IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ザ セクレタリー オブ ステイト フォー フォーリン コモンウェルス アンド デヴェロップメント アフェアーズ アクティング スルー ザ ガバメント コミュニケーション ヘッドクォーターズ

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ザ セクレタリー オブ ステイト フォー フォーリン コモンウェルス アンド デヴェロップメント アフェアーズ アクティング スルー ザ ガバメント コミュニケーション ヘッドクォーターズの特許一覧

特表2023-534307複数のネットワーク境界におけるペイロード保証
<>
  • 特表-複数のネットワーク境界におけるペイロード保証 図1
  • 特表-複数のネットワーク境界におけるペイロード保証 図2
  • 特表-複数のネットワーク境界におけるペイロード保証 図3
  • 特表-複数のネットワーク境界におけるペイロード保証 図4
  • 特表-複数のネットワーク境界におけるペイロード保証 図5
  • 特表-複数のネットワーク境界におけるペイロード保証 図6
  • 特表-複数のネットワーク境界におけるペイロード保証 図7
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-08-08
(54)【発明の名称】複数のネットワーク境界におけるペイロード保証
(51)【国際特許分類】
   G06F 21/64 20130101AFI20230801BHJP
   H04L 69/00 20220101ALI20230801BHJP
【FI】
G06F21/64
H04L69/00
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023503203
(86)(22)【出願日】2021-07-15
(85)【翻訳文提出日】2023-03-13
(86)【国際出願番号】 GB2021000084
(87)【国際公開番号】W WO2022013517
(87)【国際公開日】2022-01-20
(31)【優先権主張番号】2010968.2
(32)【優先日】2020-07-16
(33)【優先権主張国・地域又は機関】GB
(31)【優先権主張番号】2012712.2
(32)【優先日】2020-08-14
(33)【優先権主張国・地域又は機関】GB
(81)【指定国・地域】
(71)【出願人】
【識別番号】523017420
【氏名又は名称】ザ セクレタリー オブ ステイト フォー フォーリン コモンウェルス アンド デヴェロップメント アフェアーズ アクティング スルー ザ ガバメント コミュニケーション ヘッドクォーターズ
(74)【代理人】
【識別番号】100094569
【弁理士】
【氏名又は名称】田中 伸一郎
(74)【代理人】
【識別番号】100103610
【弁理士】
【氏名又は名称】▲吉▼田 和彦
(74)【代理人】
【識別番号】100109070
【弁理士】
【氏名又は名称】須田 洋之
(74)【代理人】
【識別番号】100067013
【弁理士】
【氏名又は名称】大塚 文昭
(74)【代理人】
【識別番号】100109335
【弁理士】
【氏名又は名称】上杉 浩
(74)【代理人】
【識別番号】100120525
【弁理士】
【氏名又は名称】近藤 直樹
(74)【代理人】
【識別番号】100139712
【弁理士】
【氏名又は名称】那須 威夫
(74)【代理人】
【識別番号】100141553
【弁理士】
【氏名又は名称】鈴木 信彦
(72)【発明者】
【氏名】マッコームズ ポール トーマス
(72)【発明者】
【氏名】ソープ ジョン アラン
(57)【要約】
それぞれが専用の恒久的アイデンティティ情報を有するグループ化された複数の所定の境界制御装置のいずれかを介してネットワーク境界を越えて転送すべきペイロードのためのペイロード保証方法及び装置。第1の電子エンティティは、ペイロードの特性を定める電子認可トークンを提供し、境界制御グループ内の各境界制御装置の恒久的アイデンティティ情報及び認可トークンに依存して一時的IDアレイが決定される。一時的IDアレイ認可トークンに従って、定められた境界制御グループ内に提供された境界制御装置との使用のために有効な、第2の電子エンティティに転送すべき電子解放トークンが生成される。
【選択図】 図1
【特許請求の範囲】
【請求項1】
複数の所定の境界制御装置のいずれかを介してネットワーク境界を越えて転送すべきペイロードXのためのペイロード保証方法であって、
第1の電子エンティティにおいて、要求時に、
転送すべき前記ペイロードXの特性を定める電子認可トークンを提供することと、
それぞれに関連する専用の恒久的アイデンティティ情報を有する少なくとも2つの境界制御装置を含む、ネットワーク境界に位置する境界制御グループを定めることと、
前記境界制御グループ内の各境界制御装置の前記恒久的アイデンティティ情報及び前記認可トークンに従って一時的IDアレイを決定することと、
前記一時的IDアレイ及び前記認可トークンに従って、前記定められた境界制御グループ内の前記境界制御装置との使用のために有効な、第2の電子エンティティに転送すべき電子解放トークンを生成することと、
を含むことを特徴とする方法。
【請求項2】
前記方法は、同じペイロード特性を認可する複数の電子認可トークンが一意であることを保証するための、前記電子認可トークンの一部を形成する少なくとも1つのエントロピー要素を生成することをさらに含む、
請求項1に記載のペイロードXのためのペイロード保証方法。
【請求項3】
前記解放トークンは、前記解放トークンの有効期間中に1又は2以上のペイロード転送認可要求に適用される、
請求項1又は請求項2に記載のペイロードXのためのペイロード保証方法。
【請求項4】
前記解放トークンの有効期間は、前記第1の電子エンティティによって前記認可トークン内に定められた所定の期間に依存する、
請求項3に記載のペイロードXのためのペイロード保証方法。
【請求項5】
前記第2の電子エンティティは、前記解放トークンを受け取ってペイロード転送を要求されると、一時的アレイに依存する前記ゲートウェイグループ内の各境界制御装置のファイルトークンと、前記第1のエンティティによって遠隔的に定められたパラメータを含むローカルトークンと、転送すべき前記ペイロードXのハッシュダイジェストとを作成して、ファイルトークンのアレイ{Ft}を提供する、
請求項1から4のいずれかに記載のペイロードXのためのペイロード保証方法。
【請求項6】
前記ハッシュダイジェストは、前記ペイロードXが前記ペイロード転送要求の一部として前記第2のエンティティによって受け取られる前に前記ペイロードXを一方向性関数に通すことによって提供される、
請求項5に記載のペイロードXのためのペイロード保証方法。
【請求項7】
前記ローカルトークンはエントロピー要素を含む、
請求項5又は請求項6に記載のペイロードXのためのペイロード保証方法。
【請求項8】
前記ローカルトークンパラメータのうちの少なくとも1つは、前記ネットワーク境界を越えるペイロード転送のための所望のペイロードパラメータを検証する第3の電子エンティティによって提供される、
請求項5から7のいずれかに記載のペイロードXのためのペイロード保証方法。
【請求項9】
ペイロード送信者エンティティとして、かつ前記境界制御グループの前記境界制御装置と接触する唯一の電子エンティティとして機能する第4の電子エンティティが、前記ローカルトークンパラメータのうちの少なくとも1つを定める、
請求項8に記載のペイロードXのためのペイロード保証方法。
【請求項10】
前記第3の電子エンティティは、前記ペイロード転送要求の受信時に提供される所定のルール及び/又は意図されるペイロード転送先に照らして前記ペイロードを検証し、前記ローカルトークンに含めるための前記検証のエビデンスオブジェクトを提供する、
請求項8又は9に記載のペイロードXのためのペイロード保証方法。
【請求項11】
前記第2のエンティティは、その後に前記認可トークン、前記ローカルトークン、前記ファイルトークンアレイ及び前記ペイロードの前記ハッシュダイジェストに依存してペイロードヘッダを生成するように構成される、
請求項5から10のいずれかに記載のペイロードXのためのペイロード保証方法。
【請求項12】
前記ペイロードヘッダは、前記ペイロードXが前記第4のエンティティによって前記境界制御グループ内の1又は2以上の境界制御装置に転送される前に前記ペイロードXの先頭に付加される、
請求項11に記載のペイロードXのためのペイロード保証方法。
【請求項13】
前記境界制御装置は、ペイロードヘッダEを有する前記ペイロードの少なくとも一部が境界制御装置に到達すると、前記境界制御装置の恒久的ID情報及び前記ヘッダからの前記認可トークンを使用してセッションID(Sigを再生成する、
請求項12に記載のペイロードXのためのペイロード保証方法。
【請求項14】
前記境界制御装置において、前記セッションIDが前記ヘッダ内のパラメータと共に使用されてファイルトークンFt’が計算される、
請求項13に記載のペイロードXのためのペイロード保証方法。
【請求項15】
前記ヘッダからのFt’=#(#(X),L,J,HMAC(KG’,A))であり、前記セッションIDはHMAC(KG’,A)である、
請求項14に記載のペイロードXのためのペイロード保証方法。
【請求項16】
前記境界制御装置は、前記ファイルトークンFt’を前記ヘッダE内に位置する前記ファイルトークンアレイと比較して、前記ファイルトークンが前記ファイルトークンアレイ{Ft}内の値のうちの1つと同一であるかどうかを判定し、一致が存在する場合には、その後に第1の肯定的イベント結果識別子を生成する、
請求項14又は請求項15に記載のペイロードXのためのペイロード保証方法。
【請求項17】
前記境界制御装置は、前記ペイロードを一方向性関数に通してXから#(X)gを提供し、#(X)gをヘッダEの#(X)と比較し、一致が存在する場合には、その後に第2の肯定的イベント結果識別子を生成する、
請求項14から16のいずれかに記載のペイロードXのためのペイロード保証方法。
【請求項18】
前記境界制御装置は、前記エクスポート又はインポートヘッダに含まれる他の制御基準をさらに比較してこれらが所定の制限内にあることを確認し、そうである場合に第3の肯定的結果識別子を提供する、
請求項16又は17に記載のペイロードXのためのペイロード保証方法。
【請求項19】
前記境界制御装置は、第1の肯定的結果識別子、第2の肯定的結果識別子及び第3の肯定的結果識別子を識別し、その後に肯定的境界制御結果を決定する、
請求項16、17及び/又は18に記載のペイロードXのためのペイロード保証方法。
【請求項20】
前記境界制御装置は、肯定的境界制御結果が満たされた場合、ヘッダEを有する前記ペイロードXを、前記境界制御装置を介してネットワーク/ドメイン境界を越えて転送する、
請求項19に記載のペイロードXのためのペイロード保証方法。
【請求項21】
前記境界制御装置は、肯定的境界制御結果が満たされなかった場合、ネットワーク/ドメイン境界を越えるファイルの通過を禁止し、及び/又はファイルが破棄されることを可能にするように構成される、
請求項20に記載のペイロードXのためのペイロード保証方法。
【請求項22】
前記境界制御グループの前記1又は2以上の境界制御装置は、前記認可トークン及び前記一時的IDアレイに従って、無効なエクスポートヘッダ及び有効なヘッダに対応していないペイロードをブロックする、
請求項1から21のいずれかに記載のペイロードXのためのペイロード保証方法。
【請求項23】
前記ペイロードは、前記境界制御グループ内の前記境界制御装置から利用可能な最大サイズよりも小さなチャンクに分割される、
請求項1から22のいずれかに記載のペイロードXのためのペイロード保証方法。
【請求項24】
前記認可トークン、ファイルトークン、ローカルトークン及び前記ペイロードの前記ハッシュテーブルに基づいて、前記ペイロードチャンクの各々につき1つのペイロードヘッダのアレイを作成することをさらに含む、
請求項23に記載のペイロードXのためのペイロード保証方法。
【請求項25】
チャンクのペイロードヘッダを対応するチャンクされたペイロードの先頭に付加し、結果として得られた署名済みペイロードチャンクを前記境界制御グループ内の1又は2以上の境界制御装置に転送することをさらに含む、
請求項24に記載のペイロードXのためのペイロード保証方法。
【請求項26】
少なくとも1つの所定の境界制御装置を介してネットワーク境界を越えて転送すべきペイロードXのためのペイロード保証システムであって、少なくとも1つのコンピュータプロセッサ及び少なくとも1つのデータ記憶装置を有する第1の電子エンティティを備え、前記少なくとも1つのデータ記憶装置は、前記少なくとも1つのコンピュータプロセッサによって、
転送すべき前記ペイロードXの特性を定める電子認可トークンを生成し、
