情報の急激な発達とあらゆるものが繋がる社会の出現により、ネットワークに含まれるネットワークデバイスの数はますます増加している。安全で信頼性の高いネットワーク環境をさらに改善するために、ネットワークおよびネットワークデバイスに高信頼性要件を持たせることが必要とされている。したがって、ネットワーク内のネットワークデバイスに厳密な信頼性検証が必要とされている。
ネットワークデバイスは、トラステッド・プラットフォーム・モジュール(英語:Trusted Platform Module、略称はTPM)を有していることが理解されよう。TPMは改ざんできず、完全に信頼され、外部保守を必要としない信頼の構成要素(信頼の基点とも称される)を有し、信頼の基点は信頼性検証に不可欠なものである。一般にTPMは3つの信頼の基点を有し、それは測定用の信頼の基点(英語:Root of Trust for Measurement、略称はRTM)、ストレージ用の信頼の基点(英語:Root of Trust for Storage、略称はRTS)、および報告用の信頼の基点(英語:Root of Trust for Reporting、略称はRTR)である。RTMは、RTMが属するネットワークデバイスに完全性測定を実行するために使用され、コアな測定用の信頼の基点(英語:Core Root of Trust for Measurement、略称はCRTM)を使用するコンピューティングコンポーネントである。CRTMは、TPMがRTMを実行するときに使用される実行コードであり、通常は基本入出力システム(英語:Basic Input Output System、略称はBIOS)に記憶される。測定情報はRTMによって生成されるので、RTMは、信頼性関連の測定情報の転送の起点として使用することができる。完全性測定は、実行中の各段階で、ネットワークデバイスのソフトウェアで実行される測定であり得る。RTSは、完全性測定および測定シーケンスを記憶するのに使用されるコンポーネントであり、ストレージおよび暗号鍵を暗号化するコンポーネントを含み得る。RTRは、計算によって報告を作成するコンポーネントであり、RTSに記憶される測定情報を信頼性の高い方法で報告することができる。RTRコンポーネントの信頼性は、署名によって保証することができる。RTM、RTS、およびRTRの3つの信頼の基点は、ネットワークデバイスのTPMおよびBIOS内に存在し得、専門家または技術者が評価を通じて、ネットワークデバイスのシステム状態が信頼性基準を満たしているかどうかを判定し得る。TPMおよびBIOSは、通常は完全に信頼できるモジュールとみなされることに留意されたい。
ネットワークデバイスのシステム信頼性の検証は具体的には、ネットワークデバイスのTPMが、システム信頼性測定情報を取得するために、システム起動プロセス、プロセス稼働状況、およびネットワークデバイスの構成ファイルなどのシステム状態に対して信頼性測定を実行することと、システム状態の信頼性検証結果を取得するために、つまりネットワークデバイスのシステム状態が信頼できるか信頼できないかの検証結果を取得するために、測定情報が信頼性基準と比較されることとを含み得る。このようにして、ユーザは検証結果を見てネットワークデバイスが信頼できるかどうかを判定し、これに基づいて、例えば、信頼できないネットワークデバイスを維持する、または信頼できるネットワークデバイスにネットワークへのアクセスを許可するなど、ネットワークデバイスの後続の動作を決定し得る。
ネットワークデバイスのシステム信頼性検証プロセスをより明確に説明するために、以下、一例として図1に示されている起動モデルを使用して、ネットワークデバイスの起動プロセスにおけるシステム信頼性検証について説明する。
起動プロセスにおいて、TPMはシステム起動プロセスにおける主要な起動ステップに対して測定を実行し、測定値を記録することが理解されよう。例えば、図1に示すように、ネットワークデバイスが測定起動を実行する特定のプロセスは、第1のステップにおいて、TPMの信頼の基点が、BIOSに信頼の基準を提供することを含み得る。第2のステップにおいて、BIOSが起動し、ハードウェアシステムを初期化し、TPMの信頼の基点を呼び出すことによって次の段階で実行されるはずのLoaderの署名がチェックされ、Loaderおよび構成情報が測定され、TPMに測定値が記録される。第3のステップにおいて、Loaderが稼働し、オペレーティングシステムの画像ファイルが配置および取得され、TPMの信頼の基点を呼び出すことによって、次の段階で実行されるオペレーティングシステムのカーネル(Kernel)の署名がチェックされ、Kernelが測定され、TPMに測定値が記録される。第4のステップにおいて、Kernelが稼働し、オペレーティングシステム、セキュリティアプリケーションなどが起動し、構成情報が測定され、TPMに測定値が記録される。前述した起動プロセスは、測定起動プロセスと称されてもよい。測定起動プロセスの特徴は、システム起動プロセスにおいて測定および測定値の記録のみが実行されて起動プロセスは干渉を受けないこと、つまり特定の起動ステップに対応する測定値が信頼できなくても起動が停止しないことである。
システム起動が完了すると、場合によりネットワークデバイスはローカル検証を実行してよい、つまりネットワークデバイスは、検証結果を取得するために、TPMにより記録された測定値に基づいて報告を作成し、信頼性検証を実行する。別の場合には、遠隔認証が実行されてよい。具体的には、ネットワークデバイスは、TPMにより記録された測定値に基づいて報告を作成し、サーバに報告を送信し、サーバは、検証結果を取得するために、受信した報告に基づいて信頼性検証を実行する。あるいはTPMが、検証結果を取得するために、作成された報告に基づいて信頼性検証を実行し、検証結果をサーバに送信する。
現在は、ローカル認証に比べて遠隔認証のほうがデバイスの完全性を集中的に監視するのが容易なため、検証されるべきネットワークデバイスの数が増加するにつれて、ネットワークデバイスのシステム信頼性の遠隔認証はより広範なシナリオに適用されている。遠隔認証とは、信頼性検証を受けるネットワークデバイスがサーバに測定情報を送信し、サーバが受信した測定情報に基づいて、信頼性検証を受けるネットワークデバイスに遠隔認証を実行することを意味することが理解されよう。例えば、遠隔認証は、一態様において、ネットワークデバイスの起動プロセスで生成された測定情報に対してサーバが遠隔認証を実行すること、別の態様において、ネットワークデバイスの実行プロセスにおけるプロセスなど、動的に変化するオブジェクトに対して動的な測定を実行するプロセスで生成された測定情報に対してサーバが遠隔認証を実行すること、さらに別の態様において、構成情報またはファイルなど、ネットワークデバイスで生成された静的データに対して静的な測定を実行するプロセスで生成された測定情報に対して、サーバが遠隔認証を実行することを含み得る。
図2に示すネットワークモデルを参照されたい。このモデルは、遠隔認証のシナリオを示す。シナリオは、認証プラットフォーム(Attest Platform)201と、認証サーバ(Attest Server)202と、プライバシー認証局(英語:certificate authority、略称はCA)203と、ユーザ204とを含む。認証プラットフォーム(Attest Platform)201は、端末、モノのインターネット(英語:Internet of Thing、略称はIoT)ゲートウェイ、ネットワーク、またはアプリケーションサーバなど、遠隔認証の実行が必要なネットワークデバイスであってよい。Attest Platform 201は、中央処理ユニット(英語:Central Processing Unit、略称はCPU)&TPM、BOIS、Kernel、およびアプリケーション(英語:application、略称はapp)の4つの部分を含み得、これらは完全性値の計算および記録に使用される。
具体的な実施に際して、Attest Platform 201は、Attest Platform 201のセキュリティ属性(例えば、ソフトウェアおよびハードウェアの完全性値、構成情報、およびノードステータス)を、チャレンジ応答相互作用メカニズムを使用して、特定のフォーマットおよび相互作用プロセスでAttest Server 202に安全に送信し得、Attest Server 202は、Attest Platform 201が信頼できるかどうかを最終的に検証するために、特定のポリシーに従って遠隔認証を実行する。加えて、遠隔認証相互作用プロセスの全体を通してデバイスおよび通信のセキュリティを保証するために、証明書メカニズム(証明書申請、証明書無効化などを含む)は、相互作用プロセスにおける証明書の検証および閲覧などの必要な動作をサポートするために、事前に配置される必要がある。具体的には、Attest Platform 201は、プライバシーCA 203から適用された証明書を使用して、Attest Platform 201により記録された完全性値を暗号化し署名する。Attest Server 202は受信した情報を解読し、Attest Platform 201の証明書が有効かどうかをチェックするために、プライバシーCA 203と相互作用する。ユーザ204は、プライバシーCA 203により外部的に発行された証明書を閲覧し、Attest Platform 201に対するAttest Server 202の遠隔認証結果を閲覧し得る。
インターネット技術特別調査委員会(英語:internet engineering task Force、略称はIETF)遠隔認証手順(英語:Remote Attestation Procedures、略称はRATS)作業部会により定義された図3に示す遠隔認証アーキテクチャが一例として使用される。加えて、定義に従って、ネットワーク構成プロトコル(英語:Network Configuration Protocol、略称はNETCONF)のチャレンジ応答方式で遠隔認証が実行され、遠隔認証についての情報は、さらに別の次世代(英語:Yet Another Next Generation、略称はYANG)データモデルを使用して記述することができる。この例に関連する説明については、draft-birkholz-rats-architecture-01およびdraft-birkholz-rats-reference-interaction-model-00の関連記述を参照できることに留意されたい。
図3に示すように、このシナリオで示す遠隔認証システム300は、認証が必要なデバイスであるAttester 301と、検証サーバであるVerifier 302と、中継デバイスであるRelying Party 303と、サプライチェーンエンティティであるAsserter 304とを含む。Attester 301は、検証が必要なデバイス、または遠隔認証システム300のアプリケーションであり、具体的にはスイッチ、ルータ、端末、パソコン(英語:personal computer、略称はPC)、IoT、アプリケーションなどであってよい。Verifier 302は具体的には遠隔認証機能を有するサーバであってよい。Relying Party(以下RPと称される)303は、例えば、ネットワーク管理デバイスであってよい。遠隔認証システム300において、RP 303は、遠隔認証の情報を交換するために、Attester 301およびVerifier 302の両方と通信し得る。サプライチェーンエンティティであるAsserter 304は、例えば、デバイス製造者のネットワークデバイスであってよい。遠隔認証を実施する具体的プロセスは、以下のステップを含んでよい。S11:Attester 301は、信頼の基点を使用して、Attester 301の全種類の完全性認証情報を計算し収集し、完全性認証情報をRP 303のための測定情報として提供する。S12:RP 303は、Attester 301により送信された遠隔認証されるべき測定情報を受信し、署名認証方式でAttester 301のアイデンティティを検証する。S13:検証が成功した後に、RP 303は、RP 303の証明書を使用して、Attester 301の遠隔認証されるべき測定情報に署名し、Verifier 302に署名された測定情報を送信する。S14:Verifier 302は、Attester 301により提供された測定情報を検証し、RP 303に検証結果を送信する。S11~S14の前に、Asserter 304は、初期デバイスIDなどの構成情報をAttester 301に提供するように構成され、Asserter 304は、Attester 301の完全性認証の基準値または標準値を有し、Asserter 304は、Verifier 302が遠隔認証を実行するための基準として使用される、基準値または標準値をVerifier 302に送信するようにさらに構成される。Attester 301は具体的には図2の認証プラットフォーム(Attest Platform)201に対応し、Verifier 302は具体的には図2の認証サーバ(Attest Server)202に対応し得ることに留意されたい。
ネットワークデバイスに対するシステム信頼性検証が信頼性の高い方法で実施されることを保証するために、遠隔認証を実行するサーバがシステムに信頼されていることを厳しく要求する必要がある。現在、ネットワークデバイスは、サーバのアイデンティティ(または、サーバおよび中継デバイスのアイデンティティ)が有効でありシステムに信頼されていることを想定している。これに基づき、遠隔認証機能を持つサーバは、ネットワークデバイス上で遠隔認証を実行する。しかしながら、システム信頼性の遠隔認証が広く適用されるのに伴い、ネットワークデバイスのシステム信頼性を遠隔で認証するのに使用される大量のサーバ(またはサーバおよび中継デバイス)がネットワークに出現し、遠隔認証機能を持つ大量のサーバ(またはサーバおよび中継デバイス)の中には、おそらく無効であったり、攻撃を受けていたり、または信頼できないサーバ(またはサーバおよび中継デバイス)がある。この場合は遠隔認証を実行するサーバ(またはサーバおよび中継デバイス)のシステム信頼性が重要になる。ネットワークデバイスが、ネットワークデバイスのシステム信頼性の測定情報を信頼できないサーバ(またはサーバおよび中継デバイス)に送信すれば、ネットワークデバイスに多大なセキュリティリスクが生じる場合がある。
これに基づき、遠隔認証を実行するサーバの数が増加しているシナリオでより信頼性の高い遠隔認証方式を提供するために、本出願の実施形態では、サーバ(またはサーバおよび中継デバイス)がシステムに信頼されていることをもはや想定していない。その代わりに、サーバ(またはサーバおよび中継デバイス)にシステム信頼性検証が実行される。サーバ(またはサーバおよび中継デバイス)が信頼できると判定された後でのみ、サーバはネットワークデバイスの測定情報を受信でき、その後、測定情報に基づいて、ネットワークデバイスのシステム信頼性を検証することができる。このようにして、ネットワークデバイスのシステム信頼性の測定情報がシステムに信頼されていないサーバによって取得されたために、ネットワークデバイスに多大なセキュリティリスクが生じるのを防止することができる。システム信頼性検証は、遠隔認証を実行しようとしているサーバ(またはサーバおよび中継デバイス)上で実行され、その結果、ネットワークデバイスのシステム信頼性検証がシステムに信頼されているサーバによって実行されることが保証され、ネットワークデバイスの遠隔認証の信頼性が高まり、ネットワークデバイスのセキュリティリスクが低減される。
本出願の実施形態では、サーバ(またはサーバおよび中継デバイス)のシステム信頼性は、MASAサービスを有し、インターネット技術特別調査委員会(英語:internet engineering task framework、略称はIETF)のブートストラッピング遠隔セキュアキー基盤(英語:Bootstrapping Remote Secure Key Infrastructures、略称はBRSKI)プロトコルで定義される、製造者によって許可された署名認証局(英語:Manufacturer Authorized Signing Authority、略称はMASA)というデバイスを利用して、ネットワークデバイスによって検証され得ることが理解されよう。したがって、本出願の実施形態における遠隔認証方法は、改善されたIETF遠隔認証手順(英語:Remote Attestation Procedures、略称はRATS)プロトコルおよびIETF BRSKIプロトコルを使用して実行され得る。
例えば、本出願の実施形態におけるシナリオでは、遠隔認証方法は、図4に示す遠隔認証システム400に適用され得る。遠隔認証システム300に含まれるAttester 301、Verifier 302、RP 303、およびAsserter 304に加えて、遠隔認証システム400は、製造者によって許可された署名認証局(英語:Manufacturer Authorized Signing Authority、略称はMASA)305を含み得る。MASA 305は、製造者により提供または認証された署名認証局であってよく、インターネット技術特別調査委員会(英語:internet engineering task framework、略称はIETF)のブートストラッピング遠隔セキュアキー基盤(英語:Bootstrapping Remote Secure Key Infrastructures、略称はBRSKI)プロトコルで定義され、例えば、コンピュータデバイスにより提供される専用サーバデバイスまたはソフトウェアサービスであってよい。MASA 305は、RP 303およびVerifier 302のアイデンティティ有効性およびシステム信頼性を検証するように構成され得る、またはRP 303およびVerifier 302のアイデンティティ有効性検証結果およびシステム信頼性検証結果を記憶し得る。
例えば、MASA 305が、RP 303およびVerifier 302のシステム信頼性を検証する能力を有する場合は、本出願のこの実施形態における遠隔認証を実施するプロセスは具体的には以下のステップを含んでよい。S21:Attester 301は、RP 303に暗号化情報を送信し、暗号化情報は、Attester 301の測定情報1を暗号化して得られた情報である。S22:RP 303は、暗号化情報およびRP 303の測定情報2をVerifier 302に送信する。S23:Verifier 302は、暗号化情報、測定情報2、およびVerifier 302の測定情報3をMASA 305に送信する。S24:MASA 305は、検証結果1を取得するために、測定情報2、および測定情報3に基づいてRP 303およびVerifier 302のシステム信頼性をそれぞれ検証する。S25:検証結果1が、RP 303およびVerifier 302の両方が信頼できることを示しているときは、MASA 305は、測定情報1を取得するために暗号化情報を解読し、測定情報1をVerifier 302に送信する。S26:Verifier 302は、検証結果2を取得するために、測定情報1に基づいて、Attester 301のシステム信頼性を検証する。S27:Verifier 302はRP 303に検証結果2を送信し、その結果、ユーザは、Verifier 302またはRP 303で、Attester 301が信頼できるかどうかをチェックする。
前述の説明の情報に加えて、S21~S23ではアイデンティティ情報が搬送され得、その結果、アイデンティティ情報を直接受信するデバイスが、送信側のアイデンティティ有効性検証を実行することに留意されたい。例えば、S22において、RP 303はVerifier 302にRP 303のアイデンティティ情報をさらに送信してよく、Verifier 302は、RP 303のアイデンティティ有効性を検証する。アイデンティティ有効性検証結果は、送信する後続のメッセージで搬送される。この場合、S25が実行されると、検証結果1はRP 303およびVerifier 302の両方が信頼できることを示し、かつアイデンティティ検証結果が、Attester 301、RP 303、およびVerifier 302のアイデンティティがすべて有効であることを示しているときは、MASA 305は測定情報1を取得するために暗号化情報を解読し、後続の検証プロセスを実行するために測定情報1をVerifier 302に送信する。
別の例では、MASA 305が、RP 303およびVerifier 302のシステム信頼性の検証結果を記憶している場合は、本出願のこの実施形態における遠隔認証を実施するプロセスは具体的には以下のステップを含む。S31:Attester 301は、RP 303およびVerifier 302のシステム信頼性をMASA 305に問合せる。S32:MASA 305は、RP 303およびVerifier 302のシステム信頼性の検証結果3をAttester 301にフィードバックする。S33:検証結果3が、RP 303およびVerifier 302がシステムに信頼されていることを示しているときは、Attester 301が、RP 303を介してAttester 301の測定情報1をVerifier 302に送信する。S34:Verifier 302は、検証結果2を取得するために、測定情報1に基づいてAttester 301のシステム信頼性を検証する。S35:Verifier 302はRP 303に検証結果2を送信し、その結果ユーザは、Verifier 302またはRP 303で、Attester 301が信頼できるかどうかをチェックする。
