知財求人 - 知財ポータルサイト「IP Force」
特表2024-525301ドメインを横断するマイクロサービスに関するデータセキュリティを提供する方法およびシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-07-12
(54)【発明の名称】ドメインを横断するマイクロサービスに関するデータセキュリティを提供する方法およびシステム
(51)【国際特許分類】
G06F 21/62 20130101AFI20240705BHJP
H04L 9/32 20060101ALI20240705BHJP
【FI】
G06F21/62
H04L9/32 200B
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023575405
(86)(22)【出願日】2022-07-15
(85)【翻訳文提出日】2023-12-06
(86)【国際出願番号】 CA2022051103
(87)【国際公開番号】W WO2023000082
(87)【国際公開日】2023-01-26
(31)【優先権主張番号】17/384,103
(32)【優先日】2021-07-23
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】500043574
【氏名又は名称】ブラックベリー リミテッド
【氏名又は名称原語表記】BlackBerry Limited
【住所又は居所原語表記】2200 University Avenue East, Waterloo ON N2K 0A7, Canada
(74)【代理人】
【識別番号】100107489
【弁理士】
【氏名又は名称】大塩 竹志
(72)【発明者】
【氏名】ムケルジー, ビスワループ
(72)【発明者】
【氏名】ファーガソン, ジョーダン トーマス
(72)【発明者】
【氏名】ボーマン, ロジャー ポール
(57)【要約】
ドメインを横断してサービスをセキュアに共有するためのネットワーク要素における方法であって、方法は、ネットワーク要素において、第1のドメインおよびエッジドメインをシステムに追加するための要求を受信することと、ネットワーク要素の公開鍵を第1のドメインおよびエッジドメインにプロビジョニングすることと、第1のドメインの公開鍵を受信することと、ネットワーク要素において、第1のドメインまたはエッジドメインによって提供されるサービスをテーブルに入力することと、ネットワーク要素において、第1のドメインまたはエッジドメインにおいてインストールされたアプリケーションおよびアプリケーションに関するサービスに関する許可を第2のテーブルに入力することと、アプリケーションによるサービスへのアクセスを制御することとを含む。
【特許請求の範囲】
【請求項1】
ドメインを横断してサービスをセキュアに共有するためのネットワーク要素における方法であって、前記方法は、前記ネットワーク要素において、第1のドメインおよびエッジドメインをシステムに追加するための要求を受信することと、
前記ネットワーク要素の公開鍵を前記第1のドメインおよび前記エッジドメインにプロビジョニングすることと、
前記第1のドメインの公開鍵を受信することと、
前記ネットワーク要素において、前記第1のドメインまたは前記エッジドメインによって提供されるサービスをテーブルに入力することと、
前記ネットワーク要素において、前記第1のドメインまたはエッジドメインにおいてインストールされたアプリケーションおよび前記アプリケーションに関するサービスに関する許可を第2のテーブルに入力することと
前記アプリケーションによる前記サービスへのアクセスを制御することと
を含む、方法。
【請求項2】
前記アクセスを制御することは、前記第1のドメイン上のアプリケーションから要求を受信することであって、前記要求は、前記第1のドメインによって署名されている、ことと、
前記要求を検証することと、
前記検証に基づいて、かつ前記アプリケーションに関するサービスに関する前記許可に基づいて、サービスに関する少なくとも1つのトークンを前記第1のドメインに提供することと
を含み、
前記少なくとも1つのトークンは、前記サービスに関する識別子と、前記ネットワーク要素の署名とを含む、請求項1に記載の方法。
【請求項3】
前記トークンは、満了時間をさらに含む、請求項2に記載の方法。
【請求項4】
前記アクセスを制御することは、前記第1のドメイン上のドメインブリッジから要求を受信することであって、前記要求は、前記第1のドメインによって署名されており、アプリケーション識別子を含む、ことと、
前記要求を検証することと、
前記検証に基づいて、かつ前記アプリケーション識別子に関連付けられたアプリケーションに関するサービスに関する前記許可に基づいて、サービスに関する少なくとも1つのトークンを前記ドメインブリッジに提供することと
を含み、
前記少なくとも1つのトークンは、前記サービスに関する識別子と、前記ネットワーク要素の署名とを含む、請求項1に記載の方法。
【請求項5】
前記アクセスを制御することは、前記第1のドメインから前記第2のテーブルを同期させるための要求を受信することと、
前記第2のテーブルを前記第1のドメインに提供することと
を含む、請求項1に記載の方法。
【請求項6】
サービスを伴う前記テーブルは、サービスの一部に関する許可の権限委譲をさらに含む、請求項1に記載の方法。
【請求項7】
前記プロビジョニングすることは、前記第1のドメインおよび前記エッジドメインを伴うコンピューティングデバイスの製造中に生じる、請求項1に記載の方法。
【請求項8】
前記プロビジョニングすることは、前記第1のドメインおよび前記エッジドメインを伴うコンピューティングデバイスに関する信頼されるサービスセンターにおいて生じる、請求項1に記載の方法。
【請求項9】
前記第1のドメインおよび前記エッジドメインは、車両に属し、前記ネットワーク要素は、車隊マネージャである、請求項1に記載の方法。
【請求項10】
ドメインを横断してサービスをセキュアに共有するためのネットワーク要素であって、前記ネットワーク要素は、プロセッサと、
通信サブシステムと
を備え、
前記ネットワーク要素は、
前記ネットワーク要素において、第1のドメインおよびエッジドメインをシステムに追加するための要求を受信することと、
前記ネットワーク要素の公開鍵を前記第1のドメインおよび前記エッジドメインにプロビジョニングすることと、
前記第1のドメインの公開鍵を受信することと、
前記ネットワーク要素において、前記第1のドメインまたは前記エッジドメインによって提供されるサービスをテーブルに入力することと、
前記ネットワーク要素において、前記第1のドメインまたはエッジドメインにおいてインストールされたアプリケーションおよび前記アプリケーションに関するサービスに関する許可を第2のテーブルに入力することと、
前記アプリケーションによる前記サービスへのアクセスを制御することと
を行うように構成されている、ネットワーク要素。
【請求項11】
前記ネットワーク要素は、前記第1のドメイン上のアプリケーションから要求を受信することであって、前記要求は、前記第1のドメインによって署名されている、ことと、
前記要求を検証することと、
前記検証に基づいて、かつ前記アプリケーションに関するサービスに関する前記許可に基づいて、サービスに関する少なくとも1つのトークンを前記第1のドメインに提供することであって、前記少なくとも1つのトークンは、前記サービスに関する識別子と、前記ネットワーク要素の署名とを含む、ことと
によって、アクセスを制御するように構成されている、請求項10に記載のネットワーク要素。
【請求項12】
前記トークンは、満了時間をさらに含む、請求項11に記載のネットワーク要素。
【請求項13】
前記ネットワーク要素は、前記第1のドメイン上のドメインブリッジから要求を受信することであって、前記要求は、前記第1のドメインによって署名されており、アプリケーション識別子を含む、ことと、
前記要求を検証することと、
前記検証に基づいて、かつ前記アプリケーション識別子に関連付けられたアプリケーションに関するサービスに関する前記許可に基づいて、サービスに関する少なくとも1つのトークンを前記ドメインブリッジに提供することであって、前記少なくとも1つのトークンは、前記サービスに関する識別子と、前記ネットワーク要素の署名とを含む、ことと
によって、アクセスを制御するように構成されている、請求項10に記載のネットワーク要素。
【請求項14】
前記ネットワーク要素は、前記第1のドメインから前記第2のテーブルを同期させるための要求を受信することと、
前記第2のテーブルを前記第1のドメインに提供することと、
によって、アクセスを制御するように構成されている、請求項10に記載のネットワーク要素。
【請求項15】
サービスを伴う前記テーブルは、サービスの一部に関する許可の権限委譲をさらに含む、請求項10に記載のネットワーク要素。
【請求項16】
前記ネットワーク要素は、前記第1のドメインおよび前記エッジドメインを伴うコンピューティングデバイスの製造中にプロビジョニングするように構成されている、請求項10に記載のネットワーク要素。
【請求項17】
前記ネットワーク要素は、前記第1のドメインおよび前記エッジドメインを伴うコンピューティングデバイスが信頼されるサービスセンターにあるとき、プロビジョニングするように構成されている、請求項10に記載のネットワーク要素。
【請求項18】
前記第1のドメインおよび前記エッジドメインは、車両に属し、前記ネットワーク要素は、車隊マネージャである、請求項10に記載のネットワーク要素。
【請求項19】
命令コードを記憶するためのコンピュータ読み取り可能な媒体であって、前記命令コードは、ドメインを横断してサービスをセキュアに共有するために構成されたネットワーク要素のプロセッサによって実行されると、前記ネットワーク要素において、第1のドメインおよびエッジドメインをシステムに追加するための要求を受信することと、
前記ネットワーク要素の公開鍵を前記第1のドメインおよび前記エッジドメインにプロビジョニングすることと、
前記第1のドメインの公開鍵を受信することと、
前記ネットワーク要素において、前記第1のドメインまたは前記エッジドメインによって提供されるサービスをテーブルに入力することと、
前記ネットワーク要素において、前記第1のドメインまたはエッジドメインにおいてインストールされたアプリケーションおよび前記アプリケーションに関するサービスに関する許可を第2のテーブルに入力することと、
前記アプリケーションによる前記サービスへのアクセスを制御することと
を前記ネットワーク要素に行わせる、コンピュータ読み取り可能な媒体。
【請求項20】
前記命令コードは、前記第1のドメイン上のアプリケーションから要求を受信することであって、前記要求は、前記第1のドメインによって署名されている、ことと、
前記要求を検証することと、
前記検証に基づいて、かつ前記アプリケーションに関するサービスに関する前記許可に基づいて、サービスに関する少なくとも1つのトークンを前記第1のドメインに提供することであって、前記少なくとも1つのトークンは、前記サービスに関する識別子と、前記ネットワーク要素の署名とを含む、ことと
によって、アクセスを制御することを前記ネットワーク要素にさらに行わせる、請求項19に記載のコンピュータ読み取り可能な媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、分散システムに関し、特に、分散システムにおけるデータセキュリティに関する。
【背景技術】
【0002】
現代の車両は、多くのセンサを有する。しかしながら、そのようなセンサは、車両上の種々のコンピューティングノード内に分散され得、各コンピューティングノードは、ゼロ、1つ、またはそれを上回るセンサドライバへのアクセスを有し得る。そのようなセンサノードは、異なる製造業者をさらに有し、異なるオペレーティングシステムを使用して動作し得る。同様に、他の分散システムは、ノードが互いに通信する必要がある複数のノードを有し得る。
【0003】
