知財求人 - 知財ポータルサイト「IP Force」
特表2024-530534信頼されるエッジIoTセキュリティゲートウェイのアーキテクチャを実装するシステムと方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-08-22
(54)【発明の名称】信頼されるエッジIoTセキュリティゲートウェイのアーキテクチャを実装するシステムと方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20240815BHJP
H04W 12/12 20210101ALI20240815BHJP
G06F 9/455 20180101ALN20240815BHJP
【FI】
G06F21/62
H04W12/12
G06F9/455 150
【審査請求】未請求
【予備審査請求】有
(21)【出願番号】P 2023579606
(86)(22)【出願日】2022-06-22
(85)【翻訳文提出日】2024-02-21
(86)【国際出願番号】 US2022034447
(87)【国際公開番号】W WO2022271774
(87)【国際公開日】2022-12-29
(31)【優先権主張番号】63/214,493
(32)【優先日】2021-06-24
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
2.DOCKER
3.SNORT
(71)【出願人】
【識別番号】591236068
【氏名又は名称】カーネギー-メロン ユニバーシティ
【氏名又は名称原語表記】CARNEGIE-MELLON UNIVERSITY
(74)【代理人】
【識別番号】100145403
【弁理士】
【氏名又は名称】山尾 憲人
(74)【代理人】
【識別番号】100135703
【弁理士】
【氏名又は名称】岡部 英隆
(72)【発明者】
【氏名】バスデバン,アミット
(72)【発明者】
【氏名】マコーマック,マシュー
(72)【発明者】
【氏名】セカル,ヴヤス
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA21
5K067BB27
5K067EE02
5K067EE16
5K067HH21
(57)【要約】
マイクロハイパーバイザベースの、信頼されるIoTセキュリティゲートウェイアーキテクチャを実装するシステム及び方法が開示され、該システム及び方法は、攻撃を受けているときを含め、常に正しいセキュリティ保護が各IoTデバイスのネットワークトラフィックに適用される保証を提供する。本開示のアーキテクチャは、合理的なパフォーマンスオーバヘッドで、既存のソフトウェアを利用し、広範なレガシーハードウェアプラットフォームにロバストなトラスト特性を提供する。
【特許請求の範囲】
【請求項1】
IoTデバイスに安全な環境を提供するシステムであって、IoTデバイスのコントロールプレーンを定義するコントローラであって、コントローラのマイクロハイパーバイザによって保護される、又は、認証される、ソフトウェアを実行する、コントローラと、
データプレーンを定義するセキュリティゲートウェイであって、セキュリティゲートウェイのマイクロハイパーバイザによって認証される1つ以上のミドルボックスとvスイッチ(vSwitch)を含む、セキュリティゲートウェイと
を含む、システム。
【請求項2】
コントローラ及びセキュリティゲートウェイのマイクロハイパーバイザが、信頼されるコンピューティングベースを含む、請求項1に記載のシステム。
【請求項3】
コントローラが、1つまたは複数のコントローラアプリと、
セキュリティポリシと、
ミドルボックス管理ソフトウェアと
を含み、
ここで、セキュリティポリシとミドルボックス管理ソフトウェアは、コントローラのマイクロハイパーバイザによってパーティショニングされたメモリで実行されることにより保護される、
請求項2に記載のシステム。
【請求項4】
一つ以上のミドルボックスとvスイッチ(vSwitch)が、セキュリティゲートウェイのマイクロハイパーバイザの外部のセキュリティゲートウェイ上で実行される請求項3に記載のシステム。
【請求項5】
各IoTデバイスは、そこにのみ割り当てられた1つ以上のミドルボックスを有する、請求項4に記載のシステム。
【請求項6】
コントローラ、ミドルボックス、およびvスイッチ(vSwitch)は、定期的に再認証される、請求項5に記載のシステム。
【請求項7】
コントローラのマイクロハイパーバイザ及びセキュリティゲートウェイマイクロハイパーバイザが夫々、信頼されるプラットフォームモジュール(TPM)を含む、請求項1に記載のシステム。
【請求項8】
信頼されるプラットフォームモジュールが仮想である、請求項7記載のシステム。
【請求項9】
信頼されるプラットフォームモジュールは、コントローラ、ミドルボックス、およびvスイッチ(vSwitch)を実装するソフトウェアスタックが既知の構成と一致するかどうかを判定するのに使用される、請求項7に記載のシステム。