それぞれに関連する専用の恒久的アイデンティティ情報を有する少なくとも2つの境界制御装置を含む、ネットワーク境界に位置する境界制御グループを定め、
前記境界制御グループ内の各境界制御装置の前記恒久的アイデンティティ情報及び前記認可トークンに従って一時的IDアレイを決定し、
前記一時的IDアレイ及び前記認可トークンに従って、前記定められた境界制御グループ内の前記境界制御装置との使用のために有効な、前記システム内の第2の電子エンティティに転送すべき電子解放トークンを生成する、
ように機能する命令を含む、ことを特徴とするペイロード保証システム。
【請求項27】
前記電子認可トークンは、同じペイロード特性を認可する複数の電子認可トークンが一意であることを保証するための少なくとも1つのエントロピー要素をさらに含む、
請求項26に記載のペイロード保証システム。
【請求項28】
少なくとも1つの認可者エンティティ、少なくとも1つの送信者エンティティ、少なくとも1つの署名者エンティティ及び少なくとも1つのペイロード検証エンティティで構成される複数の独立した異なる電子エンティティを備える、
請求項26又は27に記載のシステム。
【請求項29】
前記解放トークンの有効期間中に前記解放トークンを使用していずれかの数のペイロードに署名するように構成された前記署名者エンティティをさらに備える、
請求項28に記載のペイロード保証システム。
【請求項30】
前記署名者エンティティは、前記解放トークンを受け取ってペイロードエクスポート要求を受け取ると、一時的アレイに依存する前記ゲートウェイグループ内の各境界制御装置のファイルトークンと、ローカルトークンと、転送すべき前記ペイロードのハッシュダイジェストとを計算して、ファイルトークンのアレイ{Ft}を提供するように構成される、
請求項29に記載のペイロード保証システム。
【請求項31】
前記ハッシュダイジェストは、前記ペイロードXを前記署名者エンティティに転送する前に前記ペイロードを一方向性関数に通すことによって提供される、
請求項28に記載のペイロード保証システム。
【請求項32】
前記ローカルトークンは、ペイロード、ペイロード転送先に関連する、及び/又は前記送信者エンティティによって定められたパラメータを定める、
請求項30又は請求項31に記載のペイロード保証システム。
【請求項33】
前記ローカルトークンはエントロピー要素を含む、
請求項30から32のいずれかに記載のペイロード保証システム。
【請求項34】
前記ローカルトークンパラメータは、前記ペイロード検証エンティティ及び/又は前記送信者エンティティによって提供される、
請求項30から33のいずれかに記載のペイロード保証システム。
【請求項35】
前記ペイロード検証エンティティは、前記要求者及び/又は前記ペイロード宛先の所定のルールに照らして前記ペイロードを検証するように構成されるとともに、前記ローカルトークンに含めるための前記検証のエビデンスオブジェクトを提供するように構成される、
請求項30から34のいずれかに記載のペイロード保証システム。
【請求項36】
前記署名者エンティティは、その後に前記認可トークン、前記ローカルトークン、前記ファイルトークンアレイ及び前記ペイロードの前記ハッシュダイジェストに依存してペイロードヘッダを生成するように構成される、
請求項30から35のいずれかに記載のペイロード保証システム。
【請求項37】
前記ヘッダは、前記ゲートウェイグループ内の1又は2以上のBCDに転送される前に前記ペイロードの先頭に付加される、
請求項36に記載のペイロード保証システム。
【請求項38】
前記ペイロードは、前記ゲートウェイグループ内の前記境界制御装置から利用可能な最大サイズよりも小さなチャンクに分割される、
請求項26から37のいずれかに記載のペイロード保証システム。
【請求項39】
前記認可トークン、ファイルトークン、ローカルトークン及び前記ペイロードの前記ハッシュテーブルに基づいて前記ペイロードチャンクの各々につき1つずつペイロードヘッダのアレイを作成するように構成された前記署名者エンティティをさらに備える、
請求項38に記載のペイロード保証システム。
【請求項40】
チャンクのペイロードヘッダを対応するチャンクされたペイロードの先頭に付加し、結果として得られた署名済みペイロードチャンクを前記境界制御グループ内の1又は2以上の境界制御装置に転送することをさらに含む、
請求項39に記載のペイロード保証システム。
【請求項41】
前記境界制御装置は、前記境界制御装置における前記ペイロードの受信時に、前記境界制御装置の恒久的ID情報及び前記ヘッダからの認可トークンを使用してゲートウェイセッションID(Sigを再生成するように構成される、
請求項37又は40に記載のペイロード保証システム。
【請求項42】
前記境界制御装置において、前記セッションIDが前記ヘッダ内のパラメータとともに使用されてファイルトークンFt’が計算される、
請求項41に記載のペイロード保証システム。
【請求項43】
前記ヘッダからのFt’=#(#(X),L,J,HMAC(KG’,A))であり、前記セッションIDはHMAC(KG’,A)である、
請求項42に記載の方法。
【請求項44】
前記境界制御装置は、前記ファイルトークンFt’を前記ヘッダE内に位置する前記ファイルトークンアレイと比較して、前記ファイルトークンが前記ファイルトークンアレイ{Ft}内の前記値のうちの1つと同一であるかどうかを判定する比較器を有し、前記比較器は、一致が存在する場合に第1の肯定的イベント結果識別子を生成するように構成される、
請求項42又は請求項43に記載のペイロード保証システム。
【請求項45】
前記境界制御装置は、前記ペイロードを一方向性関数に通してXから#(X)gを提供するように構成され、前記比較器は、その後に#(X)gを前記ヘッダの#(X)と比較し、一致が存在する場合、前記比較器は、第2の肯定的イベント結果識別子を生成するように構成される、
請求項43又は44に記載のペイロード保証システム。
【請求項46】
前記境界制御装置は、前記エクスポート又はインポートヘッダに含まれる他の制御基準をさらに比較してこれらが所定の限界内にあることを確認し、そうである場合、前記比較器は、第3の肯定的結果識別子を提供するように構成される、
請求項43から45のいずれかに記載のペイロード保証システム。
【請求項47】
前記境界制御装置は、第1の肯定的成果識別子、第2の肯定的成果識別子及び/又は第3の肯定的成果識別子を識別し、その後に前記第1の肯定的成果識別子、前記第2の肯定的成果識別子及び前記第3の肯定的成果識別子に従って肯定的境界制御成果を決定するように構成される、
請求項44、45又は46に記載のペイロード保証システム。
【請求項48】
前記境界制御装置は、肯定的境界制御結果が満たされた場合、前記境界制御装置を通じてネットワーク/ドメイン境界を越えて前記ペイロードXを転送するように構成される、
請求項47に記載のペイロード保証システム。
【請求項49】
前記境界制御装置は、肯定的境界制御結果が満たされなかった場合、前記ネットワーク/ドメイン境界を越える前記ファイルの通過を禁止し、及び/又は前記ペイロードが破棄されることを可能にするように構成される、
請求項47に記載のペイロード保証システム。
【請求項50】
前記少なくとも1つの送信者エンティティは、前記少なくとも1つの境界制御装置と通信する唯一の電子エンティティである、
請求項26から49のいずれかに記載のペイロード保証システム。
【請求項51】
前記電子認可トークン及び/又は前記ローカルトークンの前記エントロピー要素を提供する乱数発生器又は疑似乱数発生器を備える、
請求項27から50のいずれかに記載のペイロード保証システム。
【請求項52】
請求項27から51のいずれかに記載のペイロード保証システムを含む、
ことを特徴とするエクスポート制御システム。
【請求項53】
請求項27から51のいずれかに記載の、信頼度の低いネットワークから信頼できるネットワークへの(又はこの逆への)転送のためにペイロードを保証するペイロード保証システムを含む、
ことを特徴とする計算装置。
【請求項54】
請求項27から51のいずれかに記載の、信頼度の低いネットワークから信頼できるネットワークへの(又はこの逆への)転送のためにペイロードを保証するペイロード保証システムを含む、
ことを特徴とするネットワーク。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数のネットワーク境界又はゲートウェイにおけるデータ保証の分野にあり、具体的には、信頼度の異なるネットワーク間でペイロードを転送する適合性及び認可を保証することに関する。
【背景技術】
【0002】
高信頼ネットワークにおける最も大きなリスクの1つは、低信頼ネットワークにデータが流出することによって守秘義務違反が生じることである。高信頼ネットワークの退出経路は、多くの場合、データダイオードなどの高保障境界制御(high assurance boundary control)で形成される。
【0003】
境界制御によって使用されるあらゆるプロセスは、高信頼ネットワークの「門番」としてのステータスに起因して高保証でなければならず、すなわち全ての考えられる状況下で正しい決定が下される高い確実性が存在する制御を提供する。高保証の要件は、ハードウェア境界制御において何が可能であるかを制限する。例えば、非常に複雑なデータ(又は情報)フォーマットは、これらを保証するために複雑なアルゴリズム及びプロセスを必要とし、従って複雑なアルゴリズムの実装の正しさを高度に保証することは困難である。また、情報フォーマットの中には仕様が曖昧なもの及び時間の経過と共に変化するものも存在し、従っていずれかのアルゴリズムを高度に保証された状態かつ最新の状態に保つことは現実的でない。このことは、例えば特定のバイト列が有効なUnicode文字を表しているかどうかを判定する場合にいつ問い合わせが行われたかに応じて回答が変化するような、基準応答が時間的に変化するペイロードコンテンツに関する非常に単純な管理基準を考慮する場合にも証明することができる。
【0004】
ネットワークを介したデータの安全な電子転送を容易にするために、通常は公開鍵基盤(PKI)が使用される。PKIは、当事者のアイデンティティの確認及びネットワーク/ドメイン境界を越えて転送されるデータの検証にさらなる厳格な認証方法が必要な場合に使用される。しかしながら、電子証明書及び公開鍵暗号の管理に必要とされる複数の要素は、望ましいシステム安全レベルを維持するために定期的な構成及び更新を必要とする。
【0005】
本発明者らによる同時係属中の英国特許出願第2010968.2号には、独立した電子エンティティを使用してペイロードを保証し(認可トークン内のエントロピー要素を使用して、恒久的共有秘密に基づいてネットワーク境界装置において一時的認可を提供し)、エクスポートヘッダを含む様々なトークン内に指定された所定のテスト基準が所定のネットワーク境界装置において満たされると、ネットワーク境界を越えたペイロードの転送が許可される、ペイロード保証システム及び方法が記載されている。以下、この出願内容をバージョン1と呼ぶ。
【0006】
作成されたエクスポートヘッダは単一のゲートウェイについてのみ有効であり、セキュリティ及び保証面で利点をもたらす反面、データのスケーラビリティ及びスループット面で不利点があった。従って、同じペイロードが異なるゲートウェイを介して複数回送信されることを可能にする(そして、宛先に複数の同一ペイロードが到着したことに対処する能力を可能にする)ために、セキュリティを犠牲にすることなくレジリエンス(復元力)を達成する必要があった。
【0007】
先行スキームでは、保証のためにペイロード全体がゲートウェイ内に保持される必要があることによって、存在する全てのゲートウェイのサイズが物理的に制限されていたため、受け入れることができるペイロードのサイズも制限されていた。効果的で単純で安全なサービスのためには、あらゆるサービスの消費者がこのような内部的制限に制約されず、BCDに基づくサービスを介してあらゆるサイズのあらゆるファイルを送信できることが望ましい。
【0008】
バージョン1のペイロード保証スキームのエクスポートヘッダ内に解放/インポートメタデータが存在しないということは、セキュリティ境界を越えてペイロードを移動させるという要件は正常に達成されるものの、その特定の宛先に対する解放/インポートの適切性も、意図する方法もヘッダ内に示されていないということであった。
【発明の概要】
【発明が解決しようとする課題】
【0009】
従って、クロスドメイン境界における退出データの適合性に関連するペイロード保証を提供し、セキュリティが改善されたものであり、クロスドメイン転送のために適切に認可され、一時的認可(ephemeral authorisation)を提供し、時間変化に対して機敏であり、単一の境界を横切って複数の境界制御装置を利用することができ、境界制御装置における固有のペイロードサイズ制限によって制約されず、集中管理制御を提供できるクロスドメインペイロード保証方法及びシステムに対するニーズが確認されている。
【課題を解決するための手段】
【0010】
