知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2025-08-26
(54)【発明の名称】カスタマ構内設備を接続するためのシステム及び方法
(51)【国際特許分類】
G06F 21/60 20130101AFI20250819BHJP
H04L 12/46 20060101ALI20250819BHJP
H04L 67/562 20220101ALI20250819BHJP
G06F 15/00 20060101ALI20250819BHJP
【FI】
G06F21/60 360
H04L12/46 V
H04L67/562
G06F15/00 420A
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2025505756
(86)(22)【出願日】2023-07-21
(85)【翻訳文提出日】2025-01-31
(86)【国際出願番号】 US2023070655
(87)【国際公開番号】W WO2024036032
(87)【国際公開日】2024-02-15
(31)【優先権主張番号】17/884,393
(32)【優先日】2022-08-09
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
2.JAVASCRIPT
3.VISUAL BASIC
4.FRAM
5.FIREWIRE
(71)【出願人】
【識別番号】391020182
【氏名又は名称】ソウラー タービンズ インコーポレイテッド
【氏名又は名称原語表記】SOLAR TURBINES INCORPORATED
(74)【代理人】
【識別番号】110001243
【氏名又は名称】弁理士法人谷・阿部特許事務所
(74)【代理人】
【識別番号】110002848
【氏名又は名称】弁理士法人NIP&SBPJ国際特許事務所
(72)【発明者】
【氏名】アゴスタニ、マルコ
(72)【発明者】
【氏名】アブルッツォ、ダリオ
(72)【発明者】
【氏名】ジャンナッティ、ガブリエーレ
(72)【発明者】
【氏名】コロンボ、シモーネ
【テーマコード(参考)】
5K033
【Fターム(参考)】
5K033AA08
5K033EC01
(57)【要約】
カスタマ構内設備を接続するためのシステム及び方法
カスタマ構内設備(CPE)(102)を本部本番環境(110)に自動的かつ安全に接続するためのシステム及び方法が開示される。本方法は、ハンドシェイクメッセージをCPE(102)から本部事前登録サーバ(106)に自動的に送信することと、CPE(102)と離間サーバとの間に汎用VPNトンネル(113)を確立することと、CPEから1つ以上のパラメータを取得し、事前登録トンネル(114)を確立することと、1つ以上のパラメータを使用してCPE(102)を検証することと、CPE(102)と本番環境(110)との間に本番トンネル(113)を確立することと、を含む。
カスタマ構内設備(CPE)(102)を本部本番環境(110)に自動的かつ安全に接続するためのシステム及び方法が開示される。本方法は、ハンドシェイクメッセージをCPE(102)から本部事前登録サーバ(106)に自動的に送信することと、CPE(102)と離間サーバとの間に汎用VPNトンネル(113)を確立することと、CPEから1つ以上のパラメータを取得し、事前登録トンネル(114)を確立することと、1つ以上のパラメータを使用してCPE(102)を検証することと、CPE(102)と本番環境(110)との間に本番トンネル(113)を確立することと、を含む。
【特許請求の範囲】
【請求項1】
カスタマ構内設備(CPE)(102)を本番環境(110)に接続する方法であって、第三者ネットワーク(104)を介して前記CPE(102)から事前登録サーバ(106)にハンドシェイクパケットを送信することと、
前記事前登録サーバ(106)を介して、前記ハンドシェイクパケットが正当であると判定することと、
前記CPE(102)から識別パラメータを取得することと、
前記CPE(102)と本部データセンタの離間部分との間に事前登録トンネルを確立することと、
前記識別パラメータを使用して前記CPE(102)を検証することと、
前記検証に応答して、前記CPE(102)と前記本番環境(110)との間の安全な接続(116)を確立することと、を含む、方法。
【請求項2】
前記ハンドシェイクパケットを送信することは、前記ハンドシェイクパケットを連続的に送信することを含む、請求項1に記載の方法。
【請求項3】
前記ハンドシェイクパケットを送信することは、前記CPE(102)上に予めプログラミングされた公開IPアドレスに前記ハンドシェイクパケットを自動的に送信することを含む、請求項1に記載の方法。
【請求項4】
前記ハンドシェイクパケットが正当であると判定することは、少なくとも、予想鍵で前記ハンドシェイクパケットを検証することを含む、請求項1に記載の方法。
【請求項5】
前記ハンドシェイクパケットが正当であると判定することは、少なくとも、前記ハンドシェイクパケットがVPN開始要求を含むと判定することを含む、請求項1に記載の方法。
