デバイスインテグリティの認証のための方法及びシステム
【課題】装置におけるエラーを検出し、遠隔のソフトウェアの不正使用又はインサイダ攻撃からネットワーク装置を保護する。
【解決手段】ネットワーク装置は、プロセッサを使用して装置の測定されたインテグリティの値を決定することでインテグリティの認証を行う。測定されたインテグリティの値は、装置の埋め込まれたインテグリティの値とプロセッサにより比較される。比較に基づいて、装置へのポリシーの適用がプロセッサにより容易にされる。
【解決手段】ネットワーク装置は、プロセッサを使用して装置の測定されたインテグリティの値を決定することでインテグリティの認証を行う。測定されたインテグリティの値は、装置の埋め込まれたインテグリティの値とプロセッサにより比較される。比較に基づいて、装置へのポリシーの適用がプロセッサにより容易にされる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク装置に関し、より詳細には、デバイスインテグリティの認証の方法及びシステムに関する。
【背景技術】
【0002】
次世代の使用に準備するため、国家の老朽化している配電網を近代化させる試みが増加している。この近代化は、ネットワーク化されて遠隔制御される多くの産業制御機器により配電網にデジタル化をもたらしている。しかし、これらの機器がどのように相互接続されて通信するかに関する詳細は、独自仕様のままである。近代化により、ますます多くの装置がネットワークに追加され、オープンスタンダード及び技術により実現される。ネットワーク化される機器の例は、電力使用のメータの読み取りを提供する顧客の敷地に配置されるスマートメータである。スマートメータは、制限された保護又は不十分なセキュリティの措置により配置される。幾つかのスマートメータは、メータが何時開いたか又は移動されたかを検出することができる不正検出メカニズムが設けられる場合がある。これに応じて、メータは、シャットダウンするか又は警告信号を送出する。多くの実現では、スマートメータは、あるメータから別のメータに重要データを送出する。ネットワークにおけるあるメータが危険にさらされると、この重要データは、不正利益のためにシステムの動作に悪影響を及ぼすために使用することができる。現在のスマートメータは、インサイダーによる攻撃、又はスマートメータにおいて実行されるソフトウェアに影響を及ぼすゼロデイ攻撃を遠隔的に検出する機能を有していない。
【発明の概要】
【課題を解決するための手段】
【0003】
以上から、装置におけるエラーを検出し、遠隔のソフトウェアの不正使用又はインサイダ攻撃からネットワーク装置を保護する必要が生じていることが当業者により理解されるであろう。本発明によれば、ネットワークにおける従来の装置のセキュリティに関連する課題及び問題点を実質的に解消するか、大幅に低減するデバイスインテグリティの認証の方法及びシステムが提供される。
【0004】
本発明の1実施の形態によれば、デバイスインテグリティの認証の方法が提供され、ある装置の測定されたインテグリティの値をプロセッサを使用して決定するステップを含む。装置の測定されたインテグリティの値は、プロセッサにより装置の埋め込まれたインテグリティの値と比較される。比較に基づいて装置へのポリシーの適用が支援される。
【0005】
本発明の所定の実施の形態は、1以上の技術的利点を提供する。1実施の形態の技術的利点の例は、そのインテグリティを決定するためにセルフチェックを装置に実行させる。別の技術的利点は、インテグリティの認証の結果に基づいて、装置にポリシーを適用することである。
【0006】
本発明の所定の実施の形態は、上記技術的利点の一部又は全部を含む。1以上の他の技術的利点は、図面、詳細な説明、及び本明細書に含まれる特許請求の範囲から当業者により容易に明らかとなるであろう。
【図面の簡単な説明】
【0007】
本発明の更に完全な理解のため、及び本発明の更なる特徴及び利点の理解のため、添付図面と共に以下の説明が参照され、同じ参照符号は、同じ構成要素を表す。
【図1】ネットワーク装置をもつシステムの例示的な実施の形態を示す図である。
【図2】ネットワークにおける装置の例示的な実施の形態を示す図である。
【図3】装置においてセキュリティチェックを実行する方法の例示的な実施の形態を示す図である。
【図4】装置の測定されたインテグリティの値を計算する方法の例示的な実施の形態を示す図である。
【図5】2つの装置及びバックエンドサーバを持つシステムの例示的な実施の形態を示す図である。
【図6】第二の装置が第一の装置の信頼水準を決定するのを可能にする方法の例示的な実施の形態を示す図である。
【図7】第一の装置から第二の装置にデータを送信する方法の例示的な実施の形態を示す図である。
【図8】第一の装置から第二の装置でデータを受信する方法の例示的な実施の形態を示す図である。
【発明を実施するための形態】
【0008】
図1は、1以上の装置105にポリシーを適用するのを容易にするシステム100の実施の形態を示す。この実施の形態では、システム100は、装置105、ゲートウェイ110及びバックエンドサーバ115を有するネットワークを含む。装置105は、互いに通信し、ゲートウェイ110と通信する。装置105は、所定の実施の形態では、直接に又はゲートウェイ110を通して、バックエンドサーバ115と通信する。以下の図で更に詳細に記載されるように、様々な状況下で、装置105は、あるポリシーに従って所定の動作を行う。装置105は、ローカルストレージにおいてポリシーを記憶するか、代替的に、外部ソースは、ポリシーを装置105に伝達する。たとえば、ポリシーは、他の装置105から、ゲートウェイ110及び/又は他の装置105を介してバックエンドサーバ115から、或いはバックエンドサーバ115から直接的に到来する。
【0009】
装置105、ゲートウェイ110及びバックエンドサーバ115は、適切な通信ネットワークに結合される。通信ネットワークは、以下のうちの1以上の一部又は全部を有する。公衆交換電話網(PSTN)、公衆又は私設データネットワーク、ローカルエリアネットワーク(LAN)、メトロポリタンエリアネットワーク(MAN)、ワイドエリアネットワーク(WAN)、インターネットのようなローカル、地域又はグローバル通信又はコンピュータネットワーク、有線又は無線ネットワーク、企業イントラネット、他の適切な通信リンク、又は上述の何れかの組み合わせ。たとえば、所定の実施の形態では、ゲートウェイ110は、ファイババックボーンによりバックエンドサーバ115に接続される。さらに、装置105は、他の装置105、ある装置105からゲートウェイ110、及びバックエンドサーバ115に無線でデータを送信する無線送信機を有する。
【0010】
システム100の特定の実施の形態では、装置105は、電気公益事業の顧客の電力使用量を測定するスマートメータとして動作する。装置105がスマートメータとして動作するとき、これらの装置は、メッシュネットワークを形成し、このメッシュネットワークでは、管理データ、制御データ、及びメータデータは、装置から装置へと送信され、それぞれの装置は、中継ノードとしての役割を果たす。これらの実施の形態では、バックエンドサーバ115は、電気公益事業会社に位置される。メータデータは、特定の顧客の敷地内での電力使用に関する情報を含む。制御データは、1以上の装置105の特定のコンポーネントの制御に関連するデータを有する。管理データは、ネットワークの形成及び維持に関連するデータを有する。たとえば、管理データは、特定の装置105からのデータがバックエンドサーバ115に到達するために要する経路を示す。
【0011】
スマートメータネットワークにおける装置又はノードが危険にさらされる場合、あるノードから送出されるデータは、様々な違法な目的で使用されるような危険にさらされる場合がある。たとえば、管理データは、ネットワークのルーティング機能を乱すために使用される。制御データは、電力を遠隔的に接続又は遮断するために使用される場合がある。メータデータは、経済的な利益のために電力使用量を偽って報告するために使用される。以下の図の説明において更に十分に記載されるように、あるポリシーは、異なるタイプのデータと関連付けされ、このポリシーは、危険にさらされたデータの送信を低減するのを助け、及び/又は危険にさらされたデータがネットワークにおける他のコンポーネントに有する影響を低減するのを助ける。システム100のコンポーネントは、様々な暗号化及び鍵管理技術を使用して互いに通信する。
【0012】
他の実施の形態では、装置105は、ある装置の範囲の何れかである場合がある。たとえば、スマートメータに加えて、装置105は、スマート配電網の他のコンポーネントの幾つかを有する。さらに広く言えば、装置105は、監督制御及びデータ取得(SCADA: Supervisory Control And Data Acquisition)又は産業用制御システムの1以上のコンポーネントを有する。他の実施の形態では、装置105は、ホームエリアネットワーク(HAN)で配置される装置である。当業者であれば、装置105がHANのような比較的に小規模ネットワークに配置されるか、或いは、地区又は市にわたり配置される配電網のような大規模ネットワークとして配置される。
【0013】
図2は、あるポリシーの適用を容易にする装置105の実施の形態を示す。所定の実施の形態では、装置105は、制御処理モジュール205を含み、このモジュールは、装置105の動作及び機能にわたる一般的な制御を有する。制御処理モジュール205は、インテグリティチェック処理モジュール210、通信処理モジュール215、測定処理モジュール220及び他の一般的な処理モジュール225のような装置105の異なる機能を実行する幾つかの処理モジュールに結合される。これらの処理モジュールは、様々な機能を実行する。幾つかの実施の形態では、制御処理モジュール205は、ポリシーリポジトリ230、汎用ストレージ235、及び/又は装置識別子レジスタ245に結合される。ポリシーリポジトリ230は、所定の条件下で装置105に適用されるポリシーを含む。汎用ストレージ235は、制御処理モジュール205及び装置105に含まれる他の処理モジュールにより一般的にアクセス可能なストレージユニットを有する。装置識別子レジスタ245は、装置105の識別子の値を含むように構成される。
【0014】
通信処理モジュール215、測定処理モジュール220及び汎用処理モジュール225は、広い範囲の機能を実行する。所定の実施の形態では、通信処理モジュール215は、他の装置105、ゲートウェイ110、バックエンドサーバ115又は任意の他の外部ソースからの通信を送信又は受信する。また、通信処理モジュールは、所定の情報が特定の目的地に到達するために要する経路の決定を支援する。たとえば、通信処理モジュール215は、あるデータの送信が特定の他の装置105、特定のゲートウェイ110又はバックエンドサーバ115に到達するために、どの他の装置105と通信すべきかを判定する。装置105が電力のスマートメータである実施の形態では、測定処理モジュール220は、電力の顧客の敷地内の電力使用量を測定する。汎用処理モジュール225は、装置105に近い周辺の環境要素の測定、装置105の各種エレメントの試験、及び装置105の適切な温度の維持、のような多数の機能を実行する。通信処理モジュール215、測定処理モジュール220、及び汎用処理モジュール225は、ポリシーリポジトリ230に記憶されるあるポリシーに従って制御処理モジュール205の指示の下で動作する。
【0015】
装置識別子のレジスタ245を含む実施の形態では、装置105の識別子、以下に更に詳細に記載されるように、どのポリシーを装置105に適用すべきかを判定するために使用される。限定されるものではない例として、識別子は、MAC(Media Access Control)アドレス又はIP(Internet Protocol)アドレスを含む。識別子は、ランタイムで装置識別子レジスタ245といったハードウェアに組み込みされているか、ハードコードされているか、又は、代替的に、装置105の配置後に更新可能である場合がある。識別子は、複数の装置105における特定の装置105を一意的に識別する点で固有である。代替的に、特定の装置105の装置識別子レジスタ245に含まれる識別子は、1以上の他の装置105の識別子と同じである。これは、たとえば多数の地区を有する市において生じる場合がある。特定の地区に共通する装置は、共通の識別子を共有する。装置105の所定の実施の形態は、装置識別子レジスタ245を持たないか、1,2又は2を超える装置識別子レジスタを含む。これらは、本明細書で説明される識別子のタイプの組み合わせを含むように構成される。
【0016】
所定の実施の形態では、装置105がひとたびフィールドに配置されると装置識別子レジスタ245が変更することが困難になるように、装置識別子レジスタ245は、装置105の保護されたセクションにある場合がある。装置105の保護されたセクションは、ハードウェア、ソフトウェア又はファームウェアで構成される。たとえば、装置識別子レジスタ245は、リードオンリメモリの一部であるか又は変更不可能であるように構成されるプログラムから計算される。
【0017】
埋め込まれたインテグリティ値のレジスタ240は、以下に更に詳細に記載されるように、そのインテグリティチェックを実行するとき、インテグリティチェック処理モジュール210によりアクセスすることができる値を記憶する。埋め込まれたインテグリティ値のレジスタ240に記憶された値は、装置105の製造時にプログラムされる場合がある。代替的に、埋め込まれたインテグリティ値のレジスタ240に記憶された値は、たとえばシステムの大規模なアップグレードに応答して、後にプログラムされる場合がある。埋め込まれたインテグリティ値のレジスタ240は、装置識別子レジスタ245について上述されたのと同じやり方で装置105、保護されたセクションの一部である場合がある。幾つかの実施の形態では、装置108は、多数の埋め込まれたインテグリティ値レジスタ240を利用する場合がある。これらの実施の形態では、埋め込まれたインテグリティ値のレジスタは、ハードウェア、ファームウェア又はソフトウェアのような様々なフォーマットを利用する場合がある。このアプローチは、以下に更に記載されるように、インテグリティチェック処理モジュール210のインテグリティチェック機能における冗長度を許容する。
【0018】
所定の実施の形態では、インテグリティチェック処理モジュール210は、装置測定されたインテグリティ値を決定し、決定されたインテグリティ値を埋め込まれたインテグリティ値のレジスタ240に記憶される埋め込まれたインテグリティ値に比較することで、インテグリティチェックを実行する。インテグリティチェック処理モジュール210は、装置105の他の処理モジュール及び/又はソフトウェアの1以上のセクタ値を集めることで、装置105の測定されたインテグリティ値を決定する。セクタ値は、指定されたレジスタ、メモリブロック、コードブロック又はモジュールの他のコンポーネントから到来する。インテグリティチェック処理モジュール210は、通信処理モジュール215、測定処理モジュール220、及び1以上の汎用処理モジュール225のセクタ値を決定する。次いで、インテグリティチェック処理モジュール210は、これらの処理モジュールのセクタ値を加算し、測定されたインテグリティ値がこれらセクタ値の合計となる。他の実施の形態では、インテグリティチェック処理モジュール210は、1以上の予め決定された処理モジュールのセクタ値に基づいてチェックサムを計算する。
【0019】
インテグリティチェックの処理モジュール210は、本発明の開示の範囲のままで、多数の式の何れかを使用して測定されたインテグリティの値を決定する。所定の実施の形態では、式は、セクタ値に加えて、日時、日付、装置の周りの周囲光の大きさ、装置の周りの周囲温度、ゲートウェイ110又はバックエンドサーバ115への近さ、及び/又は装置105がスマートメータである場合にメータの使用量のような他の要素からなる関数である。これらの実施の形態では、埋め込まれた値のレジスタに記憶された値は、式に従ってこれら他の要素の値に依存して変化する。インテグリティチェックを行うときに様々な式の使用は、非道な第三者が装置を危険にすることのリスクを低減する場合がある。