従って、複数の所定の境界制御装置のいずれかを介してネットワーク境界を越えて転送すべきペイロードXのためのペイロード保証方法を提供し、この方法は、
第1の電子エンティティにおいて、要求時に、
転送すべきペイロードXの特性を定める電子認可トークンを提供することと、
それぞれに関連する専用の恒久的アイデンティティ情報を有する少なくとも2つの境界制御装置を含む、ネットワーク境界に位置する境界制御グループを定めることと、
境界制御グループ内の各境界制御装置の恒久的アイデンティティ情報及び認可トークンに従って一時的IDアレイを決定することと、
一時的IDアレイ及び認可トークンに従って、定められた境界制御グループ内の境界制御装置との使用のために有効な、第2の電子エンティティに転送すべき電子解放トークンを生成することと、を含む。
【0011】
第1の電子エンティティは、ネットワーク境界の信頼できる側に位置する中央解放オーソリティ(CRA)である。CRA内では、各恒久的アイデンティティ値KGに一意の任意のラベルが付与される。ゲートウェイグループは、これらのラベルの管理集合体(administrative collection)であり、集合体内の各境界制御装置(BCD)は同じ宛先に関連して同じ認可を必要とする。第2のエンティティ(署名者エンティティ)が宛先の認可を要求すると、単一の好適な認可トークンAtが生成される。その後、CRAは、宛先を関連するゲートウェイラベルのリストに分解した後に、宛先の単一の認可トークンAtと共にゲートウェイラベルを使用して、BCD毎に記憶されたKG値に照らして計算を実行して各BCDのセッションIDを作成し、最後にこれらのセッションIDがセッションIDアレイにコンパイルされる。従って、この方法は、ゲートウェイ鍵及び認可トークンAtからセッションIDアレイ{Si}を生成することを含み、ゲートウェイ鍵は、ゲートウェイグループ内の全てのゲートウェイから生成することができる。
【0012】
方法は、同じペイロード特性を認可する複数の電子認可トークンが一意であることを保証するための、電子認可トークンの一部を形成する少なくとも1つのエントロピー要素を生成することをさらに含むことができる。
【0013】
解放トークンは、解放トークンの有効期間中に1又は2以上のペイロード転送認可要求に適用することができる。所与の署名者に特定のパラメータを割り当てることによって、これらの署名者が署名できる内容を制限することができる。
【0014】
解放トークンの有効期間は、第1の電子エンティティによって認可トークン内に定められた所定の期間に依存することができる。所与の署名者の特定のパラメータ-署名者が署名できる内容を制限する。
【0015】
第2の電子エンティティは、解放トークンを受け取ってペイロード転送を要求されると、一時的アレイに依存するゲートウェイグループ内の各境界制御装置のファイルトークンと、第1のエンティティから遠隔的に定められたパラメータを含むローカルトークンと、転送すべきペイロードXのハッシュダイジェストとを作成して、ファイルトークンのアレイ{Ft}を提供することができる。ハッシュダイジェストを使用することによって、署名者はペイロード全体を見渡す必要なくファイルに署名することができ、署名がより効率的なものになる。
【0016】
ハッシュダイジェストは、ペイロードXがペイロード転送要求の一部としてを第2のエンティティによって受け取られる前に一方向性関数に通すことによって提供することができる。ヘッダ内のハッシュダイジェストは、ペイロードXが所定の1又は2以上の所定の境界制御装置に到着する前にヘッダの有効性を判定するように、受信時に境界制御装置グループ内の1又は2以上の境界制御装置によってアクセスされる。これにより、完全なペイロードの到着を待つ必要がなくなるので、BCDにおけるより効率的な基準チェックが可能になる。
【0017】
ローカルトークンは、エントロピー要素を含むことができる。
【0018】
ローカルトークンパラメータのうちの少なくとも1つは、ネットワーク境界を越えるペイロード転送のための所望のペイロードパラメータを検証する第3の電子的エンティティによって提供される。第3の電子エンティティは、ペイロードを基準に照らして検証するオーケストレータエンティティである。
【0019】
第4の電子エンティティは、ペイロード送信者エンティティとして、かつ境界制御グループの境界制御装置と接触する唯一の電子エンティティとして機能し、ローカルトークンパラメータのうちの少なくとも1つを定めることができる。第4の電子エンティティは、ローカルトークン入力パラメータの一部を定めるローカルパラメータL’の所定の選択と共にペイロードXを第3の電子エンティティに送信することができる。
【0020】
請求項8又は9に記載のペイロードXのためのペイロード保証方法において、第3の電子エンティティは、ペイロード転送要求の受信時に提供される所定のルール及び/又は意図されるペイロード転送先に照らしてペイロードを検証し、ローカルトークンに含めるために検証のエビデンスオブジェクトを提供する。エビデンスは、ダイジェスト#(X1)を有する一部のペイロードX1を送信できる旨のアサーションのアレイとすることができる。オーケストレータは、ダイジェスト=#(X)及びローカルヘッダL’を含むペイロードが承認されたことをアサートする署名済みオブジェクト(例えば、JWT)を送信者に返送する。送信者は署名者にエビデンス(ペイロードではない)を送信し、署名者は、(JWT上の署名をチェックすることができるので)認可済みエンティティが署名を作成したことを確信するとともに、エクスポートを承認されたエンティティによってエビデンスが送信されていると確信することができる。
【0021】
ペイロード名はJ||n(例えば、ファイル001)であり、ペイロードは、全てのエクスポートについて固定されたパディングパターンである。
【0022】
第2のエンティティは、その後に認可トークン、ローカルトークン、ファイルトークンアレイ及びペイロードのハッシュダイジェストに依存してペイロードヘッダを生成するように構成することができる。ペイロードのエクスポートでは、第2の電子エンティティ(署名者エンティティ)が有効な解放トークンを有し又は取得していて第3の電子エンティティ(オーケストレータエンティティ)によってエビデンスが提供された場合、署名者エンティティがペイロードのエクスポートヘッダを作成してこれを送信者に転送する。署名者エンティティは、ネットワーク境界を越える転送のために認可する必要があるペイロードの解放トークンに従ってヘッダを作成する。境界制御グループ内の各BCDを満足させるために、(それぞれが関連するハッシュテーブルを有する)エクスポートヘッダのアレイが提供される。
【0023】
ペイロードヘッダは、ペイロードXが第4のエンティティによって境界制御グループ内の1又は2以上の境界制御装置に転送される前にペイロードXの先頭に付加することができる。第4のエンティティは送信者エンティティであり、ペイロード転送要求を行うため、及びエクスポートヘッダなどのペイロードヘッダを受け取るために、署名者に通信可能に結合される。なお、ペイロードヘッダの要素は、第1の電子エンティティ、第2の電子エンティティ、第3の電子エンティティ及び第4の電子エンティティによって作成することができる。これにより、4つの全ての電子エンティティが転送すべきペイロードの適切なヘッダを提供する必要がある障害点(points of failure)が提供される。
【0024】
ペイロードヘッダEを有するペイロードの少なくとも一部が境界制御装置に到達すると、境界制御装置は、境界制御装置の恒久的ID情報及びヘッダからの認可トークンを使用してセッションID(Sigを再生成することができる。
【0025】
境界制御装置では、セッションID及びヘッダ内のパラメータを使用してファイルトークンFt’を計算することができる。境界制御装置において生成されるファイルトークンはFt’=#(#(X),L,J,HMAC(KG’,A))であり、全ての数量は、境界制御装置の恒久的アイデンティティ情報である値KG’を除いてヘッダから取得される。セッションIDはHMAC(KG’,A)である。
【0026】
境界制御装置は、ファイルトークンFt’をヘッダE内に存在するファイルトークンアレイ{Ft}と比較して、ファイルトークンがファイルトークンアレイ{Ft}内の値のうちの1つと同一であるかどうかを判定し、一致が存在する場合には、その後に第1の肯定的イベント結果識別子を生成することができる。
【0027】
境界制御装置は、ペイロードを一方向性関数に通してXから#(X)gを提供し、#(X)gをヘッダEの#(X)と比較して、一致が存在する場合には、その後に第2の肯定的イベント結果識別子を生成することができる。
【0028】
境界制御装置は、エクスポート又はインポートヘッダに含まれる他の制御基準をさらに比較してこれらが所定の制限内にあることを確認し、そうである場合には第3の肯定的結果識別子を提供することができる。
【0029】
境界制御装置は、第1の肯定的結果識別子、第2の肯定的結果識別子及び第3の肯定的結果識別子を識別し、その後に肯定的境界制御結果を決定することができる。
【0030】
肯定的境界制御結果が満たされた場合、境界制御装置は、ヘッダEを有するペイロードXを、境界制御装置を通じてネットワーク/ドメイン境界を越えて転送する。
【0031】
肯定的境界制御結果が満たされなかった場合、境界制御装置は、ファイルがネットワーク/ドメイン境界を横切って通過するのを禁止し、及び/又はファイルの破棄を可能にするように構成することができる。
【0032】
境界制御グループの1又は2以上の境界制御装置は、認可トークン及び一時的IDアレイに従って、無効なエクスポートヘッダ及び有効なヘッダに対応していないペイロードをブロックすることができる。
【0033】
ペイロードは、境界制御グループ内の境界制御装置から利用可能な最大サイズよりも小さなチャンクに分割することができる。境界制御グループ内の境界制御装置のサイズ制限が排除され、どの境界制御装置が利用可能であるかを送信者が知る必要がなく、レジリエントな境界制御装置の組を介して任意のペイロードサイズを転送することができるという利点がある。
【0034】
方法は、認可トークン、ファイルトークン、ローカルトークン及びペイロードのハッシュテーブルに基づいて、ペイロードチャンクの各々につき1つずつペイロードヘッダのアレイを作成することをさらに含むことができる。
【0035】
その後、方法は、チャンクのペイロードヘッダを対応するチャンクされたペイロードの先頭に付加し、結果として得られた署名済みペイロードチャンクを境界制御グループ内の1又は2以上の境界制御装置に転送することをさらに含むことができる。
【0036】
本発明の別の実施形態では、少なくとも1つの所定の境界制御装置を介してネットワーク境界を越えて転送すべきペイロードXのためのペイロード保証システムが提供され、このシステムは、少なくとも1つのコンピュータプロセッサ及び少なくとも1つのデータ記憶装置を有する第1の電子エンティティを備え、少なくとも1つのデータ記憶装置は、少なくとも1つのコンピュータプロセッサによって、
転送すべきペイロードXの特性を定める電子認可トークンを生成し、
それぞれに関連する専用の恒久的アイデンティティ情報を有する少なくとも2つの境界制御装置を含む、ネットワーク境界に位置する境界制御グループを定め、
境界制御グループ内の各境界制御装置の恒久的アイデンティティ情報及び認可トークンに従って一時的IDアレイを決定し、
一時的IDアレイ及び認可トークンに従って、定められた境界制御グループ内の境界制御装置との使用のために有効な、システム内の第2の電子エンティティに転送すべき電子解放トークンを生成する、ように機能する命令を含む。
【0037】
第1の電子エンティティは、ネットワーク境界の信頼できる側に位置する中央解放オーソリティ(CRA)であり、境界制御装置(BCD)の各恒久的アイデンティティ情報値KGには一意の任意のラベルが付与される。境界制御グループは、これらのラベルの管理集合体であり、集合体内の各BCDは同じ宛先に関連して同じ認可を必要とする。第2のエンティティ(署名者エンティティ)がペイロードを宛先に転送するための認可を要求すると、単一の好適な認可トークンAtが生成される。その後、CRAは、宛先を関連する境界制御装置ラベルのリストに分解した後に、宛先の単一のAtと共に境界制御装置ラベルを使用して、BCD毎に記憶されたKG値に照らして計算を実行して各BCDのセッションIDを作成することができ、最後にこれらのセッションIDがセッションIDアレイにコンパイルされる。
【0038】
電子認可トークンは、同じペイロード特性を認可する複数の電子認可トークンが一意であることを保証する少なくとも1つのエントロピー要素をさらに含むことができる。
【0039】
複数の独立した異なる電子エンティティは、少なくとも1つの認可者エンティティ、少なくとも1つの送信者エンティティ、少なくとも1つの署名者エンティティ、及び少なくとも1つのペイロード検証エンティティ、すなわちオーケストレータで構成される。署名者、送信者及びオーケストレータの役割は分離する必要はなく、代わりに様々な統合された役割に組み合わせることもできる。例えば、i.送信者の役割とオーケストレータの役割、ii.送信者の役割と署名者の役割、iii.3つ全ての分解/組み合わせが可能である。