【請求項6】
前記ハンドシェイクパケットが正当であると判定することは、少なくとも、前記ハンドシェイクパケットが既存のフローの一部ではないと判定することを含む、請求項1に記載の方法。
【請求項7】
前記事前登録トンネルを確立する前に、汎用VPNトンネルを確立し、前記CPEへのセキュアシェル(SSH)セッションを開いて、CPE識別パラメータを取り出し、かつアドホックパラメータを送信して事前登録トンネルを設定することをさらに含む、請求項1に記載の方法。
【請求項8】
前記CPEを検証することは、前記本部データセンタのユーザが前記識別パラメータのうちの少なくともいくつかを閲覧できるようにすることと、前記CPEの手動検証を前記ユーザから受信することと、を含む、請求項1に記載の方法。
【請求項9】
前記CPEを検証することは、前記識別パラメータのうちの少なくともいくつかを1つ以上の予想パラメータと自動的に比較することを含む、請求項1に記載の方法。
【請求項10】
前記識別パラメータは、固有のシリアル番号、公開IPアドレス、及び登録時間のうちの1つ以上を含む、請求項1に記載の方法。
【請求項11】
前記CPEを検証する前に、前記CPEを事前登録キューに入れることをさらに含む、請求項10に記載の方法。
【請求項12】
前記CPEを前記事前登録キューに入れる前に、前記CPEが、事前登録のために利用可能であると判定することをさらに含む、請求項11に記載の方法。
【請求項13】
第三者ネットワーク(104)を介してCPE(102)に接続するためのシステムであって、前記システムは、前記CPE(102)から汎用VPNトンネル開始要求を受信し、
前記汎用VPNトンネル開始要求を認証し、
前記CPE(102)への第1の汎用VPNトンネル(113)を確立し、
前記汎用VPNトンネル内の保護された通信チャネルを使用して前記CPE(102)から1つ以上のパラメータを取得し、
第2のCPEアドホック事前登録トンネル(114)を確立する前記CPE(102)を事前登録し、そして
前記CPE(102)と本番サーバ(108)との間に第3のVPNトンネル(116)を確立する、ように構成される事前登録サーバ(106)を含む、システム。
【請求項14】
前記第1の汎用VPNトンネル(113)及び前記第2のCPEアドホック事前登録トンネル(114)は、CPE(102)と離間サーバとの間にあり、前記離間サーバは、前記本番サーバ(108)から離間される、請求項13に記載のシステム。
【請求項15】
前記1つ以上のパラメータに基づいて前記CPEを事前登録することは、前記CPE(102)の固有のシリアル番号が、登録された装置のデータベースにないと判定することと、少なくとも前記判定に基づいて、前記CPE(102)を事前登録することと、を含む、請求項13に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本明細書に記載の実施形態は、一般に、遠隔設備の構成に関し、より詳細的には、第三者ネットワークを介してカスタマ構内設備を自動的かつ安全に接続することに関する。
【技術背景】
【0002】
いくつかの会社/事業体は、例えば、カスタマ構内設備(CPE)を構成/維持/更新/指示/検査するために、(例えば、CPEを郵送するか、又は技術者を派遣してCPEを設置することによって)CPEを遠隔に位置するカスタマに配布し、次にCPEを会社サーバ/ネットワークに安全に接続する必要がある。会社は、常に、1つ以上の第三者ネットワークを使用して(例えば、インターネットを使用して)CPEに接続する必要がある。
【0003】
米国特許第10,069,802号は、構成サーバ、DHCPサーバ、及びCPEを含むネットワークにおいてCPEを安全に構成するための方法を記載する。本方法は、CPEにインターネットプロトコル(IP)アドレスをリースする要求をCPEから受信することと、CPEの媒体アクセス制御(MAC)アドレスの一部をIPアドレスに埋め込むことと、CPEを認証することと、CPEに構成を提供することと、を含む。本方法はまた、CPEの特性属性を使用して暗号鍵を生成して安全な接続を確立することを含む。
【0004】
本開示は、本発明者らによって発見された1つ以上の問題を克服することに関する。
【発明の概要】
【0005】
一実施形態では、カスタマ構内設備(CPE)を本番環境に接続する方法が開示される。本方法は、第三者ネットワークを介して前記CPEから事前登録サーバにハンドシェイクパケットを送信することと、前記事前登録サーバを介して、前記ハンドシェイクパケットが正当であると判定することと、前記CPEから識別パラメータを取得することと、前記CPEと本部データセンタの離間部分との間に事前登録トンネルを確立することと、前記識別パラメータを使用して前記CPEを検証することと、前記検証に応答して、前記CPEと前記本番環境との間の安全な接続を確立することと、を含む。
【0006】