【0020】
多数の埋め込まれたインテグリティ値レジスタ240を採用した所定の実施の形態では、インテグリティチェック処理モジュール210は、埋め込まれたインテグリティ値レジスタ240のそれぞれの集合に対して測定されたインテグリティ値を比較するためにプログラムされる。代替的に、インテグリティチェック処理モジュール210は、インテグリティ値レジスタ240のサブセットの集合に対して測定されたインテグリティ値を比較する。幾つかの実施の形態では、インテグリティチェック処理モジュール210は、多数の測定されたインテグリティ値を計算するために構成される。インテグリティチェック処理モジュール210は、1以上の測定されたインテグリティ値を1以上の埋め込まれたインテグリティ値に比較する。インテグリティチェック処理モジュール210は、処理モジュール205を制御するため、多数の比較の結果を報告する。ポリシーリポジトリに記憶されるポリシーは、以下に更に説明されるように、比較の結果に依存して指示を提供する。
【0021】
所定の実施の形態では、インテグリティチェック処理モジュール210は、最終的に測定されたインテグリティ値又はハッシュ値とも呼ばれる、上述された測定されたインテグリティ値に加えて、中間の測定された値を記憶する。これら中間の値は、最終的に測定されたインテグリティ値を決定するために使用されるセクタ値のサブセットに基づいている。たとえば、第一の中間値は、通信処理モジュール215及び測定処理モジュール220のセクタ値に基づいている。第二の中間値は、通信処理モジュール215、測定処理モジュール220、及び汎用処理モジュール225のうちの1つのセクタ値に基づいている。所定の実施の形態では、第一の中間値は、通信処理モジュール215と測定処理モジュール220のセクタ値の合計である。第二の中間値は、たとえば通信処理モジュール215、測定処理モジュール220、及び汎用処理モジュール225のうちの1つのセクタ値の、合計又は排他的論理和(XOR)を含む数値である。インテグリティチェック処理モジュール210は、これらの中間値を汎用ストレージ235に記憶する。制御処理モジュール205は、ポリシーリポジトリ230に記憶されたポリシーに従って、汎用ストレージ205からこれらの値にアクセスする。
【0022】
インテグリティチェック処理モジュール210は、所定の実施の形態における信頼されるコンピュータグループからの信頼されるプラットフォームモジュール(TPM: Trusted Platform Module)により実現される場合がある。TPMは、オープンな国際標準に依存し、装置105の他の処理モジュールとの統合の試みを容易にする。
【0023】
インテグリティチェック処理モジュール210は、処理モジュール205を制御するため、埋め込まれたインテグリティ値のレジスタ240における値と測定されたインテグリティ値との比較の結果を報告する。制御処理モジュール205は、インテグリティチェック処理モジュール210により実行されるインテグリティチェックの結果に基づいてポリシーリポジトリ230における1以上のポリシーを適用する。ポリシーリポジトリ230は、装置識別子レジスタ245について上述されたのと同様にやり方で装置105の保護されたセクションの一部である。ポリシーリポジトリ230の保護のレベルは、所定の状況下で個々のポリシーを、不正防止の機能をより高いものにする。
【0024】
比較の結果に依存して、ポリシーは、装置105の1以上の処理モジュールの動作機能を変更するように制御処理モジュール205に指示する。所定の実施の形態では、値が整合しない場合、ポリシーは、装置105の1以上の処理モジュールを無効にするように制御処理モジュール205に指示する。たとえば、制御処理モジュール205は、通信処理モジュール215、測定処理モジュール220、又は1以上の汎用処理モジュール225の機能を無効にするか、又はさもなければ機能を制限する。通常の動作において、通信処理モジュール215は、他の装置105と通信し、任意のタイプのデータを他の装置105に伝達するように、フル機能のセットで動作する場合がある。測定されたインテグリティ値が埋め込まれたインテグリティ値と整合しない例では、制御処理モジュール205は、ポリシーに従って、通信処理モジュール215の機能を完全に無効にし、その通信機能を所定のデータタイプを伝達することに制限する。所定の実施の形態において、通信処理モジュール215は、メータデータを送信することが許可されるが、管理データ又は制御データの何れかを送信することは許可されない。他の実施の形態では、ポリシーは、装置105全体を無効にするように制御処理モジュール205に指示する。
【0025】
所定の実施の形態では、装置105のデフォルト又は通常のポリシーは、装置105の所定の処理モジュールが無効にされたことを提供する。装置105の有効にされた処理モジュール又は(別の装置105のような)外部の動作主が装置105の正常に無効にされた処理モジュールにより実行される機能を要求する場合、ポリシーは、インテグリティチェック処理モジュール210によるインテグリティチェックを実行することを装置105に要求する。幾つかの実施の形態では、制御処理モジュール205は、インテグリティチェックが上述された説明に従って整合する場合に正常に無効にされた処理モジュールを有効にする。当業者であれば、あるポリシーが制御処理モジュール205に、インテグリティチェック処理モジュール210によるインテグリティチェックの結果に従って装置105の様々な処理モジュールの機能のレベルを開始、停止又は維持するように指示することを認識することであろう。
【0026】
最終的に測定されたインテグリティ値が埋め込まれたインテグリティ値に整合しない場合、ポリシーリポジトリ230に記憶されているポリシーは、制御処理モジュール205に、汎用ストレージ235に記憶されている1以上の中間値を検索するように指示する。ポリシーリポジトリ230に記憶されているポリシーは、所定の中間値に依存して異なる対策を有する。たとえば、1以上の中間値に依存して、ポリシーは、装置105の唯一の処理モジュールを無効にするように制御処理モジュール205に指示する。この例に従って、他の汎用処理モジュール225及び通信処理モジュール215がそれらの現在の機能を維持したままにする一方、汎用処理モジュール225のうちの1つを無効にするように、制御処理モジュール205を指示する。最終的に測定されたインテグリティ値と同様に、所定の中間値が期待される。所定の中間値は、所定の処理モジュールのセクタ値に直接的に依存する。ポリシーは、セクタ値に対応する処理モジュールを無効にするように制御処理モジュールに指示し、このセクタ値は、測定されたインテグリティ値と合計されたとき、不適切な結果を生じる。
【0027】
所定の実施の形態では、たとえば装置105が複数の埋め込まれたインテグリティ値のレジスタ240を含む場合に、インテグリティチェック処理モジュール210は、複数の比較の結果を報告する。複数の埋め込まれたインテグリティ値のレジスタ240を持つ実施の形態では、ポリシーリポジトリ230に記憶されたポリシーは、どの位多くの比較が整合することができないかに依存して様々なオプションを提供する。たとえば、3つの埋め込まれたインテグリティ値のレジスタ240を採用する装置105において、ポリシーは、残りの1又は複数の不覚が整合しない一方、1又は複数の比較が上手く整合する場合に、係属された機能を可能にする。これらの比較のそれぞれについて、1以上の中間値は、上述された手順に従って決定される。インテグリティチェック処理モジュール210は、制御処理モジュール205による後のアクセスのため、汎用ストレージ235において、比較のそれぞれについて1以上の決定された中間値を記憶する。制御処理モジュール205は、たとえば測定されたインテグリティ値が埋め込まれたインテグリティ値のレジスタ240に記憶されている値と整合しない場合に、1以上の中間値にアクセスする。
【0028】
所定の実施の形態では、ポリシーリポジトリ230に記憶されているポリシーは、インテグリティチェックが失敗した場合に、通信処理モジュール215がバックエンドサーバ115に連絡するのを試みるのを可能にするように、制御処理モジュール205に指示する。バックエンドサーバ115は、装置105に適用すべきポリシーを決定する。どのような機能を装置105が実行するのを許可されるべきかを決定することにおいてバックエンドサーバ115を支援するため、装置105は、所定の情報をバックエンドサーバ115に送信する。この情報は、測定されたインテグリティ値、装置識別子レジスタ245に記憶されている値、中間の測定された値、及び/又は装置105に適用すべきポリシーを決定するためにバックエンドサーバを支援するのに適した他の情報を含む幾つかのアイテムを含む。この情報に基づいて、バックエンドサーバ115は、適用すべき装置105のポリシーを送信する。このポリシーは、ポリシーリポジトリ230に記憶されているポリシーに類似して、処理モジュール215,220及び/又は225がそれらの現在の機能を開始、停止又は維持するのを可能にするように、制御処理モジュール205に指示する。所定の実施の形態では、バックエンドサーバ115は、装置105を完全に無効にするように制御処理モジュール205に指示するポリシーを送信する。所定の実施の形態では、バックエンドサーバ115は、現場での故障修理のために装置105の位置に技術者を自動的に派遣する。
【0029】
バックエンドサーバ115は、幾つかの実施の形態では、適用すべき装置105のポリシーの決定において、装置105により送信された識別子を使用する。たとえば、装置105が他の装置105による通信経路について強く依存しているように位置されることをバックエンドサーバが識別子から判定した場合、その通信処理モジュール215についてフルレベルの機能を維持するように装置105に指示するポリシーを送信する。別の例では、バックエンドサーバ115は、他の適切な通信ノードがすぐ近くにある場合にその通信処理モジュール215をシャットダウンする指示を提供する。
【0030】
図3は、インテグリティチェックを開始し、インテグリティチェックの結果に従ってポリシーの適用を支援する方法300の実施の形態を例示する。本方法はステップ305で開始し、ステップ305で、装置105のインテグリティチェック処理モジュールは、装置105の測定されたインテグリティ値を計算する。ステップ305の実施の形態は、図4の説明の間に更に十分に記載される。ステップ310で、埋め込まれたインテグリティ値は、装置105の測定されたインテグリティ値に比較される。ステップ315で、埋め込まれたインテグリティ値が測定されたインテグリティ値に整合するかに関する判定が行われる。値が整合する場合、本方法は、ステップ325で、パスしたインテグリティチェックについてポリシーが実行される。このポリシーは、装置105の1以上の処理モジュールの1以上の機能を有効にすること及び/又は無効にしないことを含む。
【0031】
ステップ315で値が整合しない場合、本方法は、ステップ320で、失敗したインテグリティチェックについてポリシーを実行する。このポリシーは、装置105の1以上の処理モジュールの1以上の機能を無効にすること及び/又は有効にしないことを含む。ポリシーは、汎用ストレージ235に記憶されている中間値にアクセスすることを含む。ポリシーは、これら中間値に依存して特定の処理モジュールの1以上の特徴を無効にすること及び/又は有効にしないことを提供する。たとえば、所定の中間値が期待されたものではない場合、ポリシーは、期待されない中間値に対応する特定の処理モジュールの1以上の特徴を無効にすること及び/又は有効にしないことを提供する。また、ポリシーは、バックエンドサーバ115に連絡すること、バックエンドサーバ115に所定の情報を送出すること、バックエンドサーバ115から第二のポリシーの形式で指示を受信することを含む。第二のポリシーは、送出された情報に基づいている。どのポリシーが適用されるべきかに関する判定は、測定されたインテグリティ値と埋め込まれたインテグリティ値との間の1以上の差に依存する。
【0032】
本方法300の他の実施の形態は、複数の埋め込まれたインテグリティ値及び/又は複数の測定されたインテグリティ値に関連するステップを含む。これらの実施の形態では、本方法は、これらの複数の値を利用するポリシーを適用することに向けられるステップを含む。たとえば、複数の比較が行われる場合、ポリシーは、全てのチェックがパスしない場合に、所定の比較を他の比較よりも好む。この例に従って、ポリシーは、3回の比較のうちで2回失敗したときに、処理モジュールの1以上の機能を無効にすること及び/又は有効にしないことを提供する。幾つかの実施の形態では、ポリシーは、失敗した比較を生じた埋め込まれたインテグリティ値のレジスタのタイプに依存する(たとえばハードウェア、ソフトウェア又はファームウェア)。
【0033】
また、本方法300は、汎用ストレージ235のようなストレージユニットに測定されたインテグリティ値を記憶するステップを含む。測定されたインテグリティ値は、(インテグリティチェック処理モジュール210自身の一部である)装置上の位置されるセキュアストレージに記憶される。測定されたインテグリティ値は、インテグリティチェックのその後の要求に応答してアクセスされる。ポリシーは、比較に応答して後に実行される。前もってインテグリティ値を測定すること、測定されたインテグリティ値を記憶すること、その後、インテグリティチェックの要求に応答して、比較の結果に従ってポリシーを実行することで、処理の遅延を低減することができる。たとえば、測定されたインテグリティ値が既に決定されている場合、インテグリティチェックの要求に応答するために要する時間は、測定を実行するのに要する時間の一部を除く。これにより、処理時間を低減することができる。
【0034】
所定の実施の形態では、装置がブートアップされたときに本方法300を実行するようにプログラムされる。本装置は、比較に応答して自動的にポリシーを適用するか、又はその測定されたインテグリティ値をストレージに記憶する。装置は、インテグリティチェックの要求に応答してその比較の結果に従ってポリシーを適用する。測定されたインテグリティ値が後のアクセスのためにストレージに記憶されている場合、タイムアウトと関連付けされる。タイムアウトがパスした後、装置は、インテグリティチェックの結果を判定する前に、その測定されたインテグリティ値を計算するために必要とされる。所定の実施の形態では、装置は、予め決定されたスケジュールに従って本方法300を実行する。たとえば、装置105は、一日に4回から6回の等しい時間間隔で本方法300を実行するようにプログラムされる。他の実施の形態では、装置105は、オフピーク時間の間に本方法300を実行するようにプログラムされ、この場合、オフピーク時間は、ネットワークトラヒックが他の時間よりも比較的低い時間を意味する。所定の実施の形態では、装置105は、装置105の外部からの要求に応答して本方法300を実行する。たとえば、バックエンドサーバ115は、システム100内の全ての装置105についてシステム全体のインテグリティチェックを開始する。
【0035】
図4は、装置105の測定されたインテグリティ値を計算する方法305の例示的な実施の形態である。本方法は、ステップ405で開始し、ステップ405で、装置105において測定すべきセクタのリストが読み出される。セクタは、装置105の特定の処理モジュールに対応するか、特定の処理モジュールの一部である。幾つかの実施の形態では、セクタのリストは、予め決定されており、装置105の保護されたセクションに記憶される。他の実施の形態では、予め決定されたセクタは、業界で同意されている(すなわち、測定すべきセクタのリストについてストレージは不要であるが、特定の順序で所定のセクタを測定するためにプログラムされる)。
【0036】
ステップ410で、ステップ405で取得されたリストにおける第一のセクタは、現在のセクタとして設定される。ステップ415は、現在のセクタ値が測定される。ステップ420で、本方法は、現在のセクタ値に基づいて装置105の最終的な測定された値を更新する。測定されたインテグリティがセクタ値の合計に依存する実施の形態では、ステップ420は、現在のセクタ値を最終的に測定された値に加える。合計は、最終的に測定された値として記憶される。本方法が終了したとき、最終的に測定された値は、装置105の測定されたインテグリティ値として報告される。合計の演算が記載されたが、(XOR演算を含む)他の算術演算が異なる実施の形態において実行される。