S31において、Attester 301、RP 303、およびVerifier 302のアイデンティティ有効性は、MASA 305からさらに問合せされ得ることに留意されたい。この場合、S32でフィードバックされた検証結果3は、RP 303およびVerifier 302のアイデンティティ有効性に関連する結果をさらに含み得る。S33が実行されると、検証結果3はRP 303およびVerifier 302の両方が信頼できることを示し、かつアイデンティティ検証結果が、Attester 301、RP 303、およびVerifier 302が有効であることを示しているときのみ、MASA 305は測定情報1を取得するために暗号化情報を解読し、後続の検証プロセスを実行するために測定情報1をVerifier 302に送信する。
本出願のこの実施形態では、RP 303およびVerifier 302は、暗号化情報を解読する能力を有していないことに留意されたい。
このシナリオでは、RP 303とVerifier 302とは同じデバイスに配置され、あるいはAttester 301は、Verifier 302とデータを直接交換し得ることに留意されたい。この場合、Attester 301は、Verifier 302(またはVerifier 302およびRP 301が属するデバイス)が、システムに信頼されている(またはシステムに信頼されかつアイデンティティに関して有効である)かどうかのみを考慮すればよい。
前述したシナリオは本出願の実施形態で提供される一シナリオ例に過ぎず、本出願の実施形態がこのシナリオに限定されないことが理解されよう。
添付の図面を参照して、以下、実施形態を使用して、本出願の実施形態における遠隔認証方法の具体的な実施態様を詳細に説明する。
いくつかの特定の実施態様では、MASAは、RPおよびVerifierのシステム信頼性をまず検証し、RPおよびVerifierの両方がシステムに信頼されていると判定されたときのみ、MASAは、Attesterの測定情報1を暗号化して得られた暗号化情報を解読する。Verifierは、測定情報1に基づいて、Attesterのシステム信頼性を検証する。これによりAttesterの遠隔認証環境の信頼性およびセキュリティが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。具体的な実施態様については、図5から図8までの以下の実施形態を参照されたい。
図5は、本出願の一実施形態による遠隔認証方法のシグナリングフローチャートである。図5に示すように、方法は、Attesterと、RPと、Verifierと、MASAとを含むネットワークに適用され、Attester、RP、およびVerifierのアイデンティティが有効であることが分かっている。方法は、以下のステップ501~ステップ509を特に含み得る。
ステップ501:Attesterは、暗号化情報を取得するために、Attesterの測定情報1を暗号化する。
ネットワーク全体が、BRSKIなどのメカニズムを使用して初期ネットワーク構成プロセスを完了しており、全デバイスが互いに安全に通信できると想定されていることが理解されよう。遠隔認証の前に、Attesterが、遠隔認証を実行するVerifierおよびRPが信頼できるかどうかを判定することはできない。セキュリティを保証するために、Attesterは、測定情報1が信頼できないVerifierまたはRPに取得されるのを防止するために、Attesterの測定情報1を暗号化して、暗号化情報をRPおよびVerifierに送信する必要がある。VerifierおよびRPがシステムに信頼されていると判定されてから、遠隔認証のために測定情報1がVerifierに送信される。VerifierおよびRPがシステムに信頼されているという判定は、MASAサービス機能を有するMASAデバイスを使用して実施され得、MASAは拡張されたBRSKIを使用して提供される。
測定情報1は、Attesterの実行プロセスで生成され、Attesterのシステム信頼性を検証するために使用される情報であり得ることが理解されよう。測定情報1は具体的には、ハードウェア完全性値、ソフトウェア完全性値、構成情報などを含み得る。ハードウェア完全性値は、Attester内のハードウェアドライバ(例えば、ブートドライバ)により生成された測定値のセットであってよい。ソフトウェア完全性値は、Attesterで稼働しているプロセスなどの動的に変化するオブジェクトにより生成される測定値のセットであってよい。構成情報は、構成情報またはファイルなどのAttesterで生成された静的なデータに、静的な測定を実行することにより生成された情報であってよい。
具体的な実施態様において、Attesterは、暗号化情報を取得するために、公開鍵を使用して測定情報1を暗号化し得る。一例では、公開鍵は、電気電子学会(英語:Institute of Electrical and Electronics Engineers、略称はIEEE)によって規定されたIEEE 802.1ARのAttesterの初期デバイスアイデンティティ(英語:Initial Device Identity、略称はIDevID)であってよく、MASAは、IDevIDを使用して、暗号化された暗号化情報を解読することができる。別の事例では、公開鍵は、MASAによって検証が必要なすべてのAttesterに割り振られ、かつ測定情報を暗号化するために使用される、公開鍵であってよい。さらに別の事例では、公開鍵はあるいは、AttesterおよびMASAによって合意されて知られており、かつ測定情報の暗号化に使用される、別の公開鍵であってよい。
VerifierおよびRPは、暗号化情報を解読する秘密鍵を知らず、暗号化情報を解読する能力がないことに留意されたい。
ステップ502:Attesterは、RPに暗号化情報を送信する。
一例では、Attesterは、暗号化情報を搬送するために遠隔認証要求を使用し、RPに遠隔認証要求を送信して、Verifierに遠隔認証要求を送信することをRPに指示し、かつRPの測定情報2をVerifierに送信することをRPに指示する。
別の例では、ステップ502の前に、RPはAttesterに対する遠隔認証要求を開始し得る。この場合、Attesterは、Verifierに遠隔認証応答メッセージを送信することをRPに指示し、かつRPの測定情報2をVerifierに送信することをRPに指示するために、暗号化情報を搬送するために遠隔認証応答メッセージを使用し、RPに遠隔認証応答メッセージを送信し得る。
ステップ503:RPは、暗号化情報およびRPの測定情報2をVerifierに送信する。
測定情報2は、RPの実行プロセスで生成されてよく、RPのシステム信頼性を検証するために使用される。測定情報2は具体的には、ハードウェア完全性値、ソフトウェア完全性値、構成情報などを含み得る。
具体的な実施態様において、暗号化情報を搬送する遠隔認証要求または遠隔認証応答メッセージを受信した後に、RPは、RPの測定情報2を搬送するために遠隔認証要求または遠隔認証応答メッセージをさらに使用し、測定情報2を暗号化情報とともにVerifierに送信し得る。測定情報2を搬送する遠隔認証要求または遠隔認証応答メッセージは、メッセージ内の暗号化情報および測定情報2を、Verifierの測定情報3とともにMASAに送信するようVerifierに指示するために使用される。
ステップ504:Verifierは、VerifierおよびRPのシステム信頼性を検証するようMASAに要求するためにMASAに要求メッセージを送信し、要求メッセージは、暗号化情報、測定情報2、およびVerifierの測定情報3を搬送する。
測定情報3は、Verifierの実行プロセスで生成されてよく、Verifierのシステム信頼性を検証するために使用される。測定情報3は具体的には、ハードウェア完全性値、ソフトウェア完全性値、構成情報などを含み得る。
具体的な実施態様において、遠隔認証要求または遠隔認証応答メッセージを受信した後に、Verifierは、暗号化情報および測定情報2を取得するために、遠隔認証要求または遠隔認証応答メッセージを解析し、暗号化情報、測定情報2、およびVerifierの測定情報3を搬送するために要求メッセージを使用し、要求メッセージをMASAに送信し得る。
場合によっては、要求メッセージは、ネットワーク構成NETCONFプロトコルによって定義された受領証要求メッセージであってよく、測定情報2および測定情報3にそれぞれ基づいて、RPおよびVerifierのシステム信頼性を検証するようMASAに指示するために使用されることが理解されよう。検証結果が、RPおよびVerifierの両方がシステムに信頼されていることを示しているときは、MASAは暗号化情報を解読し、解読した測定情報をVerifierに送信する。別の事例では、要求メッセージは、NETCONFプロトコルで新たに定義された要求メッセージであってよい。さらに別の事例では、要求メッセージは、別のプロトコル内の要求メッセージであってよい。
一例では、要求メッセージ内の暗号化情報、測定情報2、および測定情報3は、インターネット技術特別調査委員会のさらに別の次世代データモデルIETF YANG Data Modelのフォーマットを使用して記述され得る。例えば、YANGデータモデルの要求メッセージは具体的には以下の通りになり得る。
module:ietf-voucher-request
grouping voucher-request-grouping
+--voucher
+--created-on? yang:date-and-time
+--expires-on? yang:date-and-time
+--assertion? enumeration
+--serial-number string
+--idevid-issuer? binary
+--pinned-domain-cert? binary
+--domain-cert-revocation-checks? boolean
+--nonce? binary
+--last-renewal-date? yang:date-and-time
+--prior-signed-voucher-request? binary
+--proximity-registrar-cert? binary
+--encrypted-attester-trust-evidence //暗号化されたAttesterシステム信頼性検証証拠
|+--encrypted-trust-assertion binary //Attesterの暗号化された測定情報1
|+--signature binary //Attesterの署名
+--relying-party-trust-evidence //RPシステム信頼性検証証拠
|+--trust-assertion binary //RPの測定情報2
|+--signature binary //RPの署名
+--verifier-trust-evidence //Verifierシステム信頼性検証証拠
|+--trust-assertion binary //Verifierの測定情報3
|+--signature binary //Verifierの署名
前述のメッセージにおいて、enumerationは列挙を示し、stringはデータタイプがストリングであることを示し、binaryはデータタイプがバイナリであることを示し、booleanはデータタイプがブーリアン値であることを示す。
ステップ505:MASAは、検証結果1および検証結果2を取得するために、測定情報2および測定情報3に基づいてRPおよびVerifierのシステム信頼性をそれぞれ検証する。
MASAは、測定情報2内の一部の測定パラメータが基準を満たしていない、あるいは必要な測定パラメータが欠けているなどの異常事態が測定情報2内に存在するかどうかを判定し得ることが理解されよう。異常事態が存在する場合はRPがシステムに信頼されていないと判定され、異常事態が存在しない場合はRPがシステムに信頼されていると判定されてよい。判定されたシステム信頼性に基づいて、検証結果1が取得される。検証結果1は、RPのシステムが信頼できるかどうかを示すために使用される。同様に、MASAは、測定情報3内の一部の測定パラメータが基準を満たしていない、あるいは必要な測定パラメータが欠けているなどの異常事態が測定情報3内に存在するかどうかをさらに判定し得る。異常事態が存在する場合は、Verifierがシステムに信頼されていないと判定され、あるいは異常事態が存在しない場合は、Verifierがシステムに信頼されていると判定されてよい。判定されたシステム信頼性に基づいて、検証結果2が取得される。検証結果2は、Verifierのシステムが信頼できるかどうかを示すために使用される。
ステップ506:検証結果1および検証結果2が、RPおよびVerifierがシステムに信頼されていることをそれぞれ示しているときは、MASAは、測定情報1を取得するために暗号化情報を解読する。
検証結果1がRPのシステムが信頼できることを示し、検証結果2がVerifierのシステムが信頼できることを示しているときは、MASAが、Attesterに対してRPおよびVerifierによって遠隔認証を実行することは安全であり信頼できると判定することが理解されよう。つまりこの場合は、RPおよびVerifierは、Attesterに対して遠隔認証を実行するのに適格とされる。
検証結果1が、RPのシステムが信頼できないことを示している、あるいは検証結果2が、Verifierのシステムが信頼できないことを示しているときは、MASAが、RPおよびVerifierがAttesterに対して遠隔認証を実行することは安全でなく、信頼できないと判定することに留意されたい。つまりこの場合は、RPおよびVerifierは、Attesterに対して遠隔認証を実行することができない。この場合、MASAは、デバイスにこの遠隔認証の検証結果を通知するために、要求メッセージに対応する応答メッセージを使用して、Attester、RP、およびVerifierに検証結果1および検証結果2を送信し得る。
具体的な実施態様において、MASAは、測定情報1を取得するために、Attesterが測定情報1を暗号化するときに使用される公開鍵に対応する秘密鍵に基づいて暗号化情報を解読し得る。
ステップ507:MASAは、測定情報1を搬送するために応答メッセージを使用し、Verifierに応答メッセージを送信する。
要求メッセージの指示によれば、RPおよびVerifierがシステムに信頼されていると判定してから、MASAは、測定情報1を搬送するために応答メッセージを使用し、Verifierに応答メッセージを送信することが理解されよう。応答メッセージは、ステップ504の要求メッセージに応答するために使用されるメッセージであり、Attesterの測定情報1に対してシステム信頼性検証を実行するようVerifierに指示するために使用される。一例では、要求メッセージが、NETCONFプロトコルで定義された受領証要求メッセージであれば、応答メッセージは、NETCONFプロトコルで定義された受領証応答メッセージであってよい。別の事例では、要求メッセージが、NETCONFプロトコルで新たに定義された要求メッセージであれば、応答メッセージは、NETCONFプロトコルで新たに定義された要求メッセージに対応する応答メッセージであってよい。さらに別の事例では、要求メッセージが別のプロトコル内の要求メッセージであれば、応答メッセージは、別のプロトコル内の要求メッセージに対応する応答メッセージであってよい。
一例では、応答メッセージ内の測定情報1は、インターネット技術特別調査委員会のさらに別の次世代データモデル(IETF YANG Data Model)のフォーマットを使用して記述されてもよい。例えば、YANGデータモデルの応答メッセージは具体的には以下の通りになり得る。
module:ietf-voucher-response
grouping voucher-response-grouping
+--voucher
+--created-on? yang:date-and-time
+--expires-on? yang:date-and-time
+--assertion? enumeration
+--serial-number string
+--idevid-issuer? binary
+--pinned-domain-cert? binary
+--domain-cert-revocation-checks? boolean
+--nonce? binary
+--last-renewal-date? yang:date-and-time
+--prior-signed-voucher-request? binary
+--proximity-registrar-cert? binary
+--attester-trust-assertion binary //解読されたAttesterの測定情報1
応答メッセージは、RPおよびVerifierのシステムが信頼できることをRPおよびVerifierに通知する、RPおよびVerifierのシステム信頼性検証結果をさらに含み得ることに留意されたい。
ステップ508:Verifierは、検証結果3を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
Verifierは、測定情報1内の一部の測定パラメータが基準を満たしていない、あるいは必要な測定パラメータが欠けているなどの異常事態が測定情報1内に存在するかどうかを判定し得ることが理解されよう。異常事態が存在する場合は、Attesterがシステムに信頼されていないと判定され、あるいは異常事態が存在しない場合は、Attesterがシステムに信頼されていると判定されてよい。判定されたシステム信頼性に基づいて、検証結果3が取得される。検証結果3は、Attesterのシステムが信頼できるかどうかを示すために使用される。
ステップ509:Verifierは、RPに検証結果3を送信する。
例えば、Verifierは、検証結果3を搬送するために応答メッセージを使用し、RPに応答メッセージを送信して、Attesterのリソース管理またはネットワークアクセス制御などのAttesterに対する処理を実行するようRPに指示してよい。
ユーザは、VerifierまたはRPを使用してAttesterのシステム信頼性をチェックし得ることが理解されよう。Attesterのシステム信頼性の検証結果は、Attesterにネットワークへのアクセスを許可するかどうかを判定するために使用される。言い換えれば、Attesterがネットワークにアクセスするための必要条件は、Attesterのシステムが信頼できることである。Attesterのシステムが信頼できると判定されたときのみ、Attesterのネットワークへのアクセスを許可することができる。
ステップ509の後で、RPは、Attesterがシステムに信頼されたかどうかをAttesterに直接通知するために、Attesterに検証結果3を送信してよいことに留意されたい。
Attester、RP、Verifier、およびMASAが含まれ、Attester、RP、およびVerifierのアイデンティティが有効なことが分かっているシナリオでは、Attesterのシステム信頼性の測定情報が、システムに信頼されていないRPおよびVerifierによって取得されるために生じる、Attesterの多大なセキュリティリスクが回避されることが分かる。MASAは、RPおよびVerifierのシステム信頼性をまず検証し、RPおよびVerifierがシステムに信頼されていると判定されたときのみ、解読したAttesterの測定情報1をシステム信頼性検証用のVerifierに送信する。これによりAttesterの遠隔認証環境が信頼できかつ安全であることが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。
ネットワークがAttester、RP、Verifier、およびMASAを含み、Attester、RP、およびVerifierのアイデンティティ有効性が不明であることが想定される。この場合、本出願の実施形態は、別の遠隔認証方法をさらに提供する。図6Aおよび図6Bに示すように、方法は具体的に以下のステップ601~ステップ612を含み得る。
ステップ601:Attesterは、暗号化情報を取得するために、Attesterの測定情報1を暗号化する。
ステップ602:Attesterは、暗号化情報およびAttesterのアイデンティティ情報1をRPに送信する。
ステップ603:RPは、アイデンティティ情報1に基づいてAttesterのアイデンティティ有効性を検証する。
