アプリケーションおよびサービスにネットワーク通信アソシエーション情報を提供するための方法および装置
第1の端末のアプリケーションに、それが別の端末にデータを送るために使用することができる利用可能なネットワーク通信アソシエーションについて問い合わせさせるようにし、それによって、他の端末との新たなネットワーク通信アソシエーションの確立を回避するシステムおよび方法が提供される。セキュリティ情報モジュールは、異なる層にわたる第1の端末と別の端末との間で利用可能なネットワーク通信アソシエーションについての情報を、収集および/または記憶する役割を果たすことができ得る。セキュリティ情報モジュールは、ネットワーク通信アソシエーションの信用レベルを、各アソシエーションを確立するために使用されたセキュリティメカニズム、および/または、これらのネットワーク通信アソシエーションについて報告された過去の経験情報に基づいて評価することもでき得る。利用可能なネットワーク通信アソシエーションを求める要求を受信すると、セキュリティ情報モジュールは、他の端末の対応するアプリケーションとの通信を確立するためにそれを使用することができる要求アプリケーションに、これを提供する。
【発明の詳細な説明】
【技術分野】
【0001】
少なくとも1つの特徴は、通信ネットワーク内のデバイス間の安全な通信に関し、より詳細には、異なる層(layers)およびアプリケーションにわたる利用可能なネットワーク通信アソシエーションの収集および共有に関する。
【背景技術】
【0002】
通信ネットワーク内の有線または無線デバイスのいずれかでの電子メール(Eメール)のようなアプリケーションは、現在、そのネットワーク内でのセキュリティアソシエーションを作成するために使用された、基礎をなす認証メカニズムの強度を知らない。その結果、各アプリケーションは、別のデバイスと通信するときに、それ独自のセキュリティを運用する。たとえば、あるアプリケーションは、トランスポート層セキュリティ(TLS:Transport Layer Security)またはインターネットプロトコルセキュリティ(IPSec:Internet Protocol Security)チャネルが存在することを知り得るが、どのようにしてそのチャネルが確立されたかを知らない場合がある。そのチャネルは、たとえば、認証されていないディフィー・ヘルマン(DH:Diffie-Hellman)、プリティー・グッド・プライバシー(PGP:Pretty Good Privacy)に基づく認証、プリシェアードキー(PSK:Pre-Shared Key)に基づく認証、または公開鍵インフラストラクチャ(PKI:Public Key Infrastructure)に基づく認証によって確立されていることができ得るが、アプリケーションは、そのチャネルを確立するために使用された認証の種類を知らない。
【0003】
オープンシステムインターコネクション(OSI:Open System Interconnection)の層状の通信およびコンピュータネットワークプロトコル設計において、各層は、それ独自の安全化または非安全化されたアソシエーションまたはチャネルを確立することができ得る。たとえば、第1のOSI層は、別のデバイスと、安全化または非安全化された通信チャネルを確立することができ得る。同様に、第2のOSI層、たとえば、メディアアクセス制御(MAC:Media Access Control)層、インターネットプロトコル(IP)層、および/または、アプリケーション層は、それ独自の安全なチャネルを使用して2つのデバイス間の通信を保護することができ得る。あるデバイスのある層で動作するアプリケーションは、一般的に、第1の層のチャネルまたはアソシエーションのセキュリティまたは認証の特徴を知らないため、それ独自の安全なチャネルまたはアソシエーションを確立しなくてはならない。
【0004】
たとえアプリケーションが、別の層での安全なアソシエーションまたはチャネルを知っていたとしても、上述したように、それは、どの種類または強度の認証がその安全なアソシエーションまたはチャネルを作成するために使用されたかを知らない。認証のレベルが明らかでないと、各層での認証の最低限のレベルを維持することは不可能である。その結果、アプリケーションは、たとえ第1の層の通信アソシエーションまたはチャネルが利用可能であり、同一の目的のために用いられることができたとしても、それ独自のインターネットプロトコル(IP)接続性、すなわち、IP層暗号化を確立しなくてはならない。
【0005】
さらに、たとえアプリケーションが第1の層でのセキュリティアソシエーションを確立するために使用された認証の種類を知っていたとしても、これだけでは、セキュリティアソシエーションの実際の質を決定するのに不十分であり得る。認証は、あるエンティティが、それが主張している誰それである、ということを証明することはでき得るが、それは、そのエンティティを通して利用可能なサービスの信頼性または質についての保証を提供することはできない。現在のところ、そのような保証を求めるアプリケーションは、それを得る手段を持っていない。
【0006】
上記を鑑みて、システムおよび方法が、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第1または第2の層のアプリケーションに第1の層のネットワーク通信アソシエーションの情報を提供し、それによって、追加の第1のネットワーク通信アソシエーションの確立または第2の層のネットワーク通信アソシエーションの使用を回避するために、所望される。情報は、確立されたネットワーク通信アソシエーション、使用された認証の種類、および、セキュリティアソシエーションの信頼性または信用のレベルを含むことができ得る。
【発明の概要】
【0007】
1つの特徴は、受信端末にデータを転送するために、同一のまたは異なる層で、事前に確立されたネットワーク通信アソシエーションをアプリケーションに利用させ、それによって、新たなネットワーク通信アソシエーションの確立を回避する、送信端末で動作可能な方法を提供する。その結果、オーバーヘッドが、すでに確立されているかもしれない新たなネットワーク通信アソシエーションを確立するのに浪費されないことができ得るので、オーバーヘッドが最小化される。これを達成するために、セキュリティ情報モジュール(たとえば、ハードウェア、ソフトウェア、またはその組み合わせ)は、1つ以上の層の1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配される、インターフェースを提供する。1つの例において、その1つ以上のネットワーク通信アソシエーションは、オープンシステムインターコネクション(OSI)モジュール通信システムの1つ以上の層に対応することができ、その1つ以上の層は、アプリケーション層、ネットワーク層、データリンク層、および物理層のうちの少なくとも1つを含むことができ得る。
【0008】
信用(trust)のレベルが、1つ以上のネットワーク通信アソシエーションの各々について、評価(assess)および/または記憶されることができ得る。さらに、1つ以上の受信端末との以前の経験についてのアプリケーションからの情報が、収集され、他のアプリケーションに提供されることができ得る。信用のレベルが、収集された情報に基づいて、そのような各受信端末について評価されることができ得る。信用のレベルは、対応する受信端末との以前の経験と、その対応する受信端末への層ネットワーク通信アソシエーションを作成するために使用された認証の種類とに基づくことができ得る。ポリシー(policies)のセットが、データを送るためのネットワーク通信アソシエーションの選択に使用されるために特定されることもでき、ポリシーのセットは、ユーザーの優先性に基づく。
【0009】
要求が、利用可能な層ネットワーク通信アソシエーションについての情報を求めて、要求アプリケーションから受信されることができ得る。それに応じて、少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報が、受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、要求アプリケーションに提供されることができ、それによって、受信端末との新たなネットワーク通信アソシエーションの確立を回避する。収集された情報は、受信端末のアプリケーションにデータを送るためのネットワーク通信アソシエーションの後の検索および選択のために、セキュリティ情報モジュールに記憶されることができ得る。提供されたセキュリティ情報は、ネットワーク通信アソシエーションの強度のレベルを含むことができ得る。要求アプリケーションがネットワークで受信端末にデータを送ることができる、ネットワーク通信アソシエーションが、選択されることができ得る。ネットワーク通信アソシエーションのセキュリティ情報は、第1の層のネットワーク通信アソシエーションを安全化するために使用された方法、第1の層のネットワーク通信アソシエーションを認証するために使用された方法、および、ネットワーク通信アソシエーションが確立される送信端末と受信端末との間の以前の履歴、のうちの少なくとも1つを含むことができ得る。
【0010】
選択されたネットワーク通信アソシエーションは、1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たすと、1つ以上のネットワーク通信アソシエーションから選択される。あるいは、1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合には、要求アプリケーションが受信端末にデータを送るために使用することができる新たなネットワーク通信アソシエーションが、確立されることができ得る。ネットワーク通信アソシエーションを選択すると、受信端末は、送られるデータを受信するためのネットワーク通信アソシエーションを通知されることができ得る。
【0011】
1つの例において、要求アプリケーションは、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、異なる第2の層で動作することができ得る。第1の層は、第2の層よりも上位の層であることができ得る。別の例では、要求アプリケーションが、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、同一の第1の層で動作することができ得る。
【0012】
別の具体化によると、通信インターフェースおよび処理回路を含むアクセス端末が、提供される。処理インターフェースは、受信端末との通信に適合させられることができ得る。処理回路は、(1)1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供し、(2)利用可能な層ネットワーク通信アソシエーションについての情報を求める要求アプリケーションからの要求を受信し、(3)ネットワークで受信端末にデータを送るためのネットワーク通信アソシエーションを選択し、および/または、(4)受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、受信端末との新たなネットワーク通信アソシエーションの確立を回避するように、構成されることができ得る。1つの例において、選択されたネットワーク通信アソシエーションは、1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たすと、1つ以上のネットワーク通信アソシエーションから選択されることができ得る。いくつかの具体化において、要求アプリケーションは、階層化されたプロトコルアーキテクチャの第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、階層化されたプロトコルアーキテクチャの第2の層で動作する。あるいは、要求アプリケーションは、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、階層化されたプロトコルアーキテクチャの同一の第1の層で動作する。
【0013】
いくつかの具体化において、処理回路は、1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合に、新たなネットワーク通信アソシエーションを確立し、それを使用して受信端末にデータを送るように、さらに構成されることができ得る。
【0014】
別の特徴によると、処理回路は、(1)1つ以上のネットワーク通信アソシエーションの各々の信用のレベルを評価し、および/または、(2)1つ以上のネットワーク通信アソシエーションの各々の信用のレベルを記憶するように、さらに構成されることができ得る。
【0015】
さらなる別の特徴によると、処理回路は、(1)1つ以上の受信端末との以前の経験についてのアプリケーションからの情報を収集し、(2)収集された情報に基づいてそのような各受信端末の信用のレベルを評価し、および/または、(3)他のアプリケーションに1つ以上の受信端末の情報を提供するように、さらに構成されることができ得る。
【0016】
アクセス端末は、処理回路に結合され、かつ、受信端末のアプリケーションにデータを送るためのネットワーク通信アソシエーションの後の検索および選択のためにセキュリティ情報モジュールに収集された情報を記憶するように構成された、記憶デバイスをさらに含むことができ得る。
【0017】
さまざまな例において、ここに説明された1つ以上の特徴は、ハードウェア(たとえば、1つ以上のプロセッサ、回路、チップ、等)、ソフトウェア、および/またはそれらの組み合わせにおいて実現されることができ得る。
【0018】
さまざまな特徴、性質、および利点は、同様の参照符号が全体を通して同様に特定する図面とともに考慮すると、以下に述べられる詳細な説明から明らかであることができ得る。
【図面の簡単な説明】
【0019】
【図1】送信端末と受信端末との間での通信中に確立された第1の層のネットワーク通信アソシエーションを示す通信ネットワークのブロック図である。
【図2】送信端末と受信端末との間でのネットワーク通信層アソシエーションを示すブロック図である。
【図3A】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する方法を示すフロー図である。
【図3B】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する方法を示すフロー図である。
【図3C】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する方法を示すフロー図である。
【図4】第1の層のネットワーク通信アソシエーションのセキュリティおよび信用レベルの情報を確認するように構成されることができ得るアクセス端末の例を示すブロック図である。
【図5】第1の層のアソシエーション(チャネル)情報を収集し、第1または第2の層のアプリケーションおよび/またはサービスにそれを提供するためのセキュリティ情報モジュールの動作および/または機能を示すブロック図である。
【図6】ネットワーク通信情報を、収集し、アプリケーションおよび/またはサービスに提供するためのセキュリティ情報モジュールにおいて動作可能な方法を示す図である。
【図7A】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する、通信端末において動作可能な方法を示す図である。
【図7B】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する、通信端末において動作可能な方法を示す図である。
【詳細な説明】
【0020】
以下の説明では、具体的な詳細が、構成の完全な理解を提供するために、与えられる。しかしながら、その構成がこれらの具体的な詳細なしでも実現されることができ得ることは、当業者によって理解されるであろう。たとえば、回路は、不必要な詳細で構成を不明瞭にしないようにブロック図で示される場合がある。他の例では、周知の回路、構造、および手法が、構成を不明瞭にしないために、詳細に示される場合もある。
【0021】
ここで使用される場合、「端末」という用語は、ユーザー機器(UE)、無線または有線通信デバイス、ネットワークデバイス、パーソナル通信デバイス、移動デバイス、および/または移動局の機能の一部または全部を含むことができ得る。「ネットワーク通信アソシエーション」という用語は、2つの異なる端末のアプリケーションまたはサービス間で確立されるネットワークでのリンクまたはチャネルを含むことができ得る。
【0022】
概観
第1の端末のアプリケーションに、それが別の端末にデータを送るために使用することができる利用可能なネットワーク通信アソシエーションについて問い合わせさせるようにし、それによって、他の端末との新たなネットワーク通信アソシエーションの確立を回避する、システムおよび方法が提供される。セキュリティ情報モジュールは、異なる層にわたる第1の端末と別の端末間で利用可能なネットワーク通信アソシエーションについての情報を収集および/または記憶する役割を果たすことができ得る。セキュリティ情報モジュールは、ネットワーク通信アソシエーションについての信用レベルを、各アソシエーションを確立するために使用されたセキュリティメカニズムおよび/またはこれらのネットワーク通信アソシエーションについて報告された過去の経験情報に基づいて、評価することもでき得る。利用可能なネットワーク通信アソシエーションを求める要求を受信すると、セキュリティ情報モジュールは、これを、他の端末の対応するアプリケーションとの通信を確立するためにそれを使用することができる要求アプリケーションに、提供する。
【0023】
1つの例によると、インターフェースが、(セキュリティ情報モジュールに)提供され、それを通して、1つ以上の層のための1つ以上の(利用可能な)ネットワーク通信アソシエーションについての情報が、収集され、アプリケーションに分配される。1つ以上の(利用可能な)ネットワーク通信アソシエーションについての情報は、収集および/または記憶されることができ得る。そのような情報は、ネットワーク通信アソシエーションについての、セキュリティ情報、信用レベル情報、過去の経験情報を含むことができ得る。少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報が、受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために要求アプリケーションに提供され、それによって、受信端末との新たなネットワーク通信アソシエーションの確立を回避する。
【0024】
