ヘッダ認証を改良した送信データパケット構成
本発明は、パケット交換ネットワークにおいて送信されるデータのパケットフォーマットに関する。本発明に従って構成されるパケットによって、データ改ざんの検出、及びデータペイロード部分並びにヘッダ部分の改ざんの検出が可能になる。本発明はチェックコード及び暗号化を使用して安全なパケットを構成するが、送信データパケットのヘッダ部分は暗号化しない。
【発明の詳細な説明】
【発明の開示】
【0001】
本発明は、パケット交換データ通信装置を利用する装置の分野に関する。具体的には、本発明は、2つ以上の装置の間で行われるデータ送信中に使用されるパケットの構成及びフォーマットに関する。
電気通信産業が急速に成長し、ネットワーク(群)のウェブが一層複雑化したことにより、当然ながらこれらのネットワークを介して送信されるデータのセキュリティが重大な関心事となっている。
【0002】
装置(パーソナルコンピュータ、携帯電話機、携帯情報端末等)の種類及び数が増大し、これらの装置の接続性が重要な特長となるに従って、これらの装置の間で送信されるデータの量も著しく増大した。このようなデータの性質は、秘密及び/又は重要である場合があるので、保護される必要がある。
デジタルネットワークを介したデータ送信は、0(ゼロ)と1のストリングの形式(即ち、複数ビットの2進言語)で行なわれる。これらのビットはバイトとしてグループ化される場合が多い。
【0003】
あらゆる2者間(人間、コンピュータ等を含む)で有効に通信を行なうために、合意された特定のプロトコル規格に双方が従う必要がある。このプロトコルは、当事者が互いに通信する際に使用する一連のルール及びガイドラインを決定する。コンピュータ及び電気通信の分野では、2つのエンティティの間の相互作用は、様々なレベルのアブストラクション(abstraction)及び相関性で行なわれる。これらのレベルはネットワーキングプロトコルのレイヤと呼ばれ、通信レイヤの各ペア間で結合されたプロトコルの組はプロトコルスタックと呼ばれる。一例として、広く使用される一つのプロトコルスタックは開放型システム間相互接続(OSI)参照モデルであり、これについての詳細は本明細書において参照することにより本発明の開示に含まれる。種々のプロトコルレイヤは、データをこれらのレイヤの間で送受信されなければならないフォーマットも規定する。データのフォーマットは通常、レイヤの相関性、セキュリティ上の関心事、信頼度因子等の種々の要素を考慮して決定される。
ネットワークは、データ送信の方法によって分類することができる。広く使用される2つの分類は、回線交換ネットワーク及びパケット交換ネットワークである。交換ネットワークは、部分メッシュトポロジー又は完全メッシュトポロジー(即ち、ネットワークのノードの間の部分接続又は完全接続)を含み、スイッチと呼ばれる特殊なネットワーク装置を使用して送信元ノードと宛先ノードとの間のリンクを相互接続する。
【0004】
回線交換ネットワークでは、最初に送信元と宛先との間で物理回線が確立されてから送信が行なわれる。回線が確立すると、物理回線は現在の送信専用となる。送信が完了すると、この回線は解放され、別の通信伝送に利用することができる。
パケット交換ネットワークでは、最初にメッセージがパケットと呼ばれる小単位に分割され、次いで中間スイッチを通して宛先ノードに送信される。一つのパケットは、所定のネットワーク内で転送することができる最小のデータ単位である。各パケットヘッダは、宛先ノードアドレス、送信元アドレスだけでなく、プロトコル固有情報、シーケンス番号、データバイト長等の他の重要情報を含むことができる。パケットが中間スイッチに到達すると、このスイッチはパケットの宛先アドレスを分析し、当該パケットが次のスイッチまでに取る経路を決定する。パケットは宛先に到達すると破棄される。各パケットの大きさは様々であるが、いずれも小ビットのデータを一のホストから別のホストに伝送する。各パケットはパケット自体の個別情報を有することもできる。異なる種類のプロトコルは異なる種類のパケットを形成し、受信端でパケットはプロトコルに従って読み出される。
【0005】
送信の間、これらのパケットは、様々な種類のネットワークエラー、及びセキュリティ攻撃を受け易く、例えば何者かがデータを盗む、コピーする、又は改ざんしようとする。ネットワークエラー等により、一端から送信されるデータが経路の途中で破損し、受信者は誤りデータを受信する。この問題を防止及び解決するために、エラーチェックコード及びエラー訂正コードが使用される。
この技術分野で広く受け入れられている一つの方法は、データパケットのチェックコードを含む。エラーチェックコードは、受信端においてチェック可能な何らかのアルゴリズムによって計算されるデータの概要又は要約である。
【0006】
多項式コードはチェックコードの一分類を形成する。これらは巡回冗長コード又はCRCコードとしても知られる。巡回冗長検査は、通信リンク上で送信されたデータのエラーをチェックする方法である。送信側装置は、送信されるデータブロックに16又は32ビット多項式を適用し、結果として得られる巡回冗長コード(CRC)をブロックに付加する。受信端は同じ多項式をデータに適用し、適用結果を送信側が付加した結果と比較する。結果が当事者間で一致する場合、データが無事に受信されたと判断することができる。逆の場合、送信側に再送信するように通知することができる。
CRC−12、CRC−16、及びCRC−CCITTのような多項式は、本技術分野で広く使用されている。CRC−12は、文字長が6ビットの場合に使用される。他の2つは8ビット文字に使用される。16ビット巡回冗長コードは、全てのシングルビットエラー及びダブルビットエラーを検出し、生じ得る全てのエラーの99.998%の検出を保証する。このレベルの検出保証は4キロバイト以下のデータ転送ブロックに対して十分であると考えられる。これよりも規模の大きい転送に関しては、32ビットCRCが使用される。
【0007】
一般に使用される「チェックコード」、又はメッセージを認証する際に使用されるメッセージダイジェストアルゴリズムは、例えばMD5アルゴリズム(Internet Engineering Task Force RFC1321)又はSHS(http://csrc.nist.gov/publications/fips/fips180−1/fip180−1.txt)である。これらは、簡単なCRCチェックよりもセキュリティが高い(即ち、改ざん防止)と考えられるが、非常に長い計算時間及び大きい記憶容量を必要とする。
一のパケットのビット及びバイト(即ち、デジタル転送の基本単位)は、ヘッダ部分とデータ部分に分割される。チェックコードを取り込んだ後、パケットは大雑把に3つの部分、即ちヘッダ部分、データ部分、及びチェックコード部分を含む。チェックコードをパケットに取り込む処理では、配信するデータの完全性に細心の注意を払う。
【0008】
パケットは、転送中に傍受し、コンテンツを読み出す、コピーする、改ざんする、又は消去するという形式か、或いはヘッダを改ざんしてパケットの進行方向を変える(不所望の受信者に)、又は誤った情報を受信者に提供するという形式のネットワーク攻撃に弱い。この種類のセキュリティ侵害によって、送信されているデータの真正性に関する疑念が生じる。データ改ざんは、上述したものと同様のエラー検出コードを使用することにより検出することができる。パケットに関する改ざんの問題を回避するために、プロトコルスタックの一以上のレベルにおいて種々の手段が用いられる。
ネットワークを介して転送されるデータのセキュリティを高めるために用いられる方法の一つでは、パケット全体を暗号化し、暗号化パケットを送信し、その後暗号化パケットを受信端で復号化することにより、ヘッダを更にセキュアなものとし、且つ改ざん防止の度合いを高めている。しかしながら、この手法には欠点がある。パケット交換ネットワークでは、パケットは、パケット送信元からパケットの最終宛先に到る行程において、複数のスイッチ及びルータ等を通じてホップするので、ヘッダを暗号化するとオーバーヘッドを生じさせる。各中間ルーティング要素では、ヘッダのコンテンツを理解してパケットをその(次の)宛先に振り向けることができるようにヘッダを復号化し、その後パケットを再び暗号化する必要があるため、このオーバーヘッドは時間及び効率の面で現れる。この暗号化−復号化−暗号化ステップによって、パケットを宛先に送信するための時間が非常に長くなる。交換要素の性能を高めるため、即ちヘッダの高速暗号化及び復号化を可能にするために十分な計算能力を必要とするため、このようなオーバーヘッドはコストとして表現することもできる。セキュアな暗号化は比較的長い時間を必要とするので、暗号化はプロトコルスタックの短時間処理を必要とする部分には適さない。この理由により、通常パケットのペイロード部分のみが暗号化される。
【0009】
上記方法は、パケットが傍受され、パケットヘッダのコンテンツが改ざんされるシナリオには有効ではない。ヘッダはパケットの重要部分(その宛先、送信元及び他の重要な情報を決定する)であるので、ヘッダのデータコンテンツの保護も同様に重要である。従って、パケットのヘッダ部分に対するいかなる改ざんも受信端で検出することができることが絶対に必要になる。
