▶ マイクロソフト テクノロジー ライセンシング,エルエルシーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022160702
(43)【公開日】2022-10-19
(54)【発明の名称】IOTセキュリティーサービス
(51)【国際特許分類】
G06F 21/57 20130101AFI20221012BHJP
G06F 21/55 20130101ALI20221012BHJP
【FI】
G06F21/57 370
G06F21/55
【審査請求】有
【請求項の数】15
【出願形態】OL
(21)【出願番号】P 2022129185
(22)【出願日】2022-08-15
(62)【分割の表示】P 2019522908の分割
【原出願日】2017-10-30
(31)【優先権主張番号】15/344,461
(32)【優先日】2016-11-04
(33)【優先権主張国・地域又は機関】US
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ZIGBEE
2.ETHERNET
(71)【出願人】
【識別番号】314015767
【氏名又は名称】マイクロソフト テクノロジー ライセンシング,エルエルシー
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100147991
【弁理士】
【氏名又は名称】鳥居 健一
(72)【発明者】
【氏名】サミュエル,アルジマンド
(57)【要約】 (修正有)
【課題】IoT環境においてのデバイスセキュリティーに向けられるIOTセキュリティサービスをコンピューティングデバイス上で実行する装置及び方法を提供する。
【解決手段】IoT環境においてIoTセキュリティーのためのプロセスは、少なくとも1つのIoTデバイスの予期される条件と関連付けられるセキュリティー規則のセットを格納し、少なくとも1つのIoTデバイスと関連付けられるIoTデータを受信する。IoTデータは、少なくとも2つの異なるタイプのデータを含む集約されたデータである。プロセスはさらに、IoTデータに基づいて、セキュリティー規則のセットが違反されているかどうか決定し、決定に基づいて選択的に警告を送る。
【選択図】図5
【解決手段】IoT環境においてIoTセキュリティーのためのプロセスは、少なくとも1つのIoTデバイスの予期される条件と関連付けられるセキュリティー規則のセットを格納し、少なくとも1つのIoTデバイスと関連付けられるIoTデータを受信する。IoTデータは、少なくとも2つの異なるタイプのデータを含む集約されたデータである。プロセスはさらに、IoTデータに基づいて、セキュリティー規則のセットが違反されているかどうか決定し、決定に基づいて選択的に警告を送る。
【選択図】図5
【特許請求の範囲】
【請求項1】
モノのインターネット(IoT)セキュリティーのための装置であって、
1つ又は複数のデバイスを含むIoTハブを備え、前記デバイスは、前記デバイスに対するランタイムデータを格納するように適応される少なくとも1つのメモリーと、実行に応答して前記IoTハブが
少なくとも1つのIoTデバイスの予期される状態と関連付けられるセキュリティー規則のセットを格納するステップであって、セキュリティー規則の前記セットは複数のIoTデバイスの各々から受信される動作情報に基づく、格納するステップと、
前記少なくとも1つのIoTデバイスと関連付けられるIoTデータを受信するステップであって、前記IoTデータは、少なくとも2つの異なるタイプのデータを含む集約されたデータである、受信するステップと、
前記少なくとも1つのIoTデバイスのうちの各IoTデバイスについて、前記IoTデータに基づいて、前記複数のIoTデバイスの各々から受信される動作情報に基づきセキュリティー規則の前記セットが前記IoTデバイスについて違反されたかどうかに関して決定を行うステップであって、前記決定は、一体で考慮される前記複数のIoTデバイスのうちの少なくとも2つからの少なくとも2つの異なるタイプのデータの組み合わせに基づく、決定を行うステップと、
前記決定に基づいて警告を選択的に送るステップと
を含むアクションを実施することを可能にするプロセッサー実行可能コードを実行するように適応される少なくとも1つのプロセッサーとを含む、装置。
1つ又は複数のデバイスを含むIoTハブを備え、前記デバイスは、前記デバイスに対するランタイムデータを格納するように適応される少なくとも1つのメモリーと、実行に応答して前記IoTハブが
少なくとも1つのIoTデバイスの予期される状態と関連付けられるセキュリティー規則のセットを格納するステップであって、セキュリティー規則の前記セットは複数のIoTデバイスの各々から受信される動作情報に基づく、格納するステップと、
前記少なくとも1つのIoTデバイスと関連付けられるIoTデータを受信するステップであって、前記IoTデータは、少なくとも2つの異なるタイプのデータを含む集約されたデータである、受信するステップと、
前記少なくとも1つのIoTデバイスのうちの各IoTデバイスについて、前記IoTデータに基づいて、前記複数のIoTデバイスの各々から受信される動作情報に基づきセキュリティー規則の前記セットが前記IoTデバイスについて違反されたかどうかに関して決定を行うステップであって、前記決定は、一体で考慮される前記複数のIoTデバイスのうちの少なくとも2つからの少なくとも2つの異なるタイプのデータの組み合わせに基づく、決定を行うステップと、
前記決定に基づいて警告を選択的に送るステップと
を含むアクションを実施することを可能にするプロセッサー実行可能コードを実行するように適応される少なくとも1つのプロセッサーとを含む、装置。
【請求項2】
前記アクションは、
構成要求を受信するステップと、
セキュリティー規則の前記セットを前記構成要求に基づいて調整するステップと
をさらに含む、請求項1に記載の装置。
構成要求を受信するステップと、
セキュリティー規則の前記セットを前記構成要求に基づいて調整するステップと
をさらに含む、請求項1に記載の装置。
【請求項3】
前記IoTデータは、前記少なくとも1つのIoTデバイス上に展開されるデータ収集エージェントから受信される、請求項1に記載の装置。
【請求項4】
前記少なくとも1つのIoTデバイスは、複数のIoTデバイスを含み、前記IoTデータは、前記複数のIoTデバイス上に展開されるデータ収集エージェントから受信される、請求項1に記載の装置。
【請求項5】
セキュリティー規則の前記セットは、プロセスのホワイトリスト、又は、プロセスのブラックリストのうちの少なくとも1つを含む、請求項1に記載の装置。
【請求項6】
前記IoTデータは、前記少なくとも1つのIoTデバイス上の改ざんスイッチの状態を含む、請求項1に記載の装置。
【請求項7】
前記IoTデータは、前記少なくとも1つのIoTデバイスを含む複数のIoTデバイスから集約される、請求項1に記載の装置。
【請求項8】
前記IoTデータの前記集約されたデータは、環境データ及び内部状態データを含む、請求項1に記載の装置。
【請求項9】
前記環境データは、温度、湿度、検知された場所、又は地理位置情報のうちの少なくとも1つを含む、請求項8に記載の装置。
【請求項10】
前記内部状態データは、オペレーティングシステムバージョン、アクティブプロセスの現在の状態、オープンポート、又は、前記少なくとも1つのIoTデバイスに接続されるデバイスと関連付けられる情報のうちの少なくとも1つを含む、請求項8に記載の装置。
【請求項11】
セキュリティー規則の前記セットは、セキュリティー規則の前記セットの違反が少なくとも攻撃の可能性を示すものであり、前記攻撃は、前記少なくとも1つのIoTデバイスに対する物理的攻撃又はサイバー攻撃のうちの少なくとも1つである、請求項1に記載の装置。
【請求項12】
前記決定に基づいて警告を選択的に送る前記ステップは、前記警告により、前記攻撃に関する情報を選択的に送るステップをさらに含む、請求項11に記載の装置。
【請求項13】
モノのインターネット(IoT)セキュリティーのための方法であって、
複数のIoTデバイスの各々から受信される動作情報に基づいて、構成可能なIoTデバイスモデルを生成するステップと、
少なくとも1つのIoTデバイスから集約されたIoTデバイスデータを受信するステップであって、前記集約されたIoTデバイスデータは、前記複数のIoTデバイスからの少なくとも2つの異なるタイプのデータを含む、受信するステップと、
