▶ アリババ グループ ホウルディング リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-03-18
(45)【発行日】2022-03-29
(54)【発明の名称】ネットワークセキュリティのための方法及びシステム
(51)【国際特許分類】
G06F 21/44 20130101AFI20220322BHJP
G06F 21/55 20130101ALI20220322BHJP
G06F 21/31 20130101ALI20220322BHJP
【FI】
G06F21/44
G06F21/55
G06F21/31
【請求項の数】
20
(21)【出願番号】P 2019546004
(86)(22)【出願日】2018-02-02
(65)【公表番号】
(43)【公表日】2020-05-28
(86)【国際出願番号】 US2018016743
(87)【国際公開番号】W WO2018182850
(87)【国際公開日】2018-10-04
【審査請求日】2021-01-06
(31)【優先権主張番号】201710202450.2
(32)【優先日】2017-03-30
(33)【優先権主張国・地域又は機関】CN
(31)【優先権主張番号】15/886,582
(32)【優先日】2018-02-01
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】511050697
【氏名又は名称】アリババ グループ ホウルディング リミテッド
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(72)【発明者】
【氏名】リウ,ジンチョン
【審査官】宮司 卓佳
(56)【参考文献】
【文献】米国特許出願公開第2014/0167931(US,A1)
【文献】米国特許出願公開第2015/0237049(US,A1)
【文献】特表2008-544339(JP,A)
【文献】特開2015-162235(JP,A)
【文献】米国特許出願公開第2017/0012964(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31-21/46
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
ネットワークセキュリティを機能させるためのコンピュータ実施方法であって、ユーザに関連付けられたアプリケーションから、サーバにより、第1の組の検証情報及び末端機器において実行される第1のコマンドを含む第1のデータパケットを受信することと、
前記サーバにより、前記第1の組の検証情報が第1の所定の条件を満たさないと判断することに応答して、
前記サーバにより、前記ユーザに関連付けられた第1のコンピューティング機器向けの検証コードを生成することと、
前記サーバにより、前記検証コードの認証に成功しないことに応答して、前記第1のデータパケットを破棄することと、
前記サーバにより、前記検証コードの認証に成功することに応答して、前記第1のコマンドを前記末端機器に送信することであって、それにより、前記末端機器に前記第1のコマンドを実行させる、送信することと
を含み、
前記第1の組の検証情報は、
第2のコンピューティング機器による前記ネットワークへの最初のアクセスのシステム時刻を含むネットワーク構成情報と、
前記アプリケーションのインターフェース中のコントロール部のサイズを含むアプリケーション情報と
を含む、方法。
【請求項2】
前記ネットワーク構成情報は、
前記アプリケーションが実行されている前記第2のコンピューティング機器によってアクセスされるネットワークのIPアドレス、及び
前記第2のコンピューティング機器によってアクセスされる前記ネットワークの無線ローカルエリアネットワーク名、
の1つ又は複数を更に含み、
前記アプリケーション情報は、
前記アプリケーションが実行されているオペレーティングシステムに関する情報、
前記アプリケーションのバージョン、及び
前記アプリケーションの前記インターフェース中の前記コントロール部の位置座標
の1つ又は複数を含むアプリケーション情報と
の1つ又は複数を更に含む、請求項1に記載の方法。
【請求項3】
前記第2のコンピューティング機器から、前記サーバにより、前記ネットワーク構成情報及び前記アプリケーション情報を含む登録情報を受信することと、前記サーバにより、前記登録情報を記憶することと
を更に含む、請求項2に記載の方法。
【請求項4】
前記第1の組の検証情報が前記第1の所定の条件を満たすと判断することは、前記第1の組の検証情報に含まれる前記ネットワーク構成情報が、前記サーバに予め登録されたネットワーク構成情報と一致すると判断することと、
前記第1の組の検証情報に含まれる前記アプリケーション情報が、前記サーバに予め登録されたアプリケーション情報と一致すると判断することと
を含む、請求項2に記載の方法。
【請求項5】
前記第1の組の検証情報に含まれる前記アプリケーション情報が、前記サーバに予め登録された前記アプリケーション情報と一致すると判断することは、前記第1の組の検証情報に含まれる前記位置座標が、前記第1のコマンドに対応するものとして前記サーバに予め登録されたタッチボタン又はコントロール部の領域内に入るかどうかを判断することを含む、請求項4に記載の方法。
【請求項6】
前記第1の組の検証情報が前記第1の所定の条件を満たすと判断することに応答して、前記第1のコマンドを前記末端機器に送信することを更に含む、請求項1に記載の方法。
【請求項7】
前記第1のコンピューティング機器は、携帯電話、及び
パーソナルコンピューティング機器
の1つ又は複数であり、
前記検証コードは、
前記携帯電話に対応する電話番号、及び
前記ユーザの電子メールアカウント又はネットワークアクセス可能なアカウント
の1つ又は複数に向けられている、請求項1に記載の方法。
【請求項8】
前記末端機器から、前記サーバにより、第2の組の検証情報を含む第2のデータパケットを受信することであって、前記第2の組の検証情報は、前記末端機器によって受信された第3のデータパケットから前記末端機器によって取得された情報を含む、受信することと、前記第2の組の検証情報が第2の所定の条件を満たすかどうかを判断することにより、検証結果を取得することと、
前記検証結果に基づいて第2のコマンドを送信することにより、前記末端機器を制御することであって、それにより、前記末端機器に前記第2のコマンドを実行させる、制御することと
を更に含む、請求項1に記載の方法。
【請求項9】
前記第2の組の検証情報が前記第2の所定の条件を満たさないと判断することに応答して、前記送信された第2のコマンドは、前記末端機器に前記第3のデータパケットを破棄するように指示し、前記第2の組の検証情報が前記第2の所定の条件を満たすと判断することに応答して、前記送信された第2のコマンドは、前記末端機器に前記第3のデータパケットを処理するように指示する、請求項8に記載の方法。
【請求項10】
前記第2の組の検証情報は、前記第3のデータパケットから前記末端機器によって取得された第1のIPアドレスを含み、前記第2の組の検証情報が前記第2の所定の条件を満たすと判断することは、
前記第1のIPアドレスに基づいて、前記第3のデータパケットの送信に関するネットワークタイプを判断することと、
前記ネットワークタイプに基づいて、前記第1のIPアドレスを検証することと
を含む、請求項8に記載の方法。
【請求項11】
ネットワークセキュリティを機能させるためのコンピュータシステムであって、プロセッサと、
前記プロセッサに結合され、且つ命令を記憶するメモリとを含み、
前記命令は、前記プロセッサによって実行されると、前記プロセッサに方法を実行させ、前記方法は、
ユーザに関連付けられたアプリケーションから、前記コンピュータシステムにより、第1の組の検証情報及び末端機器において実行される第1のコマンドを含む第1のデータパケットを受信することと、
前記第1の組の検証情報が第1の所定の条件を満たさないと判断することに応答して、
前記ユーザに関連付けられた第1のコンピューティング機器向けの検証コードを生成することと、
前記検証コードの認証に成功しないことに応答して、前記第1のデータパケットを破棄することと、
前記検証コードの認証に成功することに応答して、前記第1のコマンドを末端機器に送信することであって、それにより、前記末端機器に前記第1のコマンドを実行させる、送信することと
を含み、
前記第1の組の検証情報は、
第2のコンピューティング機器による前記ネットワークへの最初のアクセスのシステム時刻を含むネットワーク構成情報と、
前記アプリケーションのインターフェース中のコントロール部のサイズを含むアプリケーション情報と
を含む、コンピュータシステム。
【請求項12】
前記ネットワーク構成情報は、
