知財求人 - 知財ポータルサイト「IP Force」
特表2015-511082所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシー
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2015-511082(P2015-511082A)
(43)【公表日】2015年4月13日
(54)【発明の名称】所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシー
(51)【国際特許分類】
H04L 9/32 20060101AFI20150317BHJP
【FI】
H04L9/00 675A
【審査請求】未請求
【予備審査請求】未請求
【全頁数】17
(21)【出願番号】特願2014-561082(P2014-561082)
(86)(22)【出願日】2013年3月6日
(85)【翻訳文提出日】2014年11月4日
(86)【国際出願番号】US2013029397
(87)【国際公開番号】WO2013134402
(87)【国際公開日】20130912
(31)【優先権主張番号】61/607,625
(32)【優先日】2012年3月7日
(33)【優先権主張国】US
(31)【優先権主張番号】13/786,980
(32)【優先日】2013年3月6日
(33)【優先権主張国】US
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IS,JP,KE,KG,KM,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LT,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US,UZ,VC
(71)【出願人】
【識別番号】510284071
【氏名又は名称】モトローラ モビリティ エルエルシー
【氏名又は名称原語表記】MOTOROLA MOBILITY LLC
(74)【代理人】
【識別番号】100104411
【弁理士】
【氏名又は名称】矢口 太郎
(72)【発明者】
【氏名】ナクジーリ、マジッド エフ.
【テーマコード(参考)】
5J104
【Fターム(参考)】
5J104AA07
5J104AA16
5J104AA32
5J104BA02
5J104EA02
5J104EA04
5J104EA18
5J104JA03
5J104KA02
5J104NA37
5J104NA38
5J104PA07
(57)【要約】
所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシーを実現する技術(400,600,700)及び装置(102,106,108,800)が記載される。所要のノード経路(110)を含むポリシーデータはパケット(112)へと付加される。機密データを含む前記パケット(112)は中間ノード(108)を介して送信される。前記各中間ノード(108)は前記パケットに暗号で署名してもよい。中間ノード(108)の暗号署名に基づいて、最終装置(108−4,106)は前記パケット(112)を受信し、前記基盤を介した前記パケットの実際のノード経路が所要のノード経路(110)と合致するか決定する。これらの技術及び装置はターゲット装置のセキュアな実行環境(SEE)が信頼に足る機密データを受信することを可能とする。【選択図】 図1
【特許請求の範囲】
【請求項1】
ポリシーに基づいて基盤を介してターゲット装置へと機密パケットを移送するためのエンドツーエンドセキュリティを提供するための方法であって、前記方法は、
前記ポリシーを受信するステップであって、前記ポリシーが前記ターゲット装置又はそれを介して前記機密パケットが送信されることが意図される前記基盤のノードにより前記機密パケットの移送、インストール又は消費のうちの少なくとも1つを実行するものであるステップと、
前記機密パケットの移送前に前記機密パケットのデータ領域に前記ポリシーを付加するステップと、
前記機密パケットに暗号で署名するステップと、
前記基盤の前記ノードを少なくとも介して前記機密パケットを前記ターゲット装置へと送信することを生じさせるステップと、
を有する方法。
前記ポリシーを受信するステップであって、前記ポリシーが前記ターゲット装置又はそれを介して前記機密パケットが送信されることが意図される前記基盤のノードにより前記機密パケットの移送、インストール又は消費のうちの少なくとも1つを実行するものであるステップと、
前記機密パケットの移送前に前記機密パケットのデータ領域に前記ポリシーを付加するステップと、