【0037】
ステップ425で、ステップ420において最終的に測定された値として記憶された値は、中間の測定された値として記憶される。幾つかの実施の形態では、この中間の測定された値は、最終的に測定された値が装置105の埋め込まれたインテグリティ値に整合しない場合に使用される場合がある。ステップ430で、ステップ405の間に取得されたリストにおいて測定すべきセクションが存在するかに関する判定が行われる。測定すべきセクションが存在する場合、ステップ435で、次のセクタが現在のセクタとして設定され、本方法は、ステップ415に進む。ステップ430で、測定すべきセクタが存在しない場合、本方法はステップ440に進む。ステップ440で、最終的に測定された値は、装置105の測定されたインテグリティ値としてリターンされる。所定の実施の形態では、本方法305は、中間の測定された値をリターンする。これらは、装置105の汎用ストレージに記憶される。
【0038】
所定の実施の形態では、本方法305は、様々な順序で、且つ図4に提供されたよりも少ないステップ又は多くのステップでそのステップを実行する。たとえば、本方法305は、中間値を記憶することなしに全てのセクタ値を合計する。代替的に、本方法305は、全ての中間値について対策を有さないポリシーに従って中間の値の幾つかのみを記憶する。幾つかの実施の形態では、本方法305は、最終的な測定された値と中間の測定された値とを決定するために必要とされる全ての計算を並列に実行する。これらの実施の形態は、「ルーピング」を必要とせず、同時の計算を実行するために、より多くのシステムリソースを必要とする。TPMの環境では、これらの値は、前の値とのXOR演算を必要とするので、並列ではなく、順次に計算される。
【0039】
図5は、装置へのポリシーの適用を支援するシステム500の実施の形態を例示する。システムには、装置505、装置510及びバックエンドサーバ515が含まれる。装置505及び510は、図2に示されるように、装置105に類似した特徴及びコンポーネントを有する。所定の実施の形態では、装置505は、装置510を介して装置510又はバックエンドサーバ515に通信するのを試みる。装置505は、制御データ、管理データ又はメータデータを含む異なるタイプのデータを送出するのを試みる。また、装置505は、失敗したインテグリティチェックに応答して、バックエンドサーバ515に診断データを送出するのを試みる。診断データは、測定されたインテグリティ値、識別子、中間の測定された値、バックエンドサーバ515がインテグリティチェックを失敗した装置の適切なポリシーを決定するのを助ける他の情報を含む。データのタイプに依存して、装置505は、その通信処理モジュール215がデータを送出するのを可能にする前に、インテグリティチェックをそれ自身で実行するポリシーを有する。インテグリティチェックが失敗した場合、装置505は、本方法320に従って失敗したインテグリティチェックについてポリシーを実行する。インテグリティチェックにパスした場合、装置505は、装置510及び/又はバックエンドサーバ515にデータを送出する試みを継続する。インテグリティチェックが失敗した場合、装置505は、1以上の特徴を無効にするか又は有効にしない。幾つかの実施の形態では、装置505は、装置510を介してバックエンドサーバ515に連絡を取ることを試みる。バックエンドサーバ515は、装置510を介して装置505にポリシーの形式で指示を送出する。
【0040】
所定の実施の形態では、装置510は、装置505から通信のために要求を受け、インテグリティチェックを実行するように装置505に要求する。装置510は、装置510に装置505の測定されたインテグリティ値を送信するように装置505に要求する。次いで、装置510は、装置510の埋め込まれたインテグリティ値に対して、装置505の測定されたインテグリティ値をチェックする。装置510の埋め込まれたインテグリティ値及び装置505の測定されたインテグリティ値が整合する場合、装置510は、装置505が信頼できると判定する。次いで、装置510は、装置505から装置510に送出されたデータの処理を可能にする。
【0041】
装置510の埋め込まれたインテグリティ値及び装置505の測定されたインテグリティチェックが整合しない場合、装置510は、ポリシーに依存して幾つかのオプションを有する。装置510に記憶されているポリシーは、装置505が信頼できないと判定することであり、装置505との全ての通信を拒否する。ポリシーは、装置510のために、装置505がそのインテグリティチェックを再び実行し、第二のインテグリティチェックから決定された測定されたインテグリティチェックを送信することを要求する。ポリシーは、指定された数の後続するインテグリティチェックを要求するように装置510に指示する。これは、別の測定を実行することで訂正される、測定されたインテグリティ値の可能性のある異例の測定を考慮するのを助ける。
【0042】
別のポリシーは、装置505から到来する情報をどのように処理すべきかに関する更なる指示についてバックエンドサーバ515に連絡することである。バックエンドサーバ515からの指示を探し求めることにおいて、装置510は、バックエンドサーバ515が従うべき装置510の適切なポリシーを決定するように、装置505から受信された診断データを送出する。また、装置510は、識別子、測定されたインテグリティ値等のような装置510自身に関する情報を送出する。どのポリシーが適用されるべきかに関する判定は、装置505の測定されたインテグリティ値と装置510の埋め込まれたインテグリティ値との間の1以上の違いに依存する。バックエンドサーバ515は、システム500に配置される装置の識別子のレコードを有する。バックエンドサーバ515が決定したポリシーは、識別子に依存し、この識別子は、装置505により送信された診断データに含まれる。バックエンドサーバ515は、装置505がインテグリティチェックに失敗したことをそのレコードに記録する。また、バックエンドサーバ515は、装置505を検査する技術者を派遣するような更なるアクションをスケジュールする。技術者は、所定の場合において装置505を修理、取替え、又は取り外するような多数のアクションを行う。
【0043】
所定の実施の形態では、ポリシー(装置510に記憶されているポリシー又はバックエンドサーバ5151から受信されるポリシー)は、データタイプに依存して異なる対策を有する。たとえば、装置505がメータデータ又は診断データを送出するのを試みている場合、装置510は、装置505のインテグリティチェックを必要とすることなしに、そのポリシーに従ってデータの処理を可能にする。装置505から送出されているデータのタイプが制御データ及び/又は管理データである場合、装置510は、そのポリシーに従ってそのデータに関する処理を制限する。この制限は、そのタイプの通信を拒否すること、所定のタイプの処理に制限することを含む。
【0044】
所定の実施の形態では、装置505は、起動したときに既存のネットワークが存在することを検出した場合に、装置の既存のネットワークに接続することを試みる。ネットワークが存在しない場合、それ自身のネットワークを開始することを試みる。装置505が装置510を通して既存のネットワークに接続するのを試みる場合、装置510は、上述されたものに類似したインテグリティチェックを実行するのを装置505に要求する。
【0045】
ネットワークへの接続が認められた場合、装置505は、インテグリティチェックを受けるように装置510に要求し、この場合、装置510は、それ自身のインテグリティ値イを測定し、測定されたインテグリティ値を装置505に送信する必要がある。装置505は、装置505の埋め込まれたインテグリティ値に対して、装置510の測定されたインテグリティ値をチェックする。測定されたインテグリティ値は、セクタ値に基づいており、このセクタ値は、装置105のプロテクトされていないセクションに記憶される場合がある。これらプロテクトされていない(less protected)セクタは、最初のインテグリティチェック後に変更される場合がある。これは、ある装置のインテグリティチェックの結果が時間につれて変化することを意味する。たとえば、起動時にそのインテグリティチェックをパスした装置は、ネットワーク上の他の装置からの各種データの処理後に、インテグリティチェックにその後失敗する場合がある。従って、所定の装置は、他の装置がネットワークに対して既に許可されているとしても、所定の他の装置からのその後のインテグリティチェックを必要とする場合がある。
【0046】
所定の実施の形態では、装置510は、装置505の所定の信頼水準を示す証明書を装置505に発行する。装置510の埋め込まれたインテグリティ値が装置505により送信された測定されたインテグリティ値に整合する場合、装置510は、信頼性の高い水準を有する。装置510の埋め込まれたインテグリティ値が装置505により送信された測定されたインテグリティ値に整合しない場合、装置505は、診断データを送信するように装置505に要求する。診断データに基づいて、装置510は、あるポリシーに従って適切な信頼の水準による証明書を発行する。信頼の水準は、装置505から送信されたデータに関する所定のタイプの処理に関連される。また、装置510は、バックエンドサーバ515に装置505により送信された診断データを送出する。診断データに基づいて、バックエンドサーバ515は、ある信頼のレベルを示す証明書を装置505に発行するように装置510に指示する。
【0047】
装置505は、装置510との将来の通信を試みようとするときに証明書を提示する。これにより、装置510は、通信するのを試みる次回に新たなインテグリティチェックを実行するのを装置505に要求しない。幾つかの実施の形態では、装置510は、その自身の汎用ストレージに証明書を保持する。これらの実施の形態では、装置510は、証明書を装置505により送信された識別子と関連付けする。特定の実施の形態では、証明書は、指定された時間後に有効期限が切れる場合がある。証明書が存在するときでさえ、装置510は、所定の状況において新たなインテグリティチェックを要求する。たとえば、装置510は、別のインテグリティチェックを実行するように装置505に要求し、その装置505が送出しようと試みるデータのタイプが重大な特質からなる場合に、その測定されたインテグリティ値を送出する。所定の実施の形態では、証明書の使用は、装置505及び図5に示されない他の装置の証明書を保持及び管理することを装置510に要求しない。システム500の所定の実施の形態では、証明書の使用なしで済ませ、代わりに、通信を試みるたびに、インテグリティチェックを受けるように送信する装置に要求する。幾つかの実施の形態では、それぞれの通信についてインテグリティチェックを受けるように送信する装置に要求するのではなく、証明書を使用する判定は、ネットワークの所定のセクションについて同じ形態を取る。たとえば、同じゲートウェイ下にある全ての装置は、それぞれの通信の前に、証明書を発行するか、又は測定されたインテグリティ値の送信を要求する。
【0048】
ネットワークのコンポーネント間でデータを送信及び受信する幾つかの可能性は、この開示で議論される所与の条件を生じさせる。たとえば、メータデータは、送信する装置のインテグリティをチェックすることなしに、ネットワークを通過することが許可される場合があるが、管理データ又は制御データを送信する全ての試みは、有効な証明書又は成功したインテグリティの認証を必要とする。
【0049】
所定の実施の形態では、装置505は、図5に示されない別の装置から装置505に送信された装置510にデータを送信するのを試みる。幾つかの実施の形態では、装置510は、装置505がデータの最初の情報発信源ではなかったと判定する。装置510は、装置505にデータを送信した装置がインテグリティチェックを行うこと、及びその測定されたインテグリティ値を装置510に送出することを必要とする。装置510は、この値を自身の埋め込まれたインテグリティ値と比較し、次いで比較の結果に依存してデータを処理する。なお、装置505にデータを送信した装置は、データの「最初の」情報発信源ではない場合があることに留意されたい。装置510は、装置510に情報を送るために使用される装置のチェインのうちの任意の装置からインテグリティチェックを要求する。所定の実施の形態では、発信する装置は、装置のネットワークを通して送出する任意のデータと共にその測定されたインテグリティ値を送信する。係るように、装置510は、装置505からデータの送信を受けたとき、発信する装置の測定されたインテグリティ値を有する。幾つかの実施の形態では、装置510は、その埋め込まれたインテグリティ値を、データを直接に受けた装置及び最初にデータを送出した装置の測定されたインテグリティ値と比較するのを装置510に要求するポリシーを有する。バックエンドサーバ515は、どの装置からインテグリティチェックを要求すべきかに関して、装置510に指示する。
【0050】
幾つかの実施の形態では、装置のネットワークにおける埋め込まれたインテグリティ値は、同じように設定される。所定の装置の測定されたインテグリティ値は、変動する状況下において異なる場合がある。たとえば、ある市における新たな地区は、それらの測定されたインテグリティ値がその市における他の装置の埋め込まれたインテグリティ値に整合しないように設定される新たな装置を有する。この状況において、新たな地区における新たな装置は、たとえそれらが危険にさらされていないとしても、異なる測定されたインテグリティ値を有する。この状況において、他の装置のうちの1つは、先の説明に従ってこれらの新たな装置のうちの1つから到来するデータに対してどのようなポリシーを適用すべきかを判定するため、バックエンドサーバに連絡を取る。
【0051】
図2に関して1つの装置のインテグリティチェックに関して説明された全てのオプションは、第一の装置が第二の装置と通信するのを試みるときにも利用可能である。たとえば、装置505及び装置510は、複数の埋め込まれたインテグリティ値のレジスタにより構成される。装置505が装置510と通信するのを試みるとき、装置510は、装置510の埋め込まれたインテグリティ値のレジスタに記憶されている1以上の値に対して、装置505の測定されたインテグリティ値を比較する。幾つかの実施の形態では、装置505は、様々な式に基づいた複数の測定されたインテグリティ値を有する。装置510は、装置505のそれぞれ測定されたインテグリティ値を装置510の1以上の埋め込まれたインテグリティ値と比較する。装置510は、図2の装置105に関して記載された比較と同様な様々な比較の結果に依存して異なる指示を提供するポリシーを有する。
【0052】
図6は、第二の装置と通するのを試みる第一の装置の信頼水準を第二の装置が判定するのを可能にする方法600の実施の形態を示す。本方法は、ステップ605で開始し、ステップ605で、第二の装置は、第一の装置の測定されたインテグリティ値を受信する。ステップ610では、第二の装置は、その埋め込まれたインテグリティ値を第一の装置により送信された測定されたインテグリティ値に比較する。ステップ615では、2つの値が整合するかに関する判定が行われる。2つの値が整合しない場合、ステップ620で、第二の装置は、第一の装置が信頼できないと判定し、第一の装置との通信が拒否される。2つの値が整合すると本方法が判定した場合、ステップ625で、第二の装置は第一の装置が信頼できると判定し、第一の装置との通信を継続する。
【0053】
