(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-08-05
(45)【発行日】2024-08-14
(54)【発明の名称】機器の安全なプロビジョニングと管理
(51)【国際特許分類】
G06F 21/57 20130101AFI20240806BHJP
G06F 21/62 20130101ALI20240806BHJP
G06Q 50/10 20120101ALI20240806BHJP
G16Y 40/50 20200101ALI20240806BHJP
【FI】
G06F21/57 320
G06F21/62 309
G06Q50/10
G16Y40/50
【外国語出願】
(21)【出願番号】P 2023078671
(22)【出願日】2023-05-11
(62)【分割の表示】P 2022009802の分割
【原出願日】2017-11-14
【審査請求日】2023-05-30
(32)【優先日】2016-11-14
(33)【優先権主張国・地域又は機関】US
(32)【優先日】2016-11-14
(33)【優先権主張国・地域又は機関】US
(32)【優先日】2017-04-20
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】519170209
【氏名又は名称】インテグリティ セキュリティ サービシーズ エルエルシー
(74)【代理人】
【識別番号】110000796
【氏名又は名称】弁理士法人三枝国際特許事務所
(72)【発明者】
【氏名】ラティン ウィリアム エル.
(72)【発明者】
【氏名】セキーノ デイビッド アール.
(72)【発明者】
【氏名】メイヤー アラン ティー.
(72)【発明者】
【氏名】パウエル グレゴリー エー.
【審査官】宮司 卓佳
(56)【参考文献】
【文献】特開2013-235504(JP,A)
【文献】特開2016-126760(JP,A)
【文献】特開2012-085272(JP,A)
【文献】特表2007-511167(JP,A)
【文献】特表2014-501966(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
G06F 21/62
G06Q 50/10
G16Y 40/50
(57)【特許請求の範囲】
【請求項1】
コンピュータ化された機器を安全にプロビジョニングするためのシステムであって、
前記コンピュータ化された機器に通信可能に接続され、第1のデジタル資産を受信し、前記第1のデジタル資産を前記コンピュータ化された機器に送信する第1の安全な配信コンピュータと、
前記第1の安全な配信コンピュータに接続され、第1の認可条件が満たされる場合に前記第1のデジタル資産を前記第1の安全な配信コンピュータに送信するデジタル資産管理サーバであり、前記第1のデジタル資産は、前記コンピュータ化された機器を部分的にプロビジョニングさせるように構成される、デジタル資産管理サーバと、
前記第1の安全な配信コンピュータおよび前記デジタル資産管理サーバに接続され、前記第1の認可条件が満たされているかどうかを判定するプロビジョニングコントローラと、
前記デジタル資産管理サーバおよび前記コンピュータ化された機器に接続され、第2のデジタル資産を受信し、前記第2のデジタル資産を前記コンピュータ化された機器に送信する第2の安全な配信コンピュータであって、前記第2のデジタル資産は、前記コンピュータ化された機器を機能させるように構成される、第2の安全な配信コンピュータと、を含み、
前記第2のデジタル資産が前記コンピュータ化された機器に送信された後、前記コンピュータ化された機器が機能するシステム。
【請求項2】
前記第1の認可条件は、前記コンピュータ化された機器が前記システムとの使用を認可されていることである、請求項1に記載のシステム。
【請求項3】
前記プロビジョニングコントローラは、認可されたコンピュータ化された機器の記憶されたリストを参照することにより、前記コンピュータ化された機器が前記システムとの使用に対して認可されているかどうかを判定する、請求項1に記載のシステム。
【請求項4】
前記第1の認可条件は、前記第1の安全な配信コンピュータのユーザが認可ユーザであることである、請求項1に記載のシステム。
【請求項5】
前記デジタル資産管理サーバは、前記第1のデジタル資産に関するログ情報を前記プロビジョニングコントローラに送信し、前記プロビジョニングコントローラは前記ログ情報を記憶する、請求項1に記載のシステム。
【請求項6】
前記ログ情報は、前記第1の安全な配信コンピュータのユーザの識別、前記第1のデジタル資産の識別、前記第1の安全な配信コンピュータの識別、および前記第1のデジタル資産に対する要求のタイムスタンプのうちの少なくとも1つを含む、請求項5に記載のシステム。
【請求項7】
前記デジタル資産管理サーバは、第2の認可条件が満たされる場合に、前記第2のデジタル資産を前記コンピュータ化された機器に送信する、請求項1に記載のシステム。
【請求項8】
少なくとも1つの第2の認可条件は、前記コンピュータ化された機器が、認可されたコンピュータ化された機器であるという判定である、請求項7に記載のシステム。
【請求項9】
少なくとも1つの第2の認可条件は、前記第2の安全な配信コンピュータのユーザが、認可ユーザであるという判定である、請求項7に記載のシステム。
【請求項10】
前記プロビジョニングコントローラは、前記第2のデジタル資産に関するログ情報を記憶する、請求項1に記載のシステム。
【請求項11】
コンピュータ化された機器をプロビジョニングするための方法であって、
プロビジョニングコントローラによって第1の認可条件が満たされると判定される場合に、デジタル資産管理サーバから第1の安全な配信コンピュータに第1のデジタル資産を送信するステップと、
前記第1のデジタル資産を前記第1の安全な配信コンピュータから前記コンピュータ化された機器に送信するステップであり、前記第1のデジタル資産は、前記コンピュータ化された機器を部分的にプロビジョニングさせるように構成される、送信するステップと、
プロビジョニングのための第2のデジタル資産を前記コンピュータ化された機器に送信するための命令を、前記デジタル資産管理サーバにおいて受信するステップと、
前記命令に応答して、前記第2のデジタル資産を前記デジタル資産管理サーバから前記コンピュータ化された機器に送信するステップであり、プロビジョニングのための前記デジタル資産管理サーバから前記コンピュータ化された機器に前記第2のデジタル資産を送信することは、前記第2のデジタル資産を第2の安全な配信コンピュータに送信することを含む、送信するステップと、
前記第2のデジタル資産を前記コンピュータ化された機器にプロビジョニングするステップであり、前記第2のデジタル資産は、前記コンピュータ化された機器を機能させるように構成されている、プロビジョニングするステップと、
を含み、
前記第1の安全な配信コンピュータが前記コンピュータ化された機器に接続され、前記デジタル資産管理サーバが前記第1の安全な配信コンピュータに接続されている、方法。
【請求項12】
前記第1の認可条件が満たされているかどうかを判定することは、前記コンピュータ化された機器
がシステムとの使用を認可されていると判定することを含
み、前記システムは、第1の安全な配信コンピュータと、デジタル資産管理サーバと、プロビジョニングコントローラと、第2の安全な配信コンピュータとを含む、請求項11に記載の方法。
【請求項13】
前記コンピュータ化された機器が前記システムとの使用を認可されているかどうかを判定することは、認可されたコンピュータ化された機器の記憶されたリストを参照することによって、前記コンピュータ化された機器が前記システムとの使用を認可されているかどうかを判定することを含む、請求項
12に記載の方法。
【請求項14】
前記第1の認可条件が満たされているかどうかを判定することは、前記第1の安全な配信コンピュータのユーザが認可ユーザであると判定することを含む、請求項11に記載の方法。
【請求項15】
前記第1のデジタル資産に関するログ情報を前記デジタル資産管理サーバから前記プロビジョニングコントローラに送信するステップと、前記プロビジョニングコントローラにおいて前記ログ情報を記憶するステップとをさらに含む、請求項11に記載の方法。
【請求項16】
前記ログ情報は、前記第1の安全な配信コンピュータのユーザの識別、前記第1のデジタル資産の識別、前記第1の安全な配信コンピュータの識別、および前記第1のデジタル資産に対する要求のタイムスタンプのうちの少なくとも1つを含む、請求項15に記載の方法。
【請求項17】
前記第2のデジタル資産を前記コンピュータ化された機器に送ることは、少なくとも1つの第2の認可条件が満たされる場合に、前記第2のデジタル資産を前記コンピュータ化された機器に送ることを含む、請求項11に記載の方法。
【請求項18】
少なくとも1つの第2の認可条件は、前記コンピュータ化された機器が、認可されたコンピュータ化された機器であるという判定である、請求項17に記載の方法。
【請求項19】
少なくとも1つの第2の認可条件は、前記第2の安全な配信コンピュータのユーザが、認可ユーザであるという判定である、請求項17に記載の方法。
【請求項20】
前記第2のデジタル資産に関するログ情報を前記プロビジョニングコントローラにおいて記憶するステップをさらに含む、請求項11に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の相互参照)
本出願は、2016年11月14日に出願された米国仮特許出願第62/421,87
8号、2016年11月14日に出願された米国仮特許出願第62/421,852号、
および2017年4月20日に出願された米国仮特許出願第62/487,909号の利
益を主張し、それらの全ては、それらの全体が参照により本明細書に組み込まれる。
【0002】
本発明は、コンピュータ化された機器を安全にプロビジョニングするためのシステム、
機器、および方法に関する。
【背景技術】
【0003】
コンピュータがますます小型化および商品化されるにつれて、製造業者は、1つ以上の
組み込み型コンピュータまたはプロセッサを含む、ますます多様な機器を製造している。
コンピュータ化された機器内のコンピュータは、とりわけ、機器の動作を制御し、データ
を収集、保存、共有し、他のコンピュータや他のコンピュータ化された機器と通信し、そ
れ自身のソフトウェアを更新することができる。
【0004】
モノのインターネット(IoT)は、プロセッサ、電子機器、ソフトウェア、データ、
センサ、アクチュエータ、および/またはネットワーク接続を内蔵したコンピュータ化さ
れた物理機器のネットワークであり、インターネット、携帯電話ネットワーク、およびそ
の他のワイヤレスネットワークを含むデジタルネットワークを介してこれらの機器にデー
タを接続および交換可能にする。通常、それぞれの「モノ」は、その組み込みコンピュー
ティングシステムを通じて一意に識別可能であり、既存のインターネットインフラストラ
クチャ内で相互運用することができる。
【0005】
IoTの意味での「モノ」とは、とりわけ、家電製品、ビジネスや企業の環境で使用さ
