知財求人 - 知財ポータルサイト「IP Force」
▶ エイチ2オーケイ イノベーションズ インコーポレイテッドの特許一覧
特表2024-537730セキュアな耐タンパー性のデータ処理、記憶装置、伝送ゲートウェイ、コントローラ及びデータ異常検出プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-10-16
(54)【発明の名称】セキュアな耐タンパー性のデータ処理、記憶装置、伝送ゲートウェイ、コントローラ及びデータ異常検出プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20241008BHJP
G08C 15/00 20060101ALI20241008BHJP
G06F 21/44 20130101ALI20241008BHJP
【FI】
G06F21/55
G08C15/00 B
G06F21/44
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2024518586
(86)(22)【出願日】2022-09-23
(85)【翻訳文提出日】2024-04-30
(86)【国際出願番号】 US2022044606
(87)【国際公開番号】W WO2023049399
(87)【国際公開日】2023-03-30
(31)【優先権主張番号】63/248,352
(32)【優先日】2021-09-24
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】524110539
【氏名又は名称】エイチ2オーケイ イノベーションズ インコーポレイテッド
【氏名又は名称原語表記】H2OK INNOVATIONS INC.
(74)【代理人】
【識別番号】100105957
【弁理士】
【氏名又は名称】恩田 誠
(74)【代理人】
【識別番号】100068755
【弁理士】
【氏名又は名称】恩田 博宣
(74)【代理人】
【識別番号】100142907
【弁理士】
【氏名又は名称】本田 淳
(72)【発明者】
【氏名】ルー、デイビッド ヤン
(72)【発明者】
【氏名】ルー、アニー ジエイン
(72)【発明者】
【氏名】サンチェス、ジョセフ マイケル
(72)【発明者】
【氏名】リュー、エドワード ジトン
【テーマコード(参考)】
2F073
【Fターム(参考)】
2F073AA01
2F073AA06
2F073AA11
2F073AA19
2F073AA22
2F073AB01
2F073AB04
2F073AB05
2F073BB01
2F073BB04
2F073BB07
2F073BC01
2F073BC02
2F073CC03
2F073CC12
2F073CD11
2F073DD02
2F073DE01
2F073DE13
2F073EE01
2F073EF10
2F073FF01
2F073FF12
2F073FG01
2F073FG02
2F073GG01
2F073GG08
(57)【要約】
タンパープルーフゲートウェイが説明されている。ゲートウェイは、データ取込モジュールと、データ送信モジュールと、タンパースイッチと、コントローラとを備える。データ取込モジュールは、1つ以上のデータ生成デバイスに結合している。データ送信モジュールは、1つ以上のデータ生成デバイスによって生成される検知情報をネットワークに送信するように構成されている。タンパースイッチは、タンパープルーフゲートウェイの改ざんの検知に応答して警告信号を生成するように構成されている。コントローラは、1)タンパースイッチから警告信号を受信することに応答して、タンパープルーフゲートウェイをセキュア状態にし、2)認証情報を受信することに応答して、タンパープルーフゲートウェイをセキュア状態から離脱させるように構成されている。ゲートウェイをセキュア状態から離脱させることは、タンパープルーフゲートウェイを第1の権限状態又は第2の権限状態に置くことを含んでもよい。
【特許請求の範囲】
【請求項1】
タンパープルーフゲートウェイであって、1つ以上のデータ生成デバイスに結合されるように構成されているデータ取込モジュールと、
データをネットワークに送信するように構成されているデータ送信モジュールであって、前記データは、前記1つ以上のデータ生成デバイスによって生成される検知情報から導出される、データ送信モジュールと、
前記タンパープルーフゲートウェイの改ざんの検知に応答して警告信号を生成するように構成されているタンパースイッチと、
前記タンパースイッチ及び前記データ送信モジュールに結合されているコントローラであって、
前記タンパースイッチから前記警告信号を受信することに応答して、前記タンパープルーフゲートウェイをセキュア状態に置くとともに、
認証情報を受信することに応答して、前記タンパープルーフゲートウェイを前記セキュア状態から離脱させるように構成されている、コントローラと、を備える、タンパープルーフゲートウェイ。
【請求項2】
前記タンパープルーフゲートウェイを前記セキュア状態に置くと、前記コントローラは、前記ネットワークへの前記データの送信を中止するように前記データ送信モジュールを制御する、請求項1に記載のタンパープルーフゲートウェイ。
【請求項3】
前記タンパープルーフゲートウェイを前記セキュア状態に置くと、前記コントローラは、オペレータ又はデバイスに警告する信号を生成する、請求項1に記載のタンパープルーフゲートウェイ。
【請求項4】
前記1つ以上のデータ生成デバイスによって生成される前記検知情報を記憶するように構成されているメモリをさらに備え、前記タンパープルーフゲートウェイを前記セキュア状態に置くと、前記コントローラは、前記メモリから前記検知情報を除去するか、メモリからの前記検知情報にアクセスするか、前記検知情報を暗号化する、請求項1に記載のタンパープルーフゲートウェイ。
【請求項5】
前記コントローラは、リモート認証情報と、ローカル認証情報との両方を受信することに応答して、前記タンパープルーフゲートウェイを前記セキュア状態から離脱させるように構成されている、請求項1に記載のタンパープルーフゲートウェイ。
【請求項6】
リモート認証情報を受信することは、前記ネットワークから認証情報を受信することを含む、請求項5に記載のタンパープルーフゲートウェイ。
【請求項7】
入出力(I/O)インターフェースをさらに備え、ローカル認証情報を受信することは、前記入出力インターフェースを通して認証情報を受信することを含む、請求項5に記載のタンパープルーフゲートウェイ。
【請求項8】
前記タンパープルーフゲートウェイを前記セキュア状態から離脱させることは、前記認証情報が第1のタイプであるか第2のタイプであるかに応じて、前記タンパープルーフゲートウェイを第1の権限状態又は第2の権限状態に置くことを含み、前記第1の権限状態及び前記第2の権限状態は、異なるレベルの権限を有する、請求項1に記載のタンパープルーフゲートウェイ。
【請求項9】
前記第2の権限状態は、前記データを前記ネットワークに送信するための認可を与える、請求項8に記載のタンパープルーフゲートウェイ。
【請求項10】
前記第1の権限状態は、前記タンパープルーフゲートウェイのメンテナンス、
前記ゲートウェイの構成を修正すること、ならびに、
データのタイプ、及び前記ゲートウェイがインターフェース可能なデバイスのタイプを修正すること、のうちの1つ以上を行うための認可を与える、請求項9に記載のタンパープルーフゲートウェイ。
【請求項11】
前記タンパースイッチは、前記タンパープルーフゲートウェイの動きを検知することに応答して前記警告信号を生成するように構成されている加速度計を備える、請求項1に記載のタンパープルーフゲートウェイ。
【請求項12】
前記タンパースイッチは、インピーダンスの変化を検知することに応答して前記警告信号を生成するように構成されているインピーダンスセンサを備える、請求項1に記載のタンパープルーフゲートウェイ。
【請求項13】
前記データ送信モジュールは、前記1つ以上のデータ生成デバイスによって生成される前記検知情報を暗号化するとともに、暗号化された前記検知情報を前記ネットワークに送信するように構成されている、請求項1に記載のタンパープルーフゲートウェイ。
【請求項14】
前記タンパープルーフゲートウェイを前記セキュア状態に置くと、前記コントローラは、暗号化された前記検知情報に関連付けられているキーを無効化する、請求項13に記載のタンパープルーフゲートウェイ。
【請求項15】
前記1つ以上のデータ生成デバイスは、水使用センサを備える、請求項1に記載のタンパープルーフゲートウェイ。
【請求項16】
エンクロージャをさらに備え、前記データ送信モジュールは、前記エンクロージャに配置されており、前記タンパースイッチは、前記エンクロージャの改ざんの検知に応答して前記警告信号を生成するように構成されている、請求項1に記載のタンパープルーフゲートウェイ。
【請求項17】