ネットワーク上を伝送されるデータパケットの安全を確保するために種々の処置が採られている。しかしながら、これらの処置のほとんどは、米国特許出願公開第2003/0065917A1、及び国際公開番号WO03/061289A1のように、どれもポイントツーポイント接続が確立されてからセキュアな方法でデータを送信するシナリオに関連している。
【0010】
公衆ネットワークを介して送信されるデータの安全を確保するために、種々の試みが為されている。例えば、国際公開番号WO03/063520では、送信者と受信者にのみ理解される符号形式でデータを符号化することにより、傍受者によるデータの解読が困難になる。しかしながら、ヘッダは符号化されないので、改ざんすることができる。
国際公開番号WO03/050965では、拡散スペクトラム技術を使用してパケットのデータペイロード部分を暗号化することによりセキュリティを強化するが、ヘッダが保護されないままであるという問題が依然として解決されない。国際公開番号WO03/005635及び米国特許第5898784号は、データパケットの安全な送信のための種々の試みに関連するその他特許の一部である。しかしながら、この場合もデータペイロードの安全のみが確保され、パケットの残りの部分はネットワーク攻撃に曝されたままである。
【0011】
米国特許第4910777号は、パケットのフラグ値を暗号化してからパケットを送信する技術を開示している。しかしながら、この方法は、高性能の交換要素を必要とし、更にパケット交換の度に行なわれる計算の回数を増加させる。
米国特許第5303303号は、ダミーのヘッダ及びトレーラというコンセプトを導入することにより、前述の不具合の全てを解決しようとしている。この発明によれば、パケット全体を暗号化してから、また別のヘッダ及びトレーラをこの暗号化パケットに付加する。この付加されたヘッダ及びトレーラは、更に別のデータパケットがノンセキュアなネットワークに入り、ノンセキュアなネットワークから出て行く際に通る入力ノード及び出力ノードに関する情報のみを含む。従って、ノード間で傍受が生じても、ノンセキュアなネットワークにおけるパケット経路に関する情報しか提供されず、パケットの元来の送信者及び受信者に関する情報は提供されない。従って、この方法は、ノンセキュアなネットワークに分類できるインターネットのようなシナリオに属する。
【0012】
先行技術の欠点によって、計算リソースに対する必要度が小さく、時間効率が高く、更にセキュアで強固な方法の導入が必要となっている。
本発明の目的は、パケットのデータペイロードを保護するだけでなく、ヘッダをあらゆるネットワーク攻撃から隠すパケットフォーマット及び方法を提供することにより、先行技術における欠点を解決することである。
【0013】
本発明の別の目的は、全ての交換要素において強化された計算リソースを必要とすることなく、パケット全体(即ち、パケットのデータペイロードだけでなくヘッダも含む)の安全を確保することである。
本発明の目的はまた、必要とする時間が相対的に短く、且つ送信端及び受信端に既存のリソースを使用して実行することができるセキュリティ機構を提供することである。
【0014】
本発明の更に別の目的は、ヘッダを暗号化しない(送信を容易且つ高速にするため)が、同時にヘッダに対するいかなる改ざんも検出可能にする機構を構築することである。
先行技術の欠点を解決し、且つ前述の目的を達成するために、本発明は、少なくとも3つの部分、即ちヘッダ部分、データペイロード部分、及びチェックコード部分(例えば、巡回冗長コードを使用する)により構成されるパケットフォーマットを提供する。本発明によれば、ヘッダ及びデータペイロード部分の組み合わせについてチェックコードが計算される。その後、データペイロード部分及びチェックコード部分が暗号形式で送信されるが、ヘッダはそのまま送信される。ヘッダに対するいかなる改ざんも、受信端において、例えばチェックコード部分を使用して不一致を発見することにより、容易に検出することができる。
【0015】
本発明は、いずれかの汎用ネットワークを介して送信されるパケットのセキュリティ機構を提供し、データペイロードに対するあらゆる改ざんからパケットを保護するだけでなく、ヘッダを隠し、伝送ルートの途中でこれらのヘッダに生じ得るいかなる改ざんも検出する。
本発明はあらゆるパケット交換ネットワークで実施できる。パケット交換ネットワークは、インターネットのような有線ネットワーク、又は無線イーサネット等の無線ネットワークとすることができ、ネットワークは、セキュアネットワーク、インセキュアなネットワーク、プライベートネットワーク、公衆ネットワーク、又はこれらのネットワークのいずれかの組み合わせとすることができる。当然ながら、本発明は、インセキュアなネットワークにおいて最大の利点を提供する。本明細書に開示する一般的なパケットフォーマットは、ファイル転送プロトコル(FTP)、転送制御プロトコル(TCP)、Bluetooth等のいかなるプロトコルにおいても使用できる。バス(bus)、スター(star)、リング(ring)等、全二重通信、半二重通信等のネットワークトポロジーによって、本発明の適用形態が制限されることはない。本方法はコンピュータネットワークだけでなく、電気通信ネットワーク、及び本発明に従ってセキュアな方法によりデジタルデータが送信される他の全てのネットワークにも適用することができる。
【0016】
本発明は非常に多くの適用形態を有し、図1、2、及び3に関する説明は単なる例示であり、決して本発明を制限するものではない。例えば、本発明は、本発明の適用形態が説明される限りにおいて、インターネット、並びに医療装置ネットワークを介したセキュアなトランザクションに効果的に適用することができる。
医薬分野における進歩によって、急性疾患の治療が改善され、慢性疾患の薬物治療及び療法が向上したことによりヒトの寿命が著しく伸びた。この長寿という恩恵は、薬剤投与及び薬物治療を受けるために頻繁に医者にかかることを考慮すると、場合によっては逆の意味を持つ。このような通院は時間効率が悪く、且つコスト効率が悪い。従って、ヘルスケア担当者のもとに通う頻度を最小化する、セルフケア/治療及び薬物治療に対する必要が生じる。このようにして、平均的な知識及び教育を持つ人が容易に操作できる薬剤投与装置を導入することにより問題を解決する技術が考案される。これらの装置は通常、使用が容易であり、且つ「馬鹿避け」になっている。例えば、インスリン(糖尿病患者)、吸入剤(喘息患者)を投与する装置、血液試料採取装置等が広く市販されている。
【0017】
しかしながら、一部の患者、特に高齢の患者は、全ての処置が正しい方法で行なわれていること、即ち装置の動作が信頼できることと、正しい量の薬剤が所望通りに投与されていることとについて、常に安心感を持てなければならない。更に、一部の患者について、薬剤投与治療の日時を思い出させる機能が必要とされる場合がある。また、何らかのレポートが患者の担当医師、及び/又は当該医者の近くに所在する者、及び患者の近親者に送信されることが望ましい。このレポートは、医者が患者の治療の経過及び現状をチェックするときに役に立つだけでなく、将来の薬物治療計画を決定する際にも役に立つ。このレポートは、一定の期間に亘る患者の行動及び習慣の日誌としても機能する。このデータはまた、緊急時にヘルスケアチームが必要な修正を行うために必要となり得る。従って、理想的には、これらのデータ収集及びデータ送信作業は、それを行うのに必要な患者(又は患者の周りの人)の労力が小さく、更に患者の日々の生活の邪魔になってはならない。この解決法では、他の演算装置と無線通信し、合わせて患者の良好なケアを維持するための患者−医師−親類ネットワークを形成する機能を備えた高性能薬剤投与装置を導入する。
国際公開番号WO00/32088、WO03/005891、及びWO03/015838は全て、このような医療装置、ネットワーク、及びこの分野において使用可能な手段の一部を用いたそれらの操作方法について記載している。後述では、本発明を実施することができる装置及びネットワークについて説明する。
【0018】
本明細書において、「医療装置」という用語は、個別投与量の薬液(小滴の形を採ることができる)を投与する注入型装置(ペン型注射器又はジェット式注射器等)、薬液の持続投与を行なう薬剤ポンプ、吸入器、或いは、「蒸気」、「原子化合物」、又は「微粉末」の形態で個別投与量又は持続投与量の薬剤、好ましくはインスリンを投与するスプレー等を意味する。医療装置はまた、血糖テスター又はBGM(血糖測定装置)、例えばいわゆるテストストリップを使用する、血糖値の手動測定装置、又は更に高性能の装置、即ち血中グルコース量の自動連続測定を行なうCGM(グルコース連続測定装置)を意味することができる。
米国特許第6540672号、同第6656114号、米国特許出願公開第2002/010432、及び同第2003/032868は全て、高性能医療装置を開示しており、これらの文献を参照することにより文献の内容全体を本発明の開示に包含する。米国特許第5888477号(この文献を参照することにより文献の内容全体を本発明の開示に包含する)は、インスリン投与に使用できる強固な機能を備えた吸入器を開示している。Smith等による米国特許第5785049号(この文献を参照することにより文献の内容全体を本発明の開示に包含する)は、粉末状製剤投与に適する装置を開示している。