前記アプリケーションが実行されている前記第2のコンピューティング機器によってアクセスされるネットワークのIPアドレス、及び
前記第2のコンピューティング機器によってアクセスされる前記ネットワークの無線ローカルエリアネットワーク名、
の1つ又は複数を更に含み、
前記アプリケーション情報は、
前記アプリケーションが実行されているオペレーティングシステムに関する情報、
前記アプリケーションのバージョン、及び
前記アプリケーションの前記インターフェース中の前記コントロール部の位置座標
の1つ又は複数を更に含む
、請求項11に記載のコンピュータシステム。
【請求項13】
前記方法は、前記第2のコンピューティング機器から、前記コンピュータシステムにより、前記ネットワーク構成情報及び前記アプリケーション情報を含む登録情報を受信することと、
前記コンピュータシステムにより、前記登録情報を記憶することと
を更に含む、請求項12に記載のコンピュータシステム。
【請求項14】
前記第1の組の検証情報が前記第1の所定の条件を満たすと判断することは、前記第1の組の検証情報に含まれる前記ネットワーク構成情報が、前記コンピュータシステムに予め登録されたネットワーク構成情報と一致すると判断することと、
前記第1の組の検証情報に含まれる前記アプリケーション情報が、前記コンピュータシステムに予め登録されたアプリケーション情報と一致すると判断することと
を含む、請求項12に記載のコンピュータシステム。
【請求項15】
前記第1の組の検証情報に含まれる前記アプリケーション情報が、前記コンピュータシステムに予め登録された前記アプリケーション情報と一致すると判断することは、前記第1の組の検証情報に含まれる前記位置座標が、前記第1のコマンドに対応するものとして前記コンピュータシステムに予め登録されたタッチボタン又はコントロール部の領域内に入るかどうかを判断することを含む、請求項14に記載のコンピュータシステム。
【請求項16】
前記方法は、前記第1の組の検証情報が前記第1の所定の条件を満たすと判断することに応答して、前記第1のコマンドを前記末端機器に送信することを更に含む、請求項11に記載のコンピュータシステム。
【請求項17】
前記第1のコンピューティング機器は、携帯電話、及び
パーソナルコンピューティング機器
の1つ又は複数であり、
前記検証コードは、
前記携帯電話に対応する電話番号、及び
前記ユーザの電子メールアカウント又はネットワークアクセス可能なアカウント
の1つ又は複数に向けられている、請求項11に記載のコンピュータシステム。
【請求項18】
前記方法は、前記末端機器から、前記コンピュータシステムにより、第2の組の検証情報を含む第2のデータパケットを受信することであって、前記第2の組の検証情報は、前記末端機器によって受信された第3のデータパケットから前記末端機器によって取得された情報を含む、受信することと、
前記第2の組の検証情報が第2の所定の条件を満たすかどうかを判断することにより、検証結果を取得することと、
前記検証結果に基づいて第2のコマンドを送信することにより、前記末端機器を制御することであって、それにより、前記末端機器に前記第2のコマンドを実行させる、制御することと
を更に含む、請求項11に記載のコンピュータシステム。
【請求項19】
前記第2の組の検証情報が前記第2の所定の条件を満たさないと判断することに応答して、前記送信された第2のコマンドは、前記末端機器に前記第3のデータパケットを破棄するように指示し、前記第2の組の検証情報が前記第2の所定の条件を満たすと判断することに応答して、前記送信された第2のコマンドは、前記末端機器に前記第3のデータパケットを処理するように指示する、請求項18に記載のコンピュータシステム。
【請求項20】
前記第2の組の検証情報は、前記第3のデータパケットから前記末端機器によって取得された第1のIPアドレスを含み、前記第2の組の検証情報が前記第2の所定の条件を満たすと判断することは、
前記第1のIPアドレスに基づいて、前記第3のデータパケットの送信に関するネットワークタイプを判断することと、
前記ネットワークタイプに基づいて、前記第1のIPアドレスを検証することと
を含む、請求項18に記載のコンピュータシステム。
【発明の詳細な説明】
【技術分野】
【0001】
背景
分野
[0001] 本開示は、概して、ネットワークセキュリティに関する。より具体的には、本開示は、制御を行うユーザアプリケーション/機器と、IoT(Internet of Things)機器などの制御される末端機器との間の通信への不正アクセスを識別するための方法及びシステムに関する。
分野
[0001] 本開示は、概して、ネットワークセキュリティに関する。より具体的には、本開示は、制御を行うユーザアプリケーション/機器と、IoT(Internet of Things)機器などの制御される末端機器との間の通信への不正アクセスを識別するための方法及びシステムに関する。
【背景技術】
【0002】
関連技術
[0002] 技術の進歩には、増加するデータ量の通信が含まれる。通信のセキュリティは、ファイアウォール(これは、所定のセキュリティルールに基づいて受信及び発信ネットワークトラフィックを監視及び制御する)及び侵入検知システム(これは、悪質な活動又はポリシー違反についてネットワークを監視する)などの従来技術によって保護することができる。これらの従来技術は、システムの脆弱性として知られているか又は以前に特定されている状態を検出することに基づき得る。
[0002] 技術の進歩には、増加するデータ量の通信が含まれる。通信のセキュリティは、ファイアウォール(これは、所定のセキュリティルールに基づいて受信及び発信ネットワークトラフィックを監視及び制御する)及び侵入検知システム(これは、悪質な活動又はポリシー違反についてネットワークを監視する)などの従来技術によって保護することができる。これらの従来技術は、システムの脆弱性として知られているか又は以前に特定されている状態を検出することに基づき得る。
【0003】
[0003] 対照的に、急速に成長しているIoT機器の分野では、これらの検出可能な状態を識別すること及びこれらの機器に対してネットワークセキュリティを提供することは、困難であり得る。IoT機器は、感知機能又は作動機能を有し、インターネットを介して互いに接続されている機器、例えばウェアラブルフィットネスウォッチ、スマート家電、工場制御機器、医療機器及び車両などである。IoT機器の数が増え続けているため、悪質な攻撃が機器の制御を乗っ取り、その機器を危険であり且つ安全でない方法で動作させる危険性がある。更に、そのような攻撃は、検出が困難であり得、なぜなら、IoT機器のタイプ及びIoT機器が動作するプラットフォームが様々であるため、結果としてネットワークセキュリティ上の未知の脆弱性が生じるからである。
【発明の概要】
【課題を解決するための手段】
【0004】
概要
[0004] 一実施形態は、ネットワークセキュリティを機能させる(facilitating)ための方法を提供し、この方法は、ユーザに関連付けられたアプリケーションから、サーバにより、第1の組の検証情報及び第1のコマンドを含む第1のデータパケットを受信することと、第1の組の検証情報が第1の所定の条件を満たさないと判断することに応答して、ユーザに関連付けられた第1のコンピューティング機器向けの検証コードを生成することと、検証コードの認証に成功しないことに応答して、第1のデータパケットを破棄することと、検証コードの認証に成功することに応答して、第1のコマンドを末端機器に送信することであって、それにより、末端機器に第1のコマンドを実行させる、送信することとを含む。
[0004] 一実施形態は、ネットワークセキュリティを機能させる(facilitating)ための方法を提供し、この方法は、ユーザに関連付けられたアプリケーションから、サーバにより、第1の組の検証情報及び第1のコマンドを含む第1のデータパケットを受信することと、第1の組の検証情報が第1の所定の条件を満たさないと判断することに応答して、ユーザに関連付けられた第1のコンピューティング機器向けの検証コードを生成することと、検証コードの認証に成功しないことに応答して、第1のデータパケットを破棄することと、検証コードの認証に成功することに応答して、第1のコマンドを末端機器に送信することであって、それにより、末端機器に第1のコマンドを実行させる、送信することとを含む。
【0005】