れる企業向け機器、製造機械、農業用機器、家庭や建物内のエネルギー消費型機器(スイ
ッチ、コンセント、電球、テレビなど)、医療およびヘルスケア機器、インフラストラク
チャ管理機器、ロボット、ドローン、および輸送機器および車両などの多様なコンピュー
タ化された機器を指すことができる。
【0006】
例えば、全部ではないにしても大部分の現代の乗り物(例えば、自動車、トラック、航
空機、列車、船舶など)は、それらのサブシステム内にいくつかの組み込みプロセッサま
たは組み込みコンピュータを含み、少なくともいくつかの態様でコンピュータ制御される
。同様に、ますます多くの現代の交通インフラ機器(例えば、信号機、交通カメラ、交通
センサ、ブリッジモニタ、ブリッジ制御システムなど)は、少なくとも1つ、そしてしば
しば多くの、組み込みプロセッサまたは組み込みコンピュータシステムを含み、少なくと
もいくつかの態様でコンピュータ制御される。交通ネットワークのこれらのコンピュータ
制御要素は、通常、相互に通信して様々な種類の情報をやり取りし、安全で、正しく、効
率的で、信頼できる動作のために、それらは車両間(V2V、C2C、車間とも呼ばれる
)通信における他の車両との間でおよび/または車両とインフラストラクチャ間(V2I
、C2I、車インフラストラクチャ間とも呼ばれる)通信におけるインフラストラクチャ
要素との間で受信/送信される情報に反応し、応答し、動作を変更し、あるいは依存する
ことができる。
【0007】
コンピュータ化された機器内のコンピュータは、それらのソフトウェアおよび/または
ファームウェアおよびデータに従って動作する。安全で適切な動作を確実にするために、
コンピュータ化された機器は、製造業者によって意図されたように、適切なソフトウェア
、ファームウェア、実行可能命令、デジタル証明書(例えば、公開鍵証明書)、および暗
号鍵など(以下において、集合的に「デジタル資産」または「ソフトウェア」と呼ぶもの
とする)で適切に初期化および更新されなければならないので、IoTは、認可された、
動作確認済みのソフトウェアとデータを実行している機器のみからなる。しかしながら、
認可されていない人または組織(例えば、ハッカー)がコンピュータ化された機器内のソ
フトウェアを交換または変更するときに問題が生じる。また、古いソフトウェア、テスト
されていないソフトウェア、認可されていないソフトウェア、および/または既知のバグ
を有するソフトウェアがコンピュータ化された機器内に設置されている場合にも問題が生
じる。
【0008】
従って、エラーに敏感な、誤って機能する、テストされていない、悪意を持って改変さ
れた、またはさもなければ望ましくないソフトウェアおよびデータを使用してコンピュー
タ化された機器が動作するのを防ぐように、コンピュータ化された機器内のデジタル資産
を安全にプロビジョニングするための改良されたシステム、方法、および技術を提供する
ことが望まれている。
【発明の概要】
【0009】
1つ以上のコンピュータ化された機器を安全にプロビジョニングするためのシステム、
方法、および機器システムが本明細書で開示される。様々な実施形態において、システム
は、コンピュータ化された機器に通信可能に接続され、デジタル資産を受信し、デジタル
資産をコンピュータ化された機器内にロードするように動作可能な第1の配信機器と、第
1の安全な通信チャネルを介して配信機器に接続され、デジタル資産を生成して条件付き
で配信機器に送信するように動作可能なデジタル資産管理システムと、第2の安全な通信
チャネルを介して配信機器に接続され、第3の安全な通信チャネルを介してデジタル資産
管理システムに接続され、デジタル資産を配信機器に送信するようにデジタル資産管理シ
ステムに指示するように動作可能なプロビジョニングコントローラとを含む。デジタル資
産が存在しないために、コンピュータ化された機器は、デジタル資産がコンピュータ化さ
れた機器にロードされる前には機能しない、または部分的にしか機能しない可能性がある
。デジタル資産は、デジタル証明書、暗号鍵、および実行可能なソフトウェアのうちの少
なくとも1つとすることができる。
【0010】
様々な実施形態では、システムは、第4の安全な通信チャネルを介してデジタル資産管
理システムに接続され、第1の配信機器が切断された後にコンピュータ化された機器に通
信可能に接続され、第2のデジタル資産を受信し、第2のデジタル資産をコンピュータ化
された機器内にロードするように動作可能な第2の配信機器をさらに含み、プロビジョニ
ングコントローラはさらに、第2のデジタル資産を配信機器に送信するようにデジタル資
産管理システムに指示するように動作可能である。コンピュータ化された機器は、第2の
デジタル資産がコンピュータ化された機器にロードされた後に完全に機能的になることが
できる。
【0011】
様々な実施形態では、デジタル資産管理システムは、登録局アプリケーションを実行し
、登録局アプリケーションによって必要とされる暗号計算を実行する1つ以上の計算エン
ジンに通信可能に接続された1つ以上の仮想マシンと、登録認証局アプリケーションを実
行し、登録認証局アプリケーションによって必要とされる暗号計算を実行する1つ以上の
計算エンジンに通信可能に接続された1つ以上の仮想マシンと、偽名認証局アプリケーシ
ョンを実行し、偽名認証局アプリケーションによって必要とされる暗号計算を実行する1
つ以上の計算エンジンに通信可能に接続された1つ以上の仮想マシンと、第1の連携局ア
プリケーションを実行し、第1の連携局アプリケーションによって必要とされる暗号計算
を実行する1つ以上の計算エンジンに通信可能に接続された1つ以上の仮想マシンと、第
2の連携局アプリケーションを実行し、第2の連携局アプリケーションによって必要とさ
れる暗号計算を実行する1つ以上の計算エンジンに通信可能に接続された1つ以上の仮想
マシンとをさらに含むことができる。
【0012】
他の実施形態では、デジタル資産管理システムは、登録局アプリケーションを実行する
1つ以上の仮想マシンと、登録認証局を実行する1つ以上の仮想マシンと、偽名認証局ア
プリケーションを実行する1つ以上の仮想マシンと、第1の連携局アプリケーションを実
行する1つ以上の仮想マシンと、第2の連携局アプリケーションを実行する1つ以上の仮
想マシンとに動作可能に接続されたデータベースをさらに含むことができる。
【0013】
さらに他の実施形態では、システムは、プロビジョニングコントローラに動作可能に接
続され、コンピュータ化された機器の製造業者を認証し、製造業者がコンピュータ化され
た機器のプロビジョニングを管理することを可能にするポータル、および/またはプロビ
ジョニングコントローラに動作可能に接続され、コンピュータ化された機器の設置業者を
認証し、設置業者がコンピュータ化された機器のプロビジョニングを管理することを可能
にするポータル、および/またはプロビジョニングコントローラに動作可能に接続され、
コンピュータ化された機器のレギュレータを認証し、レギュレータがコンピュータ化され
た機器のプロビジョニングを管理することを可能にするポータルをさらに含むことができ
る。
【0014】
さらに他の実施形態では、プロビジョニングコントローラは、コンピュータ化された機
器にロードするためにデジタル資産(例えば、実行可能ソフトウェアイメージ)を配信機
器に送信するようにさらに動作可能とすることができる。さらに他の実施形態では、プロ
ビジョニングコントローラは、デジタル機器に関連付けられ、デジタル機器のプロビジョ
ニングアクティビティに関する情報を格納するログを作成し維持するようにさらに動作可
能とすることができ、配信機器は、ログに格納するためのプロビジョニングコントローラ
へのデジタル機器に関連するプロビジョニングアクティビティに関する情報を送信するよ
うにさらに動作可能とすることができる。
【0015】
さらに他の実施形態では、プロビジョニングコントローラは、デジタル資産管理システ
ムにデジタル資産を送信するように指示する前にデジタル機器を認証するようにさらに動
作可能とすることができる。
【図面の簡単な説明】
【0016】
本明細書に組み込まれてその一部を構成する添付の図面は、本発明の実施形態を例示し
、その説明と共に、本発明の原理を説明するのに役立つ。
【0017】
【
図1】本発明の実施形態と一致する、安全なプロビジョニングのためのシステムの一例を示すブロック図である。
【0018】
【
図2】本発明の実施形態と一致する、コンピュータ化された機器を安全にプロビジョニングするためのプロセスの一例を示すスイムレーン図である。
【0019】
【
図3】本発明の実施形態と一致する、コンピュータ化された機器を安全にプロビジョニングするためのプロセスの別の一例を示すスイムレーン図である。
【0020】
【
図4A】本発明の実施形態と一致する、スケーラブルで安全なデジタル資産管理システムを実装するためのシステムの一例のブロック図の第1の部分である。
【0021】
【
図4B】本発明の実施形態と一致する、スケーラブルで安全なデジタル資産管理システムを実装するためのシステムの一例のブロック図の第2の部分である。
【0022】
【
図5】本発明の実施形態と一致するシステムおよび方法をホスティングするために使用することができるコンピューティングシステムの一例のブロック図である。
【発明を実施するための形態】
【0023】
ここで、本発明の様々な実施形態について詳細に言及するが、それらの例は添付の図面
に示されている。都合のよい場合にはいつでも、同じまたは同様の部分を指すために、図
面全体を通して同じ符号を使用する。
【0024】
現場での安全で適切な動作を保証するために、組込み機器(例えば、車両に使用される
電子制御ユニット(ECU))は、セキュリティ資産などのデジタル資産をプロビジョニ
ングすることによって製造中に適切に初期化される必要がある。デジタル資産には、様々
な暗号化キー、一意の識別子、デジタル証明書、およびソフトウェアを含めることができ
る。ほとんどの場合、これらのデジタル資産の起源と製造工場は、地理的に異なる場所に
あり、これらの場所は、従来、安全でないインターネット通信を介して相互接続されてい
る。したがって、デジタル資産が悪意のある者によってまたは偶然にアクセスまたは変更
されることがないように、これらのデジタル資産の起点から機器へのエンドツーエンドの
安全なチャネルを作成することが望ましい。
【0025】
TLS/SSLなどのエンドツーエンド保護のための従来のネットワークセキュリティ
プロトコルには、両方の通信側に事前共有キーまたは特定の秘密セキュリティ資料が予め
存在することが必要であるという欠点がある。これは、デジタル資産をプロビジョニング
するために、いくつかの初期の秘密資料が事前に存在しなければならないという点で、周
期的な技術的問題を引き起こす。この問題には、いかに最初の秘密資料を保護するか、と
いう事が含まれている。物流を単純化するために、通常、初期ソフトウェアの単一バージ
ョンが製造中にコンピュータ化された機器にロードされるので、この問題はコンピュータ
化された機器にとって特に深刻である。この初期ソフトウェアに初期セキュリティ資料を
含める必要がある場合、これにはグローバルシークレットが存在する必要がある。結果と
