JP2020053054A - デジタル資格情報無効化 - Google Patents

デジタル資格情報無効化 Download PDF

Info

Publication number
JP2020053054A
JP2020053054A JP2019175018A JP2019175018A JP2020053054A JP 2020053054 A JP2020053054 A JP 2020053054A JP 2019175018 A JP2019175018 A JP 2019175018A JP 2019175018 A JP2019175018 A JP 2019175018A JP 2020053054 A JP2020053054 A JP 2020053054A
Authority
JP
Japan
Prior art keywords
list
secure device
credential
valid
digital
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019175018A
Other languages
English (en)
Other versions
JP6929911B2 (ja
Inventor
ラーチ マティアス
Lerch Matthias
ラーチ マティアス
ガルド フロリアン
Galdo Florian
ガルド フロリアン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Apple Inc
Original Assignee
Apple Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Apple Inc filed Critical Apple Inc
Publication of JP2020053054A publication Critical patent/JP2020053054A/ja
Application granted granted Critical
Publication of JP6929911B2 publication Critical patent/JP6929911B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Lock And Its Accessories (AREA)

Abstract

【課題】デジタルキーを無効化し、無効化されたデジタルキーを受け付けないように管理する。【解決手段】有効デジタル資格情報リスト、無効化リスト及び同期カウンタ値を維持するように構成された電子デバイスは、有効デジタル資格情報リストを電子デバイスと同期させるリクエストを送信する。このリクエストは、有効デジタル資格情報リスト及び無効化リストを含む。電子デバイスからの更新済み有効デジタル資格情報リストの受信に応じて、無効化リストをクリアし、有効デジタル資格情報リストを更新済み有効デジタル資格情報リストと置き換え、同期カウンタ値をインクリメントする。受信済み資格情報維持リクエストが、インクリメント済み同期カウンタ値以上の他の同期カウンタ値を含む場合、受信済み資格情報維持リクエストを満たし、そうでない場合、受信済み資格情報維持リクエストを拒否する。【選択図】図4

