ホーム > 特許ランキング > タレス・カナダ・インク
知財求人 - 知財ポータルサイト「IP Force」
特許5894713セキュリティデバイスバンク、およびセキュリティデバイスバンクを含むシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5894713
(24)【登録日】2016年3月4日
(45)【発行日】2016年3月30日
(54)【発明の名称】セキュリティデバイスバンク、およびセキュリティデバイスバンクを含むシステム
(51)【国際特許分類】
H04L 12/66 20060101AFI20160317BHJP
H04L 12/70 20130101ALI20160317BHJP
B61L 3/12 20060101ALN20160317BHJP
B61L 23/14 20060101ALN20160317BHJP
【FI】
H04L12/66 B
H04L12/70 D
!B61L3/12 Z
!B61L23/14 Z
【請求項の数】20
【全頁数】17
(21)【出願番号】特願2015-536231(P2015-536231)
(86)(22)【出願日】2013年10月11日
(65)【公表番号】特表2016-503595(P2016-503595A)
(43)【公表日】2016年2月4日
(86)【国際出願番号】IB2013002289
(87)【国際公開番号】WO2014060821
(87)【国際公開日】20140424
【審査請求日】2015年12月24日
(31)【優先権主張番号】61/714,202
(32)【優先日】2012年10月15日
(33)【優先権主張国】US
(31)【優先権主張番号】13/837,012
(32)【優先日】2013年3月15日
(33)【優先権主張国】US
【早期審査対象出願】
(73)【特許権者】
【識別番号】512319830
【氏名又は名称】タレス・カナダ・インク
【氏名又は名称原語表記】THALES CANADA INC.
(74)【代理人】
【識別番号】110001863
【氏名又は名称】特許業務法人アテンダ国際特許事務所
(72)【発明者】
【氏名】ジョセフ シュウ
【審査官】
菊地 陽一
(56)【参考文献】
【文献】
特開2011−072038(JP,A)
【文献】
C.C.Bantin et.al.,Designing a secure data communications system for automatic train control,Proceedings of the Institution of Mechanical Engineers, Part F: Journal of Rail and Rapid Transit,2011年 7月,vol.225 no.4,pp.395-402
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/66
H04L 12/70
B61L 3/12
B61L 23/14
(57)【特許請求の範囲】
【請求項1】
システムであって、
信頼できるネットワークと、
信頼できないネットワークと、
移動可能物体に搭載された搭載装置と、
沿線装置及び中央装置並びに駅装置を備えるとともに前記信頼できるネットワークに通信可能に接続する非搭載装置と、
前記移動可能物体に搭載され、前記搭載装置と前記信頼できないネットワークとを通信可能に接続する1つまたは複数の第1のセキュリティデバイスと、
前記信頼できるネットワークと前記信頼できないネットワークとを通信可能に接続するセキュリティデバイスバンクとを備え、
前記セキュリティデバイスバンクは、
共通バスまたはローカルネットワークと、
前記共通バスまたは前記ローカルネットワークに接続された1つまたは複数の第2のセキュリティデバイスとを備え、
前記1つ又は複数の第2のセキュリティデバイスの各第2のセキュリティデバイスは、前記セキュリティデバイスバンクと前記1つ又は複数の第1のセキュリティデバイスとの間の前記信頼できないネットワークを介したあらかじめ定められた数の通信トンネルを確立するよう構成され、
前記通信トンネルは、インターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠し、
前記セキュリティデバイスバンクは、前記共通バス又は前記ローカルネットワークに接続された1つ又は複数の追加第2のセキュリティデバイスを前記セキュリティデバイスバンクに追加することによって前記セキュリティデバイスバンクの通信容量の増加を調整可能に構成され、
前記セキュリティデバイスバンクに含まれる前記1つ又は複数の第2のセキュリティデバイスは前記システムの検証されたコンポーネントであり、
前記1つ又は複数の第2のセキュリティデバイスは、前記1つ又は複数の追加第2のセキュリティデバイスを、前記共通バス又は前記ローカルネットワークに接続された前記1つ又は複数の追加第2のセキュリティデバイスに基づく前記システムの前記検証されたコンポーネントにするよう構成され、
前記非搭載装置の全ては、前記セキュリティデバイスバンクのみを介して前記信頼できないネットワークと通信可能に接続され、
前記非搭載装置の全ては、前記セキュリティデバイスバンクと独立した前記信頼できるネットワークを介して、互いに通信可能に接続される。
信頼できるネットワークと、
信頼できないネットワークと、
移動可能物体に搭載された搭載装置と、
沿線装置及び中央装置並びに駅装置を備えるとともに前記信頼できるネットワークに通信可能に接続する非搭載装置と、
前記移動可能物体に搭載され、前記搭載装置と前記信頼できないネットワークとを通信可能に接続する1つまたは複数の第1のセキュリティデバイスと、
前記信頼できるネットワークと前記信頼できないネットワークとを通信可能に接続するセキュリティデバイスバンクとを備え、
前記セキュリティデバイスバンクは、
共通バスまたはローカルネットワークと、
前記共通バスまたは前記ローカルネットワークに接続された1つまたは複数の第2のセキュリティデバイスとを備え、
前記1つ又は複数の第2のセキュリティデバイスの各第2のセキュリティデバイスは、前記セキュリティデバイスバンクと前記1つ又は複数の第1のセキュリティデバイスとの間の前記信頼できないネットワークを介したあらかじめ定められた数の通信トンネルを確立するよう構成され、
前記通信トンネルは、インターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠し、
前記セキュリティデバイスバンクは、前記共通バス又は前記ローカルネットワークに接続された1つ又は複数の追加第2のセキュリティデバイスを前記セキュリティデバイスバンクに追加することによって前記セキュリティデバイスバンクの通信容量の増加を調整可能に構成され、
前記セキュリティデバイスバンクに含まれる前記1つ又は複数の第2のセキュリティデバイスは前記システムの検証されたコンポーネントであり、
