セキュリティに用いる方法および装置
ネットワーク内のデータパスを安全にするセキュリティシステムは、使用されるセキュリティ特徴のパラメータを変更する事象に対処する。例えば、使用されている暗号化アルゴリズムのタイプ、または、キー長さあるいは交渉のラウンド数などの暗号化アルゴリズムのパラメータを変更することができ、またはデータ転送プロトコルを変更することができる。セキュリティシステムが対処することのできる事象には、より高価なサービスへのログオン、ネットワークの位置、または日付や時間あるいはネットワーク内での使用パターンなどの変更などのユーザ行動が含まれる。システムはルールを利用して入ってくるデータを処理し対応を決定する。パラメータは設定データを、デジタルテレビシステム内のヘッドエンドやテレビの受信機などの、ネットワークに接続された通信デバイスに出力することで変更される。システムの好適な形態においては、使用されるセキュリティ特徴のパラメータはネットワークの位置に依存することができ、セキュリティが侵入されることをより困難にする多様性がシステムにもたらされる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はセキュリティに用いる方法および装置に関する。これはネットワーク上のデバイスまたはシステム間のコミュニケーションを安全にするのに特に適用が見られる。
【背景技術】
【0002】
ネットワーク上で通信するデバイスは通常、暗号化アルゴリズムおよび特別なプロトコルを用いて、デバイス間におけるデータの安全かつ完全な転送を提供する。典型的な例は、ユーザが銀行口座を操作するのにウェブブラウザを用いて銀行のサーバと通信する場合である。この場合、セキュア・ソケット・レイヤー(SSL)プロトコルを用いて、ブラウザデバイスと銀行サーバの間に安全なデータ通信パスを作ることが標準的である。
【0003】
SSLプロトコルでは、サーバからブラウザにデータを転送するために接続を確立する時、サーバはブラウザに公開暗号キーを送信する。ブラウザ(またはこれが示すクライアント)はマスターキーを生成し、受信したばかりの公開暗号キーを用いてサーバにそれを送信する。以後の通信は、マスターキーから派生したキーを用いて行われる。
【発明の開示】
【発明が解決しようとする課題】
【0004】
安全にネットワーク化された通信における主要な問題は、第三者が、どのセキュリティシステムが実施されているかを判断し、安全なパス上を通信されているデータを発見しようと試みることができることである。技術的に、インターネットなどのネットワーク上で行われるこのような攻撃の例が多くある。
【0005】
攻撃に対処する一般的な取り組みは、データパスを保護する、一層複雑で攻撃が困難なアルゴリズムおよび/またはプロトコルを用いることである。例として1024ビットの暗号化アルゴリズムと公開キープロトコルがある。この種のセキュリティシステムは普通予め設定されるが、別の取り組みは、用いる暗号化アルゴリズムまたはキーなどのパラメータを、接続時に両者で、1対1方式で取り決めることである。
【0006】
情報転送のためのセキュリティシステムに依存する技術の例は、デジタルテレビ市場、とりわけ“ペイパービュー”などのシステムである。サービスへのアクセスを許可された人のみに制限する既知の取り組みは、サービス暗号キーを許可されたユーザに、公開キー暗号で配布することである。以後は、サービス暗号キーが許可されたユーザのスクランブル解除装置の制御語を送信するのに用いられ、番組サービスのスクランブルが解除される。あるいは、制御語の代わりに、“ゼロ知識”アルゴリズムが用いられてもよい。
【0007】
そのようなシステムにおいて、サービスキーはその時、関連のあるサービスに関して、番組システムにわたって同じであるが、サービスキーは1対1方式で再び配布されなければならない。
【課題を解決するための手段】
【0008】
本発明の第1の態様によれば、
i) データを受信する入力と、
ii) 入力で受信したデータを処理し、セキュリティシステムの1以上のパラメータに対する値を選択するセキュリティ管理装置と、
iii) 通信デバイスに選択された値を識別するのに用いる出力と、から構成され、
ネットワークを用いる1以上の通信デバイスへのまたは通信デバイスからの以後の安全
なデータ転送に用いるために、装置は受信したデータを処理して値を選択するように、また出力を用いて1以上の通信デバイスの値を識別するように構成されることを特徴とする、
ネットワークに接続された通信デバイスへの、または通信デバイスからの安全なデータ転送に用いるセキュリティシステムが提供される。
【0009】
セキュリティシステムが値を選択するにあたってのこのようなふるまいは、ランダムおよび/または応答方式であるよう設計されてよい。このふるまいは、例えば、システムの使用にあたり装置がデータを処理するよう構成される方法、および処理されるデータの性質に依存する。本発明の実施形態は、セキュリティシステムの1以上のパラメータにおけるランダムおよび/または動的な変更を実施するために、また、データの受け取りに、時限またはリアルタイムのどちらかの応答を与えるために用いられてもよい。これらの特徴は、以後の安全なデータ転送における不正な違反を著しく困難にすることが可能である。
【0010】
したがって本発明の実施形態は、ネットワークに接続されたシステム間の通信を安全化する、セキュリティ機構の動的な実施のプロセスを提供する。何よりも、本発明の実施形態は、システムが既に実行されているときに“急いで”受信したデータに応答することができる。したがって、1以上の通信デバイスに対する1以上の値を識別する効果として、単に以後の安全なデータ転送に用いるためのパラメータをインストールするのみならず、既に用いられているパラメータを変更することができる。
【0011】
装置が値を選択するためにデータを処理するよう構成される方法は、一般的に1以上のルールで表現されるが、このようなルールは実施されることができる。例えば、ルールは装置内ではハードコードされ、リアルタイムでランダムに、または人間オペレータにより決定されるか、データベースに格納されるかする。都合の良いことに、システムはさらに、値を選択するために受信データを処理するときに装置により用いられる1以上のルールを格納する、ルールデータストアから構成される。このようなルールは必要に応じて更新または変更することができる。
【0012】
処理のために入力で受信したデータは1以上の異なるソースから生じうる。例えば、これは人の介入により、クロックまたはカレンダーにより、ネットワークに対するユーザの位置の変更などのイベントにより、ユーザによって用いられるデバイスの変更により、またはその他の、例えばユーザ活動のヒストリまたはセキュリティシステムの前回のふるまいをモニターするデータ処理システムにより、またはこれらの任意の組み合わせにより、生成される。セキュリティ管理システムはまた、値を選択するにあたり、入力で受信されたデータに加え、別々に利用可能なデータなどのデータを用いることができる。
【0013】
1以上の値が選択されてよいセキュリティシステムのパラメータは、例えば暗号法およびコンピュータによるアルゴリズム、データ転送プロトコルおよびこれらのアルゴリズムとプロトコルの設定を含む。
【0014】
1以上の通信デバイスに対する値の識別は、暗号化された、またはその他の値自身から構成される信号を送信することで行われてもよく、またこの値に対する、または例えばルックアップテーブルを参照することで通信デバイスが解釈するよう構成される一連の値に対する識別子を送信することで行われてもよい。
【0015】
セキュリティ管理装置が、通信デバイスが接続されているネットワークに接続されていることは不可欠の要素ではない。入力と出力は1以上の他の通信システムに接続されてよい。通信デバイスに選択された値を識別し、選択された値を用いたネットワーク上での以後のデータ転送のためにデバイスを設定するにあたり、出力が用いられることができるこ
とのみが不可欠の要素である。例えば、以後の安全なデータ転送がケーブルテレビのネットワーク上で生じる一方、出力および通信デバイスはインターネットに接続されてよい。
【0016】
値が識別されるパラメータは以下を含む、すなわち:
・キー転送プロトコルなどのプロトコル
・暗号アルゴリズム
・キーおよびキー長さ
・ブロック暗号におけるブロック長さ
・キーなし“ゼロ知識”方法
・多様なコードの実施
このようなパラメータに対する値は高レベルまたは低レベルであってよい。すなわち、あるパラメータに対する選択的な値は、例えば他のアルゴリズムに代替するあるアルゴリズムなど全てのパラメータが変更されるべきであること、またはただパラメータが異なるように操作されるべきであることなどを示してよい。例えば、ある“アルゴリズム”パラメータに対する値はまず、AES(Advanced Encryption Standard)アルゴリズムが用いられるべきであることを、そして次に、RC4(その他の既知の暗号化アルゴリズム)が用いられるべきであることを示してよい。または、ある“アルゴリズム”パラメータに対する異なる値は、例えばブロック暗号で用いられる反復回数を設定することで、単にアルゴリズムを調整してもよい。
【0017】
1以上の値が設定できる、暗号アルゴリズムのその他の例は、マスター暗号化アルゴリズムである。1つのマスター暗号化アルゴリズムから、どれも不正侵入が困難である、何千もの派生物を生じることが可能である。
この場合の値は用いられた派生物を選択する働きをする。
【0018】
上記で、多様なコードの実施が、値が選択されることのできるパラメータとして言及された。これは、アルゴリズムを実施するためにコンピュータ装置上に存在するコードがケース毎に異なるセキュリティ技術である。アルゴリズムは同じ結果を出現させるのであるが、ハッカーがアルゴリズムの操作中に目にする実際のコードは、ケース毎により全く異なる。
【0019】
ルールと言及されているが、本発明の実施形態の文脈における“ルール”は、特別な意味を有することが意図されているわけではなく、ただ単にセキュリティ管理装置が受信したデータを処理し、1以上のパラメータに対する値を選択するために用いることのできる操作を提供するだけである。受信されたデータはそれ自身が1以上の値、または選択される、値に対する識別子を提供してもよい。この場合、“ルール”は装置が適切に、単に1以上の値、または識別子を引用し出力するよう操作してもよい。または、ルールは、装置が、時刻、1以上の通信デバイスのネットワーク上の位置、コンテンツへのアクセスや購読料の支払などのネットワーク活動、ユーザに対する識別データ、および/または活動の歴史的パターン、などの値を選択することを可能とする前に、多数の決定基準を考慮に入れてもよい。
【0020】
ルールは異なる方法で実施されることができ、例えば制約ベースプログラムまたはエキスパートシステムとして表されてよい。しかし、例えば“If(条件A)、then(値X、Y)”などの単純論理もまた適切である。
【0021】
本発明のある実施形態でネットワークに接続された通信デバイスは使用にあたり、安全なデータの送信機および/または受信機から構成されてよい。セキュリティシステムはそれ自身、安全なデータ転送が意図されるネットワークに接続されてよいが、それは不可欠の要素ではない。値、または値に対する識別子を通信デバイスに送るのに、代わりにその
他のルートを用いてもよい。
【0022】
本発明の実施形態は、ネットワークに接続された通信デバイスへの、またはそこからの、安全なデータ転送を提供できる。セキュリティ管理装置により選択されたパラメータに対する値が少なくとも部分的にネットワークの位置に依存するように、ルールデータストアに格納された少なくとも1つのルールがネットワーク位置データから構成されることが好ましい。このような値とワークの位置データは例えば、セキュリティ管理装置があるサブネットワークを識別でき、もしくはこれはセキュリティ管理装置があるネットワークに接続された1以上の通信デバイスに特有であってもよい。これはセキュリティ管理装置をして、ネットワーク内の異なるデータパスに対する異なる値を設定することを可能とする。したがって、もしあるデータパスに障害が起きた場合、ネットワーク内の他のものも同じようにすぐに障害が起きるわけではない。
【0023】
ネットワークの位置への依存はセキュリティ管理装置を高柔軟性とする。例えば、デジタルテレビネットワークにおいて、例えば同じ家のなかの異なるセットトップボックスなどの、地理上の同じ位置にある個々の通信デバイスへのデータ転送に用いるセキュリティシステムのパラメータに対する異なる値を設定することが可能となる。このレベルでは、ルールにより構成されるネットワーク位置データは1以上の個々の通信デバイスのネットワークアドレスであってよい。
【0024】
本発明の第2の態様によると、
i) セキュリティシステムの1以上のパラメータに対する値を選択するセキュリティ管理装置と、
ii) 通信デバイスに選択された値を識別するために用いる出力、とから構成され、
装置は、ネットワークを用いる1つ以上の通信デバイスへのまたは通信デバイスからの以後の安全なデータ転送に用いるために、1以上のルールを用いて値を選択するように、また、出力を用いて通信デバイスのうちの1以上に選択された値を識別するように構成され、システムの使用にあたり、1以上のルールのうち少なくとも1つは、ネットワーク位置データから構成され、したがって装置は少なくとも部分的にネットワークの位置に依存する値を選択するよう構成されることを特徴とする、
ネットワークに接続された通信デバイスへのまたは通信デバイスからの、安全なデータ転送に用いるためのセキュリティシステム、が提供される。
【0025】
このような配置は、セキュリティシステムに、ネットワーク内における多様性の強力な能力を与える。すなわち、ネットワーク内の異なる位置に対して異なる、セキュリティシステムのパラメータに対する値を設定することが可能である。これはデータ転送の安全性が破られうる範囲を再度制限する。ネットワーク位置データは、例えば、ネットワークのサブネットワーク、または1以上の通信デバイスに対するネットワークアドレスを識別するデータから構成されてよい。
【0026】
本発明の第1の態様における実施形態にあるように、システムが、値を選択するのに受信データを処理するにあたり装置が用いるように、1以上のルールを格納するルールデータストアからさらに構成されることは都合が良い。
【0027】
好適には、本発明の第2の態様における実施形態は、本発明の第1の態様における実施形態の、1つ以上の特徴を含む。例えば、とりわけ、本発明の第2の態様における実施形態は、データを受信する入力と、受信したデータにしたがってセキュリティシステムの1以上のパラメータに対する値を選択するよう構成されるセキュリティ管理装置をさらに含んでもよい。このことは、セキュリティシステムに、上述のネットワーク内の多様性と、動的応答の強力な組み合わせを与える。
【0028】