一実施形態では、第三者ネットワークを介してCPEに接続するためのシステムが開示される。本システムは、前記CPEから汎用VPNトンネル開始要求を受信し、前記汎用VPNトンネル開始要求を認証し、前記CPEへの第1の汎用VPNトンネルを確立し、前記汎用VPNトンネル内の保護された通信チャネルを使用して前記CPEから1つ以上のパラメータを取得し、第2のCPEアドホック事前登録トンネルを確立する前記CPEを事前登録し、そして前記CPEと本番サーバとの間に第3のVPNトンネルを確立する、ように構成される事前登録サーバを含む。
【0007】
一実施形態では、CPEを認証する方法が開示される。本方法は、前記CPEからハンドシェイクパケットを受信することと、前記ハンドシェイクパケットを検証することと、少なくとも検証に応答して、前記CPEへの汎用VPNトンネルを確立することと、前記汎用VPNトンネル内の保護された通信チャネルを使用して1つ以上のCPEパラメータを取得することと、1つ以上のCPEパラメータに基づいて、CPEが真正であると検証し、事前登録トンネルを確立することと、を含む。
【図面の簡単な説明】
【0008】
本開示の実施形態の詳細は、それらの構造及び動作の両方に関して、同様の参照番号が同様の部分を指す添付の図面の検討によって部分的に収集されてもよい。
【0009】
【発明を実施するための形態】
【0010】
添付の図面に関して以下に記載する発明を実施するための形態は、様々な実施形態を説明するものであり、本開示が実施されてもよい実施形態のみを表すものではない。発明を実施するための形態は、実施形態の完全な理解を与えるための具体的な詳細を含む。しかしながら、当業者にとって、本発明の実施形態がこれらの具体的な詳細なしで実施することができることは、明らかである。いくつかの例では、説明を簡潔にするために、既知の構造及び構成要素を簡略形式で示す。
【0011】
説明を明確かつ容易にするために、いくつかの表面及び詳細は、本説明及び図において省略されてもよい。また、本明細書で使用されるように、「側部」、「上部」、「底部」、「前部」、「後部」、「上方」、「下方」などの用語は、様々な部品の相互の相対的な位置を伝えるために理解の便宜上使用され、絶対的な用語で(例えば、外部環境又は地面に対して)それらの部品の任意の特定の向きを暗示するものではないことを理解されたい。
【0012】
以下の実施形態は、簡単かつ高速なカスタマネットワーク構成を提供し、世界中で広くかつ容易にスケーラブルであり、(カスタマ構内ネットワークセキュリティによって禁止されてもよい)カスタマ構内ネットワークの外部からCPEへの接続を開始する必要性を排除し、高レベルのセキュリティを提供し、最新のセキュリティプロトコルをサポートし、同じカスタマネットワーク上の設備の同時かつ複数台の設置をサポートし、そしてハードウェア交換の場合に現場でゼロタッチ構成を可能にする、カスタマ構内設備に自動的に接続するシステム及び方法を説明する。
【0013】
図1は、例示的な実施形態に係る、データ送信を含む本番システムを示す。
【0014】
CPE102は、オンサイト生産又はデータ収集設備112(例えば、タービン、センサなど)とインターフェース/接続されるネットワーク接続装置(例えば、ルータ又はゲートウェイ)であってもよい。CPE102は、エンティティ(例えば、会社/ビジネス)によってカスタマに提供(例えば、リース又は販売)される。CPEは、CPE102の1つ以上のパラメータを(手動で又は自動的に)収集する技術者(例えば、会社の従業員)によってカスタマの施設に設置される。設置後、会社は、設置パラメータを使用してCPE102を識別及び認証するいくつかの方法を有する。例えば、設置場合に、技術者は、設置の時間/日付及びCPEの予想IPアドレスを書き留めてもよい。また、CPEは、さらなる識別特徴、例えば、装置シリアル番号で製造又は事前設置されてもよい。最後に、例示的な実施形態では、CPE102は、事前登録サーバ106の公開IPアドレスに所定のハンドシェイクメッセージを継続的に送信することにより、会社事前登録サーバ106への汎用VPNトンネルの確立を自動的に試みるように事前プログラミングされる。
【0015】
ネットワーク104は、インターネットを含んでもよく、CPE102は、ハイパーテキストトランスファープロトコル(HTTP)、HTTPセキュア(HTTPS)、ファイルトランスファープロトコル(FTP)、FTPセキュア(FTPS)及びセキュアシェルFTP(SFTP)などの標準送信プロトコル、ならびに独自のプロトコルを使用して、インターネットを介して事前登録サーバ106と通信してもよい。ネットワーク(複数可)104は、カスタマ構内イントラネット、カスタマ構内ローカルエリアネットワーク(複数可)、LTE/4G/5Gネットワークなどをさらに含んでもよい。CPE102は、ネットワーク(複数可)104の単一のセットを介して事前登録サーバ106に接続されるものとして示されるが、CPE102は、1つ以上のネットワークの異なるセットを介して様々なシステムに接続されてもよいことを理解されたい。
【0016】
