▶ ノースロップ グラマン システムズ コーポレイションの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-03-27
(54)【発明の名称】データへのアクセスを制御するための環境検証
(51)【国際特許分類】
G06F 21/62 20130101AFI20240319BHJP
G06F 21/57 20130101ALI20240319BHJP
【FI】
G06F21/62 318
G06F21/57 350
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023561780
(86)(22)【出願日】2022-02-25
(85)【翻訳文提出日】2023-10-30
(86)【国際出願番号】 US2022017853
(87)【国際公開番号】W WO2022216378
(87)【国際公開日】2022-10-13
(31)【優先権主張番号】17/226,552
(32)【優先日】2021-04-09
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】520128820
【氏名又は名称】ノースロップ グラマン システムズ コーポレーション
(74)【代理人】
【識別番号】100105957
【弁理士】
【氏名又は名称】恩田 誠
(74)【代理人】
【識別番号】100068755
【弁理士】
【氏名又は名称】恩田 博宣
(74)【代理人】
【識別番号】100142907
【弁理士】
【氏名又は名称】本田 淳
(72)【発明者】
【氏名】ラッツ、スティーブン ディ
(72)【発明者】
【氏名】ノエ、ブライアン ジェイ
(72)【発明者】
【氏名】シュミット、キャサリン イー
(72)【発明者】
【氏名】ボーチェ、アレクサンダー ジェイ
(72)【発明者】
【氏名】スティーブンス、アルバート シー
(72)【発明者】
【氏名】シュロズ、マイケル
(57)【要約】
環境検証に基づいてデータへのアクセスを制御するためのシステムは、一組の環境センサから環境内のノードの環境パラメータを特徴付けるデータを受信する物理環境認証器を含む。物理環境認証器は、複数の相関した環境パラメータを互いに比較し、かつ/または閾値と比較する。複数の相関する環境パラメータの少なくとも一部は、一組の環境センサからのデータに基づいており、複数の相関する環境パラメータがノードが認可された環境で動作していることを示す場合、データへのアクセスが許可され、複数の相関する環境パラメータがノードが認可された環境で動作していないことを示す場合、データへのアクセスが阻止される。
【特許請求の範囲】
【請求項1】
環境検証に基づいてデータへのアクセスを制御するためのシステムであって、機械実行可能命令を有する非一時的メモリと、
機械可読命令にアクセスするための処理ユニットと、を備え、前記機械可読命令は、物理環境認証器を含み、
前記物理環境認証器は、
一組の環境センサから環境内のノードの複数の環境パラメータを特徴付けるデータを受信し、
複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからの前記データに基づいており、前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを許可し、前記複数の相関する環境パラメータが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを阻止する、システム。
【請求項2】
前記物理環境認証器が修正されていないことを確認するためのトラステッドブートを実行するトラストサーバのルートをさらに備える、請求項1に記載のシステム。
【請求項3】
前記物理環境認証器は、暗号エンジンから復号化されたデータを受信し、前記復号化されたデータを前記ノードに提供する、請求項1に記載のシステム。
【請求項4】
前記一組の環境センサは、特定用途向け集積回路(ASIC)チップ上に集積されている、請求項1に記載のシステム。
【請求項5】
前記物理環境認証器は、前記一組の環境センサの第1の環境センサから提供された第1の環境パラメータを、前記一組の環境センサの第2の環境センサから提供された第2の環境パラメータを特徴付けるために使用された測定単位に変換および/またはフォーマット化して、前記複数の相関する環境パラメータを形成する、請求項1に記載のシステム。
【請求項6】
前記一組の環境センサの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、請求項1に記載のシステム。
【請求項7】
前記第1の環境パラメータは、前記ノードに加えられる剪断力であり、前記第2の環境パラメータは、前記ノードの温度である、請求項6に記載のシステム。
【請求項8】
前記第1の環境パラメータは、前記ノードの加速度であり、前記第2の環境パラメータは、前記ノードによって消費される燃料の量である、請求項6に記載のシステム。
【請求項9】
前記第1の環境センサは、全地球航法衛星システム(GNSS)受信機であり、前記第2の環境センサは、慣性測定ユニット(IMU)である、請求項6に記載のシステム。
【請求項10】
前記第1の環境センサは、全地球航法衛星システム(GNSS)受信機であり、前記第2の環境センサは、加速度計である、請求項6に記載のシステム。
【請求項11】
前記第1の環境センサは、前記ノードの加速度を測定する加速度計であり、前記第2の環境センサは、質量流量計、温度センサ、および圧力センサのうちの1つである、請求項6に記載のシステム。
【請求項12】
前記第1の環境センサは、前記ノードの加速度を測定する加速度計であり、前記第2の環境センサは、前記ノードの表面の変形を測定する変形メータである、請求項6に記載のシステム。
【請求項13】
前記第1の環境パラメータは、前記ノードの衝撃または振動を特徴付け、前記第2の環境パラメータは、前記ノードの加速度を特徴付ける、請求項6に記載のシステム。
【請求項14】
前記第1の環境パラメータは、前記ノードの応力または歪みを特徴付け、前記第2の環境パラメータは、前記ノードの加速度を特徴付ける、請求項6に記載のシステム。
【請求項15】
前記第1の環境パラメータは、第1の周波数で前記ノードを通って伝搬する第1の音波を特徴付け、前記第2の環境パラメータは、前記ノードの衝撃、振動、加速度、速度、および圧力のうちの1つを特徴付ける、請求項6に記載のシステム。
【請求項16】
前記第1の環境パラメータは、前記ノードにおける燃料の量を特徴付け、前記第2の環境パラメータは、前記ノードの加速度を特徴付ける、請求項6に記載のシステム。
【請求項17】
前記第1の環境パラメータは、前記ノードの本体の迎角を特徴付け、前記第2の環境パラメータは、前記ノードの前記本体の周りのフローストリームの速度を特徴付ける、請求項6に記載のシステム。
【請求項18】
前記第1の環境パラメータは、前記ノードに対する流体のよどみ温度を特徴付け、前記第2の環境パラメータは、前記ノードに対する前記流体のよどみ圧を特徴付ける、請求項6に記載のシステム。
【請求項19】
前記第1の環境パラメータは、前記ノードに関する燃料の質量流量を特徴付け、前記第2の環境パラメータは、前記ノードに関する前記燃料の位置、速度、および加速度のうちの少なくとも1つを特徴付ける、請求項6に記載のシステム。
【請求項20】
前記第1の環境パラメータは、前記ノードの磁場の方位を特徴付け、前記第2の環境パラメータは、前記ノードの位置または方位を特徴付ける、請求項6に記載のシステム。
【請求項21】
前記第1の環境パラメータは、前記ノードの磁場の方位を特徴付け、前記第2の環境パラメータは、前記ノードの位置または方位を特徴付け、前記一組の環境センサのうちの第3の環境センサが、時間を特徴付ける第3の環境パラメータを測定する、請求項6に記載のシステム。
【請求項22】
一組の環境パラメータは、3軸加速度計を含み、前記複数の相関する環境パラメータは、3つの別個の軸における前記ノードの加速度を含み、前記物理環境認証器は、前記3つの別個の軸における前記ノードの前記加速度が所定の持続時間の間の微小重力に対応する場合、データへのアクセスを許可する、請求項1に記載のシステム。
【請求項23】
前記一組の環境センサのうちの所与の環境センサは、前記ノードから物理的に分離されており、前記所与の環境センサからのデータは、前記物理環境認証器に無線により送信される、請求項1に記載のシステム。
【請求項24】
前記一組の環境センサの各環境センサは、同じ環境パラメータを測定する、請求項1に記載のシステム。
【請求項25】
前記物理環境認証器は、前記複数の相関する環境パラメータの各々をさらにスコア付けし、前記物理環境認証器は、M個(Mは2以上の整数)の相関する環境パラメータに関するスコアが対応する閾値スコアを満たす場合、およびN個(Nは1以上の整数)の相関する環境パラメータに関するスコアが対応する閾値スコア未満である場合、データへのアクセスを許可する、請求項1に記載のシステム。
【請求項26】
前記物理環境認証器は、前記ノードが前記認可された環境で動作していることを示す前記複数の相関する環境パラメータに応答して、暗号化された形式のデータを復号化するために使用可能な秘密鍵へのアクセスを許可する、請求項1に記載のシステム。
【請求項27】
機械実行可能命令を有する非一時的な機械可読媒体であって、前記機械実行可能命令は、物理環境認証器を含み、前記物理環境認証器は、
データへのアクセスの要求をノードから受信し、
前記要求に応答して、一組の環境センサから前記ノードの複数の環境パラメータを特徴付けるデータをキャプチャし、
複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからの前記データに基づいており、前記一組の環境センサの各々からの前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを認可し、前記複数の相関する環境パラメータのうちの少なくとも1つが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを拒否する、非一時的な機械可読媒体。
【請求項28】
前記物理環境認証器が修正されていないことを確認するためのトラステッドブートを実行するトラストサーバのルートをさらに備える、請求項27に記載の非一時的な機械可読媒体。
【請求項29】
前記物理環境認証器は、復号化されたデータを前記ノード上のコンピューティングプラットフォームに提供する、請求項27に記載の非一時的な機械可読媒体。
【請求項30】
前記一組の環境センサのうちの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサのうちの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、請求項27に記載の非一時的な機械可読媒体。
【請求項31】
前記一組の環境センサのうちの所与のセンサは、前記ノードから物理的に分離されており、前記所与の環境センサからのデータは、前記物理環境認証器に無線により送信される、請求項27に記載の非一時的な機械可読媒体。
【請求項32】
前記一組の環境センサのうちの少なくとも2つの環境センサは、同じ環境パラメータを測定する、請求項27に記載の非一時的な機械可読媒体。
【請求項33】
前記一組の環境センサのうちの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサのうちの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、請求項27に記載の非一時的な機械可読媒体。
【請求項34】
前記物理環境認証器は、複数の環境パラメータの各々が相関するように、前記複数の環境パラメータのうちの1つまたは複数を変換、フォーマット化、および/または融合する、請求項27に記載の非一時的な機械可読媒体。
【請求項35】
前記物理環境認証器がデータへのアクセスを許可することに応答して、暗号エンジンは、秘密鍵を使用して暗号化されたデータを復号化する、請求項27に記載の非一時的な機械可読媒体。
【請求項36】
環境検証に基づいてデータへのアクセスを制御するための方法であって、セキュアコンピューティングプラットフォーム上で実行される物理環境認証器が、ノードからデータへのアクセスの要求を受信するステップと、
