特許7142128ファクトリデフォルト設定へのリモート再設定の方法及びデバイス
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-09-14
(45)【発行日】2022-09-26
(54)【発明の名称】ファクトリデフォルト設定へのリモート再設定の方法及びデバイス
(51)【国際特許分類】
H04L 9/32 20060101AFI20220915BHJP
G09C 1/00 20060101ALI20220915BHJP
G06F 21/44 20130101ALI20220915BHJP
G06F 21/72 20130101ALI20220915BHJP
【FI】
H04L9/32 200A
G09C1/00 640D
G06F21/44
G06F21/72
【請求項の数】
14
【外国語出願】
(21)【出願番号】P 2021099805
(22)【出願日】2021-06-16
(65)【公開番号】P2022008173
(43)【公開日】2022-01-13
【審査請求日】2022-06-01
(31)【優先権主張番号】20181999
(32)【優先日】2020-06-24
(33)【優先権主張国・地域又は機関】EP
【早期審査対象出願】
(73)【特許権者】
【識別番号】502208205
【氏名又は名称】アクシス アーベー
(74)【代理人】
【識別番号】110002077
【氏名又は名称】園田・小林弁理士法人
(72)【発明者】
【氏名】ヒュルトクヴィスト, セバスティアン
(72)【発明者】
【氏名】ケスキカンガス, アクセル
【審査官】小林 秀和
(56)【参考文献】
【文献】米国特許出願公開第2017/0337390(US,A1)
【文献】国際公開第2019/138668(WO,A1)
【文献】特開2018-170806(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G09C 1/00
G06F 21/44
G06F 21/72
(57)【特許請求の範囲】
【請求項1】
デバイス(10)において実施される、前記デバイス(10)のファクトリデフォルト設定へのリモート再設定の方法(100)であって、前記デバイス(10)は、前記ファクトリデフォルトへの再設定を実行するよう適合されている電気回路(12)と、安全な処理及び保存環境(SPSE:secure processing and storage environment)(16)と、を含み、前記SPSE(16)は、ネットワーク(30)を介して少なくとも1つのリモートユニット(32)と通信するよう、及び、通信チャネル(14)を介して前記電気回路(12)と通信するよう構成されており、前記SPSE(16)にて、前記デバイス(10)をファクトリデフォルト設定に再設定する現在のリクエストと、前記現在のリクエストに関連付けられたチャレンジと、を受信すること(S110、S112)であって、前記現在のリクエストと前記チャレンジとは、前記ネットワーク(30)を介して受信される、前記デバイス(10)をファクトリデフォルト設定に再設定する現在のリクエストと、前記現在のリクエストに関連付けられたチャレンジと、を受信すること(S110、S112)と、
前記SPSE(16)により、前記通信チャネル(14)を介して前記電気回路(12)と通信することにより、前記デバイス(10)のファクトリデフォルト設定への再設定を開始すること(S120)と、
前記SPSE(16)に保存された関数を通して、前記チャレンジへの応答を判定すること(S160)であって、前記チャレンジへの前記応答は、前記現在のリクエストに関連付けられている、前記チャレンジへの応答を判定すること(S160)と、
前記SPSE(16)により、前記ネットワーク(30)を介してコンファメーションを送信すること(S180)であって、前記コンファメーションは、前記SPSE(16)により生成されたものとしての前記チャレンジへの前記応答と、証明レポートと、を含み、前記証明レポートは、前記ファクトリデフォルト設定への再設定が開始(S120)又は実行されたことについての前記SPSE(16)による宣言である、コンファメーションを送信すること(S180)と、
を含む方法(100)。
【請求項2】
前記SPSE(16)により、前記通信チャネル(14)を介して、再設定コマンドを前記電気回路(12)に書き込みするプロセスを前記SPSE(16)が開始したことについての宣言を前記証明レポートに含めること(S134)をさらに含み、前記再設定コマンドは、前記電気回路(12)に、前記ファクトリデフォルトへの再設定を実行することを促すコマンドである、請求項1に記載の方法(100)。
【請求項3】
前記SPSE(16)により、再設定コマンドが前記電気回路(12)により受信されたことをチェックすること(S142)であって、前記再設定コマンドは、前記電気回路(12)に、前記ファクトリデフォルトへの再設定を実行することを促すコマンドであり、前記再設定コマンドは、前記通信チャネル(14)を介して、前記SPSE(16)により前記電気回路(12)に書き込まれるコマンドである、再設定コマンドが前記電気回路(12)により受信されたことをチェックすること(S142)と、前記SPSE(16)により、前記再設定コマンドが前記電気回路(12)により受信されたことを前記SPSE(16)がチェックしたことについての宣言を前記証明レポートに含めること(S144)と、
をさらに含む、請求項1又は2に記載の方法(100)。
【請求項4】
前記デバイス(10)は、前記ファクトリデフォルト設定への再設定が実行される前に、前記ネットワーク(30)を介して前記コンファメーションを送信する(S180)よう構成されている、請求項1から3のいずれか一項に記載の方法(100)。
【請求項5】
前記SPSE(16)により、前記ファクトリデフォルトへの再設定が実行されたことをチェックすること(S152)と、前記SPSE(16)により、前記ファクトリデフォルトへの再設定が実行されたことを前記SPSE(16)がチェックしたことについての宣言を前記証明レポートに含めること(S154)と、
をさらに含む、請求項1から3のいずれか一項に記載の方法(100)。
【請求項6】
前記ネットワーク(30)を介しての前記チャレンジは、前記ファクトリデフォルト設定への再設定が実行された後に、前記デバイス(10)の前記SPSE(16)にて受信され(S112)、前記方法は、前記デバイス(10)の前記SPSE(16)により、前記ファクトリデフォルト設定への再設定が実行された後に、前記ネットワーク(30)を介しての前記チャレンジを待機すること(S210)をさらに含み、
前記コンファメーションを送信すること(S180)は、前記ネットワーク(30)を介しての前記チャレンジの受領後に、及び、前記ファクトリデフォルト設定への再設定が実行された後に開始される、
請求項5に記載の方法(100)。
【請求項7】
前記ネットワーク(30)を介しての前記チャレンジは、前記ファクトリデフォルト設定への再設定が実行される前に受信され(S112)、前記デバイス(10)の前記SPSE(16)により、前記ファクトリデフォルト設定への再設定が実行される前に、前記ネットワーク(30)を介して受信され(S112)た前記チャレンジを前記電気回路(12)に転送すること(S220)と、
前記デバイス(10)の前記SPSE(16)により、前記ファクトリデフォルト設定への再設定が実行された後に、前記電気回路(12)から前記チャレンジを受信すること(S222)と、
をさらに含み、
前記コンファメーションを送信すること(S180)は、前記電気回路(12)からの前記チャレンジの受領後に、及び、前記ファクトリデフォルト設定への再設定が実行された後に開始される、
請求項5に記載の方法(100)。
【請求項8】
前記ネットワーク(30)を介しての前記チャレンジは、前記ファクトリデフォルト設定への再設定が実行される前に受信され(S112)、前記方法は、前記デバイス(10)の前記SPSE(16)により、前記ネットワーク(30)を介して受信され(S112)た前記チャレンジを保存すること(S230)であって、前記チャレンジは、前記SPSE(16)の不揮発性メモリに保存され、前記チャレンジは、前記ファクトリデフォルト設定への再設定が実行される前に保存される、前記ネットワーク(30)を介して受信されたチャレンジを保存すること(S230)と、
前記デバイス(10)の前記SPSE(16)により、保存された前記チャレンジを前記不揮発性メモリから回収すること(S232)であって、前記チャレンジは、前記ファクトリデフォルト設定への再設定が実行された後に回収される、保存された前記チャレンジを前記不揮発性メモリから回収すること(S232)と、
をさらに含み、
前記コンファメーションを送信すること(S180)は、前記不揮発性メモリからの前記チャレンジの前記回収後に、及び、前記ファクトリデフォルト設定への再設定が実行された後に開始される、
請求項5に記載の方法(100)。
【請求項9】
前記SPSE(16)により、証明キーを使用して前記証明レポートにデジタル的に署名すること(S170)であって、前記証明キーは、前記SPSE(16)に保存された暗号化キーである、証明キーを使用して前記証明レポートにデジタル的に署名すること(S170)をさらに含む、請求項1から8のいずれか一項に記載の方法(100)。
【請求項10】
前記コンファメーションは、前記SPSE(16)によりデジタル的に署名され(S172)る、請求項1から請求項9のいずれか一項に記載の方法(100)。
【請求項11】
デバイス(10)のファクトリデフォルトへの再設定を実行するよう適合されている電気回路(12)と、安全な処理及び保存環境(SPSE:secure processing and storage environment)(16)と、を含むデバイス(10)であって、前記SPSE(16)は、ネットワーク(30)を介して少なくとも1つのリモートユニット(32)と通信するよう、及び、通信チャネル(14)を介して前記電気回路(12)と通信するよう構成されており、前記SPSE(16)は、