【0019】
図1は、国際公開番号WO00/32088に開示されるような、インスリンを糖尿病患者に投与し、更には血糖値レベルを解析する機能を備えた複合装置である高性能装置5の一例を示しており、ここで参照することにより上記特許文献の内容を本発明の開示に包含する。この装置はドーサーモジュール10及び機能マスターモジュール20を有する。データ通信を可能にするため、データ送信兼受信手段30が設けられている。ユーザはデータを保存し、装着されているディスプレイを使用して、後の時点で当該データを閲覧することもできる。一つ以上のボタン50が設けられていることにより、ユーザによるユニットの制御が可能であり、ユーザとユニットとの良好な相互作用が実現されている。
図2は、患者−医師−親類ネットワークに可能な一形態を示している。患者は、図1において前記機能モジュールキャップを備えるものとして説明された2つのドーサーモジュール10のような前述の高性能装置を所持する。これらのドーサーは、種々のネットワーク及びプロトコルを使用して種々の演算手段と通信する。ネットワークに可能な形態は、パーソナルエリアネットワーク、インターネット、ローカルエリアネットワーク等を含む。更に、通信は、一つの装置と患者のコンピュータ80との間で行なうこともできる。一部の実施形態では、ローカルエリアネットワーク、RS−232リンク、衛星通信等の種々の通信リンクを使用して、データを送信し、中央データベースサーバ100に保存することもできる。更に、装置は、電話リンク等の種々の通信手段90を通して中央データベース100に保存データを送信することもできる。また、集中化データベースには、ネットワークを介して接続される種々の演算装置110、120、130を使用してアクセスすることができる。このデータベースを使用して、前出の図に示すように、情報を装置5に送信することもできる。このネットワークについては、本明細書に参考文献として包含される国際公開番号WO03/005891に更に詳細に説明されている。
【0020】
図3a及び3bはそれぞれ最先端ネットワークを示し、このネットワークでは、電気通信装置がコンピュータネットワークとのインターフェース接続を行なって、柔軟性の高い動作が提供される。図3aでは、ドーサー10及び機能マスターモジュールキャップ20が関連する第三者(即ち、医師、親類、ヘルスケアチーム等)の移動通信端末150と、移動通信端末/無線アクセスポイント140を通して通信する。必要に応じて通信はいずれのプロトコルを使用するものでもよく、例えばBluetoothを装置−移動体間の通信に使用し、GSMを移動体−移動体間の通信に使用することができ、或いはその逆の使用法も可能である。情報は、SMS(ショートメッセージングサービス)、MMS、又はe−mailのようなアプリケーションを使用するデータ交換とすることができる。装置のディスプレイを更に高性能化してこれらの機能を取り込むことができる。
図3bは、図3aとは若干異なり、接続が装置10とユーザの移動端末140との間で確立されており(上述のように)、受信された情報が、GPRS、TCP/IP(転送制御プロトコル/インターネットプロトコル)、GSM等を使用してデータベースサーバ100に送信される場合を示している。この場合、いずれかの公知のネットワークリンクを介し、移動端末(例えば、無線アクセスプロトコルを使用して)150、又はコンピュータ110を使用することにより、関連する第三者が保存情報にアクセスすることができる。別の構成として、サーバがSMS及び/又はe−mailとして情報を送信することもできる。上述のネットワークは、参照により本明細書に参考文献として包含する国際公開番号WO03/015838に更に詳細に記載されている。
上述のシナリオは、送信データが不法傍受、改ざん、及び他の全ての有害行為の被害を受けることがないように送信データの安全が確保されるという基本要件を有し、このような有害行為が行なわれた場合、データの個人的侵害となるだけでなく、間違ったデータが誤って解釈されると生命に大きな影響を及ぼし、生命を危険に陥れることもある。パケットを送信する際に暗号化等の種々の方法を使用することができるが、ヘッダが改ざん等の危険に曝されるという問題が依然として残る。本発明はこの問題に対処するものであり、ここに開示する解決法は、上述の種類のネットワークだけでなく、パケット交換ネットワークにも適用される。
【0021】
図4は一般的なパケット構造を示している。データパケット410は、3つの異なる部分、即ちヘッダ420、データペイロード430、及びチェックコード440を含む。このチェックコードは、プロトコル、及び送信データのフォーマットの要件に従って選択することができる。最も頻繁に使用されるチェックコードは、巡回冗長コード又はCRCコードである。このコードは、CRC−12、CRC−CCITT等の種々の変形形態で用いられる。チェックコードは、送信データの有効性をチェックするために使用される多項式を用いる技術である。チェックコードの挿入及び読み出しによりデータの有効性を確認する方法及び技術は、本特許出願の技術範囲には含まれないので、ここには記載しない。広義には、チェックコードを用いる方法では次のステップを行う。
ステップ1:送信端において、既知の生成多項式G(x)を使用してデータペイロードのチェックコードを計算し、パケットに付加する。このチェックコードは通常、パケットの最後に付加されるが、他のフォーマットを使用することもできる。
ステップ2:ヘッダ部分(特に宛先に関する情報を含む)、データペイロード部分、及びチェックコード部分を有するデータパケットを転送する。
ステップ3:受信端において、データ部分及び付加チェックコード部分を多項式G(x)で除算する。この除算の結果余りが出る場合、送信に何らかのエラーが生じており、修正処置が行なわれる。
【0022】
送信データの安全を確保するために、データ部分及びチェックコード部分を送信端で暗号化し、受信側でも暗号化する場合がある。データ部分及びチェックコード部分をまず復号化し、次にチェックコードが有効であることを確認する。暗号化は共通に合意されたいずれかのアルゴリズム及び方法を使用して行なうことができる。
前述のように、パケットのヘッダ部分は普通、時間を節約するために暗号化されず、従ってパケットはネットワーク攻撃に曝される。このような状況では、ヘッダ情報の改ざんを検出し、いずれかの修正処置を行なうことはほとんど不可能である。
【0023】
本発明は、暗号化されたヘッダを有さない(従って、複雑さが低減し、且つ高速送信が可能になるという利点が得られる)が、送信中にヘッダ又はデータペイロードに加えられた可能性のあるいかなる改ざんも検出する手段を有するパケットフォーマットを開示する。このようなパケットは、図5のフローチャートに示す方法に従って形成される。
生のパケット、即ちヘッダ及びデータペイロードのみを入力として取り込む(500)。ヘッダとデータ部分の組み合わせのチェックコードを計算し(510)、次いで元のデータパケットに付加する(520)。次のステップでは、データ部分及びチェックコード部分を暗号化する(530)。上記で触れたように、暗号化アルゴリズムの使用は、純粋に送信端と受信端との間で行なわれる選択及び合意の主題である。本発明は、何らかの暗号化アルゴリズムを優先することによって実施される訳ではない。DES、RSA、SHA等の対称アルゴリズム、非対称アルゴリズムを適用することができる。言うまでもないが、アルゴリズムが強力である程、結果としてデータ送信の安全性が向上する。本方法の結果としてパケットが出力される(540)。このパケットを図6に詳細に示す。
【0024】
図4及び6に示すパケットフォーマットでは、チェックコード部分がデータパケットの最後の部分に位置する。これは単なる例示であり、決してこの構成に制限されるものではない。本発明は、パケット内におけるチェックコードの位置とは無関係に適用される。
【0025】
図7は、送信段階でデータパケットに加えられる全ての改ざんをチェックするために受信端で行なわれるプロセスを示している。図6に示すパケットは、受信端の入力パケットとなる。最初に、データ部分及びチェックコード部分を復号化する(710)。次のステップとして、チェックコードの有効性を確認する(720)。この確認の結果がOKである場合(730)、チェックコードなしのパケットを出力し(740)、データペイロードを使用する。そうではない場合、即ちチェックコードの有効性を確認した結果がOKではない場合、再送信リクエスト等の修正処置(群)を結果として行なう(750)。
データペイロード部分又はヘッダ部分に対していずれかの改ざんが加えられた場合、CRCチェックが失敗するので、受信者に対し、何らかのエラー及び/又は不正行為が当該受信者に対して送信されたデータに発生していることを通知できる。ヘッダは送信中に符号化又は暗号化されることはないので、計算時間の掛かる作業を交換要素において行なう必要がなく、時間だけでなくリソースを節約することができる。
【0026】
前述の方法は、演算装置においてハードウェア又はソフトウェアの形式か、或いは両方を組み合わせた形式で実行される一連の命令を使用して実施できる。本発明は、上記方法の実施形態において種々のアブストラクションレベルで使用される言語及びコード化に影響されない。演算装置は、処理手段、制御ユニット、記憶手段、及び内部通信手段を有する汎用演算装置、例えば医療装置とすることができる。