前記エンクロージャは、耐水性である、請求項16に記載のタンパープルーフゲートウェイ。
【請求項18】
前記エンクロージャは第1のエンクロージャであり、前記タンパースイッチは第1のタンパースイッチであり、前記警告信号は第1の警告信号であり、前記タンパープルーフゲートウェイは、第2のエンクロージャと、第2のタンパースイッチとをさらに備え、前記第1のエンクロージャは、前記第2のエンクロージャを取り囲み、
前記第2のタンパースイッチは、前記第2のエンクロージャの改ざんを検知することに応答して第2の警告信号を生成するように構成されている、請求項16に記載のタンパープルーフゲートウェイ。
【請求項19】
前記データ送信モジュールは、アンテナと、前記アンテナに結合されている衛星通信モジュールとを備え、前記コントローラは、前記衛星通信モジュールを使用して前記タンパープルーフゲートウェイの位置を決定するように構成されている、請求項1に記載のタンパープルーフゲートウェイ。
【請求項20】
タンパープルーフゲートウェイを動作させる方法であって、1つ以上のデータ生成デバイスによって生成される検知情報を受信する工程と、
前記1つ以上のデータ生成デバイスによって生成される前記検知情報から導出されるデータを、前記タンパープルーフゲートウェイに配置されているデータ送信モジュールを使用してネットワークに送信する工程と、
タンパースイッチを使用して、前記タンパープルーフゲートウェイの改ざんを検知することに応答して、警告信号を生成する工程と、
前記タンパースイッチから前記警告信号を受信することに応答して、前記タンパープルーフゲートウェイをセキュア状態に置く、セキュア状態化工程と、
認証情報を受信することに応答して、前記タンパープルーフゲートウェイを前記セキュア状態から離脱させる、離脱工程と、を備える方法。
【請求項21】
前記セキュア状態化工程は、前記ネットワークへの前記データの送信を中止するように前記データ送信モジュールを制御する工程を含む、請求項20に記載の方法。
【請求項22】
前記離脱工程は、リモート認証情報とローカル認証情報との両方を受信することに応答して行われる、請求項20に記載の方法。
【請求項23】
リモート認証情報を受信することは、前記ネットワークから認証情報を受信することを含む、請求項22に記載の方法。
【請求項24】
ローカル認証情報を受信することは、前記タンパープルーフゲートウェイの入出力(I/O)インターフェースを通して認証情報を受信することを含む、請求項22に記載の方法。
【請求項25】
前記離脱工程は、前記認証情報が第1のタイプであるか第2のタイプであるかに応じて、前記タンパープルーフゲートウェイを第1の権限状態又は第2の権限状態に置く工程を含み、前記第1の権限状態及び前記第2の権限状態は、異なるレベルの権限を有する、請求項20に記載の方法。
【請求項26】
前記1つ以上のデータ生成デバイスによって生成される前記検知情報を暗号化する工程と、暗号化された前記検知情報を前記ネットワークに送信する工程とをさらに備える、請求項20に記載の方法。
【請求項27】
前記セキュア状態化工程は、暗号化された前記検知情報に関連付けられているキーを無効化する工程を含む、請求項26に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュアな耐タンパー性のデータ処理、記憶装置、伝送ゲートウェイ、コントローラ及びデータ異常検出プログラムに関する。
【背景技術】
【0002】
スマートメータは、電気消費、天然ガス消費、水、電流レベル及び電圧レベル、ならびに温度などの様々なタイプの情報を取得する電子デバイスである。スマートメータは、典型的には、リアルタイム又はほぼリアルタイムで情報を記録する。ディスプレイを備えるスマートメータによって、ガス及び電気の消費に関する最新の情報が提供されることが可能であり、それによって人々が自身のエネルギー使用を管理するとともに自身のエネルギー料金を削減することが助けられる。
【図面の簡単な説明】
【0003】
【図1】いくつかの実施形態による、ネットワークに情報を送信するように構成されているタンパープルーフゲートウェイを示すブロック図。
【図3】いくつかの実施形態による、タンパープルーフゲートウェイを動作させるための方法を示すフローチャート。
【図4A】いくつかの実施形態による、タンパープルーフゲートウェイに関連付けられている動作状態を示すブロック図。
【図4B】いくつかの実施形態による、タンパープルーフゲートウェイに関連付けられている動作状態を示すブロック図。
【図4C】いくつかの実施形態による、タンパープルーフゲートウェイに関連付けられている動作状態を示すブロック図。
【図5】いくつかの実施形態による、様々なタイプの認証情報を示すブロック図。
【発明を実施するための形態】
【0004】
いくつかの実施形態は、タンパープルーフゲートウェイであって、1つ以上のデータ生成デバイスに結合されるように構成されているデータ取込モジュールと、データをネットワークに送信するように構成されているデータ送信モジュールであって、前記データは、前記1つ以上のデータ生成デバイスによって生成される検知情報から導出される、データ送信モジュールと、前記タンパープルーフゲートウェイの改ざんの検知に応答して警告信号を生成するように構成されているタンパースイッチと、前記タンパースイッチ及び前記データ送信モジュールに結合されているコントローラと、を備えるタンパープルーフゲートウェイに関する。前記コントローラは、前記タンパースイッチから前記警告信号を受信することに応答して、前記タンパープルーフゲートウェイをセキュア状態に置くとともに、認証情報を受信することに応答して、前記タンパープルーフゲートウェイを前記セキュア状態から離脱させるように構成されている。
【0005】
いくつかの実施形態では、前記タンパープルーフゲートウェイを前記セキュア状態に置くと、前記コントローラは、前記ネットワークへの前記データの送信を中止するように前記データ送信モジュールを制御する。
【0006】
いくつかの実施形態では、前記タンパープルーフゲートウェイを前記セキュア状態に置くと、前記コントローラは、オペレータ又はデバイスに警告する信号を生成する。
いくつかの実施形態では、前記ゲートウェイは、前記1つ以上のデータ生成デバイスによって生成される前記検知情報を記憶するように構成されているメモリをさらに備え、前記タンパープルーフゲートウェイを前記セキュア状態に置くと、前記コントローラは、前記メモリから前記検知情報を除去するか、メモリからの前記検知情報にアクセスするか、前記検知情報を暗号化する。
いくつかの実施形態では、前記ゲートウェイは、前記1つ以上のデータ生成デバイスによって生成される前記検知情報を記憶するように構成されているメモリをさらに備え、前記タンパープルーフゲートウェイを前記セキュア状態に置くと、前記コントローラは、前記メモリから前記検知情報を除去するか、メモリからの前記検知情報にアクセスするか、前記検知情報を暗号化する。
【0007】
いくつかの実施形態では、前記コントローラは、リモート認証情報と、ローカル認証情報との両方を受信することに応答して、前記タンパープルーフゲートウェイを前記セキュア状態から離脱させるように構成されている。
【0008】
いくつかの実施形態では、リモート認証情報を受信することは、前記ネットワークから認証情報を受信することを含む。
いくつかの実施形態では、前記ゲートウェイは、入出力(I/O)インターフェースをさらに備え、ローカル認証情報を受信することは、前記入出力インターフェースを通して認証情報を受信することを含む。
いくつかの実施形態では、前記ゲートウェイは、入出力(I/O)インターフェースをさらに備え、ローカル認証情報を受信することは、前記入出力インターフェースを通して認証情報を受信することを含む。
【0009】
いくつかの実施形態では、前記タンパープルーフゲートウェイを前記セキュア状態から離脱させることは、前記認証情報が第1のタイプであるか第2のタイプであるかに応じて、前記タンパープルーフゲートウェイを第1の権限状態又は第2の権限状態に置くことを含み、前記第1の権限状態及び前記第2の権限状態は、異なるレベルの権限を有する。
【0010】
いくつかの実施形態では、前記第2の権限状態は、前記データを前記ネットワークに送信するための認可を与える。
いくつかの実施形態では、前記第1の権限状態は、前記タンパープルーフゲートウェイのメンテナンス、前記ゲートウェイの構成を修正すること、ならびに、データのタイプ、及び前記ゲートウェイがインターフェース可能なデバイスのタイプを修正すること、のうちの1つ以上を行うための認可を与える。
いくつかの実施形態では、前記第1の権限状態は、前記タンパープルーフゲートウェイのメンテナンス、前記ゲートウェイの構成を修正すること、ならびに、データのタイプ、及び前記ゲートウェイがインターフェース可能なデバイスのタイプを修正すること、のうちの1つ以上を行うための認可を与える。