[0005] この方法の幾つかの実施形態では、第1の組の検証情報は、ネットワーク構成情報及びアプリケーション情報の1つ又は複数を含む。ネットワーク構成情報は、アプリケーションが実行されている第2のコンピューティング機器によってアクセスされるネットワークのIPアドレス、第2のコンピューティング機器によってアクセスされるネットワークの無線ローカルエリアネットワーク名、及び第2のコンピューティング機器によるネットワークへの最初のアクセスのシステム時刻の1つ又は複数を含む。アプリケーション情報は、アプリケーションが実行されているオペレーティングシステムに関する情報、アプリケーションのバージョン、アプリケーションのインターフェース中のコントロール部のサイズ、及びアプリケーションのインターフェース中のコントロール部の位置座標の1つ又は複数を含む。
【0006】
[0006] 幾つかの実施形態では、この方法は、第2のコンピューティング機器から、サーバにより、ネットワーク構成情報及びアプリケーション情報を含む登録情報を受信することと、サーバにより、登録情報を記憶することとを更に含む。
【0007】
[0007] この方法の幾つかの実施形態では、第1の組の検証情報が第1の所定の条件を満たすと判断することは、第1の組の検証情報に含まれるネットワーク構成情報が、サーバに予め登録されたネットワーク構成情報と一致すると判断することと、第1の組の検証情報に含まれるアプリケーション情報が、サーバに予め登録されたアプリケーション情報と一致すると判断することとを含む。
【0008】
[0008] この方法の幾つかの実施形態では、第1の組の検証情報に含まれるアプリケーション情報が、サーバに予め登録されたアプリケーション情報と一致すると判断することは、第1の組の検証情報に含まれる位置座標が、第1のコマンドに対応するものとしてサーバに予め登録されたタッチボタン又はコントロール部の領域内に入るかどうかを判断することを含む。
【0009】
[0009] 幾つかの実施形態では、この方法は、第1の組の検証情報が第1の所定の条件を満たすと判断することに応答して、第1のコマンドを末端機器に送信することを更に含む。
【0010】
[0010] この方法の幾つかの実施形態では、第1のコンピューティング機器は、携帯電話及びパーソナルコンピューティング機器の1つ又は複数である。検証コードは、携帯電話に対応する電話番号及びユーザの電子メールアカウント又はネットワークアクセス可能なアカウントの1つ又は複数に向けられている。
【0011】
[0011] 幾つかの実施形態では、この方法は、末端機器から、サーバにより、第2の組の検証情報を含む第2のデータパケットを受信することであって、第2の組の検証情報は、末端機器によって受信された第3のデータパケットから末端機器によって取得された情報を含む、受信することと、第2の組の検証情報が第2の所定の条件を満たすかどうかを判断することにより、検証結果を取得することと、検証結果に基づいて第2のコマンドを送信することであって、それにより、末端機器に第2のコマンドを実行させる、送信することとを更に含む。
【0012】
[0012] この方法の幾つかの実施形態では、第2の組の検証情報が第2の所定の条件を満たさないと判断することに応答して、送信された第2のコマンドは、末端機器に第3のデータパケットを破棄するように指示する。第2の組の検証情報が第2の所定の条件を満たすと判断することに応答して、送信された第2のコマンドは、末端機器に第3のデータパケットを処理するように指示する。
【0013】
[0013] この方法の幾つかの実施形態では、第2の組の検証情報は、第3のデータパケットから末端機器によって取得された第1のインターネットプロトコル(IP)アドレスを含む。第2の組の検証情報が第2の所定の条件を満たすと判断することは、第1のIPアドレスに基づいて、第3のデータパケットの送信に関するネットワークタイプを判断することと、ネットワークタイプに基づいて、第1のIPアドレスを検証することとを含む。
【0014】
[0014] 別の実施形態は、ネットワークセキュリティを機能させるためのコンピュータシステムを提供し、このコンピュータシステムは、プロセッサと、プロセッサに結合され、且つ命令を記憶するメモリとを含み、この命令は、プロセッサによって実行されると、プロセッサに上述の方法を実行させ、ここで、このコンピュータシステムは、上述の方法におけるサーバである。
【図面の簡単な説明】
【0015】
図面の簡単な説明
【図1A】[0015]本出願の一実施形態による、ネットワークセキュリティを機能させる例示的な環境及び通信を示す。
【図1B】[0016]本出願の一実施形態による、ネットワークセキュリティを機能させる例示的な環境及び通信を示す。
【図2A】[0017]本出願の一実施形態による、ネットワークセキュリティを機能させるためのコンピューティング機器における例示的なユーザインターフェースを示す。
【図2B】[0018]本出願の一実施形態による、ネットワークセキュリティを機能させるためのコンピューティング機器における例示的なユーザインターフェースを示す。
【図3A】[0019]本出願の一実施形態による、サーバがコンピューティング機器から受信した第1のデータパケットの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャートを表す。
【図3B】[0020]本出願の一実施形態による、位置座標の検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャートを表す。
【図4A】[0021]本出願の一実施形態による、サーバが末端機器から受信した第2のデータパケットの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャートを表す。
【図4B】[0022]本出願の一実施形態による、サーバが末端機器から受信した第2のデータパケットの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャートを表す。
【図4C】[0023]本出願の一実施形態による、末端機器が受信した第3のデータパケットから取得され第2のデータパケットで運ばれるIPアドレスの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャートを表す。
【図5】[0024]本出願の一実施形態による、ネットワークセキュリティを機能させる例示的なコンピュータシステムを示す。
【図6】[0025]本出願の一実施形態による、ネットワークセキュリティを機能させる例示的な装置を示す。
【発明を実施するための形態】
【0016】
[0026] 図において、同様の参照番号は、同じ図要素を指す。
【0017】
詳細な説明
[0027] 以下の説明は、当業者が実施形態を実施及び使用することができるように提示するものであり、特定の用途及びその要件に関連して提供される。開示する実施形態に対する様々な修正形態が当業者に容易に明らかになり、本明細書で定義する一般的な原理は、本開示の趣旨及び範囲から逸脱することなく、他の実施形態及び用途にも適用可能である。従って、本発明は、示した実施形態に限定されるものではなく、本明細書に開示する原理及び特徴と一致する最も広い範囲が付与されるべきである。
[0027] 以下の説明は、当業者が実施形態を実施及び使用することができるように提示するものであり、特定の用途及びその要件に関連して提供される。開示する実施形態に対する様々な修正形態が当業者に容易に明らかになり、本明細書で定義する一般的な原理は、本開示の趣旨及び範囲から逸脱することなく、他の実施形態及び用途にも適用可能である。従って、本発明は、示した実施形態に限定されるものではなく、本明細書に開示する原理及び特徴と一致する最も広い範囲が付与されるべきである。
【0018】
概要
[0028] 本明細書で説明する実施形態は、末端機器を不正に制御しようと試みるエンティティから送信されたデータパケットを識別することにより、ネットワークセキュリティを高めるという問題を解決するシステムを提供する。例えば、このシステムは、無線で制御可能な家庭用空調装置などのスマート機器をオン/オフするコマンドを送信しようと試みる、認証されていないエンティティによる悪質な攻撃を識別することができる。
[0028] 本明細書で説明する実施形態は、末端機器を不正に制御しようと試みるエンティティから送信されたデータパケットを識別することにより、ネットワークセキュリティを高めるという問題を解決するシステムを提供する。例えば、このシステムは、無線で制御可能な家庭用空調装置などのスマート機器をオン/オフするコマンドを送信しようと試みる、認証されていないエンティティによる悪質な攻撃を識別することができる。
【0019】