以下に、本発明の動作例について記載する。
【0027】
一般的なデータフォーマット
パケットは通常、ヘッダ部分、データ部分、及びチェックサム部分に分割される。ヘッダは、宛先アドレス、宛先チャネル、メッセージ種類、及びパケットシーケンス番号を含む。データ部分は、長さ、命令識別子、及びパラメータを含む。
【0028】
ヘッダ部分
ヘッダ部分は、アドレス、及びプロトコルがデータ部分を伝送するために必要とする他の情報を含む。ヘッダは通常決して暗号化されることはないが、チェックサム計算に取り込まれる。
Destination
destinationはパケットの宛先アドレスである。デバイスアドレスは各デバイスの固有デバイス識別子である。アドレス0(addrBroadcast)はブロードキャストメッセージに予約される。
Channel
chanパラメータは、宛先デバイスのチャネル番号を指定する。チャネル0(chnAny)は割り当てメッセージに予約される。
Type
メッセージ種類のフィールドは、メッセージの一般的な種類を示す。
Sequence
シーケンス番号を使用して送信メッセージの複製を削除する。この番号はmtReq及びmtReplyの種類の各パケットに関して増加させることができる。シーケンス番号は循環し、255の後、1(ゼロではない)に戻る。シーケンス番号0を使用して、例えばデバイスの電源がオンになり、デバイスの状態が失われるとき、チャネルを再同期させる。シーケンス番号がゼロのパケットを受信したとき、暗号化状態を一気に解除する必要がある。
Length
データ部分のバイト単位の長さ。最大長は(定められた最大パケットサイズ−ヘッダ部分及びチェック部分のサイズ)、即ち例えばMaxBufferSize−10である。最小長は3(cmdフィールド及びstatusフィールドのサイズ)である。長さ0は、特殊事例としてアクノリッジメッセージの中で使用することができる。
【0029】
データ部分
データ部分が空ではない場合、データ部分は必ず命令識別子から始まる。
Cmd
命令を識別する。0〜15はプロトコルメッセージに予約される。16〜255は共通命令に使用することができる。範囲256〜65535はデバイス固有命令に使用することができる。各デバイス種類は256個の識別子範囲を受信する。
Status
Statusフィールドは命令応答パケットのエラーコードを含む。ステータスコードがエラーを示す場合、paramフィールドは省略することができる。
Param
可変サイズのデータ部分は、各命令に固有のパラメータ又はデータを含む。
Check part
destinationを含む全てのフィールドは、crcを計算するときに使用される。暗号化を使用する場合、データ部分及びチェック部分は暗号化されるがヘッダは暗号化されない。crcフィールドを暗号化データに含めることにより、ヘッダの自動認証を行なうことができる(crcをハッシュダイジェスト又はメッセージダイジェストとして使用する)。crcは非暗号化データに関しては計算されないことに留意されたい。
【図面の簡単な説明】
【0030】
【図1】本発明の説明に関連する医療装置を示す。
【図2】本発明の一実施形態によるネットワークシナリオを示す。
【図3】a及びbは、本発明を実施することができる別の設定を示す。
【図4】先行技術に既知の方法で送信されるパケットの構造を示す。
【図5】本発明により送信端において行なわれる方法のフローチャートである。
【図6】本発明によるパケットの構造を示す。
【図7】本発明を実施する受信端において行なわれる方法のフローチャートである。
【発明の開示】
【0001】
本発明は、パケット交換データ通信装置を利用する装置の分野に関する。具体的には、本発明は、2つ以上の装置の間で行われるデータ送信中に使用されるパケットの構成及びフォーマットに関する。
電気通信産業が急速に成長し、ネットワーク(群)のウェブが一層複雑化したことにより、当然ながらこれらのネットワークを介して送信されるデータのセキュリティが重大な関心事となっている。
【0002】
装置(パーソナルコンピュータ、携帯電話機、携帯情報端末等)の種類及び数が増大し、これらの装置の接続性が重要な特長となるに従って、これらの装置の間で送信されるデータの量も著しく増大した。このようなデータの性質は、秘密及び/又は重要である場合があるので、保護される必要がある。
デジタルネットワークを介したデータ送信は、0(ゼロ)と1のストリングの形式(即ち、複数ビットの2進言語)で行なわれる。これらのビットはバイトとしてグループ化される場合が多い。
【0003】
あらゆる2者間(人間、コンピュータ等を含む)で有効に通信を行なうために、合意された特定のプロトコル規格に双方が従う必要がある。このプロトコルは、当事者が互いに通信する際に使用する一連のルール及びガイドラインを決定する。コンピュータ及び電気通信の分野では、2つのエンティティの間の相互作用は、様々なレベルのアブストラクション(abstraction)及び相関性で行なわれる。これらのレベルはネットワーキングプロトコルのレイヤと呼ばれ、通信レイヤの各ペア間で結合されたプロトコルの組はプロトコルスタックと呼ばれる。一例として、広く使用される一つのプロトコルスタックは開放型システム間相互接続(OSI)参照モデルであり、これについての詳細は本明細書において参照することにより本発明の開示に含まれる。種々のプロトコルレイヤは、データをこれらのレイヤの間で送受信されなければならないフォーマットも規定する。データのフォーマットは通常、レイヤの相関性、セキュリティ上の関心事、信頼度因子等の種々の要素を考慮して決定される。
ネットワークは、データ送信の方法によって分類することができる。広く使用される2つの分類は、回線交換ネットワーク及びパケット交換ネットワークである。交換ネットワークは、部分メッシュトポロジー又は完全メッシュトポロジー(即ち、ネットワークのノードの間の部分接続又は完全接続)を含み、スイッチと呼ばれる特殊なネットワーク装置を使用して送信元ノードと宛先ノードとの間のリンクを相互接続する。
【0004】
回線交換ネットワークでは、最初に送信元と宛先との間で物理回線が確立されてから送信が行なわれる。回線が確立すると、物理回線は現在の送信専用となる。送信が完了すると、この回線は解放され、別の通信伝送に利用することができる。
パケット交換ネットワークでは、最初にメッセージがパケットと呼ばれる小単位に分割され、次いで中間スイッチを通して宛先ノードに送信される。一つのパケットは、所定のネットワーク内で転送することができる最小のデータ単位である。各パケットヘッダは、宛先ノードアドレス、送信元アドレスだけでなく、プロトコル固有情報、シーケンス番号、データバイト長等の他の重要情報を含むことができる。パケットが中間スイッチに到達すると、このスイッチはパケットの宛先アドレスを分析し、当該パケットが次のスイッチまでに取る経路を決定する。パケットは宛先に到達すると破棄される。各パケットの大きさは様々であるが、いずれも小ビットのデータを一のホストから別のホストに伝送する。各パケットはパケット自体の個別情報を有することもできる。異なる種類のプロトコルは異なる種類のパケットを形成し、受信端でパケットはプロトコルに従って読み出される。
【0005】
送信の間、これらのパケットは、様々な種類のネットワークエラー、及びセキュリティ攻撃を受け易く、例えば何者かがデータを盗む、コピーする、又は改ざんしようとする。ネットワークエラー等により、一端から送信されるデータが経路の途中で破損し、受信者は誤りデータを受信する。この問題を防止及び解決するために、エラーチェックコード及びエラー訂正コードが使用される。
この技術分野で広く受け入れられている一つの方法は、データパケットのチェックコードを含む。エラーチェックコードは、受信端においてチェック可能な何らかのアルゴリズムによって計算されるデータの概要又は要約である。
【0006】
多項式コードはチェックコードの一分類を形成する。これらは巡回冗長コード又はCRCコードとしても知られる。巡回冗長検査は、通信リンク上で送信されたデータのエラーをチェックする方法である。送信側装置は、送信されるデータブロックに16又は32ビット多項式を適用し、結果として得られる巡回冗長コード(CRC)をブロックに付加する。受信端は同じ多項式をデータに適用し、適用結果を送信側が付加した結果と比較する。結果が当事者間で一致する場合、データが無事に受信されたと判断することができる。逆の場合、送信側に再送信するように通知することができる。
CRC−12、CRC−16、及びCRC−CCITTのような多項式は、本技術分野で広く使用されている。CRC−12は、文字長が6ビットの場合に使用される。他の2つは8ビット文字に使用される。16ビット巡回冗長コードは、全てのシングルビットエラー及びダブルビットエラーを検出し、生じ得る全てのエラーの99.998%の検出を保証する。このレベルの検出保証は4キロバイト以下のデータ転送ブロックに対して十分であると考えられる。これよりも規模の大きい転送に関しては、32ビットCRCが使用される。
【0007】
