ネットワークユーザ認証システム及び方法
ネットワークユーザ認証システムにおいて、ネットワークユーザは、ネットワークユーザが位置しているビルディングに関連付けられている専用物理通信回線のための一意の識別子、又は、ビルディングに物理的に付随させられているセキュアコンポーネント若しくは通信回線に関連付けられているデジタル証明書を使用して認証目的のため識別される。認証サーバは、最初に、認証目的のため、ネットワークサービス加入者に関連付けられるべき専用通信回線の識別情報を検証するか、又は、専用通信回線に関連付けられるべき一意のデジタル証明書を発行する。デジタル証明書は、ビルディング入口、又は、複数のビルディングのセキュアコンポーネントに接続され、各ビルディングの一意のデジタル証明書を記憶するエッジサイトモジュールに記憶されていてもよい。
【発明の詳細な説明】
【関連出願】
【0001】
本願は同時係属中の2005年7月20日に出願された米国仮特許出願第60/701,239号及び2006年6月1日に出願された米国仮特許出願第60/803,679号の利益を主張するものであり、両出願は参照によって全体が本明細書に組み込まれている。
【技術分野】
【0002】
本発明は、ネットワークユーザを認証する、又は、ネットワーク装置の間に信頼できる通信路を確立するシステム及び方法に関係する。
【背景技術】
【0003】
インターネットトラフィックの増大と共に、ネットワークユーザを認証するためのより優れた手段に対する需要が大幅に増加している。ウェブは、極めて価値があり、かつ、不可欠なツールであることを示している。しかし、不正行為及び悪用の可能性は日々増加している。
【0004】
過去に、Verisign社、Thawt社、及び、その他のセキュリティ会社は、ネットワークユーザを認証する手段を提供することにより魅力的なビジネスモデルを構築している。公開鍵インフラストラクチャ(PKI)を使用するデジタル証明書の発行及び取消によって、ネットワークユーザは、ある種のトランザクションが安全に取り扱われていることを確信できる。「Verisign」モデルに関連する問題は、サーバ側は典型的に自分自身が本物であることを証明するために必要なステップを行うが、しかし、顧客及びその他のネットワーククライアントは同様に自分自身が認証されるのに役立つ解決策を獲得することに殆ど関心を示さないことである。大半は、ネットワーククライアントは、自分がどのような利益を獲得できるかが明らかではないので、自分自身の認証手段のために費用を払うことを嫌がる。その上、認証メカニズムが複数のプラットフォーム(PC、ラップトップ、モバイル装置など)を横断してどのように機能できるかが明らかでない。
【0005】
公衆ネットワーク上の実質上全てのクライアントはどのような形であっても認証されていないので、不正行為及び損害の可能性は重大であり、悪化している。
【0006】
過去数年に亘って、ネットワーククライアントの識別を助けるために多数の構想が提起されている。これらの提唱の中には、
・セキュアドングル
・スマートカード技術
・チップ内のセキュアな一意的に識別可能な素子
が含まれている。
【0007】
これらの構想は、上記(及びその他の)ハードウェアコンポーネントが容易に紛失、盗難、又は、交換される可能性があるので、最初からすべて欠点がある。これらの解決策は最低レベルの認証を提供するが、その有効性は、顧客がハードウェアコンポーネントを安全な状態に保つことができないために制限されている。
【0008】
したがって、今日のネットワーク化された世界では、ホスト(サーバ側)システムの適切な認証は行われているが、クライアント側の認証は殆ど、又は、全く行われていない。各クライアントを確実に認証する実行可能な方法が存在するならば、新しい、かつ、利益をもたらす可能性のあるビジネス機会が現れ、終端間の信頼のネットワークが現実になるであろう。
【0009】
したがって、必要とされているのは、上述された従来のシステムにおいて見出された重大な問題を解決するシステム及び方法である。
【発明の開示】
【発明が解決しようとする課題】
【0010】
本明細書に記載されている実施形態は、ネットワーククライアントユーザを認証し、2者以上の当事者間に信頼できる通信路を確立する認証システム及び方法を提供する。
【課題を解決するための手段】
【0011】
本発明の一態様によれば、ビルディングに関連付けられているセキュアコンポーネント又は物理ネットワーク接続がビルディング内の1台以上のネットワーク装置を認証するため使用され、その結果、セキュアネットワーク通信がビルディング所有者又は占有者と直接的に関連付けられているネットワークユーザ認証システムが提供される。ビルディング内の少なくとも1台のユーザ装置はセキュアコンポーネントにリンクされ、セキュリティサーバはセキュアコンポーネント又はセキュア接続にリンクされている。セキュリティサーバは、セキュアコンポーネントの物理接続識別情報(ID)を決定し、公衆ネットワークを介してサービスを要求しているビルディング内の特定のクライアント又はユーザ装置を追跡するため物理接続IDをクライアントIDに関連付けるように構成されている。
【0012】
セキュリティサーバは、商業ウェブサイト若しくはネットワーク、又は、複数の家庭及びビジネスにサービスを提供する電話サービスプロバイダ若しくは電話会社(Telco)のようなサービスプロバイダサイトの一部でもよく、近傍のビルディングにリンクされている電話会社エッジサイト、ケーブルテレビジョンエッジサイト、又は、公益事業会社エッジサイトのようなネットワークエッジサイトの一部でもよく、近傍のビルディングにリンクされている無線ネットワーク基地局でもよく、或いは、ネットワークを介してセキュアコンポーネントに接続されている別個のセキュリティサーバでもよい。セキュリティサーバは、独立型であるか、又は、リモートウェブサイト若しくはローカルエッジサイトに組み込まれているかとは無関係に、マーチャント若しくはネットワークユーザとビジネスを行うことを希望する他のネットワークユーザを認証するために、様々なマーチャント及びネットワークユーザによって使用されてもよい。本システムは、ユーザ装置を固定したビルディング、又は、ビルディングに恒久的に関連付けられている物理接続IDと関連付け、2者の当事者間の通信路が信頼できることを検証する、すなわち、信頼できる通信路を確立する。2者の当事者は、たとえば、ネットワークマーチャント若しくはサービスプロバイダとネットワークユーザでもよく、2人のネットワークユーザでもよい。
【0013】
セキュアコンポーネントは、ケーブルモデムに基づく物理接続、デジタル加入者線(DSL)又はDSL派生品、無線入力ポート、光入力又は回線などを含むビルディングとの確立された通信回線であればよく、或いは、請求書作成目的のためビルディング電気使用量を追跡するために公益事業会社によって使用され、ネットワークを介して公益事業会社サーバと通信するための内蔵式通信装置が備わっているメーターボックスなどでもよい。一実施形態では、セキュアコンポーネントは、ネットワークアクセスポイント又はエッジサイトから、データモデム、ケーブルモデム、非同期転送モード(ATM)モデム、光ファイバモデム、DSLモデム、若しくは、その他のインホーム側のモデム装置のような加入者の物理ネットワークアクセス装置までのラストマイル接続でもよい。認証の鍵は、ホーム又はその他の物理的位置へサービスを提供するラストマイル接続を確立し、この接続をセキュリティ目的のためホーム内又は物理的位置にいるユーザと関連付けることである。接続は、物理的な銅線ペア接続からホームまでのどのようなものでもよく、ケーブルモデム終端システム(CMTS)上のデータオーバーケーブルサービスインターフェース仕様(DOCSIS)でもよく、ホームとネットワークとの間の無線ラストマイル接続上の媒体アクセス制御(MAC)若しくは論理リンク制御(LLC)若しくは無線リンクアドレスでもよく、動的ホスト構成プロトコル(DHCP)サービス及びリレーエージェントによって報告されるようなデジタル加入者線アクセスマルチプレクサ(DSLAM)回路ID若しくは接続ポートでもよく、無線顧客を無線ネットワークへ接続する基地局でもよい。クライアントIDは、加入者に対する恒久的な固定値を有する任意の値でもよく、1回の接続のためだけの一時的な値でもよい。クライアントIDは、IPアドレスに基づいていてもよく、IPアドレス及びポート番号に基づいていてもよく、加入者IDに基づいていてもよく、加入者IDから導出された乱数に基づいていてもよく、ネットワークアドレス変換(NAT)アドレスのようなネットワークエッジサイトによって供給された識別子でもよく、クライアント装置を通信回線IDと関連付けるために使用されるその他のデータ値に基づいていてもよい。
【0014】
セキュリティサーバは接続又は通信回線IDを確立するためネットワーク機器を使用してもよい。一実施例では、Telcoエッジサイトのようなサービスエッジサイトが識別されるように、トレースルートマッピングがネットワークトポロジーを決定するために追跡され得る。エッジサイトが識別されると、セキュリティサーバは、Telcoエッジサイトをユーザ装置が位置しているビルディングに接続する通信回線の識別情報を要求する問い合わせを、要求側ユーザ又はクライアントのインターネットプロトコル(IP)アドレスと共にエッジサイトに送信する。
【0015】
1個のネットワークエレメントが認証システムを使用して識別される状況の一例は、セットトップボックス(STB)が(DSL及びダイヤルアップのため使用されるような)銅線ペアを介したTelcoへの物理接続によって認証されるときである。STBが映画の購入の要求のような電子商取引トランザクションに関与しているならば、映画サービスプロバイダ又はTelcoは、物理接続IDをユーザ又はクライアントIDと比較することにより、要求側STBがビルディングに接続されている正しい物理的銅線ペアからであるかどうかを検証するために、この認証システムを使用可能である。
【0016】
別の実施形態では、付加的なセキュリティレイヤが署名又はセキュリティコードをシステムに付加することによって設けられていてもよい。一実施形態では、セキュアコントロールユニットは、セキュアコンポーネントと関連付けられ、一意のデジタル証明書が記憶されているデータ記憶モジュールを有し、プロセッサはプライベートネットワークを介してセキュリティサーバと通信するため構成されている。セキュリティサーバは、最初に、ビルディング位置を検証し、ビルディング位置に関連付けられた一意のデジタル証明書をセキュアコントロールユニットへ発行する。セキュアコントロールユニットは、ビルディング位置にあるセキュアコンポーネントの内部に搭載されていてもよく、又は、さもなければ、セキュアコンポーネントに接続され、或いは、複数のビルディングのセキュアコンポーネントに接続されているエッジサイトモジュール内にあってもよい。この場合では、エッジサイトモジュールは各ビルディングの一意のデジタル証明書を記憶する。
【0017】
セキュアコンポーネントは、ビルディングと電気通信会社エッジサイトとの間に恒久的に接続されている既存のブロードバンド電気通信回線のようなユーザネットワークゲートウェイ又は接続ポートでもよく、或いは、ビルディングへの専用無線リンクと関連付けられている無線ネットワークゲートウェイでもよい。一意のデジタル証明書は、その後、特定のビルディングへの回線だけと関連付けられる。デジタル証明書は物理的なビルディング(又は、ビルディングと物理的に固定されたゲートウェイ若しくはビルディングと一体化されたゲートウェイ)と直接的に関連付けられているので、デジタル証明書は、ビルディングの居住者、所有者又は労働者を確実に認証するために使用され得る。デジタル証明書は、回線のビルディング端又はプロバイダエッジサイトの何れかにあるセキュアコントロールユニット内で、ビルディングへの専用ブロードバンドアクセス回線に取り付けられていてもよい。一実施形態では、各プロバイダエッジサイトは、プロバイダエッジサイトが接続を提供し、認証サービスに加入している全部のビルディングのためのデジタル証明書を保持するデータ記憶モジュールを有するコントロールユニットを収容している。各デジタル証明書は、したがって、証明書が関連付けられている特定のビルディングへの通信路だけと関連付けられている。ビルディングは、典型的に移動せず、セキュアコンポーネントは、ビルディングへの接続を破壊すること無しに取り外すことが困難であるか、又は、不可能であるようにビルディングに取り付けられているので、デジタル証明書は、そのデジタル証明書によってネットワークを介して通信しているクライアントの識別情報の信頼できる指示を提供することができる。
【0018】
別の一実施形態では、セキュアコンポーネントは、ビルディングの内部又は外部に何らかの方法で物理的に取り付けられているセキュアボックス又は筐体を備え、このビルディングに固有のデジタル証明書を保持するセキュアコントロールユニットを収容している。一実施例では、セキュアコントロールユニットは、特定の公益事業のための計器を含んでもよく、計器読み取りと認証の両方の目的のため公益事業サーバと通信することができる。この場合にプライベートネットワーク又は仮想プライベートネットワーク(VPN)は、公益事業会社ネットワークであり、認証サービスは、公益事業サーバ、又は、公益事業サーバにリンクされている別個の認証サーバの何れかによって実行される。
【0019】
セキュアゲートウェイモジュールはビルディング内の複数のユーザ装置への接続のためビルディングに設けられることがある。一実施形態では、セキュアコントロールユニットはゲートウェイモジュールを備える。別の実施形態では、セキュアコントロールユニットはゲートウェイモジュールに接続されている。ゲートウェイモジュールは、ルータ又は機能強化されたルータモジュールでもよい。
【0020】
システムは、ゲートウェイモジュールに関連付けられている少なくとも1台のハードウェアセキュリティ装置と、ビルディング内の各ユーザ装置に関連付けられているハードウェアセキュリティ装置とをさらに含む。セキュリティ装置は、ユニバーサルシリアルバス(USB)ドングル、スマートカード、トラスティッドプラットフォームモジュール(TSM)、無線装置のための加入者情報モジュール(SIM)チップなどである。発明の典型的な実施形態では、特定のビルディングに専用のデジタル証明書は、ネットワークが巧く動作するようにビルディングに接続されているゲートウェイモジュールのハードウェアセキュリティ装置に記憶されている対応する鍵と照合される。ゲートウェイモジュール内のハードウェアセキュリティ装置は、次には、認証の成功と、ネットワーク通信の続行のため、各ユーザ装置内のセキュリティ装置と暗号同期させられる。これは、2つのレベルの認証、特に、証明機関又は認証サーバ対ビルディング、及び、ビルディング対ビルディング内のユーザ装置という認証を提供する。
【0021】
本発明の別の態様によれば、加入者識別情報(ID)を加入者候補が位置しているビルディング内の物理接続又はセキュアコンポーネントのIDと関連付けることにより、加入者をネットワークサービスに登録するステップと、加入者ID及び物理接続IDのレコードを記憶するステップと、加入者から受信されたその後のサービス要求毎に接続中の加入者の物理接続IDを決定するステップと、検証目的のため物理接続IDを事前に確立されている加入者IDと比較するステップと、検証が成功である場合に限りサービスを提供するステップと、を備える認証方法が提供される。
【0022】
一実施形態では、認証サーバのあるビルディングの地理的位置は、セキュアコンポーネント又は物理接続の位置に基づいて検証され、一意のデジタル証明書が検証されたビルディング位置に関連付けられ、一意のデジタル証明書がセキュアコンポーネント又は物理接続に関連付けられているセキュアコントロールユニットへ送信され、一意のデジタル証明書がセキュアコントロールユニットのデータ記憶モジュールに記憶される。別の実施形態では、ネットワークと通信するためユーザによって使用される事前に作成されたビルディングへの物理接続のための接続IDはセキュリティサーバによって決定され、物理接続IDはユーザの加入者IDに関連付けられている。
【0023】
一般に、最新の暗号化では、エンティティがセキュア通信目的のため完全に安全であり、かつ、信頼できると認められる前に望まれる3つの認証レベルが存在する。これらのレベルは、
1.本人の所有物
2.本人の知識
3.本人の生体的特徴
である。
【0024】
項目1は、スマートカード、USBドングル、セキュアチップ又はチップ内のセキュア素子、及び、その他のハードウェアベースの暗号方式解決手段のようなセキュアな埋め込み鍵を有するある種のタイプのセキュアハードウェア装置をクライアント装置に提供することによって達成される。項目2はユーザ固有のユーザ名及びパスワードを持つことによって達成される。項目3は達成することがより困難である。生体識別装置には網膜スキャナ及び指紋アナライザが含まれるが、このような装置は典型的に設置に費用がかかり、簡単に運営できない。本明細書に記載されている実施形態は、ビルディング若しくはホームのような物理構造物、又は、生体測定装置のような物理構造物に接続されているセキュアコンポーネントを使用して「本人の生体的特徴」識別を提供する。実質的に全ての物理構造物、特に、ブロードバンドアクセス機器を備えている物理構造物には所有者があり、限られた人数の個人だけが構造物内に居住又は労働している。ビルディングへの物理接続又はネットワーク通信回線の一意のIDに基づいてサービス加入者を識別することにより、本発明における加入者は、移動し得ない唯一の物理後続物と直接的に関連付けられる。方法及びシステムは、物理構造物の所有者、居住者又は労働者の身元情報を提供するために使用される。
【0025】
本発明のその他の特徴及び利点は、以下の詳細な説明及び添付図面を検討した後に当業者により容易に理解できるであろう。
【0026】
本発明の詳細は、構造及び動作の両方に関して、類似した参照番号が同様の部品を参照している添付図面の検討によってある程度集められる。
【発明を実施するための最良の形態】
【0027】
本明細書に開示されているようなある種の実施形態は、固定した物理的なビルディング住所又は位置に基づくユーザの認証を提供する。たとえば、本明細書に開示されているような1つの方法は、一意のデジタル証明書をホームユニット若しくはビルディングユニット、又は、ホーム若しくはビルディングへの物理接続に関連付けることが可能である。
【0028】
本明細書を読むと、どのようにして発明を種々の代替的な実施形態及び代替的なアプリケーションで実施するかが当業者に理解されるであろう。しかし、本発明の種々の実施形態が本明細書に記載されているとしても、これらの実施形態は、限定ではなく、単なる一例として提示されていることが理解される。種々の代替的な実施形態についてのこの詳細な説明は、請求項に記載されている本発明の範囲又は広がりを限定するように解釈されるべきでない。
【0029】
以下の説明は、用語Telco(電話会社)があらゆるサービスプロバイダの総称として使用され、電話会社、ケーブルテレビジョンサービスプロバイダ、ケーブルテレビジョン(tv)運営者、インターネットサービスプロバイダ、衛星テレビジョンプロバイダ、ファイバネットワーク接続会社、無線サービスプロバイダ、携帯電話サービスプロバイダなどのような任意のタイプの通信又はネットワークサービスプロバイダを識別するために使用される。
【0030】
図1は種々のネットワークコンポーネントを伴う通信ネットワークシステムのブロック図である。発明の典型的な実施形態による認証システムは、詳細に後述されるように、ネットワークシステムに組み込まれ、物理構造物又はビルディング40内のセットトップボックス(STB)370のようなユーザ装置がマーチャントアプリケーション/ネットワーク388に繋がるときに使用される。STB370は、電話機、インターネットサービスデジタルネットワーク(ISDN)又はケーブルテレビジョン回線のような通信チャネルに接続されている電子装置であり、従来のテレビジョン画面上に出力を生じる。セットトップボックスは、デジタルテレビジョン放送を受信し復号化し、PCではなくユーザのテレビジョンを介してインターネットとインターフェイスを取るために広く使用されている。セットトップボックスは、入力テレビジョン信号を受信しスクランブル解除する最も簡単なカテゴリーから、テレビ会議、ホームネットワーキング、インターネットプロトコル(IP)電話、ビデオオンデマンド(VoD)、及び、高速インターネットテレビジョンサービスのような多種多様な先進サービスを動かすことができるマルチメディアデスクトップコンピュータとしても機能し得るようなより複雑なカテゴリーまでの複数のカテゴリーに分類される。しかし、図1におけるインホームネットワークは多数の他のタイプのユーザ電子通信装置に接続されてもよく、図1と共に使用されているようなセットトップボックス(STB)という用語は、STB、パーソナルコンピュータ(PC)、個人情報端末(PDA)、ネットワーク型MP3/ビデオプレーヤ(MP3はMPEG−1オーディオレイヤ3装置であり、MPEGは動画像エキスパートグループの略語である)、携帯電話機などを含むユーザ電子通信装置をカバーすることが意図されていることが理解されるべきである。
【0031】
STB370は、図示された実施形態では、テレビジョン372に接続されていることが示され、インホーム又はビルディングネットワーク385を介して顧客宅内機器380に繋がる。顧客宅内機器(CPE)380は、インホームネットワーク機器を、データを受信及び送信するため用いられる外界への接続又は通信回線305に接続するため使用されるルータ、モデム、スイッチ、ゲートウェイ、又は、他のネットワーク処理機器のような任意の形式の顧客宅内機器を表している。接続305は、外部ネットワークエッジ機器、エッジサイト、又は、アクセスポイント303への有線、無線、ケーブル、又は、光の何れの形式の相互接続でもよく、ポイントツーポイント型、スター型、リング型、又は、その他のネットワークトポロジーに基づいている。本実施形態では、認証システムは、図1から4に関連して詳細に後述されているように、インハウス又は家庭ネットワーク385における装置のユーザを認証するために物理接続305の識別子を使用する。
【0032】
STB370のようなクライアント装置は、CPEモデム380へ直接的に接続されてもよく、或いは、代替的に、ネットワークアドレス変換(NAT)/ファイアウォールを採用するローカルアクセスポイントルータサブネットから離れてサービスされてもよい。NATは、ローカルエリアネットワーク(LAN)がインターネットトラフィックのための1組のIPアドレスと、外部トラフィックのための第2のアドレスの組を使用することを可能にさせるインターネット標準である。
【0033】
ネットワークエッジ機器又はサイト303はネットワーク315を介してマーチャントアプリケーション及びネットワーク388に接続されている。マーチャントアプリケーション及びネットワーク388は、標準的な独立型電子商取引又はネットワークベースの企業サービスでもよく、或いは、電話会社(Telco)若しくはその他の第三者によって提供される公益事業サービスでもよい。ネットワーク315は、プライベートネットワーク若しくは企業ネットワークでもよく、又は、インターネットのような公衆ネットワークでもよく、エッジサイト303とネットワーク上のマーチャントアプリケーション388との間の通信は1つ以上のネットワーク315を経由してもよい。ネットワークエッジ機器303は、加入者にサービスを提供するために使用される物理ネットワークレイヤのため適切であり、ケーブルモデム、デジタル加入者線(DSL)及びDSL派生物、無線、及び、光技術に基づく物理接続を含むが、これらに限定されない。DSL技術は、データを銅線に詰め込むために高機能変調スキームを使用する。DSL技術は、交換局間ではなく、電話交換局から家庭又はオフィスまでの接続のためだけに使用されるので、ラストマイル技術と呼ばれることもある。図1において、ネットワークエッジ機器は、通信回線305がCPE機器380に繋がるエッジ位置の実例である。ネットワークシステムは、(ネットワークエッジ機器303とネットワーク305との間に示されていない)ネットワーク運用センターを含むこともある。ネットワークデータセンター処理機能は、他の場所に分散させられてもよく、その他のサーバを使用してもよい。
【0034】
セキュリティサーバ310はネットワーク315を介してネットワークエッジ機器に接続されている。図1におけるセキュリティサーバ310は別個のサイトであるが、セキュリティサーバはネットワークエッジ機器又はエッジサイト303の一部でもよく、ネットワーク運用センターの一部でもよく、マーチャントアプリケーションサイト388の一部でもよい。図1は、ネットワーク315経由によるクライアントCPE機器380との通信のため、DHCPデータベース330に接続されている動的ホスト設定プロトコル(DHCP)サーバ320をさらに示している。DHCPサーバ320は、ネットワークへのアクセスのため割り当てられているインターネットプロトコル(IP)アドレスをCPE機器、又は、その他のコンピュータ機器に供給するため使用される標準的なインターネットプロトコルベースのサーバでもよい。DHCPは、動的IPアドレスをネットワーク上の装置に割り当てるための既知のプロトコルである。代替的に、DHCPサーバ320は、ネットワークへの接続のためアドレス情報又はアクセス情報をコンピュータ又はその他のクライアント装置(STB、PDA、PC、携帯電話機など)に割り当てるため使用されるその他の機器を備えることがある。DHCPサーバ320は、Telcoエッジサイトのようなホストネットワークエッジ機器303を介してネットワーク315に接続しているコンピュータ又はその他のクライアント装置のアドレス情報を含むデータベースとして実施されることもある。
【0035】
一実施形態による認証(すなわち、信頼できる通信路の開始)のためのプロセスが以下に記載されている。プロセスは、STB370によって表されているクライアント装置の電源がオンになり、Telcoサーバ又はマーチャントアプリケーション388への接続を試みるときに開始する。STB370は、典型的に、CPE380装置の一部として示されているルータ、スイッチ、又は、ゲートウェイ機器からIPアドレスを要求する。STB370のIPアドレスは、ネットワークエッジ機器303又はDHCPサーバ320には分からないローカルインターネットプロトコル(IP)アドレスである。図2は、認証された、又は、信頼できるサービスのクライアントを、マーチャントアプリケーション388のようなサービスプロバイダに最初に登録する発明の実施形態による方法を示している。この方法は、ビルディング内のクライアント装置がネットワークを介して任意のタイプのサービスを取得するためにサービスプロバイダと連絡を取るときに使用される。このようなサービスの一例は、セットトップボックスのようなユーザ装置が映像復号化のためのアプリケーション鍵を取得するためにセキュアな映画又は映像配信サービスと連絡を取るときである。
【0036】
STB370のようなクライアント装置は、最初に電源がオンになり、CPE380からIPアドレスを取得する(ステップ340)。クライアント装置は次にサービスプロバイダに接続し、サービスを要求する(ステップ342)。STBは、STBのIPアドレスではなく、CPE380機器のIPアドレスを使用してネットワークエッジ機器303に接続する。STBのIPアドレスはインホーム又はインハウスネットワーク385の内部で局所的であり、マーチャント又はサービスプロバイダに提示されるクライアント(STB)IPアドレスは、CPE380のインホームネットワークルータ、スイッチ、又は、ゲートウェイによってSTBに割り当てられたIPアドレスと異なることがある。STBに関して提示されたIPアドレスは、CPE380機器のためネットワークエッジ機器303によって供給されたIPアドレスである。
【0037】
STBがマーチャントからのサービスを登録するためにマーチャントアプリケーション及びネットワーク388に連絡を取るとき、登録プロセスは、クライアント又はCPE380のIPアドレスを使用し、適切なネットワーク機器から、ネットワークエッジ機器303と、CPE380を介してネットワークエッジ機器に接続されているSTB370との間の物理接続305の識別情報を決定することが可能である(ステップ344)。物理接続305の識別情報を決定する技術は詳細に後述されている。登録プロセスは、図1に示されているように独立型セキュリティサーバ310を使用し、又は、マーチャントアプリケーション又はサイト388の一部でもよい。クライアント登録情報は、ネットワークエッジ機器303とCPE380との間の接続305のための物理接続IDと呼ばれる識別子を含む。
【0038】
物理接続IDはネットワークエッジ機器303とCPE380との間の物理接続305を一意に識別する識別子である。物理接続305の識別情報を取得するために使用される様々な技術が存在する。物理接続IDのDSL実施例は、DSLサービスを、Telco中央又は地方事務所を加入者に接続する銅線ペア電話回線に接続するため使用されるDSLデジタル加入者線アクセスマルチプライヤ(DSLAM)機器の物理ポートIDである。DSLAMは、多数の顧客のDSL接続を単一の高速非同期転送モード(ATM)回線に連結する。物理接続IDは、光ファイバ接続、ケーブルTVベースのインターネットサービスのためのケーブルモデムシステムの場合に取得され、仮想接続IDは無線機器の場合に取得される。たとえば、ファイバ・ツー・ザ・ホーム(FTTH)ネットワークでは、接続IDは加入者を光ネットワークに繋ぐため使用される光ネットワークユニット(ONU)の識別子でもよい。ONファイバ・ツー・ザ・ホーム又はその他の)サービス加入者を加入者への物理ファイバ接続又はONU接続と関連付けるために使用される。物理接続305の識別子は、物理接続305を決定するためにトレースルート又はその他のネットワークマッピングユーティリティを使用して取得されることも想定される。標準的なトレースルートユーティリティは物理接続305を識別しないが、コンピュータノードへの単一ルートと共に物理接続305を提供可能であるトレースルートのようなユーティリティが作成可能であることが想定される。
【0039】
多くのネットワークシステムにおいて、ネットワークエッジ機器303は、クライアント装置(STB、PC、PDAなど)がDHCPプロトコルを使用してネットワークIPアドレスを要求するときに、DHCP要求をDHCPサーバへ転送する。DHCPリレーエージェントとしての機能を果たすことに加えて、ネットワークエッジ機器303は、ネットワークエッジ機器303を介してDHCP要求を転送するときに、物理接続識別子(たとえば、DHCPオプション82)をさらに付加する。ネットワークエッジ機器303が物理接続識別子を付加するとき、DHCPサーバは、DHCP処理に関する情報を持ち、典型的にIPアドレス、CPEメディアアクセス制御(MAC)アドレス、リース状態、リース期間及びその他の情報を含むDHCPサーバリースファイルに、物理回線識別子を記憶することが可能である。DSLベースのネットワークのための今日のDHCP処理は、DSLAMポート番号を用いてホームに接続されている物理的ワイヤを指示するポート識別子を追加するDSL DSLAMを含む。DSLAMポート番号は一意であり、銅線がDSLAMポートに繋がるとき、ホームとTelcoネットワークとの間の物理銅配線は一意に識別される。多くのシステムにおいて、DHCPリースファイル情報は、ネットワークエッジ機器303によってDHCP要求(たとえば、DHCPオプション82)に付加された物理接続識別子をさらに含む。
【0040】
ネットワークエッジ機器303とCPE380機器との間の物理接続305の物理接続識別子が利用可能でない状況では、ソフトウェアは、識別子を物理接続305と関連付けるために使用されるデータを取得するため、ネットワークエッジ機器303を探索することによりこの情報にアクセスするように記述され得る。この探索の一例は、DSLAM装置によって提供されている方法を使用して、DSL DSLAM装置から回路IDを読み取ることである。ネットワークエッジ機器303の探索は、どのようなネットワークタイプ(無線、ケーブル、ファイバ、DSL、イーサネットなど)であっても適用可能であり、探索は機器から物理接続305を取得する1つ以上の方法に基づいてもよい。物理接続305の識別子を取得する典型的な方法は、データベースファイルの読み取り、テルネット(Telnet)セッションの実行、ネットワーク又はネットワークエッジ機器380上の外から見えるインターフェイスへのアクセス、情報を取得するためのウェブサービスへのアクセス、ファイル転送プロトコル(FTP)若しくはハイパーテキスト転送プロトコル(HTTP)インターフェイスによる情報へのアクセス、又は、その他の方法を含む。
【0041】
物理接続IDが決定された後、本実施形態における認証プロセスは、物理接続305をサービス加入者に関連付け(ステップ345)、加入者及び関連付けられた物理接続識別情報に関する情報を記憶する(ステップ346)。これは、サービスプロバイダが物理接続305を含む情報を使用してユーザを認証することを可能にさせ、このようにして、ユーザを識別された物理接続がリンクされている物理構造物又はビルディングにリンクする。情報が一旦記憶されると、クライアントはサービスのため登録され、その後にマーチャント388からサービスを受けることが可能である。登録後、物理接続305は、図3に示されているように、サービスの後続の要求毎にユーザを認証するため使用される。
【0042】
サービスプロバイダが、ネットワークエッジ機器303又はTelcoネットワーク機器又はDHCPサーバ320又はセキュリティサーバ310又はその他の場所によって設けられている外から見えるインターフェイスを使用して、Telco又はサービスプロバイダから物理接続305の識別子を取得することを可能にさせるウェブサービスが提供され得ることもまた本出願によって想定されている。
【0043】
物理接続305の情報は、クライアントを認証するときに今日のシステムで使用されることがあるが、この使用はネットワークサービスプロバイダが加入者のCPE380を認証するときに限定され、この情報は、電子商取引システム、インターネットシステム、ウェブサービス、電子メールシステムなどのユーザを認証するために、サービスのためのアプリケーションレイヤ、又は、電子商取引レイヤのような、物理接続レイヤを越えた加入者の認証の際に使用されない。
【0044】
図3は、サービスにアクセスするために試みられた不正な攻撃を検出するために、登録後に加入者又はクライアントを識別するのに使用される認証プロセスを示している。ハッカーと呼ばれる不法侵入行為者がサービスを侵害又は盗用しようする多数の方法がある。たとえば、ハッカーは、複製加入者情報を伴うSTB又はPCのようなクローン化されたクライアント装置を使用し、権限のある加入者になりすますことを試みる。図3に示されている認証プロセスは、クライアントが、サービスに登録するため使用した物理接続305と同じ物理接続305からサービスにアクセスしていること、ならびに、サービス上で同時に使える状態である同じ資格をもつ複数のクライアントが存在しないことを検証可能である。
【0045】
図3に示されているように、登録済みクライアント(又は、クローン装置などを使用して登録済みクライアントになりすまそうとする権限のないユーザ)からのトランザクション要求はステップ350で受信される。接続中の加入者のホームゲートウェイIPアドレス(STB370のIPアドレスではなくホームゲートウェイ又はCPE380のIPアドレス)が次に読み取られる(ステップ352)。加入者のゲートウェイIPアドレスは、加入者の物理通信回線又は物理接続IDを取得するために使用される(ステップ354)。このIDは、ゲートウェイIPアドレスに対する物理通信回線識別子を格納しているネットワークデータエントリから取得される。これは多種多様な方法で取得可能であり、たとえば、DHCPリースファイルがこのマッピングを取得するために読み取られる。ネットワーク機器がDSLAMからDSL DSLAMポートIDを読み取ることによりこの情報について問い合わせされることもある。その他の方法がネットワークに依存して使用され得る。加入者ゲートウェイIPアドレスは、多くのシステムが一時的なリースを用いてDHCP IPアドレス管理を適用する方法のため、一時的な関連性である。したがって、加入者は、IPアドレスではなく、物理通信回線に接続されているときに識別される。物理通信回線識別子は加入者毎に一意であり、一例は、DSLAM_IP_ADDRESSがネットワーク内の多数のDSLAMのうちの1つのIPアドレスであり、ポート番号フィールドが銅配線を加入者の場所に接続するDSLAM上の物理ポートであるDSLAM_IP_ADDRESSポート番号である。
【0046】
接続中クライアントは、その後に、加入者の現在のDSLAM_IP_ADDRESSポート番号又は物理接続IDを、ユーザが最初にサービスに登録したときに取得された物理接続IDと比較することにより認証される(ステップ356)。ソフトウェアは、加入者の物理接続を監視し、ネットワークと加入者との間の様々な物理接続上で同時にアクティブ状態である複数の加入者をチェックする。加入者の顧客宅内機器はホームゲートウェイ又はファイアウォールに隠れている可能性があり、加入者のクライアントIPアドレスは、ホーム又は宅内で局所的なIPアドレスであり、認証システムから見えない。この方法は、加入者を、クライアントIPアドレスではなく、ビルディングへの物理接続305に関連付け、認証のより優れた基礎を提供する。ソフトウェアは、加入者の新しい物理接続ID又は現在の物理接続IDと登録済み物理接続IDとが合致しているかどうかを決定する(ステップ358)。合致しているならば、接続は信頼でき、トランザクションは継続可能である(ステップ362)。物理接続IDが登録情報と合致しないならば、変更が通知され(ステップ360)、トランザクションは、変更が有効な理由のためであるか、又は、ネットワーク上のクローンであると疑われるかどうかに応じて、続行するか、又は、続行しない。
【0047】
ステップ360において、処理ソフトウェアは、加入者によって使用されている機器が、サービスに登録したときとは異なるDSLAMポート上に現在存在していることを報告可能である。加入者装置の物理接続は、技術者が加入者をDSLAM上の異なるポートへ移動させること、又は、技術者が現場でSTBを移動し、加入者の情報を更新しないこと、又は、加入者がSTBを移動させたときをはじめとして、多種多様の有効な理由のため変更されているかもしれない。これらの条件はネットワーク上に存在しているクローンを構成しないが、プロセスはこれらのタイプのイベントを通知可能である。
【0048】
MACアドレスによって一意に識別される正規のSTBは、あらゆる所与の時点において、単一のDSLAM物理ポートアドレス上にのみ存在し得る。一実施形態では、認証システム及び方法は、図1から4に関連してより詳細に後述されるように、リレーエージェント情報拡張オプションを用いて設定されたDHCPサービスを使用して、2つ以上の物理回線に接続されているSTBのDHCPリース記録を探索することにより、クローン化されたSTBを検出する。図4は、図1のシステムにおいて使用される、図2及び3に示されているようなリアルタイム登録認証、及び、潜在的なクローンの存在のスイープレポートのための、論理プロセス及びデータ記憶装置を示している。認証プロセスを実行する認証サーバは、別個のセキュリティサーバ又は認証サーバ310に存在するか、又は、ネットワークエッジサイト303に接続されているか、若しくは、他の実施形態ではマーチャントアプリケーションサイト388に接続されているネットワーク運用センターに設けられていることがある。
【0049】
図4に示されているように、DHCPサーバ及びリレーエージェント363はDHCPリースファイル記憶モジュール364に接続されている。DHCPテーブルビルダー365はDHCPリースファイル記憶モジュール364及びDHCPディレクトリ366に接続されている。テーブルビルダー365によって作成されたテーブルはDHCPリーステーブルモジュール367に記憶されている。全てのSTB関連データ、すなわち、顧客登録情報及び関連した物理接続IDは、特有の回路情報と共に、回路管理(CM)レジストリ368に記憶されている。鍵要求又はサービス要求がSTBから受信されたとき(369)、システムは、DHCPリーステーブルに記憶されている情報を回路管理(CM)レジストリ368に記憶されている情報と比較することにより、要求の発信元であるリースされた回路が登録済み回路であるかどうかを決定する(374)。回路が合致しない場合、認証例外が生成され、スイープレポート(376)における後処理のため認証例外モジュール375に記憶される。合致がステップ374で見られないとき、STBは、サービスを拒否されるか、又は、後の審査のためサイレント通知される。回路識別情報の変化に有効な理由が存在するならば、CMレジストリは、この特有のクライアントの登録済み回路がリース済み回路に対応することを指示するように更新されるであろう。
【0050】
図1から4に示されているような認証システムの一実施例が今度は詳述されている。ユーザ又はクライアントを認証するために、MACアドレス及びDSLポート番号(オプション82)が所与のIPアドレスに対しDHCPサーバ又はリレーサーバから取得される。図4に示されている実施形態では、DHCP状態はDHCPリースファイルからアクセスされる。代替的な実施形態では、等価的な状態情報がトータルマネージ(TM)を使用して取得される。Myvo/SiemensからのMiddlewaveは、クライアントの資格及びその他の情報を取得する。代替的に、DHCP状態ログが認証サーバへ出力され、又は、認証サーバからのDHCP要求トラフィックが探り出される。
【0051】
DHCPアクティビティは、/etc/dchpd.leases又はDHCPリースファイル365に保持され、ネットワークエッジDHCPリレーエージェント363から取得された以下のオプショナルフィールドを含む。
【表1】
【0052】
リモートIDは大域的に一意であると仮定されているが、回路IDはDSLAMに対してのみ一意であり、認証サーバの一意性を保証するためにサブネットアドレスを用いて修正され得る。STBがクローン化されているが、偶然に2つの異なるサブネット上で同じ回路を占領するような悪化した事例を考える。このクローンを検出するために、サブネットと回路の両方が一意性をテストされる。DHCPプロトコルリレーエージェントは、リレーエージェントのIPアドレスであるgiaddrフィールド内で参照される。リースファイル内の回路IDオプションは、giaddrと回路の連結である。「giaddr」フィールドは、DHCPサーバと(DSLAM、ゲートウェイなどのような)回路との間のリレーエージェントのためのゲートウェイIPアドレス、すなわち、IPアドレスを参照するために使用される用語である。リースファイルは、フラット形の情報交換用米国標準コード(ASCII)テキストファイルとして維持されてもよく、コンテンツ及びレイアウトが変化してもよい。リースファイルプラグインは本来のファイルアクセスを抽象化するために使用される。
【0053】
大規模設備の場合、全リースファイルが同じフォーマットを有するかどうかを決定することが残されている。概念的には、異種システムは、様々なDHCPサーバと、リースファイルフォーマットと、その結果として、様々なリースファイルプラグインを有する可能性がある。今日のDHCPサーバからのDHCPリース情報は、発行されたIPリース及び回路オプションを明らかにする以下の実施例に類似しているように見える。
lease 172.22.22.254 {
starts 1 2006/02/06 15:46:27;
ends 1 2006/02/06 16:46:27;
tstp 1 2006/02/06 16:46:27;
binding state free;
hardware ethernet 00:03:e6:00:3c:84;
option agent.circuit−id “10.160.220.232:1−3−26−0−adsl−0−36”;
}
【0054】
本実施例では、giaddrフィールドは10.160.220.232である。直接的に接続されたSTBの場合、DHCPリースファイルエントリは、STBのIPアドレス及びMACを有する。アクセスポイント(AP)の事例では、DHCPリースファイルは、(複数の)STBの何れかではなく、APのIPアドレス及びMACを有する。本明細書では、「アクセスポイント」という用語は、有線LANのユーザのための通信ハブとしての機能を果たすハードウェア装置又はコンピュータソフトウェアを指し示している。しかし、回路情報は、CPEドメインの全機器、すなわち、AP及び(複数の)STBの両方に共通である。
【0055】
回路IDの登録時決定を容易化するために、DHCPリーステーブル367が作成される。リーステーブルは、アドレスをIPリースと関連付けられた接続305のための回路IDと関連付けるために、全リースフラットファイル情報及びIPアドレス上の鍵をインポートする。このリーステーブルは、登録中にフラットファイル処理より改良された性能レベルを提供する。一実施例では、テーブルは以下の事項を含む。
【表2】
【0056】
バッチプロセスは、DHCPリースファイル364を解析し、データをDHCPリーステーブル367へインポートするために実行される。ビルダーはバックグラウンドプロセスとして動くことがある。リーステーブルビルダーは、登録サーバを含む高優先順位のシステムタスクに取って代わられる。テーブルビルダーはDHCPリースファイルの場所を見つけるためにDHCPディレクトリを使用可能である。ディレクトリは、リースファイルが処理されている全DHCPサーバのマスターリストを備える。ディレクトリは、手動で集められ、オペレータUIによって管理され、最終的にDHCP発見によって自動的に生成されることがある。
【0057】
