次に続く説明では、数々の特定の詳細事項が述べられている。しかしながら、本発明の実施形態はこれら特定の詳細事項無しに実践され得ることを理解しておきたい。また場合によっては、本説明の理解が曖昧にならないようにするために、周知の回路、構造、及び技法は詳細に示されていない。当業者であれば、包含されている説明を参照すれば、必要以上の実験をしなくても適切な機能性を実装することができるであろう。
明細書中の「1つの実施形態」、「或る実施形態」、「或る例示の実施形態」、など、の言及は、記載されている実施形態は或る特定の特徴、構造、又は特性を含んではいるが、必ずしも実施形態どれもが当該の特定の特徴、構造、又は特性を含んでいるとは限らない、ということを示唆している。その上、その様な語句は、必ずしも同じ実施形態に言及しているとは限らない。また、或る特定の特徴、構造、又は特性が或る実施形態に関連付けて説明されている場合、明示的に説明されていようがいまいが、その様な特徴、構造、又は特性を他の実施形態と関連付けて実施することは当業者の知識の範囲内であるものと考える。
次に続く説明の中で、「連結されている」及び「接続されている」という用語並びのそれらの派生語を使用することがあるかもしれない。これらの用語は、互いに同義とすることを意図したものでないことを理解されたい。「連結されている」は、2つ又はそれ以上の要素が、物理的又は電気的に互いと直接に接触しているかいないかによらず、協働していること又は互いと対話していることを表すのに使用されている。「接続されている」とは、互いに連結されている2つ又はそれ以上の要素の間に通信が確立されていることを表すのに使用されている。
図1は、本発明の1つの実施形態による例示としての個人用のポータブルで安全性の確保されたネットワークアクセスシステムである。システム100は、安全な端末115A−115Nと、コンテンツ及び/又はトランザクション・サーバ(以下コンテンツサーバ)120A−120N及び130A−130Nと、顧客105と、安全な個人用記憶装置デバイス110と、キー管理サーバ125を含んでいる。安全な端末115A−115Nは、安全な個人用記憶装置デバイスが挿入されたときに限り稼働されるように適合されている。即ち、安全な端末は、安全な個人用記憶装置デバイスが挿入又は取付されることなしには作動できない。安全な端末115A−115Nは、顧客関連データ(例えば、データファイル、アカウント信用証明物、顧客の設定及びプリファレンス、生物測定学的サンプル、など)を一切記憶しない。安全な個人用記憶装置デバイスが安全な端末から取り外されると、当該の安全な端末はそのメモリをクリアにし、それによって、顧客による使用を指し示す如何なるメモリ足跡も安全な端末から消える。
顧客105は、安全な端末115A−115Nの何れかへ安全な個人用記憶装置デバイス110を挿入することによって、当該端末との安全なコンピューティングセッションを開始する。顧客105によって所有/使用されている安全な個人用記憶装置デバイス110(例えば、SDカード、フラッシュドライブ、サムドライブ、光ディスク、など)は、当該顧客105に固有のデータ(例えば、ユーザーデータファイル、アカウント信用証明物、設定/プリファレンス、など)を記憶している。安全な個人用記憶装置デバイス110が安全な端末115A−115Nの1つへ挿入されるか又は取り付けられた後、当該の安全な端末は電源がオンになり、起動し、認証アプリケーションを立ち上げて、安全な個人用記憶装置デバイス110を挿入するか又は取り付けた人物が当該の安全な個人用記憶装置デバイスに帰属していることを確認する。この認証には、生物測定学的確認(例えば、声紋確認、指紋解析、網膜走査、筆跡解析、又は前記声紋確認、指紋解析、網膜走査、及び筆跡解析の何らかの組合せ、など)又は類似の非テキストベースの信頼性認証が含まれることであろう。認証されると、顧客105は、当該の安全な端末を使用し、ローカルアプリケーション(例えば、メディアプレーヤー、オフィススイートアプリケーション、Eメールアプリケーション、ゲーム、など)を使ったり、ネットワーク(例えば、LAN、WAN(例えばインターネット)、WLANなど)を横断してサービス及び/又はコンテンツにアクセスしたりすることができる。
一部のコンテンツ及び/又はサービスプロバイダは、自分達のコンテンツ及び/又はサービスへの安全なアクセスを提供することができるようになり、自分達のコンテンツ及び/又はサービスの配信時に履行拒絶を起こさせないようにすることができるであろう。安全なアクセスは、安全な端末115A−115Nを通して認証された顧客にしか利用できない。例えば、安全な端末115A−115Nは、コンテンツサーバ120A−120N及びコンテンツサーバ130A−130Nにアクセスするのに使用されるカスタマイズされた安全な端末ウェブブラウザを含んでいる。コンテンツサーバ120A−120Nは、安全なコンテンツ及び/又はサービス125A−125Nを含み、一方、コンテンツサーバ130A−130Nは、安全でないコンテンツ及び/又はサービス135A−135Nを含んでいる。安全な端末115A−115Nとコンテンツサーバ120A−120Nは、各々、顧客が安全な個人用記憶装置デバイス110を提示していることの安全な端末による確認と、安全な個人用記憶装置デバイス110の中の、安全なコンテンツ及び/又はサービス125A−125Nによって安全な個人用記憶装置デバイスid280へ発行されているアカウント信用証明物の認証と、に基づいて、安全なコンテンツ及び/又はサービス125A−125Nへのアクセスを許すように適合されている。例えば、コンテンツサーバ120A−120Nは、カスタマイズされた安全な端末ウェブブラウザからの接続を(異なったタイプのコンピューティングデバイスからの他のタイプのウェブブラウザと対比して)認識するように、ひいては安全な端末(例えば安全な端末115A−115Nのうちの1つ)が使用されていることを識別するように適合されている。コンテンツサーバ120A−120Nは、当該の安全な端末を使用している顧客が本物である(即ち、安全な記憶装置デバイス110に帰属する人物である)こと、及び安全な記憶装置デバイス110の情報(例えばアカウント信用証明物)が信用でき得ること、を信用する。コンピューティングセッション中の何れの時点における顧客再確認もサポートされている。安全な個人用記憶装置デバイス110側に安全なコンテンツ及び/又はサービス125A−125Nのうちの選択された1つについてのアカウント信用証明物が在った場合、対応するサーバはそれらの信用証明物を使用して顧客を認証し、当該コンテンツ及び/又はサービスへのアクセスを許すので、顧客はユーザーネーム/パスワード、PIN、又は他の身分証明情報を入力する必要がない。安全な個人用記憶装置デバイス110側にアカウント信用証明物が無ければ、サーバは選択されたコンテンツと及び/又はサービス用のアカウント信用証明物を作成して、それを当該安全な個人用記憶装置デバイス110と関連付け、当該アカウント信用証明物は次いで安全な端末115Aのエレクトロニクスによって安全な個人用記憶装置デバイス110へ書き込まれる。次回、当該の安全な個人用記憶装置デバイス110を有する安全な端末が当該の安全なコンテンツ及び/又はサービスを求めてサーバにアクセスしたときには、記憶装置デバイス110内のアカウント信用証明物を使用して認証され、顧客は自動的にコンテンツ及び/又はサービスへ導かれる。
安全な端末115A−115N及びコンテンツサーバ120A−120Nは、キー管理サーバ125と連結されている。キー管理サーバ125は、安全な端末115A−115Nと安全な個人用記憶装置デバイス(例えば安全な個人用記憶装置デバイス110)との間のPKI(公開キー基盤)ローテーションを管理し、また安全な端末115A−115Nとコンテンツサーバ120A−120Nの間のPKIローテーションを管理している。
安全な個人用記憶装置デバイス110へのPKIキーによるアクセスは、公共及び私用の安全な端末115A−115Nをサポートする機会を作り出す。安全な端末115A−115Nの一部は私的企業の安全な端末である。私的企業の安全な端末115A−115Nは、安全な個人用記憶装置デバイス(例えば安全な個人用記憶装置デバイス110)の関連付けが、安全な端末115A−115Nのうちの1つ又は1グループに限定されているかもしれないし、一方で、公共の安全な端末は、公共のネットワーク上に作成される何れの安全な個人用記憶装置デバイスも許容する。一部の実施形態では、安全な個人用記憶装置デバイス110は、安全な端末115A−115Nの特定の1つの端末上でしか使用できない、或いは安全な端末115A−115Nのうちの2つ又はそれ以上の端末から成るグループ上でしか使用できないとされ、一方、他の実施形態では、安全な個人用記憶装置デバイス110は安全な端末115A−115Nの何れの端末上でも使用できる。
1つの実施形態では、コンテンツ/トランザクション・サーバ120Aは、顧客の身分に基づいてターゲット広告を表示する。例えば、個人用のポータブルで安全性の確保されたネットワークアクセスシステム100は、顧客105を、(雑多な顧客が所与の時間枠に亘って使用することのできる)或るコンピューティングデバイスとは対照的に、ネットワークリソースを使用している者として認証するので、顧客105の安全な個人用記憶装置デバイス110使用中の振る舞いに基づき、特定的に的を絞って広告することができる。説明すると、コンテンツサーバ120Aは、安全な個人用記憶装置デバイスの識別子280について1つ又はそれ以上のクッキーを記憶することになろう。顧客105に対する広告の選択は、安全な個人用記憶装置デバイス識別子280と関連付けられているクッキーを調べることから引き出される人口統計/市場データに従ってカスタマイズされる。クッキーは顧客105の身分を明かすことはないものと理解されたい。