一般に使用される「チェックコード」、又はメッセージを認証する際に使用されるメッセージダイジェストアルゴリズムは、例えばMD5アルゴリズム(Internet Engineering Task Force RFC1321)又はSHS(http://csrc.nist.gov/publications/fips/fips180−1/fip180−1.txt)である。これらは、簡単なCRCチェックよりもセキュリティが高い(即ち、改ざん防止)と考えられるが、非常に長い計算時間及び大きい記憶容量を必要とする。
一のパケットのビット及びバイト(即ち、デジタル転送の基本単位)は、ヘッダ部分とデータ部分に分割される。チェックコードを取り込んだ後、パケットは大雑把に3つの部分、即ちヘッダ部分、データ部分、及びチェックコード部分を含む。チェックコードをパケットに取り込む処理では、配信するデータの完全性に細心の注意を払う。
【0008】
パケットは、転送中に傍受し、コンテンツを読み出す、コピーする、改ざんする、又は消去するという形式か、或いはヘッダを改ざんしてパケットの進行方向を変える(不所望の受信者に)、又は誤った情報を受信者に提供するという形式のネットワーク攻撃に弱い。この種類のセキュリティ侵害によって、送信されているデータの真正性に関する疑念が生じる。データ改ざんは、上述したものと同様のエラー検出コードを使用することにより検出することができる。パケットに関する改ざんの問題を回避するために、プロトコルスタックの一以上のレベルにおいて種々の手段が用いられる。
ネットワークを介して転送されるデータのセキュリティを高めるために用いられる方法の一つでは、パケット全体を暗号化し、暗号化パケットを送信し、その後暗号化パケットを受信端で復号化することにより、ヘッダを更にセキュアなものとし、且つ改ざん防止の度合いを高めている。しかしながら、この手法には欠点がある。パケット交換ネットワークでは、パケットは、パケット送信元からパケットの最終宛先に到る行程において、複数のスイッチ及びルータ等を通じてホップするので、ヘッダを暗号化するとオーバーヘッドを生じさせる。各中間ルーティング要素では、ヘッダのコンテンツを理解してパケットをその(次の)宛先に振り向けることができるようにヘッダを復号化し、その後パケットを再び暗号化する必要があるため、このオーバーヘッドは時間及び効率の面で現れる。この暗号化−復号化−暗号化ステップによって、パケットを宛先に送信するための時間が非常に長くなる。交換要素の性能を高めるため、即ちヘッダの高速暗号化及び復号化を可能にするために十分な計算能力を必要とするため、このようなオーバーヘッドはコストとして表現することもできる。セキュアな暗号化は比較的長い時間を必要とするので、暗号化はプロトコルスタックの短時間処理を必要とする部分には適さない。この理由により、通常パケットのペイロード部分のみが暗号化される。
【0009】
上記方法は、パケットが傍受され、パケットヘッダのコンテンツが改ざんされるシナリオには有効ではない。ヘッダはパケットの重要部分(その宛先、送信元及び他の重要な情報を決定する)であるので、ヘッダのデータコンテンツの保護も同様に重要である。従って、パケットのヘッダ部分に対するいかなる改ざんも受信端で検出することができることが絶対に必要になる。
ネットワーク上を伝送されるデータパケットの安全を確保するために種々の処置が採られている。しかしながら、これらの処置のほとんどは、米国特許出願公開第2003/0065917A1、及び国際公開番号WO03/061289A1のように、どれもポイントツーポイント接続が確立されてからセキュアな方法でデータを送信するシナリオに関連している。
【0010】
公衆ネットワークを介して送信されるデータの安全を確保するために、種々の試みが為されている。例えば、国際公開番号WO03/063520では、送信者と受信者にのみ理解される符号形式でデータを符号化することにより、傍受者によるデータの解読が困難になる。しかしながら、ヘッダは符号化されないので、改ざんすることができる。
国際公開番号WO03/050965では、拡散スペクトラム技術を使用してパケットのデータペイロード部分を暗号化することによりセキュリティを強化するが、ヘッダが保護されないままであるという問題が依然として解決されない。国際公開番号WO03/005635及び米国特許第5898784号は、データパケットの安全な送信のための種々の試みに関連するその他特許の一部である。しかしながら、この場合もデータペイロードの安全のみが確保され、パケットの残りの部分はネットワーク攻撃に曝されたままである。
【0011】
米国特許第4910777号は、パケットのフラグ値を暗号化してからパケットを送信する技術を開示している。しかしながら、この方法は、高性能の交換要素を必要とし、更にパケット交換の度に行なわれる計算の回数を増加させる。
米国特許第5303303号は、ダミーのヘッダ及びトレーラというコンセプトを導入することにより、前述の不具合の全てを解決しようとしている。この発明によれば、パケット全体を暗号化してから、また別のヘッダ及びトレーラをこの暗号化パケットに付加する。この付加されたヘッダ及びトレーラは、更に別のデータパケットがノンセキュアなネットワークに入り、ノンセキュアなネットワークから出て行く際に通る入力ノード及び出力ノードに関する情報のみを含む。従って、ノード間で傍受が生じても、ノンセキュアなネットワークにおけるパケット経路に関する情報しか提供されず、パケットの元来の送信者及び受信者に関する情報は提供されない。従って、この方法は、ノンセキュアなネットワークに分類できるインターネットのようなシナリオに属する。
【0012】
先行技術の欠点によって、計算リソースに対する必要度が小さく、時間効率が高く、更にセキュアで強固な方法の導入が必要となっている。
本発明の目的は、パケットのデータペイロードを保護するだけでなく、ヘッダをあらゆるネットワーク攻撃から隠すパケットフォーマット及び方法を提供することにより、先行技術における欠点を解決することである。
【0013】
本発明の別の目的は、全ての交換要素において強化された計算リソースを必要とすることなく、パケット全体(即ち、パケットのデータペイロードだけでなくヘッダも含む)の安全を確保することである。
本発明の目的はまた、必要とする時間が相対的に短く、且つ送信端及び受信端に既存のリソースを使用して実行することができるセキュリティ機構を提供することである。
【0014】
本発明の更に別の目的は、ヘッダを暗号化しない(送信を容易且つ高速にするため)が、同時にヘッダに対するいかなる改ざんも検出可能にする機構を構築することである。
先行技術の欠点を解決し、且つ前述の目的を達成するために、本発明は、少なくとも3つの部分、即ちヘッダ部分、データペイロード部分、及びチェックコード部分(例えば、巡回冗長コードを使用する)により構成されるパケットフォーマットを提供する。本発明によれば、ヘッダ及びデータペイロード部分の組み合わせについてチェックコードが計算される。その後、データペイロード部分及びチェックコード部分が暗号形式で送信されるが、ヘッダはそのまま送信される。ヘッダに対するいかなる改ざんも、受信端において、例えばチェックコード部分を使用して不一致を発見することにより、容易に検出することができる。
【0015】
本発明は、いずれかの汎用ネットワークを介して送信されるパケットのセキュリティ機構を提供し、データペイロードに対するあらゆる改ざんからパケットを保護するだけでなく、ヘッダを隠し、伝送ルートの途中でこれらのヘッダに生じ得るいかなる改ざんも検出する。
本発明はあらゆるパケット交換ネットワークで実施できる。パケット交換ネットワークは、インターネットのような有線ネットワーク、又は無線イーサネット等の無線ネットワークとすることができ、ネットワークは、セキュアネットワーク、インセキュアなネットワーク、プライベートネットワーク、公衆ネットワーク、又はこれらのネットワークのいずれかの組み合わせとすることができる。当然ながら、本発明は、インセキュアなネットワークにおいて最大の利点を提供する。本明細書に開示する一般的なパケットフォーマットは、ファイル転送プロトコル(FTP)、転送制御プロトコル(TCP)、Bluetooth等のいかなるプロトコルにおいても使用できる。バス(bus)、スター(star)、リング(ring)等、全二重通信、半二重通信等のネットワークトポロジーによって、本発明の適用形態が制限されることはない。本方法はコンピュータネットワークだけでなく、電気通信ネットワーク、及び本発明に従ってセキュアな方法によりデジタルデータが送信される他の全てのネットワークにも適用することができる。
【0016】
本発明は非常に多くの適用形態を有し、図1、2、及び3に関する説明は単なる例示であり、決して本発明を制限するものではない。例えば、本発明は、本発明の適用形態が説明される限りにおいて、インターネット、並びに医療装置ネットワークを介したセキュアなトランザクションに効果的に適用することができる。