1つの例において、システムおよび方法が、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションへのセキュリティ情報を促進し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避するために、提供される。いくつかの例では、アプリケーションまたはサービス(たとえば、バンキングサービス、等)が、同一のデバイスにおける他のアプリケーション/サービスを信用しない場合があり、結果として、それは、それ独自の安全な通信チャネルまたはチャネルを確立することを望み得る。しかしながら、他の例では、第2の層のアプリケーションまたはサービスが、同一のデバイスにおける他のアプリケーション/サービスからの保護を必要とせず(すなわち、同一のデバイス内の他のアプリケーション/サービスへの信用がある)、その結果、別個の安全なチャネルまたはネットワーク通信アソシエーションが回避されることができ、同一の第1の層のチャネルまたはネットワーク通信アソシエーションが使用されることができ得る。結果として、鍵管理プロトコルのコストが、複数の安全なチャネルまたはアソシエーションで、償却されることができ得る。たとえば、アプリケーション層は、それ独自の安全なアソシエーションを確立せずに、メディアアクセス制御(MAC)層のセキュリティから恩恵を受けることができ得る。
【0025】
第2の層のネットワーク通信アソシエーションの確立を回避する際に、第2の層のアプリケーションは、ネットワーク通信アソシエーションの各々についての強度レベルを決定することができ得る。強度レベルは、ネットワーク通信アソシエーションに関連づけられたセキュリティ情報および信用レベル情報を使用して決定されることができ得る。信用レベル情報は、ネットワーク通信アソシエーションのセキュリティ情報および任意の他の利用可能な情報を使用して、アプリケーションによって決定されることができ得る。ひとたび強度レベルが決定されると、それは、既存のネットワーク通信チャネル/アソシエーションが利用されることができ得るか、または、新たなネットワーク通信チャネル/アソシエーションが取得されるべきかどうかを決定するために、デバイス内のセキュリティ情報モジュールに記憶されたポリシーのセットに対し比較されることができ得る。選択された、または得られたネットワーク通信アソシエーション(または安全なネットワークチャネル)は、その次に、デバイスへの/デバイスから別のデバイスへのデータの送信のために使用されることができ得る。
【0026】
別の特徴は、第1の層のネットワーク通信アソシエーションでの安全な通信を提供するために第1の層のアプリケーションへのセキュリティ情報を促進し、それによって、追加の第1のネットワーク通信アソシエーションの確立を回避するためのシステムおよび方法を提供する。
【0027】
ネットワークの第1の層は、第2の層が保護していないこともあり得るヘッダーを保護する必要があり得る。ヘッダーは、第1の層と第2の層の間で導入されていることもあり得る。たとえば、IPレベルセキュリティメカニズムが、アプリケーション層と伝送制御プロトコル/インターネットプロトコル(TCP/IP)層との間でのヘッダーのために利用可能であることができ得る。しかしながら、アプリケーション層がデータまたはペイロードをすでに保護していることもあり得るので、IPが後に(later)、TCPヘッダーを保護するかどうか、または、IPレベルセキュリティメカニズムが、TCPヘッダーを保護することができ得るかどうかについて、決定を行うことができ得る。すなわち、第2の層が第1の層のプロトコルを使用している場合、層の間でのヘッダーのいくつかは、第1の層による保護を必要とし得る。
【0028】
なお、ここで使用される場合に、「層」という用語は、概念的に同様の機能の集まりが、その上位層にサービスを提供し、かつ、その下位層からサービスを受ける、階層化されたプロトコルアーキテクチャのことを言う。したがって、第2の層は、第1の層のアソシエーションまたはチャネルに基づいて、それらのアソシエーションまたは通信チャネルを構築することができる。「第2の層」および「第1の層」という用語は、単に異なる層を表し、任意の特定の層を意味または類推しているわけではない。あるいは、「第1の」および「第2の」という用語は、それぞれ、「より低い」および「より高い」を言うこともでき得る。「アソシエーション」という用語は、2つのデバイスの層の間の通信チャネルのような、別のデバイスとの確立された関係のことを言う。「セキュリティプロトコル」という用語は、ある形態の認証および/または暗号化がアソシエーションまたはチャネルの確立に利用される、任意のプロトコルのことを言う。
【0029】
通信アソシエーションを共有すること
図1は、送信端末102と受信端末104間の通信中に確立された第1の層のネットワーク通信アソシエーションを示す通信ネットワーク100のブロック図である。送信端末102は、第1のアクセスノード106(たとえば、基地局)を介して、インターネットのようなネットワーク110に接続されることができ得る。受信端末104にデータを送信する場合、送信端末102は、第1のアクセスノード106にデータを送ることができ、そして、それは、インターネット110を介してゲートウェイ108にデータを送信する。ゲートウェイ108から、データは、第2のアクセスノード112に送信されることができ、それは、ネットワーク110に受信端末104を接続することができ得る。第2のアクセスノード112は、その次に、受信端末104にデータを送信することができ得る。
【0030】
送信端末102と受信端末104間で通信が開始されると、1つ以上の安全なチャネルまたはネットワーク通信アソシエーションが、通信ネットワーク100のノード間で確立されることができ得る。たとえば、メディアアクセス制御(MAC)層のセキュリティアソシエーション114が、送信端末102と第1のアクセスノード106間で確立されることができ得る。インターネットプロトコルセキュリティ(IP sec)層のアソシエーション116が、送信端末102とゲートウェイ108間で確立されることができ得る。あるいは、IP sec層118が、送信端末102と受信端末104間にあることができ得る。さらに、送信端末102と受信端末104間に、アプリケーション層のセキュリティアソシエーション、たとえば、トランスポート層セキュリティ(TLS:Transport Layer Security)/データグラムトランスポート層セキュリティ(DTLS:Datagram Transport Layer Security)120があることができ得る。
【0031】
図2は、送信端末202と受信端末204間のネットワーク通信層アソシエーションを示すブロック図である。たとえば、オープンシステムインターコネクション(OSI)の7層モデルであることもでき得るデバイスのネットワークアーキテクチャは、上から下へ、アプリケーション、プレゼンテーション、セッション、トランスポート、ネットワーク、データリンク、および物理層である7層に分割されることができ得る。なお、簡潔性と明確性のために、各デバイスの、アプリケーション層204aおよび204b、ネットワーク層206aおよび206b、データリンク層208aおよび208b、および物理層210aおよび210bのみが示されている。
【0032】
図2に示された例において、第1の電子メールアプリケーション212は、第2の電子メールアプリケーション216への/からの送信を保護するために、安全なチャネルを確立しようとすることができ得る。したがって、送信端末202のアプリケーション層204aで動作する第1の電子メールアプリケーション212は、受信端末204のアプリケーション層204bにおける第2の電子メールアプリケーション216と、安全なネットワーク通信アソシエーション(またはチャネル)214で、データを交換するために、ネットワークプロトコルのセキュアシェル(SSH:Secure Shell)を使用することができ得る。
【0033】
また、図2における例には、インターネット鍵交換バージョン2(IKEv2:Internet Key Exchange version 2)プロトコルの使用が示されている。ネットワーク層206aにおいて、送信端末202は、IP secセッションの最初に、受信端末204と、安全なアソシエーション218を取り決めるために、IKEv2プロトコルを使用することができ得る。1つの例において、第1の電子メールアプリケーション212は、それ独自の安全なアソシエーション(すなわち、チャネル)を確立するのではなく、ネットワーク層206aにおいて事前に確立された安全なアソシエーション218の1つを利用することができ得る。セキュリティ情報モジュールは、第2の層に、第1の層のアソシエーションまたはチャネルについての情報を提供することができ得る。いくつかの具体化において、ネットワーク通信アソシエーションの縦の共有(vertical sharing)が、異なる層の間で起こる。しかしながら、他の具体化では、ネットワーク通信アソシエーションの横の共有(horizontal sharing)が、第1の層における1つのアプリケーションから同一の第1の層における別のアプリケーションまたはサービスで、起こることができ得る。
【0034】
図3(図3A、3Bおよび3Cを含む)は、第1の層のためのネットワーク通信アソシエーションを使用して、2つのデバイスまたは端末間のデータの安全な伝送を促進するための方法を示したフロー図である。第1の層のネットワーク通信アソシエーションを使用することにより、第2の層での新たなネットワーク通信アソシエーションの使用および確立が回避されることができ得る。この例では、図2の送信端末202と受信端末204が、説明目的で使用されている。送信端末202は、アプリケーションモジュール302、セキュリティ情報モジュール304、およびセキュリティプロトコルモジュール306を含むことができ得る。
【0035】
アプリケーションモジュール302は、他の端末またはデバイスの他のアプリケーションとデータを交換するためのネットワーク通信アソシエーションを使用するアプリケーションまたはサービスを含むことができ得る。さらに、以下に述べられるように、アプリケーションモジュール302は、データの交換またはデータを交換する試みの後に、ノードまたはネットワーク通信アソシエーションの信用レベルを評価することもでき得る。信用レベルは、ネットワーク通信アソシエーションの作成において使用された認証の種類といった情報を使用して評価されることができ得る。たとえば、信用レベルは、強いプリシェアードキー(PSKs)または自己署名証明書(self-signed certificates)または認証されていないディフィー・ヘルマン(Diffie-Hellman)がネットワーク通信アソシエーションの作成に使用されたかどうかに基づいて決定されることができ得る。この情報は、アプリケーションプログラムインターフェース(API)を介してセキュリティプロトコルモジュールに提供されることができ得る。
【0036】
セキュリティ情報モジュール304は、さまざまなセキュリティプロトコルからの安全なチャネルまたはネットワーク通信アソシエーションの性質についての情報を収集することができ、要求されるとアプリケーションまたはサービスにこのセキュリティ情報を提供することができ得る。さらに、セキュリティ情報モジュール304は、アプリケーションによって提供されたノードおよびネットワーク通信アソシエーションの信用レベルの情報を収集することができ得る。信用レベル情報は、どのネットワーク通信アソシエーションを将来の通信に使用するのかについての決定に組み込まれることができ得るか、または、経路決定を行う他のモジュールに提供されることができ得る。ネットワーク通信アソシエーションの種類を知ることにより、そのようなアソシエーションの作成に使用されたクレデンシャル(credentials)または認証メカニズムの種類についての情報が、そのようなアソシエーションおよび/または対応するノードの信用レベルを評価するために使用されることができ得る。たとえば、ネットワーク通信アソシエーションは、IKEv2および802.11iまたはBluetooth(登録商標)のペアリングスキームを含むことができ、その各々は、ネットワーク通信アソシエーションの異なる信用レベルという結果をもたらすことができ得る。
【0037】
セキュリティプロトコルモジュール306は、任意のセキュリティプロトコルまたはネットワーク通信アソシエーション、第1または第2の層のいずれか、を含むことができ、それは、送信端末と受信端末間での通信のための、クレデンシャルの管理、鍵の管理、および/または、安全なチャネルの確立を促進する。
【0038】
通信ネットワークでは、ポリシーのセットが、送信端末202によって確立されることができ、セキュリティ情報モジュール304に記憶されることができ、ポリシーのセットは、ユーザーの優先性に基づくことができ得る 308。優先性は、コスト、利用可能な帯域幅、および、アプリケーションが安全にデータを送信するために使用することができ得るセキュリティレベルを含むことができ得るが、これらに限定されない。セキュリティ情報モジュール304は、この情報を収集することができ、アプリケーションおよび/またはネットワーク通信アソシエーションと相互に作用するためにこれを使用することができ得る。
【0039】
セキュリティプロトコルモジュール306は、送信端末と受信端末のアプリケーション/サービスまたはアプリケーションプログラムインターフェース(API)間で以前に確立されたことがあり得るネットワーク通信アソシエーションのセキュリティ情報を確認することができ得る 310。オーバーヘッドはすでに確立されたことがあり得るネットワーク通信アソシエーションを確立するのに浪費されないことができ得るため、アプリケーションまたはサービスは、オーバーヘッドを最小限にするために以前に確立された第1の層のネットワーク通信アソシエーションを選択するために、このセキュリティ情報を使用可能であることができ得る。たとえば、セキュリティ情報モジュールは、暗号化されたネットワーク通信アソシエーションまたはチャネルの利用可能性の知識を有することができ得る。結果として、アプリケーションは、第1の層の暗号化されたネットワーク通信アソシエーションまたはチャネルを使用することができ、それ独自のIP層の暗号化をスキップすることができる。一方、このレベルの情報が利用可能でない場合には、アプリケーションは、このモデルの直接の接続性が第1の層で利用可能であったとしても、それ独自のIP層の暗号化を確立しなくてはならなくなり得る。結果的に、第2の層のアプリケーションまたはサービスは、セキュリティ情報モジュール304からこの情報を得ることによって、(所望のセキュリティレベルを有する)第1の層のアソシエーションまたはチャネルに頼ることによって、オーバーヘッドおよび/または複雑性を減じることができる。
【0040】
特定のアソシエーションまたはチャネルについてのセキュリティ情報は、特定のチャネルで所与のノードによって利用可能なクレデンシャルの種類を含むことができ、ユーザーが関連した(user-involved)Bluetoothペアリングおよびインフラストラクチャアシスト(infrastructure assisted)の拡張認証プロトコル(EAP:Extensible Authentication Protocol)を含むが、これらに限定されない。クレデンシャルは、アソシエーションまたはチャネルに依存しないことができ得る。セキュリティ情報は、利用可能なクレデンシャルの種類に加えて、もし分かれば、どのようにしてノードまたはアソシエーション/チャネルが認証されたか、たとえば、PSK、自己署名証明書、バイオメトリクス、等、および、デバイス/ノードの種類、すなわち信用されているかいないか、を含むこともでき得る。この情報は、セキュリティ情報モジュールに送られることができ 312、そこで記憶されることができ得る 314。
【0041】
次に、アプリケーションモジュール302は、ネットワーク通信アソシエーションの各々の信用レベルを評価することができ得る 316。信用レベルは、得られたセキュリティ情報、および、それがネットワーク通信アソシエーションについて有することができ得る任意の他の情報、たとえば、ユーザーによって提供された情報を使用して、評価されることができ得る。たとえば、間違いのあるファイルを受信したアプリケーションは、間違いのあるファイルを受信したデバイスまたはノードから間違いのあるファイルを受信したことを示すことができ得る。この情報は、信用レベルを評価するのに使用されることができ得る。次に、信用レベルのフィードバックが、セキュリティ情報モジュールに提供されることができ 318、そこで記憶されることができ得る 320。信用レベルのフィードバックは、特定のネットワーク通信アソシエーションまたはノードが信用されることができ得るかどうかを決定するために、(または、信用レベルをそれに割り当てるために、)他のアプリケーションによって使用されることができ得る。
【0042】
さらに、信用レベル情報は、ネットワーク通信アソシエーションの全般的な強度を計算するために使用されることができ得る。この情報は、デバイス/ノードで実行中の他のアプリケーションまたはサービスにとって有用であることができ得る。たとえば、1つのソフトウェアを得ることを望んでいる別のアプリケーションは、フィードバックにしたがって、間違いのあるファイルを以前に提供したデバイス/ノードを使用しないように選択することができ得る。たとえ認証のレベルがアプリケーションに受け入れ可能であることができても、低い信用レベルを示す対応するノードまたはネットワーク認証アソシエーションの以前の履歴(たとえば、間違いのあるファイルを提供した履歴、等)は、そのようなチャネル強度情報に取って代わることができ得る。たとえば、デバイスCのアプリケーションがデバイスAまたはデバイスBからコンテンツを得るオプションを有し、そのアプリケーションがデバイスAの以前の知識を有する場合、アプリケーションは、デバイスAから来るコンテンツを認証可能であるほうが、それがデバイスBから来た場合よりもよい場合があり得る。たとえデバイスAおよびデバイスBの両方が自己署名証明書/認証を使用していたとしても、アプリケーションは、アプリケーションがデバイスAとの以前に確立された関係を有しているために、デバイスAから情報を受信するように要求することができ得る。結果として、(デバイスCにおいて動作する同一のまたは他のアプリケーションによる)デバイスAとの肯定的な通信の以前の履歴が、そのようなアソシエーションが使用されるべきかどうかを決定するために、アプリケーションによって使用されることができ得る。
【0043】
送信端末202におけるアプリケーションが受信端末204にデータを送信することを望む場合、アプリケーションモジュール302(たとえば、送信端末202で動作するアプリケーションまたはサービス)は、利用可能であることができ得る、または、セキュリティ情報モジュールに記憶されることができ得る、第1の層のネットワーク通信アソシエーションまたはチャネルについての任意の利用可能なセキュリティおよび信用レベル情報を要求することができ得る 322。セキュリティ情報モジュール304は、この要求を受信することができ、アプリケーションモジュールに任意の利用可能なセキュリティおよび信用レベル情報を送ることができ得る 324。セキュリティ情報は、たとえば、ネットワーク通信アソシエーションの認証強度およびクリプトアルゴリズム(Crypto Algorithm)強度を含むことができ得る。アプリケーションモジュール302は、その次に、既存のネットワーク通信アソシエーションまたはチャネルが利用されることができ得るか否か、または、新たなネットワーク通信アソシエーションまたはチャネルが取得されるべきかどうかを決定するために、ポリシーのセットとともに、セキュリティおよび信用レベル情報を使用することができ得る 326。すなわち、ポリシーのセットがデバイスからのデータ送信のための所望のセキュリティレベルを含むことができる一方で、セキュリティおよび/または信用レベル情報が、セキュリティレベルを決定するために使用されることができ得る。セキュリティおよび信用レベル情報を使用して決定されたセキュリティレベルが、所望のセキュリティレベルと等しいか、または、それを超えるかのいずれかであると、第1の層のネットワーク通信が使用されることができ得る。所望のセキュリティレベルは、好ましいセキュリティの種類に基づいてアプリケーションによって決定されることができ得る。たとえば、アプリケーションは、完全性と暗号化(integrity and encryption)、または256ビットキーによる暗号化(encryption with 256-bit key)を使用することを望むことができ得る。