前記機密パケットに暗号で署名するステップと、
前記基盤の前記ノードを少なくとも介して前記機密パケットを前記ターゲット装置へと送信することを生じさせるステップと、
を有する方法。
【請求項2】
請求項1に記載の方法において、前記ポリシーは、それを介して前記機密パケットが送信される前記基盤の各ノードに対し前記機密パケットを処理する前に属性、権原又は前記各ノードの性能が前記ポリシーに合致するか否かを確認することを要求するものである方法。
【請求項3】
請求項2に記載の方法において、前記機密パケットの処理は、
前のホップバイホップ暗号を復号するステップと、
少なくとも前記機密パケットの所定の部分に暗号で署名するステップと、
前記パケットを前記基盤の次のノードへと転送する手段を決定するステップと、
前記ポリシーと合致するよう前記機密パケットの付加部分を更新するステップと、
前記機密パケットを暗号化するステップ
とを含む方法。
前のホップバイホップ暗号を復号するステップと、
少なくとも前記機密パケットの所定の部分に暗号で署名するステップと、
前記パケットを前記基盤の次のノードへと転送する手段を決定するステップと、
前記ポリシーと合致するよう前記機密パケットの付加部分を更新するステップと、
前記機密パケットを暗号化するステップ
とを含む方法。
【請求項4】
請求項2に記載の方法において、前記機密パケットの処理は、前記機密パケットの処理結果の通知を前記機密パケットのソース又は所有者へと送信するステップを含む方法。
【請求項5】
請求項1に記載の方法において、前記機密パケットに暗号で署名することは、前記基盤の中間ノードにより行われるものである方法。
【請求項6】
請求項1に記載の方法において、前記方法は、前記機密パケットの所有者、前記機密パケットの発生者又はポリシー決定点により行われるものである方法。
【請求項7】
請求項1に記載の方法において、さらに、特定の認証プロセス又は特定のセキュリティ堅牢性レベルを順守する性能を有する前記基盤のノードに基づいて前記ポリシーを決定するステップを含むものである方法。
【請求項8】
請求項1に記載の方法において、前記機密パケットは、前記ターゲット装置とそれを介して前記機密パケットが初めに移送される前記基盤の初期ノードとの間のエンドツーエンドの機密保護のために暗号化されるものである方法。
【請求項9】
請求項8に記載の方法において、前記エンドツーエンドの機密保護のための前記暗号化は、エンドツーエンドのインナーレイヤ暗号化であり、かつホップバイホップ暗号化より前に行われるものである方法。
【請求項10】
請求項1に記載の方法において、前記ポリシーが前記機密パケットへと付加されるデータ領域は、前記基盤の識別子若しくはフラグの少なくとも次のノードの形式におけるプロファイルタイプ、プロファイル所有者識別子、プロファイルセキュリティ堅牢性レベル、プロファイルポリシー特徴ベクトル、プロファイル経路情報又は経路制御情報を含むものである方法。
【請求項11】
請求項10に記載の方法において、前記プロファイル経路情報は、前記基盤内のノードの所要のノード経路を含み、前記所要のノード経路は前記基盤内の前記ノードを特定する識別子のリストとして構成されるものである方法。
【請求項12】
請求項11に記載の方法において、前記ノードを特定する前記識別子は、IPアドレス又は完全に指定されたドメイン名(FDQN)を含むものである方法。
【請求項13】
請求項11に記載の方法において、前記所要のノード経路は、既存の信頼関係、セキュリティアソシエーション又はセキュリティ堅牢性を扱う性能に基づいて決定されるものである方法。
【請求項14】
請求項11に記載の方法において、前記ポリシーは、前記所要のノード経路の各ノードに対して各ノードのそれぞれの識別子が前記識別子のリストに存在するか否かを決定させ、前記各ノードのそれぞれの識別子が前記識別子のリストに無いと決定された場合前記機密パケットを静かに破棄し、前記所要のノード経路の直前のノードへと第1の通知を送信し、及び前記所要のノード経路の初期ノードへと第2の通知を送信することを要求するものである方法。
【請求項15】
請求項11に記載の方法において、前記ポリシーは、前記所要のノード経路の各ノードに対して各ノードのそれぞれの識別子が前記識別子のリストに存在するか否かを決定させ、前記各ノードのそれぞれの識別子が前記識別子のリストに存在すると決定された場合、
前記機密パケットを前記ポリシーに記載される通り処理し、
前記識別子のリストに基づいて前記所要のノード経路の次のノードを決定し、
前記次のノードのため前記機密パケットを暗号化し、