して、初期のセキュリティ資料を危険にさらすことは、それらがすべて同じグローバルシ
ークレットを共有するので、すべての機器上にプロビジョニングされるすべてのデジタル
資産の漏洩につながるであろう。本開示と一致するシステム、方法、および機器は、従来
のプロビジョニングシステムのこれらのおよび他の問題に対処する。
【0026】
プロビジョニングとは一般的に、適切なデータとソフトウェアを使ってコンピュータ化
された機器を準備するためにとられる一連のアクションを指す。それはまた、機器をその
運用環境に適切に設置して運用準備を整えるためにとられる一連のアクションも含むこと
ができる。アクションは、適切なデジタル資産(例えば、オペレーティングシステム、機
器ドライバ、ミドルウェア、アプリケーション、デジタル証明書など)を機器のデジタル
ストレージ(例えば、メモリ)にロードすること、および(必要な場合)各々の特定の機
器に固有であり得る特定のデジタル資産を機器上で適切にカスタマイズし構成することを
含む。アクションはまた、コンピュータ化された機器が正当な機器製造業者によって作成
された正当な機器であり、コピーまたは偽造の機器ではないことを検証することを含むこ
とができる。
【0027】
アクションはまた、機器をその動作環境に正しく設置すること、および機器が正しく動
作していることを検証するためにそれをテストすることを含むことができる。機器が1つ
の製造業者によって構築され、後で別の業者によってより大きなシステムまたは機器に設
置される可能性がある(例えば、部品メーカーにより作られたオンボードユニット(OB
U)が、自動車メーカーによって作られた自動車に取り付けられる可能性がある)という
事実によって、安全性が確認されている機器のみを安全にプロビジョニングする機能は複
雑である。不適切に設置された機器は、正しく機能しない可能性がある。
【0028】
本発明と一致した様々な実施形態は、IoT機器を含むコンピュータ化された機器の安
全なプロビジョニングを提供する。そのような実施形態は、コンピュータ化された機器に
よって使用されるデジタル資産の悪意のある、過失の、または誤った改ざん、改変、更新
、またはリリースを防止または禁止し、コンピュータ化された機器およびそれらのソフト
ウェアの不適切な設置を防止または禁止するのに役立つ。
【0029】
本発明と一致した様々な実施形態はまた、安全なプロビジョニングプロセスの監査ログ
、記録、報告などを生成することができ、それは後で発見された問題を分析し解決するた
めに使用することができる。
【0030】
本発明と一致した様々な実施形態は、機器およびシステム製造業者へのサービスとして
提供され得る安全なプロビジョニングおよび管理プラットフォームも提供することができ
る。
【0031】
図1は、本発明の実施形態と一致する、コンピュータ化された機器の安全なプロビジョ
ニングのためのシステム100の一例を示すブロック図である。
図1の例に示すように、
システム100はプロビジョニングコントローラ120を含む。プロビジョニングコント
ローラ120は、デジタルセキュリティ資産を安全に生成および格納し、様々な暗号化お
よび機密計算を安全に実行する組み込みハードウェアセキュリティモジュール(HSM)
を有する(例えば、少なくとも1つのプロセッサおよび関連メモリを有する)サーバコン
ピュータとして実装することができる。HSMは、暗号キーなどのデジタルセキュリティ
資産やその他の機密データを起こり得る攻撃者によるアクセスから保護する。様々な実施
形態では、プロビジョニングコントローラ120は、システム100のユーザを認証し、
それらと安全に通信するように機能し、1つ以上の配信機器108、131と安全に通信
し、それらを管理するように機能し、デジタル資産管理システム(DAMS)110と安
全に通信し、その動作を指示するように機能し、プロビジョニングレコードを作成して保
存するように機能し、プロビジョニングレコードを作成、保存、配信するように機能し、
監査ログを作成、保存、配信するように機能し、DAMS110と配信機器108、13
1の要素を暗号的に結び付けるために証明書を作成し配信するように機能し、ユーザと管
理対象機器が信頼されなくなった場合は、必要に応じてそれらを無効にするように機能し
、ビジネス継続性と災害復旧のための、オフサイトストレージ用の重要なキーとデータの
安全な暗号化バックアップを作成し配信するように機能する。
【0032】
図1の例に示すように、プロビジョニングコントローラ120は、データベース125
に通信可能に接続され、データベース125は、機器106a、106b(まとめて10
6と呼ぶことがある)の安全なプロビジョニングに関連するデータ、情報、およびデジタ
ル資産を格納することができる。
【0033】
プロビジョニングコントローラ120はまた、製造業者のユーザポータル115に安全
に通信可能に接続され、ユーザポータル115は、例えば、サーバとして、またはプロビ
ジョニングコントローラ120へのインターフェースとして実装することができる。様々
な実施形態では、機器製造業者105のスタッフ109は、製造業者のユーザポータル1
15を使用して、プロビジョニングコントローラ120(およびしたがってDAMS11
0)とインターフェース接続し、それらの機器プロビジョニングアクティビティを管理す
ることができる。様々な実施形態では、製造業者のユーザポータル115は、ユーザ名、
パスワード、2ファクタ識別データ、顔認識画像、指紋などの識別情報をスタッフユーザ
109から収集し、識別情報をプロビジョニングコントローラ120に提供することがで
きる。プロビジョニングコントローラ120は、スタッフ109に安全なプロビジョニン
グシステム100へのアクセスを可能にする前に、スタッフ109を認証することができ
る。例えば、プロビジョニングコントローラ120は、スタッフユーザ109に関連付け
られ、以前に検証されてそのデータベース125に格納された識別情報を検索し、格納さ
れた識別情報を製造業者のユーザポータル115によって収集された識別情報と比較する
ことができる。あるいはまた、プロビジョニングコントローラ120またはDAMSユー
ザポータル115は、スタッフ109がシステム100を使用することを認可されている
かどうかを判断する、ユーザの企業識別および認証システムと統合されてもよい。様々な
実施形態では、プロビジョニングコントローラ120またはDAMSユーザポータル11
5は、認証に成功したスタッフ109に役割を与え、システム100内での彼らのアクシ
ョンを制限することができる。いくつかの実施形態では、プロビジョニングコントローラ
120は、2セットの識別情報が一致する場合にのみアクセスを可能にすることができる
。
【0034】
同様に、プロビジョニングコントローラ120はまた、例えばサーバとして、またはプ
ロビジョニングコントローラ120へのインターフェースとして実装され得る設置業者ユ
ーザポータル116に通信可能に接続される。様々な実施形態では、機器設置業者のスタ
ッフ132は、設置業者ユーザポータル116を使用して、プロビジョニングコントロー
ラ120(およびしたがってDAMS110)とインターフェース接続し、それらの機器
設置およびプロビジョニングアクティビティを管理することができる。プロビジョニング
コントローラ120は、スタッフ132を認可する前にスタッフ132を認証し、スタッ
フ132が安全なプロビジョニングシステム100にアクセスしてシステム上で認可され
た機能を実行することを可能にする前にそれらに役割を割り当てることができる。
【0035】
また同様に、プロビジョニングコントローラ120はまた、例えばサーバとして、また
はプロビジョニングコントローラ120へのインターフェースとして実装することができ
るレギュレータポータル117に通信可能に接続される。様々な実施形態では、プロビジ
ョニングコントローラ120によって認証されると、レギュレータ140は、レギュレー
タポータル117を使用してプロビジョニングコントローラ120とインターフェース接
続し、製造業者104、設置業者130、機器106、および/または機器106に設置
されているソフトウェア/デジタル資産のレビューおよび認可を管理することができる。
プロビジョニングコントローラ120は、レギュレータ140が安全なプロビジョニング
システム100にアクセスすることを可能にする前に、レギュレータ140を認証するこ
とができる。システム100のいくつかの実施形態では、レギュレータ140およびレギ
ュレータポータル117はオプションである。
【0036】
プロビジョニングコントローラ120はさらに、DAMS110と通信可能に接続され
ている。様々な実施形態では、DAMS110は、サーバ、機器、または安全な機器およ
び/またはサーバのシステムとして実装することができる。DAMS110は、配信機器
108、131、または他の安全で認証された接続を介して、プロビジョニングされるエ
ンドエンティティ機器から公開鍵を安全に検索し、機器106に設置されているデジタル
証明書および関連データを安全に供給する。また、DAMS110は、製造業者105お
よび設置業者130から、コンピュータ化された機器106のプロビジョニング、設置、
機能性などに関するステータス情報を、配信機器108、131を介して安全に受信する
。さらに、DAMS110は、
図1に示されるように単一のサイトまたは複数のサイトで
このプロビジョニングを実行することができる。
図4に関してより詳細に説明されるよう
に、DAMS110は、以下の主な要素を含むことができる:ルート認証局(CA)、ポ
リシージェネレータ、CRLジェネレータ、不正行為局、中間CA、登録CA、連携局、
偽名CA、および登録局。
【0037】
DAMS110は、新しい機能性を追加し、William Whyteらによる20
13年12月の2013 IEEE Vehicular Networking Co
nferenceによる論文「V2V通信のための安全な信用証明書管理システム」に記
載されているコンポーネントおよび機能性を改善する。様々な実施形態では、DAMS1
10は、多段階プログラミングおよび柔軟な管理を含む(例えば、レギュレータ140を
含めることを可能にする)。DAMS110の様々な実施形態はまた、単一のDAMS1
10が異なる加入者に異なるレベルのプロビジョニングを提供することを可能にする機能
を可能にする。DAMS110の様々な実施形態はまた、加入者がある期間中(例えば、
1週間あたり)に異なるデジタル証明書の使用ならびに異なる証明書のロード(従来のシ
ステムのような3年の代わりに1週間など)を割り当てることを可能にする機能を可能に
する。特定の製造業者のコンピュータ化された機器106(例えば、OEMの自動車)が
製造業者の範囲内に留まる(例えば、それらのURLがそれらの名前を示す)ことができ
るように、DAMS110の様々な実施形態は加入者固有のURLも提供し得る。
【0038】
図示されるように、プロビジョニングコントローラ120はまた、配信機器108、1
31に通信可能に接続される。様々な実施形態において、配信機器108、131は、と