図2は、本発明の1つの実施形態による、安全な個人用記憶装置デバイスと安全な端末とコンテンツサーバの間の対話のより詳細な図を示している。顧客105は、オペレーション1で、安全な個人用記憶装置デバイス110を安全な端末115Aへ挿入することによって、当該安全な端末との安全なコンピューティングセッションを開始する。安全な個人用記憶装置デバイス110が挿入されるより前は、安全な端末115Aは電源をオンにできない。安全な個人用記憶装置デバイス110の挿入により、安全な端末115Aの動作電源回路構成が完成し、安全な端末115Aは顧客の使用に向けて電源をオンにできるようになる。一部の実施形態では、安全な個人用記憶装置デバイス110を挿入すると安全な端末115Aは自動的に電源が完全にオンになり(或いは代わりに、休止状態から再開し)、一方、他の実施形態では、挿入により安全な端末115Aは顧客105に電源をオンにさせることができるようになる(例えば、顧客105は電源ボタンを押して安全な端末を休止状態から使用可能状態へ復帰させることになる)。こうして、オペレーション2で、電源回路構成215は完成し、パワーが安全な端末115Aへ印加される。加えて、安全な端末115Aは、そのオペレーションシステムを起動し、顧客認証モジュール242を立ち上げる。
安全な端末115Aに対する顧客105の認証時、安全な個人用記憶装置デバイス110に記憶されている固有の識別データが使用されることになる。認証された後、顧客105と安全な端末115Aの間に安全なコンピューティングセッションが確立され、顧客105は、(例えばカスタマイズされた安全な端末ウェブブラウザ244を含む)当該安全な端末115Aのアプリケーションを使用できるようになる。顧客105は安全な端末115Aのアプリケーションを使用することができるが、その間、理解しておきたいこととして、安全な端末115Aは顧客105と関連付けられるデータを(ユーザーファイルもユーザーコンピュータアクティビティも)、一切、記憶も保管もせず、また一方では、著作権保護データ及びローカルアプリケーションデータは安全な個人用記憶装置デバイス110側に記憶される。安全な端末115Aは、セッションの安全性制約内で、別体の取り外しできるデバイスのバスチャネルから、承認されている外部プログラムを立ち上げること又は当該バスチャネルへのデータ保存を許容することができる。安全なコンピューティングセッションが終了すると、及び/又は安全な個人用記憶装置デバイス110が安全な端末115Aから取り外されると、当該安全な端末115Aはその一時的メモリを永久的に消去し、それにより、顧客105による使用を指し示す如何なるメモリ足跡も安全な端末115Aから消える。
顧客105によって所有/使用されている安全な個人用記憶装置デバイス110(例えば、SDカード、フラッシュドライブ、サムドライブ、光ディスク、など)は、安全な端末115A及びコンテンツサーバ120Aとの安全なコンピューティングセッション中に使用及び/又は生成される当該顧客に固有のデータ(例えば、ユーザー生成データファイル、1つ又はそれ以上のネットワークアカウントのアカウント信用証明物、など)を記憶する。例えば、図1に示されている様に、安全な個人用記憶装置デバイス110は、顧客固有認証データ記憶装置232と、リソースオブジェクトストア236(アカウント信用証明物、コンピューティングセッション要件、リソース要件、(単数又は複数の)暗号キー、など、を含む)と、ユーザーデータ238と、を含んでいる。顧客固有認証データ記憶装置232は、登録時に集められ顧客認証時に安全な端末115Aによって使用される顧客の固有情報を記憶する。1つの実施形態では、年齢制約又は場所制約の掛けられたトランザクション又はコンテンツへのアクセスをサポートするために、供給された顧客属性を確認するのに認定登録が採用されている。例えば、顧客固有認証データには、1つ又はそれ以上の生物測定学的データ(例えば、声紋確認サンプル、指紋サンプル、網膜走査画像、筆跡サンプル、など、のうちの1つ又はそれ以上)が、そして登録が認定されている場合については顧客105の生年月日の様な他の属性が、含まれる。一部の実施形態では、顧客固有認証データ記憶装置232は、顧客の氏名、住所、社会保障番号、電話番号、Eメールアドレス、など、を含む個人情報は含んでいない。ここでは後段に更に詳述されている様に、1つの実施形態では、安全な端末115Aは、顧客105が認証のために生物測定学的データを訓練する(生物測定学的サンプルを提供する)ことを可能にする性能を含んでいる。顧客105は、更に、(例えば、安全な個人用記憶装置デバイス110の登録時及び/又は購入時に)許可されている場所で生物測定学的データを訓練することもできるであろう。
リソースオブジェクトストア236は、異なったリソース所有者又は同一の所有者からの多様なリソースについてのリソースオブジェクトパッケージへのサポートを含んでいる。リソース所有者とは、ここでの使用に際しては、リソース(コンテンツ及び/又はサービス)を顧客へ提供しているコンテンツ及び/又はサービスプロバイダである。典型的に、リソース所有者は安全なリソースを提供している。それぞれのリソースオブジェクトパッケージは、安全なリソースを提供させるためのアカウント信用証明物(例えば、1つ又はそれ以上のユーザーネームとパスワード又は他の(単数又は複数の)認証キー)を含んでいる(例えば、顧客105のアカウント用の信用証明物)。リソースオブジェクトパッケージは、更に、コンピュータセッション要件を含んでいてもよい。例えば、一部のリソースは、それらへアクセスできるようになる前に特定の安全な端末設定(例えば、VPN(仮想私的ネットワーク)設定、プロキシ設定、ファイアウォール設定、年齢別確認、など)構成させることを要件としている。1つの実施形態では、リソースオブジェクトストア236のコンテンツは、顧客105に知られもせず、顧客105が読み出すこともできない。一部の実施形態では、リソースオブジェクトストア236のコンテンツ(例えば、アカウント信用証明物、コンピューティングセッション要件、リソース要件、(単数又は複数の)暗号キー、など)はコンテンツサーバ(例えばコンテンツサーバ120)によって作成される。例えば、コンテンツプロバイダAは顧客105について或る固有のユーザーネームとパスワード(又は他の認証識別子)を生成し、コンテンツプロバイダBは顧客105について異なった固有のユーザーネームとパスワードを生成することであろう。ここでは後段に更に詳述されている様に、アカウント信用証明物は、顧客105を認証する際にコンテンツサーバによって使用されており、コンテンツサーバによって典型的に使用されている標準的なユーザーネーム/パスワード及び/又は個人識別番号照会に代えて使用すればゼロクリックアカウントアクセス体験を生み出すことができ、人を騙して必要な情報を入手する盗みの危険を免れもする。
一部の実施形態では、例えば、第三者認定登録を伴うものでは、顧客固有認証データ記憶装置232は、顧客105にとって利用できるサービスを制限するのに使用することのできる顧客105の生年月日も含んでいる。1つの実施形態では、自動登録を通して訓練された安全な個人用記憶装置デバイスは、認証データ(例えば生物測定学的認証データ)を越えて顧客属性を含むことはできない。例えば、コンテンツ及び/又はサービスプロバイダは、自分達のコンテンツ及び/又はサービスの利用可能性を年齢に基づいて制限する場合があろう。例えば、一部のコンテンツ及び/又はサービスは、一定の年齢より上の顧客、一定の年齢より下の顧客(例えば、未成年向けのチャットルーム)、又は一定の年齢層の顧客に、限定される場合があろう。一部の実施形態では、顧客105が自身の年齢を立証しない限り、そして顧客が年齢を立証するまで、顧客105の生年月日が記憶されることはない。例えば、顧客105は、安全な個人用記憶装置デバイス110を購入するとき又は安全な個人用記憶装置デバイス110を許可されている場所で監督下に登録するときに、政府発行のIDを提示することによって年齢証明を示すことを求められるかもしれない。
ユーザーデータ238には、安全なコンピューティングセッション中に生成され保存される何らかのデータ(例えば、著作権が管理されたコンテンツファイル、アプリケーション設定(例えばブラウザのブックマーク)、安全な端末の設定(例えばフォントサイズなど)、など)が含まれる。一部の実施形態では、安全な端末115は、安全な個人用記憶装置デバイス110に加え、顧客105がユーザーデータファイルを記憶するために使用する取り外しできる媒体用に、ポート又はスロットを含んでいる。
安全な端末115Aとの安全なコンピュータセッション中に使用又は生成される情報で安全な個人用記憶装置デバイス110に記憶される情報は、(例えば安全な端末115Aによって)暗号化されていてもよい。1つの実施形態では、安全な端末115Aは、暗号化ボリューム234を復号するのに生物測定学的に種付けされた人的キーを必要とする。例えば、顧客固有認証データ記憶装置232は暗号化ボリューム230内に含まれ、リソースオブジェクトストア236とユーザーデータ238は暗号化ボリューム234に含まれている。暗号化ボリューム234は暗号化ボリューム230内に含まれている。それら暗号化ボリュームは、それらが適切な安全な端末(例えば安全な端末115)によってしか復号させられないようにすることを意図して暗号化されている。一部の実施形態では、暗号化ボリューム234を復号するのに顧客固有認証データ記憶装置232中のデータが使用される。例えば、安全な端末115及び/又は顧客105がユーザーデータ238及び/又はリソースオブジェクトストア236へアクセスできるようになる前に、顧客105は安全な端末215に対し首尾よく認証されなくてはならない。図1に示されている暗号化スキームは例示であり、実施形態では他の暗号化スキーム(例えば、単一の暗号化ボリューム、非入れ子式の暗号化ボリューム、など)を使用することもできるものと理解されたい。