【0044】
アプリケーションモジュールが、任意の確立されたネットワーク通信アソシエーションが、利用されることができ得る、すなわち、所望のセキュリティレベルを満たすと決定すると、送信端末で実行中のアプリケーションは、受信端末と通信するための第1の層のネットワーク通信アソシエーションのうちの1つを選択することができ得る 326。
【0045】
いくつかの例において、第1の層のネットワーク通信アソシエーションは、複数のアプリケーションまたはサービスの間で共有されることができ得る。そのような例において、アプリケーションまたはサービスは、同一の第1の層の共有アソシエーションまたはチャネルを共に使用するための他のアプリケーションまたはサービスに、十分な信用を持つことができ得る。
【0046】
他の例では、アプリケーションまたはサービスが、同一のデバイスにおける他のアプリケーションまたはサービスを信用しないこともでき、または、その通信のための非共有のプライベートな、または、専用の、アソシエーションまたはチャネルを使用することを望むことができ得る。そのような例では、アプリケーションまたはサービスは、第1の層がそれ単独の使用のための非共有のネットワーク通信アソシエーションまたはチャネルをセットアップすることを、要求するか、または、それ独自の第2の層のアソシエーションまたはチャネルをセットアップすることを決定するか、のいずれかができ得る。
【0047】
ひとたび、第1の層のネットワーク通信アソシエーションまたはチャネルが選択されると、その次に、通知が、ネットワーク通信アソシエーションおよび安全な通信チャネルが受信端末と確立されることができ得ることについて、受信端末204に提供されることができ得る 328。確立されたネットワーク通信アソシエーションの全部が、所望のセキュリティレベルを満たさない場合、所望のセキュリティレベルを有する新たなネットワーク通信アソシエーションが、作成されることができ得る 330。その次に、通知が、新たなネットワーク通信アソシエーションについて、受信端末に提供されることができ得る。ひとたび送信端末が、既存の第1の層のネットワーク通信アソシエーションを使用するか、または、新たなネットワーク通信アソシエーションを作成するか、のいずれかで、安全な通信チャネルを確立すると、データが、安全な通信チャネルで受信端末204に送信される 332。
【0048】
図4は、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティ情報を提供し、それによって第2の層のネットワーク通信アソシエーションの確立を回避するように構成されることができ得る通信端末の例を示すブロック図である。通信端末402は、有線または無線ネットワークで別のデバイスと通信するための通信インターフェース406に結合された処理回路404を含むことができ得る。アプリケーションモジュール410は、(たとえば、処理回路404内で動作する)ハードウェア、ソフトウェア、またはその組み合わせとして実現されることができ、データを交換するためにセキュリティプロトコルによって確立された安全なチャネルまたはアソシエーションを使用するアプリケーションまたはサービスを表す。アプリケーションモジュール410は、セキュリティ情報モジュール408に、ある特定のノードまたは経路の評価(rating)(たとえば、信用レベル、等)についての情報を提供することができ得る。アプリケーションモジュール408は、ネットワーク通信アソシエーションの各々に対する信用レベルを評価することができ得る。セキュリティ情報モジュール412は、さまざまなセキュリティプロトコルから安全なアソシエーションまたはチャネルの性質についての情報を収集し、要求に応じてそれをアプリケーション(たとえば、アプリケーションモジュール410)に提供するための、(たとえば、処理回路404内で動作する)ハードウェア、ソフトウェア、またはその組み合わせとして実現されることができ得る。セキュリティ情報モジュール412は、アプリケーションによって提供された評価情報を収集することもでき、特定の安全なアソシエーションまたはチャネルを使用するかどうかについての決定にそのようなフィードバックを組み込むか、または、経路決定のための他のモジュールにそれを提供する。セキュリティプロトコルモジュール408は、安全なアソシエーションまたはチャネルを確立するための、(たとえば、処理回路内で動作する)ハードウェア、ソフトウェア、またはその組み合わせとして実現されることができ、ネットワーク通信アソシエーション/チャネルの作成に使用されたクレデンシャルまたは認証メカニズムの種類についての情報を提供することができ得る。ポリシーモジュール414は、データを送信するためのネットワーク通信アソシエーションを選択するためのガイドラインとして使用されることができ得るポリシーのセットを記憶する役割を果たすことができ得る。
【0049】
図4の通信端末402は、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第1の層のアプリケーションにセキュリティ情報を提供し、それによって、別の第1の層のネットワーク通信アソシエーションの確立を回避するように構成されることができ得る。すなわち、アプリケーションは、他の層のネットワーク通信アソシエーションに頼ること(たとえば、縦の共有)ではなく、同一の層のネットワーク通信アソシエーションを使用すること(横の共有)ができ得る。
【0050】
図5は、第1の層のアソシエーション(チャネル)情報を収集し、それを第1または第2の層のアプリケーションおよび/またはサービスに提供するための、セキュリティ情報モジュールの動作および/または機能を示すブロック図である。セキュリティ情報モジュール502は、セキュリティ情報モジュール502が動作するさまざまな層のデバイスで利用可能なネットワーク通信アソシエーションまたはチャネルについての情報を収集および分配するための、さまざまなモジュールを含むことができ得る。アソシエーション情報記憶モジュール504は、さまざまな層で利用可能なネットワーク通信アソシエーションまたはチャネルに関連する情報(たとえば、セキュリティレベル、信用レベル、強度レベル、以前の評価、ポリシー、等)を記憶することができ得る。アソシエーション(チャネル)情報収集部506は、さまざまな層で利用可能なアソシエーションまたはチャネルについての情報を収集する役割を果たすことができ得る。たとえば、アソシエーション情報収集部506は、さまざまな層で利用可能なネットワークアソシエーションおよび/またはチャネル、それらのアソシエーションまたはチャネルの各々を作成するために使用された認証の種類、等を問い合わせること、および/または、得ることができ得る。そのような情報は、たとえば、セキュリティ情報モジュール502に情報を提供するように新たなアソシエーションにさせることができ得るセキュリティプロトコルのためのアプリケーションプログラミングインターフェース(API)を介して、得られることができ得る。セキュリティプロトコルから収集されるデータの例は、a)所与のアソシエーションまたはチャネルで所与のノード(別のデバイス)と確立された利用可能なクレデンシャルの種類(たとえば、ユーザーが関連したBluetoothペアリング、インフラストラクチャアシストのEAP、等)、b)アソシエーションまたはチャネルを認証するために使用されたクレデンシャルの種類(たとえば、PSK、自己署名証明書、バイオメトリクス、等)、および/または、c)アソシエーションが確立されたデバイス/ノードの種類(たとえば、信用された、または信用されていないデバイス、等)を含む。
【0051】
さらに、ポリシー情報収集部508は、アソシエーションおよび/またはプロトコルについて定義されたルールを得ること、または記憶することができ得る。たとえば、利用可能なポリシー情報によって、ポリシー情報収集部508は、認証が特定のアソシエーションまたはチャネルのために確立される必要があるか否かについての入力を、セキュリティプロトコルに供給することができ得る。デバイスは、コストの優先性、要求されるセキュリティレベル、等といったユーザーの優先性に基づいたポリシーのセットを有することができ得る。この情報は、アプリケーションおよびセキュリティプロトコルと相互に作用するためにセキュリティ情報モジュールによって使用されることができ得る。
【0052】
アソシエーション情報分配部510は、第1または第2の層のアプリケーションおよびサービスに情報を提供する役割を果たすことができ得る。たとえば、アソシエーション情報分配部510は、a)所与のノードまたはデバイスへの利用可能な安全なチャネルまたはアソシエーションの強度、b)所与のノードへの利用可能な安全な経路および相対的な強度、安全なチャネルの利用可能性を有する所与のサービスのための利用可能なノードを提供することができ得る。アプリケーションは、そのような情報を受信するために、セキュリティ情報モジュール502に登録することができ得る。任意の1つの層またはプロトコルのために提供される情報の粒度または詳細は、異なることができ得る。
【0053】
アソシエーション評価収集部512は、特定のアソシエーション、チャネル、および/またはノードについてのフィードバックを提供するように、アプリケーションおよび/またはサービスにさせる。たとえば、アプリケーションは、そのようなノードとの過去の経験に基づいたノードの評価を提供することができ得る(たとえば、間違いのあるファイルがそのようなノードから受信された場合には、これは、そのノードについての低い評価とみなすことができ得る)。評価は、安全なチャネルまたはノードの全般的な強度を計算するために使用されることができ得る。そして、この情報は、他のアプリケーションおよびサービスにとって有用であることができ得る。
【0054】
図6は、ネットワーク通信情報を収集し、アプリケーションおよび/またはサービスに提供するためのセキュリティ情報モジュールにおいて動作可能な方法を示す。そのようなセキュリティ情報モジュールは、ソフトウェア、ハードウェア、および/または、その組み合わせとして実現されることができ得る。他のノードとの利用可能な第1の層のネットワーク通信アソシエーションについての情報が収集される 602。同様にして、ローカルアプリケーションまたはサービスからの他のノードについてのフィードバックも、収集される 604。そのようなフィードバックは、そのような他のノード(すなわち、アプリケーションが通信している他のデバイス)が信用できるかどうかを示すことができ得る。第1の層のネットワーク通信アソシエーションおよび/または他のノードについての信用レベルは、収集された情報およびフィードバックに基づいて評価されることができ得る 606。アソシエーションおよび他のノードについての情報は、セキュリティ情報モジュールによって記憶または維持されることができ得る 608。ネットワーク通信アソシエーションおよび他のノードについての情報は、要求アプリケーションおよび/またはサービスに提供されることができ得る 610。
【0055】
図7は、ネットワーク通信アソシエーションのうちの1つでの安全な通信を促進するためにネットワーク通信アソシエーションについての情報を提供し、それによって、新たなネットワーク通信アソシエーションの確立を回避するためのアクセス端末において動作可能な方法を示す。これを達成するために、セキュリティ情報モジュール(たとえば、ハードウェア、ソフトウェア、またはその組み合わせ)は、1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が、収集され、および/または、アプリケーションに分配されるインターフェースを提供する 700。1つの例において、1つ以上のネットワーク通信アソシエーションは、オープンシステムインターコネクション(OSI)モジュール通信システムの1つ以上の層に対応することができ、1つ以上の層は、アプリケーション層、ネットワーク層、データリンク層、および物理層のうちの少なくとも1つを含むことができ得る。
【0056】
セキュリティ情報モジュールは、1つ以上の層からのネットワーク通信アソシエーション702および704に関して、セキュリティ情報を、確認する、または得る、および/または記憶することができ得る。ネットワーク通信アソシエーションのセキュリティ情報は、第1の層のネットワーク通信アソシエーションを安全にするために使用された方法、第1の層のネットワーク通信アソシエーションを認証するために使用された方法、および、ネットワーク通信アソシエーションが確立される送信端末と受信端末間の以前の履歴のうちの少なくとも1つを含むことができ得る。セキュリティ情報は、ネットワーク通信アソシエーションの強度レベルを含むこともでき得る。信用レベルは、1つ以上のネットワーク通信アソシエーション706および708の各々に関して、評価および/または記憶されることができ得る。さらに、1つ以上の受信端末との以前の経験についてのアプリケーションからの情報が、収集され、他のアプリケーションに提供されることができ得る。信用レベルは、収集された情報に基づいて、そのような各受信端末について評価されることができ得る。信用レベルは、対応する受信端末との以前の経験、および、対応する受信端末への層ネットワーク通信アソシエーションを作成するために使用された認証の種類に基づくことができ得る。また、ポリシーのセットが、データを送るためのネットワーク通信アソシエーションの選択に使用されるために特定および/または収集されることができる。ここで、ポリシーのセットは、ユーザーの優先性(user preferences)に基づく 710。収集された情報は、受信端末のアプリケーションにデータを送るためのネットワーク通信アソシエーションの後の検索および選択のために、セキュリティ情報モジュールにおいて記憶されることができ得る。
【0057】
要求が、利用可能なネットワーク通信アソシエーションについての情報を求めて、要求アプリケーションから受信されることができ得る 712。
【0058】
そのような要求に応じて、決定が、データを転送するための記憶されたネットワーク通信アソシエーションが所望のセキュリティレベルを満たすかどうかについて、(たとえば、要求端末またはセキュア情報モジュールのいずれかによって)なされることができ得る 714。そのような要求に応じて、ネットワーク通信アソシエーションが選択されることができ、それによって、要求アプリケーションがネットワークで受信端末にデータを送ることができる。1つのオプションによると、1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たすと、少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報が、受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、要求アプリケーションに提供されることができ、それによって、受信端末との新たなネットワーク通信アソシエーションの確立を回避する 716。あるいは、1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合には、要求アプリケーションが受信端末にデータを送るために使用することができる、新たなネットワーク通信アソシエーションが、確立されることができ得る 718。1つの例において、セキュリティ情報モジュールは、要求アプリケーションが使用すべきネットワーク通信アソシエーションを選択することができ、要求アプリケーションにそのネットワーク通信アソシエーションを提供する。別の例において、要求アプリケーションは、セキュリティ情報モジュールから複数のネットワーク通信アソシエーションを受信することができ、そして、受信端末への送信のために1つを選ぶ。ネットワーク通信アソシエーションを選択すると、受信端末は、送られるデータを受信するためのネットワーク通信アソシエーションを通知されることができ得る 720。
【0059】
そして、データが、選択されたネットワーク通信アソシエーションで受信端末に(たとえば、要求アプリケーションによって)送信されることができ得る。
【0060】
1つの例において、要求アプリケーションは、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、異なる第2の層で動作することができ得る。第1の層は、第2の層よりも上位の層であることができ得る。別の例において、要求アプリケーションは、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、同一の第1の層で動作することができ得る。
【0061】
さらなる別の構成によると、回路は、1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集されてアプリケーションに分配されるインターフェースを提供するように適合させられる。同一の回路、異なる回路、または、同一または異なる回路の第2のセクションが、1つ以上の層での1つ以上のネットワーク通信アソシエーションについての情報を、確認、収集、および/または記憶するように適合させられることができ得る。たとえば、そのような回路は、1つ以上のネットワーク通信アソシエーションの各々についての信用レベルおよび/またはセキュリティ情報を、評価および/または記憶することができ得る。さらに、同一の回路、異なる回路、または第3のセクションが、1つ以上の受信端末との以前の経験についてのアプリケーションからの情報を、評価、収集、および/またはするように適合させられることができ得る。そのような情報は、収集された情報に基づいた、そのような各受信端末についての信用レベルを含むことができ得る。同様に、同一の回路、異なる回路、または第4のセクションが、利用可能なネットワーク通信アソシエーションについての情報を求める要求端末からの要求を受信するように適合させられることができ得る。同一の回路、異なる回路、または第5のセクションが、要求端末がネットワークで受信端末にデータを送ることができるネットワーク通信アソシエーションを選択するように適合させられることができ得る。同一の回路、異なる回路、または第6のセクションが、要求アプリケーションにネットワークを選択させるために、要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供するように適合させられることができ得る。同一の回路、異なる回路、または第7のセクションが、1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合には、新たなネットワーク通信アソシエーションを確立し、受信端末にデータを送るためにそれを使用するように適合させられることができ得る。