前記物理環境認証器が、前記要求に応答して、一組の環境センサから前記ノードの複数の環境パラメータを特徴付けるデータをキャプチャするステップと、
前記物理環境認証器が、複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからのデータに基づいており、前記一組の環境センサの各々からの前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを許可し、前記複数の相関する環境パラメータのうちの少なくとも1つが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを拒否するステップと、を含む方法。
【請求項37】
前記一組の環境センサのうちの1つまたは複数から提供されたデータを変換および/またはフォーマット化して、前記複数の相関する環境パラメータを形成するステップをさらに含む、請求項36に記載の方法。
【請求項38】
前記一組の環境センサのうちの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサのうちの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、請求項36に記載の方法。
【請求項39】
前記セキュアコンピューティングプラットフォームの暗号エンジンが、データへのアクセスが許可されたことに応答して、秘密鍵を使用して暗号化された形式のデータを復号化するステップをさらに含む、請求項36に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、データアクセスに関する。より詳細には、本開示は、環境検証を用いてデータへのアクセスを制御するためのシステムおよび方法に関する。
【背景技術】
【0002】
セキュアコンピューティングプラットフォーム(セキュア暗号プロセッサとも呼ばれる)は、暗号化動作を実行するための専用コンピュータオンチップまたはマイクロプロセッサであり、セキュアコンピューティングプラットフォームにある程度の耐タンパー性を与える複数の物理的セキュリティ対策を有するパッケージングに埋め込まれる。トラステッドプラットフォームモジュール(TPM:Trusted Platform Module)は、セキュアコンピューティングプラットフォームのための国際標準である。TPMは、一体化された暗号鍵によってハードウェアを保護するように設計された専用マイクロコントローラとして実装され得る。
【0003】
セキュアコンピューティングプラットフォームは、オンボードセキュア暗号鍵の生成、保存、および管理を含む。加えて、セキュアコンピューティングプラットフォームは、コンテンツの復号化および暗号化を実行するために、そのような鍵を使用することができる。このようにして、セキュアコンピューティングプラットフォームは、秘密鍵(例えば、非対称鍵ペアの非対称鍵、または対称鍵)を使用して、秘密鍵を外部ソースに公開することなくデータを暗号化および/または復号化することができる。
【発明の概要】
【0004】
一例は、環境検証に基づいてデータへのアクセスを制御するためのシステムに関する。システムは、機械実行可能命令を有する非一時的メモリと、機械可読命令にアクセスするための処理ユニットとを含み得る。機械可読命令は、一組の環境センサから環境内のノードの環境パラメータを特徴付けるデータを受信する物理環境認証器を含み得る。物理環境認証器は、複数の相関した環境パラメータを互いに比較し、かつ/または閾値と比較し得る。複数の相関する環境パラメータの少なくとも一部は、一組の環境センサからのデータに基づいており、複数の相関する環境パラメータがノードが認可された環境で動作していることを示す場合、データへのアクセスが許可され、複数の相関する環境パラメータがノードが認可された環境で動作していないことを示す場合、データへのアクセスが阻止される。
【0005】
別の例は、機械実行可能命令を有する非一時的な機械可読媒体に関する。機械実行可能命令は、ノードからデータへのアクセスの要求を受信し、要求に応答して、一組の環境センサからノードの複数の環境パラメータを特徴付けるデータをキャプチャする物理環境認証器を含み得る。物理環境認証器はまた、複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し得る。複数の相関する環境パラメータの少なくとも一部は、一組の環境センサからのデータに基づいており、複数の環境センサの各々からの複数の相関する環境パラメータが、ノードが認可された環境で動作していることを示す場合、データへのアクセスが許可され、複数の相関する環境パラメータのうちの少なくとも1つが、ノードが認可された環境で動作していないことを示す場合、データへのアクセスが拒否される。
【0006】
さらに別の例は、環境検証に基づいてデータへのアクセスを制御する方法に関する。方法は、セキュアコンピューティングプラットフォーム上で実行される物理環境認証器が、ノードからデータへのアクセスの要求を受信するステップを含み得る。方法はまた、物理環境認証器が、要求に応答して、一組の環境センサからノードの複数の環境パラメータを特徴付けるデータをキャプチャするステップを含み得る。方法は、物理環境認証器が、複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較するステップをさらに含み得る。複数の相関する環境パラメータの少なくとも一部は、一組の環境センサからのデータに基づいている。物理環境認証器は、一組の環境センサの各々の複数の相関する環境パラメータが、ノードが認可された環境で動作していることを示す場合、データへのアクセスを許可し、複数の相関する環境パラメータのうちの少なくとも1つが、ノードが認可された環境で動作していないことを示す場合、データへのアクセスを拒否する。
【図面の簡単な説明】
【0007】
【図1】データへのアクセスを制御するために環境検証を用いるシステムの一例を示す図である。
【図12】データへのアクセスを制御するために環境検証を用いる特徴を含むノードの例を示す図である。
【図13】環境検証を使用してデータへのアクセスを制御する例示的な方法のフローチャートを示す図である。
【発明を実施するための形態】
【0008】
本出願は、環境検証プロセスを用いてデータへのアクセスを制御するためのシステムおよび方法に関する。より具体的には、本出願は、偽装することが困難(または実行不可能)であり、従って、データへのアクセスを制御するための基礎として使用される、固有かつ特徴的な物理環境条件を検証するためのシステムに関する。そのようなシステムは、データの暗号化された形式を復号化するために必要とされる秘密鍵へのアクセスを許可(または拒否)するために、複雑な複数の組の相関する環境パラメータを確実に検証するために採用され得る。現在および以前に観測された実際の動作環境条件をロバストに検証することによって、本明細書で説明されるシステムおよび方法は、認可された環境の前または外で動作する際にデータへのアクセスを制限するために必要とされるシステムのサイバーセキュリティパフォーマンスを向上させる。
【0009】
より全般的には、システムは、一組の環境センサから提供される複数の相関する環境パラメータを分析および比較して、(データを復号化するために使用可能な)秘密鍵へのアクセスが認可されるかどうかを判定することができる。複数の組の環境パラメータは、複数のパラメータにわたって取得された測定値が複数のパラメータが観測されている実際の環境を反映するような環境の偽装に耐性があるような、2つ以上のパラメータが相関している任意の環境パラメータであり得る。
【0010】
実施形態の一例として、システムは、環境検証プロセスを使用して、暗号化されたデータの公開を制御することができるため、システムが、複数の相関する環境パラメータによって特徴付けられる認可された環境内で現在動作しているか、または以前に観測したことを確認した後にのみ、そのようなデータが復号化される。いくつかの例では、複数の環境パラメータは直接比較され得る。他の例では、システムは、物理法則の適用により相関させることで、認可された環境を偽装することを実行不可能にし、従って環境を確実に検証することができる。
【0011】
いくつかのシステム(例えば、衛星)は、特定の認可された環境(例えば、天体を周回する軌道または準軌道上などの特定の動作物理環境)に到達した後にのみ、特定の機能を実行するか、または特定のデータにアクセスするように意図されており、認可された環境に到達すると、そのようなシステムは、暗号化されたデータへのアクセスを必要とする。さらに、いくつかの例では、そのようなシステムは、認可された環境への経路を辿る間に、以前に他の異なる物理環境で時間を費やしている。従来の手法では、これらの状況において、そのようなシステムへの物理的アクセスを得た権限のない者(例えば、侵入者または敵対者)は、通常、認可された環境を複製することができないため、暗号化されていない形式でデータを明らかにしようとする試みが妨げられ、かつ/または阻止される。
【0012】
図1は、データへのアクセスを制御するために環境検証を用いるシステム100の一例を示す。データは、ファイルに保存され得、いくつかの例では、データは、セキュアデータであり得る。本明細書で使用される場合、「ファイル」という用語は、単一のデジタルファイルまたは複数のデジタルファイルに対応し得る。加えて、ファイルは、データファイル、実行可能ファイル、テキストファイル等を含む、ほぼ全ての消費可能なファイル形式であり得る。
【0013】
システム100は、ノード108とインタラクションすることができるセキュアコンピューティングプラットフォーム104を含み得る。セキュアコンピューティングプラットフォーム104は、シングルボードコンピュータなどのコンピューティングデバイスとして実装され得る。いくつかの例では、セキュアコンピューティングプラットフォーム104は、ノード108に物理的に組み込まれ得る。他の例では、セキュアコンピューティングプラットフォーム104は、セキュアコンピューティングプラットフォーム104がノード108の外部上に搭載される状況、またはセキュアコンピューティングプラットフォーム104がノード108から離間され、かつセキュアコンピューティングプラットフォーム104が無線通信を介してノード108と通信する状況を含んで、ノード108の外部にあり得る。いくつかの例として、ノード108は、特定の環境における配備のためのハードウェアデバイスとして実装され得る。いくつかの例として、ノード108は、ビークル(地上ビークルまたは航空機)、ロケット、武器(例えばミサイル)などとして実施され得る。いくつかの例では、ノード108の盗難は、国家安全保障上のリスクを表し得る。
【0014】
セキュアコンピューティングプラットフォーム104は、暗号プロセッサ112を含み得る。暗号プロセッサ112は、協調して動作するICチップおよび/または他の電気部品の集合を表すことができるか、または暗号プロセッサ112は、単一のICチップで実装され得る。セキュアコンピューティングプラットフォームは、メモリ116を含み得る。いくつかの例では、メモリ116は、暗号プロセッサ112に埋め込まれた非一時的な機械可読セキュアメモリであり得る。加えて、いくつかの例では、メモリ116のパーティションは、暗号プロセッサ112の外部にあり得る。メモリ116は、データおよび機械可読命令を保存し得る。暗号プロセッサ112は、メモリ116にアクセスして、機械可読命令を実行し得る。暗号プロセッサ112は、データの暗号化および復号化に特化した汎用プロセッサであり得る。メモリ116は、秘密鍵120を保存し得る。秘密鍵120は、対称鍵または非対称鍵とすることができる。いずれの状況においても、秘密鍵120は外部エンティティに対して公開されない。代わりに、セキュアコンピューティングプラットフォーム104は、物理環境認証器124と、秘密鍵120を使用してデータを復号化および/またはデータを暗号化するために活用され得る暗号エンジン128とを含む。
【0015】