りわけ(図示のように)会社の敷地に設置されたスタンドアロンの安全な機器として、ま
たはウェブサービスまたはクラウドサービスとして実装することができる。様々な実施形
態では、配信機器108、131は、好ましくは専用の非インターネット通信チャネルを
介してDAMS110およびプロビジョニングコントローラ120との間でデジタル資産
および他の情報を安全に送受信する信頼できるエンドポイント機器として実現される。図
示されるように、配信機器108、131はまた、デジタル資産を機器106a、106
bにダウンロードし、そこからデータを受信するために、機器106a、106bと直接
的または間接的のいずれかで接続する。様々な実施形態では、配信機器108、131は
、ハードウェアセキュリティモジュール、強化オペレーティングシステム(OS)、内部
ファイアウォール、および内部ホスト侵入検知/防御システムを備えた(例えば、少なく
とも1つのプロセッサおよび関連メモリを有する)サーバコンピュータを含むボックスと
して実装できる。配信機器は、信頼できない環境で動作するように特に設計されてもよく
、それでもなお信頼され信頼できる動作を提供する。配信機器は、それ自体と安全なプロ
ビジョニングコントローラ120およびDAMS110との間に安全な通信チャネルを有
する。このチャネルは、配信機器を制御し、プロビジョニング関連のデータとログ情報を
送受信するために使用される。配信機器はまた、機器106をプログラムまたはプロビジ
ョニングするために使用されるテスタ107への安全な通信チャネルを有することができ
る。このチャネルは、製造場所の通信ネットワーク上でプロビジョニングデータとログデ
ータが漏洩されたり変更されたりすることから保護する。配信機器108はまた、プロビ
ジョニングデータが(不正テスタ107を含む)第三者によって危険にさらされたり変更
されたりすることができないように、プログラムされる機器106と直接的に安全な通信
チャネルを確立することができる。様々な実施形態では、配信機器は、それがプロビジョ
ニングしようとしている機器106から、公開鍵およびマイクロプロセッサのシリアル番
号などの他のデータを収集することができる。配信機器は、この情報をプロビジョニング
コントローラ120および/またはDAMS110に送信することができる。配信機器は
また、機器106内にプログラムするために、プロビジョニングコントローラ120およ
び/またはDAMS110からデータおよびコマンドおよび他の情報を受け取ることがで
きる。配信機器はそれ自身のログデータを返すことができ、そして配信機器はテスタ10
7からプロビジョニングコントローラ120および/またはDAMS110へデータを返
すことができる。
【0039】
機器製造業者105に関して図示されているように、配信機器108はテスタ107(
例えば、コンピュータ化された製造装置、製品検査機器など)に通信可能に接続すること
ができ、テスタ107は次いで、OBU機器などの製造業者105によって製造された機
器106aに接続される。製造業者105は、コンピュータ化された機器106aを製造
するおよび/または市場に供給する工場を含むか、またはそのような工場とすることがで
きる。多くの可能な例のうちの1つとして、コンピュータ化された機器106aは、自動
車と交通インフラ機器間の通信用に後で自動車に設置されるオンボードユニット(OBU
)の一部として組み込まれる、電気通信用のセルラーモデムで使用される組み込み型ユニ
バーサル集積回路カード(eUICC)とすることができる。それは、他の車両や路側機
(RSU)と通信するためにOBUに搭載されたV2Vセキュアマイクロプロセッサとす
ることもできる。これらの新しく製造された機器106aは、適切に動作するために、デ
ジタル資産(例えば、DAMS110からのデジタル証明書)によって適切にプロビジョ
ニングされなければならない。製造業者105のスタッフ109は、ユーザポータル11
5を使用して、プロビジョニングコントローラ120と対話し、DAMS110による製
品プロビジョニングアクティビティを管理することができる。
【0040】
設置業者130に関して示されるように、機器106bがその動作環境に設置されてい
る間または設置された後に、配信機器131は代替的に機器106bに直接通信可能に接
続されてもよい。設置業者130は、コンピュータ化された機器106bをそれらの動作
環境内に設置する(例えば、OBUを自動車内に設置する)工場または店舗を含むか、ま
たはそれらであり得る。設置時に、コンピュータ化された機器106bは、適切に動作す
るために、デジタル資産(例えば、DAMS110からの追加のデジタル証明書)をさら
に適切にプロビジョニングされなければならない。設置業者130のスタッフ132は、
設置業者ユーザポータル116を使用して、プロビジョニングコントローラ120と対話
し、DAMS110による製品プロビジョニングアクティビティを管理することができる
。
【0041】
様々な実施形態では、プロビジョニングコントローラ120、配信機器108、131
、およびDAMS110は、それらの間に安全で公的にアクセスできない通信リンクまた
はチャネルを有することができ、様々な実施形態では、
図1に示される通信リンクのすべ
てが、安全で公的にアクセスできない通信チャネルであり得る。様々な実施形態では、こ
れらの安全なチャネルは、この安全なインフラストラクチャ内で未認可のエンドポイント
が通信するのを防ぐために暗号化され、相互に認証されている。外層が何らかの形で危険
にさらされても、内層は安全なままとなるように、これらの通信チャネルを保護するため
に複数のセキュリティ機構を使用することができる。一例として、相互認証TLSトンネ
ルは、独自の安全な通信プロトコルなどの別のプロトコルを使用して、内層と共に外層と
して使用することができる。システム100を含むインフラストラクチャコンポーネント
間のこれらの安全な接続は、コンポーネント間の機密通信を保護し、それらの正しい動作
を保証するために使用される。これらの安全な経路を使用して、プロビジョニングコント
ローラ120およびDAMS110は、転送中に漏洩または変更されることを懸念するこ
となく、コンポーネント間でデジタルデータを送信することができる。コマンドおよび制
御情報もこれらのチャネルを介して渡すことができる。例えば、プロビジョニングコント
ローラ120は、どの配信機器108、131に、特定のデジタル資産およびデータを送
信するかを制御することができる。それはまた、それがプロビジョニングされている製造
ライン上の機器106にこのデータをどのように計量するかを配信機器108、131に
指示することができる。さらに、配信機器108、131は、情報が送信中に漏洩または
変更されることを心配することなく、情報をプロビジョニングコントローラ120に報告
して戻すことができる。例えば、安全なプロビジョニングコントローラ120は、任意の
種類のデジタル資産(例えば、証明書、ソフトウェア、ヒューズコンテンツなど)を用い
て最大10,000個の機器をプロビジョニングするように配信機器108、131をプ
ログラムすることができる。配信機器108、131は、それがプロビジョニングしてい
る機器をカウントすることができ、それがその限界に達すると、それをプロビジョニング
コントローラ120に報告する。様々な実施形態では、プロビジョニングコントローラ1
20によって管理される機器(例えば、108、110、131、115、116、11
7)は、それらがプロビジョニングコントローラ120と定期的に通信しない場合に、し
たがって、それらが盗まれて役に立たなくなった場合に、それらを動作させなくする機能
を含む。この機能は、紛失/盗難にあった機器が動作し続け、あたかもそれらがまだ適切
な製造環境に置かれているかのように機器106をプロビジョニングすることを防止する
。
【0042】
引き続き
図1に示す例を参照すると、動作時に、製造業者105に配置された配信機器
108は、DAMS110からデジタル資産を安全に受け取り、それらを機器106a用
のテスタ107に供給する。各機器106aが製造業者105によって製造されると、テ
スタ107は機器106aと通信して、機器106aからその固有の識別番号およびステ
ータスなどの情報を取得し、デジタル資産(例えば、デジタル証明書)を機器内にダウン
ロードまたはさもなければ設置する。テスタ107はまた、機器106aから配信機器1
08に情報(例えば、プロビジョニングステータス)を供給することができ、配信機器1
08は、その情報をDAMS110および/またはプロビジョニングコントローラ120
に安全に通信する。いくつかの実施形態では、テスタ107は、配信機器108と機器1
06aとの間でデータを安全にトランスポートするソフトウェアトランスポートレイヤセ
キュリティ(TLS)エージェントを含むことができ、これは実際には、各機器106a
に関連付けられた一時鍵を使用して、配信機器108およびテスタ107を介してDAM
S110と機器106aとの間に安全な暗号化通信経路を作成する。
【0043】
それが最初にプロビジョニングされた後、製造業者105は機器106aを設置業者1
30に出荷し、設置業者130は機器106bを設置する。様々な実施形態では、最初の
プロビジョニングの前に、機器106aは機能しておらず、製造業者105による最初の
プロビジョニングの後に、機器106aは、部分的に機能することはできるが、まだ完全
には機能していない。そのような実施形態では、最初のプロビジョニングは、設置および
さらなる最後のプロビジョニングのために必要とされる程度までだけ機器を機能的にし、
それは完全に動作可能にするために必要とされる。
【0044】
設置業者130は、機器106bをその動作環境内に設置し、設置業者130のスタッ
フメンバー132は、設置業者ポータル116を介してその事実をプロビジョニングコン
トローラ120に通知する。この通知は、設置が正しく完了したことを証明するものであ
り、プロビジョニングコントローラ120に対して機器106bを一意に識別する情報を
含むことが好ましい。いくつかの実施形態では、配信機器131は、ステータスおよび識
別情報について機器106bに照会した後に、プロビジョニングコントローラ120に自
動的に通知することができる。設置業者130が設置業者ポータル116を介して自分が
機器106bを適切に設置したことを証明する様々な実施形態では、この証明はプロビジ
ョニングコントローラ120によってデータベース125に記録/保存されてもよい。証
明は、無線送信電力測定またはGPSアンテナ位置の検証などの、各々の特定の設置され
た機器106bに関連する特定の試験データを含み得る。
【0045】
設置通知に応答して、プロビジョニングコントローラ120は、(i)製造業者105
によって合法的に製造された機器として機器106bがそのデータベース125内にリス
トされていること、(ii)製造業者105によって最初に首尾よくプロビジョニングさ
れたとして機器106bがそのデータベース125内にリストされていること、および(
iii)設置業者130がそのデータベース125内に認可された設置業者としてリスト
されていることを検証する。この検証が成功した場合、コントローラ120は、機器10