本発明の実施形態によるセキュリティシステムの有用な構成要素は、システムの使用中に生じるデータをモニターする活動モニターである。値を選択するルールの少なくとも1つは、選択された値が少なくとも部分的にはモニターされたデータに依存するよう、動作するように配置されてよい。このことは、セキュリティシステムが、その他の状況にあっては応答に至らないであろう活動に、応答することを可能にする。例えば、新しいネットワークの位置のユーザによるアクセスは、初めの場合では応答に至らないであろうが、所定の回数より多く、決められた間隔で繰り返されると、応答に至るであろう。このようにモニターされるデータの例は、ネットワーク位置データ、システムに選択された値、ユーザの識別データを含む。
【0029】
代替的な配置において、上記のような活動モニターは、上記のセキュリティシステム内よりはむしろ、セキュリティシステムとともに用いる通信デバイスの一部分として備えられてよい。したがって、上記のセキュリティシステムとともに用いる、新規で発明性のある通信デバイスは、少なくとも1つの他の通信デバイスによってネットワーク活動をモニターし、モニターした活動をセキュリティシステムが値の選択において利用可能であるようにする活動モニターから構成される。
【0030】
通信デバイスは事実上、使用中の通信システムの送信機であり受信機であり、したがって同じ発明の関連する態様と見なされることに留意するべきであろう。
【0031】
セキュリティシステムと用いる通信デバイスが活動モニターを有するか否かに関わらず、セキュリティシステムの1以上のパラメータに対する1以上の選択された値を実施するよう設定されることができるデバイスは、デバイスが1以上の識別子を受け取り次第設定できるように、1以上のパラメータに対する値とこれらの値に対する識別子との間の関係を格納する、値データストアから構成されることが好ましい。このことは、実際値がデバイスに送信される必要なく、値に対する識別子のみで、デバイスが設定されることを可能にする。
【0032】
本発明の第3の様態によると、
i) 刺激データを受信するステップと、
ii) 一組の1以上の決定基準内で識別された現在のデータにアクセスするステップと、
iii) 刺激データを現在データと一緒に処理し、少なくとも1つのセキュリティパラメータの少なくとも1つの値を選択するステップと、
iv) 2つ以上の通信デバイスに、少なくとも1つの選択された値から構成される信号を出力するステップとから構成される、
データ転送を保護する、選択可能な値を有する1つ以上のセキュリティパラメータを用いて、ネットワークに接続された通信デバイス間のデータ転送を保護する方法、が提供される。
【0033】
刺激データは、通信デバイスが接続されているネットワークから受信されてもよく、異なるネットワークから受信されてもよい。
【0034】
本発明の第3の態様における方法は、現在データを提供するために、ネットワーク上の保護されたデータ転送に関する活動をモニターするステップからさらに構成されてもよい。このような方法は同様に、または代替的に、刺激データの処理に先立ち、現在データを処理するステップから構成される。このことは、ネットワーック上の保護されたデータ転送に関するふるまいのパターン、例えば使用超過時間や地理的集積性などが、考慮に入れられることを可能とする。
【0035】
本発明の実施形態によるセキュリティシステムはここに、例示の目的のみに、以下の図面を参照して説明される。
【発明を実施するための最良の形態】
【0036】
1. ネットワーク概観
図1を参照すると、セキュリティシステムの全体的な役割は、ネットワーク145に接続された通信デバイス115、120、150間のデータパスを保護することである。ここに説明される実施形態において、通信デバイスは“発行”デバイス150および、家庭内施設105に設置されたパーソナルコンピュータ120およびセットトップボックス115を有するテレビなどの少なくとも2つの受信デバイスから構成される(図1に示されるように、受信デバイス115および120は同じサブネットワーク125に接続されているが、このことは不可欠の要素ではない)。
【0037】
セキュリティシステムは主として、コンピューティング・プラットフォーム上で動作し、通信デバイス115、120、150に接続されるセキュリティエンジン100を提供するソフトウェアプロセスから構成される。セキュリティシステムが通信デバイス115、120、150間のデータパスを保護する方法は、暗号キー、アルゴリズム、プロトコルなどの多様なセキュリティパラメータに対する一連の値を選択し、発行デバイス150およびその受信デバイス115、120に、それらのデバイス間の安全な通信のために、その一連の値を用いるよう指示するものである。セキュリティエンジン100は実施中の一連の値を、動的ベースでいつでも変更することができる。
【0038】
セキュリティエンジン100は、リアルタイムで受信されたデータに基づいて、またはルールベースアプローチを用いる他の基準に基づいて、これらの変更をすることができる。もしどの時点においても実施中の一連の値が予想できない場合は、これはセキュリティの強さを明らかに改善することができ、これらは“2.セキュリティエンジン”においてさらに説明される。
【0039】
セキュリティシステムが利用可能なそれぞれの一連の値は以後、“ポリシー”と呼ばれる。したがって、“ポリシーSP1”などの単一のポリシーは、一連の1以上の特定のアルゴリズム、プロトコル、設定、および/またはその他のパラメータ値を表す。セキュリティエンジン100が選択にあたり利用可能なポリシーは、データベース140に格納されている。
【0040】
ネットワーク145内の異なるデータパスは、どの時点においても、実施中の異なるポリシーを有することが可能である。セキュリティエンジン100は、例えば、それら個々のネットワークの位置によって、またはサブネットワークによって、同じポリシーを用いるという指示に対して一連の通信デバイス115、120、150を選択することにより、またはその他の適切な手段によって、それを実施する。
【0041】
管理者のドメイン110は、セキュリティエンジン100がセキュリティオペレータによって、例えば、オリジナルの設定、更新および修正について制御されることを可能にし、また離れたデータベース140は管理者のドメイン110およびセキュリティエンジン100のどちらにもアクセス可能である。
【0042】
管理者のドメイン110を使用するオペレータは、多くのプロトコルを選択したり、それらのプロトコルのどのパラメータが変更できるかを設定したり、サブネットワークとして扱われるべき通信デバイスの組を選択したりという、セキュリティエンジン100が下すことのできる決定の範囲を確定することができるが、以後セキュリティエンジン100
は、通信デバイス115、120、150間のデータ転送を安全にするために用いられるプロトコルおよびアルゴリズムの選択、実施および設定を命令し、通信デバイス115、120、150は、“命令で”それを実施することを除いては、決定に関与しない。
【0043】
図1に示された配置は不可欠なものではなく、ソフトウェアプロセスおよびデータの位置は設計や状況の問題であることが理解されるであろう。例えば、管理者のドメイン110、セキュリティエンジン100およびデータベース140が、全て同じサーバのもしくは他のコンピューティング・プラットフォームの同一場所に配置されてもよい。さらに、セキュリティエンジン100は、保護されるべきものと同じくネットワーク145に接続されて示されているが、これは不可欠の要素ではない。セキュリティエンジン100が発行および受信通信デバイス115、120、150と通信できることのみが不可欠であり、これは図4に示されるように、離れたネットワークにわたって可能である。
2.セキュリティエンジン
図2を参照すると、セキュリティエンジン100は、決定基準を踏まえてルールを適用することで、どの時点においても、ネットワーク内のどの位置においても、どのセキュリティポリシーが有効であるかを決定する。決定は刺激によりトリガされ、セキュリティエンジン100は、オペレータが管理者のドメイン110もしくはどこか他の場所から入力すると、ネットワークを介して刺激を受け取ることができる、ネットワーク145へのインターフェース210を有する。
【0044】
刺激、決定基準およびルールはそれぞれ、後により詳しく説明され、その後に、セキュリティエンジン100が選択において利用可能なポリシーが説明される。図2に示されるように、これらはセキュリティエンジン100と同じ場所に配置されるデータ記憶装置200に格納されるか、データストア140か管理者のドメイン110にあって遠隔に利用可能であってよい。しかし、セキュリティ上の理由から、これらはローカルデータ記憶装置200に格納されることが好ましい。
2.1 刺激
セキュリティエンジン100は多くの刺激により、どのポリシーが使用されるべきかを決定するようトリガされてよい。これらは例えば次の1以上を含むことができる、すなわち:
・例えば発行デバイス150と受信デバイス115、120間などの通信デバイス115、120、150の間、相互作用
・通信デバイス115、120、150のいずれかとその他の存在間の相互作用で、通信デバイス115、120、150もしくはその他のネットワークに接続された存在にその他のプロセスを含んでもよい
・時刻
・人の介入
・計画的なポリシーの変更
これらの刺激は、ネットワーク145経由でインターフェース210を介して受信されるか、セキュリティエンジン100内部にあるかであってよい。例えば、計画的なポリシーの変更および時刻に基づくポリシーの変更は、セキュリティエンジン100内部の、もしくはそれに関連する、クロック処理から生じうる。人の介入は管理者のドメイン110からオペレータによってなされる。
【0045】
通信デバイス115、120、150間の、または通信デバイス115、120、150とその他の存在の間の、相互作用から生じる刺激は、通常1以上の通信デバイスによってセキュリティエンジン100に通信され、したがってインターフェース210を介して受信されてよい。
【0046】
刺激のように起こりうる相互作用は、例えば受信デバイス115、120によって、ユ
ーザの活動から生じうる。システムにログオンするユーザは、認証のためのユーザIDとパスワードを提供してもよく、認証されたIDは、そのユーザの受信デバイスとユーザがアクセスしたサービスの供給者のドメイン間のデータパスに対する新しいセキュリティポリシーを提供する刺激として、セキュリティエンジン100に渡されてもよい。あるいはユーザは、高いセキュリティ格付けを有するデータをダウンロードするデータパスをセットアップするべく、または購読料を支払うべく、通信デバイスを用いたかもしれない。これらのどちらも、新しいポリシーを特定のデータパスにインストールする刺激として、通信デバイスによってセキュリティエンジン100に同じように報告されるであろう。
2.2 決定基準
一度刺激が生じると、セキュリティエンジン100は、新しいポリシーをデータパスにインストールする際に、いくつかの決定基準のうちのいずれかを考慮に入れることができる。例えば、セキュリティポリシーエンジンは、次の基準のうちの1以上を考慮に入れるであろう、すなわち:
1.日付/時刻
2.発行者もしくは消費者の身元
3.コンテンツへのアクセスや、購読料の支払いなどの、発行者もしくは消費者によって行われているアクション
4.ネットワーク内における、発行者もしくは消費者の論理的もしくは物理的な位置
5.用いられているデバイス
6.ネットワークオペレーターによって設定されたパラメータ
7.消費者/発行者間の、またはエンドユーザ/ネットワークオペレーター間の購読状況
8.上記の1以上に関係するヒストリ
9.前回適用されたポリシーのヒストリ
上述のように、例えば“発行者もしくは消費者によって行われているアクション”など、これらのうちのいくつかは、通信デバイス115、120、150からの報告の形で刺激として起こりうる。いくつかはその他のプロセスから利用可能であろう。例えば、購読状況は通常、購読モニターサービスから利用可能であろう。しかし、セキュリティエンジン100は、他の方法では利用できないアスペクトを追跡するために、継続データ処理を行うようにも設計されることができる。例えば、前回適用されたポリシーのヒストリは、その他のプロセスによってはモニターされにくい。
2.3 ルール
一度セキュリティエンジン100が決定を下すためにトリガされると、それは決定基準を処理するにあたりルールを参照し、新しいセキュリティポリシーに到達する。セキュリティエンジンの異なる配置および実施は、異なるルールを使用し、ルールを選択するのに異なる決定基準を適用することができる。しかし、ルールの例は以下のようである、すなわち:
R1: IF
条件A、BおよびDが満たされる
THEN
火曜日に、ポリシーSP1をマンチェスターで、SP2をロンドンで、そしてSP2をその他全ての場所で実行する;
R2: IF
条件BおよびEが満たされる
THEN
水曜日に、SP5を用いて、チャンネル17を見るものを除いて、全ての奇数番地をSP1上で、および全ての偶数番地をSP2上で実行する
R3: IF
条件Aが満たされる
THEN
ルールR1またはR2が適用されない限りは、ランダムなポリシーをネットワークのランダムな箇所で用いる
これらルールはそれぞれ場所に依存していることが注目に値する。これはネットワーク内での多様性をもたらす。
【0047】
上に記載されたようなルールは、現実世界におけるそれらの効果を示すために記載されたものである。実際面では、ルールはネットワークの位置に関して記載される可能性が高い。例えば、マンチェスターとロンドンはサブネットワークとしてのセキュリティエンジン100と特定されるだろうし、奇数および偶数の番地は、購読者の記録から、共通のアドレスに登録された特定の通信デバイス115、120にネットワークアドレスを与えるものと解釈されるであろう。
【0048】
このようにネットワークの位置を組み込んだルールは、同じ家の中の個々のセットトップボックスであっても異なるセキュリティポリシーを割り当てることができることを意味する。さらに、刺激は、例えば発行デバイス150と受信デバイス115、120間などの、通信デバイス115、120、150間の相互作用も含むことができるため、個々のセッションであっても、または特定の個人を含むセッションであっても、異なるポリシーが割り当てられることができる。
【0049】
上に記載されたようなルールは、ルールを適用する前に、満たされるべき条件を組み込む。これらの条件は通常、上記の1以上の決定基準に対する特定の値に基づく。条件およびそれらの使用は、下の“3.使用中のセキュリティエンジン”においてさらに説明される。
【0050】
セキュリティエンジン100がポリシーの変更を選択、および/または、実施する方法は、比較的予測不可能であることが好ましい。このことは例えば、上記でさらに説明されているようにシステムの歴史的なふるまいに基づくものであるが、その他の要素として、適用されたルールの選択がある。既知の状況において適用され、またセキュリティエンジン100がルールの中からランダムな選択をするように、1より多いルールを含むことが可能である。
2.4 ポリシー