当業者であれば、本方法600が様々な他のステップを含むことを認識されるであろう。たとえば、本方法600は、第一の装置の測定されたインテグリティ値に依存して、第一の装置について異なる信頼水準を決定するステップを含む。信頼水準に依存して、第二の装置は、装置に記憶されているポリシーに従ってデータを処理する場合がある。第一の装置の測定されたインテグリティ値が第二の装置の埋め込まれたインテグリティ値に整合しない場合、第二の装置は、第一の装置がより多くの情報又は診断データを送信することを要求する。この情報は、第一の装置の識別子、第一の装置の1以上の中間の測定された値、及び第一の装置に割り当てる信頼水準の決定において、第二の装置を支援する他の情報を含む。この情報は、そのポリシーに従って第一の装置から送信されたデータをどのように処理すべきかの判定において第二の装置を誘導する。幾つかの実施の形態では、本方法は、第二の装置がバックエンドサーバに連絡を取ることを要求する。第二の装置は、第一の装置に割り当てる信頼水準の決定においてバックエンドサーバを支援するため、第一の装置から情報又は診断データを送信する。
【0054】
図7は、第一の装置から第二の装置にデータを送信することに関連するポリシーの適用を容易にする方法700の実施の形態を例示する。本方法は、ステップ705で開始し、この場合、第一の装置は、第二の装置にデータを送出する。ステップ710で、第一の装置が送出しようと試みるデータの少なくとも1部がプロテクトされた分類にあるかに関する判定が行われる。データがより重要なデータに対応する場合、データはプロテクトされた分類にある。幾つかの実施の形態では、管理データ及び/又は制御データはプロテクトされた分類にあり、メータデータは、プロテクトされていない。データの一部がプロテクトされた分類にない場合、本方法は、ステップ715に進み、ステップ715で、第一の装置は、第二の装置にデータを送出する試みを継続する。
【0055】
第一の装置が送信しようとするデータの少なくとも一部がプロテクトされた分類にあると判定された場合、本方法はステップ720に進み、ステップ720で、第一の装置の測定されたインテグリティ値が決定される。ステップ720は、図4に示された方法305に挙げられたのと同じステップを有する。ステップ725では、第一の装置の測定されたインテグリティ値は、第一の装置の埋め込まれたインテグリティ値に比較される。ステップ730で、第一の装置の埋め込まれたインテグリティ値が第一の装置の測定されたインテグリティ値に整合するかに関する判定が行われる。値が整合する場合、本方法はステップ715に進み、ステップ715で、第一の装置は、第二の装置にデータを送出する試みを継続する。本方法が値が整合しないと判定した場合、本方法は、ステップ735に進み、ステップ735で、データ送信がポリシーに従って制限される。この制限は、データが全く送出されないか、又は制限された量のデータが送信において送出されることによる。たとえば、第一の装置は、データのプロテクトされていない部分を送出する試みを継続する。幾つかの実施の形態では、本方法700は、更なる指示のためにバックエンドサーバに連絡を取ることを継続する。第一の装置が第二の装置にデータを送信する試みを継続するかの判定においてバックエンドサーバを支援するため、第一の装置は、バックエンドサーバに情報及び/又は診断データを送出する。
【0056】
図8は、第一の装置から第二の装置でデータを受信することに関連するポリシーの適用を容易にする方法800の実施の形態を例示する。本方法は、ステップ805で開始し、ステップ805で、第二の装置は、第一の装置からデータを受信する。ステップ810で、第一の装置から受信されたデータの少なくとも1部がプロテクトされた分類にあるかに関する判定が行われる。データの一部がプロテクトされた分類にないと判定された場合、本方法は、ステップ815に進み、ステップ815で、第二の装置は、そのポリシーに従って通常のやり方で第一の装置からのデータを処理する。
【0057】
ステップ810で、データの少なくとも1部がプロテクトされた分類にあると判定された場合、本方法は、ステップ820に進む。ステップ820で、第一の装置の測定されたインテグリティ値は、第二の装置の埋め込まれたインテグリティ値と比較される。第一の装置がその最初のデータの送信によりその測定されたインテグリティ値を最初に送出していない場合、第二の装置は、この時、第一の装置の測定されたインテグリティ値を要求する。ステップ825で、第一の装置の測定されたインテグリティ値の値が第二の装置の埋め込まれたインテグリティ値に整合するかに関する判定が行われる。値が整合する場合、本方法はステップ815に進み、ステップ815で、第一の装置から送信されたデータは、通常のやり方で第二の装置により処理される。ステップ825で、値が整合しないと判定された場合、本方法はステップ830に進み、ステップ830で、第一の装置から送信されたデータの処理は、第二の装置のポリシーに従って制限される。所定の実施の形態では、第二の装置は、第一の装置から送信されたデータにどのようなデータが許可されるかを判定するため、バックエンドサーバに連絡する。第二の装置は、第二の装置が第一の装置により送出されたデータの処理を制限すべきかの判定においてバックエンドサーバを支援するため、バックエンドサーバに第一の装置の情報及び/又は診断データを送出する。
【0058】
本発明の範囲から逸脱することなしに、本明細書で開示された方法に対して、変更、追加又は省略が行われる場合がある。本方法は、より多くのステップ、少ないステップ又は他のステップを含む場合がある。たとえば、本方法800は、1以上の中間の測定された値を第一の装置から要求するステップを含む。第一の装置から送出されたデータに適用されるポリシーは、これら中間の測定された値の1以上に依存する。さらに、適切な順序でステップが実行される場合がある。
【0059】
本発明の範囲から逸脱することなしに、本明細書で開示されるシステム及び方法に対して変更、追加又は省略が行われる場合がある。システム及び装置のコンポーネントは、統合されるか又は分離される場合がある。たとえば、ゲートウェイ110は、1つのゲートウェイ110に纏められる場合がある。システム及び装置の動作は、より多くの構成要素、少ない構成要素、又は他の構成要素により行われる場合がある。たとえば、通院処理モジュール215及び測定処理モジュール220の動作は、1つの構成要素により実行される場合があり、又は、制御処理モジュール205の動作は、1を超える構成要素により行われる場合がある。さらに、システム及び装置の動作は、ソフトウェア、ハードウェア及び/又は他のロジックを有する適切なロジックを使用して実行される場合がある。本明細書で使用されたとき、「それぞれ」は、あるセットのそれぞれのメンバ又はあるセットのサブセットのうちのそれぞれのメンバを示す。
【0060】
本明細書で開示されるシステム及び装置の構成要素は、インタフェース、ロジック、メモリ、及び/又は他の適切な構成要素を含む場合がある。インタフェースは、入力を受信し、出力を送出し、入力及び/又は出力を処理し、及び/又は、他の適切な動作を実行する。インタフェースは、ハードウェア及び/又はソフトウェアを有する。
【0061】
ロジックは、たとえば入力から出力を生成する命令を実行することで、コンポーネントの動作を実行する。ロジックは、ハードウェア、ソフトウェア、及び/又は他のロジックを含む場合がある。ロジックは、1以上の有形の媒体にエンコードされ、コンピュータにより実行されたときに動作を実行する場合がある。プロセッサのような所定のロジックは、構成要素の動作を管理する場合がある。プロセッサの例は、1以上のコンピュータ、1以上のマイクロプロセッサ、1以上のアプリケーション、及び/又は他のロジックを含む。
【0062】
特定の実施の形態では、実施の形態の動作は、コンピュータプログラム、ソフトウェア、コンピュータ実行可能な命令、及び/又はコンピュータにより実行可能な命令でエンコードされた1以上のコンピュータ読み取り可能な記録媒体により実行される場合がある。特定の実施の形態では、実施の形態の動作は、コンピュータプログラムを記憶する1以上のコンピュータ読み取り可能な記録媒体、コンピュータプログラムで実施される1以上のコンピュータ読み取り可能な記録媒体、及び/又はコンピュータプログラムでエンコードされた1以上のコンピュータ読み取り可能な記録媒体、及び/又は、記憶及び/又はエンコードされたコンピュータプログラムを有する1以上のコンピュータ読み取り可能な記録媒体により実行される。
【0063】
ストレージユニット、リポジトリ、及びレジスタは、それぞれメモリを有する場合がある。メモリは情報を記憶する。メモリは、1以上の一時的でない、有形のコンピュータ読み取り可能及び/又はコンピュータ実行可能な記憶媒体を有する場合がある。メモリの例は、コンピュータメモリ(たとえばランダムアクセスメモリ(RAM)又はリードオンリメモリ(ROM)、大容量記憶媒体(たとえばハードディスク)、取り外し可能な記憶媒体(たとえばコンパクトディスク(CD)又はデジタルビデオディスク(DVD)、データベース及び/又はネットワークストレージ(たとえばサーバ)、及び/又は他のコンピュータ読み取り可能な記録媒体)を含む場合がある。
【0064】
本明細書の開示は、所定の実施の形態の観点で記載されたが、本実施の形態の変更及び置き換えは、当業者により明らかとなるであろう。従って、実施の形態の先の記載は、この開示の制限するものではない。以下の特許請求の範囲により定義されるように、この開示の精神及び範囲から逸脱することなしに、他の変形、置き換え、及び変更が可能である。
【0065】
以下に、本発明の特徴点を付記として示す。
(付記1)
デバイスインテグリティの認証のための方法であって、
装置の測定されたインテグリティ値をプロセッサを使用して決定するステップと、
前記測定されたインテグリティ値を前記装置の埋め込まれたインテグリティ値とプロセッサを使用して比較するステップと、
前記比較に基づいて前記装置へのポリシーの適用を容易にするステップと、
を含むことを特徴とする方法。
(付記2)
前記装置の1以上のセクタ値に基づいて前記測定されたインテグリティ値を決定するステップを更に含む、
付記1記載の方法。
(付記3)
前記装置の1以上のセクタ値の合計を計算するステップを更に含む、
付記2記載の方法。
(付記4)
前記測定されたインテグリティ値を決定するために使用される複数のセクタ値のサブセットに基づいて中間の測定された値を決定するステップを更に含む、
付記1記載の方法。
(付記5)
前記装置のプロテクトされたセクションに前記埋め込まれたインテグリティ値及びポリシーの少なくとも1つを記憶するステップを更に含む、
付記1記載の方法。
(付記6)
前記装置の識別子に基づいて前記ポリシーの少なくとも1つを決定するステップを更に含む、
付記1記載の方法。
(付記7)
前記識別子は、前記装置に固有である、
付記6記載の方法。
(付記8)
前記ポリシーは、前記測定されたインテグリティ値が前記埋め込まれたインテグリティ値に整合しない場合に、前記装置の1以上の機能を変更することを含む、
付記1記載の方法。
(付記9)
前記ポリシーは、バックエンドサーバに情報を送信することを含む、
付記1記載の方法。
(付記10)
前記情報は、前記測定されたインテグリティ値、前記装置の識別子、中間の測定された値の少なくとも1つを含み、前記中間の測定された値は、前記測定されたインテグリティ値を決定するために使用された複数のセクタ値のサブセットに基づく、
付記9記載の方法。
(付記11)
前記バックエンドサーバから、前記バックエンドサーバに送信された情報に従って決定された装置のポリシーを受信するステップと、
前記装置のポリシーを前記装置に適用するステップと、
を更に含む付記9記載の方法。
(付記12)
予め決定されたスケジュール及び前記装置の外部からの要求のうちの1つに応答して、前記測定されたインテグリティ値を決定するステップを更に含む、
付記1記載の方法。
(付記13)
装置のインテグリティの認証のためのシステムであって、
装置の測定されたインテグリティ値を決定し、前記測定されたインテグリティ値を前記装置の埋め込まれたインテグリティ値と比較するインテグリティチェック処理モジュールと、
前記比較に基づいて複数のポリシーのうちの1つを前記装置に適用するのを容易にする制御処理モジュールと、
を備えることを特徴とするシステム。
(付記14)
前記測定されたインテグリティ値は、前記装置の1以上のセクタ値に基づく、
付記13記載のシステム。
(付記15)
前記インテグリティチェック処理モジュールは、装置の1以上のセクタ値の合計を計算する、
付記14記載のシステム。
(付記16)
前記インテグリティチェック処理モジュールは、測定されたインテグリティ値を決定するために使用される複数のセクタ値のサブセットに基づいて中間の測定された値を決定し、前記中間の測定された値を記憶する、
付記13記載のシステム。
(付記17)
前記制御処理モジュールは、装置のプロテクトされたセクションに前記埋め込まれたインテグリティ値及びポリシーの少なくとも1つを記憶する、
付記13記載のシステム。
(付記18)
前記ポリシーの少なくとも1つは、前記装置の識別子に基づく、
付記13記載のシステム。
(付記19)
前記識別子は、前記装置に固有である、
付記18記載のシステム。
(付記20)
前記少なくとも1つのポリシーは、前記測定されたインテグリティ値が前記埋め込まれたインテグリティ値に整合しない場合に、前記装置の1以上の機能を変更することを含む、
付記13記載のシステム。
(付記21)
前記少なくとも1つのポリシーは、バックエンドサーバに情報を送信することを含む、
付記13記載のシステム。
(付記22)
前記情報は、前記測定されたインテグリティ値、前記装置の識別子、中間の測定された値の少なくとも1つを含み、前記中間の測定された値は、前記測定されたインテグリティ値を決定するために使用された複数のセクタ値のサブセットに基づく、
付記21記載のシステム。
(付記23)
前記制御処理モジュールは、前記バックエンドサーバから、前記バックエンドサーバに送信された情報に従って決定された装置のポリシーを受信し、
前記制御処理モジュールは、前記装置のポリシーを前記装置に適用する、
付記21記載のシステム。
(付記24)
前記インテグリティチェック処理モジュールは、予め決定されたスケジュール及び前記装置の外部からの要求のうちの1つに応答して、前記測定されたインテグリティ値を決定する、
付記13記載のシステム。
【符号の説明】
【0066】
100:システム
105:装置
110:ゲートウェイ
115:バックエンドサーバ
【技術分野】
【0001】
本発明は、ネットワーク装置に関し、より詳細には、デバイスインテグリティの認証の方法及びシステムに関する。
【背景技術】
【0002】
次世代の使用に準備するため、国家の老朽化している配電網を近代化させる試みが増加している。この近代化は、ネットワーク化されて遠隔制御される多くの産業制御機器により配電網にデジタル化をもたらしている。しかし、これらの機器がどのように相互接続されて通信するかに関する詳細は、独自仕様のままである。近代化により、ますます多くの装置がネットワークに追加され、オープンスタンダード及び技術により実現される。ネットワーク化される機器の例は、電力使用のメータの読み取りを提供する顧客の敷地に配置されるスマートメータである。スマートメータは、制限された保護又は不十分なセキュリティの措置により配置される。幾つかのスマートメータは、メータが何時開いたか又は移動されたかを検出することができる不正検出メカニズムが設けられる場合がある。これに応じて、メータは、シャットダウンするか又は警告信号を送出する。多くの実現では、スマートメータは、あるメータから別のメータに重要データを送出する。ネットワークにおけるあるメータが危険にさらされると、この重要データは、不正利益のためにシステムの動作に悪影響を及ぼすために使用することができる。現在のスマートメータは、インサイダーによる攻撃、又はスマートメータにおいて実行されるソフトウェアに影響を及ぼすゼロデイ攻撃を遠隔的に検出する機能を有していない。
【発明の概要】
【課題を解決するための手段】
【0003】
以上から、装置におけるエラーを検出し、遠隔のソフトウェアの不正使用又はインサイダ攻撃からネットワーク装置を保護する必要が生じていることが当業者により理解されるであろう。本発明によれば、ネットワークにおける従来の装置のセキュリティに関連する課題及び問題点を実質的に解消するか、大幅に低減するデバイスインテグリティの認証の方法及びシステムが提供される。
【0004】