医薬分野における進歩によって、急性疾患の治療が改善され、慢性疾患の薬物治療及び療法が向上したことによりヒトの寿命が著しく伸びた。この長寿という恩恵は、薬剤投与及び薬物治療を受けるために頻繁に医者にかかることを考慮すると、場合によっては逆の意味を持つ。このような通院は時間効率が悪く、且つコスト効率が悪い。従って、ヘルスケア担当者のもとに通う頻度を最小化する、セルフケア/治療及び薬物治療に対する必要が生じる。このようにして、平均的な知識及び教育を持つ人が容易に操作できる薬剤投与装置を導入することにより問題を解決する技術が考案される。これらの装置は通常、使用が容易であり、且つ「馬鹿避け」になっている。例えば、インスリン(糖尿病患者)、吸入剤(喘息患者)を投与する装置、血液試料採取装置等が広く市販されている。
【0017】
しかしながら、一部の患者、特に高齢の患者は、全ての処置が正しい方法で行なわれていること、即ち装置の動作が信頼できることと、正しい量の薬剤が所望通りに投与されていることとについて、常に安心感を持てなければならない。更に、一部の患者について、薬剤投与治療の日時を思い出させる機能が必要とされる場合がある。また、何らかのレポートが患者の担当医師、及び/又は当該医者の近くに所在する者、及び患者の近親者に送信されることが望ましい。このレポートは、医者が患者の治療の経過及び現状をチェックするときに役に立つだけでなく、将来の薬物治療計画を決定する際にも役に立つ。このレポートは、一定の期間に亘る患者の行動及び習慣の日誌としても機能する。このデータはまた、緊急時にヘルスケアチームが必要な修正を行うために必要となり得る。従って、理想的には、これらのデータ収集及びデータ送信作業は、それを行うのに必要な患者(又は患者の周りの人)の労力が小さく、更に患者の日々の生活の邪魔になってはならない。この解決法では、他の演算装置と無線通信し、合わせて患者の良好なケアを維持するための患者−医師−親類ネットワークを形成する機能を備えた高性能薬剤投与装置を導入する。
国際公開番号WO00/32088、WO03/005891、及びWO03/015838は全て、このような医療装置、ネットワーク、及びこの分野において使用可能な手段の一部を用いたそれらの操作方法について記載している。後述では、本発明を実施することができる装置及びネットワークについて説明する。
【0018】
本明細書において、「医療装置」という用語は、個別投与量の薬液(小滴の形を採ることができる)を投与する注入型装置(ペン型注射器又はジェット式注射器等)、薬液の持続投与を行なう薬剤ポンプ、吸入器、或いは、「蒸気」、「原子化合物」、又は「微粉末」の形態で個別投与量又は持続投与量の薬剤、好ましくはインスリンを投与するスプレー等を意味する。医療装置はまた、血糖テスター又はBGM(血糖測定装置)、例えばいわゆるテストストリップを使用する、血糖値の手動測定装置、又は更に高性能の装置、即ち血中グルコース量の自動連続測定を行なうCGM(グルコース連続測定装置)を意味することができる。
米国特許第6540672号、同第6656114号、米国特許出願公開第2002/010432、及び同第2003/032868は全て、高性能医療装置を開示しており、これらの文献を参照することにより文献の内容全体を本発明の開示に包含する。米国特許第5888477号(この文献を参照することにより文献の内容全体を本発明の開示に包含する)は、インスリン投与に使用できる強固な機能を備えた吸入器を開示している。Smith等による米国特許第5785049号(この文献を参照することにより文献の内容全体を本発明の開示に包含する)は、粉末状製剤投与に適する装置を開示している。
【0019】
図1は、国際公開番号WO00/32088に開示されるような、インスリンを糖尿病患者に投与し、更には血糖値レベルを解析する機能を備えた複合装置である高性能装置5の一例を示しており、ここで参照することにより上記特許文献の内容を本発明の開示に包含する。この装置はドーサーモジュール10及び機能マスターモジュール20を有する。データ通信を可能にするため、データ送信兼受信手段30が設けられている。ユーザはデータを保存し、装着されているディスプレイを使用して、後の時点で当該データを閲覧することもできる。一つ以上のボタン50が設けられていることにより、ユーザによるユニットの制御が可能であり、ユーザとユニットとの良好な相互作用が実現されている。
図2は、患者−医師−親類ネットワークに可能な一形態を示している。患者は、図1において前記機能モジュールキャップを備えるものとして説明された2つのドーサーモジュール10のような前述の高性能装置を所持する。これらのドーサーは、種々のネットワーク及びプロトコルを使用して種々の演算手段と通信する。ネットワークに可能な形態は、パーソナルエリアネットワーク、インターネット、ローカルエリアネットワーク等を含む。更に、通信は、一つの装置と患者のコンピュータ80との間で行なうこともできる。一部の実施形態では、ローカルエリアネットワーク、RS−232リンク、衛星通信等の種々の通信リンクを使用して、データを送信し、中央データベースサーバ100に保存することもできる。更に、装置は、電話リンク等の種々の通信手段90を通して中央データベース100に保存データを送信することもできる。また、集中化データベースには、ネットワークを介して接続される種々の演算装置110、120、130を使用してアクセスすることができる。このデータベースを使用して、前出の図に示すように、情報を装置5に送信することもできる。このネットワークについては、本明細書に参考文献として包含される国際公開番号WO03/005891に更に詳細に説明されている。
【0020】
図3a及び3bはそれぞれ最先端ネットワークを示し、このネットワークでは、電気通信装置がコンピュータネットワークとのインターフェース接続を行なって、柔軟性の高い動作が提供される。図3aでは、ドーサー10及び機能マスターモジュールキャップ20が関連する第三者(即ち、医師、親類、ヘルスケアチーム等)の移動通信端末150と、移動通信端末/無線アクセスポイント140を通して通信する。必要に応じて通信はいずれのプロトコルを使用するものでもよく、例えばBluetoothを装置−移動体間の通信に使用し、GSMを移動体−移動体間の通信に使用することができ、或いはその逆の使用法も可能である。情報は、SMS(ショートメッセージングサービス)、MMS、又はe−mailのようなアプリケーションを使用するデータ交換とすることができる。装置のディスプレイを更に高性能化してこれらの機能を取り込むことができる。
図3bは、図3aとは若干異なり、接続が装置10とユーザの移動端末140との間で確立されており(上述のように)、受信された情報が、GPRS、TCP/IP(転送制御プロトコル/インターネットプロトコル)、GSM等を使用してデータベースサーバ100に送信される場合を示している。この場合、いずれかの公知のネットワークリンクを介し、移動端末(例えば、無線アクセスプロトコルを使用して)150、又はコンピュータ110を使用することにより、関連する第三者が保存情報にアクセスすることができる。別の構成として、サーバがSMS及び/又はe−mailとして情報を送信することもできる。上述のネットワークは、参照により本明細書に参考文献として包含する国際公開番号WO03/015838に更に詳細に記載されている。
上述のシナリオは、送信データが不法傍受、改ざん、及び他の全ての有害行為の被害を受けることがないように送信データの安全が確保されるという基本要件を有し、このような有害行為が行なわれた場合、データの個人的侵害となるだけでなく、間違ったデータが誤って解釈されると生命に大きな影響を及ぼし、生命を危険に陥れることもある。パケットを送信する際に暗号化等の種々の方法を使用することができるが、ヘッダが改ざん等の危険に曝されるという問題が依然として残る。本発明はこの問題に対処するものであり、ここに開示する解決法は、上述の種類のネットワークだけでなく、パケット交換ネットワークにも適用される。
【0021】
図4は一般的なパケット構造を示している。データパケット410は、3つの異なる部分、即ちヘッダ420、データペイロード430、及びチェックコード440を含む。このチェックコードは、プロトコル、及び送信データのフォーマットの要件に従って選択することができる。最も頻繁に使用されるチェックコードは、巡回冗長コード又はCRCコードである。このコードは、CRC−12、CRC−CCITT等の種々の変形形態で用いられる。チェックコードは、送信データの有効性をチェックするために使用される多項式を用いる技術である。チェックコードの挿入及び読み出しによりデータの有効性を確認する方法及び技術は、本特許出願の技術範囲には含まれないので、ここには記載しない。広義には、チェックコードを用いる方法では次のステップを行う。
ステップ1:送信端において、既知の生成多項式G(x)を使用してデータペイロードのチェックコードを計算し、パケットに付加する。このチェックコードは通常、パケットの最後に付加されるが、他のフォーマットを使用することもできる。
ステップ2:ヘッダ部分(特に宛先に関する情報を含む)、データペイロード部分、及びチェックコード部分を有するデータパケットを転送する。
ステップ3:受信端において、データ部分及び付加チェックコード部分を多項式G(x)で除算する。この除算の結果余りが出る場合、送信に何らかのエラーが生じており、修正処置が行なわれる。
【0022】