[0029] 従来のネットワークセキュリティは、ファイアウォール及び侵入検知システム(IDS)などの技術を含み得、これらは、システムの既知の状態又は予め特定された脆弱性を検出することに基づく。対照的に、急速に成長するモノのインターネット(IoT)の分野でそのような状態を特定することは、困難であり得る。IoT機器は、感知機能又は作動機能を有し、インターネットを介して互いに接続されている機器、例えばウェアラブルフィットネスウォッチ、スマート家電、工場制御機器、医療機器及び車両などである。IoT機器の数が増え続けているため、悪質な攻撃が機器の制御を乗っ取り、その機器を危険であり且つ安全ではない方法で動作させる危険性がある。更に、そのような攻撃は、検出が困難であり得、なぜなら、IoT機器のタイプ及びIoT機器が動作するプラットフォームが様々であるため、結果としてネットワークセキュリティ上の未知の脆弱性が生じるからである。
【0020】
[0030] 本明細書で説明する実施形態は、末端機器を制御するコマンドをユーザがサーバに送信することができるシステムであって、サーバが特定の情報を検証し、検証が成功すると、末端機器に向けてコマンドを送信して実行させることを可能にするシステムを提供することにより、この問題を解決する。例えば、アプリケーションのユーザは、携帯機器上のアプリケーションを使用して、スマートランプをオンにすることができる(スマートランプは、現在、オフであると仮定する)。システムは、第1のデータパケットをサーバに送信することができ、この第1のデータパケットは、第1の検証情報及び第1のコマンドを含むことができる。サーバは、第1の検証情報が所定の条件を満たすかどうか、例えば、検証情報に含まれる位置座標が、そのコマンドに対応して予め登録された位置座標と一致するかどうかなどを判断することができる。条件が満たされる場合、サーバは、第1のコマンドをスマートランプに送信することができ、それによりスマートランプがオンになる。条件が満たされない場合、サーバは、検証コードをユーザに送信することができる。一実施形態では、最初に登録された機器と異なる機器上のアプリケーションからユーザが第1のコマンドを送信した場合、システムは、条件が満たされないと判断し、そのユーザに関連付けられた電話番号に検証コードを送信し得る。ユーザが正しいコード認証で応答した場合、サーバは、コマンドをスマートランプに送信することができ、それによりスマートランプがオンになる。ユーザが正しくないコード認証で応答した場合、サーバは、コマンドをスマートランプに送信することをやめ、それによりスマートランプがオフのままになる。
【0021】
[0031] 別の実施形態では、末端機器は、(例えば、未知のエンティティからの第3のデータパケット中の)コマンドを受信し、そのコマンドを実行すべきかどうかを判断することができる。例えば、末端機器は、第2のデータパケットをサーバに送信することができ、第2のデータパケットは、第2の検証情報を含む。サーバは、第2の検証情報が所定の条件を満たすかどうか、例えば、第2のデータパケットで運ばれた(且つ第3のデータパケットから取得された)IPアドレスが、そのコマンド又はそのコマンドに関連付けられたユーザ若しくはアプリケーションに対応する予め登録されたIPアドレスと一致するかどうかなどを判断することができる。条件が満たされる場合、サーバは、末端機器に第3のデータパケット中のコマンドを実行するように指示する第2のコマンドを末端機器に送信することができる。条件が満たされない場合、サーバは、末端機器に第3のデータパケット中のコマンドを実行することをやめるように指示する第2のコマンドを末端機器に送信することができる。
【0022】
[0032] 従って、本明細書で説明する実施形態は、末端機器(例えば、IoT機器)を遠隔で制御することを望むユーザとの間の通信、及び末端機器を遠隔で制御することを望むエンティティから、末端機器によって受信される通信を保護することに関係する、ネットワークセキュリティ上の問題に対処するシステムを提供する。
【0023】
[0033] 更に、本明細書で説明する実施形態は、ネットワークセキュリティの保護に対する改善をもたらし、この改善は、基本的に技術的である。本発明の実施形態は、IoT機器とのネットワークを含め、ネットワーク通信のセキュリティ上の技術的問題に技術的解決策を提供する(例えば、検証機能を提供するサーバとコンタクトすることにより、アプリケーションユーザと末端機器との間の通信に対して及びエンティティから末端機器が受信する通信に対して検証を提供する)。
【0024】
従来技術における例示的なネットワーク
[0034] 図1Aは、本出願の一実施形態による、ネットワークセキュリティを機能させる例示的な環境100及び通信を示す。環境100は、コンピューティング機器102に関連付けられたユーザ104、サーバ106及び機器108を含むことができ、コンピューティング機器102、サーバ106及び機器108は、ネットワーク110を介して互いに通信することができる。コンピューティング機器102は、タブレット、携帯電話、電子リーダー、ラップトップコンピュータ、デスクトップコンピュータ又は任意の他のコンピューティング機器であり得る。サーバ106は、本明細書で説明する機能を実行することができる任意のコンピューティング機器であり得る。機器108は、IoT機器、例えばウェアラブルフィットネスウォッチ、スマート家電、工場制御機器、医療機器及び車両などの末端機器であり得る。図1Aでは、機器108は、スマート暖房、換気及び空調(HVAC)ユニットとして図示されている。
[0034] 図1Aは、本出願の一実施形態による、ネットワークセキュリティを機能させる例示的な環境100及び通信を示す。環境100は、コンピューティング機器102に関連付けられたユーザ104、サーバ106及び機器108を含むことができ、コンピューティング機器102、サーバ106及び機器108は、ネットワーク110を介して互いに通信することができる。コンピューティング機器102は、タブレット、携帯電話、電子リーダー、ラップトップコンピュータ、デスクトップコンピュータ又は任意の他のコンピューティング機器であり得る。サーバ106は、本明細書で説明する機能を実行することができる任意のコンピューティング機器であり得る。機器108は、IoT機器、例えばウェアラブルフィットネスウォッチ、スマート家電、工場制御機器、医療機器及び車両などの末端機器であり得る。図1Aでは、機器108は、スマート暖房、換気及び空調(HVAC)ユニットとして図示されている。
【0025】
[0035] 動作中、ユーザ104は、コンピューティング機器102を介してサーバ106に第1のデータパケット122/124を送信することができ、この第1のデータパケット122/124は、第1の検証情報及び第1のコマンドを含む。第1のデータパケット124を受信すると、サーバ106は、第1のデータパケット124中に含まれる第1の検証情報が所定の条件を満たすかどうかを判断することができる。第1の検証情報は、ネットワーク構成情報及びアプリケーション情報を含むことができる。例示的なネットワーク構成情報としては、コンピューティング機器によってアクセスされるネットワークのIPアドレス、コンピューティング機器によってアクセスされるネットワークの無線ローカルエリアネットワーク名(サービスセット識別子(SSID)など)、及びネットワークへの最初のアクセスのシステム時刻が含まれ得る。例示的なアプリケーション情報としては、アプリケーションが実行されているオペレーティングシステムに関する情報、アプリケーションのバージョン、アプリケーションのインターフェース中のコントロール部のサイズ、及びアプリケーションのインターフェース中のコントロール部の位置座標が含まれ得る。サーバ106は、ユーザによって以前に登録されたネットワーク構成情報及びアプリケーション情報を記憶することもできる。サーバ106は、その後、第1のデータパケット中の第1の検証情報が所定の条件を満たすかどうかを判断するために、第1のデータパケット中の第1の検証情報が、予め記憶/登録されたネットワーク構成情報及びアプリケーション情報と一致するかどうかを判断することができる。条件が満たされた場合、サーバ106は、第1のコマンド126/128を機器108に送信することができる。第1のコマンド128を受信すると、機器108は、第1のコマンド128で示された命令を実行することができる。
【0026】
[0036] 条件が満たされない場合、サーバ106は、検証コード130/132を生成し、ユーザ104に関連付けられた電話番号に送信することにより、補足的なチェックを行うことができる。図1Aでは、コンピューティング機器102は、ユーザ104に関連付けられた電話番号を有する機器に対応すると仮定する。検証コード132を受信すると、ユーザ104は、コンピューティング機器102を介してコード認証134/136をサーバ106に戻すことができる。コード認証136を受信すると、サーバ106は、コード認証136が検証コード130に対する適切な応答であるかどうかを判断することができる。適切な応答である場合、サーバ106は、第1のコマンド126/128の機器108への送信を進めることができ、適切な応答でない場合、サーバ106は、第1のコマンド126/128を機器108に送信することをやめることができる。