前記データ領域の次ノードデータ領域を更新することを要求するものである方法。
前記機密パケットを前記ポリシーに記載される通り処理し、
前記識別子のリストに基づいて前記所要のノード経路の次のノードを決定し、
前記次のノードのため前記機密パケットを暗号化し、
前記データ領域の次ノードデータ領域を更新することを要求するものである方法。
【請求項16】
請求項1に記載の方法において、前記ポリシーは、前記基盤を介する所要のノード経路と前記所要のノード経路の各ノードに対して、前記ノードが前記所要のノード経路内にて特定されたことを決定することに応答して、前記機密パケットの所定の部分に暗号で署名することを要求するものである方法。
【請求項17】
請求項1に記載の方法において、前記ポリシーは、前記基盤を介する所要のノード経路と、前記所要のノード経路の最終ノードが前記所要のノード経路のその他のノードを認証することを要求するものである方法。
【請求項18】
請求国17に記載の方法において、前記ポリシーは、前記所要のノード経路のその他のノードを認証することに応答して前記所要のノード経路の最終ノードに対して前記機密パケットの送信者に前記認証の結果を送信し、前記結果を記録し、前記機密パケットを記録し、及び成功処理後には前記ターゲット装置へと前記機密パケットを送信し又は不成功処理後には前記機密パケットを破棄することを要求するものである方法。
【請求項19】
請求項17に記載の方法において、前記ポリシーは、前記所要のノード経路のその他のノードを認証することに応答して前記所要のノード経路の最終ノードに対して前記機密パケットをローカルに処理することを試み、不成功の場合、前記機密パケットを破棄し、及び前記処理が不成功であったことを示す応答を送信することを要求するものである方法。
【請求項20】
請求項1に記載の方法において、前記ポリシーが前記機密パケットに付加される1又は2以上のデータ領域は、平文であり、前記平文のデータ領域は次のノードの識別子、フラグ、アウターレイヤポリシールール、フラグ又は前記ターゲット装置の識別子を含むものである方法。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願) 本願は、本記載によりその全体が参照により取り込まれるMadjid F. Nakhjiriにより2012年3月7日に出願された「遠隔プロビジョニングにおける安全なポリシーの実行」と題された出願番号61/607,625の仮出願に対して優先権を主張する。
【背景技術】
【0002】
現代のスマートカード技術は携帯電話、タブレット型コンピュータ及び自動車ナビゲーションシステム等といったモバイルコンピューティングデバイス内にて使用される非取り外し式埋め込み型スマートカードへと移行しつつある。近年の例としては埋め込み型ユニバーサル集積回路カード(eUICC)があり、安全機密機能を果たすために使用されている。スマートカード以外では、スマートカードにより現在行われている機能と類似の機能を実行するために高信頼環境(TrE)を使用するという傾向も存在する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかしながら、多くの非取り外し式である埋め込み型スマートカードと高信頼環境では埋め込み後にデータが外部から提供される必要がある。このため、埋め込み型スマートカードと高信頼環境には機密データが遠隔的に提供されることとなる。しかしながら、機密情報を遠隔的に提供すれば様々な安全性リスク、通信の複雑化及びアカウンタビリティの不確実性を生じさせることとなる。
【図面の簡単な説明】
【0004】
添付の図面を参照しつつセキュアなパケット送信のためのポリシーと当該ポリシーの認証を可能とする技術及び装置が記載される。同種の特徴及び構成を参照するため複数の図面を通じて同一の番号が使用される。【発明を実施するための形態】
【0005】
機密データを遠隔的に提供する現在の技術は様々なセキュリティリスク、通信の複雑化又はアカウンタビリティの不確実性を生じさせることとなる。本開示は所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシーを可能とする技術及び装置について説明する。それにより、ターゲット装置のセキュアな実行環境(SEE)は機密データを受信してもよい。これらのセキュアな実行環境は上記の埋め込み型ユニバーサル集積回路カード(eUICC)、その他の形式の埋め込み型チップ、様々な高信頼環境(TrEs)又はSIMカード等の取り外し式若しくは非埋め込み型カード又は機密データをセキュアに受信することから利益を得る様々な装置若しくは物のいずれも含み得る。
