通信ネットワークを介した通信デバイス管理
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する少なくとも1つの通信デバイス(DC)を管理するために、デバイス(DC)が、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理され、アプリケーションサーバ(SA)およびデバイス(DC)が、暗号化キー(Kc)を取り決め、保存し、また管理サーバ(SG)によって、メッセージを交換し、このメッセージの少なくとも1つが、デバイス(DC)またはサーバ(SA)の少なくともいずれか一方によってキーを用いて暗号化されたアプリケーションデータ(DonA)を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アプリケーションサーバによって通信ネットワークを介して提供されるサービスを使用する少なくとも1つのアプリケーションを実行する、少なくとも1つの通信デバイスを管理することに関する。
【背景技術】
【0002】
アプリケーションサーバによって通信ネットワークを介して提供されるサービスを使用するアプリケーションを実行する通信デバイスが、アプリケーションサーバまたは通信ネットワークの事業者によって管理されるサーバなどの外部のエンティティによって読み取られたり修正されたりすることがあり、アプリケーションを動作させることに専ら充てられる管理データのセットを含む。この管理データセットは、たとえば、アプリケーション専用のデータおよび通信ネットワークを介してサービスを運用するための、デバイスの通信パラメータに関連したデータを含む。
【0003】
ある管理サーバは、通信パラメータに関連するデータを管理するために、ネットワークの事業者によって配備され、ある管理サーバは、アプリケーション専用のデータを管理するために、アプリケーションプロバイダによって配備されている、複数の管理サーバが配備されたシステムがすでに存在する。各サーバは、アクセス制御リストを有し、管理データセットの一部にアクセスする。そのようなシステムには、プロバイダが自ら管理サーバを配備しなければならないという欠点がある。
【0004】
通信デバイスの管理データセットの少なくとも一部の管理を、通信ネットワークの事業者にアウトソースするために、特に、アプリケーション専用のデータの少なくとも一部の管理をアウトソースするために、マシンツーマシン(machine−to−machine)のアプリケーションプロバイダなどのアプリケーションプロバイダの必要性が存在する。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的の1つは、特に、デバイスとアプリケーションプロバイダの間で通信ネットワークを介して交換されるアプリケーション専用のデータが、通信ネットワークの事業者またはデータ交換に関与する任意の他のサードパーティエンティティには見えない管理システムを提案することである。
【課題を解決するための手段】
【0006】
この目的を達成するための、通信ネットワークを介して、アプリケーションサーバによって提供されるサービスを使用するアプリケーションを実行する少なくとも1つの通信デバイスを管理するための方法にして、通信デバイスが、アプリケーション専用のアプリケーションデータおよびそのサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データを含み、通信データが、管理サーバによって管理される、方法であって、
取り決められた暗号化キーをそれぞれ保存するアプリケーションサーバと通信デバイスの間での、暗号化キーの取決めと、
管理サーバによる、アプリケーションサーバと通信デバイスの間でのメッセージの交換であって、メッセージのうちの少なくとも1つが、通信デバイスまたはアプリケーションサーバの少なくともいずれか一方によって暗号化キーで暗号化されたアプリケーションデータを含む、メッセージの交換とを含む、方法。
【0007】
有利には、本発明は、サービスプロバイダに、通信デバイスの管理を、サービスプロバイダと通信デバイスの間で交換されるデータを見る能力をもたない通信ネットワークの事業者にアウトソースするという解決策を提案する。本発明は、アプリケーション専用のデータの終端間の暗号化を保証する。
【0008】
それにより、アプリケーションプロバイダは、アプリケーション専用のデータが事業者に不透明であるため、デバイス管理を通信ネットワークの事業者にそのようにアウトソーシングすることを受け入れることができる。このアプリケーション専用のデータは、たとえば、構成管理データ、性能データ、または警報データであり、通信ネットワークの事業者は、そのデータの内容を読むためにアクセスすることはできない。
【0009】
さらに、管理サーバは、通信ネットワークの事業者または別のサードパーティエンティティによって所有され、複数のアプリケーションによって使用され得るので、サービスプロバイダは、管理サーバの所有が免除されている。
【0010】
本発明の別の特徴において、本方法は、
第1の要求を、アプリケーションサーバから管理サーバに送信するステップと、
第1の要求の内容に応じて、第2の要求を、管理サーバから通信デバイスに送信するステップと、
第1の応答を、通信デバイスから管理サーバに送信するステップと、
第1の応答の内容に応じて、第2の応答を、管理サーバからアプリケーションサーバに送信するステップとをさらに含むことができ、
第1および第2の要求ならびに第1および第2の応答のうちの少なくとも1つが、通信デバイスまたはアプリケーションサーバの少なくともいずれか一方によって暗号化キーで暗号化されたアプリケーションデータを含む。
【0011】
本発明の一実施形態によれば、アプリケーションデータは、それぞれ値に結びついた属性を含んでもよく、本方法は、
第1の要求を、アプリケーションサーバから管理サーバに送信するステップであって、第1の要求が、少なくとも1つの属性を含む、ステップと、
第2の要求を、管理サーバから通信デバイスに送信するステップであって、第2の要求が、少なくとも前記属性を含む、ステップと、
通信デバイスにおいて、受信された第2の要求内に含まれる属性に結びついた値を読み出し、値を暗号化キーで暗号化するステップと、
第1の応答を、通信デバイスから管理サーバに送信するステップであって、第1の応答が、暗号化された値を含む、ステップと、
第2の応答を、管理サーバからアプリケーションサーバに送信するステップであって、第2の応答が、暗号化された値を含む、ステップと、
アプリケーションサーバにおいて、暗号化キーで暗号化された値を復号するステップと
を含んでもよい。
【0012】
本発明の別の実施形態によれば、アプリケーションデータは、それぞれ値に結びついた属性を含んでもよく、本方法は、
アプリケーションサーバにおいて、少なくとも1つの値を暗号化キーで暗号化するステップと、
第1の要求を、アプリケーションサーバから管理サーバに送信するステップであって、第1の要求が、少なくとも暗号化された値を含む、ステップと、
第2の要求を、管理サーバから通信デバイスに送信するステップであって、第2の要求が、少なくとも暗号化された値を含む、ステップと、
通信デバイスにおいて、受信された第2の要求内に含まれる暗号化された値を、暗号化キーで復号し、属性に結びついた復号された値を保存するステップと、
第1の応答を、通信デバイスから管理サーバに送信するステップであって、第1の応答が、値が保存されたという指示を含む、ステップと、
第2の応答を、管理サーバからアプリケーションサーバに送信するステップであって、第2の応答が、値が保存されたという指示を含む、ステップと
を含むことができる。
【0013】
本発明はまた、通信ネットワークを介して、アプリケーションサーバによって提供されるサービスを使用するアプリケーションを実行する少なくとも1つの通信デバイスを管理するためのアプリケーションサーバであって、通信デバイスが、アプリケーション専用のアプリケーションデータおよびそのサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データを含み、通信データが、管理サーバによって管理される、アプリケーションサーバに関し、本アプリケーションサーバは、
暗号化キーを通信デバイスとの間で取り決めるための手段および取り決められた暗号化キーを保存するための手段と、
アプリケーションデータを、暗号化キーで暗号化および復号するための手段と、
管理サーバによって、メッセージを、通信デバイスとの間で交換するための手段であって、メッセージのうちの少なくとも1つが、通信デバイスまたはアプリケーションサーバの少なくともいずれか一方によって暗号化キーで暗号化されたアプリケーションデータを含む、手段と
を備える。
【0014】
本発明はまた、通信ネットワークを介して、アプリケーションサーバによって提供されるサービスを使用するアプリケーションを実行する通信デバイスであって、アプリケーション専用のアプリケーションデータおよびそのサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データを含み、通信データが、管理サーバによって管理される、通信デバイスに関し、本通信デバイスは、
暗号化キーをアプリケーションサーバとの間で取り決めるための手段および取り決められた暗号化キーを保存するための手段と、
アプリケーションデータを、暗号化キーで暗号化および復号するための手段と、
管理サーバによって、メッセージを、アプリケーションサーバとの間で交換するための手段であって、メッセージのうちの少なくとも1つが、通信デバイスまたはアプリケーションサーバの少なくともいずれか一方によって暗号化キーで暗号化されたアプリケーションデータを含む、手段と
を備える。
【0015】
本発明はまた、サーバ内および通信デバイス内において実行することが可能なコンピュータプログラムに関し、前記プログラムは、前記サーバおよび前記通信デバイス内でプログラムが実行されたときに本発明の方法によるステップを実行する命令を含む。
【0016】
本発明およびその利益は、添付の図面を参照する以下の説明を検討することで、よりよく理解されよう。
【図面の簡単な説明】
【0017】
【図1】本発明の一実施形態による通信システムの概略的な構成図である。
【図2】本発明の一実施形態による通信デバイスを管理するための方法のアルゴリズムを示す図である。
【図3】本発明の第2の実施形態による通信デバイスを管理するための方法のアルゴリズムを示す図である。
【発明を実施するための形態】
【0018】
本発明は、アプリケーションサーバから管理サーバを経由し、通信ネットワークを介する通信デバイス管理に関する。
【0019】