一度セキュリティエンジン100が決定基準にルールを適用すると、これは、関連のある通信デバイス115、120、150に実施するために送信されるポリシーを選択することができる。ポリシーは、ネットワーク上のシステム同士でデータを交換するために、方法、手段、プロトコルとそれらの設定を含む、これら全てのパラメータの集合として記述されてよい。つまり、システム間の通信を-1対1でも、1対他でも、他対1でも-稼働させる全てである。
【0051】
いくつかのパラメータは、それらがより直ちに用いることができる点で、その他のものより適切であり、実用的であり、優れている。例えば、キーの長さやプロトコルを変更することは、ネットワークを攻撃に抵抗できるものとするには大変有効である。しかし、セキュリティエンジン100の設計にあたっては、利用可能なポリシーの選択は、安全性に多様な効果を提供するが、ネットワークの使用、およびネットワークに接続されたデバイスにおけるコンピュータの処理能力において効率的な、一組のポリシーを選択するまでに大幅に減少する。例えば、パケットによるネットワークの過負荷をもたらさない、またはエンドポイント同士の、低待ち時間のパスに依存しないプロトコルを選択することが好ましい。全体的な構想はこのようである。すなわち、もしハッカーが何とかしてポリシーの1つを破ったとき、その他の使用中のポリシーは、異なるポリシーが有効であるとき、最初の不法行為が他の場所で、別の時間に、広がることを防ぐのに充分なほどに多様である。
【0052】
セキュリティポリシーは次のどれか1つ以上に対する一組の値である、すなわち:
-ランダムキープロトコルなどのプロトコル、また、DH(Diffie-Hellman)キー交換などのプロトコルのどの設定が用いられるべきか
-AES(Advanced Encryption Standard)やRC4(既知の暗号化アルゴリズム)などの暗号アルゴリズム、および128ビットもしくは1024ビットなどのこれらの設定
-ある特定のアルゴリズムが暗号化データを出力するのに用いる繰り返し数
-キーおよびキー長さ
-キー転送プロトコル
-キーが有効である期間
-キーなし“ゼロ知識”方法
-多様なコードの実施
セキュリティポリシーの例は:
SP1: 128ビットAES10ラウンド
SP2: ランダムキーおよびDHキー交換を有する1024ビットRC4
2.5 値をデバイスに送る
一度ポリシーが選択されると、それを関連のあるデータパスに実施することが必要である。これは、ポリシー識別子またはポリシーの実際の値を、それら自身を適切に設定することで応答するところの関連の通信デバイス115、120、150に送信することで、セキュリティエンジン100によって直接的になされてよい。あるいは、これは間接的に、通信デバイスの設定手段(図示されない)の識別子もしくは値を送信することでなされてもよい。間接的方法は例えば、通信デバイス115、120、150のための先行する設定手段がある場合に選択されてもよい。どちらの場合でも、特に、通信デバイス115、120、150間で既に通信が進行中の場合、別々のデバイス同士で変更を同期することが必要であろう。
【0053】
ポリシーデータを通信デバイス115、120、150へ送出する間、これが妨害されないことを確保することは明らかに重要である。セキュリティエンジン100が、データパスが本発明の実施形態により保護されるところのネットワーク145によってデバイスに接続されている場合には、デバイスやその他の場所へのポリシーデータの送信を保護するためにポリシーが実施されてよい。しかし、セキュリティエンジン100は、その他の手段で通信デバイス115、120、150に接続されてもよく、ポリシーを保護するための既知の安全な方法が用いられてよい。
3. 使用中のセキュリティエンジン
図3を参照すると、セキュリティエンジン100の操作のフロー図は以下のようである、すなわち:
ステップ300:ネットワークが動作している;
ステップ305:刺激が到着する、例えば新しいユーザIDが通信デバイス115によって送られる;
ステップ310:セキュリティエンジン100は新しいユーザIDを受け取るのに適切なルールを選択し、適切なポリシーを選択するのにルールを実行するために必要なデータを集め、このデータは通信デバイス115のための現在のネットワークの位置、リクエストされるサービス、ユーザIDに関する購読状況などである;
ステップ315:セキュリティエンジン100はルールを実行し1つ以上のポリシーを選択する;
ステップ320:セキュリティエンジン100はポリシーにより命令された値を出力し、適切な通信デバイス115、120、150を設定し、ステップ300に戻り、次の刺激を待つ。
【0054】
図4から図8を参照すると、ネットワークの位置の多様性を有する多様なポリシーの効果は、実施中のセキュリティポリシーが、ネットワーク規模もしくは、例えば家庭内の1つのセットトップボックス115のように特定の通信デバイスのレベルまで位置特有のものであってよいことである。一連の計画が続いて起こる。
【0055】
以下では、ネットワーク145内のデータパスを保護することが可能であろう一連のポリシーは、発行人により選択されたセキュリティ製品に依存してもよいことに留意するべきであろう。より安い製品はより小さいまたはシンプルな一連のポリシーをカバーするような、一連のセキュリティ製品を有することが可能である。以下において、セキュリティ製品は異なるレベルの安全性(“SL1”、“SL2”など)を提供するものとして扱われる。安全性の各レベルは、複雑性の特定のレベルまでをサポートする。
【0056】
図4を参照すると、デジタルテレビサービスなどのサービスは、ヘッドエンド150から一連のサブネットワーク145A、145B、145Cへ配信される。したがってヘッドエンドは、発行通信デバイス150を構成し、家庭内施設105に、多様なサブネットワーク(図中には各受信通信デバイス115、120の一例のみが示されている)に接続された受信通信デバイス115、120がある。
【0057】
セキュリティエンジン100はヘッドエンド150および家庭内施設105に、インターネットなどの異なるネットワーク400を介して接続されている(これは図4にのみ示されているが、図5および図8に示される配置にもあてはまる)。
【0058】
サービスの起動にあたって、サブネットワーク145A、145B、145Cにわたって、そして各受信通信デバイス115、120に対して実施中のセキュリティポリシーは同一である。これは、全ての受信通信デバイス115、120について示されるパターンによって図4に示される。
【0059】
図5を参照すると、許可された視聴者のみへの新しいサービスが導入される。ヘッドエンド150は、新しいサービス、例えば“S3a”を、報告を刺激として受け取るセキュリティエンジン100に報告する。報告は単にネットワークおよび新しいサービスに対する識別子を含むものでよい。セキュリティエンジン100は、新しいサービス刺激に適切なルールを選択し、ルールを実行するのに必要なデータを集め、1以上の適切なポリシーを選択し実施する必要がある。したがってこれはデータストア200、140を、例えばルックアップテーブルを参照し、どのルールを実行すべきか、そしてどのデータアイテムを集めるべきかを見つける。ルックアップテーブルは新しいサービス(例えば“S3a”)を、ルール(例えばR15)およびデータアイテムに対してリストにする。ルックアップテーブルへのエントリーは例えば:
“S3a:R15(ネットワーク145A、145B、145Cでの現在のセキュリティレベル、発行人の保有する現在のセキュリティ製品)”
などを示してよい。
【0060】
したがってセキュリティエンジン100は、ネットワーク145A、145B、145Cにおいて実施されているポリシーの現在のセキュリティレベルおよび発行人によって負担されている現在のセキュリティ製品に関するデータを集める必要がある。ルールR15によると、新しいサービスS3aはセキュリティレベル“SL5”を要求してもよい。このデータを入手すると、エンジン100は以下のように示されるR15を実行する、すなわち:
“R15:
IF
現在のセキュリティレベル=SL5
or
発行人により負担される現在のセキュリティ製品がSL5をカバーする
THEN
各サブネットワーク上で、ポリシーSP1、SP2、SP3、SP4...を順に実行する”
R15を実施するには、セキュリティエンジン100はヘッドエンド150および各サブネットワーク145A、145B、145C上の通信デバイスを設定し、各サブネットワークのポリシーにしたがって適切な値をロードする必要がある。
【0061】
上記のような刺激に応答するために、セキュリティエンジン100は発行人にネットワークおよび製品の最新のステイタスデータを要求する。これはセキュリティエンジン100によって保持されてもよく、または管理者のドメイン110から要求に応じて入手されてもよい。
【0062】
ルールR15が実行されない場合もありうる。例えば、発行人はSL5を含む製品を購入しなかったかもしれない。特に後者の場合は、セキュリティエンジン100はヘッドエンド150にその状況を知らせるためにメッセージを返してもよい。
【0063】
図6および図7を参照すると、図5に関連して説明されている計画は、結果として異なるセキュリティレベルを実施することとなってもよい。図6において、各サブネットワーク上で交互の施設に異なるポリシーが実施され、図7において、ポリシーは設備をこえてランダムに配布されている。
【0064】
図8を参照すると、刺激は、ユーザの通信デバイス115、120で生じてよく、結果は図8のサブネットワークA上に示されるようであってもよい。例えば、施設“D”において、全ての通信デバイスは、ポリシーSP16を実行している1つのデバイスをのぞくと、全てポリシーSP3を実行している。これは、ユーザが異なるセキュリティレベルを有する新しいサービスにアクセスしたときに起こりうる。この場合、施設“D”の通信デバイスもしくはヘッドエンド150が、報告を刺激としてセキュリティエンジン100に送ってもよい。報告は例えば、新しいサービスのコード(“S18”)、ユーザID(“U3981”)、および通信デバイスのネットワークアドレス(“NA369.09156”)から構成されてよい。
【0065】
再び、セキュリティエンジン100は、新しいサービス刺激に適切なルールを選択し、ルールを実行するのに必要なデータを集め、適切なポリシーを選択し実施する必要がある。したがってこれはデータストア200、140を参照し、どのルールを実行するべきか、どのデータアイテムを集めるべきかを見つける。ルックアップテーブルにおける、新しいサービスS18へのエントリーは、例えば:
“S18:R36(サブネットワーク内の現在のセキュリティレベル、発行人の保有する現在のセキュリティ製品、デバイスネットワークアドレスの現在のポリシー、ユーザIDに対する購読状況)”
を示してよい。
【0066】
一度セキュリティエンジン100が指定されたデータを集めると、これはR36を実行できる。例えば、R36は以下のようであってよい、すなわち:
“R36:
IF
[サブネットワーク内の現在のセキュリティレベル=SL21 OR 発行人の保有する現在のセキュリティ製品はSL21をカバーする]
デバイスネットワークアドレスの現在のポリシー≠SP16
ユーザIDに対する現在の購読状況はS18をカバーする
THEN
デバイスネットワークアドレスには、SP16を実行する”
R36の基準が満たされる限り、ポリシーSP16に対する値はヘッドエンド150および関連の通信デバイスにおいて設定される必要がある。
【0067】
セキュリティエンジン100は、ポリシーが、数多くの方法を用いて実施されることを可能にする、すなわち:
-発行および受信通信デバイス115、120、150に、どのポリシーが用いられるべきかを指示するためにメッセージを送信する
-発行および受信通信デバイス115、120、150にポリシーに関連する値を送信する
-上記の方法の組み合わせを用いる
ある特定の実施において、セキュリティエンジン100は、デジタルテレビ信号が送信されるネットワーク内でのセキュリティポリシーを決定するために用いられる。ヘッドエンド150および受信通信デバイス115間のデータ転送プロセスは、ヘッドエンド150のデタルテレビスクランブルデバイスおよび、受信デバイス115のデジタルテレビ受信機のスクランブル解除デバイスに組み込まれている。ヘッドエンド150および受信通信デバイス115は、それぞれの方向にデータ通信パスを実施するのに異なる技術が用いられている場合でも、双方向通信が可能なネットワーク145A、145B、145Cに接続されている。
【0068】
セキュリティエンジン100に、いつ何時、どのセキュリティポリシーが実施中であるかを決定するルールがロードされる。エンジン100はセキュリティポリシーをデータ転送プロセス内にネットワークデータ転送パスを経由してロードする。決定点(つまり、どのセキュリティポリシーが用いられるべきかが決定される時点)にくると、セキュリティエンジン100は上記のようにルールを参照し、どのポリシーが用いられるべきかを決定する。一度決定がなされると、セキュリティエンジン100は、ポリシーデータをセキュリティポリシーストア200からヘッドエンド150および受信通信デバイス115のデータ転送プロセスにロードすることで、ポリシーを実施する。セキュリティエンジン100が、特定のポリシーが既にロードされていることに気づいた場合は、このステップは省略される。一度セキュリティポリシーがデータ転送プロセスにおいて使用可能になると、セキュリティエンジン100はデータ転送プロセスにメッセージを送信することにより、ポリシーを作動させる。そこで、適切かつ都合の良い時点で、ヘッドエンド150および受信通信デバイス115は新しいセキュリティポリシーを用いるよう切り替える。
4. ネットワーク活動への応答
上述のように、一度刺激が生じると、セキュリティエンジン100は、新しいポリシーをデータパスにインストールするにあたり、いくつかの決定基準から任意のものを検討してよい。可能性のある一組の基準は“2.2 決定基準”の見出しで上記にリストされており、システムの使用時の決定基準に関係するヒストリと、システムの使用時のポリシー選択のヒストリとを含む。
【0069】
図2を参照すると、セキュリティエンジン100は、とりわけヒストリのシステムデータを格納するデータストア200を備えている。これは例えば、システムの使用中の決定基準に関係するデータ、および/またはポリシー選択データを含んでよい。
【0070】
セキュリティエンジン100による、決定基準に関連するデータのヒストリへの応答の例は、
“R98:
IF
[サブネットワークにおける現在のセキュリティレベル=SL43 OR 発行人の保有する現在のセキュリティ製品はSL43をカバーする]
デバイスネットワークアドレスに対する現在のポリシー≠SP18
ユーザIDに対する現在の購読状況は(関連サービス)をカバーする
ユーザIDに対する新しいネットワークの位置は5営業日の間に6度繰り返された
THEN
デバイスネットワークアドレスには、SP18を実行する”