【0062】
当業者は、一般的に、この開示において説明された処理の大半が同様の方法で実現されることができ得るということを認識するであろう。任意の(単数または複数の)回路または回路セクションは、単独で、または、1つ以上のプロセッサとともに集積回路の一部として組み合わされて、実現されることができ得る。1つ以上の回路は、集積回路、アドバンスドリスクマシン(ARM:Advance RISC Machine)のプロセッサ、デジタルシグナルプロセッサ(DSP)、汎用プロセッサ、等で、実現されることができ得る。
【0063】
また、構成がフローチャート、フロー図、構造図、またはブロック図として描写されたプロセスとして説明されることができ得るということに注意すべきである。フローチャートは、連続して行なわれるプロセスとして動作を説明することができ得るが、動作の多くは、並行して、または同時に行なわれることができる。さらに、動作の順序は並べ替えられることができ得る。プロセスは、その動作が完了すると終了する。プロセスは、方法、関数、手順、サブルーチン、サブプログラム、等に対応することができ得る。プロセスが関数に対応する場合、その終端は、関数の呼び出しまたはメイン関数へ関数を返すことに対応する。
【0064】
1つ以上の例および/または構成において、説明された機能は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせにおいて実現されることができ得る。ソフトウェアにおいて実現される場合、機能は、コンピュータ可読媒体上の1つ以上の命令またはコードとして、記憶または伝送されることができ得る。コンピュータ可読媒体は、ある場所から別の場所へのコンピュータプログラムの転送を容易にする任意の媒体を含む通信媒体およびコンピュータ記憶媒体の両方を含む。記憶媒体は、汎用または専用コンピュータによってアクセス可能な任意の入手可能な媒体であることができ得る。限定ではなく例として、そのようなコンピュータ可読媒体は、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、電気的に消去可能・プログラム可能な読み取り専用メモリ(EEPROM)、コンパクトディスク読み取り専用メモリ(CD−ROM)、または他の光ディスク記憶装置、磁気ディスク記憶装置、フラッシュメモリまたは他の磁気記憶デバイス、または、汎用または専用コンピュータ、または、汎用または専用プロセッサによってアクセスされることができ、かつ、命令またはデータ構造の形態で所望のプログラムコード手段を搬送または記憶するために使用されることができる、任意の他の媒体を含むことができる。また、任意の接続も、厳密にはコンピュータ可読媒体と呼ばれる。たとえば、ソフトウェアが、同軸ケーブル、光ファイバーケーブル、ツイストペア、デジタル加入者回線(DSL)、または、赤外線、無線、およびマイクロ波といった無線技術を使用して、ウェブサイト、サーバー、または他のリモートソースから伝送される場合には、同軸ケーブル、光ファイバーケーブル、ツイストペア、DSL、または赤外線、無線、およびマイクロ波といった無線技術が、媒体の定義に含まれる。ディスク(disk)およびディスク(disc)は、ここに使用される場合、コンパクトディスク(disc)(CD)、レーザー(登録商標)ディスク(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピー(登録商標)ディスク(disk)、およびブルーレイ(登録商標)ディスク(disc)を含み、ディスク(disk)は、通常、磁気的にデータを再生するが、ディスク(disc)は、レーザーによって光学的にデータを再生する。上記したものの組み合わせも、また、コンピュータ可読媒体の範囲内に含まれるべきである。
【0065】
さらに、構成は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはそれらの任意の組み合わせによって実現されることができ得る。ソフトウェア、ファームウェア、ミドルウェア、またはマイクロコードにおいて実現される場合、必要なタスクを行なうためのプログラムコードまたはコードセグメントが、記憶媒体のようなコンピュータ可読媒体または他の(単数または複数の)記憶装置において記憶されることができ得る。プロセッサが、必要なタスクを行なうことができ得る。コードセグメントは、手順、機能、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、または、命令、データ構造、またはプログラム・ステートメントの任意の組み合わせを表すことができ得る。コードセグメントは、情報、データ、引数、パラメータ、またはメモリコンテンツを受け渡しすることによって別のコードセグメントまたはハードウェア回路に結合されることができ得る。情報、引数、パラメータ、データ、等は、メモリ共有、メッセージパッシング、トークンパッシング、ネットワーク伝送、等を含む任意の適切な手段を介して、渡され、転送され、または伝送されることができ得る。
【0066】
ここに説明された伝送技術は、符号分割多元接続(CDMA)システム、時分割多元接続(TDMA)システム、周波数分割多元接続(FDMA)システム、直交周波数分割多元接続(OFDMA)システム、シングルキャリアFDMA(SC−FDMA)システム、等といったさまざまな無線通信システムのために使用されることもでき得る。OFDMAシステムは、直交周波数分割多重(OFDM)を利用し、それは、全システム帯域幅を、複数の(K個の)直交するサブキャリアに分割する変調方式である。これらのサブキャリアは、トーン、ビン(bin)、等とも呼ばれる。OFDMによれば、各サブキャリアは、データによって自由に変調されることができ得る。SC−FDMAシステムは、システム帯域幅にわたって分散されたサブキャリアで伝送するためのインターリーブドFDMA(IFDMA:interleaved FDMA)、隣接するサブキャリアのブロックで送信するためのローカライズドFDMA(LFDMA:localized FDMA)、または、隣接するサブキャリアの複数のブロックで送信するためのエンハンスドFDMA(EFDMA:enhanced FDMA)を、利用することができ得る。一般的に、変調シンボルは、OFDMでは周波数領域で、SC−FDMAでは時間領域で送られる。
【0067】
図1、2、3、4、5、6、および/または7に示されたコンポーネント、ステップ、および/または機能のうちの1つ以上は、単一のコンポーネント、ステップ、または機能に、再構成され、および/または組み入れられることができ、または、いくつかのコンポーネント、ステップ、または機能に具現化されることができ得る。追加の要素、コンポーネント、ステップ、および/または機能が、追加されることもでき得る。図1、2、4、および/または5に示された装置、デバイス、および/またはコンポーネントは、図3、6、および/または7で説明された方法、特徴、またはステップのうちの1つ以上を行なうように構成され、または適合させられることができ得る。ここに説明されたアルゴリズムは、ソフトウェアおよび/または内蔵されたハードウェアにおいて効率的に実現されることができ得る。
【0068】
当業者は、ここに開示された構成に関連して説明された、さまざまな例示的な論理ブロック、モジュール、回路、およびアルゴリズムのステップが、電子ハードウェア、コンピュータソフトウェア、または両者の組み合わせとして実現されることができ得るということを、さらに理解するであろう。ハードウェアとソフトウェアのこの相互互換性をわかりやすく示すために、さまざまな例示的なコンポーネント、ブロック、モジュール、回路、およびステップは、概してそれらの機能の点で、上述されている。そのような機能がハードウェアまたはソフトウェアとして実現されるのかどうかは、システム全体に課された特定の用途および設計の制約による。
【0069】
ここに説明されたさまざまな特徴は、異なるシステムにおいて実現されることができる。たとえば、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティ情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避するためのシステムおよび方法は、別個の回路またはモジュールで、単一の回路またはモジュールにおいて実現され、1つ以上のプロセッサによって実行され、機械可読媒体またはコンピュータ可読媒体に組み込まれたコンピュータ可読命令によって実行され、ハンドヘルドデバイス、モバイルコンピュータ、および/またはモバイルフォンに具現化されることができ得る。
【0070】
なお、上述した構成は、単なる例であって特許請求の範囲を限定するものと解釈されるべきではない。構成の説明は、例示を意図しており、特許請求の範囲を限定するものではない。したがって、本教示は、他の種類の装置に容易に適用されることができ、多くの代替例、変更例、変形例が、当業者に明らかであろう。
【技術分野】
【0001】
少なくとも1つの特徴は、通信ネットワーク内のデバイス間の安全な通信に関し、より詳細には、異なる層(layers)およびアプリケーションにわたる利用可能なネットワーク通信アソシエーションの収集および共有に関する。
【背景技術】
【0002】
通信ネットワーク内の有線または無線デバイスのいずれかでの電子メール(Eメール)のようなアプリケーションは、現在、そのネットワーク内でのセキュリティアソシエーションを作成するために使用された、基礎をなす認証メカニズムの強度を知らない。その結果、各アプリケーションは、別のデバイスと通信するときに、それ独自のセキュリティを運用する。たとえば、あるアプリケーションは、トランスポート層セキュリティ(TLS:Transport Layer Security)またはインターネットプロトコルセキュリティ(IPSec:Internet Protocol Security)チャネルが存在することを知り得るが、どのようにしてそのチャネルが確立されたかを知らない場合がある。そのチャネルは、たとえば、認証されていないディフィー・ヘルマン(DH:Diffie-Hellman)、プリティー・グッド・プライバシー(PGP:Pretty Good Privacy)に基づく認証、プリシェアードキー(PSK:Pre-Shared Key)に基づく認証、または公開鍵インフラストラクチャ(PKI:Public Key Infrastructure)に基づく認証によって確立されていることができ得るが、アプリケーションは、そのチャネルを確立するために使用された認証の種類を知らない。
【0003】
オープンシステムインターコネクション(OSI:Open System Interconnection)の層状の通信およびコンピュータネットワークプロトコル設計において、各層は、それ独自の安全化または非安全化されたアソシエーションまたはチャネルを確立することができ得る。たとえば、第1のOSI層は、別のデバイスと、安全化または非安全化された通信チャネルを確立することができ得る。同様に、第2のOSI層、たとえば、メディアアクセス制御(MAC:Media Access Control)層、インターネットプロトコル(IP)層、および/または、アプリケーション層は、それ独自の安全なチャネルを使用して2つのデバイス間の通信を保護することができ得る。あるデバイスのある層で動作するアプリケーションは、一般的に、第1の層のチャネルまたはアソシエーションのセキュリティまたは認証の特徴を知らないため、それ独自の安全なチャネルまたはアソシエーションを確立しなくてはならない。
【0004】
たとえアプリケーションが、別の層での安全なアソシエーションまたはチャネルを知っていたとしても、上述したように、それは、どの種類または強度の認証がその安全なアソシエーションまたはチャネルを作成するために使用されたかを知らない。認証のレベルが明らかでないと、各層での認証の最低限のレベルを維持することは不可能である。その結果、アプリケーションは、たとえ第1の層の通信アソシエーションまたはチャネルが利用可能であり、同一の目的のために用いられることができたとしても、それ独自のインターネットプロトコル(IP)接続性、すなわち、IP層暗号化を確立しなくてはならない。
【0005】
さらに、たとえアプリケーションが第1の層でのセキュリティアソシエーションを確立するために使用された認証の種類を知っていたとしても、これだけでは、セキュリティアソシエーションの実際の質を決定するのに不十分であり得る。認証は、あるエンティティが、それが主張している誰それである、ということを証明することはでき得るが、それは、そのエンティティを通して利用可能なサービスの信頼性または質についての保証を提供することはできない。現在のところ、そのような保証を求めるアプリケーションは、それを得る手段を持っていない。
【0006】
上記を鑑みて、システムおよび方法が、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第1または第2の層のアプリケーションに第1の層のネットワーク通信アソシエーションの情報を提供し、それによって、追加の第1のネットワーク通信アソシエーションの確立または第2の層のネットワーク通信アソシエーションの使用を回避するために、所望される。情報は、確立されたネットワーク通信アソシエーション、使用された認証の種類、および、セキュリティアソシエーションの信頼性または信用のレベルを含むことができ得る。
【発明の概要】
【0007】
1つの特徴は、受信端末にデータを転送するために、同一のまたは異なる層で、事前に確立されたネットワーク通信アソシエーションをアプリケーションに利用させ、それによって、新たなネットワーク通信アソシエーションの確立を回避する、送信端末で動作可能な方法を提供する。その結果、オーバーヘッドが、すでに確立されているかもしれない新たなネットワーク通信アソシエーションを確立するのに浪費されないことができ得るので、オーバーヘッドが最小化される。これを達成するために、セキュリティ情報モジュール(たとえば、ハードウェア、ソフトウェア、またはその組み合わせ)は、1つ以上の層の1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配される、インターフェースを提供する。1つの例において、その1つ以上のネットワーク通信アソシエーションは、オープンシステムインターコネクション(OSI)モジュール通信システムの1つ以上の層に対応することができ、その1つ以上の層は、アプリケーション層、ネットワーク層、データリンク層、および物理層のうちの少なくとも1つを含むことができ得る。
【0008】
信用(trust)のレベルが、1つ以上のネットワーク通信アソシエーションの各々について、評価(assess)および/または記憶されることができ得る。さらに、1つ以上の受信端末との以前の経験についてのアプリケーションからの情報が、収集され、他のアプリケーションに提供されることができ得る。信用のレベルが、収集された情報に基づいて、そのような各受信端末について評価されることができ得る。信用のレベルは、対応する受信端末との以前の経験と、その対応する受信端末への層ネットワーク通信アソシエーションを作成するために使用された認証の種類とに基づくことができ得る。ポリシー(policies)のセットが、データを送るためのネットワーク通信アソシエーションの選択に使用されるために特定されることもでき、ポリシーのセットは、ユーザーの優先性に基づく。
【0009】
要求が、利用可能な層ネットワーク通信アソシエーションについての情報を求めて、要求アプリケーションから受信されることができ得る。それに応じて、少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報が、受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、要求アプリケーションに提供されることができ、それによって、受信端末との新たなネットワーク通信アソシエーションの確立を回避する。収集された情報は、受信端末のアプリケーションにデータを送るためのネットワーク通信アソシエーションの後の検索および選択のために、セキュリティ情報モジュールに記憶されることができ得る。提供されたセキュリティ情報は、ネットワーク通信アソシエーションの強度のレベルを含むことができ得る。要求アプリケーションがネットワークで受信端末にデータを送ることができる、ネットワーク通信アソシエーションが、選択されることができ得る。ネットワーク通信アソシエーションのセキュリティ情報は、第1の層のネットワーク通信アソシエーションを安全化するために使用された方法、第1の層のネットワーク通信アソシエーションを認証するために使用された方法、および、ネットワーク通信アソシエーションが確立される送信端末と受信端末との間の以前の履歴、のうちの少なくとも1つを含むことができ得る。
【0010】
選択されたネットワーク通信アソシエーションは、1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たすと、1つ以上のネットワーク通信アソシエーションから選択される。あるいは、1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合には、要求アプリケーションが受信端末にデータを送るために使用することができる新たなネットワーク通信アソシエーションが、確立されることができ得る。ネットワーク通信アソシエーションを選択すると、受信端末は、送られるデータを受信するためのネットワーク通信アソシエーションを通知されることができ得る。
【0011】
1つの例において、要求アプリケーションは、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、異なる第2の層で動作することができ得る。第1の層は、第2の層よりも上位の層であることができ得る。別の例では、要求アプリケーションが、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、同一の第1の層で動作することができ得る。
【0012】
別の具体化によると、通信インターフェースおよび処理回路を含むアクセス端末が、提供される。処理インターフェースは、受信端末との通信に適合させられることができ得る。処理回路は、(1)1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供し、(2)利用可能な層ネットワーク通信アソシエーションについての情報を求める要求アプリケーションからの要求を受信し、(3)ネットワークで受信端末にデータを送るためのネットワーク通信アソシエーションを選択し、および/または、(4)受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、受信端末との新たなネットワーク通信アソシエーションの確立を回避するように、構成されることができ得る。1つの例において、選択されたネットワーク通信アソシエーションは、1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たすと、1つ以上のネットワーク通信アソシエーションから選択されることができ得る。いくつかの具体化において、要求アプリケーションは、階層化されたプロトコルアーキテクチャの第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、階層化されたプロトコルアーキテクチャの第2の層で動作する。あるいは、要求アプリケーションは、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、階層化されたプロトコルアーキテクチャの同一の第1の層で動作する。