少なくとも1つのプロセッサーを用いて前記集約されたIoTデバイスデータを前記構成可能なIoTデバイスモデルと比較するステップであって、前記比較は、一体で考慮される前記複数のIoTデバイスのうちの少なくとも2つからの少なくとも2つの異なるタイプのデータの組み合わせに基づいて判断される、比較するステップと、
前記比較に基づいて警告を選択的に送るステップと
を含む、方法。
複数のIoTデバイスの各々から受信される動作情報に基づいて、構成可能なIoTデバイスモデルを生成するステップと、
少なくとも1つのIoTデバイスから集約されたIoTデバイスデータを受信するステップであって、前記集約されたIoTデバイスデータは、前記複数のIoTデバイスからの少なくとも2つの異なるタイプのデータを含む、受信するステップと、
少なくとも1つのプロセッサーを用いて前記集約されたIoTデバイスデータを前記構成可能なIoTデバイスモデルと比較するステップであって、前記比較は、一体で考慮される前記複数のIoTデバイスのうちの少なくとも2つからの少なくとも2つの異なるタイプのデータの組み合わせに基づいて判断される、比較するステップと、
前記比較に基づいて警告を選択的に送るステップと
を含む、方法。
【請求項14】
前記少なくとも1つのIoTデバイスは、複数のIoTデバイスを含み、前記集約されたIoTデバイスデータは、前記複数のIoTデバイス上に展開されるデータ収集エージェントから受信される、請求項13に記載の方法。
【請求項15】
前記集約されたIoTデバイスデータは、環境データ及び内部状態データを含む、請求項13に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IOTセキュリティーサービスに関する。
【背景技術】
【0002】
[0001]モノのインターネット(「IoT」)は、一般的には、ネットワークによって通信する能力のあるデバイスのシステムを指す。デバイスは、トースター、コーヒーメーカー、サーモスタットシステム、洗濯機、乾燥機、ランプ、自動車、及び同類のものなどの日常品を含み得る。ネットワーク通信は、デバイスオートメーション、データキャプチャー、警告の提供、設定のパーソナル化、及び、数多くの他の用途に対して使用され得る。
【発明の概要】
【発明が解決しようとする課題】
【0003】
IOTセキュリティーサービスを提供する。
【課題を解決するための手段】
【0004】
[0002]この概要は、発明を実施するための形態において下記でさらに説明される選択された概念について単純化された形式で紹介するために提供されるものである。この概要は、請求される主題の、主要な機能、又は、本質的な機能を識別することを意図されず、この概要は、請求される主題の範囲を制限するために使用されることもまた意図されない。
【0005】
[0003]手短に説述すると、開示される本技術は、一般的には、IoT環境においてのデバイスセキュリティーに向けられるものである。例えば、そのような技術は、IoTセキュリティーにおいて使用可能である。本技術の1つの例において、少なくとも1つのIoTデバイスの予期される状態と関連付けられるセキュリティー規則のセットが格納される。少なくとも1つのIoTデバイスと関連付けられるIoTデータが受信される。IoTデータは、少なくとも2つの異なるタイプのデータを含む集約されたデータであり得る。IoTデータに基づいて、セキュリティー規則のセットが違反されているかどうかに関して決定が行われる。決定に基づいて、警告が選択的に送られる。
【0006】
[0004]本開示の一部の例は、IoTデバイスセキュリティー状態に関するテレメトリーを使用して、及び、他のIoTデバイスからの他の環境データを使用して、IoTデバイスに対するセキュリティー上の脅威を監視する、検出する、及び軽減するためのシステムを含む。一部の例において、環境内の複数個のIoTデバイスからのテレメトリーデータが使用され、環境のモデルが形成される。一部の例において、結果的なモデルは、侵入及び改ざん(tampering)などのセキュリティー上の脅威を検出するために使用される。
【0007】
[0005]開示される本技術の他の態様、及び、開示される本技術に対する用途は、添付される図及び説明を読み理解することで、察知されるであろう。
[0006]本開示の非制限的及び非網羅的な例が、後に続く図面を参照して説明される。図面において、同類の参照番号は、別段に指定されない限り、様々な図の全体を通して、同類の部分を指す。これらの図面は、必ずしも一定の縮尺で描かれない。
[0006]本開示の非制限的及び非網羅的な例が、後に続く図面を参照して説明される。図面において、同類の参照番号は、別段に指定されない限り、様々な図の全体を通して、同類の部分を指す。これらの図面は、必ずしも一定の縮尺で描かれない。
【0008】
[0007]本開示のより良好な理解のために、付随する図面と関連して読まれることになる、後に続く、発明を実施するための形態を参照する。
【図面の簡単な説明】
【0009】
【図1】[0008]本技術の態様が用いられ得る、適した環境の1つの例を例示するブロック線図である。
【図2】[0009]開示される本技術の態様による、適したコンピューティングデバイスの1つの例を例示するブロック線図である。
【図3】[0010]IoTセキュリティーのためのシステムの例を例示するブロック線図である。
【図4】[0011]IoTセキュリティーのためのプロセスに対する例データフローを例示する線図である。
【図5】[0012]本開示の態様による、IoTセキュリティーのためのプロセスの例を例示する論理フロー線図である。
【発明を実施するための形態】
【0010】
[0013]後に続く説明は、本技術の様々な例の徹底的な理解、及び、本技術の様々な例に対する説明を可能にすることのために、具体的な詳細を提供する。当業者は、本技術が、これらの詳細の多くがなくとも実践され得るということを理解するであろう。一部の実例において、よく知られている構造及び機能は、本技術の例の説明を不必要に分かりにくくすることを回避するために、詳細には示され、又は説明されていない。本開示において使用される専門用語は、それが、本技術の所定の例の詳細な説明と連関して使用されているとしても、その専門用語の最も広範な合理的な様式で解釈されるということが意図される。所定の用語が下記で強調されることがあるが、何らかの限定される様式で解釈されることを意図される何らかの専門用語は、そのようなものとして、この、発明を実施するための形態セクションにおいて、明白に、及び具体的に定義されることになる。本明細書及び特許請求の範囲の全体を通して、後に続く用語は、文脈が別段に定めない限り、少なくとも、本明細書において明示的に関連付けられる意味をとる。下記で識別される意味は、必ずしも用語を制限するのではなく、単に用語に対する例示的な例を提供するものである。例えば、用語「に基づく」及び「を基にする」の各々は、排他的ではなく、用語「に少なくとも部分的に基づく」と同等であり、一部が本明細書において説明されないことがある追加の要因に基づくことのオプションを含む。別の例として、用語「を介する」は、排他的ではなく、用語「を少なくとも部分的に介する」と同等であり、一部が本明細書において説明されないことがある追加の要因を介することのオプションを含む。「内」の意味は、「内」及び「上」を含む。語句「1つの実施形態において」又は「1つの例において」は、本明細書において使用される際、必ずしも同じ実施形態又は例を指すものではないが、そうであることもある。特定の本文の数値指定子の使用は、より少ない値の数値指定子の存在を暗黙に示すものではない。例えば、「第3のフーと第4のバーとからなる群から選択される何とか部品」と詳述することは、それ自体は、少なくとも3つのフー要素が存するということも、少なくとも4つのバー要素が存するということも暗黙に示さないことになる。単数形での参照は、単に読むことの明瞭性のために行われるものであり、複数形参照が具体的に排除されない限りは複数形参照を含む。用語「又は」は、別段に具体的に指示されない限り、包含的「or」演算子である。例えば、語句「A又はB」は、「A、B、又は、A及びB」を意味する。本明細書において使用される際、用語「コンポーネント」及び「システム」は、ハードウェアー、ソフトウェアー、又は、ハードウェアー及びソフトウェアーの様々な組み合わせを包含することを意図される。つまり、例えば、システム又はコンポーネントは、プロセス、コンピューティングデバイス上で実行するプロセス、コンピューティングデバイス、又は、それらの一部分であり得る。用語「IoTハブ」は、1つの特定のタイプのIoTサービスに制限されるのではなく、IoTデバイスが、プロビジョニングの後、任意のタイプの少なくとも1つのIoTソリューション又はIoTサービスのために通信するデバイスを指す。すなわち、用語「IoTハブ」は、本明細書及び特許請求の範囲の全体を通して使用される際、任意のIoTソリューションに対して総称的である。