前記デバイス(10)をファクトリデフォルト設定に再設定する現在のリクエストと、前記現在のリクエストに関連付けられたチャレンジと、を受信することであって、前記現在のリクエストと前記チャレンジとは、前記ネットワーク(30)を介して受信される、前記デバイス(10)をファクトリデフォルト設定に再設定する現在のリクエストと、前記現在のリクエストに関連付けられたチャレンジと、を受信することと、
前記通信チャネル(14)を介して前記電気回路(12)と通信することにより、前記デバイス(10)のファクトリデフォルト設定への再設定を開始することと、
前記SPSE(16)に保存された関数を通して、前記チャレンジへの応答を判定することであって、前記チャレンジへの前記応答は、前記現在のリクエストに関連付けられている、前記チャレンジへの応答を判定することと、
前記ネットワーク(30)を介してコンファメーションを送信することであって、前記コンファメーションは、前記SPSE(16)により生成されたものとしての前記チャレンジへの前記応答と、証明レポートと、を含み、前記証明レポートは、前記ファクトリデフォルト設定への再設定が開始又は実行されたことについての前記SPSE(16)による宣言である、コンファメーションを送信することと、
を行うよう構成されている回路を含むデバイス(10)。
【請求項12】
前記デバイス(10)はネットワークビデオカメラである、請求項11に記載のデバイス(10)。
【請求項13】
前記SPSE(16)は、セキュアエレメント又はトラステッドプラットフォームモジュールである、請求項11又は12に記載のデバイス(10)。
【請求項14】
前記デバイス(10)は、前記デバイス(10)の残りのものとは別に、前記電気回路(12)に電力を供給し、前記デバイス(10)のファクトリデフォルトへの再設定中にオンに維持されるよう構成されている電源(40)を含む、請求項11から13のいずれか一項に記載のデバイス(10)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、デバイスのファクトリデフォルト設定へのリモート再設定に関する。
【背景技術】
【0002】
電子デバイスはしばしば、それらが、必要に応じてファクトリデフォルト設定に再設定され得るよう構成される。デバイスがファクトリデフォルト設定に再設定されると、それは、少なくともいくつかの点において、それが製造された工場から出荷される際の状態と同じように機能し得る。再設定は、データ、設定、及びアプリケーションをデバイスから削除する場合がある。デバイスが攻撃者により制御された場合、ファクトリデフォルト設定への再設定により、デバイスがその独立性を回復し得る。デバイスのファクトリデフォルト設定への再設定は、例えば、ボタンを物理的に押すことにより、デバイスにてローカルにて、又は、ファクトリデフォルト設定に再設定するようデバイスに命令するメッセージをデバイスに送信することにより、リモートにて開始されてよい。デバイスのファクトリデフォルト設定への再設定は、デバイスへの電力供給をオフにして再度オンにしてから、ファクトリデフォルト設定の状態においてデバイスを再起動することを含んでよい。ファクトリデフォルト設定への再設定を実施する、多くの異なる方法がある。しかし、改善の余地が依然としてある。
【発明の概要】
【0003】
本発明の目的は、デバイスの、セキュアなリモート再設定を可能にすることである。本発明のさらなる目的は、デバイスの、コスト効率のよい再設定を可能にすることである。本発明のこれら及び他の目的は、独立請求項において画定されるように、本発明により少なくとも部分的に満たされる。好ましい実施形態が、従属請求項に提示される。
【0004】
本発明の第1の態様によると、デバイスにおいて実施される、デバイスのファクトリデフォルト設定へのリモート再設定の方法が提供される。デバイスは、ファクトリデフォルトへの再設定を実行するよう適合されている電気回路と、安全な処理及び保存環境(SPSE:secure processing and storage environment)と、を含む。SPSEは、ネットワークを介して少なくとも1つのリモートユニットと通信するよう、及び、通信チャネルを介して電気回路と通信するよう構成されている。本方法は、
SPSEにて、デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、を受信することであって、リクエストとチャレンジとは、ネットワークを介して受信される、デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、を受信することと、
SPSEにより、通信チャネルを介して電気回路と通信することにより、デバイスのファクトリデフォルト設定への再設定を開始することと、
SPSEにより、ネットワークを介してコンファメーションを送信することであって、コンファメーションは、SPSEにより生成されたものとしてのチャレンジへの応答と、証明レポートと、を含み、証明レポートは、ファクトリデフォルト設定への再設定が開始又は実行されたことについてのSPSEによる宣言である、コンファメーションを送信することと、
を含む。
SPSEにて、デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、を受信することであって、リクエストとチャレンジとは、ネットワークを介して受信される、デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、を受信することと、
SPSEにより、通信チャネルを介して電気回路と通信することにより、デバイスのファクトリデフォルト設定への再設定を開始することと、
SPSEにより、ネットワークを介してコンファメーションを送信することであって、コンファメーションは、SPSEにより生成されたものとしてのチャレンジへの応答と、証明レポートと、を含み、証明レポートは、ファクトリデフォルト設定への再設定が開始又は実行されたことについてのSPSEによる宣言である、コンファメーションを送信することと、
を含む。
【0005】
本方法は、デバイスのセキュアなリモート再設定を可能にする。本方法は、以下において、例示を目的として、ネットワークビデオカメラであるデバイスと共に説明する。しかし、本方法はもちろん、ネットワークを経由して通信が可能ないずれのデバイスに適用可能である。
【0006】
攻撃者によるマルウェアに感染している場合など、デバイスが攻撃者の制御下にある場合、攻撃者は、ファクトリデフォルトへの再設定を防ぐよう試みる場合がある。さらに、デバイスが、ファクトリデフォルトへの再設定が行われたことについてコンファメーションを求められると、攻撃者は、検出されないままとなるよう、コンファメーションを偽造しようと試みる場合がある。本方法は、コンファメーションの偽造を防ぐ、又は、これを妨害し得、したがって、デバイスのセキュアなリモート再設定を可能にする。ネットワークビデオカメラなどのデバイスの、セキュアなリモート再設定は、それらが長期にわたって攻撃者により制御されることを防ぐために重要となり得る。
【0007】
デバイスのファクトリデフォルト設定への再設定は、デバイスの一部への電力供給をオフにして再度オンにすることを含んでよい。デバイスの一部は、第1の回路であってよい。リクエストによって、第1の回路は、電力供給が再度オンになると、ファクトリデフォルト設定の状態に起動してよい。
【0008】
SPSEは、不正行為を防ぐ又は妨害するよう構成されている、デバイスの一部であってよい。したがって、SPSEは、デバイスの不正防止部であってよい。特に、SPSEは、SPSEから少なくとも1つのリモートユニットへの通信における真正性を執行するよう構成されている、デバイスの一部であってよい。したがって、リモートユニットは、コンファメーションの証明レポートが正しいこと、及び、デバイスが実際に、ファクトリデフォルト設定に再設定されている、又は、これに再設定されたことを信頼してよい。リモートユニットは、コンファメーションの証明レポートが、攻撃者により生成されていないことを信頼してよい。
【0009】
チャレンジへの応答は、証明レポートを含むコンファメーションが現在のコンファメーションであることを示す応答であってよい。攻撃者が、コンファメーションをもっともらしく偽造できなければ、攻撃者は、古いコンファメーションを再送しようと試みる場合がある。チャレンジが、まったく繰り返されず、又は、まれにしか繰り返されず、及び、各チャレンジが、それ自体の特定の応答を有していれば、リモートユニットは、コンファメーションが、デバイスをファクトリデフォルト設定に再設定する現在のリクエストに関連付けられたチャレンジへの正しい応答を含むか、について信頼してよい。コンファメーションはまた、デバイスをファクトリデフォルトに再設定する現在のリクエストに関し、デバイスをファクトリデフォルトに再設定する古いリクエストに関しないコンファメーションでもある。リモートユニットは、証明レポートを含むコンファメーションが、失効したコンファメーションの返答でないことを信頼してよい。
【0010】
上記にしたがって、本方法は、デバイスのファクトリデフォルト設定へのセキュアなリモート再設定を可能にする。コンファメーションは、ファクトリデフォルト設定への再設定が実行されたことを証明してよい。この場合、デバイスが実際に再設定されたことを信頼することができる。コンファメーションは、ファクトリデフォルト設定への再設定が開始されたことを証明してよい。この場合、デバイスが非常に高い可能性をもって再設定されたことを信頼することができる。再設定プロセスは、それが開始されると、それを止めることが攻撃者にとって非常に難しくなるよう実施することができる。リモートユニットがコンファメーションレポートを受信しなければ、又は、チャレンジへの応答が正しくなければ、これは、デバイスが攻撃者により破壊されたことの兆候とみなしてよい。これにより、デバイスを再設定するために、サービス技術者が現地に派遣され得る。
【0011】