会社の本部データセンタは、事前登録サーバ106、本番サーバ108、及び本番環境110を含んでもよい。例示的な実施形態では、事前登録サーバ106は、定義された事前登録サーバIPアドレスを有する専用サーバであってもよい。単一の事前登録サーバ106が論じられるが、事前登録サーバ106は、本明細書に記載の1つ以上の事前登録サーバ機能、プロセス、方法、及び/又はソフトウェアモジュールをホスト及び/又は実行する1つ以上のサーバを含んでもよい。事前登録サーバ106は、サーバアプリケーション及び/又は1つ以上のデータベースを含むか、又はそれらに通信可能に接続されてもよい。(CPE102によって開始される)汎用VPNトンネル113は、CPE102と事前登録サーバとの間に形成されてもよい。事前登録トンネル114は、CPE102と事前登録サーバ106との間に形成されてもよい。
【0017】
本部データセンタのユーザ端末118は、事前登録サーバ106及び本番サーバ108に通信可能に接続され、ユーザ/エンジニアによって使用されて両方にアクセスしてもよい。
【0018】
本番サーバ108は、定義された本番サーバIPアドレスを有する専用サーバであってもよい。一実施形態では、本番サーバ108は、本番環境110又はその一部に接続される。本番環境110は、複数のカスタマ設備(遠隔設備112を含む)から収集されたデータを集約及び分析する複数のサーバ及び/又はクラウドインスタンスであってもよい。例えば、本番環境110は、会社/企業に属するか、又は会社/企業によってサービス提供されるあらゆる遠隔設備(例えば、タービン)から様々なセンサデータを収集及び分析してもよい。本番トンネル116は、CPE102と本番サーバ108との間に形成されてもよい。本番トンネル116は、遠隔設備112と本部本番環境110との間でサイト間本番データを送信するために使用されてもよい。
【0019】
図2は、本明細書に記載の様々な実施形態に関連して使用されてもよい例示的な有線又は無線システム200を示すブロック図である。例えば、システム200は、(例えば、実装ソフトウェアを記憶及び/又は実行するために)本明細書に記載の機能、プロセス、又は方法のうちの1つ以上として、又はそれらと組み合わせて使用されてもよく、CPE102、事前登録サーバ106、本番サーバ108、ユーザ装置/端末118、及び/又は本明細書に記載の他の処理装置の部品を表してもよい。システム200は、サーバもしくは任意の従来のパーソナルコンピュータ、又は有線もしくは無線データ通信が可能な任意の他のプロセッサ対応装置とすることができる。当業者が明らかなように、また他のコンピュータシステム及び/又はアーキテクチャを使用してもよい。
【0020】
システム200は、好ましくは、1つ以上のプロセッサ210を含む。プロセッサ(複数可)210は、中央処理装置(CPU)を含んでもよい。グラフィックス処理ユニット(GPU)、入力/出力を管理するための補助プロセッサ、浮動小数点数学演算を実行するための補助プロセッサ、信号処理アルゴリズムの高速実行に適したアーキテクチャを有する専用マイクロプロセッサ(例えば、デジタル信号プロセッサ)、メイン処理システムに従属するプロセッサ(例えば、バックエンドプロセッサ)、デュアル若しくはマルチプロセッサシステムのための追加のマイクロプロセッサ又はコントローラ、及び/又はコプロセッサなどの追加のプロセッサが提供されてもよい。そのような補助プロセッサは、離散プロセッサであってもよいか、又はプロセッサ210と一体化されてもよい。システム200とともに使用されてもよいプロセッサとしては、カリフォルニア州サンタクララのIntel Corporationから入手可能なプロセッサ(例えば、Pentium(登録商標)、Core(商標)i7、Xeon(登録商標)など)のうちのいずれか、カリフォルニア州サンタクララのAdvanced Micro Devices,Incorporated(AMD)から入手可能なプロセッサのうちのいずれか、クパチーノのApple Inc.から入手可能なプロセッサのうちのいずれか(例えば、Aシリーズ、Mシリーズなど)、韓国ソウルのSamsung Electronics Co., Ltd.から入手可能なプロセッサのうちのいずれか(例えば、Exynos(登録商標))、オランダのEindhovenのNXP Semiconductors N.V.から入手可能なプロセッサのうちのいずれかなどが挙げられるが、これらに限定されない。
【0021】
プロセッサ210は、好ましくは、通信バス205に接続される。通信バス205は、ストレージとシステム200の他の周辺部品との間の情報転送を容易にするためのデータチャネルを含んでもよい。さらに、通信バス205は、プロセッサ210との通信のために使用された1セットの信号を提供し、データバス、アドレスバス、及び/又は制御バス(図示せず)を含んでもよい。通信バス205は、例えば、業界標準アーキテクチャ(ISA)、拡張業界標準アーキテクチャ(EISA)、マイクロチャネルアーキテクチャ(MCA)、周辺部品相互接続(PCI)ローカルバス、電気電子技術者協会(IEEE)によって公表された規格等に準拠するバスアーキテクチャなどの任意の標準又は非標準バスアーキテクチャを含んでもよい。