を示すルールである。
【0071】
このようなルールは、もしユーザがデバイスを新しい位置で定期的に使用し始めた時、この新しい位置へのデータパスを保護するセキュリティレベルは自動的に更新されるという効果を有する。
【0072】
セキュリティエンジン100による、ポリシー選択に関連するデータのヒストリへの応答の例は、
“R83:
IF
提示されたデバイスネットワークアドレスに対する新しいポリシー=SP17
提示された新しいポリシーは既に、同じサブネットワーク上の5つの他のデバイスネットワークアドレスに対して選択されている
THEN
デバイスネットワークアドレスには、SP35〜SP40からランダムに選択された新しいポリシーを実行する”
を示すルールである。
【0073】
このようなルールはネットワークアドレスに対する新しいポリシーが選択されるが実施されなかった後に実行されてよい。これは、もし同じポリシーが既に同じサブネットワーク上の他のいくつかのデバイスにおいて実施中であった場合、異なるポリシー群からのポリシーが用いられるべきである、という効果を有する。
5. 通信デバイス115、120、150
図9を参照すると、通信デバイス115、120、150は一般的に既知のタイプである。しかし、これらには本発明の実施形態を実施するために備えられる、新規の特徴がある。例えば、セキュリティエンジン100が通信デバイスにおける活動に応答するためには、活動がセキュリティエンジン100に報告される必要がある。デジタルテレビシステムのヘッドエンドなどの発行デバイス150にとって、関連する活動のセキュリティエンジン100に通知するように構成されることは都合が良いであろう。したがって発行デバイス150は、例えば新しいユーザID(識別子)または現在のユーザIDに対する新しいネットワーク位置などを組み込むリクエストなどの、関連するデータに関する受信デバイス115、120からの通信をモニターする、モニター920から構成されてよい。モニター920によって検知された任意の関連データがセキュリティエンジン100への出力910にコピーされるか、蓄積され処理されたデータが用いられるかする。これは、通常ではセキュリティエンジン100に対する刺激として扱われないであろう、通信デバイスにおけるネットワーク活動が、そのように扱われることを可能にする。例えば、異なるネットワークの位置のユーザからの単独のリクエストは、刺激として扱われないであろうが、一方、ある新しいネットワークの位置からのユーザによる複数のリクエストは、刺激として扱われるであろう。モニター920はこのような区別をするために用いられてよい。
【0074】
ネットワーク145内のデータパスに対する実行中のセキュリティポリシーの変更を実施するために、可能な配置は、発行デバイス150がセキュリティエンジン100からの
ポリシーデータを受信し、受信デバイス115、120を適切に設定するために既存の設定機構を用いるものである。もしセキュリティエンジン100が実施されるべきポリシーに対するコードを送信し、発行デバイス150がそのコードを設定目的のために実際の値に翻訳するために用いるためポリシーデータストア900にアクセスすると、安全性が改善される。または、受信デバイス115、120は、実際の値がインストール時やアップデート時に場合によって送信されることをのぞいてはネットワーク125、145、400のどの部分にも送信される必要がないように、ポリシーデータストア900にアクセスしてもよい。
【0075】
本明細書において“〜を含む”の語は、例えば少なくとも以下の“〜によってのみ構成される”および“他のものと一緒に〜も含む”のどちらかの意味を含むように、広く解釈されるよう意図されている。
【0076】
本発明の実施形態は多様なタイプおよび設定のプラットフォームに支えられていることが理解されるべきである。このプラットフォームの存在は本発明の一実施形態に不可欠なものではない。したがって本発明の一実施形態は、1以上のデータ運搬装置に記録されたソフトウェアから構成されてもよく、使用のために適切なプラットフォーム上にロードする信号の形として具体化されてもよい。
【図面の簡単な説明】
【0077】
【図1】ネットワークに接続され、ネットワーク内のデータパスに適用されるセキュリティパラメータを制御する、セキュリティシステムの機能ブロック図である。
【図2】図1に示されるセキュリティシステム内で用いられるセキュリティエンジンの機能ブロック図である。
【図3】使用中のセキュリティエンジンの動作の、フロー図である。
【図4】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図5】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図6】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図7】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図8】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図9】図1のセキュリティシステム内で用いられる通信デバイスの機能ブロック図である。
【技術分野】
【0001】
本発明はセキュリティに用いる方法および装置に関する。これはネットワーク上のデバイスまたはシステム間のコミュニケーションを安全にするのに特に適用が見られる。
【背景技術】
【0002】
ネットワーク上で通信するデバイスは通常、暗号化アルゴリズムおよび特別なプロトコルを用いて、デバイス間におけるデータの安全かつ完全な転送を提供する。典型的な例は、ユーザが銀行口座を操作するのにウェブブラウザを用いて銀行のサーバと通信する場合である。この場合、セキュア・ソケット・レイヤー(SSL)プロトコルを用いて、ブラウザデバイスと銀行サーバの間に安全なデータ通信パスを作ることが標準的である。
【0003】
SSLプロトコルでは、サーバからブラウザにデータを転送するために接続を確立する時、サーバはブラウザに公開暗号キーを送信する。ブラウザ(またはこれが示すクライアント)はマスターキーを生成し、受信したばかりの公開暗号キーを用いてサーバにそれを送信する。以後の通信は、マスターキーから派生したキーを用いて行われる。
【発明の開示】
【発明が解決しようとする課題】
【0004】
安全にネットワーク化された通信における主要な問題は、第三者が、どのセキュリティシステムが実施されているかを判断し、安全なパス上を通信されているデータを発見しようと試みることができることである。技術的に、インターネットなどのネットワーク上で行われるこのような攻撃の例が多くある。
【0005】
攻撃に対処する一般的な取り組みは、データパスを保護する、一層複雑で攻撃が困難なアルゴリズムおよび/またはプロトコルを用いることである。例として1024ビットの暗号化アルゴリズムと公開キープロトコルがある。この種のセキュリティシステムは普通予め設定されるが、別の取り組みは、用いる暗号化アルゴリズムまたはキーなどのパラメータを、接続時に両者で、1対1方式で取り決めることである。
【0006】
情報転送のためのセキュリティシステムに依存する技術の例は、デジタルテレビ市場、とりわけ“ペイパービュー”などのシステムである。サービスへのアクセスを許可された人のみに制限する既知の取り組みは、サービス暗号キーを許可されたユーザに、公開キー暗号で配布することである。以後は、サービス暗号キーが許可されたユーザのスクランブル解除装置の制御語を送信するのに用いられ、番組サービスのスクランブルが解除される。あるいは、制御語の代わりに、“ゼロ知識”アルゴリズムが用いられてもよい。
【0007】
そのようなシステムにおいて、サービスキーはその時、関連のあるサービスに関して、番組システムにわたって同じであるが、サービスキーは1対1方式で再び配布されなければならない。
【課題を解決するための手段】
【0008】
本発明の第1の態様によれば、
i) データを受信する入力と、
ii) 入力で受信したデータを処理し、セキュリティシステムの1以上のパラメータに対する値を選択するセキュリティ管理装置と、
iii) 通信デバイスに選択された値を識別するのに用いる出力と、から構成され、
ネットワークを用いる1以上の通信デバイスへのまたは通信デバイスからの以後の安全
なデータ転送に用いるために、装置は受信したデータを処理して値を選択するように、また出力を用いて1以上の通信デバイスの値を識別するように構成されることを特徴とする、
ネットワークに接続された通信デバイスへの、または通信デバイスからの安全なデータ転送に用いるセキュリティシステムが提供される。
【0009】
セキュリティシステムが値を選択するにあたってのこのようなふるまいは、ランダムおよび/または応答方式であるよう設計されてよい。このふるまいは、例えば、システムの使用にあたり装置がデータを処理するよう構成される方法、および処理されるデータの性質に依存する。本発明の実施形態は、セキュリティシステムの1以上のパラメータにおけるランダムおよび/または動的な変更を実施するために、また、データの受け取りに、時限またはリアルタイムのどちらかの応答を与えるために用いられてもよい。これらの特徴は、以後の安全なデータ転送における不正な違反を著しく困難にすることが可能である。
【0010】
したがって本発明の実施形態は、ネットワークに接続されたシステム間の通信を安全化する、セキュリティ機構の動的な実施のプロセスを提供する。何よりも、本発明の実施形態は、システムが既に実行されているときに“急いで”受信したデータに応答することができる。したがって、1以上の通信デバイスに対する1以上の値を識別する効果として、単に以後の安全なデータ転送に用いるためのパラメータをインストールするのみならず、既に用いられているパラメータを変更することができる。
【0011】
装置が値を選択するためにデータを処理するよう構成される方法は、一般的に1以上のルールで表現されるが、このようなルールは実施されることができる。例えば、ルールは装置内ではハードコードされ、リアルタイムでランダムに、または人間オペレータにより決定されるか、データベースに格納されるかする。都合の良いことに、システムはさらに、値を選択するために受信データを処理するときに装置により用いられる1以上のルールを格納する、ルールデータストアから構成される。このようなルールは必要に応じて更新または変更することができる。
【0012】
処理のために入力で受信したデータは1以上の異なるソースから生じうる。例えば、これは人の介入により、クロックまたはカレンダーにより、ネットワークに対するユーザの位置の変更などのイベントにより、ユーザによって用いられるデバイスの変更により、またはその他の、例えばユーザ活動のヒストリまたはセキュリティシステムの前回のふるまいをモニターするデータ処理システムにより、またはこれらの任意の組み合わせにより、生成される。セキュリティ管理システムはまた、値を選択するにあたり、入力で受信されたデータに加え、別々に利用可能なデータなどのデータを用いることができる。
【0013】
1以上の値が選択されてよいセキュリティシステムのパラメータは、例えば暗号法およびコンピュータによるアルゴリズム、データ転送プロトコルおよびこれらのアルゴリズムとプロトコルの設定を含む。
【0014】
1以上の通信デバイスに対する値の識別は、暗号化された、またはその他の値自身から構成される信号を送信することで行われてもよく、またこの値に対する、または例えばルックアップテーブルを参照することで通信デバイスが解釈するよう構成される一連の値に対する識別子を送信することで行われてもよい。
【0015】
セキュリティ管理装置が、通信デバイスが接続されているネットワークに接続されていることは不可欠の要素ではない。入力と出力は1以上の他の通信システムに接続されてよい。通信デバイスに選択された値を識別し、選択された値を用いたネットワーク上での以後のデータ転送のためにデバイスを設定するにあたり、出力が用いられることができるこ
とのみが不可欠の要素である。例えば、以後の安全なデータ転送がケーブルテレビのネットワーク上で生じる一方、出力および通信デバイスはインターネットに接続されてよい。
【0016】
値が識別されるパラメータは以下を含む、すなわち:
・キー転送プロトコルなどのプロトコル
・暗号アルゴリズム
・キーおよびキー長さ
・ブロック暗号におけるブロック長さ
・キーなし“ゼロ知識”方法
・多様なコードの実施
このようなパラメータに対する値は高レベルまたは低レベルであってよい。すなわち、あるパラメータに対する選択的な値は、例えば他のアルゴリズムに代替するあるアルゴリズムなど全てのパラメータが変更されるべきであること、またはただパラメータが異なるように操作されるべきであることなどを示してよい。例えば、ある“アルゴリズム”パラメータに対する値はまず、AES(Advanced Encryption Standard)アルゴリズムが用いられるべきであることを、そして次に、RC4(その他の既知の暗号化アルゴリズム)が用いられるべきであることを示してよい。または、ある“アルゴリズム”パラメータに対する異なる値は、例えばブロック暗号で用いられる反復回数を設定することで、単にアルゴリズムを調整してもよい。
【0017】
1以上の値が設定できる、暗号アルゴリズムのその他の例は、マスター暗号化アルゴリズムである。1つのマスター暗号化アルゴリズムから、どれも不正侵入が困難である、何千もの派生物を生じることが可能である。
この場合の値は用いられた派生物を選択する働きをする。
【0018】
上記で、多様なコードの実施が、値が選択されることのできるパラメータとして言及された。これは、アルゴリズムを実施するためにコンピュータ装置上に存在するコードがケース毎に異なるセキュリティ技術である。アルゴリズムは同じ結果を出現させるのであるが、ハッカーがアルゴリズムの操作中に目にする実際のコードは、ケース毎により全く異なる。
【0019】
ルールと言及されているが、本発明の実施形態の文脈における“ルール”は、特別な意味を有することが意図されているわけではなく、ただ単にセキュリティ管理装置が受信したデータを処理し、1以上のパラメータに対する値を選択するために用いることのできる操作を提供するだけである。受信されたデータはそれ自身が1以上の値、または選択される、値に対する識別子を提供してもよい。この場合、“ルール”は装置が適切に、単に1以上の値、または識別子を引用し出力するよう操作してもよい。または、ルールは、装置が、時刻、1以上の通信デバイスのネットワーク上の位置、コンテンツへのアクセスや購読料の支払などのネットワーク活動、ユーザに対する識別データ、および/または活動の歴史的パターン、などの値を選択することを可能とする前に、多数の決定基準を考慮に入れてもよい。
【0020】
ルールは異なる方法で実施されることができ、例えば制約ベースプログラムまたはエキスパートシステムとして表されてよい。しかし、例えば“If(条件A)、then(値X、Y)”などの単純論理もまた適切である。
【0021】