【0013】
いくつかの具体化において、処理回路は、1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合に、新たなネットワーク通信アソシエーションを確立し、それを使用して受信端末にデータを送るように、さらに構成されることができ得る。
【0014】
別の特徴によると、処理回路は、(1)1つ以上のネットワーク通信アソシエーションの各々の信用のレベルを評価し、および/または、(2)1つ以上のネットワーク通信アソシエーションの各々の信用のレベルを記憶するように、さらに構成されることができ得る。
【0015】
さらなる別の特徴によると、処理回路は、(1)1つ以上の受信端末との以前の経験についてのアプリケーションからの情報を収集し、(2)収集された情報に基づいてそのような各受信端末の信用のレベルを評価し、および/または、(3)他のアプリケーションに1つ以上の受信端末の情報を提供するように、さらに構成されることができ得る。
【0016】
アクセス端末は、処理回路に結合され、かつ、受信端末のアプリケーションにデータを送るためのネットワーク通信アソシエーションの後の検索および選択のためにセキュリティ情報モジュールに収集された情報を記憶するように構成された、記憶デバイスをさらに含むことができ得る。
【0017】
さまざまな例において、ここに説明された1つ以上の特徴は、ハードウェア(たとえば、1つ以上のプロセッサ、回路、チップ、等)、ソフトウェア、および/またはそれらの組み合わせにおいて実現されることができ得る。
【0018】
さまざまな特徴、性質、および利点は、同様の参照符号が全体を通して同様に特定する図面とともに考慮すると、以下に述べられる詳細な説明から明らかであることができ得る。
【図面の簡単な説明】
【0019】
【図1】送信端末と受信端末との間での通信中に確立された第1の層のネットワーク通信アソシエーションを示す通信ネットワークのブロック図である。
【図2】送信端末と受信端末との間でのネットワーク通信層アソシエーションを示すブロック図である。
【図3A】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する方法を示すフロー図である。
【図3B】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する方法を示すフロー図である。
【図3C】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する方法を示すフロー図である。
【図4】第1の層のネットワーク通信アソシエーションのセキュリティおよび信用レベルの情報を確認するように構成されることができ得るアクセス端末の例を示すブロック図である。
【図5】第1の層のアソシエーション(チャネル)情報を収集し、第1または第2の層のアプリケーションおよび/またはサービスにそれを提供するためのセキュリティ情報モジュールの動作および/または機能を示すブロック図である。
【図6】ネットワーク通信情報を、収集し、アプリケーションおよび/またはサービスに提供するためのセキュリティ情報モジュールにおいて動作可能な方法を示す図である。
【図7A】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する、通信端末において動作可能な方法を示す図である。
【図7B】第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティおよび信用レベルの情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避する、通信端末において動作可能な方法を示す図である。
【詳細な説明】
【0020】
以下の説明では、具体的な詳細が、構成の完全な理解を提供するために、与えられる。しかしながら、その構成がこれらの具体的な詳細なしでも実現されることができ得ることは、当業者によって理解されるであろう。たとえば、回路は、不必要な詳細で構成を不明瞭にしないようにブロック図で示される場合がある。他の例では、周知の回路、構造、および手法が、構成を不明瞭にしないために、詳細に示される場合もある。
【0021】
ここで使用される場合、「端末」という用語は、ユーザー機器(UE)、無線または有線通信デバイス、ネットワークデバイス、パーソナル通信デバイス、移動デバイス、および/または移動局の機能の一部または全部を含むことができ得る。「ネットワーク通信アソシエーション」という用語は、2つの異なる端末のアプリケーションまたはサービス間で確立されるネットワークでのリンクまたはチャネルを含むことができ得る。
【0022】
概観
第1の端末のアプリケーションに、それが別の端末にデータを送るために使用することができる利用可能なネットワーク通信アソシエーションについて問い合わせさせるようにし、それによって、他の端末との新たなネットワーク通信アソシエーションの確立を回避する、システムおよび方法が提供される。セキュリティ情報モジュールは、異なる層にわたる第1の端末と別の端末間で利用可能なネットワーク通信アソシエーションについての情報を収集および/または記憶する役割を果たすことができ得る。セキュリティ情報モジュールは、ネットワーク通信アソシエーションについての信用レベルを、各アソシエーションを確立するために使用されたセキュリティメカニズムおよび/またはこれらのネットワーク通信アソシエーションについて報告された過去の経験情報に基づいて、評価することもでき得る。利用可能なネットワーク通信アソシエーションを求める要求を受信すると、セキュリティ情報モジュールは、これを、他の端末の対応するアプリケーションとの通信を確立するためにそれを使用することができる要求アプリケーションに、提供する。
【0023】
1つの例によると、インターフェースが、(セキュリティ情報モジュールに)提供され、それを通して、1つ以上の層のための1つ以上の(利用可能な)ネットワーク通信アソシエーションについての情報が、収集され、アプリケーションに分配される。1つ以上の(利用可能な)ネットワーク通信アソシエーションについての情報は、収集および/または記憶されることができ得る。そのような情報は、ネットワーク通信アソシエーションについての、セキュリティ情報、信用レベル情報、過去の経験情報を含むことができ得る。少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報が、受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために要求アプリケーションに提供され、それによって、受信端末との新たなネットワーク通信アソシエーションの確立を回避する。
【0024】
1つの例において、システムおよび方法が、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションへのセキュリティ情報を促進し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避するために、提供される。いくつかの例では、アプリケーションまたはサービス(たとえば、バンキングサービス、等)が、同一のデバイスにおける他のアプリケーション/サービスを信用しない場合があり、結果として、それは、それ独自の安全な通信チャネルまたはチャネルを確立することを望み得る。しかしながら、他の例では、第2の層のアプリケーションまたはサービスが、同一のデバイスにおける他のアプリケーション/サービスからの保護を必要とせず(すなわち、同一のデバイス内の他のアプリケーション/サービスへの信用がある)、その結果、別個の安全なチャネルまたはネットワーク通信アソシエーションが回避されることができ、同一の第1の層のチャネルまたはネットワーク通信アソシエーションが使用されることができ得る。結果として、鍵管理プロトコルのコストが、複数の安全なチャネルまたはアソシエーションで、償却されることができ得る。たとえば、アプリケーション層は、それ独自の安全なアソシエーションを確立せずに、メディアアクセス制御(MAC)層のセキュリティから恩恵を受けることができ得る。
【0025】
第2の層のネットワーク通信アソシエーションの確立を回避する際に、第2の層のアプリケーションは、ネットワーク通信アソシエーションの各々についての強度レベルを決定することができ得る。強度レベルは、ネットワーク通信アソシエーションに関連づけられたセキュリティ情報および信用レベル情報を使用して決定されることができ得る。信用レベル情報は、ネットワーク通信アソシエーションのセキュリティ情報および任意の他の利用可能な情報を使用して、アプリケーションによって決定されることができ得る。ひとたび強度レベルが決定されると、それは、既存のネットワーク通信チャネル/アソシエーションが利用されることができ得るか、または、新たなネットワーク通信チャネル/アソシエーションが取得されるべきかどうかを決定するために、デバイス内のセキュリティ情報モジュールに記憶されたポリシーのセットに対し比較されることができ得る。選択された、または得られたネットワーク通信アソシエーション(または安全なネットワークチャネル)は、その次に、デバイスへの/デバイスから別のデバイスへのデータの送信のために使用されることができ得る。
【0026】
別の特徴は、第1の層のネットワーク通信アソシエーションでの安全な通信を提供するために第1の層のアプリケーションへのセキュリティ情報を促進し、それによって、追加の第1のネットワーク通信アソシエーションの確立を回避するためのシステムおよび方法を提供する。
【0027】
ネットワークの第1の層は、第2の層が保護していないこともあり得るヘッダーを保護する必要があり得る。ヘッダーは、第1の層と第2の層の間で導入されていることもあり得る。たとえば、IPレベルセキュリティメカニズムが、アプリケーション層と伝送制御プロトコル/インターネットプロトコル(TCP/IP)層との間でのヘッダーのために利用可能であることができ得る。しかしながら、アプリケーション層がデータまたはペイロードをすでに保護していることもあり得るので、IPが後に(later)、TCPヘッダーを保護するかどうか、または、IPレベルセキュリティメカニズムが、TCPヘッダーを保護することができ得るかどうかについて、決定を行うことができ得る。すなわち、第2の層が第1の層のプロトコルを使用している場合、層の間でのヘッダーのいくつかは、第1の層による保護を必要とし得る。
【0028】
なお、ここで使用される場合に、「層」という用語は、概念的に同様の機能の集まりが、その上位層にサービスを提供し、かつ、その下位層からサービスを受ける、階層化されたプロトコルアーキテクチャのことを言う。したがって、第2の層は、第1の層のアソシエーションまたはチャネルに基づいて、それらのアソシエーションまたは通信チャネルを構築することができる。「第2の層」および「第1の層」という用語は、単に異なる層を表し、任意の特定の層を意味または類推しているわけではない。あるいは、「第1の」および「第2の」という用語は、それぞれ、「より低い」および「より高い」を言うこともでき得る。「アソシエーション」という用語は、2つのデバイスの層の間の通信チャネルのような、別のデバイスとの確立された関係のことを言う。「セキュリティプロトコル」という用語は、ある形態の認証および/または暗号化がアソシエーションまたはチャネルの確立に利用される、任意のプロトコルのことを言う。
【0029】
通信アソシエーションを共有すること
図1は、送信端末102と受信端末104間の通信中に確立された第1の層のネットワーク通信アソシエーションを示す通信ネットワーク100のブロック図である。送信端末102は、第1のアクセスノード106(たとえば、基地局)を介して、インターネットのようなネットワーク110に接続されることができ得る。受信端末104にデータを送信する場合、送信端末102は、第1のアクセスノード106にデータを送ることができ、そして、それは、インターネット110を介してゲートウェイ108にデータを送信する。ゲートウェイ108から、データは、第2のアクセスノード112に送信されることができ、それは、ネットワーク110に受信端末104を接続することができ得る。第2のアクセスノード112は、その次に、受信端末104にデータを送信することができ得る。
【0030】
送信端末102と受信端末104間で通信が開始されると、1つ以上の安全なチャネルまたはネットワーク通信アソシエーションが、通信ネットワーク100のノード間で確立されることができ得る。たとえば、メディアアクセス制御(MAC)層のセキュリティアソシエーション114が、送信端末102と第1のアクセスノード106間で確立されることができ得る。インターネットプロトコルセキュリティ(IP sec)層のアソシエーション116が、送信端末102とゲートウェイ108間で確立されることができ得る。あるいは、IP sec層118が、送信端末102と受信端末104間にあることができ得る。さらに、送信端末102と受信端末104間に、アプリケーション層のセキュリティアソシエーション、たとえば、トランスポート層セキュリティ(TLS:Transport Layer Security)/データグラムトランスポート層セキュリティ(DTLS:Datagram Transport Layer Security)120があることができ得る。
【0031】
図2は、送信端末202と受信端末204間のネットワーク通信層アソシエーションを示すブロック図である。たとえば、オープンシステムインターコネクション(OSI)の7層モデルであることもでき得るデバイスのネットワークアーキテクチャは、上から下へ、アプリケーション、プレゼンテーション、セッション、トランスポート、ネットワーク、データリンク、および物理層である7層に分割されることができ得る。なお、簡潔性と明確性のために、各デバイスの、アプリケーション層204aおよび204b、ネットワーク層206aおよび206b、データリンク層208aおよび208b、および物理層210aおよび210bのみが示されている。
【0032】
図2に示された例において、第1の電子メールアプリケーション212は、第2の電子メールアプリケーション216への/からの送信を保護するために、安全なチャネルを確立しようとすることができ得る。したがって、送信端末202のアプリケーション層204aで動作する第1の電子メールアプリケーション212は、受信端末204のアプリケーション層204bにおける第2の電子メールアプリケーション216と、安全なネットワーク通信アソシエーション(またはチャネル)214で、データを交換するために、ネットワークプロトコルのセキュアシェル(SSH:Secure Shell)を使用することができ得る。
【0033】
また、図2における例には、インターネット鍵交換バージョン2(IKEv2:Internet Key Exchange version 2)プロトコルの使用が示されている。ネットワーク層206aにおいて、送信端末202は、IP secセッションの最初に、受信端末204と、安全なアソシエーション218を取り決めるために、IKEv2プロトコルを使用することができ得る。1つの例において、第1の電子メールアプリケーション212は、それ独自の安全なアソシエーション(すなわち、チャネル)を確立するのではなく、ネットワーク層206aにおいて事前に確立された安全なアソシエーション218の1つを利用することができ得る。セキュリティ情報モジュールは、第2の層に、第1の層のアソシエーションまたはチャネルについての情報を提供することができ得る。いくつかの具体化において、ネットワーク通信アソシエーションの縦の共有(vertical sharing)が、異なる層の間で起こる。しかしながら、他の具体化では、ネットワーク通信アソシエーションの横の共有(horizontal sharing)が、第1の層における1つのアプリケーションから同一の第1の層における別のアプリケーションまたはサービスで、起こることができ得る。
【0034】
図3(図3A、3Bおよび3Cを含む)は、第1の層のためのネットワーク通信アソシエーションを使用して、2つのデバイスまたは端末間のデータの安全な伝送を促進するための方法を示したフロー図である。第1の層のネットワーク通信アソシエーションを使用することにより、第2の層での新たなネットワーク通信アソシエーションの使用および確立が回避されることができ得る。この例では、図2の送信端末202と受信端末204が、説明目的で使用されている。送信端末202は、アプリケーションモジュール302、セキュリティ情報モジュール304、およびセキュリティプロトコルモジュール306を含むことができ得る。
【0035】
アプリケーションモジュール302は、他の端末またはデバイスの他のアプリケーションとデータを交換するためのネットワーク通信アソシエーションを使用するアプリケーションまたはサービスを含むことができ得る。さらに、以下に述べられるように、アプリケーションモジュール302は、データの交換またはデータを交換する試みの後に、ノードまたはネットワーク通信アソシエーションの信用レベルを評価することもでき得る。信用レベルは、ネットワーク通信アソシエーションの作成において使用された認証の種類といった情報を使用して評価されることができ得る。たとえば、信用レベルは、強いプリシェアードキー(PSKs)または自己署名証明書(self-signed certificates)または認証されていないディフィー・ヘルマン(Diffie-Hellman)がネットワーク通信アソシエーションの作成に使用されたかどうかに基づいて決定されることができ得る。この情報は、アプリケーションプログラムインターフェース(API)を介してセキュリティプロトコルモジュールに提供されることができ得る。
【0036】
セキュリティ情報モジュール304は、さまざまなセキュリティプロトコルからの安全なチャネルまたはネットワーク通信アソシエーションの性質についての情報を収集することができ、要求されるとアプリケーションまたはサービスにこのセキュリティ情報を提供することができ得る。さらに、セキュリティ情報モジュール304は、アプリケーションによって提供されたノードおよびネットワーク通信アソシエーションの信用レベルの情報を収集することができ得る。信用レベル情報は、どのネットワーク通信アソシエーションを将来の通信に使用するのかについての決定に組み込まれることができ得るか、または、経路決定を行う他のモジュールに提供されることができ得る。ネットワーク通信アソシエーションの種類を知ることにより、そのようなアソシエーションの作成に使用されたクレデンシャル(credentials)または認証メカニズムの種類についての情報が、そのようなアソシエーションおよび/または対応するノードの信用レベルを評価するために使用されることができ得る。たとえば、ネットワーク通信アソシエーションは、IKEv2および802.11iまたはBluetooth(登録商標)のペアリングスキームを含むことができ、その各々は、ネットワーク通信アソシエーションの異なる信用レベルという結果をもたらすことができ得る。
