知財求人 - 知財ポータルサイト「IP Force」
▶ インタートラスト テクノロジーズ コーポレイションの特許一覧
特表2024-543545明示的プライベートネットワーキング技法を使用するデータ管理システム及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-11-21
(54)【発明の名称】明示的プライベートネットワーキング技法を使用するデータ管理システム及び方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20241114BHJP
H04L 9/08 20060101ALI20241114BHJP
G06F 21/60 20130101ALI20241114BHJP
G06F 21/31 20130101ALI20241114BHJP
G06F 21/44 20130101ALI20241114BHJP
H04L 67/12 20220101ALI20241114BHJP
H04L 12/28 20060101ALI20241114BHJP
【FI】
G06F21/62
H04L9/08 B
H04L9/08 E
G06F21/60 320
G06F21/31
G06F21/44
H04L67/12
H04L12/28 500D
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2024530572
(86)(22)【出願日】2022-11-23
(85)【翻訳文提出日】2024-05-22
(86)【国際出願番号】 US2022050896
(87)【国際公開番号】W WO2023096993
(87)【国際公開日】2023-06-01
(31)【優先権主張番号】63/283,099
(32)【優先日】2021-11-24
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】524064955
【氏名又は名称】インタートラスト テクノロジーズ コーポレイション
(74)【代理人】
【識別番号】100103610
【弁理士】
【氏名又は名称】▲吉▼田 和彦
(74)【代理人】
【識別番号】100109070
【弁理士】
【氏名又は名称】須田 洋之
(74)【代理人】
【識別番号】100119013
【弁理士】
【氏名又は名称】山崎 一夫
(74)【代理人】
【識別番号】100067013
【弁理士】
【氏名又は名称】大塚 文昭
(74)【代理人】
【識別番号】100120525
【弁理士】
【氏名又は名称】近藤 直樹
(74)【代理人】
【識別番号】100139712
【弁理士】
【氏名又は名称】那須 威夫
(74)【代理人】
【識別番号】100141553
【弁理士】
【氏名又は名称】鈴木 信彦
(72)【発明者】
【氏名】マハー ディヴィッド
(72)【発明者】
【氏名】シャヴァンヌ ピエール
(72)【発明者】
【氏名】デュラン ジュリアン
(72)【発明者】
【氏名】スウェンソン エリック
(57)【要約】
本開示は、とりわけ、比較的堅牢なエンドツーエンドセキュリティを提供する明示的なプライベートネットワーキング技法を使用して、システム、サービス、及び/又はデバイス間で通信されるデータを管理することに関する。いくつかの実施形態では、明示的なプライベートネットワーキング技法は、悪意のある可能性がある環境において、転送中のデータ及び/又は保存データ及び/又は使用中のデータを保護し得る。様々な実施形態では、明示的なプライベートネットワーキング技法アーキテクチャは、接続デバイスのデータを、データが生成される場所で、生成されたときに、暗号化することによって保護し、識別、認証、並びに/又はそのデータを読み取り、変更し、及び/若しくはそのデータと協働する、及び/若しくはデバイスを制御する、及び/若しくは関連付けられたデバイスコマンドを発行するための許可の認可を行うためにアイデンティティ及びアクセス管理サービスを使用する信頼できる情報プラットフォーム及び/又はサービスにおいてそのデータが消費されるまで、その保護を維持し得る。
【特許請求の範囲】
【請求項1】
プロセッサ及び命令を記憶する非一時的コンピュータ可読記憶媒体を含むクラウドサービスシステムによって実行されるデータを管理するための方法であって、前記命令が、前記プロセッサによって実行されるときに、前記クラウドサービスシステムに前記方法を実行させ、前記方法が、ユーザと関連付けられたアプリケーションから、第1の信頼できるネットワーク接続上で、要求元識別情報、接続デバイス識別情報、及び要求されたデバイスアクションの表示を含む、デバイスコマンドリクエストを受信することと、
アイデンティティ及びアクセス管理サービスに、前記要求元識別情報を含むアクセス認可クエリを発行することと、
前記アイデンティティ及びアクセス管理サービスから、前記アクセス認可クエリに応答した、応答であって、前記要求元識別情報を検証し、前記接続デバイス識別情報に関連付けられた接続デバイスの少なくとも1つのオペレーションを制御することに関連付けられた少なくとも1つの権限を提供する、応答を受信することと、
前記少なくとも1つの権限及び前記要求されたデバイスアクションの前記表示に基づいて、前記要求元識別情報に関連付けられたアカウントが、前記要求されたデバイスアクションを実行することを許可されていることを判断することと、
明示的なプライベートネットワークサービスに、第2の信頼できるネットワーク接続を介して、前記接続デバイス識別情報を含む、第1の明示的なプライベートネットワーク鍵クエリを発行することと、
前記明示的なプライベートネットワークサービスから、前記第1の明示的プライベートネットワーク鍵クエリに応答して、前記接続デバイス識別情報に関連付けられた接続デバイスに関連付けられた第1のセッション鍵を受信することと、
接続デバイスコマンドを生成することであって、前記第1のセッション鍵を使用した少なくとも1つの暗号的オペレーションを実行することを含む、前記接続デバイスコマンドを生成することと、
信頼できないネットワーク接続を介して、前記接続デバイスに前記接続デバイスコマンドを送信することと、を含む、方法。
【請求項2】
要求元識別子が、前記ユーザと関連付けられた識別情報を含む、請求項1に記載の方法。
【請求項3】
要求元識別子が、前記アプリケーションと関連付けられた識別情報を含む、請求項1に記載の方法。
【請求項4】
要求元識別子が、前記アプリケーションを実行するシステムと関連付けられた識別を含む、請求項1に記載の方法。
【請求項5】
要求元識別子が、アクセストークンを含む、請求項1に記載の方法。
【請求項6】
前記要求元識別子が、前記アイデンティティ及びアクセス管理サービスによって、前記アプリケーションを実行するシステムに発行される、請求項5に記載の方法。
【請求項7】
前記第1のセッション鍵が、デバイスセッション鍵を含む、請求項1に記載の方法。
【請求項8】
前記第1のセッション鍵が、グループセッション鍵を含む、請求項1に記載の方法。
【請求項9】
前記接続デバイスが、コンピュータシステム、スマートフォン、タブレットコンピューティングシステム、セキュリティシステム、車両インフォテインメントシステム、ストリーミングメディアデバイス、ゲームデバイス、エンターテインメントシステム、ネットワーク錠、接続されたサーモスタット、接続された炉、接続された空調システム、灌漑システム、水制御システム、ポンプシステム、ユーティリティメータ、ネットワークゲートウェイ、活動センサ、ホームアラーム、接続されたアプライアンス、接続された車両、モバイルコミュニケーションデバイス、風力タービンシステム、ソーラーパネルシステム、産業製造制御システムのうちの1つ以上を含む、請求項1に記載の方法。
【請求項10】
前記暗号的オペレーションが、前記第1のセッション鍵を用いて前記接続デバイスコマンドを暗号化することを含む、請求項1に記載の方法。
【請求項11】
前記暗号的オペレーションが、前記第1のセッション鍵を用いて、前記接続デバイスコマンドの少なくとも一部分に暗号的に署名することを含む、請求項1に記載の方法。
【請求項12】
前記方法が、前記接続デバイスから、信頼できないネットワーク接続を介して、前記接続デバイスが前記要求されたデバイスアクションを実行したことを示すコマンド確認応答を受信することを更に含む、請求項1に記載の方法。
【請求項13】
前記方法が、前記明示的なプライベートネットワークサービスに、前記第2の信頼できるネットワーク接続を介して、前記接続デバイス識別情報を含む第2の明示的なプライベートネットワーク鍵クエリを発行することを更に含む、請求項12に記載の方法。
【請求項14】
前記方法が、前記明示的プライベートネットワークサービスから、前記第2の明示的プライベートネットワーク鍵クエリに応答して、前記接続デバイス識別情報に関連付けられた接続デバイスに関連付けられた第2のセッション鍵を受信することを更に含む、請求項13に記載の方法。
【請求項15】
前記第1のセッション鍵及び前記第2のセッション鍵が、同じセッション鍵である、請求項14に記載の方法。
【請求項16】
前記方法が、前記コマンド確認応答を、前記第2のセッション鍵を使用して検証することを更に含む、請求項15に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願)
本出願は、2021年11月24日に出願され、「DATA MANAGEMENT SYSTEMS AND METHODS USING EXPLICIT PRIVATE NETWORKING TECHNIQUES」と題された米国特許仮出願第63/283,099号に対する、米国特許法第119条(e)に基づく優先権の利益を主張するものであり、その内容は参照によりその全体が本明細書に組み込まれる。
本出願は、2021年11月24日に出願され、「DATA MANAGEMENT SYSTEMS AND METHODS USING EXPLICIT PRIVATE NETWORKING TECHNIQUES」と題された米国特許仮出願第63/283,099号に対する、米国特許法第119条(e)に基づく優先権の利益を主張するものであり、その内容は参照によりその全体が本明細書に組み込まれる。
【0002】
(著作権許諾)
本特許文書の開示の部分には、著作権保護の対象となる資料が含まれている場合がある。著作権者は、米国特許商標庁の特許ファイル又は記録に記載されているように、特許文書又は特許開示のいずれかによるファクシミリ複製には異論はないが、それ以外では、全ての著作権を留保する。
本特許文書の開示の部分には、著作権保護の対象となる資料が含まれている場合がある。著作権者は、米国特許商標庁の特許ファイル又は記録に記載されているように、特許文書又は特許開示のいずれかによるファクシミリ複製には異論はないが、それ以外では、全ての著作権を留保する。
【発明の概要】
【0003】
本開示は、概して、システム、サービス、及び/又はデバイスの間で通信されるデータを管理するためのシステム及び方法に関する。より具体的には、排他的ではないが、本開示は、比較的堅牢なエンドツーエンドセキュリティを提供する明示的なプライベートネットワーキング技法を使用して、システム、サービス、及び/又はデバイス間で通信されるデータを管理することに関する。
【0004】
インターネットに接続されるセンサ及びアクチュエータベースのシステム及び/又はデバイスの数が増加するにつれて、それらに関連するセキュリティ課題も増加している。そのようなシステム及び/又はデバイスは、概して、ある特定の事例では、接続デバイス及び/又は「モノ」と呼ばれることがあり、他のシステム、デバイス、及び/又はサービスと通信可能に接続されると、モノのインターネット(Internet-of-things、「IoT」)の一部となる。接続デバイスの急増により、ワイドエリアネットワーク、近隣エリアネットワーク、ローカルエリアネットワーク、及び/又はパーソナルエリアネットワーク用のプロトコルの開発が進み、これらのプロトコルは主に、接続デバイスのセキュリティに関連する課題に対処するために設計及び実装されている。
【0005】
多くの接続デバイスは、比較的小型で、低消費電力に設計されており、比較的安価なハードウェアを利用している。これらの考慮はまた、そのようなデバイスに関連するネットワークパラメータにも影響を及ぼす。このため、多くの接続デバイスでは、計算及び/又はデータスループット要件が比較的低い(例えば、一部のデバイスを、断続的なネットワーク接続性しかなくても、展開することを可能にする)。
【0006】
接続デバイスは、「セキュア」であることを意図し得るが、そのセキュリティという概念は、コスト並びに/又は電力消費及びバッテリ寿命の最小化に対して後回しにされることが多い。接続されるモノは、高度に分散し、非集中的になり、及び/又は物理的に攻撃者が利用可能になる傾向があり、単純な非ミッションクリティカルなアプリケーションであっても大きい攻撃面を作り出しているため、セキュリティ課題は更に悪化している。消費者向けIoTデバイスの場合、別の問題は、多くの製造業者が、デバイスに有効なセキュリティを組み込むための意欲又は能力を有していない場合があることである。この敷居の低さが攻撃者にとっての機会の増加につながり、攻撃コストが低いほど攻撃の可能性が高くなり得る。
【0007】
多くのIoTデバイス及びシステムは、石油及びガスパイプライン、配電網、半自律車両、並びに建物システムなどのミッションクリティカルなリアルタイムシステムを管理する。それらが導入する効率性のために、これらの「業務用」IoTシステムは急増しており、それらは増え続けるサイバー攻撃の標的になっている。しかしながら、今日のIoTで使用されるプロトコルの多くは、全く今日の脅威モデルを考慮して設計されていない。このモデルは、現在、サイバー戦争を行う国家攻撃者、及び侵略国家の保護の下で働く充分な資金があり技術的に熟練した犯罪ギャングを含む。
【0008】
IoT空間におけるいくつかの事例では、堅牢な内在のセキュリティを有しないネットワークプロトコルが使われている可能性がある。更に、そのようなプロトコルを実装するハードウェアは、ハードウェア保護能力が限られているか、全くない可能性がある。例えば、車両内のコントローラエリアネットワーク(「controller area network、CAN」)バスは、コンポーネント通信及び/又は認証のためのアイデンティティの概念を実装しない場合があり、攻撃下にある危殆化された車両インフォテインメントシステムが、より重要な接続システム(例えば、ブレーキシステム)に命令を発行し得ることを可能にする。ユーティリティのミッションクリティカルなバックボーンを形成する多くの監視制御データ収集(「Supervisory Control and Data Acquisition、SCADA」)システムは、Modbus通信プロトコルを使用することができる。しかしながら、Modbusは、従来、堅牢な認証能力を実装していない。
【0009】
送電網は、おそらく世界で最大の機械の1つであるが、しかしながら、それはまた、最も脆弱なものの1つであり得る。階層的に制御されるシステムから、正確でほぼ瞬時の需給同期が可能なハイパーコネクテッドでサイバーフィジカルなマーケット主導型システムに移行するには、セキュアなシステム設計に厳密な注意を払う必要がある。大規模なスマートグリッドの恩恵は、多くのリソースが、オンラインになったときに、安全、最適、かつ迅速に利用でき、悪意のあるアクターに関連するリスクから守られることが可能であり得る、本当にセキュアで、信頼でき、かつ非集中型のIoTデバイス用のインフラができるまで、十分に実現されない危険性がある。