以降の説明において、アプリケーションサーバは、たとえば、通信デバイスを場合によっては所有するまたは提供していてもよい企業によって管理され、アプリケーションサーバは、通信デバイスからアクセス可能な1つまたは複数のディジタルサービスを提供することができる。ディジタルサービスは、たとえば、サービスエンティティによって提供されるサービスの価格などの、通信デバイスによって管理されるディジタルデータを更新するために、テキストおよび/または音および/または画像を含むディジタルファイルなどのマルチメディアデータを提供するサービスであり得る。さらに、アプリケーションサーバは、アプリケーションサーバを管理する企業によって所有または運用される通信デバイスのそれぞれに関連した情報を含むデータベースを管理してもよい。通信デバイスはまた、アプリケーションに関連する、生じた最新の変更をアプリケーションサーバに通知してもよい。
【0020】
上で説明したように、アプリケーションサーバによって通信ネットワークを介して提供されるサービスを使用するアプリケーションを実行する通信デバイスは、アプリケーション専用のデータとともに通信ネットワークを介してサービスを運用するためのデバイスの通信パラメータに関連したデータを含む管理データセットを含む。このデータセットは、デバイスの動作および管理専用であり、アプリケーションサーバおよび通信ネットワークの事業者によって管理される管理サーバなどの、外部のさまざまなエンティティによって部分的に管理され得る。
【0021】
たとえば、管理サーバは、特に、通信デバイスの構成を初期化および更新する機能、アプリケーションの管理データを読み出す機能、ならびにアプリケーションによって生成されるイベントまたはアラームを処理する機能を有する。たとえば、管理サーバは、外部パーティが遠隔操作で、通信デバイスと管理サーバの間の通信プロトコル用パラメータの構成を実行すること、またはアプリケーションのプログラムの更新をインストールすることを可能にする。
【0022】
本発明の一実施形態によれば、通信ネットワークの事業者またはサードパーティのエンティティによって管理される管理サーバは、通信ネットワークを介してサービスを運用するための通信デバイスの通信パラメータに関連したデータを処理しながら、通信デバイスとアプリケーションサーバの間で交換されるアプリケーション専用のデータを不透明下で(opaquely)処理しなければならない。
【0023】
図1を参照すると、通信システムは、少なくとも1つのアプリケーションサーバSA、管理サーバSG、および通信デバイスDCを備え、これらは、通信ネットワークRTを介して互いに通信することが可能である。
【0024】
アプリケーションサーバSAおよび通信デバイスDCは、アプリケーションサーバSAが、それぞれクライアントの役割を果たす1つまたは複数の通信デバイスDCを管理するサーバの役割を果たす、クライアント−サーバ構造に従って構成されることが想定され得る。以降の説明において、一例として、アプリケーションサーバSAは、単一の通信デバイス内で実行される単一のアプリケーションを管理していることが考えられる。
【0025】
通信ネットワークRTは、有線ネットワークもしくは無線ネットワーク、または有線ネットワークと無線ネットワークの組み合わせであり得る。たとえば、通信ネットワークRTは、インターネットまたはイントラネットなどの高速IP(「インターネットプロトコル」)パケットネットワークである。
【0026】
ある例においては、通信デバイスDCは、通信ネットワークRTに接続されたxDSL(ディジタル加入者回線)またはISDN(統合サービスディジタル網)回線に、モデムによって直接的に接続されたパーソナルコンピュータである。
【0027】
別の例において、通信デバイスDCは、無線通信チャネルによって、通信ネットワーク、たとえばGSM(登録商標)(「Global System for Mobile Communications」)またはUMTS(「ユニバーサル移動通信システム(Universal Mobile Telecommunications System)」)ネットワークに接続されている移動セルラー無線通信端末である。
【0028】
別の例において、通信デバイスDCは、公衆近距離無線ローカルエリアネットワークWLANもしくは802.1x規格のうちの1つに準拠したネットワーク、または通信ネットワークに接続された中距離用のWiMAX(「World wide Interoperability Microwave Access」)無線ローカルエリアネットワークのアクセス端末に接続することができる通信用の携帯情報端末PDA、すなわちスマートフォンであり得るデバイスまたは電子通信オブジェクト(electronic telecommunications object)を含む。
【0029】
他の例において、通信デバイスDCは、タクシー会社に属する自動車、またはエネルギー産業の企業に属する水、ガス、もしくは電気などの特定エネルギーの自動計測器、または食品の販売を専門に扱う企業に属する飲料自動販売機である。
【0030】
通信デバイスは、自動車の走行距離または飲料自動販売機内に残っている飲料の数などの、最新の生じた変更をアプリケーションサーバに通知するために、アプリケーションサーバSAとの間で通信ネットワークRTを介して通信することができる固定または移動デバイスである。
【0031】
通信デバイスおよび通信ネットワークは、上記の例には限定されず、他の知られているデバイスおよびネットワークによって構成されてもよい。
【0032】
アプリケーションサーバSAは、暗号化モジュールCHIsおよび交換モジュールECHsを含む。
【0033】
以降の説明において、モジュールという用語は、デバイス、ソフトウェアプログラム、または少なくとも1つの特定のタスクを実行するように構成されたコンピュータハードウェアおよびソフトウェアの組み合わせを指すことができる。
【0034】
アプリケーションサーバSAは、データベースBDに接続されており、このBDは、サーバSAに統合されているか、またはローカルリンクもしくは遠隔リンクによってサーバSAに接続されたデータベース管理サーバに組み込まれている。
【0035】
特に、データベースBDは、暗号化キーKcおよび通信デバイスに関連した管理データセットEnsDを保存する。たとえば、通信デバイスの識別子IdDCは、管理データセットEnsDと、また少なくとも1つの暗号化キーKcと一致するものとして保存される。
【0036】
この管理データセットEnsDは、アプリケーション専用のアプリケーションデータDonAおよび通信ネットワークを介してサービスを運用するためのデバイスの通信パラメータに関連した通信データDonCを含む。アプリケーション専用のデータは、構成管理データ、性能管理データ、警報管理データ、およびファームウェアタイプのソフトウェアなどのアプリケーションのプログラムデータを含む。
【0037】
アプリケーションデータDonA内のあるデータが、値をもつ属性の形体であるパラメータに対応し得ることが想定され得る。そうである場合、属性の値は、パラメータの値に対応する。
【0038】
暗号化モジュールCHIsは、通信デバイスとの間で、データを暗号化および復号するための暗号化キーKcを取り決めることが可能である。暗号化モジュールCHIsは、場合によっては、暗号化キーを決定し、それを通信デバイスDCに送信することができる。暗号化モジュールCHIsは、暗号化キーをデータベースBD内に保存する。
【0039】
一実施形態において、これらの暗号化機能は、いわゆる暗号化サーバに含まれる。たとえば、暗号化モジュールCHIが、その暗号化サーバと通信し、このサーバは、暗号化キーを決定し、そのキーを暗号化モジュールCHIに送信する。モジュールCHIは、それによって、暗号化キーを間接的に決定する。
【0040】
暗号化モジュールCHIsは、アプリケーション専用のアプリケーションデータDonAを暗号化または復号する。
【0041】
交換モジュールECHsは、管理サーバSGによって、通信デバイスDCとの間でメッセージを交換することが可能であり、メッセージのうちの少なくとも1つは、アプリケーションサーバSAによってまたは通信デバイスDCによって暗号化されたアプリケーションデータDonAを含む。
【0042】
交換モジュールECHsは、暗号化されたアプリケーションデータDonAを含む要求を、管理サーバSGに送信することが可能であり、アプリケーションデータDonAは、通信デバイスDC用のものである。交換モジュールECHsは、さらに、暗号化されたデータを含む応答を管理サーバSGから受信することができ、このデータは、通信デバイスDCから来たものである。
【0043】
管理サーバSGは、アプリケーションサーバSAから通信デバイスDCに送信されたデータおよび通信デバイスDCからアプリケーションサーバSAに送信されたデータを交換する機能をもつ通信モジュールCOMを備える。
【0044】
通信モジュールCOMは、具体的には、アプリケーションサーバSAから送信された要求を解釈し、また、アプリケーションサーバから受信した要求に応じて、通信デバイスDC用の他の要求を生成する。同様に、通信モジュールCOMは、具体的には、通信デバイスDCから送信された応答を解釈し、また、通信デバイスから受信した要求に応じて、アプリケーションサーバSA用の他の応答を生成する。
【0045】
ある例においては、管理サーバSGは、BBF(BroadBand Forum)が定義したTR069プロトコル、またはOMA(Open Mobile Alliance)という団体が定義したDM(Device Management)プロトコルを使用する自動構成サーバACSである。
【0046】
通信デバイスDCは、暗号化モジュールCHIc、交換モジュールECHcおよびメモリMEMを備える。
【0047】
交換モジュールECHcは、管理サーバSGによって、アプリケーションサーバSAとの間でメッセージを交換することが可能であり、メッセージのうちの少なくとも1つは、通信デバイスDCまたはアプリケーションサーバSAによって暗号化されたアプリケーションデータDonAを含む。
【0048】
交換モジュールECHcは、暗号化されたデータDonAを含む応答を、管理サーバSGに送信することが可能であり、データDonAは、アプリケーションサーバSA用のものである。交換モジュールECHcは、さらに、暗号化されたアプリケーションデータを含む要求を管理サーバSGから受信することができ、暗号化されたデータは、アプリケーションサーバSAから来たものである。
【0049】
暗号化モジュールCHIcは、アプリケーション専用のデータDonAを暗号化および復号するための暗号化キーKcを決定することが可能である。一実施形態において、通信デバイスの暗号化モジュールCHIcおよびアプリケーションサーバの暗号化モジュールCHIsは、それぞれキー取決めを実行し、それにより、通信デバイスまたはアプリケーションサーバのいずれかがキー取決めを開始し、暗号化キーを決定する。暗号化モジュールCHIcは、暗号化キーをメモリMEMに保存する。