6bがその動作環境内に設置されたとき適切に機能することができるように、DAMS1
10にデジタル資産(例えば、偽名証明書(PC))および/または機器106bを動作
可能にプロビジョニングするのに必要な他の情報を送信するように指示する。
【0046】
様々な実施形態では、レギュレータポータル117を介してレギュレータ140はプロ
ビジョニングコントローラ120と対話して、設置業者130および/または製造業者1
05を識別、検証、および管理し、無認可の設置業者(例えば、ハッカー)がシステム1
00からの本物のデジタル資産を取得できないようにする。レギュレータ140のスタッ
フメンバーは、プロビジョニングコントローラ120によって認証されることができ、シ
ステム100との一意のIDを有することができるので、それらのアクションは一意に記
録することができる。様々な実施形態では、レギュレータ140は、レギュレータポータ
ル117を使用してプロビジョニングコントローラ120に問い合わせて、検証レポート
、設置業者のアクション、製造された機器106aの数および識別情報、設置済みの完全
にプロビジョニングされた機器106bの数および識別情報などのコントローラ120に
よって記録された情報のコピーおよびレポートを取得することができる。
【0047】
様々な実施形態では、設置業者130は、システム100と対話するために、プロビジ
ョニングコントローラ120によって認可されたものとして認証されなければならない。
認可されるために、設置業者130は、例えば、ターゲット環境(例えば、ターゲット車
両またはサイトなど)に機器106bを適切に設置することを記載した適切な契約文書を
締結しなければならない場合がある。設置業者130は、例えば、レギュレータ140に
よる他の契約上の要素を証明することを要求されてもよい。好ましくは、各設置業者13
0は、そのアクションがプロビジョニングコントローラ120によって一意に記録され得
るように、システム100内に一意のIDを有する。
【0048】
システム100およびその機能の記載された実施形態は、製造業者105によって製造
され、認可された設置業者130によって適切に設置および試験された機器106のみが
、機器106を動作可能にするために必要なデジタル資産で完全にプロビジョニングされ
ることを保証する。プロビジョニングコントローラ120は、プロビジョニングプロセス
の各段階で誰がどのような行動を取ったかについての広範なログおよびレポートを生成し
、従来のシステムには存在しなかった重要な監査機能を提供する。
【0049】
当業者であれば、
図1に示すコンポーネント、プロセス、データ、動作、および実施形
態の詳細は、説明の簡潔さおよび明瞭さのために提示された例であることを理解するであ
ろう。この例は限定を意図するものではなく、多くの変形が可能であるので、本発明の原
理から逸脱することなく他のコンポーネント、プロセス、実施形態の詳細、および変形を
使用することができる。例えば、
図1には1つの製造業者105だけ、1つの設置業者1
30だけ、および1つのレギュレータ140だけが示されているが、他の実施形態はこれ
らのエンティティのそれぞれをいくつでも有することができる。別の一例では、DAMS
110およびプロビジョニングコントローラ120は別々の機器として示されているが、
他の実施形態はそれらの機能を単一の機器(例えば、単一のサーバ)に組み合わせてもよ
い。さらに別の一例として、ポータル115~117についても同じことが行われ得る。
さらに別の一例では、システム100は、2016年11月14日に出願された参照とし
て援用される米国特許仮出願第62/421,852号に記載されているように、資産管
理機器(AMA、図示せず)をさらに含むことができる。そのような一実施形態では、A
MAは、プロビジョニングコントローラ120および/または配信機器108、131お
よび/またはDAMS110に通信可能に接続され得る。様々な実施形態において、AM
Aは、生産コーディネータが製品(例えば、機器106)の構成および構築を容易かつ効
率的に管理することを可能にし、資産所有者がデジタル資産の在庫を容易かつ効率的に管
理することを可能にするユーザフレンドリーなGUIおよび機能を含むことができる。
【0050】
図2は、本発明の実施形態と一致する、コンピュータ化された機器を安全にプロビジョ
ニングするためのプロセス200の一例を示すスイムレーン図である。様々な実施形態で
は、図示のプロセス200または動作の一部または全部は、(1つ以上のプロセッサまた
は1つ以上のコンピューティングサブシステムを含み得る)汎用コンピューティングシス
テム上で実行するコードによって、ハードウェアのみのシステムによって、またはそれら
2つのハイブリッドであるシステムによって、実行され得る。
図2の上を横切って示され
るように、プロセス200に関与するエンティティは、コンピュータ化された機器106
の製造業者105、製造業者105に配置されている配信機器108、プロビジョニング
コントローラ120、およびDAMS110を含む。様々な実施形態では、これらのエン
ティティは、
図1に関しておよび本開示を通して説明されるようなものであることができ
、そのように互いに通信することができる。
【0051】
図2の例に示すように、プロセス200は、製造業者105(例えば、スタッフメンバ
ー109)が、プロビジョニングコントローラ130からデジタル資産プロビジョニング
サービスを要求する205において開始し、ここでデジタル資産は機器106aにプロビ
ジョニングされ(例えば、機器106aによって使用され)、要求はデジタル資産の宛先
である機器106aを識別することができる。要求は、例えば、製造業者105が新しい
製品106に対するプロビジョニングサービスを要求しているか、または既存の製品16
に対する新しいプロビジョニングサービス要求を行っている可能性がある。様々な実施形
態では、この動作は、認可されたユーザが、例えばユーザポータル115を介してプロビ
ジョニングコントローラ130にログオンすることを含み得る。場合によっては、要求さ
れたデジタル資産は、例えば、登録証明書、機器106が実行する実行可能コード、デジ
タル動作パラメータなどの安全な資格情報である場合がある。登録証明書は、すべての参
加者が有効な登録証明書を共有する必要があり(例えば、USDOTのV2Xエコシステ
ム)、認可された参加者も(例えば、USDOTのV2Xエコシステムの例では、車両と
路側インフラストラクチャとの間の通信および動作を可能にするために)エコシステム内
の機器106の通信および動作を可能にする偽名証明書を受け取ることができるエコシス
テム内の認可された参加者としてその所有者を識別する公開鍵証明書である。
【0052】
210において、プロビジョニングコントローラ120は、製造業者109からのユー
ザが認可されたユーザであるかどうかを判定する。いくつかの実施形態では、プロビジョ
ニングコントローラ120はまた、210において、プロビジョニングされるべき機器1
06a(例えば、製品)がシステム100と共に使用することを認可されているかどうか
を判定することができる。場合によっては、認可された機器のリストが
図1のレギュレー
タ140によって提供され、この決定を行うためにプロビジョニングコントローラ120
によって使用されてもよい。
【0053】
ユーザ(および/または製品)が認可されていない場合、プロビジョニングコントロー
ラ120はデジタル資産プロビジョニングサービス(
図2には図示せず)に対する要求を
拒否する。一方、認可されたユーザが(例えば、認可された製品に対する)要求を行って
いる場合(210、はい)、プロビジョニングコントローラ120は、(例えば、(21
5で)サービス要求命令をDAMS110に送信することによって)サービス要求を満た
すようにDAMS110に指示、命令し、または他の方法でDAMS110を制御する。
【0054】
220において、215からの要求を受信したことに応答して、およびそれを条件とし
て、DAMS110は、その要求に基づいて機器106aへのサービスを開始するように
自身を設定する。いくつかの実施形態では、DAMS110はまた、機器106aにサー
ビスを提供するように配信機器108を設定するように、配信機器108に命令を送信す
ることができる(図示せず)。
【0055】
222において、DAMS110は、205において要求されたように、機器106a
のためのデジタル資産を生成、作成、計算、および/または検索する。様々な実施形態で
は、DAMS110は、公開鍵と秘密鍵のペア、ならびに機器106aのための登録証明
書と偽名証明書などの要求されたデジタルセキュリティ資産を作成または生成することが
できる。
【0056】
動作222の代替の実施形態(
図2には図示されない)では、DAMS110は、機器
106aに関連するデジタル資産生成情報(例えば、機器106aによって生成されたか
、または機器106aから検索された登録および偽名公開鍵ならびに機器106aを一意
に識別するデータ(例えば、マイクロプロセッサのシリアル番号))を配信機器108か
ら要求し、受信する。そのような実施形態では、DAMS110は次に、登録および偽名
公開鍵を使用して、デジタル資産(例えば、機器106aのための登録証明書および適切
な数の偽名証明書)を生成する。
【0057】
225において、DAMS110は、205でデジタル資産サービスを要求した製造業
者105の配信機器108にデジタル資産を送信する。例えば、DAMS110は、公開
鍵と秘密鍵のペア、登録証明書、および偽名証明書を製造業者105の配信機器108に
安全に送信することができる。
【0058】
226において、DAMS110は、デジタル資産に関するログ情報をプロビジョニン
グコントローラ120に送信する。様々な実施形態では、ログ情報は、例えば、要求者の
ID、デジタル資産のID、配信機器のID、要求および送信アクションのタイムスタン
プ、受信したマイクロプロセッサのシリアル番号などのデジタル資産の要求および転送を
記述する情報を含み得る。いくつかの実施形態では、ログ情報はデジタル資産のコピーを
含み得る。227において、プロビジョニングコントローラ120はログ情報を受信し、
例えばデータベース125に格納する。実際には、プロビジョニングコントローラ120
は、システム100内で発生するすべてのアクティビティの監査跡を維持し、これにより
、機器106aが製造業者105によってどのようにそしていつ構築およびプロビジョニ
ングされ得るかに関するデータなど、多くの種類のデータを組み立てることができる。そ
のようなデータおよびログ情報は、請求および監査目的で使用される場合がある。
【0059】
230において、配信機器108は、DAMS110によって送信されたデジタル資産
(例えば、公開鍵と秘密鍵のペア、登録証明書と偽名証明書)を受信して記憶する。
【0060】
235において、配信機器108は、デジタル資産を配信機器108から機器106a
に安全に転送するために使用することができる公開鍵などのデジタルセキュリティ資産を
機器106aに要求して受信する。様々なタイプの機器106aは、おそらく機器106