前記1つ又は複数の第2のセキュリティデバイスは、前記1つ又は複数の追加第2のセキュリティデバイスを、前記共通バス又は前記ローカルネットワークに接続された前記1つ又は複数の追加第2のセキュリティデバイスに基づく前記システムの前記検証されたコンポーネントにするよう構成され、
前記非搭載装置の全ては、前記セキュリティデバイスバンクのみを介して前記信頼できないネットワークと通信可能に接続され、
前記非搭載装置の全ては、前記セキュリティデバイスバンクと独立した前記信頼できるネットワークを介して、互いに通信可能に接続される。
【請求項2】
請求項1に記載のシステムであって、前記1つ又は複数の第2のセキュリティデバイスによって確立された前記通信トンネルの少なくとも1つは、前記信頼できないネットワークを介する仮想プライベートネットワーク(VPN)トンネルである。
【請求項3】
請求項1に記載のシステムであって、前記1つ又は複数の第2のセキュリティデバイスによって確立された前記通信トンネルは、前記信頼できないネットワークを介する複数のVPNトンネルを備える。
【請求項4】
請求項1に記載のシステムであって、前記セキュリティデバイスバンクは第1のセキュリティデバイスバンクであり、前記システムは更に、前記信頼できるネットワークと前記信頼できないネットワークとを通信可能に接続する第2のセキュリティデバイスバンクを備え、
前記第1のセキュリティデバイスバンクの前記1つ又は複数の第2のセキュリティデバイスによって確立された前記通信トンネルは、前記信頼できないネットワークを介して前記第1のセキュリティデバイスバンクと前記1つ又は複数の第1のセキュリティデバイスとを通信可能に接続する少なくとも1つのVPNトンネルを備え、
前記第2のセキュリティデバイスバンク及び前記1つ又は複数の第1のセキュリティデバイスは、前記信頼できないネットワークを介して前記第2のセキュリティデバイスバンクと前記1つ又は複数の第1のセキュリティデバイスとを通信可能に接続する別々のVPNトンネルを確立するよう構成される。
前記第1のセキュリティデバイスバンクの前記1つ又は複数の第2のセキュリティデバイスによって確立された前記通信トンネルは、前記信頼できないネットワークを介して前記第1のセキュリティデバイスバンクと前記1つ又は複数の第1のセキュリティデバイスとを通信可能に接続する少なくとも1つのVPNトンネルを備え、
前記第2のセキュリティデバイスバンク及び前記1つ又は複数の第1のセキュリティデバイスは、前記信頼できないネットワークを介して前記第2のセキュリティデバイスバンクと前記1つ又は複数の第1のセキュリティデバイスとを通信可能に接続する別々のVPNトンネルを確立するよう構成される。
【請求項5】
請求項1に記載のシステムであって、前記1つ又は複数の第2のセキュリティデバイスによって確立された前記通信トンネルは、VPNトンネルである。
【請求項6】
請求項1に記載のシステムであって、前記信頼できるネットワークに通信可能に接続された固定装置をさらに備え、前記信頼できるネットワークは、静的ルーティングおよびキープアライブポーリングによって前記固定装置と前記セキュリティデバイスバンクとの間に通信を確立するように構成される。
【請求項7】
請求項1に記載のシステムであって、前記1つまたは複数の第2のセキュリティデバイスは、前記セキュリティデバイスバンク内で互いに通信情報を共有して前記1つ又は複数の追加セキュリティデバイスを前記システムの前記検証されたコンポーネントにするように構成される。
【請求項8】
請求項7に記載のシステムであって、前記通信情報は、前記共通バス又は前記ローカルネットワークを介して、前記セキュリティデバイスバンクに含まれる前記1つ又は複数の第2のセキュリティデバイス、及び、前記セキュリティデバイスバンクに追加された前記1つ又は複数の追加第2のセキュリティデバイスに伝搬されたセキュリティポリシー情報を備える。
【請求項9】
請求項1に記載のシステムであって、前記1つまたは複数の第2のセキュリティデバイスのうちの第1のデバイスは、(1)前記1つまたは複数の第2のセキュリティデバイスのうちの前記第1のデバイス上のデータトラフィック、あるいは(2)前記1つまたは複数の第2のセキュリティデバイスのうちの前記第1のデバイスによってVPNトンネルを確立する要求を、前記1つまたは複数の第2のセキュリティデバイスのうちの第2のデバイスにリダイレクトするように構成される。
【請求項10】
請求項1に記載のシステムであって、前記セキュリティデバイスバンクは、(1)前記1つまたは複数の第2のセキュリティデバイスのうちの第1のデバイス上のデータトラフィック、あるいは(2)前記1つまたは複数の第2のセキュリティデバイスのうちの前記第1のデバイスによってVPNトンネルを確立する要求を、前記1つまたは複数の第2のセキュリティデバイスのうちの第2のデバイスにリダイレクトするように構成されたスタンドアロン型コントローラをさらに備える。
【請求項11】
請求項1に記載のシステムであって、前記1つ又は複数の追加第2のセキュリティデバイスは、前記セキュリティデバイスバンクにおける前記1つ又は複数の追加第2のセキュリティデバイスの包含のみに基づく前記システムの検証されたコンポーネントである。
【請求項12】
請求項1に記載のシステムであって、前記追加第2のセキュリティデバイスの数は、前記非搭載装置に含まれる沿線装置の数に基づく。
【請求項13】
信頼できるネットワークと信頼できないネットワークを接続するように構成されたセキュリティデバイスバンクであって、前記セキュリティデバイスバンクは、
共通バスまたはローカルネットワークと、
前記共通バスまたは前記ローカルネットワークに接続された1つまたは複数の非搭載セキュリティデバイスとを備え、
前記1つ又は複数の非搭載セキュリティデバイスの各非搭載セキュリティデバイスは、前記セキュリティデバイスバンクと移動可能車両に搭載された1つ又は複数の搭載セキュリティデバイスとの間の前記信頼できないネットワークを介したあらかじめ定められた数の通信トンネルを確立するよう構成され、
前記通信トンネルは、インターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠し、
前記セキュリティデバイスバンクは、前記共通バス又は前記ローカルネットワークに接続された1つ又は複数の追加非搭載セキュリティデバイスを前記セキュリティデバイスバンクに追加することによって前記セキュリティデバイスバンクの通信容量の増加を調整可能に構成され、
前記セキュリティデバイスバンクに含まれる前記1つ又は複数の非搭載セキュリティデバイスは車両制御システムの検証されたコンポーネントであり、
前記1つ又は複数の非搭載セキュリティデバイスは、前記1つ又は複数の追加非搭載セキュリティデバイスを、前記共通バス又は前記ローカルネットワークに接続された前記1つ又は複数の追加非搭載セキュリティデバイスに基づく前記車両制御システムの前記検証されたコンポーネントにするよう構成され、
前記車両制御システムは、沿線装置及び中央装置並びに駅装置を備える非搭載装置を備え、
前記非搭載装置は、前記セキュリティデバイスバンクと独立した前記信頼できるネットワークを介して、互いに通信可能に、前記信頼できるネットワーク接続され、
