暗号化情報をネゴシエートするための方法、デバイス、およびネットワークシステム
暗号化情報をネゴシエートするための方法、デバイス、およびネットワークシステムが提供される。暗号化情報をネゴシエートするための方法は、第1のデバイスによってサポートされる暗号化機能情報と、第2のデバイスによってサポートされる暗号化機能情報とを取得するステップと、前記第1及び第2のデバイスのそれぞれによってサポートされる暗号化機能情報に従って、第1のデバイスと第2のデバイスとに適用される暗号化情報を決定するステップと、前記の第1のデバイスおよび第2のデバイスに前記暗号化情報を送信するステップとを含み、前記暗号化情報は、前記の第1のデバイスと第2のデバイスとの間のデータフローを符号化および/または復号するために使用される。本発明によって、電話通信クライアント(TC)と、電話通信サーバ(TS)との間で送信されるデータフローのセキュリティを保証することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信技術の分野に関し、より詳細には、暗号化情報(encryption information)をネゴシエートするための(for negotiating)方法およびデバイスと、ネットワークシステムとに関する。
【0002】
本出願は、2009年8月21日に中国専利局(Chinese Patent Office)に出願され、その全体が参照によって本明細書に組み込まれている「暗号化情報をネゴシエートするための方法およびデバイスと、ネットワークシステム(METHOD AND DEVICE FOR NEGOTIATING ENCRYPTION INFORMATION, AND NETWORK SYSTEM)」という名称の中国特許出願第200910167221.7号の優先権を主張するものである。
【背景技術】
【0003】
通信技術の発達と共に、ユーザは、電話対応デバイスで電話サービスを使用するだけでなく、ホームネットワークにおいて電話サービスを共有することも期待する。ユニバーサルプラグアンドプレイ(UPnP)電話通信(telephony)規格においては、3つの機能エンティティ、すなわち電話通信サーバ(Telephony Server) (TS)、電話通信クライアント(Telephony Client) (TC)、および電話通信制御ポイント(Telephony Control Point) (TCP)が定義されている。TSは、ホームネットワークにおいて他のデバイスのための電話サービスを提供する。TCは、ホームネットワークにおいてTSからデータストリームを受信し、ユーザに対してデータストリーム情報を提示し、かつ/またはTSのためのデータストリームを提供する。TCPは、ホームネットワークにおいてTCとTSとの間の電話サービスの共有を実施するために制御を実行する。TCと、TSと、TCPとの間の接続関係は、図1に示されている。TCとTSとの間のデータストリームは、アウトバンドメカニズム(outband mechanism)を通して送信され、またTCとTSとの間で送信されるデータストリームは、メディアストリーム(media streams)および/またはショートメッセージを含んでいる。
【0004】
従来技術においては、TCとTSとの間のデータストリームは、非合法のデバイスによって傍受され、または改ざんされることに対してぜい弱であり、安全ではない。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の実施形態は、TCとTSとの間で送信されるデータストリームのセキュリティを保証するために暗号化情報をネゴシエートするための方法およびデバイスと、ネットワークシステムとを提供する。
【0006】
そのような目的は、以下の技術的解決策を通して達成される。
【課題を解決するための手段】
【0007】
暗号化情報をネゴシエートするための方法は、第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するステップと、第1のデバイスの暗号化機能についての情報および第2のデバイスの暗号化機能についての情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定するステップと、第1のデバイスおよび第2のデバイスに暗号化情報を送信するステップとを含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0008】
暗号化情報をネゴシエートするための方法は、第2のデバイスにより、制御ポイントから第1のデバイスの証明書情報を受信するステップと、第2のデバイスにより、第1のデバイスの証明書情報に従って第1のデバイスを認証するステップと、第2のデバイスにより、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートするステップとを含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0009】
暗号化情報をネゴシエートするためのデバイスは、第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するように構成された取得ユニットと、第1のデバイスの暗号化機能についての情報および第2のデバイスの暗号化機能についての情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定するように構成された決定ユニットと、第1のデバイスおよび第2のデバイスにそれぞれ決定された暗号化情報を送信するように構成された送信ユニットと、を含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0010】
暗号化情報をネゴシエートするためのデバイスは、制御ポイントから第1のデバイスの証明書情報を受信するように構成された受信ユニットと、第1のデバイスの証明書情報に従って第1のデバイスを認証するように構成された認証ユニットと、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートするように構成されたネゴシエートユニットとを含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0011】
ネットワークシステムは、暗号化機能についての第1の情報と、暗号化機能についての第2の情報とを受信し、暗号化機能についての第1の情報および暗号化機能についての第2の情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、暗号化情報を送信するように構成された制御ポイントを含み、第1のデバイスは、暗号化機能についての第1の情報を制御ポイントに送信し、制御ポイントによって送信される暗号化情報を受信するように構成されており、ここで暗号化機能についての第1の情報は、第1のデバイスの暗号化機能を示し、第2のデバイスは、暗号化機能についての第2の情報を制御ポイントに送信し、制御ポイントによって送信される暗号化情報を受信するように構成されており、ここで暗号化機能についての第2の情報は、第2のデバイスの暗号化機能を示し、また暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0012】
ネットワークシステムは、第1の証明書情報を取得し、送信するように構成された制御ポイントと、制御ポイントによって送信される第1の証明書情報を受信し、第1の証明書情報に対応するデバイスを認証し、デバイスを正常に認証した後に第1の証明書情報に対応するデバイスと暗号化情報をネゴシエートするように構成された第2のデバイスと、第2のデバイスと暗号化情報をネゴシエートするように構成された、第1の証明書情報に対応する第1のデバイスとを含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【発明の効果】
【0013】
本発明の一実施形態においては、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報は、第1のデバイスおよび第2のデバイスの暗号化機能についての情報に従って決定され、また第1のデバイスおよび第2のデバイスにそれぞれ送信され、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0014】
本発明の別の実施形態においては、第2のデバイスは、制御ポイントを通して第1のデバイスの証明書情報を取得し、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートし、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0015】
本発明の下の技術的解決策をより明確にするために、本発明の実施形態の説明に必要とされる添付図面が、以下で概説される。明らかに、以下で概説される添付図面は、網羅的なものではなく、当業者は、創造的などのような努力もなしに添付図面から他の図面を導き出すことができる。
【図面の簡単な説明】
【0016】
【図1】従来技術におけるホームネットワークの構造図である。
【図2】本発明の第1の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図3】本発明の第2の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図4】本発明の第3の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図5】本発明の第4の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図6】本発明の第5の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図7】本発明の第6の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図8】本発明の第7の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図9】本発明の第8の実施形態による、暗号化情報をネゴシエートするためのデバイスの構造図である。
【図10】本発明の第9の実施形態による、暗号化情報をネゴシエートするためのデバイスの構造図である。
【発明を実施するための形態】
【0017】
[実施形態1]
【0018】
図2に示されるように、本実施形態において暗号化情報をネゴシエートするための方法は、以下のステップを含んでいる。
【0019】
201:第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得する。
【0020】
このステップに続くステップ202およびステップ203は、制御ポイントによって実行される。
【0021】
制御ポイントが、TCPである場合、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。
【0022】
このステップにおけるTCPは、TCおよびTSによって許可される制御ポイントであり、TCおよびTSにアクセスする資格がある。したがって、このステップの前に、TCPは、TSおよびTCによって許可を得る必要がある。TCが、TCPがTCにアクセスすることを許可するときに、TCは、TCのアクセス制御リスト(Access Control List) (ACL)にTCPの識別子(Identifier) (ID)を記憶し、ここでTCPのIDは、TCPの証明書のハッシュ値とすることができる。同様に、TSが、TCPがTSにアクセスすることを許可するときに、TSは、TSのACLにTCPのIDを記憶し、ここでTCPのIDは、TCPの証明書のハッシュ値とすることができる。その後に、TSおよびTCは、TCPの証明書と、それぞれ記憶されたACLとに基づいて、許可されたTCPにアクセス可能である。このステップにおいて、TCおよびTSによって許可されるTCPは、TCにアクセスすることによりTCの暗号化機能についての情報を取得し、TSにアクセスすることによりTSの暗号化機能についての情報を取得する。
【0023】
制御ポイントが、入力制御ポイント(Input Control Point) (ICP)である場合、第1のデバイスは、入力クライアント(Input Client) (IC)であり、また第2のデバイスは、入力サーバ(IS)であり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICである。
【0024】
このステップにおけるICPは、ICおよびISによって許可される制御ポイントであり、ICおよびISにアクセスする資格がある。したがって、このステップの前に、ICPは、ISおよびICによって許可を得る必要がある。ICが、ICPがICにアクセスすることを許可するときに、ICは、ICのACLにICPの識別子IDを記憶し、ここでICPのIDは、ICPの証明書のハッシュ値とすることができる。同様に、ISが、ICPがISにアクセスすることを許可するときに、ISは、ISのACLにICPのIDを記憶し、ここでICPのIDは、ICPの証明書のハッシュ値とすることができる。その後に、ISおよびICは、ICPの証明書と、それぞれ記憶されたACLとに基づいて、許可されたICPにアクセス可能である。このステップにおいて、ICおよびISによって許可されるICPは、ICにアクセスすることによりICの暗号化機能についての情報を取得し、またISにアクセスすることによりISの暗号化機能についての情報を取得する。
【0025】
このステップにおいて、第1のデバイスの暗号化機能についての情報は、トランスポートプロトコルと、暗号化プロトコルと、暗号化アルゴリズムと、最大パスワード長とを含むことができ、これらは、第1のデバイスによってサポートされ、また第2のデバイスの暗号化機能についての情報は、トランスポートプロトコルと、暗号化プロトコルと、暗号化アルゴリズムと、最大パスワード長とを含むことができ、これらは、TSによってサポートされる。
【0026】
202:第1のデバイスの暗号化機能についての情報および第2のデバイスの暗号化機能についての情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定する。暗号化情報は、暗号化アルゴリズム(次世代標準暗号方式(Advanced Encryption Standard) (AES)やデータ暗号化規格(Data Encryption Standard) (DES)など)とキーとを含んでおり、または暗号化情報は、セキュアソケットレイヤ(Secure Socket Layer) (SSL)プロトコルなどの暗号化プロトコルを含んでいる。
【0027】
暗号化情報が、暗号化プロトコルを含む場合、第1のデバイスおよび第2のデバイスは、その後に暗号化プロトコルに従って暗号化アルゴリズムおよびキーをネゴシエートし、また通信データストリームの暗号化された伝送を実施して、第1のデバイスと第2のデバイスとの間の通信のセキュリティを保証する。例えば、SSLプロトコルが適用される場合、第1のデバイスおよび第2のデバイスは、キー交換アルゴリズム、データ暗号化アルゴリズム、およびダイジェストアルゴリズムをハンドシェイクプロトコルを通してネゴシエートし、ネゴシエートされたキー交換アルゴリズムを使用することにより、第1のデバイスと第2のデバイスとだけに知られているキーを生成する。
【0028】
203:第1のデバイスおよび第2のデバイスにそれぞれ決定された暗号化情報を送信し、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0029】
制御ポイントと第1のデバイス/第2のデバイスとの間の情報が、非合法のデバイスによって傍受されないようにするために、ステップ201の前に、第1のデバイスおよび第2のデバイスによって許可されるように、制御ポイントは、例えば、SSLプロトコルまたはトランスポートレイヤセキュリティ(Transport Layer Security) (TLS)プロトコルを通してそれぞれ第1のデバイスおよび第2のデバイスに対するセキュア伝送チャネル(secure transmission channel)をセットアップすることができる。制御ポイントは、第1のデバイスの暗号化機能についての情報を第1のデバイスに対するセキュア伝送チャネルを通して取得し、第2のデバイスの暗号化機能についての情報を第2のデバイスに対するセキュア伝送チャネルを通して取得し、第1のデバイスに対するセキュア伝送チャネルを通して第1のデバイスに暗号化情報を送信し、第2のデバイスに対するセキュア伝送チャネルを通して第2のデバイスに暗号化情報を送信する。
【0030】
実施形態1においては、暗号化情報は、第1のデバイスおよび第2のデバイスの暗号化機能についての情報に従って決定され、第1のデバイスおよび第2のデバイスにそれぞれ送信され、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読し、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0031】
[実施形態2]
【0032】
図3に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この方法においては、TCとTSとの両方によって信頼されるTCPは、TCとTSとの両方によってサポートされる暗号化アルゴリズムを選択し、キーを生成し、またTCおよびTSに暗号化アルゴリズムおよびキーを通知する。本方法は、以下のステップを含んでいる。
【0033】
301:TCPは、TCのメディア能力(media capabilities)についての情報をTCから取得する。メディア能力についての情報は、TCによってサポートされるトランスポートプロトコルについての情報と、TCの暗号化機能についての情報とを含む。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、TCによってサポートされるキー長(key length)についての情報とを含む。キー長についての情報は、TCによってサポートされる最大キー長とすることができる。
【0034】
このステップにおいては、TCPは、GetMediaSessionCapability()コマンドを通してTCのメディア能力についての情報を取得することができる。
【0035】
302:TCPは、TSからTSのメディア能力についての情報を取得する。メディア能力についての情報は、TSによってサポートされるトランスポートプロトコルについての情報と、TSの暗号化機能についての情報とを含む。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、TSによってサポートされるキー長についての情報とを含む。キー長についての情報は、TSによってサポートされる最大キー長とすることができる。