本方法は、さらに、デバイスのコスト効率のよい再設定を可能にする。デバイスは、本方法を用いてリモートにて再設定され得る。サービス技術者は、デバイスが攻撃者により破壊されたことの兆候がある時にのみ、デバイスに赴く必要があるため、スタッフ、移動時間、及び交通費の点において、コストが節約され得る。例えば、デバイスが、街路灯の上部から交差点の全体を見渡すネットワークビデオカメラなどであれば、これは、サービス技術者をモバイル昇降ワークプラットフォームと共に派遣して、デバイスを再設定するための、かなりの量のコストに関連付けられ得る。
【0012】
SPSEは、セキュアエレメントであってよい。SPSEは、トラステッドプラットフォームモジュール(trusted platform module又はTPM)などの、信頼されたシステムであってよい。SPSEは、デバイスの残りのものと比較して、セキュリティが向上したものであってよい。SPSEは、SPSEの作動を画定する、隠されたメモリ(curtained memory)を含んでよい。ここでは、隠されたメモリは、SPSEの外部のエンティティからの影響から遮蔽されている。SPSEは、暗号化キーを含んでよい。ここでは、SPSEは、暗号化キーを使用して、情報にデジタル的に署名するよう構成されている。暗号化キーを使用して署名された情報は、SPSEから来たのもとして認証され得る。暗号化キーは、隠されたメモリに保存されてよい。
【0013】
SPSEは、個別のTPMなど、デバイスにおける他のチップとは別の、1つ又はそれ以上の専用チップであってよい。代替的に、SPSEは、統合されたTPMなどの、チップの一部であってよい。ここでは、チップの残りのものは、低いセキュリティエンハンスメントを有するか、又はこれを有しない。代替的に、SPSEは、ファームウェアTPMなどの、プロセッサの信頼された実行環境において起動する一片のソフトウェアであってよい。安全な処理及び保存環境は、デバイス全体を構成しないことにより、コストが節約され得る。SPSEは、デバイスの最も重要なタスクのためにのみ、その寸法が決定されてよい。他のタスクは、より安価なチップにより扱われてよい。SPSEは、例えば、リクエストとチャレンジとを受信することと、ファクトリデフォルト設定への再設定を開始することと、ネットワークを介してコンファメーションを送信することと、に関する作動のみを扱うよう構成されてよい。SPSEはまた、代替的に、もちろん、他のタスクを扱うようにも構成されてよい。例えば、デバイスがネットワークビデオカメラである場合、SPSEは、ビデオ記録を暗号化されたフォーマットにて送信することなどの、記録されたビデオの内容に関するタスクをさらに扱ってよい。重要でないタスクは、SPSEに含まれないチップに委ねられてよい。
【0014】
電気回路は、ファクトリデフォルト設定への再設定が行われるべきかについて制御するレジスタを含んでよい。SPSEが、通信チャネルを介して電気回路と通信することにより、デバイスのファクトリデフォルト設定への再設定を開始する場合、これは、電気回路のレジスタと通信してよい。通信チャネルは、SPSEを電気回路に接続するバス又はワイヤであってよい。
【0015】
SPSEは、アプリケーションプロトコルデータユニット(application protocol data unit又はAPDU)プロトコルにしたがって、ネットワークを介して情報を受信及び送信してよい。SPSEが、通信チャネルを介して電気回路と通信することにより、デバイスのファクトリデフォルト設定への再設定を開始する場合、通信は、集積回路間(inter-integrated circuit又はI2C)プロトコルなどの、APDUプロトコルとは異なるプロトコルにしたがってよい。
【0016】
コンファメーションは、応答と証明レポートとに加えて、さらなる情報を含んでよい。例えば、コンファメーションは、デバイス又はデバイスのSPSEのID若しくはシリアルナンバーなどの識別子を含んでよい。さらに、コンファメーションは、SPSEによりリクエストが受信された時間、SPSEによりチャレンジが受信された時間、ファクトリデフォルト設定への再設定が開始された時間、コンファメーションが送信された時間などの、少なくとも1つの時間を含んでよい。コンファメーションに含まれる識別子又は時間は、コンファメーションの証明レポート、又は、コンファメーションのどこかに含まれてよい。チャレンジへの応答と証明レポートとは、コンファメーションとは別の部分であってよい。代替的に、チャレンジへの応答は、証明レポートに含まれてよい。
【0017】
この方法は、SPSEにより、通信チャネルを介して、再設定コマンドを電気回路に書き込みするプロセスをSPSEが開始したことについての宣言を証明レポートに含めることをさらに含み、再設定コマンドは、電気回路に、ファクトリデフォルトへの再設定を実行することを促すコマンドである。
【0018】
そのような宣言は、SPSEがリクエストを正しく受信したこと、つまり、リクエストがSPSEに入る前に、攻撃者がそれを傍受も変更もしていないこと、及び、SPSEが、リクエストに対処することを始めたことを証明するものとみなされてよい。したがって、リモートユニットは、ファクトリデフォルト設定への再設定がまもなく始まることを、高いレベルの確実性をもって信頼してよい。
【0019】
SPSEは、再設定コマンドに関する情報を通信チャネルを介して送ることを開始することにより、又は、SPSEが電気回路に書き込みするメッセージのキューに再設定コマンドを置くことにより、再設定コマンドを電気回路に書き込みするプロセスを開始してよい。
【0020】
この方法は、
SPSEにより、再設定コマンドが電気回路により受信されたことをチェックすることであって、再設定コマンドは、電気回路に、ファクトリデフォルトへの再設定を実行することを促すコマンドであり、再設定コマンドは、通信チャネルを介して、SPSEにより電気回路に書き込まれるコマンドである、再設定コマンドが電気回路により受信されたことをチェックすることと、
SPSEにより、再設定コマンドが電気回路により受信されたことをSPSEがチェックしたことについての宣言を証明レポートに含めることと、
をさらに含む。
SPSEにより、再設定コマンドが電気回路により受信されたことをチェックすることであって、再設定コマンドは、電気回路に、ファクトリデフォルトへの再設定を実行することを促すコマンドであり、再設定コマンドは、通信チャネルを介して、SPSEにより電気回路に書き込まれるコマンドである、再設定コマンドが電気回路により受信されたことをチェックすることと、
SPSEにより、再設定コマンドが電気回路により受信されたことをSPSEがチェックしたことについての宣言を証明レポートに含めることと、
をさらに含む。
【0021】
そのような宣言は、電気回路がリクエストを正しく受信したこと、つまり、攻撃者が再設定コマンドを傍受しておらず、SPSEにより書き込まれるように変更していないことを証明するものとみなされてよい。したがって、リモートユニットは、ファクトリデフォルト設定への再設定がまもなく始まることを、非常に高いレベルの確実性をもって信頼してよい。
【0022】
原則として、デバイスは、再設定コマンドを電気回路に書き込みすることをSPSEが開始すると、コマンドの実行が、攻撃者により止めることができないよう構成できるべきである。しかし、攻撃者が悪用し得るすべての抜け道が閉じられていることを知ることは、時に困難な場合がある。このことを念頭に置き、再設定コマンドが電気回路により受信されたことをSPSEがチェックしたことについての宣言をリモートユニットが受信する場合、再設定コマンドが実行される可能性は、再設定コマンドを電気回路に書き込みするプロセスをSPSEが開始したことについての宣言のみをリモートユニットが受信する場合よりも高いものとみなされてよい。デバイスはまた、もちろん、再設定コマンドを電気回路に書き込みするプロセスをSPSEが開始したことについての宣言と、電気回路により再設定コマンドが受信されたことをSPSEがチェックしたことについての宣言と、の双方を含むよう構成されていてもよい。証明レポートに、前者があって後者が無い場合、ある種の問題、おそらくは攻撃者に関連するものが、SPSEから電気回路への再設定コマンドの送付においてあることが推定され得る。
【0023】
本方法が実施されるデバイスは、ファクトリデフォルト設定への再設定が実行される前に、ネットワークを介してコンファメーションを送信するよう構成されていてよい。例えば、再設定コマンドを電気回路に書き込みするプロセスをSPSEが開始すると、再設定コマンドを電気回路に書き込みするプロセスをSPSEが開始したことについての宣言を証明レポートに含むコンファメーションが送信されてよい。別の例では、再設定コマンドが電気回路により受信されたことをSPSEがチェックすると、再設定コマンドが電気回路により受信されたことをSPSEがチェックしたことについての宣言を証明レポートに含むコンファメーションが送信されてよい。デバイスは、電気回路による再設定コマンドの受領後、及び、再設定プロセスを開始する前に、1秒又は100ミリ秒などの設定時間を待機するよう構成されていてよい。したがって、SPSEは、デバイスの電力供給が落ちる前に、コンファメーションを送信するまでの時間を有してよい。
【0024】
ファクトリデフォルト設定への再設定が実行される前にコンファメーションを送信することは、SPSEによるチャレンジへの応答の生成を簡略化し得る。デバイスはこれにより、コスト効率よく実装され得る。デバイスをファクトリデフォルト設定に再設定するリクエストは、デバイスにより、リクエストに関連付けられたチャレンジと共に受信されてよい。ファクトリデフォルト設定への再設定が実行される前にコンファメーションが送信される場合、チャレンジは、SPSEのワーキングメモリの内容から、チャレンジへの応答が生成され得るよう、SPSEの、揮発性メモリなどのワーキングメモリに依然としてあってよい。対照的に、ファクトリデフォルト設定への再設定が実行された後にコンファメーションが送信される場合、SPSEのワーキングメモリの消去がなされる必要があり得る。これを行うことは、例えば、チャレンジをセキュアに保存するよう構成されている不揮発性メモリの点において、コストの上昇に関連付けられ得る。
【0025】
本方法は、
SPSEにより、ファクトリデフォルトへの再設定が実行されたことについてチェックすることと、