本発明のある実施形態でネットワークに接続された通信デバイスは使用にあたり、安全なデータの送信機および/または受信機から構成されてよい。セキュリティシステムはそれ自身、安全なデータ転送が意図されるネットワークに接続されてよいが、それは不可欠の要素ではない。値、または値に対する識別子を通信デバイスに送るのに、代わりにその
他のルートを用いてもよい。
【0022】
本発明の実施形態は、ネットワークに接続された通信デバイスへの、またはそこからの、安全なデータ転送を提供できる。セキュリティ管理装置により選択されたパラメータに対する値が少なくとも部分的にネットワークの位置に依存するように、ルールデータストアに格納された少なくとも1つのルールがネットワーク位置データから構成されることが好ましい。このような値とワークの位置データは例えば、セキュリティ管理装置があるサブネットワークを識別でき、もしくはこれはセキュリティ管理装置があるネットワークに接続された1以上の通信デバイスに特有であってもよい。これはセキュリティ管理装置をして、ネットワーク内の異なるデータパスに対する異なる値を設定することを可能とする。したがって、もしあるデータパスに障害が起きた場合、ネットワーク内の他のものも同じようにすぐに障害が起きるわけではない。
【0023】
ネットワークの位置への依存はセキュリティ管理装置を高柔軟性とする。例えば、デジタルテレビネットワークにおいて、例えば同じ家のなかの異なるセットトップボックスなどの、地理上の同じ位置にある個々の通信デバイスへのデータ転送に用いるセキュリティシステムのパラメータに対する異なる値を設定することが可能となる。このレベルでは、ルールにより構成されるネットワーク位置データは1以上の個々の通信デバイスのネットワークアドレスであってよい。
【0024】
本発明の第2の態様によると、
i) セキュリティシステムの1以上のパラメータに対する値を選択するセキュリティ管理装置と、
ii) 通信デバイスに選択された値を識別するために用いる出力、とから構成され、
装置は、ネットワークを用いる1つ以上の通信デバイスへのまたは通信デバイスからの以後の安全なデータ転送に用いるために、1以上のルールを用いて値を選択するように、また、出力を用いて通信デバイスのうちの1以上に選択された値を識別するように構成され、システムの使用にあたり、1以上のルールのうち少なくとも1つは、ネットワーク位置データから構成され、したがって装置は少なくとも部分的にネットワークの位置に依存する値を選択するよう構成されることを特徴とする、
ネットワークに接続された通信デバイスへのまたは通信デバイスからの、安全なデータ転送に用いるためのセキュリティシステム、が提供される。
【0025】
このような配置は、セキュリティシステムに、ネットワーク内における多様性の強力な能力を与える。すなわち、ネットワーク内の異なる位置に対して異なる、セキュリティシステムのパラメータに対する値を設定することが可能である。これはデータ転送の安全性が破られうる範囲を再度制限する。ネットワーク位置データは、例えば、ネットワークのサブネットワーク、または1以上の通信デバイスに対するネットワークアドレスを識別するデータから構成されてよい。
【0026】
本発明の第1の態様における実施形態にあるように、システムが、値を選択するのに受信データを処理するにあたり装置が用いるように、1以上のルールを格納するルールデータストアからさらに構成されることは都合が良い。
【0027】
好適には、本発明の第2の態様における実施形態は、本発明の第1の態様における実施形態の、1つ以上の特徴を含む。例えば、とりわけ、本発明の第2の態様における実施形態は、データを受信する入力と、受信したデータにしたがってセキュリティシステムの1以上のパラメータに対する値を選択するよう構成されるセキュリティ管理装置をさらに含んでもよい。このことは、セキュリティシステムに、上述のネットワーク内の多様性と、動的応答の強力な組み合わせを与える。
【0028】
本発明の実施形態によるセキュリティシステムの有用な構成要素は、システムの使用中に生じるデータをモニターする活動モニターである。値を選択するルールの少なくとも1つは、選択された値が少なくとも部分的にはモニターされたデータに依存するよう、動作するように配置されてよい。このことは、セキュリティシステムが、その他の状況にあっては応答に至らないであろう活動に、応答することを可能にする。例えば、新しいネットワークの位置のユーザによるアクセスは、初めの場合では応答に至らないであろうが、所定の回数より多く、決められた間隔で繰り返されると、応答に至るであろう。このようにモニターされるデータの例は、ネットワーク位置データ、システムに選択された値、ユーザの識別データを含む。
【0029】
代替的な配置において、上記のような活動モニターは、上記のセキュリティシステム内よりはむしろ、セキュリティシステムとともに用いる通信デバイスの一部分として備えられてよい。したがって、上記のセキュリティシステムとともに用いる、新規で発明性のある通信デバイスは、少なくとも1つの他の通信デバイスによってネットワーク活動をモニターし、モニターした活動をセキュリティシステムが値の選択において利用可能であるようにする活動モニターから構成される。
【0030】
通信デバイスは事実上、使用中の通信システムの送信機であり受信機であり、したがって同じ発明の関連する態様と見なされることに留意するべきであろう。
【0031】
セキュリティシステムと用いる通信デバイスが活動モニターを有するか否かに関わらず、セキュリティシステムの1以上のパラメータに対する1以上の選択された値を実施するよう設定されることができるデバイスは、デバイスが1以上の識別子を受け取り次第設定できるように、1以上のパラメータに対する値とこれらの値に対する識別子との間の関係を格納する、値データストアから構成されることが好ましい。このことは、実際値がデバイスに送信される必要なく、値に対する識別子のみで、デバイスが設定されることを可能にする。
【0032】
本発明の第3の様態によると、
i) 刺激データを受信するステップと、
ii) 一組の1以上の決定基準内で識別された現在のデータにアクセスするステップと、
iii) 刺激データを現在データと一緒に処理し、少なくとも1つのセキュリティパラメータの少なくとも1つの値を選択するステップと、
iv) 2つ以上の通信デバイスに、少なくとも1つの選択された値から構成される信号を出力するステップとから構成される、
データ転送を保護する、選択可能な値を有する1つ以上のセキュリティパラメータを用いて、ネットワークに接続された通信デバイス間のデータ転送を保護する方法、が提供される。
【0033】
刺激データは、通信デバイスが接続されているネットワークから受信されてもよく、異なるネットワークから受信されてもよい。
【0034】
本発明の第3の態様における方法は、現在データを提供するために、ネットワーク上の保護されたデータ転送に関する活動をモニターするステップからさらに構成されてもよい。このような方法は同様に、または代替的に、刺激データの処理に先立ち、現在データを処理するステップから構成される。このことは、ネットワーック上の保護されたデータ転送に関するふるまいのパターン、例えば使用超過時間や地理的集積性などが、考慮に入れられることを可能とする。
【0035】
本発明の実施形態によるセキュリティシステムはここに、例示の目的のみに、以下の図面を参照して説明される。
【発明を実施するための最良の形態】
【0036】
1. ネットワーク概観
図1を参照すると、セキュリティシステムの全体的な役割は、ネットワーク145に接続された通信デバイス115、120、150間のデータパスを保護することである。ここに説明される実施形態において、通信デバイスは“発行”デバイス150および、家庭内施設105に設置されたパーソナルコンピュータ120およびセットトップボックス115を有するテレビなどの少なくとも2つの受信デバイスから構成される(図1に示されるように、受信デバイス115および120は同じサブネットワーク125に接続されているが、このことは不可欠の要素ではない)。
【0037】
セキュリティシステムは主として、コンピューティング・プラットフォーム上で動作し、通信デバイス115、120、150に接続されるセキュリティエンジン100を提供するソフトウェアプロセスから構成される。セキュリティシステムが通信デバイス115、120、150間のデータパスを保護する方法は、暗号キー、アルゴリズム、プロトコルなどの多様なセキュリティパラメータに対する一連の値を選択し、発行デバイス150およびその受信デバイス115、120に、それらのデバイス間の安全な通信のために、その一連の値を用いるよう指示するものである。セキュリティエンジン100は実施中の一連の値を、動的ベースでいつでも変更することができる。
【0038】
セキュリティエンジン100は、リアルタイムで受信されたデータに基づいて、またはルールベースアプローチを用いる他の基準に基づいて、これらの変更をすることができる。もしどの時点においても実施中の一連の値が予想できない場合は、これはセキュリティの強さを明らかに改善することができ、これらは“2.セキュリティエンジン”においてさらに説明される。
【0039】
セキュリティシステムが利用可能なそれぞれの一連の値は以後、“ポリシー”と呼ばれる。したがって、“ポリシーSP1”などの単一のポリシーは、一連の1以上の特定のアルゴリズム、プロトコル、設定、および/またはその他のパラメータ値を表す。セキュリティエンジン100が選択にあたり利用可能なポリシーは、データベース140に格納されている。
【0040】
ネットワーク145内の異なるデータパスは、どの時点においても、実施中の異なるポリシーを有することが可能である。セキュリティエンジン100は、例えば、それら個々のネットワークの位置によって、またはサブネットワークによって、同じポリシーを用いるという指示に対して一連の通信デバイス115、120、150を選択することにより、またはその他の適切な手段によって、それを実施する。
【0041】
管理者のドメイン110は、セキュリティエンジン100がセキュリティオペレータによって、例えば、オリジナルの設定、更新および修正について制御されることを可能にし、また離れたデータベース140は管理者のドメイン110およびセキュリティエンジン100のどちらにもアクセス可能である。
【0042】
管理者のドメイン110を使用するオペレータは、多くのプロトコルを選択したり、それらのプロトコルのどのパラメータが変更できるかを設定したり、サブネットワークとして扱われるべき通信デバイスの組を選択したりという、セキュリティエンジン100が下すことのできる決定の範囲を確定することができるが、以後セキュリティエンジン100
は、通信デバイス115、120、150間のデータ転送を安全にするために用いられるプロトコルおよびアルゴリズムの選択、実施および設定を命令し、通信デバイス115、120、150は、“命令で”それを実施することを除いては、決定に関与しない。
【0043】
図1に示された配置は不可欠なものではなく、ソフトウェアプロセスおよびデータの位置は設計や状況の問題であることが理解されるであろう。例えば、管理者のドメイン110、セキュリティエンジン100およびデータベース140が、全て同じサーバのもしくは他のコンピューティング・プラットフォームの同一場所に配置されてもよい。さらに、セキュリティエンジン100は、保護されるべきものと同じくネットワーク145に接続されて示されているが、これは不可欠の要素ではない。セキュリティエンジン100が発行および受信通信デバイス115、120、150と通信できることのみが不可欠であり、これは図4に示されるように、離れたネットワークにわたって可能である。
2.セキュリティエンジン
図2を参照すると、セキュリティエンジン100は、決定基準を踏まえてルールを適用することで、どの時点においても、ネットワーク内のどの位置においても、どのセキュリティポリシーが有効であるかを決定する。決定は刺激によりトリガされ、セキュリティエンジン100は、オペレータが管理者のドメイン110もしくはどこか他の場所から入力すると、ネットワークを介して刺激を受け取ることができる、ネットワーク145へのインターフェース210を有する。
【0044】
刺激、決定基準およびルールはそれぞれ、後により詳しく説明され、その後に、セキュリティエンジン100が選択において利用可能なポリシーが説明される。図2に示されるように、これらはセキュリティエンジン100と同じ場所に配置されるデータ記憶装置200に格納されるか、データストア140か管理者のドメイン110にあって遠隔に利用可能であってよい。しかし、セキュリティ上の理由から、これらはローカルデータ記憶装置200に格納されることが好ましい。
2.1 刺激
セキュリティエンジン100は多くの刺激により、どのポリシーが使用されるべきかを決定するようトリガされてよい。これらは例えば次の1以上を含むことができる、すなわち:
・例えば発行デバイス150と受信デバイス115、120間などの通信デバイス115、120、150の間、相互作用
・通信デバイス115、120、150のいずれかとその他の存在間の相互作用で、通信デバイス115、120、150もしくはその他のネットワークに接続された存在にその他のプロセスを含んでもよい
・時刻
・人の介入
・計画的なポリシーの変更
これらの刺激は、ネットワーク145経由でインターフェース210を介して受信されるか、セキュリティエンジン100内部にあるかであってよい。例えば、計画的なポリシーの変更および時刻に基づくポリシーの変更は、セキュリティエンジン100内部の、もしくはそれに関連する、クロック処理から生じうる。人の介入は管理者のドメイン110からオペレータによってなされる。
【0045】
通信デバイス115、120、150間の、または通信デバイス115、120、150とその他の存在の間の、相互作用から生じる刺激は、通常1以上の通信デバイスによってセキュリティエンジン100に通信され、したがってインターフェース210を介して受信されてよい。
【0046】
刺激のように起こりうる相互作用は、例えば受信デバイス115、120によって、ユ
ーザの活動から生じうる。システムにログオンするユーザは、認証のためのユーザIDとパスワードを提供してもよく、認証されたIDは、そのユーザの受信デバイスとユーザがアクセスしたサービスの供給者のドメイン間のデータパスに対する新しいセキュリティポリシーを提供する刺激として、セキュリティエンジン100に渡されてもよい。あるいはユーザは、高いセキュリティ格付けを有するデータをダウンロードするデータパスをセットアップするべく、または購読料を支払うべく、通信デバイスを用いたかもしれない。これらのどちらも、新しいポリシーを特定のデータパスにインストールする刺激として、通信デバイスによってセキュリティエンジン100に同じように報告されるであろう。
2.2 決定基準
一度刺激が生じると、セキュリティエンジン100は、新しいポリシーをデータパスにインストールする際に、いくつかの決定基準のうちのいずれかを考慮に入れることができる。例えば、セキュリティポリシーエンジンは、次の基準のうちの1以上を考慮に入れるであろう、すなわち:
1.日付/時刻
2.発行者もしくは消費者の身元
3.コンテンツへのアクセスや、購読料の支払いなどの、発行者もしくは消費者によって行われているアクション
4.ネットワーク内における、発行者もしくは消費者の論理的もしくは物理的な位置
5.用いられているデバイス
6.ネットワークオペレーターによって設定されたパラメータ
7.消費者/発行者間の、またはエンドユーザ/ネットワークオペレーター間の購読状況
8.上記の1以上に関係するヒストリ
9.前回適用されたポリシーのヒストリ
上述のように、例えば“発行者もしくは消費者によって行われているアクション”など、これらのうちのいくつかは、通信デバイス115、120、150からの報告の形で刺激として起こりうる。いくつかはその他のプロセスから利用可能であろう。例えば、購読状況は通常、購読モニターサービスから利用可能であろう。しかし、セキュリティエンジン100は、他の方法では利用できないアスペクトを追跡するために、継続データ処理を行うようにも設計されることができる。例えば、前回適用されたポリシーのヒストリは、その他のプロセスによってはモニターされにくい。
2.3 ルール
一度セキュリティエンジン100が決定を下すためにトリガされると、それは決定基準を処理するにあたりルールを参照し、新しいセキュリティポリシーに到達する。セキュリティエンジンの異なる配置および実施は、異なるルールを使用し、ルールを選択するのに異なる決定基準を適用することができる。しかし、ルールの例は以下のようである、すなわち:
R1: IF
条件A、BおよびDが満たされる
THEN
火曜日に、ポリシーSP1をマンチェスターで、SP2をロンドンで、そしてSP2をその他全ての場所で実行する;
R2: IF
条件BおよびEが満たされる
THEN
水曜日に、SP5を用いて、チャンネル17を見るものを除いて、全ての奇数番地をSP1上で、および全ての偶数番地をSP2上で実行する
R3: IF
条件Aが満たされる
THEN
ルールR1またはR2が適用されない限りは、ランダムなポリシーをネットワークのランダムな箇所で用いる
これらルールはそれぞれ場所に依存していることが注目に値する。これはネットワーク内での多様性をもたらす。
【0047】
上に記載されたようなルールは、現実世界におけるそれらの効果を示すために記載されたものである。実際面では、ルールはネットワークの位置に関して記載される可能性が高い。例えば、マンチェスターとロンドンはサブネットワークとしてのセキュリティエンジン100と特定されるだろうし、奇数および偶数の番地は、購読者の記録から、共通のアドレスに登録された特定の通信デバイス115、120にネットワークアドレスを与えるものと解釈されるであろう。
【0048】
このようにネットワークの位置を組み込んだルールは、同じ家の中の個々のセットトップボックスであっても異なるセキュリティポリシーを割り当てることができることを意味する。さらに、刺激は、例えば発行デバイス150と受信デバイス115、120間などの、通信デバイス115、120、150間の相互作用も含むことができるため、個々のセッションであっても、または特定の個人を含むセッションであっても、異なるポリシーが割り当てられることができる。
【0049】
上に記載されたようなルールは、ルールを適用する前に、満たされるべき条件を組み込む。これらの条件は通常、上記の1以上の決定基準に対する特定の値に基づく。条件およびそれらの使用は、下の“3.使用中のセキュリティエンジン”においてさらに説明される。
【0050】
セキュリティエンジン100がポリシーの変更を選択、および/または、実施する方法は、比較的予測不可能であることが好ましい。このことは例えば、上記でさらに説明されているようにシステムの歴史的なふるまいに基づくものであるが、その他の要素として、適用されたルールの選択がある。既知の状況において適用され、またセキュリティエンジン100がルールの中からランダムな選択をするように、1より多いルールを含むことが可能である。
2.4 ポリシー
一度セキュリティエンジン100が決定基準にルールを適用すると、これは、関連のある通信デバイス115、120、150に実施するために送信されるポリシーを選択することができる。ポリシーは、ネットワーク上のシステム同士でデータを交換するために、方法、手段、プロトコルとそれらの設定を含む、これら全てのパラメータの集合として記述されてよい。つまり、システム間の通信を-1対1でも、1対他でも、他対1でも-稼働させる全てである。
【0051】
いくつかのパラメータは、それらがより直ちに用いることができる点で、その他のものより適切であり、実用的であり、優れている。例えば、キーの長さやプロトコルを変更することは、ネットワークを攻撃に抵抗できるものとするには大変有効である。しかし、セキュリティエンジン100の設計にあたっては、利用可能なポリシーの選択は、安全性に多様な効果を提供するが、ネットワークの使用、およびネットワークに接続されたデバイスにおけるコンピュータの処理能力において効率的な、一組のポリシーを選択するまでに大幅に減少する。例えば、パケットによるネットワークの過負荷をもたらさない、またはエンドポイント同士の、低待ち時間のパスに依存しないプロトコルを選択することが好ましい。全体的な構想はこのようである。すなわち、もしハッカーが何とかしてポリシーの1つを破ったとき、その他の使用中のポリシーは、異なるポリシーが有効であるとき、最初の不法行為が他の場所で、別の時間に、広がることを防ぐのに充分なほどに多様である。
【0052】
セキュリティポリシーは次のどれか1つ以上に対する一組の値である、すなわち:
-ランダムキープロトコルなどのプロトコル、また、DH(Diffie-Hellman)キー交換などのプロトコルのどの設定が用いられるべきか
-AES(Advanced Encryption Standard)やRC4(既知の暗号化アルゴリズム)などの暗号アルゴリズム、および128ビットもしくは1024ビットなどのこれらの設定
-ある特定のアルゴリズムが暗号化データを出力するのに用いる繰り返し数
-キーおよびキー長さ
-キー転送プロトコル
-キーが有効である期間
-キーなし“ゼロ知識”方法
-多様なコードの実施
セキュリティポリシーの例は:
SP1: 128ビットAES10ラウンド
SP2: ランダムキーおよびDHキー交換を有する1024ビットRC4
2.5 値をデバイスに送る
一度ポリシーが選択されると、それを関連のあるデータパスに実施することが必要である。これは、ポリシー識別子またはポリシーの実際の値を、それら自身を適切に設定することで応答するところの関連の通信デバイス115、120、150に送信することで、セキュリティエンジン100によって直接的になされてよい。あるいは、これは間接的に、通信デバイスの設定手段(図示されない)の識別子もしくは値を送信することでなされてもよい。間接的方法は例えば、通信デバイス115、120、150のための先行する設定手段がある場合に選択されてもよい。どちらの場合でも、特に、通信デバイス115、120、150間で既に通信が進行中の場合、別々のデバイス同士で変更を同期することが必要であろう。
【0053】
ポリシーデータを通信デバイス115、120、150へ送出する間、これが妨害されないことを確保することは明らかに重要である。セキュリティエンジン100が、データパスが本発明の実施形態により保護されるところのネットワーク145によってデバイスに接続されている場合には、デバイスやその他の場所へのポリシーデータの送信を保護するためにポリシーが実施されてよい。しかし、セキュリティエンジン100は、その他の手段で通信デバイス115、120、150に接続されてもよく、ポリシーを保護するための既知の安全な方法が用いられてよい。
3. 使用中のセキュリティエンジン
図3を参照すると、セキュリティエンジン100の操作のフロー図は以下のようである、すなわち:
ステップ300:ネットワークが動作している;
ステップ305:刺激が到着する、例えば新しいユーザIDが通信デバイス115によって送られる;
ステップ310:セキュリティエンジン100は新しいユーザIDを受け取るのに適切なルールを選択し、適切なポリシーを選択するのにルールを実行するために必要なデータを集め、このデータは通信デバイス115のための現在のネットワークの位置、リクエストされるサービス、ユーザIDに関する購読状況などである;
ステップ315:セキュリティエンジン100はルールを実行し1つ以上のポリシーを選択する;
ステップ320:セキュリティエンジン100はポリシーにより命令された値を出力し、適切な通信デバイス115、120、150を設定し、ステップ300に戻り、次の刺激を待つ。
【0054】
図4から図8を参照すると、ネットワークの位置の多様性を有する多様なポリシーの効果は、実施中のセキュリティポリシーが、ネットワーク規模もしくは、例えば家庭内の1つのセットトップボックス115のように特定の通信デバイスのレベルまで位置特有のものであってよいことである。一連の計画が続いて起こる。
【0055】
以下では、ネットワーク145内のデータパスを保護することが可能であろう一連のポリシーは、発行人により選択されたセキュリティ製品に依存してもよいことに留意するべきであろう。より安い製品はより小さいまたはシンプルな一連のポリシーをカバーするような、一連のセキュリティ製品を有することが可能である。以下において、セキュリティ製品は異なるレベルの安全性(“SL1”、“SL2”など)を提供するものとして扱われる。安全性の各レベルは、複雑性の特定のレベルまでをサポートする。
【0056】
図4を参照すると、デジタルテレビサービスなどのサービスは、ヘッドエンド150から一連のサブネットワーク145A、145B、145Cへ配信される。したがってヘッドエンドは、発行通信デバイス150を構成し、家庭内施設105に、多様なサブネットワーク(図中には各受信通信デバイス115、120の一例のみが示されている)に接続された受信通信デバイス115、120がある。
【0057】
セキュリティエンジン100はヘッドエンド150および家庭内施設105に、インターネットなどの異なるネットワーク400を介して接続されている(これは図4にのみ示されているが、図5および図8に示される配置にもあてはまる)。
【0058】
サービスの起動にあたって、サブネットワーク145A、145B、145Cにわたって、そして各受信通信デバイス115、120に対して実施中のセキュリティポリシーは同一である。これは、全ての受信通信デバイス115、120について示されるパターンによって図4に示される。
【0059】
図5を参照すると、許可された視聴者のみへの新しいサービスが導入される。ヘッドエンド150は、新しいサービス、例えば“S3a”を、報告を刺激として受け取るセキュリティエンジン100に報告する。報告は単にネットワークおよび新しいサービスに対する識別子を含むものでよい。セキュリティエンジン100は、新しいサービス刺激に適切なルールを選択し、ルールを実行するのに必要なデータを集め、1以上の適切なポリシーを選択し実施する必要がある。したがってこれはデータストア200、140を、例えばルックアップテーブルを参照し、どのルールを実行すべきか、そしてどのデータアイテムを集めるべきかを見つける。ルックアップテーブルは新しいサービス(例えば“S3a”)を、ルール(例えばR15)およびデータアイテムに対してリストにする。ルックアップテーブルへのエントリーは例えば:
“S3a:R15(ネットワーク145A、145B、145Cでの現在のセキュリティレベル、発行人の保有する現在のセキュリティ製品)”
などを示してよい。
【0060】
したがってセキュリティエンジン100は、ネットワーク145A、145B、145Cにおいて実施されているポリシーの現在のセキュリティレベルおよび発行人によって負担されている現在のセキュリティ製品に関するデータを集める必要がある。ルールR15によると、新しいサービスS3aはセキュリティレベル“SL5”を要求してもよい。このデータを入手すると、エンジン100は以下のように示されるR15を実行する、すなわち:
“R15:
IF
現在のセキュリティレベル=SL5
or
発行人により負担される現在のセキュリティ製品がSL5をカバーする
THEN
各サブネットワーク上で、ポリシーSP1、SP2、SP3、SP4...を順に実行する”
R15を実施するには、セキュリティエンジン100はヘッドエンド150および各サブネットワーク145A、145B、145C上の通信デバイスを設定し、各サブネットワークのポリシーにしたがって適切な値をロードする必要がある。
【0061】
上記のような刺激に応答するために、セキュリティエンジン100は発行人にネットワークおよび製品の最新のステイタスデータを要求する。これはセキュリティエンジン100によって保持されてもよく、または管理者のドメイン110から要求に応じて入手されてもよい。
【0062】
ルールR15が実行されない場合もありうる。例えば、発行人はSL5を含む製品を購入しなかったかもしれない。特に後者の場合は、セキュリティエンジン100はヘッドエンド150にその状況を知らせるためにメッセージを返してもよい。
【0063】
図6および図7を参照すると、図5に関連して説明されている計画は、結果として異なるセキュリティレベルを実施することとなってもよい。図6において、各サブネットワーク上で交互の施設に異なるポリシーが実施され、図7において、ポリシーは設備をこえてランダムに配布されている。
【0064】
図8を参照すると、刺激は、ユーザの通信デバイス115、120で生じてよく、結果は図8のサブネットワークA上に示されるようであってもよい。例えば、施設“D”において、全ての通信デバイスは、ポリシーSP16を実行している1つのデバイスをのぞくと、全てポリシーSP3を実行している。これは、ユーザが異なるセキュリティレベルを有する新しいサービスにアクセスしたときに起こりうる。この場合、施設“D”の通信デバイスもしくはヘッドエンド150が、報告を刺激としてセキュリティエンジン100に送ってもよい。報告は例えば、新しいサービスのコード(“S18”)、ユーザID(“U3981”)、および通信デバイスのネットワークアドレス(“NA369.09156”)から構成されてよい。
【0065】
再び、セキュリティエンジン100は、新しいサービス刺激に適切なルールを選択し、ルールを実行するのに必要なデータを集め、適切なポリシーを選択し実施する必要がある。したがってこれはデータストア200、140を参照し、どのルールを実行するべきか、どのデータアイテムを集めるべきかを見つける。ルックアップテーブルにおける、新しいサービスS18へのエントリーは、例えば:
“S18:R36(サブネットワーク内の現在のセキュリティレベル、発行人の保有する現在のセキュリティ製品、デバイスネットワークアドレスの現在のポリシー、ユーザIDに対する購読状況)”
を示してよい。
【0066】
一度セキュリティエンジン100が指定されたデータを集めると、これはR36を実行できる。例えば、R36は以下のようであってよい、すなわち:
“R36:
IF
[サブネットワーク内の現在のセキュリティレベル=SL21 OR 発行人の保有する現在のセキュリティ製品はSL21をカバーする]
デバイスネットワークアドレスの現在のポリシー≠SP16
ユーザIDに対する現在の購読状況はS18をカバーする
THEN
デバイスネットワークアドレスには、SP16を実行する”
R36の基準が満たされる限り、ポリシーSP16に対する値はヘッドエンド150および関連の通信デバイスにおいて設定される必要がある。
【0067】
セキュリティエンジン100は、ポリシーが、数多くの方法を用いて実施されることを可能にする、すなわち:
-発行および受信通信デバイス115、120、150に、どのポリシーが用いられるべきかを指示するためにメッセージを送信する
-発行および受信通信デバイス115、120、150にポリシーに関連する値を送信する
-上記の方法の組み合わせを用いる
ある特定の実施において、セキュリティエンジン100は、デジタルテレビ信号が送信されるネットワーク内でのセキュリティポリシーを決定するために用いられる。ヘッドエンド150および受信通信デバイス115間のデータ転送プロセスは、ヘッドエンド150のデタルテレビスクランブルデバイスおよび、受信デバイス115のデジタルテレビ受信機のスクランブル解除デバイスに組み込まれている。ヘッドエンド150および受信通信デバイス115は、それぞれの方向にデータ通信パスを実施するのに異なる技術が用いられている場合でも、双方向通信が可能なネットワーク145A、145B、145Cに接続されている。
【0068】
セキュリティエンジン100に、いつ何時、どのセキュリティポリシーが実施中であるかを決定するルールがロードされる。エンジン100はセキュリティポリシーをデータ転送プロセス内にネットワークデータ転送パスを経由してロードする。決定点(つまり、どのセキュリティポリシーが用いられるべきかが決定される時点)にくると、セキュリティエンジン100は上記のようにルールを参照し、どのポリシーが用いられるべきかを決定する。一度決定がなされると、セキュリティエンジン100は、ポリシーデータをセキュリティポリシーストア200からヘッドエンド150および受信通信デバイス115のデータ転送プロセスにロードすることで、ポリシーを実施する。セキュリティエンジン100が、特定のポリシーが既にロードされていることに気づいた場合は、このステップは省略される。一度セキュリティポリシーがデータ転送プロセスにおいて使用可能になると、セキュリティエンジン100はデータ転送プロセスにメッセージを送信することにより、ポリシーを作動させる。そこで、適切かつ都合の良い時点で、ヘッドエンド150および受信通信デバイス115は新しいセキュリティポリシーを用いるよう切り替える。
4. ネットワーク活動への応答
上述のように、一度刺激が生じると、セキュリティエンジン100は、新しいポリシーをデータパスにインストールするにあたり、いくつかの決定基準から任意のものを検討してよい。可能性のある一組の基準は“2.2 決定基準”の見出しで上記にリストされており、システムの使用時の決定基準に関係するヒストリと、システムの使用時のポリシー選択のヒストリとを含む。
【0069】
図2を参照すると、セキュリティエンジン100は、とりわけヒストリのシステムデータを格納するデータストア200を備えている。これは例えば、システムの使用中の決定基準に関係するデータ、および/またはポリシー選択データを含んでよい。
【0070】
セキュリティエンジン100による、決定基準に関連するデータのヒストリへの応答の例は、
“R98:
IF
[サブネットワークにおける現在のセキュリティレベル=SL43 OR 発行人の保有する現在のセキュリティ製品はSL43をカバーする]
デバイスネットワークアドレスに対する現在のポリシー≠SP18
ユーザIDに対する現在の購読状況は(関連サービス)をカバーする
ユーザIDに対する新しいネットワークの位置は5営業日の間に6度繰り返された
THEN
デバイスネットワークアドレスには、SP18を実行する”
を示すルールである。
【0071】
このようなルールは、もしユーザがデバイスを新しい位置で定期的に使用し始めた時、この新しい位置へのデータパスを保護するセキュリティレベルは自動的に更新されるという効果を有する。
【0072】
セキュリティエンジン100による、ポリシー選択に関連するデータのヒストリへの応答の例は、
“R83:
IF
提示されたデバイスネットワークアドレスに対する新しいポリシー=SP17
提示された新しいポリシーは既に、同じサブネットワーク上の5つの他のデバイスネットワークアドレスに対して選択されている
THEN
デバイスネットワークアドレスには、SP35〜SP40からランダムに選択された新しいポリシーを実行する”
を示すルールである。
【0073】
このようなルールはネットワークアドレスに対する新しいポリシーが選択されるが実施されなかった後に実行されてよい。これは、もし同じポリシーが既に同じサブネットワーク上の他のいくつかのデバイスにおいて実施中であった場合、異なるポリシー群からのポリシーが用いられるべきである、という効果を有する。
5. 通信デバイス115、120、150
図9を参照すると、通信デバイス115、120、150は一般的に既知のタイプである。しかし、これらには本発明の実施形態を実施するために備えられる、新規の特徴がある。例えば、セキュリティエンジン100が通信デバイスにおける活動に応答するためには、活動がセキュリティエンジン100に報告される必要がある。デジタルテレビシステムのヘッドエンドなどの発行デバイス150にとって、関連する活動のセキュリティエンジン100に通知するように構成されることは都合が良いであろう。したがって発行デバイス150は、例えば新しいユーザID(識別子)または現在のユーザIDに対する新しいネットワーク位置などを組み込むリクエストなどの、関連するデータに関する受信デバイス115、120からの通信をモニターする、モニター920から構成されてよい。モニター920によって検知された任意の関連データがセキュリティエンジン100への出力910にコピーされるか、蓄積され処理されたデータが用いられるかする。これは、通常ではセキュリティエンジン100に対する刺激として扱われないであろう、通信デバイスにおけるネットワーク活動が、そのように扱われることを可能にする。例えば、異なるネットワークの位置のユーザからの単独のリクエストは、刺激として扱われないであろうが、一方、ある新しいネットワークの位置からのユーザによる複数のリクエストは、刺激として扱われるであろう。モニター920はこのような区別をするために用いられてよい。
【0074】
ネットワーク145内のデータパスに対する実行中のセキュリティポリシーの変更を実施するために、可能な配置は、発行デバイス150がセキュリティエンジン100からの
ポリシーデータを受信し、受信デバイス115、120を適切に設定するために既存の設定機構を用いるものである。もしセキュリティエンジン100が実施されるべきポリシーに対するコードを送信し、発行デバイス150がそのコードを設定目的のために実際の値に翻訳するために用いるためポリシーデータストア900にアクセスすると、安全性が改善される。または、受信デバイス115、120は、実際の値がインストール時やアップデート時に場合によって送信されることをのぞいてはネットワーク125、145、400のどの部分にも送信される必要がないように、ポリシーデータストア900にアクセスしてもよい。
【0075】
本明細書において“〜を含む”の語は、例えば少なくとも以下の“〜によってのみ構成される”および“他のものと一緒に〜も含む”のどちらかの意味を含むように、広く解釈されるよう意図されている。
【0076】
本発明の実施形態は多様なタイプおよび設定のプラットフォームに支えられていることが理解されるべきである。このプラットフォームの存在は本発明の一実施形態に不可欠なものではない。したがって本発明の一実施形態は、1以上のデータ運搬装置に記録されたソフトウェアから構成されてもよく、使用のために適切なプラットフォーム上にロードする信号の形として具体化されてもよい。
【図面の簡単な説明】
【0077】
【図1】ネットワークに接続され、ネットワーク内のデータパスに適用されるセキュリティパラメータを制御する、セキュリティシステムの機能ブロック図である。
【図2】図1に示されるセキュリティシステム内で用いられるセキュリティエンジンの機能ブロック図である。
【図3】使用中のセキュリティエンジンの動作の、フロー図である。
【図4】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図5】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図6】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図7】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図8】使用中のセキュリティエンジンによって適用される、一連のセキュリティ値におけるネットワークの多様性を示す図である。
【図9】図1のセキュリティシステム内で用いられる通信デバイスの機能ブロック図である。
【特許請求の範囲】
【請求項1】
i) データを受信する入力と、
ii) 入力で受信したデータを処理し、セキュリティシステムの1以上のパラメータに対する値を選択するセキュリティ管理装置と、
iii) 通信デバイスに選択された値を識別するのに用いる出力と、から構成され、
ネットワークを用いる前記1以上の通信デバイスへのまたは通信デバイスからの以後の安全なデータ転送に用いるために、装置は前記受信したデータを処理して前記値を選択するように、また前記出力を用いて前記通信デバイスのうちの1以上に対して前記値を識別するように構成されることを特徴とする、
ネットワークに接続された通信デバイスへの、または通信デバイスからの安全なデータ転送に用いるセキュリティシステム。
【請求項2】
装置は、1以上のルールを用いることで、前記受信したデータを処理し前記値を選択するよう構成されることを特徴とする、請求項1に記載のセキュリティシステム。
【請求項3】
システムは、前記1以上のルールを格納するルールデータストアからさらに構成されることを特徴とする、請求項2に記載のセキュリティシステム。
【請求項4】
入力および出力のうち少なくとも1つが、ネットワークから分離した通信パスに接続されていることを特徴とする、請求項1から3のいずれかに記載のセキュリティシステム。
【請求項5】
装置が、前記通信デバイスから受信したデータに少なくとも部分的に依存する少なくとも1つの値を選択するよう構成されるように、入力が、処理されるデータを受信するためシステムの使用時に前記通信デバイスのうち少なくとも1つに接続されることを特徴とする、請求項1から4のいずれかに記載のセキュリティシステム。
【請求項6】
装置が、ネットワーク使用データに少なくとも部分的に依存する少なくとも1つの値を選択するよう構成されるように、入力が、ネットワークの使用に関連するデータを処理するデータ処理装置に接続されることを特徴とする、請求項1から5のいずれかに記載のセキュリティシステム。
【請求項7】
1以上の値が選択されてよい前記1以上のパラメータは、暗号化アルゴリズムの1以上のパラメータから構成されることを特徴とする、請求項1から6のいずれかに記載のセキュリティシステム。
【請求項8】
前記1以上のパラメータは、システムが利用可能な2以上の異なるタイプの暗号化アルゴリズムから選択される、あるタイプの暗号化アルゴリズムから構成されることを特徴とする、請求項7に記載のセキュリティシステム。
【請求項9】
暗号化アルゴリズムはマスター暗号化アルゴリズムから構成され、前記1以上のパラメータはマスター暗号化アルゴリズムから導きだせる2以上の異なる暗号化アルゴリズムから選択される暗号化アルゴリズムから構成されることを特徴とする、請求項7に記載のセキュリティシステム。
【請求項10】
前記1以上のパラメータは、システムが利用可能な2以上の異なるタイプの暗号化キー交換プロトコルから選択される暗号化キー交換プロトコルから構成されることを特徴とする、請求項1から9のいずれかに記載のセキュリティシステム。
【請求項11】
前記1以上のパラメータは暗号化キー交換プロトコルのパラメータから構成されること
を特徴とする、請求項1から10のいずれかに記載のセキュリティシステム。
【請求項12】
暗号化キー交換プロトコルの前記パラメータは、暗号化キー交換プロトコル内で用いられる多くのラウンドから構成されることを特徴とする、請求項11に記載のセキュリティシステム。
【請求項13】
前記1以上のパラメータは、システムが利用可能な2以上の異なるタイプのデータ転送プロトコルから選択されるデータ転送プロトコルから構成されることを特徴とする、請求項1から12のいずれかに記載のセキュリティシステム。
【請求項14】
前記1以上のパラメータはデータ転送プロトコルのパラメータから構成されることを特徴とする、請求項1から13のいずれかに記載のセキュリティシステム。
【請求項15】
システムは、値を含む信号を送信することで、前記出力を用いるよう配置され前記通信デバイスのうちの1以上の前記値を識別することを特徴とする、請求項1から14のいずれかに記載のセキュリティシステム。
【請求項16】
システムは、値の識別子を含む信号を送信することで、前記出力を用いるよう配置され前記通信デバイスのうちの1以上の前記値を識別することを特徴とする、請求項1から15のいずれかに記載のセキュリティシステム。
【請求項17】
システムは、2以上の値の組に対する識別子を含む信号を送信することで、前記出力を用いるよう配置され前記通信デバイスのうちの1以上の前記値を識別することを特徴とする、請求項1から16のいずれかに記載のセキュリティシステム。
【請求項18】
システムが、1以上の通信デバイスの少なくとも部分的にはネットワークの位置に依存する値を識別するよう構成されるように、前記ルールのうちの少なくとも1以上がネットワーク位置データから構成されることを特徴とする、請求項1から17のいずれかに記載のセキュリティシステム。
【請求項19】
ネットワーク位置データは、ネットワーク内の少なくとも1つの通信デバイスのネットワークの位置から構成されることを特徴とする、請求項18に記載のセキュリティシステム。
【請求項20】
ネットワーク位置データがネットワークのサブネットワークを識別することを特徴とする、請求項18に記載のセキュリティシステム。
【請求項21】
システムが、1つ以上の通信デバイスの時間および/または日付に少なくとも部分的に依存する値を識別するよう構成されるように、前記ルールのうち少なくとも1つが、時間および/または日付データから構成されることを特徴とする、請求項1から20のいずれかに記載のセキュリティシステム。
【請求項22】
i) セキュリティシステムの1以上のパラメータに対する値を選択するセキュリティ管理装置と、