に内蔵された安全なプロセッサを使用して一時鍵ペアを生成する能力を有し、公開鍵は一
時鍵ペアの一部であり得る。240において、配信機器108は、デジタルセキュリティ
資産(例えば、公開鍵)を使用してデジタル資産(例えば、登録証明書)を安全に機器1
06aに送信する。様々な実施形態では、配信機器108は、例えば、機器106aとの
仮想プライベートネットワーク(VPN)を形成し、その中でデジタル資産を安全に送信
するために、機器106aの公開鍵を使用することができる。
【0061】
様々な実施形態では、配信機器108は、それとテスタ107との間でトランスポート
レイヤーセキュリティ(TLS)を使用して、機器106aに接続され得るテスタ107
との通信を保護することができる。機器106aへの安全な通信を直接行うことが望まし
い実施形態では、システムは、機器106a上で一時公開鍵ペアを作成し、その公開鍵を
配信機器108の公開鍵を含む配信機器108からの証明書と共に使用して、機器106
aへの安全なトンネルを作成することができる。そのような実施形態では、機器106a
は、その中でシステム100のルート公開鍵を用いて特別なコードを実行し、配信機器1
08がそれに送信する証明書を検証する。
【0062】
安全なパスが機器106aまたはテスタ107と配信機器108との間に確立されると
、機器106aは、(例えば、V2Xエコシステムのための)登録および偽名公開鍵ペア
を作成し、公開鍵および他のデータを配信機器108にエクスポートし、配信機器108
はその後、このデータをDAMS110およびプロビジョニングコントローラ120に送
信することができる。動作222の代替実施形態に関して上述したように、DAMS11
0は、受信した公開鍵を使用して登録証明書および偽名証明書を作成することができ、い
くつかの実施形態では、多数(例えば3,000)の偽名証明書があり得る。一実施形態
のこの代替例では、DAMS110は、前述のように、動作225でこれらの証明書を配
信機器108に返す。いくつかの他の実施形態では、DAMS110は、プロビジョニン
グが実行されている場所に応じて、108の代わりにこれらの証明書を配信機器131に
送信することができる。
【0063】
いくつかの実施形態では、例えば、機器106がそれ自体のワイヤレスまたは有線通信
機能を有し、少なくとも部分的に動作可能である場合、配信機器108は機器106と直
接通信することができる。他の実施形態では、配信機器108は、テスタ107などの中
間機器を介して機器106と間接的に通信することができる。
【0064】
機器106aはデジタル資産を受信し、動作中に使用するためにそれを格納する。例え
ば、機器106aが自動車搭載ユニット(OBU)または電子制御ユニット(ECU)で
あり、デジタル資産が無線ネットワークに参加するために必要なセキュリティ資産(例え
ば、公開鍵証明書)である場合、デジタルセキュリティ資産はOBUによって保管される
。OBUが後で車に取り付けられて作動すると、ワイヤレスネットワークへの接続を試み
る。OBUがネットワークに接続することを可能にする前に、ネットワークはOBUの認
証を試みる。OBUは、それが製造業者105において配信機器108によって提供され
たデジタルセキュリティ資産を有する場合にのみ、ネットワークを認証し参加することが
できる。
【0065】
245において、配信機器108は、240で送信されたデジタル資産を機器106a
が正常に受信および設置(例えば、格納)したかどうかを示すステータス情報を機器10
6aから受信またはアクセスする。
【0066】
250において、配信機器108はステータス情報をプロビジョニングコントローラ1
20に送信する。そして、255において、プロビジョニングコントローラ120は、動
作227で格納されたログ情報に関連してステータス情報を受信して格納する。したがっ
て、プロビジョニングコントローラ120は、各々の特定の機器106に関連付けられた
システム100の活動のすべてについて監査跡または監査ログを継続する。様々な実施形
態では、監査ログは、各々の機器106に対して、製造業者のプロビジョニングの失敗の
成功(例えば、動作235~245)、デジタル資産の識別情報(および/またはデジタ
ル資産自体のコピー)、暗号の種類などを示す情報を含むことができる。
【0067】
270において、機器106aがデジタル資産を首尾よくプロビジョニングされた場合
、製造業者105は機器を市場にリリースする。例えば、製造業者105は、機器をその
動作環境に設置する会社(例えば、
図1の設置業者の会社130)に機器106aを物理
的に出荷することができる。いくつかの実施形態では、機器106aは、この時点で完全
にプログラムまたはプロビジョニングされ、完全な機能で動作することが可能であり得る
。一方、他の実施形態では、機器106aはこの時点で部分的にのみプログラムまたはプ
ロビジョニングされてもよく、完全な機能で動作することができないか、または機能しな
い。
【0068】
図2に示す例は、例示の目的のためだけであり、限定することを意図しない。さらに、
図示されたプロセス200は、特定の開示された実施形態と一致する特定の新規かつ革新
的な構成の説明を明確にするために幾分単純化された一例であるが、この例は限定的であ
ることを意図せず、多くの変形が可能である。例えば、機能および動作は特定の順序で実
行されるように示されているが、説明された順序は単なる一例であり、開示された特定の
実施形態と矛盾しない様々な異なる動作シーケンスを実行することができる。さらに、動
作は、単に説明の目的のために別々のステップとして説明され、いくつかの実施形態では
、複数の動作が、同時に、および/または単一の計算もしくはより大きな動作の一部とし
て、実行され得る。説明された動作は、網羅的、限定的、または絶対的であることを意図
されておらず、様々な動作は修正、挿入、または削除することができる。変形の一例とし
て、
図2は概して単一のデジタル資産(例えば、単一のデジタル証明書)の文脈で説明さ
れているが、システムおよびプロセスは複数のデジタル資産(例えば、2つ以上のデジタ
ル証明書)を処理するために同様に機能する。別の一例として、機器106aが安全な通
信機能を有さない場合、動作235および240を削除することができ、配信機器108
は暗号化されていない通信を使用して機器106bと通信することができる。
【0069】
さらに別の一例として、様々な実施形態では、プロビジョニングコントローラ120、
または専用の署名機器などの委任局が、同様に配信機器108に送信し、ソフトウェア、
ファームウェア、ヒューズBLOB、マニフェストファイルなどのデジタル資産を含む別
のまたは追加のデジタル資産を機器106bにロードさせることができる。そのような実
施形態では、プロビジョニングコントローラ120は、追加的にまたは代替的に、要求さ
れたデジタル資産をストレージから検索、取得、または他の方法でアクセス、またはアク
セスを指示することができる。例えば(
図2には図示せず)、プロビジョニングコントロ
ーラ120またはその認可された委任先は、機器106aにロードされて実行される実行
可能ソフトウェアイメージ(例えば、データベース125に格納されたコンパイル済みコ
ンピュータプログラム)を検索し、実行可能ソフトウェアイメージを機器内へプログラミ
ングするために配信機器10に送信することができる。様々な実施形態では、プロビジョ
ニングコントローラ120によってアクセスされるデジタル資産は、不正なソフトウェア
を機器106a内にロードすることができないように、機器106aの製造業者105に
よって安全に供給、リリース、および/または認可されたソフトウェアなどのみからなる
ことができる。いくつかの実施形態では、プロビジョニングコントローラ120によって
検索されたデジタル資産は、
図1のデータベース125など、プロビジョニングコントロ
ーラ120に関連付けられているストレージ機器またはデータベース内に格納することが
できる。
【0070】
図3は、本発明の実施形態と一致する、コンピュータ化された機器を安全にプロビジョ
ニングするためのプロセス200の一例を示すスイムレーン図である。様々な実施形態で
は、(1つ以上のプロセッサまたは1つ以上のコンピューティングサブシステムを含むこ
とができる)汎用コンピューティングシステム上で実行するコードによって、ハードウェ
アのみのシステムによって、またはそれら2つのハイブリッドであるシステムによって、
プロセス300または図示の動作の一部またはすべてを実行することができる。
図3の上
を横切って示されるように、プロセス300に関与するエンティティは、コンピュータ化
された機器106の設置業者130、設置業者130に配置されている配信機器131、
プロビジョニングコントローラ120、およびDAMS110を含む。様々な実施形態で
は、これらのエンティティは、
図1に関しておよび本開示を通して説明されるようなもの
であることができ、そのように互いに通信することができる。
【0071】
図3の例に示すように、プロセス300は、製造業者105によって製造およびリリー
スまたは出荷された機器106b(例えば、OBUまたはECU)を設置業者130が受
け取る305で始まる(
図2の動作270を参照)。310において、設置業者130は
、より大きなシステムなど、その動作環境に機器106bを設置することができる。例え
ば、設置業者130は、製造業者105からOBUを購入する自動車メーカーとすること
ができ、設置業者130は、自動車にOBUを設置することができる。様々な実施形態で
は、機器106bを設置することは、設置後に機器106bの動作、機能などをテストす
ること、および関連するステータスデータを収集することを含むことができる。
【0072】
いくつかの実施形態では、機器106bは、部分的にのみプロビジョニングされ、完全
に機能的ではない場合がある。例えば、機器106bの製造業者105は、機器106b
が完全な機能性(例えば、別の完全にプログラムされた機器106と通信する機能性)を
得るために別のデジタル証明書(例えば、偽名証明書)を用いてさらにプロビジョニング
される必要があるように、機器106bを登録証明書のみによってプロビジョニングして
もよい。
【0073】
315において、設置業者130(例えば、スタッフメンバー132)は、設置ステー
タスデータをプロビジョニングコントローラ120に送信する。様々な実施形態では、設
置ステータスデータは、設置された機器の不変の識別子(例えば、一度生成されて消去さ
れることがない鍵ペアからの公開鍵などのシリアル番号または他の固定の一意の識別情報
)を含む。設置ステータスデータはまた、設置業者130の一意の識別子、機器106b
がいつどのように設置されたかを示す情報、設置された機器106bで行われたテストの
結果に関する情報、設置業者130が適用可能な仕様、契約上の要件、および/または指
示、および/または他の同様の情報に従って、機器106bを設置したことを証明する情
報などの他の情報を含むことができる。
【0074】
320において、プロビジョニングコントローラ120は、設置業者130からのユー