【0027】
[0037] 図1Bは、本出願の一実施形態による、ネットワークセキュリティを機能させる例示的な環境140及び通信を示す。動作中、機器108は、エンティティ160から第3のデータパケット142を受信することができる。エンティティ160は、未知のエンティティ、又はアプリケーション上のユーザ(例えば、コンピューティング機器120に関連付けられたユーザ104)の「正規の」コンピューティング機器を含む、任意のエンティティであり得、機器108は、エンティティ160から受信した第3のデータパケット142の検証を要求することができる。例えば、機器108は、第3のデータパケット142から特定の情報、例えば送信者のIPアドレス及び対応するネットワークタイプなどを抽出することができる。機器108は、第2のデータパケット144を生成し、第3のデータパケット142から抽出した情報(「第2の検証情報」)を第2のデータパケット144に挿入し、第2のデータパケット144/146を検証のためにサーバ106に送信することができる。第2のデータパケット146を受信すると、サーバ106は、第2のデータパケット146中に含まれる第2の検証情報が所定の条件を満たすかどうかを判断することができる。第1の検証情報と同様に、第2の検証情報は、ネットワーク構成情報及びアプリケーション情報を含むことができる。
【0028】
[0038] サーバ106は、その後、第2のデータパケット中の第2の検証情報が所定の条件を満たすかどうかを判断するために、第2のデータパケット中の第2の検証情報が、予め記憶/登録されたネットワーク構成情報及びアプリケーション情報と一致するかどうかを判断することができる。条件が満たされる場合、サーバ106は、第2のコマンド148/150を機器108に送信し、第3のデータパケット142に関連付けられたコマンドの実行を進めるように機器108に指示することができる。第2のコマンド150を受信すると、機器108は、(例えば、第3のデータパケット142を処理することにより)第3のデータパケット142中に示された命令を実行することができる。条件が満たされない場合、サーバ106は、第2のコマンド148/150を機器108に送信し、第3のデータパケット142に関連付けられたコマンドの実行をやめるように機器108に指示することができる。第2のコマンド150を受信すると、機器108は、(例えば、第3のデータパケット142を破棄することにより)第3のデータパケット142中に示された命令の実行をやめることができる。
【0029】
例示的なユーザインターフェース
[0039] 図2Aは、本出願の一実施形態による、ネットワークセキュリティを機能させるためのコンピューティング機器200における例示的なユーザインターフェースを示す。機器200は、機器200上で動作しているアプリケーションに関するコントロール部及び情報を表示するディスプレイ202を含むことができる。ディスプレイ202は、制御される末端機器(例えば、「スマート空調装置」)を示すフィールド210、制御される末端機器に対する設定又は機能(例えば、「温度」)を示すフィールド212、制御される末端機器に対する設定又は機能の値(例えば、華氏「73」度)を示すフィールド214、並びにフィールド210、212及び214の値に対応するコマンドを送信するためにユーザが選択/タッチすることができる制御ボタン216を含むことができる。フィールド210、212及び214並びにボタン216は、ドロップダウンボックス、ラジオボタン、入力ボックス又は他のウィジェットなどのコントロール部であり得る。動作中、ユーザは、ユーザ、機器200及び機器200上で実行されているアプリケーションに関連付けられたネットワーク確認情報及びアプリケーション情報を登録することができる。
[0039] 図2Aは、本出願の一実施形態による、ネットワークセキュリティを機能させるためのコンピューティング機器200における例示的なユーザインターフェースを示す。機器200は、機器200上で動作しているアプリケーションに関するコントロール部及び情報を表示するディスプレイ202を含むことができる。ディスプレイ202は、制御される末端機器(例えば、「スマート空調装置」)を示すフィールド210、制御される末端機器に対する設定又は機能(例えば、「温度」)を示すフィールド212、制御される末端機器に対する設定又は機能の値(例えば、華氏「73」度)を示すフィールド214、並びにフィールド210、212及び214の値に対応するコマンドを送信するためにユーザが選択/タッチすることができる制御ボタン216を含むことができる。フィールド210、212及び214並びにボタン216は、ドロップダウンボックス、ラジオボタン、入力ボックス又は他のウィジェットなどのコントロール部であり得る。動作中、ユーザは、ユーザ、機器200及び機器200上で実行されているアプリケーションに関連付けられたネットワーク確認情報及びアプリケーション情報を登録することができる。
【0030】
[0040] 図2Bは、本出願の一実施形態による、ネットワークセキュリティを機能させるためのコンピューティング機器200における例示的なユーザインターフェースを示す。図2Bの機器220は、図2Aの機器200と同様であり、図2Aの制御ボタン216に対応する矩形の領域218を示す。領域218は、ポイント254(「x1、y1」の位置座標値を有する)及びポイント256(「x2、y2」の位置座標値を有する)によって定義されるグラフの象限として識別することができる。制御ボタン216に対応する矩形領域218を画定するポイント254及び256は、例えば、初期化プロセスの一部として、アプリケーションを使用して制御コマンドを末端機器に送信する前にユーザによって登録され得る。指260を使用して、ユーザは、領域218のスポットで制御ボタン216をタッチすることができ、その場所は、ポイント252(「x、y」の位置座標値を有する)によって印を付けられている。ポイント252の位置座標値は、図1Aに関連して上述したように且つ図3Bに関連して以下で更に考察するように、サーバに送信される検証情報に含めることができる。例えば、サーバは、ポイント252の位置座標が、ポイント254及び256によって画定される領域218内に入ると判断することができる。なお、コントロール216及び対応する領域218は、矩形の形状として図2A及び図2Bで示されているが、ユーザによって選択又はタッチされるコントロールは、任意の形状を取ることができ、1つ又は複数のポイントによって画定することができる。
【0031】
ネットワークセキュリティを機能させるための方法:サーバがコンピューティング機器から受信したパケットの検証
[0041] 図3Aは、本出願の一実施形態による、サーバがコンピューティング機器から受信した第1のデータパケットの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャート300を表す。動作中、システムは、コンピューティング機器上のアプリケーションのユーザから、サーバにより、第1の組の検証情報及び第1のコマンドを含む第1のデータパケットを受信する(動作302)。システムは、第1のデータパケットから第1の組の検証情報を抽出する(動作304)。第1の組の検証情報が第1の所定の条件を満たす場合(判定306)、サーバは、第1のコマンドを末端機器に送信し(動作316)、末端機器は、第1のコマンドを実行する(動作318)。第1の組の検証情報が第1の所定の条件を満たさない場合(判定306)、サーバは、検証コードを生成し(動作308)、その検証コードを、ユーザに関連付けられた電話番号に送信する(動作310)。幾つかの実施形態では、サーバは、検証コードを電子メールとして電子メールアドレスに、又はテキストメッセージとして携帯電話に、又はユーザに届く別のデジタル方式で、例えばユーザのネットワークアクセス可能なアカウントに送信することができる。ユーザは、この情報を初期化又は登録プロセスにおいて設定することができる。
[0041] 図3Aは、本出願の一実施形態による、サーバがコンピューティング機器から受信した第1のデータパケットの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャート300を表す。動作中、システムは、コンピューティング機器上のアプリケーションのユーザから、サーバにより、第1の組の検証情報及び第1のコマンドを含む第1のデータパケットを受信する(動作302)。システムは、第1のデータパケットから第1の組の検証情報を抽出する(動作304)。第1の組の検証情報が第1の所定の条件を満たす場合(判定306)、サーバは、第1のコマンドを末端機器に送信し(動作316)、末端機器は、第1のコマンドを実行する(動作318)。第1の組の検証情報が第1の所定の条件を満たさない場合(判定306)、サーバは、検証コードを生成し(動作308)、その検証コードを、ユーザに関連付けられた電話番号に送信する(動作310)。幾つかの実施形態では、サーバは、検証コードを電子メールとして電子メールアドレスに、又はテキストメッセージとして携帯電話に、又はユーザに届く別のデジタル方式で、例えばユーザのネットワークアクセス可能なアカウントに送信することができる。ユーザは、この情報を初期化又は登録プロセスにおいて設定することができる。
