特開 2024-58572 クロスドメインセキュアコネクション転送方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】P2024058572

(43)【公開日】2024-04-25

(54)【発明の名称】クロスドメインセキュアコネクション転送方法

(51)【国際特許分類】

   G06F 21/44 20130101AFI20240418BHJP

   G06F 21/64 20130101ALI20240418BHJP

【ＦＩ】

G06F21/44

G06F21/64

【審査請求】有

【請求項の数】9

【出願形態】ＯＬ

(21)【出願番号】P 2023118669

(22)【出願日】2023-07-20

(31)【優先権主張番号】111139083

(32)【優先日】2022-10-14

(33)【優先権主張国・地域又は機関】TW

(71)【出願人】

【識別番号】523276212

【氏名又は名称】ナショナル アプライド リサーチ ラボラトリーズ

【氏名又は名称原語表記】ＮＡＴＩＯＮＡＬ ＡＰＰＬＩＥＤ ＲＥＳＥＡＲＣＨ ＬＡＢＯＲＡＴＯＲＩＥＳ

(74)【代理人】

【識別番号】100112737

【弁理士】

【氏名又は名称】藤田 考晴

(74)【代理人】

【識別番号】100136168

【弁理士】

【氏名又は名称】川上 美紀

(74)【代理人】

【識別番号】100196117

【弁理士】

【氏名又は名称】河合 利恵

(72)【発明者】

【氏名】チュン－チェ ツァイ

(72)【発明者】

【氏名】ウェイ－シェン チェン

(72)【発明者】

【氏名】シ－チン リン

(57)【要約】

【課題】クロスドメインセキュアコネクション転送方法を提供する。
【解決手段】登録段階と、グループ確立段階と、接続確立段階との３つの段階を含み、この方法は携帯装置を通してモノのインターネット装置及び監視装置を初期化し、且つこれらの装置を同じグループに加入した後、クラウドサーバー中に対応の接続設定ファイル及びセキュリティ認証情報を生成する。これによって、モノのインターネット装置はこの接続設定ファイル及びセキュリティ認証情報を通して、ＤＤＳ上にクロスドメインの１対１、１対多、多対１、或いは多対多のピアツーピアセキュアコネクションを確立でき、且つこのセキュアコネクションにおいてデータ転送作業を行うことができる。
【選択図】図１

【特許請求の範囲】

【請求項1】

登録段階と、グループ確立段階と、接続確立段階とを含むクロスドメインセキュアコネクション転送方法であって、
前記登録段階は、
携帯装置を用いてサーバ装置にログインし、且つ前記サーバ装置にアカウント情報を確立し、
通信プロトコルを用いてモノのインターネット装置のデバイスＩＤを前記携帯装置に転送し、
前記携帯装置から第１登録情報を前記サーバ装置に送信することで、前記モノのインターネット装置を前記サーバ装置に登録し、且つ前記サーバ装置にモノのインターネットデバイス情報を確立し、及び
監視装置から第２登録情報を前記サーバ装置に送信することで、前記監視装置を前記サーバ装置に登録し、且つ前記サーバ装置に監視デバイス情報を確立することを含み、
前記第１登録情報及び前記第２登録情報は前記アカウント情報を含み、
前記グループ確立段階は、
前記サーバ装置から前記モノのインターネットデバイス情報及び前記監視デバイス情報を前記携帯装置にダウンロードし、
前記携帯装置によって前記モノのインターネットデバイス情報及び前記監視デバイス情報をグループ設定及び転送ポリシー設定を行い、且つ前記グループ設定及び前記転送ポリシー設定を前記サーバ装置に送信し、
前記サーバ装置によって接続設定ファイル及びセキュリティ認証ファイルを生成し、及び
前記モノのインターネット装置及び前記監視装置によって直接または間接的に前記サーバ装置から前記接続設定ファイル及び前記セキュリティ認証ファイルをダウンロードすることを含み、
前記接続確立段階は、
前記モノのインターネット装置及び前記監視装置によってＤＤＳサーバ装置とのクロスドメイン接続モードを確立することを含む、
ことを特徴とする、クロスドメインセキュアコネクション転送方法。

【請求項2】

前記クロスドメイン接続モードは、１対１接続モードまたは多対多接続モードを含むことを特徴とする、請求項１記載のクロスドメインセキュアコネクション転送方法。

【請求項3】

前記通信プロトコルは、任意の２つのエンドポイントを接続するインターネット通信プロトコルであることを特徴とする、請求項１記載のクロスドメインセキュアコネクション転送方法。