前記セキュリティデバイスバンクは、前記セキュリティデバイスのみを介して前記信頼できないネットワークと全ての非搭載装置が通信可能に結合するよう構成される。
共通バスまたはローカルネットワークと、
前記共通バスまたは前記ローカルネットワークに接続された1つまたは複数の非搭載セキュリティデバイスとを備え、
前記1つ又は複数の非搭載セキュリティデバイスの各非搭載セキュリティデバイスは、前記セキュリティデバイスバンクと移動可能車両に搭載された1つ又は複数の搭載セキュリティデバイスとの間の前記信頼できないネットワークを介したあらかじめ定められた数の通信トンネルを確立するよう構成され、
前記通信トンネルは、インターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠し、
前記セキュリティデバイスバンクは、前記共通バス又は前記ローカルネットワークに接続された1つ又は複数の追加非搭載セキュリティデバイスを前記セキュリティデバイスバンクに追加することによって前記セキュリティデバイスバンクの通信容量の増加を調整可能に構成され、
前記セキュリティデバイスバンクに含まれる前記1つ又は複数の非搭載セキュリティデバイスは車両制御システムの検証されたコンポーネントであり、
前記1つ又は複数の非搭載セキュリティデバイスは、前記1つ又は複数の追加非搭載セキュリティデバイスを、前記共通バス又は前記ローカルネットワークに接続された前記1つ又は複数の追加非搭載セキュリティデバイスに基づく前記車両制御システムの前記検証されたコンポーネントにするよう構成され、
前記車両制御システムは、沿線装置及び中央装置並びに駅装置を備える非搭載装置を備え、
前記非搭載装置は、前記セキュリティデバイスバンクと独立した前記信頼できるネットワークを介して、互いに通信可能に、前記信頼できるネットワーク接続され、
前記セキュリティデバイスバンクは、前記セキュリティデバイスのみを介して前記信頼できないネットワークと全ての非搭載装置が通信可能に結合するよう構成される。
【請求項14】
請求項13に記載のセキュリティデバイスバンクであって、前記1つ又は複数の非搭載セキュリティデバイスによって確立された前記通信トンネルの少なくとも1つは、前記信頼できないネットワークを介する仮想プライベートネットワーク(VPN)トンネルである。
【請求項15】
請求項13に記載のセキュリティデバイスバンクであって、前記1つ又は複数の非搭載セキュリティデバイスによって確立された前記通信トンネルは、VPNトンネルである。
【請求項16】
請求項13に記載のセキュリティデバイスバンクであって、前記1つ又は複数の非搭載セキュリティデバイスのうちの第1のデバイスは、前記共通バス又は前記ローカルネットワークを介して、前記1つ又は複数の非搭載セキュリティデバイスのうちの第2のデバイス及び前記1つ又は複数の追加非搭載セキュリティデバイスに、通信情報を送信するように構成される。
【請求項17】
請求項16に記載のセキュリティデバイスバンクであって、前記通信情報は、セキュリティポリシー情報を備える。
【請求項18】
請求項13に記載のセキュリティデバイスバンクであって、前記1つまたは複数の非搭載セキュリティデバイスのうちの第1のデバイスは、(1)前記1つまたは複数の非搭載セキュリティデバイスのうちの前記第1のデバイス上のデータトラフィック、(2)または前記1つまたは複数の非搭載セキュリティデバイスのうちの前記第1のデバイスによってVPNトンネルを確立する要求を、前記1つまたは複数の非搭載セキュリティデバイスのうちの第2のデバイスにリダイレクトするように構成される。
【請求項19】
請求項13に記載のセキュリティデバイスバンクであって、(1)前記1つまたは複数の非搭載セキュリティデバイスのうちの第1のデバイス上のデータトラフィック、(2)または前記1つまたは複数の非搭載セキュリティデバイスのうちの前記第1のデバイスによってVPNトンネルを確立する要求を、前記1つまたは複数の非搭載セキュリティデバイスのうちの第2のデバイスにリダイレクトするように構成されたスタンドアロン型コントローラをさらに備える。
【請求項20】
方法であって、
信頼できるネットワークを通じて第1のデバイスからセキュリティデバイスバンクへデータパケットを通信するステップであって、前記セキュリティデバイスバンクは1つ又は複数のセキュリティデバイスを備え、前記第1のデバイスは、沿線装置及び中央装置並びに駅装置を備えた非搭載装置ネットワークに含まれる複数のデバイスのうちの1つのデバイスであり、前記非搭載装置ネットワークに含まれる前記複数のデバイスは前記信頼できるネットワークを介して互いに通信可能に接続されている、ステップと、
前記セキュリティデバイスバンクによって、前記セキュリティデバイスバンクの1つまたは複数のセキュリティデバイスのあらかじめ定められた作業負荷割当て、または測定された作業負荷に基づいて、前記セキュリティデバイスバンクの前記1つまたは複数のセキュリティデバイスのうちの1つを選択するステップと、
前記データパケットを、仮想プライベートネットワーク(VPN)トンネルを使用することによって、信頼できないネットワークを通じて第2のデバイスに送信するステップであって、VPNトンネルのあらかじめ定められた数は、前記セキュリティデバイスバンクの前記1つまたは複数のセキュリティデバイスのうちの前記選択された1つによってインターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠して確立され、前記第2のデバイスは移動可能車両に搭載される搭載装置に含まれる複数のデバイスのうちの1つのデバイスである、ステップと、
1つ又は複数の追加セキュリティデバイスを前記セキュリティデバイスバンクに物理的に追加し、前記セキュリティデバイスバンクに含まれる前記セキュリティデバイスによって確立可能なVPNトンネルの総数を増加させることにより前記セキュリティデバイスバンクの通信容量を増加させるステップと、
車両制御システムの検証されたコンポーネントとして前記セキュリティデバイスバンクに含まれる前記セキュリティデバイスを確立するセキュリティポリシーを、前記1つ又は複数の追加セキュリティデバイスに伝搬させるステップと、
前記セキュリティデバイスバンクの前記1つ又は複数の追加セキュリティデバイスの包含に基づき前記1つ又は複数の追加セキュリティデバイスを検証するステップとを備え、
前記非搭載装置の全ては、前記セキュリティデバイスバンクのみを介して前記信頼できないネットワークと通信可能に接続され、
前記非搭載装置の全ては、前記セキュリティデバイスバンクと独立した前記信頼できるネットワークを介して、互いに通信可能に接続される。
信頼できるネットワークを通じて第1のデバイスからセキュリティデバイスバンクへデータパケットを通信するステップであって、前記セキュリティデバイスバンクは1つ又は複数のセキュリティデバイスを備え、前記第1のデバイスは、沿線装置及び中央装置並びに駅装置を備えた非搭載装置ネットワークに含まれる複数のデバイスのうちの1つのデバイスであり、前記非搭載装置ネットワークに含まれる前記複数のデバイスは前記信頼できるネットワークを介して互いに通信可能に接続されている、ステップと、