センサまたはセンサの群は、1つ以上のアプリケーションに有用であり得る情報を発生させるために使用され得る。そのような情報は、本明細書では洞察と称される。ある場合、洞察は、独自のアルゴリズム、機械学習コード、または類似する処理に基づいて発生させられ、有益であり得る。そのような洞察は、外部ドメインにおいて起動する認可されたソフトウェアモジュールと共有される必要があり得、そのような外部ドメインにおけるセキュリティは、変動し得る。
【発明の概要】
【課題を解決するための手段】
【0004】
本開示は、第2のドメインから少なくとも1つの洞察を取得するための第1のドメインにおける方法を提供し、方法は、第1のドメイン内のアンカにアプリケーションを登録することと、アンカからアプリケーションに、アンカによって署名された第1のメッセージを提供することと、第1のドメインからネットワークドメインに、署名されたメッセージを送信することと、ネットワークドメインから、少なくとも1つの署名されたトークンを受信することであって、少なくとも1つの署名されたトークンの各々は、第2のドメイン上の合成センサのためのものであり、合成センサは、洞察を提供する、ことと、要求メッセージを第2のドメインに送信することであって、要求メッセージは、洞察を要求し、少なくとも1つのトークンを含む、ことと、少なくとも1つのトークンに関連付けられた合成センサから洞察を受信することとを含む。
【0005】
本開示は、第2のドメインから少なくとも1つの洞察を取得するために構成された第1のドメインを有するコンピューティングデバイスをさらに提供し、コンピューティングデバイスは、プロセッサと、通信サブシステムとを備え、コンピューティングデバイスは、第1のドメイン内のアンカにアプリケーションを登録することと、アンカからアプリケーションに、アンカによって署名された第1のメッセージを提供することと、第1のドメインからネットワークドメインに、署名されたメッセージを送信することと、ネットワークドメインから、少なくとも1つの署名されたトークンを受信することであって、少なくとも1つの署名されたトークンの各々は、第2のドメイン上の合成センサのためのものであり、合成センサは、洞察を提供する、ことと、要求メッセージを第2のドメインに送信することであって、要求メッセージは、洞察を要求し、少なくとも1つのトークンを含む、ことと、少なくとも1つのトークンに関連付けられた合成センサから洞察を受信することとを行うように構成されている。
【0006】
本開示は、命令コードを記憶するためのコンピュータ読み取り可能な媒体をさらに提供し、命令コードは、第2のドメインから少なくとも1つの洞察を取得するために構成された第1のドメインを有するコンピューティングデバイス上のプロセッサによって実行されると、第1のドメイン内のアンカにアプリケーションを登録することと、アンカからアプリケーションに、アンカによって署名された第1のメッセージを提供することと、第1のドメインからネットワークドメインに、署名されたメッセージを送信することと、ネットワークドメインから、少なくとも1つの署名されたトークンを受信することであって、少なくとも1つの署名されたトークンの各々は、第2のドメイン上の合成センサのためのものであり、合成センサは、洞察を提供する、ことと、要求メッセージを第2のドメインに送信することであって、要求メッセージは、洞察を要求し、少なくとも1つのトークンを含む、ことと、少なくとも1つのトークンに関連付けられた合成センサから洞察を受信することとをコンピューティングデバイスに行わせる。
【0007】
本開示はさらに、第2のドメインから少なくとも1つの洞察を取得するための第1のドメインにおける方法を提供し、方法は、第1のドメインにおける許可テーブルをネットワーク要素におけるマスタ許可テーブルと同期させることと、第1のドメイン内のブリッジにおいてアプリケーションから洞察のための要求を受信することと、アプリケーションの識別を確認することと、ブリッジにおいて、第1のドメインにおける許可テーブルを使用して、アプリケーション許可を検証することであって、検証することは、アプリケーションが洞察にアクセスするための許可を有することを確認する、ことと、第1のドメインから第2のドメインに要求メッセージを送信することであって、要求メッセージは、第1のドメインの秘密鍵によって署名されており、洞察を要求する、ことと、第2のドメインから洞察を受信することとを含む。
【0008】
本開示は、第2のドメインから少なくとも1つの洞察を取得するための第1のドメインを有するコンピューティングデバイスをさらに提供し、コンピューティングデバイスは、プロセッサと、通信サブシステムとを備え、コンピューティングデバイスは、第1のドメインにおける許可テーブルをネットワーク要素におけるマスタ許可テーブルと同期させることと、第1のドメイン内のブリッジにおいてアプリケーションから洞察のための要求を受信することと、アプリケーションの識別を確認することと、ブリッジにおいて、第1のドメインにおける許可テーブルを使用して、アプリケーション許可を検証することであって、検証することは、アプリケーションが洞察にアクセスするための許可を有することを確認する、ことと、第1のドメインから第2のドメインに要求メッセージを送信することであって、要求メッセージは、第1のドメインの秘密鍵によって署名されており、洞察を要求する、ことと、第2のドメインから洞察を受信することとを行うように構成されている。
【0009】
本開示は、命令コードを記憶するためのコンピュータ読み取り可能な媒体を提供さらにし、命令コードは、第2のドメインから少なくとも1つの洞察を取得するための第1のドメインを有するコンピューティングデバイスのプロセッサによって実行されると、第1のドメインにおける許可テーブルをネットワーク要素におけるマスタ許可テーブルと同期させることと、第1のドメイン内のブリッジにおいてアプリケーションから洞察のための要求を受信することと、アプリケーションの識別を確認することと、ブリッジにおいて、第1のドメインにおける許可テーブルを使用して、アプリケーション許可を検証することであって、検証することは、アプリケーションが洞察にアクセスするための許可を有することを確認する、ことと、第1のドメインから第2のドメインに要求メッセージを送信することであって、要求メッセージは、第1のドメインの秘密鍵によって署名されており、洞察を要求する、ことと、第2のドメインから洞察を受信さすることとをコンピューティングデバイスに行わせる。
【0010】
本開示は、ドメインを横断してサービスをセキュアに共有するためのネットワーク要素における方法をさらに提供し、方法は、ネットワーク要素において、第1のドメインおよびエッジドメインをシステムに追加するための要求を受信することと、ネットワーク要素の公開鍵を第1のドメインおよびエッジドメインにプロビジョニングすることと、第1のドメインの公開鍵を受信することと、ネットワーク要素において、第1のドメインまたはエッジドメインによって提供されるサービスをテーブルに入力することと、ネットワーク要素において、第1のドメインまたはエッジドメインにおいてインストールされたアプリケーションおよびアプリケーションに関するサービスに関する許可を第2のテーブルに入力することと、アプリケーションによるサービスへのアクセスを制御することとを含む。
【0011】
本開示は、ドメインを横断してサービスをセキュアに共有するためのネットワーク要素をさらに提供し、ネットワーク要素は、プロセッサと、通信サブシステムとを備え、ネットワーク要素は、ネットワーク要素において、第1のドメインおよびエッジドメインをシステムに追加するための要求を受信することと、ネットワーク要素の公開鍵を第1のドメインおよびエッジドメインにプロビジョニングすることと、第1のドメインの公開鍵を受信することと、ネットワーク要素において、第1のドメインまたはエッジドメインによって提供されるサービスをテーブルに入力することと、ネットワーク要素において、第1のドメインまたはエッジドメインにおいてインストールされたアプリケーションおよびアプリケーションに関するサービスに関する許可を第2のテーブルに入力することと、アプリケーションによるサービスへのアクセスを制御することとを行うように構成されている。
【0012】
本開示は、命令コードを記憶するためのコンピュータ読み取り可能な媒体をさらに提供し、命令コードは、ドメインを横断してサービスをセキュアに共有するために構成されたネットワーク要素のプロセッサによって実行されると、ネットワーク要素において、第1のドメインおよびエッジドメインをシステムに追加するための要求を受信することと、ネットワーク要素の公開鍵を第1のドメインおよびエッジドメインにプロビジョニングすることと、第1のドメインの公開鍵を受信することと、ネットワーク要素において、第1のドメインまたはエッジドメインによって提供されるサービスをテーブルに入力することと、ネットワーク要素において、第1のドメインまたはエッジドメインにおいてインストールされたアプリケーションおよびアプリケーションに関するサービスに関する許可を第2のテーブルに入力することと、アプリケーションによるサービスへのアクセスを制御することとをネットワーク要素に行わせる。
【図面の簡単な説明】
【0013】
本開示は、図面を参照してより深く理解されるであろう。
【0014】
【0015】
【0016】
【0017】
【0018】
【0019】
【0020】
【0021】
【0022】
【0023】
【0024】
【0025】
【0026】
【0027】
【発明を実施するための形態】
【0028】
現代の車両では、1つ以上の物理的センサからの情報は、システムにおいて有益であり得る「洞察」を作成するために処理され得る。そのような1つ以上の物理的センサおよびそれらに関連付けられた処理は、論理的にマイクロサービスまたは合成センサ(SS)と称され得る。マイクロサービスおよび合成センサという用語は、本明細書では同義的に使用される。
【0029】
合成センサは、限定ではないが、とりわけ、医療アプリケーション、製造アプリケーション、モノのインターネットアプリケーションを含む他のタイプのアプリケーションにおいて存在し得、本開示は、車両アプリケーションに限定されない。車両アプリケーションが、下記に例証のために提供される。
【0030】
洞察は、基本的センサデータの任意のコンピュータ作成解釈を説明するために本明細書に使用される用語である。洞察は、データ集約または相関と同程度に簡単であり得るか、または人工知能および機械学習と同程度に複雑であり得る。例えば、通知のために高および低基準値を提供する温度センサは、「洞察」と見なされ得る。位置特定サービスに関して、ジオフェンシングは、洞察である。カメラに関して、占有者認識は、洞察であり得る。温度センサおよびカメラ等のセンサの組み合わせの使用は、自動車の座席が暑い車両内で占有されているかどうかを決定するために、人工知能モデルとともに使用され得、それは、洞察であり得る。洞察の多くの他の例も、可能である。
【0031】
一実施形態において、車両アプリケーションは、開発者コミュニティに熟知され、アクセス可能である方法において、車両データおよび知的洞察への一貫したアクセスを提供するシステムにおいて実装され得る。そのような環境は、クラウド開発者が、一般的なクラウド開発技術およびパラダイムを使用して、車両データに関する知的洞察を導出する合成センサの開発を通して、車両内の端までクラウド開発者の到達範囲を拡大することを可能にし得る。そのような環境は、合成センサが、特注のカスタマイズを伴わずに、広範な車両ベースに書き込まれ、展開され得るように、車両データへの一貫したアクセスを提供し得る。
【0032】
洞察は、第1の設備またはドメイン上で起動するプロセッサに基づいて発生させられ得るが、それらは、多くの場合、外部ドメイン内で起動する認可されたソフトウェアモジュールと共有される必要がある。第1のドメインは、その中のモジュールのインストールおよび通信を制御し、したがって、それらの識別および認可を決定することが可能である。しかしながら、第1のドメインは、他のドメインにおいてそのような制御を有していない。
【0033】
例えば、1つの外部ドメインは、洞察にアクセスし、情報を運転者に提供するアプリケーションを起動し得る自動車の車両内インフォテインメント(IVI)システムであり得る。