【0050】
メモリMEMは、具体的には、アプリケーションサーバSAによって提供されるサービスを使用するアプリケーションを含む。メモリMEMは、アプリケーションサーバSAにリンクしたデータベースBD内に保存された管理データセットEnsDと同様に、アプリケーション専用のアプリケーションデータDonA、および通信ネットワークを介してサービスを運用するためのデバイスの通信パラメータに関連した通信データDonCを含む管理データセットEnsDをさらに含む。メモリMEMはまた、アプリケーション専用のアプリケーションデータDonAを暗号化および復号するために使用する暗号化キーKcを含む。
【0051】
図2を参照すると、本発明の第1の実施形態による通信デバイスを管理するための方法が、通信システム内で実行されるステップE1からE6を含む。
【0052】
予備ステップE01の中で、たとえば、デバイスが電源をオンにされた後、デバイスが通信ネットワークに登録される間、またはデバイスがすでに電源オンになっている場合は、所与の時間間隔の後、通信デバイスDCは、アプリケーションサーバSAと通信する。
【0053】
通信デバイスDCおよびアプリケーションサーバSAは、キー取決めを実行して、通信デバイスと関連した暗号化キーKcを決定する。
【0054】
通信デバイスDC用のアプリケーションサーバSAは、通信デバイスDCに関連した少なくとも1つの暗号化キーKcを決定する。ある変形形態において、暗号化モジュールCHIsは、取決めに関与している別のサーバと通信し、暗号化キーを決定し、そのキーを暗号化モジュールCHIsに送信する。
【0055】
いったん取決めが完了し、キーKcが決定すると、アプリケーションサーバは、キーKcを、通信デバイスの識別子IdDCと一致するものとしてデータベースBD内に保存し、通信デバイスDCは、キーKcをメモリMEMに保存する。
【0056】
ステップE1の中で、アプリケーションサーバSAは、命令の要求ReqIを生成する。命令の要求ReqIは、管理サーバに、通信デバイスDC内に保存されたデータDonAを読み取るように要求させるための命令を含む。
【0057】
すでに示したように、データDonAは、値Valをもつ属性Attの形体であるパラメータに対応し得る。命令の要求ReqI内に含まれる命令は、属性Attを指定するだけである。
【0058】
第1の可能性によれば、命令の要求ReqIは、属性が暗号化されていない状態で、属性Attの値Valを読み取るための命令を含む。
【0059】
第2の可能性によれば、命令の要求ReqIは、属性が暗号化された状態で、属性の値を読み取るための命令を含む。この場合、暗号化モジュールCHIsは、属性Attを暗号化キーKcで暗号化する。
【0060】
アプリケーションサーバSAは、属性Attを含む命令の要求ReqIを、管理サーバSGに送信する。
【0061】
ステップE2の中で、管理サーバSGは、命令の要求ReqIを受信し、命令の要求ReqI内に含まれる命令に応じて、管理の要求ReqGを生成する。
【0062】
第1の可能性によれば、属性は暗号化されておらず、管理の要求ReqGは、暗号化指示なしの読取り要求、たとえば暗号化されていない属性に結びついた「GetParameterValue」タイプのものを含む。
【0063】
第2の可能性によれば、属性は暗号化されており、管理の要求ReqGは、暗号化指示ありの読取り要求、たとえば暗号化されている属性に結びついた「SecureGetParameterValue」タイプのものを含む。
【0064】
管理サーバSGは、属性Attを含む管理の要求ReqGを、通信デバイスDCに送信する。
【0065】
ステップE3の中で、通信デバイスDCは、管理の要求ReqGを、交換モジュールECHcを介して受信する。属性が暗号化されている場合、暗号化モジュールCHIcは、暗号化されている属性を暗号化キーKcで復号する。
【0066】
暗号化モジュールCHIcは、属性Attの値Valを、メモリMEM内に含まれるデータDonAの中から読み出し、属性の値を暗号化する。
【0067】
ステップE4の中で、通信デバイスDCは、属性Attの暗号化された値Valを含む管理の応答RepGを、管理サーバSGに送信する。
【0068】
ステップE5の中で、管理サーバSGは、管理の応答RepGを受信し、管理の応答RepGの内容に応じて、命令の応答RepIを生成する。命令の応答RepIは、管理の応答RepGの内容と類似した内容を含み得るもので、命令の応答RepIは、管理サーバとアプリケーションサーバの間で使用される通信プロトコルに適合されている。
【0069】
管理サーバSGは、属性Attの暗号化された値Valを含む命令の応答RepIを、アプリケーションサーバSAに送信する。
【0070】
ステップE6の中で、アプリケーションサーバSAは、命令の応答RepIを受信し、属性の値Valを暗号化キーで復号する。
【0071】
図3を参照すると、本発明の第2の実施形態による通信デバイスを管理するための方法が、通信システム内で実行されるステップF1からF5を含む。
【0072】
予備ステップF01の中で、ステップE01と同様に、通信デバイスDCは、アプリケーションサーバSAと通信する。
【0073】
通信デバイスDCおよびアプリケーションサーバSAは、キー取決めを実行して、通信デバイスと関連した暗号化キーKcを決定する。通信デバイスDC用のアプリケーションサーバSAは、通信デバイスDCに関連した少なくとも1つの暗号化キーKcを決定する。アプリケーションサーバは、キーKcをデータベースBD内に保存し、通信デバイスDCは、キーKcをメモリMEM内に保存する。
【0074】
ステップF1の中で、アプリケーションサーバSAは、命令の要求ReqIを生成する。命令の要求ReqIは、管理サーバに、通信デバイスDC内に保存されたデータDonAを書き込むように要求させるための命令を含む。
【0075】
すでに示したように、データDonAは、値をもつ属性の形体であるパラメータに対応し得る。要求Req内に含まれる命令は、属性およびその値を指定する。
【0076】
第1の代替形態によれば、命令の要求ReqIは、属性が暗号化されておらず、値が暗号化キーKcで暗号化された状態で、属性の値を読み取る命令を含む。
【0077】
第2の代替形態によれば、命令の要求ReqIは、属性および値が暗号化キーKcで暗号化された状態で、属性の値を書き込む命令を含む。
【0078】
アプリケーションサーバSAは、属性Attおよび値Valを含む命令の要求ReqIを、管理サーバSGに送信する。
【0079】
ステップF2の中で、管理サーバSGは、命令の要求ReqIを受信し、命令の要求ReqI内に含まれる命令に応じて、管理の要求ReqGを生成する。
【0080】
第1の代替形態が当てはまるか第2の代替形態が当てはまるかに応じて、属性は暗号化されるか、または暗号化されず、値Valは暗号化される。管理の要求ReqGは、暗号化指示ありの書込み要求、たとえば暗号化されているか、または暗号化されていない属性、および暗号化された値に結びついた「SecureSetParameterValue」タイプのものを含む。
【0081】
管理サーバSGは、属性Attおよび値Valを含む管理の要求ReqGを、通信デバイスDCに送信する。
【0082】
ステップF3の中で、通信デバイスDCは、管理の要求ReqGを受信する。暗号化モジュールCHIcは、暗号化された値Valを暗号化キーKcで復号し、属性Attが暗号化されている場合は、暗号化モジュールCHIcは、暗号化された値も暗号化キーKcで復号する。
【0083】
暗号化モジュールCHIcは、属性Attに結びついている復号された値ValをメモリMEMに保存し、それによって、存在し、属性Attに結びついていた値を置き換える。
【0084】
ステップF4の中で、通信デバイスDCは、管理の応答RepGを管理サーバSGに送信し、この応答は、たとえば、書込み要求が確かに実行されたという指示を含み、これは値Valが確かに保存されたことを意味する。
【0085】
ステップF5の中で、管理サーバSGは、管理の応答RepGを受信し、内容が管理の応答RepGのものと類似している命令の応答RepIを生成する。管理サーバSGは、アプリケーションサーバSAに命令の応答RepIを送信し、SAには書込み要求が実行されたことが通知される。
【0086】
すべてのステップE1からE6、およびF1からF5によれば、アプリケーションサーバSAおよび通信デバイスDCは、命令の要求ReqIをアプリケーションサーバSAから受信し、管理の要求ReqGを通信デバイスDCに送信し、また管理の応答RepGを通信デバイスDCから受信し、命令の応答RepIをアプリケーションサーバSAに送信する管理サーバSGによって、要求および応答などのメッセージを交換することが考えられ得る。上記の2つの実施形態によれば、メッセージのうちの少なくとも1つは、通信デバイスDCまたはアプリケーションサーバSAの少なくともいずれか一方によって暗号化キーKcで暗号化される属性または値などのアプリケーションデータDonAを含む。
【0087】
ある変形形態において、通信デバイスDCおよびアプリケーションサーバSAは、属性を暗号化するためにあるキーを使用し、値を暗号化するために別のキーを使用する。
【0088】
別の変形形態において、通信デバイスDCおよびアプリケーションサーバSAは、それぞれ非対称キーなどの異なるキーを使用して、属性または値を暗号化および復号する。
【0089】
別の例示的な実施形態によれば、フェムトセル基地局が、無線通信ネットワークの事業者によって配備され、パケットネットワーク用のゲートウェイが、高速有線(wireline)通信ネットワークの事業者によって配備される。基地局を介した無線通信サービスが、無線ネットワークの事業者によって提供され、その一方で、パケット通信サービスが高速通信の事業者によって提供される。この例において、通信デバイスDCは、フェムトセル基地局を運用するためのアプリケーションを実行するパケットネットワーク用のゲートウェイであり、無線ネットワークの事業者は、アプリケーションサーバSAを所有し、有線ネットワークの事業者は、管理サーバSGを所有する。
【0090】
有線ネットワークの事業者は、管理サーバSGによって、無線ネットワークの事業者にアプリケーションのデータの特定の部分を不透明下で管理する手段を提供することができ、これは、そのデータが読める有線事業者が不在であることを意味する。
【0091】
本明細書に記載した本発明は、具体的には、通信ネットワークを介して通信デバイスを管理するための方法、通信デバイス、およびサーバに関する。本発明の一実施形態によれば、本発明の方法のステップが、部分的にはコンピュータプログラムの命令によって決定され、部分的にはアプリケーションサーバSAなどのサーバ内に、また部分的には通信デバイスDCなどのデバイス内に組み込まれる。各プログラムは、前記プログラムがサーバ内にロードされ、実行されたときに、本発明の方法のステップを実行するプログラム命令を含む。