【請求項10】
コントローラのマイクロハイパーバイザ及びセキュリティゲートウェイのマイクロハイパーバイザが、安全なチャネルエージェントを更に含む、請求項7に記載のシステム。
【請求項11】
コントローラのマイクロハイパーバイザ及びセキュリティゲートウェイのマイクロハイパーバイザは夫々、コントローラとセキュリティゲートウェイの間の通信の安全なチャネルへのアクセスを確立して仲裁する、安全なチャネルエージェントを、更に含む、請求項10に記載のシステム。
【請求項12】
セキュリティゲートウェイのマイクロハイパーバイザは、データパケットがミドルボックスの正しいシーケンスによって処理されることを検証するパケット署名機能を実行する、請求項10に記載のシステム。
【請求項13】
パケット署名機能がデジタル署名を利用する、請求項12に記載のシステム。
【請求項14】
デジタル署名が、vスイッチ(vSwitch)と各ミドルボックスの間で共有される1つ以上の秘密鍵を含む、請求項13に記載のシステム。
【請求項15】
前記安全なチャネルエージェントと前記信頼されるプラットフォームモジュール(TPM)を実装するコードは分離され、コードへのアクセスはコントローラのマイクロハイパーバイザとセキュリティゲートウェイのマイクロハイパーバイザによって仲裁される、請求項11に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2021年6月24日出願の米国仮特許出願第63/214,493号の利益を主張するものであり、その内容は参照により本明細書に組み込まれる。
【背景技術】
【0002】
発明の背景
モノのインターネット(IoT)とは、オブジェクトがタスクを実行し、インターネット経由で他のデバイスと接続してデータを交換できるようにする、センサ、ソフトウェア、その他のコンポーネントが組み込まれた物理的なデバイスのネットワークを指す。これらのデバイスは、普通の家庭用品から洗練された工業用ツールまで多岐にわたる。
モノのインターネット(IoT)とは、オブジェクトがタスクを実行し、インターネット経由で他のデバイスと接続してデータを交換できるようにする、センサ、ソフトウェア、その他のコンポーネントが組み込まれた物理的なデバイスのネットワークを指す。これらのデバイスは、普通の家庭用品から洗練された工業用ツールまで多岐にわたる。
【0003】
ホームネットワークから製造現場まで、エッジ環境に導入されるIoTデバイスの数は増加している。残念ながら、これらのデバイスは無数の脆弱性に悩まされており、攻撃者は保護されたネットワークへの踏み台として、また他の攻撃の発射台として悪用してきた。その結果、これらのIoTデバイスはエッジネットワークのセキュリティに継続的な脅威をもたらす。
【0004】
産業界と学界は、エッジネットワーク上の潜在的に脆弱なIoTデバイスをオンサイトのセキュリティゲートウェイで保護することを提案している。これらの“ボルトオン”セキュリティゲートウェイは、IoTデバイスを行き来するすべてのトラフィックを遮断し、ネットワークレベルのミドルボックス(ファイアウォールなど)を介してセキュリティ保護を適用するように設計されている。これらのミドルボックスは、デバイスのソフトウェアにパッチを当てることなく、デバイスの脆弱性を緩和する「ネットワークパッチ」を実装するために使用できる。
【0005】
ボルトオンセキュリティゲートウェイは普及しつつあり、導入可能なソリューションではあるが、ネットワークレベルの保護を提供するシステムの信頼性という根本的な問題は残る。シナリオの例として、複数のセキュリティゲートウェイで保護された多数のIoTデバイスを持つスマート工場を考えてみる。工場のセキュリティゲートウェイは、個々のIoTデバイスの脆弱性に合わせたネットワークレベルの保護を提供する。残念ながら、セキュリティゲートウェイは単一障害点を形成する。ゲートウェイは通常、汎用ソフトウェア(例:Linux(登録商標)、Docker、OVS、Snortなど)を実行しているため、(OSやアプリケーションの脆弱性を悪用することで)セキュリティゲートウェイを侵害できる敵に対して、特に脆弱である。いったん侵害されると、敵対者はゲートウェイの保護を変更できる(例えば、ファイアウォールルールを削除する)ことにより、IoTデバイスに対する攻撃を可能にし、生産を停止/変更する。
【0006】
信頼されないクラウド環境でアプリケーションを保護するための現在のアプローチは、セキュリティゲートウェイの信頼を確立するために適用できる可能性がある。これらのアプローチは、ハードウェア固有の機能(SGX、MPXなど)に依存している。残念ながら、このようなアプローチには高いパフォーマンスオーバヘッドがあり、IoTの展開には実用的でない。また、特定のプロセッサクラスに限定されるため汎用性に欠け、メモリ割り当てに制約のあるユーザ空間のアプリケーションしかサポートしない。さらに、セキュリティの脆弱性に対処するには、より新しいリビジョンのハードウェアを製造する必要がある。
【発明の概要】