【0011】
いくつかの実施形態では、前記タンパースイッチは、前記タンパープルーフゲートウェイの動きを検知することに応答して前記警告信号を生成するように構成されている加速度計を備える。
【0012】
いくつかの実施形態では、前記タンパースイッチは、インピーダンスの変化を検知することに応答して前記警告信号を生成するように構成されているインピーダンスセンサを備える。
【0013】
いくつかの実施形態では、前記データ送信モジュールは、前記1つ以上のデータ生成デバイスによって生成される前記検知情報を暗号化するとともに、暗号化された前記検知情報を前記ネットワークに送信するように構成されている。
【0014】
いくつかの実施形態では、前記タンパープルーフゲートウェイを前記セキュア状態に置くと、前記コントローラは、暗号化された前記検知情報に関連付けられているキーを無効化する。
【0015】
いくつかの実施形態では、前記1つ以上のデータ生成デバイスは、水使用センサを備える。
いくつかの実施形態では、前記ゲートウェイは、エンクロージャをさらに備え、前記データ送信モジュールは、前記エンクロージャに配置されており、前記タンパースイッチは、前記エンクロージャの改ざんの検知に応答して前記警告信号を生成するように構成されている。
いくつかの実施形態では、前記ゲートウェイは、エンクロージャをさらに備え、前記データ送信モジュールは、前記エンクロージャに配置されており、前記タンパースイッチは、前記エンクロージャの改ざんの検知に応答して前記警告信号を生成するように構成されている。
【0016】
いくつかの実施形態では、前記エンクロージャは、耐水性である。
いくつかの実施形態では、前記エンクロージャは第1のエンクロージャであり、前記タンパースイッチは第1のタンパースイッチであり、前記警告信号は第1の警告信号であり、前記タンパープルーフゲートウェイは、第2のエンクロージャと、第2のタンパースイッチとをさらに備え、前記第1のエンクロージャは、前記第2のエンクロージャを取り囲み、前記第2のタンパースイッチは、前記第2のエンクロージャの改ざんを検知することに応答して第2の警告信号を生成するように構成されている。
いくつかの実施形態では、前記エンクロージャは第1のエンクロージャであり、前記タンパースイッチは第1のタンパースイッチであり、前記警告信号は第1の警告信号であり、前記タンパープルーフゲートウェイは、第2のエンクロージャと、第2のタンパースイッチとをさらに備え、前記第1のエンクロージャは、前記第2のエンクロージャを取り囲み、前記第2のタンパースイッチは、前記第2のエンクロージャの改ざんを検知することに応答して第2の警告信号を生成するように構成されている。
【0017】
いくつかの実施形態では、前記データ送信モジュールは、アンテナと、前記アンテナに結合されている衛星通信モジュールとを備え、前記コントローラは、前記衛星通信モジュールを使用して前記タンパープルーフゲートウェイの位置を決定するように構成されている。
【0018】
いくつかの実施形態は、タンパープルーフゲートウェイを動作させる方法であって、1つ以上のデータ生成デバイスによって生成される検知情報を受信する工程と、前記1つ以上のデータ生成デバイスによって生成される前記検知情報から導出されるデータを、前記タンパープルーフゲートウェイに配置されているデータ送信モジュールを使用してネットワークに送信する工程と、タンパースイッチを使用して、前記タンパープルーフゲートウェイの改ざんを検知することに応答して、警告信号を生成する工程と、前記タンパースイッチから前記警告信号を受信することに応答して、前記タンパープルーフゲートウェイをセキュア状態に置く、セキュア状態化工程と、認証情報を受信することに応答して、前記タンパープルーフゲートウェイを前記セキュア状態から離脱させる、離脱工程と、を備える方法に関する。
【0019】
いくつかの実施形態では、前記セキュア状態化工程は、前記ネットワークへの前記データの送信を中止するように前記データ送信モジュールを制御する工程を含む。
いくつかの実施形態では、前記離脱工程は、リモート認証情報と、ローカル認証情報との両方を受信することに応答して行われる。
いくつかの実施形態では、前記離脱工程は、リモート認証情報と、ローカル認証情報との両方を受信することに応答して行われる。
【0020】
いくつかの実施形態では、リモート認証情報を受信することは、前記ネットワークから認証情報を受信することを含む。
いくつかの実施形態では、ローカル認証情報を受信することは、前記タンパープルーフゲートウェイの入出力(I/O)インターフェースを通して認証情報を受信することを含む。
いくつかの実施形態では、ローカル認証情報を受信することは、前記タンパープルーフゲートウェイの入出力(I/O)インターフェースを通して認証情報を受信することを含む。
【0021】
いくつかの実施形態では、前記離脱工程は、前記認証情報が第1のタイプであるか第2のタイプであるかに応じて、前記タンパープルーフゲートウェイを第1の権限状態又は第2の権限状態に置く工程を含み、前記第1の権限状態及び前記第2の権限状態は、異なるレベルの権限を有する。
【0022】
いくつかの実施形態では、前記方法は、前記1つ以上のデータ生成デバイスによって生成される前記検知情報を暗号化する工程と、暗号化された前記検知情報を前記ネットワークに送信する工程とをさらに備える。
【0023】
いくつかの実施形態では、前記セキュア状態化工程は、暗号化された前記検知情報に関連付けられているキーを無効化する工程を含む。
本出願の様々な態様及び実施形態が、以下の図を参照して説明される。図は必ずしも縮尺に応じて描かれていないことが理解される。複数の図において現れている項目は、それらが現れる図において同じ参照番号によって示されている。
本出願の様々な態様及び実施形態が、以下の図を参照して説明される。図は必ずしも縮尺に応じて描かれていないことが理解される。複数の図において現れている項目は、それらが現れる図において同じ参照番号によって示されている。
【0024】
本開示は、一般に、デバイスをセキュアにオンラインにし、デバイスが互いに通信することを可能にし、コントローラとして働き、データを記憶し、及びデータを処理するために、現場において使用されることが可能なゲートウェイに関する。データ異常検出プログラムを、外れ値を識別及び除去することやデータ入力側において操作されたデータ又は誤ったデータを見つけること、またデータ出力、記憶装置、又は処理ソースが改ざんされたかどうかを識別することが重要である任意の産業において使用することが可能である。本開示を、データのセキュリティを保証することが重要な考慮事項である任意の産業において使用することが可能である。これを使用することが可能である産業の例は、製造施設及び処理施設、工場、データセンター、オフィス、倉庫、店舗、サプライチェーン、輸送、ホームセキュリティ、金融部門、政府、防衛などが含まれる。
【0025】
本発明者らは、デバイスをオンラインにすることが、よりリアルタイムに近い意思決定及び警告、情報追跡及び情報集約、手動によるデータ収集の労力の低減、より先を見越した動作の実現、ならびに効率の向上を含む、多くの利点を提供することを認識及び理解した。しかしながら、デバイス、センサ、及び制御をオンラインにすることに関する最大の懸念のうちの1つは、何らかのセキュリティ違反、すなわち、攻撃者らが、これらのデバイスによって収集されるデータを盗聴又は操作することと、これらのデバイスからのデータ収集プロセスのインテグリティ(完全性)を損なうことと、これらのデバイスを乗っ取ってサービスを拒否するか、損害を引き起こすこととの可能性である。
【0026】