【0034】
洞察を使用できるモジュールまたはアプリケーションは、それらが第1のドメイン内にあるか、第1のドメイン外にあるかにかかわらず、本明細書では車隊マネージャと称されるマネージャまたはアクタによって決定される。そのようなモジュールまたはアプリケーションの実装およびそれらの洞察へのアクセスは、いくつかの実施形態において、車隊マネージャによって制御され得る。しかしながら、いくつかの洞察に関して、車隊マネージャは、実装決定を運転者に権限委譲し得る。例えば、2つの洞察が、チャイルドシート占有に関する類似するデータを提供し得る。車隊マネージャは、この場合、第1の洞察を選定または許諾し得る。他の場合、車隊マネージャは、運転者が入手/使用する洞察を選定することを可能にし得る。
【0035】
いくつかの実施形態において、車隊マネージャは、任意の時点でモジュールまたはアプリケーションに利用可能な洞察の組を変更することができる。
【0036】
いくつかの実施形態において、システムは、接続解除モードをさらに考慮する必要がある。具体的に、車両は、車両へのいかなるインターネット接続も存在しないとき等、車隊マネージャへのアクセスを常に有しているわけではないこともある。いくつかの実施形態において、車両は、車両がいかなるセルラーサービスも伴わない地方エリアに駐車されているとき等、潜在的に長い期間にわたって車隊マネージャから接続解除され得る。
【0037】
故に、本開示は、外部ドメイン内の認可されたモジュールにのみ洞察を分配する方法およびシステムを提供する。
【0038】
(例示的分散システム)
【0039】
ここで、洞察の種々の発生側および消費側を示す例示的システムを示す図1が、参照される。図1の実施形態は、単に、例証目的のために提供され、ある場合、システムにおけるより少ない参加者が、存在するであろう。他の場合、システムにおけるより多い参加者が、存在するであろう。
【0040】
図1の実施形態において、車両100が、コンピューティングシステムと、通信システムとを装備し得る。コンピューティングシステムの一部は、下記に説明されるように、洞察を消費するアプリケーションを有し得るドメイン110を含み得る。さらに、車両110上のコンピューティングシステムの一部は、エッジドメイン112を含み得る。いくつかの実施形態において、エッジドメイン112は、洞察を発生させ得る。しかしながら、他の場合、洞察は、ドメイン110内で発生させられるか、またはエッジドメイン112内で消費され得る。
【0041】
図1の例では、車両100は、通信システムを利用して、eNB120として図1に示されるセルラー基地局と通信する。基地局は、コアネットワーク130と通信し得、それは、次いで、ネットワーク132を通してクラウドサービスプロバイダ140に通信を転送し得る。ネットワーク132は、例えば、インターネット等の広域ネットワークであり得る。
【0042】
他の実施形態において、コアネットワーク130ではなく、特定のセルラーまたは無線通信プロトコルに関連付けられた任意の技術が、使用され得る。
【0043】
下記に説明されるように、クラウドサービス140が、ドメイン内で発生させられる洞察のためのセキュリティを提供し得る。
【0044】
いくつかの実施形態において、クラウドドメイン150が、洞察を発生させ得るか、または消費し得る。クラウドドメイン150は、ネットワーク132を通してクラウドサービスプロバイダ140と通信し得、ある場合、車両100上のドメイン112等の他のドメインと通信し得る。
【0045】
さらに、車両ではなく、デバイス160が、洞察を発生させ得るか、または消費し得る。デバイス160は、そのような洞察を発生させることまたは消費することが可能な任意のコンピューティングデバイスであり得、他のオプションの中でもとりわけ、モノのインターネットデバイス、モバイルデバイス、医療機器、車両または車両に関連付けられた機器を含み得る。デバイス160は、限定ではないが、他のオプションの中でもとりわけ、イーサネット(登録商標)、ファイバ、セルラー、Wi-Fi、衛星を含む種々の有線または無線技術を実現するネットワーク132を通して通信を行う。
【0046】
デバイス160は、いくつかの実施形態において、洞察を消費し得るドメイン162を含み得る。さらに、デバイス160は、ある場合、洞察を発生させ得るエッジドメイン164を含み得る。しかしながら、他の場合、ドメイン162が、洞察を発生させ得、エッジドメイン164が、洞察を消費し得る。
【0047】
さらに、図1の実施形態は、車両100またはデバイス160内の2つのみのドメインを示すが、実践では、1つのみまたは多くのドメインが、車両100またはデバイス160内に存在し得、本開示は、任意の特定のデバイス内に2つのドメインのみを有することに限定されない。特に、デバイス160は、洞察を発生させるためにのみ使用され得、その場合、それは、単一のドメインのみを有するであろう。他の場合、デバイス160は、洞察を消費するのみであり、再び、1つのみのドメインを有し得る。他の場合、デバイス160または車両100は、エッジドメイン112とともに、複数のドメインを有し得る。
【0048】
本開示は、分散ノードを伴う自動車システムに関して説明されるであろう。しかしながら、それは、単に、例証目的のために提供され、本明細書に説明される方法およびシステムは、任意の他の分散システムとともに等しく使用され得る。
【0049】
ここで、1つの簡略化された分散システムを示す図2が、参照される。
【0050】
図2の例では、クラウドサービスドメイン210が、車隊マネージャに関連付けられ得る。クラウドサービスドメイン210は、一次アンカモジュール212を含む。一次アンカモジュールの1つの目的は、システム内の洞察のためのセキュリティに関する。
【0051】
クラウドサービスドメイン210はさらに、証明書または鍵ストア214を含む。下記に説明されるように、本明細書の実施形態において、システムは、自動車およびバックエンド情報技術インフラストラクチャ内にセキュアにインストールされ得る。インストールは、車隊マネージャが情報技術インフラストラクチャを使用して自動車外から検証することが可能である自動車における機密ストア内の鍵のプロビジョニングを含み得る。機密ストアは、他のソフトウェアモジュールが機密にアクセスすることを防止し、プロビジョニングされた鍵を保護するために、ハードウェア鍵暗号化鍵(KEK)を使用し得る。公開/秘密鍵ペアが、自動車において発生させられ、公開鍵は、信頼されるリンクを介して共有され得る。代替として、対称機密鍵が、車隊マネージャによって信頼される接続を用いて自動車に投入され、コピーが、情報技術インフラストラクチャにおいて記憶され得る。いずれの場合も、現場でのプロビジョニングされたシステムの識別を認証する手段が、達成される。
【0052】
図2の例では、証明書または鍵ストア214は、一次アンカ212に関する証明書と、一次アンカ212に関する秘密鍵とを記憶する。証明書または鍵ストア214は、下記に説明されるように、ドメインアンカに関する種々のドメイン証明書をさらに記憶し得る。
【0053】
図2の実施形態において、エッジドメイン220と称される、第1のドメインが、合成センサから洞察を提供するために使用され得る。ドメインは、それがクラウドのエッジ上にあることを示すクラウドの観点に基づいて、エッジドメインと称される。エッジドメイン220は、車両識別子を有する車両上にインストールされる。図2の実施形態は、単一のエッジドメインを示すが、実践では、複数のエッジドメインが、車両内に存在し得る。
【0054】
エッジドメイン220は、他の機能性の中でもとりわけ、洞察のためのセキュリティのために使用されるエッジアンカ222を含む。
【0055】
エッジドメイン220は、一次アンカ212に関する証明書を記憶するために使用され得る証明書または鍵ストア223をさらに含む。
【0056】
図2の例では、これらの合成センサ、すなわち、SS224、SS226、およびSS228は、エッジドメイン220の一部である。3つの合成センサが、示されるが、実践では、より少ないまたはより多い合成センサが、エッジドメイン内に存在し得る。
【0057】
さらに、図2の例では、二次ドメイン230が、示される。ドメイン230は、例えば、車両内のインフォテインメントシステムに関連付けられ得る。しかしながら、ドメイン230は、車両の他の側面にも関連付けられ得、インフォテインメントシステムに限定されない。
【0058】
ドメイン230は、他の機能性の中でもとりわけ、洞察のためのセキュリティを提供するために使用されるドメインアンカ232を含む。
【0059】
ドメイン230はさらに、証明書または鍵ストア233を含む。この場合、この証明書または鍵ストア233は、ドメインアンカ232に関連付けられた証明書のための記憶装置とともに、一次アンカ212のための鍵のための記憶装置を含み得る。
【0060】
図2の例では、ドメイン230は、3つのアプリケーション、すなわち、アプリケーション234と、アプリケーション236と、アプリケーション238とを含む。しかしながら、ドメインに関連付けられたアプリケーションの数は、3つに限定されず、より少ないまたはより多いアプリケーションが、特定のドメインに関連付けられ得る。
【0061】
さらに、図2の実施形態は、単一の二次ドメインのみを示すが、実践では、複数の二次ドメインが、車両内に存在し得、単一のドメイン230の図示は、例としてのみ提供される。
【0062】
図2の種々のドメイン間の接続性に関して、エッジドメイン220およびドメイン230は、任意の有線または無線技術を使用して、車両内で内部的に接続され得る。例えば、接続は、バス、短距離無線通信、または他の類似する通信技術を使用し得る。
【0063】
クラウドサービス210との通信は、他のオプションの中でもとりわけ、セルラー接続、衛星接続、Wi-Fi等の広域ネットワーク(WAN)等の無線技術を通してであり得る。さらに、ある場合、通信は、車両が製造され、プロビジョニングされているとき、または車両がサービスセンター内にあり、セキュアなチャネルを通して接続されるとき等、有線接続を通してであり得る。
【0064】
ドメインが制御メッセージのためにエッジドメインに接続することの失敗は、洞察を取得することの失敗も意味するであろう。典型的に、自動車の内側のドメインは、オンボードネットワークによって接続される。しかしながら、これらのリンクは、盗聴からセキュアであると仮定されることができない。さらに、ネットワークに接続される全てのモジュールまたはアプリケーションが、信頼されると仮定されることができるわけではない。したがって、メッセージの完全性および機密性は、ドメイン間で通信するとき、保証されず、随時のDOSに対する防御が、ある場合、採用され得る。
【0065】
さらに、ある場合、インターネットから自動車への接続性は、断続的であり得る。したがって、車隊マネージャおよび情報技術インフラストラクチャは、エッジドメイン220に常に接続されるわけではないこともある。自動車が、接続解除されると、自動車の内側で接続されるドメインのみが、エッジドメイン220から洞察を取得することができる。本明細書のいくつかの実施形態によると、エッジドメインと車隊マネージャとの間で同期させられた認可の最後の状態が、エッジドメインがクラウドサービス210から接続解除されるとき、尊重され得る。
【0066】
(プロビジョニング)
【0067】
ある信頼要素が、車両の製造中に車両環境内で、または、その後、信頼されるサービスセンターにおいてプロビジョニングされ得る。
【0068】
例えば、工場を離れる自動車は、少なくとも、エッジドメイン220、インフォテインメントシステム等の二次ドメイン230、および二次ドメイン230内のトラストアンカアプリケーション(ドメインアンカ232)をプロビジョニングされ得る。
【0069】
一実施形態において、車隊保有者が制御する情報技術インフラストラクチャの一部である信頼されるコンピュータが、セキュアにされたリンクを介して工場に接続される。この信頼されるコンピュータは、一次アンカ212と呼ばれ、プロビジョニングプロセスの一部として、鍵および証明書を識別し、1つ以上の車両識別子に関連付ける。
