進まず、サーバ1001は、適宜、受入れ側機器1005または提示側機器1003へメッセージを返してもよい。
【0080】
ステージ1022において、サーバ1001は、そのプレゼンタレコードのコレクション内部で、マッチングした提示側機器通信に含まれるプレゼンタ識別子と、マッチングした受入れ側機器通信に含まれる秘密キーコードとを含むターゲットレコードの探索を実行する。1022の一実施形態では、プレゼンタ識別子に関連づけられるエイリアスが1018に従って提示側機器通信に含まれている場合、このエイリアスも、プレゼンタ識別子および提示側インタラクタ1002の秘密キーコードに加えて、このエイリアスを含むターゲットレコードを確かめるために使用される。
【0081】
ステージ1023では、1022においてプレゼンタ識別子およびプレゼンタの秘密キーコードを含むレコードが位置決めされている場合、1022において位置決めされたターゲットレコードと関係づけられるエントリを識別することによって探索が続けられ、エントリは、提示側インタラクタ1002に結びつけられる資格情報セットに関連する。(ある実施形態において、関連の資格情報セットは、ステップ1022で提示側インタラクタにより選択されるエイリアスに結びつけられる資格情報セットであってもよい。)ある実施形態において、識別されるエントリは、提示側インタラクタ1002に結びつけられる資格情報を含む読取り値を含む。別の実施形態において、識別されるエントリは、提示側インタラクタ1002に結びつけられる資格情報を位置決めするポインタを含む。ステップ1022において、プレゼンタ識別子およびプレゼンタの秘密キーコードを含むレコードが位置決めされない場合、プロセスは1023に進まず、サーバ1001は、適宜、受入れ側機器1005および/または提示側機器1003へメッセージを返してもよい。
【0082】
1024では、1023において識別されるロケーションのストレージにおける、提示側インタラクタ1002に結びつけられる資格情報の読取り値の検索を許可し、かつ提示側インタラクタに結びつけられる資格情報の読取り値の、提示側インタラクタ1002により許可される受信者のファシリティへのリリースを許可することによって、探索が完了される。
【0083】
ステージ1025では、提示側インタラクタ1002により指示されるロケーションのストレージから読取り値が検索される。ある実施形態では、1025において、考案方法を1020から1024までにおいて実行するように構成される制御サーバで読取り値が格納され、かつ検索される。別の実施形態では、1025において、考案方法を1020から1024までにおいて実行するように構成される制御サーバとは異なる別のサーバで読取り値が格納され、かつ検索される。
【0084】
ステージ1026では、資格情報の読取り値が、提示側インタラクタ1002により許可される受信者のファシリティへリリースされる。1026の一実施形態では、読取り値がネットワークエンドポイント1004へリリースされかつディスパッチされる。1026の別の実施形態では、読取り値が受入れ側機器1005へリリースされかつディスパッチされる。
【0085】
図10では、1027および1028における後続イベントとして、サーバ1001により、提示側インタラクタ1002の提示側機器1003へメッセージが返されて、読取り値が識別された通りに検索され、かつ提示側インタラクタ1002により許可された通りにリリースされているかどうかが示され、このような補足的実施形態において、読取り値は、1020から1024までの間に発生するイベントの状態をリストするサーバ1001で保持され、提示側機器1003において提示側インタラクタ1002へレビュー可能である。
【0086】
図面を参照して説明した本発明の実施形態は、コンピュータ装置および/またはコンピュータ装置において実行されるプロセスを含む。しかしながら、本発明は、コンピュータプログラム、具体的には、本発明を実行させるように適合化されるキャリア上またはキャリア内に格納されるコンピュータプログラムにまで及ぶ。プログラムは、ソースコード、オブジェクトコード、または部分的にコンパイルされた形式等のコード中間ソースおよびオブジェクトコードの形式、または本発明による方法の実装における使用に適する他のあらゆる形式であってもよい。キャリアには、例えばCD ROMであるROM等の記憶媒体、または例えばフロッピーディスクまたはハードディスクである磁気記録媒体が含まれてもよい。キャリアは、電気または光ケーブルを介して、あるいは無線または他の手段によって伝送され得る電気的または光学的信号であってもよい。
【0087】
本発明に関して本明細書で使用している「備える」という単語、および「有する/含む」という単語は、記載された特徴、完全体、ステップまたはコンポーネントの存在を指すために使用されるが、1つまたは複数の他の特徴、完全体、ステップ、コンポーネントまたはこれらのグループの存在または追加を除外するものではない。
【0088】
明確さのために別々の実施形態のコンテキストで記述されている本発明の所定の特徴が、単一の実施形態に組み合わせて提供される場合もあることは認識される。逆に、簡潔さのために単一の実施形態のコンテキストで記述されている本発明の様々な特徴は、別々に、または何れかの適切なサブコンビネーションで提供される場合もある。