認証システムはSTBを直接的に登録してもよいし、又は、STBのアクセスポイント(AP)を登録してもよい。直接的に接続されたSTB370の場合、STBは、ステップ369において自分のIPアドレス及びMAC又はSTB IDと共に鍵要求を発行する。登録又は認証サーバ(セキュリティサーバ310又はマーチャントアプリケーションサイトに設けられたサーバの何れか)は、登録時のリースIPアドレスを使用して、STB MACを回路に関連付けることが可能である。
【0058】
AP登録の場合、STBが登録するとき、STBは、自分のSTB ID(MAC)を収容している鍵要求369を発行する。要求IPは、鍵要求がSTB MACとアクセスポイントIPアドレスとを収容するように、アクセスポイント又はCPE380によってNAT変換される。認証又は登録サーバは、登録時のリースIPアドレスを使用してSTB MACを回路に関連付ける。
【0059】
複数のSTB又はユーザ装置の場合、登録プロセスは、この事例では複数のSTBによって発行された一意のMACを使用して、同様に取り扱われる。各事例において、登録サーバは、一意のMACと、回路IDを取り出すために使用されるアクセスポイント、すなわち、AP IPと共に鍵要求を受信する。
【0060】
IPは常にCPE回路に帰着するので、プロセスは直接的なSTBとAP登録の両方に類似している。登録は回路ベースの認証を実行する際に重要な役割を果たす。STB MACは初期の鍵要求時だけに分かっているので、認証を推進するのは登録イベントである。回路ベースの認証は、クローン化されたSTBを検出するためにビジネスロジックを利用する。このようなSTBは何れもが鍵をアクティブに拒否されるか、又は、後の審査のためサイレントに記録される。
【0061】
回路認証の拒否又は疑義の結果は、スイープリポート376における後の処理のため認証例外テーブル375に挿入される。権限のない要求は拒否されてもよく、その後に、例外テーブル375に記録されてもよい。その他のタイプの例外もまたこのテーブルに記憶される可能性がある。一実施形態では、認証例外テーブル375に記憶されている記録には以下の事項が含まれている。
【表3】
【0062】
同じCPE内のクローン化されたSTBは同じ回路を共有しているので容易に検出できない。STBがパワーサイクルされ、部屋と部屋の間を移動させられる正当な使用の事例もまたこの条件を引き起こす。この制限を拡張するため、共通APを共有する複合住居は複数のSTBを扱うこともできる。対抗手段として、同一回路上の単位時間当たりの登録件数の実際的な上限又はその他の防衛策が登録サーバによって採用されている。
【0063】
顧客データベース又はレジストリ368は、オープンデータベースコネクティビティ(ODBC)ドライバを用いてアクセスされてもよい。設備は登録検証フィールドを挿入するために顧客データベースを修正可能である。データフィールドは、ユニバーサル変換フォーマット(UTF)−8又はUNICODEである(UNICODEは文字を整数として表現するASCIIに類似した規格である)。以下のフィールドが認証目的のためCMレジストリ368に含まれることがある。
【表4】
【0064】
これらのフィールドを使用して、ネットワーク運営者は、回線、現場、サブネットなどによるトレンドへの特別の調査リポートを構築することが可能である。
【0065】
DHCP IPリースは、リースファイルがリーステーブルビルダーによって取得された時点と、リースファイルが登録サーバによって利用された時点との間に満了することがある。登録又は認証サーバは、DHCPリース満了及び日時をその他の関連フィールドと共に認証例外テーブル375へ書き込むことにより、境界事例フィルタリングをスイープリポート規則に延ばすことが可能である。スイープリポートロジックは、これらの境界事例を考慮するためにこれらのフィールドをテスト可能である。許可された鍵は満了時期と共にリースされる。
【0066】
認証システムは、コンテンツ・オーソリティ・サービス(CAS)との一般的な互換性に合わせて設計され、リモートプロシージャコール(RPC)変換にSOAP/拡張マークアップ言語(XML)を提供するために、シンプル・オブジェクト・アクセス・プロトコル(SOAP)エージェントと一体化されていてもよい。認証システムは攻撃の脅威から隔離された非武装ゾーン(DMZ)内で動くこともある。DMZは、企業プライベートローカルエリアネットワーク(LAN)のような信頼できる内部ネットワークと、公衆インターネットのような信頼できない外部ネットワークとの間に置かれているコンピュータ又は小型サブネットワークである。一般に、DHCPサーバとリレーエージェントは信頼できる関係を有し、一方、DHCPクライアント(STBを含むCPE機器)は信頼できないと考えられる。一実施形態では、認証システムはライセンス鍵による許可されていない使用から保護されている。アドミニストレーションレベル機能はシフトスーパーバイザログインに制限されている。
【0067】
認証システムのためのユーザインターフェイスは、Java又は類似したインターネットプログラミング言語で実施されてもよく、以下の機能を含んでもよい。
【表5】
【0068】
認証システムのインストールは、回路ベースの認証を実施する更新済み登録権限サーバを、関連付けられたソフトウェアと共に含む。データベーススキーム及び新しいテーブルはインストールの一部として更新/作成される。Windowsオペレーティングシステムでは、Installshield EXEは新しいWindowsサービスを作成する。Solaris/Linuxシステムでは、解決策は、テープアーカイブ(TAR)、レッドハットパッケージマネージャ(RPM)などとしてインストール可能でなければならない。認証サービスが別個に使用許諾されたオプションであるならば、認証サービスのインストール及びアンインストールを管理するために一意のLICENSE_KEYを用いて追加されてもよい。アンインストールは、CMデータベースを認証前状態へ復元するためある事例で許可され、認証サービスに関連したテーブル及びフィールドを削除する。
【0069】
提案された解決策は、リアルタイム登録への影響を最小化するか、又は、減らし、DHCPリーステーブルビルダー及びスイープ報告へのオフライン処理を延ばす。スイープリポート実行時は、認証例外レコードの数の関数であり、インタラクティブに(臨機応変に)、又は、できる限り毎日の報告サイクルに基づいて行われる。DHCPリーステーブル367は、サービスを受けているインタラクティブネットワーク全体のため発行された全てのCPE IPリースを含むことがある。最悪の状況の大規模設備は、100万台のCPEがサービスを受けることがある。各CPEがリースされたIPを有すると仮定すると、リーステーブルは100万レコードのオーダーである。認証システムの主なサービスに影響を与えるか、又は、運営上の影響は、登録又は認証段階にある。DHCPリーステーブルがオフラインである場合には、IPアドレス参照は失敗するか、又は、認証例外更新が失敗し、システムは回復し、現在の機能に戻る必要がある。認証システムは別々に使用許諾されることがあるので、認証を認識していないビジネスロジック及び認証を認識しているビジネスロジックの両方に下位互換性があってもよい。
【0070】
DHCPリーステーブルビルダー365は、1以上の記憶モジュール364内の本物のリースファイルをそのままの状態に残したままでDHCPリースファイルのコピーを処理可能である。構築プロセスはサービスに影響を与えない。リーステーブル367は繰り返しサイクルでスクラッチから再構築されるので、自己回復作用がある。
【0071】
認証例外テーブルを使用するスイープ報告は、オフラインでもよく、サービスに影響を与えない。例外テーブル又は報告の誤りは予定されたデータベース保守によって回復可能である。認証例外テーブルの定期的な予定された保守は旧い記録を無効にすることができる。
【0072】
DHCPリースファイルは、処理のため中央ネットワークファイルシステム(NFS)のエクスポートされたディレクトリに集めることができる。全DHCPサーバのリースファイルの全体集合は、クローン化されたSTBをチェックするため走査されてもよい。DHCPリースファイルは、DHCPサーバによって定期的に中央収集ポイントへ押し出されてもよいし、又は、様々な手段(FTP、ネットワークファイルシステム(NFS)など)を用いてテーブルビルダーによって引き寄せられてもよい。
【0073】
DHCPは、(MIB(管理情報ブロック)を含む)統計的リポート及びログにおける現在のリースのエージェント回路ID値を報告する。回路IDは特定のリレーエージェントだけに局所的であるため、回路IDはリレーエージェントを識別するgiaddr値を用いて資格が与えられてもよい。回路情報が現時点でリースファイルに書き込まれていない場合には、DHCPサーバ及び/又はリレーエージェントは機能強化されなければならない可能性がある。リモートIDはDSLモデムIDであるかもしれない。
【0074】
上述のシステムにおいて、コンピュータデータ構造又はデータベースレコードに実施されるときにビルディングと関連付けられている物理ネットワーク接続IDの識別情報はビルディング内の1台以上のネットワーク装置を認証するために使用されるので、セキュアネットワーク通信がビルディング所有者又は占有者と直接的に関連付けられている。これは、加入者がサービスに申し込む時点に加入者をビルディングへの物理接続IDと関連付け、その後に、加入者による後続のサービス要求が同じ物理接続IDから来ることをチェックすることによって行われる。ビルディングは移動し得ないので、これはユーザの認証に依存する基礎を与える。
【0075】
図5は、認証のため物理コンポーネント又はビルディングへの接続に同様に依存するが、しかし、接続を識別するために、別のセキュリティレイヤをシステムに追加するデジタル証明書を使用する発明の別の実施形態による認証システムを示している。認証システムは、既存の物理的にセキュアな双方向ネットワーク、たとえば、特定の家又はビルディングへの専用回線を有する電話会社のような公益事業ネットワーク上に「ピギーバック」される。しかし、別個の独立型認証システムが代替的な実施形態では設けられていてもよい。図5において、認証システムは、電話会社の既存のデジタル加入者線(DSL)サービスにピギーバックされるか、又は、付加される。本システムは、代替的には、ケーブルサービスプロバイダ、電力会社、FTTHなどのような、ビルディングへのブロードバンド配線接続を提供する他のサービスと共に使用されてもよい。
【0076】
図5のシステムは、認証サービスを実行するために信頼され得る認定された認証センター20にリンクされている公益事業者サーバ又はデータセンター10によって管理されている。本実施形態では、認証センター又はサーバは、Verisign、Thawt又はBaltimoreのようなよく知られている証明機関でもよい。その他のエンティティもまた信頼できることが同様に証明され得る限り参加可能である。代替的な実施形態では、公益事業者データセンター10及び認証センター20は、単一エンティティとして組み合わされてもよく、ユーティリティサーバが信頼できる認証サービスを実行する。しかし、公益事業者は、認証機能を実行するため有効であることが一般には知られていないので、図示されている実施形態のシステムは別個の認証サービスを使用する。
【0077】
公益事業者サーバ又はデータセンター10は様々な公益事業会社エッジサイト又はサービスボックス30に接続され、エッジサイト又はサービスボックス30が次にはサービスに加入している各家又はビルディング40内のゲートウェイモジュール36に専用物理通信回線35によって接続されている。本事例では、通信回線35は、1つずつが特定のビルディングに接続されている本質的にセキュアなコンポーネントである。ホームゲートウェイモジュール36は次には有線又は無線通信リンク38によって、セットトップボックス若しくはテレビジョン45、パーソナルコンピュータ若しくはラップトップコンピュータ50、及び、様々なタイプのキャリアベースの無線装置55のようなビルディング内の様々なユーザ装置にリンクされている。各通信リンク38は唯一のビルディング又は物理的位置に接続されている。
【0078】
キャリアベース無線装置という用語は、無線ネットワークに繋がるクライアント装置又はその他の装置を表している。無線ネットワークは、米国電気電子学会(IEEE)802.11、又は、携帯電話会社若しくはその他の無線通信事業者若しくは無線通信機器のようなサービスプロバイダによって提供されるサービスといった、だれもが接続可能なオープンネットワークでもよい。キャリアベースの無線装置の実施例は、携帯電話機、無線モデム、無線PDA、及び、その他の無線装置である。音声及び映像再生アプリケーションと、ウェブブラウザアプリケーションとは、キャリアベースの無線装置上で動く典型的なアプリケーションの例である。キャリアベースの無線装置上で動くその他のアプリケーションがさらに想定され、本明細書に記載されている認証方法による恩恵を受けるかもしれない。
【0079】
本実施形態におけるゲートウェイモジュール36は、前述の実施形態における顧客宅内機器(CPE)380と等価であり、Telco信号を終端処理するか、又は、ネットワークに接続するどんな装置でもよい。ホームゲートウェイモジュールの実施例には、DSLモデム、ケーブルモデム、ファイバモデム、無線モデム、T1装置のような専用電話接続、及び、通信回線をネットワークに接続するその他の装置が含まれている。ホームゲートウェイモジュール36は、複数の通信、モデム型機能を含む可能性があり、NATと、ホーム内DHCPサーバと、ファイアウォールと、VPN、無線アクセスポイントなどのようなその他のネットワーク機能を含むことがある。ホームゲートウェイ、或いは、CPEという用語は、上記の項目の総称であり、上述のネットワーク機能に加えて、DSLモデム識別子、データ・オーバー・ケーブル・サービス・インターフェイス仕様(DOCSIS)識別子、ベーシック・ライン・プライバシー・インターフェイス(BPI+)、又は、その他の識別子のような一意の識別子を含む可能性がある。
【0080】
図示された実施形態では、ビルディング内のユーザ装置は、公益事業者サーバを介してコンテンツプロバイダにリンクされ、インターネット65又はプライベートネットワーク(図示せず)を介して他のユーザ60にリンクされている。しかし、公益事業者サーバ経由での外界への接続は不可欠でなく、図5の認証システムは、代替的に、ユーザビルディングを認証するためだけに使用されることがある。ビルディング又は物理構造物40は、データを送受信するため種々のその他のサイトへのその他のブロードバンド有線及び無線接続を有する。
【0081】
公益事業者エッジサイトモジュール30は、ホーム及びビルディングをネットワークバックボーンに接続する役目を担う別々のコミュニティ内での物理構造物である。図5の典型的な実施形態では、各エッジサイトモジュール30は、近傍にある各ビルディングに接続されているセキュアコンポーネント又は回線35と関連付けられているセキュアコントロールユニットを備える。エッジサイトモジュール30は、エッジサイトモジュール自体が住居侵入及びシステムにハッカー行為をされることによって危険に晒され得ないことを確実にするために、十分な物理的セキュリティ手段及びメカニズムを有する。エッジサイトモジュールがDSLエッジサイトであるとき、エッジサイトモジュールは、以下で詳述されるように、エッジサイトモジュールが関連付けられた専用回線35を介して接続されている各ビルディングとの間で通信を方向付けるデジタル加入者線アクセスマルチプレクサ(DSLAM)を収容し、認証システムの一部を形成する制御モジュールを収容することがある。
【0082】
エッジサイトモジュール30は以下に記載されているように2レベルのセキュリティを有する。
1.エッジサイト自体が物理的に保護され、アクセスは、出入りをデータセンター10と、できる限り認証サーバにも知らせなければならない許可された人だけに、制限されている。
2.DSLAMサーバ(及び、DSLAMをサポートするため使用されるサーバ)は同様に物理的に保護されている。DSLAMは、固有の独立したセキュリティ手段と、エッジサイトの物理構造物の中に人を入れないために使用されるセキュリティ手段及び装置とは別個の装置とを有してもよい。
【0083】
図1から4の実施形態では、ユーザ証明又はユーザ認証は、登録済みユーザと、ホーム又はビルディングをネットワークエッジサイトに接続する物理回線との間に関連性を確立することに依拠している。関連性は、登録時と、登録済み加入者が後でサービスを使用する時の両方の時点で、加入者物理ネットワーク接続IDを決定することによって作成される。図5の実施形態では、DHCPリーステーブルのような様々なソースを使用してビルディングへの一意の通信回線35の接続ID又は回路IDを識別するのではなく、付加的なセキュリティ資格情報がビルディング又はビルディングへの物理接続と関連付けられている。セキュリティ資格情報はデジタル証明書でもよい。一実施形態では、各エッジサイトモジュール30は、エッジサイトモジュール70を物理構造物40にリンクする1つ以上の通信回線35を介して、エッジサイトモジュールによるサービスを受けるコミュニティ内の別個の物理構造物40の1つずつに発行される個別のデジタル証明書70を格納している。デジタル証明書はデータ記憶領域に記憶されている。エッジサイトモジュールは、認証目的のため使用される暗号ルーチンを格納している長期メモリをさらに有することができる。必要な認証ステップを実行するようにプログラムされている付加的なプロセッサがエッジサイトモジュールに追加されてもよく、又は、これらの機能は、適当であれば、既存のエッジサイトプロセッサによって実行されてもよい。
【0084】
本実施形態の認証システムは、不変ソフトウェアオブジェクトであるデジタル証明書70の発行及び取消を行うために、公開鍵インフラストラクチャ(PKI)を使用する。これらのデジタル証明書は2個の一意の鍵を運ぶ封筒である。これらの2個は互いに異なる。一方の鍵は他方の鍵の暗号対である。一方の鍵がデータのパケットを暗号化するために使用されるならば、パケットを正しく復号化できる世界で唯一のもう一方の鍵はデジタル証明書内に保持されているもう一方の鍵である。一方の鍵は典型的に公開鍵と呼ばれ、もう一方の鍵は典型的に秘密鍵と呼ばれる。秘密鍵は不変オブジェクトに常に安全に添付されている。公開鍵はユーザ及びネットワークパートナー候補との間で共有される。
【0085】
本事例では不変オブジェクトであるデジタル証明書70が証明機関又は認証サーバ20によって特定のビルディング(又は、セキュアコンポーネント、すなわち、ビルディングに取り付けられている回線35)に対し一旦発行されると、以下のステップがビルディング内のネットワークユーザを認証するために使用されてもよい。
−ユーザは、秘密鍵を使用してデータパケットを暗号化し、暗号化されたデータパケット及び暗号化されていない(平文)データパケットを別のネットワークユーザへ送信し、
−受信者は、両方のデータパケットを受信し、事前に暗号化されたデータパケットを復号化するために証明機関20からのユーザビルディングと関連付けられた対の相手方である公開鍵を使用し、
−受信者は、復号化されたデータパケットを平文データパケットと照合する演算を実行し、
−照合演算が成功であるならば、リモートネットワークユーザは認証されている。
【0086】
本実施形態では、認証手続きで使用されたデジタル証明書を、動かせない特定のビルディング、又は、特定のビルディングに取り付けられた、検証可能なセキュアコンポーネントに結び付けることにより、非常に高いレベルのセキュリティが提供される。これは、証明書が、たとえば、コンピュータのようなハードウェア装置に取り付けるため証明機関によってユーザへ送られたユニバーサルシリアルバス(USB)ドングルなどを介して、移動可能な物理コンポーネントに結び付けられていた、このようなデジタル証明書のこれまでの用法とは異なる。デジタル証明書の物理接続35又は305(図1)との関連性は、物理接続識別子が登録済みユーザの認証のため位置付けられ記憶されている第1の実施形態に関して上述されている技術の代わりに、又は、加えて使用されてもよい。
【0087】
特定のビルディングに専用であるエッジサイトデジタル証明書は、建物内、たとえば、ホームゲートウェイモジュール36内に安全に記憶されている対応する鍵と照合される。ホームゲートウェイモジュール36のような装置が別の物理位置へ動かされ得ないことを保証し、さらにユーザを正しく認証する保護メカニズムが設けられている。既知の暗号化システムは、不変オブジェクトを天文学的に小さい誤り率と関連させる規格及びシステムを作成可能である。換言すると、コンポーネント部品(本事例では、エッジサイトモジュール、回線35、及び、ホームゲートウェイモジュール)が不変である限り、数学はコンポーネント部品間の関連が実質的に完全であることを保証するために使用され得る。
【0088】
各デジタル証明書70は固定物理構造物(又は、まさにその固定物理構造物への別個の接続)と関連付けられているので、本システムは、物理構造物又は、装置の実際のユーザの真正性を識別若しくは保証しない、単なるユーザ装置の認証ではなく、物理的構造物若しくはビルディングの所有者、居住者又は労働者である実際のユーザの信頼できる認証を可能にさせる。各デジタル証明書は、唯一の通信回線、したがって、1つの物理サイトに固有の専用秘密鍵を有する。
【0089】
エッジサイトモジュール30と物理構造物40との間の物理接続回線35は、ツイストペア(銅)線、DSL回線、ファイバ回線、専用及び別個の無線接続、又は、類似した専用機能を実行するその他の専用ポート若しくは接続若しくは専用回線のような物理配線接続でもよい。認証サーバ20は、コミュニティ全体の物理構造物を認証する目的のため、コミュニティ内の種々のエッジサイトモジュール内でデジタル証明書の発行及び取消を行う。デジタル証明書は、2個の一意の鍵を運ぶX.509デジタル証明書でもよい。X.509はITU−T(国際電気通信連合−電気通信標準化部門)によって公開されたデジタル証明書の仕様である。
【0090】
他のホーム及びオフィスビルディングは、それぞれの固有の別個のデジタル証明書が割り当てられる。したがって、コミュニティ全体はこの認証のシステム及び方法にアクセスできる。
【0091】
通信回線35がDSL回線である場合、DSL回線は典型的に、ビルディング内のユーザ装置との間でDSL通信を行うホームゲートウェイモジュール36に接続され得る。代替的に、ゲートウェイモジュール36は、ホーム内のユーザ装置に接続されている簡単なルータでもよく、又は、エンドユーザのためのデータのフローを管理する機能強化されたルータでもよい。別の実施形態では、ビルディング内の1台以上のユーザ装置は、通信回線35に、したがって、デジタル証明書に直接的に接続されていてもよい。
【0092】
デジタル証明書70が特定のビルディングのためセットアップされると、デジタル証明書はビルディング内のユーザ装置を認証するためにも使用される。デジタル証明書は本実施形態ではビルディング自体に安全に取り付けられていないが、デジタル証明書は、プロバイダエッジサイトモジュール30におけるDSLAMサーバ又はその他のサーバ内で、その特定のビルディングのための専用アクセス回線に安全に取り付けられている。これが必要なことの全てであり、なぜならば、DSLAMは物理的に安全なエッジサイト内に保持されているからであり、また、サービスは専用アクセス回線によってそのビルディングに提供されていること、及び、ビルディング内のユーザによって収められたサービスの支払の履歴が存在することという両方の理由で、DSLAMは正しいビルディングに専用であることが確認されているからである。既存ネットワークに「ピギーバック」する本システムは、固有のネットワーク、及び、認証サービスに加入している各ビルディングへの双方向ネットワーク接続性を伴う物理的に安全なボックスの取り付けを必要とする認証システムより非常に費用がかからない。
【0093】
図5の実施形態は、1つずつが、移動、盗難、クローン化などされるかもしれない、移動可能な、又は、相対的に移動可能なユーザ装置ではなく、地上の固定物理位置と関連付けられているX.509デジタル証明書70(又は類似した認証証明書)を発行する目的のため公開鍵インフラストラクチャ(PKI)又は同等物を使用する仮想プライベートネットワークを提供する。これは、電子商取引、電子メール、及び、その他の電子トランザクションのための安全な双方向認証を可能にさせる。図1から5のシステムは、クライアント認証システムの基盤として、既存のハードウェア、ソフトウェア、及び、電話、電力会社、ケーブルテレビジョン会社などのような公共事業会社のプライベートネットワークを利用する。必要とされている認証システムの全てのハードウェア及びソフトウェアは、必要に応じてネットワーク内の各場所で既存のハードウェア及びソフトウェアに付加される。これは初期セットアップ費用をかなり削減可能である。しかし、システムは、代替的に、固有のプライベートネットワーク、認証サーバ及びデータベースを有するスタンドアロン型の独立した認証システムとしてセットアップされ、ネットワークサービスプロバイダは登録及び加入者認証目的のためシステムを使用してもよい。これは、新しいビルディング開発の事例において特に実現可能だろう。
【0094】
図5は、証明機関が、ユーザ電子装置が置かれているホーム又はその他の物理構造物40を認証する1レベルの認証システム及び方法を示している。ユーザ装置は、図6に示されているように2レベルの認証システムにおいて、ビルディングに取り付けられたセキュアコンポーネントに対して認証されることもある。本システムにおいて、証明機関20は、デジタル証明書が関連付けられるビルディングの物理位置(又は、たとえば、ビルディングに接続されている回線35、ビルディング内の接続ポート、回線35に取り付けられているホームゲートウェイモジュール35などのようなビルディングに取り付けられているセキュアコンポーネントの位置)を認証するデジタル証明書70を供給する。これは第1レベルの認証である。第2レベルの認証では、ホームゲートウェイモジュール36が今度はビルディング内の各ユーザ装置を認証する。図6は、類似したシステムが図1から4の実施形態で利用されていてもよいが、図5の実施形態の2レベルの認証システムを、図5に示されているような適当な付加的なハードウェア及びソフトウェアと共に示している。
【0095】
図5の実施形態では、ホームゲートウェイモジュール36は、データ記憶モジュールに記憶されている特定のビルディングと関連付けられたエッジサイトデジタル証明書70に対応する鍵を有していてもよい。図5に示されているように、(電話会社若しくはTelcoのような)公益事業会社、又は、信頼できる証明機関は、代替的に、デジタル証明書70の対の相手方のデジタル証明書を格納しているハードウェアセキュリティ素子をビルディングユーザに供給することがある。ハードウェアセキュリティ素子は、USBドングル95、又は、セキュリティチップ、信頼できるプラットフォームモジュール(TPM)、スマートカードなどのようなその他のハードウェアセキュリティ素子でもよい。TPMはハードウェアベースのセキュリティをコンピュータ装置に提供するため使用される。典型的に、TPMは、チップに内蔵された暗号ハードウェア又は別個のハードウェアモジュールを含む。図4の実施形態では、セキュアUSBドングル95はホームゲートウェイモジュール36に組み込まれている。
【0096】
図5の実施形態では、ネットワーク通信を正常に動作させるため、暗号「署名」機能の実行が、認証機能が肯定的な結果を生じるように、ホームゲートウェイモジュール36と電話会社エッジサイトデジタル証明書70との間で成功し得る。これは、割り当てられたホームゲートウェイモジュール(又は、その他のタイプのルータ装置)が異なる物理位置で動作しないことを保証できる。暗号署名機能は、適当な暗号化ソフトウェア、たとえば、マサチューセッツ州ベッドフォードのRSA Security社によって供給されるソフトウェアを使用して実行されてもよい。この会社は、ネットワークアクティビティの実行が成功し得る前に、対の相手方であるデジタル証明書が適切に照合されることを保証する方法、技術及びアルゴリズムを有する。RSAスタイルの認証手続きが、本明細書に記載されている各実施形態で使用されていてもよい。一実施形態では、デジタル証明書認証手続きは、許可された機器がある物理位置から別の物理位置へ動かされていないことを検証するために使用される。
【0097】
ドングル95の代わりに、システムは、図5に破線で示されているように、ホームゲートウェイモジュール内のTPM96を利用してもよい。スマートカード、セキュアチップテクノロジーなどのような適当なハードウェアセキュリティ素子が、ホームゲートウェイモジュールをデジタル証明書70と安全に関連付けるために、ドングル95又はTPM96の代わりに使用されることがある。
【0098】
類似したハードウェア又はソフトウェアセキュリティ装置がビルディングと関連付けられた各ユーザ装置に設けられている。たとえば、セットトップボックス45は、証明書70に対する相手方となるデジタル証明書70を収容するスマートカード98のようなハードウェアベースのセキュリティ素子を有してもよい。スマートカード98は、代替的に、ドングル、セキュアチップなどによって置き換えられてもよい。パーソナルコンピュータ50は、デジタル証明書70に対する相手方を同様に収容している、図5に示されているドングル100、又は、スマートカード、TPM、セキュアチップなどのようなハードウェアベースのセキュリティ素子を有してもよい。
【0099】
無線装置55をサポートするために、ホームゲートウェイモジュール36は、ビルディング所有者及び/又はビルディング占有者に属している全ての無線装置55とのセキュア通信を可能にする固有の加入者識別モジュール又はSIM110を有してもよい。SIMカート又はチップは、顧客口座情報又は信用情報を記憶するセキュアメモリを収容している。各無線装置は、次に、セキュアソケットレイヤ(SSL)又は類似したテクノロジーを使用して、セキュアトンネル又はリンク114を介して、ホームゲートウェイモジュールだけのSIMカードと通信するように構成されているSIMカード112を有することができる。キャリアベースの無線装置内でオプションとして使用される加入者識別モジュールは、装置のサービス識別情報と、オプションとしてサービス請求信用度又はその他の課金情報を記憶する。典型的に、SIMは加入者を識別するため使用されるセキュア暗号化プロセッサである。セキュアトンネル114は、仮想プライベートネットワーク(VPN)、IPSec、又は、SSLトンネル若しくはその他の認証された、暗号化された通信リンク、又は、本発明によって説明されているようなプライベート内部通信リンクに基づいている可能性がある。セキュアトンネルは、有線通信路と無線通信路との間に接続されている2つのネットワークエンドポイントの間の仮想トンネルでもよい。
【0100】
システムの初期セットアップ時、又は、新しいユーザ装置が追加されるときいつでも、各ユーザ装置は、ユーザ装置のセキュリティ素子98、100、112を、ドングル95又はTMP96、及び、SIMカード110と関連付けられている同じデジタル証明書70と暗号的に関連付けるため、ホームゲートウェイモジュール36によって認証される。同様の手段が、各ユーザ装置を、ホームユニット80に記憶されているデジタル証明書70と関連付けるために図5の実施形態で使用されてもよい。これは、ビルディングホームユニット又はユーザ装置へのゲートウェイの第2レベルの認証を提供する。
【0101】
図5及び6の実施形態では、ビルディング内の機器は、DSLAMエッジサイト30でビルディングに割り当てられたデジタル証明書を介することによってのみ通信する。したがって、以下の通信路が確立される。
DSLAMエッジサイト1→DSLAMデジタル証明書1→ビルディング1
DSLAMエッジサイト2→DSLAMデジタル証明書2→ビルディング2
DSLAMエッジサイト3→DSLAMデジタル証明書3→ビルディング3
【0102】
一実施形態では、ビルディング2はDSLAMデジタル証明書1又は3と通信不可能であり、ビルディング3はDSLAMデジタル証明書1又は2(又は、デジタル証明書3以外のデジタル証明書)と通信不可能である。したがって、各ビルディング又は物理構造物は自分の固有のデジタル証明書を用いない限り通信できない。
【0103】
一実施形態では、図5に示されているように、Telco又は公益事業者データセンター10は関連付けられたデジタル証明書71をさらに有する。デジタル証明書71は、データセンターが接続されている各エッジサイト30に対して一意でもよく、又は、単一若しくは複数のTelcoデータセンターと関連付けられることがある。図5に示されている経路のような、各経路内のセキュリティ素子の全ては、認証機能が肯定的な結果を生じ、かつ、正常なネットワーク通信が行われるように、暗号的にアライメントされ同期させられる可能性がある。換言すると、ホストデジタル証明書71、エッジサイトデジタル証明書70、ホームゲートウェイドングル95又はTPM96、及び、STBスマートカードは、提供されるべき有料テレビジョンサービス又は映画のため暗号同期させられ得る。同様に、ホスト又はサービス運営者デジタル証明書71、エッジサイトデジタル証明書70、ホームゲートウェイドングル95又はTPM96、及び、PCドングル100は、PCとイネーブルにされるべきその他のネットワークサーバ又はユーザ60との間のセキュア公衆ネットワーク通信のため暗号的にアライメントされ同期させられる。最終的に、ホスト又はサービス運営者デジタル証明書71、エッジサイトデジタル証明書70、ホームゲートウェイSIMチップ110、及び、無線装置SIMチップ112は、行われるべき無線通信のため暗号的にアライメント同期させられ得る。ハードウェアセキュリティ素子が、改竄されるか、又は、ユーザ装置から取り外され、その後に、別の場所へ持ち込まれるならば、セキュリティ素子は適切なホームゲートウェイセキュリティ素子に接続できなくなるので、暗号アライメントは実行できない。全ネットワークトラフィックは、その他のネットワーク手続きが実行可能である前に、ホームゲートウェイモジュールにおけるデジタル証明書とセキュリティドングル95又はTPM96との間でRSAスタイルの認証手続きが成功することに依存している。
【0104】
図7は、図5及び6のシステムを使用する認証方法を説明するフローチャートである。最初のステップ200において、ユーザ候補又はクライアント候補は、サービスを使用したいという自分の意図を(公益事業会社によって提供されてもよく、又は、独立型認証サービスプロバイダ20であってもよい)認証サービスに通知する。認証サーバ20は、次に、電話会社若しくはその他のサービスプロバイダネットワークのような関連付けられたプライベートネットワーク、又は、代替的な実施形態では、専用認証ネットワークを使用して、ユーザ候補が位置しているビルディングに接続しようとする(ステップ202)。電話会社ネットワークが認証システムの一部として使用される場合、認証サービス20は、電話会社運営センター又はデータセンター10、ユーザ候補が位置しているビルディング40と関連付けられている電話会社エッジサイト30、及び、そのエッジサイトをそのビルディングのホームゲートウェイモジュール36に接続する専用回線35を介してビルディングに接続しようとする。接続が成功したならば、ビルディングの物理位置が、その住所及び/又は位置センサに関して電話会社によって保存されている記録があるならばこの記録を使用して、検証される(204)。一意のデジタル証明書70は、その後に、既知のPKI技術を使用して作成され(205)、このデジタル証明書70がリモート認証サービス20のデータベースに保存されている認証記録内でビルディングと関連付けられる。ステップ206において、一意のデジタル証明書70はエッジサイト30に供給され、エッジサイト30の恒久的なメモリ又はビルディングゲートウェイモジュール36に保存される。これは、図4のシステムにおいて説明されているような第1レベルの認証である。
【0105】
第2レベルの認証が次に実行される。一意のデジタル証明書と関連付けられ、証明書の鍵を格納しているハードウェアベースのセキュリティ装置は、ビルディング住所でサービスユーザに提供され、ビルディングゲートウェイモジュール内にユーザによって取り付けられる(ステップ208)。このセキュリティ装置は、そのビルディング住所への専用回線又はリンク35に物理的に接続されているゲートウェイモジュール36に取り付けられている場合に限り検証されるので、誰かがセキュリティ装置を盗み、他の場所に移そうとしても無駄である。セキュリティ装置はビルディング位置にある各ユーザ装置に取り付けるために提供されることもあり、これらの装置のセキュリティ鍵は、ステップ210において、ゲートウェイモジュール36のセキュリティ装置95、96又は110と暗号的に関連付けられている。同様に、これらのセキュリティ装置もまた装置がゲートウェイモジュール36内で適切な装置に局所的に接続されている場合に限り検証されるので、これらのセキュリティ装置は他の状況では使用され得ない。すなわち、デジタル証明書70を使用する全セキュアネットワーク通信は、識別可能な占有者及び/又は所有者を有する唯一の物理構造物と確実に関連付けられる。信頼の連鎖は、したがって、ネットワークから構造物40まで存在し、かつ、構造物40からユーザ装置及び関連したユーザまで存在する。
【0106】
高度の粒度が本システムを用いて容易に実現される。ビルディングが多数のテナントを有する場合、各テナントは、地主又はビルディング所有者が「親」ブランチであるツリー構造に基づいて発行された自分固有のデジタル証明書を所有することが可能である。認証モデルはこの場合には:ネットワーク→構造体→地主→テナントである可能性がある。このツリー構造は殆ど無限に拡張され得る。たとえば、人々は自分が関わりを持つ物理アドレスを所有せず、かつ、仮想プライベートネットワークを介して認証サーバに接続する事例では、有料で既存の物理アドレスとの関連付けを許可することが可能である。このようなサービスは、たとえば、Verisignのような会社によって現在使用されているようなインタビュープロセスの成功後に、ビルディング外部の加入者を検証するために追加的な対策をとることがある。
【0107】
図8は、認証サービスに加入しているユーザが、たとえば、安全な金融取引若しくは購入、安全な電子メール通信などのような商業目的のためのネットワークサーバ60を有するネットワークパートナー候補とのセキュア通信を実行することを希望するときに実行される認証ステップを説明するフローチャートである。システムは、たとえば、認証システムをオン又はオフに切り替えるために各ネットワークアプリケーションにおける優先設定を調整することによりセキュアネットワークの内部又は外部で動作するオプションをユーザに提供する。認証が必要とされないとき、たとえば、ユーザが単にインターネットにアクセスして色々な情報を閲覧しているならば、ユーザは認証サービスを起動しないことを選ぶことがある。セキュリティ又は認証サービスが起動されているとき、ユーザは、デジタル証明書の公開鍵をネットワークパートナー候補に送信することができる(ステップ250)。公開鍵は、プライベートネットワーク、プライベートネットワーク公益事業者サーバ10、公衆ネットワーク、又は、インターネット60の何れかを介して選択されたネットワークパートナー60へ送信され、或いは、(たとえば、図9の代替的な実施形態に示されているように)ビルディング40から公衆ネットワーク65への別の接続を介して直接的に送信され得る。ビルディングから出てインターネット及びその他の公衆又はプライベートネットワークへの同様の直接的な有線接続及び無線接続は図1の実施形態において設けられている。
【0108】
一実施形態では、認証サービスユーザは、認証サービスにアクセスするためにユーザ名及びパスワードの入力を要求される。これは認証システムに付加的なセキュリティのレベルを与える。本実施形態で提供されるセキュリティの3レベルは、(i)本人の知識(すなわち、ユーザ名及びパスワード)、(ii)本人の所有物(すなわち、USBドングルなどのような1個又は複数のハードウェアセキュリティ素子)、及び、(iii)本人の身元(ビルディング又は物理構造物に取り付けられたデジタル証明書がソースの確実な身元証明を行う)である。図1から4の実施形態では、第3レベルのセキュリティ(本人の身元)は、既存のIPアドレスポート番号のようなビルディングへの物理接続を特定することによって提供されている。
【0109】
公開鍵を受信した後、ネットワークパートナー候補は次に鍵の正当性を判定するために認証サーバ10へ問い合わせを行う(ステップ252)。認証サーバは、鍵がビルディングの実際の住所又は位置と関連付けられている有効なデジタル証明書70と適合するかどうかを検証可能であり(ステップ254)、たとえば、許可された機器をエッジサイトモジュール及び回線35を経由するプライベートネットワークを用いて、許可された機器がある物理位置から別の物理位置へ移されていないことを検証するためのステップも行うことがある。検証が成功であるならば、正常なネットワーク通信が許可される(256)。検証が不成功であるならば、通信は許可されない(255)。
【0110】
図9は別のレベルのセキュリティを提供するための図4及び5のシステムの変更を示している。この付加的なセキュリティレベルは図1から4のシステムにおいて提供されることもある。図9の実施形態では、ユーザ装置45、50は、ホームゲートウェイモジュールを介して、ビルディング40とエッジサイト30との間の専用回線35に接続され、(図1に示されているように)ホストネットワークにリンクされている別のネットワークにアクセスするためこの回線を使用する。ビルディング40は他の固定回線ブロードバンド接続280を保有し、ユーザ装置は、この接続を介して、コンテンツファイルを取得、送信し、さもなければ、通信することもある。この場合には、固定回線ブロードバンド接続280を介して受信される高価値コンテンツはセキュリティのため暗号化されるべきであろう。高価値コンテンツは通常は平文でSTB又はPC(すなわち、図9のセキュアプライベートネットワークの外側)へ伝達されない。固定回線ブロードバンド接続280は、インターネットを含まないケーブルネットワークのような実際のインターネットサービスを提供しないかもしれないシステムのため示されている。しかし、多くのアプリケーションでは、固定回線ブロードバンド接続280は通信回線35だけによって提供されている。
【0111】
無線装置55は、高速無線リンク又はソース290を介してコミュニケーションを送受信する。これは、IEEE 802.11、又は、携帯電話会社のようなプロバイダによって提供されるサービス、又は、ネットワーク若しくは通信ポートへの無線接続を提供するその他の無線通信キャリア若しくは無線通信機器のような無線ネットワーク又はサービスを表している。無線装置が、加入者を認証するための固有の方法を保有している携帯電話機サービスプロバイダのような他のキャリアからの無線サービスに加入する場合、本発明の方法は、ネットワーク全体により多くの認証及びセキュリティを提供する。しかし、別個の無線キャリアは本発明のシステム及び方法によって要求されていない。
【0112】
図9の変更された実施形態では、セッションベースの透かしソフトウェアモジュール300が、ビルディング内の1台ずつのセットトップボックス、コンピュータ、及び、無線装置のような各ユーザ機器45、50、55に組み込まれている。
【0113】
セッションベースの透かしソフトウェアは、ストリーミングされているか、又は、物理構造物40へダウンロードされているコンテンツファイルに行われる不法侵入行為、不正利得取得行為、海賊行為を明確に識別するために使用されている。ソフトウェアは別個かつ一意の透かしペイロードをユーザによってダウンロードされるコンテンツに設定する。透かしのペイロードは、コンテンツにアクセスし再生するため使用されたクライアント再生装置(STB、PC、PDA、携帯電話機など)を識別するために使用され得るクライアント固有識別子(又は取引IDなど)である。透かしペイロードは、コンテンツがどこへ配信されたかについてのさらなる証拠を提供するために、一意のデジタル証明書からのユーザの秘密鍵を用いて暗号的に署名されてもよい。これは、ユーザがコンテンツを他者へ無許可で配信するならば、このユーザが特定されることを可能にさせる。
【0114】
代替的な実施形態では、セッションベースの透かしソフトウェアは、ホスト又は電話会社データセンター又はサーバ10に位置しているコンテンツサーバ内に設置されることがある。各ストリーム又はダウンロードは、別個の物理構造物及び別個の装置45、50又は55に専用であるので、ホストデータセンター10で挿入された一意の透かしペイロードは、物理構造物40内でのデジタル海賊行為の抑止力として十分であろう。この代替案は、ダウンロードが、ビルディングへの別の接続へ直接的に向けられるのではなく、ホストデータセンターを介してビルディングへ向けられていることを要求する。顧客の秘密鍵を使用する透かしペイロード内の暗号署名は、ユーザ又は顧客がコンテンツ配信を要求し、コンテンツの保護の全責任を負っているというさらなる証拠を提供するために実施され得る。これは、コンテンツが人気のある公開共有サイトへアップロードされないようにする有用な抑止力である。
【0115】
全ての透かしがセッションベースで行われることが推奨されている。これは、個別のコンテンツストリーム又はダウンロード毎に一意にマークが付けられることを意味している。上述の第1の代替的な透かし方法では、クライアント又はユーザ装置はそれ自体が一意の透かしをその装置に達するストリーム又はダウンロード毎に挿入可能である。第2の代替案では、コンテンツサーバシステムは、一意の透かしを特定の装置(及びそれ以外の装置はない)を対象とするストリーム又はダウンロード毎に挿入可能である。
【0116】