送信データの安全を確保するために、データ部分及びチェックコード部分を送信端で暗号化し、受信側でも暗号化する場合がある。データ部分及びチェックコード部分をまず復号化し、次にチェックコードが有効であることを確認する。暗号化は共通に合意されたいずれかのアルゴリズム及び方法を使用して行なうことができる。
前述のように、パケットのヘッダ部分は普通、時間を節約するために暗号化されず、従ってパケットはネットワーク攻撃に曝される。このような状況では、ヘッダ情報の改ざんを検出し、いずれかの修正処置を行なうことはほとんど不可能である。
【0023】
本発明は、暗号化されたヘッダを有さない(従って、複雑さが低減し、且つ高速送信が可能になるという利点が得られる)が、送信中にヘッダ又はデータペイロードに加えられた可能性のあるいかなる改ざんも検出する手段を有するパケットフォーマットを開示する。このようなパケットは、図5のフローチャートに示す方法に従って形成される。
生のパケット、即ちヘッダ及びデータペイロードのみを入力として取り込む(500)。ヘッダとデータ部分の組み合わせのチェックコードを計算し(510)、次いで元のデータパケットに付加する(520)。次のステップでは、データ部分及びチェックコード部分を暗号化する(530)。上記で触れたように、暗号化アルゴリズムの使用は、純粋に送信端と受信端との間で行なわれる選択及び合意の主題である。本発明は、何らかの暗号化アルゴリズムを優先することによって実施される訳ではない。DES、RSA、SHA等の対称アルゴリズム、非対称アルゴリズムを適用することができる。言うまでもないが、アルゴリズムが強力である程、結果としてデータ送信の安全性が向上する。本方法の結果としてパケットが出力される(540)。このパケットを図6に詳細に示す。
【0024】
図4及び6に示すパケットフォーマットでは、チェックコード部分がデータパケットの最後の部分に位置する。これは単なる例示であり、決してこの構成に制限されるものではない。本発明は、パケット内におけるチェックコードの位置とは無関係に適用される。
【0025】
図7は、送信段階でデータパケットに加えられる全ての改ざんをチェックするために受信端で行なわれるプロセスを示している。図6に示すパケットは、受信端の入力パケットとなる。最初に、データ部分及びチェックコード部分を復号化する(710)。次のステップとして、チェックコードの有効性を確認する(720)。この確認の結果がOKである場合(730)、チェックコードなしのパケットを出力し(740)、データペイロードを使用する。そうではない場合、即ちチェックコードの有効性を確認した結果がOKではない場合、再送信リクエスト等の修正処置(群)を結果として行なう(750)。
データペイロード部分又はヘッダ部分に対していずれかの改ざんが加えられた場合、CRCチェックが失敗するので、受信者に対し、何らかのエラー及び/又は不正行為が当該受信者に対して送信されたデータに発生していることを通知できる。ヘッダは送信中に符号化又は暗号化されることはないので、計算時間の掛かる作業を交換要素において行なう必要がなく、時間だけでなくリソースを節約することができる。
【0026】
前述の方法は、演算装置においてハードウェア又はソフトウェアの形式か、或いは両方を組み合わせた形式で実行される一連の命令を使用して実施できる。本発明は、上記方法の実施形態において種々のアブストラクションレベルで使用される言語及びコード化に影響されない。演算装置は、処理手段、制御ユニット、記憶手段、及び内部通信手段を有する汎用演算装置、例えば医療装置とすることができる。
以下に、本発明の動作例について記載する。
【0027】
一般的なデータフォーマット
パケットは通常、ヘッダ部分、データ部分、及びチェックサム部分に分割される。ヘッダは、宛先アドレス、宛先チャネル、メッセージ種類、及びパケットシーケンス番号を含む。データ部分は、長さ、命令識別子、及びパラメータを含む。
【0028】
ヘッダ部分
ヘッダ部分は、アドレス、及びプロトコルがデータ部分を伝送するために必要とする他の情報を含む。ヘッダは通常決して暗号化されることはないが、チェックサム計算に取り込まれる。
Destination
destinationはパケットの宛先アドレスである。デバイスアドレスは各デバイスの固有デバイス識別子である。アドレス0(addrBroadcast)はブロードキャストメッセージに予約される。
Channel
chanパラメータは、宛先デバイスのチャネル番号を指定する。チャネル0(chnAny)は割り当てメッセージに予約される。
Type
メッセージ種類のフィールドは、メッセージの一般的な種類を示す。
Sequence
シーケンス番号を使用して送信メッセージの複製を削除する。この番号はmtReq及びmtReplyの種類の各パケットに関して増加させることができる。シーケンス番号は循環し、255の後、1(ゼロではない)に戻る。シーケンス番号0を使用して、例えばデバイスの電源がオンになり、デバイスの状態が失われるとき、チャネルを再同期させる。シーケンス番号がゼロのパケットを受信したとき、暗号化状態を一気に解除する必要がある。
Length
データ部分のバイト単位の長さ。最大長は(定められた最大パケットサイズ−ヘッダ部分及びチェック部分のサイズ)、即ち例えばMaxBufferSize−10である。最小長は3(cmdフィールド及びstatusフィールドのサイズ)である。長さ0は、特殊事例としてアクノリッジメッセージの中で使用することができる。
【0029】
データ部分
データ部分が空ではない場合、データ部分は必ず命令識別子から始まる。
Cmd
命令を識別する。0〜15はプロトコルメッセージに予約される。16〜255は共通命令に使用することができる。範囲256〜65535はデバイス固有命令に使用することができる。各デバイス種類は256個の識別子範囲を受信する。
Status
Statusフィールドは命令応答パケットのエラーコードを含む。ステータスコードがエラーを示す場合、paramフィールドは省略することができる。
Param
可変サイズのデータ部分は、各命令に固有のパラメータ又はデータを含む。
Check part
destinationを含む全てのフィールドは、crcを計算するときに使用される。暗号化を使用する場合、データ部分及びチェック部分は暗号化されるがヘッダは暗号化されない。crcフィールドを暗号化データに含めることにより、ヘッダの自動認証を行なうことができる(crcをハッシュダイジェスト又はメッセージダイジェストとして使用する)。crcは非暗号化データに関しては計算されないことに留意されたい。
【図面の簡単な説明】
【0030】
【図1】本発明の説明に関連する医療装置を示す。
【図2】本発明の一実施形態によるネットワークシナリオを示す。
【図3】a及びbは、本発明を実施することができる別の設定を示す。
【図4】先行技術に既知の方法で送信されるパケットの構造を示す。
【図5】本発明により送信端において行なわれる方法のフローチャートである。
【図6】本発明によるパケットの構造を示す。
【図7】本発明を実施する受信端において行なわれる方法のフローチャートである。
【特許請求の範囲】
【請求項1】
通信ネットワークにおいて使用される送信パケットフォーマット600であって、
− ヘッダ部分610、
− データペイロード部分620、及び
− チェックコード部分630
を含み、チェックコードはヘッダとデータペイロード部分の組み合わせを対象としており、データペイロード部分及びチェックコード部分は暗号化されたフォーマットであることを特徴とする、送信パケットフォーマット。
【請求項2】
チェックコードが巡回冗長検査コード(CRC)を含む、請求項1記載の送信パケットフォーマット600。
【請求項3】
暗号化が、対称及び非対称キーアルゴリズムを含むいずれかの公知の暗号化アルゴリズムを使用して行なわれる、請求項1記載の送信パケットフォーマット。
【請求項4】
ヘッダ部分及びデータペイロード部分を含むパケットのコンテンツを認証するように構成されたパケットを含む、コンピュータネットワークの通信プロトコル。
【請求項5】
パケット認証が、パケットヘッダ及びデータペイロードのチェックコードを計算し、データペイロード及びチェックコードを符号化することにより行なわれる、請求項4記載の通信プロトコル。
【請求項6】
パケット全体の認証を行なう通信ネットワークにおいてデータパケットを送信する方法であって、前記パケットの各々が、ヘッダ部分、データペイロード部分、及びチェックコード部分により構成されており、
− ヘッダ部分及びデータペイロード部分のチェックコードを計算するステップ510、
− チェックコードをデータパケットに付加するステップ520、
− データペイロード部分及びチェックコード部分を暗号化するステップ530、及び
− 暗号化パケットを送信するステップ540
を含む方法。
【請求項7】
チェックコードが巡回冗長検査(CRC)コードを含む、請求項6記載の方法。
【請求項8】
対称及び非対称キーアルゴリズムを含むいずれかの公知の暗号化アルゴリズムを使用して暗号化を行なう、請求項6記載の方法。
【請求項9】
コンピュータで読み取り可能な内蔵式記憶媒体に保存されるコンピュータで読み取り可能なプログラムコードを備え、パケット認証を行なう通信ネットワークにおいてデータパケットを送信するためのコンピュータプログラム製品であって、前記パケットの各々が、ヘッダ部分、データペイロード部分、及びチェックサム部分を含み、