【0022】
システム200は、好ましくは、メインメモリ215を含み、二次メモリ220も含んでもよい。メインメモリ215は、本明細書に記載のソフトウェアのいずれかなど、プロセッサ210上で実行されるプログラムのための命令及びデータのストレージを提供する。メモリに記憶され、プロセッサ210によって実行されるプログラムは、C/C++、Java、JavaScript、Perl、Visual Basic,.NETなどを含むが、これらに限定されない任意の適切な言語に従って書き込まれる及び/又はコンパイルされてもよいことを理解されたい。メインメモリ215は、典型的には、ダイナミックランダムアクセスメモリ(DRAM)及び/又はスタティックランダムアクセスメモリ(SRAM)などの半導体ベースのメモリである。他の半導体ベースのメモリタイプは、例えば、同期ダイナミックランダムアクセスメモリ(SDRAM)、Rambusダイナミックランダムアクセスメモリ(RDRAM)及び強誘電体ランダムアクセスメモリ(FRAM)などを含み、読み出し専用メモリ(ROM)を含む。
【0023】
二次メモリ220は、コンピュータ実行可能なコード(例えば、本明細書に開示されるソフトウェアのいずれか)及び/又は他のデータが記憶された非一時的コンピュータ可読媒体である。二次メモリ220に記憶されたコンピュータソフトウェア又はデータは、プロセッサ210による実行のためにメインメモリ215に読み込まれる。二次メモリ220は、例えば、プログラマブル読取り専用メモリ(PROM)、消去可能プログラマブル読取り専用メモリ(EPROM)、電気的消去可能読取り専用メモリ(EEPROM)及びフラッシュメモリ(EEPROMと同様のブロック指向メモリ)など、半導体ベースのメモリを含んでもよい。
二次メモリ220は、任意選択に、内部媒体225及び/又は取り外し可能な媒体230を含んでもよい。取り外し可能な媒体230は、任意の周知の方法で読み出され、及び/又は書き込まれる。取り外し可能な記憶媒体230は、例えば、磁気テープドライブ、コンパクトディスク(CD)ドライブ、デジタル多用途ディスク(DVD)ドライブ、他の光学ドライブ、及びフラッシュメモリドライブなどであってもよい。
二次メモリ220は、任意選択に、内部媒体225及び/又は取り外し可能な媒体230を含んでもよい。取り外し可能な媒体230は、任意の周知の方法で読み出され、及び/又は書き込まれる。取り外し可能な記憶媒体230は、例えば、磁気テープドライブ、コンパクトディスク(CD)ドライブ、デジタル多用途ディスク(DVD)ドライブ、他の光学ドライブ、及びフラッシュメモリドライブなどであってもよい。
【0024】
実施形態では、I/Oインターフェース235は、システム200の1つ以上の部品と、1つ以上の入力及び/又は出力装置との間のインターフェースを提供する。入力装置としては、例えば、センサ、キーボード、タッチスクリーン又は他のタッチ感知装置、カメラ、生体感知装置、コンピュータマウス、トラックボール、及び/又はペンベースのポインティング装置などが挙げられるが、これらに限定されない。出力装置としては、例えば、他の処理装置、陰極線管(CRT)、プラズマディスプレイ、発光ダイオード(LED)ディスプレイ、液晶ディスプレイ(LCD)、プリンタ、真空蛍光ディスプレイ(VFD)、表面伝導型電子放出素子ディスプレイ(SED)、及び/又は電界放出ディスプレイ(FED)などが挙げられるが、これらに限定されない。場合によっては、タッチパネルディスプレイ(例えば、ディスプレイコンソールであるか、又はスマートフォン、タブレットコンピュータ、若しくは他のモバイル装置における)の場合などに、入力及び出力装置が組み合わせられてもよい。
【0025】
システム200は、通信インターフェース240を含んでもよい。通信インターフェース240は、ソフトウェア及びデータが、システム200と外部装置(例えば、プリンタ)、ネットワーク(例えば、ネットワーク(複数可)104)、又は他の情報源との間で転送されることを可能にする。例えば、コンピュータソフトウェア又は実行可能なコードは、通信インターフェース240を介してネットワークサーバ(例えば、事前登録サーバ106又は本番サーバ108)からシステム200に転送されてもよい。通信インターフェース240としては、例えば、内蔵ネットワークアダプタ、ネットワークインターフェースカード(NIC)、PCメモリカード国際協会(PCMCIA)ネットワークカード、カードバスネットワークアダプタ、無線ネットワークアダプタ、ユニバーサルシリアルバス(USB)ネットワークアダプタ、モデム、無線データカード、通信ポート、赤外線インターフェース、IEEE 1394 FireWire、及びシステム200をネットワーク(例えば、ネットワーク(複数可)104)又は別のコンピューティング装置とインターフェースすることができる任意の他の装置が挙げられる。通信インターフェース240は、好ましくは、イーサネットIEEE802規格、ファイバチャネル、デジタル加入者線(DSL)、非同期デジタル加入者線(ADSL)、フレームリレー、非同期転送モード(ATM)、統合デジタルサービスネットワーク(ISDN)、パーソナル通信サービス(PCS)、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、シリアル回線インターネットプロトコル/ポイントツーポイントプロトコル(SLIP/PPP)などの業界公布プロトコル規格を実装するが、カスタマイズされたか又は非標準インターフェースプロトコルも実装してもよい。