【0040】
システムは、解放トークンの有効期間中に解放トークンを使用していずれかの数のペイロードに署名するように構成された署名者エンティティをさらに含むことができる。
【0041】
署名者エンティティは、解放トークンを受け取ってペイロードエクスポート要求を受け取ると、一時的アレイ、ローカルトークン及び転送すべきペイロードのハッシュダイジェストに依存してゲートウェイグループ内の各境界制御装置用のファイルトークンを計算し、ファイルトークンのアレイ{Ft}を提供するように構成することができる。#Xを使用することにより、署名者は実際にペイロードを受け取る必要なくペイロード転送に署名することができ、従って署名者によるペイロードのチェックは行われない。
【0042】
ハッシュダイジェストは、ペイロードXを署名者エンティティに転送する前にペイロードを一方向性関数に通すことによって提供することができる。誤解を避けるために述べると、ヘッダにおけるハッシュダイジェストの使用は、ペイロードXが所定の1又は2以上の所定の境界制御装置に到着する前に境界制御装置がヘッダの有効性を判定することを可能にする。
【0043】
ローカルトークンは、ペイロード、ペイロード転送先に関連する、及び/又は送信者エンティティによって定められたパラメータを定める。ローカルトークンは、ゲートウェイの数、パーツ、サイズ、分類に関する情報を含まないことが有益である。従って、システムは、認可トークンコンテンツ、及びローカルトークンなどによって提供される別の解放基準に関するチェックを行うように構成される。
【0044】
ローカルトークンは、エントロピー要素をさらに含むことができる。
【0045】
ローカルトークンパラメータは、ペイロード検証エンティティ及び/又は送信者エンティティによって提供することができる。
【0046】
ペイロード検証エンティティは、要求者及び/又はペイロード宛先の所定のルールに照らしてペイロードを検証するように構成されるとともに、ローカルトークンに含めるための検証のエビデンスオブジェクトを提供するように構成される。
【0047】
エビデンスオブジェクトは、ダイジェスト#(Xn)を有する部分的ペイロードXnを送信できる旨のアサーションのアレイとすることができる。オーケストレータは、ダイジェスト=#(X)及びローカルヘッダL’を含むペイロードが承認されたことをアサートする署名済みオブジェクト(例えば、JWT)を送信者に返送する。送信者は、ファイル転送要求を行う際に署名者にエビデンス(ペイロードではない)を送信する。署名者エンティティは、認可済みエンティティがシグネチャを作成したことを確信するとともに、エクスポートを承認されたエンティティによってエビデンスが送信されていると確信することができる。
【0048】
署名者エンティティは、認可トークン、ローカルトークン、ファイルトークンアレイ及びペイロードのハッシュダイジェストに依存するペイロードヘッダを生成するように構成される。
【0049】
署名者は、ネットワーク境界を越える転送のために認可する必要があるペイロードの解放トークンに従ってヘッダを作成する。実際には、署名者は、(それぞれが関連するハッシュテーブルを有する)エクスポート又はインポートヘッダのアレイを生成する。その後、ヘッダは、送信者エンティティ又はペイロード転送要求を行った他のエンティティに転送される。
【0050】
ヘッダは、ゲートウェイグループ内の1又は2以上のBCDに転送される前にペイロードの先頭に付加することができる。
【0051】
ペイロードは、ゲートウェイグループ内の境界制御装置から利用可能な最大サイズよりも小さなチャンクに分割することができる。
【0052】
従って、境界制御装置に対するサイズ制限が排除され、どのゲートウェイが利用可能であるかを送信者が知る必要がなく、レジリエントなゲートウェイの組を介して任意のファイルを転送することができる。
【0053】
システムは、認可トークン、ファイルトークン、ローカルトークン及びペイロードのハッシュテーブルに基づいてペイロードチャンクの各々につき1つずつペイロードヘッダのアレイを作成するように構成された署名者エンティティをさらに備えることができる。
【0054】
システムは、チャンクのペイロードヘッダを対応するチャンクされたペイロードの先頭に付加し、結果として得られた署名済みペイロードチャンクを境界制御グループ内の1又は2以上の境界制御装置に転送することをさらに含むことができる。
【0055】
境界制御装置は、境界制御装置におけるペイロードの受信時に、境界制御装置の恒久的ID情報及びヘッダからの認可トークンを使用してゲートウェイセッションID(Sigを再生成するように構成することができる。
【0056】
境界制御装置では、セッションID及びヘッダ内のパラメータを使用してファイルトークンFt’を計算することができる。
【0057】
境界制御装置において作成されるファイルトークンはFt’=#(#(X),L,J,HMAC(KG’,At))であり、値は、境界制御装置から取得されるKG’を除いてヘッダから取得される。セッションIDはHMAC(KG’,At)である。
【0058】
境界制御装置は、ファイルトークン(FtgをヘッダE内に位置するファイルトークンアレイと比較して、ファイルトークンがファイルトークンアレイ{Ft}内の値のうちの1つと同一であるかどうかを判定する比較器を含むことができ、比較器は、一致が存在する場合に第1の肯定的イベント結果識別子を生成するように構成される。
【0059】
境界制御装置は、ペイロードを一方向性関数に通してXから#(X)gを提供するように構成され、比較器は、その後に#(X)gをヘッダの#(X)と比較し、一致が存在する場合には第2の肯定的イベント結果識別子を生成するように構成される。
【0060】
境界制御装置は、エクスポート又はインポートヘッダに含まれる他の制御基準をさらに比較して、これらが所定の制限内にあることを確認し、そうである場合、比較器は、第3の肯定的結果識別子を提供するように構成される。
【0061】
境界制御装置は、第1の肯定的結果識別子、第2の肯定的結果識別子及び/又は第3の肯定的結果識別子を識別し、その後に第1の肯定的結果識別子、第2の肯定的結果識別子及び第3の肯定的結果識別子に従って肯定的境界制御結果を決定するように構成することができる。
【0062】
肯定的境界制御結果が満たされた場合、境界制御装置は、境界制御装置を通じてネットワーク/ドメイン境界を越えてペイロードXを転送するように構成することができる。
【0063】
肯定的境界制御結果が満たされなかった場合、境界制御装置は、ネットワーク/ドメイン境界を越えるファイルの通過を禁止し、及び/又はペイロードの破棄を可能にするように構成することができる。
【0064】
少なくとも1つの送信者エンティティは、少なくとも1つの境界制御装置と通信する唯一の電子エンティティであることができる。
【0065】
システムは、電子認可トークン及び/又はローカルトークンのエントロピー要素を提供する乱数発生器又は疑似乱数発生器を含むことができる。
【0066】
或いは、上述したようなペイロード保証システムを含むエクスポート制御システムを提供することもできる。
【0067】
本発明の別の実施形態では、本明細書でこれまでに説明したような信頼度の低いネットワークから信頼できるネットワークへの(又はこの逆への)転送のためにペイロードを保証するペイロード保証システムを含む計算装置を提供することができる。
【0068】
本発明のさらに別の実施形態では、本明細書でこれまでに説明したような信頼度の低いネットワークから信頼できるネットワークへの(又はこの逆への)転送のためにペイロードを保証するペイロード保証システムを含むネットワークを提供する。
【0069】
全ての事例において、境界制御装置はゲートウェイ装置であることができ、これら2つの用語は同義的に使用することができる。
【0070】
認可トークンの発行を通じて認可済みペイロード特性が指定されると、認可済みペイロードの特性を変更する選択肢はない。すなわち、境界制御装置は、確認スキームの詳細よりもむしろスキーム内のエンティティ間の相互関係を知っていればよく、例えばゲートウェイは、ヘッダ間のチェック可能なアサーション、ペイロードの固有特性(例えば、サイズ、境界制御装置の既知のファイルタイプへの準拠性)、環境因子(例えば、時間制限)のみを考慮する。或いは、換言すれば、BCDは、所与のペイロードの認可済みペイロード特性の具体値についての事前知識を有しておらず、ペイロードの許可された特性をエクスポートヘッダから決定することができる。
【0071】
これにより、シールドフォーライフゲートウェイ(sealed for life gateways)を使用して自律的に解放決定(release decisions)を行うことが可能になる。この例における自律的とは、他の電子エンティティを参照することなく決定が行われることを意味する。これにより、(CRAにおける)認可パラメータの決定と、ペイロードがゲートウェイにおけるパラメータに準拠している旨の検証決定との隔離(又は分離)が維持され、別の電子エンティティに認可決定を要求する必要がなくなり、この決定情報が第三者に不正使用される能力を排除することによってゲートウェイにおけるセキュリティが改善される。従って、境界装置は、交換又は更新を決して必要とせず決して変化しない最も単純な装置を含むことができる。一方で、エクスポートヘッダの生成方法は、CRAとBCDとの間のいかなる中間システムも、決定された認可パラメータを変更できないことを保証する。
【0072】
認可されたペイロード/エクスポートのみが、ドメイン境界を越えて転送される許可を受けることができる。通常、良好なエクスポートスキームは、コンテンツの制御、時間制限のある認可、及び最終的に未認可フォーマットの通過をブロックすることを考慮する。システムは、電子トークンで認可を制御するように構成できることが有益である。
【0073】
計算装置は、デスクトップ又はラップトップコンピュータ、タブレット、携帯情報端末(PDA)、携帯電話機、スマートウォッチ、ハードディスク、ソリッドステートディスク又はドライブ、メモリ、或いはデータを記憶及び/又は表示することができる、又は別様にデータ装置として機能するその他のスマート又はモバイル装置を含むことができ、或いはデータを記憶及び/又は表示することができる、又は別様にデータ装置として機能するモニタ、プロジェクタ又はスクリーンなどを含むディスプレイ装置も開示され、これらはユーザの便宜上、上述したような装置を個別に又は集合的に含むことができる。
【0074】
「エクスポートペイロード」は、ヘッダ及びペイロードで形成される。しかしながら、ペイロード保証システム及び方法は、やはりパケットヘッダ及びパケットデータを含む、新たなパケットがエクスポートヘッダ及び元々のパケットコンテンツで作成されるデータのパケット上で使用することもでき、またストリーミングデータの先頭にエクスポートヘッダが付加されたストリーミングデータに使用することもできる。この新たなパケットに元々のペイロードを詰め込むことは、トンネリングプロトコルにおいて一般的に使用されている戦術であり、当業者には周知と思われる。
【0075】
以上、本発明について説明したが、本発明は、上述した又は以下の説明、図面又は特許請求の範囲に記載する特徴のいずれかの発明的組み合わせにも及ぶ。例えば、本発明のいずれかの1つの態様に関連して説明するいずれかの特徴は、本発明の他のいずれかの態様にも関連して開示するものであると理解される。
【0076】
以下、添付図面を参照しながら本発明をほんの一例として説明する。
【図面の簡単な説明】
【0077】
図1】本発明の第1の態様による、ネットワークドメイン境界におけるペイロード保証のためのシステムの概略図である。
図2】本発明による認可トークンフォーマットを示す図である。
図3】本発明による解放トークンフォーマットを示す図である。
図4】本発明によるローカルトークンフォーマットを示す図である。
図5】本発明によるペイロード解放ヘッダフォーマットを示す図である。
図6】本発明の第1の態様による、ネットワーク境界におけるペイロード保証方法のフロー図である。
図7】本発明の第2の態様による、ペイロードがチャンクされた、ネットワーク境界におけるペイロード保証方法のフロー図である。
【発明を実施するための形態】
【0078】
図では、同様の要素を同様の参照数字によって示す。当業者であれば、方法の実装がどれほど複雑であるかを理解すると思われ、従って存在する任意の特徴の数はユーザの要求によって決定される。
【0079】
図1に、境界制御グループ4内の1つの装置である境界制御装置3(例えば、ハードウェアで形成されたネットワークゲートウェイ)を介してネットワーク境界2を越えて転送すべきペイロードX及びヘッダEを有し、コンピュータプロセッサ5及びデータ記憶装置6を含むペイロード認可制御システム1を示す。ペイロード保証スキームが動作するために、具体的に割り当てられた機能を実施しなければならない複数の役割又は電子エンティティが存在する。図1には、このシステム内に5つの電子エンティティが存在することを示す。これらの電子エンティティは以下を含む。