【請求項4】

前記通信プロトコルは、ブルートゥース、８０２．１１無線ＬＡＮプロトコル、或いは８０２．３イーサネットプロトコルを含むことを特徴とする、請求項１記載のクロスドメインセキュアコネクション転送方法。

【請求項5】

前記第１登録情報はさらに前記モノのインターネット装置のデバイスＩＤ及びデバイスの説明を含み、前記第２登録情報はさらに前記監視装置のデバイスＩＤ及びデバイスの説明を含むことを特徴とする、請求項１記載のクロスドメインセキュアコネクション転送方法。

【請求項6】

前記接続設定ファイル及び前記セキュリティ認証ファイルは、デジタル署名を含むことを特徴とする、請求項１記載のクロスドメインセキュアコネクション転送方法。

【請求項7】

前記モノのインターネット装置は、前記携帯装置を通して間接的に前記サーバ装置から前記接続設定ファイル及び前記セキュリティ認証ファイルをダウンロードすることを特徴とする、請求項１記載のクロスドメインセキュアコネクション転送方法。

【請求項8】

前記携帯装置はスマートフォン、ノートブックＰＣ、或いはタブレットＰＣを含み、前記サーバ装置はホスト或いはサーバを含み、前記監視装置はホスト、ノートブックＰＣ、タブレットＰＣ、或いはサーバを含むことを特徴とする、請求項１記載のクロスドメインセキュアコネクション転送方法。

【請求項9】

前記接続確立段階は、さらに前記クロスドメイン接続モードにて映像データ、音声データ、テキストデータ、或いはバイナリデータの転送を行うことを含むことを特徴とする、請求項１記載のクロスドメインセキュアコネクション転送方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、データ転送方法に関する。特に、セキュアコネクションを確立可能、且つクロスドメイン１対１または多対多のピアツーピアクロスドメインセキュアコネクション転送方法に関する。

【背景技術】

【0002】

モノのインターネット（ＩｏＴ）とは、相互に通信可能なデバイスまたはセンサーを通じて監視とリアルタイムのデータ収集という目的を果たすためのものであり、その通信方法は通常、インターネットを通じて実現されている。詳しく言うと、モノのインターネットには複数のＩｏＴデバイス（ネットワークカメラや、無人車両など）、クラウドサーバー、及び監視デバイスを備え、その監視デバイスはクラウドサーバーを介してそれらＩｏＴデバイスとの通信やデータ転送により、リアルタイム監視、データ収集、遠隔制御などのさまざまな目的を対応することができる。

【0003】

また、監視デバイスとＩｏＴデバイスの間の安全で信頼性の高い接続を確保するために、近年、ＩｏＴ システムのデータ転送用に派生した通信プロトコルがすでに多数あり、例えばＭＱＴＴ（Ｍｅｓｓａｇｅ Ｑｕｅｕｉｎｇ Ｔｅｌｅｍｅｔｒｙ Ｔｒａｎｓｐｏｒｔ）とＤＤＳ（Ｄａｔａ Ｄｉｓｔｒｉｂｕｔｉｏｎ Ｓｅｒｖｉｃｅ）などが挙げられる。ＭＱＴＴは、ＩＳＯ規格（ＩＳＯ／ＩＥＣ ＰＲＦ ２０９２２）のパブリッシュ／サブスクライブモデルに基づいたプロトコルであり、すべてのパブリッシャー（ＩｏＴデバイスなど）とサブスクライバー（監視端末など）はクラウドサーバーを介して通信する。一方ＤＤＳは、ＭＱＴＴと違って、データ転送の過程でクラウドサーバーの仲介を必要とせず、パブリッシャーとサブスクライバーはピアツーピア方式で直接接続されるため、高信頼性、高性能、及び即時性の効果を実現できる。そしてＤＤＳの応用分野としては、現在、自動運転車、発電、航空管制システムなどが知られている。

【0004】

ＩｏＴシステムでＤＤＳセキュアネットワーク接続を構築する場合、ＩｏＴデバイスにドメインＩＤ（Ｄｏｍａｉｎ ＩＤ）、トピック（Ｔｏｐｉｃ）、ＣＡ証明書、セキュリティ証明書とキー、ＱｏＳ設定、権限設定、管理設定などの関連設定を与える必要があり、その関連設定ファイルはＣＡによってデジタル署名のステップを必要とし、その後、これらの設定ファイルは携帯電話を介してＩｏＴデバイスに送信され、監視デバイスにダウンロードされる。しかし、これでは、ＩｏＴデバイスに変更があると、再び上記のセキュリティ設定作業を行う必要があり、煩雑な手続きでユーザの不便さを増すだけである。