【0092】
結果的に、本発明は、コンピュータプログラム、特に、本発明を実施するのに適した情報媒体上またはその中のコンピュータプログラムにも適用される。このプログラムは、任意のプログラミング言語を使用することができ、ソースコード、目的コード、または部分的にコンパイルされた形などの、ソースコードと目的コードの中間のコードの形であってもよく、あるいは本発明の方法を実施するのに望ましい任意の他の形であってもよい。
【技術分野】
【0001】
本発明は、アプリケーションサーバによって通信ネットワークを介して提供されるサービスを使用する少なくとも1つのアプリケーションを実行する、少なくとも1つの通信デバイスを管理することに関する。
【背景技術】
【0002】
アプリケーションサーバによって通信ネットワークを介して提供されるサービスを使用するアプリケーションを実行する通信デバイスが、アプリケーションサーバまたは通信ネットワークの事業者によって管理されるサーバなどの外部のエンティティによって読み取られたり修正されたりすることがあり、アプリケーションを動作させることに専ら充てられる管理データのセットを含む。この管理データセットは、たとえば、アプリケーション専用のデータおよび通信ネットワークを介してサービスを運用するための、デバイスの通信パラメータに関連したデータを含む。
【0003】
ある管理サーバは、通信パラメータに関連するデータを管理するために、ネットワークの事業者によって配備され、ある管理サーバは、アプリケーション専用のデータを管理するために、アプリケーションプロバイダによって配備されている、複数の管理サーバが配備されたシステムがすでに存在する。各サーバは、アクセス制御リストを有し、管理データセットの一部にアクセスする。そのようなシステムには、プロバイダが自ら管理サーバを配備しなければならないという欠点がある。
【0004】
通信デバイスの管理データセットの少なくとも一部の管理を、通信ネットワークの事業者にアウトソースするために、特に、アプリケーション専用のデータの少なくとも一部の管理をアウトソースするために、マシンツーマシン(machine−to−machine)のアプリケーションプロバイダなどのアプリケーションプロバイダの必要性が存在する。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的の1つは、特に、デバイスとアプリケーションプロバイダの間で通信ネットワークを介して交換されるアプリケーション専用のデータが、通信ネットワークの事業者またはデータ交換に関与する任意の他のサードパーティエンティティには見えない管理システムを提案することである。
【課題を解決するための手段】
【0006】
この目的を達成するための、通信ネットワークを介して、アプリケーションサーバによって提供されるサービスを使用するアプリケーションを実行する少なくとも1つの通信デバイスを管理するための方法にして、通信デバイスが、アプリケーション専用のアプリケーションデータおよびそのサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データを含み、通信データが、管理サーバによって管理される、方法であって、
取り決められた暗号化キーをそれぞれ保存するアプリケーションサーバと通信デバイスの間での、暗号化キーの取決めと、
管理サーバによる、アプリケーションサーバと通信デバイスの間でのメッセージの交換であって、メッセージのうちの少なくとも1つが、通信デバイスまたはアプリケーションサーバの少なくともいずれか一方によって暗号化キーで暗号化されたアプリケーションデータを含む、メッセージの交換とを含む、方法。
【0007】
有利には、本発明は、サービスプロバイダに、通信デバイスの管理を、サービスプロバイダと通信デバイスの間で交換されるデータを見る能力をもたない通信ネットワークの事業者にアウトソースするという解決策を提案する。本発明は、アプリケーション専用のデータの終端間の暗号化を保証する。
【0008】
それにより、アプリケーションプロバイダは、アプリケーション専用のデータが事業者に不透明であるため、デバイス管理を通信ネットワークの事業者にそのようにアウトソーシングすることを受け入れることができる。このアプリケーション専用のデータは、たとえば、構成管理データ、性能データ、または警報データであり、通信ネットワークの事業者は、そのデータの内容を読むためにアクセスすることはできない。
【0009】
さらに、管理サーバは、通信ネットワークの事業者または別のサードパーティエンティティによって所有され、複数のアプリケーションによって使用され得るので、サービスプロバイダは、管理サーバの所有が免除されている。
【0010】
本発明の別の特徴において、本方法は、
第1の要求を、アプリケーションサーバから管理サーバに送信するステップと、
第1の要求の内容に応じて、第2の要求を、管理サーバから通信デバイスに送信するステップと、
第1の応答を、通信デバイスから管理サーバに送信するステップと、
第1の応答の内容に応じて、第2の応答を、管理サーバからアプリケーションサーバに送信するステップとをさらに含むことができ、
第1および第2の要求ならびに第1および第2の応答のうちの少なくとも1つが、通信デバイスまたはアプリケーションサーバの少なくともいずれか一方によって暗号化キーで暗号化されたアプリケーションデータを含む。
【0011】
本発明の一実施形態によれば、アプリケーションデータは、それぞれ値に結びついた属性を含んでもよく、本方法は、
第1の要求を、アプリケーションサーバから管理サーバに送信するステップであって、第1の要求が、少なくとも1つの属性を含む、ステップと、
第2の要求を、管理サーバから通信デバイスに送信するステップであって、第2の要求が、少なくとも前記属性を含む、ステップと、
通信デバイスにおいて、受信された第2の要求内に含まれる属性に結びついた値を読み出し、値を暗号化キーで暗号化するステップと、
第1の応答を、通信デバイスから管理サーバに送信するステップであって、第1の応答が、暗号化された値を含む、ステップと、
第2の応答を、管理サーバからアプリケーションサーバに送信するステップであって、第2の応答が、暗号化された値を含む、ステップと、
アプリケーションサーバにおいて、暗号化キーで暗号化された値を復号するステップと
を含んでもよい。
【0012】
本発明の別の実施形態によれば、アプリケーションデータは、それぞれ値に結びついた属性を含んでもよく、本方法は、
アプリケーションサーバにおいて、少なくとも1つの値を暗号化キーで暗号化するステップと、
第1の要求を、アプリケーションサーバから管理サーバに送信するステップであって、第1の要求が、少なくとも暗号化された値を含む、ステップと、
第2の要求を、管理サーバから通信デバイスに送信するステップであって、第2の要求が、少なくとも暗号化された値を含む、ステップと、
通信デバイスにおいて、受信された第2の要求内に含まれる暗号化された値を、暗号化キーで復号し、属性に結びついた復号された値を保存するステップと、
第1の応答を、通信デバイスから管理サーバに送信するステップであって、第1の応答が、値が保存されたという指示を含む、ステップと、
第2の応答を、管理サーバからアプリケーションサーバに送信するステップであって、第2の応答が、値が保存されたという指示を含む、ステップと
を含むことができる。
【0013】
本発明はまた、通信ネットワークを介して、アプリケーションサーバによって提供されるサービスを使用するアプリケーションを実行する少なくとも1つの通信デバイスを管理するためのアプリケーションサーバであって、通信デバイスが、アプリケーション専用のアプリケーションデータおよびそのサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データを含み、通信データが、管理サーバによって管理される、アプリケーションサーバに関し、本アプリケーションサーバは、
暗号化キーを通信デバイスとの間で取り決めるための手段および取り決められた暗号化キーを保存するための手段と、
アプリケーションデータを、暗号化キーで暗号化および復号するための手段と、
管理サーバによって、メッセージを、通信デバイスとの間で交換するための手段であって、メッセージのうちの少なくとも1つが、通信デバイスまたはアプリケーションサーバの少なくともいずれか一方によって暗号化キーで暗号化されたアプリケーションデータを含む、手段と
を備える。
【0014】
本発明はまた、通信ネットワークを介して、アプリケーションサーバによって提供されるサービスを使用するアプリケーションを実行する通信デバイスであって、アプリケーション専用のアプリケーションデータおよびそのサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データを含み、通信データが、管理サーバによって管理される、通信デバイスに関し、本通信デバイスは、
暗号化キーをアプリケーションサーバとの間で取り決めるための手段および取り決められた暗号化キーを保存するための手段と、
アプリケーションデータを、暗号化キーで暗号化および復号するための手段と、
管理サーバによって、メッセージを、アプリケーションサーバとの間で交換するための手段であって、メッセージのうちの少なくとも1つが、通信デバイスまたはアプリケーションサーバの少なくともいずれか一方によって暗号化キーで暗号化されたアプリケーションデータを含む、手段と
を備える。
【0015】
本発明はまた、サーバ内および通信デバイス内において実行することが可能なコンピュータプログラムに関し、前記プログラムは、前記サーバおよび前記通信デバイス内でプログラムが実行されたときに本発明の方法によるステップを実行する命令を含む。
【0016】
本発明およびその利益は、添付の図面を参照する以下の説明を検討することで、よりよく理解されよう。
【図面の簡単な説明】
【0017】
【図1】本発明の一実施形態による通信システムの概略的な構成図である。
【図2】本発明の一実施形態による通信デバイスを管理するための方法のアルゴリズムを示す図である。
【図3】本発明の第2の実施形態による通信デバイスを管理するための方法のアルゴリズムを示す図である。
【発明を実施するための形態】
【0018】
本発明は、アプリケーションサーバから管理サーバを経由し、通信ネットワークを介する通信デバイス管理に関する。
【0019】