・送信者7:このエンティティは、境界制御装置3、署名者8及びオーケストレータ9と電子的に通信する。送信者エンティティ7は、オーケストレータ9からの肯定的保証結果の提供及び署名者8からの肯定的結果の提供に基づいてペイロードを送信する。
・中央解放オーソリティ10(CRA):このエンティティは、エクスポートゲートウェイの恒久的IDブロックへのアクセス、及び宛先に対する境界制御装置のマッピングを管理する。また、署名者8からの問い合わせ時に図2の認可トークンを生成する役割も担う。このエンティティは、署名者8のみと電子的に通信する。
・署名者8は、所与の承認済みペイロードのエクスポート又はインポートヘッダの作成を可能にするという、その役割に適した認可を要求する。署名者8は、CRA10に認可トークンを要求するとともに、オーケストレータ9からのエビデンスに基づいてペイロードをエクスポート/インポートする要求の承認を要求する。全ての事例において、ペイロードに署名することは、境界制御装置3、3’を越えて転送すべきペイロードと共に使用されるヘッダを作成することを意味する。
・オーケストレータ9は、ペイロードを企業解放基準(Enterprise release criteria)(誤解を避けるために述べると、この基準はBCD解放基準とは異なる)に照らして評価し、満たされている場合には、ペイロードがエクスポートのために承認された旨のエビデンス、及び署名者8エンティティがエクスポート/インポートヘッダを生成するために必要な追加情報を提供する。エビデンスは、一般に(JSON又はXMLなどの)情報構造であるが、正確なフォーマットはスキームの運用にとって重要ではない。エビデンスには、完全性保護を提供するために(従来の手段を使用して)デジタル的に署名することができる。エビデンスは、署名者9に直接的又は間接的に受け渡すことができる。
・エクスポートゲートウェイなどの境界制御装置3、3’(BCD)は、一意のアイデンティティブロック11、11’を所持する。BCD3、3’は、無効なエクスポートヘッダを有するペイロードをブロックするように構成され、たとえエクスポートペイロードが有効であっても、エクスポートヘッダに対応しないペイロードをブロックする。
・ゲートウェイ/境界制御グループ4-スキーム内で単一の複合エンティティとして扱われるように意図された同じ認可を有する同じ宛先へのエクスポートを許可する1又は2以上の境界制御装置3、3’の組である。
【0080】
標準的なネットワーク負荷分散装置(図示せず)は、標準的なオペレータが選択した負荷分散アルゴリズムに基づいて、署名済みペイロードを送信者7から1又は2以上のBCD3、3’に向ける役割を果たす。
【0081】
本発明の第1の実施形態では、認可制御及び保証システム(以下、保証システムと呼ぶ)が、単一の又は複数のBCD3、3’にわたって認可済みペイロードエクスポートを提供するように構成される。(BCDにおいて受けるべきチェックを含む)認可システムは、ペイロードのいくつかの固有特性(例えば、ペイロードタイプ)の制御、アサートされた特性(例えば、分類)の比較、管理機能の追加を可能にするとともに、認可の有効期限が電子トークンを介して管理されることも可能にする。このスキームは、特定のペイロードの先頭に付加された4つの独立したサブトークンを含むペイロード固有のヘッダを作成して使用する。ペイロードは、ヘッダ内の情報が有効であると保証された場合にのみ、送信者エンティティ7によって要求された通りにBCD3、3’を正常に通過することができる。
【0082】
ヘッダ及びその構成部分は、(人間が読むことができるJSON又はXMLファイルに含まれるような)情報表現、及びスキームを支持する機能における使用のためにこれらがヘッダ内でどのように符号化されているかについてのバイトレベル表現であるバイナリ表現、という2つの表現を有する。単純にするために、いずれの表現も「トークン」(例えば、「認可トークン」)として表し、重要な場合にはトークンの形態(情報又はバイナリ)を明確にする。ヘッダは、BCD3、3’を横切る所望の転送方向に応じてエクスポートヘッダ又はインポートヘッダであることができる。
【0083】
データ記憶装置は、さらに詳細に説明する認可トークンAtを提供するようにプロセッサによって機能する命令を含む。認可トークンAtは、様々なペイロード転送認可要求に一貫して適用できる、認可済みエンティティによる署名手段を提供する。
【0084】
境界制御装置3、3’は、ネットワークドメイン境界2、すなわち第1のネットワーク12と第2のネットワーク13との間(ペイロードのエクスポート又はインポートのどちらが必要であるかに応じて逆もまた同様)の通過を可能にする位置に配置されたネットワークゲートウェイである。エクスポートの場合には、CRAが存在する側のネットワークが信頼できるネットワーク12であり、他方のネットワークが信頼度の低いネットワーク13である。
【0085】
一例として、本実施形態におけるペイロードエクスポート要求は、好適に認可された当事者によってオーケストレータ9に対して行われる。オーケストレータ9は、このような要求を受け入れるだけでなく、外部又はローカルサービスを使用して、要求されたエクスポートについてのペイロードの適合性を決定することができる。これらのチェックは、情報漏洩対策(DLP)、マルウェアスキャニング、隠されたメタデータの除去、及びその他当業者に明らかなものなどの、企業によって使用される標準的制御に類似する。オーケストレータ9は、これらのサービスを取りまとめて、オーケストレータ9においてエクスポートを承認又は拒否するステータスを取得する。
【0086】
エクスポートが承認されると、オーケストレータ9は、署名者がファイルトークンのアレイを作成し、従ってペイロードXのエクスポートヘッダを作成することを可能にする、エクスポートに関する情報セットであるエビデンスを構築しなければならない。
【0087】
このように本実施形態における署名者8、送信者7及びオーケストレータ9を使用してエクスポートヘッダなどのペイロードヘッダの一部を作成することで、エンティティのうちの1つに欠陥又は不正使用が関連している場合にシステムの誤用又は予想外の使用が行われないことが保証される。
【0088】
署名者エンティティ8は、(後で詳細に説明する)様々なトークンをバイナリエクスポートヘッダに組み合わせることによってペイロードヘッダを作成するように構成されるが、i.エクスポートヘッダを関連するペイロードの先頭に付加し、ii.署名済みペイロードを境界制御装置3、3’に送信するのは送信者エンティティ7である。
【0089】
CRA10は、署名者エンティティの問い合わせ時に生成される一意のトークンである解放トークンRtを提供する認可エンティティとしての役割を果たす。CRA10は、境界制御装置の恒久的識別子を記憶するとともに、ゲートウェイ鍵及び認可トークンAtからセッションIDアレイ{Si}を生成する役割を担い、ゲートウェイ鍵は、境界制御グループ内の全てのゲートウェイから生成される。セッションIDアレイは、定期的に失効するため長期的なリスクをもたらさない中程度にセンシティブな一時的値(又は一時的アイデンティティ)を含む。認可トークンAt及びセッションIDアレイ{Si}は、署名者エンティティ8の問い合わせに対する応答としてペアの形で転送される。このペアは、図3に示すような解放トークンを定める。
【0090】
署名者エンティティ8は、CRA10に解放トークンを要求し、ネットワーク境界2を越える転送のために認可が必要なペイロードのヘッダを解放トークンに従って作成する。
【0091】
CRA10によって作成される認可トークンは、少なくとも認可されたペイロード特性に関する第1の部分と、トークンにエントロピー(又はランダム性)を与えるための第2の部分とで形成される電子トークンであり、従ってAt=<エントロピー要素>及び<中心的に指定されたパラメータ値>である。認可トークンは、CRA10が1又は2以上のBCD3、3’を横切ることを許可する内容に関する詳細を含むとともに、有効期間を含む認可トークン自体に関する情報も含む。エントロピー部分は、同じペイロード特性を認可する複数の認可トークンがそれぞれ一意であることを保証するために提供される。これにより、特性の仕様及び関連する認可の(例えば、信頼できるネットワーク側における)中央制御が可能になるとともに、各認可要求及び関連する応答が区別可能であり、従って監査可能であることが保証される。この実施形態では、ペイロードが、信頼できるネットワーク12と信頼度の低いネットワーク13との間で所定の境界制御グループ4内のいずれかの1又は2以上の境界制御装置3、3’を横切って転送されるエクスポートペイロードである。
【0092】
この境界制御装置3、3’に関連するアイデンティティブロック又はその他のキータイプなどの恒久的アイデンティティ情報は高度にセンシティブな情報であり、非常に安全に保管しなければならない。以下では、この恒久的アイデンティティ情報を所定の境界制御装置3の恒久的IDと呼び、KGとして表す。
【0093】
システム内の境界制御装置3、3’に関する恒久的ID KGは、CRA10において知られていなければならない。境界制御装置3、3’は、i.CRA10に安全に提示される製造時に作成されたKGを有し、ii.境界制御装置にロードされたCRA10によって作成されたKGを有し、又はiii.境界制御装置にロードされた独立ソースによって作成されたKGを有することができ、この同じKGがCRA10にロードされる。
【0094】
CRA10内では、各KG値に一意の任意のラベルが付与される。境界制御グループ4は、これらのラベルの管理集合体であり、集合体内の各BCD3、3’は同じ宛先に関連して同じ認可を必要とする。署名者エンティティ8が宛先の認可を要求すると、単一の好適な認可トークンAtが生成される。その後、CRA10は、宛先を関連するゲートウェイラベルのリストに分解した後に、宛先の単一のAtと共にゲートウェイラベルを使用して、BCD3、3’毎に記憶されたKG値に照らして計算を実行して各BCD3、3’のセッションIDを作成し、最後にこれらのセッションIDがセッションIDアレイにコンパイルされる。
【0095】
認可トークンは、一連の数値にマッピングし、後述する一方向性関数において使用することができる。保証システムの全ての部分が同じマッピングを使用するのであれば、マッピングの詳細は重要ではない。認可トークンは、署名者エンティティ8に提供すべきエクスポートヘッダのコンポーネントである。誤解を避けるために述べると、認可トークンは、境界管理装置3を越えるエクスポートが許可された内容のアサーションである中央認可制御を含み、例えば認可ヘッダは以下を含むことができる。
・バージョン(すなわち、バージョン2)、
・(各認可ヘッダの一意性を保証する)エントロピー、
・サイズ-ペイロードの(バイト単位での)最大サイズ(ゼロは制限なしを意味する)、
・ファイルタイプ-BMP、又は必要に応じてcsvなどの他の規定された好適なファイルタイプ又はパケットタイプ、
・時間-トークンの有効期限を制御するように「~以前は無効」又は「~以後は無効」の規定、
・(後述する)ペイロードアサーション、及び、
・(後述する)宛先識別子。
【0096】
システムは、CRA指定基準に関するチェックを行うだけでなく、別の解放基準に関するチェックも行うように構成される。別の解放チェックは、ローカルヘッダ内で行われる。
【0097】
バージョン1とは対照的に、ローカルヘッダは送信者エンティティ7のみによって作成されるのではなく、ハッシュテーブル内のハッシュ数、パーツ番号及び実際のペイロードサイズはオーケストレータ9によって設定され、その他のフィールドは全て送信者7によって設定される。これにより、オーケストレータ9による検証レベルがもたらされる。BCDを一意に識別するには、パーツ番号をUUIDと共に使用することができる。
【0098】
図4に示すローカルヘッダ(又はローカルトークン)は以下を含む。
・エクスポートUUID-オーケストレータエンティティ9によって生成され、各個々のエクスポートを一意に識別する。タイプ4UUIDとしてランダムに生成されるべきであり、バージョン1のノンスにも取って代わる。
・時間制限-送信者7によって生成される、ファイルのエクスポートを許可された時間制限(認可トークンの有効期間よりも短いことができる)。
・ペイロードアサーション-後述。
・実際のサイズ-オーケストレータ9によって生成される、(ヘッダを除く)エクスポートペイロードの実際のサイズをバイトで表したものである。
・パーツ番号-オーケストレータ9によって生成され、通常はペイロードがチャンクされていなければ0(ゼロ)である。
・ファイルトークン(又はハッシュ)数-署名者8によって生成される、署名者8によって提供されるペイロードのファイルトークンの数、すなわちハッシュテーブル内のエクスポートハッシュの数である。
【0099】