【0036】
このステップにおいて、TCPは、GetMediaSessionCapability()コマンドを通してTSからTSのメディア能力についての情報を取得することができる。
【0037】
303:TCPは、TCのメディア能力についての情報およびTSのメディア能力についての情報に従ってTCとTSとの間のセッションを実行するために必要とされるセッションパラメータを決定する。セッションパラメータは、TCとTSとの両方に適用可能なトランスポートプロトコルと、暗号化アルゴリズムと、キーとを含む。
【0038】
このステップにおいて、TCおよびTSに適用可能な暗号化アルゴリズムをTCPによって決定することは、TCとTSとの両方によってサポートされる暗号化アルゴリズムをTCPによって選択することを意味する。このステップにおいて、TCPは、TCの暗号化機能についての情報およびTSの暗号化機能についての情報に従ってキーを生成する。特に、TCPは、TCによってサポートされる最大キー長、およびTSによってサポートされる最大キー長に従ってキーを生成し、その結果、生成されたキーがTCおよびTSのキー長要件を満たすことが保証されるようになる。
【0039】
304:TCPは、セッションパラメータに従ってTCとTSとの間のデータチャネルをセットアップする指示としてセッションパラメータをTCに送信し、そうするとすぐにTCは、応答メッセージをTCPに送信する。
【0040】
このステップにおいて、TCPは、セッションパラメータをTCに送信し、したがって、TCは、セッションパラメータに従ってTSに対するデータチャネルをセットアップし、次いでセッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、TCとTSとの間で送信されるデータストリームを暗号化し、かつ/または解読する。
【0041】
このステップにおいては、TCPは、SetMediaSession(MediaCapability,...)コマンドを使用して、セッションパラメータをTCに送信することができる。
【0042】
SetMediaSession(MediaCapability,...)コマンド内の「MediaCapability」は、セッションパラメータを意味する。
【0043】
305:TCPは、セッションパラメータをTSに送信し、したがって、TSは、セッションパラメータに従ってTCに対するデータチャネルをセットアップし、次いでセッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、TCとTSとの間で送信されるデータストリームを暗号化し、かつ/または解読する。
【0044】
このステップにおいて、TCPは、SetMediaSession(MediaCapability,...)コマンドを使用して、セッションパラメータをTSに送信することができる。
【0045】
306:TCPは、送信するデータストリームを開始する指示として通知メッセージをTSに送信する。
【0046】
このステップにおいて、TCPは、アウトバンドモードにおいて送信するデータストリームを開始する指示としてStartMediaSession()コマンドをTSに送信する。
【0047】
307:TSは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、次いでデータストリームを送信し、またTCは、暗号化アルゴリズムおよびキーに従ってTSから受信されるデータストリームを解読し、あるいはTCは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、次いでデータストリームを送信し、またTSは、暗号化アルゴリズムおよびキーに従ってTCから受信されたデータストリームを解読する。
【0048】
308:セッションが終了しようとしているときに、TCPは、セッションを終了する指示として通知メッセージをTCに送信する。
【0049】
このステップにおいては、TCPは、StopMediaSession()コマンドをTCに送信して、セッションを終了する。
【0050】
309:セッションが終了しようとしているときに、TCPは、セッションを終了する指示として通知メッセージをTSに送信する。
【0051】
このステップにおいては、TCPは、StopMediaSession()コマンドをTSに送信して、セッションを終了する。
【0052】
ステップ301から309におけるメッセージは、セキュア伝送チャネルにおいて送信され、このセキュア伝送チャネルは、メッセージ内容が、非合法のデバイスによって傍受されないようにすることに留意されたい。したがって、非合法のデバイスは、キーを知ることができない。
【0053】
実施形態2においては、TCおよびTSによって信頼されるTCPは、TCおよびTSの暗号化機能についての情報を取得し、TCとTSとの両方によってサポートされる暗号化アルゴリズムを選択し、またキーを生成する。TCPは、TCおよびTSにそれぞれ暗号化アルゴリズムおよびキーを送信する。それによって、データストリームの送信側(TCまたはTS)は、暗号化アルゴリズムおよびキーを使用して、送信されるべきデータストリームを暗号化し、またデータストリームの受信側(TSまたはTC)は、暗号化アルゴリズムおよびキーを使用して、受信されたデータストリームを解読し、これは、アウトバンドモードにおいてTCとTSとの間で送信されるデータストリームのセキュリティを保証する。
【0054】
[実施形態3]
【0055】
図4に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この実施形態は、GetencryptCapability()コマンドを使用して、TCおよびTSの暗号化機能についての情報を取得し、Setencrypt()コマンドを使用して、暗号化アルゴリズムおよびキーをTCおよびTSに送信するという点において、第2の実施形態とは異なる。本方法は、以下のステップを含んでいる。
【0056】
401:TCPは、TCのメディア能力についての情報をTCから取得する。メディア能力についての情報は、TCによってサポートされるトランスポートプロトコルについての情報を含んでいる。
【0057】
このステップにおいては、TCPは、GetMediaSessionCapability()コマンドを通してTCのメディア能力についての情報を取得することができる。
【0058】
402:TCPは、TSのメディア能力についての情報をTSから取得する。メディア能力についての情報は、TSによってサポートされるトランスポートプロトコルについての情報を含んでいる。
【0059】
このステップにおいては、TCPは、GetMediaSessionCapability()コマンドを通してTSのメディア能力についての情報をTSから取得することができる。
【0060】
403:TCPは、TCのメディア能力についての情報およびTSのメディア能力についての情報に従ってTCとTSとの間のセッションを実行するために必要とされるセッションパラメータを決定する。セッションパラメータは、TCとTSとの両方によってサポートされるトランスポートプロトコルを含んでいる。
【0061】
404:TCPは、セッションパラメータに従ってTCとTSとの間のデータチャネルをセットアップする指示としてセッションパラメータをTCに送信し、そうするとすぐにTCは、応答メッセージをTCPに送信する。
【0062】
このステップにおいては、TCPは、SetMediaSession(MediaCapability,...)コマンドを使用して、セッションパラメータをTCに送信することができる。
【0063】
SetMediaSession(MediaCapability,...)コマンド内の「MediaCapability」は、セッションパラメータを意味する。
【0064】
405:TCPは、セッションパラメータに従ってTSおよびTCの間のデータチャネルをセットアップする指示としてセッションパラメータをTSに送信する。
【0065】
このステップにおいては、TCPは、SetMediaSession(MediaCapability,...)コマンドを使用して、セッションパラメータをTSに送信することができる。
【0066】
406:TCPは、TCの暗号化機能についての情報をTCから取得する。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、TCによってサポートされるキー長についての情報とを含む。キー長についての情報は、TCによってサポートされる最大キー長とすることができる。
【0067】
このステップにおいて、TCPは、GetencryptCapability()コマンドを通してTCの暗号化機能についての情報をTCから取得することができる。
【0068】
407:TCPは、TSの暗号化機能についての情報をTSから取得する。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、TSによってサポートされるキー長についての情報とを含む。キー長についての情報は、TSによってサポートされる最大キー長とすることができる。
【0069】
このステップにおいて、TCPは、GetencryptCapability()コマンドを通してTSの暗号化機能についての情報をTSから取得することができる。
【0070】
408:TCPは、TCおよびTSの暗号化機能についての情報に従ってTCおよびTSに適用可能な暗号化アルゴリズムを決定し、キーを生成する。
【0071】
409:TCPは、決定された暗号化アルゴリズムおよびキーをTCに通知し、したがって、TCは、その後に、セッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、TCとTSとの間で送信されるデータストリームを暗号化し、かつ/または解読することができる。
【0072】
このステップにおいては、TCPは、暗号化アルゴリズムおよびキーを搬送するSetencrypt(encryptCapability,...)コマンドをTCに送信し、ここで「encryptCapability」は、暗号化アルゴリズムおよびキーを意味する。
【0073】
410:TCPは、決定された暗号化アルゴリズムおよびキーをTSに通知し、したがって、TSは、その後に、セッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、TCとTSとの間で送信されるデータストリームを暗号化し、かつ/または解読することができる。
【0074】
このステップにおいては、TCPは、暗号化アルゴリズムおよびキーを搬送するSetencrypt(encryptCapability,...)コマンドをTSに送信し、ここで「encryptCapability」は、暗号化アルゴリズムおよびキーを意味する。
【0075】
ステップ411から414は、ステップ306から309と同じであり、その詳細は、本明細書においては再び説明されることはない。
【0076】
ステップ401から415におけるメッセージは、セキュア伝送チャネルにおいて送信され、このセキュア伝送チャネルは、メッセージ内容が、非合法のデバイスによって傍受されないようにすることに留意されたい。したがって、非合法のデバイスは、キーを知ることができない。
【0077】
実施形態3においては、TCおよびTSによって信頼されるTCPは、TCおよびTSの暗号化機能についての情報を取得し、TCとTSとの両方によってサポートされる暗号化アルゴリズムを選択し、またキーを生成する。TCPは、TCおよびTSにそれぞれ暗号化アルゴリズムおよびキーを送信する。それによって、データストリームの送信側(TCまたはTS)は、暗号化アルゴリズムおよびキーを使用して、送信されるべきデータストリームを暗号化し、またデータストリームの受信側(TSまたはTC)は、暗号化アルゴリズムおよびキーを使用して、受信されたデータストリームを解読し、これは、アウトバンドモードにおいてTCとTSとの間で送信されるデータストリームのセキュリティを保証する。
【0078】
TSおよびTCからそれぞれTCPによって取得される暗号化機能についての情報は、暗号化プロトコルを含むことができることに留意されたい。TCPは、TSおよびTCに適用可能な暗号化プロトコルを決定し、また決定された暗号化プロトコルについての情報をTCおよびTSにそれぞれ送信する。その後に、TCおよびTSは、暗号化プロトコルに従って暗号化アルゴリズムおよびキーをネゴシエートし、これはまた、本発明の目的を達成する。
【0079】
[実施形態4]
【0080】
図5に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この方法においては、ICとISとの両方によって信頼されるICPは、ICとISとの両方によってサポートされる暗号化アルゴリズムを選択し、キーを生成し、またICおよびISに暗号化アルゴリズムおよびキーを通知する。本方法は、以下のステップを含んでいる。
【0081】
501:ICPは、ICの入力能力(input capabilities)についての情報をICから取得する。入力能力についての情報は、ICによってサポートされるトランスポートプロトコルについての情報と、ICの暗号化機能についての情報とを含む。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、ICによってサポートされるキー長についての情報とを含む。キー長についての情報は、ICによってサポートされる最大キー長とすることができる。
【0082】
本発明の実施形態をより明確に説明するために、ICPと、ICと、ISとの機能が、以下で簡単に紹介される。ISは、ホームネットワークにおいて他のデバイスのための情報入力サービスを提供し、ICは、ホームネットワークにおいてISからの情報を受信し、またICPは、ホームネットワークにおいてICとISとの間の入力機能の共有を実施するために制御を実行する。
【0083】
このステップにおいては、ICPは、GetInputCapability()コマンドを通してICの入力能力についての情報を取得することができる。
【0084】
502:ICPは、ISの入力能力についての情報をISから取得する。入力能力についての情報は、ISによってサポートされるトランスポートプロトコルについての情報と、ISの暗号化機能についての情報とを含む。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、ISによってサポートされるキー長についての情報とを含む。キー長についての情報は、ISによってサポートされる最大キー長とすることができる。
【0085】
このステップにおいては、ICPは、GetInputCapability()コマンドを通してISの入力能力についての情報をISから取得することができる。
【0086】
503:ICPは、ICの入力能力についての情報、およびISの入力能力についての情報に従ってICとISとの間のセッションを実行するために必要とされるセッションパラメータを決定する。セッションパラメータは、ICとISとの両方に適用可能なトランスポートプロトコルと、暗号化アルゴリズムと、キーとを含む。
【0087】
このステップにおいて、ICおよびISに適用可能な暗号化アルゴリズムをICPによって決定することは、ICとISとの両方によってサポートされる暗号化アルゴリズムをICPによって選択することを意味する。このステップにおいて、ICPは、ICの暗号化機能についての情報およびISの暗号化機能についての情報に従ってキーを生成する。特に、ICPは、ICによってサポートされる最大キー長、およびISによってサポートされる最大キー長に従ってキーを生成し、その結果、生成されたキーがICとISとのキー長要件を満たすことが保証されるようになる。
【0088】
504:ICPは、セッションパラメータに従ってICとISとの間のデータチャネルをセットアップする指示としてセッションパラメータをICに送信し、そうするとすぐにICは、応答メッセージをICPに送信する。
【0089】
このステップにおいて、ICPは、セッションパラメータをICに送信し、したがって、ICは、セッションパラメータに従ってISに対するデータチャネルをセットアップし、次いでセッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、ICとISとの間で送信されるデータストリームを暗号化し、かつ/または解読する。
【0090】
このステップにおいては、ICPは、SetInputSession(Capability,...)コマンドを使用して、セッションパラメータをICに送信することができる。SetInputSession(Capability,...)コマンド内の「Capability」は、セッションパラメータを意味する。
【0091】
505:ICPは、セッションパラメータをISに送信し、したがって、ISは、セッションパラメータに従ってICに対するデータチャネルをセットアップし、次いでセッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、ICとISとの間で送信されるデータストリームを暗号化し、かつ/または解読する。
【0092】
このステップにおいては、ICPは、SetInputSession(Capability,...)コマンドを使用して、セッションパラメータをISに送信することができる。
【0093】
506:ICPは、送信するデータストリームを開始する指示として通知メッセージをISに送信する。
【0094】
このステップにおいては、ICPは、アウトバンドモードにおいて送信するデータストリームを開始する指示としてStartInputSession()コマンドをISに送信する。
【0095】
507:ISは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、データストリームを送信し、またICは、暗号化アルゴリズムおよびキーに従ってISから受信されるデータストリームを解読する。
【0096】
508:セッションが終了しようとしているときに、ICPは、セッションを終了する指示として通知メッセージをICに送信する。
【0097】
このステップにおいては、ICPは、StopInputSession()コマンドをICに送信して、セッションを終了する。
【0098】
509:セッションが終了しようとしているときに、ICPは、セッションを終了する指示として通知メッセージをISに送信する。
【0099】
このステップにおいては、ICPは、StopInputSession()コマンドをISに送信して、セッションを終了する。
【0100】