【課題を解決するための手段】
【0007】
発明の概要
本開示の発明は、信頼されるIoTセキュリティゲートウェイアーキテクチャを実装するシステム及び方法であり、攻撃を受けているときを含め、常に正しいセキュリティ保護が各IoTデバイスのネットワークトラフィックに適用されることを包括的に保証する。本開示のアーキテクチャは、合理的なパフォーマンスオーバヘッドで、既存のソフトウェアを利用し、広範なレガシーハードウェアプラットフォームにロバストなトラスト特性を提供する。
本開示の発明は、信頼されるIoTセキュリティゲートウェイアーキテクチャを実装するシステム及び方法であり、攻撃を受けているときを含め、常に正しいセキュリティ保護が各IoTデバイスのネットワークトラフィックに適用されることを包括的に保証する。本開示のアーキテクチャは、合理的なパフォーマンスオーバヘッドで、既存のソフトウェアを利用し、広範なレガシーハードウェアプラットフォームにロバストなトラスト特性を提供する。
【0008】
本明細書で開示するように、マイクロハイパーバイザベースのアプローチが、エッジセキュリティゲートウェイの信頼を構築するためのアーキテクチャ基盤として使用される。マイクロハイパーバイザは、従来のハイパーバイザと同様に、前述の課題に効果的に対処するように適用され得る中核的なセキュリティ機能(メモリ分離、仲裁、認証など)を提供するソフトウェアリファレンスモニタである。従来のハイパーバイザとは対照的に、マイクロハイパーバイザは、潜在的な脆弱性を排除するための正式な検証を可能にする、劇的に削減された、信頼されるコンピューティングベース(TCB)と複雑さで、これらの機能を提供する。さらに、マイクロハイパーバイザは、ロバストなトラスト特性を、一般性を失うことなく、最小限のパフォーマンスオーバヘッドで実現するための、拡張可能な基盤を提供する。最後に、アプリケーションを制限する(例えば、先に述べたSGXの制限など)特定のハードウェア機能を使うアプローチとは対照的に、マイクロハイパーバイザは、変更されていないソフトウェア(Linux(登録商標)など)を実行する様々なハードウェアプラットフォーム(例:x86、ARM、マイクロコントローラ)をサポートできる。このように、マイクロハイパーバイザは、セキュリティメカニズムを構築するための実用的で安全な基盤を提供する。
【0009】
これまで、マイクロハイパーバイザは、エッジIoTゲートウェイでは使われてこなかった。このように、本発明の新規性は、エッジIoTセキュリティゲートウェイのより全体的なシステム敵対モデルと、実用的で柔軟なソリューションを可能にするマイクロハイパーバイザに基づく高レベルアーキテクチャとに、由来する。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
詳細
図1は、ボルトオンセキュリティアーキテクチャが脆弱とする様々な攻撃ベクトルを示している。攻撃者は、アーキテクチャの複数のポイントで攻撃を仕掛けることができる。例えば、攻撃者は次のことができる:(1)パッチが適用されていないエクスプロイトを使用してゲートウェイ自体(「B」)を侵害し、(2)ミドルボックスの設定を変更し、攻撃者のトラフィックを通過させることで、攻撃者は工場のIoTデバイスを侵害し、専有データを盗むことができる。攻撃者は、ソフトウェアを修正するだけでなく、ネットワークメッセージを改ざんすることもできる。たとえば、vスイッチ(vSwitch)とミドルボックス(「D」)の間のデータチャネル上のパケットを変更し、トラフィックを間違ったミドルボックスにリダイレクトし、セキュリティ検査を回避する。信頼されるセキュリティアーキテクチャは、ネットワークトラフィックの改ざんを禁止しながら、ゲートウェイとコントローラのソフトウェアを保護する必要がある。
図1は、ボルトオンセキュリティアーキテクチャが脆弱とする様々な攻撃ベクトルを示している。攻撃者は、アーキテクチャの複数のポイントで攻撃を仕掛けることができる。例えば、攻撃者は次のことができる:(1)パッチが適用されていないエクスプロイトを使用してゲートウェイ自体(「B」)を侵害し、(2)ミドルボックスの設定を変更し、攻撃者のトラフィックを通過させることで、攻撃者は工場のIoTデバイスを侵害し、専有データを盗むことができる。攻撃者は、ソフトウェアを修正するだけでなく、ネットワークメッセージを改ざんすることもできる。たとえば、vスイッチ(vSwitch)とミドルボックス(「D」)の間のデータチャネル上のパケットを変更し、トラフィックを間違ったミドルボックスにリダイレクトし、セキュリティ検査を回避する。信頼されるセキュリティアーキテクチャは、ネットワークトラフィックの改ざんを禁止しながら、ゲートウェイとコントローラのソフトウェアを保護する必要がある。
【0012】
このような様々な攻撃ベクトルに対処するため、本明細書では、今日のエッジIoT展開のセキュリティ課題に対処する、信頼される、拡張可能で、広く展開可能なエッジセキュリティゲートウェイアーキテクチャを実装するシステムおよび方法を開示する。