【0005】

上記を考慮して、本発明の発明者は、従来技術の欠点を改善し、産業上の実施と利用をさらに向上させるために、クロスドメインセキュアコネクション転送方法を設計した。

【発明の概要】

【発明が解決しようとする課題】

【0006】

上記目的に基づいて、本発明は、登録段階と、グループ確立段階と、接続確立段階とを含むクロスドメインセキュアコネクション転送方法を提供する。

【課題を解決するための手段】

【0007】

登録段階は、携帯装置を用いてサーバ装置にログインし、且つ前記サーバ装置にアカウント情報を確立し、通信プロトコルを用いてモノのインターネット装置のデバイスＩＤを前記携帯装置に転送し、前記携帯装置から第１登録情報を前記サーバ装置に送信することで、前記モノのインターネット装置を前記サーバ装置に登録し、且つ前記サーバ装置にモノのインターネットデバイス情報を確立し、及び監視装置から第２登録情報を前記サーバ装置に送信することで、前記監視装置を前記サーバ装置に登録し、且つ前記サーバ装置に監視デバイス情報を確立することを含む。そのうち、前記第１登録情報及び前記第２登録情報は前記アカウント情報を含む。

【0008】

グループ確立段階は、前記サーバ装置から前記モノのインターネットデバイス情報及び前記監視デバイス情報を前記携帯装置にダウンロードし、前記携帯装置によって前記モノのインターネットデバイス情報及び前記監視デバイス情報をグループ設定及び転送ポリシー設定を行い、且つ前記グループ設定及び前記転送ポリシー設定を前記サーバ装置に送信し、前記サーバ装置によって接続設定ファイル及びセキュリティ認証ファイルを生成し、及び前記モノのインターネット装置及び前記監視装置によって直接または間接的に前記サーバ装置から前記接続設定ファイル及び前記セキュリティ認証ファイルをダウンロードすることを含む。

【0009】

接続確立段階は、前記モノのインターネット装置及び前記監視装置によってＤＤＳサーバ装置とのクロスドメイン接続モードを確立することを含む。

【0010】

好ましくは、前記クロスドメイン接続モードは、１対１、１対多、多対１、或いは多対多のピアツーピア接続モードを含む。

【0011】

好ましくは、前記通信プロトコルは、任意の２つのエンドポイントを接続するインターネット通信プロトコルである。

【0012】

好ましくは、前記通信プロトコルは、ブルートゥース（登録商標）、８０２．１１無線ＬＡＮプロトコル、或いは８０２．３イーサネットプロトコルを含む。

【0013】

好ましくは、前記第１登録情報はさらに前記モノのインターネット装置のデバイスＩＤ及びデバイスの説明を含み、前記第２登録情報はさらに前記監視装置のデバイスＩＤ及びデバイスの説明を含む。

【0014】

好ましくは、前記接続設定ファイル及び前記セキュリティ認証ファイルは、デジタル署名を含む。

【0015】

好ましくは、前記モノのインターネット装置は、前記携帯装置を通して間接的に前記サーバ装置から前記接続設定ファイル及び前記セキュリティ認証ファイルをダウンロードする。

【0016】

好ましくは、前記携帯装置はスマートフォン、ノートブックＰＣ、或いはタブレットＰＣを含み、前記サーバ装置はホスト或いはサーバを含み、前記監視装置はホスト、ノートブックＰＣ、タブレットＰＣ、或いはサーバを含む。

【0017】

好ましくは、前記接続確立段階は、さらに前記クロスドメイン接続モードにて映像データ、音声データ、テキストデータ、或いはバイナリデータの転送を行うことを含む。

【図面の簡単な説明】

【0018】

【図1】図１は、本発明の実施形態によるクロスドメインセキュアコネクション転送方法のフローチャートである。

【図2】図２は、本発明の実施形態による登録段階を示す概略図である。

【図3】図３は、本発明の実施形態によるグループ確立段階を示す概略図である。

【図4】図４は、本発明の実施形態による接続確立段階を示す概略図である。

【発明を実施するための形態】

【0019】

以下の内容は図面と組み合わせて、特定の実施形態をもって本発明の技術を説明する。当該技術分野の技術者は、本発明に開示される内容から、本発明の利点及び効果を容易に理解できるであろう。本発明はまた、他の異なる実施形態によって実施または適用することができる。本明細書における様々な詳細もまた、本発明の要旨から逸脱しない限り、異なる視点および用途に基づいて修正および変更することができる。