実施形態4においては、ICおよびISによって信頼されるICPは、ICとISとの暗号化機能についての情報を取得し、ICとISとの両方によってサポートされる暗号化アルゴリズムを選択し、またキーを生成する。ICPは、ICおよびISにそれぞれ暗号化アルゴリズムおよびキーを送信する。データストリームの送信側(ICまたはIS)は、暗号化アルゴリズムおよびキーを使用して、送信されるべきデータストリームを暗号化し、またデータストリームの受信側(ISまたはIC)は、暗号化アルゴリズムおよびキーを使用して、受信されたデータストリームを解読し、これは、アウトバンドモードにおいてICとISとの間で送信されるデータストリームのセキュリティを保証する。
【0101】
[実施形態5]
【0102】
図6に示されるように、この実施形態において暗号化情報をネゴシエートするための方法は、以下のステップを含んでいる。
【0103】
601:第2のデバイスは、第1のデバイスの証明書情報を制御ポイントから受信する。
【0104】
例えば、制御ポイントが、TCPである場合、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。
【0105】
このステップにおいては、TCPは、TCおよびTSによって許可される制御ポイントであり、TCおよびTSにアクセスする資格があり、例えば、SSLプロトコルまたはTLSプロトコルを通してそれぞれTCおよびTSに対するセキュア伝送チャネルをセットアップすることができる。したがって、このステップの前に、TCPは、TSおよびTCによって許可を得る必要がある。TCが、TCPがTCにアクセスすることを許可するときに、TCは、TCのACLにTCPのIDを記憶し、ここでTCPのIDは、TCPの証明書のハッシュ値とすることができる。同様に、TSが、TCPがTSにアクセスすることを許可するときに、TSは、TSのACLにTCPのIDを記憶し、ここでTCPのIDは、TCPの証明書のハッシュ値とすることができる。その後に、TSおよびTCは、TCPの証明書と、それぞれ記憶されたACLとに基づいて、許可されたTCPにアクセス可能である。
【0106】
代わりに、制御ポイントが、ICPである場合、第1のデバイスは、ICであり、また第2のデバイスは、ISであり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICであってもよい。
【0107】
このステップにおいては、ICPは、ICおよびISによって許可される制御ポイントであり、ICおよびISにアクセスする資格があり、また例えば、SSLプロトコルまたはTLSプロトコルを通してそれぞれICおよびISに対するセキュア伝送チャネルをセットアップすることができる。したがって、このステップの前に、ICPは、ISおよびICによって許可を得る必要がある。ICが、ICPがICにアクセスすることを許可するときに、ICは、ICのACLにICPのIDを記憶し、ここでICPのIDは、ICPの証明書のハッシュ値とすることができる。同様に、ISが、ICPがISにアクセスすることを許可するときに、ISは、ISのACLにICPのIDを記憶し、ここでICPのIDは、ICPの証明書のハッシュ値とすることができる。その後に、ISおよびICは、ICPの証明書と、それぞれ記憶されたACLとに基づいて、許可されたICPにアクセス可能である。
【0108】
このステップにおいては、第2のデバイスが、第1のデバイスの証明書情報を制御ポイントから受信する前に、制御ポイントは、第1のデバイスの証明書情報を取得する必要がある。取得するモードは、それだけには限定されないが、制御ポイントが、第1のデバイスの証明書情報を第1のデバイスから取得すること、あるいは制御ポイントが、第1のデバイスについての証明書を生成し、それを第2のデバイスに送信し、証明書についての情報を第1のデバイスに送信することを含む。第1のデバイスの証明書情報は、第1のデバイスの証明書、または第1のデバイスの証明書のハッシュ値を含む。
【0109】
602:第2のデバイスは、第1のデバイスの証明書情報に従って第1のデバイスを認証する。
【0110】
603:第2のデバイスは、第1のデバイスを正常に認証した後に、第1のデバイスと暗号化情報をネゴシエートし、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0111】
本発明の実施形態5において、第2のデバイスは、制御ポイントを通して第1のデバイスの証明書情報を取得し、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートし、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0112】
[実施形態6]
【0113】
図7に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この方法においては、TCとTSとの両方によって信頼されるTCPは、TCまたはTSのいずれかの証明書情報を取得し、その証明書情報をTSまたはTCに送信する。このようにして、TCおよびTSは、互いを認証し、暗号化アルゴリズムおよびキーをネゴシエートすることができる。本方法は、以下のステップを含んでいる。
【0114】
ステップ701から705は、第4の実施形態におけるステップ401から405と同じであり、その詳細は、本明細書において再び説明しない。
【0115】
706:TCPは、TCの証明書情報をTCから取得する。TCの証明書情報は、TCの証明書、またはTCの証明書のハッシュ値を含む。
【0116】
このステップにおいては、TCPは、GetDeiveAuthenticationInfo()コマンドを通してTCの証明書情報をTCから取得する。
【0117】
707:TCPは、TSの証明書情報をTSから取得する。TSの証明書情報は、TSの証明書、またはTSの証明書のハッシュ値を含む。
【0118】
このステップにおいては、TCPは、GetDeiveAuthenticationInfo()コマンドを通してTSの証明書情報をTSから取得する。
【0119】
708:TCPは、TSの証明書情報をTCに送信する。
【0120】
このステップにおいては、TCPは、SetDeiveAuthInfo(TSinfo,...)コマンドを通してTSの証明書情報をTCに送信することができ、ここで「TSinfo」は、TSの証明書情報を意味する。TSの証明書情報は、その後にTSを認証するためにTCによって使用される。
【0121】
709:TCPは、TCの証明書情報をTSに送信する。
【0122】
このステップにおいては、TCPは、SetDeiveAuthInfo(TSinfo,...)コマンドを通してTCの証明書情報をTSに送信することができ、ここで「TSinfo」は、TCの証明書情報を意味する。TCの証明書情報は、その後にTCを認証するためにTSによって使用される。
【0123】
710:TCPは、送信するデータストリームを開始する指示として通知メッセージをTSに送信する。
【0124】
このステップにおいては、TCPは、アウトバンドモードにおいて送信するデータストリームを開始する指示としてStartMediaSession()コマンドをTSに送信する。
【0125】
711:TSおよびTCは、相手方の証明書情報に従って互いを認証し、また認証が成功した後に暗号化アルゴリズムおよびキーをネゴシエートする。
【0126】
このステップにおいては、一方のパーティ(TSなど)は、他方のパーティ(TCなど)を以下のようにして認証することができる。TCは、その証明書の秘密キー(private key)を使用して、TCとTSとの両方に知られている情報セグメントを暗号化し、その情報セグメントに証明書を加え、また情報セグメントをTSに送信する。TSが、情報セグメントを受信した後に、ステップ709において取得されるTCの証明書情報が、TCの証明書のハッシュ値である場合、TSは、先ずTCの証明書についてのハッシュ演算を実行し、次いでその演算結果をステップ709において取得されるTCの証明書のハッシュ値と比較する。2つの値が同じである場合、TSは、TCの証明書内の公開キー(public key)を使用して、TCの秘密キーを通してTCによって暗号化される情報セグメントを解読し、解読された情報をあらかじめ知られている情報セグメントと比較し、また解読された情報が、知られている情報セグメントとマッチする場合に、TCを認証に合格するものと決定する。ステップ709において取得されるTCの証明書情報が、TCの証明書である場合、TSは、TCによって送信される証明書をステップ709において取得されるTCの証明書と直接に比較する。2つの証明書が同じである場合、TSは、TCの証明書内の公開キーを使用して、TCの秘密キーを通してTCによって暗号化される情報セグメントを解読し、その解読された情報をあらかじめ知られている情報セグメントと比較し、また解読された情報が、知られている情報セグメントとマッチする場合に、TCを認証に合格するものと決定する。TCは、TSを同じようにして認証し、その詳細は、本明細書において再び説明しない。
【0127】
暗号化アルゴリズムは、このようにしてTSおよびTCによってネゴシエートされることが可能であり、すなわち、TCは、TCによってサポートされる暗号化アルゴリズムをTSに報告し、またTSは、それに応じてTCとTSとの両方によってサポートされる暗号化アルゴリズムを選択する。
【0128】
TSおよびTCは、SSLプロトコルを使用して、キーをネゴシエートすることができる。例えば、TCおよびTSは、ハンドシェイクプロトコルを通して、キー交換アルゴリズムと、データ暗号化アルゴリズムと、ダイジェストアルゴリズムとをネゴシエートし、またネゴシエートされたキー交換アルゴリズムを使用して、TCおよびTSだけに知られているキーを生成する。
【0129】
712:TSは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、次いでデータストリームを送信し、またTCは、暗号化アルゴリズムおよびキーに従ってTSから受信されるデータストリームを解読し、あるいはTCは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、次いでデータストリームを送信し、またTSは、暗号化アルゴリズムおよびキーに従ってTCから受信されるデータストリームを解読する。
【0130】
713:セッションが終了しようとしているときに、TCPは、セッションを終了する指示として通知メッセージをTCに送信する。
【0131】
このステップにおいては、TCPは、StopMediaSession()コマンドをTCに送信して、セッションを終了する。
【0132】
714:セッションが終了しようとしているときに、TCPは、セッションを終了する指示として通知メッセージをTSに送信する。
【0133】
このステップにおいては、TCPは、StopMediaSession()コマンドをTSに送信して、セッションを終了する。
【0134】
本発明の実施形態6においては、TCおよびTSによって信頼されるTCPは、TCの証明書情報を取得し、それをTSに送信し、またTSの証明書情報を取得し、それをTCに送信する。TCおよびTSは、互いを正常に認証した後に暗号化アルゴリズムおよびキーをネゴシエートし、したがって、TCおよびTSは、暗号化アルゴリズムおよびキーを使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいてTCとTSとの間で送信されるデータストリームのセキュリティを保証する。
【0135】
[実施形態7]
【0136】
図8に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この方法においては、TCとTSとの両方によって信頼されるTCPは、TCの証明書情報と、TSの証明書情報とを生成し、TSの証明書情報をTCに送信し、またTCの証明書情報をTSに送信する。このようにして、TCおよびTSは、互いを認証し、暗号化アルゴリズムおよびキーをネゴシエートすることができる。本方法は、以下のステップを含んでいる。
【0137】
ステップ801から805は、第4の実施形態におけるステップ401から405と同じであり、その詳細は、本明細書において再び説明しない。
【0138】
806:TCPは、TCの証明書を生成し、その証明書をTCに送信し、またTCの証明書情報をTSに送信する。証明書情報は、TCの証明書、またはTCの証明書のハッシュ値とすることができる。
【0139】
このステップにおいては、TCの証明書情報は、SetDeiveAuthInfo(TSinfo,...)コマンドを通してTSに送信されることが可能であり、ここで「TSinfo」は、TCの証明書情報を意味する。
【0140】
807:TCPは、TSの証明書を生成し、その証明書をTSに送信し、またTSの証明書情報をTCに送信する。証明書情報は、TSの証明書、またはTSの証明書のハッシュ値とすることができる。
【0141】
このステップにおいては、TSの証明書情報は、SetDeiveAuthInfo(TSinfo,...)コマンドを通してTCに送信されることが可能であり、ここで「TSinfo」は、TSの証明書情報を意味する。
【0142】
ステップ808から812は、ステップ710から714と同じであり、その詳細は、本明細書において再び説明しない。
【0143】
本発明の実施形態7においては、TCおよびTSによって信頼されるTCPは、TCの証明書を生成し、それをTCに送信し、TSの証明書を生成し、またそれをTSに送信し、TCの証明書のハッシュ値をTSに送信し、またTSの証明書のハッシュ値をTCに送信する。TCおよびTSは、互いを正常に認証した後に暗号化アルゴリズムおよびキーをネゴシエートし、したがって、TCおよびTSは、暗号化アルゴリズムおよびキーを使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいてTCとTSとの間で送信されるデータストリームのセキュリティを保証する。
【0144】
上記の実施形態6と実施形態7とにおいては、TCとTSとの両方によって信頼されるTCPは、TSの証明書情報をTCに送信し、TCの証明書情報をTSに送信する。このようにして、TCおよびTSは、互いを認証し、暗号化アルゴリズムおよびキーをネゴシエートすることができる。他の実施形態においては、ICとISとの両方によって信頼されるICPは、ISの証明書情報をICに送信することができ、またICの証明書情報をISに送信する。このようにして、ICおよびISは、互いを認証し、暗号化アルゴリズムおよびキーをネゴシエートすることができ、これはまた本発明の目的を達成する。
【0145】
[実施形態8]
【0146】
図9に示されるように、暗号化情報をネゴシエートするためのデバイスが、この実施形態において開示される。本デバイスは、TCおよびTSによって許可されるTCP、またはICおよびISによって許可されるICPとすることができ、本デバイスは、第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するように構成された取得ユニット901と、第1のデバイスの暗号化機能についての情報および第2のデバイスの暗号化機能についての情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定するように構成された決定ユニット902と、第1のデバイスおよび第2のデバイスにそれぞれその決定された暗号化情報を送信するように構成された送信ユニット903と、を含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0147】
暗号化情報をネゴシエートするためのデバイスは、暗号化情報をネゴシエートするためのデバイスから第1のデバイスへの第1のセキュア伝送チャネルをセットアップし、暗号化情報をネゴシエートするためのデバイスから第2のデバイスへの第2のセキュア伝送チャネルをセットアップするように構成された通信ユニット904をさらに含んでいる。この場合に、取得ユニット901は、通信ユニット904によってセットアップされる第1のセキュア伝送チャネルを通して第1のデバイスの暗号化機能についての情報を取得し、通信ユニット904によってセットアップされる第2のセキュア伝送チャネルを通して第2のデバイスの暗号化機能についての情報を取得するように構成されている。送信ユニット903は、通信ユニット904によってセットアップされる第1のセキュア伝送チャネルを通して、決定された暗号化情報を第1のデバイスに送信し、通信ユニット904によってセットアップされる第2のセキュア伝送チャネルを通して、決定された暗号化情報を第2のデバイスに送信するように構成されている。
【0148】
暗号化情報は、暗号化アルゴリズムおよびキーを含み、または暗号化プロトコルを含むことができる。
【0149】
暗号化情報をネゴシエートするためのデバイスがTCPであるときに、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。暗号化情報をネゴシエートするためのデバイスがICPであるときに、第1のデバイスは、ICであり、また第2のデバイスは、ISであり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICである。
【0150】
実施形態8において、第1のデバイスおよび第2のデバイスによって信頼される暗号化情報をネゴシエートするためのデバイスは、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、また第1のデバイスおよび第2のデバイスにそれぞれ暗号化情報を通知し、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0151】
[実施形態9]
【0152】
図10に示されるように、この実施形態において開示される暗号化情報をネゴシエートするためのデバイスは、第1のデバイスの証明書情報を制御ポイントから受信するように構成された受信ユニット1001であって、ここでTCPによって送信される第1のデバイスの証明書情報は、第1のデバイスからTCPによって取得され、または第1のデバイスについてのTCPによって生成される証明書についての情報である、受信ユニット1001と、第1のデバイスの証明書情報に従って第1のデバイスを認証するように構成された認証ユニット1002と、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートするように構成されたネゴシエートユニット1003とを含み、ここで暗号化情報は、暗号化情報をネゴシエートするためのデバイスと第1のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0153】