【0013】
デザイン空間は2つの軸に沿って分類できる。第一に、ハードウェアの機能に依存するアプローチは、サポートできるハードウェアプラットフォームもソフトウェアも限られている。さらに、そのセキュリティ特性は、マイクロコードとシリコンにおける複雑で不透明な実装に依存しており、脆弱性があることが知られている。第二に、純粋なソフトウェアアプローチ(例えば、形式的検証や安全なプログラミング言語)は、再実装や検証に多大な労力を要するため、限界がある。エッジセキュリティゲートウェイでよく使われるソフトウェアアプリケーションの多くは10万行を超えるC/Javaであるため、これはすぐに実行不可能になる。
【0014】
重要なセキュリティ機能を、脅威に対処するために新たなハードウェアを必要とするハードウェア実装や、ソフトウェアスタック全体の大幅な再実装や形式的検証作業を必要とするソフトウェアアプローチに結びつけることは危険である。その代わりに、現在のアーキテクチャは、レガシー・ハードウェアの機能を小さなTCBと拡張可能なソフトウェア・フレームワークと組み合わせて活用することで、基本的なトラスト特性を提供し、進化する脅威からエッジデバイスを保護する。
【0015】
その結果、図2に示すような、必要なシステムコンポーネントのみにセキュリティ保護を後付けする信頼されるエッジセキュリティゲートウェイアーキテクチャを可能にする、マイクロハイパーバイザベースのアプローチが本明細書で開示される。マイクロハイパーバイザとは、要するに、小さなTCBを使ってシステムリソース(ファイルやソケットなど)へのアクセスコントロールを実装し、ガーディアンとして機能するソフトウェアリファレンスモニタである。これらの保護はきめ細かく適用でき、単一のデータ値(秘密鍵など)や複雑なオブジェクトの集合(仮想マシンなど)を最小限のパフォーマンスオーバヘッドで保護できる。マイクロハイパーバイザは、小さなTCBで、きめ細かな仲裁、分離、認証のための強力な基盤を提供し、セキュリティサービスを拡張機能として設計、実装することを可能にする。
【0016】
シンプルでTCBが小さいため、マイクロハイパーバイザは、コード内の潜在的な脆弱性を排除するための形式的検証に適している。さらに、マイクロハイパーバイザはどのようなハードウェアプラットフォームでもサポートできる可能性がある。本発明は、前述のマイクロハイパーバイザ対応基礎機能の上に構築され、信頼されるセキュリティゲートウェイアーキテクチャを構築する。コントローラとゲートウェイのソフトウェアはマイクロハイパーバイザ上で動作するため、あらゆるコモディティOSとアプリケーションスタックをサポートする。コントローラ上では、重要なデータ(例えば、セキュリティポリシ)は、マイクロハイパーバイザの拡張機能に移行され、信頼されないソフトウェア(例えば、OS)から分離される。さらに、すべてのアクセスはマイクロハイパーバイザによって仲裁されるため、攻撃者がデータの完全性を破壊することはできない。
【0017】
ゲートウェイでは、カスタマイズされたミドルボックスのセットが各デバイスに割り当てられる。ミドルボックスは互いに分離されている。ミドルボックスは、単一のIoTデバイスに割り当てられ、マイクロハイパーバイザによって起動時に認証される処理要素または仮想マシンである。さらに、各ミドルボックスとvスイッチ(vSwitch)のシグネチャを定期的に監視し、その完全性を検証する。最後に、コントローラとゲートウェイは、コントロールプレーンとデータプレーン間の通信を仲裁するために使用されるマイクロハイパーバイザの拡張機能である信頼されるエージェントを実行し、インスタンス化されたプロテクションがセキュリティポリシを正しく反映していることを確認する。
【0018】
マイクロハイパーバイザベースのアーキテクチャは、3つの重要な利点を提供する。第一に、きめ細かな分離と仲裁を提供することで、アーキテクチャがパフォーマンスを維持しながら正しい保護を実施することを正確に保証できる。第二に、拡張性があるため、新しいセキュリティ機能を急速に拡張し、新たな脅威に対応できる。第三に、広く展開可能であり、既存のソフトウェアを利用しながら幅広いハードウェアプラットフォームをサポートし、信頼を提供するためのパフォーマンスオーバヘッドが少ない。
【0019】
本開示のアーキテクチャが対処する3つの課題がある:(1)必要なセキュリティプロパティ:全体的な敵対モデルの下で信頼を保証するセキュリティプロパティを特定する;(2)動的ミドルボックスのサポート:IoT環境に必要な動的ミドルボックスの保護を有効にし、敵対者が保護を変更できないようにする;及び(3)安全な通信:パフォーマンスへの影響が少ないパケット単位の保護を提供し、敵対者がパケットを変更または成り済ましできないことを保証する。次に、これらの要件に対応するアーキテクチャの主要な構成要素について説明する。
【0020】