安全な個人用記憶装置デバイス110は、安全な個人用記憶装置デバイス識別子180も含んでいる。1つの実施形態では、安全な個人用記憶装置デバイス識別子180は、安全な個人用記憶装置デバイス110の製造時に植え込まれた修正不可能な固有のハードウェア識別子である。こうして、各々異なった安全な個人用記憶装置デバイスは異なった固有の記憶装置デバイス識別子を有している。
安全な端末115Aは、顧客の身分が安全な個人用記憶装置デバイス110に記憶されている情報に対応することを認証するために認証モジュール242を含んでいる。こうしてオペレーション3で、認証モジュール242は、安全な個人用記憶装置デバイス110の顧客固有認証データ記憶装置232内の情報と顧客105によって入力されたデータ(例えば、声紋サンプルの様な生物測定学的入力)に基づいて、認証手続きを遂行する。詳しい生物測定学的認証のメカニズムは、ここでは後段に更に詳述されている。認証手続きが成功しなかった場合、顧客105は安全な端末115Aを使用することを許されない。また一方、認証手続きが成功した場合、安全なコンピューティングセッションが開始される。
こうしてオペレーション4で、セッションインターフェース制御モジュール246は、安全なコンピューティングセッションを作成する。セッション作成後、顧客105は、リソース(例えば、ローカルプリケーションの様なローカルリソース、ネットワークリソース(安全でないリソース及び/又は安全なリソース)、など)にアクセスし、それを使用することができる。セッション非活動ロックアウトタイマーがセッション作成から始動され、リソース所有者によって定められた周波数を有するセッション再確認サポートタイマーが含まれている。上述の様に、一部のリソースは、それらへアクセスできるようになる前に、特定の端末設定を構成させることを要件としている。よって、セッションインターフェース制御モジュール246は、安全な個人用記憶装置デバイス110のリソースオブジェクトストア236にアクセスし、何れかの適用できるリソース要件を求め、適用する。これについてはここでは後段に更に詳述されている。
選択されたリソースがネットワークリソース(例えばウェブサイト)である場合、当該リソースに接続するのにカスタマイズされた安全な端末ウェブブラウザ244が使用される。カスタマイズされた安全な端末ウェブブラウザ244は、安全なネットワークリソース及び安全でないネットワークリソースにアクセスすることのできるウェブブラウザである。安全なネットワークリソースは、個人用のポータブルで安全性の確保されたネットワークアクセスシステム100に対してカスタマイズされているリソースあって、信用されているリソースである。例えば、一部のウェブサイトは、安全な端末115Aの様な安全な端末用に特化して誂えられている安全なセクションを含んでいる。安全な端末ではないコンピューティングデバイスは当該の安全なセクションにはアクセスすることができない。安全でないネットワークリソースは信用されていないネットワークリソース(例えば、個人用のポータブルで安全性の確保されたネットワークアクセスシステム100に対してカスタマイズされていない通常のインターネットウェブサイト)である。一例として、コンテンツサーバ120Aは、システム100を使用してのネットワークリソースへの安全なアクセスを許す。こうしてオペレーション5で、端末115Aはカスタマイズされた安全な端末ウェブブラウザ244を通してコンテンツサーバ120Aへ接続する。
コンテンツサーバ120Aは、入って来る接続要求についてウェブブラウザのタイプを確定するブラウザ識別モジュール250を含んでおり、即ちブラウザ244の様な安全な端末のブラウザに帰属するものは安全な端末認証モジュール150に向けられ、一方で、(安全な端末ではないコンピューティングデバイスからの)他のウェブブラウザはコンテンツサーバ120の安全でないセクション(図示せず)に向け直される。こうしてオペレーション6で、ブラウザ識別モジュール250は、入って来る接続要求についてブラウザタイプがカスタマイズされた安全な端末ウェブブラウザ244であると判定する。
安全な端末認証モジュール262が、安全な端末を、1つ又はそれ以上の暗号キーに基づいて認証する。例えば、安全な端末115Aとコンテンツサーバ120Aは暗号キーを交換しており、安全な端末115は、コンテンツサーバ120Aへのアクセス要求時に特定の或る暗号キーを送信する。安全な端末115Aのハードウェア安全性論理270は、コンテンツサーバ及び/又は安全な個人用記憶装置デバイスの間の(単数又は複数の)暗号キーを記憶しているキーストア275を含んでいる。安全な端末115Aが認証され得ない場合は、コンテンツサーバ120Aはそれが(少なくともコンテンツサーバ120Aの安全なセクションへ)アクセスするのを拒もうとする。こうしてオペレーション7で、安全な端末認証モジュール262は、安全な端末115Aについて認証手続きを遂行する。説明上、安全な端末115Aは認証手続きに合格したとする。
安全な端末115Aの認証後の或る時期に、オペレーション8で、顧客認証モジュール264は、顧客105(安全な個人用記憶装置デバイス識別子280を通して識別されている)にサービスを使用する及び/又は要求されているコンテンツにアクセスする許可を与えるかどうかを、安全な個人用記憶装置デバイス110上のアカウント信用証明物(リソースオブジェクトストア236に記憶されている)が、顧客アカウント信用証明物ストア268内の安全な個人用記憶装置デバイス識別子280についてのアカウント信用証明物と一致するかどうかによって判定する。アカウント信用証明物が一致した場合、ブラウザ244は、典型的にはユーザーからのそれ以上の対話無しに、当該のコンテンツ及び/又はサービスへ向けられる。当然ながら、コンテンツサーバ120Aには、何れかの時点(例えば、金融トランザクション完了前、など)に、顧客105の身分を確認するために生物測定学的認証が必要になる場合もあるものと理解されたい。
顧客アカウント信用証明物ストア268にアカウント信用証明物がなかった場合(例えば、今回初めて顧客105が安全な端末を使用してコンテンツサーバ120Aにアクセスすることを試みた場合)、顧客認証モジュール264は、一連の質問を顧客105に向けて表示させ、顧客に自身の身分を証明させ、顧客105が登録されていない場合にはアカウントを作成させる。顧客105が自身の身分を証明できた後、デバイス顧客関連付けモジュール266は、アカウント信用証明物を作成し、それを安全な個人用記憶装置デバイス識別子280と関連付ける。作成されたアカウント信用証明物は、次いで、リソースオブジェクトストア236へ書き込まれることになる。こうしてオペレーション9で、アカウント信用証明物がリソースオブジェクトストア236へ書き込まれる。
顧客105が安全な個人用記憶装置デバイス110を安全な端末115Aから取り外すと、安全なコンピューティングセッションは終結される。安全なコンピューティングセッションは、他のやり方でも終了させることができ、それについてはここでは後段に更に詳述されている。オペレーション10で、顧客105は安全な個人用記憶装置デバイス110を安全な端末115Aから取り外す。ハードウェア安全性論理270は、安全な個人用記憶装置デバイス110が取り外されれば、確実に安全な端末115Aの一時的メモリが永久的に消去されるようにする。安全性論理270は、安全な個人用記憶装置デバイス110が安全な端末115から取り外されたときに安全な端末115の一時的メモリを永久的に消去するためのメモリ空白化エレクトロニクス278を含んでいる。例えば、メモリ空白化エレクトロニクス278は全ての値をゼロにセットする。加えて、一部の実施形態では、ハードウェア安全性論理170は、万一デバイスが改ざんされた場合(例えば、安全な端末115が許可なしに物理的に開かれた場合、など)に、一時的メモリ空白化エレクトロニクス278が安全な端末115Aのメモリ及びキーストア275内のあらゆるキーを消去する、改ざん防止エレクトロニクスを保有している。
図3は、本発明の1つの実施形態による、例示としての個人用のポータブルで安全性の確保されたネットワークアクセスシステム100である。図3のオペレーションは、図2の例示としての実施形態に関連付けて説明されている。とはいえ、図3のオペレーションは、図2に関連付けて論じられている実施形態以外の本発明の実施形態によって遂行することもでき、図2に関連付けて論じられている実施形態は図3に関連付けて論じられているオペレーションとは異なったオペレーションを遂行することもできるものと理解されたい。
ブロック310で、安全な端末115Aは電源が落ちている(或いは代わりに、休止状態にある)。この状態では、顧客データ及び顧客設定は何も安全な端末115に記憶されないものと理解されたい。流れはブロック310からブロック315へ進み、顧客105は安全な個人用記憶装置デバイス110を安全な端末115Aへ挿入する。安全な個人用記憶装置デバイス110の挿入により、ブロック320に表されている様に、安全な端末115Aの動作電源回路構成が完成し、安全な端末は電源をオンにできるようになる。制御はブロック320からブロック325へ流れる。
ブロック325で、安全な端末115Aは、そのオペレーティングシステムの起動及び顧客認証モジュール242の立ち上げを含む初期化手続きを始める。例えば、安全な個人用記憶装置デバイス110が挿入されると安全な端末115Aのファームウェアが稼働し、オペレーティングシステムを起動させ認証モジュール242を立ち上げさせる。顧客105は、認証されずして安全な端末115を使用することはできないものと理解されたい。制御はブロック325からブロック330へ流れる。