【0026】
通信インターフェース240を介して転送されるソフトウェア及びデータは、概して、電気通信信号255の形態である。これらの信号255は、通信チャネル250を介して通信インターフェース240に提供されてもよい。実施形態では、通信チャネル250は、有線もしくは無線ネットワーク(例えば、ネットワーク(複数可)104)、又は任意の様々な他の通信リンクであってもよい。通信チャネル250は、信号255を伝送し、いくつか例を挙げると、ワイヤ又はケーブル、光ファイバ、従来の電話回線、携帯電話リンク、無線データ通信リンク、無線周波数(「RF」)リンク、又は赤外線リンクを含むさまざまな有線又は無線通信手段を使用して実装することができる。
【0027】
コンピュータ実行可能なコード(例えば、開示されたソフトウェアなどのコンピュータプログラム)は、メインメモリ215及び/又は二次メモリ220に記憶される。コンピュータ実行可能なコードはまた、通信インターフェース240を介して受信され、メインメモリ215及び/又は二次メモリ220に記憶することができる。そのようなコンピュータプログラムは、実行されると、システム200が、本明細書の他の箇所に記載の開示された実施形態の様々な機能を実行することを可能にする。
【0028】
この明細書では、「コンピュータ可読媒体」という用語は、コンピュータ実行可能なコード及び/又は他のデータをシステム200に、又はシステム200内で提供するために使用された任意の非一時的コンピュータ可読記憶媒体を指すために使用される。そのような媒体としては、例えば、メインメモリ215、二次メモリ220(内部メモリ225及び/又は取り外し可能な媒体230を含む)、外部記憶媒体245、及び通信インターフェース240と通信可能に結合された任意の周辺装置(ネットワーク情報サーバ又は他のネットワーク装置を含む)を含む。これらの非一時的コンピュータ可読媒体は、ソフトウェア及び/又は他のデータをシステム200に提供するための手段である。
【0029】
システム200はまた、音声ネットワーク及び/又はデータネットワーク(例えば、ネットワーク104)を介した無線通信を容易にする任意の無線通信構成要素を含んでもよい。無線通信部品は、アンテナシステム270、無線システム265、及びベースバンドシステム260を含む。ベースバンドシステム260は、プロセッサ(複数可)210と通信可能に結合される。システム200において、無線周波数(RF)信号は、無線システム265の管理でアンテナシステム270によって無線で送受信される。
【0030】
図3は、CPE102の観点から、CPE102を会社本番環境110に自動的に接続する方法の流れ図である。図3の方法は、図1のシステムにおいて実装されてもよい。図3に記載の機能/プロセスは、図2に記載のシステムの1つ以上の部分を使用してCPE102のソフトウェアモジュールとして実装されてもよい。
【0031】
ステップ302において、CPE102は、遠隔環境に設置される。CPE102は、遠隔本番環境112と本部データセンタ本番環境110との間でデータを収集及び伝送するためのより広範なプロジェクトの一部として設置される。例示的な実施態様において、現場技術者は、CPE102を設置し、CPEをネットワーク104に接続するために、物理的に現場にいる。一実施形態では、設置は、設置用の識別パラメータを受信する本部データセンタ労働者/技術者と同期して行われてもよい。識別パラメータは、CPE102の予想識別パラメータとしてこの時点で記録/送信される。設置されたCPE102は、いくつかの識別パラメータ、例えば、装置シリアル番号及び公開鍵(複数可)を自動的に含む。また、現場技術者は、設置中に、CPE102構成IP及びデフォルトゲートウェイ、CPE102ソース公開IP、設置の日時などの他の識別パラメータを収集する。一実施形態では、予想の登録日付/時間は、識別に含まれる。予想の日付/時間は、例えば、CPEの位置、所定のスケジュールなどに基づいて、現場技術者によって決定されてもよい。一実施形態では、識別パラメータの一部又は全部を本部データセンタに自動的に送信してもよい。
【0032】
ステップ304において、CPE102は、ネットワーク(複数可)104に接続され、CPE102は、ネットワーク(複数可)104を介して本部データセンタに到達してもよい。
【0033】