より詳細には、システム100は、秘密鍵120でのみ復号化可能な暗号化されたデータ132を含む。暗号化されたデータ132は、暗号化された形式のデータであり得る。いくつかの例では、秘密鍵120(または秘密鍵120のコピー)は、暗号化されたデータ132を暗号化するために使用されたものであり得る。他の例では、秘密鍵120の補数(例えば、非対称鍵ペアの非対称鍵)を使用して、暗号化されたデータ132を暗号化することができ、かつ/または秘密鍵120を使用して、秘密鍵120の補数によってのみ復号化可能なデータを暗号化することができる。このような状況では、秘密鍵120にアクセスしなければ、暗号化されたデータ132は分からない。いくつかの例では、暗号化されたデータ132は、ファイルストア136に保存され得る。いくつかの例では、ファイルストア136は、ノード108のためのセキュアコンピューティングプラットフォーム104に埋め込まれ得る。他の例では、ファイルストア136は、セキュアコンピューティングプラットフォーム104およびノード108の外部にあり得る。例えば、一例では、ファイルストア136は、セキュアコンピューティングプラットフォーム104と無線で通信し得、(暗号化された形式に)暗号化されたデータ132は、セキュアコンピューティングプラットフォーム104に提供され得る。
【0016】
暗号プロセッサ122は、ルートトラステッドサーバ(root trusted server)140を含み得る。ルートトラステッドサーバ140は、ハードウェア(例えば、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)チップなど)、ソフトウェア(例えば、メモリ116に保存された機械実行可能命令)、またはそれらの組合せを表すことができる。ルートトラステッドサーバ140は、セキュアコンピューティングプラットフォーム104の動作を監視し得る。ルートトラステッドサーバ140は、セキュアコンピューティングプラットフォーム104上にトラステッドブート(trusted boot)を実装するために使用可能である。いくつかの例では、ルートトラステッドサーバ140は、セキュアコンピューティングプラットフォーム104が信頼された動作のみを実行することを保証することができる、(例えば、信頼された機関によって署名された)デジタル署名された(例えば、デジタル署名証明書)機械可読命令を含む。この状況のいくつかの例では、物理環境認証器124および暗号エンジン128もデジタル署名され得、ルートトラステッドサーバ140は、物理環境認証器124および暗号エンジン128が、暗号プロセッサ112による実行の前に修正されていないことを確認することができる。他の例では、暗号エンジン128は、暗号エンジン128がデジタル署名される必要がないように、ハードウェアデバイス(例えば、FPGAまたはASIC)として実装され得る。任意のそのような状況において、ルートトラステッドサーバ140は、セキュアコンピューティングプラットフォーム104が認可された動作のみを実行することを保証し得る。
【0017】
物理環境認証器124は、アクセスポータル144を含み得る。アクセスポータル144は、ノード108において実行するクライアント148から、暗号化されたデータ132の復号化の要求を受信し得る。クライアント148は、ノード108のコンピューティングプラットフォーム152上で実行され得る。ノード108のコンピューティングプラットフォーム152は、例えば、データおよび機械可読命令を保存するためのメモリと、メモリにアクセスして、機械可読命令を実行するための処理ユニット(例えば、1つまたは複数のプロセッサコア)とを含み得る。説明を簡単にするために、コンピューティングプラットフォーム152のいくつかの特徴は省略されている。
【0018】
いくつかの例では、クライアント148は、コンピューティングプラットフォーム152上で実行されるデータ消費モジュール(data consuming module)153(例えば、アプリケーションソフトウェア)からの要求に応答して、暗号化されたデータ132の復号化の要求を生成し得る。他の例では、クライアント148は、データ消費モジュール153とのインタラクションなしに要求を生成することができ、かつ/またはクライアント148は、データ消費モジュール153と統合され得る。暗号化されたデータ132を復号化するための要求の受信に応答して、物理環境認証器124は、環境検証プロセスを実行し得る。環境検証プロセスは、暗号化されたデータ132を復号化する要求が受信されたときに、ノード108が予想される環境内に位置しているかどうかを検証する。
【0019】
環境検証プロセスを実行するために、物理環境認証器124は、2つの別個のソースからのノード108に関する実装の環境を特徴付けるデータを比較する。従って、システム100は、K個の環境センサ160を含み得R、Kは、1以上の整数である。即ち、K個の環境センサ160は、一組の環境センサ160を提供する。K個の環境センサ160の各々は、別個のタイプの環境パラメータを測定し、そのデータを物理環境認証器124に提供する。一例として、1つの環境センサ160は温度センサ、圧力センサ、または流量計であり得、別の環境センサ160は加速度計であり得る。別の例として、1つの環境センサ160は、慣性測定ユニット(IMU:inertial measurement unit)であり得、別の環境センサ160は、全地球航法衛星システム(GNSS:global navigation satellite system)受信機(または他の位置センサ)であり得る。更に別の例として、1つの環境センサ160は、方位センサ(例えば、3軸ジャイロスコープ、又は微小電気機械システム(MEMS:Micro-Electro-Mechanical Systems)ジャイロスコープ)であり得、別の環境センサ160は、加速度計又は速度計であり得る。さらに他の例では、1つの環境センサ160が変形メータ(deformation meter)であり得、別の環境センサが加速度計であり得る。このリストは、全てを網羅していることを意味していない。本明細書で説明する例を含む様々な例では、相関する環境パラメータを測定する任意の2つの環境センサが使用され得る。
【0020】
K個の環境センサ160(又はその一部)の各々は、ノード108に統合され得るか、またはノード108の外部にあり得る(ノード108から物理的に分離され得る)。所与の環境センサ160がノード108の外部にある例では、物理環境認証器124は、セキュア通信チャネルを介して無線で所与の環境センサ160からデータを(直接的または間接的に)受信し得る。例えば、所与の環境センサ160が速度計(例えば、赤外線速度計)である状況では、外部エンティティ(例えば、ドローン)は、外部エンティティ上に搭載された所与の環境センサ160を有し、かつノード108の速度を特徴付けるデータを物理環境認証器124に提供し得る。他の例では、K個の環境センサ160(又はその一部)の各々は、特定用途向け集積回路(ASIC)チップなどの集積回路(IC)チップ上に形成され得る。
【0021】
K個の環境センサ160の各々は、復号化されるデータの復号化の要求が物理環境認証器124に提供された時点またはその付近で、ノード108が実装されている環境のパラメータを特徴付けるデータを提供し、これらのパラメータは環境パラメータと呼ばれる。環境検証プロセス中に、物理環境認証器124は、別個であるが相関する環境パラメータを特徴付けるデータをキャプチャし、互いに比較し、かつ/または対応する閾値(または単一の閾値)と比較して、ノード108が認可された環境で動作しているかどうかを判定し得る。システム100が1つの環境センサ160のみを含む状況などのいくつかの例では、環境センサ160は、2つ以上の別個の環境パラメータを測定し、2つ以上の別個の環境パラメータのデータを物理環境認証器124に提供するように構成され得る。他の例では、各々が独立して動作する複数の環境センサ160が存在する。さらに、いくつかの例では、時間などの特定の環境パラメータは、K個の環境センサ160のうちの1つからではなく、セキュアコンピューティングプラットフォーム104内のクロックまたはノード108におけるクロックなど、システム100の別の部品から生じ得る。
【0022】
上述したように、2つの別個の環境パラメータのデータは相関している。いくつかの例では、物理環境認証器124は、2つの別個の環境パラメータのうちの1つまたは複数をフォーマット化、変換、および/または融合して、共通の環境パラメータを形成し得る。例えば、1つの環境センサ160が加速度計であり、別の環境センサ160が位置センサである場合、物理環境認証器124は、加速度計からのデータを積分し、位置センサからのデータを導出して、そのような両方の環境センサ160からのデータに基づいて速度(同じ環境パラメータ)を決定し得る。即ち、物理環境認証器124は、方程式を用いて物理法則を適用して特定の物理パラメータの単位を変更し、かつ/または複数の物理パラメータ(例えば、位置および時間)を組み合わせて、複数の物理パラメータを別の物理パラメータ(例えば、速度)に変換し得る。
【0023】
いくつかの例では、複数の相関する環境パラメータを特徴付けるデータが(環境パラメータ間の比較に基づいて、および/または対応する閾値との比較に基づいて)許容可能な範囲内にある場合、物理環境認証器124は、暗号化されたデータ132を取り出し、暗号化されたデータを暗号エンジン128に提供し、物理環境認証器124は、ノード108が暗号化されたデータ132を復号化することを認可されているという通知を暗号エンジン128に提供する。それに応答して、暗号エンジン128は、秘密鍵120にアクセスし、暗号化されたデータ132を秘密鍵120を用いて復号化し、暗号エンジン128は、復号化されたデータ154を物理環境認証器124に返す。物理環境認証器124は、暗号化されたデータ132を復号化する要求に応答して、復号化されたデータ154をクライアント148に提供し得る。このようにして、復号化されたデータ154は、コンピューティングプラットフォーム152上のデータ消費モジュール153などのノード108によって消費され得る。
【0024】
逆に、K個の環境センサ160によって提供される環境パラメータを特徴付けるデータの比較が、ノード108が認可された環境内に位置していないことを示す状況では、物理環境認証器124は、秘密鍵120へのアクセスを許可しない。いくつかの状況では、物理環境認証器124は、(暗号化されていない形式での暗号化されたデータ132に対応する)データへのアクセスが認可されていないという通知をクライアント148に提供し得る。他の例では、ノード108が認可された環境内に位置していることを物理環境認証器124が確認できない場合、物理環境認証器124は、データの要求に応答し得ない。
【0025】
追加的または代替的に、いくつかの例では、物理環境認証器124は、秘密鍵120(従って、データ)へのアクセスが認可されているかどうかを判定するために、環境パラメータにスコアを付ける(例えば、スコアを割り当てる)ことができる。例えば、そのような状況では、物理認証器124は、重み付けされたスコアを各環境パラメータに適用して、そのようなスコアの各々を対応する閾値と比較することができる。スコア付けは、例えば、各パラメータの予測精度(例えば、ノイズによる)に基づくことができる。一例として、環境パラメータに対するM個のスコアが対応する閾値を満たすかまたは超えるが、環境パラメータのN個のスコアが対応する閾値を満たさない場合、物理環境認証器124は、秘密鍵120およびデータへのアクセスを許可することができる。この状況では、Mは2以上の選択された整数であり、Nは1より大きい選択された整数であり、MはNより大きい。この状況を続けると、対応する閾値スコアを超えるスコアがM個未満である場合、秘密鍵120および(暗号化されていない形式での)データへのアクセスは拒否される。このようにして、1つまたは複数の環境パラメータが他の環境パラメータと相関しない(例えば、ノイズのために)特定の状況においても、秘密鍵120およびデータへのアクセスが許可され得る。
【0026】