本発明の1実施の形態によれば、デバイスインテグリティの認証の方法が提供され、ある装置の測定されたインテグリティの値をプロセッサを使用して決定するステップを含む。装置の測定されたインテグリティの値は、プロセッサにより装置の埋め込まれたインテグリティの値と比較される。比較に基づいて装置へのポリシーの適用が支援される。
【0005】
本発明の所定の実施の形態は、1以上の技術的利点を提供する。1実施の形態の技術的利点の例は、そのインテグリティを決定するためにセルフチェックを装置に実行させる。別の技術的利点は、インテグリティの認証の結果に基づいて、装置にポリシーを適用することである。
【0006】
本発明の所定の実施の形態は、上記技術的利点の一部又は全部を含む。1以上の他の技術的利点は、図面、詳細な説明、及び本明細書に含まれる特許請求の範囲から当業者により容易に明らかとなるであろう。
【図面の簡単な説明】
【0007】
本発明の更に完全な理解のため、及び本発明の更なる特徴及び利点の理解のため、添付図面と共に以下の説明が参照され、同じ参照符号は、同じ構成要素を表す。
【図1】ネットワーク装置をもつシステムの例示的な実施の形態を示す図である。
【図2】ネットワークにおける装置の例示的な実施の形態を示す図である。
【図3】装置においてセキュリティチェックを実行する方法の例示的な実施の形態を示す図である。
【図4】装置の測定されたインテグリティの値を計算する方法の例示的な実施の形態を示す図である。
【図5】2つの装置及びバックエンドサーバを持つシステムの例示的な実施の形態を示す図である。
【図6】第二の装置が第一の装置の信頼水準を決定するのを可能にする方法の例示的な実施の形態を示す図である。
【図7】第一の装置から第二の装置にデータを送信する方法の例示的な実施の形態を示す図である。
【図8】第一の装置から第二の装置でデータを受信する方法の例示的な実施の形態を示す図である。
【発明を実施するための形態】
【0008】
図1は、1以上の装置105にポリシーを適用するのを容易にするシステム100の実施の形態を示す。この実施の形態では、システム100は、装置105、ゲートウェイ110及びバックエンドサーバ115を有するネットワークを含む。装置105は、互いに通信し、ゲートウェイ110と通信する。装置105は、所定の実施の形態では、直接に又はゲートウェイ110を通して、バックエンドサーバ115と通信する。以下の図で更に詳細に記載されるように、様々な状況下で、装置105は、あるポリシーに従って所定の動作を行う。装置105は、ローカルストレージにおいてポリシーを記憶するか、代替的に、外部ソースは、ポリシーを装置105に伝達する。たとえば、ポリシーは、他の装置105から、ゲートウェイ110及び/又は他の装置105を介してバックエンドサーバ115から、或いはバックエンドサーバ115から直接的に到来する。
【0009】
装置105、ゲートウェイ110及びバックエンドサーバ115は、適切な通信ネットワークに結合される。通信ネットワークは、以下のうちの1以上の一部又は全部を有する。公衆交換電話網(PSTN)、公衆又は私設データネットワーク、ローカルエリアネットワーク(LAN)、メトロポリタンエリアネットワーク(MAN)、ワイドエリアネットワーク(WAN)、インターネットのようなローカル、地域又はグローバル通信又はコンピュータネットワーク、有線又は無線ネットワーク、企業イントラネット、他の適切な通信リンク、又は上述の何れかの組み合わせ。たとえば、所定の実施の形態では、ゲートウェイ110は、ファイババックボーンによりバックエンドサーバ115に接続される。さらに、装置105は、他の装置105、ある装置105からゲートウェイ110、及びバックエンドサーバ115に無線でデータを送信する無線送信機を有する。
【0010】
システム100の特定の実施の形態では、装置105は、電気公益事業の顧客の電力使用量を測定するスマートメータとして動作する。装置105がスマートメータとして動作するとき、これらの装置は、メッシュネットワークを形成し、このメッシュネットワークでは、管理データ、制御データ、及びメータデータは、装置から装置へと送信され、それぞれの装置は、中継ノードとしての役割を果たす。これらの実施の形態では、バックエンドサーバ115は、電気公益事業会社に位置される。メータデータは、特定の顧客の敷地内での電力使用に関する情報を含む。制御データは、1以上の装置105の特定のコンポーネントの制御に関連するデータを有する。管理データは、ネットワークの形成及び維持に関連するデータを有する。たとえば、管理データは、特定の装置105からのデータがバックエンドサーバ115に到達するために要する経路を示す。
【0011】
スマートメータネットワークにおける装置又はノードが危険にさらされる場合、あるノードから送出されるデータは、様々な違法な目的で使用されるような危険にさらされる場合がある。たとえば、管理データは、ネットワークのルーティング機能を乱すために使用される。制御データは、電力を遠隔的に接続又は遮断するために使用される場合がある。メータデータは、経済的な利益のために電力使用量を偽って報告するために使用される。以下の図の説明において更に十分に記載されるように、あるポリシーは、異なるタイプのデータと関連付けされ、このポリシーは、危険にさらされたデータの送信を低減するのを助け、及び/又は危険にさらされたデータがネットワークにおける他のコンポーネントに有する影響を低減するのを助ける。システム100のコンポーネントは、様々な暗号化及び鍵管理技術を使用して互いに通信する。
【0012】
他の実施の形態では、装置105は、ある装置の範囲の何れかである場合がある。たとえば、スマートメータに加えて、装置105は、スマート配電網の他のコンポーネントの幾つかを有する。さらに広く言えば、装置105は、監督制御及びデータ取得(SCADA: Supervisory Control And Data Acquisition)又は産業用制御システムの1以上のコンポーネントを有する。他の実施の形態では、装置105は、ホームエリアネットワーク(HAN)で配置される装置である。当業者であれば、装置105がHANのような比較的に小規模ネットワークに配置されるか、或いは、地区又は市にわたり配置される配電網のような大規模ネットワークとして配置される。
【0013】
図2は、あるポリシーの適用を容易にする装置105の実施の形態を示す。所定の実施の形態では、装置105は、制御処理モジュール205を含み、このモジュールは、装置105の動作及び機能にわたる一般的な制御を有する。制御処理モジュール205は、インテグリティチェック処理モジュール210、通信処理モジュール215、測定処理モジュール220及び他の一般的な処理モジュール225のような装置105の異なる機能を実行する幾つかの処理モジュールに結合される。これらの処理モジュールは、様々な機能を実行する。幾つかの実施の形態では、制御処理モジュール205は、ポリシーリポジトリ230、汎用ストレージ235、及び/又は装置識別子レジスタ245に結合される。ポリシーリポジトリ230は、所定の条件下で装置105に適用されるポリシーを含む。汎用ストレージ235は、制御処理モジュール205及び装置105に含まれる他の処理モジュールにより一般的にアクセス可能なストレージユニットを有する。装置識別子レジスタ245は、装置105の識別子の値を含むように構成される。
【0014】
通信処理モジュール215、測定処理モジュール220及び汎用処理モジュール225は、広い範囲の機能を実行する。所定の実施の形態では、通信処理モジュール215は、他の装置105、ゲートウェイ110、バックエンドサーバ115又は任意の他の外部ソースからの通信を送信又は受信する。また、通信処理モジュールは、所定の情報が特定の目的地に到達するために要する経路の決定を支援する。たとえば、通信処理モジュール215は、あるデータの送信が特定の他の装置105、特定のゲートウェイ110又はバックエンドサーバ115に到達するために、どの他の装置105と通信すべきかを判定する。装置105が電力のスマートメータである実施の形態では、測定処理モジュール220は、電力の顧客の敷地内の電力使用量を測定する。汎用処理モジュール225は、装置105に近い周辺の環境要素の測定、装置105の各種エレメントの試験、及び装置105の適切な温度の維持、のような多数の機能を実行する。通信処理モジュール215、測定処理モジュール220、及び汎用処理モジュール225は、ポリシーリポジトリ230に記憶されるあるポリシーに従って制御処理モジュール205の指示の下で動作する。
【0015】
装置識別子のレジスタ245を含む実施の形態では、装置105の識別子、以下に更に詳細に記載されるように、どのポリシーを装置105に適用すべきかを判定するために使用される。限定されるものではない例として、識別子は、MAC(Media Access Control)アドレス又はIP(Internet Protocol)アドレスを含む。識別子は、ランタイムで装置識別子レジスタ245といったハードウェアに組み込みされているか、ハードコードされているか、又は、代替的に、装置105の配置後に更新可能である場合がある。識別子は、複数の装置105における特定の装置105を一意的に識別する点で固有である。代替的に、特定の装置105の装置識別子レジスタ245に含まれる識別子は、1以上の他の装置105の識別子と同じである。これは、たとえば多数の地区を有する市において生じる場合がある。特定の地区に共通する装置は、共通の識別子を共有する。装置105の所定の実施の形態は、装置識別子レジスタ245を持たないか、1,2又は2を超える装置識別子レジスタを含む。これらは、本明細書で説明される識別子のタイプの組み合わせを含むように構成される。
【0016】
所定の実施の形態では、装置105がひとたびフィールドに配置されると装置識別子レジスタ245が変更することが困難になるように、装置識別子レジスタ245は、装置105の保護されたセクションにある場合がある。装置105の保護されたセクションは、ハードウェア、ソフトウェア又はファームウェアで構成される。たとえば、装置識別子レジスタ245は、リードオンリメモリの一部であるか又は変更不可能であるように構成されるプログラムから計算される。
【0017】
埋め込まれたインテグリティ値のレジスタ240は、以下に更に詳細に記載されるように、そのインテグリティチェックを実行するとき、インテグリティチェック処理モジュール210によりアクセスすることができる値を記憶する。埋め込まれたインテグリティ値のレジスタ240に記憶された値は、装置105の製造時にプログラムされる場合がある。代替的に、埋め込まれたインテグリティ値のレジスタ240に記憶された値は、たとえばシステムの大規模なアップグレードに応答して、後にプログラムされる場合がある。埋め込まれたインテグリティ値のレジスタ240は、装置識別子レジスタ245について上述されたのと同じやり方で装置105、保護されたセクションの一部である場合がある。幾つかの実施の形態では、装置108は、多数の埋め込まれたインテグリティ値レジスタ240を利用する場合がある。これらの実施の形態では、埋め込まれたインテグリティ値のレジスタは、ハードウェア、ファームウェア又はソフトウェアのような様々なフォーマットを利用する場合がある。このアプローチは、以下に更に記載されるように、インテグリティチェック処理モジュール210のインテグリティチェック機能における冗長度を許容する。
【0018】
所定の実施の形態では、インテグリティチェック処理モジュール210は、装置測定されたインテグリティ値を決定し、決定されたインテグリティ値を埋め込まれたインテグリティ値のレジスタ240に記憶される埋め込まれたインテグリティ値に比較することで、インテグリティチェックを実行する。インテグリティチェック処理モジュール210は、装置105の他の処理モジュール及び/又はソフトウェアの1以上のセクタ値を集めることで、装置105の測定されたインテグリティ値を決定する。セクタ値は、指定されたレジスタ、メモリブロック、コードブロック又はモジュールの他のコンポーネントから到来する。インテグリティチェック処理モジュール210は、通信処理モジュール215、測定処理モジュール220、及び1以上の汎用処理モジュール225のセクタ値を決定する。次いで、インテグリティチェック処理モジュール210は、これらの処理モジュールのセクタ値を加算し、測定されたインテグリティ値がこれらセクタ値の合計となる。他の実施の形態では、インテグリティチェック処理モジュール210は、1以上の予め決定された処理モジュールのセクタ値に基づいてチェックサムを計算する。
【0019】
インテグリティチェックの処理モジュール210は、本発明の開示の範囲のままで、多数の式の何れかを使用して測定されたインテグリティの値を決定する。所定の実施の形態では、式は、セクタ値に加えて、日時、日付、装置の周りの周囲光の大きさ、装置の周りの周囲温度、ゲートウェイ110又はバックエンドサーバ115への近さ、及び/又は装置105がスマートメータである場合にメータの使用量のような他の要素からなる関数である。これらの実施の形態では、埋め込まれた値のレジスタに記憶された値は、式に従ってこれら他の要素の値に依存して変化する。インテグリティチェックを行うときに様々な式の使用は、非道な第三者が装置を危険にすることのリスクを低減する場合がある。
【0020】
多数の埋め込まれたインテグリティ値レジスタ240を採用した所定の実施の形態では、インテグリティチェック処理モジュール210は、埋め込まれたインテグリティ値レジスタ240のそれぞれの集合に対して測定されたインテグリティ値を比較するためにプログラムされる。代替的に、インテグリティチェック処理モジュール210は、インテグリティ値レジスタ240のサブセットの集合に対して測定されたインテグリティ値を比較する。幾つかの実施の形態では、インテグリティチェック処理モジュール210は、多数の測定されたインテグリティ値を計算するために構成される。インテグリティチェック処理モジュール210は、1以上の測定されたインテグリティ値を1以上の埋め込まれたインテグリティ値に比較する。インテグリティチェック処理モジュール210は、処理モジュール205を制御するため、多数の比較の結果を報告する。ポリシーリポジトリに記憶されるポリシーは、以下に更に説明されるように、比較の結果に依存して指示を提供する。
【0021】
所定の実施の形態では、インテグリティチェック処理モジュール210は、最終的に測定されたインテグリティ値又はハッシュ値とも呼ばれる、上述された測定されたインテグリティ値に加えて、中間の測定された値を記憶する。これら中間の値は、最終的に測定されたインテグリティ値を決定するために使用されるセクタ値のサブセットに基づいている。たとえば、第一の中間値は、通信処理モジュール215及び測定処理モジュール220のセクタ値に基づいている。第二の中間値は、通信処理モジュール215、測定処理モジュール220、及び汎用処理モジュール225のうちの1つのセクタ値に基づいている。所定の実施の形態では、第一の中間値は、通信処理モジュール215と測定処理モジュール220のセクタ値の合計である。第二の中間値は、たとえば通信処理モジュール215、測定処理モジュール220、及び汎用処理モジュール225のうちの1つのセクタ値の、合計又は排他的論理和(XOR)を含む数値である。インテグリティチェック処理モジュール210は、これらの中間値を汎用ストレージ235に記憶する。制御処理モジュール205は、ポリシーリポジトリ230に記憶されたポリシーに従って、汎用ストレージ205からこれらの値にアクセスする。
【0022】
インテグリティチェック処理モジュール210は、所定の実施の形態における信頼されるコンピュータグループからの信頼されるプラットフォームモジュール(TPM: Trusted Platform Module)により実現される場合がある。TPMは、オープンな国際標準に依存し、装置105の他の処理モジュールとの統合の試みを容易にする。
【0023】