敵対者と信頼プロパティ:目標は、全体的な脅威モデルに対してエンドツーエンドの保護を提供することである。SDNの領域では、これはコントロールプレーンとデータプレーンの両方を(例えばBGPハイジャックから)保護することを必要とする。しかし、IoTセキュリティゲートウェイに関する先行研究では、一般的に狭い脅威モデルしか考慮されていない。
【0021】
この目的のために、このような敵対者は、ゲートウェイの保護を阻害する(すなわち、保護されたIoTデバイスを悪用できるようにする)ことを目標に体系的に定義されている。敵対者は、すべてのデバイスへのネットワークアクセスだけでなく、セキュリティアーキテクチャの知識も持っていると仮定される。敵対者の能力は、2つのカテゴリにグループ化される。(1)デバイスのソフトウェアスタックを侵害する能力(すなわち、コントローラまたはゲートウェイ上のソフトウェアである:図1の「A」および「B」)と、(2)ネットワークメッセージを注入/変更する能力(すなわち、コントロール、データチャネルである:図1の「C」と「D」)である。
【0022】
敵の能力を表1にまとめた。これらの機能は、IoTデバイスを保護するアーキテクチャの能力を阻害し、一緒になると敵対モデルを形成する。
【表1】
【0023】
完全なリストではないが、表1の脅威例は、信頼されるアーキテクチャに必要な基本的なセキュリティ特性を定義するために使用される。表1の敵対者モデルに基づくと、信頼されるセキュリティゲートウェイアーキテクチャに必要な基本的な特性は最低5つある。
【0024】
ソフトウェアの完全性(Psw1):コードやデータの変更(ミドルボックスの設定変更など)を検出する能力。
【0025】
データの分離(Psw2):セキュリティ上重要なロジックを分離する機能(例えば、OSがセキュリティポリシにアクセスできないようにする)。
【0026】
データの仲裁(Psw3):信頼されるエンティティが、セキュリティ上重要なデータへのアクセスを仲裁する機能(例えば、信頼されないアプリケーションによる秘密鍵へのアクセスをブロックする)。
【0027】
安全なコントロールチャネル(Pcomm1):コントローラとゲートウェイ間で転送されるデータを信頼する機能(例えば、ゲートウェイはコントローラからのコマンドのみを実行する)。
【0028】
安全なデータチャネル(Pcomm2):パケットが正しいミドルボックスを通してルーティングされることを信頼する機能(例えば、パケットは間違ったミドルボックスで処理されるべきではない)。
【0029】
このアーキテクチャは、その他の敵対的特性をサポートする可能性もあるが、信頼されるアーキテクチャの基本として、これら5つに焦点を当てている。これらの基本特性は、(1)実行中のコードの保護(Psw)と(2)通信の保護(Pcomm)に分類できる。
【0030】
ダイナミックミドルボックスをサポートする
【0031】
理想的には、IoTデバイスのコントロールプレーンとデータプレーンの両方のコードベース全体が、攻撃者から強固に保護されることである。しかし、これは大きなパフォーマンスコストがかかる(例:各パケットを処理する複数のエンクレーブ)か、大幅な再実装が必要になる(例:10万行以上のC/Javaの移行)ため、非現実的である。その代わりに、きめ細かなセキュリティ特性を、アーキテクチャの保護に影響を与えるコードベースの部分に適用することで、敵対者に対する堅牢性を生み出している。具体的には、(Psw1を提供する)コードの完全性を保証するために、定期的なリモート認証が適用される。これにより、攻撃されやすい期間を制限しつつ、最小限のパフォーマンス低下でコードを実行できる。さらに、クリティカルなコード(セキュリティポリシなど)は、ハイパーバイザの拡張機能で保護し、分離(Psw2を提供)し、アクセスを仲裁(Psw3を提供)できる。
【0032】
定期的なリモート認証:IoTセキュリティゲートウェイは、デバイス固有の保護を提供するために大規模なコードベースに依存している。信頼されるプラットフォームモジュール(TPM)のようなリモート認証の先行手法は、(Psw1を提供して)適切なソフトウェアスタックが実行されていることを正確に保証するために使用される。ブート時に、マイクロハイパーバイザ、OS、重要なソフトウェアコンポーネント(コントローラ、vスイッチ(vSwitch)、ミドルボックスなど)で構成される、正しいベースラインソフトウェアスタックが、検証される。
【0033】
その後、提供されるプロテクションに影響を与える新しいモジュール(例えば、ロード前の新しいミドルボックスのコード)が認証され、それによってアーキテクチャは、正しいプロテクションがインスタンス化されることを保証する。
【0034】
ランタイム中、重要なモジュール(コントローラ、vスイッチ(vSwitch)、ミドルボックスなど)は定期的に再アテストされ、攻撃者がそれらを改ざんしていないことを保証する。例えば、ミドルボックスのコードは、高いパケットスループットを可能にするためにハイパーバイザの外側で実行されなければならない。攻撃者がこのコードを改ざんした場合(すなわち、保護が適用されなかった場合)の潜在的な影響を抑制するために、コントローラは、脆弱なウィンドウの長さとセキュリティオーバーヘッドの間のトレードオフを提供するように、エポック期間を調整できるエポック終了ごとに、ゲートウェイ上の重要なソフトウェアコンポーネントをリモートで認証する。