ブロック330で、認証モジュール242は、安全な個人用記憶装置デバイス110が安全な端末115Aで使用できるように正しくフォーマットされているかどうか(例えば、暗号化ボリューム230及び234並びにそれらのコンテンツが安全な個人用記憶装置デバイス110側で作成されているかどうか)を判定する。一部の実施形態では、安全な端末115Aは、空白の記憶装置デバイス(例えば、商品棚から購入されて安全な個人用記憶装置として固有に識別されていない)を受け入れ、それらが安全な端末115Aで使用できるようにフォーマットする。一部の実施形態では、顧客は、フォーマット済みの安全な個人用記憶装置デバイスを購入することができる。安全な個人用記憶装置デバイス110が正しくフォーマットされている場合、流れは次にブロック340に進み、そうでない場合、流れはブロック335へ進み、デバイスは安全な端末115で使用できるようにフォーマットされる(例えば、暗号化ボリューム230及び234が作成される、など)。流れはブロック335からブロック340へ進む。
ブロック340で、認証モジュール242は、次に、安全な個人用記憶装置デバイス110側で生物測定学的訓練が完了しているかどうかを判定する。例えば、認証モジュール242は、安全な個人用記憶装置デバイス110の顧客固有認証データ記憶装置132にアクセスして、顧客105を認証するにあたり十分な数の生物測定学的サンプルが記憶されているかどうかを判定する。一部の実施形態では、安全な個人用記憶装置デバイス110は、安全な端末115によって受け入れられる多種多様な生物測定学的サンプルを含むことができる。例えば、安全な端末115を図書館で使用するのであれば、口頭による生物測定学的認証よりも口頭によらない生物測定学的認証の方がふさわしいであろう。一部の実施形態では、顧客105は、生物測定学的認証メカニズムの間で選択することができる。生物測定学的訓練(少なくとも選択された生物測定学的認証メカニズムについて)が完了していない場合、流れは次にブロック345に進み、認証モジュール242は生物測定学的認証訓練アプリケーションを開始し、完了している場合、流れはブロック350に進み、認証モジュール142は、1つ又はそれ以上の生物測定学的チャンレンジを始める。
図4は、1つの実施形態による、生物測定学的訓練メカニズムのための例示としてのオペレーションを示す流れ図である。図4のオペレーションは認証モジュール242に関連付けて説明されているが、とはいえ、図4のオペレーションは安全な端末115Aの異なった(単数又は複数の)モジュール及び/又は論理によって遂行させることもできるものと理解されたい。
ブロック410で、認証モジュール242は、顧客105からの訓練するべき生物測定学的認証タイプの選択(例えば、音声、網膜走査、筆跡解析、指紋解析、など)を受信し、流れはブロック415に進む。当然ながら、一部の実施形態では、顧客105には訓練するべき生物測定学的認証のタイプを選択するというオプションは与えられていないものと理解されたい。つまり、一部の実施形態では、安全な端末115Aは、1つ又はそれ以上の生物測定学的認証タイプについて訓練することを要件としている。その様な実施形態では、ブロック410のオペレーションは遂行されない。
安全な端末115Aは、異なった生物測定学的タイプで異なった数の生物測定学的サンプルを必要とすることであろう。ブロック415では、ループが、必要とされる(又は顧客105による所望に応じそれより多い)生物測定学的サンプル数について開始される。流れは次にブロック420に進み、顧客105はチャレンジパターンに関して指示出しされる。一例として、チャンレンジは、顧客105に或る書物からのひとまとまりの文章を読むこと、複数の文字又は単語を書くこと、1つ又はそれ以上の指紋を提供すること、など、を求める。チャレンジパターンは、視覚的に(例えば、安全な端末115Aのディスプレイ上に)及び/又は聴覚的に(例えば、安全な端末115Aのスピーカーを通して)指示出しされてもよい。制御はブロック420からブロック425へ流れる。
ブロック425で、認証モジュール242は、生物測定学的入力ストリームから、顧客105からの生物測定学的応答を読み出す。流れはブロック430に進み、認証モジュール242は、応答に基づきチャレンジの指示出しと関連付けてデジタルサンプルを作成する。次に、流れはブロック435に進み、オペレーション420−430は、必要とされる(或いは所望に応じそれより多い)チャレンジサンプル数が完了するまで繰り返されることになる。当該数のチャレンジサンプルが完了したら、次に流れはブロック440に進み、認証モジュール242は、生物測定学的サンプルを作成し、サンプルを安全な個人用記憶装置デバイス110の顧客固有認証データ記憶装置232に記憶する。流れはブロック440からブロック445に進み、生物測定学的訓練は完了する。
安全な端末115Aは、アクセスを許すに先立って、顧客105が複数の異なった生物測定学的認証タイプに合格することを要件としている場合もあるものと理解されたい。その様な場合、顧客は、複数の生物測定学的認証タイプについて訓練を完了しなくてはならなくない。
1つの実施形態では、生物測定学的サンプルが安全な個人用記憶装置デバイス110の顧客固有認証データ記憶装置232に記憶された後、実質的に間を置かずに、安全な端末115Aは一時的なメモリをクリアにする(例えば、ハードウェア安全性論理170のメモリ空白化エレクトロニクス278が、安全な端末115Aの揮発性メモリをクリアにする)。何れにしても、顧客105の生物測定学的サンプルは、安全な端末115Aに永久的に記憶されることにはならない。
図3に戻って、ブロック350で、認証モジュール242は、生物測定学的認証メカニズムを起動して顧客105に関する認証を遂行させる。図5は、1つの実施形態による、生物測定学的認証メカニズムのための例示としてオペレーションを示す流れ図である。図5のオペレーションは、認証モジュール242に関連付けて説明されているが、とはいえ、図5のオペレーションは、安全な端末115Aの異なった(単数又は複数の)モジュール及び/又は論理によって遂行させることもできるものと理解されたい。
ブロック510で、認証モジュール242は、顧客105からの認証に使用される生物測定学的認証タイプの選択を受信し、流れはブロック515に進む。当然ながら、一部の実施形態では、顧客105は、認証目的で使用される生物測定学的認証のタイプを選択するというオプションは与えられていないものと理解されたい。つまり、一部の実施形態では、安全な端末115Aは、アクセスを許す前に、1つ又はそれ以上の特定の生物測定学的認証メカニズムタイプを首尾よく遂行させることを要件としている。その様な実施形態では、ブロック510のオペレーションは遂行されない。
先述の様に、安全な端末115Aは、顧客105が、認証されるためには、複数の多様な生物測定学的チャンレンジ(単一の生物測定学的認証タイプについてか又は複数の生物測定学的認証タイプについてかの何れか)に合格することを要件としている場合もある。よって、ブロック515では、ループが、認証にとって必要な生物測定学的チャレンジ数について開始される。流れは次にブロック520に進み、認証モジュール242は、安全な個人用記憶装置デバイス110の顧客固有認証データ記憶装置232からの選択された又は必要とされる生物測定学的認証タイプの生物測定学的チャレンジを(例えば無作為に)選択する。流れはブロック520からブロック525へ進み、顧客105は、選択された生物測定学的チャンレンジに関して指示出しされる。生物測定学的訓練に関連付けて説明されているのと同様に、生物測定学的チャレンジは、視覚的に(例えば、安全な端末115Aのディスプレイ上に)及び/又は聴覚的に(例えば、安全な端末115Aのスピーカーを通して)指示出しされてもよい。流れはブロック530へ進む。
ブロック530で、認証モジュール242は、生物測定学的入力ストリームから、顧客105からの生物測定学的応答を読み出す。流れはブロック535に進み、認証モジュール242は、顧客105からの生物測定学的応答が安全な個人用記憶装置デバイス110の顧客固有認証データ記憶装置232内の記憶されている生物測定学的サンプルと実質的に一致するかどうかを判定する。生物測定学的入力が実質的に一致する場合、顧客105は生物測定学的チャレンジに合格し、流れはブロック545に進み、オペレーション520−535は、顧客105が必要とされる数の生物測定学的チャレンジに合格するまで繰り返されることになる。顧客105が必要とされる数の生物測定学的チャレンジに合格すると、流れはブロック550に進み、顧客105は安全な端末115Aを使用することを認証される。
しかしながら、顧客105が生物測定学的チャレンジに不合格である(生物測定学的入力が記憶されている生物測定学的サンプルと実質的に一致しない)場合、流れはブロック540に進み、代わりのアクションが取られる。例えば、異なった生物測定学的チャレンジが顧客105に指示出しされてもよいであろう。また一方で、一部の実施形態では、顧客105は、生物測定学的チャレンジで不合格が許される回数に制限があり、それを越えると認証モジュール242が当該顧客は安全な個人用記憶装置デバイス110の所有者/使用者ではないと判定する。その様な場合、当該安全な端末115Aは、即座に電源が落とされ、そのメモリは消去される。
こうして、安全な個人用記憶装置デバイス110を生物測定学的に訓練した顧客のみが当該記憶装置デバイスへアクセスでき、安全な個人用記憶装置デバイス110が挿入された上で安全な端末115Aを使用できるようになることが自明であろう。従って、万一、安全な個人用記憶装置デバイス110が紛失したり盗まれたりしても、デバイスのデータは、読み出されることはなく、如何なる端末においても使用され得ない。