【0006】
以下では先ず動作環境について、次に前記環境において前記技術を採用する例示的方法について説明し、その後前記技術を採用する例示的装置の説明に移る。
【0007】
例示的環境 図1は所要のノード経路と暗号署名を用いたセキュアなパケット送信のためのポリシーを可能とする技術が実現された例示的環境100を示す。環境100はソースノード102、1又は2以上の有線及び/又は無線の通信ネットワーク104及びターゲット装置106を含む。機密データは所望のノード経路110の一部としてノード108−1、108−2、108−3及び108−4として示される中間ノード108を介して送信される。
【0008】
一般に、ソースノード102はターゲット装置106を意図とした機密データのソースである。ある場合において、ソースノード102は前記機密データを有するエンドツーエンド暗号化を実行可能な信頼されたサブスクリプションマネージャ等の前記中間ノード108のうちの信頼された1つ(例、ノード108−1)とセキュアな通信を行うモバイルネットワークオペレータである。
【0009】
通信ネットワーク104はネットワーク104−1、104−2、104−3、104−4及び104−5として各々示される1つ又は複数の通信ネットワークを含み得るが、ネットワークとの用語はノード間の単純な経路であり得り又は複数のネットワーク(セルラー、有線及び無線のローカルエリア)を有する有線及び/又は無線の通信チャネルの複雑な組み合わせを含み得る。必須ではないものの、最終ホップはしばしば無線送信であるためネットワーク104−5は無線ネットワークとして例示されている。
【0010】
一般に、ターゲット装置106は所要のノード経路110を介して送信され、前記所要のノード経路の各ノードの暗号署名を有する署名を受信する。パケット112は所要のノード経路110を示すポリシーも含み得り、ペイロード(すなわち、機密データ)に追加して署名された各中間ノード108からの暗号署名(「中間#1署名」等)とエンドツーエンド暗号署名(「ソース署名」として示される)を有するパケットを単純化された形式にて例示する。各中間ノード108は暗号によりパケットに署名してもよいが、ある実施形態においては、信頼される中間ノードからの署名なしで所要の経路ノードが認証されてもよい。
【0011】
所要のノード経路の特定(すなわち、IPアドレス又は完全に指定されたドメイン名等といった前記所要のノード経路の中間ノードの識別子のリスト)は平文で有り得り又はそうでない場合前記所要のノード経路の各ノードにとってアクセス可能であり得る。これにより各ノードは前記パケットがいずれのノードに次に送信されるべきかを決定することができる。前記所要のノード経路はまた不正変更を防止するため暗号により中間ノードによる変更ができないようになっていてもよい。ある形態において、前記所定のノード経路はターゲット装置106又はある場合においては信頼された中間ノード(すなわち、ノード108−4)により決定可能である。これは前記パケットが前記所要のノード経路を正しく辿ったという認証を許可する。
【0012】
より詳細には、図2に例示されるソースノード102を参照されたい。ソースノード102は1又は2以上のソースプロセッサ202及びソースコンピュータ可読記憶媒体(CRM)204を含むか又はそれらに対してアクセスを有している。ソースCRM204はポリシーモジュール206及び機密データ208を含む。ポリシーモジュール206は所要のノード経路110を有するポリシー210を含み及び/又は決定する。
【0013】
一般に、ポリシーモジュール206はそれを介してターゲット装置へと送信されることが意図される基盤を介して所要のノード経路を決定することが出来る。ポリシーモジュール206はそれ単独又は信頼された中間ノードを介して動作し前記パケットにポリシーを付加し、前記パケットに暗号で署名する。ポリシー210は所要のノード経路110を含み又は所要のノード経路110と共にパケットに対して付加される。
【0014】
上記にて部分的に述べられた通り、ポリシー210はターゲット装置106(又は前記ターゲット装置により信頼されたノード)が中間ノード108の暗号署名に基づいて前記基盤を介したパケットの実際のノード経路が所要のノード経路110と合致するかを決定することを可能とする。これらの暗号署名はセキュアか又は署名者の同一性を認証可能な様々なタイプとなり得る(すなわち、前記パケットに署名を行った中間ノードの同一性は前記署名を介して認証され得る)。
【0015】