Description

関連出願の相互参照
本出願は、その開示の全体が本明細書に組み込まれた、2018年9月27日出願の「Digital Credential Revocation」と題する米国仮特許出願第62/737,820号の優先権の利益を主張する。
本明細書は、一般に、デバイス及び/又はサーバを介して、無効及び有効デジタル資格情報を同期させることを含む、デジタル資格情報の無効化に関する。
個々のユーザは、電話、タブレット、腕時計、及びコンピュータなどの複数の電子デバイスを所有する場合がある。ユーザが各デバイスをユーザアカウントと関連付けた場合、異なるデバイス間に暗黙的に確立された信頼関係が存在し得る。従って、ユーザは、信頼できるデバイス(例えば、同じユーザアカウントに関連付けられた別のデバイス)と情報共有されているという比較的高い確信の下、全デバイスで情報を共有することができる。しかしながら、そのような信頼関係は、他のユーザアカウントに関連付けられたデバイスに対して暗黙的に確立されない場合がある。
主題の技術のある特徴を、添付の特許請求の範囲に示す。しかしながら、説明の目的のため、主題の技術のいくつかの実施形態を、以下の図に示す。
1つ以上の実装形態に係る、デジタル資格情報無効化システムが実装され得る例示的なネットワーク環境を示す図である。 1つ以上の実装形態に係る、デジタル資格情報無効化システムにおいて使用され得る例示的な電子デバイスを示す図である。 1つ以上の実装形態に係る、デジタル資格情報無効化システムにおいて使用され得る例示的なセキュアエレメントを含む例示的な電子デバイスを示す図である。 1つ以上の実装形態に係る、デジタル資格情報無効化システムのセキュアデバイスの例示的なプロセスのフロー図である。 1つ以上の実装形態に係る、デジタル資格情報無効化システムの電子デバイスの例示的なプロセスのフロー図である。 1つ以上の実装形態に係る、デジタル資格情報無効化システムの異なる状態におけるセキュアデバイス及び電子デバイス内の例示的なデータ値を示す図である。 1つ以上の実装形態に係る、デジタル資格情報無効化システムの異なる状態におけるセキュアデバイス及び電子デバイス内の例示的なデータ値を示す図である。 1つ以上の実装形態に係る、デジタル資格情報無効化システムの異なる状態におけるセキュアデバイス及び電子デバイス内の例示的なデータ値を示す図である。 1つ以上の実装形態に係る、アクセス者の電子デバイスからセキュアデバイス用のアクセス者のデジタル資格情報を無効にする例示的なデータフローである。 1つ以上の実装形態に係る、セキュアデバイスからセキュアデバイス用のアクセス者のデジタル資格情報を無効にするための例示的なデータフローである。 1つ以上の実装形態に係る、セキュアデバイスに関連付けられたサービスプロバイダサーバからセキュアデバイス用のアクセス者のデジタル資格情報を無効にするための例示的なデータフローである。 1つ以上の実装形態に係る、セキュアデバイスに関連付けられた電子デバイスからの、セキュアデバイス用のアクセス者のデジタル資格情報を、無効にするための例示的なデータフローである。 1つ以上の実装形態に係る、フェードアウト期間なしで、アクセス者の電子デバイスからセキュアデバイス用のアクセス者のデジタル資格情報を無効にする例示的なデータフローである。 1つ以上の実装形態に係る、フェードアウト期間ありで、アクセス者の電子デバイスからセキュアデバイス用のアクセス者のデジタル資格情報を無効にする例示的なデータフローである。 1つ以上の実装形態に係る、主題の技術の態様が実施され得る例示的な電子システムを示す図である。
以下に述べる詳細な説明は、主題の技術の様々な構成の説明として意図されており、主題の技術を実践できる唯一の構成を表すことを意図するものではない。添付の図面は、本明細書に組み込まれ、詳細な説明の一部を構成する。詳細な説明は、主題の技術の完全な理解を提供するために特定の詳細を含む。しかしながら、主題の技術は、本明細書で示された特定の詳細には限定されず、1つ以上の実装形態を使用して実践することができる。1つ以上の実装形態では、主題の技術の概念を不明瞭にすることを避けるために、構造及び構成要素がブロック図形式で示されている。
スマートデバイスが家や車両内に増えるにつれて、家や車両などにアクセスする物理的キーの使用は、腕時計、電話、タブレットなどの電子デバイスに記憶されたデジタルキーの使用に取って代わられるであろう。例えば、ユーザは、(例えば、物理的キーの代わりに)電話を使用して自身の家及び/又は車のドアを解錠することができる。物理的キーの衰退に伴い、他の人物による家及び/又は車両へのアクセスを無効にする従来の方法、例えば、家及び/又は車両にアクセスする物理的キーのコピーを引き渡すようにその人に頼むなどの方法も旧式化するであろう。
多くの場合、デジタルキーはかなり簡単にコピーし、(デジタルキーが期限切れでないと仮定して)オリジナルの有効デジタルキーとして家又は車両に提供することができるため、電子デバイスからのデジタルキーの除去又は削除は、人からキーの物理的コピーを受け取ることと同じようなセキュリティ効果を発揮し得ない。従って、主題のシステムは、他の人物及び/又はデバイスに付与されたデジタルキーを無効にするための各種機構と、家又は車両などのセキュアデバイスが、オリジナルの有効デジタルキーとして無効にされた(しかし、期限切れではない)デジタルキーを受理しないように確保する同期システムと、を提供する。
図1は、1つ以上の実装形態に係る、デジタル資格情報無効化システムが実施され得る例示的なネットワーク環境100を示す。しかしながら、描写された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。本明細書で示された特許請求の範囲の趣旨又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。追加の構成要素、異なる構成要素、又はより少ない構成要素が提供されてもよい。
ネットワーク環境100は、1つ以上の電子デバイス102A〜C、1つ以上のセキュアデバイス104A及びB、ネットワーク106、1つ以上のサービスプロバイダサーバ120を含む。ネットワーク106は、例えば、1つ以上のセキュアデバイス104A及びBを1つ以上のサービスプロバイダサーバ120及び/又は1つ以上の電子デバイス102A〜Cに通信可能に結合することができ、電子デバイス102A〜Cのうちの1つ以上を1つ以上のサービスプロバイダサーバ120及び/又は1つ以上のセキュアデバイス104A及びBに通信可能に結合することができる。
電子デバイス102A〜Cのうちの1つ以上は、ネットワーク106をバイパスする近距離通信(NFC)などの直接通信を介して、セキュアデバイス104A〜Bのうちの1つ以上と通信することができる。1つ以上の実装形態では、電子デバイス102A〜Cのうちの1つ以上は、ネットワーク106を介してセキュアデバイス104A及びBのうちの1つ以上と通信してもよく、及び/又はセキュアデバイス104A及びBのうちの1つ以上は、図1のセキュアデバイス104Aのように、ネットワーク106に通信可能に結合されなくてもよい。1つ以上の実装形態では、ネットワーク106は、インターネットを含むか、又はインターネットに通信可能に結合されている、相互接続されたデバイスのネットワークであってもよい。
セキュアデバイス104A及びBは、例えば、ドアやロックなどのアクセスデバイスに含まれる及び/又は結合されるセキュアデバイス、自動車/車両デバイスに含まれる及び/又は結合されるセキュアデバイス、及び/又はNFC無線通信、無線ローカルエリアネットワーク(WLAN)無線通信、Bluetooth(登録商標)無線通信、Zigbee無線通信、セルラ無線通信、及び/又は他の無線通信など、1つ以上のアクセス権を付与するために使用され得る1つ以上の無線インタフェースを含む任意のデバイスであってもよい。図1では、例として、セキュアデバイス104A及びBは、ドアロックなどのアクセスデバイスに含まれる及び/又は結合されるデバイスとして示されている。セキュアデバイス104A及びBのうちの1つ以上は、図13を参照して後述する電子システムであってもよく、及び/又はそれらの全部又は一部を含んでもよい。
1つ以上のサービスプロバイダサーバ120は、セキュアデバイス104A及びBのうちの1つ以上及び/又は電子デバイス102A〜Cのうちの1つ以上に対してデジタルキーの管理及び/又はデジタルキーの無効化を容易にする1つ以上のサーバを含むことができる。例えば、1つ以上のサービスプロバイダサーバ120は、1つ以上のトラストサービスマネージャ(TSM)サーバ、1つ以上のブローカサーバ、1つ以上のアプリケーションサーバ、1つ以上のビジネスバックエンドサーバ、及び/又は同様のものを含むことができる。
1つ以上のサービスプロバイダサーバ120は、セキュアデバイス104A及びBに対応する及び/又はセキュアデバイス104A及びBのそれぞれの製造業者に対応するサービスプロバイダなどの1つ以上のサービスプロバイダなどの1つ以上のサービスプロバイダに関連付けることができるサーバデバイスを含むことができる。例えば、1つ以上のサービスプロバイダサーバ120は、電子デバイス102A〜Cに提供される及び/又は電子デバイス102A〜Cによって共有される、セキュアデバイス104A及びBのうちの1つ以上にアクセスするためのデジタルキーの記録を記憶するように構成された1つ以上のキー追跡サーバを更に含むことができる。1つ以上の実装形態では、1つ以上のサービスプロバイダサーバ120は、ネットワーク106の全て又は一部をバイパスするテレマティクス通信リンクなどの直接及び/又は独自の通信リンクを介して、セキュアデバイス104A及びBのうちの1つ以上に通信可能に接続されてもよい。
1つ以上の実装形態では、電子デバイス102A〜Cの許可ユーザは、1つ以上のサービスプロバイダサーバ120に相当する1つ以上のサービスプロバイダで各自のユーザアカウントを有することができる。ユーザアカウントは、デバイス及び/又はデジタル資格情報(例えば、デジタルキー)を確立及び/又は管理するために使用することができる。1つ以上のサービスプロバイダサーバ120は、図13を参照して後述する電子システムであってもよく、及び/又はそれらの全部又は一部を含んでもよい。
電子デバイス102A〜Cは、例えば、ラップトップコンピュータ、スマートフォン、周辺デバイス(例えば、デジタルカメラ、ヘッドホン)、タブレットデバイス、ウェアラブルデバイス(例えば、時計、バンドなど)などのポータブルコンピューティングデバイス、又は、1つ以上のNFC無線通信、WLAN無線通信、Bluetooth(登録商標)無線通信、Zigbee無線通信、セルラ無線通信、及び/若しくは他の無線通信などの、1つ以上の無線インタフェースを含む他の好適なデバイスであってもよい。図1では、一例として、電子デバイス102A〜Cはモバイルデバイスとして示されている。電子デバイス102A〜Cのうちの1つ以上は、図2及び図3を参照して後述する電子デバイス、及び/又は図13を参照して後述する説明する電子システムであってもよく、及び/又はそれらの全部若しくは一部を含んでもよい。
1つ以上の実装形態では、電子デバイス102Aなどの電子デバイス102A〜Cのうちの1つ以上は、セキュアデバイス104A及びBのうちの1つ以上とペアリングする、及び/又は関連付けることができる。例えば、セキュアデバイス104A及びBの所有者(又は主な許可ユーザ)は、電子デバイス、例えば所有者電子デバイス102A(又は所有者デバイス)を、セキュアデバイス104A及びBとペアリングすることができる。ペアリングプロセスは、セキュアデバイス104A及びB(及び/又はサービスプロバイダサーバ120の1つ以上)が1つ以上の秘密キーを電子デバイス102Aに提供し、電子デバイス102Aがその秘密キーを使用して、セキュアデバイス104A及びBに提供されるアクセスコマンドに署名することを含むことができる。このようにして、セキュアデバイス104A及びBは、アクセスコマンドが電子デバイス102Aによって発行されたことを確認することができる。
電子デバイス102Aはまた、セキュアデバイス104A及びB(及び/又はサービスプロバイダサーバ120の1つ以上)によって提供される秘密キーを使用して、1つ以上のデジタル資格情報(例えば、デジタルキー)を電子デバイス102B及びCのうちの1つ以上(以下、1つ以上のアクセス者電子デバイス102B及びCと称され得る)と共有することができる。電子デバイス102Aは、例えば、デジタル資格情報に関連付けられた失効時刻の前に、電子デバイス102B及びCのうちの1つ以上と共有されている1つ以上のデジタル資格情報(例えば、デジタルキー)を無効にすることもできる。デジタル資格情報は、例えば、所有者電子デバイス102Aから、アクセス者電子デバイス102B及びCのうち1つ以上から、セキュアデバイス104A及びBのうちの1つ以上から、及び/又はサービスプロバイダサーバ120のうちの1つ以上から無効にすることができる。デジタル資格情報を無効にする例示的なデータフローは、図7〜12を参照して更に後述する。
デジタル資格情報は、失効前に、電子デバイス102A〜Cのうちの1つ以上から、及び/又はサービスプロバイダサーバ120のうちの1つ以上から無効化することができるため、このような無効化のインジケーションは、例えば、無効化済みデジタル資格情報(及び/又は対応する識別子)を含まない更新済み有効デジタル資格情報リストの形態で、セキュアデバイス104A及びBに伝えられるべきである。この点に関して、セキュアデバイス104A及びBは、無効化済みデジタル資格情報(又はそのコピー)がセキュアデバイス104A及びBにアクセスするために使用されないように確保するため、無効化済みデジタル資格情報(及び/又は対応する識別子)の無効化リストを維持することもできる。しかしながら、デジタル資格情報は失効時刻の前に無効にすることができるため、セキュアデバイス104A及びBは、有効デジタル資格情報と、失効時刻前に無効にされたデジタル資格情報とを区別することができない場合がある。従って、電子デバイス102Aがデジタル資格情報のコピーを保持している場合(デジタル資格情報は無効化されているが(デジタル資格情報の失効時刻の前)、電子デバイス102Aは、デジタル資格情報を使用して、セキュアデバイス104A及びBのうちの1つ以上に不適切にアクセスすることができる。
よって、主題のシステムは、所有者電子デバイス102A及び対応するセキュアデバイス104A及びBによって個別に維持される同期カウンタ値を実装する。同期カウンタ値は、セキュアデバイス104A及びBが所有者電子デバイス102Aと同期する(例えば、更新済み有効デジタル資格情報リストを受信する)毎にインクリメントされる。次いで、所有者電子デバイス102Aは、新たに共有された(又は発行された)デジタル資格情報と併せて同期カウンタ値を提供することができ、この同期カウンタ値は、デジタル資格情報が最初にセキュアデバイス104A及びBに提示される時にセキュアデバイス104A及びBに提供されてもよい。セキュアデバイス104A及びBは、受信した同期カウンタ値を自身のローカル同期カウンタ値と比較し、その比較に少なくとも部分的に基づいて、デジタル資格情報を受理するか否かを判定することができる。このようにして、直近の同期の前に発行されたデジタル資格情報は、(例えば、ローカル同期カウンタ値よりも)低い同期カウンタ値を有するため、受理されない。