【0010】
IoT内の接続デバイスのセキュリティを確保することは、例えば、限定するものではないが、限られたセキュアなハードウェア及び/又はソフトウェアリソース(例えば、セキュアエンクレーブ)しか有しない可能性がある比較的安価なハードウェア、持続性が低く断続的にしか接続しない接続デバイス、広く分散し得及び/若しくはより物理的にアクセス可能であり得、それによって大きいアタックサーフェスを生み出すデバイス、複数のネットワークトポロジ及び/若しくはネットワークの利用、デバイスのデータが、クラウドベースのIoT管理システム及び/若しくはサービスによって受信される前に、中継器(head end)で収集され、その後プロバイダのネットワークを介して通信されるメッシュベースのエッジネットワーク、並びに/又は比較的複雑な技術的及び/若しくは管理的な運用及び/若しくは情報技術的な相違を橋渡しする断片化されたネットワーク、を含む無数の課題及び/又はセキュリティ制約を提示する。
【0011】
開示されるシステム及び方法の実施形態によって、接続デバイス、システム、及び/又は関連サービスの間でのデータのセキュアな管理及び/又は通信が可能になる。いくつかの実装形態では、開示されるシステム及び方法の実施形態は、本明細書で説明されるように、IoTネットワーク及び接続デバイスに関連する様々なセキュリティの懸念及び/又は課題を改善することができる。
【0012】
様々な開示される実施形態と一貫して、システム、サービス、及び/又はデバイスの間で通信されるデータは、比較的堅牢なエンドツーエンドセキュリティを提供する、明示的プライベートネットワーキング技法(「explicit private networking techniques、EPN」)を使用して管理され得る。本明細書で開示される実施形態と一貫するEPN技法は、多対多関係を含む可能性があるアーキテクチャにおいてセキュア暗号鍵確立プロトコルを使用することができる。いくつかの実施形態では、EPN技法によって、悪意のある可能性がある環境において、転送中の(in transit)データ及び/又は保存(at rest)データ及び/又は使用中の(in use)データを保護することができる。更なる実施形態では、EPN技法を使用して保護されたデータは、信頼された処理環境及び/又はさもなければ保護された処理環境において、暗号化及び/又は復号することができる。本明細書で説明されるセキュリティインフラの様々な実施形態は、例えば、限定するものではないが、ネットワーク独立EPN、高度属性ベースID管理、及び/又はデータ及び制御の認証及び認可メカニズムを使用して、信頼でき、流動的で、レイテンシが低く、及び/又は自動化された市場メカニズムを可能にすることができる。
【0013】
ある特定の実施形態では、IoTデバイスは、デジタルツインとペアリングすることで、動作中のデバイスがシンプルで、集中し、及び/又は応答し続けることができる。いくつかの実施形態では、それらのデジタルツインは、異常及び脅威を検出及び共有する人工知能メカニズムを採用し、デバイスセキュリティを継続的にアップグレードし、及び/又は自己回復戦略を採用してもよい。更なる実施形態では、デジタルツインを使用して、許可されたユーザが、関連付けられたIoTデバイスからのデータにアクセス及び/又は操作することを可能にする一方で、関連付けられたデバイスをファイアウォールの背後に保ち、それによって直接アクセスすることができないようにすることができる。これにより、よりセキュアでないデバイスが、ユーザ及び/又は悪意のある可能性があるアクターから直接アクセスされることなく、EPNを介してEPNサービス及び関連付けられたデジタルツインと通信することを可能にすることができる。
【0014】
開示されるシステム及び方法の様々な実施形態はまた、デバイス、サービス、データフィード、及び/又はソフトウェアコンポーネントの属性を認証する、応答性があり分散型で信頼できる管理インフラストラクチャを備える、及び/又はさもなければ交信してもよい。ユーザは、IoTデバイスからのデータにアクセス及び/又は操作し得て、本明細書に開示されるある特定実施形態は、そのようなユーザを認証すること、及びEPNエコシステム内のアクター(例えば、ユーザ及び/又はプログラム)の間の交信の堅牢なアクセス制御を実装することを可能にすることができる。本開示の実施形態は、デバイス及び/又はサービスの供給者からの参加を可能にすることができる相互運用可能なインフラストラクチャを更に説明する。
本発明の一連の作業は、添付の図面と併せて次の詳細な説明を参照することによって容易に理解される。
本発明の一連の作業は、添付の図面と併せて次の詳細な説明を参照することによって容易に理解される。
【図面の簡単な説明】
【0015】
【図1】本明細書で開示されるある特定の実施形態と一貫性のあるデータ管理エコシステム内のデータの様々なソース及び宛先の非限定的な例を示す概念図を例解する。
【図2】本明細書で開示されるある特定の実施形態と一貫性のある明示的なプライベートネットワークシステムのアーキテクチャの非限定的な例を例解する。
【図3】本明細書で開示されるある特定の実施形態と一貫性のある明示的なプライベートネットワークエコシステムの非限定的な例の図を例解する。
【図4】本明細書で開示されるある特定の実施形態と一貫性のある明示的なプライベートネットワークエコシステムにおいて、接続デバイスを管理するための方法の非限定的な例のフロー図を例解する。
【図5】本開示のシステム及び方法のある特定の実施形態を実装するために使うことができるシステムの例を例解する。
【発明を実施するための形態】
【0016】
本明細書では、本開示の実施形態と一貫性のあるシステム及び方法の説明が提供される。いくつかの実施形態が説明されているが、本開示はいずれか1つの実施形態に限定されず、その代わりに多数の代替物、改変物、及び均等物を包含することを理解されたい。加えて、多数の具体的な詳細は、本明細書に開示された実施形態の完全な理解を提供するために、以下の説明に記載されているが、いくつかの実施形態は、これらの詳細の一部又は全てを伴わずに実践することができる。更に、明瞭化のために、関連技術において既知である、ある特定の技術的資料は、開示を不必要に不明瞭にすることを避けるために詳細には説明されていない。
【0017】
本開示の実施形態は、ある特定の図面を参照することによって理解され得る。開示される実施形態のコンポーネントは、本明細書の図において概して説明及び/又は例解されているように、多種多様な構成で配置及び設計され得る。したがって、本開示のシステム及び方法の実施形態の次の説明は、本開示の範囲を限定するものではなく、本開示の可能な実施形態の単なる代表例である。加えて、本明細書に開示された任意の方法の工程は、別途指定しない限り、必ずしも任意の具体的な順序で実行される必要はなく、逐次的に実行される必要もなく、工程が1回だけ実行される必要もない。
【0018】
現代のIoTシステムの信頼性及び/又は有用性は、生成及び消費されるデータが高度に信頼できることに、少なくともある程度は、依存し得る。IoTデータを保護する従来のある特定の方法とは異なり、開示されるシステム及び方法のある特定の実施形態と一貫性のあるEPN技法は、データ生成から消費まで、そして再び元に戻るまで、データの完全性、認証、及び/又は機密性を提供することができる。いくつかの従来のIoTシステム保護メカニズムは、ZigbeeメッシュフィールドエリアネットワークからWIFI、Bluetoothまで、ネットワークベースのリンク保護の使用を含み得るが、ネットワークベースのリンク保護は、通常、非セキュアに展開され、リンクの保護のみを提供することができるが、データのライフサイクルを通したデータの保護は必ずしも提供しない場合がある。トランスポート層セキュリティ(「Transport Layer Security、TLS」)及び仮想プライベートネットワーク(「Virtual Private Network、VPN」)は、いくらか良好であり得るが、転送中のデータしか保護することができず、保存データは保護することができない。ある特定の実装形態では、様々な開示される実施形態と一貫性のあるEPN技法は、可能性として、従来のデジタル署名、認証(例えば、X.509証明書検証)、及び/又は機密性を提供する際に使用される公開鍵暗号技法において使用される非対称暗号システムの性能ペナルティなしに、真のエンドツーエンド保護を提供することができる。いくつかの実装形態では、短寿命対称鍵を使用する技術を使用することができる。
【0019】
EPN技法を実装する開示されるシステム及び方法の実施形態は、従来のソリューションに関連する様々なデータ管理の問題及び/又は懸念に対処するのに役立ち得る。EPN技法は、例えば、限定するものではないが、以下を含み得る:
■データの悪意のある及び/又は偶発的な変更及び/又は成りすましを低減する。
■従来のIoTネットワーキングプロトコル(例えば、デバイスを認証及び/又は識別する機能がないModBus及び/若しくはCANバス、並びに/又はセキュリティ機能が制限されているZWAVE及び/若しくはZigbee)と比べて、データのセキュリティを向上させる。
■「パイプ」の特定の部分のみを考慮するプロトコルと比較して、より良好なエンドツーエンド保護を提供する。
■情報技術/運用技術の融合の課題に対処する。異なるベンダからの多くのデバイスを有する広範囲のフィールドエリアネットワークから横断するデータは、非常に複雑なデータ管理問題を提起し、データの真正性及び/又は完全性を信頼することは、異種混合環境において困難である。本明細書で開示される実施形態は、この複雑さにわたって共通の信頼の根源を提供し、概念的な「一枚のガラス板」の下で断片化された信頼システムの管理を可能にすることができる。
■データの悪意のある及び/又は偶発的な変更及び/又は成りすましを低減する。
■従来のIoTネットワーキングプロトコル(例えば、デバイスを認証及び/又は識別する機能がないModBus及び/若しくはCANバス、並びに/又はセキュリティ機能が制限されているZWAVE及び/若しくはZigbee)と比べて、データのセキュリティを向上させる。
■「パイプ」の特定の部分のみを考慮するプロトコルと比較して、より良好なエンドツーエンド保護を提供する。
■情報技術/運用技術の融合の課題に対処する。異なるベンダからの多くのデバイスを有する広範囲のフィールドエリアネットワークから横断するデータは、非常に複雑なデータ管理問題を提起し、データの真正性及び/又は完全性を信頼することは、異種混合環境において困難である。本明細書で開示される実施形態は、この複雑さにわたって共通の信頼の根源を提供し、概念的な「一枚のガラス板」の下で断片化された信頼システムの管理を可能にすることができる。
【0020】
開示されるシステム及び方法の実施形態は、EPN技法を使用して、接続デバイス、クラウド、並びに/又は他のデバイス、システム、及び/若しくはサービスに、そこから、及び/又はそれらの間で通信されるときに、データが保護されることを確実にするためのメカニズムを提供することができる。本明細書に開示される実施形態と一貫性のあるEPN技法は、IoTデータを、データが生成される場所で生成されたときに暗号化することによって保護し、識別、認証、並びに/又はそのデータを読み取り、変更し、及び/若しくはそれと協働するための許可を認可するためにアイデンティティ及びアクセス管理(「identity and access management、IAM」)サービスを使用する信頼できる情報プラットフォーム及び/又はサービスにおいてそのデータが消費されるまで、その保護を維持することができる。いくつかの実施形態では、許可はまた、とりわけ、適用可能なルール及び/又はポリシーに基づいてそのデータの可能なフィルタリングを行って、どのデータ及び/又はコマンドがデバイスに送信してもよいかを決定するため、どのデータがデバイスから読み取ってもよいかを決定するため、及び/又はそのようなデータ及び/コマンドを信頼できる方法で通信するのに使用される秘密情報へのアクセスを制限するためなどに採用することができる。
【0021】
明示的プライベートネットワークの概要
接続デバイスは、データを生成し(例えば、1つ以上の関連付けられたセンサを介して)、及び/又は様々なコンテキスト、アプリケーション、及び/又はユースケースにおいてデータソースとして動作することができる。接続デバイスは更に、他のデバイス、システム、及び/又はサービスを制御、かつ/又は別様に命令して、ある特定のアクションを行うアクチュエータとして動作することができる。例えば、限定するものではないが、接続デバイスは、送電網に関連するピーク需要の情報に応答して、ある特定の場合には、大きな電気負荷(例えば、空調ユニット)をオフにすることができる。
接続デバイスは、データを生成し(例えば、1つ以上の関連付けられたセンサを介して)、及び/又は様々なコンテキスト、アプリケーション、及び/又はユースケースにおいてデータソースとして動作することができる。接続デバイスは更に、他のデバイス、システム、及び/又はサービスを制御、かつ/又は別様に命令して、ある特定のアクションを行うアクチュエータとして動作することができる。例えば、限定するものではないが、接続デバイスは、送電網に関連するピーク需要の情報に応答して、ある特定の場合には、大きな電気負荷(例えば、空調ユニット)をオフにすることができる。
【0022】
接続デバイスネットワークに関連して信頼、プライバシー、安全性、及び/又はセキュリティ(trust, privacy, safety, and/or security、「TPSS」)を維持するために、本明細書で開示される様々な実施形態は、ネットワークエッジ及び/又はクラウド上に位置し得る信頼されたエンドポイントを活用することができる。本明細書で開示される実施形態と一貫して、EPN技法は、データが信頼できるエンドポイント間の1つ以上の信頼できないゲートウェイ及び/又はネットワークを通過する際にデータを保護するために使用することができる。この信頼は、データがデータネットワーク上を移動してクラウドに到達する際に、データを保護するために活用することができる。
【0023】
本明細書で説明される様々な例及び/又は実施形態において、ある特定のネットワーク接続並びに/又は中間ゲートウェイ、システム、デバイス、及び/若しくはサービス並びに/又はエンドポイントは、「信頼できる」及び/又は「信頼できない」と説明することができる。しかしながら、そのような信頼は相対的で、信頼は特定のエンドポイントの観点から考慮され得ることが理解されよう。例えば、ネットワーク接続及び/又はゲートウェイは、ある特定のネットワーク及び/又はセキュリティ保護を有してもよいが、ネットワーク接続及び/又はゲートウェイを介してデータを発信及び/又は受信するエンドポイントの観点からは、ネットワーク接続及び/又はゲートウェイは必ずしも信頼できなくてもよい。同様に、エンドポイント発信データは、ネットワーク接続及び/又は関連付けられた中間サービスを信頼し得るが、受信エンドポイントは、この信頼を共有しない場合がある。そのため、信頼が両方のエンドポイントで共有されていないため、1つのエンドポイントがネットワーク接続を「信頼できる」とみなしているにも関わらず、そのネットワーク接続は「信頼できない」とみなされることもある。
【0024】