前記セキュリティデバイスバンクによって、前記セキュリティデバイスバンクの1つまたは複数のセキュリティデバイスのあらかじめ定められた作業負荷割当て、または測定された作業負荷に基づいて、前記セキュリティデバイスバンクの前記1つまたは複数のセキュリティデバイスのうちの1つを選択するステップと、
前記データパケットを、仮想プライベートネットワーク(VPN)トンネルを使用することによって、信頼できないネットワークを通じて第2のデバイスに送信するステップであって、VPNトンネルのあらかじめ定められた数は、前記セキュリティデバイスバンクの前記1つまたは複数のセキュリティデバイスのうちの前記選択された1つによってインターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠して確立され、前記第2のデバイスは移動可能車両に搭載される搭載装置に含まれる複数のデバイスのうちの1つのデバイスである、ステップと、
1つ又は複数の追加セキュリティデバイスを前記セキュリティデバイスバンクに物理的に追加し、前記セキュリティデバイスバンクに含まれる前記セキュリティデバイスによって確立可能なVPNトンネルの総数を増加させることにより前記セキュリティデバイスバンクの通信容量を増加させるステップと、
車両制御システムの検証されたコンポーネントとして前記セキュリティデバイスバンクに含まれる前記セキュリティデバイスを確立するセキュリティポリシーを、前記1つ又は複数の追加セキュリティデバイスに伝搬させるステップと、
前記セキュリティデバイスバンクの前記1つ又は複数の追加セキュリティデバイスの包含に基づき前記1つ又は複数の追加セキュリティデバイスを検証するステップとを備え、
前記非搭載装置の全ては、前記セキュリティデバイスバンクのみを介して前記信頼できないネットワークと通信可能に接続され、
前記非搭載装置の全ては、前記セキュリティデバイスバンクと独立した前記信頼できるネットワークを介して、互いに通信可能に接続される。
【発明の詳細な説明】
【背景技術】
【0001】
都市鉄道通信ベース列車制御(CBTC)システムは、列車の安全かつ効率的な制御の責任を担う。CBTCシステムの利点は、信頼性の向上と、列車間のより近い間隔とが、列車の運行中に達成可能であるということである。CBTCシステムでは、自動列車運行、保護、および監視が、しばしば中央コンピュータによって提供される。これらのコンピュータは、列車の効率的なルーティングと、ポイント(レールスイッチ)のずれを原因とする他の列車との衝突および脱線から列車を保護することの責任を担う。列車に搭載されたコンピュータ装置は、制御コンピュータによって確立された走行許可(movement authority)制限を順守すること、列車の位置を報告すること、および列車推進システムと乗客ドアとを安全に制御することを直接担当する。CBTCシステムのコンポーネントは、データ通信システム(DCS)を通じて相互接続される。DCSは、CBTCシステムの安全かつ効率的な操作を可能にするために十分なセキュリティが整っていることを確認する必要がある。
【図面の簡単な説明】
【0002】
添付の図面の図において、限定ではなく、例として、1つまたは複数の実施形態が示される。図面において、同じ参照番号指定を有する要素は、全体を通じて同様の要素を表す。図1は、1つまたは複数の実施形態による、CBTCシステムの系統図である。
図2は、1つまたは複数の実施形態による、CBTCシステムの機能ブロック図である。
図3Aは、1つまたは複数の実施形態による、沿線デバイスから列車デバイスへの通信のタイミング図である。
図3Bは、1つまたは複数の実施形態による、列車デバイスから沿線デバイスへの通信のタイミング図である。
図4は、1つまたは複数の実施形態による、信頼できるネットワーク、信頼できないネットワーク、およびセキュリティデバイス(SD)バンクの2つのSD間の通信のタイミング図である。
図5は、1つまたは複数の実施形態による、SDまたはSDバンクを実装するために使用可能なコンピュータシステムの機能ブロック図である。
【発明を実施するための形態】
【0003】
以下の開示は、本開示の異なる特徴を実装するための、1つまたは複数の異なる実施形態、または例を提供することが理解される。本開示を簡素化するために、コンポーネントおよび構成の具体例を以下で説明する。当然これらは例であり、限定を意図するものではない。業界の慣例に従って、図面における様々な特徴は原寸に比例して示されておらず、例示の目的のためにのみ使用される。
【0004】
図1は、1つまたは複数の実施形態による、CBTCシステム100の系統図である。CBTCシステム100は、信頼できる光ファイバネットワーク112と、信頼できない光ファイバネットワーク114と、無線ベースの列車−沿線モバイル通信ネットワーク116と、列車に搭載されたローカルエリアネットワーク118と、信頼できる光ファイバネットワーク112と信頼できない光ファイバネットワーク114とを結合するセキュリティデバイス(SD)バンク124aおよび124bのセットと、モバイル通信ネットワーク116と列車に搭載されたローカルエリアネットワーク118とを結合するセキュリティデバイス(SD)126aと126bのセットとを含む、データ通信システム(DCS)を有する。また、DCSは、任意で、SDバンク152を介する外部ネットワーク160への接続150を有する。信頼できない光ファイバネットワーク114および沿線モバイル通信ネットワーク116は、集合的に、信頼できないネットワークとも呼ばれる。いくつかの実施形態では、信頼できる光ファイバネットワーク112および信頼できない光ファイバネットワーク114は、光ファイバネットワークではない。いくつかの実施形態では、信頼できるネットワーク112および信頼できないネットワーク114は、有線通信技術、無線通信技術、光通信技術、またはそれらの組合せによって実装される。
【0005】
信頼できるネットワーク112に必要な保護のレベルに応じて、DCSネットワーク装置の個々のコンポーネント、およびそれらの相互接続が、信頼できるもの、または信頼できないもののいずれかとして分類される。信頼できるコンポーネントは、そのコンポーネント内で発信されたあらゆるメッセージを受け入れることができ、それが本物であり意図されたものであるという絶対的な保証とともに、別の信頼できるコンポーネントによって作用され得るコンポーネントである。それに対して、信頼できないコンポーネントは、CBTCシステムに関する限り、そのコンポーネント内で発信されたあらゆるメッセージが偽物であると仮定されなければならず、システムの動作または安全性のいずれかに影響を及ぼすことが許されないコンポーネントである。信頼ネットワーク112などの信頼できるネットワークは、信頼できるコンポーネントだけを含み、信頼できるネットワークの信頼できるコンポーネントは、十分な防御を提供するように設計された装置を介さない限り、信頼できないコンポーネントに決して直接接続してはならない。そうしないと、他のコンポーネント間の他の相互接続は、おそらく信頼できないネットワークである。