主題のシステムにおけるセキュアデバイスの例示的なプロセスは図4を参照して更に後述し、主題のシステムの所有者電子デバイス102Aの例示的なプロセスは図5を参照して更に後述する。主題のシステムの異なる状態における同期カウンタ値の例は、図6を参照して更に後述する。
図2は、1つ以上の実装形態に係る、デジタル資格情報無効化システムで使用され得る例示的な電子デバイス102Aを示す。しかしながら、描写された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。本明細書で示された特許請求の範囲の趣旨又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。追加の構成要素、異なる構成要素、又はより少ない構成要素が提供されてもよい。1つ以上の実装形態では、例示的な電子デバイス102Aの1つ以上の構成要素は、電子デバイス102B及びC及び/又はセキュアデバイス104A及びBのうちの1つ以上によって実装されてもよい。
電子デバイス102Aは、ホストプロセッサ202、メモリ204、無線インタフェース206、及びセキュアエレメント208を含むことができる。説明のため、電子デバイス102Aは、セキュアエレメント208を含むものとして示す。電子デバイス102Aは、セキュアエレメント208の代わりに、又はそれに加えて、セキュアエンクレーブプロセッサを含んでもよい。
セキュアエレメント208は、1つ以上のシングルワイヤプロトコル(SWP)接続及び/又は任意の他のデータ接続などを介して、無線インタフェース206及び/又はホストプロセッサ202に通信可能に(直接的又は間接的に)結合するための1つ以上のインタフェースを含んでもよい。セキュアエレメント208は、アプレット210A〜Nと称され得る1つ以上のサービスプロバイダアプレット210A〜Nを含むことができる。1つ以上の実装形態では、セキュアエレメント208のオペレーティングシステム及び/又は実行環境はJAVA(登録商標)ベースのオペレーティングシステム及び/又はJAVA(登録商標)ベースの実行環境であってもよく、アプレット210A〜NはJAVA(登録商標)ベースのアプレットであってもよい。他の実装形態では、他のオペレーティングシステム、言語、及び/又は環境を実施することができる。1つ以上のアプレット210A〜Nに加えて、セキュアエレメント208は、セキュリティアプレットやレジストリアプレットなどの他の動作を実行するための1つ以上の追加のアプレットを更に含むことができる。
アプレット210A〜Nは、トラストサービスマネージャサーバ及び/又はブローカサーバなどのサービスプロバイダサーバ120のうちの1つ以上によって、セキュアエレメント208に一部プロビジョニングさせることができる。例えば、トラストサービスマネージャサーバ及び/又はブローカサーバは、ネットワーク106を介して、電子デバイス102Aにプロビジョニングスクリプトを送信することができる。いくつかの実装形態では、電子デバイス102Aのホストプロセッサ202がスクリプトを受信してもよく、例えば、無線インタフェース206を介して、及び/又は直接セキュアエレメント208にスクリプトを提供してもよい。セキュアエレメント208は、GlobalPlatformフレームワークに固有の1つ以上のセキュリティメカニズムなどの1つ以上のセキュリティメカニズムを実行して、受信スクリプトを検証し、次いで、受信スクリプトを実行することができる。セキュアエレメント208によるスクリプトの実行により、アプレット210A〜Nのうちの1つ以上をセキュアエレメント208にプロビジョニングさせることができる。
1つ以上の実装形態では、アプレット210A〜Nのうちの1つ以上は、セキュアデバイス104A及びBのうちの1つ以上に関連付けられたサービスプロバイダに対応させることができる。例えば、アプレット210Aは、ドアロック又は車両の製造業者など、セキュアデバイス104Aに関連付けられたサービスプロバイダに対応させることができる。この場合、セキュアデバイス104Aに関連付けられた同期カウンタ、有効デジタル資格情報リスト、秘密キー、公開キー、及び/又は証明データ項目は、アプレット210Aと共にセキュアエレメント208に記憶されてもよい。加えて、セキュアデバイス104Aは、セキュアデバイス同期カウンタ、セキュアデバイス有効デジタル資格情報リスト、セキュアデバイス無効化リスト、及び/又はセキュアデバイスの最後の同期時刻を記憶するセキュアエレメントを含むことができる。
無線インタフェース206は、無線通信を送信/受信するための1つ以上のアンテナ及び1つ以上のトランシーバを含むことができる。無線インタフェース206は、ホストプロセッサ202及び/又はセキュアエレメント208に接続するために、シングルワイヤプロトコルインタフェースなどの1つ以上のインタフェースを更に含むことができる。
1つ以上の実装形態では、無線インタフェース206は、NFC−A(又はタイプA)、NFC−B(又はタイプB)、NFC−F(又はタイプF若しくはFeliCA)及び/又は国際標準化機構(ISO)/国際電気標準会議(IEC)15693などの1つ以上の異なるNFC通信プロトコルを介して通信可能なNFCコントローラであってもよい。NFC−Aプロトコルは、ISO/IEC 14443Aに基づいてもよく、例えば、100パーセント振幅変調を有するMillerビットコーディングを使用することができる。NFC−Bプロトコルは、ISO/IEC 14443Bに基づいてもよく、例えば、10%変調と共にマンチェスタエンコーディングの変形を使用することができる。NFC−Fプロトコルは、FeliCA JIS X6319−4に基づいてもよく、例えば、NFC−Bプロトコルとは少し異なるマンチェスタコーディングの変形を使用することができる。
セキュアデバイス104A及びBのうちの1つ以上は、電子デバイス102Aと同様の無線通信能力を有していてもよい。例えば、セキュアデバイス104Aは、NFC−Aプロトコル、NFC−Bプロトコル、NFC−Fプロトコル、Bluetooth(登録商標)プロトコル、Bluetooth(登録商標)低エネルギープロトコル、Zigbeeプロトコル、Wi−Fiプロトコル、又は略任意の通信プロトコルのうちの1つ以上を介して、電子デバイス102A及びBのうちの1つ以上と通信するための1つ以上のアンテナ及び/又は送受信機を含んでもよい。1つ以上の実装形態では、セキュアデバイス104A及びBのうちの1つ以上は、NFCリーダなどの無線リーダを含んでもよい。
ホストプロセッサ202は、データを処理し、及び/又は電子デバイス102Aの動作を制御することを可能にする、好適なロジック、回路、及び/又はコードを含むことができる。これに関しては、ホストプロセッサ202が、電子デバイス102Aの様々な他の構成要素に制御信号を提供することを可能にしてもよい。ホストプロセッサ202はまた、電子デバイス102Aの様々な部分間でのデータ転送を制御してもよい。加えて、ホストプロセッサ202は、電子デバイス102Aの動作を管理するために、オペレーティングシステムの実施を可能にするか、又はコードを実行してもよい。メモリ204は、受信データ、生成データ、コード、及び/又は構成情報などの様々なタイプの情報の記憶を可能にする適切なロジック、回路、及び/又はコードを含むことができる。メモリ204は、例えば、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、フラッシュ、及び/又は磁気記憶装置を含むことができる。
1つ以上の実装形態では、ホストプロセッサ202、メモリ204、無線インタフェース206、セキュアエレメント208のうちの1つ以上、及び/又はそれらの1つ以上の部分は、ソフトウェア(例えば、サブルーチン及びコード)で実装されてもよく、ハードウェア(例えば、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、プログラマブルロジックデバイス(PLD)、コントローラ、ステートマシン、ゲートロジック、ディスクリートハードウェア構成要素、又は任意の他の好適なデバイス)、及び/又はその両方の組み合わせで実装されてもよい。
図3は、1つ以上の実装形態に係る、デジタル資格情報無効化システムにおいて使用され得る例示的なセキュアエレメント208を含む例示的な電子デバイス102Aを示す。しかしながら、描写された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。本明細書で示された特許請求の範囲の趣旨又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。追加の構成要素、異なる構成要素、又はより少ない構成要素が提供されてもよい。説明のために、セキュアエレメント208は、電子デバイス102Aに実装されているものとして示されているが、しかしながら、セキュアエレメント208は、任意の他の電子デバイス上に実装されてもよい。
セキュアエレメント208は、他の構成要素に、セキュアプロセッサ302、RAM304、セキュリティエンジン306、インタフェース308、及び不揮発性メモリ310を含んでもよい。RAM304は、スタティックRAM(SRAM)、及び/又はダイナミックRAM(DRAM)のうちの1つ以上を含むことができる。インタフェース308は、セキュリティエレメント208を、無線インタフェース206及び/又はホストプロセッサ202などのデバイス内の1つ以上の他のチップに通信可能に結合することができる。インタフェース308は、例えば、SWPインタフェース、ユニバーサルシリアルバス(USB)インタフェース、又は一般的に任意のデータインタフェースであってもよい。セキュアプロセッサ302は、例えば、縮小命令セットコンピューティング(RISC)プロセッサ、アドバンスドRISCマシン(ARM)プロセッサ、又は一般的に任意の処理回路であってもよい。
セキュリティエンジン306は、セキュアエレメント208のための1つ以上のセキュリティ動作を実行することができる。例えば、セキュリティエンジン306は、暗号動作を実行してもよく、並びに/又は暗号キー及び/若しくは証明書を管理してもよい。1つ以上の実装形態では、セキュアエレメント208とセキュアデバイス104Aなどの外部デバイスとの間の通信は暗号化することができる。例えば、NFC−F通信の場合、相互認証が実行されるたびに暗号キーが動的に生成されてもよい。これらの1つ以上の実装形態では、暗号化/復号化及び/又はキー生成/管理が、セキュリティエンジン306によって全て又は部分的に実行されてもよい。
不揮発性メモリ310は、例えば、フラッシュメモリであってもよく、及び/又はフラッシュメモリを含んでもよい。不揮発性メモリ310は、アプレット210A〜Nに関連付けられた実行可能コード、例えば、セキュアデバイス104A及びBに関連付けられた及び/又はセキュアデバイス104A及びBへのアクセスを共有するための同期カウンタ、有効デジタル資格情報リスト、無効化資格情報リスト、秘密キー、公開キー、及び/又は証明データ項目を記憶してもよい。1つ以上の実装形態では、不揮発性メモリ310はまた、セキュアプロセッサ302によって実行されて、JAVA(登録商標)実行環境などのアプレット210A〜Nの実行環境を提供するファームウェア及び/又はオペレーティングシステム実行可能コードを記憶してもよい。1つ以上の実装形態では、不揮発性メモリ310及び/又はRAM304は、電子デバイス102Aのセキュアメモリ領域及び/又はセキュアドメイン、及び/又はセキュアエレメント208のセキュアメモリ領域及び/又はセキュアドメインとみなすことができる。
1つ以上の実装形態では、セキュアプロセッサ302、RAM304、セキュリティエンジン306、インタフェース308、不揮発性メモリ310、及び/又はそれらの1つ以上の部分、のうちの1つ以上は、ソフトウェア(例えば、サブルーチン及びコード)、ハードウェア(例えば、ASIC、FPGA、PLD、コントローラ、ステートマシン、ゲートロジック、ディスクリートハードウェア構成要素、又は任意の他の好適なデバイス)、及び/又はその両方の組み合わせで実装されてもよい。
図4は、1つ以上の実装形態に係る、デジタル資格情報無効化システムのセキュアデバイス104Aの例示的なプロセス400のフロー図である。説明のために、プロセス400は、本明細書では主に図1のセキュアデバイス104Aを参照して説明する。ただし、セキュアデバイス104Aは、例示的なデバイスとして提示されたものであり、本明細書で説明された動作はいかなる適切なデバイスによって実行されてもよい。例えば、プロセス400は、セキュアデバイス104B又は略任意の電子デバイスによっても実行され得る。更に、説明のために、プロセス400の動作は、本明細書では逐次的に又は直線的に発生するものとして記載されている。しかしながら、プロセス400の複数の動作は並行して発生してもよい。加えて、プロセス400の動作は、図示された順序で実行される必要はなく、及び/又は、プロセス400の1つ以上の動作は、実行される必要はなく、及び/又は他の動作によって置き換えることができる。
主題のシステムでは、セキュアデバイス104Aは、セキュアデバイス有効デジタル資格情報リストと称され得る有効デジタル資格情報リスト、セキュアデバイス無効化リストと称され得る無効化リスト、及びセキュアデバイス同期カウンタ値(402)と称され得るローカル同期カウンタ値を維持する。有効デジタル資格情報リストは、デジタル資格情報、例えば、デジタル資格情報に割り当てられた1つ以上の資格(例えば、1つ以上のアクセス権)と共にセキュアデバイス104Aにアクセスするために有効であるデジタルキー(及び/又は対応する識別子)などのデジタル資格情報と、デジタル資格情報に関連付けられた失効時刻と、を含む。無効化リストは、例えば、セキュアデバイス104Aのユーザインタフェースを介して無効にされているデジタルキーなどのデジタル資格情報の識別子と、デジタル資格情報に関連付けられたそれぞれの失効時刻と、を含む。1つ以上の実装態様では、デジタル資格情報のうちの1つ以上は、1回しか登録することができず、従って、失効時刻を有さない。よって、そのようなデジタル資格情報が削除された及び/又は無効にされた場合、新しいデジタル資格情報を発行する必要がある。同期カウンタ値は、セキュアデバイス104Aが電子デバイス102Aなどの、セキュアデバイス104Aの所有者(又は主な許可ユーザ)の電子デバイスと同期するたびにインクリメントされるカウンタ値である。