SPSEにより、ファクトリデフォルトへの再設定が実行されたことをSPSEがチェックしたことについての宣言を証明レポートに含めることと、
を含んでよい。
SPSEにより、ファクトリデフォルトへの再設定が実行されたことについてチェックすることと、
SPSEにより、ファクトリデフォルトへの再設定が実行されたことをSPSEがチェックしたことについての宣言を証明レポートに含めることと、
を含んでよい。
【0026】
そのような宣言は、ファクトリデフォルトへの再設定が実行されたことを証明するものとみなされてよい。ファクトリデフォルトへの再設定が実行されたことをSPSEがチェックしたことについての宣言をリモートユニットが受信する場合、デバイスがそのファクトリデフォルト設定に再設定される可能性は、再設定コマンドが電気回路により受信されたことをSPSEがチェックしたことについての宣言をリモートユニットが受信する場合よりも高いものとみなされてよい。ファクトリデフォルトへの再設定が実行されたことをSPSEがチェックしたことについての宣言を証明レポートが含む場合、チャレンジを扱う少なくとも3つの代替的な方法があり得る。
【0027】
チャレンジを扱う第1の代替的な方法によると、チャレンジは、ファクトリデフォルト設定への再設定が実行された後に、ネットワークを介して、デバイスのSPSEにて受信されてよい。本方法は、
デバイスのSPSEにより、ファクトリデフォルト設定への再設定が実行された後に、ネットワークを介してのチャレンジを待機することをさらに含んでよく、
コンファメーションを送信することは、ネットワークを介してのチャレンジの受領後に、及び、ファクトリデフォルト設定への再設定が実行された後に開始される。
デバイスのSPSEにより、ファクトリデフォルト設定への再設定が実行された後に、ネットワークを介してのチャレンジを待機することをさらに含んでよく、
コンファメーションを送信することは、ネットワークを介してのチャレンジの受領後に、及び、ファクトリデフォルト設定への再設定が実行された後に開始される。
【0028】
その結果として、本方法のイベントのタイムラインは、
デバイスをファクトリデフォルト設定に再設定するリクエストを受信するSPSE;
デバイスのファクトリデフォルト設定への再設定を開始するSPSE;
ファクトリデフォルト設定への再設定が実行される。これは、デバイスの電力供給がオフとされて再度オンとされることを含んでよい;
リクエストに関連付けられたチャレンジを待機及び受信するSPSE;
証明レポートを含むコンファメーションを送信するSPSE;
であってよい。
デバイスをファクトリデフォルト設定に再設定するリクエストを受信するSPSE;
デバイスのファクトリデフォルト設定への再設定を開始するSPSE;
ファクトリデフォルト設定への再設定が実行される。これは、デバイスの電力供給がオフとされて再度オンとされることを含んでよい;
リクエストに関連付けられたチャレンジを待機及び受信するSPSE;
証明レポートを含むコンファメーションを送信するSPSE;
であってよい。
【0029】
上記のイベントのタイムラインにしたがって、ファクトリデフォルト設定への再設定に関連する電力供給のカットは、チャレンジを受信するSPSEと、コンファメーションを送信するSPSEと、の間にはなくともよい。
【0030】
チャレンジを扱う第2の代替的な方法によると、ネットワークを介してのチャレンジは、ファクトリデフォルト設定への再設定が実行される前に受信されてよい。本方法は、
デバイスのSPSEにより、ファクトリデフォルト設定への再設定が実行される前に、ネットワークを介して受信されたチャレンジを電気回路に転送することと、
デバイスのSPSEにより、ファクトリデフォルト設定への再設定が実行された後に、電気回路からチャレンジを受信することと、
をさらに含んでよく、
コンファメーションを送信することは、電気回路からのチャレンジの受領後に、及び、ファクトリデフォルト設定への再設定が実行された後に開始される。
デバイスのSPSEにより、ファクトリデフォルト設定への再設定が実行される前に、ネットワークを介して受信されたチャレンジを電気回路に転送することと、
デバイスのSPSEにより、ファクトリデフォルト設定への再設定が実行された後に、電気回路からチャレンジを受信することと、
をさらに含んでよく、
コンファメーションを送信することは、電気回路からのチャレンジの受領後に、及び、ファクトリデフォルト設定への再設定が実行された後に開始される。
【0031】
その結果として、本方法のイベントのタイムラインは、
デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、をネットワークを介して受信するSPSE;
受信されたチャレンジを電気回路に転送するSPSE;
デバイスのファクトリデフォルト設定への再設定を開始するSPSE;
ファクトリデフォルト設定への再設定が実行される。これは、第1の回路を含む各部などの、デバイスの各部への電力供給がオフとされて再度オンとされることを含んでよい;
チャレンジを電気回路から受信するSPSE;
証明レポートを含むコンファメーションを送信するSPSE;
であってよい。
デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、をネットワークを介して受信するSPSE;
受信されたチャレンジを電気回路に転送するSPSE;
デバイスのファクトリデフォルト設定への再設定を開始するSPSE;
ファクトリデフォルト設定への再設定が実行される。これは、第1の回路を含む各部などの、デバイスの各部への電力供給がオフとされて再度オンとされることを含んでよい;
チャレンジを電気回路から受信するSPSE;
証明レポートを含むコンファメーションを送信するSPSE;
であってよい。
【0032】
上記のイベントのタイムラインにしたがって、ファクトリデフォルト設定への再設定に関連する電力供給のカットは、ネットワークを介してチャレンジを受信するSPSEと、コンファメーションを送信するSPSEと、の間にあってよい。電力供給のカット中、チャレンジは、電気回路に保存されてよい。チャレンジは、電気回路の揮発性メモリに保存されてよい。電気回路はここでは、デバイスの残りのものとは別に電力が供給されてよい。SPSEがチャレンジを電気回路から受信する際に、電気回路の、チャレンジが保存されている揮発性メモリが有効であるよう、電気回路への電力供給は、デバイスのファクトリデフォルトへの再設定中にオンに維持されてよい。代替的に、チャレンジは、電気回路の不揮発性メモリに保存されてよい。
【0033】
チャレンジを扱う第3の代替的な方法によると、ネットワークを介してのチャレンジは、ファクトリデフォルト設定への再設定が実行される前に受信されてよい。本方法は、
デバイスのSPSEにより、ネットワークを介して受信されたチャレンジを保存することであって、チャレンジは、SPSEの不揮発性メモリに保存され、チャレンジは、ファクトリデフォルト設定への再設定が実行される前に保存される、ネットワークを介して受信されたチャレンジを保存することと、
デバイスのSPSEにより、保存されたチャレンジを不揮発性メモリから回収することであって、チャレンジは、ファクトリデフォルト設定への再設定が実行された後に回収される、保存されたチャレンジを不揮発性メモリから回収することと、
をさらに含んでよく、
コンファメーションを送信することは、不揮発性メモリからのチャレンジの回収後に、及び、ファクトリデフォルト設定への再設定が実行された後に開始される。
デバイスのSPSEにより、ネットワークを介して受信されたチャレンジを保存することであって、チャレンジは、SPSEの不揮発性メモリに保存され、チャレンジは、ファクトリデフォルト設定への再設定が実行される前に保存される、ネットワークを介して受信されたチャレンジを保存することと、
デバイスのSPSEにより、保存されたチャレンジを不揮発性メモリから回収することであって、チャレンジは、ファクトリデフォルト設定への再設定が実行された後に回収される、保存されたチャレンジを不揮発性メモリから回収することと、
をさらに含んでよく、
コンファメーションを送信することは、不揮発性メモリからのチャレンジの回収後に、及び、ファクトリデフォルト設定への再設定が実行された後に開始される。
【0034】
その結果として、本方法のイベントのタイムラインは、
デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、をネットワークを介して受信するSPSE;
チャレンジを不揮発性メモリに保存するSPSE;
デバイスのファクトリデフォルト設定への再設定を開始するSPSE;
ファクトリデフォルト設定への再設定が実行される。これは、第1の回路を含む各部などの、デバイスの各部への電力供給がオフとされて再度オンとされることを含んでよい;
チャレンジを不揮発性メモリから回収するSPSE;
証明レポートを含むコンファメーションを送信するSPSE;
であってよい。
デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、をネットワークを介して受信するSPSE;
チャレンジを不揮発性メモリに保存するSPSE;
デバイスのファクトリデフォルト設定への再設定を開始するSPSE;
ファクトリデフォルト設定への再設定が実行される。これは、第1の回路を含む各部などの、デバイスの各部への電力供給がオフとされて再度オンとされることを含んでよい;
チャレンジを不揮発性メモリから回収するSPSE;
証明レポートを含むコンファメーションを送信するSPSE;
であってよい。
【0035】
上記のイベントのタイムラインにしたがって、ファクトリデフォルト設定への再設定に関連する電力供給のカットは、ネットワークを介してチャレンジを受信するSPSEと、コンファメーションを送信するSPSEと、の間にあってよい。電力供給のカット中、チャレンジは、SPSEの不揮発性メモリに保存されてよい。
【0036】