ポリシー210はまた各中間ノードが属性、権原又はセキュリティ堅牢性レベル等の性能を確認することを要求してもよい。ある実施形態においては、ポリシー210はまた各中間ノードが前記パケットに暗号署名した後に前記パケットを送信する次の中間ノードを決定することを要求してもよい。その場合、所要のノード経路110は前記パケット内にてアクセス可能な形式(すなわち、リスト)にて含まれてもよいものの、それは変更不可となっていてもよい(すなわち、ポリシー210内にて暗号署名の際に暗号でハッシュ又は記憶される)。
【0016】
図3を考慮すると、ターゲット装置106が詳細に例示される。ターゲット装置106は各々1つ又は種々の装置の組み合わせであってもよく、ネットブック、カーナビゲーションシステム及びサーバ等のその他のコンピュータ装置及びシステムも使用され得るものの、ここでは6つの例、すなわちスマートフォン106−1、ラップトップコンピュータ106−2、テレビジョン106−3、デスクトップコンピュータ106−4及びタブレットコンピュータ106−5が示されている。
【0017】
ターゲット装置106は1又は2以上のターゲットプロセッサ302及びターゲットコンピュータ可読記憶媒体(CRM)304を含み又はそれらに対してアクセスを(例えば信頼された中間ノードを介して)有している。ターゲットCRM304はポリシー認証部306、復号モジュール308及びパケット112を含む。パケット112は機密データ208、ソース署名310、中間ノード暗号署名312、ポリシー210及び所要のノード経路110を含む。
【0018】
ポリシー認証部306は中間ノード暗号署名312に基づき前記基盤のノードを介したパケット112の実際の経路を決定することが出来る。ポリシー認証部306はその後前記パケットの実際の経路がパケット112の所要のノード経路110と合致するか否かを決定する。認証された場合、ポリシー認証部306は機密データ208を信頼する。認証されなかった場合、ポリシー認証部306は例えば前記経路を認証することに失敗したことに言及するためその決定を第三者に示す。ターゲット装置106により行われる1又は2以上の動作はある実施形態においては埋め込み型又は非埋め込み型(すなわちSIMカード)装置と共に実行され得る。
【0019】
復号モジュール308は機密データ208を復号することが可能であるものの、復号モジュール308はポリシー認証部306がパケット112の前記実際のノード経路と所要のノード経路110とが合致しないことを決定した場合そのようにすることを控えてもよい。本書面は前記技術を実施するための例示的方法へと移行し、その後例示的装置が記載される。
【0020】
例示的方法 図4は所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシーを可能とする例示的方法400について示す。これら及びその他の方法におけるブロックが記載される順番は限定として解釈されることを意図したものではなく、本書面に記載されるブロックのいずれの番号又は組み合わせは方法又は代替的方法を実施するためにいずれの順序でも組み合わせ得る。
【0021】
ブロック402はパケットがそれを介してターゲット装置へと送信されることを意図される基盤を介して所要のノード経路を決定し、前記所要のノード経路はソースノードと前記ターゲット装置との間の1又は2以上の中間ノードを有している。図1は所要のノード経路110の中間ノード108を例示する。しかしながら、図の見易さのため、図1の例示的環境100はそこから中間ノード108がソースノード102により決定される基盤の他の中間ノードを示していない。例として、図5を考慮すると、基盤504の28個の中間ノード502を例示している。
【0022】
ブロック402において、図2のポリシーモジュール206は例えば信頼された又は優れたものに基づいて基盤504の前記28個の潜在的な中間ノード502を介して所要のノード経路を決定する。一の例では、ポリシーモジュール206は他の要素も使用され得るもののセキュリティ堅牢性レベル、現存の信頼関係又はセキュリティ関連性に基づいて潜在的中間ノード502の一部が他より優れていると決定する。ここで、ポリシーモジュール206は中間ノード506、508、510、512、514、516及び518を介する所要のノード経路を前記パケットが送信されることとなる対応順序、すなわち1から6までと共に決定する。
【0023】
ブロック404では前記パケットにポリシーを付加し、前記ポリシーは前記所要のノード経路を有している。上述の通り、前記ポリシーは前記所要のノード経路の各ノードに対して直前のノードの暗号署名を有効化し、前記ターゲット装置又は前記パケットを有効化する前記所要のノード経路の次のノードを可能化するために前記パケットに有効に暗号で署名することを要求してもよい。