【0020】

別段の定義がない限り、本明細書で使用されるすべての用語（技術用語および科学用語）は、本発明が属する技術分野の通常の技術者が一般的に理解されるものと同じ意味を有する。さらに、本明細書が明示的に定義されていない場合、一般的に使用される辞書で定義される用語は、関連技術および本発明の文脈におけるそれらの意味と一致する定義を有すると解釈されるべきであり、理想化されたまたは過度に形式的な意味として解釈されるべきではない。

【0021】

図１を参照する。図１は本発明の実施形態によるクロスドメインセキュアコネクション転送方法のフローチャートである。図示のように、本発明のクロスドメインセキュアコネクション転送方法は、主にＩｏＴ装置と監視装置との間の接続と転送のメカニズムを改善するために応用され、セキュアコネクションを確立するための転送方法であり、その監視装置は、ホスト、ノートブックＰＣ、タブレットＰＣまたはサーバを含み、ＩｏＴ装置は、ネットワーク機能を備えたあらゆる電子装置を含み、例えばネットカメラ、無人車両やスマート家電など。また、その監視装置は、インターネットを介してＩｏＴ装置が送信したデータを受信し、或いはそのＩｏＴ装置に指令を転送して制御することができる。

【0022】

本実施形態において、本発明のクロスドメインセキュアコネクション転送方法はステップＳ１１～Ｓ１３などの３つの段階を含み、そのうち、ステップＳ１１は登録段階を実行し、ステップＳ１２はグループ確立段階を実行し、ステップＳ１３は接続確立段階を実行する。図２ないし図４は、それぞれステップＳ１１～Ｓ１３に関する詳細な内容について、以下に説明する。

【0023】

図２に示すように、本発明のクロスドメインセキュアコネクション転送方法において、登録段階は、「アカウント作成」と「デバイス登録」という２つの部分を含むことができる。「アカウント作成」の部分では、ユーザが携帯装置で接続暗号化ウェブサーバ装置（以下、「ウェブサーバ装置」と略称）にログインし、このウェブサーバ装置に特定のアカウント情報を作成する。当然ながら、このウェブサーバ装置には、これら特定のアカウント情報に関連する装置情報を保存するためのアカウントデータベースを有し、本実施形態において、このアカウントデータベースには携帯装置、ＩｏＴ装置及び監視装置などの関連情報を保存することができる。そのうち、この携帯装置はスマートフォン、ノートブックＰＣまたはタブレットＰＣを含むことができる。

【0024】

特筆すべきことは、本発明における携帯装置、ＩｏＴ装置及び監視装置がインターネットに接続してデータを転送する場合、どれもハイパーテキスト・トランスファー・プロトコル・セキュア（Ｈｔｔｐｓ）のインターネット通信プロトコルを介して、ＨＴＴＰの基礎の上でＳＳＬ／ＴＬＳを追加してデータを暗号化し、交換されるデータを漏洩や盗難から守ることができる。

【0025】

そして「デバイス登録」の部分では、ＩｏＴ装置と監視装置は、ウェブサーバ装置にデバイスを登録する操作を行う必要がある。詳しく言うと、まず、携帯装置が通信プロトコルを利用してこのＩｏＴ装置と接続した後、このＩｏＴ装置のデバイスＩＤが携帯装置に転送される。そのうち、このデバイスＩＤがこのＩｏＴ装置の固有識別番号であり、この通信プロトコルが任意の２つのエンドポイントを接続するインターネット通信プロトコルであり、有線／無線の通信プロトコル（ブルートゥース、８０２．１１無線ＬＡＮプロトコル、或いは８０２．３イーサネットプロトコル）を含むことができる。それから、この携帯装置がこのデバイスＩＤ及びデバイスの説明を含む第１登録情報をウェブサーバ装置に送信することで、このＩｏＴ装置をウェブサーバ装置に登録し、ウェブサーバ装置も同時にそれと対応するＩｏＴデバイス情報を作成する。

【0026】

そして、この「デバイス登録」の部分において、監視装置は第２登録情報をウェブサーバ装置に直接送信することができ、これによってこの監視装置をウェブサーバ装置に登録し、ウェブサーバ装置にそれと対応する監視デバイス情報を作成する。前述のように、この第２登録情報は監視装置自体のデバイスＩＤ及び関連デバイスの説明を含む。

【0027】

この登録段階を実行することで、ウェブサーバ装置に正規とみなされるＩｏＴ装置及び監視装置のデバイス情報が保存される。さらに、ウェブサーバ装置にＩｏＴ装置及び監視装置のデバイス情報が登録されると、ウェブサーバ装置はそれらが送信されたデータを解析・処理できるようになるが、このＩｏＴ装置や監視装置がもし盗難や破壊に遭うとき、元のユーザはウェブサーバ装置にログインしてそこに保存された第１登録情報及び第２登録情報をさらにマーキングして、ウェブサーバ装置上のデバイス情報がそれらの装置の実際の操作情報と一致していることを確認できる。これによって、盗まれたＩｏＴ装置がウェブサーバ装置にログインしようとすると、ウェブサーバ装置はそのログイン操作が不正アクセスのＩｏＴ装置からのものであると判断し、警告メッセージを生成、またはこの不正アクセスに関連する情報を記録し、後の追跡と検証のために使用することができる。