上記の、チャレンジを扱う3つの代替的な方法はすべて、それら個々の利点を有する。例えば、第1の代替例では、チャレンジをネットワークを介して受信するSPSEと、コンファメーションを送信するSPSEと、の間に電力供給のカットがないことは、デバイスの安価な実装を促進し得、チャレンジを保存することに、不揮発性メモリが必要とされなくともよい。第2及び第3の代替例は、デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、の、同じメッセージでの受領を促進する。これは、デバイスをリモートにて再設定する作動のセキュリティを上げ得る。チャレンジをSPSEの不揮発性メモリに保存することは、それをデバイス上のどこかに保存することよりもセキュアなものとなり得る。
【0037】
SPSEにより生成されたものとしてのチャレンジへの応答は、チャレンジ自体であってよい。チャレンジを、それが受信されたものとしてコンファメーションに含めることにより、SPSEは、そのコンファメーションが、現在のコンファメーションとして信頼されていることを保証し得る。したがって、そのコンファメーションは、古いコンファメーションへの返答ではないと推定され得る。
【0038】
本方法は、SPSEに保存された関数を通して、チャレンジへの応答を判定することを含んでよい。
【0039】
SPSEに保存された関数は、識別関数であってよい。識別関数は単に、チャレンジを、それが受信されたものとして返す。代替的に、SPSEに保存された関数は、チャレンジを入力とみなす関数であってよい。ここで、関数の出力は、入力とは異なる。
【0040】
関数をSPSEに保存することにより、関数は、攻撃者によりアクセスされることから保護され得る。したがって、デバイスの残りのものが攻撃者の制御下にあっても、攻撃者は、チャレンジへの応答を特定することが不可能となり得る。関数は、チャレンジから応答を計算することはコンピュータ的に容易であるものの、応答からチャレンジを計算することはコンピュータ的に難しいよう構成されていてよい。関数は、2つの少し異なるチャレンジが同じ応答を有する可能性が低いよう構成されていてよい。関数は、応答を、固定サイズを有するハッシュ値と判定するよう構成されているハッシュ関数であってよい。
【0041】
関数は、暗号ハッシュ関数などの暗号関数であってよい。暗号ハッシュ関数への入力は、コンファメーションのいずれの一部若しくはコンファメーション全体、証明レポート、又は、識別子及び/又は時間を含む証明レポートなどのメッセージを含んでよい。暗号ハッシュ関数への入力は、チャレンジをさらに含んでよい。SPSEは、暗号関数が入力を出力にどのように変換するかを特定する暗号化キーを保存してよい。したがって、SPSEは、チャレンジとメッセージとの入力に基づいて、暗号ハッシュ関数と暗号化キーとを使用して、応答を特定してよい。代替的に、関数は、関数への入力としてのメッセージに基づいて、応答を特定するための暗号化キーとしてチャレンジを使用してよく、これにより、関数は、キー付きハッシュ関数と呼ばれてよい。キー付きハッシュ関数は、キー付きハッシュメッセージ認証コード(hash message authentication code又はHMAC)であってよい。
【0042】
関数は、暗号ハッシュ関数である必要は必ずしもない。関数は、いずれの暗号関数であってよい。関数は、代替的に、非暗号関数であってよい。
【0043】
本方法は、SPSEにより、証明キーを使用して証明レポートにデジタル的に署名することを含んでよく、証明キーは、SPSEに保存された暗号化キーである。
【0044】
証明キーは、証明レポートにデジタル的に署名することにのみ使用される暗号化キーであってよい。
【0045】
証明レポートにデジタル的に署名することは、リモートユニットが証明レポートを認証することを可能にする。リモートユニットは、したがって、証明レポートが有効であり、攻撃者により生成されていないことを、高いレベルの確実性をもって立証してよい。
【0046】
SPSEは、証明レポートの様々な部分にデジタル的に署名してよい。例えば、証明レポートは、再設定コマンドを書き込みするプロセスをSPSEが開始したことについての宣言と、再設定コマンドが受信されたことをSPSEがチェックしたことについての宣言と、ファクトリデフォルトへの再設定が実行されたことをSPSEがチェックしたことについての宣言と、の2つ又はそれ以上の宣言のリストであってよい。この場合では、宣言のすべては、デジタル的に署名されてよい。
【0047】
コンファメーションは、SPSEによりデジタル的に署名されてよい。コンファメーションは、コンファメーションキーを使用して、SPSEによりデジタル的に署名されてよい。コンファメーションキーは、SPSEに保存された暗号化キーである。SPSEは、コンファメーションをデジタル的に署名することにより、コンファメーション全体が認証されたことを証明してよい。これは、コンファメーション全体をリモートユニットが認証することを可能にする。リモートユニットは、したがって、コンファメーションが、その全体として有効であり、攻撃者により生成されていないことを、高いレベルの確実性をもって立証してよい。
【0048】
コンファメーションは、その結果として、全体として、証明レポート用の1つ又はそれ以上のデジタル署名と、コンファメーション用の1つのデジタル署名と、を含んでよい。代替的に、コンファメーションは、全体として、証明レポート用の1つ又はそれ以上のデジタル署名を含み、コンファメーション用のデジタル署名は含まなくともよい。
【0049】
例えば、証明レポートの宣言、証明レポート、又はコンファメーションであるエンティティなど、エンティティにデジタル的に署名することは、エンティティを暗号関数に、メッセージとして入力することを意味してよい。例えば、証明キー又はコンファメーションキーなどの暗号化キーを使用して、暗号関数は続いて、出力される署名にメッセージを変換してよい。
【0050】
エンティティにデジタル的に署名することは、エンティティとタイムスタンプとの双方を暗号関数に、メッセージとして入力することをさらに意味し、出力として署名を生成するために、証明キー又はコンファメーションキーなどの暗号化キーを使用してよい。したがって、署名は、デバイスのクロックにしたがってデジタル署名が行われる際の認証に使用されてよい。
【0051】
証明レポート、又は、証明レポートの宣言にデジタル的に署名するためにSPSEにより使用される証明キーは、プライベートキーであってよい。リモートユニットは続いて、証明レポートの認証のために、証明キーに関連付けられたパブリックキーを使用してよい。
【0052】
コンファメーションにデジタル的に署名するために、SPSEにより使用されるコンファメーションキーは、プライベートキーであってよい。リモートユニットは続いて、コンファメーションの認証のために、コンファメーションキーに関連付けられたパブリックキーを使用してよい。
【0053】
エンティティがデジタル的に署名されたら、そのエンティティは、例えば、プレーンテキストにて、ネットワークを介して、デジタル署名と共に送信されてよい。
【0054】
本発明の第2の態様によると、デバイスのファクトリデフォルトへの再設定を実行するよう適合されている電気回路と、安全な処理及び保存環境(SPSE:secure processing and storage environment)と、を含むデバイスが提供される。SPSEは、ネットワークを介して少なくとも1つのリモートユニットと通信するよう、及び、通信チャネルを介して電気回路と通信するよう構成されている。
SPSEは、
デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、を受信することであって、リクエストとチャレンジとは、ネットワークを介して受信される、デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、を受信することと、
通信チャネルを介して電気回路と通信することにより、デバイスのファクトリデフォルト設定への再設定を開始することと、
ネットワークを介してコンファメーションを送信することであって、コンファメーションは、SPSEにより生成されたものとしてのチャレンジへの応答と、証明レポートと、を含み、証明レポートは、ファクトリデフォルト設定への再設定が開始又は実行されたことについてのSPSEによる宣言である、コンファメーションを送信することと、
を行うよう構成されている回路を含む。
SPSEは、
デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、を受信することであって、リクエストとチャレンジとは、ネットワークを介して受信される、デバイスをファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、を受信することと、
通信チャネルを介して電気回路と通信することにより、デバイスのファクトリデフォルト設定への再設定を開始することと、
ネットワークを介してコンファメーションを送信することであって、コンファメーションは、SPSEにより生成されたものとしてのチャレンジへの応答と、証明レポートと、を含み、証明レポートは、ファクトリデフォルト設定への再設定が開始又は実行されたことについてのSPSEによる宣言である、コンファメーションを送信することと、
を行うよう構成されている回路を含む。
【0055】
第2の態様は一般に、第1の態様と同じ特徴及び利点を有してよい。本発明は更に、特に明白に言及していない限り、すべての可能な特徴の組み合わせに関連することに留意されたい。
【0056】
デバイスは、ネットワークビデオカメラであってよい。デバイスは、代替的に、レーダー(radio detection and ranging又はradar)ユニットであってよい。デバイスは、代替的に、ドアステーションであってよい。
【0057】
デバイスのSPSEは、セキュアエレメント又はトラステッドプラットフォームモジュールであってよい。
【0058】