− ヘッダ部分及びデータペイロード部分のチェックコードを計算する、コンピュータで読み取り可能なプログラムコード手段、
− チェックコードをデータパケットに付加する、コンピュータで読み取り可能なプログラムコード手段、
− データペイロード部分及びチェックコード部分を暗号化する、コンピュータで読み取り可能なプログラムコード手段、及び
− 暗号化パケットを送信する、コンピュータで読み取り可能なプログラムコード手段
を備えるコンピュータプログラム製品。
【請求項10】
請求項1ないし9のいずれか一項に記載のフォーマット又は方法に従って構成される受信データパケットを読み取る方法であって、
− データ及びチェックコード部分を復号化するステップ710、
− チェックコードが有効であることを確認するステップ720、
− チェックコードの有効性を確認できない場合に修正処置を行なうステップ750、及び
− チェックコードの有効性を確認できた場合にデータペイロードを使用するステップ740
を含む方法。
【請求項11】
コンピュータで読み取り可能な内蔵式記憶媒体に保存されるコンピュータで読み取り可能なプログラムコードを備え、請求項1ないし10のいずれか一項に記載のフォーマット又は方法に従って受信データパケットの改ざんをチェックするためのコンピュータプログラム製品であって、
− データ及びチェックコード部分を復号化する、コンピュータで読み取り可能なプログラムコード手段、
− チェックコードの有効性を確認する、コンピュータで読み取り可能なプログラムコード手段、
− チェックコードの有効性を確認できない場合に修正処置を行なう、コンピュータで読み取り可能なプログラムコード手段、及び
− チェックコードの有効性を確認できた場合にデータペイロードを使用する、コンピュータで読み取り可能なプログラムコード手段
を備えるコンピュータプログラム製品。
【請求項12】
ヘッダ認証を行なう通信ネットワークにおいてデータパケットの送信及び読み取りを行うシステムであって、前記パケットの各々が、ヘッダ部分、データペイロード部分、及びチェックサム部分により構成されており、
− 請求項6に記載の方法を使用してパケットを構成する手段、
− パケットを送信する手段、及び
− 請求項10に記載の方法を使用してパケットを読み取る手段
を備えるシステム。
【請求項13】
前記手段の全部又は一部が演算システムに含まれ、演算システムが、
− 少なくとも一つのシステムバス、
− システムバスに接続される少なくとも一つの通信ユニット、
− 一連の命令を含み、且つシステムバスに接続される少なくとも一つのメモリユニット、及び
− メモリに含まれる命令を実行して前記手段を機能させる少なくとも一つの制御ユニット
を備える、請求項12に記載のシステム。
【請求項1】
通信ネットワークにおいて使用される送信パケットフォーマット600であって、
− ヘッダ部分610、
− データペイロード部分620、及び
− チェックコード部分630
を含み、チェックコードはヘッダとデータペイロード部分の組み合わせを対象としており、データペイロード部分及びチェックコード部分は暗号化されたフォーマットであることを特徴とする、送信パケットフォーマット。
【請求項2】
チェックコードが巡回冗長検査コード(CRC)を含む、請求項1記載の送信パケットフォーマット600。
【請求項3】
暗号化が、対称及び非対称キーアルゴリズムを含むいずれかの公知の暗号化アルゴリズムを使用して行なわれる、請求項1記載の送信パケットフォーマット。
【請求項4】
ヘッダ部分及びデータペイロード部分を含むパケットのコンテンツを認証するように構成されたパケットを含む、コンピュータネットワークの通信プロトコル。
【請求項5】
パケット認証が、パケットヘッダ及びデータペイロードのチェックコードを計算し、データペイロード及びチェックコードを符号化することにより行なわれる、請求項4記載の通信プロトコル。
【請求項6】
パケット全体の認証を行なう通信ネットワークにおいてデータパケットを送信する方法であって、前記パケットの各々が、ヘッダ部分、データペイロード部分、及びチェックコード部分により構成されており、
− ヘッダ部分及びデータペイロード部分のチェックコードを計算するステップ510、
− チェックコードをデータパケットに付加するステップ520、
− データペイロード部分及びチェックコード部分を暗号化するステップ530、及び
− 暗号化パケットを送信するステップ540
を含む方法。
【請求項7】
チェックコードが巡回冗長検査(CRC)コードを含む、請求項6記載の方法。
【請求項8】
対称及び非対称キーアルゴリズムを含むいずれかの公知の暗号化アルゴリズムを使用して暗号化を行なう、請求項6記載の方法。
【請求項9】
コンピュータで読み取り可能な内蔵式記憶媒体に保存されるコンピュータで読み取り可能なプログラムコードを備え、パケット認証を行なう通信ネットワークにおいてデータパケットを送信するためのコンピュータプログラム製品であって、前記パケットの各々が、ヘッダ部分、データペイロード部分、及びチェックサム部分を含み、
− ヘッダ部分及びデータペイロード部分のチェックコードを計算する、コンピュータで読み取り可能なプログラムコード手段、
− チェックコードをデータパケットに付加する、コンピュータで読み取り可能なプログラムコード手段、
− データペイロード部分及びチェックコード部分を暗号化する、コンピュータで読み取り可能なプログラムコード手段、及び
− 暗号化パケットを送信する、コンピュータで読み取り可能なプログラムコード手段
を備えるコンピュータプログラム製品。
【請求項10】
請求項1ないし9のいずれか一項に記載のフォーマット又は方法に従って構成される受信データパケットを読み取る方法であって、
− データ及びチェックコード部分を復号化するステップ710、
− チェックコードが有効であることを確認するステップ720、
− チェックコードの有効性を確認できない場合に修正処置を行なうステップ750、及び
− チェックコードの有効性を確認できた場合にデータペイロードを使用するステップ740
を含む方法。
【請求項11】
コンピュータで読み取り可能な内蔵式記憶媒体に保存されるコンピュータで読み取り可能なプログラムコードを備え、請求項1ないし10のいずれか一項に記載のフォーマット又は方法に従って受信データパケットの改ざんをチェックするためのコンピュータプログラム製品であって、
− データ及びチェックコード部分を復号化する、コンピュータで読み取り可能なプログラムコード手段、
− チェックコードの有効性を確認する、コンピュータで読み取り可能なプログラムコード手段、
− チェックコードの有効性を確認できない場合に修正処置を行なう、コンピュータで読み取り可能なプログラムコード手段、及び
− チェックコードの有効性を確認できた場合にデータペイロードを使用する、コンピュータで読み取り可能なプログラムコード手段
を備えるコンピュータプログラム製品。
【請求項12】
ヘッダ認証を行なう通信ネットワークにおいてデータパケットの送信及び読み取りを行うシステムであって、前記パケットの各々が、ヘッダ部分、データペイロード部分、及びチェックサム部分により構成されており、
− 請求項6に記載の方法を使用してパケットを構成する手段、
− パケットを送信する手段、及び
− 請求項10に記載の方法を使用してパケットを読み取る手段
を備えるシステム。
【請求項13】
前記手段の全部又は一部が演算システムに含まれ、演算システムが、
− 少なくとも一つのシステムバス、
− システムバスに接続される少なくとも一つの通信ユニット、
− 一連の命令を含み、且つシステムバスに接続される少なくとも一つのメモリユニット、及び
− メモリに含まれる命令を実行して前記手段を機能させる少なくとも一つの制御ユニット
を備える、請求項12に記載のシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2007−528160(P2007−528160A)
【公表日】平成19年10月4日(2007.10.4)
【国際特許分類】
【出願番号】特願2007−501116(P2007−501116)
【出願日】平成17年1月17日(2005.1.17)
【国際出願番号】PCT/DK2005/000024
【国際公開番号】WO2005/086450
【国際公開日】平成17年9月15日(2005.9.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.Bluetooth
【出願人】(596113096)ノボ・ノルデイスク・エー/エス (241)
【Fターム(参考)】
【公表日】平成19年10月4日(2007.10.4)
【国際特許分類】
【出願日】平成17年1月17日(2005.1.17)
【国際出願番号】PCT/DK2005/000024
【国際公開番号】WO2005/086450
【国際公開日】平成17年9月15日(2005.9.15)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
2.Bluetooth
【出願人】(596113096)ノボ・ノルデイスク・エー/エス (241)
【Fターム(参考)】
[ Back to top ]