【0028】

そして、図３に示すように、本実施形態のグループ確立段階は、「接続グループを確立」と「接続情報をダウンロード」という２つの部分を含む。

【0029】

まず、「接続グループを確立」の部分では、携帯装置はウェブサーバ装置からＩｏＴデバイス情報と監視デバイス情報をダウンロードしてから、この携帯装置がこのＩｏＴデバイス情報と監視デバイス情報をグループ設定及び転送ポリシー設定を行い、そのグループ設定はＩｏＴ装置と監視装置を同じグループ内に設定し、転送ポリシー設定は既存の通信プロトコル、例えばＤＤＳプロトコルなどに設定することができる。

【0030】

その後、携帯装置が設定完了のグループ設定と転送ポリシー設定をウェブサーバ装置に送信し、このウェブサーバ装置がこのグループ設定と転送ポリシー設定に従って接続設定ファイルとセキュリティ認証ファイルを生成する。

【0031】

特筆すべきことは、本実施形態において、この接続設定ファイルとセキュリティ認証ファイルがウェブサーバ装置内または転送の過程中に改ざんされるのを防ぐために、ウェブサーバ装置がこれらのファイルに対してソフトウェア署名操作を実行してファイルの信頼性を確保することもできる。また、本発明はソフトウェア署名の方法に限定されず、他の非対称暗号改ざん防止技術を使用してファイルデータの正確性を確保することもできる。

【0032】

そして、本実施形態の「接続情報をダウンロード」の部分では、ＩｏＴ装置は携帯装置に介してウェブサーバ装置から接続設定ファイル及びセキュリティ認証ファイルを獲得することができ、監視装置は直接ウェブサーバ装置から接続設定ファイル及びセキュリティ認証ファイルを獲得することができる。

【0033】

本実施形態のこのグループ確立段階を実行することで、ウェブサーバ装置が生成した接続設定ファイルとセキュリティ認証ファイルは、それぞれＩｏＴ装置と監視装置にダウンロードされることになる。

【0034】

最後に、図４に示す接続確立段階は、主にＩｏＴ装置及び監視装置がＤＤＳサーバ装置とのクロスドメイン接続モードを確立するステップを含み、そのうち、このクロスドメインの接続モード２は、１対１或いは多対多のセキュアコネクションモードを含むことができる。このセキュアコネクションモードにおいて、ＩｏＴ装置と監視装置はそれぞれ独立したＩＰアドレスを持ち、ＤＤＳプロトコルを通じて映像データ、音声データ、テキストデータ、或いはバイナリデータを送信することができる。

【0035】

また、このクロスドメインの接続モード１も、１対１、１対多、多対１または多対多のセキュアコネクションモードを含むことができる。このセキュアコネクションモードは、ＤＤＳルーティングサービスを介して監視装置とＩｏＴ装置との間のデータ転送を接続できる。そのうち、このＤＤＳルーティングサービスはコンピュータシステム上のソフトウェアアプリケーションプログラムであり、監視装置とＩｏＴ装置との間のデータの送受信を可能にする。また、ルーティングサービス（Ｒｏｕｔｉｎｇ Ｓｅｒｖｉｃｅ）はコンピュータ関連分野の一般技術者がよく知られているため、ここでの説明を省略する。

【0036】

本発明が提供するクロスドメインセキュアコネクション転送方法は、ＩｏＴ装置がネットワークドメインを越えて接続する際の設定プロセスを簡素化することに加え、接続時のセキュリティ認証情報の更新の問題も減らすことができるため、従来技術より優れる効果を発揮できる。

【0037】

本発明の技術分野に属する技術者は、上記実施形態から理解できるように、本発明は、本開示の技術的概念または本質的な特徴を変更することなく、他の具体的な形態によって利用することができる。この点において、本明細書に開示された例示的な形態は、説明のみを目的としており、本開示の範囲を制限するものとして解釈されるべきではない。その逆に、本開示は、これらの例示的な態様だけでなく、様々な変更、修正、同等物、および他の形態も含まれることを意図している。

【符号の説明】

【0038】

Ｓ１１，Ｓ１２，Ｓ１３ ステップ

【図1】

【図2】

【図3】

【図4】