本発明の第1の態様とあわせて説明するように、SPSEは、デバイスの残りのものと比較して、セキュリティが向上したものであり得る。SPSEは、SPSEの作動を画定する、隠されたメモリ(curtained memory)を含んでよい。ここでは、隠されたメモリは、SPSEの外部のエンティティからの影響から遮蔽されている。SPSEは、暗号化キーを含んでよい。ここでは、SPSEは、リモートユニットのリクエストについてのセキュアなトランザクションを、キーの知識を用いて行うよう構成されている。セキュアなトランザクションは、隠されたメモリに保存されてよい。SPSEは、1つ又はそれ以上の専用チップであってよい。代替的に、SPSEは、チップの一部であってよい。ここでは、チップの残りのものは、低いセキュリティエンハンスメントを有するか、又はこれを有しない。代替的に、SPSEは、デバイスの信頼された実行環境において起動する一片のソフトウェアであってよい。
【0059】
デバイスは、デバイスの残りのものとは別に、電気回路に電力を供給し、デバイスのファクトリデフォルトへの再設定中にオンに維持されるよう構成されている電源を含んでよい。
【0060】
電気回路用の個別の電源は、電気回路が、デバイスの残りのものへの電力供給をオフとして再度オンにできるようにしてよい。電気回路用の個別の電源により、電気回路は、デバイスの残りのものへの電力供給のカット中に、情報を保存してよい。例えば、電気回路におけるレジスタの状態が、デバイスの残りのものへの電力供給がオンとされた際に、ファクトリデフォルト設定への再設定をトリガするよう設定されていれば、その状態は、デバイスの残りのものへの電力供給のカットの間に保存されてよく、その状態は、デバイスの残りのものへの電力供給が再度オンとされた際に、依然として有効であってよい。電気回路が個別の電源を有するのであれば、デバイスの残りのものへの電力供給のカット中に、他の情報がまた、電気回路に保存されてよい。そのような他の情報は、チャレンジであってよい。
【0061】
デバイスの残りのものとは別に、電気回路に電力を供給するよう構成されている電源は、常にオンであるよう構成されている電源であってよい。代替的に、それは、デバイスの残りのものへの電力供給がカットされた後の期間に、電気回路に電力を供給するよう構成されていてよい。例えば、デバイスの残りのものへの電力供給がカットされていれば、コンデンサ又はバッテリが、電気回路に電力を供給してよい。コンデンサ又はバッテリは、電力供給が再度オンとなるまで、電気回路を維持できるよう寸法が決定されてよい。
【0062】
デバイスは、代替的に、デバイスの、ファクトリデフォルトへの再設定中に電力供給がオフとされる各部とは別に、電気回路とSPSEとに電力を供給するよう構成されている電源を含んでよい。電気回路とSPSEとに電力を供給するよう構成されている電源は続いて、デバイスのファクトリデフォルトへの再設定中にオンに維持されてよい。
【0063】
上記の、そしてさらなる目的も同様に、本発明に関するコンセプトの特徴及び利点は、添付の図面を参照しての、以下に例示する、非限定の、詳細な説明を通してよく理解されるであろう。図中、特に明記しない限り、同様の構成要素には同様の参照符号が使用される。
【図面の簡単な説明】
【0064】
【発明を実施するための形態】
【0065】
添付の図面を参照して、本発明の技術的内容及び詳細な説明を、好適であり、特許請求の範囲を限定することに使用されない実施形態にしたがって、以下に記載する。本発明は、多くの異なる形態にて体現されてよく、以下に示す実施形態に限定されるものとして理解すべきでない。むしろこれらの実施形態は、完璧性及び完全性のために、そして、本発明の範囲を当業者に十分に伝えるために提供される。
【0066】
図1は、この場合では、ネットワーク30に接続されたネットワークビデオカメラであるデバイス10を示す。ネットワーク30に接続されたデバイス10は、1つ又はそれ以上であってよい。図1では、ネットワーク30に接続されたリモートユニット32もある。リモートユニット32は、例えば、1つ又はそれ以上のデバイス10を制御するコンピュータ又はサーバであってよい。ネットワーク30のエンティティ間の接続は、図1に示すように、有線接続、無線接続、又は、有線接続と無線接続との組み合わせであってよい。デバイス10は、リモートユニット32からのリクエストに基づいて、ファクトリデフォルト設定に再設定され得る。
【0067】
図2は、図1のデバイスの1つなどのデバイス10を示す。デバイス10は、安全な処理及び保存環境(SPSE:secure processing and storage environment)16と、電気回路12と、を含む。SPSE16は、ネットワーク30を介して少なくとも1つのリモートユニット32と通信するよう、及び、通信チャネル14を介して電気回路12と通信するよう構成されている。
【0068】
電気回路12は、デバイス10のファクトリデフォルトへの再設定を実行するよう適合されている。電気回路12は、デバイス10のファクトリデフォルトへの再設定と、デバイス10のファクトリデフォルトへの再設定に関連付けられたタスクと、を単体で実行するよう構成されていてよい。電気回路12は、例えば、SPSE16からの入力のみを受信することにより、SPSE16からのコマンドにのみ対処するよう構成されていてよい。この場合では、SPSE16が再設定コマンドを電気回路12に送信すると、デバイス10の他の部分に感染したマルウェアが、ファクトリデフォルトへの再設定が実行されることを止めることを不可能にし得る。電気回路12は、マイクロコントローラユニットであってよい。
【0069】
SPSE16は、デバイス10をファクトリデフォルト設定に再設定するリクエストと、リクエストに関連付けられたチャレンジと、を受信するよう構成されている回路を含む。ここでは、リクエストとチャレンジとは、ネットワーク30を介して受信される。リクエストとチャレンジとは、リモートユニット32から来てよい。SPSE16の回路は、通信チャネル14を介して電気回路12と通信することにより、デバイス10のファクトリデフォルト設定への再設定を開始し、ネットワーク30を介してコンファメーションを送信するようさらに構成されている。ここでは、コンファメーションは、SPSE16により生成されたものとしてのチャレンジへの応答と証明レポートとを含む。証明レポートは、ファクトリデフォルト設定への再設定が開始又は実行されたことの、SPSE16による宣言である。コンファメーションは、1つのメッセージ、又は、1つを超えるメッセージであってよい。例えば、応答と証明レポートとは、別々のメッセージとして送信されてよい。この場合では、応答は、応答が証明レポートにリンクされるよう、チャレンジだけでなく、証明レポートにも基づくものであってよい。
【0070】
SPSE16は、セキュアエレメントであってよい。SPSE16は、TPMであってよい。SPSE16は、デバイスの残りのものと比較して、セキュリティが向上したものであってよい。SPSE16は、少なくとも1つの暗号化キーを含んでよい。ここでは、SPSE16は、少なくとも1つの暗号キーの1つ又はそれ以上を使用して、情報にデジタル的に署名するよう構成されている。SPSE16は、以下において、例示を目的として、TPMとして主に説明する。しかし、SPSE16の代替的な実装もまた可能であることが理解されるべきである。
【0071】
デバイス10は、追加的に、第1の回路18を含んでよい。第1の回路18は、デバイス10の一部であってよい。これは、SPSE16よりも低いセキュリティエンハンスメントを有するか、又はセキュリティエンハンスメントを有しない。第1の回路は、例えば、チップ又はマザーボード上のシステムであってよい。第1の回路18は、デバイス10のコアタスクを行うよう構成されていてよい。ネットワークビデオカメラであるデバイス10の場合では、第1の回路は、ビデオを記録して処理するよう構成されていてよい。第1の回路18は、デバイス10がオンとされると、デバイス10を起動するよう構成されていてよい。第1の回路18は、入力ピン19を有してよい。入力ピン19の値に基づいて、第1の回路18は、デバイス10を、それが最後にオフとされた状態、又は、ファクトリデフォルト設定の状態に起動してよい。
【0072】
SPSE16は、第1の回路18とは別のユニットであってよい。例えば、SPSE16は、第1の回路18とは分けられた個別のTPMであってよい。SPSE16はこれにより、図2に示すように、第2の通信チャネル15を介して第1の回路18と通信してよい。代替的に、SPSE16は、例えば、統合されたTPMとして、第1の回路18に統合されてよい。例えば、第1の回路18におけるコンポーネントの1つに統合されてよい。
【0073】
SPSE16は、少なくとも1つのリモートユニット32と、ネットワーク30を介して、デバイス10の別の一部を通して、例えば、デバイス10の、SPSE16よりも低いセキュリティエンハンスメントを有する一部を通して通信するよう構成されていてよい。図2は、リモートユニット32と、第1の回路18を通して、第2の通信チャネル15を使用して通信するSPCE16を示す。SPSEは、もちろん、代替的に、ネットワーク30に直接接続されてよい。
【0074】
デバイス10の通信チャネル14、15は、バス又はワイヤであってよい。
【0075】
デバイス10は、追加的に、1つ又はそれ以上の電源40を含んでよい。図2では、デバイス10は、2つの電源40を含む。ここでは、電気回路12には、第1の回路18とSPSE16とは別に電力が供給される。
【0076】
図3は、図2を参照して説明するデバイス10などのデバイス10のファクトリデフォルト設定へのリモート再設定の方法100のフローチャートを示す。方法100は、図に示す、上から下の順に行われてよい。しかし、他の順序もまた可能である。ここに示すように、図3におけるいくつかのステップは任意である。
【0077】
方法100によると、デバイス10をファクトリデフォルト設定に再設定するリクエストが、SPSE16にて、ネットワーク30を介して受信されるS110。さらに、リクエストに関連付けられたチャレンジが、SPSE16にて、ネットワーク30を介して受信されるS112。リクエストとチャレンジとは共に、1つのメッセージとして受信されてよい。しかし、それらは個別に受信されてもよい。さらに、方法100によると、SPSE16により、通信チャネル14を介して電気回路12と通信することにより、デバイス10のファクトリデフォルト設定への再設定が開始されるS120。