【0037】
セキュリティプロトコルモジュール306は、任意のセキュリティプロトコルまたはネットワーク通信アソシエーション、第1または第2の層のいずれか、を含むことができ、それは、送信端末と受信端末間での通信のための、クレデンシャルの管理、鍵の管理、および/または、安全なチャネルの確立を促進する。
【0038】
通信ネットワークでは、ポリシーのセットが、送信端末202によって確立されることができ、セキュリティ情報モジュール304に記憶されることができ、ポリシーのセットは、ユーザーの優先性に基づくことができ得る 308。優先性は、コスト、利用可能な帯域幅、および、アプリケーションが安全にデータを送信するために使用することができ得るセキュリティレベルを含むことができ得るが、これらに限定されない。セキュリティ情報モジュール304は、この情報を収集することができ、アプリケーションおよび/またはネットワーク通信アソシエーションと相互に作用するためにこれを使用することができ得る。
【0039】
セキュリティプロトコルモジュール306は、送信端末と受信端末のアプリケーション/サービスまたはアプリケーションプログラムインターフェース(API)間で以前に確立されたことがあり得るネットワーク通信アソシエーションのセキュリティ情報を確認することができ得る 310。オーバーヘッドはすでに確立されたことがあり得るネットワーク通信アソシエーションを確立するのに浪費されないことができ得るため、アプリケーションまたはサービスは、オーバーヘッドを最小限にするために以前に確立された第1の層のネットワーク通信アソシエーションを選択するために、このセキュリティ情報を使用可能であることができ得る。たとえば、セキュリティ情報モジュールは、暗号化されたネットワーク通信アソシエーションまたはチャネルの利用可能性の知識を有することができ得る。結果として、アプリケーションは、第1の層の暗号化されたネットワーク通信アソシエーションまたはチャネルを使用することができ、それ独自のIP層の暗号化をスキップすることができる。一方、このレベルの情報が利用可能でない場合には、アプリケーションは、このモデルの直接の接続性が第1の層で利用可能であったとしても、それ独自のIP層の暗号化を確立しなくてはならなくなり得る。結果的に、第2の層のアプリケーションまたはサービスは、セキュリティ情報モジュール304からこの情報を得ることによって、(所望のセキュリティレベルを有する)第1の層のアソシエーションまたはチャネルに頼ることによって、オーバーヘッドおよび/または複雑性を減じることができる。
【0040】
特定のアソシエーションまたはチャネルについてのセキュリティ情報は、特定のチャネルで所与のノードによって利用可能なクレデンシャルの種類を含むことができ、ユーザーが関連した(user-involved)Bluetoothペアリングおよびインフラストラクチャアシスト(infrastructure assisted)の拡張認証プロトコル(EAP:Extensible Authentication Protocol)を含むが、これらに限定されない。クレデンシャルは、アソシエーションまたはチャネルに依存しないことができ得る。セキュリティ情報は、利用可能なクレデンシャルの種類に加えて、もし分かれば、どのようにしてノードまたはアソシエーション/チャネルが認証されたか、たとえば、PSK、自己署名証明書、バイオメトリクス、等、および、デバイス/ノードの種類、すなわち信用されているかいないか、を含むこともでき得る。この情報は、セキュリティ情報モジュールに送られることができ 312、そこで記憶されることができ得る 314。
【0041】
次に、アプリケーションモジュール302は、ネットワーク通信アソシエーションの各々の信用レベルを評価することができ得る 316。信用レベルは、得られたセキュリティ情報、および、それがネットワーク通信アソシエーションについて有することができ得る任意の他の情報、たとえば、ユーザーによって提供された情報を使用して、評価されることができ得る。たとえば、間違いのあるファイルを受信したアプリケーションは、間違いのあるファイルを受信したデバイスまたはノードから間違いのあるファイルを受信したことを示すことができ得る。この情報は、信用レベルを評価するのに使用されることができ得る。次に、信用レベルのフィードバックが、セキュリティ情報モジュールに提供されることができ 318、そこで記憶されることができ得る 320。信用レベルのフィードバックは、特定のネットワーク通信アソシエーションまたはノードが信用されることができ得るかどうかを決定するために、(または、信用レベルをそれに割り当てるために、)他のアプリケーションによって使用されることができ得る。
【0042】
さらに、信用レベル情報は、ネットワーク通信アソシエーションの全般的な強度を計算するために使用されることができ得る。この情報は、デバイス/ノードで実行中の他のアプリケーションまたはサービスにとって有用であることができ得る。たとえば、1つのソフトウェアを得ることを望んでいる別のアプリケーションは、フィードバックにしたがって、間違いのあるファイルを以前に提供したデバイス/ノードを使用しないように選択することができ得る。たとえ認証のレベルがアプリケーションに受け入れ可能であることができても、低い信用レベルを示す対応するノードまたはネットワーク認証アソシエーションの以前の履歴(たとえば、間違いのあるファイルを提供した履歴、等)は、そのようなチャネル強度情報に取って代わることができ得る。たとえば、デバイスCのアプリケーションがデバイスAまたはデバイスBからコンテンツを得るオプションを有し、そのアプリケーションがデバイスAの以前の知識を有する場合、アプリケーションは、デバイスAから来るコンテンツを認証可能であるほうが、それがデバイスBから来た場合よりもよい場合があり得る。たとえデバイスAおよびデバイスBの両方が自己署名証明書/認証を使用していたとしても、アプリケーションは、アプリケーションがデバイスAとの以前に確立された関係を有しているために、デバイスAから情報を受信するように要求することができ得る。結果として、(デバイスCにおいて動作する同一のまたは他のアプリケーションによる)デバイスAとの肯定的な通信の以前の履歴が、そのようなアソシエーションが使用されるべきかどうかを決定するために、アプリケーションによって使用されることができ得る。
【0043】
送信端末202におけるアプリケーションが受信端末204にデータを送信することを望む場合、アプリケーションモジュール302(たとえば、送信端末202で動作するアプリケーションまたはサービス)は、利用可能であることができ得る、または、セキュリティ情報モジュールに記憶されることができ得る、第1の層のネットワーク通信アソシエーションまたはチャネルについての任意の利用可能なセキュリティおよび信用レベル情報を要求することができ得る 322。セキュリティ情報モジュール304は、この要求を受信することができ、アプリケーションモジュールに任意の利用可能なセキュリティおよび信用レベル情報を送ることができ得る 324。セキュリティ情報は、たとえば、ネットワーク通信アソシエーションの認証強度およびクリプトアルゴリズム(Crypto Algorithm)強度を含むことができ得る。アプリケーションモジュール302は、その次に、既存のネットワーク通信アソシエーションまたはチャネルが利用されることができ得るか否か、または、新たなネットワーク通信アソシエーションまたはチャネルが取得されるべきかどうかを決定するために、ポリシーのセットとともに、セキュリティおよび信用レベル情報を使用することができ得る 326。すなわち、ポリシーのセットがデバイスからのデータ送信のための所望のセキュリティレベルを含むことができる一方で、セキュリティおよび/または信用レベル情報が、セキュリティレベルを決定するために使用されることができ得る。セキュリティおよび信用レベル情報を使用して決定されたセキュリティレベルが、所望のセキュリティレベルと等しいか、または、それを超えるかのいずれかであると、第1の層のネットワーク通信が使用されることができ得る。所望のセキュリティレベルは、好ましいセキュリティの種類に基づいてアプリケーションによって決定されることができ得る。たとえば、アプリケーションは、完全性と暗号化(integrity and encryption)、または256ビットキーによる暗号化(encryption with 256-bit key)を使用することを望むことができ得る。
【0044】
アプリケーションモジュールが、任意の確立されたネットワーク通信アソシエーションが、利用されることができ得る、すなわち、所望のセキュリティレベルを満たすと決定すると、送信端末で実行中のアプリケーションは、受信端末と通信するための第1の層のネットワーク通信アソシエーションのうちの1つを選択することができ得る 326。
【0045】
いくつかの例において、第1の層のネットワーク通信アソシエーションは、複数のアプリケーションまたはサービスの間で共有されることができ得る。そのような例において、アプリケーションまたはサービスは、同一の第1の層の共有アソシエーションまたはチャネルを共に使用するための他のアプリケーションまたはサービスに、十分な信用を持つことができ得る。
【0046】
他の例では、アプリケーションまたはサービスが、同一のデバイスにおける他のアプリケーションまたはサービスを信用しないこともでき、または、その通信のための非共有のプライベートな、または、専用の、アソシエーションまたはチャネルを使用することを望むことができ得る。そのような例では、アプリケーションまたはサービスは、第1の層がそれ単独の使用のための非共有のネットワーク通信アソシエーションまたはチャネルをセットアップすることを、要求するか、または、それ独自の第2の層のアソシエーションまたはチャネルをセットアップすることを決定するか、のいずれかができ得る。
【0047】
ひとたび、第1の層のネットワーク通信アソシエーションまたはチャネルが選択されると、その次に、通知が、ネットワーク通信アソシエーションおよび安全な通信チャネルが受信端末と確立されることができ得ることについて、受信端末204に提供されることができ得る 328。確立されたネットワーク通信アソシエーションの全部が、所望のセキュリティレベルを満たさない場合、所望のセキュリティレベルを有する新たなネットワーク通信アソシエーションが、作成されることができ得る 330。その次に、通知が、新たなネットワーク通信アソシエーションについて、受信端末に提供されることができ得る。ひとたび送信端末が、既存の第1の層のネットワーク通信アソシエーションを使用するか、または、新たなネットワーク通信アソシエーションを作成するか、のいずれかで、安全な通信チャネルを確立すると、データが、安全な通信チャネルで受信端末204に送信される 332。
【0048】
図4は、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティ情報を提供し、それによって第2の層のネットワーク通信アソシエーションの確立を回避するように構成されることができ得る通信端末の例を示すブロック図である。通信端末402は、有線または無線ネットワークで別のデバイスと通信するための通信インターフェース406に結合された処理回路404を含むことができ得る。アプリケーションモジュール410は、(たとえば、処理回路404内で動作する)ハードウェア、ソフトウェア、またはその組み合わせとして実現されることができ、データを交換するためにセキュリティプロトコルによって確立された安全なチャネルまたはアソシエーションを使用するアプリケーションまたはサービスを表す。アプリケーションモジュール410は、セキュリティ情報モジュール408に、ある特定のノードまたは経路の評価(rating)(たとえば、信用レベル、等)についての情報を提供することができ得る。アプリケーションモジュール408は、ネットワーク通信アソシエーションの各々に対する信用レベルを評価することができ得る。セキュリティ情報モジュール412は、さまざまなセキュリティプロトコルから安全なアソシエーションまたはチャネルの性質についての情報を収集し、要求に応じてそれをアプリケーション(たとえば、アプリケーションモジュール410)に提供するための、(たとえば、処理回路404内で動作する)ハードウェア、ソフトウェア、またはその組み合わせとして実現されることができ得る。セキュリティ情報モジュール412は、アプリケーションによって提供された評価情報を収集することもでき、特定の安全なアソシエーションまたはチャネルを使用するかどうかについての決定にそのようなフィードバックを組み込むか、または、経路決定のための他のモジュールにそれを提供する。セキュリティプロトコルモジュール408は、安全なアソシエーションまたはチャネルを確立するための、(たとえば、処理回路内で動作する)ハードウェア、ソフトウェア、またはその組み合わせとして実現されることができ、ネットワーク通信アソシエーション/チャネルの作成に使用されたクレデンシャルまたは認証メカニズムの種類についての情報を提供することができ得る。ポリシーモジュール414は、データを送信するためのネットワーク通信アソシエーションを選択するためのガイドラインとして使用されることができ得るポリシーのセットを記憶する役割を果たすことができ得る。
【0049】
図4の通信端末402は、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第1の層のアプリケーションにセキュリティ情報を提供し、それによって、別の第1の層のネットワーク通信アソシエーションの確立を回避するように構成されることができ得る。すなわち、アプリケーションは、他の層のネットワーク通信アソシエーションに頼ること(たとえば、縦の共有)ではなく、同一の層のネットワーク通信アソシエーションを使用すること(横の共有)ができ得る。
【0050】
図5は、第1の層のアソシエーション(チャネル)情報を収集し、それを第1または第2の層のアプリケーションおよび/またはサービスに提供するための、セキュリティ情報モジュールの動作および/または機能を示すブロック図である。セキュリティ情報モジュール502は、セキュリティ情報モジュール502が動作するさまざまな層のデバイスで利用可能なネットワーク通信アソシエーションまたはチャネルについての情報を収集および分配するための、さまざまなモジュールを含むことができ得る。アソシエーション情報記憶モジュール504は、さまざまな層で利用可能なネットワーク通信アソシエーションまたはチャネルに関連する情報(たとえば、セキュリティレベル、信用レベル、強度レベル、以前の評価、ポリシー、等)を記憶することができ得る。アソシエーション(チャネル)情報収集部506は、さまざまな層で利用可能なアソシエーションまたはチャネルについての情報を収集する役割を果たすことができ得る。たとえば、アソシエーション情報収集部506は、さまざまな層で利用可能なネットワークアソシエーションおよび/またはチャネル、それらのアソシエーションまたはチャネルの各々を作成するために使用された認証の種類、等を問い合わせること、および/または、得ることができ得る。そのような情報は、たとえば、セキュリティ情報モジュール502に情報を提供するように新たなアソシエーションにさせることができ得るセキュリティプロトコルのためのアプリケーションプログラミングインターフェース(API)を介して、得られることができ得る。セキュリティプロトコルから収集されるデータの例は、a)所与のアソシエーションまたはチャネルで所与のノード(別のデバイス)と確立された利用可能なクレデンシャルの種類(たとえば、ユーザーが関連したBluetoothペアリング、インフラストラクチャアシストのEAP、等)、b)アソシエーションまたはチャネルを認証するために使用されたクレデンシャルの種類(たとえば、PSK、自己署名証明書、バイオメトリクス、等)、および/または、c)アソシエーションが確立されたデバイス/ノードの種類(たとえば、信用された、または信用されていないデバイス、等)を含む。
【0051】
さらに、ポリシー情報収集部508は、アソシエーションおよび/またはプロトコルについて定義されたルールを得ること、または記憶することができ得る。たとえば、利用可能なポリシー情報によって、ポリシー情報収集部508は、認証が特定のアソシエーションまたはチャネルのために確立される必要があるか否かについての入力を、セキュリティプロトコルに供給することができ得る。デバイスは、コストの優先性、要求されるセキュリティレベル、等といったユーザーの優先性に基づいたポリシーのセットを有することができ得る。この情報は、アプリケーションおよびセキュリティプロトコルと相互に作用するためにセキュリティ情報モジュールによって使用されることができ得る。
【0052】
アソシエーション情報分配部510は、第1または第2の層のアプリケーションおよびサービスに情報を提供する役割を果たすことができ得る。たとえば、アソシエーション情報分配部510は、a)所与のノードまたはデバイスへの利用可能な安全なチャネルまたはアソシエーションの強度、b)所与のノードへの利用可能な安全な経路および相対的な強度、安全なチャネルの利用可能性を有する所与のサービスのための利用可能なノードを提供することができ得る。アプリケーションは、そのような情報を受信するために、セキュリティ情報モジュール502に登録することができ得る。任意の1つの層またはプロトコルのために提供される情報の粒度または詳細は、異なることができ得る。
【0053】
アソシエーション評価収集部512は、特定のアソシエーション、チャネル、および/またはノードについてのフィードバックを提供するように、アプリケーションおよび/またはサービスにさせる。たとえば、アプリケーションは、そのようなノードとの過去の経験に基づいたノードの評価を提供することができ得る(たとえば、間違いのあるファイルがそのようなノードから受信された場合には、これは、そのノードについての低い評価とみなすことができ得る)。評価は、安全なチャネルまたはノードの全般的な強度を計算するために使用されることができ得る。そして、この情報は、他のアプリケーションおよびサービスにとって有用であることができ得る。
【0054】
図6は、ネットワーク通信情報を収集し、アプリケーションおよび/またはサービスに提供するためのセキュリティ情報モジュールにおいて動作可能な方法を示す。そのようなセキュリティ情報モジュールは、ソフトウェア、ハードウェア、および/または、その組み合わせとして実現されることができ得る。他のノードとの利用可能な第1の層のネットワーク通信アソシエーションについての情報が収集される 602。同様にして、ローカルアプリケーションまたはサービスからの他のノードについてのフィードバックも、収集される 604。そのようなフィードバックは、そのような他のノード(すなわち、アプリケーションが通信している他のデバイス)が信用できるかどうかを示すことができ得る。第1の層のネットワーク通信アソシエーションおよび/または他のノードについての信用レベルは、収集された情報およびフィードバックに基づいて評価されることができ得る 606。アソシエーションおよび他のノードについての情報は、セキュリティ情報モジュールによって記憶または維持されることができ得る 608。ネットワーク通信アソシエーションおよび他のノードについての情報は、要求アプリケーションおよび/またはサービスに提供されることができ得る 610。