ステップ604:Attesterのアイデンティティが有効と判定された場合、RPは、暗号化情報、RPの測定情報2、およびRPのアイデンティティ情報2をVerifierに送信する。
ステップ605:Verifierは、アイデンティティ情報2に基づいてRPのアイデンティティ有効性を検証する。
ステップ606:RPのアイデンティティが有効と判定された場合、Verifierは、MASAに要求メッセージを送信して、VerifierおよびRPのシステム信頼性を検証するようMASAに要求する。要求メッセージは、暗号化情報、測定情報2、Verifierの測定情報3、およびVerifierのアイデンティティ情報3を搬送する。
ステップ607:MASAは、アイデンティティ情報3に基づいてVerifierのアイデンティティ有効性を検証する。
ステップ608:Verifierのアイデンティティが有効と判定された場合、MASAは、検証結果1および検証結果2を取得するために、測定情報2および測定情報3に基づいてRPおよびVerifierのシステム信頼性をそれぞれ検証する。
ステップ609:検証結果1および検証結果2が、RPおよびVerifierがシステムに信頼されていることをそれぞれ示しているときは、MASAは、測定情報1を取得するために暗号化情報を解読する。
ステップ610:MASAは、測定情報1を搬送するために応答メッセージを使用し、Verifierに応答メッセージを送信する。
ステップ611:Verifierは、検証結果3を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
ステップ612:Verifierは、RPに検証結果3を送信する。
アイデンティティ情報1は、Attesterのアイデンティティ有効性を検証するために使用される関連情報であることが理解されよう。アイデンティティ情報2は、RPのアイデンティティ有効性を検証するために使用される関連情報である。アイデンティティ情報3は、Verifierのアイデンティティ有効性を検証するために使用される関連情報である。Attesterのアイデンティティ有効性はRPによって検証され得、RPのアイデンティティ有効性はVerifierによって検証され得、Verifierのアイデンティティ有効性はMASAによって検証され得る。あるいは、Attester、RP、およびVerifierのアイデンティティ有効性がすべてMASAによって検証されて得る。
暗号化情報の具体的な実施態様および関連する説明では、前述したステップ601~ステップ612の測定情報、検証結果、システム信頼性検証などは、図5に示す実施形態の関連する説明を参照していることに留意されたい。
Attester、RP、Verifier、およびMASAが含まれるシナリオにおいて、Attesterのシステム信頼性の測定情報が、システムに信頼されていない、または無効なRPおよびVerifierによって取得されるために生じる、Attesterの多大なセキュリティリスクが回避されることが分かる。Attester、RP、およびVerifierのアイデンティティ有効性がまず検証され、MASAは、RPおよびVerifierのシステム信頼性を検証し、RPおよびVerifierがシステムに信頼されていると判定されたときのみ、解読したAttesterの測定情報1をシステム信頼性検証用のVerifierに送信する。これによりAttesterの遠隔認証環境が信頼できかつ安全であることが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。
遠隔で認証される必要があるネットワークでは、RPとVerifierとが同じデバイスに配置される、あるいはAttesterがVerifierと直接相互作用することが想定される。この場合、図7に示すように、本出願の実施形態は別の遠隔認証方法をさらに提供する。実際のネットワークアーキテクチャに基づき、図7のVerifierは、前述の実施形態におけるRPおよびVerifierの機能が配置されるデバイスであってよく、Attesterと直接相互作用するVerifierであってもよい。この方法では、VerifierおよびAttesterのアイデンティティは有効と想定されている。方法は具体的には以下のステップ701~ステップ707を含み得る。
ステップ701:Attesterは、暗号化情報を取得するために、Attesterの測定情報1を暗号化する。
ステップ702:Attesterは、Verifierに暗号化情報を送信する。
ステップ703:Verifierは、暗号化情報およびVerifierの測定情報3を搬送するために要求メッセージを使用し、MASAに要求メッセージを送信する。
ステップ704:MASAは、検証結果2を取得するために、測定情報3に基づいてVerifierのシステム信頼性を検証する。
ステップ705:検証結果2が、Verifierがシステムに信頼されていることを示しているときは、MASAは、測定情報1を取得するために暗号化情報を解読する。
ステップ706:MASAは、測定情報1を搬送するために応答メッセージを使用し、Verifierに応答メッセージを送信する。
ステップ707:Verifierは、検証結果3を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
暗号化情報の具体的な実施態様および関連する説明では、前述したステップ701~ステップ707の測定情報、検証結果、システム信頼性検証などは、図5に示す実施形態の関連する説明を参照していることに留意されたい。
本出願のこの実施形態では、VerifierおよびAttesterのアイデンティティが有効と想定されていることに留意されたい。VerifierおよびAttesterのアイデンティティが有効かどうか判定されていないときの具体的な実施態様および関連する説明については、図6Aおよび図6Bに示す実施形態の関連する説明を参照されたい。詳細はここでは再び記載されない。
Attester、Verifier、およびMASAが含まれるシナリオにおいて、Attesterのシステム信頼性の測定情報が、システムに信頼されていない、または無効なVerifierによって取得されるために生じる、Attesterの多大なセキュリティリスクが回避されることが分かる。MASAは、Verifierのシステム信頼性をまず検証し、検証が成功したときのみ、解読したAttesterの測定情報1をシステム信頼性検証用のVerifierに送信する。これによりAttesterの遠隔認証環境が信頼できかつ安全であることが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。
遠隔で認証される必要があるネットワークでは、MASAとVerifierとが同じデバイスに配置されることが想定され、デバイスはMASA&Verifierとして示される。この場合、図8に示すように、本出願の実施形態は別の遠隔認証方法をさらに提供する。この方法では、RPおよびAttesterのアイデンティティは有効と想定されている。方法は具体的には以下のステップ801~ステップ807を含み得る。
ステップ801:Attesterは、暗号化情報を取得するために、Attesterの測定情報1を暗号化する。
ステップ802:Attesterは、RPに暗号化情報を送信する。
ステップ803:Verifierは、暗号化情報およびRPの測定情報2を搬送するために要求メッセージを使用し、MASA&Verifierに要求メッセージを送信する。
ステップ804:MASA&Verifierは、検証結果1を取得するために、測定情報2に基づいてRPのシステム信頼性を検証する。
ステップ805:検証結果1が、RPがシステムに信頼されていることを示しているときは、MASA&Verifierは、測定情報1を取得するために暗号化情報を解読する。
ステップ806:MASA&Verifierは、検証結果3を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
ステップ807:MASA&Verifierは、検証結果3を搬送するために応答メッセージを使用し、RPに応答メッセージを送信する。
暗号化情報の具体的な実施態様および関連する説明では、前述したステップ801~ステップ807の測定情報、検証結果、システム信頼性検証などは、図5に示す実施形態の関連する説明を参照していることに留意されたい。
本出願のこの実施形態では、RPおよびAttesterのアイデンティティが有効と想定されていることに留意されたい。RPおよびAttesterのアイデンティティが有効かどうか判定されていないときの具体的な実施態様および関連する説明については、図6Aおよび図6Bに示す実施形態の関連する説明を参照されたい。詳細はここでは再び記載されない。
Attester、RP、ならびにMASA&Verifierの3つのネットワークデバイスが含まれるシナリオにおいて、Attesterのシステム信頼性の測定情報が、システムに信頼されていない、または無効なRPによって取得されるために生じる、Attesterの多大なセキュリティリスクが回避されることが分かる。MASA&Verifierは、RPのシステム信頼性をまず検証し、検証が成功したときのみ、解読したAttesterの測定情報1をシステム信頼性検証用のRPに送信する。これによりAttesterの遠隔認証環境が信頼できかつ安全であることが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。
いくつかの他の具体的な実施態様では、MASAは、RPおよびVerifierのシステム信頼性検証結果を記憶する。Attesterが測定情報1を送信する前に、Attesterは、RPおよびVerifierのシステム信頼性検証結果をMASAにまず問合せる。RPおよびVerifierの両方がシステムに信頼されていると判定されたときのみ、Attesterは測定情報1をVerifierに送信し、次にVerifierが、測定情報1に基づいてAttesterのシステム信頼性を検証する。これによりAttesterの遠隔認証環境が信頼できかつ安全であることが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。具体的な実施態様については、図9から図12の以下の実施形態を参照されたい。
図9は、本出願の一実施形態による、さらに別の遠隔認証方法のシグナリングフローチャートである。図9に示すように、方法は、Attesterと、RPと、Verifierと、MASAとを含むネットワークに適用され、Attester、RP、およびVerifierのアイデンティティが有効であることが分かっている。方法は具体的には以下のステップ901~ステップ906を含み得る。
ステップ901:Attesterは、VerifierおよびRPのシステム信頼性をMASAに問合せるために、MASAに問合せ要求メッセージを送信する。
Attesterがネットワークにアクセスする前に、MASAはRPおよびVerifierのシステム信頼性をまず検証し、検証結果を記録し得ることが理解されよう。一例では、ステップ901の前に、MASAは、RPおよびVerifierに対してシステム信頼性検証を個別に開始し得る。RPは、MASAに測定情報2を送信する。MASAは測定情報2に基づいてRPのシステム信頼性を検証し、検証結果2を取得し記録する。同様に、Verifierは測定情報3をMASAに送信し、MASAは、測定情報3に基づいてVerifierのシステム信頼性を検証し、検証結果3を取得し記録する。別の例では、ステップ901の前に、RPはMASAに測定情報2を能動的に送信してよく、MASAは測定情報2に基づいてRPのシステム信頼性を検証して、検証結果2を得て記録し、同様に、VerifierはMASAに測定情報3を能動的に送信してよく、MASAは測定情報3に基づいてVerifierのシステム信頼性を検証して、検証結果3を得て記録する。これによりAttesterに、RPおよびVerifierのシステム信頼性をチェックするためのデータ基準が設けられる。
具体的な実施態様において、Attesterがネットワークにアクセスすることが必要なときは、Attesterは、RPおよびVerifierのシステム信頼性をMASAに直接問合せてよい。あるいは、RPがAttesterに遠隔認証を開始するとき、つまりAttesterが、RPにより送信された遠隔認証要求メッセージを受信するとき、Attesterは、RPおよびVerifierのシステム信頼性をMASAに問合せる。
問合せ要求メッセージを受信した後、MASAは問合せ要求メッセージの指示に従って、MASAに記憶されている、RPおよびVerifierに対するシステム信頼性検証の検証結果を検索する。一例では、MASAは、RPの検証結果2およびVerifierの検証結果3を問合せ結果として直接使用してよい。別の例では、MASAは、RPの検証結果2およびVerifierの検証結果3をチェックし、検証結果を分析し、分析によって判定されたシステム信頼性結果を問合せ結果として使用し、例えば、「信頼できるRPシステム」を問合せ結果として使用する。
ステップ902:MASAは、問合せ結果を搬送する問合せフィードバックメッセージをAttesterに返す。
ステップ903:Attesterにより受信された問合せ結果が、RPおよびVerifierがシステムに信頼されていることを示しているときは、AttesterはRPに測定情報1を送信する。
ステップ904:RPはVerifierに測定情報1を送信する。
具体的な実施態様では、MASAによりフィードバックされた問合せフィードバックメッセージを受信すると、Attesterは、解析によって問合せ結果を取得し得る。この場合、問合せ結果は検証結果1および検証結果3を含む。この状況では、Attesterは、RPがシステムに信頼されているかどうかを判定するために検証結果2を分析し、Verifierがシステムに信頼されているかどうかを判定するために検証結果3を分析し得る。別の事例では、問合せ結果は、RPおよびVerifierのシステム信頼性の結果を含み得る。この状況では、Attesterは、RPおよびVerifierがシステムに信頼されているかどうかを問合せ結果から直接判定してよい。VerifierおよびRPの両方がシステムに信頼されているときは、AttesterはAttesterの遠隔認証環境が安全と判定する。この場合は、Attesterは、RPを介してAttesterの測定情報1をVerifierに送信してよい。VerifierおよびRPのうちの少なくとも1つがシステムに信頼されなくなると、Attesterは、Attesterの遠隔認証環境が安全ではないと判定し、したがってRPおよびVerifierは遠隔認証に使用されない。
測定情報1は、遠隔認証要求で搬送されVerifierに送信されてよく、あるいはステップ901の前にRPがAttesterに遠隔認証要求を開始するときは、測定情報1は遠隔認証応答メッセージで搬送されVerifierに送信されてよいことが理解されよう。
ステップ905:Verifierは、検証結果3を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
ステップ906:Verifierは、RPに検証結果3を送信する。
例えば、Verifierは、検証結果3を搬送するために遠隔認証応答メッセージを使用してよく、Attesterのリソース管理またはネットワークアクセス制御などのAttesterに対する処理を実行するようRPに指示するために、RPに遠隔認証応答メッセージを送信してよい。
ユーザは、VerifierまたはRPを使用してAttesterのシステム信頼性をチェックし得ることが理解されよう。あるいは、ステップ906の後で、RPは、Attesterがシステムに信頼されたかどうかをAttesterに直接通知するために、Attesterに検証結果3を送信してよい。
本出願のこの実施形態におけるステップ901~ステップ906の具体的な実施態様および関連する説明については、図5に示す実施形態の関連する説明を参照できることに留意されたい。
Attester、RP、Verifier、およびMASAが含まれ、Attester、RP、およびVerifierのアイデンティティが有効なことが分かっているシナリオでは、Attesterのシステム信頼性の測定情報が、システムに信頼されていないRPおよびVerifierによって取得されるために生じる、Attesterの多大なセキュリティリスクが回避されることが分かる。Attesterは、MASAにRPおよびVerifierのシステム信頼性をまず問合せ、RPおよびVerifierがシステムに信頼されていると判定されたときのみ、システム信頼性検証用のVerifierにAttesterの測定情報1を送信する。これによりAttesterの遠隔認証環境が信頼できかつ安全であることが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。
ネットワークがAttester、RP、Verifier、およびMASAを含み、Attester、RP、およびVerifierのアイデンティティ有効性が不明であることが想定される。この場合、本出願の実施形態は、別の遠隔認証方法をさらに提供する。図10に示すように、方法は具体的には以下のステップ1001~ステップ1006を含み得る。
ステップ1001:Attesterは、VerifierおよびRPのシステム信頼性、ならびにAttester、RP、およびVerifierのアイデンティティ有効性をMASAに問合せるために、MASAに問合せ要求メッセージを送信する。
Attesterがネットワークにアクセスする前に、MASAはRPおよびVerifierのシステム信頼性をまず検証し、Attester、RP、およびVerifierのアイデンティティ有効性を検証することが理解されよう。例えば、ステップ901の前に、MASAは、Attester、RP、およびVerifierに対してアイデンティティ有効性検証を個別に開始し得る。AttesterはMASAにアイデンティティ情報1を送信し、MASAはアイデンティティ情報1に基づいてAttesterのアイデンティティ有効性を検証し、Attesterが有効かどうかを記録する。同様に、RPはMASAにアイデンティティ情報2を送信し、MASAはアイデンティティ情報2に基づいてRPのアイデンティティ有効性を検証し、RPが有効かどうかを記録する。VerifierはMASAにアイデンティティ情報3を送信し、MASAはアイデンティティ情報3に基づいてVerifierのアイデンティティ有効性を検証し、Verifierが有効かどうかを記録する。別の例では、ステップ901の前に、Attester、RP、およびVerifierは、Attester、RP、およびVerifierに対応するアイデンティティ情報をMASAに能動的に送信してよく、MASAはアイデンティティ情報に基づいて各デバイスのアイデンティティ有効性を検証し、デバイスが有効かどうかを記録する。なお、システム信頼性検証については、ステップ601の関連する説明を参照できることに留意されたい。これにより、RPおよびVerifierのシステム信頼性、ならびにAttester、RP、およびVerifierのアイデンティティ有効性を問合せるためのAttesterに対するデータ基準が設けられる。
ステップ1002:MASAは、問合せ結果を搬送する問合せフィードバックメッセージをAttesterに返す。
問合せ結果は、RPおよびVerifierのシステム信頼性検証結果、ならびにAttester、RP、およびVerifierのアイデンティティ有効性検証結果を含むことが理解されよう。
ステップ1003:Attesterにより受信された問合せ結果が、RPおよびVerifierがシステムに信頼され、Attester、RP、およびVerifierのアイデンティティが有効であることを示しているときは、AttesterはRPに測定情報1を送信する。
ステップ1004:RPはVerifierに測定情報1を送信する。
ステップ1005:Verifierは、検証結果3を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
ステップ1006:VerifierはRPに検証結果3を送信する。
ステップ1001~ステップ1006における測定情報、アイデンティティ情報、検証結果、システム信頼性検証などの具体的な実施態様および関連する説明については、図9、ならびに図6Aおよび図6Bに示す実施形態の関連する説明を参照できることに留意されたい。
Attester、RP、Verifier、およびMASAが含まれるシナリオにおいて、Attesterのシステム信頼性の測定情報が、システムに信頼されていない、または無効なRPおよびVerifierによって取得されるために生じる、Attesterの多大なセキュリティリスクが回避されることが分かる。Attester、RP、およびVerifierのアイデンティティ有効性、ならびにRPおよびVerifierのシステム信頼性がまず問合せされ、Attesterは、RPおよびVerifierがシステムに信頼され、Attester、RP、およびVerifierのアイデンティティ有効性が有効と判定されたときのみ、システム信頼性検証用のVerifierに測定情報1を送信する。これによりAttesterの遠隔認証環境が信頼できかつ安全であることが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。