従って、セキュアデバイス104Aが、例えば電子デバイス102Bから、有効デジタル資格情報リストに含まれており、期限切れでなく、無効化リストに識別子が記憶されていないデジタル資格情報を受信すると、セキュアデバイス104Aは、デジタル資格情報に割り当てられた1つ以上の資格に従ってアクセスが可能になる。しかしながら、セキュアデバイス104Aが、例えば電子デバイス102Bから、有効デジタル資格情報リストに含まれておらず、期限切れであり、無効化リストに識別子が記憶されているデジタル資格情報を受信すると、電子デバイス102Bはアクセスを許可しない。加えて、有効デジタル資格情報リストに記憶されたデジタル資格情報が無効になると、デジタル資格情報は無効化リストに移される。1つ以上の実装形態では、いずれかのリストに記憶されたデジタル資格情報が期限切れになると、デジタル資格情報はリストから除去される。例示的な有効デジタル資格情報及び無効化リスト、並びに例示的な同期カウンタ値は、図6A〜6Cを参照して更に後述する。
セキュアデバイス104Aは、有効デジタル資格情報リストを、セキュアデバイス104Aの対応する所有者(又は、主な許可ユーザ)の電子デバイス102Aと同期させるリクエストを送信する(404)。同期リクエストは、セキュアデバイス104Aの有効デジタル資格情報リスト及び無効化リストを含んでもよい。セキュアデバイス104Aは、デジタル資格情報がセキュアデバイス104A、例えば、セキュアデバイス104Aのユーザインタフェースを介して無効にされると、同期リクエストを開始することができる。1つ以上の実装形態では、同期は、例えば、デジタル資格情報が電子デバイス102A及び/又はサービスプロバイダサーバ120を介して無効にされる場合、電子デバイス102A及び/又はサービスプロバイダサーバ120によって開始されてもよい。
1つ以上の実装態様では、同期リクエストは、直接(例えば、NFCやBluetooth(登録商標)などを介して)送信することができる、又は所有者の電子デバイス102A(又は、主な許可ユーザ)に間接的に送信することができる、及び/又はリクエストは、サービスプロバイダサーバ120に送信され、サービスプロバイダサーバがリクエストを処理する、及び/又はリクエストを所有者(又は、主な許可ユーザ)の電子デバイス102Aに転送することができる。
リクエストの送信に応答して(404)、セキュアデバイス104Aは、電子デバイス102A及び/又はサービスプロバイダサーバ120において有効であるデジタル資格情報を列挙した更新済み有効デジタル資格情報リストを受信する(406)。セキュアデバイス104Aは、有効デジタル資格情報リストを、受信した更新済み有効デジタル資格情報リストと置き換え、無効化リストをクリアし、ローカル同期カウンタ値をインクリメントする(408)。1つ以上の実装形態では、セキュアデバイス104Aは、更新、クリア、及びインクリメント(408)を単一のアトミックトランザクションで実行することができるため、更新、クリア、及びインクリメントのそれぞれが正常に完了しない場合には、トランザクション全体がロールバックされる。
セキュアデバイス104Aは、同期カウンタ値を含む資格情報維持リクエストを受信することができる(410)。資格情報維持リクエストは、例えば、デジタル資格情報を有効デジタル資格情報リストに追加するリクエストであってもよい、及び/又はデジタル資格情報を無効にする、例えば、デジタル資格情報を有効デジタル資格情報リストから除去し、無効化リストにデジタル資格情報の識別子を追加するリクエストであってもよい。例えば、セキュアデバイス104Aの所有者(又は主な許可ユーザ)は、電子デバイス102Aを使用して、電子デバイス102Bの他のユーザとデジタル資格情報を共有することができ、このユーザは以後、セキュアデバイス104Aのアクセス者と称され得る。デジタル資格情報は、所有者の電子デバイス102Aにおいて、現在の同期カウンタ値と共に電子デバイス102Bに提供することができる。アクセス者は、電子デバイス102Bを使用して、セキュアデバイス104Aにアクセスするために、デジタルキー及び同期カウンタ値をセキュアデバイス104Aに提示することができる。
セキュアデバイス104Aは、受信済み同期カウンタ値が、セキュアデバイス104Aにおけるローカル同期カウンタ値以上であるか否かを判定する(412)。受信済み同期カウンタ値がローカル同期カウンタ値よりも小さい場合(受信済みデジタル資格情報が直近の同期前に発行されたことを意味する)、セキュアデバイス104Aは、資格情報維持リクエストを拒否し、リクエストを実行しない(414)。受信済み同期カウンタ値がローカル同期カウンタ値以上である場合(受信デジタル資格情報が直近の同期後に発行されたことを意味する)、セキュアデバイス104Aは、デジタル資格情報を追加する、又は無効にすることによって、資格情報維持リクエストを満たす(416)。
1つ以上の実装形態では、所与のセキュアデバイス104Aに対して発行されたデジタル資格情報が一般的に、時間、日、週、月、又は年などの比較的短期間内で失効するように設定される場合、セキュアデバイス104Aが資格情報リストを記憶するのに十分なメモリを有するならば、同期カウンタ値は使用されなくてもよい。この例では、デジタル資格情報は、期限切れとなった時に無効化リストから除去されてもよい。しかしながら、デジタル資格情報が典型的には、比較的長い有効期間で発行される場合、同期カウンタ値を使用して、無効化済み資格情報をブロックすることができる。1つ以上の実装形態では、同期カウンタ値はロールオーバーせず、最高値でブロックすることができる。従って、同期カウンタ値が最高値に達すると、その後、無効化はもはやクリアされ得ない無効化リストで管理されるだけなので、セキュアデバイス104Aに対して追加のデジタル資格情報を発行することができない。
図5は、1つ以上の実装形態に係る、デジタル資格情報無効化システムの電子デバイス102Aの例示的なプロセス500のフロー図である。説明のために、プロセス500は、本明細書では主に図1〜3の電子デバイス102Aを参照して説明する。ただし、電子デバイス102Aは、例示的なデバイスとして提示されたものであり、本明細書で説明された動作はいかなる適切なデバイスによって実行されてもよい。例えば、プロセス500は、電子デバイス102B及びCのうちの1つ以上又は略任意の電子デバイスによって実行されてもよい。更に、説明のために、プロセス500の動作は、本明細書では逐次的に又は直線的に発生するものとして記載されている。しかしながら、プロセス500の複数の動作が並行して発生してもよい。加えて、プロセス500の動作は、図示された順序で実行される必要はなく、及び/又は、プロセス500の1つ以上の動作は、実行される必要はなく、及び/又は他の動作によって置き換えることができる。
プロセス500は、セキュアデバイス104Aの所有者(又は主に許可ユーザ)の電子デバイス102Aが、セキュアデバイス有効資格情報リスト及びセキュアデバイス無効化リストを含む同期リクエストをセキュアデバイス104Aから受信する時に開始される(502)。1つ以上の実装形態では、同期は、電子デバイス102Aによって開始されてもよく、この場合、電子デバイス102Aは、リクエストに応答して、セキュアデバイス有効デジタル資格情報リスト及びセキュアデバイス無効化リストを受信することができる。
電子デバイス102Aは、受信済みリストに基づいて、1次有効デジタル資格情報リストを更新する(504)。例えば、電子デバイス102Aは、電子デバイス102Aによって共有されており、現在有効であるデジタル資格情報の識別子を含む1次有効デジタル資格情報リストを維持することができる。従って、電子デバイス102Aが、セキュアデバイス104Aから無効化リストを受信すると、電子デバイス102Aは(1次有効デジタル資格情報リストから)セキュアデバイス無効化リストに含まれるデジタル資格情報の識別子を除去する。電子デバイス102Aは、1次有効デジタル資格情報リストに含まれていない(従って、無効にされていない)、セキュアデバイス有効デジタル資格情報リストに含まれるデジタル資格情報の識別子を追加する。
1つ以上の実装態様では、同期が実行されると、電子デバイス102Aは、サービスプロバイダサーバ120などのデジタル資格情報を発行する及び/又は無効にすることができる1つ以上の他のソースから、有効デジタル資格情報リスト及び/又は無効化リストを受信することができる。この例では、電子デバイス102Aは、セキュアデバイス104Aから受信したリストを処理するのと同様の方法で、様々なソースから受信したリストを処理することができる。電子デバイス102Aは、同期カウンタ値をインクリメントし(506)、更新済み1次有効デジタル資格情報リストをセキュアデバイス104Aに提供する(508)。
図6A〜図6Cは、1つ以上の実装形態に係る、デジタル資格情報無効化システムの様々な状態におけるセキュアデバイス及び電子デバイス内の例示的なデータ値を示す。しかしながら、示された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。追加の値、異なる値、又はより少ない値が提供されてもよい。
図6A〜図6Cは、セキュアデバイス104Aの所有者(又は主な許可ユーザ)のセキュアデバイス104A及び電子デバイス102Aを含む。電子デバイス102Aは、同期カウンタ値602A〜C、及び有効キーリスト604A(1次有効デジタル資格情報リストと称され得る)を記憶する。セキュアデバイス104Aは、同期カウンタ値612A〜C(セキュアデバイス同期カウンタ値と称され得る)、有効キーリスト614A〜C(セキュアデバイス有効デジタル資格情報リストと称され得る)、無効キーリスト616A〜C(セキュアデバイス無効化リストと称され得る)、及び最後に同期化された日時618A〜Cを記憶する。図6A〜6Cに示されるように、無効キーリスト616A〜Cは、無効にされたデジタルキーのハッシュを記憶し、無効キーリスト616A〜Cを記憶するのに必要なメモリの量を低減することができる。加えて、セキュアデバイス104Aは、例えば、NFC又はBluetooth(登録商標)などを介して頻繁に電子デバイス102Aと同期して、無効キーリスト616A〜Cを小さく保つことができる。
図6Aでは、電子デバイス102Aの有効キーリスト604A及び同期カウンタ値602Aは、セキュアデバイス104Aの有効キーリスト614A及び同期カウンタ値612Aと一致し、セキュアデバイス104Aの無効キーリスト616Aは空である。よって、図6Aは、例えば、同期が生じた直後の状態を表すことができる。
図6Bでは、電子デバイス102Aの同期カウンタ値602Aは、セキュアデバイス104Aの同期カウンタ値612Aと一致する。しかしながら、電子デバイス102Aの有効キーリスト604Bとセキュアデバイス104Aの有効キーリスト614Bとに追加のデジタル資格情報が追加されている。また、複数のデジタル資格情報がセキュアデバイス104Aから無効にされている。よって、図6Bは、例えば、セキュアデバイス104A、電子デバイス102A及び/又はサービスプロバイダサーバ120によって同期がトリガされるべき状態を表すことができる。
図6Cでは、電子デバイス102Aの有効キーリスト604A及び同期カウンタ値602Aは、セキュアデバイス104Aの有効キーリスト614A及び同期カウンタ値612Aと一致し、セキュアデバイス104Aの無効キーリスト616Aは空である。従って、図6Cは、同期が行われ、同期カウンタ値602C、612Cがインクリメントされた後の状態を表す。図6Cに示すように、アクセス者2及び3に対応するデジタルキー(図6Bの無効キーリスト616Bに示されるようにセキュアデバイス104Aで無効にされている)は、電子デバイス102Aの有効キーリスト604Cから除去され、その後、このリストは同期中にセキュアデバイス104Aに提供され、有効キーリスト614Cとして使用される。
図7は、1つ以上の実装形態に係る、アクセス者の電子デバイスからセキュアデバイス用のアクセス者のデジタル資格情報を無効にする例示的なデータフロー700を示す。しかしながら、描写された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。本明細書で示された特許請求の範囲の趣旨又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。追加の構成要素、異なる構成要素、又はより少ない構成要素が提供されてもよい。
データフロー700は、サービスプロバイダサーバ120と、デジタルキーが無効にされる電子デバイス102Aとを含む。データフロー700では、サービスプロバイダサーバ120は、無効にされるデジタルキーを含む電子デバイス102Aに、無効化済みデジタルキーコマンドを送信する。電子デバイス102Aは、例えば、デジタルキーを無効にするようにマーキングし、それによりデジタルキーを使用できない状態にすることによって、セキュアエレメント208内のデジタルキーを凍結させる。電子デバイス102Aのセキュアエレメント208上の対応するアプレット210Aは、関連付けられたメールボックス(例えば、秘密及び公開)をクリアし、電子デバイス102Aは、キーが凍結された/無効にされたことを証明する無効化証明を提供するようにセキュアエレメント208にリクエストする。1つ以上の実装態様では、無効化証明は、無効キー及び/又は無効キーに対応する秘密キーを使用して署名されてもよい。
電子デバイス102Aは、無効化証明をサービスプロバイダサーバに送信する120。サービスプロバイダサーバ120は、例えば、無効キーを使用することによって、無効化証明署名の認証を検証し、サービスプロバイダサーバ120は、例えばキー追跡サーバ(KTS)にキー無効化を記録する。サービスプロバイダサーバ120は、その後、デジタルキーを削除するコマンドを電子デバイス102Aに送信する。電子デバイス102Aは、コマンドを受信し、セキュアエレメント208からデジタルキーを除去し、サービスプロバイダサーバ120に削除確認を送信する。
図8は、1つ以上の実装形態に係る、セキュアデバイスからセキュアデバイス用のアクセス者のデジタル資格情報を無効にする例示的なデータフロー800を示す。しかしながら、描写された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。本明細書で示された特許請求の範囲の趣旨又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。追加の構成要素、異なる構成要素、又はより少ない構成要素が提供されてもよい。
データフロー800は、電子デバイス102A及びBと、セキュアデバイス104Aと、キー追跡サーバ820A及びビジネスバックエンドサーバ820Bを含む1つ以上のサービスプロバイダサーバ120と、を含む。データフロー800では、アクセス者のデジタル資格情報は、セキュアデバイス104Aから無効にされる。例えば、セキュアデバイス104Aの所有者及び/又は主な許可ユーザは、セキュアデバイス104Aのユーザインタフェースを介して、アクセス者のデジタルキーを無効にすることができ、セキュアデバイス104Aからデジタルキーを除去する。1つ以上の実装形態では、デジタルキーが、直ちに削除されるのではなく複数のステップで徐々に操作性を下げていく安全フェードアウトポリシーを実装する場合、デジタルキーがセキュアデバイス104Aから除去される前にフェードアウトポリシーが完了する。