これは、デバイスがオンラインで接続されることを妨げる大きな懸念である。これは、特に、データ及びデータ送信のセキュリティが極めて重要である産業に関連する。一例は、食品及び飲料加工工場内の成分混合などの重要かつ独自のプロセスの監視である。投入成分及びリアルタイムの製品作成を監視することは、連続的に製品及び材料の品質を管理して下流の生産プロセスパラメータを知らせることにとって非常に重要である。現在、施設のオペレータらは、原材料成分及び下流製品のグラブサンプルを取得し、これらのサンプルに対して実験室試験を行わなければならないことが多い。これに代えて、データ生成デバイスが存在する場合、施設のオペレータらは、多くの場合、現在のセンサ読取値を記録するために、センサ及びメータを訪れる必要がある。これにより、しばしば、事後対応的な生産プロセス、製品の品質における変動及び不一致、より多くの無駄な製品バッチ、及び生産の非効率性が引き起こされる。非接触的な手法において生産プロセスの様々な段階における成分及び製品のリアルタイム品質データを取得することは、動的及び最適化された生産、ならびに低減された資源及び操業コストを可能にする。しかしながら、成分及び製品の配合は、多くの場合、顧客の重要な独占的な営業秘密である。リアルタイムの品質管理を行うためには、データ収集及びデータ送信を高セキュアな手法において行わなければならない。他の関連産業は、動作の信頼性が重要であり、攻撃の標的となり得る、高セキュアな環境を含む。これらは、防衛部門、国家的又は商業的関心の高い部門、データセンター、病院、倉庫、サプライチェーン、公共施設、機械、車両、設備などに関連する施設を含む。一例は、産業用冷却システムのための水の使用及び品質の監視である。機械、装置、材料、サーバ、及び部屋を含む物体及び/又はプロセスの冷却は、産業施設の操業にとって重要なプロセスである。熱を除去するべく循環するように圧送される水の量、及び配管系におけるスケールの蓄積に影響を及ぼす水の品質は、産業設備における効果的な冷却のための重要な尺度である。現在、このデータは、現場においてこのタイプのデータを監視するメータ及びセンサを訪れるとき、又は実施されるべき実験室試験のために送られるべき液体のグラブサンプルを収集するときに、現場技術者によって収集されることが多い。これらのスナップショットデータ点は、水の使用及び品質を管理する遅延された事後対応的な方法をもたらす。これらのセンサ及びメータをオンラインで接続することにより、施設オペレータらは、施設の水及び冷却をリアルタイムで監視及び管理することが可能になるとともに、彼らが分析、参照、及び報告することが可能であるデータの容易にアクセス可能なコピーを有することが可能になり得る。しかしながら、これを行うためには、水のデータを収集するこれらのセンサ及びメータからのデータの送信が、セキュアなフォーマットにおいて行われる必要がある。オンラインで接続されることから利益を得る重要なプロセスを監視するとともに管理する他のデバイスは、工場における製品処理又は製造、衛生、廃水処理、加熱及び冷却、建物HVACシステム、住宅用及び商業用建物の量水器及びユーティリティメータ、電力及び電気監視などに関連するものを含む。
【0027】
これらのプロセスのデータをサーバにオンラインで記憶し、送信するゲートウェイは、セキュアであり、耐久性があり、連続的に動作することが可能である必要がある。さらに、これらのデバイスは、操作が容易である必要があり、メンテナンスをあまり必要としない置き忘れ(leave-and-forget)デバイスである必要がある。オープンネットワークに対して接続されていないデバイスであっても、ローカルネットワーク内のデバイスにデータを送信、データを記憶、及び/又はコマンドを送信するだけのデバイスは、攻撃者によって物理的に改ざんされた後に、機密情報を漏洩するか、悪意のある情報を送信及び記憶する可能性がある。加えて、攻撃者らによって、誤ったデータ入力を作成するように、これらのデバイスにデータを送信しているデータ収集ソース(例えば、センサ)が危殆化される可能性もある。本発明者らは、費用効果が高く、耐久性があり、耐候性があり、耐タンパー性であり、セキュアなデータ記憶、処理、及び伝送ゲートウェイを開発することの重要性を認識し理解した。本発明者らは、信頼できる手法において通信を提供するために、改ざんされたデータ及び異常なデータを識別することの重要性をさらに認識し理解した。
【0028】
デバイスをオンラインで接続し、データをクラウドに送信する伝送ゲートウェイが今日市販されており、使用されている。しかしながら、これらのデバイスのうちのいくつかは、特に物理的な改ざん(タンパリング)に対して、多くの使用事例のセキュリティ要件を満たしていない。攻撃者は、エンケーシングを開き、デバイスからデータを引き出すか、デバイスに入ってくるデータを操作する可能性がある。加えて、該伝送ゲートウェイは耐候性及び防水性ではない。データをクラウドに送信することが可能である追加の製品がある。しかしながら、これらのゲートウェイにより、ユーザらが自身のソフトウェア又はクラウドプロバイダのみを用いて作業するように制限され、これらのゲートウェイは、データがどこへ送信されるかを顧客がカスタマイズすることを許可しない。加えて、攻撃者がデバイスへの物理的アクセスを得た場合、それらは、データ操作又はデータ侵害(data breach)を防止するための物理的なタンパープルーフフィーチャを有していない。プログラマブルロジックコントローラが存在もする。しかしながら、この場合でも、そのプログラマブルロジックコントローラが物理的に改ざんされて、そのデータが侵害され、危殆化されたデータがその中に代わりに入れられる可能性がある。加えて、これらのデバイスは、起こり得る攻撃又は障害の信号である可能性がある外れ値、改ざん、規則に従っていないデータタイプ、規則に従っていない送信レートなどを検出するために、統合されたソフトウェアをデバイス自体において有していない。
【0029】
現在の製品の限界を認識して、本発明者らは、タンパープルーフであり、物理的攻撃及び遠隔攻撃に対して防御することが可能でありながら、データを確実及びセキュアに送信、記憶、及び処理するように設計されているゲートウェイ、ソフトウェア、及び方法を開発した。いくつかの実施形態では、これは、他の技術の中でもとりわけ、ロック、タンパープルーフステッカー、タンパーレジスタントねじ、タンパースイッチ、バッフル(baffling)、エンクロージャ材料、改ざん識別ソフトウェアプログラム、警告システム、及び/又は暗号化されたデータ記憶デバイスの統合を伴うことが可能である。
【0030】
いくつかの実施形態は、内部攻撃のリスクを低減するために、必要とされる認証を有するデバイス上における2層アクセス制御を可能にする。これらのデバイスのうちのいくつかは、耐候性、耐水性、厳しい気候及び温度に対応可能である、及び/又は危険な環境に配備されることが可能であるように設計されている。これらのデバイスは、さらに、製造コストを低く維持するように設計されており、セットアップ及びプラグ・アンド・プレイが容易であり、少ないメンテナンスしか必要としないように設計されている。いくつかの実施形態によって、デバイスが、暗号化されたデータパケットを通じて有線又は無線を用いて他のデバイスとセキュアに通信することが可能になる。さらに、いくつかの実施形態では、データは、OPC UA,modbus,4-20mA,HART,digital,i2c,spi等の産業環境において一般的であるフォーマットにおいて解釈及び処理される。
【0031】
さらに、いくつかの実施形態は、データタイプ、データ値、及び規則に従っていないデータ送信レートなどにおける外れ値を識別し、警告し、軽減するためのソフトウェアとのセキュアゲートウェイの統合を伴う。一例として、ソフトウェアは、ゲートウェイからのデータがエンドポイントに溢れ(例えば、異常に高いレートにおいて送信された)、攻撃者らが多くの場合、データを食べ尽くす(eat up)か、ユーザのためのサービスを拒否する場合、ゲートウェイ又はコントローラのエンドポイントサーバへの接続を自動的に切断し、警告し、遮断することができる。
【0032】
本明細書に開示されているデバイス及び方法の構造、機能、製造、及び使用の原理の全体的な理解を提供するために、特定の実施形態例が説明され得る。これらの実施形態の1つ以上の例が添付の図面に示されている。当業者は、本明細書に具体的に説明され、添付の図面に示されているデバイス及び方法は、非限定的な実施形態例であることと、本発明の範囲が、特許請求の範囲によってのみ定義されることとを理解し得る。一実施形態例に関連して示されている又は説明されている特徴は、他の実施形態の特徴と組み合わせることができる。そうした修正及び変形は、本開示の範囲内に含まれることが意図される。さらに、本開示では、実施形態の同様の番号が付けられた構成要素は、一般に、類似した特徴を有し、したがって、特定の実施形態内では、各同様の番号が付けられた構成要素の各特徴は、必ずしも完全に詳しく説明されていない。加えて、開示されるシステム、デバイス、及び方法の説明において、直線状寸法又は円形寸法が使用される限り、そうした寸法は、そうしたシステム、デバイス、及び方法と併せて使用される可能性がある形状のタイプを限定することを意図しない。当業者は、任意の幾何学的形状について、そうした直線状寸法及び円形寸法に対する均等物を容易に決定することが可能であることを認識し得る。さらに、上部、底部、上、又は下などの方向を示す用語が使用される限り、それらは、本明細書に開示されるシステム、デバイス、及び方法を限定することを意図していない。当業者は、これらの用語が、単に、説明されているシステム及びデバイスに関連し、普遍的ではないことを認識し得る。
【0033】