その上、透かし内のペイロードはシステムが利用可能である鍵を使用して暗号的に認証される。一実施形態では、デジタル署名が透かしペイロードに追加され、すなわち、透かしペイロードはクライアントによって使用される秘密鍵を用いて暗号的に「署名」されている。ハッシング及びセッション鍵の使用のようなその他の方法も同様に使用され得る。透かしペイロードを認証するこの余分なステップは、自分の家又はビルディング内からのコンテンツの漏洩の責任を負った人の真正性及び過失性をさらに証明可能である。本願において使用されたときのデジタル署名という用語は、送信当事者又は受信当事者によって使用されるか、又は、受信当事者、証明機関、又は、その他の当事者によって認証され得る一意の暗号署名又は識別子を作成するために伝送路において使用され得るあらゆる技術を含む。メッセージハッシュ又はメッセージダイジェスト上でPKI暗号化を使用するメッセージダイジェスト5(MD5)、USセキュアハッシュアルゴリズム(SHA1)、及び、暗号技術に基づくその他のデジタル署名テクノロジーを含む利用可能な多数のデジタル署名の形式が存在する。どのようなタイプのデジタル署名でもデジタル署名のため利用され得るし、現在安全なデジタル署名技術又は将来のデジタル署名技術はどのような形式でも利用され得る。
【0117】
最もセキュアな環境であっても、コンテンツがネットワークから抜け出し、コンテンツ所有者の同意無しに公然と利用可能になる可能性が常に存在する。これは起こりそうもないが、海賊行為及び不法侵入行為がある場合に起こるかもしれないことを予想することが重要である。したがって、許可されていないコンテンツ漏洩の責任を負う人を確実に特定するように、コンテンツファイル内に目に見えないマークを設定するためセッションベースの透かしのような電子迷彩技術及び手続きを使用する方が有利である。
【0118】
図9のシステムの1つの可能なアプリケーションは、加入者が早期公開又は高精細度(HD)映画などをダウンロードすることを許可する際に存在する。主要な映画撮影スタジオなどは、デジタル海賊行為の実質的な危険性のために、自分の高価値デジタルコンテンツがインターネットを介して顧客に入手可能にすることを渋っていた。家電製品企業もまた、家電製品の価格を増加させる可能性があるので、価値のあるコンテンツを盗むことをより困難にさせるハードウェア及びソフトウェアテクノロジーを採用することを渋っていた。このことは、実質的にパーソナルコンピュータがHDコンテンツのため承認されていないことを意味する。このことの主要な理由は、HD映画がパーソナルコンピュータからインターネットへ容易にアップロードされ、ネットワーク接続を装備している世界のあらゆる人に提供される可能性があるからである。インターネット上には高度のレベルの匿名性が存在するので、デジタル海賊行為者は罰せられることなくこれらのアップロード操作を実行可能である。セッションベースの透かしソフトウェアが付加されている図9の認証システムは、これらの問題を解決し、かつ、コンテンツが無許可でさらに配信される危険性を殆ど、或いは、全く伴うことなく、許可されたユーザ装置上で見るため価値のあるデジタルコンテンツがインターネット経由で購入され得るようにするための実行可能な方法だろう。本発明のネットワークアーキテクチャは、ネットワークユーザが価値のある製品を消費することを望むときにネットワークユーザを確実に認証する。このネットワークユーザが公に利用可能なネットワーク上にコンテンツファイルを書き込むことを決定する(又は、別の類似した不法行為を始める)ならば、このネットワークユーザは、コンテンツファイルに付加された透かしに基づいて特定され得るので、逮捕される危険がある。これは、HD映画のような価値あるデジタルコンテンツのデジタル海賊行為又は無許可の配信行為に対する重大な抑止力であると共に、人々がこのようなコンテンツの合法的な販売を利用し、料金を支払うための動機である。
【0119】
図10及び11は、電力会社ネットワークが上述の実施形態における電話会社又はその他のサービスプロバイダネットワークの代わりに認証システムのための基礎として使用される、認証システム及び方法の代替的な実施形態を示している。クライアント電力消費量を記録する従来の方法は、安全な電気メーターボックスを各家庭又は各ビルディングに取り付け、請求書作成目的のため定期的な間隔でメーターを読み取ることである。しかし、世界中の電力会社は、自社の作業者がメーターを読み取るために各ビルディングを定期的に訪問しなければならない必要性を取り除くためネットワークテクノロジーを使用することを計画する。同じシステムは企業ネットワークを介して定期的なメーターの読みを伝送する計量システムを使用する水道会社又はガス会社と連携するであろう。
【0120】
図10のシステムは、電力会社のような公益事業会社が、各構造物40に所定の時間間隔でその電気メーターの状態について問合せを行うことを目的とするリーダー/トランスミッタ装置の確立されたネットワークを所有することを仮定している。この場合には、セキュアコンポーネント又はホームユニット80は、ローカル認証コントロールユニットのコンポーネント又は回路を収容するメーターボックス又は筐体を備える。ホームユニット80はビルディング又は物理構造物40の内部又は外部の何れかに安全に取り付けられている。コントロールユニットは、図9により詳しく示され、認証システムのローカル動作並びに公益事業会社のための計量動作を制御するように構成されている。コントロールユニットは仮想プライベートネットワーク(VPN)85を介してホスト又は公益事業者ネットワークサーバ84と通信する。近くにあるその他の認証コントロールユニットもまた、ネットワーク85を介してホストネットワークサーバと通信可能である。ホストネットワークサーバ84は、同様に、認証を実行する信頼できる証明機関又は認証サーバ20と通信可能であり、また、この機能は代替的な実施形態ではホストサーバ84自体によって実行されることがある。
【0121】
図11に示されているように、ボックス80内のセキュアコントロールユニットは、デジタル証明書70を保持するために十分な長期メモリ又はデータ記憶モジュール86と、暗号化ルーチンなどを保持する付加的な長期メモリ又はデータ記憶モジュール88と、データ記憶モジュール86及び88にリンクされている中央プロセッサ90とを備える。両方のデータ記憶機能は、代替的な実施形態では単一のモジュールに収容されていてもよい。メーター読み取りモジュール87は中央プロセッサ90にもリンクされている。コントロールユニットは、専用無線又は固定有線リンクを介してネットワーク85のアクセスポイントと通信するホスト通信モジュール92と、無線又は固定有線リンクを使用してビルディング内の顧客装置と接続する接続又はローカルユーザ通信モジュール又はルータ94とをさらに備える。
【0122】
ホーム又はビルディングユニットは、設置時にホストネットワークサーバ84によって特定の一意の物理位置又は住所と関連付けられるが、さらなるセキュリティが、全地球測位システム(GPS)センサモジュール又はその他のタイプの位置センサのような位置センサモジュール95をコントロールユニットに組み込むことによって提供されてもよい。位置センサは、ボックス80の地理位置を検証するために使用されることがある。ボックスがビルディングから分離されるか、又は、取り外されるならば、地理座標はデジタル証明書と関連付けられているビルディング位置と合致しなくなり、システムの改竄を即時に示す。これは、コントロールユニットが、データ記憶モジュール86に保存されている確定されたデジタル証明書70を使用する不正行為のため、その固定したビルディング位置から移され、別の位置へ持ち込まれることは起こり得ないことを保証可能である。この場合には、位置センサ95からの入力は、セキュア通信又はアクティビティがクライアント又はユーザによって要求されるたびにデジタル証明書70を認証するために、チェックされ、ボックス80が取り付けられていると考えられるビルディングの位置と比較される。図10及び11の実施形態では、デジタル証明書の対の相手方の鍵はデータ記憶モジュール88に記憶されていることがある。
【0123】
適当なソフトウェアが認証システムのユーザ又はクライアントエンドを動作させるためデータ記憶モジュール86、88及び/又はプロセッサモジュール90に設けられている。ホーム又はビルディングコントロールユニットの物理構造物又はエンクロージャは、容易に動かされることがなく、かつ、識別され得る人又は会社による所有権を明示する識別コード等を付けることができるように設計されている。たとえば、何者かによるボックス80への侵入又はボックス80の移動の検出時にデジタル証明書が取り消されるように、その他のセキュリティ手段が採用されることもある。
【0124】
上述の実施形態の場合と同様に、ホスト又は公益事業者ネットワークサーバ84は、認証サービスに加入している全ての物理構造物40からデータを収集し、デジタル証明書70を検証された構造物へ供給する信頼できる証明機関又はサービス運営者データベース/認証サーバ20にリンクされ、この情報がインターネット65(又はその他の公衆ネットワーク)を介する高速かつ効率的な問い合わせのため容易に入手できるようにする。図10に示されているように、物理構造物40内のユーザ装置は、信頼できる証明機関又は認証サーバ20のように、有線又は無線接続によってインターネット又はその他の公衆ネットワーク65とリンクされている。上述の実施形態と同様に、信頼できる証明機関サーバ及びデータベースは、公益事業会社自体によって、固有のネットワークサーバ及びデータベース84の一部として提供されるか、又は、図5に示されているように完全に別個のエンティティでもよい。
【0125】
図10におけるホーム若しくはビルディングユニット、又は、セキュアコンポーネント80は、ボックス80内のコントロールユニットに内蔵されていることがあるルータなどによって、ビルディング40内の種々のユーザ装置に接続されている。このような接続は、(限定されることはないが)イーサネット上のインターネットプロトコル(IP)でもよい。ソフトウェア及び通信モジュールは、構造物40と、電力会社のようなホストサーバ84との間で、構造物と、構造物内の装置45、50及び55、並びに、その他の電子装置のような構造物内の顧客又はユーザ装置との間で、セキュア両方向通信をサポートするように設計されている。図10の実施形態では、ドングル95のような付加的なセキュリティ素子が、図9の実施形態と同様に、ホームユニット80の中と、ホームユニットに接続されているユーザ装置の中とに組み込まれてもよい。
【0126】
定期的に、各ビルディングコントロールユニットは、メーターデータを、デジタル証明書70の状態を確認する情報と共に、ホストサーバ又は運用センター84へ報告する。デジタル証明書状態情報は、1箇所以上の中間データ収集ポイント又はネットワーク中継局を介して、(ホストサーバと別個であるならば)認証サーバ20へ伝達される。状態情報を受信し次第、認証サーバは、証明書が真正であり、改竄されていないことを検証するため用いられるデータベースを更新可能であるので、状態情報は、ビルディング40内の居住者又は労働者のためのネットワークトランザクションを検証するために使用され得る。定期的なデジタル証明書状態更新は、エッジサイトサーバからホストサーバへ送信され、その後に、認証サーバへ送信される。
【0127】
電力会社によって展開されているネットワークは、定期的に運用センターだけに報告することがあるので、瞬時ネットワーク要求がデジタル証明書に基づいてセキュアネットワークアクティビティを認証するために行われ得るように、デジタル証明書を認証することによって獲得された情報を使用可能である大規模セキュア大容量サーバが配備されることが重要である。
【0128】
認証ネットワークがセットアップされると、認証ネットワークは、有料テレビジョンサービスを使用するセットトップボックス45の認証、電子メール能力を有するユーザ装置に対するスパム電子メールの不存在の検証、インターネット電子商取引トランザクションの認証、身元盗用の削減、及び、その他のタイプのネットワークベースの不正行為の削減のため使用され得る。
【0129】
これまでに、チップレベルでネットワークユーザを認証するために数々の有意義な取り組みが発表された。これらの取り組みは、主として個人プライバシーの保護に関する口やかましい懸念のために実施されなかった。これは、認証装置が人の意思に反してその人に押し付けられ、クライアント装置内に隠されているという事実に起因していた。これに反して、本発明の認証システム及び方法は、クライアント又はユーザによって特に要求されない限り導入されることがなく、クライアントによって自由自在にオン又はオフが簡単に切り替えられる。当然ながら、システムが起動されていないとき、クライアントは、インターネット又はその他の公衆ネットワークを介するセキュアトランザクションのためこのレベルの認証を要求する他のネットワークサービス又はユーザと取引できない。
【0130】
さらに、クライアントは、認証を受けるために、図5から11の実施形態ではクライアントのビルディングに割り当てられたデジタル証明書と関連付けられているかもしれない公開鍵、或いは、図1から4の実施形態では接続回線識別子を、ネットワークパートナー候補へ送信可能であることだけを必要とする。住所、電話番号、又は、ビルディングに関するその他の特有の情報のような個人情報は要求されない。ネットワークパートナー候補から認証サーバへの問い合わせは、信頼のための適切な根拠が存在するならば、肯定の応答を返し、信頼の根拠が存在しないならば、否定の応答を返す。
【0131】
認証システムを使用する人が不法行為を行っているならば、適切な機関は、認証サービス本部に記憶されているデータから、ビルディングの実際の住所に関する情報、並びに、ビルディング所有者/ユーザ情報を取得する能力を有し、適切な措置を講じることが可能である。これは、ウェブ上で行われている不法行為を見つけ出し、検証するために現在の技術水準の司法手段を使用することと違いがない。
【0132】
本システムを用いると、ホーム又はビルディングは、リモート認証サービス又はデータセンターを用いてそれ自体が本物であることを証明するだけでよい。ホーム内のユーザ装置は、単一のビルディングゲートウェイ、セキュアゲートウェイモジュール、ルータ、モデム、又は、スイッチ(図1から9)のような顧客宅内機器、又は、図10及び11の場合のような複合型のメーター及びセキュリティコントロールユニット80に対して本物であることが証明される。今日の公益事業会社が居住環境内の個々の賃貸人に、又は、オフィス又はビジネス環境内の個々のユーザにサービスを提供するときに同時に、本発明の認証サービスは均一レベルの粒度を提供可能である。ビルディングの所有者は構造物全体の責任を負う必要はないが、個々の賃貸人が各賃貸人に割り当てられたデジタル証明書によってそれぞれのエリアの責任を負うように要求することができる。これは、階層構造を作成し、個々のデジタル証明書及び鍵を各ユーザ又は賃貸人に発行することによって容易に実現され得る。
【0133】
図12は、マーチャントウェブファーム又はサービスプロバイダにリンクされているシステムを表す図9の認証システムのより詳細な説明図であり、図13は登録済み加入者が図12に示された経路を介してマーチャントからのサービスを注文するときの認証手続きを示すフローチャートである。本実施形態は、ビルディング40への固有の有線又は無線接続35を識別するために実際のデジタル証明書70を使用するが、セキュリティ証明書は、その代わりに、図1から4に関連して上述されたような方法で、すなわち、コンピュータデータ構造又はデータベースレコードに組み込まれているような物理接続IDを識別し、この物理接続IDを、接続IDを用いて通信する加入者を認証するための「証明書」として使用することにより、確立されてもよい。
【0134】
ホーム又はビルディングのデジタル証明書70は、使用されるとき、単一のデジタル証明書でもよく、又は、物理構造体40と電話会社又はホストエッジサイト30との間に分散されてもよく、図6と関連して説明されているように、独立型でもよく、又は、証明書のチェーンを提供するために物理構造体内のネットワーク素子と組み合わされてもよい。デジタル証明書が物理構造物40とエッジサイト30との間に分散されているとき、結合が構造物40とエッジサイト30との間の物理接続に基づいて、又は、エッジサイト30と物理構造物40との間に確立された暗号的に安全な接続を用いて行われ得る。以下の説明の目的のため、「デジタル証明書」という用語は、図1から4と関連して上述されているように、X.509証明書のような実際の組み込まれたデジタル証明書でもよく、又は、ホーム又はビルディングをネットワークエッジサイトに接続する通信回線、若しくは、このような回線を介して通信を受信するポートとの間に定められた関連性でもよい。
【0135】
エッジサイト30と、ビルディングゲートウェイ、ルータ、モデム又はスイッチ36との間の通信回線35は、これまでの実施形態と関連して説明されているように有線でも無線でもよい。無線通信が使用されるとき、通信回線35は、無線接続と、シリアル番号、SIMカード、スマートカード、クライアント装置内のセキュアメモリ、ネットワークMACアドレス、又は、サービスプロバイダなどのための無線装置(携帯電話機、無線モデム、又は、その他の無線装置)を規定するために使用されるその他の識別子のようなある種のクライアント装置固有情報との組み合わせを使用して確立され得る。
【0136】
図12は、物理構造物と関連付けられているユーザ装置からマーチャント又はサービスプロバイダまでの通信路を示している。ホストデータ又は運用センター10とエッジサイト30は、インターネットのような如何なるタイプの物理ネットワーク又は無線ネットワークでもよいネットワーク400にリンクされている。マーチャントネットワーク470のエッジサイト450を含むエッジサイト30に類似している様々なネットワークエッジサイト410は、通常の方法でネットワーク400にリンクされている。マーチャントネットワーク470はマーチャント又はビジネスロケーションのためのコンピュータネットワークである。実施例には、www.ebay.comの処理を提供するコンピュータ装置の分散型集合として記述可能であるEBAY(登録商標)コンピュータネットワークが含まれる。別の実施例は、電磁商取引ビジネスサイト又は教育サイトのための分散コンピュータ処理であろう。マーチャント電子商取引ウェブファーム又はデータセンター483は、マーチャントルータ又はネットワークスイッチ480を介して、マーチャントネットワーク470にリンクされている。マーチャント電子商取引ウェブファームは、電子商取引サイトのような、マーチャントのビジネス又はサービスプロセスを実行するコンピュータのクラスタである。ネットワーク470にリンクされているだろう1つの特有のタイプの電子商取引ウェブファームは、映像配信サービスを、ホームゲートウェイモジュール36を介して、STB、スマートカード、PC、キャリアベース無線装置などのような加入者装置に提供するコンピュータのクラスタであるビデオオンデマンドサーバファーム490である。ビデオオンデマンド(VOD)サーバファーム490は、その他の形式のコンテンツ及びメディアを配信可能であり、ビデオコンテンツに限定されない。ビデオオンデマンドサーバファームは、あらゆるタイプの電子商取引インターネットサイト、教育インターネットサイト、スポーツインターネットサイト、顧客登録インターネットサイト、又は、その他のインターネットサイトを表している。
【0137】
本実施形態では、ユーザ又は加入者とサービスプロバイダとの間の認証された、又は、信頼できる通信路は主要なネットワークコンポーネントに埋め込まれたセキュリティ認定書でもよい。認定書は、装置に物理的に接続されている識別子若しくは証明書でもよく、又は、Telcoのような第三者によって提供される関連付けられた認定書でもよい。認定書は、図5から11の実施形態の場合のようなx.509デジタル証明書でもよく、図1から4と関連して上述されているような、Telcoエッジサイト30から物理構造物40への1つの特有の物理接続を識別するセキュリティ認定書でもよい。主要なネットワークコンポーネントの認定書は、ある特定のネットワークエンドポイント(クライアント又はサーバ)、又は、2つのエンドポイント間のメッセージが、既知のネットワークに由来するか、又は、図1から11と関連して上述されている技術の何れかを使用して物理ネットワーク接続(通信回線305又は35)に基づいて認証されている既知のネットワークロケーションであることを認証するために使用される。信頼できる通信路内の検証済み認定書は、物理構造物40への単一の通信回線35の正当性を認める程度でもよく、又は、たとえば、PC50からマーチャントネットワーク470までの通信路内の複数のエンドポイントの正当性を認める程度でもよい。認定書は、物理構造物40のセキュリティ認定書を検証するためにTelco又はその他のホストデータセンター10にアクセスすることによって検証可能であり、或いは、検証は、独立した第三者電子商取引認証サイト420によって、又は、ビルディングセキュリティ認定書を検証する信頼できる証明機関又は認証サーバ20によって実行されることがある。
【0138】
クライアント装置(STB45)及びマーチャントネットワーク470のようなネットワークポイントを物理的に接続する経路内のネットワークエッジサイト(たとえば、図12における要素450及び30)の正当性確認といった、信頼できる経路の付加的な要素が認証プロセスに追加されてもよい。信頼できる経路通信は、インターネットサービスプロバイダ(ISP)、ネットワークアクセスポイント、ファイババックボーン、高速グローバルインターネット通信回路、大洋横断通信、衛星及びマイクロ波通信回路又は経路などをはじめとして、通信ネットワーク内の多数の主要な要素を含むことがある。
【0139】
一実施形態では、2回の通信路認証が2台のネットワーク装置の間に信頼できる経路を確立するために実行されてもよい。本書中で使用されている「信頼できる経路」という用語は、トランザクションに関与している一方又は両方のネットワーク装置が、物理銅線ペアに接続されているような既知の位置にあることを意味する。物理構造物40の場合には、既知の位置は通信回線305又は35である。マーチャントネットワーク170の場合には、既知の位置はネットワークエッジサイト450をマーチャントネットワークに接続する物理回線455であり、たとえば、T1回線のような専用電話接続でもよい。装置に関連付けられている物理接続のセキュリティ認定書は加入者チェックの一部として使用され、加入者は、加入者の関連付けられたデジタル証明書又は物物理構造物40の理接続IDが予想される関連性と一致するならば、本物であると判断される。物理構造物40のデジタル証明書に対する物理構造物40の予想される関連性は、加入者がサービスに登録するとき、又は、加入者名及び/又は住所が登録若しくは電子商取引トランザクション中に使用されるときに確立され得る。エッジサイト30及び450のようなエッジ(周辺)装置は、Telcoへのクライアントの既知のオンランプ接続、及び、ネットワークエッジサイト450からマーチャントネットワーク470へのオフランプ接続に備えて、認証を受けることが可能である。加入者物理通信回線35真正の認証と、Telcoエッジ30への接続及びマーチャント接続(マーチャントネットワーク470へのネットワークエッジサイト450)に加えて、クライアントは、PC50に取り付けられたドングル(100)、又は、ホームゲートウェイ36内のSTB45若しくはTPM96に取り付けられたスマートカード98、又は、ホームゲートウェイ36に接続されたセキュリティドングル95、又は、その他の付加的なセキュリティ認定書を使用してさらに認証され得る。
【0140】
エッジ装置30、450を越えたネットワーク装置の付加的な認証もまた認証ネットワークの認証強度を高めるために設けられることがある。実施例は、(ホスト又はTelcoエッジサイトがTelcoデータセンターを介して通信するときの)Telco又はホストデータセンター10の認証と、(ネットワーク400として示されている)その他のネットワーク伝送及び通信機器の認証とを含む。
【0141】
無線装置55は、無線ソース290を介して無線装置内のSIMカード112を認証することにより、又は、無線ソース290への伝送路を認証することにより、信頼できる通信路を提供するために認証されることがある。無線装置55とマーチャントネットワーク470との間に信頼できる経路通信を確立するために、無線ソース290は、もし存在するならば、SIMカード112を使用して、又は、無線ソース若しくはサービスプロバイダ290によって使用されるその他の認証方法を用いて無線装置18を認証することがある。キャリアベース無線装置55がマーチャントネットワーク470を認証しているとき、無線装置はマーチャントネットワーク470のデジタル証明書を使用することがあり、クライアントがマーチャントネットワーク470を認証しているときに、オプションとして、マーチャントネットワーク460へのネットワークエッジサイト450接続の認証を含む可能性がある。
【0142】
図12は、無線キャリア又はサービスプロバイダのための簡略化されたブロック図形式の要素又はモジュール290を示しているが、無線ソース290の内部の詳細は、キャリアベース及び非キャリアベースの通信ネットワークで典型的に使用される全てのネットワーク及び通信機器を含む可能性がある。信頼できる経路通信は、無線ソース又はキャリアネットワーク290内の単一のノード、又は、複数のノードによって実行される認証を含むことがある。さらに、キャリアベース無線装置55は、無線装置55によって単独に、又は、無線ソース290によって、又は、両者と第三者認証エージェント(別個のエージェント、証明機関(CA)、又は、それ以外)との組み合わせによって認証され得る。
【0143】
信頼できる経路通信は、SIMカードが無線装置55に存在しないときには、無線装置55によって実現されることもある。無線ソース290は、無線装置55を認証するために無線サービスプロバイダによって通常使用されている標準的な加入者認証を実行可能であり、無線ソース又はサービスプロバイダ290はキャリアベース無線装置55の状態又は識別情報をチェックするために使用され得る外界へのインターフェイスを提供可能である。無線ソース290は、無線装置55が認証済みであることを示唆するメッセージを追加可能であり、無線装置55が盗難されたこと、又は、危うくされていることを報告されているかどうかに関する情報を提供可能である。無線装置5が無線ソース290によって認証されたならば、無線ソース290は無線装置認証結果を第三者証明機関、認証サーバ20、マーチャント電子商取引ウェブファーム483、又は、その他のサービスプロバイダへ提供可能であり、或いは、等価的なクライアント認証を実行し、又は、クライアント認証に関する詳細を提供する。
【0144】
SIMカード又は等価的なセキュリティ素子を含まない無線装置55の場合には、無線ソース290は、SIMカードの欠如を認証サーバ、CA機関、及び、無線装置55の認証に関わるその他のエージェント又はコンピュータに知らせることがある。無線装置セキュリティ素子(SIM、その他のセキュリティ素子、又は、何もない)についての通知は、信頼できるCA、認証サーバ、又は、等価的なエージェントによるクライアント認証の強度を示すために使用可能であり、この情報は、マーチャントネットワーク470が無線装置55を認証しているときに、マーチャントネットワーク470へ提供される。
【0145】
一実施形態では、クライアント装置(STB、PC、又は、無線装置)は、マーチャントの典型的な電子商取引認定書を使用することに加えて、回線35と同様に物理回線455を認証することによりマーチャントネットワーク470への接続を認証するためにセットアップされる。情報は、信頼できるCA、認証サーバ又はサービス、クライアント装置がクライアント装置とマーチャントネットワークとの間のネットワーク経路が正しい物理回線(本実施例では、回線455)の上に確立されていることを検証できるようにさせるエージェント又はマーチャントネットワークサービスプロバイダ(図示せず)から、クライアントによって取得され得る。このような信頼は、信頼できるCA又は認証サーバ20、マーチャントネットワーク470にサービスを提供するホストネットワーク10、又は、物理回線455を認証するか、クライアント装置によって検証可能である認定書を物理回線455に与える第三者エージェント又は認証サービス420によって確立されている。
【0146】
以下の説明では、「ホームベース認証済み装置」という用語は、ネットワークエッジ装置からホーム、アパートメント、若しくは、ビジネスへの物理接続を介して、装置を認証するために使用される物理接続への関連性と関連がある住宅用又はビルディングネットワーク内のパーソナルコンピュータ(たとえば、PC50)、その他のコンピュータ、個人情報端末すなわちPDA(図示せず)、セットトップボックス(たとえば、STB45)、デジタルビデオレコーダ(DVR)(図示せず)、又は、その他の消費者タイプ製品(テレビジョン、ラジオ、ビデオプレーヤ、プロジェクタ)を記述している。この場合には、「ホーム」という用語は、人々が居住又は労働している物理構造物又はビルディングを意味している。
【0147】
ホームベース認証済み装置は、ホームゲートウェイモジュール36、並びに、セキュリティドングル95、SIMカード110、及び/又は、TPM96付きのホームゲートウェイモジュールのようなホームネットワークインフラストラクチャ品目を含むこともある。本願において使用されているようなホームゲートウェイ又はホームゲートウェイモジュールという用語は、ネットワークルータ、ネットワークスイッチ、DSLモデム、ケーブルモデム、ファイバ・ツー・ザ・ホーム(FTTH)ネットワーク機器、ダイアルアップモデム、ファイバ・ツー・ザ・カーブ(FTTC)/FTTC機器、衛星受信機、その他のモデム又はネットワーク通信機器のようなどのようなホームネットワーキング装置にも適用される。物理的関連性は、装置への物理接続によるか、又は、無線サービスプロバイダによって提供される無線認証の関連性による。
【0148】
高価値トランザクション上の機能強化されたセキュリティの場合、ユーザは、信頼できる又は認証済みの通信経路を介して接続しているクライアント装置のキーパッド又はキーボードを用いて、パスワード、PIN又はセキュリティコードのような付加的な情報を提供するように要求されることがある。
【0149】
一実施形態では、認証システムは、認証済みトランザクションが要求され、かつ、認証済みトランザクションの伝送路もまた認証済みであることをネットワーク装置が自動的に検出できるように構成されている。これは、既存のプロトコルに適当な拡張を加えること、新しいプロトコルを開発し指定すること、別個のメッセージトランザクションを実行すること、問い合わせをされる可能性があるネットワークポイントにセキュアインターフェイスを設けること、クライアントからサーバへ流れるメッセージに付加されたセキュリティ情報が付加されている付加的なメッセージカプセル化を追加すること、及び、通信回線35から物理構造40内のSTB45のようなクライアント装置への物理接続をチェックする認証装置(マーチャントネットワーク470)との間のネットワーク経路を決定することによって実現され得る。
【0150】
一実施形態では、物理接続認証は2つのエンドポイント間の初期通信確立中に実行される。2つのエンドポイントは、たとえば、STB45とマーチャント電子商取引ウェブファーム483でもよく、或いは、どのようなユーザ装置とネットワークサービスプロバイダとでもよい。物理接続の認証後、2つのエンドポイントは、その後に、エンドポイント間で対称暗号化を使用可能である。これは、セッション鍵ペアが2つのエンドポイント間で生成される前に、セキュアな認証済み通信路が検証されることを意味する。初期セットアップ中に認証だけを実行することは、2つのエンドポイントがオープンインターネット内にあるときであっても、セッション鍵が2つのエンドポイント間で交換される前に、信頼できる既知の通信路を提供する。本発明の別の実施形態は、2つのエンドポイント間のメッセージ通信のためセッション鍵を使用することがなく、むしろ、2つのエンドポイントが各ネットワークエンドポイントの認証済み秘密鍵/公開鍵ペアを使用するPKIベースの非対称暗号化を使用可能である。
【0151】
別の選択可能な方法は、信頼できる経路認証セッションが要求され、ネットワークルータと、スイッチと、DSLAMと、ブロードバンド・ループ・キャリアBLCと、無線セルサイトと、無線ルータと、無線スイッチと、DOCSISネットワーク機器と、ネットワークアクセス機器と、その他のエッジ及びネットワークインフラストラクチャ機器のようなネットワーク機器によって自動的に取り扱われることを示すために、トリガー又は識別子が追加されることである。トリガーは、クライアント、又は、サーバ、又は、クライアント及びサーバ、又は、付加的なネットワーク機器が、新しいプロトコル、又は、2つのネットワークエンドポイントの間で送信されているメッセージの自動カプセル化の何れかを使用して、ネットワーク経路認証情報をトランザクションに付加すべきであることを示す。信頼できる経路認証セッションの要求の自動検出は、STB45、ホームゲートウェイ36、PC50、キャリアベース無線装置55、VODサーバファーム490、又は、顧客サイト若しくは商業サイトにある類似したタイプのコンピュータ若しくは装置のような何れかのタイプのネットワーク装置の要求に基づいて行われる可能性がある。自動検出は、既存のネットワーク、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、非同期転送モード(ATM)、ダイアルアップモデム、DSL、DOCSIS、衛星通信プロトコルの拡張に基づいているか、又は、新しい認証固有通信プロトコルを定義することによる。認証プロトコルの自動検出は、TCP/IP又はセキュアソケットレイヤ(SSL)のような既存のプロトコルに基づいているとき、信頼できる経路認証が要求されていることを指示するエンハンスメッセージを利用可能である。
【0152】
上述されているように、認証のためのX.509ベースのデジタル証明書の使用は選択可能である。認証の重要な要素は、ネットワーク装置を検証する際に物理エンドポイント接続を使用可能であるリモートサーバへその後に供給される物理的なエンドポイント認証情報を提供する、1台以上のコンピュータ装置(STB45、PC50、ホームゲートウェイ36など)を収容する物理構造物40への物理通信回線305又は35の関連付けである。物理構造物40及び物理構造物40内の装置への通信回線35の関連付けは、X.509証明書の使用とは無関係に確立可能であり、(非X.509ベースの証明書を使用して、又は、簡単な関連性データ構造を使用して)X.509規格を使用しなくても確立可能である。通信回線35又はその他のセキュアコンポーネントと物理構造物40内のコンピュータ装置の関連付けは、スマートカード、セキュアメモリ、暗号化コプロセッサなどが存在しない場合に、加入者の認証を非常に改善する。
【0153】
一実施形態では、認証システムは、ホーム又は加入者と関連付けられているセキュリティ素子が無くても、クライアントをホーム/加入者への物理接続に関連付けることにより信頼できる経路通信を提供する。このことは、物理接続情報がクライアント装置セキュリティ素子を取り除くために使用可能であること、又は、クライアント装置セキュリティの認証を改善するためにこのような素子と共に使用されてもよいことを意味する。
【0154】
図12及び13を参照し、ホームゲートウェイモジュール36、通信回線35及びTelcoエッジサイト30と共にSTB45を使用すると、認証又は信頼できる経路は、STB45及びホームゲートウェイ36内のセキュリティ素子に依存することなく、以下の通り確立されることがある。STB45は、有線又は無線通信技術を使用してホームゲートウェイモジュール36に繋がり、マーチャントネットワーク470に接続されているマーチャント電子商取引ウェブファーム483と呼ばれる場所にあるアプリケーションサーバとの接続を開始する。STB45がホームゲートウェイモジュール36に繋がるとき、ホームゲートウェイモジュール36は、NAT(ネットワークアドレス変換)によって提供されるようなIPアドレス変換を実行するので、STB45のIPアドレスはホームゲートウェイモジュール36によってTelcoネットワークに供給されたIPアドレスと異なる。STB45は、マーチャントウェブファーム483に繋がり、STBシリアル番号、MACアドレス、パスワードの有無にかかわらないユーザIDのような1個以上の安全でないIDを供給する。認証を要求するサービスのための接続メッセージを受信し次第、マーチャントウェブファーム483は、Telcoエッジサイト30を物理構造物40、ホームゲートウェイモジュール36、及び、STB又はユーザ装置45を接続する物理通信回線35を識別可能である。マーチャントウェブファームは、後で詳述されているように、トレースルートマッピング又はその他の接続識別方法(IPアドレスルックアップなど)を用いて、Telcoエッジサイト30を加入者STB45のためのホームゲートウェイモジュール36に接続する通信回線35を識別可能である。
【0155】
Telco又はホストエッジサイト30は、物理構造物40の正体を明かすことなく、IPアドレス又はNAT変換アドレスを通信回線35の恒久的な識別子にマッピングすることができるマッピングルックアップ機能を提供可能である。このような識別は、物理構造物40のため恒久的であり続けるが、しかし、Telcoデータセンター10又はTelcoエッジサイト30上で動いているDHCP又は同等物に起因して、実際のIPアドレスの観点では一時的である、通信回線35のためのTelcoデータセンターNAT後にアドレス変換されたIPアドレスを使用可能である。この恒久的な関連付けは、加入者がマーチャントによって提供されるサービスをマーチャントウェブファーム483に登録するときに、マーチャントウェブファーム483が物理回線35を加入者に関連付けることを可能にする。1つの可能な関連性モデルが以下の表1に記載されている。
表1−加入者関連性モデル
【表6】
【表7】
【表8】
【0156】
上記実施形態の認証システム及び方法は信頼できる経路通信と呼ばれることがある。一実施形態では、認証又は信頼できる経路通信方法と、信頼できる経路認証が要求されていることを示すために使用される標準的なメッセージは、物理レイヤ、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤ、セッションレイヤ、又は、プレゼンテーションレイヤのような、開放型システム間相互接続(OSI)の7層ネットワークの何れのレイヤでも追加され得る。自動的な信頼できる経路認証を提供するためにコンポーネント及びソフトウェアが機能強化されたネットワーク機器は、OSI7層ネットワークモデルの適切なレイヤにおける認証要求を自動的に検出可能である。その他のネットワークレイヤモデルが使用されるとき、信頼できる経路認証はネットワークモデルの何れのレイヤでも、又は、複数のレイヤに追加され得る。SSLのような既存のプロトコルの自動認証インジケータに追加されるトリガーは、認証されていないネットワークパケットを、認証データヘッダを含む新しいパケットヘッダ内にカプセル化することにより、又は、(認証されていないネットワークパケットをカプセル化しない)付加的なパケットを機能強化された認証データ(アウトオブバンドメッセージ)と共に送信することにより、付加的な認証データが追加されるべきことをネットワーク機器に指示可能である。信頼できる経路ネットワーク機器は、以下で詳述されているように、信頼できる経路通信セッションが要求されていることを検出することができ、適切な信頼できる経路セキュリティ又は認証方法を自動的に適用することが可能である。
【0157】
認証済み又は信頼できる経路通信セッションを確立する可能な方法は多数あるが、適用された方法への手掛かりは、信頼できる経路ネットワークの機能強化された機器が、通信ネットワーク機器が検証された真正ネットワーク経路として識別されるという結果を生じるある種の処理を実行することである。ある特定のネットワークレイヤにおけるコンピュータネットワークソフトウェア又はハードウェア設計の当業者は、認証方法及びシステムを確立するために後述されている技術を適用可能である。OSIの7層ネットワークモデルの種々のレイヤで適用可能な一般的な技術は以下の表2に概説されている。信頼できる経路通信又は認証済み経路通信を確立するために必要とされるハードウェア及びソフトウェアは、単一のモデルレイヤに完全に付加されるか、又は、2層以上のモデルレイヤに分散させられることがある。2つ以上のモデル例が以下の表に記載されているとき、当業者は単一レイヤだけで特定の機能を実施可能であるということ、たとえば、信頼できる経路通信をアプリケーションレイヤ(レイヤ7)のハイパーテキストトランスファープロトコル(HTTP)機能に追加することがさらに考えられる。
表2−信頼できる経路通信を確立するためにOSI7層ネットワークモデルの異なるレイヤに適用される可能な認証技術
【表9】
【0158】
ネットワークプロトコル又はアプリケーションが本明細書に記載されているような認証システム及び方法をサポートするために変更され得る多数の異なる方法が存在する。図13は、セキュア又は信頼できる通信経路を設けるために、ユーザ装置からマーチャント又はサービスプロバイダへの経路を認証する1つの方法を示している。ステップ500において、注文が図12におけるPC50のような物理構造物内のユーザ装置から1つ以上のネットワークを介してマーチャント、たとえば、VODサーバファーム490、又は、何れかのタイプのネットワークサービスプロバイダへ送信される。1つの可能な実施例では、アプリケーションレイヤはPC50内のネットワークソフトウェアに接続し、信頼できる経路認証を要求する(ステップ502)。注意すべきことは、本実施例では、アプリケーションは、加入者の認証が映像を注文するために必要とされることを知っていることである。アプリケーションソフトウェアがこのステップを自動的に実行しないならば、マーチャントネットワーク470は認証クライアント要求コマンドを使用することによりクライアントを認証可能である。信頼できる経路認証の要求はアプリケーションレイヤに由来しなくてもよい。PC50は、信頼できる経路認証が実行中であることを知っていることさえ必要ではなく、サーバ側(マーチャントネットワーク470)だけが信頼できる経路を検証するために情報を要求可能である。ネットワークソフトウェアは、信頼できる通信経路の認証の要求を受信し、希望のエンドポイントと信頼できる経路を確立するプロセスを開始する。この場合には、エンドポイントは、VODサーバファーム490又はマーチャント電子商取引ウェブファーム483のような、ユーザが接続することを希望するリモートマシーンを識別する。
【0159】
Telco又はホストエッジサイト30は、通信回線35を介してホームゲートウェイモジュール36を経由してPC50から「信頼できる経路確立接続」メッセージを受信する。一実施形態では、エッジサイト30はノード固有認証を信頼できる経路確立接続メッセージを付加するように構成されていてもよい。ノード固有認証情報は、(デジタル証明書を用いるのではなく)ユーザを認証する際に用いられる通信回線IDを生成するために、ビルディング40への物理回線35を識別可能である。代替的に、エッジサイト30は、物理接続を検証するために使用され得るアプリケーションプログラムインターフェイス(API)又はウェブサービスを提供可能である。
【0160】
Telco又はホストエッジサイト30は、PC50が通信をしているサーバ/ウェブサーバファームエンドポイントから信頼できる経路を認証するために要求を受信することも可能である。本代替案では、マーチャントネットワーク470はクライアントIDをエッジサイト30又は同等物へ送信可能であるので、エッジサイトはマーチャントネットワーク470が認証することを希望する加入者を識別可能である。マーチャントウェブサイトは、信頼できる、又は、認証済みの経路が確立されることを可能にすることになるホスト又はTelcoから認証情報をさらに要求することができる。
【0161】
一実施形態では、マーチャントネットワークエッジサイト450は、Telcoエッジサイト30から、ノード固有認証情報を含む信頼できる経路確立接続又はメッセージを受信する。ネットワークエッジサイト450はネットワークエッジサイトノード固有認証情報をメッセージに追加する。複数のノード固有認証はこのようにして信頼できる経路確立接続メッセージに適用され得る。
【0162】
マーチャントネットワーク470は、その後に、エッジサイトのノード固有情報と共に信頼できる経路確立接続メッセージを受信し、その後に、信頼できる証明機関若しくは認証サーバ20、又は、第三者認証サービス420による信頼できる通信経路の検証を要求可能である(ステップ504)。マーチャントネットワーク又はウェブサイトは、STB45又はPC50のようなユーザ装置がマーチャントネットワーク470に接続するときに、Telcoによって供給された信頼できる経路情報を認証するように信頼できるCAに要求する。信頼できる経路認証メッセージは、たとえば、暗号化されたタイムスタンプ、メッセージシーケンス番号、及び、オプションの乱数を用いてデジタル署名され、マーチャントネットワーク470がTelco又は信頼できるCAからのメッセージを一意に識別することを可能にさせる。
【0163】
証明機関(CA)又はその他の認証若しくはセキュリティサービスは、マーチャントネットワーク470から「信頼できるパス認証」要求を受信し(ステップ505)、経路が信頼できるかどうかを決定する(ステップ506)。CAからのメッセージは、リプレイ攻撃を排除するためにメッセージシーケンス番号及びタイムスタンプと共にCAの秘密鍵を用いて暗号化又は署名される。証明機関、又は、別個の、若しくは、第三者認証サーバが、本ステップにおいて参照されるが、信頼できる経路の認証のため必要とされるソフトウェア及びハードウェアがその代わりにTelcoデータセンター10に設けられることがあり、その場合にはTelcoデータセンターは経路が信頼できるかどうかを指示する応答をマーチャントネットワーク470へ供給可能である。経路が信頼できないならば、マーチャントはトランザクションを終了することを選択してもよい(ステップ507)。