【0035】
マイクロハイパーバイザ上の仮想の信頼されるプラットフォームモジュール(vTPM)は、この認証機能を提供するために活用される。vTPMは物理的なTPMのソフトウェア実装であり、同じ機能の多くを提供する。具体的には、プログラムコントロールレジスタ(PCR)を拡張することによって、測定のチェインを安全に保存し、それらの保存された値(すなわちPCRの引用)を安全に提供する能力が使用される。これら2つの機能によって、ローカルまたはリモートのマシンのソフトウェアスタックが、既知のコンフィギュレーションと一致するかどうかを判断できる。これらのvTPM測定は、細かい粒度で適用でき、複数の測定用に別々のストレージが用意されている。
【0036】
コントローラのセキュリティポリシを保護する:認証は、コードの完全性に関して大きな保証を提供できるが、さらなる保護に値するコード(例えば、セキュリティゲートウェイによって提供される保護に関する決定に影響を与えるコード)もある。マイクロハイパーバイザのアプローチは、このコードを選択的に分離し(Psw2)、それへのアクセスは信頼されるエンティティによって仲裁されること(Psw3)を要求する。このようなコードの例としては、プレーン間の安全なコントロールチャネルを確立するために使用される秘密鍵や、コントローラのセキュリティポリシがある。
【0037】
具体例として、コントローラのセキュリティポリシを考えてみる。セキュリティポリシは、正しい保護が確実に実装されるために非常に重要である(例えば、修正すると、ゲートウェイのミドルボックスがIoTデバイスを保護しなくなる可能性がある)。このコードは、コントローラから抽出し、(Psw2を提供する)マイクロハイパーバイザによって分離されるメモリに置くことができる。さらに、このメモリへのアクセスは、(Psw3を提供する)マイクロハイパーバイザのコードホワイトリストによって仲裁され、コントローラのコードだけがセキュリティポリシにアクセスできるようになっている。
【0038】
この組み合わせにより、オペレーティングシステムのコントロールにおける攻撃者が、既存のコードに大きな変更を加えることなくマイクロハイパーバイザで保護されたコードにアクセスして変更することが、できなくなる。
【0039】
安全で効率的なコミュニケーション
【0040】
このセキュリティアーキテクチャでは、(コントローラとゲートウェイ間の、Pcomm1)コントロールチャネルと(ゲートウェイのパケット処理経路を介する、Pcomm2)データチャネルの両方で信頼の保証が必要である。マイクロハイパーバイザは、これらの通信チャネルを保護するための分離と仲裁を提供するために使用される。
【0041】
安全なコントロールチャネル:これらのメッセージは、ゲートウェイが提供するセキュリティ保護に影響を与えることが多いため、コントロールプレーンとデータプレーン間の通信が信頼できることは極めて重要である。このアーキテクチャは、コントローラとゲートウェイ間の従来のトンネリング(IPsec/TLSなど)によって提供される保証を強化し、侵害されたコントローラまたはゲートウェイが、トンネル上で成り済ましのメッセージ(悪意のあるミドルボックスの設定コマンドなど)を送信できないようにする。これらの通信(Pcomm1)を保護するために、マイクロハイパーバイザで動作する信頼されるエージェントペアが、これらの通信を仲裁する(例えば、このチャネル上でデータを送信するために必要な秘密鍵にアクセスする)ために使用される。コントローラにエージェントがあり、ゲートウェイに対応するエージェントがあり、それらは共に、安全なチャネルへのアクセスを仲裁することの責任を負う。
【0042】
安全なデータチャネル:データプレーンでは、セキュリティ保護は各パケットが正しいミドルボックスによって処理されることに依存する。このアーキテクチャは、低いパフォーマンスオーバヘッドでホップごとの保証を提供する。具体的には、パケットが正しい経路をたどり、データプレーン上のミドルボックスの正しいシーケンスによって処理されることを保証することが目標である(Pcomm2)。従来のトンネルを各ミドルボックスとvスイッチ(vSwitch)の間に確立することも可能だが、これはかなりのオーバーヘッドと処理遅延をもたらす。データチャネルを保護するために、マイクロハイパーバイザは各パケットに対して正しい経路(すなわちミドルボックスチェイン)を強制するために使われる。これは、マイクロハイパーバイザが処理経路の途中で各パケットに署名と検証を行い、検証に失敗したパケットをドロップすることで達成される。このアプローチは、ハイパーバイザが秘密鍵を保持できる単一のホストにパケットを残すため、以前のパーホップ認証の提案とは異なる。
【0043】