ステップ306において、CPE102は、ハンドシェイクパケットを本部(例えば、事前登録公開サーバ106)に送信することでその自体を告知する。例示的な実施形態では、CPE102は、予想プロトコル内のハンドシェイクメッセージを事前登録サーバ106の公開IPアドレスに送信するように事前プログラミングされる。CPE102は、(i)インターネットを介してトラフィックを送信する能力を有し、(ii)事前登録サーバ106から適切な応答を受信しない限り、ハンドシェイクメッセージを無期限(例えば、定期的又はスケジュール通り)に送信し続ける。例示的な実施形態では、ハンドシェイクメッセージは、暗号化された仮想プライベートネットワーク(VPN)開始要求を含む。一実施例では、VPN開始要求は、WireGuard開始要求であるが、他の汎用VPNプロトコルが使用されてもよい。暗号化キーセットは、CPE上に事前プログラミング/事前設置される。
【0034】
ステップ308において、CPE102は、本部(例えば、事前登録サーバ106)からハンドシェイクメッセージへの応答を受信する。一実施形態では、応答は、CPEによって開始されるような、汎用VPNトンネル113の作成を含む。
【0035】
ステップ310において、CPE102は、汎用VPNトンネル113内でセキュアシェル(SSH)セッション開始を受信する。ステップ312において、CPE102は、SSHセッションに応答を送信する。
【0036】
ステップ314~320において、CPE102は、識別パラメータの要求を受信し(ステップ314)、識別パラメータをSSHセッション内で送信する(ステップ316)。ステップ316において、CPE102は、例えば、装置シリアル番号、装置構成IP及びデフォルトゲートウェイ、装置ソース公開IP、CPE設置/登録日時などを含むその識別パラメータを送信する。識別パラメータを送信した後、CPE102は、本部データセンタがCPE102を検証するまで待機し、ステップ318において、CPEは、事前登録サーバ106からアドホック事前登録トンネル114構成パラメータを受信する。ステップ320において、CPEは、アドホック事前登録トンネル114を確立する。
【0037】
最終/手動検証の後、ステップ322において、会社本部データセンタサーバ(例えば、事前登録サーバ106、本番サーバ108など)は、CPE102から本部本番サーバ108への最終的な本番トンネル116を生成する。本番トンネル116を確立した後、CPE102は、遠隔本番データ(例えば、タービンデータ)を本番環境110に送信してもよい。
【0038】
図4は、本部の観点から図3の方法のフロー図である。図4のプロセスは、図1の本番システム内に実装されてもよい。図4に記載の機能/プロセスは、図2に記載のシステムの1つ以上の部分を使用して、(例えば、事前登録サーバ106、本番サーバ108などの)ソフトウェアモジュールとして少なくとも部分的に実装されてもよい。
【0039】
ステップ402において、事前登録サーバ106は、準備ができており、ハンドシェイクメッセージ/パケットを受信するのを待っている。
【0040】
ステップ404において、事前登録サーバ106は、CPE102からハンドシェイクパケットを受信する。一実施形態では、ハンドシェイクパケットは、予想鍵で検証されるVPN開始要求を含む。
【0041】
ステップ406~410において、事前登録サーバ106は、ハンドシェイクパケットの初期検証ステップを実行する。ステップ406~410は、図4の方法内の第1の認証ステップを表す。ステップ406において、事前登録サーバ106は、ハンドシェイクメッセージが既存のフローの一部ではないと判定する。ハンドシェイクメッセージが既存のフローの一部であれば、事前登録は、さらなるステップを実行せず、デフォルトで待機に戻る(ステップ402)。ステップ408において、ハンドシェイクメッセージが新しいCPEからのものであれば、事前登録サーバ106は、メッセージが適切なVPN開始要求(例えば、WireGuard開始要求)を含むか否かを判定する。パケットが開始要求を含まなければ、事前登録サーバ106は、待機に戻る。ステップ410において、事前登録サーバ106は、公開CPE暗号鍵が予想暗号鍵と一致するか否かを判定する。鍵が一致しない場合、事前登録サーバは、ステップ402に戻る。鍵が一致する場合、プロセスは、ステップ412に進む。
【0042】
ハンドシェイクメッセージが検証されると、ステップ412及び414は、実行される。ステップ412において、事前登録サーバ106は、ハンドシェイクメッセージに応答する。ステップ414において、事前登録サーバ106は、VPN開始要求に基づいて、CPE102への汎用VPNトンネル113を確立する。
【0043】
ステップ416において、事前登録サーバ106は、汎用VPNトンネル113においてCPE102へのSSHセッションを開く。
【0044】
ステップ417において、事前登録サーバ106は、CPEから適切な応答を受信する。このポイントで、装置/CPE102は、本物のCPEとして検証される。これは、図4の方法中の第2の認証ステップである。
【0045】
ステップ418において、事前登録サーバ106は、SSHセッションを使用してCPE102からCPE識別パラメータを取り出す。一実施形態では、事前登録サーバ106は、CPE102に要求を送信し、要求に応答してパラメータを受信する。識別パラメータは、装置シリアル番号、装置構成IP及びデフォルトゲートウェイ、装置ソース公開IP、ならびに設置及び/又は登録日時のうちの1つ以上を含んでもよい。