遠隔で認証される必要があるネットワークでは、RPとVerifierとが同じデバイスに配置される、あるいはAttesterがVerifierと直接相互作用することが想定される。この場合、図11に示すように、本出願の実施形態は別の遠隔認証方法をさらに提供する。実際のネットワークアーキテクチャに基づき、図11のVerifierは、前述の実施形態におけるRPおよびVerifierの機能が配置されるデバイスであってよく、Attesterと直接相互作用するVerifierであってもよい。この方法では、VerifierおよびAttesterのアイデンティティは有効と想定されている。方法は具体的には以下のステップ1101~ステップ1104を含み得る。
ステップ1101:Attesterは、Verifierのシステム信頼性をMASAに問合せるために、MASAに問合せ要求メッセージを送信する。
ステップ1102:MASAは、問合せ結果を搬送する問合せフィードバックメッセージをAttesterに返す。
問合せ結果は、Verifierのシステム信頼性検証結果を含むことが理解されよう。
ステップ1103:Attesterにより受信された問合せ結果が、Verifierがシステムに信頼されていることを示しているときは、AttesterはVerifierに測定情報1を送信する。
ステップ1104:Verifierは、検証結果3を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
ステップ1101~ステップ1104における測定情報、検証結果、システム信頼性検証などの具体的な実施態様および関連する説明については、図7および図9に示す実施形態の関連する説明を参照できることに留意されたい。
本出願のこの実施形態では、VerifierおよびAttesterのアイデンティティが有効と想定されていることに留意されたい。VerifierおよびAttesterのアイデンティティが有効かどうか判定されていないときの具体的な実施態様および関連する説明については、図10に示す実施形態の関連する説明を参照されたい。詳細はここでは再び記載されない。
Attester、Verifier、およびMASAが含まれるシナリオにおいて、Attesterのシステム信頼性の測定情報が、システムに信頼されていないVerifierによって取得されるために生じる、Attesterの多大なセキュリティリスクが回避されることが分かる。Attesterは、MASAにVerifierのシステム信頼性をまず問合せ、Verifierがシステムに信頼されていると判定されたときのみ、Attesterの測定情報1をシステム信頼性検証用のVerifierに送信する。これによりAttesterの遠隔認証環境が信頼できかつ安全であることが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。
遠隔で認証される必要があるネットワークでは、MASAとVerifierとが同じデバイスに配置されることが想定され、デバイスはMASA&Verifierとして示される。この場合、図12に示すように、本出願の実施形態は別の遠隔認証方法をさらに提供する。この方法では、RPおよびAttesterのアイデンティティは有効と想定されている。方法は具体的には以下のステップ1201~ステップ1206を含み得る。
ステップ1201:Attesterは、RPのシステム信頼性をMASA&Verifierに問合せるために、MASA&Verifierに問合せ要求メッセージを送信する。
ステップ1202:MASA&Verifierは、問合せ結果を搬送する問合せフィードバックメッセージをAttesterに返す。
問合せ結果は、RPのシステム信頼性検証結果を含むことが理解されよう。
ステップ1203:Attesterにより受信された問合せ結果が、RPがシステムに信頼されていることを示しているときは、AttesterはRPに測定情報1を送信する。
ステップ1204:RPは、MASA&Verifierに測定情報1を送信する。
ステップ1205:MASA&Verifierは、検証結果3を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
ステップ1206:MASA&Verifierは、RPに検証結果3を送信する。
ステップ1201~ステップ1206における測定情報、検証結果、システム信頼性検証などの具体的な実施態様および関連する説明については、図8および図9に示す実施形態の関連する説明を参照できることに留意されたい。
本出願のこの実施形態では、RPおよびAttesterのアイデンティティが有効と想定されていることに留意されたい。RPおよびAttesterのアイデンティティが有効かどうか判定されていないときの具体的な実施態様および関連する説明については、図10に示す実施形態の関連する説明を参照されたい。詳細はここでは再び記載されない。
Attester、RP、ならびにMASA&Verifierの3つのネットワークデバイスが含まれるシナリオにおいて、Attesterのシステム信頼性の測定情報が、システムに信頼されていないRPによって取得されるために生じる、Attesterの多大なセキュリティリスクが回避されることが分かる。MASA&Verifierは、RPのシステム信頼性をまず検証し、検証が成功したときのみ、解読したAttesterの測定情報1をシステム信頼性検証用のVerifierに送信する。これによりAttesterの遠隔認証環境が信頼できかつ安全であることが保証され、Attesterの遠隔認証の信頼性が高まり、Attesterのセキュリティリスクが小さくなる。
図4に示すシナリオに基づき、図13Aから図15Bを参照しながら、BRSKIプロトコルフレームワークの本出願の実施形態で提供される、遠隔認証方法のいくつかの具体的な実施態様が説明される。Attesterが初めてネットワークにアクセスする前に、少なくとも、BRSKIに基づくアイデンティティ有効性検証が成功し、遠隔認証ネットワークデバイスのシステムが信頼されるという要件が満たされる必要がある。これを実施することにより、BRSKIプロトコルに対する影響を小さくしながら安全な遠隔認証が達成される。
具体的な実施に際しては、図13Aおよび図13Bに示すように、この実施形態では、RPおよび登録デバイス(Register)は同じデバイスに配置され、デバイスはRP&Registerとして示される。この実施形態は以下のステップを含んでよい。
ステップ1301:Attesterが初めてネットワークにアクセスし、BRSKIプロトコル手順を実行する。
ステップ1302:BRSKIプロトコル手順に従って、AttesterがRegisterを自動的に発見し、AttesterのIDevID証明書を使用してネットワークアクセス認証を実行し、登録(enrollment)手順を実行する。
ステップ1303:RP&Registerは、Attesterに遠隔認証要求メッセージを送信する。
ステップ1304:Attesterは、暗号化情報を取得するために、AttesterのIDevIDに対応する公開鍵を使用して測定情報1を暗号化する。
ステップ1305:Attesterは、暗号化情報およびAttesterのIDevID証明書を搬送する遠隔認証応答メッセージをRP&Registerに送信する。
ステップ1303~ステップ1305は、拡張されたBRSKIプロトコルに対応するステップである。
ステップ1306:RP&Registerは、検証のためにRP&Registerの証明書をMASAに提供する。
ステップ1307:MASAは、認証結果の受領証(Voucher)、および監査ログなどの情報をRP&Registerに返す。
ステップ1308:RP&RegisterはVoucherなどの情報をAttesterに転送し、その結果、Attesterは情報に基づいて、RP&Registerのアイデンティティ有効性を検証する。
ステップ1306~ステップ1308は具体的には、RP&Registerのアイデンティティ有効性をBRSKIプロセスで検証するプロセスであり得る。
ステップ1309:RP&Registerは、暗号化情報およびRP&Registerの測定情報2をVerifierに送信する。
ステップ1309の情報は具体的にはRATSプロトコルを使用して転送され得ることが理解されよう。
ステップ1310:Verifierは、暗号化情報、測定情報2、およびVerifierの測定情報3、ならびにVerifierのアイデンティティ証明書を搬送するために要求メッセージを使用し、MASAに要求メッセージを送信する。
ステップ1311:MASAは、Verifierの測定情報2および測定情報3に基づいてRP&RegisterおよびVerifierのシステム信頼性をそれぞれ検証し、Verifierのアイデンティティ有効性を検証する。
ステップ1312:RP&RegisterおよびVerifierのシステムが信頼でき、Verifierのアイデンティティが有効と判定されると、MASAは測定情報1を取得するために暗号化情報を解読する。
ステップ1313:MASAは、測定情報1を搬送するために応答メッセージを使用し、Verifierに応答メッセージを送信する。
ステップ1314:Verifierは、検証結果を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
ステップ1315:Verifierは、Attesterのシステム信頼性の検証結果をRP&Registerに送信する。
ステップ1316:RP&Registerは、Attester、RP&Register、およびVerifierのアイデンティティ有効性検証結果と、Attester、RP&Register、およびVerifierのシステム信頼性検証結果とをAttesterに送信する。
前述した遠隔認証が実行された後は、Attesterは、VerifierおよびRP&Registerがシステムに信頼され、アイデンティティに関して有効と判定してよいことに留意されたい。この場合、続いて遠隔認証が必要とされるときは、RP&Registerを介してVerifierに測定情報が直接送信されてよく、Verifierは、迅速かつ安全にAttesterのシステム信頼性を検証する。
いくつかの実施態様では、Attesterは、ネットワークリソースを節約し検証手順を簡単にするために、ステップ1316においてRP&Registerのアイデンティティ有効性検証結果およびシステム信頼性検証結果を受信するので、元のBRSKI手順における、ステップ1306からステップ1309に対応するRP&Registerのアイデンティティ有効性を検証するプロセスは実行されない場合があることに留意されたい。
ステップ1306~1309、およびステップ1310~1316を実行する特定の順序は存在しないことに留意されたい。通常は、ステップは前述した順序で実行される。しかしながら、ネットワークリソースを節約するために、BRSKIに基づくアイデンティティ有効性検証がまず行われ、検証が成功したときのみ遠隔認証ネットワークデバイスのシステム信頼性検証が行われ、検証が失敗すると、ネットワークデバイスがネットワークにアクセスするのを直接防止するために、遠隔認証は実行されない場合がある。他の事例では、遠隔認証ネットワークデバイスのシステム信頼性検証が最初に行われてよく、検証結果がネットワークデバイスのシステムが信頼できることを示しているときのみ、BRSKIに基づくアイデンティティ有効性検証が行われ、システムが信頼できないときは、ネットワークデバイスがネットワークにアクセスするのを直接防止するために、BRSKIに基づくアイデンティティ有効性検証は行われない場合がある。さらに他の事例では、遠隔認証ネットワークデバイスのBRSKIに基づくアイデンティティ有効性検証およびシステム信頼性検証が両方とも行われ得る。ネットワークデバイスは、両方の検証が成功したときのみネットワークへのアクセスを許可される。
ステップ1310~ステップ1316は、Attesterの遠隔認証プロセスに対応することに留意されたい。具体的な実施態様については、本出願の図5から図12に対応する実施形態の関連する説明を参照されたい。
この実施形態では、遠隔認証方法がBRSKIプロトコル手順と組合され、Attesterが初めてネットワークにアクセスする具体的なプロセスが示されていることが分かる。本出願のこの実施形態で提供される遠隔認証方法により、Attesterの遠隔認証がより正確になることを可能にでき、したがってAttesterが初めてネットワークにアクセスする際の信頼性を高めることができる。
具体的な実施に際しては、RPとVerifierとが同じデバイスに配置される、あるいはAttesterがVerifierと直接相互作用することが想定される。この場合、図14Aおよび図14Bに示すように、実際のネットワークアーキテクチャに基づき、図14Aおよび図14BのVerifierは、前述の実施形態におけるRPおよびVerifierの機能が配置されるデバイスであってよく、あるいはAttesterと直接相互作用するVerifierであってよい。Verifierと登録デバイス(Register)とは同じデバイスに配置され、デバイスはVerifier&Registerと称される。
図14Aおよび図14Bに示すように、本出願の実施形態は別の遠隔認証方法をさらに提供する。方法では、VerifierおよびAttesterのアイデンティティは有効と想定されている。方法は具体的には以下のステップを含んでよい。
ステップ1401:Attesterが初めてネットワークにアクセスし、BRSKIプロトコル手順を実行する。
ステップ1402:BRSKIプロトコル手順に従って、AttesterがRegisterを自動的に発見し、AttesterのIDevID証明書を使用してネットワークアクセス認証を実行し、登録(enrollment)手順を実行する。
ステップ1403:Verifier&Registerは、Attesterに遠隔認証要求メッセージを送信する。
ステップ1404:Attesterは、暗号化情報を取得するために、AttesterのIDevIDに対応する公開鍵を使用して測定情報1を暗号化する。
ステップ1405:Attesterは、暗号化情報およびAttesterのIDevID証明書を搬送する遠隔認証応答メッセージをVerifier&Registerに送信する。
ステップ1403~ステップ1405は、拡張されたBRSKIプロトコルに対応するステップである。
ステップ1406:Verifier&Registerは、検証のためにVerifier&Registerの証明書をMASAに提供する。
ステップ1407:MASAは、認証結果の受領証(Voucher)、および監査ログなどの情報をVerifier&Registerに返す。
ステップ1408:Verifier&RegisterはVoucherなどの情報をAttesterに転送し、その結果、Attesterは情報に基づいて、Verifier&Registerのアイデンティティ有効性を検証する。
ステップ1406~ステップ1408は具体的には、Verifier&Registerのアイデンティティ有効性をBRSKIプロセスで検証するプロセスであってよい。
ステップ1409:Verifier&Registerは、暗号化情報、Verifier&Registerの測定情報3、およびVerifier&Registerのアイデンティティ証明書とを搬送するために要求メッセージを使用し、MASAに要求メッセージを送信する。
ステップ1410:MASAは、測定情報3に基づいてVerifier&Registerのシステム信頼性を検証し、Verifier&Registerアイデンティティ有効性を検証する。
ステップ1411:Verifier&Registerのシステムが信頼でき、Verifier&Registerのアイデンティティが有効と判定されると、MASAは測定情報1を取得するために暗号化情報を解読する。
ステップ1412:MASAは、測定情報1を搬送するために応答メッセージを使用し、Verifier&Registerに応答メッセージを送信する。
ステップ1413:Verifier&Registerは、検証結果を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
ステップ1414:Verifier&Registerは、AttesterおよびVerifier&Registerのアイデンティティ有効性検証結果と、AttesterおよびVerifier&Registerのシステム信頼性検証結果とをAttesterに送信する。
前述した遠隔認証が実行された後は、Attesterは、Verifier&Registerがシステムに信頼され、アイデンティティに関して有効と判定してよいことに留意されたい。この場合、続いて遠隔認証が必要とされるときは、Verifier&Registerに測定情報が直接送信されてよく、Verifier&Registerは、迅速かつ安全にAttesterのシステム信頼性を検証する。
いくつかの実施態様では、Attesterは、ネットワークリソースを節約し検証手順を簡単にするために、ステップ1414においてVerifier&Registerのアイデンティティ有効性検証結果およびシステム信頼性検証結果を受信するので、元のBRSKI手順における、ステップ1406からステップ1408に対応するVerifier&Registerのアイデンティティ有効性を検証するプロセスは実行されない場合があることに留意されたい。
この実施形態では、遠隔認証方法がBRSKIプロトコル手順と組合され、Attesterが初めてネットワークにアクセスする具体的なプロセスが示されていることが分かる。本出願のこの実施形態で提供される遠隔認証方法により、Attesterの遠隔認証がより正確になることを可能にでき、したがってAttesterが初めてネットワークにアクセスする際の信頼性を高めることができる。
具体的な実施に際しては、MASAとVerifierとが同じデバイスに配置されることが想定され、デバイスはMASA&Verifierとして示される。この場合、図15Aおよび図15Bに示すように、本出願の実施形態は別の遠隔認証方法をさらに提供する。方法は具体的には以下のステップを含んでよい。
ステップ1501:Attesterが初めてネットワークにアクセスし、BRSKIプロトコル手順を実行する。
ステップ1502:BRSKIプロトコル手順に従って、AttesterがRegisterを自動的に発見し、AttesterのIDevID証明書を使用してネットワークアクセス認証を実行し、登録(enrollment)手順を実行する。
ステップ1503:RP&Registerは、Attesterに遠隔認証要求メッセージを送信する。
ステップ1504:Attesterは、暗号化情報を取得するために、AttesterのIDevIDに対応する公開鍵を使用して測定情報1を暗号化する。
ステップ1505:Attesterは、暗号化情報およびAttesterのIDevID証明書を搬送する遠隔認証応答メッセージをRPr&Registerに送信する。
ステップ1503~ステップ1505は、拡張されたBRSKIプロトコルに対応するステップである。
ステップ1506:RP&Registerは、検証のためにRP&Registerの証明書をMASA&Verifierに提供する。
ステップ1507:MASA&Verifierは、認証結果の受領証(Voucher)、および監査ログなどの情報をRP&Registerに返す。
ステップ1508:RP&RegisterはVoucherなどの情報をAttesterに転送し、その結果、Attesterは情報に基づいて、RP&Registerのアイデンティティ有効性を検証する。
ステップ1506~ステップ1508は具体的には、RP&Registerのアイデンティティ有効性をBRSKIプロセスで検証するプロセスであってよい。
ステップ1509:RP&Registerは、暗号化情報およびRP&Registerの測定情報2を搬送するために要求メッセージを使用し、MASA&Verifierに要求メッセージを送信する。
ステップ1510:MASA&Verifierは、測定情報2に基づいてRP&Registerのシステム信頼性を検証する。
ステップ1511:RP&Registerのシステムが信頼できると判定されると、MASA&Verifierは測定情報1を取得するために暗号化情報を解読する。
ステップ1512:MASA&Verifierは、検証結果を取得するために、測定情報1に基づいてAttesterのシステム信頼性を検証する。
ステップ1513:MASA&Verifierは、Attesterのシステム信頼性の検証結果をRP&Registerに送信する。
ステップ1514:RP&Registerは、AttesterおよびRP&Registerのアイデンティティ有効性検証結果と、AttesterおよびRP&Registerのシステム信頼性検証結果とをAttesterに送信する。