【0070】
証明書または鍵ストア223等のセキュアにされた記憶装置へのアクセスを有するエッジドメイン220内のモジュールは、エッジドメイン220のためのトラストアンカ(エッジアンカ222)として指定される。エッジアンカ222は、少なくとも1つの公開鍵(および証明書)を一次アンカ212から受信し、記憶し、エッジアンカ222は、エッジドメイン内の種々のSSとともに、メッセージが一次アンカ212の秘密鍵を使用して署名されたかどうかをチェックするために少なくとも1つの公開鍵(および証明書)を使用する。これは、図2の実施形態において、公開鍵「PA」および秘密鍵「pa」として示される。
【0071】
ドメイントラストアンカアプリケーション(ドメインアンカ232)が、自動車のドメイン230設備内にインストールされる。
【0072】
ドメインアンカ232は、一実施形態において、非対称鍵ペアを発生させるために、証明書または鍵ストア233を使用する。例えば、それは、図2の例では、公開鍵/秘密鍵ペアDA/daで示される。他の実施形態において、対称鍵ペア等の他の形態の暗号法も、使用され得る。
【0073】
一実施形態において、ドメインアンカ232の秘密鍵は、証明書または鍵ストア233内でセキュアなままである間、公開鍵を含む証明書要求が、情報技術インフラストラクチャに送信される。情報技術インフラストラクチャは、一次アンカ212の秘密鍵によって署名された証明書を返す。
【0074】
本実施形態において、ドメインアンカ232および一次アンカ212は、ここでは、情報を互いに認証し、かつセキュアに共有するための能力を有する。情報のそのようなセキュアな共有は、例えば、接続性が利用可能であるとき、一次アンカ212に到達するために、ドメインアンカ232によるハイパーテキスト転送プロトコルセキュア(HTTP)保護エンドポイントを使用し得る。
【0075】
上記は、製造中のプロビジョニングを議論するが、他の実施形態において、プロビジョニングは、後に生じ得る。例えば、サービスセンターのインストールおよびプロビジョニングが、本明細書に説明される実施形態とともに使用されることができる。
【0076】
さらに、上記に説明される公開/秘密鍵ペアベースのプロビジョニングの代わりに、いくつかの相手先商標製造会社(OEM)は、一次アンカ212からドメイン230の証明書または鍵ストア233に共有(対称)機密鍵を投入することを好み得る。後続のプロビジョニングステップは、そのような対称鍵と協働するように適合されることができる。
【0077】
(許可)
【0078】
プロトコル洞察に期待されるセキュリティを表すために、1つ以上の洞察が、許可に結び付けられる。ここで、図3が、参照される。
【0079】
図3の実施形態において、クラウドサービス310が、一次アンカ312と、証明書または鍵ストア314とを含む。クラウドサービスはさらに、テーブル316で示されるように、特定の車隊識別子を特定の許可に関連付けるテーブルを含む許可テーブルを含む。
【0080】
さらに、テーブル317は、下記に説明されるように、そのエッジドメインのために提供される許可およびそのエッジドメインに関して権限委譲される許可のタイプとともに、車両識別子を含むエッジドメインに関する識別子を含む。
【0081】
アプリケーションテーブル318が、許可およびそのアプリケーションがドメイン内でアクティブ化されているかどうかに特定のドメイン上のアプリケーションを関連付ける。
【0082】
図3の例における許可テーブルは、単に、例として提供され、限定ではない。ある場合、より多くの情報が、テーブル316、317、または318のいずれかにおいて提供され得る。他の場合、情報は、修正され得るか、または、テーブルは、ある実施形態において、組み合わせられ得る。
【0083】
少なくとも1つのエッジドメイン320が、車両に関連付けられ得る。エッジドメイン320は、エッジアンカ322と、証明書または鍵ストア323とを含む。
【0084】
図3の例では、エッジドメイン320は、3つの合成センサ、すなわち、SS A324と、SS B326と、SS C328とを含む。
【0085】
さらに、ドメイン330も、車両上にある。ドメイン330は、例えば、車両上のインフォテインメントシステムを備え得る。しかしながら、ドメインの他の例も、可能である。
【0086】
ドメイン330は、証明書または鍵ストア333とともに、ドメインアンカ332を含む。
【0087】
図3の例では、ドメイン330は、アプリケーション334と、アプリケーション336と、アプリケーション338とを含む。しかしながら、ドメイン上のアプリケーションの数は、3つのアプリケーションに限定されず、より少ないまたはより多いアプリケーションが、ドメイン330上に提供され得る。
【0088】
本開示の実施形態において、許可は、包括的に定義され、1つの特定のSSによってエッジドメイン内で施行されるように範囲設定される。
【0089】
許可の組が、任意の時点で自動車上に展開され、この組は、既知であり、クラウドサービス310内の情報技術インフラストラクチャドメインにおいて構成される。
【0090】
OEM等のエンティティは、全ての許可の最終的な制御を有し得る。そのようなエンティティは、許可の一部の制御を他の信頼されるエンティティに権限委譲し得る。例えば、車両の運転者が、信頼されるエンティティであり得る。運転者は、他のオプションの中でもとりわけ、車内ネットワークを使用して、またはインターネットを使用して、これらの権限委譲された許可の状態を改変し得る。
【0091】
例えば、1つの車両製造業者が、全ての洞察がその車両製造業者によってのみ承認された合成センサから提供されるべきであることを決定し得る。この場合、許可のいかなる権限委譲も、提供されない。別の場合、第2の車両製造業者が、あるタイプの洞察のソースが車両の運転者によって選定されるべきことを許可し得、これらは、権限委譲された許可と称されるであろう。
【0092】
一実施形態において、車両が、インターネットから接続解除された状態になると、許可は、施行の時点で利用可能な最新の制御エンティティまたは代理人入力と協働する。
【0093】
したがって、図3の実施形態によると、車隊マネージャ等の制御エンティティは、車両の組上の合成センサのインストールおよび関連付けられる許可を承認し得る。洞察を生成するセンサ324、326、または328等の合成センサは、次いで、エッジドメイン320上にインストールされ得る。
【0094】
(洞察を共有するための機構)
【0095】
上記に記載されるように、本開示の実施形態において、モジュール(アプリケーションとも称される)は、洞察を受信することを可能にされ得る。しかしながら、アプリケーションは、最終的に、作者、すなわち、人間または機関を表す。モジュールは、それらのバージョンによって示されるある時点をさらに表す。
【0096】
したがって、本明細書に説明される実施形態によると、エンドツーエンドシステムが、暗号署名を用いて、洞察を受信するための認可を信頼される作者によって証明された名称およびバージョンによって定義されたアプリケーションに提供し得る。作者に課される信頼は、システムの使用条件に準拠するソフトウェアを生成することである。システムは、要求されるとき、該認可を取り消すための機構も必要とし得る。
【0097】
利用可能な場合、そのようなシステムは、アプリケーションの名称およびバージョンの信憑性を決定するために、他のドメインのセキュリティ機構を使用し得る。例えば、ドメインが、Android(登録商標)ドメインである場合、Android(登録商標)アプリケーションの名称、バージョン、および署名の構成証明が、使用され得る。類似する構成証明が、異なるオペレーティングシステムを起動するドメインで見出され得る。
【0098】
合成センサは、本開示では、それらの独自の利益を担当し、それらの洞察を他のSSに引き渡す可能性が低いと仮定される。また、SS洞察を受信することを認可される殆どのアプリケーションが、システムの使用条件に自発的に違反せず、したがって、認可された洞察、データ、またはメタデータを無差別に共有しないであろうことが予期される。
【0099】
しかしながら、SSおよびアプリケーションは、それらが認可されるものよりも多くの洞察を得ることに反対もしない。したがって、それらが、それらに利用可能な洞察およびメタデータの全てを使用するであろうことが予期される。
【0100】
したがって、本開示の実施形態によると、システムは、洞察およびメタデータの範囲を車隊マネージャによって表されるアプリケーションの最小組に限定し、随時のセキュリティインシデントに起因する洞察の露出を限定し得る。
【0101】
これに基づいて、以下の節は、エッジドメイン外での洞察の共有をセキュアにする目標を達成する種々の方法を説明する。代替は、複雑性およびセキュリティ責任の性能および耐障害性とのトレードオフ分配を議論した。
【0102】
(洞察に関する独立したアプリケーション要求)
【0103】
プロビジョニングされた証明書および許可を使用して、外部ドメイン内のアプリケーションが、SSから洞察をセキュアに要求し得る一実施形態が、本明細書に提供される。ここで、図4が、参照される。
【0104】
図4の実施形態において、図3からの例示的許可およびドメインが、同様の番号とともに使用される。しかしながら、それは、単に、例証のために提供され、他の実施形態において、異なるドメイン、SS、アプリケーション、または接続も、可能である。
【0105】
図4の例では、アプリケーション334は、SS B326から洞察を得ることを所望する。
【0106】
この点について、ドメイン330内の内部通信経路が、アプリケーション334とドメインアンカ332との間に存在する。そのような通信経路は、接続420で示され、ドメイン330のコンピューティングデバイスのオペレーティングシステム内の任意の内部プロセスまたは通信経路であり得る。例えば、ドメインアンカ332は、ドメインアンカにデータを要求するために、またはデータを提供するために使用されるアプリケーションプログラムインターフェースを有し得る。他のオプションも、可能である。
【0107】
同様に、アプリケーション336が、ドメインアンカ332との接続422を有し得、アプリケーション338が、ドメインアンカ332との接続424を有し得る。
【0108】
図4の実施形態において、アプリケーション334は、接続430を使用して示されるように、一次アンカ312と通信することがさらに可能であり得る。
【0109】
さらに、アプリケーション334は、接続440を使用して示されるように、合成センサ326と通信することが可能であり得る。
【0110】
接続430および440は、実際の通信のために、ドメイン330内の通信サブシステムを利用し得る。例えば、ドメイン330、特に、アプリケーション334は、ある場合、一次アンカ312にインターネットプロトコル要求を送信するために、ドメイン330に関連付けられたセルラー通信モジュールを利用し得る。同様に、ドメイン330とエッジドメイン320とは、他のオプションの中でもとりわけ、Bluetooth(登録商標)、Bluetooth(登録商標)低エネルギー、CANBus、イーサネット(登録商標)等の有線または無線接続を通した通信を可能にし得る。
【0111】
【0112】
新しいアプリケーションが、情報技術インフラストラクチャにおいて登録されると、それは、図3に関して説明される許可ベースのモデルを利用して、洞察を取得することも認可される。
【0113】
そのアプリケーション334が、車両のドメイン330上にインストールされると、アプリケーションは、ドメイン330内にインストールされたドメインアンカ332に登録されることを要求する。そのような登録要求は、メッセージ520で示される。
【0114】
いくつかの実施形態において、アプリケーション334は、自動車インスタンスにおけるドメインアンカを提供しているアプリケーションパッケージの署名をチェックし得る。例えば、Android(登録商標)システムでは、アプリケーション334は、Android(登録商標)自動車インスタンスにおけるドメインアンカを提供しているAndroid(登録商標)パッケージキット(APK)の署名をチェックし得る。