以降の説明において、アプリケーションサーバは、たとえば、通信デバイスを場合によっては所有するまたは提供していてもよい企業によって管理され、アプリケーションサーバは、通信デバイスからアクセス可能な1つまたは複数のディジタルサービスを提供することができる。ディジタルサービスは、たとえば、サービスエンティティによって提供されるサービスの価格などの、通信デバイスによって管理されるディジタルデータを更新するために、テキストおよび/または音および/または画像を含むディジタルファイルなどのマルチメディアデータを提供するサービスであり得る。さらに、アプリケーションサーバは、アプリケーションサーバを管理する企業によって所有または運用される通信デバイスのそれぞれに関連した情報を含むデータベースを管理してもよい。通信デバイスはまた、アプリケーションに関連する、生じた最新の変更をアプリケーションサーバに通知してもよい。
【0020】
上で説明したように、アプリケーションサーバによって通信ネットワークを介して提供されるサービスを使用するアプリケーションを実行する通信デバイスは、アプリケーション専用のデータとともに通信ネットワークを介してサービスを運用するためのデバイスの通信パラメータに関連したデータを含む管理データセットを含む。このデータセットは、デバイスの動作および管理専用であり、アプリケーションサーバおよび通信ネットワークの事業者によって管理される管理サーバなどの、外部のさまざまなエンティティによって部分的に管理され得る。
【0021】
たとえば、管理サーバは、特に、通信デバイスの構成を初期化および更新する機能、アプリケーションの管理データを読み出す機能、ならびにアプリケーションによって生成されるイベントまたはアラームを処理する機能を有する。たとえば、管理サーバは、外部パーティが遠隔操作で、通信デバイスと管理サーバの間の通信プロトコル用パラメータの構成を実行すること、またはアプリケーションのプログラムの更新をインストールすることを可能にする。
【0022】
本発明の一実施形態によれば、通信ネットワークの事業者またはサードパーティのエンティティによって管理される管理サーバは、通信ネットワークを介してサービスを運用するための通信デバイスの通信パラメータに関連したデータを処理しながら、通信デバイスとアプリケーションサーバの間で交換されるアプリケーション専用のデータを不透明下で(opaquely)処理しなければならない。
【0023】
図1を参照すると、通信システムは、少なくとも1つのアプリケーションサーバSA、管理サーバSG、および通信デバイスDCを備え、これらは、通信ネットワークRTを介して互いに通信することが可能である。
【0024】
アプリケーションサーバSAおよび通信デバイスDCは、アプリケーションサーバSAが、それぞれクライアントの役割を果たす1つまたは複数の通信デバイスDCを管理するサーバの役割を果たす、クライアント−サーバ構造に従って構成されることが想定され得る。以降の説明において、一例として、アプリケーションサーバSAは、単一の通信デバイス内で実行される単一のアプリケーションを管理していることが考えられる。
【0025】
通信ネットワークRTは、有線ネットワークもしくは無線ネットワーク、または有線ネットワークと無線ネットワークの組み合わせであり得る。たとえば、通信ネットワークRTは、インターネットまたはイントラネットなどの高速IP(「インターネットプロトコル」)パケットネットワークである。
【0026】
ある例においては、通信デバイスDCは、通信ネットワークRTに接続されたxDSL(ディジタル加入者回線)またはISDN(統合サービスディジタル網)回線に、モデムによって直接的に接続されたパーソナルコンピュータである。
【0027】
別の例において、通信デバイスDCは、無線通信チャネルによって、通信ネットワーク、たとえばGSM(登録商標)(「Global System for Mobile Communications」)またはUMTS(「ユニバーサル移動通信システム(Universal Mobile Telecommunications System)」)ネットワークに接続されている移動セルラー無線通信端末である。
【0028】
別の例において、通信デバイスDCは、公衆近距離無線ローカルエリアネットワークWLANもしくは802.1x規格のうちの1つに準拠したネットワーク、または通信ネットワークに接続された中距離用のWiMAX(「World wide Interoperability Microwave Access」)無線ローカルエリアネットワークのアクセス端末に接続することができる通信用の携帯情報端末PDA、すなわちスマートフォンであり得るデバイスまたは電子通信オブジェクト(electronic telecommunications object)を含む。
【0029】
他の例において、通信デバイスDCは、タクシー会社に属する自動車、またはエネルギー産業の企業に属する水、ガス、もしくは電気などの特定エネルギーの自動計測器、または食品の販売を専門に扱う企業に属する飲料自動販売機である。
【0030】
通信デバイスは、自動車の走行距離または飲料自動販売機内に残っている飲料の数などの、最新の生じた変更をアプリケーションサーバに通知するために、アプリケーションサーバSAとの間で通信ネットワークRTを介して通信することができる固定または移動デバイスである。
【0031】
通信デバイスおよび通信ネットワークは、上記の例には限定されず、他の知られているデバイスおよびネットワークによって構成されてもよい。
【0032】
アプリケーションサーバSAは、暗号化モジュールCHIsおよび交換モジュールECHsを含む。
【0033】
以降の説明において、モジュールという用語は、デバイス、ソフトウェアプログラム、または少なくとも1つの特定のタスクを実行するように構成されたコンピュータハードウェアおよびソフトウェアの組み合わせを指すことができる。
【0034】
アプリケーションサーバSAは、データベースBDに接続されており、このBDは、サーバSAに統合されているか、またはローカルリンクもしくは遠隔リンクによってサーバSAに接続されたデータベース管理サーバに組み込まれている。
【0035】
特に、データベースBDは、暗号化キーKcおよび通信デバイスに関連した管理データセットEnsDを保存する。たとえば、通信デバイスの識別子IdDCは、管理データセットEnsDと、また少なくとも1つの暗号化キーKcと一致するものとして保存される。
【0036】
この管理データセットEnsDは、アプリケーション専用のアプリケーションデータDonAおよび通信ネットワークを介してサービスを運用するためのデバイスの通信パラメータに関連した通信データDonCを含む。アプリケーション専用のデータは、構成管理データ、性能管理データ、警報管理データ、およびファームウェアタイプのソフトウェアなどのアプリケーションのプログラムデータを含む。
【0037】
アプリケーションデータDonA内のあるデータが、値をもつ属性の形体であるパラメータに対応し得ることが想定され得る。そうである場合、属性の値は、パラメータの値に対応する。
【0038】
暗号化モジュールCHIsは、通信デバイスとの間で、データを暗号化および復号するための暗号化キーKcを取り決めることが可能である。暗号化モジュールCHIsは、場合によっては、暗号化キーを決定し、それを通信デバイスDCに送信することができる。暗号化モジュールCHIsは、暗号化キーをデータベースBD内に保存する。
【0039】
一実施形態において、これらの暗号化機能は、いわゆる暗号化サーバに含まれる。たとえば、暗号化モジュールCHIが、その暗号化サーバと通信し、このサーバは、暗号化キーを決定し、そのキーを暗号化モジュールCHIに送信する。モジュールCHIは、それによって、暗号化キーを間接的に決定する。
【0040】
暗号化モジュールCHIsは、アプリケーション専用のアプリケーションデータDonAを暗号化または復号する。
【0041】
交換モジュールECHsは、管理サーバSGによって、通信デバイスDCとの間でメッセージを交換することが可能であり、メッセージのうちの少なくとも1つは、アプリケーションサーバSAによってまたは通信デバイスDCによって暗号化されたアプリケーションデータDonAを含む。
【0042】
交換モジュールECHsは、暗号化されたアプリケーションデータDonAを含む要求を、管理サーバSGに送信することが可能であり、アプリケーションデータDonAは、通信デバイスDC用のものである。交換モジュールECHsは、さらに、暗号化されたデータを含む応答を管理サーバSGから受信することができ、このデータは、通信デバイスDCから来たものである。
【0043】
管理サーバSGは、アプリケーションサーバSAから通信デバイスDCに送信されたデータおよび通信デバイスDCからアプリケーションサーバSAに送信されたデータを交換する機能をもつ通信モジュールCOMを備える。
【0044】
通信モジュールCOMは、具体的には、アプリケーションサーバSAから送信された要求を解釈し、また、アプリケーションサーバから受信した要求に応じて、通信デバイスDC用の他の要求を生成する。同様に、通信モジュールCOMは、具体的には、通信デバイスDCから送信された応答を解釈し、また、通信デバイスから受信した要求に応じて、アプリケーションサーバSA用の他の応答を生成する。
【0045】
ある例においては、管理サーバSGは、BBF(BroadBand Forum)が定義したTR069プロトコル、またはOMA(Open Mobile Alliance)という団体が定義したDM(Device Management)プロトコルを使用する自動構成サーバACSである。
【0046】
通信デバイスDCは、暗号化モジュールCHIc、交換モジュールECHcおよびメモリMEMを備える。
【0047】
交換モジュールECHcは、管理サーバSGによって、アプリケーションサーバSAとの間でメッセージを交換することが可能であり、メッセージのうちの少なくとも1つは、通信デバイスDCまたはアプリケーションサーバSAによって暗号化されたアプリケーションデータDonAを含む。
【0048】
交換モジュールECHcは、暗号化されたデータDonAを含む応答を、管理サーバSGに送信することが可能であり、データDonAは、アプリケーションサーバSA用のものである。交換モジュールECHcは、さらに、暗号化されたアプリケーションデータを含む要求を管理サーバSGから受信することができ、暗号化されたデータは、アプリケーションサーバSAから来たものである。
【0049】
暗号化モジュールCHIcは、アプリケーション専用のデータDonAを暗号化および復号するための暗号化キーKcを決定することが可能である。一実施形態において、通信デバイスの暗号化モジュールCHIcおよびアプリケーションサーバの暗号化モジュールCHIsは、それぞれキー取決めを実行し、それにより、通信デバイスまたはアプリケーションサーバのいずれかがキー取決めを開始し、暗号化キーを決定する。暗号化モジュールCHIcは、暗号化キーをメモリMEMに保存する。
【0050】