図3に戻って、顧客105が認証された後、流れはブロック355に進み、安全な端末115は安全なコンピューティングセッションを作成し、顧客105が安全なリソース及び安全でないリソースへアクセスできるようにする。例えば、顧客105は、安全な端末115Aを使用して、Eメールを送信又は検索する、文書又は他の事務関連ファイルを創作する、音楽及び/又は映像ファイルを再生する、ゲームを楽しむ、など、を行うことができる。注目されるべきこととして、安全な端末115Aは、如何なるユーザーデータも他の設定(例えば、アプリケーション設定、プリファレンス、など)も記憶することはなく、むしろ、この情報は外部デバイス(例えば、ネットワークベースのアプリケーションの場合にはコンテンツサーバ、安全な個人用記憶装置デバイス110、他の取り外しできる記憶装置デバイス、など)に記憶されるように要求されている。
安全なコンピューティングセッションは、顧客105がどんなリソース(例えば、安全なもの、安全でないもの、など)にアクセスしたかに応じて異なった安全性レベルを進んでゆくことになる。異なった安全性レベルは、顧客105が現在どんなサービス/アプリケーションを使用できるかについても制約を課す。例えば、コンピューティングセッションが最も高い安全性レベルにあるとき、顧客105は安全でないリソースにも安全なリソース(例えば、安全なインターネットウェブサイト)にもアクセスすることができる。対照的に、コンピューティングセッションが最も低い安全性レベルにあるとき、顧客105は、コンピューティングセッションが再起動されるまで、安全なリソース(安全なインターネットウェブサイト)にはアクセスすることができず、当該コンピューティングセッション中に生成された如何なるデータも保存することができない(これについては図8に関連付けて更に詳述されている)。
当初は、安全なコンピューティングセッションはブロック360に表現されている通り最も高い安全性レベルに設定されており、顧客105は安全なリソースにも安全でないリソースにもアクセスできる。流れは次にブロック365に進み、安全な端末115は、現在の安全性レベルに基づいて、顧客105に対する幾つかの異なったリソースオプションを表示する。これらのリソースオプションには、ローカルアプリケーション、ネットワークアプリケーション、安全なウェブサイト、安全でないウェブサイト、など、が含まれる。これらのオプションは、カスタマイズされたウェブブラウザ144(又は他のアプリケーション)を通してユーザーに表示されることになる。
図12A−図12Cは、顧客105に対するリソースオプションを表示するための例示としてのユーザーインターフェースを示している。図12A−図121Cは、タブメタファーを示しているが、リソースオプションは、異なった実施形態では異なったやり方で顧客105に表示又は表現される場合もあるものと理解されたい。図12A−図12Cは、それぞれ、現在の安全性レベルフィールド1215と、コンピューティングセッション再起動ボタン1220と、保存及びログアウトボタン1225を含んでいる。現在の安全性レベルフィールド1215は、コンピューティングセッションの現在の安全性レベルを表している。コンピューティングセッション再起動ボタン1220は、顧客105がコンピューティングセッションを再起動できるようにするものであり、図8に関連付けて更に詳述されている。保存及びログアウトボタン1225は、顧客105がコンピューティングセッション中に生成されたデータを(例えば安全な個人用記憶装置デバイス110へ)保存できるようにする。図6に関連付けて更に詳述されている様に、顧客105は、現在の安全性レベルが適切でなければ、安全な個人用記憶装置デバイス110へデータを保存することはできない。
図12Aは、安全な端末の1つ又はそれ以上のローカルアプリケーションを表示しているローカルアプリケーションタブ1210を示している。1つの実施形態では、ローカルアプリケーションタブ1210に表示されているアプリケーションのそれぞれは、コンピューティングセッションの現在の安全性レベルに関係なく使用され得る。
図12Bは、安全性の確保された1つ又はそれ以上のネットワークリソース(例えば、安全なインターネットサイト)を表示している安全なネットワークリソースタブ1240を示している。1つの実施形態では、安全なネットワークリソースタブ1240は、顧客105に対してカスタマイズされていない1つ又はそれ以上のデフォルトの安全なネットワークリソース(例えば安全なネットワークリソース)のセットを表示し(例えば、顧客105はそれら安全なネットワークリソースの1つ又はそれ以上にアカウントを持っていないかもしれない)、一方、他の実施形態では、タブ1240は、顧客105に対して固有にカスタマイズされた1つ又はそれ以上の安全なネットワークリソースのセット(例えば、顧客105がアカウントを持っている安全なネットワークリソース)を表示する。例えば、顧客105がアカウントを持っている安全なネットワークリソースの名前及び/又はURL(ユニフォーム・リソース・ロケーター)はリソースオブジェクトストア236に記憶されていてもよい。これらの名前及び/又はリンクが、安全なネットワークリソースタブ1240に表示されることになる。
図12Bに示されている様に、安全なネットワークリソースタブ1240は、安全性通告ウインドー1245を含んでいる。安全性通告ウインドー1245は、コンピューティングセッションが、表示されている安全なネットワークリソースにアクセスするのに十分なレベルでない場合に表示される。1つの実施形態では、安全性のレベルを上げるためには、コンピューティングセッションを再起動させなくてはならない。安全性通告ウインドー1245は、顧客105に、表示されているリソースには高い安全性レベルが要件とされていること、そしてコンピューティングセッションを再起動させてなくてはならないことを注意喚起する。ユーザーは、セッション再起動ボタン1220を使用してセッションを再起動することもできるし、安全な個人用記憶装置デバイス110を取り外し、認証プロセスを開始して(例えば、図3のブロック315から始めて)セッションを再起動することもできる。
図12Cは、1つ又はそれ以上の安全でないネットワークリソースのセットを表示している、安全でないネットワークリソースタブ1250を示している。コンピューティングセッションの安全性レベルが高いとき、安全でないネットワークリソースタブ1250は、表示されている安全でないネットワークリソースの何れかを使用すると安全性レベルが引き下げられることを知らせる警告を表示する。
顧客105は、図12A−図12Cに表示されているリソースのどれかから選択しないといけないわけではないことも理解されたい。例えば、顧客105は、図12A−図12Bに表示されていないウェブサイトアドレスを入力してもよい。
図3に戻って、流れはブロック365からブロック370に進み、安全な端末115Aは、顧客105からのリソースオプションの選択を受信する(リソースオプションは現在の安全性レベルに適合していなくてはならない)。現在の安全性レベルによっては、選択されたリソースオプションが安全なリソースである場合もあれば安全でないリソースの場合もあろう。流れは次にブロック375に進み、安全な端末115Aは、選択されたリソースオプションに対して(セッション要件があった場合は)セッション要件に従って構成される。
先述の様に、一部のリソースは、接続のための前提条件として、特定の安全な端末設定又は他の要件を構成させることを要求している。例えば、会社のEメールリソースは、会社のEメールサーバへのVPN接続を要件としている。図9は、1つの実施形態により、安全な端末をリソース要件に基づいて動的に構成するための例示としてのオペレーションを示す流れ図である。図9のオペレーションは、コンピューティングセッションインターフェース制御モジュール246に関連付けて説明されているが、とはいえ、図9のオペレーションは、安全な端末115Aの異なった(単数又は複数の)モジュール及び/又は論理によって遂行させることもできるものと理解されたい。
図9のオペレーションは、ブロック910で始まり、コンピューティングセッションインターフェース制御モジュール246は、リソースオブジェクトストア236にアクセスし、選択されたリソースに対応するリソースオブジェクトパッケージを読み出す。流れは次にブロック915に進み、インターフェース制御モジュール246は、リソースが特定のネットワークインターフェースを指定しているかどうかを判定する。例えば、指定されたセルラープロバイダからのセルラーデータ接続を要件とするリソースもあれば、一方、指定されたネットワークプロバイダを通したWi-Fi接続を要件とするリソースもあろう。特定のネットワークインターフェースが選択されている場合、流れは次にブロック920に進み、インターフェース制御モジュール246は必要とされるネットワーク接続を確立し接続することを試み、そうでない場合、流れはブロック925に進む。流れは、ブロック920からブロック930へ進み、ネットワークインターフェース接続が成功したかどうかが判定される。成功であった場合、流れは次にブロック925に移り、そうでなかった場合、流れはブロック935に進み、代わりのアクションが取られる(例えば、顧客は、選択されたリソースにアクセスできないことを通告される)。
ブロック925で、インターフェース制御モジュール246は、リソースがVPN又はトンネル型輸送を要件としているかどうかを判定する。ノーの場合、流れは次にブロック945に進む。イエスの場合、流れは次にブロック940に進み、安全な端末115AはVPN接続又はトンネル型輸送を確立しようと試み、そして流れはブロック950に進む。ブロック950で、VPN接続又は他のトネリングが成功したかどうかが判定される。成功であった場合、流れは次にブロック945に進み、そうでなかった場合、流れはブロック955に進み、代わりのアクションが取られる(例えば、顧客は、選択されたリソースは、VPN接続又はトンネルが確立できなかったためにアクセスできないことを通告される)。