【0011】
[0014]手短に説述すると、開示される本技術は、一般的には、IoT環境においてのデバイスセキュリティーに向けられるものである。例えば、そのような技術は、IoTセキュリティーにおいて使用可能である。本技術の1つの例において、少なくとも1つのIoTデバイスの予期される状態と関連付けられるセキュリティー規則のセットが格納される。少なくとも1つのIoTデバイスと関連付けられるIoTデータが受信される。IoTデータは、少なくとも2つの異なるタイプのデータを含む集約されたデータであり得る。IoTデータに基づいて、セキュリティー規則のセットが違反されているかどうかに関して決定が行われる。警告が、決定に基づいて選択的に送られる。
【0012】
[0015]一部の用途において、IoTデバイスは、リモートで、潜在的可能性として、不利な環境において展開される傾向にある。頻繁に、そのようなデバイスは、デバイスに対するオペレーター又は所有者に、物理的にアクセス可能でないことがある。そのようなデバイスは、さらには「野外に」あることがあり、そのことによって、それらのデバイスは、物理的監視、物理的監督、又は物理的セキュリティーを伴わずに、無人であり、パブリックに物理的に利用可能であり、つまり、人々は、デバイスを物理的に改ざんすることができることがある。誰かが、マルウェアーをそのようなデバイスに転送すること、証明書をそのようなデバイスから盗むこと、又は同類のことを行うことが可能であり得る。本開示の例は、デバイスのセキュリティーを監視し、デバイスに対する侵入及び/もしくは脅威を検出し、並びに/又は、そのような侵入及び/もしくは脅威を、リモートパーティー、例えば、侵入及び/もしくは脅威を軽減することができることがあるシステムもしくはオペレーターに伝達する。
【0013】
[0016]本開示の一部の例は、IoTデバイスセキュリティー状態に関するテレメトリー情報を使用して、テレメトリーデータを使用して、及び、他のIoTデバイスからの他の環境データを使用して、IoTデバイスに対するセキュリティー上の脅威を監視する、検出する、及び/又は軽減するためのシステムを含む。一部の例において、データ収集エージェントが、IoTデバイス上に展開され、そのようなIoTデバイスにより生成されるセンサーデータが、IoTデバイスに対するセキュリティー上の脅威をモデル作成及び検出するために使用される。これらのデータ収集エージェントは、構成データを使用してリモートで構成され得る。
【0014】
[0017]一部の例において、様々なIoTデバイス上の複数個のエージェントが、様々なタイプのデータを収集するために使用され得るものであり、そのデータは、次いで、デバイス動作、及び侵入の、より全体論的なモデルを形成するために連結して使用され得る。一部の例において、IoTデバイスからのエージェントデータは、それ自体が、IoTデバイスのセキュリティー状態を報告するために使用される。一部の例において、デバイスの集合体からのエージェントデータは、動作環境のモデルを形成するために使用される。一部の例において、環境内の複数個のIoTデバイスからのテレメトリーデータが使用され、環境のモデルが形成される。
【0015】
[0018]一部の例において、結果的なモデルは、侵入及び/又は改ざんなどのセキュリティー上の脅威を検出するために使用される。
【0016】
例示的なデバイス/動作環境
[0019]図1は、本技術の態様が実践され得る環境100の線図である。示されるように、環境100は、ネットワーク130を介して接続される、コンピューティングデバイス110と、ネットワークノード120とを含む。環境100の特定のコンポーネントが図1において示されるとしても、他の例において、環境100は、さらには、追加の、及び/又は異なるコンポーネントを含み得る。例えば、所定の例において、環境100は、さらには、ネットワークストレージデバイス、メンテナンスマネージャー、及び/又は、他の適したコンポーネント(示されない)を含み得る。図1において示されるコンピューティングデバイス110は、オンプレミス、クラウド内、又は同類のことを含めて、様々な場所にあり得る。例えば、コンピューターデバイス110は、クライアント側にあり、サーバー側にあり、又は同類のことであり得る。
[0019]図1は、本技術の態様が実践され得る環境100の線図である。示されるように、環境100は、ネットワーク130を介して接続される、コンピューティングデバイス110と、ネットワークノード120とを含む。環境100の特定のコンポーネントが図1において示されるとしても、他の例において、環境100は、さらには、追加の、及び/又は異なるコンポーネントを含み得る。例えば、所定の例において、環境100は、さらには、ネットワークストレージデバイス、メンテナンスマネージャー、及び/又は、他の適したコンポーネント(示されない)を含み得る。図1において示されるコンピューティングデバイス110は、オンプレミス、クラウド内、又は同類のことを含めて、様々な場所にあり得る。例えば、コンピューターデバイス110は、クライアント側にあり、サーバー側にあり、又は同類のことであり得る。
【0017】
[0020]図1において示されるように、ネットワーク130は、1つ又は複数のネットワークノード120を含み得るものであり、それらのネットワークノード120は、複数個のコンピューティングデバイス110を相互接続し、コンピューティングデバイス110を外部ネットワーク140、例えばインターネット又はイントラネットに接続する。例えば、ネットワークノード120は、スイッチ、ルーター、ハブ、ネットワークコントローラー、又は、他のネットワーク要素を含み得る。所定の例において、コンピューティングデバイス110は、ラック、アクションゾーン(action zone)、グループ、セット、又は、他の適した区分へと組織化され得る。例えば、例示される例において、コンピューティングデバイス110は、個々に第1の、第2の、及び第3のホストセット112a~112cと識別される3つのホストセットへとグループ化される。例示される例において、ホストセット112a~112cの各々は、それぞれ、「トップオブラック」又は「TOR」ネットワークノードと共通に呼称される、対応するネットワークノード120a~120cに動作可能に結合される。TORネットワークノード120a~120cは、次いで、コンピューティングデバイス110と外部ネットワーク140との間の通信を許可する、階層、フラット、メッシュ、又は、他の適したタイプのトポロジーでのコンピューターネットワークを形成するために、追加のネットワークノード120に動作可能に結合され得る。他の例において、複数個のホストセット112a~112cは、単一のネットワークノード120を共有してもよい。コンピューティングデバイス110は、事実上任意のタイプの汎用又は特定目的コンピューティングデバイスであり得る。例えば、これらのコンピューティングデバイスは、デスクトップコンピューター、ラップトップコンピューター、タブレットコンピューター、ディスプレイデバイス、カメラ、プリンター、又はスマートフォンなどのユーザーデバイスであり得る。しかしながら、データセンター環境において、これらのコンピューティングデバイスは、アプリケーションサーバーコンピューター、仮想コンピューティングホストコンピューター、又はファイルサーバーコンピューターなどのサーバーデバイスであり得る。その上、コンピューティングデバイス110は、個々に、コンピューティング、ストレージ、及び/又は、他の適したコンピューティングサービスを提供するように構成され得る。
【0018】
[0021]一部の例において、コンピューティングデバイス110のうちの1つ又は複数は、下記でより詳細に論考されるように、IoTデバイス、ゲートウェイデバイス、IoTハブの一部もしくはすべてを備えるデバイス、デバイスポータルサービスの一部もしくはすべてを備えるデバイス、又は同類のものである。