【0006】
さらに、CBTCシステム100は、DCSの信頼できる光ファイバネットワーク112に結合された中央装置132、駅装置134、および沿線装置136を有する。また、CBTCシステム100は、列車に搭載されたローカルエリアネットワーク118に接続された搭載装置142を有する。SDバンク124a、124b、および152は、それぞれ、信頼できないモバイルネットワーク116と信頼できるネットワーク112との間の通信ゲートウェイ、および信頼できるネットワーク112とそれらに接続された装置との間の通信ゲートウェイとして、複数のSDを含む。いくつかの実施形態では、SDバンク124aまたは124bは、1つの物理的セキュリティデバイスだけを含む。
【0007】
セキュリティデバイス(SD)は、信頼できないオープンネットワークを通じたデータ通信を保護するために使用される。SDは、マスカレード攻撃から保護するために強力な認証機能を提供する。装置側で、エンドノードでSDを展開して、エンドノードと列車に搭載されたSD126aまたは126bとの間に信頼できるネットワーク112と信頼できないネットワーク114との両方を通じてトンネルを確立する代わりに、図1に示される実施形態では、SDはSDバンク124a、124b、および152にグループ化されて、信頼できるネットワーク112と信頼できない光ファイバネットワーク114とをブリッジするノードで展開される。いくつかの実施形態では、トンネルは仮想プライベートネットワーク(VPN)トンネルとも呼ばれる。いくつかの実施形態では、VPNトンネルは、インターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠する。
【0008】
いくつかの実施形態では、セーフガードとして代替または冗長な通信パスを提供するために、SDバンク124aおよび/または124bは、搭載されたSD126aと126bの両方とともに通信トンネルを確立して維持する。通信トンネルは、暗号処理に基づいて、両者間の通信を管理するために必要な秘密情報を共有したSDのペアを通じてセットアップされた信頼できる接続を指す。障害管理は、SDバンク124aおよび124b、ならびに列車に搭載されたSD126aおよび126bのルート追跡によって処理される。
【0009】
SDバンク124a、124b、および/または152内の物理的SDのそれぞれは、あらかじめ定められた数のトンネルを処理することができ、物理的SDの数を、列車の数または通信容量の増大を求めるニーズとしてSDバンクに追加することによって、システムのスケーリングを可能にする。したがって、列車ごとに利用可能なトンネルの数は、システム内の沿線装置の数に関わらず一定に保たれる。少なくともいくつかの実施形態では、これによって既存のソリューションでスケーラビリティの問題が解決する。
【0010】
SDバンク124a、124b、および152の実装は、鉄道環境基準の下で資格があるように設計された、組み込みデバイスを使用することによって実行される。少なくともいくつかの実施形態では、SDバンク内のSDは、無料配布されるIPSecモジュールを有するオープンソースオペレーティングシステムでロードされる。上記で示したように、構成ファイルは、ソリューションに合わせて調整するように修正される。
【0011】
物理レベルでは、列車デバイス(集合的に、搭載装置142と呼ばれる)は、標準イーサネットインターフェース(Cat−5、M12、またはLEMO)を使用するLAN118を通じて列車セキュリティデバイスに接続する。いくつかの実施形態では、LAN118は、搭載装置142の一部とも呼ばれる。いくつかの実施形態では、LAN118は省略される。次いで、列車SDは、例えばIEEE 802.11などの標準無線プロトコルを通じてモバイルネットワーク116の沿線無線ユニットと通信するイーサネットインターフェースを通じて、モバイルネットワーク116の搭載モバイル無線に接続する。次いで、沿線無線ユニットは、例えば100−Base−FXなどの有線接続を使用して、信頼できないネットワーク114に接続する。いくつかの実施形態では、SDバンク124aまたは124bは、100−Base−TXインターフェースを通じて信頼できない光ファイバネットワーク114に、および別の100−base−Txインターフェースを通じて信頼できるネットワーク112のルータにも接続される。次いで、信頼できるネットワークルータは、100−Base−Txインターフェースを使用して、沿線デバイス(すなわち、中央装置132、駅装置134、および沿線装置136)に接続する。
【0012】
論理レベルでは、列車デバイス、および列車SD126aまたは126bの信頼できるSDインターフェースは、列車ネットワークと同じ仮想ローカルエリアネットワーク(VLAN)に属する。列車SD126aまたは126bの信頼できない列車SDインターフェース、およびSDバンク124aまたは124bのSDの信頼できない沿線SDインターフェースは、信頼できない無線ネットワークと同じVLANに属する。SDバンク124aまたは124bのSDの信頼できるSDインターフェース、およびネットワークルータインターフェースは、同じVLANを共有する。次いで、データトラフィックがその宛先に基づいてルーティングされ、いくつかの実施形態では各宛先は別々のVLANを有する。
【0013】
ルーティングされたレベルでは、決定的な障害モードを実現するために、少なくとも1つの実施形態による全体的な設計は、静的ルーティングに基づく。ルートメトリックの更新は、信頼できるネットワークルータ内のルートメトリックメカニズム、およびSDバンク124aまたは124bを通じて行われる。信頼できるネットワークルータは、SDバンク124aまたは124bのSD(集合的に「SDサブセット」と呼ばれる)用のルートを格納し、メトリックおよびゲートウェイアドレスで区別される主要ルートおよびバックアップルートを有する。ルート統合は、同じSDバンクに連続するSDサブネットを割り当てることによって実行され得る。ルーティングテーブルが最新であることを確認するために、定期的にキープアライブが送信される。いくつかの実施形態では、SDバンク上で、SDゲートウェイに静的ルートが設定されて、更新を必要としない。いくつかの実施形態では、列車SD126aまたは126b上に、メトリックおよびゲートウェイアドレスで区別される、スーパーネッティングを通じてすべての沿線デバイスへの異なるSDバンクへの2つのルートがある。ルーティングテーブルが最新であることを確認するために、定期的にキープアライブが送信される。
【0014】
セキュリティレベルでは、いくつかの実施形態では、各列車SD126aまたは126bと、別のSDバンク124aまたは124bとの間に、2つの静的IPSec VPNトンネルが維持される。インフラストラクチャ内のPKIは、SDノード(たとえば、搭載SD、およびSDバンク内のSD)の完全性と妥当性を維持する。認証局が、証明書の発行および失効を維持する。いくつかの実施形態では、SDバンクおよび列車SDファイアウォールが、IPSec通信を使用しないあらゆるパケット、ならびに許可された列車および沿線アドレス範囲外のデバイスを廃棄する。