【0115】
ブロック522において、ドメインアンカ332内のコンポーネントが、要求パッケージのアプリケーションの名称、バージョン、およびパッケージ署名ハッシュを決定するために、オペレーティングシステムプラットフォームを使用する。それは、次いで、車両識別子を付加し、この情報に署名し、ドメインアンカ秘密鍵(da)を活用してローカルで認証されたアプリケーションメッセージを生成し得る。
【0116】
例えば、そのようなローカルで認証されたアプリケーションメッセージは、コマンドSign(da,{vi2234,app.a,app.a.sig,timeOfDay+validity,・・}を使用して発生させられ得る。この場合、ローカルで認証されたアプリケーションメッセージは、車両識別子、アプリケーション識別子、およびアプリケーション署名を伴うメッセージに署名するためのドメインアンカの秘密鍵を含み、他の情報の中でもとりわけ、認証されたアプリケーションメッセージに関する時刻および有効性持続時間等の他の因子を含み得る。
【0117】
アプリケーションメッセージは、メッセージ524において、アプリケーション334に返される。
【0118】
ローカルで認証されたアプリケーションメッセージは、次いで、メッセージ530において、車両識別子とともに、一次アンカ312に送信され得る。ローカルで認証されたアプリケーションメッセージに関する接続は、ある場合、情報が盗聴者にさらされないことを確実にするために、暗号化されることができる。
【0119】
一次アンカ312は、メッセージ530を受信し、メッセージを検証し得る。具体的に、メッセージは、それが正しく署名されていることを確実にするために、ドメインアンカ332の公開鍵を用いて検証され得る。
【0120】
検証時、一次アンカ312は、ブロック532において、特定の車両上のアプリケーションに利用可能な許可の組を読み出し、それらに関するトークンを作成し、一次アンカ秘密鍵(pa)を用いてトークンに署名し、その対応する公開鍵は、自動車のエッジドメイン320上でのトークンの検証のために使用される。
【0121】
例えば、そのようなトークンは、コマンドtkn_auth_ins_B_pa = Sign(pa,{SS.B,timeOfDay+validity})を使用して発生させられ得る。この場合、トークンは、洞察Bがアクセスされることを可能にすることを含む。トークンは、SSを含み、いくつかの実施形態において、時刻および有効性持続時間を含み得る。トークンは、一次アンカの秘密鍵「pa」を用いて署名される。
【0122】
これらのトークンは、メッセージ534において、要求側アプリケーションに返される。トークンの戻りに関する接続は、ある場合、トークンが盗聴者にさらされないことを確実にするために、暗号化されることができる。
【0123】
要求側アプリケーションは、ここでは、メッセージ540で示されるように、洞察を読み出すためにSSに要求することができる。要求は、図5の実施形態において、要求される特定の洞察に関して範囲設定されたトークンを伴う。
【0124】
SS B326が、トークンを検証すると、それは、次いで、メッセージ542で示されるように、アプリケーション334に戻るように洞察を提供し得る。
【0125】
したがって、図5の実施形態において、アプリケーションとSSとの間の通信モデルは、直接的であると仮定される。トランスポートは、それがオペレーティングシステム(OS)境界を横断しているので、トランスポート層セキュリティ(TLS)を使用することができる。
【0126】
例えば、洞察を共有するSSは、それぞれの遠隔プロシージャコール(RPC)エンドポイントをTLS保護に登録することができる。これらのエンドポイントは、トークンとともに、アプリケーション334に通信されることができる。
【0127】
アプリケーションが、着目されるとき、それは、RPCエンドポイントを呼び出し、認可トークンとともに、SSの洞察に関する着目を登録することができる。
【0128】
SSが、洞察を発生させると、SSは、有効なトークンを用いてそれを依頼したアプリケーションとそれを共有することができる。
【0129】
代替として、TLSセキュリティを伴うパブリッシュ/サブスクライブトランスポートが、同様に使用されることができる。
【0130】
図4および5の実施形態は、したがって、プラットフォームのマイクロサービス性質を利用する通信モデルが、単一障害点を伴わずに洞察を効率的に共有することを可能にする。これは、アプリケーション334の信頼性を立証するために、ドメインアンカをトラストアンカとして使用する。
【0131】
(ゲートウェイを使用した洞察に関する独立したアプリケーション要求)
【0132】
いくつかの実施形態において、SSにサーバまたは通信エンドポイントとしての機能を直接果たさせることは、望ましくないこともある。例えば、SSは、セキュリティの意識がより低いと見なされ得るサードパーティによって書き込まれ得る。これらのシナリオに関して、通信は、アプリケーションプログラムインターフェース(API)ゲートウェイを通してであり得る。ゲートウェイは、洞察の外部要求側に関するリバースプロキシとしての機能を果たし得、ゲートウェイは、認可チェックを実施し得、2つ以上のSSの結果を組み合わることさえし得る。
【0133】
ゲートウェイのアドレスは、アプリケーション334がトークンとともに送信されると、アプリケーション334に送信されることができか、または、それらは、ドメイン330内で周知であるように公開されることができる。ここで、図6が、参照される。
【0134】
図6の実施形態において、図3からの例示的許可およびドメインが、同様の番号とともに使用される。しかしながら、それは、単に、例証のために提供され、他の実施形態において、異なるドメイン、SS、アプリケーション、または接続も、可能である。
【0135】
さらに、図6の例では、ゲートウェイ610が、アプリケーションがSSから洞察を得るために提供される。
【0136】
図6の例では、アプリケーション334は、SS B326から洞察を得ることを所望する。
【0137】
この点について、ドメイン330内の内部通信経路が、アプリケーション334とドメインアンカ332との間に存在する。そのような通信経路は、接続620で示され、ドメイン330のコンピューティングデバイスのオペレーティングシステム内の任意の内部プロセスまたは通信経路であり得る。例えば、ドメインアンカ332は、ドメインアンカにデータを要求するために、またはデータを提供するために使用されるアプリケーションプログラムインターフェースを有し得る。他のオプションも、可能である。
【0138】
図6の実施形態において、アプリケーション334は、接続630を使用して示されるように、一次アンカ312と通信することがさらに可能であり得る。
【0139】
さらに、アプリケーション334は、接続640を使用して示されるように、ゲートウェイ510と通信することが可能であり得る。
【0140】
ゲートウェイは、エッジドメイン320内で内部的にSSと通信し、SS B326との接続は、接続650として示される。
【0141】
接続630および640は、実際の通信のために、ドメイン330内の通信サブシステムを利用し得る。例えば、ドメイン330、特に、アプリケーション334は、ある場合、一次アンカ312にインターネットプロトコル要求を送信するために、ドメイン330に関連付けられたセルラー通信モジュールを利用し得る。同様に、ドメイン330およびエッジドメイン320は、他のオプションの中でもとりわけ、Bluetooth(登録商標)、Bluetooth(登録商標)低エネルギー、CANBus、イーサネット(登録商標)等の有線または無線接続を通した通信を可能にし得る。
【0142】
【0143】
新しいアプリケーションが、情報技術インフラストラクチャにおいて登録されると、それは、図3に関して説明される許可ベースのモデルを利用して、洞察を取得することも認可される。
【0144】
そのアプリケーション334が、車両のドメイン330上にインストールされると、アプリケーションは、ドメイン330内にインストールされたドメインアンカ332への登録を要求する。そのような登録要求は、メッセージ720で示される。
【0145】
いくつかの実施形態において、アプリケーション334は、自動車インスタンスにおけるドメインアンカを提供しているアプリケーションパッケージの署名をチェックし得る。例えば、Android(登録商標)システムでは、アプリケーション334は、Android(登録商標)自動車インスタンスにおけるドメインアンカを提供しているAndroid(登録商標)パッケージキット(APK)の署名をチェックし得る。
【0146】
ブロック722において、ドメインアンカ332内のコンポーネントが、要求パッケージのアプリケーションの名称、バージョン、およびパッケージ署名ハッシュを決定するために、オペレーティングシステムプラットフォームを使用する。それは、次いで、車両識別子を付加し、この情報に署名し、ドメインアンカ秘密鍵(da)を活用して、ローカルで認証されたアプリケーションメッセージを生成し得る。
【0147】
例えば、そのようなローカルで認証されたアプリケーションメッセージは、コマンドSign(da,{vi2234,app.a,app.a.sig,timeOfDay+validity,・・}を使用して発生させられ得る。この場合、ローカルで認証されたアプリケーションメッセージは、車両識別子、アプリケーション識別子、およびアプリケーション署名を伴うメッセージに署名するためのドメインアンカの秘密鍵を含み、他の情報の中でもとりわけ、認証されたアプリケーションメッセージに関する時刻および有効性持続時間等の他の因子を含み得る。
【0148】
アプリケーションメッセージは、メッセージ724において、アプリケーション334に返される。
【0149】
ローカルで認証されたアプリケーションメッセージは、次いで、メッセージ730において、車両識別子とともに、一次アンカ312に送信され得る。ローカルで認証されたアプリケーションメッセージに関する接続は、ある場合、情報が盗聴者にさらされないことを確実にするために、暗号化されることができる。
【0150】
一次アンカ312は、メッセージ730を受信し、メッセージを検証し得る。具体的に、メッセージは、それが正しく署名されることを確実にするために、ドメインアンカ332の公開鍵を用いて検証され得る。
【0151】
検証時、一次アンカ312は、ブロック732において、特定の車両上のアプリケーションに利用可能な許可の組を読み出し、それらに関するトークンを作成し、一次アンカ秘密鍵(pa)を用いてトークンに署名し、その対応する公開鍵が、自動車のエッジドメイン320上のトークンの検証のために使用される。
【0152】
例えば、そのようなトークンは、コマンドtkn_auth_ins_B_pa = Sign(pa,{SS.B,timeOfDay+validity})を使用して発生させられ得る。この場合、トークンは、洞察Bがアクセスされることを可能にすることを含む。トークンは、SSを含み、いくつかの実施形態において、時刻および有効性持続時間を含み得る。トークンは、一次アンカの秘密鍵「pa」を用いて署名される。
【0153】
これらのトークンは、メッセージ734において、要求側アプリケーションに返される。トークンの戻りに関する接続は、ある場合、トークンが盗聴者にさらされないことを確実にするために、暗号化されることができる。
【0154】
要求側アプリケーションは、ここでは、ゲートウェイ610を利用することによってメッセージ740で示されるように、洞察を読み出すために要求することができる。要求は、図7の実施形態において、要求される特定の洞察に関して範囲設定されたトークンを伴う。
【0155】
ゲートウェイ610が、トークンを検証すると、ゲートウェイ610は、次いで、メッセージ750で示されるように、SS B326から洞察を要求し得る。メッセージ750の発信元は、SS Bに把握されているので、いかなる検証も、メッセージ752における洞察をゲートウェイ610に返すために必要とされ得ない。