制御ポイントが、TCPである場合、暗号化情報をネゴシエートするためのデバイスは、TCであり、また第1のデバイスは、TSであり、あるいは暗号化情報をネゴシエートするためのデバイスは、TSであり、また第1のデバイスは、TCである。代わりに、制御ポイントが、ICPである場合、暗号化情報をネゴシエートするためのデバイスは、ICであり、また第1のデバイスは、ISであり、あるいは暗号化情報をネゴシエートするためのデバイスは、ISであり、また第1のデバイスは、ICであってもよい。
【0154】
第1のデバイスの証明書情報は、第1のデバイスの証明書、または第1のデバイスの証明書のハッシュ値を含むことができる。
【0155】
本発明の実施形態9において、暗号化情報をネゴシエートするためのデバイスは、第1のデバイスの証明書情報を制御ポイントを通して取得し、第1のデバイスを正常に認証した後に適用可能な暗号化アルゴリズムおよびキーを第1のデバイスとネゴシエートし、したがって、第1のデバイスおよび第2のデバイスは、暗号化アルゴリズムおよびキーを使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0156】
[実施形態10]
【0157】
この実施形態において提供されるネットワークシステムは、暗号化機能についての第1の情報と、暗号化機能についての第2の情報とを受信し、暗号化機能についての第1の情報および暗号化機能についての第2の情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、暗号化情報を送信するように構成された制御ポイントを含み、第1のデバイスは、暗号化機能についての第1の情報を制御ポイントに送信し、制御ポイントによって送信される暗号化情報を受信するように構成されており、暗号化機能についての第1の情報は、第1のデバイスの暗号化機能を示し、第2のデバイスは、暗号化機能についての第2の情報を制御ポイントに送信し、制御ポイントによって送信される暗号化情報を受信するように構成されており、ここで暗号化機能についての第2の情報は、第2のデバイスの暗号化機能を示し、また暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0158】
暗号化情報は、暗号化アルゴリズムおよびキーを含み、または暗号化プロトコルを含むことができる。暗号化情報が、暗号化プロトコルを含むときに、第1のデバイスは、さらに、暗号化プロトコルを使用することにより、暗号化アルゴリズムおよびキーを第2のデバイスとネゴシエートするように構成されており、また第2のデバイスは、さらに、暗号化プロトコルを使用することにより暗号化アルゴリズムおよびキーを第1のデバイスとネゴシエートするように構成されている。
【0159】
制御ポイントが、TCPである場合、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。制御ポイントが、ICPである場合、第1のデバイスは、ICであり、また第2のデバイスは、ISであり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICである。
【0160】
実施形態10においては、第1のデバイスおよび第2のデバイスによって信頼される制御ポイントは、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、また暗号化情報を第1のデバイスおよび第2のデバイスにそれぞれ通知し、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0161】
[実施形態11]
【0162】
この実施形態において提供されるネットワークシステムは、第1の証明書情報を取得し、送信するように構成された制御ポイントと、制御ポイントによって送信される第1の証明書情報を受信し、第1の証明書情報に対応するデバイスを認証し、そのデバイスを正常に認証した後に第1の証明書情報に対応するデバイスと暗号化情報をネゴシエートするように構成された第2のデバイスであって、ここで第1の証明書情報は、第1のデバイスの証明書情報である、第2のデバイスと、第2のデバイスと暗号化情報をネゴシエートするように構成された、第1の証明書情報に対応する第1のデバイスと、を含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0163】
制御ポイントが、TCPである場合、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。制御ポイントが、ICPである場合、第1のデバイスは、ICであり、また第2のデバイスは、ISであり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICである。
【0164】
制御ポイントは、さらに、第1のデバイスの証明書情報を取得するように構成されており、取得するモードは、それだけには限定されないが、制御ポイントが、第1のデバイスから第1のデバイスの証明書情報を取得すること、または制御ポイントが、第1のデバイスについての証明書を生成し、それを第2のデバイスに送信し、また証明書についての情報を第1のデバイスに送信することを含む。第1のデバイスの証明書情報は、第1のデバイスの証明書、または第1のデバイスの証明書のハッシュ値を含む。
【0165】
本発明の実施形態11において、第2のデバイスは、第1のデバイスおよび第2のデバイスによって信頼される制御ポイントを通して第1のデバイスの証明書情報を取得し、また第1のデバイスを正常に認証した後に適用可能な暗号化アルゴリズムおよびキーを第1のデバイスとネゴシエートし、したがって、第1のデバイスおよび第2のデバイスは、暗号化アルゴリズムおよびキーを使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0166】
本発明の実施形態における方法のステップの全部または一部が、関連のあるハードウェアに指示するプログラムによって実施され得ることを、当業者なら理解するはずである。プログラムは、ROM、磁気ディスク、CD-ROMなどのコンピュータ読取り可能記憶媒体に記憶することができる。
【0167】
暗号化情報をネゴシエートするための方法およびデバイスと、ネットワークシステムとが、上記に開示される。本発明は、例示の実施形態を通して説明されるが、本発明は、そのような実施形態だけに限定されない。当業者には、本発明の精神および範囲を逸脱することなく、本発明に対する修正および変形を行うことができることが明らかである。本発明は、添付の特許請求の範囲または均等物によって定義される保護の範囲に含まれるという条件で修正および変形をカバーすることが意図されている。
【符号の説明】
【0168】
201〜203 ステップ
301〜309 ステップ
401〜414 ステップ
501〜509 ステップ
601〜603 ステップ
701〜714 ステップ
801〜812 ステップ
901 取得ユニット
902 決定ユニット
903 送信ユニット
904 通信ユニット
1001 受信ユニット
1002 認証ユニット
1003 ネゴシエートユニット
【技術分野】
【0001】
本発明は、通信技術の分野に関し、より詳細には、暗号化情報(encryption information)をネゴシエートするための(for negotiating)方法およびデバイスと、ネットワークシステムとに関する。
【0002】
本出願は、2009年8月21日に中国専利局(Chinese Patent Office)に出願され、その全体が参照によって本明細書に組み込まれている「暗号化情報をネゴシエートするための方法およびデバイスと、ネットワークシステム(METHOD AND DEVICE FOR NEGOTIATING ENCRYPTION INFORMATION, AND NETWORK SYSTEM)」という名称の中国特許出願第200910167221.7号の優先権を主張するものである。
【背景技術】
【0003】
通信技術の発達と共に、ユーザは、電話対応デバイスで電話サービスを使用するだけでなく、ホームネットワークにおいて電話サービスを共有することも期待する。ユニバーサルプラグアンドプレイ(UPnP)電話通信(telephony)規格においては、3つの機能エンティティ、すなわち電話通信サーバ(Telephony Server) (TS)、電話通信クライアント(Telephony Client) (TC)、および電話通信制御ポイント(Telephony Control Point) (TCP)が定義されている。TSは、ホームネットワークにおいて他のデバイスのための電話サービスを提供する。TCは、ホームネットワークにおいてTSからデータストリームを受信し、ユーザに対してデータストリーム情報を提示し、かつ/またはTSのためのデータストリームを提供する。TCPは、ホームネットワークにおいてTCとTSとの間の電話サービスの共有を実施するために制御を実行する。TCと、TSと、TCPとの間の接続関係は、図1に示されている。TCとTSとの間のデータストリームは、アウトバンドメカニズム(outband mechanism)を通して送信され、またTCとTSとの間で送信されるデータストリームは、メディアストリーム(media streams)および/またはショートメッセージを含んでいる。
【0004】
従来技術においては、TCとTSとの間のデータストリームは、非合法のデバイスによって傍受され、または改ざんされることに対してぜい弱であり、安全ではない。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の実施形態は、TCとTSとの間で送信されるデータストリームのセキュリティを保証するために暗号化情報をネゴシエートするための方法およびデバイスと、ネットワークシステムとを提供する。
【0006】
そのような目的は、以下の技術的解決策を通して達成される。
【課題を解決するための手段】
【0007】
暗号化情報をネゴシエートするための方法は、第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するステップと、第1のデバイスの暗号化機能についての情報および第2のデバイスの暗号化機能についての情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定するステップと、第1のデバイスおよび第2のデバイスに暗号化情報を送信するステップとを含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0008】
暗号化情報をネゴシエートするための方法は、第2のデバイスにより、制御ポイントから第1のデバイスの証明書情報を受信するステップと、第2のデバイスにより、第1のデバイスの証明書情報に従って第1のデバイスを認証するステップと、第2のデバイスにより、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートするステップとを含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0009】
暗号化情報をネゴシエートするためのデバイスは、第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するように構成された取得ユニットと、第1のデバイスの暗号化機能についての情報および第2のデバイスの暗号化機能についての情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定するように構成された決定ユニットと、第1のデバイスおよび第2のデバイスにそれぞれ決定された暗号化情報を送信するように構成された送信ユニットと、を含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0010】
暗号化情報をネゴシエートするためのデバイスは、制御ポイントから第1のデバイスの証明書情報を受信するように構成された受信ユニットと、第1のデバイスの証明書情報に従って第1のデバイスを認証するように構成された認証ユニットと、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートするように構成されたネゴシエートユニットとを含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0011】
ネットワークシステムは、暗号化機能についての第1の情報と、暗号化機能についての第2の情報とを受信し、暗号化機能についての第1の情報および暗号化機能についての第2の情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、暗号化情報を送信するように構成された制御ポイントを含み、第1のデバイスは、暗号化機能についての第1の情報を制御ポイントに送信し、制御ポイントによって送信される暗号化情報を受信するように構成されており、ここで暗号化機能についての第1の情報は、第1のデバイスの暗号化機能を示し、第2のデバイスは、暗号化機能についての第2の情報を制御ポイントに送信し、制御ポイントによって送信される暗号化情報を受信するように構成されており、ここで暗号化機能についての第2の情報は、第2のデバイスの暗号化機能を示し、また暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0012】
ネットワークシステムは、第1の証明書情報を取得し、送信するように構成された制御ポイントと、制御ポイントによって送信される第1の証明書情報を受信し、第1の証明書情報に対応するデバイスを認証し、デバイスを正常に認証した後に第1の証明書情報に対応するデバイスと暗号化情報をネゴシエートするように構成された第2のデバイスと、第2のデバイスと暗号化情報をネゴシエートするように構成された、第1の証明書情報に対応する第1のデバイスとを含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【発明の効果】
【0013】
本発明の一実施形態においては、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報は、第1のデバイスおよび第2のデバイスの暗号化機能についての情報に従って決定され、また第1のデバイスおよび第2のデバイスにそれぞれ送信され、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0014】
本発明の別の実施形態においては、第2のデバイスは、制御ポイントを通して第1のデバイスの証明書情報を取得し、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートし、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0015】
本発明の下の技術的解決策をより明確にするために、本発明の実施形態の説明に必要とされる添付図面が、以下で概説される。明らかに、以下で概説される添付図面は、網羅的なものではなく、当業者は、創造的などのような努力もなしに添付図面から他の図面を導き出すことができる。
【図面の簡単な説明】
【0016】
【図1】従来技術におけるホームネットワークの構造図である。
【図2】本発明の第1の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図3】本発明の第2の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図4】本発明の第3の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図5】本発明の第4の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図6】本発明の第5の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図7】本発明の第6の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図8】本発明の第7の実施形態による、暗号化情報をネゴシエートするための方法のフローチャートである。
【図9】本発明の第8の実施形態による、暗号化情報をネゴシエートするためのデバイスの構造図である。
【図10】本発明の第9の実施形態による、暗号化情報をネゴシエートするためのデバイスの構造図である。
【発明を実施するための形態】
【0017】
[実施形態1]
【0018】
図2に示されるように、本実施形態において暗号化情報をネゴシエートするための方法は、以下のステップを含んでいる。
【0019】
201:第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得する。
【0020】
このステップに続くステップ202およびステップ203は、制御ポイントによって実行される。
【0021】
制御ポイントが、TCPである場合、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。
【0022】
このステップにおけるTCPは、TCおよびTSによって許可される制御ポイントであり、TCおよびTSにアクセスする資格がある。したがって、このステップの前に、TCPは、TSおよびTCによって許可を得る必要がある。TCが、TCPがTCにアクセスすることを許可するときに、TCは、TCのアクセス制御リスト(Access Control List) (ACL)にTCPの識別子(Identifier) (ID)を記憶し、ここでTCPのIDは、TCPの証明書のハッシュ値とすることができる。同様に、TSが、TCPがTSにアクセスすることを許可するときに、TSは、TSのACLにTCPのIDを記憶し、ここでTCPのIDは、TCPの証明書のハッシュ値とすることができる。その後に、TSおよびTCは、TCPの証明書と、それぞれ記憶されたACLとに基づいて、許可されたTCPにアクセス可能である。このステップにおいて、TCおよびTSによって許可されるTCPは、TCにアクセスすることによりTCの暗号化機能についての情報を取得し、TSにアクセスすることによりTSの暗号化機能についての情報を取得する。
【0023】
制御ポイントが、入力制御ポイント(Input Control Point) (ICP)である場合、第1のデバイスは、入力クライアント(Input Client) (IC)であり、また第2のデバイスは、入力サーバ(IS)であり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICである。
【0024】