更に、ネットワーク接続並びに/又は関連付けられた中間ゲートウェイ、システム、デバイス、及び/若しくはサービスにおける信頼は、ネットワーク接続上で、並びに/又は中間ゲートウェイ、システム、デバイス、及び/若しくはサービスを介して通信されるデータ及び/若しくはオペレーションのタイプ、並びに/又は他のコンテキスト情報に、少なくとも部分的には依存する場合があることが理解されよう。例えば、エンドポイントは、セキュリティの意味合いが比較的低いデータに関してはネットワーク接続を信頼してもよいが、そのような信頼は、より高いセキュリティ要求を有するある特定の他のデータ(例えば、デバイス作動コマンド)には拡張できない場合がある。このように、ネットワーク接続及び/又はゲートウェイにおける信頼は、接続を介して通信されているデータのタイプ及び/又は他のコンテキスト考慮事項に、少なくとも部分的には、依存することがある。上記を考慮して、「信頼できる」及び/又は「信頼できない」という用語は、エンドポイントが、可能性として通信中の特定のタイプのデータ及び/又は様々な他のコンテキスト情報を考慮して、ネットワーク接続及び/又は関連付けられた中間ゲートウェイ、システム、デバイス、及び/又はサービスを信頼するかどうかを説明するために使用され得ることが理解されよう。
【0025】
開示されるシステム及び方法の実施形態と一貫して、EPN技法は、例えば、限定するものではないが、以下のうちの1つ以上を含む、いくつかの設計考慮事項に対処することができる。
■ユーザ中心システムプロパティ。EPNエコシステムが増殖及び成長するにつれて、それらの複雑性が増加することがある。様々な接続デバイス及び/又は関連システム及び/又はサービスに関連付けられたTPSSプロパティは、ユーザレビュー、交信、及び/又は検証を可能にするシステムレベル属性として動作することができる。ある特定の実施形態では、拡張インテリジェンスを使用して、EPNエコシステムを大規模に管理することができる。
■系統的な成長。ある特定の実施形態では、EPNエコシステムは、比較的急速な進化及び成長に適応することができる。新しいエンティティ(例えば、接続デバイス)に依存する既存のエンティティが、新しいエンティティを追加することのTPSS的な意味合いを理解することを確実にしながら、新しいエンティティをネットワークに追加することができる。
■メンテナンス。様々な実施形態では、EPNエコシステム及び/若しくはその態様並びに/又は障害に対する変更は、比較的迅速に識別することができ、迅速かつ信頼できる保守、更新、及び/又は適応を可能にする。
■シンプルさ及び比較的低いオーバーヘッド。上述したように、EPNエコシステムに参加するある特定の接続デバイスは、比較的低機能のデバイスであってもよい。信頼管理の有効性を改善するために、信頼は、TPSS的な考慮事項を実施する能力を向上させたデバイス及び/又はエンティティに委任及び/又はさもなければ分散することができる。
■レガシーエンティティのサポート。いくつかの状況では、ある特定の接続デバイスは、EPNエコシステムに参加し、TPSS考慮事項を実施するために適応することができるレガシープロパティを有してもよい。本明細書で開示される実施形態と一貫性のあるEPNエコシステムの様々な実施形態は、レガシーエンティティをサポートするように適合することができる。
■性能、柔軟性、及び/又は規模。本明細書で開示される実施形態は、関連するデバイス、システム、及び/若しくはサービスの性能並びに/又はEPNエコシステムを成長させる能力に著しく影響を及ぼすことなく、EPNを実装し、TPSSを支援することができる。
■相互運用性。様々な実施形態では、異なるエンティティが、EPNエコシステムに寄与すること、及び/又はEPNエコシステムの一部になることを可能にすることができ、参加するために比較的最小の、及び/又はさもなければ簡単な適応と建設的に相互作用することができる。
■ユーザ中心システムプロパティ。EPNエコシステムが増殖及び成長するにつれて、それらの複雑性が増加することがある。様々な接続デバイス及び/又は関連システム及び/又はサービスに関連付けられたTPSSプロパティは、ユーザレビュー、交信、及び/又は検証を可能にするシステムレベル属性として動作することができる。ある特定の実施形態では、拡張インテリジェンスを使用して、EPNエコシステムを大規模に管理することができる。
■系統的な成長。ある特定の実施形態では、EPNエコシステムは、比較的急速な進化及び成長に適応することができる。新しいエンティティ(例えば、接続デバイス)に依存する既存のエンティティが、新しいエンティティを追加することのTPSS的な意味合いを理解することを確実にしながら、新しいエンティティをネットワークに追加することができる。
■メンテナンス。様々な実施形態では、EPNエコシステム及び/若しくはその態様並びに/又は障害に対する変更は、比較的迅速に識別することができ、迅速かつ信頼できる保守、更新、及び/又は適応を可能にする。
■シンプルさ及び比較的低いオーバーヘッド。上述したように、EPNエコシステムに参加するある特定の接続デバイスは、比較的低機能のデバイスであってもよい。信頼管理の有効性を改善するために、信頼は、TPSS的な考慮事項を実施する能力を向上させたデバイス及び/又はエンティティに委任及び/又はさもなければ分散することができる。
■レガシーエンティティのサポート。いくつかの状況では、ある特定の接続デバイスは、EPNエコシステムに参加し、TPSS考慮事項を実施するために適応することができるレガシープロパティを有してもよい。本明細書で開示される実施形態と一貫性のあるEPNエコシステムの様々な実施形態は、レガシーエンティティをサポートするように適合することができる。
■性能、柔軟性、及び/又は規模。本明細書で開示される実施形態は、関連するデバイス、システム、及び/若しくはサービスの性能並びに/又はEPNエコシステムを成長させる能力に著しく影響を及ぼすことなく、EPNを実装し、TPSSを支援することができる。
■相互運用性。様々な実施形態では、異なるエンティティが、EPNエコシステムに寄与すること、及び/又はEPNエコシステムの一部になることを可能にすることができ、参加するために比較的最小の、及び/又はさもなければ簡単な適応と建設的に相互作用することができる。
【0026】
明示的プライベートネットワーク実装概念及びエンティティ
開示されたシステム及び方法の様々な実施形態は、様々なポリシー、データ、モデル、アクション、及び/又はエンティティを含み、かつ/又はさもなければ関与することができる。例えば、限定するものではないが、EPNエコシステムは、以下の実装概念、ポリシー、データタイプ、モデル、アクション、及び/又はエンティティのうちの1つ以上を含み、及び/又はさもなければ関与することができる。
■ポリシー。ポリシーは、TPSS的な決定に関連するエンティティの挙動、許可、及び/又は動作権限に関する決定を促し得る一連のルールを表すことができる。
■制御アクション。制御アクションは、接続デバイスに、アクションを行わせる、及び/又はさもなければ「何かを行う」ことをさせる、ことができるアクションを表すことができる。これは、例えば、限定するものではないが、データ及び/又はリソースへのアクセスを許可することを含むことができる。
■内部データ。内部データは、例えば、限定するものではないが、現在の状態、過去の状態、将来の状態、並びに/又は接続デバイス及び/若しくはモノに関する他の事実情報を含む、デバイス状態情報を含んでもよい。
■外部データ。外部データは、1つ以上の関連付けられたセンサシステムを使用して、接続デバイスによって取得、及び/又はさもなければ生成された、データを含み得る。いくつかの実施形態では、外部データは、接続デバイスに近接する環境に関するデータを含んでもよい。
■信頼モデル。本明細書に開示される実施形態と一貫して、信頼モデルは、エコシステム内の異なるエンティティ及び/又はコンポーネントが、動作する、かつ/若しくはアクションを認可するために、並びに/又はある特定のコンテキストにおいて特定の属性及び/若しくは機能を保持するために、どのように互いに依存するかについての正式な説明を提供することができる。いくつかの実施形態では、信頼モデルは委任を含むことができ、それによってエンティティは他に権限を供与及び/又は譲渡することができる。
■デバイス製造業者。デバイス製造業者は、接続デバイスを製造することができる。いくつかの実施形態では、接続デバイスは、デフォルト及び/若しくは初期ポリシー、設定値、並びに/又は他の設定を含み得る「工場出荷時設定」で出荷されてもよい。
■デバイス所有者。デバイス所有者は、デバイスを制御する、及び/又はデバイスのリソースへのアクセスを管理するためにルートポリシーを確立することができる。いくつかの実施形態では、ルートポリシーを、デバイスの参照モニタに関連して使用してもよい。
■委任。委任は、リソースへのアクセスに関する決定を行う権限を別のエンティティから委任されたエンティティを含むことができる。
■コントローラ。コントローラは、別の接続デバイスのアクションを制御することができる接続デバイスを含むことができる。ユーザ及び/又はプログラム及び/又は関連するシステムは、更にコントローラとして動作してもよい。
■セキュリティアソシエーション。セキュリティアソシエーションは、接続デバイス、ユーザ、及び/又はプログラムの間のアクセス許可を定義することができる。例えば、限定するものではないが、所与の接続デバイスにおいて、セキュリティアソシエーションは、所与の接続デバイスが提供するリソースへのアクセスを有することを条件付きで許可され得る他のエンティティをリストするテーブル内のエントリを含むことができる。いくつかの実施形態では、エントリは、エンティティID、関連する暗号パラメータ、1つ以上の明示的な許可、並びに/又はポリシー評価器がデバイスの状態及び/若しくはデバイス属性を参照して許可を決定するために使用され得る他の属性をリストすることができる。
■参照モニタ。参照モニタは、要求で指定されたリソース、システム状態、要求元のID、及び/又はシステムと要求元との間のセキュリティアソシエーションを参照することができるポリシーを適用することによって、アクション要求をフィルタリングし、かつ/又は、それらの要求にどのように応答するかを決定するシステムの一部であってもよい。いくつかの実施形態では、要求は、関連付けられたセキュリティアソシエーション内にリストされている暗号パラメータを使用した認証の対象となり得る。許可される場合、要求への応答は、セキュリティアソシエーション内にリストされた暗号パラメータを使用して保護され得る。
■デジタルツイン。デジタルツインは、物理的に接続されたデバイス及び/又はシステムの仮想的なデジタルコピー及び/又は表現を含むことができる。いくつかの実施形態では、仮想ツインは、対応する物理デバイス及び/又はシステムと比べて、追加で利用可能なリソースを有してもよい。デジタルツインは、クラウドサービス及び/又は別のサービスポイント(例えば、ゲートウェイ)によって保存及び/又は別様に管理されてもよい。少なくとも1つの非限定的な例では、これにより、デジタルツインは、関連付けられたデバイス及び/又はシステムのプロキシとして機能することを可能にし得るが、追加のセキュリティリソースを使用して、デバイス及び/若しくはシステムを危害から隔離し、並びに/又はデバイス及び/若しくはシステムを悪意のあるアクターからより良く保護することができる。いくつかの実施形態では、これは、特に、レイテンシが低いことを必要としないアプリケーション、コンテキスト、及び/又はユースケースに関連して、接続デバイスが、対応するデジタルツインとの高度なセキュアな関連付けを持つことを可能にすることができ、参照モニタの負担の多くをデジタルツインに負わせることを可能にする。
開示されたシステム及び方法の様々な実施形態は、様々なポリシー、データ、モデル、アクション、及び/又はエンティティを含み、かつ/又はさもなければ関与することができる。例えば、限定するものではないが、EPNエコシステムは、以下の実装概念、ポリシー、データタイプ、モデル、アクション、及び/又はエンティティのうちの1つ以上を含み、及び/又はさもなければ関与することができる。
■ポリシー。ポリシーは、TPSS的な決定に関連するエンティティの挙動、許可、及び/又は動作権限に関する決定を促し得る一連のルールを表すことができる。
■制御アクション。制御アクションは、接続デバイスに、アクションを行わせる、及び/又はさもなければ「何かを行う」ことをさせる、ことができるアクションを表すことができる。これは、例えば、限定するものではないが、データ及び/又はリソースへのアクセスを許可することを含むことができる。
■内部データ。内部データは、例えば、限定するものではないが、現在の状態、過去の状態、将来の状態、並びに/又は接続デバイス及び/若しくはモノに関する他の事実情報を含む、デバイス状態情報を含んでもよい。
■外部データ。外部データは、1つ以上の関連付けられたセンサシステムを使用して、接続デバイスによって取得、及び/又はさもなければ生成された、データを含み得る。いくつかの実施形態では、外部データは、接続デバイスに近接する環境に関するデータを含んでもよい。
■信頼モデル。本明細書に開示される実施形態と一貫して、信頼モデルは、エコシステム内の異なるエンティティ及び/又はコンポーネントが、動作する、かつ/若しくはアクションを認可するために、並びに/又はある特定のコンテキストにおいて特定の属性及び/若しくは機能を保持するために、どのように互いに依存するかについての正式な説明を提供することができる。いくつかの実施形態では、信頼モデルは委任を含むことができ、それによってエンティティは他に権限を供与及び/又は譲渡することができる。
■デバイス製造業者。デバイス製造業者は、接続デバイスを製造することができる。いくつかの実施形態では、接続デバイスは、デフォルト及び/若しくは初期ポリシー、設定値、並びに/又は他の設定を含み得る「工場出荷時設定」で出荷されてもよい。
■デバイス所有者。デバイス所有者は、デバイスを制御する、及び/又はデバイスのリソースへのアクセスを管理するためにルートポリシーを確立することができる。いくつかの実施形態では、ルートポリシーを、デバイスの参照モニタに関連して使用してもよい。
■委任。委任は、リソースへのアクセスに関する決定を行う権限を別のエンティティから委任されたエンティティを含むことができる。
■コントローラ。コントローラは、別の接続デバイスのアクションを制御することができる接続デバイスを含むことができる。ユーザ及び/又はプログラム及び/又は関連するシステムは、更にコントローラとして動作してもよい。
■セキュリティアソシエーション。セキュリティアソシエーションは、接続デバイス、ユーザ、及び/又はプログラムの間のアクセス許可を定義することができる。例えば、限定するものではないが、所与の接続デバイスにおいて、セキュリティアソシエーションは、所与の接続デバイスが提供するリソースへのアクセスを有することを条件付きで許可され得る他のエンティティをリストするテーブル内のエントリを含むことができる。いくつかの実施形態では、エントリは、エンティティID、関連する暗号パラメータ、1つ以上の明示的な許可、並びに/又はポリシー評価器がデバイスの状態及び/若しくはデバイス属性を参照して許可を決定するために使用され得る他の属性をリストすることができる。
■参照モニタ。参照モニタは、要求で指定されたリソース、システム状態、要求元のID、及び/又はシステムと要求元との間のセキュリティアソシエーションを参照することができるポリシーを適用することによって、アクション要求をフィルタリングし、かつ/又は、それらの要求にどのように応答するかを決定するシステムの一部であってもよい。いくつかの実施形態では、要求は、関連付けられたセキュリティアソシエーション内にリストされている暗号パラメータを使用した認証の対象となり得る。許可される場合、要求への応答は、セキュリティアソシエーション内にリストされた暗号パラメータを使用して保護され得る。