【0019】
例示的なコンピューティングデバイス
[0022]図2は、本技術の態様が実践され得るコンピューティングデバイス200の1つの例を例示する線図である。コンピューティングデバイス200は、事実上任意のタイプの汎用又は特定目的コンピューティングデバイスであり得る。例えば、コンピューティングデバイス200は、デスクトップコンピューター、ラップトップコンピューター、タブレットコンピューター、ディスプレイデバイス、カメラ、プリンター、又はスマートフォンなどのユーザーデバイスであり得る。同様に、コンピューティングデバイス200は、さらには、アプリケーションサーバーコンピューター、仮想コンピューティングホストコンピューター、又はファイルサーバーコンピューターなどのサーバーデバイスであり得るものであり、例えば、コンピューティングデバイス200は、図1のコンピューティングデバイス110又はネットワークノード120の例であり得る。コンピューティングデバイス200は、さらには、ネットワークに接続してIoTサービスを受けるIoTデバイスであり得る。同様に、コンピューターデバイス200は、下記でより詳細に論考されるように、図3~5において例示される、又は、図3~5において参照されるデバイスの、例の任意のものであり得る。図2において例示されるように、コンピューティングデバイス200は、処理回路210と、動作メモリー220と、メモリーコントローラー230と、データストレージメモリー250と、入力インターフェイス260と、出力インターフェイス270と、ネットワークアダプター280とを含む。コンピューティングデバイス200の、これらの、前に列挙されたコンポーネントの各々は、少なくとも1つのハードウェアー要素を含む。
[0022]図2は、本技術の態様が実践され得るコンピューティングデバイス200の1つの例を例示する線図である。コンピューティングデバイス200は、事実上任意のタイプの汎用又は特定目的コンピューティングデバイスであり得る。例えば、コンピューティングデバイス200は、デスクトップコンピューター、ラップトップコンピューター、タブレットコンピューター、ディスプレイデバイス、カメラ、プリンター、又はスマートフォンなどのユーザーデバイスであり得る。同様に、コンピューティングデバイス200は、さらには、アプリケーションサーバーコンピューター、仮想コンピューティングホストコンピューター、又はファイルサーバーコンピューターなどのサーバーデバイスであり得るものであり、例えば、コンピューティングデバイス200は、図1のコンピューティングデバイス110又はネットワークノード120の例であり得る。コンピューティングデバイス200は、さらには、ネットワークに接続してIoTサービスを受けるIoTデバイスであり得る。同様に、コンピューターデバイス200は、下記でより詳細に論考されるように、図3~5において例示される、又は、図3~5において参照されるデバイスの、例の任意のものであり得る。図2において例示されるように、コンピューティングデバイス200は、処理回路210と、動作メモリー220と、メモリーコントローラー230と、データストレージメモリー250と、入力インターフェイス260と、出力インターフェイス270と、ネットワークアダプター280とを含む。コンピューティングデバイス200の、これらの、前に列挙されたコンポーネントの各々は、少なくとも1つのハードウェアー要素を含む。
【0020】
[0023]コンピューティングデバイス200は、本明細書において説明されるワークロード、プロセス、又は技術を実装するための命令などの命令を実行するように構成される、少なくとも1つの処理回路210を含む。処理回路210は、マイクロプロセッサー、マイクロコントローラー、グラフィックプロセッサー、コプロセッサー、フィールドプログラマブルゲートアレイ、プログラマブル論理デバイス、シグナルプロセッサー、又は、データを処理するのに適した任意の他の回路を含み得る。前に述べられた命令は、他のデータ(例えば、データセット、メタデータ、オペレーティングシステム命令、その他)とともに、動作メモリー220内に、コンピューティングデバイス200のランタイムの間格納され得る。動作メモリー220は、さらには、揮発性メモリー、半揮発性メモリー、ランダムアクセスメモリー、スタティックメモリー、キャッシュ、バッファー、又は、ランタイム情報を格納するために使用される他のメディアなどの、各種のデータストレージデバイス/コンポーネントの任意のものを含み得る。1つの例において、動作メモリー220は、コンピューティングデバイス200が電源をオフにされるときは情報を保持しない。むしろ、コンピューティングデバイス200は、起動又は他の読み込みプロセスの一部として、非揮発性データストレージコンポーネント(例えば、データストレージコンポーネント250)から動作メモリー220に命令を転送するように構成され得る。
【0021】
[0024]動作メモリー220は、第4世代ダブルデータレート(DDR4)メモリー、第3世代ダブルデータレート(DDR3)メモリー、他のダイナミックランダムアクセスメモリー(DRAM)、高帯域幅メモリー(HBM)、ハイブリッドメモリーキューブメモリー、3D積層メモリー、スタティックランダムアクセスメモリー(SRAM)、又は他のメモリーを含み得るものであり、そのようなメモリーは、DIMM、SIMM、SODIMM、又は他のパッケージ上に統合される、1つ又は複数のメモリー回路を備え得る。そのような動作メモリーモジュール又はデバイスは、チャネル、ランク、及びバンクによって組織化され得る。例えば、動作メモリーデバイスは、処理回路210に、メモリーコントローラー230を介して、チャネルにおいて結合され得る。コンピューティングデバイス200の1つの例は、チャネルあたり1つ又は2つのランクを伴う、チャネルあたり1つ又は2つのDIMMを含み得る。ランクの中の動作メモリーは、共有クロック、及び共有アドレス、及びコマンドバスによって動作し得る。さらには、動作メモリーデバイスは、いくつかのバンクへと組織化され得るものであり、バンクは、行及び列によりアドレス指定されるアレイと考えられ得る。動作メモリーのそのような組織化に基づいて、動作メモリーの中の物理アドレスは、チャネル、ランク、バンク、行、及び列のタプルにより参照され得る。
【0022】
[0025]上記の論考にもかかわらず、動作メモリー220は、それ自体は、通信メディアを、何らの通信メディアも、又は、何らのシグナルも、具体的に含まない、又は包含しない。
【0023】
[0026]メモリーコントローラー230は、処理回路210を動作メモリー220にインターフェイスで接続するように構成される。例えば、メモリーコントローラー230は、コマンド、アドレス、及びデータを、動作メモリー220と処理回路210との間で、インターフェイスで接続するように構成され得る。メモリーコントローラー230は、さらには、処理回路210からの、又は、処理回路210に対するメモリー管理の所定のアスペクトを、抽出する、又は、他の形で管理するように構成され得る。メモリーコントローラー230は、処理回路210とは別々の単一のメモリーコントローラーとして例示されるが、他の例において、複数個のメモリーコントローラーが用いられることがあり、メモリーコントローラーは動作メモリー220と統合されることがあり、又は同類のことがある。さらに、メモリーコントローラーは、処理回路210内に統合され得る。これら及び他の変形形態が可能である。
【0024】
[0027]コンピューティングデバイス200において、データストレージメモリー250、入力インターフェイス260、出力インターフェイス270、及びネットワークアダプター280は、バス240により処理回路210にインターフェイスで接続される。図2はバス240を単一のパッシブバスとして例示するが、バスの集合体、ポイントツーポイントリンクの集合体、入出力コントローラー、ブリッジ、他のインターフェイス回路網、又は、それらの任意の集合体などの他の構成が、さらには、データストレージメモリー250、入力インターフェイス260、出力インターフェイス270、又はネットワークアダプター280を処理回路210にインターフェイスで接続するために、適して用いられ得る。
【0025】