最初に、ペイロードのアサーションについて検討すると、文書分類の認可を可能にするには、分類を数値表現に変換してこれを境界制御装置がチェックできるようにする。ユーザは複数のスキームを利用することができ、このようなスキームに寿命が曖昧なものはない。
【0100】
1つのこのようなスキームは、「分類」と呼ばれる新たな認可トークンパラメータを作成し、これを境界制御装置から退出できる文書の最大分類の記述に使用することができる。典型的なスキームは、分類(OFFICIAL、CONFIDENTIAL、SECRET、TOP SECRET)である。同様に、ローカルトークンについても、送信者7によってアサートされる分類の値である同じ許容値を有する分類と呼ばれるパラメータが定義されている。
【0101】
これらの許容値は、ヘッダ毎に数値にマッピングされる。1つのこのようなスキームは以下の通りである。
・OFFICIAL-100
・CONFIDENTIAL-200
・SECRET-300
・TOP SECRET-400
【0102】
これを実装するには、エクスポートヘッダ内の符号化値のペアを特定の論理演算と比較するように境界制御装置3、3’に命令する必要がある。この場合、At:分類≧Lt:分類である。
【0103】
境界制御装置内では、エクスポートヘッダを構成する様々なトークン内のマッピングされた値を比較するために異なる論理演算子を使用して、保護マーキングスキーム(protective marking schemes)の他の固有の特徴(characteristics features)を同様に取り扱うこともできる。
【0104】
宛先識別子は、ルーティング及び監査システムがエクスポートヘッダ、所望のゲートウェイグループ4、従って宛先から直接決定されることを可能にする。
【0105】
認可トークン及びセッションIDアレイを含む解放トークンRtは、CRA10によって作成され、署名者エンティティ8に与えられ、その有効期間が終了するまで、又はその後の署名者8からCRA10への要求時に更新された解放トークンに置き換えられるまで、全てのペイロードヘッダの生成において使用される。各認可トークン要求に対する一意の応答を保証するのはエントロピー要素のみである。
【0106】
解放トークンRtは、送信者7がペイロードを送信するのを認可する。この認可はペイロード固有の認可ではなく、有効期間中に解放トークンRtを使用してあらゆる数のペイロードに署名することができる。
【0107】
CRA10は、一方向数学関数、すなわちSi=f(KG,At)を使用して認可トークンと選択されたゲートウェイ恒久的ID KGとを組み合わせることによって取得されたセッションIDの形態の中間値を最初に提供することによって認可応答を作成し、ここで、
・Siは特定の境界制御装置のセッションIDであり、
・KGは特定のゲートウェイの恒久的IDであり、
・Atは(バイトフォーマットでの)認可トークンである。
【0108】
本実施形態では、このプロセスをゲートウェイグループ4内の各ゲートウェイ3、3’について繰り返してアレイ{Si}を提供する。
【0109】
本実施形態では、標準的なHSMアプライアンスにおける標準関数の使用を可能にするために、所与のゲートウェイ3、3’のセッションIDを提供するHMACを使用してSi=HMAC(KG,At)という一方向数学関数を計算し、ここで、
・Siは特定の境界制御装置のセッションIDであり、
・KGは特定のゲートウェイの恒久的IDであり、
・Atは(バイトフォーマットでの)認可トークンである。
【0110】
このSi作成プロセスをゲートウェイグループ4内の各ゲートウェイ3、3’について繰り返してアレイ{Si}を提供する。HMAC関数において使用される関連する秘密鍵は、この境界制御装置3、3’の恒久的IDで形成される。誤解を避けるために述べると、各セッションID、従ってセッションIDアレイはCRA10において作成され、一方向数学関数fは、ペイロード転送のために選択された所定の境界制御装置に対応する。
【0111】
本実施形態では、どの段階においても署名者がKGにアクセスすることはない。代わりに、Siを生成するステップは、共有される恒久的ID KGから導出されてネットワーク境界2を越える転送のためにファイルを転送する際に署名者エンティティ8によって使用される一時的アイデンティティのアレイを有効に作成し、これによって恒久的ID値を送信する必要性が緩和される。恒久的IDは、署名者エンティティ8及び送信者エンティティ7にとって未知の値のままである。実際には、BCD3、3’を除けば、CRA10がKGにアクセスできる唯一の他のエンティティである。
【0112】
CRA10は、署名者エンティティ8からエクスポートゲートウェイG3、3’を使用するための有効な要求があるとHMACを計算し、解放トークンRT=(At,{Si})を署名者エンティティに戻す。後述するように、{Si}を作成するために使用されるHMAC計算は、関連するAtが本物に違いないことを保証するためにゲートウェイ3、3’において再作成される。
【0113】
署名者エンティティ8は、Rtを所持している場合にはFt=g(#(X),Lt,Si)のようなファイルトークンを生成し、ここで、#(X)はペイロードXのハッシュダイジェストである。代替例として、#(X)の代わりにペイロードXを使用することもできる。
【0114】
認可トークンAtは、Ftの生成において直接使用される必要はなく、ここではSiの計算のコンポーネントであるため間接的に使用される。
【0115】
関数gは、所定の境界制御装置3、3’に対応するが、上述した関数fと同じ関数型である必要はない。この例では、gがFt=#(#(X)、Lt、Si)であるようなハッシュ関数である。
【0116】
境界制御装置による認可決定においてペイロード名などの他のパラメータを使用する必要がある場合に境界制御装置3、3’もこれらのパラメータにアクセスできるのであれば、これらのパラメータをハッシュ計算に追加することもできる。
【0117】
例えば、署名者エンティティは、名前Jのペイロードのファイルトークンアレイ{Ft}を作成するために、ハッシュ#(X)を含むペイロードXに署名するように要求された時点でゲートウェイグループ4内の各ゲートウェイ3、3’について以下を計算し、
t=#(X,Lt,J,Si
ここで、
・Xはペイロードのバイトストリームであり、
・Siはさらに各ゲートウェイの(バイトフォーマットでの)セッションIDであり、
・Ltはローカルトークンであり、
・Jはペイロード名であり、
・#は境界制御装置も利用できる好適なハッシュ関数であり、
J+はファイル名であり、アプリケーション内のパラメータとして使用され、エクスポート制御プロセスを通じてファイル名が変化しないままであることを保証する。エクスポートプロセスの一部である計算を容易にするために、ファイル名は、標準的なパディング文字を使用して固定された所定のサイズ制限に拡張することができ、パディングされたファイル名はJとして示される。
【0118】
誤解を避けるために述べると、Xのダイジェストを提供するハッシュ関数と、Ftを提供するハッシュ関数とは異なることができる。
【0119】
BCD3、3’を除けば、KGを知っているのはCRA10のみであり、従ってCRA10のみがセッションIDアレイ{Si}を生成することができる。{Si}を知っているのは認可済み署名者8のみであり、従って認可済み署名者8のみが、{Si}の作成時にエクスポートゲートウェイのグループなどの所与のゲートウェイグループ4内に存在していた全てのBCD3、3’が容認できる{Ft}を生成することができる。これにより、アレイの作成後にゲートウェイグループ4に対してBCDの追加又は削除を行う能力が提供される一方で、ファイル保証スキームが依然として元々のBCDのために動作することが保証される。ただし、後から追加されたBCDは先に生成された{Si}と互換性がないため、これらのBCDを使用することはできない。
【0120】
エクスポートヘッダは署名者において作成され、以下のように構成される。
・認可ヘッダ
・ローカルヘッダ
・ペイロードハッシュ
・ファイルトークンアレイ
【0121】
従って、ファイルトークンであるFtを使用するのではなく、複数のファイルトークンを含むアレイ{Ft}が提供される。
【0122】
tの計算方法は非常に効率的であり、従って各追加のゲートウェイ3、3’をカバーするファイルトークン{Ft}を作成するためのオーバーヘッドは非常に低い。
【0123】
エクスポートヘッダのファイルトークンの数は実装に依存し、その選択は(ヘッダを含む)最大ペイロードサイズに依存するため、特定の上限は存在しない。一時的アイデンティティ{Si}を使用することにより、ペイロード毎にHSMにさらなる要求が突きつけられることがなく、従ってエクスポートヘッダ内のファイルトークンの数がHSM実装の制限によって制約される必要はない。
【0124】
ファイルトークンテーブル内の値はFt=#(#(X),L,J,Si)であり、宛先に到達するために使用できる全ての潜在的ゲートウェイに独立したSiが使用される。
【0125】
ペイロードハッシュ#(X)はオーケストレータ9によって作成され、オーケストレータエビデンスの一部として署名者エンティティ8に提供される。
【0126】
誤解を避けるために述べると、図5に示すように、署名者エンティティ8によって作成されるエクスポートヘッダ情報フォーマットは以下の通りである。
E=(At||Lt||#(X)||{Ft})
【0127】
ここで、エクスポートヘッダ内の各コンポーネントは、そのトークン又はアレイの情報フォーマット、又はハッシュダイジェストである。その後、情報フォーマットされたヘッダは送信者エンティティ7に転送され、ここでバイナリフォーマットに変換され、バイナリヘッダをペイロードの先頭に付加してP=E||Xとしての新たな署名済みペイロードを提供する。
【0128】
その後、署名済みペイロードはシステムの境界制御装置3、3’に転送される。
【0129】
境界制御装置3、3’では、ペイロード特性と予め設定された境界制御装置のパラメータ基準との間の比較が行われる。また、Atの一部を形成するペイロード特性CRA10規定のパラメータ基準(payload properties CRA 10 prescribed parameter criteria)に照らしてコンプライアンスチェックが行われる。
【0130】
境界制御装置は、その鍵を保持するとともに、署名済みペイロードが目的通りに向けられていることをチェックすることによって署名済みペイロードをチェックし、ペイロードがローカルトークン及び認可トークンに対応することをチェックするように構成される。CRA規定のパラメータは、これらが実際に認可されたパラメータであることを保証するために、境界制御装置が様々な認可基準チェックを受けた場合にのみアクセス可能である。
【0131】
ゲートウェイにおける計算は以下の通りである。
・内部KG’からSi’=HMAC(KG’,At)を生成する。
・ヘッダ及び上記Si’からFt’=#(#(X)h,Lt,J,Si’)を生成する。
・ヘッダからFt’=厳密に{Ft}のうちの1つであることをチェックする。
・Xから#(X)gを計算し、#(X)g=#(X)hをチェックする。
・本発明者らの同時係属中のXXXに記載されるように、ペイロード並びにAt及び(Ltが提供されている場合)Ltヘッダに照らして比較チェックを実行する。
【0132】
最終的に、達成すべき最も重要な基準は、境界制御装置において、送信者エンティティから受け取られたAt(すなわち、ヘッダ1)の値と、(上述したようにCRAが使用するものと同一であるように構成された)境界制御装置3、3’ローカル恒久的アイデンティティ情報IDとを使用することによって、セッションID(又は一時的アイデンティティ)Siを再生成することによって提供される。
【0133】
再生成されたゲートウェイセッションID Si’をエクスポートヘッダ内のパラメータと共に使用して、ファイルトークンアレイ{Ft}内のファイルトークンのうちの1つと同一のゲートウェイファイルトークンFt’を生成することができるのであれば、ヘッダパラメータは有効に認可されたと判定され、境界制御装置3、3’においてペイロードコンプライアンスチェックが行われる。
【0134】
境界制御装置は、CRA指定のパラメータ基準、ローカルトークンのローカル基準、及び境界制御装置において指定された(予め構成された工場設定である)内部基準の両方に照らしてペイロードコンテンツの単純比較テストを行うように構成された比較器を有する。
【0135】
重要な点として、CRA10は「極めて重要な」ペイロード基準を提供し、ペイロードがネットワークドメイン境界を越えて転送されることを有効に許可するためにはこれらの条件が満たされなければならない。
【0136】
比較器10は、これらのテストが全て行われて初めて、適用すべきペイロード配信結果を決定することができる。例えば、ペイロードは、テスト基準が全て満たされた場合に境界制御装置10によって解放され、すなわちネットワーク境界2を越えて信頼できるネットワーク12から信頼度の低いネットワーク13に転送される。テスト基準のいずれかに不合格のフラグが立った場合、ペイロードXは、信頼できるネットワーク12と信頼度の低いネットワーク13との間で境界制御装置3、3’を通過することができない。従って、この場合はペイロードXがネットワークドメイン境界を越えて転送されることはない。