■デジタルツイン。デジタルツインは、物理的に接続されたデバイス及び/又はシステムの仮想的なデジタルコピー及び/又は表現を含むことができる。いくつかの実施形態では、仮想ツインは、対応する物理デバイス及び/又はシステムと比べて、追加で利用可能なリソースを有してもよい。デジタルツインは、クラウドサービス及び/又は別のサービスポイント(例えば、ゲートウェイ)によって保存及び/又は別様に管理されてもよい。少なくとも1つの非限定的な例では、これにより、デジタルツインは、関連付けられたデバイス及び/又はシステムのプロキシとして機能することを可能にし得るが、追加のセキュリティリソースを使用して、デバイス及び/若しくはシステムを危害から隔離し、並びに/又はデバイス及び/若しくはシステムを悪意のあるアクターからより良く保護することができる。いくつかの実施形態では、これは、特に、レイテンシが低いことを必要としないアプリケーション、コンテキスト、及び/又はユースケースに関連して、接続デバイスが、対応するデジタルツインとの高度なセキュアな関連付けを持つことを可能にすることができ、参照モニタの負担の多くをデジタルツインに負わせることを可能にする。
【0027】
開示されたシステム及び方法に関連する様々なエンティティ(例えば、接続デバイス、ユーザ、プログラム、並びに/又は関連システム及び/若しくはサービス)は、ある特定のコンテキストでは、概念的にソース及び/又は宛先とみなすことができる。例えば、限定するものではないが、接続デバイスが、データ(例えば、接続デバイスの1つ以上のセンサシステムによって生成されたデータ)のソースであってもよく、接続デバイスに関連付けられたクラウドサービスが、データの宛先であってもよい。コンテキストに応じて、デバイス、システム、及び/又はサービスは、データのソースとしても、1つ以上の他のデバイス、システム、及び/又はサービスによって発行されたデータの宛先としても動作し得ることが理解されよう。
【0028】
更に、本明細書のある特定の例ではデータの「ソース」及び/又は「宛先」として一般的に説明されているが、そのようなデータはコマンド及び/又はアクションを含んでもよいことが理解されよう。したがって、ソースデバイス、システム、及び/又はサービスは、アクチュエータとして機能し、及び/又は別様に動作し、受信したコマンドの指示に従って、コンテキストに応じてある特定のアクションを行い得る、1つ以上の宛先デバイス、システム、及び/又はサービスにコマンドを発行することができる。コンテキストに応じて、デバイス、システム、及び/又はサービスは、他のデバイス、システム、及び/又はサービスのアクチュエータとして動作することも、そのようなコマンドの宛先として動作することもできる。
【0029】
図1は、本明細書で開示されるある特定の実施形態と一貫性のあるデータ管理エコシステム内のデータの様々なソース100~106及び宛先110~116の非限定的な例を示す概念図を例解する。図示されるように、データのソースは、例えば、限定するものではないが、1つ以上の接続デバイス100、1つ以上のクラウドサービス102及び/若しくは関連システム、1つ以上のデータセンタ104及び/若しくは他のデータストア、1つ以上のデータベース106、並びに/又は1つ以上のデータ宛先によるアクセスのためにデータを生成、保存、及び/若しくはさもなければ提供し得る他の任意のデバイス、システム、及び/若しくはサービスを含んでもよい。同様に、データの宛先は、例えば、限定するものではないが、1つ以上の接続デバイス110、1つ以上のクラウドサービス112及び/又は関連するシステム、1つ以上のデータセンタ114及び/又は他のデータストア、1つ以上のデータベース116、並びに/あるいは1つ以上のデータソースによって生成及び/又は提供されるデータを受信、使用、アクセス、及び/又は別様に宛先となり得る他の任意のデバイス、システム、及び/又はサービスを含むことができる。
【0030】
様々な他のタイプのソース及び/又は宛先が、本明細書で開示されるある特定の実施形態と一貫性のあるデータ管理エコシステムに含まれ得ることが理解されよう。例えば、限定するものではないが、図1に関連して具体的に例解されていないが、ユーザ及び/又はアプリケーションは、ソース及び/又は宛先として、EPNエコシステム内のアクターとして動作することができる。以下でより詳細に考察されるように、ユーザ及び/又はアプリケーションは、例えば、限定するものではないが、接続デバイスによって生成されたデータにアクセス及び/又は操作し、接続デバイスによって生成された生データから派生データを生成し、接続デバイスを制御するコマンドを発行するなどを行うことができる。
【0031】
上述したように、コンテキストに応じて、デバイス、システム、及び/又はサービスは、データのソースとしても、1つ以上の他のデバイス、システム、及び/又はサービスによって発行されたデータの宛先としても動作することができる。例えば、限定するものではないが、接続デバイス100は、他の1つ以上の接続デバイス、システム、ストア、及び/又はサービスに提供されるデータのソースであり得るが、別の接続デバイス110によって生成されたデータの宛先でもあり得る。それゆえに、図1におけるソース及び宛先は、説明及び例示の目的で別々に例解されているが、接続デバイス及び/又は関連システム、ストア、サービスなどは、データソース及び宛先の両方として動作してもよいことが理解されよう。
【0032】
多種多様な接続デバイス100、110が、様々な開示された実施形態に関連して使用されてもよい。例えば、限定するものではないが、接続デバイスは、コンピュータシステム、スマートフォン、タブレットコンピューティングシステム、セキュリティシステム、車両インフォテインメントシステム、ストリーミングメディアデバイス、ゲームデバイス、エンターテインメントシステム、ネットワーク錠、サーモスタット、炉、空調システム、灌漑システム、水制御システム、ポンプシステム、ユーティリティメータ、ネットワークゲートウェイ、アクティビティセンサ、ホームアラーム、アプライアンス、車両並びに/又は車両のコンポーネント及び/若しくはサブシステム、モバイル通信デバイス、風力タービンシステム、ソーラーパネルシステム、産業製造制御システム、並びに/又は他の任意のタイプの接続デバイス及び/又はシステムのうちの1つ以上を含み得る。したがって、本明細書で説明される接続デバイス100、110及び/又は関連システム及び/又はソース102~106及び宛先112~116の特定の例は、開示される実施形態の理解を容易にするための例示としてみなされるべきであり、限定的にみなされるべきではないことが理解されよう。
【0033】
データソース及び宛先は、1つ以上の中間デバイス、システム、及び/又はサービス108を含み得る1つ以上のネットワーク接続を介して通信可能に結合されることがある。中間デバイス、システム、及び/又はサービス108は、様々なデバイス、システム、及び/又はサービスを含むことがあり、これらは様々なコンピューティングシステム、ネットワークインフラストラクチャのデバイス、ゲートウェイ、及び/若しくはシステム、並びに/又は他の接続デバイスを含むことができる。例えば、限定するものではないが、接続デバイス100は、いくつかの中間ネットワーク接続及び/又はノード及び/又はサポートゲートウェイシステムを含むネットワークを介して、センサデータを宛先クラウドサービス112に通信することができる。別の非限定的な例では、接続デバイス100は、センサデータを別の中間接続デバイス(例えば、ハブなど)に通信することができ、これらの中間接続デバイスは、センサデータを宛先クラウドサービス112に通信することができる。図1に関連して例解される様々な実施形態は、1つ以上の中間デバイス、システム、及び/又はサービス108を介して通信可能に結合されているソース及び宛先を示すが、データのソース及び宛先は、中間デバイス、システム、及び/又はサービス108を必ずしも含まない1つ以上の直接ネットワーク接続を介して通信可能に結合されてもよいことが更に理解されよう。
【0034】
ある特定の状況では、中間デバイス、システム、及び/若しくはサービス108、並びに/又は関連するネットワーク接続は、エンドポイントの観点から、必ずしも信頼でき、かつ/若しくはセキュアであるとは限らず、並びに/又はそのようなデバイス、システム、及び/若しくはサービス108、並びに/又は関連するネットワーク接続の信頼及び/若しくはセキュリティは、エンドポイントに必ずしも知られているとは限らない。更に、上で考察されたように、ある特定の実施形態では、中間ネットワークデバイス、システム、及び/若しくはサービス108、並びに/又は関連するネットワーク接続は、部分的にのみ信頼され(したがって完全には信頼できない)、かつ/又はある特定のコンテキストでのみ信頼することができる(例えば、ある特定の低セキュリティデータなどを通信する際に信頼される)。本明細書に開示される実施形態と一貫して、EPN技法は、データが信頼できるエンドポイント(例えば、信頼できるソース及び宛先)の間で、データが1つ以上の信頼できない中間デバイス、システム、及び/又はサービス108を通過するときに、そのデータを保護するために使用することができる。このようにして、EPN技法は、エンドポイントが、ネットワーク接続並びに/又は中間デバイス、システム、及び/若しくはサービス108の信頼に必ずしも依拠することなく、信頼できる方法で通信することを可能にすることができる。
【0035】
明示的なプライベートネットワークアーキテクチャ及びエコシステム
開示されたシステム及び方法の実施形態と一貫して、EPNエコシステムは、接続デバイス、EPNセッションマネージャサービス、IoTサービス、EPNシークレットマネージャサービス及び/若しくは関連するストア、EPN管理者サービス、認証局、IAMサービス、1つ以上のウェブクライアント、並びに/又はセットアップされたEPNデバイス及び/若しくはサーバソフトウェア開発キット(「SDK」)を使用してEPNの態様を実装する1つ以上のアプリケーション、システム、サービス、及び/若しくはデバイスのうちの1つ以上を含んでもよい。
開示されたシステム及び方法の実施形態と一貫して、EPNエコシステムは、接続デバイス、EPNセッションマネージャサービス、IoTサービス、EPNシークレットマネージャサービス及び/若しくは関連するストア、EPN管理者サービス、認証局、IAMサービス、1つ以上のウェブクライアント、並びに/又はセットアップされたEPNデバイス及び/若しくはサーバソフトウェア開発キット(「SDK」)を使用してEPNの態様を実装する1つ以上のアプリケーション、システム、サービス、及び/若しくはデバイスのうちの1つ以上を含んでもよい。
【0036】
ある特定の実施形態では、接続デバイスは、デバイスパーソナライゼーションプロセスの一環として、認証局と交信してもよい。例えば、限定するものではないが、公開デバイス鍵を含むデバイス証明書は、認証局によって生成され、接続デバイスに発行されてもよい。以下で考察されるように、この証明書は、EPNセッションを確立する接続において使用することができる。
【0037】
接続デバイスとEPNエコシステムとの間の信頼できる通信を確立することは、セッション確立プロセスを伴い得る。本明細書に開示される実施形態と一貫して、EPNセッションマネージャサービスとのセッション確立プロセスの一部として、接続デバイスは、好適な認証プロトコルを使用して認証され得る。いくつかの実施形態では、局間(Station-to-Station、「STS」)プロトコルが使用されてもよい。認証が成功すると、接続デバイスとEPNセッションマネージャサービスとの間の通信のために、共有セッション鍵が確立され得る。ある特定の実施形態では、パーソナライゼーションプロセス中に生成された証明書は、セッション確立中にEPNセッションデータ内に保存してもよい。
【0038】
様々な接続デバイス並びに/又は1つ以上のアプリケーション及び/若しくはサービスの間のセキュアなデータ通信は、セッション確立プロセスに続いて達成され得る。例えば、限定するものではないが、接続デバイスは、データベースを管理するIoTサービスと交信して、そのデバイスがデータベースに保存されたデータを保存、アクセス、及び/又は別様に使用することを可能にしてもよい。そのようなセキュアなデータ通信に関連して、通信の一端(例えば、接続デバイス及び/又はサービス)は、共有のシークレットを使用してデータを暗号化すること、及び/又はプライベート鍵若しくは秘密鍵を使用してデータに署名することによって、データのためのセキュアなエンベロープを作成することができる。通信のもう一方のエンドポイントは、共有のシークレットを使用してデータを復号することができ、及び/又は保存された公開鍵又は秘密鍵を使用して署名を検証することができる。
【0039】
ある特定の実施形態は、EPNシークレットマネージャサービスと関連するシークレットストアは、確立されたEPNセッションデータのためのセキュアな、耐久性のある、及び/又は耐タンパー性のあるストレージとして使用されてもよい。EPNエコシステム内のEPNサーバSDKは、パケットデータを処理するために、EPNシークレットマネージャサービスと交信して、シークレットストアからEPNセッションデータを取り出すことができる。例えば、限定するものではないが、取り出されたEPNセッションデータは、パケットデータの暗号化/復号及び/又は署名/検証に関連して使用してもよい。いくつかの実施形態では、EPNシークレットマネージャとの通信は、セキュアな及び/又はさもなければ信頼できるネットワーク接続(例えば、TLS接続など)を介して行われてもよい。
【0040】
EPNセッションマネージャサービスは、EPN対応の接続デバイスとのEPNセッションを確立するためのウェブサービスを含んでもよい。いくつかの実施形態では、EPN管理者サービスは、EPNセッションマネージャサービスと交信し、及び/又は他の方法を活用して、設定されたセキュリティドメインのリストを提供し、これは接続デバイスグループ設定を検証するために使用されてもよい。
【0041】
EPNセッションマネージャサービスは、交渉に成功したセッションデータを、EPNシークレットマネージャサービスが管理するシークレットストアに保存することができる。認証されたデバイス用に保存されるEPNセッションデータには、例えば、限定するものではないが、以下のうちの1つ以上を含む様々な情報が含まれてもよい。
■一意のセッションID。
■ラップされた鍵、デバイスのセキュリティドメインに対応するセキュリティドメイン鍵によってラップされた共有セッションシークレットを含んでもよい。
■クライアント証明書。
■セキュリティドメインの表示。
■セッション有効期限情報。
■保護モード情報、暗号化/復号及び/又は署名オペレーション(又は両方)に関連してセッションシークレット情報を使用できるかどうかを示す。
■セッションデータのダイジェスト。
■一意のセッションID。
■ラップされた鍵、デバイスのセキュリティドメインに対応するセキュリティドメイン鍵によってラップされた共有セッションシークレットを含んでもよい。
■クライアント証明書。
■セキュリティドメインの表示。
■セッション有効期限情報。
■保護モード情報、暗号化/復号及び/又は署名オペレーション(又は両方)に関連してセッションシークレット情報を使用できるかどうかを示す。
■セッションデータのダイジェスト。
【0042】