[0028]コンピューティングデバイス200において、データストレージメモリー250は、長期非揮発性データストレージのために用いられる。データストレージメモリー250は、非揮発性メモリー、ディスク、ディスクドライブ、ハードドライブ、ソリッドステートドライブ、又は、情報の非揮発性ストレージのために使用され得る任意の他のメディアなどの、各種の非揮発性データストレージデバイス/コンポーネントの任意のものを含み得る。しかしながら、データストレージメモリー250は、それ自体は、通信メディアを、何らの通信メディアも、又は、何らのシグナルも、具体的に含まない、又は包含しない。動作メモリー220と対照的に、データストレージメモリー250は、ランタイムデータストレージのための代わりに、非揮発性長期データストレージのために、コンピューティングデバイス200により用いられる。
【0026】
[0029]さらには、コンピューティングデバイス200は、プロセッサー読み取り可能ストレージメディア(例えば、動作メモリー220及びデータストレージメモリー250)及び通信メディア(例えば、通信シグナル及び無線波)などの、任意のタイプのプロセッサー読み取り可能メディアを含む、又は、そのプロセッサー読み取り可能メディアに結合されることがある。用語、プロセッサー読み取り可能ストレージメディアは、動作メモリー220及びデータストレージメモリー250を含むが、用語「プロセッサー読み取り可能ストレージメディア」は、本明細書及び特許請求の範囲の全体を通して、単数形で使用されようと複数形で使用されようと、本明細書において、用語「プロセッサー読み取り可能ストレージメディア」が、それ自体は、通信メディアを、何らの通信メディアも、又は、何らのシグナルも、具体的に排除し、包含しないように定義される。しかしながら、用語「プロセッサー読み取り可能ストレージメディア」は、プロセッサーキャッシュ、ランダムアクセスメモリー(RAM)、レジスターメモリー、及び/又は同類のものをまさに包含する。
【0027】
[0030]コンピューティングデバイス200は、さらには、コンピューティングデバイス200が、ユーザーから、又は他のデバイスから入力を受信することを可能にするように構成され得る入力インターフェイス260を含む。加えて、コンピューティングデバイス200は、コンピューティングデバイス200から出力を提供するように構成され得る出力インターフェイス270を含む。1つの例において、出力インターフェイス270は、フレームバッファー、グラフィックプロセッサー、グラフィックプロセッサー又はアクセラレーターを含み、別々の視覚ディスプレイデバイス(モニター、プロジェクター、仮想コンピューティングクライアントコンピューター、その他など)上の提示のために表示物をレンダリングするように構成される。別の例において、出力インターフェイス270は、視覚ディスプレイデバイスを含み、観覧のために表示物をレンダリング及び提示するように構成される。
【0028】
[0031]例示される例において、コンピューティングデバイス200は、ネットワークアダプター280を介して、他のコンピューティングデバイス又はエンティティーと通信するように構成される。ネットワークアダプター280は、ワイヤードネットワークアダプター、例えば、Ethernetアダプター、トークンリングアダプター、又はデジタル加入者線(DSL)アダプターを含み得る。ネットワークアダプター280は、さらには、ワイヤーレスネットワークアダプター、例えば、Wi-Fiアダプター、Bluetooth(登録商標)アダプター、ZigBeeアダプター、ロングタームエボリューション(LTE)アダプター、又は5Gアダプターを含み得る。
【0029】
[0032]コンピューティングデバイス200は、特定の配置で構成される所定のコンポーネントを伴って例示されるが、これらのコンポーネント及び配置は、単に、本技術が用いられ得るコンピューティングデバイスの1つの例である。他の例において、データストレージメモリー250、入力インターフェイス260、出力インターフェイス270、又はネットワークアダプター280は、処理回路210に直接結合される、又は、入出力コントローラー、ブリッジ、もしくは他のインターフェイス回路網を介して処理回路210に結合されることがある。本技術の他の変形形態が可能である。
【0030】
[0033]コンピューティングデバイス200の一部の例は、ランタイムデータを格納するように適応される少なくとも1つのメモリー(例えば、動作メモリー220)と、実行に応答して、コンピューティングデバイス200がアクションを実施することを可能にする、プロセッサー実行可能コードを実行するようにそれぞれ適応される少なくとも1つのプロセッサー(例えば、処理ユニット210)とを含む。一部の例において、コンピューティングデバイス200は、下記の図4もしくは図5のプロセスにおいてのアクション、又は、下記の図3においてのコンピューティングデバイスのうちの1つもしくは複数により実施されるプロセスにおいてのアクションなどのアクションを実施することを可能にされる。
【0031】
例示的なシステム
[0034]図3は、IoT通信のためのシステム(300)の例を例示するブロック線図である。システム300は、ネットワーク330と、すべてがネットワーク330に接続する、IoTハブ351と、IoTデバイス341~343と、ゲートウェイデバイス311及び312と、デバイスポータルサービス313とを含み得る。以前に論考されたように、用語「IoTハブ」は、1つの特定のタイプのIoTサービスに制限されるのではなく、IoTデバイスが、プロビジョニングの後、任意のタイプの少なくとも1つのIoTソリューション又はIoTサービスのために通信するデバイスを指す。すなわち、用語「IoTハブ」は、本明細書及び特許請求の範囲の全体を通して使用される際、任意のIoTソリューションに対して総称的である。用語「IoTデバイス」は、IoTサービスを使う、又は、使うことを意図されるデバイスを指す。IoTデバイスは、テレメトリー収集又は任意の他の目的のためということを含めて、クラウドに接続してIoTサービスを使用する、事実上任意のデバイスを含み得る。デバイスポータルサービス313は、デバイスポータルを提供する1つ又は複数のデバイスを含む。用語「IoTハブ」は、IoTデバイスがIoTサービスのためにネットワークを介して接続する、デバイス、又は、分散システムなどの複数個のデバイスを指す。
[0034]図3は、IoT通信のためのシステム(300)の例を例示するブロック線図である。システム300は、ネットワーク330と、すべてがネットワーク330に接続する、IoTハブ351と、IoTデバイス341~343と、ゲートウェイデバイス311及び312と、デバイスポータルサービス313とを含み得る。以前に論考されたように、用語「IoTハブ」は、1つの特定のタイプのIoTサービスに制限されるのではなく、IoTデバイスが、プロビジョニングの後、任意のタイプの少なくとも1つのIoTソリューション又はIoTサービスのために通信するデバイスを指す。すなわち、用語「IoTハブ」は、本明細書及び特許請求の範囲の全体を通して使用される際、任意のIoTソリューションに対して総称的である。用語「IoTデバイス」は、IoTサービスを使う、又は、使うことを意図されるデバイスを指す。IoTデバイスは、テレメトリー収集又は任意の他の目的のためということを含めて、クラウドに接続してIoTサービスを使用する、事実上任意のデバイスを含み得る。デバイスポータルサービス313は、デバイスポータルを提供する1つ又は複数のデバイスを含む。用語「IoTハブ」は、IoTデバイスがIoTサービスのためにネットワークを介して接続する、デバイス、又は、分散システムなどの複数個のデバイスを指す。
【0032】
[0035]IoTデバイス341~343、ゲートウェイデバイス311及び312、並びに/又は、IoTハブ351を備えるデバイス、並びに/又は、デバイスポータルサービス313の各々は、図2のコンピューティングデバイス200の例を含み得る。図3、及び、本明細書においての図3の対応する説明は、本開示の範囲を制限しない例示的な目的のための例システムを例示する。
【0033】