セキュアデバイス104Aは、デジタルキーが無効にされたことを、1つ以上のサービスプロバイダサーバ120に通知する。例えば、セキュアデバイス104Aは、セルラデータ接続、専有リンク(例えば、テレマティクスリンク)を介して、及び/又は電子デバイス102Aなどの電子デバイスに通信可能に結合し、電子デバイスのネットワーク接続を利用することによって、1つ以上のサービスプロバイダサーバ120に通知を行うことができる。ビジネスバックエンドサーバ820Bは、通知を受信し、セキュアデバイス104A内で除去されたデジタルキーをマークするコマンドをキー追跡サーバ820Aに送信する。ビジネスバックエンドサーバ820Bは、所有者の電子デバイス102Aに通知し、電子デバイス102Aはユーザインタフェースからデジタルキーを除去し、(例えば、図7で上述した方法で)アクセス者の電子デバイス102Bに無効化証明リクエストを送信する。
アクセス者の電子デバイス102Bは、デジタルキーを凍結し、かつ無効化し、(例えば、図7で上述した方法で)所有者の電子デバイス102Aに無効化証明を送信する。所有者の電子デバイス102Aは、無効化証明をビジネスバックエンドサーバ820Bに送信し、ビジネスバックエンドサーバ820Bは、アクセス者の電子デバイス102B内で削除されたデジタルキーをマークするコマンドをキー追跡サーバ820Aに送信する。次いで、ビジネスバックエンドサーバ820Bは、電子デバイス102Bから削除されたデジタルキーが(キー追跡サーバ820Aに)にマークされたことを、所有者の電子デバイス102Aに通知する。次に、電子デバイス102Aは、セキュアエレメントから凍結済みのデジタルキーを除去する除去コマンドを電子デバイス102Bに送信する。
図9は、1つ以上の実装形態に係る、セキュアデバイスに関連付けられたサービスプロバイダサーバからセキュアデバイス用のアクセス者のデジタル資格情報を無効にする例示的なデータフロー900を示す。しかしながら、描写された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。本明細書で示された特許請求の範囲の趣旨又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。追加の構成要素、異なる構成要素、又はより少ない構成要素が提供されてもよい。
データフロー900は、コンピューティングデバイス902と、電子デバイス102A及びBと、セキュアデバイス104Aと、キー追跡サーバ820A及びビジネスバックエンドサーバ820Bを含む1つ以上のサービスプロバイダサーバ120と、を含む。データフロー900では、セキュアデバイス104Aの所有者又は主な許可ユーザは、コンピューティングデバイス902を使用して、サービスプロバイダでのアカウントにログインし、例えばウェブブラウザを使用して特定のアクセス者のデジタルキーを除去する。ビジネスバックエンドサーバ820Bは、セルラ接続、専有リンク(例えば、テレマティクスリンク)などを介して、又はネットワーク接続デバイスを通じて通信可能に結合することによって、デジタルキーを除去するコマンドをセキュアデバイス104Aに送信する。データフロー900の残りのステップは、データフロー800に関して上述したとおりである。
図10は、1つ以上の実装形態に係る、セキュアデバイスに関連付けられた電子デバイスからセキュアデバイス用のアクセス者のデジタル資格情報を無効にする例示的なデータフロー1000を示す。しかしながら、描写された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。本明細書で示された特許請求の範囲の趣旨又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。追加の構成要素、異なる構成要素、又はより少ない構成要素が提供されてもよい。
データフロー1000は、電子デバイス102A及びBと、セキュアデバイス104Aと、キー追跡サーバ820A及びビジネスバックエンドサーバ820Bを含む1つ以上のサービスプロバイダサーバ120と、を含む。データフロー1000では、セキュアデバイス104Aの所有者又は主な許可ユーザは、電子デバイス102Aを使用して、アクセス者の電子デバイス102B内のデジタルキーの除去をトリガする。電子デバイス102Aは、キー削除リクエストをビジネスバックエンドサーバ820Bに通知し、データフロー1000の残りのステップは、データフロー800に関して上述したとおりである。
図11は、1つ以上の実装形態に係る、フェードアウト期間を伴わずに、アクセス者の電子デバイスからセキュアデバイス用のアクセス者のデジタル資格情報を無効にする例示的なデータフロー1100を示す。しかしながら、描写された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。本明細書で示された特許請求の範囲の趣旨又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。追加の構成要素、異なる構成要素、又はより少ない構成要素が提供されてもよい。
データフロー1100は、電子デバイス102A及びBと、セキュアデバイス104Aと、キー追跡サーバ820A及びビジネスバックエンドサーバ820Bを含む1つ以上のサービスプロバイダサーバ120と、を含む。データフロー1100では、セキュアデバイス104Aのアクセス者のデジタル資格情報は、アクセス者の電子デバイス102Bから無効にされる。例えば、アクセス者は、電子デバイス102Bのユーザインタフェースを使用してデジタルキーを無効にすることができる。電子デバイス102Bは、デジタルキーを凍結して無効化し、セキュアデバイス104Aの所有者(又は、主な許可ユーザ)の電子デバイス102Aに無効化証明を送信する。
所有者の電子デバイス102Aは、無効化証明をビジネスバックエンドサーバ820Bに送信し、ビジネスバックエンドサーバ820Bは、アクセス者の電子デバイス102B内で削除されたとしてデジタルキーをマークするコマンドをキー追跡サーバ820Aに送信する。ビジネスバックエンドサーバ820Bはまた、セキュアデバイス104Aからデジタルキーを除去するコマンドを送信し、セキュアデバイス104Aから除去されたデジタルキーをマークするコマンドをキー追跡サーバに送信する。ビジネスバックエンドサーバ820Bは、デジタルキーがキー追跡サーバ820A内の電子デバイス102Bから除去されたとマークされたことを、所有者の電子デバイス102Aに通知する。電子デバイス102Aは、電子デバイス102Bに、セキュアエレメントから凍結済みのデジタルキーを削除するように指示する削除コマンドを電子デバイス102Bに送信する。プロセスは取消可能ではないため、アクセス者の電子デバイス102Bは、デジタルキーを除去する前にアクセス者に警告することができる。
図12は、1つ以上の実装形態に係る、アクセス者の電子デバイスからセキュアデバイス用のアクセス者のデジタル資格情報を無効にする例示的なデータフロー1200を示す。しかしながら、描写された構成要素の全てが全ての実装形態において使用され得るわけではなく、1つ以上の実装形態は、図に示されたものに追加の又は異なる構成要素を含むことができる。本明細書で示された特許請求の範囲の趣旨又は範囲から逸脱することなく、構成要素の構成及びタイプの変形を行うことができる。追加の構成要素、異なる構成要素、又はより少ない構成要素が提供されてもよい。
データフロー1200は、電子デバイス102A及びBと、セキュアデバイス104Aと、キー追跡サーバ820A及びビジネスバックエンドサーバ820Bを含む1つ以上のサービスプロバイダサーバ120と、を含む。データフロー1200では、セキュアデバイス104Aのアクセス者のデジタル資格情報は、実装されたフェードアウトポリシーを用いて、アクセス者の電子デバイス102Bから除去されるようにリクエストされる。例えば、アクセス者は、電子デバイス102Bのユーザインタフェースを使用してデジタルキーを無効にすることができる。電子デバイス102Bは、セキュアデバイス104Aの所有者の電子デバイス102Aに無効化リクエストを送信し、電子デバイス102Aは、無効化リクエストをビジネスバックエンドサーバ820Bに送信する。ビジネスバックエンドサーバ820Bは、フェードアウトが開始されたデジタルキーをマークするコマンドをキー追跡サーバ820Aに送信する。ビジネスバックエンドサーバ820Bはまた、フェードアウトプロセスを開始するコマンドをセキュアデバイス104Aに送信する。セキュアデバイス104Aは、フェードアウトプロセスを完了し、次に、図8に関して上述したようにセキュアデバイス104Aからキーを除去するプロセスを開始する。
図13は、1つ以上の実装形態に係る、主題の技術の態様が実施され得る例示的な電子システム1300を示す。電子システム1300は、図1に示す電子デバイス102A〜Cのうちの1つ以上、セキュアデバイス104A及びBのうちの1つ以上、及び/又はサービスプロバイダサーバ120のうちの1つ以上であり得る、及び/又はそれらの一部であり得る。電子システム1300は、各種コンピュータ可読媒体及び、他の各種コンピュータ可読媒体用のインタフェースを含むことができる。電子システム1300は、バス1308、1つ以上の処理ユニット1312、システムメモリ1304(及び/又はバッファ)、ROM1310、永久記憶デバイス1302、入力デバイスインタフェース1314、出力デバイスインタフェース1306、及び1つ以上のネットワークインタフェース1316、又はそれらのサブセット及び変形を含む。
バス1308は、電子システム1300の多数の内部デバイスを通信可能に接続する全てのシステム、周辺機器、及びチップセットバスを集合的に表す。1つ以上の実装形態では、バス1308は、1つ以上の処理ユニット1312を、ROM1310、システムメモリ1304、及び永久記憶デバイス1302と通信可能に接続する。これらの様々なメモリユニットから、1つ以上の処理ユニット1312は、本願の開示のプロセスを実行するために、実行すべき命令及び処理すべきデータを取り出す。1つ以上の処理ユニット1312を、異なる実装形態においては、シングルプロセッサ又はマルチコアプロセッサとすることができる。
ROM1310は、1つ以上の処理ユニット1312及び電子システム1300の他のモジュールによって必要とされる静的データ及び命令を記憶する。一方、永久記憶デバイス1302は、読み出し及び書き込みメモリデバイスであってもよい。永久記憶デバイス1302は、たとえ電子システム1300がオフであっても、命令及びデータを記憶する不揮発性メモリユニットであってもよい。1つ以上の実装形態では、永久記憶デバイス1302として、大容量記憶デバイス(磁気ディスク又は光ディスク、及びそれに対応するディスクドライブなど)を使用することができる。
1つ以上の実装形態では、永久記憶デバイス1302として、脱着可能記憶デバイス(フロッピーディスク、フラッシュドライブ、及びそれに対応するディスクドライブなど)を使用することができる。永久記憶デバイス1302と同様に、システムメモリ1304は、読み出し及び書き込みメモリデバイスであってもよい。しかしながら、永久記憶デバイス1302とは異なり、システムメモリ1304は、ランダムアクセスメモリなどの、揮発性の読み出し及び書き込みメモリであってもよい。システムメモリ1304は、実行時に1つ以上の処理ユニット1312が必要とし得る命令及びデータのいずれかを記憶してもよい。1つ以上の実装形態では、本願の開示のプロセスは、システムメモリ1304、永久記憶デバイス1302、及び/又はROM1310に記憶される。これらの様々なメモリユニットから、1つ以上の処理ユニット1312は、1つ以上の実装形態のプロセスを実行するために、実行すべき命令及び処理すべきデータを取り出す。
バス1308は、入力デバイスインタフェース1314及び出力デバイスインタフェース1306にも接続する。入力デバイスインタフェース1314により、ユーザは、電子システム1300に対して、情報を伝送し、コマンドを選択することができる。入力デバイスインタフェース1314と共に使用され得る入力デバイスは、例えば、英数字キーボード及びポインティングデバイス(「カーソル制御デバイス」とも称される)を含むことができる。出力デバイスインタフェース1306は、例えば、電子システム1300によって生成された画像を表示することができる。出力デバイスインタフェース1306と共に使用され得る出力デバイスは、例えば、液晶ディスプレイ(LCD)、発光ダイオード(LED)ディスプレイ、有機発光ダイオード(OLED)ディスプレイ、フレキシブルディスプレイ、フラットパネルディスプレイ、ソリッドステートディスプレイ、プロジェクタ、又は情報を出力するための任意の他のデバイスなどのプリンタ及び表示デバイスを含むことができる。1つ以上の実装形態は、タッチスクリーンなどの、入力及び出力デバイスの両方として機能するデバイスを含むことができる。これらの実装形態では、ユーザに提供されるフィードバックは、視覚フィードバック、聴覚フィードバック、触知フィードバックなどの任意の形態の感覚フィードバックであることができ、ユーザからの入力は、音響入力、音声入力、又は触知入力を含む任意の形態で受け取ることができる。
最後に、図13に示すように、バス1308はまた、1つ以上のネットワークインタフェース(単数又は複数)1316を通じて、電子システム1300を、1つ以上のネットワーク、及び/又は図1に示す電子デバイス102A〜Fなどの1つ以上のネットワークノードに結合する。このようにして、電子システム1300は、コンピュータのネットワーク(LANや広域ネットワーク(「WAN」)など)、若しくはイントラネット、又はインターネットなどの複数のネットワーク中のネットワークとすることができる。電子システム1300のいずれか又は全ての構成要素は、本願の開示と併せて使用することができる。
上述のように、本技術の態様は、ユーザが求める内容又はユーザが関心を持つ可能性のある任意の他の内容に関するユーザへの配信を改善するために、種々のソースから入手可能なデータを収集及び使用することを含み得る。本開示は、いくつかの例において、この収集されたデータは、特定の人物を一意に特定する個人情報データ、又は特定の人物に連絡する若しくはその所在を突き止めるために使用できる個人情報データを含み得ることを想到している。そのような個人情報データは、財務データ、人口統計データ、位置ベースのデータ、電話番号、電子メールアドレス、ツイッター(登録商標)ID、住所、ユーザの健康又はフィットネスレベル(例えば、バイタルサイン測定、服薬情報、運動情報)に関するデータ若しくは記録、誕生日、又は任意の他の識別情報若しくは個人情報を含むことができる。
本開示は、本技術におけるそのような個人情報データの使用がユーザの利益になる使用であり得る点を認識するものである。例えば、よりユーザの興味を引く対象のコンテンツを配信するために、個人情報データが使用されてもよい。従って、そのような個人情報データの使用は、配信されるコンテンツの計算された制御をユーザができるようにする。更には、ユーザに利益をもたらす、個人情報データに関する他の使用もまた、本開示によって想到される。例えば、健康データ及びフィットネスデータは、ユーザの全般的なウェルネスについての洞察を提供するために使用することができ、或いは、ウェルネスの目標を追求するための技術を使用している個人への、積極的なフィードバックとして使用することもできる。