様々な実施形態において、EPNセッションデータは、改ざんに対して保護され得る。新しいEPNセッションデータがシークレットストアに保存されるとき、そのデータのダイジェストが計算されて、データベースに保存されてもよい。セッションレコードが読み取られるとき、ダイジェストは再計算され、保存されているダイジェスト値に対して検証されてもよい。ある特定の実施形態では、ブロックチェーン及び/又は他の信頼できる不変の台帳は、検証目的で様々なダイジェスト値を保存及び/又は他の方法で使用することができる。
【0043】
開示される実施形態の様々な態様は、EPN対応クライアント、デバイス、及び/又はサーバアプリケーションを構築するための1つ以上のSDKを使用して実装されてもよい。例えば、限定するものではないが、EPNクライアントSDKは、EPN機能を接続デバイスアプリケーションに統合するためのバイナリライブラリを提供してもよい。EPNクライアントSDKは、EPNセッションマネージャサービスと交信すること、及び/又はEPNセキュアメッセージ(ある特定の実施形態では、EPNエンベロープと称され得る)を生成することを通して、EPNセッション確立をサポートしてもよい。いくつかの実施形態では、EPNクライアントSDKは、接続デバイスをパーソナライズすることに関連して、信頼認証局サービスと交信するのに使用してもよい。
【0044】
EPNサーバSDKは、EPN機能をサーバ及び/又はサービスアプリケーションに統合してもよい。EPNサーバSDKは、例えば、限定するものではないが、暗号化されたデータ、署名されたデータ、並びに/又は署名及び/若しくは暗号化されたデータの組み合わせを含み得る、EPNセキュアエンベロープからのメッセージの復元をサポートしてもよい。EPNサーバSDKは更に、プレーンテキストメッセージからEPNエンベロープを作成することをサポートしてもよい。
【0045】
本明細書で開示される実施形態と一貫して、EPN技法は、IoTサービスに統合されてもよい。少なくとも1つの非限定的な例では、IoTサービスは、1つ以上の接続デバイスによって生成され、時系列データベース(time series database、「TSDB」)に含まれるデータへのアクセスを管理する信頼できるデータ管理サービスを含むことができる。いくつかの実施形態では、IoTサービスは、接続デバイスからTSDBへのEPN通信をリダイレクトするためのウェブプロキシとして機能してもよく、許可された接続デバイスのみがTSDB内でデータを保存及び問い合わせることができるように、TSDBへのアクセスを管理し、デバイスとのいかなる通信もがエンドツーエンドでセキュア及び/又は信頼できることを保証する。
【0046】
EPNエコシステムは更に、EPN管理者サービスを備えてもよい。EPN管理者サービスは、デバイス及び/又はデバイスグループの設定を管理するために使用され得るウェブサービスを含めることもできる。いくつかの実施形態では、そのようなデバイス及び/又はグループの設定情報は、EPN管理者サービスによって管理される設定ストア内に保存及び/又は別様に管理されてもよい。いくつかの実施形態では、EPN管理者サービスは、デバイス及び/又はグループの設定へのアクセスを統制することに関連して、IAMサービスを活用してもよい。この交信を通して、関連する権限を持つ認証されたユーザ(及び/又は関連付けられたデバイス)のみが、EPN管理者デバイスグループオブジェクトを作成、閲覧、変更、及び/又は削除することができる。
【0047】
ある特定の実施形態では、接続デバイスは、EPNセッション確立プロセス中に認証され得る。接続デバイスは、信頼された認証局サービス(例えば、信頼ストア内の信頼アンカーを介して直接的及び/又は間接的に信頼されている)からの認証プロセスの一部として証明書を提示してもよい。
【0048】
いくつかの実施形態では、接続デバイスがセキュリティドメインの一部として構成され得るセキュリティ区分技法が採用されてもよく、これにより、複数の組織からのデバイスが相互運用することが可能になる。各セキュリティドメインは、異なる鍵を活用して、セキュリティドメイン内のデバイスのセッションデータを保護することができる。デバイスは、証明書に含まれる関連付けられたIDによって特定され得る1つ以上のデバイスグループ内に構成され得る。証明書に含まれるIDは、デバイスがどのデバイスグループに属するかを決定するために、EPNセッション確立中に検証され得る。
【0049】
図2は、本明細書で開示されるある特定の実施形態と一貫性のあるEPNシステムアーキテクチャの非限定的な例のフローチャートを例解する。とりわけ、図示されたアーキテクチャは、接続デバイス200のパーソナライゼーションプロセス、接続デバイス200とEPNセッションマネージャサービス204との間のセッション確立プロセス、IoTサービス202とのセキュア通信、EPNシークレットマネージャサービス206を使用してシークレットストア232内のシークレットにアクセスするためのプロセス、及び/又はIoTサービス202とIAMサービス212との間の交信の一部として生じ得る交信を示す。
【0050】
ある特定の実施形態において、接続デバイス200は、保護された、セキュアで、及び/又は別様に信頼できる実行環境(trusted execution environment、「TEE」)224を備えてもよい。ある特定の実施形態において、TEE224は、セキュアなハードウェア及び/又はソフトウェアのコンポーネントを用いて実装されてもよく、例えば、限定するものではないが、暗号オペレーション、セキュアポリシー及び/又はデータ管理、及び/又は開示された実施形態の他の態様などの機密オペレーションを実行するように構成されてもよい。とりわけ、TEE224は、セキュアブート及び/又はセキュアストレージ機能を接続デバイス200に提供してもよい。
【0051】
いくつかの実施形態では、TEE224は、EPNクライアントSDKを使用して、接続デバイス200上で確立及び/又は別様に構成することができる。とりわけ、EPNクライアントSDKは、接続デバイス200のパーソナライゼーション及び/若しくは認証、セッション確立、並びに/又はセキュアメッセージ処理機能を容易にすることができる。図2に関連して図示され、本明細書で詳述されるように、接続デバイス200内にEPN機能を実装することによって、デバイスが、信頼できないネットワーク接続上で比較的セキュアな方法で他のシステム及び/又はサービスと通信することを可能にすることができる。
【0052】
接続デバイス200は、工場で、又はパーソナライゼーション、設定、及び/又は初期化プロセスを介して構成され得て、これらのプロセスではデバイス200を識別するために使用し得る共有シークレットを使用してもよい。ある特定の実施形態では、共有シークレットは、接続デバイス200に固有であってもよい。更なる実施形態では、共有シークレットは、デバイスのグループ内で共有してもよい。
【0053】
例えば、限定するものではないが、パーソナライゼーションプロセスの一部として、接続デバイス200は非対称鍵ペアを生成してもよい。接続デバイス200は、共有シークレット及び公開鍵を、クラウドベースのサービスとして動作し得る認証局216に送信してもよい。認証局216は、公開鍵証明書及び/又はトークンを生成して、接続デバイス200に返してもよい。ある特定の実施形態では、返された証明書及び/又はトークンは、本明細書で開示される様々な交信に関連して、EPNエコシステム内の接続デバイス200の識別情報として機能することができる。更なる実施形態では、例えば、限定するものではないが、FIDOデバイスオンボーディング(「FDO」)プロセスを含む、他のデバイスパーソナライゼーションプロセス及び/又は技法を使用してもよい。
【0054】
いくつかの実施形態では、TEE224は、接続デバイス200の認証局216とのパーソナライゼーションプロセスに関与してもよい。例えば、TEE224は、秘密鍵などの秘密情報を生成及び/又は保存するためのセキュアな及び/又はさもなければ保護された環境を提供することができる。
【0055】
EPNエコシステムの様々な他のコンポーネントと交信する前に、接続デバイス200は、EPNセッションマネージャサービス204と連絡し、EPNセッションを確立してもよい。いくつかの実施形態では、接続デバイス200は、信頼できない接続上でEPNセッションマネージャサービス204と交信することがある。例えば、限定するものではないが、接続デバイス200は、セッション開始要求と共に、公開鍵証明書を含み得る識別情報をEPNセッション管理サービス204に通信してもよい。この交信の結果、対称セッション鍵がEPNセッションマネージャサービス204によって生成され、接続デバイス200に発行されることがあり、EPNエコシステム内の通信の保護に関連して接続デバイス200によって使用され得る。
【0056】
接続デバイス200がEPNセッションを確立すると、接続デバイス200のEPNクライアントSDKは、セッション鍵をTEE224のセキュアストレージ内に保存してもよい。次いで、接続デバイス200は、EPNセッション鍵を使用して、EPNエコシステム内の他のエンドポイントとのセキュアな通信を支援することができる。例えば、限定するものではないが、接続デバイスは、IoTサービス202と通信して、IoTサービス202によって管理されるTSDBストア226に保存されたデータにアクセスすることができる。接続デバイス200から発行された通信は、EPNセッション鍵を使用して暗号化及び/又は署名されてもよく、関連付けられた通信チャネルがセキュアでない及び/又は信頼できない可能性があっても、セキュリティ及び/又は完全性を提供する。本明細書で説明される様々な実施形態及び例は、セキュアでないチャネル及び/又は信頼できないチャネル上でセキュアな通信を実現することに関連して、EPNセッション鍵を使用することができるが、更なる実施形態では、EPNセッション鍵から生成された、及び/又は別様に導出された鍵が使用され得ることを理解されよう。
【0057】
以下でより詳細に考察されるように、ある特定の実施形態では、接続デバイス200は、EPNセッション鍵(及び/又はそれから導出された鍵)を使用してデジタルツイン220と通信してもよい。デジタルツイン220は、接続デバイス200の仮想デジタルコピー及び/又は表現(接続デバイスが利用可能な追加のリソースを伴う可能性がある)を備えてもよい。ある特定の実施形態において、デジタルツイン220は、許可されたアプリケーション(例えば、ウェブクライアント210)及び/又はユーザ236にアクセス可能であってもよく、アクセスは、IoTサービス202及びIAMサービス212のガバナンス機能を使用して管理される。
【0058】
ある特定の実施形態では、デジタルツイン220は、IoTサービス202の一部として提供されてもよく、デジタルツインとの交信は、IoTサービス202に発行されるクエリ及び応答によって管理される。更なる実施形態では、デジタルツイン220は、1つ以上の別個のシステム及び/又はサービスを介して提供されてもよい。
【0059】
EPNセッションマネージャサービス204は、セキュアなチャネルを介してEPNシークレットマネージャサービス206と通信してもよい。例えば、限定するものではないが、いくつかの実施形態では、EPNセッションマネージャサービス204は、相互TLSを使用して保護されたチャネルを介してEPNシークレットマネージャサービス206と通信してもよい。EPNシークレットマネージャサービス206は、関連付けられたシークレットストア232を管理してもよく、接続デバイス200とEPNセッションマネージャサービス204との間で確立されたEPNセッション鍵は、セキュアに保存され、関連付けられ、及び/又は管理され得る。
【0060】
ウェブクライアント210などのアプリケーションのユーザ236(並びに/又はユーザ236が関連付けられている関連デバイス及び/若しくはシステム)は、アクセス制御ディレクトリ228を管理することができるIAMサービス212で認証することができる。認証されると、ユーザ236は、IAMサービス212からアクセストークンを受信することができる。受信したアクセストークンは、ユーザ236が認証に使用してもよく、EPN管理者ユーザインターフェース(user interface、「UI」)210及び/又はEPNサーバSDKを使用して構築されたアプリケーションとの通信を支援してもよい。
【0061】
EPN管理者UI210は、許可されたユーザ及び/又はアプリケーションが、接続デバイス200及び/又は他の接続デバイス及び/又はIoTエコシステム内のモノを管理することを可能にすることができる。EPN管理者UI210は、EPN管理者サービス208と交信し得て、このEPN管理者サービスは、とりわけ、接続デバイス設定情報(例えば、接続デバイス200に関連する設定情報)を保存するストア230を管理することができる。EPN管理者サービス208は、IAMサービス212及び/又はEPNシークレットマネージャサービス206を呼び出すことができる。
【0062】
ある特定の実施形態では、接続デバイスのグループが定義することができ、その結果、EPNシークレットマネージャサービス206(例えば、シークレットストア232)によってグループの対称鍵が作成及び保存されてもよい。EPNシークレットマネージャサービス206の特定の機能は、いくつかの実施形態では、EPN管理者サービス208にアクセス可能であってもよい。いくつかの実施形態では、EPN管理者サービス208は、所与のユーザがデバイス及び/又はデバイスグループを管理することを許可されるかどうかを判定するために、IAMサービス212とアクセスチェックを実行してもよい。
【0063】
ユーザ及び/又は関連システム236は、アプリケーションを介して様々なサービスに関与してもよく、アプリケーションは、いくつかの実施形態では、ウェブクライアント214を含むことがある。例えば、ユーザ及び/又は関連システム236は、ウェブクライアント214を使用して、1つ以上のアプリケーション218、IoTサービス202、IAMサービス212、及び/又はEPN管理者UI210と交信してもよい。更なる実施形態では、ユーザ及び/又は関連システム236は、サービスに直接関与してもよい。ある特定の実施形態では、ユーザ及び/又は関連システム236は、TSDB226内で管理され得る、接続デバイス202によって収集されたデータを問い合わせるために、IoTサービス202と(例えば、直接及び/又はウェブクライアント214を介して)交信してもよい。IoTサービス202は、そのようなデータへのアクセスを管理するために、データガバナンスを適用することができる(例えば、IAMサービス212によって提供されるによって提供されるルール及び/又は権限を介して)。
【0064】
様々な実施形態では、サービス(例えば、IoTサービス202)は、APIを公開し得て、そのAPIは、ウェブクライアント214を介して、並びに/又は他のクライアント、アプリケーション、サービス、システム、及び/若しくはデバイスによって呼び出され得る。例えば、ある特定の実施形態では、ウェブクライアントではないスクリプト、アプリケーション、及び/又はコマンドライン交信を使用して、IoTサービス202によって公開されるAPIを呼び出してもよい。
【0065】