システム100は、ノード108を物理的に所有し得る権限のない者(例えば、侵入者または敵対者)が、秘密鍵120および暗号化されたデータ132に暗号化されていない形式でアクセスすることを阻止することができる。所与の例(以下、「所与の例」という)として、ノード108がロケットとして実施され、剪断力(shear force)が剪断センサ(例えば、第1の環境センサ160)によって測定され、表層(skin)温度が温度センサ(例えば、第2の環境センサ160)によって測定され、これらの環境パラメータが相関している状況を考える。即ち、そのような状況では、剪断センサによって測定される剪断力が大きいほど、(例えば、燃焼室からの熱伝達が大気摩擦と結合することに起因して)表層温度が高くなる。従って、所与の例を続けると、第1の環境センサ160が物理環境認証器124に剪断力を提供すると仮定する。物理環境認証器124は、剪断力に対する予想表層温度を計算することができる。従って、第2の環境センサ160から提供された表層温度が予想表層温度と許容範囲を超えて異なる状況では、物理環境認証器124は、ノード108が認可された環境内にないと判定し得る。例えば、所与の例では、ノード108を所有する権限のない者が、ロケットの動作をシミュレートするためにノード108を風洞内に取り付けた場合、表層温度は剪断力と一致しないため、物理環境認証器124は、権限のない者が秘密鍵120にアクセスすることを阻止し、従って権限のない者が暗号化されたデータ132を復号化することを阻止して、権限のない者が暗号化されたデータ132に対応するデータを所有することができないようにする。
【0027】
図2~図11は、別個のタイプの環境センサ(例えば、図1のK個の環境センサ160)の例を示し、それらは、環境検証プロセス中に使用される、ノード108の環境パラメータを図1のシステム100の物理環境認証器124に提供するために使用可能である。説明を簡単にするために、いくつかの詳細は図2~図11から省略されている。
【0028】
より具体的には、図2は、図1のノード108の位置を特徴付けるデータを提供する全地球航法衛星システム(GNSS)受信機200と、ノードの位置(推測航法を使用)およびノード108の速度を特徴付けるデータを提供する慣性測定ユニット(IMU)210とを含むシステム100の一例を示す。いくつかの例では、物理環境認証器124は、時間に応じたノード108の位置を決定して(例えば、時間は環境パラメータであり得る)、環境検証プロセス中に、ノード108が現在、認可された環境のある境界(ジオロケーション)の内側または外側のいずれかにあることを確認または反証し得る。他の例では、物理環境認証器124は、ノード108の以前の位置に対する時間に応じたノード108の位置を監視して、環境検証プロセス中に、ノード108が認可された環境に移動したかどうかを判定し得る。
【0029】
GNSS受信機200の使用は、時間相関位置測定値を生成することができる。次いで、そのような測定値を微分して速度を推定することができ、その速度を微分して加速度を推定することができ、従って、位置対時間を効果的に監視して速度値および加速度値を推定することができる。IMU210の使用により、加速度を積分してノード108の速度の推定値を提供し、ノード108の速度を積分してノード108の位置を取得することで表されるノード108の現在位置の推定値が提供されるため、物理環境認証器124は、加速度対時間を効果的に監視して位置を推定し、時間相関のある位置値、速度値、および加速度値を生成することができる。
【0030】
他の例では、GNSS受信機200および/またはIMU210からの位置測定値は、物理環境認証器124によって、圧力、温度、磁気環境などの他の測定値と相関され得る。実際、ノード108の位置は、環境検証プロセス中に位置に依存するかまたは関係することが示され得る任意の他の環境パラメータと相関され得る。
【0031】
同様に、他の例では、ノード108の速度は、(例えば、ピトー管などを介した)よどみ圧(stagnation pressure)などのものを含む複数の機構によって、またはIMU210、GNSS受信機200からの副産物として、または別個のタイプの環境センサ(例えば、図1の別の環境センサ160)によって感知(測定)され得る。従って、いくつかの例では、認証プロセス中に、物理環境認証器124は、上述したように速度、加速度、および位置を相関させることができる。追加的または代替的に、ノード108の速度は、ノード108のエンジンによって消費される燃料の圧力、温度、質量流量などと相関させることもできる。実際に、ノード108の速度は、速度に依存または関係することが示され得る任意の他の環境パラメータと相関され得る。
【0032】
図3は、ノード108の加速度を特徴付ける環境パラメータを物理環境認証器124に提供する加速度計220と、ノード108によって(例えば、ノード108のエンジン燃焼室によって)消費される燃料を特徴付ける環境パラメータを物理環境認証器124に提供する流量計230とを含むシステム100の例を示す。そのような状況では、物理環境認証器124は、報告された加速度に対する予想燃料消費を計算することによって、加速度を燃料の流量と相関させることができる。流量計230が、燃料が予想される速度で消費されていることを示すデータを提供する状況では、物理環境認証器124は、ノード108の環境を認証することができる。
【0033】
代替的な状況では、ノード108の加速度を直接測定する加速度計220を含める代わりに、他の例では、ノード108の加速度は、(例えば、図2のGNSS受信機200またはIMU210による)位置対時間の測定値から導出され得る。加えて、いくつかの例では、流量計230の代わりに(またはそれに加えて)、温度センサおよび/または圧力センサが、ノード108の予想速度と相関され得るシステム100の温度および/または圧力(例えば、よどみ圧)を特徴付けるデータを提供するために含まれ得る。これらの状況のいずれにおいても、物理環境認証器124は、加速度を予想燃料消費に対応するデータと相関させて、ノード108の環境を認証するように構成/プログラムされ得る。実際に、加速度は、物理環境認証器124によって、加速度に依存および/または関係することが示され得る任意の他の環境パラメータと相関され得る。
【0034】
さらに、ノード108が燃料を消費するエンジンを使用する例では、物理環境認証器124は、位置、速度および加速度を燃料の質量流量に相関させるように構成/プログラムされ得る。また、燃料の質量流量は、ノード108(例えば、燃焼室)の内部、またはノード108と外部環境との間の境界における温度および圧力などのものと相関され得る。
【0035】
図4は、3つの軸におけるノード108の加速度を特徴付けるデータを提供する3軸加速度計240を含むシステム100の一例を示す。図4のシステム100の例は、例えば、ノード108が衛星として実施され、認可された環境が、地球の大気圏外にある間に天体の周りを周回する軌道または準軌道の弾道軌道である状況において使用され得る。この状況では、環境検証プロセス中に、物理環境認証器124は、3つの軸における加速度を比較して、ノード108が微小重力内に位置するかどうかを判定することができる。
【0036】
ノード108が天体の軌道または準軌道にあり、微小重力を経験している場合、3つの軸は全て、所定の時間量よりも長い(例えば、1分よりも長い)持続時間にわたって0.25g未満の加速度(微小重力に対応する)を提供する。従って、環境検証プロセス中に、物理環境認証器124は、3軸加速度計240からのデータが、3つの軸全てが1分以上の持続時間(例えば、所定の時間量)にわたって0.25g未満の加速度(例えば、微小重力)を提供することを示している場合、ノード108の環境を認証することを決定するように構成/プログラムされ得る。持続時間を含めることにより、認可された者が、放物線状の弧軌道で軌道または準軌道にあることの効果をシミュレートすることが阻止され、その理由は、そのような軌道にあるのは約30秒以下の持続時間に制限されるからである。従って、図4に示される例では、環境センサの単一のインスタンス、即ち3軸加速度計240が、環境検証プロセスにおいて必要とされる複数の環境パラメータを提供するために使用可能である。
【0037】
さらに、いくつかの例では、物理環境認証器124は、3軸加速度計240を使用して、ノード108の衝撃を測定し得る。衝撃は、典型的には衝突又は他の突然の加速(例えば爆発など)から生じる過渡的な物理的影響である。加速度と同様に、衝撃も同じ種類の単位(速度の変化率)を有するベクトルである。いくつかの例では、物理環境認証器124は、3軸加速度計240から報告された加速度の3つの軸における加速度を変換して、ノード108に対する衝撃パルスを導出するための論理を含む。衝撃パルスは、ピーク加速度、持続時間、およびパルスの形状(三角形、台形など)によって特徴付けられ得る。さらに、そのような状況では、環境検証プロセス中に、物理環境認証器124は、ノード108の衝撃を3軸加速度計240によって直接測定された加速度と相関させて、ノード108が認可された環境において動作しているかどうかを判定することができる。
【0038】
さらに、いくつかの例では、物理環境認証器124は、3軸加速度計240を使用して、ノード108の測定された振動を導出し得る。振動とは、ノード108が平衡点を中心に加速度の振動を経験する状況である。このような振動は、周期的なもの、またはランダムなものがあり得る。いくつかの例では、物理環境認証器124は、3軸加速度計240から報告された加速度の3つの軸における加速度を変換して、ノード108の振動を導出するための論理を含む。さらに、そのような状況では、環境検証プロセス中に、物理環境認証器124は、ノード108の振動を3軸加速度計240によって直接測定された加速度と相関させて、ノード108が認可された環境で動作しているかどうかを判定することができる。
【0039】
図5は、ノード108の要素(例えば、表面または部品)の変形を特徴付ける環境パラメータを物理環境認証器124に提供する変形メータ250と、ノード108の加速度を特徴付ける環境パラメータを物理環境認証器124に提供する加速度計260とを含むシステム100の一例を示す。このような状況において、物理環境認証器124は、ノード108の要素の変形による加速度を、ノード108の加速度に基づいて算出されるノード108の応力と関連付けることができる。
【0040】
より全般的には、所与の断面積にわたって加えられる力に対応する応力は、変形メータ250によって特徴付けることができるノード108の要素の弾性変形を引き起こし得る。この応力は、経時的に測定され得るとともに、加速度計260から提供される加速度に基づいて計算することができる、ノード108に加えられる力と相関され得る。垂直応力は、応力が作用する材料断面に対して法線方向(または垂直方向)の力から生じる応力である。同様に、剪断応力は、ノード108の要素の断面に平行な力から生じる応力である。剪断応力は、剪断力から生じ、剪断力は、物体の両側に作用する一対の等しく、かつ反対の力である。いくつかの実施例では、固体の境界に沿って移動するノードの流体(液体および気体の両方を含む)は、その境界において剪断応力が生じることになり、従って、剪断応力は、そのような流れにおけるノード108の速度(加速度から導出される)に相関され得る。さらに、いくつかの例では、物理環境認証器124は、剪断応力を大気の動圧に相関させることができ、時間の経過とともに、摩擦による加熱に起因して生成される温度に相関させることもできる。これらの状況では、加速度計260の代わりに(またはそれに加えて)圧力センサおよび/または温度センサを使用することができる。
【0041】
他の例では、変形メータ250を使用して、ノード108の要素に対する歪みを計算することができる。要素の歪みは、要素の永久変形に対応する。物理環境認証器124は、経時的に歪みを測定することができ、歪みは、ノード108に加えられた加速度(力に対応する)と相関され得る。ほとんどの例において、歪みは、加えられる力が弾性変形範囲を超える期間にわたって応力下に置かれる材料に対して生じ、その結果、ノード108の要素内の材料の永久変形が生じる。従って、これらの状況では、歪みの量は、環境検証プロセス中に、物理環境認証器によって加速度と相関され得る。他の例では、歪みは、温度、材料強度などの他の環境パラメータと相関され得る。
【0042】
図6は、ノード108において測定された音波を特徴付ける環境パラメータを物理環境認証器124にそれぞれ提供する第1の音波センサ270および第2の音波センサ280を含むシステム100の一例を示す。音波は、気体、液体、および固体などの様々な媒体を通って進行する機械波として現れ、ノード108において音波の生成、伝搬、および受信が行われる。第1の音波センサ270および第2の音波センサ280は、音波がノード108の表面材料を通って伝搬する際の機械的応力を検出する。より具体的には、第1の音波センサ270および第2の音波センサ280は、ノード108における伝搬経路および速度を観測することにより、音波の振幅および周波数特性を測定する。