本開示は、そのような個人情報データの収集、分析、開示、伝送、記憶、又は他の使用に関与するエンティティが、確固たるプライバシーポリシー及び/又はプライバシー慣行を遵守するものとなることを想到する。具体的には、そのようなエンティティは、個人情報データを秘密として厳重に保守するための、業界又は政府の要件を満たしているか又は上回るものとして一般に認識されている、プライバシーのポリシー及び慣行を実施し、一貫して使用するべきである。そのようなポリシーは、ユーザによって容易にアクセス可能とするべきであり、データの収集及び/又は使用が変化するにつれて更新されるべきである。ユーザからの個人情報は、そのエンティティの合法的かつ正当な使用のために収集されるべきであり、それらの合法的使用を除いては、共有又は販売されるべきではない。更には、そのような収集/共有は、ユーザに告知して同意を得た後に実施されるべきである。更には、そのようなエンティティは、そのような個人情報データへのアクセスを保護して安全化し、その個人情報データへのアクセスを有する他者が、それらのプライバシーポリシー及び手順を遵守することを保証するための、あらゆる必要な措置を講じることを考慮するべきである。更には、そのようなエンティティは、広く受け入れられているプライバシーのポリシー及び慣行に対する自身の遵守を証明するために、第三者による評価を自らが受けることができる。更には、ポリシー及び慣行は、収集及び/又はアクセスされる具体的な個人情報データのタイプに適合されるべきであり、また、管轄権固有の考慮事項を含めた、適用可能な法令及び規格に適合されるべきである。例えば、米国では、特定の健康データの収集又はアクセスは、医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act;HIPAA)などの、連邦法及び/又は州法によって管理することができ、その一方で、他国における健康データは、他の規制及びポリシーの対象となり得るものであり、それに従って対処されるべきである。それゆえ、各国の異なる個人データのタイプに関して、異なるプライバシー慣行が保たれるべきである。
前述のことがらにも関わらず、本開示はまた、個人情報データの使用又は個人情報データへのアクセスを、ユーザが選択的に阻止する実施形態も想到する。すなわち、本開示は、そのような個人情報データへのアクセスを防止又は阻止するように、ハードウェア要素及び/又はソフトウェア要素を提供することができると想到する。例えば、広告配信サービスの場合において、本技術は、ユーザが、サービスの登録中又はその後のいつでも、個人情報データの収集への参加の「オプトイン」又は「オプトアウト」を選択できるように構成され得る。別の実施例では、ユーザは、ターゲットコンテンツ配信サービスにムード関連データを提供しないように選択することができる。更に別の実施例では、ユーザは、ムード関連データが維持される期間を制限するか、又は基準ムードプロファイルの展開を完全に禁止することを選択することができる。「オプトイン」及び「オプトアウト」の選択肢を提供することに加えて、本開示は、個人情報のアクセス又は使用に関する通知を提供することを想到する。例えば、ユーザの個人情報データにアクセスすることとなるアプリのダウンロード時にユーザに通知され、その後、個人情報データがアプリによってアクセスされる直前に再びユーザに注意してもよい。
更には、本開示の意図は、個人情報データを、非意図的若しくは非認可アクセス又は使用の危険性を最小限に抑える方法で、管理及び処理するべきであるという点である。データの収集を制限し、データがもはや必要とされなくなった時点で削除することによって、危険性を最小限に抑えることができる。更には、適用可能な場合、特定の健康関連アプリケーションにおいて、ユーザのプライバシーを保護するために、データの非特定化を使用することができる。非特定化は、適切な場合には、特定の識別子(例えば、生年月日など)を除去すること、記憶されたデータの量又は特異性を制御すること(例えば、位置データを住所レベルよりも都市レベルで収集すること)、データがどのように記憶されるかを制御すること(例えば、データをユーザ全体にわたって情報集約すること)及び/又は他の方法によって、容易にすることができる。
それゆえ、本開示は、1つ以上の様々な開示された実施形態を実施するための、個人情報データの使用を広範に網羅するものではあるが、本開示はまた、そのような個人情報データにアクセスすることを必要とせずに、それらの様々な実施形態を実施することもまた可能であることを想到している。すなわち、本技術の様々な実施形態は、そのような個人情報データの全て又は一部分が欠如することにより、実施不可能となるものではない。例えば、コンテンツは、ユーザに関連付けられたデバイスによりリクエストされたコンテンツ、コンテンツ配信サービスで使用可能な他の非個人情報、若しくは公的に使用可能な情報などの、非個人情報データ又は個人情報の最小限の量のみに基づいて嗜好を推測することにより、選択してユーザに配信することができる。
本開示の範囲内の実装形態は、1つ以上の命令を符号化する有形のコンピュータ可読記憶媒体(又は1つ以上のタイプの、複数の有形のコンピュータ可読記憶媒体)を使用して、部分的に又は完全に実現することができる。有形のコンピュータ可読記憶媒体はまた、事実上、非一時的なものであってもよい。
コンピュータ可読記憶媒体は、命令を実行することができる任意の処理電子機器及び/又は処理回路を含む、汎用又は専用コンピューティングデバイスによって読み取られ、書き込まれ、又は他の方法でアクセスされ得る任意の記憶媒体とすることができる。例えば、限定はしないが、コンピュータ可読媒体は、RAM、DRAM、SRAM、T−RAM、Z−RAM、及びTTRAMなどの任意の揮発性半導体メモリを含むことができる。コンピュータ可読媒体はまた、ROM、PROM、EPROM、EEPROM、NVRAM、フラッシュ、nvSRAM、FeRAM、FeTRAM、MRAM、PRAM、CBRAM、SONOS、RRAM(登録商標)、NRAM、レーストラックメモリ、FJG、及びミリピードメモリなどの任意の不揮発性半導体メモリを含むことができる。
更に、コンピュータ可読記憶媒体は、光ディスク記憶装置、磁気ディスク記憶装置、磁気テープ、他の磁気記憶デバイス、又は1つ以上の命令を記憶できる任意の他の媒体などの、任意の非半導体メモリを含むことができる。1つ以上の実装形態では、有形のコンピュータ可読記憶媒体はコンピューティングデバイスに直接的に結合することができ、他の実装形態では、有形のコンピュータ可読記憶媒体は、例えば、1つ以上の有線接続、1つ以上の無線接続、又はそれらの任意の組み合わせを介して、コンピューティングデバイスに間接的に結合することができる。
命令は直接実行可能とすることができ、又は実行可能命令を開発するために使用することができる。例えば、命令は、実行可能又は非実行可能なマシンコードとして、又は実行可能又は非実行可能なマシンコードを生成するようにコンパイルされ得る高級言語の命令として、実現することができる。更に、命令はまた、データとして実現され又はデータを含むこともできる。コンピュータ実行可能命令はまた、ルーチン、サブルーチン、プログラム、データ構造、オブジェクト、モジュール、アプリケーション、アプレット、関数などを含む任意のフォーマットで構造化することができる。当業者によって認識されるように、命令の数、構造、順序、及び構造を含むがこれに限定はされない詳細は、基本的なロジック、機能、処理、及び出力を変更することなく大幅に変えることができる。
上記の検討は、主として、ソフトウェアを実行するマイクロプロセッサ又はマルチコアプロセッサに言及しているが、1つ以上の実装形態は、ASIC又はFPGA(単数又は複数)などの、1つ以上の集積回路によって実行される。1つ以上の実装形態では、そのような集積回路は、その回路自体に記憶されている命令を実行する。
当業者であれば、本明細書で説明される様々の例示的なブロック、モジュール、エレメント、構成要素、方法、及びアルゴリズムが、電子ハードウェア、コンピュータソフトウェア、又はそれら両方の組み合わせとして実装され得ることを理解するであろう。ハードウェアとソフトウェアのこの互換性を示すために、様々の例示的なブロック、モジュール、エレメント、構成要素、方法、及びアルゴリズムを、それらの機能性の点から一般的に上述してきた。そのような機能性がハードウェア又はソフトウェアとして実装されるかは、特定のアプリケーション及びシステム全体に課される設計上の制約に依存する。当業者であれば、特定のアプリケーション毎に様々な方法で説明した機能性を実装することができるであろう。様々な構成要素及びブロックは、主題の技術の範囲から全く逸脱することなく、異なるように(例えば、異なる順序で配置されるか、又は異なる方法で分割されて)配置されてもよい。
開示されたプロセスにおけるブロックのいかなる特定の順序又は階層も、例示的なアプローチの一例であることが理解されよう。設計選択に基づいて、プロセス内のブロックの特定の順序又は階層は並び替えられてもよいこと、又は例示されているブロックが全て実行されてもよいことが理解される。いずれのブロックも、同時に実行されてよい。1つ以上の実装形態では、マルチタスク及び並列処理が有利であり得る。そのうえ、上述した実施形態における様々なシステム構成要素の分離は、あらゆる実施形態においてそのような分離が要求されるものとして理解されるべきではなく、説明したプログラム構成要素及びシステムを概してまとめて単一のソフトウェア製品に一体化してもよいし、又は複数のソフトウェア製品にパッケージ化してもよいことは理解されるべきである。
本出願の本明細書及びいずれかの特許請求の範囲で使用される時、用語「基地局」、「受信機」、「コンピュータ」、「サーバ」、「プロセッサ」、及び「メモリ」は全て、電子的又は他の技術的デバイスを指す。これらの用語は、人又は人のグループを除外する。本明細書の目的上、「表示する(display)」又は「表示すること(displaying)」という用語は、電子デバイス上に表示することを意味する。
本明細書で使用する、一連の項目に先行する「少なくとも1つ」というフレーズは、項目のいずれかを分離する「及び」又は「又は」という用語と共に、リストの各要素(すなわち、各項目)ではなく、全体としてリストを修飾する。「少なくとも1つ」というフレーズは、リスト化された各項目の少なくとも1つの選択を必要とはせず、むしろ、そのフレーズは、項目のうちのいずれか1つの少なくとも1つ、及び/又は項目の任意の組み合わせのうちの少なくとも1つ、及び/又は項目のそれぞれのうちの少なくとも1つ、を含む意味を可能にする。例として、「A、B、及びCのうちの少なくとも1つ」又は「A、B、又はCのうちの少なくとも1つ」というフレーズは、それぞれが、Aのみ、Bのみ、又はCのみ、A、B、及びCの任意の組み合わせ、並びに/又は、A、B、及びCのそれぞれのうちの少なくとも1つを指す。
「〜ように構成された(configured to)」、「〜ように動作可能な(operable to)」、及び「〜ようにプログラムされた(programmed to)」という述語は、対象物の特有の有形又は無形の改変を意味するものではなく、むしろ交換可能に使用されることを意図している。1つ以上の実装形態では、動作若しくは構成要素を監視及び制御するように構成されたプロセッサとは、プロセッサが、動作を監視及び制御するようにプログラムされていること、又はプロセッサが、動作を監視及び制御するように動作可能であることも意味し得る。同様に、コードを実行するように構成されたプロセッサは、コードを実行するようにプログラムされた、又はコードを実行するように動作可能なプロセッサ、として解釈することができる。
1つの態様、その態様、別の態様、いくつかの態様、1つ以上の態様、1つの実装形態、その実装形態、別の実装形態、いくつかの実装形態、1つ以上の実装形態、1つの実施形態、その実施形態、別の実施形態、いくつかの実施形態、1つ以上の実施形態、1つの構成、その構成、別の構成、いくつかの構成、1つ以上の構成、主題の技術、開示、本開示、それらの他の変形、及び同様のフレーズは、便宜上のものであり、そのようなフレーズ(単数又は複数)に関する開示が主題の技術に不可欠であること、又はそのような開示が主題の技術の全ての構成に適用されること、の意味を含むものではない。そのようなフレーズ(単数又は複数)に関する開示は、全ての構成、又は1つ以上の構成に適用することができる。そのようなフレーズ(単数又は複数)に関する開示は、1つ以上の例を提供することができる。態様又はいくつかの態様などのフレーズは、1つ以上の態様を指すことができ、その逆も同様であり、これは他の前述のフレーズと同様に適用される。
単語「例示的(exemplary)」は、本明細書において、「例、事例、又は実例の役割を果たすこと」を意味するために使用される。「例示的」又は「例」として本明細書で説明されたいかなる実施形態も、必ずしも他の実施形態を超えて好ましい又は有利であると解釈されるべきではない。更に、「含む」、「有する」などの用語が明細書又は特許請求の範囲で使用される限りにおいて、そのような用語は、「備える」が特許請求の範囲において移行語として使用される時に解釈されるように、「備える」という用語と同様の方法で包括的であることを意図する。
当業者に知られているか又は後に知られるようになる、本開示を通じて説明される様々な態様のエレメントに対する全ての構造的及び機能的な均等物は、参照により明示的に本明細書に組み込まれ、かつ、特許請求の範囲に包含されるものと意図する。更に、本明細書で開示されたいかなるものも、そのような開示が特許請求の範囲に明白に列挙されているかどうかにかかわらず、公共に捧げられることを意図しない。いかなる特許請求の範囲のエレメントも、エレメントがフレーズ「手段(means for)」を使用して明示的に列挙するか、又は方法の請求項の場合には、エレメントがフレーズ「ステップ(step for)」を使用して列挙しない限り、米国特許法第112条第6パラグラフの規定に基づいて解釈されるべきではない。
前述の説明は、当業者が本明細書で説明した様々な態様を実施することを可能にするために提供される。これらの態様に対する様々な変更は、当業者には容易に明らかであり、本明細書で定義される一般的な原理は、他の態様にも適用することができる。それゆえ、請求項は、本明細書に示される態様に限定されること意図されておらず、文言による請求項に合致した全範囲を認められるべきであり、単数形によるエレメントへの言及は、特に断りのない限り、「唯一の(one and only one)」を意味することを意図されておらず、むしろ、「1つ以上の(one or more)」を意味することを意図されている。特記しない限り、「いくつかの(some)」という用語は、1つ以上のものを指す。男性系(例えば、彼)の代名詞は、女性及び中性の性別(例えば、彼女及びその)を含み、並びにその逆である。もしあれば、見出し及び小見出しは、便宜上のみに使用され、本願の開示を限定するものではない。