ユーザ及び/又は関連システム236の代わりに、接続デバイス200にコマンドを送信するために、IoTサービス202は、EPNシークレットマネージャサービス206に関与して、接続デバイス200用の適切なセッション鍵及び/又はグループ鍵を取り出すことができる。ある特定の実施形態では、このオペレーションはまた統制され、IAMサービス212のディレクトリ228内で保持されるルール及び/又はポリシーを活用して、要求ユーザ及び/又はシステム236が、接続デバイス200上で特定のオペレーションを実行することを許可されるかどうか判断してもよい。許可された場合、IoTサービス202は、組み込まれたEPNサーバSDKを活用して、IoTサービス、接続デバイス200、及び/又はデジタルツイン220の間のメッセージを暗号化、署名、復号、及び/又は検証してもよい。
【0066】
図2に示される様々なサービス及び/又はコンポーネントは、IoTエコシステムの別個のサービス及び/又はコンポーネントとして例解されるが、ある特定のサービス及び/又はコンポーネントは、単一のシステム及び/若しくはサービス、並びに/又はシステム及び/若しくはサービスの任意の好適な組み合わせによって実装されてもよいことを理解されよう。例えば、限定するものではないが、いくつかの実施形態では、EPNセッションマネージャサービス204、EPNシークレットマネージャサービス206、EPN管理者サービス208、及び/又はEPN管理者UI210は、ある特定のEPN機能性を提供する単一のサービスによって実装されてもよい。
【0067】
図3は本明細書で開示されるある特定の実施形態と一貫性のある明示的なプライベートネットワークエコシステムの非限定的な例の図を例解する。本明細書に開示される実施形態と一貫して、例えば、限定するものではないが、本明細書に詳述される接続デバイスのタイプのいずれかを含み得る、1つ以上の接続デバイス300は、パーソナライゼーション及びEPNセッション確立プロセスを介して、パーソナライズされ、EPNネットワークに登録されてもよい。EPNネットワークは、データ管理サービス306及び/又は1つ以上のデータストア302を含み得る。いくつかの実施形態では、EPNネットワークは更に、1つ以上の外部アイデンティティプロバイダ(例えば、アクティブディレクトリフェデレーションサービス(「Active Directory Federation Services、ADFS」)、Open ID/Connect、OAuth2、セキュリティアサーションマークアップ言語(「Security Assertion Markup Language、SAML」)、ライトウェイトディレクトリアクセスプロトコル(「Lightweight Directory Access Protocol、LDAP」)、など)を含んでもよい。
【0068】
例えば、限定するものではないが、ユーザ、サービス、モデル、IoT分析チャネルなどを含み得る、アプリケーション318及び/又はデータ消費者316は、EPNネットワークと交信し、接続デバイス300から収集された、及び/又はそれによって生成されたデータを閲覧、変更、分析、及び/又は別様に閲覧してもよい。更なる実施形態では、アプリケーション318はまた、データを処理して、モデル及び/又は導出データを生成してもよい。生成されたモデル及び/又は導出されたデータは、データ仮想化サービス310によって保存及び/又は別様に管理されてもよい。
【0069】
いくつかの実施形態では、データ消費者316及び/又はアプリケーション318は、IAMサービス308及び/又はデータ仮想化サービス310によって管理されるルール及び/又はポリシーを介して統制されるデータへのアクセスを有してもよく、いくつかの実施形態では、データ管理サービス306によって提供されるサービスであってもよい(ただし、データ管理サービス306と交信する別個のサービスによって実装される可能性もある)。
【0070】
データストア302は、データ管理サービス306によって管理され得る。例えば、限定するものではないが、いくつかの実施形態では、データ管理サービス306は、様々な関係者(例えば、接続デバイス300、データ消費者316、アプリケーション318、並びに/又はデータコントローラ及び/若しくはマニピュレータ320)によるデータストア302へのアクセスを、データ管理サービス306に発行されたAPI呼び出しを介して管理することができる。
【0071】
データコントローラ及び/又はマニピュレータ320は、データ管理サービス306と通信して、コマンド及び/又は他のメッセージを1つ以上の接続デバイス300に送信することができ、コマンド及び/又はメッセージの性質に応じて、接続デバイス300によって処理され得る。本明細書に開示される実施形態と一貫して、接続デバイス300へのコマンドの送信は、データ管理サービス306によって統制され得る。例えば、いくつかの実施形態では、データ管理サービスは、IAMサービス308を活用して、EPN管理者322によって確立されたルール及び/又はポリシーが確実に実施されるようにすることができる。いくつかの実施形態では、EPNエコシステムがそのような外部認証を許可するように構成されている場合、IAMサービス308は、1つ以上の外部アイデンティティプロバイダ304を活用して、シングルサインオン(「single sign on、SSO」)及び/又は外部認証を活用してもよい。
【0072】
データ消費者316、アプリケーション318、並びに/又はデータコントローラ及び/若しくはマニピュレータ320は、EPN管理者322によって確立されたルール及び/又はポリシーに従って、データ管理サービス306のTEE312内にプログラムを展開してもよい。TEE312は、とりわけ、TEE312の外部へのエクスポートを防止することができる。TEE312において実行されるプログラムは、例えば、限定するものではないが、接続デバイス300に関連するデータを分析、拡張、及び/又は増強してもよく、場合によっては、取り込まれたデータに基づいて派生データを生成してもよい。いくつかの実施形態では、プログラムは、許可されたデータ消費者316が、データ管理サービス306及び/又はプログラム自体によって公開される1つ以上のAPIを介して、オリジンデータ、派生データ、及び/又は拡張データにアクセスすることを可能にし得る。
【0073】
データ管理サービス306のデータ仮想化サービス310は、データセット及び/又はデータソース(例えば、内部で管理されている、及び/又は外部データストア302内にある)を管理してもよい。本明細書に開示される実施形態と一貫して、それらのデータセット及び/又はデータストア302へのアクセスは、IAMサービス308の援助を受けてデータ仮想化サービス310及び/又はデータ管理サービス306によって施行されるルールを使用して統制され得る。
【0074】
データ管理サービスは、更に監査サービス314を含んでもよい。いくつかの実施形態では、監査サービス314は、接続デバイス300に関連するデータ及び/又はコマンドへの全てのアクセスの信頼できるログを管理してもよい。信頼できるログは、データ消費者316、アプリケーション318、並びに/又はデータコントローラ及び/若しくはマニピュレータ320によって指定された受信したクエリ及び/又はコマンドの表示を更に含むことができる。
【0075】
明示的プライベートネットワーク技法を使用する接続デバイス制御
図4は、本明細書で開示されるある特定の実施形態と一貫性のある、EPNエコシステムに関連して接続デバイスを管理するための方法400の非限定的な例のフロー図を例解する。例解された方法400は、ソフトウェア、ファームウェア、ハードウェア、及び/又はそれらの任意の組み合わせを使用することを含む、様々な方式で実装されてもよい。ある特定の実施形態では、図示された方法300の様々な態様及び/又はその構成工程は、ユーザ並びに/又は関連アプリケーション及び/若しくはシステムが、1つ以上の接続デバイス、並びに/又は任意の他の好適なデバイス、システム、及び/若しくはサービス、並びに/又はデバイス、システム、及び/若しくはサービスの組み合わせと交信することを可能にするように構成されたクラウドサービスシステムによって実行されてもよい。
図4は、本明細書で開示されるある特定の実施形態と一貫性のある、EPNエコシステムに関連して接続デバイスを管理するための方法400の非限定的な例のフロー図を例解する。例解された方法400は、ソフトウェア、ファームウェア、ハードウェア、及び/又はそれらの任意の組み合わせを使用することを含む、様々な方式で実装されてもよい。ある特定の実施形態では、図示された方法300の様々な態様及び/又はその構成工程は、ユーザ並びに/又は関連アプリケーション及び/若しくはシステムが、1つ以上の接続デバイス、並びに/又は任意の他の好適なデバイス、システム、及び/若しくはサービス、並びに/又はデバイス、システム、及び/若しくはサービスの組み合わせと交信することを可能にするように構成されたクラウドサービスシステムによって実行されてもよい。
【0076】
402において、デバイスコマンド要求がクラウドサービスシステムから受信され得る。いくつかの実施形態では、デバイスコマンド要求は、信頼された及び/又は別様にセキュアなネットワーク接続上で、ユーザに関連付けられたアプリケーションから受信され得る。例えば、限定するものではないが、デバイスコマンド要求は、TLSによって保護されたネットワーク通信チャネルを介して、受信することができる。
【0077】
デバイスコマンド要求には、様々な情報を含めてもよい。例えば、ある特定の実施形態では、デバイスコマンド要求は、要求元ユーザ、アプリケーション、及び/又はシステムを識別し得る要求元識別情報を含んでもよく、アクセス制御並びに/又は関連付けられた権限、許可、及び/若しくは制限を管理するIAMサービスを用いてそのような識別情報を認証する際に使用することができる。いくつかの実施形態では、要求元識別情報は、アクセストークン(例えば、関連するIAMサービスによって発行されたアクセストークン)を含んでもよい。更なる実施形態では、デバイスコマンド要求は、接続デバイス識別情報と、接続デバイスによって実行されるべき要求されたアクションの表示とを更に含んでもよい。
【0078】
404において、アクセス認可クエリがIAMサービスに発行され得る。ある特定の実施形態では、アクセス許可クエリは、要求元識別情報を含んでもよい。アクセス許可クエリは、いくつかの実装形態では、接続デバイス識別情報及び/又は要求されたアクションの識別を更に含んでもよい。
【0079】
406において、アクセス認可クエリに基づいてIAMサービスから応答を受信することができる。いくつかの実施形態では、応答は、要求元識別情報を検証してもよい。例えば、限定するものではないが、応答は、アクセス認可クエリの一部としてクラウドサービスシステムからIAMサービスに提供されたトークン情報を検証してもよい。更なる実施形態では、応答は、接続デバイス識別情報に関連付けられた接続デバイスの少なくとも1つのオペレーションを制御することに関連する少なくとも1つの権限、ルール、及び/又は制限を提供する情報を含んでもよい。
【0080】
408において、要求元識別情報に関連付けられたアカウント(例えば、要求元アプリケーション、システム、及び/又は関連付けられたユーザに関連付けられたアカウント)が、接続デバイス上で要求されたデバイスアクションを実行することを許可されるかどうかが判断され得る。いくつかの実施形態では、この判断は、IAMサービスから返される少なくとも1つの権限、ルール、及び/又は制限、並びにデバイスコマンド要求に含まれる要求されたデバイスアクションの表示に基づいてもよい。アクションが許可されない場合、方法400は終了に進んでもよく、及び/又は失敗の表示が要求システムに返されてもよい。要求されたアクションが許可される場合、方法は410に進むことができる。
【0081】
410において、第1のEPN鍵クエリが、EPNサービス(例えば、EPNシークレットマネージャサービス)に発行され得る。いくつかの実施形態では、EPN鍵クエリは、接続デバイス識別情報(例えば、識別トークンなど)を含んでもよい。EPNサービスは、とりわけ、EPNサービスに登録された1つ以上の接続デバイスを1つ以上のEPNセッション鍵に関連付ける鍵関連付けテーブルを管理してもよい。セッション鍵は、例えば、限定するものではないが、デバイスセッション鍵及び/又はグループセッション鍵を含み得る。EPNサービスは、接続デバイス識別情報に関連付けられたセッション鍵でクエリに応答し得る(アクティブなセッション鍵が、EPNサービスに関連する鍵関連付けテーブルに含まれると仮定して)。
【0082】
クラウドサービスシステムは、デバイスコマンド要求で示される要求されたアクションを実行するように接続デバイスに指示するように構成された接続デバイスコマンドを、412において生成してもよい。いくつかの実施形態では、接続デバイスコマンドは、EPNサービスによって提供されるセッション鍵を使用して、署名及び/又は暗号化されてもよい。クラウドサービスシステムは、生成された接続デバイスコマンドを、必ずしも信頼されていない接続を介して接続デバイスに送信してもよい。
【0083】
いくつかの実施形態では、方法400は、コマンド確認応答プロセスを更に含むことができる。例えば、接続デバイスは、コマンドが受信された、及び/又は別様に接続デバイスによって成功裏に実行されたという確認応答を、クラウドサービスシステムに通信することができる。いくつかの実施形態では、クラウドサービスシステムは、接続デバイスからの確認応答を署名及び/又は別様に暗号化するのに使用されるセッション鍵が、アクティブであり、かつ/又は別様に失効していないことを検証し得る(例えば、セッション鍵の失効状態を検証するためにEPNサービスに問い合わせることによって)。
【0084】
開示されたシステム及び方法の実施形態は、様々な接続デバイス及び/又は関連するネットワーク及び/又はエコシステムに関連して採用され得ることが理解されよう。例えば、限定するものではないが、実施形態は、データを収集し、そのデータを保存及び/又は処理するために1つ以上のクラウドデータリポジトリ、独自のデータベース、データ分析プロバイダなどに送信するIoTデバイス及び/又はセンサの展開に利用され得る。同様の非限定的な例は、分散型製造管理及び制御システム、並びに/又はスマートグリッド管理及び制御システムなどの特殊な産業用途内でも生じ、そこでは、IoTセンサ及び/又はアクチュエータが広く展開され、保存及び/又は分析のために様々な異種及び/又は競合システムに送信され得るオペレーションデータ及び/又は環境データを収集する。
【0085】
更に、開示されるシステム及び方法の実施形態は、様々なアプリケーション、コンテキスト、及び/又はユースケースにおいて採用されてもよく、いくつかの実装形態では、図4に関連して例解される方法400の様々な態様及び/又は構成工程を含んでもよいことが理解されよう。例えば、限定するものではないが、本明細書に詳述されるように、開示されるシステム及び方法の実施形態は、ユーザが、TSDB内に取り込まれた接続デバイスによって生成されたデータを問い合わせること、ユーザが、接続デバイス及び/又はデバイスグループを管理及び/又は構成すること、プログラムが、サービスによって管理されるTSDB内に保存されたデータを問い合わせ、問い合わせられたデータから派生データ及び/又はモデルを生成すること(セキュアな環境内で実行され得る)、接続デバイスが、サービスによって管理されるTSDB内にデータを取り込むことなどを可能にし得る。
【0086】
デジタルツインを用いた接続デバイス管理
上記で詳述されるように、いくつかの実施形態では、デジタルツインを、IoT接続デバイスのためのセキュリティアソシエーション及び/又は状態情報を構成及び/又は別様に管理するために使用してもよい。例えば、限定するものではないが、デジタルツインは、例えば、限定するものではないが、対称鍵及び/又は他の鍵交換プロトコルを含む、セキュリティアソシエーション及び/又は鍵交換プロトコルを初期化及び/又は構成するために使用してもよい。認証された鍵交換は、様々な方法及び/又は好適な技法を使用して実行されてもよく、それらのうちのいくつかは、グループ鍵を含み得る(例えば、ローカルネットワークでそうであり得るように)。