ブロック945で、インターフェース制御モジュール246は、リソースが他の端末構成又は設定(例えば、ファイアウォール設定、プロキシ設定、年齢要件、など)を指定しているかどうかを判定する。例えば、先述の様に、リソース所有者は、ウェブサイト(又は他のコンテンツ)を、一定の年齢より上、一定の年齢より下、一定の年齢層、など、であるという要件を付けて確立している場合もある。ノーの場合、流れは次にブロック965に進む。イエスの場合、流れは次にブロック960に進み、インターフェース制御モジュール246は当該他の設定を構成しようと試み、そして流れはブロック970に進む。例えば、リソースが年齢要件を識別する場合、セッションインターフェース制御モジュール246は、顧客固有認証データ記憶装置232にアクセスして、それが生年月日を含んでいるかどうかを判定する。1つの実施形態では、データ記憶装置232に生年月日が記憶されていなければ、顧客105は一般向けコンテンツにしかアクセスできない。顧客の生年月日がデータ記憶装置232に在れば、セッションインターフェース制御モジュール246は、顧客が年齢要件を満たしているかどうかを判定する。ブロック970で、構成が成功したかどうかが判定される。成功であった場合、流れは次にブロック965に進み、そうでない場合、流れはブロック935に戻り、代わりのアクションが取られる(例えば、顧客は、選択されたリソースがアクセスできないことを通告される)。
ブロック965で、インターフェース制御モジュール246は、リソースがローカルアプリケーション(例えば、メディアプレーヤー、ワードプロセッシングプログラム、Eメールクライエント、など)向けであるかどうかを判定する。イエスの場合、流れは次にブロック970に進み、アプリケーションをローディングする試みがなされ、そして流れはブロック975に進む。リソースがローカルアプリケーションでない(例えば、それがウェブサイトである)場合、流れは次にブロック980に進み、安全な端末のカスタマイズされたウェブブラウザ244がローディングされ、リソースの指定URLへ向かわされ、そして流れはブロック975に進む。ブロック975で、アプリケーション(ローカルアプリケーション又はウェブブラウザ244のどちらか)が首尾よくローディングされたかどうかが判定される。アプリケーションが首尾よくローディングされなかった場合、流れは次にブロック955に進み、代わりのアクションが取られ、そうでない場合、流れはブロック990に進み、安全な端末115Aはリソース源へ接続し始める。
図3に戻って、ブロック375で安全な端末115Aが選択されたリソースオプションに対するセッション要件に従って構成された後、流れは次にブロック380に進み、選択されたリソースオプションが実行される。選択されたリソースオプションは、安全な端末のカスタマイズされたウェブブラウザ244によってアクセスされたネットワークリソースであるかもしれない。
先述の様に、一部のコンテンツ及び/又はサービスプロバイダは、安全なコンテンツ及び/又はサービスを、ここに記載されている安全なシステムの使用を介して提供することができる。図6は、1つの実施形態による、図1の個人用のポータブルで安全性の確保されたネットワークアクセスシステムを使用してネットワークコンテンツにアクセスするための例示としてのオペレーションを示す流れ図である。図6のオペレーションは、図2の例示としての実施形態に関連付けて説明されている。とはいえ、図6のオペレーションは、図2に関連付けて論じられている実施形態以外の本発明の実施形態によって遂行させることもでき、図2に関連付けて論じられている実施形態は、図6に関連付けて論じられているオペレーションとは異なったオペレーションを遂行することもできるものと理解されたい。
図6のオペレーションはブロック610で始まり、コンピューティングデバイスは、コンテンツサーバ(例えばコンテンツサーバ120A)に接続している。コンテンツサーバ120Aは、次に、接続に使用されているブラウザのタイプを確定する。流れは次にブロック612に進み、コンテンツサーバ120Aは、接続がカスタマイズされた安全な端末ウェブブラウザから(ひいては安全な端末115Aの様な安全な端末から)であるかどうかを判定する。そうである場合、流れは次にブロック614に進み、そうでない場合、流れはブロック616に進み、安全な端末ではないとされる当該コンピューティングデバイスは、コンテンツサーバ120Aの安全でない部分へ向け直される。
ブロック614で、コンテンツサーバ120Aは、安全な個人用記憶装置デバイス110からの安全な個人用記憶装置デバイス識別子280を要求する。安全な端末115Aは識別子にアクセスし、それをコンテンツサーバ120Aへ送信する。流れは次にブロック618に進み、コンテンツサーバ120は、安全な個人用記憶装置デバイス識別子280についてアカウント信用証明物(例えば、ユーザーネームとパスワード又は他の(単数又は複数の)認証キー)が割り当てられているかどうかを判定する)。例えば、顧客認証モジュール264は、顧客アカウント信用証明物268にアクセスし、安全な個人用記憶装置デバイス識別子280についてアカウント信用証明物が存在しているかどうかを判定する。1つの実施形態では、アカウント信用証明物は、顧客105が安全な端末115Aの様な安全な端末を使用してコンテンツサーバ120Aにアクセスした初回以降でないと存在し得ない。識別子280についてアカウント信用証明物がある場合、流れは次にブロック640に進み、そうでない場合、流れはブロック620に進む。
ブロック620で、コンテンツサーバ120は、顧客105の身分を確認するための顧客安全性質問票を表示し、顧客からの回答を受信する。例えば、安全性質問票には、以前の取引関係によりコンテンツサーバ120に既に知られている一連の個人的な質問事項(例えば、祖母の旧姓、最初のペット、など)が含まれているかもしれない。ブロック620のオペレーションは、更に、個人アカウント支援(例えば、顧客サービス担当者との対話)を伴う場合もある。ひとたび顧客の身分が条件に適えば、流れは次にブロック622に進み、顧客が選択されたリソースへのアクセス権を持っているかどうか(例えば、顧客105はコンテンツ及び/又はサービスプロバイダにアカウントを持っているかどうか)が判定される。例えば、顧客認証モジュール264は、顧客アカウント272にアクセスして、顧客105がアクセス権を持っているかどうかを判定する。顧客がアクセス権を持たない場合、流れは次にブロック624に進み、アカウント支援が遂行される。例えば、顧客にはアカウント用の登録などのオプションが提供される。顧客がアクセス権を持っている場合、流れは次にブロック626に進む。
ブロック626で、コンテンツサーバ120Aは、安全な個人用記憶装置デバイス識別子280についてアカウント信用証明物を作成する。1つの実施形態では、顧客105にはアカウント信用証明物の内容が知らされない。アカウント信用証明物は、ユーザーネームとパスワード又は他の(単数又は複数の)固有認証キーとすることができよう。流れはブロック626からブロック628に進み、作成されたアカウント信用証明物はコンテンツサーバ120Aに(例えば顧客アカウント信用証明物268に)記憶される。作成されたアカウント信用証明物を記憶する一環として、それら信用証明物は安全な個人用記憶装置デバイス識別子280と関連付けられる。流れは、ブロック628からブロック630に進む。
ブロック630で、作成されたアカウント信用証明物は安全な個人用記憶装置デバイス110へ(例えばリソースオブジェクトストア236に)書き込まれる。そうすれば、次回、顧客105が安全な個人用記憶装置デバイス110を使用し安全な端末を介してコンテンツサーバ120Aにアクセスしたとき、コンテンツサーバ120Aは生成済みのアカウント信用証明物を安全な個人用記憶装置デバイス110から検索し、そうして自動的に(典型的にはそれ以上のユーザー対話なしに)顧客105を自身のアカウントにつれてゆくことになろう。こうして、顧客は、アクセス認証を要件とするネットワークコンテンツ(ネットワークコンテンツは安全であり、個人用のポータブルで安全性の確保されたネットワークアクセスシステムの一部であると仮定)にアクセスする際に、ユーザーネームとパスワード及び/又はPINに代えて、安全な個人用記憶装置デバイス110を使用しさえすればよい。その結果、顧客105は、個人用のポータブルで安全性の確保されたネットワークアクセスシステムの中で安全な個人用記憶装置デバイス110を使用する際に、ユーザーネーム、パスワード、などを忘れることについて心配する必要がなくなる。流れはブロック630からブロック632に進み、安全な端末115Aはネットワーク接続を初期化し直し、そして流れはブロック610に戻る。
ブロック640(コンテンツサーバ120Aは安全な個人用記憶装置デバイス識別子280についてアカウント信用証明物を識別したところ)に戻って、コンテンツサーバ120Aは、安全な個人用記憶装置デバイス110からの(例えばリソースオブジェクトストア236に記憶されている)アカウント信用証明物を要求し、それを安全な端末115Aから受信する。流れは次にブロック642に進み、コンテンツサーバ120A(例えば認証モジュール264)は、安全な個人用記憶装置デバイス110からのアカウント信用証明物がサーバ120Aの(例えば顧客アカウント信用証明物268に記憶されている)アカウント信用証明物に一致するかどうかを判定する。信用証明物が一致する場合、流れは次にブロック648に進み、顧客105は、認証され、アカウントアクセスへ通される。コンテンツサーバ120Aは自動的に顧客105を当該顧客のアカウントへ連れてゆく。