【0078】
チャレンジは、1つのメッセージとして受信されることにより、リクエストに関連付けられてよい。リクエストとチャレンジとが別々のメッセージとして受信される場合、それらは、別の方法にて関連付けられてよい。例えば、メッセージは、メッセージ識別子を含んでよい。リクエストを持つメッセージとチャレンジを持つメッセージとの双方が同じメッセージ識別子を有していれば、そのリクエストとチャレンジとは、関連付けられているものとみなされてよい。代替的に、リクエストとチャレンジとが双方とも、特定の期間内に到着したものであれば、それらは関連付けられているものとみなされてよい。
【0079】
チャレンジは、ランダムの数字又は疑似的なランダムの数字などの数字であってよい。チャレンジは、暗号ノンス、つまり、デバイス10との通信に一度のみ使用される数字であってよい。
【0080】
図2に示すものなどのデバイス10は、APDUプロトコルにしたがってフォーマットされたリクエスト及び/又はチャレンジを受信してよいS110、S112。SPSE16は続いて、リクエストを読み、構文解釈してよい。SPSE16は続いて、例えば、通信チャネル14を介して、再設定コマンドを電気回路12に書き込みすることにより、ファクトリデフォルト設定への再設定を開始してよいS120。再設定コマンドは、電気回路12に、ファクトリデフォルトへの再設定を実行することを促すコマンドである。再設定コマンドは、I2Cフォーマットにて電気回路12に書き込まれてよい。
【0081】
さらに、方法100によると、ネットワーク30を介してコンファメーションが送信されるS180。ここでは、コンファメーションは、SPSE16により生成されたものとしてのチャレンジへの応答と、証明レポートと、を含む。証明レポートは、ファクトリデフォルト設定への再設定が開始又は実行されたことの、SPSE16による宣言である。コンファメーションは、暗号化されてもされなくともよい。コンファメーションが暗号化される場合、これは、SPSE16に保存された暗号化キーを使用して暗号化されてよい。
【0082】
SPSE16により生成されるコンファメーションの1つの例では、コンファメーションは、
コンファメーションテキストと、
例えば、コンファメーションがSPSE16により生成された時に関する、コンファメーションに関連付けられたタイムスタンプと、
コンファメーション署名と、
を含む。
コンファメーションテキストと、
例えば、コンファメーションがSPSE16により生成された時に関する、コンファメーションに関連付けられたタイムスタンプと、
コンファメーション署名と、
を含む。
【0083】
コンファメーション署名はここでは、いずれの既知のパブリックキー暗号化システムからの署名であってよい。コンファメーション署名は、コンファメーションテキストと、そのコンファメーションに関連付けられたタイムスタンプと、を暗号関数に入力することにより生成されてよい。暗号関数は、SPSE16に保存されたコンファメーションキーを使用してよい。コンファメーションキーは、コンファメーションテキストと、そのコンファメーションに関連付けられたタイムスタンプと、に基づいてコンファメーション署名を生成するためのプライベート暗号化キーである。リモートユニット32がコンファメーションを認証するために、リモートユニット32は、コンファメーションのコンファメーションテキストと、そのコンファメーションに関連付けられたタイムスタンプと、を暗号関数に入力し、パブリックキーを使用して、コンファメーション署名と比較されてよい出力を受信してよい。それらがマッチする場合、コンファメーションは、認証されたものとみなされてよい。
【0084】
さらに、コンファメーションテキストは、
チャレンジへの応答と、
識別子と、
証明レポートと、
を含んでよい。
チャレンジへの応答と、
識別子と、
証明レポートと、
を含んでよい。
【0085】
チャレンジへの応答はここでは、例えば、識別関数により生成されたものとしてのチャレンジ自体であってよい。識別子は、デバイスのID又はシリアルナンバーであってよい。証明レポートは、
宣言と、
例えば、宣言がSPSEにより生成された時に関する、宣言に関連付けられたタイムスタンプと、
証明署名と、
を含んでよい。
宣言と、
例えば、宣言がSPSEにより生成された時に関する、宣言に関連付けられたタイムスタンプと、
証明署名と、
を含んでよい。
【0086】
証明署名はここでは、いずれの既知のパブリックキー暗号化システムからの署名であってよい。証明署名は、宣言と、その宣言に関連付けられたタイムスタンプと、を暗号関数に入力することにより生成されてよい。暗号関数は、SPSE16に保存された証明キーを使用してよい。証明キーは、宣言と、その宣言に関連付けられたタイムスタンプと、に基づいて証明署名を生成するためのプライベート暗号化キーである。リモートユニット32が証明レポートを認証するために、リモートユニット32は、証明レポートの宣言と、その宣言に関連付けられたタイムスタンプと、を暗号関数に入力し、パブリックキーを使用して、証明署名と比較されてよい出力を受信してよい。それらがマッチする場合、証明レポートの宣言は、認証されたものとみなされてよい。
【0087】
証明レポートは、それぞれがタイムスタンプと証明署名とを持つ様々な宣言を含んでよい。代替的に、おそらくは様々な宣言を含む証明レポート全体は、1つの単一のタイムスタンプと証明署名とを用いてデジタル的に署名されてよい。
【0088】
上記の例では、証明レポートとコンファメーションとの双方が、全体として、デジタル的に署名される。これは、高いレベルのセキュリティを保証し得る。代替的なアプローチは、コンファメーションを全体としてデジタル的に署名するのではなく、証明レポートのみをデジタル的に署名するものであり得る。この場合では、これは、SPSE16とチャレンジへの応答との間のリンクをいくつかの他の方法にて生成することに望ましくあり得る。例えば、チャレンジへの応答は、SPSE16に保存された暗号関数を使用して生成され得る。別の例では、チャレンジへの応答は、証明レポートに含まれてよい。これにより、チャレンジへの応答は、証明レポートの認証を通して認証され得る。
【0089】
SPSE16により生成されるコンファメーションの例と一致して、証明レポートは、方法100の任意のステップにて、SPSE16により、証明キーを使用してデジタル的に署名されてよいS170。証明キーは、SPSE16に保存された暗号化キーである。さらに、コンファメーションは、方法100の任意のステップにて、SPSE16によりデジタル的に署名されてよいS172。さらに、チャレンジへの応答は、方法100の任意のステップにて、SPSE16に保存された関数を通して判定されてよいS160。証明レポートは、多くの異なる方法にて生成されてよい。以下において、書き込み証明130と、読み出し証明140と、結果証明150と、の3つの異なるタイプの証明レポートを説明する。3つの異なるタイプの証明レポートを生成する任意のステップを、図3に示す。
【0090】
書き込み証明130は、
SPSE16により、通信チャネル14を介して、再設定コマンドを電気回路12に書き込みするプロセスをSPSE16が開始したことについての宣言を証明レポートに含めることS134であって、再設定コマンドは、電気回路12に、ファクトリデフォルトへの再設定を実行することを促すコマンドである、宣言を証明レポートに含めることS134により行われてよい。例えば、リクエストに応答して、SPSE16は、再設定コマンドを電気回路に書き込みしてよい。コマンドは、i2c書き込みコマンドであってよい。再設定コマンドは、電気回路12への、レジスタ又はコンデンサの状態を特定の値に設定する命令とみなされてよい。SPSE16は、これが実行されると、書き込みコマンドを含む宣言を、証明レポートに、実行がなされた時のタイムスタンプと証明署名と共に含んでよい。電気回路12は、例えば、レジスタの状態を変えること、又は、コンデンサの状態を高レベルなどに設定することにより、再設定コマンドに対応してよい。レジスタ又はコンデンサの状態は、デバイス10への電力供給が今度オフ及びオンにされた時に、ファクトリデフォルト設定への再設定が行われるべきであるか否かを画定してよい。
SPSE16により、通信チャネル14を介して、再設定コマンドを電気回路12に書き込みするプロセスをSPSE16が開始したことについての宣言を証明レポートに含めることS134であって、再設定コマンドは、電気回路12に、ファクトリデフォルトへの再設定を実行することを促すコマンドである、宣言を証明レポートに含めることS134により行われてよい。例えば、リクエストに応答して、SPSE16は、再設定コマンドを電気回路に書き込みしてよい。コマンドは、i2c書き込みコマンドであってよい。再設定コマンドは、電気回路12への、レジスタ又はコンデンサの状態を特定の値に設定する命令とみなされてよい。SPSE16は、これが実行されると、書き込みコマンドを含む宣言を、証明レポートに、実行がなされた時のタイムスタンプと証明署名と共に含んでよい。電気回路12は、例えば、レジスタの状態を変えること、又は、コンデンサの状態を高レベルなどに設定することにより、再設定コマンドに対応してよい。レジスタ又はコンデンサの状態は、デバイス10への電力供給が今度オフ及びオンにされた時に、ファクトリデフォルト設定への再設定が行われるべきであるか否かを画定してよい。
【0091】
読み出し証明140は、
SPSE16により、再設定コマンドが電気回路12により受信されたことをチェックすることS142であって、再設定コマンドは、電気回路12に、ファクトリデフォルトへの再設定を実行することを促すコマンドであり、再設定コマンドは、通信チャネル14を介して、SPSE16により電気回路12に書き込まれるコマンドである、再設定コマンドが電気回路12により受信されたことをチェックすることS142と、
SPSE16により、再設定コマンドが電気回路12により受信されたことをSPSE16がチェックしたことについての宣言を証明レポートに含めることS144と、