【0164】
マーチャントネットワークがCA又は類似した認証サーバからの信頼できる経路要求認証への肯定的な応答を受信するならば、メッセージはCAの公開鍵を使用して正当性が確認され、マーチャントネットワークは、経路認証要求がCAに対して最初に行われたときに、マーチャントネットワークによって付加されたタイムスタンプ、メッセージシーケンス番号、及び、乱数の正当性も確認可能である。マーチャントネットワーク470は、PC50の公開鍵を使用して、PC50との通信に使用するためのセッション鍵を暗号化することも可能である(ステップ508)。マーチャントは暗号化済みセッション鍵をPC50へ送信する(ステップ510)。PC50、ホームゲートウェイドングル95、TPM96又はSIM110の公開鍵は、PC50へ送信するときにセッション鍵を暗号化するために使用され得る。選択可能な方法は、PC50のドングル鍵100を用いて暗号化した後に、Telcoエッジサイト30への配信のためセッション鍵を暗号化し、その後に、暗号化済みセッション鍵をTelcoエッジサイト30の公開鍵を用いてさらに暗号化することである。Telcoエッジサイト30は、その後に、暗号化済みセッション鍵からなる暗号化済みペイロードを復号化可能である。図14は本実施例の暗号化済みセッション鍵を示し、以下でより詳細に説明されている。
【0165】
ネットワークエッジサイト450は、PC50へのルート上にある間に、マーチャントネットワーク470から暗号化済みセッション鍵を受信し、信頼できる経路接続シーケンスの確立の一部としてノード固有認証を暗号化済みセッション鍵応答に選択的に付加してもよい。付加されたノード固有認証を用いて暗号化済みセッション鍵はその後にネットワーク400を介してPC50へ送信されることがある。選択可能なノード固有認証は、PC50がマーチャントネットワーク470を検証することを可能にする。ネットワークエッジサイト450は暗号化済みセッション鍵を復号化できない。
【0166】
マーチャントネットワーク470からの暗号化済みセッション鍵応答(ステップ510)は、TelcoDSLエッジサイトで、又は、Telcoデータセンター10とエッジサイト30の組み合わせを介して受信される。オプションとして、Telcoデータセンター10又はTelcoエッジサイト30の何れかがマーチャント応答を認証可能である。暗号化済みセッション鍵はその後に通信回線35及び(もし存在するならば)ホームゲートウェイ36を介してPC50へ送信される。PC50は暗号化済みセッション鍵を受信し、マーチャントウェブファーム又はVODサーバファーム490からの通信経路をオプションとして認証可能である。セキュア通信はその後にマーチャントネットワーク470とPC50との間で始まる(ステップ512)。
【0167】
上述されている信頼できる通信経路方法は、図14に示されているように、複数の暗号レイヤが、データストリーム認証若しくは転送、又は、両方に適用されることを可能にさせる。たとえば、PC50はマーチャントネットワーク470のためのメッセージを暗号化可能であり、Telcoエッジサイト30はネットワークエッジサイト450のための付加的な暗号レイヤを追加可能である。いかなるネットワークインフラストラクチャ装置も、このようなネットワーク経路暗号化を付加可能である。ネットワーク信頼は、DSL/DSLAMエッジ装置30のようなネットワークエッジサイトに特有のネットワークエッジサイト450に固有の暗号化を追加させることによって達成され得る。たとえば、Telcoエッジサイト30がTelcoデータセンター10に接続され、Telcoデータセンター10が大規模電話会社又はその他の大規模サービスプロバイダであると仮定する。マーチャントネットワーク470は、PC50を使用する加入者のためのメッセージの階層型暗号化によって物理セキュリティを強化可能である。図14に示されているように、Telcoデータセンター暗号化済みメッセージ550はTelcoエッジサイト30のための暗号化済みメッセージ552を含むことがあり、次にはメッセージ552が加入者PC50へ向けられた暗号化済みメッセージ554を含むことがある。代替的に、加入者PC50のための暗号化済みメッセージをTelcoデータセンター10への暗号化済みメッセージ内に収容することにより3層の代わりに2層の暗号レイヤが設けられることがある。2層又は3層の暗号レイヤは、応答がTelcoの加入者だけに役立つようにする。信頼できる又は認証済みのネットワーク経路に固有の暗号化を追加することによる物理セキュリティの強化は、PC50、ホームゲートウェイ36、Telcoエッジサイト30、及び、Telcoデータセンター10のような1、2又はそれ以上の物理ネットワーク接続を含むことが可能である。追加された暗号方式固有の信頼できるネットワーク経路のぞれぞれは、追加された暗号レイヤを自動的に取り除くために信頼できるネットワーク経路機器によって使用され得る識別子を含むことがある。
【0168】
信頼できる経路を使用可能な通信装置は、伝送路内の希望の認証済み(デジタル署名されるか、又は、その他の暗号化技術)ポイントを認証可能である。たとえば、マーチャントネットワーク470は、必要に応じて、PC50、又は、使用されるならばPC50及びドングル100と、Telcoエッジサイト30と、Telcoデータセンター10と、ネットワークエッジサイト450への物理回線を認証可能である。代替的に、PC50単独のように、できる限りネットワークトランザクションの一方側だけが認証され得る。別の実施例では、マーチャントネットワーク470が、ドングル100、ドングル95又はTMP96経由でホームゲートウェイ36、デジタル証明書70経由でTelcoエッジサイト30、Telcoデジタル証明書71経由でTelcoデータセンター10、又は、ネットワークエッジサイト450内の証明書若しくはセキュア証明書(図示されず)経由でネットワークエッジサイト450を認証する。本認証システムの能力は、PC50エンドポイントが認証可能であるか、又は、PC50エンドポイント及び経路に沿った何れかの他の希望の要素が認証可能であるという程度である。さらに、物理構造物40に達する物理通信回線35は認証可能であるため、物理構造物40のデジタル証明書70が、PC50に加えて、又は、PC50に代えて使用され得る。これは、1箇所以上の認証ポイントを使用する物理構造物40の認証を可能にさせる。
【0169】
図14を参照すると、マーチャントネットワーク470から発生するメッセージは、PC50だけによって復号化され得る、PC50のための暗号化済みメッセージ554としてのみ発行されることがある。ネットワークポイント(たとえば、Telcoデータセンター10)のための暗号化済みメッセージ550は、信頼できる経路に沿ったネットワーク要素のうちメッセージを復号化すべきネットワーク要素、たとえば、Telcoデータセンター10、Telcoエッジサイト30、PC50、又は、ホームゲートウェイ36を指示するメッセージ復号化宛先ポイントインジケータを含み得る。したがって、追加されたセキュリティはエンドポイント固有暗号化の上に階層化され、メッセージがネットワークの中を移動するときに信頼できる経路ネットワークがネットワーク装置によって復号化され得るメッセージを識別することを可能にさせる。
【0170】
図14において、Telcoデータセンター10は、メッセージ550がTelcoデータセンター10によって復号化可能であることを特定可能である。第1の暗号化済みメッセージの復号化後に、2つの内側ボックスを構成する残りのメッセージ552はTelcoエッジサイト30へ転送される。マーチャントネットワークの外部のネットワーク機器だけでなく、マーチャントネットワーク470が付加されたメッセージカプセル化データを復号化又は取り除くこともある。付加された暗号階層化は、図12に示されているように、マーチャントネットワーク470のようなソースポイントによって実行されるか、又は、ネットワークエッジサイト450のようなネットワークエッジサイトによって付加され得る。基礎となるエンドポイントを対象としているメッセージ554に付加されたメッセージ暗号レイヤは、(Telcoデータセンター10のような)ネットワーク要素の公開鍵を用いて暗号化されるエンベロープセッション鍵を格納するメッセージをカプセル化するエンベロープに基づくこともある。メッセージを復号化する必要があるネットワーク要素は、セッション鍵を明らかにするためにネットワーク要素の秘密鍵を使用してエンベロープセッション鍵を復号化可能である。セッション鍵は、図14における基礎となるエンドポイントを対象としているメッセージ(PC50とのための暗号化済みメッセージ554)のカプセル化であるセッション鍵暗号化されたエンベロープデータを復号化するためにその後に使用され得る。基礎となるエンドポイントを対象とするメッセージは、メッセージエンベロープ内のメッセージ復号化宛先ポイントによって特定されるように、信頼できる経路に沿ってネットワーク機器によって取り除かれた他の暗号レイヤのすべてと共に、エンドポイントへ送信されるメッセージである。
【0171】
信頼できる経路認証は、接続エンドポイント(たとえば、STB50及びVODサーバ490)に基づくPKI鍵による非対称鍵PKIベース暗号化を使用する認証及びトランスポート暗号化を伴う完全にセキュアなSSL(セキュアソケットレイヤ)伝送路として機能し得る。エンドポイント認証(たとえば、STB50及びVODサーバ490)は、非対称鍵PKI方法を使用して実行され、暗号化済みメッセージ中のVODストリーム又はその他のトランスポートペイロードは、エンドポイント(たとえば、STB50及びVODサーバ490)の間で確立されたセッション鍵を用いる対称鍵暗号化を利用可能である。対称鍵暗号化のための鍵は伝送路を認証した後に配信され得る。非対称鍵暗号化のための鍵は、各エンドポイントのためのPKI鍵を使用して、又は、認証後にエンドポイント50と490との間に確立されたセッション鍵を使用して、エンドポイント(本事例では50及び490)の間で交換され得る。代替的に、対称暗号鍵は、他のエンドポイントの公開鍵を使用してセッション鍵を暗号化することにより暗黙的な認証を使用可能である。エンドポイントの公開鍵は、システム内に収容されていることがある信頼できるCA又はその他の証明機関(図示せず)によって取得され得る。上記実施例では、STB50及びVODサーバ490はエンドポイントとして使用されているが、如何なるネットワーク要素でもエンドポイントとして使用され得る。信頼できる経路認証の実施例は、Telcoデータセンター10がTelcoエッジサイト30、デジタル証明書70、ホームゲートウェイ36及びPC50を認証することを可能にさせる。
【0172】
上述されているようなネットワークユーザ又はクライアント認証方法及びシステムは、モデム、FTTC、FTTH、若しくは、ファイバ・ツー・ザ・ネイバーフッド(FTTN)インターフェイスカード、ケーブルモデム、DSLモデム、ルータ、及び、ネットワークスイッチを含む何れかのネットワークインフラストラクチャ要素に付加され得る。方法及びシステムは、認証済みトランザクションを開始する自動手段を含み、ネットワークエッジ装置によるトランザクション経路署名、アプリケーションプロバイダによるトランザクション経路署名、クライアントアプリケーションによるトランザクション経路検証、及び、サーバプロバイダによるトランザクション経路検証を含むこともある。たとえば、オンラインマーチャントは以下の経路を検証可能である。
1.加入者から加入者にリンクされているエッジサイト上の物理回線識別署名によってインターネットサービスを提供する加入者のISPまで。
2.加入者のISPからオンラインマーチャントにサービスを提供するISPまで。
3.オンラインマーチャントISPから、オンラインマーチャントをオンラインマーチャントISPへ接続する回線又はネットワークエッジ装置を格納しているISPのネットワークエッジサイトでの認証を用いるオンラインマーチャント認証まで。
4.オンラインマーチャントのサイトでコンピュータを接続するオンラインマーチャントのビジネスゲート(又はコンピュータ)からオンラインマーチャントISPまで。
5.オンラインマーチャント内のネットワーク経路のオプションとしての付加的な認証。
【0173】
この方法は、認証及び登録のための伝送路に信頼できるVPNを提供する。登録はホームゲートウェイを経由して行われる必要がなく、すなわち、ホームゲートウェイの証明書は、新しいユーザ、又は、TV、テレビ電話、コンピュータなどのようなクライアント装置の登録に含まれている。認証は、DSL上で規定されたとき、又は、セキュア物理回線が登録/認証階層で使用されるときに、ホームゲートウェイで始まる。
【0174】
要求元クライアント(たとえば、図12ではSTB45)がリモートサーバ又は電子商取引サイトに接続しているときに認証を要求することによりセッションを開始しない状況では、リモートサーバ(マーチャントネットワーク470)はクライアント認証要求コマンドを作成することによりクライアント認証を開始できる。このコマンドは、クライアントの認証データを取得するために、クライアント(STB45とTelcoエッジサイト30、又は、Telcoデータセンター10若しくは同等物)の間のネットワーク機器に問い合わせを行うことが可能である。
【0175】
一実施形態では、図12の装置55のような無線装置は、キャリアと、キャリアによる無線装置の認証とを経てリンクされている。これは、無線装置がキャリア又はホームゲートウェイによって認証され、映像配信サービスが無線装置は個人のプライベートネットワークの一部であることを検証可能である、デジタル権管理DRM交換の優れたモデルを提供する。
【0176】
サブネットワーク認証は高帯域幅デジタルコンテンツ保護(HDCP)及びレガシーハードウェア上で動くその他のサブネットのため提供されている。新しいハードウェアは、セキュリティに弱点があるHDCPのようなレガシー装置より優れたセキュリティ及び登録による恩恵を受けるであろう。
【0177】
システムには多数の安全な認証済み伝送路が存在し、ありとあらゆる要素がサービス又は購入の認証チェーンで使用され得る。たとえば、
DSLエッジサイトからDSLモデム又はホームゲートウェイまで
ホームゲートウェイからSTBまで
ホームゲートウェイからPCまで
PCからモニタまで
セキュリティ素子はPDA又はPCのキーボードへ直接接続するために使用可能であり、コマンドはリモートコンピュータからセキュリティ素子へ通信され、セキュリティ素子によって暗号化され、リモートコンピュータへ送信される応答を要求する。
【0178】
上述されているような認証方法及びシステムは、フィッシング要求の結果としての問題点を回避又は削減可能である。ユーザは、上述されているような認証方法を使用して、信頼できる認証済みソースから来る電子メール又はデータを検証可能である。たとえば、銀行員と通信するとき、ユーザは、メッセージの発信元が銀行員からであることをチェック可能である。システムは、リモートソースの資格が要求されている情報に適切であることを検証可能である。
【0179】
上述されているように、トレースルートマッピングはネットワークトポロジーを決定するため使用可能であるので、エッジサイト又はルータが検出され検証され得る。既知のトレースルートマップは、パケットカプセル化が下位ネットワークレイヤでどのように行われるかを決定するため、ルータのためだけでなく、レイヤ1、2、3...のネットワーク機器のためにも使用されてもよい。トレースルートマッピングがトレースルート応答中にインターフェイスのタイプを与えないとき、セキュリティヘッドエンドから加入者までのトレースルート間の関連性はネットワークサービスプロバイダによって確立され得る。一例は次の通りである。トレースルート加入者123456がIPアドレス205.171.17.135に変換される。加入者を識別する際にヘッドエンドからのトレースルートは次のように見えるだろう。
1 pos2−0−155m.cr2.telco.net(205.171.17.130)2ms
2 205.171.17.135 1ms
【0180】
上記の実施例では、ヘッドエンドからのトレースルートは、ホップ1 pos2−0−155m.cr2.telco.netを経由する接続として加入者123456までの接続を識別し、関連性はネットワーク管理コンソール又は等価的なインターフェイスを介して決定可能であり、この接続/IPアドレスがローカルオフィスから特定のアドレスのホームへの特定の物理銅配線ペアと関連付けられている。
【0181】
類似したトレースルート関連性マップは、加入者のIPアドレスを、ケーブルモデム伝送システム(CMTS)MACアドレス、及び/又は、物理DOCSIS(又は類似の)ケーブルモデム識別情報及び加入者にマッピングすることができる。「トレースルート」という用語は、本書では、説明の目的のために使用されているが、物理レイヤ接続への加入者の関連性をサービスプロバイダエッジサイト又はネットワークアクセスポイントに提供するコマンド又はインターフェイスがトレースルートの代わりに用いられ得る。新しいコマンドが、OSI7層プロトコルモデルの物理レイヤ、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤ、又は、より上位レイヤへの加入者の適切な関連付けを提供するために開発される可能性があると考えられる。
【0182】
ネットワーク分散サービスにおける複数台のネットワーク機器は物理接続などによって関連付けられるか、又は、認証されることが想定されるが、確立され得る最も重要な関連性は、加入者の物理ネットワークアクセス装置(たとえば、データモデム、ケーブルモデム、ATMモデム、光ファイバモデム、DSLモデム、又は、その他のインホームモデム装置)と、ホームとの接続を物理的に終端するネットワークエッジサイトとの間のいわゆる「ラストマイル」関連性である。このような関連性は、上述の表2に示されているような物理レイヤ、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤ、セッションレイヤ、プレゼンテーションレイヤ、又は、アプリケーションレイヤと呼ばれるOSI階層型ネットワークモデル中の7層のレイヤのうちの1層以上のレイヤを含む可能性がある。加入者関連性は、典型的に、物理レイヤ接続(DSL、Sonet、100BaseTのような高速イーサネット、統合サービスデジタルネットワーク(ISDN)、トークンリング、ファイバ分散データインターフェイス(FDDI)、ワイドエリアネットワーク(WAN)、ATM、ハイブリッドファイバ/同軸ネットワーク、又は、その他の物理レイヤテクノロジー)のマッピングを用いて物理レイヤに確立され得る。付加的な物理レイヤ関連性が加入者のため確立され得るが、主要な関連性はサービスをホーム又はロケーションへ供給するラストマイル関連性である。1層以上のレイヤが加入者を物理接続と関連付けるために組み合わされることも想定され、たとえば、ネットワークエッジ装置上のメディアアクセス制御(MAC)アドレスのようなデータリンクレイヤ(レイヤ2)パラメータを加入者、及び、加入者の住居への物理レイヤ接続と共に組み入れる。このような関連性は、利用可能であるならば、ネットワークエッジ機器への通信を介して確立され、或いは、サービスプロバイダ又は同等者によって運用されているデータベースを介して確立され得る。加入者関連性の分解能は、ホームへの物理銅配線ペア接続、又は、ケーブルモデム終端システム(CMTS)上のDOCSISアドレス、又は、MAC、又は、論理リンク制御レイヤ(LLC)、又は、ホームとネットワークとの間の無線ラストマイル接続上の無線リンクアドレス、又は、無線顧客を無線ネットワークに接続する基地局と同様に精細である可能性がある。
【0183】
通信回線を用いて加入者又はクライアントを認証するために必要とされる認証又は物理接続ID情報は、クライアント(STB12、PC14、キャリアベース無線装置18、PDA又はその他のクライアント)を通信回線と関連付けるTelcoデータセンター10(又は同等物)、又は、Telcoエッジサイト30(又は同等物)、又は、信頼できるCA20(又は同等物)によって提供されることがある。認証のため最低限必要な情報はクライアントID及び通信回線IDである。クライアントIDは、通信回線を介してネットワークに接続している特定のクライアント装置を追跡するために使用される値である。この値は、加入者に対する恒久的な固定値を有する任意の値でもよく、又は、単一の接続のための一時的な値でもよい。この値は、IPアドレス、IPアドレス及びポート番号、加入者ID、加入者IDから導出された乱数、NAT変換されたアドレスのようなTelcoエッジサイトによって供給される識別子、又は、クライアント装置を後述されている通信回線情報フィールドを用いて識別又は関連付けるために使用されるその他の類似したデータに基づいている可能性がある。通信回線識別子又はIDは、Telcoエッジサイトを物理構造物40内のコンピュータ機器又はモデム又はゲートウェイに接続する通信回線の恒久的な識別子である。この値は、物理構造物40と接続されているクライアント装置を検証する際に用いられるような恒久的な識別子を提供する。
【0184】
発明の典型的な実施形態では、付加的な検証又は認証情報が付加されたセキュリティのため取得されることがある。たとえば、署名、セキュリティコード、又は、その他の識別子が、クライアントIDデータフィールド及び通信回線IDが未だ変更されていないことを検証するために使用され得る。このフィールドは、クライアントIDフィールド及び通信回線IDフィールドの符号付きハッシュと同じ程度に簡単でもよい。代替的に、ハッシュ衝突を利用することによりハッシュを改竄する可能性が削減されるように、符号付き値が2個の異なるハッシュによって生成されることがある。符号付きの1つ以上のハッシュは、Telcoエッジサイト30又はTelcoデータセンター10又は信頼できるCA20又は同等物の秘密鍵を使用して暗号化されることがある。符号付きハッシュのペアがハッシュ衝突を利用することによる改竄を排除するために使用されるとき、2個のハッシュは、異なるハッシュ衝突を有する異なるタイプのハッシュである。たとえば、ハッシュのペアがハッシュ衝突を利用することによる署名改竄を排除するために使用されるとき、一方のハッシュはMD5である可能性があり、もう一方のハッシュはSHA1のように異なる衝突特性を備える異なるハッシュである。単一のハッシュが2回使用されるならば、ハッシュの計算は正確なデータに基づいている可能性があり、2回目のハッシュは、ユーザがシステムに対して同じパスワードを選択するときに、同一の乱数化されたパスワード値がデータベースに記憶されることを排除するようにパスワードを乱数化するために加算されたSALT値に類似したSALT化されたハッシュを使用して計算され得る(SALTは暗号を変更するために使用されるランダムなデータの文字列である)。2個の同一のハッシュが使用されるとき、1回目には変更されることなく正確な値が使用され、2回目には、符号付きのデータの2回目のハッシュを計算するときに適用されるランダム化器又は白色化器が使用され得る。データがハッシュ衝突を利用するために改竄されているならば、利用された衝突が2つの計算されたハッシュのうちの一方だけに存在するので、ランダム化器又は白色化器はハッシュ衝突利用を失敗させる原因となり得る。なぜならば、1回目のハッシュは正確なデータであり、2回目のハッシュは第1のハッシュ関数によって使用されたデータをランダム化又は白色化するので、各ハッシュ計算はハッシュ関数への入力として異なるデータを使用しているからである。ランダム化器又は白色化器は、排他的論理和(XOR)関数のような簡単な関数でもよく、又は、異なる入力データを2回目のハッシュ計算に供給するために使用される種から導出された乱数のようなもっと複雑な関数でもよい。
【0185】
本明細書に記載されている実施形態は、セキュリティ又は認証システムがハッカー行為を受けるか、さもなければ、危険に晒されるならば、更新可能性の態様を含む場合がある。ある種の事例では、更新可能性は、単に暗号化技術を次から次へと変更することによって実現され得る。たとえば、高度暗号化標準(AES)128暗号化スキームが利用され、ハッカー行為を受けているならば、マサチューセッツ州ベッドフォードのRSA Security社によって開発されたようなRC−4暗号化スキームといった別の標準への迅速な移行は、数日又は数週間に亘るコンテンツの保護に役立つであろう。この場合に、システム設計者は、後日に元の暗号化方法を再利用するために、元の暗号化方法を更新するための時間が得られる。
【0186】
ネットワークのサーバ側、クライアント側、及び、ピア・ツー・ピアユーザは互いの気持ちを理解することもあるが、全ユーザの1つの主要な関心事は、種々のリスクに対する自分自身の保護である。ネットワーク使用時の主なリスクは以下の通りである。
1.クライアントは、身元不明のエンティティからスパム電子メール及びウィルスを受け取る(クライアント側リスクの一例)。
2.ウェブベースの小売業者は、特に、長距離電話サービスのような即時消費顧客サービスに関して、盗まれたクレジットカード、盗用された個人情報などを使用する顧客からの高度の不正行為に晒される(サーバ側リスクの一例)。
3.e−Bayのような電子商取引ネットワーク上のクライアントは、身元不明の買い手又は売り手との取引に入ることを不安に思う(ピア・ツー・ピアリスクの一例)。
【0187】
本発明の認証システムは、特定の物理構造物に基づくセキュア認証目的のため、クライアントと小売業者の両方によって使用されるならば、上記の関心事の一部又は全部を解決することができる。
【0188】
認証システムは、セキュア有料テレビジョンコンテンツをセットトップボックスへ配信し、公衆ネットワークを介してコンピュータ及びハンドヘルド装置のようなユーザ装置へ機密情報及び素材を送信するためにも使用可能である。このようなコンテンツが漏洩されるか、又は、権限のないユーザへさらに配信されるならば、漏洩のソースを特定することは比較的容易である。システムは、医療、金融、及び、非常時情報のようなその他の機密情報の認証のため使用可能である。早期公開ウィンドウコンテンツ配信、高精細コンテンツ配信、セキュアe−Bay取引、セキュアバンキング取引、セキュアピア・ツー・ピア取引、セキュア電子メール通信などのような様々なタイプの高価値ネットワークサービスは、このような双方向認証(プロバイダ認証及びクライアント認証)を使用してより容易かつ安全に利用できるようになる。
【0189】
当業者は、本明細書に開示されている実施形態と関連して説明されている様々な例示的な論理ブロック、モジュール、回路、及び、アルゴリズムステップが電子ハードウェア、コンピュータソフトウェア、又は、両者の組み合わせとして屡々実施され得ることを理解するであろう。このようなハードウェアとソフトウェアの互換性を明瞭に説明するため、様々な例示的なコンポーネント、ブロック、モジュール、回路、及び、ステップが一般にそれらの機能に関して上述されている。このような機能がハードウェアとして実施されているか、又は、ソフトウェアとして実施されているかどうかは、特定のアプリケーション及びシステム全体に課された設計上の制約に依存している。当業者は特有のアプリケーション毎に様々な方法で上述の機能を実施することが可能であるが、このような実施決定は、発明の範囲からの逸脱を引き起こす原因として解釈されるべきでない。その上、モジュール、ブロック又はステップ内の機能のグループ分けは説明を簡単にするためのものである。特定の機能又はステップは、発明から逸脱することなくあるモジュール又はブロックから移すことが可能である。
【0190】
本明細書に開示されている実施形態に関連して記載された様々な例示的な論理ブロック及びモジュールは、本明細書に記載されている機能を実行するために設計された、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)又はその他のプログラマブル論理装置、ディスクリートゲート又はトランジスタロジック、ディスクリートハードウェアコンポーネント、或いは、これらの組み合わせを用いて実施又は実行され得る。汎用プロセッサはマイクロプロセッサでも良いが、代替案では、プロセッサはいかなるプロセッサ、コントローラ、マイクロプロセッサ、又は、状態機械でもよい。プロセッサは、たとえば、DSPとマイクロプロセッサの組み合わせ、複数台のマイクロプロセッサの組み合わせ、DSPコアと共に1台以上のマイクロプロセッサの組み合わせ、又は、あらゆるその他のこのような構成のようなコンピューティング装置の組み合わせとして実施されてもよい。
【0191】
本明細書に開示されている実施形態と関連して記載された方法又はアルゴリズムのステップは、直接的にハードウェアに、プロセッサによって実行されるソフトウェアモジュールに、又は、両方の組み合わせの中に具現化され得る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD−ROM、又は、何らかのその他の形式の記憶媒体に存在する。典型的な記憶媒体は、プロセッサが記憶媒体から情報を読み出し、記憶媒体に情報を書き込むことができるように、プロセッサに結合され得る。代替案では、記憶媒体はプロセッサに一体化され得る。プロセッサ及び記憶媒体はASICに存在することがある。
【0192】
様々な実施形態は、たとえば、特定用途向け集積回路(ASIC)又はフィールドプログラマブルゲートアレイ(FPGA)のようなコンポーネントを使用して、主としてハードウェアで実施することも可能である。本明細書に記載されている機能を実行する能力を備えたハードウェア状態機械の実施もまた関連技術における当業者に明らかであろう。様々な実施形態はハードウェアとソフトウェアの両方の組み合わせを使用して実施されることもある。
【0193】
開示されている実施形態の上記の説明は、当業者が発明を実施又は使用できるように記載されている。これらの実施形態への様々な変更は当業者に容易に明らかであり、本明細書に記載されている一般的な原理は発明の精神又は範囲を逸脱することなくその他の実施形態に適用され得る。したがって、ここで公開されている明細書及び図面は、発明の現時点での好ましい実施形態を表現し、したがって、本発明によって広義に考慮されている主題を表していることが理解されるべきである。さらに、本発明の範囲は当業者に明白になるその他の実施形態を完全に包括すること、及び、本発明の範囲はしたがって請求項に記載された事項以外によって限定されないことが理解されるべきである。
【図面の簡単な説明】
【0194】
【図1】発明の典型的な実施形態による認証システムと方法を使用するネットワークを説明するブロック図である。
【図2】発明の典型的な実施形態による認証サービスのためのクライアントをサービスプロバイダに最初に登録する方法を説明するフローチャートである。
【図3】図2に示されているような初期登録後に加入者又はクライアントを識別する方法を説明するフローチャートである。
【図4】発明の実施形態においてユーザのリアルタイム認証のため使用される論理プロセスのステップ及びデータ記憶モジュールを説明する論理図である。
【図5】発明の別の実施形態による認証システムを説明するブロック図である。
【図6】第2レベルの認証を提供するための図5のシステムの変更を説明するブロック図である。
【図7】図5及び6の認証システムの初期セットアップを説明するフローチャートである。
【図8】システムのクライアントであるネットワークパートナー候補を認証するための発明の実施形態における認証システムの使用を説明するフローチャートである。
【図9】コンテンツファイルの透かしを提供する変更された認証システムを説明するブロック図である。
【図10】発明の別の実施形態による変更された認証システムを説明するブロック図である。
【図11】図10の実施形態のホームユニット又はビルディングユニットのブロック図である。
【図12】図9に類似しているが、双方向認証を提供する変更された認証システムを説明するブロック図である。
【図13】発明の実施形態による認証方法を説明するフローチャートである。
【図14】マーチャントネットワークから発信され、認証済みゲートウェイ又に接続されているユーザ装置又はビルディングに取り付けられているセキュアコンポーネントが宛先とされたメッセージ内の暗号レイヤを説明するブロック図である。
【関連出願】
【0001】
本願は同時係属中の2005年7月20日に出願された米国仮特許出願第60/701,239号及び2006年6月1日に出願された米国仮特許出願第60/803,679号の利益を主張するものであり、両出願は参照によって全体が本明細書に組み込まれている。
【技術分野】
【0002】
本発明は、ネットワークユーザを認証する、又は、ネットワーク装置の間に信頼できる通信路を確立するシステム及び方法に関係する。
【背景技術】
【0003】
インターネットトラフィックの増大と共に、ネットワークユーザを認証するためのより優れた手段に対する需要が大幅に増加している。ウェブは、極めて価値があり、かつ、不可欠なツールであることを示している。しかし、不正行為及び悪用の可能性は日々増加している。
【0004】
過去に、Verisign社、Thawt社、及び、その他のセキュリティ会社は、ネットワークユーザを認証する手段を提供することにより魅力的なビジネスモデルを構築している。公開鍵インフラストラクチャ(PKI)を使用するデジタル証明書の発行及び取消によって、ネットワークユーザは、ある種のトランザクションが安全に取り扱われていることを確信できる。「Verisign」モデルに関連する問題は、サーバ側は典型的に自分自身が本物であることを証明するために必要なステップを行うが、しかし、顧客及びその他のネットワーククライアントは同様に自分自身が認証されるのに役立つ解決策を獲得することに殆ど関心を示さないことである。大半は、ネットワーククライアントは、自分がどのような利益を獲得できるかが明らかではないので、自分自身の認証手段のために費用を払うことを嫌がる。その上、認証メカニズムが複数のプラットフォーム(PC、ラップトップ、モバイル装置など)を横断してどのように機能できるかが明らかでない。
【0005】
公衆ネットワーク上の実質上全てのクライアントはどのような形であっても認証されていないので、不正行為及び損害の可能性は重大であり、悪化している。
【0006】
過去数年に亘って、ネットワーククライアントの識別を助けるために多数の構想が提起されている。これらの提唱の中には、
・セキュアドングル
・スマートカード技術
・チップ内のセキュアな一意的に識別可能な素子
が含まれている。
【0007】
これらの構想は、上記(及びその他の)ハードウェアコンポーネントが容易に紛失、盗難、又は、交換される可能性があるので、最初からすべて欠点がある。これらの解決策は最低レベルの認証を提供するが、その有効性は、顧客がハードウェアコンポーネントを安全な状態に保つことができないために制限されている。
【0008】
したがって、今日のネットワーク化された世界では、ホスト(サーバ側)システムの適切な認証は行われているが、クライアント側の認証は殆ど、又は、全く行われていない。各クライアントを確実に認証する実行可能な方法が存在するならば、新しい、かつ、利益をもたらす可能性のあるビジネス機会が現れ、終端間の信頼のネットワークが現実になるであろう。
【0009】
したがって、必要とされているのは、上述された従来のシステムにおいて見出された重大な問題を解決するシステム及び方法である。
【発明の開示】
【発明が解決しようとする課題】
【0010】
本明細書に記載されている実施形態は、ネットワーククライアントユーザを認証し、2者以上の当事者間に信頼できる通信路を確立する認証システム及び方法を提供する。
【課題を解決するための手段】
【0011】
本発明の一態様によれば、ビルディングに関連付けられているセキュアコンポーネント又は物理ネットワーク接続がビルディング内の1台以上のネットワーク装置を認証するため使用され、その結果、セキュアネットワーク通信がビルディング所有者又は占有者と直接的に関連付けられているネットワークユーザ認証システムが提供される。ビルディング内の少なくとも1台のユーザ装置はセキュアコンポーネントにリンクされ、セキュリティサーバはセキュアコンポーネント又はセキュア接続にリンクされている。セキュリティサーバは、セキュアコンポーネントの物理接続識別情報(ID)を決定し、公衆ネットワークを介してサービスを要求しているビルディング内の特定のクライアント又はユーザ装置を追跡するため物理接続IDをクライアントIDに関連付けるように構成されている。
【0012】
セキュリティサーバは、商業ウェブサイト若しくはネットワーク、又は、複数の家庭及びビジネスにサービスを提供する電話サービスプロバイダ若しくは電話会社(Telco)のようなサービスプロバイダサイトの一部でもよく、近傍のビルディングにリンクされている電話会社エッジサイト、ケーブルテレビジョンエッジサイト、又は、公益事業会社エッジサイトのようなネットワークエッジサイトの一部でもよく、近傍のビルディングにリンクされている無線ネットワーク基地局でもよく、或いは、ネットワークを介してセキュアコンポーネントに接続されている別個のセキュリティサーバでもよい。セキュリティサーバは、独立型であるか、又は、リモートウェブサイト若しくはローカルエッジサイトに組み込まれているかとは無関係に、マーチャント若しくはネットワークユーザとビジネスを行うことを希望する他のネットワークユーザを認証するために、様々なマーチャント及びネットワークユーザによって使用されてもよい。本システムは、ユーザ装置を固定したビルディング、又は、ビルディングに恒久的に関連付けられている物理接続IDと関連付け、2者の当事者間の通信路が信頼できることを検証する、すなわち、信頼できる通信路を確立する。2者の当事者は、たとえば、ネットワークマーチャント若しくはサービスプロバイダとネットワークユーザでもよく、2人のネットワークユーザでもよい。
【0013】
セキュアコンポーネントは、ケーブルモデムに基づく物理接続、デジタル加入者線(DSL)又はDSL派生品、無線入力ポート、光入力又は回線などを含むビルディングとの確立された通信回線であればよく、或いは、請求書作成目的のためビルディング電気使用量を追跡するために公益事業会社によって使用され、ネットワークを介して公益事業会社サーバと通信するための内蔵式通信装置が備わっているメーターボックスなどでもよい。一実施形態では、セキュアコンポーネントは、ネットワークアクセスポイント又はエッジサイトから、データモデム、ケーブルモデム、非同期転送モード(ATM)モデム、光ファイバモデム、DSLモデム、若しくは、その他のインホーム側のモデム装置のような加入者の物理ネットワークアクセス装置までのラストマイル接続でもよい。認証の鍵は、ホーム又はその他の物理的位置へサービスを提供するラストマイル接続を確立し、この接続をセキュリティ目的のためホーム内又は物理的位置にいるユーザと関連付けることである。接続は、物理的な銅線ペア接続からホームまでのどのようなものでもよく、ケーブルモデム終端システム(CMTS)上のデータオーバーケーブルサービスインターフェース仕様(DOCSIS)でもよく、ホームとネットワークとの間の無線ラストマイル接続上の媒体アクセス制御(MAC)若しくは論理リンク制御(LLC)若しくは無線リンクアドレスでもよく、動的ホスト構成プロトコル(DHCP)サービス及びリレーエージェントによって報告されるようなデジタル加入者線アクセスマルチプレクサ(DSLAM)回路ID若しくは接続ポートでもよく、無線顧客を無線ネットワークへ接続する基地局でもよい。クライアントIDは、加入者に対する恒久的な固定値を有する任意の値でもよく、1回の接続のためだけの一時的な値でもよい。クライアントIDは、IPアドレスに基づいていてもよく、IPアドレス及びポート番号に基づいていてもよく、加入者IDに基づいていてもよく、加入者IDから導出された乱数に基づいていてもよく、ネットワークアドレス変換(NAT)アドレスのようなネットワークエッジサイトによって供給された識別子でもよく、クライアント装置を通信回線IDと関連付けるために使用されるその他のデータ値に基づいていてもよい。
【0014】
セキュリティサーバは接続又は通信回線IDを確立するためネットワーク機器を使用してもよい。一実施例では、Telcoエッジサイトのようなサービスエッジサイトが識別されるように、トレースルートマッピングがネットワークトポロジーを決定するために追跡され得る。エッジサイトが識別されると、セキュリティサーバは、Telcoエッジサイトをユーザ装置が位置しているビルディングに接続する通信回線の識別情報を要求する問い合わせを、要求側ユーザ又はクライアントのインターネットプロトコル(IP)アドレスと共にエッジサイトに送信する。
【0015】
1個のネットワークエレメントが認証システムを使用して識別される状況の一例は、セットトップボックス(STB)が(DSL及びダイヤルアップのため使用されるような)銅線ペアを介したTelcoへの物理接続によって認証されるときである。STBが映画の購入の要求のような電子商取引トランザクションに関与しているならば、映画サービスプロバイダ又はTelcoは、物理接続IDをユーザ又はクライアントIDと比較することにより、要求側STBがビルディングに接続されている正しい物理的銅線ペアからであるかどうかを検証するために、この認証システムを使用可能である。
【0016】
別の実施形態では、付加的なセキュリティレイヤが署名又はセキュリティコードをシステムに付加することによって設けられていてもよい。一実施形態では、セキュアコントロールユニットは、セキュアコンポーネントと関連付けられ、一意のデジタル証明書が記憶されているデータ記憶モジュールを有し、プロセッサはプライベートネットワークを介してセキュリティサーバと通信するため構成されている。セキュリティサーバは、最初に、ビルディング位置を検証し、ビルディング位置に関連付けられた一意のデジタル証明書をセキュアコントロールユニットへ発行する。セキュアコントロールユニットは、ビルディング位置にあるセキュアコンポーネントの内部に搭載されていてもよく、又は、さもなければ、セキュアコンポーネントに接続され、或いは、複数のビルディングのセキュアコンポーネントに接続されているエッジサイトモジュール内にあってもよい。この場合では、エッジサイトモジュールは各ビルディングの一意のデジタル証明書を記憶する。
【0017】
セキュアコンポーネントは、ビルディングと電気通信会社エッジサイトとの間に恒久的に接続されている既存のブロードバンド電気通信回線のようなユーザネットワークゲートウェイ又は接続ポートでもよく、或いは、ビルディングへの専用無線リンクと関連付けられている無線ネットワークゲートウェイでもよい。一意のデジタル証明書は、その後、特定のビルディングへの回線だけと関連付けられる。デジタル証明書は物理的なビルディング(又は、ビルディングと物理的に固定されたゲートウェイ若しくはビルディングと一体化されたゲートウェイ)と直接的に関連付けられているので、デジタル証明書は、ビルディングの居住者、所有者又は労働者を確実に認証するために使用され得る。デジタル証明書は、回線のビルディング端又はプロバイダエッジサイトの何れかにあるセキュアコントロールユニット内で、ビルディングへの専用ブロードバンドアクセス回線に取り付けられていてもよい。一実施形態では、各プロバイダエッジサイトは、プロバイダエッジサイトが接続を提供し、認証サービスに加入している全部のビルディングのためのデジタル証明書を保持するデータ記憶モジュールを有するコントロールユニットを収容している。各デジタル証明書は、したがって、証明書が関連付けられている特定のビルディングへの通信路だけと関連付けられている。ビルディングは、典型的に移動せず、セキュアコンポーネントは、ビルディングへの接続を破壊すること無しに取り外すことが困難であるか、又は、不可能であるようにビルディングに取り付けられているので、デジタル証明書は、そのデジタル証明書によってネットワークを介して通信しているクライアントの識別情報の信頼できる指示を提供することができる。
【0018】
別の一実施形態では、セキュアコンポーネントは、ビルディングの内部又は外部に何らかの方法で物理的に取り付けられているセキュアボックス又は筐体を備え、このビルディングに固有のデジタル証明書を保持するセキュアコントロールユニットを収容している。一実施例では、セキュアコントロールユニットは、特定の公益事業のための計器を含んでもよく、計器読み取りと認証の両方の目的のため公益事業サーバと通信することができる。この場合にプライベートネットワーク又は仮想プライベートネットワーク(VPN)は、公益事業会社ネットワークであり、認証サービスは、公益事業サーバ、又は、公益事業サーバにリンクされている別個の認証サーバの何れかによって実行される。
【0019】
セキュアゲートウェイモジュールはビルディング内の複数のユーザ装置への接続のためビルディングに設けられることがある。一実施形態では、セキュアコントロールユニットはゲートウェイモジュールを備える。別の実施形態では、セキュアコントロールユニットはゲートウェイモジュールに接続されている。ゲートウェイモジュールは、ルータ又は機能強化されたルータモジュールでもよい。
【0020】
システムは、ゲートウェイモジュールに関連付けられている少なくとも1台のハードウェアセキュリティ装置と、ビルディング内の各ユーザ装置に関連付けられているハードウェアセキュリティ装置とをさらに含む。セキュリティ装置は、ユニバーサルシリアルバス(USB)ドングル、スマートカード、トラスティッドプラットフォームモジュール(TSM)、無線装置のための加入者情報モジュール(SIM)チップなどである。発明の典型的な実施形態では、特定のビルディングに専用のデジタル証明書は、ネットワークが巧く動作するようにビルディングに接続されているゲートウェイモジュールのハードウェアセキュリティ装置に記憶されている対応する鍵と照合される。ゲートウェイモジュール内のハードウェアセキュリティ装置は、次には、認証の成功と、ネットワーク通信の続行のため、各ユーザ装置内のセキュリティ装置と暗号同期させられる。これは、2つのレベルの認証、特に、証明機関又は認証サーバ対ビルディング、及び、ビルディング対ビルディング内のユーザ装置という認証を提供する。