信用証明物が一致しない場合、流れは次にブロック644に進み、サーバ120Aは安全な端末115Aにそれらアカウント信用証明物をリソースオブジェクトストア236から削除するように命令する(その後それらは削除される)。流れは次にブロック646に進み、コンテンツサーバ120Aは、当該アカウント信用証明物及びそれと安全な個人用記憶装置デバイス識別子280との関連付けを、顧客アカウント信用証明物ストア268から削除する。流れは次にブロック650に進み、顧客105は、アカウント信用証明物は正当性がないこと、及び安全な個人用記憶装置デバイス110に問題があるか又はコンテンツサーバ120Aに在るそれらのアカウントが危うくなっているかもしれないことを通告される。
図3に戻って、ブロック380で選択されたリソースオプションが実行を始めた後の或る時期に、流れはブロック385に進み、(必要であれば)安全性レベルが現在のリソースレベルへ調節される。例えば、安全性レベルが、最も高いレベル(安全でないリソースアクセスも安全なリソースアクセスも許容)であり、実行されるリソースが低いレベルであった場合、安全性レベルは当該の低い方のレベルに調節されることになる。一部の実施形態では、安全性レベルは、コンピューティングセッションが再起動されるまでは引き上げられない。流れはブロック385からブロック390に進み、高い安全性レベルが要件とされているオプションがアクセスされないようにする。例えば、それらのオプションは、図12A−図12Cの例示としてのユーザーインターフェース内でグレー表示され選択できないようにされてもよいであろうし又は表示されないようにしてもよいであろう。流れはブロック390からブロック365に戻る。
1つの実施形態では、顧客105が安全な端末115Aと対話しないまま一定の時間が経過した後、安全な端末115Aはロックされるか又は休止モードに入れられ、顧客105について認証は失効する。その結果、安全な端末115Aを再度使用するためには、顧客105は安全な端末115Aに対し再度許可を与えなくてはならない。こうして、図3のブロック395によって表されている様に、認証時間切れが起こるか又は安全な端末115が休止モードに入った場合、顧客105が安全な端末115Aに対し再度認証を行いたいなら、制御はブロック330に流れる。
顧客105は、オペレーション中何れか時点で、安全な個人用記憶装置デバイス110を安全な端末115Aから取り外すかもしれない。先述の様に、これは安全なコンピューティングセッション(存在していれば)を終結させ、顧客105に関係するデータの痕跡が安全な端末115Aに残らないよう安全な端末115Aの一時的なメモリを一掃させる。特定の状況では、顧客105は、安全な個人用記憶装置デバイス110を取り外すことなく安全なコンピューティングセッションを再起動させることを選ぶ場合もある(例えば、現在の安全性レベルが所望のネットワークリソースへのアクセスを阻んでいる、認証時間切れが起こった、など)。
図8は、本発明の1つの実施形態による、安全なコンピューティングセッションを終結させるための例示としてのオプションを示す流れ図である。図8のオペレーションは、図2の例示としての実施形態に関連付けて説明されている。とはいえ、図8のオペレーションは図2に関連付けて論じられている実施形態以外の実施形態によって遂行させることもでき、図2に関連付けて論じられている実施形態は図8に関連付けて論じられているオペレーションとは異なったオペレーションを遂行することもできるものと理解されたい。
ブロック810で、セッション終結アクション事象が安全な端末115A側で検知される。これは、顧客が開始させたセッション終結アクション事象(例えば、顧客105がセッションを再起動したい)のこともあれば、安全な端末115Aが開始させたセッション終結事象(例えば、認証時間切れが起こった)のこともあろう。流れはブロック810からブロック820へ進む。ブロック815では、顧客105A(又は他のユーザー)は、安全な個人用記憶装置デバイス110を安全な端末115Aから取り外したところである。流れは同様にブロック815からブロック820に進む。
ブロック820で、安全な端末システムメモリ(例えばRAM)は、顧客105Aに関係するデータの痕跡が残ったり検索されたりしないように、エレクトロニクスによって空白にされる。例えば、メモリ空白化エレクトロニクス278は、全ての値をゼロにすることによって安全な端末システムメモリを永久的に消去する。流れはブロック820からブロック830に進み、安全な個人用記憶装置デバイス110が安全な端末115A内に在るかどうかが判定される。そうである場合、流れは次に図3のブロック325に戻り、認証モジュール242が立ち上げられ、顧客105は安全な端末115Aに対し再度認証を行えるようになる。安全な個人用記憶装置デバイス110が安全な端末115Aの中にない場合は、流れは次にブロック835に進み、端末は電源がオフにされる。
コンピューティングセッション中にはデータが生成される。例えば、顧客105は、文書を作成する、ブックマークを保存する、などを行うことであろう。先述の様に、このデータは、現在の安全性レベルが許容するなら、安全な個人用記憶装置デバイス110へ(例えばユーザーストアに)保存されることになる。例えば、顧客105が安全でないネットワークリソース(例えば安全でないウェブサイト)に対し閲覧を行ったなら、顧客105にデータを自身の安全な個人用記憶装置デバイス110へ記憶させることには多少ともリスクが伴う(例えば、データがウイルス、マルウェア、又は他の悪意のあるデータを含んでいた場合)。よって、1つの実施形態では、安全な端末115Aは、現在の安全性レベルが書き込みを許さない限り、安全な個人用記憶装置デバイス110への書きこみを阻止する。一部の実施形態では、コンピューティングセッション中は何時でも、顧客105はデータを安全な個人用記憶装置デバイス110へ保存しようと試みることができる。
図7は、本発明の1つの実施形態による、データ保存要求を処理するための例示としてのオペレーションを示す流れ図である。図7のオペレーションは、図2の例示としての実施形態に関連付けて説明されている。とはいえ、図7のオペレーションは図2に関連付けて論じられている実施形態以外の実施形態によって遂行させることもでき、図2に関連付けて論じられている実施形態は図7に関連付けて論じられているオペレーションとは異なったオペレーションを遂行することもできるものと理解されたい。
ブロック710で、セッション保存アクション事象が安全な端末115A側で検知される。1つの実施形態では、保存事象は顧客にしか開始させられないが、一方、他の実施形態では、安全な端末115Aが保存事象を開始させることもある(例えば、アカウント信用証明物を安全な個人用記憶装置デバイス110に書き込むとき)。流れはブロック710からブロック720に進み、現在の安全性レベルが安全な個人用記憶装置デバイス110への書き込みを許容しているかどうかが判定される。上述の様に、安全性レベルによっては、安全な個人用記憶装置デバイス110への書き込みが許されない場合がある。保存が許されている場合、流れは次にブロック730に進み、セッションデータが安全な個人用記憶装置デバイス110に(例えばユーザーデータストア238に)保存される。保存が許されていない場合、流れは次にブロック740に進み、代わりのアクションが取られる(例えば、顧客105は、現在の安全性レベルのせいでデータが保存できないことを通告される)。
図10は、複数のネットワークサービスプロバイダに対する複数のネットワークインターフェースの間で顧客105が選択するための例示としてのオペレーションを示す流れ図である。例えば、顧客105は、複数のワイヤレスサービスプロバイダに対しアカウントを持つこともある。これは、とりわけ、旅行者にとっては珍しくないことである。オペレーションはブロック1010で始まり、安全な端末115Aは、安全な個人用記憶装置デバイス110から、顧客105の契約しているネットワークプロバイダを検索する。例えば、利用できるネットワークプロバイダのリストがリソースオブジェクトストア236に記憶されていてもよい。流れは次にブロック1020に進み、安全な端末115Aは、利用できる搬送波信号を求めてネットワークインターフェースを走査する。安全な端末115Aは、更に、ネットワークインターフェースのリストを顧客に表示する。流れは次にブロック1030に進み、安全な端末115Aは顧客105からの、利用できる契約通信事業者の1つに対する選択を受信する。次に、流れはブロック1040に進み、安全な端末115Aは選択された通信事業者のプロファイルに合わせてその構成を修正する。流れはブロック1040からブロック1050へ進む。
ブロック1050で、安全な端末115Aは、通信事業者への選択されたネットワークインターフェースに、当該通信事業者に対する顧客信用証明物を使用して接続する。顧客信用証明物はリソースオブジェクトストア236に記憶されている。流れは次にブロック1060に進み、安全な端末115Aは、セッションをロックする時間切れを含めたコンピューティングセッションプリファレンスを更新する。例えば、図9に関連付けて先に説明されている様に、異なったネットワークプロバイダ(及び異なったネットワークインターフェース)は、異なったセッションロックアウトタイマー及び他のコンピュータセッションプリファレンスを有することであろう。コンピューティングセッションプリファレンスが更新された後、流れはブロック1070に進み、電話アプリケーション(又は通信事業者ネットワークを使用する他のアプリケーション)が立ち上げられる。
こうして、本発明の実施形態は、それぞれのワイヤレスサービスプロバイダ毎に異なったSIMカード(加入者識別モジュール)の様な別体のハードウェアデバイスが要求されることなく、顧客がワイヤレスサービスプロバイダ間で動的に切り替えできるようにしている。