上記で詳述されるように、いくつかの実施形態では、デジタルツインを、IoT接続デバイスのためのセキュリティアソシエーション及び/又は状態情報を構成及び/又は別様に管理するために使用してもよい。例えば、限定するものではないが、デジタルツインは、例えば、限定するものではないが、対称鍵及び/又は他の鍵交換プロトコルを含む、セキュリティアソシエーション及び/又は鍵交換プロトコルを初期化及び/又は構成するために使用してもよい。認証された鍵交換は、様々な方法及び/又は好適な技法を使用して実行されてもよく、それらのうちのいくつかは、グループ鍵を含み得る(例えば、ローカルネットワークでそうであり得るように)。
【0087】
本明細書に開示される実施形態と一貫して、アプリケーションクラウド内の信頼できるエンティティとして、デジタルツインは、信頼できるサービスが以下を更新及び/又は提供することを可能にし得る。
■認証、データ完全性、及び/又は機密性のために使用される鍵。
■デバイス設定を更新するための信頼できる環境。
■デバイスを既知の良好な状態に修復するための参照モニタ。
■認証、データ完全性、及び/又は機密性のために使用される鍵。
■デバイス設定を更新するための信頼できる環境。
■デバイスを既知の良好な状態に修復するための参照モニタ。
【0088】
本明細書で開示される様々な実施形態は、アンチクローニングのための証明を容易にすることができる。例えば、シークレットは、デバイス内に埋め込まれ、デバイスの寿命の間デジタルツイン内に保持され得る。このシークレットは、例えば、セッション鍵を使用した不変のデバイス識別情報のHMACを用いて、デバイスの一意性を証明するために使用され得る。
【0089】
センサエッジからクラウドサービスまでのデータ保護
データの保護のためのある特定の従来の技法(例えば、TLS又はVPNを使用)とは異なり、本明細書で開示されるEPN技法は、いくつかの実装形態では、データがエッジにおいて生成されてから、アプリケーション(例えば、クラウド及び/又はモバイルアプリケーション)において消費されるまで、全てのデータのエンドツーエンドのデータ完全性、認証、及び/又はデータ機密性を提供することができる。本明細書に開示されるEPNアーキテクチャを実装する様々な実施形態は、信頼できない可能性があるゲートウェイ及びネットワークを横断して移動する場合であっても、保存時、転送中の両方において、データの完全性、真正性、及び/又は任意選択で秘密保護を保証するために、持続的データ保護(「persistent data protection、PDP」)を提供することができる。
データの保護のためのある特定の従来の技法(例えば、TLS又はVPNを使用)とは異なり、本明細書で開示されるEPN技法は、いくつかの実装形態では、データがエッジにおいて生成されてから、アプリケーション(例えば、クラウド及び/又はモバイルアプリケーション)において消費されるまで、全てのデータのエンドツーエンドのデータ完全性、認証、及び/又はデータ機密性を提供することができる。本明細書に開示されるEPNアーキテクチャを実装する様々な実施形態は、信頼できない可能性があるゲートウェイ及びネットワークを横断して移動する場合であっても、保存時、転送中の両方において、データの完全性、真正性、及び/又は任意選択で秘密保護を保証するために、持続的データ保護(「persistent data protection、PDP」)を提供することができる。
【0090】
様々な実施形態では、データがデバイス上で生成されるときに、データに署名し、任意選択で暗号化するためにEPN技法を使用してもよい。同様の保護が、デバイスに送信されるデータに対して提供され得る(例えば、コマンドがデバイスに送信されるとき)。ある特定の実施形態では、EPN技法によって実装されるPDP保護層は、VPNのようなネットワークセキュリティ対策と共存することができるが、VPNパイプがそのコンテンツをVPNゲートウェイに配信した後や、データが保存されているときにも保護を提供し続けることができる。
【0091】
本明細書に開示される実施形態と一貫して、EPNクライアント(例えば、EPN SDK実装)は、各エンドポイント上にインストールしてもよい。いくつかの実施形態では、EPNクライアントは、機密処理及び/又はオペレーションがTEE及び/又は別のセキュア処理環境において実行されることを保証するように構成されてもよく、機密暗号鍵データはセキュアストレージ内に保存される。
【0092】
ある特定の実施形態において、デバイスソフトウェアは、既知の信頼できるソフトウェアのみがエンドポイント上で実行されるようにデジタル署名されることが期待され得る。これは、起動時に信頼できるブートプロセスによって検証することができる。EPNクライアントは、データの弾力的な保護を確実にするために、TEE及び/又は信頼できるストレージ及び/又は信頼できるブートといったセキュアな基盤に依存してもよい。いくつかの実施形態では、これらの基盤は、主要インフラストラクチャツールセット、及び関連するハードウェア及び/又はデバイスコンポーネントのハードウェアセキュリティとの統合の組み合わせを通して有効になり得る。
【0093】
少なくとも1つの非限定的な例では、接続デバイスは、アナログセンサを備えてもよい。アナログ入力がセンサによって感知されるとき、入力は、アナログ-デジタル変換器(「analog-to-digital、A/D」)によって処理されてもよい。デジタルデータが生成されると、EPNクライアントは、データを有するバッファにアクセスすることができ、特定の信頼できる鍵空間に関連付けられたEPNセッション鍵を使用してデータに署名することができる。署名は、(例えば、鍵付きハッシュ及び/又はHMAC真正性検証技法を使用して)特定のエンドポイントから生じるデータの真正性を保証することができる。いくつかの実施形態では、ハッシュ演算の使用を通して、その行程全体にわたるデータの完全性も検証可能であり得る。任意選択で、EPNクライアントは、データの秘密性を維持するためにデータを暗号化することもできる。多くの接続デバイスは、性能及び/又はリソースが制約され得るため、本明細書で開示される実施形態と一貫性のあるEPN技法は、AES対称鍵暗号を活用してもよい。これらの暗号は、例えば、限定するものではないが、Diffie-Hellman STSプロトコルを使用してクライアントとサーバとの間で合意することができ、したがってシークレットを配布する必要があることもないこともある。
【0094】
いくつかの実施形態では、EPNパッケージは、EPNエンドポイントとして機能し得る消費サーバのためのルーティングデータを含んでもよい。サーバがEPNパッケージを受信すると、サーバは、HMAC検証を実行して、パッケージ内のデータパケットの真正性及び/又は完全性を検証することができる。暗号化が適用されている場合、サーバはデータを復号することができる。データの更なる配信、協働及び共有は、サーバによって提供されるサービスの他のデータアクセス制御機能を使用して管理される。
【0095】
上記のように、本明細書に開示される実施形態と一貫性のあるデータ真正性及びデータ完全性へのEPNの焦点は、信頼できないネットワークを通して、並びに/又は信頼できないゲートウェイ及び/若しくはルータにわたって、データの永続的保護を提供することができる。EPN技法は、IoTデバイスからのデータが信頼できることを保証し得て、この信頼は、コマンド及び他のデータがアクチュエータに送信されるときを含むその行程全体を通して維持され得る。
【0096】
接続デバイスのパーソナライゼーション
上で考察されたように、認証局は、信頼できる認証情報(例えば、証明書、証明書及び鍵、並びに/又は他の信頼できるアサーション)を発行するパーソナライゼーションサービスを提供することができる。認証局サービスは、デバイスアイデンティティに結び付いた対称鍵を発行することもできる。いくつかの実施形態では、鍵を生成及び/又は別様に発行するために使用される導出関数は、セキュアに保持され得る。
上で考察されたように、認証局は、信頼できる認証情報(例えば、証明書、証明書及び鍵、並びに/又は他の信頼できるアサーション)を発行するパーソナライゼーションサービスを提供することができる。認証局サービスは、デバイスアイデンティティに結び付いた対称鍵を発行することもできる。いくつかの実施形態では、鍵を生成及び/又は別様に発行するために使用される導出関数は、セキュアに保持され得る。
【0097】
パーソナライゼーションサービスを認識するクライアントSDKが実装されてもよく、これは、例えば、限定するものではないが、
■認証局と共にパーソナライゼーションプロトコルに携わり、及び/又はシークレット及び認証情報のセキュアなストレージを提供する。
■デバイス所有者が上記を呼び出し、認証情報及び鍵を使用していくつかのエンドポイントへのセキュアな接続を確立し、可能性としてよりアプリケーション固有であるセキュアなデータをそこから取得し(例えば、バックエンドサービスのトラストアンカー)、及び/又はいくつかの通信チャネル上で送信されるデータを暗号化し、受信者がその完全性/機密性を信頼できるようにこのデータをラップするためのAPIを提供する。
■認証局と共にパーソナライゼーションプロトコルに携わり、及び/又はシークレット及び認証情報のセキュアなストレージを提供する。
■デバイス所有者が上記を呼び出し、認証情報及び鍵を使用していくつかのエンドポイントへのセキュアな接続を確立し、可能性としてよりアプリケーション固有であるセキュアなデータをそこから取得し(例えば、バックエンドサービスのトラストアンカー)、及び/又はいくつかの通信チャネル上で送信されるデータを暗号化し、受信者がその完全性/機密性を信頼できるようにこのデータをラップするためのAPIを提供する。
【0098】
パーソナライゼーションサービスは、認証及び/又は許可された呼び出し元からの要求を受け入れて、データを暗号化する対称鍵など、特定のデバイスに発行されたデータの一部を明らかにすることができる。
【0099】
様々な実施形態は、デバイス及び/又はパーソナリティ管理機能を提供することができる。これは、例えば、限定するものではないが、デバイス設定を更新すること(例えば、センサのポーリング頻度、エッジにおける他のデバイスへの接続(P2P)など)、ファームウェア更新をプッシュすること(例えば、署名されたファームウェア更新)、鍵を更新及び/又は置き換えること、デバイスをリボークすること、及び/又は他の方法でネットワークからそれを除去すること、デバイス証明(アンチクローニング)に使用されるシークレットをセットアップすること(例えば、セッション鍵及びデバイス識別情報を使用するHMAC)などを含むことができる。
【0100】
ある特定の実施形態では、データに対するDUPKT鍵及び/又はHMACを使用して、軽量の高性能データ保護が実装され得る(例えば、データ完全性、認証、及び任意選択で機密性)。様々な実施形態は、設定の更新及び/又はデバイスへのコマンドの送信(例えば、設定更新-センサ読み取り間隔の変更)及び/又はアクチュエータ向けの命令の送信(例えば、風車の回転速度の変更)を可能にし得る。
【0101】
名前付きデータネットワーキングからデータ中心セキュリティ
ある特定の実施形態は、名前付きデータネットワーク(「named data network、NDN」)及び/又はその態様を実装し得る。開示される実施形態の態様と一貫性のある、ある特定のNDN実装形態では、データは、セキュアバインディングを生成するために、その名前と共に署名され得る。署名及び/又は関連付けられたデータ発行者情報は、データの出所の判断に関連して使用されてもよい。例えば、限定するものではないが、NDN技法を実装するいくつかの実施形態では、データ消費者は、特定の公開鍵に関するコンテキスト固有の判断を行って、それが特定のデータを発行することについて信頼できるエンティティに関連付けられているかどうかを判断することができる。いくつかの実装形態では、鍵は、NDNデータとしてパッケージ化され得る。アプリケーションは、データを暗号化し、関連する鍵をNDNデータとして配布することによって、データへのアクセスを管理することができる。
ある特定の実施形態は、名前付きデータネットワーク(「named data network、NDN」)及び/又はその態様を実装し得る。開示される実施形態の態様と一貫性のある、ある特定のNDN実装形態では、データは、セキュアバインディングを生成するために、その名前と共に署名され得る。署名及び/又は関連付けられたデータ発行者情報は、データの出所の判断に関連して使用されてもよい。例えば、限定するものではないが、NDN技法を実装するいくつかの実施形態では、データ消費者は、特定の公開鍵に関するコンテキスト固有の判断を行って、それが特定のデータを発行することについて信頼できるエンティティに関連付けられているかどうかを判断することができる。いくつかの実装形態では、鍵は、NDNデータとしてパッケージ化され得る。アプリケーションは、データを暗号化し、関連する鍵をNDNデータとして配布することによって、データへのアクセスを管理することができる。
【0102】
ある特定の実施形態では、認証局機能及び/又はパーソナライゼーション及び/又は鍵管理サービスは、スタンドアロンで提供されてもよい(例えば、信頼できるデータ管理サービスと統合される必要はない)。いくつかの実施形態では、ルール及び/又はポリシーのうちのいくつかはクライアント上に反映され、クライアントで利用可能な証明書を通して、クライアントによって暗号的に検証され得る。非限定的な例では、認可されたユーザが、ユーザが自分の電話から直接風車のピッチを調整することを許可されていることを示すチケットを、信頼できるサービスから取得した場合、風車は、インターネットに接続していなくても、ユーザから提示されたチケットを検証することができる。
【0103】
サーバアプリケーションは、IAMプロトコルを使用して認証することができる。ある特定の実装形態では、いったんTSDB内に入ると、データは、セッション鍵導出鍵を介して保護する必要がない場合があり、したがって、サーバアプリケーションは、必ずしもセッション鍵にアクセスすることなく、データを処理することができる。
【0104】
少なくとも1つの非限定的な例では、データ管理プロセスは、以下のうちの1つ以上を含むことができる。
(1)ユーザがクライアントアプリケーション(ブラウザ、スマートフォンアプリケーション)にログインしてもよい。
(2)ユーザアイデンティティを使用してサーバアプリケーションを認証する。
■このための認証情報は、認証局によって提供され得る。
■サーバアプリケーションは、IAMサービスを使用してデータ管理プラットフォームを認証し、それによって、セキュアな実行環境においてデータをどのように公開するかを特定するための適切なロールをデータ管理プラットフォームに提供することができる。
(3)認証されたアイデンティティは、タグ付けされたデータへの許可を確定するために使用されてもよい。タグ付けされたデータは、デジタル権利管理スタイルのコンテキストを指定するために、メッセージパッケージ内でクライアントによって生成されたメタデータを含むことができ、これは、例えば、限定するものではないが、以下を含むことができる。