ii) 前記通信デバイスに選択された値を識別するのに用いる出力、とから構成され、
装置は、ネットワークを用いる前記1つ以上の通信デバイスへのまたは前記デバイスからの以後の安全なデータ転送に用いるために、1以上のルールを用いて前記値を選択するように、また、前記出力を用いて前記通信デバイスのうちの1以上に選択された値を識別するように構成され、システムの使用にあたり、前記1以上のルールのうち少なくとも1
つは、ネットワーク位置データから構成され、したがって装置は少なくとも部分的にネットワークの位置に依存する値を選択するよう構成されることを特徴とする、
ネットワークに接続された通信デバイスへのまたは通信デバイスからの、安全なデータ転送に用いるセキュリティシステム。
【請求項23】
ネットワーク位置データはネットワーク内の少なくとも1つの通信デバイスのネットワークの位置から構成されることを特徴とする、請求項22に記載のセキュリティシステム。
【請求項24】
ネットワーク位置データはネットワークのサブネットワークを識別することを特徴とする、請求項22に記載のセキュリティシステム。
【請求項25】
前記ルールのうち少なくとも1つはネットワーク位置データに加えデータから構成され、したがって装置は部分的にのみネットワークの位置に依存する少なくとも1つの値を選択するよう構成されることを特徴とする、請求項22から24のいずれかに記載のセキュリティシステム。
【請求項26】
ネットワーク位置データに加え前記データは時間および/または日付データから構成されることを特徴とする、請求項25に記載のセキュリティシステム。
【請求項27】
システムの使用中に生じるデータをモニターする活動モニターからさらに構成され、値を選択する前記ルールのうち少なくとも1つが、選択された値がモニターされたデータに少なくとも部分的に依存するよう動作するように配置されることを特徴とする、請求項1から26のいずれかに記載のセキュリティシステム。
【請求項28】
モニターされたデータはネットワーク位置データから構成されることを特徴とする、請求項27に記載のセキュリティシステム。
【請求項29】
モニターされたデータは選択された値から構成されることを特徴とする、請求項27または28に記載のセキュリティシステム。
【請求項30】
モニターされたデータはユーザ識別データから構成されることを特徴とする、請求項27から29のいずれかに記載のセキュリティシステム。
【請求項31】
請求項1から30のいずれかに記載のセキュリティシステムと用いる通信デバイスであって、セキュリティシステムの1以上のパラメータに対する1以上の選択された値を実施するよう設定可能であり、前記デバイスは、1以上の識別子を受け取り次第設定可能であるように、前記1以上のパラメータに対する値とその値の識別子との関係を格納する値データストアから構成される通信デバイス。
【請求項32】
請求項1から31のいずれかに記載のセキュリティシステムと用いる通信デバイスで、少なくとも1つの他の通信デバイスによってネットワーク活動をモニターし、モニターされた活動をセキュリティシステムが値の選択に用いることを可能とする活動モニターから構成される通信デバイス。
【請求項33】
ii) 刺激データを受信するステップと、
ii) 一組の1以上の決定基準内で識別された現在のデータにアクセスするステップと、
iii) 刺激データを前記現在データと一緒に処理し、少なくとも1つの前記セキュリティパラメータの少なくとも1つの値を選択するステップと、
iv) 2つ以上の通信デバイスに、少なくとも1つの選択された値から構成される信号を出力するステップとから構成される、
データ転送を保護する、選択可能な値を有する1つ以上のセキュリティパラメータを用いて、ネットワークに接続された通信デバイス間のデータ転送を保護する方法。
【請求項34】
前記現在データを提供するために、ネットワーク上の保護されたデータ転送に関する活動をモニターするステップからさらに構成される、請求項33に記載の方法。
【請求項35】
刺激データを処理する前に現在データを処理するステップからさらに構成される、請求項33または34に記載の方法。
【請求項1】
i) データを受信する入力と、
ii) 入力で受信したデータを処理し、セキュリティシステムの1以上のパラメータに対する値を選択するセキュリティ管理装置と、
iii) 通信デバイスに選択された値を識別するのに用いる出力と、から構成され、
ネットワークを用いる前記1以上の通信デバイスへのまたは通信デバイスからの以後の安全なデータ転送に用いるために、装置は前記受信したデータを処理して前記値を選択するように、また前記出力を用いて前記通信デバイスのうちの1以上に対して前記値を識別するように構成されることを特徴とする、
ネットワークに接続された通信デバイスへの、または通信デバイスからの安全なデータ転送に用いるセキュリティシステム。
【請求項2】
装置は、1以上のルールを用いることで、前記受信したデータを処理し前記値を選択するよう構成されることを特徴とする、請求項1に記載のセキュリティシステム。
【請求項3】
システムは、前記1以上のルールを格納するルールデータストアからさらに構成されることを特徴とする、請求項2に記載のセキュリティシステム。
【請求項4】
入力および出力のうち少なくとも1つが、ネットワークから分離した通信パスに接続されていることを特徴とする、請求項1から3のいずれかに記載のセキュリティシステム。
【請求項5】
装置が、前記通信デバイスから受信したデータに少なくとも部分的に依存する少なくとも1つの値を選択するよう構成されるように、入力が、処理されるデータを受信するためシステムの使用時に前記通信デバイスのうち少なくとも1つに接続されることを特徴とする、請求項1から4のいずれかに記載のセキュリティシステム。
【請求項6】
装置が、ネットワーク使用データに少なくとも部分的に依存する少なくとも1つの値を選択するよう構成されるように、入力が、ネットワークの使用に関連するデータを処理するデータ処理装置に接続されることを特徴とする、請求項1から5のいずれかに記載のセキュリティシステム。
【請求項7】
1以上の値が選択されてよい前記1以上のパラメータは、暗号化アルゴリズムの1以上のパラメータから構成されることを特徴とする、請求項1から6のいずれかに記載のセキュリティシステム。
【請求項8】
前記1以上のパラメータは、システムが利用可能な2以上の異なるタイプの暗号化アルゴリズムから選択される、あるタイプの暗号化アルゴリズムから構成されることを特徴とする、請求項7に記載のセキュリティシステム。
【請求項9】
暗号化アルゴリズムはマスター暗号化アルゴリズムから構成され、前記1以上のパラメータはマスター暗号化アルゴリズムから導きだせる2以上の異なる暗号化アルゴリズムから選択される暗号化アルゴリズムから構成されることを特徴とする、請求項7に記載のセキュリティシステム。
【請求項10】
前記1以上のパラメータは、システムが利用可能な2以上の異なるタイプの暗号化キー交換プロトコルから選択される暗号化キー交換プロトコルから構成されることを特徴とする、請求項1から9のいずれかに記載のセキュリティシステム。
【請求項11】
前記1以上のパラメータは暗号化キー交換プロトコルのパラメータから構成されること
を特徴とする、請求項1から10のいずれかに記載のセキュリティシステム。
【請求項12】
暗号化キー交換プロトコルの前記パラメータは、暗号化キー交換プロトコル内で用いられる多くのラウンドから構成されることを特徴とする、請求項11に記載のセキュリティシステム。
【請求項13】
前記1以上のパラメータは、システムが利用可能な2以上の異なるタイプのデータ転送プロトコルから選択されるデータ転送プロトコルから構成されることを特徴とする、請求項1から12のいずれかに記載のセキュリティシステム。
【請求項14】
前記1以上のパラメータはデータ転送プロトコルのパラメータから構成されることを特徴とする、請求項1から13のいずれかに記載のセキュリティシステム。
【請求項15】
システムは、値を含む信号を送信することで、前記出力を用いるよう配置され前記通信デバイスのうちの1以上の前記値を識別することを特徴とする、請求項1から14のいずれかに記載のセキュリティシステム。
【請求項16】
システムは、値の識別子を含む信号を送信することで、前記出力を用いるよう配置され前記通信デバイスのうちの1以上の前記値を識別することを特徴とする、請求項1から15のいずれかに記載のセキュリティシステム。
【請求項17】
システムは、2以上の値の組に対する識別子を含む信号を送信することで、前記出力を用いるよう配置され前記通信デバイスのうちの1以上の前記値を識別することを特徴とする、請求項1から16のいずれかに記載のセキュリティシステム。
【請求項18】
システムが、1以上の通信デバイスの少なくとも部分的にはネットワークの位置に依存する値を識別するよう構成されるように、前記ルールのうちの少なくとも1以上がネットワーク位置データから構成されることを特徴とする、請求項1から17のいずれかに記載のセキュリティシステム。
【請求項19】
ネットワーク位置データは、ネットワーク内の少なくとも1つの通信デバイスのネットワークの位置から構成されることを特徴とする、請求項18に記載のセキュリティシステム。
【請求項20】
ネットワーク位置データがネットワークのサブネットワークを識別することを特徴とする、請求項18に記載のセキュリティシステム。
【請求項21】
システムが、1つ以上の通信デバイスの時間および/または日付に少なくとも部分的に依存する値を識別するよう構成されるように、前記ルールのうち少なくとも1つが、時間および/または日付データから構成されることを特徴とする、請求項1から20のいずれかに記載のセキュリティシステム。
【請求項22】
i) セキュリティシステムの1以上のパラメータに対する値を選択するセキュリティ管理装置と、
ii) 前記通信デバイスに選択された値を識別するのに用いる出力、とから構成され、
装置は、ネットワークを用いる前記1つ以上の通信デバイスへのまたは前記デバイスからの以後の安全なデータ転送に用いるために、1以上のルールを用いて前記値を選択するように、また、前記出力を用いて前記通信デバイスのうちの1以上に選択された値を識別するように構成され、システムの使用にあたり、前記1以上のルールのうち少なくとも1
つは、ネットワーク位置データから構成され、したがって装置は少なくとも部分的にネットワークの位置に依存する値を選択するよう構成されることを特徴とする、
ネットワークに接続された通信デバイスへのまたは通信デバイスからの、安全なデータ転送に用いるセキュリティシステム。
【請求項23】
ネットワーク位置データはネットワーク内の少なくとも1つの通信デバイスのネットワークの位置から構成されることを特徴とする、請求項22に記載のセキュリティシステム。
【請求項24】
ネットワーク位置データはネットワークのサブネットワークを識別することを特徴とする、請求項22に記載のセキュリティシステム。
【請求項25】
前記ルールのうち少なくとも1つはネットワーク位置データに加えデータから構成され、したがって装置は部分的にのみネットワークの位置に依存する少なくとも1つの値を選択するよう構成されることを特徴とする、請求項22から24のいずれかに記載のセキュリティシステム。
【請求項26】
ネットワーク位置データに加え前記データは時間および/または日付データから構成されることを特徴とする、請求項25に記載のセキュリティシステム。
【請求項27】
システムの使用中に生じるデータをモニターする活動モニターからさらに構成され、値を選択する前記ルールのうち少なくとも1つが、選択された値がモニターされたデータに少なくとも部分的に依存するよう動作するように配置されることを特徴とする、請求項1から26のいずれかに記載のセキュリティシステム。
【請求項28】
モニターされたデータはネットワーク位置データから構成されることを特徴とする、請求項27に記載のセキュリティシステム。
【請求項29】
モニターされたデータは選択された値から構成されることを特徴とする、請求項27または28に記載のセキュリティシステム。
【請求項30】
モニターされたデータはユーザ識別データから構成されることを特徴とする、請求項27から29のいずれかに記載のセキュリティシステム。
【請求項31】
請求項1から30のいずれかに記載のセキュリティシステムと用いる通信デバイスであって、セキュリティシステムの1以上のパラメータに対する1以上の選択された値を実施するよう設定可能であり、前記デバイスは、1以上の識別子を受け取り次第設定可能であるように、前記1以上のパラメータに対する値とその値の識別子との関係を格納する値データストアから構成される通信デバイス。
【請求項32】
請求項1から31のいずれかに記載のセキュリティシステムと用いる通信デバイスで、少なくとも1つの他の通信デバイスによってネットワーク活動をモニターし、モニターされた活動をセキュリティシステムが値の選択に用いることを可能とする活動モニターから構成される通信デバイス。
【請求項33】
ii) 刺激データを受信するステップと、
ii) 一組の1以上の決定基準内で識別された現在のデータにアクセスするステップと、
iii) 刺激データを前記現在データと一緒に処理し、少なくとも1つの前記セキュリティパラメータの少なくとも1つの値を選択するステップと、
iv) 2つ以上の通信デバイスに、少なくとも1つの選択された値から構成される信号を出力するステップとから構成される、
データ転送を保護する、選択可能な値を有する1つ以上のセキュリティパラメータを用いて、ネットワークに接続された通信デバイス間のデータ転送を保護する方法。
【請求項34】
前記現在データを提供するために、ネットワーク上の保護されたデータ転送に関する活動をモニターするステップからさらに構成される、請求項33に記載の方法。
【請求項35】
刺激データを処理する前に現在データを処理するステップからさらに構成される、請求項33または34に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2007−505381(P2007−505381A)
【公表日】平成19年3月8日(2007.3.8)
【国際特許分類】
【出願番号】特願2006−525906(P2006−525906)
【出願日】平成16年9月13日(2004.9.13)
【国際出願番号】PCT/GB2004/050008
【国際公開番号】WO2005/025176
【国際公開日】平成17年3月17日(2005.3.17)
【出願人】(506083545)
【氏名又は名称原語表記】PAUL JASON ROGERS
【Fターム(参考)】
【公表日】平成19年3月8日(2007.3.8)
【国際特許分類】
【出願日】平成16年9月13日(2004.9.13)
【国際出願番号】PCT/GB2004/050008
【国際公開番号】WO2005/025176
【国際公開日】平成17年3月17日(2005.3.17)
【出願人】(506083545)
【氏名又は名称原語表記】PAUL JASON ROGERS
【Fターム(参考)】
[ Back to top ]