【0021】
本発明の別の態様によれば、加入者識別情報(ID)を加入者候補が位置しているビルディング内の物理接続又はセキュアコンポーネントのIDと関連付けることにより、加入者をネットワークサービスに登録するステップと、加入者ID及び物理接続IDのレコードを記憶するステップと、加入者から受信されたその後のサービス要求毎に接続中の加入者の物理接続IDを決定するステップと、検証目的のため物理接続IDを事前に確立されている加入者IDと比較するステップと、検証が成功である場合に限りサービスを提供するステップと、を備える認証方法が提供される。
【0022】
一実施形態では、認証サーバのあるビルディングの地理的位置は、セキュアコンポーネント又は物理接続の位置に基づいて検証され、一意のデジタル証明書が検証されたビルディング位置に関連付けられ、一意のデジタル証明書がセキュアコンポーネント又は物理接続に関連付けられているセキュアコントロールユニットへ送信され、一意のデジタル証明書がセキュアコントロールユニットのデータ記憶モジュールに記憶される。別の実施形態では、ネットワークと通信するためユーザによって使用される事前に作成されたビルディングへの物理接続のための接続IDはセキュリティサーバによって決定され、物理接続IDはユーザの加入者IDに関連付けられている。
【0023】
一般に、最新の暗号化では、エンティティがセキュア通信目的のため完全に安全であり、かつ、信頼できると認められる前に望まれる3つの認証レベルが存在する。これらのレベルは、
1.本人の所有物
2.本人の知識
3.本人の生体的特徴
である。
【0024】
項目1は、スマートカード、USBドングル、セキュアチップ又はチップ内のセキュア素子、及び、その他のハードウェアベースの暗号方式解決手段のようなセキュアな埋め込み鍵を有するある種のタイプのセキュアハードウェア装置をクライアント装置に提供することによって達成される。項目2はユーザ固有のユーザ名及びパスワードを持つことによって達成される。項目3は達成することがより困難である。生体識別装置には網膜スキャナ及び指紋アナライザが含まれるが、このような装置は典型的に設置に費用がかかり、簡単に運営できない。本明細書に記載されている実施形態は、ビルディング若しくはホームのような物理構造物、又は、生体測定装置のような物理構造物に接続されているセキュアコンポーネントを使用して「本人の生体的特徴」識別を提供する。実質的に全ての物理構造物、特に、ブロードバンドアクセス機器を備えている物理構造物には所有者があり、限られた人数の個人だけが構造物内に居住又は労働している。ビルディングへの物理接続又はネットワーク通信回線の一意のIDに基づいてサービス加入者を識別することにより、本発明における加入者は、移動し得ない唯一の物理後続物と直接的に関連付けられる。方法及びシステムは、物理構造物の所有者、居住者又は労働者の身元情報を提供するために使用される。
【0025】
本発明のその他の特徴及び利点は、以下の詳細な説明及び添付図面を検討した後に当業者により容易に理解できるであろう。
【0026】
本発明の詳細は、構造及び動作の両方に関して、類似した参照番号が同様の部品を参照している添付図面の検討によってある程度集められる。
【発明を実施するための最良の形態】
【0027】
本明細書に開示されているようなある種の実施形態は、固定した物理的なビルディング住所又は位置に基づくユーザの認証を提供する。たとえば、本明細書に開示されているような1つの方法は、一意のデジタル証明書をホームユニット若しくはビルディングユニット、又は、ホーム若しくはビルディングへの物理接続に関連付けることが可能である。
【0028】
本明細書を読むと、どのようにして発明を種々の代替的な実施形態及び代替的なアプリケーションで実施するかが当業者に理解されるであろう。しかし、本発明の種々の実施形態が本明細書に記載されているとしても、これらの実施形態は、限定ではなく、単なる一例として提示されていることが理解される。種々の代替的な実施形態についてのこの詳細な説明は、請求項に記載されている本発明の範囲又は広がりを限定するように解釈されるべきでない。
【0029】
以下の説明は、用語Telco(電話会社)があらゆるサービスプロバイダの総称として使用され、電話会社、ケーブルテレビジョンサービスプロバイダ、ケーブルテレビジョン(tv)運営者、インターネットサービスプロバイダ、衛星テレビジョンプロバイダ、ファイバネットワーク接続会社、無線サービスプロバイダ、携帯電話サービスプロバイダなどのような任意のタイプの通信又はネットワークサービスプロバイダを識別するために使用される。
【0030】
図1は種々のネットワークコンポーネントを伴う通信ネットワークシステムのブロック図である。発明の典型的な実施形態による認証システムは、詳細に後述されるように、ネットワークシステムに組み込まれ、物理構造物又はビルディング40内のセットトップボックス(STB)370のようなユーザ装置がマーチャントアプリケーション/ネットワーク388に繋がるときに使用される。STB370は、電話機、インターネットサービスデジタルネットワーク(ISDN)又はケーブルテレビジョン回線のような通信チャネルに接続されている電子装置であり、従来のテレビジョン画面上に出力を生じる。セットトップボックスは、デジタルテレビジョン放送を受信し復号化し、PCではなくユーザのテレビジョンを介してインターネットとインターフェイスを取るために広く使用されている。セットトップボックスは、入力テレビジョン信号を受信しスクランブル解除する最も簡単なカテゴリーから、テレビ会議、ホームネットワーキング、インターネットプロトコル(IP)電話、ビデオオンデマンド(VoD)、及び、高速インターネットテレビジョンサービスのような多種多様な先進サービスを動かすことができるマルチメディアデスクトップコンピュータとしても機能し得るようなより複雑なカテゴリーまでの複数のカテゴリーに分類される。しかし、図1におけるインホームネットワークは多数の他のタイプのユーザ電子通信装置に接続されてもよく、図1と共に使用されているようなセットトップボックス(STB)という用語は、STB、パーソナルコンピュータ(PC)、個人情報端末(PDA)、ネットワーク型MP3/ビデオプレーヤ(MP3はMPEG−1オーディオレイヤ3装置であり、MPEGは動画像エキスパートグループの略語である)、携帯電話機などを含むユーザ電子通信装置をカバーすることが意図されていることが理解されるべきである。
【0031】
STB370は、図示された実施形態では、テレビジョン372に接続されていることが示され、インホーム又はビルディングネットワーク385を介して顧客宅内機器380に繋がる。顧客宅内機器(CPE)380は、インホームネットワーク機器を、データを受信及び送信するため用いられる外界への接続又は通信回線305に接続するため使用されるルータ、モデム、スイッチ、ゲートウェイ、又は、他のネットワーク処理機器のような任意の形式の顧客宅内機器を表している。接続305は、外部ネットワークエッジ機器、エッジサイト、又は、アクセスポイント303への有線、無線、ケーブル、又は、光の何れの形式の相互接続でもよく、ポイントツーポイント型、スター型、リング型、又は、その他のネットワークトポロジーに基づいている。本実施形態では、認証システムは、図1から4に関連して詳細に後述されているように、インハウス又は家庭ネットワーク385における装置のユーザを認証するために物理接続305の識別子を使用する。
【0032】
STB370のようなクライアント装置は、CPEモデム380へ直接的に接続されてもよく、或いは、代替的に、ネットワークアドレス変換(NAT)/ファイアウォールを採用するローカルアクセスポイントルータサブネットから離れてサービスされてもよい。NATは、ローカルエリアネットワーク(LAN)がインターネットトラフィックのための1組のIPアドレスと、外部トラフィックのための第2のアドレスの組を使用することを可能にさせるインターネット標準である。
【0033】
ネットワークエッジ機器又はサイト303はネットワーク315を介してマーチャントアプリケーション及びネットワーク388に接続されている。マーチャントアプリケーション及びネットワーク388は、標準的な独立型電子商取引又はネットワークベースの企業サービスでもよく、或いは、電話会社(Telco)若しくはその他の第三者によって提供される公益事業サービスでもよい。ネットワーク315は、プライベートネットワーク若しくは企業ネットワークでもよく、又は、インターネットのような公衆ネットワークでもよく、エッジサイト303とネットワーク上のマーチャントアプリケーション388との間の通信は1つ以上のネットワーク315を経由してもよい。ネットワークエッジ機器303は、加入者にサービスを提供するために使用される物理ネットワークレイヤのため適切であり、ケーブルモデム、デジタル加入者線(DSL)及びDSL派生物、無線、及び、光技術に基づく物理接続を含むが、これらに限定されない。DSL技術は、データを銅線に詰め込むために高機能変調スキームを使用する。DSL技術は、交換局間ではなく、電話交換局から家庭又はオフィスまでの接続のためだけに使用されるので、ラストマイル技術と呼ばれることもある。図1において、ネットワークエッジ機器は、通信回線305がCPE機器380に繋がるエッジ位置の実例である。ネットワークシステムは、(ネットワークエッジ機器303とネットワーク305との間に示されていない)ネットワーク運用センターを含むこともある。ネットワークデータセンター処理機能は、他の場所に分散させられてもよく、その他のサーバを使用してもよい。
【0034】
セキュリティサーバ310はネットワーク315を介してネットワークエッジ機器に接続されている。図1におけるセキュリティサーバ310は別個のサイトであるが、セキュリティサーバはネットワークエッジ機器又はエッジサイト303の一部でもよく、ネットワーク運用センターの一部でもよく、マーチャントアプリケーションサイト388の一部でもよい。図1は、ネットワーク315経由によるクライアントCPE機器380との通信のため、DHCPデータベース330に接続されている動的ホスト設定プロトコル(DHCP)サーバ320をさらに示している。DHCPサーバ320は、ネットワークへのアクセスのため割り当てられているインターネットプロトコル(IP)アドレスをCPE機器、又は、その他のコンピュータ機器に供給するため使用される標準的なインターネットプロトコルベースのサーバでもよい。DHCPは、動的IPアドレスをネットワーク上の装置に割り当てるための既知のプロトコルである。代替的に、DHCPサーバ320は、ネットワークへの接続のためアドレス情報又はアクセス情報をコンピュータ又はその他のクライアント装置(STB、PDA、PC、携帯電話機など)に割り当てるため使用されるその他の機器を備えることがある。DHCPサーバ320は、Telcoエッジサイトのようなホストネットワークエッジ機器303を介してネットワーク315に接続しているコンピュータ又はその他のクライアント装置のアドレス情報を含むデータベースとして実施されることもある。
【0035】
一実施形態による認証(すなわち、信頼できる通信路の開始)のためのプロセスが以下に記載されている。プロセスは、STB370によって表されているクライアント装置の電源がオンになり、Telcoサーバ又はマーチャントアプリケーション388への接続を試みるときに開始する。STB370は、典型的に、CPE380装置の一部として示されているルータ、スイッチ、又は、ゲートウェイ機器からIPアドレスを要求する。STB370のIPアドレスは、ネットワークエッジ機器303又はDHCPサーバ320には分からないローカルインターネットプロトコル(IP)アドレスである。図2は、認証された、又は、信頼できるサービスのクライアントを、マーチャントアプリケーション388のようなサービスプロバイダに最初に登録する発明の実施形態による方法を示している。この方法は、ビルディング内のクライアント装置がネットワークを介して任意のタイプのサービスを取得するためにサービスプロバイダと連絡を取るときに使用される。このようなサービスの一例は、セットトップボックスのようなユーザ装置が映像復号化のためのアプリケーション鍵を取得するためにセキュアな映画又は映像配信サービスと連絡を取るときである。
【0036】
STB370のようなクライアント装置は、最初に電源がオンになり、CPE380からIPアドレスを取得する(ステップ340)。クライアント装置は次にサービスプロバイダに接続し、サービスを要求する(ステップ342)。STBは、STBのIPアドレスではなく、CPE380機器のIPアドレスを使用してネットワークエッジ機器303に接続する。STBのIPアドレスはインホーム又はインハウスネットワーク385の内部で局所的であり、マーチャント又はサービスプロバイダに提示されるクライアント(STB)IPアドレスは、CPE380のインホームネットワークルータ、スイッチ、又は、ゲートウェイによってSTBに割り当てられたIPアドレスと異なることがある。STBに関して提示されたIPアドレスは、CPE380機器のためネットワークエッジ機器303によって供給されたIPアドレスである。
【0037】
STBがマーチャントからのサービスを登録するためにマーチャントアプリケーション及びネットワーク388に連絡を取るとき、登録プロセスは、クライアント又はCPE380のIPアドレスを使用し、適切なネットワーク機器から、ネットワークエッジ機器303と、CPE380を介してネットワークエッジ機器に接続されているSTB370との間の物理接続305の識別情報を決定することが可能である(ステップ344)。物理接続305の識別情報を決定する技術は詳細に後述されている。登録プロセスは、図1に示されているように独立型セキュリティサーバ310を使用し、又は、マーチャントアプリケーション又はサイト388の一部でもよい。クライアント登録情報は、ネットワークエッジ機器303とCPE380との間の接続305のための物理接続IDと呼ばれる識別子を含む。
【0038】
物理接続IDはネットワークエッジ機器303とCPE380との間の物理接続305を一意に識別する識別子である。物理接続305の識別情報を取得するために使用される様々な技術が存在する。物理接続IDのDSL実施例は、DSLサービスを、Telco中央又は地方事務所を加入者に接続する銅線ペア電話回線に接続するため使用されるDSLデジタル加入者線アクセスマルチプライヤ(DSLAM)機器の物理ポートIDである。DSLAMは、多数の顧客のDSL接続を単一の高速非同期転送モード(ATM)回線に連結する。物理接続IDは、光ファイバ接続、ケーブルTVベースのインターネットサービスのためのケーブルモデムシステムの場合に取得され、仮想接続IDは無線機器の場合に取得される。たとえば、ファイバ・ツー・ザ・ホーム(FTTH)ネットワークでは、接続IDは加入者を光ネットワークに繋ぐため使用される光ネットワークユニット(ONU)の識別子でもよい。ONファイバ・ツー・ザ・ホーム又はその他の)サービス加入者を加入者への物理ファイバ接続又はONU接続と関連付けるために使用される。物理接続305の識別子は、物理接続305を決定するためにトレースルート又はその他のネットワークマッピングユーティリティを使用して取得されることも想定される。標準的なトレースルートユーティリティは物理接続305を識別しないが、コンピュータノードへの単一ルートと共に物理接続305を提供可能であるトレースルートのようなユーティリティが作成可能であることが想定される。
【0039】
多くのネットワークシステムにおいて、ネットワークエッジ機器303は、クライアント装置(STB、PC、PDAなど)がDHCPプロトコルを使用してネットワークIPアドレスを要求するときに、DHCP要求をDHCPサーバへ転送する。DHCPリレーエージェントとしての機能を果たすことに加えて、ネットワークエッジ機器303は、ネットワークエッジ機器303を介してDHCP要求を転送するときに、物理接続識別子(たとえば、DHCPオプション82)をさらに付加する。ネットワークエッジ機器303が物理接続識別子を付加するとき、DHCPサーバは、DHCP処理に関する情報を持ち、典型的にIPアドレス、CPEメディアアクセス制御(MAC)アドレス、リース状態、リース期間及びその他の情報を含むDHCPサーバリースファイルに、物理回線識別子を記憶することが可能である。DSLベースのネットワークのための今日のDHCP処理は、DSLAMポート番号を用いてホームに接続されている物理的ワイヤを指示するポート識別子を追加するDSL DSLAMを含む。DSLAMポート番号は一意であり、銅線がDSLAMポートに繋がるとき、ホームとTelcoネットワークとの間の物理銅配線は一意に識別される。多くのシステムにおいて、DHCPリースファイル情報は、ネットワークエッジ機器303によってDHCP要求(たとえば、DHCPオプション82)に付加された物理接続識別子をさらに含む。
【0040】
ネットワークエッジ機器303とCPE380機器との間の物理接続305の物理接続識別子が利用可能でない状況では、ソフトウェアは、識別子を物理接続305と関連付けるために使用されるデータを取得するため、ネットワークエッジ機器303を探索することによりこの情報にアクセスするように記述され得る。この探索の一例は、DSLAM装置によって提供されている方法を使用して、DSL DSLAM装置から回路IDを読み取ることである。ネットワークエッジ機器303の探索は、どのようなネットワークタイプ(無線、ケーブル、ファイバ、DSL、イーサネットなど)であっても適用可能であり、探索は機器から物理接続305を取得する1つ以上の方法に基づいてもよい。物理接続305の識別子を取得する典型的な方法は、データベースファイルの読み取り、テルネット(Telnet)セッションの実行、ネットワーク又はネットワークエッジ機器380上の外から見えるインターフェイスへのアクセス、情報を取得するためのウェブサービスへのアクセス、ファイル転送プロトコル(FTP)若しくはハイパーテキスト転送プロトコル(HTTP)インターフェイスによる情報へのアクセス、又は、その他の方法を含む。
【0041】
物理接続IDが決定された後、本実施形態における認証プロセスは、物理接続305をサービス加入者に関連付け(ステップ345)、加入者及び関連付けられた物理接続識別情報に関する情報を記憶する(ステップ346)。これは、サービスプロバイダが物理接続305を含む情報を使用してユーザを認証することを可能にさせ、このようにして、ユーザを識別された物理接続がリンクされている物理構造物又はビルディングにリンクする。情報が一旦記憶されると、クライアントはサービスのため登録され、その後にマーチャント388からサービスを受けることが可能である。登録後、物理接続305は、図3に示されているように、サービスの後続の要求毎にユーザを認証するため使用される。
【0042】
サービスプロバイダが、ネットワークエッジ機器303又はTelcoネットワーク機器又はDHCPサーバ320又はセキュリティサーバ310又はその他の場所によって設けられている外から見えるインターフェイスを使用して、Telco又はサービスプロバイダから物理接続305の識別子を取得することを可能にさせるウェブサービスが提供され得ることもまた本出願によって想定されている。
【0043】
物理接続305の情報は、クライアントを認証するときに今日のシステムで使用されることがあるが、この使用はネットワークサービスプロバイダが加入者のCPE380を認証するときに限定され、この情報は、電子商取引システム、インターネットシステム、ウェブサービス、電子メールシステムなどのユーザを認証するために、サービスのためのアプリケーションレイヤ、又は、電子商取引レイヤのような、物理接続レイヤを越えた加入者の認証の際に使用されない。
【0044】
図3は、サービスにアクセスするために試みられた不正な攻撃を検出するために、登録後に加入者又はクライアントを識別するのに使用される認証プロセスを示している。ハッカーと呼ばれる不法侵入行為者がサービスを侵害又は盗用しようする多数の方法がある。たとえば、ハッカーは、複製加入者情報を伴うSTB又はPCのようなクローン化されたクライアント装置を使用し、権限のある加入者になりすますことを試みる。図3に示されている認証プロセスは、クライアントが、サービスに登録するため使用した物理接続305と同じ物理接続305からサービスにアクセスしていること、ならびに、サービス上で同時に使える状態である同じ資格をもつ複数のクライアントが存在しないことを検証可能である。
【0045】
図3に示されているように、登録済みクライアント(又は、クローン装置などを使用して登録済みクライアントになりすまそうとする権限のないユーザ)からのトランザクション要求はステップ350で受信される。接続中の加入者のホームゲートウェイIPアドレス(STB370のIPアドレスではなくホームゲートウェイ又はCPE380のIPアドレス)が次に読み取られる(ステップ352)。加入者のゲートウェイIPアドレスは、加入者の物理通信回線又は物理接続IDを取得するために使用される(ステップ354)。このIDは、ゲートウェイIPアドレスに対する物理通信回線識別子を格納しているネットワークデータエントリから取得される。これは多種多様な方法で取得可能であり、たとえば、DHCPリースファイルがこのマッピングを取得するために読み取られる。ネットワーク機器がDSLAMからDSL DSLAMポートIDを読み取ることによりこの情報について問い合わせされることもある。その他の方法がネットワークに依存して使用され得る。加入者ゲートウェイIPアドレスは、多くのシステムが一時的なリースを用いてDHCP IPアドレス管理を適用する方法のため、一時的な関連性である。したがって、加入者は、IPアドレスではなく、物理通信回線に接続されているときに識別される。物理通信回線識別子は加入者毎に一意であり、一例は、DSLAM_IP_ADDRESSがネットワーク内の多数のDSLAMのうちの1つのIPアドレスであり、ポート番号フィールドが銅配線を加入者の場所に接続するDSLAM上の物理ポートであるDSLAM_IP_ADDRESSポート番号である。
【0046】
接続中クライアントは、その後に、加入者の現在のDSLAM_IP_ADDRESSポート番号又は物理接続IDを、ユーザが最初にサービスに登録したときに取得された物理接続IDと比較することにより認証される(ステップ356)。ソフトウェアは、加入者の物理接続を監視し、ネットワークと加入者との間の様々な物理接続上で同時にアクティブ状態である複数の加入者をチェックする。加入者の顧客宅内機器はホームゲートウェイ又はファイアウォールに隠れている可能性があり、加入者のクライアントIPアドレスは、ホーム又は宅内で局所的なIPアドレスであり、認証システムから見えない。この方法は、加入者を、クライアントIPアドレスではなく、ビルディングへの物理接続305に関連付け、認証のより優れた基礎を提供する。ソフトウェアは、加入者の新しい物理接続ID又は現在の物理接続IDと登録済み物理接続IDとが合致しているかどうかを決定する(ステップ358)。合致しているならば、接続は信頼でき、トランザクションは継続可能である(ステップ362)。物理接続IDが登録情報と合致しないならば、変更が通知され(ステップ360)、トランザクションは、変更が有効な理由のためであるか、又は、ネットワーク上のクローンであると疑われるかどうかに応じて、続行するか、又は、続行しない。
【0047】
ステップ360において、処理ソフトウェアは、加入者によって使用されている機器が、サービスに登録したときとは異なるDSLAMポート上に現在存在していることを報告可能である。加入者装置の物理接続は、技術者が加入者をDSLAM上の異なるポートへ移動させること、又は、技術者が現場でSTBを移動し、加入者の情報を更新しないこと、又は、加入者がSTBを移動させたときをはじめとして、多種多様の有効な理由のため変更されているかもしれない。これらの条件はネットワーク上に存在しているクローンを構成しないが、プロセスはこれらのタイプのイベントを通知可能である。
【0048】
MACアドレスによって一意に識別される正規のSTBは、あらゆる所与の時点において、単一のDSLAM物理ポートアドレス上にのみ存在し得る。一実施形態では、認証システム及び方法は、図1から4に関連してより詳細に後述されるように、リレーエージェント情報拡張オプションを用いて設定されたDHCPサービスを使用して、2つ以上の物理回線に接続されているSTBのDHCPリース記録を探索することにより、クローン化されたSTBを検出する。図4は、図1のシステムにおいて使用される、図2及び3に示されているようなリアルタイム登録認証、及び、潜在的なクローンの存在のスイープレポートのための、論理プロセス及びデータ記憶装置を示している。認証プロセスを実行する認証サーバは、別個のセキュリティサーバ又は認証サーバ310に存在するか、又は、ネットワークエッジサイト303に接続されているか、若しくは、他の実施形態ではマーチャントアプリケーションサイト388に接続されているネットワーク運用センターに設けられていることがある。
【0049】
図4に示されているように、DHCPサーバ及びリレーエージェント363はDHCPリースファイル記憶モジュール364に接続されている。DHCPテーブルビルダー365はDHCPリースファイル記憶モジュール364及びDHCPディレクトリ366に接続されている。テーブルビルダー365によって作成されたテーブルはDHCPリーステーブルモジュール367に記憶されている。全てのSTB関連データ、すなわち、顧客登録情報及び関連した物理接続IDは、特有の回路情報と共に、回路管理(CM)レジストリ368に記憶されている。鍵要求又はサービス要求がSTBから受信されたとき(369)、システムは、DHCPリーステーブルに記憶されている情報を回路管理(CM)レジストリ368に記憶されている情報と比較することにより、要求の発信元であるリースされた回路が登録済み回路であるかどうかを決定する(374)。回路が合致しない場合、認証例外が生成され、スイープレポート(376)における後処理のため認証例外モジュール375に記憶される。合致がステップ374で見られないとき、STBは、サービスを拒否されるか、又は、後の審査のためサイレント通知される。回路識別情報の変化に有効な理由が存在するならば、CMレジストリは、この特有のクライアントの登録済み回路がリース済み回路に対応することを指示するように更新されるであろう。
【0050】
図1から4に示されているような認証システムの一実施例が今度は詳述されている。ユーザ又はクライアントを認証するために、MACアドレス及びDSLポート番号(オプション82)が所与のIPアドレスに対しDHCPサーバ又はリレーサーバから取得される。図4に示されている実施形態では、DHCP状態はDHCPリースファイルからアクセスされる。代替的な実施形態では、等価的な状態情報がトータルマネージ(TM)を使用して取得される。Myvo/SiemensからのMiddlewaveは、クライアントの資格及びその他の情報を取得する。代替的に、DHCP状態ログが認証サーバへ出力され、又は、認証サーバからのDHCP要求トラフィックが探り出される。
【0051】
DHCPアクティビティは、/etc/dchpd.leases又はDHCPリースファイル365に保持され、ネットワークエッジDHCPリレーエージェント363から取得された以下のオプショナルフィールドを含む。
【表1】
【0052】
リモートIDは大域的に一意であると仮定されているが、回路IDはDSLAMに対してのみ一意であり、認証サーバの一意性を保証するためにサブネットアドレスを用いて修正され得る。STBがクローン化されているが、偶然に2つの異なるサブネット上で同じ回路を占領するような悪化した事例を考える。このクローンを検出するために、サブネットと回路の両方が一意性をテストされる。DHCPプロトコルリレーエージェントは、リレーエージェントのIPアドレスであるgiaddrフィールド内で参照される。リースファイル内の回路IDオプションは、giaddrと回路の連結である。「giaddr」フィールドは、DHCPサーバと(DSLAM、ゲートウェイなどのような)回路との間のリレーエージェントのためのゲートウェイIPアドレス、すなわち、IPアドレスを参照するために使用される用語である。リースファイルは、フラット形の情報交換用米国標準コード(ASCII)テキストファイルとして維持されてもよく、コンテンツ及びレイアウトが変化してもよい。リースファイルプラグインは本来のファイルアクセスを抽象化するために使用される。
【0053】
大規模設備の場合、全リースファイルが同じフォーマットを有するかどうかを決定することが残されている。概念的には、異種システムは、様々なDHCPサーバと、リースファイルフォーマットと、その結果として、様々なリースファイルプラグインを有する可能性がある。今日のDHCPサーバからのDHCPリース情報は、発行されたIPリース及び回路オプションを明らかにする以下の実施例に類似しているように見える。
lease 172.22.22.254 {
starts 1 2006/02/06 15:46:27;
ends 1 2006/02/06 16:46:27;
tstp 1 2006/02/06 16:46:27;
binding state free;
hardware ethernet 00:03:e6:00:3c:84;
option agent.circuit−id “10.160.220.232:1−3−26−0−adsl−0−36”;
}
【0054】
本実施例では、giaddrフィールドは10.160.220.232である。直接的に接続されたSTBの場合、DHCPリースファイルエントリは、STBのIPアドレス及びMACを有する。アクセスポイント(AP)の事例では、DHCPリースファイルは、(複数の)STBの何れかではなく、APのIPアドレス及びMACを有する。本明細書では、「アクセスポイント」という用語は、有線LANのユーザのための通信ハブとしての機能を果たすハードウェア装置又はコンピュータソフトウェアを指し示している。しかし、回路情報は、CPEドメインの全機器、すなわち、AP及び(複数の)STBの両方に共通である。
【0055】
回路IDの登録時決定を容易化するために、DHCPリーステーブル367が作成される。リーステーブルは、アドレスをIPリースと関連付けられた接続305のための回路IDと関連付けるために、全リースフラットファイル情報及びIPアドレス上の鍵をインポートする。このリーステーブルは、登録中にフラットファイル処理より改良された性能レベルを提供する。一実施例では、テーブルは以下の事項を含む。
【表2】
【0056】
バッチプロセスは、DHCPリースファイル364を解析し、データをDHCPリーステーブル367へインポートするために実行される。ビルダーはバックグラウンドプロセスとして動くことがある。リーステーブルビルダーは、登録サーバを含む高優先順位のシステムタスクに取って代わられる。テーブルビルダーはDHCPリースファイルの場所を見つけるためにDHCPディレクトリを使用可能である。ディレクトリは、リースファイルが処理されている全DHCPサーバのマスターリストを備える。ディレクトリは、手動で集められ、オペレータUIによって管理され、最終的にDHCP発見によって自動的に生成されることがある。
【0057】
認証システムはSTBを直接的に登録してもよいし、又は、STBのアクセスポイント(AP)を登録してもよい。直接的に接続されたSTB370の場合、STBは、ステップ369において自分のIPアドレス及びMAC又はSTB IDと共に鍵要求を発行する。登録又は認証サーバ(セキュリティサーバ310又はマーチャントアプリケーションサイトに設けられたサーバの何れか)は、登録時のリースIPアドレスを使用して、STB MACを回路に関連付けることが可能である。
【0058】
AP登録の場合、STBが登録するとき、STBは、自分のSTB ID(MAC)を収容している鍵要求369を発行する。要求IPは、鍵要求がSTB MACとアクセスポイントIPアドレスとを収容するように、アクセスポイント又はCPE380によってNAT変換される。認証又は登録サーバは、登録時のリースIPアドレスを使用してSTB MACを回路に関連付ける。
【0059】
複数のSTB又はユーザ装置の場合、登録プロセスは、この事例では複数のSTBによって発行された一意のMACを使用して、同様に取り扱われる。各事例において、登録サーバは、一意のMACと、回路IDを取り出すために使用されるアクセスポイント、すなわち、AP IPと共に鍵要求を受信する。
【0060】
IPは常にCPE回路に帰着するので、プロセスは直接的なSTBとAP登録の両方に類似している。登録は回路ベースの認証を実行する際に重要な役割を果たす。STB MACは初期の鍵要求時だけに分かっているので、認証を推進するのは登録イベントである。回路ベースの認証は、クローン化されたSTBを検出するためにビジネスロジックを利用する。このようなSTBは何れもが鍵をアクティブに拒否されるか、又は、後の審査のためサイレントに記録される。
【0061】
回路認証の拒否又は疑義の結果は、スイープリポート376における後の処理のため認証例外テーブル375に挿入される。権限のない要求は拒否されてもよく、その後に、例外テーブル375に記録されてもよい。その他のタイプの例外もまたこのテーブルに記憶される可能性がある。一実施形態では、認証例外テーブル375に記憶されている記録には以下の事項が含まれている。
【表3】
【0062】
同じCPE内のクローン化されたSTBは同じ回路を共有しているので容易に検出できない。STBがパワーサイクルされ、部屋と部屋の間を移動させられる正当な使用の事例もまたこの条件を引き起こす。この制限を拡張するため、共通APを共有する複合住居は複数のSTBを扱うこともできる。対抗手段として、同一回路上の単位時間当たりの登録件数の実際的な上限又はその他の防衛策が登録サーバによって採用されている。
【0063】
顧客データベース又はレジストリ368は、オープンデータベースコネクティビティ(ODBC)ドライバを用いてアクセスされてもよい。設備は登録検証フィールドを挿入するために顧客データベースを修正可能である。データフィールドは、ユニバーサル変換フォーマット(UTF)−8又はUNICODEである(UNICODEは文字を整数として表現するASCIIに類似した規格である)。以下のフィールドが認証目的のためCMレジストリ368に含まれることがある。
【表4】
【0064】
これらのフィールドを使用して、ネットワーク運営者は、回線、現場、サブネットなどによるトレンドへの特別の調査リポートを構築することが可能である。
【0065】
DHCP IPリースは、リースファイルがリーステーブルビルダーによって取得された時点と、リースファイルが登録サーバによって利用された時点との間に満了することがある。登録又は認証サーバは、DHCPリース満了及び日時をその他の関連フィールドと共に認証例外テーブル375へ書き込むことにより、境界事例フィルタリングをスイープリポート規則に延ばすことが可能である。スイープリポートロジックは、これらの境界事例を考慮するためにこれらのフィールドをテスト可能である。許可された鍵は満了時期と共にリースされる。
【0066】
認証システムは、コンテンツ・オーソリティ・サービス(CAS)との一般的な互換性に合わせて設計され、リモートプロシージャコール(RPC)変換にSOAP/拡張マークアップ言語(XML)を提供するために、シンプル・オブジェクト・アクセス・プロトコル(SOAP)エージェントと一体化されていてもよい。認証システムは攻撃の脅威から隔離された非武装ゾーン(DMZ)内で動くこともある。DMZは、企業プライベートローカルエリアネットワーク(LAN)のような信頼できる内部ネットワークと、公衆インターネットのような信頼できない外部ネットワークとの間に置かれているコンピュータ又は小型サブネットワークである。一般に、DHCPサーバとリレーエージェントは信頼できる関係を有し、一方、DHCPクライアント(STBを含むCPE機器)は信頼できないと考えられる。一実施形態では、認証システムはライセンス鍵による許可されていない使用から保護されている。アドミニストレーションレベル機能はシフトスーパーバイザログインに制限されている。
【0067】
認証システムのためのユーザインターフェイスは、Java又は類似したインターネットプログラミング言語で実施されてもよく、以下の機能を含んでもよい。
【表5】
【0068】
認証システムのインストールは、回路ベースの認証を実施する更新済み登録権限サーバを、関連付けられたソフトウェアと共に含む。データベーススキーム及び新しいテーブルはインストールの一部として更新/作成される。Windowsオペレーティングシステムでは、Installshield EXEは新しいWindowsサービスを作成する。Solaris/Linuxシステムでは、解決策は、テープアーカイブ(TAR)、レッドハットパッケージマネージャ(RPM)などとしてインストール可能でなければならない。認証サービスが別個に使用許諾されたオプションであるならば、認証サービスのインストール及びアンインストールを管理するために一意のLICENSE_KEYを用いて追加されてもよい。アンインストールは、CMデータベースを認証前状態へ復元するためある事例で許可され、認証サービスに関連したテーブル及びフィールドを削除する。
【0069】
提案された解決策は、リアルタイム登録への影響を最小化するか、又は、減らし、DHCPリーステーブルビルダー及びスイープ報告へのオフライン処理を延ばす。スイープリポート実行時は、認証例外レコードの数の関数であり、インタラクティブに(臨機応変に)、又は、できる限り毎日の報告サイクルに基づいて行われる。DHCPリーステーブル367は、サービスを受けているインタラクティブネットワーク全体のため発行された全てのCPE IPリースを含むことがある。最悪の状況の大規模設備は、100万台のCPEがサービスを受けることがある。各CPEがリースされたIPを有すると仮定すると、リーステーブルは100万レコードのオーダーである。認証システムの主なサービスに影響を与えるか、又は、運営上の影響は、登録又は認証段階にある。DHCPリーステーブルがオフラインである場合には、IPアドレス参照は失敗するか、又は、認証例外更新が失敗し、システムは回復し、現在の機能に戻る必要がある。認証システムは別々に使用許諾されることがあるので、認証を認識していないビジネスロジック及び認証を認識しているビジネスロジックの両方に下位互換性があってもよい。
【0070】
DHCPリーステーブルビルダー365は、1以上の記憶モジュール364内の本物のリースファイルをそのままの状態に残したままでDHCPリースファイルのコピーを処理可能である。構築プロセスはサービスに影響を与えない。リーステーブル367は繰り返しサイクルでスクラッチから再構築されるので、自己回復作用がある。
【0071】
認証例外テーブルを使用するスイープ報告は、オフラインでもよく、サービスに影響を与えない。例外テーブル又は報告の誤りは予定されたデータベース保守によって回復可能である。認証例外テーブルの定期的な予定された保守は旧い記録を無効にすることができる。
【0072】
DHCPリースファイルは、処理のため中央ネットワークファイルシステム(NFS)のエクスポートされたディレクトリに集めることができる。全DHCPサーバのリースファイルの全体集合は、クローン化されたSTBをチェックするため走査されてもよい。DHCPリースファイルは、DHCPサーバによって定期的に中央収集ポイントへ押し出されてもよいし、又は、様々な手段(FTP、ネットワークファイルシステム(NFS)など)を用いてテーブルビルダーによって引き寄せられてもよい。
【0073】
DHCPは、(MIB(管理情報ブロック)を含む)統計的リポート及びログにおける現在のリースのエージェント回路ID値を報告する。回路IDは特定のリレーエージェントだけに局所的であるため、回路IDはリレーエージェントを識別するgiaddr値を用いて資格が与えられてもよい。回路情報が現時点でリースファイルに書き込まれていない場合には、DHCPサーバ及び/又はリレーエージェントは機能強化されなければならない可能性がある。リモートIDはDSLモデムIDであるかもしれない。
【0074】
上述のシステムにおいて、コンピュータデータ構造又はデータベースレコードに実施されるときにビルディングと関連付けられている物理ネットワーク接続IDの識別情報はビルディング内の1台以上のネットワーク装置を認証するために使用されるので、セキュアネットワーク通信がビルディング所有者又は占有者と直接的に関連付けられている。これは、加入者がサービスに申し込む時点に加入者をビルディングへの物理接続IDと関連付け、その後に、加入者による後続のサービス要求が同じ物理接続IDから来ることをチェックすることによって行われる。ビルディングは移動し得ないので、これはユーザの認証に依存する基礎を与える。
【0075】
図5は、認証のため物理コンポーネント又はビルディングへの接続に同様に依存するが、しかし、接続を識別するために、別のセキュリティレイヤをシステムに追加するデジタル証明書を使用する発明の別の実施形態による認証システムを示している。認証システムは、既存の物理的にセキュアな双方向ネットワーク、たとえば、特定の家又はビルディングへの専用回線を有する電話会社のような公益事業ネットワーク上に「ピギーバック」される。しかし、別個の独立型認証システムが代替的な実施形態では設けられていてもよい。図5において、認証システムは、電話会社の既存のデジタル加入者線(DSL)サービスにピギーバックされるか、又は、付加される。本システムは、代替的には、ケーブルサービスプロバイダ、電力会社、FTTHなどのような、ビルディングへのブロードバンド配線接続を提供する他のサービスと共に使用されてもよい。
【0076】
図5のシステムは、認証サービスを実行するために信頼され得る認定された認証センター20にリンクされている公益事業者サーバ又はデータセンター10によって管理されている。本実施形態では、認証センター又はサーバは、Verisign、Thawt又はBaltimoreのようなよく知られている証明機関でもよい。その他のエンティティもまた信頼できることが同様に証明され得る限り参加可能である。代替的な実施形態では、公益事業者データセンター10及び認証センター20は、単一エンティティとして組み合わされてもよく、ユーティリティサーバが信頼できる認証サービスを実行する。しかし、公益事業者は、認証機能を実行するため有効であることが一般には知られていないので、図示されている実施形態のシステムは別個の認証サービスを使用する。
【0077】
公益事業者サーバ又はデータセンター10は様々な公益事業会社エッジサイト又はサービスボックス30に接続され、エッジサイト又はサービスボックス30が次にはサービスに加入している各家又はビルディング40内のゲートウェイモジュール36に専用物理通信回線35によって接続されている。本事例では、通信回線35は、1つずつが特定のビルディングに接続されている本質的にセキュアなコンポーネントである。ホームゲートウェイモジュール36は次には有線又は無線通信リンク38によって、セットトップボックス若しくはテレビジョン45、パーソナルコンピュータ若しくはラップトップコンピュータ50、及び、様々なタイプのキャリアベースの無線装置55のようなビルディング内の様々なユーザ装置にリンクされている。各通信リンク38は唯一のビルディング又は物理的位置に接続されている。
【0078】
キャリアベース無線装置という用語は、無線ネットワークに繋がるクライアント装置又はその他の装置を表している。無線ネットワークは、米国電気電子学会(IEEE)802.11、又は、携帯電話会社若しくはその他の無線通信事業者若しくは無線通信機器のようなサービスプロバイダによって提供されるサービスといった、だれもが接続可能なオープンネットワークでもよい。キャリアベースの無線装置の実施例は、携帯電話機、無線モデム、無線PDA、及び、その他の無線装置である。音声及び映像再生アプリケーションと、ウェブブラウザアプリケーションとは、キャリアベースの無線装置上で動く典型的なアプリケーションの例である。キャリアベースの無線装置上で動くその他のアプリケーションがさらに想定され、本明細書に記載されている認証方法による恩恵を受けるかもしれない。
【0079】
本実施形態におけるゲートウェイモジュール36は、前述の実施形態における顧客宅内機器(CPE)380と等価であり、Telco信号を終端処理するか、又は、ネットワークに接続するどんな装置でもよい。ホームゲートウェイモジュールの実施例には、DSLモデム、ケーブルモデム、ファイバモデム、無線モデム、T1装置のような専用電話接続、及び、通信回線をネットワークに接続するその他の装置が含まれている。ホームゲートウェイモジュール36は、複数の通信、モデム型機能を含む可能性があり、NATと、ホーム内DHCPサーバと、ファイアウォールと、VPN、無線アクセスポイントなどのようなその他のネットワーク機能を含むことがある。ホームゲートウェイ、或いは、CPEという用語は、上記の項目の総称であり、上述のネットワーク機能に加えて、DSLモデム識別子、データ・オーバー・ケーブル・サービス・インターフェイス仕様(DOCSIS)識別子、ベーシック・ライン・プライバシー・インターフェイス(BPI+)、又は、その他の識別子のような一意の識別子を含む可能性がある。
【0080】
図示された実施形態では、ビルディング内のユーザ装置は、公益事業者サーバを介してコンテンツプロバイダにリンクされ、インターネット65又はプライベートネットワーク(図示せず)を介して他のユーザ60にリンクされている。しかし、公益事業者サーバ経由での外界への接続は不可欠でなく、図5の認証システムは、代替的に、ユーザビルディングを認証するためだけに使用されることがある。ビルディング又は物理構造物40は、データを送受信するため種々のその他のサイトへのその他のブロードバンド有線及び無線接続を有する。