【0055】
図7は、ネットワーク通信アソシエーションのうちの1つでの安全な通信を促進するためにネットワーク通信アソシエーションについての情報を提供し、それによって、新たなネットワーク通信アソシエーションの確立を回避するためのアクセス端末において動作可能な方法を示す。これを達成するために、セキュリティ情報モジュール(たとえば、ハードウェア、ソフトウェア、またはその組み合わせ)は、1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が、収集され、および/または、アプリケーションに分配されるインターフェースを提供する 700。1つの例において、1つ以上のネットワーク通信アソシエーションは、オープンシステムインターコネクション(OSI)モジュール通信システムの1つ以上の層に対応することができ、1つ以上の層は、アプリケーション層、ネットワーク層、データリンク層、および物理層のうちの少なくとも1つを含むことができ得る。
【0056】
セキュリティ情報モジュールは、1つ以上の層からのネットワーク通信アソシエーション702および704に関して、セキュリティ情報を、確認する、または得る、および/または記憶することができ得る。ネットワーク通信アソシエーションのセキュリティ情報は、第1の層のネットワーク通信アソシエーションを安全にするために使用された方法、第1の層のネットワーク通信アソシエーションを認証するために使用された方法、および、ネットワーク通信アソシエーションが確立される送信端末と受信端末間の以前の履歴のうちの少なくとも1つを含むことができ得る。セキュリティ情報は、ネットワーク通信アソシエーションの強度レベルを含むこともでき得る。信用レベルは、1つ以上のネットワーク通信アソシエーション706および708の各々に関して、評価および/または記憶されることができ得る。さらに、1つ以上の受信端末との以前の経験についてのアプリケーションからの情報が、収集され、他のアプリケーションに提供されることができ得る。信用レベルは、収集された情報に基づいて、そのような各受信端末について評価されることができ得る。信用レベルは、対応する受信端末との以前の経験、および、対応する受信端末への層ネットワーク通信アソシエーションを作成するために使用された認証の種類に基づくことができ得る。また、ポリシーのセットが、データを送るためのネットワーク通信アソシエーションの選択に使用されるために特定および/または収集されることができる。ここで、ポリシーのセットは、ユーザーの優先性(user preferences)に基づく 710。収集された情報は、受信端末のアプリケーションにデータを送るためのネットワーク通信アソシエーションの後の検索および選択のために、セキュリティ情報モジュールにおいて記憶されることができ得る。
【0057】
要求が、利用可能なネットワーク通信アソシエーションについての情報を求めて、要求アプリケーションから受信されることができ得る 712。
【0058】
そのような要求に応じて、決定が、データを転送するための記憶されたネットワーク通信アソシエーションが所望のセキュリティレベルを満たすかどうかについて、(たとえば、要求端末またはセキュア情報モジュールのいずれかによって)なされることができ得る 714。そのような要求に応じて、ネットワーク通信アソシエーションが選択されることができ、それによって、要求アプリケーションがネットワークで受信端末にデータを送ることができる。1つのオプションによると、1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たすと、少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報が、受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、要求アプリケーションに提供されることができ、それによって、受信端末との新たなネットワーク通信アソシエーションの確立を回避する 716。あるいは、1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合には、要求アプリケーションが受信端末にデータを送るために使用することができる、新たなネットワーク通信アソシエーションが、確立されることができ得る 718。1つの例において、セキュリティ情報モジュールは、要求アプリケーションが使用すべきネットワーク通信アソシエーションを選択することができ、要求アプリケーションにそのネットワーク通信アソシエーションを提供する。別の例において、要求アプリケーションは、セキュリティ情報モジュールから複数のネットワーク通信アソシエーションを受信することができ、そして、受信端末への送信のために1つを選ぶ。ネットワーク通信アソシエーションを選択すると、受信端末は、送られるデータを受信するためのネットワーク通信アソシエーションを通知されることができ得る 720。
【0059】
そして、データが、選択されたネットワーク通信アソシエーションで受信端末に(たとえば、要求アプリケーションによって)送信されることができ得る。
【0060】
1つの例において、要求アプリケーションは、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、異なる第2の層で動作することができ得る。第1の層は、第2の層よりも上位の層であることができ得る。別の例において、要求アプリケーションは、第1の層で動作することができ、選択されたネットワーク通信アソシエーションは、同一の第1の層で動作することができ得る。
【0061】
さらなる別の構成によると、回路は、1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集されてアプリケーションに分配されるインターフェースを提供するように適合させられる。同一の回路、異なる回路、または、同一または異なる回路の第2のセクションが、1つ以上の層での1つ以上のネットワーク通信アソシエーションについての情報を、確認、収集、および/または記憶するように適合させられることができ得る。たとえば、そのような回路は、1つ以上のネットワーク通信アソシエーションの各々についての信用レベルおよび/またはセキュリティ情報を、評価および/または記憶することができ得る。さらに、同一の回路、異なる回路、または第3のセクションが、1つ以上の受信端末との以前の経験についてのアプリケーションからの情報を、評価、収集、および/またはするように適合させられることができ得る。そのような情報は、収集された情報に基づいた、そのような各受信端末についての信用レベルを含むことができ得る。同様に、同一の回路、異なる回路、または第4のセクションが、利用可能なネットワーク通信アソシエーションについての情報を求める要求端末からの要求を受信するように適合させられることができ得る。同一の回路、異なる回路、または第5のセクションが、要求端末がネットワークで受信端末にデータを送ることができるネットワーク通信アソシエーションを選択するように適合させられることができ得る。同一の回路、異なる回路、または第6のセクションが、要求アプリケーションにネットワークを選択させるために、要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供するように適合させられることができ得る。同一の回路、異なる回路、または第7のセクションが、1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合には、新たなネットワーク通信アソシエーションを確立し、受信端末にデータを送るためにそれを使用するように適合させられることができ得る。
【0062】
当業者は、一般的に、この開示において説明された処理の大半が同様の方法で実現されることができ得るということを認識するであろう。任意の(単数または複数の)回路または回路セクションは、単独で、または、1つ以上のプロセッサとともに集積回路の一部として組み合わされて、実現されることができ得る。1つ以上の回路は、集積回路、アドバンスドリスクマシン(ARM:Advance RISC Machine)のプロセッサ、デジタルシグナルプロセッサ(DSP)、汎用プロセッサ、等で、実現されることができ得る。
【0063】
また、構成がフローチャート、フロー図、構造図、またはブロック図として描写されたプロセスとして説明されることができ得るということに注意すべきである。フローチャートは、連続して行なわれるプロセスとして動作を説明することができ得るが、動作の多くは、並行して、または同時に行なわれることができる。さらに、動作の順序は並べ替えられることができ得る。プロセスは、その動作が完了すると終了する。プロセスは、方法、関数、手順、サブルーチン、サブプログラム、等に対応することができ得る。プロセスが関数に対応する場合、その終端は、関数の呼び出しまたはメイン関数へ関数を返すことに対応する。
【0064】
1つ以上の例および/または構成において、説明された機能は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせにおいて実現されることができ得る。ソフトウェアにおいて実現される場合、機能は、コンピュータ可読媒体上の1つ以上の命令またはコードとして、記憶または伝送されることができ得る。コンピュータ可読媒体は、ある場所から別の場所へのコンピュータプログラムの転送を容易にする任意の媒体を含む通信媒体およびコンピュータ記憶媒体の両方を含む。記憶媒体は、汎用または専用コンピュータによってアクセス可能な任意の入手可能な媒体であることができ得る。限定ではなく例として、そのようなコンピュータ可読媒体は、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、電気的に消去可能・プログラム可能な読み取り専用メモリ(EEPROM)、コンパクトディスク読み取り専用メモリ(CD−ROM)、または他の光ディスク記憶装置、磁気ディスク記憶装置、フラッシュメモリまたは他の磁気記憶デバイス、または、汎用または専用コンピュータ、または、汎用または専用プロセッサによってアクセスされることができ、かつ、命令またはデータ構造の形態で所望のプログラムコード手段を搬送または記憶するために使用されることができる、任意の他の媒体を含むことができる。また、任意の接続も、厳密にはコンピュータ可読媒体と呼ばれる。たとえば、ソフトウェアが、同軸ケーブル、光ファイバーケーブル、ツイストペア、デジタル加入者回線(DSL)、または、赤外線、無線、およびマイクロ波といった無線技術を使用して、ウェブサイト、サーバー、または他のリモートソースから伝送される場合には、同軸ケーブル、光ファイバーケーブル、ツイストペア、DSL、または赤外線、無線、およびマイクロ波といった無線技術が、媒体の定義に含まれる。ディスク(disk)およびディスク(disc)は、ここに使用される場合、コンパクトディスク(disc)(CD)、レーザー(登録商標)ディスク(disc)、光ディスク(disc)、デジタル多用途ディスク(disc)(DVD)、フロッピー(登録商標)ディスク(disk)、およびブルーレイ(登録商標)ディスク(disc)を含み、ディスク(disk)は、通常、磁気的にデータを再生するが、ディスク(disc)は、レーザーによって光学的にデータを再生する。上記したものの組み合わせも、また、コンピュータ可読媒体の範囲内に含まれるべきである。
【0065】
さらに、構成は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはそれらの任意の組み合わせによって実現されることができ得る。ソフトウェア、ファームウェア、ミドルウェア、またはマイクロコードにおいて実現される場合、必要なタスクを行なうためのプログラムコードまたはコードセグメントが、記憶媒体のようなコンピュータ可読媒体または他の(単数または複数の)記憶装置において記憶されることができ得る。プロセッサが、必要なタスクを行なうことができ得る。コードセグメントは、手順、機能、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、または、命令、データ構造、またはプログラム・ステートメントの任意の組み合わせを表すことができ得る。コードセグメントは、情報、データ、引数、パラメータ、またはメモリコンテンツを受け渡しすることによって別のコードセグメントまたはハードウェア回路に結合されることができ得る。情報、引数、パラメータ、データ、等は、メモリ共有、メッセージパッシング、トークンパッシング、ネットワーク伝送、等を含む任意の適切な手段を介して、渡され、転送され、または伝送されることができ得る。
【0066】
ここに説明された伝送技術は、符号分割多元接続(CDMA)システム、時分割多元接続(TDMA)システム、周波数分割多元接続(FDMA)システム、直交周波数分割多元接続(OFDMA)システム、シングルキャリアFDMA(SC−FDMA)システム、等といったさまざまな無線通信システムのために使用されることもでき得る。OFDMAシステムは、直交周波数分割多重(OFDM)を利用し、それは、全システム帯域幅を、複数の(K個の)直交するサブキャリアに分割する変調方式である。これらのサブキャリアは、トーン、ビン(bin)、等とも呼ばれる。OFDMによれば、各サブキャリアは、データによって自由に変調されることができ得る。SC−FDMAシステムは、システム帯域幅にわたって分散されたサブキャリアで伝送するためのインターリーブドFDMA(IFDMA:interleaved FDMA)、隣接するサブキャリアのブロックで送信するためのローカライズドFDMA(LFDMA:localized FDMA)、または、隣接するサブキャリアの複数のブロックで送信するためのエンハンスドFDMA(EFDMA:enhanced FDMA)を、利用することができ得る。一般的に、変調シンボルは、OFDMでは周波数領域で、SC−FDMAでは時間領域で送られる。
【0067】
図1、2、3、4、5、6、および/または7に示されたコンポーネント、ステップ、および/または機能のうちの1つ以上は、単一のコンポーネント、ステップ、または機能に、再構成され、および/または組み入れられることができ、または、いくつかのコンポーネント、ステップ、または機能に具現化されることができ得る。追加の要素、コンポーネント、ステップ、および/または機能が、追加されることもでき得る。図1、2、4、および/または5に示された装置、デバイス、および/またはコンポーネントは、図3、6、および/または7で説明された方法、特徴、またはステップのうちの1つ以上を行なうように構成され、または適合させられることができ得る。ここに説明されたアルゴリズムは、ソフトウェアおよび/または内蔵されたハードウェアにおいて効率的に実現されることができ得る。
【0068】
当業者は、ここに開示された構成に関連して説明された、さまざまな例示的な論理ブロック、モジュール、回路、およびアルゴリズムのステップが、電子ハードウェア、コンピュータソフトウェア、または両者の組み合わせとして実現されることができ得るということを、さらに理解するであろう。ハードウェアとソフトウェアのこの相互互換性をわかりやすく示すために、さまざまな例示的なコンポーネント、ブロック、モジュール、回路、およびステップは、概してそれらの機能の点で、上述されている。そのような機能がハードウェアまたはソフトウェアとして実現されるのかどうかは、システム全体に課された特定の用途および設計の制約による。
【0069】
ここに説明されたさまざまな特徴は、異なるシステムにおいて実現されることができる。たとえば、第1の層のネットワーク通信アソシエーションでの安全な通信を促進するために第2の層のアプリケーションにセキュリティ情報を提供し、それによって、第2の層のネットワーク通信アソシエーションの確立を回避するためのシステムおよび方法は、別個の回路またはモジュールで、単一の回路またはモジュールにおいて実現され、1つ以上のプロセッサによって実行され、機械可読媒体またはコンピュータ可読媒体に組み込まれたコンピュータ可読命令によって実行され、ハンドヘルドデバイス、モバイルコンピュータ、および/またはモバイルフォンに具現化されることができ得る。
【0070】
なお、上述した構成は、単なる例であって特許請求の範囲を限定するものと解釈されるべきではない。構成の説明は、例示を意図しており、特許請求の範囲を限定するものではない。したがって、本教示は、他の種類の装置に容易に適用されることができ、多くの代替例、変更例、変形例が、当業者に明らかであろう。
【特許請求の範囲】
【請求項1】
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供することと、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避することと
を含む、送信端末で動作可能な方法。
【請求項2】
前記受信端末のアプリケーションに前記データを送るためのネットワーク通信アソシエーションの後の検索及び選択のために、セキュリティ情報モジュールにおいて、前記収集された情報を記憶すること
をさらに含む、請求項1に記載の方法。
【請求項3】
前記セキュリティ情報は、前記ネットワーク通信アソシエーションの強度レベルを含む、請求項1に記載の方法。
【請求項4】
前記1つ以上のネットワーク通信アソシエーションは、オープンシステムインターコネクション(OSI)モジュール通信システムの1つ以上の層に対応し、前記1つ以上の層は、アプリケーション層、ネットワーク層、データリンク層、および物理層のうちの少なくとも1つを含む、請求項1に記載の方法。
【請求項5】
ネットワークで前記受信端末に前記データを送るための前記ネットワーク通信アソシエーションを選択すること
をさらに含む、請求項1に記載の方法。
【請求項6】
前記選択されたネットワーク通信アソシエーションは、前記1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが、前記要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たす場合に、前記1つ以上のネットワーク通信アソシエーションから選択される、請求項5に記載の方法。
【請求項7】
前記1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合に、新たなネットワーク通信アソシエーションを確立することと、前記受信端末に前記データを送るためにそれを使用することと
をさらに含む、請求項5に記載の方法。
【請求項8】
送られるデータを受信するための前記ネットワーク通信アソシエーションを前記受信端末に通知すること