【0046】
ステップ422において、事前登録サーバ106は、CPE102を事前登録する(アドホックトンネルパラメータをCPEに送信し、事前登録トンネルを確立し、CPEを事前登録キューに挿入する)。例示的な実施態様において、事前登録サーバ106はまた、例えば、CPE102のディスプレイ上に通知/メッセージを示すために(例えば、装置が事前登録されることをユーザに知らせるために)、CPE102にコマンドを送信する。ステップ422において、CPE102は、最終検証及び事前登録サーバ106プロセスが完了するまで、事前登録キュー内で待機する。
【0047】
ステップ424において、CPE102の最終検証は、実行される。最終検証は、図4の方法の第3の認証ステップである。最終検証は、予想識別パラメータ内の、CPE102から受信された(例えば、CPEの設置間に収集されたか、又は製造業者から知られた)識別パラメータの少なくとも一部を検証することを含む。最終検証ステップで使用された識別パラメータは、CPEの公開IPアドレス、設置又は登録日時などのうちの1つ又は全てを含んでもよい。一実施形態では、CPEから受信された登録日及び/又は時間は、現在の日付/時間と比較される。別の例において、CPEから受信された設置日付/時間は、現在の日付/時間と比較されており、現在の日付/時間が設置日付/時間から特定の時間フレーム内にあれば、検証される。例えば、登録プロセスは、CPE設置後の特定の期間(例えば、1ヶ月、1年間など)内に発生すると予想されてもよい。
【0048】
ステップ426において、CPE102の最終検証に合格する場合、プロセスは、CPEを本番サーバに接続すること(ステップ428)に進み、CPEは、事前登録キューから除去される(ステップ429)。また、最終検証に合格しない場合、ステップ427において、CPE102は、事前登録キューから除去され、任意選択に、ブロックリストに入れられる。
【0049】
ステップ428においてCPE102と本部データセンタ本番サーバ108との間に確立されたトンネル116は、CPE102によって使用され、遠隔本番環境112から本部本番環境110に、及びその逆に本番データを送信してもよい保護されたVPNトンネル116である。保護されたVPNトンネルは、安全に、遠隔環境112からデータを収集し、命令を遠隔環境112に送信し、CPE102を構成するために、本番サーバ108によって使用されてもよい。
【0050】
例示的な実施形態では、最終検証426は、例えば、ユーザ端末118を介して本部センターのエンジニア/労働者によって実行される手動検証プロセスである(図1)。いくつかの実施形態では、作業者は、事前登録プロセス間にCPEから受信された識別パラメータが、(例えば、CPE設置間に技術者によって収集され、及び/又は製造/事前プログラミング間にCPEについて判定された)予想識別パラメータと一致することを手動でチェックしなければならない。代替実施形態では、最終検証の一部又は全部は、(例えば、システム200内の)1つ以上のソフトウェアモジュールを介して自動的に実行される。
【0051】
図3及び4のプロセスがサブプロセスの特定の配置及び順序で示されるが、プロセスは、より少ない、より多い、又は異なるサブプロセスならびにサブプロセスの異なる配置及び/又は順序で実装されてもよい。別のサブプロセスの完了に依存しない任意のサブプロセスは、サブプロセスが特定の順序で説明又は示される場合でも、他の独立したサブプロセスの前、後、又はそれと並列に実行されてもよいことを理解されたい。
【0052】
上記利益及び利点は、一実施形態に関連してもよく、又はいくつかの実施形態に関してもよいことが理解される。一実施形態に関連して説明された態様は、他の実施形態と共に使用することができることが意図される。一実施形態に関連する任意の説明は、他の実施形態の同様の特徴に適用され、複数の実施形態の要素は、他の実施形態を形成するために組み合わせることができる。複数の実施形態は、言及された問題のいずれかまたは全てを解決するもの、または言及された利点と有利性を有するものに限定されるものではない。
【0053】
前述の発明を実施するための形態は、本質的に単なる例示であり、本発明又は本発明の用途及び使用を限定することを意図するものではない。説明された実施形態は、特定のタイプの処理システム又は機械と組み合わせる使用に限定されない。したがって、本実施形態は、説明の便宜上、特定の処理システムにおいて実施されるものとして図示及び説明されるが、様々な他のタイプの処理システム及び機械において実装できることが理解される。さらに、任意の先行セクションに提示された任意の理論によって拘束される意図はない。説明は、示された参照項目をよりよく示すために誇張された寸法及びグラフィック表現を含むことがあり、そのように明記されない限り、限定するものと見なされないことも理解される。
【図1】
【図2】
【図3】
【図4】
【国際調査報告】