■誰がアクセス権を有しているか、データが生成された位置(例えば、緯度及び/又は経度)は、ユーザのより多くのコースデータ(例えば、セルセクタID)、より粒度の細かいデータ(例えば、GPSデータ)などを含むことができる。
■データにアクセスしてもよいとき(例えば、時間ウィンドウ)、データ有効期限及び/又は「購入前のお試し」といったデータアクセスシナリオを可能にする。
(4)エッジからの暗号化されたデータは、TSDB内で復号され、次いで、信頼されたサービスによって統制され、次いで、アクセスがセキュア実行環境によって規制されてもよい。
(5)トラストアソシエーションは、リアルタイムサービスによって管理されてもよい。これは、例えば、限定するものではないが、デバイスごとの鍵管理、鍵更新、更新されたメタデータ生成などを含むことができる。いくつかの実施形態では、信頼できる台帳を使用して、効果的かつ比較的軽量な分散許可を維持することができる。
(1)ユーザがクライアントアプリケーション(ブラウザ、スマートフォンアプリケーション)にログインしてもよい。
(2)ユーザアイデンティティを使用してサーバアプリケーションを認証する。
■このための認証情報は、認証局によって提供され得る。
■サーバアプリケーションは、IAMサービスを使用してデータ管理プラットフォームを認証し、それによって、セキュアな実行環境においてデータをどのように公開するかを特定するための適切なロールをデータ管理プラットフォームに提供することができる。
(3)認証されたアイデンティティは、タグ付けされたデータへの許可を確定するために使用されてもよい。タグ付けされたデータは、デジタル権利管理スタイルのコンテキストを指定するために、メッセージパッケージ内でクライアントによって生成されたメタデータを含むことができ、これは、例えば、限定するものではないが、以下を含むことができる。
■誰がアクセス権を有しているか、データが生成された位置(例えば、緯度及び/又は経度)は、ユーザのより多くのコースデータ(例えば、セルセクタID)、より粒度の細かいデータ(例えば、GPSデータ)などを含むことができる。
■データにアクセスしてもよいとき(例えば、時間ウィンドウ)、データ有効期限及び/又は「購入前のお試し」といったデータアクセスシナリオを可能にする。
(4)エッジからの暗号化されたデータは、TSDB内で復号され、次いで、信頼されたサービスによって統制され、次いで、アクセスがセキュア実行環境によって規制されてもよい。
(5)トラストアソシエーションは、リアルタイムサービスによって管理されてもよい。これは、例えば、限定するものではないが、デバイスごとの鍵管理、鍵更新、更新されたメタデータ生成などを含むことができる。いくつかの実施形態では、信頼できる台帳を使用して、効果的かつ比較的軽量な分散許可を維持することができる。
【0105】
イメージ検証及び署名
開示されるシステム及び方法の様々な実施形態は、イメージ検証及び/又は署名をサポートすることができる。いくつかの実施形態では、これは、ファームウェア更新時及び/又はブート時に実行され得る。ブートローダは、プラットフォームによって検証され得る。ブートローダは、クライアントSDKを使用してカーネルイメージを検証することができ、制御をカーネルイメージに譲渡することができる。いくつかの実施形態では、カーネルは、クライアントSDKを使用して、アプリケーションイメージを検証し、かつ/又は制御をアプリケーションに譲渡することができる。アプリケーションは、クライアントSDK APIを使用して、セキュアメッセージを使用して、及び/又はシステム上の不揮発性鍵ストアからの鍵を使用して、セキュアチャネル上で他の交信を行うことができる。
開示されるシステム及び方法の様々な実施形態は、イメージ検証及び/又は署名をサポートすることができる。いくつかの実施形態では、これは、ファームウェア更新時及び/又はブート時に実行され得る。ブートローダは、プラットフォームによって検証され得る。ブートローダは、クライアントSDKを使用してカーネルイメージを検証することができ、制御をカーネルイメージに譲渡することができる。いくつかの実施形態では、カーネルは、クライアントSDKを使用して、アプリケーションイメージを検証し、かつ/又は制御をアプリケーションに譲渡することができる。アプリケーションは、クライアントSDK APIを使用して、セキュアメッセージを使用して、及び/又はシステム上の不揮発性鍵ストアからの鍵を使用して、セキュアチャネル上で他の交信を行うことができる。
【0106】
システム及び/又はサービスアーキテクチャ
図5は、本開示のシステム及び方法のある特定の実施形態を実施するために使用され得るシステム500の例を例解する。開示された実施形態の態様に関連して使用される様々なシステム、サービス及び/又はデバイスは、種々のネットワーク及び/又はネットワーク接続(例えば、ネットワーク508)を使用して通信可能に結合することができる。ある特定の実施形態では、ネットワーク708は、様々なネットワーク通信デバイス及び/又はチャネルを含み得、かつシステム及び/又はデバイス間の通信を容易にする任意の好適な通信プロトコル及び/又は規格を利用し得る。
図5は、本開示のシステム及び方法のある特定の実施形態を実施するために使用され得るシステム500の例を例解する。開示された実施形態の態様に関連して使用される様々なシステム、サービス及び/又はデバイスは、種々のネットワーク及び/又はネットワーク接続(例えば、ネットワーク508)を使用して通信可能に結合することができる。ある特定の実施形態では、ネットワーク708は、様々なネットワーク通信デバイス及び/又はチャネルを含み得、かつシステム及び/又はデバイス間の通信を容易にする任意の好適な通信プロトコル及び/又は規格を利用し得る。
【0107】
ネットワーク508は、インターネット、ローカルエリアネットワーク、仮想プライベート型ネットワーク、並びに/若しくは1つ以上の電子通信技術及び/又は規格(例えば、イーサネットなど)を利用する任意の他の通信ネットワークを含み得る。いくつかの実施形態では、ネットワーク508は、個人通信システム(「personal communications system、PCS」)などのワイヤレスキャリアシステム、並びに/若しくは任意の好適な通信規格及び/又はプロトコルを組み込んだ任意の他の好適な通信システムを含んでもよい。更なる実施形態では、ネットワーク508は、アナログ移動体通信ネットワーク、及び/又は、例えば、符号分割多重アクセス(「code division multiple access、CDMA」)、汎欧州デジタル移動体通信システム若しくはグループスペシャルモバイル(「Global System for Mobile Communications or Groupe Special Mobile、GSM」)、周波数分割多重アクセス(「frequency division multiple access、FDMA」)、及び/又は時分割多重アクセス(「time divisional multiple access、TDMA」)、ロングタームエボリューション(「long-term evolution、LTE」)、直交周波数分割多重化(「orthogonal frequency-division multiplexing、OFDM」)などを利用するデジタル移動体通信ネットワークなどを含んでもよい。ある特定の実施形態では、ネットワーク508は、1つ以上の衛星通信リンクを組み込んでもよい。なお更なる実施形態では、ネットワーク508は、IEEEの802.11規格、Bluetooth(登録商標)、超広帯域(「ultra-wide band、UWB」)Zigbee(登録商標)及び/又は任意の他の好適な標準若しくは規格を利用してもよい。
【0108】
開示される実施形態の態様に関連して使用される様々なシステム及び/又はデバイスは、本明細書に開示されるシステム及び方法を実装するのに好適な任意のコンピューティングシステム又はシステムを含む、種々のコンピューティングデバイス及び/又はシステムを備え得る。例えば、接続されたデバイス及び/又はシステムは、ラップトップコンピュータシステム、デスクトップコンピュータシステム、サーバコンピュータシステム、分散型コンピュータシステム、スマートフォン、タブレットコンピュータなどを含む、種々のコンピューティングデバイス及びシステムを含み得る。
【0109】
ある特定の実施形態では、システム及び/又はデバイスは、関連付けられた非一時的コンピュータ可読記憶媒体に記憶された命令を実行するように構成された少なくとも1つのプロセッサシステムを備え得る。以下でより詳細に考察されるように、開示された実施形態の様々な態様を実装することに関連して使用されるシステムは、信頼できる認証情報及び/又は鍵管理、暗号操作、セキュアなポリシー管理、及び/又は本明細書に開示されたシステム及び方法の他の態様などの機密オペレーションを実行するように構成されたセキュアな処理ユニット(「secure processing unit、SPU」)を更に備え得る。いくつかの実施形態では、セキュア処理ユニットは、TEEを提供及び/又は別様に実装してもよい。システム及び/又はデバイスは、任意の好適な通信技術及び/又は標準を使用して、ネットワークを介して、デバイス及び/又はシステム間の情報の電子通信を可能にするように構成されたソフトウェア及び/又はハードウェアを更に備える。
【0110】
図5に例解されるように、例示的なシステム500は、処理ユニット502と、システムメモリ504であって、処理ユニット502によって使用及び実行するためのプログラム及び他のデータを記憶するための、高速ランダムアクセスメモリ(「random access memory、RAM」)、不揮発性メモリ(「ROM」)、及び/又は1つ以上のバルク不揮発性非一時的コンピュータ可読記憶媒体(例えば、ハードディスク、フラッシュメモリなど)を含み得る、システムメモリと、1つ以上のディスケット、ポータブル記憶媒体(例えば、フラッシュメモリ、サムドライブ、USBドングル、コンパクトディスク、DVDなど)及び/又は他の非一時的コンピュータ可読記憶媒体を含み得るリムーバブルメモリ516とインターフェース接続するためのポート514と、1つ以上のネットワーク接続及び/又はネットワーク508を介して、1つ以上の通信技術を使用して他のシステムと通信するためのネットワークインターフェース506と、ディスプレイ及び/又は、例えば、タッチスクリーン、キーボード、マウス、トラックパッドなどの1つ以上の入出力デバイスを含み得るユーザインターフェース512と、システム500の要素と通信可能に結合するための1つ以上のバス518と、を備え得る。
【0111】
いくつかの実施形態では、システム500は、セキュアな物理的及び/又は仮想セキュリティ技法を利用することによって、代替的に又は追加的に、システム500又は他のエンティティのユーザによる改ざんから保護されるSPU710を含むことができる。SPU510は、個人情報管理、信頼できる認証情報及び/又は鍵の管理、プライバシー及びポリシー管理、並びに本明細書に開示されたシステム及び方法の他の態様などの機密オペレーションのセキュリティを強化するのに役立つことができる。ある特定の実施形態では、SPU510は、論理的にセキュアな処理ドメイン内で動作し、本明細書に記載されるように秘密情報を保護し操作するように構成されてもよい。いくつかの実施形態では、SPU510は、本明細書で説明するように、SPU510がセキュアなオペレーションを実行することができるように構成された実行可能命令又はプログラムを記憶する内部メモリを含むことができる。
【0112】
システム500のオペレーションは、一般に、システムメモリ504(及び/又はリムーバブルメモリ516のような他のコンピュータ可読媒体)に記憶されたソフトウェア命令及びプログラムを実行することによって操作する処理ユニット502及び/又はSPU510によって制御され得る。システムメモリ504は、システム500のオペレーションを制御するための様々な実行可能プログラム又はモジュールを記憶することができる。例えば、システムメモリは、少なくとも部分的にシステムハードウェアリソースを管理及び調整し、様々なアプリケーションの実行のための共通サービスを提供するオペレーティングシステム(「operating system、OS」)520と、関連するポリシーの管理及び/又は実施を通じた個人データの保護及び/又は管理を含む信頼及びプライバシー管理機能を実装するための信頼及びプライバシー管理システム522とを含むことができる。システムメモリ504は、限定するものではないが、システム500との及びシステム500による通信を部分的に可能にするように構成された通信ソフトウェア524、開示されるシステム及び/若しくは方法の様々な態様を実装するように構成された1つ以上のアプリケーション、データ管理、及び/又はEPNサービスモジュール526、並びに/又は本明細書で開示されるシステム及び方法の実施形態及び/若しくはその態様を実装するように構成された他の情報及び/若しくはアプリケーションを更に含むことができる。
【0113】
本明細書に開示されるシステム及び方法は本来的に、任意の特定のコンピュータ、電子制御ユニット、又は他の装置に関連せず、ハードウェア、ソフトウェア、及び/又はファームウェアの好適な組み合わせによって実装され得る。ソフトウェアの実装形態により、プロセッサによって実行されるときに、プロセッサに実行可能命令によって少なくとも部分的に定義された方法を実行させ得る実行可能コード/命令を含む、1つ以上のコンピュータプログラムを含み得る。コンピュータプログラムは、コンパイル又はインタプリタ言語を含む任意の形態のプログラミング言語で記述することができ、かつスタンドアロンプログラムとして、又はモジュール、コンポーネント、サブルーチン、又はコンピューティング環境で使用するのに好適な他のユニットとして、任意の形態で展開することができる。更に、コンピュータプログラムは、1つのコンピュータ上で、又は1つのサイト若しくは分散された複数のサイトでの複数のコンピュータであって、通信ネットワークによって相互接続されコンピュータ上で実行されるように展開することができる。
【0114】
ソフトウェア実施形態は、プロセッサによって実行されるときに、プロセッサに命令に従って方法を実行させるように構成されている、コンピュータプログラム及び命令を記憶するように構成された非一時的記憶媒体を含むコンピュータプログラム製品として実装され得る。ある特定の実施形態では、非一時的記憶媒体は、非一時的記憶媒体にプロセッサ可読命令を記憶することができる任意の形態を採り得る。非一時的記憶媒体は、コンパクトディスク、デジタルビデオディスク、磁気ディスク、フラッシュメモリ、集積回路、又は任意の他の非一時的デジタル処理装置メモリデバイスによって具体化され得る。
【0115】
前述のことは、明瞭化のためにある程度詳細に説明されているが、本発明の原理から逸脱することなく、ある特定の変更及び改変が行われ得ることは明らかであろう。例えば、図面及び/又は関連する説明に関連して提示される様々な実施形態、システム、サービス、及び/又はコンポーネントに対して、本発明のワーク本体の範囲内でいくつかの変形を行うことができ、図面に提示され、本明細書で説明される例は、限定ではなく、例示及び説明の目的で提供されることが理解されよう。本明細書に記載されたシステム及び方法の両方を実装する多くの代替方式があることに更に留意されたい。したがって、本実施形態は、例示的であり、限定的ではないと考えられるべきであり、本発明の実施形態は、本明細書に与えられた詳細に限定されるべきではなく、添付の特許請求の範囲の範囲及び均等物内で修正され得る。
【図1】
【図2】
【図3】
【図4】
【図5】
【国際調査報告】