をさらに含む、請求項1に記載の方法。
【請求項9】
前記1つ以上のネットワーク通信アソシエーションの各々の信用レベルを評価することと、
前記1つ以上のネットワーク通信アソシエーションの各々の前記信用レベルを記憶することと
をさらに含む、請求項1に記載の方法。
【請求項10】
前記信用レベルは、対応する受信端末との以前の経験と、前記対応する受信端末への前記層ネットワーク通信アソシエーションを作成するために使用された認証の種類とに基づく、請求項9に記載の方法。
【請求項11】
1つ以上の受信端末との以前の経験についてのアプリケーションからの情報を収集することと、
前記収集された情報に基づいて、そのような各受信端末の信用レベルを評価することと、
他のアプリケーションに前記1つ以上の受信端末の前記情報を提供することと
をさらに含む、請求項1に記載の方法。
【請求項12】
前記データを送るためのネットワーク通信アソシエーションを選択するのに使用されるためのポリシーのセットを特定することであって、前記ポリシーのセットは、ユーザーの優先性に基づく、こと
をさらに含む、請求項1に記載の方法。
【請求項13】
利用可能な層ネットワーク通信アソシエーションについての情報を求める前記要求アプリケーションからの要求を受信すること
をさらに含む、請求項1に記載の方法。
【請求項14】
前記ネットワーク通信アソシエーションの前記セキュリティ情報が、
前記第1の層のネットワーク通信アソシエーションを安全にするために使用された方法と、
前記第1の層のネットワーク通信アソシエーションを認証するために使用された方法と、
前記ネットワーク通信アソシエーションが確立された前記送信端末および前記受信端末間の以前の履歴と
のうちの少なくとも1つを含む、請求項1に記載の方法。
【請求項15】
前記要求アプリケーションが、階層化されたプロトコルアーキテクチャの第1の層で動作し、前記選択されたネットワーク通信アソシエーションが、前記階層化されたプロトコルアーキテクチャの第2の層で動作する、請求項1に記載の方法。
【請求項16】
前記第1の層は、前記第2の層よりも上位の層である、請求項15に記載の方法。
【請求項17】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが前記同一の第1の層で動作する、請求項1に記載の方法。
【請求項18】
受信端末との通信のための通信インターフェースと、
前記通信インターフェースに結合された処理回路であって、
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供し、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避する
ように構成された処理回路と
を含む、アクセス端末。
【請求項19】
前記処理回路に結合され、かつ、前記受信端末のアプリケーションに前記データを送るためのネットワーク通信アソシエーションの後の検索および選択のために、セキュリティ情報モジュールにおいて前記収集された情報を記憶するように構成された、記憶デバイス
をさらに含む、請求項18に記載の端末。
【請求項20】
前記セキュリティ情報が、前記ネットワーク通信アソシエーションの強度レベルを含む、請求項18に記載の端末。
【請求項21】
前記処理回路が、
ネットワークで前記受信端末に前記データを送るためのネットワーク通信アソシエーションを選択する
ようにさらに構成されている、請求項18に記載の端末。
【請求項22】
前記選択されたネットワーク通信アソシエーションが、前記1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが前記要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たす場合に、前記1つ以上のネットワーク通信アソシエーションから選択される、請求項21に記載の端末。
【請求項23】
前記処理回路が、
前記1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合に、新たなネットワーク通信アソシエーションを確立し、前記受信端末に前記データを送るためにそれを使用する
ようにさらに構成された、請求項21に記載の端末。
【請求項24】
前記処理回路が、
前記1つ以上のネットワーク通信アソシエーションの各々の信用レベルを評価し、
前記1つ以上のネットワーク通信アソシエーションの各々の前記信用レベルを記憶する
ようにさらに構成された、請求項18に記載の端末。
【請求項25】
前記処理回路が、
1つ以上の受信端末との以前の経験についてのアプリケーションからの情報を収集し、
前記収集された情報に基づいて、そのような各受信端末の信用レベルを評価し、
他のアプリケーションに前記1つ以上の受信端末の前記情報を提供する
ようにさらに構成された、請求項18に記載の端末。
【請求項26】
前記処理回路が、
利用可能な層ネットワーク通信アソシエーションについての情報を求める前記要求アプリケーションからの要求を受信する
ようにさらに構成された、請求項18に記載の端末。
【請求項27】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが第2の層で動作する、請求項18に記載の端末。
【請求項28】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが前記同一の第1の層で動作する、請求項18に記載の端末。
【請求項29】
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供するための手段と、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避するための手段と
を含む、アクセス端末。
【請求項30】
ネットワーク通信アソシエーションが、前記1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが前記要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たす場合に、前記1つ以上のネットワーク通信アソシエーションから選択される、請求項29に記載の端末。
【請求項31】
前記1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合に、新たなネットワーク通信アソシエーションを確立し、前記受信端末に前記データを送るためにそれを使用するための手段
をさらに含む、請求項29に記載の端末。
【請求項32】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが第2の層で動作する、請求項29に記載の端末。
【請求項33】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが前記同一の第1の層で動作する、請求項29に記載の端末。
【請求項34】
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供し、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避する
ように適合させられた処理回路を含むプロセッサ。
【請求項35】
プロセッサによって実行されるときに、前記プロセッサに、
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供し、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避する
ようにさせる、アクセス端末からのデータを転送するために事前に確立されたネットワーク通信アソシエーションの使用を促進するための命令を含むコンピュータ可読媒体。
【請求項1】
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供することと、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避することと
を含む、送信端末で動作可能な方法。
【請求項2】
前記受信端末のアプリケーションに前記データを送るためのネットワーク通信アソシエーションの後の検索及び選択のために、セキュリティ情報モジュールにおいて、前記収集された情報を記憶すること
をさらに含む、請求項1に記載の方法。
【請求項3】
前記セキュリティ情報は、前記ネットワーク通信アソシエーションの強度レベルを含む、請求項1に記載の方法。
【請求項4】
前記1つ以上のネットワーク通信アソシエーションは、オープンシステムインターコネクション(OSI)モジュール通信システムの1つ以上の層に対応し、前記1つ以上の層は、アプリケーション層、ネットワーク層、データリンク層、および物理層のうちの少なくとも1つを含む、請求項1に記載の方法。
【請求項5】
ネットワークで前記受信端末に前記データを送るための前記ネットワーク通信アソシエーションを選択すること
をさらに含む、請求項1に記載の方法。
【請求項6】
前記選択されたネットワーク通信アソシエーションは、前記1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが、前記要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たす場合に、前記1つ以上のネットワーク通信アソシエーションから選択される、請求項5に記載の方法。
【請求項7】
前記1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合に、新たなネットワーク通信アソシエーションを確立することと、前記受信端末に前記データを送るためにそれを使用することと
をさらに含む、請求項5に記載の方法。
【請求項8】
送られるデータを受信するための前記ネットワーク通信アソシエーションを前記受信端末に通知すること
をさらに含む、請求項1に記載の方法。
【請求項9】
前記1つ以上のネットワーク通信アソシエーションの各々の信用レベルを評価することと、
前記1つ以上のネットワーク通信アソシエーションの各々の前記信用レベルを記憶することと
をさらに含む、請求項1に記載の方法。
【請求項10】
前記信用レベルは、対応する受信端末との以前の経験と、前記対応する受信端末への前記層ネットワーク通信アソシエーションを作成するために使用された認証の種類とに基づく、請求項9に記載の方法。
【請求項11】
1つ以上の受信端末との以前の経験についてのアプリケーションからの情報を収集することと、
前記収集された情報に基づいて、そのような各受信端末の信用レベルを評価することと、
他のアプリケーションに前記1つ以上の受信端末の前記情報を提供することと
をさらに含む、請求項1に記載の方法。
【請求項12】
前記データを送るためのネットワーク通信アソシエーションを選択するのに使用されるためのポリシーのセットを特定することであって、前記ポリシーのセットは、ユーザーの優先性に基づく、こと
をさらに含む、請求項1に記載の方法。
【請求項13】
利用可能な層ネットワーク通信アソシエーションについての情報を求める前記要求アプリケーションからの要求を受信すること
をさらに含む、請求項1に記載の方法。
【請求項14】
前記ネットワーク通信アソシエーションの前記セキュリティ情報が、
前記第1の層のネットワーク通信アソシエーションを安全にするために使用された方法と、
前記第1の層のネットワーク通信アソシエーションを認証するために使用された方法と、
前記ネットワーク通信アソシエーションが確立された前記送信端末および前記受信端末間の以前の履歴と
のうちの少なくとも1つを含む、請求項1に記載の方法。
【請求項15】
前記要求アプリケーションが、階層化されたプロトコルアーキテクチャの第1の層で動作し、前記選択されたネットワーク通信アソシエーションが、前記階層化されたプロトコルアーキテクチャの第2の層で動作する、請求項1に記載の方法。
【請求項16】
前記第1の層は、前記第2の層よりも上位の層である、請求項15に記載の方法。
【請求項17】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが前記同一の第1の層で動作する、請求項1に記載の方法。
【請求項18】
受信端末との通信のための通信インターフェースと、
前記通信インターフェースに結合された処理回路であって、
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供し、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避する
ように構成された処理回路と
を含む、アクセス端末。
【請求項19】
前記処理回路に結合され、かつ、前記受信端末のアプリケーションに前記データを送るためのネットワーク通信アソシエーションの後の検索および選択のために、セキュリティ情報モジュールにおいて前記収集された情報を記憶するように構成された、記憶デバイス
をさらに含む、請求項18に記載の端末。
【請求項20】
前記セキュリティ情報が、前記ネットワーク通信アソシエーションの強度レベルを含む、請求項18に記載の端末。
【請求項21】
前記処理回路が、
ネットワークで前記受信端末に前記データを送るためのネットワーク通信アソシエーションを選択する
ようにさらに構成されている、請求項18に記載の端末。
【請求項22】
前記選択されたネットワーク通信アソシエーションが、前記1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが前記要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たす場合に、前記1つ以上のネットワーク通信アソシエーションから選択される、請求項21に記載の端末。
【請求項23】
前記処理回路が、
前記1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合に、新たなネットワーク通信アソシエーションを確立し、前記受信端末に前記データを送るためにそれを使用する
ようにさらに構成された、請求項21に記載の端末。
【請求項24】
前記処理回路が、
前記1つ以上のネットワーク通信アソシエーションの各々の信用レベルを評価し、
前記1つ以上のネットワーク通信アソシエーションの各々の前記信用レベルを記憶する
ようにさらに構成された、請求項18に記載の端末。
【請求項25】
前記処理回路が、
1つ以上の受信端末との以前の経験についてのアプリケーションからの情報を収集し、
前記収集された情報に基づいて、そのような各受信端末の信用レベルを評価し、
他のアプリケーションに前記1つ以上の受信端末の前記情報を提供する
ようにさらに構成された、請求項18に記載の端末。
【請求項26】
前記処理回路が、
利用可能な層ネットワーク通信アソシエーションについての情報を求める前記要求アプリケーションからの要求を受信する
ようにさらに構成された、請求項18に記載の端末。
【請求項27】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが第2の層で動作する、請求項18に記載の端末。
【請求項28】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが前記同一の第1の層で動作する、請求項18に記載の端末。
【請求項29】
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供するための手段と、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避するための手段と
を含む、アクセス端末。
【請求項30】
ネットワーク通信アソシエーションが、前記1つ以上のネットワーク通信アソシエーションのうちの少なくとも1つのセキュリティレベルが前記要求アプリケーションによるデータ送信のための所望のセキュリティレベルを満たす場合に、前記1つ以上のネットワーク通信アソシエーションから選択される、請求項29に記載の端末。
【請求項31】
前記1つ以上のネットワーク通信アソシエーションのセキュリティレベルが所望のセキュリティレベルを満たさない場合に、新たなネットワーク通信アソシエーションを確立し、前記受信端末に前記データを送るためにそれを使用するための手段
をさらに含む、請求項29に記載の端末。
【請求項32】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが第2の層で動作する、請求項29に記載の端末。
【請求項33】
前記要求アプリケーションが第1の層で動作し、前記選択されたネットワーク通信アソシエーションが前記同一の第1の層で動作する、請求項29に記載の端末。
【請求項34】
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供し、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避する
ように適合させられた処理回路を含むプロセッサ。
【請求項35】
プロセッサによって実行されるときに、前記プロセッサに、
1つ以上の層のための1つ以上のネットワーク通信アソシエーションについての情報が収集され、アプリケーションに分配されるインターフェースを提供し、
受信端末にデータを送るためのネットワーク通信アソシエーションを要求アプリケーションに選択させるために、前記要求アプリケーションに少なくとも1つのネットワーク通信アソシエーションについてのセキュリティ情報を提供し、それによって、前記受信端末との新たなネットワーク通信アソシエーションの確立を回避する
ようにさせる、アクセス端末からのデータを転送するために事前に確立されたネットワーク通信アソシエーションの使用を促進するための命令を含むコンピュータ可読媒体。
【図1】
【図2】
【図3A】
【図3B】
【図3C】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図2】
【図3A】
【図3B】
【図3C】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【公表番号】特表2012−514389(P2012−514389A)
【公表日】平成24年6月21日(2012.6.21)
【国際特許分類】
【出願番号】特願2011−543623(P2011−543623)
【出願日】平成21年12月22日(2009.12.22)
【国際出願番号】PCT/US2009/069119
【国際公開番号】WO2010/075339
【国際公開日】平成22年7月1日(2010.7.1)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
【公表日】平成24年6月21日(2012.6.21)
【国際特許分類】
【出願日】平成21年12月22日(2009.12.22)
【国際出願番号】PCT/US2009/069119
【国際公開番号】WO2010/075339
【国際公開日】平成22年7月1日(2010.7.1)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
[ Back to top ]