【0081】
公益事業者エッジサイトモジュール30は、ホーム及びビルディングをネットワークバックボーンに接続する役目を担う別々のコミュニティ内での物理構造物である。図5の典型的な実施形態では、各エッジサイトモジュール30は、近傍にある各ビルディングに接続されているセキュアコンポーネント又は回線35と関連付けられているセキュアコントロールユニットを備える。エッジサイトモジュール30は、エッジサイトモジュール自体が住居侵入及びシステムにハッカー行為をされることによって危険に晒され得ないことを確実にするために、十分な物理的セキュリティ手段及びメカニズムを有する。エッジサイトモジュールがDSLエッジサイトであるとき、エッジサイトモジュールは、以下で詳述されるように、エッジサイトモジュールが関連付けられた専用回線35を介して接続されている各ビルディングとの間で通信を方向付けるデジタル加入者線アクセスマルチプレクサ(DSLAM)を収容し、認証システムの一部を形成する制御モジュールを収容することがある。
【0082】
エッジサイトモジュール30は以下に記載されているように2レベルのセキュリティを有する。
1.エッジサイト自体が物理的に保護され、アクセスは、出入りをデータセンター10と、できる限り認証サーバにも知らせなければならない許可された人だけに、制限されている。
2.DSLAMサーバ(及び、DSLAMをサポートするため使用されるサーバ)は同様に物理的に保護されている。DSLAMは、固有の独立したセキュリティ手段と、エッジサイトの物理構造物の中に人を入れないために使用されるセキュリティ手段及び装置とは別個の装置とを有してもよい。
【0083】
図1から4の実施形態では、ユーザ証明又はユーザ認証は、登録済みユーザと、ホーム又はビルディングをネットワークエッジサイトに接続する物理回線との間に関連性を確立することに依拠している。関連性は、登録時と、登録済み加入者が後でサービスを使用する時の両方の時点で、加入者物理ネットワーク接続IDを決定することによって作成される。図5の実施形態では、DHCPリーステーブルのような様々なソースを使用してビルディングへの一意の通信回線35の接続ID又は回路IDを識別するのではなく、付加的なセキュリティ資格情報がビルディング又はビルディングへの物理接続と関連付けられている。セキュリティ資格情報はデジタル証明書でもよい。一実施形態では、各エッジサイトモジュール30は、エッジサイトモジュール70を物理構造物40にリンクする1つ以上の通信回線35を介して、エッジサイトモジュールによるサービスを受けるコミュニティ内の別個の物理構造物40の1つずつに発行される個別のデジタル証明書70を格納している。デジタル証明書はデータ記憶領域に記憶されている。エッジサイトモジュールは、認証目的のため使用される暗号ルーチンを格納している長期メモリをさらに有することができる。必要な認証ステップを実行するようにプログラムされている付加的なプロセッサがエッジサイトモジュールに追加されてもよく、又は、これらの機能は、適当であれば、既存のエッジサイトプロセッサによって実行されてもよい。
【0084】
本実施形態の認証システムは、不変ソフトウェアオブジェクトであるデジタル証明書70の発行及び取消を行うために、公開鍵インフラストラクチャ(PKI)を使用する。これらのデジタル証明書は2個の一意の鍵を運ぶ封筒である。これらの2個は互いに異なる。一方の鍵は他方の鍵の暗号対である。一方の鍵がデータのパケットを暗号化するために使用されるならば、パケットを正しく復号化できる世界で唯一のもう一方の鍵はデジタル証明書内に保持されているもう一方の鍵である。一方の鍵は典型的に公開鍵と呼ばれ、もう一方の鍵は典型的に秘密鍵と呼ばれる。秘密鍵は不変オブジェクトに常に安全に添付されている。公開鍵はユーザ及びネットワークパートナー候補との間で共有される。
【0085】
本事例では不変オブジェクトであるデジタル証明書70が証明機関又は認証サーバ20によって特定のビルディング(又は、セキュアコンポーネント、すなわち、ビルディングに取り付けられている回線35)に対し一旦発行されると、以下のステップがビルディング内のネットワークユーザを認証するために使用されてもよい。
−ユーザは、秘密鍵を使用してデータパケットを暗号化し、暗号化されたデータパケット及び暗号化されていない(平文)データパケットを別のネットワークユーザへ送信し、
−受信者は、両方のデータパケットを受信し、事前に暗号化されたデータパケットを復号化するために証明機関20からのユーザビルディングと関連付けられた対の相手方である公開鍵を使用し、
−受信者は、復号化されたデータパケットを平文データパケットと照合する演算を実行し、
−照合演算が成功であるならば、リモートネットワークユーザは認証されている。
【0086】
本実施形態では、認証手続きで使用されたデジタル証明書を、動かせない特定のビルディング、又は、特定のビルディングに取り付けられた、検証可能なセキュアコンポーネントに結び付けることにより、非常に高いレベルのセキュリティが提供される。これは、証明書が、たとえば、コンピュータのようなハードウェア装置に取り付けるため証明機関によってユーザへ送られたユニバーサルシリアルバス(USB)ドングルなどを介して、移動可能な物理コンポーネントに結び付けられていた、このようなデジタル証明書のこれまでの用法とは異なる。デジタル証明書の物理接続35又は305(図1)との関連性は、物理接続識別子が登録済みユーザの認証のため位置付けられ記憶されている第1の実施形態に関して上述されている技術の代わりに、又は、加えて使用されてもよい。
【0087】
特定のビルディングに専用であるエッジサイトデジタル証明書は、建物内、たとえば、ホームゲートウェイモジュール36内に安全に記憶されている対応する鍵と照合される。ホームゲートウェイモジュール36のような装置が別の物理位置へ動かされ得ないことを保証し、さらにユーザを正しく認証する保護メカニズムが設けられている。既知の暗号化システムは、不変オブジェクトを天文学的に小さい誤り率と関連させる規格及びシステムを作成可能である。換言すると、コンポーネント部品(本事例では、エッジサイトモジュール、回線35、及び、ホームゲートウェイモジュール)が不変である限り、数学はコンポーネント部品間の関連が実質的に完全であることを保証するために使用され得る。
【0088】
各デジタル証明書70は固定物理構造物(又は、まさにその固定物理構造物への別個の接続)と関連付けられているので、本システムは、物理構造物又は、装置の実際のユーザの真正性を識別若しくは保証しない、単なるユーザ装置の認証ではなく、物理的構造物若しくはビルディングの所有者、居住者又は労働者である実際のユーザの信頼できる認証を可能にさせる。各デジタル証明書は、唯一の通信回線、したがって、1つの物理サイトに固有の専用秘密鍵を有する。
【0089】
エッジサイトモジュール30と物理構造物40との間の物理接続回線35は、ツイストペア(銅)線、DSL回線、ファイバ回線、専用及び別個の無線接続、又は、類似した専用機能を実行するその他の専用ポート若しくは接続若しくは専用回線のような物理配線接続でもよい。認証サーバ20は、コミュニティ全体の物理構造物を認証する目的のため、コミュニティ内の種々のエッジサイトモジュール内でデジタル証明書の発行及び取消を行う。デジタル証明書は、2個の一意の鍵を運ぶX.509デジタル証明書でもよい。X.509はITU−T(国際電気通信連合−電気通信標準化部門)によって公開されたデジタル証明書の仕様である。
【0090】
他のホーム及びオフィスビルディングは、それぞれの固有の別個のデジタル証明書が割り当てられる。したがって、コミュニティ全体はこの認証のシステム及び方法にアクセスできる。
【0091】
通信回線35がDSL回線である場合、DSL回線は典型的に、ビルディング内のユーザ装置との間でDSL通信を行うホームゲートウェイモジュール36に接続され得る。代替的に、ゲートウェイモジュール36は、ホーム内のユーザ装置に接続されている簡単なルータでもよく、又は、エンドユーザのためのデータのフローを管理する機能強化されたルータでもよい。別の実施形態では、ビルディング内の1台以上のユーザ装置は、通信回線35に、したがって、デジタル証明書に直接的に接続されていてもよい。
【0092】
デジタル証明書70が特定のビルディングのためセットアップされると、デジタル証明書はビルディング内のユーザ装置を認証するためにも使用される。デジタル証明書は本実施形態ではビルディング自体に安全に取り付けられていないが、デジタル証明書は、プロバイダエッジサイトモジュール30におけるDSLAMサーバ又はその他のサーバ内で、その特定のビルディングのための専用アクセス回線に安全に取り付けられている。これが必要なことの全てであり、なぜならば、DSLAMは物理的に安全なエッジサイト内に保持されているからであり、また、サービスは専用アクセス回線によってそのビルディングに提供されていること、及び、ビルディング内のユーザによって収められたサービスの支払の履歴が存在することという両方の理由で、DSLAMは正しいビルディングに専用であることが確認されているからである。既存ネットワークに「ピギーバック」する本システムは、固有のネットワーク、及び、認証サービスに加入している各ビルディングへの双方向ネットワーク接続性を伴う物理的に安全なボックスの取り付けを必要とする認証システムより非常に費用がかからない。
【0093】
図5の実施形態は、1つずつが、移動、盗難、クローン化などされるかもしれない、移動可能な、又は、相対的に移動可能なユーザ装置ではなく、地上の固定物理位置と関連付けられているX.509デジタル証明書70(又は類似した認証証明書)を発行する目的のため公開鍵インフラストラクチャ(PKI)又は同等物を使用する仮想プライベートネットワークを提供する。これは、電子商取引、電子メール、及び、その他の電子トランザクションのための安全な双方向認証を可能にさせる。図1から5のシステムは、クライアント認証システムの基盤として、既存のハードウェア、ソフトウェア、及び、電話、電力会社、ケーブルテレビジョン会社などのような公共事業会社のプライベートネットワークを利用する。必要とされている認証システムの全てのハードウェア及びソフトウェアは、必要に応じてネットワーク内の各場所で既存のハードウェア及びソフトウェアに付加される。これは初期セットアップ費用をかなり削減可能である。しかし、システムは、代替的に、固有のプライベートネットワーク、認証サーバ及びデータベースを有するスタンドアロン型の独立した認証システムとしてセットアップされ、ネットワークサービスプロバイダは登録及び加入者認証目的のためシステムを使用してもよい。これは、新しいビルディング開発の事例において特に実現可能だろう。
【0094】
図5は、証明機関が、ユーザ電子装置が置かれているホーム又はその他の物理構造物40を認証する1レベルの認証システム及び方法を示している。ユーザ装置は、図6に示されているように2レベルの認証システムにおいて、ビルディングに取り付けられたセキュアコンポーネントに対して認証されることもある。本システムにおいて、証明機関20は、デジタル証明書が関連付けられるビルディングの物理位置(又は、たとえば、ビルディングに接続されている回線35、ビルディング内の接続ポート、回線35に取り付けられているホームゲートウェイモジュール35などのようなビルディングに取り付けられているセキュアコンポーネントの位置)を認証するデジタル証明書70を供給する。これは第1レベルの認証である。第2レベルの認証では、ホームゲートウェイモジュール36が今度はビルディング内の各ユーザ装置を認証する。図6は、類似したシステムが図1から4の実施形態で利用されていてもよいが、図5の実施形態の2レベルの認証システムを、図5に示されているような適当な付加的なハードウェア及びソフトウェアと共に示している。
【0095】
図5の実施形態では、ホームゲートウェイモジュール36は、データ記憶モジュールに記憶されている特定のビルディングと関連付けられたエッジサイトデジタル証明書70に対応する鍵を有していてもよい。図5に示されているように、(電話会社若しくはTelcoのような)公益事業会社、又は、信頼できる証明機関は、代替的に、デジタル証明書70の対の相手方のデジタル証明書を格納しているハードウェアセキュリティ素子をビルディングユーザに供給することがある。ハードウェアセキュリティ素子は、USBドングル95、又は、セキュリティチップ、信頼できるプラットフォームモジュール(TPM)、スマートカードなどのようなその他のハードウェアセキュリティ素子でもよい。TPMはハードウェアベースのセキュリティをコンピュータ装置に提供するため使用される。典型的に、TPMは、チップに内蔵された暗号ハードウェア又は別個のハードウェアモジュールを含む。図4の実施形態では、セキュアUSBドングル95はホームゲートウェイモジュール36に組み込まれている。
【0096】
図5の実施形態では、ネットワーク通信を正常に動作させるため、暗号「署名」機能の実行が、認証機能が肯定的な結果を生じるように、ホームゲートウェイモジュール36と電話会社エッジサイトデジタル証明書70との間で成功し得る。これは、割り当てられたホームゲートウェイモジュール(又は、その他のタイプのルータ装置)が異なる物理位置で動作しないことを保証できる。暗号署名機能は、適当な暗号化ソフトウェア、たとえば、マサチューセッツ州ベッドフォードのRSA Security社によって供給されるソフトウェアを使用して実行されてもよい。この会社は、ネットワークアクティビティの実行が成功し得る前に、対の相手方であるデジタル証明書が適切に照合されることを保証する方法、技術及びアルゴリズムを有する。RSAスタイルの認証手続きが、本明細書に記載されている各実施形態で使用されていてもよい。一実施形態では、デジタル証明書認証手続きは、許可された機器がある物理位置から別の物理位置へ動かされていないことを検証するために使用される。
【0097】
ドングル95の代わりに、システムは、図5に破線で示されているように、ホームゲートウェイモジュール内のTPM96を利用してもよい。スマートカード、セキュアチップテクノロジーなどのような適当なハードウェアセキュリティ素子が、ホームゲートウェイモジュールをデジタル証明書70と安全に関連付けるために、ドングル95又はTPM96の代わりに使用されることがある。
【0098】
類似したハードウェア又はソフトウェアセキュリティ装置がビルディングと関連付けられた各ユーザ装置に設けられている。たとえば、セットトップボックス45は、証明書70に対する相手方となるデジタル証明書70を収容するスマートカード98のようなハードウェアベースのセキュリティ素子を有してもよい。スマートカード98は、代替的に、ドングル、セキュアチップなどによって置き換えられてもよい。パーソナルコンピュータ50は、デジタル証明書70に対する相手方を同様に収容している、図5に示されているドングル100、又は、スマートカード、TPM、セキュアチップなどのようなハードウェアベースのセキュリティ素子を有してもよい。
【0099】
無線装置55をサポートするために、ホームゲートウェイモジュール36は、ビルディング所有者及び/又はビルディング占有者に属している全ての無線装置55とのセキュア通信を可能にする固有の加入者識別モジュール又はSIM110を有してもよい。SIMカート又はチップは、顧客口座情報又は信用情報を記憶するセキュアメモリを収容している。各無線装置は、次に、セキュアソケットレイヤ(SSL)又は類似したテクノロジーを使用して、セキュアトンネル又はリンク114を介して、ホームゲートウェイモジュールだけのSIMカードと通信するように構成されているSIMカード112を有することができる。キャリアベースの無線装置内でオプションとして使用される加入者識別モジュールは、装置のサービス識別情報と、オプションとしてサービス請求信用度又はその他の課金情報を記憶する。典型的に、SIMは加入者を識別するため使用されるセキュア暗号化プロセッサである。セキュアトンネル114は、仮想プライベートネットワーク(VPN)、IPSec、又は、SSLトンネル若しくはその他の認証された、暗号化された通信リンク、又は、本発明によって説明されているようなプライベート内部通信リンクに基づいている可能性がある。セキュアトンネルは、有線通信路と無線通信路との間に接続されている2つのネットワークエンドポイントの間の仮想トンネルでもよい。
【0100】
システムの初期セットアップ時、又は、新しいユーザ装置が追加されるときいつでも、各ユーザ装置は、ユーザ装置のセキュリティ素子98、100、112を、ドングル95又はTMP96、及び、SIMカード110と関連付けられている同じデジタル証明書70と暗号的に関連付けるため、ホームゲートウェイモジュール36によって認証される。同様の手段が、各ユーザ装置を、ホームユニット80に記憶されているデジタル証明書70と関連付けるために図5の実施形態で使用されてもよい。これは、ビルディングホームユニット又はユーザ装置へのゲートウェイの第2レベルの認証を提供する。
【0101】
図5及び6の実施形態では、ビルディング内の機器は、DSLAMエッジサイト30でビルディングに割り当てられたデジタル証明書を介することによってのみ通信する。したがって、以下の通信路が確立される。
DSLAMエッジサイト1→DSLAMデジタル証明書1→ビルディング1
DSLAMエッジサイト2→DSLAMデジタル証明書2→ビルディング2
DSLAMエッジサイト3→DSLAMデジタル証明書3→ビルディング3
【0102】
一実施形態では、ビルディング2はDSLAMデジタル証明書1又は3と通信不可能であり、ビルディング3はDSLAMデジタル証明書1又は2(又は、デジタル証明書3以外のデジタル証明書)と通信不可能である。したがって、各ビルディング又は物理構造物は自分の固有のデジタル証明書を用いない限り通信できない。
【0103】
一実施形態では、図5に示されているように、Telco又は公益事業者データセンター10は関連付けられたデジタル証明書71をさらに有する。デジタル証明書71は、データセンターが接続されている各エッジサイト30に対して一意でもよく、又は、単一若しくは複数のTelcoデータセンターと関連付けられることがある。図5に示されている経路のような、各経路内のセキュリティ素子の全ては、認証機能が肯定的な結果を生じ、かつ、正常なネットワーク通信が行われるように、暗号的にアライメントされ同期させられる可能性がある。換言すると、ホストデジタル証明書71、エッジサイトデジタル証明書70、ホームゲートウェイドングル95又はTPM96、及び、STBスマートカードは、提供されるべき有料テレビジョンサービス又は映画のため暗号同期させられ得る。同様に、ホスト又はサービス運営者デジタル証明書71、エッジサイトデジタル証明書70、ホームゲートウェイドングル95又はTPM96、及び、PCドングル100は、PCとイネーブルにされるべきその他のネットワークサーバ又はユーザ60との間のセキュア公衆ネットワーク通信のため暗号的にアライメントされ同期させられる。最終的に、ホスト又はサービス運営者デジタル証明書71、エッジサイトデジタル証明書70、ホームゲートウェイSIMチップ110、及び、無線装置SIMチップ112は、行われるべき無線通信のため暗号的にアライメント同期させられ得る。ハードウェアセキュリティ素子が、改竄されるか、又は、ユーザ装置から取り外され、その後に、別の場所へ持ち込まれるならば、セキュリティ素子は適切なホームゲートウェイセキュリティ素子に接続できなくなるので、暗号アライメントは実行できない。全ネットワークトラフィックは、その他のネットワーク手続きが実行可能である前に、ホームゲートウェイモジュールにおけるデジタル証明書とセキュリティドングル95又はTPM96との間でRSAスタイルの認証手続きが成功することに依存している。
【0104】
図7は、図5及び6のシステムを使用する認証方法を説明するフローチャートである。最初のステップ200において、ユーザ候補又はクライアント候補は、サービスを使用したいという自分の意図を(公益事業会社によって提供されてもよく、又は、独立型認証サービスプロバイダ20であってもよい)認証サービスに通知する。認証サーバ20は、次に、電話会社若しくはその他のサービスプロバイダネットワークのような関連付けられたプライベートネットワーク、又は、代替的な実施形態では、専用認証ネットワークを使用して、ユーザ候補が位置しているビルディングに接続しようとする(ステップ202)。電話会社ネットワークが認証システムの一部として使用される場合、認証サービス20は、電話会社運営センター又はデータセンター10、ユーザ候補が位置しているビルディング40と関連付けられている電話会社エッジサイト30、及び、そのエッジサイトをそのビルディングのホームゲートウェイモジュール36に接続する専用回線35を介してビルディングに接続しようとする。接続が成功したならば、ビルディングの物理位置が、その住所及び/又は位置センサに関して電話会社によって保存されている記録があるならばこの記録を使用して、検証される(204)。一意のデジタル証明書70は、その後に、既知のPKI技術を使用して作成され(205)、このデジタル証明書70がリモート認証サービス20のデータベースに保存されている認証記録内でビルディングと関連付けられる。ステップ206において、一意のデジタル証明書70はエッジサイト30に供給され、エッジサイト30の恒久的なメモリ又はビルディングゲートウェイモジュール36に保存される。これは、図4のシステムにおいて説明されているような第1レベルの認証である。
【0105】
第2レベルの認証が次に実行される。一意のデジタル証明書と関連付けられ、証明書の鍵を格納しているハードウェアベースのセキュリティ装置は、ビルディング住所でサービスユーザに提供され、ビルディングゲートウェイモジュール内にユーザによって取り付けられる(ステップ208)。このセキュリティ装置は、そのビルディング住所への専用回線又はリンク35に物理的に接続されているゲートウェイモジュール36に取り付けられている場合に限り検証されるので、誰かがセキュリティ装置を盗み、他の場所に移そうとしても無駄である。セキュリティ装置はビルディング位置にある各ユーザ装置に取り付けるために提供されることもあり、これらの装置のセキュリティ鍵は、ステップ210において、ゲートウェイモジュール36のセキュリティ装置95、96又は110と暗号的に関連付けられている。同様に、これらのセキュリティ装置もまた装置がゲートウェイモジュール36内で適切な装置に局所的に接続されている場合に限り検証されるので、これらのセキュリティ装置は他の状況では使用され得ない。すなわち、デジタル証明書70を使用する全セキュアネットワーク通信は、識別可能な占有者及び/又は所有者を有する唯一の物理構造物と確実に関連付けられる。信頼の連鎖は、したがって、ネットワークから構造物40まで存在し、かつ、構造物40からユーザ装置及び関連したユーザまで存在する。
【0106】
高度の粒度が本システムを用いて容易に実現される。ビルディングが多数のテナントを有する場合、各テナントは、地主又はビルディング所有者が「親」ブランチであるツリー構造に基づいて発行された自分固有のデジタル証明書を所有することが可能である。認証モデルはこの場合には:ネットワーク→構造体→地主→テナントである可能性がある。このツリー構造は殆ど無限に拡張され得る。たとえば、人々は自分が関わりを持つ物理アドレスを所有せず、かつ、仮想プライベートネットワークを介して認証サーバに接続する事例では、有料で既存の物理アドレスとの関連付けを許可することが可能である。このようなサービスは、たとえば、Verisignのような会社によって現在使用されているようなインタビュープロセスの成功後に、ビルディング外部の加入者を検証するために追加的な対策をとることがある。
【0107】
図8は、認証サービスに加入しているユーザが、たとえば、安全な金融取引若しくは購入、安全な電子メール通信などのような商業目的のためのネットワークサーバ60を有するネットワークパートナー候補とのセキュア通信を実行することを希望するときに実行される認証ステップを説明するフローチャートである。システムは、たとえば、認証システムをオン又はオフに切り替えるために各ネットワークアプリケーションにおける優先設定を調整することによりセキュアネットワークの内部又は外部で動作するオプションをユーザに提供する。認証が必要とされないとき、たとえば、ユーザが単にインターネットにアクセスして色々な情報を閲覧しているならば、ユーザは認証サービスを起動しないことを選ぶことがある。セキュリティ又は認証サービスが起動されているとき、ユーザは、デジタル証明書の公開鍵をネットワークパートナー候補に送信することができる(ステップ250)。公開鍵は、プライベートネットワーク、プライベートネットワーク公益事業者サーバ10、公衆ネットワーク、又は、インターネット60の何れかを介して選択されたネットワークパートナー60へ送信され、或いは、(たとえば、図9の代替的な実施形態に示されているように)ビルディング40から公衆ネットワーク65への別の接続を介して直接的に送信され得る。ビルディングから出てインターネット及びその他の公衆又はプライベートネットワークへの同様の直接的な有線接続及び無線接続は図1の実施形態において設けられている。
【0108】
一実施形態では、認証サービスユーザは、認証サービスにアクセスするためにユーザ名及びパスワードの入力を要求される。これは認証システムに付加的なセキュリティのレベルを与える。本実施形態で提供されるセキュリティの3レベルは、(i)本人の知識(すなわち、ユーザ名及びパスワード)、(ii)本人の所有物(すなわち、USBドングルなどのような1個又は複数のハードウェアセキュリティ素子)、及び、(iii)本人の身元(ビルディング又は物理構造物に取り付けられたデジタル証明書がソースの確実な身元証明を行う)である。図1から4の実施形態では、第3レベルのセキュリティ(本人の身元)は、既存のIPアドレスポート番号のようなビルディングへの物理接続を特定することによって提供されている。
【0109】
公開鍵を受信した後、ネットワークパートナー候補は次に鍵の正当性を判定するために認証サーバ10へ問い合わせを行う(ステップ252)。認証サーバは、鍵がビルディングの実際の住所又は位置と関連付けられている有効なデジタル証明書70と適合するかどうかを検証可能であり(ステップ254)、たとえば、許可された機器をエッジサイトモジュール及び回線35を経由するプライベートネットワークを用いて、許可された機器がある物理位置から別の物理位置へ移されていないことを検証するためのステップも行うことがある。検証が成功であるならば、正常なネットワーク通信が許可される(256)。検証が不成功であるならば、通信は許可されない(255)。
【0110】
図9は別のレベルのセキュリティを提供するための図4及び5のシステムの変更を示している。この付加的なセキュリティレベルは図1から4のシステムにおいて提供されることもある。図9の実施形態では、ユーザ装置45、50は、ホームゲートウェイモジュールを介して、ビルディング40とエッジサイト30との間の専用回線35に接続され、(図1に示されているように)ホストネットワークにリンクされている別のネットワークにアクセスするためこの回線を使用する。ビルディング40は他の固定回線ブロードバンド接続280を保有し、ユーザ装置は、この接続を介して、コンテンツファイルを取得、送信し、さもなければ、通信することもある。この場合には、固定回線ブロードバンド接続280を介して受信される高価値コンテンツはセキュリティのため暗号化されるべきであろう。高価値コンテンツは通常は平文でSTB又はPC(すなわち、図9のセキュアプライベートネットワークの外側)へ伝達されない。固定回線ブロードバンド接続280は、インターネットを含まないケーブルネットワークのような実際のインターネットサービスを提供しないかもしれないシステムのため示されている。しかし、多くのアプリケーションでは、固定回線ブロードバンド接続280は通信回線35だけによって提供されている。
【0111】
無線装置55は、高速無線リンク又はソース290を介してコミュニケーションを送受信する。これは、IEEE 802.11、又は、携帯電話会社のようなプロバイダによって提供されるサービス、又は、ネットワーク若しくは通信ポートへの無線接続を提供するその他の無線通信キャリア若しくは無線通信機器のような無線ネットワーク又はサービスを表している。無線装置が、加入者を認証するための固有の方法を保有している携帯電話機サービスプロバイダのような他のキャリアからの無線サービスに加入する場合、本発明の方法は、ネットワーク全体により多くの認証及びセキュリティを提供する。しかし、別個の無線キャリアは本発明のシステム及び方法によって要求されていない。
【0112】
図9の変更された実施形態では、セッションベースの透かしソフトウェアモジュール300が、ビルディング内の1台ずつのセットトップボックス、コンピュータ、及び、無線装置のような各ユーザ機器45、50、55に組み込まれている。
【0113】
セッションベースの透かしソフトウェアは、ストリーミングされているか、又は、物理構造物40へダウンロードされているコンテンツファイルに行われる不法侵入行為、不正利得取得行為、海賊行為を明確に識別するために使用されている。ソフトウェアは別個かつ一意の透かしペイロードをユーザによってダウンロードされるコンテンツに設定する。透かしのペイロードは、コンテンツにアクセスし再生するため使用されたクライアント再生装置(STB、PC、PDA、携帯電話機など)を識別するために使用され得るクライアント固有識別子(又は取引IDなど)である。透かしペイロードは、コンテンツがどこへ配信されたかについてのさらなる証拠を提供するために、一意のデジタル証明書からのユーザの秘密鍵を用いて暗号的に署名されてもよい。これは、ユーザがコンテンツを他者へ無許可で配信するならば、このユーザが特定されることを可能にさせる。
【0114】
代替的な実施形態では、セッションベースの透かしソフトウェアは、ホスト又は電話会社データセンター又はサーバ10に位置しているコンテンツサーバ内に設置されることがある。各ストリーム又はダウンロードは、別個の物理構造物及び別個の装置45、50又は55に専用であるので、ホストデータセンター10で挿入された一意の透かしペイロードは、物理構造物40内でのデジタル海賊行為の抑止力として十分であろう。この代替案は、ダウンロードが、ビルディングへの別の接続へ直接的に向けられるのではなく、ホストデータセンターを介してビルディングへ向けられていることを要求する。顧客の秘密鍵を使用する透かしペイロード内の暗号署名は、ユーザ又は顧客がコンテンツ配信を要求し、コンテンツの保護の全責任を負っているというさらなる証拠を提供するために実施され得る。これは、コンテンツが人気のある公開共有サイトへアップロードされないようにする有用な抑止力である。
【0115】
全ての透かしがセッションベースで行われることが推奨されている。これは、個別のコンテンツストリーム又はダウンロード毎に一意にマークが付けられることを意味している。上述の第1の代替的な透かし方法では、クライアント又はユーザ装置はそれ自体が一意の透かしをその装置に達するストリーム又はダウンロード毎に挿入可能である。第2の代替案では、コンテンツサーバシステムは、一意の透かしを特定の装置(及びそれ以外の装置はない)を対象とするストリーム又はダウンロード毎に挿入可能である。
【0116】
その上、透かし内のペイロードはシステムが利用可能である鍵を使用して暗号的に認証される。一実施形態では、デジタル署名が透かしペイロードに追加され、すなわち、透かしペイロードはクライアントによって使用される秘密鍵を用いて暗号的に「署名」されている。ハッシング及びセッション鍵の使用のようなその他の方法も同様に使用され得る。透かしペイロードを認証するこの余分なステップは、自分の家又はビルディング内からのコンテンツの漏洩の責任を負った人の真正性及び過失性をさらに証明可能である。本願において使用されたときのデジタル署名という用語は、送信当事者又は受信当事者によって使用されるか、又は、受信当事者、証明機関、又は、その他の当事者によって認証され得る一意の暗号署名又は識別子を作成するために伝送路において使用され得るあらゆる技術を含む。メッセージハッシュ又はメッセージダイジェスト上でPKI暗号化を使用するメッセージダイジェスト5(MD5)、USセキュアハッシュアルゴリズム(SHA1)、及び、暗号技術に基づくその他のデジタル署名テクノロジーを含む利用可能な多数のデジタル署名の形式が存在する。どのようなタイプのデジタル署名でもデジタル署名のため利用され得るし、現在安全なデジタル署名技術又は将来のデジタル署名技術はどのような形式でも利用され得る。
【0117】
最もセキュアな環境であっても、コンテンツがネットワークから抜け出し、コンテンツ所有者の同意無しに公然と利用可能になる可能性が常に存在する。これは起こりそうもないが、海賊行為及び不法侵入行為がある場合に起こるかもしれないことを予想することが重要である。したがって、許可されていないコンテンツ漏洩の責任を負う人を確実に特定するように、コンテンツファイル内に目に見えないマークを設定するためセッションベースの透かしのような電子迷彩技術及び手続きを使用する方が有利である。
【0118】
図9のシステムの1つの可能なアプリケーションは、加入者が早期公開又は高精細度(HD)映画などをダウンロードすることを許可する際に存在する。主要な映画撮影スタジオなどは、デジタル海賊行為の実質的な危険性のために、自分の高価値デジタルコンテンツがインターネットを介して顧客に入手可能にすることを渋っていた。家電製品企業もまた、家電製品の価格を増加させる可能性があるので、価値のあるコンテンツを盗むことをより困難にさせるハードウェア及びソフトウェアテクノロジーを採用することを渋っていた。このことは、実質的にパーソナルコンピュータがHDコンテンツのため承認されていないことを意味する。このことの主要な理由は、HD映画がパーソナルコンピュータからインターネットへ容易にアップロードされ、ネットワーク接続を装備している世界のあらゆる人に提供される可能性があるからである。インターネット上には高度のレベルの匿名性が存在するので、デジタル海賊行為者は罰せられることなくこれらのアップロード操作を実行可能である。セッションベースの透かしソフトウェアが付加されている図9の認証システムは、これらの問題を解決し、かつ、コンテンツが無許可でさらに配信される危険性を殆ど、或いは、全く伴うことなく、許可されたユーザ装置上で見るため価値のあるデジタルコンテンツがインターネット経由で購入され得るようにするための実行可能な方法だろう。本発明のネットワークアーキテクチャは、ネットワークユーザが価値のある製品を消費することを望むときにネットワークユーザを確実に認証する。このネットワークユーザが公に利用可能なネットワーク上にコンテンツファイルを書き込むことを決定する(又は、別の類似した不法行為を始める)ならば、このネットワークユーザは、コンテンツファイルに付加された透かしに基づいて特定され得るので、逮捕される危険がある。これは、HD映画のような価値あるデジタルコンテンツのデジタル海賊行為又は無許可の配信行為に対する重大な抑止力であると共に、人々がこのようなコンテンツの合法的な販売を利用し、料金を支払うための動機である。
【0119】
図10及び11は、電力会社ネットワークが上述の実施形態における電話会社又はその他のサービスプロバイダネットワークの代わりに認証システムのための基礎として使用される、認証システム及び方法の代替的な実施形態を示している。クライアント電力消費量を記録する従来の方法は、安全な電気メーターボックスを各家庭又は各ビルディングに取り付け、請求書作成目的のため定期的な間隔でメーターを読み取ることである。しかし、世界中の電力会社は、自社の作業者がメーターを読み取るために各ビルディングを定期的に訪問しなければならない必要性を取り除くためネットワークテクノロジーを使用することを計画する。同じシステムは企業ネットワークを介して定期的なメーターの読みを伝送する計量システムを使用する水道会社又はガス会社と連携するであろう。
【0120】
図10のシステムは、電力会社のような公益事業会社が、各構造物40に所定の時間間隔でその電気メーターの状態について問合せを行うことを目的とするリーダー/トランスミッタ装置の確立されたネットワークを所有することを仮定している。この場合には、セキュアコンポーネント又はホームユニット80は、ローカル認証コントロールユニットのコンポーネント又は回路を収容するメーターボックス又は筐体を備える。ホームユニット80はビルディング又は物理構造物40の内部又は外部の何れかに安全に取り付けられている。コントロールユニットは、図9により詳しく示され、認証システムのローカル動作並びに公益事業会社のための計量動作を制御するように構成されている。コントロールユニットは仮想プライベートネットワーク(VPN)85を介してホスト又は公益事業者ネットワークサーバ84と通信する。近くにあるその他の認証コントロールユニットもまた、ネットワーク85を介してホストネットワークサーバと通信可能である。ホストネットワークサーバ84は、同様に、認証を実行する信頼できる証明機関又は認証サーバ20と通信可能であり、また、この機能は代替的な実施形態ではホストサーバ84自体によって実行されることがある。
【0121】
図11に示されているように、ボックス80内のセキュアコントロールユニットは、デジタル証明書70を保持するために十分な長期メモリ又はデータ記憶モジュール86と、暗号化ルーチンなどを保持する付加的な長期メモリ又はデータ記憶モジュール88と、データ記憶モジュール86及び88にリンクされている中央プロセッサ90とを備える。両方のデータ記憶機能は、代替的な実施形態では単一のモジュールに収容されていてもよい。メーター読み取りモジュール87は中央プロセッサ90にもリンクされている。コントロールユニットは、専用無線又は固定有線リンクを介してネットワーク85のアクセスポイントと通信するホスト通信モジュール92と、無線又は固定有線リンクを使用してビルディング内の顧客装置と接続する接続又はローカルユーザ通信モジュール又はルータ94とをさらに備える。
【0122】
ホーム又はビルディングユニットは、設置時にホストネットワークサーバ84によって特定の一意の物理位置又は住所と関連付けられるが、さらなるセキュリティが、全地球測位システム(GPS)センサモジュール又はその他のタイプの位置センサのような位置センサモジュール95をコントロールユニットに組み込むことによって提供されてもよい。位置センサは、ボックス80の地理位置を検証するために使用されることがある。ボックスがビルディングから分離されるか、又は、取り外されるならば、地理座標はデジタル証明書と関連付けられているビルディング位置と合致しなくなり、システムの改竄を即時に示す。これは、コントロールユニットが、データ記憶モジュール86に保存されている確定されたデジタル証明書70を使用する不正行為のため、その固定したビルディング位置から移され、別の位置へ持ち込まれることは起こり得ないことを保証可能である。この場合には、位置センサ95からの入力は、セキュア通信又はアクティビティがクライアント又はユーザによって要求されるたびにデジタル証明書70を認証するために、チェックされ、ボックス80が取り付けられていると考えられるビルディングの位置と比較される。図10及び11の実施形態では、デジタル証明書の対の相手方の鍵はデータ記憶モジュール88に記憶されていることがある。
【0123】
適当なソフトウェアが認証システムのユーザ又はクライアントエンドを動作させるためデータ記憶モジュール86、88及び/又はプロセッサモジュール90に設けられている。ホーム又はビルディングコントロールユニットの物理構造物又はエンクロージャは、容易に動かされることがなく、かつ、識別され得る人又は会社による所有権を明示する識別コード等を付けることができるように設計されている。たとえば、何者かによるボックス80への侵入又はボックス80の移動の検出時にデジタル証明書が取り消されるように、その他のセキュリティ手段が採用されることもある。
【0124】
上述の実施形態の場合と同様に、ホスト又は公益事業者ネットワークサーバ84は、認証サービスに加入している全ての物理構造物40からデータを収集し、デジタル証明書70を検証された構造物へ供給する信頼できる証明機関又はサービス運営者データベース/認証サーバ20にリンクされ、この情報がインターネット65(又はその他の公衆ネットワーク)を介する高速かつ効率的な問い合わせのため容易に入手できるようにする。図10に示されているように、物理構造物40内のユーザ装置は、信頼できる証明機関又は認証サーバ20のように、有線又は無線接続によってインターネット又はその他の公衆ネットワーク65とリンクされている。上述の実施形態と同様に、信頼できる証明機関サーバ及びデータベースは、公益事業会社自体によって、固有のネットワークサーバ及びデータベース84の一部として提供されるか、又は、図5に示されているように完全に別個のエンティティでもよい。
【0125】
図10におけるホーム若しくはビルディングユニット、又は、セキュアコンポーネント80は、ボックス80内のコントロールユニットに内蔵されていることがあるルータなどによって、ビルディング40内の種々のユーザ装置に接続されている。このような接続は、(限定されることはないが)イーサネット上のインターネットプロトコル(IP)でもよい。ソフトウェア及び通信モジュールは、構造物40と、電力会社のようなホストサーバ84との間で、構造物と、構造物内の装置45、50及び55、並びに、その他の電子装置のような構造物内の顧客又はユーザ装置との間で、セキュア両方向通信をサポートするように設計されている。図10の実施形態では、ドングル95のような付加的なセキュリティ素子が、図9の実施形態と同様に、ホームユニット80の中と、ホームユニットに接続されているユーザ装置の中とに組み込まれてもよい。
【0126】
定期的に、各ビルディングコントロールユニットは、メーターデータを、デジタル証明書70の状態を確認する情報と共に、ホストサーバ又は運用センター84へ報告する。デジタル証明書状態情報は、1箇所以上の中間データ収集ポイント又はネットワーク中継局を介して、(ホストサーバと別個であるならば)認証サーバ20へ伝達される。状態情報を受信し次第、認証サーバは、証明書が真正であり、改竄されていないことを検証するため用いられるデータベースを更新可能であるので、状態情報は、ビルディング40内の居住者又は労働者のためのネットワークトランザクションを検証するために使用され得る。定期的なデジタル証明書状態更新は、エッジサイトサーバからホストサーバへ送信され、その後に、認証サーバへ送信される。
【0127】
電力会社によって展開されているネットワークは、定期的に運用センターだけに報告することがあるので、瞬時ネットワーク要求がデジタル証明書に基づいてセキュアネットワークアクティビティを認証するために行われ得るように、デジタル証明書を認証することによって獲得された情報を使用可能である大規模セキュア大容量サーバが配備されることが重要である。
【0128】
認証ネットワークがセットアップされると、認証ネットワークは、有料テレビジョンサービスを使用するセットトップボックス45の認証、電子メール能力を有するユーザ装置に対するスパム電子メールの不存在の検証、インターネット電子商取引トランザクションの認証、身元盗用の削減、及び、その他のタイプのネットワークベースの不正行為の削減のため使用され得る。
【0129】
これまでに、チップレベルでネットワークユーザを認証するために数々の有意義な取り組みが発表された。これらの取り組みは、主として個人プライバシーの保護に関する口やかましい懸念のために実施されなかった。これは、認証装置が人の意思に反してその人に押し付けられ、クライアント装置内に隠されているという事実に起因していた。これに反して、本発明の認証システム及び方法は、クライアント又はユーザによって特に要求されない限り導入されることがなく、クライアントによって自由自在にオン又はオフが簡単に切り替えられる。当然ながら、システムが起動されていないとき、クライアントは、インターネット又はその他の公衆ネットワークを介するセキュアトランザクションのためこのレベルの認証を要求する他のネットワークサービス又はユーザと取引できない。
【0130】
さらに、クライアントは、認証を受けるために、図5から11の実施形態ではクライアントのビルディングに割り当てられたデジタル証明書と関連付けられているかもしれない公開鍵、或いは、図1から4の実施形態では接続回線識別子を、ネットワークパートナー候補へ送信可能であることだけを必要とする。住所、電話番号、又は、ビルディングに関するその他の特有の情報のような個人情報は要求されない。ネットワークパートナー候補から認証サーバへの問い合わせは、信頼のための適切な根拠が存在するならば、肯定の応答を返し、信頼の根拠が存在しないならば、否定の応答を返す。
【0131】
認証システムを使用する人が不法行為を行っているならば、適切な機関は、認証サービス本部に記憶されているデータから、ビルディングの実際の住所に関する情報、並びに、ビルディング所有者/ユーザ情報を取得する能力を有し、適切な措置を講じることが可能である。これは、ウェブ上で行われている不法行為を見つけ出し、検証するために現在の技術水準の司法手段を使用することと違いがない。
【0132】
本システムを用いると、ホーム又はビルディングは、リモート認証サービス又はデータセンターを用いてそれ自体が本物であることを証明するだけでよい。ホーム内のユーザ装置は、単一のビルディングゲートウェイ、セキュアゲートウェイモジュール、ルータ、モデム、又は、スイッチ(図1から9)のような顧客宅内機器、又は、図10及び11の場合のような複合型のメーター及びセキュリティコントロールユニット80に対して本物であることが証明される。今日の公益事業会社が居住環境内の個々の賃貸人に、又は、オフィス又はビジネス環境内の個々のユーザにサービスを提供するときに同時に、本発明の認証サービスは均一レベルの粒度を提供可能である。ビルディングの所有者は構造物全体の責任を負う必要はないが、個々の賃貸人が各賃貸人に割り当てられたデジタル証明書によってそれぞれのエリアの責任を負うように要求することができる。これは、階層構造を作成し、個々のデジタル証明書及び鍵を各ユーザ又は賃貸人に発行することによって容易に実現され得る。