Claims (20)

  1. セキュアデバイスであって、
    メモリと、
    少なくとも1つのプロセッサであって、
    有効デジタル資格情報リスト、無効化リスト、及び同期カウンタ値を維持し、
    前記有効デジタル資格情報リストを電子デバイスと同期させるリクエストであって、前記リクエストが、前記有効デジタル資格情報リスト及び前記無効化リストを含む、リクエストを送信し
    前記電子デバイスから、更新済み有効デジタル資格情報リストを受信し、
    前記更新済み有効デジタル資格情報リストの受信に応じて、前記無効化リストをクリアし、前記有効デジタル資格情報リストを前記更新済み有効デジタル資格情報リストと置き換え、前記同期カウンタ値をインクリメントし、
    受信済み資格情報維持リクエストが、前記インクリメント済み同期カウンタ値以上である他の同期カウンタ値を含む場合、前記受信済み資格情報維持リクエストを満たす、
    ように構成されている、プロセッサと、
    を備える、セキュアデバイス。
  2. 前記有効デジタル資格情報リストが、前記セキュアデバイスにアクセスすることを許可された1つ以上のデジタル資格情報の1つ以上の識別子を含み、前記無効化リストが、前記セキュアデバイスへのアクセスが無効にされた1つ以上のデジタル資格情報の1つ以上の識別子を含む、請求項1に記載のセキュアデバイス。
  3. 失効時刻が前記無効化リスト内の前記1つ以上のデジタル資格情報の前記1つ以上の識別子の少なくとも1つに関連付けられており、前記少なくとも1つのプロセッサが、
    現在時刻が前記失効時刻以上の時に、前記無効化リスト内の前記1つ以上のデジタル資格情報の前記1つ以上の識別子の前記少なくとも1つを除去するように更に構成されている、請求項2に記載のセキュアデバイス。
  4. 前記少なくとも1つのプロセッサが、
    前記セキュアデバイスに対するアクセス権を伝送するための秘密キーを前記電子デバイスに与えることを容易にするように更に構成されている、請求項2に記載のセキュアデバイス。
  5. 前記少なくとも1つのプロセッサが、単一のアトミックトランザクションで、前記無効化リストをクリアし、前記有効デジタル資格情報リストを前記更新済み有効デジタル資格情報リストと置き換え、前記同期カウンタ値をインクリメントするように更に構成されている、請求項1に記載のセキュアデバイス。
  6. 前記少なくとも1つのプロセッサが、デジタル資格情報識別子に関連付けられた1つ以上のアクセス権のインジケーションと共に、前記デジタル資格情報識別子を前記有効デジタル資格情報リストに追加することによって、前記受信済み資格情報維持リクエストを満たすように構成されている、請求項1に記載のセキュアデバイス。
  7. 前記少なくとも1つのプロセッサが、前記有効デジタル資格情報リストからデジタル資格情報識別子を除去し、前記無効化リストに前記デジタル資格情報に関連付けられた識別子を追加することによって、前記受信済み資格情報維持リクエストを満たすように構成されている、請求項1に記載のセキュアデバイス。
  8. 前記少なくとも1つのプロセッサが、
    前記有効デジタル資格情報リストを同期する前記リクエストを送信する前に、第2の他の同期カウンタ値を有する他の資格情報維持リクエストを受信し、
    前記有効デジタル資格情報リストを同期する前記リクエストを送信する前に、前記第2の他の同期カウンタ値が前記インクリメント済み同期カウンタ値以上である場合、前記他の資格情報維持リクエストを満たす、
    ように更に構成されている、請求項1に記載のセキュアデバイス。
  9. 前記少なくとも1つのプロセッサが、
    前記セキュアデバイスにアクセスするリクエストであって、前記リクエストがデジタル資格情報識別子を含む、リクエストを受信し、
    前記デジタル資格情報識別子が前記有効デジタル資格情報リストに記憶され、前記デジタル資格情報の識別子が前記無効化リストに記憶されていない場合、前記リクエストを承諾する、
    ように更に構成されている、請求項1に記載のセキュアデバイス。
  10. 前記少なくとも1つのプロセッサが、ピアツーピア接続を介して、前記更新済み有効デジタル資格情報リストを直接前記電子デバイスから受信するように構成されている、請求項1に記載のセキュアデバイス。
  11. 前記少なくとも1つのプロセッサが、サーバを介して前記更新済み有効デジタル資格情報リストを前記電子デバイスから受信するように構成されている、請求項1に記載のセキュアデバイス。
  12. 前記セキュアデバイスが、車両である、又は車両に含まれる、請求項1に記載のセキュアデバイス。
  13. セキュアデバイスから同期リクエストを受信することであって、前記同期リクエストが、セキュアデバイス有効資格情報リスト及びセキュアデバイス無効化リストを含む、ことと、
    前記セキュアデバイス無効化リストに少なくとも部分的に基づいて、1次有効資格情報リストを更新することと、
    同期カウンタ値をインクリメントすることと、
    前記更新済み1次有効資格情報リストを前記セキュアデバイスに提供することと、
    を含む、方法。
  14. 前記セキュアデバイスにアクセスするために他のデバイスによって使用されるデジタル資格情報を無効にするリクエストを受信することと、
    前記デジタル資格情報に対応する無効化リクエストを前記セキュアデバイスに送信することであって、前記無効化リクエストが前記同期カウンタ値を含む、ことと、
    を更に含む、請求項13に記載の方法。
  15. 前記無効化リクエストが、サーバを介して前記セキュアデバイスに中継される、請求項14に記載の方法。
  16. 失効時刻が前記デジタル資格情報と関連付けられ、前記デジタル資格情報を無効にする前記リクエストが、前記失効時刻の前に受信される、請求項14に記載の方法。
  17. 対象デジタル資格情報を示す他の無効化リクエストを前記他のデバイスに送信することと、
    前記他の無効化リクエストに応じて、前記他のデバイスから、前記対象デジタル資格情報が前記他のデバイスから除去されたことを確認する無効化証明データ項目を受信することと、
    を更に含む、請求項14に記載の方法。
  18. 電子デバイスによって、前記セキュアデバイスに対する1つ以上のアクセス権をデジタル資格情報に割り当てるリクエストを受信することと、
    前記電子デバイスによって、前記同期カウンタ値及び前記1つ以上のアクセス権のインジケーションと共に前記デジタル資格情報を特定する証明データ項目を前記セキュアデバイスに提供することと、
    を更に含む、請求項13に記載の方法。
  19. 前記証明データ項目が、前記電子デバイスの秘密キーで署名されている、請求項18に記載の方法。
  20. システムであって、
    電子デバイスであって、
    1つ以上の資格情報識別子と、1次同期カウンタ値と、を含む1次有効資格情報リストを記憶するように構成されているメモリと、
    少なくとも1つのプロセッサであって、
    セキュアデバイスから無線で、前記1次有効資格情報リストをセキュアデバイス有効資格情報リストに同期させるリクエストであって、前記リクエストが、前記セキュアデバイス有効資格情報リスト及びセキュアデバイス無効化リストを含む、リクエストを受信し、
    前記セキュアデバイス無効化リストに特定される資格情報を除去することによって、かつ前記セキュアデバイス有効資格情報リストに含まれる資格情報識別子を追加することによって、前記1次有効資格情報リストを更新し、
    前記更新済み1次有効資格情報リストを前記セキュアデバイスに送信する、
    ように構成されている、プロセッサと、
    を含む、電子デバイスと、
    前記電子デバイスから物理的に接続解除された前記セキュアデバイスであって、
    前記セキュアデバイス有効資格情報リスト、前記セキュアデバイス無効化リスト、及びセキュアデバイス同期カウンタ値を記憶するように構成されているメモリと、
    少なくとも1つのプロセッサであって、
    前記更新済み1次有効資格情報リストを前記セキュアデバイスから受信し、
    前記更新済み1次有効資格情報リストの受信に応じて、単一のアトミックトランザクションで、前記セキュアデバイス有効資格情報リストを前記更新済み1次有効資格情報リストに置き換え、前記セキュアデバイス無効化リストをクリアし、前記セキュアデバイス同期カウンタ値をインクリメントし、
    受信済み資格情報維持リクエストが、前記セキュアデバイス同期カウンタ値以上の他の同期カウンタ値を含む場合、前記受信済み資格情報維持リクエストを満たす、
    ように構成されている、プロセッサと、
    を含む、前記セキュアデバイスと、
    を備える、システム。
JP2019175018A 2018-09-27 2019-09-26 デジタル資格情報無効化 Active JP6929911B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201862737820P 2018-09-27 2018-09-27
US62/737,820 2018-09-27
US16/578,198 US11443028B2 (en) 2018-09-27 2019-09-20 Digital credential revocation
US16/578,198 2019-09-20