インテグリティチェック処理モジュール210は、処理モジュール205を制御するため、埋め込まれたインテグリティ値のレジスタ240における値と測定されたインテグリティ値との比較の結果を報告する。制御処理モジュール205は、インテグリティチェック処理モジュール210により実行されるインテグリティチェックの結果に基づいてポリシーリポジトリ230における1以上のポリシーを適用する。ポリシーリポジトリ230は、装置識別子レジスタ245について上述されたのと同様にやり方で装置105の保護されたセクションの一部である。ポリシーリポジトリ230の保護のレベルは、所定の状況下で個々のポリシーを、不正防止の機能をより高いものにする。
【0024】
比較の結果に依存して、ポリシーは、装置105の1以上の処理モジュールの動作機能を変更するように制御処理モジュール205に指示する。所定の実施の形態では、値が整合しない場合、ポリシーは、装置105の1以上の処理モジュールを無効にするように制御処理モジュール205に指示する。たとえば、制御処理モジュール205は、通信処理モジュール215、測定処理モジュール220、又は1以上の汎用処理モジュール225の機能を無効にするか、又はさもなければ機能を制限する。通常の動作において、通信処理モジュール215は、他の装置105と通信し、任意のタイプのデータを他の装置105に伝達するように、フル機能のセットで動作する場合がある。測定されたインテグリティ値が埋め込まれたインテグリティ値と整合しない例では、制御処理モジュール205は、ポリシーに従って、通信処理モジュール215の機能を完全に無効にし、その通信機能を所定のデータタイプを伝達することに制限する。所定の実施の形態において、通信処理モジュール215は、メータデータを送信することが許可されるが、管理データ又は制御データの何れかを送信することは許可されない。他の実施の形態では、ポリシーは、装置105全体を無効にするように制御処理モジュール205に指示する。
【0025】
所定の実施の形態では、装置105のデフォルト又は通常のポリシーは、装置105の所定の処理モジュールが無効にされたことを提供する。装置105の有効にされた処理モジュール又は(別の装置105のような)外部の動作主が装置105の正常に無効にされた処理モジュールにより実行される機能を要求する場合、ポリシーは、インテグリティチェック処理モジュール210によるインテグリティチェックを実行することを装置105に要求する。幾つかの実施の形態では、制御処理モジュール205は、インテグリティチェックが上述された説明に従って整合する場合に正常に無効にされた処理モジュールを有効にする。当業者であれば、あるポリシーが制御処理モジュール205に、インテグリティチェック処理モジュール210によるインテグリティチェックの結果に従って装置105の様々な処理モジュールの機能のレベルを開始、停止又は維持するように指示することを認識することであろう。
【0026】
最終的に測定されたインテグリティ値が埋め込まれたインテグリティ値に整合しない場合、ポリシーリポジトリ230に記憶されているポリシーは、制御処理モジュール205に、汎用ストレージ235に記憶されている1以上の中間値を検索するように指示する。ポリシーリポジトリ230に記憶されているポリシーは、所定の中間値に依存して異なる対策を有する。たとえば、1以上の中間値に依存して、ポリシーは、装置105の唯一の処理モジュールを無効にするように制御処理モジュール205に指示する。この例に従って、他の汎用処理モジュール225及び通信処理モジュール215がそれらの現在の機能を維持したままにする一方、汎用処理モジュール225のうちの1つを無効にするように、制御処理モジュール205を指示する。最終的に測定されたインテグリティ値と同様に、所定の中間値が期待される。所定の中間値は、所定の処理モジュールのセクタ値に直接的に依存する。ポリシーは、セクタ値に対応する処理モジュールを無効にするように制御処理モジュールに指示し、このセクタ値は、測定されたインテグリティ値と合計されたとき、不適切な結果を生じる。
【0027】
所定の実施の形態では、たとえば装置105が複数の埋め込まれたインテグリティ値のレジスタ240を含む場合に、インテグリティチェック処理モジュール210は、複数の比較の結果を報告する。複数の埋め込まれたインテグリティ値のレジスタ240を持つ実施の形態では、ポリシーリポジトリ230に記憶されたポリシーは、どの位多くの比較が整合することができないかに依存して様々なオプションを提供する。たとえば、3つの埋め込まれたインテグリティ値のレジスタ240を採用する装置105において、ポリシーは、残りの1又は複数の不覚が整合しない一方、1又は複数の比較が上手く整合する場合に、係属された機能を可能にする。これらの比較のそれぞれについて、1以上の中間値は、上述された手順に従って決定される。インテグリティチェック処理モジュール210は、制御処理モジュール205による後のアクセスのため、汎用ストレージ235において、比較のそれぞれについて1以上の決定された中間値を記憶する。制御処理モジュール205は、たとえば測定されたインテグリティ値が埋め込まれたインテグリティ値のレジスタ240に記憶されている値と整合しない場合に、1以上の中間値にアクセスする。
【0028】
所定の実施の形態では、ポリシーリポジトリ230に記憶されているポリシーは、インテグリティチェックが失敗した場合に、通信処理モジュール215がバックエンドサーバ115に連絡するのを試みるのを可能にするように、制御処理モジュール205に指示する。バックエンドサーバ115は、装置105に適用すべきポリシーを決定する。どのような機能を装置105が実行するのを許可されるべきかを決定することにおいてバックエンドサーバ115を支援するため、装置105は、所定の情報をバックエンドサーバ115に送信する。この情報は、測定されたインテグリティ値、装置識別子レジスタ245に記憶されている値、中間の測定された値、及び/又は装置105に適用すべきポリシーを決定するためにバックエンドサーバを支援するのに適した他の情報を含む幾つかのアイテムを含む。この情報に基づいて、バックエンドサーバ115は、適用すべき装置105のポリシーを送信する。このポリシーは、ポリシーリポジトリ230に記憶されているポリシーに類似して、処理モジュール215,220及び/又は225がそれらの現在の機能を開始、停止又は維持するのを可能にするように、制御処理モジュール205に指示する。所定の実施の形態では、バックエンドサーバ115は、装置105を完全に無効にするように制御処理モジュール205に指示するポリシーを送信する。所定の実施の形態では、バックエンドサーバ115は、現場での故障修理のために装置105の位置に技術者を自動的に派遣する。
【0029】
バックエンドサーバ115は、幾つかの実施の形態では、適用すべき装置105のポリシーの決定において、装置105により送信された識別子を使用する。たとえば、装置105が他の装置105による通信経路について強く依存しているように位置されることをバックエンドサーバが識別子から判定した場合、その通信処理モジュール215についてフルレベルの機能を維持するように装置105に指示するポリシーを送信する。別の例では、バックエンドサーバ115は、他の適切な通信ノードがすぐ近くにある場合にその通信処理モジュール215をシャットダウンする指示を提供する。
【0030】
図3は、インテグリティチェックを開始し、インテグリティチェックの結果に従ってポリシーの適用を支援する方法300の実施の形態を例示する。本方法はステップ305で開始し、ステップ305で、装置105のインテグリティチェック処理モジュールは、装置105の測定されたインテグリティ値を計算する。ステップ305の実施の形態は、図4の説明の間に更に十分に記載される。ステップ310で、埋め込まれたインテグリティ値は、装置105の測定されたインテグリティ値に比較される。ステップ315で、埋め込まれたインテグリティ値が測定されたインテグリティ値に整合するかに関する判定が行われる。値が整合する場合、本方法は、ステップ325で、パスしたインテグリティチェックについてポリシーが実行される。このポリシーは、装置105の1以上の処理モジュールの1以上の機能を有効にすること及び/又は無効にしないことを含む。
【0031】
ステップ315で値が整合しない場合、本方法は、ステップ320で、失敗したインテグリティチェックについてポリシーを実行する。このポリシーは、装置105の1以上の処理モジュールの1以上の機能を無効にすること及び/又は有効にしないことを含む。ポリシーは、汎用ストレージ235に記憶されている中間値にアクセスすることを含む。ポリシーは、これら中間値に依存して特定の処理モジュールの1以上の特徴を無効にすること及び/又は有効にしないことを提供する。たとえば、所定の中間値が期待されたものではない場合、ポリシーは、期待されない中間値に対応する特定の処理モジュールの1以上の特徴を無効にすること及び/又は有効にしないことを提供する。また、ポリシーは、バックエンドサーバ115に連絡すること、バックエンドサーバ115に所定の情報を送出すること、バックエンドサーバ115から第二のポリシーの形式で指示を受信することを含む。第二のポリシーは、送出された情報に基づいている。どのポリシーが適用されるべきかに関する判定は、測定されたインテグリティ値と埋め込まれたインテグリティ値との間の1以上の差に依存する。
【0032】
本方法300の他の実施の形態は、複数の埋め込まれたインテグリティ値及び/又は複数の測定されたインテグリティ値に関連するステップを含む。これらの実施の形態では、本方法は、これらの複数の値を利用するポリシーを適用することに向けられるステップを含む。たとえば、複数の比較が行われる場合、ポリシーは、全てのチェックがパスしない場合に、所定の比較を他の比較よりも好む。この例に従って、ポリシーは、3回の比較のうちで2回失敗したときに、処理モジュールの1以上の機能を無効にすること及び/又は有効にしないことを提供する。幾つかの実施の形態では、ポリシーは、失敗した比較を生じた埋め込まれたインテグリティ値のレジスタのタイプに依存する(たとえばハードウェア、ソフトウェア又はファームウェア)。
【0033】
また、本方法300は、汎用ストレージ235のようなストレージユニットに測定されたインテグリティ値を記憶するステップを含む。測定されたインテグリティ値は、(インテグリティチェック処理モジュール210自身の一部である)装置上の位置されるセキュアストレージに記憶される。測定されたインテグリティ値は、インテグリティチェックのその後の要求に応答してアクセスされる。ポリシーは、比較に応答して後に実行される。前もってインテグリティ値を測定すること、測定されたインテグリティ値を記憶すること、その後、インテグリティチェックの要求に応答して、比較の結果に従ってポリシーを実行することで、処理の遅延を低減することができる。たとえば、測定されたインテグリティ値が既に決定されている場合、インテグリティチェックの要求に応答するために要する時間は、測定を実行するのに要する時間の一部を除く。これにより、処理時間を低減することができる。
【0034】
所定の実施の形態では、装置がブートアップされたときに本方法300を実行するようにプログラムされる。本装置は、比較に応答して自動的にポリシーを適用するか、又はその測定されたインテグリティ値をストレージに記憶する。装置は、インテグリティチェックの要求に応答してその比較の結果に従ってポリシーを適用する。測定されたインテグリティ値が後のアクセスのためにストレージに記憶されている場合、タイムアウトと関連付けされる。タイムアウトがパスした後、装置は、インテグリティチェックの結果を判定する前に、その測定されたインテグリティ値を計算するために必要とされる。所定の実施の形態では、装置は、予め決定されたスケジュールに従って本方法300を実行する。たとえば、装置105は、一日に4回から6回の等しい時間間隔で本方法300を実行するようにプログラムされる。他の実施の形態では、装置105は、オフピーク時間の間に本方法300を実行するようにプログラムされ、この場合、オフピーク時間は、ネットワークトラヒックが他の時間よりも比較的低い時間を意味する。所定の実施の形態では、装置105は、装置105の外部からの要求に応答して本方法300を実行する。たとえば、バックエンドサーバ115は、システム100内の全ての装置105についてシステム全体のインテグリティチェックを開始する。
【0035】
図4は、装置105の測定されたインテグリティ値を計算する方法305の例示的な実施の形態である。本方法は、ステップ405で開始し、ステップ405で、装置105において測定すべきセクタのリストが読み出される。セクタは、装置105の特定の処理モジュールに対応するか、特定の処理モジュールの一部である。幾つかの実施の形態では、セクタのリストは、予め決定されており、装置105の保護されたセクションに記憶される。他の実施の形態では、予め決定されたセクタは、業界で同意されている(すなわち、測定すべきセクタのリストについてストレージは不要であるが、特定の順序で所定のセクタを測定するためにプログラムされる)。
【0036】
ステップ410で、ステップ405で取得されたリストにおける第一のセクタは、現在のセクタとして設定される。ステップ415は、現在のセクタ値が測定される。ステップ420で、本方法は、現在のセクタ値に基づいて装置105の最終的な測定された値を更新する。測定されたインテグリティがセクタ値の合計に依存する実施の形態では、ステップ420は、現在のセクタ値を最終的に測定された値に加える。合計は、最終的に測定された値として記憶される。本方法が終了したとき、最終的に測定された値は、装置105の測定されたインテグリティ値として報告される。合計の演算が記載されたが、(XOR演算を含む)他の算術演算が異なる実施の形態において実行される。
【0037】
ステップ425で、ステップ420において最終的に測定された値として記憶された値は、中間の測定された値として記憶される。幾つかの実施の形態では、この中間の測定された値は、最終的に測定された値が装置105の埋め込まれたインテグリティ値に整合しない場合に使用される場合がある。ステップ430で、ステップ405の間に取得されたリストにおいて測定すべきセクションが存在するかに関する判定が行われる。測定すべきセクションが存在する場合、ステップ435で、次のセクタが現在のセクタとして設定され、本方法は、ステップ415に進む。ステップ430で、測定すべきセクタが存在しない場合、本方法はステップ440に進む。ステップ440で、最終的に測定された値は、装置105の測定されたインテグリティ値としてリターンされる。所定の実施の形態では、本方法305は、中間の測定された値をリターンする。これらは、装置105の汎用ストレージに記憶される。
【0038】
所定の実施の形態では、本方法305は、様々な順序で、且つ図4に提供されたよりも少ないステップ又は多くのステップでそのステップを実行する。たとえば、本方法305は、中間値を記憶することなしに全てのセクタ値を合計する。代替的に、本方法305は、全ての中間値について対策を有さないポリシーに従って中間の値の幾つかのみを記憶する。幾つかの実施の形態では、本方法305は、最終的な測定された値と中間の測定された値とを決定するために必要とされる全ての計算を並列に実行する。これらの実施の形態は、「ルーピング」を必要とせず、同時の計算を実行するために、より多くのシステムリソースを必要とする。TPMの環境では、これらの値は、前の値とのXOR演算を必要とするので、並列ではなく、順次に計算される。
【0039】
図5は、装置へのポリシーの適用を支援するシステム500の実施の形態を例示する。システムには、装置505、装置510及びバックエンドサーバ515が含まれる。装置505及び510は、図2に示されるように、装置105に類似した特徴及びコンポーネントを有する。所定の実施の形態では、装置505は、装置510を介して装置510又はバックエンドサーバ515に通信するのを試みる。装置505は、制御データ、管理データ又はメータデータを含む異なるタイプのデータを送出するのを試みる。また、装置505は、失敗したインテグリティチェックに応答して、バックエンドサーバ515に診断データを送出するのを試みる。診断データは、測定されたインテグリティ値、識別子、中間の測定された値、バックエンドサーバ515がインテグリティチェックを失敗した装置の適切なポリシーを決定するのを助ける他の情報を含む。データのタイプに依存して、装置505は、その通信処理モジュール215がデータを送出するのを可能にする前に、インテグリティチェックをそれ自身で実行するポリシーを有する。インテグリティチェックが失敗した場合、装置505は、本方法320に従って失敗したインテグリティチェックについてポリシーを実行する。インテグリティチェックにパスした場合、装置505は、装置510及び/又はバックエンドサーバ515にデータを送出する試みを継続する。インテグリティチェックが失敗した場合、装置505は、1以上の特徴を無効にするか又は有効にしない。幾つかの実施の形態では、装置505は、装置510を介してバックエンドサーバ515に連絡を取ることを試みる。バックエンドサーバ515は、装置510を介して装置505にポリシーの形式で指示を送出する。