このステップにおけるICPは、ICおよびISによって許可される制御ポイントであり、ICおよびISにアクセスする資格がある。したがって、このステップの前に、ICPは、ISおよびICによって許可を得る必要がある。ICが、ICPがICにアクセスすることを許可するときに、ICは、ICのACLにICPの識別子IDを記憶し、ここでICPのIDは、ICPの証明書のハッシュ値とすることができる。同様に、ISが、ICPがISにアクセスすることを許可するときに、ISは、ISのACLにICPのIDを記憶し、ここでICPのIDは、ICPの証明書のハッシュ値とすることができる。その後に、ISおよびICは、ICPの証明書と、それぞれ記憶されたACLとに基づいて、許可されたICPにアクセス可能である。このステップにおいて、ICおよびISによって許可されるICPは、ICにアクセスすることによりICの暗号化機能についての情報を取得し、またISにアクセスすることによりISの暗号化機能についての情報を取得する。
【0025】
このステップにおいて、第1のデバイスの暗号化機能についての情報は、トランスポートプロトコルと、暗号化プロトコルと、暗号化アルゴリズムと、最大パスワード長とを含むことができ、これらは、第1のデバイスによってサポートされ、また第2のデバイスの暗号化機能についての情報は、トランスポートプロトコルと、暗号化プロトコルと、暗号化アルゴリズムと、最大パスワード長とを含むことができ、これらは、TSによってサポートされる。
【0026】
202:第1のデバイスの暗号化機能についての情報および第2のデバイスの暗号化機能についての情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定する。暗号化情報は、暗号化アルゴリズム(次世代標準暗号方式(Advanced Encryption Standard) (AES)やデータ暗号化規格(Data Encryption Standard) (DES)など)とキーとを含んでおり、または暗号化情報は、セキュアソケットレイヤ(Secure Socket Layer) (SSL)プロトコルなどの暗号化プロトコルを含んでいる。
【0027】
暗号化情報が、暗号化プロトコルを含む場合、第1のデバイスおよび第2のデバイスは、その後に暗号化プロトコルに従って暗号化アルゴリズムおよびキーをネゴシエートし、また通信データストリームの暗号化された伝送を実施して、第1のデバイスと第2のデバイスとの間の通信のセキュリティを保証する。例えば、SSLプロトコルが適用される場合、第1のデバイスおよび第2のデバイスは、キー交換アルゴリズム、データ暗号化アルゴリズム、およびダイジェストアルゴリズムをハンドシェイクプロトコルを通してネゴシエートし、ネゴシエートされたキー交換アルゴリズムを使用することにより、第1のデバイスと第2のデバイスとだけに知られているキーを生成する。
【0028】
203:第1のデバイスおよび第2のデバイスにそれぞれ決定された暗号化情報を送信し、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0029】
制御ポイントと第1のデバイス/第2のデバイスとの間の情報が、非合法のデバイスによって傍受されないようにするために、ステップ201の前に、第1のデバイスおよび第2のデバイスによって許可されるように、制御ポイントは、例えば、SSLプロトコルまたはトランスポートレイヤセキュリティ(Transport Layer Security) (TLS)プロトコルを通してそれぞれ第1のデバイスおよび第2のデバイスに対するセキュア伝送チャネル(secure transmission channel)をセットアップすることができる。制御ポイントは、第1のデバイスの暗号化機能についての情報を第1のデバイスに対するセキュア伝送チャネルを通して取得し、第2のデバイスの暗号化機能についての情報を第2のデバイスに対するセキュア伝送チャネルを通して取得し、第1のデバイスに対するセキュア伝送チャネルを通して第1のデバイスに暗号化情報を送信し、第2のデバイスに対するセキュア伝送チャネルを通して第2のデバイスに暗号化情報を送信する。
【0030】
実施形態1においては、暗号化情報は、第1のデバイスおよび第2のデバイスの暗号化機能についての情報に従って決定され、第1のデバイスおよび第2のデバイスにそれぞれ送信され、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読し、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0031】
[実施形態2]
【0032】
図3に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この方法においては、TCとTSとの両方によって信頼されるTCPは、TCとTSとの両方によってサポートされる暗号化アルゴリズムを選択し、キーを生成し、またTCおよびTSに暗号化アルゴリズムおよびキーを通知する。本方法は、以下のステップを含んでいる。
【0033】
301:TCPは、TCのメディア能力(media capabilities)についての情報をTCから取得する。メディア能力についての情報は、TCによってサポートされるトランスポートプロトコルについての情報と、TCの暗号化機能についての情報とを含む。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、TCによってサポートされるキー長(key length)についての情報とを含む。キー長についての情報は、TCによってサポートされる最大キー長とすることができる。
【0034】
このステップにおいては、TCPは、GetMediaSessionCapability()コマンドを通してTCのメディア能力についての情報を取得することができる。
【0035】
302:TCPは、TSからTSのメディア能力についての情報を取得する。メディア能力についての情報は、TSによってサポートされるトランスポートプロトコルについての情報と、TSの暗号化機能についての情報とを含む。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、TSによってサポートされるキー長についての情報とを含む。キー長についての情報は、TSによってサポートされる最大キー長とすることができる。
【0036】
このステップにおいて、TCPは、GetMediaSessionCapability()コマンドを通してTSからTSのメディア能力についての情報を取得することができる。
【0037】
303:TCPは、TCのメディア能力についての情報およびTSのメディア能力についての情報に従ってTCとTSとの間のセッションを実行するために必要とされるセッションパラメータを決定する。セッションパラメータは、TCとTSとの両方に適用可能なトランスポートプロトコルと、暗号化アルゴリズムと、キーとを含む。
【0038】
このステップにおいて、TCおよびTSに適用可能な暗号化アルゴリズムをTCPによって決定することは、TCとTSとの両方によってサポートされる暗号化アルゴリズムをTCPによって選択することを意味する。このステップにおいて、TCPは、TCの暗号化機能についての情報およびTSの暗号化機能についての情報に従ってキーを生成する。特に、TCPは、TCによってサポートされる最大キー長、およびTSによってサポートされる最大キー長に従ってキーを生成し、その結果、生成されたキーがTCおよびTSのキー長要件を満たすことが保証されるようになる。
【0039】
304:TCPは、セッションパラメータに従ってTCとTSとの間のデータチャネルをセットアップする指示としてセッションパラメータをTCに送信し、そうするとすぐにTCは、応答メッセージをTCPに送信する。
【0040】
このステップにおいて、TCPは、セッションパラメータをTCに送信し、したがって、TCは、セッションパラメータに従ってTSに対するデータチャネルをセットアップし、次いでセッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、TCとTSとの間で送信されるデータストリームを暗号化し、かつ/または解読する。
【0041】
このステップにおいては、TCPは、SetMediaSession(MediaCapability,...)コマンドを使用して、セッションパラメータをTCに送信することができる。
【0042】
SetMediaSession(MediaCapability,...)コマンド内の「MediaCapability」は、セッションパラメータを意味する。
【0043】
305:TCPは、セッションパラメータをTSに送信し、したがって、TSは、セッションパラメータに従ってTCに対するデータチャネルをセットアップし、次いでセッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、TCとTSとの間で送信されるデータストリームを暗号化し、かつ/または解読する。
【0044】
このステップにおいて、TCPは、SetMediaSession(MediaCapability,...)コマンドを使用して、セッションパラメータをTSに送信することができる。
【0045】
306:TCPは、送信するデータストリームを開始する指示として通知メッセージをTSに送信する。
【0046】
このステップにおいて、TCPは、アウトバンドモードにおいて送信するデータストリームを開始する指示としてStartMediaSession()コマンドをTSに送信する。
【0047】
307:TSは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、次いでデータストリームを送信し、またTCは、暗号化アルゴリズムおよびキーに従ってTSから受信されるデータストリームを解読し、あるいはTCは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、次いでデータストリームを送信し、またTSは、暗号化アルゴリズムおよびキーに従ってTCから受信されたデータストリームを解読する。
【0048】
308:セッションが終了しようとしているときに、TCPは、セッションを終了する指示として通知メッセージをTCに送信する。
【0049】
このステップにおいては、TCPは、StopMediaSession()コマンドをTCに送信して、セッションを終了する。
【0050】
309:セッションが終了しようとしているときに、TCPは、セッションを終了する指示として通知メッセージをTSに送信する。
【0051】
このステップにおいては、TCPは、StopMediaSession()コマンドをTSに送信して、セッションを終了する。
【0052】
ステップ301から309におけるメッセージは、セキュア伝送チャネルにおいて送信され、このセキュア伝送チャネルは、メッセージ内容が、非合法のデバイスによって傍受されないようにすることに留意されたい。したがって、非合法のデバイスは、キーを知ることができない。
【0053】
実施形態2においては、TCおよびTSによって信頼されるTCPは、TCおよびTSの暗号化機能についての情報を取得し、TCとTSとの両方によってサポートされる暗号化アルゴリズムを選択し、またキーを生成する。TCPは、TCおよびTSにそれぞれ暗号化アルゴリズムおよびキーを送信する。それによって、データストリームの送信側(TCまたはTS)は、暗号化アルゴリズムおよびキーを使用して、送信されるべきデータストリームを暗号化し、またデータストリームの受信側(TSまたはTC)は、暗号化アルゴリズムおよびキーを使用して、受信されたデータストリームを解読し、これは、アウトバンドモードにおいてTCとTSとの間で送信されるデータストリームのセキュリティを保証する。
【0054】
[実施形態3]
【0055】
図4に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この実施形態は、GetencryptCapability()コマンドを使用して、TCおよびTSの暗号化機能についての情報を取得し、Setencrypt()コマンドを使用して、暗号化アルゴリズムおよびキーをTCおよびTSに送信するという点において、第2の実施形態とは異なる。本方法は、以下のステップを含んでいる。
【0056】
401:TCPは、TCのメディア能力についての情報をTCから取得する。メディア能力についての情報は、TCによってサポートされるトランスポートプロトコルについての情報を含んでいる。
【0057】
このステップにおいては、TCPは、GetMediaSessionCapability()コマンドを通してTCのメディア能力についての情報を取得することができる。
【0058】
402:TCPは、TSのメディア能力についての情報をTSから取得する。メディア能力についての情報は、TSによってサポートされるトランスポートプロトコルについての情報を含んでいる。
【0059】
このステップにおいては、TCPは、GetMediaSessionCapability()コマンドを通してTSのメディア能力についての情報をTSから取得することができる。
【0060】
403:TCPは、TCのメディア能力についての情報およびTSのメディア能力についての情報に従ってTCとTSとの間のセッションを実行するために必要とされるセッションパラメータを決定する。セッションパラメータは、TCとTSとの両方によってサポートされるトランスポートプロトコルを含んでいる。
【0061】
404:TCPは、セッションパラメータに従ってTCとTSとの間のデータチャネルをセットアップする指示としてセッションパラメータをTCに送信し、そうするとすぐにTCは、応答メッセージをTCPに送信する。
【0062】
このステップにおいては、TCPは、SetMediaSession(MediaCapability,...)コマンドを使用して、セッションパラメータをTCに送信することができる。
【0063】
SetMediaSession(MediaCapability,...)コマンド内の「MediaCapability」は、セッションパラメータを意味する。
【0064】
405:TCPは、セッションパラメータに従ってTSおよびTCの間のデータチャネルをセットアップする指示としてセッションパラメータをTSに送信する。
【0065】
このステップにおいては、TCPは、SetMediaSession(MediaCapability,...)コマンドを使用して、セッションパラメータをTSに送信することができる。
【0066】
406:TCPは、TCの暗号化機能についての情報をTCから取得する。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、TCによってサポートされるキー長についての情報とを含む。キー長についての情報は、TCによってサポートされる最大キー長とすることができる。
【0067】
このステップにおいて、TCPは、GetencryptCapability()コマンドを通してTCの暗号化機能についての情報をTCから取得することができる。
【0068】
407:TCPは、TSの暗号化機能についての情報をTSから取得する。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、TSによってサポートされるキー長についての情報とを含む。キー長についての情報は、TSによってサポートされる最大キー長とすることができる。
【0069】
このステップにおいて、TCPは、GetencryptCapability()コマンドを通してTSの暗号化機能についての情報をTSから取得することができる。
【0070】
408:TCPは、TCおよびTSの暗号化機能についての情報に従ってTCおよびTSに適用可能な暗号化アルゴリズムを決定し、キーを生成する。
【0071】
409:TCPは、決定された暗号化アルゴリズムおよびキーをTCに通知し、したがって、TCは、その後に、セッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、TCとTSとの間で送信されるデータストリームを暗号化し、かつ/または解読することができる。
【0072】
このステップにおいては、TCPは、暗号化アルゴリズムおよびキーを搬送するSetencrypt(encryptCapability,...)コマンドをTCに送信し、ここで「encryptCapability」は、暗号化アルゴリズムおよびキーを意味する。
【0073】
410:TCPは、決定された暗号化アルゴリズムおよびキーをTSに通知し、したがって、TSは、その後に、セッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、TCとTSとの間で送信されるデータストリームを暗号化し、かつ/または解読することができる。
【0074】
このステップにおいては、TCPは、暗号化アルゴリズムおよびキーを搬送するSetencrypt(encryptCapability,...)コマンドをTSに送信し、ここで「encryptCapability」は、暗号化アルゴリズムおよびキーを意味する。
【0075】
ステップ411から414は、ステップ306から309と同じであり、その詳細は、本明細書においては再び説明されることはない。
【0076】
ステップ401から415におけるメッセージは、セキュア伝送チャネルにおいて送信され、このセキュア伝送チャネルは、メッセージ内容が、非合法のデバイスによって傍受されないようにすることに留意されたい。したがって、非合法のデバイスは、キーを知ることができない。
【0077】
実施形態3においては、TCおよびTSによって信頼されるTCPは、TCおよびTSの暗号化機能についての情報を取得し、TCとTSとの両方によってサポートされる暗号化アルゴリズムを選択し、またキーを生成する。TCPは、TCおよびTSにそれぞれ暗号化アルゴリズムおよびキーを送信する。それによって、データストリームの送信側(TCまたはTS)は、暗号化アルゴリズムおよびキーを使用して、送信されるべきデータストリームを暗号化し、またデータストリームの受信側(TSまたはTC)は、暗号化アルゴリズムおよびキーを使用して、受信されたデータストリームを解読し、これは、アウトバンドモードにおいてTCとTSとの間で送信されるデータストリームのセキュリティを保証する。
【0078】
TSおよびTCからそれぞれTCPによって取得される暗号化機能についての情報は、暗号化プロトコルを含むことができることに留意されたい。TCPは、TSおよびTCに適用可能な暗号化プロトコルを決定し、また決定された暗号化プロトコルについての情報をTCおよびTSにそれぞれ送信する。その後に、TCおよびTSは、暗号化プロトコルに従って暗号化アルゴリズムおよびキーをネゴシエートし、これはまた、本発明の目的を達成する。
【0079】
[実施形態4]
【0080】