図1は、いくつかの実施形態による、タンパープルーフゲートウェイ100を示すブロック図である。ゲートウェイ100は、データ送信モジュール102と、タンパースイッチ104と、コントローラ106と、メモリ108とを備える。ゲートウェイ100は、ゲートウェイに結合された1つ以上のデータ生成デバイス(1101,1102...110N)によって送信される検知情報を受信する。本明細書において説明されるタイプのデータ生成デバイスは、信号又はデータを作成するか含む任意のデバイス又はシステムである。これらは、例えば、様々なタイプのセンサ及び/又はシステムコントローラを含んでもよい。一例では、データ生成デバイスは、例えば、サーバ、機械、装置、材料、建物、部屋を含む物体及び/又はプロセスの冷却のために使用される水の体積を測定するように構成されている水使用センサ又は水使用メータを含む。これらのタイプのセンサによって、オペレータが、製造環境、建物、又は機械における産業用冷却システムにおける効果的な冷却のために熱を除去するべく循環するように圧送される水の量を決定することが可能になる。別の例では、データ生成デバイスは、水又は他の流体中に存在する化学物質及び他の物質の存在(及び随意で、濃度)を識別するように構成されているセンサを含む。これらのタイプのセンサによって、オペレータが水の品質を決定することが可能になる。低品質な水は、製造環境、建物、及び機械における産業用冷却システムの配管システムにおけるスケールの蓄積に影響を及ぼし得る。その上別の例として、データ生成デバイスは、水又は他の流体のpHを測定するように構成されているセンサを含む。その上別の例として、データ生成デバイスは、サーバ又は他の電子機器の温度を測定するように構成されているセンサを含む。その上別の例として、データ生成デバイスは、サーバ又は他の電子機器によって使用される電力を測定するように構成されているセンサを含む。これらの例では、データ生成デバイスによってゲートウェイ100に送信される検知情報は、測定される量を表すデータを含む。それに加えて、又はそれに代えて、データ生成デバイスは、システムコントローラを含んでもよい。一例として、データ生成デバイスは、熱を除去するべく循環するように圧送される水の量を制御するように構成されている装置を含んでもよい。これらの実施形態では、検知情報は、圧送される水の量を示すデータ、水が圧送されている時間に関する状態情報、及び別のデバイス(例えば、水を循環から外れさせるデバイス、水を処理するデバイス等)に通知するかその別のデバイスを制御するために渡されるべき信号を含んでもよい。別の例として、データ生成デバイスは、水又は他の流体の中に放出される化学物質の種類(及び/又は化学物質の量)を制御するように構成されているデバイスを含んでもよい。これらの実施形態では、検知情報は、放出される化学物質の種類及び/又は量を示すデータを含んでもよい。別の例として、データ生成デバイスは、例えば、冷却目的のために水を圧送又は遮断するために、遮断弁をオン及びオフにするように構成されているデバイスを含んでもよい。これらの実施形態では、検知情報は、遮断弁がオンにされた時間間隔と、遮断弁がオフにされた時間間隔とを示すデータを含んでもよい。これらのデータ生成デバイスはまた、水又は流体に関連する領域に限定もされない。別の例では、データ生成デバイスは、ゲートウェイ又は他のデバイスの認証されていない改ざんを検出するために、改ざんを検出するデバイス(タンパースイッチなど)を含んでもよい。この例では、検知情報は、デバイスの状態及びデバイスによって生成されるデータであることが可能である。さらなる例として、データ生成デバイスは、施設又はインフラストラクチャのサブセクションにおけるエネルギー使用を検出し、電力使用を追跡する電力計を含んでもよい。別の例では、データ生成デバイスは、リアルタイムクロックなどのクロック又はタイムトラッカーを含んでもよい。追加の例として、データ生成デバイスは、衛生又は処理を最適化するための化学物質投与に関する最良の理解を通知するために、試料の品質パラメータ(例えば、塩素、pH、溶存酸素)を測定するセンサを含んでもよい。データ生成デバイスはまた、ゲートウェイがデータを読み出すことが可能であるデータ記憶デバイスであることが可能であり、検知情報は、データ記憶デバイス内のデータである。一例は、センサ又は制御データが記憶されるデータベース又はヒストリアンである。このデータベースからのデータは、デバイス又はサーバから引き出される(プル)か、送信されるか、デバイス又はサーバからゲートウェイに対し押し出される(プッシュ)ことが可能である。検知情報はまた、システムの設定、設定点、又は構成に関するデータであることが可能でもある。検知情報は、コマンド又は制御であることが可能でもある。データ生成デバイスは、任意の適当な通信プロトコルに従って、検知情報から導出されるデータをゲートウェイに有線様式又は無線様式において送信してもよい。
【0034】
データ送信モジュール102は、データ生成モジュールから取得される検知情報から導出されるデータをネットワーク120に送信する。ネットワークに対し送信されるデータは、検知情報自体、及び/又は検知情報を示すデータ(例えば、検知情報の処理されたバージョン、又は検知情報の特定の特性を説明する値)、及び/又はデータ生成デバイスからのデータ、コマンド、状態情報又はステータス情報、及び/又はデータを取り込むモデル及び/又はアルゴリズムからの計算された値を含むことが可能である。一例は、流体があるべきpHレベルを表す情報を有するデータベース又はコントローラに加えて、ゲートウェイに接続されており、流体のpHレベルを測定するpHメータを含む。ゲートウェイは、pHの現在のレベルと、ゲートウェイに接続されているコントローラ又はデータベースに設定されている想定されるpHレベルを上回るか、下回るかとを判定することが可能である。次いで、ゲートウェイは、流体中により多くの酸、塩基、又は中和剤を添加するために、ネットワークへの出力を計算するか、それに接続されているpH調整デバイスに戻す出力を計算することが可能である。いくつかの実施形態では、データは、複数のデータソースを取り込み、且つ、渡されるか実行される出力を計算するより複雑なモデルを含むことが可能である。
【0035】
データは、リアルタイムで(例えば、バッファリング又は前処理なしに)、又はバッファリング及び/もしくは前処理時に送信されてもよい。例えば、コントローラ106は、ネットワーク120に送信する前に、検知情報を記憶し、フィルタリングし、ダウンサンプリングすることができる。コントローラはまた、ネットワーク120に送信されるデータからの出力を処理及び計算するアルゴリズム又はモデルを有することが可能でもある。ネットワーク120は、例えば、インターネットに接続されていないコンピュータ又はデバイスのクラウドネットワーク又はローカルネットワークをサポートするサーバを含む、任意の適当なアーキテクチャにおいて配置されているコンピュータネットワークを含む。ネットワーク120は、単一のコンピュータ又は複数のコンピュータを含んでもよい。ゲートウェイ100はまた、データ生成デバイスを接続するネットワークを形成することが可能でもある。いくつかの実施形態では、ネットワーク120はまた、データ生成デバイス110と入替可能であってもよい。データは、ネットワーク120又はデータ生成デバイス110からゲートウェイに読み出されるか渡されることが可能であり、データは、ゲートウェイ100からネットワーク120に対し送信されることが可能であるか、データ生成デバイス110に対し渡されることが可能である。1つのデータ生成デバイス(例えば、1001)は、ゲートウェイを通して別のデータ生成デバイス(例えば、1002)に送信されるか、そこから読み出されることが可能であるデータ又はコマンドをゲートウェイに送信することが可能である。その代わりに、データ又はコマンドは、ネットワーク120からゲートウェイに対し渡されるか、読み出されることが可能であり、次いで、ゲートウェイは、それに接続されているデータ生成デバイスにデータ又はコマンドを送信する。さらに、データ又はコマンドは、送信される前にゲートウェイコントローラ106において処理されることが可能である。これらの様々な実施形態は可能であるが、ゲートウェイが機能するために全てが必要とされるわけではない。
【0036】
ネットワークとデータ送信モジュールとの間の通信は、無線(アンテナを用いる)であってもよく、有線であってもよい。いくつかの実施形態では、データ送信モジュールは、衛星通信モジュールを含んでもよい。ゲートウェイは、インターネット/イントラネット/ネットワークサービスがスポット的な場合であっても、衛星通信モジュールを使用して、その位置を決定してもよい、及び/又は、ネットワークと通信してもよい。これにより、ネットワークアクセスが制限されているか利用できない遠隔地にゲートウェイを配置することが可能になる。さらに、攻撃者によって他の場所に運ばれた場合でも、位置情報を、ユーザがゲートウェイの位置を特定することができるように、ユーザに提供することができる。
【0037】