【0043】
ノード108において特定の時間間隔で第1の音波センサ270および第2の音波センサ280によって検出された音波の周波数および振幅(または音量)の特性変化を使用して、ノード108が認可された環境で動作していることを確認することができる。さらに、第1の音波センサ270および第2の音波センサ280は、ノード108内の物理的に別個の場所において、別個の周波数範囲に合わせて調整されて、音波の方向性を提供することができる。いくつかの例では、物理環境認証器124は、検出された音波を、衝撃、振動、加速度、速度、圧力など、別の環境センサ(例えば、加速度計)によって測定された別の環境パラメータと相関させて、環境検証プロセスを実行することができる。
【0044】
図7は、ノード108によって消費される燃料の圧力を特徴付ける環境パラメータを提供する圧力センサ285と、ノード108の温度を物理環境認証器124に提供する温度センサ290とを含むシステム100の一例を示す。そのような状況では、物理環境認証器124は、報告された燃料の圧力に基づいて燃料の予想量を算出し得る。この例では、物理環境認証器124は、算出された燃料量に基づいてシステムの予想温度を算出し得、物理環境認証器124は、ノード108の予想温度を温度センサ290によって測定された温度と比較して、環境検証プロセスを実行し得る。
【0045】
そのような状況では、物理環境認証器124は、報告された燃料の圧力に基づいて燃料の予想量を算出し得る。この例では、物理環境認証器124は、算出された燃料量に基づいてシステムの予想温度を算出し得、物理環境認証器124は、ノード108の予想温度を温度センサ290によって測定された温度と比較して、環境検証プロセスを実行し得る。他の例では、加速度計などの追加または代替の環境センサが、ノード108の測定された圧力および/または温度と相関させることができる環境パラメータを提供し得る。
【0046】
さらに、いくつかの例では、ノード108が大気中を移動する際に、圧力センサ285によって報告された圧力を用いてノード108のよどみ圧を算出することができ、温度センサ290によって報告された温度を用いてノード108のよどみ温度(stagnation temperature)を算出することができる。この状況では、よどみ圧およびよどみ温度は相関され、かつ環境検証プロセス中に使用され得る。
【0047】
図8は、ノード108の方位および/または角速度を物理環境認証器124に提供する方位センサ300と、ノード108の加速度を物理環境認証器124に提供する加速度計310とを含むシステム100の一例を示す。方位センサ300は、微小電気機械システム(MEMS)ジャイロスコープ、固体リングレーザジャイロスコープ、光ファイバジャイロスコープ、量子ジャイロスコープなどとして実施することができる。いくつかの例では、方位センサ300は、エアデータプローブ(air data probe)として実施され得る。他の例では、方位センサ300は、IMUと一体化され得る。
【0048】
一例として、物理環境認証器124は、ノード108の加速度をノード108の方位と相関させて、環境検証プロセスを実行し得る。例えば、ノード108がロケット上に実装されている場合、高い加速度が検出され得るが、ノード108が認可された環境で動作している場合、依然として比較的一定の方位と相関付けられる。逆に、権限のない者が、遠心分離機を使用して加速度をシミュレートする偽装環境を提供しようとした場合、方位センサ300は、常に変化する方位を報告するため、物理環境認証器124は、偽装環境を認証しない。
【0049】
他の例では、ノード108の方位は、ノード108の本体の周りのフローストリーム(flow stream)などの他の環境パラメータと相関され得る。例えば、ノード108が航空機として実施され、システム100が流量計(例えば、図3の流量計230)を含む場合、物理環境認証器124は、ノード108の迎角を決定し得る。迎角は、環境を認証するために、ノード108の本体上の予想気流と相関され得る。
【0050】
図9は、ノード108の測定された磁場の強度(大きさ)を物理環境認証器124に提供する磁力計320を含むシステム100の一例を示す。磁場のこの大きさは、物理環境認証器124がノード108に関して結果的に得られる測定磁場ベクトルを算出することができるように、3つの直交次元で測定され得る。ノード108が動いている例において(認可された環境で動作しているとき)、この磁場ベクトルは、時間とともに変化することが予想され得る。これらの状況では、物理環境認証器124は、磁場ベクトルを、システムの位置および方位(回転)などの他の環境パラメータに相関させ得る。実際には、環境検証プロセスを実行するために、磁場強度および方位は、磁場の強度または方位のいずれかに依存または関連する任意の他の環境パラメータと相関され得る。
【0051】
図10は、図8の方位センサ300および加速度計310、ならびに図9の磁力計320を含むシステム100の一例を示す。方位センサ300は、ノード108の方位および/または角速度を物理環境認証器124に提供し、加速度計310は、ノード108の加速度を物理環境認証器124に提供する。磁力計320は、ノード108の測定された磁場の強度(大きさ)を物理環境認証器124に提供する。磁場のこの大きさは、物理環境認証器124がノード108に関して結果的に得られる測定磁場ベクトルを算出することができるように、3つの直交次元で測定され得る。
【0052】
ノード108が動いている例において(認可された環境で動作しているとき)、磁力計320によって測定される磁場ベクトルは、時間とともに変化することが予想され得る。これらの状況では、物理環境認証器124は、磁場ベクトルを、方位センサ300によって測定された方位および加速度計310によって測定された加速度に相関させ得る。従って、ノード108がロケット上に実装されている場合、変化する磁場および高い加速度が検出され得るが、ノード108が認可された環境で動作している場合、依然として比較的一定の方位と相関付けられる。逆に、権限のない者が、遠心分離機を使用して加速度をシミュレートする偽装環境を提供しようとした場合、磁力計320は変化する磁場を報告するが、方位センサ300は常に変化する方位を報告するため、物理環境認証器124は、偽装環境を認証しない。従って、この状況では、3つの別個のセンサによって測定された、3つが独立しているが、相関している環境条件を比較することで、物理的環境を認証することができる。
【0053】
図11は、ノード108の表層温度を特徴付ける環境パラメータを物理環境認証器124に提供する温度センサ330と、ノード108の要素(例えば、面または部品)に加えられる剪断力を特徴付ける環境パラメータを物理環境認証器124に提供する剪断センサ334とを含むシステム100の一例を示す。そのような状況では、物理環境認証器124は、表層温度をノード108の要素の剪断力と相関させ得る。ノード108はロケットを代表し得、認可された環境は、ノード108が空中を移動することであり得る。
【0054】
ノード108がロケット(または他の発射体)を代表する例では、持続的な高速空気流(例えば、マッハ5より大きい空気流に対応する極超音速流)は、温度センサ330によって測定可能な空気力学的加熱をもたらす。さらに、持続的な高速空気流は、剪断センサ334で測定することができる、ノード108の要素上の比較的一定の剪断力を誘発する。従って、物理認証器124は、ノード108の予想される表層温度を、ノード108の要素の予想される比較的一定の剪断力と相関させ得る。
【0055】
さらに、ノード108の認可された環境(ロケットが空気中を移動すること)を偽装しようとして、権限のない者が、ノード108上の気流をシミュレートするために風洞を使用する可能性がある。しかしながら、そのような風洞を通る空気流は、ノード108の表層温度を上昇させるのに十分長い期間にわたって一定ではない。加えて、気流のパルス(例えば、持続していない気流)は、剪断センサ334によって測定可能なノード108の要素上加わる剪断力の対応するパルスを引き起こす。従って、物理環境認証器124は、環境パラメータが認可された環境と相関しないことを決定し得る。
【0056】
図2~図11に提供される例は、網羅的であることを意味していない。実際に、秘密鍵120へのアクセスを許可する前のノード108の動作の一部または全部の間に特徴的である任意の測定可能な物理環境パラメータは、認証される環境条件のセットに含まれ得る。可能性のある環境パラメータのうちのいくつかは、個々に偽装することが比較的簡単なもの(例えば、温度)もあるが、他の環境パラメータと組み合わされることで、ノード108が認可された環境内で動作していない限り、権限のない者が全ての相関付けられた物理パラメータを信頼できる形で偽装することは実行不可能であり得る。
【0057】
さらに、図2~図9に示す環境センサの例は、多くの様々な方法で組み合わされ得る。説明したように、相関する物理パラメータの数を増加させることによって、認可された環境を偽装することの困難性が増加して、セキュリティが向上する。相関する物理パラメータの数及びタイプは、例えば、図1の暗号化されたデータ132の機密性に基づいて選択され得る。
【0058】
図12は、図1のシステム100のコンポーネントを含むノード400の一例を示す。いくつかの例として、ノード400は、ビークル(地上ビークルまたは航空機)、ロケット、衛星、武器(例えばミサイル)などとして実施され得る。いくつかの例では、ノード400の盗難は、国家安全保障上のリスクを表し得る。ノード400は、環境検証に基づいてセキュアコンテンツへのアクセスを制御するための特徴を含む。ノード400は、図1のセキュアコンピューティングプラットフォーム104を実施するために採用され得るセキュアコンピューティングプラットフォーム404を含み得る。説明を簡単にするために、セキュアコンピューティングプラットフォーム404のいくつかの詳細は省略されている。セキュアコンピューティングプラットフォーム404は、セキュアコンピューティングプラットフォーム404上で実行される物理環境認証器408を含む。
【0059】
物理環境認証器408は、ノード108が認可された環境で動作していることを検証する環境検証プロセスを実行し得る。セキュアコンピューティングプラットフォーム404は、セキュアコンピューティングプラットフォーム404に保存された秘密鍵412を含む。環境検証プロセス中に、ノード400が認可された環境で動作していることを物理環境認証器408が確認した場合に、物理環境認証器408は、秘密鍵412へのアクセス(直接または間接)が許可されるように構成される。逆に、物理環境認証器408が、ノード400が認可された環境で動作していることを確認できない場合、秘密鍵412へのアクセスは拒否される。秘密鍵412は、対称鍵または非対称鍵ペアの非対称鍵とすることができる。いずれの状況においても、秘密鍵412は外部エンティティに対して公開されない。代わりに、秘密鍵412は、セキュアコンピューティングプラットフォーム404上のデータを復号化するために使用され得る。
【0060】
ノード400は、図1のコンピューティングプラットフォーム152を実施するために採用され得るコンピューティングプラットフォーム420を含み得る。即ち、コンピューティングプラットフォーム420は、データおよび機械可読命令を保存する非一時的メモリ、ならびにコンピューティングプラットフォーム420のメモリにアクセスし、機械可読命令を実行するための処理ユニット(1つまたは複数のプロセッサコア)を含み得る。いくつかの例では、コンピューティングプラットフォームは、ノード400が適切に動作するためにデータへのアクセスを必要とするデータ消費モジュール424(例えば、アプリケーションソフトウェア)を含み得る。データは、暗号化されたデータ428として暗号化された形式で保存され得る。暗号化されたデータ428は、ファイルストア432に保存され得、ファイルストア432は、図示された例ではノード400上に含まれ得る。暗号化されたデータ428は、秘密鍵412によってのみ復号化され得る。従って、秘密鍵412へのアクセスが許可されなければ、暗号化されたデータは分からない。
【0061】
物理環境認証器408は、データの要求を受信する。これに応答して、物理環境認証器408は、環境検証プロセスを実行して、ノード400が認可された環境で動作しているか否かを検証する。環境検証プロセスは、暗号化されたデータ132を復号化する要求が受信されたときに、ノード108が予想される環境内に位置しているかどうかを検証する。