[0036]ネットワーク330は、各々のネットワークが、例えば、ワイヤーレスネットワーク、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、及び/又は、インターネットなどのグローバルネットワークであり得る、ワイヤード及び/又はワイヤーレスネットワークを含む、1つ又は複数のコンピューターネットワークを含み得る。異なるアーキテクチャー及びプロトコルに基づくものを含む、LANの相互接続されるセットについて、ルーターは、LANの間のリンクとして働き、メッセージが1つのものから別のものに送られることを可能にする。さらには、LANの中の通信リンクは、通常、ツイストワイヤーペアー又は同軸ケーブルを含み、一方で、ネットワークの間の通信リンクは、アナログ電話回線、T1、T2、T3、及びT4を含むフルもしくはフラクショナル専用デジタル回線、総合デジタル通信網(ISDN)、デジタル加入者線(DSL)、衛星リンクを含むワイヤーレスリンク、又は、当業者に知られている他の通信リンクを利用し得る。さらにまた、リモートコンピューター及び他の関係付けられる電子デバイスが、モデム及び一時的電話リンクを介して、LAN又はWANのいずれかにリモート接続され得る。本質的に、ネットワーク330は、任意の通信方法であって、それにより、情報が、IoTハブ351、IoTデバイス341~343、ゲートウェイデバイス311~312、及びデバイスポータルサービス313の間で進行し得る、任意の通信方法を含む。
【0034】
[0037]1つの例として、IoTデバイス341~343は、IoTハブ351などの1つ又は複数のIoTハブにより提供されるIoTサービスを使うことを意図されるデバイスである。デバイスポータルサービス313は、デバイスポータルをIoTデバイスのユーザーに提供することにおいてアクションを実施する、1つ又は複数個のデバイスを含む。
【0035】
[0038]オプションのゲートウェイデバイス311及び312は、IoTハブ351にアクセスするためにIoTデバイス341~343の一部により使用され得るデバイスである。一部の例において、プロビジョニングの後、IoTデバイス341~343の一部又はすべては、仲介者を使用することなくIoTハブ351と通信する。他の例において、IoTデバイス341~343の一部又はすべては、ゲートウェイデバイス311及び312のうちの1つ又は複数などの仲介デバイスを使用してIoTハブ351と通信する。デバイスポータルサービス313は、IoTデバイス341~343を含むIoTデバイスに対するIoTサービスを管理するために、IoTデバイスのユーザーにより使用され得るサービスである。
【0036】
[0039]システム300は、例のみとして示される、図3において例示されるより多い、又は少ないデバイスを含み得る。
【0037】
例示的なプロセス
[0040]明瞭性のために、本明細書において説明されるプロセスは、システムの特定のデバイス又はコンポーネントにより、特定のシーケンスで実施される動作の見地で説明される。しかしながら、他のプロセスは、説述されるシーケンス、デバイス、又はコンポーネントに制限されないということが特記される。例えば、所定の行為は、異なるシーケンスで、並列で実施される、省略されることが、又は、追加の行為もしくは機能により補足されることが、そのようなシーケンス、並列処理、行為、又は機能が本明細書において説明されるか否かを問わずにある。同様に、本開示において説明される技術の任意のものは、その技術がプロセスと連関して具体的に説明されるか否かを問わず、説明されるプロセス又は他のプロセス内に組み込まれ得る。開示されるプロセスは、さらには、他のデバイス、コンポーネント、もしくはシステム上で、又は、他のデバイス、コンポーネント、もしくはシステムにより実施されることが、そのようなデバイス、コンポーネント、又はシステムが本明細書において説明されるか否かを問わずにある。これらのプロセスは、さらには、各種の手立てで具現化され得る。例えば、それらのプロセスは、例えば、プロセッサー読み取り可能ストレージメディア内に格納されるプロセッサー読み取り可能命令として、製造品で具現化される、又は、コンピューター実装プロセスとして実施されることがある。代替の例として、これらのプロセスは、プロセッサー実行可能命令としてエンコードされ、通信メディアを介して送信され得る。
[0040]明瞭性のために、本明細書において説明されるプロセスは、システムの特定のデバイス又はコンポーネントにより、特定のシーケンスで実施される動作の見地で説明される。しかしながら、他のプロセスは、説述されるシーケンス、デバイス、又はコンポーネントに制限されないということが特記される。例えば、所定の行為は、異なるシーケンスで、並列で実施される、省略されることが、又は、追加の行為もしくは機能により補足されることが、そのようなシーケンス、並列処理、行為、又は機能が本明細書において説明されるか否かを問わずにある。同様に、本開示において説明される技術の任意のものは、その技術がプロセスと連関して具体的に説明されるか否かを問わず、説明されるプロセス又は他のプロセス内に組み込まれ得る。開示されるプロセスは、さらには、他のデバイス、コンポーネント、もしくはシステム上で、又は、他のデバイス、コンポーネント、もしくはシステムにより実施されることが、そのようなデバイス、コンポーネント、又はシステムが本明細書において説明されるか否かを問わずにある。これらのプロセスは、さらには、各種の手立てで具現化され得る。例えば、それらのプロセスは、例えば、プロセッサー読み取り可能ストレージメディア内に格納されるプロセッサー読み取り可能命令として、製造品で具現化される、又は、コンピューター実装プロセスとして実施されることがある。代替の例として、これらのプロセスは、プロセッサー実行可能命令としてエンコードされ、通信メディアを介して送信され得る。
【0038】
[0041]図4は、IoT認証のためのプロセス(420)に対する例データフローを例示する線図である。図4、及び、本明細書においての図4の対応する説明は、本開示の範囲を制限しない例示的な目的のための例プロセスを例示する。
【0039】
[0042]例示される例において、最初にステップ421が発生する。ステップ421で、IoTハブ451は、少なくとも1つのIoTデバイス(例えば、IoTデバイス441)の予期される状態と関連付けられるセキュリティー規則のセットを格納する。一部の例において、セキュリティー規則のセットは、少なくとも1つのIoTデバイス(例えば、IoTデバイス441)と関連付けられるIoTデータの評価に基づく。格納されるセキュリティー規則のセットは、例えば、IoTデバイスのタイプに基づいて、特定の展開コンテキスト、及び他の要因に基づき、異なることがある。セキュリティー規則のセットは、下記で(下記のステップ424で収集されるIoTデータの論考の後に)より詳細に論考される。
【0040】
[0043]示されるように、ステップ422が、次に、一部の例において発生する。ステップ422において、構成要求が、デバイスポータルサービス413により生成され得るものであり、次いで、構成要求は、デバイスポータルサービス413からIoTハブ451に伝達され得る。構成要求は、IoTハブ451内に格納されるセキュリティー規則のセットを調整することと関連付けられ得る。一部の例において、構成要求は、セキュリティー規則のセットを、セキュリティー規則の調整されたセットに変更するようにとの要求である。構成要求は、異なる例において、異なる手立てで作成され得る。一部の例において、セキュリティー規則の既定セットが使用される基本モードが存し、さらには、ユーザーが構成要求を作成してセキュリティー規則の既定セットを変更することができる詳細設定が存する。示されるように、ステップ423が、次に、一部の例において発生する。ステップ423で、IoTハブ451は、IoTハブ451内に格納されるセキュリティー規則のセットを、ステップ422でデバイスポータルサービス413から受信される構成要求に基づいて調整することができる。
【0041】
[0044]示されるように、ステップ424が、次に、一部の例において発生する。ステップ424で、IoTデバイス441は、環境、例えば、IoTデバイス441の付近においての環境から、環境データを受信及び収集し、IoTデバイス441の内部セキュリティー状態に関するデータを収集する。環境データは、テレメトリーデータ、IoTデバイス441が物理的に改ざんされたか否かを指示するデータ、及び/又は同類のものを含み得る。テレメトリーデータは、温度、湿度、IoTデバイスと関連付けられる場所の占有、地理位置情報、及び/又は同類のものを含み得る。IoTデバイス441の内部セキュリティー状態に関するデータは、オペレーティングシステム(OS)バージョン、アクティブプロセスの現在の状態、オープンポート、接続されるデバイスのインターネットプロトコル(IP)アドレス、及び/又は同類のものを含み得る。データは、ソフトウェアー入力、ハードウェアー入力、又は両方を介して収集され得る。