前述した遠隔認証が実行された後は、Attesterは、MASA&Verifierがシステムに信頼され、アイデンティティに関して有効と判定してよいことに留意されたい。この場合、続いて遠隔認証が必要とされるときは、RP&Registerを介してMASA&Verifierに測定情報が直接送信されてよく、MASA&Verifierは、迅速かつ安全にAttesterのシステム信頼性を検証する。
この実施形態では、遠隔認証方法がBRSKIプロトコル手順と組合され、Attesterが初めてネットワークにアクセスする具体的なプロセスが示されていることが分かる。本出願のこの実施形態で提供される遠隔認証方法により、Attesterの遠隔認証がより正確になることを可能にでき、したがってAttesterが初めてネットワークにアクセスする際の信頼性を高めることができる。
図16は、本出願の一実施形態による遠隔認証方法の概略フローチャートである。遠隔認証に関与するデバイスは、第1のネットワークデバイス、第2のネットワークデバイス、および第3のネットワークデバイスを含む。第1のネットワークデバイスが実行体として使用される。具体的な遠隔認証プロセスは、以下のステップを含んでよい。
ステップ1601:第1のネットワークデバイスは、第2のネットワークデバイスを介して、暗号化情報および第2のネットワークデバイスの第1の測定情報を受信する。暗号化情報は、第3のネットワークデバイスの第2の測定情報を暗号化して得られた情報である。
ステップ1602:第1のネットワークデバイスは、第1の測定情報に基づいて、第2のネットワークデバイスのシステムが信頼できると判定する。
ステップ1603:第1のネットワークデバイスは、第2の測定情報を取得するために、暗号化情報を解読する。
図16に示す実施形態は、図5から図8に示す前述した実施形態に対応し得ることに留意されたい。一例では、第1のネットワークデバイスは、図5から図7に対応する実施形態におけるMASAであってよい。この場合、第2のネットワークデバイスは、図5、ならびに図6Aおよび図6Bに対応する実施形態のVerifierおよびRPである、あるいは図7における、RPおよびVerifierが組合されたデバイス(つまりRP&Verifier)であってよく、第3のネットワークデバイスはAttesterであってよい。別の事例では、第1のネットワークデバイスは、図8に対応する実施形態におけるMASA&Verifierであってよい。この場合、第2のネットワークデバイスは、図7に対応する実施形態のRPであってよく、第3のネットワークデバイスはAttesterであってよい。図16に示す実施形態に関連する実施態様は、図5から図8に示す実施形態の関連する説明に対応し得る。
第1のネットワークデバイスがMASAであり、第2のネットワークデバイスがVerifierの場合、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスに第2の測定情報を送信することをさらに含み得る。このようにして、第2のネットワークデバイスは、第2の測定情報に基づいて第3のネットワークデバイスのシステム信頼性を検証し得る。
第1のネットワークデバイスがMASA&Verifierであり、第2のネットワークデバイスがRPの場合、この実施形態は、第1のネットワークデバイスが、第1の検証結果を取得するために、第2の測定情報に基づいて第3のネットワークデバイスのシステム信頼性を検証することと、第1のネットワークデバイスが、第1の検証結果を第2のネットワークデバイスに送信することとをさらに含み得る。このようにして、第1のネットワークデバイスは、第2の測定情報に基づいて第3のネットワークデバイスのシステム信頼性を検証し、かつ第2のネットワークデバイスに検証結果を送信し得、その結果、ユーザは第2のネットワークデバイスを使用して、第3のネットワークデバイスのシステム信頼性を閲覧することができる。
一例では、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスに第2の検証結果を送信することをさらに含み得る。第2の検証結果は、第2のネットワークデバイスのシステム信頼性の検証結果である。
第1のネットワークデバイスがMASAであり、第2のネットワークデバイスがVerifierであり、第3のネットワークデバイスがAttesterであり、第4のネットワークデバイスがRPの場合、この実施形態における、第1のネットワークデバイスが第2のネットワークデバイスを介して暗号化情報を受信するステップ1601は具体的には、第1のネットワークデバイスが、第2のネットワークデバイスを介して、第4のネットワークデバイスにより送信された暗号化情報を受信することである。この実施形態は具体的には、第1のネットワークデバイスが、第2のネットワークデバイスを介して、第4のネットワークデバイスの第3の測定情報を受信することをさらに含み得る。この場合、ステップ1603の前に、方法は、第1のネットワークデバイスが、第3の測定情報に基づいて、第4のネットワークデバイスのシステムが信頼できると判定することをさらに含む。一例では、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスに第3の検証結果を送信することをさらに含み得る。第3の検証結果は、第4のネットワークデバイスのシステム信頼性の検証結果である。詳細については、図5、ならびに図6Aおよび図6Bに対応する実施形態の関連する説明を参照されたい。
いくつかの特定の実施態様では、本出願のこの実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスにより送信されたアイデンティティ情報を受信することをさらに含み得る。ステップ1603の前に、方法は、第1のネットワークデバイスが、アイデンティティ情報に基づいて、第2のネットワークデバイスのアイデンティティが有効と判定することをさらに含む。この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスに第4の検証結果を送信することをさらに含み得る。第4の検証結果は、第2のネットワークデバイスのアイデンティティ有効性の検証結果である。詳細については、図6Aおよび図6Bに対応する実施形態の関連する説明を参照されたい。
この実施形態の第1の検証結果は、第3のネットワークデバイスがネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
この実施形態では、ステップ1601は具体的には、第1のネットワークデバイスが、第2のネットワークデバイスにより送信されたネットワーク構成NETCONFプロトコル要求メッセージを受信することであり、要求メッセージは、暗号化情報および第1の測定情報を搬送する。第1のネットワークデバイスが第2のネットワークデバイスに第2の測定情報を送信することは具体的には、第1のネットワークデバイスが、第2のネットワークデバイスにNETCONFプロトコル応答メッセージを送信することであり、応答メッセージは第2の測定情報を搬送する。要求メッセージ内の暗号化情報および第1の測定情報は、インターネット技術特別調査委員会のさらに別の次世代データモデルIETF YANG Data Modelのフォーマットを使用して記述され得る。応答メッセージ内の第1の測定情報は、IETF YANG Data Modelのフォーマットを使用して記述されてもよい。
あるいは、この実施形態では、ステップ1601は具体的には、第1のネットワークデバイスが、第2のネットワークデバイスにより送信されたネットワーク構成NETCONFプロトコル要求メッセージを受信することであってよく、要求メッセージは、暗号化情報および第1の測定情報を搬送する。第1のネットワークデバイスが第2のネットワークデバイスに第1の検証結果を送信することは具体的には、第1のネットワークデバイスが第2のネットワークデバイスにNETCONFプロトコル応答メッセージを送信することであり、応答メッセージは第1の検証結果を搬送する。
図17は、本出願の一実施形態による遠隔認証方法の概略フローチャートである。遠隔認証に関与するデバイスは、第1のネットワークデバイス、第2のネットワークデバイス、および第3のネットワークデバイスを含む。第1のネットワークデバイスが実行体として使用される。具体的な遠隔認証プロセスは、以下のステップを含んでよい。
ステップ1701:第1のネットワークデバイスは、第2のネットワークデバイスにより送信された暗号化情報を受信する。暗号化情報は、第2のネットワークデバイスの第1の測定情報を暗号化して得られた情報である。
ステップ1702:第1のネットワークデバイスは、第3のネットワークデバイスに、暗号化情報および第1のネットワークデバイスの第2の測定情報を送信する。
ステップ1703:第1のネットワークデバイスは、第3のネットワークデバイスにより送信された指示情報を受信する。
ステップ1704:第1のネットワークデバイスは、指示情報に基づいて、第2のネットワークデバイスのシステム信頼性を判定する。
図17に示す実施形態は、図5から図8に示す前述した実施形態に対応し得ることに留意されたい。第1のネットワークデバイスは、RP、Verifier、またはRPとVerifierとが組合されたデバイス(つまりRP&Verifier)であってよい。この場合、第2のネットワークデバイスはAttesterであってよく、第3のネットワークデバイスはVerifier、MASA、またはMASAとVerifierとが組合されたデバイス(つまりMASA&Verifier)であってよい。図17に示す実施形態に関連する実施態様は、図5から図8に示す実施形態の関連する説明に対応し得る。
一例では、第1のネットワークデバイスがRPのときは、指示情報は、第2のネットワークデバイスのシステム信頼性の検証結果であってよい。
別の事例では、第1のネットワークデバイスがVerifierのときは、指示情報は、代替的に第1の測定情報であってよい。この場合、ステップ1704の指示情報に基づいて、第2のネットワークデバイスのシステム信頼性を判定することは具体的には、第1のネットワークデバイスが、第1の測定情報に基づいて、第2のネットワークデバイスのシステム信頼性を検証することである。
図5に示す実施形態に対応するステップ1701は具体的には、第1のネットワークデバイスが、第4のネットワークデバイスを介して、第2のネットワークデバイスにより送信された暗号化情報を受信することである。この実施形態は、第1のネットワークデバイスが、第4のネットワークデバイスにより送信された、第4のネットワークデバイスの第3の測定情報を受信することをさらに含み得る。この場合、第1のネットワークデバイスは、第3のネットワークデバイスに第3の測定情報を送信する。第3の測定情報は、第4のネットワークデバイスのシステム信頼性を検証するために使用され、暗号化情報は、第1のネットワークデバイスがシステムに信頼され、かつ第4のネットワークデバイスがシステムに信頼されていると判定されたときに、解読して第1の測定情報にするために使用される。
この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスに第1の検証結果を送信することをさらに含み得ることが理解されよう。第1の検証結果は、第2のネットワークデバイスのシステム信頼性の検証結果である。
この実施形態は、第1のネットワークデバイスが、第3のネットワークデバイスにより送信された第2の検証結果を受信することをさらに含み得ることが理解されよう。第2の検証結果は、第1のネットワークデバイスのシステム信頼性の検証結果である。この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスに第2の検証結果を送信し、その結果、第2のネットワークデバイスが、第1のネットワークデバイスのシステム信頼性を知ることができることをさらに含み得る。これにより、その後の遠隔認証が容易になる。
この実施形態は、第1のネットワークデバイスが、第3のネットワークデバイスにより送信された第3の検証結果を受信することをさらに含み得ることが理解されよう。第3の検証結果は、第4のネットワークデバイスのシステム信頼性の検証結果である。この場合、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスに第3の検証結果を送信することをさらに含む。具体的には、第1のネットワークデバイスは、第4のネットワークデバイスに第3の検証結果を送信し、次に第4のネットワークデバイスが、第2のネットワークデバイスに第3の検証結果を送信する。
図6Aおよび図6Bに示す実施形態で提供される方法に対応して、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスにより送信された第1のアイデンティティ情報を受信することをさらに含み得る。ステップ1702の前に、方法は、第1のネットワークデバイスが、第1のアイデンティティ情報に基づいて、第2のネットワークデバイスのアイデンティティ有効性を判定することをさらに含む。第1のネットワークデバイスは、第2のネットワークデバイスに第4の検証結果をさらに送信してよい。第4の検証結果は、第2のネットワークデバイスのアイデンティティ有効性の検証結果である。
一例では、この実施形態は、第1のネットワークデバイスが、第4のネットワークデバイスにより送信された第2のアイデンティティ情報を受信することをさらに含み得る。ステップ1702の前に、方法は、第1のネットワークデバイスが、第2のアイデンティティ情報に基づいて、第4のネットワークデバイスのアイデンティティが有効と判定することをさらに含む。第1のネットワークデバイスは、第4のネットワークデバイスに第5の検証結果をさらに送信してよい。第5の検証結果は、第4のネットワークデバイスのアイデンティティ有効性の検証結果である。
別の例では、この実施形態は、第1のネットワークデバイスが、第3のネットワークデバイスに第1のネットワークデバイスの第3のアイデンティティ情報を送信することをさらに含み得る。第1のネットワークデバイスは、第3のネットワークデバイスにより送信された第6の検証結果をさらに受信してよい。第6の検証結果は、第1のネットワークデバイスのアイデンティティ有効性の検証結果である。この実施形態では、第1のネットワークデバイスは、第2のネットワークデバイスに第6の検証結果をさらに送信してよい。
この実施形態は、第1のネットワークデバイスが、第4のネットワークデバイスに、第1のネットワークデバイスの第3のアイデンティティ情報を送信することをさらに含み得る。第3のアイデンティティ情報は、第1のネットワークデバイスのアイデンティティ有効性を検証するために使用される。
この実施形態では、第1のネットワークデバイスは、第2のネットワークデバイスのシステム信頼性に基づいて、第2のネットワークデバイスにネットワークへのアクセスを許可するかどうかを判定するようにさらに構成され得ることが理解されよう。
この実施形態では、ステップ1702は具体的には、第1のネットワークデバイスが、第3のネットワークデバイスにネットワーク構成NETCONFプロトコル要求メッセージを送信することである。要求メッセージは、暗号化情報および第2の測定情報を搬送する。第1のネットワークデバイスが、第3のネットワークデバイスにより送信された指示情報を受信するステップ1703は具体的には、第1のネットワークデバイスが、第3のネットワークデバイスにより送信されたNETCONFプロトコル応答メッセージを受信することである。応答メッセージは、指示情報を搬送する。要求メッセージ内の暗号化情報および第2の測定情報は、インターネット技術特別調査委員会のさらに別の次世代データモデルIETF YANG Data Modelのフォーマットを使用して記述され得る。応答メッセージ内の指示情報は、IETF YANG Data Modelのフォーマットを使用して記述されてもよい。
図18は、本出願の一実施形態による遠隔認証方法の概略フローチャートである。遠隔認証に関与するデバイスは、第1のネットワークデバイス、および第2のネットワークデバイスを含む。第1のネットワークデバイスが実行体として使用される。具体的な遠隔認証プロセスは、以下のステップを含んでよい。
ステップ1801:第1のネットワークデバイスは暗号化情報を生成する。暗号化情報は、第1のネットワークデバイスの測定情報を暗号化して得られた情報である。
ステップ1802:第1のネットワークデバイスは、第2のネットワークデバイスに暗号化情報を送信する。測定情報は、検証結果を取得するために、第1のネットワークデバイスのシステム信頼性を検証するために使用される。
図18に示す実施形態は、図5から図8に示す前述した実施形態に対応し得ることに留意されたい。第1のネットワークデバイスはAttesterであってよい。この場合、第2のネットワークデバイスは、Verifier、RP、またはRPとVerifierとが組合されたデバイス(つまりRP&Verifier)であってよい。図18に示す実施形態に関連する実施態様は、図5から図8に示す実施形態の関連する説明に対応し得る。
一例では、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスにより送信された検証結果を受信することをさらに含み得る。検証結果は、第1のネットワークデバイスのシステム信頼性の検証結果である。
別の例では、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスにより送信された第2のネットワークデバイスのシステム信頼性の検証結果を受信することをさらに含み得る。
この実施形態では、第1のネットワークデバイスは、第2のネットワークデバイスに第1のネットワークデバイスのアイデンティティ情報をさらに送信してよいことが理解されよう。アイデンティティ情報は、第1のネットワークデバイスのアイデンティティ有効性を検証するために使用される。この場合、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスにより送信された第1のネットワークデバイスのアイデンティティ有効性の検証結果を受信することをさらに含み得る。方法は、第1のネットワークデバイスが、第2のネットワークデバイスにより送信された第2のネットワークデバイスのアイデンティティ有効性の検証結果を受信することをさらに含んでよい。
第1のネットワークデバイスのシステム信頼性の検証結果は、第1のネットワークデバイスが、ネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
図16から図18に示す実施形態は、MASA、RP、またはVerifier、およびAttester側により実行される、本出願の実施形態で提供される遠隔認証方法にそれぞれ対応することに留意されたい。具体的な実施態様、達成される効果、および関連する概念の説明については、図5から図8に示す実施形態の関連する説明を参照されたい。
図19は、本出願の一実施形態による別の遠隔認証方法の概略フローチャートである。方法は、第1のネットワークデバイスによって実行される。具体的な遠隔認証プロセスは、以下のステップを含んでよい。
ステップ1901:第1のネットワークデバイスは、第2のネットワークデバイスに第3のネットワークデバイスのシステム信頼性を問合せる。
ステップ1902:第1のネットワークデバイスは、第3のネットワークデバイスがシステムに信頼されていると判定する。
ステップ1903:第1のネットワークデバイスは、第3のネットワークデバイスに、第1のネットワークデバイスの測定情報を送信する。測定情報は、検証結果を取得するために、第1のネットワークデバイスのシステム信頼性を検証するために使用される。
図19に示す実施形態は、図9から図12に示す前述した実施形態に対応し得ることに留意されたい。第1のネットワークデバイスはAttesterであってもよく、第2のネットワークデバイスはMASAであってもよい。この場合、第3のネットワークデバイスは、Verifier、RP、またはRPとVerifierとが組合されたデバイス(つまりRP&Verifier)であってよい。図19に示す実施形態に関連する実施態様は、図9から図12に示す実施形態の関連する説明に対応し得る。
一例では、この実施形態において、第1のネットワークデバイスが、第1のネットワークデバイスの測定情報を第3のネットワークデバイスに送信する前に、方法は、第1のネットワークデバイスが、第2のネットワークデバイスに、第4のネットワークデバイスのシステム信頼性を問合せることと、第1のネットワークデバイスが、第4のネットワークデバイスがシステムに信頼されていると判定することとをさらに含んでよい。第3のネットワークデバイスは、第4のネットワークデバイスに受信した測定情報を送信するように構成され、第4のネットワークデバイスは、測定情報に基づいて、第1のネットワークデバイスのシステム信頼性を検証するように構成される。