【0062】
環境検証プロセスを実行するために、物理環境認証器408は、ノード400に関する実装の環境の少なくとも2つの環境パラメータを特徴付けるデータをキャプチャして比較する。従って、ノード400は、K個の環境センサ434を含み得る。K個の環境センサ434の各々は、別個のタイプの環境パラメータを測定し、K個の環境センサ434は、図1の環境センサ160を実施するために使用され得る。K個の環境センサ434の各々は、図2~図9に提供される例と同様の方法で実施され得る。いくつかの例として、K個の環境センサ434は、加速度計、IMU、GNSS(または他の位置センサ)、方位センサ、温度センサ、圧力センサ、流量センサ、速度センサ、音波センサなどを含むことができるが、これらに限定されない。このリストは、全てを網羅していることを意味しない。本明細書で説明する例を含む様々な例では、相関する環境パラメータを測定する任意の2つの環境センサが使用され得る。図示された例では、K個の環境センサ434の各々は、ノード400と統合されているが、他の例では、K個の環境センサ434の各々、またはその一部は、ノード400の外部に存在する。そのような状況では、環境センサ434は、ノード400全体にわたって配置される。さらに、図12は、セキュアコンピューティングプラットフォーム404と通信するものとしてK個の環境センサ434を示しているが、いくつかの例では、K個の環境センサ434は、コンピューティングプラットフォーム420および/またはノード400の他のコンポーネントとさらに通信し得る。
【0063】
K個の環境センサ434の各々は、復号化されるデータの復号化の要求が物理環境認証器408に提供された時点またはその付近で、ノード400が実装されている環境のパラメータを特徴付けるデータを提供する。環境検証プロセス中に、物理環境認証器408は、2つの相関する環境パラメータを特徴付けるデータを比較して、ノード108が認可された環境で動作しているかどうかを判定し得る。ノード400が1つの環境センサ434のみを含む状況などのいくつかの例では、環境センサ434は、2つの別個の環境パラメータを測定し、2つの別個の環境パラメータのデータを物理環境認証器408に提供するように構成され得る。他の例では、各々が独立して動作する複数の環境センサ434が存在する。
【0064】
上述したように、2つの別個の環境パラメータのデータは相関している。いくつかの例では、物理環境認証器408は、2つの別個の環境パラメータのうちの1つまたは複数を変換して、共通の環境パラメータを形成し得る。複数の相関する環境パラメータが異なるが、相関する環境パラメータが許容範囲内にある場合、物理環境認証器408は、暗号化されたデータ428を取り出し、暗号化されたデータ428が暗号エンジン(図示せず)によって秘密鍵412を用いて復号化されることを要求する。これに応答して、物理環境認証器408は、データ消費モジュール424に提供される復号化されたデータ440を受信する。このようにして、復号化されたデータ440は、データ消費モジュール424またはノード400内の他のモジュール(例えば、アプリケーションソフトウェア)によって消費され得る。
【0065】
逆に、K個の環境センサ434によって提供される環境パラメータを特徴付けるデータの比較が、ノード400が認可された環境内に位置していないことを示す状況では、物理環境認証器408は、秘密鍵412へのアクセスを認可しない。いくつかの状況では、物理環境認証器408は、データに対する要求に応答して、暗号化されたデータ428(暗号化されていない形式)へのアクセスが認可されていないという通知を提供し得る。他の例では、ノード400が認可された環境内に位置することを物理環境認証器が確認できない場合、物理環境認証器408は、暗号化されたデータ428を復号化するための要求に応答し得ない。
【0066】
ノード400は、ノード400を物理的に所有し得る権限のない者(例えば、侵入者または敵対者)が、秘密鍵412および暗号化されていない形式での暗号化されたデータ428にアクセスすることを阻止することができる。さらに、図2~図9に示す例で説明したように、複数の環境パラメータを使用することによって、認可された環境を偽装することが実行不可能になり得る。さらに、環境検証プロセスにおいて相関付けられる環境パラメータの数およびタイプは、データ(復号化されたデータ440)の機密性に見合ったものとすることができる。
【0067】
上述の構造的及び機能的特徴を考慮して、例示的な方法は、図13を参照してより良く理解されるであろう。説明を簡単にするために、図13の例示的な方法は、連続して実行されるものとして示され、説明されているが、他の例においていくつかの動作が、本明細書に示され、かつ説明されているものとは異なる順序で、複数回、および/または同時に行われ得るため、本例は、図示されている順序によって限定されないことを理解および認識されたい。さらに、方法を実施するために全ての説明された動作が実行される必要はない。図13の例示的な方法は、非一時的な機械可読媒体に保存された命令として実施され得る。命令は、処理リソース(例えば、1つまたは複数のプロセッサコア)によってアクセスされ、かつ本明細書に開示される方法を行うために実行され得る。
【0068】
図13は、データへのアクセスを制御するための方法500の一例を示す。方法500は、例えば、図1のシステム100のセキュアコンピューティングプラットフォーム104および/または図12のノード400のコンピューティングプラットフォーム404によって実施され得る。そのような状況では、セキュアコンピューティングプラットフォーム104は、セキュアコンピューティングプラットフォーム104上で実行される物理環境認証器(例えば、図1の物理環境認証器124および/または図10の物理環境認証器408)を含み得る。
【0069】
510において、物理環境認証器のアクセスポータル(例えば、図1のアクセスポータル144)は、コンピューティングプラットフォーム(例えば、図1のコンピューティングプラットフォーム152)からデータの要求を受信する。515において、要求に応答して、物理環境認証器は、一組の環境センサ(例えば、図1のK個の環境センサ160及び/又は図12のK個の環境センサ434)から少なくとも2つの環境パラメータを特徴付けるデータをキャプチャする。520において、物理環境認証器は、データを変換および/またはフォーマット化して、相関する環境パラメータを形成する。フォーマット化および/または変換は、例えば、物理法則を別個の環境パラメータに適用するための数式の適用(例えば、測定単位の変更)を含み得る。
【0070】
525において、物理環境認証器は、相関するパラメータを比較し得る。相関するパラメータの比較は、直接比較であるか、または期待値の比較であり得る。530において、比較に基づいて、物理環境認証器は、ノードが認可された環境で動作しているかどうかを判定し得る。530における判定が否定(例えば、ノー)である場合、方法500は535に移行する。530における判定が肯定(例えば、イエス)である場合、方法500は537に移行する。535において、物理環境認証器は、データへのアクセスを拒否する。
【0071】
537において、データへのアクセスが許可される。540において、暗号エンジン(例えば、図1の暗号エンジン128)は、秘密鍵(例えば、図1の秘密鍵120)を使用して、秘密鍵でのみ復号され得る暗号化されたデータ(例えば、図1の暗号化されたデータ132)を復号化して、データに対応する復号化されたデータを公開する。秘密鍵は、セキュアコンピューティングプラットフォームにセキュアに保存される。545において、物理環境認証器は、ノード上のモジュール(例えば、アプリケーションソフトウェア)が復号化されたデータを消費することができるように、復号化されたデータ(データに対応する)をノードのコンピューティングプラットフォームに返す。
【0072】
上記した説明は一例である。もちろん、構成要素または方法の考えられる全ての組み合わせを説明することは不可能であるが、当業者は、さらに多くの組み合わせおよび置換が可能であることを認識するであろう。従って、本開示は、添付の特許請求の範囲を含む本出願の範囲内にあるそのような全ての変更、修正、および変形を包含することを意図している。本明細書で使用される場合、「含む」という用語は、限定することなく含むことを意味する。「に基づく」という用語は、少なくとも部分的に基づくことを意味する。さらに、開示または請求項が「1つの」、「第1の」、または「別の」要素、またはそれらの同等物を記載する場合、1つまたは複数のそのような要素を含むと解釈されるべきであり、2つ以上のそのような要素の要求も除外もされない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【手続補正書】
【提出日】2023-10-30
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
環境検証に基づいてデータへのアクセスを制御するためのシステムであって、機械実行可能命令を有する非一時的メモリと、
機械可読命令にアクセスするための処理ユニットと、を備え、前記機械可読命令は、物理環境認証器を含み、
前記物理環境認証器は、
一組の環境センサから環境内のノードの複数の環境パラメータを特徴付けるデータを受信し、
複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからの前記データに基づいており、前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを許可し、前記複数の相関する環境パラメータが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを阻止する、システム。
【請求項2】
前記物理環境認証器が修正されていないことを確認するためのトラステッドブートを実行するトラストサーバのルートをさらに備える、請求項1に記載のシステム。
【請求項3】
前記物理環境認証器は、暗号エンジンから復号化されたデータを受信し、前記復号化されたデータを前記ノードに提供する、請求項1に記載のシステム。
【請求項4】
前記一組の環境センサは、特定用途向け集積回路(ASIC)チップ上に集積されている、請求項1に記載のシステム。
【請求項5】
前記物理環境認証器は、前記一組の環境センサの第1の環境センサから提供された第1の環境パラメータを、前記一組の環境センサの第2の環境センサから提供された第2の環境パラメータを特徴付けるために使用された測定単位に変換および/またはフォーマット化して、前記複数の相関する環境パラメータを形成する、請求項1に記載のシステム。
【請求項6】
前記一組の環境センサの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、請求項1に記載のシステム。
【請求項7】
前記第1の環境パラメータは、前記ノードに加えられる剪断力であり、前記第2の環境パラメータは、前記ノードの温度である、請求項6に記載のシステム。
【請求項8】
前記第1の環境パラメータは、前記ノードの加速度であり、前記第2の環境パラメータは、前記ノードによって消費される燃料の量である、請求項6に記載のシステム。
【請求項9】
前記第1の環境センサは、全地球航法衛星システム(GNSS)受信機であり、前記第2の環境センサは、慣性測定ユニット(IMU)である、請求項6に記載のシステム。
【請求項10】
前記第1の環境センサは、前記ノードの加速度を測定する加速度計であり、前記第2の環境センサは、質量流量計、温度センサ、および圧力センサのうちの1つである、請求項6に記載のシステム。
【請求項11】
前記第1の環境パラメータは、前記ノードの磁場の方位を特徴付け、前記第2の環境パラメータは、前記ノードの位置または方位を特徴付け、前記一組の環境センサのうちの第3の環境センサが、時間を特徴付ける第3の環境パラメータを測定する、請求項6に記載のシステム。
【請求項12】
一組の環境パラメータは、3軸加速度計を含み、前記複数の相関する環境パラメータは、3つの別個の軸における前記ノードの加速度を含み、前記物理環境認証器は、前記3つの別個の軸における前記ノードの前記加速度が所定の持続時間の間の微小重力に対応する場合、データへのアクセスを許可する、請求項1に記載のシステム。