【0024】
ブロック406では前記パケットに暗号で署名する。前記パケットは様々な態様で暗号化され得る。例えば、前記パケットのペイロードデータ(例えば機密データ208)を前記ペイロードデータが前記ターゲット装置によるもの以外では復号することが不可能な態様で前記パケットのインナーレイヤにおいて暗号化するものであってもよい。しかしながら、前記ポリシーは前記パケットのアウターレイヤにおいて暗号化されてもよく又は平文であってもよい。
【0025】
ブロック408は前記ターゲット装置へと前記所要のノード経路を介して前記パケットが送信されることを生じさせる。ソースノード102又は図1の中間ノード108−1等のような信頼されかつ一般に初めの中間ノードは前記所要のノード経路の次のノードへと前記パケットを送信し得る。一の例示的ケースにおいてソースノード102はモバイルネットワークオペレータであり、前記信頼された中間ノードはサブスクリプションマネージャデータプレパレーション(SM−DP)、その他の中間ノードは役割を果たさないサブスクリプションマネージャ(SMs)、最終中間ノードはターゲット装置102により信頼され役割を果たすサブスクリプションマネージャセキュアルーティング(SM−SR)である。しかしながらこれは前記技術がセキュアなパケット送信を可能とする場合の多くのケースの中の一例である。
【0026】
図6はセキュアなパケット送信のためのポリシーがあるパケットについて順守されたか否かを決定するための例示的方法600を示す。
【0027】
ブロック602では最終ノードにおいて基盤を介する前記パケットの所要のノード経路を示すパケットを受信し、前記所要のノード経路は所要のソースノードと1又は2以上の所要の中間ノードを示している。
【0028】
ブロック604では暗号署名に基づいて前記基盤を介する前記パケットの実際のノード経路を決定し、前記実際のノード経路は実際のソースノードと1又は2以上の実際の中間ノードとを示している。
【0029】
ブロック606では前記パケットの前記実際のノード経路が前記パケットの前記所要のノード経路と合致するか否かを決定する。Yesの場合、方法600はYes経路に沿ってブロック608へと進む。Noの場合、方法600はNo経路に沿ってブロック610へと進む。
【0030】
ブロック608では前記実際のノード経路が前記所要のノード経路と合致すことを決定することに応答して前記最終ノードにおける前記パケットの内容を信頼する。
【0031】
ブロック610では前記実際のノード経路が前記所要のノード経路と合致しないを決定することに応答して前記最終ノードにおける前記パケットの内容を信頼しない。
【0032】
任意に、方法600はブロック610又はブロック608(図示せず)の後にブロック612へと進んでもよい。ブロック612ではブロック606の前記結果を遠隔地の主体へと送信し、前記結果は前記実際のノード経路が前記所要のノード経路と合致すること又は前記所要のノード経路の一部ではない前記実際のノード経路のノードの識別性と合致することを十分に示すものである。この識別性は中間ノードにおける不具合を示し得り、それはその中間ノードが修理され、損失となり又は当該ノードに課されたものが失敗となることを許容し得る。いくつかの失敗はリソースに関して不経済となり又は収入の減少となり得るので、損失に関するアカウンタビリティを課する本能力は有用になり得る。
【0033】
方法600は全体又は一部としてターゲット装置106又はターゲット装置106の信頼された中間ノードにより実行され得ることに注意されたい。方法600が例えば図5の中間ノード518のような中間ノードにおいて動作するポリシー認証部306により実行される場合、当該中間ノードは前記パケットが信頼に足ることを示す認証可能な指示等と共にターゲット装置106へとセキュアにパケット112を通過させ得る。従って、方法600はターゲット装置106又はターゲット装置106により信頼された中間ノードにて実行され得る。そのように行う際、ポリシー認証部306等のターゲット装置106の様々な構成は当該信頼された中間ノード上で動作し得る。これは前記所要のノード経路を認証することに前記各中間ノード(ここでは中間ノード518)の暗号署名を必要としないケースのうちの1つである。
【0034】
図7は基盤を介するターゲット装置への機密パケットの移送のためのエンドツーエンドのセキュリティを提供する例示的方法について示し、前記機密パケットの移送、インストール又は消費のうちの少なくとも1つに関する一組のポリシーを実行するものである。方法700は非限定的であり、前記技術が動作し得る方法の例である。