【0015】
いくつかの実施形態では、SDバンクと列車に搭載されたSDとの間に、2つよりも少数または多数の通信トンネルが確立されて維持される。いくつかの実施形態では、列車SDとSDバンクとの間の通信トンネルは、IPSecトンネル以外の通信トンネルである。[列車SD]
【0016】
列車セキュリティデバイス(SD)は、列車デバイスから沿線デバイス(たとえば、中央装置132、駅装置134、または沿線装置136のデバイス)への通信のためのゲートウェイである。いくつかの実施形態では、列車SDは、ルータ、IPSec仮想プライベートネットワーク(VPN)デバイス、ファイアウォール、ルートメトリック更新器、および/または複数のポイントスイッチとしての機能を果たす。
【0017】
いくつかの実施形態では、ルートメトリック更新器から更新された最新のメトリック情報に基づいて、列車SDは、パケットをSDバンクゲートウェイにルーティングする。
【0018】
いくつかの実施形態では、列車SDは、1つまたは複数のSDバンクゲートウェイを備えるVPNトンネルを確立して、インターネットセキュリティアソシエーションおよび鍵管理プロトコル(ISAKMP)ならびに/またはIPSecプロトコルを使用して、共有された秘密をリフレッシュする。
【0019】
いくつかの実施形態では、列車SDは、指定されたVPNトンネルにカプセル化されていない、または列車内のIPアドレス範囲外のすべてのパケットを廃棄する。
【0020】
いくつかの実施形態では、SDは、ルートメトリック更新器としての役割を果たし、ルートの状態を決定するために定期的なキープアライブメッセージをSDバンクに送信して、障害が検出されるとルートのメトリックを更新する。いくつかの実施形態では、一般的なキープアライブメッセージは3−5ポーリングであり、ポーリング期間は200〜500ミリ秒と同じくらいの速さでよい。
【0021】
いくつかの実施形態では、列車SDは、列車アクセスデバイスへのポートアクセスを提供する。[SDバンク]
【0022】
SDバンクは複数のSDを含み、各SDバンクは列車デバイスから沿線デバイスへの通信のためのゲートウェイである。複数のSDの各SDは、ルータ、IPSec仮想プライベートネットワーク(VPN)デバイス、ファイアウォール、ルートメトリック更新器、および/または複数のポイントスイッチとしての機能を果たす。
【0023】
いくつかの実施形態では、ルートメトリック更新器から更新された最新のメトリック情報に基づいて、SDバンクの各SDは、パケットをSDバンクゲートウェイにルーティングする。
【0024】
いくつかの実施形態では、SDバンクの各SDは、複数の列車SDゲートウェイを備えるVPNトンネルを確立して、ISAKMPおよびIPSecプロトコルを使用して、共有された秘密をリフレッシュする。
【0025】
いくつかの実施形態では、SDバンクの各SDは、指定されたVPNトンネルにカプセル化されていない、または列車内のIPアドレス範囲外のすべてのパケットを廃棄する。
【0026】
いくつかの実施形態では、各SDは、ルートメトリック更新器としての役割を果たし、ルートの状態を決定するために定期的なキープアライブメッセージを列車SDおよび/または同じSDバンク内の別のSDに送信して、障害が検出されるとルートのメトリックを更新する。一般的なキープアライブメッセージは3−5ポーリングであり、ポーリング期間は200〜500ミリ秒と同じくらいの速さでよい。
【0027】
いくつかの実施形態では、SDバンクの各SDは、沿線デバイスへのポートアクセスを提供する。
【0028】
いくつかの実施形態では、SDバンクは、SDバンクの1つまたは複数のSDを接続するネットワークアーキテクチャを使用して実装される。いくつかの実施形態では、SDバンクは、SDバンクの1つまたは複数のSDの動作を管理するコントローラを含む。
【0029】
たとえば、いくつかの実施形態では、SDバンクは、信頼できるネットワークと信頼できないネットワークを通信可能に接続して、SD内に共通バスまたはローカルネットワークを含み、1つまたは複数のSDは共通バスまたはローカルネットワークに接続される。いくつかの実施形態では、SDバンクは、通信情報を更新するために、SDのうちの第1のSDに、同じSDバンクのSDのうちの第2のSDに通信情報を送信させるように構成される。通信情報は、信頼できるネットワークのルートメトリック、セキュリティポリシー情報、デジタル証明書、または鍵交換情報を含む。
【0030】
いくつかの実施形態では、SDバンクのSD間の負荷バランシングは動的ベースである。いくつかの実施形態では、SDバンクのSDのうちの第1のSDは、SDのうちの第1のSD上のデータトラフィック、またはSDのうちの第1のSDによってVPNトンネルを確立する要求を、SDのうちの第2のSDにリダイレクトするように構成される。いくつかの実施形態では、SDバンクは、SDのうちの第1のSD上のデータトラフィック、またはSDのうちの第1のSDによってVPNトンネルを確立する要求を、SDのうちの第2の第1のSDにリダイレクトするように構成されたスタンドアロン型コントローラをさらに有する。いくつかの実施形態ではCPU使用率またはパケット数によって表される、SDバンクの第1のSDの測定された作業負荷に基づいて、SDバンクは、専用インターフェースを使用するトラフィック転送、ゲートウェイアドレスとして負荷の少ないSDインターフェースのMACアドレスでの動的ARP更新、またはSDバンク内の他のSDプロセッサとの分散処理などの方法を使用することによって、SDバンクの第2のSDにトラフィックをリダイレクトする。いくつかの実施形態では、SD間での作業負荷の分散は、SDバンクのすべてのSDを接続するローカルネットワークを介して、負荷を分散し受けるために802.3adなどのリンクアグリゲーションプロトコルを利用するSDバンクのSDのうちの1つによって調整される。ルータ、証明書、および鍵交換情報は、SDバンク内のSD間で共有される。
【0031】
いくつかの実施形態では、SDバンクのSD間の負荷バランシングは、あらかじめ定められた作業負荷割当てに応じた静的ベースである。作業負荷は、SDバンクの特定のSDへのルートおよびゲートウェイを定義することによって静的に割り当てられる。たとえば、列車SD No.1〜10は、SDバンクのSDユニット1に割り当てられ、列車SD11〜20は、SDバンクのSDユニット2に割り当てられる。SDバンク内の個々のSD間の相互作用は、動的負荷バランシングスキームと比較して減少する(ネットワーク更新のみなど)。
【0032】
さらに、個々のSDバンクに実装されたセキュリティポリシーは、動的負荷バランシングスキームについて同じSDバンクのSD間で一致する。ポリシーの更新は、同じSDバンク内の各SDに伝搬される。
【0033】
鍵およびデジタル証明書は、動的負荷バランシングスキームについて個々のSDバンクのSD内で共有される。個々の鍵およびデジタル証明書は、静的負荷バランシングスキームに使用される。[信頼できるネットワークルータ]