【請求項13】
環境検証に基づいてデータへのアクセスを制御するための方法であって、セキュアコンピューティングプラットフォーム上で実行される物理環境認証器が、ノードからデータへのアクセスの要求を受信するステップと、
前記物理環境認証器が、前記要求に応答して、一組の環境センサから前記ノードの複数の環境パラメータを特徴付けるデータをキャプチャするステップと、
前記物理環境認証器が、複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからのデータに基づいており、前記一組の環境センサの各々からの前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを許可し、前記複数の相関する環境パラメータのうちの少なくとも1つが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを拒否するステップと、を含む方法。
【請求項14】
前記一組の環境センサのうちの1つまたは複数から提供されたデータを変換および/またはフォーマット化して、前記複数の相関する環境パラメータを形成するステップをさらに含む、請求項13に記載の方法。
【請求項15】
前記セキュアコンピューティングプラットフォームの暗号エンジンが、データへのアクセスが許可されたことに応答して、秘密鍵を使用して暗号化された形式のデータを復号化するステップをさらに含む、請求項13に記載の方法。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0072
【補正方法】変更
【補正の内容】
【0072】
上記した説明は一例である。もちろん、構成要素または方法の考えられる全ての組み合わせを説明することは不可能であるが、当業者は、さらに多くの組み合わせおよび置換が可能であることを認識するであろう。従って、本開示は、添付の特許請求の範囲を含む本出願の範囲内にあるそのような全ての変更、修正、および変形を包含することを意図している。本明細書で使用される場合、「含む」という用語は、限定することなく含むことを意味する。「に基づく」という用語は、少なくとも部分的に基づくことを意味する。さらに、開示または請求項が「1つの」、「第1の」、または「別の」要素、またはそれらの同等物を記載する場合、1つまたは複数のそのような要素を含むと解釈されるべきであり、2つ以上のそのような要素の要求も除外もされない。
以下に、上記実施形態から把握できる技術思想を付記として記載する。
[付記1]
環境検証に基づいてデータへのアクセスを制御するためのシステムであって、
機械実行可能命令を有する非一時的メモリと、
機械可読命令にアクセスするための処理ユニットと、を備え、前記機械可読命令は、物理環境認証器を含み、
前記物理環境認証器は、
一組の環境センサから環境内のノードの複数の環境パラメータを特徴付けるデータを受信し、
複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからの前記データに基づいており、前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを許可し、前記複数の相関する環境パラメータが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを阻止する、システム。
[付記2]
前記物理環境認証器が修正されていないことを確認するためのトラステッドブートを実行するトラストサーバのルートをさらに備える、付記1に記載のシステム。
[付記3]
前記物理環境認証器は、暗号エンジンから復号化されたデータを受信し、前記復号化されたデータを前記ノードに提供する、付記1に記載のシステム。
[付記4]
前記一組の環境センサは、特定用途向け集積回路(ASIC)チップ上に集積されている、付記1に記載のシステム。
[付記5]
前記物理環境認証器は、前記一組の環境センサの第1の環境センサから提供された第1の環境パラメータを、前記一組の環境センサの第2の環境センサから提供された第2の環境パラメータを特徴付けるために使用された測定単位に変換および/またはフォーマット化して、前記複数の相関する環境パラメータを形成する、付記1に記載のシステム。
[付記6]
前記一組の環境センサの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、付記1に記載のシステム。
[付記7]
前記第1の環境パラメータは、前記ノードに加えられる剪断力であり、前記第2の環境パラメータは、前記ノードの温度である、付記6に記載のシステム。
[付記8]
前記第1の環境パラメータは、前記ノードの加速度であり、前記第2の環境パラメータは、前記ノードによって消費される燃料の量である、付記6に記載のシステム。
[付記9]
前記第1の環境センサは、全地球航法衛星システム(GNSS)受信機であり、前記第2の環境センサは、慣性測定ユニット(IMU)である、付記6に記載のシステム。
[付記10]
前記第1の環境センサは、全地球航法衛星システム(GNSS)受信機であり、前記第2の環境センサは、加速度計である、付記6に記載のシステム。
[付記11]
前記第1の環境センサは、前記ノードの加速度を測定する加速度計であり、前記第2の環境センサは、質量流量計、温度センサ、および圧力センサのうちの1つである、付記6に記載のシステム。
[付記12]
前記第1の環境センサは、前記ノードの加速度を測定する加速度計であり、前記第2の環境センサは、前記ノードの表面の変形を測定する変形メータである、付記6に記載のシステム。
[付記13]
前記第1の環境パラメータは、前記ノードの衝撃または振動を特徴付け、前記第2の環境パラメータは、前記ノードの加速度を特徴付ける、付記6に記載のシステム。
[付記14]
前記第1の環境パラメータは、前記ノードの応力または歪みを特徴付け、前記第2の環境パラメータは、前記ノードの加速度を特徴付ける、付記6に記載のシステム。
[付記15]
前記第1の環境パラメータは、第1の周波数で前記ノードを通って伝搬する第1の音波を特徴付け、前記第2の環境パラメータは、前記ノードの衝撃、振動、加速度、速度、および圧力のうちの1つを特徴付ける、付記6に記載のシステム。
[付記16]
前記第1の環境パラメータは、前記ノードにおける燃料の量を特徴付け、前記第2の環境パラメータは、前記ノードの加速度を特徴付ける、付記6に記載のシステム。
[付記17]
前記第1の環境パラメータは、前記ノードの本体の迎角を特徴付け、前記第2の環境パラメータは、前記ノードの前記本体の周りのフローストリームの速度を特徴付ける、付記6に記載のシステム。
[付記18]
前記第1の環境パラメータは、前記ノードに対する流体のよどみ温度を特徴付け、前記第2の環境パラメータは、前記ノードに対する前記流体のよどみ圧を特徴付ける、付記6に記載のシステム。
[付記19]
前記第1の環境パラメータは、前記ノードに関する燃料の質量流量を特徴付け、前記第2の環境パラメータは、前記ノードに関する前記燃料の位置、速度、および加速度のうちの少なくとも1つを特徴付ける、付記6に記載のシステム。
[付記20]
前記第1の環境パラメータは、前記ノードの磁場の方位を特徴付け、前記第2の環境パラメータは、前記ノードの位置または方位を特徴付ける、付記6に記載のシステム。
[付記21]
前記第1の環境パラメータは、前記ノードの磁場の方位を特徴付け、前記第2の環境パラメータは、前記ノードの位置または方位を特徴付け、前記一組の環境センサのうちの第3の環境センサが、時間を特徴付ける第3の環境パラメータを測定する、付記6に記載のシステム。
[付記22]
一組の環境パラメータは、3軸加速度計を含み、前記複数の相関する環境パラメータは、3つの別個の軸における前記ノードの加速度を含み、前記物理環境認証器は、前記3つの別個の軸における前記ノードの前記加速度が所定の持続時間の間の微小重力に対応する場合、データへのアクセスを許可する、付記1に記載のシステム。
[付記23]
前記一組の環境センサのうちの所与の環境センサは、前記ノードから物理的に分離されており、前記所与の環境センサからのデータは、前記物理環境認証器に無線により送信される、付記1に記載のシステム。
[付記24]
前記一組の環境センサの各環境センサは、同じ環境パラメータを測定する、付記1に記載のシステム。
[付記25]
前記物理環境認証器は、前記複数の相関する環境パラメータの各々をさらにスコア付けし、前記物理環境認証器は、M個(Mは2以上の整数)の相関する環境パラメータに関するスコアが対応する閾値スコアを満たす場合、およびN個(Nは1以上の整数)の相関する環境パラメータに関するスコアが対応する閾値スコア未満である場合、データへのアクセスを許可する、付記1に記載のシステム。
[付記26]
前記物理環境認証器は、前記ノードが前記認可された環境で動作していることを示す前記複数の相関する環境パラメータに応答して、暗号化された形式のデータを復号化するために使用可能な秘密鍵へのアクセスを許可する、付記1に記載のシステム。
[付記27]
機械実行可能命令を有する非一時的な機械可読媒体であって、前記機械実行可能命令は、物理環境認証器を含み、
前記物理環境認証器は、
データへのアクセスの要求をノードから受信し、
前記要求に応答して、一組の環境センサから前記ノードの複数の環境パラメータを特徴付けるデータをキャプチャし、
複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからの前記データに基づいており、前記一組の環境センサの各々からの前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを認可し、前記複数の相関する環境パラメータのうちの少なくとも1つが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを拒否する、非一時的な機械可読媒体。
[付記28]
前記物理環境認証器が修正されていないことを確認するためのトラステッドブートを実行するトラストサーバのルートをさらに備える、付記27に記載の非一時的な機械可読媒体。
[付記29]
前記物理環境認証器は、復号化されたデータを前記ノード上のコンピューティングプラットフォームに提供する、付記27に記載の非一時的な機械可読媒体。
[付記30]
前記一組の環境センサのうちの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサのうちの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、付記27に記載の非一時的な機械可読媒体。
[付記31]
前記一組の環境センサのうちの所与のセンサは、前記ノードから物理的に分離されており、前記所与の環境センサからのデータは、前記物理環境認証器に無線により送信される、付記27に記載の非一時的な機械可読媒体。
[付記32]
前記一組の環境センサのうちの少なくとも2つの環境センサは、同じ環境パラメータを測定する、付記27に記載の非一時的な機械可読媒体。
[付記33]
前記一組の環境センサのうちの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサのうちの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、付記27に記載の非一時的な機械可読媒体。
[付記34]
前記物理環境認証器は、複数の環境パラメータの各々が相関するように、前記複数の環境パラメータのうちの1つまたは複数を変換、フォーマット化、および/または融合する、付記27に記載の非一時的な機械可読媒体。
[付記35]
前記物理環境認証器がデータへのアクセスを許可することに応答して、暗号エンジンは、秘密鍵を使用して暗号化されたデータを復号化する、付記27に記載の非一時的な機械可読媒体。
[付記36]
環境検証に基づいてデータへのアクセスを制御するための方法であって、
セキュアコンピューティングプラットフォーム上で実行される物理環境認証器が、ノードからデータへのアクセスの要求を受信するステップと、
前記物理環境認証器が、前記要求に応答して、一組の環境センサから前記ノードの複数の環境パラメータを特徴付けるデータをキャプチャするステップと、