タンパースイッチ104は、ゲートウェイ100の改ざん(例えば、修正、更新、維持、アクセス、編集、進入、再構成、乗っ取り、危殆化、損傷、突破、リダイレクト、混同、欺瞞、無効化、干渉、サービス拒否、エミュレート、盗聴、リブート、起動、観察、コピー、スパム、開放、電源変更)を検知するように構成されている。改ざんは、ゲートウェイによってネットワークに対し送信されるべき検知情報をブロックすること、傍受すること、及び/又は操作することを目的とする場合もある。本発明者らは、改ざんが様々な手法において発生し得ることを認識し理解している。一例では、改ざんは、例えばメモリ108又はコントローラ106へのアクセスを得るために、ゲートウェイを収容するエンクロージャを物理的に開く試みを含んでもよい。別の例では、改ざんは、不正確なデータを生成するか、又は非常に高いレートにおいてゲートウェイをデータで溢れさせるように、(例えば、データ生成デバイスを再プログラミングすることによって、又はデータ生成デバイスを別のデバイスと交換することによって)データ生成デバイスを操作することを含んでもよい。別の例では、改ざんは、以前に記憶された検知情報、ネットワーク情報、又はデバイス情報をダウンロードしようとして、USBドライブをゲートウェイに接続することを含んでも良い。別の例では、改ざんは、ゲートウェイ上のソフトウェア、コード、又は構成設定を追加すること、除去すること、読み出すこと、又は修正することを含んでもよい。別の例では、改ざんは、ゲートウェイを別の位置に物理的に再配置することであってもよい。改ざんの別の例は、ゲートウェイのハードウェア又は電子機器を追加すること、変更すること、又は取り外すことであってもよい。改ざんの別の例は、ゲートウェイに対するデータ生成デバイスの間、又はゲートウェイとネットワークとの間のデータの送信に干渉することであってもよい。この干渉は、有線接続もしくは有線通信、又は無線通信に干渉する信号放出もしくは操作システムの切断又は変更である可能性がある。別の例では、改ざんは、指定された場所から外部電力を取り外し可能にするため、又は意図されたクライアントに対して外部電力の使用を拒否するために、デバイスから外部電力を取り外すことを含んでもよい。別の例では、改ざんは、ゲートウェイからの信号もしくはゲートウェイ内の信号に干渉するか、ゲートウェイ内の電子機器もしくは構成要素の動作及び安定性に干渉するための電気機械信号の放出を含んでもよい。別の例では、改ざんは、送信されるデータへの不正アクセスを取得するためのスニッフィングを含んでもよい。
【0038】
タンパースイッチ104は、ゲートウェイ100の改ざんを検知することに応答して、送信されるか、記憶されるか、又は別のアクションを開始することが可能である警告信号を生成するように構成されているハードウェア及び/又はソフトウェアを含んでもよい。いくつかの実施形態では、タンパースイッチは、エンクロージャが動かされたときにアクティブ化される物理的なトリガである。他の実施形態では、タンパースイッチは、ゲートウェイが存在するエンクロージャの中に進入する異物の存在を検知するための動きセンサである。いくつかの実施形態では、タンパースイッチ104は、ゲートウェイ100の予期しない動きを検知する加速度計を含む。動きの検知に応答して、加速度計は警告信号を生成する。いくつかの実施形態では、タンパースイッチは、それが新しい位置にあることを識別したときをトリガとして作動する位置センサ又は位置トラッカーであることが可能である。それに加えて、又はそれに代えて、タンパースイッチは、ゲートウェイを物理的に侵す試みを検出することができる。例えば、ゲートウェイは、攻撃者らがエンクロージャに対して容易に切断したり穿孔したりするのを防ぐために、金属製バッフルを備えるエンクロージャに収容されていてもよい。さらに、有線バッフル回路は、ワイヤの抵抗が測定されるデバイスの周りのエンクロージャとして、又はそのエンクロージャ上に実装されることが可能である。有線バッフルは、固定されたデバイスの周りに巻かれていてもよく、そこで、ワイヤトレースは、迷路状構造を形成してもよい。トレースの一部分を切断することによって、接続全体が切断され得る。ワイヤが切断される又は切り離される場合、タンパースイッチが開き、プログラム可能なタンパー手段を作動させることができる。バッフル内のワイヤが切断され、他の場所において再はんだ付けされる場合、ワイヤの抵抗が変化して、侵入を示し、デバイスにプログラム可能なアクションを実行させ得る。したがって、タンパースイッチは、ワイヤのインピーダンスの変動を検知するように構成されているインピーダンスセンサを含んでもよい。これは、専用ハードウェアを使用して、又はソフトウェアを介して行われてもよい。
【0039】
別の例では、タンパースイッチは、データ生成デバイスから受信される検知情報における異常を検出するように構成されているデバイスを含む。例えば、タンパースイッチは、検知情報の特性が予想外に変化したかどうか(データレート及び/又はデータの性質が変化したかどうかを含む)を検出することができる。タンパースイッチは、時間を記録することができ、データ生成/収集が変更されたことを記録することができる。さらに、ゲートウェイに以前に接続されたデータ生成デバイスのタイプ(及び随意でID)、及びゲートウェイに現在接続されているデータ生成デバイスのタイプ(及び随意でID)を記録してもよい。他の例では、データ生成デバイスは、タンパースイッチであることが可能である。一例は、セキュリティ目的のためにゲートウェイに接続されるデータ生成デバイス(例えば、ある場所における権限のない人員の存在を見つけるセキュリティカメラ又は動きセンサ)であることが可能である。別の例は、トリガの生じるゲートウェイに接続されるデータ生成システムのタンパーシステムであることが可能である。攻撃者が、適切なクレデンシャルなしにゲートウェイの設定及び構成を変更しようと試みる場合、タンパースイッチは、攻撃の時間及びタイプを記録することができる。別の例では、タンパースイッチは、ゲートウェイ上のファイル、ソフトウェア、もしくは設定がいつ読み取られるかもしくはアクセスされるか、又はそれらがいつ修正されるか、削除されるか、又は新しいソフトウェアが追加されるかを識別するプログラムを含む。別の例では、タンパースイッチは、期待値に対する周辺機器、動作、及びプロセス出力の測定値を含む。攻撃者が、プロセスが行われる方法を修正しようと試みる場合、タンパースイッチは、不一致を識別し、記録することができる。別の例では、タンパースイッチは、ゲートウェイ上において行われるプログラムがハング、停止、又はキルされるときを識別する隠しプログラム又は隠しスクリプトであることが可能である。別の例では、タンパースイッチは、認証されていないユーザがゲートウェイのソフトウェア又はハードウェアにアクセスしようと試みるか、それらを修正しようと試みるときをトリガとして作動する認証システムを含む。別の例では、タンパースイッチは、正しい認証を有していないユーザが誤った認証を入力したとき、又はアクセスが拒否されたユーザが自分の認証をシステムに入力したときをトリガとして作動する認証システムを含む。タンパースイッチは、トリガと、アクション又は警告を開始するためのトリガの頻度及び数とを追跡することが可能である。別の例では、タンパースイッチは、ゲートウェイ、データ生成デバイス、及び他のタンパースイッチにおける構成要素の動作を追跡し、且つ、電磁妨害及び攻撃に対してより耐性があり、構成要素、デバイス、又はスイッチのうちの1つが反応しなくなるか、それが異常な挙動を観察するか、それがもはや動作可能でないか、又は電磁妨害もしくは改ざんの下にあるときをトリガとして作動するトラッカー又はウォッチドッグであり得る。係るスイッチはまた、電磁妨害又は改ざんが識別された場合に、デバイスを再アクティブ化する、起動する、又はバックアップ状態に切り替える能力を有することが可能である。1つ又は複数のタンパースイッチのトリガ作動後、トリガ作動した1つ又は複数のタンパースイッチのタイプ、組合せ、及び挙動(頻度)に応じて、様々なアクションを実行することが可能であり、ゲートウェイ、データ生成デバイス、又はネットワークに入ることが可能である状態。タンパースイッチのトリガ作動後、攻撃の重大度及び/又はタイプを決定するために、スイッチのタイプ、位置、データ、及び/又はレベルを記録することが可能である。典型的なユーザサービス(例えば、デバイスの起動)についてトリガ作動されるタンパースイッチは、内部の、ユーザが使用可能でないハードウェアに対する攻撃と区別することが可能である。加えて、圧力、気流、メッシュ接続、及び明るさのタンパースイッチは、組み合わせて追加されると、攻撃の徴候の監視を増やすことによって、攻撃の困難性を増加させるであろう。
【0040】
メモリ108は、検知情報を記憶することが可能である。いくつかの実施形態では、メモリ108は、AES 256であるか、セキュアブート機能を用いてより強力に暗号化されることが可能である。データ記憶モジュールは、編集することができない読取専用ブートパーティションを有することが可能である。オペレーティング・システム及び動作プログラムを含む第2のルート・ファイル・システム・パーティションは、認証が成功した後にのみアクセスすることができる。係るパーティションは、読み取り及び書き込みに設定されること、又は読み取り専用に設定されることが可能である。オンボードドライブ、ポータブルドライブ(例えば、USB)、通常のSDカード等のデータ記憶の他の方法がまた、実装されることが可能でもある。金属エンケーシングをまた、攻撃者がエンクロージャを切断してデータ記憶デバイスを取り外すのを防止するために、これらのデータ記憶デバイスの周りに配置することが可能でもある。