一例では、この実施形態において、第1のネットワークデバイスが、第1のネットワークデバイスの測定情報を第3のネットワークデバイスに送信する前に、方法は、第1のネットワークデバイスが、第2のネットワークデバイスに、第3のネットワークデバイスのアイデンティティ有効性、および第4のネットワークデバイスのアイデンティティ有効性を問合せることと、第1のネットワークデバイスが、第4のネットワークデバイスのアイデンティティが有効と判定することとをさらに含んでよい。
この実施形態における第1のネットワークデバイスは、第3のネットワークデバイスにより送信された第1のネットワークデバイスのシステム信頼性の検証結果をさらに受信してよい。
この実施形態では、第1のネットワークデバイスは、第3のネットワークデバイスに第1のネットワークデバイスのアイデンティティ情報をさらに送信してよい。アイデンティティ情報は、第1のネットワークデバイスのアイデンティティ有効性を検証するために使用される。
この実施形態における第1のネットワークデバイスは、第3のネットワークデバイスにより送信された第1のネットワークデバイスのアイデンティティ有効性の検証結果をさらに受信してよい。
第1のネットワークデバイスのシステム信頼性の検証結果は、第1のネットワークデバイスが、ネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
図20は、本出願の一実施形態による別の遠隔認証方法の概略フローチャートである。方法は、第1のネットワークデバイスによって実行される。具体的な遠隔認証プロセスは、以下のステップを含んでよい。
ステップ2001:第1のネットワークデバイスは、第2のネットワークデバイスに、第1のネットワークデバイスの第1の測定情報を送信する。第1の測定情報は、第1のネットワークデバイスのシステム信頼性を検証するために使用される。第1のネットワークデバイスのシステム信頼性の第1の検証結果は、第2のネットワークデバイスに記録される。
ステップ2002:第1のネットワークデバイスは、第3のネットワークデバイスにより送信された第3のネットワークデバイスの第2の測定情報を受信する。第2の測定情報は、第3のネットワークデバイスのシステム信頼性を検証するために使用される。
図20に示す実施形態は、図9から図12に示す前述した実施形態に対応し得ることに留意されたい。第1のネットワークデバイスは、RP、Verifier、またはRPとVerifierとが組合されたデバイス(つまりRP&Verifier)であってよい。この場合、第2のネットワークデバイスはMASAであってよく、第3のネットワークデバイスはAttesterであってよい。図20に示す実施形態に関連する実施態様は、図9から図12に示す実施形態の関連する説明に対応し得る。
例えば、第1のネットワークデバイスがRPであり、第4のネットワークデバイスがVerifierの場合、この実施形態は、第1のネットワークデバイスが、第4のネットワークデバイスに第2の測定情報を送信することをさらに含み得る。第4のネットワークデバイスと第2のネットワークデバイスとは、同じデバイスであってよい。この場合、第1のネットワークデバイスは、第2の測定情報に基づいて第3のネットワークデバイスのシステム信頼性をさらに検証し得る。
別の例では、この実施形態は、第1のネットワークデバイスが、第4のネットワークデバイスにより送信された第2の検証結果を受信することをさらに含み得る。第2の検証結果は、第2のネットワークデバイスのシステム信頼性の検証結果である。この場合、第1のネットワークデバイスは、第3のネットワークデバイスに第3の検証結果をさらに送信してよい。第3の検証結果は、第3のネットワークデバイスのシステム信頼性の検証結果である。
さらに別の例では、この実施形態は、第1のネットワークデバイスが、第3のネットワークデバイスにより送信された第1のアイデンティティ情報を受信し、第1のネットワークデバイスが、第1のアイデンティティ情報に基づいて、第3のネットワークデバイスのアイデンティティ有効性を検証することをさらに含み得る。この場合、第1のネットワークデバイスは、第3のネットワークデバイスに第4の検証結果をさらに送信してよい。第4の検証結果は、第3のネットワークデバイスのアイデンティティ有効性の検証結果である。
さらに別の例では、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスに、第1のネットワークデバイスの第2のアイデンティティ情報を送信することをさらに含み得る。第2のアイデンティティ情報は、第1のネットワークデバイスのアイデンティティ有効性を検証するために使用される。第1のネットワークデバイスのアイデンティティ有効性の第2の検証結果は、第2のネットワークデバイスに記録される。
別の例では、この実施形態は、第1のネットワークデバイスが、第3のネットワークデバイスのシステム信頼性の検証結果に基づいて、第3のネットワークデバイスにネットワークへのアクセスを許可するかどうかを判定することをさらに含み得る。
図21は、本出願の一実施形態による別の遠隔認証方法の概略フローチャートである。方法は、第1のネットワークデバイスによって実行される。具体的な遠隔認証プロセスは、以下のステップを含んでよい。
ステップ2101:第1のネットワークデバイスは、第2のネットワークデバイスにより送信された第2のネットワークデバイスの第1の測定情報を受信する。
ステップ2102:第1のネットワークデバイスは、第1の検証結果を取得するために、第1の測定情報に基づいて、第2のネットワークデバイスのシステム信頼性を検証する。
ステップ2103:第1のネットワークデバイスは、第2のネットワークデバイスのシステム信頼性の検証結果に対する、第3のネットワークデバイスの問合せ要求を受信する。
ステップ2104:第1のネットワークデバイスは、第3のネットワークデバイスに第1の検証結果を送信する。
図21に示す実施形態は、図9から図12に示す前述した実施形態に対応し得ることに留意されたい。一例では、第1のネットワークデバイスは、図9から図12に対応する実施形態におけるMASAであってよい。この場合、第2のネットワークデバイスはVerifierまたはRPであってよい、またはRPとVerifierとが組合されたデバイス(つまりRP&Verifier)であってよく、第3のネットワークデバイスは、Attesterであってよい。別の事例では、第1のネットワークデバイスは、MASA&Verifierであってよい。この場合、第2のネットワークデバイスはRPであってよく、第3のネットワークデバイスはAttesterであってよい。図21に示す実施形態に関連する実施態様は、図9から図12に示す実施形態の関連する説明に対応し得る。
一例では、この実施形態は、第1のネットワークデバイスが、第4のネットワークデバイスにより送信された、第4のネットワークデバイスの第2の測定情報を受信することと、第1のネットワークデバイスが、第2の検証結果を取得するために、第2の測定情報に基づいて、第4のネットワークデバイスのシステム信頼性を検証することと、第1のネットワークデバイスが、第4のネットワークデバイスのシステム信頼性の検証結果に対する第3のネットワークデバイスの問合せ要求を受信することと、第1のネットワークデバイスが、第3のネットワークデバイスに第2の検証結果を送信することとをさらに含み得る。第2のネットワークデバイスは、第3のネットワークデバイスにより送信された、第3のネットワークデバイスの第3の測定情報を受信し、第4のネットワークデバイスに第3の測定情報を送信するように構成される。第4のネットワークデバイスは、第5の検証結果を取得するために、第3の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証するように構成される。
別の例では、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスにより送信された、第2のネットワークデバイスの第1のアイデンティティ情報と、第4のネットワークデバイスにより送信された、第4のネットワークデバイスの第2のアイデンティティ情報とを受信することと、第1のネットワークデバイスが、第3の検証結果を取得するために、第1のアイデンティティ情報に基づいて、第2のネットワークデバイスのアイデンティティ有効性を検証し、第4の検証結果を取得するために、第2のアイデンティティ情報に基づいて、第4のネットワークデバイスのアイデンティティ有効性を検証することと、第1のネットワークデバイスが、第2のネットワークデバイスのアイデンティティ有効性の検証結果に対する、第3のネットワークデバイスの問合せ要求と、第4のネットワークデバイスのアイデンティティ有効性の検証結果に対する、第3のネットワークデバイスの問合せ要求とを受信することと、第1のネットワークデバイスが、第3のネットワークデバイスに第3の検証結果および第4の検証結果を送信することとをさらに含み得る。
さらに別の例では、この実施形態は、第1のネットワークデバイスが、第2のネットワークデバイスを介して、第3のネットワークデバイスにより送信された、第3のネットワークデバイスの第3の測定情報を受信することと、第1のネットワークデバイスが、第3の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証することと、第1のネットワークデバイスが、第3のネットワークデバイスに第5の検証結果を送信することとをさらに含み得る。第5の検証結果は、第3のネットワークデバイスのシステム信頼性の検証結果である。
第3のネットワークデバイスのシステム信頼性の検証結果、つまり第5の検証結果は、第3のネットワークデバイスが、ネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
図19から図21に示す実施形態は、MASA、RP、またはVerifier、およびAttester側により実行される、本出願の実施形態で提供される遠隔認証方法にそれぞれ対応することに留意されたい。具体的な実施態様、達成される効果、および関連する概念の説明については、図9から図12に示す実施形態の関連する説明を参照されたい。
図22は、本出願の一実施形態による遠隔認証装置の構造の概略図である。装置2200は、受信ユニット2201および処理ユニット2202を備える。
受信ユニット2201は、第2のネットワークデバイスを介して、暗号化情報および第2のネットワークデバイスの第1の測定情報を受信するように構成される。暗号化情報は、第3のネットワークデバイスの第2の測定情報を暗号化して得られた情報である。
処理ユニット2202は、第1の測定情報に基づいて、第2のネットワークデバイスがシステムに信頼されていると判定し、第2の測定情報を取得するために、暗号化情報を解読するように構成される。
具体的な実施態様では、装置2200は、送信ユニットをさらに備える。送信ユニットは、第2のネットワークデバイスに第2の測定情報を送信するように構成される。
一例では、受信ユニット2201は、第2のネットワークデバイスにより送信されたネットワーク構成NETCONFプロトコル要求メッセージを受信するように特に構成され、要求メッセージは、暗号化情報および第1の測定情報を搬送する。送信ユニットは、第2のネットワークデバイスにNETCONFプロトコル応答メッセージを送信するように特に構成され、応答メッセージは第2の測定情報を搬送する。要求メッセージ内の暗号化情報および第1の測定情報は、インターネット技術特別調査委員会のさらに別の次世代データモデルIETF YANG Data Modelのフォーマットを使用して記述される。応答メッセージ内の第1の測定情報は、IETF YANG Data Modelのフォーマットを使用して記述される。
別の具体的な実施態様では、処理ユニット2202は、第1の検証結果を取得するために、第2の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証するようにさらに構成される。送信ユニットは、第2のネットワークデバイスに第1の検証結果を送信するようにさらに構成される。
第1の検証結果は、第3のネットワークデバイスがネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
一例では、受信ユニット2201は、第2のネットワークデバイスにより送信されたネットワーク構成NETCONFプロトコル要求メッセージを受信するように特に構成され、要求メッセージは、暗号化情報および第1の測定情報を搬送する。送信ユニットは、第2のネットワークデバイスにNETCONFプロトコル応答メッセージを送信するために、第1のネットワークデバイスに使用されるように特に構成され、応答メッセージは第1の検証結果を搬送する。要求メッセージ内の暗号化情報および第1の測定情報は、インターネット技術特別調査委員会のさらに別の次世代データモデルIETF YANG Data Modelのフォーマットを使用して記述される。応答メッセージ内の第1の検証結果は、IETF YANG Data Modelのフォーマットを使用して記述される。
さらに別の具体的な実施態様では、受信ユニット2201は、第2のネットワークデバイスを介して、第4のネットワークデバイスにより送信された暗号化情報を受信するように特に構成される。この場合、受信ユニット2201は、第2のネットワークデバイスを介して、第4のネットワークデバイスの第3の測定情報を受信するようにさらに構成される。処理ユニット2202は、第1のネットワークデバイスが暗号化情報を解読する前に、第3の測定情報に基づいて、第4のネットワークデバイスのシステム信頼性を判定するようにさらに構成される。
別の具体的な実施態様では、受信ユニット2201は、第2のネットワークデバイスにより送信されたアイデンティティ情報を受信するようにさらに構成される。この場合、処理ユニット2202は、第1のネットワークデバイスが暗号化情報を解読する前に、第2のネットワークデバイスのアイデンティティが有効と判定するようにさらに構成される。
装置2200の受信ユニット2201は、図16に示す実施形態における受信動作、例えば、ステップ1601に対応するステップを実行するように構成され得ることが理解されよう。処理ユニット2202は、図16に示す実施形態における判定および解読などの動作、例えば、ステップ1602およびステップ1603に対応するステップを実行するように構成され得る。
装置2200は、図5から図7に示す方法実施形態におけるMASA、図8に示す実施形態におけるMASA&Verifier、または図16に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、装置2200の様々な可能な実施態様および技術的効果については、図5から図8、および図16に示されている実施形態で提供されている方法の説明を参照されたい。
図23は、本出願の一実施形態による別の遠隔認証装置2300の構造の概略図である。装置2300は、受信ユニット2301、送信ユニット2302、および処理ユニット2303を備える。
受信ユニット2301は、第2のネットワークデバイスにより送信された暗号化情報を受信するように構成され、暗号化情報は、第2のネットワークデバイスの第1の測定情報を暗号化して得られた情報である。
送信ユニット2302は、第3のネットワークデバイスに、暗号化情報および第1のネットワークデバイスの第2の測定情報を送信するように構成される。
受信ユニット2301は、第3のネットワークデバイスにより送信された指示情報を受信するようにさらに構成される。
処理ユニット2303は、指示情報に基づいて、第2のネットワークデバイスのシステム信頼性を判定するように構成される。
一例では、指示情報は、第2のネットワークデバイスのシステム信頼性の検証結果である。
別の事例では、指示情報は第1の測定情報である。この場合、処理ユニット2303は、第1の測定情報に基づいて、第2のネットワークデバイスのシステム信頼性を検証するように特に構成される。
一例では、送信ユニット2302は、第3のネットワークデバイスに、ネットワーク構成NETCONFプロトコル要求メッセージを送信するように特に構成され、要求メッセージは、暗号化情報および第2の測定情報を搬送する。受信ユニット2301は、第3のネットワークデバイスにより送信されたNETCONFプロトコル応答メッセージを受信するように特に構成され、応答メッセージは指示情報を搬送する。要求メッセージ内の暗号化情報および第2の測定情報は、インターネット技術特別調査委員会のさらに別の次世代データモデルIETF YANG Data Modelのフォーマットを使用して記述される。応答メッセージ内の指示情報は、IETF YANG Data Modelのフォーマットを使用して記述される。
具体的な実施態様では、受信ユニット2301は、第4のネットワークデバイスを介して、第2のネットワークデバイスにより送信された暗号化情報を受信するように特に構成される。受信ユニット2301は、第4のネットワークデバイスにより送信された、第4のネットワークデバイスの第3の測定情報を受信するようにさらに構成される。送信ユニット2302は、第3のネットワークデバイスに第3の測定情報を送信するようにさらに構成される。
別の具体的な実施態様では、受信ユニット2301は、第2のネットワークデバイスにより送信された第1のアイデンティティ情報を受信するようにさらに構成される。処理ユニット2303は、第1のネットワークデバイスが、第3のネットワークデバイスに、暗号化情報および第1のネットワークデバイスの第2の測定情報を送信する前に、第1のアイデンティティ情報に基づいて、第2のネットワークデバイスのアイデンティティが有効と判定するようにさらに構成される。
さらに別の具体的な実施態様では、受信ユニット2301は、第4のネットワークデバイスにより送信された第2のアイデンティティ情報を受信するようにさらに構成される。処理ユニット2303は、第1のネットワークデバイスが、第3のネットワークデバイスに、暗号化情報および第1のネットワークデバイスの第2の測定情報を送信する前に、第4のネットワークデバイスのアイデンティティが有効と判定するようにさらに構成される。
さらに別の具体的な実施態様では、送信ユニット2302は、第3のネットワークデバイスに、第1のネットワークデバイスの第3のアイデンティティ情報を送信するようにさらに構成される。
さらに別の具体的な実施態様では、処理ユニット2303は、第2のネットワークデバイスのシステム信頼性に基づいて、第2のネットワークデバイスにネットワークへのアクセスを許可するかどうかを判定するようにさらに構成される。
装置2300の受信ユニット2301は、図17に示す実施形態における受信動作、例えば、ステップ1701およびステップ1703に対応するステップを実行するように構成され得ることが理解されよう。処理ユニット2303は、図17に示す実施形態における判定などの動作、例えば、ステップ1704に対応するステップを実行するように構成され得る。送信ユニット2302は、図17に示す実施形態における送信動作、例えば、ステップ1702に対応するステップを実行するように構成され得る。
装置2300は、図5または図6Aおよび図6Bに示す実施形態におけるRPまたはVerifier、図7に示す方法実施形態におけるVerifier、図8に示す実施形態におけるRP、あるいは図17に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、装置2300の様々な可能な実施態様および技術的効果については、図5から図8、および図17に対応する実施形態で提供されている方法の説明を参照されたい。
図24は、本出願の一実施形態による遠隔認証装置の構造の概略図である。装置2400は、処理ユニット2401および送信ユニット2402を備える。
処理ユニット2401は、暗号化情報を生成するように構成される。暗号化情報は、第1のネットワークデバイスの測定情報を暗号化して得られた情報である。
送信ユニット2402は、第2のネットワークデバイスに暗号化情報を送信するように構成される。測定情報は、検証結果を取得するために、第1のネットワークデバイスのシステム信頼性を検証するために使用される。検証結果は、第1のネットワークデバイスがネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
具体的な実施態様では、送信ユニット2402は、第2のネットワークデバイスに、第1のネットワークデバイスのアイデンティティ情報を送信するようにさらに構成される。アイデンティティ情報は、第1のネットワークデバイスのアイデンティティ有効性を検証するために使用される。
装置2400の処理ユニット2401は、図18に示す実施形態における暗号化などの動作、例えば、ステップ1801に対応するステップを実行するように構成され得ることが理解されよう。送信ユニット2402は、図18に示す実施形態における送信動作、例えば、ステップ1802に対応するステップを実行するように構成され得る。
装置2400は、図5から図8に示す実施形態におけるAttester、または図18に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、装置2400の様々な可能な実施態様および技術的効果については、図5から図8、および図18に対応する実施形態で提供されている方法の説明を参照されたい。