図5に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この方法においては、ICとISとの両方によって信頼されるICPは、ICとISとの両方によってサポートされる暗号化アルゴリズムを選択し、キーを生成し、またICおよびISに暗号化アルゴリズムおよびキーを通知する。本方法は、以下のステップを含んでいる。
【0081】
501:ICPは、ICの入力能力(input capabilities)についての情報をICから取得する。入力能力についての情報は、ICによってサポートされるトランスポートプロトコルについての情報と、ICの暗号化機能についての情報とを含む。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、ICによってサポートされるキー長についての情報とを含む。キー長についての情報は、ICによってサポートされる最大キー長とすることができる。
【0082】
本発明の実施形態をより明確に説明するために、ICPと、ICと、ISとの機能が、以下で簡単に紹介される。ISは、ホームネットワークにおいて他のデバイスのための情報入力サービスを提供し、ICは、ホームネットワークにおいてISからの情報を受信し、またICPは、ホームネットワークにおいてICとISとの間の入力機能の共有を実施するために制御を実行する。
【0083】
このステップにおいては、ICPは、GetInputCapability()コマンドを通してICの入力能力についての情報を取得することができる。
【0084】
502:ICPは、ISの入力能力についての情報をISから取得する。入力能力についての情報は、ISによってサポートされるトランスポートプロトコルについての情報と、ISの暗号化機能についての情報とを含む。暗号化機能についての情報は、暗号化アルゴリズムについての情報と、ISによってサポートされるキー長についての情報とを含む。キー長についての情報は、ISによってサポートされる最大キー長とすることができる。
【0085】
このステップにおいては、ICPは、GetInputCapability()コマンドを通してISの入力能力についての情報をISから取得することができる。
【0086】
503:ICPは、ICの入力能力についての情報、およびISの入力能力についての情報に従ってICとISとの間のセッションを実行するために必要とされるセッションパラメータを決定する。セッションパラメータは、ICとISとの両方に適用可能なトランスポートプロトコルと、暗号化アルゴリズムと、キーとを含む。
【0087】
このステップにおいて、ICおよびISに適用可能な暗号化アルゴリズムをICPによって決定することは、ICとISとの両方によってサポートされる暗号化アルゴリズムをICPによって選択することを意味する。このステップにおいて、ICPは、ICの暗号化機能についての情報およびISの暗号化機能についての情報に従ってキーを生成する。特に、ICPは、ICによってサポートされる最大キー長、およびISによってサポートされる最大キー長に従ってキーを生成し、その結果、生成されたキーがICとISとのキー長要件を満たすことが保証されるようになる。
【0088】
504:ICPは、セッションパラメータに従ってICとISとの間のデータチャネルをセットアップする指示としてセッションパラメータをICに送信し、そうするとすぐにICは、応答メッセージをICPに送信する。
【0089】
このステップにおいて、ICPは、セッションパラメータをICに送信し、したがって、ICは、セッションパラメータに従ってISに対するデータチャネルをセットアップし、次いでセッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、ICとISとの間で送信されるデータストリームを暗号化し、かつ/または解読する。
【0090】
このステップにおいては、ICPは、SetInputSession(Capability,...)コマンドを使用して、セッションパラメータをICに送信することができる。SetInputSession(Capability,...)コマンド内の「Capability」は、セッションパラメータを意味する。
【0091】
505:ICPは、セッションパラメータをISに送信し、したがって、ISは、セッションパラメータに従ってICに対するデータチャネルをセットアップし、次いでセッションパラメータ内に示される暗号化アルゴリズムおよびキーを使用することにより、ICとISとの間で送信されるデータストリームを暗号化し、かつ/または解読する。
【0092】
このステップにおいては、ICPは、SetInputSession(Capability,...)コマンドを使用して、セッションパラメータをISに送信することができる。
【0093】
506:ICPは、送信するデータストリームを開始する指示として通知メッセージをISに送信する。
【0094】
このステップにおいては、ICPは、アウトバンドモードにおいて送信するデータストリームを開始する指示としてStartInputSession()コマンドをISに送信する。
【0095】
507:ISは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、データストリームを送信し、またICは、暗号化アルゴリズムおよびキーに従ってISから受信されるデータストリームを解読する。
【0096】
508:セッションが終了しようとしているときに、ICPは、セッションを終了する指示として通知メッセージをICに送信する。
【0097】
このステップにおいては、ICPは、StopInputSession()コマンドをICに送信して、セッションを終了する。
【0098】
509:セッションが終了しようとしているときに、ICPは、セッションを終了する指示として通知メッセージをISに送信する。
【0099】
このステップにおいては、ICPは、StopInputSession()コマンドをISに送信して、セッションを終了する。
【0100】
実施形態4においては、ICおよびISによって信頼されるICPは、ICとISとの暗号化機能についての情報を取得し、ICとISとの両方によってサポートされる暗号化アルゴリズムを選択し、またキーを生成する。ICPは、ICおよびISにそれぞれ暗号化アルゴリズムおよびキーを送信する。データストリームの送信側(ICまたはIS)は、暗号化アルゴリズムおよびキーを使用して、送信されるべきデータストリームを暗号化し、またデータストリームの受信側(ISまたはIC)は、暗号化アルゴリズムおよびキーを使用して、受信されたデータストリームを解読し、これは、アウトバンドモードにおいてICとISとの間で送信されるデータストリームのセキュリティを保証する。
【0101】
[実施形態5]
【0102】
図6に示されるように、この実施形態において暗号化情報をネゴシエートするための方法は、以下のステップを含んでいる。
【0103】
601:第2のデバイスは、第1のデバイスの証明書情報を制御ポイントから受信する。
【0104】
例えば、制御ポイントが、TCPである場合、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。
【0105】
このステップにおいては、TCPは、TCおよびTSによって許可される制御ポイントであり、TCおよびTSにアクセスする資格があり、例えば、SSLプロトコルまたはTLSプロトコルを通してそれぞれTCおよびTSに対するセキュア伝送チャネルをセットアップすることができる。したがって、このステップの前に、TCPは、TSおよびTCによって許可を得る必要がある。TCが、TCPがTCにアクセスすることを許可するときに、TCは、TCのACLにTCPのIDを記憶し、ここでTCPのIDは、TCPの証明書のハッシュ値とすることができる。同様に、TSが、TCPがTSにアクセスすることを許可するときに、TSは、TSのACLにTCPのIDを記憶し、ここでTCPのIDは、TCPの証明書のハッシュ値とすることができる。その後に、TSおよびTCは、TCPの証明書と、それぞれ記憶されたACLとに基づいて、許可されたTCPにアクセス可能である。
【0106】
代わりに、制御ポイントが、ICPである場合、第1のデバイスは、ICであり、また第2のデバイスは、ISであり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICであってもよい。
【0107】
このステップにおいては、ICPは、ICおよびISによって許可される制御ポイントであり、ICおよびISにアクセスする資格があり、また例えば、SSLプロトコルまたはTLSプロトコルを通してそれぞれICおよびISに対するセキュア伝送チャネルをセットアップすることができる。したがって、このステップの前に、ICPは、ISおよびICによって許可を得る必要がある。ICが、ICPがICにアクセスすることを許可するときに、ICは、ICのACLにICPのIDを記憶し、ここでICPのIDは、ICPの証明書のハッシュ値とすることができる。同様に、ISが、ICPがISにアクセスすることを許可するときに、ISは、ISのACLにICPのIDを記憶し、ここでICPのIDは、ICPの証明書のハッシュ値とすることができる。その後に、ISおよびICは、ICPの証明書と、それぞれ記憶されたACLとに基づいて、許可されたICPにアクセス可能である。
【0108】
このステップにおいては、第2のデバイスが、第1のデバイスの証明書情報を制御ポイントから受信する前に、制御ポイントは、第1のデバイスの証明書情報を取得する必要がある。取得するモードは、それだけには限定されないが、制御ポイントが、第1のデバイスの証明書情報を第1のデバイスから取得すること、あるいは制御ポイントが、第1のデバイスについての証明書を生成し、それを第2のデバイスに送信し、証明書についての情報を第1のデバイスに送信することを含む。第1のデバイスの証明書情報は、第1のデバイスの証明書、または第1のデバイスの証明書のハッシュ値を含む。
【0109】
602:第2のデバイスは、第1のデバイスの証明書情報に従って第1のデバイスを認証する。
【0110】
603:第2のデバイスは、第1のデバイスを正常に認証した後に、第1のデバイスと暗号化情報をネゴシエートし、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0111】
本発明の実施形態5において、第2のデバイスは、制御ポイントを通して第1のデバイスの証明書情報を取得し、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートし、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0112】
[実施形態6]
【0113】
図7に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この方法においては、TCとTSとの両方によって信頼されるTCPは、TCまたはTSのいずれかの証明書情報を取得し、その証明書情報をTSまたはTCに送信する。このようにして、TCおよびTSは、互いを認証し、暗号化アルゴリズムおよびキーをネゴシエートすることができる。本方法は、以下のステップを含んでいる。
【0114】
ステップ701から705は、第4の実施形態におけるステップ401から405と同じであり、その詳細は、本明細書において再び説明しない。
【0115】
706:TCPは、TCの証明書情報をTCから取得する。TCの証明書情報は、TCの証明書、またはTCの証明書のハッシュ値を含む。
【0116】
このステップにおいては、TCPは、GetDeiveAuthenticationInfo()コマンドを通してTCの証明書情報をTCから取得する。
【0117】
707:TCPは、TSの証明書情報をTSから取得する。TSの証明書情報は、TSの証明書、またはTSの証明書のハッシュ値を含む。
【0118】
このステップにおいては、TCPは、GetDeiveAuthenticationInfo()コマンドを通してTSの証明書情報をTSから取得する。
【0119】
708:TCPは、TSの証明書情報をTCに送信する。
【0120】
このステップにおいては、TCPは、SetDeiveAuthInfo(TSinfo,...)コマンドを通してTSの証明書情報をTCに送信することができ、ここで「TSinfo」は、TSの証明書情報を意味する。TSの証明書情報は、その後にTSを認証するためにTCによって使用される。
【0121】
709:TCPは、TCの証明書情報をTSに送信する。
【0122】
このステップにおいては、TCPは、SetDeiveAuthInfo(TSinfo,...)コマンドを通してTCの証明書情報をTSに送信することができ、ここで「TSinfo」は、TCの証明書情報を意味する。TCの証明書情報は、その後にTCを認証するためにTSによって使用される。
【0123】
710:TCPは、送信するデータストリームを開始する指示として通知メッセージをTSに送信する。
【0124】
このステップにおいては、TCPは、アウトバンドモードにおいて送信するデータストリームを開始する指示としてStartMediaSession()コマンドをTSに送信する。
【0125】
711:TSおよびTCは、相手方の証明書情報に従って互いを認証し、また認証が成功した後に暗号化アルゴリズムおよびキーをネゴシエートする。
【0126】
このステップにおいては、一方のパーティ(TSなど)は、他方のパーティ(TCなど)を以下のようにして認証することができる。TCは、その証明書の秘密キー(private key)を使用して、TCとTSとの両方に知られている情報セグメントを暗号化し、その情報セグメントに証明書を加え、また情報セグメントをTSに送信する。TSが、情報セグメントを受信した後に、ステップ709において取得されるTCの証明書情報が、TCの証明書のハッシュ値である場合、TSは、先ずTCの証明書についてのハッシュ演算を実行し、次いでその演算結果をステップ709において取得されるTCの証明書のハッシュ値と比較する。2つの値が同じである場合、TSは、TCの証明書内の公開キー(public key)を使用して、TCの秘密キーを通してTCによって暗号化される情報セグメントを解読し、解読された情報をあらかじめ知られている情報セグメントと比較し、また解読された情報が、知られている情報セグメントとマッチする場合に、TCを認証に合格するものと決定する。ステップ709において取得されるTCの証明書情報が、TCの証明書である場合、TSは、TCによって送信される証明書をステップ709において取得されるTCの証明書と直接に比較する。2つの証明書が同じである場合、TSは、TCの証明書内の公開キーを使用して、TCの秘密キーを通してTCによって暗号化される情報セグメントを解読し、その解読された情報をあらかじめ知られている情報セグメントと比較し、また解読された情報が、知られている情報セグメントとマッチする場合に、TCを認証に合格するものと決定する。TCは、TSを同じようにして認証し、その詳細は、本明細書において再び説明しない。
【0127】
暗号化アルゴリズムは、このようにしてTSおよびTCによってネゴシエートされることが可能であり、すなわち、TCは、TCによってサポートされる暗号化アルゴリズムをTSに報告し、またTSは、それに応じてTCとTSとの両方によってサポートされる暗号化アルゴリズムを選択する。
【0128】
TSおよびTCは、SSLプロトコルを使用して、キーをネゴシエートすることができる。例えば、TCおよびTSは、ハンドシェイクプロトコルを通して、キー交換アルゴリズムと、データ暗号化アルゴリズムと、ダイジェストアルゴリズムとをネゴシエートし、またネゴシエートされたキー交換アルゴリズムを使用して、TCおよびTSだけに知られているキーを生成する。
【0129】
712:TSは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、次いでデータストリームを送信し、またTCは、暗号化アルゴリズムおよびキーに従ってTSから受信されるデータストリームを解読し、あるいはTCは、暗号化アルゴリズムおよびキーに従って送信されるべきデータストリームを暗号化し、次いでデータストリームを送信し、またTSは、暗号化アルゴリズムおよびキーに従ってTCから受信されるデータストリームを解読する。
【0130】
713:セッションが終了しようとしているときに、TCPは、セッションを終了する指示として通知メッセージをTCに送信する。
【0131】
このステップにおいては、TCPは、StopMediaSession()コマンドをTCに送信して、セッションを終了する。
【0132】
714:セッションが終了しようとしているときに、TCPは、セッションを終了する指示として通知メッセージをTSに送信する。
【0133】
このステップにおいては、TCPは、StopMediaSession()コマンドをTSに送信して、セッションを終了する。
【0134】
本発明の実施形態6においては、TCおよびTSによって信頼されるTCPは、TCの証明書情報を取得し、それをTSに送信し、またTSの証明書情報を取得し、それをTCに送信する。TCおよびTSは、互いを正常に認証した後に暗号化アルゴリズムおよびキーをネゴシエートし、したがって、TCおよびTSは、暗号化アルゴリズムおよびキーを使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいてTCとTSとの間で送信されるデータストリームのセキュリティを保証する。
【0135】
[実施形態7]
【0136】
図8に示されるように、暗号化情報をネゴシエートするための方法が、この実施形態において提供される。この方法においては、TCとTSとの両方によって信頼されるTCPは、TCの証明書情報と、TSの証明書情報とを生成し、TSの証明書情報をTCに送信し、またTCの証明書情報をTSに送信する。このようにして、TCおよびTSは、互いを認証し、暗号化アルゴリズムおよびキーをネゴシエートすることができる。本方法は、以下のステップを含んでいる。
【0137】
ステップ801から805は、第4の実施形態におけるステップ401から405と同じであり、その詳細は、本明細書において再び説明しない。
【0138】
806:TCPは、TCの証明書を生成し、その証明書をTCに送信し、またTCの証明書情報をTSに送信する。証明書情報は、TCの証明書、またはTCの証明書のハッシュ値とすることができる。
【0139】
このステップにおいては、TCの証明書情報は、SetDeiveAuthInfo(TSinfo,...)コマンドを通してTSに送信されることが可能であり、ここで「TSinfo」は、TCの証明書情報を意味する。
【0140】
807:TCPは、TSの証明書を生成し、その証明書をTSに送信し、またTSの証明書情報をTCに送信する。証明書情報は、TSの証明書、またはTSの証明書のハッシュ値とすることができる。