Publications (2)

Publication Number Publication Date
JP2020053054A true JP2020053054A (ja) 2020-04-02
JP6929911B2 JP6929911B2 (ja) 2021-09-01

Family

ID=68072107

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019175018A Active JP6929911B2 (ja) 2018-09-27 2019-09-26 デジタル資格情報無効化

Country Status (5)

Country Link
US (2) US11443028B2 (ja)
EP (1) EP3629544B1 (ja)
JP (1) JP6929911B2 (ja)
KR (1) KR102321360B1 (ja)
CN (1) CN110958113B (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4354791A1 (de) * 2022-10-14 2024-04-17 Siemens Aktiengesellschaft Attestierung der synchronisation eines kryptographischen schlüssels

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005303993A (ja) * 2004-04-09 2005-10-27 Microsoft Corp クレデンシャルローミングのためのシステムおよび方法
JP2012144899A (ja) * 2011-01-12 2012-08-02 Nec Casio Mobile Communications Ltd 電子鍵管理装置、施錠・開錠システム、電子鍵管理方法およびプログラム
US20130212639A1 (en) * 2011-02-23 2013-08-15 Tencent Technology (Shenzhen) Company Limited Method, System And Apparatus For Improving Security Level Of A Terminal When Surfing Internet
US20130212383A1 (en) * 2012-02-09 2013-08-15 Philip J. Hallin Revocation Information for Revocable Items
CN103563474A (zh) * 2011-06-03 2014-02-05 索尼公司 无线通信装置、信息处理装置、通信系统和通信方法
US20160119312A1 (en) * 2014-05-30 2016-04-28 Apple Inc. Encryption methods and apparatus
JP2018117324A (ja) * 2017-01-20 2018-07-26 富士通株式会社 端末装置及び読出制御プログラム
WO2018160863A1 (en) * 2017-03-01 2018-09-07 Apple Inc. System access using a mobile device

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6092201A (en) * 1997-10-24 2000-07-18 Entrust Technologies Method and apparatus for extending secure communication operations via a shared list
US7814315B2 (en) * 2006-11-30 2010-10-12 Red Hat, Inc. Propagation of certificate revocation information
CN102549595B (zh) * 2010-07-23 2016-04-20 松下电器产业株式会社 信息处理装置、控制器、密钥发行站、无效化列表有效性判定方法以及密钥发行方法
KR101300788B1 (ko) 2011-01-14 2013-09-11 시큐어플랫폼즈테크놀로지(주) 스마트폰을 이용한 차량 제어 방법 및 시스템
US9087187B1 (en) * 2012-10-08 2015-07-21 Amazon Technologies, Inc. Unique credentials verification
US9877188B1 (en) * 2014-01-03 2018-01-23 Google Llc Wireless network access credential sharing using a network based credential storage service
US10769262B1 (en) * 2014-01-17 2020-09-08 Microstrategy Incorporated Enabling use of credentials
AU2015219267A1 (en) * 2014-02-18 2016-09-22 Secureauth Corporation Fingerprint based authentication for single sign on
US10135833B2 (en) * 2015-05-29 2018-11-20 Schlage Lock Company Llc Credential driving an automatic lock update
US10320848B2 (en) * 2016-01-15 2019-06-11 Microsoft Technology Licensing, Llc Smart lockout
US11012436B2 (en) * 2018-03-27 2021-05-18 Workday, Inc. Sharing credentials

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005303993A (ja) * 2004-04-09 2005-10-27 Microsoft Corp クレデンシャルローミングのためのシステムおよび方法
JP2012144899A (ja) * 2011-01-12 2012-08-02 Nec Casio Mobile Communications Ltd 電子鍵管理装置、施錠・開錠システム、電子鍵管理方法およびプログラム
US20130212639A1 (en) * 2011-02-23 2013-08-15 Tencent Technology (Shenzhen) Company Limited Method, System And Apparatus For Improving Security Level Of A Terminal When Surfing Internet
CN103563474A (zh) * 2011-06-03 2014-02-05 索尼公司 无线通信装置、信息处理装置、通信系统和通信方法
US20130212383A1 (en) * 2012-02-09 2013-08-15 Philip J. Hallin Revocation Information for Revocable Items
US20160119312A1 (en) * 2014-05-30 2016-04-28 Apple Inc. Encryption methods and apparatus
JP2018117324A (ja) * 2017-01-20 2018-07-26 富士通株式会社 端末装置及び読出制御プログラム
WO2018160863A1 (en) * 2017-03-01 2018-09-07 Apple Inc. System access using a mobile device

Also Published As

Publication number Publication date
CN110958113B (zh) 2022-10-25
CN110958113A (zh) 2020-04-03
KR20200035895A (ko) 2020-04-06
JP6929911B2 (ja) 2021-09-01
EP3629544A1 (en) 2020-04-01
US20200104481A1 (en) 2020-04-02
EP3629544B1 (en) 2023-03-15
US11443028B2 (en) 2022-09-13
KR102321360B1 (ko) 2021-11-03
US20230004636A1 (en) 2023-01-05

Similar Documents

Publication Publication Date Title
US11019040B2 (en) Cloud key escrow system
US10735202B2 (en) Anonymous consent and data sharing on a blockchain
US9973484B2 (en) System and method for securely storing and sharing information
US9390228B2 (en) System and method for securely storing and sharing information
US11190507B2 (en) Trusted device establishment
KR102670853B1 (ko) Sim 카드를 통한 서비스들에 대한 액세스 유지
US20220278830A1 (en) Secure information sharing systems and methods
WO2020256892A1 (en) Encrypting data associated with decentralized identifier
US20160072772A1 (en) Process for Secure Document Exchange
GB2573178A (en) Managing data access
WO2017210563A1 (en) System and method for securely storing and sharing information
CN115618321A (zh) 访问控制方法及装置、电子设备、存储介质
US20220385643A1 (en) End-to-end encryption for location sharing
EP4348915A1 (en) Endorsement claim in a verifiable credential
US20230004636A1 (en) Digital credential revocation
US11620393B1 (en) System and method for facilitating distributed peer to peer storage of data
CN115208630B (zh) 基于区块链的数据获取方法、系统及区块链系统
Abouali et al. Patient full control over secured medical records transfer framework based on blockchain
US11785005B2 (en) Secure tunneling with implicit device identification
US20230177209A1 (en) Distributed Communication Network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191010

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201119

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20210219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210329

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210629

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210811

R150 Certificate of patent or registration of utility model

Ref document number: 6929911

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250