図25は、本出願の一実施形態による別の遠隔認証装置の構造の概略図である。装置2500は、処理ユニット2501および送信ユニット2502を備える。
処理ユニット2501は、第2のネットワークデバイスに第3のネットワークデバイスのシステム信頼性を問合せるために、第1のネットワークデバイスによって使用され、第3のネットワークデバイスがシステムに信頼されていると判定するように構成される。
送信ユニット2502は、第3のネットワークデバイスに、第1のネットワークデバイスの測定情報を送信するように構成される。測定情報は、検証結果を取得するために、第1のネットワークデバイスのシステム信頼性を検証するために使用される。
検証結果は、第1のネットワークデバイスがネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
具体的な実施態様では、処理ユニット2501は、第1のネットワークデバイスが、第1のネットワークデバイスの測定情報を第3のネットワークデバイスに送信する前に、第2のネットワークデバイスに、第4のネットワークデバイスのシステム信頼性を問合せ、第4のネットワークデバイスがシステムに信頼されていると判定するようにさらに構成される。第3のネットワークデバイスは、第4のネットワークデバイスに受信した測定情報を送信するように構成され、第4のネットワークデバイスは、測定情報に基づいて、第1のネットワークデバイスのシステム信頼性を検証するように構成される。
別の具体的な実施態様では、処理ユニット2501は、第1のネットワークデバイスが、第1のネットワークデバイスの測定情報を第3のネットワークデバイスに送信する前に、第2のネットワークデバイスに、第3のネットワークデバイスのアイデンティティ有効性および第4のネットワークデバイスのアイデンティティ有効性を問合せ、第4のネットワークデバイスのアイデンティティが有効と判定するようにさらに構成される。
装置2500の処理ユニット2501は、図19に対応する実施形態における問合せおよび判定などの動作、例えば、ステップ1901およびステップ1902に対応するステップを実行するように構成され得ることが理解されよう。送信ユニット2502は、図19に示す実施形態における送信動作、例えば、ステップ1903に対応するステップを実行するように構成され得る。
装置2500は、図9から図12に示す方法実施形態におけるAttester、または図19に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、装置2500の様々な可能な実施態様および技術的効果については、図9から図12、および図19に対応する実施形態で提供されている方法の説明を参照されたい。
図26は、本出願の一実施形態による遠隔認証装置の構造の概略図である。装置2600は、送信ユニット2601および受信ユニット2602を備える。
送信ユニット2601は、第2のネットワークデバイスに、第1のネットワークデバイスの第1の測定情報を送信するように構成される。第1の測定情報は、第1のネットワークデバイスのシステム信頼性を検証するために使用され、第1のネットワークデバイスのシステム信頼性の第1の検証結果は、第2のネットワークデバイスに記録される。
受信ユニット2602は、第3のネットワークデバイスにより送信された、第3のネットワークデバイスの第2の測定情報を受信するように構成される。第2の測定情報は、第3のネットワークデバイスのシステム信頼性を検証するために使用される。
具体的な実施態様では、送信ユニット2601は、第4のネットワークデバイスに、第2の測定情報を送信するようにさらに構成される。
別の具体的な実施態様では、第4のネットワークデバイスと第2のネットワークデバイスとは同じデバイスである。
さらに別の具体的な実施態様では、受信ユニット2602は、第4のネットワークデバイスにより送信された第2の検証結果を受信するようにさらに構成される。第2の検証結果は、第2のネットワークデバイスのシステム信頼性の検証結果である。
さらに別の具体的な実施態様では、装置2600は処理ユニットをさらに備える。処理ユニットは、第2の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証するように構成される。
さらに別の具体的な実施態様では、受信ユニット2602は、第3のネットワークデバイスにより送信された第1のアイデンティティ情報を受信するようにさらに構成される。処理ユニットは、第1のアイデンティティ情報に基づいて、第3のネットワークデバイスのアイデンティティ有効性を検証するようにさらに構成される。
別の具体的な実施態様では、送信ユニット2601は、第2のネットワークデバイスに、第1のネットワークデバイスの第2のアイデンティティ情報を送信するようにさらに構成される。第2のアイデンティティ情報は、第1のネットワークデバイスのアイデンティティ有効性を検証するために使用され、第1のネットワークデバイスのアイデンティティ有効性の第2の検証結果は、第2のネットワークデバイスに記録される。
さらに別の具体的な実施態様では、処理ユニットは、第3のネットワークデバイスのシステム信頼性の検証結果に基づいて、第3のネットワークデバイスにネットワークへのアクセスを許可するかどうかを判定するようにさらに構成される。
装置2600の送信ユニット2601は、図20に示す実施形態における送信動作、例えば、ステップ2001に対応するステップを実行するように構成され得ることが理解されよう。受信ユニット2602は、図20に示す実施形態における受信動作、例えば、ステップ2002に対応するステップを実行するように構成され得る。
装置2600は、図9または図10に示す実施形態におけるRPまたはVerifier、図11に示す方法実施形態におけるVerifier、図12に示す実施形態におけるRP、あるいは図20に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、装置2600の様々な可能な実施態様および技術的効果については、図9から図12、および図20に対応する実施形態で提供されている方法の説明を参照されたい。
図27は、本出願の一実施形態による別の遠隔認証装置の構造の概略図である。装置2700は、受信ユニット2701、処理ユニット2702、および送信ユニット2703を備える。
受信ユニット2701は、第2のネットワークデバイスにより送信された、第2のネットワークデバイスの第1の測定情報を受信するように構成される。
処理ユニット2702は、第1の検証結果を取得するために、第1の測定情報に基づいて、第2のネットワークデバイスのシステム信頼性を検証するように構成される。
受信ユニット2701は、第2のネットワークデバイスのシステム信頼性の検証結果に対する、第3のネットワークデバイスの問合せ要求を受信するようにさらに構成される。
送信ユニット2703は、第3のネットワークデバイスに、第1の検証結果を送信するように構成される。
具体的な実施態様では、受信ユニット2701は、第4のネットワークデバイスにより送信された、第4のネットワークデバイスの第2の測定情報を受信するようにさらに構成される。処理ユニット2702は、第2の検証結果を取得するために、第2の測定情報に基づいて、第4のネットワークデバイスのシステム信頼性を検証するようにさらに構成される。受信ユニット2701は、第4のネットワークデバイスのシステム信頼性の検証結果に対する、第3のネットワークデバイスの問合せ要求を受信するようにさらに構成される。送信ユニット2703は、第3のネットワークデバイスに第2の検証結果を送信するようにさらに構成される。第2のネットワークデバイスは、第3のネットワークデバイスにより送信された、第3のネットワークデバイスの第3の測定情報を受信し、第4のネットワークデバイスに第3の測定情報を送信するように構成される。第4のネットワークデバイスは、第5の検証結果を取得するために、第3の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証するように構成される。
第5の検証結果は、第3のネットワークデバイスがネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
別の具体的な実施態様では、受信ユニット2701は、第2のネットワークデバイスにより送信された、第2のネットワークデバイスの第1のアイデンティティ情報と、第4のネットワークデバイスにより送信された、第4のネットワークデバイスの第2のアイデンティティ情報とを受信するようにさらに構成される。処理ユニット2702は、第3の検証結果を取得するために、第1のアイデンティティ情報に基づいて、第2のネットワークデバイスのシステム信頼性を検証し、第4の検証結果を取得するために、第2のアイデンティティ情報に基づいて、第4のネットワークデバイスのシステム信頼性を検証するようにさらに構成される。受信ユニット2701は、第2のネットワークデバイスのアイデンティティ有効性の検証結果に対する、第3のネットワークデバイスの問合せ要求、および第4のネットワークデバイスのアイデンティティ有効性の検証結果に対する、第3のネットワークデバイスの問合せ要求を受信するようにさらに構成される。送信ユニット2703は、第3のネットワークデバイスに、第3の検証結果および第4の検証結果を送信するようにさらに構成される。
さらに別の具体的な実施態様では、受信ユニット2701は、第2のネットワークデバイスを介して、第3のネットワークデバイスにより送信された、第3のネットワークデバイスの第3の測定情報を受信するようにさらに構成される。処理ユニット2702は、第3の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証するようにさらに構成される。送信ユニット2703は、第3のネットワークデバイスに第5の検証結果を送信するようにさらに構成される。第5の検証結果は、第3のネットワークデバイスのシステム信頼性の検証結果である。
装置2700の受信ユニット2701は、図21に示す実施形態における受信動作、例えば、ステップ2101およびステップ2103に対応するステップを実行するように構成され得ることが理解されよう。処理ユニット2702は、図21に示す実施形態における検証などの動作、例えば、ステップ2102に対応するステップを実行するように構成され得る。送信ユニット2703は、図21に示す実施形態における送信動作、例えば、ステップ2104に対応するステップを実行するように構成され得る。
装置2700は、図9から図11に示す実施形態におけるMASA、図12に示す方法実施形態におけるMASA&Verifier、または図21に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、装置2700の様々な可能な実施態様および技術的効果については、図9から図12、および図21に示されている実施形態で提供されている方法の説明を参照されたい。
加えて、本出願の実施形態は、ネットワークデバイス2800をさらに提供する。図28に示すように、ネットワークデバイス2800は、メモリ2801、プロセッサ2802、および送受信機2803を備える。メモリ2801、プロセッサ2802、および送受信機2803は、バスを介して通信可能に接続され得る。送受信機は、例えば、光モジュールであってよい。
いくつかの可能な実施態様では、ネットワークデバイス2800のメモリ2801は、プログラムコードを記憶するように構成される。プロセッサ2802は、
第2のネットワークデバイスを介して、暗号化情報および第2のネットワークデバイスの第1の測定情報を受信する動作であって、暗号化情報は、第3のネットワークデバイスの第2の測定情報を暗号化して得られた情報である、動作と、
第1の測定情報に基づいて、第2のネットワークデバイスがシステムに信頼されていると判定する動作と、
第2の測定情報を取得するために、暗号化情報を解読する動作とをネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するように構成される。
具体的な実施態様では、プロセッサ2802は、
第2のネットワークデバイスに第2の測定情報を送信する動作をネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
この実施態様の一例では、第2のネットワークデバイスを介して、暗号化情報および第2のネットワークデバイスの第1の測定情報を受信する動作は具体的には、第2のネットワークデバイスにより送信されたネットワーク構成NETCONFプロトコル要求メッセージを受信することであり、要求メッセージは、暗号化情報および第1の測定情報を搬送する。第2のネットワークデバイスに第2の測定情報を送信する動作は具体的には、第1のネットワークデバイスが、第2のネットワークデバイスにNETCONFプロトコル応答メッセージを送信することであり、応答メッセージは第2の測定情報を搬送する。要求メッセージ内の暗号化情報および第1の測定情報は、インターネット技術特別調査委員会のさらに別の次世代(Internet Engineering Task Force Yet Another Next Generation)データモデルIETF YANG Data Modelのフォーマットを使用して記述され、応答メッセージ内の第1の測定情報は、IETF YANG Data Modelのフォーマットを使用して記述されることが理解されよう。
別の実施態様では、プロセッサ2802は、第1の検証結果を取得するために、第2の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証する動作と、第2のネットワークデバイスに第1の検証結果を送信する動作とを、ネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。第1のネットワークデバイスはMASA&Verifierであり、第2のネットワークデバイスはRPである。このようにして、第1のネットワークデバイスは、第2の測定情報に基づいて第3のネットワークデバイスのシステム信頼性を検証し、かつ第2のネットワークデバイスに検証結果を送信し得、その結果、ユーザは第2のネットワークデバイスを使用して、第3のネットワークデバイスのシステム信頼性を閲覧することができる。
この実施態様の一例では、第2のネットワークデバイスを介して、暗号化情報および第2のネットワークデバイスの第1の測定情報を受信する動作は具体的には、第2のネットワークデバイスにより送信されたネットワーク構成NETCONFプロトコル要求メッセージを受信することであり、要求メッセージは、暗号化情報および第1の測定情報を搬送する。第2のネットワークデバイスに第1の検証結果を送信する動作は具体的には、第2のネットワークデバイスにNETCONFプロトコル応答メッセージを送信することであり、応答メッセージは第1の検証結果を搬送する。要求メッセージ内の暗号化情報および第1の測定情報は、インターネット技術特別調査委員会のさらに別の次世代データモデルIETF YANG Data Modelのフォーマットを使用して記述され、応答メッセージ内の第1の検証結果は、IETF YANG Data Modelのフォーマットを使用して記述されることが理解されよう。
さらに別の実施態様では、第2のネットワークデバイスを介して暗号化情報を受信する動作は具体的には、第2のネットワークデバイスを介して、第4のネットワークデバイスにより送信された暗号化情報を受信することである。プロセッサ2802は、第2のネットワークデバイスを介して、第4のネットワークデバイスの第3の測定情報を受信するステップをネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。暗号化情報を解読する前に、ネットワークデバイス2800は、第3の測定情報に基づいて、第4のネットワークデバイスのシステムが信頼できると判定するようにさらに構成される。
さらに別の実施態様では、プロセッサ2802は、第2のネットワークデバイスにより送信されたアイデンティティ情報を受信するステップをネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。これに対応して、ネットワークデバイス2800が暗号化情報を解読する前に、プロセッサ2802は、アイデンティティ情報に基づいて、第2のネットワークデバイスのアイデンティティが有効と判定するステップをネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
一例では、第1の検証結果は、第3のネットワークデバイスがネットワークへのアクセスを許可されるかどうかを判定するために使用され得る。具体的には、第1の検証結果が、第3のネットワークデバイスがシステムに信頼されていることを示しているときは、第3のネットワークデバイスは、ネットワークへのアクセスを許可されると判定される。あるいは、第1の検証結果が、第3のネットワークデバイスがシステムに信頼されていないことを示しているときは、第3のネットワークデバイスは、ネットワークへのアクセスを許可されないと判定される。
この可能な実施態様では、ネットワークデバイス2800は、図5から図7に示す方法実施形態におけるMASA、図8に示す実施形態におけるMASA&Verifier、または図16に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、ネットワークデバイス2800の様々な可能な実施態様および技術的効果については、図5から図8、および図16に示されている実施形態で提供されている方法の説明を参照されたい。
他の可能な実施態様では、ネットワークデバイス2800のメモリ2801は、プログラムコードを記憶するように構成される。プロセッサ2802は、
第2のネットワークデバイスにより送信された暗号化情報を受信する動作であって、暗号化情報は、第2のネットワークデバイスの第1の測定情報を暗号化して得られた情報である、動作と、
暗号化情報および第1のネットワークデバイスの第2の測定情報を第3のネットワークデバイスに送信する動作と、
第3のネットワークデバイスにより送信された指示情報を受信する動作と、
指示情報に基づいて、第2のネットワークデバイスのシステム信頼性を判定する動作とをネットワークデバイスが実行することが可能になるように、プログラムコードの命令を実行するように構成される。
一実施態様では、指示情報は、第2のネットワークデバイスのシステム信頼性の検証結果であってよい。
別の実施態様では、指示情報は第1の測定情報であってよい。これに対応して、プロセッサ2802は、ネットワークデバイスが、第1の測定情報に基づいて、第2のネットワークデバイスのシステム信頼性を検証することが可能になるように、プログラムコードの命令を実行するように特に構成される。
第3のネットワークデバイスに、暗号化情報および第3のネットワークデバイスの第2の測定情報を送信する動作は具体的には、第3のネットワークデバイスにネットワーク構成NETCONFプロトコル要求メッセージを送信することであり、要求メッセージは、暗号化情報および第2の測定情報を搬送する。第3のネットワークデバイスにより送信された第1の検証結果を受信する動作は具体的には、第3のネットワークデバイスにより送信されたNETCONFプロトコル応答メッセージを受信することであり、応答メッセージは指示情報を搬送する。一例では、要求メッセージ内の暗号化情報および第2の測定情報は、インターネット技術特別調査委員会のさらに別の次世代データモデルIETF YANG Data Modelのフォーマットを使用して記述される。応答メッセージ内の指示情報は、IETF YANG Data Modelのフォーマットを使用して記述される。
さらに別の実施態様では、第2のネットワークデバイスを介して暗号化情報を受信する動作は具体的には、第4のネットワークデバイスを介して、第2のネットワークデバイスにより送信された暗号化情報を受信することである。これに対応して、プロセッサ2802は、第4のネットワークデバイスにより送信された、第4のネットワークデバイスの第3の測定情報を受信し、送受信機2803を使用して、第3のネットワークデバイスに第3の測定情報を送信する動作をネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するように特に構成される。
さらに別の実施態様では、プロセッサ2802は、第2のネットワークデバイスにより送信された第1のアイデンティティ情報を受信する動作をネットワークデバイスが実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。この場合、第1のネットワークデバイスが、第3のネットワークデバイスに、暗号化情報および第1のネットワークデバイスの第2の測定情報を送信する前に、プロセッサ2802は、第1のアイデンティティ情報に基づいて、第2のネットワークデバイスのアイデンティティが有効と判定する動作をネットワークデバイスが実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