【0156】
ゲートウェイ610は、次いで、メッセージ760で示されるように、アプリケーション334に戻るように洞察を提供し得る。
【0157】
したがって、図7の実施形態において、アプリケーションとSSとの間の通信モデルは、ゲートウェイを使用する。アプリケーションとゲートウェイとの間のトランスポートは、それがオペレーティングシステム(OS)境界を横断しているので、トランスポート層セキュリティ(TLS)を使用することができる。
【0158】
アプリケーションが、着目されるとき、それは、ゲートウェイへのRPCエンドポイントを呼び出し、認可トークンとともに、SSの洞察に関する着目を登録することができる。
【0159】
SSが、洞察を発生させると、それは、ゲートウェイに知らせてもよい。ゲートウェイ610は、次いで、有効なトークンを用いてそれを依頼したアプリケーションとそれを共有することができる。
【0160】
代替として、TLSセキュリティを伴うパブリッシュ/サブスクライブトランスポートが、ゲートウェイを使用するが、同様に使用されることができる。
【0161】
SSゲートウェイ610は、自動車に単一障害点を導入するが、利益のうちの1つは、異なる異種のドメインからの要求が、ゲートウェイ内にアダプタを追加することによって適応され得ることである。
【0162】
ある場合、洞察ゲートウェイは、さらにリバースプロキシされることができ、クラウド内のより高いレベルのゲートウェイが、車両および車隊を横断して洞察をスケーリングするために使用されることができる。
【0163】
(ドメインブリッジを介した洞察)
【0164】
さらなる実施形態において、ブリッジモジュールが、洞察に関するプロキシとしての機能を果たすために、外部ドメイン内に導入され得る。外部ドメイン内で起動するトラストアンカからの暗号鍵が、特定のドメインに共有される。例えば、ここで、図8が、参照される。
【0165】
図8の例では、ドメインアンカは、一次アンカ内のそれらの相互信頼を介してエッジドメインと公開鍵/証明書を共有する。この証明書は、周期的に書き換えられる必要があり得る。その証明書に対応する秘密鍵によって署名されたメッセージは、SSによって信頼され、洞察生成インターフェースへの外部TLS接続を可能にする。書き換えは、サービス継続を可能にするために、構成された回数に関して、ネットワークから接続解除されると、自動車内で生じ得る。
【0166】
図8の実施形態において、図3からの例示的許可およびドメインが、同様の番号とともに使用される。しかしながら、それは、単に、例証のために提供され、他の実施形態において、異なるドメイン、SS、アプリケーション、または接続も、可能である。
【0167】
図8の例では、アプリケーション334は、SS B326から洞察を得ることを所望する。
【0168】
この点について、ドメイン330内の内部通信経路が、アプリケーション334とドメインアンカ/ブリッジ810との間に存在する。そのような通信経路は、接続820で示され、ドメイン330のコンピューティングデバイスのオペレーティングシステム内の任意の内部プロセスまたは通信経路であり得る。例えば、ドメインアンカ/ブリッジ810は、ドメインアンカにデータを要求するために、またはデータを提供するために使用されるアプリケーションプログラムインターフェースを有し得る。他のオプションも、可能である。
【0169】
ドメインアンカ/ブリッジ810は、接続830を使用して一次アンカ312と通信し得る。
【0170】
さらに、ドメインアンカ/ブリッジ810は、接続840を使用して示されるように、合成センサ326と通信することが可能であり得る。
【0171】
接続830および840は、実際の通信のために、ドメイン330内の通信サブシステムを利用し得る。例えば、ドメイン830、特に、ドメインアンカ/ブリッジ810は、ある場合、一次アンカ312にインターネットプロトコル要求を送信するために、ドメイン330に関連付けられたセルラー通信モジュールを利用し得る。同様に、ドメイン330およびエッジドメイン320は、他のオプションの中でもとりわけ、Bluetooth(登録商標)、Bluetooth(登録商標)低エネルギー、CANBus、イーサネット(登録商標)等の有線または無線接続を通した通信を可能にし得る。
【0172】
【0173】
新しいアプリケーションが、情報技術インフラストラクチャにおいて登録されると、それは、図3に関して説明される許可ベースのモデルを利用して、洞察を取得することも認可される。
【0174】
そのアプリケーション334が、車両のドメイン330上にインストールされると、アプリケーションは、ドメイン330内にインストールされたドメインアンカ/ブリッジ810への登録を要求する。そのような登録要求は、メッセージ920で示される。
【0175】
いくつかの実施形態において、アプリケーション334は、自動車インスタンスにおけるドメインアンカ/ブリッジを提供しているアプリケーションパッケージの署名をチェックし得る。例えば、Android(登録商標)システムでは、アプリケーション334は、Android(登録商標)自動車インスタンスにおけるドメインアンカ/ブリッジを提供しているAndroid(登録商標)パッケージキット(APK)の署名をチェックし得る。
【0176】
ブロック922において、ドメインアンカ332内のコンポーネントが、要求パッケージのアプリケーションの名称、バージョン、およびパッケージ署名ハッシュを決定するために、オペレーティングシステムプラットフォームを使用する。それは、次いで、この情報に署名し、ドメインアンカ秘密鍵(da)を活用してローカルで認証されたアプリケーションメッセージを生成し得る。
【0177】
ローカルで認証されたアプリケーションメッセージは、次いで、メッセージ930において、車両識別子とともに、一次アンカ312に送信され得る。ローカルで認証されたアプリケーションメッセージに関する接続は、ある場合、情報が盗聴者にさらされないことを確実にするために、暗号化されることができる。
【0178】
例えば、そのようなメッセージは、トークンに関する要求であり得、コマンドgetAuthTokensFor(Sign(da,{app.a,app.a.sig,Nonce,・・})を用いて発生させられ得る。この場合、ドメイン330の秘密鍵を用いた署名、認証されたアプリケーションメッセージ、および反射攻撃を防止するためのナンスが、提供される。
【0179】
一次アンカ312は、メッセージ930を受信し、メッセージを検証し得る。具体的に、メッセージは、それが正しく署名されることを確実にするために、ドメインアンカ332の公開鍵を用いて検証され得る。
【0180】
検証時、一次アンカ312は、ブロック932において、特定の車両上のアプリケーションに利用可能な許可の組を読み出し、それらに関するトークンを作成し、一次アンカ秘密鍵(pa)を用いてトークンに署名し、その対応する公開鍵が、自動車のエッジドメイン320上のトークンの検証のために使用される。
【0181】
これらのトークンは、メッセージ934において、要求側アプリケーションに返される。トークンの戻りに関する接続は、ある場合、トークンが盗聴者にさらされないことを確実にするために、暗号化されることができる。
【0182】
ドメインアンカ/ブリッジ810は、ここでは、メッセージ940で示されるように、洞察を読み出すためにSSに要求することができる。要求は、図9の実施形態において、要求される特定の洞察に関して範囲設定されたトークンを伴う。
【0183】
SS B326が、トークンを検証すると、それは、次いで、メッセージ942で示されるように、ドメインアンカ/ブリッジ810に戻るように洞察を提供し得る。
【0184】
したがって、図9の実施形態において、アプリケーションとSSとの間の通信モデルは、ブリッジを通して流れる。トランスポートは、それがオペレーティングシステム(OS)境界を横断しているので、トランスポート層セキュリティ(TLS)を使用することができる。
【0185】
例えば、洞察を共有するSSは、それぞれの遠隔プロシージャコール(RPC)エンドポイントをTLS保護に登録することができる。これらのエンドポイントは、トークンとともに、ブリッジに通信されることができる。
【0186】
ブリッジは、次いで、RPCエンドポイントを呼び出し、認可トークンとともに、SSの洞察に関する着目を登録することができる。
【0187】
SSが、洞察を発生させると、SSは、有効なトークンを用いてそれを依頼したブリッジとそれを共有することができる。
【0188】
代替として、TLSセキュリティを伴うパブリッシュ/サブスクライブトランスポートが、同様に使用されることができる。
【0189】
ドメインブリッジアプローチを使用することは、セキュリティ機構の詳細のうちのいずれかを実装するいかなる必要性もないので、アプリケーションが単純なままであることを可能にする。具体的に、アプリケーションは、洞察がローカルであるかのように、別のアプリケーション、すなわち、ドメインブリッジ/アンカを呼び出し得る。そのモジュールは、ドメイン330のためのデータブリッジとしての機能を果たす。また、トークンが決して共有されないので、アプリケーションがトークンを漏洩するいかなるリスクも、存在しない。トークンは、依然として、洞察のソースにおける認可をチェックするために使用されることができる。
【0190】
(ドメインブリッジおよびゲートウェイを介した洞察)
【0191】
さらなる実施形態は、ドメインブリッジおよびゲートウェイの両方を使用する。ドメインブリッジは、アプリケーションとの内部相互作用を簡略化するために使用され得る。ゲートウェイは、SSとの外部相互作用を簡略化するために使用され得る。
【0192】
ある場合、本実施形態において、トークンに関する必要性は要求側の識別を決定するためにローカルトラストアンカに依拠することが可能であるので、除去されることができる。しかしながら、他の場合、トークンは、本実施形態において、維持され得る。
【0193】
本実施形態におけるドメインアンカの役割は、識別を検証することである一方、ゲートウェイの役割は、認可をチェックすることである。ドメインアンカおよびゲートウェイは、したがって、一次アンカに接続されていとき、許可の最新の組を同期させ得る。
【0194】
図10が、参照される。図10の実施形態において、図3からの例示的許可およびドメインが、同様の番号とともに使用される。しかしながら、それは、単に、例証のために提供され、他の実施形態において、異なるドメイン、SS、アプリケーション、または接続も、可能である。
【0195】
さらに、図10の例では、ドメインアンカ/ブリッジ1010およびゲートウェイ1012が、アプリケーションがSSから洞察を得るために提供される。
【0196】
図10の例では、アプリケーション334は、SS B326から洞察を得ることを所望する。
【0197】
この点について、ドメイン330内の内部通信経路が、アプリケーション334とドメインアンカ332との間に存在する。そのような通信経路は、接続1020で示され、ドメイン330のコンピューティングデバイスのオペレーティングシステム内の任意の内部プロセスまたは通信経路であり得る。例えば、ドメインアンカ/ブリッジ1010は、ドメインアンカにデータを要求するために、またはデータを提供するために使用されるアプリケーションプログラムインターフェースを有し得る。他のオプションも、可能である。
【0198】
ドメインアンカ/ブリッジ1010は、接続1022を使用して示されるように、一次アンカ312と通信することが可能であり得る。
【0199】
さらに、ドメインアンカ/ブリッジ1010は、接続1030を使用して示されるように、ゲートウェイ1012と通信することが可能であり得る。
【0200】
ゲートウェイは、エッジドメイン320内で内部的にSSと通信し、SS B326との接続は、接続1050として示される。
【0201】