【0040】
所定の実施の形態では、装置510は、装置505から通信のために要求を受け、インテグリティチェックを実行するように装置505に要求する。装置510は、装置510に装置505の測定されたインテグリティ値を送信するように装置505に要求する。次いで、装置510は、装置510の埋め込まれたインテグリティ値に対して、装置505の測定されたインテグリティ値をチェックする。装置510の埋め込まれたインテグリティ値及び装置505の測定されたインテグリティ値が整合する場合、装置510は、装置505が信頼できると判定する。次いで、装置510は、装置505から装置510に送出されたデータの処理を可能にする。
【0041】
装置510の埋め込まれたインテグリティ値及び装置505の測定されたインテグリティチェックが整合しない場合、装置510は、ポリシーに依存して幾つかのオプションを有する。装置510に記憶されているポリシーは、装置505が信頼できないと判定することであり、装置505との全ての通信を拒否する。ポリシーは、装置510のために、装置505がそのインテグリティチェックを再び実行し、第二のインテグリティチェックから決定された測定されたインテグリティチェックを送信することを要求する。ポリシーは、指定された数の後続するインテグリティチェックを要求するように装置510に指示する。これは、別の測定を実行することで訂正される、測定されたインテグリティ値の可能性のある異例の測定を考慮するのを助ける。
【0042】
別のポリシーは、装置505から到来する情報をどのように処理すべきかに関する更なる指示についてバックエンドサーバ515に連絡することである。バックエンドサーバ515からの指示を探し求めることにおいて、装置510は、バックエンドサーバ515が従うべき装置510の適切なポリシーを決定するように、装置505から受信された診断データを送出する。また、装置510は、識別子、測定されたインテグリティ値等のような装置510自身に関する情報を送出する。どのポリシーが適用されるべきかに関する判定は、装置505の測定されたインテグリティ値と装置510の埋め込まれたインテグリティ値との間の1以上の違いに依存する。バックエンドサーバ515は、システム500に配置される装置の識別子のレコードを有する。バックエンドサーバ515が決定したポリシーは、識別子に依存し、この識別子は、装置505により送信された診断データに含まれる。バックエンドサーバ515は、装置505がインテグリティチェックに失敗したことをそのレコードに記録する。また、バックエンドサーバ515は、装置505を検査する技術者を派遣するような更なるアクションをスケジュールする。技術者は、所定の場合において装置505を修理、取替え、又は取り外するような多数のアクションを行う。
【0043】
所定の実施の形態では、ポリシー(装置510に記憶されているポリシー又はバックエンドサーバ5151から受信されるポリシー)は、データタイプに依存して異なる対策を有する。たとえば、装置505がメータデータ又は診断データを送出するのを試みている場合、装置510は、装置505のインテグリティチェックを必要とすることなしに、そのポリシーに従ってデータの処理を可能にする。装置505から送出されているデータのタイプが制御データ及び/又は管理データである場合、装置510は、そのポリシーに従ってそのデータに関する処理を制限する。この制限は、そのタイプの通信を拒否すること、所定のタイプの処理に制限することを含む。
【0044】
所定の実施の形態では、装置505は、起動したときに既存のネットワークが存在することを検出した場合に、装置の既存のネットワークに接続することを試みる。ネットワークが存在しない場合、それ自身のネットワークを開始することを試みる。装置505が装置510を通して既存のネットワークに接続するのを試みる場合、装置510は、上述されたものに類似したインテグリティチェックを実行するのを装置505に要求する。
【0045】
ネットワークへの接続が認められた場合、装置505は、インテグリティチェックを受けるように装置510に要求し、この場合、装置510は、それ自身のインテグリティ値イを測定し、測定されたインテグリティ値を装置505に送信する必要がある。装置505は、装置505の埋め込まれたインテグリティ値に対して、装置510の測定されたインテグリティ値をチェックする。測定されたインテグリティ値は、セクタ値に基づいており、このセクタ値は、装置105のプロテクトされていないセクションに記憶される場合がある。これらプロテクトされていない(less protected)セクタは、最初のインテグリティチェック後に変更される場合がある。これは、ある装置のインテグリティチェックの結果が時間につれて変化することを意味する。たとえば、起動時にそのインテグリティチェックをパスした装置は、ネットワーク上の他の装置からの各種データの処理後に、インテグリティチェックにその後失敗する場合がある。従って、所定の装置は、他の装置がネットワークに対して既に許可されているとしても、所定の他の装置からのその後のインテグリティチェックを必要とする場合がある。
【0046】
所定の実施の形態では、装置510は、装置505の所定の信頼水準を示す証明書を装置505に発行する。装置510の埋め込まれたインテグリティ値が装置505により送信された測定されたインテグリティ値に整合する場合、装置510は、信頼性の高い水準を有する。装置510の埋め込まれたインテグリティ値が装置505により送信された測定されたインテグリティ値に整合しない場合、装置505は、診断データを送信するように装置505に要求する。診断データに基づいて、装置510は、あるポリシーに従って適切な信頼の水準による証明書を発行する。信頼の水準は、装置505から送信されたデータに関する所定のタイプの処理に関連される。また、装置510は、バックエンドサーバ515に装置505により送信された診断データを送出する。診断データに基づいて、バックエンドサーバ515は、ある信頼のレベルを示す証明書を装置505に発行するように装置510に指示する。
【0047】
装置505は、装置510との将来の通信を試みようとするときに証明書を提示する。これにより、装置510は、通信するのを試みる次回に新たなインテグリティチェックを実行するのを装置505に要求しない。幾つかの実施の形態では、装置510は、その自身の汎用ストレージに証明書を保持する。これらの実施の形態では、装置510は、証明書を装置505により送信された識別子と関連付けする。特定の実施の形態では、証明書は、指定された時間後に有効期限が切れる場合がある。証明書が存在するときでさえ、装置510は、所定の状況において新たなインテグリティチェックを要求する。たとえば、装置510は、別のインテグリティチェックを実行するように装置505に要求し、その装置505が送出しようと試みるデータのタイプが重大な特質からなる場合に、その測定されたインテグリティ値を送出する。所定の実施の形態では、証明書の使用は、装置505及び図5に示されない他の装置の証明書を保持及び管理することを装置510に要求しない。システム500の所定の実施の形態では、証明書の使用なしで済ませ、代わりに、通信を試みるたびに、インテグリティチェックを受けるように送信する装置に要求する。幾つかの実施の形態では、それぞれの通信についてインテグリティチェックを受けるように送信する装置に要求するのではなく、証明書を使用する判定は、ネットワークの所定のセクションについて同じ形態を取る。たとえば、同じゲートウェイ下にある全ての装置は、それぞれの通信の前に、証明書を発行するか、又は測定されたインテグリティ値の送信を要求する。
【0048】
ネットワークのコンポーネント間でデータを送信及び受信する幾つかの可能性は、この開示で議論される所与の条件を生じさせる。たとえば、メータデータは、送信する装置のインテグリティをチェックすることなしに、ネットワークを通過することが許可される場合があるが、管理データ又は制御データを送信する全ての試みは、有効な証明書又は成功したインテグリティの認証を必要とする。
【0049】
所定の実施の形態では、装置505は、図5に示されない別の装置から装置505に送信された装置510にデータを送信するのを試みる。幾つかの実施の形態では、装置510は、装置505がデータの最初の情報発信源ではなかったと判定する。装置510は、装置505にデータを送信した装置がインテグリティチェックを行うこと、及びその測定されたインテグリティ値を装置510に送出することを必要とする。装置510は、この値を自身の埋め込まれたインテグリティ値と比較し、次いで比較の結果に依存してデータを処理する。なお、装置505にデータを送信した装置は、データの「最初の」情報発信源ではない場合があることに留意されたい。装置510は、装置510に情報を送るために使用される装置のチェインのうちの任意の装置からインテグリティチェックを要求する。所定の実施の形態では、発信する装置は、装置のネットワークを通して送出する任意のデータと共にその測定されたインテグリティ値を送信する。係るように、装置510は、装置505からデータの送信を受けたとき、発信する装置の測定されたインテグリティ値を有する。幾つかの実施の形態では、装置510は、その埋め込まれたインテグリティ値を、データを直接に受けた装置及び最初にデータを送出した装置の測定されたインテグリティ値と比較するのを装置510に要求するポリシーを有する。バックエンドサーバ515は、どの装置からインテグリティチェックを要求すべきかに関して、装置510に指示する。
【0050】
幾つかの実施の形態では、装置のネットワークにおける埋め込まれたインテグリティ値は、同じように設定される。所定の装置の測定されたインテグリティ値は、変動する状況下において異なる場合がある。たとえば、ある市における新たな地区は、それらの測定されたインテグリティ値がその市における他の装置の埋め込まれたインテグリティ値に整合しないように設定される新たな装置を有する。この状況において、新たな地区における新たな装置は、たとえそれらが危険にさらされていないとしても、異なる測定されたインテグリティ値を有する。この状況において、他の装置のうちの1つは、先の説明に従ってこれらの新たな装置のうちの1つから到来するデータに対してどのようなポリシーを適用すべきかを判定するため、バックエンドサーバに連絡を取る。
【0051】
図2に関して1つの装置のインテグリティチェックに関して説明された全てのオプションは、第一の装置が第二の装置と通信するのを試みるときにも利用可能である。たとえば、装置505及び装置510は、複数の埋め込まれたインテグリティ値のレジスタにより構成される。装置505が装置510と通信するのを試みるとき、装置510は、装置510の埋め込まれたインテグリティ値のレジスタに記憶されている1以上の値に対して、装置505の測定されたインテグリティ値を比較する。幾つかの実施の形態では、装置505は、様々な式に基づいた複数の測定されたインテグリティ値を有する。装置510は、装置505のそれぞれ測定されたインテグリティ値を装置510の1以上の埋め込まれたインテグリティ値と比較する。装置510は、図2の装置105に関して記載された比較と同様な様々な比較の結果に依存して異なる指示を提供するポリシーを有する。
【0052】
図6は、第二の装置と通するのを試みる第一の装置の信頼水準を第二の装置が判定するのを可能にする方法600の実施の形態を示す。本方法は、ステップ605で開始し、ステップ605で、第二の装置は、第一の装置の測定されたインテグリティ値を受信する。ステップ610では、第二の装置は、その埋め込まれたインテグリティ値を第一の装置により送信された測定されたインテグリティ値に比較する。ステップ615では、2つの値が整合するかに関する判定が行われる。2つの値が整合しない場合、ステップ620で、第二の装置は、第一の装置が信頼できないと判定し、第一の装置との通信が拒否される。2つの値が整合すると本方法が判定した場合、ステップ625で、第二の装置は第一の装置が信頼できると判定し、第一の装置との通信を継続する。
【0053】
当業者であれば、本方法600が様々な他のステップを含むことを認識されるであろう。たとえば、本方法600は、第一の装置の測定されたインテグリティ値に依存して、第一の装置について異なる信頼水準を決定するステップを含む。信頼水準に依存して、第二の装置は、装置に記憶されているポリシーに従ってデータを処理する場合がある。第一の装置の測定されたインテグリティ値が第二の装置の埋め込まれたインテグリティ値に整合しない場合、第二の装置は、第一の装置がより多くの情報又は診断データを送信することを要求する。この情報は、第一の装置の識別子、第一の装置の1以上の中間の測定された値、及び第一の装置に割り当てる信頼水準の決定において、第二の装置を支援する他の情報を含む。この情報は、そのポリシーに従って第一の装置から送信されたデータをどのように処理すべきかの判定において第二の装置を誘導する。幾つかの実施の形態では、本方法は、第二の装置がバックエンドサーバに連絡を取ることを要求する。第二の装置は、第一の装置に割り当てる信頼水準の決定においてバックエンドサーバを支援するため、第一の装置から情報又は診断データを送信する。
【0054】
図7は、第一の装置から第二の装置にデータを送信することに関連するポリシーの適用を容易にする方法700の実施の形態を例示する。本方法は、ステップ705で開始し、この場合、第一の装置は、第二の装置にデータを送出する。ステップ710で、第一の装置が送出しようと試みるデータの少なくとも1部がプロテクトされた分類にあるかに関する判定が行われる。データがより重要なデータに対応する場合、データはプロテクトされた分類にある。幾つかの実施の形態では、管理データ及び/又は制御データはプロテクトされた分類にあり、メータデータは、プロテクトされていない。データの一部がプロテクトされた分類にない場合、本方法は、ステップ715に進み、ステップ715で、第一の装置は、第二の装置にデータを送出する試みを継続する。
【0055】
第一の装置が送信しようとするデータの少なくとも一部がプロテクトされた分類にあると判定された場合、本方法はステップ720に進み、ステップ720で、第一の装置の測定されたインテグリティ値が決定される。ステップ720は、図4に示された方法305に挙げられたのと同じステップを有する。ステップ725では、第一の装置の測定されたインテグリティ値は、第一の装置の埋め込まれたインテグリティ値に比較される。ステップ730で、第一の装置の埋め込まれたインテグリティ値が第一の装置の測定されたインテグリティ値に整合するかに関する判定が行われる。値が整合する場合、本方法はステップ715に進み、ステップ715で、第一の装置は、第二の装置にデータを送出する試みを継続する。本方法が値が整合しないと判定した場合、本方法は、ステップ735に進み、ステップ735で、データ送信がポリシーに従って制限される。この制限は、データが全く送出されないか、又は制限された量のデータが送信において送出されることによる。たとえば、第一の装置は、データのプロテクトされていない部分を送出する試みを継続する。幾つかの実施の形態では、本方法700は、更なる指示のためにバックエンドサーバに連絡を取ることを継続する。第一の装置が第二の装置にデータを送信する試みを継続するかの判定においてバックエンドサーバを支援するため、第一の装置は、バックエンドサーバに情報及び/又は診断データを送出する。
【0056】