これらのデジタル署名は、vスイッチ(vSwitch)と各ミドルボックスの間で共有される(マイクロハイパーバイザによって保護される)秘密鍵によって、生のパケットデータとパケットを処理するミドルボックスの間の接続を作成する。さらに、秘密鍵はマイクロハイパーバイザの仲裁によってのみアクセス可能な分離されたメモリに保持されるため、デジタル署名は信頼でき、攻撃者が署名付きパケットを偽造することを阻止できる。
【0044】
実装
【0045】
次に、例示的な実施形態を開示する。一実施形態では、x86とARMの両プラットフォームをサポートするuberXMHFオープンソース・マイクロハイパーバイザが使用される。uberXMHFマイクロハイパーバイザ、Raspbian Jessie(Linux(登録商標) 4.4.y)、Open Virtual SwitchとSnortをゲートウェイ上で実行するために、Raspberry Pi3ハードウェアプラットフォームを使用できる。
【0046】
実装のソフトウェアスタックのハイレベルオーバービューが図3に示され、そこではハイパーバイザ拡張302が「パケット署名」とラベル付けされた長方形として描かれている。楕円304、306は、ハイパーバイザで保護された操作(例えば、パケットのデジタル署名の作成/検証)を実行するために、コモディティソフトウェアに追加されたハイパーバイザ拡張302へのハイパーコールを表す。アーキテクチャ実装のこれらの要素は例示的なものに過ぎず、実現されるであろうが、他の要素を用いた実装も本発明の範囲内であることが企図されている。
【0047】
仮想の信頼されるプラットフォームモジュール(vTPM):このアーキテクチャは、ハイパーバイザ対応のvTPMを活用し、定期的なリモート認証を提供する。信頼されるプラットフォームモジュール(TPM)開発の主な動機は、システムのブートシーケンスの健全性をリモートで証明する機能を提供することだった。TPM標準が提供する機能のサブセットは、トラスト特性、特にPCR extendとPCR quoteを提供するために活用される。vTPMは追加のハードウェアを必要としないことに加え、物理的なTPMと比較して、ストレージの増加とパフォーマンスの向上という2つの主要な利点を提供する。vTPM上の測定ストレージ(すなわちPCR)は、マイクロハイパーバイザによって保護されたプラットフォームのメモリ領域に基づいているため、多数の個別の測定が可能である(例えば、4KBの単一ページ上に200を超えるPCR)。さらに、これらの測定はシステムバス(例えば、Raspberry Pi3のSPI)のデータレートに制限されないため、アクセスレイテンシーを20倍以上削減できる。ソフトウェアベースのTPMの課題は、再起動を経ても秘密を保持することである。vTPMは、既存のプラットフォームの不揮発性メモリを活用し、ブートにまたがって秘密を保持する(例えば、Raspberry Pi3には、長期的な安全なストレージとして機能するブートNVRAMがある)。
【0048】
一実施形態では、このアーキテクチャは、プロバイダ(例えば、エッジISP、CDN、IoTプロバイダ)がIoTコンシューマに提供できる、信頼できる「セキュリティ-アズ-ア-サービス」として実装され、常に正しいセキュリティ保護が適用されることを保証する。例えば、このアーキテクチャは、IoTセキュリティのベストプラクティス(例えば、デバイスの製造者の使用説明仕様におけるアクセスコントロールポリシ)を実施するための信頼されるメカニズムを提供する。
【0049】
当業者であれば理解できるように、本明細書に記載された開示されたシステムおよび方法は、プロセッサと、プロセッサによって実行されると方法を構成する機能を実行するソフトウェアを記憶するメモリとを含むシステムによって実施できる。例えば、モデルのトレーニング、テスト、デプロイは、プロセッサ上で実行されるソフトウェアによって実装できる。
【0050】
当業者であればさらに理解できるように、本発明の範囲内にある本明細書で論じた実施態様の多くの変形が可能である。具体的には、同様の結果を得るために、モデルのアーキテクチャの多くのバリエーションを使用できる。本発明は、ここに開示された特定の例示的モデルに限定されることを意図するものではない。さらに、本明細書に記載された様々な実施形態の特徴は、相互に排他的なものではなく、本発明の精神および範囲から逸脱することなく、そのような組み合わせまたは順列が本明細書で明示されなかったとしても、様々な組み合わせおよび順列で存在し得ることを理解されたい。従って、本開示の方法および装置は、本発明を限定するものではなく、その例示として捉えられるべきである。本発明の範囲は、以下の特許請求の範囲によって定義される。
【図1】
【図2】
【図3】
【手続補正書】
【提出日】2022-12-23
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
IoTデバイスに安全な環境を提供するシステムであって、IoTデバイスのための制御プレーンを定義するコントローラであって、コントローラのマイクロハイパーバイザによって保護される、又は、認証される、ソフトウェアを実行する、コントローラと、