【0034】
信頼できるネットワークルータは、パケットのルーティングと、ルートメトリック更新器の、少なくとも2つの機能を実行する。
【0035】
信頼できるネットワークルータは、ルートメトリック更新器から更新された最新のメトリック情報に基づいて、パケットをSDバンクゲートウェイにルーティングする。
【0036】
ルートメトリック更新器は、ルートの状態を決定するために定期的なキープアライブメッセージをSDバンクに送信して、障害が検出されるとルートのメトリックを更新する。一般的なキープアライブメッセージは3−5ポーリングであり、ポーリング期間は200〜500ミリ秒と同じくらいの速さでよい。
【0037】
いくつかの実施形態では、SDバンク内のSDは、ハードウェア、ファームウェア、およびソフトウェアメンテナンス費用を減少させるために、列車と同じハードウェアを使用して実装される。ルータは、ルートトレーシング機能をサポートする、任意の標準環境に定格のルータでよい。実装形態に代わるものには、機能をプログラムすることができる限り、商用オフザシェルフ(COTS)ベースの列車、または沿線SDがある。
【0038】
ソフトウェアの観点では、Linux、OpenBSD、Windows、QNXなどの汎用プロセッサを使用して考慮することができるIPSecの多くの実装形態がある。組み込みプロセッサまたは専用ハードウェアに基づくセキュリティ暗号化アクセラレータなどの他のオプションも、可能な選択肢である。
【0039】
本開示は、高可用性と決定的な障害モードを実現するために、ルーティングのキープアライブをIPSecに組み合わせる。また、本開示は、列車およびSDバンクにおけるルートおよびトンネルを最小限に抑えるためのIP割当てスキームを説明する。また、いくつかの実施形態では、スケーラビリティを実現するために静的ルート割当てが使用される。列車制御に適したセキュリティソリューションを展開するために、利用可能な、または検証済みのハードウェアを活用する(すなわち、増加した通信容量を有する新しいSDを検証する代わりに、SDバンク内のSDを追加する)。
【0040】
図2は、1つまたは複数の実施形態による、CBTCシステム100の機能ブロック図である。図2には、3つのSDバンク124a、124b、および124c、ならびに3つの異なる駅装置134a、134b、および134cが示されている。さらに、モバイルネットワーク116は、トラックに沿った複数の無線局212、214、および216、ならびに列車に搭載された無線局を含む。駅装置134aは、自動列車監視ワークステーション(ATS WS)を含む。駅装置134bは、ATS WS、ゾーンコントローラ(ZC)、および診断コレクタ(Diag. Coll.)を含む。駅装置134cは、ZC、およびDiag. Collを含む。中央装置132は、ルータ、システム調整サーバ(SRS)、および診断サーバ(Diag. Svr.)を含む。
【0041】
信頼できるネットワーク112は、異なる性質および挙動のデータトラフィックのために論理的および/または物理的に分離されたネットワークである、診断ネットワーク222、自動列車監視ネットワーク224、および自動列車制御ネットワーク226を含む。分離によって、データトラフィックが相互に影響を与えないという保証が提供される。たとえば、診断ネットワーク222は、Diag. Coll.およびDiag. Srv.から/へのデータトラフィックを処理するために使用され、自動列車監視ネットワーク224は、ルータ、ATS WS、およびSRSから/へのデータトラフィックを処理するために使用され、自動列車制御ネットワーク226は、ルータおよびZCから/へのデータトラフィックを処理するために使用される。図2に示されるように、各ネットワーク222、224、および226は、異なるSDバンク124a、124b、および124cに割り当てられる。しかしながら、いくつかの実施形態では、2つ以上のネットワーク222、224、および226が、1つまたは複数の共通SDバンクを共有する。
【0042】
図3Aは、1つまたは複数の実施形態による、沿線デバイスから列車デバイスへの通信のタイミング図である。さらなる動作が、図3Aに示される図の前、間、および/または後に実行されてよく、他のいくつかの動作は、本明細書では簡単に説明されるに過ぎないことが理解される。
【0043】
動作312で、沿線デバイス(図1および図2における、中央装置132、駅装置134、および沿線装置136のデバイスなど)は、信頼できるネットワーク112内のルータにパケットを送信する。動作314で、ルータは、信頼できるネットワークを通じてSDバンクのうちの1つにパケットを送信するためのルートを決定する。動作316で、ルータは、決定されたルートに沿ってSDバンクのうちの1つにパケットを送信する。
【0044】
動作322で、沿線SDバンクは、データパケットを受信して、SDのあらかじめ定められた作業負荷割当て、または測定された作業負荷に基づいてSDバンクのSDのうちの1つを選択し、あるいは列車SDへの既存のVPNトンネルがある場合、受信されたデータパケットを処理する。選択されたSDは、パケットがあらかじめ定められたルートに沿ってルーティングされたか、またはあらかじめ定められたルーティング規則のセットと一致するかどうかを決定するために、パケットを検査する。動作324で、選択されたSDがパケットを暗号化する。動作326で、選択されたSDが、暗号化されたパケットを、信頼できないネットワークを介して列車SDに送信する。
【0045】
動作332で、列車SDが、受信されたパケットを復号化して、パケットを宛先列車デバイスに送信する。データパケットのハンドシェーキング、暗号化、および/または復号化は、SDバンクの選択されたSDと列車SDとの間の信頼できないネットワークを介するVPNトンネルを使用するデータトラフィックの確立、送信、および/または受信とも呼ばれる。
【0046】
図3Bは、1つまたは複数の実施形態による、列車デバイスから沿線デバイスへの通信のタイミング図である。さらなる動作が、図3Bに示される図の前、間、および/または後に実行されてよく、他のいくつかの動作は、本明細書では簡単に説明されるに過ぎないことが理解される。
【0047】
動作362で、列車デバイスが、列車に搭載されたSD(すなわち、「列車SD」)にパケットを送信する。動作372で、列車SDがパケットを検査する。動作374で、列車SDがパケットを暗号化する。動作376で、列車SDが、SDバンクのうちの1つを介して宛先沿線デバイスにパケットを送信するためのルートを決定する。動作378で、列車SDが、暗号化されたパケットをSDバンクのうちの1つに送信する。
【0048】
動作382で、SDバンクのうちの1つが、SDの作業負荷割当て、または測定された作業負荷に応じてSDバンクのSDのうちの1つを選択し、あるいは列車SDへの既存のVPNトンネルがある場合、受信されたデータパケットを処理する。選択されたSDがパケットを復号化して、復号化されたパケットをルータに送信する。動作384で、ルータが、決定されたルートに沿って、宛先沿線デバイスにパケットを送信する。