図11は、本発明の1つの実施形態による、リソース所有者がリソース要件を提供するための例示としてのオペレーションを示す流れ図である。図11のオペレーションは、図2の例示としての実施形態例示に関連付けて説明されている。とはいえ、図11のオペレーションは図2に関連付けて論じられている実施形態以外の実施形態によって遂行させることもでき、図2に関連付けて論じられている実施形態は図11に関連付けて論じられているオペレーションとは異なったオペレーションを遂行することもできるものと理解されたい。
図11のオペレーションはブロック1110で始まり、リソース所有者は、安全な輸送が必要とされる場合は、PKIキーを含め、自分達のネットワークに対する安全性プロファイルシステムプリファレンスを設定する。1つの実施形態では、安全性プロファイルシステムプリファレンスには、リソース所有者のネットワークにアクセスできる安全な端末115Aの承認されたローカルアプリケーションやVPNクライアントアプリケーションが含まれる。これらは、階層式フォルダ構造で表現されていてもよいであろう。流れは、ブロック1110からブロック1115に進み、リソース所有者は、リソース固有の安全な端末セッション構成のための複数のオプション及び入力フィールドを提示される。例えば、オプション及び入力フィールドには、VPN設定、プロキシ設定、ファイアウォール設定、など、のうちの1つ又はそれ以上が含まれていてもよい。流れは、ブロック1115からブロック1120に進む。ブロック1120で、リソース所有者は、顧客セッション要件(例えば、セッションタイマー、再確認タイマー、年齢確認、など)に対する複数のオプション及び入力フィールドを提示される。
端末構成要件及び顧客認証要件が選択された後、流れはブロック1125に進み、リソース所有者は、安全な個人用記憶装置デバイス110へ輸送するためにオブジェクトのパッケージングを開始する。流れはブロック1125からブロック1130に進み、構成及び支援ファイルの圧縮アーカイブが作成される。一部の実施形態では、圧縮は随意であるものと理解されたい。流れはブロック1130からブロック1135に進み、リソースが公共的にアクセスできるリソースであるかどうかの判定がなされる。それが公共的にアクセスできるリソースでない場合、流れは次にブロック1140に進み、アーカイブはサーバの秘密PKIキーで暗号化され、その公開PKI信用証明物が付けられる。それが公共的にアクセスできるリソースである場合、流れは次にブロック1145に進み、アーカイブはサーバの秘密PKIキーで暗号化される(安全な端末115Aは公開PKI信用証明物を持っている)。流れはブロック1140及び1145からブロック1150に進み、パッケージは、先述のアカウント信用証明物と共に、安全な個人用記憶装置デバイス110への配信に備え登録サーバに置かれる。
図13は、本発明の一部の実施形態で使用することのできる例示としてのコンピュータシステムを示すブロック線図である。例えば、安全な端末115Aにはコンピュータシステム1300の例示としてのアーキテクチャが含まれていてもよい。図13は、コンピュータシステムの様々な構成要素を示しているが、何らかの特定のアーキテクチャ或いは構成要素間の相互接続方式を表現しようとの意図はなく、その様な詳細事項は本発明に密接な結び付きはないものと理解されたい。より少ない又はより多い構成要素を有する他のコンピュータシステムも本発明と共に使用することができるものと考えられたい。
図13に示されている様に、データ処理システムの形態をしているコンピュータシステム1300は、(単数又は複数の)バス1350を含んでおり、バスは、処理システム1320、電源装置1325、メモリ1330、及び不揮発性メモリ1340(例えば、ハードドライブ、フラッシュメモリ、相変化メモリ(PCM)、など)と連結されている。(単数又は複数の)バス1050は、当技術では周知の様々なブリッジ、コントローラ、及び/又はアダプタを通して互いに接続されている。処理システム1320は、メモリ1330及び/又は不揮発性メモリ1340から(単数又は複数の)命令を検索し、命令を実行して、上述のオペレーションを遂行させる。バス1350は、上記構成要素を一体に相互接続すると共に、それらの構成要素を、随意的なドック1360、ディスプレイコントローラ及びディスプレイデバイス1370、入力/出力デバイス1080(例えばNIC(ネットワーク・インターフェース・カード)、カーソルコントロール(例えば、マウス、タッチスクリーン、タッチパッド、など)、キーボード、など)、取り外しできる安全な個人用記憶装置デバイス1385(例えば安全な個人用記憶装置デバイス110)、及び随意的な(単数又は複数の)ワイヤレス送受信器1390(例えば、ブルートゥース、Wi-Fi、赤外線、など)へ相互接続している。
随意的なドック1360は、周辺機器へのデスクトップ接続として使用されるものである。これにより、安全な端末115は、ドック1360に設置されると、個人用タワー型コンピュータの全てとまではいかなくとも殆どの機能に取って代わることができる。安全な端末115は、ドック1360と共に使用されているときは、動画を大画面高解像度テレビ又は他のデバイスに送ることもできる。
図に示されている技法は、1つ又はそれ以上の電子デバイス(例えば、安全な端末、コンテンツサーバ、など)に記憶されているコード及びデータを使用して実装され、その様な電子デバイス上で実行させることができる。その様な電子デバイスは、コード及びデータを、機械可読記憶装置媒体(例えば、磁気ディスク;光ディスク;ランダムアクセスメモリ;読み出し専用メモリ;フラッシュメモリデバイス;相変化メモリ)の様な機械可読媒体を使用して記憶し、機械可読通信媒体(例えば、電気式、光学式、音響式、又は他の伝播信号形式―例えば、搬送波、赤外線信号、デジタル信号、など)を使用して(内部的に、及び/又はネットワークを介して他の電子デバイスと)通信する。加えて、その様な電子デバイスは、典型的には、1つ又はそれ以上の記憶装置デバイスやユーザー入力/出力デバイス(例えば、キーボード、タッチスクリーン、及び/又はディスプレイ)やネットワーク接続の様な1つ又はそれ以上の他の構成要素に連結されている1つ又はそれ以上のプロセッサのセットを含んでいる。プロセッサのセットと他の構成要素との連結は、典型的には、1つ又はそれ以上のバス及びブリッジ(バスコントローラとも呼称される)を通してである。記憶装置デバイスは1つ又はそれ以上の機械可読記憶装置媒体を、ネットワークトラフィックを搬送する信号は1つ又はそれ以上の機械可読通信媒体を、それぞれ代表する。こうして、所与の電子デバイスの記憶装置デバイスは、典型的には、当該電子デバイスの1つ又はそれ以上のプロセッサのセットで実行させるコード及び/又はデータを記憶している。当然ながら、本発明の実施形態の一部又はそれ以上の部分は、ソフトウェア、ファームウェア、及び/又はハードウェアの異なった組合せを使用して実装されていてもよい。
本発明の実施形態は、ネットワークアクセスのためにユーザーを認識する安全な端末及び安全な個人用記憶装置デバイスに関連して説明されているが、実施形態はその様に限定されない。安全な端末が安全な個人用記憶装置デバイスを使用して顧客を認証する方式の使用は、認証及び/又はユーザーに、デバイス又は機械を使用する場合、ハードウェアにアクセスする場合、ウェブサイトにアクセスする場合、ネットワークにアクセスする場合、ドアを開ける又は部屋に入る場合、AMTを使用する場合、トランザクションに係わる場合、安全なデジタルメディアコンテンツ(動画、音楽、など)へアクセスしたり使用したりする場合の、安全なアクセスを提供することができる。
一部の実施形態では、安全な個人用記憶装置デバイスは、当該デバイス自体に有権者登録カード、運転免許証、チケット(例えば、スポーツイベント又はショー)、トランザクションカード(例えば銀行)、など、の役目を果たさせることのできるリソースオブジェクトを含んでいる。
ここに記載のシステムの使用の一例を示すにあたり、映画スタジオが図12に示されているインターフェース上に安全なサイトを持っているとしよう。スタジオは、映画タイトルと彼らが販売する映画の価格全てをリストに掲載することができる。スタジオは、自分達のフィルムを、新作、アドベンチャー、コメディ、など、の様に分類していてもよい。スタジオは、自分達のサイトに予告編や講評を載せることができる。安全な端末のユーザー(例えば顧客105)は娯楽アカウントに登録することができ、その場合ユーザーネームとパスワードが自身の安全な個人用記憶装置デバイスに記憶されることになる。このアカウントは、ユーザーが購入した全ての映画のリスト(映画ライブラリ)を保存することを許す。ユーザーは、そうして、自身の映画ライブラリからどんな映画も自身の安全な個人用記憶装置デバイスへダウンロードすることができ、それぞれの映画を何度でも好きなだけ視聴することができる。映画は、直接、安全な端末で映すこともできるし、ドック1360を通して別のディスプレイで映すこともできる。
図の流れ図は、本発明の特定の実施形態によって遂行されるオペレーションの或る特定の順序を示しているが、その様な順序は例示であるものと理解されたい(例えば、代わりの実施形態は、オペレーションを異なった順序で遂行する、特定のオペレーションを組み合わせる、特定のオペレーションを重複させる、など、を行うこともできるであろう)。
本発明を幾つかの実施形態に照らして説明してきたが、当業者には、本発明は記載の実施形態に限定されるものではなく、付随の特許請求の範囲の精神及び範囲内で修正及び変更を加えながら実践され得ることが認知されるであろう。本記述は、従って、制限を課すものではなく説明を目的とするものと考えられるべきである。