により行われてよい。
SPSE16により、再設定コマンドが電気回路12により受信されたことをチェックすることS142であって、再設定コマンドは、電気回路12に、ファクトリデフォルトへの再設定を実行することを促すコマンドであり、再設定コマンドは、通信チャネル14を介して、SPSE16により電気回路12に書き込まれるコマンドである、再設定コマンドが電気回路12により受信されたことをチェックすることS142と、
SPSE16により、再設定コマンドが電気回路12により受信されたことをSPSE16がチェックしたことについての宣言を証明レポートに含めることS144と、
により行われてよい。
【0092】
例えば、SPSE16は、電気回路のレジスタの状態又はコンデンサの状態を読むための読み出しコマンドを実行してよい。これを行うことにより、SPSE16は、電気回路12が再設定コマンドを受信してこれに対処したことをチェックしてよい。読み出しコマンドは、i2c読み出しコマンドであってよい。読み出しコマンドが実行されると、SPSE16は、読み出しコマンドと、レジスタ又はコンデンサの値と、を含む宣言を、証明レポートに、実行がなされた時のタイムスタンプと証明署名と共に含めてよい。
【0093】
書き込み証明130又は読み出し証明140が行われると、証明レポートは、ファクトリデフォルトへの再設定が実行される前、又は、これが実行された後に送信されてよい。
【0094】
結果証明150は、
SPSE16により、ファクトリデフォルトへの再設定が実行されたことをチェックすることS152と、
SPSE16により、ファクトリデフォルトへの再設定が実行されたことをSPSE16がチェックしたことについての宣言を証明レポートに含めることS154と、
により行われてよい。
SPSE16により、ファクトリデフォルトへの再設定が実行されたことをチェックすることS152と、
SPSE16により、ファクトリデフォルトへの再設定が実行されたことをSPSE16がチェックしたことについての宣言を証明レポートに含めることS154と、
により行われてよい。
【0095】
例えば、電気回路12は、デバイス10への電力供給が今度オンとされたら、ファクトリデフォルト設定への再設定が行われるべきであることを画定するために、再設定コマンドを受信し、レジスタ又はコンデンサの状態を設定した後に、第1の回路18とSPSE16への電力供給をオフにして再度オンにすることにより、例えば、電気回路12の電源40とは別の電源40をオフにして再度オンにすることにより、次に進んでよい。デバイス10への電力供給がオンとなると、デバイス10、又はデバイス10の第1の回路18は、ファクトリデフォルト設定の状態に起動してよい。ファクトリデフォルト設定の状態に起動することは、入力ピン19の値に基づいてよい。入力ピン19の値は、電気回路12のレジスタ又はコンデンサにより画定される。起動プロセスの一部として、SPSE16は、電気回路12のレジスタの状態又はコンデンサの状態を読むための読み出しコマンドを実行してよい。これを行うことにより、SPSE16は、ファクトリデフォルトへの再設定が実行されたことをチェックしてよい。レジスタ又はコンデンサの電圧が、起動プロセス中に再設定を促す値を有する場合、再設定が行われたと判断してよい。読み出しコマンドは、i2c読み出しコマンドであってよい。読み出しコマンドが実行されると、SPSE16は、読み出しコマンドと、レジスタ又はコンデンサの値と、を含む宣言を、証明レポートに、実行がなされた時のタイムスタンプと証明署名と共に含めてよい。宣言は、結果証明が読み出し証明とは分けられ得るよう、起動プロセス中にレジスタが読まれたことを示す情報をさらに含んでよい。代替的に、タイムスタンプは、宣言が、結果証明の宣言であることを示してよい。証明レポートは、上記の3つの証明タイプの1つであってよい。しかし、証明レポートは、代替的に、これら3つのタイプのいずれかの組み合わせであってよい。例えば、証明レポートは、書き込み証明130に対応する1つの宣言と、読み出し証明140に対応する1つの宣言と、の双方を証明レポートに含めることにより、書き込み証明130と読み出し証明140との双方を含んでよい。
【0096】
上述するように、チャレンジを扱う少なくとも3つの異なる方法があってよい。チャレンジを扱う3つの異なる方法は、特に、結果証明150が行われる際に適用可能である。しかし、これらはまた、書き込み証明130と読み出し証明140とにも適用可能であり得る。
【0097】
図4は、チャレンジを扱う第1の代替的な方法に係る方法100がどのように見え得るかを示す。方法100は、図に示す、上から下の順に行われてよい。図4の方法100は、図3の任意のステップの1つ又はそれ以上と組み合されてよい。方法100は、図4に説明するように、
デバイス10のSPSE16により、ファクトリデフォルト設定への再設定が実行された後に、ネットワーク30を介してのチャレンジを待機することS210を含んでよい。
デバイス10のSPSE16により、ファクトリデフォルト設定への再設定が実行された後に、ネットワーク30を介してのチャレンジを待機することS210を含んでよい。
【0098】
例えば、SPSE16は、SPSE16への電力供給がオンとされた後の特定の時間、又は、第1の回路18への電力供給がオンとされた後の特定の時間、チャレンジを待機するよう構成されていてよい。チャレンジが到着すると、応答が判定され、コンファメーションが完了して送信されてよい。
【0099】
図5は、チャレンジを扱う第2の代替的な方法に係る方法100がどのように見え得るかを示す。方法100は、図に示す、上から下の順に行われてよい。図5の方法100は、図3の任意のステップの1つ又はそれ以上と組み合されてよい。方法100は、図5に説明するように、
デバイス10のSPSE16により、ファクトリデフォルト設定への再設定が実行される前に、ネットワーク30を介して受信されたチャレンジを電気回路12に転送することS220と、
デバイス10のSPSE16により、ファクトリデフォルト設定への再設定が実行された後に、電気回路12からチャレンジを受信することS222と、
を含んでよい。
デバイス10のSPSE16により、ファクトリデフォルト設定への再設定が実行される前に、ネットワーク30を介して受信されたチャレンジを電気回路12に転送することS220と、
デバイス10のSPSE16により、ファクトリデフォルト設定への再設定が実行された後に、電気回路12からチャレンジを受信することS222と、
を含んでよい。
【0100】
例えば、SPSE16は、ファクトリデフォルト設定への再設定が実行される前に、ネットワーク30を介して、リクエストと同じメッセージにてチャレンジが受信されるS110と、SPSE16はそのチャレンジを、電気回路12に転送するよう構成されていてよい。ファクトリデフォルトへの再設定中に、SPSE16への電力供給がオフにされて再度オンにされると、チャレンジは、この時間中に電気回路12に保存されてよい。チャレンジは、電気回路12に電力が供給されるか否かによって、揮発性又は不揮発性メモリに保存されてよい。SPSE16への電力供給が再度オンとなると、これは、例えば、電気回路12からチャレンジを読み出すことにより、電気回路12からチャレンジを受信してよいS222。チャレンジが受信されるとS222、応答が判定され、コンファメーションが完了して送信されてよい。
【0101】
図6は、チャレンジを扱う第3の代替的な方法に係る方法100がどのように見え得るかを示す。方法100は、図に示す、上から下の順に行われてよい。図6の方法100は、図3の任意のステップの1つ又はそれ以上と組み合されてよい。方法100は、図6に説明するように、
デバイス10のSPSE16により、ネットワーク30を介して受信されたチャレンジを保存することS230であって、チャレンジは、SPSE16の不揮発性メモリに保存され、チャレンジは、ファクトリデフォルト設定への再設定が実行される前に保存される、ネットワーク30を介して受信されたチャレンジを保存することS230と、
デバイス10のSPSE16により、保存されたチャレンジを不揮発性メモリから回収することS232であって、チャレンジは、ファクトリデフォルト設定への再設定が実行された後に回収される、保存されたチャレンジを不揮発性メモリから回収することS232と、
を含んでよい。
デバイス10のSPSE16により、ネットワーク30を介して受信されたチャレンジを保存することS230であって、チャレンジは、SPSE16の不揮発性メモリに保存され、チャレンジは、ファクトリデフォルト設定への再設定が実行される前に保存される、ネットワーク30を介して受信されたチャレンジを保存することS230と、
デバイス10のSPSE16により、保存されたチャレンジを不揮発性メモリから回収することS232であって、チャレンジは、ファクトリデフォルト設定への再設定が実行された後に回収される、保存されたチャレンジを不揮発性メモリから回収することS232と、
を含んでよい。
【0102】
例えば、SPSE16は、ファクトリデフォルト設定への再設定が実行される前に、ネットワーク30を介して、リクエストと同じメッセージにてチャレンジが受信されるS110と、SPSE16はそのチャレンジを、SPSE16の不揮発性メモリに保存するS230よう構成されていてよい。ファクトリデフォルトへの再設定中に、SPSE16への電力供給がオフにされて再度オンにされると、チャレンジは、この時間中にSPSE16の不揮発性メモリに保存されてよい。SPSE16に電力供給が再度オンとなると、これは、チャレンジを、SPSE16の不揮発性メモリから回収してよいS232。チャレンジが回収されるとS232、応答が判定され、コンファメーションが完了して送信されてよい。
【0103】
これまで、本発明に関するコンセプトを、限られた例を参照して主に説明した。しかし、当業者にただちに明白であるように、上記に開示するものとは異なる他の実施例も、特許請求の範囲に規定されるように、本発明に関するコンセプトの範囲内にて等しく可能である。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】