【0035】
方法700は前記基盤の初期及び信頼されたノード、前記機密パケットの所有者、前記機密パケットの発生者又はポリシー決定点等(例えば、ソースノード102、図1の信頼された中間ノード108−1及び図5の506)の本書面にて記載される様々な装置により実行され得る。
【0036】
ブロック702では基盤のノード又はターゲット装置による機密パケットの移送、インストール又は消費を実行するポリシーを受信する。一の実施形態において、本ポリシーはそれを介して前記機密パケットが送信される基盤の各ノードに前記各ノードの属性、権原又は性能が前記ポリシーに合致するか否かを確認することを要求し、前記確認は前記機密パケットの処理の前に要求される。これらの要求の例は、前のホップバイホップ暗号を復号すること、少なくとも前記機密パケットの所定の部分に暗号で署名すること、前記パケットを前記基盤の次のノードへと転送する手段を決定すること、前記ポリシーと合致するよう前記機密パケットの付加部分を更新すること、前記機密パケットを暗号化すること、及び/又は前記処理の通知を前記機密パケットのソース等へと送信すること(例えば、図1のソースノード102)を含む。
【0037】
さらに、前記ポリシーはノードに対して各ノードがそれ自体前記ポリシーにおいて特定されるか否かについて決定することを要求し得り、特定されない場合、前記機密パケットを静かに破棄し、前記所要のノード経路の直前のノードへと通知を送信し、及び前記所要のノード経路の初期ノード(例えば、図1のソースノード102又は中間ノード108−1)へと他の通知を送信することを要求し得る。前記ノードが前記ポリシーにおいて特定されると決定した場合、前記ポリシーは前記ノードに対して前記機密パケットを前記ポリシーに記載される通り処理し、前記識別子のリストに基づいて前記所要のノード経路の次のノードを決定し、前記次のノードのため前記機密パケットを暗号化し、及び前記データ領域の次ノードデータ領域を更新することを要求してもよい。従って、前記技術はまた例えば前記基盤のノードにおいて前記ポリシーを順守するよう中間ノードを介して動作し得る。
【0038】
また、方法400及び600に示される通り、前記ポリシーはある実施形態においては方法700により決定され又実行され得る。ブロック702にて受信した前記ポリシーは特定の認証プロセス又は特定のセキュリティ堅牢性レベル、上記で特定される通りその他要素を順守する性能を有する前記基盤のノードに基づいて決定され得る。
【0039】
ブロック704では前記機密パケットの移送より前に前記機密データのデータ領域に前記ポリシーを付加する。これらのデータ領域及びすなわち前記ポリシーそれ自体はプロファイルタイプ、プロファイル所有者識別子(例えば、ソースノード)、プロファイルセキュリティ堅牢性レベル、プロファイルポリシー特徴ベクトル、プロファイル経路情報又は識別子若しくはフラグを用いた前記基盤の少なくとも次のノードの経路情報を含み得る。
【0040】
ブロック706では前記機密パケットに暗号で署名する。当該署名は上述の通り前記機密パケットの送信者又は前記機密パケットの発生者等様々な主体により行われ得る。
【0041】
上述の通り、ある場合において前記機密は様々なレベル(インナー、アウター等)において暗号化される。前記機密パケットは前記ターゲット装置と例えばそれを介して前記機密パケットが最初に移送される前記基盤の最初のノードとの間のエンドツーエンドの機密保護のために暗号化され得る。このエンドツーエンドの機密保護は上述の通りインナーレイヤ暗号化であり得り、アウターレイヤ暗号化より前に実行され得る(例えば、ホップバイホップ暗号化)。前記機密パケットのデータは平文であり得る。平文である領域は次のノード識別子、フラグ、アウターレイヤポリシールール、フラグ又は前記ターゲット装置の識別子を含んでもよい。
【0042】
ブロック708では前記機密パケットが前記基盤のうちの少なくとも1つのノードを介して前記ターゲット装置まで送信されることを生じさせる。本書面にて示される通り、それを介して前記機密パケットが送信される各ノードは、ターゲット装置又は最終及び信頼された中間ノードと共に、前記パケットのデータ領域に付加された前記ポリシーに沿って動作し得る。そのように行うことにより、前記機密データは前記ソースノードから前記ターゲット装置までセキュアに送信され得る。
【0043】