【0049】
図4は、1つまたは複数の実施形態による、信頼できるネットワーク、信頼できないネットワーク、およびSDバンクの2つのセキュリティデバイス(SD)間の通信のタイミング図である。いくつかの実施形態では、SDバンクのSDは、SDバンク内の共通バスまたはローカルネットワークに接続される。
【0050】
SDバンクのSDのうちの1つが、ゲートウェイ情報を更新するために、定期的なアドレス解決プロトコル(ARP)メッセージを信頼できないネットワークに送信する。信頼できないネットワークは、新しいデバイスのARPも提供する(動作412)。また、SDは、鍵交換情報を交渉するために、信頼できないネットワークを介して他の列車SDと通信する(動作414)。SDは、証明書、鍵、およびポリシーをSDバンクの他のSDと共有して(動作416)、SDバンクの他のSDの正常性を監視するためにプロトコルを実行する(動作418)。
【0051】
さらに、SDは、信頼できるネットワークを介して、認証局からの証明書情報を要求、失効、および更新する(動作422)。また、SDは、信頼できるネットワーク上のルーティングキープアライブに応答する(動作422)。
【0052】
図4に示されるように、SDバンクの他のSD(SDバンクユニット2)は、上述のすべての動作を個別に実行することができる。
【0053】
図5は、1つまたは複数の実施形態による、SDおよび/またはSDバンクを実装するために使用可能なコンピュータシステム500の機能ブロック図である。コンピュータシステム500は、ハードウェアプロセッサ510、およびコンピュータプログラムコード522、すなわち実行可能命令のセットで符号化された、すなわちそれを格納する、非一時的コンピュータ可読記憶媒体520を含む。プロセッサ510は、コンピュータ可読記憶媒体520に電気的に結合される。プロセッサ510は、コンピュータ500を、SD、またはSDバンク内のSDを管理するためのコントローラとして使用可能にするために、コンピュータ可読記憶媒体520内で符号化されたコンピュータプログラムコード522を実行するように構成される。
【0054】
いくつかの実施形態では、プロセッサ510は、中央処理装置(CPU)、マルチプロセッサ、分散された処理システム、特定用途向け集積回路(ASIC)、および/または適切な処理ユニットである。
【0055】
いくつかの実施形態では、コンピュータ可読記憶媒体520は、電気、磁気、光、電磁、赤外線、および/または半導体システム(あるいは、装置またはデバイス)である。たとえば、コンピュータ可読記憶媒体520は、半導体またはソリッドステートメモリ、磁気テープ、リムーバブルコンピュータディスケット、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、剛性磁気ディスク、および/または光ディスクを含む。光ディスクを使用するいくつかの実施形態では、コンピュータ可読記憶媒体520は、コンパクトディスク読出し専用メモリ(CD−ROM)、コンパクトディスク読出し/書込み(CD−R/W)、および/またはデジタルビデオディスク(DVD)を含む。
【0056】
コンピュータシステム500は、少なくともいくつかの実施形態では、入力/出力インターフェース530、およびディスプレイインターフェース540を含む。入力/出力インターフェース530はプロセッサ510に結合されており、データ通信システムエンジニアが、SD、またはSDバンク内のSDのコントローラの設定を調整することを可能にする。少なくともいくつかの実施形態では、ディスプレイインターフェース540は、コンピュータシステム500の動作を外部ディスプレイユニットに出力する。少なくともいくつかの実施形態では、入力/出力インターフェース530、およびディスプレイインターフェース540は、オペレータがインタラクティブな方法でコンピュータシステム500を操作することを可能にする。少なくともいくつかの実施形態では、ディスプレイインターフェースは省略される。
【0057】
少なくともいくつかの実施形態では、コンピュータシステム500は、プロセッサ510に結合されたネットワークインターフェース550も含む。ネットワークインターフェース550は、コンピュータシステム500が、1つまたは複数の他のコンピュータシステムが接続されるネットワーク560と通信することを可能にする。ネットワークインターフェースは、BLUETOOTH、Wi−Fi、WiMAX、GPRS、またはWCDMAなどの無線ネットワークインターフェース、あるいはイーサネット、USB、またはIEEE−1394などの有線ネットワークインターフェースを含む。
【0058】
ある実施形態によれば、システムは、信頼できるネットワーク、信頼できないネットワーク、移動する物体に搭載された搭載装置、移動する物体に搭載され、搭載装置と信頼できないネットワークを通信可能に接続する1つまたは複数の第1のセキュリティデバイス、および信頼できるネットワークと信頼できないネットワークを通信可能に接続するセキュリティデバイスバンクを含む。セキュリティデバイスバンクは、共通バスまたはローカルネットワーク、および共通バスまたはローカルネットワークに接続された1つまたは複数の第2のセキュリティデバイスを含む。
【0059】
別の実施形態によれば、セキュリティデバイスバンクは、信頼できるネットワークと信頼できないネットワークを接続するように構成される。セキュリティデバイスバンクは、共通バスまたはローカルネットワーク、および共通バスまたはローカルネットワークに接続された1つまたは複数のセキュリティデバイスを含む。
【0060】
別の実施形態によれば、セキュリティデバイスバンクを使用するデータ通信の方法は、信頼できるネットワークを通じて第1のデバイスからデータパケットを受信するステップを含む。セキュリティデバイスバンクは、セキュリティデバイスバンクの1つまたは複数のセキュリティデバイスのあらかじめ定められた作業負荷割当て、または測定された作業負荷に基づいて、セキュリティデバイスバンクの1つまたは複数のセキュリティデバイスのうちの1つを選択する。データパケットは、セキュリティデバイスバンクの1つまたは複数のセキュリティデバイスのうちの1つによって確立された仮想プライベートネットワーク(VPN)トンネルを使用することによって、信頼できないネットワークを通じて第2のデバイスに送信される。
【0061】
【0062】
【0063】
当業者が本開示の態様をよりよく理解できるようにするために、上記はいくつかの実施形態の特徴を概説する。当業者は、本明細書で紹介された実施形態と同じ目的を実行するために、および/または同じ利点を実現するために、他の処理および構造の設計または修正の基礎として本開示を容易に使用できることを理解するべきである。また、当業者は、そのような等価な構成が、本開示の趣旨および範囲から逸脱せず、当業者は、本開示の趣旨および範囲から逸脱することなしに、本明細書に様々な変更、置換、および改変を行うことができることを理解するべきである。