メモリMEMは、具体的には、アプリケーションサーバSAによって提供されるサービスを使用するアプリケーションを含む。メモリMEMは、アプリケーションサーバSAにリンクしたデータベースBD内に保存された管理データセットEnsDと同様に、アプリケーション専用のアプリケーションデータDonA、および通信ネットワークを介してサービスを運用するためのデバイスの通信パラメータに関連した通信データDonCを含む管理データセットEnsDをさらに含む。メモリMEMはまた、アプリケーション専用のアプリケーションデータDonAを暗号化および復号するために使用する暗号化キーKcを含む。
【0051】
図2を参照すると、本発明の第1の実施形態による通信デバイスを管理するための方法が、通信システム内で実行されるステップE1からE6を含む。
【0052】
予備ステップE01の中で、たとえば、デバイスが電源をオンにされた後、デバイスが通信ネットワークに登録される間、またはデバイスがすでに電源オンになっている場合は、所与の時間間隔の後、通信デバイスDCは、アプリケーションサーバSAと通信する。
【0053】
通信デバイスDCおよびアプリケーションサーバSAは、キー取決めを実行して、通信デバイスと関連した暗号化キーKcを決定する。
【0054】
通信デバイスDC用のアプリケーションサーバSAは、通信デバイスDCに関連した少なくとも1つの暗号化キーKcを決定する。ある変形形態において、暗号化モジュールCHIsは、取決めに関与している別のサーバと通信し、暗号化キーを決定し、そのキーを暗号化モジュールCHIsに送信する。
【0055】
いったん取決めが完了し、キーKcが決定すると、アプリケーションサーバは、キーKcを、通信デバイスの識別子IdDCと一致するものとしてデータベースBD内に保存し、通信デバイスDCは、キーKcをメモリMEMに保存する。
【0056】
ステップE1の中で、アプリケーションサーバSAは、命令の要求ReqIを生成する。命令の要求ReqIは、管理サーバに、通信デバイスDC内に保存されたデータDonAを読み取るように要求させるための命令を含む。
【0057】
すでに示したように、データDonAは、値Valをもつ属性Attの形体であるパラメータに対応し得る。命令の要求ReqI内に含まれる命令は、属性Attを指定するだけである。
【0058】
第1の可能性によれば、命令の要求ReqIは、属性が暗号化されていない状態で、属性Attの値Valを読み取るための命令を含む。
【0059】
第2の可能性によれば、命令の要求ReqIは、属性が暗号化された状態で、属性の値を読み取るための命令を含む。この場合、暗号化モジュールCHIsは、属性Attを暗号化キーKcで暗号化する。
【0060】
アプリケーションサーバSAは、属性Attを含む命令の要求ReqIを、管理サーバSGに送信する。
【0061】
ステップE2の中で、管理サーバSGは、命令の要求ReqIを受信し、命令の要求ReqI内に含まれる命令に応じて、管理の要求ReqGを生成する。
【0062】
第1の可能性によれば、属性は暗号化されておらず、管理の要求ReqGは、暗号化指示なしの読取り要求、たとえば暗号化されていない属性に結びついた「GetParameterValue」タイプのものを含む。
【0063】
第2の可能性によれば、属性は暗号化されており、管理の要求ReqGは、暗号化指示ありの読取り要求、たとえば暗号化されている属性に結びついた「SecureGetParameterValue」タイプのものを含む。
【0064】
管理サーバSGは、属性Attを含む管理の要求ReqGを、通信デバイスDCに送信する。
【0065】
ステップE3の中で、通信デバイスDCは、管理の要求ReqGを、交換モジュールECHcを介して受信する。属性が暗号化されている場合、暗号化モジュールCHIcは、暗号化されている属性を暗号化キーKcで復号する。
【0066】
暗号化モジュールCHIcは、属性Attの値Valを、メモリMEM内に含まれるデータDonAの中から読み出し、属性の値を暗号化する。
【0067】
ステップE4の中で、通信デバイスDCは、属性Attの暗号化された値Valを含む管理の応答RepGを、管理サーバSGに送信する。
【0068】
ステップE5の中で、管理サーバSGは、管理の応答RepGを受信し、管理の応答RepGの内容に応じて、命令の応答RepIを生成する。命令の応答RepIは、管理の応答RepGの内容と類似した内容を含み得るもので、命令の応答RepIは、管理サーバとアプリケーションサーバの間で使用される通信プロトコルに適合されている。
【0069】
管理サーバSGは、属性Attの暗号化された値Valを含む命令の応答RepIを、アプリケーションサーバSAに送信する。
【0070】
ステップE6の中で、アプリケーションサーバSAは、命令の応答RepIを受信し、属性の値Valを暗号化キーで復号する。
【0071】
図3を参照すると、本発明の第2の実施形態による通信デバイスを管理するための方法が、通信システム内で実行されるステップF1からF5を含む。
【0072】
予備ステップF01の中で、ステップE01と同様に、通信デバイスDCは、アプリケーションサーバSAと通信する。
【0073】
通信デバイスDCおよびアプリケーションサーバSAは、キー取決めを実行して、通信デバイスと関連した暗号化キーKcを決定する。通信デバイスDC用のアプリケーションサーバSAは、通信デバイスDCに関連した少なくとも1つの暗号化キーKcを決定する。アプリケーションサーバは、キーKcをデータベースBD内に保存し、通信デバイスDCは、キーKcをメモリMEM内に保存する。
【0074】
ステップF1の中で、アプリケーションサーバSAは、命令の要求ReqIを生成する。命令の要求ReqIは、管理サーバに、通信デバイスDC内に保存されたデータDonAを書き込むように要求させるための命令を含む。
【0075】
すでに示したように、データDonAは、値をもつ属性の形体であるパラメータに対応し得る。要求Req内に含まれる命令は、属性およびその値を指定する。
【0076】
第1の代替形態によれば、命令の要求ReqIは、属性が暗号化されておらず、値が暗号化キーKcで暗号化された状態で、属性の値を読み取る命令を含む。
【0077】
第2の代替形態によれば、命令の要求ReqIは、属性および値が暗号化キーKcで暗号化された状態で、属性の値を書き込む命令を含む。
【0078】
アプリケーションサーバSAは、属性Attおよび値Valを含む命令の要求ReqIを、管理サーバSGに送信する。
【0079】
ステップF2の中で、管理サーバSGは、命令の要求ReqIを受信し、命令の要求ReqI内に含まれる命令に応じて、管理の要求ReqGを生成する。
【0080】
第1の代替形態が当てはまるか第2の代替形態が当てはまるかに応じて、属性は暗号化されるか、または暗号化されず、値Valは暗号化される。管理の要求ReqGは、暗号化指示ありの書込み要求、たとえば暗号化されているか、または暗号化されていない属性、および暗号化された値に結びついた「SecureSetParameterValue」タイプのものを含む。
【0081】
管理サーバSGは、属性Attおよび値Valを含む管理の要求ReqGを、通信デバイスDCに送信する。
【0082】
ステップF3の中で、通信デバイスDCは、管理の要求ReqGを受信する。暗号化モジュールCHIcは、暗号化された値Valを暗号化キーKcで復号し、属性Attが暗号化されている場合は、暗号化モジュールCHIcは、暗号化された値も暗号化キーKcで復号する。
【0083】
暗号化モジュールCHIcは、属性Attに結びついている復号された値ValをメモリMEMに保存し、それによって、存在し、属性Attに結びついていた値を置き換える。
【0084】
ステップF4の中で、通信デバイスDCは、管理の応答RepGを管理サーバSGに送信し、この応答は、たとえば、書込み要求が確かに実行されたという指示を含み、これは値Valが確かに保存されたことを意味する。
【0085】
ステップF5の中で、管理サーバSGは、管理の応答RepGを受信し、内容が管理の応答RepGのものと類似している命令の応答RepIを生成する。管理サーバSGは、アプリケーションサーバSAに命令の応答RepIを送信し、SAには書込み要求が実行されたことが通知される。
【0086】
すべてのステップE1からE6、およびF1からF5によれば、アプリケーションサーバSAおよび通信デバイスDCは、命令の要求ReqIをアプリケーションサーバSAから受信し、管理の要求ReqGを通信デバイスDCに送信し、また管理の応答RepGを通信デバイスDCから受信し、命令の応答RepIをアプリケーションサーバSAに送信する管理サーバSGによって、要求および応答などのメッセージを交換することが考えられ得る。上記の2つの実施形態によれば、メッセージのうちの少なくとも1つは、通信デバイスDCまたはアプリケーションサーバSAの少なくともいずれか一方によって暗号化キーKcで暗号化される属性または値などのアプリケーションデータDonAを含む。
【0087】
ある変形形態において、通信デバイスDCおよびアプリケーションサーバSAは、属性を暗号化するためにあるキーを使用し、値を暗号化するために別のキーを使用する。
【0088】
別の変形形態において、通信デバイスDCおよびアプリケーションサーバSAは、それぞれ非対称キーなどの異なるキーを使用して、属性または値を暗号化および復号する。
【0089】
別の例示的な実施形態によれば、フェムトセル基地局が、無線通信ネットワークの事業者によって配備され、パケットネットワーク用のゲートウェイが、高速有線(wireline)通信ネットワークの事業者によって配備される。基地局を介した無線通信サービスが、無線ネットワークの事業者によって提供され、その一方で、パケット通信サービスが高速通信の事業者によって提供される。この例において、通信デバイスDCは、フェムトセル基地局を運用するためのアプリケーションを実行するパケットネットワーク用のゲートウェイであり、無線ネットワークの事業者は、アプリケーションサーバSAを所有し、有線ネットワークの事業者は、管理サーバSGを所有する。
【0090】
有線ネットワークの事業者は、管理サーバSGによって、無線ネットワークの事業者にアプリケーションのデータの特定の部分を不透明下で管理する手段を提供することができ、これは、そのデータが読める有線事業者が不在であることを意味する。
【0091】
本明細書に記載した本発明は、具体的には、通信ネットワークを介して通信デバイスを管理するための方法、通信デバイス、およびサーバに関する。本発明の一実施形態によれば、本発明の方法のステップが、部分的にはコンピュータプログラムの命令によって決定され、部分的にはアプリケーションサーバSAなどのサーバ内に、また部分的には通信デバイスDCなどのデバイス内に組み込まれる。各プログラムは、前記プログラムがサーバ内にロードされ、実行されたときに、本発明の方法のステップを実行するプログラム命令を含む。
【0092】