【0032】
[0042] ユーザは、例えば、検証コードを受信したという確認を送信することにより、又は(例えば、ユーザがコマンドを送信したのと同じ機器上で、又はユーザに検証を送信したデジタル方式を介して)ユーザに提示される画面又はダイアログボックスに検証コードを入力することにより、検証コードに応答することができる。検証がサーバによって成功裏に認証される場合(判定312)、サーバは、第1のコマンドを末端機器に送信し(動作316)、末端機器は、第1のコマンドを実行する(動作318)。検証がサーバによって成功裏に認証されない場合(判定312)、サーバは、第1のパケットを破棄し(動作314)、それにより、第1のデータパケットは、末端機器に送信されなくなる。即ち、サーバは、第1のデータパケットを末端機器に送信することをやめる。
【0033】
[0043] 図3Bは、本出願の一実施形態による、位置座標の検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャート320を表す。動作中、システムは、コンピューティング機器上のアプリケーションのユーザから、サーバにより、ユーザ、アプリケーション及び/又はコンピューティング機器に関連付けられたネットワーク構成情報及びアプリケーション情報を含む登録事項を受信する(動作322)。システムは、サーバにより、そのネットワーク構成情報及びアプリケーション情報を記憶する(動作324)。システムは、サーバにより、第1の組の検証情報及び第1のコマンドを含む第1のデータパケットを受信し、ここで、第1の組の検証情報は、第1のコマンドに対応するものとしてサーバに予め登録された、コントロール部に対応する位置座標を含む。(動作326)。第1の組の検証情報に含まれる位置座標が、第1のコマンドに対応するものとして予め登録されたコントロール部の位置座標と一致する(と、例えば、サーバによって判断される)場合(判定328)、動作は、図3Aの動作316に続く。第1の組の検証情報に含まれる位置座標が、第1のコマンドに対応するものとして予め登録されたコントロール部の位置座標と一致しない(と、例えば、サーバによって判断される)場合(判定328)、動作は、図3Aの動作308に続く。
【0034】
ネットワークセキュリティを機能させるための方法:サーバがコンピューティング機器から受信したパケットの検証
[0044] 図4Aは、本出願の一実施形態による、サーバが末端機器から受信した第2のデータパケットの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャート400を表す。動作中、システムは、末端機器から、サーバにより、第2の組の検証情報を含む第2のデータパケットを受信し、この第2の組の検証情報は、末端機器によって受信された第3のパケットから末端機器によって取得された情報を含む(動作402)。システムは、第2のデータパケットから第2の組の検証情報を抽出する(動作404)。第2の組の検証情報が第2の所定の条件を満たす場合(判定406)、システムは、第2のコマンドを生成して末端機器に送信し、第2のコマンドは、末端機器に第3のデータパケットを処理するように指示する(動作412)。末端機器は、第3のデータパケットを処理する(動作414)。第3のデータパケットを処理することは、第3のデータパケットに関連付けられた又は含まれた命令を実行すること、例えばスマート機器をオンにすること、又は(図2A及び図2Bに関連して上記で図示したように)スマート機器の機能の特定の値を設定することを含み得る。
[0044] 図4Aは、本出願の一実施形態による、サーバが末端機器から受信した第2のデータパケットの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャート400を表す。動作中、システムは、末端機器から、サーバにより、第2の組の検証情報を含む第2のデータパケットを受信し、この第2の組の検証情報は、末端機器によって受信された第3のパケットから末端機器によって取得された情報を含む(動作402)。システムは、第2のデータパケットから第2の組の検証情報を抽出する(動作404)。第2の組の検証情報が第2の所定の条件を満たす場合(判定406)、システムは、第2のコマンドを生成して末端機器に送信し、第2のコマンドは、末端機器に第3のデータパケットを処理するように指示する(動作412)。末端機器は、第3のデータパケットを処理する(動作414)。第3のデータパケットを処理することは、第3のデータパケットに関連付けられた又は含まれた命令を実行すること、例えばスマート機器をオンにすること、又は(図2A及び図2Bに関連して上記で図示したように)スマート機器の機能の特定の値を設定することを含み得る。
【0035】
[0045] 第2の組の検証情報が第2の所定の条件を満たさない場合(判定406)、システムは、第2のコマンドを生成して末端機器に送信し、第2のコマンドは、末端機器に第3のデータパケットを破棄するように指示する(動作408)。末端機器は、第3のデータパケットを破棄する(動作410)。データパケットを破棄することは、第3のデータパケットに関連付けられた又は含まれた命令を実行することをやめることを含み得る。
【0036】
[0046] 図4Bは、本出願の一実施形態による、サーバが末端機器から受信した第2のデータパケットの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャート420を表す。動作中、システムは、末端機器から、サーバにより、第2の組の検証情報を含む第2のデータパケットを受信し、この第2の組の検証情報は、末端機器によって受信された第3のデータパケットから末端機器によって取得された情報を含む(動作402)。システムは、第2の組の検証情報が第2の所定の条件を満たすかどうかを判断することにより、検証結果を取得する(動作424)。システムは、検証結果に基づいて第2のコマンドを送信することにより、末端機器を制御する(動作426)。続いて、末端機器は、第2のコマンドを実行する(動作428)。
【0037】
[0047] 図4Cは、本出願の一実施形態による、末端機器が受信した第3のデータパケットから取得され第2のデータパケットで運ばれるIPアドレスの検証を含む、ネットワークセキュリティを機能させるための方法を示すフローチャート440を表す。動作中、システムは、末端機器から、サーバにより、第2の組の検証情報を含む第2のデータパケットを受信し、この第2の組の検証情報は、末端機器によって受信された第3のデータパケットから末端機器によって取得された第1のIPアドレスを含む(動作442)。システムは、第2の組の検証情報が第2の所定の条件を満たすかどうかを判断する(動作444)。システムは、第1のIPアドレスに基づいて、第3のデータパケットの送信に関するネットワークタイプを判断する(動作446)。システムは、ネットワークタイプに基づいて、第1のIPアドレスを検証する(動作448)。検証が成功する場合(判定450)、動作は、図4Aの動作412に続く。検証が成功しない場合(判定450)、動作は、図4Aの動作408に続く。
【0038】
例示的なコンピュータシステム及び装置
[0048] 図5は、本出願の一実施形態による、ネットワークセキュリティを機能させる例示的なコンピュータシステム502を示す。コンピュータシステム502は、プロセッサ504、メモリ506及び記憶装置508を含む。メモリ506は、管理メモリとして機能する揮発性メモリ(例えば、RAM)を含むことができ、1つ又は複数のメモリプールを格納するために使用することができる。更に、コンピュータシステム502は、ディスプレイ機器510、キーボード512及びポインティングデバイス514に結合され得る。記憶装置508は、オペレーティングシステム516、コンテンツ処理システム518及びデータ部532を記憶することができる。コンピュータシステム502は、図1A及び図1Bのサーバ106などのサーバであり得る。