接続1022および1030は、実際の通信のために、ドメイン330内の通信サブシステムを利用し得る。例えば、ドメイン330、特に、ドメインアンカ/ブリッジ1010は、ある場合、一次アンカ312にインターネットプロトコル要求を送信するために、ドメイン330に関連付けられたセルラー通信モジュールを利用し得る。同様に、ドメイン330およびエッジドメイン320は、他のオプションの中でもとりわけ、Bluetooth(登録商標)、Bluetooth(登録商標)低エネルギー、CANBus、イーサネット(登録商標)等の有線または無線接続を通した通信を可能にし得る。
【0202】
【0203】
図11の実施形態において、ドメインアンカ/ブリッジ1010は、一次アンカ312と通信し、矢印1120で示されるように、周期的に、または都度、許可を同期させるであろう。具体的に、図11の実施形態は、許可に関する単一の同期のみを示すが、実践では、ドメインアンカ/ブリッジ1010は、種々のオプションに基づいて、許可を一次アンカ312と同期させ得る。例えば、同期は、接続1022等のインターネット接続が確立されるとき、行われ得る。他の場合、車両が、ある期間にわたってセルラー通信有効範囲外にある場合、次いで、セルラー通信有効範囲が回復されると、許可は、同期させられ得る。他の場合、許可は、タイマが満了した後に同期させられ得る。他の場合、許可は、特定の日時が経過した後の最初の機会に同期させられ得る。他のオプションも、可能である。
【0204】
このように、テーブル318のローカルインスタンスが、車両に記憶される。これは、車両がクラウドサービス310の通信有効範囲外にある間の洞察へのアクセスを提供し、クラウドサービス310から許可を取得することにおける遅延を除去することによって、プロセスをさらに迅速化する。
【0205】
類似する同期が、エッジアンカにおいても同様に許可のローカルコピーを有するように、エッジアンカ(図示せず)において生じ得る。他の場合、同期は、エッジアンカおよび一次アンカのみで生じ得、次いで、エッジアンカは、ローカルテーブルへのアクセスをドメインアンカ/ブリッジに提供し得る。他のオプションも、可能である。
【0206】
そのアプリケーション334が、車両のドメイン330上にインストールされると、アプリケーションは、ドメイン330内にインストールされたドメインアンカ/ブリッジ1010への登録を要求する。そのような登録要求は、メッセージ1130で示される。この場合、メッセージ1130は、アプリケーションが初めて洞察を要求することであり得る。
【0207】
いくつかの実施形態において、アプリケーション334は、自動車インスタンスにおけるドメインアンカ/ブリッジを提供しているアプリケーションパッケージの署名をチェックし得る。例えば、Android(登録商標)システムでは、アプリケーション334は、Android(登録商標)自動車インスタンスにおけるドメインアンカ/ブリッジを提供しているAndroid(登録商標)パッケージキット(APK)の署名をチェックし得る。
【0208】
ブロック1132において、ドメインアンカ/ブリッジ1010内のコンポーネントが、メッセージ1130からアプリケーション署名を抽出する。それは、次いで、テーブル318のローカルインスタンス内の許可をチェックし、アプリケーション334が、要求が行われた合成センサからの洞察にアクセスするための許可を有するかどうかを決定し得る。このように、ドメインアンカ/ブリッジは、アプリケーション334の識別を検証し、アプリケーション334が車両に関する洞察を要求することを認可された有効なクライアントアプリケーションであることを検証し得る。
【0209】
ブロック1132における検証に基づいて、ドメインアンカ/ブリッジは、次いで、メッセージ1140で示されるように、洞察のための要求をゲートウェイ1012に送信し得る。例えば、メッセージ1140における要求は、reqInsightFor(sign(da,{app.a,params}))であり得る。このメッセージにおいて、アプリケーションの識別およびパラメータが、ドメイン330の秘密鍵を用いて署名される。ゲートウェイおよびドメインアンカ/ブリッジは、互いに認証されているので、いかなるトークンも、そのような通信のために要求されない。特に、ブロック1142において、許可状態チェックが、ゲートウェイ1012において行われ、チェックに基づいて、洞察が、返され得る。
【0210】
具体的に、ゲートウェイ1012は、メッセージ1150で示されるように、SS B326から洞察を要求し、メッセージ1152として戻る洞察を受信し得る。ゲートウェイは、SS Bに把握されているので、いかなるチェックも、メッセージ1150のために必要とされないこともある。
【0211】
ゲートウェイ1012は、次いで、メッセージ1160における洞察をドメインアンカ/ブリッジ1010に返し得る。
【0212】
ドメインアンカ/ブリッジ1010は、次いで、メッセージ1162を用いてアプリケーション334に洞察を提供し得る。
【0213】
したがって、図11の実施形態において、アプリケーションとSSとの間の通信モデルは、ゲートウェイおよびブリッジの両方を使用する。ブリッジとゲートウェイとの間のトランスポートは、それがオペレーティングシステム(OS)境界を横断しているので、トランスポート層セキュリティ(TLS)を使用することができる。
【0214】
(洞察にアクセスするためのクラウドアプリケーション)
【0215】
車両内アプリケーションは、上記の実施形態におけるように、合成センサから洞察を要求するが、ウェブベースまたは他のネットワークベースのアプリケーションが類似するデータを要求することも、可能である。
【0216】
ここで、ウェブまたはネットワークベースのアプリケーションのためにドメインブリッジおよびゲートウェイの両方を使用する図12が、参照される。クラウドブリッジは、アプリケーションとの内部相互作用を簡略化するために使用され得る。ゲートウェイは、SSとの外部相互作用を簡略化するために使用され得る。
【0217】
ある場合、本実施形態において、トークンに関する必要性は、要求側の識別を決定するために、ローカルトラストアンカに依拠することが可能であるので、除去されることができる。しかしながら、他の場合、トークンは、本実施形態において、維持され得る。
【0218】
本実施形態におけるクラウドアンカの役割は、識別を検証することである一方、ゲートウェイの役割は、認可をチェックすることである。クラウドアンカおよびゲートウェイは、したがって、一次アンカに接続されているとき、許可の最新の組を同期させ得る。
【0219】
図12が、参照される。図12の実施形態において、図3および図10からの例示的許可およびドメインが、同様の番号とともに使用される。しかしながら、それは、単に、例証のために提供され、他の実施形態において、異なるドメイン、SS、アプリケーション、または接続も、可能である。
【0220】
図12の実施形態において、クラウドドメイン1210が、提供される。クラウドドメイン1210は、証明書または鍵ストア1223とともに、クラウドアンカ/ブリッジ1220を含む。証明書または鍵ストア1223は、一次アンカ312の公開鍵を用いてプロビジョニングされ得る。さらに、証明書または鍵ストアは、図12の実施形態において、公開鍵に関して「CA」と称され、秘密鍵に関して「ca」と称される、クラウドアンカのための公開鍵/秘密鍵ペアを作成または記憶するために使用され得る。
【0221】
図12の実施形態において、3つのアプリケーション、すなわち、アプリケーション1224、アプリケーション1226、およびアプリケーション1228が、クラウドアプリケーションとして示される。しかしながら、3つのアプリケーションの使用は、限定ではなく、例証のためにのみ提供される。3つよりも少ないまたは多いアプリケーションが、実践において存在し得る。
【0222】
さらに、図12の例では、ゲートウェイ1212が、アプリケーションがSSから洞察を得るために、エッジドメイン内に提供される。
【0223】
図12の例では、アプリケーション1224は、SS B326から洞察を得ることを所望する。
【0224】
この点について、クラウドドメイン1210内の内部通信経路が、アプリケーション334とドメインアンカ332との間に存在する。そのような通信経路は、接続1222で示され、クラウドドメイン1210のコンピューティングデバイスのオペレーティングシステム内の任意の内部プロセスまたは通信経路であり得る。例えば、クラウドドメインアンカ/ブリッジ1220は、クラウドドメインアンカ/ブリッジにデータを要求するために、またはデータを提供するために使用されるアプリケーションプログラムインターフェースを有し得る。他のオプションも、可能である。
【0225】
クラウドドメインアンカ/ブリッジ1220は、接続1240を使用して示されるように、一次アンカ312と通信することが可能であり得る。
【0226】
さらに、クラウドドメインアンカ/ブリッジ1220は、接続1242を使用して示されるように、ゲートウェイ1230と通信することが可能であり得る。
【0227】
ゲートウェイ1230は、エッジドメイン320内で内部的にSSと通信し、SS B326との接続は、接続1250として示される。
【0228】
接続1240および1242は、実際の通信のために、クラウドドメイン1200内の通信サブシステムを利用し得る。例えば、クラウドドメイン1210、特に、クラウドドメインアンカ/ブリッジ1220は、ある場合、エッジドメイン320上のゲートウェイ1230にインターネットプロトコル要求を送信するために、クラウドドメイン1210に関連付けられたセルラー通信モジュールを利用し得る。同様に、クラウドドメイン1210は、クラウドサービス310を伴う他のオプションの中でもとりわけ、ファイバ、イーサネット(登録商標)、セルラー、衛星等の有線または無線接続を通した通信を可能にし得る。
【0229】
【0230】
図13の実施形態において、クラウドドメインアンカ/ブリッジ1210は、一次アンカ312と通信し、矢印1320で示されるように、許可を周期的に更新し得る。具体的に、図11の実施形態は、許可に関する単一の同期のみを示すが、実践では、クラウドドメインアンカ/ブリッジ1210は、満了時間に基づいて、または周期的に、同期し得る。
【0231】
他の場合、クラウドドメイン1210は、常に接続されているネットワーク要素であるため、ローカルテーブルは、必要とされ得ない。
【0232】
さらに、エッジアンカ322は、いくつかの実施形態において、一次アンカ312を用いてローカルテーブルを周期的に更新し得る(図示せず)。例えば、同期は、車両とのインターネット接続が確立されるとき、行われ得る。他の場合、車両が、ある期間にわたってセルラー通信有効範囲外にある場合、次いで、セルラー通信有効範囲が回復されたとき、許可は、同期させられ得る。他の場合、許可は、タイマが満了した後に同期させられ得る。他の場合、許可は、特定の日時が経過した後の最初の機会に同期させられ得る。他のオプションも、可能である。
【0233】
このように、テーブル318のローカルインスタンスが、クラウドドメイン1210に記憶され得、ある場合、車両にも記憶され得る。
【0234】
そのアプリケーション1324が、クラウドドメイン1210上にインストールされると、アプリケーションは、クラウドドメイン1210内にインストールされたクラウドアンカ/ブリッジ1220への登録を要求する。そのような登録要求は、メッセージ1330で示される。この場合、メッセージ1330は、アプリケーションが初めて洞察を要求することを伴い得る。
【0235】
いくつかの実施形態において、アプリケーション1324は、クラウドインスタンスにおけるクラウドドメインアンカを提供しているアプリケーションパッケージの署名をチェックし得る。
【0236】