【0141】
このステップにおいては、TSの証明書情報は、SetDeiveAuthInfo(TSinfo,...)コマンドを通してTCに送信されることが可能であり、ここで「TSinfo」は、TSの証明書情報を意味する。
【0142】
ステップ808から812は、ステップ710から714と同じであり、その詳細は、本明細書において再び説明しない。
【0143】
本発明の実施形態7においては、TCおよびTSによって信頼されるTCPは、TCの証明書を生成し、それをTCに送信し、TSの証明書を生成し、またそれをTSに送信し、TCの証明書のハッシュ値をTSに送信し、またTSの証明書のハッシュ値をTCに送信する。TCおよびTSは、互いを正常に認証した後に暗号化アルゴリズムおよびキーをネゴシエートし、したがって、TCおよびTSは、暗号化アルゴリズムおよびキーを使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいてTCとTSとの間で送信されるデータストリームのセキュリティを保証する。
【0144】
上記の実施形態6と実施形態7とにおいては、TCとTSとの両方によって信頼されるTCPは、TSの証明書情報をTCに送信し、TCの証明書情報をTSに送信する。このようにして、TCおよびTSは、互いを認証し、暗号化アルゴリズムおよびキーをネゴシエートすることができる。他の実施形態においては、ICとISとの両方によって信頼されるICPは、ISの証明書情報をICに送信することができ、またICの証明書情報をISに送信する。このようにして、ICおよびISは、互いを認証し、暗号化アルゴリズムおよびキーをネゴシエートすることができ、これはまた本発明の目的を達成する。
【0145】
[実施形態8]
【0146】
図9に示されるように、暗号化情報をネゴシエートするためのデバイスが、この実施形態において開示される。本デバイスは、TCおよびTSによって許可されるTCP、またはICおよびISによって許可されるICPとすることができ、本デバイスは、第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するように構成された取得ユニット901と、第1のデバイスの暗号化機能についての情報および第2のデバイスの暗号化機能についての情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定するように構成された決定ユニット902と、第1のデバイスおよび第2のデバイスにそれぞれその決定された暗号化情報を送信するように構成された送信ユニット903と、を含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0147】
暗号化情報をネゴシエートするためのデバイスは、暗号化情報をネゴシエートするためのデバイスから第1のデバイスへの第1のセキュア伝送チャネルをセットアップし、暗号化情報をネゴシエートするためのデバイスから第2のデバイスへの第2のセキュア伝送チャネルをセットアップするように構成された通信ユニット904をさらに含んでいる。この場合に、取得ユニット901は、通信ユニット904によってセットアップされる第1のセキュア伝送チャネルを通して第1のデバイスの暗号化機能についての情報を取得し、通信ユニット904によってセットアップされる第2のセキュア伝送チャネルを通して第2のデバイスの暗号化機能についての情報を取得するように構成されている。送信ユニット903は、通信ユニット904によってセットアップされる第1のセキュア伝送チャネルを通して、決定された暗号化情報を第1のデバイスに送信し、通信ユニット904によってセットアップされる第2のセキュア伝送チャネルを通して、決定された暗号化情報を第2のデバイスに送信するように構成されている。
【0148】
暗号化情報は、暗号化アルゴリズムおよびキーを含み、または暗号化プロトコルを含むことができる。
【0149】
暗号化情報をネゴシエートするためのデバイスがTCPであるときに、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。暗号化情報をネゴシエートするためのデバイスがICPであるときに、第1のデバイスは、ICであり、また第2のデバイスは、ISであり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICである。
【0150】
実施形態8において、第1のデバイスおよび第2のデバイスによって信頼される暗号化情報をネゴシエートするためのデバイスは、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、また第1のデバイスおよび第2のデバイスにそれぞれ暗号化情報を通知し、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0151】
[実施形態9]
【0152】
図10に示されるように、この実施形態において開示される暗号化情報をネゴシエートするためのデバイスは、第1のデバイスの証明書情報を制御ポイントから受信するように構成された受信ユニット1001であって、ここでTCPによって送信される第1のデバイスの証明書情報は、第1のデバイスからTCPによって取得され、または第1のデバイスについてのTCPによって生成される証明書についての情報である、受信ユニット1001と、第1のデバイスの証明書情報に従って第1のデバイスを認証するように構成された認証ユニット1002と、第1のデバイスを正常に認証した後に第1のデバイスと暗号化情報をネゴシエートするように構成されたネゴシエートユニット1003とを含み、ここで暗号化情報は、暗号化情報をネゴシエートするためのデバイスと第1のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0153】
制御ポイントが、TCPである場合、暗号化情報をネゴシエートするためのデバイスは、TCであり、また第1のデバイスは、TSであり、あるいは暗号化情報をネゴシエートするためのデバイスは、TSであり、また第1のデバイスは、TCである。代わりに、制御ポイントが、ICPである場合、暗号化情報をネゴシエートするためのデバイスは、ICであり、また第1のデバイスは、ISであり、あるいは暗号化情報をネゴシエートするためのデバイスは、ISであり、また第1のデバイスは、ICであってもよい。
【0154】
第1のデバイスの証明書情報は、第1のデバイスの証明書、または第1のデバイスの証明書のハッシュ値を含むことができる。
【0155】
本発明の実施形態9において、暗号化情報をネゴシエートするためのデバイスは、第1のデバイスの証明書情報を制御ポイントを通して取得し、第1のデバイスを正常に認証した後に適用可能な暗号化アルゴリズムおよびキーを第1のデバイスとネゴシエートし、したがって、第1のデバイスおよび第2のデバイスは、暗号化アルゴリズムおよびキーを使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0156】
[実施形態10]
【0157】
この実施形態において提供されるネットワークシステムは、暗号化機能についての第1の情報と、暗号化機能についての第2の情報とを受信し、暗号化機能についての第1の情報および暗号化機能についての第2の情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、暗号化情報を送信するように構成された制御ポイントを含み、第1のデバイスは、暗号化機能についての第1の情報を制御ポイントに送信し、制御ポイントによって送信される暗号化情報を受信するように構成されており、暗号化機能についての第1の情報は、第1のデバイスの暗号化機能を示し、第2のデバイスは、暗号化機能についての第2の情報を制御ポイントに送信し、制御ポイントによって送信される暗号化情報を受信するように構成されており、ここで暗号化機能についての第2の情報は、第2のデバイスの暗号化機能を示し、また暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0158】
暗号化情報は、暗号化アルゴリズムおよびキーを含み、または暗号化プロトコルを含むことができる。暗号化情報が、暗号化プロトコルを含むときに、第1のデバイスは、さらに、暗号化プロトコルを使用することにより、暗号化アルゴリズムおよびキーを第2のデバイスとネゴシエートするように構成されており、また第2のデバイスは、さらに、暗号化プロトコルを使用することにより暗号化アルゴリズムおよびキーを第1のデバイスとネゴシエートするように構成されている。
【0159】
制御ポイントが、TCPである場合、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。制御ポイントが、ICPである場合、第1のデバイスは、ICであり、また第2のデバイスは、ISであり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICである。
【0160】
実施形態10においては、第1のデバイスおよび第2のデバイスによって信頼される制御ポイントは、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、また暗号化情報を第1のデバイスおよび第2のデバイスにそれぞれ通知し、したがって、第1のデバイスおよび第2のデバイスは、暗号化情報を使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0161】
[実施形態11]
【0162】
この実施形態において提供されるネットワークシステムは、第1の証明書情報を取得し、送信するように構成された制御ポイントと、制御ポイントによって送信される第1の証明書情報を受信し、第1の証明書情報に対応するデバイスを認証し、そのデバイスを正常に認証した後に第1の証明書情報に対応するデバイスと暗号化情報をネゴシエートするように構成された第2のデバイスであって、ここで第1の証明書情報は、第1のデバイスの証明書情報である、第2のデバイスと、第2のデバイスと暗号化情報をネゴシエートするように構成された、第1の証明書情報に対応する第1のデバイスと、を含み、ここで暗号化情報は、第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働く。
【0163】
制御ポイントが、TCPである場合、第1のデバイスは、TCであり、また第2のデバイスは、TSであり、あるいは第1のデバイスは、TSであり、また第2のデバイスは、TCである。制御ポイントが、ICPである場合、第1のデバイスは、ICであり、また第2のデバイスは、ISであり、あるいは第1のデバイスは、ISであり、また第2のデバイスは、ICである。
【0164】
制御ポイントは、さらに、第1のデバイスの証明書情報を取得するように構成されており、取得するモードは、それだけには限定されないが、制御ポイントが、第1のデバイスから第1のデバイスの証明書情報を取得すること、または制御ポイントが、第1のデバイスについての証明書を生成し、それを第2のデバイスに送信し、また証明書についての情報を第1のデバイスに送信することを含む。第1のデバイスの証明書情報は、第1のデバイスの証明書、または第1のデバイスの証明書のハッシュ値を含む。
【0165】
本発明の実施形態11において、第2のデバイスは、第1のデバイスおよび第2のデバイスによって信頼される制御ポイントを通して第1のデバイスの証明書情報を取得し、また第1のデバイスを正常に認証した後に適用可能な暗号化アルゴリズムおよびキーを第1のデバイスとネゴシエートし、したがって、第1のデバイスおよび第2のデバイスは、暗号化アルゴリズムおよびキーを使用して、それらの間で送信されるデータストリームを暗号化し、かつ/または解読することができ、これは、アウトバンドモードにおいて第1のデバイスと第2のデバイスとの間で送信されるデータストリームのセキュリティを保証する。
【0166】
本発明の実施形態における方法のステップの全部または一部が、関連のあるハードウェアに指示するプログラムによって実施され得ることを、当業者なら理解するはずである。プログラムは、ROM、磁気ディスク、CD-ROMなどのコンピュータ読取り可能記憶媒体に記憶することができる。
【0167】
暗号化情報をネゴシエートするための方法およびデバイスと、ネットワークシステムとが、上記に開示される。本発明は、例示の実施形態を通して説明されるが、本発明は、そのような実施形態だけに限定されない。当業者には、本発明の精神および範囲を逸脱することなく、本発明に対する修正および変形を行うことができることが明らかである。本発明は、添付の特許請求の範囲または均等物によって定義される保護の範囲に含まれるという条件で修正および変形をカバーすることが意図されている。
【符号の説明】
【0168】
201〜203 ステップ
301〜309 ステップ
401〜414 ステップ
501〜509 ステップ
601〜603 ステップ
701〜714 ステップ
801〜812 ステップ
901 取得ユニット
902 決定ユニット
903 送信ユニット
904 通信ユニット
1001 受信ユニット
1002 認証ユニット
1003 ネゴシエートユニット
【特許請求の範囲】
【請求項1】
暗号化情報をネゴシエートするための方法であって、
第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するステップと、
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスに適用可能な暗号化情報を決定するステップと、
前記第1のデバイスおよび前記第2のデバイスに前記暗号化情報を送信するステップと、
を含み、
前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とする方法。
【請求項2】
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報を取得する前に、前記方法は、
前記第1のデバイスに対するセキュア伝送チャネルと、前記第2のデバイスに対するセキュア伝送チャネルとをそれぞれセットアップするステップと、
をさらに含み、
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報を取得する前記ステップは、特に、
前記第1のデバイスに対する前記セキュア伝送チャネルを使用することにより、前記第1のデバイスの暗号化機能についての前記情報を取得するステップと、
前記第2のデバイスに対する前記セキュア伝送チャネルを使用することにより、前記第2のデバイスの暗号化機能についての前記情報を取得するステップと、
を含み、
前記第1のデバイスおよび前記第2のデバイスに前記暗号化情報を送信する前記ステップは、特に、
前記第1のデバイスに対する前記セキュア伝送チャネルを使用することにより前記暗号化情報を前記第1のデバイスに送信するステップと、
前記第2のデバイスに対する前記セキュア伝送チャネルを使用することにより前記暗号化情報を前記第2のデバイスに送信するステップと、
を含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記暗号化情報は、暗号化アルゴリズムおよびキーを含み、
前記暗号化アルゴリズムおよび前記キーは、データストリームの送信側が送信されるべき前記データストリームを暗号化するための基礎として働き、また前記データストリームの受信側が前記受信されたデータストリームを解読するための基礎として働き、
前記送信側は、前記第1のデバイスであり、また前記受信側は、前記第2のデバイスであり、あるいは前記送信側は、前記第2のデバイスであり、また前記受信側は、前記第1のデバイスであることを特徴とする請求項1に記載の方法。
【請求項4】
前記第1のデバイスの暗号化機能についての前記情報は、前記第1のデバイスによってサポートされる暗号化アルゴリズムについての情報と、前記第1のデバイスによってサポートされるキー長についての情報と、
を含み、
前記第2のデバイスの暗号化機能についての前記情報は、前記第2のデバイスによってサポートされる暗号化アルゴリズムについての情報と、前記第2のデバイスによってサポートされるキー長についての情報と、
を含み、また
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスに適用可能な前記暗号化情報を決定する前記ステップは、特に、
前記第1のデバイスによってサポートされる前記暗号化アルゴリズムについての前記情報および前記第2のデバイスによってサポートされる前記暗号化アルゴリズムについての前記情報に従って、前記第1のデバイスと前記第2のデバイスとの両方によってサポートされる暗号化アルゴリズムを選択するステップと、前記第1のデバイスによってサポートされる前記キー長についての前記情報および前記第2のデバイスによってサポートされる前記キー長についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスの長さ要件に準拠したキーを生成するステップと、を含むことを特徴とする請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記暗号化情報は、暗号化プロトコルを含み、
前記暗号化プロトコルは、前記第1のデバイスおよび前記第2のデバイスが、暗号化アルゴリズムおよびキーをネゴシエートするための基礎として働き、また
前記暗号化アルゴリズムおよび前記キーは、データストリームの送信側が送信されるべき前記データストリームを暗号化するための基礎として働き、また前記データストリームの受信側が前記受信されたデータストリームを解読するための基礎として働き、
前記送信側は、前記第1のデバイスであり、また前記受信側は、前記第2のデバイスであり、あるいは前記送信側は、前記第2のデバイスであり、また前記受信側は、前記第1のデバイスであることを特徴とする請求項1に記載の方法。
【請求項6】
前記第1のデバイスの暗号化機能についての前記情報は、前記第1のデバイスによってサポートされる前記暗号化プロトコルについての情報を含み、
前記第2のデバイスの暗号化機能についての前記情報は、前記第2のデバイスによってサポートされる前記暗号化プロトコルについての情報を含み、また
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスに適用可能な前記暗号化情報を決定する前記ステップは、特に、
前記第1のデバイスによってサポートされる前記暗号化プロトコルについての前記情報および前記第2のデバイスによってサポートされる前記暗号化プロトコルについての前記情報に従って、前記第1のデバイスと前記第2のデバイスとの両方によってサポートされる前記暗号化プロトコルを選択するステップを含むことを特徴とする請求項1、2、または5に記載の方法。
【請求項7】