【0042】
[0045]ステップ424で収集されるテレメトリーデータは、一部の例において、IoTデバイスがすでに収集しているテレメトリーを含み得る。例えば、温度センサーであるIoTデバイスは、すでに、温度データを収集するように構成されていることがある。
【0043】
[0046]IoTデバイス441は、物理的改ざんを検出する1つ又は複数の改ざんスイッチを有し得る。1つの例において、改ざんスイッチは、IoTデバイス441が物理的に改ざんされていないならばオフであり、改ざんスイッチは、IoTデバイス441が物理的に改ざんされたならばオンである。環境データは、改ざんスイッチがオンであるか、それともオフであるかに関しての指示を含み得る。実例として、一部の例において、IoTデバイス441は、2つの改ざんスイッチに接続されるカバーを有する。カバーが開かれるならば、両方の改ざんスイッチはオンに変わる。
【0044】
[0047]一部の例において、IoTデバイス441は、環境データと、IoTデバイス441の内部セキュリティーに関するデータとを収集するソフトウェアーエージェントを含み得る。一部の例において、IoTデバイス441は、環境及び/又は内部状態データを収集するためにIoTデバイス441上に展開されるソフトウェアーデータ収集エージェントを有する。一部の例において、IoTデバイスの一部又はすべては、IoTデバイスから環境及び/又は内部状態データを収集するためにIoTデバイス上に展開されるソフトウェアーデータ収集エージェントを有する。
【0045】
[0048]IoTハブ451内に格納されるセキュリティー規則のセットは、IoTデバイス(例えば、441、及び/又は、図3の341~434)の標準のビヘイビアーのモデルに基づく。このモデルは、IoTデバイスの、これらのデバイスが標準の状態のもとで作動している間の状態を表し得る。一部の例において、セキュリティー規則のセットは、構成可能なIoTデバイスモデルとして働く。規則のセットは、攻撃もしくは他のセキュリティー侵入、又はセキュリティー上の脅威が発生するならば、規則のセットが違反されるように定義され得る。
【0046】
[0049]例えば、IoTデバイスは、2つのカテゴリー:サイバー攻撃及び物理的攻撃に分類され得る、様々なタイプのセキュリティー攻撃を被りやすいことがある。サイバー攻撃は、オペレーティングシステム、ネットワークインフラストラクチャー、接続、及びデータについてなど、デバイスのサイバープロパティーについての攻撃を含む。物理的攻撃は、デバイスの物理的改ざん、デバイスのデータ生成要素の操作、再配置、及び同類のものなどの攻撃を含む。一部の例において、セキュリティー規則のセットは、セキュリティー規則のセットの違反が、1つ又は複数のIoTデバイスについての攻撃(例えば、物理的攻撃又はサイバー攻撃)の少なくとも可能性を指示するように、生成又は調整される。よって、これらの攻撃のいずれかが発生すると、規則のセットの違反が、1つの例において発生するはずであり、なぜならば、デバイスから収集されるデータは、次いで、モデルに反することになるからである。モデルは、テレメトリーデータに対する1つ又は複数のパターンを含み得る。
【0047】
[0050]よって、セキュリティー規則のセットは、満たされないならばセキュリティー上の脅威の可能性を指示し得る、標準の動作状態を定義し得る。例えば、セキュリティー規則のセットは、データ要素のうちの1つ又は複数が、予期される範囲の外側であるならば違反され得る。例えば、セキュリティー規則のセットは、温度が所定の範囲内にあるということ、改ざんスイッチがオフであるということ、所定の、ブラックリストに載っているプロセスが走っていないということ、及び/又は同類のことを必要とし得る。予期される範囲、又は、予期される離散値は、時刻及び他の要因に左右され得る。一部の例において、温度又は同類のものなどの各々のタイプのデータを、予期される範囲(又は、予期される離散値)と個々に、単純に比較するのではなく、セキュリティー規則のセットは、モデルに基づいて一体で考慮される、複数個のタイプのデータに基づく。実例として、一部の例において、予期される範囲より上の環境内の温度は、さらには環境内の占有が存しない限り、セキュリティー規則の違反を結果的に生じさせないことがある。
【0048】
[0051]一部の例において、セキュリティー規則のセットは、IoTデバイスにより収集される、環境及び内部セキュリティーデータのモデルに基づき、その場合、モデルは、予
期されるデータの「ゴールデン」イメージを効果的に提供する。ゴールデンイメージは、何らの侵入又はセキュリティー上の脅威もない標準の動作状態においてのIoTデバイスの標準のビヘイビアーを反映し得る。受信されるIoTデータに基づいて、一部のアスペクトがゴールデンイメージと異なるならば、規則のセットは、他のデータに依存して、違反されるとみなされ得る。実例として、適宜、モール内の特定のルームの占有センサーに対するゴールデンイメージに対して、占有センサーは、誰もモール内に存在することが予期されない所定の時間の間は占有を示さないはずである。しかしながら、規則は、例えば、モールのゲートが開いており、警備員が依然としてモール内に存在するならば、予期されない時間での占有は、セキュリティー規則のセットの違反をトリガーしないということを指定することができる。一部の例において、複数個のIoTデバイスからのデータが、モデル、及び、セキュリティー規則のセットに関与させられることが、規則のセットが違反されているか否かを決定するために行われ得る。複数個のIoTデバイスからのデータを使用することにより、モデルが1つのIoTデバイスを基にする場合より全体論的な、デバイス動作、及び動作環境、及び侵入のモデルが使用され得る。
期されるデータの「ゴールデン」イメージを効果的に提供する。ゴールデンイメージは、何らの侵入又はセキュリティー上の脅威もない標準の動作状態においてのIoTデバイスの標準のビヘイビアーを反映し得る。受信されるIoTデータに基づいて、一部のアスペクトがゴールデンイメージと異なるならば、規則のセットは、他のデータに依存して、違反されるとみなされ得る。実例として、適宜、モール内の特定のルームの占有センサーに対するゴールデンイメージに対して、占有センサーは、誰もモール内に存在することが予期されない所定の時間の間は占有を示さないはずである。しかしながら、規則は、例えば、モールのゲートが開いており、警備員が依然としてモール内に存在するならば、予期されない時間での占有は、セキュリティー規則のセットの違反をトリガーしないということを指定することができる。一部の例において、複数個のIoTデバイスからのデータが、モデル、及び、セキュリティー規則のセットに関与させられることが、規則のセットが違反されているか否かを決定するために行われ得る。複数個のIoTデバイスからのデータを使用することにより、モデルが1つのIoTデバイスを基にする場合より全体論的な、デバイス動作、及び動作環境、及び侵入のモデルが使用され得る。
【0049】
[0052]一部の例において、セキュリティー規則のセットは、プロセスのホワイトリスト、及び、プロセスのブラックリストの、1つ又は両方を含む。プロセスのホワイトリスト及びブラックリストは、IoTデバイスがマルウェアーにより感染されているか否かを決定することにおいて有用であり得る。プロセスの「ホワイトリスト」は、承認済みのプロセスのリストを指し、プロセスの「ブラックリスト」は、禁止されているプロセスのリストを指す。
【0050】
[0053]一部の例において、収集されるテレメトリーデータを含む、収集されるIoTデータは、セキュリティー規則のセットを作成又は調整するために、モデルを構築することをアシストするために使用され得る。
【0051】
[0054]示されるように、ステップ425が、次に、一部の例において発生する。ステップ425で、IoTデバイス441は、IoTハブ451にデータを送るべきか否かに関して決定を行い得る。一部の例において、ステップ425で、IoTデバイス441は、単純に、IoTハブ451にデータのすべてを常に送ると決定する。一部の例において、データは、データのタイプのより多くのもののうちの1つに基づくしきい値が超えられていることを基に、送られるのみである。