ブロック1332において、クラウドドメインアンカ/ブリッジ1220内のコンポーネントが、メッセージ1330からアプリケーション署名を抽出する。それは、次いで、テーブル318のローカルインスタンス内の許可をチェックし(または、それは、いくつかの実施形態において、一次アンカを用いてチェックし得る)、アプリケーション1324が、要求が行われた合成センサからの洞察にアクセスするための許可を有するかどうかを決定し得る。このように、ドメインアンカ/ブリッジは、アプリケーション1324の識別を検証し、アプリケーション1324が車両に関する洞察を要求することを認可された有効なクライアントアプリケーションであることを検証し得る。
【0237】
ブロック1332における検証に基づいて、クラウドドメインアンカ/ブリッジは、次いで、メッセージ1340で示されるように、洞察のための要求をゲートウェイ1230に送信し得る。例えば、メッセージ1340における要求は、reqInsightFor(sign(ca,{webapp.a,params}))であり得る。このメッセージにおいて、アプリケーションの識別およびパラメータが、クラウドドメイン1210の秘密鍵を用いて署名される。ゲートウェイおよびドメインアンカ/ブリッジは、互いに認証されるので、いかなるトークンも、そのような通信のために要求されない。特に、ブロック1342において、許可状態チェックが、ゲートウェイ1230において行われ、チェックに基づいて、洞察が、返され得る。
【0238】
具体的に、ゲートウェイ1230は、メッセージ1350で示されるように、SS B326から洞察を要求し、メッセージ1352として戻る洞察を受信し得る。ゲートウェイ1350は、SS B326に把握されているので、メッセージ1350のいかなるチェックも、必要とされ得ない。
【0239】
ゲートウェイ1230は、次いで、メッセージ1360における洞察をドメインアンカ/ブリッジ1220に返し得る。
【0240】
ドメインアンカ/ブリッジ1220は、次いで、メッセージ1362を用いてアプリケーション1224に洞察を提供し得る。
【0241】
したがって、図13の実施形態において、アプリケーションとSSとの間の通信モデルは、ゲートウェイおよびブリッジの両方を使用し、ブリッジは、ネットワークまたはクラウド要素上に存在する。ブリッジとゲートウェイとの間のトランスポートは、それがオペレーティングシステム(OS)境界を横断しているので、トランスポート層セキュリティ(TLS)を使用することができる。
【0242】
図12および13の実施形態から、認証ステップは、初期プロビジョニングの間にクラウドアンカ証明書を導入することを含む。アンカは、次いで、許可を取得するために、一次アンカと同期することができる。いかなるトークンも、この場合、必要とされない。
【0243】
クラウドアンカは、次いで、呼び出すウェブ/ネットワークアプリケーションが、車両に関する洞察を要求することを認可された有効なクライアントアプリケーションであることを確実にすることによって、アプリケーション識別を検証し得る。
【0244】
ゲートウェイおよびクラウドブリッジは、互いに認証する。許可状態チェックが、ゲートウェイにおいて行われ、応答が、適切に提供される。
【0245】
(接続解除モード)
【0246】
上記の実施形態の全てでは、車両は、クラウドサーバから接続解除され得る。この理由から、車両が、クラウドから接続解除されるとき、構成可能なポリシが、共有テーブルにおけるエントリの有効性を確実にするために、またはトークンの有効性を確実にするために存在し得る。
【0247】
ある場合、OEMまたは代理人は、以下のように構成を割り当て得る:
a.次の再接続まで有効;
b.再接続することができないとき、絶対時間まで有効(これは、典型的に、接続時、リセットされる必要があるであろう);
c.再接続することができないとき、最後の接続以降の規定された時間まで有効;
または、
d.再接続することができないとき、規定された数のリフレッシュに関して有効。
a.次の再接続まで有効;
b.再接続することができないとき、絶対時間まで有効(これは、典型的に、接続時、リセットされる必要があるであろう);
c.再接続することができないとき、最後の接続以降の規定された時間まで有効;
または、
d.再接続することができないとき、規定された数のリフレッシュに関して有効。
【0248】
構成に関する有効性の持続時間に関する他のオプションも、可能である。
【0249】
上記では、接続は、該当する場合、クラウドサービスから変更をセキュアに読み出すための能力を含意する。共有テーブルにおけるエントリまたはトークンが、上記の構成に基づいて有効ではないとき、それに基づくアクセス請求は、拒否され得る。
【0250】
上記のドメイン、ネットワーク要素、クラウドサービス、ノード、および他のコンピューティングプラットフォームは、任意のコンピューティングデバイスを使用して実装され得る。コンピューティングデバイスの1つの簡略化された略図が、図14に関して示される。図14のコンピューティングデバイスは、任意の固定またはモバイルコンピューティングデバイスであり得る。
【0251】
図14では、デバイス1410は、プロセッサ1420と、通信サブシステム1430とを含み、プロセッサ1420および通信サブシステム1430は、上記に説明される実施形態の方法を実施するように協働する。通信サブシステム1430は、デバイス1410が他のデバイスまたはネットワーク要素と通信することを可能にし、実施される通信のタイプに基づいて、変動し得る。さらに、通信サブシステム1430は、任意の有線または無線通信技術を含む複数の通信技術を備え得る。
【0252】
プロセッサ1420は、デバイス1410上にデータとともに記憶され、メモリ1432として図14の例に示され得るプログラマブル論理を実行するように構成される。メモリ1432は、プロセッサ1420によって実行されると、デバイス1410に、本開示の方法を実施させる命令コードを記憶する任意の有形非一過性コンピュータ読み取り可能な記憶媒体であり得る。コンピュータ読み取り可能な記憶媒体は、光学(例えば、CD、DVD等)、磁気(例えば、テープ)、フラッシュドライブ、ハードドライブ、または当技術分野で公知の他のメモリ等の有形または一過性/非一過性媒体であり得る。
【0253】
代替として、またはメモリ1432に加えて、デバイス1410は、例えば、通信サブシステム1430を通して、外部記憶媒体からデータまたはプログラマブル論理にアクセスし得る。
【0254】
図14の例では、1つ以上のセンサ1440が、コンピューティングデバイスに関連付けられ得る。しかしながら、それは、随意であり、ある場合、コンピューティングデバイス1410は、センサに関連付けられないであろう。
【0255】
デバイス1410の種々の要素間の通信は、一実施形態において、内部バス1460を通してであり得る。しかしながら、他の形態の通信も、可能である。
【0256】
本明細書に説明される実施形態は、本願の技法の要素に対応する要素を有する構造、システム、または方法の例である。この記載される説明は、当業者が、本願の技法の要素に同様に対応する代替要素を有する実施形態を作製および使用することを可能にし得る。本願の技法の意図される範囲は、したがって、本明細書に説明されるような本願の技法と異ならない他の構造、システム、または方法を含み、さらに、本明細書に説明されるような本願の技法との非実質的な差異を伴う他の構造、システム、または方法を含む。
【0257】
動作が、特定の順序において図面に描写されるが、それは、望ましい結果を達成するために、そのような動作が示される特定の順序において、または順次的順序において実施されること、または全ての図示される動作が実施されることを要求するものとして理解されるべきではない。ある状況では、マルチタスクおよび並列処理が、採用され得る。さらに、上記に説明される実装における種々のシステムコンポーネントの分離が、全ての実装においてそのような分離を要求するものとして理解されるべきではなく、説明されるプログラムコンポーネントおよびシステムが、概して、単一のソフトウェア製品内に一緒に統合され得ること、または複数のソフトウェア製品の中にパッケージ化され得ることを理解されたい。
【0258】
さらに、別々または別個のものとして種々の実装において説明および例証される技法、システム、サブシステム、および方法は、他のシステム、モジュール、技法、または方法と組み合わせられる、または統合され得る。互いに結合されている、または直接結合されている、または通信するとして示されまたは議論される他のアイテムは、電気的、機械的、またはその他にかかわらず、あるインターフェース、デバイス、または中間コンポーネントを通して間接的に結合され得るか、または、通信し得る。変更、代用、および改変の他の例が、当業者によって確認可能であり、行われ得る。
【0259】
上記の詳細な説明は、種々の実装に適用されるような本開示の基本的な新規の特徴を示し、説明し、指摘したが、例証されるシステムの形態および詳細における種々の省略、代用、および変更が、当業者によって行われ得ることを理解されたい。加えて、方法ステップの順序は、それらが請求書に現れる順序によって含意されない。
【0260】
メッセージが、電子デバイスに/から送信されるとき、そのような動作は、サーバの直近ではないことも、サーバから直接ではないこともある。それらは、本明細書に説明されるデバイス/方法/システムをサポートするサーバまたは他のコンピューティングシステムインフラストラクチャから、同期的または非同期的に配信され得る。前述のステップは、全体的または部分的に、デバイス/インフラストラクチャへの/からの同期/非同期通信を含み得る。さらに、電子デバイスからの通信は、ネットワーク上の1つ以上のエンドポイントへのものであり得る。これらのエンドポイントは、サーバ、分散コンピューティングシステム、ストリームプロセッサ等によってサービス提供され得る。コンテンツ配信ネットワーク(CDN)も、通信を電子デバイスに提供し得る。例えば、典型的なサーバ応答ではなく、サーバも、電子デバイスの後続アクティビティ等、後での電子デバイスによるダウンロードを待つために、コンテンツ配信ネットワーク(CDN)のためのデータをプロビジョニングし得るか、または、示し得る。したがって、データは、システムの一部として、またはそれとは別個に、サーバ、または分散インフラストラクチャ等の他のインフラストラクチャ、またはCDNから直接送信され得る。
【0261】
典型的に、記憶媒体は、以下のうちのいずれかまたはある組み合わせを含むことができる:ダイナミックまたはスタティックランダムアクセスメモリ(DRAMまたはSRAM)、消去可能およびプログラマブル読み取り専用メモリ(EPROM)、電気的消去可能およびプログラマブル読み取り専用メモリ(EEPROM)、およびフラッシュメモリ等の半導体メモリデバイス、固定、フロッピー(登録商標)、およびリムーバブルディスク等の磁気ディスク、テープを含む別の磁気媒体、コンパクトディスク(CD)またはデジタルビデオディスク(DVD)等の光学媒体、または別のタイプの記憶デバイス。上記に議論される命令が、1つのコンピュータ読み取り可能なまたは機械読み取り可能な記憶媒体上で提供され得るか、または、代替として、可能性として複数のノードを有する大規模システム内に分散される複数のコンピュータ読み取り可能なまたは機械読み取り可能な記憶媒体上で提供され得ることに留意されたい。そのようなコンピュータ読み取り可能なまたは機械読み取り可能な記憶媒体または複数の媒体は、物品(または製造品)の一部であると見なされる。物品または製造品は、任意の製造される単一のコンポーネントまたは複数のコンポーネントを指し得る。記憶媒体または複数の媒体は、機械読み取り可能な命令を起動する機械内に位置するか、またはそれから機械読み取り可能な命令が実行のためにネットワークを経由してダウンロードされ得る遠隔地点に位置するかのいずれかであり得る。
【0262】
前述の説明では、多数の詳細が、本明細書に開示される主題の理解を提供するために記載される。しかしながら、実装は、これらの詳細のうちのいくつかを伴わずに実践され得る。他の実装は、上記に議論される詳細からの修正および変形例を含み得る。添付される請求項は、そのような修正および変形例を網羅することを意図している。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【国際調査報告】