【0041】
図2は、いくつかの実施形態においてゲートウェイ100の一部であり得る追加のモジュールを示すブロック図である。アンテナ103は、データ送信モジュール102に結合されており、無線通信をサポートする。データ取込モジュール111は、データ生成デバイスとインターフェースする。例えば、データ取込モジュール111は、ゲートウェイを収容しているエンクロージャを通過する導体端子を含んでもよい。データ取込モジュール111はまた、データ生成デバイスからデータを無線において受信するためにアンテナに接続することが可能でもある。ユーザ識別モジュール112は、以下において詳細に説明されるように、ユーザ認可及び識別を行うために使用されてもよい。入出力(I/O)インターフェース114は、ボタン、キーボード、マウス、タッチスクリーン、USBインターフェース、音声認識ソフトウェアに結合されたマイクロフォン、バイオメトリック入力、指紋スキャナ、スピーカなどを含む、ユーザとゲートウェイとの間の対話を可能にする任意のインターフェースを含んでもよい。エンクロージャ130は、以下においてさらに詳細に説明されるように、ゲートウェイを収容する。
【0042】
図3は、いくつかの実施形態による、ゲートウェイを動作させる方法を示すフローチャートである。本出願の態様はいかなる特定の実装形態にも限定されないので、方法300は任意の適当なゲートウェイを使用して行われてよい。一例として、ゲートウェイ100(図1参照)を使用して方法300を行ってもよい。例えば、コントローラ106は、実行されると図3に関連して説明されている工程を行うソフトウェアを用いてプログラムされてもよい。その代わりに、仮想ゲートウェイが、方法300を行うために使用されてもよい。仮想ゲートウェイは、例えば、物理ゲートウェイをエミュレートするようにプログラムされたコントローラ、コンピュータ、又はサーバであってもよい。なお、以下において説明される工程は、図3に示されるシーケンスにおいて行われる必要はなく、他のシーケンスがまた可能でもある。
【0043】
工程302において、ゲートウェイは、1つ以上のデータ生成デバイスによって生成される検知情報を受信する。データ生成デバイス及び対応する検知情報の例は、上記において提供されている。工程302を、図2のデータ取込モジュール111を使用して行ってもよい。
【0044】
工程304において、ゲートウェイは、検知情報から導出されるデータをネットワークに送信する。ネットワークは、オープンであってもローカルであってもよい。データは、無線手段又は有線手段のいずれかを介して、リアルタイムで(例えば、バッファリング又は前処理なしで)又は別様に、送信されてもよい。工程304を、図1のデータ送信モジュール102を使用して行ってもよい。
【0045】
工程306において、ゲートウェイは、ゲートウェイの改ざんを検知することに応答して警告信号を生成する。ゲートウェイが受ける可能性のある改ざんのタイプの例を上述した。工程306を、図1のタンパースイッチ104を使用して行ってもよい。
【0046】
工程308において、ゲートウェイは、工程306において生成される警告信号を受信することに応答して、セキュア状態に置かれる。セキュア状態のタイプは、タンパースイッチのタイプ、頻度、及びトリガの生じるタンパースイッチの組合せに応じて異なることが可能である。最後に、工程310において、ゲートウェイは、認証情報を受信することに応答して、セキュア状態から離脱する。ゲートウェイをセキュア状態から離脱させる工程は、いかにしてゲートウェイが再認証されるかに応じて、ゲートウェイを第1の権限状態又は第2の権限状態に置く工程を含んでもよい。工程308-310を、図1のコントローラ106を使用して行ってもよい。
【0047】
第1の権限状態、第2の権限状態、及びセキュア状態において行われ得る動作は、それぞれ図4A、図4B、及び図4Cに関連して以下において説明されている。状態の様々な構成が可能であり得るし、様々なレベルの権限が可能であり得るし、様々な量の動作状態がまた、可能であり得る。様々な能力及びアクセスは、様々な権限状態に対して異なることが可能である。例えば、第1の権限状態は、メンテナンスのための技術者のためのものであることが可能であり、第1の権限状態により、どのデータ生成デバイスがゲートウェイに接続されているか、又はどのデータがゲートウェイによって送信されるかもしくは取り出されることが可能であるかをゲートウェイに通知するゲートウェイの構成/設定を修正するためのアクセス又は能力が可能になる。これにより、技術者が、ゲートウェイとインターフェース又は接続するデータ生成デバイスを追加、取り外し、又は修正することが可能になることが可能である。例えば、第2の権限状態は、オペレータのためのものであることが可能であり、第2の権限状態により、ゲートウェイを起動するためだけの能力が可能になる。これにより、ゲートウェイが、1つ以上のデータ生成デバイスからデータ又は検知情報を受信することと、データ又は検知情報をネットワークに送信することとが可能になる(例えば、工程302及び304に関連して説明されるように)。第2の権限状態では、ゲートウェイにより、どのデータ生成デバイスがゲートウェイに接続されているか、又はどのデータがゲートウェイによって送信されるかもしくは取り出されることが可能であるかをゲートウェイに通知するゲートウェイの構成/設定のアクセス及び/又は修正が許可されない。これにより、ゲートウェイとインターフェース又は接続するデータ生成デバイスを追加、取り外し、又は修正する能力が妨げられる。この例では、第1の権限状態はまた、ゲートウェイを起動する第2の権限状態の能力を有しもする。しかしながら、別の例では、第1の権限状態は、第2の権限状態の能力を有することができないか、又は第2の権限状態の能力のサブセットのみを有することが可能である。各権限状態において利用可能な単一の能力、複数の能力、又は能力の組合せを有する複数の権限状態があることが可能である。1つの状態の能力は、別の状態に対して利用可能でない可能性がある。能力の例は、特定のデータ生成デバイスからデータを得ることと、ゲートウェイ上において特定の動作を実行することと、ゲートウェイの特定の機能をアクティブ化することと、ゲートウェイの特定のファイル又はセクションを読み取るか修正することと、メモリ108の特定の部分にアクセスすることと、ゲートウェイを修正することと、ゲートウェイの特性及び挙動を修正することと、が含まれる。状態の各々の能力は、排他的であるか、特定の状態にあるときにのみ利用可能であるか、別の権限状態を含むことが可能である(例えば、第2の権限状態の能力はまた、第1の権限状態においても利用可能である)。ゲートウェイが特定の状態(例えば、第1の権限状態又は第2の権限状態)に置かれるかどうかは、ユーザがいかにして認証されるかに依存してもよい。例えば、オペレータは、入力されたときにゲートウェイを第2の権限状態に置く特殊キーを有してもよい。技術者は、ゲートウェイを第1の権限状態に置く別の異なるキーを有することが可能である。第1の権限状態であることはまた、デバイスを第2の権限状態に設定するオペレータのキー、及び第1の権限状態に入るための技術者のキーを必要としてもよい。その代わりに、ゲートウェイは、ローカルに認証されるときに第2の権限状態に置かれてもよく、リモートに認証されるときに第1の権限状態に置かれてもよく、また反対に、ローカルに認証されたときに第1の権限状態に置かれてもよく、リモートに認証されたときに第2の権限状態に置かれてもよく、又はローカルに認証されたときとリモートに認証されたときとの両方のときに第1の権限状態に置かれてもよい。認証がどのように行われるかは様々であることが可能である。それらは、バイオメトリック機能、特有のカードもしくはキー、又はコード、証明書、又はパスワード、又は任意の特有のユーザ識別可能機能を有するものなどの物理的方法であり得る。
【0048】