[0048] 図5は、本出願の一実施形態による、ネットワークセキュリティを機能させる例示的なコンピュータシステム502を示す。コンピュータシステム502は、プロセッサ504、メモリ506及び記憶装置508を含む。メモリ506は、管理メモリとして機能する揮発性メモリ(例えば、RAM)を含むことができ、1つ又は複数のメモリプールを格納するために使用することができる。更に、コンピュータシステム502は、ディスプレイ機器510、キーボード512及びポインティングデバイス514に結合され得る。記憶装置508は、オペレーティングシステム516、コンテンツ処理システム518及びデータ部532を記憶することができる。コンピュータシステム502は、図1A及び図1Bのサーバ106などのサーバであり得る。
【0039】
[0049] コンテンツ処理システム518は、命令を含むことができ、この命令は、コンピュータシステム502によって実行されると、本開示で説明する方法及び/又は処理をコンピュータシステム502に実行させることができる。具体的には、コンテンツ処理システム518は、コンピュータネットワークにわたって他のネットワークノードに/から、例えばコンピューティング機器、サーバ及び末端機器に/からデータパケットを送信及び/又は受信するための命令を含み得る。
【0040】
[0050] コンテンツ処理システム518は、コンピューティング機器上のアプリケーションのユーザから、サーバにより、第1の組の検証情報及び第1のコマンドを含む第1のデータパケットを受信するための命令を更に含み得る(通信モジュール520)。コンテンツ処理システム518は、第1の組の検証情報が第1の所定の条件を満たさないと判断する(第1の条件検証モジュール522)ことに応答して、以下の動作:ユーザに関連付けられた第1のコンピューティング機器向けの検証コードを生成する(検証コード管理モジュール524)ことと、検証コードの認証に成功しない(検証コード管理モジュール524)ことに応答して、第1のデータパケットを破棄する(パケット制御モジュール530)こととを行うための命令を含み得る。コンテンツ処理システム518は、検証コードの認証が成功することに応答して、第1のコマンドを末端機器に送信するための命令を含み得(通信モジュール520)、それにより末端機器が第1のコマンドを実行するようになる(パケット制御モジュール530)。
【0041】
[0051] コンテンツ処理システム518は、第2のコンピューティング機器から、サーバにより、ネットワーク構成情報及びアプリケーション情報を含む登録事項を受信するための命令を含み得る(登録管理モジュール528)。コンテンツ処理システム518は、サーバにより、登録されたネットワーク構成情報及び登録されたアプリケーション情報を記憶するための命令を含み得る(登録管理モジュール528)。
【0042】
[0052] コンテンツ処理システム518は、末端機器から、サーバにより、第2の組の検証情報を含む第2のデータパケットを受信するための命令を含み得る(通信モジュール520)。コンテンツ処理システム518は、第2の組の検証情報が第2の所定の条件を満たすかどうかを判断することにより、検証結果を取得するための命令を含み得る(第2の条件検証モジュール526)。コンテンツ処理システム518は、検証結果に基づいて第2のコマンドを送信することにより、末端機器を制御するための命令を含み得(パケット制御モジュール530及び通信モジュール520)、それにより末端機器が第2のコマンドを実行するようになる(パケット制御モジュール530)。
【0043】
[0053] データ部532は、本開示で説明する方法及び/又はプロセスによって入力として必要とされるか又は出力として生成される任意のデータを含むことができる。具体的には、データ部532は、少なくとも、データパケット、検証情報の組、検証コード、電話番号、コマンド、検証結果、ネットワーク構成情報、アプリケーション情報、IPアドレス、ネットワークのIPアドレス、無線ローカルエリアネットワーク名、SSID、ネットワークを識別するための情報、ネットワークへのアクセスのシステム時刻、アプリケーションが実行されるオペレーティングシステムに関する情報、アプリケーションのバージョン、アプリケーションのインターフェース中のコントロール部のサイズ及びアプリケーションのインターフェース中のコントロール部の位置座標を記憶し得る。
【0044】
[0054] 図6は、本出願の一実施形態による、ネットワークセキュリティを機能させる例示的な装置600を示す。装置600は、有線、無線、量子光又は電気通信チャネルを介して互いに通信することができる複数のユニット又は装置を含むことができる。装置600は、1つ又は複数の集積回路を使用して実現され得、図6に示したものよりも少ない又は多いユニット又は装置を含み得る。更に、装置600は、コンピュータシステムに一体化され得るか、又は他のコンピュータシステム及び/又は機器と通信することができる別個の機器として実現され得る。具体的には、装置600は、図5のコンピュータシステム502のモジュール520~530と同様の機能又は動作を実行するユニット602~612を含み得、これらのユニットは、通信ユニット602、第1の条件検証ユニット604、検証コード管理ユニット606、第2の条件検証ユニット608、登録管理ユニット610及びパケット制御ユニット612を含む。
【0045】
[0055] この詳細な説明で説明するデータ構造及びコードは、通常、コンピュータ可読記憶媒体に記憶され、これは、コード及び/又はデータをコンピュータシステムにより使用するために記憶することができる任意のデバイス又は媒体であり得る。コンピュータ可読記憶媒体は、揮発性メモリ、不揮発性メモリ、ディスクドライブなどの磁気及び光学式記憶装置、磁気テープ、CD(コンパクトディスク)、DVD(デジタル多用途ディスク若しくはデジタルビデオディスク)又は現在既知の若しくは今後開発されるコンピュータ可読媒体を格納することができる他の媒体を含むが、これらに限定されない。
【0046】
[0056] 詳細な説明のセクションで説明する方法及びプロセスは、上述したようなコンピュータ可読記憶媒体に記憶することができるコード及び/又はデータとして具現化することができる。コンピュータシステムが、コンピュータ可読記憶媒体に記憶されたコード及び/又はデータを読み取って実行すると、コンピュータシステムは、データ構造及びコードとして具現化され且つコンピュータ可読記憶媒体内に記憶された方法及びプロセスを実行する。
【0047】
[0057] 更に、上述した方法及びプロセスは、ハードウェアモジュールに含めることができる。例えば、ハードウェアモジュールとしては、特定用途向け集積回路(ASIC)チップ、フィールドプログラマブルゲートアレイ(FPGA)及び現在既知の又は今後開発される他のプログラム可能ロジックデバイスを含み得るが、これらに限定されない。ハードウェアモジュールがアクティブな状態になると、ハードウェアモジュールは、そのハードウェアモジュール内に含まれる方法及びプロセスを実行する。
【0048】
[0058] 別の実施形態は、サーバ、制御を行う末端機器及び制御される末端機器を含む第1のネットワーク保護システムを提供する。サーバは、制御を行う末端機器から第1のデータパケットを受信することと、第1のデータパケットから第1の検証情報及び第1の制御命令を解析することと、第1の検証情報が予め設定された条件を満たす場合、第1の制御命令を、制御される末端機器に送信することとを行うように構成され、第1の制御命令は、制御される末端機器の動作状態を制御するために使用される。制御される末端機器は、第1の制御命令に対応する動作を行うように構成される。
【0049】
[0059] 第1のネットワーク保護システムの幾つかの実施形態では、制御を行う末端機器は、第1の制御命令に対応する位置座標をサーバに送信するように更に構成される。サーバは、その座標位置が第1の制御命令に対応するタッチボタンの領域内にあるかどうかを判断することと、その位置座標が領域内にある場合、第1の検証情報が予め設定された条件を満たすと判断することと、その座標位置が領域内にない場合、第1の検証情報が予め設定された条件を満たさないと判断することとを行うように更に構成される。
【0050】
[0060] 別の実施形態は、サーバ及び制御される末端機器を含む第2のネットワーク保護システムを提供する。サーバは、制御される末端機器から、第2の検証情報を含む第2のデータパケットを受信することと、第2の検証情報に対する検証結果に基づいて第2の制御命令を生成することと、第2の制御命令を、制御される末端機器に送信することとを行うように構成され、第2の制御命令は、ネットワークから受信した第3のデータパケットに応答するか又は応答しないように、制御される末端機器を制御するために使用される。制御される末端機器は、第2の制御命令に対応する動作を行うように構成される。
【0051】