別の実施態様では、プロセッサ2802は、第4のネットワークデバイスにより送信された第2のアイデンティティ情報を受信する動作をネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。この場合、第1のネットワークデバイスが、第3のネットワークデバイスに、暗号化情報および第1のネットワークデバイスの第2の測定情報を送信する前に、ネットワークデバイス2800は、送受信機2803を使用して、第4のネットワークデバイスにより送信された、第2のアイデンティティ情報を受信し、第2のアイデンティティ情報に基づいて、第4のネットワークデバイスのアイデンティティが有効と判定する動作をさらに実行する。
さらに別の実施態様では、プロセッサ2802は、第3のネットワークデバイスに、第1のネットワークデバイスの第3のアイデンティティ情報を送信する動作をネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。第3のアイデンティティ情報は、第1のネットワークデバイスのアイデンティティ有効性を検証するために使用される。
この実施形態では、第1のネットワークデバイスは、第2のネットワークデバイスのシステム信頼性に基づいて、第2のネットワークデバイスにネットワークへのアクセスを許可するかどうかをさらに判定し得ることが理解されよう。
この可能な実施態様では、ネットワークデバイス2800は、図5または図6Aおよび図6Bに示す実施形態におけるRPまたはVerifier、図7に示す方法実施形態におけるVerifier、図8に示す実施形態におけるRP、あるいは図17に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、ネットワークデバイス2800の様々な可能な実施態様および技術的効果については、図5から図8、および図17に対応する実施形態で提供されている方法の説明を参照されたい。
他の可能な実施態様では、ネットワークデバイス2800のメモリ2801は、プログラムコードを記憶するように構成される。プロセッサ2802は、
暗号化情報を生成する動作であって、暗号化情報は、第1のネットワークデバイスの測定情報を暗号化して得られた情報である、動作と、
第2のネットワークデバイスに暗号化情報を送信する動作であって、測定情報は、検証結果を取得するために第1のネットワークデバイスのシステム信頼性を検証するために使用される、動作とをネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するように構成される。
一実施態様では、プロセッサ2802は、第2のネットワークデバイスに、第1のネットワークデバイスのアイデンティティ情報を送信する動作であって、アイデンティティ情報は、第1のネットワークデバイスのアイデンティティ有効性を検証するために使用される、動作をネットワークデバイス2800が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
検証結果は、第1のネットワークデバイスがネットワークへのアクセスを許可されるかどうかを判定するために使用され得る。
この可能な実施態様では、ネットワークデバイス2800は、図5から図8に示す実施形態におけるAttester、または図18に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、ネットワークデバイス2800の様々な可能な実施態様および技術的効果については、図5から図8、および図18に対応する実施形態で提供されている方法の説明を参照されたい。
加えて、本出願の実施形態は、ネットワークデバイス2900をさらに提供する。図29に示すように、ネットワークデバイス2900は、メモリ2901、プロセッサ2902、および送受信機2903を備える。メモリ2901、プロセッサ2902、および送受信機2903は、バスを介して通信可能に接続され得る。送受信機2903は、例えば、光モジュールであってよい。
いくつかの可能な実施態様では、ネットワークデバイス2900のメモリ2901は、プログラムコードを記憶するように構成される。プロセッサ2902は、
第2のネットワークデバイスに、第3のネットワークデバイスのシステム信頼性を問合せる動作と、
第3のネットワークデバイスがシステムに信頼されていると判定する動作と、
第3のネットワークデバイスに、第1のネットワークデバイスの測定情報を送信する動作であって、測定情報は、検証結果を取得するために、第1のネットワークデバイスのシステム信頼性を検証するために使用される、動作とをネットワークデバイス2900が実行することが可能になるように、プログラムコードの命令を実行するように構成される。
一実施態様では、第3のネットワークデバイスに、第1のネットワークデバイスの測定情報を送信する動作の前に、プロセッサ2902は、第2のネットワークデバイスに、第4のネットワークデバイスのシステム信頼性を問合せる動作と、第4のネットワークデバイスがシステムに信頼されていると判定する動作とをネットワークデバイス2900が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。第3のネットワークデバイスは、第4のネットワークデバイスに受信した測定情報を送信するように構成され、第4のネットワークデバイスは、測定情報に基づいて、第1のネットワークデバイスのシステム信頼性を検証するように構成される。
一実施態様では、第3のネットワークデバイスに、第1のネットワークデバイスの測定情報を送信する動作の前に、プロセッサ2902は、第2のネットワークデバイスに、第3のネットワークデバイスのアイデンティティ有効性および第4のネットワークデバイスのアイデンティティ有効性を問合せる動作と、第4のネットワークデバイスのアイデンティティが有効と判定する動作とをネットワークデバイス2900が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
第1のネットワークデバイスのシステム信頼性の検証結果は、第1のネットワークデバイスが、ネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
この可能な実施態様では、ネットワークデバイス2900は、図9から図12に示す方法実施形態におけるAttester、または図19に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、ネットワークデバイス2900の様々な可能な実施態様および技術的効果については、図9から図12、および図19に対応する実施形態で提供されている方法の説明を参照されたい。
他の可能な実施態様では、ネットワークデバイス2900のメモリ2901は、プログラムコードを記憶するように構成される。プロセッサ2902は、
第2のネットワークデバイスに、第1のネットワークデバイスの第1の測定情報を送信する動作であって、第1の測定情報は、第1のネットワークデバイスのシステム信頼性を検証するために使用され、第1のネットワークデバイスのシステム信頼性の第1の検証結果は第2のネットワークデバイスに記録される、動作と、第3のネットワークデバイスにより送信された、第3のネットワークデバイスの第2の測定情報を受信する動作であって、第2の測定情報は、第3のネットワークデバイスのシステム信頼性を検証するために使用される、動作とをネットワークデバイス2900が実行することが可能になるように、プログラムコードの命令を実行するように構成される。
一実施態様では、プロセッサ2902は、ネットワークデバイス2900が、第4のネットワークデバイスに第2の測定情報を送信することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
この実施形態では、第4のネットワークデバイスと第2のネットワークデバイスとは同じデバイスである。
別の実施態様では、プロセッサ2902は、ネットワークデバイス2900が、第4のネットワークデバイスにより送信された第2の検証結果を受信することが可能になるように、プログラムコードの命令を実行するようにさらに構成され、第2の検証結果は、第2のネットワークデバイスのシステム信頼性の検証結果である。
一実施態様では、プロセッサ2902は、ネットワークデバイス2900が、第2の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
さらに別の具体的な実施態様では、プロセッサ2902は、第3のネットワークデバイスにより送信された第1のアイデンティティ情報をネットワークデバイス2900が受信することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。第1のネットワークデバイスは、第1のアイデンティティ情報に基づいて、第3のネットワークデバイスのアイデンティティ有効性を検証する。
別の実施態様では、プロセッサ2902は、ネットワークデバイス2900が、第2のネットワークデバイスに、第1のネットワークデバイスの第2のアイデンティティ情報を送信することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。第2のアイデンティティ情報は、第1のネットワークデバイスのアイデンティティ有効性を検証するために使用され、第1のネットワークデバイスのアイデンティティ有効性の第2の検証結果は、第2のネットワークデバイスに記録される。
さらに別の実施態様では、プロセッサ2902は、第3のネットワークデバイスのシステム信頼性の検証結果に基づいて、第3のネットワークデバイスにネットワークへのアクセスを許可するかどうかをネットワークデバイス2900が判定することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
この可能な実施態様では、ネットワークデバイス2900は、図9または図10に示す実施形態におけるRPまたはVerifier、図11に示す方法実施形態におけるVerifier、図12に示す実施形態におけるRP、あるいは図20に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、ネットワークデバイス2900の様々な可能な実施態様および技術的効果については、図9から図12、および図20に対応する実施形態で提供されている方法の説明を参照されたい。
他の可能な実施態様では、ネットワークデバイス2900のメモリ2901は、プログラムコードを記憶するように構成される。プロセッサ2902は、
第2のネットワークデバイスにより送信された、第2のネットワークデバイスの第1の測定情報を受信する動作と、
第1の検証結果を取得するために、第1の測定情報に基づいて、第2のネットワークデバイスのシステム信頼性を検証する動作と、
第2のネットワークデバイスのシステム信頼性の検証結果に対する、第3のネットワークデバイスの問合せ要求を受信する動作と、第1のネットワークデバイスによって、第3のネットワークデバイスに第1の検証結果を送信する動作とをネットワークデバイス2900が実行することが可能になるように、プログラムコードの命令を実行するように構成される。
一実施態様では、プロセッサ2902は、第4のネットワークデバイスにより送信された、第4のネットワークデバイスの第2の測定情報を受信する動作と、第2の検証結果を取得するために、第2の測定情報に基づいて、第4のネットワークデバイスのシステム信頼性を検証する動作と、第4のネットワークデバイスのシステム信頼性の検証結果に対する、第3のネットワークデバイスの問合せ要求を受信する動作と、送受信機2903を使用して、第3のネットワークデバイスに第2の検証結果を送信する動作とをネットワークデバイス2900が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。第2のネットワークデバイスは、第3のネットワークデバイスにより送信された、第3のネットワークデバイスの第3の測定情報を受信し、第4のネットワークデバイスに第3の測定情報を送信するように構成される。第4のネットワークデバイスは、第5の検証結果を取得するために、第3の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証するように構成される。
第5の検証結果は、第3のネットワークデバイスがネットワークへのアクセスを許可されるかどうかを判定するために使用されることが理解されよう。
別の実施態様では、プロセッサ2902は、第2のネットワークデバイスにより送信された、第2のネットワークデバイスの第1のアイデンティティ情報、および第4のネットワークデバイスにより送信された、第4のネットワークデバイスの第2のアイデンティティ情報を受信するステップと、第3の検証結果を取得するために、第1のアイデンティティ情報に基づいて、第2のネットワークデバイスのシステム信頼性を検証し、第4の検証結果を取得するために、第2のアイデンティティ情報に基づいて、第4のネットワークデバイスのシステム信頼性を検証するステップと、第2のネットワークデバイスのアイデンティティ有効性の検証結果に対する、第3のネットワークデバイスの問合せ要求、および第4のネットワークデバイスのアイデンティティ有効性の検証結果に対する、第3のネットワークデバイスの問合せ要求を受信するステップと、第3のネットワークデバイスに第3の検証結果および第4の検証結果を送信するステップとをネットワークデバイス2900が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
さらに別の実施態様では、プロセッサ2902は、第2のネットワークデバイスを介して、第3のネットワークデバイスにより送信された、第3のネットワークデバイスの第3の測定情報を受信するステップと、第3の測定情報に基づいて、第3のネットワークデバイスのシステム信頼性を検証するステップと、第3のネットワークデバイスに第5の検証結果を送信するステップであって、第5の検証結果は第3のネットワークデバイスのシステム信頼性の検証結果である、ステップとをネットワークデバイス2900が実行することが可能になるように、プログラムコードの命令を実行するようにさらに構成される。
この可能な実施態様では、ネットワークデバイス2900は、図9から図11に示す実施形態におけるMASA、図12に示す実施形態におけるMASA&Verifier、または図21に示す方法実施形態における第1のネットワークデバイスに対応し得ることに留意されたい。したがって、ネットワークデバイス2900の様々な可能な実施態様および技術的効果については、図9から図12、および図21に示されている実施形態で提供されている方法の説明を参照されたい。
本出願におけるネットワークデバイス2800およびネットワークデバイス2900では、プロセッサ2802/2902は中央処理ユニット(英語:central processing unit、略称はCPU)、ネットワークプロセッサ(英語:network processor、略称はNP)やCPUとNPとの組合せであってもよい。これの代わりに、プロセッサ2802/2902は特定用途向け集積回路(英語:application-specific integrated circuit、略称はASIC)、プログラマブル・ロジック・デバイス(英語:programmable logic device、略称はPLD)やこれらの組合せであってもよい。PLDは、複合プログラマブル論理デバイス(英語:complex programmable logic device、略称はCPLD)、フィールドプログラマブルゲートアレイ(英語:field-programmable gate array、略称はFPGA)、ジェネリックアレイ論理(英語:generic array logic、略称はGAL)、またはこれらの任意の組合せであり得る。プロセッサ2802/2902は1つのプロセッサであってもよいし、複数のプロセッサを含んでもよい。メモリ2801/2901には、揮発性メモリ(英語:volatile memory)、例えば、ランダムアクセスメモリ(英語:random-access memory、略称はRAM)が含まれる場合がある。代替として、メモリ2801/2901には、不揮発性メモリ(英語:non-volatile memory)、例えば、読取り専用メモリ(英語:read-only memory、略称はROM)、フラッシュメモリ(英語:flash memory)、ハードディスクドライブ(英語:hard disk drive、略称はHDD)、または半導体ドライブ(英語:solid-state drive、略称はSSD)が含まれる場合がある。これの代わりに、メモリ2801/2901は上記のタイプのメモリの組合せを含んでもよい。メモリ2801/2901を1つのメモリに用いてもよいし、複数のメモリを含んでもよい。具体的な実施態様では、メモリ2801/2901は、コンピュータ可読命令を記憶する。コンピュータ可読命令は複数のソフトウェアモジュールを含み、例えば、送信モジュール2821/2921と、処理モジュール2811/2911と、受信モジュール2831/2931とを含む。各ソフトウェアモジュールを実行した後、プロセッサ2802/2902は、各ソフトウェアモジュールの指示に従って対応する動作を実行し得る。この実施形態では、ソフトウェアモジュールによって実行される動作は、実際には、ソフトウェアモジュールの指示に従ってプロセッサ2802/2902によって実行される動作である。プロセッサ2802/2902はメモリ2801/2901中のコンピュータ可読命令を実行した後に、コンピュータ可読指示が示す値に基づいて、ネットワークデバイス2800/2900によって実行することができるすべての動作を実行することができる。
加えて、本出願の実施形態は通信システム3000をさらに提供する。図30に示すように、通信システム300は、図5から図12、および図16から図21に対応する実施形態の任意の実施態様で遠隔認証方法を実行するように構成された、前述したネットワークデバイス2800およびネットワークデバイス2900を備え得る。
加えて、本出願の実施形態は、コンピュータプログラム製品をさらに提供する。コンピュータ上でコンピュータプログラム製品が稼働すると、コンピュータは、図5から図12、および図16から図21に対応する実施形態の任意の実施態様で遠隔認証方法を実行することが可能にされる。
上記に加えて、本出願の実施形態ではコンピュータ可読記憶媒体をさらに提供する。コンピュータ可読記憶媒体は命令を記憶する。コンピュータ上で命令が稼働すると、コンピュータは、図5から図12、および図16から図21に対応する実施形態の任意の実施態様で遠隔認証方法を実行することが可能にされる。
本出願の実施形態において、「第1のネットワークデバイス」や「第1の測定情報」などの名称内の「第1の」は、名称の識別のために使用されているに過ぎず、順序の最初を表すものではない。「第2の」などの他の序数にも同じルールが当てはまる。
実装態様の前述の説明から、当業者は、前述の実施形態における方法のステップの一部または全部がソフトウェアおよびユニバーサルハードウェアプラットフォームを使用して実装され得ることを明確に理解することができる。このような理解に基づいて、本出願の技術的解決策は、ソフトウェア製品の形態で実施され得る。コンピュータソフトウェア製品は、記憶媒体に、例えば、読取り専用メモリ(英語:read-only memory、ROM)/RAM、磁気ディスク、または光ディスクに記憶されてもよく、本出願の実施形態または実施形態の一部に記載された方法を実行することをコンピュータデバイス(これは、パーソナルコンピュータ、サーバ、またはルータなどのネットワーク通信デバイスであってよい)に命令するためのいくつかの命令を含む。
本明細書の実施形態はすべて漸進的に記載されており、実施形態の同じまたは類似の部分については、これらの実施形態を参照されたく、各実施形態は他の実施形態との違いに焦点を当てている。特に、装置およびデバイスの実施形態は、基本的に方法実施形態に類似するので、簡単に記載されている。関連する部分については、方法の実施形態の一部の説明を参照されたい。説明されているデバイスおよび装置の実施形態は例に過ぎない。別々の部品として記述されたモジュールは物理的に分離していてもそうでなくてもよく、モジュールとして表示された部品は、物理的モジュールであってもそうでなくてもよく、一箇所に位置していてもよく、複数のネットワークユニット上に分散されていてもよい。モジュールの一部または全部を、各実施形態の解決策の目的を達成するための実際の必要に従って選択することもできる。当業者であれば、創造的努力がなくても、本発明の各実施形態を理解および実施できる。
上記の説明は本発明の特定の実施態様に過ぎないが、本発明の保護範囲を限定することを意図されたものではない。本発明で開示されている技術範囲内で当業者によって容易に想起されるいかなる変形や置換も、本発明の保護範囲に収まる。したがって、本発明の保護範囲は請求項の保護範囲にしたがうものとなる。