データプレーンを定義するセキュリティゲートウェイであって、セキュリティゲートウェイのマイクロハイパーバイザによって認証される1つ以上のミドルボックスとvスイッチ(vSwitch)を含む、セキュリティゲートウェイと
を含み、
各々のIoTデバイスは、ミドルボックスの一つ以上が割り当てられ、
セキュリティゲートウェイのマイクロハイパーバイザは、各々のIoTデバイスへの、及び、各々のIoTデバイスからの、データパケットが、ミドルボックスの特定のシーケンスを通過することを、保証する、
システム。
【請求項2】
コントローラ及びセキュリティゲートウェイのマイクロハイパーバイザが、信頼されるコンピューティングベースを含む、請求項1に記載のシステム。
【請求項3】
コントローラが、1つまたは複数のコントローラアプリと、
セキュリティポリシと、
ミドルボックス管理ソフトウェアと
を含み、
ここで、セキュリティポリシとミドルボックス管理ソフトウェアは、コントローラのマイクロハイパーバイザによってパーティショニングされたメモリで実行されることにより保護される、
請求項2に記載のシステム。
【請求項4】
一つ以上のミドルボックスとvスイッチ(vSwitch)が、セキュリティゲートウェイのマイクロハイパーバイザの外部のセキュリティゲートウェイ上で実行される請求項3に記載のシステム。
【請求項5】
各IoTデバイスは、そこにのみ割り当てられた1つ以上のミドルボックスを有する、請求項4に記載のシステム。
【請求項6】
コントローラ、ミドルボックス、およびvスイッチ(vSwitch)は、定期的に再認証される、請求項5に記載のシステム。
【請求項7】
コントローラのマイクロハイパーバイザ及びセキュリティゲートウェイマイクロハイパーバイザが夫々、信頼されるプラットフォームモジュール(TPM)を含む、請求項1に記載のシステム。
【請求項8】
信頼されるプラットフォームモジュールが仮想である、請求項7に記載のシステム。
【請求項9】
信頼されるプラットフォームモジュールは、コントローラ、ミドルボックス、およびvスイッチ(vSwitch)を実装するソフトウェアスタックが既知の構成と一致するかどうかを判定するのに使用される、請求項7に記載のシステム。
【請求項10】
コントローラのマイクロハイパーバイザ及びセキュリティゲートウェイのマイクロハイパーバイザが、安全なチャネルエージェントを更に含む、請求項7に記載のシステム。
【請求項11】
コントローラのマイクロハイパーバイザ及びセキュリティゲートウェイのマイクロハイパーバイザは夫々、コントローラとセキュリティゲートウェイの間の通信の安全なチャネルへのアクセスを確立して仲介する、安全なチャネルエージェントを、更に含む、請求項10に記載のシステム。
【請求項12】
IoTデバイスに安全な環境を提供するシステムであって、
IoTデバイスのための制御プレーンを定義するコントローラであって、コントローラのマイクロハイパーバイザによって保護される、又は、認証される、ソフトウェアを実行する、コントローラと、
データプレーンを定義するセキュリティゲートウェイであって、セキュリティゲートウェイのマイクロハイパーバイザによって認証される1つ以上のミドルボックスとvスイッチ(vSwitch)を含む、セキュリティゲートウェイと
を含み、
セキュリティゲートウェイのマイクロハイパーバイザは、各々のIoTデバイスのためのデータパケットがミドルボックスの特定のシーケンスによって処理されることを検証するパケット署名機能を実行する、システム。
【請求項13】
パケット署名機能がデジタル署名を利用する、請求項12に記載のシステム。
【請求項14】
デジタル署名が、vスイッチ(vSwitch)と各ミドルボックスの間で共有される1つ以上の秘密鍵を含む、請求項13に記載のシステム。
【請求項15】
前記安全なチャネルエージェントと前記信頼されるプラットフォームモジュール(TPM)を実装するコードは分離され、コードへのアクセスはコントローラのマイクロハイパーバイザとセキュリティゲートウェイのマイクロハイパーバイザによって仲介される、請求項11に記載のシステム。
【請求項16】
前記1つ以上のミドルボックスは、前記セキュリティゲートウェイのマイクロハイパーバイザにより、相互に分離される、請求項1に記載のシステム。
【請求項17】
前記1つ以上のミドルボックスは、前記セキュリティゲートウェイのマイクロハイパーバイザにより、相互に分離される、請求項12に記載のシステム。
【請求項18】
前記1つ以上のミドルボックスは、単一のIoTデバイスに割り当てられ、且つ、前記セキュリティゲートウェイのマイクロハイパーバイザによるスタートアップで認証される、処理素子又は仮想マシーンである、請求項1に記載のシステム。
【請求項19】
前記1つ以上のミドルボックスは、単一のIoTデバイスに割り当てられ、且つ、前記セキュリティゲートウェイのマイクロハイパーバイザによるスタートアップで認証される、処理素子又は仮想マシーンである、請求項12に記載のシステム。
【国際調査報告】