ザが認可されたユーザであるかどうかを判定する。そうでない場合、プロビジョニングコ
ントローラ120は、設置ステータス通信を拒絶する(
図3には図示せず)。一方、認可
されたユーザが要求を出している場合(320、はい)、プロビジョニングコントローラ
120は、設置ステータスデータで識別された機器106bが認可された機器であるかど
うかを判定する(325)。いくつかの実施形態では、プロビジョニングコントローラ1
20は、1)機器106bに対する記録がそのデータベース125内に存在し、2)その
記録は、機器106bが製造業者105にうまくプロビジョニングされたことを示し、3
)その記録は、機器106bが(320において認可された設置業者であると検証された
)設置業者130に送信されたことを示す、以前に格納された情報に対してそのデータベ
ース125を検証することによって、機器106bが認可されていると判断することがで
きる。
【0075】
設置ステータスデータで識別された機器が認可されていない場合、プロビジョニングコ
ントローラ120は設置ステータス通信を拒否する(
図3には図示されない)。一方、設
置ステータスデータで識別された機器106bが認可されている場合(325、はい)、
プロビジョニングコントローラ120は、330において、設置ステータスデータを機器
106bに関連付けられたログ情報と共に格納する。例えば、機器106bに関連付けら
れたログ情報は、
図2の動作227に関して説明したようにデータベース125に以前に
格納されていてもよい。
【0076】
335において、プロビジョニングコントローラ120は、(例えば、設置業者130
にある機器106bをプロビジョニングする要求をDAMS110に送信することによっ
て)プロビジョニング要求を満たすようにDAMS110に指示、命令し、または他の方
法でDAMS110を制御する。340において、335からの要求を受信したことに応
答して、およびそれを条件として、DAMS110は、335において要求されたデジタ
ル資産を生成および/または検索する。様々な実施形態では、DAMS110は、
図2に
関して説明したように、偽名証明書または他の公開鍵証明書などの要求されたデジタル資
産を作成または生成することができる。様々な実施形態では、DAMS110、またはD
AM110の代わりにプロビジョニングコントローラ120は、追加または代替として、
機器106bの種類の機器での使用のためにデータベース125に以前に格納された実行
可能イメージなどのストレージから要求されたデジタル資産を検索、取得、またはさもな
ければアクセスすることができる。
【0077】
345において、DAMS110は、315において設置ステータスを送信した設置業
者130の配信機器131にデジタル資産を送信する。例えば、DAMS110は、偽名
証明書を設置業者130の配信機器131に安全に送信することができる。
【0078】
350において、配信機器131は、
図2に関して説明したように、動作230~24
5と同じまたは類似の動作を実行する。355において、配信機器131は、ステータス
情報をプロビジョニングコントローラ120に送信する。そして、360において、プロ
ビジョニングコントローラ120は、動作227で格納されたステータス情報などの機器
106bに関連して以前に格納された情報に関連したステータス情報を受信して格納する
。したがって、プロビジョニングコントローラ120は、各々の特定の機器106に関連
付けられたシステム100の活動のすべてについて監査跡または監査ログを継続する。
【0079】
図3に示されるプロセス300は、例示の目的のための一例であり、限定することを意
図しない。さらに、図示のプロセス300は、開示された特定の実施形態と一致する特定
の新規かつ革新的な構成の説明を明確にするために幾分単純化された一例であるが、多く
の変形が可能である。例えば、機能および動作は特定の順序で実行されるように示されて
いるが、説明された順序は単なる一例であり、開示された特定の実施形態と矛盾しない様
々な異なる動作シーケンスを実行することができる。さらに、動作は、単に説明の目的の
ために別々のステップとして説明され、いくつかの実施形態では、複数の動作が、同時に
、および/または単一の計算もしくはより大きな動作の一部として、実行され得る。説明
された動作は、網羅的、限定的、または絶対的であることを意図されておらず、様々な動
作は修正、挿入、または削除することができる。
【0080】
図4Aおよび
図4Bは共に、本発明の実施形態に係る、スケーラブルで安全なデジタル
資産管理システムを実装するためのシステム400の一例のブロック図である。システム
400の様々な実施形態は、極めて大量の機器トランザクションおよび証明書生成処理に
使用することができる。様々な実施形態では、システム400は、複数のサーバ、ハード
ウェアセキュリティモジュール、複数の計算エンジンまたはコンピューティングエンジン
、および複数の仮想マシン(VM)を使用して実装することができる。システム400の
例は、プライベートデータセンター、クラウドデータセンター(例えば、AWS)、また
はプライベートデータセンターとクラウドデータセンターとのハイブリッドで実装するこ
とができる。
【0081】
様々な実施形態では、システム400は、
図1および本開示の他のセクションに関して
説明したように機能し得るデジタル資産管理システム(DAMS)110とすることがで
きるか、その一部とすることができるか、またはそれと対話することができる。
【0082】
図4の例に示すように、このアーキテクチャは、(好ましくは別々のサーバに実装され
る)2つのプロビジョニングコントローラ120(すなわち、プライマリおよびスタンバ
イ)を含むことができる。2つのプロビジョニングコントローラ120は、プライマリプ
ロビジョニングコントローラに含まれるオブジェクト、データなどがコピーされるか、さ
もなればスタンバイ(セカンダリ)プロビジョニングコントローラに含まれるような機能
を含む。プライマリプロビジョニングコントローラが何らかの理由でオフラインになった
場合は、スタンバイプロビジョニングコントローラをオンラインにしてプライマリプロビ
ジョニングコントローラに取って代わることができる。これは、プロビジョニングコント
ローラ120の連続的な(または非常に高い)可用性を提供する。様々な実施形態では、
プライマリプロビジョニングコントローラおよびスタンバイプロビジョニングコントロー
ラは、
図1および本開示の他のセクションに関して説明した通りとすることができる。様
々な実施形態では、プロビジョニングコントローラ120は、
図1のプロビジョニングコ
ントローラ120とDAMS110との間の接続および通信に関して本明細書で説明した
のと同じまたは類似の方法でシステム400に接続することができる。一般的に、プロビ
ジョニングコントローラ120は、明示的に認可された要素だけが参加してシステム40
0と対話できるように、インフラストラクチャを構成するシステム要素を管理する。様々
な実施形態では、プロビジョニングコントローラ120は、ユーザ(例えば、製造業者1
05または設置業者130)の従業員識別および認可システムと統合することができ、あ
るいは認可されたユーザのみがシステム400を使用できるように識別および認可のため
の独自の機能を提供することができる。
【0083】
システム400のアーキテクチャは、セキュリティ関連ではないアプリケーションをセ
キュリティ機能から分離する。この例に示すように、登録局420、認証局430、44
0、および連携局450、460は、それら自身の専用計算エンジン425、435、4
45、555、465上で実行されるそれら自身の仮想マシン上のアプリケーションとし
て実装され、これらはすべて、セキュリティ関連以外のアプリケーションおよび機能とは
分離している。これは、ハードウェアセキュリティモジュールの性能が遅い、またはクラ
ウドサービスプロバイダがHSMを供給することができない、またはHSMの適切な管理
が不確実である、従来のシステムに対する技術的およびセキュリティ上の利点および改善
の両方を提供する。
図4に示すように、重要なセキュリティ機能を互いに、別々の計算エ
ンジンに分離することによって、例えば、登録局420、認証局430、440、および
連携局450、460によって実行されるような、計算集約型の暗号およびセキュリティ
機能(例えば、楕円曲線バタフライ拡張演算または楕円曲線デジタル署名)が、既存の登
録局システムよりもかなり速く実行される。この設計により、「ボトルネック」アプリケ
ーションを必要に応じて拡張できるため、トランザクション処理を大幅に改善できる。例
えば、405および420で実行されている登録局アプリケーションを拡張する必要があ
る場合は、425の安全な計算機能に変更を加えることなく、追加のVMを追加できる。
あるいはまた、セキュリティ計算が性能を制限している場合、追加の安全な計算エンジン
425を追加することができる。これと同じ多次元スケーリングは、400の他のコンポ
ーネントにも当てはまる。この機能により、他の既存のSCMSシステムよりも大幅にパ
フォーマンスが向上する。
【0084】
様々な実施形態では、登録局405は、デジタル証明書または他の種類のデジタルセキ
ュリティ資産に対するユーザ要求を検証するプロビジョニングネットワーク内の局とする
ことができ、認証局(例えば、認証局430、440)がデジタル証明書を発行すること
を可能にし得る。様々な実施形態では、登録局405は、公開鍵インフラストラクチャ(
PKI)システムで知られている登録局と同様とすることができる。様々な実施形態では
、登録局405は、Representational State Transfer
(REST)ウェブサービスとして実装することができる。登録局405に関して
図4に
示される3つの「積み重ねられた」長方形によって表されるように、様々な実施形態にお
いて、同時に実行する登録局405の複数のインスタンスが存在してもよい。これは、図
4の他の「積み重ねられた」要素についても同様に表される。
【0085】
矩形の左下に現れる「DB」矢印によって表されるように、登録局405(および「D
B」矢印で示される
図4の他のコンポーネント)は、データベース470に接続すること
ができる。好ましい実施形態では、データベース470は高速アクセス、低待ち時間デー
タベースである。いくつかの実施形態では、データベース470は、NoSQLデータベ
ースまたはデータベースサービス(例えば、Amazonウェブサービスによって提供さ
れるDynamoDBデータサービス)とすることができる。様々な実施形態では、デー
タベース410に格納されたデータはアプリケーションに依存するが、過去に発行された
証明書、様々な連携局値、証明書が発行された機器に関するデータ、オペレータアクショ
ンなどを含み得る。データは、暗号化されていないか、暗号化されているか、またはそれ
らの何らかの組み合わせで格納されてもよいことに留意されたい。
【0086】
図4に示す例では、登録局405は他のコンポーネントに接続され、他のコンポーネン
トはボックス410によって表されるメッセージングサブシステムまたはサービスによっ