【0137】
境界制御装置において提供される解放トークンRtが送信者エンティティ6によって生成されたものと同一でない場合、境界制御装置は指定されたパラメータにアクセスすることができず、境界制御装置3、3’を介して信頼できるネットワークと信頼度の低いネットワークとの間でペイロードXを転送する認可も得られない。
【0138】
この条件付き基準チェックは、CRA10によって指定された固有特性が境界制御装置によって自律的に保証されることを効果的に可能にする。
【0139】
繰り返し述べると、本実施形態では、送信者エンティティ7及び/又はオーケストレータが、ローカルトークンを介してCRAによって指定されたものと同じタイプ(例えば、時間制約)又は異なるタイプであることができるさらなるローカルペイロード特性基準を挿入する。これにより、送信者エンティティは、境界制御装置において行われるペイロード解放判定にさらなる制約を加えることが可能になる。
【0140】
従って、ファイルトークンアレイ{Ft}は{#(X,Lt,Si)}になり、セッションIDアレイ内の各Siのエントリを含む。この結果、エクスポートヘッダは(At,Lt,#(X),{Ft,})によって提供される。エクスポートヘッダは、送信者エンティティ7から境界制御装置に転送される前に再びペイロードXの先頭に付加される。従って、エクスポートすべきペイロードXと共に使用されるエクスポートヘッダが作成され、エクスポートヘッダの少なくとも一部は、各BCD3、3’又は境界制御グループ4のために作成されたファイルトークンFtを含む。これにより、ファイル、環境情報(例えば、時間)及び(予め構成された工場設定又はゲートウェイのアイデンティティである)ゲートウェイの内部情報の両方に照らしたエクスポートヘッダの単純比較テストが可能になる。誤解を避けるために述べると、比較器14は、これらのテストが全て行われて初めて、適用すべきファイル配信結果を決定することができる。例えば、ファイルは、テスト基準が全て満たされた場合に境界制御装置によって解放され、すなわちネットワーク境界2を越えて信頼できるネットワークから信頼度の低いネットワークに転送される。テスト基準のいずれかに不合格のフラグが立った場合、ペイロードXは、信頼できるネットワークと信頼度の低いネットワークとの間でゲートウェイを通過することができない。従って、この場合はペイロード及びそのペイロードがネットワークドメイン境界を越えて転送されることはない。
【0141】
本実施形態は、固有特性が境界制御装置によって自律的に保証されることを有効に可能にし、ローカルトークンLt特性にも同じ自律的保証を適用することができる。
【0142】
認可パラメータの保証は、境界制御装置3、3’に配置された比較器機能を使用して互いに比較される一連のペアになった制約及びアサーションとして認可トークンAt及びローカルトークンLtを(それぞれ)提供することによってさらに強化することができる。
【0143】
具体的には、境界制御装置の比較器10は、ローカル基準を指定するローカルトークンLtと、中央サービスが認可したパラメータである認可トークンAtとの間でそれぞれの値の比較を実施する。
【0144】
重要なこととして繰り返すと、CRA7は、ペイロードXをエクスポートする所定のゲートウェイに関連する固有の恒久的IDを知っており、署名者エンティティ8は、一時的IDを有していて境界制御装置3、3’の恒久的IDを知らない。事実上、恒久的IDは、所与のゲートウェイ3、3’のアイデンティティに依存する秘密鍵値である。
【0145】
境界制御装置3、3’は、境界制御装置3、3’に送信されたペイロードが最終的にCRA10によって認可されていることをチェックするように構成される。ペイロードが認可されていて(解放すべきペイロードの先頭に付加されたペイロードヘッダ内に記憶された)所定の基準に適合する場合には、ペイロードが送信される。チェックにより、ペイロードが認可されておらず、又はエクスポートヘッダに適合していないと判定された場合、境界制御装置はそのファイルを破棄する。
【0146】
CRAは、認可トークンAtのエントロピー要素を提供するために乱数発生器15を使用する。恒久的ID情報は、CRA内の安全な記憶領域16に記憶される。或いは、擬似乱数発生器を使用することもできる。同様に、オーケストレータは、ローカルトークンの要素を生成する際にも乱数発生器(図示せず)を使用する。或いは、擬似乱数発生器を使用することもできる。
【0147】
使用時には、上述したシステムを使用して境界制御装置3、3’を介してネットワーク境界2を越える転送のためにペイロードを保証する方法が提供される。誤解を避けるために述べると、ファイルトークンFtが有効であって全てのテストに合格した場合にのみペイロードが解放される。
【0148】
ヘッダ内に#(X)を配置することで、全てのペイロードが到着する前にFt’、従ってヘッダの有効性を計算することができる。Lt内のSactualパラメータ(Sactual parameter)は、より長い又はより短いXが使用されるのを阻止する。最終的に、このことは、ペイロードがチャンクに分割された時に、チャンクされたバイト数が容易に監査可能であることを保証する。
【0149】
#(X)を含まないエクスポートヘッダの作成は別の表現である。BCD3、3’は、通常の比較器機能の一部として#(X)を計算するが、#(X)が存在しなければ、署名済みペイロードが全て到着するまでFt’を計算することができない。このモードでは、BCD3、3’が比較器演算を完了するのにかかる時間が長くなり、従ってBCDのスループットが低下する。
【0150】
設計上、
i.送信者エンティティ8はBCD3、3’と通信しているが、ペイロードに署名することはできず、従ってペイロードを検証することはできない。
ii.署名者エンティティ8は、エクスポートヘッダを作成することはできるがペイロードの検証エビデンスを作成することはできず、BCD 3、3’から分離されているので署名済みペイロードをBCDに直接転送することはできない。
iii.オーケストレータ9のエンティティは、ペイロードを独立して検証するが、BCD3、3’及びCRA10から分離されており、従ってペイロードに署名するように構成されていない。
従って、ペイロードの保証レベルを改善するように3つの独立した障害点を提供する3ステップテストが提供される一方で、以下で説明するように拡張性が可能になる。
【0151】
この使用では、図6に示すように、方法が、署名者8ではなくオーケストレータ9によって#(X)を生成することを含む。本発明の第1の実施形態では、以下の方法ステップが提供される。
1.外部要求者エンティティ17が、特定の宛先Dへのペイロードの送信を検証するように構成されたオーケストレータに、DにペイロードXを送信するように要求を行う。
2.オーケストレータ9は、要求者17及び宛先Dの特定のルールに照らしてペイロードを検証し、例えば要求者17は、特定のファイルタイプ、又はXMLスキーマなどの特定の情報フィルタに一致するペイロードのみを送信することができる。
3.オーケストレータルールが満たされた場合、オーケストレータ9は、(署名者8がエクスポートヘッダ情報を生成するために使用する)ローカルトークンLt内に出現するペイロードの特定の仕様(通常これらは、ペイロードハッシュ#(X)、実際のサイズ、要求UUIDを含む)を含むエビデンスオブジェクトを生成する。エビデンスの完全性を保持するために、エビデンスオブジェクトにデジタル署名することができる。オーケストレータ9がLt情報のサブセットを作成してその完全性を保証することで、送信者がこれを変更することが防がれる。
4.次に、オーケストレータ9は、ペイロードX及びエビデンスオブジェクトを送信者7に受け渡す。或いは、オーケストレータは、エビデンスオブジェクトを署名者に直接受け渡し、或いは署名者8と共有される共通記憶領域内にオブジェクトを受け渡して、送信者7によるエクスポート署名要求を待つ。
5.送信者エンティティ7は、ペイロードX及びエビデンスを受け取り、ローカルトークンLtに必要ないずれかの最終情報を作成し、この宛先への送信のためにペイロードに署名することが認可された署名者8にエビデンス及びいずれかの追加Lt情報を受け渡してエクスポートヘッダ情報を作成する。
6.署名者エンティティ8は、有効な解放トークンを所持していない場合、必要な境界制御装置3、3’を越えたペイロードの転送のためにCRA10に認可トークンを要求する。
7.CRA10は、Atを含む解放トークンRtを署名者エンティティ8に発行する。認可トークンAtは一意であり、ペイロード転送認可要求に対する応答として署名者エンティティ8に転送される解放トークンRtを作成するために使用される一時的ID Siを作成するために使用される。
8.署名者エンティティ8は、エクスポートヘッダ情報を作成して送信者エンティティ7に戻す。
9.送信者エンティティ7は、バイナリエクスポートヘッダを作成し、これをペイロードXの先頭に付加し、許可されたBCD3、3’の各々又はいずれかに署名済みペイロードを送信する。
【0152】
次に、境界制御装置3、3’において、ヘッダ内のコンテンツが、ローカルトークン内のものと共に、境界制御装置3、3’においてハードプログラムされた既知のローカル値及びCRA10によって指定された認可済みパラメータと比較される。
【0153】
境界制御装置3、3’は恒久的IDを記憶し、これに内部的に/ローカルにアクセスして様々な関数の計算を可能にするように構成される。上述したように、CRA10には各境界制御装置の秘密のコピーが委ねられる。1つの実施形態では、恒久的IDがゲートウェイの製造時に決定され、決して変更されない。ゲートウェイグループ内の各ゲートウェイの恒久的IDは、許可された送信者エンティティに発行される要求トークンRtにそれぞれが含まれるセッションID Siを生成するために使用される。この結果、送信者エンティティは、境界制御装置3、3’のいずれかを介して署名済みエクスポートペイロードをエクスポートすることができる。目的は、ペイロードXと共に境界制御装置3、3’に送信される、ファイルトークン及び認可トークンに依存するバイナリエクスポートヘッダを送信者エンティティ7が生成することである。
【0154】
CRA10は、要求毎に一意の認可トークンを提供するように認可トークンに埋め込まれる32バイトのランダム値を生成する。トークン要求が有効なステップであるためには、送信者エンティティ7が、CRA10によって許可される時間制約TS1及びTS2、最大ペイロードサイズS、並びにファイルタイプFの値を要求しなければならず、或いはCRA10がこれらのフィールドのいずれか又は全てについて所定の値を課すこともできる。これを達成するには、署名者が値を求めてCRA10が同意するか、或いは署名者エンティティが「ゲートウェイの使用」を要求してCRA10が特定の値を義務付けるかの2つの方法がある。
【0155】
CRA10によって認可トークン内に提供されるTS1及びTS2と同様に、ローカルトークンには送信者エンティティによってTMペアが提供される。(TS時間に基づく)セッションID Siの有効期限は日単位で測定することができ、TS時間制限間に境界制御装置3、3’に到着するペイロードは、いずれも時間に関して有効なatを有しているものとみなされる。しかしながら、いくつかの用途では、メッセージが認可トークンAtのトークン寿命よりもはるかに短い有用寿命を有することがある。TM時間は、メッセージが(許可されない場合とは対照的に)もはや有用でない時に境界制御装置がそのメッセージを拒絶できるようにするためにメッセージの「有用な稼動ウィンドウ」を定めるために使用され、従って第2の時間フィルタとして機能する。従って、TM1は、エポックタイムでの時間「から有効な」署名済みペイロードとみなすことができ、エポックタイムがこの時間よりも前である場合にはエクスポートを受け入れてはならない。同様に、TM2は、エポックタイムでの時間「まで有効な」署名済みペイロードとみなすことができ、エポックタイムがこの時間よりも後である場合にはエクスポートを受け入れてはならない。TM1=TM2=4バイトである。
【0156】
トークン情報及びセッションIDアレイ{Si}が署名者エンティティ8に転送されると、CRAの時間制限を考慮してローカルパラメータTM1、TM2が再評価される。次に、署名者エンティティ8は、At、Lt、#X及びFtを含むエクスポートヘッダを作成するために使用されるファイルトークンFtを作成する段階に進む。図5に示すように、ヘッダには(ハッシュ関数をより効率的にするためのアーチファクトである)ヌルパディングが提供される。エクスポートヘッダは、ペイロードXの先頭に付加されて、送信者エンティティによって所定の境界制御装置に転送される。
【0157】
図7に示す本発明の第2の実施形態では、方法が以下を含む。