結果的に、本発明は、コンピュータプログラム、特に、本発明を実施するのに適した情報媒体上またはその中のコンピュータプログラムにも適用される。このプログラムは、任意のプログラミング言語を使用することができ、ソースコード、目的コード、または部分的にコンパイルされた形などの、ソースコードと目的コードの中間のコードの形であってもよく、あるいは本発明の方法を実施するのに望ましい任意の他の形であってもよい。
【特許請求の範囲】
【請求項1】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する通信デバイス(DC)を管理するための方法にして、通信デバイス(DC)が、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、方法であって、
取り決められた暗号化キー(Kc)をそれぞれ保存するアプリケーションサーバと通信デバイス(DC)の間での、暗号化キーの取決め(E01;F01)と、
管理サーバ(SG)による、アプリケーションサーバ(SA)と通信デバイス(DC)の間でのメッセージ(ReqI、ReqG、RepI、RepG)の交換であって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、交換と
を含む、方法。
【請求項2】
第1の要求(ReqI)を、アプリケーションサーバ(SA)から管理サーバ(SG)に送信するステップ(E1;F1)と、
第1の要求(ReqI)の内容に応じて、第2の要求(ReqG)を、管理サーバ(SG)から通信デバイス(DC)に送信するステップ(E2;F2)と、
第1の応答(RepG)を、通信デバイス(SA)から管理サーバ(SG)に送信するステップ(E4;F4)と、
第1の応答(RepG)の内容に応じて、第2の応答(RepI)を、管理サーバ(SG)からアプリケーションサーバ(SA)に送信するステップ(E5;F5)とを含み、
第1および第2の要求ならびに第1および第2の応答のうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、請求項1に記載の方法。
【請求項3】
アプリケーションデータ(DonA)が、それぞれ値(Val)に結びついた属性(Att)を含み、
第1の要求(ReqI)を、アプリケーションサーバ(SA)から管理サーバ(SG)に送信するステップ(E1)であって、第1の要求(ReqI)が、少なくとも1つの属性(Att)を含む、ステップ(E1)と、
第2の要求(ReqG)を、管理サーバ(SG)から通信デバイス(DC)に送信するステップ(E2)であって、第2の要求(ReqG)が、少なくとも前記属性(Att)を含む、ステップ(E2)と、
通信デバイス(DC)において、受信された第2の要求(ReqG)内に含まれる属性(Att)に結びついた値(Val)を読み出し、値(Val)を暗号化キー(Kc)で暗号化するステップ(E3)と、
第1の応答(RepG)を、通信デバイス(SA)から管理サーバ(SG)に送信するステップ(E4)であって、第1の応答(RepG)が、暗号化された値(Val)を含む、ステップ(E4)と、
第2の応答(RepI)を、管理サーバ(SG)からアプリケーションサーバ(SA)に送信するステップ(E5)であって、第2の応答(RepI)が、暗号化された値(Val)を含む、ステップ(E5)と、
アプリケーションサーバ(SA)において、暗号化キー(Kc)で暗号化された値(Val)を復号するステップ(E6)と
を含む、請求項1または2に記載の方法。
【請求項4】
アプリケーションサーバ(SA)が、前記属性(Att)を暗号化キー(Kc)で暗号化し(E1)、アプリケーションサーバ(SA)から管理サーバ(SG)に送信された第1の要求(ReqI)および管理サーバ(SG)から通信デバイス(DC)に送信された第2の要求(ReqG)が、それぞれ、少なくとも暗号化された属性(Att)を含み、また、復号された属性(Att)に結びついた値(Val)を読み出し、値(Val)を暗号化キー(Kc)で暗号化する(E3)前に、通信デバイス(DC)が、受信された第2の要求(ReqG)内に含まれる暗号化された属性(Att)を、暗号化キー(Kc)で復号する(E3)、請求項3に記載の方法。
【請求項5】
アプリケーションデータ(DonA)が、それぞれ値(Val)に結びついた属性(Att)を含み、
アプリケーションサーバ(SA)において、少なくとも1つの値(Val)を暗号化キー(Kc)で暗号化するステップ(F1)と、
第1の要求(ReqI)を、アプリケーションサーバ(SA)から管理サーバ(SG)に送信するステップ(F1)であって、第1の要求(ReqI)が、少なくとも暗号化された値(Val)を含む、ステップ(F1)と、
第2の要求(ReqG)を、管理サーバ(SG)から通信デバイス(DC)に送信するステップ(F2)であって、第2の要求(ReqG)が、少なくとも暗号化された値(Val)を含む、ステップ(F2)と、
通信デバイス(DC)において、受信された第2の要求(ReqG)内に含まれる暗号化された値(Val)を、暗号化キー(Kc)で復号し(F3)、属性(Att)に結びついた復号された値(Val)を保存するステップ(F3)と、
第1の応答(RepG)を、通信デバイス(SA)から管理サーバ(SG)に送信するステップ(F4)であって、第1の応答(RepG)が、値(Val)が保存されたという指示を含む、ステップ(F4)と、
第2の応答(RepI)を、管理サーバ(SG)からアプリケーションサーバ(SA)に送信するステップ(F5)であって、第2の応答(RepI)が、値(Val)が保存されたという指示を含む、ステップ(F5)と
を含む、請求項1または2に記載の方法。
【請求項6】
アプリケーションサーバ(SA)が、暗号化キー(Kc)で暗号化された値(Val)に結びついた属性(Att)をさらに暗号化し(F1)、アプリケーションサーバ(SA)から管理サーバ(SG)に送信された第1の要求(ReqI)および管理サーバ(SG)から通信デバイス(DC)に送信された第2の要求(ReqG)が、それぞれ、少なくとも暗号化された属性(Att)および暗号化された値(Val)を含み、また、復号された属性(Att)に結びついた復号された値(Val)を保存する(F3)前に、通信デバイス(DC)が、受信された第2の要求(ReqG)内に含まれる暗号化された属性(Att)を、暗号化キー(Kc)でさらに復号する(F3)、請求項5に記載の方法。
【請求項7】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する少なくとも1つの通信デバイス(DC)を管理するためのアプリケーションサーバ(SA)にして、通信デバイス(DC)が、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、アプリケーションサーバであって、
暗号化キー(Kc)を通信デバイス(DC)との間で取り決めるための手段(CHIs)および取り決められた暗号化キーを保存するための手段(CHIs)と、
アプリケーションデータ(DonA)を、暗号化キー(Kc)で暗号化および復号するための手段(CHIs)と、
管理サーバ(SG)によって、メッセージ(ReqI、ReqG、RepI、RepG)を、通信デバイス(DC)との間で交換するための手段(ECHs)であって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、手段(ECHs)と
を備える、アプリケーションサーバ。
【請求項8】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する通信デバイス(DC)にして、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、通信デバイス(DC)であって、
暗号化キー(Kc)を通信デバイス(SA)との間で取り決めるための手段(ECHc)および取り決められた暗号化キーを保存するための手段(MEM)と、
アプリケーションデータ(DonA)を、暗号化キー(Kc)で暗号化および復号するための手段(CHIc)と、
管理サーバ(SG)によって、メッセージ(ReqI、ReqG、RepI、RepG)を、アプリケーションサーバ(SA)との間で交換するための手段(ECHc)であって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、手段(ECHc)と
を備える、通信デバイス。
【請求項9】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する少なくとも1つの通信デバイス(DC)を管理するためのアプリケーションサーバ(SA)において実行することが可能なコンピュータプログラムにして、通信デバイス(DC)が、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、プログラムであって、前記プログラムが、前記アプリケーションサーバ(SA)内にロードされ、実行されたとき、
暗号化キー(Kc)を通信デバイス(DC)との間で取り決め、取り決められた暗号化キーを保存するステップと、
管理サーバ(SG)によって、メッセージ(ReqI、ReqG、RepI、RepG)を、通信デバイス(DC)との間で交換するステップであって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、ステップと
を実行する命令を含む、プログラム。
【請求項10】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する通信デバイス(DC)において実行することが可能なコンピュータプログラムにして、通信デバイス(DC)が、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、プログラムであって、前記プログラムが、前記アプリケーションサーバ(SA)内にロードされ、実行されたときに、
暗号化キー(Kc)をアプリケーションサーバ(SA)との間で取り決め、取り決められた暗号化キーを保存するステップと、
管理サーバ(SG)によって、メッセージ(ReqI、ReqG、RepI、RepG)を、アプリケーションサーバ(SA)との間で交換するステップであって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、ステップと
を実行する命令を含む、プログラム。
【請求項1】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する通信デバイス(DC)を管理するための方法にして、通信デバイス(DC)が、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、方法であって、
取り決められた暗号化キー(Kc)をそれぞれ保存するアプリケーションサーバと通信デバイス(DC)の間での、暗号化キーの取決め(E01;F01)と、