暗号化情報をネゴシエートするための方法であって、
第2のデバイスにより、第1のデバイスの証明書情報を制御ポイントから受信するステップと、
前記第2のデバイスにより、前記第1のデバイスの前記証明書情報に従って前記第1のデバイスを認証するステップと、
前記第2のデバイスにより、前記第1のデバイスを正常に認証した後に前記第1のデバイスと暗号化情報をネゴシエートするステップと、
を含み、
前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とする方法。
【請求項8】
前記第1のデバイスの前記証明書情報は、前記第1のデバイスから前記制御ポイントによって取得され、
または
前記第1のデバイスの前記証明書情報は、前記第1のデバイスについての前記制御ポイントによって生成される証明書についての情報であることを特徴とする請求項7に記載の方法。
【請求項9】
暗号化情報をネゴシエートするためのデバイスであって、
第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するように構成された取得ユニットと、
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスに適用可能な暗号化情報を決定するように構成された決定ユニットと、
前記第1のデバイスおよび前記第2のデバイスにそれぞれ前記決定された暗号化情報を送信するように構成された送信ユニットと、
を備え、
前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とするデバイス。
【請求項10】
暗号化情報をネゴシエートするための前記デバイスから前記第1のデバイスへの第1のセキュア伝送チャネルをセットアップし、暗号化情報をネゴシエートするための前記デバイスから前記第2のデバイスへの第2のセキュア伝送チャネルをセットアップするように構成された通信ユニットをさらに備え、
前記取得ユニットは、特に、前記通信ユニットによってセットアップされる前記第1のセキュア伝送チャネルを通して前記第1のデバイスの暗号化機能についての情報を取得し、前記通信ユニットによってセットアップされる前記第2のセキュア伝送チャネルを通して前記第2のデバイスの暗号化機能についての情報を取得するように構成されており、また
前記送信ユニットは、特に、前記通信ユニットによってセットアップされる前記第1のセキュア伝送チャネルを通して前記決定された暗号化情報を前記第1のデバイスに送信し、前記通信ユニットによってセットアップされる前記第2のセキュア伝送チャネルを通して前記決定された暗号化情報を前記第2のデバイスに送信するように構成されていることを特徴とする請求項9に記載のデバイス。
【請求項11】
暗号化情報をネゴシエートするためのデバイスであって、
第1のデバイスの証明書情報を制御ポイントから受信するように構成された受信ユニットと、
前記第1のデバイスの前記証明書情報に従って前記第1のデバイスを認証するように構成された認証ユニットと、
前記第1のデバイスを正常に認証した後に前記第1のデバイスと暗号化情報をネゴシエートするように構成されたネゴシエートユニットと、
を備え、前記暗号化情報は、前記第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とするデバイス。
【請求項12】
前記制御ポイントによって送信される、前記第1のデバイスの前記証明書情報は、前記第1のデバイスから前記制御ポイントによって取得され、または
前記制御ポイントによって送信される、前記第1のデバイスの前記証明書情報は、前記第1のデバイスについての前記制御ポイントによって生成される証明書についての情報であることを特徴とする請求項11に記載のデバイス。
【請求項13】
暗号化機能についての第1の情報と、暗号化機能についての第2の情報とを受信し、暗号化機能についての前記第1の情報および暗号化機能についての前記第2の情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、前記暗号化情報を送信するように構成された制御ポイントを備え、
前記第1のデバイスは、暗号化機能についての前記第1の情報を前記制御ポイントに送信し、前記制御ポイントによって送信される前記暗号化情報を受信するように構成されており、
前記第2のデバイスは、暗号化機能についての前記第2の情報を前記制御ポイントに送信し、前記制御ポイントによって送信される前記暗号化情報を受信するように構成されており、
暗号化機能についての前記第1の情報は、前記第1のデバイスの暗号化機能を示し、
暗号化機能についての前記第2の情報は、前記第2のデバイスの暗号化機能を示し、また前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とするネットワークシステム。
【請求項14】
前記暗号化情報は、暗号化プロトコルを含み、
前記第1のデバイスは、さらに、前記暗号化プロトコルを使用することにより、暗号化アルゴリズムおよびキーを前記第2のデバイスとネゴシエートするように構成されており、また
前記第2のデバイスは、さらに、前記暗号化プロトコルを使用することにより、前記暗号化アルゴリズムおよび前記キーを前記第1のデバイスとネゴシエートするように構成されていることを特徴とする請求項13に記載のネットワークシステム。
【請求項15】
第1の証明書情報を取得し、送信するように構成された制御ポイントと、
前記制御ポイントによって送信される前記第1の証明書情報を受信し、前記第1の証明書情報に対応するデバイスを認証し、前記デバイスを正常に認証した後に、前記第1の証明書情報に対応する前記デバイスと暗号化情報をネゴシエートするように構成された第2のデバイスと、
前記第2のデバイスと前記暗号化情報をネゴシエートするように構成された、前記第1の証明書情報に対応する第1のデバイスと、
を備え、
前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とするネットワークシステム。
【請求項1】
暗号化情報をネゴシエートするための方法であって、
第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するステップと、
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスに適用可能な暗号化情報を決定するステップと、
前記第1のデバイスおよび前記第2のデバイスに前記暗号化情報を送信するステップと、
を含み、
前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とする方法。
【請求項2】
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報を取得する前に、前記方法は、
前記第1のデバイスに対するセキュア伝送チャネルと、前記第2のデバイスに対するセキュア伝送チャネルとをそれぞれセットアップするステップと、
をさらに含み、
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報を取得する前記ステップは、特に、
前記第1のデバイスに対する前記セキュア伝送チャネルを使用することにより、前記第1のデバイスの暗号化機能についての前記情報を取得するステップと、
前記第2のデバイスに対する前記セキュア伝送チャネルを使用することにより、前記第2のデバイスの暗号化機能についての前記情報を取得するステップと、
を含み、
前記第1のデバイスおよび前記第2のデバイスに前記暗号化情報を送信する前記ステップは、特に、
前記第1のデバイスに対する前記セキュア伝送チャネルを使用することにより前記暗号化情報を前記第1のデバイスに送信するステップと、
前記第2のデバイスに対する前記セキュア伝送チャネルを使用することにより前記暗号化情報を前記第2のデバイスに送信するステップと、
を含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記暗号化情報は、暗号化アルゴリズムおよびキーを含み、
前記暗号化アルゴリズムおよび前記キーは、データストリームの送信側が送信されるべき前記データストリームを暗号化するための基礎として働き、また前記データストリームの受信側が前記受信されたデータストリームを解読するための基礎として働き、
前記送信側は、前記第1のデバイスであり、また前記受信側は、前記第2のデバイスであり、あるいは前記送信側は、前記第2のデバイスであり、また前記受信側は、前記第1のデバイスであることを特徴とする請求項1に記載の方法。
【請求項4】
前記第1のデバイスの暗号化機能についての前記情報は、前記第1のデバイスによってサポートされる暗号化アルゴリズムについての情報と、前記第1のデバイスによってサポートされるキー長についての情報と、
を含み、
前記第2のデバイスの暗号化機能についての前記情報は、前記第2のデバイスによってサポートされる暗号化アルゴリズムについての情報と、前記第2のデバイスによってサポートされるキー長についての情報と、
を含み、また
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスに適用可能な前記暗号化情報を決定する前記ステップは、特に、
前記第1のデバイスによってサポートされる前記暗号化アルゴリズムについての前記情報および前記第2のデバイスによってサポートされる前記暗号化アルゴリズムについての前記情報に従って、前記第1のデバイスと前記第2のデバイスとの両方によってサポートされる暗号化アルゴリズムを選択するステップと、前記第1のデバイスによってサポートされる前記キー長についての前記情報および前記第2のデバイスによってサポートされる前記キー長についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスの長さ要件に準拠したキーを生成するステップと、を含むことを特徴とする請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記暗号化情報は、暗号化プロトコルを含み、
前記暗号化プロトコルは、前記第1のデバイスおよび前記第2のデバイスが、暗号化アルゴリズムおよびキーをネゴシエートするための基礎として働き、また
前記暗号化アルゴリズムおよび前記キーは、データストリームの送信側が送信されるべき前記データストリームを暗号化するための基礎として働き、また前記データストリームの受信側が前記受信されたデータストリームを解読するための基礎として働き、
前記送信側は、前記第1のデバイスであり、また前記受信側は、前記第2のデバイスであり、あるいは前記送信側は、前記第2のデバイスであり、また前記受信側は、前記第1のデバイスであることを特徴とする請求項1に記載の方法。
【請求項6】
前記第1のデバイスの暗号化機能についての前記情報は、前記第1のデバイスによってサポートされる前記暗号化プロトコルについての情報を含み、
前記第2のデバイスの暗号化機能についての前記情報は、前記第2のデバイスによってサポートされる前記暗号化プロトコルについての情報を含み、また
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスに適用可能な前記暗号化情報を決定する前記ステップは、特に、
前記第1のデバイスによってサポートされる前記暗号化プロトコルについての前記情報および前記第2のデバイスによってサポートされる前記暗号化プロトコルについての前記情報に従って、前記第1のデバイスと前記第2のデバイスとの両方によってサポートされる前記暗号化プロトコルを選択するステップを含むことを特徴とする請求項1、2、または5に記載の方法。
【請求項7】
暗号化情報をネゴシエートするための方法であって、
第2のデバイスにより、第1のデバイスの証明書情報を制御ポイントから受信するステップと、
前記第2のデバイスにより、前記第1のデバイスの前記証明書情報に従って前記第1のデバイスを認証するステップと、
前記第2のデバイスにより、前記第1のデバイスを正常に認証した後に前記第1のデバイスと暗号化情報をネゴシエートするステップと、
を含み、
前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とする方法。
【請求項8】
前記第1のデバイスの前記証明書情報は、前記第1のデバイスから前記制御ポイントによって取得され、
または
前記第1のデバイスの前記証明書情報は、前記第1のデバイスについての前記制御ポイントによって生成される証明書についての情報であることを特徴とする請求項7に記載の方法。
【請求項9】
暗号化情報をネゴシエートするためのデバイスであって、
第1のデバイスの暗号化機能についての情報、および第2のデバイスの暗号化機能についての情報を取得するように構成された取得ユニットと、
前記第1のデバイスの暗号化機能についての前記情報および前記第2のデバイスの暗号化機能についての前記情報に従って、前記第1のデバイスおよび前記第2のデバイスに適用可能な暗号化情報を決定するように構成された決定ユニットと、
前記第1のデバイスおよび前記第2のデバイスにそれぞれ前記決定された暗号化情報を送信するように構成された送信ユニットと、
を備え、
前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とするデバイス。
【請求項10】
暗号化情報をネゴシエートするための前記デバイスから前記第1のデバイスへの第1のセキュア伝送チャネルをセットアップし、暗号化情報をネゴシエートするための前記デバイスから前記第2のデバイスへの第2のセキュア伝送チャネルをセットアップするように構成された通信ユニットをさらに備え、
前記取得ユニットは、特に、前記通信ユニットによってセットアップされる前記第1のセキュア伝送チャネルを通して前記第1のデバイスの暗号化機能についての情報を取得し、前記通信ユニットによってセットアップされる前記第2のセキュア伝送チャネルを通して前記第2のデバイスの暗号化機能についての情報を取得するように構成されており、また
前記送信ユニットは、特に、前記通信ユニットによってセットアップされる前記第1のセキュア伝送チャネルを通して前記決定された暗号化情報を前記第1のデバイスに送信し、前記通信ユニットによってセットアップされる前記第2のセキュア伝送チャネルを通して前記決定された暗号化情報を前記第2のデバイスに送信するように構成されていることを特徴とする請求項9に記載のデバイス。
【請求項11】
暗号化情報をネゴシエートするためのデバイスであって、
第1のデバイスの証明書情報を制御ポイントから受信するように構成された受信ユニットと、
前記第1のデバイスの前記証明書情報に従って前記第1のデバイスを認証するように構成された認証ユニットと、
前記第1のデバイスを正常に認証した後に前記第1のデバイスと暗号化情報をネゴシエートするように構成されたネゴシエートユニットと、
を備え、前記暗号化情報は、前記第1のデバイスと第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とするデバイス。
【請求項12】
前記制御ポイントによって送信される、前記第1のデバイスの前記証明書情報は、前記第1のデバイスから前記制御ポイントによって取得され、または
前記制御ポイントによって送信される、前記第1のデバイスの前記証明書情報は、前記第1のデバイスについての前記制御ポイントによって生成される証明書についての情報であることを特徴とする請求項11に記載のデバイス。
【請求項13】
暗号化機能についての第1の情報と、暗号化機能についての第2の情報とを受信し、暗号化機能についての前記第1の情報および暗号化機能についての前記第2の情報に従って、第1のデバイスおよび第2のデバイスに適用可能な暗号化情報を決定し、前記暗号化情報を送信するように構成された制御ポイントを備え、
前記第1のデバイスは、暗号化機能についての前記第1の情報を前記制御ポイントに送信し、前記制御ポイントによって送信される前記暗号化情報を受信するように構成されており、
前記第2のデバイスは、暗号化機能についての前記第2の情報を前記制御ポイントに送信し、前記制御ポイントによって送信される前記暗号化情報を受信するように構成されており、
暗号化機能についての前記第1の情報は、前記第1のデバイスの暗号化機能を示し、
暗号化機能についての前記第2の情報は、前記第2のデバイスの暗号化機能を示し、また前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とするネットワークシステム。
【請求項14】
前記暗号化情報は、暗号化プロトコルを含み、
前記第1のデバイスは、さらに、前記暗号化プロトコルを使用することにより、暗号化アルゴリズムおよびキーを前記第2のデバイスとネゴシエートするように構成されており、また
前記第2のデバイスは、さらに、前記暗号化プロトコルを使用することにより、前記暗号化アルゴリズムおよび前記キーを前記第1のデバイスとネゴシエートするように構成されていることを特徴とする請求項13に記載のネットワークシステム。
【請求項15】
第1の証明書情報を取得し、送信するように構成された制御ポイントと、
前記制御ポイントによって送信される前記第1の証明書情報を受信し、前記第1の証明書情報に対応するデバイスを認証し、前記デバイスを正常に認証した後に、前記第1の証明書情報に対応する前記デバイスと暗号化情報をネゴシエートするように構成された第2のデバイスと、
前記第2のデバイスと前記暗号化情報をネゴシエートするように構成された、前記第1の証明書情報に対応する第1のデバイスと、
を備え、
前記暗号化情報は、前記第1のデバイスと前記第2のデバイスとの間のデータストリームを暗号化し、かつ/または解読するための基礎として働くことを特徴とするネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公表番号】特表2013−502782(P2013−502782A)
【公表日】平成25年1月24日(2013.1.24)
【国際特許分類】
【出願番号】特願2012−525043(P2012−525043)
【出願日】平成22年8月23日(2010.8.23)
【国際出願番号】PCT/CN2010/076226
【国際公開番号】WO2011/023082
【国際公開日】平成23年3月3日(2011.3.3)
【出願人】(509296306)▲華▼▲為▼▲終▼端有限公司 (44)
【Fターム(参考)】
【公表日】平成25年1月24日(2013.1.24)
【国際特許分類】
【出願日】平成22年8月23日(2010.8.23)
【国際出願番号】PCT/CN2010/076226
【国際公開番号】WO2011/023082
【国際公開日】平成23年3月3日(2011.3.3)
【出願人】(509296306)▲華▼▲為▼▲終▼端有限公司 (44)
【Fターム(参考)】
[ Back to top ]