図8は、第一の装置から第二の装置でデータを受信することに関連するポリシーの適用を容易にする方法800の実施の形態を例示する。本方法は、ステップ805で開始し、ステップ805で、第二の装置は、第一の装置からデータを受信する。ステップ810で、第一の装置から受信されたデータの少なくとも1部がプロテクトされた分類にあるかに関する判定が行われる。データの一部がプロテクトされた分類にないと判定された場合、本方法は、ステップ815に進み、ステップ815で、第二の装置は、そのポリシーに従って通常のやり方で第一の装置からのデータを処理する。
【0057】
ステップ810で、データの少なくとも1部がプロテクトされた分類にあると判定された場合、本方法は、ステップ820に進む。ステップ820で、第一の装置の測定されたインテグリティ値は、第二の装置の埋め込まれたインテグリティ値と比較される。第一の装置がその最初のデータの送信によりその測定されたインテグリティ値を最初に送出していない場合、第二の装置は、この時、第一の装置の測定されたインテグリティ値を要求する。ステップ825で、第一の装置の測定されたインテグリティ値の値が第二の装置の埋め込まれたインテグリティ値に整合するかに関する判定が行われる。値が整合する場合、本方法はステップ815に進み、ステップ815で、第一の装置から送信されたデータは、通常のやり方で第二の装置により処理される。ステップ825で、値が整合しないと判定された場合、本方法はステップ830に進み、ステップ830で、第一の装置から送信されたデータの処理は、第二の装置のポリシーに従って制限される。所定の実施の形態では、第二の装置は、第一の装置から送信されたデータにどのようなデータが許可されるかを判定するため、バックエンドサーバに連絡する。第二の装置は、第二の装置が第一の装置により送出されたデータの処理を制限すべきかの判定においてバックエンドサーバを支援するため、バックエンドサーバに第一の装置の情報及び/又は診断データを送出する。
【0058】
本発明の範囲から逸脱することなしに、本明細書で開示された方法に対して、変更、追加又は省略が行われる場合がある。本方法は、より多くのステップ、少ないステップ又は他のステップを含む場合がある。たとえば、本方法800は、1以上の中間の測定された値を第一の装置から要求するステップを含む。第一の装置から送出されたデータに適用されるポリシーは、これら中間の測定された値の1以上に依存する。さらに、適切な順序でステップが実行される場合がある。
【0059】
本発明の範囲から逸脱することなしに、本明細書で開示されるシステム及び方法に対して変更、追加又は省略が行われる場合がある。システム及び装置のコンポーネントは、統合されるか又は分離される場合がある。たとえば、ゲートウェイ110は、1つのゲートウェイ110に纏められる場合がある。システム及び装置の動作は、より多くの構成要素、少ない構成要素、又は他の構成要素により行われる場合がある。たとえば、通院処理モジュール215及び測定処理モジュール220の動作は、1つの構成要素により実行される場合があり、又は、制御処理モジュール205の動作は、1を超える構成要素により行われる場合がある。さらに、システム及び装置の動作は、ソフトウェア、ハードウェア及び/又は他のロジックを有する適切なロジックを使用して実行される場合がある。本明細書で使用されたとき、「それぞれ」は、あるセットのそれぞれのメンバ又はあるセットのサブセットのうちのそれぞれのメンバを示す。
【0060】
本明細書で開示されるシステム及び装置の構成要素は、インタフェース、ロジック、メモリ、及び/又は他の適切な構成要素を含む場合がある。インタフェースは、入力を受信し、出力を送出し、入力及び/又は出力を処理し、及び/又は、他の適切な動作を実行する。インタフェースは、ハードウェア及び/又はソフトウェアを有する。
【0061】
ロジックは、たとえば入力から出力を生成する命令を実行することで、コンポーネントの動作を実行する。ロジックは、ハードウェア、ソフトウェア、及び/又は他のロジックを含む場合がある。ロジックは、1以上の有形の媒体にエンコードされ、コンピュータにより実行されたときに動作を実行する場合がある。プロセッサのような所定のロジックは、構成要素の動作を管理する場合がある。プロセッサの例は、1以上のコンピュータ、1以上のマイクロプロセッサ、1以上のアプリケーション、及び/又は他のロジックを含む。
【0062】
特定の実施の形態では、実施の形態の動作は、コンピュータプログラム、ソフトウェア、コンピュータ実行可能な命令、及び/又はコンピュータにより実行可能な命令でエンコードされた1以上のコンピュータ読み取り可能な記録媒体により実行される場合がある。特定の実施の形態では、実施の形態の動作は、コンピュータプログラムを記憶する1以上のコンピュータ読み取り可能な記録媒体、コンピュータプログラムで実施される1以上のコンピュータ読み取り可能な記録媒体、及び/又はコンピュータプログラムでエンコードされた1以上のコンピュータ読み取り可能な記録媒体、及び/又は、記憶及び/又はエンコードされたコンピュータプログラムを有する1以上のコンピュータ読み取り可能な記録媒体により実行される。
【0063】
ストレージユニット、リポジトリ、及びレジスタは、それぞれメモリを有する場合がある。メモリは情報を記憶する。メモリは、1以上の一時的でない、有形のコンピュータ読み取り可能及び/又はコンピュータ実行可能な記憶媒体を有する場合がある。メモリの例は、コンピュータメモリ(たとえばランダムアクセスメモリ(RAM)又はリードオンリメモリ(ROM)、大容量記憶媒体(たとえばハードディスク)、取り外し可能な記憶媒体(たとえばコンパクトディスク(CD)又はデジタルビデオディスク(DVD)、データベース及び/又はネットワークストレージ(たとえばサーバ)、及び/又は他のコンピュータ読み取り可能な記録媒体)を含む場合がある。
【0064】
本明細書の開示は、所定の実施の形態の観点で記載されたが、本実施の形態の変更及び置き換えは、当業者により明らかとなるであろう。従って、実施の形態の先の記載は、この開示の制限するものではない。以下の特許請求の範囲により定義されるように、この開示の精神及び範囲から逸脱することなしに、他の変形、置き換え、及び変更が可能である。
【0065】
以下に、本発明の特徴点を付記として示す。
(付記1)
デバイスインテグリティの認証のための方法であって、
装置の測定されたインテグリティ値をプロセッサを使用して決定するステップと、
前記測定されたインテグリティ値を前記装置の埋め込まれたインテグリティ値とプロセッサを使用して比較するステップと、
前記比較に基づいて前記装置へのポリシーの適用を容易にするステップと、
を含むことを特徴とする方法。
(付記2)
前記装置の1以上のセクタ値に基づいて前記測定されたインテグリティ値を決定するステップを更に含む、
付記1記載の方法。
(付記3)
前記装置の1以上のセクタ値の合計を計算するステップを更に含む、
付記2記載の方法。
(付記4)
前記測定されたインテグリティ値を決定するために使用される複数のセクタ値のサブセットに基づいて中間の測定された値を決定するステップを更に含む、
付記1記載の方法。
(付記5)
前記装置のプロテクトされたセクションに前記埋め込まれたインテグリティ値及びポリシーの少なくとも1つを記憶するステップを更に含む、
付記1記載の方法。
(付記6)
前記装置の識別子に基づいて前記ポリシーの少なくとも1つを決定するステップを更に含む、
付記1記載の方法。
(付記7)
前記識別子は、前記装置に固有である、
付記6記載の方法。
(付記8)
前記ポリシーは、前記測定されたインテグリティ値が前記埋め込まれたインテグリティ値に整合しない場合に、前記装置の1以上の機能を変更することを含む、
付記1記載の方法。
(付記9)
前記ポリシーは、バックエンドサーバに情報を送信することを含む、
付記1記載の方法。
(付記10)
前記情報は、前記測定されたインテグリティ値、前記装置の識別子、中間の測定された値の少なくとも1つを含み、前記中間の測定された値は、前記測定されたインテグリティ値を決定するために使用された複数のセクタ値のサブセットに基づく、
付記9記載の方法。
(付記11)
前記バックエンドサーバから、前記バックエンドサーバに送信された情報に従って決定された装置のポリシーを受信するステップと、
前記装置のポリシーを前記装置に適用するステップと、
を更に含む付記9記載の方法。
(付記12)
予め決定されたスケジュール及び前記装置の外部からの要求のうちの1つに応答して、前記測定されたインテグリティ値を決定するステップを更に含む、
付記1記載の方法。
(付記13)
装置のインテグリティの認証のためのシステムであって、
装置の測定されたインテグリティ値を決定し、前記測定されたインテグリティ値を前記装置の埋め込まれたインテグリティ値と比較するインテグリティチェック処理モジュールと、
前記比較に基づいて複数のポリシーのうちの1つを前記装置に適用するのを容易にする制御処理モジュールと、
を備えることを特徴とするシステム。
(付記14)
前記測定されたインテグリティ値は、前記装置の1以上のセクタ値に基づく、
付記13記載のシステム。
(付記15)
前記インテグリティチェック処理モジュールは、装置の1以上のセクタ値の合計を計算する、
付記14記載のシステム。
(付記16)
前記インテグリティチェック処理モジュールは、測定されたインテグリティ値を決定するために使用される複数のセクタ値のサブセットに基づいて中間の測定された値を決定し、前記中間の測定された値を記憶する、
付記13記載のシステム。
(付記17)
前記制御処理モジュールは、装置のプロテクトされたセクションに前記埋め込まれたインテグリティ値及びポリシーの少なくとも1つを記憶する、
付記13記載のシステム。
(付記18)
前記ポリシーの少なくとも1つは、前記装置の識別子に基づく、
付記13記載のシステム。
(付記19)
前記識別子は、前記装置に固有である、
付記18記載のシステム。
(付記20)
前記少なくとも1つのポリシーは、前記測定されたインテグリティ値が前記埋め込まれたインテグリティ値に整合しない場合に、前記装置の1以上の機能を変更することを含む、
付記13記載のシステム。
(付記21)
前記少なくとも1つのポリシーは、バックエンドサーバに情報を送信することを含む、
付記13記載のシステム。
(付記22)
前記情報は、前記測定されたインテグリティ値、前記装置の識別子、中間の測定された値の少なくとも1つを含み、前記中間の測定された値は、前記測定されたインテグリティ値を決定するために使用された複数のセクタ値のサブセットに基づく、
付記21記載のシステム。
(付記23)
前記制御処理モジュールは、前記バックエンドサーバから、前記バックエンドサーバに送信された情報に従って決定された装置のポリシーを受信し、
前記制御処理モジュールは、前記装置のポリシーを前記装置に適用する、
付記21記載のシステム。
(付記24)
前記インテグリティチェック処理モジュールは、予め決定されたスケジュール及び前記装置の外部からの要求のうちの1つに応答して、前記測定されたインテグリティ値を決定する、
付記13記載のシステム。
【符号の説明】
【0066】
100:システム
105:装置
110:ゲートウェイ
115:バックエンドサーバ
【特許請求の範囲】
【請求項1】
装置のインテグリティの認証のためのシステムであって、
装置の測定されたインテグリティ値を決定し、前記測定されたインテグリティ値を前記装置の埋め込まれたインテグリティ値と比較するインテグリティチェック処理モジュールと、
前記比較に基づいて複数のポリシーのうちの1つを前記装置に適用するのを容易にする制御処理モジュールと、
を備えることを特徴とするシステム。
【請求項2】
前記少なくとも1つのポリシーは、前記測定されたインテグリティ値が前記埋め込まれたインテグリティ値に整合しない場合に、前記装置の1以上の機能を変更することを含む、
請求項1記載のシステム。
【請求項3】
前記少なくとも1つのポリシーは、バックエンドサーバに情報を送信することを含む、
請求項1記載のシステム。
【請求項4】
前記情報は、前記測定されたインテグリティ値、前記装置の識別子、中間の測定された値の少なくとも1つを含み、前記中間の測定された値は、前記測定されたインテグリティ値を決定するために使用された複数のセクタ値のサブセットに基づく、
請求項3記載のシステム。
【請求項5】
前記制御処理モジュールは、前記バックエンドサーバから、前記バックエンドサーバに送信された情報に従って決定された装置のポリシーを受信し、
前記制御処理モジュールは、前記装置のポリシーを前記装置に適用する、
請求項3記載のシステム。
【請求項6】
デバイスインテグリティの認証のための方法であって、
装置の測定されたインテグリティ値をプロセッサを使用して決定するステップと、
前記測定されたインテグリティ値を前記装置の埋め込まれたインテグリティ値とプロセッサを使用して比較するステップと、
前記比較に基づいて前記装置へのポリシーの適用を容易にするステップと、
を含むことを特徴とする方法。
【請求項7】
前記装置の1以上のセクタ値に基づいて前記測定されたインテグリティ値を決定するステップを更に含む、
請求項6記載の方法。
【請求項8】
前記測定されたインテグリティ値を決定するために使用される複数のセクタ値のサブセットに基づいて中間の測定された値を決定するステップを更に含む、
請求項7記載の方法。
【請求項1】
装置のインテグリティの認証のためのシステムであって、
装置の測定されたインテグリティ値を決定し、前記測定されたインテグリティ値を前記装置の埋め込まれたインテグリティ値と比較するインテグリティチェック処理モジュールと、
前記比較に基づいて複数のポリシーのうちの1つを前記装置に適用するのを容易にする制御処理モジュールと、
を備えることを特徴とするシステム。
【請求項2】
前記少なくとも1つのポリシーは、前記測定されたインテグリティ値が前記埋め込まれたインテグリティ値に整合しない場合に、前記装置の1以上の機能を変更することを含む、
請求項1記載のシステム。
【請求項3】
前記少なくとも1つのポリシーは、バックエンドサーバに情報を送信することを含む、
請求項1記載のシステム。
【請求項4】
前記情報は、前記測定されたインテグリティ値、前記装置の識別子、中間の測定された値の少なくとも1つを含み、前記中間の測定された値は、前記測定されたインテグリティ値を決定するために使用された複数のセクタ値のサブセットに基づく、
請求項3記載のシステム。
【請求項5】
前記制御処理モジュールは、前記バックエンドサーバから、前記バックエンドサーバに送信された情報に従って決定された装置のポリシーを受信し、
前記制御処理モジュールは、前記装置のポリシーを前記装置に適用する、
請求項3記載のシステム。
【請求項6】
デバイスインテグリティの認証のための方法であって、
装置の測定されたインテグリティ値をプロセッサを使用して決定するステップと、
前記測定されたインテグリティ値を前記装置の埋め込まれたインテグリティ値とプロセッサを使用して比較するステップと、
前記比較に基づいて前記装置へのポリシーの適用を容易にするステップと、
を含むことを特徴とする方法。
【請求項7】
前記装置の1以上のセクタ値に基づいて前記測定されたインテグリティ値を決定するステップを更に含む、
請求項6記載の方法。
【請求項8】
前記測定されたインテグリティ値を決定するために使用される複数のセクタ値のサブセットに基づいて中間の測定された値を決定するステップを更に含む、
請求項7記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−43438(P2012−43438A)
【公開日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願番号】特願2011−179521(P2011−179521)
【出願日】平成23年8月19日(2011.8.19)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願日】平成23年8月19日(2011.8.19)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]