示された通り、方法700は前記機密パケットが前記ターゲット装置へと送信されることを生じさせる。このターゲット装置又は信頼された(そして最終の)中間ノードは前記ポリシーにより動作を行うこと(ある部分は上記方法600に関して記載された通りである)を要求され得る。これらの動作はそれを介して前記機密パケットが送信される前記ノードが前記ポリシーに合致することを認証することを含み得る。そして、前記ポリシーは前記認証の結果が送信者へと送信されること、前記結果が記録されること、前記機密パケットが記録されること、及び前記機密パケットが成功処理後には前記ターゲット装置へと転送され又は不成功処理後には破棄されることを要求し得る。代替的又は追加的に、前記ポリシーは前記ターゲット装置又は信頼された中間ノードが認証後に前記機密パケットをローカルで処理することを試み及びそれが不成功の場合には前記機密パケットを破棄し、及び前記処理が不成功であったことを示す応答を送信することを要求し得る。
【0044】
図8は例示的装置800の様々なコンポーネントを示し、ポリシーモジュール206、ポリシー210及び/又はポリシー認証部306を含む。これらのコンポーネントはハードウエア、ファームウエア及び/又はソフトウエアにて実現され得り、システムオンチップ(SoC)を含む図1乃至7のいずれかを参照して記載された通り実現され得る。
【0045】
例示的装置 例示的装置800は固定又はモバイル装置にて実施され得り、メディア装置、演算装置(例えば、図1のソースノード102、中間ノード108及び/又はターゲット装置106)、テレビのセットトップボックス、ビデオ処理器及び/又はレンダリング装置、電気製品装置(例えば、閉かつシール状態の演算リソースであり、例えばある種のデジタルビデオレコーダ又は全地球測位衛星装置等)、ゲーム装置、電気装置、車両及び/又はワークステーションのうちの1つ又はその組み合わせであり得る。
【0046】
例示的装置800は電子回路、マイクロプロセッサ、メモリ、入出力(I/O)論理制御、通信インタフェース及びコンポーネント、装置全体を動作させるために必要なその他のハードウエア、ファームウエア及び/又はソフトウエアと統合され得る。例示的装置800はまた前記コンポーネント間のデータ通信のための演算装置の様々なコンポーネントを結合する統合データバス(図示せず)を含み得る。
【0047】
例示的装置800は(例えば電子回路を含む)入出力(I/O)論理制御802及びマイクロプロセッサ804(例えばマイクロコントローラ又はデジタル信号プロセッサ)等の様々なコンポーネントを含む。例示的装置800はまたメモリ806を含み、それはいずれの種類のランダムアクセスメモリ(RAM)、低遅延非揮発性メモリ(例えばフラッシュメモリ)、読出専用メモリ(ROM)及び/又はその他の好適な電子データストレージであり得る。メモリ806はポリシーモジュール206、ポリシー210及び/又はポリシー認証部306を含み又はそれらに対しアクセスを有している。
【0048】
例示的装置800はまた、その他のコンポーネントと共に、メモリ806により保持されマイクロプロセッサ804により実行されるコンピュータで実行可能な指令であり得るオペレーティングシステム808等の様々なファームウエア及び/又はソフトウエアを含み得る。例示的装置800はまたその他の様々な通信インタフェース及びコンポーネント、ワイアレスLAN(WLAN)又はワイアレスPAN(WPAN)コンポーネント、その他ハードウエア、ファームウエア及び/又はソフトウエアを含み得る。
【0049】
これらのモジュール及びコンポーネントの他の例示的性能及び機能が図1、2及び3に示されるコンポーネントを参照しつつ説明される。これらのモジュール及びコンポーネントはそれ単独で又はその他のモジュール若しくはコンポーネントと組み合わせて本書面にて記載される様々な実施形態及び/又は特徴を実行するマイクロプロセッサ804により実行され及びメモリ806により保持されたコンピュータにより実行可能な指令として実施され得る。代替的又は追加的に、いずれか又はすべての当該コンポーネントはハードウエア、ファームウエア、固定論理回路、又は前記I/O論理制御802及び/又はその他の信号処理及び例示的装置800の制御回路と関連付けて実行されるそれらのいずれかの組み合わせとして実施され得る。さらに、これらのコンポーネントのうちのいくつかは装置800とは別に作動してもよい。
【0050】
前記発明は構造的特徴及び/又は方法論的動作にとって特定の言葉で記載されたものの前記添付の特許請求の範囲にて定義される発明は必ずしも特定の特徴又は記載される動作に限定されるものではないと理解されるべきである。寧ろ、前記特定の特徴及び動作は前記特許請求の範囲に記載された発明を実施する例示的方法として開示されるものである。
【国際調査報告】