【0052】
[0055]実例として、一部の例において、IoTデバイス441は、検出される温度が18.33~23.89℃(華氏65~75度)などの前もって決定された範囲の外側である場合にのみ、温度データを送ると決定する。一部の例において、温度が18.33~23.89℃(華氏65~75度)の範囲の外側であるという事実は、それ自体としては、セキュリティー規則の違反ではなく、IoTデバイス441は、この例において、セキュリティー規則のセットが違反されるか否かに関して決定を行うのではなく、温度が特定の範囲の外側であることを基に温度データを送るのみであり、そのことに対して、それゆえに、他の要因に依存する、セキュリティー規則のセットの違反が存することがある。
【0053】
[0056]示されるように、ステップ426が、次に、一部の例において、ステップ425での決定が肯定的であるときに発生する。ステップ426で、IoTデータが、IoTデバイス441からIoTハブ451に伝達され得る。対照的に、ステップ426での決定が否定的であるならば、他の処理が再開される。
【0054】
[0057]示されるように、ステップ427が、次に、ステップ426の後に、一部の例において発生する。ステップ427で、IoTハブ451は、ステップ426で受信されたIoTデータに基づいて、IoTハブ451内に格納されるセキュリティー規則のセットが違反されているかどうかに関して決定を行う。一部の例において、ステップ427での決定は、構成可能なIoTデバイスモデルとの、集約されたIoTデバイスデータの比較である。
【0055】
[0058]示されるように、ステップ428が、次に、一部の例において発生する。ステップ428で、IoTハブ451は、警告をデバイスポータルサービス413に、ステップ427での決定に基づいて選択的に送る。ステップ427で、規則のセットが違反されたということが決定されたならば、IoTハブ451は、警告をデバイスポータルサービス413に伝達する。代わりにステップ427で、規則のセットが違反されなかったということが決定されたならば、IoTハブ451は、警告を送り出さない。
【0056】
[0059]IoTデバイス441がクラウドから切断された様態となるならば、データはIoTデバイス441から収集され得ないが、IoTデバイス441がクラウドから切断されるという事実は、それ自体が情報の一形態であり、一部の例において、警告が、IoTデバイス441がクラウドから切断されていることから結果的に生じることがある。
【0057】
[0060]一部の例において、セキュリティー規則のセットは、時間の経過に伴ってさらに調整されることが、誤検知を減らすため、及び、そうでなければ検出されないことがある攻撃を首尾よく検出するための両方で行われ得る。一部の例において、IoTハブ451は、異常から学習し、セキュリティー規則のセットを時間の経過に伴って変更すること、及び、時間の経過に伴って学習することにより適応する、学習層を含む。
【0058】
[0061]一部の例において、直接IoTハブ451にIoTデータを送るのではなく、IoTデバイス441は、ゲートウェイデバイス(例えば、図3のゲートウェイデバイス311又は312)にデータを送る。一部の例において、IoTデバイス441ではなくゲートウェイデバイスが、IoTハブ451にIoTデータを送るべきか否かに関して決定を行う。一部の例において、複数個の異なるIoTデバイス(例えば、図3の341~343)は、1つのゲートウェイデバイスにIoTデータを送り、そのゲートウェイデバイスは、IoTハブ451に転送すべきかどうか、及び、どのIoTデータを転送すべきかを決定する前に、データを集約する。
【0059】
[0062]一部の例において、ステップ428で、警告を単純に送り出すのではなく、決定され得る限りの、例えば、攻撃又は脅威の性質に関する情報を含む、他の詳細が、さらには、警告とともに、IoTハブ451からデバイスポータルサービス413に伝達される。例えば、IoTハブ451が、GPSによって、デバイスが動かされたということを、及び、他のIoTデータから、マルウェアーがインストールされたということを両方決定するならば、この攻撃の性質が、IoTハブ451からデバイスポータルサービス413に伝達され得るものであり、そのことは、潜在的可能性として、これらの2つのイベントのうちの1つのみが発生した場合とは異なるシナリオである。複数個のIoTデバイスからの集約データは、さらには、適用可能なときに、IoTハブ451からデバイスポータルサービス413への通信において、セキュリティー上の脅威の性質をさらに説明するために使用され得る。
【0060】
[0063]図5は、IoT認証のためのプロセス(590)の例を例示する論理フロー線図である。1つの例において、プロセス590は、図1のIoTハブ351などのIoTハブにより実施される。開始ブロックの後、プロセスはブロック591に進む。ブロック591で、少なくとも1つのIoTデバイスの予期される状態と関連付けられるセキュリティー規則のセットが格納される。プロセスは、次いで、ブロック592に移る。ブロック592で、少なくとも1つのIoTデバイスと関連付けられるIoTデータが受信される。IoTデータは、少なくとも2つの異なるタイプのデータを含む集約されたデータであり得る。プロセスは、次いで、判断ブロック593に進む。
【0061】
[0064]判断ブロック593で、決定が、IoTデータに基づいて、セキュリティー規則のセットが違反されているかどうかに関して行われる。判断ブロック593での決定が否定的であるならば、プロセスはリターンブロックに進み、そこで、他の処理が再開される。代わりに、判断ブロック593での決定が肯定的であるならば、プロセスはブロック594に前進し、そこで、警告が送られる。実例として、一部の例において、警告はデバイスポータルサービスに送られる。プロセスは、次いで、リターンブロックに進み、そこで、他の処理が再開される。この手立てにおいて、警告は、判断ブロック593での決定に基づいて選択的に送られる。
【0062】
結論
[0065]上記の、発明を実施するための形態は、本技術の所定の例を説明し、思索される最良の形態を説明しているが、たとえどのように詳細に上記のものが本文に出ていても、本技術は、多くの手立てで実践され得る。詳細は、実装形態において変動し得るが、一方で、それでもなお、本明細書において説明される本技術により包含される。上記で特記されたように、本技術の所定の機能又は態様を説明するときに使用される特定の専門用語は、その専門用語が関連付けられる何らかの具体的な特性、機能、又は態様に限定されるように、その専門用語が本明細書において再定義されているということを暗黙に示すと受け止められるべきではない。一般的には、後に続く特許請求の範囲において使用される用語は、発明を実施するための形態が、そのような用語を明示的に定義しない限り、本明細書において開示される具体的な例に本技術を制限すると解されるべきではない。よって、本技術の実際の範囲は、開示される例のみではなく、さらには、本技術を実践又は実装するすべての等価の手立てを包含する。
[0065]上記の、発明を実施するための形態は、本技術の所定の例を説明し、思索される最良の形態を説明しているが、たとえどのように詳細に上記のものが本文に出ていても、本技術は、多くの手立てで実践され得る。詳細は、実装形態において変動し得るが、一方で、それでもなお、本明細書において説明される本技術により包含される。上記で特記されたように、本技術の所定の機能又は態様を説明するときに使用される特定の専門用語は、その専門用語が関連付けられる何らかの具体的な特性、機能、又は態様に限定されるように、その専門用語が本明細書において再定義されているということを暗黙に示すと受け止められるべきではない。一般的には、後に続く特許請求の範囲において使用される用語は、発明を実施するための形態が、そのような用語を明示的に定義しない限り、本明細書において開示される具体的な例に本技術を制限すると解されるべきではない。よって、本技術の実際の範囲は、開示される例のみではなく、さらには、本技術を実践又は実装するすべての等価の手立てを包含する。
【図1】
【図2】
【図3】
【図4】
【図5】