て互いに接続される。いくつかの実施形態では、メッセージングサービス410は、Am
azonウェブサービスによって提供されるAmazon単純キューサービス(SQS)
などの高速メッセージキューイングサービスとすることができる。
【0087】
様々な実施形態では、システム400は、登録局405によって生成されたデジタル証
明書が異なるセグメント(例えば、登録デジタル証明書と偽名デジタル証明書)に分割さ
れるので、登録認証局430と偽名認証局440を含む。
【0088】
様々な実施形態では、連携局450、460は、失効の目的で、証明書要求者の識別情
報(すなわち、証明書要求者の機器の一意の識別子)を発行された偽名証明書にリンクさ
せる。
【0089】
様々な実施形態では、計算エンジン425、435、445、455、および465な
らびにプロビジョニングコントローラ120は、ハッカーから過度に脅かされることなく
これらのコンポーネントが安全な計算を実行することを可能にするHSMを含む。いくつ
かの実施形態では、計算エンジン425、435、445、455、および465は、組
込み型HSMを必要とせずに安全な計算自体を実行するように設計することができ、その
ような実施形態では、それらはHSMを具現化する。
【0090】
当業者であれば、
図4に示すコンポーネント、プロセス、データ、動作、および実装の
詳細は、説明を簡潔かつ明確にするために提示された例であることを理解するであろう。
この例は限定を意図するものではなく、多くの変形が可能であるので、本発明の原理から
逸脱することなく他のコンポーネント、プロセス、実施形態の詳細、および変形を使用す
ることができる。
【0091】
図5は、本発明の実施形態と一致するシステムおよび方法を実装するために使用するこ
とができるコンピューティングシステム500を含む、コンピューティング環境501の
一例のブロック図である。他のコンポーネントおよび/または配置もまた使用することが
できる。いくつかの実施形態では、コンピューティングシステム500を使用して、少な
くとも部分的に
図1~
図3の様々なコンポーネント(例えば、とりわけ、プロビジョニン
グコントローラ120およびDAMS110)を実装することができる。いくつかの実施
形態では、コンピューティングシステム500と同様の一連のコンピューティングシステ
ムは、それぞれ、専用ハードウェアでカスタマイズされ、および/または
図1~
図3のコ
ンポーネントのうちの1つを実装するための専用サーバとしてプログラムすることができ
、ネットワーク535を介して互いに通信することができる。
【0092】
図5に示す例では、コンピューティングシステム500は、中央処理装置(CPU)5
05、メモリ510、入出力(I/O)機器525、ハードウェアセキュリティモジュー
ル(HSM)540、および不揮発性ストレージデバイス520などの多くのコンポーネ
ントを含む。システム500は様々な方法で実施することができる。例えば、(サーバ、
ワークステーション、パーソナルコンピュータ、ラップトップなどの)統合プラットフォ
ームとしての実装は、CPU505、メモリ510、不揮発性ストレージ520、および
I/O機器525を含むことができる。そのような構成では、コンポーネント505、5
10、520、および525は、ローカルデータバスを介して接続および通信することが
でき、外部I/O接続を介して(例えば、別個のデータベースシステムとして実装される
)データリポジトリ530にアクセスすることができる。I/Oコンポーネント525は
、ローカルエリアネットワーク(LAN)またはワイドエリアネットワーク(WAN、例
えば、携帯電話ネットワークまたはインターネット)などのネットワークを介して、およ
び/または他の適切な接続を介して、直接通信リンク(例えば、有線またはローカルのW
iFi接続)を介して外部機器に接続することができる。システム500はスタンドアロ
ンでもよいし、またはより大きなシステムのサブシステムでもよい。
【0093】
CPU505は、カリフォルニア州サンタクララのインテル(登録商標)コーポレーシ
ョンによって製造されたCore(登録商標)ファミリーのマイクロプロセッサ、または
カリフォルニア州サニーベールのAMD(登録商標)コーポレーションによって製造され
たAthlon(登録商標)ファミリーのマイクロプロセッサなどの1つ以上の既知のプ
ロセッサまたは処理デバイスとすることができる。メモリ510は、本発明の実施形態に
関連する特定の機能、方法、およびプロセスを実行するためにCPU505によって実行
または使用される命令および情報を格納するように構成された1つ以上の高速記憶デバイ
スとすることができる。ストレージ520は、揮発性または不揮発性、磁気、半導体、テ
ープ、光学、または他の種類のストレージデバイス、またはCDおよびDVDなどのデバ
イスを含むコンピュータ可読媒体、および長期記憶を意図したソリッドステートデバイス
とすることができる。
【0094】
図示の実施形態では、メモリ510は、CPU505によって実行されたときに、本発
明と一致する様々な動作、手順、プロセス、または方法を実行する、ストレージ520か
らまたはリモートシステム(図示せず)からロードされた1つ以上のプログラムまたはア
プリケーション515を含む。あるいはまた、CPU505は、システム500から遠隔
に位置する1つ以上のプログラムを実行することができる。例えば、システム500は、
実行時に本発明の実施形態に関連する機能およびプロセスを実行する、ネットワーク53
5を介して1つ以上のリモートプログラムにアクセスすることができる。
【0095】
一実施形態では、メモリ510は、プロビジョニングコントローラ120、DAMS1
10、および/または配信機器108、131について本明細書で説明されている特殊な
機能および動作を実行するためのプログラム515を含むことができる。いくつかの実施
形態では、メモリ510は、本発明に補助機能を提供する他の方法およびプロセスを実装
する他のプログラムまたはアプリケーションも含むことができる。
【0096】
メモリ510はまた、本発明とは無関係の他のプログラム(図示せず)および/または
CPU505によって実行されると当該技術分野で周知のいくつかの機能を実行するオペ
レーティングシステム(図示せず)で構成することもできる。例として、オペレーティン
グシステムは、Microsoft Windows(登録商標)、Unix(登録商標
)、Linux(登録商標)、Apple Computers(登録商標)オペレーテ
ィングシステム、または他のオペレーティングシステムとすることができる。オペレーテ
ィングシステムの選択、さらにはオペレーティングシステムの使用にとっても、本発明に
とって重要ではない。
【0097】
HSM540は、デジタルセキュリティ資産を安全に生成および格納し、および/また
は様々な暗号および機密計算を安全に実行する、それ自身のプロセッサを有する機器とす
ることができる。HSM540は、暗号鍵などのデジタルセキュリティ資産とその他の機
密データを可能性のある攻撃者によるアクセスから保護する。いくつかの実施形態では、
HSMは、コンピューティングシステム500に直接取り付けられたプラグインカードま
たはボードとすることができる。
【0098】
I/O機器525は、システム500によってデータを受信および/または送信するこ
とを可能にする1つ以上の入出力機器を含むことができる。例えば、I/O機器525は
、データがユーザから入力されることを可能にする(例えば、キーボード、タッチスクリ
ーン、マウスなどの)1つ以上の入力機器を含むことができる。さらに、I/O機器52
5は、データを出力するまたはユーザに提示することを可能にする(例えば、ディスプレ
イスクリーン、CRTモニタ、LCDモニタ、プラズマディスプレイ、プリンタ、スピー
カ装置などの)1つ以上の出力装置を含むことができる。I/O機器525はまた、コン
ピューティングシステム500が他のマシンおよび機器と(例えば、デジタルで)通信す
ることを可能にする1つ以上のデジタルおよび/またはアナログ通信入出力機器を含むこ
とができる。他の構成および/またはいくつかの入力機器および/または出力機器をI/
O機器525に組み込むことができる。
【0099】
図示の実施形態では、システム500はネットワーク535(例えば、インターネット
、プライベートネットワーク、仮想プライベートネットワーク、携帯電話ネットワーク、
または他のネットワーク、あるいはこれらの組み合わせ)に接続され、ネットワーク53
5は次いで、様々なシステムおよびコンピューティングマシン(例えば、サーバ、パーソ
ナルコンピュータ、ラップトップコンピュータ、クライアント機器など)に接続すること
ができる。一般的に、システム500は、ネットワーク535を介して外部のマシンおよ
び機器からデータを入力し、外部のマシンおよび機器にデータを出力することができる。
【0100】
図5に示す例示的な実施形態では、データソース530は、システム500の外部にあ
るスタンドアロンデータベース(例えば、データベース125)である。他の実施形態で
は、データソース530は、システム500によってホストされ得る。様々な実施形態で
は、データソース530は、本発明と一致したシステムおよび方法を実施するために使用
されるデータを管理および格納することができる。例えば、データソース530は、シス
テム100によってプロビジョニングされた各々の機器106のステータスおよびログ情
報などを含むデータ構造を管理および格納することができる。
【0101】
データソース530は、情報を記憶し、システム500を通じてアクセスおよび/また
は管理される1つ以上のデータベースを含むことができる。例として、データベース53
0は、Oracle(登録商標)データベース、Sybase(登録商標)データベース
、または他のリレーショナルデータベースとすることができる。しかしながら、本発明に
よるシステムおよび方法は、別々のデータ構造またはデータベースに、あるいはデータベ
ースまたはデータ構造の使用にさえ限定されない。
【0102】
当業者であれば、
図5のシステムのコンポーネントおよび実施形態の詳細は、説明を簡
潔かつ明確にするために提示された例であることを理解するであろう。他のコンポーネン
トおよび実施形態の詳細が使用されてもよい。
【0103】
前述の例は、説明を明確にするために、OBU、ECU、およびRSUなどのコンピュ
ータ化された機器の特定の例を使用しているが、本発明はそれらの特定の例に限定されな
い。本発明と一致する様々な実施形態は、とりわけ、医療機器(例えば、透析機、注入ポ
ンプなど)、ロボット、ドローン、自律走行車、無線通信モジュール(例えば、埋め込み
型ユニバーサル集積回路カード(eUICC))などの多種多様なコンピュータ化された
機器と共に、およびそれらのために使用することができる。
【0104】
本発明の他の実施形態は、本明細書の考察および本明細書に開示された本発明の実施か
ら当業者には明らかであろう。明細書および実施例は例示としてのみ考慮されることを意
図しており、本発明の真の範囲は以下の特許請求の範囲によって示される。