前記物理環境認証器が、複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからのデータに基づいており、前記一組の環境センサの各々からの前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを許可し、前記複数の相関する環境パラメータのうちの少なくとも1つが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを拒否するステップと、を含む方法。
[付記37]
前記一組の環境センサのうちの1つまたは複数から提供されたデータを変換および/またはフォーマット化して、前記複数の相関する環境パラメータを形成するステップをさらに含む、付記36に記載の方法。
[付記38]
前記一組の環境センサのうちの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサのうちの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、付記36に記載の方法。
[付記39]
前記セキュアコンピューティングプラットフォームの暗号エンジンが、データへのアクセスが許可されたことに応答して、秘密鍵を使用して暗号化された形式のデータを復号化するステップをさらに含む、付記36に記載の方法。
以下に、上記実施形態から把握できる技術思想を付記として記載する。
[付記1]
環境検証に基づいてデータへのアクセスを制御するためのシステムであって、
機械実行可能命令を有する非一時的メモリと、
機械可読命令にアクセスするための処理ユニットと、を備え、前記機械可読命令は、物理環境認証器を含み、
前記物理環境認証器は、
一組の環境センサから環境内のノードの複数の環境パラメータを特徴付けるデータを受信し、
複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからの前記データに基づいており、前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを許可し、前記複数の相関する環境パラメータが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを阻止する、システム。
[付記2]
前記物理環境認証器が修正されていないことを確認するためのトラステッドブートを実行するトラストサーバのルートをさらに備える、付記1に記載のシステム。
[付記3]
前記物理環境認証器は、暗号エンジンから復号化されたデータを受信し、前記復号化されたデータを前記ノードに提供する、付記1に記載のシステム。
[付記4]
前記一組の環境センサは、特定用途向け集積回路(ASIC)チップ上に集積されている、付記1に記載のシステム。
[付記5]
前記物理環境認証器は、前記一組の環境センサの第1の環境センサから提供された第1の環境パラメータを、前記一組の環境センサの第2の環境センサから提供された第2の環境パラメータを特徴付けるために使用された測定単位に変換および/またはフォーマット化して、前記複数の相関する環境パラメータを形成する、付記1に記載のシステム。
[付記6]
前記一組の環境センサの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、付記1に記載のシステム。
[付記7]
前記第1の環境パラメータは、前記ノードに加えられる剪断力であり、前記第2の環境パラメータは、前記ノードの温度である、付記6に記載のシステム。
[付記8]
前記第1の環境パラメータは、前記ノードの加速度であり、前記第2の環境パラメータは、前記ノードによって消費される燃料の量である、付記6に記載のシステム。
[付記9]
前記第1の環境センサは、全地球航法衛星システム(GNSS)受信機であり、前記第2の環境センサは、慣性測定ユニット(IMU)である、付記6に記載のシステム。
[付記10]
前記第1の環境センサは、全地球航法衛星システム(GNSS)受信機であり、前記第2の環境センサは、加速度計である、付記6に記載のシステム。
[付記11]
前記第1の環境センサは、前記ノードの加速度を測定する加速度計であり、前記第2の環境センサは、質量流量計、温度センサ、および圧力センサのうちの1つである、付記6に記載のシステム。
[付記12]
前記第1の環境センサは、前記ノードの加速度を測定する加速度計であり、前記第2の環境センサは、前記ノードの表面の変形を測定する変形メータである、付記6に記載のシステム。
[付記13]
前記第1の環境パラメータは、前記ノードの衝撃または振動を特徴付け、前記第2の環境パラメータは、前記ノードの加速度を特徴付ける、付記6に記載のシステム。
[付記14]
前記第1の環境パラメータは、前記ノードの応力または歪みを特徴付け、前記第2の環境パラメータは、前記ノードの加速度を特徴付ける、付記6に記載のシステム。
[付記15]
前記第1の環境パラメータは、第1の周波数で前記ノードを通って伝搬する第1の音波を特徴付け、前記第2の環境パラメータは、前記ノードの衝撃、振動、加速度、速度、および圧力のうちの1つを特徴付ける、付記6に記載のシステム。
[付記16]
前記第1の環境パラメータは、前記ノードにおける燃料の量を特徴付け、前記第2の環境パラメータは、前記ノードの加速度を特徴付ける、付記6に記載のシステム。
[付記17]
前記第1の環境パラメータは、前記ノードの本体の迎角を特徴付け、前記第2の環境パラメータは、前記ノードの前記本体の周りのフローストリームの速度を特徴付ける、付記6に記載のシステム。
[付記18]
前記第1の環境パラメータは、前記ノードに対する流体のよどみ温度を特徴付け、前記第2の環境パラメータは、前記ノードに対する前記流体のよどみ圧を特徴付ける、付記6に記載のシステム。
[付記19]
前記第1の環境パラメータは、前記ノードに関する燃料の質量流量を特徴付け、前記第2の環境パラメータは、前記ノードに関する前記燃料の位置、速度、および加速度のうちの少なくとも1つを特徴付ける、付記6に記載のシステム。
[付記20]
前記第1の環境パラメータは、前記ノードの磁場の方位を特徴付け、前記第2の環境パラメータは、前記ノードの位置または方位を特徴付ける、付記6に記載のシステム。
[付記21]
前記第1の環境パラメータは、前記ノードの磁場の方位を特徴付け、前記第2の環境パラメータは、前記ノードの位置または方位を特徴付け、前記一組の環境センサのうちの第3の環境センサが、時間を特徴付ける第3の環境パラメータを測定する、付記6に記載のシステム。
[付記22]
一組の環境パラメータは、3軸加速度計を含み、前記複数の相関する環境パラメータは、3つの別個の軸における前記ノードの加速度を含み、前記物理環境認証器は、前記3つの別個の軸における前記ノードの前記加速度が所定の持続時間の間の微小重力に対応する場合、データへのアクセスを許可する、付記1に記載のシステム。
[付記23]
前記一組の環境センサのうちの所与の環境センサは、前記ノードから物理的に分離されており、前記所与の環境センサからのデータは、前記物理環境認証器に無線により送信される、付記1に記載のシステム。
[付記24]
前記一組の環境センサの各環境センサは、同じ環境パラメータを測定する、付記1に記載のシステム。
[付記25]
前記物理環境認証器は、前記複数の相関する環境パラメータの各々をさらにスコア付けし、前記物理環境認証器は、M個(Mは2以上の整数)の相関する環境パラメータに関するスコアが対応する閾値スコアを満たす場合、およびN個(Nは1以上の整数)の相関する環境パラメータに関するスコアが対応する閾値スコア未満である場合、データへのアクセスを許可する、付記1に記載のシステム。
[付記26]
前記物理環境認証器は、前記ノードが前記認可された環境で動作していることを示す前記複数の相関する環境パラメータに応答して、暗号化された形式のデータを復号化するために使用可能な秘密鍵へのアクセスを許可する、付記1に記載のシステム。
[付記27]
機械実行可能命令を有する非一時的な機械可読媒体であって、前記機械実行可能命令は、物理環境認証器を含み、
前記物理環境認証器は、
データへのアクセスの要求をノードから受信し、
前記要求に応答して、一組の環境センサから前記ノードの複数の環境パラメータを特徴付けるデータをキャプチャし、
複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからの前記データに基づいており、前記一組の環境センサの各々からの前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを認可し、前記複数の相関する環境パラメータのうちの少なくとも1つが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを拒否する、非一時的な機械可読媒体。
[付記28]
前記物理環境認証器が修正されていないことを確認するためのトラステッドブートを実行するトラストサーバのルートをさらに備える、付記27に記載の非一時的な機械可読媒体。
[付記29]
前記物理環境認証器は、復号化されたデータを前記ノード上のコンピューティングプラットフォームに提供する、付記27に記載の非一時的な機械可読媒体。
[付記30]
前記一組の環境センサのうちの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサのうちの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、付記27に記載の非一時的な機械可読媒体。
[付記31]
前記一組の環境センサのうちの所与のセンサは、前記ノードから物理的に分離されており、前記所与の環境センサからのデータは、前記物理環境認証器に無線により送信される、付記27に記載の非一時的な機械可読媒体。
[付記32]
前記一組の環境センサのうちの少なくとも2つの環境センサは、同じ環境パラメータを測定する、付記27に記載の非一時的な機械可読媒体。
[付記33]
前記一組の環境センサのうちの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサのうちの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、付記27に記載の非一時的な機械可読媒体。
[付記34]
前記物理環境認証器は、複数の環境パラメータの各々が相関するように、前記複数の環境パラメータのうちの1つまたは複数を変換、フォーマット化、および/または融合する、付記27に記載の非一時的な機械可読媒体。
[付記35]
前記物理環境認証器がデータへのアクセスを許可することに応答して、暗号エンジンは、秘密鍵を使用して暗号化されたデータを復号化する、付記27に記載の非一時的な機械可読媒体。
[付記36]
環境検証に基づいてデータへのアクセスを制御するための方法であって、
セキュアコンピューティングプラットフォーム上で実行される物理環境認証器が、ノードからデータへのアクセスの要求を受信するステップと、
前記物理環境認証器が、前記要求に応答して、一組の環境センサから前記ノードの複数の環境パラメータを特徴付けるデータをキャプチャするステップと、
前記物理環境認証器が、複数の相関する環境パラメータを互いに比較し、かつ/または閾値と比較し、ここで、前記複数の相関する環境パラメータの少なくとも一部は、前記一組の環境センサからのデータに基づいており、前記一組の環境センサの各々からの前記複数の相関する環境パラメータが、前記ノードが認可された環境で動作していることを示す場合、データへのアクセスを許可し、前記複数の相関する環境パラメータのうちの少なくとも1つが、前記ノードが前記認可された環境で動作していないことを示す場合、データへのアクセスを拒否するステップと、を含む方法。
[付記37]
前記一組の環境センサのうちの1つまたは複数から提供されたデータを変換および/またはフォーマット化して、前記複数の相関する環境パラメータを形成するステップをさらに含む、付記36に記載の方法。
[付記38]
前記一組の環境センサのうちの第1の環境センサは、第1の環境パラメータを測定し、前記一組の環境センサのうちの第2の環境センサは、前記第1の環境パラメータとは別の第2の環境パラメータを測定する、付記36に記載の方法。
[付記39]
前記セキュアコンピューティングプラットフォームの暗号エンジンが、データへのアクセスが許可されたことに応答して、秘密鍵を使用して暗号化された形式のデータを復号化するステップをさらに含む、付記36に記載の方法。
【国際調査報告】