セキュア状態は、検知情報をネットワークに送信するための認可、又はさらにはデータ生成デバイスから検知情報を受信するための認可を与えなくてもよいし、ゲートウェイのメンテナンスを行うための認可を与えなくてもよい。この状態では、攻撃者らが検知情報を遮断、傍受、及び/又は操作することを防止するために、以下のアクションの任意の組合せが取られてもよい。すなわち、1)検知情報の受信の中止(例えば、データ生成デバイスからデータ取込モジュールを分離することによって)と、2)検知情報の送信の中止と、3)ゲートウェイのメモリ(例えば、メモリ108)からの以前に記憶された検知情報の除去と、4)攻撃が進行中であるか又は攻撃が発生したことをオペレータ、接続されているデバイス、又はネットワークに警告する信号の生成と、5)グリッド電力モードからバッテリー電力モードへの遷移(それによって、その電源を危険にさらそうとする試みからゲートウェイを保護する)と、6)全ての情報の削除及び上書きと、7)暗号化された検知情報に関連付けられているキーの無効化と、である。いくつかの実施形態では、データ送信モジュール102は、ネットワークに送信されるべき検知情報を暗号化し、次いで、暗号化された検知情報を送信する。次いで、ネットワークにおいてキーを使用して、検知情報を復号してもよい。いくつかの実施形態では、セキュア状態では、キーは無効化される。その結果、暗号化された情報を復号することができない。
【0049】
【0050】
上述したように、ゲートウェイは、認証情報を受信することに応じて、セキュア状態から離脱する。図5に関連して示されるように、ローカル認証、リモート認証、又はその両方が、セキュア状態からゲートウェイを離脱させるために必要とされ得る。ローカル認証は、例えば、入出力インターフェース114を使用して行われる認証を含んでもよい。一方、リモート認証は、ネットワーク120から受信される(例えば、データ送信モジュール102を介して)認証を含んでもよい。ゲートウェイに対する特定の非セキュア状態に入るために、1つ、組合せ、又は全てが渡されなければならない複数のタイプのローカル認証機構及びリモート認証機構がまた、あることが可能でもある。いくつかの実施形態では、リモート認証とローカル認証との両方のタイプが行われることを要求することは、ゲートウェイのセキュリティをさらに増加させる。
【0051】
いくつかの実施形態では、ゲートウェイは、受信される認証情報のタイプに応じて、上述のように、第1の権限状態又は第2の権限状態に置かれてもよい。例えば、ローカル認証情報を受信することは、第2の権限状態をもたらしてもよいのに対して、リモート認証情報を受信することは、第1の権限状態をもたらしてもよい。その代わりに、リモート認証情報を受信することは、第2の権限状態をもたらしてもよいのに対して、ローカル認証情報を受信することは、第1の権限状態をもたらしてもよい。その代わりに、1つのタイプの認証情報(ローカル又はリモートのいずれか)のみを受信することは、第2の権限状態につながってもよいのに対して、両方のタイプの認証情報を受信することは、第1の権限状態につながってもよい。様々なタイプの権限に相関する追加の認証手段があってもよい。
【0052】
本発明者らは、データインテグリティの損失を防止することが重要であることを認識し理解した。上述のタイプのシステムコントローラ(例えば、生産ライン等の動作のための)では、データの損失又は誤ったデータは、1分あたり数千から数十万ドルを要する可能性があるので、決定がミリ秒から秒レベルにおいて行われる必要がある。これらのデプロイメント環境では、電力サージ、規則に従っていない電圧、停電、温度変動、高湿度、高振動、ネットワーク障害、風化などの問題が、ゲートウェイに収集される検知情報のインテグリティに悪影響を及ぼす可能性がある。頑丈で、信頼性が高く、フェールセーフなゲートウェイの必要性を認識して、本発明者らは、温度変動、風化、湿度、高振動、停電、ネットワーク障害などを経験する過酷な環境にゲートウェイが耐えることを可能にする特別なエンクロージャを開発した。いくつかの実施形態による、そうしたエンクロージャ(130)の一例が、図6Aに示されている。この例では、エンクロージャは、蓋が開くと機械的なトリガが生じるタンパースイッチを備える。上述したように、エンクロージャは、攻撃者らがエンクロージャに対して容易に切断したり穿孔したりすることを防止するために、金属製のバッフルを備えることが可能である。エンクロージャは、耐候性(IP 65,66,67,68等級を含む)であり、タンパーレジスタントねじを備え、ロックと共に保持されることが可能であるラッチを備え、コンクリートなどの物理的支持体上にボルト締め又はねじ留めされていることが可能である。いくつかの実施形態では、デバイスのユーザ及び所有者が、デバイスが改ざんされたかどうかを容易に識別することを可能にするために、タンパーステッカーが、デバイスのエンクロージャ、電子機器、及び表面上、それらの中、又はそれらの周りに配置されることが可能である。
【0053】
エンクロージャはまた、複数の層を含むことも可能である。これらの層は、セラミック、ポリマー、金属、複合材料、ガラス繊維などの様々な材料製であることが可能である。いくつかの実施形態では、タンパースイッチは、各エンクロージャ層のインテグリティを監視し、それによって、攻撃に対するゲートウェイの全体的なロバスト性が増加する。図6Bの例では、第1のエンクロージャ(131)がゲートウェイ100の中核となる電子機器を収容し、第2のエンクロージャ(130)が第1のエンクロージャを取り囲む。1つ以上のタンパースイッチが、各エンクロージャの改ざんを検知する。1つより多いエンクロージャの存在について、ゲートウェイのどの態様がエンクロージャのどの層(1つより多い場合)に囲まれているか、各エンクロージャ(1つより多い場合)の材料、エンクロージャ(1つより多い場合)の数、及びどのように層が構成されるかは、様々であってよい。
【0054】
本明細書では、本発明を具現化するある特定の構造が示され、及び説明されているが、基礎をなす発明概念の趣旨及び範囲から逸脱することなく、部品の様々な修正及び再構成が行われてもよいことと、それが本明細書において示され、及び説明されている特定の形態に限定されないことは、当業者に明らかであり得る。
【0055】
したがって、本出願の技術のいくつかの態様及び実施形態を説明してきたが、当業者にとって、様々な変更、修正、及び改善は容易に想到し得るものであることが理解されるべきである。そうした変更、修正、及び改善は、本出願に記載される技術の趣旨及び範囲内であることが意図される。したがって、前述の実施形態は、例としてのみ提示されていることと、添付の特許請求の範囲及びその均等物の範囲内において、本発明の実施形態は、具体的に説明されているものとは別の方法において実施され得ることとが理解されるべきである。加えて、本明細書に説明される2つ以上の特徴、システム、物品、材料、及び/又は方法の任意の組み合わせは、そうした特徴、システム、物品、材料、及び/又は方法が互いに矛盾しない場合、本開示の範囲内に含まれる。
【0056】
また、説明したように、いくつかの態様は、1つ以上の方法として具現化されてもよい。本方法の一部として行われる動作は、任意の適当な手法において順序付けられてもよい。したがって、実施形態例では連続した動作として示されているが、いくつかの動作を同時に行うことを含み得る、図示されたものとは異なる順序において動作が行われる実施形態が構築されていてもよい。
【0057】
本明細書において定義され、及び使用される全ての定義は、辞書の定義、参照により援用される文献における定義、及び/又は定義された用語の通常の意味にわたって制御するものと理解されるべきである。
【0058】
本明細書及び特許請求の範囲において使用される不定冠詞「1つの(a,an)」は、そうでないことが明確に示されない限り、「1つ以上の(at least one)」を意味すると理解されるべきである。本明細書及び特許請求の範囲において使用される「及び/又は(and/or)」という句は、そのように結合された要素の「いずれか又は両方(either or both)」、すなわち、いくつかの場合には結合して存在しており、他の場合には分離して存在する要素を意味すると理解されるべきである。
【0059】
本明細書及び特許請求の範囲において使用される場合、1つ以上の要素のリストに関連する「1つ以上の」という句は、要素のリストにおける複数の要素のうちの任意の1つ以上から選択された1つ以上の要素を意味するが、要素のリスト内において具体的に列挙されたすべての要素のうちの1つ以上を必ずしも含まず、要素のリストにおける要素の任意の組合せを除外しないことが理解されるべきである。この定義によってまた、「1つ以上の」という句が言及する要素のリスト内において具体的に特定された要素以外の要素が、具体的に特定されたそれらの要素に関連する/しないにかかわらず、随意で存在し得ることが可能になる。
【0060】
「約(approximately,about)」という用語は、いくつかの実施形態では目標値の±20%以内、いくつかの実施形態では目標値の±10%以内、いくつかの実施形態では目標値の±5%以内、さらにいくつかの実施形態では目標値の±2%以内を意味するために使用されてもよい。「約」という用語は、目標値を含んでもよい。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図4C】
【図5】
【図6A】
【図6B】
【国際調査報告】