【0133】
図12は、マーチャントウェブファーム又はサービスプロバイダにリンクされているシステムを表す図9の認証システムのより詳細な説明図であり、図13は登録済み加入者が図12に示された経路を介してマーチャントからのサービスを注文するときの認証手続きを示すフローチャートである。本実施形態は、ビルディング40への固有の有線又は無線接続35を識別するために実際のデジタル証明書70を使用するが、セキュリティ証明書は、その代わりに、図1から4に関連して上述されたような方法で、すなわち、コンピュータデータ構造又はデータベースレコードに組み込まれているような物理接続IDを識別し、この物理接続IDを、接続IDを用いて通信する加入者を認証するための「証明書」として使用することにより、確立されてもよい。
【0134】
ホーム又はビルディングのデジタル証明書70は、使用されるとき、単一のデジタル証明書でもよく、又は、物理構造体40と電話会社又はホストエッジサイト30との間に分散されてもよく、図6と関連して説明されているように、独立型でもよく、又は、証明書のチェーンを提供するために物理構造体内のネットワーク素子と組み合わされてもよい。デジタル証明書が物理構造物40とエッジサイト30との間に分散されているとき、結合が構造物40とエッジサイト30との間の物理接続に基づいて、又は、エッジサイト30と物理構造物40との間に確立された暗号的に安全な接続を用いて行われ得る。以下の説明の目的のため、「デジタル証明書」という用語は、図1から4と関連して上述されているように、X.509証明書のような実際の組み込まれたデジタル証明書でもよく、又は、ホーム又はビルディングをネットワークエッジサイトに接続する通信回線、若しくは、このような回線を介して通信を受信するポートとの間に定められた関連性でもよい。
【0135】
エッジサイト30と、ビルディングゲートウェイ、ルータ、モデム又はスイッチ36との間の通信回線35は、これまでの実施形態と関連して説明されているように有線でも無線でもよい。無線通信が使用されるとき、通信回線35は、無線接続と、シリアル番号、SIMカード、スマートカード、クライアント装置内のセキュアメモリ、ネットワークMACアドレス、又は、サービスプロバイダなどのための無線装置(携帯電話機、無線モデム、又は、その他の無線装置)を規定するために使用されるその他の識別子のようなある種のクライアント装置固有情報との組み合わせを使用して確立され得る。
【0136】
図12は、物理構造物と関連付けられているユーザ装置からマーチャント又はサービスプロバイダまでの通信路を示している。ホストデータ又は運用センター10とエッジサイト30は、インターネットのような如何なるタイプの物理ネットワーク又は無線ネットワークでもよいネットワーク400にリンクされている。マーチャントネットワーク470のエッジサイト450を含むエッジサイト30に類似している様々なネットワークエッジサイト410は、通常の方法でネットワーク400にリンクされている。マーチャントネットワーク470はマーチャント又はビジネスロケーションのためのコンピュータネットワークである。実施例には、www.ebay.comの処理を提供するコンピュータ装置の分散型集合として記述可能であるEBAY(登録商標)コンピュータネットワークが含まれる。別の実施例は、電磁商取引ビジネスサイト又は教育サイトのための分散コンピュータ処理であろう。マーチャント電子商取引ウェブファーム又はデータセンター483は、マーチャントルータ又はネットワークスイッチ480を介して、マーチャントネットワーク470にリンクされている。マーチャント電子商取引ウェブファームは、電子商取引サイトのような、マーチャントのビジネス又はサービスプロセスを実行するコンピュータのクラスタである。ネットワーク470にリンクされているだろう1つの特有のタイプの電子商取引ウェブファームは、映像配信サービスを、ホームゲートウェイモジュール36を介して、STB、スマートカード、PC、キャリアベース無線装置などのような加入者装置に提供するコンピュータのクラスタであるビデオオンデマンドサーバファーム490である。ビデオオンデマンド(VOD)サーバファーム490は、その他の形式のコンテンツ及びメディアを配信可能であり、ビデオコンテンツに限定されない。ビデオオンデマンドサーバファームは、あらゆるタイプの電子商取引インターネットサイト、教育インターネットサイト、スポーツインターネットサイト、顧客登録インターネットサイト、又は、その他のインターネットサイトを表している。
【0137】
本実施形態では、ユーザ又は加入者とサービスプロバイダとの間の認証された、又は、信頼できる通信路は主要なネットワークコンポーネントに埋め込まれたセキュリティ認定書でもよい。認定書は、装置に物理的に接続されている識別子若しくは証明書でもよく、又は、Telcoのような第三者によって提供される関連付けられた認定書でもよい。認定書は、図5から11の実施形態の場合のようなx.509デジタル証明書でもよく、図1から4と関連して上述されているような、Telcoエッジサイト30から物理構造物40への1つの特有の物理接続を識別するセキュリティ認定書でもよい。主要なネットワークコンポーネントの認定書は、ある特定のネットワークエンドポイント(クライアント又はサーバ)、又は、2つのエンドポイント間のメッセージが、既知のネットワークに由来するか、又は、図1から11と関連して上述されている技術の何れかを使用して物理ネットワーク接続(通信回線305又は35)に基づいて認証されている既知のネットワークロケーションであることを認証するために使用される。信頼できる通信路内の検証済み認定書は、物理構造物40への単一の通信回線35の正当性を認める程度でもよく、又は、たとえば、PC50からマーチャントネットワーク470までの通信路内の複数のエンドポイントの正当性を認める程度でもよい。認定書は、物理構造物40のセキュリティ認定書を検証するためにTelco又はその他のホストデータセンター10にアクセスすることによって検証可能であり、或いは、検証は、独立した第三者電子商取引認証サイト420によって、又は、ビルディングセキュリティ認定書を検証する信頼できる証明機関又は認証サーバ20によって実行されることがある。
【0138】
クライアント装置(STB45)及びマーチャントネットワーク470のようなネットワークポイントを物理的に接続する経路内のネットワークエッジサイト(たとえば、図12における要素450及び30)の正当性確認といった、信頼できる経路の付加的な要素が認証プロセスに追加されてもよい。信頼できる経路通信は、インターネットサービスプロバイダ(ISP)、ネットワークアクセスポイント、ファイババックボーン、高速グローバルインターネット通信回路、大洋横断通信、衛星及びマイクロ波通信回路又は経路などをはじめとして、通信ネットワーク内の多数の主要な要素を含むことがある。
【0139】
一実施形態では、2回の通信路認証が2台のネットワーク装置の間に信頼できる経路を確立するために実行されてもよい。本書中で使用されている「信頼できる経路」という用語は、トランザクションに関与している一方又は両方のネットワーク装置が、物理銅線ペアに接続されているような既知の位置にあることを意味する。物理構造物40の場合には、既知の位置は通信回線305又は35である。マーチャントネットワーク170の場合には、既知の位置はネットワークエッジサイト450をマーチャントネットワークに接続する物理回線455であり、たとえば、T1回線のような専用電話接続でもよい。装置に関連付けられている物理接続のセキュリティ認定書は加入者チェックの一部として使用され、加入者は、加入者の関連付けられたデジタル証明書又は物物理構造物40の理接続IDが予想される関連性と一致するならば、本物であると判断される。物理構造物40のデジタル証明書に対する物理構造物40の予想される関連性は、加入者がサービスに登録するとき、又は、加入者名及び/又は住所が登録若しくは電子商取引トランザクション中に使用されるときに確立され得る。エッジサイト30及び450のようなエッジ(周辺)装置は、Telcoへのクライアントの既知のオンランプ接続、及び、ネットワークエッジサイト450からマーチャントネットワーク470へのオフランプ接続に備えて、認証を受けることが可能である。加入者物理通信回線35真正の認証と、Telcoエッジ30への接続及びマーチャント接続(マーチャントネットワーク470へのネットワークエッジサイト450)に加えて、クライアントは、PC50に取り付けられたドングル(100)、又は、ホームゲートウェイ36内のSTB45若しくはTPM96に取り付けられたスマートカード98、又は、ホームゲートウェイ36に接続されたセキュリティドングル95、又は、その他の付加的なセキュリティ認定書を使用してさらに認証され得る。
【0140】
エッジ装置30、450を越えたネットワーク装置の付加的な認証もまた認証ネットワークの認証強度を高めるために設けられることがある。実施例は、(ホスト又はTelcoエッジサイトがTelcoデータセンターを介して通信するときの)Telco又はホストデータセンター10の認証と、(ネットワーク400として示されている)その他のネットワーク伝送及び通信機器の認証とを含む。
【0141】
無線装置55は、無線ソース290を介して無線装置内のSIMカード112を認証することにより、又は、無線ソース290への伝送路を認証することにより、信頼できる通信路を提供するために認証されることがある。無線装置55とマーチャントネットワーク470との間に信頼できる経路通信を確立するために、無線ソース290は、もし存在するならば、SIMカード112を使用して、又は、無線ソース若しくはサービスプロバイダ290によって使用されるその他の認証方法を用いて無線装置18を認証することがある。キャリアベース無線装置55がマーチャントネットワーク470を認証しているとき、無線装置はマーチャントネットワーク470のデジタル証明書を使用することがあり、クライアントがマーチャントネットワーク470を認証しているときに、オプションとして、マーチャントネットワーク460へのネットワークエッジサイト450接続の認証を含む可能性がある。
【0142】
図12は、無線キャリア又はサービスプロバイダのための簡略化されたブロック図形式の要素又はモジュール290を示しているが、無線ソース290の内部の詳細は、キャリアベース及び非キャリアベースの通信ネットワークで典型的に使用される全てのネットワーク及び通信機器を含む可能性がある。信頼できる経路通信は、無線ソース又はキャリアネットワーク290内の単一のノード、又は、複数のノードによって実行される認証を含むことがある。さらに、キャリアベース無線装置55は、無線装置55によって単独に、又は、無線ソース290によって、又は、両者と第三者認証エージェント(別個のエージェント、証明機関(CA)、又は、それ以外)との組み合わせによって認証され得る。
【0143】
信頼できる経路通信は、SIMカードが無線装置55に存在しないときには、無線装置55によって実現されることもある。無線ソース290は、無線装置55を認証するために無線サービスプロバイダによって通常使用されている標準的な加入者認証を実行可能であり、無線ソース又はサービスプロバイダ290はキャリアベース無線装置55の状態又は識別情報をチェックするために使用され得る外界へのインターフェイスを提供可能である。無線ソース290は、無線装置55が認証済みであることを示唆するメッセージを追加可能であり、無線装置55が盗難されたこと、又は、危うくされていることを報告されているかどうかに関する情報を提供可能である。無線装置5が無線ソース290によって認証されたならば、無線ソース290は無線装置認証結果を第三者証明機関、認証サーバ20、マーチャント電子商取引ウェブファーム483、又は、その他のサービスプロバイダへ提供可能であり、或いは、等価的なクライアント認証を実行し、又は、クライアント認証に関する詳細を提供する。
【0144】
SIMカード又は等価的なセキュリティ素子を含まない無線装置55の場合には、無線ソース290は、SIMカードの欠如を認証サーバ、CA機関、及び、無線装置55の認証に関わるその他のエージェント又はコンピュータに知らせることがある。無線装置セキュリティ素子(SIM、その他のセキュリティ素子、又は、何もない)についての通知は、信頼できるCA、認証サーバ、又は、等価的なエージェントによるクライアント認証の強度を示すために使用可能であり、この情報は、マーチャントネットワーク470が無線装置55を認証しているときに、マーチャントネットワーク470へ提供される。
【0145】
一実施形態では、クライアント装置(STB、PC、又は、無線装置)は、マーチャントの典型的な電子商取引認定書を使用することに加えて、回線35と同様に物理回線455を認証することによりマーチャントネットワーク470への接続を認証するためにセットアップされる。情報は、信頼できるCA、認証サーバ又はサービス、クライアント装置がクライアント装置とマーチャントネットワークとの間のネットワーク経路が正しい物理回線(本実施例では、回線455)の上に確立されていることを検証できるようにさせるエージェント又はマーチャントネットワークサービスプロバイダ(図示せず)から、クライアントによって取得され得る。このような信頼は、信頼できるCA又は認証サーバ20、マーチャントネットワーク470にサービスを提供するホストネットワーク10、又は、物理回線455を認証するか、クライアント装置によって検証可能である認定書を物理回線455に与える第三者エージェント又は認証サービス420によって確立されている。
【0146】
以下の説明では、「ホームベース認証済み装置」という用語は、ネットワークエッジ装置からホーム、アパートメント、若しくは、ビジネスへの物理接続を介して、装置を認証するために使用される物理接続への関連性と関連がある住宅用又はビルディングネットワーク内のパーソナルコンピュータ(たとえば、PC50)、その他のコンピュータ、個人情報端末すなわちPDA(図示せず)、セットトップボックス(たとえば、STB45)、デジタルビデオレコーダ(DVR)(図示せず)、又は、その他の消費者タイプ製品(テレビジョン、ラジオ、ビデオプレーヤ、プロジェクタ)を記述している。この場合には、「ホーム」という用語は、人々が居住又は労働している物理構造物又はビルディングを意味している。
【0147】
ホームベース認証済み装置は、ホームゲートウェイモジュール36、並びに、セキュリティドングル95、SIMカード110、及び/又は、TPM96付きのホームゲートウェイモジュールのようなホームネットワークインフラストラクチャ品目を含むこともある。本願において使用されているようなホームゲートウェイ又はホームゲートウェイモジュールという用語は、ネットワークルータ、ネットワークスイッチ、DSLモデム、ケーブルモデム、ファイバ・ツー・ザ・ホーム(FTTH)ネットワーク機器、ダイアルアップモデム、ファイバ・ツー・ザ・カーブ(FTTC)/FTTC機器、衛星受信機、その他のモデム又はネットワーク通信機器のようなどのようなホームネットワーキング装置にも適用される。物理的関連性は、装置への物理接続によるか、又は、無線サービスプロバイダによって提供される無線認証の関連性による。
【0148】
高価値トランザクション上の機能強化されたセキュリティの場合、ユーザは、信頼できる又は認証済みの通信経路を介して接続しているクライアント装置のキーパッド又はキーボードを用いて、パスワード、PIN又はセキュリティコードのような付加的な情報を提供するように要求されることがある。
【0149】
一実施形態では、認証システムは、認証済みトランザクションが要求され、かつ、認証済みトランザクションの伝送路もまた認証済みであることをネットワーク装置が自動的に検出できるように構成されている。これは、既存のプロトコルに適当な拡張を加えること、新しいプロトコルを開発し指定すること、別個のメッセージトランザクションを実行すること、問い合わせをされる可能性があるネットワークポイントにセキュアインターフェイスを設けること、クライアントからサーバへ流れるメッセージに付加されたセキュリティ情報が付加されている付加的なメッセージカプセル化を追加すること、及び、通信回線35から物理構造40内のSTB45のようなクライアント装置への物理接続をチェックする認証装置(マーチャントネットワーク470)との間のネットワーク経路を決定することによって実現され得る。
【0150】
一実施形態では、物理接続認証は2つのエンドポイント間の初期通信確立中に実行される。2つのエンドポイントは、たとえば、STB45とマーチャント電子商取引ウェブファーム483でもよく、或いは、どのようなユーザ装置とネットワークサービスプロバイダとでもよい。物理接続の認証後、2つのエンドポイントは、その後に、エンドポイント間で対称暗号化を使用可能である。これは、セッション鍵ペアが2つのエンドポイント間で生成される前に、セキュアな認証済み通信路が検証されることを意味する。初期セットアップ中に認証だけを実行することは、2つのエンドポイントがオープンインターネット内にあるときであっても、セッション鍵が2つのエンドポイント間で交換される前に、信頼できる既知の通信路を提供する。本発明の別の実施形態は、2つのエンドポイント間のメッセージ通信のためセッション鍵を使用することがなく、むしろ、2つのエンドポイントが各ネットワークエンドポイントの認証済み秘密鍵/公開鍵ペアを使用するPKIベースの非対称暗号化を使用可能である。
【0151】
別の選択可能な方法は、信頼できる経路認証セッションが要求され、ネットワークルータと、スイッチと、DSLAMと、ブロードバンド・ループ・キャリアBLCと、無線セルサイトと、無線ルータと、無線スイッチと、DOCSISネットワーク機器と、ネットワークアクセス機器と、その他のエッジ及びネットワークインフラストラクチャ機器のようなネットワーク機器によって自動的に取り扱われることを示すために、トリガー又は識別子が追加されることである。トリガーは、クライアント、又は、サーバ、又は、クライアント及びサーバ、又は、付加的なネットワーク機器が、新しいプロトコル、又は、2つのネットワークエンドポイントの間で送信されているメッセージの自動カプセル化の何れかを使用して、ネットワーク経路認証情報をトランザクションに付加すべきであることを示す。信頼できる経路認証セッションの要求の自動検出は、STB45、ホームゲートウェイ36、PC50、キャリアベース無線装置55、VODサーバファーム490、又は、顧客サイト若しくは商業サイトにある類似したタイプのコンピュータ若しくは装置のような何れかのタイプのネットワーク装置の要求に基づいて行われる可能性がある。自動検出は、既存のネットワーク、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、非同期転送モード(ATM)、ダイアルアップモデム、DSL、DOCSIS、衛星通信プロトコルの拡張に基づいているか、又は、新しい認証固有通信プロトコルを定義することによる。認証プロトコルの自動検出は、TCP/IP又はセキュアソケットレイヤ(SSL)のような既存のプロトコルに基づいているとき、信頼できる経路認証が要求されていることを指示するエンハンスメッセージを利用可能である。
【0152】
上述されているように、認証のためのX.509ベースのデジタル証明書の使用は選択可能である。認証の重要な要素は、ネットワーク装置を検証する際に物理エンドポイント接続を使用可能であるリモートサーバへその後に供給される物理的なエンドポイント認証情報を提供する、1台以上のコンピュータ装置(STB45、PC50、ホームゲートウェイ36など)を収容する物理構造物40への物理通信回線305又は35の関連付けである。物理構造物40及び物理構造物40内の装置への通信回線35の関連付けは、X.509証明書の使用とは無関係に確立可能であり、(非X.509ベースの証明書を使用して、又は、簡単な関連性データ構造を使用して)X.509規格を使用しなくても確立可能である。通信回線35又はその他のセキュアコンポーネントと物理構造物40内のコンピュータ装置の関連付けは、スマートカード、セキュアメモリ、暗号化コプロセッサなどが存在しない場合に、加入者の認証を非常に改善する。
【0153】
一実施形態では、認証システムは、ホーム又は加入者と関連付けられているセキュリティ素子が無くても、クライアントをホーム/加入者への物理接続に関連付けることにより信頼できる経路通信を提供する。このことは、物理接続情報がクライアント装置セキュリティ素子を取り除くために使用可能であること、又は、クライアント装置セキュリティの認証を改善するためにこのような素子と共に使用されてもよいことを意味する。
【0154】
図12及び13を参照し、ホームゲートウェイモジュール36、通信回線35及びTelcoエッジサイト30と共にSTB45を使用すると、認証又は信頼できる経路は、STB45及びホームゲートウェイ36内のセキュリティ素子に依存することなく、以下の通り確立されることがある。STB45は、有線又は無線通信技術を使用してホームゲートウェイモジュール36に繋がり、マーチャントネットワーク470に接続されているマーチャント電子商取引ウェブファーム483と呼ばれる場所にあるアプリケーションサーバとの接続を開始する。STB45がホームゲートウェイモジュール36に繋がるとき、ホームゲートウェイモジュール36は、NAT(ネットワークアドレス変換)によって提供されるようなIPアドレス変換を実行するので、STB45のIPアドレスはホームゲートウェイモジュール36によってTelcoネットワークに供給されたIPアドレスと異なる。STB45は、マーチャントウェブファーム483に繋がり、STBシリアル番号、MACアドレス、パスワードの有無にかかわらないユーザIDのような1個以上の安全でないIDを供給する。認証を要求するサービスのための接続メッセージを受信し次第、マーチャントウェブファーム483は、Telcoエッジサイト30を物理構造物40、ホームゲートウェイモジュール36、及び、STB又はユーザ装置45を接続する物理通信回線35を識別可能である。マーチャントウェブファームは、後で詳述されているように、トレースルートマッピング又はその他の接続識別方法(IPアドレスルックアップなど)を用いて、Telcoエッジサイト30を加入者STB45のためのホームゲートウェイモジュール36に接続する通信回線35を識別可能である。
【0155】
Telco又はホストエッジサイト30は、物理構造物40の正体を明かすことなく、IPアドレス又はNAT変換アドレスを通信回線35の恒久的な識別子にマッピングすることができるマッピングルックアップ機能を提供可能である。このような識別は、物理構造物40のため恒久的であり続けるが、しかし、Telcoデータセンター10又はTelcoエッジサイト30上で動いているDHCP又は同等物に起因して、実際のIPアドレスの観点では一時的である、通信回線35のためのTelcoデータセンターNAT後にアドレス変換されたIPアドレスを使用可能である。この恒久的な関連付けは、加入者がマーチャントによって提供されるサービスをマーチャントウェブファーム483に登録するときに、マーチャントウェブファーム483が物理回線35を加入者に関連付けることを可能にする。1つの可能な関連性モデルが以下の表1に記載されている。
表1−加入者関連性モデル
【表6】
【表7】
【表8】
【0156】
上記実施形態の認証システム及び方法は信頼できる経路通信と呼ばれることがある。一実施形態では、認証又は信頼できる経路通信方法と、信頼できる経路認証が要求されていることを示すために使用される標準的なメッセージは、物理レイヤ、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤ、セッションレイヤ、又は、プレゼンテーションレイヤのような、開放型システム間相互接続(OSI)の7層ネットワークの何れのレイヤでも追加され得る。自動的な信頼できる経路認証を提供するためにコンポーネント及びソフトウェアが機能強化されたネットワーク機器は、OSI7層ネットワークモデルの適切なレイヤにおける認証要求を自動的に検出可能である。その他のネットワークレイヤモデルが使用されるとき、信頼できる経路認証はネットワークモデルの何れのレイヤでも、又は、複数のレイヤに追加され得る。SSLのような既存のプロトコルの自動認証インジケータに追加されるトリガーは、認証されていないネットワークパケットを、認証データヘッダを含む新しいパケットヘッダ内にカプセル化することにより、又は、(認証されていないネットワークパケットをカプセル化しない)付加的なパケットを機能強化された認証データ(アウトオブバンドメッセージ)と共に送信することにより、付加的な認証データが追加されるべきことをネットワーク機器に指示可能である。信頼できる経路ネットワーク機器は、以下で詳述されているように、信頼できる経路通信セッションが要求されていることを検出することができ、適切な信頼できる経路セキュリティ又は認証方法を自動的に適用することが可能である。
【0157】
認証済み又は信頼できる経路通信セッションを確立する可能な方法は多数あるが、適用された方法への手掛かりは、信頼できる経路ネットワークの機能強化された機器が、通信ネットワーク機器が検証された真正ネットワーク経路として識別されるという結果を生じるある種の処理を実行することである。ある特定のネットワークレイヤにおけるコンピュータネットワークソフトウェア又はハードウェア設計の当業者は、認証方法及びシステムを確立するために後述されている技術を適用可能である。OSIの7層ネットワークモデルの種々のレイヤで適用可能な一般的な技術は以下の表2に概説されている。信頼できる経路通信又は認証済み経路通信を確立するために必要とされるハードウェア及びソフトウェアは、単一のモデルレイヤに完全に付加されるか、又は、2層以上のモデルレイヤに分散させられることがある。2つ以上のモデル例が以下の表に記載されているとき、当業者は単一レイヤだけで特定の機能を実施可能であるということ、たとえば、信頼できる経路通信をアプリケーションレイヤ(レイヤ7)のハイパーテキストトランスファープロトコル(HTTP)機能に追加することがさらに考えられる。
表2−信頼できる経路通信を確立するためにOSI7層ネットワークモデルの異なるレイヤに適用される可能な認証技術
【表9】
【0158】
ネットワークプロトコル又はアプリケーションが本明細書に記載されているような認証システム及び方法をサポートするために変更され得る多数の異なる方法が存在する。図13は、セキュア又は信頼できる通信経路を設けるために、ユーザ装置からマーチャント又はサービスプロバイダへの経路を認証する1つの方法を示している。ステップ500において、注文が図12におけるPC50のような物理構造物内のユーザ装置から1つ以上のネットワークを介してマーチャント、たとえば、VODサーバファーム490、又は、何れかのタイプのネットワークサービスプロバイダへ送信される。1つの可能な実施例では、アプリケーションレイヤはPC50内のネットワークソフトウェアに接続し、信頼できる経路認証を要求する(ステップ502)。注意すべきことは、本実施例では、アプリケーションは、加入者の認証が映像を注文するために必要とされることを知っていることである。アプリケーションソフトウェアがこのステップを自動的に実行しないならば、マーチャントネットワーク470は認証クライアント要求コマンドを使用することによりクライアントを認証可能である。信頼できる経路認証の要求はアプリケーションレイヤに由来しなくてもよい。PC50は、信頼できる経路認証が実行中であることを知っていることさえ必要ではなく、サーバ側(マーチャントネットワーク470)だけが信頼できる経路を検証するために情報を要求可能である。ネットワークソフトウェアは、信頼できる通信経路の認証の要求を受信し、希望のエンドポイントと信頼できる経路を確立するプロセスを開始する。この場合には、エンドポイントは、VODサーバファーム490又はマーチャント電子商取引ウェブファーム483のような、ユーザが接続することを希望するリモートマシーンを識別する。
【0159】
Telco又はホストエッジサイト30は、通信回線35を介してホームゲートウェイモジュール36を経由してPC50から「信頼できる経路確立接続」メッセージを受信する。一実施形態では、エッジサイト30はノード固有認証を信頼できる経路確立接続メッセージを付加するように構成されていてもよい。ノード固有認証情報は、(デジタル証明書を用いるのではなく)ユーザを認証する際に用いられる通信回線IDを生成するために、ビルディング40への物理回線35を識別可能である。代替的に、エッジサイト30は、物理接続を検証するために使用され得るアプリケーションプログラムインターフェイス(API)又はウェブサービスを提供可能である。
【0160】
Telco又はホストエッジサイト30は、PC50が通信をしているサーバ/ウェブサーバファームエンドポイントから信頼できる経路を認証するために要求を受信することも可能である。本代替案では、マーチャントネットワーク470はクライアントIDをエッジサイト30又は同等物へ送信可能であるので、エッジサイトはマーチャントネットワーク470が認証することを希望する加入者を識別可能である。マーチャントウェブサイトは、信頼できる、又は、認証済みの経路が確立されることを可能にすることになるホスト又はTelcoから認証情報をさらに要求することができる。
【0161】
一実施形態では、マーチャントネットワークエッジサイト450は、Telcoエッジサイト30から、ノード固有認証情報を含む信頼できる経路確立接続又はメッセージを受信する。ネットワークエッジサイト450はネットワークエッジサイトノード固有認証情報をメッセージに追加する。複数のノード固有認証はこのようにして信頼できる経路確立接続メッセージに適用され得る。
【0162】
マーチャントネットワーク470は、その後に、エッジサイトのノード固有情報と共に信頼できる経路確立接続メッセージを受信し、その後に、信頼できる証明機関若しくは認証サーバ20、又は、第三者認証サービス420による信頼できる通信経路の検証を要求可能である(ステップ504)。マーチャントネットワーク又はウェブサイトは、STB45又はPC50のようなユーザ装置がマーチャントネットワーク470に接続するときに、Telcoによって供給された信頼できる経路情報を認証するように信頼できるCAに要求する。信頼できる経路認証メッセージは、たとえば、暗号化されたタイムスタンプ、メッセージシーケンス番号、及び、オプションの乱数を用いてデジタル署名され、マーチャントネットワーク470がTelco又は信頼できるCAからのメッセージを一意に識別することを可能にさせる。
【0163】
証明機関(CA)又はその他の認証若しくはセキュリティサービスは、マーチャントネットワーク470から「信頼できるパス認証」要求を受信し(ステップ505)、経路が信頼できるかどうかを決定する(ステップ506)。CAからのメッセージは、リプレイ攻撃を排除するためにメッセージシーケンス番号及びタイムスタンプと共にCAの秘密鍵を用いて暗号化又は署名される。証明機関、又は、別個の、若しくは、第三者認証サーバが、本ステップにおいて参照されるが、信頼できる経路の認証のため必要とされるソフトウェア及びハードウェアがその代わりにTelcoデータセンター10に設けられることがあり、その場合にはTelcoデータセンターは経路が信頼できるかどうかを指示する応答をマーチャントネットワーク470へ供給可能である。経路が信頼できないならば、マーチャントはトランザクションを終了することを選択してもよい(ステップ507)。
【0164】
マーチャントネットワークがCA又は類似した認証サーバからの信頼できる経路要求認証への肯定的な応答を受信するならば、メッセージはCAの公開鍵を使用して正当性が確認され、マーチャントネットワークは、経路認証要求がCAに対して最初に行われたときに、マーチャントネットワークによって付加されたタイムスタンプ、メッセージシーケンス番号、及び、乱数の正当性も確認可能である。マーチャントネットワーク470は、PC50の公開鍵を使用して、PC50との通信に使用するためのセッション鍵を暗号化することも可能である(ステップ508)。マーチャントは暗号化済みセッション鍵をPC50へ送信する(ステップ510)。PC50、ホームゲートウェイドングル95、TPM96又はSIM110の公開鍵は、PC50へ送信するときにセッション鍵を暗号化するために使用され得る。選択可能な方法は、PC50のドングル鍵100を用いて暗号化した後に、Telcoエッジサイト30への配信のためセッション鍵を暗号化し、その後に、暗号化済みセッション鍵をTelcoエッジサイト30の公開鍵を用いてさらに暗号化することである。Telcoエッジサイト30は、その後に、暗号化済みセッション鍵からなる暗号化済みペイロードを復号化可能である。図14は本実施例の暗号化済みセッション鍵を示し、以下でより詳細に説明されている。
【0165】
ネットワークエッジサイト450は、PC50へのルート上にある間に、マーチャントネットワーク470から暗号化済みセッション鍵を受信し、信頼できる経路接続シーケンスの確立の一部としてノード固有認証を暗号化済みセッション鍵応答に選択的に付加してもよい。付加されたノード固有認証を用いて暗号化済みセッション鍵はその後にネットワーク400を介してPC50へ送信されることがある。選択可能なノード固有認証は、PC50がマーチャントネットワーク470を検証することを可能にする。ネットワークエッジサイト450は暗号化済みセッション鍵を復号化できない。
【0166】
マーチャントネットワーク470からの暗号化済みセッション鍵応答(ステップ510)は、TelcoDSLエッジサイトで、又は、Telcoデータセンター10とエッジサイト30の組み合わせを介して受信される。オプションとして、Telcoデータセンター10又はTelcoエッジサイト30の何れかがマーチャント応答を認証可能である。暗号化済みセッション鍵はその後に通信回線35及び(もし存在するならば)ホームゲートウェイ36を介してPC50へ送信される。PC50は暗号化済みセッション鍵を受信し、マーチャントウェブファーム又はVODサーバファーム490からの通信経路をオプションとして認証可能である。セキュア通信はその後にマーチャントネットワーク470とPC50との間で始まる(ステップ512)。
【0167】
上述されている信頼できる通信経路方法は、図14に示されているように、複数の暗号レイヤが、データストリーム認証若しくは転送、又は、両方に適用されることを可能にさせる。たとえば、PC50はマーチャントネットワーク470のためのメッセージを暗号化可能であり、Telcoエッジサイト30はネットワークエッジサイト450のための付加的な暗号レイヤを追加可能である。いかなるネットワークインフラストラクチャ装置も、このようなネットワーク経路暗号化を付加可能である。ネットワーク信頼は、DSL/DSLAMエッジ装置30のようなネットワークエッジサイトに特有のネットワークエッジサイト450に固有の暗号化を追加させることによって達成され得る。たとえば、Telcoエッジサイト30がTelcoデータセンター10に接続され、Telcoデータセンター10が大規模電話会社又はその他の大規模サービスプロバイダであると仮定する。マーチャントネットワーク470は、PC50を使用する加入者のためのメッセージの階層型暗号化によって物理セキュリティを強化可能である。図14に示されているように、Telcoデータセンター暗号化済みメッセージ550はTelcoエッジサイト30のための暗号化済みメッセージ552を含むことがあり、次にはメッセージ552が加入者PC50へ向けられた暗号化済みメッセージ554を含むことがある。代替的に、加入者PC50のための暗号化済みメッセージをTelcoデータセンター10への暗号化済みメッセージ内に収容することにより3層の代わりに2層の暗号レイヤが設けられることがある。2層又は3層の暗号レイヤは、応答がTelcoの加入者だけに役立つようにする。信頼できる又は認証済みのネットワーク経路に固有の暗号化を追加することによる物理セキュリティの強化は、PC50、ホームゲートウェイ36、Telcoエッジサイト30、及び、Telcoデータセンター10のような1、2又はそれ以上の物理ネットワーク接続を含むことが可能である。追加された暗号方式固有の信頼できるネットワーク経路のぞれぞれは、追加された暗号レイヤを自動的に取り除くために信頼できるネットワーク経路機器によって使用され得る識別子を含むことがある。
【0168】
信頼できる経路を使用可能な通信装置は、伝送路内の希望の認証済み(デジタル署名されるか、又は、その他の暗号化技術)ポイントを認証可能である。たとえば、マーチャントネットワーク470は、必要に応じて、PC50、又は、使用されるならばPC50及びドングル100と、Telcoエッジサイト30と、Telcoデータセンター10と、ネットワークエッジサイト450への物理回線を認証可能である。代替的に、PC50単独のように、できる限りネットワークトランザクションの一方側だけが認証され得る。別の実施例では、マーチャントネットワーク470が、ドングル100、ドングル95又はTMP96経由でホームゲートウェイ36、デジタル証明書70経由でTelcoエッジサイト30、Telcoデジタル証明書71経由でTelcoデータセンター10、又は、ネットワークエッジサイト450内の証明書若しくはセキュア証明書(図示されず)経由でネットワークエッジサイト450を認証する。本認証システムの能力は、PC50エンドポイントが認証可能であるか、又は、PC50エンドポイント及び経路に沿った何れかの他の希望の要素が認証可能であるという程度である。さらに、物理構造物40に達する物理通信回線35は認証可能であるため、物理構造物40のデジタル証明書70が、PC50に加えて、又は、PC50に代えて使用され得る。これは、1箇所以上の認証ポイントを使用する物理構造物40の認証を可能にさせる。
【0169】
図14を参照すると、マーチャントネットワーク470から発生するメッセージは、PC50だけによって復号化され得る、PC50のための暗号化済みメッセージ554としてのみ発行されることがある。ネットワークポイント(たとえば、Telcoデータセンター10)のための暗号化済みメッセージ550は、信頼できる経路に沿ったネットワーク要素のうちメッセージを復号化すべきネットワーク要素、たとえば、Telcoデータセンター10、Telcoエッジサイト30、PC50、又は、ホームゲートウェイ36を指示するメッセージ復号化宛先ポイントインジケータを含み得る。したがって、追加されたセキュリティはエンドポイント固有暗号化の上に階層化され、メッセージがネットワークの中を移動するときに信頼できる経路ネットワークがネットワーク装置によって復号化され得るメッセージを識別することを可能にさせる。
【0170】
図14において、Telcoデータセンター10は、メッセージ550がTelcoデータセンター10によって復号化可能であることを特定可能である。第1の暗号化済みメッセージの復号化後に、2つの内側ボックスを構成する残りのメッセージ552はTelcoエッジサイト30へ転送される。マーチャントネットワークの外部のネットワーク機器だけでなく、マーチャントネットワーク470が付加されたメッセージカプセル化データを復号化又は取り除くこともある。付加された暗号階層化は、図12に示されているように、マーチャントネットワーク470のようなソースポイントによって実行されるか、又は、ネットワークエッジサイト450のようなネットワークエッジサイトによって付加され得る。基礎となるエンドポイントを対象としているメッセージ554に付加されたメッセージ暗号レイヤは、(Telcoデータセンター10のような)ネットワーク要素の公開鍵を用いて暗号化されるエンベロープセッション鍵を格納するメッセージをカプセル化するエンベロープに基づくこともある。メッセージを復号化する必要があるネットワーク要素は、セッション鍵を明らかにするためにネットワーク要素の秘密鍵を使用してエンベロープセッション鍵を復号化可能である。セッション鍵は、図14における基礎となるエンドポイントを対象としているメッセージ(PC50とのための暗号化済みメッセージ554)のカプセル化であるセッション鍵暗号化されたエンベロープデータを復号化するためにその後に使用され得る。基礎となるエンドポイントを対象とするメッセージは、メッセージエンベロープ内のメッセージ復号化宛先ポイントによって特定されるように、信頼できる経路に沿ってネットワーク機器によって取り除かれた他の暗号レイヤのすべてと共に、エンドポイントへ送信されるメッセージである。
【0171】
信頼できる経路認証は、接続エンドポイント(たとえば、STB50及びVODサーバ490)に基づくPKI鍵による非対称鍵PKIベース暗号化を使用する認証及びトランスポート暗号化を伴う完全にセキュアなSSL(セキュアソケットレイヤ)伝送路として機能し得る。エンドポイント認証(たとえば、STB50及びVODサーバ490)は、非対称鍵PKI方法を使用して実行され、暗号化済みメッセージ中のVODストリーム又はその他のトランスポートペイロードは、エンドポイント(たとえば、STB50及びVODサーバ490)の間で確立されたセッション鍵を用いる対称鍵暗号化を利用可能である。対称鍵暗号化のための鍵は伝送路を認証した後に配信され得る。非対称鍵暗号化のための鍵は、各エンドポイントのためのPKI鍵を使用して、又は、認証後にエンドポイント50と490との間に確立されたセッション鍵を使用して、エンドポイント(本事例では50及び490)の間で交換され得る。代替的に、対称暗号鍵は、他のエンドポイントの公開鍵を使用してセッション鍵を暗号化することにより暗黙的な認証を使用可能である。エンドポイントの公開鍵は、システム内に収容されていることがある信頼できるCA又はその他の証明機関(図示せず)によって取得され得る。上記実施例では、STB50及びVODサーバ490はエンドポイントとして使用されているが、如何なるネットワーク要素でもエンドポイントとして使用され得る。信頼できる経路認証の実施例は、Telcoデータセンター10がTelcoエッジサイト30、デジタル証明書70、ホームゲートウェイ36及びPC50を認証することを可能にさせる。
【0172】
上述されているようなネットワークユーザ又はクライアント認証方法及びシステムは、モデム、FTTC、FTTH、若しくは、ファイバ・ツー・ザ・ネイバーフッド(FTTN)インターフェイスカード、ケーブルモデム、DSLモデム、ルータ、及び、ネットワークスイッチを含む何れかのネットワークインフラストラクチャ要素に付加され得る。方法及びシステムは、認証済みトランザクションを開始する自動手段を含み、ネットワークエッジ装置によるトランザクション経路署名、アプリケーションプロバイダによるトランザクション経路署名、クライアントアプリケーションによるトランザクション経路検証、及び、サーバプロバイダによるトランザクション経路検証を含むこともある。たとえば、オンラインマーチャントは以下の経路を検証可能である。
1.加入者から加入者にリンクされているエッジサイト上の物理回線識別署名によってインターネットサービスを提供する加入者のISPまで。
2.加入者のISPからオンラインマーチャントにサービスを提供するISPまで。
3.オンラインマーチャントISPから、オンラインマーチャントをオンラインマーチャントISPへ接続する回線又はネットワークエッジ装置を格納しているISPのネットワークエッジサイトでの認証を用いるオンラインマーチャント認証まで。
4.オンラインマーチャントのサイトでコンピュータを接続するオンラインマーチャントのビジネスゲート(又はコンピュータ)からオンラインマーチャントISPまで。
5.オンラインマーチャント内のネットワーク経路のオプションとしての付加的な認証。
【0173】
この方法は、認証及び登録のための伝送路に信頼できるVPNを提供する。登録はホームゲートウェイを経由して行われる必要がなく、すなわち、ホームゲートウェイの証明書は、新しいユーザ、又は、TV、テレビ電話、コンピュータなどのようなクライアント装置の登録に含まれている。認証は、DSL上で規定されたとき、又は、セキュア物理回線が登録/認証階層で使用されるときに、ホームゲートウェイで始まる。
【0174】
要求元クライアント(たとえば、図12ではSTB45)がリモートサーバ又は電子商取引サイトに接続しているときに認証を要求することによりセッションを開始しない状況では、リモートサーバ(マーチャントネットワーク470)はクライアント認証要求コマンドを作成することによりクライアント認証を開始できる。このコマンドは、クライアントの認証データを取得するために、クライアント(STB45とTelcoエッジサイト30、又は、Telcoデータセンター10若しくは同等物)の間のネットワーク機器に問い合わせを行うことが可能である。
【0175】
一実施形態では、図12の装置55のような無線装置は、キャリアと、キャリアによる無線装置の認証とを経てリンクされている。これは、無線装置がキャリア又はホームゲートウェイによって認証され、映像配信サービスが無線装置は個人のプライベートネットワークの一部であることを検証可能である、デジタル権管理DRM交換の優れたモデルを提供する。
【0176】
サブネットワーク認証は高帯域幅デジタルコンテンツ保護(HDCP)及びレガシーハードウェア上で動くその他のサブネットのため提供されている。新しいハードウェアは、セキュリティに弱点があるHDCPのようなレガシー装置より優れたセキュリティ及び登録による恩恵を受けるであろう。
【0177】
システムには多数の安全な認証済み伝送路が存在し、ありとあらゆる要素がサービス又は購入の認証チェーンで使用され得る。たとえば、
DSLエッジサイトからDSLモデム又はホームゲートウェイまで
ホームゲートウェイからSTBまで
ホームゲートウェイからPCまで
PCからモニタまで
セキュリティ素子はPDA又はPCのキーボードへ直接接続するために使用可能であり、コマンドはリモートコンピュータからセキュリティ素子へ通信され、セキュリティ素子によって暗号化され、リモートコンピュータへ送信される応答を要求する。