管理サーバ(SG)による、アプリケーションサーバ(SA)と通信デバイス(DC)の間でのメッセージ(ReqI、ReqG、RepI、RepG)の交換であって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、交換と
を含む、方法。
【請求項2】
第1の要求(ReqI)を、アプリケーションサーバ(SA)から管理サーバ(SG)に送信するステップ(E1;F1)と、
第1の要求(ReqI)の内容に応じて、第2の要求(ReqG)を、管理サーバ(SG)から通信デバイス(DC)に送信するステップ(E2;F2)と、
第1の応答(RepG)を、通信デバイス(SA)から管理サーバ(SG)に送信するステップ(E4;F4)と、
第1の応答(RepG)の内容に応じて、第2の応答(RepI)を、管理サーバ(SG)からアプリケーションサーバ(SA)に送信するステップ(E5;F5)とを含み、
第1および第2の要求ならびに第1および第2の応答のうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、請求項1に記載の方法。
【請求項3】
アプリケーションデータ(DonA)が、それぞれ値(Val)に結びついた属性(Att)を含み、
第1の要求(ReqI)を、アプリケーションサーバ(SA)から管理サーバ(SG)に送信するステップ(E1)であって、第1の要求(ReqI)が、少なくとも1つの属性(Att)を含む、ステップ(E1)と、
第2の要求(ReqG)を、管理サーバ(SG)から通信デバイス(DC)に送信するステップ(E2)であって、第2の要求(ReqG)が、少なくとも前記属性(Att)を含む、ステップ(E2)と、
通信デバイス(DC)において、受信された第2の要求(ReqG)内に含まれる属性(Att)に結びついた値(Val)を読み出し、値(Val)を暗号化キー(Kc)で暗号化するステップ(E3)と、
第1の応答(RepG)を、通信デバイス(SA)から管理サーバ(SG)に送信するステップ(E4)であって、第1の応答(RepG)が、暗号化された値(Val)を含む、ステップ(E4)と、
第2の応答(RepI)を、管理サーバ(SG)からアプリケーションサーバ(SA)に送信するステップ(E5)であって、第2の応答(RepI)が、暗号化された値(Val)を含む、ステップ(E5)と、
アプリケーションサーバ(SA)において、暗号化キー(Kc)で暗号化された値(Val)を復号するステップ(E6)と
を含む、請求項1または2に記載の方法。
【請求項4】
アプリケーションサーバ(SA)が、前記属性(Att)を暗号化キー(Kc)で暗号化し(E1)、アプリケーションサーバ(SA)から管理サーバ(SG)に送信された第1の要求(ReqI)および管理サーバ(SG)から通信デバイス(DC)に送信された第2の要求(ReqG)が、それぞれ、少なくとも暗号化された属性(Att)を含み、また、復号された属性(Att)に結びついた値(Val)を読み出し、値(Val)を暗号化キー(Kc)で暗号化する(E3)前に、通信デバイス(DC)が、受信された第2の要求(ReqG)内に含まれる暗号化された属性(Att)を、暗号化キー(Kc)で復号する(E3)、請求項3に記載の方法。
【請求項5】
アプリケーションデータ(DonA)が、それぞれ値(Val)に結びついた属性(Att)を含み、
アプリケーションサーバ(SA)において、少なくとも1つの値(Val)を暗号化キー(Kc)で暗号化するステップ(F1)と、
第1の要求(ReqI)を、アプリケーションサーバ(SA)から管理サーバ(SG)に送信するステップ(F1)であって、第1の要求(ReqI)が、少なくとも暗号化された値(Val)を含む、ステップ(F1)と、
第2の要求(ReqG)を、管理サーバ(SG)から通信デバイス(DC)に送信するステップ(F2)であって、第2の要求(ReqG)が、少なくとも暗号化された値(Val)を含む、ステップ(F2)と、
通信デバイス(DC)において、受信された第2の要求(ReqG)内に含まれる暗号化された値(Val)を、暗号化キー(Kc)で復号し(F3)、属性(Att)に結びついた復号された値(Val)を保存するステップ(F3)と、
第1の応答(RepG)を、通信デバイス(SA)から管理サーバ(SG)に送信するステップ(F4)であって、第1の応答(RepG)が、値(Val)が保存されたという指示を含む、ステップ(F4)と、
第2の応答(RepI)を、管理サーバ(SG)からアプリケーションサーバ(SA)に送信するステップ(F5)であって、第2の応答(RepI)が、値(Val)が保存されたという指示を含む、ステップ(F5)と
を含む、請求項1または2に記載の方法。
【請求項6】
アプリケーションサーバ(SA)が、暗号化キー(Kc)で暗号化された値(Val)に結びついた属性(Att)をさらに暗号化し(F1)、アプリケーションサーバ(SA)から管理サーバ(SG)に送信された第1の要求(ReqI)および管理サーバ(SG)から通信デバイス(DC)に送信された第2の要求(ReqG)が、それぞれ、少なくとも暗号化された属性(Att)および暗号化された値(Val)を含み、また、復号された属性(Att)に結びついた復号された値(Val)を保存する(F3)前に、通信デバイス(DC)が、受信された第2の要求(ReqG)内に含まれる暗号化された属性(Att)を、暗号化キー(Kc)でさらに復号する(F3)、請求項5に記載の方法。
【請求項7】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する少なくとも1つの通信デバイス(DC)を管理するためのアプリケーションサーバ(SA)にして、通信デバイス(DC)が、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、アプリケーションサーバであって、
暗号化キー(Kc)を通信デバイス(DC)との間で取り決めるための手段(CHIs)および取り決められた暗号化キーを保存するための手段(CHIs)と、
アプリケーションデータ(DonA)を、暗号化キー(Kc)で暗号化および復号するための手段(CHIs)と、
管理サーバ(SG)によって、メッセージ(ReqI、ReqG、RepI、RepG)を、通信デバイス(DC)との間で交換するための手段(ECHs)であって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、手段(ECHs)と
を備える、アプリケーションサーバ。
【請求項8】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する通信デバイス(DC)にして、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、通信デバイス(DC)であって、
暗号化キー(Kc)を通信デバイス(SA)との間で取り決めるための手段(ECHc)および取り決められた暗号化キーを保存するための手段(MEM)と、
アプリケーションデータ(DonA)を、暗号化キー(Kc)で暗号化および復号するための手段(CHIc)と、
管理サーバ(SG)によって、メッセージ(ReqI、ReqG、RepI、RepG)を、アプリケーションサーバ(SA)との間で交換するための手段(ECHc)であって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、手段(ECHc)と
を備える、通信デバイス。
【請求項9】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する少なくとも1つの通信デバイス(DC)を管理するためのアプリケーションサーバ(SA)において実行することが可能なコンピュータプログラムにして、通信デバイス(DC)が、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、プログラムであって、前記プログラムが、前記アプリケーションサーバ(SA)内にロードされ、実行されたとき、
暗号化キー(Kc)を通信デバイス(DC)との間で取り決め、取り決められた暗号化キーを保存するステップと、
管理サーバ(SG)によって、メッセージ(ReqI、ReqG、RepI、RepG)を、通信デバイス(DC)との間で交換するステップであって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、ステップと
を実行する命令を含む、プログラム。
【請求項10】
通信ネットワーク(RT)を介して、アプリケーションサーバ(SA)によって提供されるサービスを使用するアプリケーションを実行する通信デバイス(DC)において実行することが可能なコンピュータプログラムにして、通信デバイス(DC)が、アプリケーション専用のアプリケーションデータ(DonA)およびサービスを通信ネットワークを介して運用するための通信パラメータに関連した通信データ(DonC)を含み、通信データ(DonC)が、管理サーバ(SG)によって管理される、プログラムであって、前記プログラムが、前記アプリケーションサーバ(SA)内にロードされ、実行されたときに、
暗号化キー(Kc)をアプリケーションサーバ(SA)との間で取り決め、取り決められた暗号化キーを保存するステップと、
管理サーバ(SG)によって、メッセージ(ReqI、ReqG、RepI、RepG)を、アプリケーションサーバ(SA)との間で交換するステップであって、メッセージのうちの少なくとも1つが、通信デバイス(DC)またはアプリケーションサーバ(SA)の少なくともいずれか一方によって、暗号化キー(Kc)で暗号化されたアプリケーションデータ(DonA)を含む、ステップと
を実行する命令を含む、プログラム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2013−507707(P2013−507707A)
【公表日】平成25年3月4日(2013.3.4)
【国際特許分類】
【出願番号】特願2012−533607(P2012−533607)
【出願日】平成22年10月12日(2010.10.12)
【国際出願番号】PCT/EP2010/065245
【国際公開番号】WO2011/045297
【国際公開日】平成23年4月21日(2011.4.21)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
【公表日】平成25年3月4日(2013.3.4)
【国際特許分類】
【出願日】平成22年10月12日(2010.10.12)
【国際出願番号】PCT/EP2010/065245
【国際公開番号】WO2011/045297
【国際公開日】平成23年4月21日(2011.4.21)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
[ Back to top ]