[0061] 第2のネットワーク保護システムの幾つかの実施形態では、第2の検証情報は、第2のデータパケットで運ばれるIPアドレスを含み、このIPアドレスは、制御される末端機器によって第3のデータパケットから解析されたソースIPアドレスである。サーバは、このIPアドレスに基づいて、第3のデータパケットの送信に関するネットワークタイプを判断することと、ネットワークタイプに基づいてIPアドレスを検証して、検証結果を取得することと、検証結果に基づいて第2の制御命令を生成することとを行うように更に構成される。
【0052】
[0062] 別の実施形態は、第1のネットワーク保護方法を提供し、この方法は、制御を行う末端機器から、第1の検証情報及び第1の制御命令を含む第1のデータパケットを受信することと、第1の検証情報が予め設定された条件を満たすかどうかを判断することと、第1の制御命令を、制御される末端機器に送信することとを含む。
【0053】
[0063] 幾つかの実施形態では、第1のネットワーク保護方法は、第1の検証情報が予め設定された条件を満たさない場合、検証コードを生成することと、検証コードに基づいて第1の検証情報が不正な情報であると判断された場合、第1の制御命令を、制御される末端機器に送信することをやめることと、検証コードに基づいて第1の検証情報が正当な情報であると判断された場合、第1の制御命令を、制御される末端機器に送信するステップを実行することとを更に含む。
【0054】
[0064] 第1のネットワーク保護方法の幾つかの実施形態では、第1の検証情報は、座標位置を更に含み、この座標位置は、第1の制御命令を生成するために、制御を行う末端機器の操作インターフェース上でユーザによってトリガーされたトリガー位置である。このネットワーク保護方法は、座標位置が、予め設定された領域内にある場合、第1の検証情報が、予め設定された条件を満たすと判断することと、座標位置が、予め設定された領域内にない場合、第1の検証情報が、予め設定された条件を満たさないと判断することとを更に含む。
【0055】
[0065] 第1のネットワーク保護方法の幾つかの実施形態では、第1の検証情報は、制御を行う末端機器のアプリケーション上でユーザによって登録されたユーザ識別情報であり、アプリケーションは、制御される末端機器を遠隔で制御するための操作インターフェースをユーザに提供する。
【0056】
[0066] 第1のネットワーク保護方法の幾つかの実施形態では、予め設定された領域は、第1の制御命令に対応するタッチボタンの領域である。
【0057】
[0067] 幾つかの実施形態では、第1のネットワーク保護方法は、最初のアクセスにおける制御を行う末端機器のネットワークアクセス設定情報、制御を行う末端機器にインストールされたアプリケーションのバージョン情報、及びユーザインターフェース上のアプリケーションのユーザインターフェース中のタッチボタンの位置情報を受信することと、ネットワークアクセス設定情報、アプリケーションのバージョン情報、及びユーザインターフェース上のアプリケーションのユーザインターフェース中のタッチボタンの位置情報を記憶することとを更に含む。
【0058】
[0068] 別の実施形態は、第2のネットワーク保護方法を提供し、この方法は、制御される末端機器から、第2の検証情報を含む第2のデータパケットを受信することと、第2の検証情報に対する検証結果に基づいて第2の制御命令を生成することであって、第2の制御命令は、ネットワークから受信した第3のデータパケットに応答するか又は応答しないように、制御される末端機器を制御するために使用される、生成することと、第2の制御命令を制御される末端機器に送信することとを含む。
【0059】
[0069] 第2のネットワーク保護方法の幾つかの実施形態では、第2の検証情報は、第2のデータパケットで運ばれるIPアドレスを含み、このIPアドレスは、制御される末端機器によって第3のデータパケットから解析されたソースIPアドレスである。第2の検証情報に対する検証結果に基づいて第2の制御命令を生成することは、このIPアドレスに基づいて、第3のデータパケットの送信に関するネットワークタイプを判断することと、ネットワークタイプに基づいてIPアドレスを検証して、検証結果を取得することと、検証結果に基づいて第2の制御命令を生成することとを含む。
【0060】
[0070] 第2のネットワーク保護方法の幾つかの実施形態では、結果が第2の検証情報が正当な情報であることを示す場合、第2の制御命令は、制御される末端機器に第3のデータパケットを処理するように指示する命令になり、結果が第2の検証情報が不正な情報であることを示す場合、第2の制御命令は、制御される末端機器に第3のデータパケットを破棄するように指示する命令になる。
【0061】
[0071] 別の実施形態は、第1のネットワーク保護装置を提供し、この装置は、制御を行う末端機器から、第1の検証情報及び第1の制御命令を含む第1のデータパケットを受信するように構成された第1の受信ユニットと、検証情報が予め設定された条件を満たすかどうかを判断するように構成された検証ユニットと、検証情報が現在の条件を満たすことを検証ユニットが確認することに応答して、制御される末端機器に第1の制御命令を送信するように構成された第1の送信ユニットとを含む。
【0062】
[0072] 別の実施形態は、第2のネットワーク保護装置を提供し、この装置は、制御される末端機器から、第2の検証情報を含む第2のデータパケットを受信するように構成された第2の受信ユニットと、第2の検証情報に対する検証結果に基づいて第2の制御命令を生成するように構成された制御命令生成ユニットであって、第2の制御命令は、ネットワークから受信した第3のデータパケットに応答するか又は応答しないように、制御される末端機器を制御するために使用される、制御命令生成ユニットと、第2の制御命令を制御される末端機器に送信するように構成された第2の送信ユニットとを含む。
【0063】
[0073] 別の実施形態は、命令を記憶するためのコンピュータ可読記憶媒体を提供し、この命令は、コンピュータによって実行されると、そのコンピュータに、上述したような第1のネットワーク保護方法又は第2のネットワーク保護を実行させる。
【0064】
[0074] 別の実施形態は、コンピュータサーバを提供し、このコンピュータサーバは、プロセッサと、プロセッサによって実行される命令を記憶するためのメモリとを含み、プロセッサは、制御を行う末端機器から、第1の検証情報及び第1の制御命令を含む第1のデータパケットを受信することと、その検証情報が予め設定された条件を満たすと判断することと、第1の制御命令を制御される末端機器に送信することとを行うように構成され得る。
【0065】
[0075] 別の実施形態は、制御方法を提供し、この制御方法は、操作インターフェース上でユーザによってトリガーされた第1の検証情報を検出して第1の制御命令を生成することと、第1の制御命令及び第1の検証情報を第1のデータパケットに書き込むことと、第1のデータパケットをサーバに送信することとを含む。
【0066】
[0076] この制御方法の幾つかの実施形態では、第1の検証情報は、座標位置を含み、この座標位置は、第1の制御命令を生成するために、制御を行う末端機器の操作インターフェース上でユーザによってトリガーされたトリガー位置である。
【0067】
[0077] 別の実施形態は、遠隔制御装置又はスマート機器を提供し、これは、第1の信号プロセッサ及び第1の信号送受信機を含み、第1の信号プロセッサは、操作インターフェース上でユーザによってトリガーされた第1の検証情報を検出して第1の制御命令を生成することと、第1の制御命令及び第1の検証情報を第1のデータパケットに書き込むこととを行うように構成され、第1の信号送受信機は、第1のデータパケットをサーバに送信するように構成される。
【0068】
[0078] 別の実施形態は、スマート機器を提供し、このスマート機器は、第2の信号送受信機及び第2の信号プロセッサを含む。第2の信号送受信機は、制御を行う末端機器から第1のデータパケットを受信するように構成され、第1のデータパケットは、第1の検証情報及び第1の制御命令を含む。第2の信号プロセッサは、第1の信号送受信機によって受信された第1の検証情報が、予め設定された条件を満たすかどうかを判断することと、第1の制御命令を実行することとを行うように構成される。
【0069】
[0079] 本発明の実施形態の前述の説明は、例示及び説明の目的のみのために提示されたものである。それらの説明は、網羅的であること又は本発明を開示した形態に限定することを意図していない。従って、多くの修正形態及び変形形態が当業者に明らかであろう。更に、上記の本開示は、本発明を限定することを意図していない。本発明の範囲は、添付の特許請求の範囲によって定義される。
【図1A】
【図1B】
【図2A】
【図2B】
【図3A】
【図3B】
【図4A】
【図4B】
【図4C】
【図5】
【図6】