【0178】
上述されているような認証方法及びシステムは、フィッシング要求の結果としての問題点を回避又は削減可能である。ユーザは、上述されているような認証方法を使用して、信頼できる認証済みソースから来る電子メール又はデータを検証可能である。たとえば、銀行員と通信するとき、ユーザは、メッセージの発信元が銀行員からであることをチェック可能である。システムは、リモートソースの資格が要求されている情報に適切であることを検証可能である。
【0179】
上述されているように、トレースルートマッピングはネットワークトポロジーを決定するため使用可能であるので、エッジサイト又はルータが検出され検証され得る。既知のトレースルートマップは、パケットカプセル化が下位ネットワークレイヤでどのように行われるかを決定するため、ルータのためだけでなく、レイヤ1、2、3...のネットワーク機器のためにも使用されてもよい。トレースルートマッピングがトレースルート応答中にインターフェイスのタイプを与えないとき、セキュリティヘッドエンドから加入者までのトレースルート間の関連性はネットワークサービスプロバイダによって確立され得る。一例は次の通りである。トレースルート加入者123456がIPアドレス205.171.17.135に変換される。加入者を識別する際にヘッドエンドからのトレースルートは次のように見えるだろう。
1 pos2−0−155m.cr2.telco.net(205.171.17.130)2ms
2 205.171.17.135 1ms
【0180】
上記の実施例では、ヘッドエンドからのトレースルートは、ホップ1 pos2−0−155m.cr2.telco.netを経由する接続として加入者123456までの接続を識別し、関連性はネットワーク管理コンソール又は等価的なインターフェイスを介して決定可能であり、この接続/IPアドレスがローカルオフィスから特定のアドレスのホームへの特定の物理銅配線ペアと関連付けられている。
【0181】
類似したトレースルート関連性マップは、加入者のIPアドレスを、ケーブルモデム伝送システム(CMTS)MACアドレス、及び/又は、物理DOCSIS(又は類似の)ケーブルモデム識別情報及び加入者にマッピングすることができる。「トレースルート」という用語は、本書では、説明の目的のために使用されているが、物理レイヤ接続への加入者の関連性をサービスプロバイダエッジサイト又はネットワークアクセスポイントに提供するコマンド又はインターフェイスがトレースルートの代わりに用いられ得る。新しいコマンドが、OSI7層プロトコルモデルの物理レイヤ、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤ、又は、より上位レイヤへの加入者の適切な関連付けを提供するために開発される可能性があると考えられる。
【0182】
ネットワーク分散サービスにおける複数台のネットワーク機器は物理接続などによって関連付けられるか、又は、認証されることが想定されるが、確立され得る最も重要な関連性は、加入者の物理ネットワークアクセス装置(たとえば、データモデム、ケーブルモデム、ATMモデム、光ファイバモデム、DSLモデム、又は、その他のインホームモデム装置)と、ホームとの接続を物理的に終端するネットワークエッジサイトとの間のいわゆる「ラストマイル」関連性である。このような関連性は、上述の表2に示されているような物理レイヤ、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤ、セッションレイヤ、プレゼンテーションレイヤ、又は、アプリケーションレイヤと呼ばれるOSI階層型ネットワークモデル中の7層のレイヤのうちの1層以上のレイヤを含む可能性がある。加入者関連性は、典型的に、物理レイヤ接続(DSL、Sonet、100BaseTのような高速イーサネット、統合サービスデジタルネットワーク(ISDN)、トークンリング、ファイバ分散データインターフェイス(FDDI)、ワイドエリアネットワーク(WAN)、ATM、ハイブリッドファイバ/同軸ネットワーク、又は、その他の物理レイヤテクノロジー)のマッピングを用いて物理レイヤに確立され得る。付加的な物理レイヤ関連性が加入者のため確立され得るが、主要な関連性はサービスをホーム又はロケーションへ供給するラストマイル関連性である。1層以上のレイヤが加入者を物理接続と関連付けるために組み合わされることも想定され、たとえば、ネットワークエッジ装置上のメディアアクセス制御(MAC)アドレスのようなデータリンクレイヤ(レイヤ2)パラメータを加入者、及び、加入者の住居への物理レイヤ接続と共に組み入れる。このような関連性は、利用可能であるならば、ネットワークエッジ機器への通信を介して確立され、或いは、サービスプロバイダ又は同等者によって運用されているデータベースを介して確立され得る。加入者関連性の分解能は、ホームへの物理銅配線ペア接続、又は、ケーブルモデム終端システム(CMTS)上のDOCSISアドレス、又は、MAC、又は、論理リンク制御レイヤ(LLC)、又は、ホームとネットワークとの間の無線ラストマイル接続上の無線リンクアドレス、又は、無線顧客を無線ネットワークに接続する基地局と同様に精細である可能性がある。
【0183】
通信回線を用いて加入者又はクライアントを認証するために必要とされる認証又は物理接続ID情報は、クライアント(STB12、PC14、キャリアベース無線装置18、PDA又はその他のクライアント)を通信回線と関連付けるTelcoデータセンター10(又は同等物)、又は、Telcoエッジサイト30(又は同等物)、又は、信頼できるCA20(又は同等物)によって提供されることがある。認証のため最低限必要な情報はクライアントID及び通信回線IDである。クライアントIDは、通信回線を介してネットワークに接続している特定のクライアント装置を追跡するために使用される値である。この値は、加入者に対する恒久的な固定値を有する任意の値でもよく、又は、単一の接続のための一時的な値でもよい。この値は、IPアドレス、IPアドレス及びポート番号、加入者ID、加入者IDから導出された乱数、NAT変換されたアドレスのようなTelcoエッジサイトによって供給される識別子、又は、クライアント装置を後述されている通信回線情報フィールドを用いて識別又は関連付けるために使用されるその他の類似したデータに基づいている可能性がある。通信回線識別子又はIDは、Telcoエッジサイトを物理構造物40内のコンピュータ機器又はモデム又はゲートウェイに接続する通信回線の恒久的な識別子である。この値は、物理構造物40と接続されているクライアント装置を検証する際に用いられるような恒久的な識別子を提供する。
【0184】
発明の典型的な実施形態では、付加的な検証又は認証情報が付加されたセキュリティのため取得されることがある。たとえば、署名、セキュリティコード、又は、その他の識別子が、クライアントIDデータフィールド及び通信回線IDが未だ変更されていないことを検証するために使用され得る。このフィールドは、クライアントIDフィールド及び通信回線IDフィールドの符号付きハッシュと同じ程度に簡単でもよい。代替的に、ハッシュ衝突を利用することによりハッシュを改竄する可能性が削減されるように、符号付き値が2個の異なるハッシュによって生成されることがある。符号付きの1つ以上のハッシュは、Telcoエッジサイト30又はTelcoデータセンター10又は信頼できるCA20又は同等物の秘密鍵を使用して暗号化されることがある。符号付きハッシュのペアがハッシュ衝突を利用することによる改竄を排除するために使用されるとき、2個のハッシュは、異なるハッシュ衝突を有する異なるタイプのハッシュである。たとえば、ハッシュのペアがハッシュ衝突を利用することによる署名改竄を排除するために使用されるとき、一方のハッシュはMD5である可能性があり、もう一方のハッシュはSHA1のように異なる衝突特性を備える異なるハッシュである。単一のハッシュが2回使用されるならば、ハッシュの計算は正確なデータに基づいている可能性があり、2回目のハッシュは、ユーザがシステムに対して同じパスワードを選択するときに、同一の乱数化されたパスワード値がデータベースに記憶されることを排除するようにパスワードを乱数化するために加算されたSALT値に類似したSALT化されたハッシュを使用して計算され得る(SALTは暗号を変更するために使用されるランダムなデータの文字列である)。2個の同一のハッシュが使用されるとき、1回目には変更されることなく正確な値が使用され、2回目には、符号付きのデータの2回目のハッシュを計算するときに適用されるランダム化器又は白色化器が使用され得る。データがハッシュ衝突を利用するために改竄されているならば、利用された衝突が2つの計算されたハッシュのうちの一方だけに存在するので、ランダム化器又は白色化器はハッシュ衝突利用を失敗させる原因となり得る。なぜならば、1回目のハッシュは正確なデータであり、2回目のハッシュは第1のハッシュ関数によって使用されたデータをランダム化又は白色化するので、各ハッシュ計算はハッシュ関数への入力として異なるデータを使用しているからである。ランダム化器又は白色化器は、排他的論理和(XOR)関数のような簡単な関数でもよく、又は、異なる入力データを2回目のハッシュ計算に供給するために使用される種から導出された乱数のようなもっと複雑な関数でもよい。
【0185】
本明細書に記載されている実施形態は、セキュリティ又は認証システムがハッカー行為を受けるか、さもなければ、危険に晒されるならば、更新可能性の態様を含む場合がある。ある種の事例では、更新可能性は、単に暗号化技術を次から次へと変更することによって実現され得る。たとえば、高度暗号化標準(AES)128暗号化スキームが利用され、ハッカー行為を受けているならば、マサチューセッツ州ベッドフォードのRSA Security社によって開発されたようなRC−4暗号化スキームといった別の標準への迅速な移行は、数日又は数週間に亘るコンテンツの保護に役立つであろう。この場合に、システム設計者は、後日に元の暗号化方法を再利用するために、元の暗号化方法を更新するための時間が得られる。
【0186】
ネットワークのサーバ側、クライアント側、及び、ピア・ツー・ピアユーザは互いの気持ちを理解することもあるが、全ユーザの1つの主要な関心事は、種々のリスクに対する自分自身の保護である。ネットワーク使用時の主なリスクは以下の通りである。
1.クライアントは、身元不明のエンティティからスパム電子メール及びウィルスを受け取る(クライアント側リスクの一例)。
2.ウェブベースの小売業者は、特に、長距離電話サービスのような即時消費顧客サービスに関して、盗まれたクレジットカード、盗用された個人情報などを使用する顧客からの高度の不正行為に晒される(サーバ側リスクの一例)。
3.e−Bayのような電子商取引ネットワーク上のクライアントは、身元不明の買い手又は売り手との取引に入ることを不安に思う(ピア・ツー・ピアリスクの一例)。
【0187】
本発明の認証システムは、特定の物理構造物に基づくセキュア認証目的のため、クライアントと小売業者の両方によって使用されるならば、上記の関心事の一部又は全部を解決することができる。
【0188】
認証システムは、セキュア有料テレビジョンコンテンツをセットトップボックスへ配信し、公衆ネットワークを介してコンピュータ及びハンドヘルド装置のようなユーザ装置へ機密情報及び素材を送信するためにも使用可能である。このようなコンテンツが漏洩されるか、又は、権限のないユーザへさらに配信されるならば、漏洩のソースを特定することは比較的容易である。システムは、医療、金融、及び、非常時情報のようなその他の機密情報の認証のため使用可能である。早期公開ウィンドウコンテンツ配信、高精細コンテンツ配信、セキュアe−Bay取引、セキュアバンキング取引、セキュアピア・ツー・ピア取引、セキュア電子メール通信などのような様々なタイプの高価値ネットワークサービスは、このような双方向認証(プロバイダ認証及びクライアント認証)を使用してより容易かつ安全に利用できるようになる。
【0189】
当業者は、本明細書に開示されている実施形態と関連して説明されている様々な例示的な論理ブロック、モジュール、回路、及び、アルゴリズムステップが電子ハードウェア、コンピュータソフトウェア、又は、両者の組み合わせとして屡々実施され得ることを理解するであろう。このようなハードウェアとソフトウェアの互換性を明瞭に説明するため、様々な例示的なコンポーネント、ブロック、モジュール、回路、及び、ステップが一般にそれらの機能に関して上述されている。このような機能がハードウェアとして実施されているか、又は、ソフトウェアとして実施されているかどうかは、特定のアプリケーション及びシステム全体に課された設計上の制約に依存している。当業者は特有のアプリケーション毎に様々な方法で上述の機能を実施することが可能であるが、このような実施決定は、発明の範囲からの逸脱を引き起こす原因として解釈されるべきでない。その上、モジュール、ブロック又はステップ内の機能のグループ分けは説明を簡単にするためのものである。特定の機能又はステップは、発明から逸脱することなくあるモジュール又はブロックから移すことが可能である。
【0190】
本明細書に開示されている実施形態に関連して記載された様々な例示的な論理ブロック及びモジュールは、本明細書に記載されている機能を実行するために設計された、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)又はその他のプログラマブル論理装置、ディスクリートゲート又はトランジスタロジック、ディスクリートハードウェアコンポーネント、或いは、これらの組み合わせを用いて実施又は実行され得る。汎用プロセッサはマイクロプロセッサでも良いが、代替案では、プロセッサはいかなるプロセッサ、コントローラ、マイクロプロセッサ、又は、状態機械でもよい。プロセッサは、たとえば、DSPとマイクロプロセッサの組み合わせ、複数台のマイクロプロセッサの組み合わせ、DSPコアと共に1台以上のマイクロプロセッサの組み合わせ、又は、あらゆるその他のこのような構成のようなコンピューティング装置の組み合わせとして実施されてもよい。
【0191】
本明細書に開示されている実施形態と関連して記載された方法又はアルゴリズムのステップは、直接的にハードウェアに、プロセッサによって実行されるソフトウェアモジュールに、又は、両方の組み合わせの中に具現化され得る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD−ROM、又は、何らかのその他の形式の記憶媒体に存在する。典型的な記憶媒体は、プロセッサが記憶媒体から情報を読み出し、記憶媒体に情報を書き込むことができるように、プロセッサに結合され得る。代替案では、記憶媒体はプロセッサに一体化され得る。プロセッサ及び記憶媒体はASICに存在することがある。
【0192】
様々な実施形態は、たとえば、特定用途向け集積回路(ASIC)又はフィールドプログラマブルゲートアレイ(FPGA)のようなコンポーネントを使用して、主としてハードウェアで実施することも可能である。本明細書に記載されている機能を実行する能力を備えたハードウェア状態機械の実施もまた関連技術における当業者に明らかであろう。様々な実施形態はハードウェアとソフトウェアの両方の組み合わせを使用して実施されることもある。
【0193】
開示されている実施形態の上記の説明は、当業者が発明を実施又は使用できるように記載されている。これらの実施形態への様々な変更は当業者に容易に明らかであり、本明細書に記載されている一般的な原理は発明の精神又は範囲を逸脱することなくその他の実施形態に適用され得る。したがって、ここで公開されている明細書及び図面は、発明の現時点での好ましい実施形態を表現し、したがって、本発明によって広義に考慮されている主題を表していることが理解されるべきである。さらに、本発明の範囲は当業者に明白になるその他の実施形態を完全に包括すること、及び、本発明の範囲はしたがって請求項に記載された事項以外によって限定されないことが理解されるべきである。
【図面の簡単な説明】
【0194】
【図1】発明の典型的な実施形態による認証システムと方法を使用するネットワークを説明するブロック図である。
【図2】発明の典型的な実施形態による認証サービスのためのクライアントをサービスプロバイダに最初に登録する方法を説明するフローチャートである。
【図3】図2に示されているような初期登録後に加入者又はクライアントを識別する方法を説明するフローチャートである。
【図4】発明の実施形態においてユーザのリアルタイム認証のため使用される論理プロセスのステップ及びデータ記憶モジュールを説明する論理図である。
【図5】発明の別の実施形態による認証システムを説明するブロック図である。
【図6】第2レベルの認証を提供するための図5のシステムの変更を説明するブロック図である。
【図7】図5及び6の認証システムの初期セットアップを説明するフローチャートである。
【図8】システムのクライアントであるネットワークパートナー候補を認証するための発明の実施形態における認証システムの使用を説明するフローチャートである。
【図9】コンテンツファイルの透かしを提供する変更された認証システムを説明するブロック図である。
【図10】発明の別の実施形態による変更された認証システムを説明するブロック図である。
【図11】図10の実施形態のホームユニット又はビルディングユニットのブロック図である。
【図12】図9に類似しているが、双方向認証を提供する変更された認証システムを説明するブロック図である。
【図13】発明の実施形態による認証方法を説明するフローチャートである。
【図14】マーチャントネットワークから発信され、認証済みゲートウェイ又に接続されているユーザ装置又はビルディングに取り付けられているセキュアコンポーネントが宛先とされたメッセージ内の暗号レイヤを説明するブロック図である。
【特許請求の範囲】
【請求項1】
ビルディングに物理的に接続されているセキュアコンポーネントと、
前記セキュアコンポーネントにリンクされている前記ビルディング内の少なくとも1台のユーザ装置と、
セキュリティサーバと、
前記セキュリティサーバを前記セキュアコンポーネントにリンクする少なくとも1つのネットワークと、
を備え、
前記セキュリティサーバが前記セキュアコンポーネントのための物理接続識別情報(ID)を決定し、前記物理接続IDを、前記ユーザ装置を使用するネットワークサービス加入者と関連付けるように構成されている、
ネットワークユーザ認証システム。
【請求項2】
前記セキュアコンポーネントが前記ビルディングに接続されている専用回線である請求項1に記載のシステム。
【請求項3】
前記回線が前記ビルディングに接続されている一端を有するブロードバンド電気通信回線である請求項2に記載のシステム。
【請求項4】
前記回線がデジタル加入者線(DSL)である請求項2に記載のシステム。
【請求項5】
前記回線がファイバ回線である請求項2に記載のシステム。
【請求項6】
前記回線が前記ビルディングへの専用無線リンクである請求項2に記載のシステム。
【請求項7】
前記セキュリティサーバが少なくとも1つのネットワークを介して前記セキュアコンポーネントにリンクされている独立型サーバである請求項1に記載のシステム。
【請求項8】
サービスプロバイダネットワークエッジサイトと、前記エッジサイトと前記ビルディングとの間に通信を提供する少なくとも1本の接続回線と、前記エッジサイトにリンクされているサービスプロバイダデータセンターと、をさらに備え、前記セキュアコンポーネントが前記エッジサイトから前記ビルディングまでの前記接続回線を構成している請求項1に記載のシステム。
【請求項9】
前記接続回線に接続され、前記接続回線と前記ビルディング内の各ユーザ装置との間にインターフェイスを提供するように構成されている前記ビルディング内のビルディングゲートウェイモジュールをさらに備える請求項8に記載のシステム。
【請求項10】
前記ユーザ装置が少なくとも1台のパーソナルコンピュータを備える請求項9に記載のシステム。
【請求項11】
前記ユーザ装置が少なくとも1台のセットトップボックスをさらに備える請求項10に記載のシステム。
【請求項12】
前記ユーザ装置が少なくとも1台の無線通信装置をさらに備える請求項10に記載のシステム。
【請求項13】
前記無線装置が携帯電話機、個人情報端末、及び、無線コンピュータからなる群より選択される請求項12に記載のシステム。
【請求項14】
前記エッジサイトサーバがローカルコミュニティ内の複数のビルディングとの専用通信を提供する専用接続回線を有し、前記エッジサイトサーバが、複数の一意のデジタル証明書を前記データ記憶モジュールに保存し、各デジタル証明書を、前記デジタル証明書と関連付けられている前記ビルディングに接続されているそれぞれの専用回線とリンクするように構成されているプロセッサモジュールを有する請求項9に記載のシステム。
【請求項15】
各ビルディング内に、前記ゲートウェイモジュールにリンクされ、それぞれのビルディングを前記エッジサイトサーバに接続する前記専用回線と関連付けられている前記一意のデジタル証明書を使用する前記セキュアネットワーク通信のため構成されている複数台のユーザ装置をさらに備える請求項14に記載のシステム。
【請求項16】
前記ゲートウェイモジュールが前記一意のデジタル証明書と関連付けられている第1のハードウェアセキュリティ素子を有する請求項14に記載のシステム。
【請求項17】
前記ハードウェアセキュリティ素子がユニバーサルシリアルバス(USB)ドングル、スマートカード、SIMチップ、及び、信頼できるプラットフォームモジュール(TPM)からなる群より選択される請求項16に記載のシステム。
【請求項18】
前記ユーザ装置が前記ゲートウェイモジュール内の前記第1のハードウェアセキュリティ素子と暗号的にアライメントされ同期させられている第2のハードウェアセキュリティ素子を有する請求項16に記載のシステム。
【請求項19】
前記ゲートウェイモジュールが前記一意のデジタル証明書と関連付けられている少なくとも1台のハードウェアセキュリティ素子を有し、各ユーザ装置が前記ゲートウェイモジュール内のハードウェアセキュリティ素子と暗号的にアライメントされ同期させられているハードウェアセキュリティ素子を有する請求項14に記載のシステム。
【請求項20】
少なくとも1台の前記ユーザ装置が第1の加入者識別モジュール(SIM)チップを備えるセキュリティ素子を有する無線装置であり、前記ゲートウェイモジュールが認証済み無線通信目的のため前記第1のSIMチップと通信するように構成されている第2のSIMチップを有する請求項19に記載のシステム。
【請求項21】
前記ユーザ装置と関連付けられ、一意の透かしペイロードを公衆ネットワークを介して前記ユーザ装置によって受信された全コンテンツファイルに挿入するように構成されているセッションベース透かしモジュールをさらに備える請求項1に記載のシステム。
【請求項22】
前記セッションベース透かしモジュールが一意のデジタル証明書と関連付けられているユーザ秘密鍵を用いて前記透かしペイロードに暗号的に署名するようにさらに構成されている請求項21に記載のシステム。
【請求項23】
ビルディング内のユーザ装置を認証するネットワークユーザ認証システムであって、
ビルディングに物理的に接続され、前記ユーザ装置と関連付けられているセキュアコンポーネントと、
認証サーバと、
前記認証サーバを前記セキュアコンポーネントにリンクする少なくとも1つのネットワークと、
を備え、
前記認証サーバが、前記ユーザ装置と関連付けられているクライアントIDを作成し、前記セキュアコンポーネントを識別し、一意のデジタル証明書を前記セキュアコンポーネントと関連付けるように構成されている信頼できる経路証明モジュールと、前記クライアントID及び関連付けられているデジタル証明書を保存するデータ記憶モジュールとを有し、
前記認証サーバが公衆ネットワークを介する前記ユーザ装置とその他のユーザ装置との間のセキュア通信のため前記クライアントID及び関連付けられているデジタル証明書を使用する検証モジュールをさらに備える
ネットワークユーザ認証システム。
【請求項24】
前記セキュアコンポーネントが前記ビルディングに接続されている専用回線を備え、前記デジタル証明書が前記専用回線のネットワークベース識別情報を備える請求項23に記載のシステム。
【請求項25】
前記デジタル証明書がX.509ベースデジタル証明書を備える請求項23に記載のシステム。
【請求項26】
前記セキュアコンポーネントと関連付けられ、プロセッサモジュール及びデータ記憶モジュールを有するコントロールユニットをさらに備え、前記認証サーバが前記デジタル証明書を前記コントロールユニットへ送信するように構成されている証明書転送モジュールをさらに備え、前記プロセッサモジュールが前記デジタル証明書を前記データ記憶モジュールに保存し、公衆ネットワークを介する前記ユーザ装置と他のウェブサーバとの間のセキュア通信のため前記デジタル証明書を使用するように構成されている請求項23に記載のシステム。
【請求項27】
公衆ネットワークを介するセキュア通信のためネットワークユーザを認証する方法であって、
ビルディングに物理的に取り付けられているセキュアコンポーネント及び少なくとも1つのプライベートネットワークを介して認証サーバでビルディング内のユーザ装置からビルディング認証の要求を受信するステップと、
前記ユーザ装置のユーザの加入者識別情報(加入者ID)を決定するステップと、
前記セキュアコンポーネントの物理接続識別情報(物理接続ID)を検証するステップと、
前記加入者ID及び関連付けられている物理接続IDの記録を保存するステップと、
接続中の加入者から受信されたサービスの要求毎に前記接続中の加入者によって使用されている前記セキュアコンポーネントの現在物理接続IDを決定するステップと、
検証目的のため前記現在物理接続IDを同じ加入者IDに関して事前に保存されている物理接続IDと比較するステップと、
前記検証が成功である場合に限り前記サービスを提供するステップと、
を備える方法。
【請求項28】
ネットワークデータ構造内で利用可能な情報から前記物理接続識別情報を決定するステップをさらに備える請求項27に記載の方法。
【請求項29】
前記物理接続IDを備える一意のデジタル証明書を前記物理接続と関連付けるステップと、前記一意のデジタル証明書を前記物理接続と関連付けられているデータ記憶エリアに保存するステップと、公衆ネットワークを介するネットワークパートナー候補とのネットワーク通信における検証目的のため前記一意のデジタル証明書を使用するステップと、をさらに備える請求項27に記載の方法。
【請求項30】
前記セキュアコンポーネント内の第1のハードウェアセキュリティ素子を前記一意のデジタル証明書と関連付けるステップと、前記ビルディング内の少なくとも1台のユーザ装置内のハードウェアセキュリティ素子を前記第1のハードウェアセキュリティ素子と暗号的にアライメントするステップと、をさらに備える請求項29に記載の方法。
【請求項31】
前記ビルディングと関連付けられている一意の透かしペイロードをネットワーク経由で前記ビルディング内のユーザ装置によって受信されたコンテンツファイルに挿入するステップをさらに備える請求項27に記載の方法。
【請求項32】
前記セキュアコンポーネントの地理座標を決定するため前記セキュアコンポーネントで位置センサを使用して前記ビルディングの地理位置を検証するステップをさらに備える請求項31に記載の方法。
【請求項33】
前記ビルディング内のユーザ装置が公衆ネットワークを介してネットワークパートナー候補とセキュア通信を開始するたびに、前記ビルディングの前記地理位置が検証される請求項32に記載の方法。
【請求項34】
ビルディングに物理的に接続され、前記ビルディング内の少なくとも1台のユーザ装置と関連付けられているセキュアコンポーネントと、
前記セキュアコンポーネントと関連付けられ、プロセッサモジュール及び前記プロセッサモジュールと関連付けられているデータ記憶モジュールを有するコントロールユニットと、
認証サーバと、
前記認証サーバを前記コントロールユニットにリンクする少なくとも1つのネットワークと、
を備え、
前記認証サーバが、一意のデジタル証明書を前記セキュアコンポーネントと関連付け、前記一意のデジタル証明書を前記セキュアコンポーネントと関連付けられている前記コントロールユニットへ送信するように構成され、
前記プロセッサモジュールが、前記一意のデジタル証明書を前記データ記憶モジュールに保存し、公衆ネットワークを介する前記ユーザ装置と他のウェブサーバとの間のセキュア通信のため前記デジタル証明書を使用するように構成されている
ネットワークユーザ認証システム。
【請求項35】
前記認証サーバが公益事業会社サーバである請求項34に記載のシステム。
【請求項36】
前記コントロールユニットが、近傍にある複数のビルディングに認証サービスを提供するように構成され、各専用回線が前記ビルディングの1つずつに接続されている複数の専用回線を有するエッジサイトサーバを備え、前記プロセッサモジュールが、複数の一意のデジタル証明書を前記データ記憶モジュールに保存し、各デジタル証明書を前記デジタル証明書が関連付けられている前記ビルディングに接続されている1つずつの専用回線とリンクするように構成されている請求項34に記載のシステム。
【請求項37】
前記認証サーバが前記エッジサイトサーバにリンクされている公益事業会社サーバである請求項36に記載のシステム。
【請求項38】
公益事業会社ネットワークを介して前記エッジサイトサーバにリンクされている公益事業会社サーバをさらに備え、前記認証サーバが前記エッジサイトサーバとの通信のため前記公益事業会社サーバにリンクされている別個のサーバを備える請求項36に記載のシステム。
【請求項39】
前記専用回線に接続されている前記ビルディング内にあり、前記ユーザ装置にリンクされているゲートウェイモジュールをさらに備える請求項34に記載のシステム。
【請求項40】
前記ビルディング内に複数台の付加的なユーザ装置をさらに備え、前記プロセッサモジュールが前記ビルディング内の前記付加的なユーザ装置と通信するように構成されている請求項39に記載のシステム。
【請求項41】
前記セキュアコンポーネントが前記ビルディングの構造的コンポーネントに物理的に接続されているセキュアボックスであり、前記コントロールユニットが前記セキュアボックス内に収容され、前記プロセッサモジュールが前記ユーザ装置との通信のため構成されている請求項34に記載のシステム。
【請求項42】
前記コントロールユニットが地理位置座標を提供するため前記プロセッサモジュールに接続された位置センサをさらに備え、前記プロセッサモジュールが前記地理位置座標を前記認証サーバへ送信するように構成され、前記認証サーバが前記ビルディングの位置を検証するために前記地理位置座標を使用するように構成されている請求項41に記載のシステム。
【請求項43】
前記コントロールユニットが前記デジタル証明書と暗号的にアライメントされている第1のハードウェアセキュリティ素子を備える請求項34に記載のシステム。
【請求項44】
前記ユーザ装置が前記第1のハードウェアセキュリティ素子と暗号的にアライメントされている第2のハードウェアセキュリティ素子を有する請求項43に記載のシステム。
【請求項1】
ビルディングに物理的に接続されているセキュアコンポーネントと、
前記セキュアコンポーネントにリンクされている前記ビルディング内の少なくとも1台のユーザ装置と、
セキュリティサーバと、
前記セキュリティサーバを前記セキュアコンポーネントにリンクする少なくとも1つのネットワークと、
を備え、
前記セキュリティサーバが前記セキュアコンポーネントのための物理接続識別情報(ID)を決定し、前記物理接続IDを、前記ユーザ装置を使用するネットワークサービス加入者と関連付けるように構成されている、
ネットワークユーザ認証システム。
【請求項2】
前記セキュアコンポーネントが前記ビルディングに接続されている専用回線である請求項1に記載のシステム。
【請求項3】
前記回線が前記ビルディングに接続されている一端を有するブロードバンド電気通信回線である請求項2に記載のシステム。
【請求項4】
前記回線がデジタル加入者線(DSL)である請求項2に記載のシステム。
【請求項5】
前記回線がファイバ回線である請求項2に記載のシステム。
【請求項6】
前記回線が前記ビルディングへの専用無線リンクである請求項2に記載のシステム。
【請求項7】
前記セキュリティサーバが少なくとも1つのネットワークを介して前記セキュアコンポーネントにリンクされている独立型サーバである請求項1に記載のシステム。
【請求項8】
サービスプロバイダネットワークエッジサイトと、前記エッジサイトと前記ビルディングとの間に通信を提供する少なくとも1本の接続回線と、前記エッジサイトにリンクされているサービスプロバイダデータセンターと、をさらに備え、前記セキュアコンポーネントが前記エッジサイトから前記ビルディングまでの前記接続回線を構成している請求項1に記載のシステム。
【請求項9】
前記接続回線に接続され、前記接続回線と前記ビルディング内の各ユーザ装置との間にインターフェイスを提供するように構成されている前記ビルディング内のビルディングゲートウェイモジュールをさらに備える請求項8に記載のシステム。
【請求項10】
前記ユーザ装置が少なくとも1台のパーソナルコンピュータを備える請求項9に記載のシステム。
【請求項11】
前記ユーザ装置が少なくとも1台のセットトップボックスをさらに備える請求項10に記載のシステム。
【請求項12】
前記ユーザ装置が少なくとも1台の無線通信装置をさらに備える請求項10に記載のシステム。
【請求項13】
前記無線装置が携帯電話機、個人情報端末、及び、無線コンピュータからなる群より選択される請求項12に記載のシステム。
【請求項14】
前記エッジサイトサーバがローカルコミュニティ内の複数のビルディングとの専用通信を提供する専用接続回線を有し、前記エッジサイトサーバが、複数の一意のデジタル証明書を前記データ記憶モジュールに保存し、各デジタル証明書を、前記デジタル証明書と関連付けられている前記ビルディングに接続されているそれぞれの専用回線とリンクするように構成されているプロセッサモジュールを有する請求項9に記載のシステム。
【請求項15】
各ビルディング内に、前記ゲートウェイモジュールにリンクされ、それぞれのビルディングを前記エッジサイトサーバに接続する前記専用回線と関連付けられている前記一意のデジタル証明書を使用する前記セキュアネットワーク通信のため構成されている複数台のユーザ装置をさらに備える請求項14に記載のシステム。
【請求項16】
前記ゲートウェイモジュールが前記一意のデジタル証明書と関連付けられている第1のハードウェアセキュリティ素子を有する請求項14に記載のシステム。
【請求項17】
前記ハードウェアセキュリティ素子がユニバーサルシリアルバス(USB)ドングル、スマートカード、SIMチップ、及び、信頼できるプラットフォームモジュール(TPM)からなる群より選択される請求項16に記載のシステム。
【請求項18】
前記ユーザ装置が前記ゲートウェイモジュール内の前記第1のハードウェアセキュリティ素子と暗号的にアライメントされ同期させられている第2のハードウェアセキュリティ素子を有する請求項16に記載のシステム。
【請求項19】
前記ゲートウェイモジュールが前記一意のデジタル証明書と関連付けられている少なくとも1台のハードウェアセキュリティ素子を有し、各ユーザ装置が前記ゲートウェイモジュール内のハードウェアセキュリティ素子と暗号的にアライメントされ同期させられているハードウェアセキュリティ素子を有する請求項14に記載のシステム。
【請求項20】
少なくとも1台の前記ユーザ装置が第1の加入者識別モジュール(SIM)チップを備えるセキュリティ素子を有する無線装置であり、前記ゲートウェイモジュールが認証済み無線通信目的のため前記第1のSIMチップと通信するように構成されている第2のSIMチップを有する請求項19に記載のシステム。
【請求項21】
前記ユーザ装置と関連付けられ、一意の透かしペイロードを公衆ネットワークを介して前記ユーザ装置によって受信された全コンテンツファイルに挿入するように構成されているセッションベース透かしモジュールをさらに備える請求項1に記載のシステム。
【請求項22】
前記セッションベース透かしモジュールが一意のデジタル証明書と関連付けられているユーザ秘密鍵を用いて前記透かしペイロードに暗号的に署名するようにさらに構成されている請求項21に記載のシステム。
【請求項23】
ビルディング内のユーザ装置を認証するネットワークユーザ認証システムであって、
ビルディングに物理的に接続され、前記ユーザ装置と関連付けられているセキュアコンポーネントと、
認証サーバと、
前記認証サーバを前記セキュアコンポーネントにリンクする少なくとも1つのネットワークと、
を備え、
前記認証サーバが、前記ユーザ装置と関連付けられているクライアントIDを作成し、前記セキュアコンポーネントを識別し、一意のデジタル証明書を前記セキュアコンポーネントと関連付けるように構成されている信頼できる経路証明モジュールと、前記クライアントID及び関連付けられているデジタル証明書を保存するデータ記憶モジュールとを有し、
前記認証サーバが公衆ネットワークを介する前記ユーザ装置とその他のユーザ装置との間のセキュア通信のため前記クライアントID及び関連付けられているデジタル証明書を使用する検証モジュールをさらに備える
ネットワークユーザ認証システム。
【請求項24】
前記セキュアコンポーネントが前記ビルディングに接続されている専用回線を備え、前記デジタル証明書が前記専用回線のネットワークベース識別情報を備える請求項23に記載のシステム。
【請求項25】
前記デジタル証明書がX.509ベースデジタル証明書を備える請求項23に記載のシステム。
【請求項26】
前記セキュアコンポーネントと関連付けられ、プロセッサモジュール及びデータ記憶モジュールを有するコントロールユニットをさらに備え、前記認証サーバが前記デジタル証明書を前記コントロールユニットへ送信するように構成されている証明書転送モジュールをさらに備え、前記プロセッサモジュールが前記デジタル証明書を前記データ記憶モジュールに保存し、公衆ネットワークを介する前記ユーザ装置と他のウェブサーバとの間のセキュア通信のため前記デジタル証明書を使用するように構成されている請求項23に記載のシステム。
【請求項27】
公衆ネットワークを介するセキュア通信のためネットワークユーザを認証する方法であって、
ビルディングに物理的に取り付けられているセキュアコンポーネント及び少なくとも1つのプライベートネットワークを介して認証サーバでビルディング内のユーザ装置からビルディング認証の要求を受信するステップと、
前記ユーザ装置のユーザの加入者識別情報(加入者ID)を決定するステップと、
前記セキュアコンポーネントの物理接続識別情報(物理接続ID)を検証するステップと、
前記加入者ID及び関連付けられている物理接続IDの記録を保存するステップと、
接続中の加入者から受信されたサービスの要求毎に前記接続中の加入者によって使用されている前記セキュアコンポーネントの現在物理接続IDを決定するステップと、
検証目的のため前記現在物理接続IDを同じ加入者IDに関して事前に保存されている物理接続IDと比較するステップと、
前記検証が成功である場合に限り前記サービスを提供するステップと、
を備える方法。
【請求項28】
ネットワークデータ構造内で利用可能な情報から前記物理接続識別情報を決定するステップをさらに備える請求項27に記載の方法。
【請求項29】
前記物理接続IDを備える一意のデジタル証明書を前記物理接続と関連付けるステップと、前記一意のデジタル証明書を前記物理接続と関連付けられているデータ記憶エリアに保存するステップと、公衆ネットワークを介するネットワークパートナー候補とのネットワーク通信における検証目的のため前記一意のデジタル証明書を使用するステップと、をさらに備える請求項27に記載の方法。
【請求項30】
前記セキュアコンポーネント内の第1のハードウェアセキュリティ素子を前記一意のデジタル証明書と関連付けるステップと、前記ビルディング内の少なくとも1台のユーザ装置内のハードウェアセキュリティ素子を前記第1のハードウェアセキュリティ素子と暗号的にアライメントするステップと、をさらに備える請求項29に記載の方法。
【請求項31】
前記ビルディングと関連付けられている一意の透かしペイロードをネットワーク経由で前記ビルディング内のユーザ装置によって受信されたコンテンツファイルに挿入するステップをさらに備える請求項27に記載の方法。
【請求項32】
前記セキュアコンポーネントの地理座標を決定するため前記セキュアコンポーネントで位置センサを使用して前記ビルディングの地理位置を検証するステップをさらに備える請求項31に記載の方法。
【請求項33】
前記ビルディング内のユーザ装置が公衆ネットワークを介してネットワークパートナー候補とセキュア通信を開始するたびに、前記ビルディングの前記地理位置が検証される請求項32に記載の方法。
【請求項34】
ビルディングに物理的に接続され、前記ビルディング内の少なくとも1台のユーザ装置と関連付けられているセキュアコンポーネントと、
前記セキュアコンポーネントと関連付けられ、プロセッサモジュール及び前記プロセッサモジュールと関連付けられているデータ記憶モジュールを有するコントロールユニットと、
認証サーバと、
前記認証サーバを前記コントロールユニットにリンクする少なくとも1つのネットワークと、
を備え、
前記認証サーバが、一意のデジタル証明書を前記セキュアコンポーネントと関連付け、前記一意のデジタル証明書を前記セキュアコンポーネントと関連付けられている前記コントロールユニットへ送信するように構成され、
前記プロセッサモジュールが、前記一意のデジタル証明書を前記データ記憶モジュールに保存し、公衆ネットワークを介する前記ユーザ装置と他のウェブサーバとの間のセキュア通信のため前記デジタル証明書を使用するように構成されている
ネットワークユーザ認証システム。
【請求項35】
前記認証サーバが公益事業会社サーバである請求項34に記載のシステム。
【請求項36】
前記コントロールユニットが、近傍にある複数のビルディングに認証サービスを提供するように構成され、各専用回線が前記ビルディングの1つずつに接続されている複数の専用回線を有するエッジサイトサーバを備え、前記プロセッサモジュールが、複数の一意のデジタル証明書を前記データ記憶モジュールに保存し、各デジタル証明書を前記デジタル証明書が関連付けられている前記ビルディングに接続されている1つずつの専用回線とリンクするように構成されている請求項34に記載のシステム。
【請求項37】
前記認証サーバが前記エッジサイトサーバにリンクされている公益事業会社サーバである請求項36に記載のシステム。
【請求項38】
公益事業会社ネットワークを介して前記エッジサイトサーバにリンクされている公益事業会社サーバをさらに備え、前記認証サーバが前記エッジサイトサーバとの通信のため前記公益事業会社サーバにリンクされている別個のサーバを備える請求項36に記載のシステム。
【請求項39】
前記専用回線に接続されている前記ビルディング内にあり、前記ユーザ装置にリンクされているゲートウェイモジュールをさらに備える請求項34に記載のシステム。
【請求項40】
前記ビルディング内に複数台の付加的なユーザ装置をさらに備え、前記プロセッサモジュールが前記ビルディング内の前記付加的なユーザ装置と通信するように構成されている請求項39に記載のシステム。
【請求項41】
前記セキュアコンポーネントが前記ビルディングの構造的コンポーネントに物理的に接続されているセキュアボックスであり、前記コントロールユニットが前記セキュアボックス内に収容され、前記プロセッサモジュールが前記ユーザ装置との通信のため構成されている請求項34に記載のシステム。
【請求項42】
前記コントロールユニットが地理位置座標を提供するため前記プロセッサモジュールに接続された位置センサをさらに備え、前記プロセッサモジュールが前記地理位置座標を前記認証サーバへ送信するように構成され、前記認証サーバが前記ビルディングの位置を検証するために前記地理位置座標を使用するように構成されている請求項41に記載のシステム。
【請求項43】
前記コントロールユニットが前記デジタル証明書と暗号的にアライメントされている第1のハードウェアセキュリティ素子を備える請求項34に記載のシステム。
【請求項44】
前記ユーザ装置が前記第1のハードウェアセキュリティ素子と暗号的にアライメントされている第2のハードウェアセキュリティ素子を有する請求項43に記載のシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公表番号】特表2009−515232(P2009−515232A)
【公表日】平成21年4月9日(2009.4.9)
【国際特許分類】
【出願番号】特願2008−523011(P2008−523011)
【出願日】平成18年7月20日(2006.7.20)
【国際出願番号】PCT/US2006/028505
【国際公開番号】WO2007/012083
【国際公開日】平成19年1月25日(2007.1.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.ETHERNET
3.JAVA
4.WINDOWS
5.Linux
【出願人】(508019931)ベリマトリックス、インコーポレーテッド (5)
【氏名又は名称原語表記】VERIMATRIX, INC.
【Fターム(参考)】
【公表日】平成21年4月9日(2009.4.9)
【国際特許分類】
【出願日】平成18年7月20日(2006.7.20)
【国際出願番号】PCT/US2006/028505
【国際公開番号】WO2007/012083
【国際公開日】平成19年1月25日(2007.1.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.ETHERNET
3.JAVA
4.WINDOWS
5.Linux
【出願人】(508019931)ベリマトリックス、インコーポレーテッド (5)
【氏名又は名称原語表記】VERIMATRIX, INC.
【Fターム(参考)】
[ Back to top ]