1.外部要求者17が、境界制御装置3、3’の最大サイズ容量よりも大きなペイロードをオーケストレータエンティティ9に送信する。
2.オーケストレータ9がペイロードを意図する宛先に適していると評価した場合、ペイロードはチャッキングプロセス(chucking process)に進むことができる。
3.ペイロードは、エクスポートヘッダを考慮して、それぞれがBCD3、3’から利用可能な最大サイズよりも小さなチャンクに分割される。チャンキングは、元々のペイロードの物理的部分を記憶媒体に書き込むことも、或いは全てのプロセスがチャンキングアルゴリズムに合意して元々のペイロードから同一チャンクを生成できるアルゴリズム的チャンキングを伴うこともできる。後者の選択肢では、記憶媒体の書き込みサイクルが排除されるため、実装の効率化が可能になる。
a.チャンキングのアルゴリズムはファイルタイプに依存し、送信者7とオーケストレータ9との間で共通していなければならない。
b.チャンクの命名規則には共通合意がなければならない。
4.チャンクされると、オーケストレータ9は、署名者8がペイロードの各チャンクのために必要とする情報を提供する複合エビデンスを署名者8のために作成する。各チャンクには以下が存在する。
a.パーツ番号(1からNまで、Nはチャンクの数)
b.このパーツの属性:サイズ、ハッシュ及び(該当する場合には)ペイロードサフィックスを含む
5.効率性が必要な場合には、エビデンス及びオリジナルペイロードへの参照のみを送信者7に送信すればよい。
6.送信者7は、ペイロードへの署名要求の一部として署名者8に複合エビデンスを送信する。
7.署名者8は、各チャンクにつき1つずつ情報エクスポートヘッダのアレイで応答する。
8.送信者7は、チャンクアルゴリズムを独立してチャンク毎に実行する。
a.情報エクスポートヘッダのアレイから、そのチャンクのためのエクスポートヘッダを生成する。
b.所定のスキームに基づいて、ローカルトークン内のパーツ番号に基づいてチャンク名を生成し、例えばペイロード名がJであった場合、チャンクNはJ||Nというペイロード名を有し、Nは、場合によっては左詰めされるパーツ番号であり、例えばペイロード「ファイル」は、「ファイル001」及び「ファイル002」などのチャンク名を有する。
c.チャンクされたペイロードの先頭にチャンクのエクスポートヘッダを付与する。
d.チャンクされた署名済みペイロードをチャンク名に命名する。
【0158】
送信者7は、標準的な機構を使用して署名済みペイロードをゲートウェイグループ4に発送することができる。この第2の実施形態の結果は、チャンキングによって単一のBCD3、3’を介して任意のサイズのペイロードを送信できることである。ただし、BCD3、3’のサイズ制限はチャンクレベルでのみ実施される(従って、認可トークンにおける固有のサイズ制御は、全てのチャンクの集約サイズとなるファイルのサイズを制限する上でそれ自体は有用でない)。
【0159】
パーツ番号を使用することで、各チャンクのローカルトークンLtが一意であることが保証され、これとUUIDの一意性とが組み合わさって、全てのエクスポートの全てのパーツのローカルトークンが一意であることが保証される。また、共通UUIDを使用することで、各パーツがその親の無傷のペイロード(parent intact payload)に直ちにリンクされることが可能になることによって監査及び会計などの活動が簡素化される。
【0160】
各チャンクに独立した一意のUUIDを使用することもできる。
【0161】
第1及び第2の実施形態を組み合わせることにより、どちらのBCD3、3’が利用可能であるかを送信者エンティティ7が知る必要がなく、又はエクスポートのイニシエータがオーケストレータ9に入る前にペイロードをチャンクする必要なく、レジリエントなBCD3、3’の組のいずれか一方を介して任意のペイロードが送信されることを適切に許可することができる。
【0162】
当業者には、上述した原理の様々な修正が思い浮かぶであろう。例えば、ペイロードを送信したいと望むエクスポート認可制御の外部エンティティである要求者エンティティ17の形態で提供されるさらなる電子エンティティが存在することもできる。この実施形態では、送信者が要求者エンティティ17の代役を果たす。このような設定は、ペイロードのインポートのために実装することができる。
【0163】
ゲートウェイグループ定義を更新して署名者に新たな解放トークンを発行し、或いは新たなBCDを含む署名者からの新たな解放トークン要求を待って全ての有効なトークンが更新された時にのみ新たなBCDを展開することによって、新たなBCDの搭載を容易に行うこともできる。
【0164】
サービスからのBCDの削除は、ロードバランサプールからBCDを削除し、恒久的アイデンティティに基づく一時的IDを有する新たな解放トークンの発行を停止することによって透過的に処理される。現在有効な解放トークンは、有効期限が切れるまで問題なく使用することができる。
【0165】
或いは、署名者からエクスポートヘッダをバイナリフォーマットで転送することもできる。
【0166】
チャンキングがいつ許可されるか、及び潜在的に最大許容チャンク数及びその最大許容サイズをアサートするために、認可トークンにさらなる認可パラメータを追加することもできる。このパラメータは、このような制約が必要な場合に最大ペイロードサイズを強要する通常のAtパラメータの代替として機能することができる。チャンキングは(1回のトランザクションでエクスポートできる情報量に起因してリスク面で)強力な動作であるため、Atへの必須のアドオンではないが有用であり、従ってチャンキングが許可されるかどうか、及びいつどの程度まで許可されるかを指定できることが有利である。
【0167】
認可スキームをTCP/IPなどの専門的な使用事例に(例えば、送信元及び送信先のIPアドレス及び範囲、送信元及び送信先ポート範囲、パケット特性)特化するように変更することにより、BCDは、ファイアウォールと同種の柔軟なレイヤ4パケットオーソライザーになることができるが、異なるパケット特性が認可を必要とする際に内部構成を必要としなくなり、さらにこのような認可済み特性はBCDグループ全体にわたって自動的に適用される。本主題の専門家には、強く特性化された情報フォーマットでの他の同様の使用が明らかになるであろう。
【0168】
或いは、HMAC関数を使用する代わりに、この一方向数学関数はハッシュを含み、関連する秘密鍵は、CRA10が知っている境界制御装置KGの恒久的IDで形成され、すなわちSi=#(KG,At)である。これらの関数については、いずれも基礎となる暗号ハッシュ関数は重要でなく、いずれかの暗号ハッシュ関数を使用することができる。実装者による好適な暗号ハッシュアルゴリズムの選択は、数ある中でもとりわけアルゴリズムの寿命及び暗号強度を考慮することによって動機付けられる。
【0169】
本発明の別の実施形態では、ヘッダ内にローカルトークンを提供せず、ローカル基準を指定するローカルトークンLtと、中央サービス認可済みパラメータである認可トークンAtとの間のそれぞれの値の比較を行わないこともできる。なお、Ltヘッダが使用されない場合には、各ペイロードの一意のヘッダを提供するために、オーケストレータによって作成されたノンス又はその他のエントロピー要素を利用することができず、従って繰り返されるペイロード及び潜在的にチャンクされたペイロードの一意のペイロードヘッダの特性はもはや真であることが保証されず、従ってこの別の実施形態を使用する利点は少ない。とは言うものの、一意性の欠如は保証が機能するために必須ではなく、すなわち署名が有効でなくニッチリスク外(outside of niche risks)であればエクスポートすることはできないが、一旦何かをエクスポートすると、それを再びエクスポートすることは機密性に関してそれほど悪いことではない。
【0170】
本発明のさらに別の実施形態では、CRA10が、ペイロードの解放保証又は認可には使用されない代わりにスキームの効率的な管理を保証するために使用される追加情報を含む認可トークンAtを提供する。例えば、Atは、最優先すべきエクスポートの選択を優先度の低いエクスポートよりも優先させることができるサービス品質(QoS)への参照を含むことができる。
【0171】
同様に、同様の目的でLtに管理情報を追加することもでき、例えばペイロードをチャンクし又は別様に変更する場合には、元々の受け入れられたペイロードへの参照を追加することができる。
【0172】
署名者8、送信者7及びオーケストレータ9の役割を分離する必要がなく、代わりに様々な統合された役割に組み合わせることができる様々な別の実装を提供することもできる。例えば、i.送信者の役割とオーケストレータの役割、ii.送信者の役割と署名者の役割、iii.3つ全ての分解/組み合わせが可能である。
【0173】
署名済みペイロードは基本的に別のペイロードタイプであるため、既に署名されているペイロードに署名して多重署名済みペイロード(multiple signed payload)を作成することが可能である。このことは、直列に接続されたBCDゲートウェイグループを通じて送信する際に有用である。この別の実施形態では、署名の各層に異なる署名者を使用することができる。
【0174】
別の選択肢は、解放が許可される前に複数の認可を要求することである。例えば、この選択肢は、認可トークンAtに重みWと呼ばれるパラメータを追加することによって実装することができ、この場合、全ての認可トークンの重みの集約値は閾値を上回らなければならない。その後、BCDは、選択された重み付けスキームを強要するように構成される。
【0175】
エクスポートを考慮する代わりに、インポート、すなわち信頼度の低いネットワークから信頼度の高いネットワークへのペイロード転送を信頼度の低いネットワークからのエクスポートとみなすこともできる。信頼度の高いネットワークの視点から見れば、インポートのためのCRAは信頼度の低いネットワーク内に存在し、信頼度の低いネットワークからの全てのインポートが信頼度の高いネットワークへの送信を認可されていることを保証する。
【0176】
ゲートウェイグループ4内の全てのBCD装置3、3’が1つのサイトに存在する必要はなく、3方向レジリエンス(three way resilience)を達成するために、1つのゲートウェイグループ4内のBCD装置3、3’を3つの物理的位置に分散させ、送信者とBCDとの間のロードバランサーが、最高のパフォーマンスのためにローカルゲートウェイを選択し、又はローカル障害によってこれらが利用できない場合にはリモートゲートウェイを選択することができる。同様に、署名者8、オーケストレータ9、CRA及び送信者7も複数のサイト上に存在して、完全なエクスポート保証スキームレジリエンスを達成することができる。
【0177】
上述した実施形態は、保証スキームが企業スケールで設定されることを可能にするとともに、以下の要件が満たされことを可能にする。
1.以下の理由で効果的な監査を可能にする。
a.全てのエクスポートペイロードが効果的に識別可能であること、
b.プロセスの全ての段階が共通識別子を使用すること、
c.エクスポートペイロードの識別子が一意であること、及び、
d.チャンクされたエクスポートペイロードの識別子が元々のペイロード要求に単純かつ明示的に関連すること。
2.以下の理由でレジリエンス、性能及びスケールを可能にする。
a.エクスポート認可制御アーキテクチャの全ての部分をレジリエントに構築しなければならず、レジリエントがローカル及びサイトレジリエンスを含むこと、
b.チャンキングオプションと共に使用されるエクスポート認可制御が、単一のペイロードの転送において複数のBCDが使用されることを可能にすることによって帯域幅の増加を可能にすること、及び、
c.高セキュリティであるが性能が限られたコンポーネントへの依存度が低いことにより、エクスポート認可制御アーキテクチャを単位期間当たりのバイト及びペイロードの面で高度に拡張できること。
3.以下の理由でセキュリティを可能にする。
a.単一コンポーネントの侵害後に悪用される特徴がある(すなわち、通常は禁止されるペイロードの送信を可能にする)コンポーネント構成でアーキテクチャを展開できること。
4.以下を理由とするシンプルな管理。
a.エクスポート認可制御が、エクスポートヘッダへの管理情報の埋め込みを可能にして全ての電子エンティティとしての効率的なスキームの運用を可能にすること。
【符号の説明】
【0178】
1 ペイロード認可制御システム
2 ネットワーク境界
3、3’ 境界制御装置
4 境界制御グループ
5 コンピュータプロセッサ
6 データ記憶装置
7 送信者エンティティ
8 署名者エンティティ
10 中央解放オーソリティ(CRA)
11、11’ アイデンティティブロック
12 第1のネットワーク
13 第2のネットワーク
14 比較器
15 乱数発生器
16 記憶領域
17 外部要求者エンティティ
図1
図2
図3
図4
図5
図6
図7
【国際調査報告】
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.